◆陳 炎

（浙江省人民醫(yī)院望江山院區(qū)醫(yī)療綜合辦公室 浙江 310024）

無線網(wǎng)絡(luò)安全在醫(yī)院信息系統(tǒng)中的應(yīng)用

◆陳 炎

（浙江省人民醫(yī)院望江山院區(qū)醫(yī)療綜合辦公室 浙江 310024）

信息化社會是當前人類社會發(fā)展的新階段，而隨著信息技術(shù)的進步，很多網(wǎng)絡(luò)覆蓋方式都向著無線網(wǎng)絡(luò)方向發(fā)展，因為無線網(wǎng)絡(luò)技術(shù)具有輕易安裝，組網(wǎng)靈活，功能強，可移動性等優(yōu)點，其在醫(yī)療行業(yè)上亦能提高工作效率及實現(xiàn)“移動醫(yī)療”。但是無線網(wǎng)絡(luò)作為新興產(chǎn)業(yè)技術(shù)，在醫(yī)院信息系統(tǒng)中使用安全嗎？本文就此問題給予幾點芻見。

無線網(wǎng)絡(luò)；安全；醫(yī)院信息；應(yīng)用

1 無線網(wǎng)絡(luò)在醫(yī)療系統(tǒng)中的應(yīng)用

1.1 在查房工作中的應(yīng)用

醫(yī)生查房需要對病人的情況進行詳細的了解，要掌握病人是何種病情、用的何種藥物、恢復(fù)到何種階段等，尤其在病人較多的情況下難免出現(xiàn)信息混淆的狀況。傳統(tǒng)的醫(yī)生查房需要手持厚重的患者病歷，或事先查閱患者的病歷再去進行查房，這樣不但影響工作效率，更容易造成錯誤，而通過無線網(wǎng)絡(luò)就能夠在患者的床旁實現(xiàn)患者病歷的調(diào)閱、檢驗報告的瀏覽，使查房的信息更加準確，也大大提高了查房的效率，大大提高了醫(yī)療服務(wù)的質(zhì)量，且實現(xiàn)了無紙化查房，很大降低了紙張的成本和其它耗材的浪費。

1.2 在護理工作中的應(yīng)用

護理工作是醫(yī)療過程中的一項重要內(nèi)容，通過及時有效地護理，能夠不斷促進病人機體的康復(fù)，調(diào)整病人的心理狀況。護理工作的特點就是移動性較大，有大量的工作是在患者的床旁進行的，而傳統(tǒng)的護理工作如體溫等生命體征的采集，只能記錄在紙張上再需要二次的信息處理，醫(yī)囑也需要進行二次的錄入，無形增加了護理的工作量。無線網(wǎng)絡(luò)技術(shù)的應(yīng)用突破了傳統(tǒng)的有線網(wǎng)絡(luò)的束縛和信息點固定的局限性，通過無線設(shè)備實現(xiàn)護理人員對患者的床旁生命體征數(shù)據(jù)的錄入，查閱患者的病歷情況。可以通過腕帶對患者的身份進行識別。通過信息系統(tǒng)自動生成體溫單、醫(yī)囑數(shù)據(jù)等功能。很大的增加了數(shù)據(jù)的準確性，提高了護理治療，同時提高了護理的工作效率。

1.3 在無線視頻中的應(yīng)用

醫(yī)院的醫(yī)療活動中很多過程都需要進行視頻的監(jiān)控或數(shù)據(jù)的留存，而在無線網(wǎng)絡(luò)技術(shù)應(yīng)用的環(huán)境下，更好的實現(xiàn)其拓展性和可維護性。在手術(shù)過程中，需要對手術(shù)的圖像、聲音進行監(jiān)控，通過無線監(jiān)控設(shè)備可以減少使用有線設(shè)備時在手術(shù)中的不便和醫(yī)療事故的發(fā)生。在重癥監(jiān)護室中使用無線視頻設(shè)備，采用與移動醫(yī)療相配合，隨時隨地對檢驗數(shù)據(jù)、放射影像進行查詢、錄入和保存。極大的提高了工作效率和傳遞報告的資源浪費。

1.4 在門急診輸液信息中的應(yīng)用

與病房的應(yīng)用類似，WLAN也可應(yīng)用在門診輸液過程中。身份識別、皮試結(jié)果查詢、輸液執(zhí)行及輸液結(jié)果查詢等一系列操作，都可以使用PDA，通過無線方式進行處理。病人也可以通過身份識別標簽呼叫，方便醫(yī)護人員通過定位系統(tǒng)及時準確找到其位置，極大提高門診輸液系統(tǒng)的穩(wěn)定性和可靠性。

