医疗行业虚拟终端管理系统解决方案.doc

医疗行业虚拟终端解决方案 文档编号VE-S-T-20110527 密级商业机密 版本编号V1.1 日期2011-05-27 2020 北京和信创天科技有限公司 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属和信创天所有，受到有关产权及版权法保护。任何个人、机构未经和信创天的书面授权许可，不得以任何方式复制或引用本文的任何片断。 版本变更记录时间版本说明修改人2011-03-11V1.0创建解决方案中心2011-05-27V1.1修改解决方案中心 适用性声明本文档用于描述和信创天关于医疗行业虚拟终端管理系统的解决方案。 虚拟改变世界，和信成就未来 目录医疗行业虚拟终端解决方案1一、方案概况41.1.概述41.2.现状分析41.3.需求分析51.4.传统终端管理系统存在的局限性6二、方案原则及目标72.1.方案原则72.2.方案目标8三、虚拟终端管理系统方案设计8四、实施效果价值分析11五、公司介绍11一、方案概况1.1. 概述医院是一所综合性的省级三级甲等医院，医院门诊大楼设立了多个临床科室、医技科室以及教研室，承担着重要的日常诊治任务。随着信息化建设的加快，医院信息化程度日益加深，信息传递和信息共享日益频繁，对医院的信息化建设和网络管理也有了更高的要求。从目前医院信息网现状分析，目前办公网终端均为分散管理，每台终端都要单独进行维护、管理及安全加固，这对网络管理员来讲是个极大的挑战。另外，虽然信息网都采取了一些安全防护技术，但是从实际效果看并不十分理想；蓝屏死机、软件不兼容、驱动冲突、系统崩溃、病毒感染、黑客入侵、网络滥用、非法访问等众多终端问题严重影响了办公网的信息安全和工作效率，尽管单位制订了相关的计算机管理制度，但由于没有相应的技术手段和足够的技术人员，管理策略无法有效落实，再加上工作人员普遍缺乏计算机知识，导致终端系统崩溃、信息泄露、黑客攻击、蠕虫病毒传播等事件频繁发生。如何从根本上解决信息网终端的管理和安全问题变得格外紧迫。1.2. 现状分析XX医院门诊大楼有门诊与体检中心两大部门，并在2009年完成了信息化改造，实现从挂号、收费、门诊、拿药等流程的全信息化办公。医院目前使用了His、Lis、Pacs三大系统，其中收费、便民、药房、急诊室、儿科、特诊室、护士办公室、西医外科、中医外科、妇科、眼科、五官科、内科、验血室、理辽室等科室计算机主要安装的软件为His系统；体检中心、血压室、心电图室、心肺功能室、B超室、彩超室、妇科检查室等科室计算机终端所部署的软件包括了His、Lis、Pcas等系统。各个科室的终端计算机是分批次购买的，包括了HP一体机、联想商用机、Dell台式机等10多种不同硬件类型。同时由于医院业务系统办公的需求，每台终端计算机至少配有1台打印机，在特殊科室单台终端配有1-3台打印机不等，打印机类型包括了HP、爱普生等5种不同类型打印机。此外，医院业务系统终端计算机的外设还包括了读卡器、身份证识别器、输入小键盘、条形码打印机、B超影像仪等众多设备。网络环境采用了全千兆交换机部署，终端计算机部分为千兆网卡，部分为百兆网卡，总终端计算机数量为800台。由于医院各终端分布在不同的位置，而且每台终端都处于开放模式非常容易感染病毒，导致管理员每天都在为各终端进行杀毒、重装系统等工作。同时，XX医院也无法控制终端移动存储设备的使用，存在数据泄密和感染木马等危险。另外操作系统补丁与医院使用的His/Lis/Pacs系统经常会进行升级，每次升级都需要逐台对各终端进行升级操作，耗费了大量人力与时间，并时刻可能影响医院正常业务的进行。1.3. 需求分析1、保证XX医院终端计算机的可用性，避免频繁重装操作系统或者系统不稳定等可能影响业务的事件；2、保证XX医院终端计算机的安全性，有效防止病毒和木马在内部网络中传播；3、保证XX医院终端计算机的软件升级和补丁升级，避免出现由于部分终端计算机没有升级而带来的风险隐患；4、实现对终端计算机的外设控制，防止用户接入移动存储设备和外网，并提供内部数据交换的辅助功能；5、实现对全网终端计算机的资产管理，在终端硬件发生变化的时候能够及时提示告警；6、能够对终端计算机进行安全加固配置，全面提升终端计算机的基础安全性；7、能够兼容所有外置设备和业务系统，在提升安全性和可用性的同时不降低易用性。