准入系统在医院网络安全和终端管理中的应用研究

陈银评，李峰林

摘要：针对医院网络规模和终端数量不断增长，信息中心管理工作日趋复杂和困难的问题，结合准入系统在该院的具体实施情况，阐述该系统在阻断非授权设备侵入内网方面的作用，有效地保障医院网络系统的安全。同时通过制定软件、硬件的黑白名单目录，对网络中已授权入网的终端设备进行定期监测，对不符合要求的设备进行隔离处理，从而达到终端管理的目的。系统的查询与统计功能优化了设备的查找、定位和分析工作，提高了系统管理员对全网资源的管理效率。

关键词：准入系统；网络安全；终端管理

中图分类号：TP311      文献标识码：A

文章编号：1009-3044（2022）35-0076-02

1 背景

随着医院信息化的发展，医院网络规模变得越来越庞大和复杂，如何保障医院网络安全稳定运行是医院信息中心必须要成功解决的课题。一般情况下，我们会把网络保护的重点放在来自外部的攻击上，如在内外网边缘部署防火墙、网闸等设备，但很多来自内部的攻击往往更加隐秘，更容易被忽视。在医疗机构中存在大量分散、无人看管的终端设备，如自助机、呼叫器、医疗信息动态显示屏等，这些设备往往会成为别有用心的人侵入内网的突破口，而准入系统在防止这方面的攻击上有很好的应用场景和保护作用。

2 系统部署方式

系统采用核心交换机旁路接入同时加策略路由的方式部署，拓扑图如图1所示。

该部署方式的优点是对原有网络架构的改动量较少，系统发生故障时可实现软剥离，恢复速度快。我们通过在核心交换机上制定的策略路由，将需管理VLAN的数据包引入到准入控制设备，对具有合法身份标识符的数据包，准入设备将给予放行；对来自非授权设备的数据包，准入系统将其引入一个单独设置的隔离区，该隔离区的数据包无法进入医院内部网络。当终端设备访问隔离区时，部署在隔离区的探测器会将该终端定向到准入控件安装界面，并引导用户填写所属科室、位置、使用人及联系电话等信息[1]，系统管理员从后台管理审核界面中接收到注册申请信息后，通过对申请信息真实行进行核对，并进行批准或拒绝操作，如图2所示。

3 系统功能的制定与管理

3.1 网络身份识别

该院网络地址分配方式采用静态IP地址设置，全网IP地址由信息中心统一管理和下发，按照楼宇/楼层/用户角色的原则进行VLAN规划。准入系统通过将IP地址与终端的MAC、终端硬盘序列号、终端所连接的交换机端口这三个选项进行绑定，可全部绑定，也可选其中一个或两个。对于一些位置更换比较频繁终端（如可移动超声设备），可不绑定交换机端口，只绑定IP地址和MAC以及硬盘序列号。系统通过将IP地址与所选绑定项目生成一串身份标识符，作为准入设备通行凭证，对不满足身份识别的终端进行隔离和阻断，杜绝设备冒充，防止侵入和恶意攻击[2]。对于主板或硬盘故障需要更换的终端，在更换完新硬件后需重新进行身份标识采集，并由系统管理员进行审核与更新。

3.2 黑白名单的制定

信息中心通过成立网络安全小组，制定针对医院终端的软硬件黑白名单制度。“白名单”的内容为入网必须满足的软件和硬件需求，如终端网卡必须是千兆、必须安装指定的杀毒软件且病毒库最后一次更新必须小于15天、WSUS更新必须配置等，如图3所示。

“黑名单”内容包含终端不可安装的软硬件，如有存储空间的U盘、Wi-Fi发射或接收设备、网络代理软件等。对上述黑白名单内容的检测除了在设备入网审核时执行，在终端每次重启时也必须执行，在日常网络使用中准入系统也会定期定时进行扫描检测，防止终端在入网成功后再进行违规的安装操作。对发现的已入网的不合格终端，系统能及时进行断网操作，并发布报警信息列表给系统管理员，只有管理员再进行终端安全检查，对相关的报警项确认无异常后才可重新对设备进行认证通过，从而达到了终端管理目的。

