袁夢絢，王直（江蘇科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 鎮(zhèn)江　212003）

基于WPDRRC模型的醫(yī)院信息系統(tǒng)安全評(píng)估

袁夢絢，王直
（江蘇科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 鎮(zhèn)江212003）

目前，醫(yī)院信息系統(tǒng)已大規(guī)模普及，但由于安全方案無針對(duì)性、相關(guān)人資缺乏，威脅依然嚴(yán)重存在。本文基于改進(jìn)現(xiàn)有安全方案，保障系統(tǒng)平穩(wěn)運(yùn)行的目的，采用WPDRRC防護(hù)模型思想，提出符合中國國情的醫(yī)院信息安全模型及對(duì)應(yīng)安全措施，通過層次分析法構(gòu)建系統(tǒng)評(píng)估體系，對(duì)模塊安全指標(biāo)進(jìn)行賦權(quán)與評(píng)估，評(píng)估結(jié)果表明，醫(yī)院應(yīng)使用雙異地備份、路由冗余等方式，重點(diǎn)關(guān)注數(shù)據(jù)與通信的恢復(fù)與保護(hù)。

WPDRRC模型；層次分析法；醫(yī)院信息系統(tǒng)；通信安全；安全評(píng)估

信息與網(wǎng)絡(luò)技術(shù)的高速發(fā)展推動(dòng)了計(jì)算機(jī)在信息管理系統(tǒng)中的應(yīng)用。海量的數(shù)據(jù)與信息使得醫(yī)院信息化辦公成為趨勢。自20世紀(jì)80年代開始，醫(yī)院信息系統(tǒng)得到行業(yè)與學(xué)術(shù)界的廣泛重視。所謂醫(yī)院信息系統(tǒng)，就是利用電子計(jì)算機(jī)和通信設(shè)備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲(chǔ)、處理、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺(tái)［1］。

醫(yī)院信息系統(tǒng)需要具備高安全性、高容錯(cuò)性，任何的漏洞或者故障都會(huì)給醫(yī)院的運(yùn)營帶來巨大的影響。現(xiàn)有醫(yī)院的信息系統(tǒng)安全方案都是全方位周密保護(hù)，例如，文獻(xiàn)［2］結(jié)合HIS的分類和特點(diǎn)，提出對(duì)應(yīng)的安全定級(jí)建議，并運(yùn)用PDCA持續(xù)改進(jìn)的理念，確保HIS的持續(xù)安全運(yùn)行；文獻(xiàn)［3］提出了關(guān)于中國數(shù)字化醫(yī)院信息安全體系的動(dòng)態(tài)網(wǎng)絡(luò)安全模型。然而，醫(yī)院現(xiàn)有相關(guān)人資無法與之匹配，導(dǎo)致醫(yī)院信息系統(tǒng)的安全威脅依然嚴(yán)重存在。本文根據(jù)WPDRRC模型將醫(yī)院信息系統(tǒng)保護(hù)措施模塊化，并使用層次分析法直觀的指出各模塊各指標(biāo)權(quán)重和所需要關(guān)注的順序，為決策者制定精確方案提供數(shù)據(jù)支持。

1　醫(yī)院信息系統(tǒng)常見的安全威脅

HIS在軟件邏輯層、數(shù)據(jù)邏輯層及基礎(chǔ)設(shè)備層均面臨諸多安全威脅，嚴(yán)重影響HIS的正常工作。常見的HIS安全威脅主要包括軟件漏洞、入侵者攻擊、硬件故障、網(wǎng)絡(luò)病毒等，如表1所示［4-5］。

表1概括了常見的安全威脅。醫(yī)院信息系統(tǒng)完全避免安全威脅是不可能的，只能通過盡可能全面的安全措施來降低安全風(fēng)險(xiǎn)。考慮到醫(yī)院的人力、財(cái)力及物力，根據(jù)安全指標(biāo)的定量分析和評(píng)估制定有針對(duì)性的安全方案在現(xiàn)實(shí)中才具有可行性。

