【正文】 33 / 173這些數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)完整性、可用性以及安全性是非常重要的，但目前醫(yī)院數(shù)據(jù)庫系統(tǒng)采取的安全防范措施的級別還比不上操作系統(tǒng)和網(wǎng)絡的安全防范措施的級別。由于數(shù)據(jù)庫安全審計的功能缺失，數(shù)據(jù)庫安全域會帶來以下幾個方面的挑戰(zhàn):管理層面：主要表現(xiàn)為人員的職責、流程有待完善，內(nèi)部員工的日常操作有待規(guī) 范，第三方維護人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定 位真實的操作者。技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具來阻止內(nèi) 部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息。 審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,難于體現(xiàn) 審計信息的真實性。圖 數(shù)據(jù)庫安全威脅現(xiàn)狀圖（一）方案效果目前醫(yī)院很多業(yè)務系統(tǒng)，著眼點集中于應用系統(tǒng)方向的開發(fā)，圍繞數(shù)據(jù)庫基礎(chǔ)進行安全審計、行為阻斷、存取控制等安全行為未做詳細的，系統(tǒng)性的安全規(guī)劃。這種應用系統(tǒng)為導向的服務行為部署，容易造成重前端，不重數(shù)據(jù)庫操作的應用環(huán)境。導致了應用系統(tǒng)與數(shù)據(jù)庫系統(tǒng)之間數(shù)據(jù)交互無法進行強有力的安全審計分析，容易造成業(yè)務安全隱患，危及數(shù)據(jù)的保密性、有效性和完整性。而數(shù)據(jù)庫的安全隱患主要表現(xiàn)在：、數(shù)據(jù)庫內(nèi)的機密數(shù)據(jù)易被竊取34 / 173由于系統(tǒng)設計者對于數(shù)據(jù)庫中的數(shù)據(jù)訪問權(quán)限定義不夠嚴格，很有可能使得內(nèi)部普通員工通過網(wǎng)絡獲取數(shù)據(jù)庫中的機密數(shù)據(jù)。同時，數(shù)據(jù)庫系統(tǒng)本身的缺省用戶和口令、數(shù)據(jù)庫自身的安全漏洞或者管理員后門等均可能被普通用戶利用，獲取較高權(quán)限，竊取機密數(shù)據(jù)。一些數(shù)據(jù)庫應用系統(tǒng)的缺省數(shù)據(jù)庫用戶也會被普通用戶利用獲取應用系統(tǒng)中的數(shù)據(jù)信息。、數(shù)據(jù)庫數(shù)據(jù)的損壞由于系統(tǒng)或軟件的穩(wěn)定性和其他的一些突發(fā)的情況，會導致數(shù)據(jù)庫正在進行數(shù)據(jù)處理時產(chǎn)生中斷，這時就會導致數(shù)據(jù)信息的丟失或損壞。對于一些重要的數(shù)據(jù)如電子商務信息、銷售信息、客戶信息等等，這種威脅都是致命的。、直接的非授權(quán)數(shù)據(jù)庫操作通常，一個應用系統(tǒng)無論是采用客戶端服務器模式，或者采用瀏覽器服務器數(shù)據(jù)庫服務器模式，還是使用中間件的模式，一般用戶訪問數(shù)據(jù)庫使用的操作工具是客戶端軟件或者通用瀏覽器。但是攻擊者可能使用一些數(shù)據(jù)庫專用工具（如中的、 中的等或者通過遠程登錄直接操作數(shù)據(jù)庫中的數(shù)據(jù)）訪問數(shù)據(jù)庫。這種威脅對數(shù)據(jù)庫系統(tǒng)是非常嚴重的，攻擊者可以輕易篡改數(shù)據(jù)或者破壞整個系統(tǒng)。 、提供虛假數(shù)據(jù)在某些應用系統(tǒng)中，用戶可能通過應用界面向數(shù)據(jù)庫中插入虛假的數(shù)據(jù)，從而干擾整個業(yè)務的運轉(zhuǎn)，或者從中牟利。