于京杰，戚仕濤

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

醫(yī)院內(nèi)網(wǎng)終端準(zhǔn)入控制與測試研究

于京杰，戚仕濤

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

隨著醫(yī)院內(nèi)網(wǎng)終端管理需求的日益迫切，終端管理類系統(tǒng)的大規(guī)模部署，終端準(zhǔn)入控制已經(jīng)逐漸成為終端管理的標(biāo)準(zhǔn)功能之一。本文主要針對醫(yī)院內(nèi)網(wǎng)終端準(zhǔn)入控制的目標(biāo)、體系結(jié)構(gòu)建設(shè)、測試環(huán)境及測試結(jié)果比較作了詳細(xì)介紹。

醫(yī)院內(nèi)網(wǎng)；終端管理；準(zhǔn)入控制；網(wǎng)絡(luò)安全

1 醫(yī)院內(nèi)網(wǎng)準(zhǔn)入控制狀況

隨著網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，醫(yī)院PC終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是內(nèi)網(wǎng)中網(wǎng)線所連接的PC機(jī)，更是網(wǎng)絡(luò)中大部分事物的起點(diǎn)和源頭——是用戶登錄并訪問網(wǎng)絡(luò)的起點(diǎn)、是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點(diǎn)；更是病毒攻擊的源頭，從內(nèi)部發(fā)起的惡意攻擊的源頭和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，也只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭，遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。

在內(nèi)網(wǎng)安全管理中，準(zhǔn)入控制是所有終端管理功能實(shí)現(xiàn)的基礎(chǔ)所在，采用準(zhǔn)入控制技術(shù)能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦進(jìn)行隔離、修復(fù)。準(zhǔn)入控制技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)（防火墻與防病毒技術(shù)）結(jié)合,將被動(dòng)防御變?yōu)橹鲃?dòng)防御，能夠有效促進(jìn)內(nèi)網(wǎng)合規(guī)建設(shè)，減少網(wǎng)絡(luò)事故[1]。

2 準(zhǔn)入控制體系建設(shè)

2.1 終端準(zhǔn)入控制的目標(biāo)

終端準(zhǔn)入控制的目標(biāo)可以比作現(xiàn)實(shí)生活中的安全檢查，檢查本身并不是目標(biāo)，真正的目標(biāo)是通過檢查確保進(jìn)入的是安全目標(biāo)，不安全的是不允許進(jìn)入的。我們把終端準(zhǔn)入控制的目標(biāo)細(xì)分成2個(gè)子目標(biāo)。

2.1.1 自動(dòng)修復(fù)、阻止違規(guī)接入

終端準(zhǔn)入控制的首要目標(biāo)是檢查終端是否符合準(zhǔn)入安全策略的要求，符合則允許接入；不符合則阻止其接入。同時(shí)對于確實(shí)因?yàn)楣ぷ餍枰尤氲慕K端，阻止其接入只是一種手段，最終的目標(biāo)是通過自動(dòng)修復(fù)使其符合策略要求，能夠接入。

2.1.2 定期檢查、確保持續(xù)遵從

對于已經(jīng)通過檢查接入內(nèi)部網(wǎng)絡(luò)的終端，要進(jìn)行定期檢查，確保其持續(xù)遵從。一旦檢查未通過，則同樣執(zhí)行自動(dòng)修復(fù)，直到符合策略要求為止[2]。

2.2 我院準(zhǔn)入控制體系建設(shè)狀況

南京軍區(qū)南京總醫(yī)院作為南京軍區(qū)的大型醫(yī)療保障機(jī)構(gòu)，現(xiàn)有PC終端1600多臺(tái)，且節(jié)點(diǎn)數(shù)量還在不斷增加。PC終端的規(guī)格型號(hào)不同，分布廣泛，給我院信息管理中心帶來很大挑戰(zhàn)。我院辦公網(wǎng)的內(nèi)網(wǎng)安全更為重要，為了控制非法外來終端（私自接入內(nèi)網(wǎng)）和內(nèi)網(wǎng)PC終端的安全，準(zhǔn)入控制體系建設(shè)必須加快提升至一個(gè)新的高度。

2.2.1 終端管理和準(zhǔn)入控制解決方案

為了解決我院辦公網(wǎng)的一系列安全和管理問題，提高網(wǎng)絡(luò)性能和客戶端工作效率，對辦公網(wǎng)PC終端進(jìn)行控制、優(yōu)化管理和整合。我院采用了賽門鐵克公司（Symantec）的終端安全管理軟件（Symantec Endpoint Protection，SEP）和準(zhǔn)入控制系統(tǒng)（Symantec Network Access Control，SNAC）相結(jié)合的解決方案，加以正確的策略和科學(xué)規(guī)范的管理，大大減輕了信息管理中心人員維護(hù)的工作量，也使管理更加高效和便捷，同時(shí)對辦公網(wǎng)絡(luò)PC終端的接入安全起到有效的保護(hù)。

