醫院網絡安全的主動防御技術設計

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫院網絡安全的主動防御技術設計范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：網絡安全在現階段醫院信息系統建設和運維的過程中尤為關鍵，保護系統安全和醫患數據安全是醫院信息系統平穩運行的前提條件。本文通過對現階段主流的網絡安全技術進行介紹，對傳統的醫院信息系統網絡安全的防護手段進行改進和優化，提出全新的醫院網絡安全主動防御技術體系，全方位智能化提升醫院信息系統的安全防護程度。

關鍵詞：網絡安全；醫院信息系統；主動防御

1引言

信息技術的快速發展，有力促進了醫院信息化的發展和普及，基于內外網的數據共享和業務集成，已應用在了門診、住院、收費、影像、檢驗、藥房等各個醫療領域，并取得了顯著的使用效果，極大的便利了臨床醫生和就診患者。但是，在醫療信息化快速發展的同時，也面臨著海量的互聯網安全攻擊，基于DDoS、漏洞掃描、蠕蟲植入等一系列攻擊侵襲醫院網絡，會導致大面積服務器宕機，網絡擁塞，醫生和患者無法正常使用業務系統[1-2]。目前，醫院網絡傳統的安全手段多是基于單一的被動式防御，比如單純的防火墻策略或殺毒軟件部署等，但是由于這些技術較為單一，防護場景太少，而且多屬于被動式防御，一旦病毒或木馬爆發，即使防御得再完備也可能產生一些不必要的損失，因此本文提出引入主動安全防御技術，構建一個多種網絡安全技術聯動的主動入侵防御體系，該防御體系能夠顯著提高醫院網絡安全的防護能力，對保障系統安全具有重要的作用和意義。

2系統架構

2.1下一代防火墻

防火墻技術是一種靜態安全技術，主要是通過安全策略過濾IP五元組對網絡的訪問行為實施有效管理，而策略之外的網絡訪問行為則無法控制。安全策略是防火墻的基本安全控制機制，其規則方式主要由匹配條件與處理方式兩個部分共同構成。匹配條件主要是以邏輯表達式的形式呈現，當網絡流量經過防火墻時，若匹配條件的邏輯表達式為真，則說明該流量與當前規則匹配成功[3]。下一代防火墻是在傳統防火墻技術的基礎上，為了應對更加復雜的網絡環境而設計，不僅具有傳統防火墻的數據包過濾、原地址轉換、協議分析等功能，而且具備了IDS和IPS和VPN的部分功能，可以通過策略和特征庫有效進行主動防御，并在復雜的網絡環境中對網絡進行細粒度探測，可有效防范DDoS等網絡攻擊。

2.2堡壘機

堡壘機是為了保障網絡信息安全，防止來自內部和外部運維人員的非正當操作行為的一類設備，在特定網絡中，通過運用操作審計、身份識別、單點登錄、協議代理、資源授權等手段，對該網絡內多種設備包括服務器、存儲、交換機、防火墻等安全設備的運維過程進行實時記錄和分析，只允許授權用戶進行單向運維，實現審計定責和集中管控[4]。從功能上來講，其綜合了賬戶管理、分權管理、安全審計和系統運維幾大功能，將運維審計由事件審計提升為內容審計，對運維操作隨時可回放溯源，形成了運維終端與運維資源邏輯隔離，做到事前防范、事中監管、事后審查，將用戶的操作風險大幅度降低，避免人為引起的各類網絡安全事件。

2.3安全準入系統

上網行為管理系統是為了防止網絡攻擊通過終端設備散播到業務網段，通過集中的規則設置來管控終端用戶，避免安全風險的一類設備系統。系統通過集中的策略規則配置、權限設置、身份認證識別來限制有限用戶登錄系統，可借助CA簽名、指紋識別、人臉識別等方式，實現特定人群訪問業務網絡。同時也可以對終端用戶限定使用權限，對使用的應用程序進行封堵過濾過濾，有效避免通過非法訪問終端導致的病毒傳播。

2.4日志審計

日志是系統運行和網絡訪問時產生的重要事件記錄，內部記載著可能的潛在安全風險操作描述，日志監測和分析對發現安全隱患和威脅發揮著重要的作用。在日常的網絡安全管理的過程中，安全管理人員通過人為日志分析可檢測系統運行是否正常，及時發現網絡中的可疑行為。但隨著醫院的各類系統、網絡設備、安全設備、以及業務應用系統的數量不斷增加，系統產生的日志數量越來越大，每日產生的日志量條目可能數以百萬計，而且，網絡設備、安全設備和應用系統產生的日志格式也不太統一，類型繁多復雜，同時還分散存儲在各自的系統中[7-8]。這就使得日志的檢索、讀取和管理非常不便，也無法實時監控分析，做不到及時預警和發現。使用集中的日志審計系統能夠有效解決這一問題，通過在核心網絡的集中部署，鏡像監測分析各系統流量，可以在最短時間內對系統可疑行為做出判斷和預警并推送給網絡安全管理人員，便于使用單位對安全事件做到事中事后及時管控。

