大數(shù)據(jù)時(shí)代醫(yī)院網(wǎng)絡(luò)安全防御架構(gòu)研究與設(shè)計(jì)

摘? 要：隨著互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等技術(shù)的快速發(fā)展和改進(jìn)，醫(yī)院已經(jīng)引入了許多的信息化系統(tǒng)，覆蓋了門(mén)診掛號(hào)、診斷治療、住院用藥等領(lǐng)域，提高了醫(yī)院信息化和共享化水平。但是，大數(shù)據(jù)時(shí)代，醫(yī)院網(wǎng)絡(luò)也面臨著許多木馬、病毒和黑客攻擊等危險(xiǎn)，因此文章構(gòu)建了一個(gè)全方位縱深防御架構(gòu)，該架構(gòu)可以集成蜜罐技術(shù)和深度學(xué)習(xí)技術(shù)，進(jìn)一步提高網(wǎng)絡(luò)安全防御的主動(dòng)性，大幅度提高網(wǎng)絡(luò)安全防御能力。

關(guān)鍵詞：蜜罐技術(shù);深度學(xué)習(xí);網(wǎng)絡(luò)安全;防御架構(gòu)

中圖分類(lèi)號(hào)：TP309? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）06-0161-03

Abstract：With the rapid development and improvement of internet，cloud computing，big data and other technologies，the hospital has introduced many information systems，covering outpatient registration，diagnosis and treatment，inpatient medication and other fields，improving the level of hospital information and sharing. However，in the era of big data，the hospital network is also faced with many dangerous factors such as Trojans，viruses and hacker attacks. Therefore，this paper constructs a comprehensive defense in depth architecture，which can integrate honeypot technology and deep learning technology，further improve the initiative of network security defense，and greatly improve the network security defense ability.

Keywords：honeypot technology;deep learning;network security;defense architecture

0? 引? 言

醫(yī)院作為計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的一個(gè)重要領(lǐng)域，已經(jīng)開(kāi)發(fā)了門(mén)診掛號(hào)系統(tǒng)、醫(yī)學(xué)影像系統(tǒng)、住院管理系統(tǒng)、藥房管理系統(tǒng)等，利用星形網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)多個(gè)軟件之間的數(shù)據(jù)傳輸和共享，極大地提高了醫(yī)院的自動(dòng)化水平[1]。但是，互聯(lián)網(wǎng)在為人們提供良好服務(wù)的同時(shí)也面臨著海量的安全攻擊，比如木馬和病毒、DDOS攻擊等。木馬和病毒是一種程序，這種程序能夠隱藏在圖片、視頻、文本等多種信息中，利用醫(yī)院網(wǎng)絡(luò)傳播至服務(wù)器或終端，此時(shí)就會(huì)給醫(yī)院帶來(lái)不可估量的損失[2]。比如，2018年初爆發(fā)的勒索病毒，其感染了醫(yī)院的終端服務(wù)器及電腦，導(dǎo)致用戶無(wú)法進(jìn)入到計(jì)算機(jī)系統(tǒng)，為許多醫(yī)院帶來(lái)了較為嚴(yán)重的經(jīng)濟(jì)損失。目前，較為嚴(yán)重的木馬和病毒為蠕蟲(chóng)病毒、盜號(hào)木馬等，其隱藏性比較強(qiáng)，非常容易感染計(jì)算機(jī)網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)癱瘓，無(wú)法提供正常的通信和使用功能[3]。分布式拒絕服務(wù)攻擊（DDOS攻擊）可以在短時(shí)間內(nèi)制造數(shù)以億計(jì)的訪問(wèn)請(qǐng)求，這樣就會(huì)占用醫(yī)院網(wǎng)絡(luò)帶寬資源，導(dǎo)致正常用戶無(wú)法訪問(wèn)服務(wù)器，也就會(huì)導(dǎo)致醫(yī)院網(wǎng)絡(luò)無(wú)法正常訪問(wèn)，影響用戶的正常使用，為用戶帶來(lái)了非常巨大的損失[4]。DDOS攻擊通常分為帶寬攻擊和連通性攻擊，帶寬攻擊可以在瞬時(shí)使用大量的非法數(shù)據(jù)包占用醫(yī)院網(wǎng)絡(luò)帶寬資源，合法用戶無(wú)法及時(shí)訪問(wèn)服務(wù)器，大大降低了網(wǎng)絡(luò)效率。

