安徽医科大学附属阜阳医院信息中心 李 刚

随着医院临床信息化发展，无线网络建设在医院中愈发重要，无线监护、患者实时位置管理、移动查房、移动护理、无线呼叫等一系列应用大大提高了医院的工作效率。但在医院无线网络建设中，应该格外重视安全方面。本文通过介绍安徽医科大学附属阜阳医院无线网络建设，介绍目前存在的无线攻击方式，并提出一种综合性解决方法。

项目背景：安徽医科大学附属阜阳医院是一家大型三级综合医院，需要无线网络覆盖医院病区，承载移动办公、移动护理、移动药师等应用系统。

1 医院无线网络建设简介

1.1 整体网络架构

本项目整体网络架构分为三层：（1）核心层：部署两台高性能核心交换机，采用交换机虚拟化技术，旁挂无线控制器AC，实现无线系统集中管理。（2）汇聚层：部署3台汇聚交换机，链路聚合后和核心相连接，保证链路带宽的同时提高了链路的冗余性。（3）接入层：在各楼层弱电间内部署POE交换机、无线转发设备，其中接入无线AP点位共952个。

1.2 无线AP部署

（1）接入点覆盖规划

本项目采用FIT AP+AC架构。由于医院室内布局较为复杂，需要根据不同场景来选择不同种类的AP，在人流量大的门诊大厅、等候区等区域，采用高密AP；在病房、诊室内等密集房间场所，采用面板类AP。所选无线AP应支持802.11ac wave2 MIMO多入多出等技术，支后期持物联网扩展。IEEE 802.11规定无线局域网设备的发射功率不能高于20dBm(100mW)，但经过病房的混凝土墙后，无线信号衰减15-30dB，为保障信号良好，在每间住院病房、手术间均放置一个面板类AP，在走廊、候诊区等密集房间通过适当调整位置，来确保信号强度。通过inSSIDer软件测试信号强度及信号的连贯性。如图1所示。

图1 测试结果截图（信号强度在-90dbm～0之间表示正常）

（2）无线网优化的几种技术

重点考虑无线网络的覆盖率、容量大小、信道规划等因素，确保无线网络的承载能力、信噪比、速率等达标。本项目建设重点主要采用以下优化技术。

信道规划：为避免无线AP信道的相互干扰，需要尽可能的减小同频干扰，对无线AP信道进行统一科学的规划。本项目利用1、6、11非重叠信道，兼顾三维空间实现水平垂直蜂窝式覆盖，避免同层及上下层的同频信号干扰。

无缝漫游：当接入终端在移动过程中，从当前AP切换到另一个AP时，终端不掉包且不需进行重新身份认证，使用者对信号漫游切换无感知。本项目通过对各AP的SSID、客户端配置、认证方式保持一致，在二层漫游采用本地直接转发，三层漫游使用集成转发实现此目标。

负载均衡：将负载数据进行平衡、分摊到多个AP上运行，达到减小系统调度开销，分散网络负荷，提高设备利用率等目的。

2 主流的无线加密及攻击方式

根据Risk Based Security数据，2020年全球网络安全事件仍然居高不下，且自新冠疫情以来，医疗机构的网络安全事件激增45%。由于无线局域网使用无线电波，针对无线网的恶意攻击更多，因此需要更加重视无线网的安全建设。本文对无线网安全建设浅析如下。

2.1 目前主流加密方式

无线加密方式主要有WEP和WPA/WPA2。由于WEP加密使用了RC4加密算法，通过Aircrack-ng、WEPCrac、AirSnort等软件收集足够的无线报文后，即可破解WEP密钥，因此该协议已被淘汰。目前主流无线加密方式为WPA/WPA2，WPA2是WPA的升级版。WPA技术包括临时密钥完整性协议（TKIP）、消息完整性校验（MIC），而WPA2主要使用高级加密标准（AES）、计数器模式及密码区块链信息认证码协议（CCMP）等技术。

2.2 常用无线网络攻击方式

扫描攻击：又称为War-Driving，通过驾驶车辆在目标范围内进行wifi热点探测，使用INSSIDER、Vistumbler等扫描工具软件扫描网络存在的安全漏洞。

DDOS攻击：采用较多的方式是取消验证洪水攻击（DeauthenticationFlood Attack），旨在通过欺骗从AP到客户端单播地址的取消身份验证帧，将客户端转为未关联／未认证的状态。常用的软件有Aircrack-ng、Aireplay-ng等。

无线欺骗攻击：多采用无线中间人（Wireless MITM）攻击方式，攻击者向AP和STA分别进行发送欺骗报文，造成正常访问被重新定向，造成无线客户端访问欺骗网页，这样连接到伪造AP客户端的所有数据流量以明文的方式被记录，大量数据外泄。常用软件为airbase-ng、Airpwn。

通过上述几种攻击方式组合使用，攻击者获取无线网接入权限，通过Nessus之类的软件扫描服务器操作系统漏洞植入木马病毒，非法获取信息数据。

3 浅析无线网安全防护部署

针对无线网络目前普遍存在的安全性问题，建议在网络架构、接入点覆盖、安全防御三方面部署。

3.1 整体网络架构

建议采用“核心+汇聚+接入”三层网络架构模式。核心、汇聚交换机采用链路聚合模式，保障网络负载均衡及系统容错，无线网络控制器采用主备冗余配置，增强网络健壮性和安全性。

3.2 接入点覆盖

信道规划：建议采用2.4GHz和5GHz双频覆盖设计，避免同频干扰，降低临频干扰。2.4GHz频段（2.4～2.4835GHz）信号穿透力强，但干扰源较多，频带宽度83MHz，13个信道，每个信道带宽22Mhz，可选择1、6、11；2、7、12；3、8，13这三组互相不干扰的信道来进行无线覆盖。

AP配置：建议采用FIT AP模式，AP数据零配置，AP管理地址采用静态地址，STA通过AC自动获取地址。配置负载均衡策略，避免突发量数据大导致AP死机。

3.3 安全防御

建议在以下几个方面加强网络安全部署：

（1）无线控制器统一控制和发布，统一下发MAC地址过滤、用户身份认证、安全加密、病毒库等网络安全策略。

（2）使用较强的加密算法，比如WPA2加密方式，加强预共享密钥的复杂性，建议至少20个随机字符。

（3）隐藏SSID信号，不进行广播，降低伪造应答接入及被窃听可能性。

（4）在AP连接交换机接口部署端口隔离，防止威胁终端接入对AP其他用户造成影响。

（5）部署WLAN网管系统实时监测网内所有AC和AP，能够及时发现AP掉线、SSID异常等情况。

（6）安全准入控制，包括身份认证和认证用户安全策略检查。终端只有获得CA安全证书及MAC地址一致，才允许访问无线网数据。

（7）部署防火墙、WIDS/WIPS等网络安全设备，通过拦截病毒和恶意软件，检测和筛选进入网络的信息；对流氓设备检测识别及防范反制，使用白名单对AP进行SN或MAC地址绑定，使用黑名单禁止非法AP或非法终端接入。

结束语：目前无线网在医疗行业使用较为普遍，随着近几年网络安全趋势愈发严峻，一旦无线网络遭受攻击，就会导致无法为患者提供及时的信息服务甚至个人隐私被泄露。医疗无线网络的安全技术还有很多值得深入研究的领域，需要网络维护人员认真学习和思考。