陳澤強(qiáng)

摘 要：文章結(jié)合海南省?？谑?20急救中心計算機(jī)網(wǎng)絡(luò)安全性設(shè)計的實際方案，詳細(xì)分析了目前計算機(jī)網(wǎng)絡(luò)安全的重要性及存在的問題提出了基于防火墻與入侵檢測技術(shù)聯(lián)動的?？谑?20急救中心計算機(jī)網(wǎng)絡(luò)安全性的設(shè)計，作為對一個急救網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計的初步探討。

關(guān)鍵詞：院前急救；網(wǎng)絡(luò)安全；防火墻；入侵檢測技術(shù)

隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，Internet正在越來越多地融入社會的各行各業(yè)。我國的120院前急救工作擔(dān)負(fù)著保障國民健康的重任，是我國醫(yī)療衛(wèi)生行業(yè)的支柱。近年來，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步，醫(yī)療衛(wèi)生行業(yè)的計算機(jī)網(wǎng)絡(luò)應(yīng)用也取得了相當(dāng)大的進(jìn)步，隨著急救醫(yī)療信息系統(tǒng)應(yīng)用的快速發(fā)展，建立一個安全、可靠、功能齊全的急救網(wǎng)絡(luò)信息系統(tǒng)，己成為國內(nèi)當(dāng)前各個120急救中心息化建設(shè)的必由之路。雖然計算機(jī)網(wǎng)絡(luò)技術(shù)和信息系統(tǒng)給120院前急救帶來了許多的便利，但也同樣存在著一定的安全性問題——那就是計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性問題。院前急救是一個救死扶傷、挽救生命的機(jī)構(gòu)，因此，計算機(jī)網(wǎng)絡(luò)系統(tǒng)既要防止利用計算機(jī)進(jìn)行網(wǎng)絡(luò)犯罪，又要防止網(wǎng)絡(luò)數(shù)據(jù)的丟失及非法用戶的侵入，確保急救信息系統(tǒng)穩(wěn)定、安全、可靠地運(yùn)行[1]。

基于以上原因，我們在建設(shè)?？谑?20急救網(wǎng)絡(luò)信息系統(tǒng)的時候，始終將系統(tǒng)的安全性問題放在首位，采用了高性能的網(wǎng)絡(luò)安全設(shè)備來構(gòu)建計算機(jī)網(wǎng)絡(luò)系統(tǒng)，從而保證了系統(tǒng)在建成的幾年時間內(nèi)一直安全穩(wěn)定地運(yùn)行，支撐了海口市120急救日常主要業(yè)務(wù)工作，為單位的正常運(yùn)轉(zhuǎn)發(fā)揮了重要的作用。本論文主要論述了基于防火墻與入侵檢測技術(shù)聯(lián)動的海口市120急救中心計算機(jī)網(wǎng)絡(luò)安全性的設(shè)計與防護(hù)策略，作為對一個急救網(wǎng)絡(luò)系統(tǒng)安全性的初步探討。

1 防火墻概述

根據(jù)國家標(biāo)準(zhǔn)GB/T 20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》，防火墻也叫防護(hù)墻，是指一種在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全設(shè)備，也稱為一個分離器，一個限制器，能有效地監(jiān)控流經(jīng)防火墻的數(shù)據(jù)，保證內(nèi)部網(wǎng)絡(luò)和隔離區(qū)（Demilitarized Zone，DMZ）的安全。防火墻具有以下3種基本性質(zhì)：（1）是不同網(wǎng)絡(luò)與網(wǎng)絡(luò)之間信息的唯一安全出入口。（2）只有符合防火墻安全策略的信息才能通過出入口，在數(shù)據(jù)流經(jīng)的過程之中對數(shù)據(jù)進(jìn)行審核[2]。（3）本身不能影響網(wǎng)絡(luò)信息的流通。

1.1防火墻技術(shù)分類

1.1.1包過濾技術(shù)

防火墻上的包過濾主要工作在傳輸層和網(wǎng)絡(luò)層，它根據(jù)經(jīng)過防火墻的每個數(shù)據(jù)包的目標(biāo)IP地址、源IP地址、協(xié)議類型、端口號等信息來決定是否將該數(shù)據(jù)包通過還是丟棄，從而達(dá)到對進(jìn)出防火墻的數(shù)據(jù)進(jìn)行檢測和限制的目的。在發(fā)展過程中它經(jīng)歷了兩個時期，第一個稱為靜態(tài)包過濾，第二個稱為動態(tài)包過濾。

（1）靜態(tài)包過濾技術(shù)：當(dāng)要過濾數(shù)據(jù)包時，把數(shù)據(jù)包中報頭的數(shù)據(jù)與訪問控制列表中的數(shù)據(jù)進(jìn)行對比，決定該傳輸是被丟棄還是允許通過。這些規(guī)則常稱為數(shù)據(jù)包過濾訪問控制列表（ Access Control List，ACL）。

