陈平，帅仁俊，何扬，苏逸飞

1.南京市卫生信息中心，江苏 南京210003；2.南京工业大学 电子与信息工程学院，江苏 南京 211816

M2-S5100数据安全网关在卫生信息系统的加密测试

陈平1，帅仁俊2，何扬2，苏逸飞1

1.南京市卫生信息中心，江苏 南京210003；2.南京工业大学 电子与信息工程学院，江苏 南京 211816

本文详细介绍了M2-S5100数据安全网关数据库加密设备的部署和测试过程。利用该设备对妇幼保健信息系统的业务应用、数据安全和系统保护等方面的性能和安全性进行了全面测试，测试结果证实，在系统数据库访问并发量较小、加密字段较少的情况下，加密后的事务性能下降＜10%，对用户体验影响也较小；在系统数据库访问并发量增加、加密字段较多的情况下，加密后事务性能下降较为明显，对系统性能和用户体验有较大影响。为此，建议将该数据库安全网关应用在数据并发量较小、只需加密少数字段就可以保障数据安全性的专业医疗信息系统，不建议在医疗电子病历系统应用该产品。

数据库安全网关；电子病历系统；妇幼保健信息系统；系统性能

0 前言

随着因特网的应用和计算机技术的飞速发展，数据库逐渐成为信息系统的核心部分并广泛应用于企业、金融机构、政府及国防等各个领域，使得数据库的安全显得越来越重要。保证数据库中大量数据的安全及第三方数据的访问不被篡改，已经成为当前计算机领域面临的一大挑战[1]。从20世纪80年代开始，人们对数据库存储加密技术进行了不断深入的研究，但其加密粒度基本上都是基于相应数据模型中的逻辑结构。而基于关系模型的存储加密模式也有其重大的缺陷：一是数据模型中逻辑结构实际存储的数据长度不固定，有时差别很大，从密匙安全角度考虑，分配的密匙数量和加密次数需要根据数据量而变化，造成密匙管理上的困难；二是由于分组加密具有较好的扩散性，因此数据库系统的存储加密一般采用分组加密方式，而数据量的不固定造成加密后的密文与加密前的明文长度上不成比例，因此造成存储管理上的困难；三是对数据库系统的体系结构考虑不够，完全是在逻辑操作和数据存取之间增加了一层存储加解密操作，造成对数据库性能影响较大[2]。

南京市卫生信息中心获得了国家密码管理局《国产商用密码技术在电子病历中的应用示范》的研究课题。在南京市机要局的牵头下，我中心与迈科龙公司经过近1年的严谨细致的工作，部署M2-S5100 数据库安全网关数据库加密设备，从业务应用、数据安全和医疗信息系统等级保护等角度，对安全加密设备的性能和安全性进行了全面、深入的测试[3]。

1 M2-S5100数据库安全网关的功能

M2-S5100 数据库系统安全网关，是国内首款基于数据库透明加密技术和数据库防火墙技术推出的一款数据库主动安全防御产品。它可实现数据透明加密存储，实时监控整个数据环境里的活动，主动识别并阻止攻击、防止信息泄密、恶意活动和欺诈，并自动对数据库进行审计，对数据及数据库安全提供立体化的数据保护[4]。 该安全网关可以防止绕过企业边界（FireWall、IDSIPS 等）防护的外部数据攻击，可以防止来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取，以及由于磁盘、磁带失窃等引起的数据泄露。

2 M2-S5100数据库安全网关性能测试

本测试在南京市卫生局进行，测试M2-S5100数据库系统安全网关的加解密性能。测试计划主要通过对南京市妇幼保健信息系统数据库进行透明加解密性能测试。从测试的立项开始直至测试结束，对数据库中涉及的管理内容进行模拟测试[5]。

