集團網(wǎng)絡(luò)改造、虛擬化數(shù)據(jù)中心系統(tǒng)項目建設(shè)方案

信息化建設(shè)項目報告

—網(wǎng)絡(luò)改造、虛擬化數(shù)據(jù)中心系統(tǒng)

設(shè)計單位：市立醫(yī)療集團信息中心

二。一三年七月

目錄

第一章項目概況

1.1項目名稱

市立醫(yī)療集團信息化建設(shè)項目

1.2項目單位

馬鞍山市市立醫(yī)療集團

1.3可行性研究報告編制單位

馬鞍山市市立醫(yī)療集團信息中心

1.4可行性研究報告編制依據(jù)

＞衛(wèi)生部印發(fā)的《醫(yī)院信息平臺技術(shù)解決方案（試行）》

＞衛(wèi)生部印發(fā)的《衛(wèi)生部電子病歷基本架構(gòu)與數(shù)據(jù)標準（試行）》

＞衛(wèi)生部印發(fā)的《綜合衛(wèi)生管理信息平臺建設(shè)指南（試行）》

＞衛(wèi)生部印發(fā)的《電子病歷系統(tǒng)功能應(yīng)用水平分級評價方法及標準（試

行）》

＞《馬鞍山市市立醫(yī)療集團十二五信息規(guī)劃報告》

1.5項目的建設(shè)內(nèi)容、目標和投資規(guī)模

1.5.1建設(shè)內(nèi)容

1、網(wǎng)絡(luò)改造

2、服務(wù)器、存儲虛擬化及虛擬化安全

1.5.2建設(shè)目標

一、網(wǎng)絡(luò)改造

1）整體內(nèi)網(wǎng)架構(gòu)建設(shè)實現(xiàn)星型網(wǎng)絡(luò)三層架構(gòu)，核心層、匯聚層、接入層。內(nèi)網(wǎng)

實現(xiàn)萬兆主干，千兆到桌面，部分影像樓宇實現(xiàn)萬兆接入上行；外網(wǎng)利舊內(nèi)

網(wǎng)設(shè)備實現(xiàn)千兆主干，千/百兆到桌面。

2）內(nèi)網(wǎng)核心層、匯聚層、接入層設(shè)備均實現(xiàn)線路設(shè)備冗余，主干設(shè)備實現(xiàn)冗余

虛擬化技術(shù)。

3）在集團數(shù)據(jù)中心實現(xiàn)全面的網(wǎng)絡(luò)虛擬化，做到計算、存儲、網(wǎng)絡(luò)的融合。

4）各分支機構(gòu)內(nèi)部統(tǒng)一光纖規(guī)劃建設(shè)：實現(xiàn)集團各分支機構(gòu)內(nèi)部線路統(tǒng)一部

署。

5）各分支機構(gòu)、特殊部門（醫(yī)療器械等）網(wǎng)絡(luò)實現(xiàn)VLAN劃分：根據(jù)醫(yī)療集團

實際情況及信息化管理需求進行合理、有效劃分。

二、虛擬化數(shù)據(jù)中心

1）應(yīng)用虛擬化技術(shù)進行現(xiàn)有服務(wù)器、存儲、網(wǎng)絡(luò)等設(shè)備的整合，實現(xiàn)虛擬化數(shù)

據(jù)中心智能集中式管理，提高設(shè)備利用率，降低設(shè)備購置和運維成本，降低

設(shè)備單點故障率；實現(xiàn)業(yè)務(wù)系統(tǒng)動態(tài)冗余管理和應(yīng)用負載均衡，提高業(yè)務(wù)系

統(tǒng)可用性；

2）建立虛擬化數(shù)據(jù)中心資源池，實現(xiàn)計算、存儲等資源動態(tài)分配，建立雙活數(shù)

據(jù)中心，實現(xiàn)同城范圍的容災(zāi)，消除計劃內(nèi)和計劃外停機，實現(xiàn)無停機機房

遷移；

3）實現(xiàn)持續(xù)數(shù)據(jù)保護，提升邏輯數(shù)據(jù)的保護能力，在一定時間范圍內(nèi)，能做到

恢復(fù)到任意時間點，出現(xiàn)邏輯數(shù)據(jù)損壞時，可以及時恢復(fù)，并做到數(shù)據(jù)損失

為0;

4）通過虛擬化安全防護軟件的防火墻、病毒防護、訪問控制、入侵檢測/入侵

防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能實現(xiàn)虛擬主機和虛擬系

統(tǒng)的全面防護；

5）使用第三方的ApplicationHA軟件，通過監(jiān)視和控制虛擬環(huán)境中的應(yīng)用程

序，實現(xiàn)關(guān)鍵業(yè)務(wù)應(yīng)用程序的高可用性。

1.5.3建設(shè)規(guī)模

項目涉及市立醫(yī)療集團下屬人民醫(yī)院（三級甲等）、婦幼保健院（二級甲等）、

市中醫(yī)院（二級甲等）、傳染病醫(yī)院及集團南部診療園區(qū)五個醫(yī)院和市立醫(yī)療集

團托管的八個社區(qū)服務(wù)中心。

網(wǎng)絡(luò)改造：采購高性能數(shù)據(jù)中心核心交換機冗余系統(tǒng)、高性能數(shù)據(jù)中心匯聚

交換機冗余系統(tǒng)1套，交要負責(zé)服務(wù)器及存儲的萬兆雙活上連，千兆/萬兆接入；

根據(jù)實際需求增加匯聚及接入層交換機，實現(xiàn)萬兆主干，千兆/萬兆到樓層，千

兆到桌面，雙鏈路建設(shè)。

虛擬化數(shù)據(jù)中心：通過采購24顆CPU或12臺物理服務(wù)器授權(quán)的服務(wù)器虛擬

化軟件、虛擬化安全防護軟件，20套ApplicationHA軟件，2臺存儲虛擬化設(shè)

備，1臺連續(xù)數(shù)據(jù)保護設(shè)備并增購一臺高性能存儲設(shè)備，綜合運用虛擬化技術(shù)在

信息中心主機房和南園災(zāi)備機房實現(xiàn)雙活數(shù)據(jù)中心，使用12臺高性能物理服務(wù)

