王志勇:网络安全新形势下医院基础设施建设
当前,随着医院信息化建设在各大医院相继开展,大数据平台、全院PACS、电子病历等信息系统的应用越来越广泛,保障医院网络安全的重要性日益凸显。在CHIMA 2020大会上,海军军医大学第一附属医院信息科主任王志勇针对“网络安全新形势下医院基础设施建设”这一话题进行了详细解读。
以下内容为根据王志勇主任演讲内容整理。
医疗行业网络安全现状不容乐观,主要体现为以下几点:勒索病毒高发;漏洞导致信息泄露严重;主机安全隐患较高;等保建设还需加强。基于此,医院网络安全越来越受重视:卫健行政主管部门对网络安全高度警觉;各级医院的一把手都高度重视网络安全建设;加强医疗卫生领域的数据保护立法势在必行。等保合规是安全的底线,等保2.0比1.0要求更高,执行更严,从基本合规向防御实效演进。
新形势下医院建设呈现为以人为本、整体智慧、持续演进的发展方向。未来智慧医院建设方向是全感知、全联接、全智能,主要体现为以下几点:新技术,包括5G、AI、云计算、边云协同;新体验,面向患者的全流程、全生命周期健康管理;新模式,面向医护人员的疾病诊断和治疗模式创新,以及数据驱动决策、科研创新;新运营,面向管理者的可视、可管、可控、精细化运营;新生态,体现为持续创新等。
医院基础设施建设是驱动医疗服务、医院管理创新和成功的基石,医院内外关键信息技术与架构应用已呈智慧化趋势。
医院的基础设施安全+网络安全有助打造坚实的数据中心安全体系。其中,基础设施安全包括以下内容:器件级,主要是指耗损器件寿命预测失效预警;设备级,关键节点温度AI预测等;系统级,图像声音识别以及全链路AI预测性维护。而网络安全主要面向产品全生命周期,包括设计、开发、预警、使用等,体现为智能跟踪、智能防御和智能韧性。
云边端一体化AI方案满足医疗创新应用:云主要体现为实现边云协同,进行人脸识别、药品识别和行为识别,构建医保知识库、药学知识库、临床诊疗知识库和医学术语库;边主要体现为AI推理模型边缘运行;端主要包括高清摄像机、医保估算终端等各种终端。
医疗5G网络架构承载临床、科研、应急、后勤设备高效接入,主要分为以下三部分:院内5G医疗专网,主要开展院内的无线监测、视频诊断、移动OA等;院间5G医疗专网,主要开展远程的无线监测、视频诊断等;院外5G医疗专网,主要包括急救医疗云等。
当前,医院数据中心基础设施建设面临以下挑战:建设周期长,工程复杂;无法弹性扩容,难以支持未来演进;高PUE,中大型数据中心三年电费非常高;依赖人工运维。
未来,数据中心基础设施应用呈现模块化+智能化趋势,有助于大幅减少工程量、低PUE、弹性灵活、智能维护,并最大化数据中心基础设施价值。AI助力医院下一代数据中心更加智能化,主要体现为以下几点:极简,实现全模块化、全预制化;绿色,省电、环境友好;智能,自动运维、智能运营,全生命周期提升营维效率和降低能耗;安全,故障预测、安全可信。
医院网络安全主要是建设“一个中心”管理下的“三重防护”体系,加强核心信息资产保护,实现计算环境安全防护、区域边界安全防护和通信网络安全防护。当医院面临安全威胁时,可采取以下方式阻拦:防火墙更新IPS签名,获得已知的恶意软件、木马、病毒签名信息;安全沙箱虚拟执行加多维度威胁分析,以方便检测到勒索病毒;交换机/防火墙开启诱捕,识别内网IP&端口扫描等。
目前,医院采取的网络安全方案关键点主要是主动诱捕、精确锁定攻击源、实现主动防御。同时,AI会帮助防火墙解决当前NGFW以签名方式解决不了的新威胁。
医院信息系统上云主要包括以下内容:HIS系统部分模块云化;HIS核心系统容灾建设;部分非核心系统上云;影像存储数据上云,其余所有数据云上备份;建设云化医疗大数据平台;医联体系统上云。
在具体实践中,医院上云可采取以下原则:业务系统部署原则,主要方式包括核心系统和部分内网访问的非核心系统放在私有云、部分非核心系统部署在公有云等;业务系统使用云资源原则,主要包括业务系统使用虚拟机+I/O存储、HIS数据库独占物理机+I/O存储、资源池均使用主流4张10GE网口;容量设计原则,主要指计算资源按20%冗余设计、提供的物理机需要做HA高可靠资源冗余设计等;安全原则,院内数据放在私有云上、满足等保三级要求、上云业务的互联网出口需在医院本地等。
为确保云平台安全,可进行两地三中心容灾方案设计。在整体上,可进行同城主备容灾,异地使用灾备云做数据备份,并对应用层和数据库进行备份。该方案具有高可靠、高弹性的特点,可有效保障云平台安全运行。
点击此处可查看王志勇主任演讲回放
上一篇: 柳明:聊聊专业技术以外的那些管理杂项