互聯(lián)網(wǎng)醫(yī)院解決方案

互聯(lián)網(wǎng)醫(yī)院解決方案本頁(yè)目錄行業(yè)需求技術(shù)架構(gòu)可靠性安全性擴(kuò)展性操作與維護(hù)成功案例性性復(fù)旦大學(xué)附屬華山醫(yī)院行業(yè)需求為了滿足人民群眾日益增長(zhǎng)的醫(yī)療需求，創(chuàng)新服務(wù)模式，提高服務(wù)效率，降低服務(wù)成本，醫(yī)療機(jī)構(gòu)從開展預(yù)約掛號(hào)、在線支付、檢驗(yàn)檢查查詢、診后隨訪等互聯(lián)網(wǎng)+應(yīng)用，逐步發(fā)展到開展互聯(lián)網(wǎng)醫(yī)院。互聯(lián)網(wǎng)醫(yī)院是應(yīng)用互聯(lián)網(wǎng)等信息技術(shù)拓展醫(yī)療服務(wù)空間和內(nèi)容，構(gòu)建覆蓋診前、診中、診后的線上線下一體化醫(yī)療服務(wù)模式。醫(yī)療機(jī)構(gòu)可以在實(shí)體醫(yī)院基礎(chǔ)上，使用互聯(lián)網(wǎng)醫(yī)院作為第二名稱，運(yùn)用互聯(lián)網(wǎng)技術(shù)提供安全適宜的醫(yī)療服務(wù)，允許在線開展部分常見病、慢性病復(fù)診，拓展了醫(yī)療服務(wù)半徑。醫(yī)師掌握患者病歷資料后，允許在線開具部分常見病、慢性病處方，提高了醫(yī)療服務(wù)效率?；颊叩结t(yī)院就醫(yī)不用到窗口排隊(duì)，通過手機(jī)可以實(shí)現(xiàn)網(wǎng)上掛號(hào)、預(yù)約診療、就診提醒、移動(dòng)支付、檢查檢驗(yàn)結(jié)果在線查詢等，部分常見病、慢性病復(fù)診可以直接通過互聯(lián)網(wǎng)醫(yī)院完成，極大減少就醫(yī)時(shí)間方便患者，提高了醫(yī)療服務(wù)的可及性。這些業(yè)務(wù)場(chǎng)景面向互聯(lián)網(wǎng)，關(guān)注患者使用體驗(yàn)、醫(yī)療數(shù)據(jù)安全隱私，這就對(duì)傳統(tǒng)IT部署帶來了挑戰(zhàn)：互聯(lián)網(wǎng)安全難以保證如何抵御黃牛的攻擊，保證醫(yī)療數(shù)據(jù)的隱私安全，保證應(yīng)用持續(xù)提供穩(wěn)定的服務(wù)。2018年3月期間，媒體報(bào)導(dǎo)有兩地的醫(yī)院系統(tǒng)遭到勒索攻

擊，黑客要求支付比特幣才能恢復(fù)正常。另外，根據(jù)美國(guó)非營(yíng)利性組織身份盜用資源中心(ITRC)的統(tǒng)計(jì)數(shù)據(jù)顯示，醫(yī)療健康信息系統(tǒng)的漏洞數(shù)占全行業(yè)的43.8%。分析原因首先是醫(yī)療機(jī)構(gòu)在安全能力和意識(shí)上的剛剛起步，很少有專職的安全工程師，很多醫(yī)院對(duì)安全的理解還認(rèn)為靠邊界防護(hù)和網(wǎng)絡(luò)隔離就能保障安全，產(chǎn)生內(nèi)網(wǎng)很安全的錯(cuò)覺。在復(fù)雜的攻擊形勢(shì)下，60%的醫(yī)療行業(yè)的網(wǎng)絡(luò)安全事故，都是因?yàn)橥粋€(gè)誤區(qū)：認(rèn)為隔離就是安全。?業(yè)務(wù)高峰期往往難以應(yīng)對(duì)互聯(lián)網(wǎng)應(yīng)用面向人群眾多，掛號(hào)、就診存在業(yè)務(wù)高峰期，例如某時(shí)段的問診量是其他時(shí)段的幾倍，導(dǎo)致應(yīng)用響應(yīng)延遲，最終只能按照高峰期要求擴(kuò)容，非高峰期時(shí)段造成了資源的浪費(fèi)。?