實(shí)驗(yàn)室信息系統(tǒng)中數(shù)據(jù)安全訪問的研究

岳 清

（北京信息科技大學(xué)計算機(jī)學(xué)院，北京 100101）

實(shí)驗(yàn)室信息系統(tǒng)中數(shù)據(jù)安全訪問的研究

岳 清

（北京信息科技大學(xué)計算機(jī)學(xué)院，北京 100101）

實(shí)驗(yàn)室信息系統(tǒng)是醫(yī)院信息系統(tǒng)的重要組成部分，其數(shù)據(jù)安全性至關(guān)重要。保障系統(tǒng)安全、高效運(yùn)行是每一個醫(yī)院科學(xué)管理理念的體現(xiàn)。文章從數(shù)據(jù)庫安全訪問、數(shù)據(jù)加密方面分析了如何構(gòu)建系統(tǒng)和維護(hù)系統(tǒng)安全運(yùn)行。

實(shí)驗(yàn)室信息系統(tǒng)；LIS；數(shù)據(jù)庫安全；中間件；數(shù)據(jù)庫加密

（一）引言

隨著醫(yī)院信息化的不斷發(fā)展，醫(yī)院信息系統(tǒng)( hospital information system,HIS)在醫(yī)院得以廣泛應(yīng)用，醫(yī)院業(yè)務(wù)對信息系統(tǒng)的依賴性也越來越強(qiáng)。實(shí)驗(yàn)室信息系統(tǒng)(laboratory information system,LIS)是HIS的重要組成部分，是專為醫(yī)院檢驗(yàn)科設(shè)計的一套實(shí)驗(yàn)室信息管理系統(tǒng)，是將病人樣本登錄、實(shí)驗(yàn)數(shù)據(jù)存取、報告審核、實(shí)驗(yàn)數(shù)據(jù)統(tǒng)計分析等繁雜的操作過程智能化、自動化和規(guī)范化管理的一套系統(tǒng)。數(shù)據(jù)信息是整個系統(tǒng)的靈魂，其安全性至關(guān)重要。安全體現(xiàn)在：數(shù)據(jù)被安全存儲、合法地訪問以及建立用戶審計，記錄每次操作的用戶的詳細(xì)情況；建立系統(tǒng)審計，記錄系統(tǒng)級命令和數(shù)據(jù)庫服務(wù)器本身的使用情況。本文將從數(shù)據(jù)庫安全訪問、數(shù)據(jù)加密兩方面探討如何構(gòu)建和維護(hù)系統(tǒng)的安全性。

（二）LIS簡介

LIS是將檢驗(yàn)、計算機(jī)、電子通訊技術(shù)相結(jié)合，實(shí)現(xiàn)對檢驗(yàn)設(shè)備產(chǎn)生的檢驗(yàn)信息進(jìn)行獲取、存儲、查詢、打印、長期保存以及對檢驗(yàn)儀器進(jìn)行質(zhì)量控制的計算機(jī)信息系統(tǒng)。LIS主要功能如下：

1.樣本信息管理：原始樣本、分裝樣本錄入與查找、樣本信息變更、樣本信息報告、樣本信息變更跟蹤等。

2.樣本存放管理：各級樣本存放單位的定制、存放體系的搭建、待處理樣本的篩選和剔除、樣本存放、位置變更、樣本清出、樣本各級存放單元的瀏覽、存放變更跟蹤等。

3.患者信息管理：患者信息瀏覽、歷史數(shù)據(jù)比較、歷史數(shù)據(jù)查詢等功能。

4.樣本檢測管理：待檢測樣本的篩選和剔除、樣本的領(lǐng)出、樣本的歸還、檢測項(xiàng)目的登記、檢測結(jié)果的記錄、樣本信息的變更等功能。

LIS所包括的信息通常有三大部分：（1）患者個人信息,其中包括編號、姓名、性別、年齡等；（2）樣本信息，其中包括樣本類型、來源、分裝量、狀態(tài)等；（3）檢驗(yàn)信息，其中包括檢驗(yàn)項(xiàng)目、數(shù)據(jù)值、檢驗(yàn)者、校對者、檢驗(yàn)時間、發(fā)送時間等。

在上述信息中，有些是要保密的，例如對于艾滋病實(shí)驗(yàn)室來說，患者個人信息以及其樣本、檢驗(yàn)信息都是要嚴(yán)格保密，不能外泄的。這就要求 LIS系統(tǒng)從構(gòu)建到運(yùn)行維護(hù)都要把好數(shù)據(jù)安全這一關(guān)。

（三）提高LIS數(shù)據(jù)安全的措施

1.采用數(shù)據(jù)庫安全訪問中間件

目前LIS多采用B/S結(jié)構(gòu)，應(yīng)用程序、用戶和數(shù)據(jù)庫服務(wù)器的關(guān)系如圖 1所示，用戶是直接訪問數(shù)據(jù)庫服務(wù)器或者通過應(yīng)用程序直接訪問數(shù)據(jù)庫服務(wù)器的。

