（賀蘭縣人民醫(yī)院 信息中心 寧夏 750200）

2019 年4 月，國家衛(wèi)生健康委發(fā)布《關(guān)于進(jìn)一步加強(qiáng)貧困地區(qū)衛(wèi)生健康人才隊(duì)伍建設(shè)的通知》（國衛(wèi)辦人函[2019]329 號），文件要求圍繞“縣要強(qiáng)、鄉(xiāng)要活、村要穩(wěn)、上下聯(lián)、信息通”機(jī)制，加強(qiáng)縣域醫(yī)療共同體、鄉(xiāng)村一體化建設(shè)。在政策引領(lǐng)下，寧夏某縣積極推進(jìn)醫(yī)共體信息平臺建設(shè)，其中以“互聯(lián)網(wǎng)+”形式建設(shè)擁有優(yōu)勢醫(yī)療資源的縣級醫(yī)院為主導(dǎo)、覆蓋社區(qū)衛(wèi)生服務(wù)站和基層醫(yī)療機(jī)構(gòu)的區(qū)域醫(yī)療平臺，是推進(jìn)國家醫(yī)改，促進(jìn)醫(yī)療服務(wù)均等化，提高縣域衛(wèi)生服務(wù)質(zhì)量的有效手段。但區(qū)域醫(yī)療包含醫(yī)療機(jī)構(gòu)多且業(yè)務(wù)復(fù)雜，在打破機(jī)構(gòu)間信息數(shù)據(jù)壁壘、優(yōu)化醫(yī)療資源的同時(shí)，有效保護(hù)患者隱私安全，完善信息安全體系建設(shè)就更顯得尤為重要。

1 概述

按照國家衛(wèi)生健康委發(fā)布的《醫(yī)療聯(lián)合體管理辦法（試行）》要求，要充分發(fā)揮縣域醫(yī)共體對基層的帶動(dòng)作用，明確要按照“規(guī)劃發(fā)展、分區(qū)包段、防治結(jié)合、行業(yè)監(jiān)管”的原則加以規(guī)劃、布局、建設(shè)。區(qū)域醫(yī)療信息化建設(shè)一般包含整個(gè)區(qū)域的所有醫(yī)療機(jī)構(gòu)，以某縣為例，醫(yī)共體由縣衛(wèi)生健康局牽頭建設(shè)，以縣人民醫(yī)院為核心，包括縣級5家醫(yī)院（含2 家民營醫(yī)院）、8 家鄉(xiāng)鎮(zhèn)衛(wèi)生院、11 家社區(qū)衛(wèi)生服務(wù)站和54 所村衛(wèi)生室。區(qū)域醫(yī)療平臺存儲大量居民個(gè)人隱私敏感信息，確保隱私信息網(wǎng)絡(luò)的安全保障，是規(guī)劃建設(shè)區(qū)域醫(yī)療信息平臺的首要問題。

網(wǎng)絡(luò)的開放性和共享性以及協(xié)議的安全漏洞決定了網(wǎng)絡(luò)中面臨著多層次、多種類的安全攻擊。而區(qū)域醫(yī)療平臺的應(yīng)用特性決定了在運(yùn)行過程，任何一個(gè)終端節(jié)點(diǎn)出現(xiàn)問題，會直接影響到整個(gè)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)安全。整個(gè)區(qū)域內(nèi)任何一個(gè)醫(yī)療結(jié)構(gòu)與平臺的業(yè)務(wù)數(shù)據(jù)交互，都存在獲取患者個(gè)人隱私和診療數(shù)據(jù)，有信息泄露風(fēng)險(xiǎn)。因此在區(qū)域醫(yī)療信息安全系統(tǒng)建設(shè)中，摒棄傳統(tǒng)機(jī)構(gòu)之間“各掃門前雪”的獨(dú)立防護(hù)做法，將所有區(qū)域內(nèi)醫(yī)療機(jī)構(gòu)均作為一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，進(jìn)行整體安全防護(hù)，分層分級進(jìn)行安全基礎(chǔ)設(shè)施部署，并形成統(tǒng)一的信息安全管理規(guī)范，充分考慮可靠性、可擴(kuò)展性及易于管理要求，建設(shè)穩(wěn)定可靠的區(qū)域醫(yī)療信息安全體系。

