趙維佺 魏小銳 劉永波 熊 輝

基于數(shù)據(jù)庫審計的防統(tǒng)方系統(tǒng)實現(xiàn)

趙維佺1魏小銳1劉永波2熊 輝3

（1.東莞理工學院 計算機學院 廣東東莞 523808；2.深圳昂楷科技有限公司，廣東深圳 518034；3.長安大學 信息工程學院，西安 710064）

針對非法統(tǒng)方對醫(yī)院數(shù)據(jù)庫安全和商業(yè)機密的危害，防統(tǒng)方可以斬斷醫(yī)藥回扣黑鏈中的重要環(huán)節(jié)?；跀?shù)據(jù)庫審計思想，設(shè)計了防統(tǒng)方系統(tǒng)模型。基于該模型設(shè)計了適用于不同HIS（Hospital Information System）廠家和多類型數(shù)據(jù)庫的防統(tǒng)方系統(tǒng)。對軟件體系結(jié)構(gòu)、后臺業(yè)務(wù)處理框架、后臺業(yè)務(wù)數(shù)據(jù)處理流程等進行了闡述。系統(tǒng)實現(xiàn)結(jié)果證明了該防統(tǒng)方系統(tǒng)設(shè)計的有效性。

防統(tǒng)方系統(tǒng)；數(shù)據(jù)庫審計；網(wǎng)絡(luò)安全

“統(tǒng)方”本指醫(yī)生開藥的一個統(tǒng)計數(shù)字，該商業(yè)機密若被醫(yī)藥代表作為給醫(yī)生支付回扣的依據(jù)，就成為醫(yī)藥回扣黑鏈的重要環(huán)節(jié)［1］。防統(tǒng)方系統(tǒng)是針對醫(yī)院數(shù)據(jù)庫安全進行加固和安全防范的軟件系統(tǒng)，可以防止醫(yī)院內(nèi)部高權(quán)限用戶進行數(shù)據(jù)竊取、非法用戶繞過防火墻進行外部數(shù)據(jù)攻擊，進一步對統(tǒng)方行為進行實時監(jiān)控和追溯。

針對防統(tǒng)方系統(tǒng)的設(shè)計原理、構(gòu)成事件等關(guān)鍵技術(shù)開展分析，基于數(shù)據(jù)庫審計方法設(shè)計了防統(tǒng)方系統(tǒng)模型?；谠撃Ｐ驮O(shè)計了適用于不同HIS廠家和多類型數(shù)據(jù)庫的防統(tǒng)方系統(tǒng)。并對軟件體系結(jié)構(gòu)，后臺業(yè)務(wù)處理模塊的實現(xiàn)過程進行了詳細闡述。設(shè)計結(jié)果表明，所設(shè)計的防統(tǒng)方系統(tǒng)能夠有效監(jiān)控數(shù)據(jù)庫操作行為，對非法統(tǒng)方行為進行告警、限制和追溯。

1 防統(tǒng)方系統(tǒng)設(shè)計原理

統(tǒng)方是醫(yī)療衛(wèi)生行業(yè)的一個術(shù)語，主要指某些人員通過各種方法如：HIS應(yīng)用系統(tǒng)、數(shù)據(jù)庫操作工具、自制統(tǒng)方軟件等統(tǒng)計醫(yī)生一段時間內(nèi)的藥品用量信息、高值耗材信息等，通過查詢醫(yī)生的開藥情況收取醫(yī)藥代表一定比例的回扣，醫(yī)生—醫(yī)藥代表之間的黑色產(chǎn)業(yè)鏈的存在嚴重地影響了社會公平公平性，增加了患者費用負擔，滋生了腐敗的土壤，其行為已經(jīng)帶來了一連串的社會負面影響，而防統(tǒng)方系統(tǒng)就是通過技術(shù)+管理手段抑制和檢測非法統(tǒng)方行為［2-3］；

防統(tǒng)方系統(tǒng)通過旁路或串聯(lián)的方式對通往數(shù)據(jù)庫的流量進行檢測分析，通過協(xié)議解析記錄訪問數(shù)據(jù)庫的訪問者身份信息，并通過SQL語法檢測分析其所查詢的表和字段是否包含了藥品、高值耗材等信息，同時檢測其行為特征是否符合非法統(tǒng)方，如其條件都符合則觸發(fā)風險告警，提示管理員介入調(diào)查，并可有效阻斷。

