医院核心信息系统集成架构设计建设难点以及如何保证医疗的信息安全总结

三甲医院实现院内医疗服务信息互通共享，核心系统集成平台必不可少。如何在集成平台设计时保障数据安全是一个巨大的挑战。近期twt社区邀请万达信息集团技术支持专家分享了基于LinuxONE的医院综合信息系统集成架构设计方案，与各位医疗同行针对大型三甲医院核心系统集成架构的数据安全设计进行了详细讨论。以下是本次活动的精彩问答整理回顾，供更多同行参考。

本期交流活动：互联网+时代，大型三甲医院核心系统集成架构如何设计以保证数据安全在线探讨 （精彩回顾）

Q1、集成平台的维护成本如何？目前哪些公司的产品性价比和稳定性较高？

回答1：刘东 IT技术咨询顾问 , 东软集团
集成平台的成本主要不是建设成本，而是运维成本。因为集成平台在建设完成后，会有大量的数据进行运维和管理，医院信息系统数据异构性越大，成本越高。而且集成平台后期还需要接入大量新的信息系统，运维成本会越来越高。
通常来说，国内厂商的集成平台产品性价比好一些，不但接地气，了解国内医院用户需求，而且人力成本相对国外HIS厂商成本也更低。

回答2：heray2323 系统架构师 , 中山大学附属肿瘤医院
集成平台是一个庞大而复杂的系统，维护成本根据每家医院平台的建设规模而定，如果是大型的三家医院或者业务量和系统较多的医院，维护成本较高。目前国内主流的集成平台承建商有很多，按照主流的同行观点，自主研发的平台总线稳定性相对来说不如国外比较成熟的平台总线产品，自主研发的平台总线性价比较高。

回答3： uckfeng 系统工程师 , 万达信息
上了集成平台之后，集成平台就成了医院的消息信息中心，是不亚于HIS、LIS等系统的核心平台，鉴于集成平台的建立对于医院电子病历等级评定及互联互通等级评定都是前提条件，建议可以了解一下我们公司的集成平台产品，我们已经协助全国多家二、三级医院完成电子病历6级及互联互通5级的评定。

Q2、关于集成平台，目前故障恢复的主要手段有哪些？恢复的速度如何？

回复1：heray2323 系统架构师 , 中山大学附属肿瘤医院
集成平台根据产品和部署架构不同，有不同的故障恢复方案和手段，但是在集成平台中，临床数据中心（CDR）如果也作为集成平台的一部分，恢复速度就取决于数据库的大小和备份的策略，理论上来说数据库越小，恢复的速度越快。

回复2：刘东 IT技术咨询顾问 , 东软集团
集成平台的故障恢复手段主要看采用哪种技术进行部署。恢复效果也不大相同。
1、数据库层面，主要包括ORACLE RAC和ADG等等。RAC可以做到故障实时运行，即一个节点故障不会影响另外一个节点运行。ADG为主备模式，平时一个节点运行，另外一个节点备份。出现故障需要数分钟时间进行恢复。
2、应用层面,可以采用物理主机HA技术或者虚拟化的故障恢复技术。
物理机HA通常使用ROSE HA、POWER HA或Linux HA等不同的基于主机的故障恢复技术。大部分都属于主备模式。 平时一个节点运行，另外一个节点备份。出现故障需要数分钟时间进行恢复。
虚拟化故障恢复技术可以选择 VMware HA或者VMware Ft或VMTION等故障恢复技术。 VMware HA 平时也是一个节点运行，另外一个节点备份。出现故障需要数分钟时间进行恢复。 FT和 VMTION可以做到实时故障恢复或者主动迁移故障恢复主机，不需要停机时间。

回复3：uckfeng 系统工程师 , 万达信息
从集成平台的底层架构来都可以使用多穿容灾故障手段恢复业务，如负载均衡，数据同步等。恢复速度也是根据不同的投入而定。