器最多虛擬出90臺邏輯服務(wù)器。

1.6經(jīng)濟及社會效益

一、經(jīng)濟效益

本項目的實施對于馬鞍山市將直接和間接產(chǎn)生巨大的經(jīng)濟效益。

＞集中化的管控中心可以完成絕大部分的IT管理職能，大大減少了瑣碎

的管理事務(wù)，提高管理人員的生產(chǎn)效率；

＞降低總體擁有成本、提高投資回報率；

＞提高服務(wù)器、存儲和網(wǎng)絡(luò)等的資源利用率，從而降低硬件成本，降低運

營和維護成本，陳舊硬件和應(yīng)用系統(tǒng)的投資保護，提高了業(yè)務(wù)系統(tǒng)的可

用性，移動性和靈活性。

二、社會效益

從綠色環(huán)保角度看，本項目的建設(shè)可以做到“節(jié)能減排”，提高運營效率,

增強系統(tǒng)安全性，提升醫(yī)院整體服務(wù)水平，更好的為社會提供醫(yī)療服務(wù)。

1.7結(jié)論與建議

本項目建設(shè)規(guī)劃目標明確，建設(shè)步驟方案合理實用，前期準備工作考慮充分,

資金來源有保障，各方面的建設(shè)條件都很成熟。本項目建成后不僅社會效益明顯

（主要體現(xiàn)在提高醫(yī)院效率，提升為民服務(wù)水平兩個方面），還可以帶來間接的

經(jīng)濟效益。因此，該項目建設(shè)不但必要，而且可行，應(yīng)當(dāng)盡快規(guī)劃建設(shè)。

建議：

（1）本項目建設(shè)中應(yīng)加強系統(tǒng)規(guī)劃、管理培訓(xùn)和技術(shù)維護人員的培訓(xùn)，保證

系統(tǒng)建成后的正常運營和維護。

（2）該項目建設(shè)應(yīng)按照本市的有關(guān)規(guī)定，嚴格進行工程項目的管理。

（3）該項目建設(shè)要加強成本控制，有關(guān)項目建設(shè)的發(fā)包、分包應(yīng)通過公開招

標、擇優(yōu)選用。同時要積極運用技術(shù)經(jīng)濟的方法，努力降低成本。

第二章現(xiàn)狀

2.1項目單位概況

2.1.1單位職責(zé)、內(nèi)設(shè)及下屬機構(gòu)、人員編制和業(yè)務(wù)情況

馬鞍山市市立醫(yī)療集團（以下稱市立醫(yī)療集團）為市政府直屬正處（縣）級

事業(yè)單位，為社會公益類事業(yè)法人單位，承擔(dān)市政府辦醫(yī)職能，并由市政府授權(quán),

負責(zé)市級公立醫(yī)療機構(gòu)國有資產(chǎn)的投資、管理、運營。市立醫(yī)療集團設(shè)立管理機

關(guān)，根據(jù)職責(zé)和工作任務(wù)，管理機關(guān)內(nèi)設(shè)7個職能機構(gòu)，分別為辦公室、人力資

源部、財務(wù)部、規(guī)劃發(fā)展部、質(zhì)量與科技管理部、黨群工作部、干部保健辦公室。

市立醫(yī)療集團下轄市人民醫(yī)院（三級甲等）、市婦幼保健院（二級甲等）、市

中醫(yī)院（二級甲等）、開發(fā)區(qū)南部診療園區(qū)、市傳染病醫(yī)院、八個社區(qū)衛(wèi)生服務(wù)

站、臨床檢驗中心、藥品器械采購管理中心和信息中心等分支機構(gòu)?，F(xiàn)有職工總

人數(shù)2100余人，擁有開放病床總數(shù)1600余張。人民醫(yī)院現(xiàn)有臨床科室30個，

保健院現(xiàn)有臨床科室8個，中醫(yī)院現(xiàn)有臨床科室5個，傳染病醫(yī)院現(xiàn)有臨床科室

3個，開發(fā)區(qū)南部診療園區(qū)開設(shè)臨床科室6個。組織結(jié)構(gòu)圖如圖1所示:

圖1市立醫(yī)療集團組織架構(gòu)

2.1.2擬建項目與項目單位職責(zé)、業(yè)務(wù)的關(guān)系

馬鞍山市市國家公立醫(yī)院改革的試點城市之一，既是機遇也是責(zé)任，既肯定

了既有的改革工作，也對未來發(fā)展提出了更高的要求。為了保證已取得的改革成

果持續(xù)有效并滿足以信息化手段助力醫(yī)改的要求，市立醫(yī)療集團緊緊圍繞“打造

集團化數(shù)字醫(yī)院平臺”這一目標，積極開展“以病人為中心”的各項信息化項目

建設(shè)。為進一步貫徹國家“十二五”期間衛(wèi)生信息化建設(shè)規(guī)劃，今年集團將繼續(xù)

推進信息化基礎(chǔ)設(shè)施建設(shè)，完善集團網(wǎng)絡(luò)架構(gòu)體系，重點建設(shè)以云技術(shù)為基礎(chǔ)架

構(gòu)的虛擬化數(shù)據(jù)中心，進一步提升公立醫(yī)院的競爭力和可持續(xù)發(fā)展能力，為人民

群眾提供優(yōu)質(zhì)就醫(yī)服務(wù)，推動醫(yī)療衛(wèi)生事業(yè)快速健康發(fā)展。

2.2信息化現(xiàn)狀

2.2.1本單位或本領(lǐng)域信息化建設(shè)的整體框架規(guī)劃或設(shè)想

市立醫(yī)療集團衛(wèi)生信息化建設(shè)工作總的指導(dǎo)思想是，以服務(wù)和服從于“管辦

分開、政事分開”及“區(qū)域醫(yī)療資源重組”為核心內(nèi)容的“馬鞍山模式”的醫(yī)療

衛(wèi)生體制改革與發(fā)展為宗旨，以思路創(chuàng)新、機制創(chuàng)新、工作創(chuàng)新為動力，以促進

醫(yī)療衛(wèi)生服務(wù)能力和管理水平的提高為目標，以病人為中心，以‘'服務(wù)患者、服

務(wù)臨床”為宗旨，以建立智能型數(shù)字化醫(yī)院為方向，整合信息資源，綜合運用現(xiàn)

代信息技術(shù)，穩(wěn)步實效地推進集團信息化建設(shè)。充分利用信息技術(shù)提高集團現(xiàn)代

化管理水平和競爭實力，提升醫(yī)療服務(wù)質(zhì)量，為集團科學(xué)化、規(guī)范化發(fā)展及各項

工作的正常運轉(zhuǎn)提供信息化方面的有力保障，全面推進衛(wèi)生信息化建設(shè)健康、可

持續(xù)發(fā)展。

市立醫(yī)療集團現(xiàn)有信息系統(tǒng)30多個，使用了40多臺物理服務(wù)器，6臺性能

各異的存儲設(shè)備，隨著應(yīng)用系統(tǒng)的不斷增多和應(yīng)用集成的要求，還需要近20臺

的服務(wù)器，具體情況見表1。

表1市立醫(yī)療集團信息系統(tǒng)一覽表

序號項目名稱實施時間服務(wù)器及容災(zāi)情況

集團HIS系統(tǒng)2000年

集團LIS系統(tǒng)2004年

門診電子病歷系統(tǒng)2010.09現(xiàn)使用10臺服務(wù)器實現(xiàn)

門診排隊叫號系統(tǒng)2010.12雙機熱備、雙存儲，未實

1集團“一站式服務(wù)”現(xiàn)異地備份，如需實現(xiàn)異

2011.11

平臺地備份機制還需2臺服

集團“一卡通”系統(tǒng)2010.12務(wù)器。

集團臨床路徑管理系

2010.6

統(tǒng)

病案管理系統(tǒng)2001.08

使用臺服務(wù)器，臺低

2歷史病案翻拍查閱系12

2008.10端存儲。

統(tǒng)

集團住院電子病歷使用了3臺服務(wù)器，實現(xiàn)

2011.09

3(EMR)雙機熱備，共享一臺

電子病歷質(zhì)控服務(wù)器2011.9vnx5100存儲。

集團數(shù)據(jù)集成平臺

2011.3

(S0A)

集團運營管理系統(tǒng)使用了6臺服務(wù)器，實現(xiàn)

