醫(yī)院網(wǎng)絡(luò)安全的主動防御技術(shù)設(shè)計

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫(yī)院網(wǎng)絡(luò)安全的主動防御技術(shù)設(shè)計范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：網(wǎng)絡(luò)安全在現(xiàn)階段醫(yī)院信息系統(tǒng)建設(shè)和運維的過程中尤為關(guān)鍵，保護系統(tǒng)安全和醫(yī)患數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)平穩(wěn)運行的前提條件。本文通過對現(xiàn)階段主流的網(wǎng)絡(luò)安全技術(shù)進行介紹，對傳統(tǒng)的醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全的防護手段進行改進和優(yōu)化，提出全新的醫(yī)院網(wǎng)絡(luò)安全主動防御技術(shù)體系，全方位智能化提升醫(yī)院信息系統(tǒng)的安全防護程度。

關(guān)鍵詞：網(wǎng)絡(luò)安全；醫(yī)院信息系統(tǒng)；主動防御

1引言

信息技術(shù)的快速發(fā)展，有力促進了醫(yī)院信息化的發(fā)展和普及，基于內(nèi)外網(wǎng)的數(shù)據(jù)共享和業(yè)務(wù)集成，已應(yīng)用在了門診、住院、收費、影像、檢驗、藥房等各個醫(yī)療領(lǐng)域，并取得了顯著的使用效果，極大的便利了臨床醫(yī)生和就診患者。但是，在醫(yī)療信息化快速發(fā)展的同時，也面臨著海量的互聯(lián)網(wǎng)安全攻擊，基于DDoS、漏洞掃描、蠕蟲植入等一系列攻擊侵襲醫(yī)院網(wǎng)絡(luò)，會導(dǎo)致大面積服務(wù)器宕機，網(wǎng)絡(luò)擁塞，醫(yī)生和患者無法正常使用業(yè)務(wù)系統(tǒng)[1-2]。目前，醫(yī)院網(wǎng)絡(luò)傳統(tǒng)的安全手段多是基于單一的被動式防御，比如單純的防火墻策略或殺毒軟件部署等，但是由于這些技術(shù)較為單一，防護場景太少，而且多屬于被動式防御，一旦病毒或木馬爆發(fā)，即使防御得再完備也可能產(chǎn)生一些不必要的損失，因此本文提出引入主動安全防御技術(shù)，構(gòu)建一個多種網(wǎng)絡(luò)安全技術(shù)聯(lián)動的主動入侵防御體系，該防御體系能夠顯著提高醫(yī)院網(wǎng)絡(luò)安全的防護能力，對保障系統(tǒng)安全具有重要的作用和意義。

2系統(tǒng)架構(gòu)

2.1下一代防火墻

防火墻技術(shù)是一種靜態(tài)安全技術(shù)，主要是通過安全策略過濾IP五元組對網(wǎng)絡(luò)的訪問行為實施有效管理，而策略之外的網(wǎng)絡(luò)訪問行為則無法控制。安全策略是防火墻的基本安全控制機制，其規(guī)則方式主要由匹配條件與處理方式兩個部分共同構(gòu)成。匹配條件主要是以邏輯表達式的形式呈現(xiàn)，當(dāng)網(wǎng)絡(luò)流量經(jīng)過防火墻時，若匹配條件的邏輯表達式為真，則說明該流量與當(dāng)前規(guī)則匹配成功[3]。下一代防火墻是在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上，為了應(yīng)對更加復(fù)雜的網(wǎng)絡(luò)環(huán)境而設(shè)計，不僅具有傳統(tǒng)防火墻的數(shù)據(jù)包過濾、原地址轉(zhuǎn)換、協(xié)議分析等功能，而且具備了IDS和IPS和VPN的部分功能，可以通過策略和特征庫有效進行主動防御，并在復(fù)雜的網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)進行細(xì)粒度探測，可有效防范DDoS等網(wǎng)絡(luò)攻擊。

