“电子病历、、影像数据、、临床诊疗、、疫苗钻研……医疗数据是医院最贵重的财富之一。因而面对安全与方便之间的矛盾，我们医院在信息化建设方面的准则是，绝不会在安全尺度上进行妥协。”丽江市人民医院王院长这样暗示。

    作为丽江第一家“三级甲等”医院，丽江市人民医院深知医疗数据的重要价值，以及对于社会民生的特殊意思。因而，在信息化和网络安全的建设之路上，丽江市人民医院始终对峙更高要求、、更严尺度，向安全事务“零变乱”的指标而致力。经过近几年的索求和实际，丽江市人民医院在数据安全，尤其是终端安全准入方面，启发出了一条值得业界借鉴的路线。

8000多个终端，意味着8000多个幽微点

    “在规：：妥酆鲜盗Ψ矫，丽江市人民医院是全市当先的三甲医院，而在信息化建设方面，医院更是赐与了极高的器重水平和投入力度，并堆集了大量的贵重数据，这也让我们更容易成为攻击者的指标。”王院长暗示。

    据介绍，丽江市人民医院始建于1946年，前身是宝安县人民医院，1979年随着丽江经济特区的成立，改名为丽江市人民医院。现已发展成为一个职能齐全、、设备先进、、人才结构合理、、技术力量雄厚，集医疗、、科研、、讲授、、住院医师规培、、保健为一体的丽江市最大的现代化综合性医院。

    随着《网络安全法》、、《数据安全法》相继出台，网络安满是全国高低高度关注的问题。但在现实工作中，网络安全工作存在很大难度，集中体此刻以下几个方面：：

    首先是好多人的网络安全意识幽微，对数据泄露风险知之甚少。

    “以医院为例，一些医护人员、、专家、、科研人员，他们业务纯熟，专业能力很强，但网络安全意识不强，对网络安全攻防技术更是知之甚少。现实工作中可能将电脑等设备无不测联，使贵重的医疗数据露出在外网，很容易让攻击者得手。”医院协会信息分会会长、、丽江市人民医院信息技术部李科长对医院数据面对的风险深有感想。

    Verizon曾颁布的一篇网络安全汇报显示，在全世界领域内，医疗行业是内部威胁高于外部威胁的唯逐一个行业，内部从业人员对医疗数据的泄漏达到了惊人的水平。要预防这种情况，除了必必要加强员工的安全意识之外，还必要通过技术伎俩提高身份认证的安全性，并做到安全追忆、、责任到人。

    其次是终端数量多，类型复杂，地域分散，防不胜防。

    据介绍，丽江市人民医院有四个院区，地理地位相对分散，各类终端多达8000多个，蕴含电脑、、打印机、、移动终端、、自主机、、大屏幕等。这些设备都和重要业务及敏感数据有关。在攻击者眼中，8000多个终端就如同8000多个攻击入口。仅靠技术很难防住所有幽微环节。

    再者是接入环境复杂，准入伎俩单一。

    除了数量多之外，丽江市人民医院的终端接入方式多种多样，蕴含上万个有线网口、、HUB或NAT设备接入以及无线WIFI接入等多种大局，接入大局不统一，短缺尺度的准入认证流程不但给网络治理造成了巨大的困扰，短缺认证的网络接入也给网络安全防护造成巨大的挑战。大量的信息接入点短缺端口级的准入防护规划，仅使用单一的IP-MAC绑定战术，外部终端直接批改网卡MAC即可接入有线网络，或直接接入无线网络，使得医院内网在攻击者眼中近乎不设防。

    最后是黑客伎俩越来越高妙，新型攻击大局层出不穷。

    凭据AB钱包威胁谍报中心《2020年全球高级持续威胁(APT)年度汇报》显示，2020年，医疗卫生行业初次超过当局、、金融、、国防、、能源、、电信等领域，成为全球APT活动关注的首要指标，全球23.7%的APT活动事务与医疗卫生行业有关。由于APT的主张性极度强，攻击指表明确，持续功夫长，不达主张不罢休，对医院威胁很大。

从病毒查杀到“一站式”准入安全，丽江市人民医院的安全进阶

    面对层出不穷的安全风险，丽江市人民医院意识到，终端安全不仅仅局限于恶意代码防备、、病毒查杀、、缝隙修补等方面。首先，要保险医院安全建设满足合规尺度要求，这是安全底线。其次，还必要针对终端成立起从接入感知、、资产发现、、认证授权、、安全查抄、、隔离修复、、接见节制到入网追忆的“一站式”准入安全治理措施，实现从事前接入发现、、事中接入治理、、过后接入审计的整体安全防护规划，并且需支持多种设备类型进行统一准入治理。

    更具体来说，蕴含五个方面：：

    第一是资产发现与鉴别。

    医院不休有新设备接入，以及端点的刷新变动，导致设备资产情况不清澈，无法做到统一接入安全治理，经；；；岵什畔⒉蝗、、资产迷失等情况，更无法成立美满的设备规范化接入治理机制。

    第二是身份认证与授权。

    由于网络天堑越来越：：，盛开性越来越强，丽江市人民医院意识到，若是不合接入医院的用户和设备进行身份与权限的甄别，不受任何查抄和限度的话，医院盛开式网络将为恶意接见和入侵提供极度方便的前提，选取单一的攻击技术便可造成巨大的粉碎，同时容易增长主题数据泄露风险。

