基于5G智慧医院的智慧安全设计研究

胡静

（亳州市人民医院 安徽省亳州市 236800）

1 医院网络安全防护体系重要性

医院是我国基础民生服务的重要建设内容，对国内基础医疗服务具有直接影响。在5G 技术、网络信息技术持续创新发展背景下，其开始应用到我国医疗结构当中，同时借助网络技术辅助开展各项工作，进一步提升了医院各项管理工作效率，加强了医院的信息化建设水平，对进一步优化医疗服务水平具有重要价值。信息系统在实际运行中同时面临各种安全威胁和运行风险，信息化系统也对信息数据安全提出更多挑战，随着智慧医院持续建设发展，信息化建设水平持续提升，网络系统开始覆盖医院各个业务环节，为此需要加强网络安全防护，保障信息服务安全。

2 基于5G智慧医院的安全需求分析

针对5G 智慧医院实施安全系统设计中，需要率先对医院系统运行要求进行全面调查研究，合理设计安全系统，迎合5G 智慧医院相关网络信息系统的稳定、安全、有序运行要求，提升智慧医院整个信息传输网络安全性和稳定性。5G 智慧医院原有网络系统架构相对分散，集中性不足，涉及多种应用平台，同时对应网络交叉相对复杂，对诊疗信息数据提出更高要求，需要保障诊疗信息安全，为此需要加强网络安全保护。系统设计创建安全、完善的医院信息系统，支持医院安全、稳定进行相关信息数据采集、储存管理、分析传输等工作，促进相关诊疗信息实现全面共享。针对医院相关信息系统实现全面集成管理，打造网络安全架构，优化医院网络信息系统整体运行效率，支持医院有序开展各项诊疗业务，保障系统有序运行。安全系统融入5G 智慧医院移动网络技术，能够进一步满足医院信息系统日常运行中对于移动网络的安全、稳定要求。进一步增强移动网络相关信息数据的传输效率，为5G 智慧医院合理创建安全度较高的内网环境，支持用户个人相关业务和医院内部信息系统以及数据中心之间实现顺畅衔接。5G 技术能够支持医院实现远程会诊，重点发展远程医疗业务，保障网络安全运行，优化医院自身信息建设实力。

3 基于5G智慧医院的智慧安全系统设计

3.1 系统架构

根据系统设计基础要求合理创建5G 智慧医院内安全系统网络架构如图1所示。

图1：系统架构设计

整体架构设计中，5G 医疗局域网，合理创建医院专用网络，支持医院网络系统实现相关数据信息的全面共享，保障网络平台内安全传输各种数据信息，支持医疗服务合理应用，提升医院和用户之间交流互动，提升各项诊疗信息的稳定性和数据完善性，支持智慧医院内部信息系统的稳定、安全运行。5G 医疗广域网的合理构建，进一步改善医院对应不同网络信息系统之间的信息传输，提升数据信息共享效率，合理设计建设远程链接，促进相关信息数据实现全面互通共享，提升外网信息安全性和数据安全性。5G 智慧医院创建医疗动态专网，能够为医院外终端以及医院工作人员提供实时动态链接服务，并为进一步实现动态、实时连接提供基础安全保障，保证广域网移动链接医疗服务内实现医疗协作和移动会诊的安全、有序实施。5G 技术应用于医疗行业对于管道传输提出不同要求，比如针对远程手术，需要形成高清视频业务，注重传输时延和带宽。针对医疗设备接入以及医院固定环境应该注重功耗。对于医院中各种敏感数据，专网需要具备差异化重构安全功能。为此针对医疗领域，需要联系业务需求差异，选择差异化网络管道切片和不同业务安全等级，形成差异化密码算法。

3.2 5G切片网络安全系统构建

在智慧医院构建网络安全架构中可以设置切片网络架构，5G 智慧医院通过合理设置医疗安全网络系统，能够支持各个用户端利用5G 网络针对医疗活动专用网络和公网相关信息数据进行实时查询操作，以及开展一系列基础业务。应用5G 安全、优质无线网络能够支持信息数据的顺畅接入，在5G 信息数据稳定、安全传输以及较强抗干扰性能方面进一步打破了传统模式下Wi-Fi 网络在信息数据传输中的影响和限制，能够和固定移动网络全面融合。在整个安全网络系统内，基于中心云、私有云以及边缘云三层结构之间的协同运行下，进一步激发出医院信息系统于云计算相关应用服务中的突出优势，有效提高了医院自身的数据信息安全处理水平，合理创建智慧医院的诊疗服务系统，满足医院信息化建设发展的现实需求。5G 切片网络在实施综合构建中进一步融合智慧医院云网平台，为医院开展各种信息化诊疗业务奠定基础SLA 性能保障。

