馬 勇

（寧夏固原市人民醫(yī)院,寧夏 固原 756000）

隨著現(xiàn)代計算機網(wǎng)絡技術的應用和發(fā)展，網(wǎng)絡信息技術已經(jīng)被廣泛應用到了醫(yī)院的日常工作中，并為醫(yī)護人員和患者等帶來了諸多便利。但是在實際應用中，由于受到各方面因素的影響，醫(yī)院信息網(wǎng)絡很容易出現(xiàn)一些安全風險。在這樣的情況下，醫(yī)院信息網(wǎng)絡的安全防護便成了應用者與運維技術人員重點關注的一項內(nèi)容。而在現(xiàn)代醫(yī)院的信息網(wǎng)絡安全防護中，主動防御技術發(fā)揮著至關重要的作用。為合理應用此項技術，研究者與技術人員首先需要對主動防護技術及其在醫(yī)院信息安全防護中的應用情況做到充分了解，然后再結(jié)合目前醫(yī)院信息網(wǎng)絡的實際安全防護需求，充分發(fā)揮出主動防御技術的應用優(yōu)勢，提升醫(yī)院信息網(wǎng)絡的安全性。

1 主動防御技術及其在醫(yī)院信息網(wǎng)絡安全中的應用概述

1.1 主動防御技術

主動防御技術是與傳統(tǒng)被動防御技術相對應的一種新型計算機網(wǎng)絡安全防護技術。此項技術可在信息系統(tǒng)受到非法入侵之前便及時對相應的入侵行為做出精準預測，并通過彈性防御體系的及時、有效構(gòu)建來實現(xiàn)信息系統(tǒng)安全風險的降低、轉(zhuǎn)移和避免[1]。就目前計算機信息網(wǎng)絡安全防護中應用的主動防御技術而言，其主要層次包括以下3個：（1）資源訪問控制層，該層可對用戶計算機信息網(wǎng)絡中的進程啟動、特定系統(tǒng)AP調(diào)用、文件調(diào)用以及注冊表調(diào)用等系統(tǒng)資源實施規(guī)則化控制，以此有效預防木馬、病毒等惡意程序非法利用這些資源，從而有效抵御未知的木馬和病毒等攻擊行為。（2）資源訪問掃描層，該層可對用戶計算機信息網(wǎng)絡中的腳本、郵件、引導區(qū)和文件等資源進行訪問，并對攔截的上下文內(nèi)容進行掃描來識別其中存在的各種安全威脅，從而實現(xiàn)對惡意代碼的及時、有效處理。（3）進程活動行為判定層，該層可對來自上述兩層的進程動作和特征信息進行自動收集，并對其進行合理的加工與判斷處理，以此來實現(xiàn)對各類危險行為的合理分析與提煉，在不需要用戶參與的情況下便可自動識別并阻止計算機信息網(wǎng)絡中的后門、木馬以及病毒等各種未知的惡意程序。

1.2 主動防御技術在信息網(wǎng)絡安全領域的應用優(yōu)勢

在當前的計算機信息網(wǎng)絡安全防護工作中，相比較傳統(tǒng)的被動防御技術而言，主動防御技術的應用優(yōu)勢主要表現(xiàn)在以下幾方面：（1）可減緩各類非法入侵的速度，或直接導致入侵脫軌，使入侵行為不能順利完成，或無法繼續(xù)實施入侵。在這樣的情況下，入侵者便更容易在入侵行動中犯錯，從而其入侵媒介與IP地址更容易暴露。（2）就本質(zhì)而言，主動防御技術屬于非對稱形式的防御技術，通過應用該技術，也可以進一步增加非法入侵者的入侵時間及入侵成本，從而顯著增加其入侵難度。（3）此項技術不僅可對外部網(wǎng)絡入侵局域網(wǎng)的行為做出及時檢測和有效阻止，還可以對局域網(wǎng)中的攻擊行為做出及時檢測和制止，比如加密劫持、勒索劫持以及勒索軟件等。（4）此項技術可對非法入侵者的入侵活動做到及時主動檢測與破壞，并對其入侵手法與威脅情報等進行全面搜集、分析和記錄，以此最大限度避免類似非法入侵事件的發(fā)生。（5）在某些特殊場合，該技術還可以向非法入侵者發(fā)出相應的反擊[2]。由此可見，主動防御技術在現(xiàn)代信息網(wǎng)絡安全領域中具有非常顯著的應用優(yōu)勢。

