M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)在衛(wèi)生信息系統(tǒng)的加密測(cè)試

陳平，帥仁俊，何揚(yáng)，蘇逸飛

1.南京市衛(wèi)生信息中心，江蘇 南京210003；2.南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京 211816

M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)在衛(wèi)生信息系統(tǒng)的加密測(cè)試

陳平1，帥仁俊2，何揚(yáng)2，蘇逸飛1

1.南京市衛(wèi)生信息中心，江蘇 南京210003；2.南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京 211816

本文詳細(xì)介紹了M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)數(shù)據(jù)庫(kù)加密設(shè)備的部署和測(cè)試過程。利用該設(shè)備對(duì)婦幼保健信息系統(tǒng)的業(yè)務(wù)應(yīng)用、數(shù)據(jù)安全和系統(tǒng)保護(hù)等方面的性能和安全性進(jìn)行了全面測(cè)試，測(cè)試結(jié)果證實(shí)，在系統(tǒng)數(shù)據(jù)庫(kù)訪問并發(fā)量較小、加密字段較少的情況下，加密后的事務(wù)性能下降＜10%，對(duì)用戶體驗(yàn)影響也較小；在系統(tǒng)數(shù)據(jù)庫(kù)訪問并發(fā)量增加、加密字段較多的情況下，加密后事務(wù)性能下降較為明顯，對(duì)系統(tǒng)性能和用戶體驗(yàn)有較大影響。為此，建議將該數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)應(yīng)用在數(shù)據(jù)并發(fā)量較小、只需加密少數(shù)字段就可以保障數(shù)據(jù)安全性的專業(yè)醫(yī)療信息系統(tǒng)，不建議在醫(yī)療電子病歷系統(tǒng)應(yīng)用該產(chǎn)品。

數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)；電子病歷系統(tǒng)；婦幼保健信息系統(tǒng)；系統(tǒng)性能

0 前言

隨著因特網(wǎng)的應(yīng)用和計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫(kù)逐漸成為信息系統(tǒng)的核心部分并廣泛應(yīng)用于企業(yè)、金融機(jī)構(gòu)、政府及國(guó)防等各個(gè)領(lǐng)域，使得數(shù)據(jù)庫(kù)的安全顯得越來越重要。保證數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的安全及第三方數(shù)據(jù)的訪問不被篡改，已經(jīng)成為當(dāng)前計(jì)算機(jī)領(lǐng)域面臨的一大挑戰(zhàn)[1]。從20世紀(jì)80年代開始，人們對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)加密技術(shù)進(jìn)行了不斷深入的研究，但其加密粒度基本上都是基于相應(yīng)數(shù)據(jù)模型中的邏輯結(jié)構(gòu)。而基于關(guān)系模型的存儲(chǔ)加密模式也有其重大的缺陷：一是數(shù)據(jù)模型中邏輯結(jié)構(gòu)實(shí)際存儲(chǔ)的數(shù)據(jù)長(zhǎng)度不固定，有時(shí)差別很大，從密匙安全角度考慮，分配的密匙數(shù)量和加密次數(shù)需要根據(jù)數(shù)據(jù)量而變化，造成密匙管理上的困難；二是由于分組加密具有較好的擴(kuò)散性，因此數(shù)據(jù)庫(kù)系統(tǒng)的存儲(chǔ)加密一般采用分組加密方式，而數(shù)據(jù)量的不固定造成加密后的密文與加密前的明文長(zhǎng)度上不成比例，因此造成存儲(chǔ)管理上的困難；三是對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的體系結(jié)構(gòu)考慮不夠，完全是在邏輯操作和數(shù)據(jù)存取之間增加了一層存儲(chǔ)加解密操作，造成對(duì)數(shù)據(jù)庫(kù)性能影響較大[2]。

