摘要：隨著醫(yī)院信息系統(tǒng)的數(shù)字化和網(wǎng)絡(luò)化，網(wǎng)絡(luò)安全問(wèn)題日益突出。全流量分析技術(shù)作為一種有效的網(wǎng)絡(luò)安全監(jiān)控手段，其在醫(yī)院信息網(wǎng)絡(luò)安全中的應(yīng)用對(duì)于及時(shí)發(fā)現(xiàn)和防御網(wǎng)絡(luò)威脅至關(guān)重要。探討了全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的運(yùn)用實(shí)踐，介紹了全流量分析技術(shù)的基本概念和工作原理，包括數(shù)據(jù)包捕獲、流量分析和安全事件關(guān)聯(lián)等。通過(guò)實(shí)際案例分析，展示了全流量分析技術(shù)在醫(yī)院識(shí)別網(wǎng)絡(luò)攻擊和定位安全風(fēng)險(xiǎn)中的運(yùn)用。

關(guān)鍵詞：醫(yī)院信息網(wǎng)絡(luò)；全流量分析；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著醫(yī)療數(shù)智化的快速發(fā)展，醫(yī)療行業(yè)的網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要，醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)一旦遭到攻擊、破壞、竊取，將對(duì)醫(yī)療機(jī)構(gòu)聲譽(yù)和醫(yī)患雙方隱私構(gòu)成嚴(yán)重威脅，甚至影響患者的身體健康和生命安全。

本文研究了全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的運(yùn)用實(shí)踐，通過(guò)分析醫(yī)院信息網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)來(lái)采集部署網(wǎng)絡(luò)全流量采集分析工具，研究基于開(kāi)源框架的復(fù)合網(wǎng)絡(luò)流量采集技術(shù)，選擇合適的高性能數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)數(shù)據(jù)和構(gòu)建索引；研究了基于網(wǎng)絡(luò)全流量資產(chǎn)識(shí)別技術(shù)，以發(fā)現(xiàn)醫(yī)院信息網(wǎng)絡(luò)中的“兩高一弱”資產(chǎn)，利用威脅情報(bào)中的惡意IP或域名特征，與全流量網(wǎng)絡(luò)會(huì)話中的IP和域名進(jìn)行快速對(duì)比分析；同時(shí)構(gòu)建安全分析規(guī)則，并且利用全流量元數(shù)據(jù)進(jìn)行安全分析。

1 醫(yī)院信息網(wǎng)絡(luò)全流量監(jiān)測(cè)

1.1 醫(yī)院信息網(wǎng)絡(luò)采集部署

醫(yī)院網(wǎng)絡(luò)是專門用于支持醫(yī)院運(yùn)營(yíng)的計(jì)算機(jī)網(wǎng)絡(luò)，它包括硬件、軟件、通信協(xié)議和數(shù)據(jù)管理等多個(gè)方面。醫(yī)院網(wǎng)絡(luò)包含了網(wǎng)絡(luò)中心核心層、分布層、接入層、服務(wù)器群和數(shù)據(jù)中心、無(wú)線網(wǎng)絡(luò)、互聯(lián)網(wǎng)接入邊界等。醫(yī)院網(wǎng)絡(luò)通常分為內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）和外部網(wǎng)絡(luò)（外網(wǎng)），這種劃分有助于提高安全性和網(wǎng)絡(luò)管理的效率。內(nèi)網(wǎng)是醫(yī)院內(nèi)部使用的網(wǎng)絡(luò)，通常不直接與互聯(lián)網(wǎng)相連，以保護(hù)敏感數(shù)據(jù)和系統(tǒng)，用于醫(yī)院內(nèi)部的臨床操作、患者數(shù)據(jù)管理、醫(yī)療設(shè)備通信等，內(nèi)網(wǎng)中的設(shè)備通常通過(guò)有線或無(wú)線的方式連接；外網(wǎng)是醫(yī)院與外部世界（如互聯(lián)網(wǎng)）連接的網(wǎng)絡(luò)，用于遠(yuǎn)程訪問(wèn)、數(shù)據(jù)交換、在線服務(wù)和與外部合作伙伴的通信，外網(wǎng)通常通過(guò)專門的網(wǎng)關(guān)設(shè)備連接到互聯(lián)網(wǎng)，這些設(shè)備負(fù)責(zé)管理進(jìn)出醫(yī)院網(wǎng)絡(luò)的流量。在大多數(shù)情況下，內(nèi)網(wǎng)和外網(wǎng)在物理上是完全隔離的，從而減少安全風(fēng)險(xiǎn)。