如何提升用戶體驗(yàn)在移動(dòng)互聯(lián)網(wǎng)時(shí)代，自診自查、醫(yī)生問診、預(yù)約掛號(hào)、醫(yī)生學(xué)術(shù)分享交流都需要良好的網(wǎng)絡(luò)環(huán)境作為保障。原有機(jī)房缺乏多線接入能力，網(wǎng)絡(luò)效果難以滿足用戶體驗(yàn)要求。技術(shù)架構(gòu)互聯(lián)網(wǎng)醫(yī)院解決方案架構(gòu)圖四應(yīng)用服將衰安全正互聯(lián)網(wǎng)醫(yī)院解決方案架構(gòu)圖四應(yīng)用服將衰安全正書服多《安舒土)訪問陛制解決方案架構(gòu)解讀:?網(wǎng)絡(luò)部署安全隔離：在阿里云中劃分醫(yī)院的專有網(wǎng)絡(luò)（VPC）,使用隧道技術(shù)達(dá)到與傳統(tǒng)VLAN相同隔離效果，并通過專線/VPN/智能接入網(wǎng)關(guān)的連接方式將VPC與醫(yī)院數(shù)據(jù)中心組成一個(gè)按需定制的網(wǎng)絡(luò)環(huán)境，包括選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。VPC內(nèi)部各個(gè)集群之間使用安全組功能，劃分成不同的安全域，定義不同的訪問控制規(guī)則，保證互聯(lián)網(wǎng)區(qū)和非互聯(lián)網(wǎng)區(qū)域的安全可控。通過專線、VPN網(wǎng)關(guān)、智能接入網(wǎng)關(guān)將本地?cái)?shù)據(jù)中心和云上VPC打通，三種連接方案說明：o采用專線的方式：通過租用一條運(yùn)營(yíng)商的專線將本地?cái)?shù)據(jù)中心連接到阿里云接入點(diǎn)，建立專線連接，物理專線接入網(wǎng)絡(luò)質(zhì)量好，帶寬高但成本稍高，如果對(duì)網(wǎng)絡(luò)質(zhì)量有很高的要求，建議選擇高速通道專線接入。o采用VPN的方式：通過VPN網(wǎng)關(guān)的IPsec-VPN將本地?cái)?shù)據(jù)中心和VPC連接起來，基于Internet通信，網(wǎng)絡(luò)延遲和可用性取決于Internet，如果對(duì)網(wǎng)絡(luò)延遲沒有特別高的需求，建議選擇VPN網(wǎng)關(guān)，快速接入成本更低o采用智能接入網(wǎng)關(guān)：通過智能接入網(wǎng)關(guān)設(shè)備，可直接復(fù)用已有的Internet固定寬帶接入方便快捷，偏遠(yuǎn)地區(qū)或移動(dòng)辦公使用4G網(wǎng)卡接入，接入不受環(huán)境限制。雙鏈路密封接入，自動(dòng)探測(cè)最優(yōu)鏈路，故障時(shí)主動(dòng)實(shí)時(shí)切換，實(shí)現(xiàn)Internet就近加密接入，獲得更加智能、更加可靠、更加安全的上云體驗(yàn)。智能接入網(wǎng)關(guān)配置簡(jiǎn)單，成本低。以上可以組合使用各種接入方案專線+VPN、專線+智能接入網(wǎng)關(guān)，通過雙線路容災(zāi)構(gòu)建高可用混合云。?服務(wù)保證高可用：o用戶的請(qǐng)求被負(fù)載均衡分發(fā)到應(yīng)用服務(wù)器集群進(jìn)行處理，負(fù)載均衡（SLB）能消除單點(diǎn)故障，保證服務(wù)的高可用。