原本采用傳統的CS架構模式,客戶(hù)端應用和部分數據就地存儲于遠程終端上,不僅管理復雜,而且存在非常大的安全隱患。借助于Citrix桌面虛擬化解決方案,我們實(shí)現了應用和數據的全面集中化,從終端層、虛擬桌面到后臺應用,都集中在了數據中心,而且部分之間使用防火墻嚴格隔離,只開(kāi)放訪(fǎng)問(wèn)必須的端口。這樣一來(lái),曙光醫院的IT系統和數據的安全性不僅從根本上得到了保證,而且在簡(jiǎn)化用戶(hù)使用、改善用戶(hù)體驗的同時(shí),大大減輕IT人員對的維護工作負擔。更重要的是,更優(yōu)越的安全架構為我們通過(guò)國家信息安全等級保護三級認證奠定了堅實(shí)的基礎。
——曙光醫院移動(dòng)項目負責人 盧欣然
上海中醫藥大學(xué)附屬曙光醫院是一所滬上的百年老院,三級甲等綜合性中醫院、位列上海十大綜合性醫院之一、全國示范中醫院。曙光醫院以建設研究型醫院為目標,配套建立了研究所、臨床研究室、實(shí)驗室等,承擔著(zhù)許多重要研究課題,也是全國首家通過(guò)ISO9001質(zhì)量管理體系認證的中醫醫院,被國家中醫藥管理局列為國際交流合作基地。多年來(lái),曙光醫院不斷加快信息化建設的步伐,通過(guò)互聯(lián)網(wǎng)及內部網(wǎng),持續提高醫療工作效率和品質(zhì),并通過(guò)電子商務(wù)相關(guān)技術(shù)改善患者服務(wù)體驗。通過(guò)最近實(shí)施完成的Citrix桌面虛擬化項目,曙光醫院不僅使各科室辦公桌面的性能和管理效率大幅提升,而且讓醫務(wù)人員的智能手機和平板電腦都輕松接入,為移動(dòng)醫療提供了全新的平臺。更重要的是,就連十年前開(kāi)發(fā)時(shí)幾乎沒(méi)有考慮到安全性措施但至今仍在使用的應用軟件,在新的桌面虛擬化系統中也自然而然地被加上了一層“保護殼”,為通過(guò)信息安全等級保護認證奠定了堅實(shí)的基礎。
挑戰
信息化建設在曙光醫院的發(fā)展中一直起到十分重要的作用。早在多年前,他們就建立了IT基礎平臺,開(kāi)發(fā)和部署了許多應用軟件,支持醫療業(yè)務(wù)的各個(gè)環(huán)節。隨著(zhù)業(yè)務(wù)的快速發(fā)展,對IT基礎構架和應用的要求也越來(lái)越高,對在不同時(shí)期開(kāi)發(fā)部署的應用軟件進(jìn)行管理維護,工作量和復雜度也急劇攀升。
曙光醫院希望從傳輸、保存、端點(diǎn)及運行環(huán)境等各個(gè)環(huán)節都確保安全性,已經(jīng)先期部署了防火墻、終端管理軟件、終端防病毒軟件、入侵檢測、網(wǎng)絡(luò )加密設備等各種解決方案和產(chǎn)品。但是由于曙光醫院原本采用傳統計算模式,大量的醫療業(yè)務(wù)應用軟件都是運行在各部門(mén)、科室的桌面PC上,業(yè)務(wù)數據也是保留在桌面終端,存在極大的安全隱患。特別是有些十多年前開(kāi)發(fā)的應用軟件,很多都沒(méi)有考慮安全性問(wèn)題,無(wú)論是在終端的保持,還是網(wǎng)絡(luò )上的傳輸,都是處在未加密狀態(tài)。這些問(wèn)題不僅不能適應新的應用需求,已經(jīng)是曙光醫院通過(guò)國家信息安全等級保護認證所必需面對的當務(wù)之急。
方案選型
