基于主動防御的醫院網絡安全系統研究與開發

◆尤 偉

?

基于主動防御的醫院網絡安全系統研究與開發

◆尤 偉

(鹽城市第一人民醫院 江蘇 224006)

隨著互聯網、大數據、云計算等技術的快速發展，網絡已經在多個領域得到廣泛普及和使用，比如電子政務、交通物流、倉儲保管、工業生產等，提高了社會信息化、智能化水平?；ヂ摼W在醫用應用的也非常廣泛，許多醫院都基于信息化系統構建了網絡通信中心，利用先進的網絡實現信息存儲、數據共享?；ヂ摼W為醫院提供便捷的同時也面臨著海量安全威脅，病毒、木馬等持續攻擊醫院網絡，造成網絡通信終端，甚至破壞醫院數據庫保存的信息，影響醫院的正常診療、管理工作。因此，為了提高醫院網絡安全性，本文結合筆者多年的工作實踐，詳細地描述了醫院網絡面臨的安全威脅，同時提出了一個主動防御系統，從安全管理制度、防御技術、數據保護等幾個方面進行有效集成，實現信息加工和處理，進一步改進網絡防御能力，確保醫院網絡能夠正常運行。

主動防御；網絡安全；數據備份；深度包過濾

0 引言

互聯網的快速發展促進了人類社會的信息化，我國政府為了實現“大眾創新、萬眾創業”的宏偉目標，開創性地提出了“互聯網+”金融、醫療、政務、交通等理念。醫院作為互聯網應用的一個重要領域，已經引入和開發了許多的信息化系統，這些系統覆蓋了掛號、診斷、治療、住院、出院、財務、后勤等全院各個部門，提高了醫院診斷治療、藥物利用、住院出院管理的信息化水平，具有重要的作用和意義[1]?；ヂ摼W在為醫院提供便捷化、無紙化、信息化服務時，也面臨著許多的安全威脅，比如病毒、木馬、網絡攻擊等，并且隨著軟件開發技術的提高，這些安全威脅潛伏周期更長，威脅范圍更大，攻擊渠道也更加多樣，傳統的防火墻、殺毒軟件等單一防御模式已經不再適用，亟需引入更加先進的防御思想和理念，從而提高醫院網絡的安全防御能力，具有重要的作用和意義[2]。

1 互聯網面臨的安全威脅分析

目前，醫院網絡承載的軟件很多，接入的數據量也越來越大，面臨的安全威脅也更多，比如在2017年4月中旬，一些不法分子利用NSA泄露的永恒之藍傳播病毒，向網絡用戶勒索比特幣，如果用戶不支付贖金，更改和破壞網絡服務器，導致用戶無法正常登陸系統，產生了嚴重的損失。醫院互聯網安全管理人員調研統計分析，網絡安全攻擊威脅呈現出了許多新的特定，比如攻擊渠道更加多樣化、威脅范圍擴大化、潛藏長期化等。

1.1 攻擊渠道多樣化

醫院互聯網接入的通道越來越多，不僅包括光纖電纜，還包括WiFi、TD-LTE等無線資源；接入的設備包括路由器、服務器、交換機、智能手機、傳感器等，這些設備的系統架構和開發技術都很多，集成在一起時非常容易產生各類型漏洞，為病毒、木馬提供了較大的攻擊渠道[3]。

1.2 威脅范圍擴大化

醫院互聯網承載了各種類型的醫療信息系統應用軟件，比如門診掛號收費系統、遠程診斷系統、網絡通信服務系統、移動醫療設備平臺、區域健康檔案平臺、醫保、農合網絡，醫院醫療信息上報平臺等，為醫師、患者、護士等提供了信息化服務，為醫療行政管理提供了信息化支持。醫院互聯網承載的軟硬件資源一旦受到病毒和木馬攻擊，就會在網絡迅速的擴散，從局部感染向全面感染暴發，將會給醫院的各個軟硬件系統帶來極大的損失[4]。

1.3 攻擊隱藏長期化

目前，互聯網的病毒和木馬開發技術得到了極大的改進，許多的攻擊威脅潛藏的更加隱蔽，不再以可執行文件的形式傳播，而是采取迂回策略，將自身嵌入到了文本、圖片、視頻、音頻等數據文件中，隱藏的時間也非常長，不利于殺毒軟件的掃描和發現，無法及時地清除病毒。

2 基于主動防御的網絡安全系統開發

互聯網安全防御模式引入主動防御理念，利用主動防御可以從網絡接入的第一道關口進行防御，同時構建一個強大的網絡操作管理制度，加強醫院網絡應用人員的培訓力度，提高醫院網絡安全管理意識。從管理制度、防御技術等多個角度出發，全面提升網絡安全防御能力。具體的，基于主動防御的網絡安全系統主要功能包括以下幾個方面：

