许同来 谷敏 南京医科大学附属南京市儿童医院 （南京 210008）

浅谈医院无线网络的安全管理

许同来 谷敏 南京医科大学附属南京市儿童医院 （南京 210008）

无线网络已经成为许多医院信息系统(Hospital Information System，HIS)的重要组成部分。但由于无线局域网（Wireless Local Area Network，WLAN）应用具有信号的开放性、数据传播范围很难控制等特点带来安全的隐患，也给医院网络建设带来不稳定因素。本文对医院的无线网络存在的安全隐患，及其安全技术、安全管理进行探讨。

医院信息系统 无线网络 安全管理

随着计算机网络技术的蓬勃发展，医院信息化建设、计算机无线网络技术的逐步成熟，无线网络已经成为许多医院信息系统(Hospital Information System，HIS)的重要组成部分。由于医疗行业的特殊性，需要在移动中高效率地实现生命体征数据及医护数据的查询与录入，以及在医生查房、床边护理、呼叫通信、护理监控、药物配送和病人标识码识别等方面，提高医疗质量和工作效率，确保医疗安全。这些显然不是传统有线网络所能满足的。无线局域网络（Wireless Local Area Network，WLAN）的出现，及其所具备的移动性、灵活性和扩展性，使得医院部署特殊的信息化应用成为可能。但由于无线局域网应用具有信号的开放性、数据传播范围很难控制等特点带来安全的隐患，也给医院网络建设带来不稳定因素。本文对医院的无线网络存在的安全隐患，及其安全技术、安全管理进行探讨。

1.医院无线网络的安全隐患

由于无线网络通过无线电波在空中传输数 据， 在数据发射机覆盖区域内几乎所有的无线网络用户都能接触到这些数据。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的，也就是无线网络发射的数据可能到达预期之外接收设备。医院的数据保密性要求高，病人数据不能被盗取，而这些外部接收设备给医院网络带来不安全因素，如非法的AP、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵等。另一方面， 由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性， 使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境，例如： 防火墙对通过无线电波进行的网络通讯起不了作用， 任何人在区域范围之内都可以截获和插入数据。因此，与有线网络相比，无线网络所面临的安全威胁更加严重。

2.无线网络安全技术分析

由于无线网络存在的诸多安全隐患， 对医院信息系统数据的安全构成威胁。那么如何采取恰当的方法进行防范， 使无线网络的安全隐患消灭在萌芽状态， 尽量使无线网络遭受破坏的程度降到最低， 以保证医院的临床、科研及管理正常运行，是必须重视的问题。

目前无线网络安全技术有很多，但单一的技术不能完全解决问题。我们必须清楚地意识到：只有结合多种安全设置和技术才能构建安全的无线网络。下面是对无线网络安全技术的分析。

（1）完善连线保密协议

在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

（2）禁用SSID 广播

SSID(Setrice Set Identifier)是无线网络用于定位服务的一项功能， 为了能够进行通讯， 无线路由器和主机必须使用相同的SSID。在通讯过程中，无线路由器首先广播其SSID， 任何在此接收范围内的主机都可以获得SSID， 使用此SSID 值对自身进行配置后就可以和无线路由器进行通讯。毫无疑问， SSID 的使用暴露了路由器的位置， 这会带来潜在的安全问题。选择难以猜中的SSID字符并禁止通过天线向外广播SSID的措施可以隐藏无线网络却不会影响网络的正常使用，而且可以增加无线网络的坚固性。但是禁用SSID在提高安全性的同时， 也在某种程度上带来不便， 进行通讯的客户机必须手动进行SSID 配置。通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制也一样增加安全系数。

（3）启用MAC地址过滤防不速之客

MAC过滤技术是在路由设置中只允许特定MAC网卡访问路由的方法，它拒绝了使用其他MAC地址的设备发送过来的连接请求，客观上起到防止外部非法访问的作用。要限制非法用户设备与本地无线路由器建立连接，我们可以启用无线路由器设备自带的MAC地址过滤功能，让本地无线路由器设备只允许本地工作站的无线网卡设备与之建立网络连接，而其他的无线网卡尝试与之建立网络连接时，都会被无线路由器拒绝掉。由于每个无线工作站的网卡都有唯一的物理地址（MAC），该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组（不）允许通过AP访问网络地址列表，以实现基于物理地址的访问过滤。MAC过滤简化了访问控制，但是当AP和无线终端数量较多时，大大增加了管理负担。而且MAC地址在理论上可以伪造，因此MAC过滤在使用中最好能结合WPA等安全协议一起使用。

（4）禁用动态主机配置协议

采用这项措施对无线网络安全很有意义。你将迫使黑客去破解你的IP地址，子网掩码和其他必需的TCP/IP参数，增加了入侵的难度，令他们知难而退。

（5）采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。

（6)使用VPN技术增强安全性能

VPN(Virtual Private Network)称为虚拟专用网络，指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。将WLAN设置成单独的局域网部分，VPN所有无线用户在得到许可访问医院局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用安全协议IPSCc(IP Security)。因此黑客将无法破解专用网络，让所有的无线客户机使用虚拟专用网软件，无线网络会更安全。

3.医院无线网络的安全管理长期而艰巨

在医院现代化发展过程中，医院信息系统建设发挥了重要的作用。无线网络的应用无疑提高了医院的信息化水平，对促进医疗效率、医疗安全管理起了重要作用。但在建设无线网络的同时，由于对无线网络的安全不够重视，对局域无线网络的安全考虑不及时，也造成了一定的影响和破坏。因此必须重视无线网络的安全管理，这是一项长期而又艰巨的工作。

（1）对于医院的应用环境来说，必须将无线网络的安全纳入到医院整体安全策略当中。这样可以保证无线网络安全的实施足够完善和合理，而且如果无线网络和有线网络的安全问题不能统一处理会破坏医院整个网络的安全性。医院有关信息安全方面的内容应该围绕统一的目标来制定并组织实施，只有这样才能打造一个安全有效的网络体系。

（2）在构建医院无线网络时要从规划与设计入手，认真考虑整个网络环境的设计，设备的购置与更新，服务器与网关的管理，技术人员的培训和使用人员的培训，等等。

（3）安全技术手段要在充分考虑医院无线网络自身条件下做到最佳的配置，如上面提到的完善连线保密协议、设置隐藏SSID的广播、启用MAC物理过滤、禁用动态主机配置协议等，都要根据医院网络现有的硬件条件做好。

（4）在无线网络运行过程中，除了做好自身的网络建设和安全管理外，也要考虑整个互联网的大环境，提高警惕防范黑客的攻击，建立起有效的安全防范机制。

总之，医院无线网络安全不能依赖单一的安全技术手段，必须要构建一个从管理上和技术上都比较完整的方案才能真正维护好医院的网络环境。

[1] 赵伟艇，史玉珍.基于802.11i的无线局域网安全加密技术研究 计算机工程与设计.2010.(4) 760

[2] 谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.

A Discussion about Security and Management of Wireless Local Area Network for Hospitals

XU Tong-lai GU Min Nanjing Children's Hospital of Nanjing Medical University (Nanjing 210008)

Wireless network has become one of the most important components of Hospital Information Systems (HIS) for many hospitals. However, since its signal is open and its transmission area range is hard to control, Wireless local Area Network (WLAN) has brought potential risks and has become unstability factors to hospital network constructions. This paper will discuss the potential risks that WLAN has brought to hospitals, and hospitals' corresponding security technology and security management.

1006-6586(2012)05-0052-03

R319

A

2011-12-30

许同来，助理工程师