高金妹

0 引言

離群點檢測（又稱為異常檢測）是找出其行為很不同于預隨著醫(yī)療信息系統(tǒng)應用的不斷推進，醫(yī)院已建立起以數(shù)據(jù)為中心的醫(yī)院信息網(wǎng)絡化管理決策機制，并將掛號、收費、住院、醫(yī)技等各部門通過網(wǎng)絡系統(tǒng)連接在一起，醫(yī)院信息系統(tǒng)（包括醫(yī)院信息管理系統(tǒng)（HIS）、臨床信息系統(tǒng)（CIS）、醫(yī)院影像信息系統(tǒng)（PACS）、檢驗信息系統(tǒng)（LIS）等）通過網(wǎng)絡覆蓋醫(yī)院的每個部門，涵蓋病人來醫(yī)院就診的各個環(huán)節(jié)。醫(yī)院的信息化運作，不僅為醫(yī)院的管理、決策、辦公效率等帶來巨大的推動作用，而且也使患者就診能體驗到就診的方便。但是與此同時，信息系統(tǒng)的數(shù)據(jù)安全則成為醫(yī)院當前面臨的一大考驗。

如今，醫(yī)院的正常運作已經(jīng)離不開醫(yī)院信息系統(tǒng)，一旦網(wǎng)絡癱瘓或信息系統(tǒng)的數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來難以彌補的損失。為了保證醫(yī)院業(yè)務高效穩(wěn)定運行，制定一系列行之有效的信息系統(tǒng)安全方案是十分必要的，也是勢在必行的。為此需要對信息安全理論進行深入研究，并運用在醫(yī)院信息系統(tǒng)中，以提高醫(yī)院信息系統(tǒng)的安全、穩(wěn)定的運行能力。

1 常見醫(yī)院信息系統(tǒng)的構架

常見醫(yī)院信息系統(tǒng)的網(wǎng)絡模式有以下幾種形式：

1.單一交換機+單一的數(shù)據(jù)庫服務器

2.單核心交換機+多數(shù)據(jù)庫服務器

3.多交換機+多數(shù)據(jù)庫服務器

單從數(shù)據(jù)庫數(shù)據(jù)的可用性來看，單一的數(shù)據(jù)庫模式下，數(shù)據(jù)庫服務器的故障，應用程序的漏洞，導致數(shù)據(jù)庫崩潰等，都是該模式下信息系統(tǒng)無法回避的隱患。

避免單點故障導致服務中斷的多交換機+多數(shù)據(jù)庫模式，盡管可用性以及性能上都能獲得很好的提升，但是額外成本費用的開銷卻不一定是每個醫(yī)院都愿意付出的。

何種模式能夠滿足當前的業(yè)務需要，便成為了醫(yī)院的最終選擇。

2 面臨的考驗

除了架構上的安全隱患，本文將從數(shù)據(jù)訪問安全的角度來分析當前醫(yī)院面臨的考驗。首先醫(yī)院的信息系統(tǒng)的開發(fā)一般有醫(yī)院以外的廠商提供，后期的實施、調(diào)試也是由廠商完成。其次，系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡、硬件設備的維護都會有第三方企業(yè)參與。僅這兩點就使得數(shù)據(jù)被非授權的訪問變得非常的容易。再次，醫(yī)院內(nèi)部人員通過業(yè)務系統(tǒng)的功能、外掛工具或者超級管理員權限等方式也可以輕易的獲取到想要的數(shù)據(jù)。

那醫(yī)院該如何來防堵這些隱患呢？

在展開談論之前，還需要再明確一下數(shù)據(jù)安全的含義，安全的概念是相對的，任何一個系統(tǒng)都具有潛在的危險，沒有絕對的安全，安全程度隨著時間的變化而改變。在一個特定的時期內(nèi)，在一定的安全策略下，系統(tǒng)是安全的。但是隨著時間的演化和環(huán)境的變遷（如攻擊技術的進步、新漏洞的暴露），系統(tǒng)可能會變的不安全。因此需要能應對環(huán)境變化，并能即時做出相應的調(diào)整以確保安全防護。當前，沒有一種技術可完全消除網(wǎng)絡中的安全漏洞。

