大家好，我是一家三甲医院信息中心的新主任。以前，手里都是具体的活儿，一个项目怎么做，一个故障怎么解决，方向很明确，当了主任，具体的活儿一下子没了，要思考科室发展，业务定调、临床满意，一下子有些迷茫。

过去几年，我亲身经历了医院智慧化建设。尤其是智慧病房、智慧门诊的快速落地，让我们的工作充满了成就感，也为患者带来了切实的便利。但与我们部门直接相关，让我们压力倍增的挑战也随之而来：这些变化，把医院内网的边界拓宽了，也变模糊了，安全管理这根弦，绷得比以往任何时候都要紧。

我的第一个“考题”：当老办法遇到新问题

长久以来，我们对内网安全的理解，核心是 “管好人” ，通过“你是谁”的身份认证来构筑第一道防线。无论是Portal认证、账号密码登录，还是部署客户端进行管理，这套方法在以前一直好用。

但随着智慧医院建设深入，我们遇到了前所未有的尴尬：

“人”的角色变得模糊，“谁在用电脑”说不清了：

门诊、ICU，多位医生、护士，共用一台电脑是常态，系统里留存的是最后登录账号的操作记录，无法追溯到真正的使用者。强行要求“认证登录”不仅影响效率，更打乱了医院业务分秒必争的工作节奏。

“端”的形态千差万别，终端本身越来越复杂了：

以前，大多数终端都是Windows系统，装个管理软件就好。现在，PDA、移动护理PAD、各类自助终端、信息发布屏、甚至智能医疗设备……这些种类繁多、操作系统各异的物联网终端，大量涌入内网。它们很多不支持、也无法安装客户端插件，在我们的管理系统里，它们像是一群 “隐身的访客” ，数量不清、位置不明、状态未知。每一次新设备上线，我们都需要反复核对，每一次出现疑似风险事件，溯源排查都非常困难。我们也深感担忧，一个无法被识别和管理的终端，就是潜在的安全“黑洞”。

这是我上任后遇到的第一个“考题”：旧的规则正在失效，新的管理模式尚未建立。内网安全从清晰可控，变得充满未知与风险。

思路大转弯——从“管人认证”到“管端准入”

在探索过程中，我接触到了锐捷“内网管‘端’、外网管‘人’” 的设计思路。坦白说，第一次听到这个设计理念时，有种豁然开朗的感觉。

尤其是它对 “内网管端，核心是准入而非认证” 这个点的阐述，一下子说到了我心坎里。它不再将医护人员的身份作为唯一的管控凭据，而是直接将管理对象锁定为终端设备本身，不管这台设备谁在用，设备入网的时候就要先证明自己“合规”，上网期间要“守规”，离网时要把资源释放出来，对“这台设备”进行全生命周期的安全准入管理。这种逻辑转换，解决了共用终端的身份难题，对于未来持续增长的物联网终端，也让我们有了一种 “凡入网者，皆可控管” 的掌控感。

在深入了解方案细节后，我们认为，这套 “准入” 方案不仅设计理念贴合我们的诉求，它还能帮助我们：

“清家底”：每台设备要入网，先得“报到”，完成身份注册和属性登记，让我们可以实现终端资产的100%可视化。

“立规矩”：登记完了，就按“角色”给权限。给护士用的护理PAD，能访问哪些系统；医生的电脑，能有哪些权限，按角色或业务用途对它们进行精准管控。

“全追溯”：任何终端在网期间的配置变动、状态变更甚至物理位置的变化，都要有迹可循。对离网或报废的设备，能及时收回其网络资源，做到闭环管理。

这让我们看到，安全建设不是在问题发生后做救火队员。它能成为一个赋能工具，帮我们把医院成千上万的终端，管得井井有条，形成数字化运营，为智慧医疗的扩展奠定一个坚实、灵活且可审计的“数字基座”。

作为新主任的的第一课，我结课了

回过头来看，锐捷的这套准入方案，最吸引的我的地方，不只是功能本身，而是它基于对医疗行业“在什么场景下，存在什么问题”的洞察，所提供出的一种系统性的思维模式和一套可落地的方法工具。

我的选择标准，也从“哪个功能点更强，可以帮我减轻负担”转变为“哪套体系和逻辑更能适应，甚至引领我们未来的业务发展”。作为信息中心主任，这业务定调的第一课，我顺利结课了。