P2DR模型在醫院信息系統安全中的應用

韓蓉，吳俊

南通市腫瘤醫院 信息科，江蘇 南通 226000

醫院信息系統（HIS）是對醫院醫療、財務、物資、藥房、行政管理等信息進行采集、傳輸、處理、統計和存儲的計算機應用系統[1]。隨著醫院信息化的普及，各家醫院的HIS已涉及醫院的每個部門，涵蓋醫院日常工作的每個環節。HIS是7×24 h不間斷運行的，一旦網絡癱瘓或數據丟失，將會給醫院和病人造成不可估量的損失。因此，建立一套科學有效的醫院信息安全防護體系對HIS正常高效運行是十分重要的。本文嘗試結合P2DR（Protection Policy Detection Response)理論，探討實現HIS安全的策略和方法。

1 動態網絡安全模型P2DR

1985年，美國國防部發布了可信計算機安全評估準則 TCSEC（Trusted Computer System Evaluation Criteria）。這個準則的發布對操作系統及數據庫等方面的安全發展起到了很大的推動作用，被稱為信息安全的里程碑[2]。但是，TCSEC是基于主機/終端環境的靜態安全模型建立起來的標準，已經不能完全適應當前的技術需要。因此，針對日益嚴重的網絡信息安全問題和越來越突出的安全需求，美國ISS（安氏）公司率先提出了動態安全模型PDR（Protection Detection Response）。PDR模型通過防護（Protection）、檢測（Detection）和響應（Response）三位一體來保障動態網絡系統安全性。PDR模型，見圖1。隨后安氏公司在PDR模型的基礎上增加了策略（Policy）,也就是P2DR模型，見圖2。

圖1 PDR模型

圖2 P2DR模型

從圖2 可以看出它是一個動態、周期性的過程，是一種動態/風險模型，特點是動態性和適時性。防護、檢測和響應組成了一個完整和動態的安全循環，通過安全策略指導保證系統安全。該模型的核心思想是系統防護時間大于檢測時間與響應時間之和，則認為系統安全；系統檢測時間與響應時間之和越小，則系統越安全。所以要使系統安全可靠就要努力降低系統檢測和響應時間，同時還要根據安全策略定時對系統進行安全檢測，并及時修復和解決系統存在的安全漏洞。

目前，基于P2DR模型的網絡安全設計在電子商務、銀行信息安全系統、公安戶籍管理信息系統等方面均得到廣泛的應用，并取得比較理想的防護效果[3]。

2 醫院信息系統網絡安全分析

HIS網絡分為內網和外網，內網一般包括HIS、實驗室信息系統（LIS）、電子病歷（EMR）、影像存儲與傳輸系統（PACS）等業務系統，根據P2DR安全模型的指導思想，不同區域采取不同安全保護措施。其中核心業務區由醫院業務系統的HIS、EMR、LIS、PACS、數據庫服務器組成，主要安全問題是數據庫安全，重點是研究如何防范病毒侵入或外來移動設備的接入以及外來非法用戶的侵入。外網指醫院網絡向其他外部單位（如各縣市醫保中心、市衛生局、物價局、銀行等）開放的一個出口。外網區域由于連接的外網單位的安全防范措施各不相同，存在安全隱患——如果邊界區域沒有防范好，其他單位的病毒和攻擊很容易侵入醫院網絡中。

3 P2DR模型在醫院信息安全中的應用

3.1 防護功能（Protection）實現

3.1.1 軟件防護

HIS安全防護的重點是訪問控制、加密、認證等。①訪問控制主要任務是保證網絡資源不被非法使用和非法占用，HIS主要通過設立用戶權限口令來阻止非法登錄訪問HIS資源；② 加密技術的基本思想是通過對網絡數據的加密來保障網絡的安全可靠性[4]。HIS在數據傳輸時采用數據加密技術，在數據發送方和接受方給以一些特殊的信息用于加/解密信息；③ 醫院認證系統能對操作員用戶名/密碼、登錄終端、登錄時間進行認證，HIS中對不同的用戶設置不同的權限、不同的安全策略，這樣能保證系統與網絡資源的安全。現在在EMR中應用非常廣泛的數字簽名是實現唯一身份認證非常有效的方法，該方法僅次于指紋認證系統。通過唯一身份認證能對用戶的并發行為加以控制，便于網絡系統對用戶數據訪問的統一管理[3]；④ 內網管理軟件，通過內網管理軟件可以及時掌握終端使用情況，及時制止人為誤操作可能產生的安全隱患，防患于未然。

3.1.2 硬件防護

HIS的安全防護還有防火墻安全、防病毒攻擊、終端防護管理。① 醫院網絡有多個邊界，為確保外網訪問控制和保護內網訪問，對于出口處的防火墻，在上面建立DMZ（內網和外網均不能直接訪問的區域）網段；② 在所有計算方面安全威脅中，計算機病毒最為嚴重，發生頻率高、損失大、潛伏性強、覆蓋面廣。醫院通過建立各自動更新服務網站，保證醫院各終端能進行病毒庫及時升級，避免受到病毒攻擊；③ 醫院終端分布范圍廣、數量龐大，通過限制醫院各終端USB接口，嚴格控制非法軟件安裝，利用MAC地址綁定的辦法，嚴禁外來電腦私入醫院網絡。

3.2 檢測功能（Detection）實現

3.2.1 防火墻檢測

在網絡安全循環過程中，入侵檢測是非常重要的一個環節，它幫助系統有效對付網絡攻擊，增強系統管理員的安全管理能力，提高信息安全基礎結構的完整性[5]。防火墻本身具備入侵檢測功能，服務于整個網絡系統，同時根據需要配置入侵檢測的特征庫設置檢測到入侵行為之后的動作，進行安全事務處理。

