探微医院无线网络安全防护范文

1医院无线网络安全防护措施

1.1基础无线网络安全

国际上认可的无线局域网标准IEEE802.11自1997年推出以来，在无线网络中应用最为广泛的安全措施是无线网络的MAC地址过滤、禁用SSID和静态地址分配。随着无线网络技术的快速发展，无线网卡的MAC地址可以由用户自由设置，因此通过MAC地址过滤已经不能满足医院无线网络安全的需求。但是，医院内部有些科室出于自身工作的需要，采用了家用无线AP扩展医院网络，而家用无线AP往往将MAC地址过滤作为主要的安全防护手段，一旦有克隆MAC的外部无线终端的侵入，将对医院网络安全造成严重的影响，因此从医院网络安全角度出发，应该杜绝在医院内使用家用无线AP扩展网络。SSID的含义是服务集标志，医院的无线终端必须设置无线网络的SSID才能使用院内的无线网络。但是随着智能手机的普及，在医院里越来越多的人开始使用运营商的WIFI网络上网，医院内部SSID广播的网络就有可能被非医护人员尝试联接，因此通过禁用SSID广播能防止院外普通用户对医院无线网络的联接。禁用SSID广播之后，无线医疗网络就不会被他人搜索到，同时也不影响医务人员的正常使用。但通过专业的无线网络扫描工具还是能查找到隐藏的SSID，因此禁用SSID广播也不能作为医院单一网络安全防护的方式。有研究报告指出，绝大部分的网络入侵，是由无线网络按缺省值设置，普通用户好奇联入造成的，而运营商的WIFI网络都采用DHCP的方式给上网用户分配IP地址。因此，医院无线网络如果采用静态地址分配，外来手机等无线终端由于无法获得无线IP地址，而不能使用医院无线网络，但其安全级别还是较低。可见，医院无线网络通过SSID隐藏和静态地址分配作为无线网络的基础防护，只能防止普通用户联入医院无线网络。

1.2登录认证增强

Wep于1999年成为无线网络IEEE802.11标准的一部分，对无线网络接入的安全认证做了加强，并对设备间无线传输的数据进行加密，用以防止非法用户侵入或窃听无线网络。早期的医院无线网络一般都采用了Wep的数据加密方式，并且具有128位的有线等效加密（Wep）功能，可以提供等同于有线的局域网（LAN）的数据安全。但是，Wep协议由于CRC－32的算法缺陷，2001年8月被证实破解，在Wep加密情况下通过专业破解工具可以在0.5h内完成密文的破译。因此，2004年6月通过的IEEE802.11i将WPA、WPA2作为无线网络认证的安全协议，其中WPA2协议在安全性上做了进一步的增强，同时在企业级应用中增加了应用802.1x认证的RADIUS服务器。身份认证基于用户，每个访问无线网络的人都在RADIUS身份认证服务器上拥有1个独立的用户账户。在医院无线网络环境下，较为安全的无线网络接入认证方式是应用WPA2协议结合RADIUS认证服务器的身份认证方式。但是，医院早期部署的交换机由于不能支持802.1x的协议，还需要通过交换机软件升级才能应用RADIUS认证，同时RADIUS安全认证方式采用的还是传统的用户名和密码的认证，其对于用户名和密码泄露引起的网络安全隐患仍不能避免。

1.3数字证书身份认证

针对WPA2协议结合RADIUS认证服务器的身份认证方式，由用户名和密码泄露造成的安全问题，近些年来通过USB数字证书的无线网络身份认证方式开始得到应用。截止到2012年6月底，国家卫生部已通过4批22家数字证书认证服务机构。USB数字证书身份认证的最大优势在于：US-Bkey作为储存客户数字证书和私有密钥的载体，外部用户无法直接读取其内容。因此，USB数字证书认证方式是目前较安全的身份认证手段。对比用户名和密码的无线网络认证方式，USB数字证书在不可复制方面的优势明显。结合WPA2协议加RADIUS认证服务器的用户密码认证，同时使用US-Bkey数字证书进行身份认证的双因子认证是目前无线网络认证级别中最安全的身份认证方式之一。

