”SDN轻量级准入”方便管控终端，助力厦门百年医院智慧医疗

医疗互联网时代，由信息泄露导致的各种悲剧和案件时有发生。在医疗领域，患者的隐私信息泄露已成为社会的巨大隐忧，不少医院的用户信息更是成为犯罪分子的重点盗取目标。为了更好地防范安全风险，厦门大学附属第一医院 杏林分院（以下简称：杏林分院）一直在寻找克服终端安全隐患的“良药”。

  终端准入面临多重困境  

杏林分院位于厦门杏林台商投资区，创立于1898年，历经百余年的发展，杏林院区已经成为国内专治肺病的特长专科医院。

     在医疗行业中，网络常分为内网和外网，其中内网承载病人的就诊记录、健康信息、社保数据等。基于安全考虑通常会对接入内网的终端先进行审核，合法的终端才允许接入网络，因此，对终端准入的管控，自然而然地成为杏林院区防范安全风险的第一道门禁。

杏林分院信息处的林主任早就认识到医疗终端准入的重要性，且对目前主流厂商的常见准入策略 (如802.1X认证、Web认证)有充分的了解，但是由于负面带来的认证服务器单点故障（造成医院大面积网络瘫痪），认证性能瓶颈，需要客户端（医疗仪器终端无法安装）等问题，造成了当前医疗行业内可选择的动态认证方式并不多。

• 痛点一：动态认证型准入局限性

比如：医院门诊有非常多的哑终端，目前业界的方案都是要装客户端或者网页认证，无法在诸如取号机，电视墙，LED叫号机等设备上使用。

图：自助机/自助打印机

• 痛点二：IP+MAC绑定的局限性

手工管理、配置IP地址繁琐：在Excel表格中维护全院上千个终端IP，在绑定MAC时手工对每台接入交换机配置，人为产生的错误概率激增（如：地址的8跟B、0和o有时候长太像了）

终端管理复杂：终端设备报废（IP需及时回收）、跨网关迁移（如病区装修）、甚至没有贴MAC标签等各种情况，给终端设备及时入网增添了重重困难。

  轻量级准入方案——针对痛点的精准“外科手术”  

对于医疗行业经常遇到的终端管控这一“疑难病症”，锐捷网络创新推出SDN轻量级准入方案可以说是切中痛点的“精准外科手术”，其优势主要体现在以下三个方面：

1. 所有医疗终端免客户端准入

在医院所有场景，各类取号机，电视墙，LED叫号机等无客户端的哑终端都能做准入，简单安全。

2.IP+MAC信息的自动收集

通过自动IP+MAC信息收集和绑定，告别手动收集MAC地址、手动绑定IP和MAC、手动配置接入交换机，既减少杏林分院网络维护中成倍的工作量，又极大减少人为因素产生错误的概率。

3.可视化IP地址管理

在此之前，杏林分院使用的给医疗终端分配静态IP地址的管理方式，这不可回避的就是IP地址管理的问题。轻量级准入的IP可视化管理让原来只能通过Excel来简单记录IP地址的杏林分院有了更直观简单的解决办法。

杏林分院从7月份割接SDN控制器与20多台接入交换机，接入门诊、住院部等地区近百台各种类型医疗终端，截止到目前稳定运行。

“锐捷的SDN轻量级准入方案的功能实用方便，IP地址管理清晰直观，自动化水平高，让内网终端接入管理变得轻松简单，有效保护了医院的数据和信息系统安全。”杏林院区信息处林主任对方案的评价，肯定了锐捷SDN轻量级准入方案的“疗效”。