文雷

关键词：移动办公；云桌面；网络安全；闲置服务器

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2023）21-0052-03

0 引言

随着医疗行业信息技术的不断建设与发展，已经形成以HIS系统、LIS系统、PACS系统、EMR系统为核心的医疗信息系统及各类专科业务信息系统。通过医疗信息系统规范医疗流程，实现不同系统之间数据互联互通，提高工作效率，提升医疗服务质量，助力医院业务发展。

终端维护工作一直都是医院IT运维中的重点和难点之一。终端运维的日常维护工作包含维护网络、安装终端操作系统、安装业务软件、安装各类驱动、外接设备（打印机、高拍仪等）等，工作内容繁杂，工作量大，维护效率低。终端正常工作时间直接关系着临床工作效率。

采用云桌面技术解决终端运维难点，提高终端运维效率。桌面虚拟化使用统一的虚拟硬件封装技术，使用统一的虚拟硬件驱动，不再维护庞大的驱动程序库。使用虚拟机模板技术进行虚拟机桌面的快速克隆，并且设定规则自动完成操作系统配置，实现批量部署，大量减少部署时间。更新虚拟桌面模板，集中更新指定虚拟机模板，即可实现虚拟桌面系统的更新。在桌面虚拟化基础镜像中安装应用程序，只需要更新系统模板，即可完成应用程序安装。也可以通过桌面虚拟软件打包技术，对应用程序进行打包分发，也可实现应用程序的更新[1]。

云桌面技术不仅解决了终端运维的问题，同时也带来了更多收益。数据安全：云桌面虚拟化技术的中心计算和存储的特性，保障了终端所有的操作都是在数据中心内部完成，形成了数据不落地的优势。移动办公：通过桌面虚拟化可以在任何时间、任何地点、任何设备上进行业务操作，为移动办公提供IT技术支撑。可靠性方面：以数据中心的服务器虚拟化平台为基础构建的云桌面虚拟化环境，通过高可用和动态资源调度等特性，可以保证云桌面在生產环境可以不停顿地使用。

在医疗行业中，云桌面技术应用的业务场景分为办公类、窗口业务类、实验室类、诊室业务类、病房业务类、移动办公类。不同的业务场景，对计算、存储和外接设备的需求不一样。办公类业务场景，外接设备较少，计算能力要求较高。窗口业务类业务场景，外接设备种类多，有医保读卡器、针式打印机、挂号打印机、POS设备、扫码盒子等。实验室类业务场景，外接设备偏向于串口类。移动办公类业务场景，更偏向数据安全要求、远程办公需求。

近些年，医疗数据中心的建设大致经历了三个阶段，从“烟囱式”建设到服务器虚拟化，再到私有云。“烟囱式”建设是医院引进一套医疗信息化系统，需要采购一套服务器和存储与系统配套。服务器虚拟化是利用软件将物理服务器资源虚拟化，形成多个逻辑资源，最大化充分利用服务器资源。私有云是融合计算、存储和网络等虚拟化技术，形成统一管理、资源调度等资源管理能力，为业务场景提供云计算服务[2]。

在数据中心中，存在部分服务器处于闲置状态。医疗信息系统升级或者更换，业务量增长速度过快，原有服务器的性能不能满足生产需要。数据中心新建虚拟化平台或者私有云，将医疗信息系统迁移至虚拟化平台或者私有云，原有服务器空闲。虚拟化平台节点服务器更换淘汰[3-6]。

闲置的服务器虽然在CPU计算力上弱于其他服务器，用于移动办公云桌面的服务器虚拟化。一般云桌面是根据终端数量核算服务器物理资源，但是移动办公云桌面是根据同时在线人数核算服务器物理资源。因此可以用闲置的服务器作为移动办公云桌面服务器虚拟化[7]。

通过对临床部门、医技科室和职能部门的移动办公需求调研，依据业务类型分析云桌面硬件需求。改造升级旧服务器，采用VDI架构建设云桌面。使用VPN（虚拟专用网络）网络安全设备加密网络数据包，保障数据传输安全。实现互联网环境下的移动办公。

