医疗行业信息系统整体解决方案.doc

医疗行业信息系统整体解决方案医疗行业信息系统整体解决方案 目录 前言.2 第一部分 医疗行业信息系统网络安全解决方案.3 一、医疗行业结构特点及信息安全需求分析.3 二、医疗行业网络安全整体方案.5 1 医院端点标准化管理方案.5 2 医院邮件系统安全管理.11 SYMANTEC VONTU DLP 架构示意图如下：.18 第二部分、医疗信息系统可用性解决方案.20 一、需求分析.20 二、解决方案.21 2.1 增强的数据备份与恢复.23 2.2 存储管理解决方案.25 2.3 高可用的集群系统.28 2.4 容灾方案.31 2.5 海量数据归档方案.35 三、医院信息系统高可用解决方案总结.36 前言前言 医疗信息化建设是行业信息化建设过程中的重要组成部分。目前正是医疗 信息化的大发展时期。未来几年中，我国将有超过 70%的医院实现信息化管理。 根据医疗系统的信息化水平划分，医院信息化发展要经历三个阶段：医院管理 信息化(HIS)阶段、临床管理信息化(CIS)阶段、局域医疗卫生服务(GMIS)阶段。 医院能否为病人提供方便、快捷的优质服务？这不仅是百姓关心的问题，也是 医院所重视的问题。医院对信息化的要求是很迫切的，对他们来说，信息化带 来的不仅是便捷，更把医院管理带向现代化轨道。在 HIS 系统上，不仅护士和 药品管理部门的人员能看到医生的医嘱信息，医生也能看到药品的报价情况， 这彻底改变了以往各个部门之间信息沟通不畅的问题，真正实现了业务透明化。 据不完全统计，这种全新的管理方式每年为医院至少节约 1000 万元。 医院管理信息系统在 20 多年的发展中，历经了单机单任务、PC 机 Foxbase局域网部门级信息系统，直到 C/S、B/S 结构的一体化医院信息 系统。网络也正在经历院内局域网扩展为医疗城域网，直至将来的全国联网的 网络形态变化，其原因是：一方面医院需要为患者提供更多的服务，需要为内 部移动用户提供 VPN 接入，为病人提供网上预约挂号，为专家提供远程会诊等； 另一方面由于医院是整个社会保障体系中必不可少的一环，又肩负着教、科、 研的重任，要求医院信息化系统逐步从封闭走向开放。 因此，医院信息系统正变成医疗体系结构中不可或缺的基础架构，该架构的网 络安全和数据可用变得异常重要。任何的系统停机或数据丢失都会轻则降低患 者的满意度、损害医院的信誉，重则引起医患纠纷、法律问题或社会问题。 和其他行业一样，医疗信息系统在日常运行中面临各种风险带来的应用服务停 机和数据丢失或泄密，例如： 网络病毒、攻击造成停机与数据丢失 黑客入侵造成信息泄密 人为错误造成数据删除 存储损坏造成应用停机和数据丢失 服务器故障或交换机故障导致应用意外停机 不可抗因素如火灾、地震等造成信息中心毁坏 随着医疗信息系统的深入发展，IT 环境也变的越来越复杂。不仅有不同厂 家的存储、服务器、网络等硬件平台，还会有 Oracle、SQL Server、中间件等 异构的软件平台。虽然异构为医院带来低成本和高适应性，但同时也会带来复 杂性，引起性能和高可用性问题。 因此无论是医疗制度改革带给医院的压力，还是政府疾病防治和控制给医院信 息化建设带来的机会，医院信息系统在发展过程中首当其冲要解决的问题是： 因外部及内部原因引起的网络安全问题，数据安全问题，保证信息系统的扩展 性和高效连续运行。 本方案将从医疗信息系统的安全现状出发，讨论如何建立适应未来发展的 信息系统安全和可用性架构。 第一部分第一部分 医疗行业信息系统网络安全解决方案医疗行业信息系统网络安全解决方案 一、医疗行业结构特点及信息安全需求分析一、医疗行业结构特点及信息安全需求分析 随着医疗行业信息化建设的不断完善，目前绝大多数的医院已经部署了网 络防火墙，客户端防病毒等产品，但医院网络依然会不断遭受蠕虫病毒，木马 等威胁的攻击，现有的技术和防范手段已经不足以应对日益猖狂的各种新型威 胁。 另外，医院内部发生的安全事件是医院信息资产流失的一个主要因素，越 来越多的医院也着手开始实施内网的安全控制措施。 图图 1 1：医院信息系统的典型网络拓扑：医院信息系统的典型网络拓扑 医疗行业信息系统结构的安全威胁主要来自以下下几个方面： 1、医院数量庞大的固定及移动终端安全和管理难题：操作系统补丁不能及 时更新、安全软件不能及时升级，造成威胁侵入、继而整个网络病毒泛滥。 2、 医院的邮件系统逐渐成为医院日常管理的工具，垃圾邮件泛滥不仅造 成 IT 资产浪费、系统效率下降，而且各种利用邮件的网络攻击会给网络带来极 大的风险：信息泄漏、病毒传播。 3、 医院绝大部分的病人和医疗信息，如病人的病例|、 药品采购、财务 信息等，是以电子信息的形式存在医院的内部网络中，据统计，医院知识产权 信息经常以电子邮件，文件传输，web 邮件等形式轻而易举地流出。因此医院 需要一定的保护措施，避免信息泄漏造成的各种形式的纠纷。 