跳至主要内容

用于医疗保健的NAC: 保护医疗设备和患者数据

本指南为在医疗保健环境中部署网络访问控制(NAC)提供了全面的技术参考,涵盖了架构设计、认证机制、设备指纹识别以及针对医疗物联网、临床系统和访客访问的VLAN分段。它阐述了HIPAA、NHS DSP Toolkit、ISO 27001和GDPR的合规要求,并提供了具体的实施场景和厂商中立的较佳实践。对于医疗保健领域的IT主管和CTO而言,这是在不中断临床工作流程的情况下保护医疗设备和患者数据的操作蓝图。

📖 8 分钟阅读📝 1,980 🔧 2 应用实例3 练习题📚 10 关键定义

收听本指南

查看播客转录
欢迎回到Purple Enterprise IT简报。我是主持人,今天我们深入探讨任何一个管理医疗保健设施的IT总监或CTO都不得不面对的关键话题:网络访问控制,即NAC,特别聚焦于保护医疗设备和患者数据。如果你正在管理一个医院网络,你肯定知道边界已经消亡。你面对着MRI扫描仪、智能输液泵、员工BYOD设备以及成千上万台访客设备,它们都在争夺无线空口和交换机端口。今天,我们将解析如何在不破坏临床工作流程的前提下将其锁定。 我们先从背景说起。为什么NAC在当下的医疗保健中如此关键?这要归结于医疗物联网(IoMT)的爆发式增长。十年前,你最大的担忧是医生笔记本电脑感染病毒。今天,你面对的是无头设备——输液泵、病人监护仪——它们运行着老旧的无法安装防病毒代理的操作系统。如果其中任何一台被攻破,那不仅仅是数据泄露,而是患者安全问题。 从合规角度来看——美国的HIPAA、英国的NHS DSP Toolkit、欧洲的GDPR——如果你无法确切证明谁和什么在你的网络上,那你就是不合规的。毫无商量的余地。 那么,让我们进入技术深潜。我们究竟如何构建这一切? 一个现代的NAC架构依赖于三个核心支柱:身份(Identity)、态势(Posture)和分段(Segmentation)。 首先是身份。对于你的企业设备——员工笔记本电脑、工作站——你需要转向802.1X配合EAP-TLS。这意味着基于证书的认证。密码可能会被钓鱼攻击窃取,而机器证书具有密码学安全性。 但是那些医疗物联网设备呢?它们不支持802.1X。这时就要用到MAC Authentication Bypass,简称MAB。交换机会看到MAC地址并询问NAC服务器:'你认识这个设备吗?'但单靠MAB本身很脆弱——MAC地址可以被伪造。 这就引出了第二个支柱:态势和指纹识别。你的NAC系统需要像侦探一样工作。它不应该仅仅信任MAC地址。它需要检查DHCP指纹、HTTP User-Agent字符串和流量模式,然后说:'是的,这个MAC地址属于一台Philips IntelliVue监护仪,并且其行为也像一台监护仪。'如果那台监护仪突然开始扫描你的子网,NAC系统需要立即将其隔离。 这就引出了第三个支柱:分段。一旦设备被认证和指纹识别,它应该被放到哪里?你不能依赖一个平坦的网络。你需要动态VLAN分配。 当医生使用公司笔记本电脑登录时,NAC服务器向交换机推送一个策略,将其放入临床VLAN。当输液泵连接时,它将进入一个高度受限的物联网VLAN,该VLAN只能与特定的管理服务器通信。而当患者连接他们的iPad时?他们将直接进入访客VLAN,由一个强大的Captive Portal解决方案处理——比如Purple的Guest WiFi平台——与临床端完全隔离。 我们谈谈实施。如何在不导致ICU瘫痪的情况下推出这一切? NAC部署的黄金法则是:先监控,后执行。 你从监控模式开始。配置交换机将认证请求发送到NAC服务器,但指示NAC服务器放行所有流量。你让它运行数周。你收集数据。你为网络上的每台设备建立全面的指纹档案。你会发现影子IT。你会发现你之前不知道其存在的设备。 一旦你有了这个基线,你进入第二阶段:策略定义。你构建VLAN,你编写访问控制列表。 然后是第三阶段:执行。但这要循序渐进。你从低影响执行开始——阻断已知的恶意流量。然后你切换到封闭模式,按部门逐步推行。从行政办公室开始。理顺各种小问题。最后才到重症监护病房。 常见的陷阱有哪些?我们见到的最大的一个就是'无声物联网设备'。一些医疗设备为节省电源会进入休眠状态。当它们唤醒时,并不总是能正确地重新认证,然后交换机就会将其断开。你需要调整MAC地址老化计时器,并确保你的指纹引擎能够平稳处理这些瞬态连接。 另一个重要的考虑因素是你的故障模式。如果你的NAC服务器离线,会发生什么?在一般办公室环境中,你可能会选择故障关闭——直到服务器恢复之前,没人能接入网络。在医院,故障关闭的策略可能意味着一台影像设备无法将关键的扫描结果发送到急诊室。你通常需要为关键的临床VLAN设计故障开放或受限访问的降级方案,依靠强大的网络层ACLs在中断期间维持安全。 让我们来一场快速问答,基于我们从IT总监们那里收到的提问。 问题1:'我能不能所有都用WPA3-Enterprise?' 回答:不行。WPA3在无线安全方面很出色,但它解决不了有线网络的问题,而且许多老旧的医疗设备还不支持它。你需要一个覆盖有线、无线和VPN访问的整体NAC策略。 问题2:'访客WiFi如何融入其中?' 回答:访客WiFi是你场所内最危险的流量。你必须使用一个专用平台来处理Captive Portal、服务条款和带宽限制,确保这些流量与你临床网络完全隔离。Purple的平台在这方面非常出色,而且你从中获得的分析数据实际上可以帮助场馆运营了解访客流动情况。 总结:医疗保健领域的NAC不是可选项。它是零信任安全的基础。第一:对企业设备使用802.1X EAP-TLS。第二:对医疗物联网使用带深度指纹识别的MAB。第三:动态地微隔离你的网络。第四:首先以监控模式部署。绝不要急于执行。 这就是今天的简报。如需完整的技术剖析,包括架构图和针对特定供应商的配置指南,请查看我们网站上的完整参考指南。感谢收听,确保你的网络安全。

