于京杰，劉方斌，馬錫坤

（南京軍區(qū)南京總醫(yī)院 江蘇 南京 210002）

醫(yī)院Oracle數(shù)據(jù)庫(kù)安全管理研究

于京杰，劉方斌，馬錫坤

（南京軍區(qū)南京總醫(yī)院 江蘇 南京 210002）

為了減少數(shù)據(jù)庫(kù)故障的發(fā)生率、保障數(shù)據(jù)庫(kù)穩(wěn)定運(yùn)行、為醫(yī)務(wù)工作人員和患者提供正確有效的數(shù)據(jù)信息，文中闡述了醫(yī)院Oracle數(shù)據(jù)庫(kù)管理存在的問(wèn)題，并從數(shù)據(jù)庫(kù)使用制度、備份管理、數(shù)據(jù)庫(kù)審計(jì)等3個(gè)方面分析了數(shù)據(jù)庫(kù)安全管理，給出了相應(yīng)的數(shù)據(jù)庫(kù)安全管理策略。實(shí)際應(yīng)用表明，本文的安全策略大幅提升了醫(yī)院Oracle數(shù)據(jù)庫(kù)的安全性。

醫(yī)院；Oracle數(shù)據(jù)庫(kù)；安全管理；信息化

隨著我國(guó)醫(yī)院信息化的推廣，國(guó)內(nèi)大中型醫(yī)院都建立了自己的信息化系統(tǒng)，而數(shù)據(jù)庫(kù)是信息系統(tǒng)的基礎(chǔ)。由于Oracle數(shù)據(jù)庫(kù)管理系統(tǒng)性能出眾、穩(wěn)定性好，被各大醫(yī)院廣泛使用。但由于技術(shù)、管理等方面的不足，導(dǎo)致醫(yī)院數(shù)據(jù)庫(kù)安全無(wú)法得到保證[1]。目前在醫(yī)院數(shù)據(jù)庫(kù)安全解決方案中，還是以防火墻和防病毒軟件為主，但隨著醫(yī)院整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的不斷擴(kuò)展和延伸，信息系統(tǒng)已經(jīng)逐漸覆蓋到全院的各個(gè)科室和行政部門，越來(lái)越多的信息資源需要同時(shí)運(yùn)行調(diào)用，用來(lái)支持管理醫(yī)院各個(gè)方面的工作，如HIS、LIS、PASS、HOA等系統(tǒng)，導(dǎo)致醫(yī)院網(wǎng)絡(luò)架構(gòu)更復(fù)雜、覆蓋范圍更廣，只靠防火墻和防病毒軟件以無(wú)法滿足醫(yī)院數(shù)據(jù)庫(kù)安全管理的需要[2-3]。

同時(shí)，隨著我國(guó)網(wǎng)絡(luò)安全環(huán)境的不斷惡化，垃圾郵件、蠕蟲病毒、惡意入侵、黑客軟件等不斷泛濫，爆炸、火災(zāi)等人為的安全因素導(dǎo)致的災(zāi)難不斷增多，目前的網(wǎng)絡(luò)安全防范體系暴露出了越來(lái)越多的先天不足，導(dǎo)致大量惡意攻擊網(wǎng)絡(luò)的事件層出不窮，引發(fā)數(shù)據(jù)信息丟失、損壞，甚至造成某些重要數(shù)據(jù)的不可恢復(fù)，這些問(wèn)題不但嚴(yán)重影響了醫(yī)院工作的穩(wěn)定運(yùn)行，還會(huì)泄露患者的隱私信息，引起各類醫(yī)療糾紛事件。如患者個(gè)人信息等敏感數(shù)據(jù)信息遭到黑客的竊取，或者內(nèi)部人員違規(guī)操作而篡改了重要信息，對(duì)患者所造成的傷害是無(wú)法彌補(bǔ)的，甚至直接威脅到患者的生命安全。且國(guó)家法律的硬性要求，醫(yī)院數(shù)據(jù)庫(kù)中記載的患者信息應(yīng)該受到有效的保護(hù)[1-3]。故我們必須針對(duì)醫(yī)院的具體環(huán)境、具體業(yè)務(wù)，提出有效的Oracle數(shù)據(jù)庫(kù)管理方案。本文從數(shù)據(jù)庫(kù)使用制度、備份管理、數(shù)據(jù)庫(kù)審計(jì)等3個(gè)方面分析了數(shù)據(jù)庫(kù)安全管理，并給出了具體的數(shù)據(jù)庫(kù)安全管理策略。

