1、醫(yī)療信息系統(tǒng)的整體安全解決方案背景目前以經(jīng)濟核算和資源管理為主的HIS在醫(yī)院中已廣泛被采用，部分醫(yī)院已經(jīng)或正在實施CIS和OA。隨著醫(yī)療體制改革特別是醫(yī)療保險制度改革的深入，作為病人醫(yī)療信息的擁有者和提供者的醫(yī)院地位已經(jīng)漸漸地由主動變得被動起來，從原來的固定客戶變成今天的醫(yī)院找病人，原來簡單的醫(yī)患雙邊關(guān)系轉(zhuǎn)換為醫(yī)院患者 保險單位銀行復(fù)雜的多邊關(guān)系。這就要求HIS不僅僅幫助醫(yī)院內(nèi)部提高管理水平、改善服務(wù)質(zhì)量，還要求它能及時、準確地向醫(yī)保部門提供病人結(jié)算數(shù)據(jù)報表，同時也必須能夠提供合法的、合格的、保證醫(yī)院利益的相關(guān)臨床信息。因而，HIS建設(shè)也相應(yīng)地從以收費為核心的管理信息系統(tǒng)（Hospital M

2、anagement Information System 逐漸轉(zhuǎn)向以病人為中心的臨床信息系統(tǒng)CIS，以進一步滿足醫(yī)療服務(wù)質(zhì)量的需求。三年前突如其來的那場SARS確實給我們帶來了一場災(zāi)難，卻恰恰暴漏出衛(wèi)生信息系統(tǒng)建設(shè)的嚴重缺陷-面對突發(fā)公共衛(wèi)生事件而顯得無能為力。也正是由于這個原因，醫(yī)療信息系統(tǒng)建設(shè)才再度受到黨和國家各級政府的高度重視，正向縱深快速發(fā)展。HIS從簡單的“單機版”收費掛號到院內(nèi)局域網(wǎng)“客戶機服務(wù)器”模式的網(wǎng)絡(luò)形態(tài)，再由院內(nèi)局域網(wǎng)擴展為醫(yī)療城域網(wǎng)，直至將來的全國聯(lián)網(wǎng)。一方面醫(yī)院需要為患者提供更多的服務(wù)，需要為內(nèi)部移動用戶提供VPN接入，為病人提供網(wǎng)上預(yù)約掛號，為專家提供遠程會診等；另

3、一方面由于醫(yī)院是整個社會保障體系中必不可少的一環(huán)，又肩負著科、教、研的重任，要求醫(yī)院信息系統(tǒng)逐步從封閉走向開放。因此，醫(yī)院信息系統(tǒng)正在變成醫(yī)療體系結(jié)構(gòu)中不可或缺的基礎(chǔ)架構(gòu)。該架構(gòu)的網(wǎng)絡(luò)安全和數(shù)據(jù)可用變得異常重要。任何的系統(tǒng)停機或數(shù)據(jù)丟失輕則降低患者的滿意度、醫(yī)院的信譽丟失，重則引起醫(yī)患糾紛、法律問題或社會問題。和其它行業(yè)的信息系統(tǒng)一樣，醫(yī)療信息系統(tǒng)在日常運行中面臨各種風(fēng)險帶來的應(yīng)用服務(wù)停機和數(shù)據(jù)丟失或泄密,例如：l l網(wǎng)絡(luò)病毒、攻擊造成停機與數(shù)據(jù)丟失l 黑客入侵造成信息泄密l l人為錯誤造成數(shù)據(jù)刪除l l磁盤（陣列）損壞造成數(shù)據(jù)丟失及停機l l服務(wù)器故障、交換機故障造成應(yīng)用停頓l l不可抗因素

4、如火災(zāi)、地震等造成信息中心毀壞而隨著醫(yī)院信息系統(tǒng)的深入發(fā)展，其IT環(huán)境會變得越來越復(fù)雜。不僅有不同廠家的存儲、服務(wù)器、網(wǎng)絡(luò)等硬件平臺，還會有Oracle、SQL server、中間件等異構(gòu)的軟件平臺。雖然異構(gòu)為醫(yī)院帶來低成本和高適應(yīng)性，但是同時帶來復(fù)雜性，引起性能和高可用性問題。因此不論是醫(yī)療保險制度改革帶給醫(yī)院的壓力，還是政府疾病防御和控制給醫(yī)院信息化建設(shè)帶來了機會，醫(yī)院信息系統(tǒng)在發(fā)展過程中首當其沖要解決的問題是解決因外部及內(nèi)部原因引起的網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全問題，保證信息系統(tǒng)的擴展性和高效連續(xù)運行。本方案將從醫(yī)療信息系統(tǒng)的安全現(xiàn)狀出發(fā)，討論如何建立適應(yīng)未來發(fā)展的信息系統(tǒng)的安全和可用性架構(gòu)。

5、第一部分：醫(yī)療信息系統(tǒng)網(wǎng)絡(luò)安全解決方案1. 需求分析雖然目前絕大多數(shù)醫(yī)院都已經(jīng)購買了防病毒軟件和邊界防火墻，也采取了VLAN等技術(shù)保護網(wǎng)絡(luò)安全，但醫(yī)院網(wǎng)絡(luò)仍然經(jīng)常受到蠕蟲病毒、木馬程序等多種惡意代碼的攻破。當前的攻擊手段已經(jīng)由原來單純的病毒或者穿透防火墻，破解用戶密碼等手段發(fā)展為混合式攻擊，即綜合利用多種手段進行攻擊：如利用即時通訊工具（MSN、QQ等）傳播病毒，利用病毒植入木馬程序并繞過防火墻，漏洞早期攻擊等。現(xiàn)階段幾乎所有的醫(yī)院對于網(wǎng)絡(luò)安全采取的辦法主要有以下幾種：(1) 內(nèi)外網(wǎng)物理或邏輯隔絕。理論上，這種方式肯定是萬無一失的如果內(nèi)部網(wǎng)絡(luò)與外界根本沒有任何連接，那么來自外界的攻擊是絕不可能

6、實現(xiàn)的。但問題也就出在“隔絕”上面，由于隔斷了所有網(wǎng)絡(luò)間的連接，所以正常需要的信息交流也被隔斷。但信息的溝通、共享是客觀存在的，所以就會有很多用戶利用軟盤、光盤、USB盤等方式共享文件，甚至還有臨時拉一條網(wǎng)線實現(xiàn)訪客筆記本電腦與內(nèi)部一臺計算機的網(wǎng)絡(luò)對接。那么，接下來會發(fā)生的事情就顯而易見了蠕蟲病毒、木馬程序在內(nèi)網(wǎng)肆意泛濫。因此，內(nèi)外網(wǎng)隔絕并不能真正實現(xiàn)，更糟糕的是內(nèi)外網(wǎng)隔絕對于用戶自發(fā)的信息共享方式無法有效控制，當然也就沒有安全性可言；(2) 邊界防火墻。事實上很多醫(yī)院都有外網(wǎng)連接的線路，那么，購買一臺邊界防火墻架設(shè)在網(wǎng)關(guān)處，封閉不必要的端口，從而盡可能阻擋來自外網(wǎng)的黑客攻擊就成為一個理所當然