在醫(yī)院網(wǎng)絡(luò)中選擇全流量網(wǎng)絡(luò)采集點(diǎn)位是一個(gè)關(guān)鍵的決策過(guò)程，因?yàn)樗苯佑绊懢W(wǎng)絡(luò)監(jiān)控的有效性和數(shù)據(jù)的完整性。首先，需要詳細(xì)了解醫(yī)院的網(wǎng)絡(luò)架構(gòu)，包括網(wǎng)絡(luò)拓?fù)洹㈥P(guān)鍵節(jié)點(diǎn)、流量模式和數(shù)據(jù)流；其次，選擇網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中或需要重點(diǎn)保護(hù)的對(duì)象區(qū)域，如關(guān)鍵資產(chǎn)和數(shù)據(jù)敏感區(qū)域；最后，選擇網(wǎng)絡(luò)中流量集中的點(diǎn)，如核心交換機(jī)、路由器或網(wǎng)絡(luò)匯聚點(diǎn)，這些網(wǎng)絡(luò)設(shè)備需具有鏡像功能，以支持旁路部署。此外，在內(nèi)網(wǎng)和外網(wǎng)的邊界、不同安全區(qū)域之間設(shè)置采集點(diǎn)，以監(jiān)控進(jìn)出流量。

1.2 網(wǎng)絡(luò)全流量采集與處理

網(wǎng)絡(luò)全流量采集是一個(gè)復(fù)雜的過(guò)程，涉及捕獲、存儲(chǔ)和分析網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)，醫(yī)院信息網(wǎng)絡(luò)全流量采集是指對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)中所有的數(shù)據(jù)通信進(jìn)行監(jiān)控和記錄的過(guò)程。本文采用了多種開(kāi)源流量采集技術(shù)，包括支持多種網(wǎng)絡(luò)協(xié)議且具有強(qiáng)大的過(guò)濾和分析功能的Wireshark軟件；開(kāi)源網(wǎng)絡(luò)分析框架Zeek提供了豐富的網(wǎng)絡(luò)分析功能，包括協(xié)議解碼、事件檢測(cè)和數(shù)據(jù)記錄的能力[1]。

網(wǎng)絡(luò)全流量采集的數(shù)據(jù)，既有網(wǎng)絡(luò)流量數(shù)據(jù)包，又有會(huì)話日志，將采集的數(shù)據(jù)范式化處理為網(wǎng)絡(luò)流量元數(shù)據(jù)。網(wǎng)絡(luò)流量元數(shù)據(jù)是指在網(wǎng)絡(luò)通信過(guò)程中生成的關(guān)于數(shù)據(jù)包和網(wǎng)絡(luò)會(huì)話的描述性信息。這些信息通常不包括數(shù)據(jù)包的實(shí)際內(nèi)容，而是提供了關(guān)于數(shù)據(jù)傳輸?shù)纳舷挛男畔ⅲ怯糜诰W(wǎng)絡(luò)安全分析最優(yōu)質(zhì)的對(duì)象數(shù)據(jù)。元數(shù)據(jù)設(shè)計(jì)包含了20個(gè)字段，如源目的IP地址、源目標(biāo)端口、協(xié)議、開(kāi)始結(jié)束時(shí)間戳、數(shù)據(jù)包方向、數(shù)據(jù)包大小、應(yīng)用類型等。

1.3 數(shù)據(jù)存儲(chǔ)與索引

網(wǎng)絡(luò)全流量分析通常涉及大量數(shù)據(jù)的捕獲、存儲(chǔ)和查詢，因此選擇合適的數(shù)據(jù)庫(kù)對(duì)于處理這些數(shù)據(jù)至關(guān)重要?？紤]到醫(yī)院信息網(wǎng)絡(luò)數(shù)據(jù)規(guī)模、查詢的復(fù)雜性、系統(tǒng)的可擴(kuò)展性、性能要求以及維護(hù)的便利性，本文選擇基于全文搜索引擎 Lucene構(gòu)建的搜索和分析引擎數(shù)據(jù)庫(kù)Elasticsearch作為本文實(shí)踐的數(shù)據(jù)庫(kù)。其可以存儲(chǔ)全流量分析中的元數(shù)據(jù)，具有快速的全文搜索能力，并且可以處理大量數(shù)據(jù)，為后續(xù)的威脅檢測(cè)規(guī)則構(gòu)建和查詢提供必要的能力[2]。

