區域醫療信息共享平臺的安全審計研究
賴煒① 辛小霞① 郭清順① 吳汝明① 林帝浣①
①中山大學網絡與信息技術中心,510089,廣州市中山二路74 號網絡中心何母實驗樓14
樓
markman@mail.sysu.edu.cn 87331381-807
摘 要 數據審計作為信息系統審計的重要組成部分,對信息系統的安全與穩定具有十分
重要的意義。本文通過研究區域醫療信息共享平臺數據庫審計機制,并結合應用系統需求,
通過比較數據庫安全審計的方案,探討針對基于數據庫的區域醫療信息共享平臺的安全審計
方案。
關鍵詞 區域醫療信息共享平臺 安全審計 數據庫
1 應用背景
區域醫療信息共享平臺通過整合區域醫療資源,建立居民健康檔案,從而全
面跟蹤居民健康狀況。整個系統通過計算機技術、現代通信技術等高科技手段為
市民一生的健康提供追蹤管理,及時準確地為每一個市民服務。而隨著區域醫療
信息化應用的日益普及和深入,針對操作系統、應用系統和網絡連接等安全性問
題,一般采用防火墻、入侵檢測、內網監控、防病毒等權限控制和安全審計措施,
作為信息系統核心的數據庫的訪問監測和安全審計亦同等重要。
信息系統審計(ISA,Information System Audit)是指根據公認的標準和
指導規范,對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控
制的過程,以確認預定的業務目標得以實現[1]。具體而言,信息系統審計就是以
企業或政府等組織的信息系統為審計對象,通過現代的審計理論和IT 管理理論,
從信息資產的安全性、數據的完整性以及系統的可靠性、有效性和效率性等方面
出發,對信息系統從開發、運行到維護的整個生命周期過程進行全面審查與評價,
以確定其是否能夠有效可靠地達到組織的戰略目標,并為改善和健全組織對信息
系統的控制提出建議的過程。
區域醫療信息共享平臺數據庫存儲著患者的疾病診斷、治療方案、檢查檢驗
結果、處方等敏感信息,這些信息的非法訪問和修改將會造成重大的醫療糾紛及
經濟損失。作為安全事件追蹤分析和責任追究的數據庫安全審計的運用是必要
的,通過對數據庫操作的痕跡進行詳細記錄和審計,使數據的所有者對數據庫訪
問活動有據可查,及時掌握數據庫的使用情況,并針對存在的安全隱患進行調整
和優化。
2 區域醫療信息共享平臺數據庫安全審計方案
數據訪問審計的目標在于記錄每一次數據操作的信息以便于進行事后審查,
即當數據訪問操作發生時,記錄何人何時何地對何數據進行了何種操作的信息。
分析歸納后,將對數據庫系統的數據訪問操作表示為4 個要素信息,即:操作者、
操作對象、操作時間和操作行為。
數據審計系統的目標就是能夠對需要審計的數據部署審計,當被審計數據發
生操作時,實現對操作者、操作時間、操作對象和操作行為信息的自動記錄,并
提供這些信息的查詢、統計等功能。此外,對于有不同安全要求的數據對象,又
分為記錄操作數據和不記錄操作數據兩種審計級別。
數據庫審計包括對數據庫的啟動、關閉,用戶的連接信息及SQL 語句的操作
進行安全審計。本節將針對各種方案進行比較,比較內 |
|
資源大小:307.63 KB 