7、的選擇。但是簡單的邊界防火墻并不能使我們的網(wǎng)絡(luò)安全達到您所期望的水平。作為網(wǎng)關(guān)處的一個設(shè)備，邊界防火墻無法防御來自內(nèi)部的攻擊（來自內(nèi)部的攻擊可能并不是內(nèi)部員工的惡意行為，有可能是某臺內(nèi)部計算機中病毒之后轉(zhuǎn)而攻擊其他計算機以及服務(wù)器的行為）。另外，大多數(shù)防火墻仍然采用落后的包過濾技術(shù)，對進出數(shù)據(jù)流的檢測并不徹底，常有漏網(wǎng)之魚；(3) 網(wǎng)絡(luò)防病毒。目前所有的防病毒軟件都采用特征碼識別的方法查殺病毒，所以，這種方法決定了防病毒軟件只對已知的病毒具有識別能力。那么，一旦某一臺計算機的病毒定義碼更新不及時，則很有可能中了病毒沒有人知道。還有一些用戶因為使用原因卸載了防病毒軟件，導(dǎo)致一些工作站成為內(nèi)網(wǎng)安全

8、的漏洞。另外，防病毒軟件僅僅針對計算機病毒，對于混合式攻擊沒有有效的防護手段。而邊界病毒墻同樣難于發(fā)現(xiàn)早期漏洞攻擊，反而有時影響網(wǎng)絡(luò)訪問的整體性能。從以上分析可以看到，當前的防護手段都有一些共同的弱點：l 安全策略的制定和策略的執(zhí)行嚴重脫節(jié)；l 不能真正有效、全面地監(jiān)控內(nèi)外網(wǎng)信息交流的渠道；l 安全防護手段滯后于安全漏洞和新威脅的發(fā)現(xiàn)。綜合以上分析，要達到醫(yī)院網(wǎng)絡(luò)安全的要求，醫(yī)院需要的是一套能夠全面防護、強制執(zhí)行安全策略的解決方案。2.解決方案醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)需要從如下幾個層面入手：l 加強信息安全管理策略。即制定符合醫(yī)療行業(yè)的信息安全管理制度和執(zhí)行流程。l 加強對網(wǎng)關(guān)的安全訪問控制

9、。對已經(jīng)部署的網(wǎng)關(guān)安全設(shè)備進行調(diào)整，加強防火墻的安全級別，提高醫(yī)療內(nèi)網(wǎng)抵御混合性威脅的能力。l 對醫(yī)院可疑網(wǎng)絡(luò)活動的監(jiān)控。在一些信息系統(tǒng)安全級別相對較高的網(wǎng)段部署安全監(jiān)控措施，有效地對可疑的網(wǎng)絡(luò)行為進行阻斷、告警。l 加強對整體終端訪問控制力度。一方面提升每一臺終端自身的安全防護力度，控制網(wǎng)絡(luò)蠕蟲、病毒在內(nèi)網(wǎng)的泛濫。另一方面，部署網(wǎng)絡(luò)內(nèi)部強制訪問控制策略，對于那些不符合安全策略標準的終端，可以在網(wǎng)絡(luò)設(shè)備的接入點進行強制控制，以保證內(nèi)網(wǎng)的安全性。當然，醫(yī)療行業(yè)的信息安全建設(shè)是一個循序漸進的過程，在不同時期滿足不同的安全要求。每一階段的展開都是圍繞著醫(yī)療單位制定的安全管理策略而推進的。2.1網(wǎng)絡(luò)入

10、侵檢測與防御解決方案防火墻是網(wǎng)絡(luò)門戶的第一道守衛(wèi)者，是部署在網(wǎng)絡(luò)的信任區(qū)域和非信任區(qū)域的網(wǎng)關(guān)型安全設(shè)備；目前醫(yī)院主要有兩種網(wǎng)絡(luò)結(jié)構(gòu)模式，一種是內(nèi)外網(wǎng)物理隔離的網(wǎng)絡(luò)結(jié)構(gòu)，另一種是內(nèi)外網(wǎng)邏輯隔離（VLAN）的網(wǎng)絡(luò)結(jié)構(gòu)，對于第一種情況由于是內(nèi)外網(wǎng)物理隔離，網(wǎng)關(guān)處安全的壓力主要體現(xiàn)在外網(wǎng)，因此在外網(wǎng)和 Internet 邊界處大多 部署了防火墻設(shè)備；第二種情況是在醫(yī)院整體“內(nèi)網(wǎng)”和外網(wǎng)（Internet）邊界處部署防火墻設(shè)備，在交換機上根據(jù)不同的業(yè)務(wù)應(yīng)用劃分虛網(wǎng)，然后在主干三層交換機上啟用相關(guān)虛網(wǎng)間的路由訪問策略。但近年來隨著大規(guī)模 DOS 攻擊、黑客攻擊、蠕蟲病毒、垃圾郵件等的大量泛濫，城門一次次“

11、失守”，為什么我們寄予厚望的的安全產(chǎn)品仿佛一夜間變得如此脆弱了呢？這里固然有安全環(huán)境的變化的原因， 更重要的是我們對于安全產(chǎn)品的部署和認識存在著誤區(qū)，首先認為防火墻是“萬能”的；第二是防火墻產(chǎn)品本身技術(shù)上的不足：l 被動式的防御措施 l 不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊、及網(wǎng)絡(luò)旁路的存在l 不能防范新的威脅和攻擊l 不能防范基于內(nèi)容的攻擊 很多情況下，病毒的傳播來源于網(wǎng)絡(luò)內(nèi)部，由于內(nèi)部沒有設(shè)防，病毒迅速泛濫，造成大面積服務(wù)器停機。入侵檢測與阻斷（IDS/IPS）技術(shù)能夠?qū)崟r檢測網(wǎng)絡(luò)動態(tài)，并對危險的攻擊立即阻斷。入侵檢測與防御需要部署在網(wǎng)關(guān)防火墻后面及內(nèi)部各重要網(wǎng)段上，配合防火墻防范已知和未知、外部和

12、內(nèi)部的攻擊。Symantec提供先進的入侵檢測與阻斷產(chǎn)品Symantec Network Security（以下簡稱SNS ）。 SNS可以監(jiān)控整個醫(yī)療網(wǎng)絡(luò)的通信信息，不需要另外安裝任何代理程序，對網(wǎng)絡(luò)結(jié)構(gòu)的影響也幾乎沒有。SNS的網(wǎng)絡(luò)監(jiān)控模式可以選擇IPS或IDS。SNS 7100 IPS 模式可以支持多個in-line pair(內(nèi)嵌對)，同時支持報警和攔截模式。管理員可以使用SNS 的“單鍵防御”技術(shù)在這兩種模式間切換。從而可以采用不同的安全策略應(yīng)對變化的網(wǎng)絡(luò)。報警模式：SNS串接在網(wǎng)絡(luò)上，發(fā)現(xiàn)可疑行為后發(fā)出報警通知管理員，不截會話。攔截模式：SNS直接串接在網(wǎng)絡(luò)上，發(fā)現(xiàn)惡意攻擊、非法請

13、求，立即攔截。如果使用IPS部署模式，不用更改交換機配置，無需額外占用交換機端口資源，SNS 7100支持802.1q trunk協(xié)議。在透明模式下，IPS不會影響醫(yī)療單位現(xiàn)有網(wǎng)絡(luò)應(yīng)用。SNS對經(jīng)過監(jiān)控網(wǎng)卡的數(shù)據(jù)包進行分析，將惡意請求，非法訪問直接攔截。在IPS(入侵攔截模式)下，SNS設(shè)備直接串接在醫(yī)療網(wǎng)絡(luò)中。為了防止因為SNS在正常設(shè)備時的重啟或服務(wù)暫止而影響網(wǎng)絡(luò)通信中斷，建議在部署SNS時，同時配合部署SNS旁路設(shè)備保持網(wǎng)絡(luò)通暢。SNS旁路設(shè)備，會監(jiān)聽SNS的運行狀態(tài)，并在SNS不能提供正常服務(wù)時，自動接管網(wǎng)絡(luò)通信，保證網(wǎng)絡(luò)的暢通。SNS對網(wǎng)絡(luò)監(jiān)控的部署模式是非常靈活的，完全可以滿足醫(yī)療

