数字医疗整体安全解决方案

1、医疗信息系统的整体安全解决方案背景目前以经济核算和资源管理为主的HIS在医院中已广泛被采用，部分医院已经或正在实施CIS和OA。随着医疗体制改革特别是医疗保险制度改革的深入，作为病人医疗信息的拥有者和提供者的医院地位已经渐渐地由主动变得被动起来，从原来的固定客户变成今天的医院找病人，原来简单的医患双边关系转换为医院患者 保险单位银行复杂的多边关系。这就要求HIS不仅仅帮助医院内部提高管理水平、改善服务质量，还要求它能及时、准确地向医保部门提供病人结算数据报表，同时也必须能够提供合法的、合格的、保证医院利益的相关临床信息。因而，HIS建设也相应地从以收费为核心的管理信息系统（Hospital M

2、anagement Information System 逐渐转向以病人为中心的临床信息系统CIS，以进一步满足医疗服务质量的需求。三年前突如其来的那场SARS确实给我们带来了一场灾难，却恰恰暴漏出卫生信息系统建设的严重缺陷-面对突发公共卫生事件而显得无能为力。也正是由于这个原因，医疗信息系统建设才再度受到党和国家各级政府的高度重视，正向纵深快速发展。HIS从简单的“单机版”收费挂号到院内局域网“客户机服务器”模式的网络形态，再由院内局域网扩展为医疗城域网，直至将来的全国联网。一方面医院需要为患者提供更多的服务，需要为内部移动用户提供VPN接入，为病人提供网上预约挂号，为专家提供远程会诊等；另

3、一方面由于医院是整个社会保障体系中必不可少的一环，又肩负着科、教、研的重任，要求医院信息系统逐步从封闭走向开放。因此，医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用变得异常重要。任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失，重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样，医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密,例如：l l网络病毒、攻击造成停机与数据丢失l 黑客入侵造成信息泄密l l人为错误造成数据删除l l磁盘（阵列）损坏造成数据丢失及停机l l服务器故障、交换机故障造成应用停顿l l不可抗因素

4、如火灾、地震等造成信息中心毁坏而随着医院信息系统的深入发展，其IT环境会变得越来越复杂。不仅有不同厂家的存储、服务器、网络等硬件平台，还会有Oracle、SQL server、中间件等异构的软件平台。虽然异构为医院带来低成本和高适应性，但是同时带来复杂性，引起性能和高可用性问题。因此不论是医疗保险制度改革带给医院的压力，还是政府疾病防御和控制给医院信息化建设带来了机会，医院信息系统在发展过程中首当其冲要解决的问题是解决因外部及内部原因引起的网络系统安全、数据安全问题，保证信息系统的扩展性和高效连续运行。本方案将从医疗信息系统的安全现状出发，讨论如何建立适应未来发展的信息系统的安全和可用性架构。

5、第一部分：医疗信息系统网络安全解决方案1. 需求分析虽然目前绝大多数医院都已经购买了防病毒软件和边界防火墙，也采取了VLAN等技术保护网络安全，但医院网络仍然经常受到蠕虫病毒、木马程序等多种恶意代码的攻破。当前的攻击手段已经由原来单纯的病毒或者穿透防火墙，破解用户密码等手段发展为混合式攻击，即综合利用多种手段进行攻击：如利用即时通讯工具（MSN、QQ等）传播病毒，利用病毒植入木马程序并绕过防火墙，漏洞早期攻击等。现阶段几乎所有的医院对于网络安全采取的办法主要有以下几种：(1) 内外网物理或逻辑隔绝。理论上，这种方式肯定是万无一失的如果内部网络与外界根本没有任何连接，那么来自外界的攻击是绝不可能

6、实现的。但问题也就出在“隔绝”上面，由于隔断了所有网络间的连接，所以正常需要的信息交流也被隔断。但信息的沟通、共享是客观存在的，所以就会有很多用户利用软盘、光盘、USB盘等方式共享文件，甚至还有临时拉一条网线实现访客笔记本电脑与内部一台计算机的网络对接。那么，接下来会发生的事情就显而易见了蠕虫病毒、木马程序在内网肆意泛滥。因此，内外网隔绝并不能真正实现，更糟糕的是内外网隔绝对于用户自发的信息共享方式无法有效控制，当然也就没有安全性可言；(2) 边界防火墙。事实上很多医院都有外网连接的线路，那么，购买一台边界防火墙架设在网关处，封闭不必要的端口，从而尽可能阻挡来自外网的黑客攻击就成为一个理所当然

7、的选择。但是简单的边界防火墙并不能使我们的网络安全达到您所期望的水平。作为网关处的一个设备，边界防火墙无法防御来自内部的攻击（来自内部的攻击可能并不是内部员工的恶意行为，有可能是某台内部计算机中病毒之后转而攻击其他计算机以及服务器的行为）。另外，大多数防火墙仍然采用落后的包过滤技术，对进出数据流的检测并不彻底，常有漏网之鱼；(3) 网络防病毒。目前所有的防病毒软件都采用特征码识别的方法查杀病毒，所以，这种方法决定了防病毒软件只对已知的病毒具有识别能力。那么，一旦某一台计算机的病毒定义码更新不及时，则很有可能中了病毒没有人知道。还有一些用户因为使用原因卸载了防病毒软件，导致一些工作站成为内网安全

