[請益] 展望系統的資安管理 | 展望科技ptt
大家好,小弟在IT邦幫忙寫了一篇, 各位前輩大大可否幫忙看一下http://ithelp.ithome.com.tw/question/10178931 最近接觸到展望的系統。
展望是 ...批踢踢實業坊›看板MIS關於我們聯絡資訊返回看板作者anawak(...)看板MIS標題[請益]展望系統的資安管理時間SatDec523:09:022015大家好,小弟在IT邦幫忙寫了一篇,各位前輩大大可否幫忙看一下http://ithelp.ithome.com.tw/question/10178931最近接觸到展望的系統。
展望是一家軟體公司,做了很多跟醫療有關的系統。
我的客戶用的是哪一套我還不確定。
我還是先簡稱為展望系統。
我從資安管理的角度來看,覺得它很奇怪。
◎免安裝。
◎找一台家用的Windows電腦,把展望的資料夾放到D槽,做為伺服器端。
◎一般用戶把伺服器的D槽掛載成自己的Z槽,然後執行展望資料夾裡面的執行檔就可以使用系統。
◎分享的資料夾權限必須完全開放。
這樣用戶端才可以對展望系統做存取的動作◎展望系統會透過中華電信提供的VPN專線取得健保相關資料。
問題1:病毒感染某醫師的電腦如果中毒,感染到Z槽之後,會馬上感染到所有醫師的電腦。
展望是說,應該要把展望系統所使用的網路跟一般上網的網路切開來。
也就是說,可以使用展望系統的電腦,就不能上網。
但使用者不想這樣,所以採用混合的模式。
然後…整間診所都中毒了。
而且中毒的來源也不一定會是網路。
比如說某醫師的外接硬碟有毒。
感染到Z槽之後隨即感染到所有醫師的電腦。
問題2:資料夾保護比如說,如果家裡多人共同一台電腦的時候,男生可能會把A片藏在某個地方。
所以,任何一個診所員工,不管是醫師還是櫃檯小姐,都可以在Z槽開資料夾放自己的檔案。
例如音樂檔、影集、A片。
(員工可任意存放自己私人檔案)而且任何檔案都可以刪除。
比如員工心情不爽想搞怪,故意把某隻檔案刪除。
大家都不能用。
這時就只能使用備份檔來還原。
也許被刪的檔案不一定會使用到,三天或一個禮拜之後才發現。
這時候難道要去還原一個禮拜之前的檔案嗎?這段時間所建立的資料…??(員工可任意刪除系統檔案)問題3:資料庫外洩它的資料庫是用DBF。
我對DBF不瞭解,但是google了一下,有人說可以用excel開DBF,我就用Office2007去開,不過Excel好像在開CSV檔,問我分隔符號要用什麼,所以沒辦法進行下一步。
但是用LibreOffice開就很順利。
其實還是有卡一下,第一次開有亂碼,因為我選UTF8,第二次選擇Big5就看到全部資料了。
這樣應該不算破解吧XD我只是單純的用免費的LibreOffice去開啟展望的DBF檔。
這樣就看到全部資料了…。
(任何員工都可以看到任何資料)我發現它不是用固定的分隔符號去區分欄位資料。
第一列是欄位定義,第二列以後是資料。
比如說A1這個欄位的值是DDRG,C,6,我猜,DDRG是欄位名稱,C代表文字,6是長度。
另一個欄位叫DDA,N,6,0,N是數字,6是長度,0代表沒有小數。
DCSR,N,5,3=>長度是5,小數3位,例如0.001。
這樣用Excel開不起來吧…但是LibreOffice可以辨識,好神奇。
我也看到網路上的資料,展望做醫療系統還算有名。
某篇文章就在問,展望、耀聖、醫聖,哪一個系統比較好?有人回說,展望貴。
通常產品比較貴的話,表示它的品質比別人好。
可是我對展望的運作機制疑問好多……。
醫療系統都這樣嗎?--※發信站:批踢踢實業坊(ptt.cc),來自:111.251.54.223※文章網址:https://www.ptt.cc/bbs/MIS/M.1449328145.A.954.html→threeus:dbf的系統都這樣,從dos就這樣了12/0523:41→threeus:通常欄定義不會寫明,要對文件,這是怕人開了看12/0523:44→threeus:不過有的資料很好猜,比方手機12/0523:44→threeus:資料夾權限可以設定不允許刪除12/0523:45→threeus:但防不了打開,全選,清空的惡意報復12/0523:46→threeus:有防毒,加上醫師不會亂開風險檔案,這還好12/0523:49→threeus:這類系統,我記得都是開機直接runfullscreen12/0523:52→threeus:使用者,其實沒辦法做其他事情,所有key都被軟體吃住12/0523:53→MacPerson:你要有個概念這幾家公司的系統最少都RUN了10年以上12/0621:54→MacPerson:貴在穩定其他「再談」12/0621:55推chang0206:把SERVER弄成Linux?配合ACL寫入設定?12/0709:32→chang0206:再配合crontab做備份這樣(我們的某個財務系統就這樣做)12/0709:33→chang0206:至於中毒..醫師桌上的電腦就系統專用吧,要上網,再12/0709:34→chang0206:一人配一台NB給他!把系統跟USER的網路切開這樣12/0709:34推f124:那幾間單機醫療系統都是foxpro的古老系統dbf又沒加密12/0715:21→f124:診所用的都這樣別懷疑了12/0715:22推susicat:我前公司也是這樣子,但這系統會發生在連鎖營業的問題12/0716:49→susicat:反正對他們來說只是藥單跟預約還有醫囑,最大的重點是健12/0716:51→susicat:保如何連結,只有少數的中型醫院才會有資料庫的概念12/0716:52→susicat:大型醫學中心就不用說了,一定會建置中央資料庫12/0716:53→susicat:這東西就是便宜啊...小診所都買得起,主要是為了健保而已12/0716:54
