医院网络终端安全准入系统探索

医院网络终端安全准入系统探索

摘要:在国家要求全面加强信息安全保障体系建设及落实信息安全等级保护的大背景下,网络安全日渐成为医院信息化建设的重要一环,医院网络接入层作为信息安全防护体系的前沿阵地更应受到重视。本文通过结合医院实际网络情况对网络准入系统的认证模式选型、部署方式、准入效果等进行探究,简述网络终端准入系统在南方医科大学南方医院增城分院(下文简称“本院”)的初步实践,对实施过程中遇到的问题进行讨论与经验总结。

关键词:医院网络安全;准入系统;Mac认证

1前言

网络终端安全准入,是通过对终端接入网络实施安全管控的防御技术,建立起终端从登记-准入-监控-下线的全周期防控流程。为防止潜在威胁入侵网络,对医院内网的接入层端口实施安全准入,是保证医院网络安全运行的前提。随着信息化建设的快速发展和互联网的普及应用,网络安全威胁逐渐升级,医疗机构作为治病救人、保障民生的特殊行业,历来都是网络攻击的首选目标之一。本院于2018年底开业,开业初期医院内网的接入层安全防护尚未完善,因为开放式的网络架构,大量的网络端口暴露在院内建筑的各个角落,脆弱的用户终端一旦轻易地接入网络,就等于给潜在的安全威胁敞开了大门,如何加强网络安全的前端防护,保障医院内部网络及数据的安全可靠[1],是院领导及科室领导关注的问题。

2准入管理前的内网状况

本院作为新建医院,1期建设完工并投入使用的主体建筑物主要包括:门(急)诊楼、住院楼、医技楼、传染病楼,各主体建筑内网由中心机房核心交换机直通万兆双路光纤至各楼层光纤配线架,配备千兆交换机约170台,经堆叠后汇总可管理的交换机为46台。院内内网接入设备种类多、各类设备数量约1400台,主要涉及诊室内网PC、叫号屏、诊间屏、分诊台报到机及自助打印机、药房自动配发药设备、各类专用医疗设备及智能化设备哑终端等。由于医院人员流动性较大,对于非本院工作人员擅自使用设备接入内网的情况于开业前期时有发生,网络安全隐患较突出;没有安全措施且遍布全院的接入点,当网络出现故障时定位故障难度较大,也曾出现过第三方公司驻院期间私建局域网后接入内网引发内网dhcp冲突的情况。

3准入模式的选型

该准入系统基于硬件平台实现,采用NAC(NetworkAdmissionControl)是一种“端到端”的安全结构,包括Portal认证、透明网关、策略路由与802.1X认证等。(1)Portal模式,基于B/S模型完成客户端和服务器的交互,需在接入层对终端通过VLAN实现访问网络权限的控制,接入的用户强制跳转至特定网页进行认证,通过Web页面验证准入。(2)透明网关模式,需将准入设备串联在内网核心位置,基于包过滤技术对网络中数据进行处理,该模式下终端可通过安装客户端准入,也可用Web完成准入。(3)策略路由模式,同样基于包过滤技术,需在核心交换机上将流量镜像配置至准入设备进行处理,符合条件的流量则正常转发,对不符合条件的流量操作丢弃或重定向,引导用户通过Web准入页面完成注册登录后接入内网。(4)802.1X模式,基于Client/Server的访问控制和认证协议802.1X,可以通过安装客户端后登录授权的账号密码准入,也可将交换机端口学习到的终端Mac地址管控准入。在准入系统的选型过程中,我们主要考虑系统的部署方式对业务网络的影响、各类终端的管控适用性、准入模式的可靠性及可操作性。在透明网关模式下,需串联在网络核心位置,鉴于系统上线期间需中断业务网络,且串联在网络中存在运维风险,一旦设备宕机将造成全网故障,故不考虑此模式;在802.1X模式、策略路由和Portal准入模式下,将旁路部署在核心网络中如图1所示,系统调试及上线对业务皆无影响,但因兼顾多类终端(部分终端无法安装客户端或使用Web准入)适用性,且在准入模式不可混合开启情况下,最终选定802.1X协议下Mac认证模式作为统一准入模式,该模式下连接到同一端口的每个设备都需要单独进行认证。

