近几年，医院信息系统应用越来越广泛繁杂，医院各种药品处方数据、门诊住院收费数据以及记录患者诊疗过程的电子病历都在医院信息系统中得到统一存储，医院信息系统的信息安全也逐渐引起医院的高度重视[1]。仅靠规章制度已无法完全禁止这些敏感数据不被非法统计、泄漏和修改，因此需要通过相应的技术手段为医院制度落实提供原始证据，保存所有的查询、更改记录，从而确保准确解决实际问题[2]。

1 数据库审计系统的需求分析

医疗工作对医院信息系统的依托性越来越强，导致非法入侵医院信息系统的手段错综复杂。原有的简单用户名、使用权限以及日志生成等管理已经无法满足医院内审计控制的需求，出现了以下问题：一个用户名多人使用，长期闲置用户名被使用，系统管理员分配的权限过大，黑客非法接入医院局域网络[3]。

造成这些安全问题的原因主要为：首先，医院信息系统对于人员职责分配不明确，以及监管失控等[4]；其次，由于医院信息系统是一个庞杂的系统，安全漏洞屡见不鲜，黑客攻击层出不穷；再次，个别医院内部工作人员受到统方等利益驱使[5]，在不受防火墙、入侵检测等网络安全设备影响的情况下在系统内部进行统方，给数据库的安全带来极大的威胁。

目前笔者所在医院使用的数据库管理系统已经提供了记录和监视数据活动的功能，但存在很多漏洞。比如，依靠数据库日志文件的审计方法，在开启数据库日志文件的功能时会影响数据库自身的性能，并且数据库日志文件也占据大量的存储空间。日志文件显示的是操作人员对数据库的修改、插入和删除等操作记录，并没有显示对数据库数据的查询或浏览记录[6]，因此无法禁止不法人员查询和窃取数据库中重要的、保密的数据。更严重的是，数据库日志文件有被插入、删除、修改的风险，无法体现审计的有效性与公正性。再比如，当审计和监视的事件数量太大时，使用数据库的安全监视功能会影响服务器进程管理，从而导致跟踪文件或跟踪表变得很大，尤其在进行长时间监视的情况下，直接影响医疗信息系统的性能和效率。综上分析，应用数据库审计系统势在必行。

2 数据库审计系统的功能特点

数据库审计系统能够对医院信息系统网络中的各种数据库进行全方位的安全审计，能保护医院信息系统中的数据库和服务器，具体包括以下几方面。

2.1 数据访问审计

审计系统记录了所有对保护数据的访问信息，其中包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取统方等敏感信息。

2.2 数据变更审计

审计系统统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等，防止外部和内部人员非法篡改重要的医疗数据。

2.3 用户操作审计

审计系统统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断。

2.4 违规访问行为审计

审计系统记录和发现用户违规访问，支持设定用户黑白名单，支持定义复杂的合规规则，支持告警和阻断。

应用数据库审计系统能够对网络访问数据库的操作行为进行细粒度分析。该系统提供实时监控、违规响应、历史行为回溯等操作分析功能，是满足数据库风险管理和内控要求、提升内部安全监管和保障数据库安全的有效手段。

3 数据库审计系统的功能实现

3.1 细粒度数据库操作审计

数据库审计系统能够深入细致地审计数据库的各种操作及其内容，能够监控和审计用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL及其他操作，审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数等[7](表1)。

表1 数据库审计系统审计的操作行为

系统不仅能够审计数据库操作请求，还能审计操作的返回结果，包括成功或者失败。如果失败，还能够审计到返回的错误码。

3.2 实时回放数据库操作

数据库审计系统对访问数据库、FTP操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。基于会话的行为分析技术，管理员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。数据库审计系统真正实现了对“谁、什么时间段内、在什么机器上、对什么(数据)、进行了哪些操作、结果如何”的全程审计[8]。

3.3 快速响应与协同防御

数据库审计系统在识别出安全事故后，能够自动或者用户手动地对威胁进行响应，采取安全对策，从而形成安全审计的闭环。数据库审计系统能够对业务网中所有IP的流量进行分析，因而能够更为精确地定位安全威胁，并对符合策略的告警事件进行阻断，实时自动阻止可疑行为[9]。数据库审计系统可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。数据库审计系统可以与第三方网络设备、安全设备进行联动。通过数据库审计系统与其他数据库审计系统安全管理产品的综合使用，可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。

