基于MD5的進程指紋系統在我院信息安全的應用

莊藝玲，吳光珍，簡洪權，林亞忠

引言

我院為三級甲等的綜合性中心醫院，每日平均門診量高達4000余人次，臨床醫護人員由原來的幾百上升到2000多人，終端使用數量更是直線上升，且大部分數據涉及到病患的健康隱私，所以網絡信息安全對我院信息化建設尤其重要，就安全指標也提出了更高的要求[1]。而傳統的殺毒軟件是基于黑名單技術設計的，生成的病毒庫往往滯后于病毒或者惡意軟件，無法做到提前防范；再加上近期全球爆發的勒索病毒威脅，勒索病毒主要通過電子郵件的方式入侵；據統計，通過此種方式的病毒攻擊達到70%，且能夠在數小時內感染一個系統內的全部電腦，被感染電腦會自動對其局域網關聯的電腦隨機攻擊，極易導致該病毒大規模爆發，感染電腦中的所有文件將被全部加密且無法打開。目前已有99個國家受到病毒感染，為保護數據安全，終端防護就顯得非常重要。

因此為了達到徹底根除這些非法軟件運行和病毒傳播的威脅，我院信息科工程師提出了一種新型技術——利用MD5進程制作進程白名單方式來封殺所有未知軟件方式，以徹底防范、解決臨床終端信息安全問題[2]。

1 現狀

1.1 我院終端的使用情況

我院局域網終端客戶端近2000臺，95%以上終端已安裝殺毒軟件，且封閉優盤口，只允許部分終端開通光驅。終端使用者通過光驅可拷貝文件至局域網電腦，但系統可運行的程序沒有把控，導致局域網存在安全風險。風險列表見圖1。

圖1 風險列表

1.2 存在的威脅

終端雖然限制了優盤口的使用，但終端使用者可以通過特定的電腦使用光驅，將軟件拷貝到電腦上，且拷貝過程中極有可能將病毒或惡意軟件帶入局域網，給攻擊者帶來可趁之便。攻擊者往往利用這些漏洞，將包括惡意程序代碼的數據包發送到端口。當易受攻擊的應用程序監聽端口時，惡意程序碼就能讓攻擊者訪問計算機，從而造成網絡感染，導致終端設備遭受攻擊，數據安全受到威脅[3]。

2 基于MD5的進程指紋系統實施過程

MD5全稱是Message Digest Algorithm MD5（中文名為消息摘要算法第五版），是計算機廣泛使用的散列算法之一，用于確保信息傳輸完整一致，提供信息的完整性保護。MD5的基本原理是將數據信息壓縮成128位的2進制數，并且產生信息摘要[4]。MD5可以為任何文件產生一個同樣獨一無二的“軟件指紋”，如果任何人對文件做了任何改動，其MD5值也就是對應的“軟件指紋”都會發生變化。實施流程圖，見圖2。

圖2 實施流程圖

2.1 指紋采集

在Windows系統下運行MD5軟件，通過桌面上的快捷方式，定位到程序安裝路徑下文件夾，找到對應的應用程序（exe），將程序拖拽到打開的MD5窗口中，即可生成程序（exe）對應的MD5值。指紋信息采集，見圖3。

圖3 指紋信息

2.2 軟件白名單策略設計和下發

策略定義了允許運行的應用程序白名單列表，見圖4。終端軟件啟動時強制與策略白名單里的指紋進行對比，如果運行的是經過授權的軟件版本，則被認為是合法的軟件并允許運行；如果不是未經授權的軟件，則被認為是非法軟件禁止其運行，并詳細記錄在日志，以便進行故障排查和分析。信息科對科室進行分組管理，根據不同科室的軟件需求，制作了相應的策略并下發，科室只能運行本科室允許使用的軟件。

圖4 軟件指紋白名單策略

2.3 軟件的授權

科室因為業務需要開放軟件的權限，由科室向信息科提出申請并上傳軟件，信息科在沙盤中檢測軟件的文件名、公司名、產品名、版本、是否經過微軟簽名、簽名公司、文件類型、軟件名稱，經多款帶有最新特征庫安全軟件檢測安全后形成指紋，添加到對應科室的策略中并自動推送下發，科室策略得到更新后，該軟件就自動可以使用。軟件的限制也十分方便，軟件已經正確安裝，只需刪除軟件對應的指紋，軟件就自動被禁用。基于MD5（指紋）進程指紋系統實現軟件精細化管理，細化到軟件的子版本[5]。對同一款軟件的不同版本實行差別化對待，信息科通過維護白名單來實現科室軟件的授權。

2.4 防火墻的策略實施

辦公室環境通常處于防火墻、邊界數據包過濾器或防病毒服務器的保護之下。防火墻規則控制客戶端、保護客戶端計算機不受惡意入站通信及出站通信的侵襲[6]。防火墻自動根據規則檢查所有入站及出站的數據包；防火墻再根據規則中指定的信息允許或禁止數據包。當計算機試圖連接另一臺計算機時，防火墻會將連接類型與其防火墻規則列表進行比較。防火墻還會對所有網絡通信使用狀態檢查[7-8]。由系統工程師制定防火墻規則，并填寫放行的文件名，將解析出來的程序的MD5值填入文件指紋（圖5～6），并設置其需訪問的遠程端口號。

