當前，隨著醫(yī)院信息化建設在各大醫(yī)院相繼開展，大數(shù)據(jù)平臺、全院PACS、電子病歷等信息系統(tǒng)的應用越來越廣泛，保障醫(yī)院網(wǎng)絡安全的重要性日益凸顯。在CHIMA 2020大會上，海軍軍醫(yī)大學第一附屬醫(yī)院信息科主任王志勇針對“網(wǎng)絡安全新形勢下醫(yī)院基礎設施建設”這一話題進行了詳細解讀。

以下內(nèi)容為根據(jù)王志勇主任演講內(nèi)容整理。

醫(yī)療行業(yè)網(wǎng)絡安全現(xiàn)狀不容樂觀，主要體現(xiàn)為以下幾點：勒索病毒高發(fā)；漏洞導致信息泄露嚴重；主機安全隱患較高；等保建設還需加強?；诖耍t(yī)院網(wǎng)絡安全越來越受重視：衛(wèi)健行政主管部門對網(wǎng)絡安全高度警覺；各級醫(yī)院的一把手都高度重視網(wǎng)絡安全建設；加強醫(yī)療衛(wèi)生領域的數(shù)據(jù)保護立法勢在必行。等保合規(guī)是安全的底線，等保2.0比1.0要求更高，執(zhí)行更嚴，從基本合規(guī)向防御實效演進。

新形勢下醫(yī)院建設呈現(xiàn)為以人為本、整體智慧、持續(xù)演進的發(fā)展方向。未來智慧醫(yī)院建設方向是全感知、全聯(lián)接、全智能，主要體現(xiàn)為以下幾點：新技術(shù)，包括5G、AI、云計算、邊云協(xié)同；新體驗，面向患者的全流程、全生命周期健康管理；新模式，面向醫(yī)護人員的疾病診斷和治療模式創(chuàng)新，以及數(shù)據(jù)驅(qū)動決策、科研創(chuàng)新；新運營，面向管理者的可視、可管、可控、精細化運營；新生態(tài)，體現(xiàn)為持續(xù)創(chuàng)新等。

醫(yī)院基礎設施建設是驅(qū)動醫(yī)療服務、醫(yī)院管理創(chuàng)新和成功的基石，醫(yī)院內(nèi)外關鍵信息技術(shù)與架構(gòu)應用已呈智慧化趨勢。

醫(yī)院的基礎設施安全+網(wǎng)絡安全有助打造堅實的數(shù)據(jù)中心安全體系。其中，基礎設施安全包括以下內(nèi)容：器件級，主要是指耗損器件壽命預測失效預警；設備級，關鍵節(jié)點溫度AI預測等；系統(tǒng)級，圖像聲音識別以及全鏈路AI預測性維護。而網(wǎng)絡安全主要面向產(chǎn)品全生命周期，包括設計、開發(fā)、預警、使用等，體現(xiàn)為智能跟蹤、智能防御和智能韌性。

云邊端一體化AI方案滿足醫(yī)療創(chuàng)新應用：云主要體現(xiàn)為實現(xiàn)邊云協(xié)同，進行人臉識別、藥品識別和行為識別，構(gòu)建醫(yī)保知識庫、藥學知識庫、臨床診療知識庫和醫(yī)學術(shù)語庫；邊主要體現(xiàn)為AI推理模型邊緣運行；端主要包括高清攝像機、醫(yī)保估算終端等各種終端。

醫(yī)療5G網(wǎng)絡架構(gòu)承載臨床、科研、應急、后勤設備高效接入，主要分為以下三部分：院內(nèi)5G醫(yī)療專網(wǎng)，主要開展院內(nèi)的無線監(jiān)測、視頻診斷、移動OA等；院間5G醫(yī)療專網(wǎng)，主要開展遠程的無線監(jiān)測、視頻診斷等；院外5G醫(yī)療專網(wǎng)，主要包括急救醫(yī)療云等。

當前，醫(yī)院數(shù)據(jù)中心基礎設施建設面臨以下挑戰(zhàn)：建設周期長，工程復雜；無法彈性擴容，難以支持未來演進；高PUE，中大型數(shù)據(jù)中心三年電費非常高；依賴人工運維。

未來，數(shù)據(jù)中心基礎設施應用呈現(xiàn)模塊化+智能化趨勢，有助于大幅減少工程量、低PUE、彈性靈活、智能維護，并最大化數(shù)據(jù)中心基礎設施價值。AI助力醫(yī)院下一代數(shù)據(jù)中心更加智能化，主要體現(xiàn)為以下幾點：極簡，實現(xiàn)全模塊化、全預制化；綠色，省電、環(huán)境友好；智能，自動運維、智能運營，全生命周期提升營維效率和降低能耗；安全，故障預測、安全可信。

醫(yī)院網(wǎng)絡安全主要是建設“一個中心”管理下的“三重防護”體系，加強核心信息資產(chǎn)保護，實現(xiàn)計算環(huán)境安全防護、區(qū)域邊界安全防護和通信網(wǎng)絡安全防護。當醫(yī)院面臨安全威脅時，可采取以下方式阻攔：防火墻更新IPS簽名，獲得已知的惡意軟件、木馬、病毒簽名信息；安全沙箱虛擬執(zhí)行加多維度威脅分析，以方便檢測到勒索病毒；交換機/防火墻開啟誘捕，識別內(nèi)網(wǎng)IP&端口掃描等。

目前，醫(yī)院采取的網(wǎng)絡安全方案關鍵點主要是主動誘捕、精確鎖定攻擊源、實現(xiàn)主動防御。同時，AI會幫助防火墻解決當前NGFW以簽名方式解決不了的新威脅。

醫(yī)院信息系統(tǒng)上云主要包括以下內(nèi)容：HIS系統(tǒng)部分模塊云化；HIS核心系統(tǒng)容災建設；部分非核心系統(tǒng)上云；影像存儲數(shù)據(jù)上云，其余所有數(shù)據(jù)云上備份；建設云化醫(yī)療大數(shù)據(jù)平臺；醫(yī)聯(lián)體系統(tǒng)上云。

在具體實踐中，醫(yī)院上云可采取以下原則：業(yè)務系統(tǒng)部署原則，主要方式包括核心系統(tǒng)和部分內(nèi)網(wǎng)訪問的非核心系統(tǒng)放在私有云、部分非核心系統(tǒng)部署在公有云等；業(yè)務系統(tǒng)使用云資源原則，主要包括業(yè)務系統(tǒng)使用虛擬機+I/O存儲、HIS數(shù)據(jù)庫獨占物理機+I/O存儲、資源池均使用主流4張10GE網(wǎng)口；容量設計原則，主要指計算資源按20%冗余設計、提供的物理機需要做HA高可靠資源冗余設計等；安全原則，院內(nèi)數(shù)據(jù)放在私有云上、滿足等保三級要求、上云業(yè)務的互聯(lián)網(wǎng)出口需在醫(yī)院本地等。

為確保云平臺安全，可進行兩地三中心容災方案設計。在整體上，可進行同城主備容災，異地使用災備云做數(shù)據(jù)備份，并對應用層和數(shù)據(jù)庫進行備份。該方案具有高可靠、高彈性的特點，可有效保障云平臺安全運行。