前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院網(wǎng)絡(luò)安全的主動防御技術(shù)設(shè)計范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:網(wǎng)絡(luò)安全在現(xiàn)階段醫(yī)院信息系統(tǒng)建設(shè)和運維的過程中尤為關(guān)鍵,保護系統(tǒng)安全和醫(yī)患數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)平穩(wěn)運行的前提條件。本文通過對現(xiàn)階段主流的網(wǎng)絡(luò)安全技術(shù)進行介紹,對傳統(tǒng)的醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全的防護手段進行改進和優(yōu)化,提出全新的醫(yī)院網(wǎng)絡(luò)安全主動防御技術(shù)體系,全方位智能化提升醫(yī)院信息系統(tǒng)的安全防護程度。
關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院信息系統(tǒng);主動防御
1引言
信息技術(shù)的快速發(fā)展,有力促進了醫(yī)院信息化的發(fā)展和普及,基于內(nèi)外網(wǎng)的數(shù)據(jù)共享和業(yè)務(wù)集成,已應(yīng)用在了門診、住院、收費、影像、檢驗、藥房等各個醫(yī)療領(lǐng)域,并取得了顯著的使用效果,極大的便利了臨床醫(yī)生和就診患者。但是,在醫(yī)療信息化快速發(fā)展的同時,也面臨著海量的互聯(lián)網(wǎng)安全攻擊,基于DDoS、漏洞掃描、蠕蟲植入等一系列攻擊侵襲醫(yī)院網(wǎng)絡(luò),會導(dǎo)致大面積服務(wù)器宕機,網(wǎng)絡(luò)擁塞,醫(yī)生和患者無法正常使用業(yè)務(wù)系統(tǒng)[1-2]。目前,醫(yī)院網(wǎng)絡(luò)傳統(tǒng)的安全手段多是基于單一的被動式防御,比如單純的防火墻策略或殺毒軟件部署等,但是由于這些技術(shù)較為單一,防護場景太少,而且多屬于被動式防御,一旦病毒或木馬爆發(fā),即使防御得再完備也可能產(chǎn)生一些不必要的損失,因此本文提出引入主動安全防御技術(shù),構(gòu)建一個多種網(wǎng)絡(luò)安全技術(shù)聯(lián)動的主動入侵防御體系,該防御體系能夠顯著提高醫(yī)院網(wǎng)絡(luò)安全的防護能力,對保障系統(tǒng)安全具有重要的作用和意義。
2系統(tǒng)架構(gòu)
2.1下一代防火墻
防火墻技術(shù)是一種靜態(tài)安全技術(shù),主要是通過安全策略過濾IP五元組對網(wǎng)絡(luò)的訪問行為實施有效管理,而策略之外的網(wǎng)絡(luò)訪問行為則無法控制。安全策略是防火墻的基本安全控制機制,其規(guī)則方式主要由匹配條件與處理方式兩個部分共同構(gòu)成。匹配條件主要是以邏輯表達式的形式呈現(xiàn),當網(wǎng)絡(luò)流量經(jīng)過防火墻時,若匹配條件的邏輯表達式為真,則說明該流量與當前規(guī)則匹配成功[3]。下一代防火墻是在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上,為了應(yīng)對更加復(fù)雜的網(wǎng)絡(luò)環(huán)境而設(shè)計,不僅具有傳統(tǒng)防火墻的數(shù)據(jù)包過濾、原地址轉(zhuǎn)換、協(xié)議分析等功能,而且具備了IDS和IPS和VPN的部分功能,可以通過策略和特征庫有效進行主動防御,并在復(fù)雜的網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)進行細粒度探測,可有效防范DDoS等網(wǎng)絡(luò)攻擊。
2.2堡壘機