1 完善的使用制度

2006年初，北京某個(gè)大型三甲醫(yī)院的數(shù)據(jù)庫(kù)存儲(chǔ)系統(tǒng)出現(xiàn)了故障，即使立刻進(jìn)行數(shù)據(jù)恢復(fù)，但是也不能完全恢復(fù)斷點(diǎn)之前的數(shù)據(jù)信息，由此造成的整個(gè)醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)的癱瘓和大量患者數(shù)據(jù)信息的丟失，不但嚴(yán)重侵害了患者的個(gè)人利益，而且對(duì)醫(yī)患形象造成了負(fù)面影響。因此，在醫(yī)院信息化項(xiàng)目的建設(shè)中，要堅(jiān)決禁止外部計(jì)算機(jī)訪問(wèn)醫(yī)院內(nèi)部的數(shù)據(jù)庫(kù)系統(tǒng)，防止數(shù)據(jù)庫(kù)存儲(chǔ)的信息受到惡意破壞和肆意篡改，不斷改善和加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)措施，降低醫(yī)院數(shù)據(jù)庫(kù)系統(tǒng)受到外界攻擊的幾率。以下我們從4個(gè)方面，給出了醫(yī)院Oracle數(shù)據(jù)庫(kù)使用策略。

1.1 實(shí)現(xiàn)網(wǎng)間物理隔離

物理隔離是在醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在任何形式的物理連接。實(shí)現(xiàn)物理隔離后，連接到互聯(lián)網(wǎng)的計(jì)算機(jī)終端就不可能再與醫(yī)院內(nèi)部網(wǎng)絡(luò)連接，從而能夠防止病毒、黑客的入侵，這也是最安全的隔離方法之一。

1.2 加強(qiáng)網(wǎng)絡(luò)安全防護(hù)

嚴(yán)格規(guī)范醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用制度；加強(qiáng)審核登陸內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)配置；安裝有效的醫(yī)院內(nèi)部網(wǎng)絡(luò)防病毒軟件：定期更新升級(jí)防病毒軟件；定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行殺毒；嚴(yán)格規(guī)范計(jì)算機(jī)光驅(qū)、USB接口的使用規(guī)范；盡量控制U盤、移動(dòng)硬盤的使用。

1.3 建立權(quán)限申請(qǐng)制度

對(duì)醫(yī)院計(jì)算機(jī)使用的權(quán)限嚴(yán)格控制，如果需要使用Oracle數(shù)據(jù)庫(kù)更是應(yīng)該通過(guò)逐級(jí)審核，第一是用戶所在科室的領(lǐng)導(dǎo)審核確認(rèn)，然后再向上一級(jí)管理部門的領(lǐng)導(dǎo)進(jìn)行確認(rèn)申請(qǐng)，最后由醫(yī)院網(wǎng)管中心的工作人員根據(jù)用戶的工作性質(zhì)給其分配相應(yīng)的權(quán)限和角色，而且必須遵守專人專用制度，不能越級(jí)使用。