2　WPDRRC信息安全模型

2.1WPDRRC相關(guān)概念

WPDRRC安全模型［6-7］是由我國安全專家組深入研究我國的現(xiàn)狀與國情、結(jié)合國際較為主流的PDR模型、P2DR模型以及PPDRR模型，提出的一種信息系統(tǒng)安全保障體系建設(shè)模型。WPDRRC模型有3大要素和6個(gè)環(huán)節(jié)，如圖1所示。3大要素主要由人員、策略以及技術(shù)組成，6個(gè)環(huán)節(jié)包括了預(yù)警（W）、保護(hù)（P）、檢測（D）、響應(yīng)（R）、恢復(fù)（R）和反擊（C），六者具有較強(qiáng)的時(shí)序性和動(dòng)態(tài)性。

表1　醫(yī)院信息系統(tǒng)安全威脅

圖1　WPDRRC模型

WPDRRC安全模型同大多數(shù)的安全模型一樣，也是基于時(shí)間理論建立的。Dt為攻擊發(fā)生時(shí)檢測系統(tǒng)發(fā)現(xiàn)攻擊行為所需的時(shí)間，Rt為響應(yīng)環(huán)節(jié)啟動(dòng)所需的時(shí)間，Et為恢復(fù)的時(shí)間，Pt為攻擊成功所需要的時(shí)間，當(dāng)Pt＞Dt+Rt，即當(dāng)攻擊成功的時(shí)間大于檢測所用時(shí)間以及系統(tǒng)的響應(yīng)時(shí)間時(shí)，系統(tǒng)即為安全。

2.2基于WPDRRC模型的HIS應(yīng)用分析

WPDRRC模型是信息安全防護(hù)通用模型，具體應(yīng)用于HIS安全防護(hù)中時(shí)需要進(jìn)行更為細(xì)化的目標(biāo)認(rèn)定與概念定義［8］。

預(yù)警（Warning）—主要用于預(yù)測是否存在惡意的攻擊行為，并評(píng)估其威脅程度和進(jìn)一步行動(dòng)，從根源上杜絕威脅，消除攻擊和入侵的條件。醫(yī)院可以采用以往經(jīng)驗(yàn)、安全日志與報(bào)警信息，盡可能發(fā)現(xiàn)存在的網(wǎng)絡(luò)漏洞和管理漏洞。

保護(hù) （Protect）—通過使用正規(guī)的安全措施和技術(shù)保護(hù)HIS，提前解決大多數(shù)的故障及修補(bǔ)漏洞。針對(duì)HIS所受到的安全威脅，首先應(yīng)制定清晰的責(zé)任制與獎(jiǎng)懲制，保護(hù)硬件安全。通過強(qiáng)口令認(rèn)證、分組授權(quán)訪問、防火墻及防病毒等技術(shù)保護(hù)軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全［11］。

檢測（Detect）—預(yù)測和保護(hù)可以阻止大多數(shù)的入侵，但是無法阻止所有的入侵，而檢測是根據(jù)入侵事件的特征去進(jìn)行操作的。醫(yī)院可以部署入侵檢測系統(tǒng)（IDS），利用漏洞掃描、正版殺毒軟件等手段來發(fā)現(xiàn)新的威脅和弱點(diǎn)。

響應(yīng)（Respond）—就是當(dāng)系統(tǒng)遭到攻擊或者出現(xiàn)意外情況時(shí)，及時(shí)采用事先制定好的計(jì)劃，恢復(fù)HIS的正常運(yùn)行。響應(yīng)一般分為緊急響應(yīng)和其他時(shí)間響應(yīng)，針對(duì)醫(yī)院工作性質(zhì)的特殊性以及預(yù)警發(fā)現(xiàn)的威脅，應(yīng)該提前制定緊急事故響應(yīng)方案［9］。