南京市衛(wèi)生信息中心獲得了國(guó)家密碼管理局《國(guó)產(chǎn)商用密碼技術(shù)在電子病歷中的應(yīng)用示范》的研究課題。在南京市機(jī)要局的牽頭下，我中心與邁科龍公司經(jīng)過近1年的嚴(yán)謹(jǐn)細(xì)致的工作，部署M2-S5100 數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)數(shù)據(jù)庫(kù)加密設(shè)備，從業(yè)務(wù)應(yīng)用、數(shù)據(jù)安全和醫(yī)療信息系統(tǒng)等級(jí)保護(hù)等角度，對(duì)安全加密設(shè)備的性能和安全性進(jìn)行了全面、深入的測(cè)試[3]。

1 M2-S5100數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)的功能

M2-S5100 數(shù)據(jù)庫(kù)系統(tǒng)安全網(wǎng)關(guān)，是國(guó)內(nèi)首款基于數(shù)據(jù)庫(kù)透明加密技術(shù)和數(shù)據(jù)庫(kù)防火墻技術(shù)推出的一款數(shù)據(jù)庫(kù)主動(dòng)安全防御產(chǎn)品。它可實(shí)現(xiàn)數(shù)據(jù)透明加密存儲(chǔ)，實(shí)時(shí)監(jiān)控整個(gè)數(shù)據(jù)環(huán)境里的活動(dòng)，主動(dòng)識(shí)別并阻止攻擊、防止信息泄密、惡意活動(dòng)和欺詐，并自動(dòng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，對(duì)數(shù)據(jù)及數(shù)據(jù)庫(kù)安全提供立體化的數(shù)據(jù)保護(hù)[4]。 該安全網(wǎng)關(guān)可以防止繞過企業(yè)邊界（FireWall、IDSIPS 等）防護(hù)的外部數(shù)據(jù)攻擊，可以防止來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取，以及由于磁盤、磁帶失竊等引起的數(shù)據(jù)泄露。

2 M2-S5100數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)性能測(cè)試

本測(cè)試在南京市衛(wèi)生局進(jìn)行，測(cè)試M2-S5100數(shù)據(jù)庫(kù)系統(tǒng)安全網(wǎng)關(guān)的加解密性能。測(cè)試計(jì)劃主要通過對(duì)南京市婦幼保健信息系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行透明加解密性能測(cè)試。從測(cè)試的立項(xiàng)開始直至測(cè)試結(jié)束，對(duì)數(shù)據(jù)庫(kù)中涉及的管理內(nèi)容進(jìn)行模擬測(cè)試[5]。

2.1 測(cè)試對(duì)象

本次測(cè)試將采用《南京婦幼保健信息系統(tǒng)》和實(shí)際數(shù)據(jù)進(jìn)行性能測(cè)試，以驗(yàn)證對(duì)重要數(shù)據(jù)加密后的性能來評(píng)估加密對(duì)應(yīng)用系統(tǒng)性能的影響；同時(shí)為測(cè)試加密設(shè)備的極限性能，排除應(yīng)用服務(wù)器和應(yīng)用系統(tǒng)本身對(duì)測(cè)試數(shù)據(jù)的影響。本次測(cè)試將采用業(yè)務(wù)系統(tǒng)中登記建卡模塊中的維護(hù)查詢模塊中SQL語句返回的大量數(shù)據(jù)來測(cè)試設(shè)備的解密性能。主要測(cè)試內(nèi)容：① 南京市婦幼保健信息應(yīng)用系統(tǒng)場(chǎng)景測(cè)試；② 精確查詢性能測(cè)試；③ 批量數(shù)據(jù)查詢性能測(cè)試；④ 婚孕前保健模塊批量數(shù)據(jù)查詢性能測(cè)試；⑤ 2500萬批量數(shù)據(jù)查詢性能測(cè)試；⑥ 5000萬批量數(shù)據(jù)查詢性能測(cè)試；⑦ 報(bào)表統(tǒng)計(jì)加密前后性能測(cè)試；⑧ 數(shù)據(jù)更新和插入測(cè)試[6]。