8、的漏洞。另外，防病毒软件仅仅针对计算机病毒，对于混合式攻击没有有效的防护手段。而边界病毒墙同样难于发现早期漏洞攻击，反而有时影响网络访问的整体性能。从以上分析可以看到，当前的防护手段都有一些共同的弱点：l 安全策略的制定和策略的执行严重脱节；l 不能真正有效、全面地监控内外网信息交流的渠道；l 安全防护手段滞后于安全漏洞和新威胁的发现。综合以上分析，要达到医院网络安全的要求，医院需要的是一套能够全面防护、强制执行安全策略的解决方案。2.解决方案医院信息系统的网络安全建设需要从如下几个层面入手：l 加强信息安全管理策略。即制定符合医疗行业的信息安全管理制度和执行流程。l 加强对网关的安全访问控制

9、。对已经部署的网关安全设备进行调整，加强防火墙的安全级别，提高医疗内网抵御混合性威胁的能力。l 对医院可疑网络活动的监控。在一些信息系统安全级别相对较高的网段部署安全监控措施，有效地对可疑的网络行为进行阻断、告警。l 加强对整体终端访问控制力度。一方面提升每一台终端自身的安全防护力度，控制网络蠕虫、病毒在内网的泛滥。另一方面，部署网络内部强制访问控制策略，对于那些不符合安全策略标准的终端，可以在网络设备的接入点进行强制控制，以保证内网的安全性。当然，医疗行业的信息安全建设是一个循序渐进的过程，在不同时期满足不同的安全要求。每一阶段的展开都是围绕着医疗单位制定的安全管理策略而推进的。2.1网络入

10、侵检测与防御解决方案防火墙是网络门户的第一道守卫者，是部署在网络的信任区域和非信任区域的网关型安全设备；目前医院主要有两种网络结构模式，一种是内外网物理隔离的网络结构，另一种是内外网逻辑隔离（VLAN）的网络结构，对于第一种情况由于是内外网物理隔离，网关处安全的压力主要体现在外网，因此在外网和 Internet 边界处大多 部署了防火墙设备；第二种情况是在医院整体“内网”和外网（Internet）边界处部署防火墙设备，在交换机上根据不同的业务应用划分虚网，然后在主干三层交换机上启用相关虚网间的路由访问策略。但近年来随着大规模 DOS 攻击、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥，城门一次次“

11、失守”，为什么我们寄予厚望的的安全产品仿佛一夜间变得如此脆弱了呢？这里固然有安全环境的变化的原因， 更重要的是我们对于安全产品的部署和认识存在着误区，首先认为防火墙是“万能”的；第二是防火墙产品本身技术上的不足：l 被动式的防御措施 l 不能防范来自网络内部的攻击、及网络旁路的存在l 不能防范新的威胁和攻击l 不能防范基于内容的攻击 很多情况下，病毒的传播来源于网络内部，由于内部没有设防，病毒迅速泛滥，造成大面积服务器停机。入侵检测与阻断（IDS/IPS）技术能够实时检测网络动态，并对危险的攻击立即阻断。入侵检测与防御需要部署在网关防火墙后面及内部各重要网段上，配合防火墙防范已知和未知、外部和

12、内部的攻击。Symantec提供先进的入侵检测与阻断产品Symantec Network Security（以下简称SNS ）。 SNS可以监控整个医疗网络的通信信息，不需要另外安装任何代理程序，对网络结构的影响也几乎没有。SNS的网络监控模式可以选择IPS或IDS。SNS 7100 IPS 模式可以支持多个in-line pair(内嵌对)，同时支持报警和拦截模式。管理员可以使用SNS 的“单键防御”技术在这两种模式间切换。从而可以采用不同的安全策略应对变化的网络。报警模式：SNS串接在网络上，发现可疑行为后发出报警通知管理员，不截会话。拦截模式：SNS直接串接在网络上，发现恶意攻击、非法请

13、求，立即拦截。如果使用IPS部署模式，不用更改交换机配置，无需额外占用交换机端口资源，SNS 7100支持802.1q trunk协议。在透明模式下，IPS不会影响医疗单位现有网络应用。SNS对经过监控网卡的数据包进行分析，将恶意请求，非法访问直接拦截。在IPS(入侵拦截模式)下，SNS设备直接串接在医疗网络中。为了防止因为SNS在正常设备时的重启或服务暂止而影响网络通信中断，建议在部署SNS时，同时配合部署SNS旁路设备保持网络通畅。SNS旁路设备，会监听SNS的运行状态，并在SNS不能提供正常服务时，自动接管网络通信，保证网络的畅通。SNS对网络监控的部署模式是非常灵活的，完全可以满足医疗

