網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在醫(yī)院的部署與應(yīng)用

曾虹霖， 王順鑫， 陳偉強(qiáng)， 林亞忠

(聯(lián)勤保障部隊(duì)第九O九醫(yī)院(廈門大學(xué)附屬東南醫(yī)院),信息科， 福建，漳州 363000)

0 引言

隨著醫(yī)院臨床應(yīng)用軟硬件的不斷更新迭代，接入層網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，已不再是原始的計(jì)算機(jī)加打印機(jī)的傳統(tǒng)經(jīng)典組合,隨之而來的是自助機(jī)、排隊(duì)叫號(hào)機(jī)、考勤機(jī)、膠片打印機(jī)等多媒體自助終端接入[1]。為了滿足各類型各點(diǎn)位的接入需求，公共區(qū)域網(wǎng)絡(luò)接口數(shù)量龐大且分散，因設(shè)備位置移動(dòng)導(dǎo)致接口閑置的現(xiàn)象十分常見，這給網(wǎng)絡(luò)接入層帶來新的安全風(fēng)險(xiǎn)和管理難度。同時(shí)，在計(jì)算機(jī)終端層面，濫用移動(dòng)存儲(chǔ)設(shè)備、連接手機(jī)、私接互聯(lián)網(wǎng)、跨網(wǎng)連接、安全基線不達(dá)標(biāo)等現(xiàn)象給內(nèi)網(wǎng)安全帶來新的挑戰(zhàn)。

作者所在醫(yī)院現(xiàn)有接入層網(wǎng)絡(luò)交換機(jī)約116臺(tái)，均為可網(wǎng)管交換機(jī)。因各樓宇建設(shè)投產(chǎn)時(shí)間不同，信息化建設(shè)程度存在差異，分布著許多不可配置的HUB，延伸出繁雜的網(wǎng)絡(luò)末端分支。現(xiàn)有使用的終端設(shè)備除日常辦公的1 440多臺(tái)計(jì)算機(jī)外，還分布著眾多不同廠商的醫(yī)療儀器及配套設(shè)備。目前,現(xiàn)有的終端接入層準(zhǔn)入方式為手動(dòng)逐臺(tái)交換機(jī)單獨(dú)配置MAC認(rèn)證[2]。雖可以滿足最基礎(chǔ)的網(wǎng)絡(luò)準(zhǔn)入，但在實(shí)際應(yīng)用中，不僅工作量大且人工頻繁更改配置難免出現(xiàn)誤操作，不利于維護(hù)和網(wǎng)絡(luò)穩(wěn)定。醫(yī)院多數(shù)區(qū)域?yàn)楣卜?wù)場所，網(wǎng)絡(luò)接口數(shù)量眾多且分散，因信息化建設(shè)程度差異和部分人工維護(hù)存在時(shí)延性，已接通交換機(jī)中無安全管控的端口數(shù)量日益增多且難以完全杜絕，這樣失控的接口猶如醫(yī)院內(nèi)網(wǎng)敞開的大門，潛在巨大的安全隱患。

目前,網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在醫(yī)療、教育、電力工控等領(lǐng)域已得到有效驗(yàn)證。隨著“等保2.0”的建設(shè)推進(jìn)和醫(yī)院內(nèi)網(wǎng)安全管控的必要需求，在參考大量業(yè)內(nèi)外部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的成功經(jīng)驗(yàn)后，我院決定在內(nèi)網(wǎng)引入網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)[3]。

1 準(zhǔn)入系統(tǒng)的設(shè)計(jì)與部署

1.1 現(xiàn)狀與準(zhǔn)入技術(shù)

