資源描述:
《數(shù)據(jù)庫安全審計系統(tǒng)在醫(yī)院信息化建設(shè)中的意義》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1����、數(shù)據(jù)庫安全審計系統(tǒng)在醫(yī)院信息化建設(shè)中的意義①鄧威①大竹縣人民醫(yī)院摘要醫(yī)院信息系統(tǒng)是醫(yī)院各項業(yè)務(wù)運行的重要支撐系統(tǒng)���,它的特殊性決定了安全性要求極高���,特別是信息系統(tǒng)的核心—數(shù)據(jù)庫安全至關(guān)重要��;來自內(nèi)部和外部的安全風(fēng)險會引發(fā)信息系統(tǒng)癱瘓�、各種內(nèi)部數(shù)據(jù)信息被泄露和篡改����、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生。醫(yī)院信息中心在嚴格執(zhí)行醫(yī)院安全保密規(guī)定的同時���,應(yīng)該采用數(shù)據(jù)庫安全審計系統(tǒng)用以加強對信息系統(tǒng)的監(jiān)控審計管理�,保證信息系統(tǒng)的數(shù)據(jù)保密性�����、完整性�����、可靠性和不可否認性����。關(guān)鍵詞數(shù)據(jù)庫安全審計醫(yī)院信息系統(tǒng)數(shù)據(jù)庫安全1引言醫(yī)院信息系統(tǒng)(HIS,HospitalInformationSystem)是指
2��、利用計算機軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)等現(xiàn)代化手段��,對醫(yī)院及其所屬各部門對人流��、物流�����、財流進行綜合管理����,對在醫(yī)療活動各階段中產(chǎn)生的數(shù)據(jù)進行采集、存貯����、處理、提取����、傳輸��、匯總�、加工生成各種信息,從而為醫(yī)院的整體運行提供全面的�����、自動化的管理及各種服務(wù)的信息系統(tǒng)。醫(yī)院的信息化建設(shè)經(jīng)過幾年的不斷投入����,已逐步發(fā)展完善成為含門診管理系統(tǒng)、住院管理系統(tǒng)��、藥品管理系統(tǒng)����、財務(wù)管理系統(tǒng)、OA管理系統(tǒng)����、醫(yī)囑處理系統(tǒng)、醫(yī)生工作站系統(tǒng)等綜合型醫(yī)院信息管理系統(tǒng)(HIS系統(tǒng))��。該信息系統(tǒng)在支持醫(yī)院的行政管理����,事務(wù)處理,輔助高層領(lǐng)導(dǎo)決策����,提高醫(yī)院工作效率的同時�,也有效地支持了醫(yī)院醫(yī)護人員的臨床活動�,通過收集和處理病人的臨
3、床醫(yī)療信息�,輔助診療、輔助臨床決策����,提高醫(yī)護人員的工作效率,為病人提供了更多��、更快�、更好的服務(wù)。醫(yī)院信息系統(tǒng)(以下簡稱“HIS系統(tǒng)”)是現(xiàn)代化醫(yī)院建設(shè)中不可缺少的基礎(chǔ)設(shè)施與支撐環(huán)境�����,是支撐醫(yī)療體系改革的“四梁八柱”之一���。特色主要是以信息標(biāo)準(zhǔn)化和數(shù)據(jù)庫技術(shù)為基礎(chǔ)��,以臨床應(yīng)用為核心,以醫(yī)療質(zhì)量控制和提高工作效率為目的����,建立人���、財、物����、業(yè)務(wù)等方面的基本信息庫,構(gòu)建業(yè)務(wù)���、管理和決策三個層次的系統(tǒng)功能��,覆蓋醫(yī)院管理的各個部門及患者在診療中的各個環(huán)節(jié)�,滿足醫(yī)院日益增長的信息需求�,并為醫(yī)院提供全方位的信息服務(wù)。現(xiàn)狀:經(jīng)歷20多年的發(fā)展��,中國醫(yī)療信息化建設(shè)已初具規(guī)模���,隨著信息技術(shù)的不斷發(fā)展��,在醫(yī)院這種