切片网络安全方面，智慧医院在构架安全网络系统中应用5G 切片网络技术能够针对整个网络系统实施有效的逻辑隔离，合理创建专用网络，实施切片隔离设计，有效隔离不同切片网络，促进用户和切片网络之间顺利隔离，促进切片内部网络实现有效隔离。实施切片网络设计中应该坚持网络安全需求作为基础条件，迎合不同用户对网络系统的差异化业务服务需求。切片网络构建中所用技术如下，分别是反病毒技术、IDS 图侵防护技术、入侵检测技术以及数字认证技术等安全防护技术。切片网络拥有基础安全防护能力，能够为医疗网络的安全运行奠定基础保障，综合考虑各项业务活动需求合理设计相应的安全功能。在医院原有网络设备条件下，促进医院自身信息网络安全有效转型升级，科学构建稳定、安全的网络信息系统。

5G 切片网络系统架构建设中，应用5G 网络切片相关技术能够进一步联系各个网络系统的建设需求，针对多样的网络功能和网络资源实施优化分配，同时联系各个医院实际业务运行需求，应用5G 切片技术针对网络系统开展安全服务定制。5G 切片技术能够针对网络系统内各种物理资源实施虚拟化转型设计，设置虚拟资源池，提供定制化网络信息服务。立足于诊疗服务安全性层面分析，应用多样网络切片能够促进整个网络系统实现安全隔离。联系医院内不同园区对应设备终端安全连接的基础要求，科学设计切片网络架构，对应切片网络组成如表1所示。

表1：切片网络架构组成

切片网络内科学建构相关模块功能，5G 服务终端综合设计中，因为终端直接面向用户，终端设备安全会从某种程度上威胁用户安全，广大用户借助终端系统针对网络系统相关信息数据实施全面查询，进而将整个终端系统进一步分成两种区域，分别是普通终端域和双域安全域。其中的双域安全即针对专网和公网之间支持手机终端进行同步访问接入，促进手机终端中的公网信息数据和医疗数据实现有效安全隔离，进而保障终端各项医疗数据信息的安全运行。5G 服务终端同时为医疗专网和远程医疗访问提供可靠的终端平台。

5G 网络覆盖设计，进一步联系智慧医院相关用户的信息需求针对5G 网络系统实施科学部署，提升5G 网络系统覆盖的完整性和持续性。以用户现有Wi-Fi 网络、光纤网络以及有线网络为基础支持各个网络连接全面整合，促进全无线网络实现全面安全覆盖，满足医院各项业务活动基础需求。端到端之间的网络切片设计中，对于网络安全系统构建直接应用5G 网络切片技术，充当系统设计核心技术，建设多样切片网络，实现网络安全系统构建，从应用性能方面满足广大用户对于医疗网络安全服务需求。切片网络技术主要涉及以下内容，分别是防病毒技术、IDS 图侵防护技术、入侵检测技术和数字认证技术等安全管理技术手段。切片网络拥有基础安全防护功能，能够为医疗网络安全奠定良好基础保障，密切联系各项业务发展需求优化设计各种安全功能。同时针对各种传输信息数据实施合理保护，打造安全边界保护设备SEPP，避免各项传输信息数据被非法篡改和窃听。促进隔离后相关物理网络实现数据信息彼此独立，于数据链路层进行信息传输中不会受到其他因素影响和干扰，提升信息数据的传输稳定性和安全性。

行业专网网关综合设计中，合理应用网关技术针对本地信息数据实施全面分流，提升本地信息数据安全性，支持公网用户顺利访问系统，查询各项数据信息。合理分离公网和专网，促进用户分别访问公网和专网，合理应用数字认证技术提升数据接入访问稳定性和安全性，保障不同网络系统实现统一接入。

边缘计算平台在基础功能设计中，需要保障本地相关数据信息的完整性和准确定，为合理应用第三方APP 提供有效的数据计算对接，进一步满足网络系统相关安全服务基础需求，相关功能模块同时也是智慧医院相关诊疗系的重要设备节点。云安全防护主要针对边缘云实施有效安全防护，合理设计虚拟安全组件，针对云安全合理创建基础防护体系，相关技术方面主要应用虚拟防火墙等技术促进内网和外网之间顺利分离，合理开展外界访问，外部访问控制实施边缘计算也是边缘云主要组成内容，应用边缘云设备能够进一步提升网络信息数据安全性，支持整个信息系统实现稳定、有序运行。

