本站小編為你精心準備了探微醫院無線網絡安全防護參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1醫院無線網絡安全防護措施

1.1基礎無線網絡安全

國際上認可的無線局域網標準IEEE802.11自1997年推出以來，在無線網絡中應用最為廣泛的安全措施是無線網絡的MAC地址過濾、禁用SSID和靜態地址分配。隨著無線網絡技術的快速發展，無線網卡的MAC地址可以由用戶自由設置，因此通過MAC地址過濾已經不能滿足醫院無線網絡安全的需求。但是，醫院內部有些科室出于自身工作的需要，采用了家用無線AP擴展醫院網絡，而家用無線AP往往將MAC地址過濾作為主要的安全防護手段，一旦有克隆MAC的外部無線終端的侵入，將對醫院網絡安全造成嚴重的影響，因此從醫院網絡安全角度出發，應該杜絕在醫院內使用家用無線AP擴展網絡。SSID的含義是服務集標志，醫院的無線終端必須設置無線網絡的SSID才能使用院內的無線網絡。但是隨著智能手機的普及，在醫院里越來越多的人開始使用運營商的WIFI網絡上網，醫院內部SSID廣播的網絡就有可能被非醫護人員嘗試聯接，因此通過禁用SSID廣播能防止院外普通用戶對醫院無線網絡的聯接。禁用SSID廣播之后，無線醫療網絡就不會被他人搜索到，同時也不影響醫務人員的正常使用。但通過專業的無線網絡掃描工具還是能查找到隱藏的SSID，因此禁用SSID廣播也不能作為醫院單一網絡安全防護的方式。有研究報告指出，絕大部分的網絡入侵，是由無線網絡按缺省值設置，普通用戶好奇聯入造成的，而運營商的WIFI網絡都采用DHCP的方式給上網用戶分配IP地址。因此，醫院無線網絡如果采用靜態地址分配，外來手機等無線終端由于無法獲得無線IP地址，而不能使用醫院無線網絡，但其安全級別還是較低。可見，醫院無線網絡通過SSID隱藏和靜態地址分配作為無線網絡的基礎防護，只能防止普通用戶聯入醫院無線網絡。

1.2登錄認證增強

Wep于1999年成為無線網絡IEEE802.11標準的一部分，對無線網絡接入的安全認證做了加強，并對設備間無線傳輸的數據進行加密，用以防止非法用戶侵入或竊聽無線網絡。早期的醫院無線網絡一般都采用了Wep的數據加密方式，并且具有128位的有線等效加密（Wep）功能，可以提供等同于有線的局域網（LAN）的數據安全。但是，Wep協議由于CRC－32的算法缺陷，2001年8月被證實破解，在Wep加密情況下通過專業破解工具可以在0.5h內完成密文的破譯。因此，2004年6月通過的IEEE802.11i將WPA、WPA2作為無線網絡認證的安全協議，其中WPA2協議在安全性上做了進一步的增強，同時在企業級應用中增加了應用802.1x認證的RADIUS服務器。身份認證基于用戶，每個訪問無線網絡的人都在RADIUS身份認證服務器上擁有1個獨立的用戶賬戶。在醫院無線網絡環境下，較為安全的無線網絡接入認證方式是應用WPA2協議結合RADIUS認證服務器的身份認證方式。但是，醫院早期部署的交換機由于不能支持802.1x的協議，還需要通過交換機軟件升級才能應用RADIUS認證，同時RADIUS安全認證方式采用的還是傳統的用戶名和密碼的認證，其對于用戶名和密碼泄露引起的網絡安全隱患仍不能避免。

1.3數字證書身份認證

針對WPA2協議結合RADIUS認證服務器的身份認證方式，由用戶名和密碼泄露造成的安全問題，近些年來通過USB數字證書的無線網絡身份認證方式開始得到應用。截止到2012年6月底，國家衛生部已通過4批22家數字證書認證服務機構。USB數字證書身份認證的最大優勢在于：US-Bkey作為儲存客戶數字證書和私有密鑰的載體，外部用戶無法直接讀取其內容。因此，USB數字證書認證方式是目前較安全的身份認證手段。對比用戶名和密碼的無線網絡認證方式，USB數字證書在不可復制方面的優勢明顯。結合WPA2協議加RADIUS認證服務器的用戶密碼認證，同時使用US-Bkey數字證書進行身份認證的雙因子認證是目前無線網絡認證級別中最安全的身份認證方式之一。

