许杰：医院一体化新系统升级安全策略与实践

　　创建于1869年的浙江大学医学院附属第二医院(简称“浙大二院”)今年迎来155周年华诞。医院综合实力稳居全国第一方阵前列，医疗服务能力在全国领先。“医院在发展过程中，落后的生产力技术无法满足医院高质量发展的需求，陈旧的HIS系统难以支撑医院发展。”浙大二院人工智能与信息化部副主任许杰在CHIMA 2024大会演讲时介绍，持续建设超过二十年的陈旧HIS系统存在以下挑战：系统独立分散，功能整合困难；系统架构落后，运维迭代困难；数据接口复杂，互联互通困难；数据治理不足，统计分析困难。

　　基于此，浙大二院着手推进HIS+EMR一体化新系统升级。医院HIS系统升级安全不仅仅是技术层面问题，还需要从业务和管理视角进行统筹安排和管理。在进行新系统升级前，许杰及其同事重点考虑了事关新系统升级的几个焦点问题：(1)技术目标：有效解决旧系统技术落后、效率低下问题；(2)业务目标：在新旧更替时实现理念植入，设计优化，兼顾历史传承和发展创新；(3)管理目标：有效控制系统升级过程中必然存在的技术风险和业务风险；(4)过程目标：全面有效组织全院科室分工协作和全员参与，实现安全平稳升级系统。

系统升级过程安全管控

　　许杰介绍，系统升级过程中，面临着以下安全挑战：信息部门牵头主导，多部门配合；产品定制开发需求量巨大；多院区新旧系统一体运行；人员素质和数量严重不足；新系统真实效果难以掌控；保障新系统安全稳定运行。

　　他建议，系统升级时可采取以下策略：设计升级蓝图，明确新系统升级的目标与需求，合理制定完整的升级规划；调配协同人力，建立项目所必要的角色人员工作协同机制；分解分步实施，制定分模块、分阶段的升级实施计划；强化过程管理，执行规范、合理、有效的项目全过程管理；高效沟通决策，对问题和需求进行分类分级，及时做出灵活有效的决策；技术风险控制，做好技术风险管理与应急处置，确保升级过程中业务稳定性。

　　在具体实践中，浙大二院于2021年11月启动了HIS+EMR一体化新系统升级项目，分四个阶段顺利完成了整个系统的升级，具体阶段工作重点包括：(1)调研规划阶段：成立项目领导小组、开展项目需求调研、规划项目整体方案、细化项目人员分工；(2)开发测试阶段：制定开发实施计划、协调开发实施资源、规范需求闭环管理、组织功能流程测试；(3)升级上线阶段：制定升级上线方案、协调动员全院科室、组织测试安排培训、做好升级技术保障；(4)维稳优化阶段：源头修复问题错误、持续优化系统体验、规范需求分析管理、提升主动服务能力。

　　浙大二院HIS+EMR一体化新系统整体架构分为基础设施层、服务层和应用层3层：

　　1.基础设施层。除了最基础的服务器、网络和数据库外。云化基础设施方面采用了Agent集群通信、Consul集群监控、Docker容器、Kubernetes容器管理、负载均衡技术、DevOps开发自动化、运维监控平台，基于云化基础设施构建的云原生技术中台实现了微服务框架、分布式缓存、消息列队管理、自动化运维等软件应用底层能力。

　　2.服务层。主要应用于软件服务架构，分为微服务业务领域、信息交换平台(ESB)、数据处理中心和AI知识服务平台四部分。

　　3.应用层。在基础应用方面提供各类基于微服务架构的应用，包含运营类、临床类、医技治疗类、临床管理类4大类应用覆盖医院核心应用场景30多个系统及90多个系统接口。同时提供基于数据中心的临床分析预警、运营预警分析两大类运营监管应用，以及基于AI知识服务平台的各类辅助决策支持应用。

　　“我们以多院区业务稳定运行为底线，在人财物投入极其有限的项目背景下，形成资源局部优势，化繁为简，各个击破。”许杰介绍，通过这一策略，医院逐步分系统、分院区依次完成了住院护理文书系统、集成平台和统一支付平台、第三方系统对接和改造、入院准备中心系统、门诊业务系统、住院业务系统和急诊业务系统的升级。

　　“在升级过程中，新老系统并行依赖核心数据的自动同步，以满足临床诊疗需要。”许杰强调，这主要包括病人档案信息、门诊病历信息和住院申请信息的新老系统双向同步以及历史检验检查结果信息同步等。

　　浙大二院新老系统并行，高度依赖全院业务科室联动支持，包括跨系统转科、跨系统会诊、跨院区门诊复诊等，需要高度重视加强过程管理，设置关键评价指标，落实工作清单，定期复盘并分析决策，落实人员的调配与协同。

系统升级风险预防管控

　　许杰表示，为降低终端设备适配性和可用性风险，医院非常重视升级前IT设备资产清查和管理，采取了以下措施：张贴设备资产标签，进行设备资产登记，对设备分类巡检，制定设备巡检标准，扫码记录巡检结果。

　　“我们在开展实施和运维风险管控时，特别注重系统资产及权限管控，对服务器、软件、数据库和数据等采取‘网格化’责任到人，‘最小必要’授权原则。”许杰指出，医院重视数据库运维管控和审计，实行生产账号与运维账号分离，对工程师运维权限进行管控和监测，对数据库操作行为进行追溯，直接阻断数据库的高危操作。

　　在新系统安全能力方面，医院采取服务认证与授权、请求加密/过滤/限流、微服务节点负载、数据库/中间件入侵防御、漏洞扫描、灰度发布等措施，保障信息系统运行安全。由于新系统组件多、集群多、链路复杂，导致安全管控和运维排错复杂，为此医院构建了一体化运维服务平台，实现了多院区一站式标准化运维流程管理。

　　在故障应急响应方面，浙大二院采取了以下措施：建立统一服务台/值班机制，发现故障后及时上报；重要问题及时发起电话会议，通报科室主管，团队协同处理；聚焦根因分析，分配牵头调查人组织分析故障原因；重视改进措施，制定具体改进计划并确认预计完成时间；组织科会讨论，不定期对最近发生故障和不良事件进行回顾总结。

　　许杰介绍，浙大二院在系统升级过程中，由核心领导管理层带领，组建了紧密协作的团队，明确了稳定优先、分步实施、按院区上线的策略，重点构建集成平台、数据中心和入院准备中心等枢纽系统，保障了新老系统核心数据衔接、提升过渡期的用户体验和配合度，制定了详实可落地的升级方案，同时在升级期兼顾需求精准定级、快速响应和系统维稳。

　　“为了有效应对新系统升级安全风险，我们将加强信息系统安全管理纳入2024年度医院患者安全目标，主要通过规划设计、部署实施、服务运营和持续改进等方法加强管理体系顶层设计，并通过信息系统不良事件监测、信息系统故障监测、信息系统故障风险评估和信息安全PDCA质量改进等措施加强管理成效监测与改进，由此强化医院网络与信息安全管理能力。”许杰总结道。