曾虹霖， 王順鑫， 陳偉強， 林亞忠

(聯(lián)勤保障部隊第九O九醫(yī)院(廈門大學附屬東南醫(yī)院),信息科， 福建，漳州 363000)

0 引言

隨著醫(yī)院臨床應用軟硬件的不斷更新迭代，接入層網(wǎng)絡環(huán)境日趨復雜，已不再是原始的計算機加打印機的傳統(tǒng)經(jīng)典組合,隨之而來的是自助機、排隊叫號機、考勤機、膠片打印機等多媒體自助終端接入[1]。為了滿足各類型各點位的接入需求，公共區(qū)域網(wǎng)絡接口數(shù)量龐大且分散，因設備位置移動導致接口閑置的現(xiàn)象十分常見，這給網(wǎng)絡接入層帶來新的安全風險和管理難度。同時，在計算機終端層面，濫用移動存儲設備、連接手機、私接互聯(lián)網(wǎng)、跨網(wǎng)連接、安全基線不達標等現(xiàn)象給內(nèi)網(wǎng)安全帶來新的挑戰(zhàn)。

作者所在醫(yī)院現(xiàn)有接入層網(wǎng)絡交換機約116臺，均為可網(wǎng)管交換機。因各樓宇建設投產(chǎn)時間不同，信息化建設程度存在差異，分布著許多不可配置的HUB，延伸出繁雜的網(wǎng)絡末端分支。現(xiàn)有使用的終端設備除日常辦公的1 440多臺計算機外，還分布著眾多不同廠商的醫(yī)療儀器及配套設備。目前,現(xiàn)有的終端接入層準入方式為手動逐臺交換機單獨配置MAC認證[2]。雖可以滿足最基礎的網(wǎng)絡準入，但在實際應用中，不僅工作量大且人工頻繁更改配置難免出現(xiàn)誤操作，不利于維護和網(wǎng)絡穩(wěn)定。醫(yī)院多數(shù)區(qū)域為公共服務場所，網(wǎng)絡接口數(shù)量眾多且分散，因信息化建設程度差異和部分人工維護存在時延性，已接通交換機中無安全管控的端口數(shù)量日益增多且難以完全杜絕，這樣失控的接口猶如醫(yī)院內(nèi)網(wǎng)敞開的大門，潛在巨大的安全隱患。

目前,網(wǎng)絡準入控制系統(tǒng)在醫(yī)療、教育、電力工控等領域已得到有效驗證。隨著“等保2.0”的建設推進和醫(yī)院內(nèi)網(wǎng)安全管控的必要需求，在參考大量業(yè)內(nèi)外部署網(wǎng)絡準入控制系統(tǒng)的成功經(jīng)驗后，我院決定在內(nèi)網(wǎng)引入網(wǎng)絡準入控制系統(tǒng)[3]。

1 準入系統(tǒng)的設計與部署

1.1 現(xiàn)狀與準入技術

1.1.1 現(xiàn)狀與要求

目前業(yè)務內(nèi)網(wǎng)經(jīng)雙活數(shù)據(jù)中心建成并使用，核心骨干網(wǎng)絡已升級為4臺H3C 12510-X交換機并配置IRF虛擬化，支撐雙活數(shù)據(jù)中心機房核心節(jié)點，各VLAN網(wǎng)關位于核心交換機，網(wǎng)絡架構為經(jīng)典的接入層、匯聚層、核心層三層網(wǎng)絡架構。根據(jù)現(xiàn)有網(wǎng)絡環(huán)境和終端使用情況，提出 “拒之門外”“排除隱患”“審核放行”“實時檢測”“可視方便”和“簡化操作”的目標要求。使用準入系統(tǒng)的主要目的是為了將非法終端隔絕在網(wǎng)絡之外，只有合法終端才可以入網(wǎng)，做到基于端口級別的準入控制。

1.1.2 MVG準入技術

多廠商虛擬網(wǎng)關技術(MVG)是一種專利準入技術，該技術通過SNMP/TELNET/SSH等方式和交換機進行聯(lián)動，通過聯(lián)動信息交互，生成交換機MAC表/ARP表/端口列表。對相應交換機端口下接入設備進行判斷，如為非法終端設備，將通過聯(lián)動功能控制交換機把相對應接口切換到隔離VLAN下。在隔離VLAN下的終端，只能和準入設備進行通信，此時終端需要進行“認證”和“安全檢查且合規(guī)”這兩個步驟后，準入設備才會將該端口切換到正常VLAN，數(shù)據(jù)流量按照正常模式由交換機轉發(fā)。

適用場景：①用戶網(wǎng)絡結構為兩層網(wǎng)絡結構，即接入、核心兩層，或者為接入、匯聚、核心三層，但終端網(wǎng)關在核心交換機上;②接入層交換機為可適配遠程管理的交換機，劃分VLAN，支持命令行配置;③接入、匯聚、核心為trunk相連;④要求實現(xiàn)端口級別準入控制。

