主動防御技術在醫院信息網絡安全中的應用分析

馬 勇

（寧夏固原市人民醫院,寧夏 固原 756000）

隨著現代計算機網絡技術的應用和發展，網絡信息技術已經被廣泛應用到了醫院的日常工作中，并為醫護人員和患者等帶來了諸多便利。但是在實際應用中，由于受到各方面因素的影響，醫院信息網絡很容易出現一些安全風險。在這樣的情況下，醫院信息網絡的安全防護便成了應用者與運維技術人員重點關注的一項內容。而在現代醫院的信息網絡安全防護中，主動防御技術發揮著至關重要的作用。為合理應用此項技術，研究者與技術人員首先需要對主動防護技術及其在醫院信息安全防護中的應用情況做到充分了解，然后再結合目前醫院信息網絡的實際安全防護需求，充分發揮出主動防御技術的應用優勢，提升醫院信息網絡的安全性。

1 主動防御技術及其在醫院信息網絡安全中的應用概述

1.1 主動防御技術

主動防御技術是與傳統被動防御技術相對應的一種新型計算機網絡安全防護技術。此項技術可在信息系統受到非法入侵之前便及時對相應的入侵行為做出精準預測，并通過彈性防御體系的及時、有效構建來實現信息系統安全風險的降低、轉移和避免[1]。就目前計算機信息網絡安全防護中應用的主動防御技術而言，其主要層次包括以下3個：（1）資源訪問控制層，該層可對用戶計算機信息網絡中的進程啟動、特定系統AP調用、文件調用以及注冊表調用等系統資源實施規則化控制，以此有效預防木馬、病毒等惡意程序非法利用這些資源，從而有效抵御未知的木馬和病毒等攻擊行為。（2）資源訪問掃描層，該層可對用戶計算機信息網絡中的腳本、郵件、引導區和文件等資源進行訪問，并對攔截的上下文內容進行掃描來識別其中存在的各種安全威脅，從而實現對惡意代碼的及時、有效處理。（3）進程活動行為判定層，該層可對來自上述兩層的進程動作和特征信息進行自動收集，并對其進行合理的加工與判斷處理，以此來實現對各類危險行為的合理分析與提煉，在不需要用戶參與的情況下便可自動識別并阻止計算機信息網絡中的后門、木馬以及病毒等各種未知的惡意程序。

1.2 主動防御技術在信息網絡安全領域的應用優勢

在當前的計算機信息網絡安全防護工作中，相比較傳統的被動防御技術而言，主動防御技術的應用優勢主要表現在以下幾方面：（1）可減緩各類非法入侵的速度，或直接導致入侵脫軌，使入侵行為不能順利完成，或無法繼續實施入侵。在這樣的情況下，入侵者便更容易在入侵行動中犯錯，從而其入侵媒介與IP地址更容易暴露。（2）就本質而言，主動防御技術屬于非對稱形式的防御技術，通過應用該技術，也可以進一步增加非法入侵者的入侵時間及入侵成本，從而顯著增加其入侵難度。（3）此項技術不僅可對外部網絡入侵局域網的行為做出及時檢測和有效阻止，還可以對局域網中的攻擊行為做出及時檢測和制止，比如加密劫持、勒索劫持以及勒索軟件等。（4）此項技術可對非法入侵者的入侵活動做到及時主動檢測與破壞，并對其入侵手法與威脅情報等進行全面搜集、分析和記錄，以此最大限度避免類似非法入侵事件的發生。（5）在某些特殊場合，該技術還可以向非法入侵者發出相應的反擊[2]。由此可見，主動防御技術在現代信息網絡安全領域中具有非常顯著的應用優勢。

1.3 主動防御技術在醫院信息網絡中的應用現狀

隨著當今網絡信息技術的飛速發展，主動防御技術已經在醫院信息網絡中得到了越來越廣泛的應用，并展現了顯著的應用價值。經實踐應用發現，主動防御技術可將醫院信息網絡中的各種潛在安全隱患有效消除，使醫院整體信息網絡系統都更具安全性，從而有效避免了信息丟失或信息泄露所導致的醫患糾紛情況。但是由于主動防御技術在我國醫院信息網絡中的應用時間比較短，以往的應用經驗也比較有限，所以實際應用并不成熟，比如定向攻擊聯動防御不佳、關聯分析安全聯動及其預警水平較差等[3]。如果這些問題得不到及時發現和有效解決，醫院信息網絡安全依然得不到有效保障。基于此，相關研究者與技術人員需加強主動防御技術的應用研究，解決其在醫院信息網絡安全防護中存在的問題，提升醫院信息網絡的安全性。

2 醫院信息網絡中的安全監測與安全感知

為能夠對醫院信息網絡安全勢態進行全面感知，研究者可將當前先進的大數據技術引入其中，構建一個醫院信息網絡安全監測框架。圖1是本次研究中設計的醫院信息網絡安全監測框架整體結構。