恢復(fù)（Restore）—系統(tǒng)遭到突發(fā)情況時(shí)，立即采用一系列的措施，盡快恢復(fù)系統(tǒng)功能，提供正常服務(wù)?；謴?fù)分為兩個(gè)方面:系統(tǒng)恢復(fù)和數(shù)據(jù)恢復(fù)。醫(yī)院的HIS系統(tǒng)需要定期升級(jí)及打補(bǔ)丁；數(shù)據(jù)服務(wù)器注意備份，這樣數(shù)據(jù)在遭到損壞、入侵等突發(fā)狀況時(shí)，能夠迅速恢復(fù)，通信服務(wù)實(shí)現(xiàn)路由冗余、負(fù)載分?jǐn)偟仁侄?，保障HIS的安全運(yùn)行。

反擊（Counterattack）—利用安全工具，追本溯源，記錄罪證，依法對(duì)不法分子進(jìn)行必要的打擊。

3　層次分析法

層次分析法［10-12］的主要思想就是把復(fù)雜的問題劃分為若干因素，并將其按支配關(guān)系形成有序的遞階層次結(jié)構(gòu)；然后，通過客觀現(xiàn)實(shí)的主觀判斷，進(jìn)行兩兩比較，確定層次中諸要素的相對(duì)重要性；最后，利用矩陣計(jì)算諸要素相對(duì)權(quán)重從而反映出每層的重要性次序和權(quán)重，定量定性地分析各個(gè)決策因素的特點(diǎn)。

AHP的基本步驟為：建立層次結(jié)構(gòu)模型；構(gòu)造對(duì)比矩陣；層次判斷及一致性檢驗(yàn)；確定模型的總排序；做出相應(yīng)決策。

4　基于層析分析法及WPDRRC模型的安全指標(biāo)評(píng)估

4.1實(shí)施流程

WPDRRC模型給出了安全信息防護(hù)的概念結(jié)構(gòu)，但實(shí)際應(yīng)用時(shí)無法精確地確定各安全指標(biāo)的權(quán)重，無法為決策者的決策提供準(zhǔn)確的數(shù)據(jù)支持。這里，引入AHP概念，能夠針對(duì)所有的安全指標(biāo)計(jì)算出相應(yīng)的權(quán)重，從而提高了決策者決策的準(zhǔn)確性和數(shù)據(jù)依據(jù)。

具體實(shí)施的流程如下：

1）建立層次安全模型，如圖2所示。

2）從第二層開始，在同一層次的兩兩因素之間進(jìn)行比較，構(gòu)成一個(gè)判斷矩陣A，如式（1）。

矩陣A中，aij表示元素i與元素j的重要性比值，aij的表引用1-9及其倒數(shù)作為標(biāo)度。實(shí)驗(yàn)采用Intel G2020 CPU、4GB內(nèi)存的臺(tái)式計(jì)算機(jī)進(jìn)行。HIS安全分析矩陣A，網(wǎng)絡(luò)平臺(tái)、硬件平臺(tái)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸及系統(tǒng)安全的判斷矩陣B1、B2、B3、B4、B5構(gòu)造為［13-14］，如式（2）-（7）：

根據(jù)現(xiàn)場勘察鉆探及室內(nèi)試驗(yàn)數(shù)據(jù)，參考相關(guān)規(guī)范取值，并結(jié)合工程經(jīng)驗(yàn)，該滑坡治理工程的土層物理力學(xué)參數(shù)及支擋結(jié)構(gòu)參數(shù)見表1所示.

圖2　基于WPDRRC的安全層析分析模型

3）計(jì)算最大特征根λmax、一致性指標(biāo)CI及一致性比率CR，保證數(shù)據(jù)邏輯一致性。當(dāng)λmax=n時(shí)，CI=0時(shí)完全一致，一般只要CI＆lt;0.1并且CR＆lt;0.1時(shí)，矩陣的一致性就可以被接受。其中，一致性指標(biāo)RI取值如表2所示。

4）最終要得到元素之間的順序關(guān)系，從而制定出最精準(zhǔn)的方案。

表2　隨機(jī)一致性指標(biāo)RI的取值

4.2實(shí)驗(yàn)結(jié)果與分析

經(jīng)過對(duì)矩陣的計(jì)算，得出要素層及方案層各指標(biāo)權(quán)重、BWi及λmax，如表3、4所示。

表3　要素層權(quán)重結(jié)果

表4列出要素層權(quán)重，排序如下：數(shù)據(jù)存儲(chǔ)＞系統(tǒng)安全＞數(shù)據(jù)傳輸＞硬件平臺(tái)＞網(wǎng)絡(luò)平臺(tái)。

