医院网络安全的主动防御技术设计

医院网络安全的主动防御技术设计摘要：网络平安在现阶段医院信息系统建设和运维的过程中尤为关键，爱护系统平安和医患数据平安是医院信息系统平稳运行的前提条件。本文通过对现阶段主流的网络平安技术进行介绍，对传统的医院信息系统网络平安的防护手段进行改进和优化，提出全新的医院网络平安主动防备技术体系，全方位智能化提升医院信息系统的平安防护程度。

关键词：网络平安；医院信息系统；主动防备

1引言

信息技术的快速进展，有力促进了医院信息化的进展和普及，基于内外网的数据共享和业务集成，已应用在了门诊、住院、收费、影像、检验、药房等各个医疗领域，并取得了显著的使用效果，极大的便利了临床医生和就诊患者。但是，在医疗信息化快速进展的同时，也面临着海量的互联网平安攻击，基于DDoS、漏洞扫描、蠕虫植入等一系列攻击侵袭医院网络，会导致大面积服务器宕机，网络拥塞，医生和患者无法正常使用业务系统[1-2]。目前，医院网络传统的平安手段多是基于单一的被动式防备，比如单纯的防火墙策略或杀毒软件部署等，但是由于这些技术较为单一，防护场景太少，而且多属于被动式防备，一旦病毒或木马爆发，即使防备得再完备也可能产生一些不必要的损失，因此本文提出引入主动平安防备技术，构建一个多种网络平安技术联动的主动入侵防备体系，该防备体系能够显著提高医院网络平安的防护力量，对保障系统平安具有重要的作用和意义。

2系统架构

2.1下一代防火墙

防火墙技术是一种静态平安技术，主要是通过平安策略过滤IP五元组对网络的访问行为实施有效管理，而策略之外的网络访问行为则无法掌握。平安策略是防火墙的基本平安掌握机制，其规章方式主要由匹配条件与处理方式两个部分共同构成。匹配条件主要是以规律表达式的形式呈现，当网络流量经过防火墙时，若匹配条件的规律表达式为真，则说明该流量与当前规章匹配胜利[3]。下一代防火墙是在传统防火墙技术的基础上，为了应对更加简单的网络环境而设计，不仅具有传统防火墙的数据包过滤、原地址转换、协议分析等功能，而且具备了IDS和IPS和VPN的部分功能，可以通过策略和特征库有效进行主动防备，并在简单的网络环境中对网络进行细粒度探测，可有效防范DDoS等网络攻击。

2.2堡垒机

堡垒机是为了保障网络信息平安，防止来自内部和外部运维人员的非正值操作行为的一类设备，在特定网络中，通过运用操作审计、身份识别、单点登录、协议代理、资源授权等手段，对该网络内多种设备包括服务器、存储、交换机、防火墙等平安设备的运维过程进行实时记录和分析，只允许授权用户进行单向运维，实现审计定责和集中管控[4]。从功能上来讲，其综合了账户管理、分权管理、平安审计和系统运维几大功能，将运维审计由大事审计提升为内容审计，对运维操作随时可回放溯源，形成了运维终端与运维资源规律隔离，做到事前防范、事中监管、事后审查，将用户的操作风险大幅度降低，避开人为引起的各类网络平安大事。

2.3平安准入系统

上网行为管理系统是为了防止网络攻击通过终端设备散播到业务网段，通过集中的规章设置来管控终端用户，避开平安风险的一类设备系统。系统通过集中的策略规章配置、权限设置、身份认证识别来限制有限用户登录系统，可借助CA签名、指纹识别、人脸识别等方式，实现特定人群访问业务网络。同时也可以对终端用户限定使用权限，对使用的应用程序进行封堵过滤过滤，有效避开通过非法访问终端导致的病毒传播。

