导 语

医疗数据如患者隐私信息、实验数据、病例样本等都具有极高的价值，，，，，，以是越来越多不法分子通过散播勒索病毒、加密服务器所有文件等方法中止公共卫生服务，，，，，，并索取高额赎金，，，，，，给医疗结结构成不良影响以及经济损失。。。。。同时，，，，，，医疗行业也是一个内部威胁高于外部威胁的行业，，，，，，其中既有医护职员对患者隐私；；；；；ひ馐兜脑倒试，，，，，，也包括部分可以接触到整个数据库的运维职员因操作失慎或羁系不到位，，，，，，造成敏感信息的泄露。。。。。

在此配景下，，，，，，医疗机构应高度重视数据清静治理，，，，，，通过健全治理机制，，，，，，完善手艺系统，，，，，，形成贯串全院的清静防护机制，，，，，，为患者营造清静的就诊情形。。。。。而零信任网络的焦点头脑是“永不信任，，，，，，一连验证”，，，，，，以用户身份认证和资源授权取代了古板内外网隔离的界线防护系统，，，，，，能够资助宽大医疗机构在“互联网+康健医疗”新模式下，，，，，，实现细粒度的会见控制能力，，，，，，同时也可以实现对隐私医疗数据的更好；；；；；。。。。。

清静牛在近期开展的《现代企业零信任网络建设应用指南》报告研究历程中，，，，，，对西部某大型综合性医院零信任网络建设项目举行了调研剖析，，，，，，并从用户需求、计划设计、计划建设及运营等维度，，，，，，对项目现实建设履历和特点举行了研究总结。。。。。

本案例已收录于《现代企业零信任网络建设应用指南》，，，，，，项目由3377体育网官网入口建设实验，，，，，，并提供案例研究支持。。。。。

项目配景

西部某医院是一家大型综合性医院，，，，，，随着云、物联网、5G手艺的快速应用，，，，，，在远程医疗服务、数据治理和内部相一律等方面临信息手艺的依赖日益增添，，，，，，同时也引入了诸多清静危害：

第一，，，，，，医务事情者通过互联网对挂号、诊断、治疗、购药、康健治理以及内部医疗信息系统等举行多点执业，，，，，，越来越多的内部系统面向互联网开放共享，，，，，，增添了营业系统的袒露面,加大了营业系统遭受攻击的可能性；；；；；

第二，，，，，，终端类型多样化、会见情形多样化、职员重大等导致终端治理的清静性和兼容性问题增多；；；；；

第三，，，，，，事情职员在使用终端装备时，，，，，，容易通过复制粘贴、分享某人为外发等方法举行数据泄露；；；；；

第四，，，，，，在远程医疗接入场景下，，，，，，保存着身份认证方法简单、账号被盗用等诸多危害。。。。。

在此配景下，，，，，，该医院决议接纳零信任理念，，，，，，构建一个越发清静、高效的远程营业接入情形，，，，，，建设更严密的清静防护系统来；；；；；な只搅朴悼煽吭诵，，，，，，提升医疗系统整体清静性和可靠性。。。。。

解决计划

针对该医院现有网络清静防护系统中保存的应用会见控制和数据；；；；；つ芰θ狈Φ任侍，，，，，，3377体育网官网入口立异设计了包括控制器、清静网关、客户端三大焦点组件的零信任网络建设计划，，，，，，从多域身份治理、细粒度权限治理、一连信任评估和动态会见控制等多个维度，，，，，，包管医院的数据资产清静，，，，，，确保医院员工在远程办公历程中的数据清静和营业一连性。。。。。计划架构如下图所示。。。。。

图1 计划系统框图

在计划的落地建设历程中，，，，，，零信任控制器接纳旁路方法安排在医院总部，，，，，，零信任网关接纳串联方法安排在各分支机构，，，，，，零信任客户端装置在会见用户营业系统的用户终端上，，，，，，从而有用兼容客户终端的重大情形和设置。。。。。

（1）零信任控制器系统

通过对接医院现有的PKI、密码等基础设施，，，，，，同时对接医院内部现有SOC、防病毒、纵深防御等信息系统，，，，，，团结目今信息系统已有的清静防护能力及剖析能力实现对用户会见的一连信任评估和动态授权验证。。。。。

（2）零信任网关系统

为医院的内网办公、远程接入、运维治理和移动办公提供一个清静、可靠、高效的会见控制和数据；；；；；。。。。。同时具备应用级、功效级和API级会见控制能力，，，，，，可解决C/S架构应用和B/S架构应用的清静会见问题

