眾所周知，醫療行業信息化是提升醫院生產力的重要手段，而虛擬化更是成為醫療行業信息化革命中最具爆發力的“英雄”，但由于缺少與之配套的安全防護軟件，這讓醫療行業的用戶對其安全性心存憂慮。為了應對醫療系統在虛擬化環境中不斷涌現的安全挑戰，大理州人民醫院攜手全球服務器安全、虛擬化及“云安全”領導廠商——趨勢科技，通過趨勢科技服務器深度安全防護系統(Deep Security)的“無代理”安全防護技術的部署，真正發揮了VMware虛擬化平臺為醫院信息化革新帶來的性能與成本優勢。

“防毒掃描風暴”始料未及 虛擬化不應因此受阻

據了解，大理州人民醫院作為大理州最早獲評的三甲醫院，在信息化建設方面起步較早，先后實施了多個升級改造項目，保持著信息化的創新活力。目前，大理州人民醫院的網絡中包含了數十套大型醫療業務系統以及1000多臺PC和智能終端，信息化系統已經成為確保醫療服務效率和水平的重要保障。

與此同時，為了響應國家“十二五規劃”所提倡的節能減排要求，大理州人民醫院從服務器能耗及資源整合入手，對自身的醫療系統基礎架構進行了虛擬化的改造，并把部分醫療系統遷移到虛擬化平臺上。第一階段的遷移工作完成后，服務器硬件資源使用率得到了極大的提高，但隨著虛擬化應用的深入，需要增加更多虛擬主機時，信息中心卻發現一道始料未及的技術阻礙。

據大理州人民醫院專門負責安全工作的李先生介紹：最初，我們在虛擬機上部署了傳統客戶端模式的防病毒軟件，作為當時唯一的防毒手段，并沒有發現異常狀況。但經過一段時間的運行，虛擬機數量增加后，我們發現虛擬化平臺在業務高峰期會出現嚴重的性能問題，而這就是后來深入分析后發現的防毒風暴(AV Storm)。

通過對虛擬化技術資料的匯總分析，信息中心對防毒風暴有了全面的了解。其產生的原因在于，由于傳統防毒軟件并不是專為虛擬化環境設計，當所有虛擬機的防毒軟件開啟實時防護時，會對虛擬化平臺的CPU、內存和磁盤I/O帶來巨大的壓力，并影響業務的正常運行。而當處于業務高峰期時，并發量增大，會導致虛擬化環境崩潰。

尋找虛擬化安全“盲點” 傳統防毒技術難以勝任

在綠色IT大潮下的虛擬化為醫療信息化帶來的極大的成本和效率優勢，但虛擬化進程中的新威脅和新挑戰卻需要及時發現和解決。除了防毒風暴之外，信息中心還發現了更多傳統防護系統無法與虛擬化相適應的監控“盲點”。

對此，李先生表示：我們還發現網絡設備和主機之間不再涇渭分明，傳統網絡安全設備(如防火墻、IPS)無法監測到虛擬網絡內部的數據流，在虛擬網絡產生了風險“盲點”。另外，由于需要保障醫療信息化系統(如HIS、LIS等)不間斷運行，我們使用虛擬化特有的動態資源分配技術(DRS)，一旦vCenter發現某個主機計算資源不足時，能夠動態把虛擬機遷移到其他主機上，保障業務不間斷運行。這種虛擬機漂移的技術，雖然能夠保障業務不間斷運行，但管理員卻沒法掌握漂移后的虛擬機是否具備最新組件的防護，增加了安全監控的難度。

顯然，傳統的防病毒軟件已經不再適用大理州人民醫院的需求，嚴重阻礙了虛擬化進程的推進，但經過多次的討論之后，綜合考慮虛擬化的優勢、劣勢，虛擬化建設仍然勢在必行。為此，大理州人民醫院需要考慮借助專門在虛擬化平臺上研發的安全解決方案，來改善醫院遇到的虛擬化安全問題，使虛擬化技術得以在大理州人民醫院推廣。

開創“無代理”防護新紀元 實地測試獲用戶認可

大理州人民醫院開始廣泛尋找最佳的解決方案，而在VMware官網上了解到的信息則為突破技術阻礙帶來的新機會。這些信息包括VMware為了幫助用戶節省系統資源、最大限度發揮性能價值，推出的“VMsafe”、“VMware vShield Endpoint”等API，以及目前業界與VMware兼容度最佳的安全產品——趨勢科技Deep Security。

趨勢科技Deep Security能夠利用VMware發布的VMware vShield EndPoint安全接口或在最新的NSX架構上，為VMware ESXi平臺上提供無代理防護方案。通過直接在ESXi上部署專用安全虛擬機(DSVA)，能夠有效地解決了用戶之前遇到的各種問題。經過與趨勢科技技術顧問的深入交流后，大理州人民醫院最終決定使用趨勢科技Deep Security作為其虛擬化平臺的安全保障，以推動虛擬化的建設進程。

【趨勢科技Deep Security有效解決了“AV Storm”及“虛擬網絡內部攻擊”等虛擬化環境的安全問題】

為了驗證趨勢科技Deep Security的技術可行性，大理州人民醫院邀請趨勢科技對虛擬化平臺安全防護方案進行實地測試。而趨勢科技也緊緊抓住了這個機會，利用特有的無代理防毒技術有效解決了防毒風暴及虛擬網絡內部攻擊等虛擬化環境的安全問題。其中包括：

n 通過Deep Security的無代理殺毒技術，有效解決了ESXi環境下的防毒風暴問題，實際的測試結果表明，采用趨勢的Deep Security進行殺毒時所占資源，只是傳統方案的10%;

n 通過Deep Security的無代理防毒技術，能夠在ESXi底層即可對虛擬化環境的病毒進行查殺，解決了傳統方案不能監測虛擬網絡內部風險的致命問題。

安全防護難題得以解決 醫療系統虛擬化改造隨即加速

現在，在大理州人民醫院的業務高峰期，傳統防毒軟件導致的業務訪問緩慢現象已經完全消失，一線的醫生和業務人員對業務系統的應用滿意度大幅提升，這讓希望虛擬化在全院推廣的信息中心信心倍增。

李先生表示：“趨勢科技Deep Security是目前少數能夠支持虛擬機無代理防護技術的產品之一，在測試過程中，我們發現Deep Security與虛擬化平臺的整合度是各個產品中最好的。在實施Deep Security后，我們在虛擬化建設時遇到的包括防毒風暴和虛擬網絡內部攻擊等諸多安全問題得到了解決，讓我們更加安心地把重要的業務系統遷移至虛擬化平臺，極大地加速了我院醫療系統虛擬化改造的進程。”