醫(yī)院網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)策略的實(shí)施

王玉珍，孫巍，郭建魁

蘭州軍區(qū)蘭州總醫(yī)院 a.信息科；b.醫(yī)務(wù)部，甘肅 蘭州 730050

醫(yī)院網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)策略的實(shí)施

王玉珍a，孫巍a，郭建魁b

蘭州軍區(qū)蘭州總醫(yī)院 a.信息科；b.醫(yī)務(wù)部，甘肅 蘭州 730050

本文概述了入侵檢測(cè)系統(tǒng)的概念和功能，對(duì)入侵檢測(cè)系統(tǒng)與安全策略服務(wù)器聯(lián)動(dòng)的實(shí)現(xiàn)進(jìn)行了論述，并對(duì)我院入侵檢測(cè)系統(tǒng)的部署和系統(tǒng)參數(shù)設(shè)置實(shí)施過(guò)程做了詳細(xì)介紹。入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)策略使醫(yī)院信息系統(tǒng)具備實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，偵測(cè)并隔離威脅網(wǎng)絡(luò)行為的能力，對(duì)維護(hù)網(wǎng)絡(luò)安全能夠起到重要保護(hù)作用。

醫(yī)院信息系統(tǒng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵檢測(cè)；系統(tǒng)安全認(rèn)證

我國(guó)醫(yī)院信息化系統(tǒng)的推廣速度很快，醫(yī)院的各種核心業(yè)務(wù)也越來(lái)越依賴于信息系統(tǒng)?；谛畔⒓夹g(shù)的醫(yī)院業(yè)務(wù)的開(kāi)展一方面提高了工作效率，降低了管理成本；另一方面也滋生出一些非法人員以牟取非法私立的目的進(jìn)行數(shù)據(jù)竊取、數(shù)據(jù)篡改。與此同時(shí)，基于系統(tǒng)漏洞的病毒、木馬等危害也非常嚴(yán)重，很多醫(yī)院也曾經(jīng)因病毒爆發(fā)而導(dǎo)致業(yè)務(wù)通信被中斷，數(shù)據(jù)丟失[1]。為解決這些問(wèn)題，保證網(wǎng)絡(luò)通信數(shù)據(jù)的合法有效，醫(yī)院信息系統(tǒng)應(yīng)具備實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流、偵測(cè)并隔離危險(xiǎn)網(wǎng)絡(luò)行為的能力。目前防火墻和殺毒軟件作為最早被用戶接受的網(wǎng)絡(luò)安全產(chǎn)品，已經(jīng)成了安全方案中不可缺少的一部分。但是，僅僅依靠防火墻是遠(yuǎn)遠(yuǎn)不夠的。入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）作為全面安全產(chǎn)品體系的一部分，能保護(hù)重要的信息免受外部和內(nèi)部網(wǎng)絡(luò)的威脅[2-3]。

1 IDS與安全策略服務(wù)器聯(lián)動(dòng)的實(shí)現(xiàn)

IDS依照一定的安全策略，通過(guò)軟、硬件對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊醫(yī)院信息系統(tǒng)的攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

1.1 設(shè)備與功能

IDS通過(guò)對(duì)入侵行為的過(guò)程與特征的分析，通過(guò)安全管理軟件進(jìn)行統(tǒng)一處理，對(duì)入侵事件和過(guò)程作出實(shí)時(shí)響應(yīng)。

（1）安全策略服務(wù)器負(fù)責(zé)完成全網(wǎng)的用戶身份認(rèn)證、執(zhí)行安全策略管理和日志匯總分析任務(wù)。

（2）安全接入交換機(jī)負(fù)責(zé)控制入網(wǎng)用戶的訪問(wèn)，并執(zhí)行安全策略。

（3）安全認(rèn)證客戶端軟件部署于終端主機(jī)，執(zhí)行入網(wǎng)認(rèn)證操作，評(píng)估用戶的主機(jī)完整性，實(shí)現(xiàn)自動(dòng)修復(fù)及下發(fā)修復(fù)程序等功能。

