医院数据安全“敏捷运维”的六大难点与对策

来源：HIT专家网 作者：徐胜旺

当前医院在实行数字化转型，同时也面临越来越多的数据安全运维挑战。如很多医院不仅部署备份系统，还引入CDP（Continuous Data Protection，持续数据保护）、双机热备、数据库双活等灾备技术。系统架构日益复杂，各项技术的安全边界较难厘清，医院的数据安全防护方案设计困难重重。

为支撑业务连续性并提升安全防护效率，建议在数据安全保护领域引入“敏捷运维”概念，即IT运维团队根据业务需求，快速响应数据安全运维要求，实现运维场景服务化工具的快速落地。其中，自动化服务工具是关键。

通过一系列项目实践和走访调研，笔者梳理了当前医院数据安全建设面临的六大难点，并提出基于“敏捷运维”理念的应对策略。

难点一：数据安全保护策略设定缺乏规范性、自主性

一是业务系统众多，安全保护策略部署繁琐。医院数据保护实践中，业务系统类型繁杂是显著挑战。如HIS系统、电子病历系统，均需独立保护策略。但实施时涉及大量跨部门的协调工作，还可能需要不同服务商协同作业。

与此同时，很多医院数据安全保护策略设定过于依赖经验，缺乏客观标准和持续评估机制。策略设定完成后易被忽视，系统故障时才重新审视保护策略的实际状态和有效性。

以双活存储为例，某医院的实际配置是基于存储空间或逻辑卷进行的：HIS系统部署于双活卷，电子病历系统部署于独立卷，而OA和邮件系统则分别运行于单台存储设备上。因此，当一台存储服务器发生故障时，直接导致电子病历系统长时间中断，根本原因在于其未以双活模式配置。

二是数据安全产品结构复杂，自主可控程度较低。很多医院数据安全产品的早期版本操作流程复杂，需专业人员逐层配置，医院难自主掌控。

对策：

一是引入模板化的策略管理机制。针对不同业务系统制定专属保护策略，如HIS系统采用特定策略，普通业务系统采用通用策略。还可依据业务重要程度，将保护策略划分为多个等级，如一级实时保护、二级15分钟间隔保护、三级每日一次保护等。运维人员在实际配置时，只需在备份策略中调用相应模板即可完成设定。这既提高了策略实施规范性与效率，也增强了整个容灾备份系统的可维护性、可靠性。

二是施行无侵入和绿色的保护模式，实现One Web To All，也即只需在同一管理界面输入目标系统的IP地址和登录凭证，确认后即可自动完成代理程序的静默部署。若要同时保护数十、上百、上千个业务系统，可利用批量部署功能：从堡垒机导出系统凭证清单，一键导入、一键批量部署，实现大规模业务自动纳入管理与策略配置。

三是通过技术创新与交互优化，实现数据安全产品的高度预设与可视化操作，提升医院对安全防护的自主掌控能力。

难点二：缺乏有效灾备演练，备份系统易成演练“盲区”

医院数据安全运维演练是保障医疗业务连续性和数据完整性的核心手段。但当前医院灾备演练存在如下问题：

一是演练周期长、环境搭建繁琐，操作难度大，许多医院未有效开展容灾演练。部分演练流于形式，未模拟真实业务场景。

二是备份与CDP系统易成演练与防护“盲区”。备份与CDP系统通常被归为“非生产”类别，在灾备演练与日常防护中易被忽略。特别是因操作系统更新、应用程序升级、端口与防火墙配置调整、通信链路中断、最小化应用排错等原因导致的备份停止，很难被及时察觉。当出现勒索病毒等恶意攻击时，备份系统常成为首轮攻击目标。

三是演练易忽略网络配置等细节。开展系统演练时存在认知偏差，如仅以操作系统与数据库能否正常启动作为判定演练成功与否的依据；而路由连通方式、是否依赖域名访问、代码中是否硬编码IP地址等网络配置细节常被忽视，后者却直接影响接管操作的可行性。

