智慧醫院醫療數據安全交換平臺的設計與實現*

段 然，楊聚加，周來新

(陸軍軍醫大學第一附屬醫院，重慶 400038)

2016年10月中共中央、國務院印發了《“健康中國2030”規劃綱要》，要求各地區各部門結合實際認真貫徹落實[1]。2018年國務院辦公廳出臺了《關于促進“互聯網+醫療健康”發展的意見》[2]，相繼全國各地先后出臺相關智慧醫療建設規劃，全面開啟了智慧醫院建設。智慧醫院建設目標為利用信息化、智慧化等技術手段優化就醫流程、增強醫療機構便民服務能力、改善患者就醫體驗與提升醫療救治水平，切實解決廣大人民群眾看病難、看病貴及因優質醫療資源不均引起的各種醫療問題，甚至因醫療數據和患者隱私等泄露引起的醫患矛盾，具有劃時代意義和作用。

當前，智慧醫院體系建設是運用云計算、邊緣計算、互聯網、大數據、區塊鏈、空間計算、人工智能、超融合、物聯網、云一網一端融合等新一代信息化技術[3]，與現有業務深度融合或全新設計進而打造全新的智慧型信息化醫院，實現從數據到應用、從業務到網絡的全面可視化管理，并形成具備數據分析挖掘、AI建模反射、效益精細化和服務精準化管理的全方位醫療信息體系。該體系建設數據為核心，安全是保障，但往往數據安全容易被忽略，特別是邊界的數據交換更是所有醫院內部業務與外部其他業務進行數據交互時無法避免的業務鏈條(醫保、預約、銀醫、互聯網醫院、 集團醫院模式、區域協同、遠程會診等)，因此，如何實現并確保邊界醫療數據安全進行交互成了極具意義且亟須解決的問題。在這種背景下本院自主規劃設計了智慧數據安全交換平臺，采用全新軟件定義網絡(software defined network，SDN)/網絡功能虛擬化(network functions virtualization，NFV)體系架構，以保障醫院內外互聯需求和場景下數據安全交換，除取代現有傳統的下一代防火墻、安全交換網閘、數據庫及行為審計等功能外，還具備統一管理界面、數據流、控制流全面監管、元數據的處理和智能動、靜態脫敏、態勢感知等安全能力，為互聯醫療業務開展提供了一個安全、智慧、便捷高效地運行環境。

1 現狀分析

當前，本院業務內網是以醫院信息系統為核心，實驗室信息系統、影像歸檔和通信系統為輔助，外掛對外醫療業務為途徑的簡單傳統交換安全模式，其建設思路以網絡數據傳輸為核心，采用傳統硬件設備進行區域隔離與控制的方法，配合路由、NAT、ACL和包過濾等傳統安全檢測和防御手段，實現與外聯業務的互聯互通。目前，本院現有對外連接業務主要包括醫保、一卡通、銀醫、預約、支付寶、衛生健康委等，且每條連接均有獨立的網絡體系支撐對外進行數據交換。交換體系由內、外兩部分網絡組成，共計3臺防火墻組成，外部網和內部網僅各部署1臺前置機，內部訪問鏈路路由至1臺三層交換機上，通過ACL作為最后的控制節點。該體系主機負荷較大，基本沒有安全緩沖區，更沒有應用層和數據層的管理及監控措施，管理極為不便且各自為政，甚至存在因網絡技術員管理不規范、操作流程簡化與粗心等客觀因素而引發的各種安全風險事件頻發。

2 下一代網絡安全架構體系

2.1 SDN/NFV架構

SDN已被業界內人士和廣大網絡安全生產廠商認為是一種具有打破傳統硬件格局的創新型網絡架構，其采用的是以軟件定義的方式改變現有硬件防護的模式，主要設計理念為將網絡控制與數據轉發這2個平面從硬件一體化的基礎上實現由軟件進行分離[4]，將網絡應用與網絡服務、網元設備之間的相互交互融合緊密地連接在一起，其不在乎也不關注利用何種載體，通過一個邏輯層面上的網絡控制集中進行可編程化控制，并協調與網元設備進行交互的應用程序，以及保障應用與網元設備之間的通信與傳輸[5]。SDN體系架構可以分為3層，即基礎設施層、控制層和應用層。基礎設施層與控制層之間的交互是通過控制數據平面接口(南向接口)[6]，控制層與應用層之間的交互是通過應用程序編程接口(北向接口)，這樣通過南北向接口之間的交互[7]，就可構建全局的網絡視圖，不僅實現了傳統網絡架構中控制平面的功能，同時實現了各種不同的網絡應用，使網絡的轉發行為能通過軟件進行靈活且自主定義和編排，達到網絡具備智能化的作用。SDN架構見圖1。

