實驗室信息系統中數據安全訪問的研究

岳 清

（北京信息科技大學計算機學院，北京 100101）

實驗室信息系統中數據安全訪問的研究

岳 清

（北京信息科技大學計算機學院，北京 100101）

實驗室信息系統是醫院信息系統的重要組成部分，其數據安全性至關重要。保障系統安全、高效運行是每一個醫院科學管理理念的體現。文章從數據庫安全訪問、數據加密方面分析了如何構建系統和維護系統安全運行。

實驗室信息系統；LIS；數據庫安全；中間件；數據庫加密

（一）引言

隨著醫院信息化的不斷發展，醫院信息系統( hospital information system,HIS)在醫院得以廣泛應用，醫院業務對信息系統的依賴性也越來越強。實驗室信息系統(laboratory information system,LIS)是HIS的重要組成部分，是專為醫院檢驗科設計的一套實驗室信息管理系統，是將病人樣本登錄、實驗數據存取、報告審核、實驗數據統計分析等繁雜的操作過程智能化、自動化和規范化管理的一套系統。數據信息是整個系統的靈魂，其安全性至關重要。安全體現在：數據被安全存儲、合法地訪問以及建立用戶審計，記錄每次操作的用戶的詳細情況；建立系統審計，記錄系統級命令和數據庫服務器本身的使用情況。本文將從數據庫安全訪問、數據加密兩方面探討如何構建和維護系統的安全性。

（二）LIS簡介

LIS是將檢驗、計算機、電子通訊技術相結合，實現對檢驗設備產生的檢驗信息進行獲取、存儲、查詢、打印、長期保存以及對檢驗儀器進行質量控制的計算機信息系統。LIS主要功能如下：

1.樣本信息管理：原始樣本、分裝樣本錄入與查找、樣本信息變更、樣本信息報告、樣本信息變更跟蹤等。

2.樣本存放管理：各級樣本存放單位的定制、存放體系的搭建、待處理樣本的篩選和剔除、樣本存放、位置變更、樣本清出、樣本各級存放單元的瀏覽、存放變更跟蹤等。

3.患者信息管理：患者信息瀏覽、歷史數據比較、歷史數據查詢等功能。

4.樣本檢測管理：待檢測樣本的篩選和剔除、樣本的領出、樣本的歸還、檢測項目的登記、檢測結果的記錄、樣本信息的變更等功能。

LIS所包括的信息通常有三大部分：（1）患者個人信息,其中包括編號、姓名、性別、年齡等；（2）樣本信息，其中包括樣本類型、來源、分裝量、狀態等；（3）檢驗信息，其中包括檢驗項目、數據值、檢驗者、校對者、檢驗時間、發送時間等。

在上述信息中，有些是要保密的，例如對于艾滋病實驗室來說，患者個人信息以及其樣本、檢驗信息都是要嚴格保密，不能外泄的。這就要求 LIS系統從構建到運行維護都要把好數據安全這一關。

（三）提高LIS數據安全的措施

1.采用數據庫安全訪問中間件

目前LIS多采用B/S結構，應用程序、用戶和數據庫服務器的關系如圖 1所示，用戶是直接訪問數據庫服務器或者通過應用程序直接訪問數據庫服務器的。

圖1 用戶和數據庫服務器的關系

由于數據庫服務器直接與用戶和應用服務器連接并提供服務，極易受到各種各樣的攻擊。其中 SQL注入就是被廣泛使用的攻擊方法之一。在這種直接連接的方式中用戶就可以利用某些提交數據頁面或修改數據頁面里的漏洞，精心構造SQL語句，讓系統執行此類特殊的SQL指令，從而獲取一些敏感信息，甚至獲取主機控制權限。這樣 LIS系統中的信息就完全受控于攻擊者，攻擊者不僅獲取信息，還可以更改信息，后果非常嚴重。

解決方法是部署中間件，中間件介于數據庫服務器和應用服務器之間，如圖 2所示。數據庫服務器與應用程序之間通過中間件進行隔離。所有對數據庫的訪問都必須經過中間件進行，這就切斷了原來的直接連接的途徑，各種隱通道也相應被屏蔽，不會被攻擊者直接利用。部署中間件之后，應用程序對數據庫的訪問，必須經過中間件和數據庫系統兩層身份認證和權限檢查。例如，一個終端用戶想在 LIS中獲取某個患者的信息，這個請求通過應用服務器提交給數據庫安全中間件，中間件可以使用IP地址、MAC地址、以及硬盤序列號、主板序列號等多種計算機系統的特征驗證該終端用戶是否有權訪問。這樣就確保訪問來源的真實性，杜絕IP地址欺騙和假冒用戶的連接。從而有效的遏制了越權訪問、SQL注入攻擊等攻擊類型。