header_image.png

執行摘要

保護現代醫療網路的安全已不再僅僅是防禦邊界,而是要管理院區內爆炸性成長的聯網設備。從核磁共振造影(MRI)掃描儀、智慧輸液幫浦到病患平板電腦和訪客智慧型手機,龐大數量且多樣化的端點創造了前所未有的攻擊面。網路存取控制(NAC)是識別、驗證和授權每個連接到網路的設備所需的關鍵基礎設施,可確保醫療設備和病患資料的安全。

對於醫療機構的技術長(CTO)和 IT 總監而言,部署強大的 NAC 解決方案是符合 HIPAA、NHS DSP Toolkit 和 GDPR 規範,以及有效降低風險的必要條件。本指南針對醫療環境量身定制,深入探討 NAC 架構、實作策略和最佳實踐。我們將探討如何實現零信任網路存取、將臨床 IoT 設備與公共流量進行區隔,並利用 Guest WiFi 等解決方案安全地管理訪客存取,同時不影響核心臨床網路的安全。

技術深度剖析

醫療網路的挑戰

醫療網路具有獨特的複雜性。它們必須同時支援對運作時間和資料完整性有嚴格要求的臨床系統、大量執行舊版作業系統的醫療物聯網(IoMT)設備、員工的個人攜帶設備(BYOD),以及數千台未受管理的病患和訪客設備。傳統的邊界安全或靜態 VLAN 分配在這種環境中完全不敷使用。必須採用動態、以身分為導向的方法,在整個網路架構中實施最小權限存取。

