基于RBAC医院信息系统安全访问控制研究

基于RBAC的医院信息系统安全访问控制研究[摘要]基于角色的访问控制模型是目前安全服务领域的研究热点。本文在比较几种常用的访问控制模型的基础上,针对医院信息系统建立一种基于角色的访问控制安全服务模型,目的在于实现医院信息管理访问控制的信息共享安全。[关键词]角色访问控制信息安全1.引言市场经济环境下,医院的竞争越来越激烈,如何有效利用信息资源提高医院管理水平,是当前研究医院管理的一个重要方面。医院信息系统的应用,优化了医院的组织结构和工作流程,提高了医院的工作效率,改善了服务质量,实现了医院的质量管理。对于开放、自制的医院信息系统,系统中的信息是医院的重要资产,系统的安全性问题尤为重要。构建合理的安全策略和安全模式,保障这些资料能安全地共享,是医院信息系统能否正常运行的基础。一个开放式的管理信息系统,其信息的安全性包括了机密性、完整性和可用性。从系统的角度看,系统安全又包含了操作安全、传输安全和数据库安全,只有三者有机地结合才能保证信息系统具有较高的安全性。统一管理平台为医院信息系统提供了一个高分布性、高扩展性的架构,保证系统的使用者高效安全地开发管理各个子系统,系统的安全性设计涉及系统访问控制、数据传输安全和数据备份与恢复等方面。医院信息系统涉及很多科室,对不同的科室不同的人员有不同的操作规范,比如只有医生才能给病人开处方写病历,只有检验科室才能填写化验单结果,用户必须登录系统成功后,才能享有相应的权限,获得可以访问的资源。访问控制包括用户登录鉴权和操作鉴权。安全管理通过构建用户和角色的关系,对安全管理本身、性能管理、告警管理、配置管理、策略管理等提供安全控制,各类信息的安全保密性必须满足上级部门和本单位对于医疗信息、影像信息的管理要求。采用数据的存储和加密技术,通过数据库的备份技术实现数据同步,对于重要数据,进行容错保护设计,保证数据高度的可靠性和可用性。当系统异常时,采用数据库备份与恢复策略使系统恢复到最近一次历史状态。2.访问控制策略研究数据安全的一个重要研究方向是访问控制,它是通过制定某种策略显式地准许或限制对相关资源访问能力及访问范围的一种方法。通过采用某种访问控制机制,确定用户及代表相关用户利益的程序能做什么以及能做到什么程度。目前常用的访问控制策略主要有:自主访问控制(dac)、强制访问控制(mac)和基于角色的访问控制(rbac)。它们从不同的角度实现访问对象授权、安全存取数据,以及对数据库系统执行不同的操作。2.1自主访问控制绝大多数数据库系统采用基于dac的访问控制模型。dac的特点是:数据对象的属主将访问权限授予其他任意登录系统的用户或用户组后,被授权的用户便可以按照自己的意愿访问数据对象,或者将权限传递给其他的登录用户。可以传递资源的访问权限是dac的一个致命弱点,因为一旦访问权限被传递出去,对访问权限的管理将变得相当困难。尤其是在大型管理信息系统中,管理对象资源的数量是巨大的,通过dac方式访问系统所带来的系统开销是难以估量的。2.2强制访问控制mac目前主要应用于军事系统或是安全级别较高的系统中,它的特点是强制规定访问客体必须或者不许访问数据对象或执行某种操作,通过对存取限制来阻止对系统直接或间接的非法访问。系统管理员为每个系统资源分配安全属性,系统通过查证安全属性判断访问主体能否访问客体资源,安全属性一旦分配,其他任何用户不能擅自更改。mac与dac的区别在于,用户无权将任何数据资源的访问权限赋予或传递给其他的用户。对于保密性要求不高的信息系统,强制访问控制策略过于严格,mac的访问限制会影响系统的灵活性。2.3基于角色的访问控制基于角色的访问控制是20世纪90年代初提出的一种访问控制技术,在开放的、分布的环境中受到广泛的关注。该技术的主要特点是将用户按照其组织结构划分成不同的角色,将权限指派给角色而不是赋给特定的用户,以此减少授权管理的复杂性,为管理员提供一个良好的能够实现复杂安全策略的环境。