医院5G安全医疗专网研究

周昕　宋阳　刘坤尧

【摘要】    随着现代医疗服务技术的快速提高，基于人们生命健康的需求，以医疗信息化和医疗专网为途径，是积极追求优质医疗服务共享和延伸的重要手段。伴随着5G商用化的到来，全国各地重点开始了医疗专网建设工作，如何确保大量敏感隐私的医疗数据和行业信息在网络共享的过程当中得到安全保障具有重要的现实研究意义。因此，本文将对5G模式下建设医疗专网的实际需求和专网架构进行研究，对医疗专网存在的安全问题进行探索，进而实现以终端角度提出解决5G医疗行业专网安全闭环的建设方案。

【关键词】    5G医疗专网    安全保障    架构重排

引言：

在人们追逐身体健康的时代背景下，社会医疗服务的发展水平和速度受到了人们的积极关注。自21世纪以来，我国医疗服务建设工作取得了有效的成绩，但在医疗资源方面存在的不足仍旧较为突出，各个地区之间存在着严重的医疗水平发展不均衡问题。如何进一步加快我国医疗产业的健康发展，尽可能补齐各个地区发展不平衡的问题，是提高社会整体医疗运作效率，达成医疗信息化从数据汇集到数据利用的主要问题。

从传统的单体医院服务模式到区域医疗和医联体服务模式进行转变，加快了医疗优质服务共享和延伸的需要，对互联网的网络带宽支撑及延时数据响应有了更高的要求。因此，当5G网络问世以来，关于5G网络大带宽、高可靠和低时延的网络特点成为了新时期建立医疗行业行业专网的新方向。

一、5G医疗行业专网建设分析

1.1建设5G医疗专网的需要

从现阶段我国医疗行业网络运用的实际情况来看，我国建设5G医疗专网主要是从两方面进行探索。

一方面，在现有的医疗行业内部主要是采用以太网、WIFI和4G网络技术等完成医疗信息系统化建设，将5G网络技术和现有的业务系统进行结合，能够在保证现有业务流程正常运营的前提下，达到业务的质量提高和效益增强目标，同时也能够有效实现医疗行业和通信服务企业之间的合作。而医疗企业在和运营商展开合作的同时，更希望能够将企业自身的网站和网络传输资源进行合作构建，让企业现有的网络和业务管理系统能够充分发挥5G网络的应用优势，尽可能缩减企业自身的网络运营成本。

另一方面，采用5G网络技术对企业的网络系统进行升级，也能够在保证企业核心业务数据安全的前提下，让医疗企业的各种信息能够在企业内部进行传输，而不再需要通过其他的信息传递手段来回传送，一定程度上降低了医疗信息传递过程带来的泄露风险[1]。

1.2 5G医疗专网架构

由于5G医疗行业专网构建是采用新型ICT基础设施建设，需要借助标准化的专网构建以满足行业内不同客户的市场服务需要。按照基础网络服务和行业增值服务结合运营的模式，尽可能满足不同医院的业务需要，需要从5G网络覆盖的实际情况入手，打通多级云和多级医疗单位之间的网络连接，并采用行业专用网关和专网分片隔离的技术，使企业信息数据存储即传输的安全性得到保障，也能够有效降低个人业务和企业业务在信息融合过程中的风险和融合度。

在5G行业终端方面可以选择普通行业终端和双域安全终端两大类，对于医疗行业的各种终端设备则可以利用网线和无线连接的方式与医院网络进行共享，而双域安全终端则可以让同一个手机同时接入公网和医院专网，讓公网数据和行业客户数据能够得到同时访问。面对不同客户网络覆盖使用的需要，针对医院内部5G无线网络覆盖的完整性和连续性需要，在考虑客户已有的网络连接前提下，实现医院内各种无线网络之间的覆盖连接才能够满足不同类别企业医疗生产工作的需要。

针对网络端到端的网络切片，则要按照具体的业务对安全等级进行划分，以不同的切片及承载对应不同的专网资源，能够有效满足行业客户对专属网络服务的不同需要[2]。建设医疗行业专网网关，能够为企业提供本地数据分流的功能，在确保信息数据在院内传输的同时。使正常的公网用户数据访问不受影响，也是建设5G网络并且推动网关统一接入和认证能力，从而实现网络在不同类型网络下统一连接的合理功能化应用。

二、5G医疗专网安全问题分析

2.1行业终端安全

针对医疗网络终端使用人群，可以将其分为普通患者和往来人员使用的终端设备、医护人员使用的终端以及院内设备三种类型。大量的终端接入到网络当中，很容易导致网络失控和后台瘫痪的问题，一旦出现问题后不利于后期恢复和信息排查。因此，按照终端安全的需要对各终端的应用进行分类，按照不同的终端介入类型设置权限进行访问，可以有效避免终端失控导致的问题范围。通常情况下可以将普通患者和来往医院人员的终端设备设定为一般移动设备，能够对医院的普通应用系统进行访问，例如医院的挂号系统和咨询系统等，同时也要保证移动设备和外部互联网系统之间的有效通信。

