后关系型数据库——Caché是欧美医疗界公认的首选数据库。
Caché数据库的数据查询速度快,可支持关系型数据库和对象型数据库。它除了支持SQL语言及ODBC标准接口以外,还支持特殊的面向对象的M语言及Web开发。此外,Caché数据库能够真正意义上实现三层结构,支持远程映射和镜像,可实现真正的分布式服务,升级扩容非常方便。因此,使用Caché作为后台数据库的医院信息系统的比例最大。
然而,由于后关系型数据库实际应用时间较短,技术门槛高,在国际数据库安全审计领域,支持对其进行安全审计产品还未问世。国内市场上,大多拥有自主知识产权的数据库安全审计产品的公司,也只能实现对关系数据库的审计。值得一提的是,在对后关系型数据库的安全审计领域,深圳昂楷科技有限公司走在了行业前端,目前已研发出全面支持cache数据库的审计产品,并已在不少医院有成功运用。
01
基于后关系型数据库的数据库审计的设计
医院信息系统是支撑医院业务的重要支柱,原国家卫生部要求三级甲等医院的核心业务信息系统的安全等级原则上不低于三级。《信息系统安全等级保护基本要求》对医疗信息系统最重要的要求之一就是数据库审计。现在,采用后关系型数据库Caché为核心数据库的医院,除了面临常见的数据库性能、运维管理、权限控制等风险,还需要面临数据库应用带来的访问安全风险。
深圳昂楷科技有限公司充分研究Caché数据库架构,设计研发出基于后关系型数据库的数据库审计系统:
设计目标
充分发挥数据库审计作为数据库安全的抓手作用。
Caché数据库存储着医院信息系统最核心、最重要的数据,因此需要对数据库进行全面的安全审计。
基于Caché数据库的复杂性,对其的审计功能不仅要能审计Sqlmanager等第三方工具通过ODBC连接方式对数据库的访问,还要能审计Caché数据库集成的Terminal、Portal、Studio、MedTrak等客户端工具及应用系统对Caché数据库的访问;不仅要支持标准的SQL语句审计,还要能支持M语言审计;不仅要对DB进行审计,还需要能支持APP级的审计,可通过捕获医院工作人员的工号定位到具体的操作人员。
设计原则
考虑到医院信息系统的重要性及稳定性,数据库安全审计除了可以实现审计目标的功能以外,还需要遵循以下设计原则。
1、不影响HIS、PACS、EMR系统等应用系统的正常使用。
审计系统需采取旁路部署方式,对原有网络不造成影响,系统故障不影响业务的正常运行;在运行中审计系统无需重启被审计系统及服务,无需访问数据库。
2、审计效果可视、审计过程可控。
审计系统应能够记录每个访问者每一次对数据库的操作访问信息。当数据访问操作发生时,记录何人、何时、何地、对何数据进行了何种操作,并且与预先设置好的审计规则相匹配,如果命中规则审计系统将对操作者、操作时间、操作对象和操作行为信息自动记录、预警及统计,并提供操作过程回放,支持分析取证。
3、可兼容、可扩展,无须更换数据库,避免重复建设。
除了Caché数据库,审计系统需同时支持对Oracle、MS-SQL 、DB2、MYSQL、Sybase 等主流数据库的审计和保护功能,并可同时支持多个不同类型的数据库审计,以满足信息化发展需要。
4、适度先进的系统技术及体系理念。
后关系型数据库的安全审计问题,应基于关系型数据库的安全审计技术基础之上,其最核心的技术就是要识别后关系型数据库的各种访问方式,并能够智能识别出威胁,实时做出响应,这些新技术的引入,需要考虑与原有体系的兼容性,所以应采取先进成熟、稳定可靠的技术架构。
5、系统需通俗易懂,便于非技术人员独立使用。
系统应能将审计结果中抽象的技术语言翻译成通俗易懂的业务语言,便于非专业人员独立使用该系统。
6、与其他安全管理系统的联动。
安全体系需作为一个整体的防护体系综合考虑,这就要求审计系统可以与相关的安全平台进行联动,以达成安全管理的成效。
7、满足合规性要求。