1 需求分析

1.1 用户需求分析

对临床部门、医技科室调研，移动办公的需求：

1） 书写病历文书。医生在医院大部分时间都在诊治病人，处理病历文书的时间很少。可以在互联网环境下使用云桌面，不改变使用习惯，书写病历文书。

2） 病例讨论。为了更好地提供医疗服务质，临床科室会邀请行业专家参与病例讨论。随着视频会议软件的兴起，线下会议转到线上会议成为可能。通过云桌面技术，可以在线上会议中展示病例资料。

3） 科研项目。医疗数据呈现数据繁多，社会关注度高、可信性高、隐私性高、敏感度高特性。在科研项目中使用医疗数据，为避免数据泄露风险，需要经过合规性检查和数据脱敏之后，才能使用数据。利用云桌面数据集中存储，数据不落地的特性有效解决科研项目中的数据泄露风险，提高科研工作效率。

1.2 移动办公云桌面终端

移动办公云桌面终端与普通云桌面终端之间有一些不同之处：

1） 终端运行方式。普通云桌面运行在瘦客户端或者PC上，采用定制的嵌入式操作系统，一键开机自启动模式，实现一键开机，自动登录云桌面，表现出与一般使用电脑模式无区别。移动办公云桌面终端需要用户在电脑上安装客户端软件，运行客户端方能使用云桌面。

2） 外接设备。普通云桌面为满足日常工作需要，会外接打印机、高拍仪、扫码设备等USB类型设备和串口设备。移动办公云桌面的工作可以不需要外接任何设备。

3） 网络环境。普通云桌面终端运行在医院内网，默认是受信任网络，采用防火墙或网闸设备与其他网络隔离。移动办公云桌面终端运行在互联网环境，网络环境复杂，是一个不受信任的网络。

4） 物理服务器资源。普通云桌面依据医院使用部门评估终端使用数量和使用时间，以此估算物理服务器资源。移动办公云桌面可以确定使用数量，一般同时在线数量比较少，终端使用时间不固定，使用频率不高，所以移动云桌面物理服务器资源对CPU和内存要求不高。

综上所述，基于医疗业务驱动，投入较低的资金升级改造旧服务器，建设移动办公云桌面的方案是可行的。

2 云桌面网络架构

2.1 医院网络信息安全现状

医疗机构采用基于边界的网络安全防护策略，将医院网络分为外网、内网和专网三部分。外网连接互联网是行政办公网络。内网是医院内部局域网，承担全院医疗信息系统运行的网络，与其他网络是隔离的，默认是受信任网络。专网是一类只为单一业务提供网络服务的网络专线，有医保专线、银行专线、卫生专线以及其他网络专线。在三个网络之间采用防火墙或者网闸等网络安全设备进行网络隔离[8-9]。

随着“互联网医院”和“智慧医院”的发展建设，医院的业务从内网拓展到互联网，比如互联网挂号、移动支付、患者检验检查信息查询等业务。不仅方便了患者，更是医院拥抱互联网提升医疗服务质量，改善患者就医环境。

医院信息化发展已经模糊了网络边界的划分，内网的边界已经不再是传统意义上基于医院内部网络。并且基于边界的网络安全策略已经无法满足医院网络信息安全要求。

2017年勒索病毒WannaCry借助高危漏洞“永恒之蓝”肆虐全球，入侵关键基础设施。对操作系统以外的数据文件全部加密，致使业务停止服务，要求支付赎金才能解密数据，造成严重的经济损失。随后勒索病毒呈现出产业化、家族化运营的特征，从最初的无差别网络攻击到对不同行业实施APT（高级可持续威胁）攻击。因医疗数据价值高、网络信息安全防护薄弱、网络信息安全人才缺乏，成为勒索病毒威胁的重灾区。国内已经出现医疗机构的关键基础设施遭受勒索病毒攻击，全院医疗系统瘫痪，无法提供医疗服务，损失不可估量[10-12]。

一个合理的移动办公云桌面网络架构，不仅要满足业务需求，也要考虑网络安全合规性。

2.2 云桌面网络架构

移动云桌面的终端用户从互联网连接虚拟云桌面，通过云桌面远程协议技术实现与虚拟云桌面进行操作、输入输出、用户界面交互。云桌面远程协议技术实现了终端用户本地环境上不生产数据，数据一直在数据中心，形成“数据不落地”特点。互联网是一个复杂网络，存在很多不安全的因素。因此采取如下的网络设计，保障云桌面的网络安全。

