卢熙 刘杨 刘军

（湖南省人民医院 湖南省长沙市 410000）

1 引言

云计算、大数据、人工智能等技术的快速发展，有力的促进了“互联网+医院”的普及和发展，许多医院顺应时代的变革和要求，引入了非常先进的医疗信息化系统，这些系统包括门户网系统、门诊挂号系统、智能导诊系统、医院影像系统、住院管理系统、药物管理系统等，医生、护士、管理人员或患者可以通过智能手机、平板电脑、PC 电脑利用互联网在医疗信息系统中进行注册，填写个人的信息，医疗信息系统为用户分配角色，比如患者注册账号，可以为患者建立一个医疗档案。患者注册系统账号，可以根据自己的需求选择科室、主治医师挂号，系统自动化的为患者生成一个就诊码，就诊码传输至智能导诊系统和医疗诊断模块，医院患者实现注册之后就可以缴纳诊断费用。智能导诊功能可以为患者提供一个就诊排序信息，也可以及时的提醒患者开展诊断和治疗服务。医院影像功能可以将CT设备、超声检查设备、核磁共振设备等集成在一起，将这些设备拍摄的影像集成在一起，实现信息的诊断和治疗服务。住院管理系统可以为患者分配病房和床位，帮助医院管理病房，实现病房的快速周期化管理。药品管理可以实现药品的自动化、智能化入库、出库管理，提高医院药品的利用率，避免一些药品过期或不合理用药。医院信息化系统不仅提高了医疗服务的智能化、自动化和共享化，还可以改进医疗服务的准确度，更好地提升患者满意度。但是，医院信息系统也面临着很多的攻击威胁，给“互联网+医院”的发展带来了严重的影响，因此本文提出构建一个多层次的安全防御体系，提高网络安全防御的主动性、实时性，进一步提高安全防御能力。

2 医院信息系统数据面临的安全威胁

医院信息系统保存的数据非常多，比如医院的患者档案、药品信息、财务数据、设备数据等，这些数据对于医院和患者来讲均属于保密信息，很多不法分子为了牟利，通常利用网络攻击的手段，开发勒索病毒、盗号木马、网银木马、蠕虫木马等，非法窃取医院信息，给患者和医院带来严重的经济损失，侵犯网络用户的合法权益，直接影响“互联网+医院”普及力度[1]。比如，2018年爆发的勒索病毒侵入了很多的医院服务器，导致医院信息系统无法正常使用，入侵者要求医院支付昂贵的勒索赎金才能解开密钥，但是很多医院支付赎金之后也没有正常恢复数据，带来的损失不可估量。盗号木马可以根据医生或患者登陆的账号密码记录，非法获取医院信息系统登陆的权限，从而破坏医院信息系统的数据，给医生或患者带来严重的金钱损失[2]。网银木马带来的危害更多，目前许多患者在挂号时都使用支付宝、微信钱包、网络银行支付费用，网银木马则可以盗取网银用户的卡号、密码或者安全证书，2019年爆发的网银木马弼马温的改进版，通过QVOD 下载地址广泛传播，监视医院患者的网银的交易记录，篡改订单信息盗取财产，用户无法察觉的情况下就丢失很多的金钱。DDOS 攻击则利用带宽资源的有限性，向医院的服务器同时发起数以亿计的信息请求，很容易导致网络带宽拥挤，导致患者或医生无法正常访问服务器，给医院带来严重的损失[3]。

3 医院信息系统数据安全防范技术

医院信息系统面临的安全威胁非常多，因此许多互联网安全防御专家提出了防御措施，比如防火墙、杀毒软件、深度包过滤等。

3.1 防火墙

防火墙作为一种主流的网络安全防御技术，经过数十年的发展和应用，已经诞生了很多先进的改进版本，比如状态防火墙、应用层代理防火墙等，不同类型的防火墙适用于互联网的不同层次。状态防火墙则可以部署于传输层，能够跟踪网络连接状态，可以区分合法或非法的数据包，只有合法的主动连接数据包能够通过状态防火墙，不允许其余的数据包通过。虽然防火墙是主流的安全防御软件，但是其也有很多的缺点，比如需要预先设置防御规则，无法动态地、实时地升级和改变，因此需要用户掌握丰富的计算机专业知识[4]。

3.2 杀毒软件

杀毒软件则是一个非常常用的木马或病毒查杀工具，其可以集成各种网络监控、文件扫描和病毒清除、系统自动化升级等功能，还可以帮助用户进行数据恢复，减小病毒或木马带来的损失。杀毒软件针对已知的病毒或木马进行设计，引入了许多的先进技术，比如脱壳技术、自我保护技术、修复技术等。目前，世界众多企业开发了很多专业的杀毒软件，比如360 安全卫士、腾讯管家、卡巴斯基杀毒软件、瑞星杀毒软件等，一定程度上为网络用户提高了防御性能。但是杀毒软件也存在一定的缺陷，一般是在病毒侵袭网络之后才可以启动杀毒工具，仅可以对已知的木马或病毒进行查杀，不利于对携带已知病毒基因片段且变异后的病毒进行查杀，因此不能够提高网络安全防御的主动性。

