韩雪峰，王静岩

哈尔滨医科大学附属第二医院计算机室， 哈尔滨 150086

近年来，国内各医院为加快信息化建设，均采用了医院信息系统以提高工作效率与服务质量，医院信息化体系越来越完善,医院信息化建设越来越卓有成效[1]。作为医院有线网络的重要补充，大部分医院均建设医院内部无线医疗局域网[2]，借助于医院无线医疗网络，使平板电脑、PDA、无线监护设备等终端与医院各信息管理系统连接，实现了医师平板电脑查房，医护人员在床旁实时输入、查询、核对患者的基本信息，医嘱信息、生命体征等功能。例如：通过医院无线网络终端设备，可快速检索患者的护理、营养、检查、化验等临床报告信息[3]；将二维码、RFID技术应用于患者腕带、输液管理、床头卡片，通过扫描显示相应信息，完成入院、出院、临床治疗、检查、手术、急救等不同情况的患者识别，提高工作效率，提升服务质量。

随着医院无线网络应用的逐步加深，国家对医院无线网络安全提出更高的要求[4]。同时，等级保护进入2.0时代，公安部发布《网络安全等级保护条例》要求各行各业落实等级保护2.0标准规范(以下简称等保2.0)，要求开展系统安全规划和建设工作，积极应对新技术、新应用中的安全风险，加强新技术防范措施，及早谋划、预先布局，做到防患于未然[5]。等保2.0针对移动互联的特点提出了特殊的保护要求，即在移动互联环境中主要增加“无线接入点的物理位置”“移动终端管控”“移动应用管控”等设备管控要求[6]。随着医院无线局域网的普遍应用，一些安全问题逐渐显现，如何保证医院无线局域网络的安全成为医院无线网络应用面临的主要问题。

1 医院无线网络安全现状

医院无线局域网通常由移动终端、移动应用和无线网络三部分组成，与传统有线局域网相比，医疗无线网络所面对的攻击面更大。大多数医院采取“MAC地址+IP地址+用户名+密码”的认证方式，有效地防止非法终端的接入；但其他安全措施往往不够完善，且很少有这方面的成熟方案，主要表现在以下方面：

医院目前主要以移动查房、移动护理等应用为主[7]，使用院内派发的平板、PDA等专用终端，但专用终端有很多不可控因素，例如：使用工作平板玩游戏，私自连接互联网WIFI热点,随意下载不安全应用，浏览网站等，存在时而连接互联网热点WIFI、时而连接医院无线局域网WIFI等情况，易造成病毒入侵、木马植入等情况，导致这些应用终端成为医院无线网络的安全隐患[8]。

移动PDA、平板通过USB接入计算机，通常有三种模式：传输照片、传输文件、充电。工作人员通常在PDA、平板内存入大量私人文件、视频等，通过蓝牙与手机配对连接，进行文件传输和存储，易对正常应用造成严重安全问题。

由于对PDA、平板管控措施不到位，医护人员可随意更改系统设置，安装一些与工作无关的应用(如视频软件、游戏软件、电子书等)，严重影响正常工作使用，并存在安全隐患。

与传统PC相比，移动终端方便携带；但也更容易丢失，丢失的PDA、平板极可能被不法人员利用成为黑客入侵医院系统的工具，造成数据泄密：需要对移动终端设备生命全周期进行安全管控。

大多数医院采取“MAC地址+IP地址+用户名+密码”认证方式，用于限制未授权PDA及平板电脑接入医院无线网络，保证接入安全；但对其WIFI信号、传输文件、更改设置、终端监测、终端控制却很少涉及，无法实现对PDA、平板脱离医院无线局域网后的离线管控；严重影响医院无线局域网络安全。

随着医院无线网络的不断发展，无线应用的复杂性和重要性对医院无线网络提出了更高的要求[9]，无线网络需要不断调取医院有线局域网内服务器的信息系统数据，因此必须同时保证医院有线网络和无线网络绝对安全；但各医院在建设中往往忽视这一点，基本都是以应用为前提，对医院无线网络安全只进行合规性建设；另外，市场上移动安全管控产品仅具备一些通用功能，只能满足基本需求，而对有一些特殊功能需求则不支持。每个医院所用PDA、平板不同，有一些安全管控功能需要终端厂家、安全厂家、医院共同定制开发，需要调用不同的安卓系统接口以实现不同的功能，所以没有一个厂家能提供成型的产品，只能根据医院实际设备情况进行个性化建设，定制开发。