Q3、LinuxONE平台如何为医疗信息化带来更高的安全性？

看专家的文档里面涉及到LinuxONE平台的架构，这个架构在安全性上是如何保证的？现在医院的信息安全非常重要。

回复1：刘东 IT技术咨询顾问 , 东软集团
LinuxONE具有非常强大的高安全性，完全可以把不同类型的业务系统部署在1台LinuxONE上，而且没有安全问题的影响。
对于安全隔离问题，如果采用逻辑分区部署，可以通过划分不同的逻辑分区（LPAR）来实现医院核心系统数据库部署。如果采用虚拟机部署，可以将医院众多的应用系统可以部署在一个或多个z/VM或KVM虚机中，而LinuxONE单台可以支持8000个以上的虚拟机。
LinuxONE的LPAR达到CC EAL5+的安全认证等级，其隔离水平接近于物理隔离，且不需要VIO分区。
LinuxONE独有的安全服务容器(Secured Service Containers，SSC)设计杜绝来自外部的资料及代码的未授权访问，为企业安全、可信地开展区块链应用提供最高级别的安全保障。鉴于LinuxONE极致的硬件可靠性，一般情况下应用或数据库可以跨LPAR进行高可用的部署，资源动态共享和优先权机制又能保证分区间应用对资源的需求不会互相干扰。应用和数据间的通讯更可以选择LinuxONE的Hipersocket功能来创建虚拟IP网络，数据通过主机内部总线传输，无需进出相关的网络设备，更安全、高效。

回复2：uckfeng 系统工程师 , 万达信息
LinuxONE使用业内独一无二的 IBM Secure Services Containers 可有效防止特权用户滥用并防御恶意软件。同时LinuxONE 结合了加密密钥以及专为 EAL5+ 认证设计的隔离式工作负载，是业界最安全的Linux服务器。

Q4、我院集成平台将和HIS系统更换同时进行,集成平台与HIS数据对接问题？

我院集成平台将和HIS系统更换同时进行，问题是先上线集成平台接受旧HIS数据，待新HIS上线后后做数据对接，还是先更换HIS系统将新旧HIS系统做数据对接后将数据上传数据系统?

回复1：uckfeng 系统工程师 , 万达信息
医院的集成信息系统可以提高医院的信息共享度，提高医院的工作效率，其中集成平台与HIS系统的平台对接最为重要，与HIS的数据对接可以极大的减少集成开发工作和维护工作，可以使得医院信息系统的集成水平达到一个新的高度，建议在新HIS上线后进行集成平台的数据对接。

回复2：heray2323 系统架构师 , 中山大学附属肿瘤医院
集成平台跟HIS的交互和接口数量会比较多，如果先建设集成平台并先上线，建议在集成平台投入使用时，暂时不把旧HIS相关接口接入集成平台，否则接口会重复接入两次，一次是旧HIS进行对接，另外一次是新HIS进行对接。
如果是先把新HIS建设完成上线，在上线时，也是建议不要马上跟集成平台和第三方接口进行对接，最好沿用以前旧HIS的接口与第三方系统进行数据交互，等新HIS上线稳定后，再逐步把业务和与第三方系统的接口一个一个迁移到集成平台中来使用。

回复3：刘东 IT技术咨询顾问 , 东软集团
上集成平台最好先更换HIS系统。因为集成平台与HIS系统关系紧密，数据接口众多，集成平台的实施的前提是HIS系统一定要做好准备，包括接口的改造和数据的标准化处理和对接等等。所以，在HIS系统没有更新完成之前，不建议上集成平台，先更新HIS系统，待整个系统稳定后，再考虑部署集成平台。

Q5、医院HIS、LIS、EMR等核心系统全部更换并且上集成平台，应该如何保证切换顺利？

我院领导要求把HIS、LIS、EMR一起全部换掉，并同时上线新的集成平台，如何保证切换顺利？这个对信息科来说是非常麻烦的，听听大家的经验！

回复1：uckfeng 系统工程师 , 万达信息
首先需要制定详细的上线计划，特别是HIS和医院其他系统均有接口，必须做好上线前的测试工作，LIS、EMR、PACS等也同样如此，再加上集成平台，基本上是医院的核心信息系统翻掉重做了，我做了一个项目从项目进场到系统分批上线总共用近两年的时间，建议根据轻重缓急及医院内部的协调情况，分步执行，一步到位肯定会有问题。

