解放军总医院 计算机室，北京 100853

数据库安全审计系统在医院的部署与应用

刘丹丹，刘同波

解放军总医院 计算机室，北京 100853

随着医疗信息系统（HIS）体系不断庞大、结构日趋复杂，医疗数据的管理难度也随之加大，如何保证医疗数据的安全成了信息管理人员面临的重要问题。数据库安全审计系统对于数据库用户行为的监控、安全隐患的检测以及事后追查和分析能够起到重要的作用，可以加强HIS数据的安全，同时又可以为HIS的运行和优化提供参考信息，全方位保障HIS安全可靠地运行。本文对医院应用数据库安全审计系统进行探讨，并介绍数据库安全审计系统在我院的部署及应用实际情况。

医院信息系统；数据库审计系统；医疗数据安全

0 前言

近年来，随着医院数字化建设进程的逐步加快，医院由原来单一的医院信息系统（HIS），发展为以HIS为核心，RIS、LIS、电子病历、麻醉系统、重症监护、影像系统、合理用药系统、体检系统等组成的综合性信息系统。HIS体系不断庞大、结构日趋复杂，导致对医疗数据的管理难度剧增[1-2]。

HIS的数据库中存放着大量的患者个人隐私、医疗流程、物资财务等重要的敏感数据，医院的数据被泄露、窃取、篡改的案例时有发生，导致了很多严重后果。医疗数据的安全管理逐渐受到各级医院的高度重视。

在HIS的日常运行过程中引入数据安全审计机制，通过对数据库操作的痕迹进行详细记录和审计，使数据库用户对数据库访问活动有据可查，及时掌握数据库的使用情况，并针对存在的安全隐患进行调整和优化，防范数据从内部被泄露、窃取、篡改。对安全事件进行追溯和定位、明确事故责任人，是医疗数据安全管理的有效手段[3-4]。

1 需求分析

我院是一所超大型现代化综合性医院，医院的信息化建设起步较早，经过近20年的发展，HIS规模大、复杂性高。目前使用的各类业务系统约200多个，各类业务终端4000余台，作为各类业务系统支撑的数据库每天需要承受来自众多在线数据库用户巨大的访问量，产生大量在线业务数据。另外，基于“军卫一号”的大部分业务系统是基于C/S结构的，并且在权限分配时，需要为每个使用者建立相应的数据库用户，赋予业务系统用户的访问权限也比较宽松。

基于这样的状况，我院面临几个方面的数据风险：① 业务系统的使用人员误操作、违规操作和越权操作，损害业务系统安全运行；② 医院很多业务系统由医院从第三方引进，这些维护人员可能会误操作，恶意操作和篡改；③ 很多医护人员公用一个帐号，在发生问题之后，责任难以分清和追溯；④ 超级管理员用户操作难以监管和审计；⑤ 内部人员出于某些目的故意泄露或窃取出卖敏感信息。为了控制风险、防范问题，引入数据库安全审计是十分必要的。

当前数据库安全审计主要有4种方案：基于数据库系统自身审计功能、基于数据库日志文件、基于触发器和基于旁路监听方式。

大型数据库系统一般都自带审计功能，支持对数据库操作权限、对象、语句、网络等进行监视和审计，如Oracle数据库[5-7]甚至可以对select、insert、update、delete 4种语句进行细粒度审计，但是开启细粒度审计功能，会消耗大量的数据库服务器资源，而过粗的审计粒度又无法满足要求。因此，大多数生产数据库为了保证性能，都会选择关闭数据库的审计功能。

数据库的日志文件[8]可以记录数据库更改的时间、类型、SCN号和用户信息等。可以通过日志文件的格式化工具生成DML和DDL来进行审计。但缺点是不能对Select操作审计，也不能实时获得异常的审计数据。

基于触发器的方案是指为DML、DDL、登入登出、数据库异常等事件编写触发器，当事件发生时，使用SQL记录下相应的账户信息、操作时间、操作语句、新旧值等审计信息，再设计程序来对记录下来的审计信息进行分析和审计。基于触发器的方案，也需要开销一定的数据库服务器资源，且无法对Select操作进行审计，而且无法记录操作者的IP地址。

基于旁路监听的方案是指通过旁路监听的方式，对网络数据进行实时采集过滤，对各种上层的数据库应用协议数据进行分析和还原，然后再进行SQL语法解析，最后对审计记录进行存储、对违规的审计记录进行实时报警，同时生成审计报表和统计报表信息。这种方式可以审计对数据库的各种操作，包括select语句，可以把不同类型的数据库的审计集中在同一管理平台，简化管理和操作。无论是两层结构还是三层结构的业务系统，该种审计方式都能够审计用户的用户名和IP地址。但是也存在两个重要缺点：当审计设备故障或网络断开时，无法采集审计记录；在数据库服务器上对数据库进行操作时，其操作没有通过网络传输，审计设备无法获取审计信息。

经过以上的比较与分析，结合我院的实际情况，采用网络旁路监听方式的数据库安全审计系统是最为合理的选择。

2 系统部署与应用

2.1 系统部署

我院使用的数据库安全审计系统，支持多种部署方式，能够适应不同规模的应用需求，并且可以根据实际的应用情况进行个性化定制。我院在系统正式上线前，首先搭建一个单机版系统，进行一段时间的试运行，不仅可以检验系统的功能和性能，也可以为正式上线的系统配置方案制定提供参考依据。