圖1 SDN架構

NFV是將基于傳統物理硬件的主要網絡設備(如服務器、核心交換機、存儲單元、GPU、路由器等)采用虛擬化或超融合架構的方式重新構建一個具備自動感知與運維的網絡服務基礎架構，將這些硬件基礎設施提供的功能以軟件或虛擬化的形式部署在VM上或云平臺內，用以承載傳統CT和IT應用，從而實現軟與硬件之間的完全解耦合，使這些基礎硬件提供的網絡與應用功能不再依托于硬件上運行，以達到資源之間可充分復用和共享，同時便利于后期更多的業務能夠在此基礎上進行快速部署、應用及開發[8]。當然，NFV的另一個更重要的特點就是通過采用虛擬化方式的部署可以在業務需求突發變化時，其自身可以進行內部自動部署和調整、故障自我隔離和自愈及應用彈性伸縮等[9-12]。NFV架構可以分為3個層次,即NFV基礎硬件設施層、網絡功能虛擬應用層和NFV管理與編排層，其架構見圖2。

圖2 NFV架構

NFV與SDN在基礎設施層采用的技術是基本上一致的，大都是采用X86通用服務器，利用云計算和虛擬化技術這一些技術來實現的，同時二者相互獨立，又存在互補關系，因此，二者相融合必將構建一種全新的智慧型網絡創新架構，具備無窮的潛在價值。該架構的網絡必然是可編程的、健壯的、可開發的、可互操作的、虛擬和物理共存的，且具備與云進行融合的自愈型網絡構架。

2.2 軟件定義安全(software defined security，SDS)架構

SDS架構是一種全新的安全架構，與傳統安全架構存在明顯不同，但從來都不是一種標準，其具備安全自動化、安全信息智能化、移動目標防御及可編程性等功能，不僅能實現安全策略自動配置下發、安全資源自動化調度管理和自主編排安全功能，同時也能抽象底層安全設備，將獨立的、存在差異的安全設備抽象成統一的安全資源，形成透明、統一的模式提供給管理者。該架構包括安全應用、安全控制平臺和開發安全設備三部分，具有開放的生態環境、控制平面與數據平面分離、可編程的安全能力和與網絡環境松耦合等特點，其架構與SDN相似，但強調的是通過將安全控制平面上移，因此，結合SDN/NFV技術可實現安全網元設備快速部署與應用，且靈活統一管理安全資源。SDS架構見圖3。

圖3 SDS架構

3 平臺體系設計

本院智慧數據安全交換平臺采用并融合了國際上先進的體系架構與設計理念，自主研發并設計將SDN、NFV和SDS三者進行深度融合，從而構建功能復用、數據共享、防護一體化、數據流向、管理全面可視化的創新網絡架構。該架構是采用Open Stack等與超融合架構作為平臺運行基礎環境，根據平臺運行要求及業務需求增長可方便、任意的增加底層硬件以獲得性能和空間上的提升；平臺采取統一界面管理，內部所有功能均是一級界面控制，且所有功能及經過平臺的數據都能全面管控和可視化展示；平臺功能組件均采用虛擬組件方式部署，取代傳統的安全硬件來實現全部安全功能，方便統籌交換和數據流管理，虛擬組件包含但不限于防火墻、入侵防御、行為管理、WEB防火墻、VPN、審計系統(日志、網絡、數據庫、運維、行為)、基線核查漏洞掃描、網絡態勢感知分析、動靜態脫敏、數據防泄露等。該平臺體系構架首創新穎，安全和管理功能全面且完善，實現從業務、控制數據等全方位管控，功能結構、數據清晰透明，遵循等級保護2.0原則，在醫療網絡和互聯網、專用網間構建了一個全新的邊界防護體系，其具有領先、實用和指導的重要意義，將為今后醫療行業甚至國家網絡安全與建設提供另一種不同以往的建設思路。

平臺建設既要保障基礎設施底層安全、業務應用、數據交換等多源異構化的安全防護需求，也要構建智慧型網絡安全分析決策中心與統一運維管理中心[11]。通過對多維度安全事件進行針對性的建模，將入侵檢測、病毒特征匹配及威脅漏洞等基礎性安全防護能力采用規范化、標準化方式進行封裝，建立具備可視化、編排性及流程化的調度安全技術和能力體系，以保障針對平臺的各類安全事件與威脅、不同安全應用場景的自動化防御和處置。平臺體系架構見圖4。數據安全交換平臺網絡拓撲見圖5。

圖4 平臺體系架構

圖5 數據安全交換平臺網絡拓撲示意圖

4 建設內容及實現

4.1 平臺底層架構

在內外網業務邊界構建數據安全交換平臺，實現內外網之間的安全隔離，讓內外網交互的業務數據經過平臺進行精細化管理和清洗。平臺通過云化方式實現，確保平臺在性能上的彈性擴容；且平臺底層具備通用性和開放性，確保后期更多安全功能的合入和更廣泛的三方安全能力兼容。

