賽門鐵克數字化醫(yī)院整體安全解決方案

1、賽門鐵克醫(yī)療行業(yè)解決方案丁俊文賽門鐵克軟件（北京）有限公司System Engineersteven_ding議程2醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4醫(yī)院信息系統(tǒng)建設的原始推動力現(xiàn)代醫(yī)療儀器依賴計算機和網絡醫(yī)療事故，醫(yī)患糾紛每年遵照醫(yī)囑吃錯藥造成死亡概率僅次于交通事故醫(yī)院是僅次于中東的危險地帶公共醫(yī)療成本不斷上升，政府和個人都不堪重負醫(yī)院必須依靠現(xiàn)代管理制度和全面信息化才能減少差錯增加效益減少支出龐大的醫(yī)院信息系

2、統(tǒng)門急診、住院、麻醉、手術、病歷。藥品、物資、財務，院長查詢、辦公。檢驗、放射、影像。Symantec定位為醫(yī)院信息系統(tǒng)提供基礎架構（想上什么子系統(tǒng)盡管上）為醫(yī)院信息系統(tǒng)提供安全保障（不停，不丟，可追查）為現(xiàn)代管理制度提供實現(xiàn)工具（紅頭文件落到實處）為醫(yī)患糾紛提供電子證據醫(yī)院信息系統(tǒng)的概貌以及如何反映醫(yī)院實力的指標業(yè)務網同辦公網物理隔離（網關隔離的案例極少）無線網絡已經有較多用戶使用以HIS（Hospital Information System）為核心構成業(yè)務系統(tǒng)從門急診系統(tǒng)發(fā)展而來目前已經涵蓋眾多業(yè)務系統(tǒng)檢驗(Laboratory Information System)，放射(Radiol

3、ogical Information System)，影像(Picture Archiving & Communication System )系統(tǒng)相對獨立，但以HIS為核心狹義HIS系統(tǒng)僅指某臺數據庫服務器，廣義HIS系統(tǒng)的范圍很大，涵蓋極為廣泛OA系統(tǒng)是主要的辦公系統(tǒng)業(yè)務系統(tǒng)操作系統(tǒng)平臺多樣UNIX（HP、IBM）是3甲醫(yī)院的首選，但也有例外Windows是最多被選擇的平臺業(yè)務系統(tǒng)數據庫平臺多樣Oracle、SQL Server、Sybase是使用最多的數據庫有少量使用DB2和Cach業(yè)務系統(tǒng)存儲硬件平臺多樣主要是IBM、HP、EMC（DELL/EMC）少量NetApp、HDS、國產（如H

4、3C）反映醫(yī)院實力的指標門急診量、病床數、年收入、每病床效益議程5醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4醫(yī)院信息系統(tǒng)（以HIS數據庫為核心）HIS DBLISPACSEMR醫(yī)保手術麻醉RIS院長查詢分析系統(tǒng)社保體檢、血庫容災需求分析主要業(yè)務系統(tǒng)HIS, RIS, LIS, PACS等RPO=0RTO20分鐘容災場地同一院區(qū)分院(同城)網絡狀況裸光纖高速千兆以太網用戶技術儲備極為有限BCP：無同步容災技術（鏡像或同步復

5、制）容災產品Storage FoundationVolume Replication自動切換技術-Cluster Server2+2 集群 （園區(qū)級容災）兩臺磁盤陣列實時鏡像，徹底解決磁盤陣列單點故障問題；將兩個節(jié)點分別部署在門診樓和住院樓，實現(xiàn)園區(qū)級別的系統(tǒng)容災。門診樓住院樓GAB/LLT over EthernetSymantec Volume案例：無錫第一人民醫(yī)院數據容災利用VERITAS Storage Foundation HA在兩臺高性能光纖磁盤陣列之間實現(xiàn)數據的實時同步鏡像，保證在任何一臺磁盤陣列發(fā)生故障的時候不會丟失任何數據將鏡像的兩臺磁盤陣列分別部署在兩個機房，從而實現(xiàn)數據的

6、實時容災容災的數據包括HIS、LIS、PACS數據庫等數據歸檔管理的索引數據可將磁帶作異地保存以實現(xiàn)更遠距離的容災應用容災采用VERITAS Storage Foundation HA軟件將多臺服務器構成一個整體的集群環(huán)境HIS、LIS、PACS、數據庫等主服務器，都有專門的熱備服務器作為后備將熱備服務器部署在容災機房，當第一機房服務器發(fā)生大面積癱瘓的時候，在第二機房可以保證HIS、LIS、PACS系統(tǒng)繼續(xù)運行Symantec在醫(yī)院案例中的幾種容災形式門診樓住院樓GAB/LLT over EthernetSymantec Volume門診樓住院樓GAB/LLT over EthernetSym

