醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)措施

趙鳳行 才璐

摘要：隨著無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與成熟，它強(qiáng)大的靈活性和很好的擴(kuò)容性，受到各大醫(yī)院的青睞并迅速地應(yīng)用起來(lái)，當(dāng)前很多醫(yī)院均實(shí)現(xiàn)了無(wú)線網(wǎng)絡(luò)覆蓋，給醫(yī)護(hù)工作人員和患者使用網(wǎng)絡(luò)帶來(lái)了方便，但同時(shí)也帶來(lái)了安全隱患。該文針對(duì)WLAN在醫(yī)院信息系統(tǒng)中存在的安全威脅，提出了一些無(wú)線網(wǎng)絡(luò)安全防護(hù)措施。

關(guān)鍵詞：WLAN;安全威脅;安全防護(hù)措施

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）16-0059-02

1 引言

由于無(wú)線網(wǎng)絡(luò)技術(shù)的成熟發(fā)展和普及應(yīng)用，無(wú)線網(wǎng)絡(luò)也受到各大醫(yī)院的青睞，廣泛應(yīng)用在醫(yī)院信息化建設(shè)當(dāng)中。無(wú)線局域網(wǎng)（WLAN）具有移動(dòng)方便，應(yīng)用靈活，節(jié)約經(jīng)濟(jì)，易于擴(kuò)展的優(yōu)點(diǎn)，成為醫(yī)院有線網(wǎng)絡(luò)的一個(gè)有利補(bǔ)充。實(shí)現(xiàn)隨時(shí)隨地對(duì)醫(yī)院各種醫(yī)療數(shù)據(jù)的查詢和錄入，主要應(yīng)用有醫(yī)生利用平板電腦在病人旁邊就可以查詢其病歷，為其下醫(yī)囑等，還有護(hù)士移動(dòng)護(hù)理、移動(dòng)輸液，病人使用手機(jī)掛號(hào)、支付和病人標(biāo)識(shí)碼識(shí)別等方面，充分發(fā)揮醫(yī)院信息系統(tǒng)的職能，提高醫(yī)療質(zhì)量和工作效率。無(wú)線網(wǎng)絡(luò)給醫(yī)護(hù)人員和病人提供方便的同時(shí)，存在著很多安全隱患，因此在組建無(wú)線網(wǎng)絡(luò)時(shí)，要制定好相應(yīng)的安全措施也保障醫(yī)療數(shù)據(jù)能夠安全傳輸。

2 無(wú)線網(wǎng)絡(luò)的安全隱患

有線網(wǎng)絡(luò)具有的安全隱患同樣出現(xiàn)在無(wú)線網(wǎng)絡(luò)中，而且由于無(wú)線網(wǎng)絡(luò)特有的一些特性，致使其安全威脅更加嚴(yán)重;比如外部人員可以通過(guò)無(wú)線網(wǎng)絡(luò)繞過(guò)防火墻，對(duì)專用網(wǎng)絡(luò)進(jìn)行非法訪問(wèn);對(duì)未加密的無(wú)線網(wǎng)絡(luò)信息進(jìn)行竊取、篡改;無(wú)線網(wǎng)絡(luò)容易受到DoS攻擊和干擾;醫(yī)院工作人員可以利用無(wú)線網(wǎng)卡以端對(duì)端的模式與外部人員直連。由于無(wú)線網(wǎng)絡(luò)的傳輸介質(zhì)和移動(dòng)設(shè)備具有特殊性，攻擊起來(lái)更容易，比如移動(dòng)節(jié)點(diǎn)、AP等都有可能是攻擊對(duì)象或攻擊者。

WLAN所面臨的信息安全主要有幾類：（1）網(wǎng)絡(luò)監(jiān)聽(tīng);（2）AP中間人欺騙;（3）WEP破解;（4）MAC地址欺騙;（5）非法接入。

