Разработка модели управления доступом для типовой медицинской информационной системы Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056 Дата подачи статьи: 18.09.15

DOI: 10.15827/0236-235X.113.166-169

РАЗРАБОТКА МОДЕЛИ УПРАВЛЕНИЯ ДОСТУПОМ ДЛЯ ТИПОВОЙ МЕДИЦИНСКОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Е.А. Оленников, к.т.н., доцент, olennikov@utmn.ru; А.А. Захаров, д.т.н., профессор, azaharov@utmn.ru (Тюменский государственный университет, ул. Перекопская, 15а, г. Тюмень, 625003, Россия);

A.А. Оленников, кт.н., доцент, oaa@£irkul-m.ru (Сибирский государственный индустриальный университет,

ул. Кирова, 42, г. Новокузнецк, 654007, Росссия); А.В. Широких, доцент, maxwide@shirokikh.ru;

B.В. Варнавский, ассистент, vvv_90_08@mail.ru

(Тюменский государственный университет, ул. Перекопская, 15а, г. Тюмень, 625003, Россия)

Статья посвящена описанию разработанной авторами модели безопасности для защиты данных в медицинских информационных системах. В начале статьи формулируется и обосновывается тезис о том, что применение в медицинских информационных системах классических моделей безопасности существенно усложняет процедуру настройки прав доступа к данным и делает этот процесс весьма трудоемким. Прежде всего это связано с необходимостью предоставлять доступ исключительно к тем данным пациента, которые необходимы врачу в текущий момент времени для выполнения своих профессиональных обязанностей. Соблюдение этого требования вызывает необходимость постоянной корректировки прав доступа пользователей медицинских информационных систем. Таким образом, объем работы администратора безопасности существенно возрастает и, как следствие, повышается вероятность ошибок настройки прав доступа. Решение данной проблемы авторы видят в разработке новой модели безопасности, учитывающей специфику организации доступа к данным в медицинских информационных системах. Приводится подробное описание разработанной модели, в которой дополнительно учитываются такие характеристики, как время доступа к данным, текущие взаимоотношения между врачом и пациентом, статус пациента, степень конфиденциальности информации и пр. Описываются основные элементы и операторы данной модели. Подробно рассматривается реализация процедуры определения прав доступа к защищаемым объектам. В заключение авторы делают вывод о том, что применение разработанной модели безопасности для защиты данных в медицинских информационных системах позволит максимально автоматизировать процесс назначения прав доступа и существенно сократить объем работы администратора безопасности.

Ключевые слова: информационная безопасность, разграничение доступа, защита данных, модель разграничения доступа, медицинские информационные системы, модель доступа, конфиденциальные данные.

В настоящее время в лечебно-профилактических учреждениях активно внедряются медицинские информационные системы (МИС), и количество таких систем неуклонно растет [1, 2].

Информация, обрабатываемая в МИС, включает в себя персональные данные пациентов, представляющие собой медицинскую тайну. Следовательно, доступ к такой информации должен быть ограниченным и строго контролируемым [3].

Наиболее надежным с точки зрения безопасности является подход, подразумевающий проверку прав доступа пользователей на уровне БД. Во многих СУБД для этого применяются встроенные средства контроля доступа (СКД), в основе которых лежит комбинация дискреционной и ролевой моделей безопасности. В данном случае в качестве защищаемых объектов выступают объекты БД (таблицы, представления и пр.), в качестве субъектов безопасности - пользователи или группы пользователей МИС, а для каждой пары «субъект без-опасности-защищаемый объект» явно задается список разрешенных операций (вставка, выборка, редактирование, удаление) [4, 5].

Однако применение такого подхода к защите данных в МИС в чистом виде является недостаточным и неудобным.

Прежде всего это связано со специфическими особенностями МИС, к которым можно отнести зависимость прав доступа и большое количество защищаемых объектов.