14、网的不同需求。附图1. SNS对医疗内网的网络活动监控方案特点：l 满足高速环境的检测需求。Symantec Network Security 7100 就多千兆高速通信监控设置了新标准，允许在医疗内网的任何级别执行检测功能，且不会丢弃数据包。l 对攻击主动拦截。SNS设备可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的网络访问，实现主动防御。l 混合检测体系结构，识别零时间攻击。Symantec Network Security 7100组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS 逃避处理、数据流策略冲突、IP 地址拆分重组以及自定义增强特征签名描述语言

15、来收集恶意活动的证据。Symantec Network Security 7100 的协议异常检测有助于检测以前未知的攻击和新攻击（在它们发生时检测）。此功能称为“零时间”检测。l 实时事件关联和分析，快速定位医疗网威胁来源。Symantec Network Security 7100 的关联和分析引擎可滤掉冗余数据而只分析相关信息，从而使得提供的威胁通知不会出现数据超载。SNS 使用跨节点分析在医疗网内收集信息，从而快速地帮助管理员弄清楚趋势并在相关事件和事故发生时识别它们。l 自动的Symantec 安全更新。来自 Symantec 安全响应中心（世界领先的Internet 安全研究和支持

16、机构）的定期、快速响应 安全更新可提供顶尖的安全保护和最新的安全上下文信息，包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了医疗内网管理员的维护作量。2.2网关统一威胁管理解决方案上节分析了只在网关设置防火墙不能防御所有的网络攻击，需要在网关及网络内部部署IDS/IPS，加强对网络的实时监控，抵御来自外部或内部已知和未知的威胁。实际上，防火墙对病毒也无能为力，用户下载的文件或接收的邮件中有病毒，防火墙是视而不见的。对垃圾邮件更是浑然不知。为了尽量将攻击拦截在网关外，提高内部网络的效率和性能，降低停机风险，有些医院还在网关处部署防病毒（病毒墙）和反垃圾邮件

17、功能。但是这些功能模块之间如何协调才能够既保证网络性能和效率，又使各个部件真正发挥作用呢？网关统一威胁管理的概念就源于这种需求：采用单个设备涵盖所有功能，从而降低复杂性、减少维护量（通常都是即插即用）、协同工作、更容易排错。赛门铁克的UTM 解决方案Symantec Gateway Security（以下简称SGS）采用了多种先进的安全技术，对进出网络的数据包进行检查、处理和控制。作为业界最全面的统一威胁管理设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时

18、，SGS 可以根据实际需要启用不同的安全功能模块：IPS/IDS、防病毒、防垃圾邮件，内容过滤、VPN 等。为了避免出口的单点故障，可以部署两台或多台SGS 设备。这些设备可以同时肩负负载均衡和高可用性职责。管理员可以灵活控制来自INTERNET的通讯流量，阻止各种从医疗网外的黑客攻击和病毒、蠕虫以及垃圾邮件；同时还可以在SGS 上对医疗内部网络配置不同的安全访问控制规则。除了在医疗网出口部署统一威胁管理方案，还可以在某些信息安全级别相对较高的网段部署一台SGS设备，设置适合本网段的安全访问控制规则及安全攻击检测规则，保护信息以合法的方式被访问。对于医疗网的其它网段，可视情况部署同样的方案。S

19、GS 在医疗信息网的部署示意图如下：附图2. 医疗网出口统一威胁管理方案特点：l 具有七种必要的网络安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。可以在一台设备上实现对医疗网的统一威胁管理。l 采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则（顺序无关），防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本，易于维护使用。l 使用智能安全代理，对IP应用（例如FTP，SMTP，SQL*NET）独立控制，保证只有合法的协议命令和数据才能

20、通过。例如Symantec Gateway Security 5600系列防火墙可以抵制SMTP 后门命令和FTP、 SMTP和HTTP 数据流中存在的缓冲区溢出攻击。l 提供集中式管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时Symantec Gateway Security具有集成的高可用性和负载均衡选件，能够满足任何规模的医疗网的性能要求。2.3终端安全解决方案网络黑客的主要攻击目的往往是获取终端机（服务器或客户端）上的信息，病毒传播的归宿也是终端机遭到破坏，因此终端安全是我们的网络安全的重要环节。早期的终端安全方案可能只考虑防病毒功能，但是今天我们面对的是混合威

21、胁风险，病毒、儒虫、木马、黑客等。终端安全解决方案演变成包含防火墙、防病毒、入侵检测与阻断的协同防护体系。Symantec的客户端安全解决方案（简称SCS）就是这样一个产品。医疗单位内的终端数量日益增多，各自归属的管理网段不一。因此建议对于客户端的安全防护按不同的需求部署。对于那些访问重要管理系统的终端统一安装Symantec Client Security（以下简称SCS）。而对于安全级别较低的访问终端，可选择性地安装客户端安全软件中的部分安全防护功能。下面是建议的终端安全部署方案：l 在工作终端上部署赛门铁克功能强大的SCS。它同时具有病毒防护、入侵保护、防火墙保护等多重功能，可以对混合型