堡壘機是為了保障網(wǎng)絡(luò)信息安全,防止來自內(nèi)部和外部運維人員的非正當操作行為的一類設(shè)備,在特定網(wǎng)絡(luò)中,通過運用操作審計、身份識別、單點登錄、協(xié)議代理、資源授權(quán)等手段,對該網(wǎng)絡(luò)內(nèi)多種設(shè)備包括服務(wù)器、存儲、交換機、防火墻等安全設(shè)備的運維過程進行實時記錄和分析,只允許授權(quán)用戶進行單向運維,實現(xiàn)審計定責和集中管控[4]。從功能上來講,其綜合了賬戶管理、分權(quán)管理、安全審計和系統(tǒng)運維幾大功能,將運維審計由事件審計提升為內(nèi)容審計,對運維操作隨時可回放溯源,形成了運維終端與運維資源邏輯隔離,做到事前防范、事中監(jiān)管、事后審查,將用戶的操作風險大幅度降低,避免人為引起的各類網(wǎng)絡(luò)安全事件。
2.3安全準入系統(tǒng)
上網(wǎng)行為管理系統(tǒng)是為了防止網(wǎng)絡(luò)攻擊通過終端設(shè)備散播到業(yè)務(wù)網(wǎng)段,通過集中的規(guī)則設(shè)置來管控終端用戶,避免安全風險的一類設(shè)備系統(tǒng)。系統(tǒng)通過集中的策略規(guī)則配置、權(quán)限設(shè)置、身份認證識別來限制有限用戶登錄系統(tǒng),可借助CA簽名、指紋識別、人臉識別等方式,實現(xiàn)特定人群訪問業(yè)務(wù)網(wǎng)絡(luò)。同時也可以對終端用戶限定使用權(quán)限,對使用的應(yīng)用程序進行封堵過濾過濾,有效避免通過非法訪問終端導(dǎo)致的病毒傳播。
2.4日志審計
日志是系統(tǒng)運行和網(wǎng)絡(luò)訪問時產(chǎn)生的重要事件記錄,內(nèi)部記載著可能的潛在安全風險操作描述,日志監(jiān)測和分析對發(fā)現(xiàn)安全隱患和威脅發(fā)揮著重要的作用。在日常的網(wǎng)絡(luò)安全管理的過程中,安全管理人員通過人為日志分析可檢測系統(tǒng)運行是否正常,及時發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為。但隨著醫(yī)院的各類系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、以及業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)量不斷增加,系統(tǒng)產(chǎn)生的日志數(shù)量越來越大,每日產(chǎn)生的日志量條目可能數(shù)以百萬計,而且,網(wǎng)絡(luò)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)產(chǎn)生的日志格式也不太統(tǒng)一,類型繁多復(fù)雜,同時還分散存儲在各自的系統(tǒng)中[7-8]。這就使得日志的檢索、讀取和管理非常不便,也無法實時監(jiān)控分析,做不到及時預(yù)警和發(fā)現(xiàn)。使用集中的日志審計系統(tǒng)能夠有效解決這一問題,通過在核心網(wǎng)絡(luò)的集中部署,鏡像監(jiān)測分析各系統(tǒng)流量,可以在最短時間內(nèi)對系統(tǒng)可疑行為做出判斷和預(yù)警并推送給網(wǎng)絡(luò)安全管理人員,便于使用單位對安全事件做到事中事后及時管控。
2.5WAF防火墻
傳統(tǒng)的防火墻一般是針對傳輸層以下來進行IP地址和端口相關(guān)防護,通過分組過濾的形式來實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的管控。當惡意攻擊者在應(yīng)用層針對Web服務(wù)發(fā)動應(yīng)用層攻擊,如注入、溢出、身份攻擊、數(shù)據(jù)泄露、跨站腳本、不安全的反序列化等惡意手段時,傳統(tǒng)分組過濾防火墻無法檢測到應(yīng)用層的異常流量來及時做出響應(yīng),無法提供Web應(yīng)用系統(tǒng)防護。Web應(yīng)用防火墻(WebApplicationFirewall,以下簡稱WAF)可以探測到HTTP協(xié)議的請求,解析HTTP數(shù)據(jù)包的各類元素,攔截或拒絕存在威脅的請求,從而實現(xiàn)對Web應(yīng)用層的安全防護工作。WAF可部署在外網(wǎng)區(qū)域或DMZ區(qū)域,一般架設(shè)在Web應(yīng)用服務(wù)器的前端,它通過截獲得到來自客戶端的HTTP請求,解析請求得到特定的解析實體進行分類,然后放入規(guī)則庫來檢測和匹配請求的安全性與合法性,通過建立一個可靠的請求準入機制實現(xiàn)對各類網(wǎng)站站點的有效防護。同時,WAF的規(guī)則設(shè)置將依據(jù)新增加的應(yīng)用程序或新的軟件模塊進行相應(yīng)的更新和變化。