3 無(wú)線網(wǎng)絡(luò)的安全防護(hù)措施

3.1 安全策略集中控制

所謂安全策略集中控制是將所有的安全策略都集中在統(tǒng)一的控制器上面，來(lái)進(jìn)行數(shù)據(jù)的傳遞，是一種固定的網(wǎng)絡(luò)構(gòu)架。組建智能無(wú)線交換網(wǎng)絡(luò)架構(gòu)，將全部的安全策略都集中在無(wú)線控制器上統(tǒng)一發(fā)布和控制，主要包括用戶身份驗(yàn)證、入網(wǎng)行為控制、安全加密、病毒庫(kù)、無(wú)線入侵檢測(cè)、無(wú)線電射頻管理等有幾個(gè)方面。網(wǎng)絡(luò)管理員在無(wú)線控制器上統(tǒng)一安全策略集中配置，安全策略配置，這樣可以防止無(wú)線網(wǎng)絡(luò)信息被盜引起的安全信息外泄。

3.2 病毒入侵防護(hù)

首先為無(wú)線終端進(jìn)行準(zhǔn)入檢查，只要其安裝指定的防病毒軟件、系統(tǒng)補(bǔ)丁就能做準(zhǔn)入檢查，進(jìn)行用戶的身份認(rèn)證。其次對(duì)無(wú)線終端發(fā)出的數(shù)據(jù)進(jìn)行檢查，設(shè)置相應(yīng)的策略，對(duì)所有數(shù)據(jù)進(jìn)行全面的防病毒檢查，檢查若通過(guò)則傳輸，否則將數(shù)據(jù)丟棄，從而實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)終端的病毒防護(hù)。

3.3 接入點(diǎn)零配置

在由傳統(tǒng)無(wú)線接入點(diǎn)組建的網(wǎng)絡(luò)中，非法用戶是通過(guò)竊取接入點(diǎn)的信息來(lái)獲得入網(wǎng)密碼近而入侵到網(wǎng)絡(luò)中。智能無(wú)線接入點(diǎn)在無(wú)線網(wǎng)絡(luò)控制器的控制下，接入點(diǎn)本身不保存任何數(shù)據(jù)，而是將全部的數(shù)據(jù)存儲(chǔ)到無(wú)線網(wǎng)絡(luò)控制器上，這樣實(shí)現(xiàn)無(wú)線接入點(diǎn)零配置，大大提高了無(wú)線網(wǎng)絡(luò)的安全性，減少了非法用戶竊取無(wú)線網(wǎng)絡(luò)信息的可能性，本地接入工作量也得到了的簡(jiǎn)化。

3.4 非法入侵檢測(cè)

無(wú)線網(wǎng)絡(luò)是利用無(wú)線電射頻信道進(jìn)行工作，有易于訪問(wèn)和配置簡(jiǎn)單有特點(diǎn)，任何人都能通過(guò)自己的AP 不經(jīng)過(guò)授權(quán)連入網(wǎng)絡(luò)給網(wǎng)絡(luò)帶來(lái)安全隱患，造成數(shù)據(jù)不安全和非法占用網(wǎng)絡(luò)帶寬等問(wèn)題。因此做好無(wú)線網(wǎng)絡(luò)的入侵防護(hù)非常重要。在醫(yī)院無(wú)線局域網(wǎng)中，安裝和配置 WIPS（無(wú)線入侵防御系統(tǒng)），能夠監(jiān)測(cè)無(wú)線范圍內(nèi)未授權(quán)的接入，并能自動(dòng)將威脅阻止。

3.5 無(wú)線認(rèn)證與 CA 證書對(duì)接

無(wú)線認(rèn)證與 Windows CA 證書對(duì)接，只有終端安裝了CA 下發(fā)的合法數(shù)字證書，才能進(jìn)行認(rèn)證接入網(wǎng)絡(luò)，如果無(wú)證書或者證書錯(cuò)誤則無(wú)法接入。終端認(rèn)證實(shí)現(xiàn)依靠 CA 證書認(rèn)證，不需要輸入 802.1x 的用戶名密碼。如果CA 服務(wù)器出現(xiàn)故障，只要客戶終端有合法證書，就可確保正常入網(wǎng)，無(wú)須認(rèn)證。這樣保證在 CA 服務(wù)器出現(xiàn)異常時(shí)依舊正常使用，不會(huì)造成嚴(yán)重的網(wǎng)絡(luò)故障。

