近年來,醫(yī)療領(lǐng)域不斷探索和嘗試運(yùn)用科技提供更好的健康服務(wù)�����。“智慧醫(yī)療”和“數(shù)字醫(yī)院”這些概念我們并不陌生�����。隨著配備數(shù)字化設(shè)備的智慧醫(yī)療體系不斷完善���,已形成一個(gè)醫(yī)療信息高速流通�����,內(nèi)部數(shù)據(jù)共享的數(shù)字化��、一體化醫(yī)療物聯(lián)網(wǎng)生態(tài)系統(tǒng)��。因此����,院方越來越需要快速可靠的連接�����,以確保這些技術(shù)正常運(yùn)行�。
無線WiFi應(yīng)用背景分析
近年來�����,醫(yī)療領(lǐng)域不斷探索和嘗試運(yùn)用科技提供更好的健康服務(wù)。“智慧醫(yī)療”和“數(shù)字醫(yī)院”這些概念我們并不陌生�����。隨著配備數(shù)字化設(shè)備的智慧醫(yī)療體系不斷完善��,已形成一個(gè)醫(yī)療信息高速流通�����,內(nèi)部數(shù)據(jù)共享的數(shù)字化�、一體化醫(yī)療物聯(lián)網(wǎng)生態(tài)系統(tǒng)。因此����,院方越來越需要快速可靠的連接,以確保這些技術(shù)正常運(yùn)行��。
隨著無線網(wǎng)絡(luò)在技術(shù)上日益成熟����,其組網(wǎng)靈活性���、良好的可擴(kuò)展 性,逐漸運(yùn)用到各種復(fù)雜的組網(wǎng)環(huán)境中,尤其在醫(yī)療行業(yè)的信息化中得到較好的發(fā)展它已成為個(gè)企事業(yè)單位的基礎(chǔ)技術(shù),尤其是在互聯(lián)網(wǎng)醫(yī)療���、移動(dòng)醫(yī)療�、數(shù)字醫(yī)聯(lián)體等形態(tài)發(fā)展如火如荼的當(dāng)下��。WiFi彌補(bǔ)了有線網(wǎng)絡(luò)信息點(diǎn)固定等方面的局限性��。
無線安全的需求分析
政策指引
衛(wèi)計(jì)委制定了《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引》��,各二級(jí)醫(yī)院都要參照執(zhí)行���。此指導(dǎo)中明確提出無線移動(dòng)醫(yī)療的安全性���,包括設(shè)備訪問控制、設(shè)備訪問權(quán)限�、邊界防護(hù)、安全審計(jì)等����。
等級(jí)保護(hù)2.0新標(biāo)準(zhǔn)里提出了對無線網(wǎng)絡(luò)設(shè)備在無線設(shè)備接入、無線設(shè)備自身安全�����、通信安全、網(wǎng)絡(luò)邊界安全的控制要求���。具體為(1�、不允許私自搭建無線接入點(diǎn)����,對于私自搭建行為能夠進(jìn)行檢測�、記錄、定位�����;2��、重要移動(dòng)終端接入無線網(wǎng)絡(luò)時(shí)應(yīng)采用安全可靠的認(rèn)證協(xié)議���;3��、應(yīng)按移動(dòng)終端和無線接入點(diǎn)之間的訪問規(guī)則��,決定允許或拒絕移動(dòng)終端設(shè)備對網(wǎng)絡(luò)資源的訪問���,控制粒度為單個(gè)設(shè)備����;4���、應(yīng)能夠?qū)Ψ鞘跈?quán)移動(dòng)終端接入的行為應(yīng)能夠進(jìn)行檢測�����、記錄����、定位�����;5�、應(yīng)具備對針對無線接入點(diǎn)的網(wǎng)絡(luò)掃描、 DoS 攻擊����、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測、記錄�、 分析定位;6����、應(yīng)禁用無線接入點(diǎn)設(shè)備的SSID 廣播、WPS 等存在風(fēng)險(xiǎn)的功能)��。