問題的規模非常龐大。一間典型的 500 床醫院在任何給定時間可能擁有超過 10,000 台聯網設備。其中只有不到 30% 的設備能夠執行傳統的端點安全代理程式。其餘 70% 的設備(輸液幫浦、病患監視器、影像設備、智慧病床)必須透過網路層級的控制而非主機型控制來確保安全。這正是 NAC 旨在解決的問題。

核心 NAC 架構

在醫療保健環境中,生產級的 NAC 部署仰賴四個協同運作的核心組件。Supplicant 是連接裝置上的用戶端軟體或原生作業系統組件,負責發起驗證交換。對於缺乏 Supplicant 功能的無周邊 IoT 裝置,則使用 MAC 驗證繞過 (MAB) 作為備用方案。Authenticator 是網路存取裝置(交換器或無線存取點),負責攔截連線請求並充當守門人,將憑證轉發給驗證伺服器。Authentication Server(通常是基於 RADIUS 的原則引擎,例如 Cisco ISE、Aruba ClearPass 或 ForeScout)是系統的中央智慧核心;它負責驗證身分、評估狀態,並傳回帶有動態 VLAN 分配的授權決策。最後,Directory Store(通常是 Microsoft Active Directory 或 LDAP)提供使用者和裝置的身分記錄,供 RADIUS 伺服器驗證請求。

驗證機制

IEEE 802.1X 是基於連接埠之網路存取控制的黃金標準。它提供了一個框架,用於封裝 Supplicant 與驗證伺服器之間的 EAP(可延伸驗證協定)訊息。對於企業擁有的裝置,強烈建議使用 EAP-TLS(基於憑證的雙向驗證),而非 PEAP-MSCHAPv2(基於密碼)。EAP-TLS 完全消除了憑證遭竊取的管道——如果驗證需要由內部 PKI 簽署的有效機器憑證,那麼即使密碼外洩也無法取得網路存取權限。

MAC 驗證繞過 (MAB) 是針對無法支援 802.1X 裝置(這涵蓋了大多數醫療 IoT 設備)的務實解決方案。Authenticator 使用裝置的 MAC 位址作為其身分憑證。由於 MAC 位址可以被偽造,單靠 MAB 的防護力較弱,但若結合深入的裝置剖析與行為分析,它就會成為管理已知醫療裝置的強大控制措施。

Captive Portal 驗證是適用於訪客和病患存取的機制。實施完善的 Guest WiFi 解決方案可處理使用者註冊、接受服務條款以及頻寬管理,確保公共流量從裝置與存取點關聯的那一刻起,就與臨床網路完全隔離。

architecture_overview.png

裝置剖析與狀態評估

瞭解「誰」正在連線只是成功的一半;掌握他們使用「什麼」裝置連線也同樣至關重要。裝置剖析 (Device Profiling) 結合了被動與主動網路探測技術(DHCP 指紋、HTTP User-Agent 字串、SNMP 查詢、基於 Nmap 的主動掃描以及流量模式分析),用以分類網路上的每一個裝置。一個調校良好的剖析引擎,光是根據網路行為,就能區分出 Philips IntelliVue 病患監視器與 Baxter Sigma Spectrum 輸液幫浦,即使兩者都是透過 MAB 進行連線。

狀態評估 (Posture Assessment) 適用於受控的企業裝置。在授予臨床 VLAN 的存取權限之前,NAC 系統會查詢端點的合規性:作業系統是否已修補到要求的版本?防毒軟體特徵碼資料庫是否為最新?是否已啟用全磁碟加密?未通過狀態檢查的裝置會被動態分配到修復 VLAN,在該處可以接收更新,但無法存取臨床系統。

實作指南

在運作中的醫院環境中部署 NAC 需要縝密的規劃,以避免中斷關鍵的照護服務。分階段進行不僅是建議作法,更是強制要求的步驟。

第一階段:探索與剖析(監控模式)

