网络访问控制和边界安全

二、网络访问控制和边界安全

防止非法的主体进入受保护的网络资源，允许合法用户访问受保护的网络资源，防止合法的用户对受保护的网络资源进行非授权的访问。

1.医院内网与医院外网之间采用物理隔离

物理隔离一般是指通过网络（包括电磁空间）分离来实现网络隔离，它是网络隔离的一种形式，其目的是禁止网络间的资源共享，防止一个网络的信息泄露到另一个网络上去。物理隔离必须严格从网络的物理层起就与其他网络彻底隔离开来。当然，能实现基于第一层的物理隔离是再安全不过了，但是如果没有数据交换，就难以达到应用的效果和目的，安全也只是无本之木。物理隔离的发展历经了几代隔离技术，目前常用的是安全通道隔离，此技术通过专用通信硬件和专用安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅有效地将内外网隔离开来，而且高效地实现了内外网数据的安全转换，透明支持多种网络应用，避免了信息孤岛，成为当前隔离技术的发展方向。网闸是很多安全网络隔离的选择，设计原理是基于“代理＋摆渡”的概念。目前主要有三类GAP技术：实时开关、单向链接和网络开关。

2.强化医院信息系统重要网段

医院信息系统重要网段（如服务器网段），应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息），为数据流提供明确的允许/拒绝访问的能力。

可通过访问控制列表（简称ACL）来实现，ACL是在路由器或交换机中常用的接口指令列表，主要用来控制流经端口的数据包。ACL是一系列由源地址、目的地址、端口号等决定的拒绝和允许条件的集合，通过列表中的参数和报文信息的匹配，来过滤流入和流出的数据包的请求，从而实现网络的安全管理。ACL采用包过滤技术，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL的主要功能有：在设备端口处控制哪种类型的通信被转发或被阻塞；实现网络流量限制；提供网络安全访问的基本安全级别。在网络屏蔽特定端口来防范病毒与攻击，传输中限制传输的类型，提高性能，减少网络漏洞。

3.应具备记录、允许或拒绝终端PC接入医院网络的能力

针对非法接入的应对方式有多种，可采用以下三种方式实现：

（1）基于端口绑定的防非法接入技术。它是通过对交换机的物理端口，进行MAC和IP地址绑定设置，有效地控制网内主机对局域网的访问。该技术的优点是对非法接入的控制，安全高效；缺点是不适合大中型网络的使用，其端口设置固定，客户机无法灵活移动。

（2）基于IEEE802.1x协议的认证机制。它是一种基于用户ID来进行交换机端口通信的身份认证，被称为“基于端口的访问控制协议”。802.1x认证系统由申请者、认证者以及Radius认证服务器组成，提供基于端口监听的网络接入控制技术，在网络设备的物理接入层对接入设备进行认证和控制。它将网络设备接入端口逻辑上分为可控端口和不可控制端口。根据用户账号和密码，由认证服务器认证，以决定该端口是否打开，对于非法用户接入或没有用户接入时，则该端口处于关闭状态。接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。当用户断网后，如果需要再次连网，则需要进行二次认证。

（3）基于动态VLAN的认证机制。这是一种基于源MAC地址，动态地在交换机端口上划分VLAN的方法。它由3部分组成，即VMPS认证服务器、网络交换机、接入客户端。其中接入客户端是指连接上网的微型计算机或UNIX工作站等；VMPS认证服务器，由认证服务器、认证数据库组成，进行全网客户机登录认证。

4.能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）

内部用户通过Modem拨号、双网卡或无线上网卡等方式接入外网和互联网应严格禁止。由于通过这些方式上网相当于给外部入侵留有后门，属于严重的网络安全隐患，因而很有可能引致网络遭受黑客攻击、内部信息泄露等安全事件。

目前，经常使用的非法外联监控技术主要有两种：基于客户端Agent的方法和基于内网扫描加外网检测的方法。

（1）基于客户端Agent的方法。在内部网络中部署管理服务器，同时在内部网络中的所有主机上安装客户端Agent程序，实时搜集被监控主机信息并判断被监控主机是否非法外联。客户端Agent通常以较高的权限运行，如administrators、system或root等，包括非法外联在内的任何行为都可以监控并进行相应处理，例如断开非法外联的网络连接和向管理服务器报警等，甚至可以干脆自动禁用可能导致非法外联的设备。

这种方法的优点是：既可以监控，又可阻断；检测及时；误报率低；漏报率低；这种方法的缺点是：部署到内部网络中的所有主机需要很大代价；客户端Agent可能会被恶意卸载；客户端Agent需要占用被监控主机的系统资源；客户端Agent与某些应用程序的兼容性可能存在问题。

（2）基于内网扫描加外网检测的方法。它是一种不需要变更主机端，仅需要在网络侧进行小幅度改造的方法，通常适用于内网与互联网彻底隔离的情况。该方法利用了伪造源IP的技巧，需要在内网和互联网各放置一台服务器：内网扫描服务器和外网检测服务器。其工作原理如下：内网扫描服务器，对内网中的各主机轮流发送探测报文，探测报文的源IP字段填充的是外网检测服务器的IP地址（伪造源IP的扫描），以诱使接收到探测报文的主机试图向互联网上的外网检测服务器发送回应。探测报文可以是ICMP、TCP或者UDP等。正常情况下，主机没有与互联网连接，回应报文是无法到达外网检测服务器的。但是如果主机存在非法外联，则会把回应报文送到互联网上真实存在的外网检测服务器。回应报文的源IP是非法外联主机接口的IP，目的IP是外网检测服务器的IP，报文的内容中包含该主机的内网IP地址。

这种方法的优点是：不需要占用主机资源安装，实施容易，被监控主机的使用者基本无感知。缺点是：如果非法外联通道上有网络状态监测防火墙，可能会漏报；如果非法外联主机安装了主机状态监测防火墙，可能会漏报；报警有延时；存在被恶意误报攻击的可能，探测扫描轮询需要占用网络带宽资源；只能监控，不能阻断。

综上所述，建议使用基于客户端Agent的方法，目前市场上较为成熟的终端安全软件均可实现防非法外联的功能。