优化系统管理平台设计，注重5G 网络系统相关设备管理和监控运行，优化设置各种切片网络参数，支持5G 智慧医院相关网络系统的安全、稳定运行，提供相对可靠参数配置服务，优化设备各项参数设计。系统管理平台能够为不同用户提供个性化服务界面，针对云网融合业务以及网络安全进行实时监督管理。系统管理平台应用网络技术针对管理窗口实施优化设计，联系JACA C++实现管理界面各项功能，科学设置子管理模块，方便针对用户实施科学、系统管理，从技术层面进一步提升系统界面管理安全性。

3.3 安全管控设计

安全组件应用分布式部署模式促进平台纵深到内部网络，合理构建涵盖主机安全、边界安全、安全审计、通信安全等组件，满足网络安全防御功能，做好接入单位的身份认证工作，针对数据访问过程实施动态控制，及时发现各种高级威胁，提升网络系统安全能力，有效抵御数据库攻击、应用层攻击、蠕虫传播、常规网络攻击等，综合应用沙箱技术、大数据技术对网络系统内各种未知位置、高级威胁进行准确识别，结合不同组件联动技术自动阻断各种未知安全隐患，通过人工智能技术综合分析各种网络风险。对区域内相关安全组件运行信息进行实时采集，及时发现各种安全风险，借助安全分析模式联系不同事件威胁程度和风险类型实施自主防护和动态感知，对整个系统模型进行全面更新和完善，构架自愈式统一安全防护系统，做好整个系统平台运维管理，保障平台安全运行。通过网络平台全面集成各种安全组件能力，做好数据采集和发布安全策略等工作，构建全面覆盖医院网络的安全交换平台。

3.4 网间安全

网间安全设计中需要于网络传输层内合理构建信息数据安全传输通道，做好传输信息数据安全保护工作，构建安全边界保护SEPP，避免相关信息数据传输中遭受随意篡改和非法窃听问题，更好保护信息数据机密性和完整性。应用专业加密技术手段针对网络传输层各种数据信息实施合理加密处理，提升数据信息准确性和完整性，按照TCP/IP 传输协议做好数据传输工作，保障网间信息数据的安全传输，应用TLS 加密技术手段，针对TCP 传输层、HTTP 应用层实施全面加密处理，经过TLS 加密处理后，能够保障HTTP 协议隧道避免出现网络信息数据泄露现象，合理应用JOSE 结构框架能够针对JAVA SCRIPT 实施综合加密处理，提升数据信息机密性。结合终端类型需求和实际应用需求，深度参与网络组网，促进软件定义网络架构。比如借助5G 技术资源编制和开放安全能力，将相关业务安全需求进一步转变成网络资源对应安全防护对策，针对各种安全资源实施动态调度和灵活分配。终端接入网络中，会将安全需求提交至网络，通过网络综合编制业务安全防护系统，满足差异性安全需求。

3.5 MEC边缘云安全

网络系统内相关信息数据传输，主要从5G 基站将各种信息数据直接传送至网关当中，随后具体数据信息能够借助网关实施数据卸载，针对MEC 专网相关访问数据实施有效分流，顺利抵达MEC 边缘云，访问公网的各个用户，通过网关直接分配至5G 网络，随后用户可以直接访问互联网，该种设计手段能够支持专网数据传输，进一步降低专网被公网的攻击几率，提升边缘云MEC 安全性。云安全防护主要是针对边缘云实施合理防护，合理设计虚拟化安全组件基础上合理构建云安全防护体系，技术层面可以应用虚拟防火墙相关技术促进内网、外网的顺利分离，加强外界访问控制。入侵检测防护技术能够有效阻止、防范各种外部非法攻击，保障信息数据安全性。安全审计能够针对内网访问相关行为活动实施全面记录，自动形成管理日志，方便用户有序实施后续管理活动。病毒防护技术能够针对网络病毒实施全面查杀，避免病毒入侵网络系统导致系统破坏，保障网络系统的安全运行。边缘云实施安全设计中，DDOS 系统进一步应用物理组件实施科学建构，同时针对网络数据层、传输层和网络层实施有效的安全防护。

