引 言
随着医疗信息化建设的快速推进,医院的日常运营已高度依赖各种信息系统,如医院信息系统(HIS)、实验室信息系统(LIS)、医学影像存档与通讯系统(PACS)和电子病历系统(EMR)等,这些系统产生的庞大数据对于医院的正常运转至关重要。同时,在网络安全威胁日益严峻的背景下,确保核心医疗应用的“连续性”和“数据完整性”成为医院信息化建设中首当其冲的关键任务。但对于二级医院,由于受限于业务规模,无法像三级医院投入过多预算以及技术人员以支撑复杂的信息化建设和运营,因此,打造一套轻量化、高效率、强可靠的信息化系统对于二级医院极为重要。
需求分析
高可靠性和稳定性
医院关键业务系统如HIS(医院信息系统)、EMR(电子病历系统)等,需要7*24小时不间断运行,确保挂号、缴费、就诊、报告查询等业务能够顺利进行,系统的硬件配置和软件功能设计应降低故障发生的概率,并在故障发生时尽量减少对业务的影响。
高性能和低延迟
医院业务高峰期间,系统需要处理大量数据和批处理任务,因此基础架构必须满足高并发、高IO、低时延的需求,提供更高的性能上限。
数据安全和长期存储
医疗数据,特别是电子病历,需要长期保存,住院病历保存时间不得少于30年。因此,数据存储系统必须确保数据的安全性和长期在线访问的稳定性,防止数据丢失和泄露。
可扩展性和灾难恢复能力
医院业务量不断增长,系统需要具备可扩展性,能够通过横向扩展满足更高的系统容量需求。
合规性和隐私保护
医院信息系统需要符合相关法律法规和技术标准,确保患者诊疗信息的收集、存储、使用、传输等全流程的安全性、真实性和完整性。需实行有效的信息安全管理措施和管理制度,定期进行安全自查,防止信息泄露、毁损或丢失。
低成本易运维
方案落地资金投入合理,降低医院针对信息化的资金压力,同时方案实施后便于使用维护,无需专业技术人才即可满足日常基本业务维护需求。
建设方案
针对医院信息系统的核心需求,可总结为高性能网络需求、高可靠性计算需求、数据备份需求、网络安全需求,同时满足高性价比及易维护的总体要求。总体方案设计图如下:
网络设计
如图所示,将二级医院内网区划分为服务器区、终端接入区以及外联网区(医保、银联)三部分,内网通过网闸与外网区进行数据传递。
服务器区用于承载二级医院的关键业务系统,如HIS、LIS、PACS、EMR、OA、财务系统等,可采用两台万兆服务器接入交换机以及两台千兆管理交换机承载该区网络,交换机之间采用堆叠技术增加可靠性。
终端接入区用于接入各处室的终端电脑以及必要接入网络中的诊疗设备,采用高性价比千兆交换机承载。
外联网区主要承载外联线路接入业务,通常无需额外准备网络设备,由运营商统一提供ONU或路由器接入专线。
三个网络区域共同连接到核心交换机,核心交换机由两台高性能交换机虚拟化承载,并承担所有网络区域的网关职责,用于跨网段的流量转发。
设备职责 | 推荐设备 | 推荐 型号 | 规格 简述 | 外观 |
核心交换机 | 机框式交换机 | 威努特WES8503 | 3槽位,可扩展各种千兆、万兆接口卡,可选双主控双电源 | |
超融合业务交换机 | 三层核心交换机 | 威努特WES6300-HH-2XX24X-2HV | 2*100G光+24*10G光,数据中心级,双电源 | |
超融合管理交换机 | 三层管理型交换机 | 威努特WES6300-4X24G-2HV | 4*万兆光 + 24*千兆电,双电源 | |
接入交换机 | 二层管理型交换机 | 威努特WES3200-E-4X48G-HV | 4万兆SFP+ + 48千兆电 |
威努特全家族企业交换机,承担各类网络职能
计算设计
采用三节点超融合服务器,通过软件定义的方式提供池化的计算资源、网络资源以及存储资源,以虚拟化方式承载各类医院业务系统。
超融合架构是一种集计算、存储、网络和虚拟化等功能于一体的集成化架构。它通过将计算、存储和网络等资源进行集成和优化,以提供高性能、高可用性和高扩展性的IT基础设施。医院不再需要购买昂贵的SAN集中存储设备和复杂的存储网络设备,只需以标准的服务器和网络设备为基底,配套超融合软件,即可构建高效的数据中心。这种架构的简化不仅降低了采购成本,还减少了运维的复杂性。
同时,超融合架构提供了高度自动化的运维管理工具,如故障自愈、扩容节点数据自动均衡等功能,使运维人员从繁琐的手动操作中解放出来,提高了运维效率。同时,超融合架构还支持快速部署和扩展,医院可以根据业务需求灵活调整资源,确保业务系统的稳定运行。
采用分布式的存储架构和多副本策略确保了业务系统数据的安全性和可靠性。即使某个节点出现故障,数据也不会丢失,且可以迅速恢复业务运行。这种架构还支持多种类型的存储资源(如HDD和SSD),可以根据业务需求进行灵活配置,提高系统的整体性能。
网络安全设计
配置一台等保一体机构建二级医院内网网络安全防护体系,以一台机器灵活搭配各类安全模块的设计,满足医疗卫生行业的评级需求以及等保要求,同时帮助医院构建“纵深防御+威胁诱捕+安全运营”的一体化安全防护体系,增强医院信息系统的整体安全防护能力。
由于等保一体机一体化交付的特性,能够快速帮助医院完成等级保护建设,减少建设时间成本和管理成本,同时由于等保一体机的硬件与软件系统解耦,可根据设备资源使用情况,灵活增加底层服务器的配件,扩展等保一体机的整体性能。
