醫(yī)院網(wǎng)絡(luò)終端安全準入系統(tǒng)初探

◆胡少峰 謝新鵬 文海榮

醫(yī)院網(wǎng)絡(luò)終端安全準入系統(tǒng)初探

◆胡少峰 謝新鵬 文海榮

（南方醫(yī)科大學(xué)南方醫(yī)院增城分院 廣東 511300）

在國家要求全面加強信息安全保障體系建設(shè)及落實信息安全等級保護的大背景下，網(wǎng)絡(luò)安全日漸成為醫(yī)院信息化建設(shè)的重要一環(huán)，醫(yī)院網(wǎng)絡(luò)接入層作為信息安全防護體系的前沿陣地更應(yīng)受到重視。本文通過結(jié)合醫(yī)院實際網(wǎng)絡(luò)情況對網(wǎng)絡(luò)準入系統(tǒng)的認證模式選型、部署方式、準入效果等進行探究，簡述網(wǎng)絡(luò)終端準入系統(tǒng)在南方醫(yī)科大學(xué)南方醫(yī)院增城分院（下文簡稱“本院”）的初步實踐，對實施過程中遇到的問題進行討論與經(jīng)驗總結(jié)。

醫(yī)院網(wǎng)絡(luò)安全；準入系統(tǒng)；Mac認證

1 前言

網(wǎng)絡(luò)終端安全準入，是通過對終端接入網(wǎng)絡(luò)實施安全管控的防御技術(shù)，建立起終端從登記－準入－監(jiān)控－下線的全周期防控流程。為防止?jié)撛谕{入侵網(wǎng)絡(luò)，對醫(yī)院內(nèi)網(wǎng)的接入層端口實施安全準入，是保證醫(yī)院網(wǎng)絡(luò)安全運行的前提。

隨著信息化建設(shè)的快速發(fā)展和互聯(lián)網(wǎng)的普及應(yīng)用，網(wǎng)絡(luò)安全威脅逐漸升級，醫(yī)療機構(gòu)作為治病救人、保障民生的特殊行業(yè)，歷來都是網(wǎng)絡(luò)攻擊的首選目標之一。本院于2018年底開業(yè)，開業(yè)初期醫(yī)院內(nèi)網(wǎng)的接入層安全防護尚未完善，因為開放式的網(wǎng)絡(luò)架構(gòu)，大量的網(wǎng)絡(luò)端口暴露在院內(nèi)建筑的各個角落，脆弱的用戶終端一旦輕易地接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，如何加強網(wǎng)絡(luò)安全的前端防護，保障醫(yī)院內(nèi)部網(wǎng)絡(luò)及數(shù)據(jù)的安全可靠[1]，是院領(lǐng)導(dǎo)及科室領(lǐng)導(dǎo)關(guān)注的問題。

2 準入管理前的內(nèi)網(wǎng)狀況

本院作為新建醫(yī)院，1期建設(shè)完工并投入使用的主體建筑物主要包括：門（急）診樓、住院樓、醫(yī)技樓、傳染病樓，各主體建筑內(nèi)網(wǎng)由中心機房核心交換機直通萬兆雙路光纖至各樓層光纖配線架，配備千兆交換機約170臺，經(jīng)堆疊后匯總可管理的交換機為46臺。院內(nèi)內(nèi)網(wǎng)接入設(shè)備種類多、各類設(shè)備數(shù)量約1400臺，主要涉及診室內(nèi)網(wǎng)PC、叫號屏、診間屏、分診臺報到機及自助打印機、藥房自動配發(fā)藥設(shè)備、各類專用醫(yī)療設(shè)備及智能化設(shè)備啞終端等。由于醫(yī)院人員流動性較大，對于非本院工作人員擅自使用設(shè)備接入內(nèi)網(wǎng)的情況于開業(yè)前期時有發(fā)生，網(wǎng)絡(luò)安全隱患較突出；沒有安全措施且遍布全院的接入點，當網(wǎng)絡(luò)出現(xiàn)故障時定位故障難度較大，也曾出現(xiàn)過第三方公司駐院期間私建局域網(wǎng)后接入內(nèi)網(wǎng)引發(fā)內(nèi)網(wǎng)dhcp沖突的情況。

