【IT168 案例】互联网时代，由信息泄露导致的各种悲剧和案件时有发生。在医疗领域，患者的隐私信息泄露已成为社会的巨大隐忧，不少医院的用户信息更是成为犯罪分子的重点盗取目标。为了更好地防范安全风险，厦门市第一医院杏林院区(以下简称：杏林院区)一直在寻找克服终端安全隐患的“良药”。

　　终端准入面临多重困境

　　杏林院区位于厦门杏林台商投资区，创立于1898年，历经百余年的发展，杏林院区已经成为国内专治肺病的特长专科医院。

　　在医疗行业中，网络常分为内网和外网，其中内网为生产网，基于安全考虑通常会进行终端的准入控制，合法的终端才允许接入网络, 因此，对终端准入的管控，自然而然地成为杏林院区防范安全风险的第一道门禁。

　　厦门市第一医院杏林院林主任对于终端准入的重要性早已有所认识，且对目前主流厂商的技术有充分的认知。与客户访谈中客户告知我们现在常见的准入策略有认证(如802.1X认证、Web认证)，但是由于认证方式引入的认证服务器单点故障，认证性能瓶颈，需要客户端等，可靠性等问题，造成了当前医疗行业内选择动态认证方式的不多。

　　痛点一：动态认证型准入局限性

　　比如：医院门诊有非常多的哑终端，目前业界的方案都是要装客户端或者网页认证，无法在诸如取号机，电视墙，LED叫号机等设备上使用。

　　图：自助机/自助打印机

　　痛点二：IP+MAC绑定的局限性

　　和不少医院通行的做法一样，杏林院区开始选择了常见的准入部署方式，即静态IP+MAC绑定方式。然而，杏林院区逐渐发现，使用接入交换机的IP+MAC绑定的方式更带来了多重问题：

　　信息收集麻烦。如果人工收集每一台接入终端的MAC地址，并且知晓其所连接的接入交换机，初始实施时还相对方便，后续的设备变更则会随着网络维护时间变长而信息混乱。

　　配置繁琐。手工对每台接入交换机进行配置，当生产网范围较大时，实施工作量倍增。比如mac地址的8跟B有时候长太像了十分容易出错。

　　表项遗留。接入交换机上会存在大量的静态配置，进行IP+MAC绑定关系变更时，比较容易出错，因为同一批采购的终端可能MAC地址段相近。

　　在医院中后期进行病区装修，办公室调整时，需要对接入交换机的IP+MAC绑定表项重新配置，如果设备跨网关迁移时，还需要重新分配IP地址。

　　典型痛点三：IP地址的复杂

　　同时对于IP地址的管理维护，厦门市第一医院杏林院区采用的是execl登记，为信息中心人工带来不少麻烦。

　　1.IP冲突

　　整网800多个终端采用手工Excel维护，太繁琐，效率低。网络中经常出现IP地址冲突。

　　2.Mac地址收集难

　　一台设备的mac地址好的话有贴标签，有些设备没有贴标签的压根无法收集mac。

　　3.设备报废

　　设备报废后，因为设备也无法开机，所以ip也就跟着石沉大海。ip地址回收使用率低。

　　4.私设IP/欺骗尝尽

　　有时候护士会看看换个ip地址是否能上网，换完IP后，直接导致跟主任医师的IP地址冲突，导致断网。

　　轻量级准入方案——针对痛点的精准“外科手术”

　　对于医疗行业经常遇到的终端管控这一“疑难病症”，锐捷创新推出的轻量级准入方案可以说是切中痛点的“精准外科手术”，其优势主要体现在以下三个方面：

　　1.免客户端准入

　　在医院所有场景，各类取号机，电视墙，LED叫号机等无客户端的哑终端都能做准入，简单安全。

　　2.IP+MAC信息的自动收集

　　通过自动IP+MAC信息收集和绑定，减少厦门市第一医院杏林院区用户成倍的工作量，告别MAC地址手动手机，告别IPHEMAC的手动绑定，告别接入交换机的手动配置。极大减少出错的概率。

　　3.可视化IP地址管理

　　厦门市第一医院使用静态IP地址。这样的应用场景自然不可回避的就是IP地址管理的问题。轻量级准入的IP可视化管理让原来只能通过Excel来简单记录IP地址的厦门市第一医院杏林院区有了更直观简单的解决办法。

　　杏林医院从7月份割接运行20多台接入设备，门诊、住院部等地区近百台客户各种类型终端，截止到目前稳定运行。

　　“轻量级准入方案的功能实用方便，IP地址管理清晰直观，自动化水平高，让内网终端接入管理变得轻松简单，在减轻IT运维人员的工作压力的同时，有效保护了医院的数据和信息系统安全。”杏林院区的IT运维负责人对方案的评价也锐捷轻量级准入方案的最终“疗效”。