木馬、病毒和DDOS攻擊為人們使用醫(yī)院網(wǎng)絡(luò)帶來(lái)了嚴(yán)重的風(fēng)險(xiǎn)，不利于提高醫(yī)院網(wǎng)絡(luò)的普及率。因此，人們提出許多防御措施，比如防火墻、殺毒軟件，雖然醫(yī)院網(wǎng)絡(luò)采用了很多的安全防御措施，但是安全攻擊的技術(shù)正不斷發(fā)展，目前醫(yī)院網(wǎng)絡(luò)安全依然存在一些問(wèn)題，比如作業(yè)人員無(wú)法實(shí)時(shí)掌握系統(tǒng)運(yùn)行狀態(tài)，不能夠有效分析控制器數(shù)值，導(dǎo)致醫(yī)院網(wǎng)絡(luò)不能安全運(yùn)行。因此，隨著互聯(lián)網(wǎng)技術(shù)的改進(jìn)，醫(yī)院網(wǎng)絡(luò)安全防御也需要與時(shí)俱進(jìn)，進(jìn)一步提高網(wǎng)絡(luò)安全防御性能。

1? 大數(shù)據(jù)時(shí)代醫(yī)院網(wǎng)絡(luò)安全防御現(xiàn)狀分析

大數(shù)據(jù)時(shí)代醫(yī)院網(wǎng)絡(luò)安全防御采用的技術(shù)很多，比如防火墻、殺毒軟件等。

1.1? 防火墻

防火墻是一個(gè)啟發(fā)式的醫(yī)院網(wǎng)絡(luò)安全防御軟件，其可以根據(jù)安全防御需求，基于IP地址、MAC地址等設(shè)置網(wǎng)絡(luò)過(guò)濾規(guī)則，如果IP地址及MAC地址安全，此時(shí)可以通過(guò)醫(yī)院網(wǎng)絡(luò)關(guān)口訪問(wèn)服務(wù)器;如果不安全則無(wú)法通過(guò)。防火墻經(jīng)過(guò)多年的應(yīng)用，可以根據(jù)部署位置和保護(hù)對(duì)象設(shè)置不同的防火墻，包括數(shù)據(jù)庫(kù)防火墻、Web服務(wù)器防火墻等，較好地保護(hù)醫(yī)院網(wǎng)絡(luò)不受到損壞，同時(shí)部署代價(jià)也非常低，可以進(jìn)一步提高醫(yī)院網(wǎng)絡(luò)防御性能。

1.2? 殺毒軟件

殺毒軟件是一套應(yīng)用程序，其可以采集醫(yī)院網(wǎng)絡(luò)日志信息、設(shè)備運(yùn)行狀態(tài)信息以及各類(lèi)型應(yīng)用信息，針對(duì)這些信息進(jìn)行挖掘和分析，從而獲取網(wǎng)絡(luò)中潛藏的病毒或木馬，然后將其清除出網(wǎng)絡(luò)。殺毒軟件經(jīng)過(guò)多年的發(fā)展，已經(jīng)誕生了很多，比如卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，這些殺毒軟件市場(chǎng)份額大，實(shí)時(shí)更新病毒庫(kù)和殺毒規(guī)則，可以更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不受到任何損害。但是，殺毒軟件也是一個(gè)被動(dòng)式殺毒工具，無(wú)法采取積極的主動(dòng)模式為用戶提供查殺方法，很容易給用戶帶來(lái)?yè)p失。

2? 大數(shù)據(jù)時(shí)代醫(yī)院網(wǎng)絡(luò)安全防御架構(gòu)設(shè)計(jì)

