無線WiFi應(yīng)用背景分析
近年來,醫(yī)療領(lǐng)域不斷探索和嘗試運(yùn)用科技提供更好的健康服務(wù)。“智慧醫(yī)療”和“數(shù)字醫(yī)院”這些概念我們并不陌生。隨著配備數(shù)字化設(shè)備的智慧醫(yī)療體系不斷完善,已形成一個(gè)醫(yī)療信息高速流通,內(nèi)部數(shù)據(jù)共享的數(shù)字化、一體化醫(yī)療物聯(lián)網(wǎng)生態(tài)系統(tǒng)。因此,院方越來越需要快速可靠的連接,以確保這些技術(shù)正常運(yùn)行。
隨著無線網(wǎng)絡(luò)在技術(shù)上日益成熟,其組網(wǎng)靈活性、良好的可擴(kuò)展 性,逐漸運(yùn)用到各種復(fù)雜的組網(wǎng)環(huán)境中,尤其在醫(yī)療行業(yè)的信息化中得到較好的發(fā)展它已成為個(gè)企事業(yè)單位的基礎(chǔ)技術(shù),尤其是在互聯(lián)網(wǎng)醫(yī)療、移動(dòng)醫(yī)療、數(shù)字醫(yī)聯(lián)體等形態(tài)發(fā)展如火如荼的當(dāng)下。WiFi彌補(bǔ)了有線網(wǎng)絡(luò)信息點(diǎn)固定等方面的局限性。
無線安全的需求分析
政策指引
衛(wèi)計(jì)委制定了《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引》,各二級醫(yī)院都要參照執(zhí)行。此指導(dǎo)中明確提出無線移動(dòng)醫(yī)療的安全性,包括設(shè)備訪問控制、設(shè)備訪問權(quán)限、邊界防護(hù)、安全審計(jì)等。
等級保護(hù)2.0新標(biāo)準(zhǔn)里提出了對無線網(wǎng)絡(luò)設(shè)備在無線設(shè)備接入、無線設(shè)備自身安全、通信安全、網(wǎng)絡(luò)邊界安全的控制要求。具體為(1、不允許私自搭建無線接入點(diǎn),對于私自搭建行為能夠進(jìn)行檢測、記錄、定位;2、重要移動(dòng)終端接入無線網(wǎng)絡(luò)時(shí)應(yīng)采用安全可靠的認(rèn)證協(xié)議;3、應(yīng)按移動(dòng)終端和無線接入點(diǎn)之間的訪問規(guī)則,決定允許或拒絕移動(dòng)終端設(shè)備對網(wǎng)絡(luò)資源的訪問,控制粒度為單個(gè)設(shè)備;4、應(yīng)能夠?qū)Ψ鞘跈?quán)移動(dòng)終端接入的行為應(yīng)能夠進(jìn)行檢測、記錄、定位;5、應(yīng)具備對針對無線接入點(diǎn)的網(wǎng)絡(luò)掃描、 DoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測、記錄、 分析定位;6、應(yīng)禁用無線接入點(diǎn)設(shè)備的SSID 廣播、WPS 等存在風(fēng)險(xiǎn)的功能)。
醫(yī)院的無線應(yīng)用需求
1.HIS移動(dòng)終端,滿足移動(dòng)醫(yī)療系統(tǒng)業(yè)務(wù)的承載。例如移動(dòng)查房、床邊護(hù)理、特級監(jiān)護(hù)、移動(dòng)醫(yī)護(hù)、移動(dòng)輸液、藥庫管理等。
2.提供患者及家屬無線上網(wǎng)娛樂功能,提升服務(wù)品質(zhì),提升服務(wù)效率。如手機(jī)掛號,自助查詢、打印單據(jù)等。
3.醫(yī)院資產(chǎn)和人員管理,基于RFID或WiFi標(biāo)簽,可實(shí)現(xiàn)識別和定位功能。
由于醫(yī)院的患者個(gè)人信息、電子病歷等內(nèi)部數(shù)據(jù)較為機(jī)密,因此對無線網(wǎng)絡(luò)的安全性提出了更高的要求。一旦出現(xiàn)信息泄露、甚至惡意篡改,將會造成不可彌補(bǔ)的生命財(cái)產(chǎn)損失。再加上目前醫(yī)院的信息系統(tǒng)較為復(fù)雜,急需統(tǒng)一部署一套完整的無線安全防護(hù)體系,提升無線網(wǎng)絡(luò)的整體安全性。醫(yī)院無線網(wǎng)絡(luò)已經(jīng)由部署、應(yīng)用進(jìn)入第三階段——無線監(jiān)管階段。
系統(tǒng)架構(gòu)及組網(wǎng)
無線安全解決方案
目前,WLAN的安全從單一的物理層安全全延伸到設(shè)備安全,用戶接入安全、網(wǎng)絡(luò)層安全、管理安全等多個(gè)層面上,四維創(chuàng)智以醫(yī)療的實(shí)際需求為導(dǎo)向,形成了以“WiFi資產(chǎn)管理、威脅檢測、攻擊識別阻斷、無線安全態(tài)勢感知”為一體的解決方案。
1.無線設(shè)備探測
支持2.4G和5G雙頻段全信道的WiFi設(shè)備探測,包括WiFi熱點(diǎn)、手機(jī)、PAD、電腦等所有支持并開啟WiFi功能的設(shè)備。實(shí)現(xiàn)WiFi網(wǎng)絡(luò)下的全資產(chǎn)識別和統(tǒng)一管理,實(shí)時(shí)、全面了解無線安全態(tài)勢。
