医疗行业商机分析以及Symantec解决方案

1医疗行业商机分析--Symantec解决方案Frank_wang1@symantec.comFrankWangChannelSE医疗行业IT规模23传统的业务需求和商机传统的业务需求带来的商机•一、终端安全•二、数据备份•三、高可用容灾4一、终端安全5医院现状：医院用户基本都有防病毒软件，但是由于医院IT管理普遍不够严谨，终端管理比较落后。虽然近年病毒爆发事件不多，但终端问题仍然是日常信息科运维最多的问题。我们的机会：SEP全面的终端安全---》终端标准化----》终端虚拟化项目大小：10k-20k用户关系：要求低一、终端安全6会碰到用户问题：“我们已经有防病毒软件了”“我们安全状况很好啊，没什么问题”我们的应对：1、目前医院信息科考虑的终端安全其实就是防病毒，我们需要强调我们卖的不是“防病毒软件”而是终端安全。引起用户兴趣让用户了解什么是全面的终端安全，解释SEP如何从多层面全面保护终端安全，强调“外设控制”，一般都会引起用户兴趣2、Symantec是安全方面的专家，建议给用户将长期规划。不仅告诉用户现在该怎么做，还要告诉用户将来会发生什么，将来该怎么做。我们的终端安全—终端标准化—终端虚拟化的渐进路线，会比较吸引人。且很少有其他厂商会给用户讲这些一、终端安全SEP更全面的终端安全防病毒防间谍软件桌面防火墙桌面入侵保护系统应用程序控制硬件设备控制主要目的是保证医院终端的基础安全，增强对终端保护和安全管理，避免木马和恶意代码造成的泄露风险，管理外设、应用程序使用。终端安全演进•终端安全------》终端标准化------》终端虚拟化•SEP-----SNAC,Altiris------SCSP,SWC/R8二、数据备份9医院现状：以华东区为例，医院用户基本都有在做备份，但大多数是使用脚本工具来进行，或者主机自带的或者存储赠送的简单备份工具来实现备份。使用专业备份管理工具的很少。这主要是由于医院信息化发展建设较快，医院普遍没有经历“数据增长-数据备份-高可用容灾”这样的发展阶段。而是直接从“数据增长，业务更重要--高可用容灾”。这造成了数据备份环节缺失，信息科普遍对数据备份重视不够。我们的机会：SSR，Netbackup，NBU5220项目大小：20k-50k用户关系：要求低二、数据备份10会碰到用户问题：“我们已经在备份了”“我们容灾都做好了，数据这么安全，还用做备份？”我们的应对：1、直接正面扭转用户想法比较困难，而且医院也很难以单独的备份来立项。建议先让医院了解备份这件事情需要做但没做，再找突破口让备份顺理成章2、可以用国信办《重要信息系统灾难恢复指南》切入，说明备份是容灾的基础，在紧急情况下备份是最后一道防线。然后再问用户HIS系统做了容灾了，其他二级系统比如：LIS，PACS，EMR也会产生重要数据，难道不考虑备份？最后举几个事例说明没有专业备份软件，三天打鱼两天晒网的备份模式的危害，该恢复的时候找不到数据，出了事找不到责任人。11我们的应对：3、技术切入点一，SSR。三甲医院除了HIS外，其他业务系统基本都是windows，二甲以下或者社区医院几乎都是windows平台。SSR快速恢复理念，低技术门槛上手就能用，非常容易打动人4、技术切入点二，虚拟化。在最近2年虚拟化主要是Vmware在医院推广的不少。Vmware上了以后，医院的边缘业务和数据被集中起来，数据的风险其实是增加了，可以提醒医院注意这一点。有了虚拟化备份就是一个比较现实的问题5、医院的一体机模式，NBU5220。备份项目应该是操作简单，可控性强的项目，不应该象容灾项目这样复杂。所以关键词就在“简单”“可控”。简单：一台硬件设备解决所有备份问题，这个概念对用户来说非常容易接受。备份架构设计简单，用户理解起来简单。可控：医院只需要跟一家厂商打交道，不用受制或者依赖集成商，可灵活搭载在其他项目中一起做。二、数据备份NBU数据备份平台ERPcollaborationemailfile/printvirtualmachinestest/developmentdepartmentalappsfinancialsystemsintranetSystemGranularRecoveryInstantRecoverySearch&RestoreClientBackupDedupeClientBackupApplicationBackupASnapshotBackupCDPBackupArchiveDedupeDiskCatalogPolicy1---------2---------3---------4---------5---------ReportingDataTapeVaultSiteApplicationCriticality(RPO,RTO)ApplicationsOpenStorageAppliances&VTLsVaultReplicateOffsiteCopyFTPServerSSR:分钟级完成PC服务器系统恢复SymantecInternalOnly13ProtectedSystemSystemXNAS/SANDeviceSCSI,SATA,SASUSB/FirewireFlashMemoryCD/DVDXDissimilarHardwareSystemVirtualSystemSystemSystemRecovery虚拟化建设带来的商业机会14•真正能够从VM备份中进行文件级粒度恢复:–单个文件100%可以检索和搜寻–可从增量备份中恢复单个文件–直接从任何介质上回复文件（磁带、VTL、磁盘）–恢复时不需要磁盘缓存分析数据•具有最大灵活性的专为VM优化的消重:–源头消重(clientdistributedineachVM)–介质服务器消重（跨虚机和物理机）–通过OSTAPI直接控