以往醫(yī)院大都依靠行政制度的手段，來保障數(shù)據(jù)訪問的安全。但根據(jù)長期的經(jīng)驗來看，效果不是很理想。制度是用于規(guī)范哪些人在什么地方能夠做哪些事。如果有人無視制度的存在，那就必須借助科技的手段，判斷是誰，在什么地方，通過什么方式，做了什么違反制度的事，以此為目標，醫(yī)院需要這樣的一套系統(tǒng)，能夠在不影響當前醫(yī)院已經(jīng)穩(wěn)定使用的信息系統(tǒng)的前提下，實現(xiàn)這樣的功能。由此，醫(yī)院信息系統(tǒng)提供安全審計機制便必不可少。

信息系統(tǒng)安全審計，是指在信息系統(tǒng)中實現(xiàn)安全審計機制。信息系統(tǒng)安全審計的主要目的，一是檢測和威懾非法進入系統(tǒng)的行為。無論是合法用戶，還是非法用戶，一旦登錄系統(tǒng)，其登錄的時間和地址、對系統(tǒng)數(shù)據(jù)的訪問、注銷時間等信息，通過建立審計日志，實時記錄這些信息，留下非法用戶使用系統(tǒng)的證據(jù)。另一個目的，是識別出用戶對系統(tǒng)的誤用，以便事后追查、分析和數(shù)據(jù)恢復[1]。

因此，安全審計系統(tǒng)需要具備以下特點：

系統(tǒng)以一個旁路的方式存在，將網(wǎng)絡中對數(shù)據(jù)安全可能造成危害的行為分離出來，并且能夠準確地記錄下來，這一危險行為發(fā)生的時間、地點、人物、事件內(nèi)容等。基于旁路監(jiān)聽的數(shù)據(jù)庫審計的解決方案具有下面的一些特點：不需要對生產(chǎn)數(shù)據(jù)庫進行任何設置，也不需改變現(xiàn)有的網(wǎng)絡架構和配置；不影響生產(chǎn)數(shù)據(jù)庫的性能，不占用生產(chǎn)數(shù)據(jù)庫服務器的網(wǎng)絡帶寬，同時，在對審計數(shù)據(jù)進行壓縮備份時，不影響業(yè)務系統(tǒng)的正常運行[2]。

系統(tǒng)通過一定時間段的信息收集，能夠智能地區(qū)分出網(wǎng)絡中的正常業(yè)務操作和非授權的非法行為。

系統(tǒng)需有強大的數(shù)據(jù)處理能力，保證網(wǎng)絡中的數(shù)據(jù)都能夠被監(jiān)控到，不會因業(yè)務流量大時，系統(tǒng)不能及時處理而錯過對危險事件的審查。審計結(jié)果必須詳細、準確，能夠隨著環(huán)境或者危險手段的變化，方便的在設置上做調(diào)整。

系統(tǒng)具有自我的審計能力，能夠?qū)ο到y(tǒng)沒有監(jiān)聽到的數(shù)據(jù)、系統(tǒng)故障和蓄意停止監(jiān)聽等情況產(chǎn)生報警，也能夠檢測業(yè)務系統(tǒng)是否正常運行，為故障診斷提供建議。

系統(tǒng)能夠事前預防危險事件的發(fā)生，進而阻止事件的進行，事后記錄事件產(chǎn)生的完整信息。

系統(tǒng)對危險事件能夠?qū)崟r報警，可以通過短信、郵件或者彈出窗口的方式通知到相關的負責人。

系統(tǒng)本身不具備泄密的能力。

系統(tǒng)需具備能夠適用目前常見的醫(yī)院網(wǎng)絡環(huán)境，不需要針對每一家醫(yī)院單獨進行開發(fā)定制，能提供簡捷易懂的信息，以便不同層次的醫(yī)院人員使用。

3 安全審計系統(tǒng)的關鍵

因為醫(yī)院信息系統(tǒng)是獨立的內(nèi)部網(wǎng)絡，不直接連接到互聯(lián)網(wǎng)，因此數(shù)據(jù)安全保障的重點是關注數(shù)據(jù)的訪問，根據(jù)網(wǎng)絡系統(tǒng)的應用和業(yè)務模式，將網(wǎng)絡數(shù)據(jù)存放在安全區(qū)域，對敏感數(shù)據(jù)的訪問實行嚴格的記錄，減少不必要的數(shù)據(jù)訪問。

