◆陳樹(shù)生 曲 強(qiáng) 魏 賓 申寶明

（青島大學(xué)附屬醫(yī)院信息管理部 山東 266003）

醫(yī)院網(wǎng)絡(luò)安全防護(hù)建設(shè)與應(yīng)用

◆陳樹(shù)生 曲 強(qiáng) 魏 賓 申寶明

（青島大學(xué)附屬醫(yī)院信息管理部 山東 266003）

本文從醫(yī)院當(dāng)前對(duì)網(wǎng)絡(luò)安全的新需求出發(fā)，以現(xiàn)有的防火墻和網(wǎng)閘為基礎(chǔ)，新增IPS、Web防火墻和漏洞掃描系統(tǒng)等設(shè)備，提出從被動(dòng)防護(hù)和主動(dòng)防護(hù)兩個(gè)方面，以被動(dòng)防護(hù)為主，主動(dòng)防護(hù)為輔的方式，綜合運(yùn)用多種網(wǎng)絡(luò)安全防護(hù)設(shè)備，構(gòu)建醫(yī)院的網(wǎng)絡(luò)安全防護(hù)體系，從而全面提高醫(yī)院網(wǎng)絡(luò)安全防護(hù)的水平。對(duì)其他醫(yī)院的網(wǎng)絡(luò)安全防護(hù)建設(shè)也具有一定的借鑒意義。

網(wǎng)絡(luò)安全；被動(dòng)防護(hù)；主動(dòng)防護(hù)

0 引言

隨著信息化建設(shè)的深入開(kāi)展，醫(yī)院的網(wǎng)絡(luò)也越來(lái)越復(fù)雜，其日常業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴(lài)性日益增加，一家醫(yī)院是否擁有穩(wěn)定、安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，成為業(yè)務(wù)發(fā)展的重要保障。

1 醫(yī)院對(duì)網(wǎng)絡(luò)安全的新需求

在醫(yī)院網(wǎng)絡(luò)建設(shè)初期，防火墻和網(wǎng)閘等訪問(wèn)控制設(shè)備對(duì)保障醫(yī)院內(nèi)部網(wǎng)絡(luò)安全起到了至關(guān)重要的作用。隨著時(shí)代的發(fā)展，這些傳統(tǒng)網(wǎng)絡(luò)防護(hù)設(shè)備面臨著巨大的挑戰(zhàn)。一是來(lái)自互聯(lián)網(wǎng)的外部威脅不斷增加，諸如DDoS攻擊、緩沖區(qū)溢出攻擊、Web應(yīng)用攻擊、SQL注入攻擊、XSS跨站腳本攻擊和木馬蠕蟲(chóng)攻擊等攻擊手法大多來(lái)自于應(yīng)用層，傳統(tǒng)的防火墻只能起到部分防護(hù)作用；二是醫(yī)院信息化建設(shè)持續(xù)深入，網(wǎng)絡(luò)應(yīng)用不斷增加，需要向互聯(lián)網(wǎng)開(kāi)放更多的端口，導(dǎo)致網(wǎng)絡(luò)安全的壓力不斷加大；三是對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性和可用性提出了更高要求，包括網(wǎng)絡(luò)和服務(wù)器的抗攻擊能力，應(yīng)對(duì)網(wǎng)絡(luò)攻擊的響應(yīng)能力和恢復(fù)能力等；四是醫(yī)院中能夠接入互聯(lián)網(wǎng)的主機(jī)越來(lái)越多，主機(jī)的使用者往往缺乏網(wǎng)絡(luò)安全知識(shí)，這些主機(jī)可能會(huì)造成帶寬濫用、垃圾郵件、計(jì)算機(jī)病毒、間諜軟件等安全威脅。為了應(yīng)對(duì)這些挑戰(zhàn)，需要增加新的安全設(shè)備，構(gòu)建能夠滿(mǎn)足醫(yī)院網(wǎng)絡(luò)安全需求的防護(hù)體系。

2 構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系

醫(yī)院的網(wǎng)絡(luò)在不斷擴(kuò)展，聯(lián)網(wǎng)設(shè)備不斷增加，醫(yī)院的業(yè)務(wù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)持續(xù)加深。在網(wǎng)絡(luò)防護(hù)中，除了應(yīng)用防火墻和網(wǎng)閘保護(hù)內(nèi)部網(wǎng)絡(luò)之外，還應(yīng)該充分利用入侵防御系統(tǒng) IPS、Web防火墻和漏洞掃描等系統(tǒng)，滿(mǎn)足醫(yī)院網(wǎng)絡(luò)中不同區(qū)域?qū)W(wǎng)絡(luò)安全的不同層次需求，從被動(dòng)防護(hù)和主動(dòng)防護(hù)兩個(gè)方面，構(gòu)建醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系，全面提升網(wǎng)絡(luò)安全的防護(hù)水平。圖1顯示了醫(yī)院網(wǎng)絡(luò)防護(hù)設(shè)備的拓?fù)?。由防火墻、網(wǎng)閘、IPS、Web防火墻組成被動(dòng)防護(hù)體系，漏洞掃描系統(tǒng)進(jìn)行主動(dòng)防護(hù)。被動(dòng)防護(hù)完成日常的網(wǎng)絡(luò)防護(hù)，主動(dòng)防護(hù)可以及時(shí)探測(cè)并發(fā)現(xiàn)網(wǎng)絡(luò)中存在的弱點(diǎn)，進(jìn)行相應(yīng)的系統(tǒng)更新和打補(bǔ)丁，同時(shí)在被動(dòng)防護(hù)中進(jìn)行保護(hù)。