醫(yī)院的無線應(yīng)用需求
1.HIS移動(dòng)終端�,滿足移動(dòng)醫(yī)療系統(tǒng)業(yè)務(wù)的承載。例如移動(dòng)查房�����、床邊護(hù)理�、特級(jí)監(jiān)護(hù)�、移動(dòng)醫(yī)護(hù)、移動(dòng)輸液����、藥庫管理等。
2.提供患者及家屬無線上網(wǎng)娛樂功能�,提升服務(wù)品質(zhì),提升服務(wù)效率�。如手機(jī)掛號(hào),自助查詢���、打印單據(jù)等���。
3.醫(yī)院資產(chǎn)和人員管理�,基于RFID或WiFi標(biāo)簽�����,可實(shí)現(xiàn)識(shí)別和定位功能��。
由于醫(yī)院的患者個(gè)人信息���、電子病歷等內(nèi)部數(shù)據(jù)較為機(jī)密����,因此對無線網(wǎng)絡(luò)的安全性提出了更高的要求�����。一旦出現(xiàn)信息泄露����、甚至惡意篡改,將會(huì)造成不可彌補(bǔ)的生命財(cái)產(chǎn)損失。再加上目前醫(yī)院的信息系統(tǒng)較為復(fù)雜��,急需統(tǒng)一部署一套完整的無線安全防護(hù)體系���,提升無線網(wǎng)絡(luò)的整體安全性�。醫(yī)院無線網(wǎng)絡(luò)已經(jīng)由部署����、應(yīng)用進(jìn)入第三階段——無線監(jiān)管階段。
系統(tǒng)架構(gòu)及組網(wǎng)
無線安全解決方案
目前�����,WLAN的安全從單一的物理層安全全延伸到設(shè)備安全���,用戶接入安全、網(wǎng)絡(luò)層安全�����、管理安全等多個(gè)層面上���,四維創(chuàng)智以醫(yī)療的實(shí)際需求為導(dǎo)向�����,形成了以“WiFi資產(chǎn)管理����、威脅檢測、攻擊識(shí)別阻斷��、無線安全態(tài)勢感知”為一體的解決方案���。
1.無線設(shè)備探測
支持2.4G和5G雙頻段全信道的WiFi設(shè)備探測�����,包括WiFi熱點(diǎn)�、手機(jī)�、PAD、電腦等所有支持并開啟WiFi功能的設(shè)備��。實(shí)現(xiàn)WiFi網(wǎng)絡(luò)下的全資產(chǎn)識(shí)別和統(tǒng)一管理�����,實(shí)時(shí)����、全面了解無線安全態(tài)勢���。
管控界面示例
2.訪問與認(rèn)證
醫(yī)院人流量大,人員結(jié)構(gòu)復(fù)雜�����。因此�����,醫(yī)院需要將醫(yī)療網(wǎng)絡(luò)與訪客網(wǎng)絡(luò)相互隔離��、接入終端相互隔離�,防止非法入侵、竊取敏感信息����;終端MAC/用戶身份等多維度設(shè)定接入權(quán)限和訪問策略,確保終端合法才可接入醫(yī)療網(wǎng)絡(luò)�����。
3.設(shè)備詳情提取
可對設(shè)備無線通信相關(guān)的信息進(jìn)行深度解析和提取���,包括設(shè)備類型(熱點(diǎn)/終端)�、品牌��、使用的信道����、通信數(shù)據(jù)量、發(fā)射功率����、連接關(guān)系等。必要時(shí)���,對產(chǎn)生攻擊行為的設(shè)備進(jìn)行責(zé)任追溯��。
4.無線攻擊檢測
安全是院方對無線網(wǎng)絡(luò)的普遍提供對常見WiFi攻擊的檢測和告警功能��,包括釣魚攻擊�����、Auth Flood攻擊和Deauth Flood攻擊��?��?捎行Х婪逗诳腿肭止?��,保障上網(wǎng)數(shù)據(jù)安全;可以實(shí)現(xiàn)安全威脅持續(xù)監(jiān)控��、仿冒偵測�����、移動(dòng)應(yīng)用安全和數(shù)據(jù)防泄露�����、網(wǎng)絡(luò)安全技術(shù)措施���、禁止SSID廣播���、禁止安裝和使用危害程序等多項(xiàng)無線安全要求。