1.2 聯(lián)動(dòng)安全策略的實(shí)現(xiàn)

IDS網(wǎng)域部署見(jiàn)圖1。入侵檢測(cè)設(shè)備與后臺(tái)服務(wù)系統(tǒng)、客戶端、交換機(jī)等軟硬件的聯(lián)動(dòng)，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)通信系統(tǒng)主動(dòng)、自動(dòng)聯(lián)動(dòng)的保護(hù)[4]。其工作過(guò)程如下：

（1）入侵檢測(cè)系統(tǒng)設(shè)備通過(guò)監(jiān)控網(wǎng)絡(luò)流量，捕獲攻擊流量，分析攻擊的類型，上報(bào)信息給安全策略服務(wù)器。

（2）安全策略服務(wù)器將上報(bào)的信息與內(nèi)置數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，得到如IP、MAC、用戶名所在交換機(jī)及對(duì)應(yīng)端口等攻擊者或被攻擊者信息。

（3）安全策略服務(wù)器根據(jù)攻擊信息實(shí)施對(duì)應(yīng)處理策略，對(duì)攻擊者和被攻擊者自動(dòng)或手動(dòng)處理，下發(fā)策略至交換機(jī)，令其進(jìn)行隔離、阻斷、警告，同時(shí)下發(fā)修復(fù)程序。

（4）交換機(jī)根據(jù)接收到的指令，對(duì)用戶進(jìn)行網(wǎng)絡(luò)層面的管理，將用戶隔離至安全區(qū)域，或阻斷用戶的網(wǎng)絡(luò)訪問(wèn)。

（5）安全策略服務(wù)器可同時(shí)向用戶下發(fā)警告消息、修復(fù)程序等，指導(dǎo)用戶進(jìn)行行為改正、或漏洞修補(bǔ)。

（6）用戶在完成修復(fù)等處理后，重新檢測(cè)網(wǎng)絡(luò)狀態(tài)，符合要求后重新訪問(wèn)網(wǎng)絡(luò)。

這種聯(lián)動(dòng)實(shí)現(xiàn)了網(wǎng)絡(luò)通信系統(tǒng)主動(dòng)、自動(dòng)的保護(hù)，整個(gè)檢測(cè)、分析、處理過(guò)程由軟硬件聯(lián)動(dòng)完成，可滿足醫(yī)院信息系統(tǒng)實(shí)際工作的安全需要。

圖1 入侵檢測(cè)系統(tǒng)網(wǎng)域部署圖

1.3 配置實(shí)例

我院在醫(yī)保專網(wǎng)和醫(yī)院內(nèi)醫(yī)療網(wǎng)之間配置天融信千兆網(wǎng)閘（Top Rules）和物理安全隔離設(shè)備。Top Rules一方面可以防止來(lái)自外部網(wǎng)絡(luò)的惡意攻擊，另一方面也能防止內(nèi)部網(wǎng)絡(luò)重要信息的泄漏，在保障網(wǎng)絡(luò)安全隔離的前提下，最終實(shí)現(xiàn)了下述功能：

1.3.1 引擎郵件報(bào)警

通過(guò)設(shè)置“管理”接口參數(shù)、發(fā)送郵件相關(guān)參數(shù)及響應(yīng)策略，將編輯好的策略應(yīng)用到引擎，當(dāng)發(fā)生入侵事件時(shí)，引擎就會(huì)向指定的郵件地址發(fā)送報(bào)警信息。

1.3.2 引擎多端口監(jiān)聽(tīng)配置

在串口控制程序中增加新的引擎，配置監(jiān)聽(tīng)網(wǎng)卡。網(wǎng)卡完成配置后，需要根據(jù)提示保存配置，并退回到串口起始頁(yè)面選擇重啟引擎，引擎重新啟動(dòng)后配置生效。