Права доступа зависят от следующих факторов:

- время доступа к данным; по прошествии определенного времени доступ на изменение ранее сделанной записи должен быть закрыт;

- текущие взаимоотношения врач-пациент-лечащий врач; на время лечения пациента врач должен получить доступ к его медицинским данным в полном или ограниченном объеме;

- статус пациента; доступ к информации ряда пациентов должен быть ограничен независимо от других факторов;

- место пребывания пациента; некоторые сотрудники подразделения, в которое переводится пациент, должны получать доступ к медицинским данным пациента в полном или ограниченном объеме;

- степень конфиденциальности информации; доступ к некоторым медицинским данным пациента должен быть открыт только узкому кругу лиц независимо от других условий.

Большое количество защищаемых объектов -доступ в МИС должен ограничиваться не только на

уровне таблиц, но и на уровне записей [6-8].

Также примем во внимание требование предоставлять врачу доступ только к строго ограниченному объему информации о пациенте, которая ему нужна в данный момент времени для выполнения своих должностных обязанностей.

Таким образом, для обеспечения этого требования с учетом особенностей, указанных выше, необходимо практически постоянно переопределять права доступа пользователей МИС к данным пациента [9].

Учитывая огромное количество защищаемых объектов в МИС, можно сделать вывод, что обеспечить такой режим работы штатными средствами весьма затруднительно. В любом случае объем работы администратора безопасности существенно увеличится, что неизбежно приведет к ошибкам и несвоевременному переназначению прав доступа [10].

Таким образом, актуальной является задача модификации стандартного механизма СКД в МИС с целью избавления администратора безопасности от большого объема рутинной работы.

Для достижения поставленной цели прежде всего необходимо разработать модель системы безопасности обобщенной МИС.

Формальное описание новой модели

С учетом требований к модели разграничения доступа в МИС была разработана следующая модель.

Основные элементы: S - множество субъектов; G - множество групп субъектов; O - множество объектов (права доступа на некоторые объекты могут быть заданы явно, для остальных объектов права определяются динамически); ACL - множество списков контроля доступа (для явного задания прав); {g, o, {г}} - список контроля доступа; R -множество прав доступа; (L, <) - решетка уровней конфиденциальности; {O, 4озд, ¿пред} - метка времени, представляющая собой объект, время его создания, предельное время доступа к нему; N - множество меток времени (определяют предельное время изменения объекта); n:O ^пред - функция, возвращающая значение времени, по истечении которого доступ на изменение объекта o прекращается; c:S, O^R - функция, определяющая для каждого субъекта права доступа на определенный объект в зависимости от взаимоотношений между ними; PGcG - множество привилегированных групп, члены которых имеют полный доступ ко всем объектам; PA:G, O^R - функция, определяющая множество прав г группы g на объект o; SA^G - множество групп, к которым принадлежит субъект; group:S^SAs - функция, определяющая множество групп, к которым принадлежит субъект s; Avail:S, O, R ^ 1,0 - функция, определяющая доступность права г субъекта s на объект o; q(S, O, G,

PG, L, N, ACL) - состояние системы; Q - множество состояний системы.

Операторами, используемыми в данной модели, являются следующие.

• Создать объект o' с уровнем конфиденциальности lo, меткой времени {O, 4озд, 4ред}. Условие выполнения: o'<£O, loeL. Новое состояние системы: S=S, O'=Ou{o'}, G=G, PG =PG, L' =L, N' =NKj{noc}^>{noi}, ACL' =ACL.

• Создать группу g с уровнем конфиденциальности lr, множеством прав доступа {г} на объекты {o '}. Условие выполнения: g<£G, lreL. Новое состояние системы: S'=S, O'=O, G=Gu{g'}, PG' =PG, L' =L, N =N, ACL' =ACLu{g', {o'}, {г}}.

• Добавить право доступа г группы g на объект o' путем изменения/добавления списка контроля доступа acl'. Условие выполнения: g'eG, г' eR. Новое состояние системы: S' =S, O'=O, G=G, PG' =PG, L' =L, N =N, ACL' =ACLu{acl'}.

• Удалить право доступа г группы g на объект o' путем изменения/удаления списка контроля доступа acl'. Условие выполнения: {g, o', г'}eACL. Новое состояние системы: S =S, O =O, G =G, PG' =PG, L' =L, N =N, ACL' =ACL/{acl'}.