14、網(wǎng)的不同需求。附圖1. SNS對醫(yī)療內(nèi)網(wǎng)的網(wǎng)絡(luò)活動監(jiān)控方案特點：l 滿足高速環(huán)境的檢測需求。Symantec Network Security 7100 就多千兆高速通信監(jiān)控設(shè)置了新標準，允許在醫(yī)療內(nèi)網(wǎng)的任何級別執(zhí)行檢測功能，且不會丟棄數(shù)據(jù)包。l 對攻擊主動攔截。SNS設(shè)備可以工作在透明模式下，在不改變網(wǎng)絡(luò)結(jié)構(gòu)的前提下，自動攔截非法的網(wǎng)絡(luò)訪問，實現(xiàn)主動防御。l 混合檢測體系結(jié)構(gòu)，識別零時間攻擊。Symantec Network Security 7100組合協(xié)議異常檢測、狀態(tài)特征簽名、漏洞攻擊攔截、通信速率監(jiān)控、IDS 逃避處理、數(shù)據(jù)流策略沖突、IP 地址拆分重組以及自定義增強特征簽名描述語言

15、來收集惡意活動的證據(jù)。Symantec Network Security 7100 的協(xié)議異常檢測有助于檢測以前未知的攻擊和新攻擊（在它們發(fā)生時檢測）。此功能稱為“零時間”檢測。l 實時事件關(guān)聯(lián)和分析，快速定位醫(yī)療網(wǎng)威脅來源。Symantec Network Security 7100 的關(guān)聯(lián)和分析引擎可濾掉冗余數(shù)據(jù)而只分析相關(guān)信息，從而使得提供的威脅通知不會出現(xiàn)數(shù)據(jù)超載。SNS 使用跨節(jié)點分析在醫(yī)療網(wǎng)內(nèi)收集信息，從而快速地幫助管理員弄清楚趨勢并在相關(guān)事件和事故發(fā)生時識別它們。l 自動的Symantec 安全更新。來自 Symantec 安全響應(yīng)中心（世界領(lǐng)先的Internet 安全研究和支持

16、機構(gòu)）的定期、快速響應(yīng) 安全更新可提供頂尖的安全保護和最新的安全上下文信息，包括利用和漏洞信息、事件說明以及用于防御不斷增多的威脅的事件細化規(guī)則。這些操作大大減少了醫(yī)療內(nèi)網(wǎng)管理員的維護作量。2.2網(wǎng)關(guān)統(tǒng)一威脅管理解決方案上節(jié)分析了只在網(wǎng)關(guān)設(shè)置防火墻不能防御所有的網(wǎng)絡(luò)攻擊，需要在網(wǎng)關(guān)及網(wǎng)絡(luò)內(nèi)部部署IDS/IPS，加強對網(wǎng)絡(luò)的實時監(jiān)控，抵御來自外部或內(nèi)部已知和未知的威脅。實際上，防火墻對病毒也無能為力，用戶下載的文件或接收的郵件中有病毒，防火墻是視而不見的。對垃圾郵件更是渾然不知。為了盡量將攻擊攔截在網(wǎng)關(guān)外，提高內(nèi)部網(wǎng)絡(luò)的效率和性能，降低停機風(fēng)險，有些醫(yī)院還在網(wǎng)關(guān)處部署防病毒（病毒墻）和反垃圾郵件

17、功能。但是這些功能模塊之間如何協(xié)調(diào)才能夠既保證網(wǎng)絡(luò)性能和效率，又使各個部件真正發(fā)揮作用呢？網(wǎng)關(guān)統(tǒng)一威脅管理的概念就源于這種需求：采用單個設(shè)備涵蓋所有功能，從而降低復(fù)雜性、減少維護量（通常都是即插即用）、協(xié)同工作、更容易排錯。賽門鐵克的UTM 解決方案Symantec Gateway Security（以下簡稱SGS）采用了多種先進的安全技術(shù)，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行檢查、處理和控制。作為業(yè)界最全面的統(tǒng)一威脅管理設(shè)備，它將全封包檢查防火墻、基于協(xié)議異常和基于特征的入侵防御及入侵檢測引擎、獲獎的病毒防護、基于 URL 的內(nèi)容過濾、反垃圾郵件以及符合 IPsec 的VPN技術(shù)無縫地集成在一起。在部署時

18、，SGS 可以根據(jù)實際需要啟用不同的安全功能模塊：IPS/IDS、防病毒、防垃圾郵件，內(nèi)容過濾、VPN 等。為了避免出口的單點故障，可以部署兩臺或多臺SGS 設(shè)備。這些設(shè)備可以同時肩負負載均衡和高可用性職責。管理員可以靈活控制來自INTERNET的通訊流量，阻止各種從醫(yī)療網(wǎng)外的黑客攻擊和病毒、蠕蟲以及垃圾郵件；同時還可以在SGS 上對醫(yī)療內(nèi)部網(wǎng)絡(luò)配置不同的安全訪問控制規(guī)則。除了在醫(yī)療網(wǎng)出口部署統(tǒng)一威脅管理方案，還可以在某些信息安全級別相對較高的網(wǎng)段部署一臺SGS設(shè)備，設(shè)置適合本網(wǎng)段的安全訪問控制規(guī)則及安全攻擊檢測規(guī)則，保護信息以合法的方式被訪問。對于醫(yī)療網(wǎng)的其它網(wǎng)段，可視情況部署同樣的方案。S

19、GS 在醫(yī)療信息網(wǎng)的部署示意圖如下：附圖2. 醫(yī)療網(wǎng)出口統(tǒng)一威脅管理方案特點：l 具有七種必要的網(wǎng)絡(luò)安全功能，集成了防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測、著名的病毒防護、基于 URL 的內(nèi)容過濾、反垃圾郵件以及符合 IPSec 標準的 VPN 技術(shù)?？梢栽谝慌_設(shè)備上實現(xiàn)對醫(yī)療網(wǎng)的統(tǒng)一威脅管理。l 采用“最佳適配”規(guī)則系統(tǒng)。管理員可以按任意順序創(chuàng)建訪問控制規(guī)則（順序無關(guān)），防火墻會自動按照最安全的策略選擇并解釋執(zhí)行規(guī)則。大大減少了信息管理員的管理成本，易于維護使用。l 使用智能安全代理，對IP應(yīng)用（例如FTP，SMTP，SQL*NET）獨立控制，保證只有合法的協(xié)議命令和數(shù)據(jù)才能

20、通過。例如Symantec Gateway Security 5600系列防火墻可以抵制SMTP 后門命令和FTP、 SMTP和HTTP 數(shù)據(jù)流中存在的緩沖區(qū)溢出攻擊。l 提供集中式管理，通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡(luò)安全的管理。同時Symantec Gateway Security具有集成的高可用性和負載均衡選件，能夠滿足任何規(guī)模的醫(yī)療網(wǎng)的性能要求。2.3終端安全解決方案網(wǎng)絡(luò)黑客的主要攻擊目的往往是獲取終端機（服務(wù)器或客戶端）上的信息，病毒傳播的歸宿也是終端機遭到破壞，因此終端安全是我們的網(wǎng)絡(luò)安全的重要環(huán)節(jié)。早期的終端安全方案可能只考慮防病毒功能，但是今天我們面對的是混合威

