075.区域医疗信息系统的安全审计探讨——赖炜 郭清顺 辛小霞

区域协同医疗信息化建设

区域医疗信息系统的安全审计探讨区域医疗信息系统的安全审计探讨 探讨

赖炜 郭清顺 辛小霞①①①

①中山大学网络与信息技术中心，510089，广州市中山二路74号网络中心何母实验楼14楼

摘 要 要 数据审计作为信息系统审计的重要组成部分，对信息系统的安全与稳定具有十分 重要的意义。本文通过研究区域医疗信息系统数据库审计机制，并结合应用系统需求，通过比较数据库安全审计的方案，探讨针对基于数据库的区域医疗信息系统的安全审计方案。 关键词 区域医疗信息系统 安全审计 数据库 关键词

1 应用背景 应用背景 应用背景

区域医疗信息系统通过整合区域医疗资源，建立居民健康档案，从而全面跟踪居民健康状况。整个系统通过计算机技术、现代通信技术等高科技手段为市民一生的健康提供追踪管理，及时准确地为每一个市民服务。而随着区域医疗信息化应用的日益普及和深入，针对操作系统、应用系统和网络连接等安全性问题，一般采用防火墙、入侵检测、内网监控、防病毒等权限控制和安全审计措施，作为信息系统核心的数据库的访问监测和安全审计亦同等重要。

信息系统审计（ISA，Information System Audit）是指根据公认的标准和指导规范，对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控

[1]制的过程，以确认预定的业务目标得以实现。具体而言，信息系统审计就是以

企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价，以确定其是否能够有效可靠地达到组织的战略目标，并为改善和健全组织对信息系统的控制提出建议的过程。

区域医疗信息系统数据库存储着患者的疾病诊断、治疗方案、检查检验结果、处方等敏感信息，这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的，通过对数据库操作的痕迹进行详细记录和审计，使数据的所有者对数据库访问活动有据可查，及时掌握数据库的使用情况，并针对存在的安全隐患进行调整和优化。 2 区域医疗信息系统数据库安全审计方案 区域医疗信息系统数据库安全审计方案 区域医疗信息系统数据库安全审计方案

区域协同医疗信息化建设

数据访问审计的目标在于记录每一次数据操作的信息以便于进行事后审查，即当数据访问操作发生时，记录何人何时何地对何数据进行了何种操作的信息。分析归纳后，将对数据库系统的数据访问操作表示为4个要素信息，即：操作者、操作对象、操作时间和操作行为。

数据审计系统的目标就是能够对需要审计的数据部署审计，当被审计数据发生操作时，实现对操作者、操作时间、操作对象和操作行为信息的自动记录，并提供这些信息的查询、统计等功能。此外，对于有不同安全要求的数据对象，又分为记录操作数据和不记录操作数据两种审计级别。

数据库审计包括对数据库的启动、关闭，用户的连接信息及SQL语句的操作进行安全审计。本节将针对各种方案进行比较，比较内容有：是否能解析出数据库的数据操作命令、SQL语句、存储过程等，重点关注其操作的时间、地址、用户、事件、过程、返回结果等；是否可对审计数据从多角度进行统计分析，识别风险所在和优化应用系统；是否可实现有针对性的设置审计规则进行事中监督，及时发现各种异常、可疑事件并进行督察核验，提高内控管理水平和应变能力。

2.1基于数据库系统自身审计功能的方案 大型数据库系统都有提供对数据库操基于数据库系统自身审计功能的方案

作的权限、对象、语句、网络进行监视和审计功能。审计内容包括用户、时间、终端标识号、sql语句等。Oracle甚至推出了针对select、insert、update、delete四种语句的细粒度审计（FGA），当满足设置检查条件时，可以细粒度到对指定时间段期间的操作、表中某列的值进行审计。

基于数据库系统自身审计功能开启时，需要开销大量数据库系统资源（包括CPU、内存、磁盘I/O等）用于审计活动。随着审计细粒度的细化，系统资源的开销成几何速度增长，在业务繁忙的时间段矛盾更加突出，但过粗的审计细粒度又无法满足要求。因为无法在数据库服务器的系统资源开销和审计细粒度之间取得平衡，绝大部分应用系统为了不影响业务系统的运行，选择了关闭数据库的审计功能。

2.2 2.2 基于数据库日志文件的方案 基于数据库日志文件的方案 大型数据库的每个操作首先记录在日志文件中，日志文件记录了数据库的更改的时间、类型、SCN号和用户信息等。通过分析各个时间段的日志文件内容，可以查看数据库的各种操作信息。可以利用日志文件的格式化工具生成数据库的DML和DDL操作信息进行审计，缺点是不能对

区域协同医疗信息化建设

select操作审计[2]，不能实时获得异常审计数据。

2.3 DDL、LOGON、LOGOFF、SHUT-DOWN、2.3 基于触发器的方案 基于触发器的方案 数据库一般都会为DML、

SERVERERROR等事件提供触发器，当事件发生时会触发一条或一系列SQL语句。通过该SQL语句可以把审计需要的帐户信息、操作时间、操作语句、新旧值等审计信息存入指定的数据表，审计系统根据需要设计程序对该数据表进行分析和审计。如果管理员对数据库的结构很熟悉，触发器审计实现就很容易，审计设计不必修改应用程序，审计和应用没有必然的关联。