1.4. 传统终端管理系统存在的局限性传统的终端管理技术比如防病毒、内网安全管理软件、桌面管理系统、WSUS、瘦客户机等在网络终端管理中起到非常重要的作用。然而，传统技术通常都只能解决一小部分问题，无法在真正意义上实现对终端的管理。要全面解决系统安装复杂、驱动冲突、病毒感染、非法访问、网络滥用等各种问题，传统的终端管理技术或者安全技术显得力不从心。 防病毒技术防病毒软件已经经过了几十年的发展，由于技术设计的局限性，依然还是无法解决病毒库没有及时更新、无法检测最新病毒的情况，无法有效遏制蠕虫病毒和木马的传播。 内网安全管理技术内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为，也无法防止各种最新病毒木马的侵入。同时，对于操作系统本身出现的软件冲突和系统崩溃更是无能为力。 桌面管理技术桌面管理系统侧重于对信息资产的管理，无法解决病毒、木马等问题，在终端应用的控制方面基于规则库进行，很难满足客户个性化的需求。 WSMS技术和域WSMS和域是微软公司用于解决终端计算机操作系统管理和升级的主要手段，然而在实际使用过程中，终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。同时，一旦发生系统崩溃或者其他非微软软件产品存在的问题，WSMS和域都无法有效解决这些问题。 NC、瘦客户机技术瘦客户机使用专业嵌入式处理器、小型本地闪存的基于PC工业标准设计的小型行业专用商用PC。但瘦客户机性能低下，通常采用精简版本的操作系统，和人们日常使用的计算机大不相同，无法实现人性化的应用，更无法兼容医疗行业系统中众多的外设和软件系统。二、方案原则及目标1.2.2.1. 方案原则为保证方案的能够最终达到医院门诊大楼相关要求,在设计方案时遵循如下的设计原则: 方案先进原则：医院信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先； 系统安全原则：管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等； 可扩展原则：统一规划，兼顾长远，既要满足现有的需求，又要兼顾系统的可扩展性，保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力； 按照GB17859-1999计算机信息系统安全保护等级划分准则的要求建设； 可靠性原则。执行ISO9002质量认证体系要求，确保安全保密设备的高可靠性和稳定性； 经济性原则。虚拟终端管理系统的建设、运行维护以及将来的扩展建设，必须符合经济性原则； 易操作原则。虚拟终端管理系统的使用、维护、管理、发行等方面要易操作； 高效原则。虚拟终端管理系统的处理能力要求能满足现阶段的实际需求，保证系统的高效运行，并能根据系统的发展进行不断提升； 功能完整原则。虚拟终端管理系统的功能完整，应用安全扩展系统功能完整； 灵活性原则。虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。2.2. 方案目标医院门诊大楼信息化办公环境要求，对终端实现统一、集中的管理，并最大可能的保护其办公网络和系统资源与数据可以得到充分的信任，获得良好的管理。同时，要保持终端用户原有的使用习惯，保证良好的用户体验。本项目的总体目标是在不影响XX医院门诊大楼信息化办公环境网络正常工作的前提下，从虚拟安全、桌面管理等多个角度构建一套完整的应急终端系统管理体系，实现对医院门诊大楼信息网络的全面和有效管理，最终达到XX医院信息化管理的相关要求。主要达到以下目标： 实现网络及系统的简便、有效管理； 实现对终端操作系统和医疗业务系统的统一管理和快速升级； 保护系统的可用性 ； 保护医疗业务信息系统服务的连续性 ； 防范入侵者的恶意攻击与破坏 ； 保护医院信息化的机密性、完整性 ； 防范病毒的侵害； 保持良好的用户体验； 兼容所有外设和业务系统。