2.2 測(cè)試環(huán)境配置

本次測(cè)試環(huán)境配置，見表1。

表1 本次測(cè)試環(huán)境配置

2.3 測(cè)試準(zhǔn)備

測(cè)試人員：用戶方2人，設(shè)備廠家2人；測(cè)試第三方：東軟公司。

測(cè)試針對(duì)專業(yè)的醫(yī)療衛(wèi)生信息系統(tǒng)（南京婦幼保健信息系統(tǒng)）的真實(shí)數(shù)據(jù)進(jìn)行，在對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)的個(gè)人敏感隱私信息（包括涉及患者隱私信息的姓名、身份證號(hào)、聯(lián)系電話、住址、病史等敏感數(shù)據(jù)）加密的前提下，測(cè)試數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)加密設(shè)備是否滿足存儲(chǔ)加密的功能性要求，是否滿足醫(yī)療衛(wèi)生專業(yè)系統(tǒng)對(duì)系統(tǒng)響應(yīng)性能的要求。性能測(cè)試采用工業(yè)標(biāo)準(zhǔn)的LoadRuner測(cè)試工具，通過組合不同加密字段、不同循環(huán)次數(shù)和業(yè)務(wù)系統(tǒng)不同模塊，對(duì)加密設(shè)備性能進(jìn)行全方位、多維度的測(cè)試[7]。

3 測(cè)試結(jié)果

（1）采用《南京婦幼保健信息系統(tǒng)》孕產(chǎn)期保健模塊—登記建卡—維護(hù)模塊，測(cè)試方式為并發(fā)50個(gè)用戶，根據(jù)保健編號(hào)，查詢用戶一條記錄信息，總共產(chǎn)生200個(gè)事務(wù)數(shù)，加密前事務(wù)平均響應(yīng)時(shí)間為0.187 s，加密后5個(gè)字段事務(wù)平均響應(yīng)時(shí)間為0.203 s，加密后10個(gè)字段事務(wù)平均響應(yīng)時(shí)間為0.205 s，加密后20個(gè)字段事務(wù)平均響應(yīng)時(shí)間為0.207 s，加密后50個(gè)字段事務(wù)平均響應(yīng)時(shí)間為0.251 s，性能平均下降不超過9.563%，整體延時(shí)控制在毫秒級(jí)內(nèi)，對(duì)用戶體驗(yàn)的影響基本上可以忽略。具體測(cè)試匯總表和LoadRunner自動(dòng)化測(cè)試工具產(chǎn)生的原始數(shù)據(jù)，見表1及圖1。

表1 孕產(chǎn)期保健模塊精確查詢加密前后性能對(duì)比表

圖1 孕產(chǎn)期保健模塊精確查詢加密前后性能對(duì)比圖表 （單位：s）

（2）采用《南京婦幼保健信息系統(tǒng)》孕產(chǎn)期保健模塊—登記建卡—維護(hù)模塊，測(cè)試方式為并發(fā)10個(gè)用戶，每個(gè)查詢返回1000條記錄，總共產(chǎn)生100個(gè)事務(wù)數(shù)，總共返回100萬條記錄，加密前事務(wù)平均響應(yīng)時(shí)間為2.502 s。加密后5個(gè)字段事務(wù)平均響應(yīng)時(shí)間為2.644 s，加密后10個(gè)字段事務(wù)平均響應(yīng)時(shí)間為2.684 s，加密后20個(gè)字段事務(wù)平均響應(yīng)時(shí)間為2.808 s，加密后50個(gè)字段事務(wù)平均響應(yīng)時(shí)間為2.84 s，性能平均下降不超過12.95%，整體延時(shí)控制在毫秒級(jí)內(nèi)，對(duì)用戶體驗(yàn)的影響基本上可以忽略。具體測(cè)試匯總表和LoadRunner自動(dòng)化測(cè)試工具產(chǎn)生的原始數(shù)據(jù)，見表2及圖2。