2 區(qū)域醫(yī)療網(wǎng)絡(luò)安全分析

區(qū)域醫(yī)療信息化旨在建立統(tǒng)一的區(qū)域數(shù)據(jù)中心和信息平臺，完善和整合區(qū)域內(nèi)各級各類醫(yī)療機(jī)構(gòu)的信息系統(tǒng)，實(shí)現(xiàn)對醫(yī)療信息的全面共享、利用、挖掘和信息系統(tǒng)的互聯(lián)互通，從而輔助和支持開展患者服務(wù)、信息共享、資源預(yù)約、雙向轉(zhuǎn)診、影像會診、綜合監(jiān)管等業(yè)務(wù)[1]。區(qū)域醫(yī)療分支節(jié)點(diǎn)眾多且應(yīng)用系統(tǒng)繁多，不同于獨(dú)立機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)，其安全體系建設(shè)獨(dú)特性分析如下：

（1）區(qū)域醫(yī)療一方面需滿足網(wǎng)絡(luò)安全等級保護(hù)2.0 和《網(wǎng)絡(luò)安全法》等安全合規(guī)性需求，還需要在三醫(yī)聯(lián)動(dòng)趨勢加速、互聯(lián)網(wǎng)醫(yī)療迅速發(fā)展、院內(nèi)外網(wǎng)絡(luò)邊界被打破、醫(yī)療信息安全形勢日益嚴(yán)峻的今天，充分保障整個(gè)區(qū)域內(nèi)的醫(yī)療業(yè)務(wù)和數(shù)據(jù)安全不受威脅，居民的健康數(shù)據(jù)不被竊取。如何統(tǒng)籌規(guī)劃頂層體系建設(shè)，使之既能充分發(fā)揮區(qū)域醫(yī)療互聯(lián)互通、開放共享、時(shí)效性高的特點(diǎn)，又能抵御各種安全新威脅，切實(shí)地解決安全問題，減少事故發(fā)生的概率，是區(qū)域醫(yī)療安全架構(gòu)的必然要求和重點(diǎn)關(guān)注部分。

（2）區(qū)域醫(yī)療有數(shù)十個(gè)甚至上百個(gè)分支節(jié)點(diǎn)，隨之而來分支安全、集中管理、運(yùn)維要求也非常迫切。如何解決分支架構(gòu)復(fù)雜、安全建設(shè)成本高、無法統(tǒng)一運(yùn)維的問題也是信息建設(shè)中的重中之重。分支節(jié)點(diǎn)安全設(shè)備部署和環(huán)境改造也存在實(shí)施周期長和建設(shè)成本高、設(shè)備堆疊導(dǎo)致單點(diǎn)故障頻發(fā)等問題。

3 區(qū)域醫(yī)療網(wǎng)絡(luò)安全體系建設(shè)

3.1 項(xiàng)目建設(shè)原則

區(qū)域醫(yī)療安全體系建設(shè)是一個(gè)復(fù)雜而龐大的系統(tǒng)工程，系統(tǒng)設(shè)計(jì)和建設(shè)實(shí)施必須有一個(gè)統(tǒng)一的思想，統(tǒng)一的原則，按照統(tǒng)一的步驟進(jìn)行。某縣在縣衛(wèi)生健康局統(tǒng)籌規(guī)劃下，堅(jiān)持“規(guī)劃自上而下，保證整體性；實(shí)施自下而上，保證可行性”的原則，在區(qū)域醫(yī)療背景下，以全縣醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全一盤棋的總體思想，劃分為核心資源安全區(qū)、接入資源安全區(qū)和數(shù)據(jù)交換安全區(qū)，以統(tǒng)一的整體逐步實(shí)現(xiàn)區(qū)域醫(yī)療信息安全的目標(biāo)。

圖1 某縣區(qū)域醫(yī)療網(wǎng)絡(luò)安全基礎(chǔ)框架

3.2 安全體系建設(shè)

3.2.1 核心資源區(qū)安全

縣域主數(shù)據(jù)中心基于VMware vSAN 超融合架構(gòu)，建設(shè)以縣人民醫(yī)院為主資源池、縣中醫(yī)醫(yī)院副資源池的全閃存虛擬化雙活中心，容災(zāi)備份中心在寧夏衛(wèi)生醫(yī)療云上。數(shù)據(jù)中心提供整個(gè)硬件基礎(chǔ)資源服務(wù)，通過下一代防火墻、安全入侵檢測、安全態(tài)勢感知、EDR 聯(lián)動(dòng)、軟件定義安全等對整個(gè)核心資源區(qū)平臺做統(tǒng)一的安全防護(hù)。引入大二層VxLAN 技術(shù)，一方面有效提升云計(jì)算中心的整體擴(kuò)展性，同時(shí)也實(shí)現(xiàn)多集群環(huán)境下的安全隔離。核心資源區(qū)管理調(diào)度統(tǒng)一通過虛擬資源層和物理資源層對計(jì)算存儲資源統(tǒng)一分配、管理、調(diào)度和使用，醫(yī)療業(yè)務(wù)層通過接口實(shí)現(xiàn)對資源的使用和控制。

