马锡坤

南京军区南京总医院 信息科，江苏南京 210002

医院网络终端准入控制解决方案

马锡坤

南京军区南京总医院 信息科，江苏南京 210002

本文介绍了医院网络终端准入控制的组网模型、网络接入认证和安全策略规划。通过实施终端准入控制，对用户的网络访问行为进行有效地控制，规范用户的网络使用行为，使得非法用户无法进入医院网络。强制检查用户终端的安全，强制实施网络接入用户的安全策略，阻止来自医院内部的安全威胁，保障了医院网络的安全。

“军字一号”；医院网络安全；终端准入控制；接入认证；安全策略服务器

0 前言

随着信息化的发展，当前医院的网络越来越复杂、越来越重要，如果不安全的用户终端接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的失控[1]。终端准入控制从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力[2]。为保证用户终端的安全、阻止威胁入侵网络，对全院登陆网络的用户实施终端准入控制，对全网采取接入认证，对用户的网络访问行为进行有效地控制，使得非法用户无法进入医院网络，杜绝各种可能导致整网不安全的行为，如非法使用外置存储、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案，对全院用户上网行为进行了有效地监控，为网络管理人员提供了有效、易用的管理工具和手段。

1 准入组网模型

H3C终端准入控制（End user Admission Domination，EAD）安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护[3]。H3C EAD组网模型（图1），包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。

安全客户端是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。安全联动设备是指网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在网络接入层和汇聚层。安全策略服务器和安全联动设备负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。第三方服务器是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证、但安全认证失败时，将被隔离到隔离区，此时，用户仅能访问隔离区中的服务器，需通过第三方服务器进行自身安全修复，直到满足安全策略要求为止。

图1 H3C EAD组网模型

安全策略服务器是EAD系统的核心，如果安全策略服务器出现宕机将对终端用户接入网络产生影响。为了提高EAD系统的高可用性和容灾性，我们采用双机冷备方案。当主服务器出现故障时，交换机与主服务器之间通讯中断，发出的认证请求在一定时间内未得到响应，经过缺省的重试数次后，交换机自动将认证请求发往备服务器，同时将主服务器状态置为“封锁”。等待一定的时间间隔后，再次尝试将认证请求发往主服务器，若通讯恢复则立即将主服务器状态置为“激活”，从服务器状态不变。为了保证主服务器和备服务器上保存的账户信息同步，EAD系统提供了数据库自动同步功能，每间隔24h主服务器和备服务器会进行1次数据库同步，若有需要，也可手动立即执行数据库同步。

2 网络接入认证

EAD解决方案提供完善的接入控制，可以支持有线、无线各种接入方式，支持包括HUB在内的各种复杂网络、异构网络环境下的部署，保证从任何地点、任何方式下的接入安全。除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN（虚拟局域网）、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。

对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过用户名和密码来确定用户是否合法，身份认证通过后的用户进行终端的安全认证。根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制[4-5]。通过安全认证后，隔离状态被解除，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。如果安全认证未通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。EAD解决方案对用户网络准入的整体认证过程，见图2。

医院网络分为线接入和无线接入两部分。根据EAD的部署效果，有线部分采用802.1x认证，无线部分采用portal认证。有线接入部分，认证全部终结在楼层的接入交换机上，在接入交换机上进行安全控制。对需要开启认证的交换机，在安全策略服务器上添加接入设备，根据从交换机端口接入的用户信息逐个配置交换机开启认证。无线部分的认证全部终结在无线交换机上。对于无线交换机，直接开启部分网段用户portal接入认证即可。网络接入认证时自适应绑定终端的MAC地址。

图2 EAD解决方案对用户网络准入的整体认证过程

3 安全策略规划

EAD对终端用户的安全策略进行配置，安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置（强制病毒客户端升级、强制打补丁），确保全网安全策略的统一。同时，通过客户端管理代理与安全客户端相配合，记录用户的安全日志，并提供查询及监控功能，为网络管理员提供网络安全状态的详细信息。通过这种防病毒软件、安全客户端的整合，EAD安全产品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁，避免了来自网络内部的入侵。

