醫院內網終端準入控制與測試研究

于京杰，戚仕濤

南京軍區南京總醫院 信息科，江蘇南京 210002

醫院內網終端準入控制與測試研究

于京杰，戚仕濤

南京軍區南京總醫院 信息科，江蘇南京 210002

隨著醫院內網終端管理需求的日益迫切，終端管理類系統的大規模部署，終端準入控制已經逐漸成為終端管理的標準功能之一。本文主要針對醫院內網終端準入控制的目標、體系結構建設、測試環境及測試結果比較作了詳細介紹。

醫院內網；終端管理；準入控制；網絡安全

1 醫院內網準入控制狀況

隨著網絡應用的日趨復雜，醫院PC終端已不再是傳統意義上我們所理解的“終端”，它不僅是內網中網線所連接的PC機，更是網絡中大部分事物的起點和源頭——是用戶登錄并訪問網絡的起點、是應用系統訪問和數據產生的起點；更是病毒攻擊的源頭，從內部發起的惡意攻擊的源頭和內部保密數據盜用或失竊的源頭。因此，也只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭，遏制由內網發起的攻擊和破壞。

在內網安全管理中，準入控制是所有終端管理功能實現的基礎所在，采用準入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態，將不安全的電腦進行隔離、修復。準入控制技術與傳統的網絡安全技術（防火墻與防病毒技術）結合,將被動防御變為主動防御，能夠有效促進內網合規建設，減少網絡事故[1]。

2 準入控制體系建設

2.1 終端準入控制的目標

終端準入控制的目標可以比作現實生活中的安全檢查，檢查本身并不是目標，真正的目標是通過檢查確保進入的是安全目標，不安全的是不允許進入的。我們把終端準入控制的目標細分成2個子目標。

2.1.1 自動修復、阻止違規接入

終端準入控制的首要目標是檢查終端是否符合準入安全策略的要求，符合則允許接入；不符合則阻止其接入。同時對于確實因為工作需要接入的終端，阻止其接入只是一種手段，最終的目標是通過自動修復使其符合策略要求，能夠接入。

2.1.2 定期檢查、確保持續遵從

對于已經通過檢查接入內部網絡的終端，要進行定期檢查，確保其持續遵從。一旦檢查未通過，則同樣執行自動修復，直到符合策略要求為止[2]。

2.2 我院準入控制體系建設狀況

南京軍區南京總醫院作為南京軍區的大型醫療保障機構，現有PC終端1600多臺，且節點數量還在不斷增加。PC終端的規格型號不同，分布廣泛，給我院信息管理中心帶來很大挑戰。我院辦公網的內網安全更為重要，為了控制非法外來終端（私自接入內網）和內網PC終端的安全，準入控制體系建設必須加快提升至一個新的高度。

2.2.1 終端管理和準入控制解決方案

為了解決我院辦公網的一系列安全和管理問題，提高網絡性能和客戶端工作效率，對辦公網PC終端進行控制、優化管理和整合。我院采用了賽門鐵克公司（Symantec）的終端安全管理軟件（Symantec Endpoint Protection，SEP）和準入控制系統（Symantec Network Access Control，SNAC）相結合的解決方案，加以正確的策略和科學規范的管理，大大減輕了信息管理中心人員維護的工作量，也使管理更加高效和便捷，同時對辦公網絡PC終端的接入安全起到有效的保護。

SEP由Symantec AntiVirus與高級威脅防御功能相結合，可以為醫院的筆記本、臺式機和服務器提供無與倫比的惡意軟件防護能力。它甚至可以防御最復雜的攻擊，這些攻擊能夠躲避傳統的安全措施，如rootkit、零日攻擊和不斷變化的間諜軟件。SEP還提供了先進的威脅防御能力，能夠保護端點免遭目標性攻擊以及之前沒有發現的未知攻擊侵擾，它包括即刻可用的主動防護技術以及管理控制功能。主動防護技術能夠自動分析應用程序行為和網絡通信，以檢測并阻止可疑活動；管理控制功能使管理人員能夠拒絕高風險的特定設備和應用程序活動，甚至可以根據用戶位置阻止特定操作[3]。

賽門鐵克公司提出的單個代理和單個管理控制平臺的解決方案尤為先進，它可以在一個代理上提供防病毒、反間諜軟件、桌面防火墻、lPS、設備控制和網絡訪問控制（SNAC），通過單個管理控制臺即可進行全面管理。

與SEP無縫集成的SNAC是全面的端到端網絡訪問控制解決方案，通過與現有網絡基礎架構相集成，使醫院能夠安全有效地控制對網絡的訪問。不管終端以何種方式與網絡相連，SNAC都能夠發現并評估端點遵從狀態、設置適當的網絡訪問權限、根據需要提供補救功能，并持續監視端點以了解遵從狀態是否發生了變化。從而可以營造這樣的網絡環境：醫院可以在此環境中大大減少安全事故，同時提高醫院IT安全策略的遵從級別。

