醫(yī)療云平臺解決方案及應用

書生醫(yī)療衛(wèi)生云平臺解決方案2016年4月下一代醫(yī)療信息系統(tǒng)--“醫(yī)療衛(wèi)生云”醫(yī)療衛(wèi)生云實現(xiàn)目標衛(wèi)生云平臺架構易實現(xiàn)不同系統(tǒng)的整合

消除信息孤島，有效數(shù)據(jù)共享一體化安全解決方案保障信息的安全適應不間斷高負荷運行保障業(yè)務連續(xù)性與可靠性

統(tǒng)一管理與配置

易于部署和發(fā)布新的應用

低碳環(huán)保，節(jié)約能源

利于環(huán)境保護數(shù)據(jù)整合整體的安全設計集中存儲容災備份綠色節(jié)能設計服務為核心統(tǒng)一管理海量數(shù)據(jù)統(tǒng)一存儲海量數(shù)據(jù)實時分析有效保護數(shù)據(jù)信息高可靠性高可用性領導業(yè)務部門信息部門決策者低TCO可分階段投資原有投資的保護

業(yè)務部門穩(wěn)定、可靠支持全業(yè)務快速支持將來業(yè)務業(yè)務連續(xù)性好

信息部門運行維護簡單能夠平滑升級/擴容問題能夠快速修復新一代醫(yī)療衛(wèi)生云平臺保證衛(wèi)生醫(yī)療數(shù)據(jù)安全采集，安全傳輸，安全存儲，海量數(shù)據(jù)與分析，快速檢索與分析的數(shù)據(jù)管理平臺，實現(xiàn)衛(wèi)生醫(yī)療資源信息的共享與實時管理；建立統(tǒng)一管理平臺、全面共享、數(shù)據(jù)挖掘，可以向居民、醫(yī)療機構、政府機構等不同服務對象提供各類衛(wèi)生醫(yī)療信息服務。醫(yī)療衛(wèi)生信息化建設面臨的挑戰(zhàn)海量數(shù)據(jù)的存儲和管理“醫(yī)療衛(wèi)生”信息化的建設帶動存儲容量從TB級向PB級發(fā)展多業(yè)務系統(tǒng)引發(fā)數(shù)據(jù)存儲類型的多樣性傳統(tǒng)存儲產品成本硬件資源管理傳統(tǒng)部署模式造成服務器運行效率低下，只能發(fā)揮10-20%傳統(tǒng)部署模式擴展能力差，而且響應速度慢，往往從幾周到幾個月不同廠商不同品牌產品統(tǒng)一管理困難數(shù)據(jù)安全管理關鍵數(shù)據(jù)保護不健全，造成數(shù)據(jù)外泄數(shù)據(jù)存儲分散，不易查找和匯總數(shù)據(jù)傳輸交換分發(fā)方式沒有安全保障，無監(jiān)控機制資源共享信息化深入，帶來機房空間和能源壓力傳統(tǒng)應用建設模式造成了一個個數(shù)據(jù)孤島各個部門缺少統(tǒng)一規(guī)劃，IT重復建設，造成投資浪費醫(yī)療衛(wèi)生對數(shù)據(jù)中心提出的要求信息和資源的整合要求統(tǒng)一的基礎平臺盡可能提高服務器的利用率，節(jié)能降噪巨大的信息量要求存儲的海量、低成本、高性能、高擴展性、安全性業(yè)務的重要性要求平臺的高可靠性PaaS平臺云管理和監(jiān)控體系硬件書生IaaS平臺書生云技術體系SaaS平臺書生醫(yī)療衛(wèi)生云平臺整體架構IaaS層：基于KVM和自有SURFS存儲系統(tǒng)，構建計算資源池、存儲資源池和網(wǎng)絡資源池PaaS層：提供上層應用所需的數(shù)據(jù)庫、中間件和數(shù)據(jù)安全存儲接口服務SaaS層：承載醫(yī)療衛(wèi)生的業(yè)務應用，兼容用戶已有應用軟件，支持分布式應用部署，數(shù)據(jù)可共享管理平臺：自主可控的運營和運維服務，實現(xiàn)業(yè)務管理的協(xié)調統(tǒng)一、提高運維及運營的效率基本藥物公共衛(wèi)生基本藥物醫(yī)療服務基本藥物配備監(jiān)控服務門戶網(wǎng)站服務質量管理書生云盤遠程醫(yī)療服務信息監(jiān)測統(tǒng)計其他應用書生醫(yī)療衛(wèi)生云應用計算與存儲分布式集中：

