解放军总医院数据安全系统实施案例.doc

解放军总医院数据安全系统实施案例 　　用户背景 　　解放军总医院(三零一医院)是国内和全军规模最大的综合性医院，集医疗、保健、教学、科研于一体是国家重要保健基地之一;承担着国家和全军各军区、军兵种疑难病的诊治，医院同时也收治来自全国的地方病人;负责中央及各大部委领导，中央军委、总部以及军兵种领导的医疗保健工作;解放军总医院技术人才密集、临床学科齐全、医疗仪器设备先进、整体医疗水平处于国内领先地位，是国内外享有极高声誉的现代化综合医院。 　　医院信息管理系统(Hospital Information System HIS)是解放军总医院重要的医疗信息基础设施，HIS系统以大型Oracle数据库系统为基础平台，由门诊挂号管理系统、医疗诊治系统、住院管理系统、医疗科研系统以及OA系统等构成。它的特殊地位要求安全性极高，重点要考虑二方面的安全风险：一是来自外部安全风险：利用弱口令设置、数据库系统漏洞、SQL注入等攻击数据库系统，非法进入HIS系统访问、拷贝和修改数据内容;另一个是内部安全风险：以合法授权身份进入HIS系统对数据的访问和操作的合规性。以上安全风险会引发HIS系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。国都兴业根据解放军总医院HIS系统的网络架构和数据库服务器以及中间件服务器的部署特点，提出了完整的解决方案：在汇聚层交换机与核心交换机之间部署一台Esentry网络光信号旁路器。将旁路信号入两台网络慧眼信息审计设备，采用业务均衡方式完成对各数据库服务器以及中间件服务器的访问、操作行为、内容的实时监测审计，发现异常立即报警，并完整地记录所有的访问与操作行为和内容，该系统还提供了数据库服务器负载状况监测、客户端访问操作的详细分类统计和排名等功能。 　　用户需求 　　医院信息管理系统的特殊地位要求安全性极高，重点要考虑二方面的安全风险：一是来自外部安全风险：利用弱口令设置、数据库系统漏洞、SQL注入等攻击数据库系统，非法进入HIS系统访问、拷贝和修改数据内容;另一个是内部安全风险：以合法授权身份进入HIS系统对数据的访问和操作的合规性。以上安全风险会引发HIS系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。 　　技术路线 　　国都兴业根据解放军总医院HIS系统的网络架构和数据库服务器以及中间件服务器的部署特点，提出了完整的解决方案：在汇聚层交换机与核心交换机之间部署一台Esentry网络光信号旁路器。将旁路信号入两台网络慧眼信息审计设备，采用业务均衡方式完成对各数据库服务器以及中间件服务器的访问、操作行为、内容的实时监测审计，发现异常立即报警，并完整地记录所有的访问与操作行为和内容，该系统还提供了数据库服务器负载状况监测、客户端访问操作的详细分类统计和排名等功能。 　　 P align=center 　　应用效果： 　　全面及时地掌握HIS数据库系统的运行、访问和操作情况，并即时进行必要的处置，使HIS系统的数据安全管理问题得到了有效的解决。 　　审计监测通过中间件访问数据库服务器的各类操作。 　　系统管理人员通过设置审计策略，报警策略，就可以方便地随时查看系统的各类审计信息。 　　弥补了数据库系统内置日志审计的缺陷。数据库系统内置的日志审计功能单一，日志记录可以被人为修改、删除，该系统是一个完全??立于数据库系统的“黑盒子”，审计记录自保护性强，弥补了数据库内置日志审计的缺陷。