（2）動態(tài)包過濾技術(shù)：首先將進(jìn)出防火墻的數(shù)據(jù)包當(dāng)成一個個的會話，然后在訪問控制列表中建立狀態(tài)表，利用狀態(tài)表判斷是否符合會話所處的狀態(tài)，若符合則允許通過否則禁止數(shù)據(jù)包經(jīng)過[3-4]。

1.1.2應(yīng)用代理技術(shù)

代理防火墻為它們所支持的協(xié)議提供全面的協(xié)議意識安全分析。應(yīng)用代理技術(shù)的發(fā)展也經(jīng)歷了兩個版本，第一代的應(yīng)用層網(wǎng)關(guān)技術(shù)，第二代的自適應(yīng)代理技術(shù)。

（1）應(yīng)用層網(wǎng)關(guān)技術(shù)：數(shù)據(jù)包先在應(yīng)用網(wǎng)關(guān)進(jìn)行合法認(rèn)汪.通過以后將數(shù)據(jù)包發(fā)送到準(zhǔn)備好的機(jī)器上通信，應(yīng)用層上的數(shù)據(jù)包在傳輸層進(jìn)行通信。

（2）自適應(yīng)代理技術(shù)：在對防火墻進(jìn)行配置時，用戶通過相應(yīng)Proxy的管理界面對所需要的服務(wù)類型、安全級別等信息進(jìn)行設(shè)置；然后再根據(jù)配置的具體信息，決定是使用代理服務(wù)從相關(guān)的路徑轉(zhuǎn)發(fā)數(shù)據(jù)包[5]。

1.2防火墻主要功能

防火墻能提高網(wǎng)絡(luò)、服務(wù)器群以及各種應(yīng)用系統(tǒng)的安全性，它主要有以下功能。

（l）網(wǎng)絡(luò)安全的屏障。對網(wǎng)絡(luò)存取和訪問進(jìn)行審計和監(jiān)督，提供內(nèi)部網(wǎng)絡(luò)的可靠性和安全性，對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報警，過濾不安全的服務(wù)。

（2）強(qiáng)化網(wǎng)絡(luò)安全策略。通過整體的安全管理，在安全策略上可以實現(xiàn)安全技術(shù)應(yīng)用（包括身份認(rèn)汪、加密、口令密碼等），過濾掉不可靠、不安全的服務(wù)和潛在的非法用戶。

（3）防止內(nèi)部信息外泄。對于內(nèi)部網(wǎng)絡(luò)，對于各種應(yīng)用服務(wù)，通過設(shè)置不同的安全級別，實現(xiàn)內(nèi)部重點網(wǎng)段的隔離，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性，同時限制敏感的安全問題避免影響整個網(wǎng)絡(luò)。

（4）實現(xiàn)虛擬專用網(wǎng)的連接。虛擬專用網(wǎng)通過防火墻技術(shù)，有效保護(hù)和防范因特網(wǎng)內(nèi)部網(wǎng)絡(luò)服務(wù)特性[2]。

2入侵檢測系統(tǒng)

入侵檢測是一種主動防御系統(tǒng)，在一定程度上預(yù)防和檢測來自內(nèi)部和外部的入侵，是對防火墻不足的彌補(bǔ)。主要通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

2.1入侵檢測技術(shù)

根據(jù)采用的分析方法將其可分為異常檢測和誤用檢測兩種。

（1）異常檢測。首先建立起一定的數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則，然后基于這個活動規(guī)則對進(jìn)入的數(shù)據(jù)包進(jìn)行審計，發(fā)現(xiàn)與設(shè)定的規(guī)則不符時，則將其判斷為異常行為并做好統(tǒng)計上報。

（2）誤用檢測。它是通過把數(shù)據(jù)包報頭的信息和入侵檢測系統(tǒng)建立起來的控制列表中的信息做對比，把違反安全策略的行為進(jìn)行標(biāo)記并統(tǒng)計上報。誤用檢測具有較高的檢測率和準(zhǔn)確率。

2.2入侵檢測的發(fā)展

隨著IPV6應(yīng)用范圍的擴(kuò)展，入侵檢測系統(tǒng)支持IPV6將是一大發(fā)展趨勢。IPV6擴(kuò)展了地址空間，協(xié)議本身提供加密和認(rèn)證功能，因此，面向IPV6的入侵檢測系統(tǒng)主要解決如下問題。

（l）大規(guī)模網(wǎng)絡(luò)環(huán)境下的入侵檢測。由于IPV6支持超大規(guī)模的網(wǎng)絡(luò)環(huán)境，面向IPV6的入侵檢測系統(tǒng)要解決大數(shù)據(jù)量的問題，需要融合分布式體系結(jié)構(gòu)和高性能計算技術(shù)。

