解放軍總醫(yī)院 計(jì)算機(jī)室，北京 100853

數(shù)據(jù)庫安全審計(jì)系統(tǒng)在醫(yī)院的部署與應(yīng)用

劉丹丹，劉同波

解放軍總醫(yī)院 計(jì)算機(jī)室，北京 100853

隨著醫(yī)療信息系統(tǒng)（HIS）體系不斷龐大、結(jié)構(gòu)日趨復(fù)雜，醫(yī)療數(shù)據(jù)的管理難度也隨之加大，如何保證醫(yī)療數(shù)據(jù)的安全成了信息管理人員面臨的重要問題。數(shù)據(jù)庫安全審計(jì)系統(tǒng)對于數(shù)據(jù)庫用戶行為的監(jiān)控、安全隱患的檢測以及事后追查和分析能夠起到重要的作用，可以加強(qiáng)HIS數(shù)據(jù)的安全，同時又可以為HIS的運(yùn)行和優(yōu)化提供參考信息，全方位保障HIS安全可靠地運(yùn)行。本文對醫(yī)院應(yīng)用數(shù)據(jù)庫安全審計(jì)系統(tǒng)進(jìn)行探討，并介紹數(shù)據(jù)庫安全審計(jì)系統(tǒng)在我院的部署及應(yīng)用實(shí)際情況。

醫(yī)院信息系統(tǒng)；數(shù)據(jù)庫審計(jì)系統(tǒng)；醫(yī)療數(shù)據(jù)安全

0 前言

近年來，隨著醫(yī)院數(shù)字化建設(shè)進(jìn)程的逐步加快，醫(yī)院由原來單一的醫(yī)院信息系統(tǒng)（HIS），發(fā)展為以HIS為核心，RIS、LIS、電子病歷、麻醉系統(tǒng)、重癥監(jiān)護(hù)、影像系統(tǒng)、合理用藥系統(tǒng)、體檢系統(tǒng)等組成的綜合性信息系統(tǒng)。HIS體系不斷龐大、結(jié)構(gòu)日趨復(fù)雜，導(dǎo)致對醫(yī)療數(shù)據(jù)的管理難度劇增[1-2]。

HIS的數(shù)據(jù)庫中存放著大量的患者個人隱私、醫(yī)療流程、物資財(cái)務(wù)等重要的敏感數(shù)據(jù)，醫(yī)院的數(shù)據(jù)被泄露、竊取、篡改的案例時有發(fā)生，導(dǎo)致了很多嚴(yán)重后果。醫(yī)療數(shù)據(jù)的安全管理逐漸受到各級醫(yī)院的高度重視。

在HIS的日常運(yùn)行過程中引入數(shù)據(jù)安全審計(jì)機(jī)制，通過對數(shù)據(jù)庫操作的痕跡進(jìn)行詳細(xì)記錄和審計(jì)，使數(shù)據(jù)庫用戶對數(shù)據(jù)庫訪問活動有據(jù)可查，及時掌握數(shù)據(jù)庫的使用情況，并針對存在的安全隱患進(jìn)行調(diào)整和優(yōu)化，防范數(shù)據(jù)從內(nèi)部被泄露、竊取、篡改。對安全事件進(jìn)行追溯和定位、明確事故責(zé)任人，是醫(yī)療數(shù)據(jù)安全管理的有效手段[3-4]。

1 需求分析

我院是一所超大型現(xiàn)代化綜合性醫(yī)院，醫(yī)院的信息化建設(shè)起步較早，經(jīng)過近20年的發(fā)展，HIS規(guī)模大、復(fù)雜性高。目前使用的各類業(yè)務(wù)系統(tǒng)約200多個，各類業(yè)務(wù)終端4000余臺，作為各類業(yè)務(wù)系統(tǒng)支撐的數(shù)據(jù)庫每天需要承受來自眾多在線數(shù)據(jù)庫用戶巨大的訪問量，產(chǎn)生大量在線業(yè)務(wù)數(shù)據(jù)。另外，基于“軍衛(wèi)一號”的大部分業(yè)務(wù)系統(tǒng)是基于C/S結(jié)構(gòu)的，并且在權(quán)限分配時，需要為每個使用者建立相應(yīng)的數(shù)據(jù)庫用戶，賦予業(yè)務(wù)系統(tǒng)用戶的訪問權(quán)限也比較寬松。

