原本采用傳統(tǒng)的CS架構(gòu)模式,客戶端應(yīng)用和部分數(shù)據(jù)就地存儲于遠程終端上,不僅管理復雜,而且存在非常大的安全隱患。借助于Citrix桌面虛擬化解決方案,我們實現(xiàn)了應(yīng)用和數(shù)據(jù)的全面集中化,從終端層、虛擬桌面到后臺應(yīng)用,都集中在了數(shù)據(jù)中心,而且部分之間使用防火墻嚴格隔離,只開放訪問必須的端口。這樣一來,曙光醫(yī)院的IT系統(tǒng)和數(shù)據(jù)的安全性不僅從根本上得到了保證,而且在簡化用戶使用、改善用戶體驗的同時,大大減輕IT人員對的維護工作負擔。更重要的是,更優(yōu)越的安全架構(gòu)為我們通過國家信息安全等級保護三級認證奠定了堅實的基礎(chǔ)。
——曙光醫(yī)院移動項目負責人 盧欣然
上海中醫(yī)藥大學附屬曙光醫(yī)院是一所滬上的百年老院,三級甲等綜合性中醫(yī)院、位列上海十大綜合性醫(yī)院之一、全國示范中醫(yī)院。曙光醫(yī)院以建設(shè)研究型醫(yī)院為目標,配套建立了研究所、臨床研究室、實驗室等,承擔著許多重要研究課題,也是全國首家通過ISO9001質(zhì)量管理體系認證的中醫(yī)醫(yī)院,被國家中醫(yī)藥管理局列為國際交流合作基地。多年來,曙光醫(yī)院不斷加快信息化建設(shè)的步伐,通過互聯(lián)網(wǎng)及內(nèi)部網(wǎng),持續(xù)提高醫(yī)療工作效率和品質(zhì),并通過電子商務(wù)相關(guān)技術(shù)改善患者服務(wù)體驗。通過最近實施完成的Citrix桌面虛擬化項目,曙光醫(yī)院不僅使各科室辦公桌面的性能和管理效率大幅提升,而且讓醫(yī)務(wù)人員的智能手機和平板電腦都輕松接入,為移動醫(yī)療提供了全新的平臺。更重要的是,就連十年前開發(fā)時幾乎沒有考慮到安全性措施但至今仍在使用的應(yīng)用軟件,在新的桌面虛擬化系統(tǒng)中也自然而然地被加上了一層“保護殼”,為通過信息安全等級保護認證奠定了堅實的基礎(chǔ)。
挑戰(zhàn)
信息化建設(shè)在曙光醫(yī)院的發(fā)展中一直起到十分重要的作用。早在多年前,他們就建立了IT基礎(chǔ)平臺,開發(fā)和部署了許多應(yīng)用軟件,支持醫(yī)療業(yè)務(wù)的各個環(huán)節(jié)。隨著業(yè)務(wù)的快速發(fā)展,對IT基礎(chǔ)構(gòu)架和應(yīng)用的要求也越來越高,對在不同時期開發(fā)部署的應(yīng)用軟件進行管理維護,工作量和復雜度也急劇攀升。
曙光醫(yī)院希望從傳輸、保存、端點及運行環(huán)境等各個環(huán)節(jié)都確保安全性,已經(jīng)先期部署了防火墻、終端管理軟件、終端防病毒軟件、入侵檢測、網(wǎng)絡(luò)加密設(shè)備等各種解決方案和產(chǎn)品。但是由于曙光醫(yī)院原本采用傳統(tǒng)計算模式,大量的醫(yī)療業(yè)務(wù)應(yīng)用軟件都是運行在各部門、科室的桌面PC上,業(yè)務(wù)數(shù)據(jù)也是保留在桌面終端,存在極大的安全隱患。特別是有些十多年前開發(fā)的應(yīng)用軟件,很多都沒有考慮安全性問題,無論是在終端的保持,還是網(wǎng)絡(luò)上的傳輸,都是處在未加密狀態(tài)。這些問題不僅不能適應(yīng)新的應(yīng)用需求,已經(jīng)是曙光醫(yī)院通過國家信息安全等級保護認證所必需面對的當務(wù)之急。
方案選型
