大家好,小弟在IT邦帮忙写了一篇,
各位前辈大大可否帮忙看一下
http://ithelp.ithome.com.tw/question/10178931
最近接触到展望的系统。展望是一家软件公司,做了很多跟医疗有关的系统。
我的客户用的是哪一套我还不确定。我还是先简称为展望系统。我从资安管理
的角度来看,觉得它很奇怪。
◎免安装。
◎找一台家用的Windows电脑,把展望的资料夹放到D槽,做为服务器端。
◎一般用户把服务器的D槽挂载成自己的Z槽,然后执行展望资料夹里面的执行
档就可以使用系统。
◎分享的资料夹权限必须完全开放。这样用户端才可以对展望系统做存取的动
作
◎展望系统会透过中华电信提供的VPN专线取得健保相关资料。
问题1:病毒感染
某医师的电脑如果中毒,感染到Z槽之后,会马上感染到所有医师的电脑。展
望是说,应该要把展望系统所使用的网络跟一般上网的网络切开来。也就是说
,可以使用展望系统的电脑,就不能上网。但使用者不想这样,所以采用混合
的模式。然后… 整间诊所都中毒了。
而且中毒的来源也不一定会是网络。比如说某医师的外接硬盘有毒。感染到Z
槽之后随即感染到所有医师的电脑。
问题2:资料夹保护
比如说,如果家里多人共同一台电脑的时候,男生可能会把A片藏在某个地方
。所以,任何一个诊所员工,不管是医师还是柜台小姐,都可以在Z槽开资料
夹放自己的档案。例如音乐档、影集、A片。(员工可任意存放自己私人档案)
而且任何档案都可以删除。比如员工心情不爽想搞怪,故意把某只档案删除。
大家都不能用。这时就只能使用备份档来还原。也许被删的档案不一定会使用
到,三天或一个礼拜之后才发现。这时候难道要去还原一个礼拜之前的档案吗
?这段时间所建立的资料…??(员工可任意删除系统档案)
问题3:数据库外泄
它的数据库是用DBF。我对DBF不了解,但是 google 了一下,有人说可以用
excel 开 DBF,我就用 Office 2007 去开,不过 Excel 好像在开CSV档,问
我分隔符号要用什么,所以没办法进行下一步。但是用 LibreOffice 开就很
顺利。其实还是有卡一下,第一次开有乱码,因为我选 UTF8,第二次选择
Big5 就看到全部资料了。这样应该不算破解吧 XD 我只是单纯的用免费的
LibreOffice 去开启展望的 DBF 档。这样就看到全部资料了…。(任何员工
都可以看到任何资料)
我发现它不是用固定的分隔符号去区分字段资料。第一列是字段定义,第二列
以后是资料。比如说 A1 这个字段的值是 DDRG,C,6,我猜,DDRG是字段名称
,C代表文字,6是长度。另一个字段叫 DDA,N,6,0,N是数字,6是长度,0代
表没有小数。DCSR,N,5,3 => 长度是5,小数3位,例如 0.001 。这样用
Excel 开不起来吧… 但是 LibreOffice 可以辨识,好神奇。
我也看到网络上的资料,展望做医疗系统还算有名。某篇文章就在问,展望、
耀圣、医圣,哪一个系统比较好?有人回说,展望贵。通常产品比较贵的话,
表示它的品质比别人好。可是我对展望的运作机制疑问好多……。
医疗系统都这样吗?