21、脅風(fēng)險，病毒、儒蟲、木馬、黑客等。終端安全解決方案演變成包含防火墻、防病毒、入侵檢測與阻斷的協(xié)同防護體系。Symantec的客戶端安全解決方案（簡稱SCS）就是這樣一個產(chǎn)品。醫(yī)療單位內(nèi)的終端數(shù)量日益增多，各自歸屬的管理網(wǎng)段不一。因此建議對于客戶端的安全防護按不同的需求部署。對于那些訪問重要管理系統(tǒng)的終端統(tǒng)一安裝Symantec Client Security（以下簡稱SCS）。而對于安全級別較低的訪問終端，可選擇性地安裝客戶端安全軟件中的部分安全防護功能。下面是建議的終端安全部署方案：l 在工作終端上部署賽門鐵克功能強大的SCS。它同時具有病毒防護、入侵保護、防火墻保護等多重功能，可以對混合型

22、威脅到達主動的防御目的。l 在所有的Windows 服務(wù)器上安裝Symantec Antivirus for Servers。l 工作終端均接受相應(yīng)的SCS 服務(wù)器的管理。l 針對醫(yī)療網(wǎng)的全網(wǎng)防病毒系統(tǒng)的升級，建議首先每天自動升級醫(yī)院信息中心的一級單位防病毒服務(wù)器的病毒定義碼、掃描引擎、特征庫（漏洞特征庫和攻擊特征庫）和安全規(guī)則（防火墻策略），所有客戶端可自動地到防病毒服務(wù)器上升級。l 如果需要設(shè)立二級防病毒管理中心（例如在門診樓，住院樓或CIS 系統(tǒng)等），各二級單位的防病毒服務(wù)器到一級單位的防病毒服務(wù)器進行病毒定義碼、掃描引擎、特征庫和安全規(guī)則的升級。醫(yī)院客戶端安全部署示意圖如下：附圖3.

23、醫(yī)療內(nèi)網(wǎng)客戶端安全部署2.4 終端接入控制解決方案非法客戶機的接入是穿透安全防護體系、造成網(wǎng)內(nèi)病毒泛濫的主要途徑。再加上安全補丁更新不及時、安全軟件的設(shè)置不合理等原因，造成醫(yī)院網(wǎng)絡(luò)的安全問題時時讓人擔心，盡管層層部署了安全防護。就像有了公安局、法院，如果沒有法律，社會將混亂不堪一樣，只有安全防護而沒有安全策略的定義和執(zhí)行，就無法保證網(wǎng)絡(luò)真正地安全。但是只靠行政命令又很難執(zhí)行。網(wǎng)絡(luò)準入控制是一個有效的終端安全策略執(zhí)行的手段。網(wǎng)絡(luò)準入控制的核心思想是屏蔽一切不安全的設(shè)備和人員接入醫(yī)療管理系統(tǒng)網(wǎng)絡(luò)，或者規(guī)范終端用戶接入網(wǎng)絡(luò)的行為，從而鏟除對醫(yī)療信息網(wǎng)絡(luò)威脅的源頭，避免事后處理的高額成本。首先，為了真

24、正提高內(nèi)網(wǎng)安全級別，我們擴展了內(nèi)外網(wǎng)接口的定義傳統(tǒng)的內(nèi)外網(wǎng)接口定義僅僅關(guān)注網(wǎng)關(guān)處的接入。今天這樣的定義是遠遠不夠的。Symantec的強制接入手段將在每一個網(wǎng)絡(luò)端口實現(xiàn)，不僅包括網(wǎng)關(guān)，而且還包括每一個交換機端口，以及遠程VPN接入等等。通過Symantec LAN-Enforcer（局域網(wǎng)強制）技術(shù)，我們可以在每一個局域網(wǎng)交換機端口上強制檢查客戶端計算機的安全性，包括客戶端是否已安裝Symantec Enterprise Protection Agent 安全代理程序、是否已安裝防病毒軟件、病毒定義碼是否已更新、系統(tǒng)補丁程序是否已更新，密碼復(fù)雜程度是否達到安全策略要求等等，并根據(jù)檢查結(jié)果與安全

25、策略的要求自動進行阻斷、隔離、修復(fù)等動作。從而確保接入內(nèi)網(wǎng)的不僅是一個合法的用戶（提供正確的用戶名、密碼），而且是一個合格的用戶（達到醫(yī)院信息安全策略要求的安全級別）。對于遠程連接的用戶，我們可以利用Symantec Gateway-Enforcer（網(wǎng)關(guān)強制）技術(shù)達到LAN-Enforcer類似的檢查效果。Symantec LAN Enforcer可以和802.1x交換機在接入層對醫(yī)療網(wǎng)終端實現(xiàn)網(wǎng)絡(luò)準入控制。示意圖如下：附圖4. 醫(yī)療內(nèi)網(wǎng)段客戶端策略準入控制Symantec LAN Enforcer 強制服務(wù)器可以管理支持802.1X的交換機。它要求交換機主動認證接入的終端，如果機器上沒有安

26、裝賽門鐵克客戶端軟件，或者其他主機安全狀況檢查沒有達標，則交換機可以根據(jù)LAN Enforcer指令，容許或拒絕其接入內(nèi)部網(wǎng)絡(luò)。也可以將此類機器隔離到一個漫游區(qū)，外來用戶，移動用戶可以在漫游區(qū)修復(fù)安全狀況，或者在一定限制之內(nèi)訪問網(wǎng)絡(luò)。一旦安全修復(fù)完成，Lan Enforcer強制服務(wù)器會通知交換機將該終端從漫游區(qū)切換到科研試驗室的工作VLAN之中。Symantec網(wǎng)絡(luò)強制安全解決方案為醫(yī)療信息網(wǎng)絡(luò)提供了全面的防護手段，特別是大幅度提升了醫(yī)院內(nèi)網(wǎng)的安全級別。主要效果體現(xiàn)在：(1) 醫(yī)院內(nèi)網(wǎng)安全得到持續(xù)改進利用強制安全檢查，有效管理醫(yī)院內(nèi)外網(wǎng)數(shù)據(jù)交換。內(nèi)網(wǎng)接入的安全級別大大提高，有效降低了醫(yī)院內(nèi)網(wǎng)

27、的安全風(fēng)險。每一臺客戶端計算機連接醫(yī)院內(nèi)網(wǎng)的時候，都會強制檢查客戶端的安全設(shè)置，如果發(fā)現(xiàn)該客戶端沒有安裝安全代理，則被自動隔離到訪客VLAN，所以，外來的筆記本電腦將不能通過醫(yī)院局域網(wǎng)交換機連接醫(yī)院的內(nèi)網(wǎng)，包括服務(wù)器和醫(yī)生、護士工作站等，當然也就不能在醫(yī)院內(nèi)網(wǎng)散播病毒；如果客戶端雖然安裝了安全代理，但安全級別檢查未能通過，則被放到隔離VLAN，并進行自動修復(fù)（如系統(tǒng)補丁不全，則自動進行補丁更新）；只有既安裝了安全代理，又能通過安全檢查的客戶端才能訪問醫(yī)院內(nèi)網(wǎng)的工作VLAN，保證了醫(yī)院內(nèi)網(wǎng)的客戶端都是符合醫(yī)院的安全策略要求的。(2) 防止未知的安全威脅利用Symantec基于應(yīng)用的防火墻可以有效

