医院数据访问安全的构架与系统设计

高金妹

0 引言

离群点检测（又称为异常检测）是找出其行为很不同于预随着医疗信息系统应用的不断推进，医院已建立起以数据为中心的医院信息网络化管理决策机制，并将挂号、收费、住院、医技等各部门通过网络系统连接在一起，医院信息系统（包括医院信息管理系统（HIS）、临床信息系统（CIS）、医院影像信息系统（PACS）、检验信息系统（LIS）等）通过网络覆盖医院的每个部门，涵盖病人来医院就诊的各个环节。医院的信息化运作，不仅为医院的管理、决策、办公效率等带来巨大的推动作用，而且也使患者就诊能体验到就诊的方便。但是与此同时，信息系统的数据安全则成为医院当前面临的一大考验。

如今，医院的正常运作已经离不开医院信息系统，一旦网络瘫痪或信息系统的数据丢失，将会给医院和病人带来难以弥补的损失。为了保证医院业务高效稳定运行，制定一系列行之有效的信息系统安全方案是十分必要的，也是势在必行的。为此需要对信息安全理论进行深入研究，并运用在医院信息系统中，以提高医院信息系统的安全、稳定的运行能力。

1 常见医院信息系统的构架

常见医院信息系统的网络模式有以下几种形式：

1.单一交换机+单一的数据库服务器

2.单核心交换机+多数据库服务器

3.多交换机+多数据库服务器

单从数据库数据的可用性来看，单一的数据库模式下，数据库服务器的故障，应用程序的漏洞，导致数据库崩溃等，都是该模式下信息系统无法回避的隐患。

避免单点故障导致服务中断的多交换机+多数据库模式，尽管可用性以及性能上都能获得很好的提升，但是额外成本费用的开销却不一定是每个医院都愿意付出的。

何种模式能够满足当前的业务需要，便成为了医院的最终选择。

2 面临的考验

除了架构上的安全隐患，本文将从数据访问安全的角度来分析当前医院面临的考验。首先医院的信息系统的开发一般有医院以外的厂商提供，后期的实施、调试也是由厂商完成。其次，系统、数据库、网络、硬件设备的维护都会有第三方企业参与。仅这两点就使得数据被非授权的访问变得非常的容易。再次，医院内部人员通过业务系统的功能、外挂工具或者超级管理员权限等方式也可以轻易的获取到想要的数据。

那医院该如何来防堵这些隐患呢？

在展开谈论之前，还需要再明确一下数据安全的含义，安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全，安全程度随着时间的变化而改变。在一个特定的时期内，在一定的安全策略下，系统是安全的。但是随着时间的演化和环境的变迁（如攻击技术的进步、新漏洞的暴露），系统可能会变的不安全。因此需要能应对环境变化，并能即时做出相应的调整以确保安全防护。当前，没有一种技术可完全消除网络中的安全漏洞。

以往医院大都依靠行政制度的手段，来保障数据访问的安全。但根据长期的经验来看，效果不是很理想。制度是用于规范哪些人在什么地方能够做哪些事。如果有人无视制度的存在，那就必须借助科技的手段，判断是谁，在什么地方，通过什么方式，做了什么违反制度的事，以此为目标，医院需要这样的一套系统，能够在不影响当前医院已经稳定使用的信息系统的前提下，实现这样的功能。由此，医院信息系统提供安全审计机制便必不可少。

信息系统安全审计，是指在信息系统中实现安全审计机制。信息系统安全审计的主要目的，一是检测和威慑非法进入系统的行为。无论是合法用户，还是非法用户，一旦登录系统，其登录的时间和地址、对系统数据的访问、注销时间等信息，通过建立审计日志，实时记录这些信息，留下非法用户使用系统的证据。另一个目的，是识别出用户对系统的误用，以便事后追查、分析和数据恢复[1]。

因此，安全审计系统需要具备以下特点：

系统以一个旁路的方式存在，将网络中对数据安全可能造成危害的行为分离出来，并且能够准确地记录下来，这一危险行为发生的时间、地点、人物、事件内容等。基于旁路监听的数据库审计的解决方案具有下面的一些特点：不需要对生产数据库进行任何设置，也不需改变现有的网络架构和配置；不影响生产数据库的性能，不占用生产数据库服务器的网络带宽，同时，在对审计数据进行压缩备份时，不影响业务系统的正常运行[2]。

系统通过一定时间段的信息收集，能够智能地区分出网络中的正常业务操作和非授权的非法行为。

系统需有强大的数据处理能力，保证网络中的数据都能够被监控到，不会因业务流量大时，系统不能及时处理而错过对危险事件的审查。审计结果必须详细、准确，能够随着环境或者危险手段的变化，方便的在设置上做调整。

系统具有自我的审计能力，能够对系统没有监听到的数据、系统故障和蓄意停止监听等情况产生报警，也能够检测业务系统是否正常运行，为故障诊断提供建议。

系统能够事前预防危险事件的发生，进而阻止事件的进行，事后记录事件产生的完整信息。

系统对危险事件能够实时报警，可以通过短信、邮件或者弹出窗口的方式通知到相关的负责人。

系统本身不具备泄密的能力。

系统需具备能够适用目前常见的医院网络环境，不需要针对每一家医院单独进行开发定制，能提供简捷易懂的信息，以便不同层次的医院人员使用。

3 安全审计系统的关键

因为医院信息系统是独立的内部网络，不直接连接到互联网，因此数据安全保障的重点是关注数据的访问，根据网络系统的应用和业务模式，将网络数据存放在安全区域，对敏感数据的访问实行严格的记录，减少不必要的数据访问。

