防火墙与入侵检测系统在医院网络安全中的应用解析.docx
《防火墙与入侵检测系统在医院网络安全中的应用解析.docx》由会员分享,可在线阅读,更多相关《防火墙与入侵检测系统在医院网络安全中的应用解析.docx(13页珍藏版)》请在冰豆网上搜索。
防火墙与入侵检测系统在医院网络安全中的应用解析
1、引言
医院的网络规模的日趋庞大成为现代大型医院的一个新的特征,随之而来的各种安全问题是摆在网络管理面前的一项紧迫问题,因为它将直接影响到医疗工作的稳定与正常运行,影响到医院信息的准确性和可靠性。
一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1]。
随着网络安全技术的发展,各种安全解决方案相继涌现和发展,这些技术可划分为两种:
静态和动态安全技术。
其中以防火墙为代表的静态安全技术,是保护网络不受外部攻击的主要手段,其缺点是需要人工来实施和维护,不能主动跟踪入侵者,而以入侵检测为代表的动态安全技术,则能够主动检测网络的易受攻击点和安全漏洞。
入侵检测技术是继防火墙等传统安全保护措施后,新一代的安全保障技术。
本文提出一种将入侵检测系统(Intrusion Detection System,IDS与
防火墙与入侵检测系统在医院网络安全中的应用
郭德超 邱鸿钟 梁瑞琼 广州中医药大学经管学院 510006
防火墙结合起来互动运行在医院网络中的新理念,将入侵检测作为防火墙的一个有益的补充。
2、医院网络安全现状
医院作为数据密集发生地,每天都会产生大量病人费用、临床医嘱以及电子病历等重要数据,现在,医院从病人入院到出院的整个医疗活动均在计算机网络上运行。
因此,保障数据安全首先要保证服务器免受外网的攻击、破坏。
防火墙主要用于加强内部网络与外部网络之间访问控制的保护系统,有效地起到了保护内部网路资源免受非法入侵的作用,是构造安全网络环境的基础工程[2]。
它通常被安置在内部网络与外部网络的连接点上,将内部网络与外部网络隔离。
因此,在网络拓扑上,防火墙应当处在网络的出口处和不同安全等级区域的结合点处[3]。
一个常见的防火墙位置部署方式如图1所示。
图1 经典防火墙系统部署拓扑图尽管防火墙在很大程度上实现了内部网络的安全,但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的[4]。
它无法防范内部攻击,从防火墙的设计思想来看,防范内部攻击从来就不是它的任务,它在这方面是一片空白。
另外防火墙只是按照固定的工作模式来防范已知的威胁,因此如果医院网络系统中只安装了防火墙的话,对于内部攻击和未知攻击的防范是很
薄弱的,但是据美国FBI-CSI调查显示,80%安全问题来自于内部,20%来自于互联网。
在损失的金额上,内部人员泄密导致的损失,是黑客攻击造成损失的16倍,是病毒造成损失的12倍。
可以看出,网络信息安全的重心已经从外网安全转移到内网安全上。
所以,在安装了防火墙的医院网络系统中,只是针对外部已知攻击提供了应对措施,如果要解决来自内部的攻击和内外部未知攻击,还需要入侵检测技术来加以充实。
3、入侵检测系统
IDS(入侵检测系统是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠,不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。
IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。
一个经典的入侵检测系统的部署方式如图2所示。
图2 经典入侵检测系统部署拓扑图
4、入侵检测与防火墙结合的原理分析
防火墙是位于两个信任程度不同的网
络之间(如校园网与Internet之间的软件或
硬件设备的组合,它对两个网络之间的通信
进行控制,通过强制实施统一的安全策略,防
止对重要信息资源的非法存取和访问以达
到保护系统安全的目的。
但我们也必须看
到,作为一种周边安全机制,防火墙无法监控