回复2：刘东 IT技术咨询顾问 , 东软集团
1、集成平台上线前，一定要提前更换好HIS、LIS、EMR，不建议同时更换。集成平台建设会涉及大量的应用系统接口改造和数据标准化处理工作。同时更换会非常麻烦和混乱。
2、 信息集成平台开发是一个复杂、庞大的工程，比开发单个系统的开发要困难得多，需要各厂商的配合与大力支持，但各系统各厂商不一定能配合得好，配合开发。所以集成平台最好选择与 HIS、LIS、EMR一样的产品厂商。因为同一个厂商的技术路线和数据标准非常容易集成，可以极大的减少系统升级工作的风险和工作量。
3、集成平台涉及的系统多，流程多，数据多。系统开发工作量评估存在重大风险，可能会存在实施时间长、其它系统负责人更换、承诺变更等风险。
4、集成平台上线对科室维护人员提出更高的要求。要求提前与相关厂商进行积极沟通，做好调研和详细的系统实施方案，不能盲目进行系统更新和维护工作。

Q6、互联网+背景下医院IT信息基础设施如何保护？传统物理攻击与网络攻击攻防有何变化？

回复1：uckfeng 系统工程师 , 万达信息
在互联网+背景下，医院信息安全除关注传统的物理机房安全、网络架构安全、服务端安全、数据存储设备安全、专用设备安全等医院信息基础设施层之外，更应关注移动医疗安全，医疗云应用安全，同时也需关注涉及个人隐私数据和医院业务数据的数据安全。应对措施有：（1）合规：医院需要基于网络安全等级保护制度要求，通过安全技术和管理措施，保障医院信息系统的可用性、完整性、安全性。（2）医院应基于互联网业务应用分层次、分阶段、分区域构建系统纵深防御体系。（3）建立风险评估体系，统一安全策略，建设信息系统事前、事中、事后的安全防护措施；（4）建立完善安全应急响应体系，尤其针对黑客入侵、数据泄露、页面篡改等互联网的安全事件等，应建立安全应急响应制度。

回复2：刘东 IT技术咨询顾问 , 东软集团
互联网+背景下，医院受到的来自外部的网络攻击越来越多。
1、通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、 DoS/DDoS 等，实现对网络层以及业务系统的安全防护，保护核心信息资产免受攻击危害。
2、病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御，同时保持恶意代码库的及时更新。
3、与传统网络攻击方式相比，新型网络攻击需要医院业务在内网核心交换区旁路部署 APT 监测系统，提供各种虚拟模拟运行环境，为不可信代码程序提供虚拟化的内存、文件系统、网络等资源，隔离运行未知或可疑代码并对其进行分析，从而有效发现利用新爆发漏洞（ 0Day/NDay ）的恶意代码或未知的新型恶意代码，并与网络或区域边界部署的下一代防火墙进行联动阻断，从而实现对未知新型威胁的有效防御。

Q7、架设平台之前如何选择中间件？架设平台之后，如何解决单点故障的问题？

中间件如何选择，如IBM，orion，微软，自主研发等
传统的医院信息化，以HIS、电子病历为核心，搭建集成平台以后，诸多重要的数据和业务都在平台上展开，如何从软硬件层面保障集成平台体系的高可用性，即避免单点故障的问题?

回复1：heray2323 系统架构师 , 中山大学附属肿瘤医院
国内医院的信息平台中间件目前主流的第三方的成熟产品一共 5 种：IBM 的 IIB+MQ ，常见有开源平台引擎（ JBOSS ESB 、 Mule ESB 、 ServiceMix 等）、 微软的 BizTalk Server 、 Orion 公司的 Rhapsody 、 InterSystem 公司的 Ensemble 。
单点故障有很多解决方案，例如硬件建设时考虑双机和负载均衡，存储也可以采用实时恢复的技术，数据库层面可以采用RAC+Data Guard。在软件和平台总线层面，最重要是在建设时设置总线消息、代理服务和连接数的预警机制，另外平台也要建立应急演练方案，在正式环境进行应急演练，模拟出现单点故障时，平台能够正常运行。

回复2：刘东 IT技术咨询顾问 , 东软集团
中间件需要看集成平台采用哪家厂商的产品，因为每个集成平台厂商采用的技术不太相同。通用的中间件IBM WAS 、WEBLOGIC或者国内的东方通等，原则上都可以使用。但是有些厂商的集成平台会采用自研或者开源中间件产品。
单点故障通常通过群集的方式进行处理，目前大部分的中间件产品都是支持群集模式部署的，即使一个节点出现故障，也不会影响其他中间件节点运行。所以在中间件层面，通常不存在单点故障问题。