圖5 解析的MD5值

圖6 設置防火墻遠程端口號

3 MD5的進程指紋系統在我院的應用范圍及效果

3.1 規范臨床科室的電腦行為

啟用白名單規范終端使用者的操作行為，方便信息部門的管理[9]。醫院明文規定禁止使用統方軟件，即使終端使用者通過某種不正當途徑將非法軟件帶進了局域網電腦，然而沒程序指紋沒有通過白名單的認證，仍然運行不了。在我院終端非法軟件還包括游戲、電影等。后臺工程師可以查詢到指定終端系統阻止的進程，根據具體情況看是否需要將進程添加到白名單。被阻止的非白名單進程日志，見圖7。

3.2 有效阻止病毒的傳入

啟用MD5進程指紋系統白名單后，只要是局域網電腦且安裝安全軟件，即可對終端系統所使用的exe進程進行黑白名單驗證[10]；屬白名單內的進程可直接運行，白名單外的將被阻止運行，這樣有效阻止了病毒的傳入，終端設備運行速度明顯提升。

圖7 被阻止的非白名單進程日志

經查詢，局域網一周內受感染的病毒數高達5000多條，啟用MD5的進程指紋系統前，每個24 h系統需要清除、禁止的病毒數有1367條；啟用后，下降到77條，風險大大降低，有效地遏制了病毒的感染與傳播（圖8～10）。

圖8 一周病毒數

圖9 啟用MD5進程控制后

3.3 有效隔離勒索病毒

自2015年開始，勒索病毒初露頭角，尤其是在今年新出現的“魔窟”勒索病毒是利用了基于445端口傳播擴散的SMB漏洞MS17-010，受感染的電腦在短時間內將在局域網內大規模爆發。雖然HIPS可以有效屏蔽網絡上的惡意攻擊，如利用TCP 445 MS2017-010漏洞的入侵[11-12]。但我院信息科工程師結合實際情況，全方位考慮網絡安全，啟用防火墻策略，策略對入站、出站的端口都做了限制（圖11），不依賴病毒庫直接把可疑程序加入黑名單禁止運行，該策略直接禁止445端口的入站請求，工程師在防火墻做策略，禁止關閉135、137、139、445端口。而終端需更新策略，并關閉共享文件夾。

圖10 啟用MD5進程控制前

圖11 被阻止、未添加的端口

3.4 統一的軟件管理

首先建立一份完整的經授權使用的軟件“白名單”，然后回收局域網辦公電腦用戶自行安裝軟件和控件的權限，只有具有管理員權限的信息科工程師才能推送、安裝白名單軟件，從而實現技術硬控制[13]。臨床使用的白名單內的軟件總在更新，后臺工程師把我院所有指紋收錄后的安全軟件進行統一分類管理，可方便安裝客戶端機器的下載使用[14]。

4 啟用白名單應用后帶來的效益

4.1 終端安全的提升

因為病毒都是通過可執行文件進程進行傳播，白名單所做策略僅允許合法的軟件運行，其它都被禁止執行；且白名單內部的軟件都是經過充分驗證，不存在病毒和惡意軟件，實現了內網“零”病毒。

4.2 軟件管理水平提升

全院終端使用統一系統鏡像源并安裝所有可能使用的軟件，通過MD5（指紋）進程指紋系統來規范臨床軟件的使用，即使相同的軟件也會有不同的版本產生不同的指紋，信息科再也不用擔心臨床科室在使用早期版本軟件上的功能造成管理上麻煩。軟件的管理就像維護數據庫一個表那樣方便，通過對表的增、刪、改實現軟件的開放、限制、更新，提升了信息科的軟件管理效率和水平[15]。

4.3 工作效率的提升

以往在出現大范圍廣播的病毒的時候，信息科需要全員出動，網絡管理員在交換機上配規則、數據中心管理員給服務器打補丁重啟，臨床維護人員需要下課室進行全院打補丁、關網絡、殺病毒等，事情瑣碎又繁多，不僅效率低下，而且容易出現遺漏。遺漏就代表著剛剛結束的工作又要重來一遍直至全網病毒查殺干凈。

通過MD5（指紋）進程指紋系統，既健全了終端系統的使用，又減少了病毒在局域網中的傳播。信息科工程師可以從繁重瑣碎的打補丁、掃描病毒、殺病毒、封移動存儲等工作中釋放出來，將精力投入臨床業務系統的開發中[16]。

5 存在的不足及改進

MD5（指紋）進程指紋系統是為了保證臨床終端安全，保證科室信息安全的軟件。但也存在一些缺點，比如軟件在啟動的時候需要一個指紋比對的過程，給性能造成一定的影響。科室在使用某些新的軟件前，需經過信息科的審核和授權，給一些業務工作帶來滯后。例如廠家更新機器配套的軟件，這些本來可以廠家和科室就可以完成的工作也需要信息科的配合才能正常完成。

針對這些問題，在今后的工作中我們將對系統加以改進開發自動審核系統，減少底層驅動控制頻繁的與系統底層做交互造成的影響，確保臨床科室業務及時、有效地開展[17]。

6 結語

MD5加密算法大規模用于文件校驗、交易驗證，賬戶比對，消息驗證等重要領域，同時對網站數據的保護以及防止私人隱私數據的暴露有非常重要的意義。我院根據自身實際情況，合理引進MD5（指紋）進程指紋系統，在短時間內，終端安全問題事件得到有效的控制，提高了工作效率，規范了科室電腦在使用過程中的行為，在安全和方便上得到有效的平衡。