表2 孕產(chǎn)期保健模塊批量查詢加密前后性能對(duì)比表

（3）測(cè)試方式采用100個(gè)用戶，并發(fā)執(zhí)行業(yè)務(wù)系統(tǒng)中登記建卡模塊中的維護(hù)查詢模塊中的SQL語句，該查詢語句單用戶單次查詢將返回5000條記錄，加密前事務(wù)平均響應(yīng)時(shí)間為9.904 s，加密后5個(gè)字段事務(wù)平均響應(yīng)時(shí)間為10.535 s，加密后10個(gè)字段事務(wù)平均響應(yīng)時(shí)間為10.621 s，加密后20個(gè)字段事務(wù)平均響應(yīng)時(shí)間為10.955 s，加密后50個(gè)字段事務(wù)平均響應(yīng)時(shí)間為11.108 s，性能平均下降不超過8.3%，整體延時(shí)控制在毫秒級(jí)內(nèi)，對(duì)用戶體驗(yàn)的影響基本上可以忽略。具體測(cè)試匯總表和LoadRunner自動(dòng)化測(cè)試工具產(chǎn)生的原始數(shù)據(jù)，見表3及圖3。

圖2 孕產(chǎn)期保健模塊批量查詢加密前后性能對(duì)比圖表（單位：s）

表3 并發(fā)100用戶返回5000萬條數(shù)據(jù)查詢性能對(duì)比

圖3 并發(fā)100用戶返回5000萬條數(shù)據(jù)查詢性能對(duì)比

由測(cè)試數(shù)據(jù)分析可知，在設(shè)備本身處理性能內(nèi)，性能并不會(huì)隨著并發(fā)用戶的增加和返回的數(shù)據(jù)量增多導(dǎo)致性能加劇下降，能夠?qū)⒀訒r(shí)控制在一個(gè)合理的范圍。

4 測(cè)試結(jié)果分析

在性能測(cè)試中，當(dāng)加密字段較少、數(shù)據(jù)庫(kù)訪問并發(fā)量較小的情況下，加密后的事務(wù)性能下降＜10%，對(duì)用戶體驗(yàn)影響較小；在加密字段較多、數(shù)據(jù)庫(kù)訪問并發(fā)量增加的情況下，加密后事務(wù)性能下降較為明顯，對(duì)系統(tǒng)性能和用戶體驗(yàn)有較大影響。

5 測(cè)試結(jié)論

經(jīng)測(cè)試，M2-S5100產(chǎn)品在功能上能夠滿足數(shù)據(jù)庫(kù)安全防護(hù)需求，加解密性能在測(cè)試環(huán)境中基本滿足所需性能，用戶體驗(yàn)與加密前基本一致，但絕對(duì)性能值有所下降。

6 醫(yī)療行業(yè)應(yīng)用分析

電子病歷系統(tǒng)具有訪問并發(fā)量高、性能穩(wěn)定性要求高、數(shù)據(jù)統(tǒng)計(jì)分析性能要求高等特點(diǎn)，對(duì)數(shù)據(jù)安全的考慮覆蓋用戶、醫(yī)療流程、藥品等多個(gè)環(huán)節(jié)，通過少量加密字段難以實(shí)現(xiàn)醫(yī)療信息系統(tǒng)對(duì)數(shù)據(jù)安全的要求。大醫(yī)院高峰期有上千名醫(yī)生同時(shí)使用電子病歷系統(tǒng)，數(shù)據(jù)安全需要包括用戶隱私、醫(yī)療流程、醫(yī)囑處方、藥品防統(tǒng)方等多個(gè)方面，因此M2-S5100 數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)在電子病歷系統(tǒng)中應(yīng)用需要對(duì)多個(gè)字段進(jìn)行加密，需要面臨加密字段的高并發(fā)量訪問。現(xiàn)有的性能測(cè)試結(jié)果表明，在加密字段數(shù)較多、數(shù)據(jù)庫(kù)訪問并發(fā)量較高的情況下，M2-S5100 數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)會(huì)導(dǎo)致電子病歷系統(tǒng)在性能上出現(xiàn)較大下降。而且隨著區(qū)域醫(yī)療的推進(jìn)，多家醫(yī)療機(jī)構(gòu)進(jìn)行數(shù)據(jù)聯(lián)動(dòng)和大數(shù)據(jù)分析，對(duì)系統(tǒng)性能的要求只會(huì)越來越高[8]。

