M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)在衛(wèi)生信息系統(tǒng)的加密測試

陳平，帥仁俊，何揚，蘇逸飛

1.南京市衛(wèi)生信息中心，江蘇 南京210003；2.南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京 211816

M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)在衛(wèi)生信息系統(tǒng)的加密測試

陳平1，帥仁俊2，何揚2，蘇逸飛1

1.南京市衛(wèi)生信息中心，江蘇 南京210003；2.南京工業(yè)大學(xué) 電子與信息工程學(xué)院，江蘇 南京 211816

本文詳細介紹了M2-S5100數(shù)據(jù)安全網(wǎng)關(guān)數(shù)據(jù)庫加密設(shè)備的部署和測試過程。利用該設(shè)備對婦幼保健信息系統(tǒng)的業(yè)務(wù)應(yīng)用、數(shù)據(jù)安全和系統(tǒng)保護等方面的性能和安全性進行了全面測試，測試結(jié)果證實，在系統(tǒng)數(shù)據(jù)庫訪問并發(fā)量較小、加密字段較少的情況下，加密后的事務(wù)性能下降＜10%，對用戶體驗影響也較??；在系統(tǒng)數(shù)據(jù)庫訪問并發(fā)量增加、加密字段較多的情況下，加密后事務(wù)性能下降較為明顯，對系統(tǒng)性能和用戶體驗有較大影響。為此，建議將該數(shù)據(jù)庫安全網(wǎng)關(guān)應(yīng)用在數(shù)據(jù)并發(fā)量較小、只需加密少數(shù)字段就可以保障數(shù)據(jù)安全性的專業(yè)醫(yī)療信息系統(tǒng)，不建議在醫(yī)療電子病歷系統(tǒng)應(yīng)用該產(chǎn)品。

數(shù)據(jù)庫安全網(wǎng)關(guān)；電子病歷系統(tǒng)；婦幼保健信息系統(tǒng)；系統(tǒng)性能

0 前言

隨著因特網(wǎng)的應(yīng)用和計算機技術(shù)的飛速發(fā)展，數(shù)據(jù)庫逐漸成為信息系統(tǒng)的核心部分并廣泛應(yīng)用于企業(yè)、金融機構(gòu)、政府及國防等各個領(lǐng)域，使得數(shù)據(jù)庫的安全顯得越來越重要。保證數(shù)據(jù)庫中大量數(shù)據(jù)的安全及第三方數(shù)據(jù)的訪問不被篡改，已經(jīng)成為當(dāng)前計算機領(lǐng)域面臨的一大挑戰(zhàn)[1]。從20世紀80年代開始，人們對數(shù)據(jù)庫存儲加密技術(shù)進行了不斷深入的研究，但其加密粒度基本上都是基于相應(yīng)數(shù)據(jù)模型中的邏輯結(jié)構(gòu)。而基于關(guān)系模型的存儲加密模式也有其重大的缺陷：一是數(shù)據(jù)模型中邏輯結(jié)構(gòu)實際存儲的數(shù)據(jù)長度不固定，有時差別很大，從密匙安全角度考慮，分配的密匙數(shù)量和加密次數(shù)需要根據(jù)數(shù)據(jù)量而變化，造成密匙管理上的困難；二是由于分組加密具有較好的擴散性，因此數(shù)據(jù)庫系統(tǒng)的存儲加密一般采用分組加密方式，而數(shù)據(jù)量的不固定造成加密后的密文與加密前的明文長度上不成比例，因此造成存儲管理上的困難；三是對數(shù)據(jù)庫系統(tǒng)的體系結(jié)構(gòu)考慮不夠，完全是在邏輯操作和數(shù)據(jù)存取之間增加了一層存儲加解密操作，造成對數(shù)據(jù)庫性能影響較大[2]。

南京市衛(wèi)生信息中心獲得了國家密碼管理局《國產(chǎn)商用密碼技術(shù)在電子病歷中的應(yīng)用示范》的研究課題。在南京市機要局的牽頭下，我中心與邁科龍公司經(jīng)過近1年的嚴謹細致的工作，部署M2-S5100 數(shù)據(jù)庫安全網(wǎng)關(guān)數(shù)據(jù)庫加密設(shè)備，從業(yè)務(wù)應(yīng)用、數(shù)據(jù)安全和醫(yī)療信息系統(tǒng)等級保護等角度，對安全加密設(shè)備的性能和安全性進行了全面、深入的測試[3]。