2 医院无线网络安全功能及实现

为满足医院无线网络安全需求，提高工作效率，克服原有医院无线网络的不足,实现医院无线终端在线、离线管控；实现终端病毒查杀、IPS入侵防护、无线终端访问控制；通过建设医院无线网络安全系统，满足医院无线终端个性化需求，对无线终端设备进行严格安全管控[10]。同时，为满足等级保护对移动安全的需求，对医院终端设备实现可用、可管、可控的目标，进行全面考虑、充分论证，通过医院无线安全系统建设，满足医院无线网络安全需求，以保证无线应用服务的稳定、安全运行。

依据等级保护三级标准，医院无线网络安全系统要进行严格的区域划分，具体分为无线网络接入区、安全控制区和核心接入区。每个区域均进行严格的访问控制，以保证系统安全(如图1所示)。

图1 医院无线网络安全拓扑图

无线网络接入区，即PDA、平板通过无线AP接入网络，经“无线控制器IP+MAC+用户名+密码”认证，完成准入控制，保证只有授权的无线终端设备方可通过无线控制器，经无线控制器认证通过的无线终端设备方可接入移动安全管控系统。

移动安全管控实现用户名+密码认证、设备绑定、终端杀毒、在线离线管控，只有符合安全管控策略的终端设备方可连接至安全控制区，通过安全控制区防火墙、IPS、防病毒等进行访问控制，实现与核心接入区通讯并访问应用服务器相应端口。通过入侵防御、防病毒网关保证核心区域安全。旁路部署僵木蠕检测设备、日志审计，通过旁路实时检测攻击和收集日志诊断网络故障，第一时间发现网络设备运行情况和系统受到攻击情况，构建全方位无线网络安全保障体系，弹性应对医院无线网络所面临的各种安全威胁[11]。

式中:FL为单节桥架活载,FL=630 kN;FD为单节桥架上的恒载,FD=670 kN;n为单节桥架悬挂油缸的数目,n=8.

医院无线网络安全涉及无线网络、PDA、平板、移动安全管控、防火墙等产品。除基本安全功能外，根据医院安全需求进行底层定制开发，通过移动安全管控、底层调用安卓系统实现相应功能，以满足医院个性化无线网络安全需求[12]。

2.2.1实现三次准入控制、二次病毒防护、一次入侵防御、一次安全联动

首先，通过无线网络控制器实现“IP+MAC+用户名+密码”认证，实现无线终端接入无线AP第一次认证和控制；通过移动安全管控设备，实现对未安装移动安全管控软件而无法连接“医院无线局域网+用户名+密码”认证的，进行接入移动安全管控系统第二次认证和控制；通过安全控制区防火墙，实现源地址和目的地址控制，对未通过无线控制器及移动安全管控设备的非信任设备IP地址严禁通过，实现接入内网服务区的第三次认证和控制。通过移动安全管控终端接入杀毒实现第一次病毒防护；通过安全控制区防病毒网关实现第二次病毒防护；通过安全控制区IPS 实现入侵防御；通过僵木蠕检测设备旁路监测无线网络安全状况[13]，并与安全控制区防火墙联动，实现攻击行为自动阻断的联动机制。

2.2.2移动安全管控个性化需求

为充分保证医院无线网络安全，结合医院实际应用情况[14]，联合PDA、平板及安全管控厂商，对移动安全管控和PDA、平板进行定制化、个性化开发，通过向PDA及平板厂家申请授权证书，并调取PDA及平板安卓系统底层代码进行二次开发，实现对接入终端的严格管控，只能操作应用程序，其他功能全部禁止，做到专机专用。

针对个性化需求，主要有以下措施：①对未安装移动安全管控系统软件的终端禁止接入医院无线局域网，并列入黑名单；②通过无线控制器认证后，连接移动安全管控的PDA、平板，采取唯一用户名+密码认证，一次认证永久有效，用户无论开机、关机等不再要求输入密码，防止医护人员随意更改密码；③通过移动安全管控认证的PDA及平板，开机即进入安全桌面，安全桌面图标由管理员定制，只显示应用程序等，严禁用户修改，程序新增或更新只能通过应用商店进行自动更新和下载；④PDA及平板取消恢复出厂功能健，进入移动安全管控安全桌面不可退出，特殊情况只能通过移动安全管控系统恢复出厂设置或返厂进行初始化刷机操作，防止人为对设备进行操作；⑤通过底层调用PDA、平板安卓系统，移动终端安全桌面取消下滑菜单功能，防止用户更改WIFI、蓝牙等操作，做到信号源锁定；⑥通过底层调用PDA及平板代码，实现USB禁止传输文件、传输照片功能，USB接口只能用于充电；⑦设备离线同样不可退出安全桌面，禁用下滑菜单，不可进行WIFI修改，USB端口只能充电等，实现离线和在线功能相同，保证安全。