可靠性提升方面：準入設備支持雙機堆疊、雙機熱備、多機集群模式部署，避免單點故障且方便擴展。

1.2 功能設計

1.2.1 入網(wǎng)流程設計與異常隔離

準入管控開啟時，任何未知的新入網(wǎng)終端都將被隔離，以達到“拒之門外”的目的。終端都必須經(jīng)過2個重點流程：合規(guī)性檢查、管理員審核。即使某個新入網(wǎng)終端合規(guī)性檢查已通過，但未進行人工審核，則該終端依然處于阻斷狀態(tài)。值得一提的是，由于我院的計算機安裝及發(fā)放都統(tǒng)一由信息科執(zhí)行，因此人工審核后再入網(wǎng)可以進一步定位和確認新入設備，提高安全性和可控性[4]，實現(xiàn)“排除隱患”和“審核放行”。

異常終端隔離現(xiàn)象會在新入網(wǎng)但未審核設備、循環(huán)安檢時不通過的設備和被管理員手動隔離等設備上出現(xiàn)。根據(jù)MVG準入模式的功能特點，將這些異常設備利用交換機中的隔離VLAN實現(xiàn)阻斷[5]。這些用來隔離的VLAN與內(nèi)網(wǎng)中的正常VLAN無法通信，從接入層交換機上阻斷數(shù)據(jù)包的通信。入網(wǎng)流程及異常隔離如圖1所示。

圖1 入網(wǎng)流程與異常隔離

1.2.2 終端在網(wǎng)檢測與修復

除新入網(wǎng)終端的合規(guī)性檢測外，在網(wǎng)終端需進行周期性檢測，以保障和鞏固在網(wǎng)終端合規(guī)性，避免因人為操作或病毒運行導致的終端失控，如圖2所示。IP/MAC綁定、運行殺毒軟件、密碼策略設置、USB使用控制及違規(guī)外聯(lián)，五個安全檢查項作為基礎安全檢查策略，并根據(jù)不同科室具體業(yè)務特點進行增減[6]。任何在網(wǎng)設備在周期性檢測時發(fā)現(xiàn)不合規(guī)，即會被隔離。在隔離VLAN中的設備無法與正常網(wǎng)段通信，只能與準入設備進行代理通信，經(jīng)過修復流程達到安全基線標準之后才可切換到正常VLAN[7]。通過實施新入檢測和在網(wǎng)檢測，實現(xiàn)管理閉環(huán)，達到“實時檢測”的目的。

圖2 周期安全檢查

1.3 部署與測試

1.3.1 網(wǎng)絡架構

因準入技術選型為MVG模式旁路接入，故可在不改變骨干網(wǎng)架構的基礎上對用戶實現(xiàn)無感接入[8-9]。目前部署單臺準入硬件設備，配有多個物理接口，根據(jù)MVG模式的部署要求，設備接口劃分為數(shù)據(jù)重定向[10]接口、Untrust接口、Trust接口等3種接口，分別將3個接口接入網(wǎng)關所在的網(wǎng)絡核心層設備，如圖3所示。

圖3 準入系統(tǒng)旁路接入核心交換機

1.3.2 交換機和終端配置

目前,根據(jù)我院業(yè)務開展和樓層科室分布情況，實際使用接入層VLAN共計30個且隨業(yè)務拓展將持續(xù)增加。為了實現(xiàn)區(qū)分網(wǎng)段隔離，縮小隔離終端廣播流量范圍的目的，配置30個隔離VLAN與業(yè)務VLAN成一一對應關系，最大限度地減小隔離區(qū)域中計算機的訪問范圍。同時，一一對應的隔離VLAN也可更明確地區(qū)分定位隔離主機。

對交換機的更改僅僅只是VLAN的添加和trunk接口的修剪放行，只需要最簡單的命令配置，后續(xù)的聯(lián)動操作全部交由準入設備按策略進行聯(lián)動控制。以我院在用的H3C交換機為例，具體配置如圖4所示。

圖4 交換機隔離VLAN配置

終端電腦在整體實施中只需要下載安裝準入小助手插件和填寫基本信息，隨后準入小助手插件將保持循環(huán)安檢。其他儀器設備則由管理員手動進行添加和配置。

1.3.3 功能測試

準入系統(tǒng)接管交換機后，根據(jù)實際應用場景，將部分主機人為設置成低安全級別、不安裝準入小助手插件或IP/MAC地址綁定沖突等現(xiàn)象，模擬新入網(wǎng)設備或外來入侵設備，以測試交換機在MVG準入模式下的端口聯(lián)動控制，如圖5所示(VLAN 21為正常VLAN，VLAN 1021為隔離VLAN，兩者成對應關系)。