圖1 用戶和數(shù)據(jù)庫服務(wù)器的關(guān)系

由于數(shù)據(jù)庫服務(wù)器直接與用戶和應(yīng)用服務(wù)器連接并提供服務(wù)，極易受到各種各樣的攻擊。其中 SQL注入就是被廣泛使用的攻擊方法之一。在這種直接連接的方式中用戶就可以利用某些提交數(shù)據(jù)頁面或修改數(shù)據(jù)頁面里的漏洞，精心構(gòu)造SQL語句，讓系統(tǒng)執(zhí)行此類特殊的SQL指令，從而獲取一些敏感信息，甚至獲取主機(jī)控制權(quán)限。這樣 LIS系統(tǒng)中的信息就完全受控于攻擊者，攻擊者不僅獲取信息，還可以更改信息，后果非常嚴(yán)重。

解決方法是部署中間件，中間件介于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，如圖 2所示。數(shù)據(jù)庫服務(wù)器與應(yīng)用程序之間通過中間件進(jìn)行隔離。所有對數(shù)據(jù)庫的訪問都必須經(jīng)過中間件進(jìn)行，這就切斷了原來的直接連接的途徑，各種隱通道也相應(yīng)被屏蔽，不會被攻擊者直接利用。部署中間件之后，應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過中間件和數(shù)據(jù)庫系統(tǒng)兩層身份認(rèn)證和權(quán)限檢查。例如，一個終端用戶想在 LIS中獲取某個患者的信息，這個請求通過應(yīng)用服務(wù)器提交給數(shù)據(jù)庫安全中間件，中間件可以使用IP地址、MAC地址、以及硬盤序列號、主板序列號等多種計算機(jī)系統(tǒng)的特征驗(yàn)證該終端用戶是否有權(quán)訪問。這樣就確保訪問來源的真實(shí)性，杜絕IP地址欺騙和假冒用戶的連接。從而有效的遏制了越權(quán)訪問、SQL注入攻擊等攻擊類型。

圖2 部署中間件后系統(tǒng)結(jié)構(gòu)

中間件服務(wù)器的部署可以有多種方式，圖3所示的方式適用于適合于現(xiàn)有安全防護(hù)等級較低的網(wǎng)絡(luò)環(huán)境中使用。尤其適合于應(yīng)用程序和數(shù)據(jù)庫服務(wù)器分屬于不同的機(jī)房和樓宇的情況。對于一些已經(jīng)有局域網(wǎng)的醫(yī)院，不能清晰地確定出現(xiàn)有網(wǎng)絡(luò)的安全程度，可以使用這種部署方式。部署了數(shù)據(jù)庫安全中間件，就相當(dāng)于有了專門從事數(shù)據(jù)庫安全訪問檢測的“衛(wèi)士”，使得訪問變得安全。

圖3 中間件服務(wù)器的部署

2.數(shù)據(jù)庫加密

除了在“訪問”級別上確保數(shù)據(jù)安全，還有一種常用的數(shù)據(jù)安全，即在“數(shù)據(jù)”級別上確保安全，也就是對數(shù)據(jù)庫加密。從加密方法來分類，加密分為“軟加密”和“硬加密”，軟加密是指通過軟件算法對數(shù)據(jù)加密，硬加密通過專用加密芯片或獨(dú)立的處理芯片等實(shí)現(xiàn)密碼運(yùn)算。從加密的對象來分類，加密可以分為“源加密”和“備份加密”，源加密指對數(shù)據(jù)的源頭進(jìn)行加密，備份加密是指對備份文件加密。每種方法都會對系統(tǒng)的可用性和成本造成不同的影響，這些都需要考慮。比如，有的方法會引起備份速度慢，有的方法會降低數(shù)據(jù)庫的檢索速度，有的方法會加大成本。

源加密是指對數(shù)據(jù)的源頭進(jìn)行加密，如對文件加密、對數(shù)據(jù)庫中存儲的數(shù)據(jù)加密。如果數(shù)據(jù)存儲時加密了，備份的時候也相應(yīng)的加密了。對于數(shù)據(jù)庫來說這種源加密有幾種級別：數(shù)據(jù)庫級別、表級別、字段級別的加密。 源加密系統(tǒng)有若干弊端。首先，他們通常會影響數(shù)據(jù)庫的性能。每個數(shù)據(jù)庫記錄必須在寫入的時候加密，在讀取的時候解密，但這樣會嚴(yán)重影響性能。因此，源加密技術(shù)主要應(yīng)用在少量數(shù)據(jù)的加密上，比如在 LIS中存放患者信息的字段級別上加密。當(dāng)源加密對象的范圍擴(kuò)大，對應(yīng)的檢索速度必然降低。如果系統(tǒng)要在現(xiàn)有安全防護(hù)等級較低的網(wǎng)絡(luò)環(huán)境中使用，那么源加密也是一種可靠的方法。