表4　方案層各安全指標(biāo)權(quán)重結(jié)果

根據(jù)式（8）～（10）、表2及表3、4中λmax計(jì)算出A、B1、B2、B3、B4、B5的一致性比例結(jié)果，結(jié)果如表5所示。

表5　矩陣一致性判斷結(jié)果

由上面可以看出矩陣 A、B1、B2、B3、B4、B5的CR＆lt;0.10，其一致性是可以被接受的。此外，根據(jù)表4列出方案層各安全指標(biāo)的權(quán)重，排序如下：恢復(fù)＞保護(hù)＞檢測＞響應(yīng)＞預(yù)警＞反擊，其中針對(duì)每個(gè)要素層的安全指標(biāo)也進(jìn)行了排序：網(wǎng)絡(luò)平臺(tái)：恢復(fù)＞檢測＞保護(hù)＞響應(yīng)＞預(yù)警＞反擊；硬件平臺(tái)：檢測＞保護(hù)＞恢復(fù)＞響應(yīng)＞預(yù)警＞反擊；數(shù)據(jù)存儲(chǔ)：保護(hù)＞恢復(fù)＞檢測=響應(yīng)＞預(yù)警＞反擊；數(shù)據(jù)傳輸：保護(hù)＞恢復(fù)＞響應(yīng)＞檢測＞預(yù)警＞反擊；系統(tǒng)安全：恢復(fù)=響應(yīng)＞檢測＞保護(hù)＞預(yù)警＞反擊。

1）人：信息科安排專人值班；對(duì)醫(yī)護(hù)人員開展保護(hù) HIS安全培訓(xùn)，提高其保護(hù)意識(shí)；

2）制度：職責(zé)到人、獎(jiǎng)罰制度分明；

3）技術(shù)：醫(yī)院數(shù)據(jù)服務(wù)器采用雙備份異地存儲(chǔ)機(jī)制；搭建文件備份服務(wù)器，規(guī)劃備份策略［15］；登陸系統(tǒng)需要進(jìn)行單點(diǎn)登陸（SSO）身份認(rèn)證，劃分安全域，對(duì)不同的安全域采用分級(jí)權(quán)限認(rèn)證；安裝正版防火墻以及殺毒軟件，定期進(jìn)行漏洞排查，以便在龐大的系統(tǒng)結(jié)構(gòu)、復(fù)雜的網(wǎng)絡(luò)環(huán)境下，保證醫(yī)院信息系統(tǒng)的可靠安全運(yùn)行［16-17］。

5　結(jié)　論

目前，國內(nèi)大多數(shù)醫(yī)院的信息系統(tǒng)安全防護(hù)尚未得到充分的重視，相關(guān)的工作也未得到充分的開展。本文對(duì)現(xiàn)有模型體系進(jìn)行分析比較，得出存在的問題及缺點(diǎn)，結(jié)合我國實(shí)際情況，采用層次分析法和WPDRRC模型為醫(yī)院信息系統(tǒng)各平臺(tái)安全指標(biāo)提供理論分析和數(shù)據(jù)論證，并根據(jù)計(jì)算出的權(quán)重值提出相對(duì)應(yīng)的安全保護(hù)方案。實(shí)驗(yàn)結(jié)果表明，所提方法具有一定的準(zhǔn)確性和可靠性，能夠應(yīng)用于實(shí)際的醫(yī)院信息系統(tǒng)安全防護(hù)工作。今后的主要工作，將集中于權(quán)值的自動(dòng)生成與自適應(yīng)調(diào)節(jié)研究，進(jìn)一步降低人工干預(yù)的程度，從而實(shí)現(xiàn)系統(tǒng)的自動(dòng)化運(yùn)行。

［1］黃哲.醫(yī)院信息系統(tǒng)的發(fā)展現(xiàn)狀與方向［J］.中國現(xiàn)代醫(yī)學(xué)雜志，2009，19（6）:955-957.