圖2 部署中間件后系統結構

中間件服務器的部署可以有多種方式，圖3所示的方式適用于適合于現有安全防護等級較低的網絡環境中使用。尤其適合于應用程序和數據庫服務器分屬于不同的機房和樓宇的情況。對于一些已經有局域網的醫院，不能清晰地確定出現有網絡的安全程度，可以使用這種部署方式。部署了數據庫安全中間件，就相當于有了專門從事數據庫安全訪問檢測的“衛士”，使得訪問變得安全。

圖3 中間件服務器的部署

2.數據庫加密

除了在“訪問”級別上確保數據安全，還有一種常用的數據安全，即在“數據”級別上確保安全，也就是對數據庫加密。從加密方法來分類，加密分為“軟加密”和“硬加密”，軟加密是指通過軟件算法對數據加密，硬加密通過專用加密芯片或獨立的處理芯片等實現密碼運算。從加密的對象來分類，加密可以分為“源加密”和“備份加密”，源加密指對數據的源頭進行加密，備份加密是指對備份文件加密。每種方法都會對系統的可用性和成本造成不同的影響，這些都需要考慮。比如，有的方法會引起備份速度慢，有的方法會降低數據庫的檢索速度，有的方法會加大成本。

源加密是指對數據的源頭進行加密，如對文件加密、對數據庫中存儲的數據加密。如果數據存儲時加密了，備份的時候也相應的加密了。對于數據庫來說這種源加密有幾種級別：數據庫級別、表級別、字段級別的加密。 源加密系統有若干弊端。首先，他們通常會影響數據庫的性能。每個數據庫記錄必須在寫入的時候加密，在讀取的時候解密，但這樣會嚴重影響性能。因此，源加密技術主要應用在少量數據的加密上，比如在 LIS中存放患者信息的字段級別上加密。當源加密對象的范圍擴大，對應的檢索速度必然降低。如果系統要在現有安全防護等級較低的網絡環境中使用，那么源加密也是一種可靠的方法。

在 LIS使用中，要對系統定期做備份，以便在系統發生問題時恢復以前的數據。LIS 保存著患者信息、樣本信息、檢測信息，不允許有絲毫的偏差和丟失，一旦系統癱瘓，發生數據錯誤或丟失的情況，將導致直接或間接的經濟損失、其后果越不堪設想。為此數據庫管理員應針對具體的業務要求制定詳細的數據庫備份與災難恢復策略。數據庫的備份是一個長期的過程，而恢復只在發生事故后進行。目前許多醫院的備份系統采用2級機制：在線復制。建立災難備用機房，采用在線復制技術，進行兩地數據同步，最大限度地保證業務系統工作的連續性、可靠性；冷備份，在備用機房采用冷備份技術, 將數據備份到磁帶機，避免人為誤操作、硬盤損壞、病毒及黑客造成關鍵數據的永久丟失，保證數據的可用性、一致性和完整性。但是備份的數據一定要加密，否則通過不法的途徑獲取了備份的光盤或磁帶，數據就被獲取了。對于備份文件加密，備份應用程序會在數據存儲在磁帶上的時候對其進行加密。由于用軟件進行加密比較慢，因此會影響備份性能。像源加密一樣，備份軟件加密也主要用在加密少量數據上。比如，如果你有一個用于存儲個人信息的數據庫，你可以只加密這個數據庫的備份。

無論是源加密還是備份加密，都離不開密鑰，加密數據需要密鑰，而解密數據同樣也需要密鑰，這就涉及到如何存儲密鑰的問題。目前一種常用的方法是用USB Key存儲密鑰。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用 USB Key內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。不用USB Key，就無法讀取加密后的信息，這樣大大提高了安全性。

軟加密的優點是成本低，但是速度慢。硬加密是通過專用加密芯片或獨立的處理芯片等實現密碼運算。因為加密是用硬件進行的，其速度可以很快，而且不會讓備份變得緩慢，加密設備先對數據進行磁帶壓縮，然后再加密。對大量數據進行加密，硬加密方式是可行的最佳選擇。用戶能壓縮他們的備份數據又不會導致任何性能和容量上的損失；硬件加密唯一的缺點是成本高。因此 LIS在選擇數據加密的方法時，可以根據具體情況來確定，如果有大量信息要加密，選則硬加密；通常只要選擇保密級別高的字段做軟加密即可。

（四）結束語

數據庫信息的安全是LIS良好運行的基礎，本文給出了在構建LIS系統中使用數據庫安全中間件技術，為數據庫安全訪問提供了保障，同時也對數據的加密方法進行分析和對比，為LIS系統的構建和維護提供了參考。

[1] 張小芳,王向東.淺述 LIS 應用中的維護工作[J].醫療裝備,2010(9).

[2] 徐興勇,左儒發.醫院信息系統的數據安全與實時備份[J].重慶醫學,2009(11).

[3] 張亮.醫院信息系統的數據安全與備份[J].醫藥論壇雜

志,2010(3).

TP311.13

A

1008-1151(2011)05-0022-02

2011-02-25

2010年度科研水平提高項目資助（5028123400）

岳清（1973－），女，河南鄭州人，北京信息科技大學計算機學院講師，碩士，從事數據庫安全和軟件工程等方面研究。