docurl=/cn/Solution/TechnologySolution/InterConnect/Business_Software/NetworkResource/Solution/201801/1055468_30004_0.htm

BYOD,移动医疗大趋势

【发布时间:2018-01-03】

基于Wi-Fi技术的移动医疗业务在医院正在广泛部署,无线查房、无线护理、无线输液、无线监护、无线定位、无线上网等已经得在很多医院得到应用,医护人员也越来越愿意使用各类移动智能终端。相较于现在很多医院的公用智能终端,医护人员更青睐使用自己的智能终端,希望同时完成移动医护工作和其他事情。现在,很多医护人员在医院已经拿着自己的智能终端在上网,大量的私设AP严重困扰着医院正常无线医疗业务的开展,因势利导的部署BYOD*才是良策。然而,BYOD在给医护人员带来便捷的同时,也给医院信息部门带来问题,医院如何能够在确保现有安全策略的同时,最大程度的发挥个人移动设备的用途。

智能手机和平板电脑以如此高的比例被采用,以至于医院几乎是在被动的情况下来支持这些移动设备,我们会看到,大多数的医院将在未来采用BYOD。从医院提供服务的角度来看,BYOD的采用能使医院提供更加快捷的响应能力,全面改善对病人的护理。然而,对于医疗信息部门来说,BYOD的部署将使他们面临着更严峻的挑战,即在为医护人员的BYOD提供技术支持的同时,要确保医院数据的保密性和安全性。BYOD的部署带来的不仅仅是技术问题,同时要求调整医疗流程,并对使用移动设备的医护人员进行额外的指导。

1 BYOD带来的挑战

BYOD的出现,给医院终端规范性管理带来了额外的挑战:医院数据安全、接入设备多样性、终端用户的权限管理等,并存在医院和个人智能终端并存、内网和外网相通等复杂的场景。因此,针对BYOD终端的精细化授权管理,是解决上述各类问题的关键。

针对医院复杂的场景和应用环境,可以对各类终端从时间、位置、终端类型、使用者身份和SSID等多个维度进行精细化的授权规范管理。

• 基于时间的授权管理:医院可以在业务高峰时间段限制BYOD的上线使用,在高峰期过后可以放开权限,以降低风险。

• 基于位置的授权管理:在医院的特殊区域(如ICU等)禁止自有设备的接入。

• 基于终端类型的授权管理:如医生PAD和护士的PDA访问权限不同,私用终端和公用终端访问权限也有差异。

• 基于身份的授权管理:根据医生、护士、管理者和患者等不同人员,设置不同的上网权限。

• 基于SSID的授权管理:针对查房、外网、监护等不同业务创建不同的SSID,并根据接入不同的SSID,分别授予接入终端不同的权限。

上述精细化的多维度授权管理,对边缘网络和整个系统架构提出了更高的需求,要求医院的网络系统具有完备的终端识别功能、精确的网络感知能力、基于接入场景的准入控制功能、统一的员工/访客管理功能和丰富灵活的用户行为审计功能。

2 医院BYOD解决方案

H3C在医院提供了适应多厂商设备,兼容无线、有线网络的统一BYOD解决方案(如图1所示),在自动识别用户终端类型的基础上,实现用户终端管理、基于场景的接入授权、访客和员工的统一管理和智能终端安全管理等功能,有效解决了医院BYOD场景下用户移动智能终端的接入控制、安全管理问题。

架构.png

图1 H3C BYOD解决方案架构

2.1 完备的终端识别功能

实现终端设备的识别是解决BYOD问题的开始,识别的具体内容包括:

医护人员使用设备的类型及相关信息;不仅要识别出终端设备是传统的PC、笔记本还是智能手机、平板电脑等移动智能设备,还要确认设备的操作系统、生产厂商、IMEI码等设备属性信息;

医护人员使用设备的归属;设备是属于医院所有还是属于医护人员个人,直接影响医院对设备的管理。

在综合分析了当前终端设备识别技术的基础上,H3C BYOD解决方案提供DHCP指纹识别、HTTP Agent识别和MAC OUI识别三种具有较高识别度和可靠性的终端设备类型识别方式,以及完备的设备终端识别功能,具备较高的识别准确度和识别效率,支持用户自定义设备类型、操作系统类型等信息,同时还可实现设备指纹的用户自定义,有效解决了BYOD环境下用户终端设备的识别问题。