基于這樣的狀況，我院面臨幾個方面的數(shù)據(jù)風(fēng)險：① 業(yè)務(wù)系統(tǒng)的使用人員誤操作、違規(guī)操作和越權(quán)操作，損害業(yè)務(wù)系統(tǒng)安全運(yùn)行；② 醫(yī)院很多業(yè)務(wù)系統(tǒng)由醫(yī)院從第三方引進(jìn)，這些維護(hù)人員可能會誤操作，惡意操作和篡改；③ 很多醫(yī)護(hù)人員公用一個帳號，在發(fā)生問題之后，責(zé)任難以分清和追溯；④ 超級管理員用戶操作難以監(jiān)管和審計(jì)；⑤ 內(nèi)部人員出于某些目的故意泄露或竊取出賣敏感信息。為了控制風(fēng)險、防范問題，引入數(shù)據(jù)庫安全審計(jì)是十分必要的。

當(dāng)前數(shù)據(jù)庫安全審計(jì)主要有4種方案：基于數(shù)據(jù)庫系統(tǒng)自身審計(jì)功能、基于數(shù)據(jù)庫日志文件、基于觸發(fā)器和基于旁路監(jiān)聽方式。

大型數(shù)據(jù)庫系統(tǒng)一般都自帶審計(jì)功能，支持對數(shù)據(jù)庫操作權(quán)限、對象、語句、網(wǎng)絡(luò)等進(jìn)行監(jiān)視和審計(jì)，如Oracle數(shù)據(jù)庫[5-7]甚至可以對select、insert、update、delete 4種語句進(jìn)行細(xì)粒度審計(jì)，但是開啟細(xì)粒度審計(jì)功能，會消耗大量的數(shù)據(jù)庫服務(wù)器資源，而過粗的審計(jì)粒度又無法滿足要求。因此，大多數(shù)生產(chǎn)數(shù)據(jù)庫為了保證性能，都會選擇關(guān)閉數(shù)據(jù)庫的審計(jì)功能。

數(shù)據(jù)庫的日志文件[8]可以記錄數(shù)據(jù)庫更改的時間、類型、SCN號和用戶信息等。可以通過日志文件的格式化工具生成DML和DDL來進(jìn)行審計(jì)。但缺點(diǎn)是不能對Select操作審計(jì)，也不能實(shí)時獲得異常的審計(jì)數(shù)據(jù)。

基于觸發(fā)器的方案是指為DML、DDL、登入登出、數(shù)據(jù)庫異常等事件編寫觸發(fā)器，當(dāng)事件發(fā)生時，使用SQL記錄下相應(yīng)的賬戶信息、操作時間、操作語句、新舊值等審計(jì)信息，再設(shè)計(jì)程序來對記錄下來的審計(jì)信息進(jìn)行分析和審計(jì)?；谟|發(fā)器的方案，也需要開銷一定的數(shù)據(jù)庫服務(wù)器資源，且無法對Select操作進(jìn)行審計(jì)，而且無法記錄操作者的IP地址。

基于旁路監(jiān)聽的方案是指通過旁路監(jiān)聽的方式，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時采集過濾，對各種上層的數(shù)據(jù)庫應(yīng)用協(xié)議數(shù)據(jù)進(jìn)行分析和還原，然后再進(jìn)行SQL語法解析，最后對審計(jì)記錄進(jìn)行存儲、對違規(guī)的審計(jì)記錄進(jìn)行實(shí)時報(bào)警，同時生成審計(jì)報(bào)表和統(tǒng)計(jì)報(bào)表信息。這種方式可以審計(jì)對數(shù)據(jù)庫的各種操作，包括select語句，可以把不同類型的數(shù)據(jù)庫的審計(jì)集中在同一管理平臺，簡化管理和操作。無論是兩層結(jié)構(gòu)還是三層結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)，該種審計(jì)方式都能夠?qū)徲?jì)用戶的用戶名和IP地址。但是也存在兩個重要缺點(diǎn)：當(dāng)審計(jì)設(shè)備故障或網(wǎng)絡(luò)斷開時，無法采集審計(jì)記錄；在數(shù)據(jù)庫服務(wù)器上對數(shù)據(jù)庫進(jìn)行操作時，其操作沒有通過網(wǎng)絡(luò)傳輸，審計(jì)設(shè)備無法獲取審計(jì)信息。

經(jīng)過以上的比較與分析，結(jié)合我院的實(shí)際情況，采用網(wǎng)絡(luò)旁路監(jiān)聽方式的數(shù)據(jù)庫安全審計(jì)系統(tǒng)是最為合理的選擇。

