張建忠 毛亮

【 摘 要 】 醫(yī)院的網(wǎng)絡(luò)信息管理系統(tǒng)中存在大量重要數(shù)據(jù)，一旦入侵后果不堪設(shè)想，為了提高醫(yī)院網(wǎng)絡(luò)管理系統(tǒng)的安全系數(shù)，保證其穩(wěn)定有序的運(yùn)行，采用多種防御抵制手段。論文針對入侵檢測技術(shù)在醫(yī)院信息化建設(shè)中的安全應(yīng)用進(jìn)行介紹，闡述入侵檢測的一些基本概念，并探討將來的研究發(fā)展方向。

【 關(guān)鍵詞 】 入侵檢測系統(tǒng)；醫(yī)院信息化；安全應(yīng)用

【 中圖分類號 】 TP393 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

【 Abstract 】 Network information management system of hospital， there are a lot of important data， once invaded， the consequences could be disastrous， in order to improve the safety factor of the hospital network management system to ensure the stable and orderly operation， using a variety of defense against means. This article will introduce the application of intrusion detection technology in the construction of hospital information， expounds some basic concepts of the intrusion detection， and discusses the future research direction.

【 Keywords 】 intrusion detection system； hospital information； security application

1 引言

隨著現(xiàn)代信息技術(shù)的運(yùn)用廣泛，醫(yī)院也采用現(xiàn)代信息來進(jìn)行管理運(yùn)作，而現(xiàn)在的網(wǎng)絡(luò)信息管理中，要隨時(shí)防御網(wǎng)上的一些攻擊行為，一旦出現(xiàn)網(wǎng)絡(luò)攻擊，將會(huì)造成數(shù)據(jù)的嚴(yán)重?fù)p失，特別是像醫(yī)院包含有大量的患者信息，若是遭受網(wǎng)絡(luò)攻擊出現(xiàn)數(shù)據(jù)錯(cuò)落或被更改的現(xiàn)象，將產(chǎn)生危及患者生命等嚴(yán)重的后果，所以更加需要嚴(yán)密的防御系統(tǒng)來確保醫(yī)院信息化建設(shè)的安全。

在醫(yī)院的管理系統(tǒng)中，普遍采用了防火墻作為第一道防御，將外界互聯(lián)網(wǎng)上的不安全問題隔離開來，但是對于那些正在發(fā)生的攻擊問題和攻擊行為，防火墻卻不能夠主動(dòng)防御，甚至在防火墻沒有檢測出而過濾掉的危險(xiǎn)問題進(jìn)入了內(nèi)部管理系統(tǒng)，防火墻也是不能檢測出來的。因此，積極引入入侵檢測技術(shù)對醫(yī)院的信息管理系統(tǒng)進(jìn)行檢測和管理，能夠及時(shí)針對系統(tǒng)中出現(xiàn)的問題去解決，也能夠?qū)⒁l(fā)生的問題進(jìn)行預(yù)估，提前防備將要出現(xiàn)的問題，避免更大的損失產(chǎn)生。

入侵檢測技術(shù)就是通過對安全日志和行為以及一些審查資料的觀察和分析，檢查網(wǎng)絡(luò)入侵問題，這種檢測方法主要是利用以往保存的一些資料，像上網(wǎng)行為、安全日志等數(shù)據(jù)來進(jìn)行分析，一旦出現(xiàn)異常，將會(huì)啟動(dòng)預(yù)警防御系統(tǒng)，阻止企圖侵入系統(tǒng)攻擊系統(tǒng)的非法行為和手段。

2 入侵檢測技術(shù)的分類

大致可以將入侵檢測分為幾類：基于主機(jī)的入侵檢測系統(tǒng)一般是檢測主機(jī)上的入侵、數(shù)據(jù)來源于系統(tǒng)審計(jì)日志、基于網(wǎng)絡(luò)的入侵檢測主要檢測網(wǎng)絡(luò)上的入侵、數(shù)據(jù)信息來源于網(wǎng)絡(luò)上的信息流，還有分布式入侵檢測系統(tǒng)分布在網(wǎng)絡(luò)環(huán)境中，監(jiān)視主機(jī)和網(wǎng)絡(luò)。