由于我院的信息系统规模庞大、对数据库的访问情况复杂、对数据库的操作非常频繁，因此，在试运行的过程中发现：如果进行全库审计，单机版的数据库审计系统在运行过程中基本处于超负荷运转。因为在进行数据审计的同时，还要执行抓取数据包、解析数据包、建立数据索引等任务。尤其是在上午9：00点的业务高峰期，指定数据库表名、操作类型等条件，审计某日可疑数据库操作时，最长耗时达70 s以上，效率低下，不能满足审计分析和查询的实时性要求。

在试运行中还发现，在进行全库审计的情况下，审计系统数据库中存储审计信息每日约增长60GB的数据量，以单机版配备6TB存储为例，去除审计系统本身运行需要的2TB和硬盘保护预留的0.5～1TB，剩余的容量只能存储约60天的审计数据。系统试运行期间利用审计信息进行追溯查询的需求统计情况（以接到查询申请日期为基准），见表1。可以看出有相当一部分需求是追溯60天前到180天前之间的情况，因此，审计系统应保留6个月到1年的审计数据为宜。

表1 试运行期间数据追溯查询需求统计

根据实际需要和对试用情况的分析，最终的部署方案，见图1，系统包含了审计系统控制台端2台审计引擎。

图1 审计系统部署图

审计引擎A按策略抓取数据包，只负责实时审计对核心敏感数据的访问，如字典表的增删改、病人基本信息、药品相关统计信息和病人的计价信息等，这部分数据量很小却覆盖了日常90%以上的审计需要，在满足应用需求的同时又保证了审计的效率。

审计引擎B的主要功能为全数据库的数据包抓取、解析，B机的硬盘中只保留1个月的数据，使用在线归档功能将1个月前的数据自动归档到一个10TB的外接存储中，该外接存储可保留医院半年的医疗数据记录。

审计管理员可通过统一Web界面对两台审计服务器进行控制和访问，必要时可按时间段调取出审计引擎B的外接存储中的数据进行审计。

2.2 系统应用

根据医疗行业及其应用系统的特点，结合我院的业务需要，通过应用数据库安全审计系统，对我院医疗数据进行常规实时的细粒度审计，对人员使用业务系统进行数据库操作的行为进行监测分析，及时发现异常和可疑事件，避免了医院内部的数据安全威胁。

具体的应用措施包括：

（1）监控对敏感数据库表的访问和操作。对字典表、病人基本信息、药品相关统计信息和计价信息等敏感数据的增删改查操作进行重点监控。

（2）监控合法权限的滥用。为每一个业务系统的角色建立越权报警规则。

（3）监控人为的高危数据库操作。对删除数据库表、无条件批量删除等操作进行监控审计。

（4）监控、追溯非法操作。发生了非法操作后，能够追溯数据库操作过程，重现历史操作，为责任人的确定和软件BUG的修改提供了依据。

3 结束语

医院应用数据库安全审计系统可以保护医疗数据安全，数据库安全审计有多种方案，基于旁路监听的方案具有显著优势，医院可以根据自身的需求来选择合适的数据库安全审计系统部署和应用方案。

[1] 曹晖,王青青,马义忠,等．一种新型的数据库安全审计系统[J]．计算机工程与应用,2007,43(5):163-165．

[2] 梁昌明．Oracle数据库审计方法的探讨[J]．中国医疗设备,2008, 23(4):55-57．

[3] 聂元铭,吴晓明．基于数据库安全审计的研究[J]．信息网络安全,2009,(6):4-6．

[4] 周翔．数据库技术在医院设备管理中的应用[J]．中国医疗设备, 2012,27(10):80-82．

[5] 仝世君．Oracle安全审计技术设计[J]．煤炭技术,2011,(6):266-267．

[6] 姚旭．Oracle数库安全管理的分析与策略[J]．职业技术,2012, (5):133．

[7] 刘晓韬．Oracle数据库的安全威胁与防护技术[J]．保密科学术, 2011,(6):24-27．

[8] 李勋章．网络日志监控及安全审计系统的设计与实现[D]．西安:电子大学,2012．

Application and Disposition of Database Security Audit System in Hospitals

LIU Dan-dan, LIU Tong-bo
Computer Room, General Hospital of PLA, Beijing 100853, China

As the scale of hospital information system (HIS) expands constantly and its structure is increasingly complicated, the difficulty of managing medical data increases simultaneously. How to ensure the security of medical data becomes an important issue that information administrators are facing. Database security audit system plays an important role in behavior monitoring for database users, security risk detecting, tracking and analyzing afterwards. Thus this system can strengthen data security while providing reference information for running and optimizing of the hospital information system so that HIS can work safely and reliably in full aspects. This paper explores HIS used in hospitals, and introduces its actual situation of the deployment and application in our hospital.

hospital information system; database audit system; medical data security

TP311.13 ；TP393.08

A

10.3969/j.issn.1674-1633.2013.05.014

1674-1633(2013)05-0042-03

2012-03-13

本文作者：刘丹丹，助理工程师。

刘同波，工程师。

作者邮箱：liuzhimin0724@163．com