通过上述分析可以看出，医院信息系统的安全防护必须是多层次，全方位 的。赛门铁克根据医疗行业的实际情况，设计了完整的、先进的信息系统主动 安全防护体系，它主要包括： 医院端点标准化管理方案医院端点标准化管理方案 端点安全策略管理 Symantec NAC/Endpoint Protection IT 资产标准管理 Symantec Altiris 医院邮件系统安全管理方案医院邮件系统安全管理方案 邮件安全网关 Symantec Mail Security 邮件归档管理 Symantec Enterprise Vault 医院机密数据安全管理方案医院机密数据安全管理方案 防止机密数据泄漏方案 Symantec Vontu DLP 二、医疗行业网络安全整体方案二、医疗行业网络安全整体方案 1 1 医院端点标准化管理方案医院端点标准化管理方案 医院网内的终端数量庞大，各自归属的管理网段不一。归纳端点管理的目 标： 医院全面建立主动式的端点防护体系，即能够有效包含端点本身， 又能够对端点上的不规范行为进行监督。 端点保护需要集成多种安全技术，如防病毒，防火墙、IPS,程序管 理、设备控制等。 在网络上部署实时的审核手段，对违规的客户端限制或禁止其网络 接入权限。做到发现问题，即时解决问题。不感染网络中其它的工 作设备。 减少 IT 维护终端的工作量，自动收集网络中的 IT 资产信息，定期 统计其变更量，为医院 IT 规划提供依据。 统一分发医院所需要的系统补丁、应用程序等，减少终端用户的干 预程度。 赛门铁克的端点标准化管理方案从技术和管理两方面出发，可以很好的解 决上述医院面临的端点管理问题。该方案主要由两大部分组成： Symantec Network Access Control/Symantec Endpoint Protection: 提供集成的端点安全防护技术和网络准入控制，帮助医院提高端点 自身的安全防护能力。同时又在网络上实时审核端点的符合安全规 范的程度。一旦发现违规终端，立即限制或取消其访问网络的权利， 从而达到规范终端操作，统一策略的主动防护目的。 Symantec Altiris：给医院提供 IT 资产生命周期的管理架构，从 IT 资产的信息收集、登记、系统分发，软件分发、故障排错等全面的 自动化的管理，大大减少 IT 管理员的维护工作量。 下面将阐述这两部分方案如何对医院端点标准化管理。 （一）Symantec Network Access Control/Symantec Endpoint Protection（以下简称（以下简称 SNAC/SEP） SNAC/SEP 是赛门铁克端点安全管理方案，它的核心思想是通过网络准 入控制和端点安全保护屏蔽一切不安全的设备和人员接入医院内部网络，从而 规范终端用户接入网络的行为，铲除对医院重要网络威胁的源头，避免事后处 理的高额成本。 SEP 提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。 它具备先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现 的未知攻击侵扰。包括主动防护技术以及管理控制功能；主动防护技术能够自 动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使 医院能够拒绝对医院来说被视为高风险的特定设备和应用程序活动。甚至可以 根据用户位置阻止特定操作。 SEP 不仅可以增强防护，而且可以通过降低管理成本以及管理多个端点安 全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制 台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效 能。SEP 功能结构示意图如下： 图图 2：SEP 功能结构示意图功能结构示意图 在端点安全管理设计中，网络准入控制是把对用户的管理需求通过技术手 段贯彻下去的唯一可行办法。SANC 正是这样一个解决方案，它为医院创建了 终端接入的可信尺度。常见检查策略为：强制验证操作系统补丁是否更新，反 病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当 的配置。同时，SNAC 也可以让管理员进一步执行更多高级策略，检查特定安 全软件或特殊安全配置是否存在。一旦 SNAC 检查策略创建完成，就有了在终 端连入网络时可参照的安全基线。它通过提前的“准入扫描” ，来确保终端可信 状态并授权。 SNAC 的网络访问控制流程包括以下四个步骤： 1. 发现和评估端点发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与 现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照 最低 IT 策略要求对连接到网络的新设备进行评估。 