浅谈建立防火墙的主动性网络安全防护体系

王晓春　张磊　张丽华　唐华

【摘要】防火墙和其它反病毒类软件都是很好的安全产品，但是要让医院整个网络体系具有最高级别的安全等级，还需要具有一定的主动性。每天我们都会留意各种黑客攻击、病毒和蠕虫入侵等消息，不过当看到这些消息时，也许系统已经受到了攻击，在本文中将向大家阐述一种具有主动性的网络安全模式，通过这种模式就算再发现新病毒，也不用担心医院的整个网络系统的安全性。

【关键词】防火墙;网络安全;主动性

类似于防火墙或者反病毒类软件，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，还需要建立一种具有主动性的网络安全模式，防护任何未知的攻击，保护医院的网络安全。

１．实现主动性网络安全防护体系的四项安全措施

在实现一个具有主动性的网络安全架构前，需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。[1]

虽然这四项基本的安全措施对医院信息化来说至关重要，但是实际上，一个医院也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示，90%的网络安全问题都是由于CVE引起的。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。

2.四项安全措施的综合管理具体实施的步骤

具有主动性的网络安全模式是对上述四项安全措施的综合管理。在这种系统中，使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分，下面介绍具体实施步骤：

2.1实现主动性的网络安全模式

作为医院的信息化技术人员，要保护医院的网络首先需要开发一套安全策略，并强迫所有科室人员遵守这一规则。同时，需要屏蔽所有的移动设备，并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。[2]

2.2开发一个安全策略

良好的网络环境总是以一个能够起到作用的安全策略为开始实现的。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。

2.3减少对安全策略的破坏

不论是有线网络，还是笔记本或者无线设备，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等，它们都是网络安全漏洞的根源。因此，你必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及聊天软件。

2.4封锁移动设备

对于医院的网络来说，最大的威胁可能就是来自那些随处移动的笔记本或其它移动终端，它们具有网络的接入权限，可以随时接入医院的网络。但是正因为它们具有移动特性，可以随着操作员迁移到其它不安全的网络并暴露在黑客的攻击之下，当这些笔记本电脑再次回到医院的网络环境时，就成了最大的安全隐患。

据Forrester Research调查，到2005年，世界总共将有3500万移动设备用户，而到2010年，这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户访问而被感染。通过安全策略，可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合安全策略，是否是经过认证的用户，是否有明显的系统漏洞等。

2.5设置防火墙

虽然防火墙并没有特别强的安全主动性，但是它可以很好的完成自己该做的那份工作。防火墙要设置智能化的规则，以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口，因此需要为防火墙建立规则，屏蔽所有系统上的1045端口。另外，当笔记本或其它无线设备连接到网络中时，防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。[3]

2.6下载安装商业级的安全工具

目前与安全有关的商业软件相当丰富，可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等，应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级，因此应该充分利用它们。

2.7禁止潜在的可被黑客利用的对象

“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。如果想看看自己的系统中到底有多少BHO，可以从Definitive Solutions公司的网站上下载BHODemon工具进行检测。BHO是通过ADODB流对象在IE中运行的。通过禁止ADODB流对象，就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。

2.8留意最新的威胁

据计算机安全协会（CSI）表示，2002 CSI/FBI计算机犯罪和安全调查显示，“计算机犯罪和信息安全的威胁仍然不衰退，并且趋向于金融领域”。因此，需要时刻留意网络上的最新安全信息，以便保护医院网络。

2.9弥补已知的漏洞

系统上已知的漏洞被称为“通用漏洞批露”(CVE)，它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施，可以将网络中所有系统的CVE漏洞弥补好。目前通过工具软件，可以快速检测系统的CVE漏洞并将其修补好。

综上所述，一个具有主动性的网络安全模式是以一个良好的安全策略为起点的，之后需要确保这个安全策略可以被彻底贯彻执行。虽然安全性永远都不是百分之百的，但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。[科]

【参考文献】

［１］邓素平.构建网络安全防护体系[J].山东通信技术,2001,2：17-19.

［２］刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.

［３］江振宇.建立防火墙的主动性网络安全防护体系[J].计算机与信息技术,2007,23：56.