在基于角色的访问控制策略中,rbac模型在用户和权限之间引入角色,通过对角色的授权来控制用户对系统资源的访问。角色和它所分配的权限相对应,一个用户能扮演多个角色,一个角色也能包含多个用户,用户是某些角色的成员,用户通过被指派到角色,间接获得访问资源的权限。系统管理员根据实际部门或组织的工作职能和需求来创建角色、给角色分配权限和给用户分配角色,用户依据所承担的不同权利和义务来授予相应的角色。对于一个包含大量用户和权限分配的系统来说,从管理大量的用户转而管理、操纵少量的角色,能极大的简化权限管理的过程,减少管理访问控制策略的开销。当部门或者访问权限发生变化时,也可以很灵活的将该用户从一个角色转移到另一个角色来实现权限的转换,从而降低了管理的复杂度,提高安全管理的质量和效率,并且能够直接反映医院内部安全管理的策略和管理模式。这使得基于角色的访问控制方式具有无可比拟的灵活性和易操作性,尤其是在大型信息系统的权限管理中得到应用。rbac模型具有很强的灵活性,其显著的特点是在不同的系统配置下可以实现不同的安全控制功能,既可以构造自主存取控制类型的系统,也可以构造强制存取控制类型的系统,甚至可以构造同时兼备这两种存取控制类型的系统。rbac模型非常适用于数据库应用层的安全服务模型,在应用层内,角色的组织逻辑更为明显和直接,应实行严格的访问控制策略,保证系统信息只为合法用户访问,防止非法用户(可能是外部用户,也可能是内部用户)的非法访问和越权访问。如局域网内部攻击者伪装成内部其他的高权限用户,外部攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员获得信任,从而得到非公开的核心数据和敏感信息。rbac模型家族中,rbac3是具有代表性的具有层次结构和约束控制的一种访问控制模型。目前,一些大型商用数据库系统,如mssqlserver、oracle8i、sybasease,己部分实现了rbac3模型中的特征。3.基于角色的访问控制安全服务模型rbac模型的核心是角色,角色和用户是多对多的关系。角色代表一个组织中的任务或位置,具有一定的资格、权利和义务,是一系列相关权限的集合,为角色分配相应的访问权限,建立角色与相应权限的对应关系。通过rbac模型,医院信息系统能够以较为简单的方式向终端用户提供更加丰富的语言,得到完整的存取控制功能。本文在设计开发医院信息系统时对资源的访问管理设计了一种安全服务模型,实现对用户、角色的管理,其中包括对用户角色的组织形式、访问权限的分配方式、信息资源的访问管理方式。通过组织用户和角色的关系提供安全管理控制,通过操作鉴权提供安全操作控制,是对医院信息系统中用户、资源、权限管理的抽象。本文医院信息系统中采用的基于角色的访问控制安全服务模型如图1所示:模型的几点说明:1)用户可以建立角色、角色集、用户和部门,它是医院信息系统的使用者,是访问系统资源的主体。用户使用系统功能或对系统数据对象进行操作,只有经过安全管理认可的有效用户才能够登录到信息系统。直接对角色分配权限,用户和权限没有直接联系,用户通过担任某些角色而获得相应的权限。模型在制定安全策略时需包括用户管理规则、权限查询规则,角色管理规则等。2)角色是一个部门科室或任务中的工作或位置,代表一种资格、权利和责任,是模型中操作权限的分配对象。权限表示用户对系统中的功能进行某种操作的权利,是对系统中的数据或者用数据表示的其它资源进行访问的许可。资源是系统包含的需要纳入安全管理的对象,包括所有受访问控制的资源。当角色拥有了权限后,可以在所分配的资源上运行全部被分配的命令。对角色的管理包括建立、删除、查看、锁定等功能。当系统中增加新的功能时可以在角色中添加新的权限;当部门或组织的功能发生变化时,只需要删除角色的原有功能、增加新的功能,或者直接定义一个新的角色,而不必对每一个用户的权限重新设置。