2.1? 全方位縱深防御架構(gòu)設(shè)計(jì)

本文結(jié)合大數(shù)據(jù)時(shí)代我院網(wǎng)絡(luò)應(yīng)用需求，構(gòu)建了一個(gè)全方位縱深防御架構(gòu)，該架構(gòu)包括四個(gè)關(guān)鍵功能模塊，分別是偽裝模塊、信息采集模塊、風(fēng)險(xiǎn)控制模塊和數(shù)據(jù)分析和識(shí)別模塊。

2.1.1? 偽裝模塊

偽裝模塊可以構(gòu)建一個(gè)模擬網(wǎng)絡(luò)運(yùn)行環(huán)境，偽裝成真的信息系統(tǒng)，這樣就可以引誘黑客攻擊。偽裝模塊為了能夠仿真，通常拷貝一些真實(shí)的機(jī)密數(shù)據(jù)到蜜罐服務(wù)器，同時(shí)針對(duì)這些信息進(jìn)行加密，這些數(shù)據(jù)已經(jīng)采用了多種防御措施，因此黑客無(wú)法獲取真正的機(jī)密數(shù)據(jù)。

2.1.2? 信息采集模塊

蜜罐最為關(guān)鍵的應(yīng)用就是記錄和分析攻擊信息，盡可能地采集詳細(xì)的攻擊數(shù)據(jù)，記錄黑客、病毒或木馬完整的攻擊過(guò)程，尤其是當(dāng)攻擊源主機(jī)與蜜罐服務(wù)器進(jìn)行信息交互時(shí)，可以使用先進(jìn)的Sniffer抓包軟件，記錄每一個(gè)進(jìn)出蜜罐的數(shù)據(jù)包。

2.1.3? 風(fēng)險(xiǎn)控制模塊

蜜罐可以針對(duì)黑客攻擊的風(fēng)險(xiǎn)進(jìn)行過(guò)濾和控制，以避免黑客發(fā)覺(jué)采用了蜜罐技術(shù)而轉(zhuǎn)移攻擊目標(biāo)。

2.1.4? 數(shù)據(jù)分析和識(shí)別模塊

蜜罐采集到所有數(shù)據(jù)之后，可以及時(shí)對(duì)這些數(shù)據(jù)進(jìn)行分析和識(shí)別，此時(shí)就可以采用深度學(xué)習(xí)技術(shù)，發(fā)現(xiàn)黑客攻擊行為特征，識(shí)別潛在的風(fēng)險(xiǎn)和危害，及時(shí)啟動(dòng)殺毒軟件清除攻擊數(shù)據(jù)。

全方位縱深防御架構(gòu)如圖1所示。

2.2? 全方位縱深防御架構(gòu)部署及應(yīng)用

醫(yī)院網(wǎng)絡(luò)安全防御也可以采用主動(dòng)模式，蜜罐技術(shù)就是這樣，其可以為攻擊者提供一個(gè)誘餌或陷阱，引誘攻擊者來(lái)攻擊，同時(shí)記錄攻擊行為，以便在分析后獲取信息系統(tǒng)的漏洞，掌握攻擊者的所有意圖，及時(shí)地對(duì)真實(shí)服務(wù)器進(jìn)行防御部署。蜜罐就是醫(yī)院網(wǎng)絡(luò)安全管理人員精心設(shè)計(jì)的黑匣子，看似漏洞百出卻盡在掌握之中，目的就是采集攻擊者的入侵?jǐn)?shù)據(jù)，在分析和獲取有價(jià)值的數(shù)據(jù)后進(jìn)行解讀，獲取下一步的攻擊防御意圖。蜜罐技術(shù)應(yīng)用配置截圖如圖2所示。