3.3 软件与系统补丁分发管理

在医院信息系统运维过程中，由于业务原因经常需要对全院终端统一安装某一软件或系统插件，这可以在准入系统的软件分发管理功能中实现。首先将需安装软件或插件的安装包放在指定的分发目录下，配置运行参数、静默安装选项，选择要分发的终端对象范围，设置立即执行或计划任务，最后设置执行失败后的处理方式，即可完成一个完整的分发流程。操作系统的补丁更新也可采用同样的方式实现，管理员通过定期将最新的系统补丁包下载到分发目录中，并根据优先级进行推送，对于关键的系统补丁，可以在执行分发后加入检查“白名单”中，对没及时更新的终端进行断网处理，并进行相应的人工干预。

3.4 查询与统计管理

准入系统的查询功能在设备定位和IP地址池的可视化管理中，对管理员有很好的辅助作用。在快速查询中，系统设置多种查询条件，包括IP地址、机器名、MAC地址和使用者等，可以快速找出网络中的某一台设备，查询出该设备的所有信息[3]。在IP地址池的可视化管理界面中，系统管理员可以直观地看出某个VLAN的IP地址使用情况：哪些地址已被使用，哪些地址空闲，已使用这些地址的设备是在线状态或是离线状态，如图4所示。

在统计功能模块中，可以按楼宇、入网时间、操作系统类型等方式进行分类汇总，生成表格或柱状图进行结果呈现，如图5所示。

操作系统类型的统计结果可与上文3.3章节内容中的系统补丁与软件分发相结合，使不同的系统补丁和应用软件的分发对象更加准确，提高分发的执行效率，减少不必要的网络流量。

4 系统调试与实施

系统上线的第一步是进行全网例外调试，将全网使用终端网段添加到准入控制系统例外网段，然后启用策略路由[4]。第二步是按楼层分步上线，由于该院VLAN划分是根据楼栋和楼层进行规划，每一个楼层对应一个VLAN，按楼层实施上线可以更有序地执行分步上线计划。每一个楼层实施前需对楼层内的所有内网终端进行入网前的合格性检查，主要针对Windows操作系统的信息设备或医疗设備的防毒软件安装情况、黑白名单中的软硬件是否符合要求；对于其他操作系统的设备或终端则通过系统的设备发现和收集功能，先进行相应的接入交换机端口登记工作[5]。第三步是将楼层所对应的VLAN移出例外网段，启用该网段的准入控制，注册并认证所有终端设备，观察该楼层的实施效果，确认没问题后继续推进其他楼层的部署，直至全网上线。

5 总结

通过准入系统的实施与应用，医院内网的安全等级得到明显的提升，局域网中的高风险因素和潜在的安全隐患得到有效的排除。通过制定相应的入网行为规范，对终端的软硬件安装进行约束，达到了对终端的管理作用。系统的查询和统计功能提高了信息中心的运维效率，使医院的IT运维工作更加规范化和精细化。

参考文献：

[1] 陆婷娟，肖征，晏亚，等.医院网络安全实行终端准入管理的探析[J].中国数字医学，2021，16（2）：113-116.

[2] 潘愈嘉.构建医院网络准入系统的解决方案[J].中国数字医学，2012，7（8）：105-107.

[3] 任皓，吉中旗.医院终端登记及准入管理系统的研究与应用[J].中国数字医学，2020，15（10）：79-81.[

[4] 陈拥军，肖新文，陈泓伶，等. 基于旁路接入的医院终端准入控制系统研究[J].中国数字医学，2017， 12（9）： 68-70.

[5] 胡少峰，谢新鹏，文海荣.医院网络终端安全准入系统初探[J].网络安全技术与应用， 2021（1）：133-134.

【通联编辑：李雅琪】