2.6態(tài)勢感知
態(tài)勢感知是比較新的網(wǎng)絡(luò)安全防御技術(shù),許多醫(yī)院信息化發(fā)展時間較長,接入網(wǎng)絡(luò)的軟硬件資源設(shè)備非常多,信息系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)也比較復(fù)雜,態(tài)勢感知可以通過自身的人工智能分析引擎結(jié)合一定的特征和規(guī)則庫,實時采集網(wǎng)絡(luò)數(shù)據(jù)包,動態(tài)分析醫(yī)院網(wǎng)絡(luò)面臨的風險,從全局出發(fā)、分析和處置醫(yī)院網(wǎng)絡(luò)面臨的潛在威脅并做出提示,保障醫(yī)院網(wǎng)絡(luò)安全運行。網(wǎng)絡(luò)安全態(tài)勢感知包括四個關(guān)鍵功能,分別是網(wǎng)絡(luò)數(shù)據(jù)包的抓取、數(shù)據(jù)包的檢測和分析、潛在安全威脅比對和威脅處置。該技術(shù)通過鏡像流量實時同步獲取醫(yī)院核心網(wǎng)絡(luò)中的數(shù)據(jù)包,使用內(nèi)置規(guī)則和大數(shù)據(jù)深度學習、神經(jīng)網(wǎng)絡(luò)等技術(shù)檢測和分析未知安全行為,同時對威脅影響的范圍、造成的損失、攻擊的路徑及時做出評估,智能的反饋給網(wǎng)絡(luò)安全管理員,從而提高了醫(yī)院網(wǎng)絡(luò)安全防護能力[5]。
2.7上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要用來對內(nèi)部人員的上網(wǎng)行為進行管理和控制,對特定用戶發(fā)布的信息進行審計,防止終端用戶將病毒和惡意軟件通過不良網(wǎng)站帶入業(yè)務(wù)網(wǎng)絡(luò),或?qū)⒉涣夹畔⑸l(fā)到互聯(lián)網(wǎng)上造成惡劣影響。同時該系統(tǒng)可以阻斷不必要的網(wǎng)絡(luò)應(yīng)用,對用戶的網(wǎng)絡(luò)訪問行為進行監(jiān)控,并保留上網(wǎng)行為的日志,可提供給日志審計系統(tǒng)進行分析。同時還可以對網(wǎng)游、股票、P2P應(yīng)用(例如BT、電驢、迅雷等占有帶寬大的下載軟件)和即時通訊進行封堵,禁止使用代理服務(wù)器上網(wǎng)[6]。上網(wǎng)行為管理系統(tǒng)可以促使單位職工合理利用網(wǎng)絡(luò)資源,創(chuàng)造一個綠色安全的上網(wǎng)環(huán)境。
2.8數(shù)據(jù)庫審計
數(shù)據(jù)庫審計系統(tǒng)主要是為了保障醫(yī)院數(shù)據(jù)安全,便于事后防御和追責的針對核心數(shù)據(jù)庫進行防護的安全系統(tǒng)。該系統(tǒng)主要通過鏡像復(fù)制的方式,對數(shù)據(jù)庫服務(wù)器通過網(wǎng)絡(luò)監(jiān)測,抓包解析、分析數(shù)據(jù)庫訪問協(xié)議,從而實時、智能地還原、記錄用戶對數(shù)據(jù)庫服務(wù)的各種操作,同時將數(shù)據(jù)抽取歸并、關(guān)聯(lián)分析以實現(xiàn)對用戶操作的監(jiān)控和審計。該系統(tǒng)還可以根據(jù)設(shè)置的審計規(guī)則,智能地判斷出違規(guī)操作數(shù)據(jù)庫的行為,并對違規(guī)行為進行記錄、報警,實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護,為醫(yī)院數(shù)據(jù)安全的安全運行提供有力保障。
3系統(tǒng)實現(xiàn)
3.1技術(shù)架構(gòu)