2.2 精确的网络感知能力

出于安全考虑,医院内部某些重要资源(如用药记录)仅允许特定人员在特定地点、特定的时间接入访问,可见不同的接入网络类型和接入地点也是影响网络接入安全的重要因素,这要求准入控制系统能够感知接入网络类型、接入地点、接入时间,并基于这些信息进行有效的授权控制。

BYOD解决方案提供了精确的网络感知功能,无论是用户使用移动智能终端接入还是传统的PC、笔记本接入,iMC UAM和WSM系统合作能感知到接入网络类型、SSID信息、和接入地点信息,并展示给管理员,让医院IT部门对网络内终端的情况一目了然。

2.3 基于场景的接入授权

医院智能终端的移动性彻底改变了固定地点、固定设备接入网络的传统模式。此外,同一用户也不再仅使用一类设备接入网络,这迫使医院IT部门对网络准入控制策略进行新的规划和设置。

BYOD解决方案,实现了基于接入场景的准入控制策略,用户类型、接入网络类型、接入地点、接入时间、终端类型、终端操作系统、终端归属(个人或医院)等条件,均可能影响用户的接入权限,而不再仅由用户的身份决定。网络管理员可以提供接入策略引擎,实现合适的人、使用合适的设备、合适的网络、在合适的地点和时间,获得合适的网络访问权限,最大限度的保证企业网络和资源的安全(如表1示例)。

姓名

用户组

终端类型

SSID

接入地点

接入时间

接入规则

张三

心内科医生

PC

查房

心内科

工作时间

病区访问规则

张三

心内科医生

iPad

BYOD_心内科

心内科

工作时间

病区BYOD访问规则

李明

呼吸科护士

PC

查房

呼吸科

下班时间

禁止Internet

李明

呼吸科护士

Android

查房

护士站

下班时间

Internet

表1 基于接入场景的接入授权

BYOD引擎支持按接入区域、接入终端的IP地址分组、无线SSID分组、接入设备MAC地址分组、接入设备厂商分组、接入设备操作系统分组和终端类型分组来定义用户的接入场景,并根据接入场景,设置不同的接入规则、安全策略,灵活的实现了基于接入场景的用户接入授权(如图2所示)。

http://www.h3c.com/cn/res/201309/11/20130911_1667111_image002_796790_30004_0.jpg

图2 用户接入场景定义

接入时间规则目前在接入规则中定义。同时接入设备的MAC地址分组功能可以用于区分医院设备和个人设备。接入区域由接入设备的IP地址区分,可以有效区分用户的接入类型, IT管理员也可以根据用户的接入方式进行接入授权管理。

2.4 统一的员工/访客管理功能

BYOD的部署使医院网络的边界模糊化。网络混杂、人员混杂将是网络接入的常态。医院访客管理系统,由于医护人员和访客共用网络的情况,将很难继续独立存在。当前的网络,访客和员工的接入管理已经一体化。

BYOD解决方案实现了统一的医护人员、访客身份管理、接入策略管理。医护人员和访客对网络资源的访问,可以在一套系统中统一规划、审计,让医院的网络接入安全管理更加规范、清晰,极大的提高了医院的边缘网络接入管理能力。

2.5 丰富灵活的用户行为审计功能

iMC UAM系统可以同iMC UBA系统集成,实现基于用户的行为审计管理。在BYOD解决方案中,用户的行为审计增加了终端信息。网络管理员可以获知用户使用不同终端的网络使用行为、应用使用行为。用户使用智能终端的网络使用行为得以跟踪和审计。iMC UAM、UBA通过联动查询,可为管理员提供详实的用户网络使用行为报表,实现网络用户使用行为的可视化管理。

3 结束语

BYOD,揭开了移动医疗的序幕,极大地提高了医护人员的体验和办公效率,对于医院,得到的是医院员工效率提升的软实力,同时,也会降低医院办公设备购买费用。BYOD同时也给医院带来一系列挑战,核心挑战就是医院数据安全和终端控制,同时要满足BYOD的易用性和良好体验。解决医院IT难点,满足医院数据安全性、办公移动性、和用户良好体验的解决方案将成为医院的首选。

联系我们