醫(yī)院內(nèi)網(wǎng)終端準入控制與測試研究

于京杰，戚仕濤

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

醫(yī)院內(nèi)網(wǎng)終端準入控制與測試研究

于京杰，戚仕濤

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

隨著醫(yī)院內(nèi)網(wǎng)終端管理需求的日益迫切，終端管理類系統(tǒng)的大規(guī)模部署，終端準入控制已經(jīng)逐漸成為終端管理的標準功能之一。本文主要針對醫(yī)院內(nèi)網(wǎng)終端準入控制的目標、體系結(jié)構(gòu)建設(shè)、測試環(huán)境及測試結(jié)果比較作了詳細介紹。

醫(yī)院內(nèi)網(wǎng)；終端管理；準入控制；網(wǎng)絡(luò)安全

1 醫(yī)院內(nèi)網(wǎng)準入控制狀況

隨著網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，醫(yī)院PC終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是內(nèi)網(wǎng)中網(wǎng)線所連接的PC機，更是網(wǎng)絡(luò)中大部分事物的起點和源頭——是用戶登錄并訪問網(wǎng)絡(luò)的起點、是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點；更是病毒攻擊的源頭，從內(nèi)部發(fā)起的惡意攻擊的源頭和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，也只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭，遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。

在內(nèi)網(wǎng)安全管理中，準入控制是所有終端管理功能實現(xiàn)的基礎(chǔ)所在，采用準入控制技術(shù)能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦進行隔離、修復(fù)。準入控制技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)（防火墻與防病毒技術(shù)）結(jié)合,將被動防御變?yōu)橹鲃臃烙軌蛴行Т龠M內(nèi)網(wǎng)合規(guī)建設(shè)，減少網(wǎng)絡(luò)事故[1]。

2 準入控制體系建設(shè)

2.1 終端準入控制的目標

終端準入控制的目標可以比作現(xiàn)實生活中的安全檢查，檢查本身并不是目標，真正的目標是通過檢查確保進入的是安全目標，不安全的是不允許進入的。我們把終端準入控制的目標細分成2個子目標。

2.1.1 自動修復(fù)、阻止違規(guī)接入

終端準入控制的首要目標是檢查終端是否符合準入安全策略的要求，符合則允許接入；不符合則阻止其接入。同時對于確實因為工作需要接入的終端，阻止其接入只是一種手段，最終的目標是通過自動修復(fù)使其符合策略要求，能夠接入。

2.1.2 定期檢查、確保持續(xù)遵從

對于已經(jīng)通過檢查接入內(nèi)部網(wǎng)絡(luò)的終端，要進行定期檢查，確保其持續(xù)遵從。一旦檢查未通過，則同樣執(zhí)行自動修復(fù)，直到符合策略要求為止[2]。

2.2 我院準入控制體系建設(shè)狀況

南京軍區(qū)南京總醫(yī)院作為南京軍區(qū)的大型醫(yī)療保障機構(gòu)，現(xiàn)有PC終端1600多臺，且節(jié)點數(shù)量還在不斷增加。PC終端的規(guī)格型號不同，分布廣泛，給我院信息管理中心帶來很大挑戰(zhàn)。我院辦公網(wǎng)的內(nèi)網(wǎng)安全更為重要，為了控制非法外來終端（私自接入內(nèi)網(wǎng)）和內(nèi)網(wǎng)PC終端的安全，準入控制體系建設(shè)必須加快提升至一個新的高度。

2.2.1 終端管理和準入控制解決方案

為了解決我院辦公網(wǎng)的一系列安全和管理問題，提高網(wǎng)絡(luò)性能和客戶端工作效率，對辦公網(wǎng)PC終端進行控制、優(yōu)化管理和整合。我院采用了賽門鐵克公司（Symantec）的終端安全管理軟件（Symantec Endpoint Protection，SEP）和準入控制系統(tǒng)（Symantec Network Access Control，SNAC）相結(jié)合的解決方案，加以正確的策略和科學(xué)規(guī)范的管理，大大減輕了信息管理中心人員維護的工作量，也使管理更加高效和便捷，同時對辦公網(wǎng)絡(luò)PC終端的接入安全起到有效的保護。