IT條件差的鄉(xiāng)鎮(zhèn)中心無需構建自己的信息中心，即可實現(xiàn)云數(shù)據(jù)共享信息訪問不受地域限制：用戶可以在任何環(huán)境使用任何終端，隨時訪問到衛(wèi)生云數(shù)據(jù)中心云開發(fā)平臺(Paas)WindowsOSAppleOSAndroidOS云應用(Saas)災備中心云基礎架構（Iaas）監(jiān)控平臺鄉(xiāng)鎮(zhèn)中心建設目標：建設國家級、省級和地市級三級醫(yī)療衛(wèi)生信息平臺加強公共衛(wèi)生、醫(yī)療服務、新農合、基本藥物制度、綜合管理五項業(yè)務應用建設健康檔案和電子病歷2個基礎數(shù)據(jù)庫建設一個專用醫(yī)療衛(wèi)生信息網(wǎng)絡建設標準規(guī)范和信息安全兩大體系其他形式終端以IaaS+PaaS為基礎形成醫(yī)療衛(wèi)生云應用平臺省/地市級數(shù)據(jù)中心書生云解決方案云計算平臺服務器整合，支持對用戶現(xiàn)有硬件設備的利舊計算存儲聚合（超融合）的高性能云計算平臺云存儲平臺海量高性能數(shù)據(jù)存儲平臺提供數(shù)據(jù)加密服務，保證云端數(shù)據(jù)安全企業(yè)云盤數(shù)據(jù)集中存儲實時備份安全高效的共享和分發(fā)機制書生醫(yī)療衛(wèi)生云平臺技術特點采用SAS交換架構，大幅度提升傳統(tǒng)分布式存儲性能，提高虛擬機讀寫速度提供塊、文件和對象統(tǒng)一的存儲訪問接口端到端數(shù)據(jù)無縫加密技術，保證云端數(shù)據(jù)存儲的安全支持計算與存儲分別擴展，比傳統(tǒng)云架構更具性價比優(yōu)勢書生醫(yī)療衛(wèi)生云平臺核心技術基于SAS網(wǎng)絡的聚合式云架構

目前的存儲效率問題靈活和擴展性磁盤陣列橫向擴展能力差，隨著應用的增加容易出現(xiàn)存儲瓶頸易受廠商綁定，需要為很多基本上不用的功能付費，采購和維護成本高對于不同類型的存儲接口，需要機頭或網(wǎng)關等額外設備性能普通云存儲產品節(jié)點采用以太網(wǎng)互聯(lián)，數(shù)據(jù)讀寫需要以太網(wǎng)絡傳輸，效率差計算和存儲之間通過物理交換設備，數(shù)據(jù)傳輸時延大，不能充分發(fā)揮SSD優(yōu)勢

解決方案-引入SAS交換機SAS交換機將存儲從計算中獨立出來，計算服務器內只配備基本的CPU、內存部件；存儲為高密度磁盤柜構建數(shù)據(jù)交換網(wǎng)絡，摒棄普通云存儲通過以太網(wǎng)進行數(shù)據(jù)傳輸存儲池化，前端服務器可以共享存儲池內所有資源

拓撲架構JBOD高密度磁盤柜存儲控制節(jié)點采用x86服務器，支持橫向擴展，通過HBA卡與SAS交換機連接所有服務器都可以同時訪問任意磁盤，形成全局存儲池通過服務器上的存儲模塊協(xié)同實現(xiàn)磁盤的并發(fā)讀寫控制將存儲介質從服務器中獨立出來獨立的擴展柜，可插入機械硬盤或者SSD盤所有磁盤都是全局可見SAS交換機以SAS交換機為核心組成SAS存儲網(wǎng)絡SAS交換機的帶寬24Gb或48Gb全局存儲池存儲控制節(jié)點基于全局存儲池，整合存儲架構的數(shù)據(jù)通道以SAS交換機進行傳輸?shù)脱舆t原生SCSI低延遲數(shù)據(jù)傳輸通道本地硬盤訪問響應速度高帶寬2.4X萬兆以太網(wǎng)3X光纖網(wǎng)絡高可用快速數(shù)據(jù)恢復和擴容企業(yè)級存儲獨有的HA功能

SAS架構優(yōu)勢超大容量一個SAS集群系統(tǒng)可以支撐數(shù)PB級存儲容量獨特、先進的架構，可以滿足超大規(guī)模運營級云存儲系統(tǒng)需求極低成本存儲控制節(jié)點與存儲介質分離，擴容成本壓縮到極致，逼近硬盤成本不需要額外的存儲設備、交換機和組件靈活的擴展能力集群內的服務器、JBOD和磁盤可分別輕松實現(xiàn)動態(tài)擴展，無需中斷業(yè)務，易于管理維護支持跨SAS網(wǎng)絡的集群擴展，支持大規(guī)范的存儲應用