7、antec Volume單備機方案雙備機方案Symantec在醫(yī)院案例中的幾種容災形式門診樓住院樓GAB/LLT over EthernetSymantec Volume門診樓住院樓GAB/LLT over EthernetSymantec VolumeRAC鏡像方案RAC鏡像+備機方案達到的效果徹底防止任何硬件的單點故障通過SAN的擴展實現(xiàn)樓宇之間的容災服務器實現(xiàn)最優(yōu)化的熱備份策略靈活的存儲管理，包括在線擴容等適用范圍：具有裸光纖連接的兩個機房議程15醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案S

8、ymantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4PACS系統(tǒng)的架構DB&FilePACS DB和影像文件在一臺服務器上PACS DB使用內置磁盤存放或存放于SAN(數據庫很小)影像文件（幾十T）單獨存放于一臺服務器上DBDBPACS DB使用內置磁盤存放或存放于SAN(數據庫很小)影像文件（幾十T）單獨存放于NAS上初級國內主流圖像P:20090624xxxx或圖像主機名20090624xxxx圖像P:20090624xxxx網絡共享最優(yōu)方案網絡共享圖像P:20090624xxxx或圖像主機名20090624xxxxPACS數據面臨的幾大問題PACS：Picture

9、 Archiving & Communication SystemMini PACS：幾臺放射設備的聯(lián)網Radiology PACS：放射科內所有影像設備的聯(lián)網Hospital PACS：全院整體化PACS，實現(xiàn)全院影像資源的共享PACS與RIS和HIS融合，醫(yī)院管理系統(tǒng)中，PACS系統(tǒng)將占據醫(yī)學診斷分析主導地位如何有效降低數據存儲硬件投資（幾十至幾百T數據）如何進行數據備份（99%的PACS影像數據沒有備份）如何提高響應速度（全院級PACS，幾百萬至幾千萬個文件）如何避免年年擴容中的痛苦（每年都有PACS存儲采購）如何符合法規(guī)要求（就診檔案保存15年）如何容災(DB和影像文件)我們的客戶長期

10、影像Symantec針對PACS系統(tǒng)的海量存儲方案DB&近期影像FCFCFCFCFCFCFCFCFCFC長期影像DB&近期影像FCFCFC鏡像鏡像高速LAN主PACS DB(SF HA)備PACS DB(SF HA)磁帶庫等備份設備PACS影像訪問節(jié)點（File Store）PACS影像訪問節(jié)點（File Store）PACS影像專用備份節(jié)點(NBU)長期影像Symantec針對PACS系統(tǒng)的海量存儲方案DB&近期影像FCFCFCFCFCFCFCFCFCFC長期影像DB&近期影像FCFCFC高速LAN主PACS DB(SF HA)備PACS DB(SF HA)磁帶庫等備份設備PACS影像訪問節(jié)

11、點（File Store）PACS影像訪問節(jié)點（File Store）PACS影像專用備份節(jié)點(NBU)Symantec解決方案在PACS影像數據訪問上的優(yōu)勢如何有效降低數據存儲硬件投資可以使用不同的SAN存儲硬件利用分級存儲可以高低搭配，3個月內的影像存放在高速設備，超過3各月存放于低速設備如何進行數據備份專門配置的filestor數據備份節(jié)點，使影像數據訪問節(jié)點無需參與備份內置快照功能如何提高響應速度Load balance技術提供多影像訪問節(jié)點，并且無縫擴展Filestor內置storage foundation CFS對底層進行條帶優(yōu)化Filestor單一文件系統(tǒng)支持2億個文件如何避免

12、年年擴容中的痛苦支持異構存儲硬件支持在線擴容如何符合法規(guī)要求Filestor支持歸檔解決方案(enterprise Vault)如何容災內置園區(qū)級容災技術(RPO=0,RTO15分鐘)議程21醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4PACS影像數據歸檔的需求PACS：Picture Archiving & Communication SystemMini PACS：幾臺放射設備的聯(lián)網Radiology PACS：放射科

13、內所有影像設備的聯(lián)網Hospital PACS：全院整體化PACS，實現(xiàn)全院影像資源的共享PACS與RIS和HIS融合，醫(yī)院管理系統(tǒng)中，PACS系統(tǒng)將占據醫(yī)學診斷分析主導地位如何符合法規(guī)要求“門（急）診病歷檔案的保存時間自患者最后一次就診之日起不少于15年”衛(wèi)生部醫(yī)療機構病歷管理規(guī)定 2002.9.1Filestor支持歸檔解決方案(enterprise Vault)我們的客戶Enterprise Vault:優(yōu)秀的PACS數據管家醫(yī)療儀器層（數據產生源）數據存儲/處理層（訪問服務端）影像工作站層（訪問客戶端）光纖SATA磁帶庫Enterprise Vault 典型的PACS歸檔方案歸檔服務器