1.4 用戶密碼安全管理

醫(yī)院網(wǎng)管中心的工作人員應(yīng)該定制復(fù)雜的數(shù)據(jù)庫(kù)密碼規(guī)則，以此來(lái)加強(qiáng)密碼管理的有效性，用戶對(duì)于自己的密碼必須妥善管理，在計(jì)算機(jī)開通密碼權(quán)限之后，不能再使用工作人員設(shè)定的初始密碼，而是要立刻對(duì)密碼進(jìn)行修改，用戶密碼的設(shè)置需要遵循以下幾個(gè)原則：1）用戶密碼不能與賬戶名相同；2）將用戶密碼盡可能復(fù)雜化；3）要求用戶密碼不能少于6個(gè)字符；4）不要設(shè)置連續(xù)或者重復(fù)數(shù)字和字母的密碼；5）盡可能設(shè)置數(shù)字與字母交叉的密碼；6）定期更換密碼，加強(qiáng)安全管理意識(shí)。

2 數(shù)據(jù)庫(kù)備份管理

數(shù)據(jù)庫(kù)恢復(fù)的原理就是數(shù)據(jù)冗余機(jī)制，它涉及到兩方面的關(guān)鍵問(wèn)題，1）如何建立完整的冗余數(shù)據(jù)，2）如何利用這些冗余數(shù)據(jù)恢復(fù)數(shù)據(jù)庫(kù)的所有數(shù)據(jù)信息。通常情況下，建立冗余數(shù)據(jù)的方法是數(shù)據(jù)轉(zhuǎn)存和日志存儲(chǔ)，而這兩種方法經(jīng)常是共同實(shí)施的[4-5]。

2.1 數(shù)據(jù)轉(zhuǎn)儲(chǔ)策略

數(shù)據(jù)轉(zhuǎn)儲(chǔ)就是由數(shù)據(jù)庫(kù)管理員將數(shù)據(jù)庫(kù)信息定期的復(fù)制到另一個(gè)磁盤空間上進(jìn)行保存的過(guò)程，這些備份的數(shù)據(jù)信息作為副本文件，也稱為后援副本文件。一旦數(shù)據(jù)庫(kù)遭到破壞或者攻擊的時(shí)候，可以將副本文件重新導(dǎo)入數(shù)據(jù)庫(kù)，但是重新導(dǎo)入的副本文件只能將數(shù)據(jù)庫(kù)恢復(fù)到數(shù)據(jù)轉(zhuǎn)儲(chǔ)時(shí)的狀態(tài)，如果想要將數(shù)據(jù)信息恢復(fù)到發(fā)生故障時(shí)的狀態(tài)，必須重新轉(zhuǎn)儲(chǔ)以后的更新事務(wù)。數(shù)據(jù)轉(zhuǎn)存分為靜態(tài)數(shù)據(jù)轉(zhuǎn)存和動(dòng)態(tài)數(shù)據(jù)轉(zhuǎn)存。

靜態(tài)數(shù)據(jù)轉(zhuǎn)儲(chǔ)是指當(dāng)數(shù)據(jù)轉(zhuǎn)儲(chǔ)操作進(jìn)行的時(shí)候，數(shù)據(jù)庫(kù)一直處于一致性的狀態(tài)，數(shù)據(jù)轉(zhuǎn)儲(chǔ)期間不能夠?qū)?shù)據(jù)庫(kù)的信息進(jìn)行任何存取和修改的操作，否則會(huì)降低數(shù)據(jù)庫(kù)系統(tǒng)的可用性。

動(dòng)態(tài)數(shù)據(jù)轉(zhuǎn)儲(chǔ)是指在轉(zhuǎn)儲(chǔ)的同時(shí)允許用戶對(duì)數(shù)據(jù)庫(kù)內(nèi)的信息進(jìn)行存取和修改，動(dòng)態(tài)數(shù)據(jù)轉(zhuǎn)儲(chǔ)能夠有效克服靜態(tài)轉(zhuǎn)儲(chǔ)的不足，不需要等待所有用戶事務(wù)結(jié)束之后再進(jìn)行操作，更不會(huì)影響新用戶事務(wù)的穩(wěn)定運(yùn)行。但是，當(dāng)數(shù)據(jù)轉(zhuǎn)儲(chǔ)結(jié)束之后，副本文件上的信息并不能保證完全正確，因此，系統(tǒng)需要把轉(zhuǎn)儲(chǔ)過(guò)程中對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作的活動(dòng)全部進(jìn)行登記，再建立日志文件，由此，副本文件和日志文件共同存在的情況下，就能夠?qū)?shù)據(jù)庫(kù)恢復(fù)到某個(gè)特定時(shí)刻的正確狀態(tài)。