［2］郎漫芝，王暉，鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的實(shí)施探討［J］.計(jì)算機(jī)應(yīng)用與軟件，2013，30（1）:206-209.

［3］張蓮萍，陳琦.基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國數(shù)字化醫(yī)院信息安全體系建設(shè)［J］.中國科技論壇，2015（3）:48-53.

［4］韓懂順.醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅與防范機(jī)制［J］.信息系統(tǒng)工程，2015（10）:64.

［5］李春林，簡明，劉建輝.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)管理對(duì)策研究［J］.醫(yī)療衛(wèi)生裝備，2013，34（3）:114-116.

［6］姚傳軍.WPDRRC信息安全模型在安全等級(jí)保護(hù)中的應(yīng)用［J］.光通信研究，2010，10（5）:27-29.

［7］苗新，陳希.電力通信網(wǎng)的安全體系架構(gòu)［J］.電力系統(tǒng)通信，2012，33（231）:34-38.

［8］段瑩，陳耿.計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)［J］.中國西部科技，2011，10（12）:29-30.

［9］劉中杰.基于WPDRRC模型構(gòu)建基層農(nóng)信社信息安全管理系統(tǒng)［D］.長沙：湖南大學(xué)，2012.

［10］鄧雪，李家銘，曾浩健.層次分析法權(quán)重計(jì)算方法分析及其應(yīng)用研究［J］.數(shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2012，42（7）:93-100.

［11］華光.基于層次分析法的信息安全風(fēng)險(xiǎn)評(píng)估研究［J］.現(xiàn)代計(jì)算機(jī)（專業(yè)版），2008（9）:80-83.

［12］蔣白樺.AHP層次分析法在化工物流承運(yùn)商考核體系中的應(yīng)用［J］.計(jì)算機(jī)與應(yīng)用化學(xué)，2012，29（7）:900-902.

［13］張蓮萍.醫(yī)療信息系統(tǒng)縱深防御安全模型及風(fēng)險(xiǎn)評(píng)價(jià)體系［J］.系統(tǒng)工程，2014，32（4）:147-154.

［14］李楊，韋偉，劉永忠.一種基于AHP的信息安全威脅評(píng)估模型研究［J］.計(jì)算機(jī)科學(xué)，2012，39（1）:61-64.

［15］何萍，索仲良.論如何構(gòu)建醫(yī)院信息系統(tǒng)的安全運(yùn)行體系［J］.計(jì)算機(jī)應(yīng)用與軟件，2007，24（10）:202-204.

［16］郭金生.電子政務(wù)系統(tǒng)整合研究［J］.電子科技，2010（5）: 124-126.

［17］關(guān)滄，馮錫煒.基于角色訪問控制的單點(diǎn)登錄模型研究與設(shè)計(jì)［J］.電子設(shè)計(jì)工程，2012（22）:37-40.

Research on security evaluation of hospital information system based on WPDRRC model

YUAN Meng-xuan，WANG Zhi
（School of Computer Science and Engineering，Jiangsu University of Science and Technology，Zhenjiang 212003，China）

Currently，hospital information system became popular，but security threats were still serious because of untargeted security solutions and lack of human resources.In order to improve the existing solution and protect the system run smoothly，this paper puts forward a hospital information security model which is suitable for China according to WPDRRC protection model，also some security measures.Then construct an evaluation system by Analytic Hierarchy Process，empower and assess the index of each module.The result shows that hospital should focus on the recovery and protection of data and communication through double offsite backup and router redundancy.

WPDRRC model；analytic hierarchy process；hospital information system；security communication；security evaluation

TN918

A

1674－6236（2016）11-0011-04

2015-12-18稿件編號(hào)：201512198

國家自然科學(xué)基金資助項(xiàng)目（61503160）；江蘇省自然科學(xué)基金資助項(xiàng)目（BK20130473）

袁夢絢（1990—），女，江蘇南京人，碩士研究生。研究方向：云計(jì)算、信息安全等研究。