管控界面示例
2.訪問與認(rèn)證
醫(yī)院人流量大,人員結(jié)構(gòu)復(fù)雜。因此,醫(yī)院需要將醫(yī)療網(wǎng)絡(luò)與訪客網(wǎng)絡(luò)相互隔離、接入終端相互隔離,防止非法入侵、竊取敏感信息;終端MAC/用戶身份等多維度設(shè)定接入權(quán)限和訪問策略,確保終端合法才可接入醫(yī)療網(wǎng)絡(luò)。
3.設(shè)備詳情提取
可對設(shè)備無線通信相關(guān)的信息進(jìn)行深度解析和提取,包括設(shè)備類型(熱點(diǎn)/終端)、品牌、使用的信道、通信數(shù)據(jù)量、發(fā)射功率、連接關(guān)系等。必要時(shí),對產(chǎn)生攻擊行為的設(shè)備進(jìn)行責(zé)任追溯。
4.無線攻擊檢測
安全是院方對無線網(wǎng)絡(luò)的普遍提供對常見WiFi攻擊的檢測和告警功能,包括釣魚攻擊、Auth Flood攻擊和Deauth Flood攻擊??捎行Х婪逗诳腿肭止?,保障上網(wǎng)數(shù)據(jù)安全;可以實(shí)現(xiàn)安全威脅持續(xù)監(jiān)控、仿冒偵測、移動(dòng)應(yīng)用安全和數(shù)據(jù)防泄露、網(wǎng)絡(luò)安全技術(shù)措施、禁止SSID廣播、禁止安裝和使用危害程序等多項(xiàng)無線安全要求。
Auth Flood攻擊:即身份驗(yàn)證洪水攻擊。該攻擊目標(biāo)主要針對那些處于通過驗(yàn)證、和AP建立關(guān)聯(lián)的關(guān)聯(lián)客戶端,攻擊者將向AP發(fā)送大量偽造的身份驗(yàn)證請求幀(偽造的身份驗(yàn)證服務(wù)和狀態(tài)代碼),當(dāng)收到大量偽造的身份驗(yàn)證請求超過所能承受的能力時(shí),AP將斷開其他無線服務(wù)連接。
Deauth Flood攻擊:即為取消驗(yàn)證洪水攻擊,它旨在通過欺騙從AP到客戶端單播地址的取消身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)/未認(rèn)證的狀態(tài)。對于目前的工具來說,這種形式的攻擊在打斷客戶無線服務(wù)方面非常有效和快捷。一般來說,在攻擊者發(fā)送另一個(gè)取消身份驗(yàn)證幀之前,客戶端會重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消身份驗(yàn)證幀才能使所有客戶端持續(xù)拒絕服務(wù)。
5.設(shè)備存在性定位
對客戶資產(chǎn)進(jìn)行存在性定位,當(dāng)目標(biāo)設(shè)備離開系統(tǒng)覆蓋區(qū)域時(shí),及時(shí)提示告警。該定位方式可以確定目標(biāo)設(shè)備在哪個(gè)區(qū)域內(nèi)。對醫(yī)院的部分固定資產(chǎn)也可以通過外置WiFi標(biāo)簽進(jìn)行設(shè)備定位。
6.多種方式告警
在檢測到無線攻擊和目標(biāo)設(shè)備離開指定區(qū)域時(shí),需要及時(shí)給客戶推送告警提示信息。系統(tǒng)可提供多種告警方式,包括頁面彈窗、郵件告警和短信告警。
7.分類及統(tǒng)計(jì)
對系統(tǒng)內(nèi)采集到各項(xiàng)數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì),例如各信道占用情況、設(shè)備品牌分布、設(shè)備連接數(shù)量、連接頻率、通信數(shù)據(jù)量等等。根據(jù)這些數(shù)據(jù)可以對整體的無線環(huán)境進(jìn)行定性分析和綜合評估。有利于院方進(jìn)行統(tǒng)一管理和內(nèi)容調(diào)取。
醫(yī)院信息化建設(shè)過程中,無線網(wǎng)絡(luò)作為底層網(wǎng)絡(luò)支持,其安全性也成為醫(yī)療行業(yè)關(guān)注的焦點(diǎn)。需要真正實(shí)現(xiàn)對無線環(huán)境的信息采集,攻擊識別,威脅檢測,安全測試等功能,實(shí)時(shí)監(jiān)測覆蓋范圍內(nèi)各無線熱點(diǎn)和終端的安全狀態(tài),發(fā)現(xiàn)威脅并及時(shí)告警,對無線設(shè)備進(jìn)行定位追蹤,幫助安全人員從繁復(fù)的安全監(jiān)測中提升效率,提升整體的資產(chǎn)安全水平, 并把無線數(shù)據(jù)和行為還原為現(xiàn)實(shí)的人和設(shè)備,填補(bǔ)無線環(huán)境監(jiān)控的盲區(qū),助力醫(yī)療行業(yè)信息化發(fā)展。
聯(lián)系人:宋經(jīng)理
地址: 北京市通州區(qū)永樂店鎮(zhèn)聯(lián)航大廈2476