制第三方消重设备•灵活的GUEST备份策略–与VCENTER集成，分析每个GUEST状态，制定更细的备份策略（VIP)ESX2物理全局消重NetBackup备份一体机NBU5200和NBU5220PresentationIdentifierGoesHere15每个节点都是4U设备、2个IntelE5620CPU、32GB内存、系统磁盘配置为在RAID1、数据磁盘配置为在RAID6、两个热备件磁盘配置在RAID1和/或RAID6、LSI磁盘管理、2XGigE端口、2x10GigE端口、LCOptical连接、2x4GB光纤通道端口、冗余电源、冗余风扇模块、热插拔磁盘模块以及电源接入模块16高可用和容灾需求三、高可用容灾17医院现状：目前绝大部分医院HIS系统已经实现了高可用，但主要的架构是2台主机一个盘柜，甚至2台主机没有盘柜，通过主机之间的复制来解决可用性问题。HIS系统和服务器进入老化期，服务器更替和HIS升级的情况目前比较多。边缘系统如EMR,PACS，手术麻醉，心电图越来越重要我们的机会：HIS系统高可用改造；HIS本地可用性变为园区容灾；医院整体高可用平台建设；医院私有云建设；业务健康状态监测平台项目大小：30k-100k用户关系：要求高（由于要改变用户目前架构，新的业务架构设计牵涉到主机，网络，存储）18三、高可用容灾用户会问的问题：我们已经有高可用了，做的挺好？有必要再改造嘛？我们的应对：1、存储单点故障问题，可以举几个医院单点故障的案例，上海医院，宁波医院2、现在的高可用只能保护HIS，LIS，PACS，EMR等边缘系统越来越重要，停机风险和停机危害是否可接受3、越来越多的系统需要高可用，医院应该统一规划高可用平台或者云计算平台4、越来越多的系统实现高可用，就需要有健康状态监控平台，用于监控所有业务状态，可以一目了然的看到业务运行是否稳定，目前工作在哪个节点上DiskArray集群目前医院的HIS架构状况HISHIS业务架构扩展和实现门诊楼住院楼GAB/LLToverEthernetSymantecVolume门诊楼住院楼GAB/LLToverEthernetSymantecVolume单备机方案双备机方案业务架构扩展和实现门诊楼住院楼GAB/LLToverEthernetSymantecVolume门诊楼住院楼GAB/LLToverEthernetSymantecVolumeRAC镜像方案RAC镜像+备机方案新一代的医院高可用容灾架构高速LANFCFC小型机服务器小型机服务器FCPACS/RISFCFCPACS影像访问节点归档服务器（EnterpriseVault）FCEMRFCHISFCPACS/RISFCEMRFCHIS磁带库备份服务器(NBU)FCFCFC虚拟带库智慧医疗“云”计算架构设计PresentationIdentifierGoesHere23PresentationIdentifierGoesHere23核心交换机核心交换机F5负载均衡设备F5负载均衡设备HIS2光线交换机光线交换机现有存储设备新购存储设备vmwarevmwareSFRACSFRACSFRACSFRACSFRACVCSVCSVCSVCSVCSVCSHIS计算池LIS计算池EMR计算池心电、手麻计算池存储资源池24PACS建设带来的项目机会PACS存储管理高速LANFCFC小型机服务器PACS/RIS数据库小型机服务器FCPACS/RIS服务器FCPACS/RIS服务器FCFCPACS影像访问节点（FileStore）PACS影像访问节点（FileStore）DB&近期影像（6个月)DB&近期影像（6个月)长期影像（6-12月）归档影像归档服务器（EnterpriseVault）26医院网络改造无线医疗带来的商业机会准入控制和终端强制标准化通过准入控制来规范终端的访问边界，并强制终端符合医院策略实现标准化，主要实现以下几个目的：1、对医院的重要服务器实现准入控制，建立安全边界，符合要求的终端才能够接入网络访问访问数据2、强制终端符合医院的安全策略。例如：强制所有终端必须安装SEP和DLP，避免用户自己暴力卸载SEP和DLP客户端3、外来接入电脑访问控制，避免携带自己电脑或者外来人员获得医院机密数据4、对远程接入终端访问控制，避免VPN拨入终端可随意获得医院内部数据28局域网准入控制(基本模式)工作原理图工作站Symantec终端安全管理器修复服务器RADIUSServer局域网强制器隔离VLAN受保护网络客户端连接，系统通过EAP协议传送用户身份、遵从、策略数据交换机转发数据到LANEnforcerHI失败:分配到隔离VLANHI通过:打开交换机端口LANEnforcer检查策略与遵从有效状态LANEnforcer通过RADIUS服务器检查用户登陆802.1x基本模式HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedEAPStatusUserNamePasswordTokenPatchUpdatedSymantecNACEnforcementAgent29网关准入控制工作原理图远程用户Symantec终端安全管理器修复服务器受保护网络访客用户试图访问网络GatewayEnforcer请求提交策略和遵从数据网关强制器检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSymantecNACEnforcementAgent网关强制器可进行的操作阻止客户端访问HTTP重定向客户端弹出对话框受限的网络访问有客户端并且检查通过:允许访问网关强制器PatchUpdated30“统方”泄漏信息防泄漏1、由于统方信息大多情况是通过个人的终端传递出去，我们首先需要考虑的问题是，监测存放在终端上的医院敏感信息的