1.1 防統(tǒng)方系統(tǒng)的構(gòu)成事件

完成防統(tǒng)方系統(tǒng)至少需要做以下幾方面的工作。

檢測訪問數(shù)據(jù)庫統(tǒng)方信息的用戶的合法性和真實性。統(tǒng)方本身只是一個SQL指令，但如果統(tǒng)方者居心不良或本身不具有合法性將統(tǒng)方結(jié)果用于其它用途則都可視為非法統(tǒng)方，可根據(jù)表1所示定位統(tǒng)方者身份信息及其合法性，從登陸就開始檢測。

表1 定位非法統(tǒng)方者的參數(shù)

將藥品、高值耗材信息納入統(tǒng)方信息。區(qū)別統(tǒng)方與其它操作的根本在于SQL操作所涉及的表和字段是否屬于統(tǒng)方范疇，如單獨訪問某病人的用藥情況、單獨訪問收費明細表但卻不包括用量數(shù)量、醫(yī)生情況等信息都可視為正常操作，統(tǒng)方操作所查詢的內(nèi)容應(yīng)同時大量查詢了藥品名稱、藥品數(shù)據(jù)、藥品金額、醫(yī)生信息等組合數(shù)據(jù)［4-5］。

檢測分析SQL操作指令是否觸發(fā)防統(tǒng)方規(guī)則如圖1所示。一條SQL指令是否觸發(fā)規(guī)則需要通過語法分析提取的表和字段、操作類型、查詢條件和字段、返回結(jié)果的行數(shù)等工作來智能判斷，如觸發(fā)規(guī)則通過多種告警方式提醒安全審計人員介入調(diào)查。

圖1 檢查是否為非法統(tǒng)方存在的條件

1.2 防統(tǒng)方系統(tǒng)的事件關(guān)系

除了防統(tǒng)方系統(tǒng)外，具有防統(tǒng)方功能的工具有以下幾種：1）有很多HIS系統(tǒng)都存在統(tǒng)方功能且大部分都對統(tǒng)方功能做了一定的權(quán)限設(shè)置并進行防統(tǒng)方審計，但這種方式無法審計訪問者通過第三方工具繞開HIS系統(tǒng)直接非法統(tǒng)方；2）有一些數(shù)據(jù)庫插件安裝在數(shù)據(jù)庫服務(wù)器上或提取數(shù)據(jù)庫日志進行非法統(tǒng)方檢測，這種方式無疑加大了數(shù)據(jù)庫負擔，插件使用不當或發(fā)生錯誤很容易導(dǎo)致數(shù)據(jù)服務(wù)中斷，數(shù)據(jù)丟失；3）通過堡壘機的方式針對數(shù)據(jù)庫運維用戶進行審計，雖然其統(tǒng)一了數(shù)據(jù)庫運維的出入口，但還是存在諸多問題，如統(tǒng)方者可以繞開旁路部署的堡壘機進行統(tǒng)方，而且堡壘機采用字符記錄和屏幕錄像的方式，在數(shù)據(jù)量大的情況下很難對維護操作全面跟蹤，其智能告警及易使用性方面欠缺，尤其是在通過HIS系統(tǒng)訪問數(shù)據(jù)庫的情況下，堡壘機根據(jù)不具備預(yù)警和審計能力［6-7］。

而通過旁路鏡像和協(xié)議解析的方式可有效的針對進出數(shù)據(jù)庫的訪問者身份合法性進行識別、訪問內(nèi)容進行分析檢測、訪問所觸發(fā)的統(tǒng)方行為能實時告警并可根據(jù)其行為軌跡判別疑似非法統(tǒng)方者的意圖。

2 防統(tǒng)方系統(tǒng)設(shè)計

防統(tǒng)方系統(tǒng)（如圖2所示）首先采集用戶操作事件（例如統(tǒng)方數(shù)據(jù)查詢、訪問者登錄注銷等），在采集用戶操作事件的同時進行語法分析和解析結(jié)果入庫操作；將SQL操作指令的語法分析結(jié)果與防統(tǒng)方規(guī)則進行匹配，當匹配成功時立即觸發(fā)非法統(tǒng)方事件并報警，同時將該條入庫的審計日志打上風險標識。通過分析匯總審計日志形成審計報告。分析器需要分析SQL指令查詢的字段、查詢條件、查詢的表名等，入庫操作需要記錄觸發(fā)該事件的用戶、事件類型、觸發(fā)的防統(tǒng)方規(guī)則、用戶的身份信息和用戶的操作工具等。

