基于MD5的進(jìn)程指紋系統(tǒng)在我院信息安全的應(yīng)用

莊藝玲，吳光珍，簡(jiǎn)洪權(quán)，林亞忠

引言

我院為三級(jí)甲等的綜合性中心醫(yī)院，每日平均門診量高達(dá)4000余人次，臨床醫(yī)護(hù)人員由原來的幾百上升到2000多人，終端使用數(shù)量更是直線上升，且大部分?jǐn)?shù)據(jù)涉及到病患的健康隱私，所以網(wǎng)絡(luò)信息安全對(duì)我院信息化建設(shè)尤其重要，就安全指標(biāo)也提出了更高的要求[1]。而傳統(tǒng)的殺毒軟件是基于黑名單技術(shù)設(shè)計(jì)的，生成的病毒庫往往滯后于病毒或者惡意軟件，無法做到提前防范；再加上近期全球爆發(fā)的勒索病毒威脅，勒索病毒主要通過電子郵件的方式入侵；據(jù)統(tǒng)計(jì)，通過此種方式的病毒攻擊達(dá)到70%，且能夠在數(shù)小時(shí)內(nèi)感染一個(gè)系統(tǒng)內(nèi)的全部電腦，被感染電腦會(huì)自動(dòng)對(duì)其局域網(wǎng)關(guān)聯(lián)的電腦隨機(jī)攻擊，極易導(dǎo)致該病毒大規(guī)模爆發(fā)，感染電腦中的所有文件將被全部加密且無法打開。目前已有99個(gè)國(guó)家受到病毒感染，為保護(hù)數(shù)據(jù)安全，終端防護(hù)就顯得非常重要。

因此為了達(dá)到徹底根除這些非法軟件運(yùn)行和病毒傳播的威脅，我院信息科工程師提出了一種新型技術(shù)——利用MD5進(jìn)程制作進(jìn)程白名單方式來封殺所有未知軟件方式，以徹底防范、解決臨床終端信息安全問題[2]。

1 現(xiàn)狀

1.1 我院終端的使用情況

我院局域網(wǎng)終端客戶端近2000臺(tái)，95%以上終端已安裝殺毒軟件，且封閉優(yōu)盤口，只允許部分終端開通光驅(qū)。終端使用者通過光驅(qū)可拷貝文件至局域網(wǎng)電腦，但系統(tǒng)可運(yùn)行的程序沒有把控，導(dǎo)致局域網(wǎng)存在安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)列表見圖1。

圖1 風(fēng)險(xiǎn)列表

1.2 存在的威脅

終端雖然限制了優(yōu)盤口的使用，但終端使用者可以通過特定的電腦使用光驅(qū)，將軟件拷貝到電腦上，且拷貝過程中極有可能將病毒或惡意軟件帶入局域網(wǎng)，給攻擊者帶來可趁之便。攻擊者往往利用這些漏洞，將包括惡意程序代碼的數(shù)據(jù)包發(fā)送到端口。當(dāng)易受攻擊的應(yīng)用程序監(jiān)聽端口時(shí)，惡意程序碼就能讓攻擊者訪問計(jì)算機(jī)，從而造成網(wǎng)絡(luò)感染，導(dǎo)致終端設(shè)備遭受攻擊，數(shù)據(jù)安全受到威脅[3]。

2 基于MD5的進(jìn)程指紋系統(tǒng)實(shí)施過程

MD5全稱是Message Digest Algorithm MD5（中文名為消息摘要算法第五版），是計(jì)算機(jī)廣泛使用的散列算法之一，用于確保信息傳輸完整一致，提供信息的完整性保護(hù)。MD5的基本原理是將數(shù)據(jù)信息壓縮成128位的2進(jìn)制數(shù)，并且產(chǎn)生信息摘要[4]。MD5可以為任何文件產(chǎn)生一個(gè)同樣獨(dú)一無二的“軟件指紋”，如果任何人對(duì)文件做了任何改動(dòng)，其MD5值也就是對(duì)應(yīng)的“軟件指紋”都會(huì)發(fā)生變化。實(shí)施流程圖，見圖2。