Auth Flood攻擊:即身份驗(yàn)證洪水攻擊�。該攻擊目標(biāo)主要針對那些處于通過驗(yàn)證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶端����,攻擊者將向AP發(fā)送大量偽造的身份驗(yàn)證請求幀(偽造的身份驗(yàn)證服務(wù)和狀態(tài)代碼),當(dāng)收到大量偽造的身份驗(yàn)證請求超過所能承受的能力時(shí)���,AP將斷開其他無線服務(wù)連接����。
Deauth Flood攻擊:即為取消驗(yàn)證洪水攻擊��,它旨在通過欺騙從AP到客戶端單播地址的取消身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)/未認(rèn)證的狀態(tài)�����。對于目前的工具來說�����,這種形式的攻擊在打斷客戶無線服務(wù)方面非常有效和快捷��。一般來說����,在攻擊者發(fā)送另一個(gè)取消身份驗(yàn)證幀之前,客戶端會(huì)重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)�。攻擊者反復(fù)欺騙取消身份驗(yàn)證幀才能使所有客戶端持續(xù)拒絕服務(wù)。
5.設(shè)備存在性定位
對客戶資產(chǎn)進(jìn)行存在性定位���,當(dāng)目標(biāo)設(shè)備離開系統(tǒng)覆蓋區(qū)域時(shí)����,及時(shí)提示告警。該定位方式可以確定目標(biāo)設(shè)備在哪個(gè)區(qū)域內(nèi)�。對醫(yī)院的部分固定資產(chǎn)也可以通過外置WiFi標(biāo)簽進(jìn)行設(shè)備定位。
6.多種方式告警
在檢測到無線攻擊和目標(biāo)設(shè)備離開指定區(qū)域時(shí)�,需要及時(shí)給客戶推送告警提示信息。系統(tǒng)可提供多種告警方式����,包括頁面彈窗、郵件告警和短信告警�。
7.分類及統(tǒng)計(jì)
對系統(tǒng)內(nèi)采集到各項(xiàng)數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì),例如各信道占用情況�����、設(shè)備品牌分布�����、設(shè)備連接數(shù)量����、連接頻率�����、通信數(shù)據(jù)量等等。根據(jù)這些數(shù)據(jù)可以對整體的無線環(huán)境進(jìn)行定性分析和綜合評估���。有利于院方進(jìn)行統(tǒng)一管理和內(nèi)容調(diào)取���。
醫(yī)院信息化建設(shè)過程中,無線網(wǎng)絡(luò)作為底層網(wǎng)絡(luò)支持����,其安全性也成為醫(yī)療行業(yè)關(guān)注的焦點(diǎn)。需要真正實(shí)現(xiàn)對無線環(huán)境的信息采集�����,攻擊識(shí)別����,威脅檢測,安全測試等功能���,實(shí)時(shí)監(jiān)測覆蓋范圍內(nèi)各無線熱點(diǎn)和終端的安全狀態(tài)���,發(fā)現(xiàn)威脅并及時(shí)告警�,對無線設(shè)備進(jìn)行定位追蹤�����,幫助安全人員從繁復(fù)的安全監(jiān)測中提升效率���,提升整體的資產(chǎn)安全水平, 并把無線數(shù)據(jù)和行為還原為現(xiàn)實(shí)的人和設(shè)備����,填補(bǔ)無線環(huán)境監(jiān)控的盲區(qū)���,助力醫(yī)療行業(yè)信息化發(fā)展�����。
