創建于1951年的南京醫科大學第二附屬醫院（簡稱“南京醫科大二附院”）坐落在秦淮河畔古城墻邊，目前有姜家園院區、薩家灣院區和邁皋橋院區三個院區，共有2500張編制床位，年門急診量228.6萬人次。“醫院組建了跨越‘省—市—區’三級城市緊密性醫聯體，借助信息化手段進行了統一管理。”南京醫科大二附院信息化建設與管理處處長張代華在CHIMA 2024演講時介紹，醫院同時建成了三個機房，對數據中心進行了重構。

　　張代華談到，醫院建設機房時，主要提出了以下要求：滿足后續建設智慧醫院需要的基礎設施平臺；滿足支撐后續多院區不少于2萬門診量的基礎架構；滿足各類評審及評級要求；滿足多院區業務連續性的高要求；解決醫院當時沒有合適機房選址的棘手問題。在具體實踐中，南京醫科大二附院租賃了兩個運營商IDC的機房，核心機房放在電信IDC機房，容災機房放在聯通IDC機房，備份機房設在姜家園院區，三個數據中心采取自建的模式，自購設備，自己設計，自己運維，自主可控。

　　張代華指出，租賃運營商機房這種模式具有以下優勢：及時性，可馬上投入使用，無建設周期；維護性，無需額外維護、擴展性強；安全性，由專業公司提供5A級基礎設施保障，由多個運營商提供多條路由線路；性價比高，節省了機房初期建設經費，節約了醫院用房。“在線路上，我們采用了主裸光纖+備裸光纖+5G的模式，確保了網絡的鏈路安全。”

　　數據中心建設過程中，如何確保系統和數據安全非常關鍵。“安全是醫療信息人面臨的永恒話題和永恒困難。”張代華強調，醫院在實踐中，設計了多地多活數據中心的安全架構。

樹立信息安全屏障

　　南京醫科大二附院的數據中心建設共有五大形態：租賃運營商機房，租賃了2個位于不同區域的不同運營商機房，同時承載醫院多個院區的業務底層架構；多鏈路保障，每個數據中心之間以及和各院區之間均采用了主備裸光纖、應急5G切片網絡；軟件定義，主要定義了計算、存儲和網絡，實現SDDC數據中心，提升運營效率；數據安全體系，醫院建立了針對虛擬化平臺、數據庫平臺的備份、容災、雙活體系架構；網絡安全體系建設，醫院利用全網態勢感知聯動威脅處置，并結合已經落地的安全白名單機制，全面提升安全運維能力。

　　南京醫科大二附院的數據中心創新性采用多地多活的建設方式，在數據中心網絡建設中應用了SDN Uderlay網絡，啟用分布式網關，在姜家園院區數據中心、電信數據中心和聯通災備中心配置了3個Border出口，搭建了多院區互聯網絡，實現多地多活，冗余互聯。

　　“我們結合SDN提供的大二層網絡，雙活數據中心分別部署超融合服務器，利用超融合平臺延展集群技術，構建橫跨不同地域數據中心的雙活超融合集群平臺，實現業務虛擬化在多中心平滑遷移與切換。”張代華談到，通過多類型架構混合組網，提供高可靠性的多院區互聯網絡。

　　在網絡安全方面，醫院采取了以下形式：多網融合，內網、影像網、設備網、無線網、物聯網、5G網等融合建設，邏輯聯通，實現醫療數據的安全運行；云網融合，實現健康私有云和網絡SDN控制器的協同，提升醫院業務上線速度，提升資源利用率，簡化運維管理難度，實現資源和業務的平滑遷移；無線物聯融合，通過物聯網AP，統一承載Wi-Fi、藍牙、RFID等射頻，節約建設，避免重復建設，平滑升級人員、資產、智能化等醫療物聯網應用；網安融合，改變醫療安全被動響應的現狀，SDN控制器和網絡安全系統聯動，將威脅分鐘級閉環處置，大幅提升醫院網絡的威脅防御能力，構建醫院全網主動防御體系。

　　“我們采用扁平化SDN網絡，消除了傳統的三層架構，提升了架構安全性。同時，SDN數據中心多出口、多院區互聯，提升出口運行效率同時提升鏈路安全性。”張代華談到，醫院加強了物理鏈路和鏈路架構的安全，在姜家園院區和薩家灣院區各架構一臺5G路由器作為5G專線鏈路備份方案，實現了云網協同，方便分鐘級業務按需自動安全上線。

　　在數據安全方面，醫院通過采用雙活、連續保護、容災、備份、歸檔等全方位數據保護措施，保障業務數據安全。醫院通過數據庫、超融合、雙活架構，保障數據庫的業務連續性和數據安全。張代華進一步指出：“我們以數據流量為中心，治理API數據暴露面，對數據攻擊行為持續發現。”

　　在運維安全方面，醫院開展了等保合規體系建設，重塑安全邊界，實現了全局可視安全治理，加強數據中心核心安全，實現高效安全運維，通過全面的網絡安全防護體系滿足等保2.0合規建設。張代華指出：“在實踐中，我們引入了安全可視化運維，對攻擊追溯實現可視化，建立遠程運維黑名單訪問控制，進行業務上線安全監測，規劃化處置安全事件，物理設備環境實現可視化智能運維，建立了3D可視化運維中心。”

　　“我們的數據中心網絡和信息安全建設，是經過規劃和設計的，使整個安全處于可控狀態。安全，難，但并不神秘。通過有效的規劃設計可建立全方位的安全保障。”張代華總結道。