袁夢絢，王直（江蘇科技大學(xué) 計算機(jī)科學(xué)與工程學(xué)院，江蘇 鎮(zhèn)江　212003）

基于WPDRRC模型的醫(yī)院信息系統(tǒng)安全評估

袁夢絢，王直
（江蘇科技大學(xué) 計算機(jī)科學(xué)與工程學(xué)院，江蘇 鎮(zhèn)江212003）

目前，醫(yī)院信息系統(tǒng)已大規(guī)模普及，但由于安全方案無針對性、相關(guān)人資缺乏，威脅依然嚴(yán)重存在。本文基于改進(jìn)現(xiàn)有安全方案，保障系統(tǒng)平穩(wěn)運行的目的，采用WPDRRC防護(hù)模型思想，提出符合中國國情的醫(yī)院信息安全模型及對應(yīng)安全措施，通過層次分析法構(gòu)建系統(tǒng)評估體系，對模塊安全指標(biāo)進(jìn)行賦權(quán)與評估，評估結(jié)果表明，醫(yī)院應(yīng)使用雙異地備份、路由冗余等方式，重點關(guān)注數(shù)據(jù)與通信的恢復(fù)與保護(hù)。

WPDRRC模型；層次分析法；醫(yī)院信息系統(tǒng)；通信安全；安全評估

信息與網(wǎng)絡(luò)技術(shù)的高速發(fā)展推動了計算機(jī)在信息管理系統(tǒng)中的應(yīng)用。海量的數(shù)據(jù)與信息使得醫(yī)院信息化辦公成為趨勢。自20世紀(jì)80年代開始，醫(yī)院信息系統(tǒng)得到行業(yè)與學(xué)術(shù)界的廣泛重視。所謂醫(yī)院信息系統(tǒng)，就是利用電子計算機(jī)和通信設(shè)備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺［1］。

醫(yī)院信息系統(tǒng)需要具備高安全性、高容錯性，任何的漏洞或者故障都會給醫(yī)院的運營帶來巨大的影響?，F(xiàn)有醫(yī)院的信息系統(tǒng)安全方案都是全方位周密保護(hù)，例如，文獻(xiàn)［2］結(jié)合HIS的分類和特點，提出對應(yīng)的安全定級建議，并運用PDCA持續(xù)改進(jìn)的理念，確保HIS的持續(xù)安全運行；文獻(xiàn)［3］提出了關(guān)于中國數(shù)字化醫(yī)院信息安全體系的動態(tài)網(wǎng)絡(luò)安全模型。然而，醫(yī)院現(xiàn)有相關(guān)人資無法與之匹配，導(dǎo)致醫(yī)院信息系統(tǒng)的安全威脅依然嚴(yán)重存在。本文根據(jù)WPDRRC模型將醫(yī)院信息系統(tǒng)保護(hù)措施模塊化，并使用層次分析法直觀的指出各模塊各指標(biāo)權(quán)重和所需要關(guān)注的順序，為決策者制定精確方案提供數(shù)據(jù)支持。

1　醫(yī)院信息系統(tǒng)常見的安全威脅

HIS在軟件邏輯層、數(shù)據(jù)邏輯層及基礎(chǔ)設(shè)備層均面臨諸多安全威脅，嚴(yán)重影響HIS的正常工作。常見的HIS安全威脅主要包括軟件漏洞、入侵者攻擊、硬件故障、網(wǎng)絡(luò)病毒等，如表1所示［4-5］。

表1概括了常見的安全威脅。醫(yī)院信息系統(tǒng)完全避免安全威脅是不可能的，只能通過盡可能全面的安全措施來降低安全風(fēng)險?？紤]到醫(yī)院的人力、財力及物力，根據(jù)安全指標(biāo)的定量分析和評估制定有針對性的安全方案在現(xiàn)實中才具有可行性。

2　WPDRRC信息安全模型

2.1WPDRRC相關(guān)概念

WPDRRC安全模型［6-7］是由我國安全專家組深入研究我國的現(xiàn)狀與國情、結(jié)合國際較為主流的PDR模型、P2DR模型以及PPDRR模型，提出的一種信息系統(tǒng)安全保障體系建設(shè)模型。WPDRRC模型有3大要素和6個環(huán)節(jié)，如圖1所示。3大要素主要由人員、策略以及技術(shù)組成，6個環(huán)節(jié)包括了預(yù)警（W）、保護(hù)（P）、檢測（D）、響應(yīng)（R）、恢復(fù)（R）和反擊（C），六者具有較強的時序性和動態(tài)性。