4802.1X—Mac模式下系统架构及功能

典型802.1X系统为的Client/Server结构,包括:客户端、设备端和认证服务器等实体[2],该准入系统基于硬件平台实现,部署802.1X—Mac模式主要涉及radius认证服务器端和接入交换机端的配置,本院接入层皆部署支持802.1X的三层可管理交换机,准入设备与交换机之间无NAT防火墙等一些疑似替换Mac的设备。准入系统提供的Web、telnet等后台管理界面,准入系统主要应用功能如下:(1)网络设备管理:认证管理后台添加相应交换机管理IP,并与交换机同步开启snmp网管协议,服务器通过snmp“读”“写”操作对交换机的配置、参数、端口状态等进行管控,并有设备实时可视化管理界面。(2)资产发现与管理:准入系统利用netdiscover工具,每隔1分钟在所管理的交换机下嗅探存活的主机,对于未准入终端可通过扫描来发现主机的接入位置及所在端口。符合准入条件的主机则设置可信标记、设备类型、型号、资产使用人及物理位置、绑定固定交换机(绑定后该终端只能在该交换机下成功进网)、设置为固定资产或临时资产如图2所示,系统后台对临时资产有一个计划任务,每天检查一次,如果注册的临时资产到期,会从系统上清除,并产生资产退出记录,该策略适用于临时进网的外部人员。(3)威胁告警与在线用户强制下线:系统支持对认证在线用户分类管理,当检测到终端接入异常、准入失败、异常下线等事件均会产生报警信息,定位至对应的接入设备及端口,系统支持将报警信息通过Mail方式及时发送给相关人员。当需强制下线某终端时,可依据终端Mac录入下线时间和下线原因后将其强制下线如图3所示。经测试,强制下线的生效时限,依据交换机的定时重认证命令Mac-authentimerreauthenticate-periodXXs刷新终端认证状态(默认120s,为避免对系统运行造成压力,建议重认证时间间隔不宜过短),一经发现下线命令,则立即阻断用户入网。如果将在线用户加入黑名单,将持续无法准入成功。(4)日志管理:日志管理模块具备资产解绑(解除认证)日志、管理员操作日志、终端认证日志等满足日常运维需要。(5)应急逃生机制:如遇到准入系统宕机等特殊情况,802.1X部署虽为trunk旁路接入,但因接入层已开启向服务器的请求认证,怕影响已认证在线的终端,所以需要在接入层设备增配应急逃生的指令。若交换机出现连续3次请求失败,每次超时5秒以上则视为开启逃生机制,按未连接准入设备模式运行网络,确保业务不间断。

5实施与管理

系统实施前期需对院内在用的内网终端进行入网前合规性检查,主要针对有window操作系统的信息设备或医疗设备安装防病毒软件及桌面管理软件,对于其他操作系统的设备或哑终端则登记相应的接入交换机,后期系统上线后统一使用“资产发现”批量准入,最重要的一步是院内各交换机需开启远程管理权限,关闭交换机统一配置模式(dot1x协议生效机制),经过以上配置后交换机需重启,故需选一个业务量较少的时段进统一远程操作,降低对业务网络的影响。接入层交换机部分配置命令如下:正常的准入流程应以“来宾”提出入网申请为起点如图4,利用准入Web后台与交换机联动配置;而准入不通过的效果则为终端无法获取内网IP,端口隔离掉认证失败后的流量。实施过程应注意的问题:由于802.1X-Mac认证模式涉及交换机配置,准入系统上线初期院内部分区域的终端网络曾出现丢包,现象为隔3分钟出现一次断线,每次丢包为2至5个,丢包过后正常访问网络。经过抓包测试与查询arp表等故障排查,发现接入层交换机回复了不属于自己的arp请求包(请求包上请求地址并不在接入层交换机上),联合交换机厂家工程师共同排查后,大致判断为接入层交换机在开启Mac认证后出现的异常bug,原因是同型号的交换机VRP系统存在新旧版本不一致所致,后将旧版本的交换机统一升级后解决了该故障。

6总结

准入系统在本院实施后,全院内网终端Mac地址皆登记在准入后台,按部门建立起终端管理树,约1400台各类信息终端的接入行为得到有效管理,非授权的终端则被禁止访问内网资源,从运维的层面有助于我们更直观、更快捷地监测网络端口及定位终端,缓解网络管理压力的同时,业务内网的各类故障报警明显减少,全体医护人员的安全意识也普遍提高。通过以上阐述,能够基本了解本次准入系统实施的参数设置与部署流程,通过建立网络接入的管理规范,有效地、全面地、精确地筑起医院网络安全的第一道关,提升本院接入层的安全防御能力,更让我们在网络安全运维流程的设计、建设、管理上取得了宝贵的经验[3]。

参考文献:

[1]郭扬帆,魏书山.医院网络安全建设指引[M].暨南大学出版社,2019:95.

[2]田宇.基于802.1X协议接入控制安全加固方案的设计与实现[D].北京:中国科学院大学,.2017:31-32.

[3]潘愈嘉.构建医院网络准入系统的解决方案[J].中国数字医学,2012,8(32):105-107.

作者:胡少峰 谢新鹏 文海荣 单位:南方医科大学南方医院增城分院