1、书生医疗卫生云平台书生医疗卫生云平台 解决方案解决方案 2016年4月 书生医疗卫生云平台 解决方案 2 0 1 6 年4 月 下一代医疗信息系统-“医疗卫生云医疗卫生云”下一代医疗信息系统-“医疗卫生云”医疗卫生云实现目标 决策者决策者 低低TCO TCO 可分阶段投资可分阶段投资 原有投资的保护原有投资的保护 领导领导 数据整合数据整合?易实现不同系统的整合易实现不同系统的整合?适应不间断高负荷运行适应不间断高负荷运行?保障业务连续性与可靠保障业务连续性与可靠性性 高可靠性高可靠性 高可用性高可用性?消除信息孤岛,有效数据共享消除信息孤岛,有效数据共享?统一管理与配置统一管理与配置 服务为
2、核心服务为核心?易于部署和发布新的应用易于部署和发布新的应用 统一管理统一管理 业务部门业务部门 稳定、可靠稳定、可靠 支持全业务支持全业务 快速支持将来业务快速支持将来业务 业务部门业务部门 业务连续性好业务连续性好?一体化安全解决方案一体化安全解决方案?保障信息的安全保障信息的安全 信息部门信息部门 运行维护简单运行维护简单 能够平滑升级能够平滑升级/扩容扩容 问题能够快速修复问题能够快速修复 信息部门信息部门 卫生云平台卫生云平台架构架构 整体的安全整体的安全设计设计 集中存储集中存储 容灾备份容灾备份 绿色节能设计绿色节能设计?低碳环保,节约能源低碳环保,节约能源?利于环境保护利于环境
3、保护?海量数据统一存储海量数据统一存储?海量数据实时分析海量数据实时分析?有效保护数据信息有效保护数据信息 新一代医疗卫生云平台保证卫生医疗数据安全采集,安全传输,安全存储,海量数据与分析,快速检索与分析的数据管理平台,实现卫生医疗资源信息的共享与实时管理;建立统一管理平台、全面共享、数据挖掘,可以向居民、医疗机构、政府机构等不同服务对象提供各类卫生医疗信息服务。医疗卫生云实现目标 决策者 低T C O 可分阶段投资 医疗卫生信息化建设面临的挑战 海量数据的存储和管理“医疗卫生”信息化的建设带动存储容量从TB级向PB级发展 多业务系统引发数据存储类型的多样性 传统存储产品成本 硬件资源管理 传
4、统部署模式造成服务器运行效率低下,只能发挥10-20%传统部署模式扩展能力差,而且响应速度慢,往往从几周到几个月 不同厂商不同品牌产品统一管理困难 关键数据保护不健全,造成数据外泄 数据存储分散,不易查找和汇总 信息化深入,带来机房空间和能源压力 传统应用建设模式造成了一个个数据孤岛 各个部门缺少统一规划,IT重复建设,造成投资浪费 数据传输交换分发方式没有安全保障,无监控机制 数据安全管理 资源共享 医疗卫生信息化建设面临的挑战 海量数据的存储和管理“医疗卫医疗卫生对数据中心提出的要求 信息和资源的整合 要求统一的基础平台 尽可能提高服务器的 利用率,节能降噪 巨大的信息量要求存储的海量、低
5、成本、高性能、高扩展性、安全性 业务的重要性要求 平台的高可靠性 医疗卫生对数据中心提出的要求 信息和资源的整合 要求统一的基书生医疗卫生云平台整体架构 书生云技术体系书生云技术体系 SaaSSaaS平台平台 基本药物基本药物 信息监测统计信息监测统计 公共卫生公共卫生 基本药物配备基本药物配备 基本药物医疗基本药物医疗服务服务 监控服务门户监控服务门户网站网站 远程医疗服务远程医疗服务 服务质量管理服务质量管理 其他应用其他应用 书生云盘书生云盘 管理平台:管理平台:自主可控的运营和运维服务,实现业务管理的协调统一、提高运维及运营的效率 SaaSSaaS层:层:承载医疗卫生的业务应用,兼容用
