高金妹

0 引言

離群點檢測（又稱為異常檢測）是找出其行為很不同于預(yù)隨著醫(yī)療信息系統(tǒng)應(yīng)用的不斷推進，醫(yī)院已建立起以數(shù)據(jù)為中心的醫(yī)院信息網(wǎng)絡(luò)化管理決策機制，并將掛號、收費、住院、醫(yī)技等各部門通過網(wǎng)絡(luò)系統(tǒng)連接在一起，醫(yī)院信息系統(tǒng)（包括醫(yī)院信息管理系統(tǒng)（HIS）、臨床信息系統(tǒng)（CIS）、醫(yī)院影像信息系統(tǒng)（PACS）、檢驗信息系統(tǒng)（LIS）等）通過網(wǎng)絡(luò)覆蓋醫(yī)院的每個部門，涵蓋病人來醫(yī)院就診的各個環(huán)節(jié)。醫(yī)院的信息化運作，不僅為醫(yī)院的管理、決策、辦公效率等帶來巨大的推動作用，而且也使患者就診能體驗到就診的方便。但是與此同時，信息系統(tǒng)的數(shù)據(jù)安全則成為醫(yī)院當(dāng)前面臨的一大考驗。

如今，醫(yī)院的正常運作已經(jīng)離不開醫(yī)院信息系統(tǒng)，一旦網(wǎng)絡(luò)癱瘓或信息系統(tǒng)的數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來難以彌補的損失。為了保證醫(yī)院業(yè)務(wù)高效穩(wěn)定運行，制定一系列行之有效的信息系統(tǒng)安全方案是十分必要的，也是勢在必行的。為此需要對信息安全理論進行深入研究，并運用在醫(yī)院信息系統(tǒng)中，以提高醫(yī)院信息系統(tǒng)的安全、穩(wěn)定的運行能力。

1 常見醫(yī)院信息系統(tǒng)的構(gòu)架

常見醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)模式有以下幾種形式：

1.單一交換機+單一的數(shù)據(jù)庫服務(wù)器

2.單核心交換機+多數(shù)據(jù)庫服務(wù)器

3.多交換機+多數(shù)據(jù)庫服務(wù)器

單從數(shù)據(jù)庫數(shù)據(jù)的可用性來看，單一的數(shù)據(jù)庫模式下，數(shù)據(jù)庫服務(wù)器的故障，應(yīng)用程序的漏洞，導(dǎo)致數(shù)據(jù)庫崩潰等，都是該模式下信息系統(tǒng)無法回避的隱患。

避免單點故障導(dǎo)致服務(wù)中斷的多交換機+多數(shù)據(jù)庫模式，盡管可用性以及性能上都能獲得很好的提升，但是額外成本費用的開銷卻不一定是每個醫(yī)院都愿意付出的。

何種模式能夠滿足當(dāng)前的業(yè)務(wù)需要，便成為了醫(yī)院的最終選擇。

2 面臨的考驗

除了架構(gòu)上的安全隱患，本文將從數(shù)據(jù)訪問安全的角度來分析當(dāng)前醫(yī)院面臨的考驗。首先醫(yī)院的信息系統(tǒng)的開發(fā)一般有醫(yī)院以外的廠商提供，后期的實施、調(diào)試也是由廠商完成。其次，系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、硬件設(shè)備的維護都會有第三方企業(yè)參與。僅這兩點就使得數(shù)據(jù)被非授權(quán)的訪問變得非常的容易。再次，醫(yī)院內(nèi)部人員通過業(yè)務(wù)系統(tǒng)的功能、外掛工具或者超級管理員權(quán)限等方式也可以輕易的獲取到想要的數(shù)據(jù)。

那醫(yī)院該如何來防堵這些隱患呢？

在展開談?wù)撝埃€需要再明確一下數(shù)據(jù)安全的含義，安全的概念是相對的，任何一個系統(tǒng)都具有潛在的危險，沒有絕對的安全，安全程度隨著時間的變化而改變。在一個特定的時期內(nèi)，在一定的安全策略下，系統(tǒng)是安全的。但是隨著時間的演化和環(huán)境的變遷（如攻擊技術(shù)的進步、新漏洞的暴露），系統(tǒng)可能會變的不安全。因此需要能應(yīng)對環(huán)境變化，并能即時做出相應(yīng)的調(diào)整以確保安全防護。當(dāng)前，沒有一種技術(shù)可完全消除網(wǎng)絡(luò)中的安全漏洞。