首先將 NAC 解決方案部署在「監控模式 (Monitor Mode)」。設定交換器與存取點將驗證請求轉發至 NAC 伺服器,但指示伺服器允許所有存取,同時記錄每一次連線。執行此階段至少四週,以涵蓋所有輪班時段與裝置使用模式。此階段的產出是網路上每個裝置的完整且經過驗證的清冊,其中包括可能未出現在 CMDB 中的影子 IT (Shadow IT) 和舊型設備。利用這些數據來精煉裝置剖析規則,並識別出在強制執行期間需要特殊處理的任何裝置。

第二階段:原則定義與 VLAN 區隔

根據探索到的數據,定義對應到特定 VLAN 的細粒度存取原則。臨床 VLAN 應限制僅允許透過 802.1X EAP-TLS 驗證的授權人員裝置,以及透過 MAB 驗證且經過驗證剖析的已知醫療 IoT 裝置。IoT VLAN 應依裝置類別進一步細分(例如:輸液幫浦專用 VLAN、影像設備獨立 VLAN),並搭配嚴格的 ACL,僅允許與各裝置類別所需的特定管理伺服器進行通訊。訪客 VLAN 則將所有未經驗證的流量導向 Captive Portal,並利用整合了 WiFi Analytics 的平台來提供營運可見度,同時與內部網路保持完全隔離。

如需特定廠商的設定指引,請參閱我們關於 如何在 Cisco Meraki 中設定 VLAN 導向的 NAC 原則 的詳細教學。

第三階段:漸進式強制執行

從監控模式(Monitor Mode)分階段過渡到強制執行模式(Enforcement Mode)。首先從**低影響強制執行(Low-Impact Enforcement)開始:套用基本的 ACL 以阻擋已知的惡意流量模式,但允許大多數合法流量。利用此階段在影響臨床運作之前,識別並解決任何原則設定錯誤。接著過渡到關閉模式(Closed Mode)**強制執行,並逐個部門推廣——行政區域優先,臨床支援區域次之,重症監護病房最後。在每個階段,請維持快速復原程序,並確保臨床工程團隊隨時待命,以驗證醫療設備在強制執行後能正常運作。

compliance_framework.png

最佳實踐

強制執行憑證型驗證。 對於所有公司擁有的設備,使用由內部 PKI 核發之機器憑證的 EAP-TLS 應是唯一接受的驗證方法。密碼是安全隱患;憑證則否。

微細分(Micro-Segment)醫療 IoT。 請勿將所有醫療設備歸入單一的 IoT VLAN。按設備類別進行細分並套用零信任 ACL。輸液幫浦應該只能存取其特定的管理伺服器和 EMR 系統——其他一概不許。設備類別之間的橫向移動應在網路層進行阻擋。

實施持續行為監控。 NAC 並非設定後即可置之不理的控制措施。將您的 NAC 原則引擎與 SIEM 或網路偵測與回應(NDR)平台整合。如果已建立設定檔的 IoT 設備開始表現出異常行為——例如非預期的連接埠掃描、異常的外網連線——NAC 系統應動態隔離該設備,而無需等待人工介入。

最佳化您的無線基礎架構。 確保您的存取點(AP)部署能為每個臨床區域的設備密度提供充足的覆蓋範圍和容量。瞭解不同無線頻段的影響至關重要——我們的指南 Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 涵蓋了混合 IoT 和臨床環境中 2.4 GHz、5 GHz 和 6 GHz 之間的實際權衡。

將訪客存取整合為一等安全控制。 訪客 WiFi 並非可有可無——它是您網路上風險最高的流量類型之一。專用的 Guest WiFi 平台可確保患者和訪客的設備與臨床網路隔離、進行驗證並獨立管理。產生的 WiFi Analytics 數據還能支援患者流量和設施管理方面的營運改善。

