(成都卫士通信息产业股份有限公司,四川 成都 610041)
医疗服务关乎人们的生命健康,其发展水平和速度备受世界各国关注。进入21 世纪,我国在医疗服务建设上取得了举世瞩目的成绩,但和人民日益增长的对美好健康生活的需求相比,医疗资源不足的瓶颈依旧凸显,各地区医疗水平发展不均衡的矛盾仍然存在。如何加速医疗产业健康发展,补齐各地区不平衡发展的短板,提高整体运作效率值得全行业思考。随着社会的进步,人们对医疗信息化的要求已经从简单的数据汇集应用发展到对数据的利用阶段,由传统的单体医院服务模式迈入区域医疗、医联体服务模式,实现了优质服务的共享与延伸。这些相关的互联网+应用,均需要极高的网络带宽支撑和极低时延的数据响应。
所以,5G 网络一问世就引起了医疗界的重点关注。它的大带宽、高可靠、低时延的网络特性辅以边缘计算平台,借助SDN、云计算、大数据以及人工智能等技术,成为医疗行业建立行业专网的有力抓手。
结合医疗行业网络现状,5G 医疗专网建设有两方面需求。一方面,目前医疗行业内部利用以太网、WiFi 以及4G 等网络技术已经建设了医疗信息化系统,医疗企业希望与运营商合作,将5G 平滑融入现有业务系统,最好做到“即插即用”,即对现有业务流程不做大的修改,从而实现现有业务提质增效,同时期望能够与通信服务企业合作探索新兴业务类型。企业希望利用本身的站址、网络传输等资源与运营商合作构建5G,实现企业现有的网络及业务管理系统与5G 网络无缝融合。此外,在获得5G 网络运营权的同时,期望降低企业自身的网络及运营成本。另一方面,保障企业核心业务数据安全,不出园区。
如图1 所示,5G 医疗行业专网是新型ICT 基础设施,通过标准化的专网构建面向行业客户服务的市场,同时以“基础网络服务+行业增值服务”的运营模式,满足不同医院标准化和定制化的业务需求。在基础网络服务方面,结合5G 网络的覆盖情况,打通多级云和多级医疗单位之间的连接,通过行业专用网关和专网分片隔离等技术,满足企业数据存储和传输的安全、个人业务和企业业务的高效融合以及各类应用场景低时延、高带宽的网络需求。
整个5G行业专网组网架构主要涉及行业终端、5G 无线网络覆盖、端到端网络切片、行业专网网关以及边缘计算平台等[1]。
图1 5G 医疗行业专网基本架构
1.2.1 5G 行业终端
5G 行业终端主要分为普通行业终端和双域安全终端两类。普通行业终端即医疗行业各种终端设备,这些终端或通过网线或通过无线连接到医院网络;双域安全终端实现一个手机可同时接入公网和医院专网,进而实现公网数据与行业客户数据的同时访问。
1.2.2 无线网络覆盖
基于客户的覆盖需求,提供5G 宏站与5G 小站的部署位置与方案,保障企业院区内5G 无线覆盖的完整性和连续性。同时,考虑客户已有的网络连接的整合,包括WiFi、有线、园区自有网络和光纤等,实现院内固移融合的全连接无线网络覆盖,从而满足不同类别的生产需求。
1.2.3 端到端网络切片
针对具体业务安全等级,划分不同的切片级承载,对应不同等级的专网资源,满足行业客户对专属网络服务的差异化需求。
1.2.4 行业专网网关
提供企业数据本地分流能力,保障数据不出院区;保证正常的公网用户访问数据不受任何影响;借助网关的统一接入与认证能力,实现不同网络接入类型(WiFi、光纤)的统一连接。
1.2.5 边缘计算平台
边缘计算平台(Multi-Access Edge Computing,MEC)[2]提供本地数据处理、第三方APP 能力以及行业安全解决方案服务,是建设智慧院区的关键设备节点。
1.2.6 医疗业务平台
医疗业务平台包括HIS 系统、PACS 系统、EMR系统以及DB 系统等。
1.3.1 基于专网组件的角度分析安全问题
基于上述架构及需求,5G 医疗安全专网安全问题从网络组件的角度来看主要涉及以下方面,如图2 所示。
图2 5G 专网安全问题