2.1 测试对象

本次测试将采用《南京妇幼保健信息系统》和实际数据进行性能测试，以验证对重要数据加密后的性能来评估加密对应用系统性能的影响；同时为测试加密设备的极限性能，排除应用服务器和应用系统本身对测试数据的影响。本次测试将采用业务系统中登记建卡模块中的维护查询模块中SQL语句返回的大量数据来测试设备的解密性能。主要测试内容：① 南京市妇幼保健信息应用系统场景测试；② 精确查询性能测试；③ 批量数据查询性能测试；④ 婚孕前保健模块批量数据查询性能测试；⑤ 2500万批量数据查询性能测试；⑥ 5000万批量数据查询性能测试；⑦ 报表统计加密前后性能测试；⑧ 数据更新和插入测试[6]。

2.2 测试环境配置

本次测试环境配置，见表1。

表1 本次测试环境配置

2.3 测试准备

测试人员：用户方2人，设备厂家2人；测试第三方：东软公司。

测试针对专业的医疗卫生信息系统（南京妇幼保健信息系统）的真实数据进行，在对数据库存储的个人敏感隐私信息（包括涉及患者隐私信息的姓名、身份证号、联系电话、住址、病史等敏感数据）加密的前提下，测试数据库安全网关加密设备是否满足存储加密的功能性要求，是否满足医疗卫生专业系统对系统响应性能的要求。性能测试采用工业标准的LoadRuner测试工具，通过组合不同加密字段、不同循环次数和业务系统不同模块，对加密设备性能进行全方位、多维度的测试[7]。

3 测试结果

（1）采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块，测试方式为并发50个用户，根据保健编号，查询用户一条记录信息，总共产生200个事务数，加密前事务平均响应时间为0.187 s，加密后5个字段事务平均响应时间为0.203 s，加密后10个字段事务平均响应时间为0.205 s，加密后20个字段事务平均响应时间为0.207 s，加密后50个字段事务平均响应时间为0.251 s，性能平均下降不超过9.563%，整体延时控制在毫秒级内，对用户体验的影响基本上可以忽略。具体测试汇总表和LoadRunner自动化测试工具产生的原始数据，见表1及图1。

表1 孕产期保健模块精确查询加密前后性能对比表

图1 孕产期保健模块精确查询加密前后性能对比图表 （单位：s）

（2）采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块，测试方式为并发10个用户，每个查询返回1000条记录，总共产生100个事务数，总共返回100万条记录，加密前事务平均响应时间为2.502 s。加密后5个字段事务平均响应时间为2.644 s，加密后10个字段事务平均响应时间为2.684 s，加密后20个字段事务平均响应时间为2.808 s，加密后50个字段事务平均响应时间为2.84 s，性能平均下降不超过12.95%，整体延时控制在毫秒级内，对用户体验的影响基本上可以忽略。具体测试汇总表和LoadRunner自动化测试工具产生的原始数据，见表2及图2。

表2 孕产期保健模块批量查询加密前后性能对比表

（3）测试方式采用100个用户，并发执行业务系统中登记建卡模块中的维护查询模块中的SQL语句，该查询语句单用户单次查询将返回5000条记录，加密前事务平均响应时间为9.904 s，加密后5个字段事务平均响应时间为10.535 s，加密后10个字段事务平均响应时间为10.621 s，加密后20个字段事务平均响应时间为10.955 s，加密后50个字段事务平均响应时间为11.108 s，性能平均下降不超过8.3%，整体延时控制在毫秒级内，对用户体验的影响基本上可以忽略。具体测试汇总表和LoadRunner自动化测试工具产生的原始数据，见表3及图3。

图2 孕产期保健模块批量查询加密前后性能对比图表（单位：s）

表3 并发100用户返回5000万条数据查询性能对比

图3 并发100用户返回5000万条数据查询性能对比

由测试数据分析可知，在设备本身处理性能内，性能并不会随着并发用户的增加和返回的数据量增多导致性能加剧下降，能够将延时控制在一个合理的范围。

4 测试结果分析

在性能测试中，当加密字段较少、数据库访问并发量较小的情况下，加密后的事务性能下降＜10%，对用户体验影响较小；在加密字段较多、数据库访问并发量增加的情况下，加密后事务性能下降较为明显，对系统性能和用户体验有较大影响。