2011.3

4(HRP)了雙機熱備，共享一臺

集團藥品配送管理系vnx5100存儲。

2011.9

統(tǒng)

財務(wù)管理軟件2011.3

使用了臺服務(wù)器，實現(xiàn)

集團影像存檔與傳輸8

52011.10了雙機熱備，共享一臺

系統(tǒng)(PACS)

vnx5100存儲。

6集團合理用藥管理系2011.91臺單獨服務(wù)器

統(tǒng)

2臺服務(wù)器，1臺獨立低

7健康體檢管理系統(tǒng)2009.05

端存儲。

門診移動輸液管理系

82011.111臺單獨服務(wù)器

統(tǒng)

集團住院醫(yī)師規(guī)范化

92012.051臺單獨服務(wù)器

培訓(xùn)管理系統(tǒng)

10干部保健管理系統(tǒng)2009.031臺單獨服務(wù)器

11百信源內(nèi)網(wǎng)管理軟件2009.61臺單獨服務(wù)器

網(wǎng)絡(luò)版殺毒軟件2012.11

121臺單獨服務(wù)器

內(nèi)網(wǎng)及時通訊軟件2013.1

手術(shù)麻醉與ICU系需服務(wù)器6臺，無存儲空

13在建項目

統(tǒng)間。

機房及網(wǎng)絡(luò)IT運維系

142012.111臺單獨服務(wù)器

統(tǒng)

各業(yè)務(wù)系統(tǒng)所需應(yīng)用預(yù)計需5臺，目前均與其

15

服務(wù)器他業(yè)務(wù)系統(tǒng)共用。

HQMS醫(yī)療數(shù)據(jù)上報系

16籌建項目需1臺單獨服務(wù)器

統(tǒng)

17醫(yī)療信息發(fā)布平臺2011.31臺單獨服務(wù)器

1臺單獨服務(wù)器，內(nèi)置大

18醫(yī)學(xué)數(shù)字圖書館2009.11

容量硬盤

19辦公OA系統(tǒng)2008.121臺單獨服務(wù)器

20集團網(wǎng)站2008.81臺單獨服務(wù)器

社區(qū)綜合信息管理系

21籌建項目預(yù)計需要3臺服務(wù)器

統(tǒng)

22測試服務(wù)器急需3臺以上服務(wù)器。

目前集團在用的業(yè)務(wù)系統(tǒng)有三十多個，只有少數(shù)幾個核心系統(tǒng)實現(xiàn)了雙機熱

備，數(shù)據(jù)異地容災(zāi)還沒有有效的建立起來，許多重要的業(yè)務(wù)系統(tǒng)還是單機運行模

式，有著很大的安全隱患；業(yè)務(wù)系統(tǒng)的管理也面臨著很大的壓力，由于部分服務(wù)

器使用已達5年，服務(wù)器硬件的穩(wěn)定性越來越差，故障恢復(fù)時間也比較長。

目前使用的服務(wù)器數(shù)量40多臺，存儲6臺，沒有形成有效的集中管理機制,

造成大量的服務(wù)器作為備機閑置，同時少數(shù)核心服務(wù)器負載過重，存儲空間整體

上不夠用而局部存儲空間大量閑置的問題等，按照原有的方式還需要20臺以上

服務(wù)器才能基本滿足業(yè)務(wù)發(fā)展需求。根據(jù)集團實際情況和業(yè)務(wù)發(fā)展的需要，擬建

立虛擬化數(shù)據(jù)中心，構(gòu)建基于云技術(shù)的虛擬化平臺，通過簡化業(yè)務(wù)基礎(chǔ)架構(gòu)創(chuàng)建

更動態(tài)、更靈活的虛擬化雙活數(shù)據(jù)中心，提高業(yè)務(wù)敏捷性，消除計劃內(nèi)和計劃外

停機；應(yīng)用虛擬化技術(shù)進行服務(wù)器、存儲、網(wǎng)絡(luò)的整合從而實現(xiàn)業(yè)務(wù)系統(tǒng)災(zāi)備、

高效的管理和成本的節(jié)約。

一、網(wǎng)絡(luò)

從上面整理的網(wǎng)絡(luò)拓撲圖中可以看出，目前醫(yī)療集團網(wǎng)絡(luò)分為四個層次：邊

界接入層，核心層，匯聚層，接入層。主干均采用光纖線路，實現(xiàn)千兆主干，百

兆到桌面。集團內(nèi)各分支機構(gòu)通過光纖專線連接，實現(xiàn)了互聯(lián)互通、獨立的物理

內(nèi)、外網(wǎng)絡(luò)。

邊界接入層：邊界接入層主要功能為對外提供安全的數(shù)據(jù)訪問，如與農(nóng)合、

醫(yī)保、銀行、醫(yī)藥公司等的數(shù)據(jù)交換；

核心層：核心交換機采用一臺模塊化交換機，通過千兆光纖連接到匯聚交換

機；

匯聚層：匯聚層設(shè)備采用的是千兆系列交換機；

接入層：接入層設(shè)備采用的是百兆端口接入交換機。

二、遠程連接

在內(nèi)部網(wǎng)上，暫時未提供任何外部遠程連接，所以院內(nèi)業(yè)務(wù)均需在院內(nèi)完成;

在集團層面，可以直接訪問外部網(wǎng)；

三、服務(wù)器、存儲及網(wǎng)絡(luò)設(shè)備

集團的服務(wù)器主要以PC服務(wù)器為主，主要作用是作為各應(yīng)用系統(tǒng)的中央數(shù)

據(jù)服務(wù)器，集團內(nèi)的很多小型信息系統(tǒng)采用普通PC機作為服務(wù)器；

＞核心交換機：1臺

＞匯聚交換機：12

＞接入交換機：100

＞服務(wù)器：40臺

＞存儲6臺：EMC-51001臺、EMC-2402臺、EMC-1201臺、HP低端存

儲2臺

四、操作系統(tǒng)

集團內(nèi)使用的電腦主要使用Windows操作系統(tǒng)。在內(nèi)網(wǎng)，主要使用北信源內(nèi)

網(wǎng)管理軟件來對所有的內(nèi)網(wǎng)機器進行管理，同時使用金山毒霸殺毒軟件來完成內(nèi)

網(wǎng)系統(tǒng)的殺毒。

五、數(shù)據(jù)庫

使用了DB2、Oracle.MSSQLServer、MySQL數(shù)據(jù)庫管理系統(tǒng)。

六、桌面系統(tǒng)

集團內(nèi)主要采用Windows系統(tǒng)作為桌面操作系統(tǒng)。

七、信息安全

完整的信息安全機制應(yīng)該從技術(shù)手段和行政手段兩個角度入手：在技術(shù)手段

上，集團采用內(nèi)外網(wǎng)物理隔離的方法來保證內(nèi)部診療信息的安全，同時在內(nèi)網(wǎng)使

用了網(wǎng)絡(luò)管理軟件，以防止不合法的訪問。

八、容災(zāi)備份系統(tǒng)