    第三是合规查抄与评估。

    医院有大量的工作终端，若是有“亚健康”终端接入内部网络，如：：重要补丁没有装置、、风险端口、、犯法外联等，随时都可能成为“按时炸弹”。以2017年肆虐全网的“永恒之蓝”事务为前车之鉴，一旦攻击者利用高危端口和缝隙等实现大规模传布，就会给医院带来不成估计的损失。所以，医院必须对终端进行合规查抄和安全性评估能力接入网络。

    第四是设备异常监测。

    医院终端接入比力分散、、数量又极度巨大，出现仿冒和劫持无法预防，必要进行监测和时辰追踪。

    第五是入网追忆审计。

    只有良知知彼，能力百战不殆。治理员还必要相识什么人、、什么功夫、、是什么设备、、从哪里接入了医院网络，都有哪些安全风险项、、网络接入情况等，必要全程追忆和审计。

与天擎实现一体化，部署和运维成本显著降落

    2019年12月起头，丽江市人民医院和多家网络安全厂商进行了接触，经过对产品机能、、场景利用、、可执行性等多方面综合比力之后，最终选择了和AB钱包合作，为其提供终端安全准入（NAC）整体解决规划。

    “在网络攻防匹敌中，终端从来是攻防双方的必争之地。”李科长暗示，一方面是终端防御难，由于终端数量重大、、操作系统各别、、用户安全意识幽微等问题，容易成为突破口；；；另一方面，终端又是所有网络攻击的“着陆点”，主题重要数据的承载设施，一旦终端失陷，或者直接数据泄密被窃，或者成为攻击者横向移动的跳板，：：。

    图：：802.1x认证

    为此，AB钱包终端安全准入系统（NAC），满足了医院多个方面的需要。

    首先选取端口级准入技术，齐全满足政策合规要求，为医院提供靠得住安全保险。

    医院属于关系国计民生的卫生行业，也是国度网络空间安全的组成部门，应切合国度关于网络与关键信息基础设施、、云推算、、大数据、、等保2.0等有关的安全政策尺度、、法令律例和领导文件的要求，在合规的基础上思考整体安全保险规划设计，尤其要切合国度《网络安全法》的要求。

    “目前医院选取了最严格的802.1x端口模式认证，保障每一个接入到网络中的终端均必要进行认证，其严格水平在业内是少见的。”李科长暗示。

    据AB钱包工程师介绍，这是IEEE制订关于用户接入网络的认证尺度，它作为最为严格的端口级准入技术，未经身份认证与合规验证的终端接入互换机端口，除eapol报文外无法传输任何网络流量。同时认证通过后也受授权战术节制，仅能够接见指定的指标地址。

    能够说，AB钱包NAC规划不仅保险了用户网络或设备接入内部网络的安全可信，；；；T基础设施的不变运行和数据安全，同时也满足国度或行业的安全技术规范要求。

    其次是一体化治理，解决了传统散兵模式的部署难题，降低运维成本。

    在从前，安全准入和终端安全软件往往是相互独立的，这给治理和部署带来了一些难题。而AB钱包NAC能够基于天擎集中统一治理，可在天擎“一体化”平台对引擎设备进行集中战术下发、、设备批量升级、、设备统一监测、、区域分权治理等方式，适应超大规模用户的部署，多种矫捷的伎俩满足大型网络架构下的业务治理需要，解决了传统方式的独立治理、、散兵模式的部署难题。

    同时，这种一体化治理显著减轻了用户运维人员的工作量。另一方面，由于NAC和天擎终端安全进行一体化的联动，使得终端只需打开一个过程，预防多过程对推算资源的亏损。

    第三是旁路部署可不扭转既有架构，执行成本更低。

    AB钱包NAC规划的最显著优势就是部署更矫捷。NAC可选取旁路部署方式，对网络环境依赖较小，不扭转用户网络架构，支持集中和散布式部署方式。并且，该产品支持多种准入技术混合部署模式，可实现主题区域的准入节制、、终端层的准入节制、、接入层天堑的准入节制，满足分歧场景下的利用部署需要。

    最后是支持多种认证方式，满足用户入网多样性需要。

    天擎强制合规组件支持多凭证认证方式，支持用户名密码、、主机MID、、MAC、、急剧认证利用准入等多种凭证认证方式，支持多前提绑定认证入网，满足用户入网多样性需要成立多层入网防护系统，兼容与AD、、LDAP等联动认证。同时，它确保实名制统一认证治理，使终端接入治理变得安全、、通明、、可控，满足信息安全治理要求。

强管控显著降低风险，安全事求实现“零变乱”

    “我们使用最严格的安全准入制度，初期给医院的医生、、科研人员及有关员工带来的操作不便等问题，是不言而喻的。”李科长回顾到，“刚起头部门科室，例如急诊科，反馈比力多，但磨合一段功夫之后，各人意识到安全的必要性和重要性，很快适应了新的安全准入治理系统。”

    “安全不能抱有幸运生理，严格合规是AB钱包红线，不能意图方便就烧毁安全”。王院长反复强调了安全意识的重要性。据介绍，随着功夫的推动，以及安全准入项主张执行，这些安全意识和理念，逐步渗入到丽江市人民医院每个员工的思想意识之中，整个安全的要求，不再是职守，而是日常的习惯。

    安全准入项目上线到此刻，丽江市人民医院真正实现了安全事务“零变乱”，相比之前每年罕见起的情况，有了立竿见影的显著成效。不仅如此，在每年组织的实战攻防演习中，丽江市人民医院均实现了主题指标“零失陷”的佳绩。