内部网络,仅能在应用层或网络层进行访问
控制,无法保证信息(即通信内容安全,有些
安全威胁是防火墙无法防范的,比如很容易
通过协议隧道绕过防火墙,而且防火墙只是
一种基于策略的被动防御措施,是一种粗颗
粒的防御手段,无法自动调整策略设置来阻
断正在进行的攻击,也无法防范基于协议的
攻击,这样就为将二者结合起来应用提供了
理论上的依据。
IDS能够实时分析医院网络外部及医
院网络内部的数据通讯信息,分辨入侵企图,
在医院网络系统受到危害之前以各种方式
发出警报,并且及时对网络入侵采取相应措
施,最大限度保护医院网络系统的安全。
通过多级、分布式的网络监督、管理、控
制机制,全面体现了管理层对医院网络关键
资源的全局控制、把握和调度能力。
即使
一个系统中不存在某个特定的漏洞,IDS系
统仍然可以检测到相应的攻击事件,并调整
系统状态,对未来可能发生的侵入做出警
告。
如果计算机系统具备访问控制能力,
而没有入侵检测手段,就会出现像战争中的
一方一直要等到阵地被占领时,才能意识到
遭受敌人攻击一样的情况。
显然我们无法
完全预防计算机系统受到破坏,但是一旦计
算机系统被攻击,我们能够立即实时地检测
到攻击并采取相应行动,至少可以防范日后
进一步的攻击。
这正是入侵检测系统(IDS
的功能,是我们应付破坏企图的一种方式。
入侵检测技术对于保证信息系统安全的作
用是不言而喻的。
但是单靠入侵检测系统
自身,只能及时发现攻击行为,但却无法阻止
和处理。
所以,让IDS与防火墙结合起来互
动运行,防火墙便可通过IDS及时发现其策
略之外的攻击行为,IDS也可以通过防火墙
对来自外部网络的攻击行为进行阻断。
这
样就可以大大提高整体防护性能并解决上
述问题。
IDS和防火墙互动逻辑示意图如
图3所示。
图3 IDS和防火墙互动逻辑示意图
5、防火墙与IDS联动的模型设计
本文设计思想是这样的,并不是将两
个完整的防火墙系统和入侵检测系统进行
1+1的叠加,而是在对二者功能和优缺点
进行仔细的研究之后,建立了一个简易的
入侵检测系统来辅助现有的防火墙系统,
将二者进行功能上的互补,IDS的程序设
计上参考了一个非常优秀的、有着开放源
代码的入侵检测系统Snort。
这个简易的
入侵检测系统平时看起来是透明的,通过
软件包的监听(sniffer/logger获得网络数据
包,然后增加入侵检测分析功能,其主要
的方法是建立具体的特征库,基于规则审
计分析,并能够进行包的数据内容搜索/
匹配,从而实现入侵检测分析功能,Snort入
侵检测系统的模块组成以及相互关系[5]如图
4所示。
图4 Snort模块图
图5 IDS和防火墙的位置
入侵检测可以放在防火墙之外也可以
放在防火墙之内[6],本文选择将IDS放在
防火墙内,如图5所示,主要是考虑到防
火墙对于内部入侵能力的天生不足的弱
点,IDS可以检测出内部用户的异常行
为、黑客突破防火墙和系统限制后的非法
入侵,但它自身不能控制攻击,且自身安
全也是一个问题,因此将入侵检测主体系
统部分置于防火墙之后,可以利用防火墙
的技术减少负载工作量,外来不合法的信
息可以经过防火墙首先过滤掉一部分,防
火墙对入侵检测系统本身也是一种保护,
同时对于由外而内的入侵,IDS无疑是防
火墙第二道防线,它既面对外面也面对里
面。
另外,如果攻击者能够发现检测器,
就可能会对检测器进行攻击,从而减小攻
击者的行动被审计的机会。
防火墙内的系
统会比外面的系统脆弱性少一些,如果检
测器在防火墙内就会少一些干扰,从而有
可能减小误报警。
如果本应该被防火墙封
锁的攻击渗透进来,检测器在防火墙内检
测到后就能发现防火墙的设置失误。
因
此,将检测器放在防火墙内部的最大理由
就是设置良好的防火墙能够阻止大部分
“幼稚脚本”的攻击,使检测器不用将大
部分的注意力分散在这类攻击上。
如图6所示,当有外来入侵者的时
候,一部分入侵由于没有获得防火墙的信
任,首先就被防火墙隔离在外,而另一部
分骗过防火墙的攻击,或者干脆是内部攻
击不经过防火墙的攻击,再一次受到了入
侵检测系统的盘查,受到怀疑的数据包经
