醫(yī)院無線網(wǎng)建設(shè)及安全防護技術(shù)淺析

安徽醫(yī)科大學(xué)附屬阜陽醫(yī)院信息中心 李 剛

隨著醫(yī)院臨床信息化發(fā)展，無線網(wǎng)絡(luò)建設(shè)在醫(yī)院中愈發(fā)重要，無線監(jiān)護、患者實時位置管理、移動查房、移動護理、無線呼叫等一系列應(yīng)用大大提高了醫(yī)院的工作效率。但在醫(yī)院無線網(wǎng)絡(luò)建設(shè)中，應(yīng)該格外重視安全方面。本文通過介紹安徽醫(yī)科大學(xué)附屬阜陽醫(yī)院無線網(wǎng)絡(luò)建設(shè)，介紹目前存在的無線攻擊方式，并提出一種綜合性解決方法。

項目背景：安徽醫(yī)科大學(xué)附屬阜陽醫(yī)院是一家大型三級綜合醫(yī)院，需要無線網(wǎng)絡(luò)覆蓋醫(yī)院病區(qū)，承載移動辦公、移動護理、移動藥師等應(yīng)用系統(tǒng)。

1 醫(yī)院無線網(wǎng)絡(luò)建設(shè)簡介

1.1 整體網(wǎng)絡(luò)架構(gòu)

本項目整體網(wǎng)絡(luò)架構(gòu)分為三層：（1）核心層：部署兩臺高性能核心交換機，采用交換機虛擬化技術(shù)，旁掛無線控制器AC，實現(xiàn)無線系統(tǒng)集中管理。（2）匯聚層：部署3臺匯聚交換機，鏈路聚合后和核心相連接，保證鏈路帶寬的同時提高了鏈路的冗余性。（3）接入層：在各樓層弱電間內(nèi)部署POE交換機、無線轉(zhuǎn)發(fā)設(shè)備，其中接入無線AP點位共952個。

1.2 無線AP部署

（1）接入點覆蓋規(guī)劃

本項目采用FIT AP+AC架構(gòu)。由于醫(yī)院室內(nèi)布局較為復(fù)雜，需要根據(jù)不同場景來選擇不同種類的AP，在人流量大的門診大廳、等候區(qū)等區(qū)域，采用高密AP；在病房、診室內(nèi)等密集房間場所，采用面板類AP。所選無線AP應(yīng)支持802.11ac wave2 MIMO多入多出等技術(shù)，支后期持物聯(lián)網(wǎng)擴展。IEEE 802.11規(guī)定無線局域網(wǎng)設(shè)備的發(fā)射功率不能高于20dBm(100mW)，但經(jīng)過病房的混凝土墻后，無線信號衰減15-30dB，為保障信號良好，在每間住院病房、手術(shù)間均放置一個面板類AP，在走廊、候診區(qū)等密集房間通過適當(dāng)調(diào)整位置，來確保信號強度。通過inSSIDer軟件測試信號強度及信號的連貫性。如圖1所示。

圖1 測試結(jié)果截圖（信號強度在-90dbm～0之間表示正常）

（2）無線網(wǎng)優(yōu)化的幾種技術(shù)

重點考慮無線網(wǎng)絡(luò)的覆蓋率、容量大小、信道規(guī)劃等因素，確保無線網(wǎng)絡(luò)的承載能力、信噪比、速率等達標(biāo)。本項目建設(shè)重點主要采用以下優(yōu)化技術(shù)。

信道規(guī)劃：為避免無線AP信道的相互干擾，需要盡可能的減小同頻干擾，對無線AP信道進行統(tǒng)一科學(xué)的規(guī)劃。本項目利用1、6、11非重疊信道，兼顧三維空間實現(xiàn)水平垂直蜂窩式覆蓋，避免同層及上下層的同頻信號干擾。

無縫漫游：當(dāng)接入終端在移動過程中，從當(dāng)前AP切換到另一個AP時，終端不掉包且不需進行重新身份認(rèn)證，使用者對信號漫游切換無感知。本項目通過對各AP的SSID、客戶端配置、認(rèn)證方式保持一致，在二層漫游采用本地直接轉(zhuǎn)發(fā)，三層漫游使用集成轉(zhuǎn)發(fā)實現(xiàn)此目標(biāo)。

負(fù)載均衡：將負(fù)載數(shù)據(jù)進行平衡、分?jǐn)偟蕉鄠€AP上運行，達到減小系統(tǒng)調(diào)度開銷，分散網(wǎng)絡(luò)負(fù)荷，提高設(shè)備利用率等目的。

2 主流的無線加密及攻擊方式

根據(jù)Risk Based Security數(shù)據(jù)，2020年全球網(wǎng)絡(luò)安全事件仍然居高不下，且自新冠疫情以來，醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全事件激增45%。由于無線局域網(wǎng)使用無線電波，針對無線網(wǎng)的惡意攻擊更多，因此需要更加重視無線網(wǎng)的安全建設(shè)。本文對無線網(wǎng)安全建設(shè)淺析如下。