SEP由Symantec AntiVirus與高級威脅防御功能相結(jié)合，可以為醫(yī)院的筆記本、臺式機和服務(wù)器提供無與倫比的惡意軟件防護能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如rootkit、零日攻擊和不斷變化的間諜軟件。SEP還提供了先進的威脅防御能力，能夠保護端點免遭目標性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵擾，它包括即刻可用的主動防護技術(shù)以及管理控制功能。主動防護技術(shù)能夠自動分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動；管理控制功能使管理人員能夠拒絕高風(fēng)險的特定設(shè)備和應(yīng)用程序活動，甚至可以根據(jù)用戶位置阻止特定操作[3]。

賽門鐵克公司提出的單個代理和單個管理控制平臺的解決方案尤為先進，它可以在一個代理上提供防病毒、反間諜軟件、桌面防火墻、lPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（SNAC），通過單個管理控制臺即可進行全面管理。

與SEP無縫集成的SNAC是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使醫(yī)院能夠安全有效地控制對網(wǎng)絡(luò)的訪問。不管終端以何種方式與網(wǎng)絡(luò)相連，SNAC都能夠發(fā)現(xiàn)并評估端點遵從狀態(tài)、設(shè)置適當?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補救功能，并持續(xù)監(jiān)視端點以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：醫(yī)院可以在此環(huán)境中大大減少安全事故，同時提高醫(yī)院IT安全策略的遵從級別。

SNAC使醫(yī)院可以按照目標，經(jīng)濟有效地部署和管理網(wǎng)絡(luò)訪問控制，同時對端點和用戶進行授權(quán)。在當今的計算環(huán)境中，醫(yī)院和網(wǎng)絡(luò)管理員面臨著嚴峻的挑戰(zhàn)，即為不斷擴大的用戶群提供訪問醫(yī)院資源的權(quán)限。其中，包括員工、訪客和其他臨時工作人員。隨著訪問醫(yī)院系統(tǒng)的端點數(shù)量和類型激增，醫(yī)院必須能夠在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源之后，要對端點進行持續(xù)驗證。SNAC可以確保在允許端點連接到醫(yī)院的局域網(wǎng)（LAN）、廣域網(wǎng)（WAN）、無線局域網(wǎng)（WLAN）或虛擬專用網(wǎng)（VPN）之前遵從lT策略。

2.2.2 準入控制解決方案實際測試應(yīng)用

針對我院的實際情況和要求，SNAC準入控制解決方案在前期的測試結(jié)果令我們滿意。基于802.1X協(xié)議的認證，與接入層交換機進行聯(lián)動，對試圖通過交換機接入內(nèi)部網(wǎng)絡(luò)的PC終端進行認證，當認證成功時才會轉(zhuǎn)發(fā)該終端的數(shù)據(jù)包。關(guān)于802.1X認證的技術(shù)原理已有相對多的資料，這里不再詳述。802.1X認證的方式相對而言控制的效果更徹底。

以下是SNAC測試的大致情況：

（1）測試環(huán)境。1臺Symantec 準入控制系統(tǒng)服務(wù)器，1臺Symantec 隔離區(qū)補丁修復(fù)服務(wù)器，1臺SNAC準入控制設(shè)備LAN Enforce ，1臺支持802.1X認證協(xié)議的接入層交換機，3臺終端PC。

（2）操作系統(tǒng)平臺。服務(wù)器：Windows 2003 Server sp 2企業(yè)版終端PC：Windows xp sp3 。

（3）測試環(huán)境結(jié)構(gòu)。拓撲圖，見圖1，在接入層的交換機里劃分2個VLAN，左邊網(wǎng)絡(luò)區(qū)域為內(nèi)部辦公網(wǎng)絡(luò)1 VLAN，右邊為隔離修復(fù)200 VLAN。Symantec準入控制系統(tǒng)服務(wù)器與SNAC準入設(shè)備均接在1 VLAN里。補丁修復(fù)服務(wù)器接在200 VLAN里。另外準備3臺計算機作為測試終端，1臺為符合所有安全策略的計算機，1臺為符合部分策略計算機以及1臺不符合安全策略要求的計算機。符合安全策略的PC終端可以正常訪問內(nèi)部網(wǎng)絡(luò)，不符合安全策略和符合部分安全策略的計算機需要在隔離區(qū)修復(fù)完成后方可正常訪問內(nèi)部網(wǎng)絡(luò)。

