2020-04-27 14:45:33
来源:深信服科技
2020年,安徽省妇幼保健院西院(又称“安徽省国际妇女儿童医学中心”)为提升医疗机构整体信息化建设水平,决心打造业务皆云化、安全可运营、统一易运维的数据中心,为妇女儿童医学中心业务的开展,构建稳固IT基础。
医院数据中心建设需求
对于新数据中心的规划,安徽省妇幼保健院西院希望能在满足国家相关政策的基础上实现创新突破:
1.提升资源利用率
安徽省妇幼保健院西院新建HIS、LIS、EMR等多套核心业务系统,新建数据中心要充分利用采购硬件的计算、网络、存储资源,有效承载核心业务系统,避免资源低效利用。同时,由于医院存在多个院区,还需考虑业务体验、容灾备份以及运维管理的便捷性。
2.安全建设合规、有效
近年来,随着医院敏感数据愈加集中、数据价值不断增大,针对医疗行业的网络威胁攻击愈演愈烈,安全在信息化中的地位日渐提升,国家也对医疗行业提出了更多的安全合规要求。
• 合规
安徽省妇幼保健院西院需按照等保2.0三级标准,在技术及管理两个层面进行安全设计、建设。
• 有效
针对现有的安全风险,如勒索病毒、APT攻击等,需建设有效的检测防御手段;针对安全建设中的其它问题,如安全设备各自为战缺乏联动、云上流量无法可视可控、闭环运营缺失等,需有行之有效的解决办法。
基于超融合架构的私有云数据中心
深信服持续深入医疗行业,专注于从医院实际业务场景需求出发,为用户进行IT规划设计。基于医疗行业数据及安徽省妇幼保健院西院的业务特点,深信服规划了包含分布式存储容灾在内的全套云化数据中心建设方案。同时,为契合安徽省妇幼保健院西院云化业务结构,有效保障医院网络安全,通过建设深信服APDRO安全体系,为用户打造精准检测、安全可视、协同防御的安全运营中心。
▲安徽省妇幼保健院西院数据中心网络拓扑图
安徽省妇幼保健院西院拥有数据中心机房、网络机房、容灾机房,深信服根据《数据中心设计规范》、《数据中心电信基础设施标准》、《网络安全法》等相关法规对医院进行了IT建设规划。
在数据中心内,方案部署4台超融合一体机、3节点企业级分布式存储,使用集群软件创建数据库集群,用于承载HIS、CIS、LIS、NIS、PACS核心业务系统数据库;采用6台超融合主机,配合超融合软件,创建虚拟化高可用集群,用于承载除数据库业务外的所有应用系统。其中,每2台虚拟机创建一套ACTIVE/ACTIVE数据库集群,保障任意一台虚拟机或存储出现故障时,都不会影响业务系统,避免单点故障风险。
在容灾机房中,方案配置3台超融合主机,创建容灾资源池,并使用容灾软件,把核心业务数据库实时备份到容灾服务器,通过CDP技术,实现基于“时间点还原”的容灾机制。
部署完成后,用户可通过深信服云管理平台对虚拟化环境进行资源管理、资源监控、资源计量计费、维护等操作,支持组织或用户在线自助申请、使用虚拟资源,实现数据中心由单纯的虚拟化向云计算飞跃。
如此,“所有业务皆云化”。业务云化有效解决了业务在不同时段消耗资源不均的问题,通过多副本、HA等技术保障业务连续有效性;同时,在主数据中心、备数据中心之间建立医院各业务系统的统一容灾体系,该体系涵盖管理、运维方面的全套容灾能力,可提升业务面对“灾难”时的冗余性。
此外,深信服超融合架构具备良好的可扩展性,随着医院规模继续扩大、院区增多,架构可随时按业务需要灵活增加、更换硬件资源,或添加集群节点,保障医院业务系统安全、稳定地运行。
等保合规设计
医院所有的安全设备均部署在主数据中心。在安全合规方面,严格执行分区分域。在互联网出口部署下一代防火墙、入侵防御、全网行为管理各1台,专线出口部署下一代防火墙2台。所有设备界面简洁,策略配置人性化、简单易懂。
通过深信服下一代防火墙实现风险、保护过程和结果的可视,而非碎片化的攻击可视;通过全网行为管理则可以实现用户认证、流量管控、应用封堵、行为审计等功能,有效对医护人员的上网流量进行保护和管控。
