全流量分析技術在醫院信息網絡安全中的運用實踐

摘要：隨著醫院信息系統的數字化和網絡化，網絡安全問題日益突出。全流量分析技術作為一種有效的網絡安全監控手段，其在醫院信息網絡安全中的應用對于及時發現和防御網絡威脅至關重要。探討了全流量分析技術在醫院信息網絡安全中的運用實踐，介紹了全流量分析技術的基本概念和工作原理，包括數據包捕獲、流量分析和安全事件關聯等。通過實際案例分析，展示了全流量分析技術在醫院識別網絡攻擊和定位安全風險中的運用。

關鍵詞：醫院信息網絡；全流量分析；網絡安全

中圖分類號：TP393.08 文獻標識碼：A

0 引言

隨著醫療數智化的快速發展，醫療行業的網絡安全問題變得越來越重要，醫療機構信息網絡一旦遭到攻擊、破壞、竊取，將對醫療機構聲譽和醫患雙方隱私構成嚴重威脅，甚至影響患者的身體健康和生命安全。

本文研究了全流量分析技術在醫院信息網絡安全中的運用實踐，通過分析醫院信息網絡結構的特點來采集部署網絡全流量采集分析工具，研究基于開源框架的復合網絡流量采集技術，選擇合適的高性能數據庫來存儲數據和構建索引；研究了基于網絡全流量資產識別技術，以發現醫院信息網絡中的“兩高一弱”資產，利用威脅情報中的惡意IP或域名特征，與全流量網絡會話中的IP和域名進行快速對比分析；同時構建安全分析規則，并且利用全流量元數據進行安全分析。

1 醫院信息網絡全流量監測

1.1 醫院信息網絡采集部署

醫院網絡是專門用于支持醫院運營的計算機網絡，它包括硬件、軟件、通信協議和數據管理等多個方面。醫院網絡包含了網絡中心核心層、分布層、接入層、服務器群和數據中心、無線網絡、互聯網接入邊界等。醫院網絡通常分為內部網絡（內網）和外部網絡（外網），這種劃分有助于提高安全性和網絡管理的效率。內網是醫院內部使用的網絡，通常不直接與互聯網相連，以保護敏感數據和系統，用于醫院內部的臨床操作、患者數據管理、醫療設備通信等，內網中的設備通常通過有線或無線的方式連接；外網是醫院與外部世界（如互聯網）連接的網絡，用于遠程訪問、數據交換、在線服務和與外部合作伙伴的通信，外網通常通過專門的網關設備連接到互聯網，這些設備負責管理進出醫院網絡的流量。在大多數情況下，內網和外網在物理上是完全隔離的，從而減少安全風險。

在醫院網絡中選擇全流量網絡采集點位是一個關鍵的決策過程，因為它直接影響網絡監控的有效性和數據的完整性。首先，需要詳細了解醫院的網絡架構，包括網絡拓撲、關鍵節點、流量模式和數據流；其次，選擇網絡安全風險集中或需要重點保護的對象區域，如關鍵資產和數據敏感區域；最后，選擇網絡中流量集中的點，如核心交換機、路由器或網絡匯聚點，這些網絡設備需具有鏡像功能，以支持旁路部署。此外，在內網和外網的邊界、不同安全區域之間設置采集點，以監控進出流量。

1.2 網絡全流量采集與處理

網絡全流量采集是一個復雜的過程，涉及捕獲、存儲和分析網絡中傳輸的所有數據，醫院信息網絡全流量采集是指對醫院內部網絡中所有的數據通信進行監控和記錄的過程。本文采用了多種開源流量采集技術，包括支持多種網絡協議且具有強大的過濾和分析功能的Wireshark軟件；開源網絡分析框架Zeek提供了豐富的網絡分析功能，包括協議解碼、事件檢測和數據記錄的能力[1]。

網絡全流量采集的數據，既有網絡流量數據包，又有會話日志，將采集的數據范式化處理為網絡流量元數據。網絡流量元數據是指在網絡通信過程中生成的關于數據包和網絡會話的描述性信息。這些信息通常不包括數據包的實際內容，而是提供了關于數據傳輸的上下文信息，是用于網絡安全分析最優質的對象數據。元數據設計包含了20個字段，如源目的IP地址、源目標端口、協議、開始結束時間戳、數據包方向、數據包大小、應用類型等。

