医院无线网络解决方案

医院无线网络解决方案

✓专业的新型同频组网技术，保障医疗终端零漫游体验

✓多种认证方式，让病人、家属、医生、护士、医疗终端都能安全地接入无线网络

✓丰富的角色权限控制和安全策略，保障网络安全性

✓多种网络优化策略，保证无线网络飞速体验效果

✓无线网络提供易于管理界面操作界面和移动APP管理，让无线网络管理更加便捷

✓提供白金级售后服务承诺：（1）三十分钟内问题必应；（2）AP一年包换；（3）好件先行；（4）小时级备件库。

1安全的无线网络环境

1.1内网权限管控

携手深信服在应用层积累的10多年的专业、精细的应用识别技术，融合上网行为管理功能，精准识别各类应用程序，将应用识别控制策略应用到WLAN中，并将应用识别技术应用到AP上，实现内网权限管控。

医疗移动终端只能使用医疗APP访问资源，不允许使用IM、IE等无关网络应用，并且不同的终端、不同的位置、不同的时间段使用时，获得不一样的访问权限。

1.2无线空口安全

医院WLAN网的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。

●非法接入点

非法接入点，如私接无线接入点、共享热点、AD-Hoc等，其威胁主要是对医院无线网的干扰以及诱使用户接入从而盗取用户信息，通过wIPS，检测无线环境中存在的攻击和危险行为，实时告警并产生日志，并对指定类型的攻击对象执行反制。

wIDS无线入侵检测可检测无线环境中存在的攻击和危险行为，并对指定类型的攻击对象执行反制。

非法AP的检测包括：钓鱼AP(相同或相似SSID)、非法Ad-Hoc、有干扰的邻居AP。

无线入侵检测可以根据用户配置的反制策略来作检测，检测到非法AP后，根据配置构造安全日志或者下发反制命令。由策略中指定的AP伪装成要反制的对象发送解关联帧，实行周期性反制。

●空口窃听

众所周知，无线网络是以空气为介质进行传播的，数据通常被暴露在空气中，高校中一些好奇的学生利用无线空口抓包工具进行破解账号密码、数据分析等，对医院WLAN网的造成安全隐患，通过对无线空口进行WPA/WPA2/WAPI安全加密，或采用高安全性的802.1x、第二代Portal认证，对用户认证数据以及业务数据进行安全加密，可有效防止空口数据被窃听。

●恶意攻击

医院网络中典型的恶意攻击包括DDOS攻击、PING攻击、ARP欺骗攻击，DDOS攻击、PING攻击等洪泛攻击可以使主机资源被耗尽，从而达到攻击的目的致使服务器瘫痪、无法访问的情况。

信锐通过在无线层面的攻击检测技术，可以将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知，有效预防AP接入资源、服务器等资源被耗尽。同时，不影响其他终端的正常接入。

1.3行为审计记录

医院网络属于公共网络，接入用户数量众多，为了进一步保证医院的信息安全，对特定的系统资源以及网络舆论进行保护。对与医院的系统、BBS论坛、贴吧等相关的网络行为进行审计记录，当疑似出现安全问题时，能够做到有迹可循。

针对于无线用户的上网行为审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。

信锐技术提供完善的审计数据包，用以和佛山公共WIFI系统里的审计数据包对接，满足了佛山市网监在公共WIFI领域的审计加密要求。目前信锐技术是唯一一家可与佛山网监系统直接对接的厂家。

1.4安全隔离

对VLAN内的用户进行安全隔离，禁止同一VLAN内的用户之间相互通信同时，一来可以提高网络安全性，避免某些感染了病毒的终端传播病毒的风险，最大限度地确保医院WLAN网的安全；二来可以禁止用户之间利用无线网络进行内网传输，避免无线空口资源被

滥用的情况。

1.5防钓鱼WIFI

所谓钓鱼WiFi，就是黑客或不良分子在公共场所搭建“免费”WiFi，或者搭建与原无线网络相似或相同的无线网络（SSID），诱使无线客户端访问虚假的无线接入点，从而达到截获其账号、密码等信息的目的。

信锐除了具备强大的行为管理、应用控制外，也具备无线入侵检测系统（wIDS）、无线入侵预防系统（wIPS），它是通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。利用wIPS 技术，可以对非法接入点进行检测以及反制，可以对具备某些特性，如特定SSID（与原网络相同或相似）、非法AP 的MAC（物理地址）或者非无线控制器所管理的AP 发射出的无线信号，进行时时扫描、检测，对检测到的钓鱼WiFi 后可对其进行反制，引导无线终端不接入钓鱼WiFi。反制后的结果就是：钓鱼WiFi 对于用户来说，就是没用。

1.6绑定终端的安全准入

1、用户MAC 绑定，用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的MAC 地址，IT 管理员无需介入，既保障了接入设备的可信性，也减轻了IT 管理员的负担。若是用户名、密码被盗用，绑定了非法终端的MAC 地址，用户在正常接入时就能发现问题，IT 管理员可及时强制下线非法终端加入黑名单，并人工绑定合法终端的MAC 地址，黑客用窃取的用户名、密码也无法登陆，因为其MAC 地址不对。

2、若是认为MAC 地址容易串改，信锐无线提供了更安全的证书认证方式，并且内建了CA 证书服务器，无需第三方的证书服务器的支持。医院通过邮件或移动存储设备分发证书给信任的移动终端（手机、PAD、笔记本），用户安装了证书后，需要与控制器进行加密的双向证书认证，才能通过验证，用户只需要在第一次连接网络时输入自己的用户、密码，再次连接医院网络时，可以直接连接上网。这样即使泄漏了用户、密码，黑客也由于没有证书，而无法接入到无线网络，达到了更高的安全性。

3、MAC 地址白名单，对于配发移动智能终端的医院，可以批量采集配发终端的MAC 地址，只有在这个白名单中的终端才能接入无线网络，预防非法终端的接入