2.2堡壘機

堡壘機是為了保障網(wǎng)絡(luò)信息安全，防止來自內(nèi)部和外部運維人員的非正當(dāng)操作行為的一類設(shè)備，在特定網(wǎng)絡(luò)中，通過運用操作審計、身份識別、單點登錄、協(xié)議代理、資源授權(quán)等手段，對該網(wǎng)絡(luò)內(nèi)多種設(shè)備包括服務(wù)器、存儲、交換機、防火墻等安全設(shè)備的運維過程進行實時記錄和分析，只允許授權(quán)用戶進行單向運維，實現(xiàn)審計定責(zé)和集中管控[4]。從功能上來講，其綜合了賬戶管理、分權(quán)管理、安全審計和系統(tǒng)運維幾大功能，將運維審計由事件審計提升為內(nèi)容審計，對運維操作隨時可回放溯源，形成了運維終端與運維資源邏輯隔離，做到事前防范、事中監(jiān)管、事后審查，將用戶的操作風(fēng)險大幅度降低，避免人為引起的各類網(wǎng)絡(luò)安全事件。

2.3安全準(zhǔn)入系統(tǒng)

上網(wǎng)行為管理系統(tǒng)是為了防止網(wǎng)絡(luò)攻擊通過終端設(shè)備散播到業(yè)務(wù)網(wǎng)段，通過集中的規(guī)則設(shè)置來管控終端用戶，避免安全風(fēng)險的一類設(shè)備系統(tǒng)。系統(tǒng)通過集中的策略規(guī)則配置、權(quán)限設(shè)置、身份認(rèn)證識別來限制有限用戶登錄系統(tǒng)，可借助CA簽名、指紋識別、人臉識別等方式，實現(xiàn)特定人群訪問業(yè)務(wù)網(wǎng)絡(luò)。同時也可以對終端用戶限定使用權(quán)限，對使用的應(yīng)用程序進行封堵過濾過濾，有效避免通過非法訪問終端導(dǎo)致的病毒傳播。

2.4日志審計

日志是系統(tǒng)運行和網(wǎng)絡(luò)訪問時產(chǎn)生的重要事件記錄，內(nèi)部記載著可能的潛在安全風(fēng)險操作描述，日志監(jiān)測和分析對發(fā)現(xiàn)安全隱患和威脅發(fā)揮著重要的作用。在日常的網(wǎng)絡(luò)安全管理的過程中，安全管理人員通過人為日志分析可檢測系統(tǒng)運行是否正常，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為。但隨著醫(yī)院的各類系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、以及業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)量不斷增加，系統(tǒng)產(chǎn)生的日志數(shù)量越來越大，每日產(chǎn)生的日志量條目可能數(shù)以百萬計，而且，網(wǎng)絡(luò)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)產(chǎn)生的日志格式也不太統(tǒng)一，類型繁多復(fù)雜，同時還分散存儲在各自的系統(tǒng)中[7-8]。這就使得日志的檢索、讀取和管理非常不便，也無法實時監(jiān)控分析，做不到及時預(yù)警和發(fā)現(xiàn)。使用集中的日志審計系統(tǒng)能夠有效解決這一問題，通過在核心網(wǎng)絡(luò)的集中部署，鏡像監(jiān)測分析各系統(tǒng)流量，可以在最短時間內(nèi)對系統(tǒng)可疑行為做出判斷和預(yù)警并推送給網(wǎng)絡(luò)安全管理人員，便于使用單位對安全事件做到事中事后及時管控。

2.5WAF防火墻

傳統(tǒng)的防火墻一般是針對傳輸層以下來進行IP地址和端口相關(guān)防護，通過分組過濾的形式來實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的管控。當(dāng)惡意攻擊者在應(yīng)用層針對Web服務(wù)發(fā)動應(yīng)用層攻擊，如注入、溢出、身份攻擊、數(shù)據(jù)泄露、跨站腳本、不安全的反序列化等惡意手段時，傳統(tǒng)分組過濾防火墻無法檢測到應(yīng)用層的異常流量來及時做出響應(yīng)，無法提供Web應(yīng)用系統(tǒng)防護。Web應(yīng)用防火墻（WebApplicationFirewall，以下簡稱WAF）可以探測到HTTP協(xié)議的請求，解析HTTP數(shù)據(jù)包的各類元素，攔截或拒絕存在威脅的請求，從而實現(xiàn)對Web應(yīng)用層的安全防護工作。WAF可部署在外網(wǎng)區(qū)域或DMZ區(qū)域，一般架設(shè)在Web應(yīng)用服務(wù)器的前端，它通過截獲得到來自客戶端的HTTP請求，解析請求得到特定的解析實體進行分類，然后放入規(guī)則庫來檢測和匹配請求的安全性與合法性，通過建立一個可靠的請求準(zhǔn)入機制實現(xiàn)對各類網(wǎng)站站點的有效防護。同時，WAF的規(guī)則設(shè)置將依據(jù)新增加的應(yīng)用程序或新的軟件模塊進行相應(yīng)的更新和變化。

