◆程兆生

防火墻與入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用

◆程兆生

（赤峰市醫(yī)院 內(nèi)蒙古 024000）

由于受到科技快速發(fā)展的支持，為了維護各個領(lǐng)域行業(yè)的數(shù)據(jù)安全，防火墻被不斷研發(fā)并正隨著科技水平的提升而不斷升級，具有阻擋外來不明數(shù)據(jù)及病毒等作用，有效對防火墻內(nèi)部數(shù)據(jù)進(jìn)行保護，其中醫(yī)院也同樣正使用防火墻來保護病人病歷、醫(yī)院設(shè)備信息等重要數(shù)據(jù)。而為了提高對數(shù)據(jù)的防護，則必須采用防火墻與入侵檢測系統(tǒng)結(jié)合的方式，在提高防護效率的同時促進(jìn)醫(yī)院內(nèi)人員工作的順利進(jìn)行，同時對保護病人的生命安全也起到重要作用。因此本文對我國醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，并針對防火墻及入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)中的具體應(yīng)用展開探討。

防火墻；入侵檢測系統(tǒng)；醫(yī)院網(wǎng)絡(luò)安全

0 前言

首先，現(xiàn)如今我國絕大部分醫(yī)院已全面進(jìn)入現(xiàn)代化模式，而醫(yī)院每日會出現(xiàn)大量病人。而病人的病歷、醫(yī)囑、看病流程等會都是醫(yī)院重要數(shù)據(jù)的組成部分；其次,醫(yī)院購進(jìn)醫(yī)療設(shè)備、床位、醫(yī)療資源等都需要利用網(wǎng)絡(luò)對其數(shù)據(jù)進(jìn)行記錄，而一點丟失則容易使醫(yī)院遭受巨大經(jīng)濟損失?；谝陨蟽牲c，醫(yī)院則建立數(shù)據(jù)保障安全系統(tǒng)來維護醫(yī)院網(wǎng)絡(luò)安全，其中包括防火墻。目前我國大部分醫(yī)院內(nèi)采用的防火墻多為經(jīng)典模式，通過將防火墻設(shè)置在路由器與內(nèi)部網(wǎng)絡(luò)之間，將內(nèi)外網(wǎng)絡(luò)隔離開來，形成最基本的防護模式。

1 醫(yī)院網(wǎng)絡(luò)安全存在的問題

由于防火墻的主要作用是防止并阻擋外來入侵?jǐn)?shù)據(jù)和病毒，如果在醫(yī)院網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)環(huán)境中出現(xiàn)攻擊數(shù)據(jù)，防火墻則無法對其進(jìn)行采取任何有效措施。但根據(jù)防火墻被設(shè)計時的主要目的與理念來看，防火墻的主要針對目標(biāo)就是外部入侵病毒，內(nèi)部病毒攻擊等則與防火墻功能無關(guān)。但由于部分醫(yī)院自身意識不足，在網(wǎng)絡(luò)安全系統(tǒng)只運用到防火墻一種防護系統(tǒng)，因此只能起到“防”的作用，而并未存在“護”功能。而具不完全統(tǒng)計，我國醫(yī)院網(wǎng)絡(luò)安全問題中，有80%以上出現(xiàn)與醫(yī)院網(wǎng)絡(luò)內(nèi)部，人員操作失誤、內(nèi)部人員泄密等，都是造成內(nèi)部網(wǎng)絡(luò)受到侵害的主要原因，由此可見，若想要實現(xiàn)內(nèi)外同時增強醫(yī)院網(wǎng)絡(luò)安全，不僅需要設(shè)置防火墻，同時也需要在內(nèi)部運用入侵檢測技術(shù)，與防火墻充分結(jié)合，加強對醫(yī)院網(wǎng)絡(luò)的保護。

2 入侵檢測系統(tǒng)

