ACL技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用

陸明勝　夏峰　錢(qián)朝陽(yáng)

摘要：醫(yī)院信息系統(tǒng)的快速發(fā)展，對(duì)醫(yī)院網(wǎng)絡(luò)的安全管理帶來(lái)了很大的挑戰(zhàn)。網(wǎng)絡(luò)安全問(wèn)題，是醫(yī)院越來(lái)越關(guān)注的一個(gè)重點(diǎn)，數(shù)據(jù)無(wú)價(jià)，所以近年來(lái)一些醫(yī)院在數(shù)據(jù)安全上的投入也越來(lái)越多。文中首先對(duì)ACL技術(shù)的概念、工作原理以及配置所遵循的規(guī)則進(jìn)行了描述，然后結(jié)合安徽省六安市第六人民醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)部署情況，從防病毒、防ARP欺騙、報(bào)文過(guò)濾三方面介紹了ACL的配置方式。

關(guān)鍵詞：醫(yī)院信息系統(tǒng) 訪問(wèn)控制列表 ACL配置

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）06-0000-00

1引言

隨著醫(yī)院信息化快速發(fā)展，醫(yī)院的網(wǎng)絡(luò)規(guī)模日益增大，如果醫(yī)院信息系統(tǒng)出現(xiàn)故障，醫(yī)院的工作將不能正常進(jìn)行，這不僅使得耽誤患者疾病的正常醫(yī)治，還會(huì)給醫(yī)院造成很大的經(jīng)濟(jì)損失。醫(yī)院信息系統(tǒng)面臨的安全問(wèn)題主要表現(xiàn)有：醫(yī)院計(jì)算機(jī)系統(tǒng)存在的漏洞、醫(yī)院工作人員非法將移動(dòng)設(shè)備接入醫(yī)院信息系統(tǒng)、外來(lái)的系統(tǒng)入侵和攻擊等惡意破壞行為、不良信息和垃圾郵件在醫(yī)院信息系統(tǒng)內(nèi)的傳播等[1，2]。

作為醫(yī)院信息系統(tǒng)的管理員，既要保證系統(tǒng)的正常運(yùn)行，又要有效避免病毒等不良信息在系統(tǒng)的傳播。除了要及時(shí)對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行升級(jí)，避免漏洞的產(chǎn)生，還可以通過(guò)采用劃分VLAN、加入防火墻、設(shè)置訪問(wèn)控制列表（Access Control List，ACL）等方法對(duì)醫(yī)院信息系統(tǒng)進(jìn)行安全控制。在路由器上采用訪問(wèn)控制列表，將具有病毒特性的TCP或UDP端口關(guān)閉，從而阻止病毒通過(guò)路由器的傳播[3]。

2 ACL技術(shù)

2.1 ACL定義

訪問(wèn)控制技術(shù)是指當(dāng)網(wǎng)絡(luò)系統(tǒng)信息資源受到未經(jīng)許可的操作威脅時(shí)，通過(guò)適當(dāng)?shù)姆雷o(hù)或管理策略，來(lái)保護(hù)網(wǎng)絡(luò)信息資源的安全和正確。訪問(wèn)控制一般包括三部分內(nèi)容：主體、客體和訪問(wèn)規(guī)則。主體是發(fā)出訪問(wèn)操作與存取請(qǐng)求的主動(dòng)方；客體被訪問(wèn)的程序或數(shù)據(jù)；訪問(wèn)規(guī)則是一種判定主體隊(duì)某個(gè)客體是否具有訪問(wèn)權(quán)限的規(guī)則。

訪問(wèn)控制本質(zhì)上就是，利用訪問(wèn)規(guī)則限制發(fā)出訪問(wèn)的主體對(duì)客體的訪問(wèn)權(quán)限，使得在網(wǎng)絡(luò)系統(tǒng)內(nèi)的操作都是在合法范圍內(nèi)的，防止非法用戶(hù)的侵入或者合法用戶(hù)的非法操作。

2.2 ACL工作原理

ACL根據(jù)事先規(guī)定好的規(guī)則，在出入網(wǎng)絡(luò)的地方對(duì)數(shù)據(jù)包進(jìn)行篩選和過(guò)濾，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全控制。對(duì)路由器ACL的合理的設(shè)置，一方面可以確保網(wǎng)絡(luò)的安全，另一方面可以降低在基礎(chǔ)設(shè)備上的成本。如圖1所示，給出了ACL的具體工作原理。

當(dāng)路由器的接口收到一個(gè)數(shù)據(jù)包時(shí)，第一步會(huì)先檢查是否存在ACL，若存在，則會(huì)檢查ACL中規(guī)則所定義的IP地址與接收到的數(shù)據(jù)包里面的IP地址是否匹配，如果兩者匹配，則執(zhí)行ACL中的規(guī)則；若不存在，接收到的數(shù)據(jù)包將會(huì)被轉(zhuǎn)移到輸出緩沖器中進(jìn)行轉(zhuǎn)發(fā)[4]。一般的，路由器會(huì)按照ACL中的順序進(jìn)行一行一行的比較，如果存在匹配的行，則將會(huì)把接下來(lái)的規(guī)則忽略掉，不執(zhí)行檢查。