6、户已有应用软件,支持分布式应用部署,数据可共享 云管理云管理 和和 监控体系监控体系 PaaSPaaS平台平台 数据库服务数据库服务 中间件服务中间件服务 书生安全存储服务书生安全存储服务 书生书生IaaSIaaS平台平台 虚拟化平台虚拟化平台 书生云存储平台书生云存储平台 网络平台网络平台 PaaSPaaS层:层:提供上层应用所需的数据库、中间件和数据安全存储接口服务 IaaSIaaS层:层:基于KVM和自有SURFS存储系统,构建计算资源池、存储资源池和网络资源池 硬件硬件 X86X86服务器服务器 SASSAS交换机交换机 磁盘柜磁盘柜 网络交换机网络交换机 书生医疗卫生云平台整体架构
7、书生云技术体系 S a a S 平台 基书生医疗卫生云应用?计算与存储分布式集中:计算与存储分布式集中:IT条件差的乡镇中心无需构建自己的信息中心,即可实现云数据共享?信息访问不受地域限制:信息访问不受地域限制:用户可以在任何环境使用任何终端,随时访问到卫生云数据中心 以以IaaS+PaaSIaaS+PaaS 为基础形为基础形成医疗卫生云应用平台成医疗卫生云应用平台 Windows OS Apple OS 云应用(Saas)灾备中心 Android OS 云开发平台(Paas)其他形式终端 云基础架构(Iaas)省省/地市级数据中心地市级数据中心 监控平台监控平台 建设目标:建设目标:?建设国
8、家级、省级和地市级三级医疗卫生信息平台?加强公共卫生、医疗服务、新农合、基本药物制度、综合管理五项业务应用?建设健康档案和电子病历2个基础数据库?建设一个专用医疗卫生信息网络?建设标准规范和信息安全两大体系 乡镇中心乡镇中心 书生医疗卫生云应用?计算与存储分布式集中:I T 条件差的乡书生云解决方案 云计算平台?服务器整合,支持对用户现有硬件设备的利旧?计算存储聚合(超融合)的高性能云计算平台 云存储平台?海量高性能数据存储平台?提供数据加密服务,保证云端数据安全 企业云盘?数据集中存储实时备份?安全高效的共享和分发机制 书生云解决方案 云计算平台?服务器整合,支持对用户现有硬件书生医疗卫生云
9、平台技术特点 采用SAS交换架构,大幅度提升传统分布式存储性能,提高虚拟机读写速度 提供块、文件和对象统一的存储访问接口 端到端数据无缝加密技术,保证云端数据存储的安全 支持计算与存储分别扩展,比传统云架构更具性价比优势 书生医疗卫生云平台技术特点 采用S A S 交换架构,大幅度提升传书生医疗卫生云平台核心技术 基于SAS网络的聚合式云架构 书生医疗卫生云平台核心技术 基于S A S 网络的聚合式云架构 目前的存储效率问题 灵活和扩展性灵活和扩展性?磁盘阵列横向扩展能力差,随着应用的增加容易出现存储瓶颈?易受厂商绑定,需要为很多基本上不用的功能付费,采购和维护成本高?对于不同类型的存储接口,
10、需要机头或网关等额外设备 性能性能?普通云存储产品节点采用以太网互联,数据读写需要以太网络传输,效率差?计算和存储之间通过物理交换设备,数据传输时延大,不能充分发挥SSD优势 目前的存储效率问题 灵活和扩展性?磁盘阵列横向扩展能力 解决方案-引入SAS交换机 将存储从计算中独立出来,计算服务器内只配备基本的CPU、内存部件;存储为高密度磁盘柜 构建数据交换网络,摒弃普通云存储通过以太网进行数据传输 存储池化,前端服务器可以共享存储池内所有资源 解决方案-引入S A S 交换机 将存储从计算中独立出来,计算 拓扑架构 基于全局存储池,整合存储架构的数据通道以SAS交换机进行传输 存储控制节点?采
11、用x86服务器,支持横向扩展,通过HBA卡与SAS交换机连接?所有服务器都可以同时访问任意磁盘,形成全局存储池?通过服务器上的存储模块协同实现磁盘的并发读写控制 存储控制节点 SAS交换机?以SAS交换机为核心组成SAS存储网络?SAS交换机的带宽24Gb或48Gb JBOD高密度磁盘柜?将存储介质从服务器中独立出来?独立的扩展柜,可插入机械硬盘或者SSD盘?所有磁盘都是全局可见 全局存储池 拓扑架构 基于全局存储池,整合存储架构的数据通道以S A S SAS架构优势 低延迟?原生SCSI低延迟数据传输通道?本地硬盘访问响应速度 高带宽?2.4X 万兆以太网?3X 光纤网络 高可用?快速数据恢
