醫院網絡安全防護建設與應用

◆陳樹生 曲 強 魏 賓 申寶明

（青島大學附屬醫院信息管理部 山東 266003）

醫院網絡安全防護建設與應用

◆陳樹生 曲 強 魏 賓 申寶明

（青島大學附屬醫院信息管理部 山東 266003）

本文從醫院當前對網絡安全的新需求出發，以現有的防火墻和網閘為基礎，新增IPS、Web防火墻和漏洞掃描系統等設備，提出從被動防護和主動防護兩個方面，以被動防護為主，主動防護為輔的方式，綜合運用多種網絡安全防護設備，構建醫院的網絡安全防護體系，從而全面提高醫院網絡安全防護的水平。對其他醫院的網絡安全防護建設也具有一定的借鑒意義。

網絡安全；被動防護；主動防護

0 引言

隨著信息化建設的深入開展，醫院的網絡也越來越復雜，其日常業務對網絡的依賴性日益增加，一家醫院是否擁有穩定、安全可靠的計算機網絡，成為業務發展的重要保障。

1 醫院對網絡安全的新需求

在醫院網絡建設初期，防火墻和網閘等訪問控制設備對保障醫院內部網絡安全起到了至關重要的作用。隨著時代的發展，這些傳統網絡防護設備面臨著巨大的挑戰。一是來自互聯網的外部威脅不斷增加，諸如DDoS攻擊、緩沖區溢出攻擊、Web應用攻擊、SQL注入攻擊、XSS跨站腳本攻擊和木馬蠕蟲攻擊等攻擊手法大多來自于應用層，傳統的防火墻只能起到部分防護作用；二是醫院信息化建設持續深入，網絡應用不斷增加，需要向互聯網開放更多的端口，導致網絡安全的壓力不斷加大；三是對醫院內部網絡的穩定性和可用性提出了更高要求，包括網絡和服務器的抗攻擊能力，應對網絡攻擊的響應能力和恢復能力等；四是醫院中能夠接入互聯網的主機越來越多，主機的使用者往往缺乏網絡安全知識，這些主機可能會造成帶寬濫用、垃圾郵件、計算機病毒、間諜軟件等安全威脅。為了應對這些挑戰，需要增加新的安全設備，構建能夠滿足醫院網絡安全需求的防護體系。

2 構建網絡安全防護體系

醫院的網絡在不斷擴展，聯網設備不斷增加，醫院的業務對計算機網絡的依賴持續加深。在網絡防護中，除了應用防火墻和網閘保護內部網絡之外，還應該充分利用入侵防御系統 IPS、Web防火墻和漏洞掃描等系統，滿足醫院網絡中不同區域對網絡安全的不同層次需求，從被動防護和主動防護兩個方面，構建醫院網絡安全防護體系，全面提升網絡安全的防護水平。圖1顯示了醫院網絡防護設備的拓撲。由防火墻、網閘、IPS、Web防火墻組成被動防護體系，漏洞掃描系統進行主動防護。被動防護完成日常的網絡防護，主動防護可以及時探測并發現網絡中存在的弱點，進行相應的系統更新和打補丁，同時在被動防護中進行保護。

圖1 醫院網絡防護拓撲

3 網絡安全的被動防護

被動防護是傳統的網絡防御方式，是在預先設定網絡可能會受到多種攻擊的基礎上構筑被動式靜態網絡安全防護體系，以期對所受攻擊逐一化解。隨著網絡安全形勢的復雜化，醫院在構建自身的被動防護過程中，根據實際的安全需要，增加了 IPS和Web防火墻等設備，和防火墻與網閘一起，構成較為完備的被動防護體系。

3.1 IPS

IPS根據布署方式可分為三大類：基于主機的 IPS系統(HIPS)、基于網絡的IPS系統(NIPS)和基于應用的IPS系統AIPS，在醫院網絡中部署的是基于網絡的下一代 IPS。IPS的工作原理主要為：（1）將從防火墻接收到的數據拆包分類檢查，異常數據直接丟棄，其他數據進入系統并被轉發到相應的過濾器中。（2）根據過濾器中的算法和規則對數據包進行匹配，匹配成功的被標為命中。（3）將命中的數據包丟棄，與其相關的流信息被更新并告知系統丟棄該流中剩余的所有內容。IPS具有強大的入侵檢測能力，低誤報率和漏報率，可以在線轉發數據的情況下實時地進行響應，可以動態阻斷入侵數據包的連接。IPS的核心是實時監測和根據策略防護，難點是如何根據本網絡的特點制定相適應的防護策略。

IPS串接部署在防火墻和內部核心交換機之間。

3.2 Web防火墻

醫院網站的訪問量越來越大，是醫院對外宣傳和對外提供網絡服務的窗口，網站和與之配套的數據庫成為醫院越來越重要的資產，而網站因受到攻擊而出現錯誤或無法訪問會給醫院帶來很大的負面影響。Web防火墻又被稱為 Web應用安全防護系統，是集Web防護、網頁保護、負載均衡、應用交付于一體的Web整體安全防護設備。具有防止SQL注入、跨站腳本、跨站請求偽造、網頁掛馬、Web惡意掃描等攻擊的功能；可以防止網頁被篡改、盜鏈，進行流量控制和保護Cookie；還可以增加新的安全策略來應對新的網站攻擊手段。

