区域医疗平台的网络安全体系建设

（贺兰县人民医院 信息中心 宁夏 750200）

2019 年4 月，国家卫生健康委发布《关于进一步加强贫困地区卫生健康人才队伍建设的通知》（国卫办人函[2019]329 号），文件要求围绕“县要强、乡要活、村要稳、上下联、信息通”机制，加强县域医疗共同体、乡村一体化建设。在政策引领下，宁夏某县积极推进医共体信息平台建设，其中以“互联网+”形式建设拥有优势医疗资源的县级医院为主导、覆盖社区卫生服务站和基层医疗机构的区域医疗平台，是推进国家医改，促进医疗服务均等化，提高县域卫生服务质量的有效手段。但区域医疗包含医疗机构多且业务复杂，在打破机构间信息数据壁垒、优化医疗资源的同时，有效保护患者隐私安全，完善信息安全体系建设就更显得尤为重要。

1 概述

按照国家卫生健康委发布的《医疗联合体管理办法（试行）》要求，要充分发挥县域医共体对基层的带动作用，明确要按照“规划发展、分区包段、防治结合、行业监管”的原则加以规划、布局、建设。区域医疗信息化建设一般包含整个区域的所有医疗机构，以某县为例，医共体由县卫生健康局牵头建设，以县人民医院为核心，包括县级5家医院（含2 家民营医院）、8 家乡镇卫生院、11 家社区卫生服务站和54 所村卫生室。区域医疗平台存储大量居民个人隐私敏感信息，确保隐私信息网络的安全保障，是规划建设区域医疗信息平台的首要问题。

网络的开放性和共享性以及协议的安全漏洞决定了网络中面临着多层次、多种类的安全攻击。而区域医疗平台的应用特性决定了在运行过程，任何一个终端节点出现问题，会直接影响到整个系统的网络数据安全。整个区域内任何一个医疗结构与平台的业务数据交互，都存在获取患者个人隐私和诊疗数据，有信息泄露风险。因此在区域医疗信息安全系统建设中，摒弃传统机构之间“各扫门前雪”的独立防护做法，将所有区域内医疗机构均作为一个网络节点，进行整体安全防护，分层分级进行安全基础设施部署，并形成统一的信息安全管理规范，充分考虑可靠性、可扩展性及易于管理要求，建设稳定可靠的区域医疗信息安全体系。

2 区域医疗网络安全分析

区域医疗信息化旨在建立统一的区域数据中心和信息平台，完善和整合区域内各级各类医疗机构的信息系统，实现对医疗信息的全面共享、利用、挖掘和信息系统的互联互通，从而辅助和支持开展患者服务、信息共享、资源预约、双向转诊、影像会诊、综合监管等业务[1]。区域医疗分支节点众多且应用系统繁多，不同于独立机构网络安全建设，其安全体系建设独特性分析如下：

（1）区域医疗一方面需满足网络安全等级保护2.0 和《网络安全法》等安全合规性需求，还需要在三医联动趋势加速、互联网医疗迅速发展、院内外网络边界被打破、医疗信息安全形势日益严峻的今天，充分保障整个区域内的医疗业务和数据安全不受威胁，居民的健康数据不被窃取。如何统筹规划顶层体系建设，使之既能充分发挥区域医疗互联互通、开放共享、时效性高的特点，又能抵御各种安全新威胁，切实地解决安全问题，减少事故发生的概率，是区域医疗安全架构的必然要求和重点关注部分。

（2）区域医疗有数十个甚至上百个分支节点，随之而来分支安全、集中管理、运维要求也非常迫切。如何解决分支架构复杂、安全建设成本高、无法统一运维的问题也是信息建设中的重中之重。分支节点安全设备部署和环境改造也存在实施周期长和建设成本高、设备堆叠导致单点故障频发等问题。

3 区域医疗网络安全体系建设

3.1 项目建设原则

区域医疗安全体系建设是一个复杂而庞大的系统工程，系统设计和建设实施必须有一个统一的思想，统一的原则，按照统一的步骤进行。某县在县卫生健康局统筹规划下，坚持“规划自上而下，保证整体性；实施自下而上，保证可行性”的原则，在区域医疗背景下，以全县医疗系统网络安全一盘棋的总体思想，划分为核心资源安全区、接入资源安全区和数据交换安全区，以统一的整体逐步实现区域医疗信息安全的目标。

图1 某县区域医疗网络安全基础框架

3.2 安全体系建设

3.2.1 核心资源区安全

县域主数据中心基于VMware vSAN 超融合架构，建设以县人民医院为主资源池、县中医医院副资源池的全闪存虚拟化双活中心，容灾备份中心在宁夏卫生医疗云上。数据中心提供整个硬件基础资源服务，通过下一代防火墙、安全入侵检测、安全态势感知、EDR 联动、软件定义安全等对整个核心资源区平台做统一的安全防护。引入大二层VxLAN 技术，一方面有效提升云计算中心的整体扩展性，同时也实现多集群环境下的安全隔离。核心资源区管理调度统一通过虚拟资源层和物理资源层对计算存储资源统一分配、管理、调度和使用，医疗业务层通过接口实现对资源的使用和控制。

3.2.2 数据交换资源区安全

数据交换区主要是边界安全体系建设，依据《网络安全等级保护安全设计技术要求》中的三级系统“通用安全区域边界设计技术要求”，数据交换资源区安全包括区域边界访问控制、区域边界包过滤、区域边界完整性保护、入侵防范、恶意代码防范和垃圾邮件防范[2]、可信验证等方面。在数据交换资源安全区，对所有流经边界防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为[3]。对终端节点访问业务系统的行为进行记录，网络边界防火墙的审计记录实时传输至日志审计系统，结合应用系统和其他设备的审计记录进行关联分析，发现问题及时报警。利用态势感知和可信验证技术从基于全网的全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。

3.2.3 接入资源区安全

在区域医疗环境中，接入资源区有广义和狭义之分。广义接入资源区指除数据中心外的所有终端接入，狭义接入资源区以医疗机构为区域划分作终端节点。本文为更好凸显和展现区域医疗网络安全建设，以狭义医疗机构为节点进行接入资源安全讲述。

在区域医疗场景下，为保障网络数据安全，需要以区域为整体来规划部署安全体系。但医疗机构节点通常有几十到上百个，以某县为例，区域医疗平台需要连接近80家医疗机构，每一个节点均存在安全隐患，如果独立建设，在成本投入和人力维护方面均存在很大难度。基于接入资源区的业务特点，县卫健局采用桌面云服务架构，为区域内包括社区卫生服务站、乡镇卫生院、村卫生室在内的基层医疗机构提供一站式、高性价比桌面云方案。整套方案只需要云终端、桌面云一体机（包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台）两种硬件，即可完成桌面云的快速搭建。这样终端节点的大量关键业务数据均保存在核心服务器中，桌面云的升级、变更、维护等工作全部交由管理平台统一管理，在后台进行集中发布、配置和更新，接入终端无须进行任何操作即可获得最新的应用和服务。

图2 接入资源区安全

4 结束语

综上所述，网络安全体系建设是区域医疗信息平台建设的首要问题，采取有效的安全防护技术和措施，可以为医疗信息系统安全提供有力保障，从而最大化的发挥区域医疗信息共享系统的积极作用[4]。某县在区域医疗平台下的网络安全规划建设中，加强顶层设计，将全县卫生医疗机构纳入网络安全建设整体中，划分三大安全资源区，建设从内到外的立体化网络安全防护框架，为区域医疗信息安全提供全方位保护，有效保障信息平台的业务安全和连续性，达到良好的安全应用实践效果。