本平臺底層設計是采用超融合架構及Open Stack等技術借助通用X86服務器硬件為運行載體、以軟件為核心構建底層軟件與硬件為一體的體系架構，是將計算、安全、GPU、網絡及存儲等硬件化的資源進行統一而全面的虛擬化，實現整個平臺資源動態分配調度、資源高可用與靈活易擴展、資源服務流程易編排等能力，提供了高效、穩定、動態、可靠的底層運行環境[13-18]。

4.2 平臺管理要求

建立具有統一門戶、統一權限、統一界面的平臺管理端，通過聯動各安全組件，利用算法進行AI智能分析經過元數據治理形成統一的數據標準，在與對外業務進行交互時其數據需根據算法、自定義規則實現對其靜態、動態的脫敏處理后方可放行，從而有效保障數據全生命周期防護，以及數據的安全性、隱私性，避免數據外泄而到導致不必要的麻煩。平臺管理模式：(1)統一資源管理模式，根據不同業務需求進行橫向和縱向擴展，避免因運算速度、內存容量、存儲帶寬等性能瓶頸原因導致業務中斷；(2)統一安全資源聯動模式，可根據業務中出現的安全風險能夠實現聯動發現及阻斷，提高安全資源的利用率，實現全局安全防護；(3)統一運維管理中心，可對平臺中的所有組件、策略、管理、日志進行管控，并采用統一匯總模式提供業務、安全等相應地風險；(4)智能化控制策略管理能力，根據實際業務進行建模，構建安全組件的策略、防護等AI自主化學習，實現無須人為干預的自動化安全防御措施，達到智能化管理能力。

4.3 安全管控設計

安全組件采用分布式部署方式將平臺縱深至內部網絡，建設涵蓋邊界安全、主機安全、通信安全、安全審計等組件，滿足網絡安全防御能力和接入單位(或用戶)強身份認證、數據訪問動態訪問控制、高級威脅發現等安全能力，能抵御常規網絡攻擊、蠕蟲傳播、應用層攻擊、數據庫攻擊等，并能結合安全大數據技術和沙箱技術識別網絡中的高級威脅、未知位置，通過組件間的聯動技術實現AI自主分析網絡風險與自動阻斷未知安全威脅[19-20]。同時實時采集各域安全組件的安全風險事件，基于安全分析模型根據事件的風險類型與威脅程度進行自主動態感知與防護，通過不斷完善與更新模型建立自愈型統一安全防護策略中心，對整個平臺安全運行進行運維管理。所有安全組件能力被平臺統一集成，可通過API、Open Flow流表定義、統一控制數據庫等多種形式進行數據采集及安全策略下發，實現覆蓋醫院整網的、技術領先的安全享交換平臺。

基于平臺安全基礎上建立數據安全管控中心，提供數據分析、數據防泄露、數據脫敏、數據加密等多種安全防護手段，對數據全生命周期的過程中進行狀態監控，并對整個數據安全過程風險分析與防護。所有數據安全能力被平臺統一集成，同時與各安全組件之間無縫聯動，實現實時監測、分析、提取、阻斷異常數據傳輸等功能。當前本院自主設計的平臺安全組件主要有以下幾部分組成，其組件架構見圖6。

圖6 平臺安全組件架構

4.4 元數據集成與治理應用

通過對元數據匯聚整合、提純加工，讓數據服務可視化、將臨床業務生產資料轉變為數據生產力，同時數據生產力反哺臨床，不斷迭代循環，讓數據驅動決策，提供運營數據價值。其不僅有助于優化現有臨床業務，更可助力新業務的創新，同時能提供精細化運營，打造持續增值的數據資產，同時采用數據集成與治理方式構建邊界醫療數據交互的統一數據標準與規范。建立基于算法的數據模型，利用AI智能算法分析實現自動進行數據治理、清洗，建立清晰的數據目錄、數據關聯，有效梳理整理出數據資產、數據目錄，理清數據的含義、存儲及所屬信息等，具備能自動聯動平臺內其他安全組件，實現數據安全管理貫穿于數據集成與治理的整個過程，提供對隱私數據的加密、脫敏、模糊 化處理、數據庫授權監控等多種數據安全管理措施，全方位保障數據的安全運作。元數據集成治理架構見圖7。