回复3：uckfeng 系统工程师 , 万达信息
这个可以根据每家医院不同信息平台的使用情况统一考虑，没有最好，只有最合适。关于第二个问题高可用性有很多种做法，从不同的平台及医院现有环境都可以根据投入进行定制化的设计。

Q8、集成平台建设基础设施安全、系统安全和数据安全三个层面应该要重点考虑哪些点？

回复1：uckfeng 系统工程师 , 万达信息
医院集成平台需要在设计时就考虑高可用性及高可靠性，最直接的原因就是防止因为服务器故障而导致系统中断。一旦集成平台出现故障，将严重影响医院的业务流程，给医院造成经济和社会声誉等多方面的损失。在提升服务器的可用性方面，不仅仅是提供生产环境的高可用性，同时也应适当的考虑容灾环境的建设。传统的前端两台服务器和后端一台存储设备的配置方案，被存储的数据只有一份，一旦系统瘫痪，数据丢失就是不可避免的。因此这种解决方案在企业级用户中已经很少使用。现在某些企业用户使用的前端两台服务器、后端两台存储的解决方案，存储端的双机配置其实采用的是备份机制，备用的那台磁盘阵列与服务器之间是虚连接，磁盘阵列上的数据需要手工进行恢复，停机不可避免，因此不能满足企业用户对业务连续性的需求。此次方案中的所提供的方案即是两台磁盘阵列与服务器之间都是实连接，逻辑卷镜像之间是对称的冗余结构，从而彻底消除了单点故障，可以实现零停机。同时系统及数据的异地备份也需要考虑。定时定期进行容灾及数据恢复演练。使得不仅仅是集成商或者厂商熟悉医院核心系统切换手段，同时也可以使得医院自己的工作人员熟悉灾备切换流程。

回复2：heray2323 系统架构师 , 中山大学附属肿瘤医院
基础设施安全主要在于保护平台业务活动硬件资产免遭自然灾害、人为因素及各种计算机犯罪行为导致的破坏，主要包括环境安全、硬件安全和介质安全。
1、 环境安全：主要指设备的运行环境安全，安全要素包括机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁，配供电系统、空调系统、综合布线、区域防护等方面，组织应根据信息平台自身特点建立一个或多个专用机房，在机房中存放信息软件应用系统的服务器设备、网络设备、存储设备等相关硬件。机房的设计与建设应当参考 GB 50174-93 《国家标准电子计算机机房设计规范》进行。
2、 设备安全：硬件设备主要包括系统数据库服务器、系统应用服务器、系统前置机服务器、磁盘阵列、磁带库、网络防火墙、网络交换机等。设备安全指保障设备正常运行，免受威胁。安全要素包括设备的标志和标记、放置电磁信息泄露、抗电磁干扰、电源保护，以及 设备振动、碰撞、冲击适应性等方面，对于设计有冗余电源的设备，应当在购买设备配制 N+1 个冗余电源，降低设备因单电源失效引起的宕机事故概率。同时系统管理人员要定期对信息平台的所有硬件设备进行运行巡检，检查并记录设备有无异常及警告信息。
3、 介质安全：介质安全包括介质自身安全及介质数据的安全。
4、 硬件安全运行的影响因素主要包括：
1） 自然及不可抗因素
2） 人为的无意失误。如操作员安全配置不当造成的安全漏洞，用户安全意识不强等都会给网络安全带来威胁
3） 人为的恶意攻击。这是网络环境下所面临的最大威胁，会造成极大的危害并导致设备瘫痪
4） 缺乏完整可靠的安全防线。安全措施的不完善，如硬件防火墙控制不到位。

信息平台的软件系统安全：
1、 根据 GB 17859-1999 《计算机信息平台安全保护等级划分准则》可将计算机信息平台安全保护能力划分为以下五个等级；
1） 第一级 用户自主保护级
2） 第二级 系统审计保护级
3） 第三级 安全标记保护级
4） 第四级 结构化保护级
5） 第五级 访问验证保护级
2、 软件系统安全运行的影响因素 : 常见的有两种，一种是针对操作系统的安全漏洞实施的攻击，一种是针对基于web的信息平台软件的攻击。