22、威胁到达主动的防御目的。l 在所有的Windows 服务器上安装Symantec Antivirus for Servers。l 工作终端均接受相应的SCS 服务器的管理。l 针对医疗网的全网防病毒系统的升级，建议首先每天自动升级医院信息中心的一级单位防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略），所有客户端可自动地到防病毒服务器上升级。l 如果需要设立二级防病毒管理中心（例如在门诊楼，住院楼或CIS 系统等），各二级单位的防病毒服务器到一级单位的防病毒服务器进行病毒定义码、扫描引擎、特征库和安全规则的升级。医院客户端安全部署示意图如下：附图3.

23、医疗内网客户端安全部署2.4 终端接入控制解决方案非法客户机的接入是穿透安全防护体系、造成网内病毒泛滥的主要途径。再加上安全补丁更新不及时、安全软件的设置不合理等原因，造成医院网络的安全问题时时让人担心，尽管层层部署了安全防护。就像有了公安局、法院，如果没有法律，社会将混乱不堪一样，只有安全防护而没有安全策略的定义和执行，就无法保证网络真正地安全。但是只靠行政命令又很难执行。网络准入控制是一个有效的终端安全策略执行的手段。网络准入控制的核心思想是屏蔽一切不安全的设备和人员接入医疗管理系统网络，或者规范终端用户接入网络的行为，从而铲除对医疗信息网络威胁的源头，避免事后处理的高额成本。首先，为了真

24、正提高内网安全级别，我们扩展了内外网接口的定义传统的内外网接口定义仅仅关注网关处的接入。今天这样的定义是远远不够的。Symantec的强制接入手段将在每一个网络端口实现，不仅包括网关，而且还包括每一个交换机端口，以及远程VPN接入等等。通过Symantec LAN-Enforcer（局域网强制）技术，我们可以在每一个局域网交换机端口上强制检查客户端计算机的安全性，包括客户端是否已安装Symantec Enterprise Protection Agent 安全代理程序、是否已安装防病毒软件、病毒定义码是否已更新、系统补丁程序是否已更新，密码复杂程度是否达到安全策略要求等等，并根据检查结果与安全

25、策略的要求自动进行阻断、隔离、修复等动作。从而确保接入内网的不仅是一个合法的用户（提供正确的用户名、密码），而且是一个合格的用户（达到医院信息安全策略要求的安全级别）。对于远程连接的用户，我们可以利用Symantec Gateway-Enforcer（网关强制）技术达到LAN-Enforcer类似的检查效果。Symantec LAN Enforcer可以和802.1x交换机在接入层对医疗网终端实现网络准入控制。示意图如下：附图4. 医疗内网段客户端策略准入控制Symantec LAN Enforcer 强制服务器可以管理支持802.1X的交换机。它要求交换机主动认证接入的终端，如果机器上没有安

26、装赛门铁克客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据LAN Enforcer指令，容许或拒绝其接入内部网络。也可以将此类机器隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者在一定限制之内访问网络。一旦安全修复完成，Lan Enforcer强制服务器会通知交换机将该终端从漫游区切换到科研试验室的工作VLAN之中。Symantec网络强制安全解决方案为医疗信息网络提供了全面的防护手段，特别是大幅度提升了医院内网的安全级别。主要效果体现在：(1) 医院内网安全得到持续改进利用强制安全检查，有效管理医院内外网数据交换。内网接入的安全级别大大提高，有效降低了医院内网

27、的安全风险。每一台客户端计算机连接医院内网的时候，都会强制检查客户端的安全设置，如果发现该客户端没有安装安全代理，则被自动隔离到访客VLAN，所以，外来的笔记本电脑将不能通过医院局域网交换机连接医院的内网，包括服务器和医生、护士工作站等，当然也就不能在医院内网散播病毒；如果客户端虽然安装了安全代理，但安全级别检查未能通过，则被放到隔离VLAN，并进行自动修复（如系统补丁不全，则自动进行补丁更新）；只有既安装了安全代理，又能通过安全检查的客户端才能访问医院内网的工作VLAN，保证了医院内网的客户端都是符合医院的安全策略要求的。(2) 防止未知的安全威胁利用Symantec基于应用的防火墙可以有效

28、管理客户端上运行的所有网络应用程序，医院可以直接建立一个医院内网需要运行的网络应用程序白名单（如护士工作站上的HIS客户端程序），将其它任何未知的应用程序排除在外。如此，即使部分客户端感染了新的病毒，这个病毒也无法通过医院内网进一步感染其他工作站或者服务器。(3) 统一管理通过Symantec Enterprise Protection，医院用户仍然可以继续强化内外网隔离。比方说，可以通过集中管理的方式，统一关闭内网工作站的USB端口，防止用户通过U盘、移动硬盘等方式私自交换数据；关闭拨号连接、无线上网等其它Internet连接方式，防止内网工作站在没有保护的情况下私自上网，感染病毒或者其他恶