2.5WAF防火墻

傳統的防火墻一般是針對傳輸層以下來進行IP地址和端口相關防護，通過分組過濾的形式來實現對網絡數據包的管控。當惡意攻擊者在應用層針對Web服務發動應用層攻擊，如注入、溢出、身份攻擊、數據泄露、跨站腳本、不安全的反序列化等惡意手段時，傳統分組過濾防火墻無法檢測到應用層的異常流量來及時做出響應，無法提供Web應用系統防護。Web應用防火墻（WebApplicationFirewall，以下簡稱WAF）可以探測到HTTP協議的請求，解析HTTP數據包的各類元素，攔截或拒絕存在威脅的請求，從而實現對Web應用層的安全防護工作。WAF可部署在外網區域或DMZ區域，一般架設在Web應用服務器的前端，它通過截獲得到來自客戶端的HTTP請求，解析請求得到特定的解析實體進行分類，然后放入規則庫來檢測和匹配請求的安全性與合法性，通過建立一個可靠的請求準入機制實現對各類網站站點的有效防護。同時，WAF的規則設置將依據新增加的應用程序或新的軟件模塊進行相應的更新和變化。

2.6態勢感知

態勢感知是比較新的網絡安全防御技術，許多醫院信息化發展時間較長，接入網絡的軟硬件資源設備非常多，信息系統和網絡結構也比較復雜，態勢感知可以通過自身的人工智能分析引擎結合一定的特征和規則庫，實時采集網絡數據包，動態分析醫院網絡面臨的風險，從全局出發、分析和處置醫院網絡面臨的潛在威脅并做出提示，保障醫院網絡安全運行。網絡安全態勢感知包括四個關鍵功能，分別是網絡數據包的抓取、數據包的檢測和分析、潛在安全威脅比對和威脅處置。該技術通過鏡像流量實時同步獲取醫院核心網絡中的數據包，使用內置規則和大數據深度學習、神經網絡等技術檢測和分析未知安全行為，同時對威脅影響的范圍、造成的損失、攻擊的路徑及時做出評估，智能的反饋給網絡安全管理員，從而提高了醫院網絡安全防護能力[5]。

2.7上網行為管理系統

上網行為管理系統主要用來對內部人員的上網行為進行管理和控制，對特定用戶發布的信息進行審計，防止終端用戶將病毒和惡意軟件通過不良網站帶入業務網絡，或將不良信息散發到互聯網上造成惡劣影響。同時該系統可以阻斷不必要的網絡應用，對用戶的網絡訪問行為進行監控，并保留上網行為的日志，可提供給日志審計系統進行分析。同時還可以對網游、股票、P2P應用（例如BT、電驢、迅雷等占有帶寬大的下載軟件）和即時通訊進行封堵，禁止使用代理服務器上網[6]。上網行為管理系統可以促使單位職工合理利用網絡資源，創造一個綠色安全的上網環境。

2.8數據庫審計

數據庫審計系統主要是為了保障醫院數據安全，便于事后防御和追責的針對核心數據庫進行防護的安全系統。該系統主要通過鏡像復制的方式，對數據庫服務器通過網絡監測，抓包解析、分析數據庫訪問協議，從而實時、智能地還原、記錄用戶對數據庫服務的各種操作，同時將數據抽取歸并、關聯分析以實現對用戶操作的監控和審計。該系統還可以根據設置的審計規則，智能地判斷出違規操作數據庫的行為，并對違規行為進行記錄、報警，實現對數據庫的在線監控和保護，為醫院數據安全的安全運行提供有力保障。

3系統實現

3.1技術架構

如圖1所示，本次研究的主動防御網絡安全體系架構由事前預知、事中防御、事后響應三部分組成，事前預知主要包括態勢感知模塊、下一代防火墻的IPS模塊、上網行為管理系統，其中態勢感知模塊在未知攻擊或潛在危險發現時可及時提出預警，聯動IPS系統啟動主動防御模塊做出防范，上網行為管理則在平時的使用過程中進行事前管控限制，避免網絡安全事件發生。若安全攻擊進入事中防御程序，下一代防護墻啟動規則庫和防御模塊過濾并防范諸如DDoS等網絡攻擊，WAF防火墻在WEB層面做漏洞規則庫防范，防病毒系統進行實時掃描防范，全域殺毒。事后響應則是啟動日志審計、數據庫審計、堡壘機進行日志、數據庫和運維的三位一體審計，全方位跟蹤篩查可能已經發生或潛伏的惡意代碼程序，配合態勢感知程序和防病毒模塊進行跟蹤查殺。該技術架構集成了較多的安全產品，可事前、事中、事后聯動管理配合，進行主動防御，保障醫院全網系統安全可靠。圖1網絡安全主動防御體系