3.2.2 數(shù)據(jù)交換資源區(qū)安全

數(shù)據(jù)交換區(qū)主要是邊界安全體系建設(shè)，依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》中的三級系統(tǒng)“通用安全區(qū)域邊界設(shè)計(jì)技術(shù)要求”，數(shù)據(jù)交換資源區(qū)安全包括區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界完整性保護(hù)、入侵防范、惡意代碼防范和垃圾郵件防范[2]、可信驗(yàn)證等方面。在數(shù)據(jù)交換資源安全區(qū)，對所有流經(jīng)邊界防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為[3]。對終端節(jié)點(diǎn)訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行記錄，網(wǎng)絡(luò)邊界防火墻的審計(jì)記錄實(shí)時(shí)傳輸至日志審計(jì)系統(tǒng)，結(jié)合應(yīng)用系統(tǒng)和其他設(shè)備的審計(jì)記錄進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)問題及時(shí)報(bào)警。利用態(tài)勢感知和可信驗(yàn)證技術(shù)從基于全網(wǎng)的全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力。

3.2.3 接入資源區(qū)安全

在區(qū)域醫(yī)療環(huán)境中，接入資源區(qū)有廣義和狹義之分。廣義接入資源區(qū)指除數(shù)據(jù)中心外的所有終端接入，狹義接入資源區(qū)以醫(yī)療機(jī)構(gòu)為區(qū)域劃分作終端節(jié)點(diǎn)。本文為更好凸顯和展現(xiàn)區(qū)域醫(yī)療網(wǎng)絡(luò)安全建設(shè)，以狹義醫(yī)療機(jī)構(gòu)為節(jié)點(diǎn)進(jìn)行接入資源安全講述。

在區(qū)域醫(yī)療場景下，為保障網(wǎng)絡(luò)數(shù)據(jù)安全，需要以區(qū)域?yàn)檎w來規(guī)劃部署安全體系。但醫(yī)療機(jī)構(gòu)節(jié)點(diǎn)通常有幾十到上百個(gè)，以某縣為例，區(qū)域醫(yī)療平臺需要連接近80家醫(yī)療機(jī)構(gòu)，每一個(gè)節(jié)點(diǎn)均存在安全隱患，如果獨(dú)立建設(shè)，在成本投入和人力維護(hù)方面均存在很大難度?；诮尤胭Y源區(qū)的業(yè)務(wù)特點(diǎn)，縣衛(wèi)健局采用桌面云服務(wù)架構(gòu)，為區(qū)域內(nèi)包括社區(qū)衛(wèi)生服務(wù)站、鄉(xiāng)鎮(zhèn)衛(wèi)生院、村衛(wèi)生室在內(nèi)的基層醫(yī)療機(jī)構(gòu)提供一站式、高性價(jià)比桌面云方案。整套方案只需要云終端、桌面云一體機(jī)（包括虛擬桌面控制器、服務(wù)器虛擬化、存儲虛擬化等軟件平臺）兩種硬件，即可完成桌面云的快速搭建。這樣終端節(jié)點(diǎn)的大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)均保存在核心服務(wù)器中，桌面云的升級、變更、維護(hù)等工作全部交由管理平臺統(tǒng)一管理，在后臺進(jìn)行集中發(fā)布、配置和更新，接入終端無須進(jìn)行任何操作即可獲得最新的應(yīng)用和服務(wù)。

圖2 接入資源區(qū)安全

4 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全體系建設(shè)是區(qū)域醫(yī)療信息平臺建設(shè)的首要問題，采取有效的安全防護(hù)技術(shù)和措施，可以為醫(yī)療信息系統(tǒng)安全提供有力保障，從而最大化的發(fā)揮區(qū)域醫(yī)療信息共享系統(tǒng)的積極作用[4]。某縣在區(qū)域醫(yī)療平臺下的網(wǎng)絡(luò)安全規(guī)劃建設(shè)中，加強(qiáng)頂層設(shè)計(jì)，將全縣衛(wèi)生醫(yī)療機(jī)構(gòu)納入網(wǎng)絡(luò)安全建設(shè)整體中，劃分三大安全資源區(qū)，建設(shè)從內(nèi)到外的立體化網(wǎng)絡(luò)安全防護(hù)框架，為區(qū)域醫(yī)療信息安全提供全方位保護(hù)，有效保障信息平臺的業(yè)務(wù)安全和連續(xù)性，達(dá)到良好的安全應(yīng)用實(shí)踐效果。