HIS、LIS實現(xiàn)了完整的雙機熱備機制，EMR、PACS、SOA、HRP實現(xiàn)了雙機

熱備，但是數(shù)據(jù)都運行在一臺EMC5100存儲上，沒有實現(xiàn)數(shù)據(jù)備份機制。所有系

統(tǒng)尚未實現(xiàn)異地容災(zāi)。

第三章項目的需求分析

3.1項目建議的背景

衛(wèi)生部等五部委頒布的《關(guān)于公立醫(yī)院改革試點的指導(dǎo)意見》，在全國范

圍內(nèi)確定了17個試點城市，馬鞍山市位列其中。特別要指出的是，此次《指導(dǎo)

意見》明確提出了信息化建設(shè)對于醫(yī)療改革的重要性，要求研究制訂醫(yī)療機構(gòu)內(nèi)

部信息管理的規(guī)定和標準，充分利用現(xiàn)有資源逐步建立醫(yī)療機構(gòu)之間的互聯(lián)互通

機制，構(gòu)建便捷、高效的集團醫(yī)院信息平臺，與區(qū)域衛(wèi)生信息平臺連接、以電子

病歷和醫(yī)院管理為重點的集團醫(yī)院信息化網(wǎng)絡(luò)，支持馬鞍山市推進公立醫(yī)院改革

工作，促進公立醫(yī)院改革目標的實現(xiàn)。

依據(jù)《中共中央國務(wù)院關(guān)于深化醫(yī)藥衛(wèi)生體制改革的意見》和《基于健康檔

案的區(qū)域衛(wèi)生信息平臺建設(shè)指南》，配合衛(wèi)生部印發(fā)的《電子病歷基本規(guī)范（試

行）》和《醫(yī)院信息平臺技術(shù)解決方案（試行）》，結(jié)合馬鞍山市衛(wèi)生事業(yè)發(fā)展實

際情況，構(gòu)建“健康馬鞍山”的發(fā)展需要，在“十二五”期間，利用五年時間，

以市民健康管理為核心，加快建設(shè)市立醫(yī)療集團信息化建設(shè)，通過網(wǎng)絡(luò)改造、虛

擬化數(shù)據(jù)中心和移動醫(yī)護應(yīng)用臨床信息系統(tǒng)等項目的上線，實現(xiàn)各醫(yī)療機構(gòu)臨床

工作效率的提升，醫(yī)政管理能力的提升，實現(xiàn)集團內(nèi)醫(yī)療衛(wèi)生行政部門、醫(yī)療衛(wèi)

生服務(wù)機構(gòu)的互聯(lián)互通、資源共享；促進集團內(nèi)衛(wèi)生資源在信息化條件下的優(yōu)化

組合，實現(xiàn)各類醫(yī)療數(shù)據(jù)更好的對接，做到共享衛(wèi)生和信息資源，增強防疫監(jiān)控、

慢病管理、應(yīng)急處置和救治能力。

3.2業(yè)務(wù)現(xiàn)狀、存在的具體問題和業(yè)務(wù)目標

市立醫(yī)療集團使用電信運營商的裸光纖將幾家醫(yī)院的網(wǎng)絡(luò)連接在一起，在整

個集團層面形成統(tǒng)一的內(nèi)部網(wǎng)以及統(tǒng)一的外部網(wǎng)，所有的醫(yī)院信息化業(yè)務(wù)如HIS、

LIS等均在內(nèi)部網(wǎng)使用，同時為了保證內(nèi)部網(wǎng)的數(shù)據(jù)安全，內(nèi)部網(wǎng)與外部網(wǎng)之間

采用物理隔離；中心機房內(nèi)網(wǎng)一臺千兆核心交換機，接入層交換機為低端產(chǎn)品，

不支持三層交換，單鏈路，單點故障風(fēng)險突出；無網(wǎng)絡(luò)分析軟件；內(nèi)網(wǎng)在一個B

類網(wǎng)段內(nèi)，沒有進行VLAN劃分。內(nèi)外網(wǎng)數(shù)據(jù)交換主要通過移動硬盤、U盤等移

動存儲設(shè)備進行，效率和安全性較差，無網(wǎng)閘設(shè)備；醫(yī)保、農(nóng)合、銀行等系統(tǒng)接

入設(shè)置了硬件防火墻，無防病毒網(wǎng)關(guān)，外網(wǎng)WEB應(yīng)用軟件無WEB應(yīng)用防護設(shè)備。

市立醫(yī)療集團數(shù)據(jù)中心目前以X86服務(wù)器為主，運行著三十多個應(yīng)用系統(tǒng)。

目前x86服務(wù)器數(shù)量四十余臺，其中大部分服務(wù)器負載非常小，沒有達到充分利

用的狀態(tài)。不同服務(wù)器之間配置、性能和負載差別較大，還有些設(shè)備已十分陳舊，

可靠性低，性能較差，急需更新。存儲系統(tǒng)，包括1臺EMCVNX5100存儲、2臺

EMCCX4-210用StorageFoundation做2+2集群；1臺EMCCX4-120存儲部署在

備份機房，用BackupExec做遠程備份。隨著系統(tǒng)的不斷增多，信息系統(tǒng)的維護

工作給信息中心帶來了很大的壓力；隨著應(yīng)用的深入，新系統(tǒng)不斷地增多，如果

采用購買新機器的方式支撐應(yīng)用系統(tǒng)發(fā)展，必然造成極大的運算資源和資金的浪

費；原有的一些系統(tǒng)由于負載的增加和系統(tǒng)優(yōu)化的需要，必須進行負載均衡和容

災(zāi)備份，而采用購買新設(shè)備的方式，顯然有些耗費過大?；谏鲜銮闆r，決定采

用以虛擬方式實現(xiàn)IT系統(tǒng)的簡化。

3.2.2存在的具體問題

集團各醫(yī)院間的網(wǎng)絡(luò)連接為單鏈路，中心機房只有一臺千兆核心交換機，接

入層交換機為低端產(chǎn)品，不支持三層交換和客戶端綁定，單點故障風(fēng)險十分突出；

缺少網(wǎng)絡(luò)監(jiān)控和分析軟件，排除網(wǎng)絡(luò)故障困難；內(nèi)網(wǎng)在一個B類網(wǎng)段內(nèi)，沒有進

行VLAN劃分，網(wǎng)絡(luò)風(fēng)暴和管理難度大。

服務(wù)器性能低下，部分服務(wù)器都是很久以前采購的服務(wù)器,服務(wù)器已經(jīng)過保，

且很多業(yè)務(wù)開始并未考慮雙機熱備，服務(wù)器的性能和穩(wěn)定性已經(jīng)得不到保障。利

用效率低下，由于每種業(yè)務(wù)運行都有高峰和低谷的周期，服務(wù)器不得不分別按照

峰值配備，大量時間運行空閑，再加上可靠性考慮分別配置雙機，不得不犧牲更

多的計算資源。運維成本居高不下，由于服務(wù)器數(shù)量越來越多，對數(shù)據(jù)中心的空

間、網(wǎng)絡(luò)、耗電、制冷等消耗越來越大，成本越來越高。由于多個系統(tǒng)用多臺存

儲這種分散式結(jié)構(gòu)要求在單個系統(tǒng)層次上頻繁地進行性能調(diào)節(jié)和資源調(diào)節(jié)。在維

護和支持上會造成額外的財務(wù)、運營和業(yè)務(wù)費用。同時，分散式結(jié)構(gòu)也難以實現(xiàn)