圖1 醫(yī)院網(wǎng)絡(luò)防護(hù)拓?fù)?/p>

3 網(wǎng)絡(luò)安全的被動(dòng)防護(hù)

被動(dòng)防護(hù)是傳統(tǒng)的網(wǎng)絡(luò)防御方式，是在預(yù)先設(shè)定網(wǎng)絡(luò)可能會(huì)受到多種攻擊的基礎(chǔ)上構(gòu)筑被動(dòng)式靜態(tài)網(wǎng)絡(luò)安全防護(hù)體系，以期對(duì)所受攻擊逐一化解。隨著網(wǎng)絡(luò)安全形勢(shì)的復(fù)雜化，醫(yī)院在構(gòu)建自身的被動(dòng)防護(hù)過(guò)程中，根據(jù)實(shí)際的安全需要，增加了 IPS和Web防火墻等設(shè)備，和防火墻與網(wǎng)閘一起，構(gòu)成較為完備的被動(dòng)防護(hù)體系。

3.1 IPS

IPS根據(jù)布署方式可分為三大類(lèi)：基于主機(jī)的 IPS系統(tǒng)(HIPS)、基于網(wǎng)絡(luò)的IPS系統(tǒng)(NIPS)和基于應(yīng)用的IPS系統(tǒng)AIPS，在醫(yī)院網(wǎng)絡(luò)中部署的是基于網(wǎng)絡(luò)的下一代 IPS。IPS的工作原理主要為：（1）將從防火墻接收到的數(shù)據(jù)拆包分類(lèi)檢查，異常數(shù)據(jù)直接丟棄，其他數(shù)據(jù)進(jìn)入系統(tǒng)并被轉(zhuǎn)發(fā)到相應(yīng)的過(guò)濾器中。（2）根據(jù)過(guò)濾器中的算法和規(guī)則對(duì)數(shù)據(jù)包進(jìn)行匹配，匹配成功的被標(biāo)為命中。（3）將命中的數(shù)據(jù)包丟棄，與其相關(guān)的流信息被更新并告知系統(tǒng)丟棄該流中剩余的所有內(nèi)容。IPS具有強(qiáng)大的入侵檢測(cè)能力，低誤報(bào)率和漏報(bào)率，可以在線轉(zhuǎn)發(fā)數(shù)據(jù)的情況下實(shí)時(shí)地進(jìn)行響應(yīng)，可以動(dòng)態(tài)阻斷入侵?jǐn)?shù)據(jù)包的連接。IPS的核心是實(shí)時(shí)監(jiān)測(cè)和根據(jù)策略防護(hù)，難點(diǎn)是如何根據(jù)本網(wǎng)絡(luò)的特點(diǎn)制定相適應(yīng)的防護(hù)策略。

IPS串接部署在防火墻和內(nèi)部核心交換機(jī)之間。

3.2 Web防火墻

醫(yī)院網(wǎng)站的訪問(wèn)量越來(lái)越大，是醫(yī)院對(duì)外宣傳和對(duì)外提供網(wǎng)絡(luò)服務(wù)的窗口，網(wǎng)站和與之配套的數(shù)據(jù)庫(kù)成為醫(yī)院越來(lái)越重要的資產(chǎn)，而網(wǎng)站因受到攻擊而出現(xiàn)錯(cuò)誤或無(wú)法訪問(wèn)會(huì)給醫(yī)院帶來(lái)很大的負(fù)面影響。Web防火墻又被稱(chēng)為 Web應(yīng)用安全防護(hù)系統(tǒng)，是集Web防護(hù)、網(wǎng)頁(yè)保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的Web整體安全防護(hù)設(shè)備。具有防止SQL注入、跨站腳本、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、Web惡意掃描等攻擊的功能；可以防止網(wǎng)頁(yè)被篡改、盜鏈，進(jìn)行流量控制和保護(hù)Cookie；還可以增加新的安全策略來(lái)應(yīng)對(duì)新的網(wǎng)站攻擊手段。