、假冒身份大部分的應用系統(tǒng)在設計的時候為了節(jié)省的數(shù)量，數(shù)據(jù)庫的實際用戶只有若干個（或者個），而用戶之間的身份區(qū)別是通過數(shù)據(jù)庫中內(nèi)部建立用戶名口令表的方式來實現(xiàn)的。這種系統(tǒng)實際登錄到數(shù)據(jù)庫的“ 用戶” 是同一個數(shù)據(jù)庫用戶，所有用戶相對數(shù)據(jù)庫平臺的權(quán)限是相同的，因此很容易相互冒用。如果一個用戶可以冒用他人身份進入，那么在案發(fā)或者故障時很難查證。、數(shù)據(jù)庫自身安全漏洞數(shù)據(jù)庫系統(tǒng)因為其功能強大、結(jié)構(gòu)復雜、各種應用客戶端眾多，因此系統(tǒng)自身的漏洞也十分的繁多。其中很多漏洞不僅威脅到數(shù)據(jù)庫自身的安全，還會威脅到其所在操作系統(tǒng)的安全性。 、等數(shù)據(jù)庫都有很多廣為人知的漏洞。惡意的用戶很可能利用這些漏洞攻擊數(shù)據(jù)庫進而入侵操作系統(tǒng)，獲取重要數(shù)據(jù)，對系統(tǒng)造成破壞。（二）數(shù)據(jù)庫安全審計設計原則35 / 173部署一款數(shù)據(jù)庫審計系統(tǒng)，既能獨立審計針對數(shù)據(jù)庫的各種訪問行為，又不影響數(shù)據(jù)庫的高效穩(wěn)定運行。該系統(tǒng)主要從以下個方面進行設計考慮：、實用性：由于業(yè)務系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故對于數(shù)據(jù)庫的操作審計需要細化到數(shù)據(jù)庫指令、表名、視圖、字段等，同時能夠?qū)徲嫈?shù)據(jù)庫返回的信息，包括錯誤碼和數(shù)據(jù)庫響應時長，這樣能夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應，避免由于數(shù)據(jù)庫故障帶來的業(yè)務損失； 、靈活性：審計系統(tǒng)可提供缺省的審計策略及自定義策略，可結(jié)合用戶業(yè)務特點，對關(guān)鍵業(yè)務用戶、操作途徑、重要操作、重要表、重要字段進行過濾審計，并可指定操作事件發(fā)生時，系統(tǒng)的響應方式；、兼容性：審計系統(tǒng)應適應不同的數(shù)據(jù)庫類型和應用環(huán)境，對于主流商業(yè)數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫的各種版本均能進行審計。且對于不同數(shù)據(jù)庫的審計策略編輯方法、日志展現(xiàn)能做到統(tǒng)一；、獨立性：審計系統(tǒng)應獨立于數(shù)據(jù)庫系統(tǒng)存在，即使數(shù)據(jù)庫或者操作系統(tǒng)遭到破壞，仍然要保證審計日志的準確性和完整性。同時，審計系統(tǒng)的運行，對數(shù)據(jù)庫系統(tǒng)和業(yè)務操作不應造成影響；、擴展性：當業(yè)務系統(tǒng)進行擴容時，審計系統(tǒng)可以平滑擴容。系統(tǒng)支持向第三方平臺提供記錄的審計信息；、可靠性：審計系統(tǒng)能連續(xù)穩(wěn)定運行，且提供足夠的存儲空間來存儲審計日志，滿足在線存儲至少個月的要求；審計系統(tǒng)能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響；、安全性：分權(quán)限管理，具有權(quán)限管理功能，可以對用戶分級，提供不同的操作權(quán)限和不同的網(wǎng)絡數(shù)據(jù)操作范圍限制，用戶只能在其權(quán)限內(nèi)對網(wǎng)絡數(shù)據(jù)進行審計和相關(guān)操作，具有自身安全審計功能；、易用性：審計系統(tǒng)應能夠基于操作進行分析，能夠提供主體標識（即用戶）、操作（行為）、客體標識（設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)）的分析和靈活可編輯的審計報表。