内网安全管理系统在医疗行业的应用

　　作为医疗行业信息化的重要推动力，医院信息系统(HIS)经过近二十年的发展，已经初具规模。目前，我国大部分医院网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台，为了保障安全，业务网与办公网之间进行了物理隔离。然而，随着业务网应用的深入，业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患，例如人员的非法接入、因员工滥用移动存储导致的信息泄漏，违规使用BT等P2P软件造成的带宽滥用等。为了保障内网安全，深化医疗信息化的发展，医院迫切需要一套有效的内网安全管理系统。

　　联想网御综合多年对医疗行业用户需求的深刻理解，倾力打造联想网御内网安全管理系统(Leadsec-ISM)。联想网御内网管理系统的扩展技术遵循相关的国际标准，具有开放的API接口，可支持对网络安全管理系统的集成、与身份认证系统的整合以及对第三方安全管理系统的二次开发。此外，联想网御内网管理系统可与联想网御其他产品实现有机联动，内网安全管理系统和UTM产品的有效联动可以共同防御网络内部和边界的安全威胁，给医疗行业用户提够更加丰富的全网安全解决方案。

　　因此，在医院业务网中部署联想网御内网安全管理系统，在业务网管理安全域设置管理中心，在所有服务器和终端主机上安装终端管理软件，(如图所示)能够有效防止病毒、木马与非法用户所带来的危害，保证医院的正常办公环境。

[next]

　　针对人员非法接入的问题， Leadsec-ISM基于802.1x协议或ARP协议阻断等手段，能够有效地控制非法用户的接入，实现精确的准入控制，保证业务系统的正常运行;

　　针对由于业务网与互联网物理隔离导致的操作系统补丁无法及时更新，安全漏洞无法及时解决等问题，Leadsec-ISM基于补丁分发管理功能，可自动实现终端主机的系统补丁更新，降低终端主机感染病毒的机会，增强安全性;

　　针对因医院员工滥用移动存储设备造成的信息泄露和病毒泛滥，Leadsec-ISM可在在线和离线的情况下，对终端主机硬件外设接口进行有选择性的禁用管理;

　　针对内部人员滥用P2P软件，造成网络带宽被占用，工作效率下降的问题，联想网御基于采用进程管理和黑白名单等技术，对终端行为进行约束，终端只能运行被允许的特定应用程序，同时，通过设定终端主机流量来控制终端主机的访问流量;

　　针对终端主机硬件信息统计困难的问题，Leadsec-ISM可随时统计终端主机的硬件配置和软件程序，并形成报表，同时，由于医院员工计算机知识欠缺，管理员常需要到现场解决问题，Leadsec-ISM基于远程协助技术，让管理员可远程对任意终端主机进行接管及操作。

　　针对医院人员和部门众多的特点，Leadsec-ISM还可基于分组管理功能，在控制台上可清楚呈现医院的组织结构，并按组进行统一策略配置。

　　部署联想网御内网安全管理系统后，规范了内网用户的网络行为，有效保障了医院内网安全，降低了管理员维护难度，为业务网信息系统更有效发挥作用，推动医疗信息化向纵深发展创造了有利条件。