基于触发器的数据库安全审计，需要开销一定的数据库服务器资源。不能对select操作审计，对操作者地址的记录比较困难。

2.4 2.4 基于旁路监听的方案 基于旁路监听的方案 基于旁路监听的数据库安全审计分为数据采集、数据解析、数据分析三部分。数据采集引擎通过旁路监听的方式接入核心交换机，通过设置端口镜像模式或TAP分流监听模式，使采集引擎能够监听到与数据库进行通讯的所有操作，并根据数据库操作协议进行还原和整理，发送到数据解析中心。数据解析中心根据事先设置的数据解析和事件关联规则，通过接收数据采集引擎的数据库操作数据，进行数据库操作的关联解析，将结果发送给数据分析中心。数据分析中心根据数据库管理者对数据库需要监控的内容，设置数据库审计规则，当接收到的解析结果符合管理员设置的审计规则时，数据分析将实时的给予报警。

基于旁路监听的数据库安全审计方法，审计过程不需开销数据库服务器性能，同时也不需改变原有的网络拓扑，对网络资源的开销只局限于主交换的端口镜像。可以审计DML和DDL操作的用户、时间、终端标识号、SQL语句等信息，并可以把不同类型的数据库（ORACLE、MSSQL等）的审计集中在一个管理平台，简化管理和操作。对于三层结构（C/C/S或C/C/B结构）的系统，数据库服务器只能获取中间层应用服务器的IP而无法获得用户名及用户IP，因此前几种审计方法都无法实现对其用户名及用户IP的审计。基于旁路监听的数据库安全审计可以利用数据库的会话标识符的唯一性，使得审计记录可以关联到用户名及用户IP。

基于旁路监听的数据库安全审计方法存在的两个重要的缺点：当审计设备故障或人为断开网络时，就无法采集审计记录；在数据库服务器上对数据库进行操

区域协同医疗信息化建设

作时，其操作语句没有经过网路传输，审计设备无法获取审计信息。 3 区域医疗信息系统 区域医疗信息系统的区域医疗信息系统的安全审计探讨安全审计探讨 探讨

根据医疗行业及其应用系统的特点，以操作行为的正常规律和规则为依据，对相关计算机系统进行的操作行为产生的动态或静态痕迹进行监测分析，发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测，及时发现异常和可疑事件，避免内部人员的威胁而发生严重的后果。

3.1 .1 合法权限滥用的监控 区域医疗信息系统的安全审计对医院工作站在班外时合法权限滥用的监控

间段，由于业务操作引发的数据库访问，应用模块在非设定的工作站上发生了相关操作引发的数据库访问，出现业务系统之外的仿冒应用程序对业务数据库进行访问以及数据库管理人员在业务窗口进行远程数据库访问等进行实时监控。

3.2 .2 存储过程的管理 存储过程的管理 存储过程调用在网络上传输的是参数，没有具体的SQL语句，审计系统很难根据SQL语句的特征进行监控，对其监控主要是设置白名单，并对名单设置审计规则。出现业务系统约定以外的存储过程调用、合法存储过程调用时出现参数异常或者调用场所异常等进行实时监控。

3.3 .3 历史操作的重现 重点监控工作站（医生工作站、医院前置机等）发生异常历史操作的重现

时，可以根据审计系统中记录的数据重现错误发生过程的场景，有利于异常原因的跟踪。

3.4 .4 人为高危操作访问数据库的监控 人为高危操作访问数据库的监控 删除数据库表、无条件批量删除或修改数据等数据库操作的监控审计。

3.5 电话、.5 敏感数据库表的操作访问的监控 对进行客户信息数据中的患者姓名、敏感数据库表的操作访问的监控

余额等，财务信息数据中的科目余额等，药品使用情况等敏感数据的修改、删除、查询、统计等操作的监控。

3.6 转检记录、.6 应用系统级监控的定制 应用系统级监控的定制 根据应用需求实现重复预约挂号登记表、

医疗咨询申请等系统经常发生又缺乏有效监控的异常操作进行应用级监控。

3.7 .7 应用系统调优的应用 对数据库应用的来源、类型、流量、压力、性能、效应用系统调优的应

率等方面的分析，可对应用系统的数据操作层进行详细的诊断，反作用于应用系统设计合理性的验证。

4 总结 总结 总结

区域协同医疗信息化建设

数据审计系统对数据库存取时间以及应用系统的效率都会产生影响，随着数据操作量的增加，这种影响会更加显著。基于旁路监听的数据库安全审计方案，只要在数据中心交换机配置端口镜像即可，不需要开销其他网络和系统资源，而应用系统必须在数据审计与系统效率之间作权衡，以获得一个平衡点，例如放弃对某几种数据操作类型或某些数据表的审计。数据审计是信息系统审计的一个环节，除此之外还有用户操作审计、操作系统审计、网络安全审计等等，它们共同构成信息系统的审计体系。

参考文献 参考文献

[1] 梁昌明.Oracle数据库审计方法的探讨[J].中国医疗设备，2008，23(4)：55-57

[2] 陈晨，陈怀楚，高国柱，刘宝林.基于Oracle数据库的数据审计系统的设计与实现[J].实验技术与管理，2005，22(12)：76-7970

[3] 曹晖，王青青，马义忠，罗平.一种新型的数据库安全审计系统[J].计算机工程与应用，2007，43(5)：163-165

本文来源：https://www.bwwdw.com/article/e29h.html