1.3 主動防御技術在醫(yī)院信息網(wǎng)絡中的應用現(xiàn)狀

隨著當今網(wǎng)絡信息技術的飛速發(fā)展，主動防御技術已經(jīng)在醫(yī)院信息網(wǎng)絡中得到了越來越廣泛的應用，并展現(xiàn)了顯著的應用價值。經(jīng)實踐應用發(fā)現(xiàn)，主動防御技術可將醫(yī)院信息網(wǎng)絡中的各種潛在安全隱患有效消除，使醫(yī)院整體信息網(wǎng)絡系統(tǒng)都更具安全性，從而有效避免了信息丟失或信息泄露所導致的醫(yī)患糾紛情況。但是由于主動防御技術在我國醫(yī)院信息網(wǎng)絡中的應用時間比較短，以往的應用經(jīng)驗也比較有限，所以實際應用并不成熟，比如定向攻擊聯(lián)動防御不佳、關聯(lián)分析安全聯(lián)動及其預警水平較差等[3]。如果這些問題得不到及時發(fā)現(xiàn)和有效解決，醫(yī)院信息網(wǎng)絡安全依然得不到有效保障。基于此，相關研究者與技術人員需加強主動防御技術的應用研究，解決其在醫(yī)院信息網(wǎng)絡安全防護中存在的問題，提升醫(yī)院信息網(wǎng)絡的安全性。

2 醫(yī)院信息網(wǎng)絡中的安全監(jiān)測與安全感知

為能夠?qū)︶t(yī)院信息網(wǎng)絡安全勢態(tài)進行全面感知，研究者可將當前先進的大數(shù)據(jù)技術引入其中，構(gòu)建一個醫(yī)院信息網(wǎng)絡安全監(jiān)測框架。圖1是本次研究中設計的醫(yī)院信息網(wǎng)絡安全監(jiān)測框架整體結(jié)構(gòu)。

具體設計中，設計者需要將流量傳感器部署到醫(yī)院信息網(wǎng)絡前端服務器上，并將傳感器銜接到防火墻服務器程序里的輸出接口、TSA以及IDS上。在這樣的設計模式下，設計者將傳感器啟動，便可對APT、IPS、IDS以及TSA等各個前端服務器中的數(shù)據(jù)進行主動采集。在傳感器的數(shù)據(jù)收集過程中，其計算公式如下。

式（1）中，X代表傳感器向醫(yī)院信息網(wǎng)絡實時反饋的流量數(shù)據(jù)；代表醫(yī)院信息網(wǎng)絡里的數(shù)據(jù)傳輸距離；l代表醫(yī)院信息網(wǎng)絡中的節(jié)點序號，即第l個節(jié)點；c代表傳輸過程中數(shù)據(jù)的損失值。為有效防止網(wǎng)絡傳輸信道中干擾值對醫(yī)院信息網(wǎng)絡中采集到的流量數(shù)據(jù)產(chǎn)生不良影響，設計者與技術人員可通過如下公式來集中過濾和處理采集到的數(shù)據(jù)。

式（2）中，P代表過濾數(shù)據(jù)的方法；eval代表規(guī)范化的數(shù)據(jù)處理過程；a代表包含在數(shù)據(jù)中的白噪聲；J代表數(shù)據(jù)重組行為。在此過程中，傳感器會將處理好的數(shù)據(jù)匯總并儲存到Hadoop服務器里，借助于該服務器所具備的聚類、分析以及處理等功能，設計者與技術人員可進一步挖掘和分析這些信息網(wǎng)絡中的流量數(shù)據(jù)。在此過程中，要想實現(xiàn)醫(yī)院信息網(wǎng)絡中各類流量數(shù)據(jù)挖掘及其處理過程的全面描述，設計者與技術人員可應用如下計算公式。

