• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Solution/IndustrySolution/Medical/Big_Medical/Solutions/200711/319468_30004_0.htm

拿什么来保障医院信息终端的安全――H3C_EAD在医院网络中的作用

【发布时间:2007-11-26】

 

眼下,信息技术飞速发展,越来越多的国内医院纷纷加速实施基础信息化网络、HIS系统的整体建设,以提高医院的服务水平和核心竞争力。经过十几年的发展,医院信息化已经发展到高速成长期,成效也越来越显著,各种业务应用越来越紧密地与网络融合在一起。这种融合使我们不得不面对和解决一个非常重要的问题,那就是倍受关注的网络安全问题。

近几年,各医院都依据实际情况,打造起适合自己的安全体系,比如说,采用防火墙、防病毒等安全防范措施。然而,当前的网络病毒越来越智能,不仅可以通过各种方式疯狂传播,而且可以对抗系统中的防毒软件,使用户的防毒软件不起作用或者完全被“杀死”,丧失防护能力。今年年初在全国大规模爆发的“熊猫烧香”病毒就是一个例子。因而,局域网内部安全部署时,要严格使网络内部安全策略一致,坚决避免任何一台终端PC成为病毒源,以确保整个网络的安全。

确保网络中的终端安全状态符合医院网络统一的安全策略,是每个网络管理人员不得不面对的挑战。然而,我们的网络也会面临这样一些情况:有时候,新的系统补丁发布了,却无人理会,任由漏洞存在;新的病毒出现了,却没有及时的升级病毒库,为入侵大开方便之门;医院的办公终端安装一些与工作无关的游戏、聊天软件等,给网络留下安全风险的同时,也直接影响工作效率。种种情况在医院网络中确实存在,然而,管理人员查找、定位、修复这些不符合安全策略的用户终端,却费时费力。目前,医院网络中缺少一套有效的智能监管系统,由此导致医院的安全策略、安全规章制度与用户实际执行情况严重脱节,安全问题不断涌现,也给医院的正常业务运行造成了很大的影响。

在医学上,如某一区域发生了传染疫情,为避免扩散,通常采取“隔离”的手段。例如“非典”期间对“发热疑似病例”和“确诊病例”的隔离。而在我们的网络中,如果一台终端PC感染了网络病毒,在接入网络之前没有做任何的检查,或者是采取的防范措施不到位,病毒很容易就会传播到其他用户终端甚至是医院的信息服务器,这将直接影响整个网络的稳定运行。无异于一个“非典”病人进入人群密杂的大型商场,后果不堪设想。针对这种情况,如果有一套系统能够智能地识别存在安全威胁的终端,在其接入网络时,将该用户转移到一个“隔离区”,强制用户在该区域进行病毒库的升级、打上最新的系统补丁,卸载非法软件等操作,然后由系统对其进行安全评估,直到符合我们制定的安全策略之后,才对其“放行”,让他进入到我们的医院网络中。如此一来,可以最大限度地避免“疫情扩散”,减少不必要的损失。

基于上述“检查”、“隔离”的思想, H3C 推出了一套行之有效的面向局域网络边界安全防护的 “端点准入防御”系统(EADEndpoing Admission Defense)。该系统从网络终端入手,整合网络接入控制与终端安全产品,强制实施统一的医院网络安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,最终控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,在局域网络终端边界接入层面可以帮助管理员统一实施医院的网络安全策略,大幅度提高医院网络的整体安全水平。

具体来说,在医院网络系统中,H3C EAD系统从以下四个步聚解决网络内部边界安全问题:

首先要解决 “你是谁?”,即对用户进行识别,系统只允许本医院或经过授权的外部工作人员使用他们的网络,其他人员一律拒之门外。

其次是“你安全不?”,系统要对接入网络的用户进行安全评估,看其是否符合医院制定的安全策略,如果用户终端存在安全风险(如没有更新系统补丁、病毒库,安装非法软件等),则被强制隔离起来,待消除安全风险后,方可接入医院网络。

再次,要解决用户进入网络后,“可使用什么网络资源?”,即用户权限划分问题。用户进入医院网络后,系统根据用户的不同身份与职责进行权限划分,用户只能严格按照自已的权限访问网络,避免了网络资源的滥用。

最后,要对用户的网络行为进行记录,使用户的网络行为有迹可寻,有据可查。

确保接入终端安全的四步聚,如图(1)所示:

图(1EAD系统安全防范步聚

简单来说,医院网络中的EAD系统,具有层层安全审查与过滤功能,能确保每个接入终端都是安全的,这样威胁就无法进入网络,使我们拥有一个“干净”的网络环境。

那么,如何快速地将功能强大的EAD系统部署到我们医院网络当中呢?我们得先了解一下H3C EAD系统是由哪几部分组成的,知道了EAD系统各部分的功能,它在网络中部署就会一目了然。

EAD的核心是整合与联动,系统基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。EAD系统中的各部件各司其职,由安全策略中心协调与整合各功能部件,共同完成对网络接入终端的安全状态评估、隔离与修复,以提升网络的整体防御能力。

图(2) EAD系统基本部件

p         安全客户端:是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体;

p         安全策略服务器:是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能;

p         安全联动设备:是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机、路由器或防火墙安全网关,分别实现不同认证方式(如802.1xPortal等)的端点准入控制。

p         第三方服务器:是指处于隔离区中,用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。

了解了EAD系统上述各部件功能,其在医院网络中的具体部署就显而易见了,如下图(3)所示。

图(3EAD系统部署

对于某些大型医院存在一个或多个专科分院的情况,我们通过EAD系统特有的远程VPN接入功能,使医院本部、专科分院以及在家办公、出差人员,形成一个统一的整体。这样一来,用户的物理位置不论在哪,在逻辑上该用户始终在医院网络当中,可以随时随地访问医院内部网络资源。

H3C EAD系统提供了一个全新的安全防御体系,将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。EAD系统通过安全客户端、安全策略服务器、接入设备以及第三方软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升医院网络抵御新兴安全威胁的能力。

无疑,H3C EAD解决方案为医院网络提供了一个“自动免疫”的平台,在此基础上,医院内网能够变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,这也为医院筑起了一道保障信息安全的铜墙铁壁。

 

 

新华三官网
联系我们