坚持信创终端“真替真用”，平稳推进医院信创进程

来源：HIT专家网   作者：郭幽燕

在医院信创工程中，信创终端是一个痛点，不但涉及设备数量多，而且还存在信创终端不能正常访问医院现有应用的风险。本文结合北京安贞医院的实践经验，介绍一种让信创终端“真替真用”的方案，在解决医院信创工程痛点问题的同时，还能充分满足国家相关政策要求，支持国家相关产业的健康发展。

一、信创终端的应用访问适配是医院信创工程的重要内容

除了CPU指令集不兼容和应用生态薄弱等原因外，信创终端不支持插件和控件，以及不兼容现有设备驱动等现状，都是导致信创终端不能正常访问医院现有应用的主要因素，也是医院推动信创工程的重要障碍。

由于将医院现有应用都迁移到信创平台还需要一个过程，因此医院需要找到一种信创终端适配方案，让信创终端在应用迁移的过渡期阶段，能够正常访问医院现有应用，确保医院的业务连续性。更进一步，国家推动信创工程不只是要解决关键技术“卡脖子”的问题，而且还要借助这一工程，推动国内相关产业的快速发展。因此，“真替真用”就成为信创工程的政策灵魂，即在采用信创技术和产品的基础上，要确保这些技术和产品真正用起来，在使用过程中不断改进和提升，最终促进产业健康发展。

医院在选择信创终端适配方案时，必须要同时考虑医院业务连续性和信创终端“真替真用”的双重要求。

二、医院信创终端“真替真用”适配方案

北京安贞医院曾对多款信创终端适配产品方案进行过测试和验证，并基于医院现状，与厂商合作，探索出一个满足“真替真用”要求的信创终端适配方案，其目标是在支持信创终端正常访问医院现有业务的基础上，确保只要信创终端能完成的工作，就一定要交由信创终端完成。

图1给出了该方案的工作原理：在信创终端集中安全适配平台与信创终端之间支持一种作业调度协议，在该协议下，适配平台和信创终端之间互相协商，只要信创终端能完成的工作，一定强制交给信创终端完成，只有信创终端的确不能支持的作业，才暂时交由信创终端适配平台完成。

比如，针对B/S类应用，由于信创浏览器不支持插件控件，因此那些需要插件和控件的应用（如图1中的“未改造应用”），需要交给适配平台代理访问（通过适配平台中的“作业适配运行环境”）；但是对不需要插件和控件的其他应用（如图1中的“已改造应用”），适配平台会强制将它们调度到信创终端上，由信创终端上的信创浏览器实现应用访问。

图1中“作业调度管理”的基础是作业清单，包括面向B/S类应用的作业清单（应用URL）和面向C/S类或单机类应用的作业清单（可执行代码的hash值）两种类型。作业清单由管理员通过信创终端策略配置管理系统创建和删除，如果作业被成功改造/迁移到信创平台上，该作业在作业清单中的对应项就被删除；如果所有作业清单项都被删除，表示医院所有应用都已经被改造/迁移到信创平台上了。

该方案兼容现有的终端连接设备，这些外设可以继续接入信创终端正常工作。

三、信创终端“真替真用”方案的优势

与其他信创终端适配方案相比，图1所示方案有以下明显优势：

1.“真替真用”支持能力。无论是虚拟桌面方案、应用虚拟化方案，还是基于ARM的Windows方案，都不能真正支持信创终端的“真替真用”。因为在这些方案中，信创终端都只是起到一个键盘/鼠标和显示器的作用，基本没有发挥硬件和操作系统的功能。换句话说，对信创终端CPU和操作系统的改进和提升没有帮助。

2.设备支持能力。基于ARM的Windows方案对外设的支持能力较差，如打印机、读卡器、高拍仪等；而应用虚拟化方案则容易导致外设冲突。

3.应用兼容性。针对现有的医院应用，应用虚拟化方案和基于ARM的Windows方案都存在应用不兼容的风险。

除确保医院业务连续性和支持信创终端“真替真用”之外，图1方案还从以下几个方面进行了优化。

首先，提升了信创终端集中安全适配平台的资源利用率。图1中的“适配环境监控”模块保持对“作业适配运行环境”的监视，一旦在指定时间内没有检测到前端键盘鼠标活动，也没有网络流量，平台就会主动释放和清空相关作业在“作业适配运行环境”中占用的资源，并提供给其他作业使用。

其次，减少了用户培训工作。图1方案完全对用户屏蔽了后端的信创终端集中安全适配平台，所有的应用访问适配、作业调度等工作，用户都是无感的，包括应用访问过程产生的数据都会通过“数据同步”功能模块被同步到信创终端中，用户只需面向终端如常工作即可，无需接受大量的新平台和新流程操作培训。

第三，加强了对适配平台的安全保护。图1方案还为信创终端适配访问提供了安全保护，包括通过安全网关保护适配平台不会被外部非法访问或攻击。

四、方案部署方式

图1方案中的信创终端适配功能，既可以用集中方式部署在专门的服务器中，也可以用分布式方式部署在信创终端中，或者采用服务器+信创终端的混合方式。具体采用哪种部署方式，取决于用户对性能、应用兼容性、设备支持和经济性的要求。

服务器集中部署方式，具有性能好、应用兼容性好、设备支持好等优点，但需要额外的服务器，可能有成本投入。

信创终端分布式部署方式，则不需要专门的服务器硬件，但是需要终端有良好的性能，比如飞腾D3000或海光CPU；如有外设连接需求，也不建议采用分布式部署方式。

对于大多数医院而言，建议采用混合部署方式，既可以尽量节省减少成本，还可以保证性能和应用兼容性。具体方案为：如果信创终端性能低，或者需要连接外设，就将这部分终端通过服务器实现对医院现有应用的访问适配；否则，就采用信创终端分布式部署方式。但无论哪种部署方式，信创终端的适配策略都需要统一管理。

【作者简介】

郭幽燕，研究员，CHIMA委员，PHITA理事，PHISTA网络与数据安全专委会副主任委员，北京网络信息安全创新产业联盟委员会专家，首都医科大学硕士生导师。

电子邮件：1277692955@qq.com；地址：首都医科大学附属北京安贞医院，信息中心，100029，北京市朝阳区安贞路2号。

【责任编辑：陈曦 版式：明超】