2.2 登記日志

數(shù)據(jù)庫(kù)備份管理除了數(shù)據(jù)轉(zhuǎn)存，還需要做好日志管理工作，以下從日志文件、日志作用、日志登記3個(gè)方面，闡述日志管理工作。

日志文件：用來(lái)記錄用戶事務(wù)對(duì)數(shù)據(jù)庫(kù)的存取、修改的操作活動(dòng)的文件。

日志作用：當(dāng)數(shù)據(jù)庫(kù)需要進(jìn)行數(shù)據(jù)恢復(fù)的時(shí)候，日志文件就起了關(guān)鍵性作用，1）用來(lái)記錄事務(wù)故障和故障恢復(fù)，2）協(xié)助副本文件進(jìn)行磁盤數(shù)據(jù)的信息恢復(fù)。

日志登記：為了保證數(shù)據(jù)庫(kù)能夠進(jìn)行數(shù)據(jù)恢復(fù)，日志登記需要遵循以下原則：1）嚴(yán)格按照并發(fā)事務(wù)執(zhí)行的時(shí)間順序；2）必須先建立日志文件，再建立數(shù)據(jù)庫(kù)文件。

綜上所述，由于自然災(zāi)害、硬件故障、系統(tǒng)故障和網(wǎng)絡(luò)故障都可能對(duì)數(shù)據(jù)庫(kù)系統(tǒng)造成安全威脅，而數(shù)據(jù)庫(kù)的任何操作失誤都會(huì)給存儲(chǔ)的數(shù)據(jù)信息帶來(lái)?yè)p害，因此，數(shù)據(jù)庫(kù)的備份和恢復(fù)機(jī)制是保證數(shù)據(jù)安全的有效方法之一。

擔(dān)任班主任工作已有十多個(gè)年頭，經(jīng)歷過(guò)剛開始時(shí)的迷糊、不知所措，繼而被瑣事搞到焦頭爛額，也有過(guò)一心鞠躬盡瘁、死而后已的思想，然后精疲力盡，卻吃力不討好。當(dāng)然也有過(guò)小有收獲時(shí)的自足、欣慰，其中的滋味也就只有經(jīng)歷過(guò)才知道。班主任的工作是瑣碎的,但我堅(jiān)信,如果能建設(shè)好一支干部隊(duì)伍,一定會(huì)對(duì)自己的工作有莫大的幫助。班干部是班級(jí)的核心力量，是班主任進(jìn)行工作的有力助手，巧選妙用這些小幫手，也就顯得更加舉足輕重。班干部隊(duì)伍的構(gòu)建過(guò)程需要我們班主任花心思，隨著工作經(jīng)驗(yàn)的不斷積累和自我學(xué)習(xí),在班主任工作中也有了自己的一些想法。這次我想談?wù)勗诓煌瑫r(shí)期下班干部選拔上的一些做法。

3 數(shù)據(jù)庫(kù)審計(jì)

數(shù)據(jù)庫(kù)審計(jì)作為信息安全審計(jì)的重要組成部分，同時(shí)也是數(shù)據(jù)庫(kù)管理系統(tǒng)安全性重要的一部分。通過(guò)審計(jì)功能，凡是與數(shù)據(jù)庫(kù)安全性相關(guān)的操作均可被記錄下來(lái)。只要檢測(cè)審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫(kù)被使用的狀況[6]。

例如，檢查庫(kù)中實(shí)體的存取模式，監(jiān)測(cè)指定用戶的行為。審計(jì)系統(tǒng)可以跟蹤用戶的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫(kù)[7]。