3 準入模式的選型

該準入系統(tǒng)基于硬件平臺實現(xiàn)，采用NAC（Network Admission Control）是一種“端到端”的安全結(jié)構(gòu)，包括Portal認證、透明網(wǎng)關(guān)、策略路由與802.1X認證等。

（1）Portal模式，基于B/S模型完成客戶端和服務(wù)器的交互，需在接入層對終端通過VLAN實現(xiàn)訪問網(wǎng)絡(luò)權(quán)限的控制，接入的用戶強制跳轉(zhuǎn)至特定網(wǎng)頁進行認證，通過Web頁面驗證準入。

（2）透明網(wǎng)關(guān)模式，需將準入設(shè)備串聯(lián)在內(nèi)網(wǎng)核心位置，基于包過濾技術(shù)對網(wǎng)絡(luò)中數(shù)據(jù)進行處理，該模式下終端可通過安裝客戶端準入，也可用Web完成準入。

（3）策略路由模式，同樣基于包過濾技術(shù)，需在核心交換機上將流量鏡像配置至準入設(shè)備進行處理，符合條件的流量則正常轉(zhuǎn)發(fā)，對不符合條件的流量操作丟棄或重定向，引導(dǎo)用戶通過Web準入頁面完成注冊登錄后接入內(nèi)網(wǎng)。

（4）802.1X模式，基于Client/Server的訪問控制和認證協(xié)議802.1X，可以通過安裝客戶端后登錄授權(quán)的賬號密碼準入，也可將交換機端口學(xué)習(xí)到的終端Mac地址管控準入。

在準入系統(tǒng)的選型過程中，我們主要考慮系統(tǒng)的部署方式對業(yè)務(wù)網(wǎng)絡(luò)的影響、各類終端的管控適用性、準入模式的可靠性及可操作性。在透明網(wǎng)關(guān)模式下，需串聯(lián)在網(wǎng)絡(luò)核心位置，鑒于系統(tǒng)上線期間需中斷業(yè)務(wù)網(wǎng)絡(luò)，且串聯(lián)在網(wǎng)絡(luò)中存在運維風(fēng)險，一旦設(shè)備宕機將造成全網(wǎng)故障，故不考慮此模式；在802.1X模式、策略路由和Portal準入模式下，將旁路部署在核心網(wǎng)絡(luò)中如圖1所示，系統(tǒng)調(diào)試及上線對業(yè)務(wù)皆無影響，但因兼顧多類終端（部分終端無法安裝客戶端或使用Web準入）適用性，且在準入模式不可混合開啟情況下，最終選定802.1X協(xié)議下Mac認證模式作為統(tǒng)一準入模式，該模式下連接到同一端口的每個設(shè)備都需要單獨進行認證。

圖1 準入設(shè)備部署網(wǎng)絡(luò)架構(gòu)圖

4 802.1X—Mac模式下系統(tǒng)架構(gòu)及功能

典型802.1X系統(tǒng)為的Client/Server結(jié)構(gòu)，包括：客戶端、設(shè)備端和認證服務(wù)器等實體[2]，該準入系統(tǒng)基于硬件平臺實現(xiàn)，部署802.1X—Mac模式主要涉及radius認證服務(wù)器端和接入交換機端的配置，本院接入層皆部署支持802.1X的三層可管理交換機，準入設(shè)備與交換機之間無NAT防火墻等一些疑似替換Mac的設(shè)備。準入系統(tǒng)提供的Web、telnet等后臺管理界面，準入系統(tǒng)主要應(yīng)用功能如下：

