锡山人民医院:安全体系力保业务连续性

随着新医改的逐步推进，医疗卫生行业的信息化建设也迎来一个全新的发展阶段。医疗云、大数据、区域卫生协同、社会化等新技术都在医疗信息化领域试水尝试，移动医疗目前在国内外被广泛医疗机构广泛推广，可以说医疗信息化全局部署，逐步推进，为提高医疗服务质量，缓解医患矛盾起到了一定的助力作用。目前各家医疗机构都是多系统并行，而且大都离不开终端、网络和服务器的安全运行，一旦遭遇病毒侵入，造成的后果不堪设想，不单单是医院内部不好的影响，也会带来许多负面的社会影响。所以医疗机构的IT部门都在全力以赴的保证医院信息系统的业务连续性，加大技术投入，通过技术手段抵御外来攻击。

无锡市锡山人民医院（以下简称：锡山人民医院）始建于1976年，于2012年增挂第二名称“无锡市第十人民医院”。医院目前已发展成为一所专科齐全、技术力量雄厚、医疗设备先进、诊疗环境优美的部颁二级甲等综合性医院。锡山人民医院集医疗、教学、急救、预防保健为一体，是江苏大学、皖南医学院和江南大学的教学医院。医院配合政府区域卫生规划调整，正在锡东新城按照三级医院标准，规划建设的新医院设计床位1000张，建成后的医院将成为无锡锡东地区规模最大、具有较高医疗水平和较强周边辐射力的现代化区域性医疗中心。医院将以增挂第二名称为契机，为促进无锡东部地区医疗卫生事业的发展作出更大贡献。

近年来锡山人民医院在加大了医院信息化建设投入的同时，利用安全防护的技术手段，有效地提高网络安全维护的效率，并对一些医疗行业专用终端设备提供了7×24小时的安全监测，全面提升患者的就医体验。

数字化医院增加安全运维难度

在我国制定的《十二五规划》中，医疗行业成为五大焦点行业之一，特别是新医改政策的推广实施对于医疗行业信息化的发展起到了关键的推动作用。“医改”无法一蹴而就，是一个长期不断推进的过程，同样，信息化安全也将是一个与之伴随的持久战。近年来，锡山人民医院加大了医院信息化建设的投入，引进了国际先进的医疗技术和设备，并筹建了国内一流的数字化就诊设备和各种与之配套的系统，在江苏省属于信息化程度较高的几所医院之一。锡山人民医院的网络结构由内部的千兆内网、连接各个社保中心的VPN、统一的Internet出口组成，并且网络终端数量也超过了400台。

但网络从来就是一把“双刃剑”。据锡山人民医院信息科的王映涛科长介绍：“随着各种系统的上线以及终端数量的不断增加，网络安全维护的工作量开始成倍增长。尤其是各种医疗终端与网络连接之后，为一些高危蠕虫病毒和木马程序的查杀带来了难度。例如之前遇到的DownAD Worm家族系列的病毒，工程师很难发现真正的感染源头，因此用了两个月时间才基本上消除了这类病毒在内网的困扰。另外，虽然信息科的四位IT工程师对每台Windows终端都安装了防毒软件和最新的补丁程序，但一些装载英文操作系统、LINUX、UNIX的终端也能存在病毒感染的机会。而这些终端多为CT机等患者病情采集设备连接，因此，我们需要随时发现病毒感染事件，将隐患消除在第一时间的需求非常明显。因为只有这样， 才能保证医院网络和各个系统随时都能为患者提供一流的服务。”

防护体系建设要加大安全预警

网络环境因为医疗信息化覆盖范围的扩大变得越来越复杂，锡山人民医院信息科需要可以快速定位与了解内部威胁，这包括“在哪里发生、何时发生、影响是什么、进行事前的预警……”。全方位、立体式的严防安全隐患。

通过部署安全防护系统的反向定位功能，锡山人民医院的网络安全管理效率提高了数倍。由于这项功能可以迅速找到隐藏于网络中的高风险节点，并根据整合在系统中的高危因素与节点对症下药，在这些高危节点尚未造成大规模病毒爆发前就有效处理。比如，医院网络的Windows平台是传播病毒的最大终端隐患，但其它安装LINUX、UNIX 医疗设备终端虽然不会与Windows 平台交叉感染病毒且传播病毒的可能性也不大。但当这些客户端如果存在病毒，就很可能从网络发起攻击，病毒有可能通过此渠道进入HIS 服务器区段，从而影响整个网络运行缓慢或者瘫痪。而在部署防护预警功能之后，该系统就像一台全天候工作的“雷达”，接收来自网络上所有的讯号进行智能的分析，这也包括了接入网络的每一台安装LINUX 或UNIX 系统医疗设备，从而真正意义上完成了对每一个角落进行的全面监控。

对此，王映涛科长表示：“防护预警系统可以在应用层对网络中流动的数据进行深度分析，能够看到整个内部网络深层次的安全问题，最大程度降低了恶意威胁可能对医院网络造成的影响。”

中小型网络医院的福音

近年来，医疗行业的信息化投资规模逐年增长的趋势非常明显，但这并不意味着医院就成了“有钱大户”。从医疗IT 应用投资的结构来看，信息化投资向着更优化的结构转变。由于受资金规模的限制，一些医院的信息化建设，特别是信息安全建设很容易受到产品价格的影响，而忽略产品的质量和配套服务。王映涛科长表示：“其实，我们在2010 年就在对安全系统产品进行考察，但因为当时投资预算等原因，未能及时购买我们需要的产品。像锡山人民医院这样的网络规模的中小型医院不在少数，希望厂商在设计产品的时候可以考虑到像我们这样规模的医院，准确的把握我们需求，让我们能迅速的部署安全防护体系，加大医院系统的安全防护力度，更好的为患者服务。”

据了解，锡山人民医院在与无锡市江阴人民医院等同行业用户的交流中，希望借鉴江阴人民医院的方法，在下一步的工作中，他们将结合微软活动目录与组策略安全管理的方法，对终端安全进行更加精细化、颗粒化的管理。同时，由于网络规模、业务系统、管理模式的相似性，其他兄弟单位对于锡山人民医院的安全系统威胁定位功能也非常感兴趣，希望可以得到参观交流学习的机会。

可以看出，医疗卫生行业与一些重要金融机构的IT系统一样，其实都是需要7×24小时的安全护航，尤其是在夜间急诊和周末医生值班时，每个系统的安全性依然要求很高。通过锡山人民医院在网络安全防护上的重视，以及将网络安全管理落地的措施，我们非常高兴的看到“以病人为中心”的现代化医疗服务目标正在逐步得以落实，从而带动整个医疗制度的变革，顺应《十二五规划》纲领。