◆程兆生

防火墻與入侵檢測(cè)系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用

◆程兆生

（赤峰市醫(yī)院 內(nèi)蒙古 024000）

由于受到科技快速發(fā)展的支持，為了維護(hù)各個(gè)領(lǐng)域行業(yè)的數(shù)據(jù)安全，防火墻被不斷研發(fā)并正隨著科技水平的提升而不斷升級(jí)，具有阻擋外來不明數(shù)據(jù)及病毒等作用，有效對(duì)防火墻內(nèi)部數(shù)據(jù)進(jìn)行保護(hù)，其中醫(yī)院也同樣正使用防火墻來保護(hù)病人病歷、醫(yī)院設(shè)備信息等重要數(shù)據(jù)。而為了提高對(duì)數(shù)據(jù)的防護(hù)，則必須采用防火墻與入侵檢測(cè)系統(tǒng)結(jié)合的方式，在提高防護(hù)效率的同時(shí)促進(jìn)醫(yī)院內(nèi)人員工作的順利進(jìn)行，同時(shí)對(duì)保護(hù)病人的生命安全也起到重要作用。因此本文對(duì)我國醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，并針對(duì)防火墻及入侵檢測(cè)系統(tǒng)在醫(yī)院網(wǎng)絡(luò)中的具體應(yīng)用展開探討。

防火墻；入侵檢測(cè)系統(tǒng)；醫(yī)院網(wǎng)絡(luò)安全

0 前言

首先，現(xiàn)如今我國絕大部分醫(yī)院已全面進(jìn)入現(xiàn)代化模式，而醫(yī)院每日會(huì)出現(xiàn)大量病人。而病人的病歷、醫(yī)囑、看病流程等會(huì)都是醫(yī)院重要數(shù)據(jù)的組成部分；其次,醫(yī)院購進(jìn)醫(yī)療設(shè)備、床位、醫(yī)療資源等都需要利用網(wǎng)絡(luò)對(duì)其數(shù)據(jù)進(jìn)行記錄，而一點(diǎn)丟失則容易使醫(yī)院遭受巨大經(jīng)濟(jì)損失?；谝陨蟽牲c(diǎn)，醫(yī)院則建立數(shù)據(jù)保障安全系統(tǒng)來維護(hù)醫(yī)院網(wǎng)絡(luò)安全，其中包括防火墻。目前我國大部分醫(yī)院內(nèi)采用的防火墻多為經(jīng)典模式，通過將防火墻設(shè)置在路由器與內(nèi)部網(wǎng)絡(luò)之間，將內(nèi)外網(wǎng)絡(luò)隔離開來，形成最基本的防護(hù)模式。

1 醫(yī)院網(wǎng)絡(luò)安全存在的問題

由于防火墻的主要作用是防止并阻擋外來入侵?jǐn)?shù)據(jù)和病毒，如果在醫(yī)院網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)環(huán)境中出現(xiàn)攻擊數(shù)據(jù)，防火墻則無法對(duì)其進(jìn)行采取任何有效措施。但根據(jù)防火墻被設(shè)計(jì)時(shí)的主要目的與理念來看，防火墻的主要針對(duì)目標(biāo)就是外部入侵病毒，內(nèi)部病毒攻擊等則與防火墻功能無關(guān)。但由于部分醫(yī)院自身意識(shí)不足，在網(wǎng)絡(luò)安全系統(tǒng)只運(yùn)用到防火墻一種防護(hù)系統(tǒng)，因此只能起到“防”的作用，而并未存在“護(hù)”功能。而具不完全統(tǒng)計(jì)，我國醫(yī)院網(wǎng)絡(luò)安全問題中，有80%以上出現(xiàn)與醫(yī)院網(wǎng)絡(luò)內(nèi)部，人員操作失誤、內(nèi)部人員泄密等，都是造成內(nèi)部網(wǎng)絡(luò)受到侵害的主要原因，由此可見，若想要實(shí)現(xiàn)內(nèi)外同時(shí)增強(qiáng)醫(yī)院網(wǎng)絡(luò)安全，不僅需要設(shè)置防火墻，同時(shí)也需要在內(nèi)部運(yùn)用入侵檢測(cè)技術(shù)，與防火墻充分結(jié)合，加強(qiáng)對(duì)醫(yī)院網(wǎng)絡(luò)的保護(hù)。

2 入侵檢測(cè)系統(tǒng)

IDS（入侵檢測(cè)系統(tǒng)）是一種主動(dòng)防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，在功能上彌補(bǔ)了防火墻的缺陷，使整個(gè)安全防御體系更趨完善、可靠，不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源。一個(gè)經(jīng)典的入侵檢測(cè)系統(tǒng)的部署方式如圖1所示。

