基于下一代防火墻技術(shù)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用

◆陳博

基于下一代防火墻技術(shù)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用

◆陳博

（鄭州市骨科醫(yī)院 河南 450000）

網(wǎng)絡(luò)安全問題一直是制約著互聯(lián)網(wǎng)發(fā)展的重要因素，如何提高網(wǎng)絡(luò)的安全性是當(dāng)今世界面臨的重大課題。防火墻技術(shù)作為網(wǎng)絡(luò)安全的第一道門，一直深受企事業(yè)單位的重視。本文基于醫(yī)院網(wǎng)絡(luò)環(huán)境應(yīng)用，結(jié)合華為下一代防火墻技術(shù)與IPSec VPN技術(shù)對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究，就如何對(duì)醫(yī)療設(shè)備信息脫敏傳輸，且能保障數(shù)據(jù)傳輸?shù)陌踩哉归_探討，并對(duì)項(xiàng)目實(shí)施結(jié)果進(jìn)行分析，供相關(guān)讀者參考。

網(wǎng)絡(luò)安全；防火墻；VPN技術(shù)

智慧型數(shù)字化醫(yī)院的建設(shè)是現(xiàn)代各個(gè)醫(yī)療系統(tǒng)發(fā)展的重點(diǎn)。其中主要包括遠(yuǎn)程醫(yī)療系統(tǒng)、醫(yī)保系統(tǒng)、新農(nóng)合系統(tǒng)、網(wǎng)上預(yù)約掛號(hào)系統(tǒng)以及區(qū)域醫(yī)療信息平臺(tái)共享等眾多外部系統(tǒng)，促進(jìn)各個(gè)機(jī)構(gòu)之間的信息共享和數(shù)據(jù)交換。但在與外部數(shù)據(jù)交換的過程中，可能會(huì)遭受到類似患者信息泄露、數(shù)據(jù)庫被入侵或者病毒攻擊等網(wǎng)絡(luò)危害，給醫(yī)院信息化發(fā)展帶來極大的阻礙。防火墻技術(shù)作為防范外部入侵的第一道屏障，主要通過對(duì)數(shù)據(jù)流的分級(jí)管控，配合其自身的入侵防御等功能，將逐步提升對(duì)內(nèi)外網(wǎng)絡(luò)的安全管理。本文主要以華為下一代防火墻為例，重點(diǎn)介紹下一代防火墻技術(shù)在醫(yī)院內(nèi)部的應(yīng)用情況以及IPSec VPN技術(shù)，供相關(guān)讀者參考。

1 下一代防火墻技術(shù)

防火墻是一種靜態(tài)安全技術(shù)，主要是通過安全策略對(duì)網(wǎng)絡(luò)的訪問行為實(shí)施有效管理，而策略之外的網(wǎng)絡(luò)訪問行為則無法控制。下一代防火墻主要是為了應(yīng)對(duì)更加復(fù)雜的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)，不僅具有傳統(tǒng)防火墻的數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、協(xié)議狀態(tài)檢查等功能，而且實(shí)現(xiàn)了第七層的應(yīng)用防御，并在復(fù)雜的網(wǎng)絡(luò)環(huán)境中針對(duì)細(xì)粒度網(wǎng)絡(luò)進(jìn)行探測(cè)。安全策略是防火墻的基本安全控制機(jī)制，其規(guī)則方式主要由匹配條件與處理方式兩個(gè)部分共同構(gòu)成。匹配條件主要是以邏輯表達(dá)式的形式呈現(xiàn)，當(dāng)網(wǎng)絡(luò)流量經(jīng)過防火墻時(shí)，若匹配條件的邏輯表達(dá)式為真，則說明該流量與當(dāng)前規(guī)則匹配成功。但是，為了防止對(duì)端可能的攻擊性行為，需要對(duì)外部轉(zhuǎn)發(fā)的數(shù)據(jù)包設(shè)置訪問控制列表，并對(duì)數(shù)據(jù)進(jìn)行訪問控制。

目前大多數(shù)網(wǎng)絡(luò)應(yīng)用都是借助于TCP/IP協(xié)議族實(shí)現(xiàn)信息傳遞，而防火墻大都是以TCP/IP協(xié)議族為基礎(chǔ)而設(shè)計(jì)。TCP/IP協(xié)議族具有明顯的層次特性，且每個(gè)層次都會(huì)有不同的作用。防火墻會(huì)針對(duì)不同層次上的信息流量，采用不同的控制策略。下面主要針對(duì)防火墻安全策略劃分進(jìn)行詳細(xì)介紹。

2 防火墻安全策略劃分

安全策略的作用就是對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)，且只允許符合安全策略的合法數(shù)據(jù)流通過。如圖1所示為防火墻網(wǎng)絡(luò)安全級(jí)別及報(bào)文流動(dòng)指向模型。防火墻是通過接口來連接網(wǎng)絡(luò)，將接口劃分到安全區(qū)域后，通過接口就能把安全區(qū)域和網(wǎng)絡(luò)關(guān)聯(lián)起來，并且有目的地控制著報(bào)文向不同的安全區(qū)域之間進(jìn)行數(shù)據(jù)交換。