疑難排解與風險緩釋

常見故障模式

靜默 IoT 設備 (Silent IoT Device) 是醫療保健 NAC 部署中最常見的運作問題。進入低功耗睡眠狀態的醫療設備會斷開其網路連線,並在喚醒時無法正確重新進行驗證。其結果是,該設備在 NAC 系統中顯示為離線,但實際上存在並試圖運作。緩解措施包括調整交換器上的 MAC 老化計時器,以匹配每個設備類別的預期睡眠週期,並設定 NAC 剖析引擎以識別返回的設備,而無需進行完整的重新驗證週期。

憑證過期 是一種系統性風險,如果未進行主動管理,可能會同時鎖定數百台員工設備。請使用 SCEP 或 EST 協定實施自動化憑證生命週期管理,並針對 60 天內過期的憑證設定警報。在設備群組之間交錯進行憑證更新週期,以避免同時發生大規模過期。

RADIUS 伺服器設定錯誤 — 網路存取設備上不正確的 IP 位址、不匹配的共用金鑰或設定錯誤的 EAP 方法 — 會導致無聲的驗證失敗,若沒有適當的記錄,這將難以診斷。使用集中式網路管理將標準化的 RADIUS 設定推送到所有交換器和存取點,並實施 RADIUS 記帳以提供所有驗證事件的稽核軌跡。

故障開啟 (Fail-Open) 與 故障關閉 (Fail-Closed) 的決策

這是醫療保健 NAC 部署中最重要的架構決策。故障關閉原則(如果無法連線到 NAC 伺服器則拒絕網路存取)提供了最強的安全防護,但在伺服器中斷期間存在隔離關鍵生命醫療設備的風險。故障開啟原則(如果伺服器故障則授予受限存取權限)可維持臨床連續性,但會產生安全控制力降低的空窗期。推薦的方法是分層故障原則:關鍵臨床 VLAN 故障開啟,並配備強大的網路級 ACL,而行政和訪客 VLAN 則故障關閉。在多個實體位置或可用區域中部署高可用性叢集中的 NAC 原則引擎,以盡量減少觸發此決策的頻率。

ROI 與商業影響

在醫療保健領域部署 NAC 的商業案例在多個維度上都非常引人注目。主要驅動因素是降低風險:如果將監管罰款、法律費用、補救成本和商譽受損等因素考慮在內,單次涉及受保護健康資訊 (PHI) 且需通報的資料外洩平均成本將超過 1,000 萬美元。NAC 透過確保只有獲得授權且合規的設備才能存取包含 PHI 的系統,直接降低了此類事件發生的機率和潛在的波及範圍。 營運效率是次要但顯著的效益。自動化裝置分析與上線流程消除了手動交換器連接埠設定,這在沒有 NAC 的環境中會消耗大量 IT 服務台時間。臨床工程團隊可獲得即時、精確的裝置清單,以支援生命週期管理、維護排程和採購規劃。

合規態勢得到直接提升。HIPAA 的存取控制標準 (45 CFR §164.312(a)(1))、NHS DSP Toolkit 的網路安全要求,以及 GDPR 第 32 條處理安全義務,皆要求對存取含有患者資料系統的人員與裝置進行可證明的控制。記錄完善的 NAC 部署可提供滿足這些義務所需的稽核證據。

最後,患者體驗受益於實施完善的訪客存取策略。為患者和訪客提供可靠、安全的 Guest WiFi 可提高滿意度評分,而底層的 WiFi Analytics 數據則支援病床管理、訪客流量和設施利用率等營運改善。

关键定义

Network Access Control (NAC)

一种安全框架,它会对允许哪些设备和用户连接到网络以及连接后他们可以访问哪些资源实施基于策略的控制。NAC结合了认证、设备指纹识别、姿态评估和动态策略执行。

IT团队将NAC视为一种产品类别(Cisco ISE、Aruba ClearPass、ForeScout)和一种架构方法。在医疗保健领域,NAC是在临床系统、医疗物联网和访客访问之间实施网络分段的主要机制。

