基于虛擬桌面技術(shù)對(duì)醫(yī)院內(nèi)外網(wǎng)邏輯隔離改造的探索

◆陳光

（天津市泰達(dá)醫(yī)院信息部 天津 300457）

當(dāng)前各級(jí)醫(yī)院對(duì)數(shù)據(jù)管控要求越來越高，所以為了提升信息安全，并滿足國(guó)家相關(guān)部門的監(jiān)管要求，往往需要建設(shè)兩套或多套網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)外網(wǎng)物理或邏輯隔離。

目前內(nèi)外網(wǎng)隔離技術(shù)大體分為物理隔離，邏輯隔離兩種。物理隔離顧名思義，通過內(nèi)網(wǎng)和外網(wǎng)，兩張互不相通的物理網(wǎng)絡(luò)隔絕內(nèi)外網(wǎng)之間的信息傳遞。邏輯隔離則是在同一網(wǎng)絡(luò)內(nèi)，利用交換機(jī)、安全設(shè)備配置或其他技術(shù)手段，隔絕內(nèi)外數(shù)據(jù)交換。兩種隔離方式各有特點(diǎn)，也有各自的不足。物理隔離更徹底，無論安全防護(hù)能力、抗攻擊能力、防范信息外泄能力上，都好于邏輯隔離。但同時(shí)，需要搭建兩套網(wǎng)絡(luò)系統(tǒng)。終端用戶通過兩臺(tái)PC，分別連接兩個(gè)網(wǎng)絡(luò)，使用方便程度更低。建設(shè)時(shí)，網(wǎng)絡(luò)搭建和終端投入高。邏輯隔離通過網(wǎng)絡(luò)設(shè)備的配置實(shí)現(xiàn)內(nèi)外網(wǎng)段不能互訪，不需要另行組網(wǎng)，通過虛擬桌面技術(shù)，實(shí)現(xiàn)“一機(jī)雙網(wǎng)”，降低終端投入，從而大幅降低建設(shè)成本，縮短建設(shè)時(shí)間，雖然防護(hù)效果不如物理隔離，但適合經(jīng)費(fèi)緊張的老舊網(wǎng)絡(luò)改造。

我院于2007 年擴(kuò)建開診，網(wǎng)絡(luò)拓?fù)浼鞍踩O(shè)計(jì)都是10 多年前規(guī)劃，當(dāng)時(shí)因?yàn)橘Y金所限，沒有采用雙網(wǎng)隔離結(jié)構(gòu)，使得內(nèi)外網(wǎng)機(jī)器都處于同一網(wǎng)絡(luò)內(nèi)，只根據(jù)科室及用途進(jìn)行了VLAN 劃分，終端配置數(shù)量也不足，造成同一張網(wǎng)內(nèi)，不僅有使用內(nèi)網(wǎng)HⅠS 等醫(yī)療系統(tǒng)機(jī)器，也有能連接外網(wǎng)的機(jī)器，還包括同時(shí)可以訪問內(nèi)外雙網(wǎng)的機(jī)器，例如行政科室、中層管理人員所使用的終端等。隨著網(wǎng)絡(luò)技術(shù)發(fā)展變化，這種“一網(wǎng)制”的網(wǎng)絡(luò)設(shè)計(jì)已不能滿足網(wǎng)安需要。近幾年，國(guó)家對(duì)網(wǎng)絡(luò)安全的關(guān)注不斷加大，2020 年1 月起，新的等保2.0 規(guī)范開始啟用，我們?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)必須整改，否則不能滿足等保要求，網(wǎng)絡(luò)安全隱患極大。

1 方案選擇

1.1 物理或邏輯隔離的選擇

如采用物理隔離需要重新布放雙絞線、光纜等物理鏈路，還要增加交換機(jī)、安全設(shè)備、終端設(shè)備等，成本投入高，施工周期長(zhǎng)。更重要的是，醫(yī)院全年無休，不具備布線施工條件，所以此次內(nèi)外網(wǎng)隔離改造更多考慮邏輯隔離方案。

1.2 終端隔離的選擇

有些終端需要接入外網(wǎng)，完成工作，同時(shí)也需要從內(nèi)網(wǎng)采集數(shù)據(jù)或其他醫(yī)療系統(tǒng)上完成工作，這就對(duì)終端隔離提出了更高要求。終端隔離方案中，以前大多數(shù)客戶在建設(shè)網(wǎng)絡(luò)隔離時(shí)會(huì)選擇兩種方案一種是雙PC 模式；一種是單PC+硬盤隔離卡。但是，這兩類方案都存在不少問題：

雙PC 模式成本高、管理難：在內(nèi)網(wǎng)和外網(wǎng)分別部署PC 實(shí)現(xiàn)物理隔離，這樣不僅會(huì)增加ⅠT 硬件采購(gòu)成本，而且每個(gè)人都有兩臺(tái)PC，信息部門維護(hù)量大增，還會(huì)占據(jù)更大的辦公空間，使用感受下降。