2.1 目前主流加密方式

無線加密方式主要有WEP和WPA/WPA2。由于WEP加密使用了RC4加密算法，通過Aircrack-ng、WEPCrac、AirSnort等軟件收集足夠的無線報文后，即可破解WEP密鑰，因此該協(xié)議已被淘汰。目前主流無線加密方式為WPA/WPA2，WPA2是WPA的升級版。WPA技術(shù)包括臨時密鑰完整性協(xié)議（TKIP）、消息完整性校驗（MIC），而WPA2主要使用高級加密標(biāo)準(zhǔn)（AES）、計數(shù)器模式及密碼區(qū)塊鏈信息認(rèn)證碼協(xié)議（CCMP）等技術(shù)。

2.2 常用無線網(wǎng)絡(luò)攻擊方式

掃描攻擊：又稱為War-Driving，通過駕駛車輛在目標(biāo)范圍內(nèi)進行wifi熱點探測，使用INSSIDER、Vistumbler等掃描工具軟件掃描網(wǎng)絡(luò)存在的安全漏洞。

DDOS攻擊：采用較多的方式是取消驗證洪水攻擊（DeauthenticationFlood Attack），旨在通過欺騙從AP到客戶端單播地址的取消身份驗證幀，將客戶端轉(zhuǎn)為未關(guān)聯(lián)／未認(rèn)證的狀態(tài)。常用的軟件有Aircrack-ng、Aireplay-ng等。

無線欺騙攻擊：多采用無線中間人（Wireless MITM）攻擊方式，攻擊者向AP和STA分別進行發(fā)送欺騙報文，造成正常訪問被重新定向，造成無線客戶端訪問欺騙網(wǎng)頁，這樣連接到偽造AP客戶端的所有數(shù)據(jù)流量以明文的方式被記錄，大量數(shù)據(jù)外泄。常用軟件為airbase-ng、Airpwn。

通過上述幾種攻擊方式組合使用，攻擊者獲取無線網(wǎng)接入權(quán)限，通過Nessus之類的軟件掃描服務(wù)器操作系統(tǒng)漏洞植入木馬病毒，非法獲取信息數(shù)據(jù)。

3 淺析無線網(wǎng)安全防護部署

針對無線網(wǎng)絡(luò)目前普遍存在的安全性問題，建議在網(wǎng)絡(luò)架構(gòu)、接入點覆蓋、安全防御三方面部署。

3.1 整體網(wǎng)絡(luò)架構(gòu)

建議采用“核心+匯聚+接入”三層網(wǎng)絡(luò)架構(gòu)模式。核心、匯聚交換機采用鏈路聚合模式，保障網(wǎng)絡(luò)負(fù)載均衡及系統(tǒng)容錯，無線網(wǎng)絡(luò)控制器采用主備冗余配置，增強網(wǎng)絡(luò)健壯性和安全性。

3.2 接入點覆蓋

信道規(guī)劃：建議采用2.4GHz和5GHz雙頻覆蓋設(shè)計，避免同頻干擾，降低臨頻干擾。2.4GHz頻段（2.4～2.4835GHz）信號穿透力強，但干擾源較多，頻帶寬度83MHz，13個信道，每個信道帶寬22Mhz，可選擇1、6、11；2、7、12；3、8，13這三組互相不干擾的信道來進行無線覆蓋。

AP配置：建議采用FIT AP模式，AP數(shù)據(jù)零配置，AP管理地址采用靜態(tài)地址，STA通過AC自動獲取地址。配置負(fù)載均衡策略，避免突發(fā)量數(shù)據(jù)大導(dǎo)致AP死機。

3.3 安全防御

建議在以下幾個方面加強網(wǎng)絡(luò)安全部署：

（1）無線控制器統(tǒng)一控制和發(fā)布，統(tǒng)一下發(fā)MAC地址過濾、用戶身份認(rèn)證、安全加密、病毒庫等網(wǎng)絡(luò)安全策略。

（2）使用較強的加密算法，比如WPA2加密方式，加強預(yù)共享密鑰的復(fù)雜性，建議至少20個隨機字符。

（3）隱藏SSID信號，不進行廣播，降低偽造應(yīng)答接入及被竊聽可能性。

（4）在AP連接交換機接口部署端口隔離，防止威脅終端接入對AP其他用戶造成影響。

（5）部署WLAN網(wǎng)管系統(tǒng)實時監(jiān)測網(wǎng)內(nèi)所有AC和AP，能夠及時發(fā)現(xiàn)AP掉線、SSID異常等情況。

（6）安全準(zhǔn)入控制，包括身份認(rèn)證和認(rèn)證用戶安全策略檢查。終端只有獲得CA安全證書及MAC地址一致，才允許訪問無線網(wǎng)數(shù)據(jù)。

（7）部署防火墻、WIDS/WIPS等網(wǎng)絡(luò)安全設(shè)備，通過攔截病毒和惡意軟件，檢測和篩選進入網(wǎng)絡(luò)的信息；對流氓設(shè)備檢測識別及防范反制，使用白名單對AP進行SN或MAC地址綁定，使用黑名單禁止非法AP或非法終端接入。

結(jié)束語：目前無線網(wǎng)在醫(yī)療行業(yè)使用較為普遍，隨著近幾年網(wǎng)絡(luò)安全趨勢愈發(fā)嚴(yán)峻，一旦無線網(wǎng)絡(luò)遭受攻擊，就會導(dǎo)致無法為患者提供及時的信息服務(wù)甚至個人隱私被泄露。醫(yī)療無線網(wǎng)絡(luò)的安全技術(shù)還有很多值得深入研究的領(lǐng)域，需要網(wǎng)絡(luò)維護人員認(rèn)真學(xué)習(xí)和思考。