医院内网终端准入控制与测试研究

于京杰，戚仕涛

南京军区南京总医院 信息科，江苏南京 210002

医院内网终端准入控制与测试研究

于京杰，戚仕涛

南京军区南京总医院 信息科，江苏南京 210002

随着医院内网终端管理需求的日益迫切，终端管理类系统的大规模部署，终端准入控制已经逐渐成为终端管理的标准功能之一。本文主要针对医院内网终端准入控制的目标、体系结构建设、测试环境及测试结果比较作了详细介绍。

医院内网；终端管理；准入控制；网络安全

1 医院内网准入控制状况

随着网络应用的日趋复杂，医院PC终端已不再是传统意义上我们所理解的“终端”，它不仅是内网中网线所连接的PC机，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是应用系统访问和数据产生的起点；更是病毒攻击的源头，从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此，也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头，遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑进行隔离、修复。准入控制技术与传统的网络安全技术（防火墙与防病毒技术）结合,将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故[1]。

2 准入控制体系建设

2.1 终端准入控制的目标

终端准入控制的目标可以比作现实生活中的安全检查，检查本身并不是目标，真正的目标是通过检查确保进入的是安全目标，不安全的是不允许进入的。我们把终端准入控制的目标细分成2个子目标。

2.1.1 自动修复、阻止违规接入

终端准入控制的首要目标是检查终端是否符合准入安全策略的要求，符合则允许接入；不符合则阻止其接入。同时对于确实因为工作需要接入的终端，阻止其接入只是一种手段，最终的目标是通过自动修复使其符合策略要求，能够接入。

2.1.2 定期检查、确保持续遵从

对于已经通过检查接入内部网络的终端，要进行定期检查，确保其持续遵从。一旦检查未通过，则同样执行自动修复，直到符合策略要求为止[2]。

2.2 我院准入控制体系建设状况

南京军区南京总医院作为南京军区的大型医疗保障机构，现有PC终端1600多台，且节点数量还在不断增加。PC终端的规格型号不同，分布广泛，给我院信息管理中心带来很大挑战。我院办公网的内网安全更为重要，为了控制非法外来终端（私自接入内网）和内网PC终端的安全，准入控制体系建设必须加快提升至一个新的高度。

2.2.1 终端管理和准入控制解决方案

为了解决我院办公网的一系列安全和管理问题，提高网络性能和客户端工作效率，对办公网PC终端进行控制、优化管理和整合。我院采用了赛门铁克公司（Symantec）的终端安全管理软件（Symantec Endpoint Protection，SEP）和准入控制系统（Symantec Network Access Control，SNAC）相结合的解决方案，加以正确的策略和科学规范的管理，大大减轻了信息管理中心人员维护的工作量，也使管理更加高效和便捷，同时对办公网络PC终端的接入安全起到有效的保护。

SEP由Symantec AntiVirus与高级威胁防御功能相结合，可以为医院的笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如rootkit、零日攻击和不断变化的间谍软件。SEP还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰，它包括即刻可用的主动防护技术以及管理控制功能。主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动；管理控制功能使管理人员能够拒绝高风险的特定设备和应用程序活动，甚至可以根据用户位置阻止特定操作[3]。

赛门铁克公司提出的单个代理和单个管理控制平台的解决方案尤为先进，它可以在一个代理上提供防病毒、反间谍软件、桌面防火墙、lPS、设备控制和网络访问控制（SNAC），通过单个管理控制台即可进行全面管理。

与SEP无缝集成的SNAC是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使医院能够安全有效地控制对网络的访问。不管终端以何种方式与网络相连，SNAC都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：医院可以在此环境中大大减少安全事故，同时提高医院IT安全策略的遵从级别。

SNAC使医院可以按照目标，经济有效地部署和管理网络访问控制，同时对端点和用户进行授权。在当今的计算环境中，医院和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问医院资源的权限。其中，包括员工、访客和其他临时工作人员。随着访问医院系统的端点数量和类型激增，医院必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。SNAC可以确保在允许端点连接到医院的局域网（LAN）、广域网（WAN）、无线局域网（WLAN）或虚拟专用网（VPN）之前遵从lT策略。