14、Enterprise VaultPACS服務器全光纖磁盤陣列在線存儲設備大容量NAS近線存儲設備LAN長期影像（3-12月）Symantec針對PACS系統(tǒng)的歸檔解決方案DB&近期影像（3個月)FCFCFCFCFCFCFCFCFCFC長期影像(3-12月)DB&近期影像（3個月）FCFCFC高速LAN主PACS DB(SF HA)備PACS DB(SF HA)磁帶庫等備份設備PACS影像訪問節(jié)點（File Store）PACS影像訪問節(jié)點（File Store）PACS影像專用備份節(jié)點(NBU)歸檔影像歸檔影像鏡像歸檔服務器（Enterprise Vault）長期影像（3-12月）Symant

15、ec針對PACS系統(tǒng)的歸檔解決方案DB&近期影像（3個月)FCFCFCFCFCFCFCFCFCFC長期影像(3-12月)DB&近期影像（3個月）FCFCFC高速LAN主PACS DB(SF HA)備PACS DB(SF HA)磁帶庫等備份設備PACS影像訪問節(jié)點（File Store）PACS影像訪問節(jié)點（File Store）PACS影像專用備份節(jié)點(NBU)歸檔影像歸檔影像歸檔服務器（Enterprise Vault）Presentation Identifier Goes Here2710 TB歸檔空間減少信息存儲并把大部分數據遷移至歸檔中只讀大部分已歸檔數據是靜態(tài)的（不需要重復備份）備

16、份歸檔儲存優(yōu)化的備份2009年1季度2009年2季度2009年3季度2009年4季度2010年1季度PACS數據及副本分布情況12個月PACS高速存儲2（鏡像）PACS低速存儲2（鏡像）歸檔系統(tǒng)1 or 2(鏡像)1 or 2(鏡像)1 or 2(鏡像)備份磁帶1 or 2Symantec Enterprise Vault解決方案的特點用戶可以使用DAS, SAN, NAS等各種不同存儲硬件可以同海量影像存儲解決方案FileStor集成可以直接構建在用戶現(xiàn)有PACS存儲構架上擴容方便，用戶可以“持續(xù)”采用最具性價比的存儲硬件進一步優(yōu)化存儲空間PACS系統(tǒng)中只保留12個月的影像數據，數據訪問效率

17、提高所有數據（無論新舊）都在當天晚上歸檔至后臺歸檔庫（廉價存儲器）由于近期影像數據存有2份（PACS和歸檔系統(tǒng)各一份），日常備份針對歸檔庫內超過1年的數據，并且備份1次即可管理更容易，應用透明對PACS應用透明，無需更改應用軟件滿足法規(guī)對醫(yī)療記錄保存的強制要求議程30醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4醫(yī)療用戶對備份的需求需要備份的系統(tǒng)多：一般10個以上數據量各系統(tǒng)不同依次為PACS(幾十T，文件),EMR(幾百G

18、-幾T，文件),HIS（幾十G-幾百G，數據庫）備份窗口較小:主要系統(tǒng)為幾十分鐘至2小時長期影像（3-12月）Symantec數據備份解決方案DB&近期影像（3個月)FCFCFCFCFCFCFCFC高速LAN主PACS DB(SF HA)磁帶庫等備份設備PACS影像訪問節(jié)點（File Store）PACS影像專用備份節(jié)點(NBU)歸檔影像歸檔服務器（Enterprise Vault）FCFCHIS DB服務器NBU Master ServerPACS DBHIS DBFCEV DB & index議程33醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數

19、據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 45個月嬰兒患眼疾入院次日死亡XXX衛(wèi)生局召開新聞發(fā)布會，通報了調查結果及對相關責任人的處理決定。 -給予值班醫(yī)生XXX吊銷醫(yī)師執(zhí)業(yè)證書、行政開除處分；醫(yī)院院長對此次事件負有處置不力、初步調查結果不實等領導責任，給予其行政記大過、黨內嚴重警告處分；給予醫(yī)院黨委書記黨內嚴重警告處分。調查組連夜分別向醫(yī)患雙方當事人共33人次調查核實，并調閱了相關錄像資料，檢查了值班醫(yī)生使用的計算機等，形成了最終調查結果：患兒家屬的投訴情況基本屬實。在此次事件前期調查中，值班醫(yī)生隱瞞事實真相