1.主机攻击的深度检测

虽然防病毒系统能够防止大部分的病毒感染与攻击，但如果出现有害代码伪装成客户正常业务进行传播时，网络的带宽利用率就会居高不下，应用系统的响应速度会越来越慢，最后导致整个网络瘫痪。因此，在网络系统上部署具有深度检测防御功能的入侵防御系统，IPS非常重要。深度检测防御是为了检测网络系统中违反安全策略的行为，如入侵和滥用。深度检测防御，识别出网络系统中任何不希望有的活动，从而限制这些活动，以保护网络系统的安全。深度检测防御的应用目的，是在入侵攻击对网络系统发生危害前，检测到入侵攻击，并利用报警与防护系统的联动，阻止入侵攻击，减少入侵攻击对网络系统造成损失。

2.数据访问的安全审计

防止未授权用户对数据的访问，系统还需在安全检测方面，重点加强对主机攻击的深度检测功能和对数据访问的安全审计功能。

由于数据是医院信息系统中最核心、最重要的部分，因而需要具备对数据访问的全面审计和检测能力。医院信息系统数据库存储着患者的疾病诊断、治疗方案、检查检验结果、处方、医疗费用等敏感信息，这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。建立完善的数据库审计机制，并结合应用系统需求，实现数据库监控的透明度，降低人工审计成本，真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯，作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的[3]。通过对数据库操作的痕迹进行详细记录和审计，使数据的所有者对数据库访问活动有据可查，及时掌握数据库的使用情况，并对存在的安全隐患进行调整和改进。采用医院数据库安全审计系统是实现检测功能的最有效方法。数据库安全审计系统通过对特定行为进行逻辑描述，找出可疑行为的发起人员（WHO）；通过对所有操作和访问行为进行逐一的客观记录和追溯，找出可疑人员使用的主机等物理访问位置（WHERE）；通过对行为所用的使用访问数据协议的分析，找出可疑人员使用的工具（WAY），找出可疑行为的时间（WHEN）；通过对非正常访问的逻辑特征，系统进行阻断和告警（WORK）；通过对可疑行为相关特征的深度分析，找出可疑人员的行为目的（WHAT）。从这 6大类（6W）入手，对敏感数据进行实时监控，对各类行为（FTP、TELNET、HTTP）进行有效审计和追溯，对违规操作进行控制。

3.通知功能

当信息系统出现安全问题时，及时通知是非常重要的环节，在系统安全中占有最重要的地位。要解决好通知问题，就要制订好通知的方案，在发现了信息系统不安全因素后，系统需要及时地进行反应，其过程如下：

报告：无论系统的自动化程度多高，都需要管理员知道是否有安全事件发生。

记录：必须将所有的情况记录下来，包括安全事件的各个细节以及系统的反映。

反应：进行相应的处理以阻止安全隐患的进一步蔓延。

安全审计中最重要的是当安全事件发生时，能够及时将危及到安全的行为通知到相关责任人员，及时的清除安全隐患，恢复系统正常运行。随着信息技术的发展，医疗信息覆盖面更广、种类更多，数据量更大，一旦发生数据被破泄密，就会给医院造成不可估量的负面影响。

4.审计策略

审计策略是整套系统的核心，要准确地分析出危险行为，必须首先制定医院的审计策略，哪些行为，哪些人，要检测出来，完全由此来确定。

在审计策略制定上，先制定较为严格的审计策略，再根据检测结果进行调整，将一些业务需要的操作行为划归到不报警，只做记录的类别。不可放过较为隐蔽的，有规律可循的行为，这些行为的操作人，具有较大的危害性。

所有的策略制定一定不能违背一个原则，业务需要第一，绝对不能为了安全而牺牲正常的业务，那岂不变成了因噎废食。

4 医院安全系统设计方案

我们所研制的安全审计方案，如图1所示：

图1 医院信息系统的安全审计方案设计

该系统已经过实践的证实，是符合医院当前现状并且稳定的系统。因此，安全审计系统不能影响、破坏原有的系统，应使用最优化的设计，以最小的投入获得最大的效果。

为了不影响原有的信息系统结构，采用新增的硬件设备，在硬件设备上安装部署安全审计系统。系统从医院信息化系统核心的交换机的镜像端口中获取网络中的数据，与数据安全不相关的信息首先将被过滤，保证系统能够及时处理关键的信息。

进入到审计系统的数据，逐一与系统中的规则进行匹配，如匹配到规则，则根据规则定义的动作进行响应。

由于医院由众多的PC终端接入，要在审计结果中精确到某人，那就要求系统从网络中获取的信息足够详细，详细到电脑的用户名，访问数据的用户名，电脑的IP地址，物理地址，使用什么工具进行访问等等。

一旦有能够确认的危险行为发现，并且被系统自动或者人工手动确认为危险事件，通过伪造数据包的形式，中断其连接，并以超级管理员的身份，停用其访问数据的用户名，以保证他无法再次尝试连接。实现阻断危险操作的功能。

5 总结

所研制的数据安全审计系统，能监控通过网络对数据库的所有访问数据，对所有的核心数据往来，根据规则逐一进行扫描，找出可疑的行为，视其严重程度，判断是否需要阻断，对重点事件进行通知提醒，对所有符合规则事件进行记录，为今后的数据安全提供决策性的依据。安全审计系统尽其所能的完成制度无法完成的功能，以填补制度无法约束的空白。

[1]邹祖军,周伟.信息系统安全审计机制的实现[J].信息技术,2012,(11): 145-147,154.

[2]徐景日.医院信息系统数据库安全审计方案的探讨[J].中国数学医学,2011,6(1): 110-112

[3]潘晓雷,詹振坤,蔡海山.数据安全防御系统在医院信息安全中的应用[J].中国数字医学,2010,(9): 86-88