28、管理客戶端上運行的所有網(wǎng)絡(luò)應(yīng)用程序，醫(yī)院可以直接建立一個醫(yī)院內(nèi)網(wǎng)需要運行的網(wǎng)絡(luò)應(yīng)用程序白名單（如護士工作站上的HIS客戶端程序），將其它任何未知的應(yīng)用程序排除在外。如此，即使部分客戶端感染了新的病毒，這個病毒也無法通過醫(yī)院內(nèi)網(wǎng)進一步感染其他工作站或者服務(wù)器。(3) 統(tǒng)一管理通過Symantec Enterprise Protection，醫(yī)院用戶仍然可以繼續(xù)強化內(nèi)外網(wǎng)隔離。比方說，可以通過集中管理的方式，統(tǒng)一關(guān)閉內(nèi)網(wǎng)工作站的USB端口，防止用戶通過U盤、移動硬盤等方式私自交換數(shù)據(jù)；關(guān)閉撥號連接、無線上網(wǎng)等其它Internet連接方式，防止內(nèi)網(wǎng)工作站在沒有保護的情況下私自上網(wǎng)，感染病毒或者其他惡

29、意代碼等。當然，醫(yī)院還可以通過集中的策略管理服務(wù)器分組部署不同的安全策略，提供靈活的策略管理方式。比方對于內(nèi)網(wǎng)工作站，可以分配最嚴格的安全策略，禁止所有外網(wǎng)連接，只允許醫(yī)院內(nèi)部的應(yīng)用訪問網(wǎng)絡(luò)；對于移動用戶（筆記本電腦）可以按照不同的處所自動啟用不同的安全策略，當該用戶處于內(nèi)網(wǎng)時，只允許醫(yī)院內(nèi)部的應(yīng)用程序訪問網(wǎng)絡(luò)（如院長查詢系統(tǒng)客戶端），當該用戶處于外網(wǎng)時，允許其它應(yīng)用程序訪問網(wǎng)絡(luò)。3. 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全解決方案總結(jié)：醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)需要部署層次化的、全方位的安全防護，即網(wǎng)絡(luò)邊界防護、網(wǎng)絡(luò)內(nèi)部監(jiān)控，終端安全及接入控制等。邊界統(tǒng)一威脅管理可以對那些來自外網(wǎng)的攻擊、和應(yīng)用層的非法流量進行深度檢測

30、，從而對許多新生的未知的蠕蟲和混合威脅予以控制。內(nèi)部網(wǎng)絡(luò)安全入侵監(jiān)控防御可以對來自于醫(yī)院內(nèi)部的攻擊，特別是未知攻擊行為作出及時判斷和響應(yīng)，保護網(wǎng)絡(luò)的正常運行。終端安全防護保護客戶機和服務(wù)器， 終端接入控制可以保障客戶端對網(wǎng)絡(luò)的合法使用，持續(xù)地監(jiān)控違規(guī)行為并作出響應(yīng)措施。第二部分：醫(yī)院信息系統(tǒng)可用性解決方案1.需求分析網(wǎng)絡(luò)安全防護旨在阻止病毒、黑客、儒蟲等攻擊造成的網(wǎng)絡(luò)癱瘓、信息系統(tǒng)停機、以及數(shù)據(jù)丟失或泄密。但是還需要預(yù)防網(wǎng)絡(luò)安全防護失敗帶來的損失。況且人為故障、硬件損壞、天災(zāi)人禍是難以避免的，因此需要高可用性技術(shù)來保障這些事故后信息系統(tǒng)的迅速恢復(fù)。所謂高可用性就是需要時能夠使用，維持一定的性能

31、和功能，且故障后能夠快速恢復(fù)。根據(jù)業(yè)務(wù)需求的不同，IT系統(tǒng)的高可用性采用一種或多種技術(shù)來滿足。一般有數(shù)據(jù)備份和恢復(fù)技術(shù)、集群與存儲管理技術(shù)、容災(zāi)技術(shù)、以及性能管理技術(shù)。在目前已經(jīng)上線的醫(yī)院IT環(huán)境中，絕大多數(shù)醫(yī)院都采用了群集技術(shù)來保證服務(wù)的持續(xù)運行或者在用戶可以容忍的時間之內(nèi)自動進行服務(wù)恢復(fù)。群集技術(shù)在應(yīng)對服務(wù)器故障方面有著顯而易見的效果，這一技術(shù)已經(jīng)得到大多數(shù)醫(yī)院用戶的認可，并已經(jīng)得到很大程度上的普及。但是，你會發(fā)現(xiàn)隨著醫(yī)院信息系統(tǒng)的深入發(fā)展，現(xiàn)有的高可用性架構(gòu)很難適應(yīng)新的高可用性需求：l 由于傳統(tǒng)的群集解決方案多采用“2+1”的模式，即兩臺服務(wù)器連接到一臺磁盤陣列。這種結(jié)構(gòu)是為了在兩臺服務(wù)

32、器之間共享數(shù)據(jù)。但是單臺磁盤陣列往往就成了核心系統(tǒng)的一個單點故障點，一旦磁盤陣列發(fā)生故障，則整個系統(tǒng)將發(fā)生停機，作為724營業(yè)的醫(yī)院來說，這種意外的停機是無法忍受的；l 很多用戶往往有這樣的誤解既然我的系統(tǒng)已經(jīng)是“雙機熱備份”了，那么，我的數(shù)據(jù)也不需要備份了。這種誤解導(dǎo)致很多用戶往往忽視了數(shù)據(jù)備份的重要性，結(jié)果整個系統(tǒng)的數(shù)據(jù)只有磁盤陣列中的一個拷貝，等到由于磁盤陣列發(fā)生故障或人為誤操作導(dǎo)致數(shù)據(jù)丟失的時候，才發(fā)現(xiàn)悔之晚矣！l 雖然關(guān)心容災(zāi)，但由于各種原因目前大多數(shù)國內(nèi)的醫(yī)院在建設(shè)IT系統(tǒng)時并沒有過多地考慮。一旦發(fā)生火災(zāi)、地震等災(zāi)難性事故，整個系統(tǒng)將毀于一旦，數(shù)據(jù)將一去不復(fù)返，醫(yī)院將遭受無法估量的

33、巨大損失。l 隨著診療系統(tǒng)的上線，數(shù)據(jù)量急劇增長，如何集中管理這些數(shù)據(jù)，有效地利用存儲，降低整體投資成本，也逐漸成為HIS建設(shè)熱點。l HIS和CIS數(shù)據(jù)需要用于醫(yī)院數(shù)據(jù)挖掘系統(tǒng)，醫(yī)院豐富的醫(yī)療經(jīng)驗也需要分享給同行業(yè)，滿足疾病預(yù)防、教學(xué)和科研需要。我們需要建設(shè)一個具有彈性的存儲平臺，在不損失應(yīng)用性能和可用性的情況下，實現(xiàn)靈活的數(shù)據(jù)共享。2. 解決方案綜合以上需求分析，醫(yī)院IT系統(tǒng)需要建立的是一套能夠提供實時的數(shù)據(jù)保護、高度可靠的故障切換、靈活的數(shù)據(jù)共享、以及園區(qū)級系統(tǒng)容災(zāi)的完善解決方案。2.1數(shù)據(jù)備份與恢復(fù)信息系統(tǒng)面臨著各種威脅帶來的數(shù)據(jù)丟失和應(yīng)用停機。網(wǎng)絡(luò)安全防護措施可以有效地遏制病毒、黑客

