在同一张网络里，往往同时存在：

医生工作站
护士站电脑
影像终端
PACS服务器
HIS系统
移动护理PDA
医生手机
患者及家属终端
大量医疗物联网设备

任何一个环节失控，都可能直接影响业务连续性。

因此，医院真正需要的不是“能上网”，而是：

可控、可审计、可隔离、可追溯的接入体系。

企业Portal认证，正是构建这套体系的核心入口。

一、医院网络接入面临的真实难题

在大量医院项目中，普遍存在以下问题：

1. 有线、无线混合接入，认证方式不统一

2. 医护人员与患者网络混用

3. 医疗设备无法做复杂认证

4. 外包运维账号长期存在

5. 等保、医信安检查难以提供完整接入审计

这些问题的本质只有一个：

缺乏统一接入控制与统一身份体系。

二、总体架构：企业Portal认证 + NAC准入网关 + 统一认证平台

医院接入治理采用三层架构：

第一层：接入层设备（交换机 / AP）
第二层：NAC准入网关
第三层：统一认证平台（企业Portal认证平台）

架构分工

接入设备：
负责转发终端接入请求

NAC准入网关：
负责Portal页面交互
802.1X认证交互
MAC认证交互

统一认证平台：
负责账号校验
策略计算
权限下发
日志审计

该架构可支撑大规模并发与多院区部署。

三、医护人员接入：802.1X + 企业Portal认证协同

1. 认证流程

医护人员办公电脑：

开启802.1X
向交换机发起认证
请求转发至NAC
NAC与统一认证平台交互

认证通过后：

统一认证平台返回：

账号
角色
所属科室

并下发策略。

2. 策略内容

• 自动分配VLAN

• 下发ACL

• 下发限速策略

例如：

医生账号 → 医疗业务VLAN
护士账号 → 护理业务VLAN

实现身份即网络。

四、医生手机与移动终端：Portal认证方式

医生手机、平板：

连接无线后
自动弹出企业Portal认证页面

输入账号密码或对接AD域账号。

认证通过后：

进入医护无线网络区。

与患者网络物理隔离。

五、医疗设备接入：MAC认证 + 设备白名单

大量医疗设备：

不支持Portal
不支持802.1X

统一采用MAC认证。

实现方式

在企业Portal认证平台中：

导入设备MAC
绑定设备类型与所属科室

当设备接入时：

NAC读取MAC
提交至统一认证平台校验

校验通过后：

放行至对应医疗设备VLAN。

六、患者及家属上网：独立Portal访客体系

患者网络必须与医疗业务网络彻底隔离。

流程

连接无线
弹出企业Portal认证页面

支持：

短信认证
二维码认证

认证后进入访客VLAN，仅允许访问互联网。

禁止访问内网任何地址。

七、外包运维人员：TACACS+运维认证

医院大量网络设备由厂商或集成商维护。

统一采用：

TACACS+协议
接入统一认证平台

实现：

一人一账号
命令级授权
操作审计

禁止共享管理员账号。

八、权限控制模型设计

企业Portal认证平台支持：

账号 → 角色 → 策略 → 网络资源

四级映射。

例如：

账号：张三
角色：心内科医生
策略：允许访问HIS、PACS
网络资源：心内科VLAN

权限完全由平台集中控制。

九、日志与审计能力

平台记录：

认证日志
在线日志
下线日志
设备登录日志
命令审计日志

支持按：

账号
IP
MAC
时间

多条件查询。

满足等保、医信安审计要求。

十、并发与稳定性设计

前端NAC集群部署
后端认证平台主备或集群

单节点故障不影响整体认证。

支持横向扩展。

十一、为什么医院项目更适合选择成熟厂商平台

医院项目特点：

周期长
运维重
稳定性要求极高

蓝海卓越深耕网络认证与计费领域22年，在企业Portal认证、有线无线认证、网络准入、网络计费、运维审计等方面形成成熟产品体系，功能完备、架构成熟、性价比高。

对集成商而言：

方案成熟
交付风险低
可持续扩展。

十二、企业Portal认证，是医院接入治理体系的核心中枢

当：

医护人员
医疗设备
患者终端
外包运维

全部纳入企业Portal认证体系，

医院网络才真正具备：

可控性
可审计性
可追溯性
可扩展性。