前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的醫(yī)院網(wǎng)絡(luò)終端安全準(zhǔn)入系統(tǒng)探索，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：在國家要求全面加強(qiáng)信息安全保障體系建設(shè)及落實(shí)信息安全等級(jí)保護(hù)的大背景下，網(wǎng)絡(luò)安全日漸成為醫(yī)院信息化建設(shè)的重要一環(huán)，醫(yī)院網(wǎng)絡(luò)接入層作為信息安全防護(hù)體系的前沿陣地更應(yīng)受到重視。本文通過結(jié)合醫(yī)院實(shí)際網(wǎng)絡(luò)情況對(duì)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的認(rèn)證模式選型、部署方式、準(zhǔn)入效果等進(jìn)行探究，簡述網(wǎng)絡(luò)終端準(zhǔn)入系統(tǒng)在南方醫(yī)科大學(xué)南方醫(yī)院增城分院（下文簡稱“本院”）的初步實(shí)踐，對(duì)實(shí)施過程中遇到的問題進(jìn)行討論與經(jīng)驗(yàn)總結(jié)。

關(guān)鍵詞：醫(yī)院網(wǎng)絡(luò)安全；準(zhǔn)入系統(tǒng)；Mac認(rèn)證

1前言

網(wǎng)絡(luò)終端安全準(zhǔn)入，是通過對(duì)終端接入網(wǎng)絡(luò)實(shí)施安全管控的防御技術(shù)，建立起終端從登記－準(zhǔn)入－監(jiān)控－下線的全周期防控流程。為防止?jié)撛谕{入侵網(wǎng)絡(luò)，對(duì)醫(yī)院內(nèi)網(wǎng)的接入層端口實(shí)施安全準(zhǔn)入，是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提。隨著信息化建設(shè)的快速發(fā)展和互聯(lián)網(wǎng)的普及應(yīng)用，網(wǎng)絡(luò)安全威脅逐漸升級(jí)，醫(yī)療機(jī)構(gòu)作為治病救人、保障民生的特殊行業(yè)，歷來都是網(wǎng)絡(luò)攻擊的首選目標(biāo)之一。本院于2018年底開業(yè)，開業(yè)初期醫(yī)院內(nèi)網(wǎng)的接入層安全防護(hù)尚未完善，因?yàn)殚_放式的網(wǎng)絡(luò)架構(gòu)，大量的網(wǎng)絡(luò)端口暴露在院內(nèi)建筑的各個(gè)角落，脆弱的用戶終端一旦輕易地接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，如何加強(qiáng)網(wǎng)絡(luò)安全的前端防護(hù)，保障醫(yī)院內(nèi)部網(wǎng)絡(luò)及數(shù)據(jù)的安全可靠[1]，是院領(lǐng)導(dǎo)及科室領(lǐng)導(dǎo)關(guān)注的問題。

2準(zhǔn)入管理前的內(nèi)網(wǎng)狀況

本院作為新建醫(yī)院，1期建設(shè)完工并投入使用的主體建筑物主要包括：門（急）診樓、住院樓、醫(yī)技樓、傳染病樓，各主體建筑內(nèi)網(wǎng)由中心機(jī)房核心交換機(jī)直通萬兆雙路光纖至各樓層光纖配線架，配備千兆交換機(jī)約170臺(tái)，經(jīng)堆疊后匯總可管理的交換機(jī)為46臺(tái)。院內(nèi)內(nèi)網(wǎng)接入設(shè)備種類多、各類設(shè)備數(shù)量約1400臺(tái)，主要涉及診室內(nèi)網(wǎng)PC、叫號(hào)屏、診間屏、分診臺(tái)報(bào)到機(jī)及自助打印機(jī)、藥房自動(dòng)配發(fā)藥設(shè)備、各類專用醫(yī)療設(shè)備及智能化設(shè)備啞終端等。由于醫(yī)院人員流動(dòng)性較大，對(duì)于非本院工作人員擅自使用設(shè)備接入內(nèi)網(wǎng)的情況于開業(yè)前期時(shí)有發(fā)生，網(wǎng)絡(luò)安全隱患較突出；沒有安全措施且遍布全院的接入點(diǎn)，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)定位故障難度較大，也曾出現(xiàn)過第三方公司駐院期間私建局域網(wǎng)后接入內(nèi)網(wǎng)引發(fā)內(nèi)網(wǎng)dhcp沖突的情況。