圖1 網(wǎng)絡(luò)安全級(jí)別及報(bào)文流動(dòng)指向

防火墻上默認(rèn)有三個(gè)安全區(qū)域，分別是Trust、DMZ和Untrust。Trust代表區(qū)域內(nèi)受信任程度較高的網(wǎng)絡(luò)，通常指的是單位的內(nèi)部網(wǎng)絡(luò)，其可信級(jí)別要高于其他網(wǎng)絡(luò)；DMZ區(qū)域?qū)儆诟綦x區(qū)，受信任程度中等，通常是指某些特殊的服務(wù)器既需要訪問內(nèi)網(wǎng)，又有部分業(yè)務(wù)需要訪問外網(wǎng)的情況。Untrust區(qū)域的是不受信任的網(wǎng)絡(luò)，主要指僅需訪問外網(wǎng)的用戶或服務(wù)器。在防火墻安全策略中，每一個(gè)安全區(qū)域都必須有一個(gè)安全級(jí)別，該安全級(jí)別是唯一的，用數(shù)字1-100來表示。數(shù)字越大，則表示該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。根據(jù)圖1的安全級(jí)別設(shè)置，防火墻上的各個(gè)安全區(qū)域之間有了等級(jí)明確的域間關(guān)系，并且不同級(jí)別之間的網(wǎng)絡(luò)流量不互通，即使低級(jí)別的網(wǎng)絡(luò)區(qū)域感染病毒，病毒也很難向高級(jí)別的安全區(qū)域蔓延。

3 IPSec VPN技術(shù)

IPSec（Internet Protocol Security）作為一種開放標(biāo)準(zhǔn)的安全框架結(jié)構(gòu)，在數(shù)據(jù)傳輸方面具有機(jī)密性、完整性和防重放等的特性，適用于遠(yuǎn)端異地傳輸。IPSec VPN體系結(jié)構(gòu)主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）、和IKE（Internet Key Exchange）協(xié)議套件組成。AH協(xié)議主要提供有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，但AH并不加密所保護(hù)的數(shù)據(jù)報(bào)文；ESP協(xié)議除了提供AH協(xié)議的所有功能外，還可提供對(duì)IP報(bào)文的機(jī)密功能。IKE協(xié)議用于自動(dòng)協(xié)商AH和ESP所使用的密碼算法。IPSec VPN的建立主要包括兩個(gè)階段。第一階段包含主模式交換和野蠻模式交換，一般情況下，由于雙方建立可信隧道的兩端IP是固定的，常選用主模式交換進(jìn)行協(xié)商，包括策略協(xié)商、DH算法交換，以及DH交換的進(jìn)一步認(rèn)證。第二個(gè)階段主要是建立SA認(rèn)證，第二階段協(xié)商消息受第一階段SA保護(hù)，任何沒有第一階段SA保護(hù)的消息都會(huì)被拒收。

IPSec VPN在實(shí)際應(yīng)用中場景非常廣泛，包括站點(diǎn)到站點(diǎn)（site to site）、端到端（End to End）、端到站點(diǎn)（End to site）等。本文主要介紹在醫(yī)院與器械廠商之間構(gòu)建一條可信的site to site的數(shù)據(jù)通信隧道，用來傳輸設(shè)備運(yùn)行狀況信息，方便工程師對(duì)設(shè)備進(jìn)行遠(yuǎn)程診斷，實(shí)現(xiàn)安全互聯(lián)。

4 基于IPSec VPN的醫(yī)療設(shè)備遠(yuǎn)程診斷

醫(yī)院有很多大型的醫(yī)療設(shè)備，每天也有大量的病人需要通過機(jī)器做檢查，因此也要經(jīng)常對(duì)設(shè)備進(jìn)行保養(yǎng)和檢修。但由于諸多原因，工程師不能經(jīng)常在現(xiàn)場檢查，因此需要對(duì)機(jī)器進(jìn)行遠(yuǎn)程診斷。一些廠商人員為了便利，僅僅配置一臺(tái)4G路由器的方式將設(shè)備直接通過網(wǎng)線連入路由器上互聯(lián)網(wǎng)，在遠(yuǎn)端直接獲取數(shù)據(jù)，中間沒有任何防護(hù)措施。這種方法簡單易施行，但對(duì)醫(yī)院而言就等于直接讓內(nèi)網(wǎng)服務(wù)器接入互聯(lián)網(wǎng)，成為管理上的漏洞，并且無法管控?cái)?shù)據(jù)流向，容易造成數(shù)據(jù)泄露，也可能會(huì)被黑客利用，風(fēng)險(xiǎn)危害極大。因此，利用防火墻的防范功能和IPSec VPN的數(shù)據(jù)加密算法來傳輸數(shù)據(jù)是一種更為可信的解決方式，并且能直觀地反映數(shù)據(jù)流量的大小，方便院方網(wǎng)絡(luò)管理人員管控。表1所示為某醫(yī)療器械公司的VPN客戶端配置參數(shù)，院方將根據(jù)此參數(shù)來調(diào)節(jié)防火墻上的VPN參數(shù)進(jìn)行數(shù)據(jù)連接。