Web防火墻部署在核心交換機(jī)和Web相關(guān)的若干服務(wù)器之間。

3.3 細(xì)化防護(hù)策略——扎好防護(hù)的籬笆

為了不影響網(wǎng)絡(luò)的訪問(wèn)，在上線之初，IPS和Web防火墻并沒(méi)有應(yīng)用嚴(yán)格的防護(hù)策略，這需要在日后的使用過(guò)程中，根據(jù)醫(yī)院網(wǎng)絡(luò)的實(shí)際情況對(duì)策略進(jìn)行調(diào)整，逐步形成一套和醫(yī)院網(wǎng)絡(luò)特點(diǎn)相適應(yīng)的安全策略。日志系統(tǒng)能夠?qū)崟r(shí)顯示網(wǎng)絡(luò)中攻擊事件和處理情況，如圖2所示：從圖中可以看到，24小時(shí)內(nèi)的安全事件都做了阻斷處理。

圖2 一小時(shí)攻擊事件統(tǒng)計(jì)

再以今年2月6日為例，24小時(shí)之內(nèi)，受到各類(lèi)攻擊1115次，圖3為排名靠前的安全事件。SQL注入攻擊和XSS腳本注入等常見(jiàn)攻擊手法已經(jīng)做了丟棄數(shù)據(jù)包的策略設(shè)置。當(dāng)天新出現(xiàn)的是Struts2_S2遠(yuǎn)程命令執(zhí)行攻擊，這種存在于Apache Struts2框架中的安全漏洞可能會(huì)導(dǎo)致遠(yuǎn)程執(zhí)行任意代碼，這種攻擊的目的端是Web服務(wù)器。在策略庫(kù)中找到這條策略，設(shè)置為丟棄數(shù)據(jù)包，系統(tǒng)再檢測(cè)到此類(lèi)攻擊的數(shù)據(jù)包就會(huì)直接丟棄，從而保證不會(huì)再受到這種攻擊的影響。

圖3 事件排名統(tǒng)計(jì)

4 網(wǎng)絡(luò)安全的主動(dòng)防護(hù)

主動(dòng)防護(hù)是站在黑客或者網(wǎng)絡(luò)攻擊者的角度，對(duì)網(wǎng)絡(luò)進(jìn)行主動(dòng)掃描和滲透測(cè)試，找出網(wǎng)絡(luò)中服務(wù)器、主機(jī)或者網(wǎng)絡(luò)設(shè)備上存在的弱點(diǎn)，并且及時(shí)消除這些弱點(diǎn)，最大程度地降低網(wǎng)絡(luò)被攻擊或利用的風(fēng)險(xiǎn)。在醫(yī)院網(wǎng)絡(luò)中主要應(yīng)用了漏洞掃描系統(tǒng)。

4.1 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)以基于網(wǎng)絡(luò)的方式對(duì)網(wǎng)絡(luò)中的服務(wù)器、主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全脆弱性檢測(cè)，尋找是否有可被利用的安全漏洞。網(wǎng)絡(luò)管理員根據(jù)掃描的結(jié)果生成評(píng)估報(bào)告，以此評(píng)估報(bào)告為基礎(chǔ)，消除網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客或蠕蟲(chóng)等病毒造成危害前進(jìn)行防范，同時(shí)也極大地減少內(nèi)網(wǎng)用戶(hù)對(duì)其他設(shè)備的非授權(quán)訪問(wèn)或獲取敏感信息。漏洞掃描系統(tǒng)的一大關(guān)鍵是要不斷更新漏洞數(shù)據(jù)庫(kù)，烏云網(wǎng)每天都會(huì)曝出數(shù)十個(gè)安全漏洞，要識(shí)別這些新的安全漏洞就要及時(shí)更新漏洞的數(shù)據(jù)庫(kù)。

漏洞掃描系統(tǒng)旁路連接在核心交換機(jī)上。還可以根據(jù)實(shí)際需要配置在核心內(nèi)網(wǎng)，或者在某些子網(wǎng)配置代理，進(jìn)行分布式掃描。為確保不給醫(yī)院網(wǎng)絡(luò)帶來(lái)額外負(fù)擔(dān)，對(duì)網(wǎng)絡(luò)的掃描通常安排在非業(yè)務(wù)高峰期進(jìn)行。

4.2 安全評(píng)估——像黑客一樣思考

醫(yī)院近期要上線一臺(tái)支持支付寶和微信支付的服務(wù)器，其操作系統(tǒng)采用CentOS7，Web服務(wù)器采用Nginx+Tomcat，數(shù)據(jù)庫(kù)采用MySQL。在開(kāi)發(fā)人員將服務(wù)器根據(jù)業(yè)務(wù)的需要配置好之后，由網(wǎng)絡(luò)管理員對(duì)該服務(wù)器進(jìn)行掃描探測(cè)，并將探測(cè)結(jié)果形成安全評(píng)估報(bào)告，看是否能達(dá)到要求的安全標(biāo)準(zhǔn)。圖4是該服務(wù)器安全評(píng)估報(bào)告中的漏洞統(tǒng)計(jì)。

