醫(yī)院無線網絡安全問題及解決方案

韓雪峰，王靜巖

哈爾濱醫(yī)科大學附屬第二醫(yī)院計算機室， 哈爾濱 150086

近年來，國內各醫(yī)院為加快信息化建設，均采用了醫(yī)院信息系統以提高工作效率與服務質量，醫(yī)院信息化體系越來越完善,醫(yī)院信息化建設越來越卓有成效[1]。作為醫(yī)院有線網絡的重要補充，大部分醫(yī)院均建設醫(yī)院內部無線醫(yī)療局域網[2]，借助于醫(yī)院無線醫(yī)療網絡，使平板電腦、PDA、無線監(jiān)護設備等終端與醫(yī)院各信息管理系統連接，實現了醫(yī)師平板電腦查房，醫(yī)護人員在床旁實時輸入、查詢、核對患者的基本信息，醫(yī)囑信息、生命體征等功能。例如：通過醫(yī)院無線網絡終端設備，可快速檢索患者的護理、營養(yǎng)、檢查、化驗等臨床報告信息[3]；將二維碼、RFID技術應用于患者腕帶、輸液管理、床頭卡片，通過掃描顯示相應信息，完成入院、出院、臨床治療、檢查、手術、急救等不同情況的患者識別，提高工作效率，提升服務質量。

隨著醫(yī)院無線網絡應用的逐步加深，國家對醫(yī)院無線網絡安全提出更高的要求[4]。同時，等級保護進入2.0時代，公安部發(fā)布《網絡安全等級保護條例》要求各行各業(yè)落實等級保護2.0標準規(guī)范(以下簡稱等保2.0)，要求開展系統安全規(guī)劃和建設工作，積極應對新技術、新應用中的安全風險，加強新技術防范措施，及早謀劃、預先布局，做到防患于未然[5]。等保2.0針對移動互聯的特點提出了特殊的保護要求，即在移動互聯環(huán)境中主要增加“無線接入點的物理位置”“移動終端管控”“移動應用管控”等設備管控要求[6]。隨著醫(yī)院無線局域網的普遍應用，一些安全問題逐漸顯現，如何保證醫(yī)院無線局域網絡的安全成為醫(yī)院無線網絡應用面臨的主要問題。

1 醫(yī)院無線網絡安全現狀

醫(yī)院無線局域網通常由移動終端、移動應用和無線網絡三部分組成，與傳統有線局域網相比，醫(yī)療無線網絡所面對的攻擊面更大。大多數醫(yī)院采取“MAC地址+IP地址+用戶名+密碼”的認證方式，有效地防止非法終端的接入；但其他安全措施往往不夠完善，且很少有這方面的成熟方案，主要表現在以下方面：

醫(yī)院目前主要以移動查房、移動護理等應用為主[7]，使用院內派發(fā)的平板、PDA等專用終端，但專用終端有很多不可控因素，例如：使用工作平板玩游戲，私自連接互聯網WIFI熱點,隨意下載不安全應用，瀏覽網站等，存在時而連接互聯網熱點WIFI、時而連接醫(yī)院無線局域網WIFI等情況，易造成病毒入侵、木馬植入等情況，導致這些應用終端成為醫(yī)院無線網絡的安全隱患[8]。

移動PDA、平板通過USB接入計算機，通常有三種模式：傳輸照片、傳輸文件、充電。工作人員通常在PDA、平板內存入大量私人文件、視頻等，通過藍牙與手機配對連接，進行文件傳輸和存儲，易對正常應用造成嚴重安全問題。

由于對PDA、平板管控措施不到位，醫(yī)護人員可隨意更改系統設置，安裝一些與工作無關的應用(如視頻軟件、游戲軟件、電子書等)，嚴重影響正常工作使用，并存在安全隱患。

與傳統PC相比，移動終端方便攜帶；但也更容易丟失，丟失的PDA、平板極可能被不法人員利用成為黑客入侵醫(yī)院系統的工具，造成數據泄密：需要對移動終端設備生命全周期進行安全管控。

