人工客服
獲取報價
獲取資料
方案定制
項目合作
售后服務
咨詢熱線
400-608-6677 轉810
400-608-6677 轉810
2019-03-25
2867
神州明達-小明
無線WiFi應用背景分析
近年來,醫療領域不斷探索和嘗試運用科技提供更好的健康服務。“智慧醫療”和“數字醫院”這些概念我們并不陌生。隨著配備數字化設備的智慧醫療體系不斷完善,已形成一個醫療信息高速流通,內部數據共享的數字化、一體化醫療物聯網生態系統。因此,院方越來越需要快速可靠的連接,以確保這些技術正常運行。
隨著無線網絡在技術上日益成熟,其組網靈活性、良好的可擴展 性,逐漸運用到各種復雜的組網環境中,尤其在醫療行業的信息化中得到較好的發展它已成為個企事業單位的基礎技術,尤其是在互聯網醫療、移動醫療、數字醫聯體等形態發展如火如荼的當下。WiFi彌補了有線網絡信息點固定等方面的局限性。
無線安全的需求分析
政策指引
國家衛計委制定了《醫院信息化建設應用技術指引》,各二級醫院都要參照執行。此指導中明確提出無線移動醫療的安全性,包括設備訪問控制、設備訪問權限、邊界防護、安全審計等。
等級保護2.0新標準里提出了對無線網絡設備在無線設備接入、無線設備自身安全、通信安全、網絡邊界安全的控制要求。具體為(1、不允許私自搭建無線接入點,對于私自搭建行為能夠進行檢測、記錄、定位;2、重要移動終端接入無線網絡時應采用安全可靠的認證協議;3、應按移動終端和無線接入點之間的訪問規則,決定允許或拒絕移動終端設備對網絡資源的訪問,控制粒度為單個設備;4、應能夠對非授權移動終端接入的行為應能夠進行檢測、記錄、定位;5、應具備對針對無線接入點的網絡掃描、 DoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進行檢測、記錄、 分析定位;6、應禁用無線接入點設備的SSID 廣播、WPS 等存在風險的功能)。
醫院的無線應用需求
1.HIS移動終端,滿足移動醫療系統業務的承載。例如移動查房、床邊護理、特級監護、移動醫護、移動輸液、藥庫管理等。
2.提供患者及家屬無線上網娛樂功能,提升服務品質,提升服務效率。如手機掛號,自助查詢、打印單據等。
3.醫院資產和人員管理,基于RFID或WiFi標簽,可實現識別和定位功能。
由于醫院的患者個人信息、電子病歷等內部數據較為機密,因此對無線網絡的安全性提出了更高的要求。一旦出現信息泄露、甚至惡意篡改,將會造成不可彌補的生命財產損失。再加上目前醫院的信息系統較為復雜,急需統一部署一套完整的無線安全防護體系,提升無線網絡的整體安全性。醫院無線網絡已經由部署、應用進入第三階段——無線監管階段。
系統架構及組網
無線安全解決方案
目前,WLAN的安全從單一的物理層安全全延伸到設備安全,用戶接入安全、網絡層安全、管理安全等多個層面上,神州明達以醫療的實際需求為導向,形成了以“WiFi資產管理、威脅檢測、攻擊識別阻斷、無線安全態勢感知”為一體的解決方案。
1.無線設備探測
支持2.4G和5G雙頻段全信道的WiFi設備探測,包括WiFi熱點、手機、PAD、電腦等所有支持并開啟WiFi功能的設備。實現WiFi網絡下的全資產識別和統一管理,實時、全面了解無線安全態勢。
管控界面示例
2.訪問與認證
醫院人流量大,人員結構復雜。因此,醫院需要將醫療網絡與訪客網絡相互隔離、接入終端相互隔離,防止非法入侵、竊取敏感信息;終端MAC/用戶身份等多維度設定接入權限和訪問策略,確保終端合法才可接入醫療網絡。
3.設備詳情提取
可對設備無線通信相關的信息進行深度解析和提取,包括設備類型(熱點/終端)、品牌、使用的信道、通信數據量、發射功率、連接關系等。必要時,對產生攻擊行為的設備進行責任追溯。
4.無線攻擊檢測
安全是院方對無線網絡的普遍提供對常見WiFi攻擊的檢測和告警功能,包括釣魚攻擊、Auth Flood攻擊和Deauth Flood攻擊。可有效防范黑客入侵攻擊,保障上網數據安全;可以實現安全威脅持續監控、仿冒偵測、移動應用安全和數據防泄露、網絡安全技術措施、禁止SSID廣播、禁止安裝和使用危害程序等多項無線安全要求。
Auth Flood攻擊:即身份驗證洪水攻擊。該攻擊目標主要針對那些處于通過驗證、和AP建立關聯的關聯客戶端,攻擊者將向AP發送大量偽造的身份驗證請求幀(偽造的身份驗證服務和狀態代碼),當收到大量偽造的身份驗證請求超過所能承受的能力時,AP將斷開其他無線服務連接。
Deauth Flood攻擊:即為取消驗證洪水攻擊,它旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀來將客戶端轉為未關聯/未認證的狀態。對于目前的工具來說,這種形式的攻擊在打斷客戶無線服務方面非常有效和快捷。一般來說,在攻擊者發送另一個取消身份驗證幀之前,客戶端會重新關聯和認證以再次獲取服務。攻擊者反復欺騙取消身份驗證幀才能使所有客戶端持續拒絕服務。
5.設備存在性定位
對客戶資產進行存在性定位,當目標設備離開系統覆蓋區域時,及時提示告警。該定位方式可以確定目標設備在哪個區域內。對醫院的部分固定資產也可以通過外置WiFi標簽進行設備定位。
6.多種方式告警
在檢測到無線攻擊和目標設備離開指定區域時,需要及時給客戶推送告警提示信息。系統可提供多種告警方式,包括頁面彈窗、郵件告警和短信告警。
7.分類及統計
對系統內采集到各項數據進行分類統計,例如各信道占用情況、設備品牌分布、設備連接數量、連接頻率、通信數據量等等。根據這些數據可以對整體的無線環境進行定性分析和綜合評估。有利于院方進行統一管理和內容調取。
醫院信息化建設過程中,無線網絡作為底層網絡支持,其安全性也成為醫療行業關注的焦點。需要真正實現對無線環境的信息采集,攻擊識別,威脅檢測,安全測試等功能,實時監測覆蓋范圍內各無線熱點和終端的安全狀態,發現威脅并及時告警,對無線設備進行定位追蹤,幫助安全人員從繁復的安全監測中提升效率,提升整體的資產安全水平, 并把無線數據和行為還原為現實的人和設備,填補無線環境監控的盲區,助力醫療行業信息化發展。