圖4 漏洞安全級(jí)別統(tǒng)計(jì)

報(bào)告顯示，該服務(wù)器存在“MySQL Server 代碼執(zhí)行漏洞(CVE-2014-6491)”，是存在于5.6.20及之前版本的MySQL Server組件中的高危漏洞，遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼。評(píng)估報(bào)告同時(shí)給出了消除此類(lèi)漏洞的方法。將此報(bào)告提交給開(kāi)發(fā)人員后，開(kāi)發(fā)人員根據(jù)報(bào)告中提到的消除漏洞方法，逐一打補(bǔ)丁。之后再次對(duì)該服務(wù)器進(jìn)行掃描探測(cè)，評(píng)估報(bào)告顯示，該服務(wù)器沒(méi)有可被利用的安全漏洞，風(fēng)險(xiǎn)評(píng)估狀態(tài)為“低風(fēng)險(xiǎn)”，可以正常上線。當(dāng)然，這個(gè)過(guò)程可能不會(huì)這么順利，給服務(wù)器打補(bǔ)丁后可能會(huì)帶來(lái)新的漏洞，如果在再次評(píng)估中發(fā)現(xiàn)這種情況，就會(huì)根據(jù)評(píng)估報(bào)告的提示去打相應(yīng)的補(bǔ)丁，整個(gè)過(guò)程如此循環(huán)，直到安全評(píng)估報(bào)告符合要求。

在該服務(wù)器上線兩天后，從IPS的日志中看到有數(shù)百次對(duì)該服務(wù)器的HTTP_SQL注入攻擊，IPS已經(jīng)將此攻擊行為阻斷。服務(wù)器通過(guò)安全評(píng)估上線之后，并非就能高枕無(wú)憂(yōu)。隨著時(shí)間的推移，服務(wù)器中各種應(yīng)用軟件可能會(huì)曝出新的安全漏洞；另一方面，服務(wù)器在應(yīng)用過(guò)程中，開(kāi)發(fā)人員可能會(huì)根據(jù)需求增加新的代碼或功能模塊，這些引入的代碼和模塊也可能隱含未發(fā)現(xiàn)的安全漏洞，甚至威脅到服務(wù)器乃至整個(gè)網(wǎng)絡(luò)的安全。因此，應(yīng)該利用漏洞掃描這種主動(dòng)防護(hù)手段定期對(duì)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行安全評(píng)估，確認(rèn)其安全狀態(tài)。

5 結(jié)論與展望

應(yīng)用效果：一是對(duì)網(wǎng)絡(luò)安全狀況隨時(shí)掌握，包括內(nèi)外網(wǎng)的流量、受到攻擊的次數(shù)以及源頭和目標(biāo)，并且可以隨時(shí)以圖表的形式直觀地表現(xiàn)全網(wǎng)的網(wǎng)絡(luò)安全狀況。二是能夠及時(shí)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行阻斷，防止攻擊行為造成實(shí)質(zhì)性破壞。三是受攻擊的次數(shù)呈下降趨勢(shì)，由半年前平均每周受到26000余次攻擊，減少為目前平均每周6400余次攻擊。

我們應(yīng)該看到，每種網(wǎng)絡(luò)安全防護(hù)措施有其優(yōu)點(diǎn)，也有不足，在越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境之下，單一運(yùn)用某種安全產(chǎn)品并不能保障網(wǎng)絡(luò)安全；另一方面，網(wǎng)絡(luò)安全狀態(tài)也在不斷變化，各種新的安全漏洞不斷被挖掘出來(lái)?？梢酝ㄟ^(guò)綜合運(yùn)用被動(dòng)防護(hù)和主動(dòng)防護(hù)技術(shù)，將多個(gè)安全設(shè)備有機(jī)地結(jié)合起來(lái)，為醫(yī)院網(wǎng)絡(luò)構(gòu)建起一個(gè)全方位、多層次的網(wǎng)絡(luò)防護(hù)體系，從而最大程度地保障醫(yī)院網(wǎng)絡(luò)的安全。

[1]王洲.醫(yī)院內(nèi)外網(wǎng)互聯(lián)中的邊界安全防護(hù)[J].電腦編程技巧與維護(hù)，2015.

[2]蘭巨龍，程?hào)|年，劉文芬等.信息網(wǎng)絡(luò)安全與防護(hù)技術(shù)[M].北京:人民郵電出版社，2014.

[3]杜天一.網(wǎng)絡(luò)入侵與防御技術(shù)探究[J].電子測(cè)試，2016.