医院网络安全的主动防御技术设计

摘要：网络安全在现阶段医院信息系统建设和运维的过程中尤为关键，保护系统安全和医患数据安全是医院信息系统平稳运行的前提条件。本文通过对现阶段主流的网络安全技术进行介绍，对传统的医院信息系统网络安全的防护手段进行改进和优化，提出全新的医院网络安全主动防御技术体系，全方位智能化提升医院信息系统的安全防护程度。

关键词：网络安全；医院信息系统；主动防御

1引言

信息技术的快速发展，有力促进了医院信息化的发展和普及，基于内外网的数据共享和业务集成，已应用在了门诊、住院、收费、影像、检验、药房等各个医疗领域，并取得了显著的使用效果，极大的便利了临床医生和就诊患者。但是，在医疗信息化快速发展的同时，也面临着海量的互联网安全攻击，基于DDoS、漏洞扫描、蠕虫植入等一系列攻击侵袭医院网络，会导致大面积服务器宕机，网络拥塞，医生和患者无法正常使用业务系统[1-2]。目前，医院网络传统的安全手段多是基于单一的被动式防御，比如单纯的防火墙策略或杀毒软件部署等，但是由于这些技术较为单一，防护场景太少，而且多属于被动式防御，一旦病毒或木马爆发，即使防御得再完备也可能产生一些不必要的损失，因此本文提出引入主动安全防御技术，构建一个多种网络安全技术联动的主动入侵防御体系，该防御体系能够显著提高医院网络安全的防护能力，对保障系统安全具有重要的作用和意义。

2系统架构

2.1下一代防火墙

防火墙技术是一种静态安全技术，主要是通过安全策略过滤IP五元组对网络的访问行为实施有效管理，而策略之外的网络访问行为则无法控制。安全策略是防火墙的基本安全控制机制，其规则方式主要由匹配条件与处理方式两个部分共同构成。匹配条件主要是以逻辑表达式的形式呈现，当网络流量经过防火墙时，若匹配条件的逻辑表达式为真，则说明该流量与当前规则匹配成功[3]。下一代防火墙是在传统防火墙技术的基础上，为了应对更加复杂的网络环境而设计，不仅具有传统防火墙的数据包过滤、原地址转换、协议分析等功能，而且具备了IDS和IPS和VPN的部分功能，可以通过策略和特征库有效进行主动防御，并在复杂的网络环境中对网络进行细粒度探测，可有效防范DDoS等网络攻击。

2.2堡垒机

堡垒机是为了保障网络信息安全，防止来自内部和外部运维人员的非正当操作行为的一类设备，在特定网络中，通过运用操作审计、身份识别、单点登录、协议、资源授权等手段，对该网络内多种设备包括服务器、存储、交换机、防火墙等安全设备的运维过程进行实时记录和分析，只允许授权用户进行单向运维，实现审计定责和集中管控[4]。从功能上来讲，其综合了账户管理、分权管理、安全审计和系统运维几大功能，将运维审计由事件审计提升为内容审计，对运维操作随时可回放溯源，形成了运维终端与运维资源逻辑隔离，做到事前防范、事中监管、事后审查，将用户的操作风险大幅度降低，避免人为引起的各类网络安全事件。

2.3安全准入系统

上网行为管理系统是为了防止网络攻击通过终端设备散播到业务网段，通过集中的规则设置来管控终端用户，避免安全风险的一类设备系统。系统通过集中的策略规则配置、权限设置、身份认证识别来限制有限用户登录系统，可借助CA签名、指纹识别、人脸识别等方式，实现特定人群访问业务网络。同时也可以对终端用户限定使用权限，对使用的应用程序进行封堵过滤过滤，有效避免通过非法访问终端导致的病毒传播。

2.4日志审计

日志是系统运行和网络访问时产生的重要事件记录，内部记载着可能的潜在安全风险操作描述，日志监测和分析对发现安全隐患和威胁发挥着重要的作用。在日常的网络安全管理的过程中，安全管理人员通过人为日志分析可检测系统运行是否正常，及时发现网络中的可疑行为。但随着医院的各类系统、网络设备、安全设备、以及业务应用系统的数量不断增加，系统产生的日志数量越来越大，每日产生的日志量条目可能数以百万计，而且，网络设备、安全设备和应用系统产生的日志格式也不太统一，类型繁多复杂，同时还分散存储在各自的系统中[7-8]。这就使得日志的检索、读取和管理非常不便，也无法实时监控分析，做不到及时预警和发现。使用集中的日志审计系统能够有效解决这一问题，通过在核心网络的集中部署，镜像监测分析各系统流量，可以在最短时间内对系统可疑行为做出判断和预警并推送给网络安全管理人员，便于使用单位对安全事件做到事中事后及时管控。