3.1 數(shù)據(jù)庫(kù)行為實(shí)時(shí)監(jiān)控與告警

實(shí)時(shí)監(jiān)控用戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行的所有操作行為，同時(shí)可以通過(guò)制定審計(jì)和告警規(guī)則達(dá)到深度數(shù)據(jù)庫(kù)防護(hù)。當(dāng)用戶與數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，可以制定入侵檢測(cè)策略[8]，快速地對(duì)數(shù)據(jù)庫(kù)的緩沖區(qū)溢出攻擊、口令字猜解等惡意攻擊做出反應(yīng)，同時(shí)也可以實(shí)時(shí)檢測(cè)如刪除表結(jié)構(gòu)、用戶權(quán)限提升等敏感行為操作，另外，管理員可以根據(jù)內(nèi)容關(guān)鍵字、IP地址、用戶/用戶組、時(shí)間、數(shù)據(jù)庫(kù)類型、數(shù)據(jù)庫(kù)操作類型、數(shù)據(jù)庫(kù)表名等組合預(yù)設(shè)風(fēng)險(xiǎn)操作反應(yīng)策略，當(dāng)用戶的操作行為匹配以上策略時(shí)，通過(guò)告警平臺(tái)及時(shí)告警，嚴(yán)重的可以通過(guò)策略聯(lián)動(dòng)接口進(jìn)行阻止。

3.2 細(xì)粒度審計(jì)分析

需要審計(jì)到客戶端對(duì)生產(chǎn)數(shù)據(jù)庫(kù)訪問(wèn)的所有詳細(xì)記錄，包括客戶端的IP地址、MAC地址、計(jì)算機(jī)名、目的地址、客戶端程序名、數(shù)據(jù)庫(kù)名、表名、操作方式、操作內(nèi)容、返回成功與否，執(zhí)行時(shí)長(zhǎng)等。通過(guò)細(xì)粒度審計(jì)，可以實(shí)現(xiàn)對(duì)用戶的登錄過(guò)程以及權(quán)限變更記錄進(jìn)行審計(jì)；可以對(duì)生產(chǎn)數(shù)據(jù)庫(kù)用戶角色權(quán)限的授予情況特別是對(duì)DBA權(quán)限的授予情況進(jìn)行跟蹤；可以發(fā)現(xiàn)異常的客戶端登錄，找到隱患；還可以發(fā)現(xiàn)重點(diǎn)表/存儲(chǔ)過(guò)程的被訪問(wèn)情況（增、刪、改、查等操作）。

3.3 歷史數(shù)據(jù)審計(jì)

大容量的數(shù)據(jù)庫(kù)系統(tǒng)通常會(huì)有海量的數(shù)據(jù)操作，需要對(duì)歷史的操作記錄進(jìn)行存儲(chǔ)，以方便隨時(shí)檢索歷史的操作記錄。可以采用高壓縮比的文件型審計(jì)日志備份技術(shù)，使審計(jì)日志能夠方便地長(zhǎng)期保存，并且能夠在事后隨時(shí)按需導(dǎo)入進(jìn)行解析查詢。

4 結(jié) 論

文中分析了Oracle數(shù)據(jù)庫(kù)在醫(yī)院的實(shí)際應(yīng)用中存在的安全問(wèn)題，從數(shù)據(jù)庫(kù)使用制度、備份管理、數(shù)據(jù)庫(kù)審計(jì)等3個(gè)方面分析了數(shù)據(jù)庫(kù)安全管理，并給出了具體的數(shù)據(jù)庫(kù)安全管理策略。實(shí)際應(yīng)用表明，本文的安全策略可以大幅提高醫(yī)院Oracle數(shù)據(jù)庫(kù)的安全性。

制定合理有效的數(shù)據(jù)庫(kù)安全管理策略，能夠提高醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)的數(shù)據(jù)庫(kù)安全，但在數(shù)據(jù)庫(kù)管理工作中還要堅(jiān)持定期維護(hù)、預(yù)防為主、技術(shù)升級(jí)等策略，由此不斷提高醫(yī)院數(shù)據(jù)的安全性、穩(wěn)定性和可靠性。

[1]徐正雄，王玲，可向民，等.利用系統(tǒng)事件觸發(fā)器提高“軍衛(wèi)一號(hào)”O(jiān)racle數(shù)據(jù)庫(kù)安全性[J].醫(yī)療衛(wèi)生裝備，2011（7）:39－41.