34、帶來的風(fēng)險，但是就像我們平時防范再好，仍然會生病一樣，信息安全防范也需要在多個層次上實施。 更何況人為失誤、硬件故障、自然災(zāi)難等有時是難以杜絕的。因此我們需要有一套恢復(fù)機制，保證即使系統(tǒng)遭到了破壞，仍然可以恢復(fù)。信息系統(tǒng)的核心其實是數(shù)據(jù)，因為操作系統(tǒng)、軟件等破壞了都可以重新安裝，但數(shù)據(jù)丟了是找不回來的。因此只要將數(shù)據(jù)留有拷貝或叫留有備份，就能夠恢復(fù)整個應(yīng)用。另外HIS系統(tǒng)的數(shù)據(jù)除了關(guān)系到醫(yī)院自身的經(jīng)濟核算之外，還將用于行業(yè)審計、醫(yī)患糾紛，因此數(shù)據(jù)的丟失是不能忍受的。很多醫(yī)院采用人工來做數(shù)據(jù)備份，或依靠應(yīng)用軟件自身完成備份。盡管在信息化初級階段數(shù)據(jù)量很小的情況下還能應(yīng)付，但是這種方式很難保證備份

35、數(shù)據(jù)的正確性，也保證不了在需要的時候是否能夠恢復(fù)，即使能恢復(fù)，又需要多長時間？而且數(shù)據(jù)拷貝分散保存，對人的依賴性太強。況且隨著應(yīng)用的增加和數(shù)據(jù)量的增長，手工根本不可能去處理。醫(yī)療信息系統(tǒng)需要建立專業(yè)的數(shù)據(jù)備份和恢復(fù)系統(tǒng)。 醫(yī)療信息系統(tǒng)的特點是，HIS系統(tǒng)的數(shù)據(jù)量不大，但是極其重要，出問題后需要快速恢復(fù)；CIS不僅數(shù)據(jù)量大，而且重要，會要求備份系統(tǒng)的高性能。主機平臺一般是UNIX和Windows, 數(shù)據(jù)庫有Oracle、SQL等。應(yīng)用系統(tǒng)是不斷開發(fā)上線運行的，所以要求備份系統(tǒng)的擴展性。Symantec的數(shù)據(jù)備份管理軟件Netbackup是業(yè)界領(lǐng)先的解決方案，全球市場占有率第一，在國內(nèi)擁有大量的客

36、戶群，有一支技術(shù)過硬的技術(shù)支持工程師，滿足數(shù)據(jù)備份系統(tǒng)的設(shè)計原則，應(yīng)該是醫(yī)院信息系統(tǒng)的理想選擇。采用NetBackup建立的醫(yī)院信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)系統(tǒng)的部署結(jié)構(gòu)圖如下：附圖5. 醫(yī)院信息系統(tǒng)備份與恢復(fù)結(jié)構(gòu)圖邏輯上，NetBackup由備份管理服務(wù)器、備份介質(zhì)服務(wù)器和備份客戶端組成。管理服務(wù)器管理整個系統(tǒng)的備份策略、備份記錄，提供GUI給管理員使用；備份介質(zhì)服務(wù)器直接存取備份存儲設(shè)備（帶庫或磁盤），并負責將需要備份的數(shù)據(jù)傳送到合適的磁帶或磁盤上，還負責恢復(fù)時將磁帶或磁盤中的數(shù)據(jù)回送到需要恢復(fù)的客戶端上；備份客戶端安裝在每個需要作數(shù)據(jù)備份的應(yīng)用服務(wù)器上，如圖中的各個業(yè)務(wù)機器。三個功能模塊可以部

37、署在一臺機器上，也可以安裝到不同的機器上。這里備份管理服務(wù)器和備份介質(zhì)服務(wù)器由一臺服務(wù)器負責，統(tǒng)稱為備份服務(wù)器。備份管理員通過GUI制定每個應(yīng)用系統(tǒng)的數(shù)據(jù)備份計劃（也叫備份策略）。所謂備份策略就是指定每個需要備份的客戶機上那些數(shù)據(jù)在什么時候備份、使用什么樣的備份方法、備份到什么地方。例如HIS業(yè)務(wù)系統(tǒng)的數(shù)據(jù)最重要，設(shè)置成每天晚上8:00開始做備份；其他系統(tǒng)每兩天做一次備份等。備份策略設(shè)置好之后，備份服務(wù)器就會按照策略指定的時間去喚醒應(yīng)用服務(wù)器上的備份客戶端，于是備份客戶端將指定文件或數(shù)據(jù)庫的數(shù)據(jù)從磁盤上取出，通過網(wǎng)絡(luò)傳送給備份服務(wù)器，由備份服務(wù)器保存到備份設(shè)備上。如果備份服務(wù)器有需要備份的數(shù)據(jù)

38、，它直接將其保存到備份設(shè)備上，不需要經(jīng)過網(wǎng)絡(luò)，備份性能更高。備份設(shè)備既可以是磁帶庫也可以是磁盤。備份設(shè)備總是由備份服務(wù)器存取。允許多臺備份服務(wù)器通過SAN共享一臺備份設(shè)備。由于備份服務(wù)器自身的備份速度快，當多臺應(yīng)用服務(wù)器需要高性能備份時，可以將它們均部署成備份服務(wù)器。備份設(shè)備的容量與需要備份的數(shù)據(jù)量和備份策略有關(guān)系。備份過程中要用到大量的存儲介質(zhì)，備份介質(zhì)的保留周期的長短將決定所需購置和維護的介質(zhì)量。目前的備份策略都是基于多磁帶輪換制，即保存有過時數(shù)據(jù)的介質(zhì)可重新覆蓋使用，輪換頻率可根據(jù)備份類型和備份的窗口來確定。當需要恢復(fù)某個應(yīng)用的數(shù)據(jù)時，可以透過備份服務(wù)器上的GUI查找指定數(shù)據(jù)的位置，申請

39、備份服務(wù)器將備份設(shè)備中的數(shù)據(jù)取出來，并通過網(wǎng)絡(luò)傳送到相應(yīng)的應(yīng)用服務(wù)器上. 如果是備份服務(wù)器上的應(yīng)用需要恢復(fù)數(shù)據(jù)，它就將數(shù)據(jù)直接恢復(fù)到相應(yīng)的目錄下。NetBackup不僅完成數(shù)據(jù)的備份和恢復(fù)，還支持操作系統(tǒng)的備份和快速恢復(fù)。NetBackup可以周期性地將操作系統(tǒng)環(huán)境（包括應(yīng)用軟件代碼及配置）等完整的影像備份到服務(wù)器上，一旦應(yīng)用系統(tǒng)遭到破壞，需要重新部署時，可以采用備份的影像在幾分鐘內(nèi)將裸機恢復(fù)到備份點時的狀態(tài)。因此這套備份系統(tǒng)可以讓你按照你的意愿設(shè)計備份策略，將所有數(shù)據(jù)做周期性的備份，以便任何情況下都能夠快速、完整地恢復(fù)數(shù)據(jù)。需要的時候，可以將備份介質(zhì)傳送到遠程（容災(zāi)中心）保存，以最低的成本預(yù)