3.4 详尽有效的审计报表

数据库审计系统具有报表分析功能。系统的报表分析引擎从多种角度、多种维度对数据进行分析，提供实时分析、历史分析等分析手段，对比统计的结果和分析数据的发展趋势，将结果以图形方式(柱图、饼图、曲线图等)显示、打印，报告可用PDF、DOC或XLS等格式存档。

4 数据库审计系统应用的具体方法

4.1 系统部署方法

通过端口镜像或者TAP方式将数据库审计系统连接到网络中。将审计系统设备放置在医疗相关服务器集中的交换机上，对交换机的端口做镜像，再连接到审计系统上。系统管理员通过浏览器可以从院区任何位置登录数据库审计系统进行各项操作[10](图1)。

图1 数据库审计系统与核心交换机、服务器等连接网络拓扑图

4.2 系统工作方法

数据库审计系统设备在医院主服务器与客户端之间，对所有经过数据库服务器的数据进行审计分析，具体方法如下。

4.2.1 数据抓取

查找所有经过数据库审计系统的物理网卡列表，通过本系统IP地址定位当前正在使用的计算机网卡，真正抓取局域网中流经计算机网卡的数据帧信息。

4.2.2 数据过滤

数据在应用层将通过3方面进行数据过滤：接受TCP协议的数据包的协议过滤，接受访问目的地址为数据库服务器IP地址的数据包，接受Oracle数据库目的端口过滤并按照审计需求留存需要的数据、过滤掉其余的数据(图2)。

4.2.3 数据分析

根据TCP协议的数据结构对留存的数据进行分析处理，将所有数据设置为可读数据。在局域网中抓取到的数据库数据帧信息在网络传输过程中保持不变，对这些数据库数据帧信息进行分析得到相关局域网络的信息。数据库审计系统的数据分析在传输层与TCP协议一致，按照TCP/IP协议的数据结构对抓取到的数据库数据帧数据进行解析以获得网络层和传输层的相关信息。应用层的信息经过传输层和网络层的封装后，对TCP/IP协议的具体数据结构进行分析。

4.2.4 日志生成

将符合条件的数据生成日志存储在日志文件中，对所有的留存数据按照权限审计、语句审计、用户审计3种策略分类并进行统计分析(图3)。

图2 数据库审计系统——留存数据显示

图3 数据库审计系统——日志生成

4.3 系统目的实现

通过数据库审计系统自动报警或系统管理员进入系统查看，就可以对医院信息系统数据库的操作行为进行审计判断，从而实现对统方操作及恶意删除、修改、破坏数据库的行为进行实时准确判断[11]，并记录统方行为及恶意操作人所使用计算机的IP地址、发生时间以及操作人所使用的用户名等，保证了医院信息系统数据的安全性[12](图4)。

图4 数据库审计系统——记录事件结果

4.4 系统隐患排除

在审计系统应用过程中，笔者发现数据库审计系统存在一个漏洞，即系统在获取连接数据库客户端的IP地址及MAC地址时，比对在用户注册表中不存在的地址后不能以会话的方式自动断开，医院信息系统的安全仍然存在隐患。对此，笔者重新调整了系统并在系统中建立了系统自动生成的日志表和存放不法登录的黑客的黑名单表，使以上不安全因素得以解决[13]。

4.5 系统拓展应用

在系统应用过程中，借助审计系统的多端口侦听(Multi-Port Detection)技术，还可以同时侦听多个不同网段的网络通讯，对在物理或逻辑上隔离的多个网络进行了审计(图5)。

图5 数据库审计系统连接多个不同网段的网络拓扑图

5 结语

本文对医院信息系统数据库的安全状况进行分析的同时，提出了应用数据库审计系统的必要性。从审计系统的功能及应用效果来看，实现了对数据库进行准确、高效、全面的审计，有效地解决了医院信息系统在使用过程中的安全问题，而且审计系统自身的可用性没有对整个医院信息系统的可用性造成任何影响。