当前位置:首页 > 解决方案 > 医疗行业 > 正文

数据库审计

2012-05-22 09:16:38      点击:
医疗卫生行业数据库安全需求


AAS如何保障医疗信息系统数据安全(一)
总体目标:
医疗信息系统中,数据库是重中之重。数据库存储着患者的疾病诊断、治疗方案、检查检验结果、处方、药品价格、以及药品在各环节流转的信息及统计信息、医保卡/健康卡金额等敏感信息,这些信息的泄密和篡改将会造成重大的医疗纠纷、经济损失、甚至严重的不良社会影响。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的,通过全方位对数据库操作的痕迹进行详细记录和审计,可使管理者全面掌握数据库的使用情况,使得各种渠道的数据库访问活动有据可查,威胁操作可实时预警及时发现并对管理者阻止,并针对存在的安全隐患,系统性能进行调整和优化。
需求细节:
数据访问审计的目标在于记录每一次数据操作的信息以便于进行事后审查,即当数据访问操作发生时,记录何人何时何地对何数据进行了何种操作的信息。分析归纳后,将对数据库系统的数据访问操作表示为4 个要素信息,即:操作者、操作对象、操作时间和操作行为。数据审计系统的目标就是能够对需要审计的数据部署审计,当被审计数据发生操作时,实现对操作者、操作时间、操作对象和操作行为信息的自动记录,并提供这些信息的查询、统计等功能。数据库审计包括对数据库的启动、关闭,用户的连接信息及SQL 语句的操作进行安全审计。

 

AAS如何保障医疗信息系统数据安全(二)

 

审计规则建议:
合法权限滥用的监控
人为高危操作访问数据库的监控
敏感数据库表的操作访问的监控
应用系统级监控的定制
存储过程的管理
历史操作的重现
应用系统调优的应用
方案总结:

基于旁路监听的数据库安全审计方案,只要在数据中心交换机配置端口镜像即可,不需要开销其他网络和系统资源,而应用系统必须在数据审计与系统效率之间作权衡,以获得一个平衡点,例如放弃对某几种数据操作类型或某些数据表的审计。数据审计是信息系统审计的一个环节,除此之外还有用户操作审计、操作系统审计、网络安全审计等等,它们共同构成信息系统的审计体系。

 

AAS部署





 
 \