1 M2-S5100數(shù)據(jù)庫安全網(wǎng)關(guān)的功能

M2-S5100 數(shù)據(jù)庫系統(tǒng)安全網(wǎng)關(guān)，是國內(nèi)首款基于數(shù)據(jù)庫透明加密技術(shù)和數(shù)據(jù)庫防火墻技術(shù)推出的一款數(shù)據(jù)庫主動安全防御產(chǎn)品。它可實現(xiàn)數(shù)據(jù)透明加密存儲，實時監(jiān)控整個數(shù)據(jù)環(huán)境里的活動，主動識別并阻止攻擊、防止信息泄密、惡意活動和欺詐，并自動對數(shù)據(jù)庫進行審計，對數(shù)據(jù)及數(shù)據(jù)庫安全提供立體化的數(shù)據(jù)保護[4]。 該安全網(wǎng)關(guān)可以防止繞過企業(yè)邊界（FireWall、IDSIPS 等）防護的外部數(shù)據(jù)攻擊，可以防止來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取，以及由于磁盤、磁帶失竊等引起的數(shù)據(jù)泄露。

2 M2-S5100數(shù)據(jù)庫安全網(wǎng)關(guān)性能測試

本測試在南京市衛(wèi)生局進行，測試M2-S5100數(shù)據(jù)庫系統(tǒng)安全網(wǎng)關(guān)的加解密性能。測試計劃主要通過對南京市婦幼保健信息系統(tǒng)數(shù)據(jù)庫進行透明加解密性能測試。從測試的立項開始直至測試結(jié)束，對數(shù)據(jù)庫中涉及的管理內(nèi)容進行模擬測試[5]。

2.1 測試對象

本次測試將采用《南京婦幼保健信息系統(tǒng)》和實際數(shù)據(jù)進行性能測試，以驗證對重要數(shù)據(jù)加密后的性能來評估加密對應(yīng)用系統(tǒng)性能的影響；同時為測試加密設(shè)備的極限性能，排除應(yīng)用服務(wù)器和應(yīng)用系統(tǒng)本身對測試數(shù)據(jù)的影響。本次測試將采用業(yè)務(wù)系統(tǒng)中登記建卡模塊中的維護查詢模塊中SQL語句返回的大量數(shù)據(jù)來測試設(shè)備的解密性能。主要測試內(nèi)容：① 南京市婦幼保健信息應(yīng)用系統(tǒng)場景測試；② 精確查詢性能測試；③ 批量數(shù)據(jù)查詢性能測試；④ 婚孕前保健模塊批量數(shù)據(jù)查詢性能測試；⑤ 2500萬批量數(shù)據(jù)查詢性能測試；⑥ 5000萬批量數(shù)據(jù)查詢性能測試；⑦ 報表統(tǒng)計加密前后性能測試；⑧ 數(shù)據(jù)更新和插入測試[6]。

2.2 測試環(huán)境配置

本次測試環(huán)境配置，見表1。

表1 本次測試環(huán)境配置

2.3 測試準備

測試人員：用戶方2人，設(shè)備廠家2人；測試第三方：東軟公司。

測試針對專業(yè)的醫(yī)療衛(wèi)生信息系統(tǒng)（南京婦幼保健信息系統(tǒng)）的真實數(shù)據(jù)進行，在對數(shù)據(jù)庫存儲的個人敏感隱私信息（包括涉及患者隱私信息的姓名、身份證號、聯(lián)系電話、住址、病史等敏感數(shù)據(jù)）加密的前提下，測試數(shù)據(jù)庫安全網(wǎng)關(guān)加密設(shè)備是否滿足存儲加密的功能性要求，是否滿足醫(yī)療衛(wèi)生專業(yè)系統(tǒng)對系統(tǒng)響應(yīng)性能的要求。性能測試采用工業(yè)標準的LoadRuner測試工具，通過組合不同加密字段、不同循環(huán)次數(shù)和業(yè)務(wù)系統(tǒng)不同模塊，對加密設(shè)備性能進行全方位、多維度的測試[7]。

3 測試結(jié)果

（1）采用《南京婦幼保健信息系統(tǒng)》孕產(chǎn)期保健模塊—登記建卡—維護模塊，測試方式為并發(fā)50個用戶，根據(jù)保健編號，查詢用戶一條記錄信息，總共產(chǎn)生200個事務(wù)數(shù)，加密前事務(wù)平均響應(yīng)時間為0.187 s，加密后5個字段事務(wù)平均響應(yīng)時間為0.203 s，加密后10個字段事務(wù)平均響應(yīng)時間為0.205 s，加密后20個字段事務(wù)平均響應(yīng)時間為0.207 s，加密后50個字段事務(wù)平均響應(yīng)時間為0.251 s，性能平均下降不超過9.563%，整體延時控制在毫秒級內(nèi)，對用戶體驗的影響基本上可以忽略。具體測試匯總表和LoadRunner自動化測試工具產(chǎn)生的原始數(shù)據(jù)，見表1及圖1。