SEP由Symantec AntiVirus與高級(jí)威脅防御功能相結(jié)合，可以為醫(yī)院的筆記本、臺(tái)式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如rootkit、零日攻擊和不斷變化的間諜軟件。SEP還提供了先進(jìn)的威脅防御能力，能夠保護(hù)端點(diǎn)免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_，它包括即刻可用的主動(dòng)防護(hù)技術(shù)以及管理控制功能。主動(dòng)防護(hù)技術(shù)能夠自動(dòng)分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動(dòng)；管理控制功能使管理人員能夠拒絕高風(fēng)險(xiǎn)的特定設(shè)備和應(yīng)用程序活動(dòng)，甚至可以根據(jù)用戶位置阻止特定操作[3]。

賽門鐵克公司提出的單個(gè)代理和單個(gè)管理控制平臺(tái)的解決方案尤為先進(jìn)，它可以在一個(gè)代理上提供防病毒、反間諜軟件、桌面防火墻、lPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（SNAC），通過單個(gè)管理控制臺(tái)即可進(jìn)行全面管理。

與SEP無縫集成的SNAC是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使醫(yī)院能夠安全有效地控制對網(wǎng)絡(luò)的訪問。不管終端以何種方式與網(wǎng)絡(luò)相連，SNAC都能夠發(fā)現(xiàn)并評(píng)估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：醫(yī)院可以在此環(huán)境中大大減少安全事故，同時(shí)提高醫(yī)院IT安全策略的遵從級(jí)別。

SNAC使醫(yī)院可以按照目標(biāo)，經(jīng)濟(jì)有效地部署和管理網(wǎng)絡(luò)訪問控制，同時(shí)對端點(diǎn)和用戶進(jìn)行授權(quán)。在當(dāng)今的計(jì)算環(huán)境中，醫(yī)院和網(wǎng)絡(luò)管理員面臨著嚴(yán)峻的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供訪問醫(yī)院資源的權(quán)限。其中，包括員工、訪客和其他臨時(shí)工作人員。隨著訪問醫(yī)院系統(tǒng)的端點(diǎn)數(shù)量和類型激增，醫(yī)院必須能夠在連接到資源以前驗(yàn)證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行持續(xù)驗(yàn)證。SNAC可以確保在允許端點(diǎn)連接到醫(yī)院的局域網(wǎng)（LAN）、廣域網(wǎng)（WAN）、無線局域網(wǎng)（WLAN）或虛擬專用網(wǎng)（VPN）之前遵從lT策略。

2.2.2 準(zhǔn)入控制解決方案實(shí)際測試應(yīng)用

針對我院的實(shí)際情況和要求，SNAC準(zhǔn)入控制解決方案在前期的測試結(jié)果令我們滿意?；?02.1X協(xié)議的認(rèn)證，與接入層交換機(jī)進(jìn)行聯(lián)動(dòng)，對試圖通過交換機(jī)接入內(nèi)部網(wǎng)絡(luò)的PC終端進(jìn)行認(rèn)證，當(dāng)認(rèn)證成功時(shí)才會(huì)轉(zhuǎn)發(fā)該終端的數(shù)據(jù)包。關(guān)于802.1X認(rèn)證的技術(shù)原理已有相對多的資料，這里不再詳述。802.1X認(rèn)證的方式相對而言控制的效果更徹底。

以下是SNAC測試的大致情況：

（1）測試環(huán)境。1臺(tái)Symantec 準(zhǔn)入控制系統(tǒng)服務(wù)器，1臺(tái)Symantec 隔離區(qū)補(bǔ)丁修復(fù)服務(wù)器，1臺(tái)SNAC準(zhǔn)入控制設(shè)備LAN Enforce ，1臺(tái)支持802.1X認(rèn)證協(xié)議的接入層交換機(jī)，3臺(tái)終端PC。

（2）操作系統(tǒng)平臺(tái)。服務(wù)器：Windows 2003 Server sp 2企業(yè)版終端PC：Windows xp sp3 。

（3）測試環(huán)境結(jié)構(gòu)。拓?fù)鋱D，見圖1，在接入層的交換機(jī)里劃分2個(gè)VLAN，左邊網(wǎng)絡(luò)區(qū)域?yàn)閮?nèi)部辦公網(wǎng)絡(luò)1 VLAN，右邊為隔離修復(fù)200 VLAN。Symantec準(zhǔn)入控制系統(tǒng)服務(wù)器與SNAC準(zhǔn)入設(shè)備均接在1 VLAN里。補(bǔ)丁修復(fù)服務(wù)器接在200 VLAN里。另外準(zhǔn)備3臺(tái)計(jì)算機(jī)作為測試終端，1臺(tái)為符合所有安全策略的計(jì)算機(jī)，1臺(tái)為符合部分策略計(jì)算機(jī)以及1臺(tái)不符合安全策略要求的計(jì)算機(jī)。符合安全策略的PC終端可以正常訪問內(nèi)部網(wǎng)絡(luò)，不符合安全策略和符合部分安全策略的計(jì)算機(jī)需要在隔離區(qū)修復(fù)完成后方可正常訪問內(nèi)部網(wǎng)絡(luò)。