圖1 經(jīng)典入侵檢測(cè)系統(tǒng)部署拓?fù)鋱D

3 入侵檢測(cè)與防火墻結(jié)合的原理分析

防火墻主要作用于內(nèi)外網(wǎng)絡(luò)之間，而由于這兩種網(wǎng)絡(luò)信任程度不同，因此則需要利用安全策略加強(qiáng)防火墻的功能作用，防止出現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信任產(chǎn)生危害的外來數(shù)據(jù)進(jìn)入內(nèi)部，達(dá)到安全保護(hù)內(nèi)部環(huán)境不受外部侵害的目的。但由于防火墻功能主要針對(duì)外部網(wǎng)絡(luò)，則無法對(duì)內(nèi)部進(jìn)行監(jiān)控或防護(hù)，而一旦有防火墻無法防范的危險(xiǎn)數(shù)據(jù)則能夠輕松繞過防火墻，對(duì)內(nèi)部進(jìn)行侵略；而IDS入侵檢測(cè)系統(tǒng)的運(yùn)用，可以對(duì)醫(yī)院內(nèi)部數(shù)據(jù)環(huán)境及外部網(wǎng)絡(luò)情況進(jìn)行實(shí)時(shí)檢測(cè)，一旦發(fā)現(xiàn)有外來入侵的征兆，則會(huì)及時(shí)對(duì)該征兆進(jìn)行判斷并采取措施對(duì)其防范，進(jìn)一步提高醫(yī)院網(wǎng)絡(luò)安全。而通過多級(jí)、分布式的網(wǎng)絡(luò)監(jiān)督、管理、控制機(jī)制，全面體現(xiàn)了管理層對(duì)醫(yī)院網(wǎng)絡(luò)關(guān)鍵資源的全局控制、把握和調(diào)度能力。即使一個(gè)系統(tǒng)中不存在某個(gè)特定的漏洞，IDS系統(tǒng)仍然可以檢測(cè)到相應(yīng)的攻擊事件，并調(diào)整系統(tǒng)狀態(tài)，對(duì)未來可能發(fā)生的侵入做出警告。

由于入侵檢測(cè)技術(shù)的主要功能是對(duì)內(nèi)外入侵?jǐn)?shù)據(jù)進(jìn)行檢測(cè)，而如果只運(yùn)用該技術(shù)是遠(yuǎn)遠(yuǎn)無法達(dá)到有效保護(hù)醫(yī)院網(wǎng)絡(luò)安全作用的。因此，將IDS與防火墻進(jìn)行有效結(jié)合形成聯(lián)動(dòng)。IDS系統(tǒng)能夠及時(shí)對(duì)外部入侵行為進(jìn)行察覺并向防火墻發(fā)出請(qǐng)求，而防火墻在對(duì)外阻止過程中一旦發(fā)現(xiàn)安全策略以外的攻擊數(shù)據(jù)則能夠及時(shí)向IDS發(fā)出信號(hào)，使其能夠及時(shí)調(diào)整策略，達(dá)到充分提高醫(yī)院網(wǎng)絡(luò)安全的效果。

4 防火墻與IDS聯(lián)動(dòng)的模型設(shè)計(jì)

本次設(shè)計(jì)與以往防火墻與入侵檢測(cè)系統(tǒng)疊加而成的模式不同，而是在進(jìn)行結(jié)合前將這兩個(gè)系統(tǒng)分別進(jìn)行研究，并充分分析這兩個(gè)系統(tǒng)中的各項(xiàng)功能與其自身存在的優(yōu)勢(shì)與缺點(diǎn)。并在充分研究后將兩個(gè)系統(tǒng)有效結(jié)合，通過互補(bǔ)原則將二者的優(yōu)勢(shì)進(jìn)行疊加，并利用相互作用對(duì)二者的缺點(diǎn)進(jìn)行完善。該系統(tǒng)看似簡(jiǎn)單透明，但系統(tǒng)中具有Snort系統(tǒng)的優(yōu)勢(shì)如圖2所示，能夠通過軟件包的監(jiān)聽獲得網(wǎng)絡(luò)數(shù)據(jù)包，然后增加入侵檢測(cè)分析功能。其主要的方法是建立具體的特征庫，基于規(guī)則審計(jì)分析，并能夠進(jìn)行包的數(shù)據(jù)內(nèi)容搜索/匹配，從而實(shí)現(xiàn)入侵檢測(cè)分析功能。