3.6 安全準(zhǔn)入控制

無(wú)線網(wǎng)絡(luò)要具有安全準(zhǔn)入控制能力。首先是身份認(rèn)證，對(duì)無(wú)線網(wǎng)絡(luò)的身份進(jìn)行行為授權(quán)，通過(guò)綁定用戶的硬盤ID和身份的授權(quán)，實(shí)現(xiàn)與無(wú)線網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)，拒絕未授權(quán)用戶的訪問(wèn)。其次是設(shè)置安全策略，為無(wú)線網(wǎng)絡(luò)設(shè)定統(tǒng)一的安全策略，全面保障終端合規(guī)、安全、受控。最后是終端管理，部署自動(dòng)化補(bǔ)丁檢查，及時(shí)修復(fù)終端漏洞，主動(dòng)消除安全缺口。系統(tǒng)自動(dòng)收集終端軟、硬件資產(chǎn)信息，跟蹤資產(chǎn)變更，實(shí)現(xiàn)資產(chǎn)管理 IT 化，保障信息資產(chǎn)可控可管。

3.7 醫(yī)院無(wú)線網(wǎng)絡(luò)制度管理制度

因?yàn)闊o(wú)線網(wǎng)絡(luò)具有開(kāi)放靈活的特性，所以醫(yī)院要制定嚴(yán)格的使用規(guī)范和管理制度。作為醫(yī)院無(wú)線網(wǎng)絡(luò)的使用者，首先要參加安全技術(shù)培訓(xùn)，嚴(yán)格使用認(rèn)證賬號(hào)和密碼;其次不能將用來(lái)工作的無(wú)線終端用來(lái)游戲娛樂(lè);第三嚴(yán)格追究非正常使用無(wú)線終端的人的責(zé)任，有錯(cuò)必糾。作為醫(yī)院網(wǎng)絡(luò)的管理者，應(yīng)加強(qiáng)對(duì)用戶的網(wǎng)絡(luò)安全教育，時(shí)刻對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)控并做好日志;更要學(xué)習(xí)掌握新的無(wú)線網(wǎng)絡(luò)知識(shí)，來(lái)改進(jìn)醫(yī)院無(wú)線網(wǎng)絡(luò)。最后，制定無(wú)線網(wǎng)絡(luò)故障的應(yīng)急處理預(yù)案。

最近幾年移動(dòng)醫(yī)療信息化發(fā)展如火如荼，各種移動(dòng)醫(yī)療信息系統(tǒng)相繼上線。智慧醫(yī)療是未來(lái)醫(yī)院發(fā)展方向，而這一切都要依托安全的無(wú)線網(wǎng)絡(luò)系統(tǒng)作為基礎(chǔ)平臺(tái)。通過(guò)無(wú)線網(wǎng)絡(luò)，利用移動(dòng)終端，在醫(yī)院隨時(shí)隨地都可以查詢病人信息，提高了醫(yī)護(hù)人員的工作效率，拉近了醫(yī)患之間的距離，充分發(fā)揮了醫(yī)院信息系統(tǒng)的職能。醫(yī)院移動(dòng)醫(yī)療信息系統(tǒng)的正常運(yùn)行離不開(kāi)無(wú)線網(wǎng)絡(luò)的安全保障。醫(yī)院在建設(shè)無(wú)線網(wǎng)絡(luò)時(shí)，應(yīng)綜合考慮采用多種安全技術(shù)，來(lái)全面做好安全防護(hù)，保障醫(yī)院網(wǎng)絡(luò)安全可靠高效地運(yùn)行。

參考文獻(xiàn)：

[1] 郭宇.醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)措施及應(yīng)用實(shí)踐研究[J].科技創(chuàng)新與應(yīng)用，2017（4）：92.

[2] 楊眉，潘曉雷，彭仕機(jī).醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)措施及應(yīng)用實(shí)踐[J].醫(yī)學(xué)信息學(xué)雜志，2015，36（2）：41-44.

[3] 仲曉偉，王建強(qiáng).醫(yī)院無(wú)線網(wǎng)絡(luò)安全防護(hù)的探討[J].醫(yī)療衛(wèi)生裝備，2013，34（5）：45-47.

[4] 陳炎.無(wú)線網(wǎng)絡(luò)安全在醫(yī)院信息系統(tǒng)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（11）：144，146.

[5] 鄭唯實(shí).淺談醫(yī)院無(wú)線網(wǎng)絡(luò)的安全管理[J].科技創(chuàng)新導(dǎo)報(bào)，2014，11（1）：188.

[6] 李功靖.淺談醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)[J] 中國(guó)數(shù)字醫(yī)學(xué)，2014（11）.

【通聯(lián)編輯：代影】