3.2.2 數據庫安全檢測（審計）

HIS數據庫存儲著患者檢查檢驗結果、疾病診斷、疾病治療方案、病人處方、醫療費用等敏感信息，它是HIS中最核心、最重要的部分，這些信息的非法訪問和修改將會造成重大的醫療糾紛及經濟損失。通過對數據庫操作的痕跡進行詳細記錄和審計，使數據的所有者對數據庫訪問活動有據可查，及時掌握數據庫的使用情況，并對存在的安全隱患進行調整和改進，是安全事件追蹤分析和責任追究數據庫安全檢測運用的必要手段。數據庫安全審計系統通過對特定行為進行邏輯描述，找出可疑行為的發起人員（Who）；根據對所有操作和訪問行為細粒度的客觀記錄進行追溯，找出可疑人員所在科室、所在房間、使用的主機等物理訪問位置（Where），根據行為使用訪問數據協議進行分析，找出可疑人員使用的工具（Way）、時間（When）；根據對非正常訪問的邏輯特征，系統進行阻斷和告警（Work），并通過對可疑行為相關特征地深度分析，找出可疑人員的行為目的（What）；從這6大類入手，對敏感數據進行實時監控，對各類行為（FTP、TELNET、HTTP）進行有效審計和追溯，對違規操作進行及時控制。

3.3 響應功能（Response）實現

當信息系統出現故障和安全問題時，及時恢復和響應是非常重要的環節，在系統安全中占有最重要的地位[6-7]。要解決好響應問題，就要制訂好應急響應方案，在發現信息系統故障和不安全因素后，安全系統需要及時反應：①報告：無論系統的自動化程度多高，都需要管理員知道是否有安全事件發生；② 記錄：必須將所有的情況記錄下來，包括安全事件的各個細節以及系統的反映；③ 反應：進行相應的處理以阻止安全隱患的進一步蔓延；④ 恢復：清除故障隱患，及時提供容災備份系統，使業務能夠連續運行。

醫院數據庫的安全備份非常重要，一般有本地磁盤冗余陣列（RAID5方式）、異地備份、磁帶備份等多種備份策略，一旦某設備出現錯誤，能及時報警，對發生的錯誤事件，日志能自動將所有情況記錄下來。為此各大醫院均采用雙機熱備份方式實現系統集群，一旦某臺機器發生故障，另外一臺機器通過自動接管服務器變成主服務器，整個過程切換一般不超過1 min，這樣可以將系統中斷時間降到最低，使醫院業務能夠連續運行。因此醫院系統容災備份與恢復是HIS安全響應過程中極其重要的一部分[8]。

3.4 策略功（Policy）能實現

安全策略是安全管理的核心，要實施動態網絡安全循環過程，必須首先制定醫院的安全策略，所有的防護、檢測、響應都要依據安全策略實施，醫院安全策略為安全管理提供管理方向和支持手段。

在安全策略實現上，主要按照最小授權的原則，一般只開放業務應用需要的端口，同時為了保障業務系統的最高優先級，在做好相應的QOS（Quality Of Service）的同時，對內部人員訪問核心數據進行必要的限制等措施。同時在允許的規則中起用日志審計功能。按照縱深防御原則，網絡安全防護系統應該是一個多層次的安全系統，避免網絡中的“單點失效”，網絡系統設計的過程中關鍵的部分需要采用備份網絡設備、主機和數據庫，以防設備失效和數據丟失[9]。

再好的防護措施也不能保證萬無一失，針對醫院這一特殊應用客戶，還要制定合理的應急預案，我院規定：如果網絡故障超過15 min，則啟動本地系統程序，所有數據均暫時存放本地硬盤，這樣可以不間斷地進行掛號、收費、取藥，減少病人排隊等待時間，等網絡故障解決后，數據自動上傳，保證醫療數據完整安全。

本文將P2DR模型的理論應用于HIS安全，希望能為HIS安全防護提供有益的參考。醫院信息安全是一項復雜的工程，需要全面考慮，P2DR模型在HIS安全的應用只是醫院信息安全建設中的一部分，建立嚴格的安全管理制度、使用成熟的安全技術才是解決HIS安全的根本。不可能有一套通用的HIS安全模型，具體問題還要結合實際具體分析應用。

[1]王玉珍,賀瀅,馬婧,等.醫院信息系統安全保障體系存在的風險分析[J].醫療衛生裝備,2007,28(6):38-39.

[2]劉志.基于P2DR動態安全模型的SHTERM產品設計與實現[D].北京:北京郵電大學,2008.

[3]馮毅.基于P2DR模型的網銀安全體系方案設計[J].中國科技信息,2011,(14):104-105.

[4]范春雨.醫院信息系統安全及對策[J].科技創新導報,2010,(1):215-216.

[5]黃澤斌.基于P2DR模型的安全解決方案研究[J].計算機與信息技術,2007,(2):79-80.

[6]楊雪梅.基于P2DR模型的關鍵應用信息系統防御體系[J].計算機與應用化學,2010,27(8):1154-1156.

[7]阿孜古麗.醫院數據庫數據安全維護的分析及策略[J].中國醫療設備,2011,26(6):87,69.

[8]靳燕,王建珍.實現系統安全的技術方案分析[J].電腦開始與應用,2010,23(7):20-22.

[9]李結松.辦公網絡安全策略研究及技術實現[J].計算機與現代化,2012,(3):101-102.