3準(zhǔn)入模式的選型

該準(zhǔn)入系統(tǒng)基于硬件平臺(tái)實(shí)現(xiàn)，采用NAC（NetworkAdmissionControl）是一種“端到端”的安全結(jié)構(gòu)，包括Portal認(rèn)證、透明網(wǎng)關(guān)、策略路由與802.1X認(rèn)證等。（1）Portal模式，基于B/S模型完成客戶端和服務(wù)器的交互，需在接入層對(duì)終端通過VLAN實(shí)現(xiàn)訪問網(wǎng)絡(luò)權(quán)限的控制，接入的用戶強(qiáng)制跳轉(zhuǎn)至特定網(wǎng)頁進(jìn)行認(rèn)證，通過Web頁面驗(yàn)證準(zhǔn)入。（2）透明網(wǎng)關(guān)模式，需將準(zhǔn)入設(shè)備串聯(lián)在內(nèi)網(wǎng)核心位置，基于包過濾技術(shù)對(duì)網(wǎng)絡(luò)中數(shù)據(jù)進(jìn)行處理，該模式下終端可通過安裝客戶端準(zhǔn)入，也可用Web完成準(zhǔn)入。（3）策略路由模式，同樣基于包過濾技術(shù)，需在核心交換機(jī)上將流量鏡像配置至準(zhǔn)入設(shè)備進(jìn)行處理，符合條件的流量則正常轉(zhuǎn)發(fā)，對(duì)不符合條件的流量操作丟棄或重定向，引導(dǎo)用戶通過Web準(zhǔn)入頁面完成注冊(cè)登錄后接入內(nèi)網(wǎng)。（4）802.1X模式，基于Client/Server的訪問控制和認(rèn)證協(xié)議802.1X，可以通過安裝客戶端后登錄授權(quán)的賬號(hào)密碼準(zhǔn)入，也可將交換機(jī)端口學(xué)習(xí)到的終端Mac地址管控準(zhǔn)入。在準(zhǔn)入系統(tǒng)的選型過程中，我們主要考慮系統(tǒng)的部署方式對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響、各類終端的管控適用性、準(zhǔn)入模式的可靠性及可操作性。在透明網(wǎng)關(guān)模式下，需串聯(lián)在網(wǎng)絡(luò)核心位置，鑒于系統(tǒng)上線期間需中斷業(yè)務(wù)網(wǎng)絡(luò)，且串聯(lián)在網(wǎng)絡(luò)中存在運(yùn)維風(fēng)險(xiǎn)，一旦設(shè)備宕機(jī)將造成全網(wǎng)故障，故不考慮此模式；在802.1X模式、策略路由和Portal準(zhǔn)入模式下，將旁路部署在核心網(wǎng)絡(luò)中如圖1所示，系統(tǒng)調(diào)試及上線對(duì)業(yè)務(wù)皆無影響，但因兼顧多類終端（部分終端無法安裝客戶端或使用Web準(zhǔn)入）適用性，且在準(zhǔn)入模式不可混合開啟情況下，最終選定802.1X協(xié)議下Mac認(rèn)證模式作為統(tǒng)一準(zhǔn)入模式，該模式下連接到同一端口的每個(gè)設(shè)備都需要單獨(dú)進(jìn)行認(rèn)證。