以往醫(yī)院大都依靠行政制度的手段，來保障數(shù)據(jù)訪問的安全。但根據(jù)長期的經(jīng)驗來看，效果不是很理想。制度是用于規(guī)范哪些人在什么地方能夠做哪些事。如果有人無視制度的存在，那就必須借助科技的手段，判斷是誰，在什么地方，通過什么方式，做了什么違反制度的事，以此為目標(biāo)，醫(yī)院需要這樣的一套系統(tǒng)，能夠在不影響當(dāng)前醫(yī)院已經(jīng)穩(wěn)定使用的信息系統(tǒng)的前提下，實現(xiàn)這樣的功能。由此，醫(yī)院信息系統(tǒng)提供安全審計機制便必不可少。

信息系統(tǒng)安全審計，是指在信息系統(tǒng)中實現(xiàn)安全審計機制。信息系統(tǒng)安全審計的主要目的，一是檢測和威懾非法進入系統(tǒng)的行為。無論是合法用戶，還是非法用戶，一旦登錄系統(tǒng)，其登錄的時間和地址、對系統(tǒng)數(shù)據(jù)的訪問、注銷時間等信息，通過建立審計日志，實時記錄這些信息，留下非法用戶使用系統(tǒng)的證據(jù)。另一個目的，是識別出用戶對系統(tǒng)的誤用，以便事后追查、分析和數(shù)據(jù)恢復(fù)[1]。

因此，安全審計系統(tǒng)需要具備以下特點：

系統(tǒng)以一個旁路的方式存在，將網(wǎng)絡(luò)中對數(shù)據(jù)安全可能造成危害的行為分離出來，并且能夠準(zhǔn)確地記錄下來，這一危險行為發(fā)生的時間、地點、人物、事件內(nèi)容等?；谂月繁O(jiān)聽的數(shù)據(jù)庫審計的解決方案具有下面的一些特點：不需要對生產(chǎn)數(shù)據(jù)庫進行任何設(shè)置，也不需改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和配置；不影響生產(chǎn)數(shù)據(jù)庫的性能，不占用生產(chǎn)數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)帶寬，同時，在對審計數(shù)據(jù)進行壓縮備份時，不影響業(yè)務(wù)系統(tǒng)的正常運行[2]。

系統(tǒng)通過一定時間段的信息收集，能夠智能地區(qū)分出網(wǎng)絡(luò)中的正常業(yè)務(wù)操作和非授權(quán)的非法行為。

系統(tǒng)需有強大的數(shù)據(jù)處理能力，保證網(wǎng)絡(luò)中的數(shù)據(jù)都能夠被監(jiān)控到，不會因業(yè)務(wù)流量大時，系統(tǒng)不能及時處理而錯過對危險事件的審查。審計結(jié)果必須詳細(xì)、準(zhǔn)確，能夠隨著環(huán)境或者危險手段的變化，方便的在設(shè)置上做調(diào)整。

系統(tǒng)具有自我的審計能力，能夠?qū)ο到y(tǒng)沒有監(jiān)聽到的數(shù)據(jù)、系統(tǒng)故障和蓄意停止監(jiān)聽等情況產(chǎn)生報警，也能夠檢測業(yè)務(wù)系統(tǒng)是否正常運行，為故障診斷提供建議。

系統(tǒng)能夠事前預(yù)防危險事件的發(fā)生，進而阻止事件的進行，事后記錄事件產(chǎn)生的完整信息。

系統(tǒng)對危險事件能夠?qū)崟r報警，可以通過短信、郵件或者彈出窗口的方式通知到相關(guān)的負(fù)責(zé)人。

系統(tǒng)本身不具備泄密的能力。

系統(tǒng)需具備能夠適用目前常見的醫(yī)院網(wǎng)絡(luò)環(huán)境，不需要針對每一家醫(yī)院單獨進行開發(fā)定制，能提供簡捷易懂的信息，以便不同層次的醫(yī)院人員使用。

3 安全審計系統(tǒng)的關(guān)鍵

因為醫(yī)院信息系統(tǒng)是獨立的內(nèi)部網(wǎng)絡(luò)，不直接連接到互聯(lián)網(wǎng)，因此數(shù)據(jù)安全保障的重點是關(guān)注數(shù)據(jù)的訪問，根據(jù)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用和業(yè)務(wù)模式，將網(wǎng)絡(luò)數(shù)據(jù)存放在安全區(qū)域，對敏感數(shù)據(jù)的訪問實行嚴(yán)格的記錄，減少不必要的數(shù)據(jù)訪問。