操作系统的安全漏洞主要有以下 5 种：
1） I/O 非法访问。在某些操作系统中一旦 I/O 操作被检查通过之后，该操作系统就继续执行下去而不再检查，从而造成后续操作系统的非法访问。某些操作系统使用公共的系统缓冲区，任何用户都可以搜索缓冲区。如果此缓冲区没有严格的安全措施，那么其中的机密信息就有可能被泄露。
2） 访问控制的混乱。安全访问强调隔离和保护措施，但是资源共享则要求公开和开放，这是一对矛盾。如果在设计操作系统时没有能够处理好两者关系，就会因为访问权限不清造成操作系统安全问题。
3） 不完全的中介。完全的中介必须检查每次访问请求已进行适当的审批；相对而言，不完全的中介指某些操作系统省略了必要的安全保护，比如仅检查一次访问请求或没有全面保护机制。
4） 操作系统后门。由于各种有意无意的原因，后门也可能被保留下来。后门一旦被心存叵测的人利用，会带来严重的安全后果
5） 操作系统型病毒。这种病毒会将自身的程序加入操作系统或取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。由于感染了操作系统，这种病毒在运行时，会用自己的程序片段取代操作系统的合法程序模块，对操作系统进行破坏，同时这种病毒对系统中文件的感染性也很强。
基于 Web 的信息平台软件攻击：
1） 精心修改 Cookie 数据并进行用户假冒，利用不安全的证书和身份来逃避管理
2） 在动态页面的输入中使用各种非法数据，获取服务器敏感信息
3） 利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
4） 强制访问未授权的网页
5） 对网页中的隐藏变量进行修改，欺骗服务器程序
6） 构造大量的非法请求你，使 Web 服务器不能进行正常用户的访问，提交非法脚本，趁用户浏览时盗取其账号等信息
7） SQL 注入
软件安全运行措施：建立安全操作系统，在保证服务器上的操作系统软件、防病毒软件和防火墙软件安全的同时，保障信息平台软件安全，关注 Web 应用系统的上传漏洞和 SQL 注入防范，并结合使用相应的 web 应用系统漏洞检测技术，防火墙技术和入侵检测技术：
（1） 操作系统的安全：构造操作系统的安全模型和实施办法；应用诸如隔离、核化和环结构等安全科学的操作系统设计方法；需要建立和完善操作系统的评估标准、评价方法和测试质量
（2） 产品化软件的安全：信息平台软件都要依托于服务器设备。为保证安装在服务器上的操作系统软件、防病毒软件和防火墙软件的安全，需要做到以下四点：
1） 根据应用软件的需求和服务器硬件架构选择安装合适的操作系统，服务器操作系统软件应当定期更新操作系统的安全升级补丁；
2） 服务器应当安装防病毒 软件，系统管理人员要定期更新防病毒软件补丁和病毒特征库。系统管理人员要为防病毒软件定制自动病毒扫描策略，定期检查策略的执行情况；
3） 服务器应当安装防火墙软件，系统管理人员要定期为防火墙软件更新补丁。系统管理人员要为防火墙软件配置出入操作系统的防火墙安全防护策略，组织可疑的不安全访问；
4） 系统管理人员要定期对服务器操作系统进行安全检查，并出具书面检查报告。
（3） 业务应用软件的安全：为保障信息平台软件的安全，应做到以下三点：

1. 因劣质软件产生安全问题时，从组织上来说是管理规范出了问题。最理想情况下软件安全是组织成员共同的责任，较现实的解决方案是将责任和义务交给特定的小组。需要两种类型的人员来组成软件安全小组：以保卫者和破坏者的思维考虑业务软件系统的人员；
2. 为了成功实施信息平台软件安全计划，可以雇佣外部的咨询人员来帮助建立一个小组。对于大型信息平台软件安全的运维，可以找到对操纵信息平台软件最熟悉的人员，培养其成为软件安全员，让其负责软件安全；
3. 应用系统服务器安装了信息平台软件，是应用系统的业务处理平台，是用户读取和写入数据的桥梁。应用服务器密码要由专人负责持有，不得转让他人，密码要符合复杂性要求且定期修改。