2 系統(tǒng)部署與應(yīng)用

2.1 系統(tǒng)部署

我院使用的數(shù)據(jù)庫安全審計(jì)系統(tǒng)，支持多種部署方式，能夠適應(yīng)不同規(guī)模的應(yīng)用需求，并且可以根據(jù)實(shí)際的應(yīng)用情況進(jìn)行個性化定制。我院在系統(tǒng)正式上線前，首先搭建一個單機(jī)版系統(tǒng)，進(jìn)行一段時間的試運(yùn)行，不僅可以檢驗(yàn)系統(tǒng)的功能和性能，也可以為正式上線的系統(tǒng)配置方案制定提供參考依據(jù)。

由于我院的信息系統(tǒng)規(guī)模龐大、對數(shù)據(jù)庫的訪問情況復(fù)雜、對數(shù)據(jù)庫的操作非常頻繁，因此，在試運(yùn)行的過程中發(fā)現(xiàn)：如果進(jìn)行全庫審計(jì)，單機(jī)版的數(shù)據(jù)庫審計(jì)系統(tǒng)在運(yùn)行過程中基本處于超負(fù)荷運(yùn)轉(zhuǎn)。因?yàn)樵谶M(jìn)行數(shù)據(jù)審計(jì)的同時，還要執(zhí)行抓取數(shù)據(jù)包、解析數(shù)據(jù)包、建立數(shù)據(jù)索引等任務(wù)。尤其是在上午9：00點(diǎn)的業(yè)務(wù)高峰期，指定數(shù)據(jù)庫表名、操作類型等條件，審計(jì)某日可疑數(shù)據(jù)庫操作時，最長耗時達(dá)70 s以上，效率低下，不能滿足審計(jì)分析和查詢的實(shí)時性要求。

在試運(yùn)行中還發(fā)現(xiàn)，在進(jìn)行全庫審計(jì)的情況下，審計(jì)系統(tǒng)數(shù)據(jù)庫中存儲審計(jì)信息每日約增長60GB的數(shù)據(jù)量，以單機(jī)版配備6TB存儲為例，去除審計(jì)系統(tǒng)本身運(yùn)行需要的2TB和硬盤保護(hù)預(yù)留的0.5～1TB，剩余的容量只能存儲約60天的審計(jì)數(shù)據(jù)。系統(tǒng)試運(yùn)行期間利用審計(jì)信息進(jìn)行追溯查詢的需求統(tǒng)計(jì)情況（以接到查詢申請日期為基準(zhǔn)），見表1?？梢钥闯鲇邢喈?dāng)一部分需求是追溯60天前到180天前之間的情況，因此，審計(jì)系統(tǒng)應(yīng)保留6個月到1年的審計(jì)數(shù)據(jù)為宜。

表1 試運(yùn)行期間數(shù)據(jù)追溯查詢需求統(tǒng)計(jì)

根據(jù)實(shí)際需要和對試用情況的分析，最終的部署方案，見圖1，系統(tǒng)包含了審計(jì)系統(tǒng)控制臺端2臺審計(jì)引擎。

圖1 審計(jì)系統(tǒng)部署圖

審計(jì)引擎A按策略抓取數(shù)據(jù)包，只負(fù)責(zé)實(shí)時審計(jì)對核心敏感數(shù)據(jù)的訪問，如字典表的增刪改、病人基本信息、藥品相關(guān)統(tǒng)計(jì)信息和病人的計(jì)價信息等，這部分?jǐn)?shù)據(jù)量很小卻覆蓋了日常90%以上的審計(jì)需要，在滿足應(yīng)用需求的同時又保證了審計(jì)的效率。

審計(jì)引擎B的主要功能為全數(shù)據(jù)庫的數(shù)據(jù)包抓取、解析，B機(jī)的硬盤中只保留1個月的數(shù)據(jù)，使用在線歸檔功能將1個月前的數(shù)據(jù)自動歸檔到一個10TB的外接存儲中，該外接存儲可保留醫(yī)院半年的醫(yī)療數(shù)據(jù)記錄。

審計(jì)管理員可通過統(tǒng)一Web界面對兩臺審計(jì)服務(wù)器進(jìn)行控制和訪問，必要時可按時間段調(diào)取出審計(jì)引擎B的外接存儲中的數(shù)據(jù)進(jìn)行審計(jì)。

