医院无线网络解决方案✓专业的新型同频组网技术，保障医疗终端零漫游体验✓多种认证方式，让病人、家属、医生、护士、医疗终端都能安全地接入无线网络✓丰富的角色权限控制和安全策略，保障网络安全性✓多种网络优化策略，保证无线网络飞速体验效果✓无线网络提供易于管理界面操作界面和移动APP管理，让无线网络管理更加便捷✓提供白金级售后服务承诺：（1）三十分钟内问题必应；（2）AP一年包换；（3）好件先行；（4）小时级备件库。

1安全的无线网络环境1.1内网权限管控携手深信服在应用层积累的10多年的专业、精细的应用识别技术，融合上网行为管理功能，精准识别各类应用程序，将应用识别控制策略应用到WLAN中，并将应用识别技术应用到AP上，实现内网权限管控。

医疗移动终端只能使用医疗APP访问资源，不允许使用IM、IE等无关网络应用，并且不同的终端、不同的位置、不同的时间段使用时，获得不一样的访问权限。

1.2无线空口安全医院WLAN网的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。

●非法接入点非法接入点，如私接无线接入点、共享热点、AD-Hoc等，其威胁主要是对医院无线网的干扰以及诱使用户接入从而盗取用户信息，通过wIPS，检测无线环境中存在的攻击和危险行为，实时告警并产生日志，并对指定类型的攻击对象执行反制。

wIDS无线入侵检测可检测无线环境中存在的攻击和危险行为，并对指定类型的攻击对象执行反制。

非法AP的检测包括：钓鱼AP(相同或相似SSID)、非法Ad-Hoc、有干扰的邻居AP。

无线入侵检测可以根据用户配置的反制策略来作检测，检测到非法AP后，根据配置构造安全日志或者下发反制命令。

由策略中指定的AP伪装成要反制的对象发送解关联帧，实行周期性反制。

●空口窃听众所周知，无线网络是以空气为介质进行传播的，数据通常被暴露在空气中，高校中一些好奇的学生利用无线空口抓包工具进行破解账号密码、数据分析等，对医院WLAN网的造成安全隐患，通过对无线空口进行WPA/WPA2/WAPI安全加密，或采用高安全性的802.1x、第二代Portal认证，对用户认证数据以及业务数据进行安全加密，可有效防止空口数据被窃听。

●恶意攻击医院网络中典型的恶意攻击包括DDOS攻击、PING攻击、ARP欺骗攻击，DDOS攻击、PING攻击等洪泛攻击可以使主机资源被耗尽，从而达到攻击的目的致使服务器瘫痪、无法访问的情况。

信锐通过在无线层面的攻击检测技术，可以将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知，有效预防AP接入资源、服务器等资源被耗尽。

同时，不影响其他终端的正常接入。

1.3行为审计记录医院网络属于公共网络，接入用户数量众多，为了进一步保证医院的信息安全，对特定的系统资源以及网络舆论进行保护。

对与医院的系统、BBS论坛、贴吧等相关的网络行为进行审计记录，当疑似出现安全问题时，能够做到有迹可循。

针对于无线用户的上网行为审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。

信锐技术提供完善的审计数据包，用以和佛山公共WIFI系统里的审计数据包对接，满足了佛山市网监在公共WIFI领域的审计加密要求。

目前信锐技术是唯一一家可与佛山网监系统直接对接的厂家。

1.4安全隔离对VLAN内的用户进行安全隔离，禁止同一VLAN内的用户之间相互通信同时，一来可以提高网络安全性，避免某些感染了病毒的终端传播病毒的风险，最大限度地确保医院WLAN网的安全；二来可以禁止用户之间利用无线网络进行内网传输，避免无线空口资源被滥用的情况。

1.5防钓鱼WIFI所谓钓鱼WiFi，就是黑客或不良分子在公共场所搭建“免费”WiFi，或者搭建与原无线网络相似或相同的无线网络（SSID），诱使无线客户端访问虚假的无线接入点，从而达到截获其账号、密码等信息的目的。

信锐除了具备强大的行为管理、应用控制外，也具备无线入侵检测系统（wIDS）、无线入侵预防系统（wIPS），它是通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

利用wIPS 技术，可以对非法接入点进行检测以及反制，可以对具备某些特性，如特定SSID（与原网络相同或相似）、非法AP 的MAC（物理地址）或者非无线控制器所管理的AP 发射出的无线信号，进行时时扫描、检测，对检测到的钓鱼WiFi 后可对其进行反制，引导无线终端不接入钓鱼WiFi。

反制后的结果就是：钓鱼WiFi 对于用户来说，就是没用。

1.6绑定终端的安全准入1、用户MAC 绑定，用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的MAC 地址，IT 管理员无需介入，既保障了接入设备的可信性，也减轻了IT 管理员的负担。

若是用户名、密码被盗用，绑定了非法终端的MAC 地址，用户在正常接入时就能发现问题，IT 管理员可及时强制下线非法终端加入黑名单，并人工绑定合法终端的MAC 地址，黑客用窃取的用户名、密码也无法登陆，因为其MAC 地址不对。

2、若是认为MAC 地址容易串改，信锐无线提供了更安全的证书认证方式，并且内建了CA 证书服务器，无需第三方的证书服务器的支持。

医院通过邮件或移动存储设备分发证书给信任的移动终端（手机、PAD、笔记本），用户安装了证书后，需要与控制器进行加密的双向证书认证，才能通过验证，用户只需要在第一次连接网络时输入自己的用户、密码，再次连接医院网络时，可以直接连接上网。

