浅谈入侵检测系统在医院信息化建设中安全应用

张建忠 毛亮

【 摘 要 】 医院的网络信息管理系统中存在大量重要数据，一旦入侵后果不堪设想，为了提高医院网络管理系统的安全系数，保证其稳定有序的运行，采用多种防御抵制手段。论文针对入侵检测技术在医院信息化建设中的安全应用进行介绍，阐述入侵检测的一些基本概念，并探讨将来的研究发展方向。

【 关键词 】 入侵检测系统；医院信息化；安全应用

【 中图分类号 】 TP393 【 文献标识码 】 A

【 Abstract 】 Network information management system of hospital， there are a lot of important data， once invaded， the consequences could be disastrous， in order to improve the safety factor of the hospital network management system to ensure the stable and orderly operation， using a variety of defense against means. This article will introduce the application of intrusion detection technology in the construction of hospital information， expounds some basic concepts of the intrusion detection， and discusses the future research direction.

【 Keywords 】 intrusion detection system； hospital information； security application

1 引言

随着现代信息技术的运用广泛，医院也采用现代信息来进行管理运作，而现在的网络信息管理中，要随时防御网上的一些攻击行为，一旦出现网络攻击，将会造成数据的严重损失，特别是像医院包含有大量的患者信息，若是遭受网络攻击出现数据错落或被更改的现象，将产生危及患者生命等严重的后果，所以更加需要严密的防御系统来确保医院信息化建设的安全。

在医院的管理系统中，普遍采用了防火墙作为第一道防御，将外界互联网上的不安全问题隔离开来，但是对于那些正在发生的攻击问题和攻击行为，防火墙却不能够主动防御，甚至在防火墙没有检测出而过滤掉的危险问题进入了内部管理系统，防火墙也是不能检测出来的。因此，积极引入入侵检测技术对医院的信息管理系统进行检测和管理，能够及时针对系统中出现的问题去解决，也能够对将要发生的问题进行预估，提前防备将要出现的问题，避免更大的损失产生。

入侵检测技术就是通过对安全日志和行为以及一些审查资料的观察和分析，检查网络入侵问题，这种检测方法主要是利用以往保存的一些资料，像上网行为、安全日志等数据来进行分析，一旦出现异常，将会启动预警防御系统，阻止企图侵入系统攻击系统的非法行为和手段。

2 入侵检测技术的分类

大致可以将入侵检测分为几类：基于主机的入侵检测系统一般是检测主机上的入侵、数据来源于系统审计日志、基于网络的入侵检测主要检测网络上的入侵、数据信息来源于网络上的信息流，还有分布式入侵检测系统分布在网络环境中，监视主机和网络。

3 入侵检测系统在医院信息化建设中安全的应用

入侵检测系统在医院的信息化管理中是分为收集信息和对收集的信息进行分析两部分。

首先，医院管理系统中储存管理者大量的数据信息，收集信息主要是对系统和网络数据，以及用户活动行为状态进行收集。而入侵检测数据信息一般是系统的日志文件、改变的一些不正常文件和目录，或者一些不正常的程序执行等。那些反常的日志行为，比如用户的ID变化，网络中的系统文件被破坏了，出现了些非期望中的行为等都有可能已经存在着网络攻击了。

其次，分析则主要是对这些信息进行分析，找出问题所在。入侵检测就是通过大量的数据对比，从这些数据中找出异常，确定问题的症结所在，才是真正解决问题的方法。在对这些海量的数据信息分析时，一般采用模式匹配，也就是将刚得到的信息与之前正常建立的行为数据库中的数据进行对比，从而找出不一样的地方，让自身计算机有所防备。

而统计分析则是根据给定的对象建立统计描述，统计正常使用的完整性分析。和之前的模式匹配应该存在大致相像处，比较属性的平均值。当有数据超过了正常的范围内，就会被看成是入侵问题。除了模式匹配外，还有完整性分析方法，这种主要是重点关注某个对象或文件，一般也是针对那些重要的文件，入侵检测能够通过那些加密手段来识别一些微小差异。

与之前的模式匹配不同，在进行批处理的时候，有些分析就只能在事后进行，也就是发生了网络攻击才会进行分析，那么就不会实时预警，不会给网络或主机一个警告，那么主机也就不能拦截即将遇到的问题。