1.主機攻擊的深度檢測

雖然防病毒系統(tǒng)能夠防止大部分的病毒感染與攻擊，但如果出現(xiàn)有害代碼偽裝成客戶正常業(yè)務(wù)進行傳播時，網(wǎng)絡(luò)的帶寬利用率就會居高不下，應(yīng)用系統(tǒng)的響應(yīng)速度會越來越慢，最后導(dǎo)致整個網(wǎng)絡(luò)癱瘓。因此，在網(wǎng)絡(luò)系統(tǒng)上部署具有深度檢測防御功能的入侵防御系統(tǒng)，IPS非常重要。深度檢測防御是為了檢測網(wǎng)絡(luò)系統(tǒng)中違反安全策略的行為，如入侵和濫用。深度檢測防御，識別出網(wǎng)絡(luò)系統(tǒng)中任何不希望有的活動，從而限制這些活動，以保護網(wǎng)絡(luò)系統(tǒng)的安全。深度檢測防御的應(yīng)用目的，是在入侵攻擊對網(wǎng)絡(luò)系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)的聯(lián)動，阻止入侵攻擊，減少入侵攻擊對網(wǎng)絡(luò)系統(tǒng)造成損失。

2.數(shù)據(jù)訪問的安全審計

防止未授權(quán)用戶對數(shù)據(jù)的訪問，系統(tǒng)還需在安全檢測方面，重點加強對主機攻擊的深度檢測功能和對數(shù)據(jù)訪問的安全審計功能。

由于數(shù)據(jù)是醫(yī)院信息系統(tǒng)中最核心、最重要的部分，因而需要具備對數(shù)據(jù)訪問的全面審計和檢測能力。醫(yī)院信息系統(tǒng)數(shù)據(jù)庫存儲著患者的疾病診斷、治療方案、檢查檢驗結(jié)果、處方、醫(yī)療費用等敏感信息，這些信息的非法訪問和修改將會造成重大的醫(yī)療糾紛及經(jīng)濟損失。建立完善的數(shù)據(jù)庫審計機制，并結(jié)合應(yīng)用系統(tǒng)需求，實現(xiàn)數(shù)據(jù)庫監(jiān)控的透明度，降低人工審計成本，真正實現(xiàn)數(shù)據(jù)庫運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯，作為安全事件追蹤分析和責(zé)任追究的數(shù)據(jù)庫安全審計的運用是必要的[3]。通過對數(shù)據(jù)庫操作的痕跡進行詳細(xì)記錄和審計，使數(shù)據(jù)的所有者對數(shù)據(jù)庫訪問活動有據(jù)可查，及時掌握數(shù)據(jù)庫的使用情況，并對存在的安全隱患進行調(diào)整和改進。采用醫(yī)院數(shù)據(jù)庫安全審計系統(tǒng)是實現(xiàn)檢測功能的最有效方法。數(shù)據(jù)庫安全審計系統(tǒng)通過對特定行為進行邏輯描述，找出可疑行為的發(fā)起人員（WHO）；通過對所有操作和訪問行為進行逐一的客觀記錄和追溯，找出可疑人員使用的主機等物理訪問位置（WHERE）；通過對行為所用的使用訪問數(shù)據(jù)協(xié)議的分析，找出可疑人員使用的工具（WAY），找出可疑行為的時間（WHEN）；通過對非正常訪問的邏輯特征，系統(tǒng)進行阻斷和告警（WORK）；通過對可疑行為相關(guān)特征的深度分析，找出可疑人員的行為目的（WHAT）。從這 6大類（6W）入手，對敏感數(shù)據(jù)進行實時監(jiān)控，對各類行為（FTP、TELNET、HTTP）進行有效審計和追溯，對違規(guī)操作進行控制。

3.通知功能

當(dāng)信息系統(tǒng)出現(xiàn)安全問題時，及時通知是非常重要的環(huán)節(jié)，在系統(tǒng)安全中占有最重要的地位。要解決好通知問題，就要制訂好通知的方案，在發(fā)現(xiàn)了信息系統(tǒng)不安全因素后，系統(tǒng)需要及時地進行反應(yīng)，其過程如下：