式（3）中，Q代表醫(yī)院信息網(wǎng)絡中的各類流量數(shù)據(jù)挖掘及其處理過程；t代表數(shù)據(jù)輸出中的時序點；r代表隨機空間里數(shù)據(jù)處理時所形成的隨機數(shù)。通過以上公式的合理應用，服務器便可將不同時刻的醫(yī)院信息網(wǎng)絡流量數(shù)據(jù)挖掘及其處理結(jié)果輸出，并將這些數(shù)據(jù)按照時序進行排列[4]。這樣設計者與技術人員便可及時掌握醫(yī)院信息網(wǎng)絡中的流量異常情況，從而對醫(yī)院信息網(wǎng)絡做到科學、合理、及時、有效的安全監(jiān)測和安全感知。

3 醫(yī)院信息網(wǎng)絡安全防護中的主動防御技術應用策略

3.1 定向攻擊聯(lián)動防御策略

在設計者與技術人員對醫(yī)院信息網(wǎng)絡實際的安全勢態(tài)做到充分掌握后，便可以此為依據(jù)，將主動防御技術合理引入其中，并結(jié)合醫(yī)院的實際信息網(wǎng)絡安全防護需求，為其設計相應的定向攻擊聯(lián)動防御機制。主動防御技術的基本應用功能是對抗醫(yī)院信息網(wǎng)絡中的入侵數(shù)據(jù)。在此過程中，數(shù)據(jù)進入端口會整合并協(xié)調(diào)處理各類的數(shù)據(jù)資源，對其進入端口的動態(tài)軌跡進行實時監(jiān)測，以此來實現(xiàn)對各類數(shù)據(jù)的完整掌握。然后再將掌握到的情報數(shù)據(jù)作為依據(jù)，合理驅(qū)動對定向攻擊的主動防御，保障醫(yī)院網(wǎng)絡信息的安全性，并為協(xié)同指揮決策的高效制定提供有力支持[5]。在這樣的情況下，整個的醫(yī)院信息網(wǎng)絡聯(lián)動防御過程便相當于一個閉環(huán)結(jié)構(gòu)。圖2是以主動防御技術為基礎設計的醫(yī)院信息網(wǎng)絡定向攻擊聯(lián)動防御過程示意圖。

圖2 醫(yī)院信息網(wǎng)絡定向攻擊聯(lián)動防御過程

1）在具體的主動防御設計與應用中，設計者和技術人員可用n維數(shù)據(jù)的形式來表示監(jiān)測到的醫(yī)院信息網(wǎng)絡定向攻擊數(shù)據(jù)，并通過空間里的n維數(shù)據(jù)離散和集成處理來確保網(wǎng)絡模糊節(jié)點隸屬度最大值處于安全范圍之內(nèi)。通過這樣的設計方式，便可實現(xiàn)醫(yī)院信息網(wǎng)絡整體安全性的良好保障。在此過程中，設計者可通過如下公式來描述醫(yī)院信息網(wǎng)絡的定向攻擊聯(lián)動防御過程。

式（4）中，B代表醫(yī)院信息網(wǎng)絡中的模糊節(jié)點隸屬度最大值；A代表醫(yī)院信息網(wǎng)絡規(guī)定的安全范圍；i代表模糊超盒數(shù)的實際規(guī)模。在經(jīng)上述公式計算獲得醫(yī)院信息網(wǎng)絡模糊節(jié)點隸屬度最大值之后，技術人員可通過諸多功能防御技術里的隸屬函數(shù)來分析輸入模式數(shù)據(jù)的實際屬性程度。

2）在對此進行分析之前，技術人員首先需要將一個輸入模式數(shù)據(jù)隸屬度安全范圍預設到網(wǎng)絡前端，在發(fā)現(xiàn)信息網(wǎng)絡輸入端口數(shù)據(jù)隸屬度超出了預設安全范圍時，計算機便可判定此刻的信息網(wǎng)絡中有被攻擊的安全隱患存在。對于這樣的情況，設計者與技術人員可通過主動防御技術里的追溯算法來跟蹤其攻擊路徑?；谧匪菟惴ǖ尼t(yī)院信息網(wǎng)絡攻擊路徑跟蹤計算公式如下。