展望是 ...批踢踢實業坊›看板MIS關於我們聯絡資訊返回看板作者anawak(...)看板MIS標題[請益]展望系統的資安管理時間SatDec523:09:022015大家好,小弟在IT邦幫忙寫了一篇,各位前輩大大可否幫忙看一下http://ithelp.ithome.com.tw/question/10178931最近接觸到展望的系統。
展望是一家軟體公司,做了很多跟醫療有關的系統。
我的客戶用的是哪一套我還不確定。
我還是先簡稱為展望系統。
我從資安管理的角度來看,覺得它很奇怪。
◎免安裝。
◎找一台家用的Windows電腦,把展望的資料夾放到D槽,做為伺服器端。
◎一般用戶把伺服器的D槽掛載成自己的Z槽,然後執行展望資料夾裡面的執行檔就可以使用系統。
◎分享的資料夾權限必須完全開放。
這樣用戶端才可以對展望系統做存取的動作◎展望系統會透過中華電信提供的VPN專線取得健保相關資料。
問題1:病毒感染某醫師的電腦如果中毒,感染到Z槽之後,會馬上感染到所有醫師的電腦。
展望是說,應該要把展望系統所使用的網路跟一般上網的網路切開來。
也就是說,可以使用展望系統的電腦,就不能上網。
但使用者不想這樣,所以採用混合的模式。
然後…整間診所都中毒了。
而且中毒的來源也不一定會是網路。
比如說某醫師的外接硬碟有毒。
感染到Z槽之後隨即感染到所有醫師的電腦。
問題2:資料夾保護比如說,如果家裡多人共同一台電腦的時候,男生可能會把A片藏在某個地方。
所以,任何一個診所員工,不管是醫師還是櫃檯小姐,都可以在Z槽開資料夾放自己的檔案。
例如音樂檔、影集、A片。
(員工可任意存放自己私人檔案)而且任何檔案都可以刪除。
比如員工心情不爽想搞怪,故意把某隻檔案刪除。
大家都不能用。
這時就只能使用備份檔來還原。
也許被刪的檔案不一定會使用到,三天或一個禮拜之後才發現。
這時候難道要去還原一個禮拜之前的檔案嗎?這段時間所建立的資料…??(員工可任意刪除系統檔案)問題3:資料庫外洩它的資料庫是用DBF。
我對DBF不瞭解,但是google了一下,有人說可以用excel開DBF,我就用Office2007去開,不過Excel好像在開CSV檔,問我分隔符號要用什麼,所以沒辦法進行下一步。
但是用LibreOffice開就很順利。
其實還是有卡一下,第一次開有亂碼,因為我選UTF8,第二次選擇Big5就看到全部資料了。
這樣應該不算破解吧XD我只是單純的用免費的LibreOffice去開啟展望的DBF檔。
這樣就看到全部資料了…。
(任何員工都可以看到任何資料)我發現它不是用固定的分隔符號去區分欄位資料。
第一列是欄位定義,第二列以後是資料。
比如說A1這個欄位的值是DDRG,C,6,我猜,DDRG是欄位名稱,C代表文字,6是長度。
另一個欄位叫DDA,N,6,0,N是數字,6是長度,0代表沒有小數。
DCSR,N,5,3=>長度是5,小數3位,例如0.001。
這樣用Excel開不起來吧…但是LibreOffice可以辨識,好神奇。
我也看到網路上的資料,展望做醫療系統還算有名。
某篇文章就在問,展望、耀聖、醫聖,哪一個系統比較好?有人回說,展望貴。
通常產品比較貴的話,表示它的品質比別人好。
可是我對展望的運作機制疑問好多……。
醫療系統都這樣嗎?--※發信站:批踢踢實業坊(ptt.cc),來自:111.251.54.223※文章網址:https://www.ptt.cc/bbs/MIS/M.1449328145.A.954.html→threeus:dbf的系統都這樣,從dos就這樣了12/0523:41→threeus:通常欄定義不會寫明,要對文件,這是怕人開了看12/0523:44→threeus:不過有的資料很好猜,比方手機12/0523:44→threeus:資料夾權限可以設定不允許刪除12/0523:45→threeus:但防不了打開,全選,清空的惡意報復12/0523:46→threeus:有防毒,加上醫師不會亂開風險檔案,這還好12/0523:49→threeus:這類系統,我記得都是開機直接runfullscreen12/0523:52→threeus:使用者,其實沒辦法做其他事情,所有key都被軟體吃住12/0523:53→MacPerson:你要有個概念這幾家公司的系統最少都RUN了10年以上12/0621:54→MacPerson:貴在穩定其他「再談」12/0621:55推chang0206:把SERVER弄成Linux?配合ACL寫入設定?12/0709:32→chang0206:再配合crontab做備份這樣(我們的某個財務系統就這樣做)12/0709:33→chang0206:至於中毒..醫師桌上的電腦就系統專用吧,要上網,再12/0709:34→chang0206:一人配一台NB給他!把系統跟USER的網路切開這樣12/0709:34推f124:那幾間單機醫療系統都是foxpro的古老系統dbf又沒加密12/0715:21→f124:診所用的都這樣別懷疑了12/0715:22推susicat:我前公司也是這樣子,但這系統會發生在連鎖營業的問題12/0716:49→susicat:反正對他們來說只是藥單跟預約還有醫囑,最大的重點是健12/0716:51→susicat:保如何連結,只有少數的中型醫院才會有資料庫的概念12/0716:52→susicat:大型醫學中心就不用說了,一定會建置中央資料庫12/0716:53→susicat:這東西就是便宜啊...小診所都買得起,主要是為了健保而已12/0716:54