2. 设置网络访问权限设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后，才 准予该系统进行全面的网络访问。对于不遵从 IT 策略或不满足医院最低安全 要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。 3. 对不遵从的端点采取补救措施。对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管 理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可 以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信 息提供给用户，以便进行手动补救。 4. 主动监视遵从状况。主动监视遵从状况。必须时刻遵从策略。因此，Symantec Network Access Control 11 以管理员设置的时间间隔主动监视所有端点的遵从状况。如 果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随 之变化。 SNAC 提供多种准入控制方式： 局域网准入控制（基于 802.1x 标准）LAN Enforcer 网关准入控制 Gateway Enforcer DHCP 准入控制 自我强制 图图 3：SNAC 网络准入控制网络准入控制 （二）（二）Symantec Altiris Symantec 的 Altiris 资产管理致力于 IT 管理，以其服务导向架构服务导向架构(SOA) 下 提供模块化的服务导向解决管理方案服务导向解决管理方案(SOM)为客户提供完整的 IT 生命周期管生命周期管 理理(IT Lifecycle Management )，并在业界公认的成熟的 IT 管理最佳实践（管理最佳实践（IT 基础架构库）基础架构库）的基础上为客户提供完全的流程化管理。它帮助医院实现 IT 资 产生命周期的管理。 图图 4：Symantec Altiris IT 资产生命周期管理资产生命周期管理 Altiris IT 生命周期管理解决方案具有多重系统管理功能，医院能随着新的 要求或新的系统管理需求部署新的功能，随着医院的发展而不断扩充。每个解 决方案以模块化的方式集中安装在 Altiris 服务器上，通过安装在客户端的 Agent（代理）的交互式来实现所有功能。在端点标准化管理的方案中，我们建 议使用 Altiris Client Management Suite( CMS) 来实现对端点资产的自动化管理。 Altiris CMS 套件是一种非常简单易用的客户端管理解决方案，它帮助医院降低 PC、笔记本、手持设备等的管理维护成本。专为拥有大量 IT 设备管理者设计 的。这个方案帮助医院实现从任何地点对系统和设备的管理，包括部署、管理、 配置、解决问题等功能。它包括如下解决方案： Inventory Solution for Clients, IT 资产管理（动态资产统计、资产监控） Deployment Solution for Clients,部署和迁移（系统、应用、个性化设置的部署 和升级） Patch Management Solution for Clients,补丁包管理（自动、安全安装补丁程序） Software Delivery Solution for Clients, 软件分发（快速安装软件） Carbon Copy Solution, 远程控制（帮助远程解决问题或培训） Recovery Solution for Clients，备份与恢复（系统、应用程序、文件的备份与恢 复） Application Metering Solution, 应用程序测量（分析应用程序使用率） （三）赛门铁克端点标准化管理方案优势（三）赛门铁克端点标准化管理方案优势 来自同一厂家的端点标准化管理方案，用户具有最小的端点管理成本 和部署成本。 Altiris 提供和 SEP 的集成组件，可在 Altiris 部署的同时，将 SEP 一并部署到客户端。 SEP 集成了客户端所需要的所有安全防护技术，可以在安全威胁渗透 到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也 不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊 木马、间谍软件、广告软件和 rootkit。 Symantec 提供业界最佳的威胁趋势情报 赛门铁克的防护机制使 用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁 趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮 助您防御不断变化的攻击，从而使您高枕无忧。 