大數(shù)據(jù)背景下的大型綜合醫(yī)院網(wǎng)絡(luò)安全的防范措施

楊理

（長沙市第一醫(yī)院，湖南 長沙 410000）

引言

根據(jù)國家醫(yī)院協(xié)會提供的《2017/2018中國醫(yī)院信息化調(diào)查報告》可知，當(dāng)前大部分醫(yī)院的信息系統(tǒng)建設(shè)的目標(biāo)是降低醫(yī)院網(wǎng)絡(luò)安全風(fēng)險，為此，75%的醫(yī)院采用物理隔離方式，將諸如醫(yī)院信息系統(tǒng)HIS、電子病歷之類的核心業(yè)務(wù)系統(tǒng)置于內(nèi)網(wǎng)，醫(yī)療數(shù)據(jù)僅限于醫(yī)院內(nèi)部網(wǎng)絡(luò)中應(yīng)用，安全防護(hù)的重點(diǎn)是內(nèi)網(wǎng)。而隨著大數(shù)據(jù)技術(shù)在醫(yī)療行業(yè)的應(yīng)用逐步深入，遠(yuǎn)程醫(yī)療等依托大數(shù)據(jù)開展的互聯(lián)網(wǎng)醫(yī)療服務(wù)的發(fā)展趨勢以及對醫(yī)療數(shù)據(jù)互連的需求促使醫(yī)院網(wǎng)絡(luò)架構(gòu)從封閉走向開放。基于物理隔離方式的傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)措施難以滿足大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全防護(hù)需求。因此，在擁抱大數(shù)據(jù)，擴(kuò)大醫(yī)療服務(wù)范圍的情況下，醫(yī)院迫切需要在建立新的網(wǎng)絡(luò)安全防護(hù)體系。

一、醫(yī)院網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

傳統(tǒng)的醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系中，防火墻、防病毒軟件等被動防護(hù)技術(shù)的應(yīng)用較多。

（一）防火墻

防火墻是一種被動式網(wǎng)絡(luò)安全保護(hù)工具，能夠根據(jù)IP，MAC等參數(shù)，基于特定的安全保護(hù)要求制定相應(yīng)的網(wǎng)絡(luò)過濾規(guī)則。在IP、MAC地址安全的情況下可以通過醫(yī)院網(wǎng)關(guān)訪問服務(wù)器，否則不能通過。在不斷的實(shí)踐應(yīng)用中，防火墻應(yīng)用程序不斷升級，現(xiàn)在可以根據(jù)需要靈活配置不同類型的防火墻，例如針對數(shù)據(jù)庫安全的防火墻、針對Web服務(wù)器的防火墻，從而更有效地保護(hù)醫(yī)院網(wǎng)絡(luò)免受攻擊，而且防火墻的部署成本較低，能有有效提高醫(yī)院網(wǎng)絡(luò)的安全性。

（二）防病毒軟件

防病毒軟件能夠收集醫(yī)院網(wǎng)絡(luò)的日志數(shù)據(jù)、相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù)和各種類型的應(yīng)用程序數(shù)據(jù)，然后對數(shù)據(jù)進(jìn)行分析，找出隱藏在網(wǎng)絡(luò)中的病毒或木馬，從而及時將其從網(wǎng)絡(luò)中隔離和刪除。經(jīng)過多年的發(fā)展和完善，目前反病毒軟件種類較多，其中應(yīng)用比較廣泛的包括360安全衛(wèi)士、卡巴斯基、瑞星等。病毒數(shù)據(jù)庫、防病毒規(guī)則的實(shí)時更新能夠有效保障計(jì)算機(jī)網(wǎng)絡(luò)安全。但是，防病毒軟件也屬于被動型網(wǎng)絡(luò)安全防護(hù)工具，不能提供主動的病毒查殺。

二、大數(shù)據(jù)背景下的醫(yī)院網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)

（一）深度防護(hù)系統(tǒng)設(shè)計(jì)

根據(jù)大數(shù)據(jù)背景下的醫(yī)院網(wǎng)絡(luò)應(yīng)用要求建立全面深入的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。該系統(tǒng)結(jié)構(gòu)主要由偽裝模塊、信息收集模塊、風(fēng)險控制模塊以及數(shù)據(jù)分析和識別模塊構(gòu)成。

