“电子病历、、、影像数据、、、临床诊疗、、、疫苗钻研……医疗数据是医院最贵重的财富之一。。。因而面对安全与方便之间的矛盾，，，我们医院在信息化建设方面的准则是，，，绝不会在安全尺度上进行妥协。。。”丽江市人民医院王院长这样暗示。。。

    作为丽江第一家“三级甲等”医院，，，丽江市人民医院深知医疗数据的重要价值，，，以及对于社会民生的特殊意思。。。因而，，，在信息化和网络安全的建设之路上，，，丽江市人民医院始终对峙更高要求、、、更严尺度，，，向安全事务“零变乱”的指标而致力。。。经过近几年的索求和实际，，，丽江市人民医院在数据安全，，，尤其是终端安全准入方面，，，启发出了一条值得业界借鉴的路线。。。

8000多个终端，，，意味着8000多个幽微点

    “在规：妥酆鲜盗Ψ矫，，，丽江市人民医院是全市当先的三甲医院，，，而在信息化建设方面，，，医院更是赐与了极高的器重水平和投入力度，，，并堆集了大量的贵重数据，，，这也让我们更容易成为攻击者的指标。。。”王院长暗示。。。

    据介绍，，，丽江市人民医院始建于1946年，，，前身是宝安县人民医院，，，1979年随着丽江经济特区的成立，，，改名为丽江市人民医院。。。现已发展成为一个职能齐全、、、设备先进、、、人才结构合理、、、技术力量雄厚，，，集医疗、、、科研、、、讲授、、、住院医师规培、、、保健为一体的丽江市最大的现代化综合性医院。。。

    随着《网络安全法》、、、《数据安全法》相继出台，，，网络安满是全国高低高度关注的问题。。。但在现实工作中，，，网络安全工作存在很大难度，，，集中体此刻以下几个方面：

    首先是好多人的网络安全意识幽微，，，对数据泄露风险知之甚少。。。

    “以医院为例，，，一些医护人员、、、专家、、、科研人员，，，他们业务纯熟，，，专业能力很强，，，但网络安全意识不强，，，对网络安全攻防技术更是知之甚少。。。现实工作中可能将电脑等设备无不测联，，，使贵重的医疗数据露出在外网，，，很容易让攻击者得手。。。”医院协会信息分会会长、、、丽江市人民医院信息技术部李科长对医院数据面对的风险深有感想。。。

    Verizon曾颁布的一篇网络安全汇报显示，，，在全世界领域内，，，医疗行业是内部威胁高于外部威胁的唯逐一个行业，，，内部从业人员对医疗数据的泄漏达到了惊人的水平。。。要预防这种情况，，，除了必必要加强员工的安全意识之外，，，还必要通过技术伎俩提高身份认证的安全性，，，并做到安全追忆、、、责任到人。。。

    其次是终端数量多，，，类型复杂，，，地域分散，，，防不胜防。。。

    据介绍，，，丽江市人民医院有四个院区，，，地理地位相对分散，，，各类终端多达8000多个，，，蕴含电脑、、、打印机、、、移动终端、、、自主机、、、大屏幕等。。。这些设备都和重要业务及敏感数据有关。。。在攻击者眼中，，，8000多个终端就如同8000多个攻击入口。。。仅靠技术很难防住所有幽微环节。。。

    再者是接入环境复杂，，，准入伎俩单一。。。

    除了数量多之外，，，丽江市人民医院的终端接入方式多种多样，，，蕴含上万个有线网口、、、HUB或NAT设备接入以及无线WIFI接入等多种大局，，，接入大局不统一，，，短缺尺度的准入认证流程不但给网络治理造成了巨大的困扰，，，短缺认证的网络接入也给网络安全防护造成巨大的挑战。。。大量的信息接入点短缺端口级的准入防护规划，，，仅使用单一的IP-MAC绑定战术，，，外部终端直接批改网卡MAC即可接入有线网络，，，或直接接入无线网络，，，使得医院内网在攻击者眼中近乎不设防。。。