（三）數(shù)據(jù)庫安全審計設計、網(wǎng)絡安全審計系統(tǒng)能夠監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，實時、智能的解析對數(shù)據(jù)庫服務器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄，數(shù)據(jù)的導入導出、特定的操作如對數(shù)據(jù)庫表的插入、刪除、修改，執(zhí)行特定的存貯過程等，都能夠被記錄和分析，分析的內(nèi)容可以精確到操作類型、操作對象（庫、表、字段）?？捎涗洸僮鞯挠脩裘?、機36 / 173器地址、客戶端程序名、操作時間等重要信息，對于關(guān)鍵操作的數(shù)據(jù)庫返回信息，包括操作結(jié)果、響應時長、操作返回內(nèi)容也可進行記錄。同時，提供日志報表系統(tǒng)進行事后的分析、取證和生成審計報告。、一般數(shù)據(jù)庫審計系統(tǒng)主要在數(shù)據(jù)庫安全域入口對數(shù)據(jù)庫安全域內(nèi)所有發(fā)生的操作數(shù)據(jù)進行審查，一般使用旁路監(jiān)聽模式，對數(shù)據(jù)庫系統(tǒng)端口所有流量進行監(jiān)聽，不必對業(yè)務網(wǎng)絡結(jié)構(gòu)做任何更改，對業(yè)務網(wǎng)絡沒有任何影響。、審計系統(tǒng)基于“網(wǎng)絡數(shù)據(jù)流俘獲→應用層數(shù)據(jù)分析→審計和響應”的基本流程實現(xiàn)各項功能，各個階段的流程結(jié)構(gòu)如下：、從圖上可看出，數(shù)據(jù)庫審計系統(tǒng)部署在數(shù)據(jù)庫區(qū)的統(tǒng)一出口，可以對整個數(shù)據(jù)庫區(qū)內(nèi)的數(shù)據(jù)庫的任何操作行為進行審計。、審計系統(tǒng)主要實現(xiàn)以下安全功能：（）針對不同的數(shù)據(jù)庫協(xié)議，提供基于應用操作的審計；（）提供數(shù)據(jù)庫操作語義解析審計，實現(xiàn)對違規(guī)行為的及時監(jiān)視和告警；（）提供缺省的多種合規(guī)操作規(guī)則，支持自定義規(guī)則（包括正則表達式等） ，實現(xiàn)靈活多樣的策略和響應；（）服務器遠程連接審計；（）根據(jù)設定輸出不同的安全審計報告。（四）數(shù)據(jù)庫安全審計部署效果37 / 173通過在數(shù)據(jù)庫安全區(qū)邊緣部署數(shù)據(jù)庫安全審計系統(tǒng)，保障客戶業(yè)務信息系統(tǒng)網(wǎng)絡中數(shù)據(jù)安全和操作合規(guī)，保障核心業(yè)務正常運行，審計核心業(yè)務的網(wǎng)絡訪問行為，及時發(fā)現(xiàn)誤操作、數(shù)據(jù)篡改和信息泄漏：、數(shù)據(jù)訪問審計：記錄所有對保護數(shù)據(jù)的訪問信息，包括主機訪問，文件操作，數(shù)據(jù)庫執(zhí)行語句或存儲過程等。系統(tǒng)審計所有用戶對關(guān)鍵數(shù)據(jù)的訪問行為，防止外部黑客入侵訪問和內(nèi)部人員非法獲取敏感信息。、數(shù)據(jù)變更審計：審計和查詢所有被保護數(shù)據(jù)的變更記錄，包括核心業(yè)務數(shù)據(jù)庫表結(jié)構(gòu)、關(guān)鍵數(shù)據(jù)文件的修改操作，等等，防止外部和內(nèi)部人員非法篡改重要的業(yè)務數(shù)據(jù)。、用戶操作審計：統(tǒng)計和查詢所有用戶的主機、數(shù)據(jù)庫和應用系統(tǒng)的登錄成功記錄和登錄失敗嘗試記錄，記錄所有用戶的訪問操作和用戶配置信息及其權(quán)限變更情況，可以用于事故和故障的追蹤和診斷。