基于WPDRRC模型的醫院信息系統安全評估

袁夢絢，王直（江蘇科技大學 計算機科學與工程學院，江蘇 鎮江　212003）

基于WPDRRC模型的醫院信息系統安全評估

袁夢絢，王直
（江蘇科技大學 計算機科學與工程學院，江蘇 鎮江212003）

目前，醫院信息系統已大規模普及，但由于安全方案無針對性、相關人資缺乏，威脅依然嚴重存在。本文基于改進現有安全方案，保障系統平穩運行的目的，采用WPDRRC防護模型思想，提出符合中國國情的醫院信息安全模型及對應安全措施，通過層次分析法構建系統評估體系，對模塊安全指標進行賦權與評估，評估結果表明，醫院應使用雙異地備份、路由冗余等方式，重點關注數據與通信的恢復與保護。

WPDRRC模型；層次分析法；醫院信息系統；通信安全；安全評估

信息與網絡技術的高速發展推動了計算機在信息管理系統中的應用。海量的數據與信息使得醫院信息化辦公成為趨勢。自20世紀80年代開始，醫院信息系統得到行業與學術界的廣泛重視。所謂醫院信息系統，就是利用電子計算機和通信設備，為醫院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和數據交換的能力并滿足授權用戶的功能需求的平臺［1］。

醫院信息系統需要具備高安全性、高容錯性，任何的漏洞或者故障都會給醫院的運營帶來巨大的影響。現有醫院的信息系統安全方案都是全方位周密保護，例如，文獻［2］結合HIS的分類和特點，提出對應的安全定級建議，并運用PDCA持續改進的理念，確保HIS的持續安全運行；文獻［3］提出了關于中國數字化醫院信息安全體系的動態網絡安全模型。然而，醫院現有相關人資無法與之匹配，導致醫院信息系統的安全威脅依然嚴重存在。本文根據WPDRRC模型將醫院信息系統保護措施模塊化，并使用層次分析法直觀的指出各模塊各指標權重和所需要關注的順序，為決策者制定精確方案提供數據支持。

1　醫院信息系統常見的安全威脅

HIS在軟件邏輯層、數據邏輯層及基礎設備層均面臨諸多安全威脅，嚴重影響HIS的正常工作。常見的HIS安全威脅主要包括軟件漏洞、入侵者攻擊、硬件故障、網絡病毒等，如表1所示［4-5］。

表1概括了常見的安全威脅。醫院信息系統完全避免安全威脅是不可能的，只能通過盡可能全面的安全措施來降低安全風險。考慮到醫院的人力、財力及物力，根據安全指標的定量分析和評估制定有針對性的安全方案在現實中才具有可行性。

2　WPDRRC信息安全模型

2.1WPDRRC相關概念

WPDRRC安全模型［6-7］是由我國安全專家組深入研究我國的現狀與國情、結合國際較為主流的PDR模型、P2DR模型以及PPDRR模型，提出的一種信息系統安全保障體系建設模型。WPDRRC模型有3大要素和6個環節，如圖1所示。3大要素主要由人員、策略以及技術組成，6個環節包括了預警（W）、保護（P）、檢測（D）、響應（R）、恢復（R）和反擊（C），六者具有較強的時序性和動態性。

表1　醫院信息系統安全威脅

圖1　WPDRRC模型

WPDRRC安全模型同大多數的安全模型一樣，也是基于時間理論建立的。Dt為攻擊發生時檢測系統發現攻擊行為所需的時間，Rt為響應環節啟動所需的時間，Et為恢復的時間，Pt為攻擊成功所需要的時間，當Pt＞Dt+Rt，即當攻擊成功的時間大于檢測所用時間以及系統的響應時間時，系統即為安全。

2.2基于WPDRRC模型的HIS應用分析

WPDRRC模型是信息安全防護通用模型，具體應用于HIS安全防護中時需要進行更為細化的目標認定與概念定義［8］。

預警（Warning）—主要用于預測是否存在惡意的攻擊行為，并評估其威脅程度和進一步行動，從根源上杜絕威脅，消除攻擊和入侵的條件。醫院可以采用以往經驗、安全日志與報警信息，盡可能發現存在的網絡漏洞和管理漏洞。

保護 （Protect）—通過使用正規的安全措施和技術保護HIS，提前解決大多數的故障及修補漏洞。針對HIS所受到的安全威脅，首先應制定清晰的責任制與獎懲制，保護硬件安全。通過強口令認證、分組授權訪問、防火墻及防病毒等技術保護軟件、網絡和數據的安全［11］。