• Создать субъект s , принадлежащий множеству групп g'. Условие выполнения: g'eG, S&S. Новое состояние системы: S' =Su{s'}, O=O, G=G/{g' }u{g' us'}, PG' =PG, L' =L, N =N, ACL' =ACL.

• Включить субъект s в множество групп g . Условие выполнения: g'eG, SeS,g^SAs. Новое состояние системы: S'=S, O'=O, G=G/{g' }u{g'us'}, PG' =PG, L' =L, N =N, ACL' =ACL, SA's = SAsu/{g}.

• Исключить субъект s из множества групп g . Условие выполнения: g' eSA, SeS. Новое состояние системы: S =S, O'=O, G'=G/{g' }u{g'/s'}, PG' =PG, L' =L, ACL' =ACL, SA's = SA/\{g'}.

• Включить группу g' в множество привилегированных. Условие выполнения: g'eG, g'gPG. Новое состояние системы: S =S, O =O, G =G, PG' =PGu{g}, L' =L, N =N, ACL' =ACL.

• Исключить группу g' из множества привилегированных. Условие выполнения: g e G, g e PG. Новое состояние системы: S =S, O =O, G =G, PG =PG\{g}, L' =L, N =N, ACL' =ACL.

• Уничтожить объект o'. Условие выполнения: o' eO. Новое состояние системы: S =S, O =O\{o'}, G =G, PG' =PG, L' =L, N,=N\({noc}u u{nol}), ACL' =ACL.

• Уничтожить группу g'. Условие выполнения: g'eG. Новое состояние системы: S =S, O=O, G'=G\{g'}, PG =PG, T=T, L' =L, N =N, C =C, PA' =PA, SA'=SA.

• Уничтожить субъект s'. Условие выполнения: s' eS. Новое состояние системы: S =S\{s'}, O =O, G =G, PG =PG, L' =L, N =N, ACL' =ACL.

^Выполнение операции^

I

f Входит в привилегированные Л группы? J

-Да-

1

-Нет-

^Разрешить)

/ Предельная дата превышает Л V текущую? )

-Да-

СИмеются явные ^ права?

-Да—

X

J

Отказать^

Разрешить

Метка доступа выше, чем у объекта?

-Да-

Имеются явные права у одной из групп?

Отказать

L

-Да-

Разрешить

( Отказать

Блок-схема расширенной проверки прав пользователя на выполнение операции

A flow chart of user rights amplified verification for activity execution

• Определить доступность права г' субъекта * с уровнем доступа на объект о' с уровнем конфиденциальности /0\

Если то Ауш1=1;

Иначе Ауш7=(/текущее<я(о ' ))л(((г'еРА(£А/, о')) л л (1> 4)Мг' еф', о '))).

При использовании данной модели процедура определения доступности объекта выглядит следующим образом.

Каждый субъект (пользователь МИС) входит в определенные группы. Группы могут быть привилегированными и непривилегированными. Каждая группа обладает определенным уровнем конфиденциальности. Права доступа субъектов определяются как совокупность прав, явно указанных ему, и прав, указанных для групп.

При попытке субъекта совершить определенную операцию над объектом происходит проверка доступности данной операции.

Если пользователь входит в одну из привилегированных групп, он имеет полный доступ к любому объекту.

Иначе происходит проверка меток времени. Если текущее время превышает предельное время доступа к объекту, субъект не имеет права изменять объект.

Следующим шагом является проверка явно указанных прав и меток конфиденциальности. Если одна из групп, в которые входит пользователь, обладает правами на данную операцию и уровень доступа субъекта больше либо равен уровню конфиденциальности объекта, доступ гарантируется. Вторым условием гарантии доступа является нали-

чие возможности осуществления данной операции исходя из взаимоотношений между объектом и субъектом непосредственно (при этом не учитываются уровни конфиденциальности).