容災(zāi)和可用性。管理復(fù)雜，響應(yīng)速度滯后，每個業(yè)務(wù)系統(tǒng)的服務(wù)器的安裝、升級、

維護，以及高可用性和災(zāi)難備份沒有統(tǒng)一的管理手段，只能因系統(tǒng)而異，管理難

度大，無法響應(yīng)業(yè)務(wù)系統(tǒng)的要求。隨著醫(yī)院信息化的發(fā)展，HIS系統(tǒng)，LIS系統(tǒng)，

PACS系統(tǒng)等重要系統(tǒng)對安全性，可靠性的要求越來越高。硬件設(shè)備數(shù)量越來越

多、硬件設(shè)備利用率越來越低、維護與運營成本越來越高、設(shè)備占用空間越來越

大。面對上述問題，我們必須采取措施對現(xiàn)有IT系統(tǒng)進行全面改造。

3.2.3業(yè)務(wù)目標

基于上述情況，必須采取措施對現(xiàn)有網(wǎng)絡(luò)和信息系統(tǒng)進行全面改造，采用虛

擬化技術(shù)實現(xiàn)信息系統(tǒng)的簡化，以達到以下業(yè)務(wù)目標：

全面的網(wǎng)絡(luò)虛擬化，計算、存儲、網(wǎng)絡(luò)的融合，實現(xiàn)萬兆主干，千兆到樓層，

百兆/千兆到桌面，實現(xiàn)內(nèi)網(wǎng)物理鏈路熱備份，節(jié)點交換機采用雙鏈路；現(xiàn)全路

由組網(wǎng)模式，內(nèi)網(wǎng)所有交換機均支持三層交換，在接入層實現(xiàn)VLAN劃分，三層

交換、端口控制和訪問控制等放入接入層交換機上實現(xiàn)。

應(yīng)用虛擬化技術(shù)進行現(xiàn)有服務(wù)器、存儲、網(wǎng)絡(luò)等設(shè)備的整合，降低設(shè)備單點

故障率，提高設(shè)備利用率；建立虛擬化數(shù)據(jù)中心資源池，實現(xiàn)資源動態(tài)分配，提

高數(shù)據(jù)中心的可擴展性，使用虛擬化技術(shù)對現(xiàn)有IT資源進行整合，使用12臺雙

路服務(wù)器虛擬出90臺邏輯服務(wù)器，確保今后一段時間內(nèi)不需要購置新的服務(wù)器;

結(jié)合第三方HA軟件，采用虛擬化架構(gòu)實現(xiàn)業(yè)務(wù)系統(tǒng)的高可用性、系統(tǒng)容錯、災(zāi)

難恢復(fù)等；實現(xiàn)業(yè)務(wù)系統(tǒng)動態(tài)冗余管理和應(yīng)用負載均衡；實現(xiàn)數(shù)據(jù)集中備份與還

原，提高數(shù)據(jù)安全水平；應(yīng)用虛擬化技術(shù)實現(xiàn)異地容災(zāi)，消除計劃內(nèi)和計劃外停

機；實現(xiàn)無停機機房遷移；實現(xiàn)虛擬化數(shù)據(jù)中心智能集中式管理，降低設(shè)備購置

和運維成本。

3.3技術(shù)數(shù)據(jù)分析

3.3.1傳統(tǒng)方式與虛擬方式應(yīng)用的差異性

序號分項傳統(tǒng)架構(gòu)虛擬架構(gòu)

1管理節(jié)點90臺12臺

2故障節(jié)點90臺12臺

如果按照每臺服務(wù)器

承載一種應(yīng)用，則為

按照每臺服務(wù)器虛擬6~8臺虛擬

90種，考慮到一臺服

機的話，可以實現(xiàn)90臺以上的邏

3承載應(yīng)用

輯服務(wù)器，可以輕松實現(xiàn)獨立承

務(wù)器上適當(dāng)部署多個

載150種應(yīng)用。

應(yīng)用，可以到承載150

種應(yīng)用

具有較強擴展性，可以根據(jù)系統(tǒng)

檢測的日志記錄，分析所有設(shè)備

傳統(tǒng)架構(gòu)不具備可擴展性，

的負載狀況，并根據(jù)負載狀況進

如果需要擴展，必須對硬件

4可擴展性行調(diào)整，及時調(diào)整每臺虛擬機（對

設(shè)備進行升級。而根據(jù)ITC

應(yīng)于傳統(tǒng)架構(gòu)的每臺服務(wù)器）的

的統(tǒng)計報告，

資源配置（CPU、內(nèi)存、磁盤容量

等）

不能進行動態(tài)的資源調(diào)配，

每臺物理服務(wù)器實際配置虛擬架構(gòu)可以實現(xiàn)動態(tài)的資源分

動態(tài)資源分

5如何，則其資源就固定為多配，實現(xiàn)用戶按照應(yīng)用來規(guī)劃IT

配

少，不能及時的更改，必須架構(gòu)而不是按照硬件來規(guī)劃IT

重新購買。

傳統(tǒng)架構(gòu)如果不單獨購買虛擬架構(gòu)本身就具有高可用的功

6可用性第三方容災(zāi)軟件，是無法實能，不需要額外購買第三方的容

現(xiàn)高可用的功能的，而且容災(zāi)軟件，可以直接上線服務(wù)器之

災(zāi)軟件是按照容災(zāi)的節(jié)點間的集群，任何一臺服務(wù)器出現(xiàn)

來計算費用，維護起來，技故障，其上的應(yīng)用均可被其他集

術(shù)人員的培養(yǎng)成本較高群內(nèi)里面的服務(wù)器接管

采用虛擬架構(gòu)的部署，在整個架

構(gòu)的部署上就具有安全性，管理

傳統(tǒng)方式需要借助安全管IP與應(yīng)用IP分層，同時虛擬架

7安全性理軟件才能實現(xiàn)安全的防構(gòu)本身帶有內(nèi)置防火墻，用戶的

護權(quán)限也具有分級控制的功能，可

以實現(xiàn)多個層面的安全控制，也

不需要增加額外的成本

傳統(tǒng)架構(gòu)需要管理員到達

虛擬架構(gòu)可以做到統(tǒng)一管理中心

機房進行單個節(jié)點的維護

對所有的虛擬機管理，用戶架構(gòu)

和管理，如果要在控制臺集

好系統(tǒng)后永遠不需要再進機房直

中控制,則必須購買KVM系

8可管理性接對硬件設(shè)備進行操作，用戶只

統(tǒng)，會產(chǎn)生額外的費用，而

需要在本機通過管理中心加密傳

且，在進行人員權(quán)限控制

輸進行管理，可以實現(xiàn)傳統(tǒng)方式

時，無法根據(jù)不同的人進行

的所有操作

分級別管理

虛擬架構(gòu)同樣可以實現(xiàn)傳統(tǒng)方式

的應(yīng)用負載，而且更加方便，每

一臺虛擬機就對應(yīng)原來的一臺物

理服務(wù)器，在傳統(tǒng)方式上可實現(xiàn)

