基于Docker的醫院信息化應用研究

關鍵詞：Docker；醫院信息化；私有云；堡壘機

0 引言

根據相關調查資料顯示，我國二級以上醫院信息系統中HIS系統的使用率高達93.8%，其中有43.0% 的醫院同時使用HIS、PACS、CIS和EMR核心信息系統，39.4%的醫院建設了醫院信息平臺[1]。在“十三五”期間，我國醫院信息化建設取得了顯著的進展和成果。隨著醫院信息化的不斷深入，現階段醫院內網數據存在數據安全隱患、傳統遠程控制方式運行效率低等問題。基于Docker技術的開源私有云平臺方案以及開源堡壘機平臺方案，在解決醫院信息化問題方面具有明顯優勢。

1 Docker 技術

1.1 Docker 技術概述

Docker作為一款革命性的開源容器解決方案，采用Go語言打造，代表了操作系統級虛擬化領域的最新進展。其核心優勢在于，通過運用Linux內核的特性——包括命名空間（Namespace） 、控制組（Cgroups） 以及AUFS類的聯合文件系統（UnionFs） ，Docker能夠將單個進程及其依賴項打包成一個輕量級、可移植的容器。這些容器在邏輯上與宿主操作系統及其它容器隔離開來，從而使得應用程序能在不同環境中運行。

Docker的架構采用了客戶端-服務器（C/S） 架構模式，其中Docker客戶端需要通過命令行工具向Docker 守護進程或Docker服務器發出請求[2]。Docker守護進程或服務器根據請求進行鏡像構建、鏡像執行等工作[3]，完成后再將結果返回給客戶端。在Docker上運行Docker 容器與三個組件密切相關，分別是DockerImages、Docker Container和Docker Engine。

1） Docker Images：Docker鏡像是用于創建Docker 容器的模板，其中包含了應用程序所需要的所有文件、庫、環境變量和其他依賴庫。Docker鏡像可以從公有或私有倉庫中獲取，也可以通過編寫Dockerfile 自行構建。

2） Docker Container：容器是Docker的執行單元，是動態的概念。容器提供了一個隔離的運行環境，可以在其中運行應用程序。每個容器都有自己的標識符、名稱、文件系統、網絡和進程空間，并且與其他容器隔離。

3） Docker Engine：Docker引擎是Docker的核心組件，負責管理和運行容器。它包括以下主要部分：Docker守護進程（dockerd） 作為后臺服務運行，負責管理容器的創建、運行和停止等任務；REST API提供了與Docker引擎進行交互的接口，允許用戶通過API請求來管理容器和鏡像；命令行接口（CLI） 通過命令行工具與Docker引擎進行交互，方便用戶操作容器和鏡像。

1.2 Docker 技術的應用優勢

1.2.1 流程精簡

借助Docker，部署流程得以大幅簡化。開發者只需要將應用程序及其所有相關依賴打包進單一容器中，形成Docker鏡像，即可輕松完成部署。這一方法消除了因底層操作系統差異而引發的兼容性問題，大大減少了部署階段的復雜度和潛在錯誤，使軟件交付變得更加順暢。

1.2.2 效率提升

Docker容器的便攜性特性賦予了部署過程靈活性和速度。容器與宿主系統的隔離確保了它們能在任何環境下無阻礙地運行，從而免去了冗長的環境搭建和配置流程。同時，Docker容器還可以通過Dockerfile配置文件實現自動化創建和靈活部署，提高工作效率。

1.2.3 成本優化

Docker通過高效的資源管理和調度機制，極大地提高了服務器資源的利用率。這意味著在同等硬件條件下，企業能夠運行更多的容器實例，有效節省硬件投入。加之Docker的開源屬性和活躍的社區支持，可以有效降低企業研發和維護的成本[4]。

圖1為某醫院基于Docker容器化系統應用的整體架構圖。

2 醫院信息化建設中的一些問題

2.1 傳統內網數據共享方式的安全隱患

在醫院內網中，傳統的文件共享方式如U盤、共享文件夾等，容易受到病毒、木馬等惡意軟件的感染。共享文件權限管理困難，存在數據泄露風險，且缺乏完善的審計和日志記錄功能。醫院內網數據需要遵守相關的法律法規和隱私保護要求，傳統內網數據共享方式給醫院信息安全考核帶來了極大的挑戰。

