醫院信息中心數據基礎架構的優化

徐庭松++王上林

摘 要 本文詳細介紹了我院信息機房的目前現狀，存在的安全隱患，以及整改方案，詳盡說明了現行方案的利與弊，和實施過程。為確保我院核心業務正常運行，現對信息中心機房作部分優化。

【關鍵詞】醫院信息系統 網絡架構 信息安全

1 目前現狀

我院是2013年異地新建醫院，在搬遷的同時更換了天健HIS、PACS，EMR等管理信息系統，機房由一家系統集成公司承建。

目前天健HIS系統部署在兩臺R710小型機上，采用一臺EMC存儲部署成雙機熱備的工作方式，具備高可用性。PACS、EMC系統均X3850X5部署成雙機熱備模式，使用同一型號的EMC存儲做為共享存儲。

此外，醫院還有多臺單機運行的X3850 X5服務器，承載老的HIS、PACS等應用，用于信息備查。在網絡安全方面，部署了一臺博達博御F3008防火墻做為網絡邊界，兩臺深信服AD1600做負載均衡。

2 架構特點分析

2.1 優勢

（1）大量使用雙機熱備形式承載應用，HIS、PACS、EMR核心應用的可用性很高、使用頻度強，如果一臺服務器故障時，能及時切換至另一臺服務器，保障業務運行的連續性。

（2）HIS做為醫院信息系統的重中之重，采用小型機做為硬件平臺，提高了HIS系統的運行速度。并且小型機具備極高的穩定性，平均無故障運行時間是X86服務器的數十倍。

（3）大量使用IBM小型機、X3850X5、EMC VNX存儲等硬件，這些設備專注于企業級市場，強調高可用、高穩定性和高性能，相互之間的兼容性良好，搭配合理。

2.2 問題

（1）我院部署的兩臺EMC VNX5100磁盤陣列，這兩臺存儲是獨立運行，分別作為HIS存儲和PACS存儲，具有單點故障風險。任何一臺存儲故障，都會導致HIS或PACS系統中斷運行，嚴重故障可能會導致數據丟失。對于HIS系統，無論是意外故障導致系統長時間無法訪問，還是數據丟失造成患者就診信息無法查詢，都將導致非常嚴重的后果，醫院不僅會遭遇財產損失，還會影響醫院的聲譽，造成更長遠的影響。

（2）缺乏統一、專業的數據備份系統。無論是存儲故障導致數據丟失，還是因為病毒感染文件或認為誤刪除數據，這些狀況都需要有數據備份措施。

（3）我院網絡安全防護措施較為簡單，面臨較大的安全威脅。博御防火墻屬于傳統的狀態檢測防火墻，無法應對目前復雜的網絡安全環境。例如醫院基于APP的掌上醫院、微信、銀醫通，WEB訪問的B/S架構應用將越來越多，原來只在內網的HIS等系統不得不對外網開放，傳統墻只能基于開關端口和開關協議制定安全策略，是非常危險的。新的安全環境需要防火墻具備應用識別能力，可以分析具體的流量包屬于什么應用，基于應用覺得是否允許外界訪問，才能有效保障內網安全。

3 優化方案

我院在重要的3大核心應用均采用了雙機熱備，但是忽略了存儲應用的隱患，針對目前現狀，我科對目前的IT基礎架構作如下完善：

（1）部署一臺備份一體機。備份一體機是將備份軟件、備份服務器以及磁盤（存儲介質）整合到一臺服務器中而形成的一個設備，用戶可以像操作備份軟件一樣來操作這個設備。通過備份設備可以有效的保護數據安全，實現數據可以按需按時間點恢復。

（2）通過服務器虛擬化集中非關鍵業務，提高單機運行的這些業務的可用性。老HIS、PACS系統使用的X3850服務器可以通過擴容內存，部署虛擬化環境，做為虛擬機使用，老的HIS等系統通過P2V遷移到虛擬化環境中運行，可以帶來諸多收益。

（3）增加SAN網絡，實現兩臺存儲存儲間的部分數據鏡像。從長遠發展來看，隨著設備的不斷增加，組建SAN網絡，提高存儲的主機接入數量，是必然的。通過SAN網絡，連通兩臺存儲的鏡像端口，可以將HIS系統的關鍵數據和庫進行鏡像操作，在HIS存儲故障時，可以切換到另一臺存儲，保障HIS系統的連續運行。

（4）在網絡安全方面，我科建議考慮更換下一代防火墻，增加上網行為管理設備。下一代防火墻是指以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容，下一代墻能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化網絡安全架構。上網行為管理可以提供行為管理、應用控制、流量管控、信息管控、非法熱點管控、行為分析、無線網絡管理等功能，提高帶寬資源利用率，規避泄密和法規風險、保障內網數據安全。

4 收益

（1）通過存儲的部分數據鏡像，提供了HIS系統遭遇存儲故障時，具備快速重啟業務的能力，使HIS系統的數據具備了安全保障。

（2）虛擬化提高了老HIS、PACS等非關鍵業務的可用性，使這些系統不會因為單臺物理機故障長時間離線。虛擬化還可以快速部署新業務，例如以后的系統，可以部署到虛擬化環境中，不僅節約部署時間，還可以降低IT投入，減少醫院的能耗。

（3）部署下一代墻+上網行為管理的組合，極大提高了網絡安全，可以有效抵御新的網絡安全威脅。上網行為管理可以提高行政人員的上網體驗，規范上網行為，提高對我訪問的安全性。

綜上：醫院網絡機房建設涉及范圍較廣，是一項較為復雜的信息工程，不同系統之間需要緊密結合，相互聯動配合，最大程度實現機房電子設備安全保障。與此同時，醫院網絡機房信息化建設過程中，需要結合實際需要，科學合理地進行設計和規劃，為信息系統設備運行提供良好的運行環境，減少設備故障發生幾率，切實推動醫院信息化建設活動有序開展。

作者單位

1.金湖縣人民醫院信息科 江蘇省金湖縣 211600

2.金湖縣中醫院信息科 江蘇省金湖縣 211600