SEP 与 SNAC 属于同一个管理架构，使用共同的客户端代理和管理控 制台。在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、 设备控制和网络访问控制，最大程度地降低了 IT 管理员的维护工作 量。 SNAC 是业界网络准入控制的领导者，拥有全球最广泛的用户案例， 产品成熟度高，确保医院部署 SNAC 后，没有后顾之忧。 SNAC 独立于网络设备厂商，具有最广泛的网络设备支持。可以与任 何医院的网络架构相结合，达到规范医院终端行为的效果。 图图 5：Symantec 端点安全和管理部署示意图端点安全和管理部署示意图 2 2 医院邮件系统安全管理医院邮件系统安全管理 医院邮件系统安全管理的目标是： 对来自外部网的垃圾邮件进行过滤和处理； 对病毒和蠕虫造成的邮件攻击进行拦截； 对不断增长的无用带宽进行限制和调整； 对包含不正当内容的邮件予以拦截； 限制邮件服务器上的用户邮箱配额，同时也能够满足用户有足够的邮 件存储空间，提高前台邮件服务器的处理性能。 满足对邮件日志保存期限和审计的需求，降低法律诉讼的风险，帮助 用户恢复重要的邮件。 赛门铁克的电子邮件安全及可用性方案为用户提供全面卓越的邮件生命周 期的安全管理方案，提供了业界领先的产品和服务，通过有效维持通讯系统及 数据的安全及随时可用，节省用户的投资，成本而设计，减少大量垃圾邮件、 阻截病毒，并通过归档实现对旧有邮件的生命周期管理，协助保障用户电邮系 统的弹性架构。赛门铁克邮件生命周期管理方案示意图如下： 图图 2：赛门铁克邮件生命周期安全管理方案：赛门铁克邮件生命周期安全管理方案 如上图所示，赛门铁克的邮件生命周期安全管理方案由两大核心组件构成： Symantec Mail Security 8300：为医院接收和发送的所有邮件提供垃 圾邮件、病毒邮件以及邮件含有违规内容的全面安全检测，并提供 相应的自动化安全处理措施。 Symantec Enterprise Vault 7.5：对医院内部的邮件系统提供基于策 略的邮箱归档、日志归档操作。在满足医院保存邮件和审计需求的 同时，降低一级邮件存储空间的使用率，提高邮件服务器性能。快 速恢复用户需要的重要邮件等。 下面将阐述这两大核心组件如何对医院邮件系统进行安全管理。 （一）（一）Symantec Mail Security 8300 Symantec Mail Security 8300(以下简称 SMS8300) 系列同时提供防垃圾邮件、 防病毒、内容过滤等全面防护功能。 SMS 8300 系列设备的用途非常灵活，根据医院网络规模和电子邮件处理 的需要，它们可以执行多种不同的功能。每台 SMS 8300 系列设备都可部署为： Scanner：如果只部署为 Scanner，SMS 8300 系列设备将会过滤电子邮件。 可以在医院网内安装一个或多个 Scanner。SMS8300 系列设备可以与现有电 子邮件或群件服务器一起工作。 控制中心（控制中心（Control Center）：）：管理医院网邮件安全系统。每个 SMS 8300 系列安装都有一个控制中心设备，它是一个基于 Web 的配置和管理中心。 控制中心又承载着隔离区和支持软件。可以从控制中心中配置和监控所有 Scanner 设备。 还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、 系统设置及所有其他功能。控制中心同时还提供系统中所有 SMS 8300 系 列设备的状态以及系统日志。 它还提供丰富的可自定义的报告。可以使用 控制中心来配置系统范围的和主机特定的详细信息。如果正在使用隔离区， 则可以使用控制中心来管理隔离区。 最终用户（学生、在校教职员等）可 以访问控制中心来查看隔离区中的垃圾邮件，还可以设置他们的语言过滤及 禁止或允许的发件人首选项。隔离区是一个存储垃圾邮件并使最终用户能够 访问他们的垃圾邮件的组件。也可以将隔离区配置为仅供管理员访问。隔离 区的使用是可选的。 控制中心兼控制中心兼 Scanner：执行上述两种功能。 适用于医院邮件用户较小的情 况安装。 图图 3：医院邮件安全集中管理：医院邮件安全集中管理 （二二）Symantec Enterprise Vault 7.5 如前文所述，Symantec Enterprise Vault(以下简称 EV)为一款提供邮箱归 档、日志归档、邮件快速查询及恢复、减轻一级邮件存储压力、满足邮件审 计的专业方案。EV 可以归档医院内常见的几乎所有数据类型，如： 位于 Microsoft Exchange 用户邮箱中的项目 位于 Microsoft Exchange 日志邮箱中的项目 Microsoft Exchange 公用文件夹内容 位于 Domino 邮件文件中的项目 位于 Domino 日志数据库中的项目 网络文件服务器中保存的文件 Microsoft SharePoint 服务器中保存的文档 即时消息和 Bloomberg 消息 来自其他消息传递服务器的 SMTP 消息 Enterprise Vault 归档进程会检查目标服务器，以获得要归档的项目。