Таким образом, в системе заведомо заводятся необходимые группы со всеми атрибутами и списком прав доступа. Наличие меток конфиденциальности обусловливается обширным списком условий, по которым доступ должен или не должен предоставляться, а также большим количеством объектов. Разделение пользователей на группы необходимо для того, чтобы разграничивать права в зависимости от должности пользователя и места пребывания пациента.

Для реализации представленной модели авторы предлагают использовать механизм триггеров, в которых должна быть реализована логика расширенной проверки прав пользователя на выполнение операции в соответствии с разработанной моделью.

Если пользователь имеет право выполнить инициированную им операцию, которая вызвала срабатывание триггера, операция беспрепятственно завершается, в противном случае операция отменяется (см. рисунок).

Для автоматизации процедуры создания и редактирования триггеров авторы разработали программу «Консоль администратора безопасности». Для удобства администрирования данная программа позволяет выполнять стандартные операции по управлению пользователями БД, а также дает возможность определять дополнительные параметры безопасности, предусмотренные предлагаемой моделью. При разработке программы использовались язык C# и технология .Net.

На взгляд авторов, применение предложенной модели позволит существенно сократить объем работы администратора безопасности и, как следствие, снизить вероятность возникновения ошибок настройки прав доступа.

Литература

1. Каталог медицинских информационных систем // Ассоциация развития медицинских информационных технологий. URL: http://www.armit.ru/catalog/ (дата обращения: 01.04.2015).

2. Гусев А., Романов Ф., Дуданов И. Медицинские информационные системы: анализ рынка // PCWeek/RussianEdition. 2005. № 47. С. 18-32.

3. Назаренко Г.И., Гулиев Я.И. Информационные системы в управлении лечебно-профилактическим учреждением // Врач и информационные технологии. 2006. N° 4. С. 64-67.

4. Смольянинов В.Ю. Анализ условий предоставления и получения прав доступа в модели управления доступом MS SQL Server // Прикладная дискретная математика. 2014. № 2. С. 48-78.

5. Медведев Н.В., Гришин Г.А. Модели управления доступом в распределенных информационных системах // Наука и

образование. 2011. № 01. С. 1-19; URL: http://technomag.bmstu. ru/doc/164245 .html (дата обращения: 01.04.2015).

6. Гулиев Я.И., Фохт И.А., Фохт О.Я. [и др.]. Медицинские информационные системы и информационная безопасность. Проблемы и решения // Программные системы: Теория и приложения: тр. Междунар. конф. Переславль-Залесский. 2009. С. 175-206.

7. Гусев А.В. Медицинские информационные системы в России: текущее состояние, актуальные проблемы и тенденции развития // М.: Радиотехника. 2012. С. 157-170.

8. Назаренко Г.И., Михеев А.Е., Горбунов П.А., Гулиев Я.И., Фохт И.А., Фохт О.А. Особенности решения проблем

информационной безопасности в медицинских информационных системах // Врач и информационные технологии. 2007. № 4. С. 39-43.

9. Дабагов А.Р. Информатизация здравоохранения и некоторые проблемы построения интегрированных медицинских информационных систем // Журн. радиоэлектроники. 2011. № 9. С. 1-67.

10. Симаков О.В., Лебедев Г.С. Основные задачи информационно-телекоммуникационных технологий в здравоохранении Российской Федерации // Информационные технологии в медицине: тр. XI спец. конф.-выставки. М.: Радиотехника, 2010. С. 7-19.

DOI: 10.15827/0236-235X.113.166-169 Received 18.09.15

DEVELOPMENT OF ACCESS CONTROL MODEL FOR THE STANDARD MEDICAL INFORMATION SYSTEM

Olennikov E.A., Ph.D. (Engineering), Associate Professor; ZakharovA.A., Dr.Sc. (Engineering), Professor, azaharov@utmn.ru (Tyumen State University, Perekopskaya St. 15a, Tyumen, 625003, Russian Federation);

Olennikov A.A., Ph.D. (Engineering), Associate Professor, oaa@cirkul-m.ru (Siberian State Industrial University, Kirova St. 42, Novokuznetsk, 654007, Russian Federation, oaa@cirkul-m.ru);

Shirokikh A. V., Associate Professor, maxwide@shirokikh.ru;