IDS（入侵檢測系統(tǒng)）是一種主動防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，在功能上彌補了防火墻的缺陷，使整個安全防御體系更趨完善、可靠，不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源。一個經(jīng)典的入侵檢測系統(tǒng)的部署方式如圖1所示。

圖1 經(jīng)典入侵檢測系統(tǒng)部署拓?fù)鋱D

3 入侵檢測與防火墻結(jié)合的原理分析

防火墻主要作用于內(nèi)外網(wǎng)絡(luò)之間，而由于這兩種網(wǎng)絡(luò)信任程度不同，因此則需要利用安全策略加強防火墻的功能作用，防止出現(xiàn)對內(nèi)部網(wǎng)絡(luò)信任產(chǎn)生危害的外來數(shù)據(jù)進(jìn)入內(nèi)部，達(dá)到安全保護內(nèi)部環(huán)境不受外部侵害的目的。但由于防火墻功能主要針對外部網(wǎng)絡(luò)，則無法對內(nèi)部進(jìn)行監(jiān)控或防護，而一旦有防火墻無法防范的危險數(shù)據(jù)則能夠輕松繞過防火墻，對內(nèi)部進(jìn)行侵略；而IDS入侵檢測系統(tǒng)的運用，可以對醫(yī)院內(nèi)部數(shù)據(jù)環(huán)境及外部網(wǎng)絡(luò)情況進(jìn)行實時檢測，一旦發(fā)現(xiàn)有外來入侵的征兆，則會及時對該征兆進(jìn)行判斷并采取措施對其防范，進(jìn)一步提高醫(yī)院網(wǎng)絡(luò)安全。而通過多級、分布式的網(wǎng)絡(luò)監(jiān)督、管理、控制機制，全面體現(xiàn)了管理層對醫(yī)院網(wǎng)絡(luò)關(guān)鍵資源的全局控制、把握和調(diào)度能力。即使一個系統(tǒng)中不存在某個特定的漏洞，IDS系統(tǒng)仍然可以檢測到相應(yīng)的攻擊事件，并調(diào)整系統(tǒng)狀態(tài)，對未來可能發(fā)生的侵入做出警告。

由于入侵檢測技術(shù)的主要功能是對內(nèi)外入侵?jǐn)?shù)據(jù)進(jìn)行檢測，而如果只運用該技術(shù)是遠(yuǎn)遠(yuǎn)無法達(dá)到有效保護醫(yī)院網(wǎng)絡(luò)安全作用的。因此，將IDS與防火墻進(jìn)行有效結(jié)合形成聯(lián)動。IDS系統(tǒng)能夠及時對外部入侵行為進(jìn)行察覺并向防火墻發(fā)出請求，而防火墻在對外阻止過程中一旦發(fā)現(xiàn)安全策略以外的攻擊數(shù)據(jù)則能夠及時向IDS發(fā)出信號，使其能夠及時調(diào)整策略，達(dá)到充分提高醫(yī)院網(wǎng)絡(luò)安全的效果。

4 防火墻與IDS聯(lián)動的模型設(shè)計

本次設(shè)計與以往防火墻與入侵檢測系統(tǒng)疊加而成的模式不同，而是在進(jìn)行結(jié)合前將這兩個系統(tǒng)分別進(jìn)行研究，并充分分析這兩個系統(tǒng)中的各項功能與其自身存在的優(yōu)勢與缺點。并在充分研究后將兩個系統(tǒng)有效結(jié)合，通過互補原則將二者的優(yōu)勢進(jìn)行疊加，并利用相互作用對二者的缺點進(jìn)行完善。該系統(tǒng)看似簡單透明，但系統(tǒng)中具有Snort系統(tǒng)的優(yōu)勢如圖2所示，能夠通過軟件包的監(jiān)聽獲得網(wǎng)絡(luò)數(shù)據(jù)包，然后增加入侵檢測分析功能。其主要的方法是建立具體的特征庫，基于規(guī)則審計分析，并能夠進(jìn)行包的數(shù)據(jù)內(nèi)容搜索/匹配，從而實現(xiàn)入侵檢測分析功能。