29、意代码等。当然，医院还可以通过集中的策略管理服务器分组部署不同的安全策略，提供灵活的策略管理方式。比方对于内网工作站，可以分配最严格的安全策略，禁止所有外网连接，只允许医院内部的应用访问网络；对于移动用户（笔记本电脑）可以按照不同的处所自动启用不同的安全策略，当该用户处于内网时，只允许医院内部的应用程序访问网络（如院长查询系统客户端），当该用户处于外网时，允许其它应用程序访问网络。3. 医院信息系统网络安全解决方案总结：医院信息系统网络需要部署层次化的、全方位的安全防护，即网络边界防护、网络内部监控，终端安全及接入控制等。边界统一威胁管理可以对那些来自外网的攻击、和应用层的非法流量进行深度检测

30、，从而对许多新生的未知的蠕虫和混合威胁予以控制。内部网络安全入侵监控防御可以对来自于医院内部的攻击，特别是未知攻击行为作出及时判断和响应，保护网络的正常运行。终端安全防护保护客户机和服务器， 终端接入控制可以保障客户端对网络的合法使用，持续地监控违规行为并作出响应措施。第二部分：医院信息系统可用性解决方案1.需求分析网络安全防护旨在阻止病毒、黑客、儒虫等攻击造成的网络瘫痪、信息系统停机、以及数据丢失或泄密。但是还需要预防网络安全防护失败带来的损失。况且人为故障、硬件损坏、天灾人祸是难以避免的，因此需要高可用性技术来保障这些事故后信息系统的迅速恢复。所谓高可用性就是需要时能够使用，维持一定的性能

31、和功能，且故障后能够快速恢复。根据业务需求的不同，IT系统的高可用性采用一种或多种技术来满足。一般有数据备份和恢复技术、集群与存储管理技术、容灾技术、以及性能管理技术。在目前已经上线的医院IT环境中，绝大多数医院都采用了群集技术来保证服务的持续运行或者在用户可以容忍的时间之内自动进行服务恢复。群集技术在应对服务器故障方面有着显而易见的效果，这一技术已经得到大多数医院用户的认可，并已经得到很大程度上的普及。但是，你会发现随着医院信息系统的深入发展，现有的高可用性架构很难适应新的高可用性需求：l 由于传统的群集解决方案多采用“2+1”的模式，即两台服务器连接到一台磁盘阵列。这种结构是为了在两台服务

32、器之间共享数据。但是单台磁盘阵列往往就成了核心系统的一个单点故障点，一旦磁盘阵列发生故障，则整个系统将发生停机，作为724营业的医院来说，这种意外的停机是无法忍受的；l 很多用户往往有这样的误解既然我的系统已经是“双机热备份”了，那么，我的数据也不需要备份了。这种误解导致很多用户往往忽视了数据备份的重要性，结果整个系统的数据只有磁盘阵列中的一个拷贝，等到由于磁盘阵列发生故障或人为误操作导致数据丢失的时候，才发现悔之晚矣！l 虽然关心容灾，但由于各种原因目前大多数国内的医院在建设IT系统时并没有过多地考虑。一旦发生火灾、地震等灾难性事故，整个系统将毁于一旦，数据将一去不复返，医院将遭受无法估量的

33、巨大损失。l 随着诊疗系统的上线，数据量急剧增长，如何集中管理这些数据，有效地利用存储，降低整体投资成本，也逐渐成为HIS建设热点。l HIS和CIS数据需要用于医院数据挖掘系统，医院丰富的医疗经验也需要分享给同行业，满足疾病预防、教学和科研需要。我们需要建设一个具有弹性的存储平台，在不损失应用性能和可用性的情况下，实现灵活的数据共享。2. 解决方案综合以上需求分析，医院IT系统需要建立的是一套能够提供实时的数据保护、高度可靠的故障切换、灵活的数据共享、以及园区级系统容灾的完善解决方案。2.1数据备份与恢复信息系统面临着各种威胁带来的数据丢失和应用停机。网络安全防护措施可以有效地遏制病毒、黑客

34、带来的风险，但是就像我们平时防范再好，仍然会生病一样，信息安全防范也需要在多个层次上实施。 更何况人为失误、硬件故障、自然灾难等有时是难以杜绝的。因此我们需要有一套恢复机制，保证即使系统遭到了破坏，仍然可以恢复。信息系统的核心其实是数据，因为操作系统、软件等破坏了都可以重新安装，但数据丢了是找不回来的。因此只要将数据留有拷贝或叫留有备份，就能够恢复整个应用。另外HIS系统的数据除了关系到医院自身的经济核算之外，还将用于行业审计、医患纠纷，因此数据的丢失是不能忍受的。很多医院采用人工来做数据备份，或依靠应用软件自身完成备份。尽管在信息化初级阶段数据量很小的情况下还能应付，但是这种方式很难保证备份

