醫(yī)院網(wǎng)絡(luò)入侵檢測系統(tǒng)聯(lián)動策略的實(shí)施

王玉珍，孫巍，郭建魁

蘭州軍區(qū)蘭州總醫(yī)院 a.信息科；b.醫(yī)務(wù)部，甘肅 蘭州 730050

醫(yī)院網(wǎng)絡(luò)入侵檢測系統(tǒng)聯(lián)動策略的實(shí)施

王玉珍a，孫巍a，郭建魁b

蘭州軍區(qū)蘭州總醫(yī)院 a.信息科；b.醫(yī)務(wù)部，甘肅 蘭州 730050

本文概述了入侵檢測系統(tǒng)的概念和功能，對入侵檢測系統(tǒng)與安全策略服務(wù)器聯(lián)動的實(shí)現(xiàn)進(jìn)行了論述，并對我院入侵檢測系統(tǒng)的部署和系統(tǒng)參數(shù)設(shè)置實(shí)施過程做了詳細(xì)介紹。入侵檢測系統(tǒng)聯(lián)動策略使醫(yī)院信息系統(tǒng)具備實(shí)時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，偵測并隔離威脅網(wǎng)絡(luò)行為的能力，對維護(hù)網(wǎng)絡(luò)安全能夠起到重要保護(hù)作用。

醫(yī)院信息系統(tǒng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵檢測；系統(tǒng)安全認(rèn)證

我國醫(yī)院信息化系統(tǒng)的推廣速度很快，醫(yī)院的各種核心業(yè)務(wù)也越來越依賴于信息系統(tǒng)。基于信息技術(shù)的醫(yī)院業(yè)務(wù)的開展一方面提高了工作效率，降低了管理成本；另一方面也滋生出一些非法人員以牟取非法私立的目的進(jìn)行數(shù)據(jù)竊取、數(shù)據(jù)篡改。與此同時，基于系統(tǒng)漏洞的病毒、木馬等危害也非常嚴(yán)重，很多醫(yī)院也曾經(jīng)因病毒爆發(fā)而導(dǎo)致業(yè)務(wù)通信被中斷，數(shù)據(jù)丟失[1]。為解決這些問題，保證網(wǎng)絡(luò)通信數(shù)據(jù)的合法有效，醫(yī)院信息系統(tǒng)應(yīng)具備實(shí)時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流、偵測并隔離危險網(wǎng)絡(luò)行為的能力。目前防火墻和殺毒軟件作為最早被用戶接受的網(wǎng)絡(luò)安全產(chǎn)品，已經(jīng)成了安全方案中不可缺少的一部分。但是，僅僅依靠防火墻是遠(yuǎn)遠(yuǎn)不夠的。入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）作為全面安全產(chǎn)品體系的一部分，能保護(hù)重要的信息免受外部和內(nèi)部網(wǎng)絡(luò)的威脅[2-3]。

1 IDS與安全策略服務(wù)器聯(lián)動的實(shí)現(xiàn)

IDS依照一定的安全策略，通過軟、硬件對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊醫(yī)院信息系統(tǒng)的攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

1.1 設(shè)備與功能

IDS通過對入侵行為的過程與特征的分析，通過安全管理軟件進(jìn)行統(tǒng)一處理，對入侵事件和過程作出實(shí)時響應(yīng)。

（1）安全策略服務(wù)器負(fù)責(zé)完成全網(wǎng)的用戶身份認(rèn)證、執(zhí)行安全策略管理和日志匯總分析任務(wù)。

（2）安全接入交換機(jī)負(fù)責(zé)控制入網(wǎng)用戶的訪問，并執(zhí)行安全策略。

（3）安全認(rèn)證客戶端軟件部署于終端主機(jī)，執(zhí)行入網(wǎng)認(rèn)證操作，評估用戶的主機(jī)完整性，實(shí)現(xiàn)自動修復(fù)及下發(fā)修復(fù)程序等功能。

1.2 聯(lián)動安全策略的實(shí)現(xiàn)

IDS網(wǎng)域部署見圖1。入侵檢測設(shè)備與后臺服務(wù)系統(tǒng)、客戶端、交換機(jī)等軟硬件的聯(lián)動，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)通信系統(tǒng)主動、自動聯(lián)動的保護(hù)[4]。其工作過程如下：

（1）入侵檢測系統(tǒng)設(shè)備通過監(jiān)控網(wǎng)絡(luò)流量，捕獲攻擊流量，分析攻擊的類型，上報信息給安全策略服務(wù)器。

（2）安全策略服務(wù)器將上報的信息與內(nèi)置數(shù)據(jù)庫進(jìn)行對比，得到如IP、MAC、用戶名所在交換機(jī)及對應(yīng)端口等攻擊者或被攻擊者信息。

（3）安全策略服務(wù)器根據(jù)攻擊信息實(shí)施對應(yīng)處理策略，對攻擊者和被攻擊者自動或手動處理，下發(fā)策略至交換機(jī)，令其進(jìn)行隔離、阻斷、警告，同時下發(fā)修復(fù)程序。