2.6態(tài)勢感知

態(tài)勢感知是比較新的網(wǎng)絡(luò)安全防御技術(shù)，許多醫(yī)院信息化發(fā)展時間較長，接入網(wǎng)絡(luò)的軟硬件資源設(shè)備非常多，信息系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)也比較復(fù)雜，態(tài)勢感知可以通過自身的人工智能分析引擎結(jié)合一定的特征和規(guī)則庫，實時采集網(wǎng)絡(luò)數(shù)據(jù)包，動態(tài)分析醫(yī)院網(wǎng)絡(luò)面臨的風(fēng)險，從全局出發(fā)、分析和處置醫(yī)院網(wǎng)絡(luò)面臨的潛在威脅并做出提示，保障醫(yī)院網(wǎng)絡(luò)安全運行。網(wǎng)絡(luò)安全態(tài)勢感知包括四個關(guān)鍵功能，分別是網(wǎng)絡(luò)數(shù)據(jù)包的抓取、數(shù)據(jù)包的檢測和分析、潛在安全威脅比對和威脅處置。該技術(shù)通過鏡像流量實時同步獲取醫(yī)院核心網(wǎng)絡(luò)中的數(shù)據(jù)包，使用內(nèi)置規(guī)則和大數(shù)據(jù)深度學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等技術(shù)檢測和分析未知安全行為，同時對威脅影響的范圍、造成的損失、攻擊的路徑及時做出評估，智能的反饋給網(wǎng)絡(luò)安全管理員，從而提高了醫(yī)院網(wǎng)絡(luò)安全防護能力[5]。

2.7上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要用來對內(nèi)部人員的上網(wǎng)行為進行管理和控制，對特定用戶發(fā)布的信息進行審計，防止終端用戶將病毒和惡意軟件通過不良網(wǎng)站帶入業(yè)務(wù)網(wǎng)絡(luò)，或?qū)⒉涣夹畔⑸l(fā)到互聯(lián)網(wǎng)上造成惡劣影響。同時該系統(tǒng)可以阻斷不必要的網(wǎng)絡(luò)應(yīng)用，對用戶的網(wǎng)絡(luò)訪問行為進行監(jiān)控，并保留上網(wǎng)行為的日志，可提供給日志審計系統(tǒng)進行分析。同時還可以對網(wǎng)游、股票、P2P應(yīng)用（例如BT、電驢、迅雷等占有帶寬大的下載軟件）和即時通訊進行封堵，禁止使用代理服務(wù)器上網(wǎng)[6]。上網(wǎng)行為管理系統(tǒng)可以促使單位職工合理利用網(wǎng)絡(luò)資源，創(chuàng)造一個綠色安全的上網(wǎng)環(huán)境。

2.8數(shù)據(jù)庫審計

數(shù)據(jù)庫審計系統(tǒng)主要是為了保障醫(yī)院數(shù)據(jù)安全，便于事后防御和追責(zé)的針對核心數(shù)據(jù)庫進行防護的安全系統(tǒng)。該系統(tǒng)主要通過鏡像復(fù)制的方式，對數(shù)據(jù)庫服務(wù)器通過網(wǎng)絡(luò)監(jiān)測，抓包解析、分析數(shù)據(jù)庫訪問協(xié)議，從而實時、智能地還原、記錄用戶對數(shù)據(jù)庫服務(wù)的各種操作，同時將數(shù)據(jù)抽取歸并、關(guān)聯(lián)分析以實現(xiàn)對用戶操作的監(jiān)控和審計。該系統(tǒng)還可以根據(jù)設(shè)置的審計規(guī)則，智能地判斷出違規(guī)操作數(shù)據(jù)庫的行為，并對違規(guī)行為進行記錄、報警，實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護，為醫(yī)院數(shù)據(jù)安全的安全運行提供有力保障。

3系統(tǒng)實現(xiàn)

3.1技術(shù)架構(gòu)