圖2 防統(tǒng)方系統(tǒng)模型

2.1 防統(tǒng)方系統(tǒng)模型

防統(tǒng)方系統(tǒng)首先采集用戶操作事件（例如統(tǒng)方數(shù)據(jù)查詢、訪問者登錄注銷等），在采集用戶操作事件的同時進行語法分析和解析結(jié)果入庫操作；將SQL操作指令的語法分析結(jié)果與防統(tǒng)方規(guī)則進行匹配，當匹配成功時立即觸發(fā)非法統(tǒng)方事件并報警，同時將該條入庫的審計日志打上風險標識。通過分析匯總審計日志形成審計報告。分析器需要分析SQL指令查詢的字段、查詢條件、查詢的表名等，入庫操作需要記錄觸發(fā)該事件的用戶、事件類型、觸發(fā)的防統(tǒng)方規(guī)則、用戶的身份信息和用戶的操作工具等。

如果數(shù)據(jù)庫表結(jié)構(gòu)發(fā)生變動，可修改統(tǒng)方數(shù)據(jù)字典進而修改防統(tǒng)方規(guī)則。基本的防統(tǒng)方系統(tǒng)模型至少包括三個部分，一是用于采集用戶SQL操作的防統(tǒng)方數(shù)據(jù)采集器；二是對采集的SQL操作數(shù)據(jù)進行分析的防統(tǒng)方數(shù)據(jù)分析器。統(tǒng)方數(shù)據(jù)字典是存儲在防統(tǒng)方系統(tǒng)數(shù)據(jù)庫中被防統(tǒng)方規(guī)則所調(diào)用，集中包括了多表多字段信息；三是用于將防統(tǒng)方日志訪問者信息定位到具體的人以及將專業(yè)的SQL指令、抽象的表和字段翻譯成方便普通用戶識別的翻譯器；采集器采集的數(shù)據(jù)存儲為防統(tǒng)方審計日志。

2.2 防統(tǒng)方流程及日志格式

防統(tǒng)方系統(tǒng)首先收集來自網(wǎng)絡(luò)的用戶操作事件（例如數(shù)據(jù)庫登錄注銷、查詢操作、ftp操作等），根據(jù)預(yù)設(shè)的告警條件（統(tǒng)方數(shù)據(jù)字典），判斷其是否為防統(tǒng)方審計事件；對防統(tǒng)方審計事件的內(nèi)容按日志模式記錄到防統(tǒng)方審計日志中；當審計分析結(jié)果滿足報警條件時，分析器向管理人員發(fā)送報警信息并記錄其內(nèi)容并將審計日志打上風險標識，當分析結(jié)果與白名單相匹配時則丟棄該事件；當某用戶的登錄失敗次數(shù)滿足一定數(shù)量或者使用的數(shù)據(jù)庫操作工具為不可信時將提示管理員關(guān)注該用戶的操作行為，必要時與防火墻等安全設(shè)備聯(lián)動進行阻斷。防統(tǒng)方系統(tǒng)管理員也可以通過手工分析的形式查詢、檢查防統(tǒng)方日志以形成審計報告。當發(fā)現(xiàn)統(tǒng)方數(shù)據(jù)字典未記錄的操作，可以在統(tǒng)方字典中更新該類型操作、特征語句、可疑工具等。

在防統(tǒng)方模型中，審計日志的作用至關(guān)重要，它負責記錄各類事件，為防統(tǒng)方系統(tǒng)管理人員提供事后審計的依據(jù)。審計日志的范圍主要包括：事件發(fā)生時間（包括日期及時、分、秒）、主機名、訪問的數(shù)據(jù)庫、進程ID號、客戶端端口號、訪問者IP、數(shù)據(jù)庫用戶名、訪問的表和字段、操作返回代號、所使用的工具、觸發(fā)的防統(tǒng)方規(guī)則等。

審計日志主要有以下兩種標準：Bishop標準：每條日志記錄由域構(gòu)成，域分割符“#”分割各域，起止由符號“S”和“E”標記。域的數(shù)目可變，以滿足擴展性需求。數(shù)值部分由ASCII串構(gòu)成（避免字節(jié)排序和浮點格式的問題）；

歸一化標準：審計數(shù)據(jù)值存放在一個獨立的NADF記錄中。每條記錄包括以下3個域：識別符，審計數(shù)據(jù)值的類型；長度，審計數(shù)據(jù)值的長度；值，審計數(shù)據(jù)值。

3 防統(tǒng)方系統(tǒng)軟件體系結(jié)構(gòu)

根據(jù)以上對防統(tǒng)方系統(tǒng)模型的分析，從功能上可以將防統(tǒng)方系統(tǒng)劃分為以下功能模塊：系統(tǒng)配置、審計管理、策略管理、風險管理、報表管理、日志管理、用戶管理和別名管理八大部分（如圖3所示）。