4802.1X—Mac模式下系統(tǒng)架構(gòu)及功能

典型802.1X系統(tǒng)為的Client/Server結(jié)構(gòu)，包括：客戶端、設(shè)備端和認(rèn)證服務(wù)器等實(shí)體[2]，該準(zhǔn)入系統(tǒng)基于硬件平臺(tái)實(shí)現(xiàn)，部署802.1X—Mac模式主要涉及radius認(rèn)證服務(wù)器端和接入交換機(jī)端的配置，本院接入層皆部署支持802.1X的三層可管理交換機(jī)，準(zhǔn)入設(shè)備與交換機(jī)之間無NAT防火墻等一些疑似替換Mac的設(shè)備。準(zhǔn)入系統(tǒng)提供的Web、telnet等后臺(tái)管理界面，準(zhǔn)入系統(tǒng)主要應(yīng)用功能如下：（1）網(wǎng)絡(luò)設(shè)備管理：認(rèn)證管理后臺(tái)添加相應(yīng)交換機(jī)管理IP，并與交換機(jī)同步開啟snmp網(wǎng)管協(xié)議，服務(wù)器通過snmp“讀”“寫”操作對(duì)交換機(jī)的配置、參數(shù)、端口狀態(tài)等進(jìn)行管控，并有設(shè)備實(shí)時(shí)可視化管理界面。（2）資產(chǎn)發(fā)現(xiàn)與管理：準(zhǔn)入系統(tǒng)利用netdiscover工具，每隔1分鐘在所管理的交換機(jī)下嗅探存活的主機(jī)，對(duì)于未準(zhǔn)入終端可通過掃描來發(fā)現(xiàn)主機(jī)的接入位置及所在端口。符合準(zhǔn)入條件的主機(jī)則設(shè)置可信標(biāo)記、設(shè)備類型、型號(hào)、資產(chǎn)使用人及物理位置、綁定固定交換機(jī)（綁定后該終端只能在該交換機(jī)下成功進(jìn)網(wǎng)）、設(shè)置為固定資產(chǎn)或臨時(shí)資產(chǎn)如圖2所示，系統(tǒng)后臺(tái)對(duì)臨時(shí)資產(chǎn)有一個(gè)計(jì)劃任務(wù)，每天檢查一次，如果注冊(cè)的臨時(shí)資產(chǎn)到期，會(huì)從系統(tǒng)上清除，并產(chǎn)生資產(chǎn)退出記錄，該策略適用于臨時(shí)進(jìn)網(wǎng)的外部人員。（3）威脅告警與在線用戶強(qiáng)制下線：系統(tǒng)支持對(duì)認(rèn)證在線用戶分類管理，當(dāng)檢測到終端接入異常、準(zhǔn)入失敗、異常下線等事件均會(huì)產(chǎn)生報(bào)警信息，定位至對(duì)應(yīng)的接入設(shè)備及端口，系統(tǒng)支持將報(bào)警信息通過Mail方式及時(shí)發(fā)送給相關(guān)人員。當(dāng)需強(qiáng)制下線某終端時(shí)，可依據(jù)終端Mac錄入下線時(shí)間和下線原因后將其強(qiáng)制下線如圖3所示。經(jīng)測試，強(qiáng)制下線的生效時(shí)限，依據(jù)交換機(jī)的定時(shí)重認(rèn)證命令Mac-authentimerreauthenticate-periodXXs刷新終端認(rèn)證狀態(tài)（默認(rèn)120s，為避免對(duì)系統(tǒng)運(yùn)行造成壓力，建議重認(rèn)證時(shí)間間隔不宜過短），一經(jīng)發(fā)現(xiàn)下線命令，則立即阻斷用戶入網(wǎng)。如果將在線用戶加入黑名單，將持續(xù)無法準(zhǔn)入成功。（4）日志管理：日志管理模塊具備資產(chǎn)解綁（解除認(rèn)證）日志、管理員操作日志、終端認(rèn)證日志等滿足日常運(yùn)維需要。（5）應(yīng)急逃生機(jī)制：如遇到準(zhǔn)入系統(tǒng)宕機(jī)等特殊情況，802.1X部署雖為trunk旁路接入，但因接入層已開啟向服務(wù)器的請(qǐng)求認(rèn)證，怕影響已認(rèn)證在線的終端，所以需要在接入層設(shè)備增配應(yīng)急逃生的指令。若交換機(jī)出現(xiàn)連續(xù)3次請(qǐng)求失敗，每次超時(shí)5秒以上則視為開啟逃生機(jī)制，按未連接準(zhǔn)入設(shè)備模式運(yùn)行網(wǎng)絡(luò)，確保業(yè)務(wù)不間斷。

