方舱医院是指以医疗方舱为载体,医疗与医技保障功能综合集成的可快速部署的移动医疗平台,具备机动性好、展开部署快、环境适应性强等优势,能够快速响应突发的应急医学救援任务。新冠疫情期间,方舱医院主要用于针对无症状患者和轻症患者实行集中治疗与监测管理,在疫情处置中有效缓解了当地医疗资源紧张的压力并保障了正常的医疗服务需求。
为了保障方舱医院各类IT设施、医疗设备、检测仪器的安全稳定运行,同时保障医生、护士和患者就诊治疗业务信息安全性和保密性,方舱医院需要构建安全可信的网络环境,进而保障方舱医院LIS系统、PACS系统、HIS系统、重症系统、护理系统等核心诊疗系统的安全运行。
WAPI技术可以提供安全、便捷的无线接入,十分适合方舱医院应用场景和业务需求。目前,北京数字认证股份有限公司和深圳市信锐网科技术有限公司针对方舱医院“无线安全接入”和“电子病历签名”两个需求点,提出了“WAPI无线安全接入方案”和“可信电子签名应用方案”,以期为方舱医院网络建设提供安全、高效、合规的解决方案。其中:
●无线安全接入:为了便于各类诊疗设备和仪器、医生就诊终端、护士诊疗PAD、智能监控摄像头安全高效的接入网络,需要构建安全、便捷、灵活、可靠的无线网络接入机制,支撑医院监控、患者诊疗、医生办公等各种应用场景的开展。
●电子病历签名:采用电子病历替代纸质病案,避免纸质病案传输带来的疾病传播风险,保障人民生命健康安全。电子病历需采用合法合规的电子签名技术,确保电子病历的签署行为可信以及病历数据的可信归档。
二、 解决方案
(一)WAPI无线安全接入方案
方舱医院网络接入解决方案基于WAPI技术实现各医疗服务单元的网络覆盖和多业务接入,相较于Wi-Fi,WAPI技术标准采用三元对等安全架构进行双向鉴别,具备更高的安全性和可控性,更适合方舱医院网络建设应用场景。该方案提供统一的凭证管理与身份认证服务,其中:凭证管理能够实现终端身份凭证(数字证书)的签发和管理,方舱医院覆盖的无线医疗终端均需要预先获取WAPI证书作为入网身份凭证;身份认证支持利用鉴别服务器实现无线医疗终端与无线控制器、无线接入点的双向认证,并进行业务端的身份认证与授权。
根据方舱医院污染区、半污染区、洁净区的划分,在WAPI网络规划方面也相应的分为三个区域,分别部署网络接入设备和无线AP,各类移动终端和智能设备需支持WAPI网络协议并下载WAPI认证证书,进行实现终端基于WAPI的网络安全接入认证。
鉴别服务器(AS)部署在核心网络区,实现对整个方舱医院的WAPI证书管理及身份认证;无线控制器(AC)也部署在核心网络区,实现对所有AP的集中管理,并与AS的对接实现认证策略的统一下发。
该方案解决了方舱医院对无线网络“搭建速度快、扩容简单、移动终端灵活接入、运维难度低”的需求,具有高安全、高带宽、高并发、易运维、能感知等特点。
●高带宽:支持WAPI与802.11ac的双频无线AP,单AP速率可达1.6Gbps,带宽充裕,可满足隔离区多用户观看视频和医生视频会议、隔离病房远程探视的需求。
●高并发:单AP并发用户数量大(理论可达1024用户),可满足患者手机等大量的终端接入,优化高密场景的上网体验。
●易运维:设备集中管理,上线快、扩容简单、运维难度低,零配置可急速完成网络部署,全程远程化运维,快速完成故障恢复。
●能感知:系统支持智能业务感知和智能环境感知,可实时监测终端到业务系统间的链路状态,根据无线环境的变化实现无线网络整体优化。
(二)可信电子签名应用方案
根据方舱医院无纸化建设需求和污染区工作特点,选用基于USB Key的电子签名方案。开展诊疗工作前,医护人员需要预先通过鉴别服务器(AS)对各类诊疗终端进行网络接入认证,确保网络接入的安全性。开展诊疗工作时,医护人员基于USB Key完成电子病案签署,实现诊疗全流程无纸化,有效阻断潜在的疫情传播风险。
无线医疗终端接入认证的业务流程如下图所示:
三、 方案优势
(一)提升方舱医院无线网络安全性
基于WAPI安全无线接入技术,为各地方舱医院相关医疗业务提供安全、灵活、泛在的网络接入服务。WAPI采用数字证书的身份鉴别机制,在协议中通信方使用自己的私钥生成签名,身份无法伪造,具备PFS(完善前向保密)、non-KCI(非密钥泄露伪装)、non-UKS(未知密钥共享)等性质,提高了网络接入的安全性。
(二)基于无纸化降低病毒传播风险
针对方舱医院清洁区、半污染区、污染区的特殊情况,在不同环境下为医护人员提供了灵活便捷的电子签名应用方案,有效防止因诊疗导致的病毒扩展风险。
(三)符合网络安全政策和标准要求
符合《网络安全法》《密码法》《电子签名法》等法律法规,采用公钥密码技术,使用国密对称密码体制的SM4算法,核心密码模块实现安全自主可控。
本文由北京数字认证股份有限公司、深圳市信锐网科技术有限公司联合供稿,WAPI产业联盟编辑整理。
|