基于醫院網絡環境下信息安全的研究

蔣覲陽 范紅喜

[摘要]針對醫院的信息管理工作,對比各類安全認證機制,有針對的性的選擇和研究安全管理平臺中的身份認證機制以及平臺搭建和認證的傳遞方式。

[關鍵詞]信息安全身份認證認證傳遞管理平臺

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210120-01

一、信息安全探討

信息系統安全的解決是一個綜合性問題,涉及到諸多因素,包括技術、產品和管理等。我國的信息安全產品和技術已經從加密、防病毒、防火墻、防電磁輻射,過渡到包括平臺系統、電子身份認證、漏洞掃描、入侵檢測、識別鑒別、實體安全保護等十大系列的防護體系,信息安全產業從單純的產品和技術開發過度到產品和技術開發、安全系統集成與信息安全服務。對于醫院的特殊環境下的信息安全要求,應該創建相適應的安全管理平臺。

在安全管理平臺中有一種重要機制就是身份認證。在安全管理平臺機制下,安全管理平臺的身份驗證以Kerberos VS(與密碼或智能卡一起使用的用于交互式登錄的協議)它也是適用于服務的默認的網絡身份驗證方法。以驗證協議為基礎,將個人私鑰存放在智能IC卡上,通過IC卡的卡PIN實現智能IC卡對醫務人員的認證以及對IC卡內私鑰的訪問[1]。在卡內實現ECC加/解密以保證私鑰存儲的安全性,通過DCE(分布計算環境)登錄機制在DCE客戶機和多協議服務器之間實現的。

二、認證的安全管理平臺

當醫務人員登錄到DCE后,就取得了相應的唯一身份標識符以及由DEC安全服務所分配的特權屬性標識。

圖1安全管理平臺的身份認證流程

安全管理平臺的安全服務器按醫院信息安全邊界劃分安全域,要管理的醫務人員、角色和資源加入到安全域中,同時維護著一個數據庫,該數據庫包含有系統中每個醫務人員的賬戶信息,包括醫務人員的登錄帳號、公鑰證書以及角色信息。所有安全代理服務器在安全數據庫中也有帳號。當一個醫務人員登錄到安全管理平臺并且請求訪服務器時,安全服務器根據醫務人員的公鑰進行認證,使用服務器對驗證信息進行加密。這個驗證信息包含下次與服務器進行會話的新的加密密鑰。密鑰還具有階段性,階段性密鑰只在一段很短的時間內有效。驗證信息中同時也包含基于服務器的密碼產生的階段性加密密鑰,醫務人員使用這個驗證信息來向服務器證實自己的身份。

為了訪問安全域中所有服務器,醫務人員必須在安全服務中進行登記。一旦醫務人員進行了登記,安全服務器可以為醫務人員向整個醫院系統中的任何服務器提供身份驗證服務。醫務人員只需要登記一次就可以安全地訪問網絡中所有安全信息。這種登錄的過程提供了在醫務人員和服務器之間相互身份證服務,雙方都能確認對方的身份。

安全本地代理服務器是用來進行身份認證和建立安全通信通道。安全本地代理服務器對應用的客戶端軟件不作任何改變,采用陷阱方式,由安全本地代理服務器設置IP陷阱、截取IP數據包,由安全本地代理服務器進行處理,當醫務人員請求訪問被安全域保護的服務或資源時,安全本地代理服務器將其截獲,使用安全通道送往安全域中的安全服務器進行認證、授權處理。

三、認證身份的傳遞

對被安全管理平臺認證了的醫務人員身份,當與安全代理服務器進行通訊時,安全代理服務器從安全服務器獲得醫務人員ID,傳遞給后臺的應用服務器。

通過認證身份的傳遞,安全管理平臺為應用程序提供了身份認證服務,是安全管理平臺作為安全平臺的重要特性之一。

圖2認證身份的傳遞

安全代理服務器用于收集并處理安全域內所有的安全設備產生的信息。安全代理服務器依據安全策略服務器中其管理的安全域相匹配的安全策略對收集到的安全報告進行篩選,把不符合或者不感興趣的警報都刪除掉。但是,并不阻止安全設備產生那些不符合或不感興趣的報告。最后,安全代理服務器將整理好的安全警報集上傳給中心服務器。

為了使信息安全設備產生的安全信息得到動態、有效地控制,安全代理服務器具有以下特征:

1.每一個安全代理服務器都明確知道自己的任務,而且能夠執行它。

2.當安全代理服務器對自己的功能有疑問或沒有足夠的信息處理問題時,它可以向中心分析器匯報。

3.安全代理服務器產生的安全警報集用固定的形式語言描述。

目前將人工智能應用于入侵防御領域大大提高入侵防御系統的性能。引入計算機免疫技術,通過正常行為的學習來識別不符合常態的行為,使系統能夠自動學習新的入侵活動,提高檢全率和檢準率;研究更好的神經網絡架構,克服目前基于神經網絡的異常檢測技術的缺陷。應用遺傳算法來識別正常行為與異常行為,提高系統分析能力。

參考文獻:

[1]Krajewski,M.,Concept for a Smart Card Kerberos,Proc.15th Nafl Computer Security Conf.,B altimore,Oct.1992,76-83.

[2]文鐵華、古士文,信息系統安全的若干關鍵問題研究[J].中南大學:控制理論與控制工程(專業)博士論文,2003.

作者簡介:

蔣覲陽,女,漢族,就職于蘭州軍區蘭州總醫院;范紅喜,男,漢族,就職于蘭州軍區蘭州總醫院。