在 LIS使用中，要對系統(tǒng)定期做備份，以便在系統(tǒng)發(fā)生問題時恢復(fù)以前的數(shù)據(jù)。LIS 保存著患者信息、樣本信息、檢測信息，不允許有絲毫的偏差和丟失，一旦系統(tǒng)癱瘓，發(fā)生數(shù)據(jù)錯誤或丟失的情況，將導(dǎo)致直接或間接的經(jīng)濟(jì)損失、其后果越不堪設(shè)想。為此數(shù)據(jù)庫管理員應(yīng)針對具體的業(yè)務(wù)要求制定詳細(xì)的數(shù)據(jù)庫備份與災(zāi)難恢復(fù)策略。數(shù)據(jù)庫的備份是一個長期的過程，而恢復(fù)只在發(fā)生事故后進(jìn)行。目前許多醫(yī)院的備份系統(tǒng)采用2級機(jī)制：在線復(fù)制。建立災(zāi)難備用機(jī)房，采用在線復(fù)制技術(shù)，進(jìn)行兩地數(shù)據(jù)同步，最大限度地保證業(yè)務(wù)系統(tǒng)工作的連續(xù)性、可靠性；冷備份，在備用機(jī)房采用冷備份技術(shù), 將數(shù)據(jù)備份到磁帶機(jī)，避免人為誤操作、硬盤損壞、病毒及黑客造成關(guān)鍵數(shù)據(jù)的永久丟失，保證數(shù)據(jù)的可用性、一致性和完整性。但是備份的數(shù)據(jù)一定要加密，否則通過不法的途徑獲取了備份的光盤或磁帶，數(shù)據(jù)就被獲取了。對于備份文件加密，備份應(yīng)用程序會在數(shù)據(jù)存儲在磁帶上的時候?qū)ζ溥M(jìn)行加密。由于用軟件進(jìn)行加密比較慢，因此會影響備份性能。像源加密一樣，備份軟件加密也主要用在加密少量數(shù)據(jù)上。比如，如果你有一個用于存儲個人信息的數(shù)據(jù)庫，你可以只加密這個數(shù)據(jù)庫的備份。

無論是源加密還是備份加密，都離不開密鑰，加密數(shù)據(jù)需要密鑰，而解密數(shù)據(jù)同樣也需要密鑰，這就涉及到如何存儲密鑰的問題。目前一種常用的方法是用USB Key存儲密鑰。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數(shù)字證書，利用 USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對用戶身份的認(rèn)證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認(rèn)證的安全性。不用USB Key，就無法讀取加密后的信息，這樣大大提高了安全性。

軟加密的優(yōu)點(diǎn)是成本低，但是速度慢。硬加密是通過專用加密芯片或獨(dú)立的處理芯片等實(shí)現(xiàn)密碼運(yùn)算。因?yàn)榧用苁怯糜布M(jìn)行的，其速度可以很快，而且不會讓備份變得緩慢，加密設(shè)備先對數(shù)據(jù)進(jìn)行磁帶壓縮，然后再加密。對大量數(shù)據(jù)進(jìn)行加密，硬加密方式是可行的最佳選擇。用戶能壓縮他們的備份數(shù)據(jù)又不會導(dǎo)致任何性能和容量上的損失；硬件加密唯一的缺點(diǎn)是成本高。因此 LIS在選擇數(shù)據(jù)加密的方法時，可以根據(jù)具體情況來確定，如果有大量信息要加密，選則硬加密；通常只要選擇保密級別高的字段做軟加密即可。

（四）結(jié)束語

數(shù)據(jù)庫信息的安全是LIS良好運(yùn)行的基礎(chǔ)，本文給出了在構(gòu)建LIS系統(tǒng)中使用數(shù)據(jù)庫安全中間件技術(shù)，為數(shù)據(jù)庫安全訪問提供了保障，同時也對數(shù)據(jù)的加密方法進(jìn)行分析和對比，為LIS系統(tǒng)的構(gòu)建和維護(hù)提供了參考。

[1] 張小芳,王向東.淺述 LIS 應(yīng)用中的維護(hù)工作[J].醫(yī)療裝備,2010(9).

[2] 徐興勇,左儒發(fā).醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全與實(shí)時備份[J].重慶醫(yī)學(xué),2009(11).

[3] 張亮.醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全與備份[J].醫(yī)藥論壇雜

志,2010(3).

TP311.13

A

1008-1151(2011)05-0022-02

2011-02-25

2010年度科研水平提高項(xiàng)目資助（5028123400）

岳清（1973－），女，河南鄭州人，北京信息科技大學(xué)計算機(jī)學(xué)院講師，碩士，從事數(shù)據(jù)庫安全和軟件工程等方面研究。