4�����、社會公共服務(wù)領(lǐng)域����,收集和儲存了大量的公民個人信息。但在當(dāng)前對醫(yī)療行業(yè)提供的網(wǎng)絡(luò)安全技術(shù)解決方案中�,仍以防火墻和防病毒為主流選擇,但是這些傳統(tǒng)的安全技術(shù)手段只能阻擋部分從外部到內(nèi)部的攻擊��,并且對來自內(nèi)部的信息竊取完全無能為力����,這就導(dǎo)致了“泄密門”事件一次次發(fā)生,引發(fā)重要數(shù)據(jù)的丟失����、破壞,不僅嚴重影響到醫(yī)院的網(wǎng)絡(luò)正常運行和形象聲譽��,還直接威脅到患者的隱私和生命安全����。事件舉例:08年深圳發(fā)生的全市孕婦信息庫泄露事件,不法分子將孕婦的資料制成了“泄密光盤”�����,4萬條包括孕婦姓名、出生日期(嬰兒)��、戶口性質(zhì)(流動�、暫住����、常住)��、家庭住址�����、聯(lián)系電話�、以及就診醫(yī)院及預(yù)產(chǎn)期的信息以每條0.3元的價格進行
5、銷售����,更令人咂舌的是這些信息每月還“滾動更新”,累計達到了10萬條�。2安全需求HIS系統(tǒng)是醫(yī)院各項業(yè)務(wù)運行的重要支撐系統(tǒng),它的特殊性決定了安全性要求極高����,特別是HIS系統(tǒng)的核心——數(shù)據(jù)安全性的威脅體現(xiàn)在實際應(yīng)用中,重點要考慮來自二個方面的安全風(fēng)險:來自外部安全風(fēng)險:利用弱口令設(shè)置、數(shù)據(jù)庫系統(tǒng)漏洞����,非法授權(quán)進入HIS系統(tǒng)訪問、拷貝和修改數(shù)據(jù)內(nèi)容�,甚至可以采用SQL注入,攻擊數(shù)據(jù)庫系統(tǒng)���;來自內(nèi)部安全風(fēng)險:以合法授權(quán)身份進入HIS系統(tǒng)對數(shù)據(jù)進行非法的訪問和操作����。由于HIS系統(tǒng)龐大��,系統(tǒng)的部分運行維護工作由軟件開發(fā)商和系統(tǒng)集成商負責(zé)完成���,因此該類維護人員通常具有系統(tǒng)權(quán)限���,能夠進入HIS系統(tǒng),對
6��、系統(tǒng)的數(shù)據(jù)進行訪問和操作��。甚至醫(yī)院內(nèi)部有權(quán)限訪問數(shù)據(jù)庫的人員在發(fā)生誤操作���,違規(guī)操作�,甚至一些惡意操作的時候都難以追蹤、取證�����。部分情況下�����,信息系統(tǒng)自身在訪問數(shù)據(jù)庫的時候����,由于一些難以避免的邏輯錯誤導(dǎo)致業(yè)務(wù)系統(tǒng)宕機的情況也會發(fā)生�����,極大影響日常工作���,但是卻難以及時定位找出問題根源�。目前醫(yī)院在存儲了患者信息�,財務(wù)信息,醫(yī)院信息等的核心數(shù)據(jù)庫�,被人接觸、查詢、修改甚至刪除核心數(shù)據(jù)等案例在國內(nèi)已屢見不鮮�����,如果這些情況發(fā)生將給醫(yī)院極可能造成難以彌補的經(jīng)濟損失���,帶來很多負面影響���。同時,《四川省數(shù)字化醫(yī)院評審標(biāo)準(zhǔn)》中也要求需加強對數(shù)據(jù)庫后臺的審計�。以上安全風(fēng)險會引發(fā)HIS系統(tǒng)癱瘓、各種內(nèi)部數(shù)據(jù)信息被泄露
7��、和篡改���、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生�。為了加強HIS系統(tǒng)的數(shù)據(jù)安全管理�����,醫(yī)院信息中心在嚴格執(zhí)行醫(yī)院安全保密規(guī)定的同時�����,應(yīng)該采用數(shù)據(jù)庫安全審計系統(tǒng)用以加強對HIS系統(tǒng)的監(jiān)控審計管理,保證HIS系統(tǒng)的數(shù)據(jù)保密性�����、完整性���、可靠性和不可否認性���。3數(shù)據(jù)庫安全審計系統(tǒng)描述采用基于旁路監(jiān)聽的數(shù)據(jù)庫審計系統(tǒng)作為醫(yī)院信息系統(tǒng)數(shù)據(jù)庫審計��,其基本原理是:通過旁路監(jiān)聽的方式�����,對網(wǎng)絡(luò)數(shù)據(jù)進行實時采集過濾�����,對各種上層的數(shù)據(jù)庫應(yīng)用協(xié)議數(shù)據(jù)進行分析和還原��,然后再
