网络安全 频道

锐捷解决厦门百年医院终端管控的安全问题

  【IT168 案例】互联网时代,由信息泄露导致的各种悲剧和案件时有发生。在医疗领域,患者的隐私信息泄露已成为社会的巨大隐忧,不少医院的用户信息更是成为犯罪分子的重点盗取目标。为了更好地防范安全风险,厦门市第一医院杏林院区(以下简称:杏林院区)一直在寻找克服终端安全隐患的“良药”。

  终端准入面临多重困境

  杏林院区位于厦门杏林台商投资区,创立于1898年,历经百余年的发展,杏林院区已经成为国内专治肺病的特长专科医院。

  在医疗行业中,网络常分为内网和外网,其中内网为生产网,基于安全考虑通常会进行终端的准入控制,合法的终端才允许接入网络, 因此,对终端准入的管控,自然而然地成为杏林院区防范安全风险的第一道门禁。

  厦门市第一医院杏林院林主任对于终端准入的重要性早已有所认识,且对目前主流厂商的技术有充分的认知。与客户访谈中客户告知我们现在常见的准入策略有认证(如802.1X认证、Web认证),但是由于认证方式引入的认证服务器单点故障,认证性能瓶颈,需要客户端等,可靠性等问题,造成了当前医疗行业内选择动态认证方式的不多。

  痛点一:动态认证型准入局限性

  比如:医院门诊有非常多的哑终端,目前业界的方案都是要装客户端或者网页认证,无法在诸如取号机,电视墙,LED叫号机等设备上使用。

锐捷解决厦门百年医院终端管控的安全问题

  图:自助机/自助打印机

  痛点二:IP+MAC绑定的局限性

  和不少医院通行的做法一样,杏林院区开始选择了常见的准入部署方式,即静态IP+MAC绑定方式。然而,杏林院区逐渐发现,使用接入交换机的IP+MAC绑定的方式更带来了多重问题:

  信息收集麻烦。如果人工收集每一台接入终端的MAC地址,并且知晓其所连接的接入交换机,初始实施时还相对方便,后续的设备变更则会随着网络维护时间变长而信息混乱。

  配置繁琐。手工对每台接入交换机进行配置,当生产网范围较大时,实施工作量倍增。比如mac地址的8跟B有时候长太像了十分容易出错。

  表项遗留。接入交换机上会存在大量的静态配置,进行IP+MAC绑定关系变更时,比较容易出错,因为同一批采购的终端可能MAC地址段相近。

  在医院中后期进行病区装修,办公室调整时,需要对接入交换机的IP+MAC绑定表项重新配置,如果设备跨网关迁移时,还需要重新分配IP地址。

  典型痛点三:IP地址的复杂

  同时对于IP地址的管理维护,厦门市第一医院杏林院区采用的是execl登记,为信息中心人工带来不少麻烦。

  1.IP冲突

  整网800多个终端采用手工Excel维护,太繁琐,效率低。网络中经常出现IP地址冲突。

  2.Mac地址收集难

  一台设备的mac地址好的话有贴标签,有些设备没有贴标签的压根无法收集mac。

  3.设备报废

  设备报废后,因为设备也无法开机,所以ip也就跟着石沉大海。ip地址回收使用率低。

  4.私设IP/欺骗尝尽

  有时候护士会看看换个ip地址是否能上网,换完IP后,直接导致跟主任医师的IP地址冲突,导致断网。

  轻量级准入方案——针对痛点的精准“外科手术”

  对于医疗行业经常遇到的终端管控这一“疑难病症”,锐捷创新推出的轻量级准入方案可以说是切中痛点的“精准外科手术”,其优势主要体现在以下三个方面:

  1.免客户端准入

  在医院所有场景,各类取号机,电视墙,LED叫号机等无客户端的哑终端都能做准入,简单安全。

锐捷解决厦门百年医院终端管控的安全问题

  2.IP+MAC信息的自动收集

  通过自动IP+MAC信息收集和绑定,减少厦门市第一医院杏林院区用户成倍的工作量,告别MAC地址手动手机,告别IPHEMAC的手动绑定,告别接入交换机的手动配置。极大减少出错的概率。

  3.可视化IP地址管理

  厦门市第一医院使用静态IP地址。这样的应用场景自然不可回避的就是IP地址管理的问题。轻量级准入的IP可视化管理让原来只能通过Excel来简单记录IP地址的厦门市第一医院杏林院区有了更直观简单的解决办法。

锐捷解决厦门百年医院终端管控的安全问题

  杏林医院从7月份割接运行20多台接入设备,门诊、住院部等地区近百台客户各种类型终端,截止到目前稳定运行。

  “轻量级准入方案的功能实用方便,IP地址管理清晰直观,自动化水平高,让内网终端接入管理变得轻松简单,在减轻IT运维人员的工作压力的同时,有效保护了医院的数据和信息系统安全。”杏林院区的IT运维负责人对方案的评价也锐捷轻量级准入方案的最终“疗效”。

0
相关文章