式（5）中，b代表醫(yī)院信息網(wǎng)絡中的定向攻擊路徑主動防御時的跟蹤行為；h代表攻擊數(shù)據(jù)的可追溯范圍；ε代表醫(yī)院信息網(wǎng)絡數(shù)據(jù)的隸屬度；x代表輸入模式數(shù)據(jù)隸屬度規(guī)定的安全范圍。在主動防御技術的具體應用中，借助于上述公式，便可對醫(yī)院信息網(wǎng)絡中的定向攻擊做出有效的聯(lián)動防御。

3.2 基于關聯(lián)分析的安全防御和預警策略

1）在主動御技術的具體應用中，醫(yī)院信息網(wǎng)絡中的安全防護和安全預警主要通過關聯(lián)分析法來實現(xiàn)。該方法可對醫(yī)院信息網(wǎng)絡中的日志信息進行提取和回溯分析，并對其中的TCP會話過程進行查看與檢測，實現(xiàn)對醫(yī)院信息網(wǎng)絡非法攻擊事件整個過程的全面掌握[6]。對于這個過程，技術人員可通過如下公式進行計算。

式（6）中，conf 代表醫(yī)院信息網(wǎng)絡攻擊事件的整個過程；Y代表TCP會話行為；sup代表回溯過程；y代表醫(yī)院信息網(wǎng)絡中的日志信息。將上述計算結(jié)果作為基礎，技術人員便可獲取到攻擊事件里的主要日志信息屬性，包括其攻擊類型、攻擊行為、目標IP地址、攻擊源位置以及攻擊時間等。

2）通過各種屬性信息的集成，技術人員便可分析出各類信息之間的關聯(lián)性，并通過如下公式進行計算。

式（7）中，u0代表日志信息所具有的關聯(lián)程度；L代表攻擊源位置；p代表目標IP地址；

3）將獲得的計算結(jié)果作為依據(jù)，設計者與技術人員便可對醫(yī)院信息網(wǎng)絡中的主動防御行為做出合理設計，其計算公式如下。

式（8）中，F(xiàn)代表醫(yī)院信息網(wǎng)絡中的主動防御行為；T代表主動防御時間；τ代表主動防護路徑；k代表安全防護行為所能達到的覆蓋范圍。在對醫(yī)院信息網(wǎng)絡進行安全防護時，技術人員只需要將防護行為啟動，防護指令便可經(jīng)時間窗傳輸?shù)浇K端，并形成一個相應的知識庫。在知識庫里的數(shù)據(jù)積累到一定量之后，其中集成的數(shù)據(jù)挖掘技術便會對原始傳輸信息以及報警信息關聯(lián)性進行主動分析，并將報警事件關聯(lián)圖示輸出[7]。通過這樣的方式，系統(tǒng)便可對醫(yī)院信息網(wǎng)絡中的攻擊行為及時作出安全預警。

4 醫(yī)院信息網(wǎng)絡安全防護中的主動防御技術應用測試

4.1 測試對象

為驗證上述主動防御技術應用策略的有效性，在本次測試中，特將KKD-CPU-188數(shù)據(jù)集用作試點醫(yī)院數(shù)據(jù)庫里的測試數(shù)據(jù)。表1為本次測試中所選的試點醫(yī)院儲存信息類型情況。

表1 試點醫(yī)院儲存信息類型情況

對于上述信息，可按照安全數(shù)據(jù)和入侵數(shù)據(jù)這兩種類型進行劃分。本次測試中，特將其中的安全數(shù)據(jù)用作實驗數(shù)據(jù)，將入侵數(shù)據(jù)用作測試數(shù)據(jù)。

4.2 測試過程

（1）可行性測試

將上述的設計內(nèi)容作為基礎，測試人員先將重要資產(chǎn)流傳感器、防護墻和流量傳感器部署到試點醫(yī)院網(wǎng)絡監(jiān)測終端；然后在網(wǎng)絡環(huán)境中隨機導入測試數(shù)據(jù)，借助于大數(shù)據(jù)技術對試點醫(yī)院中的信息網(wǎng)絡進行安全監(jiān)測與安全感知，并完成了試點醫(yī)院終端網(wǎng)絡在測試時間段內(nèi)的流量截取，以此來確保監(jiān)測結(jié)果的連續(xù)性。