2.5WAF防火墙

传统的防火墙一般是针对传输层以下来进行IP地址和端口相关防护，通过分组过滤的形式来实现对网络数据包的管控。当恶意攻击者在应用层针对Web服务发动应用层攻击，如注入、溢出、身份攻击、数据泄露、跨站脚本、不安全的反序列化等恶意手段时，传统分组过滤防火墙无法检测到应用层的异常流量来及时做出响应，无法提供Web应用系统防护。Web应用防火墙（WebApplicationFirewall，以下简称WAF）可以探测到HTTP协议的请求，解析HTTP数据包的各类元素，拦截或拒绝存在威胁的请求，从而实现对Web应用层的安全防护工作。WAF可部署在外网区域或DMZ区域，一般架设在Web应用服务器的前端，它通过截获得到来自客户端的HTTP请求，解析请求得到特定的解析实体进行分类，然后放入规则库来检测和匹配请求的安全性与合法性，通过建立一个可靠的请求准入机制实现对各类网站站点的有效防护。同时，WAF的规则设置将依据新增加的应用程序或新的软件模块进行相应的更新和变化。

2.6态势感知

态势感知是比较新的网络安全防御技术，许多医院信息化发展时间较长，接入网络的软硬件资源设备非常多，信息系统和网络结构也比较复杂，态势感知可以通过自身的人工智能分析引擎结合一定的特征和规则库，实时采集网络数据包，动态分析医院网络面临的风险，从全局出发、分析和处置医院网络面临的潜在威胁并做出提示，保障医院网络安全运行。网络安全态势感知包括四个关键功能，分别是网络数据包的抓取、数据包的检测和分析、潜在安全威胁比对和威胁处置。该技术通过镜像流量实时同步获取医院核心网络中的数据包，使用内置规则和大数据深度学习、神经网络等技术检测和分析未知安全行为，同时对威胁影响的范围、造成的损失、攻击的路径及时做出评估，智能的反馈给网络安全管理员，从而提高了医院网络安全防护能力[5]。

2.7上网行为管理系统

上网行为管理系统主要用来对内部人员的上网行为进行管理和控制，对特定用户的信息进行审计，防止终端用户将病毒和恶意软件通过不良网站带入业务网络，或将不良信息散发到互联网上造成恶劣影响。同时该系统可以阻断不必要的网络应用，对用户的网络访问行为进行监控，并保留上网行为的日志，可提供给日志审计系统进行分析。同时还可以对网游、股票、P2P应用（例如BT、电驴、迅雷等占有带宽大的下载软件）和即时通讯进行封堵，禁止使用服务器上网[6]。上网行为管理系统可以促使单位职工合理利用网络资源，创造一个绿色安全的上网环境。

2.8数据库审计

数据库审计系统主要是为了保障医院数据安全，便于事后防御和追责的针对核心数据库进行防护的安全系统。该系统主要通过镜像复制的方式，对数据库服务器通过网络监测，抓包解析、分析数据库访问协议，从而实时、智能地还原、记录用户对数据库服务的各种操作，同时将数据抽取归并、关联分析以实现对用户操作的监控和审计。该系统还可以根据设置的审计规则，智能地判断出违规操作数据库的行为，并对违规行为进行记录、报警，实现对数据库的在线监控和保护，为医院数据安全的安全运行提供有力保障。

3系统实现

3.1技术架构

如图1所示，本次研究的主动防御网络安全体系架构由事前预知、事中防御、事后响应三部分组成，事前预知主要包括态势感知模块、下一代防火墙的IPS模块、上网行为管理系统，其中态势感知模块在未知攻击或潜在危险发现时可及时提出预警，联动IPS系统启动主动防御模块做出防范，上网行为管理则在平时的使用过程中进行事前管控限制，避免网络安全事件发生。若安全攻击进入事中防御程序，下一代防护墙启动规则库和防御模块过滤并防范诸如DDoS等网络攻击，WAF防火墙在WEB层面做漏洞规则库防范，防病毒系统进行实时扫描防范，全域杀毒。事后响应则是启动日志审计、数据库审计、堡垒机进行日志、数据库和运维的三位一体审计，全方位跟踪筛查可能已经发生或潜伏的恶意代码程序，配合态势感知程序和防病毒模块进行跟踪查杀。该技术架构集成了较多的安全产品，可事前、事中、事后联动管理配合，进行主动防御，保障医院全网系统安全可靠。图1网络安全主动防御体系