大多數醫(yī)院采取“MAC地址+IP地址+用戶名+密碼”認證方式，用于限制未授權PDA及平板電腦接入醫(yī)院無線網絡，保證接入安全；但對其WIFI信號、傳輸文件、更改設置、終端監(jiān)測、終端控制卻很少涉及，無法實現對PDA、平板脫離醫(yī)院無線局域網后的離線管控；嚴重影響醫(yī)院無線局域網絡安全。

隨著醫(yī)院無線網絡的不斷發(fā)展，無線應用的復雜性和重要性對醫(yī)院無線網絡提出了更高的要求[9]，無線網絡需要不斷調取醫(yī)院有線局域網內服務器的信息系統數據，因此必須同時保證醫(yī)院有線網絡和無線網絡絕對安全；但各醫(yī)院在建設中往往忽視這一點，基本都是以應用為前提，對醫(yī)院無線網絡安全只進行合規(guī)性建設；另外，市場上移動安全管控產品僅具備一些通用功能，只能滿足基本需求，而對有一些特殊功能需求則不支持。每個醫(yī)院所用PDA、平板不同，有一些安全管控功能需要終端廠家、安全廠家、醫(yī)院共同定制開發(fā)，需要調用不同的安卓系統接口以實現不同的功能，所以沒有一個廠家能提供成型的產品，只能根據醫(yī)院實際設備情況進行個性化建設，定制開發(fā)。

2 醫(yī)院無線網絡安全功能及實現

為滿足醫(yī)院無線網絡安全需求，提高工作效率，克服原有醫(yī)院無線網絡的不足,實現醫(yī)院無線終端在線、離線管控；實現終端病毒查殺、IPS入侵防護、無線終端訪問控制；通過建設醫(yī)院無線網絡安全系統，滿足醫(yī)院無線終端個性化需求，對無線終端設備進行嚴格安全管控[10]。同時，為滿足等級保護對移動安全的需求，對醫(yī)院終端設備實現可用、可管、可控的目標，進行全面考慮、充分論證，通過醫(yī)院無線安全系統建設，滿足醫(yī)院無線網絡安全需求，以保證無線應用服務的穩(wěn)定、安全運行。

依據等級保護三級標準，醫(yī)院無線網絡安全系統要進行嚴格的區(qū)域劃分，具體分為無線網絡接入區(qū)、安全控制區(qū)和核心接入區(qū)。每個區(qū)域均進行嚴格的訪問控制，以保證系統安全(如圖1所示)。

圖1 醫(yī)院無線網絡安全拓撲圖

無線網絡接入區(qū)，即PDA、平板通過無線AP接入網絡，經“無線控制器IP+MAC+用戶名+密碼”認證，完成準入控制，保證只有授權的無線終端設備方可通過無線控制器，經無線控制器認證通過的無線終端設備方可接入移動安全管控系統。

移動安全管控實現用戶名+密碼認證、設備綁定、終端殺毒、在線離線管控，只有符合安全管控策略的終端設備方可連接至安全控制區(qū)，通過安全控制區(qū)防火墻、IPS、防病毒等進行訪問控制，實現與核心接入區(qū)通訊并訪問應用服務器相應端口。通過入侵防御、防病毒網關保證核心區(qū)域安全。旁路部署僵木蠕檢測設備、日志審計，通過旁路實時檢測攻擊和收集日志診斷網絡故障，第一時間發(fā)現網絡設備運行情況和系統受到攻擊情況，構建全方位無線網絡安全保障體系，彈性應對醫(yī)院無線網絡所面臨的各種安全威脅[11]。

式中:FL為單節(jié)橋架活載,FL=630 kN;FD為單節(jié)橋架上的恒載,FD=670 kN;n為單節(jié)橋架懸掛油缸的數目,n=8.

