解决方案 Case

医院无线安全解决方案

日期: 2018-12-16
浏览次数: 170

业务场景

随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。


医院无线安全解决方案


从医院无线网络的建议模式来看,通常分为运营商代建和医院自建两种。无论哪种建设模式,无线技术本身安全性的问题都无法回避。不像有线网络,只要不提供接入点,就无法侵入;无线是开放的,任何外来人员都可以和内部人员一样接收到无线信号,所以必须进行接入认证安全保护。但如果像家庭一样只提供密码接入保护,那么无线网络的安全形同虚设,因为整网单一的密码很容易外泄。

除了内网及外网业务,运营商代建的无线网络还提供公共无线网接入(如电信的ChinaNet、移动的CMCC等)。公网和私网的混用还会引入更多的安全问题。


安全需求

由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其它无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网中,去窃听或干扰信息就变得容易得多。

WLAN所面临的安全威胁主要有以下几下几类:

1、网络窃听

一般说来,大多数网络通信都是以明文(非加密)格式出现,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是医院网络管理员面临的较严重的安全问题。如果没有基于加密的强有力的安全服务,就医患者数据就很容易在空气中传输时被他人读取并利用。

2、AP中间人欺骗

在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行中间人欺骗攻击。

3、WEP破解

现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,可以在两个小时内攻破WEP密钥。

4、MAC地址欺骗

即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据,能够获得AP允许通信的STA MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。

5、非法接入

医院员工私设WLAN接入点或者私自连接外部WLAN接入点的现象较多,且在内部缺乏有效的WLAN内网安全管理措施,可能导致医院内部敏感信息泄露。

医院WLAN目前存在着许多潜在风险,无线网络安全方案的构建需要考虑以下几个问题:

考虑到医院的业务模式,传统的用户名口令无法作为唯一的认证因素,原因是医生护士的用户名口令几乎是半公开的。那么如何识别医院的合法移动终端?

随着平板电脑和智能手机的普及,传统的移动推车加PDA的应用受到冲击。如何支持新型的移动终端?

如何防止合法终端接入运营商提供的无线网络?

对于运营商承建的无线网络,如何防止登录公共无线网络的用户的黑客入侵?


解决方案

结合医院因业务需求大力建设WLAN网络的现实情况下,交大捷普根据多年在安全领域里技术积累、咨询和服务经验,设计了一套切实可行的建设性方案。方案设计思路如下:


医院无线安全解决方案


针对WLAN引入的安全风险,从有线、无线一体化角度考虑WLAN网络及业务安全。针对WLAN安全风险,建议围绕系统生命周期进行考虑各阶段需采用的安全措施。

WLAN安全评估服务

1、服务层和应用层

针对Web Portal服务器的WEB应用安全评估

业务评估

(1)针对认证体系存在的安全问题给出详细测试分析,如DNS穿透技术绕过计费等。

(2)对后台业务系统整体安全状况给出详细测试分析,如Radius架构设计,认证模式、用户账户脆弱性、平台安全性等。

2.基础架构层

安全域划分及边界整合评估:针对WLAN网络部署存在的安全问题进行分析,如完整网络拓扑严谨性分析、ACL控制策略分析;

WLAN接入评估

(1)对WLAN接入安全脆弱性给出详细测试分析,如绕过验证机构等

(2)对WLAN接入安全威胁性给出详细测试分析,如伪造登录环境,无线DOS攻击压力测试等。

WLAN设备安全评估

(1)设备脆弱性:发现WLAN核心网络设备(AP、AC)的版本、漏洞等安全问题;

(2)配置要核查:依据行业规范,评测现网部署的WLAN无线设备配置是否符合安全要求。

WLAN 安全防护解决方案

1.安全域划分/策略调整需考虑由于WLAN引入后对现网安全策略(安全域划分及边界整合策略)的影响;

建议划分为无线接入区、接入控制区、认证鉴权区三个安全域;

Web portal与radius隔离在两个不同等级安全域内,分别采取不同的安全防护手段;




医院无线安全解决方案


方案价值

确保医院机构数据及病人隐私信息不泄露、不被篡改,医疗数据的安全传输;

保障新的医疗信息化应用推广使用,满足医院信息化深层次发展要求;

为内外网有线、无线架构中用户及设备提供反病毒、反恶意软件、僵尸网络阻断、入侵检测、配置检查等安全措施;

建立健全医院网络信息安全防护体系、使得医疗信息系统能提高且越来越人性化,为医院带来良好声誉的同时也为其增加了额外的营收。


友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务