降低運維成本提升信息安全

1、降低運維成本提升信息安全同濟大學(xué)附屬同濟醫(yī)院（以下簡稱"同濟醫(yī)院”） 位于上海市普陀區(qū)，是該區(qū)唯一一所集醫(yī)療、教學(xué)、科研、 預(yù)防為一體的三級甲等綜合性醫(yī)院。目前醫(yī)院開放床位1080 張，2011年門急診人次175萬、出院人次3. 6萬。同濟醫(yī)院計算機中心的技術(shù)實力在醫(yī)療行業(yè)位居前列， 其his系統(tǒng)由醫(yī)院自主研發(fā)。最近七、八年，醫(yī)院的信息化 建設(shè)搞得有聲有色。隨著云計算和移動終端技術(shù)的發(fā)展，同濟醫(yī)院意識到， 應(yīng)該采用新技術(shù)解決現(xiàn)在it架構(gòu)的兩大問題：運維成本高、 信息安全風(fēng)險大。同時以此為契機，提高it資源利用率， 實現(xiàn)移動醫(yī)療，更好地服務(wù)于醫(yī)院的發(fā)展。2012年3月，同 濟醫(yī)院采用v

2、mware+cisco+emc三方的云平臺解決方案，全 面建設(shè)私有云，信息基礎(chǔ)架構(gòu)建設(shè)達(dá)到一種新的高度。運維成本降低30%以上跟大部分醫(yī)院一樣，同濟醫(yī)院之前也是為每個應(yīng)用單獨 配置服務(wù)器,his、emr、lis、pacs、0a等加在一起總共有 近40臺物理服務(wù)器，維護這些不同時期、不同規(guī)格、不同 操作系統(tǒng)的服務(wù)器，工作量非常大。建成私有云后，同濟醫(yī)院采用vmwarevsphere 5. 0云操 作系統(tǒng)，6個思科ucs刀片服務(wù)器就可以取代40臺物理服務(wù) 器，不僅減少了機房空間占用，節(jié)能減排，也減少了服務(wù)器 維護工作量。目前，同濟醫(yī)院大約80%的應(yīng)用都已經(jīng)實現(xiàn)了服務(wù)器虛 擬化。除了 his外，其它

3、如pacs、lis、emr、0a、內(nèi)外網(wǎng)等 系統(tǒng)都運行在虛擬環(huán)境。桌面端維護工作量的降低更為可觀。通過vmware view 5.0桌面虛擬化軟件，桌面端真正的計算在數(shù)據(jù)中心完成， 每一個桌面端的系統(tǒng)、應(yīng)用和數(shù)據(jù)都放在數(shù)據(jù)中心。因此， 桌面端的維護也全部在數(shù)據(jù)中心完成，再也不用滿醫(yī)院跑。 例如，以前新安裝一臺醫(yī)生工作站，程序和應(yīng)用安裝加上來 回路途，至少要花費1小時；現(xiàn)在，新建一個虛擬桌面只需 要10分鐘左右。從1小時到10分鐘，不僅提高了工作效率, 也降低了運維成本。建成私有云以后，機房空間也節(jié)省50%以上。之前近40 臺服務(wù)器加上存儲占滿了 5個機柜，現(xiàn)在服務(wù)器和存儲僅各 占1個機柜。服務(wù)

4、器和客戶端的運維工作量也大大降低。粗 略估算，兩項加起來，運維成本可節(jié)省30%以上。信息安全性更高醫(yī)院的信息安全不僅事關(guān)業(yè)務(wù)的連續(xù)性，更關(guān)乎患者的 隱私。同濟醫(yī)院經(jīng)過分析研究認(rèn)為，客戶端pc是極大的安 全隱患。在云架構(gòu)下，終端用戶在客戶端輸入密碼，卻在云端操 作。黑客無法從終端直接攻擊后臺數(shù)據(jù)庫。因此，采用云桌 面以后，同濟醫(yī)院的數(shù)據(jù)安全風(fēng)險大幅降低。此外，同濟醫(yī)院創(chuàng)造性地利用數(shù)據(jù)庫精細(xì)審計功能，在 his系統(tǒng)中拋棄原廠數(shù)據(jù)庫賬戶密碼安全機制。終端用戶輸 入賬戶密碼后，不是立即獲得數(shù)據(jù)庫權(quán)限，而是要通過安全 審計后才賦予權(quán)限。這樣，黑客即使獲得了同濟his系統(tǒng)的 密碼，但是會被審計功能發(fā)現(xiàn)，因

