西安交大一附院卫荣：医院迈向云计算的利弊与安全分析

来源：HIT专家网      作者：姜浩 根据录音整理

当前，由于互联网诊疗、智慧医院评级、医保支付改革等各类业务和管理需求激增，完全依靠自建机房的传统信息化发展模式已无法满足医院的业务扩展需求，为此，西安交通大学第一附属医院（以下简称西安交大一附院）经深思熟虑后开启了业务系统上云之路。在由HIT专家网主办、VMware公司协办的“医疗云安全在线论坛”上，西安交大一附院网络信息部副主任卫荣分享了个人对于医院上云之路的实践心得。

借助云计算摆脱信息化建设三大“烟囱”

“云”是什么？是虚拟化技术？是共享资源池？还是一种商业模式？甚至有人说，云只是一种新兴概念，是炒作。

关于云计算的概念，众说纷纭。卫荣认为，在大部分概念中，云计算更倾向为一种以互联网方式提供的资源服务，且须具备一定的技术支撑。所以，云计算同时也是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡、热备冗余等计算机技术和互联网技术融合的产物。

卫荣认为，云计算的出现，对于医院信息化建设而言，是一次另辟蹊径的技术革新。过去，医院只能以自建服务器的形式开展信息化建设，但伴随着IT资源总量、数据吞吐量、并发访问量的爆发式增长，传统的信息化发展模式已无法更有力地支撑医院持续的数字化转型需求。云计算的适时出现，可以帮助医院摆脱信息化建设的三大“烟囱”：

设备烟囱。在五年前，医院的机房内就已经摆满了各种物理设备，且仍在源源不断地增加。医院在购入设备前，往往需要考虑冗余，但在实际使用过程中，往往无法将硬件资源全部利用起来。耗能、占地，资源浪费问题较为突出。

运维烟囱。物理设备资源难以统一化管理；业务连续性压力大，当某台物理主机出现问题时，替换设备存在接管过程，为保障系统的稳定性，很难保证业务的连续性。

应用烟囱。物理设备部署实施效率低，从采购物理设备到完成部署，周期长，交付缓慢，配置变更非常不便。

选择混合云架构的考虑

因此，医院是否需要上云已经毋庸置疑。但是，具体需要选择什么类型的云？西安交大一附院网络信息部对自建机房、公有云、私有云等多种方案进行了考察与对比，得出以下结论：

首先，就建设成本而言，医院在已建有数据中心等现有条件下，全部改用公有云的成本与自建服务器的成本相当，其成本优势并不明显。

其次，公有云的可靠性有待检验。卫荣表示，很多应用尚未进行云化适配，尤其是大多数HIS、电子病历系统等传统重应用，在云化环境下和虚拟化环境下均存在适配问题，无法发挥出云架构的技术优势。同时，在上云过程中还存在迁移失败风险以及网络链路风险。

再次，不同的云服务商存在能力差异，甚至有部分服务商仍是虚拟主机，以虚拟空间的方式提供服务，系统部署后的计算能力与安全防护能力存疑。

最后，医院缺乏相关技术人才储备。

综合上述情况，西安交大一附院选择了混合云架构，在保留自建机房的情况下，采用了部分私有云方案及少量的公有云方案。据卫荣介绍，医院已将绝大部分硬件进行了整合虚拟化。目前，全院共有432台虚拟机并建立了内网核心业务资源池、内网非核心业务资源池、校园网业务资源池，同时也尝试了服务器虚拟化、网络虚拟化、存储虚拟化、桌面云与云管平台等应用。

卫荣介绍，医院业务上云后，在以下几方面展现出了一定的优势：在成本方面，降低了拥有成本、运维成本；在运维方面，提高了运维效率与交付敏捷性；在资源方面，可伸缩、动态分配资源，提高了资源利用率，降低了能耗及物理空间占用；在安全方面，可提供数据备份与恢复，系统的高可用、连续性得到了保障。

医院业务上云需警惕虚拟化安全问题

卫荣坦言，医院业务上云，也迎来了新的挑战——虚拟化安全问题。私有云数据中心时刻面临安全风险，包括：第三方开源漏洞、错误的配置、应用程序漏洞、网络漏洞、用户行为风险、病毒风险、老旧操作系统风险、APT攻击等。