12、复和扩容?企业级存储独有的HA功能 S A S 架构优势 低延迟?原生S C S I 低延迟数据传输通道 SAS架构优势 超大容量?一个SAS集群系统可以支撑数PB级存储容量?独特、先进的架独特、先进的架构构,可以满足超超大规模大规模运营级云存储系统需求 极低成本?存储控制节点与存储介质分离,扩容成本压缩到扩容成本压缩到极致极致,逼近硬盘逼近硬盘成本成本?不需要额外的存储设备、交换机和组件 灵活的扩展能力?集群内的服务器服务器、JBODJBOD和磁盘磁盘可分别轻松实现动态扩展,无需中断无需中断业务,业务,易于管理维护?支持跨SAS网络的集群扩展,支持大规范的存储应用 S A S 架构优势 超大
13、容量?一个S A S 集群系统可以支撑数 数据读写流程 SASSAS架构的架构的IOIO操作操作 普通云存储普通云存储IOIO操作操作 数据读写流程 S A S 架构的I O 操作 普通云存储I O 操作 企业级HA切换 磁盘动态管理,实时调整磁盘动态管理,实时调整所管理的磁盘挂载到其他所管理的磁盘挂载到其他控制节点上,实现控制节点上,实现HAHA功能功能 企业级H A 切换 磁盘动态管理,实时调整所管理的磁盘挂载到 数据可靠性-纠删码 A1 C5 P A2 P B1 A3 C1 B2 A4 C2 B3 A5 C3 B4 P C4 B5 Disk1-1 Disk2-1 Disk3-1 Disk
14、4-1 Disk5-1 Disk6-1 存储池 将对象分段并加入校验数据,写入不同磁盘将对象分段并加入校验数据,写入不同磁盘柜的磁盘柜的磁盘 根据数据可靠性要求,校验数据数量为根据数据可靠性要求,校验数据数量为1 1,2 2和和3 3 数据可靠性-纠删码 A 1 C 5 P A 2 P B 1 A 3 计算与存储聚合 支持用户虚拟机与存储控制软件部署到一台服务器 结合SAS网络将计算和存储之间路径缩短到极致 计算与存储聚合 支持用户虚拟机与存储控制软件部署到一台服书生医疗卫生云平台核心技术 TruPrivacy数据安全技术 书生医疗卫生云平台核心技术 T r u P r i v a c y 数
15、据安全技 目前的存储安全问题 数据安全现状不容乐观数据安全现状不容乐观?Google到2013年8月(斯诺登事件后)才开始对数据加密?Amazon从2011年才提供加密选项(缺省是不加密)?大量公共云根本就不加密 加密就没有问题了吗?加密就没有问题了吗??系统风险:黑客利用系统漏洞拿到管理员账号口令?网络风险:SSL漏洞?人员风险:美国斯诺登事件;DROPBOX:用户敏感信息可以被内部人员访问,无法避免内部人员获得用户明文数据 目前的存储安全问题 数据安全现状不容乐观?G o o g l e 书生的目标 全球唯一保证任何黑客或后台管理员都无法窃取用户数据 书生的目标 全球唯一保证任何黑客或后台
16、管理员都无法窃取用 书生Truprivacy安全体系 加解密操作都在应用端完成,网络传输和云端存储均以密文形式进行 加密时随机生成存储密钥,一文一密,与任何信息无相关性,极难反向推导,暴力破解效率低 传输过程采用双重加密体系,底层为SSL通道,上层为存储密钥加密后的信息 存储密钥采用用户公钥加密,云端私钥以加密方式存储,管理员无法通过私钥解密存储密钥,只有用户能在应用端用私钥解开 书生T r u p r i v a c y 安全体系 加解密操作都在应用端完 跨用户数据去重 传统方式?通过用户私钥解密存储密钥,再用另一用户公钥加密存储密钥?需要在云端存储用户私钥来完成跨用户去重,存在潜在信息泄露