3.2拓扑实现

基于网络安全主动防御的技术实现，需对医院数据中心进行详细的规划，合理安排的安全设备互联、重新规划IP路由并对安全策略进行配置。

3.2.1设备互联规划

根据整体技术架构的安排，需对要安全设备的互联架构做出规划，根据等保2.0的要求，首先按照医院的业务场景，分别对医疗内网系统、互联网服务、银医服务、医保合疗等业务进行分区，如图2所示，具体可分为核心交换区、安全管理区、楼层接入区、应用服务器区、DMZ区、互联网接入区、外联区和前置服务器区。然后在明确区域的前提下对各区域边界部署下一代防火墙来做边界防护，同时在内外网之间部署网闸隔离。最后在重要出口处部署态势感知等主动安全设备来进行全网探测和防护。

3.2.2IP路由规划

整体IP规划按照三层网络模型来进行，在区域边界配置汇聚交换机写入网关，由汇聚层负责各区域的包转发，提高转发效率同时便于策略配置。核心区、服务器区、安全管理区、用户接入区之间采用OSPF协议实现。各个功能区的路由通过直连路由方式连接至核心交换机，将静态路由引入路由表。

3.2.3安全策略规划

各区域的主动安全防护通过下一代防火墙实现，均为2层透明部署方式。为了方便后期策略维护和策略管理，策略采用分组方式规划：1、内网用户至服务器区策略组，2、DMZ至服务器区策略组，3、外联用户至服务器区策略组、4、安全管理区至服务器区策略组，5，服务器区至DMZ区策略组，6、服务器区至外联区策略组。每条策略在策略组下根据业务需要添加，网络访问严格执行各组策略，恶意攻击无法通过，实现主动防御。下一代防火墙均深度集成IPS模块，功能区防火墙实施均启用IPS功能实现对功能区的安全防护。所有网络设备维护均采用ssh方式进行维护，在终端登录时候限制登录源地址。所有设备的登录必须通过堡垒机，保证网络安全，保障维护的可追溯性。原则上通过互联网对外提供的服务，必须部署在DMZ区域，例如互联网医疗等业务。DMZ区域到内网之间数据传递采用网闸普通方式（不采用透明传输）实现。态势感知设备部署在互联网区域的核心设备上，启用主动安全防护策略，可全天24小时监控来自互联网的未知攻击并做出提示。

4应用效果

榆林市第一医院在2022年按照文章所述思路设计和构建了基于主动防御技术的医院网络安全防御体系，对未知攻击和恶意病毒实现了精准预防与查杀，保障了医院的信息网络安全，取得了良好的效果。但网络安全的挑战是多方的，该防御体系的在应对复杂多变的恶意攻击的同时仍然需要及时调整和增加策略，然后通过本系统中各部分的联动响应和主动防御及时处置绝大部分威胁攻击，防止恶意程序快速扩散。

5结束语

本文讨论的医院网络安全主动防御技术采用多种安全设备和软件融合为医院业务提供全流程的安全防护，包括事前预警，事中防御，事后追溯和快速响应，将全过程中所有相关信息通过多种方式展现给医院网络安全管理人员。系统为医院内部网络提供全程保护、可视及自动联动处置。通过设备间的联动自动处置威胁，结合人工处理，极大提高响应威胁的时效性和精准度。本防御体系能满足等保2.0对通信网络、区域边界、计算环境以及管理中心安全等方面的要求，标志着医院网络安全主动式防御体系已经建成。此外由于网络威胁攻击时刻存在，提升全院人员网络安全意识，加强网络安全运维人员的培训管理也都非常重要。

参考文献：

[1]吕晓娟.医院信息化建设管理的现实问题与相关探讨[J].中国数字医学，2017．.

[2]韩向非，郭幽燕，王建勋，等.基于信息技术基础架构库的医院IT服务实践探索[J].中国数字医学，2017.

[3]郭德超，邱鸿钟，梁瑞琼.防火墙与入侵检测系统在医院网络安全中的应用[J].中国数字医学，2019.

[4]彭桂芬，者明伟，等.基于医科类院校堡垒机的建设及应用展望初探[J]．现代信息科技，2019.

[5]魏帅岭，闫国涛，等.等级保护2.0下医院网络安全体系的建设与探索[J]．中国数字医学，2021.

[6]陈晨，包曾．医院网络安全管理体系的建设方法分析[J]．网络安全技术与应用，2020.

[7]吕荣峰，杨梦宁，余虹．智能日志审计与预警系统功能设计与实现[J]．数字技术与应用，2016.

[8]郝漩.基于ApacheFlume的分布式日志收集系统设计与实现[J].软件导刊，2014.

作者：刘昆 刘强 马文 单位：榆林市第一医院 榆林市卫生计生信息中心