IEEE 802.1X

一种基于端口的网络访问控制的IEEE标准,它为希望连接到LAN或WLAN的设备提供了认证框架。它定义了Supplicant(客户端)、Authenticator(交换机/AP)和Authentication Server(RADIUS)的角色,并在它们之间封装EAP消息。

802.1X是在NAC部署中用于企业自有设备的认证机制。IT团队在网络接入设备(交换机、AP)和端点设备(通过操作系统级Supplicant设置或组策略)上对其进行配置。

MAC Authentication Bypass (MAB)

一种为无法支持802.1X的设备使用的后备认证机制。网络接入设备使用连接设备的MAC地址作为其身份凭据,将其转发到RADIUS服务器进行授权。

MAB是医疗保健NAC部署中医疗物联网设备的主要认证方法。它必须与设备指纹识别结合使用才能提供有意义的安全性,因为MAC地址可以被伪造。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

一种基于证书的EAP方法,使用X.509数字证书在客户端和认证服务器之间提供相互认证。客户端和服务器都出示证书,消除了基于密码的凭据窃取途径。

EAP-TLS是医疗保健NAC部署中推荐用于企业设备的认证方法。它需要一个正常运行的内部PKI来颁发和管理机器证书。

VLAN Steering

根据NAC系统的认证结果和策略决策,将连接设备动态分配到特定VLAN。RADIUS服务器返回一个VLAN ID(或VLAN名称)作为Access-Accept响应的一部分,Authenticator将设备端口置于该VLAN中。

VLAN转向是NAC实施网络分段的机制。IT团队在认证服务器上配置RADIUS属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID),为每个设备类别指定目标VLAN。

Device Profiling

使用被动网络探测(DHCP指纹、HTTP User-Agent字符串、mDNS/Bonjour通告)和主动扫描技术(Nmap、SNMP查询)来识别连接设备的类型、制造商和操作系统的过程。

在医疗保健NAC部署中,设备指纹识别对于准确分类医疗物联网设备至关重要。如果没有指纹识别,通过MAB认证的设备将彼此无法区分,从而无法应用特定于设备类别的访问策略。

Posture Assessment

在授予网络访问权限之前,对连接设备的安全合规状态进行评估。姿态检查通常验证操作系统补丁级别、防病毒签名库更新状态、磁盘加密状态以及所需安全软件的存在情况。

姿态评估适用于医疗保健NAC部署中的受管企业设备(笔记本电脑、工作站)。未通过姿态检查的设备将被动态分配到一个修复VLAN,在那里它们可以接收更新,但不能访问临床系统。

Quarantine VLAN

一种受限网段,当设备未能通过认证或姿态评估时,将不合规或无法识别的设备分配到此。隔离VLAN通常仅提供对修复资源(补丁服务器、防病毒更新服务器)的访问,并阻止访问所有临床和企业系统。

IT团队使用隔离VLAN作为对违反NAC策略的执行机制。隔离VLAN中的设备实际上与网络其余部分隔离,同时仍能接收实现合规所需的更新。

IoMT (Internet of Medical Things)

通过网络通信以收集和传输患者数据的连接医疗设备和医疗保健应用的生态系统。IoMT包括输液泵、患者监护仪、成像设备、智能病床和可穿戴健康监测器。

IoMT设备是医疗保健NAC部署中数量最多、最具挑战性的设备类别。它们通常运行遗留操作系统,无法支持端点安全代理,需要专门的指纹识别和微隔离策略。

Zero-Trust Network Access (ZTNA)

一种消除网络架构中隐含信任的安全模型。在ZTNA下,默认情况下不信任任何设备或用户,无论其网络位置为何。每个访问请求都必须经过显式认证、授权和持续验证。

ZTNA是支撑现代NAC部署的架构理念。在医疗保健领域,ZTNA意味着即使是在临床VLAN上的设备也必须持续证明其身份和合规状态——仅凭网络位置并不能授予对敏感系统的访问权限。

应用实例

一家拥有350张床位的NHS信托机构正准备进行年度DSP Toolkit提交。IT主管发现网络目前没有设备认证——所有设备都连接到一个带有单个VLAN的平坦网络。大约有2,400台连接设备,其中估计800台是医疗物联网设备(输液泵、患者监护仪、呼吸机)。该信托机构需要在6个月内实现合规,同时不中断临床运营。他们应该从哪里开始?