3.2拓撲實現

基于網絡安全主動防御的技術實現，需對醫院數據中心進行詳細的規劃，合理安排的安全設備互聯、重新規劃IP路由并對安全策略進行配置。

3.2.1設備互聯規劃

根據整體技術架構的安排，需對要安全設備的互聯架構做出規劃，根據等保2.0的要求，首先按照醫院的業務場景，分別對醫療內網系統、互聯網服務、銀醫服務、醫保合療等業務進行分區，如圖2所示，具體可分為核心交換區、安全管理區、樓層接入區、應用服務器區、DMZ區、互聯網接入區、外聯區和前置服務器區。然后在明確區域的前提下對各區域邊界部署下一代防火墻來做邊界防護，同時在內外網之間部署網閘隔離。最后在重要出口處部署態勢感知等主動安全設備來進行全網探測和防護。

3.2.2IP路由規劃

整體IP規劃按照三層網絡模型來進行，在區域邊界配置匯聚交換機寫入網關，由匯聚層負責各區域的包轉發，提高轉發效率同時便于策略配置。核心區、服務器區、安全管理區、用戶接入區之間采用OSPF協議實現。各個功能區的路由通過直連路由方式連接至核心交換機，將靜態路由引入路由表。

3.2.3安全策略規劃

各區域的主動安全防護通過下一代防火墻實現，均為2層透明部署方式。為了方便后期策略維護和策略管理，策略采用分組方式規劃：1、內網用戶至服務器區策略組，2、DMZ至服務器區策略組，3、外聯用戶至服務器區策略組、4、安全管理區至服務器區策略組，5，服務器區至DMZ區策略組，6、服務器區至外聯區策略組。每條策略在策略組下根據業務需要添加，網絡訪問嚴格執行各組策略，惡意攻擊無法通過，實現主動防御。下一代防火墻均深度集成IPS模塊，功能區防火墻實施均啟用IPS功能實現對功能區的安全防護。所有網絡設備維護均采用ssh方式進行維護，在終端登錄時候限制登錄源地址。所有設備的登錄必須通過堡壘機，保證網絡安全，保障維護的可追溯性。原則上通過互聯網對外提供的服務，必須部署在DMZ區域，例如互聯網醫療等業務。DMZ區域到內網之間數據傳遞采用網閘普通方式（不采用透明傳輸）實現。態勢感知設備部署在互聯網區域的核心設備上，啟用主動安全防護策略，可全天24小時監控來自互聯網的未知攻擊并做出提示。

4應用效果

榆林市第一醫院在2022年按照文章所述思路設計和構建了基于主動防御技術的醫院網絡安全防御體系，對未知攻擊和惡意病毒實現了精準預防與查殺，保障了醫院的信息網絡安全，取得了良好的效果。但網絡安全的挑戰是多方的，該防御體系的在應對復雜多變的惡意攻擊的同時仍然需要及時調整和增加策略，然后通過本系統中各部分的聯動響應和主動防御及時處置絕大部分威脅攻擊，防止惡意程序快速擴散。

5結束語

本文討論的醫院網絡安全主動防御技術采用多種安全設備和軟件融合為醫院業務提供全流程的安全防護，包括事前預警，事中防御，事后追溯和快速響應，將全過程中所有相關信息通過多種方式展現給醫院網絡安全管理人員。系統為醫院內部網絡提供全程保護、可視及自動聯動處置。通過設備間的聯動自動處置威脅，結合人工處理，極大提高響應威脅的時效性和精準度。本防御體系能滿足等保2.0對通信網絡、區域邊界、計算環境以及管理中心安全等方面的要求，標志著醫院網絡安全主動式防御體系已經建成。此外由于網絡威脅攻擊時刻存在，提升全院人員網絡安全意識，加強網絡安全運維人員的培訓管理也都非常重要。

參考文獻：

[1]呂曉娟.醫院信息化建設管理的現實問題與相關探討[J].中國數字醫學，2017．.

[2]韓向非，郭幽燕，王建勛，等.基于信息技術基礎架構庫的醫院IT服務實踐探索[J].中國數字醫學，2017.

[3]郭德超，邱鴻鐘，梁瑞瓊.防火墻與入侵檢測系統在醫院網絡安全中的應用[J].中國數字醫學，2019.

[4]彭桂芬，者明偉，等.基于醫科類院校堡壘機的建設及應用展望初探[J]．現代信息科技，2019.

[5]魏帥嶺，閆國濤，等.等級保護2.0下醫院網絡安全體系的建設與探索[J]．中國數字醫學，2021.

[6]陳晨，包曾．醫院網絡安全管理體系的建設方法分析[J]．網絡安全技術與應用，2020.

[7]呂榮峰，楊夢寧，余虹．智能日志審計與預警系統功能設計與實現[J]．數字技術與應用，2016.

[8]郝漩.基于ApacheFlume的分布式日志收集系統設計與實現[J].軟件導刊，2014.

作者：劉昆 劉強 馬文 單位：榆林市第一醫院 榆林市衛生計生信息中心