降低运维成本提升信息安全

1、降低运维成本提升信息安全同济大学附属同济医院（以下简称"同济医院”） 位于上海市普陀区，是该区唯一一所集医疗、教学、科研、 预防为一体的三级甲等综合性医院。目前医院开放床位1080 张，2011年门急诊人次175万、出院人次3. 6万。同济医院计算机中心的技术实力在医疗行业位居前列， 其his系统由医院自主研发。最近七、八年，医院的信息化 建设搞得有声有色。随着云计算和移动终端技术的发展，同济医院意识到， 应该采用新技术解决现在it架构的两大问题：运维成本高、 信息安全风险大。同时以此为契机，提高it资源利用率， 实现移动医疗，更好地服务于医院的发展。2012年3月，同 济医院采用v

2、mware+cisco+emc三方的云平台解决方案，全 面建设私有云，信息基础架构建设达到一种新的高度。运维成本降低30%以上跟大部分医院一样，同济医院之前也是为每个应用单独 配置服务器,his、emr、lis、pacs、0a等加在一起总共有 近40台物理服务器，维护这些不同时期、不同规格、不同 操作系统的服务器，工作量非常大。建成私有云后，同济医院采用vmwarevsphere 5. 0云操 作系统，6个思科ucs刀片服务器就可以取代40台物理服务 器，不仅减少了机房空间占用，节能减排，也减少了服务器 维护工作量。目前，同济医院大约80%的应用都已经实现了服务器虚 拟化。除了 his外，其它

3、如pacs、lis、emr、0a、内外网等 系统都运行在虚拟环境。桌面端维护工作量的降低更为可观。通过vmware view 5.0桌面虚拟化软件，桌面端真正的计算在数据中心完成， 每一个桌面端的系统、应用和数据都放在数据中心。因此， 桌面端的维护也全部在数据中心完成，再也不用满医院跑。 例如，以前新安装一台医生工作站，程序和应用安装加上来 回路途，至少要花费1小时；现在，新建一个虚拟桌面只需 要10分钟左右。从1小时到10分钟，不仅提高了工作效率, 也降低了运维成本。建成私有云以后，机房空间也节省50%以上。之前近40 台服务器加上存储占满了 5个机柜，现在服务器和存储仅各 占1个机柜。服务

4、器和客户端的运维工作量也大大降低。粗 略估算，两项加起来，运维成本可节省30%以上。信息安全性更高医院的信息安全不仅事关业务的连续性，更关乎患者的 隐私。同济医院经过分析研究认为，客户端pc是极大的安 全隐患。在云架构下，终端用户在客户端输入密码，却在云端操 作。黑客无法从终端直接攻击后台数据库。因此，采用云桌 面以后，同济医院的数据安全风险大幅降低。此外，同济医院创造性地利用数据库精细审计功能，在 his系统中抛弃原厂数据库账户密码安全机制。终端用户输 入账户密码后，不是立即获得数据库权限，而是要通过安全 审计后才赋予权限。这样，黑客即使获得了同济his系统的 密码，但是会被审计功能发现，因

5、而也无法获取数据库权限。同时，部署云架构之后，系统、应用程序和数据都存储在高可靠、高可用的存储阵列上，存储阵列之间部署了多种 级别的保护，包括磁盘冗余保护、阵列容灾保护、vmware ha 高可用保护等等，极大地降低了由技术带来的信息安全风 险。对目前仍然运行在unix平台上的his,则通过服务器双 机冗余，以及阵列之间的数据复制，同样保证高可靠性。云服务推动移动医疗知名信息技术研究和分析公司gartner曾预测2012年十大技术趋势，有三大趋势跟移动应用直接相关：多媒体平 板电脑、以移动为中心的应用软件和接口、应用软件商店。it消费化成为一种重要的趋势，企业级应用纷纷支持ios智 能终端、a

6、ndroid智能终端。同济医院顺应这一趋势，希望更好地为医生服务。移动终端可以甩掉各种连线，以无线联网的方式访问his、pacs、lis、emr系统，移动终端的触屏功能，高清质量的图像显示,可以给医生带来更好的使用体验，也可以更好地为患者服 务。云桌面使得移动应用切实可行。在移动终端上部署云桌 面，对现有应用程序几乎无须改动。此外，服务器虚拟化也可以带来更高的系统可用性。同 济医院部署了 vmware ha高可用模块。当一台物理服务器出 现故障时,vmware可以自动将该服务器上的虚拟机转到其它 物理服务器上，避免业务中断。此前，同济医院都是通过双 机冗余之类的技术实现高可用的，出于it投资的

7、考虑，主 要针对重要的系统。现在，所有虚拟机都可以获得高可用性。vce解决方案同济医院计算机中心主任郭旭升说：“部署私有云，是 同济医院信息化的重要战略步骤。经过调研和分析，我们认 为vce方案是目前最佳的选择。”同济医院云计算平台采用了 vmware+emc+ cisco三方的 解决方案。虚拟化平台采用vmware vshpere 4. 1,虚拟化桌 面采用vmware view 4. 5；服务器平台采用了 cisco的ucs 刀片，6个刀片用于生产系统，2个刀片用于灾备；主存储 采用emc统一存储vnx5500,配置ssd企业闪存盘,600gb sas 磁盘，远程数据保护包，vnx5500上部署了 pacs、lis、ris 系统。容灾存储也采用了 emc统一存储vnx5300,配有600gb sas和2tb nl-sas （近线sas磁盘），远程数据保护包。与 主存储数据实现实时同步。容灾存储放于医院同院区的另一 幢大楼机房内。目前，lis、ris系统部署在虚拟化平台上；pacs系统 部分组件实现了虚拟化；云桌面采用了 vmware的vdi解决 方案。主存储vnx 5500承担lis、ris、pacs系统的虚拟计 算负载及ha高可用功能，承担云终端的工作负载和存储需 求；能够实现云计算的快速灾备迁移（小于15分钟）和统 一存储体系中主备存储的高可用备份/恢复机制。vnx