Varnavsky V.V., Assistant, vvv_90_08@mail.ru (Tyumen State University, Perekopskaya St. 15a, Tyumen, 625003, Russian Federation)

Abstract. The article describes a model developed by the authors to protect the security of data in medical information systems. At the beginning of the article is formulated and substantiated the idea that the use of health information systems in the classical models of safety significantly complicates the procedure of access rights settings to the data and makes the process very time-consuming. First of all it is connected with the need to provide access only to the data of the patient, who needed medical attention at any given time to carry out their professional duties. This requirement implies the need for constant adjustment of access rights of users of medical information systems. Thus, the security administrator workload increases substantially, and as a result increases the likelihood of error setting permissions. The solution to this problem the authors see the development of a new security model that takes into account the specifics of the organization to access data in medical information systems. The following is a detailed description of the developed model, which takes into account additional features such as access time, the current relationship between doctor and patient, the status of the patient, the degree of privacy and so on. It describes the basic elements of the operators of the model. Considered in detail the implementation of the procedure for determining access rights to protected objects. In conclusion, the authors conclude that the use of the developed model of security to protect the data in medical information systems allow to automate the process of assigning permissions and significantly reduce the workload of the security administrator.

Keywords: information security, access control, data protection, access control model, medical information systems, model access confidential data.

References

1. Katalog meditsinskikh informatsionnykh sistem [The catalogue of medical information systems]. Available at: http://www.armit.ru/catalog/ (accessed April 1, 2015).

2. Gusev A., Romanov F., Dudanov I. Medical information systems: market analysis. PCWeek/RussianEdition. 2005, no. 47, pp. 18-32 (in Russ.).

3. Nazarenko G.I., Guliev Ya.I. Information systems in the management of health-care establishment. Vrach i infor-matsionnye tekhnologii [Information Technologies for the Physician]. 2006, no. 4, pp. 64-67 (in Russ.).

4. Smolyaninov V.Yu. The analysis of conditions of providing and obtaining access rights in the MS SQL Server model. Prikladnaya diskretnaya matematika [Applied Discrete Mathematics]. 2014, no. 2, pp. 48-78 (in Russ.).

5. Medvedev N.V., Grishin G.A. Access control models in distributed information systems. Nauka i obrazovanie [Science and education]. 2011, no. 01, pp. 1-19. Available at: http://technomag.bmstu.ru/doc/164245.html (accessed April 1, 2015).

6. Guliev Ya.I., Fokht I.A., Fokht O.Ya. Medical information systems and information security. Problems and solutions TrudyMezhdunar. konf. "Programmnye sistemy: Teoriya iprilozhemiya" [Proc. of the Int. Conf. "Software Systems: Theory and Applications Medi"]. Pereslavl-Zalessky, 2009, pp. 175-206 (in Russ.).

7. Gusev A.V. Meditsinskie informatsionnye sistemy v Rossii: tekushchee sostoyanie, aktualnye problemy i tendentsii razvitiya [Medical information systems in Russia: current status, problems and trends]. Available at: http://itm.con-sef.ru/dl/2012/05/28/ (accessed September 10, 2015).

8. Nazarenko G.I., Mikheev A.E., Gorbunov P.A., Guliev Ya.I., Fokht I.A., Fokht O.A. Features of solving information security problems in medical information systems. Vrach i informatsionnye tekhnologii [Information Technologies for the Physician]. 2007, no. 4, pp. 39-43 (in Russ.).

9. Dabagov A.R. E-health and some problems in the area of integrated medical information systems design. Zhurnal radioelektroniki [Journal of Radioelectronics]. 2011, no. 9, pp. 1-67 (in Russ.).

10. Simakov O.V., Lebedev G.S. The main objectives of information and telecommunication technologies in health care of the Russian Federation. Informatsionnye tekhnologii v meditsine: tr. XI spets. konf.-vystavki [Proc. 11th Specific Conf.-Exhibition "IT in Medicine"]. Moscow, Radiotekhnika Publ., 2010, pp. 7-19 (in Russ.).