防火墙防火墙与入侵检测系统在医院网络安全中的应用解析

1、 引言

医院的网络规模的日趋庞大成为现代大型医院的一个新的特征 随之而来的各种安全问题是摆在网络管理面前的一项紧迫问题  因为它将直接影响到医疗工作的稳定与正常运行影响到医院信息的准确性和可靠性。一旦网络瘫痪或数据丢失 将会给医院和病人带来巨大的灾难和难以弥补的损失 1 。

随着网络安全技术的发展各种安全解决方案相继涌现和发展这些技术可划分为两种:静态和动态安全技术。其中以防火墙为代表的静态安全技术 是保护网络不受外部攻击的主要手段其缺点是需要人工来实施和维护不能主动跟踪入侵者而以入侵检测为代表的动态安全技术则能够主动检测网络的易受攻击点和安全漏洞。 入侵检测技术是继防火墙等传统安全保护措施后新一代的安全保障技术。本文提出一种将入侵检测系统Intrusion Detection System,IDS与

防火墙与入侵检测系统在医院网络安全中的应用

郭德超邱鸿钟梁瑞琼广州中医药大学经管学院 510006

防火墙结合起来互动运行在医院网络中的新理念将入侵检测作为防火墙的一个有益的补充。

2、 医院网络安全现状

医院作为数据密集发生地每天都会产生大量病人费用、临床医嘱以及电子病历等重要数据现在医院从病人入院到出院的整个医疗活动均在计算机网络上运行。因此保障数据安全首先要保证服务器免受外网的攻击、破坏。防火墙主要用于加强内部网络与外部网络之间访问控制的保护系统 有效地起到了保护内部网路资源免受非法入侵的作用是构造安全网络环境的基础工程2 。它通常被安置在内部网络与外部网络的连接点上将内部网络与外部网络隔离。因此在网络拓扑上防火墙应当处在网络的出口处和不同安全等级区域的结合点处 3 。一个常见的防火墙位置部署方式如图1所示。

图1 经典防火墙系统部署拓扑图尽管防火墙在很大程度上实现了内部网络

的安全但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的 [4] 。

它无法防范内部攻击从防火墙的设计思想来看防范内部攻击从来就不是它的任务它在这方面是一片空白。另外防火墙只是按照固定的工作模式来防范已知的威胁,因此如果医院网络系统中只安装了防火墙的话 对于内部攻击和未知攻击的防范是

很

薄弱的但是据美国FBI-CSI调查显示,80%安全问题来自于内部 20%来自于互联网。在损失的金额上 内部人员泄密导致的损失是黑客攻击造成损失的16倍是病毒造成损失的12倍。可以看出网络信息安全的重心已经从外网安全转移到内网安全上。所以在安装了防火墙的医院网络系统中只是针对外部已知攻击提供了应对措施如果要解决来自内部的攻击和内外部未知攻击还需要入侵检测技术来加以充实。

3、入侵检测系统

IDS 入侵检测系统是一种主动防御攻击的新型网络安全系统 在功能上弥补了

防火墙的缺陷使整个安全防御体系更趋完善、可靠不同于防火墙,IDS入侵检测系统是一个监听设备没有跨接在任何链路上无须网络流量流经它便可以工作。因此对IDS的部署唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路±0 IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。一个经典的入侵检测系统的部署方式如图2所示。

图2 经典入侵检测系统部署拓扑图

4、入侵检测与防火墙结合的原理分析

防火墙是位于两个信任程度不同的网

发现入侵行为■发出阳

发现入侵ir为•发出阻■请求

■策略.响应请求

络之间如校园网与In ternet之间的软件或硬件设备的组合它对两个网络之间的通信进行控制通过强制实施统一的安全策略防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到作为一种周边安全机制防火墙无法监控内部网络仅能在应用层或网络层进行访问控制,无法保证信息即通信内容安全,有些

安全威胁是防火墙无法防范的 比如很容易通过协议隧道绕过防火墙而且防火墙只是一种基于策略的被动防御措施是一种粗颗粒的防御手段无法自动调整策略设置来阻断正在进行的攻击也无法防范基于协议的攻击这样就为将二者结合起来应用提供了理论上的依据。