“虚拟化安全与物理安全相类似，但并非完全相同，需时刻提防来自云架构底层的风险。”为此，西安交大一附院结合物理环境部署了多种信息安全防护手段：

边界防护。根据不同业务类型，分别进行网络边界隔离；按照业务类型划分VLAN区域并使用防火墙隔离，形成可信网络计算环境第一层保障；在内网部署数据库集群，将与HIS等系统的关键数据进行互通的数据库集群部署在内网；设置安全隔离区域，通过综合防火墙对业务之间的数据交换进行病毒过滤、入网检测、内容审计；将与互联网通信的应用服务器集群部署在互联网DMZ区（Demilitarized Zone，隔离区）。

重点加固。对重点区域进行安全加固，形成多级防护手段：将防火墙部署在网络计算环境的边界处，对进出网络的访问数据流进行检测，发现异常直接予以阻断；将系统布置在网络的核心位置，以旁路侦听的方式截取访问数据包，进行深度分析，通过行为检测和特征检测，在发现异常的访问数据包后给予报警；对互联网出口进行安全访问控制，防止大规模DDoS（Distributed Denial of Service，分布式拒绝服务）/Web攻击。

安全审计。保障数据不丢失、不泄露、防篡改，主要手段包括：建设日志审计系统，重点关注在网络计算环境中各节点的日志收集与分析，包括网络设备、安全设备、服务器等在信息系统活动过程中所形成的活动日志信息；部署数据库审计防火墙，主动收集各类对数据库的访问，进行记录和分析，弥补日志审计对实际活动记录的不足，有效保护重要的数据库系统，审计的结果将有助于系统管理人员分析各类服务器被访问的情况；建设行为管理系统，加强互联网使用管理，控制非法接入，提高网络安全性，加强网络应用管理，防止互联网滥用，保障业务应用。

虚拟化安全防护措施。在VMware公司的辅助下，医院打造了轻量级综合防护系统，为医院信息安全防护提供病毒防护、虚拟补丁、主机加固、EDR（Endpoint Detection and Response，终端检测与响应）、日志审计等功能。

除此以外，西安交大一附院在互联网医院方面同样部署了多项安全防护策略。

访问安全策略，包括：建立服务部署安全规范，对互联网医院服务采用医院DMZ区域与内网隔离区域相结合的部署方案，将数据库及核心数据服务部署在内网隔离区域，限制DMZ和内网之间网络访问，确保网络安全；对互联网医院服务均采用集群化部署且配置冗余服务，确保服务运行可靠。保障服务网络访问和传输安全，仅向外提供服务访问端口，其他端口统一禁止访问，避免受到其他端口攻击；必须经过API Key和Token验证授权后才能访问；对外统一提供https访问方式；提供访问限流服务，对于突发流量（恶意流量）进行限流控制。按时进行访问日志审计，记录访问日志，方便审计或问题追溯。

数据安全策略，包括：将数据库及核心数据服务部署在内网隔离区域，限制外网访问，确保数据网络访问安全。应用数据传输安全技术，对外数据传输采用SSL（Secure Sockets Layer，安全套接字协议）加密传输。建立数据存储安全规范，对数据库服务采取主、备、冷备三种部署模式，主备之间随时切换，确保业务可靠访问，冷备确保数据安全。制定数据使用安全规范，对数据进行脱敏存储，对用户敏感数据脱敏保存。

“在安全问题之外，医院业务上云后还需注重虚拟化资源的合理分配。防止虚拟机蔓延、虚拟机资源争夺等问题，以确保关键负载的高可用性。”经过一段时间的上云实践后，卫荣发现，虚拟化技术发展同样存在“烟囱”：多种虚拟化平台无法进行统一管理。他希望，未来能够实现虚拟化平台大统一，建立起更多元的虚拟资源池。同时也希望HIS、电子病历等重应用系统能够尽快全面适应云化环境，整体提升医院业务效能。

【责任编辑：秦勉】