的應(yīng)用負載架構(gòu)同樣可以在虛擬

傳統(tǒng)方式實現(xiàn)應(yīng)用負載是架構(gòu)上部署，同時虛擬架構(gòu)還可

9應(yīng)用負載借助第三方的負載軟件加以講所有的虛擬機變成模板部

上服務(wù)器來實現(xiàn)署，處于靜態(tài)方式，如果任何虛

擬機出現(xiàn)問題，可以及時用備用

機器代替，實現(xiàn)的時間也就是一

份鐘，而傳統(tǒng)的方式則需要重新

調(diào)試機器上的有關(guān)設(shè)置，至少需

要半天的時間。

根據(jù)統(tǒng)計，對于傳統(tǒng)的服務(wù)器應(yīng)用方式，通常服務(wù)器的平均利用率在5-15%

之間，而采用虛擬架構(gòu)整合后，服務(wù)器的平均利用率可達到60280雙我們以此

統(tǒng)計數(shù)據(jù)為基礎(chǔ)，來估算一下一臺高配置的服務(wù)器能夠支持的虛擬機的數(shù)量。為

了有一個可比較的參考性能值，我們選定SPECCPU2006的CINT2006Rates值做

為性能參考依據(jù)，SPECCPU2006的CINT2006Rates考察的是服務(wù)器多CPU情況

下的整數(shù)運算能力。首先，如果采用傳統(tǒng)的單臺物理服務(wù)器部署應(yīng)用的方式，假

定全部使用一臺雙路雙核IntelXeon3.16(X5460)GHzCPU的服務(wù)器，從SPEC

官方網(wǎng)站上，可查得其CINT2006Rates的結(jié)果為12.5。按照一般服務(wù)器的利用

率情況，假定平均單臺服務(wù)器利用率在10%左右，則一個應(yīng)用環(huán)境實際消耗掉

12.5*10%=1.25個口股20061^165值。為了進行服務(wù)器虛擬化整合，我們假設(shè)配

置3臺IBM3650M3服務(wù)器，從SPEC官方網(wǎng)站上，可查得其CINT2006Rates的

結(jié)果為33。服務(wù)器采用虛擬化整合后，利用率可達到601V80%我們按照保守的

60%來計算，則整合后的服務(wù)器共消耗掉33*60%=19.8個CINT2006Rates值。于

是，我們可以計算出，一臺IBM的兩路服務(wù)器，可以配置出19.8/1.25=15個相

當(dāng)于雙路雙核的服務(wù)器效率能力的虛擬機，而這已經(jīng)是很保守的計算了。在實際

應(yīng)用中，很多時候，完全可以按照一個CPU可以配置6~8臺相同CPU處理能力的

虛擬機來計算。

通過上面的計算，我們完全可以通過在12臺兩路服務(wù)器上創(chuàng)建多達90個的

虛擬服務(wù)器的方式，來完成傳統(tǒng)方式需要90臺雙路雙核服務(wù)器才能完成的工作,

用戶在降低成本的方式，還大大減少了環(huán)境的復(fù)雜性，降低了對機房環(huán)境的需求,

同時具有更靈活穩(wěn)定的管理特性。

采用虛擬架構(gòu)相比于傳統(tǒng)單臺服務(wù)器部署單一應(yīng)用方式的另外一個好處是，

可以充分滿足不同應(yīng)用對系統(tǒng)資源的不同要求，如有的應(yīng)用只需要一個3.0GHz

CPU,512MB的內(nèi)存就可以很好的運行，而有的高訪問率、高吞吐量的應(yīng)用則需要

2個甚至是4個雙核的CPU,16GB的內(nèi)存才能保證穩(wěn)定的運行，在傳統(tǒng)方式下，

往往不可能針對每一種應(yīng)用來采購服務(wù)器，而是用一種或幾種標準配置的服務(wù)器

來統(tǒng)一采購，這樣，勢必會造成某些應(yīng)用資源富裕，而另一些應(yīng)用面臨資源緊張

的情況，且應(yīng)用之間不能互相調(diào)配資源。采用虛擬架構(gòu)后，由于每個虛擬機所需

使用的系統(tǒng)資源都是由虛擬架構(gòu)軟件統(tǒng)一調(diào)配，這種調(diào)配可以在虛擬機運行過程

中在線的發(fā)揮作用，使得任何一個應(yīng)用都可以有充分保證的資源來穩(wěn)定運行，同

時，該應(yīng)用在此時用不到的資源又可以被其他更需要資源的應(yīng)用臨時借用過去，

最大限度的提高了整體系統(tǒng)的資源利用率。

3.3.3虛擬化HA集群功能存在的不足

如上圖所示，上圖中左邊是生產(chǎn)服務(wù)器，右邊是備用服務(wù)器。當(dāng)左邊生產(chǎn)

服務(wù)器硬件故障后，虛擬化HA集群功能能快速的將該主機上虛擬機迅速的切換

到備用主機。分析虛擬化HA集群功能集群存在以下問題：

1、所有虛擬化HA集群構(gòu)架內(nèi)的切換都不能防止虛擬機OS的不可還原故

障。由于虛擬化HA集群功能有別于傳統(tǒng)HA構(gòu)架，在傳統(tǒng)HA構(gòu)架內(nèi)永遠有多余

1個OS實例運行，而在虛擬化HA集群功能內(nèi)永遠只有1個OS實例。若虛擬機OS

發(fā)生不可還原的故障，則在虛擬機HA構(gòu)架內(nèi)，無論如何切換皆無法啟動此虛擬

主機，也就造成應(yīng)用無限期中斷。

2、單純的虛擬化HA軟件僅考慮ESX/ESXi物理機停機或者虛擬機停機，并

未考慮虛擬機內(nèi)應(yīng)用的故障或者構(gòu)成虛擬機內(nèi)應(yīng)用的關(guān)鍵部件故障。同時，虛

擬化HA也未對于中大型虛擬環(huán)境系統(tǒng)的容災(zāi)切換。容災(zāi)切換一般牽涉到多個虛

擬環(huán)境的切換關(guān)聯(lián)。如下表

業(yè)務(wù)可持續(xù)需求業(yè)務(wù)可持續(xù)需求VMware自有集群管

發(fā)生頻率理功能

應(yīng)用程序故障切換最高不支持

同一系統(tǒng)內(nèi)應(yīng)用程序的有序啟動最高不支持

管理人員誤操作導(dǎo)致的故障高不支持

配置變更高不支持

系統(tǒng)當(dāng)機高滿足

網(wǎng)卡故障切換高不支持

存儲故障切換中不支持

虛擬機故障切換1I1滿足

物理主機故障切換高滿足

數(shù)據(jù)中心災(zāi)難低部分滿足

通過上面的表格，我們可以看到虛擬化HA主要是對ESX所在地物理主機故

障進行監(jiān)控，而對每個虛擬機內(nèi)部應(yīng)用是無法監(jiān)控的。在實際生產(chǎn)中數(shù)據(jù)中心

管理人員也發(fā)現(xiàn)大量的應(yīng)用故障虛擬化軟件根本不去切換，將小故障變成了長

時間無法恢復(fù)業(yè)務(wù)的大故障。從上述的對比可以看出，虛擬機HA只能滿足基本

的系統(tǒng)當(dāng)機切換要求，虛擬化數(shù)據(jù)中心迫切需要一種針對“端到端”的高可用

解決方案，來彌補虛擬機HA的不足。

3、第三方的應(yīng)用程序HA解決方案，通過前文所述，虛機HA的缺陷就是無

法監(jiān)控虛擬機內(nèi)部應(yīng)用，而應(yīng)用故障是發(fā)生頻率最高的故障，通過與虛機HA進

行集成解決這一缺陷。ApplicationHA負責(zé)監(jiān)控虛擬機內(nèi)部應(yīng)用然后與虛機HA

進行聯(lián)動。

市立醫(yī)療集團數(shù)據(jù)增長速度非常之快，而管理數(shù)據(jù)能力的提高速度總是遠遠

落在后面。通過存儲的虛擬化，屏蔽硬件差異性，實現(xiàn)后端存儲可靠性和可用性,

實現(xiàn)跨異構(gòu)陣列的數(shù)據(jù)遷移，可以簡化頻繁遷移的難度、復(fù)雜程度。支持跨站點

數(shù)據(jù)遷移和定位，可以實現(xiàn)站點陣列和虛擬數(shù)據(jù)的遷移，提升雙數(shù)據(jù)中心或多數(shù)