SNAC使醫院可以按照目標，經濟有效地部署和管理網絡訪問控制，同時對端點和用戶進行授權。在當今的計算環境中，醫院和網絡管理員面臨著嚴峻的挑戰，即為不斷擴大的用戶群提供訪問醫院資源的權限。其中，包括員工、訪客和其他臨時工作人員。隨著訪問醫院系統的端點數量和類型激增，醫院必須能夠在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源之后，要對端點進行持續驗證。SNAC可以確保在允許端點連接到醫院的局域網（LAN）、廣域網（WAN）、無線局域網（WLAN）或虛擬專用網（VPN）之前遵從lT策略。

2.2.2 準入控制解決方案實際測試應用

針對我院的實際情況和要求，SNAC準入控制解決方案在前期的測試結果令我們滿意?；?02.1X協議的認證，與接入層交換機進行聯動，對試圖通過交換機接入內部網絡的PC終端進行認證，當認證成功時才會轉發該終端的數據包。關于802.1X認證的技術原理已有相對多的資料，這里不再詳述。802.1X認證的方式相對而言控制的效果更徹底。

以下是SNAC測試的大致情況：

（1）測試環境。1臺Symantec 準入控制系統服務器，1臺Symantec 隔離區補丁修復服務器，1臺SNAC準入控制設備LAN Enforce ，1臺支持802.1X認證協議的接入層交換機，3臺終端PC。

（2）操作系統平臺。服務器：Windows 2003 Server sp 2企業版終端PC：Windows xp sp3 。

（3）測試環境結構。拓撲圖，見圖1，在接入層的交換機里劃分2個VLAN，左邊網絡區域為內部辦公網絡1 VLAN，右邊為隔離修復200 VLAN。Symantec準入控制系統服務器與SNAC準入設備均接在1 VLAN里。補丁修復服務器接在200 VLAN里。另外準備3臺計算機作為測試終端，1臺為符合所有安全策略的計算機，1臺為符合部分策略計算機以及1臺不符合安全策略要求的計算機。符合安全策略的PC終端可以正常訪問內部網絡，不符合安全策略和符合部分安全策略的計算機需要在隔離區修復完成后方可正常訪問內部網絡。

通過SNAC測試的效果來看，準入控制是實現完善的終端管理和安全的必要手段，準入控制結合了主機完整性評估檢查，網絡訪問控制等先進技術，只有滿足醫院最低安全策略的終端，才被允許接入到醫院網絡，同時能夠自動修復存在缺陷的終端，最大限度地保證醫院內網的安全。

圖1 醫院辦公網終端準入測試環境結構圖

2.2.3 準入控制解決方案的對比

準入控制的解決方案目前市面上比較多，通過我們的測試了對Symantec的解決方案和其他解決方案（cisco、H3C）做了一些詳細的對比（表1）。

通過對準入控制解決方案功能實際測試的對比，Symantec的解決方案更貼合我院的實際需求。該方案可以更好地結合SEP終端安全管理解決方案為我院的辦公網安全機制提供保障。

3 結論

通過SEP和SNAC的多層安全防護功能，將應用程序

管理、設備控制和準入控制功能的完美結合，南京軍區南京總醫院實現了對醫院辦公網PC終端的有效防護及管理。

網絡管理人員根據醫院的應用系統以及管理制度，結合SEP和SNAC的準入策略，不僅提高了對PC終端的安全防護性能，而且集成應用程序管理和設備控制功能。通過對終端的硬件設備（U盤）和應用程序進行控制，有效提高了對終端的管理，阻止了惡意代碼通過USB存儲設備傳播；禁止了不允許的程序在終端運行，有效控制并降低了網絡中非業務數據的流量。準入控制體系的建設可有效地確保接入辦公網的PC機器安全策略的遵從級別，提高醫院辦公網計算機系統的運營效率，使醫院的整體競爭力得到提升。

[1] 孫陽波.“終端安全系列”談之一:準入控制保障“內網合規”[J].信息安全與通信保密,2008,33(9):29-31.

[2] 劉敏.全面系統化的終端準入控制[J].網管員世界,2011,5(3): 15-17.

[3] 夏勇,陳敏亞,沈志強.醫院計算機終端的安全管理和實現[J].中國數字醫學,2010,3(5):113-116.

[4] 馬錫坤.醫院網絡終端準入控制解決方案[J].中國醫療設備, 2011,26(11):30-32.

[5] 周超,周城,丁晨路.計算機網絡終端準入控制技術[J].計算機系統應用,2011,20(1):89-94.

[6] 韓榮珍.深入剖析802.1x協議[J].計算機安全,2008,(11):60-61.

[7] 程杰.虛擬局域網技術與應用[J].電腦知識與技術,2009,(9): 2322-2323.

Research of Hospital Network Terminal Access Control Solutions

YU Jing-jie, QI Shi-tao
Information Department, Nanjing General Hospital of Nanjing Military Command, Nanjing Jiangsu 210002, China

TP393.08

A

10.3969/j.issn.1674-1633.2012.06.015

1674-1633(2012)06-0042-03

2011-11-5

作者郵箱：maxikun@162.com

Abstract:Along with the increasingly urgent management needs of network terminals in hospitals, and large scale deployment of terminal management system, terminal access control has become one of the standard functions of terminal management. This paper mainly introduces some simple research for hospital network terminal access control system construction.

Key words:hospital network; terminal management; access control; system construction