如何有效地对数据库服务器（及内网中的其他服务器资源）进行保护却是众多信息安全管理者颇为头疼的问题，往往当众人焦点都集中在不停地加固数据库服务器的时候，内网中的其他节点又成为了整体安全的短板。

    医云：“头痛医头，脚痛医脚，谬也”，合格的医者不会只关注病况出现的局部点，往往患者身体整体的宏观体征和表现更隐含了关键的病原和治愈方法。

    医学的观点同样体现在医疗卫生机构的信息安全系统中，对于重要服务器和网络中各类节点的保护，我们需要有整体性的宏观概念，因为网络中重要或不重要，位置于此或于彼的各节点都是由我们的基础网络架构所联系为一个整体，只有把握了整体的入网和出网管理权，才能真正达到对所有相关数据终结点进行保护的目的，实现网络中所传输数据的可信管理。

    正是基于整体性的“疗治网络”理论，浙江省肿瘤医院作为成立于1963年10月的国内最早4家肿瘤医院之一，选择了盈高科技的整体性网络安全解决方式——网络准入系统进行内部网络安全的治理工作。

    在盈高科技提供的网络准入整体解决方案中，将对入网设备和人员进行认证，规定必须安装盈高科技的终端安全管理客户端后才允许接入网络；并设定各类设备入网的时长；用户更改IP需要向管理员进行申请；并且整个准入系统可以自动分发软件以及补丁等；全院内一般电脑禁止使用U盘，由管理员指定特殊设备作为数据交换的管理点。

    针对医疗卫生行业内普遍存在的hub接入问题，盈高科技的准入控制系统能够基于网络部署的层次来克服hub的管理缺陷，利用基于ip-mac对的准入管理模式，准确定位所有设备节点，确保各种网络环境下的计算机均接受有效管理。

    利用精准定位的准入控制系统结合有效管理终端计算机的安全客户端，浙江省肿瘤医院实现了：

　  防止网络非法接入

    1.计算机接入管理：在医院内外网隔离的情况下，内网由于欠缺安全防护手段，在医生或患者的笔记本电脑随意接入时存在极大的安全风险和管理隐患，甚至有可能成为非法“统方”行为的工具。借助网络准入系统，明确了网络边界，外来设备在非授权入网时得到了有效的阻断，大大降低了非法“统方”安全事件发生的概率。

    2.移动存储接入管理：内外网物理隔离，计算机专机专用，的确给内部办公带来了很多便捷，但也会给个人使用带来一些“不便”。因此，私自使用U盘进行娱乐资源的传输成为管理员极其头疼的问题，稍有不慎即有可能通过U盘产生全网的病毒感染，并且非授权使用的U盘极易成为非法“统方”者盗取数据资料的工具。借助对终端设备进行安全管理的盈高终端管理系统，能够有效阻断非授权U盘的接入和网内不同部门间U盘的交叉使用，从而有效地避免了网内重要数据的泄露与外传。

    防止非法外联

    作为内外网实现了物理隔离的医疗卫生系统网络，内网设备的非法外联也是安全管理的重中之重，在封闭了非法外来接入的情况下，重要数据传播到外网的唯一途径就是通过拨号、代理、双网卡等外联方式非法连接到互联网，从而建立起？黑色？的数据交易链。在盈高科技准入安全扫描和桌面管理系统实时检测的双重安全保险下，完全杜绝了非法外联的行为，成为了保护医疗系统内部数据的另一道绿色屏障。

    节点系统加固

    内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存，无法对这些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发生，带来巨大的安全风险。通过准入系统对所有数据节点的安全评估及修复，浙江省肿瘤医院极大地提高了信息系统自身的抗攻击和抵御风险的能力，实现了全网整体安全性及健康强度的大幅提升。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。