5 测试结论

经测试，M2-S5100产品在功能上能够满足数据库安全防护需求，加解密性能在测试环境中基本满足所需性能，用户体验与加密前基本一致，但绝对性能值有所下降。

6 医疗行业应用分析

电子病历系统具有访问并发量高、性能稳定性要求高、数据统计分析性能要求高等特点，对数据安全的考虑覆盖用户、医疗流程、药品等多个环节，通过少量加密字段难以实现医疗信息系统对数据安全的要求。大医院高峰期有上千名医生同时使用电子病历系统，数据安全需要包括用户隐私、医疗流程、医嘱处方、药品防统方等多个方面，因此M2-S5100 数据库安全网关在电子病历系统中应用需要对多个字段进行加密，需要面临加密字段的高并发量访问。现有的性能测试结果表明，在加密字段数较多、数据库访问并发量较高的情况下，M2-S5100 数据库安全网关会导致电子病历系统在性能上出现较大下降。而且随着区域医疗的推进，多家医疗机构进行数据联动和大数据分析，对系统性能的要求只会越来越高[8]。

根据测试情况，建议将数据库安全网关数据库加密设备应用在数据并发量较小，只需加密少数字段就可以保障数据安全性的专业医疗信息系统，不建议在医疗电子病历系统应用该产品。

[1] 王建.数据库加密系统的设计与实现[D].济南:山东大学,2014.

[2] 宋衍,孔志印,马婧,等.通用高效的数据库存储加密研究[A].中国计算机学会计算机安全专业委员会第26次全国计算机安全学术交流会论文集[C].中国计算机学会计算机安全专业委员会,2011.

[3] 刘丹丹,刘同波.数据库安全审计系统在医院的部署与应用[J].中国医疗设备,2013,28(5):42-44.

[4] 孟艳红,王育欣,倪天予,等.数据加密系统的设计与实现[J].沈阳工业大学学报,2007,29(3):340-343.

[5] 朱振立.数据库加密技术方法的比较研究[J].计算机光盘软件与应用,2014,(22):189-189,191.

[6] 马锡坤,于京杰,杨霜英,等.电子病历系统的集成和建设[J].中国医疗设备,2012,27(1):59-60,38.

[7] 李国赓,王亚红.医疗机构病历管理规定(2013年版)立法技术缺陷初探[J].中国医院管理,2014,34(12):67-68.

[8] 王琳.电子病例的安全管理策略分析[J].当代医学,2013,19(7): 17-18.

Encryption Test of the M2-S5100 Database Security Gateway in Health Information System

CHEN Ping1, SHUAI Ren-Jun2, HE Yang2, SU Yi-fei1
1.Nanjing Health Information Center, Nanjing Jiangsu 210003, China; 2.College of Computer Science and Technology, Nanjing Technology University, Nanjing Jiangsu 211816, China

This paper provided detailed introduction of the development and testing process of the encryption equipment of the M2-S5100 database security gateway. By using the equipment, a comprehensive safety test was carried out in the fields of business applications, data security，classified protection, system protection, and performance test of the maternal and pediatric information system. The testing result proved the following: when the encryption field and he amount of database access decreased, the encrypted transaction performance decreased by less than 10%; the impact on the user was minimal. When encryption field and the amount of database access increased, the performance of the transaction decreased obviously, and the system performance and user experience were greatly affected. Therefore, we suggest that the database security gateway database and the encryption equipment should be used in the professional medical information system in which there is only a small amount of data concurrency and only a small number of fields need to be encrypted to ensure data security. We also suggest that the gateway should not be used in electronic medical record system.

TP319

A

10.3969/j.issn.1674-1633.2016.02.027

1674-1633(2016)02-0103-03

2015-08-13

2015-12-23

帅仁俊，教授，研究生导师。

通讯作者邮箱；srjwhy@sina.com

Abstract:: database security gateway; electronic medical record system; maternal and pediatric health information system; system performance