预处理模块分检后,送到相应的模块里去
进一步检查,当对规则树进行扫描后,发
现某些数据包与规则库中的某些攻击特征
相符,立即切断这个IP的访问请求,或
者报警。
图6 IDS与防火墙结合模型图
6、IDS和防火墙的互动
本文将IDS与防火墙通过开放接口结
合起来实现互动,即防火墙或者入侵检测
系统开放一个接口供对方使用,双方按照
固定的协议进行通信,完成网络安全事件
的传输。
这种方式比较灵活,不影响防火墙
和入侵检测系统的性能。
双方按照固定的
协议进行通信,完成网络安全事件的传输。
当防火墙和入侵检测系统互动时,所
有的数据通信是通过认证和加密来确保传
输信息的可靠性和保密性。
通信双方可以
事先约定并设定通信端口,并且相互正确
配置对方IP地址,防火墙以服务器
(Server的模式来运行,IDS以客户端
(Client的模式来运行。
防火墙与入侵检
测系统具体步骤如下:
(1、初始化通信连接时,一般由
IDS向Firewall发起连接。
(2、建立正常连接后,当IDS产
生需要通知Firewall的安全事件时,通过
发送约定格式的数据包,来完成向传递必
要的互动信息。
(3、Firewall收到互动信息后,可以
实施互动行为,并将结果(成功与否以约
定格式的数据包反馈给IDS。
7、结语
本文提出了将静态技术的代表防火墙
与动态技术的代表入侵检测系统结合互动
的使用方法,并将其应用于医院网络中,
这种方法将两个安全保护系统各自的功能
展现在新的系统中 ,使网络的防御安全能力
定位速度快的优点。
而且Path-Loss定位搜索法使用的天线为全向天线,笔记本电脑的标准无线局域网网卡便可提供,价格低廉。
Path-Loss定位搜索法的缺点在于其软件系统实现较复杂,但对恶意AP搜索过程并无影响。
Path-Loss定位搜索法与传统的“收敛”搜索法和“向量”搜索法的特点对比各项内容见表1。
表1 搜索方法特点对比
综合所述,Path-Loss定位搜索法具有信号强度测量次数少,定位搜索速度快,工具简单、廉价的特点,可较大幅度的提高无线局域网恶意接入点的搜索效率。
5、结束语
无线局域网中恶意接入点的搜索方法,一直是无线网络管理与维护的必要技术。
为了解决无线局域网中恶意接入点搜索问题,本文提出了一种基于路径损耗模型原理的恶意接入点搜索方法,利用信号强度作为搜索的有效参数信息,快速确定恶意接入点的位置。
本文详细阐述了路径损耗模型原理与三角测量坐标定位方法,在此基础上设计了恶意接入点Path-Loss定位搜索法。
它可以在工具简单、廉价与较少的信号强度测量次条件下实现对恶意接入点的快速搜索。
但是, Path-Loss定位搜索法还存在坐标定位软件实现复杂与定位效果实践考验不足的缺点。
今后将对这些方面进行完善。
包都是原始数据包,它们的格式一般先是以太网数据帧的头部,接着是ARP或者IP数据包的头部。
IP数据包后紧跟着TCP或UDP、ICMP的头部,最后才是真正要传输的数据。
于是,在拆分IP数据包时,先提取以太网数据帧的头部,再提取IP数据包的头部,然后分析TCP或UDP、ICMP数据包的头部。
最后,从数据包提取出需要的数据。
五.总结
防火墙技术经历了包过滤、应用代理网关再到状态检测三个阶段。
其中状态检测是比较先进的防火墙技术,它摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。
状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。
状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
深度包检测技术将为防火墙的发展提升到一个新的阶段。
该技术对数据包头或有效载荷所封装的内容进行分析,从而引导、过滤和记录基于IP的应用程序和Web服务通信流量,其工作并不受协议种类和应用程序类型的限制。
采用深度包检测技术,企业网络可以获得性能上的大幅度提升而无需购买昂贵的服务器或是其他安全产品。
升级会员 