1.4SSL（securitysocketlayer）VPN進行數據加密和訪問控制

由于在實際醫療活動中，醫療機構為了滿足診斷、科研及教學需要，必須經常大量采集、、利用各種醫療數據，而這些數據就包含著個人的隱私信息。由于原有醫院局域網的相對封閉性，絕大多數的應用系統采用的都是未經加密的數據包進行數據交換，但是醫院無線局域網是開放性的網絡，入侵者通過對無線信號中數據包的偵聽與解析，使得醫療信息泄漏成為了醫院不得不面對的問題。在醫院無線應用的環境里，必須對無線終端與服務端交換的數據進行加密，才能防止醫療信息的泄漏。SSL協議是基于Web網絡應用的安全協議，使用SSL可保證信息的真實性、完整性和保密性。SSLVPN即指采用SSL協議來實現遠程接入的一種新型VPN技術。SSLVPN基于瀏覽器的認證方式，能兼容醫院主流的無線終端設備操作系統，如Windows、Android、IOS，而VPN的方式又能保證醫院信息系統中CS構架系統的正常運行。SSLVPN在解決醫院無線網絡數據加密的同時，最大限度地保障了醫院信息系統的投資。另外，SSLVPN認證設備還具備訪問控制列表（ACL）功能，通過對SSLVPN撥入用戶組設定可訪問的服務器列表，既限制了撥入客戶端的相互訪問，又限制了撥入用戶對特定醫院信息系統服務器的訪問，避免其對其他服務器的非授權訪問。

1.5入侵檢測系統（IDS）

IDS不是只針對無線網絡檢測的系統，同樣也適用于有線局域網。但由于接入無線網絡較為方便，無線網絡用戶越來越多，且各主機之間主要是對等的關系，不可避免地會使惡意的攻擊行為也滲透到無線網絡中。因此，在醫院開始應用無線網絡后，IDS的應用需求將更為迫切。IDS依照醫院無線應用系統的安全策略，對網絡及信息系統的運行狀況進行監視，發現各種攻擊企圖、攻擊行為及攻擊結果，以保證網絡系統資源的完整性、可用性和機密性。

1.6終端準入控制

計算機病毒的危害性及破壞性在醫院信息系統應用之初就已顯現。當前計算機病毒都具有混合型的特征，利用一切可以利用的方式進行傳播，破壞性強、欺騙性大，所以利用系統漏洞將成為病毒有力的傳播方式。在醫院無線網絡的環境下，結合木馬的混合型病毒的危害性將更為突出。由于醫院無線網絡中，用戶名和賬號的認證是最為常用的方式，所以通過木馬竊取用戶賬號和密碼將嚴重危害醫院無線網絡的安全。通過無線應用終端準入控制系統，強制檢查用戶終端的病毒庫和系統補丁信息，能夠降低病毒和蠕蟲蔓延的風險。阻止不符合安全策略（如未升級殺毒引擎、未升級病毒及木馬庫、未升級操作系統補丁等安全策略）的無線終端接入醫院無線網絡，保證只有在滿足終端準入控制系統策略的無線終端設備才能接入醫院網絡。

1.7醫院無線網絡制度建設

醫院信息化發展迅速，但是醫院信息化制度建設普遍滯后，而醫院無線網絡是近些年才開始逐步應用的新技術，因此醫院無線網絡的管理制度更為缺乏。由于無線網絡的開放性和無邊界性，也決定了醫院在應用無線網絡的同時，必須制定嚴格的管理制度，對于醫院無線網絡的使用者，首先要接受安全技術培訓，嚴格認證賬號和密碼的使用；其次要防止工作用無線終端被用作其他用途，如上網、游戲等，防止病毒的入侵；第三要對無線終端的異常使用責任到人，有錯必糾。對于無線網絡的管理員，首先要加強對普通用戶的無線網絡安全教育；其次對醫院無線網絡的監控要實現常態化和日志化管理，以便于及時發現無線網絡異常；第三需要不斷學習新的無線網絡知識，不斷完善醫院無線網絡的運行機制，必要時，通過引進新的無線安全管理系統來改進醫院無線網絡的安全策略；第四還需要制定無線網絡故障的應急處理預案及應急替代方案。

2結語

醫院無線網絡的應用在給醫護人員帶來工作便利的同時，也對醫院信息系統造成了安全隱患。任何單一的安全技術都不能滿足無線網絡持續性的安全需求，醫院無線用戶加強登錄認證和無線數據傳輸的加密都是必要的，只有通過綜合應用多種安全技術，才能實現醫院無線網絡的安全運行。無線網絡在全球范圍內醫療行業中的應用已成為一種趨勢，將進一步提高醫院的運營效率和服務質量，使醫院的整體競爭力得到提升。因此，對于醫院無線網絡的應用，既不能因噎廢食，也不能聽之任之，必須從無線設備選型、無線安全技術、無線管理制度等方面不斷探索，才能設計出符合醫院需求的無線網絡應用模式。

作者：仲曉偉王建強單位：常熟市第二人民醫院信息處