圖3 防統(tǒng)方系統(tǒng)功能結(jié)構(gòu)圖

3.1 后臺業(yè)務(wù)處理模塊設(shè)計［8］

后臺主要分為審計引擎，動作引擎，數(shù)據(jù)維護引擎，守護進程，monitor監(jiān)視器五大塊。采集器將采集到的數(shù)據(jù)交給審計引擎處理；審計引擎對SQL指令進行語句解析、數(shù)據(jù)提取等操作，將處理完的數(shù)據(jù)提交給數(shù)據(jù)維護引擎；對于觸發(fā)動作引擎的數(shù)據(jù)交給動作引擎處理；數(shù)據(jù)維護引擎負責將處理完的數(shù)據(jù)入庫?？蛻舳伺c數(shù)據(jù)中心的交互可以通過兩種途徑：一種是直接訪問數(shù)據(jù)庫；另一種是與monitor進行通信，由monitor再與各引擎進行通信。

圖4 數(shù)據(jù)中心功能模塊圖

monitor：負責與Web客戶端的交互，將客戶指令分發(fā)給其他系統(tǒng)進程。同時，處理一些較為簡單的系統(tǒng)任務(wù)，如修改設(shè)備網(wǎng)絡(luò)地址，恢復(fù)出廠設(shè)置、提取CPU、內(nèi)存、硬盤使用等設(shè)備運行狀態(tài)信息。

審計引擎：根據(jù)所審計的數(shù)據(jù)庫對象、防統(tǒng)方規(guī)則組和白名單信息對訪問數(shù)據(jù)庫的SQL命令進行解析、信息提取，將符合白名單的數(shù)據(jù)丟棄，將所有分析出的數(shù)據(jù)加上風險標識，然后將審計分析結(jié)果發(fā)送到數(shù)據(jù)維護引擎，將標識為風險的審計日志發(fā)送給動作引擎。

動作引擎：在審計引擎對審計數(shù)據(jù)進行審計后，將某些被標記為風險動作的數(shù)據(jù)交給動作引擎，由動作引擎根據(jù)郵件配置、短信和通知（syslog）策略采取發(fā)警告郵件、syslog、短信等動作通知相關(guān)干系人。

數(shù)據(jù)維護：根據(jù)審計日志發(fā)生時間將審計日志分批進行入庫操作，并對入庫的審計日志風險標識進行檢查，將高中低風險數(shù)目計入計數(shù)器，并依據(jù)高中低不同風險標識將審計日志有針對性的存入報表預(yù)處理數(shù)據(jù)表。

守護進程：監(jiān)控系統(tǒng)中monitor程序、審計引擎、動作引擎、數(shù)據(jù)維護引擎的運行狀態(tài)，恢復(fù)在某些情況下異常終止的進程，監(jiān)控防統(tǒng)方系統(tǒng)對底層操作系統(tǒng)資源利用情況，在負載較大的情況下及時釋放資源保證操作系統(tǒng)的穩(wěn)定性，同時擔負著系統(tǒng)升級的功能（替換Web服務(wù)，升級后臺系統(tǒng)文件等）。

圖5 后臺處理模塊系統(tǒng)圖

3.2 后臺模塊的數(shù)據(jù)處理流程

防統(tǒng)方審計程序在讀取到采集器存儲在內(nèi)存文件系統(tǒng)中的數(shù)據(jù)信息之后進行語法解析和數(shù)據(jù)提取，依據(jù)防統(tǒng)方規(guī)則和白名單對數(shù)據(jù)信息進行分析審計，將滿足條件的防統(tǒng)方數(shù)據(jù)打上標識存入數(shù)據(jù)庫；對于觸發(fā)防統(tǒng)方規(guī)則的數(shù)據(jù)信息發(fā)往動作引擎，由動作引擎執(zhí)行相應(yīng)動作（郵件告警，短信告警，syslog告警）。Web客戶端修改防統(tǒng)方系統(tǒng)配置信息，同時通過網(wǎng)絡(luò)告知監(jiān)聽進程處理程序，監(jiān)聽進程通過實時信號的方式通知各進程（守護進程除外）更新配置信息。同時監(jiān)聽進程負擔一些較為簡單的系統(tǒng)任務(wù)，例如重啟設(shè)備，關(guān)閉設(shè)備，恢復(fù)出廠設(shè)置，設(shè)置設(shè)備網(wǎng)絡(luò)地址、監(jiān)視防統(tǒng)方系統(tǒng)資源利用情況等。向各進程轉(zhuǎn)發(fā)信息，例如向采集器發(fā)布IP過濾信息；向守護進程發(fā)送手動升級指令等。