相关 项目随后会被存储在 Enterprise Vault 归档中。Enterprise Vault 会为已归档项 目创建索引，以实现快速搜索和检索。管理员可以设置所需的索引级别。在归 档项目时，系统会自动为项目分配一个“保留类别” ，该类别定义了必须保存项 目的时间长度。管理员可以为不同类型的数据定义不同的保留类别。这样，当 Enterprise Vault 监控归档时，它可以删除保留期限已过期的项目。 EV 的各个组件协同工作，实现了灵活的基于策略的邮件生命周期管理： Enterprise Vault Server：归档主服务器，负责归档策略的管理及归档信息的管理 Journal Archiving：日记邮件归档模块，可以将邮件服务器复制的每一封进出邮 件归档到 EV 管理的存储，便于审计需要 Mailbox Archiving：邮件归档模块，可以将邮件归档到 EV 管理的存储，扩展邮 箱配额，提供 outlook 集成的界面 PST Migrator：迁移模块，可以将现有的 PST 文件数据迁移到档案库 Offline Vault：离线模块，提供离线情况下对邮件的访问 Discovery Accelerator：邮件审计和搜索模块，提供工作流方式的审计 File System Archiving, Archiving & Search：文件归档，透明地将文件归档并提供 对归档文件的全文搜索功能 （三）赛门铁克邮件系统安全管理方案优势（三）赛门铁克邮件系统安全管理方案优势 赛门铁克的邮件系统安全方案是业界最成熟的解决方案，SMS 8300 与 Symantec EV 在邮件管理市场中都占有第一位的市场份额。 SMS8300 采用了多种垃圾邮件过滤技术，有效率达到 95以上，准确 性达到 99.9999%，处于世界领先水平； SMS8300 在全世界拥有 200 万个蜜罐邮箱，专门收集最新的垃圾邮件， 能够快速应对最新的垃圾邮件发送技术。同时，Symantec 公司在国内 设立了 20 万蜜罐邮箱专门搜集国内的垃圾邮件，针对中文垃圾邮件和 国内流行的垃圾邮件同样具有很高的过滤效率； SMS8300 通过电子邮件防火墙技术，实现在真正的垃圾邮件与病毒邮 件到达用户网络之前，就阻止其企图的功能。通过此技术，可以极大 的节省用户网络的带宽利用，并且真正保护了最终邮件服务器的可用 资源（SMS 8300 独有） ； SMS8300 可有效防止 DHA 攻击、垃圾邮件攻击、病毒攻击、空连接 攻击、多重压缩攻击等各种针对电子邮件系统的 DOS 攻击（SMS 8300 独有） ； SMS8300 提供强大的最终用户可配置功能。最终用户通过登陆管理配 置界面，可以管理与自己有关的隔离区垃圾邮件，并且可以自定义个 体的黑名单、白名单和语言选项，从而大大的降低管理员的管理负担； EV 通过压缩和单实例存储技术，大幅减少邮件归档存储量 EV 生成归档内容索引，实现快速的目标检索，用户透明体验 EV 提供所有归档内容的 HTML 副本，确保用户将来能够通过任何应 用程序来访问档案内容 EV 可以支持最广泛归档数据来源的归档平台，自身就可以直接实现与 Domino, Exchange, SharePoint，IM，文件服务器等归档功能。同时，其 与合作伙伴广泛的集成包括： SAP、数据库、传真等等，Enterprise Vault 还可以提供 EMC、IBM、OpenText 和 Stellent 的 RM 连接器，并 提供第三方归档开发接口 对 Exchange 邮箱、日志、公用文件夹和 PST 文件的内容进行归档。消 除配额和信息容量限制，同时控制信息存储的增长。管理员可以定义 策略，将 Exchange 邮件和附件自动归档到在线的仓库中。另外，它还 提供了快捷方式，使用户能够通过 Outlook，或者通过基于 web 的扩展 搜索功能，轻松、透明地查看或恢复初始条目。 EV 可以无缝支持 Domino Web Access 接入模式。通过 EVt 客户端浏览 器，搜索等与 Notes 客户端及 DWA 方式完全无缝集成。同时客户端可 以从 Windows Desktop Search 中搜索归档。 Enterprise Vault 采用 11 种语言翻译客户端，包括简体中文版客户端 在基于 SMTP 的电子邮件系统中，EV 可以支持基于策略的电子邮件和 附件归档 3医院敏感数据安全管理方案医院敏感数据安全管理方案 随着医院信息化建设的深入，信息系统成为医院业务正常开展的基石，其 中的数据是医院最重要的资产。