1.3 數據存儲與索引

網絡全流量分析通常涉及大量數據的捕獲、存儲和查詢，因此選擇合適的數據庫對于處理這些數據至關重要。考慮到醫院信息網絡數據規模、查詢的復雜性、系統的可擴展性、性能要求以及維護的便利性，本文選擇基于全文搜索引擎 Lucene構建的搜索和分析引擎數據庫Elasticsearch作為本文實踐的數據庫。其可以存儲全流量分析中的元數據，具有快速的全文搜索能力，并且可以處理大量數據，為后續的威脅檢測規則構建和查詢提供必要的能力[2]。

2 全流量分析技術在醫院信息網絡安全中的應用

2.1 醫院信息網絡系統資產識別

基于網絡全流量的醫院信息網絡系統資產識別技術是一種通過分析網絡流量對網絡中所有設備和資源進行識別和分類的方法。這種技術對于醫院信息網絡系統的安全管理至關重要，因為它可以幫助醫院了解其網絡環境中存在的資產、資產的配置和通信模式，以及可能面臨的安全風險。

分析采集的全流量數據包所提取出的源IP、目的IP、端口號、協議類型等元數據，識別網絡流量中使用的協議，如超文本傳輸協議（hypertext transfer protocol，HTTP）、超文本傳輸安全協議（hypertext transfer protocol secure，HTTPS）、文件傳輸協議（file transfer protocol，FTP）、安全外殼（secure shell，SSH）協議等，確定在網絡上運行的服務類型（如Web服務、數據庫服務、郵件服務），識別網絡流量中特定應用程序的通信模式，統計分析網絡流量，識別流量模式和通信行為。根據設備類型、服務和應用程序，將網絡資產進行分類，構建一個包含所有識別出的網絡資產的數據庫，記錄資產的詳細信息和狀態，存儲于數據庫Elasticsearch中，定期更新資產數據庫，確保資產信息的準確性，實施持續監控，以及時發現新加入的資產或資產的變更。

通過醫院信息網絡系統資產識別，將醫院信息網絡中的軟件、操作系統、網絡設備的版本號與互聯網曝光的漏洞版本號進行對比，發現存在高危漏洞的網絡資產；通過分析元數據中的端口號記錄，發現存在135、137、138、139、445、3389等被攻擊者利用且進行非法訪問、入侵或攻擊的網絡風險端口；通過分析元數據中的密碼記錄，發現密碼明文風險或密碼弱口令風險，如123456、888888、admin等；通過資產數據庫的持續監控，發現違規接入的新設備或長期持續無人監管的設備等。

2.2 利用威脅情報與全流量快速關聯分析

網絡全流量會話IP和域名與威脅情報（indicator of compromise，IOC）的快速對比檢測和關聯分析是一種有效的網絡安全威脅檢測方法。它可以幫助醫院信息安全管理人員及時發現并響應潛在的安全威脅。從各種來源（如政府機構、網絡安全公司、開源社區等）收集威脅情報，整合和標準化IOC數據，存儲于數據庫Elasticsearch中，以便于分析和對比。IOC類型包括IP地址、域名、統一資源定位系統（uniform resource locator，URL）、文件哈希等，將捕獲的流量元數據與IOC數據庫進行對比，一旦檢測到與IOC匹配的流量，通過可視化工具展示對比結果，生成詳細的報告。

2.3 網絡流量安全規則分析

分析采集的全流量數據包所提取出的源IP、目的IP、端口號、協議類型等元數據，采用一個單位時間，篩選流量中的IP、IP：PORT等網絡實體，選擇一系列指標、標簽并且分別從時間、數量、方向、頻率等維度刻畫網絡實體的通信行為。基于單位時間對網絡實體進行持續、長久的狀態和行為累積，建立網絡實體的通信行為檔案。選擇連續的歷史信息進行綜合，從標簽指標中選擇一些重要維度，或者通過對歷史標簽、指標進行流量大小、收發比、會話統計等運算，派生出其他的指標、標簽，建立網絡實體的行為基準。將形成的快照與行為基準進行比較，進而以網絡實體為聚焦點，發現網絡異常，構建10個以上的基線行為規則，并且進行網絡流量安全分析。以POP3（post office protocol-version 3）可疑會話分析為例，當傳輸控制協議（transmission control protocol，TCP）連接使用POP3協議的端口（默認為TCP110），但不傳輸任何POP3數據時，即判斷為異常，這說明網絡中可能存在疑似欺騙攻擊的應用程序，或者通過TCP110端口代理工作的可疑網絡行為。網絡流量安全分析規則示例如表1所示。

