原本采用传统的CS架构模式,客户端应用和部分数据就地存储于远程终端上,不仅管理复杂,而且存在非常大的安全隐患。借助于Citrix桌面虚拟化解决方案,我们实现了应用和数据的全面集中化,从终端层、虚拟桌面到后台应用,都集中在了数据中心,而且部分之间使用防火墙严格隔离,只开放访问必须的端口。这样一来,曙光医院的IT系统和数据的安全性不仅从根本上得到了保证,而且在简化用户使用、改善用户体验的同时,大大减轻IT人员对的维护工作负担。更重要的是,更优越的安全架构为我们通过国家信息安全等级保护三级认证奠定了坚实的基础。
——曙光医院移动项目负责人 卢欣然
上海中医药大学附属曙光医院是一所沪上的百年老院,三级甲等综合性中医院、位列上海十大综合性医院之一、全国示范中医院。曙光医院以建设研究型医院为目标,配套建立了研究所、临床研究室、实验室等,承担着许多重要研究课题,也是全国首家通过ISO9001质量管理体系认证的中医医院,被国家中医药管理局列为国际交流合作基地。多年来,曙光医院不断加快信息化建设的步伐,通过互联网及内部网,持续提高医疗工作效率和品质,并通过电子商务相关技术改善患者服务体验。通过最近实施完成的Citrix桌面虚拟化项目,曙光医院不仅使各科室办公桌面的性能和管理效率大幅提升,而且让医务人员的智能手机和平板电脑都轻松接入,为移动医疗提供了全新的平台。更重要的是,就连十年前开发时几乎没有考虑到安全性措施但至今仍在使用的应用软件,在新的桌面虚拟化系统中也自然而然地被加上了一层“保护壳”,为通过信息安全等级保护认证奠定了坚实的基础。
挑战
信息化建设在曙光医院的发展中一直起到十分重要的作用。早在多年前,他们就建立了IT基础平台,开发和部署了许多应用软件,支持医疗业务的各个环节。随着业务的快速发展,对IT基础构架和应用的要求也越来越高,对在不同时期开发部署的应用软件进行管理维护,工作量和复杂度也急剧攀升。
曙光医院希望从传输、保存、端点及运行环境等各个环节都确保安全性,已经先期部署了防火墙、终端管理软件、终端防病毒软件、入侵检测、网络加密设备等各种解决方案和产品。但是由于曙光医院原本采用传统计算模式,大量的医疗业务应用软件都是运行在各部门、科室的桌面PC上,业务数据也是保留在桌面终端,存在极大的安全隐患。特别是有些十多年前开发的应用软件,很多都没有考虑安全性问题,无论是在终端的保持,还是网络上的传输,都是处在未加密状态。这些问题不仅不能适应新的应用需求,已经是曙光医院通过国家信息安全等级保护认证所必需面对的当务之急。
方案选型
曙光医院桌面虚拟化项目的采购选型紧紧围绕既定的目标来全面衡量,首先考虑的是满足多院区环境需求,最大限度地减少客户端维护工作量,同时也抓住这个契机实现对移动医疗的支持。曙光医院已有服务器虚拟化使用经验,而Citrix桌面虚拟化产品从兼容性、易用性以及资源利用率方面都使得曙光医院感受到更强的优势。有鉴于Citrix虚拟化技术在各行各业都有诸多的成功应用,曙光医院确信可以由此充分发挥自身已有的IT资源,把桌面应用和移动应用提升到全新的水平。在进一步的评估中,曙光医院发现,Citrix桌面虚拟化解决方案不仅以在不改变原有的应用软件和用户的使用习惯的前提下提升效率,而且自身具备先进的安全机制,在Citrix NetScaler 软、硬一体的解决方案下,与微软的组策略相结合,即可自然而然地满足国家对医院在信息安全等级保护方面的要求,为后续通过相关认证奠定了良好的基础。
解决方案部署
Citrix桌面虚拟化解决方案包括终端层、虚拟桌面层和后台应用层,各部分之间使用防火墙严格隔离,只开放访问必须的端口。桌面虚拟化使得曙光医院的整体计算构架得到了极大的简化。这个方案的核心是,在数据中心的服务器虚拟化环境中集中部署虚拟桌面,供各分支机构的PC和瘦客户端使用。而终端用户设备上没有部署任何应用,也没有任何应用数据缓存在本地。原始业务数据的传输也只在数据中心范围内进行,与终端设备完全无关。在数据中心与各个终端设备之间传输的只是屏幕增量变化信息和鼠标键盘变化信息,而且都进行了加密。
终端设备上无需安装应用软件,这就大大免除了IT人员逐个进行终端软件维护的压力。更重要的是,由于应用客户端不在终端桌面直接部署,就不必担心受到扫描、破解、反向工程等攻击。这样一来,曙光医院的IT系统和数据的安全性就从根本上得到了保证。
解决方案技术优势
1. 应用部署集中化,全面降低维护成本
全部应用部署于位于数据中心的服务器上,实现应用管理的集中化,大大减轻IT部门对各终端应用的维护压力。
2. 数据存储集中化,杜绝在客户端被窃取或遗失
由于桌面客户端部署在曙光医院的数据中心内,所以原始的业务数据的传输也只在数据中心的范围内,不用担心原本的客户端硬盘损坏等导致业务数据丢失,安全性比传统客户端大幅提高。
3. 桌面客户端集中化,全面提升应用安全性
在数据中心到各分支机构的网络中传输的是经过Citrix协议加密的屏幕刷新和键盘鼠标操作等信息,难以被截获破解,很好地保护了原始数据信息。
4. 应用反应速度快,提升用户体验
客户端集中部署于数据中心,其与后台应用服务器之间的连接速度良好,从而使应用的反应速度有所保证。特别是对低带宽、高延时的网络,终端应用的速度和用户体验大大增强。
5. 网络安全策略轻松配置,应用适应性大幅提高
对于需要跨安全分区访问的应用,以往,不同的应用需要开放不同的IP地址段和端口,现在,只需要配置从客户端至Citrix服务器的策略即可。即使应用改变,也无须改变防火墙策略。
6. 支持医院特殊应用,实现移动查房
有效支持曙光医院所需的特殊应用,比如扫描器枪、CS架构的点餐系统等,保证了速度和效率,而且支持移动医疗、移动护理、移动查房。