通過SNAC測試的效果來看，準入控制是實現(xiàn)完善的終端管理和安全的必要手段，準入控制結(jié)合了主機完整性評估檢查，網(wǎng)絡(luò)訪問控制等先進技術(shù)，只有滿足醫(yī)院最低安全策略的終端，才被允許接入到醫(yī)院網(wǎng)絡(luò)，同時能夠自動修復(fù)存在缺陷的終端，最大限度地保證醫(yī)院內(nèi)網(wǎng)的安全。

圖1 醫(yī)院辦公網(wǎng)終端準入測試環(huán)境結(jié)構(gòu)圖

2.2.3 準入控制解決方案的對比

準入控制的解決方案目前市面上比較多，通過我們的測試了對Symantec的解決方案和其他解決方案（cisco、H3C）做了一些詳細的對比（表1）。

通過對準入控制解決方案功能實際測試的對比，Symantec的解決方案更貼合我院的實際需求。該方案可以更好地結(jié)合SEP終端安全管理解決方案為我院的辦公網(wǎng)安全機制提供保障。

3 結(jié)論

通過SEP和SNAC的多層安全防護功能，將應(yīng)用程序

管理、設(shè)備控制和準入控制功能的完美結(jié)合，南京軍區(qū)南京總醫(yī)院實現(xiàn)了對醫(yī)院辦公網(wǎng)PC終端的有效防護及管理。

網(wǎng)絡(luò)管理人員根據(jù)醫(yī)院的應(yīng)用系統(tǒng)以及管理制度，結(jié)合SEP和SNAC的準入策略，不僅提高了對PC終端的安全防護性能，而且集成應(yīng)用程序管理和設(shè)備控制功能。通過對終端的硬件設(shè)備（U盤）和應(yīng)用程序進行控制，有效提高了對終端的管理，阻止了惡意代碼通過USB存儲設(shè)備傳播；禁止了不允許的程序在終端運行，有效控制并降低了網(wǎng)絡(luò)中非業(yè)務(wù)數(shù)據(jù)的流量。準入控制體系的建設(shè)可有效地確保接入辦公網(wǎng)的PC機器安全策略的遵從級別，提高醫(yī)院辦公網(wǎng)計算機系統(tǒng)的運營效率，使醫(yī)院的整體競爭力得到提升。

[1] 孫陽波.“終端安全系列”談之一:準入控制保障“內(nèi)網(wǎng)合規(guī)”[J].信息安全與通信保密,2008,33(9):29-31.

[2] 劉敏.全面系統(tǒng)化的終端準入控制[J].網(wǎng)管員世界,2011,5(3): 15-17.

[3] 夏勇,陳敏亞,沈志強.醫(yī)院計算機終端的安全管理和實現(xiàn)[J].中國數(shù)字醫(yī)學(xué),2010,3(5):113-116.

[4] 馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準入控制解決方案[J].中國醫(yī)療設(shè)備, 2011,26(11):30-32.

[5] 周超,周城,丁晨路.計算機網(wǎng)絡(luò)終端準入控制技術(shù)[J].計算機系統(tǒng)應(yīng)用,2011,20(1):89-94.

[6] 韓榮珍.深入剖析802.1x協(xié)議[J].計算機安全,2008,(11):60-61.

[7] 程杰.虛擬局域網(wǎng)技術(shù)與應(yīng)用[J].電腦知識與技術(shù),2009,(9): 2322-2323.

Research of Hospital Network Terminal Access Control Solutions

YU Jing-jie, QI Shi-tao
Information Department, Nanjing General Hospital of Nanjing Military Command, Nanjing Jiangsu 210002, China

TP393.08

A

10.3969/j.issn.1674-1633.2012.06.015

1674-1633(2012)06-0042-03

2011-11-5

作者郵箱：maxikun@162.com

Abstract:Along with the increasingly urgent management needs of network terminals in hospitals, and large scale deployment of terminal management system, terminal access control has become one of the standard functions of terminal management. This paper mainly introduces some simple research for hospital network terminal access control system construction.

Key words:hospital network; terminal management; access control; system construction