这样即使泄漏了用户、密码，黑客也由于没有证书，而无法接入到无线网络，达到了更高的安全性。

3、MAC 地址白名单，对于配发移动智能终端的医院，可以批量采集配发终端的MAC 地址，只有在这个白名单中的终端才能接入无线网络，预防非法终端的接入1.7射频控制策略医院在晚上凌晨以后，正常情况都是没有人使用无线网络的，那么信锐无线网络能自动关闭射频信号，一方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法入侵的操作，保障医院无线数据的安全，另外为了更加人性化，还增加了设置基于SSID的例外无线网络，可以选择性的关闭SSID。

2 医院无线快速上网设计2.1保证医疗应用的优先传输信锐技术研发的无线网络动态带宽分配，当无线接入点带宽不足时，无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配；无线接入点带宽充足时，将不受此限制。

业务网络，例如办公网络，可以配置权重较大，用于保证办公应用的正常业务通信；非重要网络，例如访客网络，可以配置权重较小，用于限制非重要网络的上网带宽，以免影响其他无线网络。

每个无线网络上用户可以自定义基于应用的子通道，用户可以设置通道间的带宽占用比例，当无线网络带宽不足时，通道间的保证带宽将按照设定的比例进行带宽分配，无线网络带宽充足时不受此比例限制。

例如办公网络中，可配置P2P子通道，配置权重最小；办公OA系统对应的子通道权重最大；互联网应用对应的子通道权重介于两者之间。

2.2提升无线传输性能防低速终端传统的无线随着低速终端的接入会导致高速终端速率被拉低，从而导致整体吞吐率下降，客户业务响应缓慢，严重影响终端的应用访问体验。

信锐技术进行了无线底层的技术改进，提出“防终端拖滞”创新专利，支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。

●广播优化及提速1.自动组播提速：将广播包原有的发送速度提高，加快广播包的传输效率，保证每个终端可以收到组播包，提升带宽吞吐。

2.ARP广播转单播：通过对ARP发送机制的优化提升ARP效率，减少不必要的广播泛洪。

3.禁止DHCP请求发往无线终端：通过对DHCP发送机制的优化提升DHCP效率。

4.接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。

●VLAN划分利用VLAN地址池，减少广播域，减少广播泛洪，提升无线网络带宽资源的利用率。

2.3高密区域稳定快速接入在门诊室、病房等人员高密的区域，通常会有多个无线热点的信号覆盖，信锐技术无线解决方案会根据每个AP的负载情况，将用户自动分配到信号强、接入人数少的AP上，同时会选择优先负载到干扰比较小的5G频段上，确保每个无线用户都能获得畅快的网络体验。

除了基于人数的负载外，信锐技术还能基于2.4G和8G的双频段进行智能双频负载。

智能双频负载：2.4G和5G之间可实现自动负载，引导5G终端优先接入干扰比较小的5G网络，提升无线接入质量。

3医院无线网络抗干扰性设计3.1 WLAN对医疗器械产生干扰的预案医院医疗器械工作频段如下：WLAN工作在2.4G和8G，所以WLAN产品并不会对医疗设备造成影响。

针对于可能产生干扰的监护仪、微波治疗仪和微波炉，需要明确其工作频段，若2.4G WLAN网络会影响到这些设备，则对应的区域不覆盖2.4G，采用8G网络进行覆盖，以及采用定向天线覆盖的方式。

3.2信道规划使用2.4GHz网络为例，为保证信道之间不相互干扰，要求两个信道之间间隔5个信道以上。

也就是说，在无线覆盖区域内，最多可以提供3个不重叠的信道同时工作，通常采用1、6、11三个信道。

WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。

如果部署的是双频AP，则一个AP可以同时发射2.4G网络和8G网络。

对于8G网络来说，最多可以提供5个不重叠的信道同时工作，分别是149、153、157、161、165五个信道，这样对于AP点位的部署非常灵活，可以有效降低无线干扰，提高无线上网速度。

除此之外，国家针对于802.11 AC新一代无线网络，也逐渐的开放了更多的频段，拥有13个不重叠、不干扰的无线信道。

5G网络具有无线传输快、环境干扰小的优势。

2.4G网络信道规划如下图（5G网络信道规划类似）：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。

圆心点为AP部署位置。

4医院无线网络稳定可靠性设计4.1医院内网QOS单AP的无线连接速率从几年前的54M、150M到现在的300M、600M，甚至G比特,无线连接速率不断增大，除去报文额外开销，加上在实际环境中速度衰减以及无线终端的协议支持,实际有效可用的空口资源有限，并且AP的空口资源会随着接入人数的增加而递减,有效的管理AP的空口资源如同流量控制一样重要,合理分配空口资源可以提高用户传输速度,提高用户上网体验。

NAC支持基于应用、SSID的空口资源分配，并支持802.11e/WMM优先级设置，全面保障无线空口资源的合理利用。

●基于SSID的空口资源管理通过基于SSID的空口资源分配，将同一个AP上的多个SSID按照百分比进行分配，比如医院内网SSID分配80%，病患访客SSID分配20%，智能带宽动态分配，保障重要SSID的流量的优先级。