台北附醫擁抱雲端 不只省錢還要安全

雲端運算是現今資訊產業的明星話題，不只政府投注資源打造雲端產業，資訊業者相繼推出雲端服務，就連企業也開始準備、甚至已經朝雲端發展，台北醫學大學附設醫院（以下簡稱台北附醫）便是其一，「雲端架構可以大幅降低醫院的IT成本，是醫療資訊未來必然的發展方向，」台北附醫資訊室主任肯定地說。

混合雲架構  兼顧成本與安全

由於雲端平台目前仍有資安疑慮，為能兼顧成本與安全考量，台北附醫決定採用混合雲的架構（表一），根據系統特性及機密程度來決定放上雲端平台的方式。

第一、即時性較高的系統，例如：門診或批價系統，將維持原有Thin-Client架構，暫時不考慮放上雲端平台，這是因為此類系統直接面對民眾，對穩定性要求相當高，連當機1分鐘的情況都不允許，一旦將門診／批價系統放上雲端，屆時如果出現問題會對醫院造成很大的影響，因此，目前沒有放上雲端的規劃，即便未來改變計劃也會以私雲為主。

第二、對外系統放公雲、內部系統放私雲，謝逸中進一步解釋，雲端平台目前仍有安全爭議，但若將所有系統都放在私雲裡，又無法真正發揮降低成本的效益，因此，台北附醫的做法是，對外服務的系統放在公有雲的資料中心，例如：官方網站、網路掛號系統等，至於內部應用系統則統一放在私雲裡，如：住院、人事行政等，除非未來資安廠商針對雲端平台提供相關的安全機制，才會考慮把所有系統都移至公雲的資料中心。

第三、跨院區建置電子病歷私有雲，台北醫學大學除了自家的附設醫院外，也接受政府委託經營萬芳醫院和署立雙和醫院，目前這三家醫院的資訊室各自獨立，電子病歷系統也由各自的IT人員負責維護，未來則計劃共同建置一朵電子病歷私有雲，這是因為電子病歷占儲存容量大、但所需的運算資源小，如果跨院區共同建置儲存空間，不僅可以降低成本，同時也能簡化病患在三家醫院轉診的程序。

表一：台北附醫雲端規劃表

製表：《資安人》雜誌整理，2010/10

在清楚規劃出雲端系統架構後，台北附醫的下一步就是建置私有雲，經過評估與測試，台北附醫選擇VMware解決方案，將30~40台伺服器整併成一台刀鋒伺服器，同時也己將門診、批價、電子病歷及住院以外的系統，轉移至私有雲平台上，之後則是評估市場上的公雲解決方案，以及HIS系統改版作業。

單就硬體整併的效益來看，不只機房節省至少40%的電費與冷氣費，就連設備維護成本也跟著降低，以前因為機器數量多，故障的點也多，MIS為了維護設備經常疲於奔命，如今整併在一台機器上，比較不用擔心設備老舊的問題，而且可以降低資訊人員的學習成本，以前每台伺服器的採購時間點不同，廠牌、型號也就不一樣，資訊人員必須同時瞭解各廠牌伺服器的架構，如今只要學習一套架構就可以，維護上也就輕鬆許多。

醫院資安問題  內部風險高於外部攻擊

資料外洩的原因只有二種，不是外部駭客攻擊，就是內部員工有意（或無心）洩露，而。

然而，請醫護人員不要複製或洩露病歷資料，不能只是口頭上的道德勸說，必須配合IT工具管控，才能有效防堵，因此，台北附醫從2010年初開始在Endpoint端導入DLP，透過IT工具管理內部員工使用病歷資料的狀況，降低病患資料外洩的風險。

由於使用者習慣改變是需要時間的，為免引起醫護人員反彈聲浪，及影響醫療作業的效率，台北附醫初期的做法是只定義異常使用行為，但不設文件阻擋規則，當DLP偵測到異常使用行為時，如：一次下載超過20筆以上的病歷資料、或是用隨身碟複製病歷資料等，便跳出警告訊息並予以記錄，而使用者一旦知道系統會記錄他的使用行為，在使用資料時就會變得比較謹慎。