檢測（Detect）—預測和保護可以阻止大多數的入侵，但是無法阻止所有的入侵，而檢測是根據入侵事件的特征去進行操作的。醫院可以部署入侵檢測系統（IDS），利用漏洞掃描、正版殺毒軟件等手段來發現新的威脅和弱點。

響應（Respond）—就是當系統遭到攻擊或者出現意外情況時，及時采用事先制定好的計劃，恢復HIS的正常運行。響應一般分為緊急響應和其他時間響應，針對醫院工作性質的特殊性以及預警發現的威脅，應該提前制定緊急事故響應方案［9］。

恢復（Restore）—系統遭到突發情況時，立即采用一系列的措施，盡快恢復系統功能，提供正常服務。恢復分為兩個方面:系統恢復和數據恢復。醫院的HIS系統需要定期升級及打補丁；數據服務器注意備份，這樣數據在遭到損壞、入侵等突發狀況時，能夠迅速恢復，通信服務實現路由冗余、負載分攤等手段，保障HIS的安全運行。

反擊（Counterattack）—利用安全工具，追本溯源，記錄罪證，依法對不法分子進行必要的打擊。

3　層次分析法

層次分析法［10-12］的主要思想就是把復雜的問題劃分為若干因素，并將其按支配關系形成有序的遞階層次結構；然后，通過客觀現實的主觀判斷，進行兩兩比較，確定層次中諸要素的相對重要性；最后，利用矩陣計算諸要素相對權重從而反映出每層的重要性次序和權重，定量定性地分析各個決策因素的特點。

AHP的基本步驟為：建立層次結構模型；構造對比矩陣；層次判斷及一致性檢驗；確定模型的總排序；做出相應決策。

4　基于層析分析法及WPDRRC模型的安全指標評估

4.1實施流程

WPDRRC模型給出了安全信息防護的概念結構，但實際應用時無法精確地確定各安全指標的權重，無法為決策者的決策提供準確的數據支持。這里，引入AHP概念，能夠針對所有的安全指標計算出相應的權重，從而提高了決策者決策的準確性和數據依據。

具體實施的流程如下：

1）建立層次安全模型，如圖2所示。

2）從第二層開始，在同一層次的兩兩因素之間進行比較，構成一個判斷矩陣A，如式（1）。

矩陣A中，aij表示元素i與元素j的重要性比值，aij的表引用1-9及其倒數作為標度。實驗采用Intel G2020 CPU、4GB內存的臺式計算機進行。HIS安全分析矩陣A，網絡平臺、硬件平臺、數據存儲、數據傳輸及系統安全的判斷矩陣B1、B2、B3、B4、B5構造為［13-14］，如式（2）-（7）：

根據現場勘察鉆探及室內試驗數據，參考相關規范取值，并結合工程經驗，該滑坡治理工程的土層物理力學參數及支擋結構參數見表1所示.

圖2　基于WPDRRC的安全層析分析模型

3）計算最大特征根λmax、一致性指標CI及一致性比率CR，保證數據邏輯一致性。當λmax=n時，CI=0時完全一致，一般只要CI＆lt;0.1并且CR＆lt;0.1時，矩陣的一致性就可以被接受。其中，一致性指標RI取值如表2所示。

4）最終要得到元素之間的順序關系，從而制定出最精準的方案。

表2　隨機一致性指標RI的取值

4.2實驗結果與分析

經過對矩陣的計算，得出要素層及方案層各指標權重、BWi及λmax，如表3、4所示。

表3　要素層權重結果

表4列出要素層權重，排序如下：數據存儲＞系統安全＞數據傳輸＞硬件平臺＞網絡平臺。

表4　方案層各安全指標權重結果

根據式（8）～（10）、表2及表3、4中λmax計算出A、B1、B2、B3、B4、B5的一致性比例結果，結果如表5所示。

表5　矩陣一致性判斷結果

由上面可以看出矩陣 A、B1、B2、B3、B4、B5的CR＆lt;0.10，其一致性是可以被接受的。此外，根據表4列出方案層各安全指標的權重，排序如下：恢復＞保護＞檢測＞響應＞預警＞反擊，其中針對每個要素層的安全指標也進行了排序：網絡平臺：恢復＞檢測＞保護＞響應＞預警＞反擊；硬件平臺：檢測＞保護＞恢復＞響應＞預警＞反擊；數據存儲：保護＞恢復＞檢測=響應＞預警＞反擊；數據傳輸：保護＞恢復＞響應＞檢測＞預警＞反擊；系統安全：恢復=響應＞檢測＞保護＞預警＞反擊。

