宁盾科技，用技术助力北京大学深圳医院构筑一体化身份认证系统

宁盾科技，用技术助力北京大学深圳医院构筑一体化身份认证系统 – 作者:宁盾nington

北京大学深圳医院(原深圳市中心医院，以下简称深圳医院)位于广东省深圳市福田区，始建于1999年，2001年3月正式更名为“北京大学深圳医院”和“北京大学深圳临床医学院”，2011年被评为三级甲等医院。目前，北京大学深圳医院占地面积5.9万平方米，建筑面积21.2万平方米，是一所集医疗、教学、科研、预防于一体的综合性医院。

数字医疗，是指利用信息技术将整个医疗过程数字化、信息化，广义上既包括医院诊疗流程的信息化，也涵盖区域医疗协同、公共卫生防疫、医卫监管、医保管理的信息化，涉及电子设备、计算机软件、（移动）互联网等技术的综合应用。深圳医院在向数字医疗转型的过程中，由于欠缺相关经验、技术，最终效果不尽如人意，遇到多种的问题。

一、账户登录安全认证问题

在数字医疗转型中，深圳医院遇到了账户登录安全认证的问题，最为明显的是VPN的登录认证。医护人员因为工作特殊性，经常需要随时随地查看病患资料、医疗方案……因而VPN成为了医护人员移动化办公的好帮手。但是深圳医院员工登录VPN时一直只使用静态密码来登录账号，安全性太低。一旦账号密码泄漏，那么将可能导致病患信息、内部资料被窃取，造成非常恶劣的影响。此外，医院的服务器、网络设备也面临着相同的弱密码隐患。因此保障账户安全成为医院实现数字医疗转型必须解决的问题。

宁盾双因素认证产品由认证服务器和动态令牌两部分组成。认证服务器拥有灵活的服务扩展能力，能够覆盖数据中心基础设施、云、应用、网络等全部应用场景的身份认证。动态令牌形式丰富多样，既包括市面上常用的软、硬件动态令牌，又自主创新了H5令牌、企业微信/钉钉“扫一扫”、推送认证等形式。

图|多令牌形式

宁盾科技了解到深圳医院的双因素认证的需求后，通过三步走完成宁盾双因素认证产品的部署。

第一：部署一体化认证平台（DKEY AM平台），系统管理人员可在平台进行角色划分、部署策略、授权/取消令牌等细粒度的管理；

第二：对接医院AD域用户，将VPN、服务器、网络设备的AD域用户名单同步到宁盾AM系统；

第三：对接VPN、服务器、网络设备，完成后即可实现账户登录的双因素认证。

图|认证拓扑及校验方式

方案价值：

1、双因素认证保障账号安全。用户自由正确输入账户名、静态密码、动态密码才能完成登陆，有效的解决了弱密码的隐患。

2、全场景身份认证。宁盾双因素认证可对接VPN、服务器、网络设备等多种应用场景，此外还可实现虚拟化、OWA单点登录等多种场景，真正做到从数据中心基础设施到网络层再到应用层的一体化身份认证。

3、实名追溯：在宁盾AM平台可查看详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求。

4、体验优化：通过简化移动安全接入，优化用户体验，提升了办公的便捷性，有助于深圳医院移动化转变。

二、医院无线网络安全问题

近些年，无线网络已经在深圳医院得到了广泛应用，如移动查房、无线护理、病例查阅、各部门沟通和流程化管理等医疗技术，有效地帮助医院提升了服务效率和质量。

但是另一方面，移动医疗需要医院首先构建一张安全可靠的无线网络，而深圳医院的无线网络构架并不完善，使得应用移动医疗的过程中存在着安全隐患。医院为了方便医护人员的办公，设置了员工专有无线网络，但是因为使用WPA2认证，每天另有许多的病患及其家属也都在使用，大量设备接入造成网络不稳定也不安全。因此深圳医院计划对WIFI进行改造升级，让医护人员通过登录个人专属的WIFI账户密码连接WIFI，其他人员无法登陆该网络。

宁盾无线网络认证服务器旁路于医院交换机，与AC、AP对接，并且同步医院的AD账号源，帮助深圳医院实现了无线网络Portal认证。部署完成后，医护员工一人一码，设备连接无线必须输入个人账户名和密码，否则无法接入。

图|方案拓扑