等保一体机系统架构
等保一体机包含安全管理平台系统、防火墙、数据库审计系统、安全运维管理系统、日志审计系统、漏洞扫描系统、终端防病毒、Web应用防火墙等安全模块,可通过灵活的模块配置,满足医院终端杀毒、日志审计、运维审计、边界防护、数据安全、安全运营等各类安全需要,满足等保二级和等保三级的技术措施要求,基于等保的推荐模块配置如下:
等保级别 | 安全模块 | 模块能力 |
等保二级 | 安全管理平台系统模块 | 统一提供等保一体机底层基础硬件平台、安全虚拟化平台、安全资源池管理平台、安全模块。安全虚拟化平台实现等保一体机计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源的虚拟化,具有高可靠及高灵活性。 |
防火墙模块 | 提供基础防火墙功能,包括访问控制、数据转发。提供攻击防护和URL过滤能力。提供网关防病毒能力。 | |
安全运维审计系统模块 | 能够对用户、资源、功能进行精细化的授权管理,支持多重身份认证,主机账号统一管理。 | |
日志审计系统模块 | 日志采集模块、日志解析模块、ES大数据模块、日志分析模块、日志检索、统计模块、系统管理模块。 | |
终端防病毒模块 | 包含终端管理中心软件,实现对终端的统一管理、策略下发、安全监控、终端升级、分布式管理等。支持对终端主机和服务器进行安全防护。 防护内容包括:主机流量监控、安全流量分析、主机应用监控、敏感信息监控、病毒查杀、漏洞管理、网络防护、勒索防护等。 | |
Web应用防火墙模块 | 提供web安全防护能力,包括SQL注入、XSS、CSRF等防护模块。 | |
等保三级 | 安全管理平台系统模块 | 统一提供等保一体机底层基础硬件平台、安全虚拟化平台、安全资源池管理平台、安全模块。安全虚拟化平台实现等保一体机计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源的虚拟化,具有高可靠及高灵活性。 |
防火墙模块 | 提供基础防火墙功能,包括访问控制、数据转发。提供攻击防护和URL过滤能力。提供网关防病毒能力。 | |
数据库审计系统模块 | SQL注入防护模块、实时监控、报表系统管理、事件策略、会话策略、对象管理、自定义规则策略匹配、非法操作的识别,告警和阻断,系统管理。 | |
安全运维管理系统模块 | 能够对用户、资源、功能进行精细化的授权管理,支持多重身份认证,主机账号统一管理。 | |
日志审计系统模块 | 包含数据采集、数据解析、大数据分析、安全分析(原始事件分析、告警分析)、安全日志、资产管理、系统管理(用户管理、安全配置等)模块,具备安全态势大屏功能。 | |
漏洞扫描系统模块 | 等保合规测评、网站漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线配置核查、木马病毒扫描、恶意代码扫描、弱口令扫描。 | |
终端防病毒模块 | 包含终端管理中心软件,实现对终端的统一管理、策略下发、安全监控、终端升级、分布式管理等。支持对终端主机和服务器进行安全防护。 防护内容包括:主机流量监控、安全流量分析、主机应用监控、敏感信息监控、病毒查杀、漏洞管理、网络防护、勒索防护等。 | |
Web应用防火墙模块 | 提供Web安全防护能力,包括SQL注入、XSS、CSRF等防护模块。 |
数据可靠性设计
在服务器区配置一台备份一体机,利用威努特备份一体机的CDP及数据库同步功能组合,针对医院HIS、LIS等核心业务系统进行实时备份保护与应用级容灾,保障业务连续性。由于采用了多线程复制技术优化数据实时复制性能,无需植入系统内核驱动,在保障实时复制性能的同时减少对业务系统的影响。备端数据可随时进行读取查看、多副本快速挂载恢复。
利用威努特备份一体机的定时备份功能,实现对医院的EMR、RIS等业务系统数据进行定时数据备份,并针对PACS 系统日常产生的各种医学影像(包括核磁,CT,超声等设备产生的图像)进行长达15~30年的分层分流长期保存。
方案优势
极简架构,弹性扩展
充分考虑二级医院业务体量及信息化预算情况,以超融合+等保一体机+备份一体机+基础网络的组合,打造二级医院信息化系统功能极简建设方案,降低整体建设成本和简化运维难度。同时方案中超融合、等保一体机以及备份一体机均采用了软硬件解耦设计,未来随着医院的规模增大、业务系统的扩展,可同步对信息化系统功能实现横向扩展,降低持续资金投入;
合规适配,安全可靠
方案综合考虑了可靠的计算能力、网络安全能力、数据可靠性以及系统性能要求,满足医疗行业评级以及卫健委的各项标准要求;
智能运维,降本增效
超融合、等保一体机以及备份一体机均具备一体化图形管理界面,日常运维或配置工作均可直观配置,运维难度低。
结 语
在当今医疗信息化快速发展的大背景下,信息化系统功能的可靠、稳定已成为医院管理的核心议题。威努特以极简建设方案帮助二级医院打造简单、可靠、高效的信息化系统和完善的安全防护体系,助力医院降低运营成本,将更多的精力关注医院的业务发展。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
📍发表于:中国 北京
