醫院數據訪問安全的構架與系統設計

高金妹

0 引言

離群點檢測（又稱為異常檢測）是找出其行為很不同于預隨著醫療信息系統應用的不斷推進，醫院已建立起以數據為中心的醫院信息網絡化管理決策機制，并將掛號、收費、住院、醫技等各部門通過網絡系統連接在一起，醫院信息系統（包括醫院信息管理系統（HIS）、臨床信息系統（CIS）、醫院影像信息系統（PACS）、檢驗信息系統（LIS）等）通過網絡覆蓋醫院的每個部門，涵蓋病人來醫院就診的各個環節。醫院的信息化運作，不僅為醫院的管理、決策、辦公效率等帶來巨大的推動作用，而且也使患者就診能體驗到就診的方便。但是與此同時，信息系統的數據安全則成為醫院當前面臨的一大考驗。

如今，醫院的正常運作已經離不開醫院信息系統，一旦網絡癱瘓或信息系統的數據丟失，將會給醫院和病人帶來難以彌補的損失。為了保證醫院業務高效穩定運行，制定一系列行之有效的信息系統安全方案是十分必要的，也是勢在必行的。為此需要對信息安全理論進行深入研究，并運用在醫院信息系統中，以提高醫院信息系統的安全、穩定的運行能力。

1 常見醫院信息系統的構架

常見醫院信息系統的網絡模式有以下幾種形式：

1.單一交換機+單一的數據庫服務器

2.單核心交換機+多數據庫服務器

3.多交換機+多數據庫服務器

單從數據庫數據的可用性來看，單一的數據庫模式下，數據庫服務器的故障，應用程序的漏洞，導致數據庫崩潰等，都是該模式下信息系統無法回避的隱患。

避免單點故障導致服務中斷的多交換機+多數據庫模式，盡管可用性以及性能上都能獲得很好的提升，但是額外成本費用的開銷卻不一定是每個醫院都愿意付出的。

何種模式能夠滿足當前的業務需要，便成為了醫院的最終選擇。

2 面臨的考驗

除了架構上的安全隱患，本文將從數據訪問安全的角度來分析當前醫院面臨的考驗。首先醫院的信息系統的開發一般有醫院以外的廠商提供，后期的實施、調試也是由廠商完成。其次，系統、數據庫、網絡、硬件設備的維護都會有第三方企業參與。僅這兩點就使得數據被非授權的訪問變得非常的容易。再次，醫院內部人員通過業務系統的功能、外掛工具或者超級管理員權限等方式也可以輕易的獲取到想要的數據。

那醫院該如何來防堵這些隱患呢？

在展開談論之前，還需要再明確一下數據安全的含義，安全的概念是相對的，任何一個系統都具有潛在的危險，沒有絕對的安全，安全程度隨著時間的變化而改變。在一個特定的時期內，在一定的安全策略下，系統是安全的。但是隨著時間的演化和環境的變遷（如攻擊技術的進步、新漏洞的暴露），系統可能會變的不安全。因此需要能應對環境變化，并能即時做出相應的調整以確保安全防護。當前，沒有一種技術可完全消除網絡中的安全漏洞。

以往醫院大都依靠行政制度的手段，來保障數據訪問的安全。但根據長期的經驗來看，效果不是很理想。制度是用于規范哪些人在什么地方能夠做哪些事。如果有人無視制度的存在，那就必須借助科技的手段，判斷是誰，在什么地方，通過什么方式，做了什么違反制度的事，以此為目標，醫院需要這樣的一套系統，能夠在不影響當前醫院已經穩定使用的信息系統的前提下，實現這樣的功能。由此，醫院信息系統提供安全審計機制便必不可少。

信息系統安全審計，是指在信息系統中實現安全審計機制。信息系統安全審計的主要目的，一是檢測和威懾非法進入系統的行為。無論是合法用戶，還是非法用戶，一旦登錄系統，其登錄的時間和地址、對系統數據的訪問、注銷時間等信息，通過建立審計日志，實時記錄這些信息，留下非法用戶使用系統的證據。另一個目的，是識別出用戶對系統的誤用，以便事后追查、分析和數據恢復[1]。