（2）認(rèn)證和加密情況下的網(wǎng)絡(luò)監(jiān)聽。IPV6協(xié)議本身支持加密和認(rèn)證的特點，極大地增加了面向IPV6的入侵檢測系統(tǒng)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的難度，極端情況下，甚至需要首先獲得通信雙方會話密鑰[6]。

3 入侵檢測系統(tǒng)與防火墻的聯(lián)動部署

部署入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS），應(yīng)當(dāng)將其掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上，即IDS采用旁路部署方式接入網(wǎng)絡(luò)，這些流量通常是指需要進(jìn)行監(jiān)視和統(tǒng)計的網(wǎng)絡(luò)報文。IDS和防火墻均具備對方不可代替的功能，所以在大多數(shù)網(wǎng)絡(luò)的應(yīng)用中，防火墻用于防范外部的網(wǎng)絡(luò)威脅，IDS用于檢測內(nèi)部網(wǎng)絡(luò)，兩者共存形成互補(bǔ)，使120的網(wǎng)絡(luò)體系處于安全、穩(wěn)定的運(yùn)行中。由于網(wǎng)絡(luò)的安全設(shè)施和安全防范措施也一般都部署在外部網(wǎng)絡(luò)入口，即數(shù)據(jù)包經(jīng)過的地方。因此，在聯(lián)動方案中我們針對120急救中心內(nèi)部網(wǎng)絡(luò)的存在的安全問題，使用了重要的網(wǎng)絡(luò)安全設(shè)備，包括防火墻和入侵檢測系統(tǒng)等，對整個內(nèi)部網(wǎng)絡(luò)中的信息通信和數(shù)據(jù)交互都進(jìn)行檢測、防護(hù)，保證單位內(nèi)部網(wǎng)絡(luò)的信息安全[7]。入侵檢測系統(tǒng)與防火墻的聯(lián)動部署如圖l所示。

（1）入侵檢測引擎放在防火墻的非信任區(qū)。在這種情況下，入侵檢測系統(tǒng)能接收到外部網(wǎng)絡(luò)接口的所有信息，管理員能夠清楚地看到來自外部的入侵企圖，即可及時動態(tài)阻斷發(fā)生攻擊的連接。

（2）入侵檢測系統(tǒng)放在防火墻的信任區(qū)。檢測系統(tǒng)在這個位置通過掃描經(jīng)過周界防火墻的網(wǎng)絡(luò)流量及內(nèi)部訪問情況，找出可疑行為，向管理員發(fā)出威脅安全的警告。

（3）在防火墻的信任區(qū)與非信任區(qū)均設(shè)置入侵檢測系統(tǒng)，這樣對于來自外部和內(nèi)部的入侵攻擊都能夠檢測到。

（4）入侵檢測系統(tǒng)放在防火墻的隔離區(qū)。防火墻的隔離區(qū)是信任區(qū)和非信任區(qū)之間的緩沖區(qū)域，把Web，E-Mail，文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）等允許外部訪問的服務(wù)器單獨(dú)接在該區(qū)端口[3]。 此外，根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不同，入侵檢測系統(tǒng)的監(jiān)聽端口可以接共享煤質(zhì)的集線器、交換機(jī)的調(diào)試端口或?qū)楸O(jiān)聽所增設(shè)的分接器。

4結(jié)語

綜上所述，通過全面考慮?？?20網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全和用戶數(shù)據(jù)的安全，文章采用基于防火墻和入侵檢測技術(shù)的論述和聯(lián)動部署設(shè)計。此外，網(wǎng)絡(luò)傳輸?shù)男畔踩矫孢€將Web頁面超高速緩存、VPN和帶寬管理等前沿技術(shù)與防火墻與入侵檢測技術(shù)結(jié)合起來，構(gòu)成了安全的聯(lián)動部署，最終形成更加安全的網(wǎng)絡(luò)安全屏障體系統(tǒng)。

[參考文獻(xiàn)]

[1]翁昌晶，劉謙.大型綜合醫(yī)院計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性設(shè)計[J].醫(yī)學(xué)信息，2004 （5）：251-252

[2]陳波，于冷.信息安全案例教程[J]技術(shù)與應(yīng)用，2015 （4）：45.

[3]張威，潘小鳳.防火墻與入侵檢測技術(shù)探討[J].南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2008 （2）：61-63

[4]百度文庫.防火墻的分類[EB/OL]（ 2011-05-06）[2018-02-09] .https：//wenku.baidu.com/view/2ld728f8fab069dc50220lbe.html

[5]林玉梅.防火墻技術(shù)及其應(yīng)用研究[J]軟件導(dǎo)刊，2012 （9）：160-162

[6]柴晨陽.基于神經(jīng)網(wǎng)絡(luò)集成的入侵檢測研究[D].長沙：湖南大學(xué)，2007.

[7]鄒輝.入侵監(jiān)測系統(tǒng)（IDS）的應(yīng)用研究[D].北京：首都經(jīng)濟(jì)貿(mào)易大學(xué)，2012.