醫院無線網建設及安全防護技術淺析

安徽醫科大學附屬阜陽醫院信息中心 李 剛

隨著醫院臨床信息化發展，無線網絡建設在醫院中愈發重要，無線監護、患者實時位置管理、移動查房、移動護理、無線呼叫等一系列應用大大提高了醫院的工作效率。但在醫院無線網絡建設中，應該格外重視安全方面。本文通過介紹安徽醫科大學附屬阜陽醫院無線網絡建設，介紹目前存在的無線攻擊方式，并提出一種綜合性解決方法。

項目背景：安徽醫科大學附屬阜陽醫院是一家大型三級綜合醫院，需要無線網絡覆蓋醫院病區，承載移動辦公、移動護理、移動藥師等應用系統。

1 醫院無線網絡建設簡介

1.1 整體網絡架構

本項目整體網絡架構分為三層：（1）核心層：部署兩臺高性能核心交換機，采用交換機虛擬化技術，旁掛無線控制器AC，實現無線系統集中管理。（2）匯聚層：部署3臺匯聚交換機，鏈路聚合后和核心相連接，保證鏈路帶寬的同時提高了鏈路的冗余性。（3）接入層：在各樓層弱電間內部署POE交換機、無線轉發設備，其中接入無線AP點位共952個。

1.2 無線AP部署

（1）接入點覆蓋規劃

本項目采用FIT AP+AC架構。由于醫院室內布局較為復雜，需要根據不同場景來選擇不同種類的AP，在人流量大的門診大廳、等候區等區域，采用高密AP；在病房、診室內等密集房間場所，采用面板類AP。所選無線AP應支持802.11ac wave2 MIMO多入多出等技術，支后期持物聯網擴展。IEEE 802.11規定無線局域網設備的發射功率不能高于20dBm(100mW)，但經過病房的混凝土墻后，無線信號衰減15-30dB，為保障信號良好，在每間住院病房、手術間均放置一個面板類AP，在走廊、候診區等密集房間通過適當調整位置，來確保信號強度。通過inSSIDer軟件測試信號強度及信號的連貫性。如圖1所示。

圖1 測試結果截圖（信號強度在-90dbm～0之間表示正常）

（2）無線網優化的幾種技術

重點考慮無線網絡的覆蓋率、容量大小、信道規劃等因素，確保無線網絡的承載能力、信噪比、速率等達標。本項目建設重點主要采用以下優化技術。

信道規劃：為避免無線AP信道的相互干擾，需要盡可能的減小同頻干擾，對無線AP信道進行統一科學的規劃。本項目利用1、6、11非重疊信道，兼顧三維空間實現水平垂直蜂窩式覆蓋，避免同層及上下層的同頻信號干擾。

無縫漫游：當接入終端在移動過程中，從當前AP切換到另一個AP時，終端不掉包且不需進行重新身份認證，使用者對信號漫游切換無感知。本項目通過對各AP的SSID、客戶端配置、認證方式保持一致，在二層漫游采用本地直接轉發，三層漫游使用集成轉發實現此目標。

負載均衡：將負載數據進行平衡、分攤到多個AP上運行，達到減小系統調度開銷，分散網絡負荷，提高設備利用率等目的。

2 主流的無線加密及攻擊方式

根據Risk Based Security數據，2020年全球網絡安全事件仍然居高不下，且自新冠疫情以來，醫療機構的網絡安全事件激增45%。由于無線局域網使用無線電波，針對無線網的惡意攻擊更多，因此需要更加重視無線網的安全建設。本文對無線網安全建設淺析如下。

2.1 目前主流加密方式

無線加密方式主要有WEP和WPA/WPA2。由于WEP加密使用了RC4加密算法，通過Aircrack-ng、WEPCrac、AirSnort等軟件收集足夠的無線報文后，即可破解WEP密鑰，因此該協議已被淘汰。目前主流無線加密方式為WPA/WPA2，WPA2是WPA的升級版。WPA技術包括臨時密鑰完整性協議（TKIP）、消息完整性校驗（MIC），而WPA2主要使用高級加密標準（AES）、計數器模式及密碼區塊鏈信息認證碼協議（CCMP）等技術。