全方位防御網(wǎng)絡(luò)部署應(yīng)用流程包括以下幾個(gè)方面，首先導(dǎo)入虛擬光盤(pán)，選擇蜜罐部署HoneyWall的鏡像文件，啟動(dòng)鏡像安裝界面及流程，系統(tǒng)會(huì)自動(dòng)拷貝文件進(jìn)行安全，輸入默認(rèn)賬戶roo，密碼honey，進(jìn)入配置界面運(yùn)行系統(tǒng)，選擇“Interview”進(jìn)行交互式的配置，例如配置蜜罐IP地址，配置網(wǎng)關(guān)的IP地址為192.168.1.3，如圖3所示。

蜜罐的Sebek服務(wù)器端地址與端口選擇默認(rèn)選項(xiàng)，配置完畢的登錄運(yùn)行截圖如圖4所示。

另外，醫(yī)院網(wǎng)絡(luò)安全防御還引入了深度學(xué)習(xí)和深度包過(guò)濾技術(shù)。深度學(xué)習(xí)是一種多層次的卷積神經(jīng)網(wǎng)絡(luò)，與傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)不同，其擁有兩個(gè)以上層次，比如卷積層、池化層和全連接層，增加了神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和學(xué)習(xí)深度，這樣就可以更好地調(diào)整輸入輸出參數(shù)。深度學(xué)習(xí)是一種人工智能算法，因此可以將其應(yīng)用于醫(yī)院網(wǎng)絡(luò)安全防御過(guò)程中，從而提高網(wǎng)絡(luò)安全防御性能，旨在解決當(dāng)前網(wǎng)絡(luò)安全防御被動(dòng)的問(wèn)題，也可以積極、持續(xù)地改進(jìn)網(wǎng)絡(luò)安全防御性能。目前，醫(yī)院網(wǎng)絡(luò)承載的應(yīng)用軟件和用戶越來(lái)越多，傳統(tǒng)的防火墻和殺毒軟件已經(jīng)無(wú)法滿足安全防御需求，因此網(wǎng)絡(luò)安全專(zhuān)家提出構(gòu)建一個(gè)深度包過(guò)濾工具，其可以結(jié)合硬件數(shù)據(jù)包采集技術(shù)，利用軟件進(jìn)行分析和挖掘，以便能夠分析每一個(gè)數(shù)據(jù)包中是否存在病毒或木馬基因。深度包過(guò)濾可以檢查包頭、包內(nèi)容等每一個(gè)部分?jǐn)?shù)據(jù)，分析每一個(gè)協(xié)議字段的內(nèi)容，提高醫(yī)院網(wǎng)絡(luò)安全防御性能。

3? 結(jié)? 論

醫(yī)院網(wǎng)絡(luò)安全防御需要結(jié)合實(shí)際情況，構(gòu)建一個(gè)可擴(kuò)展的、動(dòng)態(tài)化的防御體系，不斷鞏固和引入先進(jìn)防御技術(shù)，本文從全方位縱深防御架構(gòu)設(shè)計(jì)和部署進(jìn)行了研究分析，以便參考，從而實(shí)現(xiàn)與時(shí)俱進(jìn)，進(jìn)一步改進(jìn)醫(yī)院網(wǎng)絡(luò)安全防御能力。

參考文獻(xiàn)：

[1] 朱斐，吳文，伏玉琛，等.基于雙深度網(wǎng)絡(luò)的安全深度強(qiáng)化學(xué)習(xí)方法 [J].計(jì)算機(jī)學(xué)報(bào)，2019，42（8）：1812-1826.

[2] 趙勝勇.云計(jì)算技術(shù)下的網(wǎng)絡(luò)安全防御技術(shù) [J].電子技術(shù)與軟件工程，2018（2）：203-203.

[3] 劉雷，董超.大數(shù)據(jù)時(shí)代背景下計(jì)算機(jī)網(wǎng)絡(luò)安全防范應(yīng)用與運(yùn)行 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（6）：51-53.

[4] 羅冬梅.基于大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全防范對(duì)策探析 [J].數(shù)字技術(shù)與應(yīng)用，2019（4）：202-202.

作者簡(jiǎn)介：曾運(yùn)強(qiáng)（1982.06-），男，漢族，廣東興寧人，高級(jí)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師，本科，研究方向：網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)安全設(shè)計(jì)。