如圖1所示，本次研究的主動防御網(wǎng)絡(luò)安全體系架構(gòu)由事前預(yù)知、事中防御、事后響應(yīng)三部分組成，事前預(yù)知主要包括態(tài)勢感知模塊、下一代防火墻的IPS模塊、上網(wǎng)行為管理系統(tǒng)，其中態(tài)勢感知模塊在未知攻擊或潛在危險發(fā)現(xiàn)時可及時提出預(yù)警，聯(lián)動IPS系統(tǒng)啟動主動防御模塊做出防范，上網(wǎng)行為管理則在平時的使用過程中進行事前管控限制，避免網(wǎng)絡(luò)安全事件發(fā)生。若安全攻擊進入事中防御程序，下一代防護墻啟動規(guī)則庫和防御模塊過濾并防范諸如DDoS等網(wǎng)絡(luò)攻擊，WAF防火墻在WEB層面做漏洞規(guī)則庫防范，防病毒系統(tǒng)進行實時掃描防范，全域殺毒。事后響應(yīng)則是啟動日志審計、數(shù)據(jù)庫審計、堡壘機進行日志、數(shù)據(jù)庫和運維的三位一體審計，全方位跟蹤篩查可能已經(jīng)發(fā)生或潛伏的惡意代碼程序，配合態(tài)勢感知程序和防病毒模塊進行跟蹤查殺。該技術(shù)架構(gòu)集成了較多的安全產(chǎn)品，可事前、事中、事后聯(lián)動管理配合，進行主動防御，保障醫(yī)院全網(wǎng)系統(tǒng)安全可靠。圖1網(wǎng)絡(luò)安全主動防御體系

3.2拓?fù)鋵崿F(xiàn)

基于網(wǎng)絡(luò)安全主動防御的技術(shù)實現(xiàn)，需對醫(yī)院數(shù)據(jù)中心進行詳細(xì)的規(guī)劃，合理安排的安全設(shè)備互聯(lián)、重新規(guī)劃IP路由并對安全策略進行配置。

3.2.1設(shè)備互聯(lián)規(guī)劃

根據(jù)整體技術(shù)架構(gòu)的安排，需對要安全設(shè)備的互聯(lián)架構(gòu)做出規(guī)劃，根據(jù)等保2.0的要求，首先按照醫(yī)院的業(yè)務(wù)場景，分別對醫(yī)療內(nèi)網(wǎng)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)、銀醫(yī)服務(wù)、醫(yī)保合療等業(yè)務(wù)進行分區(qū)，如圖2所示，具體可分為核心交換區(qū)、安全管理區(qū)、樓層接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)區(qū)和前置服務(wù)器區(qū)。然后在明確區(qū)域的前提下對各區(qū)域邊界部署下一代防火墻來做邊界防護，同時在內(nèi)外網(wǎng)之間部署網(wǎng)閘隔離。最后在重要出口處部署態(tài)勢感知等主動安全設(shè)備來進行全網(wǎng)探測和防護。

3.2.2IP路由規(guī)劃

整體IP規(guī)劃按照三層網(wǎng)絡(luò)模型來進行，在區(qū)域邊界配置匯聚交換機寫入網(wǎng)關(guān)，由匯聚層負(fù)責(zé)各區(qū)域的包轉(zhuǎn)發(fā)，提高轉(zhuǎn)發(fā)效率同時便于策略配置。核心區(qū)、服務(wù)器區(qū)、安全管理區(qū)、用戶接入?yún)^(qū)之間采用OSPF協(xié)議實現(xiàn)。各個功能區(qū)的路由通過直連路由方式連接至核心交換機，將靜態(tài)路由引入路由表。

3.2.3安全策略規(guī)劃

各區(qū)域的主動安全防護通過下一代防火墻實現(xiàn)，均為2層透明部署方式。為了方便后期策略維護和策略管理，策略采用分組方式規(guī)劃：1、內(nèi)網(wǎng)用戶至服務(wù)器區(qū)策略組，2、DMZ至服務(wù)器區(qū)策略組，3、外聯(lián)用戶至服務(wù)器區(qū)策略組、4、安全管理區(qū)至服務(wù)器區(qū)策略組，5，服務(wù)器區(qū)至DMZ區(qū)策略組，6、服務(wù)器區(qū)至外聯(lián)區(qū)策略組。每條策略在策略組下根據(jù)業(yè)務(wù)需要添加，網(wǎng)絡(luò)訪問嚴(yán)格執(zhí)行各組策略，惡意攻擊無法通過，實現(xiàn)主動防御。下一代防火墻均深度集成IPS模塊，功能區(qū)防火墻實施均啟用IPS功能實現(xiàn)對功能區(qū)的安全防護。所有網(wǎng)絡(luò)設(shè)備維護均采用ssh方式進行維護，在終端登錄時候限制登錄源地址。所有設(shè)備的登錄必須通過堡壘機，保證網(wǎng)絡(luò)安全，保障維護的可追溯性。原則上通過互聯(lián)網(wǎng)對外提供的服務(wù)，必須部署在DMZ區(qū)域，例如互聯(lián)網(wǎng)醫(yī)療等業(yè)務(wù)。DMZ區(qū)域到內(nèi)網(wǎng)之間數(shù)據(jù)傳遞采用網(wǎng)閘普通方式（不采用透明傳輸）實現(xiàn)。態(tài)勢感知設(shè)備部署在互聯(lián)網(wǎng)區(qū)域的核心設(shè)備上，啟用主動安全防護策略，可全天24小時監(jiān)控來自互聯(lián)網(wǎng)的未知攻擊并做出提示。

