防火墙与入侵检测系统在医院网络安全中的应用解析.docx

1、防火墙与入侵检测系统在医院网络安全中的应用解析 1、引言医院的网络规模的日趋庞大成为现代大型医院的一个新的特征,随之而来的各种安全问题是摆在网络管理面前的一项紧迫问题,因为它将直接影响到医疗工作的稳定与正常运行,影响到医院信息的准确性和可靠性。一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失1。随着网络安全技术的发展,各种安全解决方案相继涌现和发展,这些技术可划分为两种:静态和动态安全技术。其中以防火墙为代表的静态安全技术,是保护网络不受外部攻击的主要手段,其缺点是需要人工来实施和维护,不能主动跟踪入侵者,而以入侵检测为代表的动态安全技术,则能够主动检测网络的易受攻击点和

2、安全漏洞。入侵检测技术是继防火墙等传统安全保护措施后,新一代的安全保障技术。本文提出一种将入侵检测系统(IntrusionDetectionSystem,IDS与防火墙与入侵检测系统在医院网络安全中的应用郭德超邱鸿钟梁瑞琼广州中医药大学经管学院510006防火墙结合起来互动运行在医院网络中的新理念,将入侵检测作为防火墙的一个有益的补充。2、医院网络安全现状医院作为数据密集发生地,每天都会产生大量病人费用、临床医嘱以及电子病历等重要数据,现在,医院从病人入院到出院的整个医疗活动均在计算机网络上运行。因此,保障数据安全首先要保证服务器免受外网的攻击、破坏。防火墙主要用于加强内部网络与外部网络之间访

3、问控制的保护系统,有效地起到了保护内部网路资源免受非法入侵的作用,是构造安全网络环境的基础工程2。它通常被安置在内部网络与外部网络的连接点上,将内部网络与外部网络隔离。因此,在网络拓扑上,防火墙应当处在网络的出口处和不同安全等级区域的结合点处3。一个常见的防火墙位置部署方式如图1所示。图1经典防火墙系统部署拓扑图尽管防火墙在很大程度上实现了内部网络的安全,但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的4。它无法防范内部攻击,从防火墙的设计思想来看,防范内部攻击从来就不是它的任务,它在这方面是一片空白。另外防火墙只是按照固定的工作模式来防范已知的威胁,因此如果医院网络系统中只安装了

4、防火墙的话,对于内部攻击和未知攻击的防范是很薄弱的,但是据美国FBI-CSI 调查显示,80%安全问题来自于内部,20%来自于互联网。在损失的金额上,内部人员泄密导致的损失,是黑客攻击造成损失的16倍,是病毒造成损失的12倍。可以看出,网络信息安全的重心已经从外网安全转移到内网安全上。所以,在安装了防火墙的医院网络系统中,只是针对外部已知攻击提供了应对措施,如果要解决来自内部的攻击和内外部未知攻击,还需要入侵检测技术来加以充实。3、入侵检测系统IDS(入侵检测系统是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠,不同于防火墙,I D S 入侵检

5、测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS 的部署,唯一的要求是:IDS 应当挂接在所有所关注流量都必须流经的链路上。IDS 在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。一个经典的入侵检测系统的部署方式如图2所示。图2经典入侵检测系统部署拓扑图4、入侵检测与防火墙结合的原理分析防火墙是位于两个信任程度不同的网 络之间(如校园网与Internet之间的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到,作为一种周边安

6、全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容安全,有些安全威胁是防火墙无法防范的,比如很容易通过协议隧道绕过防火墙,而且防火墙只是一种基于策略的被动防御措施,是一种粗颗粒的防御手段,无法自动调整策略设置来阻断正在进行的攻击,也无法防范基于协议的攻击,这样就为将二者结合起来应用提供了理论上的依据。IDS能够实时分析医院网络外部及医院网络内部的数据通讯信息,分辨入侵企图,在医院网络系统受到危害之前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护医院网络系统的安全。通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对医院网络关键

7、资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞,IDS系统仍然可以检测到相应的攻击事件,并调整系统状态,对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力,而没有入侵检测手段,就会出现像战争中的一方一直要等到阵地被占领时,才能意识到遭受敌人攻击一样的情况。显然我们无法完全预防计算机系统受到破坏,但是一旦计算机系统被攻击,我们能够立即实时地检测到攻击并采取相应行动,至少可以防范日后进一步的攻击。这正是入侵检测系统(IDS的功能,是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻

8、止和处理。所以,让IDS与防火墙结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。IDS和防火墙互动逻辑示意图如图3所示。图3IDS和防火墙互动逻辑示意图5、防火墙与IDS联动的模型设计本文设计思想是这样的,并不是将两个完整的防火墙系统和入侵检测系统进行1+1的叠加,而是在对二者功能和优缺点进行仔细的研究之后,建立了一个简易的入侵检测系统来辅助现有的防火墙系统,将二者进行功能上的互补,IDS的程序设计上参考了一个非常优秀的、有着开放源代码的入侵检测系统Snort。这个简易的入

