基于移动医疗边缘云的5G网络架构中数据安全保护研究
2021-11-19吴春霞
吴春霞
(丽水市人民医院,浙江丽水,323000)
1 5G医疗边缘云及其对医疗数据安全影响
5G医疗边缘云是一种基于5G网络架构的新一代通信基础设施,能够有效缩短网络路由、大幅降低网络时延,加之5G专网高可靠的连接保障能力,让远程手术、远程会诊、AI辅诊、移动医疗、手术示教等创新医疗应用更加快捷地来到人们身边。然而,随着5G网络未来在我国普及程度的提升,这种高度灵活、开放、能够进行海量数据飞速传输的通信技术也面临着较大的数据信息泄漏风险。因此,医疗边缘云应用者——医疗产业开始针对5G架构下的医疗数据开展防护工作。5G环境下的医疗数据安全防护和管理工作具有“4大难点”,详见图1所示。
图1 5G环境下的医疗数据安全防护和管理工作难点与手段
2 医疗边缘云患者个人隐私信息安全平台研究
2.1 个人隐私信息安全平台设计
移动医疗边缘云5G开放的平台架构可为各类医疗领域的应用提供标准开放接口,向医疗产业提供智慧医疗整体解决方案,构建智慧医疗应用生态。各类医疗应用系统也可实现基于云的统一部署和承载,有效改变烟囱式建设现状,大幅降低建设成本。基于该网络架构的特点,本文对移动医疗边缘云5G网络架构下的病患隐私信息安全平台在全体系中的位置进行分析,如图2所示。
图2 个人隐私信息平台在移动医疗边缘云体系的网络位置
2.1.1 权限级别
在图3所示的5G移动医疗边缘云体系中病患数据权限级别总共分为三级,其加密方法及加密等级为:①隐私3级,采用DES(Data Encryption Standard)加密,加密等级为一般,主要设计业务基本包含了该平台中的所有业务;②隐私2级,采用3DES加密(或称为Triple DES,是三重数据加密算法块密码的通称),加密等级为中等、适中,一部分病患入住信息等数据将会涉及;③隐私1级,采用AES(Advanced Encryption Standard)加密,加密等级为三者中最高,必须配备数字签名,将主要应用于病患病例、用药情况等数据的安全防护。
2.1.2 安全平台的系统约束条件
该平台中对病患数据的约束条件主要有:①在该平台中不允许医院或某些部门独立存储越级患者数据;②平台中医疗数据所涉及的患者个人隐私信息部分,需按照与平台相同规格的加密手段进行存储;③医疗系统需要显示隐私信息时,即时解密使用。
2.2 个人隐私信息安全平台优势
个人隐私信息安全平台的优势主要有一下几点:信息有隐私隔离设置;从多方面分层次管理;分级授权管理;添加加密算法;改造不大,兼容度最大;医疗数据对外开放。
2.3 个人隐私信息安全平台实施
在现有5G移动医疗边缘云中,网络安全体系实施过程主要涉及业务系统(如HIS、LIS、PACS 等)和边缘云少量的业务适配与兼容性调整。
3 5G移动医疗边缘云医院内部网络安全保护体系建设
目前,中国移动5G医疗边缘云上已经部署了近百款的互联网医疗应用,让患者在远端就可以方便快捷地享受各类医疗服务。同时,5G移动医疗边缘云将加速中国移动新一代5G智慧医院解决方案的规模应用,助力医疗信息化产业的升级发展,采用最新一代信息系统安全保障技术,从一下四个角度构建中国移动5G医疗边缘云网络安全体系,充分满足5G网络架构下医疗产业病患信息安全防护的同时,提升平台作业效率[3]。
3.1 5G专网安全
5G专网安全视角开展病患数据安全防护,其目标在于保障平台用户数据安全的同时达到正常维护5G网络安全的目的。当前我国5G网络安全机制已发展较为成熟,在此基础上5G网络新的特性将会使医疗边缘云网络结构中的数据安全防护等级提升,认证机制也会因5G网络各项算法的革新而更加丰富,用户的隐私防护加密手段将会更加严密和多样化。如利用iGW支持IPSec解密和认证,通过VLAN和DSCP区别专用网络流量和普通流量等手段,均是通过5G专网安全防护视角为医疗行业和应用提供基础防护能力的有效表现。
3.2 医疗边缘云安全
5G医疗边缘云中的所有数据传输均会通过专网PE的配置802.1X安全认证,经由iGW/iMEP综合接入网接入认证实现分流数据,即所有待调取数据在访问专网时,均经由经iGW到iMEP 医疗边缘云。一般权限的用户在调用平台部分功能时,会经由网关设备分流至5GC 进行互联网访问。这种5G医疗边缘云安全防护体系将会保证医院关键数据不被低权限用户查询,同时也能有效避免网络攻击及病患数据的外漏,有效增强医疗边缘云的体系安全。
3.3 业务数据安全
平台的业务数据安全防护主要包含应用访问认证和分级数据传输加密、子网隔离数据存储安全以及信息安全监管病毒蠕防护等功能。平台通过这三类特有的安全访问机制将MEC 边缘计算节点部署在各医院、医疗机构本地服务器中,保证医疗数据不出院的同时帮助医疗机构顺利完成各项业务,以确保业务数据安全的同时不影响医疗机构正产工作。
3.4 终端接入认证
平台的终端接入认证工包含5G终端和固定终端两大类。其中5G终端需要根据用户权限签约专网卡,借助5G网络特有的安全认证机制等进行集中认证,在充分验证、核实各5G设备用户信息的基础上确定用户权限,保障终端接入系统的安全性。固定终端则主要包括医疗器械、IoT终端等非移动类终端,该类型终端的身份认证需要通过配置802.1X安全认证接入专网,在专网中对设备型号、所属部门等进行核实、绑定,保证终端接入的可靠性和唯一性,进而防止部分网络攻击冒充为固定终端对平台进行攻击。
4 结语
随着5G网络在我国的普及,医疗行业应用5G网络逐渐成为可能。5G医疗边缘云可有效实现医疗健康大数据管理,是医疗行业未来重要的发展方向和未来医疗体系的重要组成部分。同时,该平台下的病患隐私防护工作也发生了一定的变化。本文论述结果表明,尽管平台承载病患数据量以及数据传输速率飞速提升,医疗信息的防护工作却变得更为简单,但针对该平台环境下的医疗信息安全机制研究,仍能够对病患数据保护、海量医疗数据分析与应用等提供较大的帮助,仅需在原有数据安全保护机制基础上进行小幅度改变即可实现[4]。