淺談入侵檢測系統在醫院信息化建設中安全應用

張建忠 毛亮

【 摘 要 】 醫院的網絡信息管理系統中存在大量重要數據，一旦入侵后果不堪設想，為了提高醫院網絡管理系統的安全系數，保證其穩定有序的運行，采用多種防御抵制手段。論文針對入侵檢測技術在醫院信息化建設中的安全應用進行介紹，闡述入侵檢測的一些基本概念，并探討將來的研究發展方向。

【 關鍵詞 】 入侵檢測系統；醫院信息化；安全應用

【 中圖分類號 】 TP393 【 文獻標識碼 】 A

【 Abstract 】 Network information management system of hospital， there are a lot of important data， once invaded， the consequences could be disastrous， in order to improve the safety factor of the hospital network management system to ensure the stable and orderly operation， using a variety of defense against means. This article will introduce the application of intrusion detection technology in the construction of hospital information， expounds some basic concepts of the intrusion detection， and discusses the future research direction.

【 Keywords 】 intrusion detection system； hospital information； security application

1 引言

隨著現代信息技術的運用廣泛，醫院也采用現代信息來進行管理運作，而現在的網絡信息管理中，要隨時防御網上的一些攻擊行為，一旦出現網絡攻擊，將會造成數據的嚴重損失，特別是像醫院包含有大量的患者信息，若是遭受網絡攻擊出現數據錯落或被更改的現象，將產生危及患者生命等嚴重的后果，所以更加需要嚴密的防御系統來確保醫院信息化建設的安全。

在醫院的管理系統中，普遍采用了防火墻作為第一道防御，將外界互聯網上的不安全問題隔離開來，但是對于那些正在發生的攻擊問題和攻擊行為，防火墻卻不能夠主動防御，甚至在防火墻沒有檢測出而過濾掉的危險問題進入了內部管理系統，防火墻也是不能檢測出來的。因此，積極引入入侵檢測技術對醫院的信息管理系統進行檢測和管理，能夠及時針對系統中出現的問題去解決，也能夠對將要發生的問題進行預估，提前防備將要出現的問題，避免更大的損失產生。

入侵檢測技術就是通過對安全日志和行為以及一些審查資料的觀察和分析，檢查網絡入侵問題，這種檢測方法主要是利用以往保存的一些資料，像上網行為、安全日志等數據來進行分析，一旦出現異常，將會啟動預警防御系統，阻止企圖侵入系統攻擊系統的非法行為和手段。

2 入侵檢測技術的分類

大致可以將入侵檢測分為幾類：基于主機的入侵檢測系統一般是檢測主機上的入侵、數據來源于系統審計日志、基于網絡的入侵檢測主要檢測網絡上的入侵、數據信息來源于網絡上的信息流，還有分布式入侵檢測系統分布在網絡環境中，監視主機和網絡。

3 入侵檢測系統在醫院信息化建設中安全的應用

入侵檢測系統在醫院的信息化管理中是分為收集信息和對收集的信息進行分析兩部分。

首先，醫院管理系統中儲存管理者大量的數據信息，收集信息主要是對系統和網絡數據，以及用戶活動行為狀態進行收集。而入侵檢測數據信息一般是系統的日志文件、改變的一些不正常文件和目錄，或者一些不正常的程序執行等。那些反常的日志行為，比如用戶的ID變化，網絡中的系統文件被破壞了，出現了些非期望中的行為等都有可能已經存在著網絡攻擊了。

其次，分析則主要是對這些信息進行分析，找出問題所在。入侵檢測就是通過大量的數據對比，從這些數據中找出異常，確定問題的癥結所在，才是真正解決問題的方法。在對這些海量的數據信息分析時，一般采用模式匹配，也就是將剛得到的信息與之前正常建立的行為數據庫中的數據進行對比，從而找出不一樣的地方，讓自身計算機有所防備。

而統計分析則是根據給定的對象建立統計描述，統計正常使用的完整性分析。和之前的模式匹配應該存在大致相像處，比較屬性的平均值。當有數據超過了正常的范圍內，就會被看成是入侵問題。除了模式匹配外，還有完整性分析方法，這種主要是重點關注某個對象或文件，一般也是針對那些重要的文件，入侵檢測能夠通過那些加密手段來識別一些微小差異。

與之前的模式匹配不同，在進行批處理的時候，有些分析就只能在事后進行，也就是發生了網絡攻擊才會進行分析，那么就不會實時預警，不會給網絡或主機一個警告，那么主機也就不能攔截即將遇到的問題。

