淺談入侵檢測系統(tǒng)在醫(yī)院信息化建設(shè)中安全應(yīng)用

張建忠 毛亮

【 摘 要 】 醫(yī)院的網(wǎng)絡(luò)信息管理系統(tǒng)中存在大量重要數(shù)據(jù)，一旦入侵后果不堪設(shè)想，為了提高醫(yī)院網(wǎng)絡(luò)管理系統(tǒng)的安全系數(shù)，保證其穩(wěn)定有序的運行，采用多種防御抵制手段。論文針對入侵檢測技術(shù)在醫(yī)院信息化建設(shè)中的安全應(yīng)用進行介紹，闡述入侵檢測的一些基本概念，并探討將來的研究發(fā)展方向。

【 關(guān)鍵詞 】 入侵檢測系統(tǒng)；醫(yī)院信息化；安全應(yīng)用

【 中圖分類號 】 TP393 【 文獻標(biāo)識碼 】 A

【 Abstract 】 Network information management system of hospital， there are a lot of important data， once invaded， the consequences could be disastrous， in order to improve the safety factor of the hospital network management system to ensure the stable and orderly operation， using a variety of defense against means. This article will introduce the application of intrusion detection technology in the construction of hospital information， expounds some basic concepts of the intrusion detection， and discusses the future research direction.

【 Keywords 】 intrusion detection system； hospital information； security application

1 引言

隨著現(xiàn)代信息技術(shù)的運用廣泛，醫(yī)院也采用現(xiàn)代信息來進行管理運作，而現(xiàn)在的網(wǎng)絡(luò)信息管理中，要隨時防御網(wǎng)上的一些攻擊行為，一旦出現(xiàn)網(wǎng)絡(luò)攻擊，將會造成數(shù)據(jù)的嚴重損失，特別是像醫(yī)院包含有大量的患者信息，若是遭受網(wǎng)絡(luò)攻擊出現(xiàn)數(shù)據(jù)錯落或被更改的現(xiàn)象，將產(chǎn)生危及患者生命等嚴重的后果，所以更加需要嚴密的防御系統(tǒng)來確保醫(yī)院信息化建設(shè)的安全。

在醫(yī)院的管理系統(tǒng)中，普遍采用了防火墻作為第一道防御，將外界互聯(lián)網(wǎng)上的不安全問題隔離開來，但是對于那些正在發(fā)生的攻擊問題和攻擊行為，防火墻卻不能夠主動防御，甚至在防火墻沒有檢測出而過濾掉的危險問題進入了內(nèi)部管理系統(tǒng)，防火墻也是不能檢測出來的。因此，積極引入入侵檢測技術(shù)對醫(yī)院的信息管理系統(tǒng)進行檢測和管理，能夠及時針對系統(tǒng)中出現(xiàn)的問題去解決，也能夠?qū)⒁l(fā)生的問題進行預(yù)估，提前防備將要出現(xiàn)的問題，避免更大的損失產(chǎn)生。

入侵檢測技術(shù)就是通過對安全日志和行為以及一些審查資料的觀察和分析，檢查網(wǎng)絡(luò)入侵問題，這種檢測方法主要是利用以往保存的一些資料，像上網(wǎng)行為、安全日志等數(shù)據(jù)來進行分析，一旦出現(xiàn)異常，將會啟動預(yù)警防御系統(tǒng)，阻止企圖侵入系統(tǒng)攻擊系統(tǒng)的非法行為和手段。

2 入侵檢測技術(shù)的分類

大致可以將入侵檢測分為幾類：基于主機的入侵檢測系統(tǒng)一般是檢測主機上的入侵、數(shù)據(jù)來源于系統(tǒng)審計日志、基于網(wǎng)絡(luò)的入侵檢測主要檢測網(wǎng)絡(luò)上的入侵、數(shù)據(jù)信息來源于網(wǎng)絡(luò)上的信息流，還有分布式入侵檢測系統(tǒng)分布在網(wǎng)絡(luò)環(huán)境中，監(jiān)視主機和網(wǎng)絡(luò)。