3.3 入侵检测系统

入侵检测一种基本的网络访问控制保护工具，该工具能够部署于网络关口，查看通过关口的访问信息是否存在病毒或木马。深度包过滤是在入侵检测的基础上进行升级的版本，入侵检测只检测网络数据包的包头，不检测包的数据部分，因此许多病毒利用这个缺陷，将病毒潜藏在包内。深度包过滤不仅可以检查包头，还可以检查包内数据部分，分析包内的数据是否存在木马或病毒。

4 医院信息系统数据安全防御策略改进

医院信息系统数据安全防御采用的措施属于被动防御模式，因此不利于提高信息系统安全防御的实时性、主动性，本文引入动态优化的思想，构建一个多层次的安全防御系统，并且引入人工智能思想，提高医院信息系统数据安全防御的主动性和实时性，如图1所示。

4.1 入侵检测层

入侵检测层引入先进的人工智能技术，利用人工智能算法识别医院信息系统面临的网络安全威胁。

（1）入侵检测层可以采集访问医院信息系统的数据流，将这些数据流发送给人工智能算法，算法对其数据流进行分片，构建成为一个数据矩阵，矩阵中包含医院信息系统访问数据基因片段；

（2）人工智能算法将划分为好的网络数据片段初始化为N 个组，每一个组采用度量方法获取N 个聚类中心，在这个度量方法计算过程中，可以按照启发式规则进行计算，提高初始化聚类中心的准确度。

（3）将所有的数据打乱，计算每一个数据到N 个聚类中心的距离，然后按照最近原则将相同数据划分为N 个聚类中，同时根据划分好的数据对象进行重新计算，获取N 个新的聚类中心；

（4）重复上述第三个步骤，直到所有的聚类中心不再发生变化。人工智能算法训练学习完毕之后，用户可以将训好的模型嵌入到入侵检测系统中，这样系统就可以根据新来的数据，将其划分到最近的簇中，有病毒的数据划分到有数据的簇，无病毒的数据划分为到无病毒簇。

入侵检测层引入的人工智能算法经过实验验证，其安全防御准确度可以达到99.91%，即使数据量非常大的情况下，准确度也可以达到93.69，同时入侵检测引入固件技术，也及时将算法嵌入到一个硬件中，这样可以提高数据挖掘和分析的实时性，既不影响网络数据包的传输，又可以实现主动防御，利用固件测试数据显示，网络传输业务时延为12ms，低于传统的防火墙或深度包过滤检测工具业务时延，对于网络应用几乎是透明的，没有任何的感知，不影响网络业务正常使用。医院信息系统多层次防御体系如图1 所示。

4.2 木马或病毒查杀层

入侵检测层发行木马或病毒之后，将其传输给第二层，第二层可以及时启动杀毒软件，比如360 安全卫士、卡巴斯基等杀毒软件，这些杀毒软件可以通过脱壳、识别等，将木马或病毒从医院信息系统中清除。

4.3 追踪木马或病毒攻击源层

病毒或木马查杀完毕之后，医院信息系统安全防御还可以启动追踪层，以便能够追踪木马或病毒的攻击源。追踪层可以利用蜜罐技术进行设计。蜜罐技术是一种功能非常强大的信息安全防御技术，能够使医院信息系统在被访问的过程中少受攻击，保证信息的完整性和价值性。蜜罐技术首先是设置一个存在诸多漏洞的服务器吸引木马或病毒入侵，从而有效地收集攻击的活动信息，从而分散入侵者对医院信息系统的注意力，同时，在使用蜜罐技术的过程中，所有流入与流出的信息都可受到保护，对外部攻击因素进行时刻的监测、分析及处理，降低文件受损的概率，能够有效地保障医院信息系统安全。当前，蜜罐技术主要应用于网络诈骗、数据捕获、数据控制、提取入侵者特征等方面，可以有效地防范黑客入侵，维护医院信息系统安全，具有重要的意义。

医院信息系统部署蜜罐技术不需要专门设置特殊的外部环境，只需要根据医院信息系统的实际需要，在医院服务器中安装没有打补丁的操作软件，并将其放置于服务期相同的位置之上，或用于防火墙的内部与外部，即可实现对内部系统和外部服务器的保护。当医院信息系统中建立起蜜罐系统后，该技术就能够自动记录计算中的全部流量，平台工作人员只需要静待攻击者自投罗网即可，不仅减少了平台工作人员的工作量，还有效地保障了医院信息系统内的信息安全。蜜罐技术作为一种简单高效的数据安全防御技术，对于构建医院信息系统安全保障技术体系具有重要意义，值得被广泛运用。

5 结束语

目前，医院信息系统发展迅速，普及的也非常快，可以有效的改进医院的工作效率和水平。医院信息系统为了能够实现正常使用，许多系统安全防御学者、专家和企业也提出了很多的网络安全防御技术，比如防火墙、杀毒软件或深度包过滤等，也有的利用多层次的加密技术，提高网络安全防御能力。但是，这些防御工具多采用被动的防御模式，一旦病毒或木马爆发，即使及时解决也会产生一定的损失，因此本文提出构建一个多层次的主动化的安全防御体系，该体系引入人工智能技术，实时监控访问信息系统的数据包，能够基于病毒基因或特征片段，识别网络中的病毒或木马，采用主动式的防御思想改进防护能力。