2.2 常用無線網絡攻擊方式

掃描攻擊：又稱為War-Driving，通過駕駛車輛在目標范圍內進行wifi熱點探測，使用INSSIDER、Vistumbler等掃描工具軟件掃描網絡存在的安全漏洞。

DDOS攻擊：采用較多的方式是取消驗證洪水攻擊（DeauthenticationFlood Attack），旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀，將客戶端轉為未關聯／未認證的狀態。常用的軟件有Aircrack-ng、Aireplay-ng等。

無線欺騙攻擊：多采用無線中間人（Wireless MITM）攻擊方式，攻擊者向AP和STA分別進行發送欺騙報文，造成正常訪問被重新定向，造成無線客戶端訪問欺騙網頁，這樣連接到偽造AP客戶端的所有數據流量以明文的方式被記錄，大量數據外泄。常用軟件為airbase-ng、Airpwn。

通過上述幾種攻擊方式組合使用，攻擊者獲取無線網接入權限，通過Nessus之類的軟件掃描服務器操作系統漏洞植入木馬病毒，非法獲取信息數據。

3 淺析無線網安全防護部署

針對無線網絡目前普遍存在的安全性問題，建議在網絡架構、接入點覆蓋、安全防御三方面部署。

3.1 整體網絡架構

建議采用“核心+匯聚+接入”三層網絡架構模式。核心、匯聚交換機采用鏈路聚合模式，保障網絡負載均衡及系統容錯，無線網絡控制器采用主備冗余配置，增強網絡健壯性和安全性。

3.2 接入點覆蓋

信道規劃：建議采用2.4GHz和5GHz雙頻覆蓋設計，避免同頻干擾，降低臨頻干擾。2.4GHz頻段（2.4～2.4835GHz）信號穿透力強，但干擾源較多，頻帶寬度83MHz，13個信道，每個信道帶寬22Mhz，可選擇1、6、11；2、7、12；3、8，13這三組互相不干擾的信道來進行無線覆蓋。

AP配置：建議采用FIT AP模式，AP數據零配置，AP管理地址采用靜態地址，STA通過AC自動獲取地址。配置負載均衡策略，避免突發量數據大導致AP死機。

3.3 安全防御

建議在以下幾個方面加強網絡安全部署：

（1）無線控制器統一控制和發布，統一下發MAC地址過濾、用戶身份認證、安全加密、病毒庫等網絡安全策略。

（2）使用較強的加密算法，比如WPA2加密方式，加強預共享密鑰的復雜性，建議至少20個隨機字符。

（3）隱藏SSID信號，不進行廣播，降低偽造應答接入及被竊聽可能性。

（4）在AP連接交換機接口部署端口隔離，防止威脅終端接入對AP其他用戶造成影響。

（5）部署WLAN網管系統實時監測網內所有AC和AP，能夠及時發現AP掉線、SSID異常等情況。

（6）安全準入控制，包括身份認證和認證用戶安全策略檢查。終端只有獲得CA安全證書及MAC地址一致，才允許訪問無線網數據。

（7）部署防火墻、WIDS/WIPS等網絡安全設備，通過攔截病毒和惡意軟件，檢測和篩選進入網絡的信息；對流氓設備檢測識別及防范反制，使用白名單對AP進行SN或MAC地址綁定，使用黑名單禁止非法AP或非法終端接入。

結束語：目前無線網在醫療行業使用較為普遍，隨著近幾年網絡安全趨勢愈發嚴峻，一旦無線網絡遭受攻擊，就會導致無法為患者提供及時的信息服務甚至個人隱私被泄露。醫療無線網絡的安全技術還有很多值得深入研究的領域，需要網絡維護人員認真學習和思考。