安全检查基本策略如下：合法用户才能登录，如802.1x认证端口用户未认证不能访问任何地址；Portal认证用户认证前只能访问DHCP服务器和文件服务器等有限资源。用户必须安装防病毒客户端软件，防病毒客户端软件的杀毒引擎版本、病毒库版本必须符合要求。对安全策略模式进行如下规划。

3.1 隔离模式

对于一些关系比较重大的安全漏洞或补丁，如Windows服务器的致命安全补丁，需要进行比较严厉地控制。具体来说，就是一旦用户终端安全状态不合格，就限制其网络访问区域为隔离区，再进行修复操作，满足企业终端安全策略要求后，才能重新发起认证，正常接入网络。对有线接入终端，安全检查不合格时，设置隔离模式，只能访问隔离区的资源。

3.2 警告模式

某些应用环境下，不需要根据用户终端的安全状态严格控制用户终端的访问权限，可以采用警告模式来处理不合格的安全状态，如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下，安全客户端检查用户终端的安全状态信息，并将不合格项以弹出窗口的形式提供给终端用户，同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。

3.3 监控模式

监控模式同警告模式的实现流程基本相同，区别在于在监控模式下，安全客户端不会弹出窗口向用户提示终端的不合格项。但网络管理员可在EAD安全策略服务器的管理界面中对用户终端安全状态进行实时监控，了解用户终端的安全信息。一些相对普通的安全问题，如提示性的补丁安装，可以在不影响终端用户工作的情况下，由管理员进行定期检查并通告。同时，对于重要的网络用户，如院领导、部门领导，管理员对其网络访问的管理也可应用监控模式。

4 结束语

我院“军字一号”网是全院的主要业务运行网络，是二、三层混合架构，拥有各类网络交换机110台，展开网络终端1600余个，对网络运行使用制定了相关管理规章制度，并对网络开展季度巡检[6]，但并未消除用户的终端计算机不及时升级系统补丁和病毒库的现象，并未完全控制私设代理服务器、私自访问外部网络、滥用禁用软件等行为。实施终端准入控制后，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时，强制实施网络接入用户的安全策略，阻止了来自医院内部的安全威胁。在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为，保障了医院网络的安全[7-8]。

[1] 巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010,16(6):26-27.

[2] 周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011, 20(1):89-94.

[3] 支林仙,朱宇阳.端点准入防御(EAD)解决方案简析[J].福建电脑,2007,(4):74.

[4] 周祥峰.基于802.1X协议的网络准入控制技术在电力企业的推广应用[J].现代计算机,2010,(8):101-104.

[5] 唐晓雷,余镇危,刘知一,等.准入控制研究综述[J].计算机工程与应用,2005,(5):129-131.

[6] 马锡坤,杨国斌,袁波.构筑信息网络基础平台 保障人财物科学管理[J].中国数字医学,2010,5(8):20-22.

[7] 马锡坤,徐旭东,张曙光.我院“军字一号”网络使用的科学管理[J].中国医疗设备,2008,23(11):70-72.

[8] 李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化,2011,(2):138-141.

Analysis of the Solution to the Admission Control in Network Terminal in Hospital

MA Xi-kun
Information Department, Nanjing General Hospital of Nanjing Military Command,Nanjing Jiangsu 210002, China

The system of the admission control in network terminal including network model, authentication of network access and security strategy planning will be introduced in this article. The network access of users can be controlled by the system which would regulate the behavior of users and deny the access of invalid users. The security of user terminal will also be checked compulsively by the system which implements the security strategy in user terminal. The dangers from the hospital can be prevented by the system, which insures the security of the hospital.

No.1 military project; hospital network security; admission control in terminal; access authentication; security strategy server

TP393.08

A

10.3969/j.issn.1674-1633.2011.11.009

1674-1633(2011)11-0030-03

2011-07-05

本文作者：马锡坤，高级工程师。

作者邮箱：maxikun@163.com