2 全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的應(yīng)用

2.1 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)資產(chǎn)識(shí)別

基于網(wǎng)絡(luò)全流量的醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)資產(chǎn)識(shí)別技術(shù)是一種通過(guò)分析網(wǎng)絡(luò)流量對(duì)網(wǎng)絡(luò)中所有設(shè)備和資源進(jìn)行識(shí)別和分類的方法。這種技術(shù)對(duì)于醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全管理至關(guān)重要，因?yàn)樗梢詭椭t(yī)院了解其網(wǎng)絡(luò)環(huán)境中存在的資產(chǎn)、資產(chǎn)的配置和通信模式，以及可能面臨的安全風(fēng)險(xiǎn)。

分析采集的全流量數(shù)據(jù)包所提取出的源IP、目的IP、端口號(hào)、協(xié)議類型等元數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)流量中使用的協(xié)議，如超文本傳輸協(xié)議（hypertext transfer protocol，HTTP）、超文本傳輸安全協(xié)議（hypertext transfer protocol secure，HTTPS）、文件傳輸協(xié)議（file transfer protocol，F(xiàn)TP）、安全外殼（secure shell，SSH）協(xié)議等，確定在網(wǎng)絡(luò)上運(yùn)行的服務(wù)類型（如Web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、郵件服務(wù)），識(shí)別網(wǎng)絡(luò)流量中特定應(yīng)用程序的通信模式，統(tǒng)計(jì)分析網(wǎng)絡(luò)流量，識(shí)別流量模式和通信行為。根據(jù)設(shè)備類型、服務(wù)和應(yīng)用程序，將網(wǎng)絡(luò)資產(chǎn)進(jìn)行分類，構(gòu)建一個(gè)包含所有識(shí)別出的網(wǎng)絡(luò)資產(chǎn)的數(shù)據(jù)庫(kù)，記錄資產(chǎn)的詳細(xì)信息和狀態(tài)，存儲(chǔ)于數(shù)據(jù)庫(kù)Elasticsearch中，定期更新資產(chǎn)數(shù)據(jù)庫(kù)，確保資產(chǎn)信息的準(zhǔn)確性，實(shí)施持續(xù)監(jiān)控，以及時(shí)發(fā)現(xiàn)新加入的資產(chǎn)或資產(chǎn)的變更。

通過(guò)醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)資產(chǎn)識(shí)別，將醫(yī)院信息網(wǎng)絡(luò)中的軟件、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的版本號(hào)與互聯(lián)網(wǎng)曝光的漏洞版本號(hào)進(jìn)行對(duì)比，發(fā)現(xiàn)存在高危漏洞的網(wǎng)絡(luò)資產(chǎn)；通過(guò)分析元數(shù)據(jù)中的端口號(hào)記錄，發(fā)現(xiàn)存在135、137、138、139、445、3389等被攻擊者利用且進(jìn)行非法訪問(wèn)、入侵或攻擊的網(wǎng)絡(luò)風(fēng)險(xiǎn)端口；通過(guò)分析元數(shù)據(jù)中的密碼記錄，發(fā)現(xiàn)密碼明文風(fēng)險(xiǎn)或密碼弱口令風(fēng)險(xiǎn)，如123456、888888、admin等；通過(guò)資產(chǎn)數(shù)據(jù)庫(kù)的持續(xù)監(jiān)控，發(fā)現(xiàn)違規(guī)接入的新設(shè)備或長(zhǎng)期持續(xù)無(wú)人監(jiān)管的設(shè)備等。

2.2 利用威脅情報(bào)與全流量快速關(guān)聯(lián)分析

網(wǎng)絡(luò)全流量會(huì)話IP和域名與威脅情報(bào)（indicator of compromise，IOC）的快速對(duì)比檢測(cè)和關(guān)聯(lián)分析是一種有效的網(wǎng)絡(luò)安全威脅檢測(cè)方法。它可以幫助醫(yī)院信息安全管理人員及時(shí)發(fā)現(xiàn)并響應(yīng)潛在的安全威脅。從各種來(lái)源（如政府機(jī)構(gòu)、網(wǎng)絡(luò)安全公司、開(kāi)源社區(qū)等）收集威脅情報(bào)，整合和標(biāo)準(zhǔn)化IOC數(shù)據(jù)，存儲(chǔ)于數(shù)據(jù)庫(kù)Elasticsearch中，以便于分析和對(duì)比。IOC類型包括IP地址、域名、統(tǒng)一資源定位系統(tǒng)（uniform resource locator，URL）、文件哈希等，將捕獲的流量元數(shù)據(jù)與IOC數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，一旦檢測(cè)到與IOC匹配的流量，通過(guò)可視化工具展示對(duì)比結(jié)果，生成詳細(xì)的報(bào)告。