通過SNAC測試的效果來看，準(zhǔn)入控制是實(shí)現(xiàn)完善的終端管理和安全的必要手段，準(zhǔn)入控制結(jié)合了主機(jī)完整性評(píng)估檢查，網(wǎng)絡(luò)訪問控制等先進(jìn)技術(shù)，只有滿足醫(yī)院最低安全策略的終端，才被允許接入到醫(yī)院網(wǎng)絡(luò)，同時(shí)能夠自動(dòng)修復(fù)存在缺陷的終端，最大限度地保證醫(yī)院內(nèi)網(wǎng)的安全。

圖1 醫(yī)院辦公網(wǎng)終端準(zhǔn)入測試環(huán)境結(jié)構(gòu)圖

2.2.3 準(zhǔn)入控制解決方案的對比

準(zhǔn)入控制的解決方案目前市面上比較多，通過我們的測試了對Symantec的解決方案和其他解決方案（cisco、H3C）做了一些詳細(xì)的對比（表1）。

通過對準(zhǔn)入控制解決方案功能實(shí)際測試的對比，Symantec的解決方案更貼合我院的實(shí)際需求。該方案可以更好地結(jié)合SEP終端安全管理解決方案為我院的辦公網(wǎng)安全機(jī)制提供保障。

3 結(jié)論

通過SEP和SNAC的多層安全防護(hù)功能，將應(yīng)用程序

管理、設(shè)備控制和準(zhǔn)入控制功能的完美結(jié)合，南京軍區(qū)南京總醫(yī)院實(shí)現(xiàn)了對醫(yī)院辦公網(wǎng)PC終端的有效防護(hù)及管理。

網(wǎng)絡(luò)管理人員根據(jù)醫(yī)院的應(yīng)用系統(tǒng)以及管理制度，結(jié)合SEP和SNAC的準(zhǔn)入策略，不僅提高了對PC終端的安全防護(hù)性能，而且集成應(yīng)用程序管理和設(shè)備控制功能。通過對終端的硬件設(shè)備（U盤）和應(yīng)用程序進(jìn)行控制，有效提高了對終端的管理，阻止了惡意代碼通過USB存儲(chǔ)設(shè)備傳播；禁止了不允許的程序在終端運(yùn)行，有效控制并降低了網(wǎng)絡(luò)中非業(yè)務(wù)數(shù)據(jù)的流量。準(zhǔn)入控制體系的建設(shè)可有效地確保接入辦公網(wǎng)的PC機(jī)器安全策略的遵從級(jí)別，提高醫(yī)院辦公網(wǎng)計(jì)算機(jī)系統(tǒng)的運(yùn)營效率，使醫(yī)院的整體競爭力得到提升。

[1] 孫陽波.“終端安全系列”談之一:準(zhǔn)入控制保障“內(nèi)網(wǎng)合規(guī)”[J].信息安全與通信保密,2008,33(9):29-31.

[2] 劉敏.全面系統(tǒng)化的終端準(zhǔn)入控制[J].網(wǎng)管員世界,2011,5(3): 15-17.

[3] 夏勇,陳敏亞,沈志強(qiáng).醫(yī)院計(jì)算機(jī)終端的安全管理和實(shí)現(xiàn)[J].中國數(shù)字醫(yī)學(xué),2010,3(5):113-116.

[4] 馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案[J].中國醫(yī)療設(shè)備, 2011,26(11):30-32.

[5] 周超,周城,丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2011,20(1):89-94.

[6] 韓榮珍.深入剖析802.1x協(xié)議[J].計(jì)算機(jī)安全,2008,(11):60-61.

[7] 程杰.虛擬局域網(wǎng)技術(shù)與應(yīng)用[J].電腦知識(shí)與技術(shù),2009,(9): 2322-2323.

Research of Hospital Network Terminal Access Control Solutions

YU Jing-jie, QI Shi-tao
Information Department, Nanjing General Hospital of Nanjing Military Command, Nanjing Jiangsu 210002, China

TP393.08

A

10.3969/j.issn.1674-1633.2012.06.015

1674-1633(2012)06-0042-03

2011-11-5

作者郵箱：maxikun@162.com

Abstract:Along with the increasingly urgent management needs of network terminals in hospitals, and large scale deployment of terminal management system, terminal access control has become one of the standard functions of terminal management. This paper mainly introduces some simple research for hospital network terminal access control system construction.

Key words:hospital network; terminal management; access control; system construction