圖2 實(shí)施流程圖

2.1 指紋采集

在Windows系統(tǒng)下運(yùn)行MD5軟件，通過桌面上的快捷方式，定位到程序安裝路徑下文件夾，找到對(duì)應(yīng)的應(yīng)用程序（exe），將程序拖拽到打開的MD5窗口中，即可生成程序（exe）對(duì)應(yīng)的MD5值。指紋信息采集，見圖3。

圖3 指紋信息

2.2 軟件白名單策略設(shè)計(jì)和下發(fā)

策略定義了允許運(yùn)行的應(yīng)用程序白名單列表，見圖4。終端軟件啟動(dòng)時(shí)強(qiáng)制與策略白名單里的指紋進(jìn)行對(duì)比，如果運(yùn)行的是經(jīng)過授權(quán)的軟件版本，則被認(rèn)為是合法的軟件并允許運(yùn)行；如果不是未經(jīng)授權(quán)的軟件，則被認(rèn)為是非法軟件禁止其運(yùn)行，并詳細(xì)記錄在日志，以便進(jìn)行故障排查和分析。信息科對(duì)科室進(jìn)行分組管理，根據(jù)不同科室的軟件需求，制作了相應(yīng)的策略并下發(fā)，科室只能運(yùn)行本科室允許使用的軟件。

圖4 軟件指紋白名單策略

2.3 軟件的授權(quán)

科室因?yàn)闃I(yè)務(wù)需要開放軟件的權(quán)限，由科室向信息科提出申請(qǐng)并上傳軟件，信息科在沙盤中檢測(cè)軟件的文件名、公司名、產(chǎn)品名、版本、是否經(jīng)過微軟簽名、簽名公司、文件類型、軟件名稱，經(jīng)多款帶有最新特征庫安全軟件檢測(cè)安全后形成指紋，添加到對(duì)應(yīng)科室的策略中并自動(dòng)推送下發(fā)，科室策略得到更新后，該軟件就自動(dòng)可以使用。軟件的限制也十分方便，軟件已經(jīng)正確安裝，只需刪除軟件對(duì)應(yīng)的指紋，軟件就自動(dòng)被禁用?；贛D5（指紋）進(jìn)程指紋系統(tǒng)實(shí)現(xiàn)軟件精細(xì)化管理，細(xì)化到軟件的子版本[5]。對(duì)同一款軟件的不同版本實(shí)行差別化對(duì)待，信息科通過維護(hù)白名單來實(shí)現(xiàn)科室軟件的授權(quán)。

2.4 防火墻的策略實(shí)施

辦公室環(huán)境通常處于防火墻、邊界數(shù)據(jù)包過濾器或防病毒服務(wù)器的保護(hù)之下。防火墻規(guī)則控制客戶端、保護(hù)客戶端計(jì)算機(jī)不受惡意入站通信及出站通信的侵襲[6]。防火墻自動(dòng)根據(jù)規(guī)則檢查所有入站及出站的數(shù)據(jù)包；防火墻再根據(jù)規(guī)則中指定的信息允許或禁止數(shù)據(jù)包。當(dāng)計(jì)算機(jī)試圖連接另一臺(tái)計(jì)算機(jī)時(shí)，防火墻會(huì)將連接類型與其防火墻規(guī)則列表進(jìn)行比較。防火墻還會(huì)對(duì)所有網(wǎng)絡(luò)通信使用狀態(tài)檢查[7-8]。由系統(tǒng)工程師制定防火墻規(guī)則，并填寫放行的文件名，將解析出來的程序的MD5值填入文件指紋（圖5～6），并設(shè)置其需訪問的遠(yuǎn)程端口號(hào)。