報告：無論系統(tǒng)的自動化程度多高，都需要管理員知道是否有安全事件發(fā)生。

記錄：必須將所有的情況記錄下來，包括安全事件的各個細(xì)節(jié)以及系統(tǒng)的反映。

反應(yīng)：進行相應(yīng)的處理以阻止安全隱患的進一步蔓延。

安全審計中最重要的是當(dāng)安全事件發(fā)生時，能夠及時將危及到安全的行為通知到相關(guān)責(zé)任人員，及時的清除安全隱患，恢復(fù)系統(tǒng)正常運行。隨著信息技術(shù)的發(fā)展，醫(yī)療信息覆蓋面更廣、種類更多，數(shù)據(jù)量更大，一旦發(fā)生數(shù)據(jù)被破泄密，就會給醫(yī)院造成不可估量的負(fù)面影響。

4.審計策略

審計策略是整套系統(tǒng)的核心，要準(zhǔn)確地分析出危險行為，必須首先制定醫(yī)院的審計策略，哪些行為，哪些人，要檢測出來，完全由此來確定。

在審計策略制定上，先制定較為嚴(yán)格的審計策略，再根據(jù)檢測結(jié)果進行調(diào)整，將一些業(yè)務(wù)需要的操作行為劃歸到不報警，只做記錄的類別。不可放過較為隱蔽的，有規(guī)律可循的行為，這些行為的操作人，具有較大的危害性。

所有的策略制定一定不能違背一個原則，業(yè)務(wù)需要第一，絕對不能為了安全而犧牲正常的業(yè)務(wù)，那豈不變成了因噎廢食。

4 醫(yī)院安全系統(tǒng)設(shè)計方案

我們所研制的安全審計方案，如圖1所示：

圖1 醫(yī)院信息系統(tǒng)的安全審計方案設(shè)計

該系統(tǒng)已經(jīng)過實踐的證實，是符合醫(yī)院當(dāng)前現(xiàn)狀并且穩(wěn)定的系統(tǒng)。因此，安全審計系統(tǒng)不能影響、破壞原有的系統(tǒng)，應(yīng)使用最優(yōu)化的設(shè)計，以最小的投入獲得最大的效果。

為了不影響原有的信息系統(tǒng)結(jié)構(gòu)，采用新增的硬件設(shè)備，在硬件設(shè)備上安裝部署安全審計系統(tǒng)。系統(tǒng)從醫(yī)院信息化系統(tǒng)核心的交換機的鏡像端口中獲取網(wǎng)絡(luò)中的數(shù)據(jù)，與數(shù)據(jù)安全不相關(guān)的信息首先將被過濾，保證系統(tǒng)能夠及時處理關(guān)鍵的信息。

進入到審計系統(tǒng)的數(shù)據(jù)，逐一與系統(tǒng)中的規(guī)則進行匹配，如匹配到規(guī)則，則根據(jù)規(guī)則定義的動作進行響應(yīng)。

由于醫(yī)院由眾多的PC終端接入，要在審計結(jié)果中精確到某人，那就要求系統(tǒng)從網(wǎng)絡(luò)中獲取的信息足夠詳細(xì)，詳細(xì)到電腦的用戶名，訪問數(shù)據(jù)的用戶名，電腦的IP地址，物理地址，使用什么工具進行訪問等等。

一旦有能夠確認(rèn)的危險行為發(fā)現(xiàn)，并且被系統(tǒng)自動或者人工手動確認(rèn)為危險事件，通過偽造數(shù)據(jù)包的形式，中斷其連接，并以超級管理員的身份，停用其訪問數(shù)據(jù)的用戶名，以保證他無法再次嘗試連接。實現(xiàn)阻斷危險操作的功能。

5 總結(jié)

所研制的數(shù)據(jù)安全審計系統(tǒng)，能監(jiān)控通過網(wǎng)絡(luò)對數(shù)據(jù)庫的所有訪問數(shù)據(jù)，對所有的核心數(shù)據(jù)往來，根據(jù)規(guī)則逐一進行掃描，找出可疑的行為，視其嚴(yán)重程度，判斷是否需要阻斷，對重點事件進行通知提醒，對所有符合規(guī)則事件進行記錄，為今后的數(shù)據(jù)安全提供決策性的依據(jù)。安全審計系統(tǒng)盡其所能的完成制度無法完成的功能，以填補制度無法約束的空白。

[1]鄒祖軍,周偉.信息系統(tǒng)安全審計機制的實現(xiàn)[J].信息技術(shù),2012,(11): 145-147,154.

[2]徐景日.醫(yī)院信息系統(tǒng)數(shù)據(jù)庫安全審計方案的探討[J].中國數(shù)學(xué)醫(yī)學(xué),2011,6(1): 110-112

[3]潘曉雷,詹振坤,蔡海山.數(shù)據(jù)安全防御系統(tǒng)在醫(yī)院信息安全中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué),2010,(9): 86-88