圖2 Snort模塊圖

而在進(jìn)行結(jié)合時(shí)，入侵檢測(cè)系統(tǒng)可以在防火墻內(nèi)外隨意設(shè)置，而由于防火墻自身對(duì)于醫(yī)院網(wǎng)絡(luò)的內(nèi)部攻擊無法進(jìn)行處理，則本人認(rèn)為，將入侵檢測(cè)放在防火墻內(nèi)更加合理。而為了進(jìn)一步提高醫(yī)院網(wǎng)絡(luò)安全，可將檢測(cè)器放在防火墻外面，一旦外界有攻擊數(shù)據(jù)發(fā)現(xiàn)檢測(cè)器，則會(huì)先對(duì)檢測(cè)器展開攻擊，從而減少其對(duì)防火墻的破壞。

而將檢測(cè)器放置在防火墻內(nèi)部，也具有一定優(yōu)勢(shì):(1)當(dāng)外來數(shù)據(jù)入侵時(shí)時(shí)防火墻可先對(duì)其安全性進(jìn)行判斷，減少檢測(cè)器的誤報(bào)警情況；(2)一旦有外來入侵病毒或數(shù)據(jù)入侵進(jìn)來，檢測(cè)器可第一時(shí)間對(duì)防火墻出現(xiàn)的失誤進(jìn)行及時(shí)判斷；(3)能夠使防火墻充分發(fā)揮起作用，當(dāng)出現(xiàn)弱小攻擊時(shí)防火墻完全可以將其阻擋在外，不必動(dòng)用檢測(cè)器對(duì)其進(jìn)行檢測(cè)，從而增加對(duì)內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)。

5 IDS和防火墻的互動(dòng)

防火墻和入侵檢測(cè)系統(tǒng)互動(dòng)具體步驟如下:

（1）初始化通信連接時(shí)，一般由IDS向Firewall發(fā)起連接。

（2）建立正常連接后，當(dāng)IDS產(chǎn)生需要通知Firewall的安全事件時(shí)，通過發(fā)送約定格式的數(shù)據(jù)包，來完成向傳遞必要的互動(dòng)信息。

（3）Firewall收到互動(dòng)信息后，可以實(shí)施互動(dòng)行為，并將結(jié)果（成功與否）以約定格式的數(shù)據(jù)包反饋給IDS。

6 結(jié)束語

綜上所述，雖然防火墻系統(tǒng)能夠有效阻擋外界入侵?jǐn)?shù)據(jù)的攻擊，但由于該系統(tǒng)中受現(xiàn)代科技水平限制，仍存在一定漏洞。因此并不能完全將外界所有入侵行為進(jìn)行阻擋，而內(nèi)部環(huán)境不屬于防火墻系統(tǒng)保護(hù)范圍。因此，為維護(hù)醫(yī)院網(wǎng)絡(luò)安全，則需要利用入侵檢測(cè)系統(tǒng)與防火墻充分結(jié)合，在對(duì)內(nèi)部進(jìn)行檢測(cè)的同時(shí)也能夠?qū)ν獠咳肭中袨檫M(jìn)行檢測(cè)及預(yù)防，充分發(fā)揮二者的作用。

本文通過對(duì)IDS入侵檢測(cè)系統(tǒng)與經(jīng)典防火墻及二者的原理進(jìn)行分析，并對(duì)二者結(jié)合方式與互動(dòng)進(jìn)行闡述，而這二者通過結(jié)合后能夠利用雙方優(yōu)勢(shì)弱化對(duì)方缺點(diǎn)的同時(shí)進(jìn)一步提高防護(hù)系統(tǒng)性能，大大提高了醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性。為促進(jìn)醫(yī)院工作穩(wěn)定進(jìn)行奠定堅(jiān)實(shí)基礎(chǔ)，同時(shí)也期望能夠?yàn)槲覈t(yī)院網(wǎng)絡(luò)安全防護(hù)系統(tǒng)水平的提升提供參考依據(jù)。

[1]李林，盧顯良.一種針對(duì)規(guī)則集不一致性的測(cè)試數(shù)據(jù)包選取算法[J].計(jì)算機(jī)科學(xué)，2011.

[2]張雪芹，顧春華，吳吉義.異常檢測(cè)中支持向量機(jī)最優(yōu)模型選擇方法[J].電子科技大學(xué)學(xué)報(bào)，2011.

[3]張昱，謝小鵬.基于遺傳相關(guān)向量機(jī)的圖像分類技術(shù)[J].計(jì)算機(jī)仿真，2011.