1.1.1 現(xiàn)狀與要求

目前業(yè)務(wù)內(nèi)網(wǎng)經(jīng)雙活數(shù)據(jù)中心建成并使用，核心骨干網(wǎng)絡(luò)已升級(jí)為4臺(tái)H3C 12510-X交換機(jī)并配置IRF虛擬化，支撐雙活數(shù)據(jù)中心機(jī)房核心節(jié)點(diǎn)，各VLAN網(wǎng)關(guān)位于核心交換機(jī)，網(wǎng)絡(luò)架構(gòu)為經(jīng)典的接入層、匯聚層、核心層三層網(wǎng)絡(luò)架構(gòu)。根據(jù)現(xiàn)有網(wǎng)絡(luò)環(huán)境和終端使用情況，提出 “拒之門外”“排除隱患”“審核放行”“實(shí)時(shí)檢測”“可視方便”和“簡化操作”的目標(biāo)要求。使用準(zhǔn)入系統(tǒng)的主要目的是為了將非法終端隔絕在網(wǎng)絡(luò)之外，只有合法終端才可以入網(wǎng)，做到基于端口級(jí)別的準(zhǔn)入控制。

1.1.2 MVG準(zhǔn)入技術(shù)

多廠商虛擬網(wǎng)關(guān)技術(shù)(MVG)是一種專利準(zhǔn)入技術(shù)，該技術(shù)通過SNMP/TELNET/SSH等方式和交換機(jī)進(jìn)行聯(lián)動(dòng)，通過聯(lián)動(dòng)信息交互，生成交換機(jī)MAC表/ARP表/端口列表。對相應(yīng)交換機(jī)端口下接入設(shè)備進(jìn)行判斷，如為非法終端設(shè)備，將通過聯(lián)動(dòng)功能控制交換機(jī)把相對應(yīng)接口切換到隔離VLAN下。在隔離VLAN下的終端，只能和準(zhǔn)入設(shè)備進(jìn)行通信，此時(shí)終端需要進(jìn)行“認(rèn)證”和“安全檢查且合規(guī)”這兩個(gè)步驟后，準(zhǔn)入設(shè)備才會(huì)將該端口切換到正常VLAN，數(shù)據(jù)流量按照正常模式由交換機(jī)轉(zhuǎn)發(fā)。

適用場景：①用戶網(wǎng)絡(luò)結(jié)構(gòu)為兩層網(wǎng)絡(luò)結(jié)構(gòu)，即接入、核心兩層，或者為接入、匯聚、核心三層，但終端網(wǎng)關(guān)在核心交換機(jī)上;②接入層交換機(jī)為可適配遠(yuǎn)程管理的交換機(jī)，劃分VLAN，支持命令行配置;③接入、匯聚、核心為trunk相連;④要求實(shí)現(xiàn)端口級(jí)別準(zhǔn)入控制。

可靠性提升方面：準(zhǔn)入設(shè)備支持雙機(jī)堆疊、雙機(jī)熱備、多機(jī)集群模式部署，避免單點(diǎn)故障且方便擴(kuò)展。

1.2 功能設(shè)計(jì)

1.2.1 入網(wǎng)流程設(shè)計(jì)與異常隔離

準(zhǔn)入管控開啟時(shí)，任何未知的新入網(wǎng)終端都將被隔離，以達(dá)到“拒之門外”的目的。終端都必須經(jīng)過2個(gè)重點(diǎn)流程：合規(guī)性檢查、管理員審核。即使某個(gè)新入網(wǎng)終端合規(guī)性檢查已通過，但未進(jìn)行人工審核，則該終端依然處于阻斷狀態(tài)。值得一提的是，由于我院的計(jì)算機(jī)安裝及發(fā)放都統(tǒng)一由信息科執(zhí)行，因此人工審核后再入網(wǎng)可以進(jìn)一步定位和確認(rèn)新入設(shè)備，提高安全性和可控性[4]，實(shí)現(xiàn)“排除隱患”和“審核放行”。