圖5 解析的MD5值

圖6 設(shè)置防火墻遠(yuǎn)程端口號(hào)

3 MD5的進(jìn)程指紋系統(tǒng)在我院的應(yīng)用范圍及效果

3.1 規(guī)范臨床科室的電腦行為

啟用白名單規(guī)范終端使用者的操作行為，方便信息部門的管理[9]。醫(yī)院明文規(guī)定禁止使用統(tǒng)方軟件，即使終端使用者通過某種不正當(dāng)途徑將非法軟件帶進(jìn)了局域網(wǎng)電腦，然而沒程序指紋沒有通過白名單的認(rèn)證，仍然運(yùn)行不了。在我院終端非法軟件還包括游戲、電影等。后臺(tái)工程師可以查詢到指定終端系統(tǒng)阻止的進(jìn)程，根據(jù)具體情況看是否需要將進(jìn)程添加到白名單。被阻止的非白名單進(jìn)程日志，見圖7。

3.2 有效阻止病毒的傳入

啟用MD5進(jìn)程指紋系統(tǒng)白名單后，只要是局域網(wǎng)電腦且安裝安全軟件，即可對(duì)終端系統(tǒng)所使用的exe進(jìn)程進(jìn)行黑白名單驗(yàn)證[10]；屬白名單內(nèi)的進(jìn)程可直接運(yùn)行，白名單外的將被阻止運(yùn)行，這樣有效阻止了病毒的傳入，終端設(shè)備運(yùn)行速度明顯提升。

圖7 被阻止的非白名單進(jìn)程日志

經(jīng)查詢，局域網(wǎng)一周內(nèi)受感染的病毒數(shù)高達(dá)5000多條，啟用MD5的進(jìn)程指紋系統(tǒng)前，每個(gè)24 h系統(tǒng)需要清除、禁止的病毒數(shù)有1367條；啟用后，下降到77條，風(fēng)險(xiǎn)大大降低，有效地遏制了病毒的感染與傳播（圖8～10）。

圖8 一周病毒數(shù)

圖9 啟用MD5進(jìn)程控制后

3.3 有效隔離勒索病毒

自2015年開始，勒索病毒初露頭角，尤其是在今年新出現(xiàn)的“魔窟”勒索病毒是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-010，受感染的電腦在短時(shí)間內(nèi)將在局域網(wǎng)內(nèi)大規(guī)模爆發(fā)。雖然HIPS可以有效屏蔽網(wǎng)絡(luò)上的惡意攻擊，如利用TCP 445 MS2017-010漏洞的入侵[11-12]。但我院信息科工程師結(jié)合實(shí)際情況，全方位考慮網(wǎng)絡(luò)安全，啟用防火墻策略，策略對(duì)入站、出站的端口都做了限制（圖11），不依賴病毒庫直接把可疑程序加入黑名單禁止運(yùn)行，該策略直接禁止445端口的入站請(qǐng)求，工程師在防火墻做策略，禁止關(guān)閉135、137、139、445端口。而終端需更新策略，并關(guān)閉共享文件夾。

圖10 啟用MD5進(jìn)程控制前

圖11 被阻止、未添加的端口

3.4 統(tǒng)一的軟件管理

首先建立一份完整的經(jīng)授權(quán)使用的軟件“白名單”，然后回收局域網(wǎng)辦公電腦用戶自行安裝軟件和控件的權(quán)限，只有具有管理員權(quán)限的信息科工程師才能推送、安裝白名單軟件，從而實(shí)現(xiàn)技術(shù)硬控制[13]。臨床使用的白名單內(nèi)的軟件總在更新，后臺(tái)工程師把我院所有指紋收錄后的安全軟件進(jìn)行統(tǒng)一分類管理，可方便安裝客戶端機(jī)器的下載使用[14]。