如圖1所示,本次研究的主動防御網(wǎng)絡(luò)安全體系架構(gòu)由事前預(yù)知、事中防御、事后響應(yīng)三部分組成,事前預(yù)知主要包括態(tài)勢感知模塊、下一代防火墻的IPS模塊、上網(wǎng)行為管理系統(tǒng),其中態(tài)勢感知模塊在未知攻擊或潛在危險發(fā)現(xiàn)時可及時提出預(yù)警,聯(lián)動IPS系統(tǒng)啟動主動防御模塊做出防范,上網(wǎng)行為管理則在平時的使用過程中進行事前管控限制,避免網(wǎng)絡(luò)安全事件發(fā)生。若安全攻擊進入事中防御程序,下一代防護墻啟動規(guī)則庫和防御模塊過濾并防范諸如DDoS等網(wǎng)絡(luò)攻擊,WAF防火墻在WEB層面做漏洞規(guī)則庫防范,防病毒系統(tǒng)進行實時掃描防范,全域殺毒。事后響應(yīng)則是啟動日志審計、數(shù)據(jù)庫審計、堡壘機進行日志、數(shù)據(jù)庫和運維的三位一體審計,全方位跟蹤篩查可能已經(jīng)發(fā)生或潛伏的惡意代碼程序,配合態(tài)勢感知程序和防病毒模塊進行跟蹤查殺。該技術(shù)架構(gòu)集成了較多的安全產(chǎn)品,可事前、事中、事后聯(lián)動管理配合,進行主動防御,保障醫(yī)院全網(wǎng)系統(tǒng)安全可靠。圖1網(wǎng)絡(luò)安全主動防御體系
3.2拓撲實現(xiàn)
基于網(wǎng)絡(luò)安全主動防御的技術(shù)實現(xiàn),需對醫(yī)院數(shù)據(jù)中心進行詳細的規(guī)劃,合理安排的安全設(shè)備互聯(lián)、重新規(guī)劃IP路由并對安全策略進行配置。
3.2.1設(shè)備互聯(lián)規(guī)劃
根據(jù)整體技術(shù)架構(gòu)的安排,需對要安全設(shè)備的互聯(lián)架構(gòu)做出規(guī)劃,根據(jù)等保2.0的要求,首先按照醫(yī)院的業(yè)務(wù)場景,分別對醫(yī)療內(nèi)網(wǎng)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)、銀醫(yī)服務(wù)、醫(yī)保合療等業(yè)務(wù)進行分區(qū),如圖2所示,具體可分為核心交換區(qū)、安全管理區(qū)、樓層接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)區(qū)和前置服務(wù)器區(qū)。然后在明確區(qū)域的前提下對各區(qū)域邊界部署下一代防火墻來做邊界防護,同時在內(nèi)外網(wǎng)之間部署網(wǎng)閘隔離。最后在重要出口處部署態(tài)勢感知等主動安全設(shè)備來進行全網(wǎng)探測和防護。
3.2.2IP路由規(guī)劃
整體IP規(guī)劃按照三層網(wǎng)絡(luò)模型來進行,在區(qū)域邊界配置匯聚交換機寫入網(wǎng)關(guān),由匯聚層負責各區(qū)域的包轉(zhuǎn)發(fā),提高轉(zhuǎn)發(fā)效率同時便于策略配置。核心區(qū)、服務(wù)器區(qū)、安全管理區(qū)、用戶接入?yún)^(qū)之間采用OSPF協(xié)議實現(xiàn)。各個功能區(qū)的路由通過直連路由方式連接至核心交換機,將靜態(tài)路由引入路由表。
3.2.3安全策略規(guī)劃
各區(qū)域的主動安全防護通過下一代防火墻實現(xiàn),均為2層透明部署方式。為了方便后期策略維護和策略管理,策略采用分組方式規(guī)劃:1、內(nèi)網(wǎng)用戶至服務(wù)器區(qū)策略組,2、DMZ至服務(wù)器區(qū)策略組,3、外聯(lián)用戶至服務(wù)器區(qū)策略組、4、安全管理區(qū)至服務(wù)器區(qū)策略組,5,服務(wù)器區(qū)至DMZ區(qū)策略組,6、服務(wù)器區(qū)至外聯(lián)區(qū)策略組。每條策略在策略組下根據(jù)業(yè)務(wù)需要添加,網(wǎng)絡(luò)訪問嚴格執(zhí)行各組策略,惡意攻擊無法通過,實現(xiàn)主動防御。下一代防火墻均深度集成IPS模塊,功能區(qū)防火墻實施均啟用IPS功能實現(xiàn)對功能區(qū)的安全防護。所有網(wǎng)絡(luò)設(shè)備維護均采用ssh方式進行維護,在終端登錄時候限制登錄源地址。