近年来，多家国际上有重要影响力的企业/公司 不时被媒体曝光，其重要的客户资料和其他机密信息被非法使用，给企业/公司 声誉造成了不可估量的损失，进而影响到企业/公司的财政收入，医疗行业也面 临同样类似的问题。 医院那些重要的敏感数据如何进行安全管理呢？从数据保护领域来看，涉 及诸多技术，其中最有代表性的主要有两种：第一种是针对含有机密数据的电 子文档（或称文件）加强保护，方法主要是加密或者版权管理；第二种是针对 机密数据内容本身加强保护，方法是对机密数据的存储、使用和传输进行监控 和管理。大多数医院遇到的数据保护需求，需要同时使用上述两种保护技术， 甚至还需要更多的技术来满足。赛门铁克的数据丢失防护解决方案 Symantec Vontu Data Loss Prevention（以下简称（以下简称 Vontu DLP）采用的是第二种技术，适 合在整个所有医院大规模部署，以微小的性能代价与资源，实现牢固的机密数 据保护。 （一）（一）Symantec Vontu 防数据泄漏方案防数据泄漏方案 Vontu DLP 8 是业界第一个结合了终端、存储和网络功能的软件，它为机 密数据的存储和使用提供保护。无论是存储在网络的、还是不联网终端上的数 据，Vontu 都可以发现它们，并且可以防止数据从网络网关和终端泄密。 Vontu DLP 8从三个层面全面防止医院机密数据的泄漏： 网络数据发现和保护（Network Data Discovery and Protection）：具备对 医院存储数据的全面功能覆盖，包括发现和保护机密数据，这些数据可能 存放在文件服务器、数据库、Microsoft SharePoint、Lotus Notes、Documentum、LiveLink、Microsoft Exchange、WEB服务器、以及其 他的数据存储中。 该产品线包含了以下2个部署模块： 网络发现（Network Discover）： 快速寻找机密数据存放在医院 的什么地方。典型的存放点是在医院网络中。 网络保护（ Network Protect） ：“发现和修补”暴露的机密数据。 方法包括通过自动隔离、重新安置，也支持基于策略的与数据分级、 存储分机、归档、数据加密和数字版权管理(DRM)等方案的集成。 终端数据发现和保护（Endpoint Data Discovery and Protection）：让医院 清楚有哪些机密数据存放在手提电脑和桌面电脑中，还可以让医院防止存 放在终端的机密数据不断增长。该产品线包含以下2个部署模块： 终端发现（Endpoint Discover）：扫描桌面电脑和手提电脑以发现 保存在其中的机密数据，以便医院进一步采取行动，包括整理、保 护和重新安置这些机密数据。除了对联网的终端外，它还可以对不 联网终端和远程办公室的终端进行扫描。它可以高效地、并行地工 作，工作期间对终端的影响非常小。 终端数据监控和防止（Endpoint Data Monitoring and Prevention）：让医院可以同时监控和防止机密数据被拷贝到USB 设备、被刻录到光盘和被下载到本地硬盘，也可以监控和防止机密 数据通过webmail, IM和P2P网络发送，或者是用加密软件进行加密。 网络数据监控和防止（Network Data Monitoring and Prevention）：该产品 线监控和防止数据通过email, IM, Web, Secure Web(HTTPS), FTP, P2P, Generic TCP等方式泄密。该产品线包含以下2个部署模块： 网络监控（Network Monitor）：检查内部的和对外网络通讯中的 机密数据，准确地识别出违反安全策略的数据，让医院能够对数据 泄密的情况能够有全面地掌握。该产品一般部署在DMZ。 网络防止（Network Prevent）：当发生违反安全策略的数据传送 时，它可以主动地中断网络通讯。它也可以选择性地将包含机密数 据的网络流量重新路由到加密的网关，以保证数据传送的安全。该 产品一般部署在DMZ。 实施控制台（Enforce Platform）：提供通用的策略实施框架，它管理整 个 Vontu DLP 产品线。它提供通用的、单次配置、普遍部署的策略管理方 式。 Symantec Vontu DLP 架构示意图如下： 图图 7：Symantec Vontu DLP 防数据泄漏方案防数据泄漏方案 （二）（二）Symantec 防数据泄漏方案优势防数据泄漏方案优势 业界第一个从网络、端点、存储三个层面部署的医院防数据泄漏方案。 无需进行复杂的文件权限管理，利于医院大规模实施。 真正的关注机密信息如何在医院传输、使用和存储，支持的网络协议 很广，包括 email, Web, Secure Web (HTTPS), IM, FTP, P2P and Generic TCP。它使得医院可以更好地保护知识产权、遵从法规、维护品牌和 声誉。 使用先进的精确数据匹配、索引文件匹配、描述内容匹配技术，对机 密信息内容识别的误报率少于 10 的 16 次万分之一。 