随着醫療網絡應用規模不斷擴大(dà),各種各樣的終端設備也在快速增加。飛對在很多大(dà)型醫院中(zhōng),終端規模數以千計。醫院在享受醫雨鐘療數字化帶來的便利的同時,也同時被大(dà)量終端雪民安全、管理和維護問題所困擾。如何在終端設備的不斷增加、醫護人員(yuán)報們使用水平參差不齊、安全大(dà)環境越來越嚴峻的情訊從況下(xià),有效地管理和利用醫院IT終端吧朋資(zī)産,降低運營風險保障網絡終端安全裡雪,成爲醫院終端管理的關鍵。
近年不斷爆發醫院終端安全事故,從醫院病毒、木馬的屢次大(dà)爆發導緻醫療會山系統崩潰,到2011年福建醫院黑客第一(y電時ī)案、溫州18家醫院的信息系統入侵,無不在警示着醫院在強化醫療技術解決群很能衆“外(wài)患”的同時,也要關注終端的“内患道有”問題。
綜合醫院終端管理的需求和問題來看,主要包括以下唱票(xià)幾個方面。
如何防止網絡非法接入?随着筆記本電(diàn)腦、智能手機街雜的普及,出現了醫生(shēng)、患者、其他訪客的終端随意接入醫廠得院内部網絡的情況,帶來了安全風險和管理隐患。需要規範和管理外(wài)來計會近算機的接入。
如何保證網絡訪問安全?目前醫院網絡架構正從“院外朋牆内”發展到“院牆外(wài)”,醫院自身信息化網去店絡建設,到醫療機構之間的信息共享、互聯互通都需要考慮。針對二網合吃業一(yī)後的訪問控制需要予以通盤考慮,以保障病人信息坐訊的私密性及信息的完整性,同時提供數據的便捷共享。
如何保證終端數據安全?即使通過物(wù)理手段控制終工少端隻能訪問醫院内部網絡,但随着外(wài)聯方式的多樣化(3G上網、M劇笑odem、ADSL、無線路由以及USB存儲設備等方式),内部數據很容河些易通過這些途徑洩漏。由于醫療數據涉及用戶隐私,所以要謹防數據件空外(wài)洩問題。
醫雲:“頭痛醫頭,腳痛醫腳,謬也”,合格的門窗醫者不會隻關注病況出現的局部點,往往通過“望、聞、問、切”等方式綜合觀察民山患者身體(tǐ)整體(tǐ)的宏觀體(tǐ)征和廠家表現,從而對症下(xià)藥。醫學的觀點同樣體(tǐ)現在子船醫療機構的信息安全系統中(zhōng),對于醫療機構内部終舞風端的管理,需要有整體(tǐ)性的宏觀概念。醫院之所分雜以出現無法有效控制終端的安全問題,源于内網的整體(tǐ)性保護不足,即體喝使部署了防病毒軟件和防火(huǒ)牆,但仍無法透明地監測到終端訪問網絡都理的身份合法性、終端自身的安全狀态及合規情況。文木
因此需要全局掌握接入醫療機構網絡的終端情況:有哪些終端接入了網絡?這些終端來家吧自哪裏?終端是否都安裝了殺毒軟件?操作系統是否是最新版本?是否存在終個見端私自上網等行爲等?這些都通過直觀的圖表展示出來,從而實現對工雨終端系統資(zī)源與合規的監控。通過對數動醫院終端系統和應用狀态的全面數據化和可視化,爲醫院對既定安全策略城草的調整和未來規劃決策提供支持。
針對上述需求,H3C EAD終端準入控制解決方案,爲時短醫院提供了一(yī)套系統、可視、易用的管理工廠船(gōng)具。它可以屏蔽不安全的設備和人員(yuán)接少年入網絡,規範終端用戶接入網絡的行爲,從而鏟除網絡威脅的源頭,避免事後處理的算行高額成本,同時幫助網絡管理者可視化地保護、管理和監控間市網絡終端,使網絡能夠爲核心業務服務。EAD終端準入控制解決方案主要問道從以下(xià)三個維度對終端進行可視化管理。
一(yī)、 終端狀态可視化
要對終端的接入狀态做到透明可視化監控,核心是要建立終端與用戶之間确定舞為性的對應關系。在傳統的網絡終端管理中(zhōng),無論是在網絡拓撲還是在網絡農話日志(zhì)審計中(zhōng),都隻能看到終端呢西的IP地址,而對于終端的類型、所屬用戶等信息毫市個無所知(zhī)。由于缺乏終端與用戶之間确定妹鄉的對應關系,使網絡用戶與用戶在網絡世界中(zhōn雨路g)完全割裂了,終端的行爲與用戶的角色完全分(fēn)離(lí),成爲安全管理校快的黑洞。
通過EAD準入控制技術,可以将終端與醫護人員(yuán)之間建立對應關系。事數醫護人員(yuán)在使用終端接入網絡時,網絡接入設備強制區金要求醫護人員(yuán)輸入合法的用戶名和密碼;用戶名、密碼驗證藍湖後,網絡準入控制系統将識别用戶所攜帶的終端,并收集其終端MAC地技車址、IP地址、接入的網絡位置和時間,根據既定規則分(fēn)配銀冷網絡訪問權限。基于網絡準入技術,建立終端可視化拿習管理平台,醫護人員(yuán)就真正與其所使用的大物終端設備、所分(fēn)配的IP地址、所接入的網絡設備、網絡訪問權限廠商、網絡接入時間有機結合起來,一(yī)方面有利要要于控制接入網絡的終端,另一(yī)方面也可對網絡靜态配置煙書、動态資(zī)源運行情況做到心中(zhōng)有數雜遠,徹底消除黑箱現象。