O隨著業(yè)務(wù)的增長(zhǎng)，云服務(wù)器（ECS）支持升級(jí)CPU和內(nèi)存，在線不停機(jī)升級(jí)帶寬，可以快速升級(jí)資源配置，滿足業(yè)務(wù)增長(zhǎng)的要求。o在業(yè)務(wù)峰期，可以采用彈性伸縮服務(wù)（￡$$），自動(dòng)對(duì)集群進(jìn)行橫向擴(kuò)展和回縮，實(shí)現(xiàn)服務(wù)器的快速部署與擴(kuò)容。o業(yè)務(wù)數(shù)據(jù)寫入云數(shù)據(jù)庫(kù)（RDS）中，云數(shù)據(jù)庫(kù)采用一主一備的雙機(jī)熱備架構(gòu)，自動(dòng)同步數(shù)據(jù)，主機(jī)出現(xiàn)故障后備機(jī)秒級(jí)完成無縫切換。安全服務(wù)保證數(shù)據(jù)隱私：通過阿里云安全防護(hù)體系：o強(qiáng)化網(wǎng)絡(luò)訪問控制，劃分安全區(qū)域加強(qiáng)對(duì)網(wǎng)絡(luò)的訪問控制，安全隔離措施相當(dāng)于“安全門”，阻止惡意木馬快速蔓延。o定期安全測(cè)試，發(fā)現(xiàn)安全漏洞，通過網(wǎng)站漏洞掃描和滲透測(cè)試服務(wù)，減少可能被利用入侵的突破口。o建立全局的外部威脅和情報(bào)感知能力，通過服務(wù)器安全、Web應(yīng)用防火墻、SSL證書服務(wù)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)對(duì)醫(yī)療機(jī)構(gòu)的IT系統(tǒng)做好基礎(chǔ)防護(hù)，通過態(tài)勢(shì)感知能夠及早發(fā)現(xiàn)潛在的威脅，保障醫(yī)療數(shù)據(jù)隱私安全。o建立應(yīng)急響應(yīng)流程和預(yù)案，通過安全管家服務(wù)持續(xù)化的安全運(yùn)營(yíng)。運(yùn)維監(jiān)控效率提升：云監(jiān)控服務(wù)用于收集獲取阿里云資源的監(jiān)控指標(biāo)或用戶自定義的監(jiān)控指標(biāo)，探測(cè)服務(wù)可用性，以及針對(duì)指標(biāo)設(shè)置警報(bào)。運(yùn)維人員可以全面了解資源使用情況、業(yè)務(wù)的運(yùn)行狀況和健康度，并及時(shí)收到異常報(bào)警做出反應(yīng)，保證應(yīng)用程序順暢運(yùn)行。各類通知快速觸達(dá):互聯(lián)網(wǎng)醫(yī)院APP/網(wǎng)站注冊(cè)、安全登錄、支付認(rèn)證、身份認(rèn)證、密碼找回、賬號(hào)綁定等可以直接通過短信服務(wù)，國(guó)內(nèi)短信三網(wǎng)合一專屬通道快速接入，支持變量?jī)?nèi)容靈活，秒級(jí)可達(dá)99%到達(dá)率?？煽啃园⒗镌剖褂酶鼑?yán)格的IDC標(biāo)準(zhǔn)、服務(wù)器準(zhǔn)入標(biāo)準(zhǔn)以及運(yùn)維標(biāo)準(zhǔn)，以保證云計(jì)算整個(gè)基礎(chǔ)框架的高可用性、數(shù)據(jù)的可靠性以及云服務(wù)器的高可用性。保障服務(wù)高可用：云服務(wù)器（ECS）實(shí)例可用性達(dá)99.95%，云盤采用99.9999999%可靠性設(shè)計(jì)，自動(dòng)宕機(jī)遷移，自動(dòng)快照備份，數(shù)據(jù)恢復(fù)更方便。負(fù)載均衡（SLB），采用集群部署，可實(shí)現(xiàn)會(huì)話同步，消除服務(wù)器單點(diǎn)故障，提升冗余保證服務(wù)的穩(wěn)定性。