根據(jù)測(cè)試情況，建議將數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)數(shù)據(jù)庫(kù)加密設(shè)備應(yīng)用在數(shù)據(jù)并發(fā)量較小，只需加密少數(shù)字段就可以保障數(shù)據(jù)安全性的專業(yè)醫(yī)療信息系統(tǒng)，不建議在醫(yī)療電子病歷系統(tǒng)應(yīng)用該產(chǎn)品。

[1] 王建.數(shù)據(jù)庫(kù)加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].濟(jì)南:山東大學(xué),2014.

[2] 宋衍,孔志印,馬婧,等.通用高效的數(shù)據(jù)庫(kù)存儲(chǔ)加密研究[A].中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì),2011.

[3] 劉丹丹,劉同波.數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)在醫(yī)院的部署與應(yīng)用[J].中國(guó)醫(yī)療設(shè)備,2013,28(5):42-44.

[4] 孟艷紅,王育欣,倪天予,等.數(shù)據(jù)加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].沈陽工業(yè)大學(xué)學(xué)報(bào),2007,29(3):340-343.

[5] 朱振立.數(shù)據(jù)庫(kù)加密技術(shù)方法的比較研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,(22):189-189,191.

[6] 馬錫坤,于京杰,楊霜英,等.電子病歷系統(tǒng)的集成和建設(shè)[J].中國(guó)醫(yī)療設(shè)備,2012,27(1):59-60,38.

[7] 李國(guó)賡,王亞紅.醫(yī)療機(jī)構(gòu)病歷管理規(guī)定(2013年版)立法技術(shù)缺陷初探[J].中國(guó)醫(yī)院管理,2014,34(12):67-68.

[8] 王琳.電子病例的安全管理策略分析[J].當(dāng)代醫(yī)學(xué),2013,19(7): 17-18.

Encryption Test of the M2-S5100 Database Security Gateway in Health Information System

CHEN Ping1, SHUAI Ren-Jun2, HE Yang2, SU Yi-fei1
1.Nanjing Health Information Center, Nanjing Jiangsu 210003, China; 2.College of Computer Science and Technology, Nanjing Technology University, Nanjing Jiangsu 211816, China

This paper provided detailed introduction of the development and testing process of the encryption equipment of the M2-S5100 database security gateway. By using the equipment, a comprehensive safety test was carried out in the fields of business applications, data security，classified protection, system protection, and performance test of the maternal and pediatric information system. The testing result proved the following: when the encryption field and he amount of database access decreased, the encrypted transaction performance decreased by less than 10%; the impact on the user was minimal. When encryption field and the amount of database access increased, the performance of the transaction decreased obviously, and the system performance and user experience were greatly affected. Therefore, we suggest that the database security gateway database and the encryption equipment should be used in the professional medical information system in which there is only a small amount of data concurrency and only a small number of fields need to be encrypted to ensure data security. We also suggest that the gateway should not be used in electronic medical record system.

TP319

A

10.3969/j.issn.1674-1633.2016.02.027

1674-1633(2016)02-0103-03

2015-08-13

2015-12-23

帥仁俊，教授，研究生導(dǎo)師。

通訊作者郵箱；srjwhy@sina.com

Abstract:: database security gateway; electronic medical record system; maternal and pediatric health information system; system performance