防火墻與入侵檢測系統在醫院網絡安全中的應用

◆程兆生

防火墻與入侵檢測系統在醫院網絡安全中的應用

◆程兆生

（赤峰市醫院 內蒙古 024000）

由于受到科技快速發展的支持，為了維護各個領域行業的數據安全，防火墻被不斷研發并正隨著科技水平的提升而不斷升級，具有阻擋外來不明數據及病毒等作用，有效對防火墻內部數據進行保護，其中醫院也同樣正使用防火墻來保護病人病歷、醫院設備信息等重要數據。而為了提高對數據的防護，則必須采用防火墻與入侵檢測系統結合的方式，在提高防護效率的同時促進醫院內人員工作的順利進行，同時對保護病人的生命安全也起到重要作用。因此本文對我國醫院網絡安全現狀進行分析，并針對防火墻及入侵檢測系統在醫院網絡中的具體應用展開探討。

防火墻；入侵檢測系統；醫院網絡安全

0 前言

首先，現如今我國絕大部分醫院已全面進入現代化模式，而醫院每日會出現大量病人。而病人的病歷、醫囑、看病流程等會都是醫院重要數據的組成部分；其次,醫院購進醫療設備、床位、醫療資源等都需要利用網絡對其數據進行記錄，而一點丟失則容易使醫院遭受巨大經濟損失。基于以上兩點，醫院則建立數據保障安全系統來維護醫院網絡安全，其中包括防火墻。目前我國大部分醫院內采用的防火墻多為經典模式，通過將防火墻設置在路由器與內部網絡之間，將內外網絡隔離開來，形成最基本的防護模式。

1 醫院網絡安全存在的問題

由于防火墻的主要作用是防止并阻擋外來入侵數據和病毒，如果在醫院網絡內部網絡環境中出現攻擊數據，防火墻則無法對其進行采取任何有效措施。但根據防火墻被設計時的主要目的與理念來看，防火墻的主要針對目標就是外部入侵病毒，內部病毒攻擊等則與防火墻功能無關。但由于部分醫院自身意識不足，在網絡安全系統只運用到防火墻一種防護系統，因此只能起到“防”的作用，而并未存在“護”功能。而具不完全統計，我國醫院網絡安全問題中，有80%以上出現與醫院網絡內部，人員操作失誤、內部人員泄密等，都是造成內部網絡受到侵害的主要原因，由此可見，若想要實現內外同時增強醫院網絡安全，不僅需要設置防火墻，同時也需要在內部運用入侵檢測技術，與防火墻充分結合，加強對醫院網絡的保護。

2 入侵檢測系統

IDS（入侵檢測系統）是一種主動防御攻擊的新型網絡安全系統，在功能上彌補了防火墻的缺陷，使整個安全防御體系更趨完善、可靠，不同于防火墻，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。IDS在交換式網絡中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源。一個經典的入侵檢測系統的部署方式如圖1所示。

圖1 經典入侵檢測系統部署拓撲圖

3 入侵檢測與防火墻結合的原理分析

防火墻主要作用于內外網絡之間，而由于這兩種網絡信任程度不同，因此則需要利用安全策略加強防火墻的功能作用，防止出現對內部網絡信任產生危害的外來數據進入內部，達到安全保護內部環境不受外部侵害的目的。但由于防火墻功能主要針對外部網絡，則無法對內部進行監控或防護，而一旦有防火墻無法防范的危險數據則能夠輕松繞過防火墻，對內部進行侵略；而IDS入侵檢測系統的運用，可以對醫院內部數據環境及外部網絡情況進行實時檢測，一旦發現有外來入侵的征兆，則會及時對該征兆進行判斷并采取措施對其防范，進一步提高醫院網絡安全。而通過多級、分布式的網絡監督、管理、控制機制，全面體現了管理層對醫院網絡關鍵資源的全局控制、把握和調度能力。即使一個系統中不存在某個特定的漏洞，IDS系統仍然可以檢測到相應的攻擊事件，并調整系統狀態，對未來可能發生的侵入做出警告。

