基于医院的网络安全解决方案作者:孙平波来源:《电脑知识与技术》2009年第26期摘要:医院网络安全是保障医疗业务正常进行的基础,该文研究了医院网络安全解决方案的设计与实现,涉及到安全方案的模型、防火墙隔离以及医疗业务数据的捕获。
该文为医院网络安全系统的建设提供一定的借鉴作用。
关键词:网络安全;医院网络;防火墙中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7364-02Hospital-based Network Security SolutionsSUN Ping-bo(Department of Information, Changhai Hospital, Shanghai 200433, China)Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.Key words: network security; the hospital network; firewall随着科学技术的发展和信息时代的来临,几乎所有的医院都建立了信息网络,实现了信息资源的网络共享。
但在具体建设这个医院网络平台时中,往往都只重视怎样迅速把平台搭建起来和能够马上投入使用,而忽视了在医院网络平台建设过程中信息安全的建设,包括如何保障医疗业务的正常进行、患者及医生信息的合法访问,如何使医院网络平台免受黑客、病毒、恶意软件和其它不良意图的攻击已经成为急需解决的问题。
1 医院网络安全解决方案的设计1.1网络方案的模型本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。
P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
安全策略是P2DR安全模型的核心。
在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。
这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。
根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。
医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。
医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。
1.2 防火墙隔离的设计防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。
它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。
在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。
因此,对应用服务器和内部网络应该采用不同的安全策略。
本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。
将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。
内部网络除了外部防火墙的保护外。
还采用堡垒主机(代理服务器)对内部网络进行更加深一些层的保护。
通过核心交换机的路由功能将想要进入内部网络的数据包路由到代理服务器中,由包过滤原则。
过滤一些内部网络不应看到的网站信息等。
内部路由器将所有内部用户到因特网的访问均路由到代理服务嚣,代理服务器进行地址翻译。
为这些用户提供服务.以此屏蔽内部网络。
这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。
防火墙系统结构设计如图2所示。
虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。
因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。
1.3 医疗业务数据的捕获如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。
只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。
本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。
其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal 等,我们使用了Tcpdump。
记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。
防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。
对于windows系统,可以借助第三方应用程序来记录系统日志信息。
现在大多数的攻击者都会使用加密来与被黑系统进行通信。
要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。
2 医院网络安全解决方案的实现2.1 防火墙系统的布置本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。
这台堡垒主机起到的就是代理服务器的作用。
防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。
2.2 医疗业务数据捕获的实现本文研究的数据捕获主要从三层进行数据捕获。
我们在网桥下运行如下命令进行捕获:TCPDUMP -c 10 –i eth1 -s 0 –w /log为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。
Sebek是个隐藏的记录攻击者行为的内核补丁。
一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。
医院的网络安全系统数据捕获是由内核模块来完成的,本文研究使用这个模块获得主机内核空间的访问,从而捕获所有read()的数据。
Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。
替换原来的函数就是改变系统调用表的函数指针。
本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。
以下就是一个linux配置文件的实例:INTERFACE="eth0" //设定接口DESTINATION_IP="172.17.1.2" //设定远程服务器IPDESTINATION_MAC="00:0C:29:I5:96:6E" //设定远程服务器MACSOURCE_PORT=1101 //设定源地址UDP端口DESTINATION_PORT=1101 //设定目标地址UDP端口MAGIC_VALUE=XXXXX //如果同一网段有多个客户端,则设定相同的数值KEYSTOKE_ONLY=1 //是否只记录键击记录3 结束语该文对医院网络安全的解决方案进行了较深入的研究,但该系统采用的技术也不能说是完善的,一方面因为它们也在不断发展中,另一方面是因为设计者的水平有局限。
比如医院网络的数据捕获技术,它本身就是一个十分复杂的技术问题,解决的手段也是多样的。
参考文献:[1] 张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(7):21-25.[2] 曲春燕.浅谈医院信息网络安全[J].中国民康医学,2009(8):131-135.。