、違規(guī)訪問行為審計：記錄和發(fā)現(xiàn)用戶違規(guī)訪問。系統(tǒng)可以設定用戶黑白名單，以及定義復雜的合規(guī)規(guī)則（例如定義合法的訪問時間段、合法的源地址庫、合法的用戶賬號庫），可以設置合理的審計策略進行告警和阻斷。、惡意攻擊審計：記錄和發(fā)現(xiàn)利用主機，數(shù)據(jù)庫的漏洞對資源的攻擊行為，例如主機掃描、攻擊、欺騙和攻擊等，并可以對攻擊行為進行告警和阻斷。（五）數(shù)據(jù)接口安全管控、以往的信息系統(tǒng)建設，無論是醫(yī)院，還是衛(wèi)生局，其信息系統(tǒng)建設往往來源于部門需求或個別需求，不可避免地出現(xiàn)分散建設，但系統(tǒng)長期運行后，系統(tǒng)更換困難，而且其中的數(shù)據(jù)由于歷史、標準缺乏等各方面原因，導致業(yè)務協(xié)同難，數(shù)據(jù)二次利用困難，即使經(jīng)過多年建設，各地均建立了醫(yī)院信息系統(tǒng)、區(qū)域衛(wèi)生信息平臺等，但能支撐醫(yī)療業(yè)務協(xié)同的系統(tǒng)仍然極少，急需建立跨系統(tǒng)、跨機構(gòu)的醫(yī)療資源整合、醫(yī)療信息共享和醫(yī)療業(yè)務協(xié)同的接口安全管控平臺，實現(xiàn)系統(tǒng)互聯(lián)互通過程中的安全管控功能。、醫(yī)院信息交換層主要采用企業(yè)服務總線來構(gòu)建，企業(yè)服務總線為實現(xiàn)醫(yī)院內(nèi)部各信息系統(tǒng)之間、和區(qū)域衛(wèi)生信息平臺之間，以及和上級衛(wèi)生部門之間的數(shù)據(jù)、應用、流程整合提供服務。并提供框架下，服務的集中管理和安全控制。、企業(yè)服務總線提供多種通訊協(xié)議的訪問接入，不同通訊協(xié)議之間的轉(zhuǎn)換，不同數(shù)據(jù)格式的加工和處理，基于數(shù)據(jù)內(nèi)容的智能路由，基于主題的數(shù)據(jù)訂閱發(fā)布，應用整合異常處理。、對醫(yī)院信息平臺而言，企業(yè)服務總線滿足以下技術(shù)要求：（）支持方面，遵循設計原則和技術(shù)標準，能夠構(gòu)建標準的企業(yè)服務總線平臺，38 / 173提供松耦合模式，將業(yè)務邏輯和應用邏輯、數(shù)據(jù)邏輯等分離開，提供一個滿足企業(yè)的應用集成和信息調(diào)解需求的解決方案；（）服務支持方面，支持最新標準，包括、 、 、 等，支持自有的安全性和尋址功能，可以實現(xiàn)同步和異步不同形式的調(diào)用；（）智能路由方面，靈活的消息路由方式，支持基于消息內(nèi)容的處理和路由；而且還可以執(zhí)行一系列方式的消息交互，包括了過濾、充實、監(jiān)視、分發(fā)、關(guān)聯(lián)、拆分（一對多）和合成（多對一）等；（）格式轉(zhuǎn)換方面，標準數(shù)據(jù)的格式轉(zhuǎn)換，并且可以通過圖形化映射組件、 、客戶化程序、等多種方式實現(xiàn)轉(zhuǎn)換功能；（）非格式轉(zhuǎn)換方面，非標準數(shù)據(jù)的格式轉(zhuǎn)換，實現(xiàn)消息格式和其他數(shù)據(jù)格式之間的映射，包括了 、 、分隔符、平文本、行業(yè)專有數(shù)據(jù)格式等多種格式，同時也要支持自定義數(shù)據(jù)格式；（）發(fā)布訂閱方面，提供發(fā)布訂閱功能，支持隊列和主題兩種訂閱模式，主題訂閱模式支持樹狀結(jié)構(gòu)，即支持多級主題模式，支持主題模糊的匹配方式，同時支持跨越多節(jié)點的發(fā)布訂閱能力；（）圖形化開發(fā)工具方面，提供圖形化界面開發(fā)工具，實現(xiàn)簡單和復雜的數(shù)據(jù)流程設計，提供圖形化界面的數(shù)據(jù)映射和拖拽方式，以及配置功能的開發(fā)。