同時，IT人員平均1~2個禮拜就會去檢視DLP系統記錄，從記錄去思考如何制定資料管理政策，預估到年底時就會定出比較明確的阻擋規則，舉例來說：根據使用者職務別決定下載病歷資料的筆數，像門診室通常一次只會下載一筆病歷資料，但若是醫療事務室的病歷組或保險組，可能就有大量下載病歷資料的需求，這部份可以結合固定IP來達到目的，另外也可規定含有病歷號碼、電話、與地址等資訊的PDF文件，就不能列印或儲存，如此就能確保員工的使用行為符合醫院管理規範。

除了導入DLP以外，定期的教育訓練也是必須的，「使用者需要被教育，才會懂得資訊安全的重要性，」謝逸中說，很多時候醫院員工不是故意洩露資料，而是資安意識不足，或是不知道嚴重性，才會在無意間洩露資料。

台北附醫不只將資安課程列為每年員工訓練的必修課，也會不定期在晨會上進行案例剖析，說明最近發生的資料外洩案例及相同狀況可能對醫院造成的影響，從而建立使用者的資安意識，參與對象不只醫院的正式員工，連實習學生也要一併參與，重點在於建立使用者的資安認知，雖然這並不容易，但謝逸中認為只要掌握一個重點，就是讓員工明白資安問題會影響醫院營收，甚至會衝擊個人工作收入，如此員工就比較能認同醫院的資安措施。

建立標準服務流程  降低系統與人員管理問題

前述提及，台北附醫正在進行HIS系統改版作業，謝逸中希望藉由這個機會統一院內的IT服務流程，由於使用者需求實在太多，軟體工程師經常在開發新的功能模組，如果沒有一套標準的服務流程，日後容易引發系統與管理上的問題。

舉例來說，以前軟體工程師開發完新的功能模組後，就直接讓該模組上線，但上線後難免會遇到問題，如果上線日恰巧又是醫院業務繁忙的時候，就會對營運造成影響，所以，謝逸中之後規定只有星期二和四為系統上線日，無論新的功能模組何時開發完成，都只能在這兩天上線，以免影響醫院日常運作。

再者，系統出問題時，使用者通常會直接打電話給負責開發的軟體工程師，但軟體組組長卻不知道這件事，形成管理上的黑箱，軟體工程師默默地修改系統，卻沒有人知道他在做這些事，也或者軟體工程師人員異動造成系統銜接不易，這些都是服務流程沒有標準化所產生的問題。

「以前台北附醫的資訊系統就像傳統柑仔店，現在則要發展成超市的規模，所以必須建立一套服務流程標準化的制度，」謝逸中如此形容，建立制度的第一步就是成立標準作業組，由專人負責相關作業。

原本，台北附醫資訊室只有系統與軟體兩個編制，現正計劃成立標準作業組，成員約莫3人，由資深軟體工程師轉任，主要工作包括：檢視IT基礎架構安全性、審核使用者需求及派工（類似專案管理的作法）、資訊安全規劃、調查(survey)產品、負責標準導入相關事宜、整合院內各項標準制度。

標準作業組目前最重要的工作有兩個，一個是導入ISO 20000(IT Service Management, ITSM)標準，這是以ITIL為核心，針對IT服務管理所訂定的一套國際標準，另外一個則是擴大ISO 27001驗證範圍，雖然，台北附醫在2009年底便已通過ISO 27001驗證，但驗證範圍僅機房與健康管理系統而已，謝逸中希望深化ISMS應用，因此2010年又再度啟動ISMS導入工作，希望將驗證範圍擴大到電子病歷、門診、急診和住院系統。

擁抱雲端，安全議題不能輕忽，未來，台北附醫將持續強化資安機制，例如：增加手機簡訊動態密碼機制，強化網路服務身份驗證的可靠度，針對電子病歷及公雲平台導入加密機制，確保資料安全性，希望能用最安全的方式擁抱雲端。