一、需求分析

 

   随着医疗信息化的不断发展，医院内网的终端设备的数量和种类越来越多，很多终端设备没有经过可信认证，就能随意接入医院内网或无线网络，而且这些终端本身可能存在一些安全隐患，给内网安全带来了极大的隐患，带来的业务安全常见问题有以下：

 

   1、缺乏内网接入身份验证机制，容易违规接入

 

   外来人员随意可接入，拿一根网线即可接入到医院内部网络，给医院各业务系统带来风险。未经确认身份是否合法的终端，就能接入到网络中，容易发生数据窃取、病毒传播等风险！

 

   2、缺乏终端安全基线检查机制，增大内网安全风险

 

   部分人员安全意识薄弱，终端存在较大的安全风险，比如未安装杀毒软件、不合规操作系统、不更新的操作系统、终端使用弱密码等。不合规的终端接入网络，给内网环境带来极大的威胁，比如导致勒索病毒在内网疯狂传播，严重的可能影响医院业务的开展！

 

 

 

二、深信服在医院内网安全准入场景下的解决方案：

 

    通过部署深信服全网行为管理，实现网络访问准入、终端合规性检查、非法外联防护、内网访问管控审计和追溯等问题，可以实现的功能如下：

 

   深信服全网行为管理，可实现PC终端的网络安全准入，解决终端合规性检查、非法外联防护、U盘管控等问题，全面保障医疗PC终端的接入安全和使用安全。

 

   1.1.PC终端安全检查：深信服全网行为管理，按照管理员要求对每位员工进行合规性检查，包括防病毒软件安装、运行、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等，不满足预设安全级别的终端，将严格控制其访问权限，必要时不允许接入网络，实现横向和纵向的通信阻断，从而提升整个内网的可靠性和可用性，有效的保障内网环境的安全。

 

   1.2.PC终端内网接入认证：对医院内网有线入网终端，支持多种入网认证方式，包括802.1x认证、MAB认证、portal认证等，满足有线、无线等多种网络场景。

 

   1.3.PC非法终端隔离处置:对于非法终端，内网准入管理平台可以实现不同维度的隔离，包括：边界隔离、业务隔离以及终端隔离。

 

   1.4.PC终端U盘管控：支持终端U盘、移动硬盘的插入、读写管控，以及U盘操作的行为记录。

 

   2、移动终端管理：同时支持有线和无线网络的准入认证，以及针对移动终端的识别管控，支持无线Portal协议，轻松实现移动终端的入网认证，同时支持识别各种移动设备，包含设备品类、品牌、MAC地址，实现移动终端接入可视化，通过 MAC白名单机制，保障移动终端的接入安全。 

 

   3、业务访问审计

 

   业务访问情况：深信服全网行为管理，支持审计用户的登录信息、网页访问行为，支持用户名，所属组，源IP，源端口，业务IP，业务端口，应用类型，具体应用，访问时间等多个维度进行流量统计和分析。

 

   业务账号提取：深信服全网行为管理，支持业务账号提取，梳理出有多少账号在访问业务系统，这些账号访问的业务和使用的用户分别是怎样的，帮助发现账号的越权使用行为。

 

   业务访问溯源：发生安全事件的时候，安全管理员可以登录到后台的日志中心，去搜索查找事件发生时，审计下来的用户行为，从而还原回放安全事故的发生过程，定位到责任人。