所有設(shè)備的登錄必須通過堡壘機,保證網(wǎng)絡(luò)安全,保障維護的可追溯性。原則上通過互聯(lián)網(wǎng)對外提供的服務(wù),必須部署在DMZ區(qū)域,例如互聯(lián)網(wǎng)醫(yī)療等業(yè)務(wù)。DMZ區(qū)域到內(nèi)網(wǎng)之間數(shù)據(jù)傳遞采用網(wǎng)閘普通方式(不采用透明傳輸)實現(xiàn)。態(tài)勢感知設(shè)備部署在互聯(lián)網(wǎng)區(qū)域的核心設(shè)備上,啟用主動安全防護策略,可全天24小時監(jiān)控來自互聯(lián)網(wǎng)的未知攻擊并做出提示。
4應(yīng)用效果
榆林市第一醫(yī)院在2022年按照文章所述思路設(shè)計和構(gòu)建了基于主動防御技術(shù)的醫(yī)院網(wǎng)絡(luò)安全防御體系,對未知攻擊和惡意病毒實現(xiàn)了精準預(yù)防與查殺,保障了醫(yī)院的信息網(wǎng)絡(luò)安全,取得了良好的效果。但網(wǎng)絡(luò)安全的挑戰(zhàn)是多方的,該防御體系的在應(yīng)對復(fù)雜多變的惡意攻擊的同時仍然需要及時調(diào)整和增加策略,然后通過本系統(tǒng)中各部分的聯(lián)動響應(yīng)和主動防御及時處置絕大部分威脅攻擊,防止惡意程序快速擴散。
5結(jié)束語
本文討論的醫(yī)院網(wǎng)絡(luò)安全主動防御技術(shù)采用多種安全設(shè)備和軟件融合為醫(yī)院業(yè)務(wù)提供全流程的安全防護,包括事前預(yù)警,事中防御,事后追溯和快速響應(yīng),將全過程中所有相關(guān)信息通過多種方式展現(xiàn)給醫(yī)院網(wǎng)絡(luò)安全管理人員。系統(tǒng)為醫(yī)院內(nèi)部網(wǎng)絡(luò)提供全程保護、可視及自動聯(lián)動處置。通過設(shè)備間的聯(lián)動自動處置威脅,結(jié)合人工處理,極大提高響應(yīng)威脅的時效性和精準度。本防御體系能滿足等保2.0對通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境以及管理中心安全等方面的要求,標志著醫(yī)院網(wǎng)絡(luò)安全主動式防御體系已經(jīng)建成。此外由于網(wǎng)絡(luò)威脅攻擊時刻存在,提升全院人員網(wǎng)絡(luò)安全意識,加強網(wǎng)絡(luò)安全運維人員的培訓管理也都非常重要。
參考文獻:
[1]呂曉娟.醫(yī)院信息化建設(shè)管理的現(xiàn)實問題與相關(guān)探討[J].中國數(shù)字醫(yī)學,2017..
[2]韓向非,郭幽燕,王建勛,等.基于信息技術(shù)基礎(chǔ)架構(gòu)庫的醫(yī)院IT服務(wù)實踐探索[J].中國數(shù)字醫(yī)學,2017.
[3]郭德超,邱鴻鐘,梁瑞瓊.防火墻與入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J].中國數(shù)字醫(yī)學,2019.
[4]彭桂芬,者明偉,等.基于醫(yī)科類院校堡壘機的建設(shè)及應(yīng)用展望初探[J].現(xiàn)代信息科技,2019.
[5]魏帥嶺,閆國濤,等.等級保護2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J].中國數(shù)字醫(yī)學,2021.
[6]陳晨,包曾.醫(yī)院網(wǎng)絡(luò)安全管理體系的建設(shè)方法分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020.
[7]呂榮峰,楊夢寧,余虹.智能日志審計與預(yù)警系統(tǒng)功能設(shè)計與實現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用,2016.
[8]郝漩.基于ApacheFlume的分布式日志收集系統(tǒng)設(shè)計與實現(xiàn)[J].軟件導(dǎo)刊,2014.
作者:劉昆 劉強 馬文 單位:榆林市第一醫(yī)院 榆林市衛(wèi)生計生信息中心