（1）網(wǎng)絡(luò)設(shè)備管理：認證管理后臺添加相應(yīng)交換機管理IP，并與交換機同步開啟snmp網(wǎng)管協(xié)議，服務(wù)器通過snmp“讀”“寫”操作對交換機的配置、參數(shù)、端口狀態(tài)等進行管控，并有設(shè)備實時可視化管理界面。

（2）資產(chǎn)發(fā)現(xiàn)與管理：準入系統(tǒng)利用netdiscover工具，每隔1分鐘在所管理的交換機下嗅探存活的主機，對于未準入終端可通過掃描來發(fā)現(xiàn)主機的接入位置及所在端口。符合準入條件的主機則設(shè)置可信標記、設(shè)備類型、型號、資產(chǎn)使用人及物理位置、綁定固定交換機（綁定后該終端只能在該交換機下成功進網(wǎng)）、設(shè)置為固定資產(chǎn)或臨時資產(chǎn)如圖2所示，系統(tǒng)后臺對臨時資產(chǎn)有一個計劃任務(wù)，每天檢查一次，如果注冊的臨時資產(chǎn)到期，會從系統(tǒng)上清除，并產(chǎn)生資產(chǎn)退出記錄，該策略適用于臨時進網(wǎng)的外部人員。

圖2 終端資產(chǎn)信息登記界面

（3）威脅告警與在線用戶強制下線：系統(tǒng)支持對認證在線用戶分類管理，當檢測到終端接入異常、準入失敗、異常下線等事件均會產(chǎn)生報警信息，定位至對應(yīng)的接入設(shè)備及端口，系統(tǒng)支持將報警信息通過Mail方式及時發(fā)送給相關(guān)人員。當需強制下線某終端時，可依據(jù)終端Mac錄入下線時間和下線原因后將其強制下線如圖3所示。經(jīng)測試，強制下線的生效時限，依據(jù)交換機的定時重認證命令Mac-authen timer reauthenticate-period XXs刷新終端認證狀態(tài)（默認120s，為避免對系統(tǒng)運行造成壓力，建議重認證時間間隔不宜過短），一經(jīng)發(fā)現(xiàn)下線命令，則立即阻斷用戶入網(wǎng)。如果將在線用戶加入黑名單，將持續(xù)無法準入成功。

圖3 在線用戶強制下線界面

（4）日志管理：日志管理模塊具備資產(chǎn)解綁（解除認證）日志、管理員操作日志、終端認證日志等滿足日常運維需要。

（5）應(yīng)急逃生機制：如遇到準入系統(tǒng)宕機等特殊情況，802.1X部署雖為trunk旁路接入，但因接入層已開啟向服務(wù)器的請求認證，怕影響已認證在線的終端，所以需要在接入層設(shè)備增配應(yīng)急逃生的指令。若交換機出現(xiàn)連續(xù)3次請求失敗，每次超時5秒以上則視為開啟逃生機制，按未連接準入設(shè)備模式運行網(wǎng)絡(luò)，確保業(yè)務(wù)不間斷。

5 實施與管理

系統(tǒng)實施前期需對院內(nèi)在用的內(nèi)網(wǎng)終端進行入網(wǎng)前合規(guī)性檢查，主要針對有window操作系統(tǒng)的信息設(shè)備或醫(yī)療設(shè)備安裝防病毒軟件及桌面管理軟件，對于其他操作系統(tǒng)的設(shè)備或啞終端則登記相應(yīng)的接入交換機，后期系統(tǒng)上線后統(tǒng)一使用“資產(chǎn)發(fā)現(xiàn)”批量準入，最重要的一步是院內(nèi)各交換機需開啟遠程管理權(quán)限，關(guān)閉交換機統(tǒng)一配置模式（dot1x協(xié)議生效機制），經(jīng)過以上配置后交換機需重啟，故需選一個業(yè)務(wù)量較少的時段進統(tǒng)一遠程操作，降低對業(yè)務(wù)網(wǎng)絡(luò)的影響。

