医院信息中心数据基础架构的优化

徐庭松++王上林

摘 要 本文详细介绍了我院信息机房的目前现状，存在的安全隐患，以及整改方案，详尽说明了现行方案的利与弊，和实施过程。为确保我院核心业务正常运行，现对信息中心机房作部分优化。

【关键词】医院信息系统 网络架构 信息安全

1 目前现状

我院是2013年异地新建医院，在搬迁的同时更换了天健HIS、PACS，EMR等管理信息系统，机房由一家系统集成公司承建。

目前天健HIS系统部署在两台R710小型机上，采用一台EMC存储部署成双机热备的工作方式，具备高可用性。PACS、EMC系统均X3850X5部署成双机热备模式，使用同一型号的EMC存储做为共享存储。

此外，医院还有多台单机运行的X3850 X5服务器，承载老的HIS、PACS等应用，用于信息备查。在网络安全方面，部署了一台博达博御F3008防火墙做为网络边界，两台深信服AD1600做负载均衡。

2 架构特点分析

2.1 优势

（1）大量使用双机热备形式承载应用，HIS、PACS、EMR核心应用的可用性很高、使用频度强，如果一台服务器故障时，能及时切换至另一台服务器，保障业务运行的连续性。

（2）HIS做为医院信息系统的重中之重，采用小型机做为硬件平台，提高了HIS系统的运行速度。并且小型机具备极高的稳定性，平均无故障运行时间是X86服务器的数十倍。

（3）大量使用IBM小型机、X3850X5、EMC VNX存储等硬件，这些设备专注于企业级市场，强调高可用、高稳定性和高性能，相互之间的兼容性良好，搭配合理。

2.2 问题

（1）我院部署的两台EMC VNX5100磁盘阵列，这两台存储是独立运行，分别作为HIS存储和PACS存储，具有单点故障风险。任何一台存储故障，都会导致HIS或PACS系统中断运行，严重故障可能会导致数据丢失。对于HIS系统，无论是意外故障導致系统长时间无法访问，还是数据丢失造成患者就诊信息无法查询，都将导致非常严重的后果，医院不仅会遭遇财产损失，还会影响医院的声誉，造成更长远的影响。

（2）缺乏统一、专业的数据备份系统。无论是存储故障导致数据丢失，还是因为病毒感染文件或认为误删除数据，这些状况都需要有数据备份措施。

（3）我院网络安全防护措施较为简单，面临较大的安全威胁。博御防火墙属于传统的状态检测防火墙，无法应对目前复杂的网络安全环境。例如医院基于APP的掌上医院、微信、银医通，WEB访问的B/S架构应用将越来越多，原来只在内网的HIS等系统不得不对外网开放，传统墙只能基于开关端口和开关协议制定安全策略，是非常危险的。新的安全环境需要防火墙具备应用识别能力，可以分析具体的流量包属于什么应用，基于应用觉得是否允许外界访问，才能有效保障内网安全。

3 优化方案

我院在重要的3大核心应用均采用了双机热备，但是忽略了存储应用的隐患，针对目前现状，我科对目前的IT基础架构作如下完善：

（1）部署一台备份一体机。备份一体机是将备份软件、备份服务器以及磁盘（存储介质）整合到一台服务器中而形成的一个设备，用户可以像操作备份软件一样来操作这个设备。通过备份设备可以有效的保护数据安全，实现数据可以按需按时间点恢复。

（2）通过服务器虚拟化集中非关键业务，提高单机运行的这些业务的可用性。老HIS、PACS系统使用的X3850服务器可以通过扩容内存，部署虚拟化环境，做为虚拟机使用，老的HIS等系统通过P2V迁移到虚拟化环境中运行，可以带来诸多收益。

（3）增加SAN网络，实现两台存储存储间的部分数据镜像。从长远发展来看，随着设备的不断增加，组建SAN网络，提高存储的主机接入数量，是必然的。通过SAN网络，连通两台存储的镜像端口，可以将HIS系统的关键数据和库进行镜像操作，在HIS存储故障时，可以切换到另一台存储，保障HIS系统的连续运行。

（4）在网络安全方面，我科建议考虑更换下一代防火墙，增加上网行为管理设备。下一代防火墙是指以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，下一代墙能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化网络安全架构。上网行为管理可以提供行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等功能，提高带宽资源利用率，规避泄密和法规风险、保障内网数据安全。

4 收益

（1）通过存储的部分数据镜像，提供了HIS系统遭遇存储故障时，具备快速重启业务的能力，使HIS系统的数据具备了安全保障。

（2）虚拟化提高了老HIS、PACS等非关键业务的可用性，使这些系统不会因为单台物理机故障长时间离线。虚拟化还可以快速部署新业务，例如以后的系统，可以部署到虚拟化环境中，不仅节约部署时间，还可以降低IT投入，减少医院的能耗。

（3）部署下一代墙+上网行为管理的组合，极大提高了网络安全，可以有效抵御新的网络安全威胁。上网行为管理可以提高行政人员的上网体验，规范上网行为，提高对我访问的安全性。

综上：医院网络机房建设涉及范围较广，是一项较为复杂的信息工程，不同系统之间需要紧密结合，相互联动配合，最大程度实现机房电子设备安全保障。与此同时，医院网络机房信息化建设过程中，需要结合实际需要，科学合理地进行设计和规划，为信息系统设备运行提供良好的运行环境，减少设备故障发生几率，切实推动医院信息化建设活动有序开展。

作者单位

1.金湖县人民医院信息科 江苏省金湖县 211600

2.金湖县中医院信息科 江苏省金湖县 211600