17、风险 我们的方式?基于用户明文生成共享密钥,与用户身份无关?在用户上传非重复文件时,用共享密钥加密存储密钥?当用户上传重复文件时,通过共享密钥解密存储密钥,再用另一用户公钥加密存储密钥?云端不需要存储用户私钥,规避了潜在的信息泄露风险 跨用户数据去重 传统方式?通过用户私钥解密存储密钥,再 书生数据安全整体解决方案 书生数据安全整体解决方案 书生医疗卫生云应用 书生企业云盘 书生医疗卫生云应用 书生企业云盘 企业云盘解决方案 为医疗卫生行业用户提供统一的数字资产存储为医疗卫生行业用户提供统一的数字资产存储管理平台管理平台 支持公有云和私有云部署,支持基于用户已有支持公有云和私有云部署,支持基于
18、用户已有硬件的纯软件部署硬件的纯软件部署 采用云基础架构,保证系统的可用性和扩展性采用云基础架构,保证系统的可用性和扩展性 360360公司公司OEMOEM书生企业云盘,双方推出联合品书生企业云盘,双方推出联合品牌牌“360360书生企业云盘书生企业云盘”企业云盘解决方案 为医疗卫生行业用户提供统一的数字资产存 企业云盘主要功能?将分散在员工各种终端设备中的企业数据集中存储在书生企业云盘中将分散在员工各种终端设备中的企业数据集中存储在书生企业云盘中 集中存储集中存储?支持指定驱动器或文件夹的实时备份支持指定驱动器或文件夹的实时备份 备份备份?云端存储,多种客户端支持云端存储,多种客户端支持 随
19、时随地随时随地?对于工作场所经常变更或对于工作场所经常变更或BYODBYOD员工能够实现随时随地访问数据员工能够实现随时随地访问数据 访问访问?以端到端无缝加密的方式进行数据传输和存储,随机生成存储密钥,一文一密以端到端无缝加密的方式进行数据传输和存储,随机生成存储密钥,一文一密 安全交换安全交换?通过日志审计全程监控,出现问题后能够快速溯源通过日志审计全程监控,出现问题后能够快速溯源 分发分发?支持用户根据需要将文件放到共享文件夹中,便于部门内其他人员的访问支持用户根据需要将文件放到共享文件夹中,便于部门内其他人员的访问 协同办公协同办公?通过短链接方式邮件发送大文件,提高办公效率通过短链接
20、方式邮件发送大文件,提高办公效率 企业云盘主要功能?将分散在员工各种终端设备中的企业数据成功案例 成功案例 成功案例成功案例-内蒙呼市玉泉区政务云平台内蒙呼市玉泉区政务云平台 基于SAS架构的书生云存储提供了视频监控存储和云平台服务的存储需求 提供云计算和云存储整体建设方案 云计算平台承载平安城市、综治网格、应急指挥、电子政务业务;总 CPU核数512核,1792GB内存 基于SAS交换架构的存储系统为视频监控提供海量高性能存储空间,外部接口为 10或40Gb以太网接口,存储容量为1.5PB 作为试点先行在玉泉区开展,目前正在向全市进行推广 成功案例-内蒙呼市玉泉区政务云平台 基于S A S
21、架构的书生云存江苏省公安厅江苏省公安厅 为全省和为全省和1313个地市,共计个地市,共计1515万终端提供海量数据集中存储、实时备份、共享分享平台万终端提供海量数据集中存储、实时备份、共享分享平台 定制化功能:为定制化功能:为IM RTXIM RTX软件提供插件,完成简单的文件上传、分享、消息通知功能;与公安软件提供插件,完成简单的文件上传、分享、消息通知功能;与公安部人员数据库对接,完成组织架构的自动导入部人员数据库对接,完成组织架构的自动导入 部署方式:省市两级部署方案,成功分担了省公安厅硬件投资负担;同时为用户提供数据就部署方式:省市两级部署方案,成功分担了省公安厅硬件投资负担;同时为用户提供数据就近访问功能:省级用户上传的文件存储在省级的存储里,市级用户上传的文件存储在市级的近访问功能:省级用户上传的文件存储在省级的存储里,市级用户上传的文件存储在市级的存储里,大大降低了专网的负担。存储里,大大降低了专网的负担。江苏省公安厅 为全省和1 3 个地市,共计1 5 万终端提供海量数整体部署架构图整体部署架构图 整体部署架构图 感谢聆听 感谢聆听 感谢聆听 感谢聆听