(1)行业终端安全。在医疗网络中,终端可以分为普通患者或医院往来人员使用的终端设备、医护人员使用的终端和院区的IoT 设备3 种。海量终端接入网络,一旦失控将导致网络后台瘫痪,难以恢复和排查。因此,终端安全最基本的做法是对其进行分类,根据类型设置权限后再进行访问。当终端失控时,把安全事件控制在一定范围内。普通患者和医院来往人员的终端设备一般为移动设备,可以访问医院普通应用系统,如挂号系统、咨询系统等,也可以进一步与外部互联网系统通信。医护人员的终端有移动终端也有固定台式终端,根据人员分工不同,这些终端设备访问权限不同。其中,双域终端可同时接入公网和医院专网,实现公网数据与医院专网数据的同时访问。这类终端是医院行业专网中最容易失控的终端,病毒数据通过这类终端偷溜入医院专网数据库,窃取数据到互联网。因此,双域终端必须严格控制使用人及使用安全,同时制定终端安全方案及终端访问安全方案,做好终端数据安全隔离,保证行业数据在终端侧的安全。采用双域的云终端可以很好地解决这个问题,且专网数据在终端上不留痕。特别的,双域终端在离开园区覆盖时,也可以根据其安全需求,接入相应安全等级的网络切片中使用。普通专网移动或者固定终端仅在园区内使用,离开园区覆盖范围则不能用。这类终端失控将影响专网的正常运行。
(2)接入安全。5G 行业专网接入安全主要源于多种接入终端以及接入网络采用的多种接入协议导致的协议汇聚、协议交互、协议转换过程中引入的安全漏洞。此外,5G 为主要接入手段的无线专网部署,简化了光纤部署的施工步骤,为专网接入带来极大便利,但同时增加了空口被窃听的风险。
(3)云上数据安全。边缘计算平台作为5G 专网的云业务平台,区别于传统的中心云的部署,通常部署在专网客户机房,极端情况下(业务回环时延要求极小)也可以与园区内基站共站址,与基站联合部署。应用网络下沉到边缘,极大地提高了业务响应速度,解决了5G 应用中的低时延问题;业务更贴近用户,提供本地化服务,从而提升了用户体验,发挥了边缘网络的更多价值。然而,仅是应用网络下沉到客户端,核心保护措施由于成本和网络架构等因素考虑并未完全下沉,因此边缘网络是一个极其脆弱的存在,一旦被攻击,则将导致整个行业应用网络的不安全,通过核心网元的传递将导致整个运营商网络的不安全。
边缘云上的安全包括传统云上的安全,如租户身份假冒、非授权访问、非法应用部署以及数据安全隔离。针对医疗行业,专网上有很多敏感数据和个人隐私数据,因此数据不出园区和数据分等级访问极其重要。
此外,边缘网络也是一个能力开放的网络,甚至网络能力对某些应用都会开放。外联安全,调用网络能力的应用者身份及权限管理非常重要,否则将带来整个运营网络的崩溃及个人用户隐私数据的暴露危险。
(4)管理安全。管理安全包括权限管理、权限关联管理和生命周期管理,还涉及资源组建、使用、回收以及过程中的安全问题等。管理安全是保障边缘云安全的重要手段。
1.3.2 基于医疗专网应用的角度分析安全问题
按照医疗专网的应用场景,安全问题在如下几种场景中集中体现。
(1)园区内本地组网场景,如图3 所示,是医院园区各个楼栋之间的典型应用场景。基站、行业网关以及用户面功能(User Plane Function,UPF)[3]在园区内部署,本地业务的数据流不出园区。基本安全策略是园区内本地业务在本地边缘云和边缘数据中心上终结。这种场景下,需要特别关注如下的安全问题。第一,医护人员的双域终端安全问题。终端需要根据业务的不同采用不同的控制资源、信令资源以及数据资源,防止不同应用的数据互操作。特别的,复用空间被释放或重新分配前可得到完全清除,防止互联网病毒通过终端入侵内网终端。第二,园区内包括基于多种接入协议的终端及网络、固移结合的网络等,而不同协议间的转换也容易出现安全问题。第三,园区边缘网络。核心网网元UPF 下沉到边缘,更接近用户端,大大减小了时延,也更加容易被攻击。严重时,通过下沉的核心网网元攻击运营商整个网络,会导致整网瘫痪。
图3 5G 医疗专网园区本地网络
(2)园区间协同组网场景,如图4 所示。5G医疗行业专网,实现医院及其他医疗机构、医联体间的联合组网,实现优质医疗资源的延伸。这种情况下的专网是一个广域专网,医疗服务由5G 广域专网核心平台统一协调处理,通过建立多层级的专网边缘服务平台,级联的专网网关实现数据重定位到特定的服务专网。它可以分为本地跨院区广域专网和跨省广域专网两种场景。这些网络有的通过切片分组网接入,而在切片分组网络没有覆盖的地方,则通过普通移动网络或第三方网络接入。这种场景下,需要特别关注4 方面安全问题:①多级边缘云数据的相互访问安全问题;②多级数据在中心云汇聚时的数据合并、存储时的安全问题;③多级数据间传输的安全问题;④多种网络接入方式及多种网络协议转换时的安全。
图4 5G 医疗专网广域网络
(3)园区外移动组网场景,如图5 所示。该场景主要应用在医院园区的急救车驶出院外的场景。它分为有医疗专网覆盖的场景和无医疗专网覆盖的场景两种情况。这种场景下,需要特别关注5方面的安全问题:①移动终端的安全管控问题;②移动终端接入专网身份安全问题;③无专网覆盖且采用常规网络接入的情况下,终端及所采用的无线资源和有限资源的安全问题;④移动终端通过普通网络接入到园区网络时的安全问题;⑤不同运营商间接入的安全问题等。
