醫院網絡終端安全準入系統探索

前言：尋找寫作靈感？中文期刊網用心挑選的醫院網絡終端安全準入系統探索，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：在國家要求全面加強信息安全保障體系建設及落實信息安全等級保護的大背景下，網絡安全日漸成為醫院信息化建設的重要一環，醫院網絡接入層作為信息安全防護體系的前沿陣地更應受到重視。本文通過結合醫院實際網絡情況對網絡準入系統的認證模式選型、部署方式、準入效果等進行探究，簡述網絡終端準入系統在南方醫科大學南方醫院增城分院（下文簡稱“本院”）的初步實踐，對實施過程中遇到的問題進行討論與經驗總結。

關鍵詞：醫院網絡安全；準入系統；Mac認證

1前言

網絡終端安全準入，是通過對終端接入網絡實施安全管控的防御技術，建立起終端從登記－準入－監控－下線的全周期防控流程。為防止潛在威脅入侵網絡，對醫院內網的接入層端口實施安全準入，是保證醫院網絡安全運行的前提。隨著信息化建設的快速發展和互聯網的普及應用，網絡安全威脅逐漸升級，醫療機構作為治病救人、保障民生的特殊行業，歷來都是網絡攻擊的首選目標之一。本院于2018年底開業，開業初期醫院內網的接入層安全防護尚未完善，因為開放式的網絡架構，大量的網絡端口暴露在院內建筑的各個角落，脆弱的用戶終端一旦輕易地接入網絡，就等于給潛在的安全威脅敞開了大門，如何加強網絡安全的前端防護，保障醫院內部網絡及數據的安全可靠[1]，是院領導及科室領導關注的問題。

2準入管理前的內網狀況

本院作為新建醫院，1期建設完工并投入使用的主體建筑物主要包括：門（急）診樓、住院樓、醫技樓、傳染病樓，各主體建筑內網由中心機房核心交換機直通萬兆雙路光纖至各樓層光纖配線架，配備千兆交換機約170臺，經堆疊后匯總可管理的交換機為46臺。院內內網接入設備種類多、各類設備數量約1400臺，主要涉及診室內網PC、叫號屏、診間屏、分診臺報到機及自助打印機、藥房自動配發藥設備、各類專用醫療設備及智能化設備啞終端等。由于醫院人員流動性較大，對于非本院工作人員擅自使用設備接入內網的情況于開業前期時有發生，網絡安全隱患較突出；沒有安全措施且遍布全院的接入點，當網絡出現故障時定位故障難度較大，也曾出現過第三方公司駐院期間私建局域網后接入內網引發內網dhcp沖突的情況。

3準入模式的選型

該準入系統基于硬件平臺實現，采用NAC（NetworkAdmissionControl）是一種“端到端”的安全結構，包括Portal認證、透明網關、策略路由與802.1X認證等。（1）Portal模式，基于B/S模型完成客戶端和服務器的交互，需在接入層對終端通過VLAN實現訪問網絡權限的控制，接入的用戶強制跳轉至特定網頁進行認證，通過Web頁面驗證準入。（2）透明網關模式，需將準入設備串聯在內網核心位置，基于包過濾技術對網絡中數據進行處理，該模式下終端可通過安裝客戶端準入，也可用Web完成準入。（3）策略路由模式，同樣基于包過濾技術，需在核心交換機上將流量鏡像配置至準入設備進行處理，符合條件的流量則正常轉發，對不符合條件的流量操作丟棄或重定向，引導用戶通過Web準入頁面完成注冊登錄后接入內網。（4）802.1X模式，基于Client/Server的訪問控制和認證協議802.1X，可以通過安裝客戶端后登錄授權的賬號密碼準入，也可將交換機端口學習到的終端Mac地址管控準入。在準入系統的選型過程中，我們主要考慮系統的部署方式對業務網絡的影響、各類終端的管控適用性、準入模式的可靠性及可操作性。在透明網關模式下，需串聯在網絡核心位置，鑒于系統上線期間需中斷業務網絡，且串聯在網絡中存在運維風險，一旦設備宕機將造成全網故障，故不考慮此模式；在802.1X模式、策略路由和Portal準入模式下，將旁路部署在核心網絡中如圖1所示，系統調試及上線對業務皆無影響，但因兼顧多類終端（部分終端無法安裝客戶端或使用Web準入）適用性，且在準入模式不可混合開啟情況下，最終選定802.1X協議下Mac認證模式作為統一準入模式，該模式下連接到同一端口的每個設備都需要單獨進行認證。