1）人：信息科安排專人值班；對醫護人員開展保護 HIS安全培訓，提高其保護意識；

2）制度：職責到人、獎罰制度分明；

3）技術：醫院數據服務器采用雙備份異地存儲機制；搭建文件備份服務器，規劃備份策略［15］；登陸系統需要進行單點登陸（SSO）身份認證，劃分安全域，對不同的安全域采用分級權限認證；安裝正版防火墻以及殺毒軟件，定期進行漏洞排查，以便在龐大的系統結構、復雜的網絡環境下，保證醫院信息系統的可靠安全運行［16-17］。

5　結　論

目前，國內大多數醫院的信息系統安全防護尚未得到充分的重視，相關的工作也未得到充分的開展。本文對現有模型體系進行分析比較，得出存在的問題及缺點，結合我國實際情況，采用層次分析法和WPDRRC模型為醫院信息系統各平臺安全指標提供理論分析和數據論證，并根據計算出的權重值提出相對應的安全保護方案。實驗結果表明，所提方法具有一定的準確性和可靠性，能夠應用于實際的醫院信息系統安全防護工作。今后的主要工作，將集中于權值的自動生成與自適應調節研究，進一步降低人工干預的程度，從而實現系統的自動化運行。

［1］黃哲.醫院信息系統的發展現狀與方向［J］.中國現代醫學雜志，2009，19（6）:955-957.

［2］郎漫芝，王暉，鄧小虹.醫院信息系統信息安全等級保護的實施探討［J］.計算機應用與軟件，2013，30（1）:206-209.

［3］張蓮萍，陳琦.基于動態網絡安全模型的中國數字化醫院信息安全體系建設［J］.中國科技論壇，2015（3）:48-53.

［4］韓懂順.醫院信息系統數據安全威脅與防范機制［J］.信息系統工程，2015（10）:64.

［5］李春林，簡明，劉建輝.醫院信息系統安全風險管理對策研究［J］.醫療衛生裝備，2013，34（3）:114-116.

［6］姚傳軍.WPDRRC信息安全模型在安全等級保護中的應用［J］.光通信研究，2010，10（5）:27-29.

［7］苗新，陳希.電力通信網的安全體系架構［J］.電力系統通信，2012，33（231）:34-38.

［8］段瑩，陳耿.計算機網絡的信息安全體系結構［J］.中國西部科技，2011，10（12）:29-30.

［9］劉中杰.基于WPDRRC模型構建基層農信社信息安全管理系統［D］.長沙：湖南大學，2012.

［10］鄧雪，李家銘，曾浩健.層次分析法權重計算方法分析及其應用研究［J］.數學的實踐與認識，2012，42（7）:93-100.

［11］華光.基于層次分析法的信息安全風險評估研究［J］.現代計算機（專業版），2008（9）:80-83.

［12］蔣白樺.AHP層次分析法在化工物流承運商考核體系中的應用［J］.計算機與應用化學，2012，29（7）:900-902.

［13］張蓮萍.醫療信息系統縱深防御安全模型及風險評價體系［J］.系統工程，2014，32（4）:147-154.

［14］李楊，韋偉，劉永忠.一種基于AHP的信息安全威脅評估模型研究［J］.計算機科學，2012，39（1）:61-64.

［15］何萍，索仲良.論如何構建醫院信息系統的安全運行體系［J］.計算機應用與軟件，2007，24（10）:202-204.

［16］郭金生.電子政務系統整合研究［J］.電子科技，2010（5）: 124-126.

［17］關滄，馮錫煒.基于角色訪問控制的單點登錄模型研究與設計［J］.電子設計工程，2012（22）:37-40.

Research on security evaluation of hospital information system based on WPDRRC model

YUAN Meng-xuan，WANG Zhi
（School of Computer Science and Engineering，Jiangsu University of Science and Technology，Zhenjiang 212003，China）

Currently，hospital information system became popular，but security threats were still serious because of untargeted security solutions and lack of human resources.In order to improve the existing solution and protect the system run smoothly，this paper puts forward a hospital information security model which is suitable for China according to WPDRRC protection model，also some security measures.Then construct an evaluation system by Analytic Hierarchy Process，empower and assess the index of each module.The result shows that hospital should focus on the recovery and protection of data and communication through double offsite backup and router redundancy.

WPDRRC model；analytic hierarchy process；hospital information system；security communication；security evaluation

TN918

A

1674－6236（2016）11-0011-04

2015-12-18稿件編號：201512198

國家自然科學基金資助項目（61503160）；江蘇省自然科學基金資助項目（BK20130473）

袁夢絢（1990—），女，江蘇南京人，碩士研究生。研究方向：云計算、信息安全等研究。