这项工作从为期4周的监控模式部署开始。配置所有核心交换机和无线控制器,将802.1X和MAB请求转发到新部署的RADIUS策略引擎(Cisco ISE或Aruba ClearPass是此规模下的主要选择)。服务器设置为允许所有流量但记录一切。4周后,分析指纹识别数据,对所有2,400台设备进行分类。预计会发现大约800台医疗物联网设备(MAB候选)、600台企业工作站和笔记本电脑(802.1X候选)、400台员工BYOD设备以及600台患者/访客设备。在第5-8周,定义VLAN架构:临床VLAN(10.10.0.0/22)用于员工设备和EMR连接系统,物联网VLAN(10.20.0.0/22)用于医疗设备,并通过ACLs限制仅与特定管理服务器通信,访客VLAN(10.30.0.0/22)路由到Captive Portal。为面向患者的网络部署专用的Guest WiFi平台。在第9-16周,从行政管理区域开始渐进式执行。在第17-24周,将执行范围扩展到临床区域,在执行前与临床工程部门验证每个医疗设备类别。到第6个月,该信托机构拥有一个完全分段的网络,并具备文档化的访问控制,满足DSP Toolkit要求5(访问控制)的要求,并提供提交所需的审计证据。

考官评语: 这里的关键见解是监控模式阶段不可妥协。在没有完整设备清单的情况下急于在临床环境中实施执行,是医疗保健NAC部署失败最常见的原因。按物理区域(先行政,后临床)分阶段推出VLAN是正确的风险管理方法。将专门的Guest WiFi平台集成到面向患者的网络至关重要——试图通过同一NAC策略引擎管理访客访问,就像对待临床设备一样,会增加不必要的复杂性和风险。

一家私立医院集团正在扩展其网络,以支持一个新的肿瘤科病区,该病区配备了150台新的连接医疗设备,包括来自两家不同制造商的40台输液泵、60台患者监护仪和50台混合设备(智能病床、护士呼叫系统)。网络团队现有Cisco Meraki基础设施,没有NAC。CISO希望在8周后病区开放之前实施微隔离。部署策略是什么?

使用Cisco Meraki作为现有基础设施,部署利用Meraki内置的RADIUS集成和组策略功能。首先,部署一台RADIUS服务器(FreeRADIUS或Cisco ISE),并配置新病区的所有Meraki交换机和MR接入点使用它进行认证。为所有医疗设备配置MAB,使用Meraki的客户端指纹识别辅助设备分类。在Meraki仪表板中定义三个组策略:IoT-InfusionPumps(VLAN 210,ACL仅允许通往输液泵管理服务器10.10.5.20和EMR 10.10.1.10的流量)、IoT-PatientMonitors(VLAN 220,ACL允许通往监控服务器10.10.5.30和EMR的流量)和IoT-General(VLAN 230,为混合设备设置更宽松的ACL)。使用采购文档中提供的所有150台设备的MAC地址预先填充RADIUS服务器。在病区试开放的前两周以监控模式运行,验证所有设备是否正确指纹识别和分配。在第3周过渡到全面执行。有关Meraki特定的VLAN转向配置的详细信息,请参阅 如何在Cisco Meraki中配置NAC策略以实现VLAN Steering 指南。