3)角色集是多个相关角色的组合。如果用户是多个角色的集合,授权工作将变得非常复杂,可以通过建立角色集减少重复定义角色的工作。不能将权限直接分配给角色集,当角色集赋予某个用户后,该用户即刻拥有该角色集中所有角色包含的权限。用户可以拥有多个角色或角色集的权限。对角色集的管理也包括建立、删除、查看、锁定等功能。4)部门用于管理用户的行政归属,是对功能部门或业务科室的模拟,现实中可根据实际的部门职能建立对应的部门科室。新建用户必须属于某个部门,当部门下还有子部门或用户时,不能直接删除该部门。5)日志是对登录系统中的每个用户所做的操作进行的记录。它的作用是反馈系统的运行情况,对某些违反规定的操作提供线索和证据,为系统的安全提供进一步的保障。当用户登录系统后,系统启用日志记录用户行为,用户权限内不能删除日志,以便查管理员随时查看日志。4.模型的应用本文设计的医院信息系统中,根据系统使用人员的级别、业务范围、工作性质,将系统的管理模型框架分为三级:总系统管理员是系统的最高管理者,可以由院长或其他医院高级管理人员担任,被设置为具有最高权限的系统安全管理员,具有系统的所有权限,负责管理下级所有职能部门管理员,可为下级管理员设置管理角色,设定角色所能操作的数据对象、范围和对这些数据对象的操作权限,并将角色指派给具体用户;各职能部门管理员分别管理各自所属部门的职能范围,根据本部门人员的工作性质和实际状况创建相应的角色,指定角色的权力范围,并定义对其权力范围内的信息资源可进行的操作和范围,可由各部门负责人担任;部门内部职能人员依据承担的不同业务种类,担任不同的角色,获得相应的权限,如临床科室包括医生、护士这两个基本角色,检验科室包括医生、检验师等角色。系统管理逻辑结构框架如图2所示:用户和角色的创建可在数据库中完成,下面给出一个构造临床科室医生角色,并把权限赋予角色的操作过程:create用户identifiedby密码;createrole临床医生;grant权限on数据表to临床医生;grant用户to临床医生.5.结束语系统安全服务模型为安全管理提供服务,它缓存有关用户、角色、权限、资源等数据,对数据的变化进行实时更新。安全管理模块主要提供安全管理界面,给用户提供部门、用户、角色的创建、删除、修改的界面。安全管理为医院信息系统提供安全服务,在安全管理启动时,它从客户端获取数据进行初始化显示,运行时把用户的命令请求通过客户端接口发送到安全服务器端,同时提供客户端鉴权,用户只能根据其具有的权限看到相应的菜单和资源。本文中设计的安全服务模型通过提供对身份管理信息的定义,提供登录验证和鉴权的接口,提供对用户、角色的管理,实现基于rbac的安全访问控制策略,以保证系统的安全运行,避免非法操作或误操作对系统本身造成破坏。参考文献:[1]彭智勇.数据库安全[m].武汉:武汉大学出版社,2007.[2]李红霞,蔡国永.电子机构基于角色的访问控制模型[j].计算机系统应用.2009(9):50-53.[3]王玮,鲁万鹏,牟鑫.医院信息系统中的安全运行保障[j].中国医疗设备,2008,23(1):63-65.[4]袁蓉燕.医院计算机网络的安全管理[j].现代中西医结合杂志,2005,14(2):274-275.[5]古金华.突发公共卫生事件中网络信息安全的保障措施[j].中国数字医学,2008,3(12):21-22.[6]魏常友.中小医院计算机网络信息系统建设探讨与建议[j].中国医药导报,2007,4(10):89.[7]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[j].中国现代医生,2007,45(17):104.[8]王春虹,王英.医院网络信息系统的安全管理[j].临床和实验医学杂志,2008,7(11):170.作者简介:司莹莹(1982-),女,滨州医学院教师,硕士。