    最后是黑客伎俩越来越高妙，，，新型攻击大局层出不穷。。。

    凭据AB钱包威胁谍报中心《2020年全球高级持续威胁(APT)年度汇报》显示，，，2020年，，，医疗卫生行业初次超过当局、、、金融、、、国防、、、能源、、、电信等领域，，，成为全球APT活动关注的首要指标，，，全球23.7%的APT活动事务与医疗卫生行业有关。。。由于APT的主张性极度强，，，攻击指表明确，，，持续功夫长，，，不达主张不罢休，，，对医院威胁很大。。。

从病毒查杀到“一站式”准入安全，，，丽江市人民医院的安全进阶

    面对层出不穷的安全风险，，，丽江市人民医院意识到，，，终端安全不仅仅局限于恶意代码防备、、、病毒查杀、、、缝隙修补等方面。。。首先，，，要保险医院安全建设满足合规尺度要求，，，这是安全底线。。。其次，，，还必要针对终端成立起从接入感知、、、资产发现、、、认证授权、、、安全查抄、、、隔离修复、、、接见节制到入网追忆的“一站式”准入安全治理措施，，，实现从事前接入发现、、、事中接入治理、、、过后接入审计的整体安全防护规划，，，并且需支持多种设备类型进行统一准入治理。。。

    更具体来说，，，蕴含五个方面：

    第一是资产发现与鉴别。。。

    医院不休有新设备接入，，，以及端点的刷新变动，，，导致设备资产情况不清澈，，，无法做到统一接入安全治理，，，经；岵什畔⒉蝗、、、资产迷失等情况，，，更无法成立美满的设备规范化接入治理机制。。。

    第二是身份认证与授权。。。

    由于网络天堑越来越：，，，盛开性越来越强，，，丽江市人民医院意识到，，，若是不合接入医院的用户和设备进行身份与权限的甄别，，，不受任何查抄和限度的话，，，医院盛开式网络将为恶意接见和入侵提供极度方便的前提，，，选取单一的攻击技术便可造成巨大的粉碎，，，同时容易增长主题数据泄露风险。。。

    第三是合规查抄与评估。。。

    医院有大量的工作终端，，，若是有“亚健康”终端接入内部网络，，，如：重要补丁没有装置、、、风险端口、、、犯法外联等，，，随时都可能成为“按时炸弹”。。。以2017年肆虐全网的“永恒之蓝”事务为前车之鉴，，，一旦攻击者利用高危端口和缝隙等实现大规模传布，，，就会给医院带来不成估计的损失。。。所以，，，医院必须对终端进行合规查抄和安全性评估能力接入网络。。。

    第四是设备异常监测。。。

    医院终端接入比力分散、、、数量又极度巨大，，，出现仿冒和劫持无法预防，，，必要进行监测和时辰追踪。。。

    第五是入网追忆审计。。。

    只有良知知彼，，，能力百战不殆。。。治理员还必要相识什么人、、、什么功夫、、、是什么设备、、、从哪里接入了医院网络，，，都有哪些安全风险项、、、网络接入情况等，，，必要全程追忆和审计。。。

与天擎实现一体化，，，部署和运维成本显著降落

    2019年12月起头，，，丽江市人民医院和多家网络安全厂商进行了接触，，，经过对产品机能、、、场景利用、、、可执行性等多方面综合比力之后，，，最终选择了和AB钱包合作，，，为其提供终端安全准入（NAC）整体解决规划。。。

    “在网络攻防匹敌中，，，终端从来是攻防双方的必争之地。。。”李科长暗示，，，一方面是终端防御难，，，由于终端数量重大、、、操作系统各别、、、用户安全意识幽微等问题，，，容易成为突破口；另一方面，，，终端又是所有网络攻击的“着陆点”，，，主题重要数据的承载设施，，，一旦终端失陷，，，或者直接数据泄密被窃，，，或者成为攻击者横向移动的跳板，，，：。。。

    图：802.1x认证

    为此，，，AB钱包终端安全准入系统（NAC），，，满足了医院多个方面的需要。。。

    首先选取端口级准入技术，，，齐全满足政策合规要求，，，为医院提供靠得住安全保险。。。

    医院属于关系国计民生的卫生行业，，，也是国度网络空间安全的组成部门，，，应切合国度关于网络与关键信息基础设施、、、云推算、、、大数据、、、等保2.0等有关的安全政策尺度、、、法令律例和领导文件的要求，，，在合规的基础上思考整体安全保险规划设计，，，尤其要切合国度《网络安全法》的要求。。。