3 入侵檢測系統(tǒng)在醫(yī)院信息化建設(shè)中安全的應(yīng)用

入侵檢測系統(tǒng)在醫(yī)院的信息化管理中是分為收集信息和對收集的信息進行分析兩部分。

首先，醫(yī)院管理系統(tǒng)中儲存管理者大量的數(shù)據(jù)信息，收集信息主要是對系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)，以及用戶活動行為狀態(tài)進行收集。而入侵檢測數(shù)據(jù)信息一般是系統(tǒng)的日志文件、改變的一些不正常文件和目錄，或者一些不正常的程序執(zhí)行等。那些反常的日志行為，比如用戶的ID變化，網(wǎng)絡(luò)中的系統(tǒng)文件被破壞了，出現(xiàn)了些非期望中的行為等都有可能已經(jīng)存在著網(wǎng)絡(luò)攻擊了。

其次，分析則主要是對這些信息進行分析，找出問題所在。入侵檢測就是通過大量的數(shù)據(jù)對比，從這些數(shù)據(jù)中找出異常，確定問題的癥結(jié)所在，才是真正解決問題的方法。在對這些海量的數(shù)據(jù)信息分析時，一般采用模式匹配，也就是將剛得到的信息與之前正常建立的行為數(shù)據(jù)庫中的數(shù)據(jù)進行對比，從而找出不一樣的地方，讓自身計算機有所防備。

而統(tǒng)計分析則是根據(jù)給定的對象建立統(tǒng)計描述，統(tǒng)計正常使用的完整性分析。和之前的模式匹配應(yīng)該存在大致相像處，比較屬性的平均值。當(dāng)有數(shù)據(jù)超過了正常的范圍內(nèi)，就會被看成是入侵問題。除了模式匹配外，還有完整性分析方法，這種主要是重點關(guān)注某個對象或文件，一般也是針對那些重要的文件，入侵檢測能夠通過那些加密手段來識別一些微小差異。

與之前的模式匹配不同，在進行批處理的時候，有些分析就只能在事后進行，也就是發(fā)生了網(wǎng)絡(luò)攻擊才會進行分析，那么就不會實時預(yù)警，不會給網(wǎng)絡(luò)或主機一個警告，那么主機也就不能攔截即將遇到的問題。

除上述兩種方法外還有專家系統(tǒng)，專家系統(tǒng)主要是針對那些較為智能的設(shè)備，運用智能的方法進行掃描檢查和分析。這種主要依賴專家系統(tǒng)建立起來的知識庫，就是依靠著建立的不同規(guī)則進行，而這些知識庫和不同的規(guī)則又是取決于專家系統(tǒng)的知識庫是否完備。

4 以網(wǎng)絡(luò)分布式入侵檢測為例分析醫(yī)院信息化建設(shè)中安全的應(yīng)用

醫(yī)院主要分為員工和病患管理系統(tǒng)，還有看病和藥品管理系統(tǒng)等多個模塊，不同的醫(yī)院會根據(jù)自己內(nèi)部的管理系統(tǒng)就不同的模塊進行不同的入侵檢測應(yīng)用。以網(wǎng)絡(luò)分布式入侵檢測為例，這種入侵檢測則是由兩個部分組成，分別是入侵檢測引擎和管理控制臺。從入侵檢測引擎這方面來看，它有兩個叫數(shù)據(jù)獲口和查詢管理口這樣的以太網(wǎng)接口，是專用的硬件設(shè)備，可保護一個網(wǎng)段，數(shù)據(jù)獲口用以檢查引擎被接在被保護的那個網(wǎng)段上，是以隱身的模式來獲取數(shù)據(jù)的，然后在進行相應(yīng)的分析處理，一旦發(fā)現(xiàn)了異常行為或事件，則會調(diào)用預(yù)警裝置，發(fā)出警報，向系統(tǒng)的管理員進行多種形式的報警，或者主動地把將發(fā)生攻擊的連接進行切斷，阻止即將發(fā)生的事件，使系統(tǒng)呈現(xiàn)防御狀態(tài)和應(yīng)對處理狀態(tài)。

4.1 查詢管理口

查詢管理口是連接在網(wǎng)絡(luò)上的，主要是管理引擎和控制臺之間進行通信的接口。引擎包含有捕獲、虛擬機、過濾器智能分析、記錄器等模塊，還有攻擊特征庫。而對檢測引擎來說，要有很好的可擴展性，其采用的是模塊化設(shè)計結(jié)構(gòu)，還要能夠進行在線升級，將攻擊特征庫和軟件程序都一一進行更新。