帮助医院定位机密信息在医院网络中的存储位置，及时纠正不正确的 数据使用行为。例如：主动发现机密数据是否存放在不应该存放的终 端上；防止数据通过 USB 盘泄漏；自动在屏幕上通知员工以达到教育 目的 帮助医院减少在文件服务器、邮件服务器、WEB 服务器和数据库中机 密数据盲目增长； 帮助医院确保历史的机密数据不会存放在医院服务器上，展示对内部 俄政府法规的遵从 确保医院合理使用终端设备，为外包和合作伙伴的协作关系提供安全 保障 2121 Vontu 发现发现/ 保保护护 Vontu 发现发现/阻止阻止 MTA or Proxy SPAN Port or Tap Vontu 统统一管理一管理 平台平台 Vontu 网网络监络监控控 Vontu 网网络络阻止阻止 存储存储 终端终端 网络网络 图图 6：Symantec 防数据丢失部署示意图防数据丢失部署示意图 第二部分、医疗信息系统可用性解决方案第二部分、医疗信息系统可用性解决方案 一、需求分析一、需求分析 网络安全防护在一定程度上保证了信息系统的安全，从阻止病毒、黑客、 蠕虫等攻击造成的网络瘫痪、信息系统停机以及数据丢失或泄密上带来了安全 保障。但还是需要预防网络安全防护失败带来的损失。况且人为故障、硬件损 坏、天灾人祸是难以避免的，因此需要高可用性技术来保障这些事故后信息系 统的迅速恢复。 医疗信息系统中，每套系统和应用承担的价值不同，所能容忍的意外停机 和数据丢失量的风险也不同，另外针对医疗 PACS 系统而言，除了要保证医疗 影像和图片的存储安全和高速传输，对海量历史数据的管理和快速查询也纳入 到高可用的范畴。根据这些不同的应用将采用一种或多种技术来满足整个 IT 系 统的高可用性。 一般有数据备份和恢复技术，应用高可用和存储管理技术，容灾技术以及 性能管理技术，海量数据的归档与快速查询技术。在目前已经上线的医院 IT 环 境中，绝大多数医院都采用高可用集群技术来保证服务的持续运行，或者在用 户可以容忍的时间之内自动进行服务恢复。这些技术在服务器故障方面发挥着 显而易见的效果，在大多数医院得到了用户的认可，并且已经得到很大程度的 普及。 随着信息系统的深入发展，数据量的急剧增长，法律法规在医疗行业上的 遵从要求，现有的可用性架构和数据保护手段较难适应新的的高可用性需求和 海量数据的管理需求： 由于传统的应用高可用解决方案多存在单点故障，例如：两台服务器连 接到一台存储设备上，存储设备将成为主要的单点故障，不能适应医院 7X24 小时营业要求。 目前医院用户已经开始重视数据备份的必要性了，并且也部署了集中备 份和恢复软件，但往往将数据备份到磁带中，并且只有一份拷贝，备份 数据与生产环境没有进行物理隔离，磁带也往往多次循环使用，殊不知 磁带的损坏是没有征兆的。 尽管关心容灾，但由于各种原因目前大多数国内的医院在建设 IT 系统 时并没有过多地考虑，一旦发生火灾，地震等灾难性事故，整个系统将 毁于一旦，数据将一去不复返，医院将蒙受无法估量的损失。发生在今 年 5 月份的四川汶川特大地震灾难是我们不希望看到的，可它却那么突 然而真实的发生了。 随着诊疗系统的上线，PACS 系统的日趋完善，数据量将急剧增长，如 何集中管理这些数据，有效的利用有限的存储空间，降低整体投资成本 也逐渐成为医疗信息系统的建设热点。 HIS 和 CIS 数据需要用于医院的数据挖掘，医院丰富的诊疗经验也需要 分享给同行业，满足疾病预防、教学和科研需要。我们需要建设一个具 有弹性的存储平台，在不损失应用性能和可用性的前提下，实现灵活的 数据共享。 二、解决方案二、解决方案 综合以上需求分析，医院的 IT 系统需要建立的是一套能够提供实时的数据 保护、海量数据存储迁移管理和快速查询、高度可靠的故障切换、灵活的数据 共享，以及园区级系统容灾的完善解决方案。 方案整体架构如下： Storage Foundation HA for Oracle RAC 在后台 Oracle RAC 数据库上部署该模块，可在很大程度上提高卷和文件系 统的可管理性，将复杂的命令行方式图形化，通过鼠标点击就可以完成对集群 文件系统的管理；此外大大提高了集群文件系统的性能，由此带来应用性能和 备份恢复性能的提高。 Storage Foundation HA 针对所有核心应用服务器进行部署，如 HIS、RIS、LIS、PACS 等，增强了 对磁盘卷和文件系统的管理，空间的在线扩容变的十分简单易行，将核心应用 的存储空间进行镜像管理，避免了存储设备的单点故障；HA 模块针对应用时 刻进行监控，一旦发生故障可在无人值守的情况下自动故障切换。 