40、防火災(zāi)等災(zāi)難造成的數(shù)據(jù)丟失。將來隨著應(yīng)用的深入發(fā)展，數(shù)據(jù)量的不斷增加，備份的性能會越來越重要。NetBackup有多種方法解決性能問題：（1）改變成LANFree的備份架構(gòu)，讓每臺服務(wù)器自己將數(shù)據(jù)通過SAN傳送到磁帶庫中。（2）利用磁盤技術(shù)提高數(shù)據(jù)傳送速度，包括磁盤緩沖、合成備份、虛擬磁帶庫等（3）增加安裝NetBackup的高級選件如塊級增量備份、閃備份、ServerFree備份等。2.2存儲管理解決方案隨著醫(yī)院信息系統(tǒng)的發(fā)展，越來越多的應(yīng)用系統(tǒng)投入運行。他們是由多套存儲支撐的多套服務(wù)器運行著多個應(yīng)用系統(tǒng)：如 HIS、PACS、RIS、LIS系統(tǒng)，雖然這些系統(tǒng)的數(shù)據(jù)密切相關(guān)，但是如果不有效的

41、進行存儲設(shè)計，容易形成信息孤島。當直接向病人提供診療決策的一線臨床醫(yī)生要求通過數(shù)字化來將各個檢查科室的病人檢查信息集成在自己面前時，你會發(fā)現(xiàn)，同一個病人的檢查信息分散存儲在不同應(yīng) 用系統(tǒng)的不同存儲器中。因此產(chǎn)生了集成需求，目前的主流集成方案是在 HIS 醫(yī)生工作站上讓臨床醫(yī)生能瀏覽病人在各個檢查科室產(chǎn)生的檢查數(shù)據(jù)。目前由于國內(nèi)還沒有醫(yī)療信息標準，很多醫(yī)院采用各種技術(shù)手段如對照表、消息中間件、數(shù)據(jù)格式適配引擎等把各個檢查子系統(tǒng)與HIS連接起來，實現(xiàn)病人各種檢查信息在臨床醫(yī)生處的瀏覽集成。但是未來會走向標準化，降低集成的難度。無論如何都有一個最煩惱的問題：病人數(shù)據(jù)的存儲是為了日后的調(diào)取使用，但它們

42、都分散在許多子系統(tǒng)的存儲器中，當醫(yī)院日常工作越來越多地轉(zhuǎn)移到電子平臺上而日益依賴于電子平臺的可靠性時，如何進一步提高這么多服務(wù)器和存儲器的可靠性來保證病人數(shù)據(jù)的不丟失？又采取什么措施讓醫(yī)院在經(jīng)濟性上能承受？未來區(qū)域醫(yī)療信息系統(tǒng)建設(shè)需要將PACS、HIS等系統(tǒng)數(shù)據(jù)實時地共享出去，建立區(qū)域醫(yī)療信息庫，用于政府醫(yī)療衛(wèi)生決策、醫(yī)學(xué)科學(xué)研究、公眾健康服務(wù)等。我們是否現(xiàn)在需要考慮？這里我們舉一個蓋大樓的例子，十年前的設(shè)計一定會包括水、電、汽、電視、電話等基礎(chǔ)設(shè)施，但是幾乎沒有考慮INTERNET、有線電視的部署?？墒沁^了不久，就需要改建部署這些設(shè)施，不僅成本更高，布線還不好看，用戶不滿意，租金也比新的具備

43、這些設(shè)施的大樓低。同樣，今天醫(yī)療信息系統(tǒng)的發(fā)展趨勢決定了存儲管理部署一定會在未來發(fā)揮作用，避免將來的重復(fù)投資和各種瓶頸。首先集中存儲是存儲管理的第一步，而SAN是實現(xiàn)集中存儲的首選技術(shù)，它具有如下特點：l 將存儲從服務(wù)器分離出來，從而提高了服務(wù)器的彈性l 支持更大型更靈活的集群l 共享存儲資源l 存儲（和服務(wù)器）整合l 更快速（獨立于LAN）的備份與恢復(fù)l 更高的系統(tǒng)I/O性能l 簡化管理l 降低總投資成本（TCO）利用SAN的網(wǎng)絡(luò)連接功能，可以實現(xiàn)所有的應(yīng)用系統(tǒng)訪問一個存儲器，讓所有子系統(tǒng)的數(shù)據(jù)都存放到一個存儲器中，只要管理這一個存儲就行了。但是這是不現(xiàn)實的，因為客戶會從異構(gòu)環(huán)境降低成本、獲

44、得高投資回報。這就要求有一種技術(shù)手段來整合這些存儲，達到高可靠性的目的。這就是存儲虛擬化技術(shù)。存儲虛擬化目前在存儲陣列、SAN和主機層面上都有實現(xiàn)，也就是說存儲環(huán)境中每一物理層都在盡力為應(yīng)用提供高性能、高可用性、低成本和可管理性。但是異構(gòu)環(huán)境的存儲虛擬化解決方案當屬Symantec的統(tǒng)一存儲管理方案Storage Foundaion.Storage Foundation的核心是邏輯卷管理器VERITAS Volume Manager(簡稱VVM)，VVM一直O(jiān)EM給Sun 和HP，許多關(guān)鍵的Sun Solaris和HP UX環(huán)境都使用它完成存儲管理，提供存儲虛擬化功能。VVM的介質(zhì)盤也捆綁在I

45、BM的AIX操作系統(tǒng)光盤包里，微軟2000和2003 Server中采用VVM的簡化版作為磁盤管理工具。在異構(gòu)的關(guān)鍵業(yè)務(wù)系統(tǒng)里，同時采用陣列廠家和軟件廠家的存儲管理方案互為補充，提供更好的可用性。一般普通的RAID技術(shù)由陣列自身完成，運行在服務(wù)器上的存儲管理軟件Storage Foundation完成如下功能：l 多路經(jīng)管理（DMP），在存儲和服務(wù)器之間建立多條數(shù)據(jù)路徑。以便當運行路徑出錯時，另一條可用路徑立即自動接管I/O，為用戶提供虛擬地不中斷存取。 DMP通過將I/O分布到多條路徑上，還可以提高I/O性能。在Windows環(huán)境中DPM基于微軟的MPIO框架，是WHQL Logo認證的。l

46、 Online monitoring and tuning 管理員可以在線識別存儲瓶頸，并將數(shù)據(jù)遷移到合適的存儲位置。這可以實現(xiàn)在問題變得嚴重之前阻止它。 I/O活動的跟蹤可以在系統(tǒng)級、卷級、邏輯磁盤級、或物理磁盤級。平均I/O活動按每個片（subdisk）計算；平均I/O達到90%的subdisk標記為潛在的“hot spot”,即熱點盤。于是管理員可以將其數(shù)據(jù)遷移到另一個低I/O活動的區(qū)域，以減少I/O瓶頸。VERITAS Storage Foundation減少了大量需要猜測和專家評估的優(yōu)化工作量。l Domain-wide storage configuration 在中央集中控制臺上

47、管理整個WINDOWS域的存儲。l Snapshots - VERITAS FlashSnap, 是VSF的一個選項，允許創(chuàng)建數(shù)據(jù)時間點的快照，而對應(yīng)用的性能影響極小。這種快照既可以在本機上使用，也可以安裝到其它服務(wù)器上使用。本地磁盤快照提供數(shù)據(jù)誤操作情況下的快速數(shù)據(jù)恢復(fù)。脫機快照可以完成資源密集型的處理，如測試、決策支持、備份等，以減輕生產(chǎn)機的壓力。是未來區(qū)域醫(yī)療信息系統(tǒng)大量數(shù)據(jù)抽取的有效工具。VERITAS FlashSnap完全集成到微軟的VSS結(jié)構(gòu)中。l 陣列間鏡像 VSF的鏡像功能可以在任何型號的磁盤陣列間完成，利用這種功能可以將HIS系統(tǒng)的數(shù)據(jù)同時存放到多臺存儲上，以提可靠性。還可