表1　醫(yī)院信息系統(tǒng)安全威脅

圖1　WPDRRC模型

WPDRRC安全模型同大多數(shù)的安全模型一樣，也是基于時間理論建立的。Dt為攻擊發(fā)生時檢測系統(tǒng)發(fā)現(xiàn)攻擊行為所需的時間，Rt為響應(yīng)環(huán)節(jié)啟動所需的時間，Et為恢復(fù)的時間，Pt為攻擊成功所需要的時間，當(dāng)Pt＞Dt+Rt，即當(dāng)攻擊成功的時間大于檢測所用時間以及系統(tǒng)的響應(yīng)時間時，系統(tǒng)即為安全。

2.2基于WPDRRC模型的HIS應(yīng)用分析

WPDRRC模型是信息安全防護(hù)通用模型，具體應(yīng)用于HIS安全防護(hù)中時需要進(jìn)行更為細(xì)化的目標(biāo)認(rèn)定與概念定義［8］。

預(yù)警（Warning）—主要用于預(yù)測是否存在惡意的攻擊行為，并評估其威脅程度和進(jìn)一步行動，從根源上杜絕威脅，消除攻擊和入侵的條件。醫(yī)院可以采用以往經(jīng)驗、安全日志與報警信息，盡可能發(fā)現(xiàn)存在的網(wǎng)絡(luò)漏洞和管理漏洞。

保護(hù) （Protect）—通過使用正規(guī)的安全措施和技術(shù)保護(hù)HIS，提前解決大多數(shù)的故障及修補漏洞。針對HIS所受到的安全威脅，首先應(yīng)制定清晰的責(zé)任制與獎懲制，保護(hù)硬件安全。通過強口令認(rèn)證、分組授權(quán)訪問、防火墻及防病毒等技術(shù)保護(hù)軟件、網(wǎng)絡(luò)和數(shù)據(jù)的安全［11］。

檢測（Detect）—預(yù)測和保護(hù)可以阻止大多數(shù)的入侵，但是無法阻止所有的入侵，而檢測是根據(jù)入侵事件的特征去進(jìn)行操作的。醫(yī)院可以部署入侵檢測系統(tǒng)（IDS），利用漏洞掃描、正版殺毒軟件等手段來發(fā)現(xiàn)新的威脅和弱點。

響應(yīng)（Respond）—就是當(dāng)系統(tǒng)遭到攻擊或者出現(xiàn)意外情況時，及時采用事先制定好的計劃，恢復(fù)HIS的正常運行。響應(yīng)一般分為緊急響應(yīng)和其他時間響應(yīng)，針對醫(yī)院工作性質(zhì)的特殊性以及預(yù)警發(fā)現(xiàn)的威脅，應(yīng)該提前制定緊急事故響應(yīng)方案［9］。

恢復(fù)（Restore）—系統(tǒng)遭到突發(fā)情況時，立即采用一系列的措施，盡快恢復(fù)系統(tǒng)功能，提供正常服務(wù)?；謴?fù)分為兩個方面:系統(tǒng)恢復(fù)和數(shù)據(jù)恢復(fù)。醫(yī)院的HIS系統(tǒng)需要定期升級及打補?。粩?shù)據(jù)服務(wù)器注意備份，這樣數(shù)據(jù)在遭到損壞、入侵等突發(fā)狀況時，能夠迅速恢復(fù)，通信服務(wù)實現(xiàn)路由冗余、負(fù)載分?jǐn)偟仁侄?，保障HIS的安全運行。

反擊（Counterattack）—利用安全工具，追本溯源，記錄罪證，依法對不法分子進(jìn)行必要的打擊。

3　層次分析法

層次分析法［10-12］的主要思想就是把復(fù)雜的問題劃分為若干因素，并將其按支配關(guān)系形成有序的遞階層次結(jié)構(gòu)；然后，通過客觀現(xiàn)實的主觀判斷，進(jìn)行兩兩比較，確定層次中諸要素的相對重要性；最后，利用矩陣計算諸要素相對權(quán)重從而反映出每層的重要性次序和權(quán)重，定量定性地分析各個決策因素的特點。

AHP的基本步驟為：建立層次結(jié)構(gòu)模型；構(gòu)造對比矩陣；層次判斷及一致性檢驗；確定模型的總排序；做出相應(yīng)決策。

4　基于層析分析法及WPDRRC模型的安全指標(biāo)評估

4.1實施流程

WPDRRC模型給出了安全信息防護(hù)的概念結(jié)構(gòu)，但實際應(yīng)用時無法精確地確定各安全指標(biāo)的權(quán)重，無法為決策者的決策提供準(zhǔn)確的數(shù)據(jù)支持。這里，引入AHP概念，能夠針對所有的安全指標(biāo)計算出相應(yīng)的權(quán)重，從而提高了決策者決策的準(zhǔn)確性和數(shù)據(jù)依據(jù)。

