目前，随着信息技术的日新月异和网络信息系统应用的 发展，医院、企业网络技术的应用层次正在从传统的、小型 业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的 IT 系统，不同背景的运维人员已给企事业信息系统安全运行 带来较大的潜在风险，如医院信息系统是医院日常工作的重 要应用，存储着重要的数据资源，是医院正常运行必不可少 的组成部分，所以必须加强安全保障体系的建设。于是，堡 垒机在医院中的应用，为医院工作的应用提供了安全可靠的 运行环境。 

      传统的网络安全审计系统给医院的的运维安全问题带来 了很多风险，如：账号管理无秩序，暗藏巨大隐患；粗放式 权限管理的安全性难以保证；设备自身陈旧，无法审计运维 加密协议、远程桌面内容等，从而难以有效定位安全事件。 

      以上所面临的风险严重破坏政府、医院、企业等的信息 系统安全，已经成为其信息系统安全运行的严重隐患，尤其 是医院，将影响其效益。尤其医院信息系统是一个复杂的系 统工程，涉及人、技术、操作等要素，单靠技术或单靠管理 都不可能实现。 因此在考虑安全保障体系时，必须将各种安全技术与运 行管理机制、人员思想教育与技术培训、安全规章制度建设 相结合。 

      如何有效监控业务系统访问行为和敏感信息的传播，准 确掌握网络系统的安全状态，及时发现违反安全策略的事件 并实时告警、记录，同时进行安全事件定位分析，事后追查 取证，满足合规性审计要求，是企事业迫切需要解决的问题， 即 IT 运维安全管理的变革已刻不容缓！ 堡垒机提供一套先进的运维安全管控与审计解决方案， 它通过网络数据的采集、分析、识别，实时动态监测通信内容、 网络行为和网络流量，发现和捕获各种敏感信息、违规行为， 实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程 跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。 

      随着堡垒机在医院中的应用，其主要实现了以下功能： 

１）账号管理集中 堡垒机建立于唯一身份标识的全局实名制管理，支持统 一账号管理策略，实现与各服务器、网络设备等无缝连接， 集中管理主账号（普通用户）、从账号（目标设备系统账号） 及相关属性。 

２）访问控制集中 堡垒机通过集中对应用系统的访问控制，通过对主机、 服务器、网络、数据库等网络中所有资源的统一访问控制， 确保用户拥有的权限是完成任务所需的最小权限，实现集中 有序的运维操作管理，防止非法、越权访问事件的发生。 

３）安全审计集中 基于唯一身份标识，堡垒机通过对用户从登录到退出的 全程操作行为审计，监控用户对被管理设备的所有敏感的关 键操作，提供分级告警，聚焦关键事件，能完成对医院内网 所有网上行为的监控和对安全事件及时预警发现、准确可查 的功能。 

      通过此体系监控到的数据能对医院内部网络的使用率、 数据流量、应用提供比例、安全事件记录、网络设备的动作 情况、网络内人员的网上行为记录、网络整体风险情况等这 些情况有较全面的了解。 信息安全是一个动态的过程，要根据网络安全的变化不 断调整安全措施，适应新的网络环境，满足新的网络安全需 求。 

      安全管理制度也有一个不断完善的过程，经过安全事件 的处理和安全风险评估，会发现原有的安全管理制定中存在 的不足之处。根据安全事件处理经验教训和安全风险评估的 结果，对信息安全管理策略进行修改，对信息安全管理范围 进行调整。

      本资料来源于济宁市第一人民医院陈香芹的《浅析堡垒机 在医院中的应用》