解決方案 Case

醫院無線安全解決方案

日期: 2018-12-16
瀏覽次數: 37

業務場景

隨著醫療改革的推進,醫院正朝著以終末質量管理向環節質量管理轉變,從而提高醫療服務質量,緩和醫患關系,提高醫院的服務效率。與以病人為中心的服務理念相適應,醫院信息化也從傳統的內部管理為主的HIS系統,向以病人為核心的臨床信息化系統轉變。伴隨著臨床信息化,醫院正逐步地實現無紙化、無膠片化和無線化。隨著無線局域網技術的不斷成熟和普及,無線局域網在全球范圍內醫療行業中的應用已經成為了一種趨勢。


醫院無線安全解決方案


從醫院無線網絡的建議模式來看,通常分為運營商代建和醫院自建兩種。無論哪種建設模式,無線技術本身安全性的問題都無法回避。不像有線網絡,只要不提供接入點,就無法侵入;無線是開放的,任何外來人員都可以和內部人員一樣接收到無線信號,所以必須進行接入認證安全保護。但如果像家庭一樣只提供密碼接入保護,那么無線網絡的安全形同虛設,因為整網單一的密碼很容易外泄。

除了內網及外網業務,運營商代建的無線網絡還提供公共無線網接入(如電信的ChinaNet、移動的CMCC等)。公網和私網的混用還會引入更多的安全問題。


安全需求

由于無線局域網采用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體,因此在一個無線局域網接入點(Access Point)所服務的區域中,任何一個無線客戶端都可以接受到此接入點的電磁波信號,這樣就可能包括一些惡意用戶也能接收到其它無線數據信號。這樣惡意用戶在無線局域網中相對于在有線局域網中,去竊聽或干擾信息就變得容易得多。

WLAN所面臨的安全威脅主要有以下幾下幾類:

1、網絡竊聽

一般說來,大多數網絡通信都是以明文(非加密)格式出現,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解(讀取)通信。這類攻擊是醫院網絡管理員面臨的較嚴重的安全問題。如果沒有基于加密的強有力的安全服務,就醫患者數據就很容易在空氣中傳輸時被他人讀取并利用。

2、AP中間人欺騙

在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行中間人欺騙攻擊。

3、WEP破解

現在互聯網上存在一些程序,能夠捕捉位于AP信號覆蓋區域內的數據包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量,可以在兩個小時內攻破WEP密鑰。

4、MAC地址欺騙

即使AP起用了MAC地址過濾,使未授權的黑客的無線網卡不能連接AP,這并不意味著能阻止黑客進行無線信號偵聽。通過某些軟件分析截獲的數據,能夠獲得AP允許通信的STA MAC地址,這樣黑客就能利用MAC地址偽裝等手段入侵網絡了。

5、非法接入

醫院員工私設WLAN接入點或者私自連接外部WLAN接入點的現象較多,且在內部缺乏有效的WLAN內網安全管理措施,可能導致醫院內部敏感信息泄露。

醫院WLAN目前存在著許多潛在風險,無線網絡安全方案的構建需要考慮以下幾個問題:

考慮到醫院的業務模式,傳統的用戶名口令無法作為唯一的認證因素,原因是醫生護士的用戶名口令幾乎是半公開的。那么如何識別醫院的合法移動終端?

隨著平板電腦和智能手機的普及,傳統的移動推車加PDA的應用受到沖擊。如何支持新型的移動終端?

如何防止合法終端接入運營商提供的無線網絡?

對于運營商承建的無線網絡,如何防止登錄公共無線網絡的用戶的黑客入侵?


解決方案

結合醫院因業務需求大力建設WLAN網絡的現實情況下,交大捷普根據多年在安全領域里技術積累、咨詢和服務經驗,設計了一套切實可行的建設性方案。方案設計思路如下:


醫院無線安全解決方案


針對WLAN引入的安全風險,從有線、無線一體化角度考慮WLAN網絡及業務安全。針對WLAN安全風險,建議圍繞系統生命周期進行考慮各階段需采用的安全措施。

WLAN安全評估服務

1、服務層和應用層

針對Web Portal服務器的WEB應用安全評估

業務評估

(1)針對認證體系存在的安全問題給出詳細測試分析,如DNS穿透技術繞過計費等。

(2)對后臺業務系統整體安全狀況給出詳細測試分析,如Radius架構設計,認證模式、用戶賬戶脆弱性、平臺安全性等。

2.基礎架構層

安全域劃分及邊界整合評估:針對WLAN網絡部署存在的安全問題進行分析,如完整網絡拓撲嚴謹性分析、ACL控制策略分析;

WLAN接入評估

(1)對WLAN接入安全脆弱性給出詳細測試分析,如繞過驗證機構等

(2)對WLAN接入安全威脅性給出詳細測試分析,如偽造登錄環境,無線DOS攻擊壓力測試等。

WLAN設備安全評估

(1)設備脆弱性:發現WLAN核心網絡設備(AP、AC)的版本、漏洞等安全問題;

(2)配置要核查:依據行業規范,評測現網部署的WLAN無線設備配置是否符合安全要求。

WLAN?安全防護解決方案

1.安全域劃分/策略調整需考慮由于WLAN引入后對現網安全策略(安全域劃分及邊界整合策略)的影響;

建議劃分為無線接入區、接入控制區、認證鑒權區三個安全域;

Web portal與radius隔離在兩個不同等級安全域內,分別采取不同的安全防護手段;




醫院無線安全解決方案


方案價值

確保醫院機構數據及病人隱私信息不泄露、不被篡改,醫療數據的安全傳輸;

保障新的醫療信息化應用推廣使用,滿足醫院信息化深層次發展要求;

為內外網有線、無線架構中用戶及設備提供反病毒、反惡意軟件、僵尸網絡阻斷、入侵檢測、配置檢查等安全措施;

建立健全醫院網絡信息安全防護體系、使得醫療信息系統能提高且越來越人性化,為醫院帶來良好聲譽的同時也為其增加了額外的營收。


友情連接:
免費服務熱線 ree service hotline 400-613-1868 手機端
法律聲明 Copyright  西安交大捷普網絡科技有限公司  陜ICP備18022218號-1
犀牛云提供云計算服務
8加一中五个红球多少钱