4.1 參數(shù)設(shè)置（表1）

表1 VPN客戶端參數(shù)

客戶端建立VPN網(wǎng)關(guān)具體參數(shù) vpn設(shè)備cisco VPN gateway10.69.83.176/20 Encryption Domain150.2.0.0/16 IPSecEncapulationTunnel Mode IPSec Protocol TypeESP（IP Protocol 50） IPSec Cipher AlgorithmAES 256 IPSec Authentication SHA-2 IPSec lifetime3600sec

4.2 實(shí)驗(yàn)方法

首先在防火墻上劃分安全區(qū)域，這里將對(duì)端內(nèi)網(wǎng)為可信度級(jí)別設(shè)為60，低于院內(nèi)網(wǎng)可信度85。依據(jù)表1提供的參數(shù)，在防火墻上添加源地址10.69.83.176/20和目的地址150.2.0.0/16，傳輸模式設(shè)為隧道模式，采用與共享密鑰方式進(jìn)行傳輸，加密算法采用三重?cái)?shù)據(jù)加密算法3DES方式，以提高信息傳輸?shù)陌踩裕J(rèn)證方式為MD5，確保信息傳輸完整一致。

4.3 實(shí)驗(yàn)結(jié)果

根據(jù)部署好的安全策略，我們進(jìn)行數(shù)據(jù)通訊測(cè)試。從圖2可以看出，IKE協(xié)商的兩個(gè)階段已經(jīng)成功，即：第一階段在網(wǎng)絡(luò)上建立一個(gè)IKE SA，為階段二協(xié)商提供保護(hù)，醫(yī)院這邊選用主模式；第二階段在階段一建立的IKE SA的保護(hù)下完成IPSec SA的協(xié)商，采用快速模式。并且在防火墻上已經(jīng)看到有流量經(jīng)過，對(duì)端收到了對(duì)機(jī)器設(shè)備參數(shù)的采集信息。

圖2 VPN協(xié)商成功

圖3所示為VPN網(wǎng)絡(luò)連接狀態(tài)。從圖中可以看出，兩端之間已經(jīng)建立連接。而醫(yī)院人員可以根據(jù)網(wǎng)絡(luò)流量的大小對(duì)網(wǎng)絡(luò)信息傳輸進(jìn)行評(píng)估，保障遠(yuǎn)程診斷的順利進(jìn)行。

圖3 VPN網(wǎng)絡(luò)連接狀態(tài)

5 結(jié)束語

本文主要針對(duì)防火墻的安全策略分析，依據(jù)現(xiàn)有條件下院內(nèi)需求，采用防火墻技術(shù)搭建一條IPSec VPN隧道為醫(yī)療設(shè)備遠(yuǎn)程診斷，不僅保證數(shù)據(jù)流量高效穩(wěn)定，更提升了傳輸安全性。隨著醫(yī)院未來業(yè)務(wù)開展越來越廣泛，防火墻技術(shù)與VPN技術(shù)也將更多地應(yīng)用于為醫(yī)患服務(wù)的項(xiàng)目中去。因此，如何保證數(shù)據(jù)更加安全有效地傳輸，防范醫(yī)院內(nèi)部網(wǎng)絡(luò)安全將成為醫(yī)院以后信息化建設(shè)的重點(diǎn)。

[1]宮彥婷，榮文英，王彪. 基于主動(dòng)防御的數(shù)據(jù)庫防火墻設(shè)計(jì)與實(shí)現(xiàn)[J]. 中國數(shù)字醫(yī)學(xué)，2013.

[2]胡寶芳，王紅，張霞. 基于移動(dòng)代理的虛擬專用網(wǎng)安全系統(tǒng)[J]. 計(jì)算機(jī)應(yīng)用，2005.

[3]呂曉娟. 醫(yī)院信息化建設(shè)管理的現(xiàn)實(shí)問題與相關(guān)探討 [J]. 中國數(shù)字醫(yī)學(xué)，2017．

[4]郭德超，邱鴻鐘，梁瑞瓊. 防火墻與入侵檢測(cè)系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J]. 中國數(shù)字醫(yī)學(xué)，2019.

[5]魯茜，黃岳，黃家平. 基于醫(yī)聯(lián)體的醫(yī)院信息化建設(shè)[J].醫(yī)學(xué)信息學(xué)，2019.

[6]任浩，劉燕燕，許鵬. 智慧醫(yī)院信息備份的研究與應(yīng)用 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020.

[7]韓向非，郭幽燕，王建勛，等. 基于信息技術(shù)基礎(chǔ)架構(gòu)庫的醫(yī)院IT服務(wù)實(shí)踐探索[J]. 中國數(shù)字醫(yī)學(xué)，2017.