5實(shí)施與管理

系統(tǒng)實(shí)施前期需對(duì)院內(nèi)在用的內(nèi)網(wǎng)終端進(jìn)行入網(wǎng)前合規(guī)性檢查，主要針對(duì)有window操作系統(tǒng)的信息設(shè)備或醫(yī)療設(shè)備安裝防病毒軟件及桌面管理軟件，對(duì)于其他操作系統(tǒng)的設(shè)備或啞終端則登記相應(yīng)的接入交換機(jī)，后期系統(tǒng)上線后統(tǒng)一使用“資產(chǎn)發(fā)現(xiàn)”批量準(zhǔn)入，最重要的一步是院內(nèi)各交換機(jī)需開啟遠(yuǎn)程管理權(quán)限，關(guān)閉交換機(jī)統(tǒng)一配置模式（dot1x協(xié)議生效機(jī)制），經(jīng)過以上配置后交換機(jī)需重啟，故需選一個(gè)業(yè)務(wù)量較少的時(shí)段進(jìn)統(tǒng)一遠(yuǎn)程操作，降低對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響。接入層交換機(jī)部分配置命令如下：正常的準(zhǔn)入流程應(yīng)以“來賓”提出入網(wǎng)申請(qǐng)為起點(diǎn)如圖4，利用準(zhǔn)入Web后臺(tái)與交換機(jī)聯(lián)動(dòng)配置；而準(zhǔn)入不通過的效果則為終端無法獲取內(nèi)網(wǎng)IP，端口隔離掉認(rèn)證失敗后的流量。實(shí)施過程應(yīng)注意的問題：由于802.1X-Mac認(rèn)證模式涉及交換機(jī)配置，準(zhǔn)入系統(tǒng)上線初期院內(nèi)部分區(qū)域的終端網(wǎng)絡(luò)曾出現(xiàn)丟包，現(xiàn)象為隔3分鐘出現(xiàn)一次斷線，每次丟包為2至5個(gè)，丟包過后正常訪問網(wǎng)絡(luò)。經(jīng)過抓包測試與查詢arp表等故障排查，發(fā)現(xiàn)接入層交換機(jī)回復(fù)了不屬于自己的arp請(qǐng)求包（請(qǐng)求包上請(qǐng)求地址并不在接入層交換機(jī)上），聯(lián)合交換機(jī)廠家工程師共同排查后，大致判斷為接入層交換機(jī)在開啟Mac認(rèn)證后出現(xiàn)的異常bug，原因是同型號(hào)的交換機(jī)VRP系統(tǒng)存在新舊版本不一致所致，后將舊版本的交換機(jī)統(tǒng)一升級(jí)后解決了該故障。

6總結(jié)

準(zhǔn)入系統(tǒng)在本院實(shí)施后，全院內(nèi)網(wǎng)終端Mac地址皆登記在準(zhǔn)入后臺(tái)，按部門建立起終端管理樹，約1400臺(tái)各類信息終端的接入行為得到有效管理，非授權(quán)的終端則被禁止訪問內(nèi)網(wǎng)資源，從運(yùn)維的層面有助于我們更直觀、更快捷地監(jiān)測網(wǎng)絡(luò)端口及定位終端，緩解網(wǎng)絡(luò)管理壓力的同時(shí)，業(yè)務(wù)內(nèi)網(wǎng)的各類故障報(bào)警明顯減少，全體醫(yī)護(hù)人員的安全意識(shí)也普遍提高。通過以上闡述，能夠基本了解本次準(zhǔn)入系統(tǒng)實(shí)施的參數(shù)設(shè)置與部署流程，通過建立網(wǎng)絡(luò)接入的管理規(guī)范，有效地、全面地、精確地筑起醫(yī)院網(wǎng)絡(luò)安全的第一道關(guān)，提升本院接入層的安全防御能力，更讓我們?cè)诰W(wǎng)絡(luò)安全運(yùn)維流程的設(shè)計(jì)、建設(shè)、管理上取得了寶貴的經(jīng)驗(yàn)[3]。

參考文獻(xiàn)：

[1]郭揚(yáng)帆，魏書山.醫(yī)院網(wǎng)絡(luò)安全建設(shè)指引[M].暨南大學(xué)出版社,2019:95.

[2]田宇.基于802.1X協(xié)議接入控制安全加固方案的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:中國科學(xué)院大學(xué),.2017:31-32.

[3]潘愈嘉.構(gòu)建醫(yī)院網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的解決方案[J].中國數(shù)字醫(yī)學(xué),2012,8(32):105-107.

作者:胡少峰 謝新鵬 文海榮 單位:南方醫(yī)科大學(xué)南方醫(yī)院增城分院