具體設計中，設計者需要將流量傳感器部署到醫院信息網絡前端服務器上，并將傳感器銜接到防火墻服務器程序里的輸出接口、TSA以及IDS上。在這樣的設計模式下，設計者將傳感器啟動，便可對APT、IPS、IDS以及TSA等各個前端服務器中的數據進行主動采集。在傳感器的數據收集過程中，其計算公式如下。

式（1）中，X代表傳感器向醫院信息網絡實時反饋的流量數據；代表醫院信息網絡里的數據傳輸距離；l代表醫院信息網絡中的節點序號，即第l個節點；c代表傳輸過程中數據的損失值。為有效防止網絡傳輸信道中干擾值對醫院信息網絡中采集到的流量數據產生不良影響，設計者與技術人員可通過如下公式來集中過濾和處理采集到的數據。

式（2）中，P代表過濾數據的方法；eval代表規范化的數據處理過程；a代表包含在數據中的白噪聲；J代表數據重組行為。在此過程中，傳感器會將處理好的數據匯總并儲存到Hadoop服務器里，借助于該服務器所具備的聚類、分析以及處理等功能，設計者與技術人員可進一步挖掘和分析這些信息網絡中的流量數據。在此過程中，要想實現醫院信息網絡中各類流量數據挖掘及其處理過程的全面描述，設計者與技術人員可應用如下計算公式。

式（3）中，Q代表醫院信息網絡中的各類流量數據挖掘及其處理過程；t代表數據輸出中的時序點；r代表隨機空間里數據處理時所形成的隨機數。通過以上公式的合理應用，服務器便可將不同時刻的醫院信息網絡流量數據挖掘及其處理結果輸出，并將這些數據按照時序進行排列[4]。這樣設計者與技術人員便可及時掌握醫院信息網絡中的流量異常情況，從而對醫院信息網絡做到科學、合理、及時、有效的安全監測和安全感知。

3 醫院信息網絡安全防護中的主動防御技術應用策略

3.1 定向攻擊聯動防御策略

在設計者與技術人員對醫院信息網絡實際的安全勢態做到充分掌握后，便可以此為依據，將主動防御技術合理引入其中，并結合醫院的實際信息網絡安全防護需求，為其設計相應的定向攻擊聯動防御機制。主動防御技術的基本應用功能是對抗醫院信息網絡中的入侵數據。在此過程中，數據進入端口會整合并協調處理各類的數據資源，對其進入端口的動態軌跡進行實時監測，以此來實現對各類數據的完整掌握。然后再將掌握到的情報數據作為依據，合理驅動對定向攻擊的主動防御，保障醫院網絡信息的安全性，并為協同指揮決策的高效制定提供有力支持[5]。在這樣的情況下，整個的醫院信息網絡聯動防御過程便相當于一個閉環結構。圖2是以主動防御技術為基礎設計的醫院信息網絡定向攻擊聯動防御過程示意圖。

圖2 醫院信息網絡定向攻擊聯動防御過程

1）在具體的主動防御設計與應用中，設計者和技術人員可用n維數據的形式來表示監測到的醫院信息網絡定向攻擊數據，并通過空間里的n維數據離散和集成處理來確保網絡模糊節點隸屬度最大值處于安全范圍之內。通過這樣的設計方式，便可實現醫院信息網絡整體安全性的良好保障。在此過程中，設計者可通過如下公式來描述醫院信息網絡的定向攻擊聯動防御過程。

式（4）中，B代表醫院信息網絡中的模糊節點隸屬度最大值；A代表醫院信息網絡規定的安全范圍；i代表模糊超盒數的實際規模。在經上述公式計算獲得醫院信息網絡模糊節點隸屬度最大值之后，技術人員可通過諸多功能防御技術里的隸屬函數來分析輸入模式數據的實際屬性程度。

2）在對此進行分析之前，技術人員首先需要將一個輸入模式數據隸屬度安全范圍預設到網絡前端，在發現信息網絡輸入端口數據隸屬度超出了預設安全范圍時，計算機便可判定此刻的信息網絡中有被攻擊的安全隱患存在。對于這樣的情況，設計者與技術人員可通過主動防御技術里的追溯算法來跟蹤其攻擊路徑。基于追溯算法的醫院信息網絡攻擊路徑跟蹤計算公式如下。

式（5）中，b代表醫院信息網絡中的定向攻擊路徑主動防御時的跟蹤行為；h代表攻擊數據的可追溯范圍；ε代表醫院信息網絡數據的隸屬度；x代表輸入模式數據隸屬度規定的安全范圍。在主動防御技術的具體應用中，借助于上述公式，便可對醫院信息網絡中的定向攻擊做出有效的聯動防御。

3.2 基于關聯分析的安全防御和預警策略

1）在主動御技術的具體應用中，醫院信息網絡中的安全防護和安全預警主要通過關聯分析法來實現。該方法可對醫院信息網絡中的日志信息進行提取和回溯分析，并對其中的TCP會話過程進行查看與檢測，實現對醫院信息網絡非法攻擊事件整個過程的全面掌握[6]。對于這個過程，技術人員可通過如下公式進行計算。