醫(yī)院無線網絡安全涉及無線網絡、PDA、平板、移動安全管控、防火墻等產品。除基本安全功能外，根據醫(yī)院安全需求進行底層定制開發(fā)，通過移動安全管控、底層調用安卓系統實現相應功能，以滿足醫(yī)院個性化無線網絡安全需求[12]。

2.2.1實現三次準入控制、二次病毒防護、一次入侵防御、一次安全聯動

首先，通過無線網絡控制器實現“IP+MAC+用戶名+密碼”認證，實現無線終端接入無線AP第一次認證和控制；通過移動安全管控設備，實現對未安裝移動安全管控軟件而無法連接“醫(yī)院無線局域網+用戶名+密碼”認證的，進行接入移動安全管控系統第二次認證和控制；通過安全控制區(qū)防火墻，實現源地址和目的地址控制，對未通過無線控制器及移動安全管控設備的非信任設備IP地址嚴禁通過，實現接入內網服務區(qū)的第三次認證和控制。通過移動安全管控終端接入殺毒實現第一次病毒防護；通過安全控制區(qū)防病毒網關實現第二次病毒防護；通過安全控制區(qū)IPS 實現入侵防御；通過僵木蠕檢測設備旁路監(jiān)測無線網絡安全狀況[13]，并與安全控制區(qū)防火墻聯動，實現攻擊行為自動阻斷的聯動機制。

2.2.2移動安全管控個性化需求

為充分保證醫(yī)院無線網絡安全，結合醫(yī)院實際應用情況[14]，聯合PDA、平板及安全管控廠商，對移動安全管控和PDA、平板進行定制化、個性化開發(fā)，通過向PDA及平板廠家申請授權證書，并調取PDA及平板安卓系統底層代碼進行二次開發(fā)，實現對接入終端的嚴格管控，只能操作應用程序，其他功能全部禁止，做到專機專用。

針對個性化需求，主要有以下措施：①對未安裝移動安全管控系統軟件的終端禁止接入醫(yī)院無線局域網，并列入黑名單；②通過無線控制器認證后，連接移動安全管控的PDA、平板，采取唯一用戶名+密碼認證，一次認證永久有效，用戶無論開機、關機等不再要求輸入密碼，防止醫(yī)護人員隨意更改密碼；③通過移動安全管控認證的PDA及平板，開機即進入安全桌面，安全桌面圖標由管理員定制，只顯示應用程序等，嚴禁用戶修改，程序新增或更新只能通過應用商店進行自動更新和下載；④PDA及平板取消恢復出廠功能健，進入移動安全管控安全桌面不可退出，特殊情況只能通過移動安全管控系統恢復出廠設置或返廠進行初始化刷機操作，防止人為對設備進行操作；⑤通過底層調用PDA、平板安卓系統，移動終端安全桌面取消下滑菜單功能，防止用戶更改WIFI、藍牙等操作，做到信號源鎖定；⑥通過底層調用PDA及平板代碼，實現USB禁止傳輸文件、傳輸照片功能，USB接口只能用于充電；⑦設備離線同樣不可退出安全桌面，禁用下滑菜單，不可進行WIFI修改，USB端口只能充電等，實現離線和在線功能相同，保證安全。

2.2.3移動安全管控通用功能

除個性化需求外，移動安全管控在應用及安全方面實現以下功能：病毒、木馬查殺；應用程序安裝；消息、配置、策略推送；上架、下架應用程序；遠程鎖屏；清空設備；鎖定設備；準入配置；WIFI黑白名單；URL黑白名單；斷網策略；失聯策略；違規(guī)動作；設備預警；遠程擦除；在線離線狀態(tài)查看；日志審計等功能。

3 系統測試

系統正式運行前期的可用性和安全性測試是非常重要的環(huán)節(jié)，只有進行充分的測試，才能在上線前期發(fā)現系統可能存在的缺陷及安全風險。

功能驗證采用軟件驗證中的黑盒測試方法，對涉及安全的軟件個性化和通用功能由廠家和醫(yī)院工作人員逐項進行測試和驗證，把預裝好安全管控系統的PDA及平板發(fā)放到科室，通過實際應用檢驗其效果，驗證其功能是否完善。

