盈高科技内网安全产品携手浙江省肿瘤医院内网信息化安全建设

infogo

客户名称：浙江省肿瘤医院

所属行业：医疗卫生

客户简介：浙江省肿瘤医院成立于1963年10月，是国内最早的4家肿瘤医院之一。医院现有职工近1122人，高级职称136人，中级职称299人。开放床位1393张，设有19个病区，占地面积63880平方米，建筑面积64297平方米，其中门诊大楼6402平方米，住院大楼23086平方米，绿化面积35779平方米。固定资产4.28亿元，医院总资产7.62亿。 据1963-2007年12月底资料统计，医院总门诊量已达２2608631人次，住院218232人次，手术90159人次。44年收治患者逾二百万。外科治疗作为主要治疗手段之一，手术技巧精湛，提高切除率的同时追求生存率。适应医学科学发展，外科专业学科分科更加细化。重症监护设施一流，危重病人能在第一时间得到监控救护。放化疗均是肿瘤治疗中的支柱疗法，是医院的优势学科。妇科肿瘤是医院的传统学科，技术力量雄厚，专业人才梯队合理。设备精良，满足患者医疗服务需求。护理工作向深层次开展，技术不断提高，人文关怀深入病人心中。

客户需求：对入网设备和人员进行认证；安装多维终端安全管理平台客户端后的设备才可以接入网络；限制设备入网的时长；装了客户端就并且审核过了永久可以上网；添加信任设备，可以控制信任设备入网时长；AMC挂了之后，可以紧急放开；用户改IP，需要申请管理员，需要管理员在Web界面上修改IP；将原IPMAC绑定策略更名（终端网络设置绑定策略）；可以分发软件以及补丁等，并且能自动安装；院内一般电脑禁止使用U盘，但各部门可以有几台终端可以使用；可以单个IP或VLAN进行例外。

应用规模：下属各科室、十几个病区，包括院内住院部、门诊部的5幢大楼，500多台医院内部计算机，主要为进入HIS系统的台式机、移动设备和部分打印机。

实现功能：Arp Access-list准入控制、应用系统补丁分发、远程控制、U盘禁用、IP/MAC绑定。黑白名单、终端不能改IP禁用本地连接属性、软件分发。

应用背景：

在多年信息化建设中，浙江省肿瘤医院内部已建立起了完善的临床、医技、财务、管理等部门的内部信息安全网，以及连接各医保中心、internet互联网的外部网络体系，信息交换、信息共享的模式日趋成形。但是在从信息系统获取便捷的同时，各种应用系统被破坏后带来的危害和损失也提高到一个十分重要的层次，如何保证医疗信息系统的7×24小时不间断运行，保证内网设备的安全使用，为院内的信息中心管理者带来了新的问题。

网络现状

ü 全院网络结构较为清晰，设备均为年来购买，网络基础架构较为规范；

ü 全网设备较为单一，核心采用双机主备，其他多为CISCO网络设备；

ü 有一定数量的hub；

内网安全风险

u 非法接入

在医院内外网隔离的情况下，内网由于欠缺安全防护手段，在医生或患者的笔记本电脑随意接入时存在极大的安全风险和管理隐患，甚至有可能成为非法“统方”行为的工具。

u U盘随意使用

内外网物理隔离，计算机专机专用，的确给内部办公带来了很多便捷，但也会给个人使用带来一些“不便”。因此，私自使用U盘进行娱乐资源的传输成为管理员极其头疼的问题，稍有不慎即有可能通过U盘产生全网的病毒感染。

u 终端未打齐补丁

内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存，无法对这些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发生，带来巨大的安全风险。

另外员工计算机水平参差不齐，许多人面对计算机问题无法进行及时修复，由于点数多，范围分散，出现问题后管理员需要频繁奔赴现场进行维护，工作效率极低。

u 远程协助的不受控使用

为了快速维护分散的大量计算机设备和多种业务应用软件，网络管理员经常需要进行远程协助。但如果使用“PCanywhere”或“REMOTE”之类的远程协助工具，将存在较大的安全风险，因为任何人都可以使用该工具远程登录其他人包括领导的计算机。如何在安全的前提下高效的进行远程协助？

盈高科技的医疗系统一体化内网安全解决方案

本方案采用杭州盈高科技的一体化准入和终端安全管理平台，在网络中部署一台AMC准入控制设备并安装一套DSM桌面管理系统，整个方案采用Arp Access-list准入技术，合法设备经过客户端身份验证后入网进行正常操作，外来设备只有经过管理员审核批准后才能够接入医院网络，整个网络边界明确，入网流程清晰。

 

 

浙江省肿瘤医院方案特点

u 部署迅速的Arp Access-list平台

利用快速部署技术，需要进入内网的新机器可以被引导到身份验证页面，通过安装客户端实现身份认证并进入网络。

u 能够按区域、 部门等角色定义人员和访问权限

本方案基于客户端的主机防火墙可以自定义合法设备的网络访问权限，即便在同一vlan中也能够划分不同的权限区域，从而帮助客户实现信息的合法、安全分配，真正做到准入体系的健壮性。

u 基于终端的阻断技术

采用基于终端设备底层驱动的阻断技术，对于非法流量直接在终端设备端进行阻断，能有效避免软件方式准入基于DNS或TCP欺骗方式的情况下，在网络设备端进行阻断时存在的各种安全漏洞，实现最完备的管理效果。

用户评价：

 盈高科技基于Arp Access-list准入技术的内网安全平台性能稳定，对网络边界的控制力度强，同时在对终端进行安全管理时能够有效地落实院信息部门的网络安全使用制度，效果很好。