1） 增加VPN（虚拟专用网络）网关设备，在终端用户和医院网络之间建立一条安全的数据传输通道。采用SSL（Secure Socket Layer） 协议加密IP数据包，防止被嗅探工具非法窃听破译IP数据包内容。终端用户虽然处于互联网环境，也可以像在医院网络一样访问云桌面。

2） 保持云桌面技术的网络组网不变，云桌面放置于内网和外网之间（图1） ，通过防火墙严格控制云桌面的网络访问，按需提供网络访问授权[13-15]。在外网防火墙一侧，是通过VPN访问云桌面。在外网防火墙上配置ACL（访问控制列表），配置访问云桌面的终端源地址限制为VPN设备，依据云桌面远程协议技术采用的传输协议和端口配置访问云桌面的目的地址、目的端口和传输协议。 在内网防火墙一侧，根据虚拟桌面的分类限制访问指定业务，如只能访问HIS系统、LIS系统等医疗信息系统。

在终端用户配置VPN，保障了网络数据传输降低了在互联网环境下被网络攻击的风险。云桌面位于内网防火墙和外网防火墙之间。外网防火墙只开放云桌面远程协议技术所需要的端口和传输协议。不论业务系统如何变化，不需要在外网防火墙重新配置ACL，不影响终端用户访问云桌面。

3 云桌面建设

3.1 服务器硬件改造

在2022年，应用VDI解决方案的云桌面国内厂商有升腾云、华为、深信服、ZTE，选择升腾云厂商提供的云桌面产品。

移动办公云桌面目标是虚拟云桌面数量60个，同时在线用户不超过30个，虚拟云桌面的硬件配置要求4 核、6G 内存、50G 硬盘（系统盘）和40G 硬盘（数据盘）。物理服务器选择两台曙光（I840-G25） 服务器配置两颗16核CPU（型号：E7-4820 v2） 和196G内存。

HCI（超融合）存储虚拟化要求物理服务器配置的阵列卡支持直通模式，通过软件定义存储技术对硬盘直接读写，实现硬盘热插拔。采用直通模式的HCI ，在生产环境可以做到不停机维护故障硬盘或者新增硬盘，提高维护工作效率。如果阵列卡不支持直通模式，需要将服务器上每块硬盘单独配置为raid0，实现HCI对硬盘的直接读写。但是对应硬盘进行维护时，需要关闭物理服务器，更换或者新增硬盘，配置硬盘raid 0。服务器开机，进入超融合管理平台维护硬盘。不仅需要暂停HCI服务，也增加了操作风险。

曙光服务器配置的陣列卡不支持直通模式，需要将每块硬盘配置为raid 0，才能满足HCI存储虚拟化要求。在以后硬盘维护，一定要按照规范操作，减少人为风险，降低维护时间。

曙光服务器的CPU和内存满足移动云桌面设计目标，现对网络和硬盘进行更换升级，详细见表1。

3.2 部署HCI

1） 服务器上安装升腾云主机镜像，物理主机资源虚拟化。

2） 部署HCI管理平台，完成双节点服务器计算虚拟化、存储虚拟化、网络虚拟化，形成统一的计算资源和存储资源。

3.3 部署云桌面

1） 安装AD活动目录服务器，实现用户授权、管理、认证。如单点登录功能依赖AD。

2） 安装威讯云桌面系统，基于升腾云HCI基础平台上，管理虚拟桌面，包括创建、删除、修改、授权、虚拟桌面模板定制等操作。

4 结果

移动办公云桌面部署完成后，分配虚拟桌面60 个，测试同时运行20个虚拟桌面。测试结果表明移动办公云桌面平台性能满足目标。

终端用户反馈使用VPN访问云桌面，与在医院使用比较，存在一定的延迟。在互联网环境中，网络速度的稳定性决定了移动办公云桌面使用的效果。因此从两方面优化：一是建议终端用户选择网络稳定、速度快的互联网环境使用移动办公云桌面。二是建议厂商对云桌面远程协议技术优化，压缩远程协议数据包，降低对网络速度的要求。

5 结束语

基于数据中心闲置服务器利旧策略，投入资金少，升级改造服务器建设移动办公云桌面平台。采用VPN建立一条安全的网络数据传输通道，降低了网络安全攻击风险。不仅满足远程办公、线上会议讨论、科研项目等临床科室需求，而且基于VDI架构的云桌面数据“不落地”的特点，降低了数据泄露的风险。