医院网络安全防护建设与应用

◆陈树生 曲 强 魏 宾 申宝明

（青岛大学附属医院信息管理部 山东 266003）

医院网络安全防护建设与应用

◆陈树生 曲 强 魏 宾 申宝明

（青岛大学附属医院信息管理部 山东 266003）

本文从医院当前对网络安全的新需求出发，以现有的防火墙和网闸为基础，新增IPS、Web防火墙和漏洞扫描系统等设备，提出从被动防护和主动防护两个方面，以被动防护为主，主动防护为辅的方式，综合运用多种网络安全防护设备，构建医院的网络安全防护体系，从而全面提高医院网络安全防护的水平。对其他医院的网络安全防护建设也具有一定的借鉴意义。

网络安全；被动防护；主动防护

0 引言

随着信息化建设的深入开展，医院的网络也越来越复杂，其日常业务对网络的依赖性日益增加，一家医院是否拥有稳定、安全可靠的计算机网络，成为业务发展的重要保障。

1 医院对网络安全的新需求

在医院网络建设初期，防火墙和网闸等访问控制设备对保障医院内部网络安全起到了至关重要的作用。随着时代的发展，这些传统网络防护设备面临着巨大的挑战。一是来自互联网的外部威胁不断增加，诸如DDoS攻击、缓冲区溢出攻击、Web应用攻击、SQL注入攻击、XSS跨站脚本攻击和木马蠕虫攻击等攻击手法大多来自于应用层，传统的防火墙只能起到部分防护作用；二是医院信息化建设持续深入，网络应用不断增加，需要向互联网开放更多的端口，导致网络安全的压力不断加大；三是对医院内部网络的稳定性和可用性提出了更高要求，包括网络和服务器的抗攻击能力，应对网络攻击的响应能力和恢复能力等；四是医院中能够接入互联网的主机越来越多，主机的使用者往往缺乏网络安全知识，这些主机可能会造成带宽滥用、垃圾邮件、计算机病毒、间谍软件等安全威胁。为了应对这些挑战，需要增加新的安全设备，构建能够满足医院网络安全需求的防护体系。

2 构建网络安全防护体系

医院的网络在不断扩展，联网设备不断增加，医院的业务对计算机网络的依赖持续加深。在网络防护中，除了应用防火墙和网闸保护内部网络之外，还应该充分利用入侵防御系统 IPS、Web防火墙和漏洞扫描等系统，满足医院网络中不同区域对网络安全的不同层次需求，从被动防护和主动防护两个方面，构建医院网络安全防护体系，全面提升网络安全的防护水平。图1显示了医院网络防护设备的拓扑。由防火墙、网闸、IPS、Web防火墙组成被动防护体系，漏洞扫描系统进行主动防护。被动防护完成日常的网络防护，主动防护可以及时探测并发现网络中存在的弱点，进行相应的系统更新和打补丁，同时在被动防护中进行保护。

图1 医院网络防护拓扑

3 网络安全的被动防护

被动防护是传统的网络防御方式，是在预先设定网络可能会受到多种攻击的基础上构筑被动式静态网络安全防护体系，以期对所受攻击逐一化解。随着网络安全形势的复杂化，医院在构建自身的被动防护过程中，根据实际的安全需要，增加了 IPS和Web防火墙等设备，和防火墙与网闸一起，构成较为完备的被动防护体系。

3.1 IPS

IPS根据布署方式可分为三大类：基于主机的 IPS系统(HIPS)、基于网络的IPS系统(NIPS)和基于应用的IPS系统AIPS，在医院网络中部署的是基于网络的下一代 IPS。IPS的工作原理主要为：（1）将从防火墙接收到的数据拆包分类检查，异常数据直接丢弃，其他数据进入系统并被转发到相应的过滤器中。（2）根据过滤器中的算法和规则对数据包进行匹配，匹配成功的被标为命中。（3）将命中的数据包丢弃，与其相关的流信息被更新并告知系统丢弃该流中剩余的所有内容。IPS具有强大的入侵检测能力，低误报率和漏报率，可以在线转发数据的情况下实时地进行响应，可以动态阻断入侵数据包的连接。IPS的核心是实时监测和根据策略防护，难点是如何根据本网络的特点制定相适应的防护策略。

IPS串接部署在防火墙和内部核心交换机之间。

3.2 Web防火墙

医院网站的访问量越来越大，是医院对外宣传和对外提供网络服务的窗口，网站和与之配套的数据库成为医院越来越重要的资产，而网站因受到攻击而出现错误或无法访问会给医院带来很大的负面影响。Web防火墙又被称为 Web应用安全防护系统，是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备。具有防止SQL注入、跨站脚本、跨站请求伪造、网页挂马、Web恶意扫描等攻击的功能；可以防止网页被篡改、盗链，进行流量控制和保护Cookie；还可以增加新的安全策略来应对新的网站攻击手段。

Web防火墙部署在核心交换机和Web相关的若干服务器之间。

3.3 细化防护策略——扎好防护的篱笆

为了不影响网络的访问，在上线之初，IPS和Web防火墙并没有应用严格的防护策略，这需要在日后的使用过程中，根据医院网络的实际情况对策略进行调整，逐步形成一套和医院网络特点相适应的安全策略。日志系统能够实时显示网络中攻击事件和处理情况，如图2所示：从图中可以看到，24小时内的安全事件都做了阻断处理。