4802.1X—Mac模式下系統架構及功能

典型802.1X系統為的Client/Server結構，包括：客戶端、設備端和認證服務器等實體[2]，該準入系統基于硬件平臺實現，部署802.1X—Mac模式主要涉及radius認證服務器端和接入交換機端的配置，本院接入層皆部署支持802.1X的三層可管理交換機，準入設備與交換機之間無NAT防火墻等一些疑似替換Mac的設備。準入系統提供的Web、telnet等后臺管理界面，準入系統主要應用功能如下：（1）網絡設備管理：認證管理后臺添加相應交換機管理IP，并與交換機同步開啟snmp網管協議，服務器通過snmp“讀”“寫”操作對交換機的配置、參數、端口狀態等進行管控，并有設備實時可視化管理界面。（2）資產發現與管理：準入系統利用netdiscover工具，每隔1分鐘在所管理的交換機下嗅探存活的主機，對于未準入終端可通過掃描來發現主機的接入位置及所在端口。符合準入條件的主機則設置可信標記、設備類型、型號、資產使用人及物理位置、綁定固定交換機（綁定后該終端只能在該交換機下成功進網）、設置為固定資產或臨時資產如圖2所示，系統后臺對臨時資產有一個計劃任務，每天檢查一次，如果注冊的臨時資產到期，會從系統上清除，并產生資產退出記錄，該策略適用于臨時進網的外部人員。（3）威脅告警與在線用戶強制下線：系統支持對認證在線用戶分類管理，當檢測到終端接入異常、準入失敗、異常下線等事件均會產生報警信息，定位至對應的接入設備及端口，系統支持將報警信息通過Mail方式及時發送給相關人員。當需強制下線某終端時，可依據終端Mac錄入下線時間和下線原因后將其強制下線如圖3所示。經測試，強制下線的生效時限，依據交換機的定時重認證命令Mac-authentimerreauthenticate-periodXXs刷新終端認證狀態（默認120s，為避免對系統運行造成壓力，建議重認證時間間隔不宜過短），一經發現下線命令，則立即阻斷用戶入網。如果將在線用戶加入黑名單，將持續無法準入成功。（4）日志管理：日志管理模塊具備資產解綁（解除認證）日志、管理員操作日志、終端認證日志等滿足日常運維需要。（5）應急逃生機制：如遇到準入系統宕機等特殊情況，802.1X部署雖為trunk旁路接入，但因接入層已開啟向服務器的請求認證，怕影響已認證在線的終端，所以需要在接入層設備增配應急逃生的指令。若交換機出現連續3次請求失敗，每次超時5秒以上則視為開啟逃生機制，按未連接準入設備模式運行網絡，確保業務不間斷。

5實施與管理

系統實施前期需對院內在用的內網終端進行入網前合規性檢查，主要針對有window操作系統的信息設備或醫療設備安裝防病毒軟件及桌面管理軟件，對于其他操作系統的設備或啞終端則登記相應的接入交換機，后期系統上線后統一使用“資產發現”批量準入，最重要的一步是院內各交換機需開啟遠程管理權限，關閉交換機統一配置模式（dot1x協議生效機制），經過以上配置后交換機需重啟，故需選一個業務量較少的時段進統一遠程操作，降低對業務網絡的影響。接入層交換機部分配置命令如下：正常的準入流程應以“來賓”提出入網申請為起點如圖4，利用準入Web后臺與交換機聯動配置；而準入不通過的效果則為終端無法獲取內網IP，端口隔離掉認證失敗后的流量。實施過程應注意的問題：由于802.1X-Mac認證模式涉及交換機配置，準入系統上線初期院內部分區域的終端網絡曾出現丟包，現象為隔3分鐘出現一次斷線，每次丟包為2至5個，丟包過后正常訪問網絡。經過抓包測試與查詢arp表等故障排查，發現接入層交換機回復了不屬于自己的arp請求包（請求包上請求地址并不在接入層交換機上），聯合交換機廠家工程師共同排查后，大致判斷為接入層交換機在開啟Mac認證后出現的異常bug，原因是同型號的交換機VRP系統存在新舊版本不一致所致，后將舊版本的交換機統一升級后解決了該故障。

6總結

準入系統在本院實施后，全院內網終端Mac地址皆登記在準入后臺，按部門建立起終端管理樹，約1400臺各類信息終端的接入行為得到有效管理，非授權的終端則被禁止訪問內網資源，從運維的層面有助于我們更直觀、更快捷地監測網絡端口及定位終端，緩解網絡管理壓力的同時，業務內網的各類故障報警明顯減少，全體醫護人員的安全意識也普遍提高。通過以上闡述，能夠基本了解本次準入系統實施的參數設置與部署流程，通過建立網絡接入的管理規范，有效地、全面地、精確地筑起醫院網絡安全的第一道關，提升本院接入層的安全防御能力，更讓我們在網絡安全運維流程的設計、建設、管理上取得了寶貴的經驗[3]。

參考文獻：

[1]郭揚帆，魏書山.醫院網絡安全建設指引[M].暨南大學出版社,2019:95.

[2]田宇.基于802.1X協議接入控制安全加固方案的設計與實現[D].北京:中國科學院大學,.2017:31-32.

[3]潘愈嘉.構建醫院網絡準入系統的解決方案[J].中國數字醫學,2012,8(32):105-107.

作者:胡少峰 謝新鵬 文海榮 單位:南方醫科大學南方醫院增城分院