国家对重要信息系统实施信息系统安全等级保护制度,其中要求3级及以上的信息系统的网络系统、主机系统和数据库系统都必须实施安全审计。另外, 在卫生部科技防腐的要求下,全国二甲以上医院全部都要部署防统方系统(实际上核心技术就是数据库安全审计)。因此,大型综合性三甲医院需要同时符合等级保护3级测评要求以及防统方政策要求。
8、支持技术演进,满足新技术及业务应用要求。
系统可支持虚拟化云计算平台、三层架构等各种复杂应用环境的审计,还可支持未来的大数据分析及挖掘。
02
后关系型数据库审计系统功能
审计系统基于DPI+DFI技术平台,对来自应用系统客户端和DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可以实时预警、及时阻止,从而达到保护数据库的良好效果。
系统架构
图1 昂楷数据库审计系统架构
审计系统由基础层、引擎层、业务层和接口管理层组成。其中,基础层和引擎层共同构成了先进成熟的后台架构,该架构可概括为“一库”、“二机制”、“三平台”、“四引擎”。而通过丰富的标准接口,审计系统可以与统一短信告警平台、运维安全审计平台、网管平台等进行高效联动。
系统部署
图2 昂楷数据库审计系统部署图
审计系统需采取旁路监听部署方式,部署在核心交换机端口上,对原有网络不造成影响。
03
Caché数据库审计功能
下面分别通过Caché数据库的各种被访问风险路径来介绍Caché数据库的审计监控功效。
1、常见客户端工具通过SQL语句直接访问数据库。
审计系统可以详细记录来自客户端工具对数据库的所有SQL语句操作,通过规则设置,实时告警、快速溯源,第一时间知道什么人在什么时候通过什么工具访问了哪个数据库的什么内容,实时监控核心数据库。
2、Caché数据库集成的可以直接连数据库的工具Terminal。
Terminal采用telnet方式,所以通过Terminal对所有数据库的操作,都会被详细记录。
3、Caché数据库集成的供开发用的工具Studio。
Studio是供开发人员编译和调试的工具,它通过执行M语言直接访问,审计系统可以抓住关键操作,如调用M语言时的方法名、保存动作和编译动作,然后可以根据此操作服务器上的M语言内容判断操作内容,能审计到编译动作信息以及编译的文件名、方法名等。
4、Caché数据库集成的供开发用的工具Portal。
Portal工具主要是以网页的形式对数据库进行操作维护,它里面亦可使用SQL语句访问数据库,也可以直接查看数据库中的GLOBAL节点上的数据,所以通过Portal对所有数据库的操作,都会被详细记录。
5、HIS系统访问Caché数据库。
通过HIS系统访问数据库,因Caché采用一种安全组件,对这部分数据做了加密处理,HIS系统也不能进行解密,所以行业目前都无法进行解析,我们可通过HIS系统权限控制,或通过架设防火墙进行隔离,给每个客户端或者不同部门分配不同访问数据库权限,并提供日志记录,严格控制核心数据泄密。
04
其他审计功能
策略管理:系统可根据不同HIS厂家的表和字段结构信息制定符合不同HIS厂家的策略库;
报表管理:系统提供简单明了的安全风险监控态势雷达图,集成ISO27001、萨班斯法案、内控、等级保护、分级保护等多样化智能报表,同时支持自定义报表;
安全功能:系统支持三权分立,三者权限是相互隔离的,而且有日志记录、方便互相监督,做到审计清晰,权限清晰。
结语
目前,针对后关系数据库的审计已成为难题,目前大部分已经实施了该数据库的医院仅仅是依靠堡垒机来实现有限的监控。昂楷数据库审计方案实现了针对包括 HIS 系统管理员账户在内的所有账户对数据库访问的全面监测审计,可以审计直接进入数据库系统或通过中间件应用服务器进入数据库系统的访问。审计记录自我保护性更强,弥补了数据库内置日志审计的缺陷。
系统既满足了医院信息化建设中的国家等级保护、医院定级等合规性审计要求,又可以对越权操作、违规操作实时监控并追根溯源,实现了防统方手段从制度约束到技术限制的跨越,使工作人员从技术上远离统方禁区,有助于医院行风建设,树良好公众形象。