3 入侵檢測系統(tǒng)在醫(yī)院信息化建設(shè)中安全的應(yīng)用

入侵檢測系統(tǒng)在醫(yī)院的信息化管理中是分為收集信息和對收集的信息進(jìn)行分析兩部分。

首先，醫(yī)院管理系統(tǒng)中儲(chǔ)存管理者大量的數(shù)據(jù)信息，收集信息主要是對系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)，以及用戶活動(dòng)行為狀態(tài)進(jìn)行收集。而入侵檢測數(shù)據(jù)信息一般是系統(tǒng)的日志文件、改變的一些不正常文件和目錄，或者一些不正常的程序執(zhí)行等。那些反常的日志行為，比如用戶的ID變化，網(wǎng)絡(luò)中的系統(tǒng)文件被破壞了，出現(xiàn)了些非期望中的行為等都有可能已經(jīng)存在著網(wǎng)絡(luò)攻擊了。

其次，分析則主要是對這些信息進(jìn)行分析，找出問題所在。入侵檢測就是通過大量的數(shù)據(jù)對比，從這些數(shù)據(jù)中找出異常，確定問題的癥結(jié)所在，才是真正解決問題的方法。在對這些海量的數(shù)據(jù)信息分析時(shí)，一般采用模式匹配，也就是將剛得到的信息與之前正常建立的行為數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行對比，從而找出不一樣的地方，讓自身計(jì)算機(jī)有所防備。

而統(tǒng)計(jì)分析則是根據(jù)給定的對象建立統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用的完整性分析。和之前的模式匹配應(yīng)該存在大致相像處，比較屬性的平均值。當(dāng)有數(shù)據(jù)超過了正常的范圍內(nèi)，就會(huì)被看成是入侵問題。除了模式匹配外，還有完整性分析方法，這種主要是重點(diǎn)關(guān)注某個(gè)對象或文件，一般也是針對那些重要的文件，入侵檢測能夠通過那些加密手段來識(shí)別一些微小差異。

與之前的模式匹配不同，在進(jìn)行批處理的時(shí)候，有些分析就只能在事后進(jìn)行，也就是發(fā)生了網(wǎng)絡(luò)攻擊才會(huì)進(jìn)行分析，那么就不會(huì)實(shí)時(shí)預(yù)警，不會(huì)給網(wǎng)絡(luò)或主機(jī)一個(gè)警告，那么主機(jī)也就不能攔截即將遇到的問題。

除上述兩種方法外還有專家系統(tǒng)，專家系統(tǒng)主要是針對那些較為智能的設(shè)備，運(yùn)用智能的方法進(jìn)行掃描檢查和分析。這種主要依賴專家系統(tǒng)建立起來的知識(shí)庫，就是依靠著建立的不同規(guī)則進(jìn)行，而這些知識(shí)庫和不同的規(guī)則又是取決于專家系統(tǒng)的知識(shí)庫是否完備。

4 以網(wǎng)絡(luò)分布式入侵檢測為例分析醫(yī)院信息化建設(shè)中安全的應(yīng)用

醫(yī)院主要分為員工和病患管理系統(tǒng)，還有看病和藥品管理系統(tǒng)等多個(gè)模塊，不同的醫(yī)院會(huì)根據(jù)自己內(nèi)部的管理系統(tǒng)就不同的模塊進(jìn)行不同的入侵檢測應(yīng)用。以網(wǎng)絡(luò)分布式入侵檢測為例，這種入侵檢測則是由兩個(gè)部分組成，分別是入侵檢測引擎和管理控制臺(tái)。從入侵檢測引擎這方面來看，它有兩個(gè)叫數(shù)據(jù)獲口和查詢管理口這樣的以太網(wǎng)接口，是專用的硬件設(shè)備，可保護(hù)一個(gè)網(wǎng)段，數(shù)據(jù)獲口用以檢查引擎被接在被保護(hù)的那個(gè)網(wǎng)段上，是以隱身的模式來獲取數(shù)據(jù)的，然后在進(jìn)行相應(yīng)的分析處理，一旦發(fā)現(xiàn)了異常行為或事件，則會(huì)調(diào)用預(yù)警裝置，發(fā)出警報(bào)，向系統(tǒng)的管理員進(jìn)行多種形式的報(bào)警，或者主動(dòng)地把將發(fā)生攻擊的連接進(jìn)行切斷，阻止即將發(fā)生的事件，使系統(tǒng)呈現(xiàn)防御狀態(tài)和應(yīng)對處理狀態(tài)。

4.1 查詢管理口

查詢管理口是連接在網(wǎng)絡(luò)上的，主要是管理引擎和控制臺(tái)之間進(jìn)行通信的接口。引擎包含有捕獲、虛擬機(jī)、過濾器智能分析、記錄器等模塊，還有攻擊特征庫。而對檢測引擎來說，要有很好的可擴(kuò)展性，其采用的是模塊化設(shè)計(jì)結(jié)構(gòu)，還要能夠進(jìn)行在線升級，將攻擊特征庫和軟件程序都一一進(jìn)行更新。