除上述兩種方法外還有專家系統，專家系統主要是針對那些較為智能的設備，運用智能的方法進行掃描檢查和分析。這種主要依賴專家系統建立起來的知識庫，就是依靠著建立的不同規則進行，而這些知識庫和不同的規則又是取決于專家系統的知識庫是否完備。

4 以網絡分布式入侵檢測為例分析醫院信息化建設中安全的應用

醫院主要分為員工和病患管理系統，還有看病和藥品管理系統等多個模塊，不同的醫院會根據自己內部的管理系統就不同的模塊進行不同的入侵檢測應用。以網絡分布式入侵檢測為例，這種入侵檢測則是由兩個部分組成，分別是入侵檢測引擎和管理控制臺。從入侵檢測引擎這方面來看，它有兩個叫數據獲口和查詢管理口這樣的以太網接口，是專用的硬件設備，可保護一個網段，數據獲口用以檢查引擎被接在被保護的那個網段上，是以隱身的模式來獲取數據的，然后在進行相應的分析處理，一旦發現了異常行為或事件，則會調用預警裝置，發出警報，向系統的管理員進行多種形式的報警，或者主動地把將發生攻擊的連接進行切斷，阻止即將發生的事件，使系統呈現防御狀態和應對處理狀態。

4.1 查詢管理口

查詢管理口是連接在網絡上的，主要是管理引擎和控制臺之間進行通信的接口。引擎包含有捕獲、虛擬機、過濾器智能分析、記錄器等模塊，還有攻擊特征庫。而對檢測引擎來說，要有很好的可擴展性，其采用的是模塊化設計結構，還要能夠進行在線升級，將攻擊特征庫和軟件程序都一一進行更新。

4.2 管理控制臺

管理控制臺是安裝在主機上的。主要是針對檢測引擎的軟件程序，可以 對其進行配置、管理和查詢等。入侵檢測為了防范系統的抵御措施在關鍵時刻失效，對網絡中的重要運行關節點進行實時檢測，以便及時發現攻擊者行為和識別系統資源被濫用的行為。一旦出現異常，入侵檢測系統就會發出報警信號，讓網絡系統進行響應。

對于管理系統中的防火墻裝置來說，這只是一個外部防御機制，不能檢測到內部系統是否存在沒有被過濾的攻擊事件，不能實時對內部進行監控，也不能對正在進行攻擊的事件予以阻斷。那么入侵檢測系統可以和防火墻裝置聯合起來使用，可將入侵檢測引擎設置在內網，那些網絡攻擊事件只有穿過防火墻才會被入侵檢測系統檢測出來，一旦入侵檢測系統檢查到了防火墻應該阻止而沒有阻止的事件進入到了系統的內網中，就可以判斷防火墻裝置的設置出現了問題，或產生了一種新的防火墻不能過濾的攻擊問題。通過這樣入侵檢測裝置可以監聽檢測到內網的連接。

除此之外，還可以監聽外網對于內網的攻擊，入侵檢測系統通過接收到防火墻外的信息，讓管理員可以一目了然的知道外界的攻擊。

5 結束語

計算機網絡應用給醫院管理系統帶來了極大的便利，但同時網絡本身常發生的網絡攻擊問題又讓醫院的管理處于不安全的狀態。增強網絡安全，制定有效的安全防御策略和方案對醫院管理來說尤為重要。入侵檢測機制是網絡信息安全審計中的重要技術之一，能夠動態的檢測系統的內部安全，衡量其防御系統是否有效。

將入侵檢測系統應用到醫院的管理系統中可實時監測系統，不僅彌補了傳統防御技術的不足，如防火墻裝置作為第一層防御卻相對于靜態防御的不足，入侵檢測系統卻是一種主動防御機制，能夠對將要攻擊事件預估，對正在攻擊事件進行切斷連接保護管理系統，提高了醫院管理系統的網絡安全防御能力，能夠讓醫院的網絡安全圍墻更加堅固的抵御外界攻擊事件，提高醫院整體的網絡防御和系統管理。

參考文獻

[1] 劉海清.計算機輔助教學在農村初中歷史教育應用分析[J].劍南文學（經典教苑），2013.

[2] 趙歡.現代教育技術在農村初中歷史教學中的應用[D].河北師范大學，2014.

[3] 盧興平.入侵檢測系統在醫院網絡信息安全中的應用研究[J].醫療衛生裝備，2010.

[4] 郭德超等.防火墻與入侵檢測系統在醫院網絡安全中的應用[J].中國數字醫學，2009.

作者簡介：

張建忠（1969-），男，重慶萬州人，工程師；主要研究方向和關注領域： 計算機網絡安全。