而医护人员的终端则可以分为移动终端和固定台式终端两类，按照工作人员彼此职能的分工，对不同终端设备设定的访问权限也存在差异性。而双域终端则可以同时接入公网和医院专网，以确保公网数据和医院专网数据的同时访问。但由于双域终端更容易遭到病毒和数据的入侵，从而造成医院专网数据库信息流失的问题。

因此，在使用双域终端时必须确保使用人和使用的安全性，并且制定好一系列终端安全方案和终端访问安全方案，使终端数据能够和其它数据隔离开来，从而确保行业数据在终端中的安全性。借助双域云终端能够使专网数据不在终端上留下任何痕迹，同时也能够使双域终端在离开网络覆盖范围时可以根据当时的安全需要接入到相应等级的网络切片进行使用[3]。

2.2接入安全

由于5G行业专网的安全接入需要从多个接入终端和接入网络进行。因此以多种接入协议导致形成的协议汇聚、协议交互和协议转换过程中带来的安全漏洞是5G网络应用后采用无线专网部署，容易增加专网空口出现信息窃听风险的重要问题。

将边缘计算平台作为5G专网云业务应用平台，能够与传统的中心云部署区分开来，使专网客户机房在极端的情况下，能够和园区内的基站共同使用站址，达到基站量和部署的需要。

利用网络下沉边缘对业务响应速度加以提升，也能够有效解决5G应用带来的低时延问题，让用户的业务需要更贴近实际和本地化应用，有利于提高用户的使用体验，加强边缘网络的应用价值。

但当网络下沉到客户端后，由于核心保护措施受成本和网络架构等因素的影响没有完全下沉到客户端，因此面临着较大的攻击风险，很容易出现由于核心网缘传递影响运营，网络安全性的问题。

在边缘云上，关于客户信息和医疗数据等问题，都应该确保信息不出园区和数据分等级访问的目标，对调用网络能力的应用者进行身份管理和权限管理是维持运营网络正常运行和保护个人用户隐私数据的重要手段[4]。

三、5G安全医疗专网解决方案

实现5G商用化需要利用切片技术，针对差异化网络能力的需要采取行业垂直化管理。因此对于医疗行业在不同场景中的应用，按照网络管道运输能力的不同需要，则应该按照不同的网络应用需求进行功能接入。特别是针对医院行业采取专网差异化管理，尤其要注重差异化重构的安全需要，根据不同的业务需要和网络管道切片，采取不同的密码算法给予安全支持。

一方面关于医疗行业专网安全问题的需要，用网络切片实现端到端闭环虚拟资源组合应用，可以根据不同的行业业务性能和网络性能等动态变化进行专网动态重构管理。因此，在5G医疗专网建设当中需要加强网络安全属性和网络资源属性的统一编排和动态重构特点，使终端、传输管道、边缘云和中心云端能够在统一安全策略的作用下，保障不同阶层的业务安全，尽量实现不同层级业务资源的隔离应用。

另一方面，借助5G醫疗专网的实际应用需求和终端类型需要，对网络组网进行深度参与和软件定义网络架构，可以将5G移动网络的资源编排，能配合开放安全能力进行业务安全转化，对安全资源以动态分配和调度的方式进行管理，可以实现业务应用的共性安全能力，为医疗行业业务安全提供支撑服务[5]。

因此，借助网络统一编排系统为业务安全构建动态的防护框架，能够对行业的差异性和不同安全能力，需要实行垂直化管理及业务安全保障。同时在5G网络切片能力构建当中，开放机制，使行业垂直第三方能够参与到5G医疗专网建设过程当中，也能够使网络的能力开发和业务服务功能得到增强。

四、结束语

综上所述，作为医院最核心的信息化基础设施建设，在建设医疗专网时融入5G智慧医疗安全专网时完成医疗资源的整合应用，可以以分级诊疗的方式达成医疗互助，并且使第三方的安全需求和能力得以强化，能够加强移动网络切片的功能和统一编排构建，为构建动态的网络结构提供支持是5G医疗专网在新时期应用，推进现代医疗网络建设的重要发展方向。

参考文献

[1]毕敏、周俊、王亮、石元兵. 5G智慧医院安全医疗专网研究[J]. 通信技术， 2020， v.53;No.347（11）：95-102.

[2]黄山松， 翟运开. 面向VR探视业务的5G SA医疗专网方案研究[J]. 电子技术应用， 2020， v.46;No.504（06）：22-26.

[3]刘大洋， 张阳， 吴金科，等. 基于5G的MEC智慧校园网综合解决方案[C]// 5G网络创新研讨会（2018）. 0.

[4]吕玉祥， 杨阳， 董亚文， et al. 5G技术在配电网电流差动保护业务中的应用[C]// 生态互联 数字电力——2019电力行业信息化年会论文集. 2019.

[5]孙自刚， 高明， 金长新. 一种基于5G和VR技术的大数据医疗学习方法及系统：， 2020.

周昕（1986.08.30），男，汉，四川省泸州市人，西南医科大学附属医院网络管理中心助理工程师，主要研究方向为网络信息安全。

通讯作者：宋阳（1989.09），男，汉，四川泸州人，电子科技大学通信抗干扰实验室硕士研究生，西南医科大学附属医院网络管理中心工程师，主要研究方向为通信与信息系统

刘坤尧（1982.06），男，汉，河南禹州人，硕士，西南医科大学附属医院网络中心副主任