本栏目责任编辑:代影网络通信与安全ComputerKnowledgeandTechnology电脑知识与技术第18卷第35期(2022年12月)准入系统在医院网络安全和终端管理中的应用研究陈银评,李峰林*(厦门大学附属中山医院,福建厦门361002)摘要:针对医院网络规模和终端数量不断增长,信息中心管理工作日趋复杂和困难的问题,结合准入系统在该院的具体实施情况,阐述该系统在阻断非授权设备侵入内网方面的作用,有效地保障医院网络系统的安全。同时通过制定软件、硬件的黑白名单目录,对网络中已授权入网的终端设备进行定期监测,对不符合要求的设备进行隔离处理,从而达到终端管理的目的。系统的查询与统计功能优化了设备的查找、定位和分析工作,提高了系统管理员对全网资源的管理效率。关键词:准入系统;网络安全;终端管理中图分类号:TP311文献标识码:A文章编号:1009-3044(2022)35-0076-02开放科学(资源服务)标识码(OSID):1背景随着医院信息化的发展,医院网络规模变得越来越庞大和复杂,如何保障医院网络安全稳定运行是医院信息中心必须要成功解决的课题。一般情况下,我们会把网络保护的重点放在来自外部的攻击上,如在内外网边缘部署防火墙、网闸等设备,但很多来自内部的攻击往往更加隐秘,更容易被忽视。在医疗机构中存在大量分散、无人看管的终端设备,如自助机、呼叫器、医疗信息动态显示屏等,这些设备往往会成为别有用心的人侵入内网的突破口,而准入系统在防止这方面的攻击上有很好的应用场景和保护作用。2系统部署方式系统采用核心交换机旁路接入同时加策略路由的方式部署,拓扑图如图1所示。图1准入旁路部署拓扑图该部署方式的优点是对原有网络架构的改动量较少,系统发生故障时可实现软剥离,恢复速度快。我们通过在核心交换机上制定的策略路由,将需管理VLAN的数据包引入到准入控制设备,对具有合法身份标识符的数据包,准入设备将给予放行;对来自非授权设备的数据包,准入系统将其引入一个单独设置的隔离区,该隔离区的数据包无法进入医院内部网络。当终端设备访问隔离区时,部署在隔离区的探测器会将该终端定向到准入控件安装界面,并引导用户填写所属科室、位置、使用人及联系电话等信息[1],系统管理员从后台管理审核界面中接收到注册申请信息后,通过对申请信息真实行进行核对,并进行批准或拒绝操作,如图2所示。图2管理员设备审核界面3系统功能的制定与管理3.1网络身份识别该院网络地址分配方式采用静态IP地址设置,全网IP地址由信息...