配置集成安全平台,承载日志审计、数据库审计、堡垒机、基线核查等合规类安全组件,满足《网络安全法》及等保2.0三级要求,对上述设备进行统一管理,对全网异常流量和安全威胁进行统一展示和告警。
在超融合架构中,部署分布式防火墙,对访问服务器的流量,通过安全策略拒绝非授权访问,保护服务器安全;部署云安全资源池,针对核心(如HIS等)及普通(如部分网站等)业务系统划分不同的安全资源。
基于深信服APDRO安全模型
打造医院安全运营中心
深信服基于APDRO安全模型(A:Artificial Intelligence智能、P:Protect防御、D:Detect检测、R:Respond响应、O:Operate运营),在产品及方案上进行优化,打造安徽省妇幼保健院西院安全运营中心。
深信服安全感知平台、下一代防火墙、终端检测响应平台中都集成了深信服SAVE安全智能检测引擎,该引擎由深信服蓝军团队、算法团队、大数据团队等合作研发,基于黑客视角和ATT&CK架构,将机器学习技术应用到检测整个攻击链的每个过程中,为威胁溯源/追捕、攻击路径可视、安全可视提供基础,增强深信服产品应对已知、未知威胁的能力,实现了网-端-云的全方位安全防护覆盖。
在安全运营中心方案中,安全感知平台作为用户的本地安全大脑,可以收集780种以上设备的安全日志(含第三方设备),进行统一分析和溯源举证;平台具有11个大屏,从综合态势、失陷主机、病毒事件多个维度进行展示,安全运营效果实时可见,让医院领导能够及时掌握全网安全态势。
通过监控中心、处置中心、分析中心等,将安全事件的监控、处置、分析单独分开,更符合安全运维视角,便于医院管理员固化工作流程,简化运维、提升效率。支持将自定义的安全事件处置策略转换成自动响应策略,解决同类型事件手动重复配置问题,减轻运维工作量。
在安全感知平台中,支持资产类型、事件类型、风险等级自动化编排响应策略,可联动组件包括防火墙AF、全网行为管理AC、终端检测响应平台EDR;支持自动化编排响应处置手段,包括联动封锁、访问控制、上网提醒、冻结账号、一键查杀、进程取证,可识别平台已对接的安全设备,自动推荐联动策略。
改造完成后的数据中心业务价值
1.设计分类资源池,实现动态分配
通过超融合和云计算技术,把每个物理服务器虚拟化成计算资源池,提供云主机资源,并根据HIS、LIS业务系统的不同特点分配不同的计算资源,配置不同规格的云主机,实现动态分配、灵活扩展。
2.构建稳定可靠的容灾体系
构建容灾体系,实时监控容灾体系是否正常运行,以及业务系统在两地数据中心的健康状态,以保障业务可随时进行切换;当单台主机或单块磁盘出现故障时,可对业务系统进行快速恢复(优先从主数据中心的本地备份中恢复,避免切换到备数据中心造成运维复杂度增加)。
3.构建主动防御的安全体系
将安全与云融合,依照三级等保能力建设要求,为用户打造“一个中心、三重防护”的安全体系架构。在合规之上,挖掘“主动防御”的安全价值,实现“有效保护”的建设目标。
深信服助力安徽省妇幼保健院西院建设私有云数据中心,为医院提供了高效调配各类系统资源的服务平台,也为医院医疗数据的存储异构整合、弹性扩容、安全性与稳定性、有效利用提供了可靠的保障,帮助医院应对日益增多的医疗业务需求与医院管理的信息化需求,推进医院信息化建设云化演进。
安徽省妇幼保健院西院简介
安徽省妇幼保健院西院(安徽省国际妇女儿童医学中心)位于高新区规划经济中心,坐落在合肥市长江西路高新区南岗科技园内,总建筑面积19.11万平方米,设置床位1500床,是集医疗、保健、教学、科研、康复五位一体的高端新院区。西院区环境优美且现代化,为每一位到院就诊的孕妈妈提供更加安全安心的就医环境。该医学中心的建设满足了合肥现代化大都市及周边地区的妇女儿童医疗保健需求。
