Đây là 1 bài thực hành nho nhỏ để mô phỏng, hướng dẫn các b tiếp cận đc các cách tấn công SQL Tài liệu có sử dụng các cách cơ bản, hay được sử dụng nhất Tài liệu chri mang tính chất thma khảo do bây h các ngôn ngữ đều có cách phòng chống
Trang 1Hệ Thống Quản Lý Bệnh Viện
1 Nghiệp vụ chức năng, chủ thể
1.1 Nghiệp vụ chức nănq
- Theo dõi tất cả các hoạt động, lưu trữ người dùng, thực hiện phân tích, báo cáo
- Lưu trữ hồ sơ bệnh nhân, bác sĩ, các vấn để liên quan đến tài chính, quản lý nguồn cấp
- Theo dõi số lượng bác sĩ, bệnh nhân, giờ làm việc của bác sĩ
- Lưu trữ bệnh sử, kết quả xét nghiệm, phương pháp điều trị
- Bệnh nhân có thể nhận kết quả xét nghiệm báo cáo ý tế thông qua email hoặc thông qua tài khoản người dùng
- Tạo ra báo cáo thường xuyên, định kì
1.2 Chủ thể
- Quản trị: Tài khoản quản trị của hệ thống, không thể xóa tài khoản này Quản trị có quyền:
• Cấp phát, thu hồi quyền của người dùng
• Thay đổi mật khẩu cho tất cả người dùng của hệ thống
• Có quyền xem, danh sách, thời gian truy cập vào hệ thống của người dùng
• Không có quyền sử dụng các chức năng khác của hệ thống
- Tài vụ: là chủ thể chỉ có quyền liên quan đến tài chính trong hệ thống như:
• Xem thông tin thanh toán của bệnh nhân
• Xem thông tin các dịch vụ bệnh nhân sử dụng
• Nhập, xuất hóa đơn, báo cáo doanh thu
- Bác sĩ: Là chủ thể có khá nhiều quyền truy cập trong hệ thống Bác sĩ có các quyền sau:
• Tìm kiếm, xem lịch làm việc của các bác sĩ trong khoa
• Cập nhật lịch làm việc, công việc của bản thân
• Chỉnh sửa công việc của ý tá
• Theo dõi lịch làm việc của các ý tá trong khoa
• Phân công công việc cho các y tá trong khoa
• Theo dõi tình trạng của các bệnh nhân trực tiếp điều trị
• Tạo đơn thuốc cho bệnh nhân
- Y tá: là chủ thể có ít quyền hơn so với bác sĩ Y tá có các quyền sau:
• Tìm kiếm, xem lịch làm việc của các bác sĩ, y tá trong khoa
• Cập nhật lịch làm việc của bản thân
• Cập nhật công việc của bản thân
• Theo dõi tình trạng của các bệnh nhân trực tiếp
- Bệnh nhân: là chủ thể có ít quyền nhất trong hệ thống như:
• Tìm kiếm, xem hồ sơ bệnh án của bản thân
• Tìm kiếm, xem thông tin của bác sĩ, y tá trực tiếp điều trị, theo dõi mình
2 Các đối tượng có trong hệ thống
2.1 Đối tượng cần được bảo vệ
- Tệp lưu trữ cơ sở dữ liệu
- Các bản cơ sở dữ liệu
- Các trường, bản ghi trong cơ sở dữ liệu
- Các chương trình ứng dụng
2.2 Tổng quát các đối tượng trong chương trình theo nhóm thông tin sau:
- Dữ liệu hệ thống: người dùng, tài khoản, quyền, thời gian truy cập, thời điểm truy cập,…
- Danh mục chung: danh mục khoa, danh mục người dùng,…
- Hồ sơ bệnh án: hồ sơ phân loại theo khoa, phân loại theo bác sĩ, y tá, phân loại theo thời gian
Trang 22.3 Tập các quyền
- Read (r): Đọc thông tin
- Execute (x): Thực thi chức năng
- Select (s): Duyệt các bản ghi
- Delete (d): Xóa bản ghi
- Write (w): Thêm bản ghi
- Update (u): Sửa bản ghi
3 ACM
3.1 Ma trận truy cập mức tổng quát
3.2 Ma trận chi tiết cho chức năng quản lý hệ thống
Trang 33.3 Ma trận chi tiết cho chức năng quản lý khoa
3.4 Ma trận chi tiết cho chức năng quản lý bác sĩ
3.5 Ma trận chi tiết cho chức năng quản lý y tá
3.6 Ma trận chi tiết cho chức năng quản lý bệnh nhân
Trang 43.7 Ma trận chi tiết cho chức năng quản lý công việc
3.8 Ma trận chi tiết cho chức năng thống kê tài chính