提供多種內(nèi)置功能組件和節(jié)點，功能涵蓋協(xié)議接入、路由、轉(zhuǎn)換、監(jiān)控、例外處理等，同時要支持自定義的處理節(jié)點，提供多種編程語言(等)的實現(xiàn)接口；（）通訊協(xié)議支持方面，提供可靠的數(shù)據(jù)或消息傳輸，確保消息傳輸?shù)淖詈喕B接方式，如支持、等標準消息中間件，支持最新標準。支持靈活和開放的協(xié)議支持，包括、 、 、 、 、 、等；（）數(shù)據(jù)庫支持方面，實現(xiàn)與關(guān)系數(shù)據(jù)庫實現(xiàn)無縫的集成，同時支持和兩種數(shù)據(jù)庫連接方式，支持數(shù)據(jù)庫要涵蓋主流數(shù)據(jù)庫；在數(shù)據(jù)交換和流轉(zhuǎn)的過程中，支持業(yè)務邏輯中對不同數(shù)據(jù)庫的存儲操作，支持對不同數(shù)據(jù)庫實現(xiàn)不同的用戶和密碼支持。（）管理方面，提供圖形化性能監(jiān)控工具，支持統(tǒng)計和分析的功能，同時支持報告模式；（）性能方面，具備高性能處理能力，尤其對于數(shù)據(jù)的校驗和解析、解析、非報文的處理、路由和過濾、數(shù)據(jù)庫操作、調(diào)用等都要滿足高性能要求，提供動態(tài)的緩存機制，保證數(shù)據(jù)能夠在內(nèi)存中最快速的處理；（）可用性方面，提供高可用性，保證平臺*小時的運行；提供高穩(wěn)定性，保證在數(shù)據(jù)量或應用連接數(shù)高峰運行時的系統(tǒng)運行正常，保障持久化的系統(tǒng)運行；（）安全性方面，提供多種安全機制，用戶級別的認證、授權(quán)，支持標準的服務器；訪問級別的傳輸機制；數(shù)據(jù)內(nèi)容級別的數(shù)字簽名等機制。39 / 173七、終端安全防護解決方案（一）需求分析惡意代碼（病毒、蠕蟲、木馬等）防范歷來是信息安全建設中的重要組成部分，當今惡意代碼帶來的安全隱患包括：、信息被竊網(wǎng)絡病毒在發(fā)作后常常在造成直接破壞的同時，還會釋放后門程序，一旦重要服務器中毒，就有可能帶來核心技術(shù)的泄漏，如果核心技術(shù)資料被敵對勢力獲取，將可能造成嚴重的后果。、文件傳播文件服務器是網(wǎng)絡環(huán)境下文件儲存和訪問的主要應用服務器，由于內(nèi)部通常會有大量的文件存儲到服務器中，病毒極易通過文件復制的方式在服務器中傳播、復制，大量的病毒入侵可以導致文件服務器功能下降或癱瘓，甚至可能導致重要文件的永久性被破壞。、郵件傳播電子郵件已成為病毒傳播的最大載體，任一與外界有郵件往來的郵件服務器如果沒有采取有效的病毒防護措施，極易受到攻擊，并會導致病毒在企業(yè)內(nèi)部網(wǎng)中快速傳播。其實郵件服務器本身不會受到郵件病毒的破壞，只是轉(zhuǎn)發(fā)染毒郵件至客戶郵箱中，但是當客戶機染毒并產(chǎn)生幾何數(shù)量級的信件時，郵件服務器會由于在短時間內(nèi)需轉(zhuǎn)發(fā)大量郵件而導致性能迅速下降，直至宕機。、客戶機感染局域網(wǎng)中的工作站會受到病毒的感染，病毒的攻擊方式多種多樣，有通過、局域網(wǎng)傳播、盤、移動硬盤傳播等等，一旦客戶機感染病毒，便會迅速傳播到整個網(wǎng)絡中，并且會給日常的工作帶來極大的威脅。、網(wǎng)絡帶寬阻塞高速傳播和具有網(wǎng)絡攻擊能力的病毒，能占用有限的網(wǎng)絡帶寬，導致網(wǎng)絡癱瘓。如：“”就是典型導致網(wǎng)絡癱瘓的病毒，能導致網(wǎng)絡交換機、路由器、服務器嚴重過載癱瘓。、經(jīng)濟損失病毒造成的間接損失可能更大，由于病毒普遍都會對儲存在計算機上的數(shù)據(jù)進行刪除或破壞，并且盜取用戶的信息。病毒造成的后果是直接導致信息資產(chǎn)損失、經(jīng)濟損失，同時，病毒造成的網(wǎng)絡帶寬阻塞會嚴重影響正常的辦公和生產(chǎn)，每次病毒的傳40 / 173播和破壞都將給企業(yè)和個人帶來嚴重的經(jīng)濟損失。特別是最近出現(xiàn)的專門盜取網(wǎng)絡銀行帳號、密碼，證券交易賬號、密碼等類型的病毒，將直接給企業(yè)