35、数据的正确性，也保证不了在需要的时候是否能够恢复，即使能恢复，又需要多长时间？而且数据拷贝分散保存，对人的依赖性太强。况且随着应用的增加和数据量的增长，手工根本不可能去处理。医疗信息系统需要建立专业的数据备份和恢复系统。 医疗信息系统的特点是，HIS系统的数据量不大，但是极其重要，出问题后需要快速恢复；CIS不仅数据量大，而且重要，会要求备份系统的高性能。主机平台一般是UNIX和Windows, 数据库有Oracle、SQL等。应用系统是不断开发上线运行的，所以要求备份系统的扩展性。Symantec的数据备份管理软件Netbackup是业界领先的解决方案，全球市场占有率第一，在国内拥有大量的客

36、户群，有一支技术过硬的技术支持工程师，满足数据备份系统的设计原则，应该是医院信息系统的理想选择。采用NetBackup建立的医院信息系统数据备份和恢复系统的部署结构图如下：附图5. 医院信息系统备份与恢复结构图逻辑上，NetBackup由备份管理服务器、备份介质服务器和备份客户端组成。管理服务器管理整个系统的备份策略、备份记录，提供GUI给管理员使用；备份介质服务器直接存取备份存储设备（带库或磁盘），并负责将需要备份的数据传送到合适的磁带或磁盘上，还负责恢复时将磁带或磁盘中的数据回送到需要恢复的客户端上；备份客户端安装在每个需要作数据备份的应用服务器上，如图中的各个业务机器。三个功能模块可以部

37、署在一台机器上，也可以安装到不同的机器上。这里备份管理服务器和备份介质服务器由一台服务器负责，统称为备份服务器。备份管理员通过GUI制定每个应用系统的数据备份计划（也叫备份策略）。所谓备份策略就是指定每个需要备份的客户机上那些数据在什么时候备份、使用什么样的备份方法、备份到什么地方。例如HIS业务系统的数据最重要，设置成每天晚上8:00开始做备份；其他系统每两天做一次备份等。备份策略设置好之后，备份服务器就会按照策略指定的时间去唤醒应用服务器上的备份客户端，于是备份客户端将指定文件或数据库的数据从磁盘上取出，通过网络传送给备份服务器，由备份服务器保存到备份设备上。如果备份服务器有需要备份的数据

38、，它直接将其保存到备份设备上，不需要经过网络，备份性能更高。备份设备既可以是磁带库也可以是磁盘。备份设备总是由备份服务器存取。允许多台备份服务器通过SAN共享一台备份设备。由于备份服务器自身的备份速度快，当多台应用服务器需要高性能备份时，可以将它们均部署成备份服务器。备份设备的容量与需要备份的数据量和备份策略有关系。备份过程中要用到大量的存储介质，备份介质的保留周期的长短将决定所需购置和维护的介质量。目前的备份策略都是基于多磁带轮换制，即保存有过时数据的介质可重新覆盖使用，轮换频率可根据备份类型和备份的窗口来确定。当需要恢复某个应用的数据时，可以透过备份服务器上的GUI查找指定数据的位置，申请

39、备份服务器将备份设备中的数据取出来，并通过网络传送到相应的应用服务器上. 如果是备份服务器上的应用需要恢复数据，它就将数据直接恢复到相应的目录下。NetBackup不仅完成数据的备份和恢复，还支持操作系统的备份和快速恢复。NetBackup可以周期性地将操作系统环境（包括应用软件代码及配置）等完整的影像备份到服务器上，一旦应用系统遭到破坏，需要重新部署时，可以采用备份的影像在几分钟内将裸机恢复到备份点时的状态。因此这套备份系统可以让你按照你的意愿设计备份策略，将所有数据做周期性的备份，以便任何情况下都能够快速、完整地恢复数据。需要的时候，可以将备份介质传送到远程（容灾中心）保存，以最低的成本预

40、防火灾等灾难造成的数据丢失。将来随着应用的深入发展，数据量的不断增加，备份的性能会越来越重要。NetBackup有多种方法解决性能问题：（1）改变成LANFree的备份架构，让每台服务器自己将数据通过SAN传送到磁带库中。（2）利用磁盘技术提高数据传送速度，包括磁盘缓冲、合成备份、虚拟磁带库等（3）增加安装NetBackup的高级选件如块级增量备份、闪备份、ServerFree备份等。2.2存储管理解决方案随着医院信息系统的发展，越来越多的应用系统投入运行。他们是由多套存储支撑的多套服务器运行着多个应用系统：如 HIS、PACS、RIS、LIS系统，虽然这些系统的数据密切相关，但是如果不有效的