1.4SSL（securitysocketlayer）VPN进行数据加密和访问控制

由于在实际医疗活动中，医疗机构为了满足诊断、科研及教学需要，必须经常大量采集、、利用各种医疗数据，而这些数据就包含着个人的隐私信息。由于原有医院局域网的相对封闭性，绝大多数的应用系统采用的都是未经加密的数据包进行数据交换，但是医院无线局域网是开放性的网络，入侵者通过对无线信号中数据包的侦听与解析，使得医疗信息泄漏成为了医院不得不面对的问题。在医院无线应用的环境里，必须对无线终端与服务端交换的数据进行加密，才能防止医疗信息的泄漏。SSL协议是基于Web网络应用的安全协议，使用SSL可保证信息的真实性、完整性和保密性。SSLVPN即指采用SSL协议来实现远程接入的一种新型VPN技术。SSLVPN基于浏览器的认证方式，能兼容医院主流的无线终端设备操作系统，如Windows、Android、IOS，而VPN的方式又能保证医院信息系统中CS构架系统的正常运行。SSLVPN在解决医院无线网络数据加密的同时，最大限度地保障了医院信息系统的投资。另外，SSLVPN认证设备还具备访问控制列表（ACL）功能，通过对SSLVPN拨入用户组设定可访问的服务器列表，既限制了拨入客户端的相互访问，又限制了拨入用户对特定医院信息系统服务器的访问，避免其对其他服务器的非授权访问。

1.5入侵检测系统（IDS）

IDS不是只针对无线网络检测的系统，同样也适用于有线局域网。但由于接入无线网络较为方便，无线网络用户越来越多，且各主机之间主要是对等的关系，不可避免地会使恶意的攻击行为也渗透到无线网络中。因此，在医院开始应用无线网络后，IDS的应用需求将更为迫切。IDS依照医院无线应用系统的安全策略，对网络及信息系统的运行状况进行监视，发现各种攻击企图、攻击行为及攻击结果，以保证网络系统资源的完整性、可用性和机密性。

1.6终端准入控制

计算机病毒的危害性及破坏性在医院信息系统应用之初就已显现。当前计算机病毒都具有混合型的特征，利用一切可以利用的方式进行传播，破坏性强、欺骗性大，所以利用系统漏洞将成为病毒有力的传播方式。在医院无线网络的环境下，结合木马的混合型病毒的危害性将更为突出。由于医院无线网络中，用户名和账号的认证是最为常用的方式，所以通过木马窃取用户账号和密码将严重危害医院无线网络的安全。通过无线应用终端准入控制系统，强制检查用户终端的病毒库和系统补丁信息，能够降低病毒和蠕虫蔓延的风险。阻止不符合安全策略（如未升级杀毒引擎、未升级病毒及木马库、未升级操作系统补丁等安全策略）的无线终端接入医院无线网络，保证只有在满足终端准入控制系统策略的无线终端设备才能接入医院网络。

1.7医院无线网络制度建设

医院信息化发展迅速，但是医院信息化制度建设普遍滞后，而医院无线网络是近些年才开始逐步应用的新技术，因此医院无线网络的管理制度更为缺乏。由于无线网络的开放性和无边界性，也决定了医院在应用无线网络的同时，必须制定严格的管理制度，对于医院无线网络的使用者，首先要接受安全技术培训，严格认证账号和密码的使用；其次要防止工作用无线终端被用作其他用途，如上网、游戏等，防止病毒的入侵；第三要对无线终端的异常使用责任到人，有错必纠。对于无线网络的管理员，首先要加强对普通用户的无线网络安全教育；其次对医院无线网络的监控要实现常态化和日志化管理，以便于及时发现无线网络异常；第三需要不断学习新的无线网络知识，不断完善医院无线网络的运行机制，必要时，通过引进新的无线安全管理系统来改进医院无线网络的安全策略；第四还需要制定无线网络故障的应急处理预案及应急替代方案。

2结语

医院无线网络的应用在给医护人员带来工作便利的同时，也对医院信息系统造成了安全隐患。任何单一的安全技术都不能满足无线网络持续性的安全需求，医院无线用户加强登录认证和无线数据传输的加密都是必要的，只有通过综合应用多种安全技术，才能实现医院无线网络的安全运行。无线网络在全球范围内医疗行业中的应用已成为一种趋势，将进一步提高医院的运营效率和服务质量，使医院的整体竞争力得到提升。因此，对于医院无线网络的应用，既不能因噎废食，也不能听之任之，必须从无线设备选型、无线安全技术、无线管理制度等方面不断探索，才能设计出符合医院需求的无线网络应用模式。

作者：仲晓伟王建强单位：常熟市第二人民医院信息处