解放军总医院：医院人员及信息终端分类安全管理实践与探索

一 项目背景

　　1.现状

　　随着信息技术的不断进步和深入应用，大型三甲医院医疗内网信息终端数量剧增、种类繁多，难以统一纳管;同时，使用信息终端的人员类型复杂、流动性大，导致终端管理难度加大，用户越权访问的矛盾不断凸显，为医院内网安全带来了更为严峻和复杂的网络安全挑战。

　　当前解放军总医院的信息终端主要分为有线终端和无线终端两类。对于有线终端采用交换机准入技术和安装终端管控软件的方式，实现设备的网络准入管理、终端外设使用、违规外联行为管控等;对于无线终端，与有线终端网络分区管理，使用IP-MAC锁定计算机IP地址，操作系统中安装内网VPN和沙箱零信任系统等，实现医疗业务APP只能在内网沙箱中运行，脱离内网系统和数据将被加密从而无法使用，确保医疗数据安全。

　　同时，作为一个信息和技术密集型医院，医护人员秉承着效率优先的工作原则，对网络和信息系统使用体验要求高;临床科室在科研方面与第三方厂商合作紧密;信息科拥有自己的开发团队支撑医院信息系统的建设。因此，结合不同人员的身份、业务访问需求，我们将使用信息终端的人员归纳为三类：医护工作人员、第三方厂商人员、信息科开发人员。每类人员采用不同的安全管理策略，具体为：医护工作人员需要使用医院内网终端访问医疗信息系统和办公系统等，终端网络访问不受限制，通过现有网络准入和终端管控技术保障终端安全;第三方厂商人员需要运维医院外部引进的信息系统，访问相关业务服务器，对于多数第三方厂商人员采用集中管理的方式，通过防火墙和堡垒机的技术组合实现网络访问限制和运维审计;信息科开发人员需要使用两台终端分别访问开发网络和医院内网，在开发网中完成软件开发工作，通过云桌面技术访问代码开发平台，确保代码不落地，保证源代码安全。在医院内网中完成日常办公，通过现有终端管控技术保障终端安全。

　　2.存在的问题

　　(1)医院内网中通过终端IP地址仅能定位到设备位置，无法追溯到上网人员;

　　(2)缺少对于分散在科室的第三方厂商人员的管控手段，此类人员信息技术水平高，一旦怀有恶意动机，接触到医护工作人员的信息终端，极易造成网络越权访问，导致他们能够接触到敏感数据或关键系统;

　　(3)信息科开发人员需要在开发网和医院内网中分别使用两台不同的信息终端切换工作环境，效率较低;

　　(4)开启网络准入、身份认证等管控手段后，医护工作人员需要进行多次认证，影响工作效率、体验感差、账号管理负担重。

　　综上所述，为了完善医院的网络安全管理，需要从“人-终端-场景”协同角度联合考虑，平衡工作效率、安全与用户体验，提出了医院人员及信息终端的分类管理机制，达到对医院安全管理精细化的目的。

二 建设方案

　　采用准入控制技术，利用多因素认证的方式，将用户账号与IP地址、硬件信息进行绑定，实现了通过终端IP地址追溯到上网人员;利用用户账号分组管理方式，细化网络访问控制权限，实现基于用户身份的统一安全策略，防止越权访问。

　　采用域控技术接管用户操作系统、准入认证等一系列账号，医护人员只需通过域账号的认证即可入网，实现用户只需一次认证、管理一个账号，从而优化用户体验、提升工作效率。同时，利用域控技术结合准入控制技术对不同域账号分配相应网络访问权限，使得开发人员可在一台终端上通过切换域账号的方式实现不同网络环境的切换，从而提升工作效率。

三 关键技术

　　1.准入控制技术

　　与传统的IP-MAC网络准入方式相比，本技术采用多因素终端准入认证方式，联合用户账号、IP地址、硬件信息生成设备唯一标识码，将唯一标识码作为设备入网凭证，避免非法设备伪造MAC地址入网。同时，以用户账号分组方式限制不同人员的网络访问权限，如对访问对象的地址、域名、端口等进行限制，实现了第三方厂商人员只能访问指定业务系统。从网络管理手段上杜绝了第三方厂商人员越权访问，如图1所示。