2.2.3移动安全管控通用功能

除个性化需求外，移动安全管控在应用及安全方面实现以下功能：病毒、木马查杀；应用程序安装；消息、配置、策略推送；上架、下架应用程序；远程锁屏；清空设备；锁定设备；准入配置；WIFI黑白名单；URL黑白名单；断网策略；失联策略；违规动作；设备预警；远程擦除；在线离线状态查看；日志审计等功能。

3 系统测试

系统正式运行前期的可用性和安全性测试是非常重要的环节，只有进行充分的测试，才能在上线前期发现系统可能存在的缺陷及安全风险。

功能验证采用软件验证中的黑盒测试方法，对涉及安全的软件个性化和通用功能由厂家和医院工作人员逐项进行测试和验证，把预装好安全管控系统的PDA及平板发放到科室，通过实际应用检验其效果，验证其功能是否完善。

模拟攻击是特殊的黑盒测试手段，是在可控的范围内为证明无线网络安全防御能够按照预定计划运行的检测方法，在攻击渗透测试的过程中，通过充分发掘潜在的风险，对系统进行完善。结合等级保护现场测评，进行攻击渗透测试：①对未安装安全管控系统、未进行“MAC地址+IP地址+用户名+密码”绑定的移动终端进行无线网络准入暴力破解测试，经测试，未能成功接入网络。②对已安装安全管控系统的PDA、平板脱离医院无线局域网进行破解测试，实验证明只能通过专用刷机程序对其进行出厂恢复，且恢复后无法再次接入医院无线网络。③把医师及护士无线查房系统作为渗透测试攻击对象，依据OWASP top10和SANS/CWE top25安全标准和规范进行测试，依据测试结果划分安全等级。经测试，医护人员移动终端应用系统存在中风险SQL注入漏洞和安卓沙箱逃逸漏洞。④通过IPS对存在漏洞进行防御、程序中对特殊字符进行转义、对存在SQL注入漏洞参数进行严格过滤,通过安全管控系统关闭双击锁屏键进入相机、禁用WebView常按取词功能、明文密码不存储在日志中等进行完善。⑤经过一系列整改和完善，再次进行模拟攻击，直至安全性达到预期要求。

模拟运行测试阶段，通过防病毒设备、僵木蠕设备对数据进行采集分析，可以快速识别各种形式的网络攻击，包括漏洞、病毒、恶意软件，未授权访问、广播数据包等。通过防火墙对系统中合规的应用进行放行，对其他与业务无关的应用进行阻断，充分保证无线网络的安全可用。

4 应用效果

移动安全管控使用之前，人为操作导致的故障为每周40余次，主要表现在使用人员私自更改WIFI连接互联网、更改IP地址、删除应用程序、安装非法应用、更改系统设置等，维护人员疲于应对人为操作所导致的应用故障。通过移动终端管控安全桌面，使用人员只能操作应用程序，其他功能全部禁止，彻底杜绝了人为操作导致的终端无法正常工作等故障；移动安全管控安全桌面实现程序和插件的自动下发、开机进行快速静默安装功能，彻底改变了原有的单机逐台安装模式，之前安装一个插件，4名维护人员需要3 d左右才能全院部署完成，现在只需1 min左右系统自动下发完成安装，效率提高99.9%；移动安全管控平台上线以后，平板、PDA故障率降低为之前的25%，且主要故障均为硬件、系统软件应用等方面问题；维护人员由原有4人减少为1人，节约人力成本75%，极大地提高了工作效率。

通过医院无线网络安全的整体实施，无线终端依次通过接入认证、移动安全管控、防火墙、IPS、防病毒、日志审计、僵木蠕监测等实现安全管控。平台的安全预警中心可清晰展示设备状态分析、安全事件分析、病毒感染统计、设备数量分析、APP使用统计分析、设备位置信息、设备在线和失联等信息，方便维护人员快速掌握无线终端使用情况和安全状况。目前，哈尔滨医科大学附属第二医院布署实施医师平板和护士PDA共计980余台，通过无线安全管控整体实施，无线终端在维护性、安全性、管理等方面实现颠覆性改变，达到预期效果。

5 结束语

通过移动安全管控系统通用化功能以及个性化需求的定制开发，对医院无线网络终端实现严格管控，不但提高了医院无线网络的安全等级，同时限制医护人员人为操作导致的终端不可用，大大提高了设备可用性和工作效率。使得医院内部无线网络应用更加安全可靠，保证医院内部应用不暴露于公共的网络环境中[15]，在提高医院无线应用安全性的同时，也提高了设备的稳定性、可用性，并提高工作效率，为医院开展更多无线网络应用奠定了良好的安全基础。