圖2 Snort模塊圖

而在進(jìn)行結(jié)合時，入侵檢測系統(tǒng)可以在防火墻內(nèi)外隨意設(shè)置，而由于防火墻自身對于醫(yī)院網(wǎng)絡(luò)的內(nèi)部攻擊無法進(jìn)行處理，則本人認(rèn)為，將入侵檢測放在防火墻內(nèi)更加合理。而為了進(jìn)一步提高醫(yī)院網(wǎng)絡(luò)安全，可將檢測器放在防火墻外面，一旦外界有攻擊數(shù)據(jù)發(fā)現(xiàn)檢測器，則會先對檢測器展開攻擊，從而減少其對防火墻的破壞。

而將檢測器放置在防火墻內(nèi)部，也具有一定優(yōu)勢:(1)當(dāng)外來數(shù)據(jù)入侵時時防火墻可先對其安全性進(jìn)行判斷，減少檢測器的誤報警情況；(2)一旦有外來入侵病毒或數(shù)據(jù)入侵進(jìn)來，檢測器可第一時間對防火墻出現(xiàn)的失誤進(jìn)行及時判斷；(3)能夠使防火墻充分發(fā)揮起作用，當(dāng)出現(xiàn)弱小攻擊時防火墻完全可以將其阻擋在外，不必動用檢測器對其進(jìn)行檢測，從而增加對內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護。

5 IDS和防火墻的互動

防火墻和入侵檢測系統(tǒng)互動具體步驟如下:

（1）初始化通信連接時，一般由IDS向Firewall發(fā)起連接。

（2）建立正常連接后，當(dāng)IDS產(chǎn)生需要通知Firewall的安全事件時，通過發(fā)送約定格式的數(shù)據(jù)包，來完成向傳遞必要的互動信息。

（3）Firewall收到互動信息后，可以實施互動行為，并將結(jié)果（成功與否）以約定格式的數(shù)據(jù)包反饋給IDS。

6 結(jié)束語

綜上所述，雖然防火墻系統(tǒng)能夠有效阻擋外界入侵?jǐn)?shù)據(jù)的攻擊，但由于該系統(tǒng)中受現(xiàn)代科技水平限制，仍存在一定漏洞。因此并不能完全將外界所有入侵行為進(jìn)行阻擋，而內(nèi)部環(huán)境不屬于防火墻系統(tǒng)保護范圍。因此，為維護醫(yī)院網(wǎng)絡(luò)安全，則需要利用入侵檢測系統(tǒng)與防火墻充分結(jié)合，在對內(nèi)部進(jìn)行檢測的同時也能夠?qū)ν獠咳肭中袨檫M(jìn)行檢測及預(yù)防，充分發(fā)揮二者的作用。

本文通過對IDS入侵檢測系統(tǒng)與經(jīng)典防火墻及二者的原理進(jìn)行分析，并對二者結(jié)合方式與互動進(jìn)行闡述，而這二者通過結(jié)合后能夠利用雙方優(yōu)勢弱化對方缺點的同時進(jìn)一步提高防護系統(tǒng)性能，大大提高了醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性。為促進(jìn)醫(yī)院工作穩(wěn)定進(jìn)行奠定堅實基礎(chǔ)，同時也期望能夠為我國醫(yī)院網(wǎng)絡(luò)安全防護系統(tǒng)水平的提升提供參考依據(jù)。

[1]李林，盧顯良.一種針對規(guī)則集不一致性的測試數(shù)據(jù)包選取算法[J].計算機科學(xué)，2011.

[2]張雪芹，顧春華，吳吉義.異常檢測中支持向量機最優(yōu)模型選擇方法[J].電子科技大學(xué)學(xué)報，2011.

[3]張昱，謝小鵬.基于遺傳相關(guān)向量機的圖像分類技術(shù)[J].計算機仿真，2011.