防火墙与入侵检测系统在医院网络安全中的应用

◆程兆生

防火墙与入侵检测系统在医院网络安全中的应用

◆程兆生

（赤峰市医院 内蒙古 024000）

由于受到科技快速发展的支持，为了维护各个领域行业的数据安全，防火墙被不断研发并正随着科技水平的提升而不断升级，具有阻挡外来不明数据及病毒等作用，有效对防火墙内部数据进行保护，其中医院也同样正使用防火墙来保护病人病历、医院设备信息等重要数据。而为了提高对数据的防护，则必须采用防火墙与入侵检测系统结合的方式，在提高防护效率的同时促进医院内人员工作的顺利进行，同时对保护病人的生命安全也起到重要作用。因此本文对我国医院网络安全现状进行分析，并针对防火墙及入侵检测系统在医院网络中的具体应用展开探讨。

防火墙；入侵检测系统；医院网络安全

0 前言

首先，现如今我国绝大部分医院已全面进入现代化模式，而医院每日会出现大量病人。而病人的病历、医嘱、看病流程等会都是医院重要数据的组成部分；其次,医院购进医疗设备、床位、医疗资源等都需要利用网络对其数据进行记录，而一点丢失则容易使医院遭受巨大经济损失。基于以上两点，医院则建立数据保障安全系统来维护医院网络安全，其中包括防火墙。目前我国大部分医院内采用的防火墙多为经典模式，通过将防火墙设置在路由器与内部网络之间，将内外网络隔离开来，形成最基本的防护模式。

1 医院网络安全存在的问题

由于防火墙的主要作用是防止并阻挡外来入侵数据和病毒，如果在医院网络内部网络环境中出现攻击数据，防火墙则无法对其进行采取任何有效措施。但根据防火墙被设计时的主要目的与理念来看，防火墙的主要针对目标就是外部入侵病毒，内部病毒攻击等则与防火墙功能无关。但由于部分医院自身意识不足，在网络安全系统只运用到防火墙一种防护系统，因此只能起到“防”的作用，而并未存在“护”功能。而具不完全统计，我国医院网络安全问题中，有80%以上出现与医院网络内部，人员操作失误、内部人员泄密等，都是造成内部网络受到侵害的主要原因，由此可见，若想要实现内外同时增强医院网络安全，不仅需要设置防火墙，同时也需要在内部运用入侵检测技术，与防火墙充分结合，加强对医院网络的保护。

2 入侵检测系统

IDS（入侵检测系统）是一种主动防御攻击的新型网络安全系统，在功能上弥补了防火墙的缺陷，使整个安全防御体系更趋完善、可靠，不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。一个经典的入侵检测系统的部署方式如图1所示。

图1 经典入侵检测系统部署拓扑图

3 入侵检测与防火墙结合的原理分析

防火墙主要作用于内外网络之间，而由于这两种网络信任程度不同，因此则需要利用安全策略加强防火墙的功能作用，防止出现对内部网络信任产生危害的外来数据进入内部，达到安全保护内部环境不受外部侵害的目的。但由于防火墙功能主要针对外部网络，则无法对内部进行监控或防护，而一旦有防火墙无法防范的危险数据则能够轻松绕过防火墙，对内部进行侵略；而IDS入侵检测系统的运用，可以对医院内部数据环境及外部网络情况进行实时检测，一旦发现有外来入侵的征兆，则会及时对该征兆进行判断并采取措施对其防范，进一步提高医院网络安全。而通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对医院网络关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞，IDS系统仍然可以检测到相应的攻击事件，并调整系统状态，对未来可能发生的侵入做出警告。

由于入侵检测技术的主要功能是对内外入侵数据进行检测，而如果只运用该技术是远远无法达到有效保护医院网络安全作用的。因此，将IDS与防火墙进行有效结合形成联动。IDS系统能够及时对外部入侵行为进行察觉并向防火墙发出请求，而防火墙在对外阻止过程中一旦发现安全策略以外的攻击数据则能够及时向IDS发出信号，使其能够及时调整策略，达到充分提高医院网络安全的效果。

4 防火墙与IDS联动的模型设计

本次设计与以往防火墙与入侵检测系统叠加而成的模式不同，而是在进行结合前将这两个系统分别进行研究，并充分分析这两个系统中的各项功能与其自身存在的优势与缺点。并在充分研究后将两个系统有效结合，通过互补原则将二者的优势进行叠加，并利用相互作用对二者的缺点进行完善。该系统看似简单透明，但系统中具有Snort系统的优势如图2所示，能够通过软件包的监听获得网络数据包，然后增加入侵检测分析功能。其主要的方法是建立具体的特征库，基于规则审计分析，并能够进行包的数据内容搜索/匹配，从而实现入侵检测分析功能。

图2 Snort模块图

而在进行结合时，入侵检测系统可以在防火墙内外随意设置，而由于防火墙自身对于医院网络的内部攻击无法进行处理，则本人认为，将入侵检测放在防火墙内更加合理。而为了进一步提高医院网络安全，可将检测器放在防火墙外面，一旦外界有攻击数据发现检测器，则会先对检测器展开攻击，从而减少其对防火墙的破坏。

而将检测器放置在防火墙内部，也具有一定优势:(1)当外来数据入侵时时防火墙可先对其安全性进行判断，减少检测器的误报警情况；(2)一旦有外来入侵病毒或数据入侵进来，检测器可第一时间对防火墙出现的失误进行及时判断；(3)能够使防火墙充分发挥起作用，当出现弱小攻击时防火墙完全可以将其阻挡在外，不必动用检测器对其进行检测，从而增加对内部网络环境的安全保护。

5 IDS和防火墙的互动

防火墙和入侵检测系统互动具体步骤如下:

（1）初始化通信连接时，一般由IDS向Firewall发起连接。

（2）建立正常连接后，当IDS产生需要通知Firewall的安全事件时，通过发送约定格式的数据包，来完成向传递必要的互动信息。

（3）Firewall收到互动信息后，可以实施互动行为，并将结果（成功与否）以约定格式的数据包反馈给IDS。

6 结束语

综上所述，虽然防火墙系统能够有效阻挡外界入侵数据的攻击，但由于该系统中受现代科技水平限制，仍存在一定漏洞。因此并不能完全将外界所有入侵行为进行阻挡，而内部环境不属于防火墙系统保护范围。因此，为维护医院网络安全，则需要利用入侵检测系统与防火墙充分结合，在对内部进行检测的同时也能够对外部入侵行为进行检测及预防，充分发挥二者的作用。

本文通过对IDS入侵检测系统与经典防火墙及二者的原理进行分析，并对二者结合方式与互动进行阐述，而这二者通过结合后能够利用双方优势弱化对方缺点的同时进一步提高防护系统性能，大大提高了医院网络系统的安全性。为促进医院工作稳定进行奠定坚实基础，同时也期望能够为我国医院网络安全防护系统水平的提升提供参考依据。

[1]李林，卢显良.一种针对规则集不一致性的测试数据包选取算法[J].计算机科学，2011.

[2]张雪芹，顾春华，吴吉义.异常检测中支持向量机最优模型选择方法[J].电子科技大学学报，2011.

[3]张昱，谢小鹏.基于遗传相关向量机的图像分类技术[J].计算机仿真，2011.