2.4日志审计

日志是系统运行和网络访问时产生的重要大事记录，内部记载着可能的潜在平安风险操作描述，日志监测和分析对发觉平安隐患和威逼发挥着重要的作用。在日常的网络平安管理的过程中，平安管理人员通过人为日志分析可检测系统运行是否正常，准时发觉网络中的可疑行为。但随着医院的各类系统、网络设备、平安设备、以及业务应用系统的数量不断增加，系统产生的日志数量越来越大，每日产生的日志量条目可能数以百万计，而且，网络设备、平安设备和应用系统产生的日志格式也不太统一，类型繁多简单，同时还分散存储在各自的系统中[7-8]。这就使得日志的检索、读取和管理特别不便，也无法实时监控分析，做不到准时预警和发觉。使用集中的日志审计系统能够有效解决这一问题，通过在核心网络的集中部署，镜像监测分析各系统流量，可以在最短时间内对系统可疑行为做出推断和预警并推送给网络平安管理人员，便于使用单位对平安大事做到事中事后准时管控。

2.5WAF防火墙

传统的防火墙一般是针对传输层以下来进行IP地址和端口相关防护，通过分组过滤的形式来实现对网络数据包的管控。当恶意攻击者在应用层针对Web服务发动应用层攻击，如注入、溢出、身份攻击、数据泄露、跨站脚本、担心全的反序列化等恶意手段时，传统分组过滤防火墙无法检测到应用层的特别流量来准时做出响应，无法供应Web应用系统防护。Web应用防火墙（WebApplicationFirewall，以下简称WAF）可以探测到HTTP协议的恳求，解析HTTP数据包的各类元素，拦截或拒绝存在威逼的恳求，从而实现对Web应用层的平安防护工作。WAF可部署在外网区域或DMZ区域，一般架设在Web应用服务器的前端，它通过截获得到来自客户端的HTTP恳求，解析恳求得到特定的解析实体进行分类，然后放入规章库来检测和匹配恳求的平安性与合法性，通过建立一个牢靠的恳求准入机制实现对各类网站站点的有效防护。同时，WAF的规章设置将依据新增加的应用程序或新的软件模块进行相应的更新和变化。

2.6态势感知

态势感知是比较新的网络平安防备技术，很多医院信息化进展时间较长，接入网络的软硬件资源设备特别多，信息系统和网络结构也比较简单，态势感知可以通过自身的人工智能分析引擎结合肯定的特征和规章库，实时采集网络数据包，动态分析医院网络面临的风险，从全局动身、分析和处置医院网络面临的潜在威逼并做出提示，保障医院网络平安运行。网络平安态势感知包括四个关键功能，分别是网络数据包的抓取、数据包的检测和分析、潜在平安威逼比对和威逼处置。该技术通过镜像流量实时同步猎取医院核心网络中的数据包，使用内置规章和大数据深度学习、神经网络等技术检测和分析未知平安行为，同时对威逼影响的范围、造成的损失、攻击的路径准时做出评估，智能的反馈给网络平安管理员，从而提高了医院网络平安防护力量[5]。

2.7上网行为管理系统

上网行为管理系统主要用来对内部人员的上网行为进行管理和掌握，对特定用户发布的信息进行审计，防止终端用户将病毒和恶意软件通过不良网站带入业务网络，或将不良信息散发到互联网上造成恶劣影响。同时该系统可以阻断不必要的网络应用，对用户的网络访问行为进行监控，并保留上网行为的日志，可供应给日志审计系统进行分析。同时还可以对网游、股票、P2P应用（例如BT、电驴、迅雷等占有带宽大的下载软件）和即时通讯进行封堵，禁止使用代理服务器上网[6]。上网行为管理系统可以促使单位职工合理利用网络资源，制造一个绿色平安的上网环境。

2.8数据库审计

数据库审计系统主要是为了保障医院数据平安，便于事后防备和追责的针对核心数据库进行防护的平安系统。该系统主要通过镜像复制的方式，对数据库服务器通过网络监测，抓包解析、分析数据库访问协议，从而实时、智能地还原、记录用户对数据库服务的各种操作，同时将数据抽取归并、关联分析以实现对用户操作的监控和审计。该系统还可以依据设置的审计规章，智能地推断出违规操作数据库的行为，并对违规行为进行记录、报警，实现对数据库的在线监控和爱护，为医院数据平安的平安运行供应有力保障。