SAS架構優(yōu)勢SAS架構的IO操作

數(shù)據(jù)讀寫流程普通云存儲IO操作磁盤動態(tài)管理，實時調整所管理的磁盤掛載到其他控制節(jié)點上，實現(xiàn)HA功能

企業(yè)級HA切換

數(shù)據(jù)可靠性-糾刪碼A1PC5A2B1PA3B2C1A4B3C2A5B4C3PB5C4存儲池將對象分段并加入校驗數(shù)據(jù)，寫入不同磁盤柜的磁盤根據(jù)數(shù)據(jù)可靠性要求，校驗數(shù)據(jù)數(shù)量為1，2和3Disk6-1Disk4-1Disk3-1Disk2-1Disk1-1Disk5-1

計算與存儲聚合支持用戶虛擬機與存儲控制軟件部署到一臺服務器結合SAS網(wǎng)絡將計算和存儲之間路徑縮短到極致書生醫(yī)療衛(wèi)生云平臺核心技術TruPrivacy數(shù)據(jù)安全技術

目前的存儲安全問題數(shù)據(jù)安全現(xiàn)狀不容樂觀Google到2013年8月（斯諾登事件后）才開始對數(shù)據(jù)加密Amazon從2011年才提供加密選項（缺省是不加密）大量公共云根本就不加密加密就沒有問題了嗎？系統(tǒng)風險：黑客利用系統(tǒng)漏洞拿到管理員賬號口令網(wǎng)絡風險：SSL漏洞人員風險：美國斯諾登事件；DROPBOX：用戶敏感信息可以被內部人員訪問，無法避免內部人員獲得用戶明文數(shù)據(jù)

書生的目標我們需要的不僅僅是加密，而是在系統(tǒng)不安全、網(wǎng)絡不安全、人員不安全的前提下仍然能夠保證數(shù)據(jù)安全全球唯一保證任何黑客或后臺管理員都無法竊取用戶數(shù)據(jù)

書生Truprivacy安全體系加解密操作都在應用端完成，網(wǎng)絡傳輸和云端存儲均以密文形式進行加密時隨機生成存儲密鑰，一文一密，與任何信息無相關性，極難反向推導，暴力破解效率低傳輸過程采用雙重加密體系，底層為SSL通道，上層為存儲密鑰加密后的信息存儲密鑰采用用戶公鑰加密，云端私鑰以加密方式存儲，管理員無法通過私鑰解密存儲密鑰，只有用戶能在應用端用私鑰解開

跨用戶數(shù)據(jù)去重傳統(tǒng)方式通過用戶私鑰解密存儲密鑰，再用另一用戶公鑰加密存儲密鑰需要在云端存儲用戶私鑰來完成跨用戶去重，存在潛在信息泄露風險我們的方式基于用戶明文生成共享密鑰，與用戶身份無關在用戶上傳非重復文件時，用共享密鑰加密存儲密鑰當用戶上傳重復文件時，通過共享密鑰解密存儲密鑰，再用另一用戶公鑰加密存儲密鑰云端不需要存儲用戶私鑰，規(guī)避了潛在的信息泄露風險

書生數(shù)據(jù)安全整體解決方案書生醫(yī)療衛(wèi)生云應用書生企業(yè)云盤為醫(yī)療衛(wèi)生行業(yè)用戶提供統(tǒng)一的數(shù)字資產存儲管理平臺支持公有云和私有云部署，支持基于用戶已有硬件的純軟件部署采用云基礎架構，保證系統(tǒng)的可用性和擴展性

企業(yè)云盤解決方案360公司OEM書生企業(yè)云盤，雙方推出聯(lián)合品牌“360書生企業(yè)云盤”集中存儲備份將分散在員工各種終端設備中的企業(yè)數(shù)據(jù)集中存儲在書生企業(yè)云盤中支持指定驅動器或文件夾的實時備份隨時隨地訪問云端存儲，多種客戶端支持對于工作場所經常變更或BYOD員工能夠實現(xiàn)隨時隨地訪問數(shù)據(jù)安全交換分發(fā)以端到端無縫加密的方式進行數(shù)據(jù)傳輸和存儲，隨機生成存儲密鑰，一文一密通過日志審計全程監(jiān)控，出現(xiàn)問題后能夠快速溯源協(xié)同辦公支持用戶根據(jù)需要將文件放到共享文件夾中，便于部門內其他人員的訪問通過短鏈接方式郵件發(fā)送大文件，提高辦公效率

企業(yè)云盤主要功能成功案例提供云計算和云存儲整體建設方案云計算平臺承載平安城市、綜治網(wǎng)格、應急指揮、電子政務業(yè)務；總CPU核數(shù)512核，1792GB內存基于SAS交換架構的存儲系統(tǒng)為視頻監(jiān)控提供海量高性能存儲空間，外部接口為10或40Gb以太網(wǎng)接口，存儲容量為1.5PB作為試點先行在玉泉區(qū)開展，目前正在向全市進行推廣成功案例-內蒙呼市玉泉區(qū)政務云平臺基于SAS架構的書生云存儲提供了視頻監(jiān)控存儲和云平臺服務的存儲需求江蘇省公