1.偽裝模塊。允許建立虛擬網(wǎng)絡(luò)環(huán)境用于偽裝真實(shí)網(wǎng)絡(luò)環(huán)節(jié)，誘導(dǎo)黑客發(fā)起網(wǎng)絡(luò)攻擊。為了能夠逼真模擬，偽裝模塊通常會將部分真實(shí)的敏感數(shù)據(jù)復(fù)制到蜜罐服務(wù)器，同時加密數(shù)據(jù)，以防止黑客竊取真正敏感的數(shù)據(jù)。

2.信息收集模塊。蜜罐服務(wù)器是信息收集模塊的核心，其最重要的功能就是記錄并分析攻擊信息，尤其是當(dāng)攻擊源頭主機(jī)與蜜罐服務(wù)器進(jìn)行數(shù)據(jù)交互時，可通過sniffe抓包軟件完整記錄攻擊過程，記錄進(jìn)出蜜罐服務(wù)器的所有數(shù)據(jù)包。

3.風(fēng)險控制模塊。蜜罐服務(wù)器能夠過濾和控制黑客攻擊，并防止黑客發(fā)現(xiàn)蜜罐服務(wù)器而轉(zhuǎn)移攻擊目標(biāo)。

4.數(shù)據(jù)分析識別模塊。蜜罐服務(wù)器可以在收集數(shù)據(jù)后分析和識別數(shù)據(jù)。此時，深度學(xué)習(xí)算法可用于找出網(wǎng)絡(luò)攻擊的特征，從而準(zhǔn)確識別出潛藏風(fēng)險，進(jìn)而激活防病毒軟件及時清除不完全數(shù)據(jù)和文件。圖1顯示了深度防護(hù)系統(tǒng)基本架構(gòu)。

（二）深度防護(hù)系統(tǒng)在醫(yī)院網(wǎng)絡(luò)中的部署與應(yīng)用

大數(shù)據(jù)背景下，醫(yī)院網(wǎng)絡(luò)應(yīng)該采用主動防護(hù)模式，蜜罐技術(shù)屬于主動防護(hù)技術(shù)，通過蜜罐服務(wù)器可主動放出誘餌，誘使攻擊者攻擊錯誤的目標(biāo)，并記錄網(wǎng)絡(luò)攻擊行為，在分析攻擊行為特征后，及時找到現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的安全漏洞，并掌握黑客的攻擊規(guī)律，從而及時做好真實(shí)服務(wù)器的防御。蜜罐服務(wù)器是似乎充滿了安全漏洞，但實(shí)際上受到完全控制，目的是收集攻擊者的入侵?jǐn)?shù)據(jù)，分析和檢索有價值的數(shù)據(jù)，以捕獲下一次攻擊意圖。深度防護(hù)系統(tǒng)部署過程包括以下幾個方面：首先，導(dǎo)入虛擬CD，選擇蜜罐，提取Honey Wall映像文件，然后啟動映像安裝界面和過程。其次，為了安全起見，系統(tǒng)將自動復(fù)制文件。最后，輸入默認(rèn)賬戶roo，密碼honey，進(jìn)入配置界面運(yùn)行，選擇系統(tǒng)并選擇“Interview”完成設(shè)置。

結(jié)論

綜上所述，在大數(shù)據(jù)背景下，醫(yī)院網(wǎng)絡(luò)安全防護(hù)顯得更加迫切，網(wǎng)絡(luò)的運(yùn)行和維護(hù)也需要付出大量努力才能取得良好的效果。醫(yī)院信息網(wǎng)絡(luò)安全不僅包括數(shù)據(jù)的安全性，還關(guān)系到數(shù)據(jù)背后的個人信息安全。因此，有必要加強(qiáng)管理醫(yī)院信息網(wǎng)絡(luò)，在現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系基礎(chǔ)上積極引入先進(jìn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，如蜜罐技術(shù)，實(shí)現(xiàn)主動防護(hù)，盡可能避免醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)丟失和損壞，從而有力保障醫(yī)院的正常運(yùn)行。