具體實施的流程如下：

1）建立層次安全模型，如圖2所示。

2）從第二層開始，在同一層次的兩兩因素之間進(jìn)行比較，構(gòu)成一個判斷矩陣A，如式（1）。

矩陣A中，aij表示元素i與元素j的重要性比值，aij的表引用1-9及其倒數(shù)作為標(biāo)度。實驗采用Intel G2020 CPU、4GB內(nèi)存的臺式計算機(jī)進(jìn)行。HIS安全分析矩陣A，網(wǎng)絡(luò)平臺、硬件平臺、數(shù)據(jù)存儲、數(shù)據(jù)傳輸及系統(tǒng)安全的判斷矩陣B1、B2、B3、B4、B5構(gòu)造為［13-14］，如式（2）-（7）：

根據(jù)現(xiàn)場勘察鉆探及室內(nèi)試驗數(shù)據(jù)，參考相關(guān)規(guī)范取值，并結(jié)合工程經(jīng)驗，該滑坡治理工程的土層物理力學(xué)參數(shù)及支擋結(jié)構(gòu)參數(shù)見表1所示.

圖2　基于WPDRRC的安全層析分析模型

3）計算最大特征根λmax、一致性指標(biāo)CI及一致性比率CR，保證數(shù)據(jù)邏輯一致性。當(dāng)λmax=n時，CI=0時完全一致，一般只要CI＆lt;0.1并且CR＆lt;0.1時，矩陣的一致性就可以被接受。其中，一致性指標(biāo)RI取值如表2所示。

4）最終要得到元素之間的順序關(guān)系，從而制定出最精準(zhǔn)的方案。

表2　隨機(jī)一致性指標(biāo)RI的取值

4.2實驗結(jié)果與分析

經(jīng)過對矩陣的計算，得出要素層及方案層各指標(biāo)權(quán)重、BWi及λmax，如表3、4所示。

表3　要素層權(quán)重結(jié)果

表4列出要素層權(quán)重，排序如下：數(shù)據(jù)存儲＞系統(tǒng)安全＞數(shù)據(jù)傳輸＞硬件平臺＞網(wǎng)絡(luò)平臺。

表4　方案層各安全指標(biāo)權(quán)重結(jié)果

根據(jù)式（8）～（10）、表2及表3、4中λmax計算出A、B1、B2、B3、B4、B5的一致性比例結(jié)果，結(jié)果如表5所示。

表5　矩陣一致性判斷結(jié)果

由上面可以看出矩陣 A、B1、B2、B3、B4、B5的CR＆lt;0.10，其一致性是可以被接受的。此外，根據(jù)表4列出方案層各安全指標(biāo)的權(quán)重，排序如下：恢復(fù)＞保護(hù)＞檢測＞響應(yīng)＞預(yù)警＞反擊，其中針對每個要素層的安全指標(biāo)也進(jìn)行了排序：網(wǎng)絡(luò)平臺：恢復(fù)＞檢測＞保護(hù)＞響應(yīng)＞預(yù)警＞反擊；硬件平臺：檢測＞保護(hù)＞恢復(fù)＞響應(yīng)＞預(yù)警＞反擊；數(shù)據(jù)存儲：保護(hù)＞恢復(fù)＞檢測=響應(yīng)＞預(yù)警＞反擊；數(shù)據(jù)傳輸：保護(hù)＞恢復(fù)＞響應(yīng)＞檢測＞預(yù)警＞反擊；系統(tǒng)安全：恢復(fù)=響應(yīng)＞檢測＞保護(hù)＞預(yù)警＞反擊。

1）人：信息科安排專人值班；對醫(yī)護(hù)人員開展保護(hù) HIS安全培訓(xùn)，提高其保護(hù)意識；

2）制度：職責(zé)到人、獎罰制度分明；

3）技術(shù)：醫(yī)院數(shù)據(jù)服務(wù)器采用雙備份異地存儲機(jī)制；搭建文件備份服務(wù)器，規(guī)劃備份策略［15］；登陸系統(tǒng)需要進(jìn)行單點登陸（SSO）身份認(rèn)證，劃分安全域，對不同的安全域采用分級權(quán)限認(rèn)證；安裝正版防火墻以及殺毒軟件，定期進(jìn)行漏洞排查，以便在龐大的系統(tǒng)結(jié)構(gòu)、復(fù)雜的網(wǎng)絡(luò)環(huán)境下，保證醫(yī)院信息系統(tǒng)的可靠安全運行［16-17］。