4應(yīng)用效果

榆林市第一醫(yī)院在2022年按照文章所述思路設(shè)計和構(gòu)建了基于主動防御技術(shù)的醫(yī)院網(wǎng)絡(luò)安全防御體系，對未知攻擊和惡意病毒實現(xiàn)了精準(zhǔn)預(yù)防與查殺，保障了醫(yī)院的信息網(wǎng)絡(luò)安全，取得了良好的效果。但網(wǎng)絡(luò)安全的挑戰(zhàn)是多方的，該防御體系的在應(yīng)對復(fù)雜多變的惡意攻擊的同時仍然需要及時調(diào)整和增加策略，然后通過本系統(tǒng)中各部分的聯(lián)動響應(yīng)和主動防御及時處置絕大部分威脅攻擊，防止惡意程序快速擴散。

5結(jié)束語

本文討論的醫(yī)院網(wǎng)絡(luò)安全主動防御技術(shù)采用多種安全設(shè)備和軟件融合為醫(yī)院業(yè)務(wù)提供全流程的安全防護，包括事前預(yù)警，事中防御，事后追溯和快速響應(yīng)，將全過程中所有相關(guān)信息通過多種方式展現(xiàn)給醫(yī)院網(wǎng)絡(luò)安全管理人員。系統(tǒng)為醫(yī)院內(nèi)部網(wǎng)絡(luò)提供全程保護、可視及自動聯(lián)動處置。通過設(shè)備間的聯(lián)動自動處置威脅，結(jié)合人工處理，極大提高響應(yīng)威脅的時效性和精準(zhǔn)度。本防御體系能滿足等保2.0對通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境以及管理中心安全等方面的要求，標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全主動式防御體系已經(jīng)建成。此外由于網(wǎng)絡(luò)威脅攻擊時刻存在，提升全院人員網(wǎng)絡(luò)安全意識，加強網(wǎng)絡(luò)安全運維人員的培訓(xùn)管理也都非常重要。

參考文獻：

[1]呂曉娟.醫(yī)院信息化建設(shè)管理的現(xiàn)實問題與相關(guān)探討[J].中國數(shù)字醫(yī)學(xué)，2017．.

[2]韓向非，郭幽燕，王建勛，等.基于信息技術(shù)基礎(chǔ)架構(gòu)庫的醫(yī)院IT服務(wù)實踐探索[J].中國數(shù)字醫(yī)學(xué)，2017.

[3]郭德超，邱鴻鐘，梁瑞瓊.防火墻與入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2019.

[4]彭桂芬，者明偉，等.基于醫(yī)科類院校堡壘機的建設(shè)及應(yīng)用展望初探[J]．現(xiàn)代信息科技，2019.

[5]魏帥嶺，閆國濤，等.等級保護2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J]．中國數(shù)字醫(yī)學(xué)，2021.

[6]陳晨，包曾．醫(yī)院網(wǎng)絡(luò)安全管理體系的建設(shè)方法分析[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020.

[7]呂榮峰，楊夢寧，余虹．智能日志審計與預(yù)警系統(tǒng)功能設(shè)計與實現(xiàn)[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2016.

[8]郝漩.基于ApacheFlume的分布式日志收集系統(tǒng)設(shè)計與實現(xiàn)[J].軟件導(dǎo)刊，2014.

作者：劉昆 劉強 馬文 單位：榆林市第一醫(yī)院 榆林市衛(wèi)生計生信息中心