圖7 元數據集成治理架構

4.5 5G網絡支持與優化

網絡是基礎，平臺是核心，安全是保障，傳輸網絡是系統穩定運行的關鍵環節之一，因此，本設計中傳輸將采用5G網絡，利用5G技術實現支持不同場景的個性化需求，建立靈活、隨需而變的IT服務化核心網架構。5G網絡具有高速率、大容量、低時延及核心網全面云化的特點[9]，同時在網絡切片方面，通過統一編排可以將5G、NB-I0T、光網、云資源池等封裝為統一的切片，同時疊加本院自主設計的后勤綜合管理平臺，為本院后勤信息化提供全新的差異化服務。5G網絡總體架構見圖8。

圖8 5G網絡總體架構

4.6 物聯網傳輸支持與優化

物聯網是國家新基建中涉及新一代信息技術中的重要部分之一，但準確來說其核心與基礎仍舊是借助現有互聯網，其是在當前互聯網架構與體系的基礎上進行“無限”與“泛在”的延伸和擴展。物理網有著“泛互聯”的特征，可以通過X-RFID、LoRa、ZigBee、藍牙和5G等傳輸技術與各類先進的傳感設備按照約定協議，將對人、機、物和事件等互聯互通，實現對“萬事萬物”的識別與定位，同時可追溯、可管控的智能應用和管理，從而構建一個智慧化的萬物互聯傳輸網絡[8]。物聯網建設見圖9。

圖9 物聯網建設

5 建設成效與意義

5.1 功能快速部署與拓展

依托于云安全平臺的安全技術整合能力，平臺所有安全防護能力須具備統一一體化交付能力，參照國家《網絡安全法》、“等級保護制度”等相關規定與技術參照標準指導本院信息網絡安全建設[10]，在平臺內部通過安全組件按需選配方式即可快速具備業務的安全防護能力，無須獲取某項安全技術能力時可按需對不同安全產品進行單獨的采購、配置、授權等。同時滿足未來針對智慧醫院相關建設、電子病歷及互聯互通評級的時候，可與時俱進，根據新政策要求進行相應安全組件的彈性拓展和升級，無須采購硬件設備進行堆砌。

5.2 多源異構與松耦合架構

在數據安全交換平臺設計中不僅涵蓋原有安全能力與第三方安全生態能力，采用開放式業內標準接口，支持多種數據接入協議，多源異構，全量采集，兼容國內主流安全廠商、數通廠商與服務商的安全組件，第三方組件可快速集成至平臺中，通過平臺強大的融合性、包容性打通數據與管理瓶頸，全面提升安全能力[21-22]。

5.3 運維管控統一與全面

平臺采取組件分布式部署，通過建立統一的安全組件管理體系負責平臺內部組件及控制、控制數據的統一管理，簡化網絡架構的同時提升管控維度及效率。該體系可根據自身業務場景定義安全服務組件，也可根據不同業務階段的需求組合安全服務，簡單高效。

5.4 數據融合技術與標準

平臺內組建數據治理、數據采集、分類等數據安全相關組件，融合大數據技術架構，可根據業務需求實現數據安全分析建模和多維度態勢展示。在基于業務敏感數據自動發現、數據分級分類、數據透明加密、業務脆弱性檢測、減少平臺性能和業務損耗開銷等方面，加強對敏感數據識別、追蹤，利用內容識別、UEBA、機器學習，利用內容識別、UEBA、機器學習等技術，及時發現數據所承載的系統、業務、網絡、終端中的安全威脅，提前做好防范措施，讓數據防護可視化，安全防范透明化。

5.5 “云一網一端”全層次閉環可視化立體防護

數據交換安全平臺建設考慮主動防護和閉環安全，打造集檢測、防御、響應與處置為一體的全閉環網絡信息安全防護體系，變被動防御為主動防御，構建云一網一端(云，海量云端數據共享；網，保障邊界安全；端，保障終端接入安全)多維度網絡安全架構。同時需兼具智能協同，持續進化，運用人工智能技術，解決黑白名單、特征、規則無法解決的單一規則問題，以AI驅動防御、檢測、響應，提升閉環安全的自動化水平，以數據、算法、人驅動模型迭代，使AI不斷適應新威脅、新形勢。

6 結 語

智慧醫療數據交換平臺是本院網絡信息安全建設中的重中之重，是實現院內外，醫院內各部門之前信息聯動、交換、共享的基礎，其不僅有助于醫院信息安全與隱私保護，更有利于本單位系統內同其他醫療單位之間的醫療數據互聯互通。當前，本院智慧醫院數據中的各系統仍需逐步建設和完善，智慧醫院發展之路也需不斷探索與實踐。將來智慧醫院得發展必將會推動衛生醫療行業的發展，真正實現“智慧”二字，不僅能為醫院提供智慧管理、智慧教學和智慧后勤等優質服務，同時還能為廣大患者提供更為便捷、人性化、個性化的智慧醫療服務，切實助力我國衛生健康事業發展。