4 啟用白名單應(yīng)用后帶來的效益

4.1 終端安全的提升

因?yàn)椴《径际峭ㄟ^可執(zhí)行文件進(jìn)程進(jìn)行傳播，白名單所做策略僅允許合法的軟件運(yùn)行，其它都被禁止執(zhí)行；且白名單內(nèi)部的軟件都是經(jīng)過充分驗(yàn)證，不存在病毒和惡意軟件，實(shí)現(xiàn)了內(nèi)網(wǎng)“零”病毒。

4.2 軟件管理水平提升

全院終端使用統(tǒng)一系統(tǒng)鏡像源并安裝所有可能使用的軟件，通過MD5（指紋）進(jìn)程指紋系統(tǒng)來規(guī)范臨床軟件的使用，即使相同的軟件也會(huì)有不同的版本產(chǎn)生不同的指紋，信息科再也不用擔(dān)心臨床科室在使用早期版本軟件上的功能造成管理上麻煩。軟件的管理就像維護(hù)數(shù)據(jù)庫一個(gè)表那樣方便，通過對(duì)表的增、刪、改實(shí)現(xiàn)軟件的開放、限制、更新，提升了信息科的軟件管理效率和水平[15]。

4.3 工作效率的提升

以往在出現(xiàn)大范圍廣播的病毒的時(shí)候，信息科需要全員出動(dòng)，網(wǎng)絡(luò)管理員在交換機(jī)上配規(guī)則、數(shù)據(jù)中心管理員給服務(wù)器打補(bǔ)丁重啟，臨床維護(hù)人員需要下課室進(jìn)行全院打補(bǔ)丁、關(guān)網(wǎng)絡(luò)、殺病毒等，事情瑣碎又繁多，不僅效率低下，而且容易出現(xiàn)遺漏。遺漏就代表著剛剛結(jié)束的工作又要重來一遍直至全網(wǎng)病毒查殺干凈。

通過MD5（指紋）進(jìn)程指紋系統(tǒng)，既健全了終端系統(tǒng)的使用，又減少了病毒在局域網(wǎng)中的傳播。信息科工程師可以從繁重瑣碎的打補(bǔ)丁、掃描病毒、殺病毒、封移動(dòng)存儲(chǔ)等工作中釋放出來，將精力投入臨床業(yè)務(wù)系統(tǒng)的開發(fā)中[16]。

5 存在的不足及改進(jìn)

MD5（指紋）進(jìn)程指紋系統(tǒng)是為了保證臨床終端安全，保證科室信息安全的軟件。但也存在一些缺點(diǎn)，比如軟件在啟動(dòng)的時(shí)候需要一個(gè)指紋比對(duì)的過程，給性能造成一定的影響。科室在使用某些新的軟件前，需經(jīng)過信息科的審核和授權(quán)，給一些業(yè)務(wù)工作帶來滯后。例如廠家更新機(jī)器配套的軟件，這些本來可以廠家和科室就可以完成的工作也需要信息科的配合才能正常完成。

針對(duì)這些問題，在今后的工作中我們將對(duì)系統(tǒng)加以改進(jìn)開發(fā)自動(dòng)審核系統(tǒng)，減少底層驅(qū)動(dòng)控制頻繁的與系統(tǒng)底層做交互造成的影響，確保臨床科室業(yè)務(wù)及時(shí)、有效地開展[17]。

6 結(jié)語

MD5加密算法大規(guī)模用于文件校驗(yàn)、交易驗(yàn)證，賬戶比對(duì)，消息驗(yàn)證等重要領(lǐng)域，同時(shí)對(duì)網(wǎng)站數(shù)據(jù)的保護(hù)以及防止私人隱私數(shù)據(jù)的暴露有非常重要的意義。我院根據(jù)自身實(shí)際情況，合理引進(jìn)MD5（指紋）進(jìn)程指紋系統(tǒng)，在短時(shí)間內(nèi)，終端安全問題事件得到有效的控制，提高了工作效率，規(guī)范了科室電腦在使用過程中的行為，在安全和方便上得到有效的平衡。