由于入侵檢測技術的主要功能是對內外入侵數據進行檢測，而如果只運用該技術是遠遠無法達到有效保護醫院網絡安全作用的。因此，將IDS與防火墻進行有效結合形成聯動。IDS系統能夠及時對外部入侵行為進行察覺并向防火墻發出請求，而防火墻在對外阻止過程中一旦發現安全策略以外的攻擊數據則能夠及時向IDS發出信號，使其能夠及時調整策略，達到充分提高醫院網絡安全的效果。

4 防火墻與IDS聯動的模型設計

本次設計與以往防火墻與入侵檢測系統疊加而成的模式不同，而是在進行結合前將這兩個系統分別進行研究，并充分分析這兩個系統中的各項功能與其自身存在的優勢與缺點。并在充分研究后將兩個系統有效結合，通過互補原則將二者的優勢進行疊加，并利用相互作用對二者的缺點進行完善。該系統看似簡單透明，但系統中具有Snort系統的優勢如圖2所示，能夠通過軟件包的監聽獲得網絡數據包，然后增加入侵檢測分析功能。其主要的方法是建立具體的特征庫，基于規則審計分析，并能夠進行包的數據內容搜索/匹配，從而實現入侵檢測分析功能。

圖2 Snort模塊圖

而在進行結合時，入侵檢測系統可以在防火墻內外隨意設置，而由于防火墻自身對于醫院網絡的內部攻擊無法進行處理，則本人認為，將入侵檢測放在防火墻內更加合理。而為了進一步提高醫院網絡安全，可將檢測器放在防火墻外面，一旦外界有攻擊數據發現檢測器，則會先對檢測器展開攻擊，從而減少其對防火墻的破壞。

而將檢測器放置在防火墻內部，也具有一定優勢:(1)當外來數據入侵時時防火墻可先對其安全性進行判斷，減少檢測器的誤報警情況；(2)一旦有外來入侵病毒或數據入侵進來，檢測器可第一時間對防火墻出現的失誤進行及時判斷；(3)能夠使防火墻充分發揮起作用，當出現弱小攻擊時防火墻完全可以將其阻擋在外，不必動用檢測器對其進行檢測，從而增加對內部網絡環境的安全保護。

5 IDS和防火墻的互動

防火墻和入侵檢測系統互動具體步驟如下:

（1）初始化通信連接時，一般由IDS向Firewall發起連接。

（2）建立正常連接后，當IDS產生需要通知Firewall的安全事件時，通過發送約定格式的數據包，來完成向傳遞必要的互動信息。

（3）Firewall收到互動信息后，可以實施互動行為，并將結果（成功與否）以約定格式的數據包反饋給IDS。

6 結束語

綜上所述，雖然防火墻系統能夠有效阻擋外界入侵數據的攻擊，但由于該系統中受現代科技水平限制，仍存在一定漏洞。因此并不能完全將外界所有入侵行為進行阻擋，而內部環境不屬于防火墻系統保護范圍。因此，為維護醫院網絡安全，則需要利用入侵檢測系統與防火墻充分結合，在對內部進行檢測的同時也能夠對外部入侵行為進行檢測及預防，充分發揮二者的作用。

本文通過對IDS入侵檢測系統與經典防火墻及二者的原理進行分析，并對二者結合方式與互動進行闡述，而這二者通過結合后能夠利用雙方優勢弱化對方缺點的同時進一步提高防護系統性能，大大提高了醫院網絡系統的安全性。為促進醫院工作穩定進行奠定堅實基礎，同時也期望能夠為我國醫院網絡安全防護系統水平的提升提供參考依據。

[1]李林，盧顯良.一種針對規則集不一致性的測試數據包選取算法[J].計算機科學，2011.

[2]張雪芹，顧春華，吳吉義.異常檢測中支持向量機最優模型選擇方法[J].電子科技大學學報，2011.

[3]張昱，謝小鵬.基于遺傳相關向量機的圖像分類技術[J].計算機仿真，2011.