对策：

一是有效的演练应聚焦应用可用性和业务可切换性，并贴近真实业务场景验证。目前，国内金融行业普遍开展年度切换演练。借助现代数据安全技术，医院亦可实现精细化演练编排，如自定义服务启动顺序，先启动数据库，后启动中间件，最后启动前端应用，每个启动均施行可侦测的“真启动”验证。这种基于时间与有效性确认的编排策略可模拟真实故障接管流程，提升演练的实用性与可靠性。

二是清晰界定演练与生产网络，在设计阶段充分考量二者配置关联。演练及接管操作应在与生产环境一致的原生网络内实施，如生产网络用10网段，演练和接管也在该网段。通过逻辑或物理的方式形成隔离网络，对隔离进行模拟验证，连通则用于实际接管。如此，系统可在高度模拟真实环境的私有网络中运行，前端应用、中间件和数据库可在维持网络依赖不变时完成全链路验证，确保演练结果可信度与接管操作可靠性，从网络层面支撑业务连续性。

三是在自动化方面，通过副本同步、冗余部署、心跳检测等技术实现自动故障切换。心跳检测可深入IP检测、应用状态监控，实时判定业务活跃状态，精准决策切换。智能化演练方案可将非计划停机转为计划内操作，增强系统韧性。

难点三：业务回迁与数据割接机制不灵活

传统业务割接一般需在夜间设置停机时段，并预先向全院发布通告，操作时需将数据整体回滚至指定设备。此方式不仅流程繁杂，还伴有较高风险与业务影响。

对策：

业务在线接管、回迁及割接。生产系统故障且接管机启动后，可在线将业务切换至新目标设备（临时接管机或新机），业务先行。当原生产机修复（或新购）后，可利用业务切换功能将接管期间临时接管机上的增量数据一键回写入原生产机，实现平稳割接，目标机获取最新数据并恢复业务，实现业务快速割接。此方式降低了业务回迁复杂度，若割接失败，系统支持快速回退原生产环境运行。

难点四：计算资源管理分散化

目前，医院信息中心有大量闲置计算资源，包括老旧服务器和超融合环境中未充分利用部分。

对策：

计算资源通过统一纳管平台整合，建成可灵活调度的算力库。比如集中管理不同来源（虚拟化或物理机）的闲置CPU与内存资源。在容灾验证或实际接管时，按需确定计算资源规模、来源和平台类型。通过预设资源分配策略，系统可在生产机正常运行时，提前为目标接管机配置所需CPU、内存等资源并使其处于待命状态。一旦生产系统故障，可手动或自动一键触发，快速平稳完成业务接管，增强应急响应便捷性与可靠性。

难点五：访问控制和权限管理跨部门协作难

尽管医院内部已明确划分运维职责（业务、安全与运营各负其责），但跨系统协调与故障响应时，仍存在责任界定模糊、协作成本高的问题。

对策：

借助“租户管理”机制，为不同业务系统分配独立管理权限。如设HIS租户、电子病历租户，各系统运维人员仅能访问和管理其负责系统的备份、策略及演练操作。权限可精细化分配，具有查看、部分修改或完全控制等功能。同时，系统管理员可统筹查看所有租户的资源分配与运维情况。

难点六：运维移动化支持不足

传统运维操作依托本地化或机房化，“人”的物理位置受控。医院数据安全运维模式亟待步向移动化、远程化。

对策：

若医院有统一运维平台，可将数据安全系统的API与接口接入，实现单点登录与集成管理，用户在运维平台点击模块即可访问完整管理界面。借助手机实时查看系统安全状态、接收告警信息并开展初步操作与响应。

如OA系统故障时，运维人员可在手机端滑动操作触发业务接管流程（已做好OA的接管编排并演练），指令实时传输至生产环境完成系统切换。

当然，再先进的产品也无法完全消除业务中断的风险。唯有将产品能力、专业服务与机制建设三者相结合，才能在突发情况下提供可靠的应急响应与交付体验，最终保障医院业务持续、稳定、安全运行。 希望“敏捷运维”理念助力数据安全防护水平的不断提升，让医院成为“敢想、敢做、敢测、敢用”的技术革新者。

【作者简介】

徐胜旺，深圳市数存科技有限公司董事长（创始人）。

【责任编辑：晓青】