1.主機攻擊的深度檢測

雖然防病毒系統(tǒng)能夠防止大部分的病毒感染與攻擊，但如果出現(xiàn)有害代碼偽裝成客戶正常業(yè)務進行傳播時，網(wǎng)絡的帶寬利用率就會居高不下，應用系統(tǒng)的響應速度會越來越慢，最后導致整個網(wǎng)絡癱瘓。因此，在網(wǎng)絡系統(tǒng)上部署具有深度檢測防御功能的入侵防御系統(tǒng)，IPS非常重要。深度檢測防御是為了檢測網(wǎng)絡系統(tǒng)中違反安全策略的行為，如入侵和濫用。深度檢測防御，識別出網(wǎng)絡系統(tǒng)中任何不希望有的活動，從而限制這些活動，以保護網(wǎng)絡系統(tǒng)的安全。深度檢測防御的應用目的，是在入侵攻擊對網(wǎng)絡系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)的聯(lián)動，阻止入侵攻擊，減少入侵攻擊對網(wǎng)絡系統(tǒng)造成損失。

2.數(shù)據(jù)訪問的安全審計

防止未授權用戶對數(shù)據(jù)的訪問，系統(tǒng)還需在安全檢測方面，重點加強對主機攻擊的深度檢測功能和對數(shù)據(jù)訪問的安全審計功能。

由于數(shù)據(jù)是醫(yī)院信息系統(tǒng)中最核心、最重要的部分，因而需要具備對數(shù)據(jù)訪問的全面審計和檢測能力。醫(yī)院信息系統(tǒng)數(shù)據(jù)庫存儲著患者的疾病診斷、治療方案、檢查檢驗結(jié)果、處方、醫(yī)療費用等敏感信息，這些信息的非法訪問和修改將會造成重大的醫(yī)療糾紛及經(jīng)濟損失。建立完善的數(shù)據(jù)庫審計機制，并結(jié)合應用系統(tǒng)需求，實現(xiàn)數(shù)據(jù)庫監(jiān)控的透明度，降低人工審計成本，真正實現(xiàn)數(shù)據(jù)庫運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯，作為安全事件追蹤分析和責任追究的數(shù)據(jù)庫安全審計的運用是必要的[3]。通過對數(shù)據(jù)庫操作的痕跡進行詳細記錄和審計，使數(shù)據(jù)的所有者對數(shù)據(jù)庫訪問活動有據(jù)可查，及時掌握數(shù)據(jù)庫的使用情況，并對存在的安全隱患進行調(diào)整和改進。采用醫(yī)院數(shù)據(jù)庫安全審計系統(tǒng)是實現(xiàn)檢測功能的最有效方法。數(shù)據(jù)庫安全審計系統(tǒng)通過對特定行為進行邏輯描述，找出可疑行為的發(fā)起人員（WHO）；通過對所有操作和訪問行為進行逐一的客觀記錄和追溯，找出可疑人員使用的主機等物理訪問位置（WHERE）；通過對行為所用的使用訪問數(shù)據(jù)協(xié)議的分析，找出可疑人員使用的工具（WAY），找出可疑行為的時間（WHEN）；通過對非正常訪問的邏輯特征，系統(tǒng)進行阻斷和告警（WORK）；通過對可疑行為相關特征的深度分析，找出可疑人員的行為目的（WHAT）。從這 6大類（6W）入手，對敏感數(shù)據(jù)進行實時監(jiān)控，對各類行為（FTP、TELNET、HTTP）進行有效審計和追溯，對違規(guī)操作進行控制。

3.通知功能

當信息系統(tǒng)出現(xiàn)安全問題時，及時通知是非常重要的環(huán)節(jié)，在系統(tǒng)安全中占有最重要的地位。要解決好通知問題，就要制訂好通知的方案，在發(fā)現(xiàn)了信息系統(tǒng)不安全因素后，系統(tǒng)需要及時地進行反應，其過程如下：