接入層交換機部分配置命令如下：

undo authenticantion unified-mode 關(guān)閉統(tǒng)一配置模式

dot1x enable 全局開啟802.1X

dot1x authentication-method eap 802.1X認證方式可開展模式

Mac-authen開啟Mac認證

aaa進入aaa視圖

authentication-scheme XXXX 創(chuàng)建認證模板

authentication-mode radius 認證模式設(shè)置

domain default 使用默認default方案

authentication-scheme XXXX 引用創(chuàng)建的認證模板

radius-server XXXX 引用之前配置的radius模板XXXX

snmp-agent開啟代理

snmp-agent local-engineid自動生成引擎ID

snmp-agent community write cipher配置權(quán)限

snmp-agent sys-info version v2c 配置版本

逃生命令：

radius-server dead-count 3

radius-server dead-detect-condition by-server-ip

radius-server template XXXX

radius-server dead-time 1

radius-server detect-server interval 10

radius-server retransmit 3 timeout 5 重試3次，超時5秒

authentication-mode radius none 配置優(yōu)先radius認證，后不認證，即逃生

正常的準入流程應(yīng)以“來賓”提出入網(wǎng)申請為起點如圖4，利用準入Web后臺與交換機聯(lián)動配置；而準入不通過的效果則為終端無法獲取內(nèi)網(wǎng)IP，端口隔離掉認證失敗后的流量。

圖4 日常準入流程圖

實施過程應(yīng)注意的問題：由于802.1X-Mac認證模式涉及交換機配置，準入系統(tǒng)上線初期院內(nèi)部分區(qū)域的終端網(wǎng)絡(luò)曾出現(xiàn)丟包，現(xiàn)象為隔3分鐘出現(xiàn)一次斷線，每次丟包為2至5個，丟包過后正常訪問網(wǎng)絡(luò)。經(jīng)過抓包測試與查詢arp表等故障排查，發(fā)現(xiàn)接入層交換機回復(fù)了不屬于自己的arp請求包（請求包上請求地址并不在接入層交換機上），聯(lián)合交換機廠家工程師共同排查后，大致判斷為接入層交換機在開啟Mac認證后出現(xiàn)的異常bug，原因是同型號的交換機VRP系統(tǒng)存在新舊版本不一致所致，后將舊版本的交換機統(tǒng)一升級后解決了該故障。

6 總結(jié)

準入系統(tǒng)在本院實施后，全院內(nèi)網(wǎng)終端Mac地址皆登記在準入后臺，按部門建立起終端管理樹，約1400臺各類信息終端的接入行為得到有效管理，非授權(quán)的終端則被禁止訪問內(nèi)網(wǎng)資源，從運維的層面有助于我們更直觀、更快捷地監(jiān)測網(wǎng)絡(luò)端口及定位終端，緩解網(wǎng)絡(luò)管理壓力的同時，業(yè)務(wù)內(nèi)網(wǎng)的各類故障報警明顯減少，全體醫(yī)護人員的安全意識也普遍提高。通過以上闡述，能夠基本了解本次準入系統(tǒng)實施的參數(shù)設(shè)置與部署流程，通過建立網(wǎng)絡(luò)接入的管理規(guī)范，有效地、全面地、精確地筑起醫(yī)院網(wǎng)絡(luò)安全的第一道關(guān)，提升本院接入層的安全防御能力，更讓我們在網(wǎng)絡(luò)安全運維流程的設(shè)計、建設(shè)、管理上取得了寶貴的經(jīng)驗[3]。

[1]郭揚帆，魏書山.醫(yī)院網(wǎng)絡(luò)安全建設(shè)指引[M].暨南大學(xué)出版社, 2019:95.

[2]田宇.基于802.1X協(xié)議接入控制安全加固方案的設(shè)計與實現(xiàn)[D].北京:中國科學(xué)院大學(xué),.2017:31-32.

[3]潘愈嘉.構(gòu)建醫(yī)院網(wǎng)絡(luò)準入系統(tǒng)的解決方案[J].中國數(shù)字醫(yī)學(xué), 2012,8(32):105-107.