Web防火墻部署在核心交換機和Web相關的若干服務器之間。

3.3 細化防護策略——扎好防護的籬笆

為了不影響網絡的訪問，在上線之初，IPS和Web防火墻并沒有應用嚴格的防護策略，這需要在日后的使用過程中，根據醫院網絡的實際情況對策略進行調整，逐步形成一套和醫院網絡特點相適應的安全策略。日志系統能夠實時顯示網絡中攻擊事件和處理情況，如圖2所示：從圖中可以看到，24小時內的安全事件都做了阻斷處理。

圖2 一小時攻擊事件統計

再以今年2月6日為例，24小時之內，受到各類攻擊1115次，圖3為排名靠前的安全事件。SQL注入攻擊和XSS腳本注入等常見攻擊手法已經做了丟棄數據包的策略設置。當天新出現的是Struts2_S2遠程命令執行攻擊，這種存在于Apache Struts2框架中的安全漏洞可能會導致遠程執行任意代碼，這種攻擊的目的端是Web服務器。在策略庫中找到這條策略，設置為丟棄數據包，系統再檢測到此類攻擊的數據包就會直接丟棄，從而保證不會再受到這種攻擊的影響。

圖3 事件排名統計

4 網絡安全的主動防護

主動防護是站在黑客或者網絡攻擊者的角度，對網絡進行主動掃描和滲透測試，找出網絡中服務器、主機或者網絡設備上存在的弱點，并且及時消除這些弱點，最大程度地降低網絡被攻擊或利用的風險。在醫院網絡中主要應用了漏洞掃描系統。

4.1 漏洞掃描系統

漏洞掃描系統以基于網絡的方式對網絡中的服務器、主機和網絡設備進行安全脆弱性檢測，尋找是否有可被利用的安全漏洞。網絡管理員根據掃描的結果生成評估報告，以此評估報告為基礎，消除網絡安全漏洞和系統中的錯誤配置，在黑客或蠕蟲等病毒造成危害前進行防范，同時也極大地減少內網用戶對其他設備的非授權訪問或獲取敏感信息。漏洞掃描系統的一大關鍵是要不斷更新漏洞數據庫，烏云網每天都會曝出數十個安全漏洞，要識別這些新的安全漏洞就要及時更新漏洞的數據庫。

漏洞掃描系統旁路連接在核心交換機上。還可以根據實際需要配置在核心內網，或者在某些子網配置代理，進行分布式掃描。為確保不給醫院網絡帶來額外負擔，對網絡的掃描通常安排在非業務高峰期進行。

4.2 安全評估——像黑客一樣思考

醫院近期要上線一臺支持支付寶和微信支付的服務器，其操作系統采用CentOS7，Web服務器采用Nginx+Tomcat，數據庫采用MySQL。在開發人員將服務器根據業務的需要配置好之后，由網絡管理員對該服務器進行掃描探測，并將探測結果形成安全評估報告，看是否能達到要求的安全標準。圖4是該服務器安全評估報告中的漏洞統計。

圖4 漏洞安全級別統計

報告顯示，該服務器存在“MySQL Server 代碼執行漏洞(CVE-2014-6491)”，是存在于5.6.20及之前版本的MySQL Server組件中的高危漏洞，遠程攻擊者可利用該漏洞執行任意代碼。評估報告同時給出了消除此類漏洞的方法。將此報告提交給開發人員后，開發人員根據報告中提到的消除漏洞方法，逐一打補丁。之后再次對該服務器進行掃描探測，評估報告顯示，該服務器沒有可被利用的安全漏洞，風險評估狀態為“低風險”，可以正常上線。當然，這個過程可能不會這么順利，給服務器打補丁后可能會帶來新的漏洞，如果在再次評估中發現這種情況，就會根據評估報告的提示去打相應的補丁，整個過程如此循環，直到安全評估報告符合要求。

在該服務器上線兩天后，從IPS的日志中看到有數百次對該服務器的HTTP_SQL注入攻擊，IPS已經將此攻擊行為阻斷。服務器通過安全評估上線之后，并非就能高枕無憂。隨著時間的推移，服務器中各種應用軟件可能會曝出新的安全漏洞；另一方面，服務器在應用過程中，開發人員可能會根據需求增加新的代碼或功能模塊，這些引入的代碼和模塊也可能隱含未發現的安全漏洞，甚至威脅到服務器乃至整個網絡的安全。因此，應該利用漏洞掃描這種主動防護手段定期對網絡中的服務器進行安全評估，確認其安全狀態。

5 結論與展望

應用效果：一是對網絡安全狀況隨時掌握，包括內外網的流量、受到攻擊的次數以及源頭和目標，并且可以隨時以圖表的形式直觀地表現全網的網絡安全狀況。二是能夠及時對網絡攻擊行為進行阻斷，防止攻擊行為造成實質性破壞。三是受攻擊的次數呈下降趨勢，由半年前平均每周受到26000余次攻擊，減少為目前平均每周6400余次攻擊。

我們應該看到，每種網絡安全防護措施有其優點，也有不足，在越來越復雜的網絡環境之下，單一運用某種安全產品并不能保障網絡安全；另一方面，網絡安全狀態也在不斷變化，各種新的安全漏洞不斷被挖掘出來。可以通過綜合運用被動防護和主動防護技術，將多個安全設備有機地結合起來，為醫院網絡構建起一個全方位、多層次的網絡防護體系，從而最大程度地保障醫院網絡的安全。

[1]王洲.醫院內外網互聯中的邊界安全防護[J].電腦編程技巧與維護，2015.

[2]蘭巨龍，程東年，劉文芬等.信息網絡安全與防護技術[M].北京:人民郵電出版社，2014.

[3]杜天一.網絡入侵與防御技術探究[J].電子測試，2016.