基于虛擬桌面技術對醫院內外網邏輯隔離改造的探索

◆陳光

（天津市泰達醫院信息部 天津 300457）

當前各級醫院對數據管控要求越來越高，所以為了提升信息安全，并滿足國家相關部門的監管要求，往往需要建設兩套或多套網絡，實現內外網物理或邏輯隔離。

目前內外網隔離技術大體分為物理隔離，邏輯隔離兩種。物理隔離顧名思義，通過內網和外網，兩張互不相通的物理網絡隔絕內外網之間的信息傳遞。邏輯隔離則是在同一網絡內，利用交換機、安全設備配置或其他技術手段，隔絕內外數據交換。兩種隔離方式各有特點，也有各自的不足。物理隔離更徹底，無論安全防護能力、抗攻擊能力、防范信息外泄能力上，都好于邏輯隔離。但同時，需要搭建兩套網絡系統。終端用戶通過兩臺PC，分別連接兩個網絡，使用方便程度更低。建設時，網絡搭建和終端投入高。邏輯隔離通過網絡設備的配置實現內外網段不能互訪，不需要另行組網，通過虛擬桌面技術，實現“一機雙網”，降低終端投入，從而大幅降低建設成本，縮短建設時間，雖然防護效果不如物理隔離，但適合經費緊張的老舊網絡改造。

我院于2007 年擴建開診，網絡拓撲及安全設計都是10 多年前規劃，當時因為資金所限，沒有采用雙網隔離結構，使得內外網機器都處于同一網絡內，只根據科室及用途進行了VLAN 劃分，終端配置數量也不足，造成同一張網內，不僅有使用內網HⅠS 等醫療系統機器，也有能連接外網的機器，還包括同時可以訪問內外雙網的機器，例如行政科室、中層管理人員所使用的終端等。隨著網絡技術發展變化，這種“一網制”的網絡設計已不能滿足網安需要。近幾年，國家對網絡安全的關注不斷加大，2020 年1 月起，新的等保2.0 規范開始啟用，我們原有的網絡結構必須整改，否則不能滿足等保要求，網絡安全隱患極大。

1 方案選擇

1.1 物理或邏輯隔離的選擇

如采用物理隔離需要重新布放雙絞線、光纜等物理鏈路，還要增加交換機、安全設備、終端設備等，成本投入高，施工周期長。更重要的是，醫院全年無休，不具備布線施工條件，所以此次內外網隔離改造更多考慮邏輯隔離方案。

1.2 終端隔離的選擇

有些終端需要接入外網，完成工作，同時也需要從內網采集數據或其他醫療系統上完成工作，這就對終端隔離提出了更高要求。終端隔離方案中，以前大多數客戶在建設網絡隔離時會選擇兩種方案一種是雙PC 模式；一種是單PC+硬盤隔離卡。但是，這兩類方案都存在不少問題：

雙PC 模式成本高、管理難：在內網和外網分別部署PC 實現物理隔離，這樣不僅會增加ⅠT 硬件采購成本，而且每個人都有兩臺PC，信息部門維護量大增，還會占據更大的辦公空間，使用感受下降。

硬盤隔離卡切換慢、不穩定：每臺PC 通過隔離卡同時連接2 塊硬盤（對應內網和外網桌面）、兩套網絡，雙網切換時需要重啟系統，不僅切換速度比較慢，而且一旦切換過于頻繁，還會發生藍屏、死機等不穩定問題，影響辦公效率。

此外，以上兩種方式都缺乏安全管控策略，比如辦公人員只需簡單插拔網線就可以做到內外網混用，存在較大的安全隱患。同時，由于內網數據都放在本地硬盤上，即便是完全封堵U 口的使用，內部員工只要把硬盤掛接到另一計算機上（作為從盤啟動），依然可以輕松、無痕跡地完成數據拷貝和外發，所以文件泄密風險大。

近年越來越廣泛應用的虛擬桌面技術，是指將桌面與PC 分開，所有桌面在數據中心進行集中化保存和管理，并虛擬交付到終端用戶的一種方式。運行在物理主機上的虛擬桌面系統，具備完整的硬件系統功能，可運行Windows、Linux 等操作系統。這是目前Windows桌面交付到辦公場所的最佳方式，其提供了任意時間、任意地點、任意終端的接入，有利于業務的快速擴展1，比如臨床科室的某位醫生，在臨床科室、門急診都使用自己的虛擬桌面賬戶登錄虛擬桌面，無論在何位置，只要登錄自己的虛擬桌面賬號，都是使用自己的一套系統。虛擬桌面方案的核心是，通過虛擬化技術在數據中心把服務器、存儲、網絡等整合成彈性資源池，高效且動態的分配不同類型的桌面，利用安全的桌面發布協議推送桌面至用戶終端。而終端用戶設備上沒有部署任何應用，也沒有任何應用數據緩存在本地2。三種方案對比如下表1。