1.3.3 設(shè)置內(nèi)部網(wǎng)絡(luò)段

通過(guò)設(shè)置內(nèi)網(wǎng)，選擇內(nèi)部IP來(lái)標(biāo)識(shí)指定網(wǎng)段。IDS引擎能夠區(qū)分報(bào)文的方向，同時(shí)識(shí)別要保護(hù)的網(wǎng)段。只有定義好內(nèi)網(wǎng)對(duì)象的行為，才能實(shí)現(xiàn)部分網(wǎng)絡(luò)系統(tǒng)架構(gòu)（System Network Achitecture，SNA）檢測(cè)功能和流量統(tǒng)計(jì)功能。

1.3.4 策略編輯器配置

根據(jù)實(shí)際需求，完成網(wǎng)絡(luò)流量統(tǒng)計(jì)、響應(yīng)、可疑網(wǎng)絡(luò)活動(dòng)、服務(wù)處理器、協(xié)議處理器的參數(shù)配置（圖2），通過(guò)日志歸并信息執(zhí)行入侵防范。

圖2 策略編輯器配置

2 入侵檢測(cè)產(chǎn)品存在的問(wèn)題與改進(jìn)

IDS雖然有了20多年的發(fā)展，同時(shí)也取得了一定的進(jìn)展，但是入侵檢測(cè)技術(shù)還存在著一些問(wèn)題，應(yīng)該從多角度來(lái)提高IDS的技術(shù)水平和性能。

2.1 提高響應(yīng)能力

在IDS中，對(duì)截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，分析其中是否具有某種攻擊的特征，需要花費(fèi)大量的時(shí)間和系統(tǒng)資源，如果其檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包導(dǎo)致漏報(bào)，從而影響系統(tǒng)的準(zhǔn)確性和有效性。須提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度，以適應(yīng)網(wǎng)絡(luò)通信的要求性能[5]。

2.2 進(jìn)一步提高入侵檢測(cè)的準(zhǔn)確性

當(dāng)前IDS采用的檢測(cè)技術(shù)（如協(xié)議分析、模式匹配等）存在攻擊特征庫(kù)不能及時(shí)更新，規(guī)則制定滯后等缺陷。此外還由于各種攻擊方法的不斷更新，使得誤報(bào)率和漏報(bào)率較高，入侵檢測(cè)的準(zhǔn)確性有待進(jìn)一步提高[5-6]。

2.3 提高IDS間的互動(dòng)性能。

在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測(cè)系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測(cè)系統(tǒng)之間以及和其他安全組件之間，如何交換信息，共同協(xié)作來(lái)發(fā)現(xiàn)攻擊，并阻止攻擊，是關(guān)系整個(gè)系統(tǒng)安全性的重要因素[7-8]。

3 IDS設(shè)備的選擇策略

3.1 選擇因素

首先確定醫(yī)院的資產(chǎn)清單，全面評(píng)估其信息系統(tǒng)的風(fēng)險(xiǎn)，定位出醫(yī)院的關(guān)鍵資產(chǎn)和最嚴(yán)重的威脅因素；再結(jié)合醫(yī)院可付出的預(yù)算，以及風(fēng)險(xiǎn)控制的可接受范圍，制定出恰當(dāng)?shù)陌踩呗?，?lái)確定所需的IDS。

通常根據(jù)獲取原始數(shù)據(jù)的途徑，將IDS分為基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）。HIDS主要來(lái)保護(hù)關(guān)鍵的主機(jī)和服務(wù)器，處理加密的數(shù)據(jù)，并從系統(tǒng)、用戶、過(guò)程和應(yīng)用的層次來(lái)檢測(cè)異常行為；NIDS主要用于檢測(cè)網(wǎng)絡(luò)中數(shù)據(jù)包是否隱藏著攻擊，可以監(jiān)測(cè)防火墻的內(nèi)、外圍和DMZ部分，以確保防火墻的策略，以及檢測(cè)DoS攻擊、監(jiān)視特定的服務(wù)和協(xié)議。