模擬攻擊是特殊的黑盒測試手段，是在可控的范圍內為證明無線網絡安全防御能夠按照預定計劃運行的檢測方法，在攻擊滲透測試的過程中，通過充分發(fā)掘潛在的風險，對系統進行完善。結合等級保護現場測評，進行攻擊滲透測試：①對未安裝安全管控系統、未進行“MAC地址+IP地址+用戶名+密碼”綁定的移動終端進行無線網絡準入暴力破解測試，經測試，未能成功接入網絡。②對已安裝安全管控系統的PDA、平板脫離醫(yī)院無線局域網進行破解測試，實驗證明只能通過專用刷機程序對其進行出廠恢復，且恢復后無法再次接入醫(yī)院無線網絡。③把醫(yī)師及護士無線查房系統作為滲透測試攻擊對象，依據OWASP top10和SANS/CWE top25安全標準和規(guī)范進行測試，依據測試結果劃分安全等級。經測試，醫(yī)護人員移動終端應用系統存在中風險SQL注入漏洞和安卓沙箱逃逸漏洞。④通過IPS對存在漏洞進行防御、程序中對特殊字符進行轉義、對存在SQL注入漏洞參數進行嚴格過濾,通過安全管控系統關閉雙擊鎖屏鍵進入相機、禁用WebView常按取詞功能、明文密碼不存儲在日志中等進行完善。⑤經過一系列整改和完善，再次進行模擬攻擊，直至安全性達到預期要求。

模擬運行測試階段，通過防病毒設備、僵木蠕設備對數據進行采集分析，可以快速識別各種形式的網絡攻擊，包括漏洞、病毒、惡意軟件，未授權訪問、廣播數據包等。通過防火墻對系統中合規(guī)的應用進行放行，對其他與業(yè)務無關的應用進行阻斷，充分保證無線網絡的安全可用。

4 應用效果

移動安全管控使用之前，人為操作導致的故障為每周40余次，主要表現在使用人員私自更改WIFI連接互聯網、更改IP地址、刪除應用程序、安裝非法應用、更改系統設置等，維護人員疲于應對人為操作所導致的應用故障。通過移動終端管控安全桌面，使用人員只能操作應用程序，其他功能全部禁止，徹底杜絕了人為操作導致的終端無法正常工作等故障；移動安全管控安全桌面實現程序和插件的自動下發(fā)、開機進行快速靜默安裝功能，徹底改變了原有的單機逐臺安裝模式，之前安裝一個插件，4名維護人員需要3 d左右才能全院部署完成，現在只需1 min左右系統自動下發(fā)完成安裝，效率提高99.9%；移動安全管控平臺上線以后，平板、PDA故障率降低為之前的25%，且主要故障均為硬件、系統軟件應用等方面問題；維護人員由原有4人減少為1人，節(jié)約人力成本75%，極大地提高了工作效率。

通過醫(yī)院無線網絡安全的整體實施，無線終端依次通過接入認證、移動安全管控、防火墻、IPS、防病毒、日志審計、僵木蠕監(jiān)測等實現安全管控。平臺的安全預警中心可清晰展示設備狀態(tài)分析、安全事件分析、病毒感染統計、設備數量分析、APP使用統計分析、設備位置信息、設備在線和失聯等信息，方便維護人員快速掌握無線終端使用情況和安全狀況。目前，哈爾濱醫(yī)科大學附屬第二醫(yī)院布署實施醫(yī)師平板和護士PDA共計980余臺，通過無線安全管控整體實施，無線終端在維護性、安全性、管理等方面實現顛覆性改變，達到預期效果。

5 結束語

通過移動安全管控系統通用化功能以及個性化需求的定制開發(fā)，對醫(yī)院無線網絡終端實現嚴格管控，不但提高了醫(yī)院無線網絡的安全等級，同時限制醫(yī)護人員人為操作導致的終端不可用，大大提高了設備可用性和工作效率。使得醫(yī)院內部無線網絡應用更加安全可靠，保證醫(yī)院內部應用不暴露于公共的網絡環(huán)境中[15]，在提高醫(yī)院無線應用安全性的同時，也提高了設備的穩(wěn)定性、可用性，并提高工作效率，為醫(yī)院開展更多無線網絡應用奠定了良好的安全基礎。