表1 三種終端隔離對比

綜合上述對比，我們采用虛擬桌面技術，滿足對內外網都有需求的終端使用者，“一機雙網”、雙網間數據隔離的需求。

2 終端隔離的方案及改進

2.1 廠商給出的方案

部署時，每用戶配備一臺虛擬桌面瘦終端，通過單網口連接到桌面云平臺，后端服務器為每用戶分發兩個虛擬機（劃分到不同集群或VLAN），分別用于訪問辦公網和互聯網。因為兩個桌面系統劃分到不同VLAN，可以通過網關設備和ACL 策略限制雙網互訪，從而實現邏輯隔離。日常辦公過程中如果需要雙網切換，用戶只需要在VDⅠ資源頁面上分別點擊不同桌面資源，便可完成兩個桌面的無縫切換。方案中所述，內外網桌面均為虛擬桌面，使用中通過兩個虛擬桌面的切換實現內外網切換。通過瘦客戶端顯示，內外網數據都存在服務器端，用虛擬桌面的安全設置，保護終端數據安全。如圖1。

圖1 通常情況下虛擬桌面隔離結構

2.2 結合實際情況采用的方案

結合我院現有網絡狀況和預算情況，我們調整了原設計。先在核心交換機上建立訪問外網的VLAN，通過核心交換機上的訪問控制列表，允許該VLAN 訪問虛擬桌面、殺毒軟件等少數服務器，禁止該VLAN 訪問其他內部業務VLAN，通過網閘、防火墻等安全設備連接外網。對雙網都有需求的終端，我們先將其劃入上述外網VLAN和其他只用外網的機器一樣。再將虛擬桌面客戶端直接裝在外網PC上，在服務器端為該用戶建立自己的內網虛擬桌面系統。用戶如需訪問內網資源，則直接在PC 上打開虛擬桌面客戶端（VDⅠ），登錄自己相應的虛擬桌面賬號，在虛擬桌面系統上，訪問內網資源。外網資源在本地PC 上使用，內網資源統一在服務器端存儲、運算，在該PC上，不通過VDⅠ客戶端，無法直接訪問內網。實現終端的邏輯隔離，同時利用了原有PC，也節約了新購虛擬桌面瘦終端的資金，如圖2。

圖2 我院所采用的虛擬桌面隔離結構

3 總結

3.1 該實施方案的優點

（1）可以實現快速部署：不必進行布線施工，只對核心交換機進行VLAN、ACL 等設置；在虛擬桌面服務器上建立用戶、虛擬機；在終端PC 上更改所屬VLAN，安裝虛擬桌面軟件即可。

（2）最大程度節約資金：利用原有PC 終端和服務器，只購買虛擬桌面軟件授權，即可實現終端的邏輯隔離。節約了購買虛擬桌面瘦終端，布線施工等費用。

（3）隔離效果良好：應用程序及用戶所產生的文檔數據，都運行、保存在云桌面服務器上，當用戶連入桌面云時，通過加密的SRAP高效桌面交付協議，將圖像界面傳輸給前端的虛擬桌面客戶端。用戶對云桌面進行操作，如鼠標點擊、鍵盤輸入等指令信息，傳輸到服務器進行處理，并將隨之變化的桌面界面，再通過SRAP 協議以圖像形式反饋給用戶。業務數據僅在服務器端進行處理，不在網絡中傳輸，保障數據不落地，實現單終端的情況下，滿足多網業務數據的網絡隔離要求。再結合虛擬桌面系統自身的外設管控、個人硬盤加密等技術，防范數據泄密。

（4）使用體驗好：在一臺PC 上實現雙網功能，節約辦公空間，和普通Windows 窗口一樣的切換方式，使用方便快捷。

（5）維護簡單迅速：虛擬桌面系統采用一體化設計方案，基于ARM 架構，相對PC 運行更穩定，并且無須單獨維護，實現高效ⅠT桌面運維。通過建立模板，派發等操作，可迅速部署用戶虛擬機，維護工作量較普通PC，大幅減少。

3.2 該實施方案的缺點

（1）無論采取何種設置，邏輯隔離畢竟還是將內外網統一在一張網內使用。雖然物理隔離也并非完美，但毋庸置疑，物理隔離的效果依然好于邏輯隔離。

（2）這套方案中為了實現外網VLAN 中的PC 和虛擬桌面服務器的通信，要將這些服務器在ACL 列表中對外網VLAN 放行，同時放行的還包括桌面殺毒軟件、桌面管理等服務器。這些服務器就成了連接內外網的通道，要加強對這些服務器的安全防護，防止以它們為跳板入侵內部網絡。