云數(shù)據(jù)庫(kù)（RDS）采用一主一備的雙機(jī)熱備架構(gòu)，單可用區(qū)實(shí)例主備節(jié)點(diǎn)位于同一個(gè)可用區(qū)，兩臺(tái)不同的物理服務(wù)器上，可用區(qū)內(nèi)的機(jī)柜、空調(diào)、電路、網(wǎng)絡(luò)都有冗余，保障高可用性。主節(jié)點(diǎn)故障時(shí)，主備節(jié)點(diǎn)秒級(jí)完成切換，整個(gè)切換過程對(duì)應(yīng)用透明；備節(jié)點(diǎn)故障時(shí)，RDS會(huì)自動(dòng)新建備節(jié)點(diǎn)以保障高可用。

多可用區(qū)實(shí)例快速實(shí)現(xiàn)同城容災(zāi):阿里云所提供的每個(gè)地域都存在多可用區(qū)，即在同一地域內(nèi)相隔幾十公里的電力和網(wǎng)絡(luò)互相獨(dú)立的多個(gè)物理區(qū)域。負(fù)載均衡（SLB）選擇多可用區(qū)實(shí)例，主可用區(qū)部署大部分云服務(wù)器以便獲取最小的訪問延遲，備可用區(qū)部署少量云服務(wù)器以便在極端情況下，主可用區(qū)整體不可用時(shí)切換到備可用區(qū)后服務(wù)仍舊可以正常處理。云數(shù)據(jù)庫(kù)（RDS）選擇多可用區(qū)實(shí)例，主備節(jié)點(diǎn)位于同一地域的不同可用區(qū)，實(shí)現(xiàn)跨可用區(qū)的容災(zāi)且不額外收費(fèi)。安全性專有網(wǎng)絡(luò)VPC構(gòu)建混合云，通過專線/智能接入網(wǎng)關(guān)雙線災(zāi)備，數(shù)據(jù)安全隔離，世界級(jí)互聯(lián)網(wǎng)安全能力，強(qiáng)大的威脅情報(bào)、惡意特征攻擊100%攔截，一站式等保合規(guī)，反黃牛、防數(shù)據(jù)泄漏。數(shù)據(jù)安全隔離：專有網(wǎng)絡(luò)（VPC）安全性高、配置靈活、支持多種連接方式。專有網(wǎng)絡(luò)使用Vxlan協(xié)議構(gòu)建出一個(gè)100%隔離、100%安全的網(wǎng)絡(luò)環(huán)境，由于使用隧道封裝技術(shù)對(duì)云服務(wù)器的IP報(bào)文進(jìn)行封裝，所以云服務(wù)器的數(shù)據(jù)鏈路層（二層MAC地址）信息不會(huì)進(jìn)入物理網(wǎng)絡(luò)，實(shí)現(xiàn)了不同云服務(wù)器間二層網(wǎng)絡(luò)隔離，因此也實(shí)現(xiàn)了不同專有網(wǎng)絡(luò)間二層網(wǎng)絡(luò)隔離。通過專線/VPN/智能接入網(wǎng)關(guān)，保證線路安全加密，打通醫(yī)院的本地?cái)?shù)據(jù)中心和云端專有網(wǎng)絡(luò)（VPC），快速構(gòu)建混合云，支持醫(yī)院DMZ區(qū)域上云。安全體系建設(shè)：云盾是阿里巴巴集團(tuán)多年來安全技術(shù)研究積累的成果，結(jié)合阿里云云計(jì)算平臺(tái)強(qiáng)大的數(shù)據(jù)分析能力，提供如DDoS防護(hù)、主機(jī)入侵防護(hù)、Web應(yīng)用防火墻、安全漏洞檢測(cè)、網(wǎng)頁(yè)木馬檢測(cè)等一站式安全服務(wù)。

