移动医护无线安全防护解决方案
一. 需求分析
1. 安全场景
以WLAN系统为基础,构建医院信息管理系统(HIS、LIS、PACS、EMR等)面向医护流程的无线移动互联体系,实现医院诊疗查房和护理的实时信息数据调阅,有效提高医护人员的工作效率。
2. 存在风险
A. 无线诊疗与护理,容易被非法嗅探和中间人攻击,导致信息被窃。
B. 医学检查数据无线传递、容易非法嗅探和中间人攻击,导致信息被窃
C. 医院公共WiFi,易受WiFi钓鱼攻击;伺机窃取病患与家属信息。
3. 无线上网需求
A. 移动医护体系:可靠、便捷的高速无线网络,为医疗工作的持续正常开展提供稳固基础。
B. 医院公共WiFi:为员工、病患提供从WiFi接入互联网服务。并推送医疗资讯,提升服务效率。
二. 解决方案
1. 合规性依据
A. HIPAA
a) 最重要目标之一:防止患者的医疗信息受到未经授权的访问。违背HIPAA或者滥用患者信息的行为将会遭到严重的处罚,甚至被捕入狱。必须考虑以下两个方面:
«患者、医护人员,保险公司必须确信“可识别身份的医疗信息”不会受到来自外界的非法访问;
«医疗机构必须为访问信息系统中存储的医疗信息提供一种可靠的、适当的方法。
B. 2、《等保2.0第三部分 移动互联扩展要求》
a) 网络架构:
«无线接入设备应开启接入认证功能
b) 入侵防范:
«应能够检测、记录非授权无线接入设备;
«应能够对非授权移动终端接入的行为进行检测、记录;
«应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录;
«应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态
2. 安全无线体系构建
A. 系统部署
移动医护安全无线系统部署
B. 核心安全功能
a) 7*24小时持续监控移动医护无线热点、院内公共无线热点的运行,帮助安全人员优化无线环境,清理干扰源;
b) 依据移动医护环境对安全风险的防范要求,制定精确无线攻击防御策略;攻击一旦发生,防御将自动启动,并通过可视地图、短信、微信、邮件发出及时告警;
c) 安全管理者能够通过全方面风险统计、分析、多维度数据可视化展示,来判断出移动医护环境所面临的主要安全风险;
d) 通过定期或随机、固定或移动的安全检查,输出的无线安全报告,帮助安全管理者清理非法无线设备、优化无线环境,并有效提升移动医护系统的安全运行能力。
C. WLAN安全功能
a) 在AP中对无线终端进行有效二层隔离;
b) 在AP中开启抗拒绝服务能力;
c) 开启WPA2-企业加密认证提升移动医护WLAN环境安全性;
d) 使用身份认证(短信、微信等实名认证)提升公共WiFi环境安全性;
D. 无线终端安全功能
a) 使用防病毒、防黑客软件加强接入移动医护WLAN无线终端的安全性
E. 一体化安全功能
a) 结合防火墙、IDS、IPS等安全设备,与安全无线系统构成无线有线一体化安全防线;
b) 结合上网行为审计/管理安全设备,对公共wifi的上网行为进行审计和管理。
F. 无线接入、认证功能
a) 支持移动医护无线热点、院内公共无线热点的千兆无线高速接入;
b) 提供丰富、便捷的多种身份认证方案,支持移动医护使用更安全的wpa2-企业radius服务,以及公共无线热点采用便捷的微信、短信实名用户认证;并提供页面信息推送。
G. 方案优势
a) 安全、接入一体化融合;旁挂部署,有效降低系统部署、配置难度,提升管理效率;
b) 同时支持第三方WLAN系统7*24小时持续、稳定、可靠的分布式防护能力;
c) 有效检测和防御对移动医护无线热点发起的:非法连接、中间人、拒绝服务等攻击行为;
d) 有效检测和防御对院内公共无线热点发起的wifi钓鱼攻击行为;
e) 隐身监控模式,有效杜绝针对防御系统自身的攻击行为发生;
f) 按计划、或随机、或突发等情况,对WLAN的运行和安全状态进行快速、有效的移动式检查、评估,并输出全面的检查报告;
g) 丰富、便捷的无线用户身份认证能力,有效降低未授权访问导致的安全事件发生;
h) 在用户无线接入时推送医疗就诊信息,有效提升医院医疗的服务效率。
三. 系统建设
1. 产品推荐
| 产品 | 数量 | 应用场景 |
| 无线探针(室内型) | 1:2或1:3(探针:AP比例) | 移动医护/公共wifi |
| 无线探针(室外型) | 1:2或1:3(探针:AP比例) | 移动医护/公共wifi |
| 无线AP(室内型) | 注 | 移动医护/公共wifi |
| 无线AP(室外型) | 注 | 移动医护/公共wifi |
| 安全无线控制器 | 1注 | 移动医护/公共wifi |
| 用户身份认证系统 | 1注 | 移动医护radius服务/公共wifi |
| 无线安全合规扫描器 | 1注 | 移动医护/公共wifi |
注:数量、型号由系统规模确定
2. 部署方案
| 场景 | AP、探针部署 | 防御范围(半径)(与建筑结构有关) | 安全无线控制器 |
| 移动医护 | 门诊、住院、检查科室、药剂等 | 20~30米/台(室内) | 旁挂核心交换机 |
| 院区户外 | 80~100米/台(室外) | ||
| 公共WiFi | 门诊、住院、检查科室、药剂等 | 20~30米/台(室内) | |
| 院区户外 | 80~100米/台(室外) |
注:AP根据用户数量、应用、环境格局等综合评估