報告：無論系統(tǒng)的自動化程度多高，都需要管理員知道是否有安全事件發(fā)生。

記錄：必須將所有的情況記錄下來，包括安全事件的各個細節(jié)以及系統(tǒng)的反映。

反應：進行相應的處理以阻止安全隱患的進一步蔓延。

安全審計中最重要的是當安全事件發(fā)生時，能夠及時將危及到安全的行為通知到相關責任人員，及時的清除安全隱患，恢復系統(tǒng)正常運行。隨著信息技術的發(fā)展，醫(yī)療信息覆蓋面更廣、種類更多，數(shù)據(jù)量更大，一旦發(fā)生數(shù)據(jù)被破泄密，就會給醫(yī)院造成不可估量的負面影響。

4.審計策略

審計策略是整套系統(tǒng)的核心，要準確地分析出危險行為，必須首先制定醫(yī)院的審計策略，哪些行為，哪些人，要檢測出來，完全由此來確定。

在審計策略制定上，先制定較為嚴格的審計策略，再根據(jù)檢測結(jié)果進行調(diào)整，將一些業(yè)務需要的操作行為劃歸到不報警，只做記錄的類別。不可放過較為隱蔽的，有規(guī)律可循的行為，這些行為的操作人，具有較大的危害性。

所有的策略制定一定不能違背一個原則，業(yè)務需要第一，絕對不能為了安全而犧牲正常的業(yè)務，那豈不變成了因噎廢食。

4 醫(yī)院安全系統(tǒng)設計方案

我們所研制的安全審計方案，如圖1所示：

圖1 醫(yī)院信息系統(tǒng)的安全審計方案設計

該系統(tǒng)已經(jīng)過實踐的證實，是符合醫(yī)院當前現(xiàn)狀并且穩(wěn)定的系統(tǒng)。因此，安全審計系統(tǒng)不能影響、破壞原有的系統(tǒng)，應使用最優(yōu)化的設計，以最小的投入獲得最大的效果。

為了不影響原有的信息系統(tǒng)結(jié)構，采用新增的硬件設備，在硬件設備上安裝部署安全審計系統(tǒng)。系統(tǒng)從醫(yī)院信息化系統(tǒng)核心的交換機的鏡像端口中獲取網(wǎng)絡中的數(shù)據(jù)，與數(shù)據(jù)安全不相關的信息首先將被過濾，保證系統(tǒng)能夠及時處理關鍵的信息。

進入到審計系統(tǒng)的數(shù)據(jù)，逐一與系統(tǒng)中的規(guī)則進行匹配，如匹配到規(guī)則，則根據(jù)規(guī)則定義的動作進行響應。

由于醫(yī)院由眾多的PC終端接入，要在審計結(jié)果中精確到某人，那就要求系統(tǒng)從網(wǎng)絡中獲取的信息足夠詳細，詳細到電腦的用戶名，訪問數(shù)據(jù)的用戶名，電腦的IP地址，物理地址，使用什么工具進行訪問等等。

一旦有能夠確認的危險行為發(fā)現(xiàn)，并且被系統(tǒng)自動或者人工手動確認為危險事件，通過偽造數(shù)據(jù)包的形式，中斷其連接，并以超級管理員的身份，停用其訪問數(shù)據(jù)的用戶名，以保證他無法再次嘗試連接。實現(xiàn)阻斷危險操作的功能。

5 總結(jié)

所研制的數(shù)據(jù)安全審計系統(tǒng)，能監(jiān)控通過網(wǎng)絡對數(shù)據(jù)庫的所有訪問數(shù)據(jù)，對所有的核心數(shù)據(jù)往來，根據(jù)規(guī)則逐一進行掃描，找出可疑的行為，視其嚴重程度，判斷是否需要阻斷，對重點事件進行通知提醒，對所有符合規(guī)則事件進行記錄，為今后的數(shù)據(jù)安全提供決策性的依據(jù)。安全審計系統(tǒng)盡其所能的完成制度無法完成的功能，以填補制度無法約束的空白。

[1]鄒祖軍,周偉.信息系統(tǒng)安全審計機制的實現(xiàn)[J].信息技術,2012,(11): 145-147,154.

[2]徐景日.醫(yī)院信息系統(tǒng)數(shù)據(jù)庫安全審計方案的探討[J].中國數(shù)學醫(yī)學,2011,6(1): 110-112

[3]潘曉雷,詹振坤,蔡海山.數(shù)據(jù)安全防御系統(tǒng)在醫(yī)院信息安全中的應用[J].中國數(shù)字醫(yī)學,2010,(9): 86-88