2.2 系統(tǒng)應(yīng)用

根據(jù)醫(yī)療行業(yè)及其應(yīng)用系統(tǒng)的特點(diǎn)，結(jié)合我院的業(yè)務(wù)需要，通過應(yīng)用數(shù)據(jù)庫安全審計(jì)系統(tǒng)，對我院醫(yī)療數(shù)據(jù)進(jìn)行常規(guī)實(shí)時的細(xì)粒度審計(jì)，對人員使用業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)庫操作的行為進(jìn)行監(jiān)測分析，及時發(fā)現(xiàn)異常和可疑事件，避免了醫(yī)院內(nèi)部的數(shù)據(jù)安全威脅。

具體的應(yīng)用措施包括：

（1）監(jiān)控對敏感數(shù)據(jù)庫表的訪問和操作。對字典表、病人基本信息、藥品相關(guān)統(tǒng)計(jì)信息和計(jì)價信息等敏感數(shù)據(jù)的增刪改查操作進(jìn)行重點(diǎn)監(jiān)控。

（2）監(jiān)控合法權(quán)限的濫用。為每一個業(yè)務(wù)系統(tǒng)的角色建立越權(quán)報(bào)警規(guī)則。

（3）監(jiān)控人為的高危數(shù)據(jù)庫操作。對刪除數(shù)據(jù)庫表、無條件批量刪除等操作進(jìn)行監(jiān)控審計(jì)。

（4）監(jiān)控、追溯非法操作。發(fā)生了非法操作后，能夠追溯數(shù)據(jù)庫操作過程，重現(xiàn)歷史操作，為責(zé)任人的確定和軟件BUG的修改提供了依據(jù)。

3 結(jié)束語

醫(yī)院應(yīng)用數(shù)據(jù)庫安全審計(jì)系統(tǒng)可以保護(hù)醫(yī)療數(shù)據(jù)安全，數(shù)據(jù)庫安全審計(jì)有多種方案，基于旁路監(jiān)聽的方案具有顯著優(yōu)勢，醫(yī)院可以根據(jù)自身的需求來選擇合適的數(shù)據(jù)庫安全審計(jì)系統(tǒng)部署和應(yīng)用方案。

[1] 曹暉,王青青,馬義忠,等．一種新型的數(shù)據(jù)庫安全審計(jì)系統(tǒng)[J]．計(jì)算機(jī)工程與應(yīng)用,2007,43(5):163-165．

[2] 梁昌明．Oracle數(shù)據(jù)庫審計(jì)方法的探討[J]．中國醫(yī)療設(shè)備,2008, 23(4):55-57．

[3] 聶元銘,吳曉明．基于數(shù)據(jù)庫安全審計(jì)的研究[J]．信息網(wǎng)絡(luò)安全,2009,(6):4-6．

[4] 周翔．?dāng)?shù)據(jù)庫技術(shù)在醫(yī)院設(shè)備管理中的應(yīng)用[J]．中國醫(yī)療設(shè)備, 2012,27(10):80-82．

[5] 仝世君．Oracle安全審計(jì)技術(shù)設(shè)計(jì)[J]．煤炭技術(shù),2011,(6):266-267．

[6] 姚旭．Oracle數(shù)庫安全管理的分析與策略[J]．職業(yè)技術(shù),2012, (5):133．

[7] 劉曉韜．Oracle數(shù)據(jù)庫的安全威脅與防護(hù)技術(shù)[J]．保密科學(xué)術(shù), 2011,(6):24-27．

[8] 李勛章．網(wǎng)絡(luò)日志監(jiān)控及安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]．西安:電子大學(xué),2012．

Application and Disposition of Database Security Audit System in Hospitals

LIU Dan-dan, LIU Tong-bo
Computer Room, General Hospital of PLA, Beijing 100853, China

As the scale of hospital information system (HIS) expands constantly and its structure is increasingly complicated, the difficulty of managing medical data increases simultaneously. How to ensure the security of medical data becomes an important issue that information administrators are facing. Database security audit system plays an important role in behavior monitoring for database users, security risk detecting, tracking and analyzing afterwards. Thus this system can strengthen data security while providing reference information for running and optimizing of the hospital information system so that HIS can work safely and reliably in full aspects. This paper explores HIS used in hospitals, and introduces its actual situation of the deployment and application in our hospital.

hospital information system; database audit system; medical data security

TP311.13 ；TP393.08

A

10.3969/j.issn.1674-1633.2013.05.014

1674-1633(2013)05-0042-03

2012-03-13

本文作者：劉丹丹，助理工程師。

劉同波，工程師。

作者郵箱：liuzhimin0724@163．com