三、虚拟终端管理系统方案设计“和信“虚拟终端管理系统是北京和信创天科技有限公司，基于云计算环境下全国首家推出的虚拟终端管理系统，其整合最新的虚拟安全技术，以终端系统管理为中心出发点，从虚拟防护、桌面管理、行为控制等多个角度构建一套完整的终端系统管理体系，防御各种终端异常事件，通过技术手段全面贯彻落实各单位的终端管理策略。“和信”虚拟终端管理系统了包括策略管理中心与策略代理两大组件。在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议互联互通即可。u 策略管理中心部署方式：基于XX医院的实际环境，我们建议XX医院采用8台服务器来实现全冗余的负载均衡部署。（服务器推荐配置：CPU Intel Xeon E5405以上，内存8G，采用120G SSD硬盘和双千兆网卡）， 部署在核心层或者汇聚层的交换机上。网络线路采用全千兆部署； u 策略代理部署方式：选择一台新的终端工作机上进行安装操作系统和医疗业务所需的软件，如His、Lis、Pcas等系统，同时将各种不同硬件和外设的驱动提前，然后直接封装上传到服务器即可。其他所有终端工作机只需要将系统启动改为从网络启动即可部署完毕，无须逐一安装策略代理。根据XX医院信息化的实际情况，可以采用类似以下的虚拟终端管理系统的策略：l 启用不同的外设控制策略，分别针对A科室、B科室和C科室终端计算机。A科室员工的工作终端可以使用移动存储设备和打印机，B科室员工的工作终端可以使用光驱和打印机，C科室员工的工作终端只能使用打印机。l 为XX医院的每位用户都提供个人加密磁盘，允许用户通过个人加密磁盘来实现在内部网中的数据交互。l 启动资产管理功能，可记录每台终端的硬件数据，当终端硬件如CPU、内存、硬盘等发生变化后会立即在管理端报警。l 普通用户在使用工作终端时遇到系统崩溃、感染病毒木马或者其他软件冲突，只需重启机器即可完全恢复正常，无需系统管理员协助处理。l 根据安全规定和管理制度，系统管理员只需要对操作系统镜像文件进行升级和安装业务软件，所有终端机器在重启后就自动实现了升级和软件的安装，无需手工干预，成功率超过99%。拓扑工作流程如下：1、 管理员设置不同科室操作系统镜像，并部署不同的终端管理策略；2、 各科室用户根据所在科室分别读取适用于工作需要的操作系统和管理策略；3、 一旦发生软件冲突、系统蓝屏、系统运行缓慢、病毒感染等问题，终端使用者只需要重启电脑，操作系统自动恢复到初始正常工作状态，而之前各种个人终端数据将依然保存下来，包括桌面文件、桌面壁纸、His等系统的配置、用户名密码、新建帐户等；4、 新的工作终端接入网络后自动获得工作环境，无需花费大量时间安装符合医院新入职人员需要的操作系统和软件。5、 当有补丁、医疗业务软件需要升级或者安装新的软件，管理员只需对操作系统镜像文件进行升级或者安装，保存重启后所有的工作终端都将获得升级和更新。四、 实施效果价值分析u 统一策略强制终端管理：全面贯彻医院信息化的终端管理政策，保证终端的稳定可靠；满足国家的相关法律法规安全管理要求。u 防止各种终端风险：有效预防终端计算机本身的不稳定因素和针对内网的攻击；保证医院信息化平台的连续、稳定、可靠运行。u 终端硬件资产变化可以立即知道，不再需要逐台终端进行排查。u 终端使用中碰到问题时，管理员在管理端直接对终端远程控制解决，即降低管理员工作量也加快了终端问题的解决速度。u 保证终端可控可管：集中管理、自动修复，有效提高管理方便性，极大减轻管理人员的工作负担；可控终端管理，提高信息化资源使用效率，提升医院信息化的ROI（投资回报率），保护信息化投资。u 减少信息部门的终端维护成本：根据IDC调查数据表明，部署了虚拟终端管理系统的单位和机构，配置和管理成本减少了93%；技术支持电话的数量也减少了72%。五、 公司介绍北京和信创天科技有限公司(VEsystem Inc,.)成立于2006年，是国内领先的虚拟应用产品和服务提供商，专注于互联网时代虚拟应用领域的技术与产品的研究、开发、生产、销售及服务，致力于帮助用户建立和谐稳定、高效安全的信息环境，提高工作效率，降低用户成本。 作为国际领先的虚拟应用产品和服务提供商，和信创天拥有虚拟终端管理系统等系列产品，能够满足不同用户对终端控制管理的需求。目前，和信创天的产品和服务已广泛应用于政府、金融、医疗、能源、教育、企业等众多行业。 和信创天是业界最具技术创新和产品研发