5G 商用化利用切片技术实现垂直行业对差异化网络能力的需求。对于医疗行业来说,不同的应用场景对网络管道传输能力要求不同。例如:对于远程手术,需要高清视频业务的支持,重点关注带宽与传输时延;对于医院固定环境,医疗设备接入则重点关注功耗;对于医院等敏感数据的行业来说,专网还需要提供差异化可重构的安全能力。因此,在医疗行业领域,由于业务需求的不同,可以有不同的网络管道切片、不同的业务安全等级以及采用不同的密码算法给予支撑。
5G 医疗专网业务开展解决方案如图6 所示。
行业专网安全问题涉及到“云-管-边-端”各方面。网络切片也是一个端到端闭环的虚拟资源组合。根据业务性能、网络性能等动态的变化,专网安全也能够动态重构。因此,5G 医疗专网中,利用网络安全属性与网络资源属性的可以统一编排、可重构的特点,从终端、传输管道、边缘云以及中心云端采用统一的安全策略,保障同一层级的业务安全进行,保障不同层级业务间的资源隔离。
图5 5G 医疗专网移动网络
图6 5G 医疗安全专网整体解决方案
5G 医疗专网通过应用需求和终端类型需求,实现对网络组网的深度参与,真正实现软件定义网络架构(Software Defined Network,SDN)。如图7所示,利用5G 移动网络的资源编排能力和开放安全能力,将业务安全需求转化为对网络资源的安全防护策略,从而实现对安全资源的按需动态分配和调度,并将业务应用的共性安全能力抽象封装为业务安全支撑服务,实现业务安全能力的快速部署和扩展。此外,终端在接入网络时,通过能力上报和资源请求,也会将其安全需求上报给网络。由此,网络统一编排系统可构建一个动态可重构的业务安全防护框架,实现垂直行业差异性安全能力需求的业务安全保障架构。
网络能力开放,因此运营商可通过能力开放机制使垂直行业的第三方能力通过编排参与到5G 网络切片的能力构建中,从而更好地服务应用业务。第三方安全服务参与5G网络能力模式,如图7所示。
图8 是终端侧主动发起的安全医疗业务。首先终端需要向网络端提交申请的业务种类、参与方安全等级等,网络权衡全网资源后,按需编排相应的资源支撑该业务[4]。
图7 第三方安全服务参与5G 网络能力模式
图8 终端侧主动发起的安全医疗业务
(1)救护车开展移动救护工作,需要接入医疗专网获取相关医疗数据及指导;向网络发送接入请求,同时携带终端能力和安全业务需求。
(2)5G 网络根据业务请求重定位业务到5G边缘医疗网络。
(3)边缘网络中管理编排(Management and Orchestration,MANO)[5]接收到接入信息后,根据业务请求及相关参数确定业务安全等级,分配边缘转网络虚拟资源(如基础资源、计算资源、存储资源以及密码资源等)。
(4)边缘云资源分配完成后,通知5G 网络。
(5)5G 承载网络根据业务需求、QoS 以及安全需求等,分配切片资源、传输资源和无线资源。
(6)5G 网络将终端发起业务所用的无线资源通过空口通知给终端。
(7)终端采用网络统一分配的资源接入网络,开展端到端统一安全策略的5G 医疗专网业务。
图9 是网络侧主动发起的安全医疗业务。业务发起时,网络已经知道业务的种类及安全等级。它主动规划权衡全网资源,并分配相应的资源支撑该业务。
图9 网络侧主动发起的安全医疗业务
(1)医院内网开展远程医疗教学业务和内部培训,主要针对主任级人员。MANO 根据业务信息确定业务安全等级,分配边缘网络上的业务资源、存储资源及安全资源保障云上业务安全。此外,MANO 会查询终端数据库,选择此高级安全业务承载终端设备,并选择相应的基站设备进行通知(寻呼)。
(2)通知5G 承载网络医疗安全业务开展、网络需要达到的安全等级及网络QoS 等。
(3)5G 承载网络根据需求分配切片资源、传输资源以及无线资源。
(4)5G 承载网络利用重配置消息(寻呼消息)通知参与终端,建立端到端的专网数据切片通道,保障业务安全的进行。
(5)安全医疗业务进行。
医疗专网是医院最重要的信息化基础设施。5G智慧医疗安全专网整合医疗资源,助力分级诊疗,实现医疗互助,同时借助第三方安全需求及能力,加以移动网络切片功能,构建统一编排、动态重构的网络。本文结合5G 医疗专网的应用场景,对5G医疗安全专网建设做了深入分析和研究,对现网建设具有重要的参考价值。