2.4 網絡安全分析告警與可視化

可視化系統可以幫助安全分析師和IT專業人員更直觀地理解和分析網絡流量、安全事件和系統狀態，通常包括數據收集、處理、存儲和可視化展示的功能。本文選擇Grafana開源可視化管理框架，它支持多種數據源，如 Prometheus、InfluxDB、Elasticsearch 等，提供了豐富的圖表和面板用于數據可視化，能實現網絡流量監控、安全事件分析、威脅情報關聯、資產可視化等功能。

3 運用實踐分析

3.1 評估指標體系的構建

通過搭建醫院信息網絡模擬環境，利用路由器、交換機設備等組網，在網絡內部署免費版的醫院不良事件上報系統、醫護管理考評系統、醫院郵件系統、醫院體檢檔案管理系統、醫院設備管理系統、醫院在線考試系統、醫院無線上網管理系統等，并將路由器接入互聯網，模擬醫院互聯網接入邊界網絡。

利用掃描工具對醫院信息網絡進行探測掃描，評估全流量分析技術在探測階段的分析能力；通過映射醫院在線考試系統的445、3389端口到互聯網，評估全流量分析技術對資產風險的識別能力；通過醫院郵件系統服務器向境外虛擬服務器主動發起連接，并傳輸數據，評估全流量分析技術在數據出境方面的分析能力。

3.2 效果評估分析

在模擬的醫院信息網絡環境中，開展系統漏洞利用、系統弱口令探測、端口代理欺騙、遠程端口開放掃描、數據出境等5個網絡攻擊竊取行為的操作，評估全流量分析技術在醫院信息網絡安全中的運用效果，經過評估分析（表2），證明了全流量分析技術在醫院網絡安全中的有效性。

3.3 實例應用分析與實踐結果

為驗證所提的全流量分析技術在醫院信息網絡中的實用性，本文選取某地區試點醫院作為實驗對象。為確保實驗結果的可靠性，從該試點醫院的內網核心交換機和外網網絡邊緣交換機中采集雙向網絡鏡像流量，采集周期為一天，將采集的數據包導入本文的復合網絡流量采集工具，并進行網絡安全分析。實踐過程中發現了弱口令“admin”和“123456”，進而分析得出非醫院運維工程師違規接入4G無線路由器的行為（用于遠程維護該公司的醫院系統），根據實踐結果，證明了全流量分析技術在醫院信息網絡安全中的有效性[3]。

4 結論與展望

本文針對全流量分析技術在醫院信息網絡安全中的運用實踐進行了深入探討與實證研究，經過理論分析、技術探討與構建、評估測試，實踐結果表明全流量分析技術的應用可以提升醫院信息網絡的安全防御能力。然而，該研究亦存在不足，部分技術細節尚待完善，如需要構建更多的全流量檢測規則并持續優化、模擬醫院網絡環境的局限性和試點醫院實踐案例數量有限等。未來，將持續深化技術實踐并拓寬研究范圍，以期構建更安全、可靠的醫院信息網絡環境，從而為醫院信息安全事業做出重要貢獻。

參考文獻

[1] 沈萍，陳俊麗，張漢舉.增強的Zeek網絡流量采集與監控分析系統設計[J/OL].計算機技術與發展，2024：1-8[2024-08-21]. https：//doi.org/10.20165/j.cnki.ISSN1673-629X.2024.0196.

[2] 張雯，盛穎怡，張曉晴，等.基于ElasticSearch的個人敏感信息檢測系統[J].常熟理工學院學報，2022，36（5）：33-36.

[3] 王梅.主動防御技術在醫院信息網絡安全中的運用實踐[J].科技資訊，2024，22（14）：16-18.