2 無線網(wǎng)絡(luò)對醫(yī)院信息系統(tǒng)構(gòu)成的威脅

（1）傳輸信息未加密或加密很弱，易被竊取、篡改和插入；

（2）無線連接的設(shè)備可能遭到DOS攻擊；

（3）手持設(shè)備容易被盜竊，從而暴露敏感信息；

（4）病毒或其他惡意的代碼可能會損害數(shù)據(jù)或無線連接，它們會傳播到有線網(wǎng)絡(luò)中去；

（5）惡意的用戶為了發(fā)起攻擊或隱藏他們自己的行動而通過無線連接接人別人的網(wǎng)絡(luò)中（即中間人攻擊）；

（6）惡意的用戶可能使用第三方、非信任的無線網(wǎng)絡(luò)獲得使用代理或其他組織的網(wǎng)絡(luò)資源；

（7）通過Ad Hoc傳輸使得內(nèi)部攻擊成為可能。

3 無線網(wǎng)絡(luò)在醫(yī)療系統(tǒng)運行中的安全防護措施

3.1 有關(guān)數(shù)據(jù)加密方面的問題

為了保證使用數(shù)據(jù)不會被非法讀取，這要求我們在接入點跟無線設(shè)備間進行傳輸過程時不能修改內(nèi)容，并且可以使用一些加密方面的技術(shù)。通常情況下，加密就類似于一種密碼，二者都能夠?qū)?shù)據(jù)轉(zhuǎn)換為合法接收者才能夠看懂的符號。加密的要求發(fā)送方跟接收方需要擁有密鑰，才可以對傳輸?shù)臄?shù)據(jù)進行解碼。

3.2 非法入侵檢測

無線網(wǎng)絡(luò)由于使用空中的無線電射頻信道工作，易于訪問和配置簡單，任何人都可以通過自己購買的AP不經(jīng)過授權(quán)而聯(lián)入網(wǎng)絡(luò)。用戶通過非法AP接入給網(wǎng)絡(luò)帶來安全隱患，產(chǎn)生數(shù)據(jù)安全及網(wǎng)絡(luò)帶寬非法占用等問題。當非法無線用戶對合法無線接人點進行入侵時（如無線DOS攻擊），會被誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊會導(dǎo)致用戶的無線連接斷線，但網(wǎng)絡(luò)管理員卻無法在第一時間得到報警。因此，利用智能無線網(wǎng)絡(luò)架構(gòu)技術(shù)，無線控制器本身內(nèi)置無線入侵模式庫，可以實時檢測異常的無線數(shù)據(jù)包，當無線系統(tǒng)偵測到有入侵時，記錄和顯示入侵的格式，開啟入侵自動保護響應(yīng)和報警。

3.3 無線認證與CA證書對接

認證系統(tǒng)支持與Windows CA證書對接，僅當終端安裝有CA下發(fā)的合法數(shù)字證書時，終端才可認證接人網(wǎng)絡(luò)，證書錯誤或者不存在都無法接入。終端認證實現(xiàn)基本CA證書認證，無需再次輸入802．1x的用戶名密碼，簡化操作。同時，在CA服務(wù)器異常時，只要客戶終端有合法證書存在，仍可確保正常人網(wǎng)，實現(xiàn)免認證。這樣可以確保在CA服務(wù)器出現(xiàn)故障時仍能正常使用，不會造成嚴重的網(wǎng)絡(luò)事故。

3.4 無線網(wǎng)絡(luò)的及時維護

醫(yī)院網(wǎng)絡(luò)中既存在有線網(wǎng)絡(luò)設(shè)備，又部署了無線網(wǎng)絡(luò)設(shè)備，有線和無線設(shè)備分別配置和管理，對于網(wǎng)絡(luò)管理人員來說會非常麻煩。為了克服這個缺點，結(jié)合當前的先進技術(shù)，業(yè)界主流網(wǎng)絡(luò)無線廠商紛紛提出先進的解決方案：“有線無線一體化”方案。該方案是在核心交換設(shè)備上直接插入無線控制器板卡，不需要另外增加單獨的無線控制器，使有線、無線設(shè)備有機的融合起來，構(gòu)成一個整體。這樣不僅方便了管理員對網(wǎng)絡(luò)的配置管理，提高網(wǎng)絡(luò)管理人員的工作效率，并且極大的保護了醫(yī)院的硬件投資。

