探微医院无线网络安全防护.doc

探微医院无线网络安全防护 1医院无线网络安全防护措施 1.1基础无线网络安全 国际上认可的无线局域网标准IEEE802.11自1997年推出以来，在无线网络中应用最为广泛的安全措施是无线网络的MAC地址过滤、禁用SSID和静态地址分配。随着无线网络技术的快速发展，无线网卡的MAC地址可以由用户自由设置，因此通过MAC地址过滤已经不能满足医院无线网络安全的需求。但是，医院内部有些科室出于自身工作的需要，采用了家用无线AP扩展医院网络，而家用无线AP往往将MAC地址过滤作为主要的安全防护手段，一旦有克隆MAC的外部无线终端的侵入，将对医院网络安全造成严重的影响，因此从医院网络安全角度出发，应该杜绝在医院内使用家用无线AP扩展网络。SSID的含义是服务集标志，医院的无线终端必须设置无线网络的SSID才能使用院内的无线网络。但是随着智能手机的普及，在医院里越来越多的人开始使用运营商的WIFI网络上网，医院内部SSID广播的网络就有可能被非医护人员尝试联接，因此通过禁用SSID广播能防止院外普通用户对医院无线网络的联接。禁用SSID广播之后，无线医疗网络就不会被他人搜索到，同时也不影响医务人员的正常使用。但通过专业的无线网络扫描工具还是能查找到隐藏的SSID，因此禁用SSID广播也不能作为医院单一网络安全防护的方式。有研究报告指出，绝大部分的网络入侵，是由无线网络按缺省值设置，普通用户好奇联入造成的，而运营商的WIFI网络都采用DHCP的方式给上网用户分配IP地址。因此，医院无线网络如果采用静态地址分配，外来手机等无线终端由于无法获得无线IP地址，而不能使用医院无线网络，但其安全级别还是较低。可见，医院无线网络通过SSID隐藏和静态地址分配作为无线网络的基础防护，只能防止普通用户联入医院无线网络。 1.2登录认证增强 Wep于1999年成为无线网络IEEE802.11标准的一部分，对无线网络接入的安全认证做了加强，并对设备间无线传输的数据进行加密，用以防止非法用户侵入或窃听无线网络。早期的医院无线网络一般都采用了Wep的数据加密方式，并且具有128位的有线等效加密（Wep）功能，可以提供等同于有线的局域网（LAN）的数据安全。但是，Wep协议由于CRC－32的算法缺陷，2001年8月被证实破解，在Wep加密情况下通过专业破解工具可以在0.5h内完成密文的破译。因此，2004年6月通过的IEEE802.11i将WPA、WPA2作为无线网络认证的安全协议，其中WPA2协议在安全性上做了进一步的增强，同时在企业级应用中增加了应用802.1x认证的RADIUS服务器。身份认证基于用户，每个访问无线网络的人都在RADIUS身份认证服务器上拥有1个独立的用户账户。在医院无线网络环境下，较为安全的无线网络接入认证方式是应用WPA2协议结合RADIUS认证服务器的身份认证方式。但是，医院早期部署的交换机由于不能支持802.1x的协议，还需要通过交换机软件升级才能应用RADIUS认证，同时RADIUS安全认证方式采用的还是传统的用户名和密码的认证，其对于用户名和密码泄露引起的网络安全隐患仍不能避免。 1.3数字证书身份认证 针对WPA2协议结合RADIUS认证服务器的身份认证方式，由用户名和密码泄露造成的安全问题，近些年来通过USB数字证书的无线网络身份认证方式开始得到应用。截止到2012年6月底，国家卫生部已通过4批22家数字证书认证服务机构。USB数字证书身份认证的最大优势在于：US-Bkey作为储存客户数字证书和私有密钥的载体，外部用户无法直接读取其内容。因此，USB数字证书认证方式是目前较安全的身份认证手段。对比用户名和密码的无线网络认证方式，USB数字证书在不可复制方面的优势明显。结合WPA2协议加RADIUS认证服务器的用户密码认证，同时使用US-Bkey数字证书进行身份认证的双因子认证是目前无线网络认证级别中最安全的身份认证方式之一。 1.4SSL（securitysocketlayer）VPN进行数据加密和访问控制 由于在实际医疗活动中，医疗机构为了满足诊断、科研及教学需要，必须经常大量采集、发布、利用各种医疗数据，而这些数据就包含着个人的隐私信息。由于原有医院局域网的相对封闭性，绝大多数的应用系统采用的都是未经加密的数据包进行数据交换，但是医院无线局域网是开放性的网络，入侵者通过对无线信号中数据包的侦听与解析，使得医疗信息泄漏成为了医院不得不面对的问题。在医院无线应用的环境里，必须对无线终端与服务端交换的数据进行加密，才能防止医疗信息的泄漏。SSL协议是基于Web网络应用的安全协议，使用SSL可保证信息的真实性、完整性和保密性。SSLVPN即指采用SSL协议来实现远