4.2 管理控制臺

管理控制臺是安裝在主機上的。主要是針對檢測引擎的軟件程序，可以 對其進行配置、管理和查詢等。入侵檢測為了防范系統(tǒng)的抵御措施在關(guān)鍵時刻失效，對網(wǎng)絡(luò)中的重要運行關(guān)節(jié)點進行實時檢測，以便及時發(fā)現(xiàn)攻擊者行為和識別系統(tǒng)資源被濫用的行為。一旦出現(xiàn)異常，入侵檢測系統(tǒng)就會發(fā)出報警信號，讓網(wǎng)絡(luò)系統(tǒng)進行響應(yīng)。

對于管理系統(tǒng)中的防火墻裝置來說，這只是一個外部防御機制，不能檢測到內(nèi)部系統(tǒng)是否存在沒有被過濾的攻擊事件，不能實時對內(nèi)部進行監(jiān)控，也不能對正在進行攻擊的事件予以阻斷。那么入侵檢測系統(tǒng)可以和防火墻裝置聯(lián)合起來使用，可將入侵檢測引擎設(shè)置在內(nèi)網(wǎng)，那些網(wǎng)絡(luò)攻擊事件只有穿過防火墻才會被入侵檢測系統(tǒng)檢測出來，一旦入侵檢測系統(tǒng)檢查到了防火墻應(yīng)該阻止而沒有阻止的事件進入到了系統(tǒng)的內(nèi)網(wǎng)中，就可以判斷防火墻裝置的設(shè)置出現(xiàn)了問題，或產(chǎn)生了一種新的防火墻不能過濾的攻擊問題。通過這樣入侵檢測裝置可以監(jiān)聽檢測到內(nèi)網(wǎng)的連接。

除此之外，還可以監(jiān)聽外網(wǎng)對于內(nèi)網(wǎng)的攻擊，入侵檢測系統(tǒng)通過接收到防火墻外的信息，讓管理員可以一目了然的知道外界的攻擊。

5 結(jié)束語

計算機網(wǎng)絡(luò)應(yīng)用給醫(yī)院管理系統(tǒng)帶來了極大的便利，但同時網(wǎng)絡(luò)本身常發(fā)生的網(wǎng)絡(luò)攻擊問題又讓醫(yī)院的管理處于不安全的狀態(tài)。增強網(wǎng)絡(luò)安全，制定有效的安全防御策略和方案對醫(yī)院管理來說尤為重要。入侵檢測機制是網(wǎng)絡(luò)信息安全審計中的重要技術(shù)之一，能夠動態(tài)的檢測系統(tǒng)的內(nèi)部安全，衡量其防御系統(tǒng)是否有效。

將入侵檢測系統(tǒng)應(yīng)用到醫(yī)院的管理系統(tǒng)中可實時監(jiān)測系統(tǒng)，不僅彌補了傳統(tǒng)防御技術(shù)的不足，如防火墻裝置作為第一層防御卻相對于靜態(tài)防御的不足，入侵檢測系統(tǒng)卻是一種主動防御機制，能夠?qū)⒁羰录A(yù)估，對正在攻擊事件進行切斷連接保護管理系統(tǒng)，提高了醫(yī)院管理系統(tǒng)的網(wǎng)絡(luò)安全防御能力，能夠讓醫(yī)院的網(wǎng)絡(luò)安全圍墻更加堅固的抵御外界攻擊事件，提高醫(yī)院整體的網(wǎng)絡(luò)防御和系統(tǒng)管理。

參考文獻

[1] 劉海清.計算機輔助教學(xué)在農(nóng)村初中歷史教育應(yīng)用分析[J].劍南文學(xué)（經(jīng)典教苑），2013.

[2] 趙歡.現(xiàn)代教育技術(shù)在農(nóng)村初中歷史教學(xué)中的應(yīng)用[D].河北師范大學(xué)，2014.

[3] 盧興平.入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)信息安全中的應(yīng)用研究[J].醫(yī)療衛(wèi)生裝備，2010.

[4] 郭德超等.防火墻與入侵檢測系統(tǒng)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2009.

作者簡介：

張建忠（1969-），男，重慶萬州人，工程師；主要研究方向和關(guān)注領(lǐng)域： 計算機網(wǎng)絡(luò)安全。