（3）终端侧感知

通过零信任客户端系统提供了身份认证、数据引流和情形感知能力，，，，，，实现用户对应用营业的清静会见，，，，，，为实现零信任的动态授权验证提供手艺支持。。。。。

该计划可提供内部会见、外部会见等多营业场景的零信任防护。。。。。在外部会见方面，，，，，，公众（远程问诊、远程开约、互联网持号）、医院分支机构、外部或内部运维职员通过信任评估后，，，，，，方可会见营业；；；；；在内部会见方面，，，，，，为医院各科室（麻醉科、儿科、呼吸科等)医生的营业会见提供基于零信任架构的清静通道。。。。。同时，，，，，，还资助该医院实现了医疗联网资产全生命周期管控，，，，，，自动发明医院全网的医疗联网资产并对其举行准入控制，，，，，，实现接入前、中、后的全方位清静防护。。。。。

项目实验和运营

项目实验前，，，，，，项目团队与医院IT部分相助，，，，，，深入相识了医院现有终端、网络以及营业情形，，，，，，通过需求剖析、计划设计、系统安排、清静设置等环节量身打造一体化联动管控解决计划。。。。。确定了将控制器作为全局控制单位，，，，，，春联动组件举行集中管控，，，，，，一方面临外部接入场景举行清静接入防护，，，，，，同时对医院内部营业会见场景举行清静接入管控，，，，，，实现一体化联动治理。。。。。

项目实验时代，，，，，，项目团队充分思量医院营业特点、网络架构以及未来生长需求，，，，，，分阶段完成计划实验。。。。。在医院内部网络及接入端安排零信任控制器、清静网关、客户端等组件，，，，，，并凭证医院的清静战略，，，，，，设置会见控制规则和清静战略，，，，，，如通过SPA预认证实现医院营业“网络隐身”、使用动态授权实现最小化权限管控、建设加密传输通道包管信息清静等，，，，，，确保计划的有用落地。。。。。同时经由多轮调优测试，，，，，，增强客户端的清静性和稳固性，，，，，，确保在使用营业系统时越发流通和清静的体验。。。。。

项目试运行时代，，，，，，项目团队聚焦于提升信任推断的准确性，，，，，，通过一直的数据剖析、系统优化及场景演练，，，，，，确保整套零信任手艺步伐正常运行，，，，，，充分知足医院预期。。。。。同时对医院员工举行远程办公清静意识培训，，，，，，提高其对新系统的使用能力和清静提防意识，，，，，，助力医院网络清静防护水平一直提升。。。。。

案例特点剖析

该计划价值主要包括以下几个方面：

● 收敛袒露面实现医院网络隐身：计划通过SPA预认证的机制，，，，，，实现医院营业“网络隐身”，，，，，，隐藏要害营业、缩小袒露面，，，，，，镌汰被攻击的可能性，，，，，，增强医院网络营业的清静性。。。。。

● 通过动态授权实现最小化权限管控：通过零信任控制器，，，，，，实现动态授权会见应用，，，，，，并对内外部用户举行细腻化权限控制，，，，，，杜绝越权会见和特权会见。。。。。

● 为企业提供了一体化联动管控解决计划：计划中以控制器作为全局控制单位，，，，，，春联动组件举行集中管控。。。。。不但对外部接入场景举行清静接入防护，，，，，，还能够对医院内部营业会见场景举行清静接入管控，，，，，，实现一体化联动治理。。。。。

● 实现医疗联网资产全生命周期管控：该计划针对医院医疗联网资产，，，，，，提供接入前、中、后的全方位清静防护，，，，，，可自动发明医院全网的医疗联网资产并举行准入控制，，，，，，实时探测医院营业终端清静状态，，，，，，发明异常行为、异常状态，，，，，，可举行告警或处置惩罚，，，，，，严重时可举行营业降权会见或断开网络。。。。。

● 建设加密传输通道包管数据清静：在构建零信任网络解决计划同时构建了一个越发清静、高效的远程营业接入情形，，，，，，有用应对远程办公带来的种种挑战，，，，，，为医院的信息化建设和医疗服务提供强有力的支持。。。。。

案例点评

本案例较充分地团结了零信任清静手艺和古板网络清静实践履历，，，，，，针对医院提供了对内会见、对外会见等多营业场景零信任防护，，，，，，为新形势下医疗行业用户的数字化转型，，，，，，提供了切实可行的实践计划。。。。。通过案例实践也再次证实，，，，，，零信任网络清静架构能够资助医疗机构的网络情形变得越发开放、清静、高效，，，，，，让所有会见都做到可知可控，，，，，，阻止太过信任下主机被攻陷导致整个网络情形瓦解。。。。。

（泉源 ：清静牛）