表1 孕產(chǎn)期保健模塊精確查詢加密前后性能對比表

圖1 孕產(chǎn)期保健模塊精確查詢加密前后性能對比圖表 （單位：s）

（2）采用《南京婦幼保健信息系統(tǒng)》孕產(chǎn)期保健模塊—登記建卡—維護模塊，測試方式為并發(fā)10個用戶，每個查詢返回1000條記錄，總共產(chǎn)生100個事務(wù)數(shù)，總共返回100萬條記錄，加密前事務(wù)平均響應(yīng)時間為2.502 s。加密后5個字段事務(wù)平均響應(yīng)時間為2.644 s，加密后10個字段事務(wù)平均響應(yīng)時間為2.684 s，加密后20個字段事務(wù)平均響應(yīng)時間為2.808 s，加密后50個字段事務(wù)平均響應(yīng)時間為2.84 s，性能平均下降不超過12.95%，整體延時控制在毫秒級內(nèi)，對用戶體驗的影響基本上可以忽略。具體測試匯總表和LoadRunner自動化測試工具產(chǎn)生的原始數(shù)據(jù)，見表2及圖2。

表2 孕產(chǎn)期保健模塊批量查詢加密前后性能對比表

（3）測試方式采用100個用戶，并發(fā)執(zhí)行業(yè)務(wù)系統(tǒng)中登記建卡模塊中的維護查詢模塊中的SQL語句，該查詢語句單用戶單次查詢將返回5000條記錄，加密前事務(wù)平均響應(yīng)時間為9.904 s，加密后5個字段事務(wù)平均響應(yīng)時間為10.535 s，加密后10個字段事務(wù)平均響應(yīng)時間為10.621 s，加密后20個字段事務(wù)平均響應(yīng)時間為10.955 s，加密后50個字段事務(wù)平均響應(yīng)時間為11.108 s，性能平均下降不超過8.3%，整體延時控制在毫秒級內(nèi)，對用戶體驗的影響基本上可以忽略。具體測試匯總表和LoadRunner自動化測試工具產(chǎn)生的原始數(shù)據(jù)，見表3及圖3。

圖2 孕產(chǎn)期保健模塊批量查詢加密前后性能對比圖表（單位：s）

表3 并發(fā)100用戶返回5000萬條數(shù)據(jù)查詢性能對比

圖3 并發(fā)100用戶返回5000萬條數(shù)據(jù)查詢性能對比

由測試數(shù)據(jù)分析可知，在設(shè)備本身處理性能內(nèi)，性能并不會隨著并發(fā)用戶的增加和返回的數(shù)據(jù)量增多導(dǎo)致性能加劇下降，能夠?qū)⒀訒r控制在一個合理的范圍。

4 測試結(jié)果分析

在性能測試中，當(dāng)加密字段較少、數(shù)據(jù)庫訪問并發(fā)量較小的情況下，加密后的事務(wù)性能下降＜10%，對用戶體驗影響較??；在加密字段較多、數(shù)據(jù)庫訪問并發(fā)量增加的情況下，加密后事務(wù)性能下降較為明顯，對系統(tǒng)性能和用戶體驗有較大影響。

5 測試結(jié)論

經(jīng)測試，M2-S5100產(chǎn)品在功能上能夠滿足數(shù)據(jù)庫安全防護需求，加解密性能在測試環(huán)境中基本滿足所需性能，用戶體驗與加密前基本一致，但絕對性能值有所下降。