41、进行存储设计，容易形成信息孤岛。当直接向病人提供诊疗决策的一线临床医生要求通过数字化来将各个检查科室的病人检查信息集成在自己面前时，你会发现，同一个病人的检查信息分散存储在不同应 用系统的不同存储器中。因此产生了集成需求，目前的主流集成方案是在 HIS 医生工作站上让临床医生能浏览病人在各个检查科室产生的检查数据。目前由于国内还没有医疗信息标准，很多医院采用各种技术手段如对照表、消息中间件、数据格式适配引擎等把各个检查子系统与HIS连接起来，实现病人各种检查信息在临床医生处的浏览集成。但是未来会走向标准化，降低集成的难度。无论如何都有一个最烦恼的问题：病人数据的存储是为了日后的调取使用，但它们

42、都分散在许多子系统的存储器中，当医院日常工作越来越多地转移到电子平台上而日益依赖于电子平台的可靠性时，如何进一步提高这么多服务器和存储器的可靠性来保证病人数据的不丢失？又采取什么措施让医院在经济性上能承受？未来区域医疗信息系统建设需要将PACS、HIS等系统数据实时地共享出去，建立区域医疗信息库，用于政府医疗卫生决策、医学科学研究、公众健康服务等。我们是否现在需要考虑？这里我们举一个盖大楼的例子，十年前的设计一定会包括水、电、汽、电视、电话等基础设施，但是几乎没有考虑INTERNET、有线电视的部署。可是过了不久，就需要改建部署这些设施，不仅成本更高，布线还不好看，用户不满意，租金也比新的具备

43、这些设施的大楼低。同样，今天医疗信息系统的发展趋势决定了存储管理部署一定会在未来发挥作用，避免将来的重复投资和各种瓶颈。首先集中存储是存储管理的第一步，而SAN是实现集中存储的首选技术，它具有如下特点：l 将存储从服务器分离出来，从而提高了服务器的弹性l 支持更大型更灵活的集群l 共享存储资源l 存储（和服务器）整合l 更快速（独立于LAN）的备份与恢复l 更高的系统I/O性能l 简化管理l 降低总投资成本（TCO）利用SAN的网络连接功能，可以实现所有的应用系统访问一个存储器，让所有子系统的数据都存放到一个存储器中，只要管理这一个存储就行了。但是这是不现实的，因为客户会从异构环境降低成本、获

44、得高投资回报。这就要求有一种技术手段来整合这些存储，达到高可靠性的目的。这就是存储虚拟化技术。存储虚拟化目前在存储阵列、SAN和主机层面上都有实现，也就是说存储环境中每一物理层都在尽力为应用提供高性能、高可用性、低成本和可管理性。但是异构环境的存储虚拟化解决方案当属Symantec的统一存储管理方案Storage Foundaion.Storage Foundation的核心是逻辑卷管理器VERITAS Volume Manager(简称VVM)，VVM一直OEM给Sun 和HP，许多关键的Sun Solaris和HP UX环境都使用它完成存储管理，提供存储虚拟化功能。VVM的介质盘也捆绑在I

45、BM的AIX操作系统光盘包里，微软2000和2003 Server中采用VVM的简化版作为磁盘管理工具。在异构的关键业务系统里，同时采用阵列厂家和软件厂家的存储管理方案互为补充，提供更好的可用性。一般普通的RAID技术由阵列自身完成，运行在服务器上的存储管理软件Storage Foundation完成如下功能：l 多路经管理（DMP），在存储和服务器之间建立多条数据路径。以便当运行路径出错时，另一条可用路径立即自动接管I/O，为用户提供虚拟地不中断存取。 DMP通过将I/O分布到多条路径上，还可以提高I/O性能。在Windows环境中DPM基于微软的MPIO框架，是WHQL Logo认证的。l

46、 Online monitoring and tuning 管理员可以在线识别存储瓶颈，并将数据迁移到合适的存储位置。这可以实现在问题变得严重之前阻止它。 I/O活动的跟踪可以在系统级、卷级、逻辑磁盘级、或物理磁盘级。平均I/O活动按每个片（subdisk）计算；平均I/O达到90%的subdisk标记为潜在的“hot spot”,即热点盘。于是管理员可以将其数据迁移到另一个低I/O活动的区域，以减少I/O瓶颈。VERITAS Storage Foundation减少了大量需要猜测和专家评估的优化工作量。l Domain-wide storage configuration 在中央集中控制台上

47、管理整个WINDOWS域的存储。l Snapshots - VERITAS FlashSnap, 是VSF的一个选项，允许创建数据时间点的快照，而对应用的性能影响极小。这种快照既可以在本机上使用，也可以安装到其它服务器上使用。本地磁盘快照提供数据误操作情况下的快速数据恢复。脱机快照可以完成资源密集型的处理，如测试、决策支持、备份等，以减轻生产机的压力。是未来区域医疗信息系统大量数据抽取的有效工具。VERITAS FlashSnap完全集成到微软的VSS结构中。l 阵列间镜像 VSF的镜像功能可以在任何型号的磁盘阵列间完成，利用这种功能可以将HIS系统的数据同时存放到多台存储上，以提可靠性。还可