圖5 交換機端口聯(lián)動VLAN切換測試

在測試過程中,模擬各終端無殺毒軟件、IE主頁設置不正確等安全防護水平參差不齊的實際現(xiàn)狀，檢驗準入對終端安全基線檢測的靈敏度和準確度，如圖6所示。

圖6 安全規(guī)范檢測效果測試

2 實現(xiàn)效果

上線終端準入系統(tǒng)后，內(nèi)網(wǎng)終端電腦實現(xiàn)了精確定位、精準策略、可視化操作和態(tài)勢呈現(xiàn)等功能。通過在入網(wǎng)步驟中填寫“設備注冊信息”，記錄設備部門、使用人、物理位置、型號等精準信息，確定每一臺終端電腦的物理位置。由于“設備注冊信息”定位明確，無需現(xiàn)場詢問故障點位或現(xiàn)場尋找報修人位置，從接報故障到人員抵達正確故障點位現(xiàn)場，平均縮短時間4 min，平均節(jié)約時間占單次故障維護時間35.7%。通過策略分組實現(xiàn)精確策略分配，根據(jù)每個部門業(yè)務特點進行管控。通過管理界面呈現(xiàn)出當前在線交換機對應型號的可視化界面，還原交換機面板上最常關注的界面參數(shù)。管理員在準入管理平臺網(wǎng)頁上即可看到當前交換機端口指示燈等信息。通過匯總終端各類信息報表和準入管理主頁中的儀表臺信息，管理人員可清晰直觀地觀察整體態(tài)勢情況，對全網(wǎng)終端的使用情況和網(wǎng)絡安全態(tài)勢能有更進一步的掌握。

在實際維護中我們發(fā)現(xiàn)，由于用戶對計算機操作不熟悉而始終需要信息科人員參與指導，為了減輕現(xiàn)場維護的頻率與壓力，我們決定設置特定的隔離VLAN網(wǎng)管區(qū)，使之可對隔離VLAN中的主機進行遠程操作，協(xié)助使用者修復違規(guī)項目重新回到正常的網(wǎng)絡中，并且在網(wǎng)管區(qū)交換機進行流量控制，避免反向連接入侵問題。隔離VLAN與業(yè)務VLAN本身不可通信，通過準入系統(tǒng)代理通信也同樣滿足隔離的要求。

3 優(yōu)勢特點

本文介紹的準入系統(tǒng)在網(wǎng)絡部署、功能設計、維護管理等方面有明顯的優(yōu)勢。在網(wǎng)絡部署方面，使用MVG模式準入部署不需要在核心設備上進行策略路由配置、鏡像端口配置，真正做到不改變架構和數(shù)據(jù)流，且把隔離前推到了接入層，而非經(jīng)過策略路由到達核心網(wǎng)關[11]。在功能設計方面，除了入網(wǎng)在網(wǎng)的閉環(huán)管理外，對隔離VLAN網(wǎng)段進行一一對應劃分，進一步縮小違規(guī)終端的廣播域從而增強安全性。在維護管理方面，準入管理頁面中呈現(xiàn)交換機物理外觀的模擬面板以及詳細的終端設備信息，任何值班人員均可直觀地觀察設備運行情況和終端設備詳細情況，提高了排查效率，消除了許多溝通障礙，即使不是專門從事網(wǎng)管崗位的人員也可以進行基本的維護保障。準入系統(tǒng)自帶補丁服務器、文件服務器等功能，將“安全基線修復”功能模塊集成到準入設備中，從而簡化了網(wǎng)絡結構提高了安全性。

本文中介紹的準入系統(tǒng)從網(wǎng)絡部署、功能設計、維護管理等實現(xiàn)效果具有的優(yōu)勢如表1所示。

表1 優(yōu)勢對比表

4 總結

在準入系統(tǒng)投入使用后，醫(yī)院接入層網(wǎng)絡狀態(tài)更加清晰，管控更加精準便捷。公共環(huán)境中的接入層端口得到有效管控，終端安全基線得到保障，整體態(tài)勢由模糊化轉變?yōu)榭梢暬煽鼗?。利用準入系統(tǒng)的各項功能輔助日常維護，內(nèi)網(wǎng)中極少再出現(xiàn)類似IP沖突、接入層環(huán)路、報修位置模糊等低級故障問題。

但優(yōu)勢與不足并存，雖然準入系統(tǒng)能快速地發(fā)現(xiàn)并阻斷不合規(guī)的終端提升了內(nèi)網(wǎng)的安全性，除部分安全廠商自身產(chǎn)品兼容外，準入系統(tǒng)缺乏與殺毒軟件、防火墻、IPS等各類安全設備的聯(lián)動控制。單臺準入設備運行雖滿足日常使用，但仍存在單點故障的風險，后續(xù)應考慮熱備或堆疊模式加強安全性。準入系統(tǒng)小助手插件已成為內(nèi)網(wǎng)接入層的有效探針，同時也是接入層交換機的有效控制器，在后續(xù)的信息化建設中準入系統(tǒng)若能兼容與其他安全設備進行數(shù)據(jù)交互，各類安全設備之間的探針信息共享，則可從網(wǎng)絡接入層面、軟件應用層面、全網(wǎng)態(tài)勢感知層面多維度構建出立體的內(nèi)網(wǎng)安防體系，應是今后智能化自動化安全聯(lián)動管控的研究方向。