實(shí)際應(yīng)用應(yīng)綜合比較各種入侵檢測(cè)系統(tǒng)的性能和價(jià)格來(lái)選擇具體應(yīng)用的產(chǎn)品。用戶可以從商業(yè)資料和測(cè)試報(bào)告來(lái)獲取IDS產(chǎn)品的功能和性能指標(biāo)，關(guān)鍵指標(biāo)應(yīng)該盡量選擇參考獨(dú)立第三方機(jī)構(gòu)的評(píng)測(cè)報(bào)告。

3.2 IDS的正確配置

IDS的安裝和維護(hù)都比較復(fù)雜，配置不合理是無(wú)法實(shí)現(xiàn)其檢測(cè)和響應(yīng)能力的。而且IDS還需要特征庫(kù)升級(jí)、報(bào)警響應(yīng)、誤報(bào)處理等更多的維護(hù)工作，這就要求用戶必須配備和培訓(xùn)專業(yè)人員來(lái)判斷檢測(cè)報(bào)告結(jié)果的正確性。

4 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)更新周期的縮短，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起社會(huì)的關(guān)注。數(shù)據(jù)庫(kù)是最容易受到黑客與病毒攻擊的部件，因此必須采取措施確保計(jì)算機(jī)數(shù)據(jù)的網(wǎng)絡(luò)安全。IDS經(jīng)過(guò)了一段時(shí)間的發(fā)展，可保障醫(yī)院信息系統(tǒng)具備實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流、偵測(cè)并隔離危險(xiǎn)網(wǎng)絡(luò)行為的能力，可在維護(hù)網(wǎng)絡(luò)安全中起到重要作用。

[1]趙錦.醫(yī)院信息系統(tǒng)的安全防范[J],醫(yī)療衛(wèi)生裝備,2009,30（3）：57-58.

[2]楊帆.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探究[J],福建電腦,2014,39（1）：112-113.

[3]劉白璐,楊雅輝,沈晴霓,等.網(wǎng)絡(luò)入侵早期檢測(cè)方法的研究與實(shí)現(xiàn)[J],計(jì)算機(jī)工程,2013,39（7）：1-6.

[4]張海濤,魏巍.一種有效的網(wǎng)絡(luò)安全協(xié)同防御機(jī)制研究[J]計(jì)算機(jī)應(yīng)用與軟件,2011,（9）：113-115.

[5]連志強(qiáng).計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)分析[J],軟件工程師,2013, （11）：37-38.

[6]李志清.基于模式匹配和協(xié)議分析的入侵檢測(cè)系統(tǒng)研究[D].廣州：廣東工業(yè)大學(xué),2007.

[7]何劍虎,周慶利.互聯(lián)網(wǎng)環(huán)境下的醫(yī)療數(shù)據(jù)安全交換技術(shù)研究[J].中國(guó)醫(yī)療設(shè)備,2013,28（4）：44-47.

[8]胡歌.Oracle數(shù)據(jù)庫(kù)安全性分析研究[J].信息安全與技術(shù),2012,（4）：32-33.

Implementation of the Network Intrusion Detection System Linkage Strategy in the Hospital

WANG Yu-zhena, SUN Weia, GUO Jian-kuib
a.Department of Information；b.Department ofMedical Services, Lanzhou General Hospital of LanzhouMilitary Region, Lanzhou Gansu 730050, China

This papersummarized the concept and function of the intrusiondetectionsystem, anddiscussed the implementation of the linkage between thesystem andsecurity policyserver.Moreover, the implementation of thesystem and its parametersetting were alsodetailed. The intrusiondetectionsystem linkagestrategy made it possible to real-timely monitor the networkdata traffic,detect and isolate harmful network behavior, which had proven its importaut proteetive effect in networksecurity maintenance.

hospital informationsystem；networksecurity；network intrusiondetection；systemsecurity authentication

TP393.08

A

10.3969/j.issn.1674-1633.2015.08.027

1674-1633（2015）08-0087-03

2014-12-22

修回日期：2015-04-23

2012年全軍醫(yī)藥衛(wèi)生科研基金課題（CLZ12JB01）。

本文作者：王玉珍，高級(jí)工程師。

作者郵箱：yuzhen_jinge@163.com