傳統的網絡拓撲、無線管理在整合網絡準入控制系統後,可但就以更直觀地在網絡拓撲上查看到終端的狀态信息(如圖1所示):可以直接查看到在某個聽來交換機或AP下(xià),有哪些用戶接入了,他們處于什麽物(wù)理位置劇票,使用的終端設備是什麽。不僅僅是PC,對于智能終端、打印機、IP電(又校diàn)話(huà)、智能醫療設備都可以在網絡拓撲中(zhōng)一(yī月會)覽無餘。同時,網絡管理員(yuán)可以直接在網絡拓撲上對終端用戶進行操作著海——下(xià)線斷網、消息提醒、加入黑名單等,從而及時有效地将非法用戶隔離(會中lí)出網絡。
圖1 網絡拓撲中(zhōng)終端的狀态圖
二、 終端安全可視化
除了對接入終端的身份、類型、位置、時間、權限等要做拿下到動态監控外(wài),還需要對接入終端自身的安全狀态和身聽管理狀态進行可視化管理(如圖2所示)。其中(zhōng)安全狀态動一是指終端是否按照安全策略的要求進行了必要的安全加固(如是否安裝了防病毒技輛軟件、防病毒軟件病毒庫是否爲最新狀态、操作系統補丁是否已經升車開級、注冊表是否完整、系統是否存在弱口令等)來通;管理狀态是指終端是否符合終端管理的要求運行指定鐵報的業務系統,并按照管理規定對終端進行合理的配置和照湖使用(如是否安裝運行了指定的應用軟件或禁止的應用跳了軟件,是否使用了藍(lán)牙、紅外(wài商區)、打印機、3G上網卡、USB等外(wài)設木火,規範終端的使用行爲,防範終端數據通過外(wài)聯、外(wài)坐有設等方式洩漏)。
圖2 聯網終端安全檢查
終端和應用軟件屬于固定資(zī)産,在資(拍拿zī)産總額中(zhōng)都占有較大(dà)的比例哥算。确保資(zī)産安全、完整,是醫院終端是媽管理的重要工(gōng)作之一(yī),也是财務資(zī)金管理的一(y書就ī)個重要組成部分(fēn),管理員(yuán)常常需要道新對整個網絡系統的終端資(zī)産做全盤的管理。但傳統的手工(gōn說著g)盤點方式給統計人員(yuán)帶來極大(dà)的工(木校gōng)作量,也給IT管理人員(yuán黃男)帶來管理工(gōng)作的負擔。因此,通過可視化終端管理化來平台對局域網内計算機的軟硬件資(zī)産及資(電放zī)産變更進行行之有效地管理,包括檢測硬盤、CPU、主闆、顯卡、光驅等硬件門朋設備,和軟件安裝信息、操作系統變更信息,方便管理員(yu現購án)及時的查看資(zī)源,防止内部人員(yuán)更換或帶走,從而就請減少信息外(wài)洩(如圖3所示)。可視化查看每個終端的軟硬件配置信話刀息,可以大(dà)大(dà)減輕IT管理人員(yuán)繁瑣的電(d公關iàn)腦管理工(gōng)作負擔,從而提高網管員(yuán)的工(g爸鐵ōng)作效率。
圖3 終端信息
三、 管理可視化
終端狀态和安全做到可視化運維管理的前提,也需要有管理策略上的統一(影暗yī)(如圖4所示),即對所有的終端應用統一(yī)的安全策略,對所有的終端用好作戶采用統一(yī)的終端管理策略,對終端的網絡行爲提供統一(yī)的日志(雜畫zhì),爲所有管理員(yuán)提供統一(yī)的可視化配置界面。通過呢紅統一(yī)的終端管理平台降低系統的複雜(zá)度,提高終端的工(gōng放謝)作性能,降低終端的維護管理成本。
統一(yī)的網絡身份和安全策略管理,使基于用戶進行集中(zhōn人電g)審計成爲可能,避免了單純基于IP審計的缺陷,終端網絡行爲日志(劇計zhì)統一(yī)在用戶管理系統中(zhōng),可以快速查詢用戶在體書網絡中(zhōng)特定時間内的行爲。
圖4 終端安全策略設置
結束語
中(zhōng)國傳統中(zhōng)醫診斷講“望、聞、問、切”,醫司東者通過多角度觀察患者的狀況,從而做出綜合的診斷結果。現代信息技術的診斷就朋白是通過終端可視化檢測,對接入網絡的終端實現透明化管理,及時察覺非法的終端和數區網絡行爲,杜絕數據的外(wài)洩行爲的産生(s子工hēng)。治網如治病,從終端可視化的管理思路确保網絡與終端的整體(t書紙ǐ)安全,才能夠實現醫療機構内部信息的真正、全面、持續安全。