IDS能够实时分析医院网络外部及医

院网络内部的数据通讯信息分辨入侵企图,在医院网络系统受到危害之前以各种方式发出警报并且及时对网络入侵采取相应措施最大限度保护医院网络系统的安全。通过多级、分布式的网络监督、管理、控制机制全面体现了管理层对医院网络关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞 IDS系统仍然可以检测到相应的攻击事件并调整系统状态对未来可能发生的侵入做出警而没有入侵检测手段就会出现像战争中的一方一直要等到阵地被占领时才能意识到遭受敌人攻击一样的情况。显然我们无法完全预防计算机系统受到破坏但是一旦计算机系统被攻击我们能够立即实时地检测到攻击并采取相应行动至少可以防范日后进一步的攻击。这正是入侵检测系统IDS的功能是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是单靠入侵检测系统自身只能及时发现攻击行为但却无法阻止和处理。所以让IDS与防火墙结合起来互动运行防火墙便可通过IDS及时发现其策略之外的攻击行为 IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。 IDS和防火墙互动逻辑示意图如图3所示。

5、防火墙与IDS联动的模型设计本文设计思想是这样的并不是将两个完整的防火墙系统和入侵检测系统进行1+1的叠加,而是在对二者功能和优缺点进行仔细的研究之后建立了一个简易的入侵检测系统来辅助现有的防火墙系统将二者进行功能上的互补 IDS的程序设计上参考了一个非常优秀的、有着开放源代码的入侵检测系统

S no rt。这个简易的入侵检测系统平时看起来是透明的通过软件包的监听sniffer/logger获得网络数据包,然后增加入侵检测分析功能其主要的方法是建立具体的特征库基于规则审计分析并能够进行包的数据内容搜索/匹配,从而实现入侵检测分析功能 S nort入侵检测系统的模块组成以及相互关系⑸如图4所示。图4 Snort模块图

入侵检测可以放在防火墙之外也可以放在防火墙之内[6],本文选择将IDS放在防火墙内如图5所示主要是考虑到防火墙对于内部入侵能力的天生不足的弱点,IDS可以检测出内部用户的异常行为、黑客突破防火墙和系统限制后的非法入侵但它自身不能控制攻击且自身安全也是一个问题因此将入侵检测主体系统部分置于防火墙之后可以利用防火墙的技术减少负载工作量外来不合法的信息可以经过防火墙首先过滤掉一部分防火墙对入侵检测系统本身也是一种保护 同时对于由外而内的入侵 IDS无疑是防火墙第二道防线它既面对外面也面对里面。另外如果攻击者能够发现检测器 就可能会对检测器进行攻击从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些如果检可能减小误报警。如果本应该被防火墙封锁的攻击渗透进来检测器在防火墙内检测到后就能发现防火墙的设置失误。因此将检测器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分

幼稚脚本”的攻击,使检测器不用将大部分的注意力分散在这类攻击上。

如图6所示,当有外来入侵者的时

候一部分入侵由于没有获得防火墙的信任首先就被防火墙隔离在外而另一部分骗过防火墙的攻击或者干脆是内部攻击不经过防火墙的攻击再一次受到了入侵检测系统的盘查受到怀疑的数据包经预处理模块分检后送到相应的模块里去进一步检查当对规则树进行扫描后发现某些数据包与规则库中的某些攻击特征相符,立即切断这个IP的访问请求或者报警。

6 IDS和防火墙的互动

本文将IDS与防火墙通过开放接口结合起来实现互动 即防火墙或者入侵检测系统开放一个接口供对方使用双方按照固定的协议进行通信完成网络安全事件的传输。这种方式比较灵活不影响防火墙和入侵检测系统的性能。双方按照固定的协议进行通信完成网络安全事件的传输。 当防火墙和入侵检测系统互动时所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口并且相互正确配置对方IP地址防火墙以服务器

(Server的模式来运行,IDS以客户端

(Client的模式来运行。防火墙与入侵检测系统具体步骤如下

(1、初始化通信连接时一般由

IDS向Firewall发起连接。

(2、建立正常连接后当ID S产

生需要通知Firewall的安全事件时通过发送约定格式的数据包来完成向传递必要的互动信息。

(3、 Firewall收到互动信息后可以

实施互动行为并将结果(成功与否以约定格式的数据包反馈给ID S。

7、结语

本文提出了将静态技术的代表防火墙与动态技术的代表入侵检测系统结合互动的使用方法并将其应用于医院网络中 这种方法将两个安全保护系统各自的功能展现在新的系统中使网络的防御安全能力

定位速度快的优点。而且P ath-Lo ss定位搜索法使用的天线为全向天线笔记本电脑的标准无线局域网网卡便可提供价格低廉。 P ath-Lo ss定位搜索法的缺点在于其软件系统实现较复杂但对恶意AP搜索过程并无影响。 P ath-Lo s s定位搜索法与传统的收敛”搜索法和向量”搜索法的特点对比各项内容见表1。

表1搜索方法特点对比