数据资源运维管理包括以下内容：
1、 数据资源运维方案
1） 对数据资源载体和传输、转储的设备进行有效管理，对历史数据进行定期归档
2） 根据信息平台的应用需求，可能产生的破坏程度、经济损失、社会影响程度，划分应急处理等级和响应时间，并制定数据运行和维护总体方案。高可用性意味着更高的运维投入，用户必须在经济合理的原则下，努力平衡可接受的损失程度和保障成本的关系，对数据资源进行重要性划分，对不同重要等级的数据资源采取不同的运维手段和策略，并据此制定经济合理的的运维配置方案
2、 数据资源运维的例行管理
1） 对数据资源载体和传输、转储的设备进行有效管理，对历史数据进行定期归档
2） 对数据库管理系统和数据库维护，确保数据库得到经常性的监控、维护、和优化，包括：数据库一致性检查，数据目录和索引更新与重建，系统冲突性检查，检测批处理，检查数据查询作业是否正确执行，整理数据库碎片，对各系统进行维护和性能调优等。
3） 对数据资源的备份和恢复管理：建立备份系统 , 实现数据备份的统一管理；选择合理的备份设备和数据传输设备并考虑其扩展性；制定组合的备份策略和计划，确定各类数据资源需备份的内容、频次和方式；根据产生故障的类型对数据进行恢复，如回滚恢复，日志恢复和崩溃恢复等。

3、 数据资源通道的应急响应：

1. 制定应急故障处理预案，设立应急故障处理小组，确定详细的故障处理步骤和方法
2. 制定灾难恢复计划，定期进行灾难演练，以防止各系统崩溃和数据丢失
3. 灾难发生后应急故障处理小组能及时采取措施实现数据保护及系统的快速还原与恢复

回复3：刘东 IT技术咨询顾问 , 东软集团
从人的方面来讲，需要对安全管理人员进行定期审查，确认其安全技术水平。定期接受安全意识教育和培训，能够掌握安全管理基本知识。对信息系统关键岗位的人员还应注重思想品质、历史方面的考察。
从制度方面来讲，医院要制定《信息安全岗位人员管理办法》，加强内部人员安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的安全审查。
从技术角度来说，基础设施安全，要考虑基础设施的物理安全和环境安全，保证基础设施运行的环境要求。
系统安全需要对主机系统进行一系列的加固措施，包括：
1、对登录操作系统和数据库系统的用户进行身份标识和鉴别，保证用户名的唯一性。
2、根据基本要求配置用户名/口令；
3、远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。
4、对运维管理员登录进行双因素认证方式，采用数字证书+密码进行身份鉴别。

数据安全需要采用数据保护技术，对数据进行安全管理，包括：
1、采用密码技术保证重要数据在传输过程中的保密性。
2、对重要数据进行备份，使用AES256位加密算法对已备份数据进行加密，同时支持密码验证方式对重要数据进行恢复操作，确保医院网络内重要数据存储过程中的保密性。
3、在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，提供有效的察觉与发现机制，实现通信的完整性。
4、数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。

Q9、医院信息集成平台应当如何避免数据泄露问题？

医院集成平台作为各系统的中间枢纽，日常业务接触到大量敏感的医疗数据和患者信息，怎样才能避免数据泄露问题？

回复1：刘东 IT技术咨询顾问 , 东软集团
避免数据泄露问题，主要从内部和外部两个方面考虑。
在医院内部，需要部署安全设备进行保护。例如数据加密设备，对敏感数据进行加密，即使发生泄露，也不会导致数据被破解，保护数据信息。增加审计设备，对数据访问和操作进行管理，可以做到事后审计和追责。部署终端管理设备，对个人电脑终端进行管理，设定权限，避免人为获取数据导致数据泄露。
在内外网部署双向网闸，以白名单机制提供数据库同步、文件同步以及协议访问功能，对内外网交互的信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，可以有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露。在保持内外网络有效隔离的基础上，实现两网间安全的、受控的数据交换。
在外网上，避免未经脱敏的数据暴露在外部公共网络上，传输过程中需要有可靠的数据安全加密机制。尽量避免将个人敏感信息相关的业务系统部署在公有云上，最大程度的保护信息泄露问题。

回复2：uckfeng 系统工程师 , 万达信息
建立完善的权限管理，每个用户只能访问与自己相关的数据权限，设置严格的网络访问权限，建立严格的网络准入制度，完善安全访问制度等。

回复3：heray2323 系统架构师 , 中山大学附属肿瘤医院
信息集成平台也是作为医院信息系统的重要组成部分，也相应参照医院信息和数据管理安全相关规则制度来管理，所有第三方系统接入获取平台的数据都应该严格进行审核，并接受院方监管，同时确保访问平台数据的接口不暴露在公网环境，禁止在内网使用存储拷贝数据等相关安全措施。

