智者论道
玻尿酸蚕丝面膜智库时代 ·263·
耿 力
(北京华信医院(清华大学第一附属医院),北京 100016)
摘要:近年来,随着医院对信息化建设要求的不断提高,互联网在医疗业务中的应用日趋增多,一个安全、稳定的网络环境尤为重要,然而,随着网络接入手段越来越多,医院的网络安全环境受到越来越多的挑战。 在这种情况下,需要更为科学的IP 地址划分和更为有效的准入控制系统。
关键词:IP 地址划分;准入控制;MAC 地址绑定中图分类号:TP316.8
文献标识码:A
文章编号:2096-4609(2019)36-0263-002
在当今时代,医院信息化建设无一例外地要依托网络基础设施的投入,而医院网络基础设施水平的高低
就直接关系到信息化项目应用的水平和使用效率。而我院由于经费原因,很多网络基础设施已经相当落后,成为制约我院信息化建设发展的短板。为进一步保证医院的医疗业务的运营,我院进行了信息网络的全面改造升级,医院网络的各项性能得到了很大提升,为实现三级等保要求在内网改造过程中重新划分IP 地址并加入准入控制系统。
一、当前背景
矿泉水瓶盖>毛发生长剂
我院一直采用内外网的物理隔离,内外网的物理隔离理论上确实能够有效的隔离医院的内网和外网,两种网络的功效各不相同, 内网的功能是保证医院业务正常运行,因为医院的核心系统都在内部网络里,比如his 系统、电子病历、lis 系统、pacs 系统等等,所以内网的改造是这次网络改造的重点,通过网络改造要进一步提升内网的安全性、稳定性和实用性。外网的功能是为了连接公共网络,所以外网有更大的风险受到来自公共网络的恶意攻击,从而导致数据丢失和系统崩溃,但是在实际应用中物理隔离不能真正有效的隔离两种网络电脑相互连接的可能。所以必须通过完善的终端IP 地址划分和部署准入控制系统,来遏制破坏内网的可能。 二、问题描述
身为医院网络的管理者有时会遇到IP 地址冲突的情况,这种情况干扰了终端正常连接网络,局域网中发生IP 地址冲突的情况有很多,一种情况是误操作,在配置终端网络IP 地址时没有按规定和要求进行
操作, 导致输入了冲突的IP 地址,这类现象给内网的风险并不大。另一种情况是医院对内部网络的管理制度不到位,IP 地址划分简单且没有准入控制系统,有部分内部用户或外
弱碱性水机来人员使用个人设备私自接入内网,由于在网络改造前大部分终端没有进行IP 地址划分,且与医院内网主要业务服务器IP 地址同属一个VLAN,如果有人利用这一点获取内网IP 地址,再绕开内网的防护系统, 就可能会导致重要信息的泄露以及恶性病毒的入侵。
三、实施IP 地址划分
医院网络管理人员要进行有效的管控措施,杜绝外来设备随意接入,为实现医院网络的良好运用,必须对IP 地址进行更为科学的管理划分,对非法接入终端的行为进行有效避免。所以在这次网络改造中进一步提升了对交换机的管理,提出了更为精细的IP 地址划分方案,把医院的不同科室归入于不同的VLAN 范围内,精细的IP 地址可以控制广播风暴、提高网络整体安全性并且使网络管理更简单、直观,我院使用的是基于交换机端口划分VLAN 的方式,这是当前最为常见的一种VLAN 划分方式,这种方式可以实现同一交换机,不同端口归属不同科室,实现不同功能的目标,进一步为医院节省了网络信息改造的成本。
四、准入控制技术实现
导热油配方
准入控制系统精细IP 地址划分确实提高了内网的使用规范和安全级别,然而随着网络接入手段越来越多,我们需要新的网络安全方案确保医院的内网安全。
网络准入控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对安全造成危害,借助网络准入控制技术,可以控制经讨授权的、合法、安全、值得信任的终端设备接入网络,而未经授权的终端不能接入。网络准入控制系统基于一个个新系统架构,它将整个内网安全防护策略划分为锣辑上的3个组成部分:①内网边界安全防护,对来自网络外部的安全威胁讲行安全防护;②内网安全威胁
防护,对来自网络内部的安全威胁讲行防护;③外网移动用户安全接入防护,用于保证内部移动用户在不同网络环境中的自身安全及网络安全。因此,只有建立完整的网络准入控制体系才能有效保护内部网络安全,只有拥有网络准入控制的终端安全管理体系才能够提供终端的个程、纵深终端安全保障体系。这次网络改造通过天融信公司的网络安全准入控制系统来实现这一目标,
该系统支持四种准入模式:802.1X 准入模式、Portal 准入、策略路由准入、透明网关准入,我院采用的是802.1X 准入模式。802.1X 准入模式基于Client/Server 的访问控制和认证协议802.1X,通过接入端口限制未经授权用户访问网络资源。在获得网络访问权限之前,802.1X 对连接到交换机端口上的用户/终端进行认证。在认证通过之前, 802.1X 只允许EAPoL(基于局域网的扩展认证协议)数据通过终端连接的交换机端口;认证通过以后,正常的数据才可以顺利地通过以太网端口。在使用前要对准
入系统进行8步配置步骤,以便达到完整的安全风险控制、预防和响应要求,(1)在基础配置选项卡中选择802.1X 准入模式;(2)添加或导入用户信息;(3) 配置终端入网健康检查对象;(4) 配置终端入网健康检查策略;(5)配置终端入网外联监控对象;(6)配置终端入网外联监控策略;(7) 配置终端入网设备监控对象;(8) 配置终端入网设备监控策略。
IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了802.1x 协议。后来,随着技术的发展,802.1x 协议被广泛应用在以太网上,作为一种接入控制机制。802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol),即是指在接入设备的
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议