因此，安全審計系統需要具備以下特點：

系統以一個旁路的方式存在，將網絡中對數據安全可能造成危害的行為分離出來，并且能夠準確地記錄下來，這一危險行為發生的時間、地點、人物、事件內容等?；谂月繁O聽的數據庫審計的解決方案具有下面的一些特點：不需要對生產數據庫進行任何設置，也不需改變現有的網絡架構和配置；不影響生產數據庫的性能，不占用生產數據庫服務器的網絡帶寬，同時，在對審計數據進行壓縮備份時，不影響業務系統的正常運行[2]。

系統通過一定時間段的信息收集，能夠智能地區分出網絡中的正常業務操作和非授權的非法行為。

系統需有強大的數據處理能力，保證網絡中的數據都能夠被監控到，不會因業務流量大時，系統不能及時處理而錯過對危險事件的審查。審計結果必須詳細、準確，能夠隨著環境或者危險手段的變化，方便的在設置上做調整。

系統具有自我的審計能力，能夠對系統沒有監聽到的數據、系統故障和蓄意停止監聽等情況產生報警，也能夠檢測業務系統是否正常運行，為故障診斷提供建議。

系統能夠事前預防危險事件的發生，進而阻止事件的進行，事后記錄事件產生的完整信息。

系統對危險事件能夠實時報警，可以通過短信、郵件或者彈出窗口的方式通知到相關的負責人。

系統本身不具備泄密的能力。

系統需具備能夠適用目前常見的醫院網絡環境，不需要針對每一家醫院單獨進行開發定制，能提供簡捷易懂的信息，以便不同層次的醫院人員使用。

3 安全審計系統的關鍵

因為醫院信息系統是獨立的內部網絡，不直接連接到互聯網，因此數據安全保障的重點是關注數據的訪問，根據網絡系統的應用和業務模式，將網絡數據存放在安全區域，對敏感數據的訪問實行嚴格的記錄，減少不必要的數據訪問。

1.主機攻擊的深度檢測

雖然防病毒系統能夠防止大部分的病毒感染與攻擊，但如果出現有害代碼偽裝成客戶正常業務進行傳播時，網絡的帶寬利用率就會居高不下，應用系統的響應速度會越來越慢，最后導致整個網絡癱瘓。因此，在網絡系統上部署具有深度檢測防御功能的入侵防御系統，IPS非常重要。深度檢測防御是為了檢測網絡系統中違反安全策略的行為，如入侵和濫用。深度檢測防御，識別出網絡系統中任何不希望有的活動，從而限制這些活動，以保護網絡系統的安全。深度檢測防御的應用目的，是在入侵攻擊對網絡系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統的聯動，阻止入侵攻擊，減少入侵攻擊對網絡系統造成損失。

2.數據訪問的安全審計

防止未授權用戶對數據的訪問，系統還需在安全檢測方面，重點加強對主機攻擊的深度檢測功能和對數據訪問的安全審計功能。

由于數據是醫院信息系統中最核心、最重要的部分，因而需要具備對數據訪問的全面審計和檢測能力。醫院信息系統數據庫存儲著患者的疾病診斷、治療方案、檢查檢驗結果、處方、醫療費用等敏感信息，這些信息的非法訪問和修改將會造成重大的醫療糾紛及經濟損失。建立完善的數據庫審計機制，并結合應用系統需求，實現數據庫監控的透明度，降低人工審計成本，真正實現數據庫運行可視化、日常操作可監控、危險操作可控制、所有行為可審計、安全事件可追溯，作為安全事件追蹤分析和責任追究的數據庫安全審計的運用是必要的[3]。通過對數據庫操作的痕跡進行詳細記錄和審計，使數據的所有者對數據庫訪問活動有據可查，及時掌握數據庫的使用情況，并對存在的安全隱患進行調整和改進。采用醫院數據庫安全審計系統是實現檢測功能的最有效方法。數據庫安全審計系統通過對特定行為進行邏輯描述，找出可疑行為的發起人員（WHO）；通過對所有操作和訪問行為進行逐一的客觀記錄和追溯，找出可疑人員使用的主機等物理訪問位置（WHERE）；通過對行為所用的使用訪問數據協議的分析，找出可疑人員使用的工具（WAY），找出可疑行為的時間（WHEN）；通過對非正常訪問的邏輯特征，系統進行阻斷和告警（WORK）；通過對可疑行為相關特征的深度分析，找出可疑人員的行為目的（WHAT）。從這 6大類（6W）入手，對敏感數據進行實時監控，對各類行為（FTP、TELNET、HTTP）進行有效審計和追溯，對違規操作進行控制。

