医院信息中心数据基础架构的优化.docVIP

医院信息中心数据基础架构的优化 　　摘 要 本文详细介绍了我院信息机房的目前现状，存在的安全隐患，以及整改方案，详尽说明了现行方案的利与弊，和实施过程。为确保我院核心业务正常运行，现对信息中心机房作部分优化。 　　【关键词】医院信息系统 网络架构 信息安全 　　1 目前现状 　　我院是2013年异地新建医院，在搬迁的同时更换了天健HIS、PACS，EMR等管理信息系统，机房由一家系统集成公司承建。 　　目前天健HIS系统部署在两台R710小型机上，采用一台EMC存储部署成双机热备的工作方式，具备高可用性。PACS、EMC系统均X3850X5部署成双机热备模式，使用同一型号的EMC存储做为共享存储。 　　此外，医院还有多台单机运行的X3850 X5服务器，承载老的HIS、PACS等应用，用于信息备查。在网络安全方面，部署了一台博达博御F3008防火墙做为网络边界，两台深信服AD1600做负载均衡。 　　2 架构特点分析 　　2.1 优势 　　（1）大量使用双机热备形式承载应用，HIS、PACS、EMR核心应用的可用性很高、使用频度强，如果一台服务器故障时，能及时切换至另一台服务器，保障业务运行的连续性。 　　（2）HIS做为医院信息系统的重中之重，采用小型机做为硬件平台，提高了HIS系统的运行速度。并且小型机具备极高的稳定性，平均无故障运行时间是X86服务器的数十倍。 　　（3）大量使用IBM小型机、X3850X5、EMC VNX存储等硬件，这些设备专注于企业级市场，强调高可用、高稳定性和高性能，相互之间的兼容性良好，搭配合理。 　　2.2 问题 　　（1）我院部署的两台EMC VNX5100磁盘阵列，这两台存储是独立运行，分别作为HIS存储和PACS存储，具有单点故障风险。任何一台存储故障，都会导致HIS或PACS系统中断运行，严重故障可能会导致数据丢失。对于HIS系统，无论是意外故障?е孪低吵な奔湮薹ǚ梦剩?还是数据丢失造成患者就诊信息无法查询，都将导致非常严重的后果，医院不仅会遭遇财产损失，还会影响医院的声誉，造成更长远的影响。 　　（2）缺乏统一、专业的数据备份系统。无论是存储故障导致数据丢失，还是因为病毒感染文件或认为误删除数据，这些状况都需要有数据备份措施。 　　（3）我院网络安全防护措施较为简单，面临较大的安全威胁。博御防火墙属于传统的状态检测防火墙，无法应对目前复杂的网络安全环境。例如医院基于APP的掌上医院、微信、银医通，WEB访问的B/S架构应用将越来越多，原来只在内网的HIS等系统不得不对外网开放，传统墙只能基于开关端口和开关协议制定安全策略，是非常危险的。新的安全环境需要防火墙具备应用识别能力，可以分析具体的流量包属于什么应用，基于应用觉得是否允许外界访问，才能有效保障内网安全。 　　3 优化方案 　　我院在重要的3大核心应用均采用了双机热备，但是忽略了存储应用的隐患，针对目前现状，我科对目前的IT基础架构作如下完善： 　　（1）部署一台备份一体机。备份一体机是将备份软件、备份服务器以及磁盘（存储介质）整合到一台服务器中而形成的一个设备，用户可以像操作备份软件一样来操作这个设备。通过备份设备可以有效的保护数据安全，实现数据可以按需按时间点恢复。 　　（2）通过服务器虚拟化集中非关键业务，提高单机运行的这些业务的可用性。老HIS、PACS系统使用的X3850服务器可以通过扩容内存，部署虚拟化环境，做为虚拟机使用，老的HIS等系统通过P2V迁移到虚拟化环境中运行，可以带来诸多收益。 　　（3）增加SAN网络，实现两台存储存储间的部分数据镜像。从长远发展来看，随着设备的不断增加，组建SAN网络，提高存储的主机接入数量，是必然的。通过SAN网络，连通两台存储的镜像端口，可以将HIS系统的关键数据和库进行镜像操作，在HIS存储故障时，可以切换到另一台存储，保障HIS系统的连续运行。 　　（4）在网络安全方面，我科建议考虑更换下一代防火墙，增加上网行为管理设备。下一代防火墙是指以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，下一代墙能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化网络安全架构。上网行为管理可以提供行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等功能，提高带宽资源利用率，规避泄密和法规风险、保障内网数据安全。 　　4 收益 　　（1）通过存储的部分数据镜像，提供了HIS系统遭遇存储故障时，具备快速重启业务的能力，使HIS系统的数据具备了安全保障。 　　（2）虚拟化提高了老HIS、PACS等非关键业务的可用性，使这些系统不会因为单台物理机故障长时间离线。虚拟化还可以快速部署新业