Q10、基于LinuxONE开放平台如何进行云平台灾备部署和同步方案设计？专家这块是否有解决方案？

回复1：uckfeng 系统工程师 , 万达信息
LinuxONE本身的高可用性业内也都是有目共睹的，目前大部分金融机构的核心系统仍旧运行在上大机上只是系统环境不同而已。云平台的灾备部署和同步方案可以使用多种方案进行设计，如数据复制（ADG、OGG、DSG等），存储底层复制的技术手段就更不用说了，LinuxONE本身只提供计算、IO等资源，而不提供存储资源，那在容灾手段上就可以由最终使用用户自行选择，给大家提供了很大的开放空间灵活搭配。

回复2：刘东 IT技术咨询顾问 , 东软集团
LinuxONE开放平台支持多种容灾技术。首先可以通过LinuxONE组建云平台，将基于Linux的应用都迁移部署到LinuxONE云平台上来，然后在同城或异地灾备中心，再部署一套LinuxONE云平台，通过容灾网络实现容灾。
基于LinuxONE 实施容灾，主要考虑三个层面的因素。
第一、网络带宽。同城做数据同步，要求必须是光纤网络，延时小于5ms，距离控制在50公里左右最佳。否则只能做异步数据同步。异地由于距离较远，一般都会采用异步数据传输。
第二、数据复制技术。LinuxONE支持基于数据库的远程复制容灾，也支持基于GPFS的数据复制容灾。两种容灾复制模式可以根据医院的业务数据类型进行选择。还可以选择基于存储的数据复制技术。如果两个站点，购买了2台支持数据复制技术的存储，直接使用存储做数据复制也是可以的。
第三、应用切换技术。也就是主站点故障，应用如何切换过去。如果所有应用都是以云平台方式部署，那么通过KVM虚拟机的HA切换技术即可实现。如果是非虚拟机环境，就需要依赖应用自身的切换能力或者第三方软件进行实现了。
最后，说一下 LinuxONE的灾备架构。
模式上支持同城双中心和两地三中心等不同的容灾模式。具体可以参考下面IBM给出的相关解决方案架构图。

Q11、等保2.0时代，医院信息安全应如何应对？等保测评工作该如何开展？

等保2.0标准已经发布，按照新的规范，医院信息网络安全管理该怎么应对？等保测评工作应该如何开展？

回复1：uckfeng 系统工程师 , 万达信息
等保2.0的检查对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。其次是分类结构统一。 等级保护的基本要求、测评要求、设计技术要求框架统一，形成“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”支持下的完全统一的三重防护体系架构。最后新标准把可信计算使用列入标准范围 ，从一级到四级全部提出了可信验证要求。等保测评一方面要抓住目前医院信息安全角度上的弱点。 在进行等保测评时，要根据医院实际业务应用情况，有些地方要按照等保要求严格执行，有些地方则相对可以投入少一些。另一方面要加强安全管理。信息安全就是三分技术七分管理，不是简简单单投入一堆硬件就安全了。很多高分通过等保三级的医院后来还是出现了安全问题，所以医院信息安全的管理制度和长效机制才是重中之重。

回复2：刘东 IT技术咨询顾问 , 东软集团
2017年6月1日《中华人民共和国网络安全法》正式实施，标志着我国网络空间安全建设正式迈入法制化时代，《网络安全法》明确提出了国家实行网络安全等级保护制度，对国家关键信息基础设施实行重点保护，标志着等保2.0时代正式开启。
等保2.0在网络安全上，对通信传输、可信验证提出了新的要求，并增加了安全管理中心，包括系统管理、审计管理、安全管理、集中管控等。要求医院在网络上除了传统的被动防御外，增加主动防御和动态防御管理。对网络环境进行主动安全分析，未知威胁的检测能力将成为等保2.0的核心需求。
另外，在应用安全上还增加了个人信息保护的要求。对于医院来说，病人的病历信息涉及到大量隐私信息，高度敏感。在等保1.0标准中没有对个人信息保护做特别的要求，但是在2.0中被明确的提了出来。需要医院通过加强对个人信息数据的保护，从而有效的保护病人信息不被泄露。