5、而也無法獲取數(shù)據(jù)庫權(quán)限。同時，部署云架構(gòu)之后，系統(tǒng)、應(yīng)用程序和數(shù)據(jù)都存儲在高可靠、高可用的存儲陣列上，存儲陣列之間部署了多種 級別的保護，包括磁盤冗余保護、陣列容災(zāi)保護、vmware ha 高可用保護等等，極大地降低了由技術(shù)帶來的信息安全風(fēng) 險。對目前仍然運行在unix平臺上的his,則通過服務(wù)器雙 機冗余，以及陣列之間的數(shù)據(jù)復(fù)制，同樣保證高可靠性。云服務(wù)推動移動醫(yī)療知名信息技術(shù)研究和分析公司gartner曾預(yù)測2012年十大技術(shù)趨勢，有三大趨勢跟移動應(yīng)用直接相關(guān)：多媒體平 板電腦、以移動為中心的應(yīng)用軟件和接口、應(yīng)用軟件商店。it消費化成為一種重要的趨勢，企業(yè)級應(yīng)用紛紛支持ios智 能終端、a

6、ndroid智能終端。同濟醫(yī)院順應(yīng)這一趨勢，希望更好地為醫(yī)生服務(wù)。移動終端可以甩掉各種連線，以無線聯(lián)網(wǎng)的方式訪問his、pacs、lis、emr系統(tǒng)，移動終端的觸屏功能，高清質(zhì)量的圖像顯示,可以給醫(yī)生帶來更好的使用體驗，也可以更好地為患者服 務(wù)。云桌面使得移動應(yīng)用切實可行。在移動終端上部署云桌 面，對現(xiàn)有應(yīng)用程序幾乎無須改動。此外，服務(wù)器虛擬化也可以帶來更高的系統(tǒng)可用性。同 濟醫(yī)院部署了 vmware ha高可用模塊。當(dāng)一臺物理服務(wù)器出 現(xiàn)故障時,vmware可以自動將該服務(wù)器上的虛擬機轉(zhuǎn)到其它 物理服務(wù)器上，避免業(yè)務(wù)中斷。此前，同濟醫(yī)院都是通過雙 機冗余之類的技術(shù)實現(xiàn)高可用的，出于it投資的

7、考慮，主 要針對重要的系統(tǒng)?，F(xiàn)在，所有虛擬機都可以獲得高可用性。vce解決方案同濟醫(yī)院計算機中心主任郭旭升說：“部署私有云，是 同濟醫(yī)院信息化的重要戰(zhàn)略步驟。經(jīng)過調(diào)研和分析，我們認(rèn) 為vce方案是目前最佳的選擇?！蓖瑵t(yī)院云計算平臺采用了 vmware+emc+ cisco三方的 解決方案。虛擬化平臺采用vmware vshpere 4. 1,虛擬化桌 面采用vmware view 4. 5；服務(wù)器平臺采用了 cisco的ucs 刀片，6個刀片用于生產(chǎn)系統(tǒng)，2個刀片用于災(zāi)備；主存儲 采用emc統(tǒng)一存儲vnx5500,配置ssd企業(yè)閃存盤,600gb sas 磁盤，遠(yuǎn)程數(shù)據(jù)保護包，vnx5500上部署了 pacs、lis、ris 系統(tǒng)。容災(zāi)存儲也采用了 emc統(tǒng)一存儲vnx5300,配有600gb sas和2tb nl-sas （近線sas磁盤），遠(yuǎn)程數(shù)據(jù)保護包。與 主存儲數(shù)據(jù)實現(xiàn)實時同步。容災(zāi)存儲放于醫(yī)院同院區(qū)的另一 幢大樓機房內(nèi)。目前，lis、ris系統(tǒng)部署在虛擬化平臺上；pacs系統(tǒng) 部分組件實現(xiàn)了虛擬化；云桌面采用了 vmware的vdi解決 方案。主存儲vnx 5500承擔(dān)lis、ris、pacs系統(tǒng)的虛擬計 算負(fù)載及ha高可用功能，承擔(dān)云終端的工作負(fù)載和存儲需 求；能夠?qū)崿F(xiàn)云計算的快速災(zāi)備遷移（小于15分鐘）和統(tǒng) 一存儲體系中主備存儲的高可用備份/恢復(fù)機制。vnx