2.2 傳統遠程控制方式的不足

在沒有堡壘機的情況下，醫院業務系統運維工程師直接遠程訪問服務器可能會暴露醫院數據資產，增加被黑客攻擊的風險；運維操作缺乏記錄和審計功能，管理員難以追蹤和分析運維活動。同時，直接遠程訪問服務器可能會無意中暴露醫院敏感數據，增加數據泄露的風險；傳統的遠程控制方式也不支持靈活的權限分配和角色管理，難以適應不同運維人員的需求和職責；在網絡安全法律法規日益嚴格的背景下，缺乏堡壘機的傳統遠程控制方式可能無法滿足醫院業務系統的等保合規要求。

3 Docker 技術在醫院信息化中的應用

3.1 基于Docker 的開源私有云平臺部署

3.1.1 Nextcloud

在互聯網使用環境中，一般使用的是公有云，如Apple iCloud、百度云、阿里云、小米云等。實際使用中，個人隱私數據存放在公有云容易引發安全問題[5]。另一方面，公有云還涉及收費和存儲問題。基于上述原因，在醫院內網中部署基于Docker的開源私有云平臺。這樣醫院對數據擁有完全控制權，從而減少數據資產泄露的風險。相比于公有云服務，部署開源的私有云平臺不需要支付持續的服務費用，可以減少長期成本。

Nextcloud是一個開源的私有云存儲平臺，可以用于醫院內部的文件共享和協作。它采用PHP語言實現，支持在多個操作系統平臺上運行，并兼容多種數據庫，具有高度的靈活性。Nextcloud還提供了針對移動設備和桌面的客戶端，包括iOS、Android、PC等，醫護人員可以輕松通過PC客戶端或者安裝手機App在內網中訪問云端存儲資源。Nextcloud提供了文件版本控制功能，可以追蹤文件的更改歷史，防止數據丟失，并允許恢復到以前的版本。Nextcloud提供端到端加密功能，確保醫院敏感數據（如病區考勤表、病人健康量表等）在傳輸和存儲過程中始終受到保護，防止數據泄露。

3.1.2 Nextcloud 部署命令和截圖

1） Docker 環境下運行MySQL 數據庫，建立一個Nextcloud數據庫，圖2為運行MySQL數據庫。

2） Docker環境下運行Nextcloud，鏈接已經建立的Nextcloud數據庫，圖3為運行Nextcloud平臺。

3） 登錄Nextcloud前端配置MySQL數據庫，驗證登錄，圖4為前端配置MySQL數據庫。

4） Nextcloud中建立分配工作人員賬號和磁盤配額，圖5為分配賬號和磁盤配額。

5） 手機安裝App登錄Nextcloud系統，圖6為手機App登錄Nextcloud系統。

3.2 基于Docker 的開源堡壘機平臺部署

3.2.1 Next Terminal

Next Terminal 是一款開源的堡壘機應用系統[6]，可以為醫院業務系統運維工程師提供一個便捷、安全的運維平臺。它采用Golang和React技術棧構建，資源占用少，可支持通過Docker快速部署。Next Termi?nal目前支持的功能有：授權憑證管理、資產管理（支持RDP、SSH、VNC、TELNET協議）、指令管理、批量執行命令、在線會話管理（監控、強制斷開）、離線會話管理（查看錄屏）、雙因素認證、資產標簽、資產授權、多用戶及用戶分組、計劃任務、SSH Server、登錄策略和系統監控。

Next Terminal用真實身份取代了傳統賬號，為連接到基礎設施的每位系統應用運維工程師提供防釣魚的零信任訪問方案。Next Terminal還具有強大的安全性和審計功能。它自動記錄所有的遠程訪問操作，包括登錄日志、SSH會話記錄等，并能夠回放操作記錄，這些功能有助于確保醫院網絡的安全性和合規性。

3.2.2 Next Terminal 部署命令和截圖

1） 下載Next Terminal鏡像。

2） 搭建Guacd開源的遠程桌面網關。

3） 搭建 Next Terminal開源堡壘機應用系統，圖7 為運行Next Terminal開源堡壘機應用系統；Web登錄前端系統，添加所有需要進行遠程控制的醫院內部設備資產，圖8為添加醫院內部設備資產。

4 結束語

本文介紹了Docker容器技術架構和技術優勢，提出通過部署基于Docker的私有云平臺和堡壘機平臺，有效解決了醫院信息化建設中存在的數據安全隱患、遠程運維效率低等問題。目前的研究是在有限環境下進行的，運行中可能還會遇到挑戰。隨著新技術的發展和監管要求的變化，未來還需要進一步加強數據加密技術和隱私保護機制的研究，提高系統的可靠性和容錯能力，確保在各種環境下的穩定運行。