2020-04-27 14:45:33
來源:深信服科技
2020年,安徽省婦幼保健院西院(又稱“安徽省國際婦女兒童醫學中心”)為提升醫療機構整體信息化建設水平,決心打造業務皆云化、安全可運營、統一易運維的數據中心,為婦女兒童醫學中心業務的開展,構建穩固IT基礎。
醫院數據中心建設需求
對于新數據中心的規劃,安徽省婦幼保健院西院希望能在滿足國家相關政策的基礎上實現創新突破:
1.提升資源利用率
安徽省婦幼保健院西院新建HIS、LIS、EMR等多套核心業務系統,新建數據中心要充分利用采購硬件的計算、網絡、存儲資源,有效承載核心業務系統,避免資源低效利用。同時,由于醫院存在多個院區,還需考慮業務體驗、容災備份以及運維管理的便捷性。
2.安全建設合規、有效
近年來,隨著醫院敏感數據愈加集中、數據價值不斷增大,針對醫療行業的網絡威脅攻擊愈演愈烈,安全在信息化中的地位日漸提升,國家也對醫療行業提出了更多的安全合規要求。
• 合規
安徽省婦幼保健院西院需按照等保2.0三級標準,在技術及管理兩個層面進行安全設計、建設。
• 有效
針對現有的安全風險,如勒索病毒、APT攻擊等,需建設有效的檢測防御手段;針對安全建設中的其它問題,如安全設備各自為戰缺乏聯動、云上流量無法可視可控、閉環運營缺失等,需有行之有效的解決辦法。
基于超融合架構的私有云數據中心
深信服持續深入醫療行業,專注于從醫院實際業務場景需求出發,為用戶進行IT規劃設計。基于醫療行業數據及安徽省婦幼保健院西院的業務特點,深信服規劃了包含分布式存儲容災在內的全套云化數據中心建設方案。同時,為契合安徽省婦幼保健院西院云化業務結構,有效保障醫院網絡安全,通過建設深信服APDRO安全體系,為用戶打造精準檢測、安全可視、協同防御的安全運營中心。
▲安徽省婦幼保健院西院數據中心網絡拓撲圖
安徽省婦幼保健院西院擁有數據中心機房、網絡機房、容災機房,深信服根據《數據中心設計規范》、《數據中心電信基礎設施標準》、《網絡安全法》等相關法規對醫院進行了IT建設規劃。
在數據中心內,方案部署4臺超融合一體機、3節點企業級分布式存儲,使用集群軟件創建數據庫集群,用于承載HIS、CIS、LIS、NIS、PACS核心業務系統數據庫;采用6臺超融合主機,配合超融合軟件,創建虛擬化高可用集群,用于承載除數據庫業務外的所有應用系統。其中,每2臺虛擬機創建一套ACTIVE/ACTIVE數據庫集群,保障任意一臺虛擬機或存儲出現故障時,都不會影響業務系統,避免單點故障風險。
在容災機房中,方案配置3臺超融合主機,創建容災資源池,并使用容災軟件,把核心業務數據庫實時備份到容災服務器,通過CDP技術,實現基于“時間點還原”的容災機制。
部署完成后,用戶可通過深信服云管理平臺對虛擬化環境進行資源管理、資源監控、資源計量計費、維護等操作,支持組織或用戶在線自助申請、使用虛擬資源,實現數據中心由單純的虛擬化向云計算飛躍。
如此,“所有業務皆云化”。業務云化有效解決了業務在不同時段消耗資源不均的問題,通過多副本、HA等技術保障業務連續有效性;同時,在主數據中心、備數據中心之間建立醫院各業務系統的統一容災體系,該體系涵蓋管理、運維方面的全套容災能力,可提升業務面對“災難”時的冗余性。
此外,深信服超融合架構具備良好的可擴展性,隨著醫院規模繼續擴大、院區增多,架構可隨時按業務需要靈活增加、更換硬件資源,或添加集群節點,保障醫院業務系統安全、穩定地運行。
等保合規設計
醫院所有的安全設備均部署在主數據中心。在安全合規方面,嚴格執行分區分域。在互聯網出口部署下一代防火墻、入侵防御、全網行為管理各1臺,專線出口部署下一代防火墻2臺。所有設備界面簡潔,策略配置人性化、簡單易懂。
通過深信服下一代防火墻實現風險、保護過程和結果的可視,而非碎片化的攻擊可視;通過全網行為管理則可以實現用戶認證、流量管控、應用封堵、行為審計等功能,有效對醫護人員的上網流量進行保護和管控。