4.2 管理控制臺(tái)

管理控制臺(tái)是安裝在主機(jī)上的。主要是針對檢測引擎的軟件程序，可以 對其進(jìn)行配置、管理和查詢等。入侵檢測為了防范系統(tǒng)的抵御措施在關(guān)鍵時(shí)刻失效，對網(wǎng)絡(luò)中的重要運(yùn)行關(guān)節(jié)點(diǎn)進(jìn)行實(shí)時(shí)檢測，以便及時(shí)發(fā)現(xiàn)攻擊者行為和識(shí)別系統(tǒng)資源被濫用的行為。一旦出現(xiàn)異常，入侵檢測系統(tǒng)就會(huì)發(fā)出報(bào)警信號，讓網(wǎng)絡(luò)系統(tǒng)進(jìn)行響應(yīng)。

對于管理系統(tǒng)中的防火墻裝置來說，這只是一個(gè)外部防御機(jī)制，不能檢測到內(nèi)部系統(tǒng)是否存在沒有被過濾的攻擊事件，不能實(shí)時(shí)對內(nèi)部進(jìn)行監(jiān)控，也不能對正在進(jìn)行攻擊的事件予以阻斷。那么入侵檢測系統(tǒng)可以和防火墻裝置聯(lián)合起來使用，可將入侵檢測引擎設(shè)置在內(nèi)網(wǎng)，那些網(wǎng)絡(luò)攻擊事件只有穿過防火墻才會(huì)被入侵檢測系統(tǒng)檢測出來，一旦入侵檢測系統(tǒng)檢查到了防火墻應(yīng)該阻止而沒有阻止的事件進(jìn)入到了系統(tǒng)的內(nèi)網(wǎng)中，就可以判斷防火墻裝置的設(shè)置出現(xiàn)了問題，或產(chǎn)生了一種新的防火墻不能過濾的攻擊問題。通過這樣入侵檢測裝置可以監(jiān)聽檢測到內(nèi)網(wǎng)的連接。

除此之外，還可以監(jiān)聽外網(wǎng)對于內(nèi)網(wǎng)的攻擊，入侵檢測系統(tǒng)通過接收到防火墻外的信息，讓管理員可以一目了然的知道外界的攻擊。

5 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用給醫(yī)院管理系統(tǒng)帶來了極大的便利，但同時(shí)網(wǎng)絡(luò)本身常發(fā)生的網(wǎng)絡(luò)攻擊問題又讓醫(yī)院的管理處于不安全的狀態(tài)。增強(qiáng)網(wǎng)絡(luò)安全，制定有效的安全防御策略和方案對醫(yī)院管理來說尤為重要。入侵檢測機(jī)制是網(wǎng)絡(luò)信息安全審計(jì)中的重要技術(shù)之一，能夠動(dòng)態(tài)的檢測系統(tǒng)的內(nèi)部安全，衡量其防御系統(tǒng)是否有效。

將入侵檢測系統(tǒng)應(yīng)用到醫(yī)院的管理系統(tǒng)中可實(shí)時(shí)監(jiān)測系統(tǒng)，不僅彌補(bǔ)了傳統(tǒng)防御技術(shù)的不足，如防火墻裝置作為第一層防御卻相對于靜態(tài)防御的不足，入侵檢測系統(tǒng)卻是一種主動(dòng)防御機(jī)制，能夠?qū)⒁羰录A(yù)估，對正在攻擊事件進(jìn)行切斷連接保護(hù)管理系統(tǒng)，提高了醫(yī)院管理系統(tǒng)的網(wǎng)絡(luò)安全防御能力，能夠讓醫(yī)院的網(wǎng)絡(luò)安全圍墻更加堅(jiān)固的抵御外界攻擊事件，提高醫(yī)院整體的網(wǎng)絡(luò)防御和系統(tǒng)管理。

參考文獻(xiàn)

[1] 劉海清.計(jì)算機(jī)輔助教學(xué)在農(nóng)村初中歷史教育應(yīng)用分析[J].劍南文學(xué)（經(jīng)典教苑），2013.

[2] 趙歡.現(xiàn)代教育技術(shù)在農(nóng)村初中歷史教學(xué)中的應(yīng)用[D].河北師范大學(xué)，2014.

[3] 盧興平.入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)信息安全中的應(yīng)用研究[J].醫(yī)療衛(wèi)生裝備，2010.

[4] 郭德超等.防火墻與入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2009.

作者簡介：

張建忠（1969-），男，重慶萬州人，工程師；主要研究方向和關(guān)注領(lǐng)域： 計(jì)算機(jī)網(wǎng)絡(luò)安全。