2.3 網(wǎng)絡(luò)流量安全規(guī)則分析

分析采集的全流量數(shù)據(jù)包所提取出的源IP、目的IP、端口號(hào)、協(xié)議類型等元數(shù)據(jù)，采用一個(gè)單位時(shí)間，篩選流量中的IP、IP：PORT等網(wǎng)絡(luò)實(shí)體，選擇一系列指標(biāo)、標(biāo)簽并且分別從時(shí)間、數(shù)量、方向、頻率等維度刻畫網(wǎng)絡(luò)實(shí)體的通信行為?；趩挝粫r(shí)間對(duì)網(wǎng)絡(luò)實(shí)體進(jìn)行持續(xù)、長(zhǎng)久的狀態(tài)和行為累積，建立網(wǎng)絡(luò)實(shí)體的通信行為檔案。選擇連續(xù)的歷史信息進(jìn)行綜合，從標(biāo)簽指標(biāo)中選擇一些重要維度，或者通過(guò)對(duì)歷史標(biāo)簽、指標(biāo)進(jìn)行流量大小、收發(fā)比、會(huì)話統(tǒng)計(jì)等運(yùn)算，派生出其他的指標(biāo)、標(biāo)簽，建立網(wǎng)絡(luò)實(shí)體的行為基準(zhǔn)。將形成的快照與行為基準(zhǔn)進(jìn)行比較，進(jìn)而以網(wǎng)絡(luò)實(shí)體為聚焦點(diǎn)，發(fā)現(xiàn)網(wǎng)絡(luò)異常，構(gòu)建10個(gè)以上的基線行為規(guī)則，并且進(jìn)行網(wǎng)絡(luò)流量安全分析。以POP3（post office protocol-version 3）可疑會(huì)話分析為例，當(dāng)傳輸控制協(xié)議（transmission control protocol，TCP）連接使用POP3協(xié)議的端口（默認(rèn)為TCP110），但不傳輸任何POP3數(shù)據(jù)時(shí)，即判斷為異常，這說(shuō)明網(wǎng)絡(luò)中可能存在疑似欺騙攻擊的應(yīng)用程序，或者通過(guò)TCP110端口代理工作的可疑網(wǎng)絡(luò)行為。網(wǎng)絡(luò)流量安全分析規(guī)則示例如表1所示。

2.4 網(wǎng)絡(luò)安全分析告警與可視化

可視化系統(tǒng)可以幫助安全分析師和IT專業(yè)人員更直觀地理解和分析網(wǎng)絡(luò)流量、安全事件和系統(tǒng)狀態(tài)，通常包括數(shù)據(jù)收集、處理、存儲(chǔ)和可視化展示的功能。本文選擇Grafana開(kāi)源可視化管理框架，它支持多種數(shù)據(jù)源，如 Prometheus、InfluxDB、Elasticsearch 等，提供了豐富的圖表和面板用于數(shù)據(jù)可視化，能實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)控、安全事件分析、威脅情報(bào)關(guān)聯(lián)、資產(chǎn)可視化等功能。

3 運(yùn)用實(shí)踐分析

3.1 評(píng)估指標(biāo)體系的構(gòu)建

通過(guò)搭建醫(yī)院信息網(wǎng)絡(luò)模擬環(huán)境，利用路由器、交換機(jī)設(shè)備等組網(wǎng)，在網(wǎng)絡(luò)內(nèi)部署免費(fèi)版的醫(yī)院不良事件上報(bào)系統(tǒng)、醫(yī)護(hù)管理考評(píng)系統(tǒng)、醫(yī)院郵件系統(tǒng)、醫(yī)院體檢檔案管理系統(tǒng)、醫(yī)院設(shè)備管理系統(tǒng)、醫(yī)院在線考試系統(tǒng)、醫(yī)院無(wú)線上網(wǎng)管理系統(tǒng)等，并將路由器接入互聯(lián)網(wǎng)，模擬醫(yī)院互聯(lián)網(wǎng)接入邊界網(wǎng)絡(luò)。