48、以將鏡像的兩個陣列放到遠距離的位置，達到同城容災(zāi)，進一步提高可用性。根據(jù)IDC的統(tǒng)計，數(shù)據(jù)中心通常的磁盤利用率為30%到60%，而經(jīng)過存儲整合，實現(xiàn)統(tǒng)一存儲管理的數(shù)據(jù)中心，它的磁盤利用率將能夠達到90%。也就是說，良好的存儲管理軟件能夠給用戶節(jié)省大量不必要的硬件開支，讓管理員從繁重的存儲管理中解脫出來，真正實現(xiàn)現(xiàn)代化數(shù)據(jù)中心的意義。VERITAS Storage Foundation需要安裝到每臺應(yīng)用服務(wù)器上，支持任何操作系統(tǒng)平臺（UNIX、Windows、Linux）。提供超越存儲虛擬化的功能，將為醫(yī)療信息系統(tǒng)減少管理成本，提高存儲使用效率、提高可用性。與集群技術(shù)配合將有效地達到存儲整合。2

49、.3全冗余的集群系統(tǒng)作為計算機系統(tǒng)高可用性的重要組成部分，集群是預(yù)防主機故障導(dǎo)致停機的最主要手段。集群的概念對于醫(yī)療行業(yè)并不陌生，在目前已經(jīng)建立的醫(yī)院IT環(huán)境中，絕大多數(shù)醫(yī)院都采用了群集技術(shù)來保證服務(wù)的持續(xù)運行或者在用戶可以容忍的時間之內(nèi)自動進行服務(wù)恢復(fù)。但是，你會發(fā)現(xiàn)很多環(huán)境中集群技術(shù)沒有發(fā)揮應(yīng)有的作用。最普遍的問題是很多群集解決方案多采用“2+1”的模式，即兩臺服務(wù)器連接到一臺磁盤陣列，這種結(jié)構(gòu)是為了在兩臺服務(wù)器之間共享數(shù)據(jù)。但是單臺磁盤陣列往往就成了核心系統(tǒng)的一個單點故障點，一旦磁盤陣列發(fā)生故障，則整個系統(tǒng)將發(fā)生停機。除此之外，是因為忽略了計算機高可用性是由一系列技術(shù)保障的，包括主機部件

50、冗余、多條輸入/輸出路徑、鏡像磁盤、冗余網(wǎng)絡(luò)連接，數(shù)據(jù)備份等。前面已經(jīng)討論了大部分內(nèi)容，這里討論集群技術(shù)。如果將原來的集群模式稱為“2+1”的話（即兩個服務(wù)器連接一個陣列），現(xiàn)在一定采用“2+2”群集模式（即兩個服務(wù)器加兩個陣列），使之成為全冗余、無任何單點故障的HA系統(tǒng)，使醫(yī)院IT系統(tǒng)真正沒有后顧之憂。在原來的“2+1”群集模式的基礎(chǔ)上，多增加一臺磁盤陣列，將一臺服務(wù)器定義為一個“運算節(jié)點”，將一臺磁盤陣列定義為一個“存儲節(jié)點”，所謂“2+2”的意思就是“兩個運算節(jié)點+兩個存儲節(jié)點”。利用VERITAS Storage Foundation的卷鏡像功能實現(xiàn)兩臺磁盤陣列之間的鏡像關(guān)系，每一次I

51、/O的寫入都分別通過兩條主機通道到達兩臺磁盤陣列的控制器，并且當兩個I/O都返回正確的結(jié)果之后，操作才算完成。所以，兩臺磁盤陣列中的數(shù)據(jù)完全保持實時同步，不用擔心任何的數(shù)據(jù)一致性問題。附圖6. 全冗余的集群結(jié)構(gòu)在SAN環(huán)境下，由于實現(xiàn)了資源共享，”2+2” 不會帶來太大的投資增長。例如，原來HIS存取陣列A, LIS存取陣列B, 他們?nèi)窟B接SAN后，HIS和LIS可以同時存取A和B。兩個應(yīng)用都可以利用A和B的鏡像變成2+2集群結(jié)構(gòu)。目前的集群技術(shù)都支持多節(jié)點集群（VERITAS Cluster Server支持32節(jié)點），如果想進一步節(jié)省成本，可以采用1備2或互相備份的結(jié)構(gòu)，達到資源整合的目

52、的。同樣，新應(yīng)用系統(tǒng)上線時，存儲資源可以購買新的，也可以利用現(xiàn)有的陣列擴充容量，如果這些應(yīng)用對恢復(fù)時間要求高，就部署成“2+2”模式的集群結(jié)構(gòu)。如果需要整合資源，可以將他們也整合到這個集群架構(gòu)中。方案特點：雖然每個主機廠家都提供專有的集群軟件，但是他們都只能支持自己的硬件平臺。Symantec的集群軟件VERITAS Cluster Server (VCS) 是一個商用的企業(yè)級軟件解決方案，它可提供全面的可用性管理，把計劃的和非計劃的停機時間降到最低。支持異構(gòu)操作系統(tǒng)和存儲，可以幫助運行在UNIX、Windows、Linux平臺上的醫(yī)療應(yīng)用建立高可用性。2.4容災(zāi)方案作為醫(yī)院信息系統(tǒng)高可用性的

53、延伸，信息系統(tǒng)容災(zāi)已經(jīng)逐漸成為醫(yī)療界的熱點。醫(yī)院業(yè)務(wù)連續(xù)性包括許多內(nèi)容，例如醫(yī)務(wù)人員儲備、工作空間考慮、應(yīng)急流程制定、信息系統(tǒng)容災(zāi)等。這里只介紹信息系統(tǒng)的容災(zāi)方案。建立一套真正的容災(zāi)系統(tǒng)需要不菲的投資，而且需要周密的計劃和設(shè)計。容災(zāi)計劃需要考慮數(shù)據(jù)恢復(fù)點和恢復(fù)時間（RPO/RTO）、容災(zāi)中心位置與設(shè)施選擇、數(shù)據(jù)遷移方式、應(yīng)用切換方法、以及容災(zāi)系統(tǒng)測試等醫(yī)院信息系統(tǒng)是7X24小時的關(guān)鍵業(yè)務(wù)，雖然每個具體應(yīng)用的狀況不完全一樣，但數(shù)據(jù)至少是不能有任何丟失的。也就是說一般要求RPO/RTO越小越好。容災(zāi)中心的選擇跟預(yù)防什么災(zāi)難有直接關(guān)系。災(zāi)難恢復(fù)計劃必須權(quán)衡恢復(fù)成本和可能的災(zāi)難造成的可能的損失。由于地理位置是重要的選擇參數(shù)，因此容災(zāi)中心的選擇在災(zāi)難恢復(fù)成本中占有很大比重。例如，它設(shè)在要保護的數(shù)據(jù)中心旁邊顯然不完美，因為絕大多數(shù)災(zāi)難是區(qū)域性的。理想情況是容災(zāi)中心與數(shù)據(jù)中心保持一段距離，這樣可以避免同時遭受同一災(zāi)難襲擊。但距離又應(yīng)當足夠近，