圖6 防統(tǒng)方系統(tǒng)審計模塊流程圖

圖4 后臺模塊數(shù)據(jù)流程圖

圖8 審計模塊處理流程圖

其中審計模塊處理采集器audit-server采集到的數(shù)據(jù)，并依據(jù)防統(tǒng)方規(guī)則分析審計事件，識別相應(yīng)的風險，存入數(shù)據(jù)庫并將高風險事件信息傳遞給動作引擎。

圖9 疑似統(tǒng)方行為告警截圖

圖10 疑似統(tǒng)方語句的翻譯分析截圖

圖11 訪問數(shù)據(jù)庫的源IP統(tǒng)計報表截圖

4 結(jié)語

針對醫(yī)療衛(wèi)生行業(yè)存在的非法統(tǒng)方亂象，基于數(shù)據(jù)庫安全審計技術(shù)構(gòu)建防統(tǒng)方系統(tǒng)，設(shè)計了防統(tǒng)方系統(tǒng)模型，基于該模型設(shè)計了適用于不同HIS廠家和多類型數(shù)據(jù)庫的防統(tǒng)方系統(tǒng)，對系統(tǒng)中的軟件體系結(jié)構(gòu)、后臺業(yè)務(wù)處理框架、后臺業(yè)務(wù)數(shù)據(jù)處理流程等進行了描述。最后通過部分系統(tǒng)實現(xiàn)結(jié)果證明了防統(tǒng)方系統(tǒng)設(shè)計的有效性。

［1］ 黃麗.禁“統(tǒng)方”難遏藥品“回扣”歪風［J］.中華醫(yī)院管理雜志，2010，9（10）：2-3.

［2］ 沙坤.軍隊醫(yī)院信息網(wǎng)絡(luò)安全現(xiàn)狀分析［J］.解放軍醫(yī)院管理雜志，2011，18（3）：243-244.

［3］ 潘曉雷，詹振坤，蔡海山.數(shù)據(jù)安全防御系統(tǒng)在醫(yī)院信息安全中的應(yīng)用［J］.數(shù)據(jù)庫技術(shù)與應(yīng)用，2012，5（9）：86-88.

［4］ 賴煒，辛小霞，吳汝明，等.區(qū)域醫(yī)療信息共享平臺的數(shù)據(jù)審計研究［J］.醫(yī)學信息學雜志，2010，31（12）：14-17.

［5］ 劉逸敏，程傳苗，邢茂迎.數(shù)據(jù)庫安全與隱私保護數(shù)據(jù)庫技術(shù)應(yīng)用探討［J］.中國數(shù)字醫(yī)學，2008，3（1）：43-47.

［6］ 劉傳高.談醫(yī)院信息系統(tǒng)的安全管理［J］.中華全科醫(yī)學，2012，10（9）：1474-1475.

［7］ 崔艷榮，文漢云.數(shù)據(jù)庫安全模型及其應(yīng)用研究［J］.計算機應(yīng)用研究，2005，22（7）：146-147.

［8］ 趙維佺，魏小銳，劉永波，等.面向多類型數(shù)據(jù)庫的安全審計系統(tǒng)設(shè)計［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（06）：41-45.

The Implementation of Prescription Statistics PreventingSystem Based on Database Auditing

ZHAO Wei-quan1WEIXiao-ru i1LIU Yong-bo2XIONG Hui3

（1.Computer College，Dongguan University of Technology，Dongguan 523808，China；2.Angkai Technology Ltd of Shenzhen，Shenzhen 518034，China；3.Information Engineering Institute，Chang＇an University，Xi＇an 710064，China）

Against illegal systems for hospital database security and commercial secrethazards，the PSPS（Prescription Statistics Preventing System）can cut the important link of medical kickbacks black chain.Based onthe database audit idea，a system prevention system model is designed.Onthis basis is designed a PSPS whichis suitable for different manufacturer HIS（Hospital Information System）and multi-type database system，describing software architecture，the background business management framework，the background data processing，etc.The effectiveness of the PSPS is proved.

Prescription Statistics Preventing System；database auditing；network security

TP3

A

1009-0312（2014）03-0028-07

2014-02-19

國家自然科學基金（61300197）；廣東省教育部產(chǎn)學研結(jié)合項目（2012B091100295）；東莞市科技計劃項目（東科［2011］40-2011108102018）。

趙維佺（1972—），男，山東德州人，副教授，博士，主要從事嵌入式控制系統(tǒng)設(shè)計與應(yīng)用、網(wǎng)絡(luò)化運動控制系統(tǒng)、網(wǎng)絡(luò)與信息安全等研究。