6 醫(yī)療行業(yè)應(yīng)用分析

電子病歷系統(tǒng)具有訪問并發(fā)量高、性能穩(wěn)定性要求高、數(shù)據(jù)統(tǒng)計分析性能要求高等特點，對數(shù)據(jù)安全的考慮覆蓋用戶、醫(yī)療流程、藥品等多個環(huán)節(jié)，通過少量加密字段難以實現(xiàn)醫(yī)療信息系統(tǒng)對數(shù)據(jù)安全的要求。大醫(yī)院高峰期有上千名醫(yī)生同時使用電子病歷系統(tǒng)，數(shù)據(jù)安全需要包括用戶隱私、醫(yī)療流程、醫(yī)囑處方、藥品防統(tǒng)方等多個方面，因此M2-S5100 數(shù)據(jù)庫安全網(wǎng)關(guān)在電子病歷系統(tǒng)中應(yīng)用需要對多個字段進行加密，需要面臨加密字段的高并發(fā)量訪問?，F(xiàn)有的性能測試結(jié)果表明，在加密字段數(shù)較多、數(shù)據(jù)庫訪問并發(fā)量較高的情況下，M2-S5100 數(shù)據(jù)庫安全網(wǎng)關(guān)會導(dǎo)致電子病歷系統(tǒng)在性能上出現(xiàn)較大下降。而且隨著區(qū)域醫(yī)療的推進，多家醫(yī)療機構(gòu)進行數(shù)據(jù)聯(lián)動和大數(shù)據(jù)分析，對系統(tǒng)性能的要求只會越來越高[8]。

根據(jù)測試情況，建議將數(shù)據(jù)庫安全網(wǎng)關(guān)數(shù)據(jù)庫加密設(shè)備應(yīng)用在數(shù)據(jù)并發(fā)量較小，只需加密少數(shù)字段就可以保障數(shù)據(jù)安全性的專業(yè)醫(yī)療信息系統(tǒng)，不建議在醫(yī)療電子病歷系統(tǒng)應(yīng)用該產(chǎn)品。

[1] 王建.數(shù)據(jù)庫加密系統(tǒng)的設(shè)計與實現(xiàn)[D].濟南:山東大學(xué),2014.

[2] 宋衍,孔志印,馬婧,等.通用高效的數(shù)據(jù)庫存儲加密研究[A].中國計算機學(xué)會計算機安全專業(yè)委員會第26次全國計算機安全學(xué)術(shù)交流會論文集[C].中國計算機學(xué)會計算機安全專業(yè)委員會,2011.

[3] 劉丹丹,劉同波.數(shù)據(jù)庫安全審計系統(tǒng)在醫(yī)院的部署與應(yīng)用[J].中國醫(yī)療設(shè)備,2013,28(5):42-44.

[4] 孟艷紅,王育欣,倪天予,等.數(shù)據(jù)加密系統(tǒng)的設(shè)計與實現(xiàn)[J].沈陽工業(yè)大學(xué)學(xué)報,2007,29(3):340-343.

[5] 朱振立.數(shù)據(jù)庫加密技術(shù)方法的比較研究[J].計算機光盤軟件與應(yīng)用,2014,(22):189-189,191.

[6] 馬錫坤,于京杰,楊霜英,等.電子病歷系統(tǒng)的集成和建設(shè)[J].中國醫(yī)療設(shè)備,2012,27(1):59-60,38.

[7] 李國賡,王亞紅.醫(yī)療機構(gòu)病歷管理規(guī)定(2013年版)立法技術(shù)缺陷初探[J].中國醫(yī)院管理,2014,34(12):67-68.

[8] 王琳.電子病例的安全管理策略分析[J].當(dāng)代醫(yī)學(xué),2013,19(7): 17-18.

Encryption Test of the M2-S5100 Database Security Gateway in Health Information System

CHEN Ping1, SHUAI Ren-Jun2, HE Yang2, SU Yi-fei1
1.Nanjing Health Information Center, Nanjing Jiangsu 210003, China; 2.College of Computer Science and Technology, Nanjing Technology University, Nanjing Jiangsu 211816, China

This paper provided detailed introduction of the development and testing process of the encryption equipment of the M2-S5100 database security gateway. By using the equipment, a comprehensive safety test was carried out in the fields of business applications, data security，classified protection, system protection, and performance test of the maternal and pediatric information system. The testing result proved the following: when the encryption field and he amount of database access decreased, the encrypted transaction performance decreased by less than 10%; the impact on the user was minimal. When encryption field and the amount of database access increased, the performance of the transaction decreased obviously, and the system performance and user experience were greatly affected. Therefore, we suggest that the database security gateway database and the encryption equipment should be used in the professional medical information system in which there is only a small amount of data concurrency and only a small number of fields need to be encrypted to ensure data security. We also suggest that the gateway should not be used in electronic medical record system.

TP319

A

10.3969/j.issn.1674-1633.2016.02.027

1674-1633(2016)02-0103-03

2015-08-13

2015-12-23

帥仁俊，教授，研究生導(dǎo)師。

通訊作者郵箱；srjwhy@sina.com

Abstract:: database security gateway; electronic medical record system; maternal and pediatric health information system; system performance