20、，醫(yī)院調查手段簡單、調查深度不夠、調查結果與事實不符。調查結果表明，醫(yī)院值班醫(yī)生XXX在值班期間曾在QQ游戲上下過兩盤圍棋。在患兒家屬多次到護士站和醫(yī)生值班室請求醫(yī)生觀察病情的情況下，值班醫(yī)生僅觀察過患兒病情3次，存在失職行為。政府新聞發(fā)言人在12日下午的新聞發(fā)布會上表示，XXX醫(yī)院的這起事件引起市委、市政府領導的高度重視，省委常委、市委書記做出批示，要求對事件一查到底、嚴肅處理，并對醫(yī)療衛(wèi)生工作提出明確要求。衛(wèi)生部對XXX醫(yī)院事件做出通報稱，XXX醫(yī)院在“徐寶寶”事件中，存在相關醫(yī)務人員責任心不強；醫(yī)療安全核心制度執(zhí)行不嚴；事件處置不力等嚴重問題，造成不良社會影響。醫(yī)療用戶需要整體安全方案所

21、有醫(yī)院都已經有防病毒軟件、防火墻、入侵檢測等基本設施安全事件仍然時有發(fā)生，特別在辦公網內整體安全狀況無人能夠描述業(yè)務網同辦公網隔離高端用戶開始部署全院覆蓋的無線網絡以支持各種移動手持設備或工作站作為有線網絡的補充業(yè)務網不再是密不透風了Presentation Identifier Goes Here36安全建設建議流程 識別風險并開發(fā)相應的策略SOXPCI-DSSISO27001BASEL密碼訪問文件腳本RPC補丁服務端口法規(guī)配置漏洞事先評估事后審計證明有效性并判定趨勢 查詢報告收集記錄關聯(lián)分析管理控制并解決問題零日攻擊違規(guī)操作入侵防護合規(guī)性檢查事中控制安全性防護系統(tǒng)監(jiān)控文件監(jiān)控權限控制整體安

22、全解決方案的構成（1）事先評估主機漏洞掃描系統(tǒng)（ESM)（2）事中控制終端保護 終端防護系統(tǒng)（SEP)服務器保護 重點服務器防護系統(tǒng)(SCSP)網絡準入 準入控制系統(tǒng)(SNAC)（3）事后審計網絡安全管理平臺(SSIM)（4）基礎設施運維IT生命周期管理（Altiris）Presentation Identifier Goes Here38網絡準入控制堵住漏洞傳統(tǒng)的管理方式紅頭文件/通告Mail、電話通知安全管理規(guī)章制度罰款、通報批評身份認證安全認證準許接入終端接入失敗修復周期檢查拒絕隔離自愈(remediation)自馭(restrict quarantine)自御(protection)S

23、ymantec的方法 Network Access Control策略制定策略執(zhí)行全球安全情況訊息最新的漏洞和防護信息Global malicious attack signatures惡意的 IP地址s 和 URLs關聯(lián)規(guī)則輸入策略貫徹和弱洞管理主機和網絡策略依從主機和網絡漏洞資產發(fā)現(xiàn)桌面,網關,服務器安全防病毒,間諜軟件,廣告軟件郵件和群件安全反垃圾郵件和內容服務器,主機入侵檢測,防火墻邊界和網絡安全防火墻/虛擬專用網路由器和交換機網絡入侵檢測/入侵防御設備收集, 過濾, 歸并, 關聯(lián)存貯, 查詢, 審計, 報告分析, 排定優(yōu)先級, 響應信息安全IT 操作Security Informat

24、ion Manager關聯(lián)引擎工作流程補救工單任務策略 + 威脅 + 情報 + 資產以安全管理平臺使所有安全產品形成合力科學的基礎設施運維體系是安全的保障部署新系統(tǒng)OS部署網絡配置初始系統(tǒng)安裝定義資產硬件資產軟件資產固定資產分發(fā)軟件應用軟件升級病毒包問題管理遠程控制桌面幫助 升級硬件更新操作系統(tǒng)更新應用軟件更新PC 個性化遷移監(jiān)視/跟蹤采購輔助預定策略檢測非法軟件應用測量軟件授權管理安全管理端口/無線控制管理員密碼系統(tǒng)安全漏洞分析掃描、報告，補丁IT生命周期管理業(yè)務連續(xù)性軟件自動修復健康狀態(tài)管理沖突分析備份和恢復合約管理軟件許可證硬件租約服務水準協(xié)議采購淘汰安裝設置運作生產某醫(yī)院網絡安全產品部署議程42醫(yī)療行業(yè)信息系統(tǒng)介紹Symantec解決方案數據中心容災解決方案影像數據存儲解決方案影像數據歸檔解決方案數據備份解決方案整體網絡安全解決方案Symantec解決方案的價值Symantec醫(yī)療解決方案用戶 1 2 3 4Symantec解決方案的價值容災解決方案系統(tǒng)不停，數據不丟操作簡便，無人值守不捆綁硬件，選擇余地大影像數據存儲解決方案無縫擴展，按需部署并行訪問，擁有高性能分級存儲，節(jié)省