當前，隨著醫院信息化建設在各大醫院相繼開展，大數據平臺、全院PACS、電子病歷等信息系統的應用越來越廣泛，保障醫院網絡安全的重要性日益凸顯。在CHIMA 2020大會上，海軍軍醫大學第一附屬醫院信息科主任王志勇針對“網絡安全新形勢下醫院基礎設施建設”這一話題進行了詳細解讀。

以下內容為根據王志勇主任演講內容整理。

醫療行業網絡安全現狀不容樂觀，主要體現為以下幾點：勒索病毒高發；漏洞導致信息泄露嚴重；主機安全隱患較高；等保建設還需加強。基于此，醫院網絡安全越來越受重視：衛健行政主管部門對網絡安全高度警覺；各級醫院的一把手都高度重視網絡安全建設；加強醫療衛生領域的數據保護立法勢在必行。等保合規是安全的底線，等保2.0比1.0要求更高，執行更嚴，從基本合規向防御實效演進。

新形勢下醫院建設呈現為以人為本、整體智慧、持續演進的發展方向。未來智慧醫院建設方向是全感知、全聯接、全智能，主要體現為以下幾點：新技術，包括5G、AI、云計算、邊云協同；新體驗，面向患者的全流程、全生命周期健康管理；新模式，面向醫護人員的疾病診斷和治療模式創新，以及數據驅動決策、科研創新；新運營，面向管理者的可視、可管、可控、精細化運營；新生態，體現為持續創新等。

醫院基礎設施建設是驅動醫療服務、醫院管理創新和成功的基石，醫院內外關鍵信息技術與架構應用已呈智慧化趨勢。

醫院的基礎設施安全+網絡安全有助打造堅實的數據中心安全體系。其中，基礎設施安全包括以下內容：器件級，主要是指耗損器件壽命預測失效預警；設備級，關鍵節點溫度AI預測等；系統級，圖像聲音識別以及全鏈路AI預測性維護。而網絡安全主要面向產品全生命周期，包括設計、開發、預警、使用等，體現為智能跟蹤、智能防御和智能韌性。

云邊端一體化AI方案滿足醫療創新應用：云主要體現為實現邊云協同，進行人臉識別、藥品識別和行為識別，構建醫保知識庫、藥學知識庫、臨床診療知識庫和醫學術語庫；邊主要體現為AI推理模型邊緣運行；端主要包括高清攝像機、醫保估算終端等各種終端。

醫療5G網絡架構承載臨床、科研、應急、后勤設備高效接入，主要分為以下三部分：院內5G醫療專網，主要開展院內的無線監測、視頻診斷、移動OA等；院間5G醫療專網，主要開展遠程的無線監測、視頻診斷等；院外5G醫療專網，主要包括急救醫療云等。

當前，醫院數據中心基礎設施建設面臨以下挑戰：建設周期長，工程復雜；無法彈性擴容，難以支持未來演進；高PUE，中大型數據中心三年電費非常高；依賴人工運維。

未來，數據中心基礎設施應用呈現模塊化+智能化趨勢，有助于大幅減少工程量、低PUE、彈性靈活、智能維護，并最大化數據中心基礎設施價值。AI助力醫院下一代數據中心更加智能化，主要體現為以下幾點：極簡，實現全模塊化、全預制化；綠色，省電、環境友好；智能，自動運維、智能運營，全生命周期提升營維效率和降低能耗；安全，故障預測、安全可信。

醫院網絡安全主要是建設“一個中心”管理下的“三重防護”體系，加強核心信息資產保護，實現計算環境安全防護、區域邊界安全防護和通信網絡安全防護。當醫院面臨安全威脅時，可采取以下方式阻攔：防火墻更新IPS簽名，獲得已知的惡意軟件、木馬、病毒簽名信息；安全沙箱虛擬執行加多維度威脅分析，以方便檢測到勒索病毒；交換機/防火墻開啟誘捕，識別內網IP&端口掃描等。

目前，醫院采取的網絡安全方案關鍵點主要是主動誘捕、精確鎖定攻擊源、實現主動防御。同時，AI會幫助防火墻解決當前NGFW以簽名方式解決不了的新威脅。

醫院信息系統上云主要包括以下內容：HIS系統部分模塊云化；HIS核心系統容災建設；部分非核心系統上云；影像存儲數據上云，其余所有數據云上備份；建設云化醫療大數據平臺；醫聯體系統上云。

在具體實踐中，醫院上云可采取以下原則：業務系統部署原則，主要方式包括核心系統和部分內網訪問的非核心系統放在私有云、部分非核心系統部署在公有云等；業務系統使用云資源原則，主要包括業務系統使用虛擬機+I/O存儲、HIS數據庫獨占物理機+I/O存儲、資源池均使用主流4張10GE網口；容量設計原則，主要指計算資源按20%冗余設計、提供的物理機需要做HA高可靠資源冗余設計等；安全原則，院內數據放在私有云上、滿足等保三級要求、上云業務的互聯網出口需在醫院本地等。

為確保云平臺安全，可進行兩地三中心容災方案設計。在整體上，可進行同城主備容災，異地使用災備云做數據備份，并對應用層和數據庫進行備份。該方案具有高可靠、高彈性的特點，可有效保障云平臺安全運行。