2.3 ACL配置規(guī)則

在對(duì)ACL的配置中，需要依照下面的規(guī)則：

（1）最小特權(quán)。對(duì)于所控制的對(duì)象只分配所必要的最小的特權(quán)，如果只滿足部分條件，規(guī)則是不允許通過(guò)的。

（2）添加新表項(xiàng)。如果需要添加新的表項(xiàng)，則必須添加到ACL的末尾，這說(shuō)明不能改變?cè)械腁CL功能，如果要改變，則必須新建ACL，并且要?jiǎng)h除原有的ACL。

（3）測(cè)試條件位置。在對(duì)規(guī)則進(jìn)行匹配檢查時(shí)，是從上往下的順序一行一行的檢測(cè)，一旦存在符合條件的就立即轉(zhuǎn)發(fā)，忽略接下來(lái)的ACL語(yǔ)句，因此，要把特殊的測(cè)試條件放在ACL的最前面。

（4）ACl位置的配置。一般的，標(biāo)準(zhǔn)的ACL應(yīng)該在接近于目的網(wǎng)段的路由器中進(jìn)行配置，這樣做可以方便和準(zhǔn)確的控制流量。對(duì)于擴(kuò)展的ACL應(yīng)選擇接近于源地址網(wǎng)段的路由器中進(jìn)行配置，這樣做可以降低費(fèi)用開(kāi)銷(xiāo)。

3 ACL在我院網(wǎng)絡(luò)中的應(yīng)用

根據(jù)安徽省六安市第六人民醫(yī)院信息系統(tǒng)的實(shí)際情況，網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D如圖2。核心交換機(jī)使用華為的S9306交換容量2Tbps，包轉(zhuǎn)發(fā)率1080Mpps，接入交換機(jī)采用華為S5700-52P-LI。

網(wǎng)絡(luò)采用二層架構(gòu)模式，即分為核心層、接入層。核心層采用兩臺(tái)華為三層模塊化路由交換機(jī)S9306，兩臺(tái)交換機(jī)使用集群卡實(shí)現(xiàn)兩臺(tái)交換機(jī)的虛擬，保證任意一臺(tái)核心交換機(jī)故障，不影響醫(yī)院網(wǎng)絡(luò)的運(yùn)行。

接入層均采用華為S5700系列全千兆交換機(jī)，實(shí)現(xiàn)千兆到桌面的網(wǎng)絡(luò)傳輸，可充分滿足醫(yī)院PACS系統(tǒng)需求。接入層通過(guò)千兆光纖連接至核心層。

下面以華為交換機(jī)ACL的配置為例進(jìn)行說(shuō)明ACL在防病毒、防ARP欺騙、報(bào)文過(guò)濾等方面的配置方法。

3.1 ACL防病毒配置

3.3 ACL配置報(bào)文過(guò)濾

3.3.1 以太網(wǎng)端口報(bào)文過(guò)濾

4 結(jié)語(yǔ)

醫(yī)院信息系統(tǒng)的安全運(yùn)行對(duì)于醫(yī)院的各項(xiàng)工作的正常進(jìn)行具有重要的作用。將ACL技術(shù)應(yīng)用到醫(yī)院信息系統(tǒng)中，能夠解決醫(yī)院網(wǎng)絡(luò)管理中遇到的很多難題，確保醫(yī)院網(wǎng)絡(luò)的安全運(yùn)行。ACL技術(shù)在防病毒方面可以控制Blaster蠕蟲(chóng)的傳播、控制沖擊波病毒的掃描和攻擊、控制振蕩波的掃描和攻擊、控制Worm_MSBlast.A 蠕蟲(chóng)的傳播以及對(duì)一些不出名的病毒端口號(hào)進(jìn)行配置；另外ACL技術(shù)還可以在防ARP欺騙、報(bào)文過(guò)濾、密碼恢復(fù)、文件管理等方面進(jìn)行配置，對(duì)網(wǎng)絡(luò)進(jìn)行安全控制。但是，ACL技術(shù)具有一定局限性，例如，對(duì)于具體的用戶(hù)、應(yīng)用內(nèi)部的權(quán)限級(jí)別等ACL無(wú)法識(shí)別。所以，要實(shí)現(xiàn)對(duì)醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)的更加有效、安全的管理與控制，必須要結(jié)合防火墻、內(nèi)網(wǎng)安全管理軟件以及系統(tǒng)級(jí)與應(yīng)用級(jí)的訪問(wèn)控制權(quán)限等網(wǎng)絡(luò)安全管理技術(shù)。

參考文獻(xiàn)

[1]潘文嬋，章韻.路由器訪問(wèn)控制列表在網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（8）：160-62.

[2]李新，孫忠濤.高校校園網(wǎng)安全管理研究[J].中國(guó)現(xiàn)代教育裝備，2010（9）：27-29.

[3]李強(qiáng).訪問(wèn)控制列表（ACL）在網(wǎng)絡(luò)安全設(shè)計(jì)中的應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2004（7）：60-61.

[4]楊梅，楊平利，宮殿慶.ACL技術(shù)研究及應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011，21（6）：145-149.