图2 一小时攻击事件统计

再以今年2月6日为例，24小时之内，受到各类攻击1115次，图3为排名靠前的安全事件。SQL注入攻击和XSS脚本注入等常见攻击手法已经做了丢弃数据包的策略设置。当天新出现的是Struts2_S2远程命令执行攻击，这种存在于Apache Struts2框架中的安全漏洞可能会导致远程执行任意代码，这种攻击的目的端是Web服务器。在策略库中找到这条策略，设置为丢弃数据包，系统再检测到此类攻击的数据包就会直接丢弃，从而保证不会再受到这种攻击的影响。

图3 事件排名统计

4 网络安全的主动防护

主动防护是站在黑客或者网络攻击者的角度，对网络进行主动扫描和渗透测试，找出网络中服务器、主机或者网络设备上存在的弱点，并且及时消除这些弱点，最大程度地降低网络被攻击或利用的风险。在医院网络中主要应用了漏洞扫描系统。

4.1 漏洞扫描系统

漏洞扫描系统以基于网络的方式对网络中的服务器、主机和网络设备进行安全脆弱性检测，寻找是否有可被利用的安全漏洞。网络管理员根据扫描的结果生成评估报告，以此评估报告为基础，消除网络安全漏洞和系统中的错误配置，在黑客或蠕虫等病毒造成危害前进行防范，同时也极大地减少内网用户对其他设备的非授权访问或获取敏感信息。漏洞扫描系统的一大关键是要不断更新漏洞数据库，乌云网每天都会曝出数十个安全漏洞，要识别这些新的安全漏洞就要及时更新漏洞的数据库。

漏洞扫描系统旁路连接在核心交换机上。还可以根据实际需要配置在核心内网，或者在某些子网配置代理，进行分布式扫描。为确保不给医院网络带来额外负担，对网络的扫描通常安排在非业务高峰期进行。

4.2 安全评估——像黑客一样思考

医院近期要上线一台支持支付宝和微信支付的服务器，其操作系统采用CentOS7，Web服务器采用Nginx+Tomcat，数据库采用MySQL。在开发人员将服务器根据业务的需要配置好之后，由网络管理员对该服务器进行扫描探测，并将探测结果形成安全评估报告，看是否能达到要求的安全标准。图4是该服务器安全评估报告中的漏洞统计。

图4 漏洞安全级别统计

报告显示，该服务器存在“MySQL Server 代码执行漏洞(CVE-2014-6491)”，是存在于5.6.20及之前版本的MySQL Server组件中的高危漏洞，远程攻击者可利用该漏洞执行任意代码。评估报告同时给出了消除此类漏洞的方法。将此报告提交给开发人员后，开发人员根据报告中提到的消除漏洞方法，逐一打补丁。之后再次对该服务器进行扫描探测，评估报告显示，该服务器没有可被利用的安全漏洞，风险评估状态为“低风险”，可以正常上线。当然，这个过程可能不会这么顺利，给服务器打补丁后可能会带来新的漏洞，如果在再次评估中发现这种情况，就会根据评估报告的提示去打相应的补丁，整个过程如此循环，直到安全评估报告符合要求。

在该服务器上线两天后，从IPS的日志中看到有数百次对该服务器的HTTP_SQL注入攻击，IPS已经将此攻击行为阻断。服务器通过安全评估上线之后，并非就能高枕无忧。随着时间的推移，服务器中各种应用软件可能会曝出新的安全漏洞；另一方面，服务器在应用过程中，开发人员可能会根据需求增加新的代码或功能模块，这些引入的代码和模块也可能隐含未发现的安全漏洞，甚至威胁到服务器乃至整个网络的安全。因此，应该利用漏洞扫描这种主动防护手段定期对网络中的服务器进行安全评估，确认其安全状态。

5 结论与展望

应用效果：一是对网络安全状况随时掌握，包括内外网的流量、受到攻击的次数以及源头和目标，并且可以随时以图表的形式直观地表现全网的网络安全状况。二是能够及时对网络攻击行为进行阻断，防止攻击行为造成实质性破坏。三是受攻击的次数呈下降趋势，由半年前平均每周受到26000余次攻击，减少为目前平均每周6400余次攻击。

我们应该看到，每种网络安全防护措施有其优点，也有不足，在越来越复杂的网络环境之下，单一运用某种安全产品并不能保障网络安全；另一方面，网络安全状态也在不断变化，各种新的安全漏洞不断被挖掘出来。可以通过综合运用被动防护和主动防护技术，将多个安全设备有机地结合起来，为医院网络构建起一个全方位、多层次的网络防护体系，从而最大程度地保障医院网络的安全。

[1]王洲.医院内外网互联中的边界安全防护[J].电脑编程技巧与维护，2015.

[2]兰巨龙，程东年，刘文芬等.信息网络安全与防护技术[M].北京:人民邮电出版社，2014.

[3]杜天一.网络入侵与防御技术探究[J].电子测试，2016.