配置集成安全平臺,承載日志審計、數據庫審計、堡壘機、基線核查等合規類安全組件,滿足《網絡安全法》及等保2.0三級要求,對上述設備進行統一管理,對全網異常流量和安全威脅進行統一展示和告警。
在超融合架構中,部署分布式防火墻,對訪問服務器的流量,通過安全策略拒絕非授權訪問,保護服務器安全;部署云安全資源池,針對核心(如HIS等)及普通(如部分網站等)業務系統劃分不同的安全資源。
基于深信服APDRO安全模型
打造醫院安全運營中心
深信服基于APDRO安全模型(A:Artificial Intelligence智能、P:Protect防御、D:Detect檢測、R:Respond響應、O:Operate運營),在產品及方案上進行優化,打造安徽省婦幼保健院西院安全運營中心。
深信服安全感知平臺、下一代防火墻、終端檢測響應平臺中都集成了深信服SAVE安全智能檢測引擎,該引擎由深信服藍軍團隊、算法團隊、大數據團隊等合作研發,基于黑客視角和ATT&CK架構,將機器學習技術應用到檢測整個攻擊鏈的每個過程中,為威脅溯源/追捕、攻擊路徑可視、安全可視提供基礎,增強深信服產品應對已知、未知威脅的能力,實現了網-端-云的全方位安全防護覆蓋。
在安全運營中心方案中,安全感知平臺作為用戶的本地安全大腦,可以收集780種以上設備的安全日志(含第三方設備),進行統一分析和溯源舉證;平臺具有11個大屏,從綜合態勢、失陷主機、病毒事件多個維度進行展示,安全運營效果實時可見,讓醫院領導能夠及時掌握全網安全態勢。
通過監控中心、處置中心、分析中心等,將安全事件的監控、處置、分析單獨分開,更符合安全運維視角,便于醫院管理員固化工作流程,簡化運維、提升效率。支持將自定義的安全事件處置策略轉換成自動響應策略,解決同類型事件手動重復配置問題,減輕運維工作量。
在安全感知平臺中,支持資產類型、事件類型、風險等級自動化編排響應策略,可聯動組件包括防火墻AF、全網行為管理AC、終端檢測響應平臺EDR;支持自動化編排響應處置手段,包括聯動封鎖、訪問控制、上網提醒、凍結賬號、一鍵查殺、進程取證,可識別平臺已對接的安全設備,自動推薦聯動策略。
改造完成后的數據中心業務價值
1.設計分類資源池,實現動態分配
通過超融合和云計算技術,把每個物理服務器虛擬化成計算資源池,提供云主機資源,并根據HIS、LIS業務系統的不同特點分配不同的計算資源,配置不同規格的云主機,實現動態分配、靈活擴展。
2.構建穩定可靠的容災體系
構建容災體系,實時監控容災體系是否正常運行,以及業務系統在兩地數據中心的健康狀態,以保障業務可隨時進行切換;當單臺主機或單塊磁盤出現故障時,可對業務系統進行快速恢復(優先從主數據中心的本地備份中恢復,避免切換到備數據中心造成運維復雜度增加)。
3.構建主動防御的安全體系
將安全與云融合,依照三級等保能力建設要求,為用戶打造“一個中心、三重防護”的安全體系架構。在合規之上,挖掘“主動防御”的安全價值,實現“有效保護”的建設目標。
深信服助力安徽省婦幼保健院西院建設私有云數據中心,為醫院提供了高效調配各類系統資源的服務平臺,也為醫院醫療數據的存儲異構整合、彈性擴容、安全性與穩定性、有效利用提供了可靠的保障,幫助醫院應對日益增多的醫療業務需求與醫院管理的信息化需求,推進醫院信息化建設云化演進。
安徽省婦幼保健院西院簡介
安徽省婦幼保健院西院(安徽省國際婦女兒童醫學中心)位于高新區規劃經濟中心,坐落在合肥市長江西路高新區南崗科技園內,總建筑面積19.11萬平方米,設置床位1500床,是集醫療、保健、教學、科研、康復五位一體的高端新院區。西院區環境優美且現代化,為每一位到院就診的孕媽媽提供更加安全安心的就醫環境。該醫學中心的建設滿足了合肥現代化大都市及周邊地區的婦女兒童醫療保健需求。