48、以将镜像的两个阵列放到远距离的位置，达到同城容灾，进一步提高可用性。根据IDC的统计，数据中心通常的磁盘利用率为30%到60%，而经过存储整合，实现统一存储管理的数据中心，它的磁盘利用率将能够达到90%。也就是说，良好的存储管理软件能够给用户节省大量不必要的硬件开支，让管理员从繁重的存储管理中解脱出来，真正实现现代化数据中心的意义。VERITAS Storage Foundation需要安装到每台应用服务器上，支持任何操作系统平台（UNIX、Windows、Linux）。提供超越存储虚拟化的功能，将为医疗信息系统减少管理成本，提高存储使用效率、提高可用性。与集群技术配合将有效地达到存储整合。2

49、.3全冗余的集群系统作为计算机系统高可用性的重要组成部分，集群是预防主机故障导致停机的最主要手段。集群的概念对于医疗行业并不陌生，在目前已经建立的医院IT环境中，绝大多数医院都采用了群集技术来保证服务的持续运行或者在用户可以容忍的时间之内自动进行服务恢复。但是，你会发现很多环境中集群技术没有发挥应有的作用。最普遍的问题是很多群集解决方案多采用“2+1”的模式，即两台服务器连接到一台磁盘阵列，这种结构是为了在两台服务器之间共享数据。但是单台磁盘阵列往往就成了核心系统的一个单点故障点，一旦磁盘阵列发生故障，则整个系统将发生停机。除此之外，是因为忽略了计算机高可用性是由一系列技术保障的，包括主机部件

50、冗余、多条输入/输出路径、镜像磁盘、冗余网络连接，数据备份等。前面已经讨论了大部分内容，这里讨论集群技术。如果将原来的集群模式称为“2+1”的话（即两个服务器连接一个阵列），现在一定采用“2+2”群集模式（即两个服务器加两个阵列），使之成为全冗余、无任何单点故障的HA系统，使医院IT系统真正没有后顾之忧。在原来的“2+1”群集模式的基础上，多增加一台磁盘阵列，将一台服务器定义为一个“运算节点”，将一台磁盘阵列定义为一个“存储节点”，所谓“2+2”的意思就是“两个运算节点+两个存储节点”。利用VERITAS Storage Foundation的卷镜像功能实现两台磁盘阵列之间的镜像关系，每一次I

51、/O的写入都分别通过两条主机通道到达两台磁盘阵列的控制器，并且当两个I/O都返回正确的结果之后，操作才算完成。所以，两台磁盘阵列中的数据完全保持实时同步，不用担心任何的数据一致性问题。附图6. 全冗余的集群结构在SAN环境下，由于实现了资源共享，”2+2” 不会带来太大的投资增长。例如，原来HIS存取阵列A, LIS存取阵列B, 他们全部连接SAN后，HIS和LIS可以同时存取A和B。两个应用都可以利用A和B的镜像变成2+2集群结构。目前的集群技术都支持多节点集群（VERITAS Cluster Server支持32节点），如果想进一步节省成本，可以采用1备2或互相备份的结构，达到资源整合的目

52、的。同样，新应用系统上线时，存储资源可以购买新的，也可以利用现有的阵列扩充容量，如果这些应用对恢复时间要求高，就部署成“2+2”模式的集群结构。如果需要整合资源，可以将他们也整合到这个集群架构中。方案特点：虽然每个主机厂家都提供专有的集群软件，但是他们都只能支持自己的硬件平台。Symantec的集群软件VERITAS Cluster Server (VCS) 是一个商用的企业级软件解决方案，它可提供全面的可用性管理，把计划的和非计划的停机时间降到最低。支持异构操作系统和存储，可以帮助运行在UNIX、Windows、Linux平台上的医疗应用建立高可用性。2.4容灾方案作为医院信息系统高可用性的

53、延伸，信息系统容灾已经逐渐成为医疗界的热点。医院业务连续性包括许多内容，例如医务人员储备、工作空间考虑、应急流程制定、信息系统容灾等。这里只介绍信息系统的容灾方案。建立一套真正的容灾系统需要不菲的投资，而且需要周密的计划和设计。容灾计划需要考虑数据恢复点和恢复时间（RPO/RTO）、容灾中心位置与设施选择、数据迁移方式、应用切换方法、以及容灾系统测试等医院信息系统是7X24小时的关键业务，虽然每个具体应用的状况不完全一样，但数据至少是不能有任何丢失的。也就是说一般要求RPO/RTO越小越好。容灾中心的选择跟预防什么灾难有直接关系。灾难恢复计划必须权衡恢复成本和可能的灾难造成的可能的损失。由于地理位置是重要的选择参数，因此容灾中心的选择在灾难恢复成本中占有很大比重。例如，它设在要保护的数据中心旁边显然不完美，因为绝大多数灾难是区域性的。理想情况是容灾中心与数据中心保持一段距离，这样可以避免同时遭受同一灾难袭击。但距离又应当足够近，