区域医疗信息共享平台的安全审计研究
赖炜① 辛小霞① 郭清顺① 吴汝明① 林帝浣①
①中山大学网络与信息技术中心,510089,广州市中山二路74 号网络中心何母实验楼14
楼
markman@mail.sysu.edu.cn 87331381-807
摘 要 数据审计作为信息系统审计的重要组成部分,对信息系统的安全与稳定具有十分
重要的意义。本文通过研究区域医疗信息共享平台数据库审计机制,并结合应用系统需求,
通过比较数据库安全审计的方案,探讨针对基于数据库的区域医疗信息共享平台的安全审计
方案。
关键词 区域医疗信息共享平台 安全审计 数据库
1 应用背景
区域医疗信息共享平台通过整合区域医疗资源,建立居民健康档案,从而全
面跟踪居民健康状况。整个系统通过计算机技术、现代通信技术等高科技手段为
市民一生的健康提供追踪管理,及时准确地为每一个市民服务。而随着区域医疗
信息化应用的日益普及和深入,针对操作系统、应用系统和网络连接等安全性问
题,一般采用防火墙、入侵检测、内网监控、防病毒等权限控制和安全审计措施,
作为信息系统核心的数据库的访问监测和安全审计亦同等重要。
信息系统审计(ISA,Information System Audit)是指根据公认的标准和
指导规范,对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控
制的过程,以确认预定的业务目标得以实现[1]。具体而言,信息系统审计就是以
企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT 管理理论,
从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面
出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,
以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息
系统的控制提出建议的过程。
区域医疗信息共享平台数据库存储着患者的疾病诊断、治疗方案、检查检验
结果、处方等敏感信息,这些信息的非法访问和修改将会造成重大的医疗纠纷及
经济损失。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要
的,通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访
问活动有据可查,及时掌握数据库的使用情况,并针对存在的安全隐患进行调整
和优化。
2 区域医疗信息共享平台数据库安全审计方案
数据访问审计的目标在于记录每一次数据操作的信息以便于进行事后审查,
即当数据访问操作发生时,记录何人何时何地对何数据进行了何种操作的信息。
分析归纳后,将对数据库系统的数据访问操作表示为4 个要素信息,即:操作者、
操作对象、操作时间和操作行为。
数据审计系统的目标就是能够对需要审计的数据部署审计,当被审计数据发
生操作时,实现对操作者、操作时间、操作对象和操作行为信息的自动记录,并
提供这些信息的查询、统计等功能。此外,对于有不同安全要求的数据对象,又
分为记录操作数据和不记录操作数据两种审计级别。
数据库审计包括对数据库的启动、关闭,用户的连接信息及SQL 语句的操作
进行安全审计。本节将针对各种方案进行比较,比较内 |
|
资源大小:307.63 KB 
