树兰医院 | 科技型医疗集团的终端统一安全管理建设

公司简介

树兰（杭州）医院是一所集医疗、教学、科研、预防和保健为一体的三级甲等综合医院，医院坚守“护佑健康，生命至上”的核心价值观和“以人为本，大医精诚”的办院宗旨，围绕“三高四化三满意”的办院理念，以及“全人全程”的健康服务理念，致力于打造成为中国乃至世界最值得信赖的医学中心。

项目背景

医疗数字化转型是所有医院面对的新时代课题，将重塑医院运营体系。而在数字化过程中，终端安全的保护必不可少，医疗机构面临终端数量大，分布广，终端运维困难，软硬件资产信息统计困难等问题。网络安全法、等保2.0、医院信息化建设标准下医疗数据安全合规问题促使医疗机构应建立完善的终端数据安全管控体系，确保终端系统安全及内部数据安全。

挑战一

医院办公人员IT水平普遍较低，系统权限难以把控，无节制的非法网站访问，软件安装等，增加安全威胁。

解决方案一

规范员工办公行为，对终端系统的使用权限如：软件安装使用、上网行为、USB外设、打印机等方面做统一管理。

软件合规管理

上网行为管理

挑战二

医院网络结构复杂，终端数量众多，分布广泛，覆盖各个楼层和科室，运维人数有限，运维压力繁重，亟需缓解运维压力，提升运维效率。

解决方案二

Ping32提供完善的终端统一运维管理平台，集终端故障收集、远程协助、IT资产统计等功能建立终端故障需求快速响应机制。

远程运维

挑战三

数字化转型加速，企业内部敏感信息同时面临数据安全威胁，如何防范和降低医疗系统中的数据安全风险，是医院重点关注的问题。

解决方案三

对终端存储的敏感数据建立严格的管控措施，对包含医疗信息、患者信息等敏感文档在传输、打印、外发时严格审计和管控。

泄密追踪

文档安全管控

方案概述

Ping32终端安全管理系统软件（以下简称“Ping32”）基于树兰医院内网信息安全建设管理需求，通过多模块一体化管理方案，通过上网行为管理、文档安全管控、外接设备管控、软件管理、系统安全、远程运维等功能模块，提供细粒度的管控策略。通过对树兰医院网络环境的了解以及前期与IT部门充分沟通，对医院医疗内网、办公网络进行针对性解决。

医疗内网终端安全管理方案

1、移动存储管控

移动存储等外接设备在为日常办公带来便利的同时，也引入了很多安全问题，如：传播病毒木马，增加泄密风险等。医护人员无法有效判断使用的U盘、移动硬盘等设备的安全性能够得到充分安全的保障。

• Ping32对员工U盘授权管理，确保只有经过认证的U盘才能接入终端，区分授权与未授权U盘的使用权限。设置未授权U盘只读或禁止使用。
• 支持将内部U盘制作成加密盘，实现特定U盘仅限于内部指定科室或者终端使用，在未安装客户端电脑无法识别，防止U盘丢失、外带泄密。

2、打印安全管理

为了防止医疗信息电子文档以纸质形式输出导致的泄密事件，我们需要对医院的打印设备进行安全管控。

• 根据员工所在的部门不同通过设置敏感词限重要文件的打印或者是禁止员工的打印权限。打印出的文件自动置入对应该终端的水印
• 详细记录终端打印信息，包括打印标题、时间、页数、内容等信息，同时支持打印内容快照对打印的内容查看。

医疗外网终端安全管理方案

1、软件合规管理

由于医院办公网具备互联网访问权限，因此相关人员可随意从互联网下载各类软件，从而引起各类内外安全隐患，软件合规管理遵循从软件安装源、软件安装权限、软件运行管理、软件统计、软件卸载等方面进行全方位合理的管控，保证企业终端的软件完全合规。

• 完全阻断终端安装、卸载软件的权限，预设软件安装白名单，如：OA系统、临床信息系统、Office办公软件等，只有经过管理员允许的软件才可以进行安装。
• 对已安装的软件可以远程卸载，从根源上杜绝违规软件的使用。

2、上网行为管理

医院工作人员上班时间正常的网络需求仅限于查看资料、收发文件等，但同时也存在浏览非法页面、炒股和P2P下载等行为，不仅占用着资源、影响了办公效率，甚至会产生误诊等不良行为。

• Ping3的上网行为管理可以帮助用户控制和管理对互联网的使用，确保互联网的使用安全合规。包含：网页访问过滤、电子邮件监管、用户行为分析等功能。