硬盤隔離卡切換慢、不穩(wěn)定：每臺(tái)PC 通過隔離卡同時(shí)連接2 塊硬盤（對(duì)應(yīng)內(nèi)網(wǎng)和外網(wǎng)桌面）、兩套網(wǎng)絡(luò)，雙網(wǎng)切換時(shí)需要重啟系統(tǒng)，不僅切換速度比較慢，而且一旦切換過于頻繁，還會(huì)發(fā)生藍(lán)屏、死機(jī)等不穩(wěn)定問題，影響辦公效率。

此外，以上兩種方式都缺乏安全管控策略，比如辦公人員只需簡(jiǎn)單插拔網(wǎng)線就可以做到內(nèi)外網(wǎng)混用，存在較大的安全隱患。同時(shí)，由于內(nèi)網(wǎng)數(shù)據(jù)都放在本地硬盤上，即便是完全封堵U 口的使用，內(nèi)部員工只要把硬盤掛接到另一計(jì)算機(jī)上（作為從盤啟動(dòng)），依然可以輕松、無痕跡地完成數(shù)據(jù)拷貝和外發(fā)，所以文件泄密風(fēng)險(xiǎn)大。

近年越來越廣泛應(yīng)用的虛擬桌面技術(shù)，是指將桌面與PC 分開，所有桌面在數(shù)據(jù)中心進(jìn)行集中化保存和管理，并虛擬交付到終端用戶的一種方式。運(yùn)行在物理主機(jī)上的虛擬桌面系統(tǒng)，具備完整的硬件系統(tǒng)功能，可運(yùn)行Windows、Linux 等操作系統(tǒng)。這是目前Windows桌面交付到辦公場(chǎng)所的最佳方式，其提供了任意時(shí)間、任意地點(diǎn)、任意終端的接入，有利于業(yè)務(wù)的快速擴(kuò)展1，比如臨床科室的某位醫(yī)生，在臨床科室、門急診都使用自己的虛擬桌面賬戶登錄虛擬桌面，無論在何位置，只要登錄自己的虛擬桌面賬號(hào)，都是使用自己的一套系統(tǒng)。虛擬桌面方案的核心是，通過虛擬化技術(shù)在數(shù)據(jù)中心把服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等整合成彈性資源池，高效且動(dòng)態(tài)的分配不同類型的桌面，利用安全的桌面發(fā)布協(xié)議推送桌面至用戶終端。而終端用戶設(shè)備上沒有部署任何應(yīng)用，也沒有任何應(yīng)用數(shù)據(jù)緩存在本地2。三種方案對(duì)比如下表1。

表1 三種終端隔離對(duì)比

綜合上述對(duì)比，我們采用虛擬桌面技術(shù)，滿足對(duì)內(nèi)外網(wǎng)都有需求的終端使用者，“一機(jī)雙網(wǎng)”、雙網(wǎng)間數(shù)據(jù)隔離的需求。

2 終端隔離的方案及改進(jìn)

2.1 廠商給出的方案

部署時(shí)，每用戶配備一臺(tái)虛擬桌面瘦終端，通過單網(wǎng)口連接到桌面云平臺(tái)，后端服務(wù)器為每用戶分發(fā)兩個(gè)虛擬機(jī)（劃分到不同集群或VLAN），分別用于訪問辦公網(wǎng)和互聯(lián)網(wǎng)。因?yàn)閮蓚€(gè)桌面系統(tǒng)劃分到不同VLAN，可以通過網(wǎng)關(guān)設(shè)備和ACL 策略限制雙網(wǎng)互訪，從而實(shí)現(xiàn)邏輯隔離。日常辦公過程中如果需要雙網(wǎng)切換，用戶只需要在VDⅠ資源頁(yè)面上分別點(diǎn)擊不同桌面資源，便可完成兩個(gè)桌面的無縫切換。方案中所述，內(nèi)外網(wǎng)桌面均為虛擬桌面，使用中通過兩個(gè)虛擬桌面的切換實(shí)現(xiàn)內(nèi)外網(wǎng)切換。通過瘦客戶端顯示，內(nèi)外網(wǎng)數(shù)據(jù)都存在服務(wù)器端，用虛擬桌面的安全設(shè)置，保護(hù)終端數(shù)據(jù)安全。如圖1。

圖1 通常情況下虛擬桌面隔離結(jié)構(gòu)