考官评语: 此场景凸显了在设备到达现场之前,根据采购文档预先填充MAC地址数据库的重要性。等到设备物理连接后再发现其MAC地址,会给执行时间表增加不必要的延迟。为两家输液泵供应商使用特定于制造商的VLAN也值得注意——如果发现一家供应商的设备存在漏洞,影响范围将被限制在单个VLAN内,而不是整个物联网网段。

练习题

Q1. 一家地区医院拥有1,200台连接设备。在NAC监控模式部署期间,指纹识别引擎识别出340台设备具有未知指纹——它们不匹配任何已知的医疗设备指纹,也不是企业工作站。CISO希望在2周内转向执行。正确的行动方案是什么?按照CISO的时间表推进又有什么风险?

提示:考虑一下那340台未知设备可能是什么,如果它们保持未分类状态,在执行启动时会发生什么。

查看标准答案

正确的行动是延迟执行,直到对这340台未知设备进行调查和分类。当执行启动时,这些设备将被置于隔离VLAN中,其中可能包括对患者护理至关重要的临床设备。调查应包括:(1)将MAC地址OUI前缀与制造商数据库进行交叉引用,以确定可能的设备类型;(2)查看交换机端口位置,以实际识别设备;(3)联系临床工程部门,识别任何未在CMDB中的医疗设备;(4)查看DHCP日志中的主机名模式。只有在所有340台设备都经过分类并定义了适当的策略之后,才能继续执行。按照CISO的2周时间表推进的风险在于,如果未分类的医疗设备在重症监护场景中被隔离,可能会发生患者安全事件。

Q2. 一名IT架构师正在为新医院病区设计NAC故障模式策略。临床主管坚持认为医疗设备绝不能失去网络连接,即使NAC服务器离线也是如此。CISO则坚持对所有VLAN采用故障关闭模式。您如何解决这一冲突?需要哪些补偿控制?

提示:思考一下分层的故障策略,以及在中断期间,哪些网络层控制可以替代NAC策略执行。

查看标准答案

解决办法是采用分层的故障策略,以满足双方的要求。物联网VLAN和临床VLAN配置为故障开放(如果RADIUS服务器无法访问,则允许访问),而访客VLAN和行政管理VLAN配置为故障关闭。使故障开放策略在临床VLAN上可接受的补偿控制包括:(1)在VLAN网关应用严格的ACLs,无论NAC状态如何,都限制VLAN间流量;(2)NAC服务器高可用部署(跨两个数据中心的主动-主动集群),以尽量减少触发故障模式的可能性;(3)在临床VLAN上进行网络层IDS/IPS监控,以检测NAC中断期间的异常流量;(4)针对NAC中断场景制定成文的应急响应程序。这种方法满足了临床主管的可用性要求,同时为CISO提供了成文的补偿控制,以维持可接受的安全态势。

Q3. 一家医院的NAC部署已在全面执行模式下运行了3个月。安全团队收到警报,一台位于物联网VLAN(指纹识别为输液泵)的设备正试图向端口443的外部IP地址建立出站连接。该设备的MAC地址与预期的指纹一致。应立即采取什么措施?此事件表明NAC架构存在哪些问题?

提示:同时考虑即时的遏制措施和导致此流量得以尝试的架构差距(即使最终被阻止)。

查看标准答案

立即的应对措施是通过NAC策略引擎动态隔离该设备,将其从物联网VLAN中分离出来,等待调查。安全团队应从设备的交换机端口捕获数据包跟踪以分析流量内容,并通知临床工程部门实地检查设备,必要时使其离线。此事件表明存在两个架构问题:(1)物联网VLAN上的ACL未阻止来自输液泵的出站互联网流量——ACL应仅允许通往特定管理服务器IP和EMR的流量,并对所有其他目的地采用明确的全部拒绝规则;(2)行为监控集成工作正常(生成了警报),但ACL本应在流量尝试之前就将其阻止。修复措施是收紧物联网VLAN ACLs,实施默认拒绝的态势,仅允许每个设备类别明确需要的通信路径。