图1 准入控制技术流程图

　　2.国产域控技术

　　采用国产域控技术对不同用户群体构建集中化账号管理架构，通过部署域控制器实现医院信息系统的账号统一接管机制，为用户分配域账号作为各系统访问凭证，在操作系统层面完成域账号登录后自动关联准入控制系统等业务系统的权限认证流程，实现登录操作系统后即可获取业务系统授权，无需再分别进行身份验证，有效改善传统模式下登录多个业务系统操作效率低下问题。同时依托域控系统结合准入控制系统进行细粒度访问控制策略，例如，针对信息科开发人员分配两个域账号用于在医院内网和开发网中切换工作;针对医护人员通过一键登录代替原有终端操作系统、准入认证等多次登录验证，减轻医护工作人员账号管理负担，提升用网体验。具体架构如图2所示。

图2 域控架构图

　　(1)在域控系统中为各个用户新建域账号。

　　(2)域控系统接管操作系统的登录账号，实现用户登录域账号即可登录其操作系统。

　　(3)域控系统根据账号身份，分配用户可登录的业务系统与可访问的网络资源。

　　(4)域控系统接管各业务系统的账号，实现用户登录操作系统后即可直接获取业务系统的访问权限，无需输入业务系统的账号。

四 应用场景及实践效果

　　1.准入控制技术

　　(1)结合账号认证，实现上网人员追溯

　　将账号和终端信息作为身份验证的主要凭证，其中终端信息包括设备的硬件特征(如MAC地址、机器码等)以及交换机端口的绑定状态，如图3所示。利用账号和终端信息进行准入认证，实现设备上网操作可追溯到人，如图4所示。

图3 设置终端准入控制信息

图4 入网设备信息

　　(2)用户分组管理，解决分散在科室第三方厂商人员网络访问控制问题

　　根据业务需求将第三方厂商人员分组，并针对每个用户组制定相应的网络访问规则，结合实际工作场景，确保其仅能访问与其工作相关的业务系统，实现了网络资源访问权限的最小化，如图5所示。例如，对于第三方厂商人员的系统运维工作，只允许其访问堡垒机的443端口，如图6所示。

图5 用户分组管理

图6 用户网络访问权限设置

　　2.域控技术

　　(1)一键登录完成安全验证，提升医护人员用网体验

　　采用域控技术前，医生需要登录Doctor账号进入操作系统，再输入准入认证账号test完成入网，至少需要输入2次密码，如图7所示。

　　采用域控技术后，为用户创建域账号WIN-LUICG55Q96L/Doctor，利用该域账号实现操作系统和准入控制系统的一键登录，输入1次密码即可完成入网，如图8所示。

图7用户传统入网方式

图8 用户采用域控技术入网方式

　　(2)通过域账号权限分配，解决开发人员单终端无法支撑多业务问题

　　在域用户账号分组管理的基础上，结合准入控制技术，对不同组别的域账号进行访问权限分配。为信息科开发人员分配2个域账号(分别在解放军总医院信息科组和信息科医疗开发组)，可实现在同一台终端上，通过切换域账号来进行开发网(vlan100)和医院内网(vlan1)的自如切换，如图9所示。

图9 域账号分配访问权限

五 结束语

　　针对医院使用信息终端的人员类别复杂、位置分散、访问控制策略粒度不细等问题，解放军总医院以“人-终端-场景”协同管理为核心，通过优化技术手段和管理流程，构建了更灵活高效的安全管理机制。通过准入控制技术，将用户账号与设备信息、网络权限关联，确保每个终端上网操作可追溯到人;利用域控系统简化医护人员的入网认证流程，避免重复认证，兼顾安全性与操作便捷性，同时为开发人员提供单终端多环境切换功能，减少终端在开发网络和医院内网的切换过程，提升工作效率。未来可进一步利用域控技术，对应用层面进行更多适配，实现用户终端-网络-应用系统的统一认证授权，打破“安全与效率对立”的误区，构建“安全为基、效率为要、体验为纲”的三维平衡模式，实现三者共生共促。

　　(来源：CHIMA 2025医院新兴技术创新应用典型案例集)