XU Zheng-xiong，WANG Ling，KE Xiang-min，et al.Security improvement of No.1 military medical project oracle database by using system event trigger[J].Chinese Medical Equipment Journal，2011（7）:39－41.

[2]白凱.應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)安全問(wèn)題分析及處理[J].電子設(shè)計(jì)工程， 2010（7）:91－93.

BAI Kai.Analysis and process of application system database security issues[J].Electronic Design Engineering，2010（7）:91－93.

[3]毛亮.ORACLE數(shù)據(jù)庫(kù)安全管理[J].通信管理與技術(shù)，2009（4）:17－19.

MAO Liang.Safe management of ORACLE datebase[J].CommunicationsManagementandTechnology，2009（4）:17－19.

[4]王雷，周曉明，肖征.《軍隊(duì)療養(yǎng)院信息管理系統(tǒng)》中Oracle數(shù)據(jù)庫(kù)備份與恢復(fù)策略[J].中國(guó)療養(yǎng)醫(yī)學(xué)，2010（11）:9－11.

WANG Lei，ZHOU Xiao-ming，XIAO Zheng.Oracle database backup and recovery strategy in information management system of military sanatorium[J].Chinese Journal of Convalescent Medicine，2010（11）:9－11.

[5]黃大節(jié)，王赟，涂巖軍.手工實(shí)現(xiàn)Oracle數(shù)據(jù)庫(kù)的自動(dòng)備份與恢復(fù)方案[J].醫(yī)療衛(wèi)生裝備，2010（8）:41－43.

HUANG Da-jie，WANG Yun，TU Yan-jun.Automatic backup and recovery scheme of oracle database based on manual administrating[J].Chinese Medical Equipment Journal，2010（8）:41－43.

[6]梁昌明.Oracle數(shù)據(jù)庫(kù)審計(jì)方法的探討[J].中國(guó)醫(yī)療設(shè)備，2008，23（4）:9－12.

LIANG Chang-ming.Discussion on the audit methods of oracle database[J].China Medical Eouipment，2008，23（4）:9－12.

[7]柳俊.基于Oracle數(shù)據(jù)庫(kù)安全審計(jì)方法的研究[J].武漢船舶職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2012，11（2）:35－37.

LIU Jun.Research on safety audit method based on oracle database[J].Journal of Wuhan Institute of Shipbuilding Technology，2012，11（2）:35－37.

[8]駱東松，黃靖梅.基于RBF網(wǎng)絡(luò)的鹽密光纖在線監(jiān)測(cè)系統(tǒng)的研究[J].陜西電力，2012（10）：40－43，52.

LUO Dong-song，HUANG Jing-mei.ESDD fiberonline monitoring system based on RBF Network[J].Shaanxi Electric Power，2012（10）：40－43，52.

Research on Oracle database management for hospital

YU Jing-jie，LIU Fang-bin， MA Xi-kun
（Nanjing General Hospital of Nanjing Military Command， Nanjing 210002， China）

In order to reduce the failure rate，guarantee database stable operation，provide correct and effective information for medical staff and patients， the paper explains the problems of Oracle database management， and analyses Oracle database security management from the fair use system， database backup and audit， then gives the corresponding strategies.The practical application shows that the security strategies improve the hospital Oracle database security greatly.

hospital； Oracle database； safety management； informatization

TP309

A

1674－6236（2013）08-0030-03

2012-11-26稿件編號(hào)201211224

于京杰（1961—），男，山東海陽(yáng)人，高級(jí)工程師。研究方向：信息安全、醫(yī)院信息化管理。