利用掃描工具對(duì)醫(yī)院信息網(wǎng)絡(luò)進(jìn)行探測(cè)掃描，評(píng)估全流量分析技術(shù)在探測(cè)階段的分析能力；通過(guò)映射醫(yī)院在線考試系統(tǒng)的445、3389端口到互聯(lián)網(wǎng)，評(píng)估全流量分析技術(shù)對(duì)資產(chǎn)風(fēng)險(xiǎn)的識(shí)別能力；通過(guò)醫(yī)院郵件系統(tǒng)服務(wù)器向境外虛擬服務(wù)器主動(dòng)發(fā)起連接，并傳輸數(shù)據(jù)，評(píng)估全流量分析技術(shù)在數(shù)據(jù)出境方面的分析能力。

3.2 效果評(píng)估分析

在模擬的醫(yī)院信息網(wǎng)絡(luò)環(huán)境中，開(kāi)展系統(tǒng)漏洞利用、系統(tǒng)弱口令探測(cè)、端口代理欺騙、遠(yuǎn)程端口開(kāi)放掃描、數(shù)據(jù)出境等5個(gè)網(wǎng)絡(luò)攻擊竊取行為的操作，評(píng)估全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的運(yùn)用效果，經(jīng)過(guò)評(píng)估分析（表2），證明了全流量分析技術(shù)在醫(yī)院網(wǎng)絡(luò)安全中的有效性。

3.3 實(shí)例應(yīng)用分析與實(shí)踐結(jié)果

為驗(yàn)證所提的全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)中的實(shí)用性，本文選取某地區(qū)試點(diǎn)醫(yī)院作為實(shí)驗(yàn)對(duì)象。為確保實(shí)驗(yàn)結(jié)果的可靠性，從該試點(diǎn)醫(yī)院的內(nèi)網(wǎng)核心交換機(jī)和外網(wǎng)網(wǎng)絡(luò)邊緣交換機(jī)中采集雙向網(wǎng)絡(luò)鏡像流量，采集周期為一天，將采集的數(shù)據(jù)包導(dǎo)入本文的復(fù)合網(wǎng)絡(luò)流量采集工具，并進(jìn)行網(wǎng)絡(luò)安全分析。實(shí)踐過(guò)程中發(fā)現(xiàn)了弱口令“admin”和“123456”，進(jìn)而分析得出非醫(yī)院運(yùn)維工程師違規(guī)接入4G無(wú)線路由器的行為（用于遠(yuǎn)程維護(hù)該公司的醫(yī)院系統(tǒng)），根據(jù)實(shí)踐結(jié)果，證明了全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的有效性[3]。

4 結(jié)論與展望

本文針對(duì)全流量分析技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的運(yùn)用實(shí)踐進(jìn)行了深入探討與實(shí)證研究，經(jīng)過(guò)理論分析、技術(shù)探討與構(gòu)建、評(píng)估測(cè)試，實(shí)踐結(jié)果表明全流量分析技術(shù)的應(yīng)用可以提升醫(yī)院信息網(wǎng)絡(luò)的安全防御能力。然而，該研究亦存在不足，部分技術(shù)細(xì)節(jié)尚待完善，如需要構(gòu)建更多的全流量檢測(cè)規(guī)則并持續(xù)優(yōu)化、模擬醫(yī)院網(wǎng)絡(luò)環(huán)境的局限性和試點(diǎn)醫(yī)院實(shí)踐案例數(shù)量有限等。未來(lái)，將持續(xù)深化技術(shù)實(shí)踐并拓寬研究范圍，以期構(gòu)建更安全、可靠的醫(yī)院信息網(wǎng)絡(luò)環(huán)境，從而為醫(yī)院信息安全事業(yè)做出重要貢獻(xiàn)。

參考文獻(xiàn)

[1] 沈萍，陳俊麗，張漢舉.增強(qiáng)的Zeek網(wǎng)絡(luò)流量采集與監(jiān)控分析系統(tǒng)設(shè)計(jì)[J/OL].計(jì)算機(jī)技術(shù)與發(fā)展，2024：1-8[2024-08-21]. https：//doi.org/10.20165/j.cnki.ISSN1673-629X.2024.0196.

[2] 張?chǎng)?，盛穎怡，張曉晴，等.基于ElasticSearch的個(gè)人敏感信息檢測(cè)系統(tǒng)[J].常熟理工學(xué)院學(xué)報(bào)，2022，36（5）：33-36.

[3] 王梅.主動(dòng)防御技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的運(yùn)用實(shí)踐[J].科技資訊，2024，22（14）：16-18.