王坤：安全基座夯实科研数据处理平台建设

　　新疆维吾尔自治区人民医院经过近90年的发展历程，已成为新疆地区规模最大、综合实力最强的医疗机构之一。医院在科研、教学等领域取得了诸多成就，拥有1个国家级委省共建重点实验室，11个临床医学研究中心，2个自治区重点实验室，1个标准化生物样本库，以及2个重点住培专业基地，3家高校教学医院，2个国家级规培基地。在信息化建设领域，医院在2015年通过电子病历系统应用水平分级评价6级，成为西北地区首批通过6级的医疗机构；2019年又通过了国家医疗健康信息互联互通标准化四级甲等评测。2020年建成国家呼吸系统疾病临床医学研究中心新疆大数据中心，标志着医院信息化水平迈向新台阶。

　　经过多年发展，医院100多个业务系统积累了海量的医疗数据，目前医院数据年增长量达到了240TB，对此，医院信息科副科长王坤说道：“这些宝贵的医疗大数据为临床科研提供了丰富的素材，在信息化高速发展的同时，数据安全始终是我们关注的课题。如何在严格的安全要求下既保证数据安全又充分挖掘数据价值，成为摆在我们面前的重要课题。”

为此，医院在引进专业厂商的成熟解决方案和自主研发适合的平台系统两条道路上不断前行。

引入成熟方案，学习经验事半功倍

在引进专业厂商的成熟解决方案过程中，医院经过多次考察学习，结合安全设计理念，最终决定系统采用五层设计：第一层数据源使用OGG（Oracle Golden Gate）实时捕获数据变更，确保数据应采尽采；第二层前置处理层基于CDC捕获数据和端到端的TLS/SSL加密数据，传输至第三层大数据平台进行加工；第四层数据库提供分布式计算，实现了TB级的数据秒级响应；第五层应用层采用密钥管理系统和动态令牌访问。这套架构的优势在于兼容90%以上的数据库类型，数据处理吞吐量大，全程加密确保安全合规，支持横向扩展。

该平台的核心安全策略可以概括为三大支柱，首先是全生命周期的管理，从数据采集、存储、处理到销毁，所有数据都在平台内部完成，确保全程安全；第二是分级分类管理，平台将数据细分为红色高敏感级、黄色一般敏感级和绿色低敏感级进行管理；第三是立体化安全保障，包括严格的身份认证机制，细粒度的权限控制和全方位的安全审计。

从技术实现角度看，平台在七个关键维度做了安全保障：

资源控制，限制会话超时，自动断开连接，限制系统最大访问量；

软件容错，提供数据有效检验功能，确保输入内容符合要求；

安全审计，记录用户操作日志，定期备份审计记录并保护审计进程；

访问控制，授予用户最小必要权限，基于数据粒度进行授权管理；

身份鉴别，对登录用户进行身份识别和鉴别，启用登录失败处理功能；

日志审计，记录所有用户的管理日志和系统自身服务调用日志；

授权管理，功能权限和数据权限分离，生产环境与开发环境隔离。

实现自主研发，走出创新之路

经过多年学习和实战经验的积累，医院走上了自主设计之路，研发出适合医院的科研数据处理平台。

在平台网络安全架构设计中，医院为科研数据访问精心设计了两条安全路径，确保数据不落地：一是通过零信任安全认证和堡垒机登录到科研平台，访问科研数据，其优势是所有行为均在高性能服务器集群完成；二是通过零信任的安全网关和本地安全沙箱，访问科研数据，减轻服务器负担。这样的双通道设计满足了不同科研场景需求。

整个科研数据处理平台由以下核心组件组成：数据库服务器、文件服务器、AD域服务器、应用服务器、VPN 、网闸堡垒机、安全沙箱。

1.数据库服务器的选型至关重要。是处理海量数据最重要的平台，也是安全保障的核心阵地。实践证明，在科研分析的场景下，当R或Python中处理大规模数据时，直接从数据库读取数据进行建模，相比于读取CSV文件的方式，在性能、安全性、实时性、可维护性指标上均具有明显优势，这是平台向数据库访问作为核心服务的重要原因。安全性方面，现代数据库提供了复杂的安全措施和权限控制，精准的权限控制和审计功能，防止文件未被授权进行拷贝传播。

2.文件服务器担任着数据中枢的关键角色。平台采用了Samba+Windows的方式，支持跨平台的无缝操作，完美打通了Windows、Linux和macOS系统，拥有强大的安全特性，支持多种身份验证、细粒度访问控制、数据传输加密，具有高性能和可扩展性，易于管理维护，科研环境友好。这些优势使得文件服务器成为整个平台最稳定的基石之一。

3.AD域服务器是安全架构的神经中枢。具有集中式身份验证、细粒度权限控制、安全策略管理、数据加密、活动日志监控，以及强大的集成功能。

4.应用服务器通过分配虚拟服务器的方式。实现让合适的计算资源处理合适的任务，带来的优势是让每一个科研项目分配了独立空间，CPU和内存进行动态配合管理，网络流量也能实时实现优先级控制。

5.堡垒机作为安全关键防线，具有6大核心优势：访问控制集中化，操作审计与监控，自动化密码保护与更新，通过手机或硬件令牌实现双因素安全验证，敏感数据保护及可视化管理界面。堡垒机就是科研数据的守护神，时刻保护数字资产和业务系统。

6.零信任VPN通过多种防护机制保障网络访问安全：如持续验证机制确保只有经过授权的用户和设备可以访问资源；细粒度访问控制，显著减少暴露面；动态安全策略自动调整和应用安全策略，及时应对风险；加密通讯保障信息在传输过程中的保密性和完整性；审计和可视性帮助识别潜在威胁；设备信任评估确保设备符合安全标准。

7.安全沙箱。医院对计算需求低、数据量小的科研任务采用了安全沙箱的方案，严格控制数据外泄风险。与传统的堡垒机+终端服务器相比，安全沙箱部署更方便快捷，资源利用率高，响应速度快，提升了整体用户体验，并可以减轻中心服务器的负载，使系统运行更稳定，这种分级分类的处理方式是平台灵活性的重要体现。

总结

技术实现离不开管理体系的支撑，通过技术创新加管理优化的双轮驱动，医院信息中心实现了安全与效率的完美平衡，对此王坤强调：“回顾以往成绩，我们实现了三个关键突破：一是建立了多层防护体系，从网络边界到应用内核，在数据库服务器、文件服务器、应用环境等每一个环节都部署了安全措施，形成了纵深防御；二是实现了精细化管理，通过数据分类分级力度控制，全流程审计追踪，用技术手段将安全策略落实到每一个数据的最小单位；三是平衡了安全与效率，安全沙箱与高性能计算资源的结合，既满足了科研工作的需求，又确保了数据的绝对安全。”

面向未来，医院将始终以患者隐私保护为首要原则，以技术创新为驱动，不断探索医疗数据安全使用的最佳实践。同时持续优化平台性能，深化AI技术在异常检测中的应用，拓展协作网络，与更多研究机构建立数据安全共享机制。