3.5 無線控制器冗余備份

無線控制器采用Ⅳ+1集群冗余備份技術(shù)，其中一臺無線控制器作為主控制器，其余Ⅳ臺作為從控制器。無線網(wǎng)絡(luò)初始化時，只有主控制器會接受AP的注冊請求。當AP和主控制器注冊并建立無線接人點的控制和配量協(xié)議關(guān)聯(lián)時，主控制器將備份控制器的信息通告給每個AP，AP根據(jù)此信息和備份的控制器建立一條虛擬CAPWAP鏈路，但同一時間只有與主控制器建立的CAPWAP鏈路處于工作狀態(tài)。當主控制器異常down機時，備份控制器和主控制器之間的心跳檢測機制可以快速檢測到主設(shè)備的狀態(tài)，及時通知AP進行主備用CAPWAP隧道的切換，這一過程的切換時間將在50毫秒內(nèi)完成，移動終端業(yè)務(wù)不會出現(xiàn)中斷。

3.6 建立健全醫(yī)院無線網(wǎng)絡(luò)制度

醫(yī)院信息化發(fā)展迅速，但是醫(yī)院信息化制度建設(shè)普遍不完善。醫(yī)院無線網(wǎng)絡(luò)是近些年才開始逐步應(yīng)用的新技術(shù)，因此建立醫(yī)院無線網(wǎng)絡(luò)的管理制度應(yīng)該是保障安全使用無線網(wǎng)絡(luò)的基礎(chǔ)工作。由于無線網(wǎng)絡(luò)的開放性和無邊界性也決定了醫(yī)院在應(yīng)用無線網(wǎng)絡(luò)的同時必須制定嚴格的管理制度，對于醫(yī)院無線網(wǎng)絡(luò)的使用者，首先應(yīng)該接受安全技術(shù)培訓(xùn)，嚴格認證賬號和密碼的使用；其次要防止工作用無線終端被用作其他用途，如上網(wǎng)游戲等；第三要對無線終端的異常使用責任到人有錯必糾。對于無線網(wǎng)絡(luò)的管理員還應(yīng)加強對普通用戶的無線網(wǎng)絡(luò)安全教育，再對醫(yī)院無線網(wǎng)絡(luò)的監(jiān)控要實現(xiàn)常態(tài)化和日志化管理，以便于及時發(fā)現(xiàn)無線網(wǎng)絡(luò)異常。也要不斷學(xué)習新的無線網(wǎng)絡(luò)知識，不斷完善醫(yī)院無線網(wǎng)絡(luò)的運行機制，必要時通過引進新的無線安全管理系統(tǒng)，來改進醫(yī)院無線網(wǎng)絡(luò)的安全策略。最后，筆者認為制定無線網(wǎng)絡(luò)故障的應(yīng)急處理預(yù)案及應(yīng)急替代方案也是必要的手段。

隨著科學(xué)技術(shù)的發(fā)展，未來的信息化發(fā)展應(yīng)用一定會以無線為主，而使無線局域網(wǎng)的安全得到保證是每一個無線網(wǎng)絡(luò)用戶的愿望，因此，只有醫(yī)院用戶嚴格按照上述方法，并結(jié)合醫(yī)院網(wǎng)絡(luò)管理制度，才能有效地控制非法用戶入侵醫(yī)院系統(tǒng)，保證醫(yī)院網(wǎng)絡(luò)的健康穩(wěn)定運行，也能為廣大醫(yī)療系統(tǒng)提供又快、又優(yōu)質(zhì)、又方便的網(wǎng)絡(luò)服務(wù)。

[1]吳晨陽．無線自組織網(wǎng)絡(luò)的攻擊方法和應(yīng)對措施研究[J]．北京郵電大學(xué)，2013．

[2]張燕．無線局域網(wǎng)安全技術(shù)發(fā)展的研究[J]．山西經(jīng)濟管理干部學(xué)院學(xué)報，2009．

[3]馮長偉．芻議如何提高無線網(wǎng)絡(luò)安全性能[J]．科技創(chuàng)新與應(yīng)用，2015．

[4]劉皓．移動互聯(lián)網(wǎng)背景下高校無線網(wǎng)絡(luò)安全策略研究[J]．校園網(wǎng)絡(luò)安全，2016．