（4）交換機(jī)根據(jù)接收到的指令，對用戶進(jìn)行網(wǎng)絡(luò)層面的管理，將用戶隔離至安全區(qū)域，或阻斷用戶的網(wǎng)絡(luò)訪問。

（5）安全策略服務(wù)器可同時向用戶下發(fā)警告消息、修復(fù)程序等，指導(dǎo)用戶進(jìn)行行為改正、或漏洞修補(bǔ)。

（6）用戶在完成修復(fù)等處理后，重新檢測網(wǎng)絡(luò)狀態(tài)，符合要求后重新訪問網(wǎng)絡(luò)。

這種聯(lián)動實(shí)現(xiàn)了網(wǎng)絡(luò)通信系統(tǒng)主動、自動的保護(hù)，整個檢測、分析、處理過程由軟硬件聯(lián)動完成，可滿足醫(yī)院信息系統(tǒng)實(shí)際工作的安全需要。

圖1 入侵檢測系統(tǒng)網(wǎng)域部署圖

1.3 配置實(shí)例

我院在醫(yī)保專網(wǎng)和醫(yī)院內(nèi)醫(yī)療網(wǎng)之間配置天融信千兆網(wǎng)閘（Top Rules）和物理安全隔離設(shè)備。Top Rules一方面可以防止來自外部網(wǎng)絡(luò)的惡意攻擊，另一方面也能防止內(nèi)部網(wǎng)絡(luò)重要信息的泄漏，在保障網(wǎng)絡(luò)安全隔離的前提下，最終實(shí)現(xiàn)了下述功能：

1.3.1 引擎郵件報警

通過設(shè)置“管理”接口參數(shù)、發(fā)送郵件相關(guān)參數(shù)及響應(yīng)策略，將編輯好的策略應(yīng)用到引擎，當(dāng)發(fā)生入侵事件時，引擎就會向指定的郵件地址發(fā)送報警信息。

1.3.2 引擎多端口監(jiān)聽配置

在串口控制程序中增加新的引擎，配置監(jiān)聽網(wǎng)卡。網(wǎng)卡完成配置后，需要根據(jù)提示保存配置，并退回到串口起始頁面選擇重啟引擎，引擎重新啟動后配置生效。

1.3.3 設(shè)置內(nèi)部網(wǎng)絡(luò)段

通過設(shè)置內(nèi)網(wǎng)，選擇內(nèi)部IP來標(biāo)識指定網(wǎng)段。IDS引擎能夠區(qū)分報文的方向，同時識別要保護(hù)的網(wǎng)段。只有定義好內(nèi)網(wǎng)對象的行為，才能實(shí)現(xiàn)部分網(wǎng)絡(luò)系統(tǒng)架構(gòu)（System Network Achitecture，SNA）檢測功能和流量統(tǒng)計功能。

1.3.4 策略編輯器配置

根據(jù)實(shí)際需求，完成網(wǎng)絡(luò)流量統(tǒng)計、響應(yīng)、可疑網(wǎng)絡(luò)活動、服務(wù)處理器、協(xié)議處理器的參數(shù)配置（圖2），通過日志歸并信息執(zhí)行入侵防范。

圖2 策略編輯器配置

2 入侵檢測產(chǎn)品存在的問題與改進(jìn)

IDS雖然有了20多年的發(fā)展，同時也取得了一定的進(jìn)展，但是入侵檢測技術(shù)還存在著一些問題，應(yīng)該從多角度來提高IDS的技術(shù)水平和性能。

2.1 提高響應(yīng)能力

在IDS中，對截獲網(wǎng)絡(luò)的每一個數(shù)據(jù)包，分析其中是否具有某種攻擊的特征，需要花費(fèi)大量的時間和系統(tǒng)資源，如果其檢測速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，就會漏掉其中的部分?jǐn)?shù)據(jù)包導(dǎo)致漏報，從而影響系統(tǒng)的準(zhǔn)確性和有效性。須提高入侵檢測系統(tǒng)的檢測速度，以適應(yīng)網(wǎng)絡(luò)通信的要求性能[5]。

2.2 進(jìn)一步提高入侵檢測的準(zhǔn)確性

當(dāng)前IDS采用的檢測技術(shù)（如協(xié)議分析、模式匹配等）存在攻擊特征庫不能及時更新，規(guī)則制定滯后等缺陷。此外還由于各種攻擊方法的不斷更新，使得誤報率和漏報率較高，入侵檢測的準(zhǔn)確性有待進(jìn)一步提高[5-6]。

2.3 提高IDS間的互動性能。

在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測系統(tǒng)之間以及和其他安全組件之間，如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊，并阻止攻擊，是關(guān)系整個系統(tǒng)安全性的重要因素[7-8]。