5　結(jié)　論

目前，國內(nèi)大多數(shù)醫(yī)院的信息系統(tǒng)安全防護(hù)尚未得到充分的重視，相關(guān)的工作也未得到充分的開展。本文對現(xiàn)有模型體系進(jìn)行分析比較，得出存在的問題及缺點，結(jié)合我國實際情況，采用層次分析法和WPDRRC模型為醫(yī)院信息系統(tǒng)各平臺安全指標(biāo)提供理論分析和數(shù)據(jù)論證，并根據(jù)計算出的權(quán)重值提出相對應(yīng)的安全保護(hù)方案。實驗結(jié)果表明，所提方法具有一定的準(zhǔn)確性和可靠性，能夠應(yīng)用于實際的醫(yī)院信息系統(tǒng)安全防護(hù)工作。今后的主要工作，將集中于權(quán)值的自動生成與自適應(yīng)調(diào)節(jié)研究，進(jìn)一步降低人工干預(yù)的程度，從而實現(xiàn)系統(tǒng)的自動化運行。

［1］黃哲.醫(yī)院信息系統(tǒng)的發(fā)展現(xiàn)狀與方向［J］.中國現(xiàn)代醫(yī)學(xué)雜志，2009，19（6）:955-957.

［2］郎漫芝，王暉，鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級保護(hù)的實施探討［J］.計算機(jī)應(yīng)用與軟件，2013，30（1）:206-209.

［3］張蓮萍，陳琦.基于動態(tài)網(wǎng)絡(luò)安全模型的中國數(shù)字化醫(yī)院信息安全體系建設(shè)［J］.中國科技論壇，2015（3）:48-53.

［4］韓懂順.醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅與防范機(jī)制［J］.信息系統(tǒng)工程，2015（10）:64.

［5］李春林，簡明，劉建輝.醫(yī)院信息系統(tǒng)安全風(fēng)險管理對策研究［J］.醫(yī)療衛(wèi)生裝備，2013，34（3）:114-116.

［6］姚傳軍.WPDRRC信息安全模型在安全等級保護(hù)中的應(yīng)用［J］.光通信研究，2010，10（5）:27-29.

［7］苗新，陳希.電力通信網(wǎng)的安全體系架構(gòu)［J］.電力系統(tǒng)通信，2012，33（231）:34-38.

［8］段瑩，陳耿.計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)［J］.中國西部科技，2011，10（12）:29-30.

［9］劉中杰.基于WPDRRC模型構(gòu)建基層農(nóng)信社信息安全管理系統(tǒng)［D］.長沙：湖南大學(xué)，2012.

［10］鄧雪，李家銘，曾浩健.層次分析法權(quán)重計算方法分析及其應(yīng)用研究［J］.數(shù)學(xué)的實踐與認(rèn)識，2012，42（7）:93-100.

［11］華光.基于層次分析法的信息安全風(fēng)險評估研究［J］.現(xiàn)代計算機(jī)（專業(yè)版），2008（9）:80-83.

［12］蔣白樺.AHP層次分析法在化工物流承運商考核體系中的應(yīng)用［J］.計算機(jī)與應(yīng)用化學(xué)，2012，29（7）:900-902.

［13］張蓮萍.醫(yī)療信息系統(tǒng)縱深防御安全模型及風(fēng)險評價體系［J］.系統(tǒng)工程，2014，32（4）:147-154.

［14］李楊，韋偉，劉永忠.一種基于AHP的信息安全威脅評估模型研究［J］.計算機(jī)科學(xué)，2012，39（1）:61-64.

［15］何萍，索仲良.論如何構(gòu)建醫(yī)院信息系統(tǒng)的安全運行體系［J］.計算機(jī)應(yīng)用與軟件，2007，24（10）:202-204.

［16］郭金生.電子政務(wù)系統(tǒng)整合研究［J］.電子科技，2010（5）: 124-126.

［17］關(guān)滄，馮錫煒.基于角色訪問控制的單點登錄模型研究與設(shè)計［J］.電子設(shè)計工程，2012（22）:37-40.

Research on security evaluation of hospital information system based on WPDRRC model

YUAN Meng-xuan，WANG Zhi
（School of Computer Science and Engineering，Jiangsu University of Science and Technology，Zhenjiang 212003，China）

Currently，hospital information system became popular，but security threats were still serious because of untargeted security solutions and lack of human resources.In order to improve the existing solution and protect the system run smoothly，this paper puts forward a hospital information security model which is suitable for China according to WPDRRC protection model，also some security measures.Then construct an evaluation system by Analytic Hierarchy Process，empower and assess the index of each module.The result shows that hospital should focus on the recovery and protection of data and communication through double offsite backup and router redundancy.

WPDRRC model；analytic hierarchy process；hospital information system；security communication；security evaluation

TN918

A

1674－6236（2016）11-0011-04

2015-12-18稿件編號：201512198

國家自然科學(xué)基金資助項目（61503160）；江蘇省自然科學(xué)基金資助項目（BK20130473）

袁夢絢（1990—），女，江蘇南京人，碩士研究生。研究方向：云計算、信息安全等研究。