3.6 数据安全

数据安全方面，系统主要借助MVP 架构以及C/S 架构针对用户相关应用信息数据实施科学管理，保障数据信息实际应用安全性。系统建设方案中通过针对MEC 实施合理安全设计能够更好保障数据信息安全性，于MEC 边缘位置合理设置UPF 接入点，支持专网系统内顺畅传输各种业务信息数据，无需经过公网传输，能够帮助数据传输过程减少各种攻击风险。基于TCP/IP 协议下，科学建设数据信息传输链路，支持数据信息在基站和UPF 之间实现有序传输。相关数据信息实际传输中，针对整个链路隧道实施有效的物理隔离，支持链路隧道彼此独立。支持专网内相关信息数据实现安全传输。在MEC节点部位，合理配置相关业务应用服务，通过HTTPS 实现数据加密，提升整个专网信息数据安全性。

4 基于5G智慧医院的安全机制实现

4.1 传输安全

应用安全套接层协议对网络传输链路实施加密处，为网元间相关信息数据传输提供有效安全支持。安全传输层和安全套接层分布于应用层和传输层之间，和上层协议没有任何联系，能够支持应用层协议实现透明传输，通过安全套接层无缝接入相关传输组件，实施非对称加密，促进实现握手过程，借助握手过程协商获得密钥和对称加密算法实现加密数据传输。

4.2 认证机制

身份认证即在计算机网络系统内对操作者身份进行合理确认，主要包括动态口令短信密码和静态密码等方式。主要包括双向认证和单向认证机制。单向认证只需客户端进行服务端验证即可，双向认证需要服务端和客户端共同验证，网络普遍以单向认证为主，合理应用逻辑层支持用户合理登录。企业应用对接相关应用场景需要检测接入客户端身份，为此需要实施双向认证。应用SSL 双向认证，主要诞生于握手环节，通讯双方需要对彼此身份进行合理验证，客户端检测服务端相关证书，是否源自受信任认证机构，验证公钥是否源自服务端，预防中间人攻击。顺利完成认证过程便能够合理创建安全传输隧道。

4.3 节点权限控制

管理员进行SENDER 权限分配中，会在权限列表内对相关信息实施动态更新，SENDER 发起访问，对应信息通过POSTOFFICE，按照EXCUNODE 字段采集节点信息头内对应执行节点相关ID 信息，借助ID 进入权限列表进行查找，获得对应节点允许访问SENDER 列表，查询SENDERID 是否处于对应列表内，假如不在列表当中会直接封装拒绝访问，返回异常信息。因为应用哈希表，无需全面查找，整个操作过程只需两次简单技术变能够顺利完成基础验证。

4.4 外网终端访问管理

各个传输通道经过认证后构建，所以不能伪造头信息，只能借助现有隧道进行信息传递。为避免攻击者通过受信隧道进行传输请求，针对代理端口实施跨域限制，开放性代理端口仅允许进行本地访问，严禁局域网内相关主机实施跨域访问。代理端口核查信息源，如果发现并非来源不合理被直接当做非法请求直接过滤。

4.5 网络边界安全对策

拥有较高网络安全等级的医疗机构，能够针对内外网实施有效物理隔离，即一个主机系统智能单独访问外网或内网。主机硬件配置需要两种网卡，分别连接外网和内网，充当中转桥梁，合理连接内外网。假如想要进一步提升系统安全性，可以升级配置，LINUX 下设置IPTABLES，对数据进出端口实施合理控制，落实防火墙访问策略，针对端口设置单向访问，实施严格管控。

4.6 实施节点审查

合理设计标准语言规则针对相关执行内容以及SENDER权限进行有效过滤和科学审查，按照多样化需求于基础配置文件内合理编制相应操作逻辑。具体权限主要通过主机提供，不能借助RTIA 实施修改。在启动节点组件后，将匹配规则进一步加载至内存构成规则列表，和LINUX 对应IPTABLES 匹配规则，按照基础顺序实施从上到下科学匹配，如果满足基础条件即刻返回，如果列表内容不匹配则继续执行操作。控制节点SENDER 访问，尽管初步实施SENDER权限控制，但能够进行深度过滤，提供相对严格访问管控。请求响应模式即传输相关命令，为此可以针对命令合理设置黑白名单实施细粒度有效过滤，正式执行前，需要针对相关内容实施全面审核，命令于正式执行操作前会和列表内相关内容实施综合对比分析，关于禁止访问内容，封装异常响应会及时返回SENDER。

5 结语

综上所述，基于5G 技术支持下进一步建设智慧医院网络系统，能够提升整个网络系统的操作安全性，方便各个环节信息传输和医院信息保护，为此需要密切联系新时期智慧医院的发展特征和建设要求，将5G 技术全面融入网络安全系统构建当中，打造远程医疗专用网络平台，针对医院专网的安全运行进行科学设计规划，为进一步优化医院相关信息诊疗服务提供有效参考信息。