3 IDS設(shè)備的選擇策略

3.1 選擇因素

首先確定醫(yī)院的資產(chǎn)清單，全面評估其信息系統(tǒng)的風(fēng)險，定位出醫(yī)院的關(guān)鍵資產(chǎn)和最嚴(yán)重的威脅因素；再結(jié)合醫(yī)院可付出的預(yù)算，以及風(fēng)險控制的可接受范圍，制定出恰當(dāng)?shù)陌踩呗裕瑏泶_定所需的IDS。

通常根據(jù)獲取原始數(shù)據(jù)的途徑，將IDS分為基于主機(jī)的入侵檢測系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）。HIDS主要來保護(hù)關(guān)鍵的主機(jī)和服務(wù)器，處理加密的數(shù)據(jù)，并從系統(tǒng)、用戶、過程和應(yīng)用的層次來檢測異常行為；NIDS主要用于檢測網(wǎng)絡(luò)中數(shù)據(jù)包是否隱藏著攻擊，可以監(jiān)測防火墻的內(nèi)、外圍和DMZ部分，以確保防火墻的策略，以及檢測DoS攻擊、監(jiān)視特定的服務(wù)和協(xié)議。

實(shí)際應(yīng)用應(yīng)綜合比較各種入侵檢測系統(tǒng)的性能和價格來選擇具體應(yīng)用的產(chǎn)品。用戶可以從商業(yè)資料和測試報告來獲取IDS產(chǎn)品的功能和性能指標(biāo)，關(guān)鍵指標(biāo)應(yīng)該盡量選擇參考獨(dú)立第三方機(jī)構(gòu)的評測報告。

3.2 IDS的正確配置

IDS的安裝和維護(hù)都比較復(fù)雜，配置不合理是無法實(shí)現(xiàn)其檢測和響應(yīng)能力的。而且IDS還需要特征庫升級、報警響應(yīng)、誤報處理等更多的維護(hù)工作，這就要求用戶必須配備和培訓(xùn)專業(yè)人員來判斷檢測報告結(jié)果的正確性。

4 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)更新周期的縮短，網(wǎng)絡(luò)安全問題越來越引起社會的關(guān)注。數(shù)據(jù)庫是最容易受到黑客與病毒攻擊的部件，因此必須采取措施確保計算機(jī)數(shù)據(jù)的網(wǎng)絡(luò)安全。IDS經(jīng)過了一段時間的發(fā)展，可保障醫(yī)院信息系統(tǒng)具備實(shí)時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流、偵測并隔離危險網(wǎng)絡(luò)行為的能力，可在維護(hù)網(wǎng)絡(luò)安全中起到重要作用。

[1]趙錦.醫(yī)院信息系統(tǒng)的安全防范[J],醫(yī)療衛(wèi)生裝備,2009,30（3）：57-58.

[2]楊帆.網(wǎng)絡(luò)入侵檢測技術(shù)探究[J],福建電腦,2014,39（1）：112-113.

[3]劉白璐,楊雅輝,沈晴霓,等.網(wǎng)絡(luò)入侵早期檢測方法的研究與實(shí)現(xiàn)[J],計算機(jī)工程,2013,39（7）：1-6.

[4]張海濤,魏巍.一種有效的網(wǎng)絡(luò)安全協(xié)同防御機(jī)制研究[J]計算機(jī)應(yīng)用與軟件,2011,（9）：113-115.

[5]連志強(qiáng).計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)分析[J],軟件工程師,2013, （11）：37-38.

[6]李志清.基于模式匹配和協(xié)議分析的入侵檢測系統(tǒng)研究[D].廣州：廣東工業(yè)大學(xué),2007.

[7]何劍虎,周慶利.互聯(lián)網(wǎng)環(huán)境下的醫(yī)療數(shù)據(jù)安全交換技術(shù)研究[J].中國醫(yī)療設(shè)備,2013,28（4）：44-47.

[8]胡歌.Oracle數(shù)據(jù)庫安全性分析研究[J].信息安全與技術(shù),2012,（4）：32-33.

Implementation of the Network Intrusion Detection System Linkage Strategy in the Hospital

WANG Yu-zhena, SUN Weia, GUO Jian-kuib
a.Department of Information；b.Department ofMedical Services, Lanzhou General Hospital of LanzhouMilitary Region, Lanzhou Gansu 730050, China

This papersummarized the concept and function of the intrusiondetectionsystem, anddiscussed the implementation of the linkage between thesystem andsecurity policyserver.Moreover, the implementation of thesystem and its parametersetting were alsodetailed. The intrusiondetectionsystem linkagestrategy made it possible to real-timely monitor the networkdata traffic,detect and isolate harmful network behavior, which had proven its importaut proteetive effect in networksecurity maintenance.

hospital informationsystem；networksecurity；network intrusiondetection；systemsecurity authentication

TP393.08

A

10.3969/j.issn.1674-1633.2015.08.027

1674-1633（2015）08-0087-03

2014-12-22

修回日期：2015-04-23

2012年全軍醫(yī)藥衛(wèi)生科研基金課題（CLZ12JB01）。

本文作者：王玉珍，高級工程師。

作者郵箱：yuzhen_jinge@163.com