異常終端隔離現(xiàn)象會(huì)在新入網(wǎng)但未審核設(shè)備、循環(huán)安檢時(shí)不通過的設(shè)備和被管理員手動(dòng)隔離等設(shè)備上出現(xiàn)。根據(jù)MVG準(zhǔn)入模式的功能特點(diǎn)，將這些異常設(shè)備利用交換機(jī)中的隔離VLAN實(shí)現(xiàn)阻斷[5]。這些用來隔離的VLAN與內(nèi)網(wǎng)中的正常VLAN無法通信，從接入層交換機(jī)上阻斷數(shù)據(jù)包的通信。入網(wǎng)流程及異常隔離如圖1所示。

圖1 入網(wǎng)流程與異常隔離

1.2.2 終端在網(wǎng)檢測與修復(fù)

除新入網(wǎng)終端的合規(guī)性檢測外，在網(wǎng)終端需進(jìn)行周期性檢測，以保障和鞏固在網(wǎng)終端合規(guī)性，避免因人為操作或病毒運(yùn)行導(dǎo)致的終端失控，如圖2所示。IP/MAC綁定、運(yùn)行殺毒軟件、密碼策略設(shè)置、USB使用控制及違規(guī)外聯(lián)，五個(gè)安全檢查項(xiàng)作為基礎(chǔ)安全檢查策略，并根據(jù)不同科室具體業(yè)務(wù)特點(diǎn)進(jìn)行增減[6]。任何在網(wǎng)設(shè)備在周期性檢測時(shí)發(fā)現(xiàn)不合規(guī)，即會(huì)被隔離。在隔離VLAN中的設(shè)備無法與正常網(wǎng)段通信，只能與準(zhǔn)入設(shè)備進(jìn)行代理通信，經(jīng)過修復(fù)流程達(dá)到安全基線標(biāo)準(zhǔn)之后才可切換到正常VLAN[7]。通過實(shí)施新入檢測和在網(wǎng)檢測，實(shí)現(xiàn)管理閉環(huán)，達(dá)到“實(shí)時(shí)檢測”的目的。

圖2 周期安全檢查

1.3 部署與測試

1.3.1 網(wǎng)絡(luò)架構(gòu)

因準(zhǔn)入技術(shù)選型為MVG模式旁路接入，故可在不改變骨干網(wǎng)架構(gòu)的基礎(chǔ)上對用戶實(shí)現(xiàn)無感接入[8-9]。目前部署單臺(tái)準(zhǔn)入硬件設(shè)備，配有多個(gè)物理接口，根據(jù)MVG模式的部署要求，設(shè)備接口劃分為數(shù)據(jù)重定向[10]接口、Untrust接口、Trust接口等3種接口，分別將3個(gè)接口接入網(wǎng)關(guān)所在的網(wǎng)絡(luò)核心層設(shè)備，如圖3所示。

圖3 準(zhǔn)入系統(tǒng)旁路接入核心交換機(jī)

1.3.2 交換機(jī)和終端配置

目前,根據(jù)我院業(yè)務(wù)開展和樓層科室分布情況，實(shí)際使用接入層VLAN共計(jì)30個(gè)且隨業(yè)務(wù)拓展將持續(xù)增加。為了實(shí)現(xiàn)區(qū)分網(wǎng)段隔離，縮小隔離終端廣播流量范圍的目的，配置30個(gè)隔離VLAN與業(yè)務(wù)VLAN成一一對應(yīng)關(guān)系，最大限度地減小隔離區(qū)域中計(jì)算機(jī)的訪問范圍。同時(shí)，一一對應(yīng)的隔離VLAN也可更明確地區(qū)分定位隔離主機(jī)。

對交換機(jī)的更改僅僅只是VLAN的添加和trunk接口的修剪放行，只需要最簡單的命令配置，后續(xù)的聯(lián)動(dòng)操作全部交由準(zhǔn)入設(shè)備按策略進(jìn)行聯(lián)動(dòng)控制。以我院在用的H3C交換機(jī)為例，具體配置如圖4所示。

圖4 交換機(jī)隔離VLAN配置

終端電腦在整體實(shí)施中只需要下載安裝準(zhǔn)入小助手插件和填寫基本信息，隨后準(zhǔn)入小助手插件將保持循環(huán)安檢。其他儀器設(shè)備則由管理員手動(dòng)進(jìn)行添加和配置。