在完成試點醫(yī)院信息網(wǎng)絡中的安全監(jiān)測與安全感知之后，測試人員借助主動防御技術，為該試點醫(yī)院設計了定向攻擊聯(lián)動防御模式。在聯(lián)動防御中，測試人員主要通過關聯(lián)分析網(wǎng)絡數(shù)據(jù)的方法來實施信息網(wǎng)絡的安全防護和安全預警。

具體測試中，根據(jù)上述方法，為該試點醫(yī)院信息網(wǎng)絡建立一個信息安全傳輸模式。用1代表傳輸終端，用2代表接收終端，用3代表傳輸信道；讓隨機選取的實驗數(shù)據(jù)由1向2傳輸，讓測試數(shù)據(jù)在3中對傳輸中的實驗數(shù)據(jù)實施攻擊。

經(jīng)測試發(fā)現(xiàn)，在數(shù)據(jù)包由1向2的網(wǎng)絡傳輸中，數(shù)據(jù)包的變化趨勢具有規(guī)律性。但是當受到了外部攻擊之后，數(shù)據(jù)包便呈現(xiàn)主動離散狀態(tài)，這樣便可有效防止數(shù)據(jù)包傳輸時的真實信息被非法獲取。當數(shù)據(jù)包傳輸?shù)浇邮战K端，又會被重整為規(guī)律變化形式。這樣的方式，可使醫(yī)院信息網(wǎng)絡具備更高的安全性，說明主動防御技術具有良好的可行性。

（2）防篡改能力測試

在通過上述方法對該技術的可行性做出驗證之后，測試人員又測試了此項技術在信息網(wǎng)絡中的防篡改能力。具體測試時，測試人員先將信息網(wǎng)絡中需要傳輸?shù)臄?shù)據(jù)包大小隨機設置在發(fā)送終端，然后在接收終端對接收到的數(shù)據(jù)包大小進行統(tǒng)計，并通過上述兩項數(shù)據(jù)的對比來判斷數(shù)據(jù)包大小是否在傳輸中發(fā)生改變。在此過程中，測試人員將入侵程序隨機插入到了信息網(wǎng)絡里，通過如下公式來計算防篡改率。

式（9）中，C代表醫(yī)院信息網(wǎng)絡中的防篡改率；C2代表接收到的數(shù)據(jù)包大小，C1代表發(fā)送出的數(shù)據(jù)包大小。在通過上述公式對該試點醫(yī)院信息網(wǎng)絡信息傳輸中的防篡改率進行了多次測試之后，獲取到的測試結(jié)果如表2所示。

經(jīng)上述測試結(jié)果可知，本次提出的主動控制技術應用策略在醫(yī)院信息網(wǎng)絡安全防護中具有非常高的防篡改率。因此，在對醫(yī)院信息網(wǎng)絡進行安全防護時，通過合理應用此項技術，可顯著提升其信息傳輸?shù)陌踩浴?/p>

5 結(jié)語

綜上所述，主動防御技術是目前針對計算機網(wǎng)絡攻擊所研究的一種先進防護技術。不同于傳統(tǒng)的被動防御技術，此項技術可對各種信息網(wǎng)絡安全威脅及攻擊行為做出準確預測，并以此為基礎做好相應的安全防控工作。憑借著安全性高、適應性強等諸多優(yōu)勢，主動防御技術在現(xiàn)代醫(yī)院信息網(wǎng)絡安全防護中發(fā)揮著至關重要的作用?；诖?，在對醫(yī)院信息網(wǎng)絡實施安全防護的過程中，設計者與技術人員一定要對此項技術做到充分了解，并結(jié)合醫(yī)院信息網(wǎng)絡實際情況，對其加以合理應用，盡最大限度提升醫(yī)院信息網(wǎng)絡的安全性。