據(jù)中心的可用性及靈活性。將存儲資源虛擬成一個“存儲池”，把許多零散的存

儲資源整合起來，從而提高整體利用率，同時降低系統(tǒng)管理成本?？梢詫φ掀?/p>

來的存儲池進行劃分，以最高的效率、最低的成本來滿足各類不同應(yīng)用在性能和

容量等方面的需求。

3.3.4雙活數(shù)據(jù)中心

結(jié)合虛擬服務(wù)器和虛擬存儲技術(shù)，實現(xiàn)雙活數(shù)據(jù)中心。兩個數(shù)據(jù)中心均運行

日常應(yīng)用，一方面，某一數(shù)據(jù)中心在出現(xiàn)災(zāi)難時，不需要進行切換，另一個數(shù)據(jù)

中心自動接管應(yīng)用，不會造成停頓，消除RT0,免除切換的各項復(fù)雜操作，不會

因為切換而造成各種風(fēng)險，另一方面，也完全消除了計劃性停機。利用存儲虛擬

化技術(shù)實現(xiàn)分布式聯(lián)合，跨數(shù)據(jù)中心透明地移動和共享工作負載（包括整個虛擬

機）、整合數(shù)據(jù)中心，以及優(yōu)化資源利用率。把應(yīng)用、數(shù)據(jù)從物理資源中解放出

來，所有的資源變成按需分配可付資源，應(yīng)用加數(shù)據(jù)是按需求來挑選需要使用的

資源并可實現(xiàn)跨地域的流轉(zhuǎn)，實現(xiàn)兩個數(shù)據(jù)中心的數(shù)據(jù)整合。

傳統(tǒng)的備份手段通常備份時間間隔長，數(shù)據(jù)丟失量大，恢復(fù)速度也很慢，這

些問題無法滿足醫(yī)院HIS、LIS等在線系統(tǒng)的要求。而連續(xù)數(shù)據(jù)保護將注意力從

備份轉(zhuǎn)向了恢復(fù)。連續(xù)數(shù)據(jù)保護是數(shù)據(jù)保護領(lǐng)域的一項重大突破。在過去，各種

數(shù)據(jù)保護解決方案都將主要精力放在定期的數(shù)據(jù)備份上。但是，在定期備份狀態(tài)

下卻又會產(chǎn)生像備份時間窗口、打開的文件及數(shù)據(jù)庫的保護以及備份操作過程對

業(yè)務(wù)系統(tǒng)的影響等問題。今天，CDP已經(jīng)使數(shù)據(jù)保護全面改觀，并且將注意力的

焦點從備份轉(zhuǎn)向了恢復(fù)。CDP可以為重要數(shù)據(jù)中的變化提供連續(xù)的保護，IT管理

員根本不需要考慮備份的問題。當(dāng)災(zāi)難發(fā)生時，基于CDP的解決方案可以迅速恢

復(fù)到任何一個需要的還原點，從而為用戶提供更大的靈活性。

利用CDP技術(shù)在主機房及災(zāi)備機房之間建立鏡像卷，這樣即使主機房出現(xiàn)災(zāi)