1.3.3 功能測試

準(zhǔn)入系統(tǒng)接管交換機(jī)后，根據(jù)實(shí)際應(yīng)用場景，將部分主機(jī)人為設(shè)置成低安全級(jí)別、不安裝準(zhǔn)入小助手插件或IP/MAC地址綁定沖突等現(xiàn)象，模擬新入網(wǎng)設(shè)備或外來入侵設(shè)備，以測試交換機(jī)在MVG準(zhǔn)入模式下的端口聯(lián)動(dòng)控制，如圖5所示(VLAN 21為正常VLAN，VLAN 1021為隔離VLAN，兩者成對應(yīng)關(guān)系)。

圖5 交換機(jī)端口聯(lián)動(dòng)VLAN切換測試

在測試過程中,模擬各終端無殺毒軟件、IE主頁設(shè)置不正確等安全防護(hù)水平參差不齊的實(shí)際現(xiàn)狀，檢驗(yàn)準(zhǔn)入對終端安全基線檢測的靈敏度和準(zhǔn)確度，如圖6所示。

圖6 安全規(guī)范檢測效果測試

2 實(shí)現(xiàn)效果

上線終端準(zhǔn)入系統(tǒng)后，內(nèi)網(wǎng)終端電腦實(shí)現(xiàn)了精確定位、精準(zhǔn)策略、可視化操作和態(tài)勢呈現(xiàn)等功能。通過在入網(wǎng)步驟中填寫“設(shè)備注冊信息”，記錄設(shè)備部門、使用人、物理位置、型號(hào)等精準(zhǔn)信息，確定每一臺(tái)終端電腦的物理位置。由于“設(shè)備注冊信息”定位明確，無需現(xiàn)場詢問故障點(diǎn)位或現(xiàn)場尋找報(bào)修人位置，從接報(bào)故障到人員抵達(dá)正確故障點(diǎn)位現(xiàn)場，平均縮短時(shí)間4 min，平均節(jié)約時(shí)間占單次故障維護(hù)時(shí)間35.7%。通過策略分組實(shí)現(xiàn)精確策略分配，根據(jù)每個(gè)部門業(yè)務(wù)特點(diǎn)進(jìn)行管控。通過管理界面呈現(xiàn)出當(dāng)前在線交換機(jī)對應(yīng)型號(hào)的可視化界面，還原交換機(jī)面板上最常關(guān)注的界面參數(shù)。管理員在準(zhǔn)入管理平臺(tái)網(wǎng)頁上即可看到當(dāng)前交換機(jī)端口指示燈等信息。通過匯總終端各類信息報(bào)表和準(zhǔn)入管理主頁中的儀表臺(tái)信息，管理人員可清晰直觀地觀察整體態(tài)勢情況，對全網(wǎng)終端的使用情況和網(wǎng)絡(luò)安全態(tài)勢能有更進(jìn)一步的掌握。

在實(shí)際維護(hù)中我們發(fā)現(xiàn)，由于用戶對計(jì)算機(jī)操作不熟悉而始終需要信息科人員參與指導(dǎo)，為了減輕現(xiàn)場維護(hù)的頻率與壓力，我們決定設(shè)置特定的隔離VLAN網(wǎng)管區(qū)，使之可對隔離VLAN中的主機(jī)進(jìn)行遠(yuǎn)程操作，協(xié)助使用者修復(fù)違規(guī)項(xiàng)目重新回到正常的網(wǎng)絡(luò)中，并且在網(wǎng)管區(qū)交換機(jī)進(jìn)行流量控制，避免反向連接入侵問題。隔離VLAN與業(yè)務(wù)VLAN本身不可通信，通過準(zhǔn)入系統(tǒng)代理通信也同樣滿足隔離的要求。

3 優(yōu)勢特點(diǎn)