2.2.2 准入控制解决方案实际测试应用

针对我院的实际情况和要求，SNAC准入控制解决方案在前期的测试结果令我们满意。基于802.1X协议的认证，与接入层交换机进行联动，对试图通过交换机接入内部网络的PC终端进行认证，当认证成功时才会转发该终端的数据包。关于802.1X认证的技术原理已有相对多的资料，这里不再详述。802.1X认证的方式相对而言控制的效果更彻底。

以下是SNAC测试的大致情况：

（1）测试环境。1台Symantec 准入控制系统服务器，1台Symantec 隔离区补丁修复服务器，1台SNAC准入控制设备LAN Enforce ，1台支持802.1X认证协议的接入层交换机，3台终端PC。

（2）操作系统平台。服务器：Windows 2003 Server sp 2企业版终端PC：Windows xp sp3 。

（3）测试环境结构。拓扑图，见图1，在接入层的交换机里划分2个VLAN，左边网络区域为内部办公网络1 VLAN，右边为隔离修复200 VLAN。Symantec准入控制系统服务器与SNAC准入设备均接在1 VLAN里。补丁修复服务器接在200 VLAN里。另外准备3台计算机作为测试终端，1台为符合所有安全策略的计算机，1台为符合部分策略计算机以及1台不符合安全策略要求的计算机。符合安全策略的PC终端可以正常访问内部网络，不符合安全策略和符合部分安全策略的计算机需要在隔离区修复完成后方可正常访问内部网络。

通过SNAC测试的效果来看，准入控制是实现完善的终端管理和安全的必要手段，准入控制结合了主机完整性评估检查，网络访问控制等先进技术，只有满足医院最低安全策略的终端，才被允许接入到医院网络，同时能够自动修复存在缺陷的终端，最大限度地保证医院内网的安全。

图1 医院办公网终端准入测试环境结构图

2.2.3 准入控制解决方案的对比

准入控制的解决方案目前市面上比较多，通过我们的测试了对Symantec的解决方案和其他解决方案（cisco、H3C）做了一些详细的对比（表1）。

通过对准入控制解决方案功能实际测试的对比，Symantec的解决方案更贴合我院的实际需求。该方案可以更好地结合SEP终端安全管理解决方案为我院的办公网安全机制提供保障。

3 结论

通过SEP和SNAC的多层安全防护功能，将应用程序

管理、设备控制和准入控制功能的完美结合，南京军区南京总医院实现了对医院办公网PC终端的有效防护及管理。

网络管理人员根据医院的应用系统以及管理制度，结合SEP和SNAC的准入策略，不仅提高了对PC终端的安全防护性能，而且集成应用程序管理和设备控制功能。通过对终端的硬件设备（U盘）和应用程序进行控制，有效提高了对终端的管理，阻止了恶意代码通过USB存储设备传播；禁止了不允许的程序在终端运行，有效控制并降低了网络中非业务数据的流量。准入控制体系的建设可有效地确保接入办公网的PC机器安全策略的遵从级别，提高医院办公网计算机系统的运营效率，使医院的整体竞争力得到提升。

[1] 孙阳波.“终端安全系列”谈之一:准入控制保障“内网合规”[J].信息安全与通信保密,2008,33(9):29-31.

[2] 刘敏.全面系统化的终端准入控制[J].网管员世界,2011,5(3): 15-17.

[3] 夏勇,陈敏亚,沈志强.医院计算机终端的安全管理和实现[J].中国数字医学,2010,3(5):113-116.

[4] 马锡坤.医院网络终端准入控制解决方案[J].中国医疗设备, 2011,26(11):30-32.

[5] 周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.

[6] 韩荣珍.深入剖析802.1x协议[J].计算机安全,2008,(11):60-61.

[7] 程杰.虚拟局域网技术与应用[J].电脑知识与技术,2009,(9): 2322-2323.

Research of Hospital Network Terminal Access Control Solutions

YU Jing-jie, QI Shi-tao
Information Department, Nanjing General Hospital of Nanjing Military Command, Nanjing Jiangsu 210002, China

TP393.08

A

10.3969/j.issn.1674-1633.2012.06.015

1674-1633(2012)06-0042-03

2011-11-5

作者邮箱：maxikun@162.com

Abstract:Along with the increasingly urgent management needs of network terminals in hospitals, and large scale deployment of terminal management system, terminal access control has become one of the standard functions of terminal management. This paper mainly introduces some simple research for hospital network terminal access control system construction.

Key words:hospital network; terminal management; access control; system construction