NetBackup Enterprise Server 备份和恢复管理服务器软件，实现对整个医院 IT 环境的备份和恢复管理 NetBackup Enterprise Client 备份企业级客户端软件，实现 LAN-Free 及多种高级手段的备份 NetBackup Database Agent 在线数据库备份模块 NetBackup Standard Client 备份标准客户端软件，实现客户端的网络备份 Enterprise Vault 实现对 PACS 系统数据迁移和归档操作，将过期的影像文件迁移到二级存 储上，前端用户实现透明访问。 2.12.1 增强的数据备份与恢复增强的数据备份与恢复 正如前面分析的，信息系统面临着各种威胁带来的数据丢失和应用停机。 网络安全防护措施可以有效地遏制病毒、黑客带来的风险，但是就像我们平时 防范再好，仍然会生病一样，信息安全防范也需要在多个层次上实施。 更何况 人为失误、硬件故障、自然灾难等有时是难以杜绝的。因此我们需要有一套恢 复机制，保证即使系统遭到了破坏，仍然可以恢复。 信息系统的核心其实是数据，因为操作系统、软件等破坏了都可以重新安 装，但数据丢了是找不回来的。因此只要将数据留有拷贝或叫留有备份，就能 够恢复整个应用。 目前很多医院已经部署了备份系统，对于初期的医疗信息系统建设的规模 和数据量而言可以满足基本的数据保护需求，但随着 HIS 系统和其他应用系统 的日趋完善，数据量的急剧增长，初期建设所采用的备份体系和备份设备都开 始无法胜任对数据的保护和管理。 Symantec 的数据备份管理软件 Netbackup 是业界领先的解决方案，全球市 场占有率第一，在国内拥有大量的客户群，有一支技术过硬的技术支持工程师， 满足数据备份系统的设计原则，应该是医院信息系统的理想选择。采用 NetBackup 建立的医院信息系统数据备份和恢复系统的部署结构图如下： NetBackup 不仅完成数据的备份和恢复，还支持操作系统的备份和快速恢 复。NetBackup 的 BMR 可以周期性地将操作系统环境（包括应用软件代码及配 置）等完整的影像备份到服务器上，一旦应用系统遭到破坏，需要重新部署时， 可以采用备份的影像在几分钟内将裸机恢复到备份点时的状态。 因此这套备份系统可以让你按照你的意愿设计备份策略，将所有数据做周 期性的备份，以便任何情况下都能够快速、完整地恢复数据。 需要的时候，可以将备份介质传送到远程（容灾中心）保存，以最低的成 本预防火灾等灾难造成的数据丢失。 将来随着应用的深入发展，数据量的不断增加，备份的性能会越来越重要。 NetBackup 有多种方法解决性能问题： （1）改变成 LANFree 的备份架构，让每台服务器自己将数据通过 SAN 传送 到磁带库中。 （2）利用磁盘技术提高数据传送速度，包括磁盘缓冲、基于异构存储共享、 介质服务器的负载均衡、合成备份、虚拟磁带库等 （3）增加安装 NetBackup 的高级选件如块级增量备份、闪备份、ServerFree 备份等。 2.1.1 主主要要软软件件模模块块及及说说明明 软件模块功能描述 NetBackup Enterprise Server 在整个备份域中充当管理的角色，包括对所有备份及恢复、设备管理、各种 高级功能实现等。 NetBackup Enterprise Client 实现 LAN-Free 及 Server-Free 备份，备份过程的负载均衡，备份设备管理 NetBackup SSO实现跨平台主机的磁带库共享 NetBackup Vault实现异地磁带复制及磁带出库管理 NetBackup Database Agent 实现对多种数据库或应用程序的在线备份 NetBackup Disk Option实现任意架构的磁盘设备多服务器共享，备份空间的智能管理，重复数据删 除功能等 2.22.2 存储管理解决方案存储管理解决方案 SAN 虽然为医院信息系统存储资源共享及存储集中管理提供了平台，但是 要达到真正的“存储池”效果或者叫虚拟存储、提高系统可用性，仍然需要专 业的存储管理软件支持。虚拟存储的概念其实是与 SAN 一起出现的，意思就像 虚拟内存、虚拟机、虚拟网络一样。既然那些虚拟的概念提供了新的服务模式， 同样虚拟存储也会提供一些新的功能，消除现有的限制。例如将存储设备重新 部署到需要它的位置，通过增加设备来提高性能，调整设备容量来满足不断变 化的需求，所有这一切都可以在一个动态的“247”的环境中实现。存储管理 软件的目的就是实现存储虚拟化，达到改善计算环境的目的。 异构存储的高可用性：异构存储的高可用性：决策支持、统计分析是一个企业或医院有效利 用信息的基本手段。但是这些工作往往影响生产机的性能，导致服务质量下降。 例如需要对每天的诊疗数据实现分析统计，以此发现疾病的流行、病人的情况， 以调整医疗资源；需要脱机备份，以免影响生产系统性能等。但是应用运行时 它的数据是不能被其它程序存取的。例如 HIS 在使用自己的数据库时，别的应 用是不能存取它的数据库的，除非在 HIS 服务器上再运行一个程序。老的办法 是通过数据库的工具进行数据抽取，即 HIS 不运行时，它的服务器上其它的程 序将数据库中的数据抽出，并通过网络发送给其它应用，这