難狀況，容災(zāi)機房依然能夠保證數(shù)據(jù)的安全；CDP除鏡像卷外，還有日志卷，這

樣，如果出現(xiàn)諸如病毒、誤操作、非法篡改等造成的邏輯數(shù)據(jù)，利用CDP方式，

可以回滾到任意時間點（在日志空間許可范圍內(nèi)），避免了傳統(tǒng)的備份每天只能

夠備份一次，數(shù)據(jù)損失量大的問題。這樣就解決了本地的高可用，又解決了邏輯

數(shù)據(jù)保護問題。

3.3.6虛擬化安全防護

虛擬服務(wù)器基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險之外，同時也會帶來其

虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。虛擬化

環(huán)境內(nèi)存在的幾點安全隱患：

1、虛擬機之間的互相攻擊

由于目前使用傳統(tǒng)的防護模式，導(dǎo)致主要的防護邊界還是位于物理主機的邊

緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱

患。

2、隨時啟動的防護間歇

由于將大量使用服務(wù)器虛擬化技術(shù)，讓IT服務(wù)具備更高的靈活性和負載均

衡。但同時，這些隨時由于資源動態(tài)調(diào)整關(guān)閉或開啟虛擬機會導(dǎo)致防護間歇問題。

如，某臺一直處于關(guān)閉狀態(tài)的虛擬機在業(yè)務(wù)需要時會自動啟動，成為后臺服務(wù)器

組的一部分，但在這臺虛擬機啟動時，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其

他一直在線運行的服務(wù)器處于滯后和脫節(jié)的地位。

3、系統(tǒng)安全補丁安裝

目前虛擬化環(huán)境內(nèi)仍會定期采用傳統(tǒng)方式對階段性發(fā)布的系統(tǒng)補丁進行測

試和手工安裝。雖然虛擬化服務(wù)器本身有一定狀態(tài)恢復(fù)的功能機制。但此種做法

仍有一定安全風(fēng)險。無法確保系統(tǒng)在測試后發(fā)生的變化是否會因為安裝補丁導(dǎo)致

異常。集中的安裝系統(tǒng)補丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成

本較大。

4、防病毒軟件對資源的占用沖突導(dǎo)致AV(Anti-Virus)風(fēng)暴

傳統(tǒng)殺毒軟件在防護效果上可以達到安全標準，但如從資源占用方面考慮存

在一定安全風(fēng)險。由于每個防病毒客戶端都會在同一個物理主機上產(chǎn)生資源消

耗，并且當(dāng)發(fā)生客戶端同時掃描和同時更新時，資源消耗的問題會愈發(fā)明顯。嚴

重時可能導(dǎo)致ESX服務(wù)器宕機。

通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系

統(tǒng)提供安全防護，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪

問控制問題，病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的

防護，針對虛擬環(huán)境需要全新的信息安全防護方案，通過病毒防護、訪問控制、

入侵檢測/入侵防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能實現(xiàn)虛擬主

機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求,采用基于虛擬化的

安全解決方案，構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護。

5、病毒防護防護

傳統(tǒng)的病毒針防護解決方案都是通過安裝Agent代理程序到虛擬主機的操作

系統(tǒng)中，在整合服務(wù)器虛擬化后，要實現(xiàn)針對病毒的實時防護，同樣需要在虛擬

主機的操作系統(tǒng)中安裝防病毒Agent程序，但是服務(wù)器虛擬化的目的是整合資

源，最大化的發(fā)揮服務(wù)器資源的利用率，而傳統(tǒng)的防病毒技術(shù)需要在每個虛擬主

機中安裝程序，例如：一臺服務(wù)器虛擬6臺主機，傳統(tǒng)方法將Agent需要安裝6

套，并且在制定掃描任務(wù)就需要消耗虛擬主機的計算資源，這種方式并沒有達到

節(jié)約計算資源的效果，反而增加了計算資源的消耗，并且在病毒庫更新是帶來更

多的網(wǎng)絡(luò)資源消耗。

針對虛擬化環(huán)境提供創(chuàng)新的方法解決防病毒程序帶來的資源消耗問題，通過

使用虛擬化層相關(guān)的API接口實現(xiàn)全面的病毒防護。具體如下：

6、針對虛擬系統(tǒng)，實現(xiàn)底層無代理病毒防護

針對虛擬系統(tǒng)中通過接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無

需在虛擬主機的操作系統(tǒng)中安裝Agent程序，即虛擬主機系統(tǒng)無代理方式實現(xiàn)實

時的病毒防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網(wǎng)絡(luò)資源消

耗，最大化利用計算資源的同時提供全面病毒的實時防護。

7、訪問控制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域

間的劃分，計算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就

實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪

問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題?；谔摂M技術(shù)的防火

墻提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于

網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，同時支持各種泛洪攻擊的識別

和攔截。

8、入侵檢測/防護

同時在主機和網(wǎng)絡(luò)層面進行入侵監(jiān)測和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)

的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入

或運行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

需要對虛擬交換機允許交換機或端口組運行在“混雜模式”，這時虛擬的IDS

傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能

外，還提供虛擬環(huán)境中基于政策的(policy-based)監(jiān)控和分析工具，使流量監(jiān)

控、分析和訪問控制更精確，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

9、虛擬補丁防護

隨著新的漏洞不斷出現(xiàn)，為系統(tǒng)打補丁上疲于應(yīng)付，等待安裝重要安全補丁

的維護時段可能是一段艱難的時期。另外，操作系統(tǒng)及應(yīng)用廠商針對一些版本不

提供漏洞的補丁，或者發(fā)布補丁的時間嚴重滯后，還有最重要的是，如果IT人

員的配備不足，時間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補丁更新期間

很容易陷入風(fēng)險。

通過虛擬補丁技術(shù)完全可以解決由于補丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接

口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功

能，在操作系統(tǒng)沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。虛擬補丁功

能既不需要停機安裝，也不需要進行廣泛的應(yīng)用程序測試。雖然此集成包可以為

IT人員節(jié)省大量時間。

10、完整性審計

針對系統(tǒng)支持依據(jù)基線的文件、目錄、注冊表等關(guān)鍵文件監(jiān)控和審計功能,

當(dāng)這些關(guān)鍵位置為惡意篡改或感染病毒時，可以提供為管理員提供告警和記錄功

能，從而提供系統(tǒng)的安全性。

11、日志審計和報表功能

提供全面的系統(tǒng)日志和詳盡的報告功能，除了記錄自身的各功能日志外，還

可以將虛擬主機操作系統(tǒng)日志結(jié)合自身日志進行統(tǒng)一的統(tǒng)計和分析，日志系統(tǒng)還

可以生成符合國際相關(guān)安全規(guī)范的報表。通過對日志進行分析可以讓管理員跟蹤

IT基礎(chǔ)設(shè)施的活動，評估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時發(fā)生、

在何處發(fā)生的有效方法。

3.3.7傳統(tǒng)架構(gòu)與虛擬化架構(gòu)投入費用對比表

傳統(tǒng)架構(gòu)與虛擬化架構(gòu)投入成本對比表

首次購買硬件成本：按80臺中檔次雙路服務(wù)器計算

傳統(tǒng)方式虛擬化方式虛擬化方

式節(jié)約資

金

增加40臺物3*40=120萬現(xiàn)有12臺高性90萬30萬

理服務(wù)器能服務(wù)器擴內(nèi)

（按HP380計存+虛擬化軟件

算）可實現(xiàn)90臺邏

輯服務(wù)器。

40臺服務(wù)器25萬現(xiàn)有設(shè)備可滿025萬

需要增配2足

個48口千兆

電1」交換機

插板，增配4

個24口san

交換機以及

光模塊和光

纖跳線等。

40臺服務(wù)器20萬無需KVM020萬

需要2臺

KVM

增加的用電40臺1000瓦：020萬

費用（按照140臺*1.0千

年計算）瓦*24小時

*365天*1年

*0.56元/度

仁20萬

空調(diào)費用20*40%=8萬08萬

（空調(diào)耗電

費用為服務(wù)

器耗電的

40%）

合計：19390103

總結(jié)：虛擬化方式第一年比傳統(tǒng)方式節(jié)約：100萬元，以后每年電

費及管理維護費用至少可以節(jié)約30萬元以上。

3.3.8集團網(wǎng)絡(luò)帶寬需求測算

1、人民醫(yī)院PACS系統(tǒng)對帶寬與設(shè)備的需求分析

1）此部分主要分析人民醫(yī)院中各影像設(shè)備同時向PACS服務(wù)器存儲數(shù)據(jù)時對網(wǎng)

絡(luò)帶寬的占用情況。需要接入PACS網(wǎng)絡(luò)的設(shè)備見下表：

人民醫(yī)院各影像系統(tǒng)中不同設(shè)備次/人傳輸?shù)臄?shù)據(jù)量統(tǒng)計表

DIC0M接口標

數(shù)日數(shù)據(jù)數(shù)據(jù)量（次/

設(shè)備名稱型號準（是否支持

量量人）

worklist）

512Mbit

AvantoDIC0M3.0（支4-5GBy

西門子180（按5G計

1.5T持）te

算）

64排LIGHTDICOM3.0（支

GE1404GByte819Mbit

VCT持）

HISPEEDDICOM3.0（不

雙排CT11002GByte164Mbit

NX/I支持）

血管造影系DIC0M3.0（支

FD20142GByte4096Mbit

統(tǒng)持）

共計：5591Mbit

數(shù)據(jù)量（次/人）計算方法：數(shù)據(jù)量（次/人）=日數(shù)據(jù)量義1024X8+（檢查人次/

天）。若在影像中心部署萬兆上行，千兆下行接入層交換機，網(wǎng)絡(luò)延遲如下表所

示：

千兆帶寬到影像設(shè)備/萬兆上行的網(wǎng)絡(luò)延遲統(tǒng)計表

DICOM接口標數(shù)據(jù)量工作站

數(shù)

設(shè)備名稱型號準（是否支持（次/寬延遲

量

worklist）人）（杪）

AvantoDICOM3.0（支

西門子180512Mbit0.73秒

1.5T持）

64排LIGHTDICOM3.0（支

GE140819Mbit1.17秒

VCT持）

HISPEEDDIC0M3.0（不

雙排CT1100164Mbit0.23秒

NX/I支持）

血管造影系DIC0M3.0（支4096

FD20145.85秒

統(tǒng)持）Mbit