曙光醫(yī)院桌面虛擬化項目的采購選型緊緊圍繞既定的目標來全面衡量,首先考慮的是滿足多院區(qū)環(huán)境需求,最大限度地減少客戶端維護工作量,同時也抓住這個契機實現(xiàn)對移動醫(yī)療的支持。曙光醫(yī)院已有服務(wù)器虛擬化使用經(jīng)驗,而Citrix桌面虛擬化產(chǎn)品從兼容性、易用性以及資源利用率方面都使得曙光醫(yī)院感受到更強的優(yōu)勢。有鑒于Citrix虛擬化技術(shù)在各行各業(yè)都有諸多的成功應(yīng)用,曙光醫(yī)院確信可以由此充分發(fā)揮自身已有的IT資源,把桌面應(yīng)用和移動應(yīng)用提升到全新的水平。在進一步的評估中,曙光醫(yī)院發(fā)現(xiàn),Citrix桌面虛擬化解決方案不僅以在不改變原有的應(yīng)用軟件和用戶的使用習慣的前提下提升效率,而且自身具備先進的安全機制,在Citrix NetScaler 軟、硬一體的解決方案下,與微軟的組策略相結(jié)合,即可自然而然地滿足國家對醫(yī)院在信息安全等級保護方面的要求,為后續(xù)通過相關(guān)認證奠定了良好的基礎(chǔ)。
解決方案部署
Citrix桌面虛擬化解決方案包括終端層、虛擬桌面層和后臺應(yīng)用層,各部分之間使用防火墻嚴格隔離,只開放訪問必須的端口。桌面虛擬化使得曙光醫(yī)院的整體計算構(gòu)架得到了極大的簡化。這個方案的核心是,在數(shù)據(jù)中心的服務(wù)器虛擬化環(huán)境中集中部署虛擬桌面,供各分支機構(gòu)的PC和瘦客戶端使用。而終端用戶設(shè)備上沒有部署任何應(yīng)用,也沒有任何應(yīng)用數(shù)據(jù)緩存在本地。原始業(yè)務(wù)數(shù)據(jù)的傳輸也只在數(shù)據(jù)中心范圍內(nèi)進行,與終端設(shè)備完全無關(guān)。在數(shù)據(jù)中心與各個終端設(shè)備之間傳輸?shù)闹皇瞧聊辉隽孔兓畔⒑褪髽随I盤變化信息,而且都進行了加密。
終端設(shè)備上無需安裝應(yīng)用軟件,這就大大免除了IT人員逐個進行終端軟件維護的壓力。更重要的是,由于應(yīng)用客戶端不在終端桌面直接部署,就不必擔心受到掃描、破解、反向工程等攻擊。這樣一來,曙光醫(yī)院的IT系統(tǒng)和數(shù)據(jù)的安全性就從根本上得到了保證。
解決方案技術(shù)優(yōu)勢
1. 應(yīng)用部署集中化,全面降低維護成本
全部應(yīng)用部署于位于數(shù)據(jù)中心的服務(wù)器上,實現(xiàn)應(yīng)用管理的集中化,大大減輕IT部門對各終端應(yīng)用的維護壓力。
2. 數(shù)據(jù)存儲集中化,杜絕在客戶端被竊取或遺失
由于桌面客戶端部署在曙光醫(yī)院的數(shù)據(jù)中心內(nèi),所以原始的業(yè)務(wù)數(shù)據(jù)的傳輸也只在數(shù)據(jù)中心的范圍內(nèi),不用擔心原本的客戶端硬盤損壞等導致業(yè)務(wù)數(shù)據(jù)丟失,安全性比傳統(tǒng)客戶端大幅提高。
3. 桌面客戶端集中化,全面提升應(yīng)用安全性
在數(shù)據(jù)中心到各分支機構(gòu)的網(wǎng)絡(luò)中傳輸?shù)氖墙?jīng)過Citrix協(xié)議加密的屏幕刷新和鍵盤鼠標操作等信息,難以被截獲破解,很好地保護了原始數(shù)據(jù)信息。
4. 應(yīng)用反應(yīng)速度快,提升用戶體驗
客戶端集中部署于數(shù)據(jù)中心,其與后臺應(yīng)用服務(wù)器之間的連接速度良好,從而使應(yīng)用的反應(yīng)速度有所保證。特別是對低帶寬、高延時的網(wǎng)絡(luò),終端應(yīng)用的速度和用戶體驗大大增強。
5. 網(wǎng)絡(luò)安全策略輕松配置,應(yīng)用適應(yīng)性大幅提高
對于需要跨安全分區(qū)訪問的應(yīng)用,以往,不同的應(yīng)用需要開放不同的IP地址段和端口,現(xiàn)在,只需要配置從客戶端至Citrix服務(wù)器的策略即可。即使應(yīng)用改變,也無須改變防火墻策略。
6. 支持醫(yī)院特殊應(yīng)用,實現(xiàn)移動查房
有效支持曙光醫(yī)院所需的特殊應(yīng)用,比如掃描器槍、CS架構(gòu)的點餐系統(tǒng)等,保證了速度和效率,而且支持移動醫(yī)療、移動護理、移動查房。