9、侵检测系统平时看起来是透明的,通过软件包的监听(sniffer/logger获得网络数据包,然后增加入侵检测分析功能,其主要的方法是建立具体的特征库,基于规则审计分析,并能够进行包的数据内容搜索/匹配,从而实现入侵检测分析功能,Snort入侵检测系统的模块组成以及相互关系5如图4所示。图4Snort模块图图5IDS和防火墙的位置入侵检测可以放在防火墙之外也可以放在防火墙之内6,本文选择将IDS放在防火墙内,如图5所示,主要是考虑到防火墙对于内部入侵能力的天生不足的弱点,I D S可以检测出内部用户的异常行为、黑客突破防火墙和系统限制后的非法入侵,但它自身不能控制攻击,且自身安全也是一个问题,因

10、此将入侵检测主体系统部分置于防火墙之后,可以利用防火墙的技术减少负载工作量,外来不合法的信息可以经过防火墙首先过滤掉一部分,防火墙对入侵检测系统本身也是一种保护,同时对于由外而内的入侵,IDS无疑是防火墙第二道防线,它既面对外面也面对里面。另外,如果攻击者能够发现检测器,就可能会对检测器进行攻击,从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些,如果检测器在防火墙内就会少一些干扰,从而有可能减小误报警。如果本应该被防火墙封锁的攻击渗透进来,检测器在防火墙内检测到后就能发现防火墙的设置失误。因此,将检测器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分“幼稚脚

11、本”的攻击,使检测器不用将大部分的注意力分散在这类攻击上。如图6所示,当有外来入侵者的时候,一部分入侵由于没有获得防火墙的信任,首先就被防火墙隔离在外,而另一部分骗过防火墙的攻击,或者干脆是内部攻击不经过防火墙的攻击,再一次受到了入侵检测系统的盘查,受到怀疑的数据包经预处理模块分检后,送到相应的模块里去进一步检查,当对规则树进行扫描后,发现某些数据包与规则库中的某些攻击特征相符,立即切断这个IP的访问请求,或者报警。图6IDS与防火墙结合模型图6、IDS和防火墙的互动本文将IDS与防火墙通过开放接口结合起来实现互动,即防火墙或者入侵检测系统开放一个接口供对方使用,双方按照固定的协议进行通信,完

12、成网络安全事件的传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。双方按照固定的协议进行通信,完成网络安全事件的传输。当防火墙和入侵检测系统互动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方I P地址,防火墙以服务器(S e r v e r的模式来运行,I D S以客户端(Client的模式来运行。防火墙与入侵检测系统具体步骤如下:(1、初始化通信连接时,一般由IDS向Firewall发起连接。(2、建立正常连接后,当I D S产生需要通知Firewall的安全事件时,通过发送约定格式的数据包,来完成向传递必要

13、的互动信息。(3、Firewall收到互动信息后,可以实施互动行为,并将结果(成功与否以约定格式的数据包反馈给IDS。7、结语本文提出了将静态技术的代表防火墙与动态技术的代表入侵检测系统结合互动的使用方法,并将其应用于医院网络中,这种方法将两个安全保护系统各自的功能展现在新的系统中,使网络的防御安全能力 定位速度快的优点。而且Path-Loss 定位搜索法使用的天线为全向天线,笔记本电脑的标准无线局域网网卡便可提供,价格低廉。Path-Loss 定位搜索法的缺点在于其软件系统实现较复杂,但对恶意AP 搜索过程并无影响。Path-Loss 定位搜索法与传统的“收敛”搜索法和“向量”搜索法的特点对

14、比各项内容见表1。表1搜索方法特点对比 综合所述,Path-Loss 定位搜索法具有信号强度测量次数少,定位搜索速度快,工具简单、廉价的特点,可较大幅度的提高无线局域网恶意接入点的搜索效率。5、结束语无线局域网中恶意接入点的搜索方法,一直是无线网络管理与维护的必要技术。为了解决无线局域网中恶意接入点搜索问题,本文提出了一种基于路径损耗模型原理的恶意接入点搜索方法,利用信号强度作为搜索的有效参数信息,快速确定恶意接入点的位置。本文详细阐述了路径损耗模型原理与三角测量坐标定位方法,在此基础上设计了恶意接入点Path-Loss 定位搜索法。它可以在工具简单、廉价与较少的信号强度测量次条件下实现对恶意

15、接入点的快速搜索。但是,Path-Loss 定位搜索法还存在坐标定位软件实现复杂与定位效果实践考验不足的缺点。今后将对这些方面进行完善。包都是原始数据包,它们的格式一般先是以太网数据帧的头部,接着是ARP 或者IP 数据包的头部。IP 数据包后紧跟着TCP 或UDP、ICMP的头部,最后才是真正要传输的数据。于是,在拆分IP 数据包时,先提取以太网数据帧的头部,再提取IP 数据包的头部,然后分析TCP 或UDP、ICMP 数据包的头部。最后,从数据包提取出需要的数据。五.总结防火墙技术经历了包过滤、应用代理网关再到状态检测三个阶段。其中状态检测是比较先进的防火墙技术,它摒弃了包过滤防火墙仅考查

16、数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。深度包检测技术将为防火墙的发展提升到一个新的阶段。该技术对数据包头或有效载荷所封装的内容进行分析,从而引导、过滤和记录基于IP的应用程序和Web服务通信流量,其工作并不受协议种类和应用程序类型的限制。采用深度包检测技术,企业网络可以获得性能上的大幅度提升而无需购买昂贵的服务器或是其他安全产品。