2.2 結(jié)合實(shí)際情況采用的方案

結(jié)合我院現(xiàn)有網(wǎng)絡(luò)狀況和預(yù)算情況，我們調(diào)整了原設(shè)計(jì)。先在核心交換機(jī)上建立訪問外網(wǎng)的VLAN，通過核心交換機(jī)上的訪問控制列表，允許該VLAN 訪問虛擬桌面、殺毒軟件等少數(shù)服務(wù)器，禁止該VLAN 訪問其他內(nèi)部業(yè)務(wù)VLAN，通過網(wǎng)閘、防火墻等安全設(shè)備連接外網(wǎng)。對(duì)雙網(wǎng)都有需求的終端，我們先將其劃入上述外網(wǎng)VLAN和其他只用外網(wǎng)的機(jī)器一樣。再將虛擬桌面客戶端直接裝在外網(wǎng)PC上，在服務(wù)器端為該用戶建立自己的內(nèi)網(wǎng)虛擬桌面系統(tǒng)。用戶如需訪問內(nèi)網(wǎng)資源，則直接在PC 上打開虛擬桌面客戶端（VDⅠ），登錄自己相應(yīng)的虛擬桌面賬號(hào)，在虛擬桌面系統(tǒng)上，訪問內(nèi)網(wǎng)資源。外網(wǎng)資源在本地PC 上使用，內(nèi)網(wǎng)資源統(tǒng)一在服務(wù)器端存儲(chǔ)、運(yùn)算，在該P(yáng)C上，不通過VDⅠ客戶端，無法直接訪問內(nèi)網(wǎng)。實(shí)現(xiàn)終端的邏輯隔離，同時(shí)利用了原有PC，也節(jié)約了新購(gòu)虛擬桌面瘦終端的資金，如圖2。

圖2 我院所采用的虛擬桌面隔離結(jié)構(gòu)

3 總結(jié)

3.1 該實(shí)施方案的優(yōu)點(diǎn)

（1）可以實(shí)現(xiàn)快速部署：不必進(jìn)行布線施工，只對(duì)核心交換機(jī)進(jìn)行VLAN、ACL 等設(shè)置；在虛擬桌面服務(wù)器上建立用戶、虛擬機(jī)；在終端PC 上更改所屬VLAN，安裝虛擬桌面軟件即可。

（2）最大程度節(jié)約資金：利用原有PC 終端和服務(wù)器，只購(gòu)買虛擬桌面軟件授權(quán)，即可實(shí)現(xiàn)終端的邏輯隔離。節(jié)約了購(gòu)買虛擬桌面瘦終端，布線施工等費(fèi)用。

（3）隔離效果良好：應(yīng)用程序及用戶所產(chǎn)生的文檔數(shù)據(jù)，都運(yùn)行、保存在云桌面服務(wù)器上，當(dāng)用戶連入桌面云時(shí)，通過加密的SRAP高效桌面交付協(xié)議，將圖像界面?zhèn)鬏斀o前端的虛擬桌面客戶端。用戶對(duì)云桌面進(jìn)行操作，如鼠標(biāo)點(diǎn)擊、鍵盤輸入等指令信息，傳輸?shù)椒?wù)器進(jìn)行處理，并將隨之變化的桌面界面，再通過SRAP 協(xié)議以圖像形式反饋給用戶。業(yè)務(wù)數(shù)據(jù)僅在服務(wù)器端進(jìn)行處理，不在網(wǎng)絡(luò)中傳輸，保障數(shù)據(jù)不落地，實(shí)現(xiàn)單終端的情況下，滿足多網(wǎng)業(yè)務(wù)數(shù)據(jù)的網(wǎng)絡(luò)隔離要求。再結(jié)合虛擬桌面系統(tǒng)自身的外設(shè)管控、個(gè)人硬盤加密等技術(shù)，防范數(shù)據(jù)泄密。

（4）使用體驗(yàn)好：在一臺(tái)PC 上實(shí)現(xiàn)雙網(wǎng)功能，節(jié)約辦公空間，和普通Windows 窗口一樣的切換方式，使用方便快捷。

（5）維護(hù)簡(jiǎn)單迅速：虛擬桌面系統(tǒng)采用一體化設(shè)計(jì)方案，基于ARM 架構(gòu)，相對(duì)PC 運(yùn)行更穩(wěn)定，并且無須單獨(dú)維護(hù)，實(shí)現(xiàn)高效ⅠT桌面運(yùn)維。通過建立模板，派發(fā)等操作，可迅速部署用戶虛擬機(jī)，維護(hù)工作量較普通PC，大幅減少。

3.2 該實(shí)施方案的缺點(diǎn)

（1）無論采取何種設(shè)置，邏輯隔離畢竟還是將內(nèi)外網(wǎng)統(tǒng)一在一張網(wǎng)內(nèi)使用。雖然物理隔離也并非完美，但毋庸置疑，物理隔離的效果依然好于邏輯隔離。

（2）這套方案中為了實(shí)現(xiàn)外網(wǎng)VLAN 中的PC 和虛擬桌面服務(wù)器的通信，要將這些服務(wù)器在ACL 列表中對(duì)外網(wǎng)VLAN 放行，同時(shí)放行的還包括桌面殺毒軟件、桌面管理等服務(wù)器。這些服務(wù)器就成了連接內(nèi)外網(wǎng)的通道，要加強(qiáng)對(duì)這些服務(wù)器的安全防護(hù)，防止以它們?yōu)樘迦肭謨?nèi)部網(wǎng)絡(luò)。