医疗行业无线安全解决方案

3月 22,2019by admin

无线WiFi应用背景分析
 
近年来,医疗领域不断探索和尝试运用科技提供更好的健康服务。“智慧医疗”和“数字医院”这些概念我们并不陌生。随着配备数字化设备的智慧医疗体系不断完善,已形成一个医疗信息高速流通,内部数据共享的数字化、一体化医疗物联网生态系统。因此,院方越来越需要快速可靠的连接,以确保这些技术正常运行。
 
随着无线网络在技术上日益成熟,其组网灵活性、良好的可扩展 性,逐渐运用到各种复杂的组网环境中,尤其在医疗行业的信息化中得到较好的发展它已成为个企事业单位的基础技术,尤其是在互联网医疗、移动医疗、数字医联体等形态发展如火如荼的当下。WiFi弥补了有线网络信息点固定等方面的局限性。

 
无线安全的需求分析
 
政策指引
 
国家卫计委制定了《医院信息化建设应用技术指引》,各二级医院都要参照执行。此指导中明确提出无线移动医疗的安全性,包括设备访问控制、设备访问权限、边界防护、安全审计等。
 
等级保护2.0新标准里提出了对无线网络设备在无线设备接入、无线设备自身安全、通信安全、网络边界安全的控制要求。具体为(1、不允许私自搭建无线接入点,对于私自搭建行为能够进行检测、记录、定位;2、重要移动终端接入无线网络时应采用安全可靠的认证协议;3、应按移动终端和无线接入点之间的访问规则,决定允许或拒绝移动终端设备对网络资源的访问,控制粒度为单个设备;4、应能够对非授权移动终端接入的行为应能够进行检测、记录、定位;5、应具备对针对无线接入点的网络扫描、 DoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、 分析定位;6、应禁用无线接入点设备的SSID 广播、WPS 等存在风险的功能)。
 
医院的无线应用需求
 
1.HIS移动终端,满足移动医疗系统业务的承载。例如移动查房、床边护理、特级监护、移动医护、移动输液、药库管理等。
 
2.提供患者及家属无线上网娱乐功能,提升服务品质,提升服务效率。如手机挂号,自助查询、打印单据等。
 
3.医院资产和人员管理,基于RFID或WiFi标签,可实现识别和定位功能。

 
由于医院的患者个人信息、电子病历等内部数据较为机密,因此对无线网络的安全性提出了更高的要求。一旦出现信息泄露、甚至恶意篡改,将会造成不可弥补的生命财产损失。再加上目前医院的信息系统较为复杂,急需统一部署一套完整的无线安全防护体系,提升无线网络的整体安全性。医院无线网络已经由部署、应用进入第三阶段——无线监管阶段。

系统架构及组网
 
无线安全解决方案
 
目前,WLAN的安全从单一的物理层安全全延伸到设备安全,用户接入安全、网络层安全、管理安全等多个层面上,四维创智以医疗的实际需求为导向,形成了以“WiFi资产管理、威胁检测、攻击识别阻断、无线安全态势感知”为一体的解决方案。
 
1.无线设备探测
支持2.4G和5G双频段全信道的WiFi设备探测,包括WiFi热点、手机、PAD、电脑等所有支持并开启WiFi功能的设备。实现WiFi网络下的全资产识别和统一管理,实时、全面了解无线安全态势。

管控界面示例
 
2.访问与认证
医院人流量大,人员结构复杂。因此,医院需要将医疗网络与访客网络相互隔离、接入终端相互隔离,防止非法入侵、窃取敏感信息;终端MAC/用户身份等多维度设定接入权限和访问策略,确保终端合法才可接入医疗网络。
 
3.设备详情提取
可对设备无线通信相关的信息进行深度解析和提取,包括设备类型(热点/终端)、品牌、使用的信道、通信数据量、发射功率、连接关系等。必要时,对产生攻击行为的设备进行责任追溯。
 
4.无线攻击检测
安全是院方对无线网络的普遍提供对常见WiFi攻击的检测和告警功能,包括钓鱼攻击、Auth Flood攻击和Deauth Flood攻击。可有效防范黑客入侵攻击,保障上网数据安全;可以实现安全威胁持续监控、仿冒侦测、移动应用安全和数据防泄露、网络安全技术措施、禁止SSID广播、禁止安装和使用危害程序等多项无线安全要求。

 
Auth Flood攻击:即身份验证洪水攻击。该攻击目标主要针对那些处于通过验证、和AP建立关联的关联客户端,攻击者将向AP发送大量伪造的身份验证请求帧(伪造的身份验证服务和状态代码),当收到大量伪造的身份验证请求超过所能承受的能力时,AP将断开其他无线服务连接。

 
Deauth Flood攻击:即为取消验证洪水攻击,它旨在通过欺骗从AP到客户端单播地址的取消身份验证帧来将客户端转为未关联/未认证的状态。对于目前的工具来说,这种形式的攻击在打断客户无线服务方面非常有效和快捷。一般来说,在攻击者发送另一个取消身份验证帧之前,客户端会重新关联和认证以再次获取服务。攻击者反复欺骗取消身份验证帧才能使所有客户端持续拒绝服务。

 
5.设备存在性定位
对客户资产进行存在性定位,当目标设备离开系统覆盖区域时,及时提示告警。该定位方式可以确定目标设备在哪个区域内。对医院的部分固定资产也可以通过外置WiFi标签进行设备定位。
 
6.多种方式告警
在检测到无线攻击和目标设备离开指定区域时,需要及时给客户推送告警提示信息。系统可提供多种告警方式,包括页面弹窗、邮件告警和短信告警。
 
7.分类及统计
对系统内采集到各项数据进行分类统计,例如各信道占用情况、设备品牌分布、设备连接数量、连接频率、通信数据量等等。根据这些数据可以对整体的无线环境进行定性分析和综合评估。有利于院方进行统一管理和内容调取。
 
医院信息化建设过程中,无线网络作为底层网络支持,其安全性也成为医疗行业关注的焦点。需要真正实现对无线环境的信息采集,攻击识别,威胁检测,安全测试等功能,实时监测覆盖范围内各无线热点和终端的安全状态,发现威胁并及时告警,对无线设备进行定位追踪,帮助安全人员从繁复的安全监测中提升效率,提升整体的资产安全水平, 并把无线数据和行为还原为现实的人和设备,填补无线环境监控的盲区,助力医疗行业信息化发展。