ACL技術在醫院信息系統中的應用

陸明勝　夏峰　錢朝陽

摘要：醫院信息系統的快速發展，對醫院網絡的安全管理帶來了很大的挑戰。網絡安全問題，是醫院越來越關注的一個重點，數據無價，所以近年來一些醫院在數據安全上的投入也越來越多。文中首先對ACL技術的概念、工作原理以及配置所遵循的規則進行了描述，然后結合安徽省六安市第六人民醫院信息系統網絡部署情況，從防病毒、防ARP欺騙、報文過濾三方面介紹了ACL的配置方式。

關鍵詞：醫院信息系統 訪問控制列表 ACL配置

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）06-0000-00

1引言

隨著醫院信息化快速發展，醫院的網絡規模日益增大，如果醫院信息系統出現故障，醫院的工作將不能正常進行，這不僅使得耽誤患者疾病的正常醫治，還會給醫院造成很大的經濟損失。醫院信息系統面臨的安全問題主要表現有：醫院計算機系統存在的漏洞、醫院工作人員非法將移動設備接入醫院信息系統、外來的系統入侵和攻擊等惡意破壞行為、不良信息和垃圾郵件在醫院信息系統內的傳播等[1，2]。

作為醫院信息系統的管理員，既要保證系統的正常運行，又要有效避免病毒等不良信息在系統的傳播。除了要及時對計算機操作系統進行升級，避免漏洞的產生，還可以通過采用劃分VLAN、加入防火墻、設置訪問控制列表（Access Control List，ACL）等方法對醫院信息系統進行安全控制。在路由器上采用訪問控制列表，將具有病毒特性的TCP或UDP端口關閉，從而阻止病毒通過路由器的傳播[3]。

2 ACL技術

2.1 ACL定義

訪問控制技術是指當網絡系統信息資源受到未經許可的操作威脅時，通過適當的防護或管理策略，來保護網絡信息資源的安全和正確。訪問控制一般包括三部分內容：主體、客體和訪問規則。主體是發出訪問操作與存取請求的主動方；客體被訪問的程序或數據；訪問規則是一種判定主體隊某個客體是否具有訪問權限的規則。

訪問控制本質上就是，利用訪問規則限制發出訪問的主體對客體的訪問權限，使得在網絡系統內的操作都是在合法范圍內的，防止非法用戶的侵入或者合法用戶的非法操作。

2.2 ACL工作原理

ACL根據事先規定好的規則，在出入網絡的地方對數據包進行篩選和過濾，從而實現對網絡的安全控制。對路由器ACL的合理的設置，一方面可以確保網絡的安全，另一方面可以降低在基礎設備上的成本。如圖1所示，給出了ACL的具體工作原理。

當路由器的接口收到一個數據包時，第一步會先檢查是否存在ACL，若存在，則會檢查ACL中規則所定義的IP地址與接收到的數據包里面的IP地址是否匹配，如果兩者匹配，則執行ACL中的規則；若不存在，接收到的數據包將會被轉移到輸出緩沖器中進行轉發[4]。一般的，路由器會按照ACL中的順序進行一行一行的比較，如果存在匹配的行，則將會把接下來的規則忽略掉，不執行檢查。

2.3 ACL配置規則

在對ACL的配置中，需要依照下面的規則：

（1）最小特權。對于所控制的對象只分配所必要的最小的特權，如果只滿足部分條件，規則是不允許通過的。

（2）添加新表項。如果需要添加新的表項，則必須添加到ACL的末尾，這說明不能改變原有的ACL功能，如果要改變，則必須新建ACL，并且要刪除原有的ACL。

（3）測試條件位置。在對規則進行匹配檢查時，是從上往下的順序一行一行的檢測，一旦存在符合條件的就立即轉發，忽略接下來的ACL語句，因此，要把特殊的測試條件放在ACL的最前面。

（4）ACl位置的配置。一般的，標準的ACL應該在接近于目的網段的路由器中進行配置，這樣做可以方便和準確的控制流量。對于擴展的ACL應選擇接近于源地址網段的路由器中進行配置，這樣做可以降低費用開銷。

3 ACL在我院網絡中的應用

根據安徽省六安市第六人民醫院信息系統的實際情況，網絡設計拓撲圖如圖2。核心交換機使用華為的S9306交換容量2Tbps，包轉發率1080Mpps，接入交換機采用華為S5700-52P-LI。

網絡采用二層架構模式，即分為核心層、接入層。核心層采用兩臺華為三層模塊化路由交換機S9306，兩臺交換機使用集群卡實現兩臺交換機的虛擬，保證任意一臺核心交換機故障，不影響醫院網絡的運行。

接入層均采用華為S5700系列全千兆交換機，實現千兆到桌面的網絡傳輸，可充分滿足醫院PACS系統需求。接入層通過千兆光纖連接至核心層。

下面以華為交換機ACL的配置為例進行說明ACL在防病毒、防ARP欺騙、報文過濾等方面的配置方法。

3.1 ACL防病毒配置

3.3 ACL配置報文過濾

3.3.1 以太網端口報文過濾

4 結語

醫院信息系統的安全運行對于醫院的各項工作的正常進行具有重要的作用。將ACL技術應用到醫院信息系統中，能夠解決醫院網絡管理中遇到的很多難題，確保醫院網絡的安全運行。ACL技術在防病毒方面可以控制Blaster蠕蟲的傳播、控制沖擊波病毒的掃描和攻擊、控制振蕩波的掃描和攻擊、控制Worm_MSBlast.A 蠕蟲的傳播以及對一些不出名的病毒端口號進行配置；另外ACL技術還可以在防ARP欺騙、報文過濾、密碼恢復、文件管理等方面進行配置，對網絡進行安全控制。但是，ACL技術具有一定局限性，例如，對于具體的用戶、應用內部的權限級別等ACL無法識別。所以，要實現對醫院信息系統網絡的更加有效、安全的管理與控制，必須要結合防火墻、內網安全管理軟件以及系統級與應用級的訪問控制權限等網絡安全管理技術。

參考文獻

[1]潘文嬋，章韻.路由器訪問控制列表在網絡安全中的應用[J].計算機技術與發展，2010，20（8）：160-62.

[2]李新，孫忠濤.高校校園網安全管理研究[J].中國現代教育裝備，2010（9）：27-29.

[3]李強.訪問控制列表（ACL）在網絡安全設計中的應用[J].計算機與網絡，2004（7）：60-61.

[4]楊梅，楊平利，宮殿慶.ACL技術研究及應用[J].計算機技術與發展，2011，21（6）：145-149.