3.通知功能

當信息系統出現安全問題時，及時通知是非常重要的環節，在系統安全中占有最重要的地位。要解決好通知問題，就要制訂好通知的方案，在發現了信息系統不安全因素后，系統需要及時地進行反應，其過程如下：

報告：無論系統的自動化程度多高，都需要管理員知道是否有安全事件發生。

記錄：必須將所有的情況記錄下來，包括安全事件的各個細節以及系統的反映。

反應：進行相應的處理以阻止安全隱患的進一步蔓延。

安全審計中最重要的是當安全事件發生時，能夠及時將危及到安全的行為通知到相關責任人員，及時的清除安全隱患，恢復系統正常運行。隨著信息技術的發展，醫療信息覆蓋面更廣、種類更多，數據量更大，一旦發生數據被破泄密，就會給醫院造成不可估量的負面影響。

4.審計策略

審計策略是整套系統的核心，要準確地分析出危險行為，必須首先制定醫院的審計策略，哪些行為，哪些人，要檢測出來，完全由此來確定。

在審計策略制定上，先制定較為嚴格的審計策略，再根據檢測結果進行調整，將一些業務需要的操作行為劃歸到不報警，只做記錄的類別。不可放過較為隱蔽的，有規律可循的行為，這些行為的操作人，具有較大的危害性。

所有的策略制定一定不能違背一個原則，業務需要第一，絕對不能為了安全而犧牲正常的業務，那豈不變成了因噎廢食。

4 醫院安全系統設計方案

我們所研制的安全審計方案，如圖1所示：

圖1 醫院信息系統的安全審計方案設計

該系統已經過實踐的證實，是符合醫院當前現狀并且穩定的系統。因此，安全審計系統不能影響、破壞原有的系統，應使用最優化的設計，以最小的投入獲得最大的效果。

為了不影響原有的信息系統結構，采用新增的硬件設備，在硬件設備上安裝部署安全審計系統。系統從醫院信息化系統核心的交換機的鏡像端口中獲取網絡中的數據，與數據安全不相關的信息首先將被過濾，保證系統能夠及時處理關鍵的信息。

進入到審計系統的數據，逐一與系統中的規則進行匹配，如匹配到規則，則根據規則定義的動作進行響應。

由于醫院由眾多的PC終端接入，要在審計結果中精確到某人，那就要求系統從網絡中獲取的信息足夠詳細，詳細到電腦的用戶名，訪問數據的用戶名，電腦的IP地址，物理地址，使用什么工具進行訪問等等。

一旦有能夠確認的危險行為發現，并且被系統自動或者人工手動確認為危險事件，通過偽造數據包的形式，中斷其連接，并以超級管理員的身份，停用其訪問數據的用戶名，以保證他無法再次嘗試連接。實現阻斷危險操作的功能。

5 總結

所研制的數據安全審計系統，能監控通過網絡對數據庫的所有訪問數據，對所有的核心數據往來，根據規則逐一進行掃描，找出可疑的行為，視其嚴重程度，判斷是否需要阻斷，對重點事件進行通知提醒，對所有符合規則事件進行記錄，為今后的數據安全提供決策性的依據。安全審計系統盡其所能的完成制度無法完成的功能，以填補制度無法約束的空白。

[1]鄒祖軍,周偉.信息系統安全審計機制的實現[J].信息技術,2012,(11): 145-147,154.

[2]徐景日.醫院信息系統數據庫安全審計方案的探討[J].中國數學醫學,2011,6(1): 110-112

[3]潘曉雷,詹振坤,蔡海山.數據安全防御系統在醫院信息安全中的應用[J].中國數字醫學,2010,(9): 86-88