CC BY
0
УДК 004.056.53
О ЗАДАЧЕ ВЫЯВЛЕНИЯ АНОМАЛИЙ СЕТЕВОГО ВЗАИМОДЕЙСТВИЯ МЕДИЦИНСКОГО ОБОРУДОВАНИЯ
А. И. Дудникова Научный руководитель - Н.Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: roksil98@mail.ru
Рассмотрены подходы к решению задачи по выявлению аномалий сетевого взаимодействия медицинского оборудования. Решение может быть использовано с целью проведения исследований состояния здоровья космонавтов, в том числе в период подготовки к полету и после. В статье описываются принципы, на основании которых формировались подходы к решению.
Ключевые слова: система мониторинга медицинского оборудования, ELK стек, NetFlow.
ON THE TASK OF DETECTING ANOMALIES IN THE NETWORK INTERACTION OF
MEDICAL EQUIPMENT
A. I. Dudnikova Scientific supervisor - N.Y. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
Е-mail: roksil98@mail.ru
Approaches to solving the problem of detecting anomalies in the network interaction of medical equipment are considered. The solution can be used for the purpose of conducting research on the health of astronauts, including during the preparation for the flight and after. The article describes the principles on the basis of which the approaches to the solution were formed.
Keywords: medical equipment monitoring system, ELK stack, NetFlow.
Введение
Согласно приказу Министерства здравоохранения РФ от 19 января 2017 г. № 11 выделены следующие особенности работы с медицинским оборудованием [1]: поставщик медицинского оборудования обеспечивает организацию необходимыми и достаточными правами доступа на медицинское устройство. Однако на практике ответственность за обеспечение безопасной эксплуатации аппарата медицинской техники несет медицинская организация, хотя прав доступа для конфигурации и настройки безопасной работы машины у конечного пользователя нет. Совсем ограничить подключение оборудования к локально-вычислительной сети организации - не возможно, так как информация с аппаратов должна передаваться на сервер медицинской информационной системы для дальнейшего централизованного анализа полученных данных.
Следовательно, появляется необходимость контроля сегмента сети с функционирующим медицинским оборудованием с целью обеспечения целостности, конфиденциальности и доступности фигурирующей в ней информации. Обычно, для защиты сегментов внутренней сети, применяются меры, ограниченные установкой антивирусного программного обеспечения [2]. Однако контролировать, таким образом, можно не все медицинское оборудование, ввиду отсутствия необходимых прав доступа к конечной машине для
Актуальные проблемы авиации и космонавтики - 2021. Том 2
конфигурации этих средств. Следовательно, необходим инструмент, позволяющий осуществлять мониторинг сетевого трафика, для выявления активности в рамках инфраструктуры организации, для обнаружения угроз безопасности в пределах локального сегмента сети с функционирующим медицинским оборудованием. Решение может быть использовано с целью проведения исследований состояния здоровья космонавтов, в том числе в период подготовки к полету и после.
Варианты подключения медицинского оборудования к сети организации
С точки зрения физического подключения медицинских аппаратов к локальной вычислительной сети медицинского учреждения можно выделить три основных способа подключения:
1. Физическое подключение аппарата медицинской техники к локальной вычислительной сети медицинского учреждения при наличии встроенного в медицинский аппарат сетевого интерфейса Ethernet.
2. Физическое подключение аппарата медицинской техники к локальной вычислительной сети медицинского учреждения при отсутствии встроенного в медицинский аппарат сетевого интерфейса путем использования сервера последовательных интерфейсов RS-232, к сети Ethernet.
3. Физическое подключение группы аппаратов медицинской техники в локальной вычислительной сети медицинского учреждения при наличии встроенного в медицинские аппараты сетевого интерфейса путем использования дополнительного коммутационного оборудования.
Вне зависимости от типа подключения аппарата к локальной вычислительной сети медицинской организации зачастую возможно осуществлять анализ технологической инфраструктуры, окружающей данный аппарат, так как источниками так же могут выступать параметры коммутационного и маршрутизирующего оборудования сегмента ЛВС, к которому подключен аппарат, с использованием протоколов SNMP и NetFlow. Мониторинг данных протоколов позволяет отслеживать доступность медицинской аппаратуры, а также выявлять подозрительную активность в рамках инфраструктуры организации.
Источники данных
В качестве источников данных для мониторинга можно использовать: «сырой» трафик с дальнейшей его передачей системам обнаружения вторжений, анализ событий с сетевых устройств или анализ потоков трафика [3]. В первом случае для предотвращения обхода средств защиты необходимо ставить сенсоры в разрыв сетевого соединения, таким образом, общая стоимость решения будет велика. Использование событий с сетевых устройств позволяет проводить анализ уже после зафиксированного инцидента. Решить проблему эффективности источника данных можно, проводя анализ потоков трафика.
Описание работы стенда системы мониторинга
Стенд решения состоит из маршрутизатора с поддержкой Flow-протокола, обеспечивающего сбор, формирование пакетов в потоки, и дальнейшее перенаправление на NetFlow сервер, выполняющий функции сбора, хранения сетевого трафика, с его последующим анализом.
В основе коллектора и анализатора лежит стек ELK отраженный на рисунке 1. Стек позволяет «на лету» масштабировать решение при добавлении нового сетевого устройства, работать с различными источниками данных, а также осуществлять их хранение посредством нереляционной базы данных, являющейся частью стека [4].
Рисунок 1 — Схематическое отображение решения
Собранные метаданные от протокола NetFlow обрабатываются, путем внесения изменений в конфигурацию раздела фильтрации коллектора.
Выводы
В ходе работы были рассмотрены подходы к решению задачи по выявлению аномалий сетевого взаимодействия медицинского оборудования.
Предложенное решение решает проблему контроля состояния медицинского оборудования в силу отсутствия расширенных прав доступа на медицинские аппараты для локальной конфигурации, позволяя осуществлять мониторинг за работой медицинского оборудования, путем анализа технологической инфраструктуры, окружающей данный аппарат, не допуская нарушения доступности и конфиденциальности передаваемой в рамках инфраструктуры организации информации.
Библиографические ссылки
1. Российская Федерация. Законы. Приказ Министерства здравоохранения РФ от 19 января 2017г. № 11. - Текст : электронный // URL: https://www.garant.ru/products/ipo/prime/doc/71526748/ (дата обращения 25.01.2021).
2. Статья «Flow-протоколы как инструмент мониторинга безопасности внутренней сети» [Электронный ресурс]. URL: https://habr.com/ru/company/cisco/blog/464601/ (Дата доступа 08.09.2020).
3. Пранав Шукла, Шарат Кумар. Elasticsearch, Kibana, Logstash и поисковые системы нового поколения.— М.:Питер . — 2019. — 352 с.
4. Пранав Шукла, Шарат Кумар. Learning Elastic Stack 7.0.— Packt Publishing. — 2019. — 474 с.
© Дудникова А. И., 2021
