医疗卫生
您当前位置:首页 > 典型案例 > 医疗卫生

浙江大学医学院附属邵逸夫医院

责任编辑:盈高科技    时间:2016-05-20    浏览次数:12906


项目简介

邵逸夫医院网络在进行升级改造的过程中,对于网内的等保保护添加了新的安全要求,需要实现全覆盖的网内IP设备的准入要求。届时,邵逸夫医院各个部门办公、公文传输将更加方便、安全。为了满足网络系统需要,更好的发挥领导管理职能,提升网络安全性和可靠性,邵逸夫医院决定将信息安全准入控制管控平台列为信息化建设的重要保障项目。


需求分析

邵逸夫医院一直很注重信息化建设,内部网络建设较完善,但随着网络应用的增加,各种新型的IP设备大量的添置到网络内部,导致网络安全管理的难度增大,面临的主要问题有,外来终端轻松接入内网,终端用户随意更改设备IP地址,终端随意卸载杀毒软件,系统存在大量漏洞,桌面管理操作复杂,无法识别接入网络的用户名及设备身份等。邵逸夫医院在网络管理中的具体需求为:

1.做到全无盲点的准入控制。

2.在准入控制的同时不改变网络拓扑。

3.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复。

4.落实终端对杀毒软件、桌面管理软件、移动存储介质软件的安装。

5.规范终端设备的IP地址,避免用户私自更改地址导致的地址冲突。

 

应用规模

邵逸夫医院拥有多个下属部门,核心网络的服务器统一部署于信息中心的核心机房,下属单位通过内网接入到核心网络,才能够访问服务器区。单位核心网拥有终端将近1300台。

 

解决方案
全网采用策略路由技术接入在核心交换,管理全网接入终端。具体方案包括:

1、客户端模式:采用安装准入客户端模式,友好web引导界面,提示用户如何安装准入客户端,快速实施部署,使用人员无抵触情绪。

2、强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用,限定帐号所使用的终端,确保接入用户的身份安全。

3、网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到网络隔离区,待危险终端到达安全级别后方可入网;

4、软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。

5、终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行;

6、内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。


价值收益

通过部署以上解决方案,单位实际工作获得如下成效:
1、对外来人员进行有效的管理,防止其接入单位网络访问重要的服务器,窃取单位的重要资料等;
2、提高运维工作效率、日常维护工作的方便工具,减轻维护压力;
3、规范移动存储设备的安全使用,明确工作U盘和私人U盘的使用界限,减少文档流失和病毒的进入;
4、提高终端设备的安全性和稳定性,减少漏洞攻击事件的发生,避免系统漏洞补丁引发的安全事件;
5、规范和简化了维护人员日常的工作;

6、保护了终端地址,避免了员工私自更改终端地址导致的IP冲突断网现象。