2.1 網絡安全規章制度管理

醫院網絡使用對象不僅包括專業的管理員，同時還包括醫師、護士、行政工作人員等，甚至還包括一些患者等人，這些人員多不具備專業的計算機網絡知識。因此，醫院網絡在為人們提供信息化服務時，還需要結合醫院的實際情況，建立一個嚴格的網絡安全防御規章制度，比如禁止網絡使用人員瀏覽不健康的網站，從制度層面保障網絡安全。目前，醫院根據互聯網協會的要求，按照國家發布的互聯網信息系統安全標準制定了檢查使用制度，能夠規范醫院網絡操作的流程，提高網絡管理可靠工作制度。

2.2 深度包過濾

深度包過濾是主動防御的一個重要體現。深度包過濾部署于開放系統互聯參考模型中的應用層，利用深度包檢測可以實時地發現、識別病毒代碼。傳統的入侵檢測技術無法僅僅能夠查看包頭，無法穿透數據包，不能夠查看每一個協議字段內容，因此很多的安全威脅隱藏在數據包內部，并且呈現出不連貫的狀態，普通檢測結果顯示為正常數據。因此，建立一個深度包過濾功能，可以利用先進的穿透式技術，引入大數據挖掘技術分析數據包，針對包頭、包內的數據進行比對、分析和判斷，利用現有的病毒庫特征實現數據包對比分析，深入地分析移動通信、有線通信數據的每一個發送端口、IP源地址、IP目的地址，分析互聯網數據包協議類型，及時發現TCP協議及數據內容，實現信息穿透式檢測，完成互聯網信息過濾，保證深度包過濾的準確度。

2.3 多層次病毒木馬查殺

目前，醫院信息網絡承載的軟硬件非常多，比如數據庫服務器、Web服務器、網絡服務器等，軟件包括遠程診斷系統、醫學影像系統、門診掛號系統等，為了保證這些信息的安全，本文提出構建一個多層次的病毒木馬查殺系統，將360安全衛士、卡巴斯基、瑞星殺毒等集成在一起，實現病毒、木馬查殺功能。另外，如果一旦發現醫院軟件系統或硬件服務器感染病毒，就可以及時的將這些病毒感染區隔離起來，阻止病毒向其他區域傳播。因此，主動防御網絡安全管理系統還要設置一個分層次的殺毒策略，根據病毒的感染能力構建多層殺毒體系，自動化的啟動核心層次防范策略、深度防范策略等，更好地殺滅網絡中的病毒和木馬。

2.4 數據備份恢復

醫院信息網絡運行時，難免由于系統補丁更新不及時、集成設備不兼容等問題，讓木馬和病毒侵入到醫院網絡，破壞系統服務器和數據資源。因此，為了提高信息系統的安全性，主動防御系統還要構建一個備份恢復功能。數據備份可以將當前正常的信息系統、數據文件在線日志鏡像的模式備份到異地容災設備中，也可以把各信息數據庫備份離線存儲到異地備份服務器保存，如果醫院網絡系統遭受到破壞之后，就可以將這些備份恢復到信息系統中，保證醫院各信息系統處于一個正?？捎脿顟B。目前，常用的備份策略包括完全備份、增量備份、離線備份、在線備份?；ヂ摼W數據備份的策略可以單獨使用，也可以聯合使用，比如可以根據醫院網絡的運行情況，實現在線增量備份，保證備份與當前的系統保持統一狀態。系統恢復也可以選擇不同的備份時間節點，這些備份恢復之后就會進入到不同的狀態，盡可能的與當前運行狀態保持相近，以便保持系統操作的正常性和完整性。

3 結束語

隨著互聯網的發展和改進，醫院將會集成物聯網、云HIS、移動醫療、醫療大數據等資源，實現醫療設備、人員、患者之間的信息集成，網絡安全防御作為信息化建設的一個關鍵組成，也會引入更多的人工智能技術，實時監控網絡運行狀態，發現網絡中存在的威脅，進一步提高網絡防御能力。

[1]王繼業，劉道偉，馬世英等.信息驅動的全球能源互聯網全景安全防御系統[J].電力信息與通信技術，2016.

[2]張曉曉，龐婷.論動態變換下的網絡安全防御系統和網絡安全防御方法[J].網絡安全技術與應用，2017.

[3]姚澤慧.新形勢下加強網絡安全防護系統建設芻議[J].信息通信，2015.

[4]朱凌峰.網絡信息安全防護體系及其在醫院網絡系統中的應用[J].信息通信，2016.