3系统实现

3.1技术架构

如图1所示，本次讨论的主动防备网络平安体系架构由事前预知、事中防备、事后响应三部分组成，事前预知主要包括态势感知模块、下一代防火墙的IPS模块、上网行为管理系统，其中态势感知模块在未知攻击或潜在危急发觉时可准时提出预警，联动IPS系统启动主动防备模块做出防范，上网行为管理则在平常的使用过程中进行事前管控限制，避开网络平安大事发生。若平安攻击进入事中防备程序，下一代防护墙启动规章库和防备模块过滤并防范诸如DDoS等网络攻击，WAF防火墙在WEB层面做漏洞规章库防范，防病毒系统进行实时扫描防范，全域杀毒。事后响应则是启动日志审计、数据库审计、堡垒机进行日志、数据库和运维的三位一体审计，全方位跟踪筛查可能已经发生或埋伏的恶意代码程序，协作态势感知程序和防病毒模块进行跟踪查杀。该技术架构集成了较多的平安产品，可事前、事中、事后联动管理协作，进行主动防备，保障医院全网系统平安牢靠。图1网络平安主动防备体系

3.2拓扑实现

基于网络平安主动防备的技术实现，需对医院数据中心进行具体的规划，合理支配的平安设备互联、重新规划IP路由并对平安策略进行配置。

3.2.1设备互联规划

依据整体技术架构的支配，需对要平安设备的互联架构做出规划，依据等保2.0的要求，首先根据医院的业务场景，分别对医疗内网系统、互联网服务、银医服务、医保合疗等业务进行分区，如图2所示，详细可分为核心交换区、平安管理区、楼层接入区、应用服务器区、DMZ区、互联网接入区、外联区和前置服务器区。然后在明确区域的前提下对各区域边界部署下一代防火墙来做边界防护，同时在内外网之间部署网闸隔离。最终在重要出口处部署态势感知等主动平安设备来进行全网探测和防护。

3.2.2IP路由规划

整体IP规划根据三层网络模型来进行，在区域边界配置汇聚交换机写入网关，由汇聚层负责各区域的包转发，提高转发效率同时便于策略配置。核心区、服务器区、平安管理区、用户接入区之间采纳OSPF协议实现。各个功能区的路由通过直连路由方式连接至核心交换机，将静态路由引入路由表。

3.2.3平安策略规划

各区域的主动平安防护通过下一代防火墙实现，均为2层透亮     部署方式。为了便利后期策略维护和策略管理，策略采纳分组方式规划：1、内网用户至服务器区策略组，2、DMZ至服务器区策略组，3、外联用户至服务器区策略组、4、平安管理区至服务器区策略组，5，服务器区至DMZ区策略组，6、服务器区至外联区策略组。每条策略在策略组下依据业务需要添加，网络访问严格执行各组策略，恶意攻击无法通过，实现主动防备。下一代防火墙均深度集成IPS模块，功能区防火墙实施均启用IPS功能实现对功能区的平安防护。全部网络设备维护均采纳ssh方式进行维护，在终端登录时候限制登录源地址。全部设备的登录必需通过堡垒机，保证网络平安，保障维护的可追溯性。原则上通过互联网对外供应的服务，必需部署在DMZ区域，例如互联网医疗等业务。DMZ区域到内网之间数据传递采纳网闸一般方式（不采纳透亮     传输）实现。态势感知设备部署在互联网区域的核心设备上，启用主动平安防护策略，可全天24小时监控来自互联网的未知攻击并做出提示。

4应用效果

榆林市第一医院在2022年根据文章所述思路设计和构建了基于主动防备技术的医院网络平安防备体系，对未知攻击和恶意病毒实现了精准预防与查杀，保障了医院的信息网络平安，取得了良好的效果。但网络平安的挑战是多方的，该防备体系的在应对简单多变的恶意攻击的同时仍旧需要准时调整和增加策略，然后通过本系统中各部分的联动响应和主动防备准时处置绝大部分威逼攻击，防止恶意程序快速集中。

5结束语

本文争论的医院网络平安主动防备技术采纳多种平安设备和软件融合为医