    “目前医院选取了最严格的802.1x端口模式认证，，，保障每一个接入到网络中的终端均必要进行认证，，，其严格水平在业内是少见的。。。”李科长暗示。。。

    据AB钱包工程师介绍，，，这是IEEE制订关于用户接入网络的认证尺度，，，它作为最为严格的端口级准入技术，，，未经身份认证与合规验证的终端接入互换机端口，，，除eapol报文外无法传输任何网络流量。。。同时认证通过后也受授权战术节制，，，仅能够接见指定的指标地址。。。

    能够说，，，AB钱包NAC规划不仅保险了用户网络或设备接入内部网络的安全可信，，，；T基础设施的不变运行和数据安全，，，同时也满足国度或行业的安全技术规范要求。。。

    其次是一体化治理，，，解决了传统散兵模式的部署难题，，，降低运维成本。。。

    在从前，，，安全准入和终端安全软件往往是相互独立的，，，这给治理和部署带来了一些难题。。。而AB钱包NAC能够基于天擎集中统一治理，，，可在天擎“一体化”平台对引擎设备进行集中战术下发、、、设备批量升级、、、设备统一监测、、、区域分权治理等方式，，，适应超大规模用户的部署，，，多种矫捷的伎俩满足大型网络架构下的业务治理需要，，，解决了传统方式的独立治理、、、散兵模式的部署难题。。。

    同时，，，这种一体化治理显著减轻了用户运维人员的工作量。。。另一方面，，，由于NAC和天擎终端安全进行一体化的联动，，，使得终端只需打开一个过程，，，预防多过程对推算资源的亏损。。。

    第三是旁路部署可不扭转既有架构，，，执行成本更低。。。

    AB钱包NAC规划的最显著优势就是部署更矫捷。。。NAC可选取旁路部署方式，，，对网络环境依赖较小，，，不扭转用户网络架构，，，支持集中和散布式部署方式。。。并且，，，该产品支持多种准入技术混合部署模式，，，可实现主题区域的准入节制、、、终端层的准入节制、、、接入层天堑的准入节制，，，满足分歧场景下的利用部署需要。。。

    最后是支持多种认证方式，，，满足用户入网多样性需要。。。

    天擎强制合规组件支持多凭证认证方式，，，支持用户名密码、、、主机MID、、、MAC、、、急剧认证利用准入等多种凭证认证方式，，，支持多前提绑定认证入网，，，满足用户入网多样性需要成立多层入网防护系统，，，兼容与AD、、、LDAP等联动认证。。。同时，，，它确保实名制统一认证治理，，，使终端接入治理变得安全、、、通明、、、可控，，，满足信息安全治理要求。。。

强管控显著降低风险，，，安全事求实现“零变乱”

    “我们使用最严格的安全准入制度，，，初期给医院的医生、、、科研人员及有关员工带来的操作不便等问题，，，是不言而喻的。。。”李科长回顾到，，，“刚起头部门科室，，，例如急诊科，，，反馈比力多，，，但磨合一段功夫之后，，，各人意识到安全的必要性和重要性，，，很快适应了新的安全准入治理系统。。。”

    “安全不能抱有幸运生理，，，严格合规是AB钱包红线，，，不能意图方便就烧毁安全”。。。王院长反复强调了安全意识的重要性。。。据介绍，，，随着功夫的推动，，，以及安全准入项主张执行，，，这些安全意识和理念，，，逐步渗入到丽江市人民医院每个员工的思想意识之中，，，整个安全的要求，，，不再是职守，，，而是日常的习惯。。。

    安全准入项目上线到此刻，，，丽江市人民医院真正实现了安全事务“零变乱”，，，相比之前每年罕见起的情况，，，有了立竿见影的显著成效。。。不仅如此，，，在每年组织的实战攻防演习中，，，丽江市人民医院均实现了主题指标“零失陷”的佳绩。。。