曙光醫院桌面虛擬化項目的采購選型緊緊圍繞既定的目標來(lái)全面衡量,首先考慮的是滿(mǎn)足多院區環(huán)境需求,最大限度地減少客戶(hù)端維護工作量,同時(shí)也抓住這個(gè)契機實(shí)現對移動(dòng)醫療的支持。曙光醫院已有服務(wù)器虛擬化使用經(jīng)驗,而Citrix桌面虛擬化產(chǎn)品從兼容性、易用性以及資源利用率方面都使得曙光醫院感受到更強的優(yōu)勢。有鑒于Citrix虛擬化技術(shù)在各行各業(yè)都有諸多的成功應用,曙光醫院確信可以由此充分發(fā)揮自身已有的IT資源,把桌面應用和移動(dòng)應用提升到全新的水平。在進(jìn)一步的評估中,曙光醫院發(fā)現,Citrix桌面虛擬化解決方案不僅以在不改變原有的應用軟件和用戶(hù)的使用習慣的前提下提升效率,而且自身具備先進(jìn)的安全機制,在Citrix NetScaler 軟、硬一體的解決方案下,與微軟的組策略相結合,即可自然而然地滿(mǎn)足國家對醫院在信息安全等級保護方面的要求,為后續通過(guò)相關(guān)認證奠定了良好的基礎。
解決方案部署
Citrix桌面虛擬化解決方案包括終端層、虛擬桌面層和后臺應用層,各部分之間使用防火墻嚴格隔離,只開(kāi)放訪(fǎng)問(wèn)必須的端口。桌面虛擬化使得曙光醫院的整體計算構架得到了極大的簡(jiǎn)化。這個(gè)方案的核心是,在數據中心的服務(wù)器虛擬化環(huán)境中集中部署虛擬桌面,供各分支機構的PC和瘦客戶(hù)端使用。而終端用戶(hù)設備上沒(méi)有部署任何應用,也沒(méi)有任何應用數據緩存在本地。原始業(yè)務(wù)數據的傳輸也只在數據中心范圍內進(jìn)行,與終端設備完全無(wú)關(guān)。在數據中心與各個(gè)終端設備之間傳輸的只是屏幕增量變化信息和鼠標鍵盤(pán)變化信息,而且都進(jìn)行了加密。
終端設備上無(wú)需安裝應用軟件,這就大大免除了IT人員逐個(gè)進(jìn)行終端軟件維護的壓力。更重要的是,由于應用客戶(hù)端不在終端桌面直接部署,就不必擔心受到掃描、破解、反向工程等攻擊。這樣一來(lái),曙光醫院的IT系統和數據的安全性就從根本上得到了保證。
解決方案技術(shù)優(yōu)勢
1. 應用部署集中化,全面降低維護成本
全部應用部署于位于數據中心的服務(wù)器上,實(shí)現應用管理的集中化,大大減輕IT部門(mén)對各終端應用的維護壓力。
2. 數據存儲集中化,杜絕在客戶(hù)端被竊取或遺失
由于桌面客戶(hù)端部署在曙光醫院的數據中心內,所以原始的業(yè)務(wù)數據的傳輸也只在數據中心的范圍內,不用擔心原本的客戶(hù)端硬盤(pán)損壞等導致業(yè)務(wù)數據丟失,安全性比傳統客戶(hù)端大幅提高。
3. 桌面客戶(hù)端集中化,全面提升應用安全性
在數據中心到各分支機構的網(wǎng)絡(luò )中傳輸的是經(jīng)過(guò)Citrix協(xié)議加密的屏幕刷新和鍵盤(pán)鼠標操作等信息,難以被截獲破解,很好地保護了原始數據信息。
4. 應用反應速度快,提升用戶(hù)體驗
客戶(hù)端集中部署于數據中心,其與后臺應用服務(wù)器之間的連接速度良好,從而使應用的反應速度有所保證。特別是對低帶寬、高延時(shí)的網(wǎng)絡(luò ),終端應用的速度和用戶(hù)體驗大大增強。
5. 網(wǎng)絡(luò )安全策略輕松配置,應用適應性大幅提高
對于需要跨安全分區訪(fǎng)問(wèn)的應用,以往,不同的應用需要開(kāi)放不同的IP地址段和端口,現在,只需要配置從客戶(hù)端至Citrix服務(wù)器的策略即可。即使應用改變,也無(wú)須改變防火墻策略。
6. 支持醫院特殊應用,實(shí)現移動(dòng)查房
有效支持曙光醫院所需的特殊應用,比如掃描器槍、CS架構的點(diǎn)餐系統等,保證了速度和效率,而且支持移動(dòng)醫療、移動(dòng)護理、移動(dòng)查房。