本文介紹的準(zhǔn)入系統(tǒng)在網(wǎng)絡(luò)部署、功能設(shè)計(jì)、維護(hù)管理等方面有明顯的優(yōu)勢。在網(wǎng)絡(luò)部署方面，使用MVG模式準(zhǔn)入部署不需要在核心設(shè)備上進(jìn)行策略路由配置、鏡像端口配置，真正做到不改變架構(gòu)和數(shù)據(jù)流，且把隔離前推到了接入層，而非經(jīng)過策略路由到達(dá)核心網(wǎng)關(guān)[11]。在功能設(shè)計(jì)方面，除了入網(wǎng)在網(wǎng)的閉環(huán)管理外，對隔離VLAN網(wǎng)段進(jìn)行一一對應(yīng)劃分，進(jìn)一步縮小違規(guī)終端的廣播域從而增強(qiáng)安全性。在維護(hù)管理方面，準(zhǔn)入管理頁面中呈現(xiàn)交換機(jī)物理外觀的模擬面板以及詳細(xì)的終端設(shè)備信息，任何值班人員均可直觀地觀察設(shè)備運(yùn)行情況和終端設(shè)備詳細(xì)情況，提高了排查效率，消除了許多溝通障礙，即使不是專門從事網(wǎng)管崗位的人員也可以進(jìn)行基本的維護(hù)保障。準(zhǔn)入系統(tǒng)自帶補(bǔ)丁服務(wù)器、文件服務(wù)器等功能，將“安全基線修復(fù)”功能模塊集成到準(zhǔn)入設(shè)備中，從而簡化了網(wǎng)絡(luò)結(jié)構(gòu)提高了安全性。

本文中介紹的準(zhǔn)入系統(tǒng)從網(wǎng)絡(luò)部署、功能設(shè)計(jì)、維護(hù)管理等實(shí)現(xiàn)效果具有的優(yōu)勢如表1所示。

表1 優(yōu)勢對比表

4 總結(jié)

在準(zhǔn)入系統(tǒng)投入使用后，醫(yī)院接入層網(wǎng)絡(luò)狀態(tài)更加清晰，管控更加精準(zhǔn)便捷。公共環(huán)境中的接入層端口得到有效管控，終端安全基線得到保障，整體態(tài)勢由模糊化轉(zhuǎn)變?yōu)榭梢暬煽鼗＠脺?zhǔn)入系統(tǒng)的各項(xiàng)功能輔助日常維護(hù)，內(nèi)網(wǎng)中極少再出現(xiàn)類似IP沖突、接入層環(huán)路、報(bào)修位置模糊等低級(jí)故障問題。

但優(yōu)勢與不足并存，雖然準(zhǔn)入系統(tǒng)能快速地發(fā)現(xiàn)并阻斷不合規(guī)的終端提升了內(nèi)網(wǎng)的安全性，除部分安全廠商自身產(chǎn)品兼容外，準(zhǔn)入系統(tǒng)缺乏與殺毒軟件、防火墻、IPS等各類安全設(shè)備的聯(lián)動(dòng)控制。單臺(tái)準(zhǔn)入設(shè)備運(yùn)行雖滿足日常使用，但仍存在單點(diǎn)故障的風(fēng)險(xiǎn)，后續(xù)應(yīng)考慮熱備或堆疊模式加強(qiáng)安全性。準(zhǔn)入系統(tǒng)小助手插件已成為內(nèi)網(wǎng)接入層的有效探針，同時(shí)也是接入層交換機(jī)的有效控制器，在后續(xù)的信息化建設(shè)中準(zhǔn)入系統(tǒng)若能兼容與其他安全設(shè)備進(jìn)行數(shù)據(jù)交互，各類安全設(shè)備之間的探針信息共享，則可從網(wǎng)絡(luò)接入層面、軟件應(yīng)用層面、全網(wǎng)態(tài)勢感知層面多維度構(gòu)建出立體的內(nèi)網(wǎng)安防體系，應(yīng)是今后智能化自動(dòng)化安全聯(lián)動(dòng)管控的研究方向。