?防御Web應(yīng)用攻擊防御黑客發(fā)起的技術(shù)型高危攻擊：SQL注入、命令執(zhí)行等，保障網(wǎng)站核心數(shù)據(jù)安全。?緩解CC攻擊過濾海量惡意的訪問請(qǐng)求、識(shí)別惡意Bot，保障網(wǎng)站業(yè)務(wù)可用性。?防撞庫(kù)、防刷強(qiáng)大人機(jī)識(shí)別能力、保障網(wǎng)站重點(diǎn)業(yè)務(wù)接口免遭機(jī)器腳本惡意爬取。?滲透測(cè)試通過模擬黑客攻擊的方式進(jìn)行專業(yè)性的入侵嘗試，評(píng)估出重大安全漏洞或隱患。?威脅發(fā)現(xiàn)利用機(jī)器學(xué)習(xí)對(duì)安全進(jìn)行量化分析，發(fā)現(xiàn)傳統(tǒng)安全產(chǎn)品無法覆蓋的網(wǎng)絡(luò)威脅。可視化大屏專業(yè)的安全運(yùn)維作戰(zhàn)指揮中心，8塊可視化大屏，全面掌控安全狀況，輔助決策。安全防御體系建設(shè)分析云上系統(tǒng)安全狀況，量身定制云安全體系實(shí)施和運(yùn)營(yíng)方案。等保合規(guī)認(rèn)證阿里云是全國(guó)唯一一家參與和通過云計(jì)算等保標(biāo)準(zhǔn)試點(diǎn)示范的云服務(wù)商；公共云、電子政務(wù)云通過等級(jí)保護(hù)三級(jí)備案和測(cè)評(píng)；金融云通過等級(jí)保護(hù)四級(jí)的備案和測(cè)評(píng)。阿里云整合云盾產(chǎn)品的技術(shù)優(yōu)勢(shì)，建立“等保合規(guī)生態(tài)”，聯(lián)合阿里云在各地的合作測(cè)評(píng)機(jī)構(gòu)、安全咨詢合作廠商，提供一站式等保測(cè)評(píng)，完備的攻擊防護(hù)、數(shù)據(jù)審計(jì)、數(shù)據(jù)備份、加密、安全管理支撐滿足等保要求通過等保合規(guī)認(rèn)證。阿里云已經(jīng)通過以下測(cè)評(píng)及認(rèn)證：OISO/IEC27001o云安全STAR(CSASTAR)o信息安全等級(jí)保護(hù)三級(jí)O可信云服務(wù)認(rèn)證OCNAS認(rèn)可的云測(cè)評(píng)擴(kuò)展性在一個(gè)專有網(wǎng)絡(luò)內(nèi)可以創(chuàng)建不同的子網(wǎng)，部署不同的業(yè)務(wù)。根據(jù)互聯(lián)網(wǎng)醫(yī)院業(yè)務(wù)的需要，縱向在線升級(jí)云服務(wù)器配置，橫向增加或減少后端服務(wù)器的數(shù)量，隨著數(shù)據(jù)庫(kù)壓力和數(shù)據(jù)存儲(chǔ)量的增加，可以升級(jí)云數(shù)據(jù)庫(kù)實(shí)例規(guī)格，擴(kuò)展應(yīng)用的服務(wù)能力。在業(yè)務(wù)高峰期，可以通過彈性伸縮自動(dòng)增加ECS實(shí)例，在業(yè)務(wù)回落時(shí)自動(dòng)減少ECS實(shí)例，節(jié)省基礎(chǔ)設(shè)施成本。操作與維護(hù)只需通過阿里云控制臺(tái)或者API創(chuàng)建指定規(guī)格的實(shí)例，即開即用。歷史數(shù)據(jù)庫(kù)，可以使用通用的數(shù)據(jù)導(dǎo)入導(dǎo)出工具即可將數(shù)據(jù)遷移至云數(shù)據(jù)庫(kù)（RDS），遷移過程中的人力開銷非常低。此外，系統(tǒng)運(yùn)行中可通過云監(jiān)控實(shí)時(shí)監(jiān)控云資源使用情況，并提供多種告警方式（短信、旺旺、郵件）以保證及時(shí)預(yù)警，為系統(tǒng)正常運(yùn)行