浅谈建立防火墙的主动性网络安全防护体系

【 摘 要 】 防火墙和其它反病毒类软件都是很好的安全产品，但是要让医院整个网络体系具有最高级别的安全等级，还需要具有一定的主动性。每天我们都会留意各种黑客攻击、病毒和蠕虫入侵等消息，不过当看到这些消息时，也许系统已经受到了攻击。在论文中将向大家阐述一种具有主动性的网络安全模式，通过这种模式就算再发现新病毒，也不用担心医院整个网络系统的安全性。

【 关键词 】 防火墙；网络安全；主动性

【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks， viruses and worms， etc. But when we saw these news， maybe the system has already been attacked. In this article，we are trying to introduce a proactive network security model. In this model， even if we should find a new virus， we would not worry about the whole network system security of thehospital.

【 Keywords 】 firewall； network security； initiative

1 引言

类似于防火墙或者反病毒类软件，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，还需要建立一种具有主动性的网络安全模式，防护任何未知的攻击，保护医院的网络安全。

2 实现主动性网络安全防护体系的四项安全措施

在实现一个具有主动性的网络安全架构前，需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件以及入侵检测系统（IDS）。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。

虽然这四项基本的安全措施对医院信息化来说至关重要，但是实际上，一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”（CVE）攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。

3 四项安全措施的综合管理具体实施的步骤

3.1 实现主动性的网络安全模式

作为医院的信息化技术人员，要保护医院的网络首先需要开发一套安全策略，并要求所有科室人员遵守这一规则。同时，需要屏蔽所有的移动设备，并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的，之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。

3.2 开发一个安全策略

良好的网络环境总是以一个能够起到作用的安全策略为开始实现的，大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划（BCP和DRP）。比如应该有针对医院收费项目和患者费用信息的备份策略；又如一个镜象系统，以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。

3.3 减少对安全策略的破坏

不论是有线网络，还是无线网络，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序（如Kazaa、Napster、Gnutella、BT、eMule等）以及即时消息软件等，它们都是网络安全漏洞的根源。因此，必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及聊天软件。

3.4 封锁移动设备

对于医院的网络来说，最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端，它们具有网络的接入权限，可以随时接入医院的网络，具有最大的安全隐患。

据Forrester Research调查，到2005年，世界总共将有3500万移动设备用户，而到2010年，这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略，可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合安全策略，是否是经过认证的用户，是否有明显的系统漏洞等。

3.5 设置防火墙

虽然防火墙并没有特别强的安全主动性，但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则，以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口，因此需要为防火墙建立规则，屏蔽所有系统上的1045端口。另外，当笔记本电脑或其它无线设备连接到网络中时，防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。

3.6 下载安装商业级的安全工具

目前与安全有关的商业软件相当丰富，可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等，应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级，因此应该充分利用它们。

3.7 禁止潜在的可被黑客利用的对象

“浏览器助手（BHO）”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的，由于它可以将外界的信息存入你的系统，因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的，通过禁止ADODB流对象，就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。

3.8 留意最新的威胁

据计算机安全协会 （CSI）表示，2002 CSI/FBI计算机犯罪和安全调查显示，“计算机犯罪和信息安全的威胁仍然不衰退，并且趋向于金融领域”。因此，需要时刻留意网络上的最新安全信息，以便保护医院网络。

3.9 弥补已知的漏洞

系统上已知的漏洞被称为“通用漏洞批露”（CVE），它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施，可以将网络中所有系统的CVE漏洞弥补好。

4 结束语

虽然安全性永远都不是百分之百的，但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。

参考文献

[1] 邓素平.构建网络安全防护体系[J].山东通信技术，2001，2：17-19.

[2] 刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发，2001，2001，3：30-31.

[3] 江振宇.建立防火墙的主动性网络安全防护体系[J].计算机与信息技术，2007，23：56.

作者简介：

张丽华（1970-），女，河北邯郸人，河北大学，计算机管理专业，大专，邯郸市第三医院信息科，科长，工程师；主要研究方向和关注领域：数据库和网络安全。