除上述两种方法外还有专家系统，专家系统主要是针对那些较为智能的设备，运用智能的方法进行扫描检查和分析。这种主要依赖专家系统建立起来的知识库，就是依靠着建立的不同规则进行，而这些知识库和不同的规则又是取决于专家系统的知识库是否完备。

4 以网络分布式入侵检测为例分析医院信息化建设中安全的应用

医院主要分为员工和病患管理系统，还有看病和药品管理系统等多个模块，不同的医院会根据自己内部的管理系统就不同的模块进行不同的入侵检测应用。以网络分布式入侵检测为例，这种入侵检测则是由两个部分组成，分别是入侵检测引擎和管理控制台。从入侵检测引擎这方面来看，它有两个叫数据获口和查询管理口这样的以太网接口，是专用的硬件设备，可保护一个网段，数据获口用以检查引擎被接在被保护的那个网段上，是以隐身的模式来获取数据的，然后在进行相应的分析处理，一旦发现了异常行为或事件，则会调用预警装置，发出警报，向系统的管理员进行多种形式的报警，或者主动地把将发生攻击的连接进行切断，阻止即将发生的事件，使系统呈现防御状态和应对处理状态。

4.1 查询管理口

查询管理口是连接在网络上的，主要是管理引擎和控制台之间进行通信的接口。引擎包含有捕获、虚拟机、过滤器智能分析、记录器等模块，还有攻击特征库。而对检测引擎来说，要有很好的可扩展性，其采用的是模块化设计结构，还要能够进行在线升级，将攻击特征库和软件程序都一一进行更新。

4.2 管理控制台

管理控制台是安装在主机上的。主要是针对检测引擎的软件程序，可以 对其进行配置、管理和查询等。入侵检测为了防范系统的抵御措施在关键时刻失效，对网络中的重要运行关节点进行实时检测，以便及时发现攻击者行为和识别系统资源被滥用的行为。一旦出现异常，入侵检测系统就会发出报警信号，让网络系统进行响应。

对于管理系统中的防火墙装置来说，这只是一个外部防御机制，不能检测到内部系统是否存在没有被过滤的攻击事件，不能实时对内部进行监控，也不能对正在进行攻击的事件予以阻断。那么入侵检测系统可以和防火墙装置联合起来使用，可将入侵检测引擎设置在内网，那些网络攻击事件只有穿过防火墙才会被入侵检测系统检测出来，一旦入侵检测系统检查到了防火墙应该阻止而没有阻止的事件进入到了系统的内网中，就可以判断防火墙装置的设置出现了问题，或产生了一种新的防火墙不能过滤的攻击问题。通过这样入侵检测装置可以监听检测到内网的连接。

除此之外，还可以监听外网对于内网的攻击，入侵检测系统通过接收到防火墙外的信息，让管理员可以一目了然的知道外界的攻击。

5 结束语

计算机网络应用给医院管理系统带来了极大的便利，但同时网络本身常发生的网络攻击问题又让医院的管理处于不安全的状态。增强网络安全，制定有效的安全防御策略和方案对医院管理来说尤为重要。入侵检测机制是网络信息安全审计中的重要技术之一，能够动态的检测系统的内部安全，衡量其防御系统是否有效。

将入侵检测系统应用到医院的管理系统中可实时监测系统，不仅弥补了传统防御技术的不足，如防火墙装置作为第一层防御却相对于静态防御的不足，入侵检测系统却是一种主动防御机制，能够对将要攻击事件预估，对正在攻击事件进行切断连接保护管理系统，提高了医院管理系统的网络安全防御能力，能够让医院的网络安全围墙更加坚固的抵御外界攻击事件，提高医院整体的网络防御和系统管理。

参考文献

[1] 刘海清.计算机辅助教学在农村初中历史教育应用分析[J].剑南文学（经典教苑），2013.

[2] 赵欢.现代教育技术在农村初中历史教学中的应用[D].河北师范大学，2014.

[3] 卢兴平.入侵检测系统在医院网络信息安全中的应用研究[J].医疗卫生装备，2010.

[4] 郭德超等.防火墙与入侵检测系统在医院网络安全中的应用[J].中国数字医学，2009.

作者简介：

张建忠（1969-），男，重庆万州人，工程师；主要研究方向和关注领域： 计算机网络安全。