式（6）中，conf 代表醫院信息網絡攻擊事件的整個過程；Y代表TCP會話行為；sup代表回溯過程；y代表醫院信息網絡中的日志信息。將上述計算結果作為基礎，技術人員便可獲取到攻擊事件里的主要日志信息屬性，包括其攻擊類型、攻擊行為、目標IP地址、攻擊源位置以及攻擊時間等。

2）通過各種屬性信息的集成，技術人員便可分析出各類信息之間的關聯性，并通過如下公式進行計算。

式（7）中，u0代表日志信息所具有的關聯程度；L代表攻擊源位置；p代表目標IP地址；

3）將獲得的計算結果作為依據，設計者與技術人員便可對醫院信息網絡中的主動防御行為做出合理設計，其計算公式如下。

式（8）中，F代表醫院信息網絡中的主動防御行為；T代表主動防御時間；τ代表主動防護路徑；k代表安全防護行為所能達到的覆蓋范圍。在對醫院信息網絡進行安全防護時，技術人員只需要將防護行為啟動，防護指令便可經時間窗傳輸到終端，并形成一個相應的知識庫。在知識庫里的數據積累到一定量之后，其中集成的數據挖掘技術便會對原始傳輸信息以及報警信息關聯性進行主動分析，并將報警事件關聯圖示輸出[7]。通過這樣的方式，系統便可對醫院信息網絡中的攻擊行為及時作出安全預警。

4 醫院信息網絡安全防護中的主動防御技術應用測試

4.1 測試對象

為驗證上述主動防御技術應用策略的有效性，在本次測試中，特將KKD-CPU-188數據集用作試點醫院數據庫里的測試數據。表1為本次測試中所選的試點醫院儲存信息類型情況。

表1 試點醫院儲存信息類型情況

對于上述信息，可按照安全數據和入侵數據這兩種類型進行劃分。本次測試中，特將其中的安全數據用作實驗數據，將入侵數據用作測試數據。

4.2 測試過程

（1）可行性測試

將上述的設計內容作為基礎，測試人員先將重要資產流傳感器、防護墻和流量傳感器部署到試點醫院網絡監測終端；然后在網絡環境中隨機導入測試數據，借助于大數據技術對試點醫院中的信息網絡進行安全監測與安全感知，并完成了試點醫院終端網絡在測試時間段內的流量截取，以此來確保監測結果的連續性。

在完成試點醫院信息網絡中的安全監測與安全感知之后，測試人員借助主動防御技術，為該試點醫院設計了定向攻擊聯動防御模式。在聯動防御中，測試人員主要通過關聯分析網絡數據的方法來實施信息網絡的安全防護和安全預警。

具體測試中，根據上述方法，為該試點醫院信息網絡建立一個信息安全傳輸模式。用1代表傳輸終端，用2代表接收終端，用3代表傳輸信道；讓隨機選取的實驗數據由1向2傳輸，讓測試數據在3中對傳輸中的實驗數據實施攻擊。

經測試發現，在數據包由1向2的網絡傳輸中，數據包的變化趨勢具有規律性。但是當受到了外部攻擊之后，數據包便呈現主動離散狀態，這樣便可有效防止數據包傳輸時的真實信息被非法獲取。當數據包傳輸到接收終端，又會被重整為規律變化形式。這樣的方式，可使醫院信息網絡具備更高的安全性，說明主動防御技術具有良好的可行性。

（2）防篡改能力測試

在通過上述方法對該技術的可行性做出驗證之后，測試人員又測試了此項技術在信息網絡中的防篡改能力。具體測試時，測試人員先將信息網絡中需要傳輸的數據包大小隨機設置在發送終端，然后在接收終端對接收到的數據包大小進行統計，并通過上述兩項數據的對比來判斷數據包大小是否在傳輸中發生改變。在此過程中，測試人員將入侵程序隨機插入到了信息網絡里，通過如下公式來計算防篡改率。

式（9）中，C代表醫院信息網絡中的防篡改率；C2代表接收到的數據包大小，C1代表發送出的數據包大小。在通過上述公式對該試點醫院信息網絡信息傳輸中的防篡改率進行了多次測試之后，獲取到的測試結果如表2所示。

經上述測試結果可知，本次提出的主動控制技術應用策略在醫院信息網絡安全防護中具有非常高的防篡改率。因此，在對醫院信息網絡進行安全防護時，通過合理應用此項技術，可顯著提升其信息傳輸的安全性。

5 結語

綜上所述，主動防御技術是目前針對計算機網絡攻擊所研究的一種先進防護技術。不同于傳統的被動防御技術，此項技術可對各種信息網絡安全威脅及攻擊行為做出準確預測，并以此為基礎做好相應的安全防控工作。憑借著安全性高、適應性強等諸多優勢，主動防御技術在現代醫院信息網絡安全防護中發揮著至關重要的作用。基于此，在對醫院信息網絡實施安全防護的過程中，設計者與技術人員一定要對此項技術做到充分了解，并結合醫院信息網絡實際情況，對其加以合理應用，盡最大限度提升醫院信息網絡的安全性。