云计算医疗解决方案

欢迎使用Markdown编辑器写博客

目录
1背景与需求 2
1.1政策背景 2
1.2行业背景 2
1.3公司需求 2
2 解决方案之整体方案 3
2.1天翼云优势 3
2.2硬件资源汇总表 4
3 解决方案之详细设计方案 5
3.1云计算方案总体架构 5
3.2云计算方案的详细架构 6
3.2.1云监控 6
3.2.2云专线 7
3.2.2网络架构 8
3.2.3安全与管控 8
3.2.4对象存储 11
3.2.5备份和容灾设计 11
3.3视频会议翼T 11
3.4设备清单列表 12
4解决方案值业务迁移和运维方案 13
4.1迁移方案 13
4.2运维服务保障 13
5 资质与案例 22
5.1相关项目上云成功案例列表 22
5.2天翼云详细案例 22
5.3资质文件 23

1背景与需求
1.1政策背景
2009年，我国拉开新医疗改革的序幕，其中逐步深入的推动了医疗建设的投入，也催生出更多的医疗信息化应用，推动了互联网医疗的发展。2016年6月，国务院办公室印发《关于促进和规范健康医疗大数据应用发展的指导意见》明确规划了我国医疗数字化的发展目标。该政策的颁布实施为互联网医疗智慧化发展提供了数字保障，为互联网功能医疗发展提供了方向指引。2017年5月国家卫计委办公室印发的《关于征求互联网诊疗管理办法（试行）》和《关于推进互联网医疗服务发展的意见（征求意见稿）意见的函》两个文件的发布为我国互联网医疗的深化发展提供了更加明确的政策保障。
1.2行业背景
2015年7月5日国务院颁布《国务院关于积极推进“互联网+”行动的指导意见》，围绕重点行业融合创新的发展需求，进一步细化了互联网在医疗卫生领域的应用。意见指出，需推广在线医疗的新模式，支持第三方机构建立医疗信息共享服务平台，逐步建立跨医院的医疗数据共享交换标准体系。鼓励互联网企业与医疗机构合作建立医疗网络信息平台，加强区域医疗卫生服务资源整合，充分利用互联网，大数据等手段，提高突发事件的可控性和防控能力。
1.3公司需求
该公司希望通过构建云上视频平台以及视频会议组网形式，对医疗机构的人员进行云端授课，授课形式分为多种，有固定时间的直播授课方式，也有自主点播的方式，通过视频会议的形式，希望能够帮助各级医疗机构进行会诊，加快医疗诊断效率。希望现有云的服务，快速实现：视频直播、点播、视频会议功能。希望通过中立云服务商的优势保证后期的业务数据安全性，增加系统稳定性，视频云课堂平台希望做到成本、生态、产品最优化。
综上所述：
1.保证原有的网络平台运行的数据安全性，日常业务运行安全稳定
2.云端授课、固定时间直播、自主点播、远程视频会议、远程视频会诊
3.降低直播点播平台的流量费用
4.本地机房与云端服务器互联互通

2 解决方案之整体方案
2.1天翼云优势
云主机因为具有高可用性、高稳定性、配置灵活等特点，被越来越多的用户所接受。随着云计算技术的逐渐成熟，越来越多的用户选择云主机服务。与此同时，市面上也出现了越来越多的云主机服务商，目前,国企云服务商中当属中国电信最优秀,相对于阿里云来说天翼云是依托中国电信的品牌影响力和技术支持团队推出的产品，在机房、带宽等底层资源方面有优势。天翼云的定价和阿里云基本持平，多数型号价格相比阿里云便宜些，而且CPU核数越高、内存越大，天翼云的价格优势越明显。“云网融合、专享定制、安全可信”是天翼云的三大优势。
1、云网融合： 利用电信强大的网络资源，提供云、管、端的协同，通过网络将电信基础设施与云计算紧密结合起来，不仅将网络变成了可配置、按需调用的服务，也将IDC、物理服务器等基础设施变成可配置、按需调用的服务。
2、安全可信：着力加强安全防护，实现包括网络接入、数据传输、数据存储、应用监测、资源管理、操作与业务合规在内的整体安全防护体系。率先通过可信云认证，等保三级认证，ISO 27001安全管理体系认证。充分满足行业客户的合法、合规及安全性需求。
3、专享定制：为行业客户提供从咨询、设计、迁移、实施到维护的全流程可定制服务，用户可以根据需求，灵活选择公有云、混合云、私有云等多种服务模式和资源租赁，合作运营等多种商务模式。通过强大而专业的政企服务团队，为行业客户提供属地化、个性化服务。
现阶段，对于商业机构来说，数据的重要性不言而喻，数据信息受损无疑将给企业带来巨大的损失。不久前，勒索病毒肆虐全球，天翼云的快速响应与安全防护能力给业界留下深刻印象。作为云服务提供商“国家队”的天翼云始终扞卫客户的数据安全，并承诺永不触碰用户数据，让用户更加放心将IT系统托管在中国电信的云服务上。
2.2硬件资源汇总表
序号 名称 明细 需求数量
1 计算节点 计算核数 core个月，core个月
2 网路专线 专线网络 Gb
3 运维服务
4 存储
5 管理及I/O节点

3 解决方案之详细设计方案
3.1云计算方案总体架构
网络架构
1.天翼云云平台将用户机房作为核心机房的一个延伸，统一进行管理，并形成异地灾备能力；
2.管理体系包括各类管理流程，实现对资源、运维、安全保障以及项目组织协调的管理能力；
3.云平台采用天翼云计算平台，将底层物理资源进行云化，向上层应用提供各类服务；
4.整体以混合云的架构，通过专线相连，核心的业务放在用户自己机房内，然后轻量级业务，互联网应用部署在天翼云上。

3.2云计算方案的详细架构

3.2.1云监控
云监控服务（CT-CES，Cloud Eye）面向云主机、云硬盘、RDS等产品提供监控服务，实现性能指标监控、自动告警、历史信息查询等功能。借助云监控服务，用户可以更详细的了解云资源使用情况，方便用户及时调整。
云监控目前支持的指标：
弹性云主机9个指标：CPU使用率、磁盘读速率、磁盘读操作速率、磁盘使用率、磁盘写速率、磁盘写操作速率、内存使用率、带内网络流入速率和带内网络流出速率。
云硬盘4个指标：卷读速率、卷写速率、卷读请求速率、卷写请求速率。         
弹性伸缩组1个指标：实例数。          
负载均衡10个指标：并发连接数、活跃连接数、非活跃连接数、新建连接数、流入数据包数、流出数据包数、网络流入速率、网络流出速率、异常主机数、正常主机数。
虚拟私有云2个指标：上行带宽、下行带宽。   
关系型数据库40个指标：CPU使用率、内存使用率、IOPS、网络输入吞吐量、网络输出吞吐量、数据库总连接数、当前活跃连接数、QPS、TPS、缓冲池利用率、缓冲池命中率、缓冲池脏块率、InnoDB读取吞吐量、 InnoDB写入吞吐量、 InnoDB文件读取频率、 InnoDB文件写入频率 、InnoDB日志写请求频率、InnoDB日志物理写频率、InnoDB日志fsync()写频率、临时表数量、Key Buffer利用率、Key Buffer写命中率、Key Buffer读命中率、MyISAM硬盘写入频率、MyISAM硬盘读取频率、MyISAM缓冲池写入频率、MyISAM缓冲池读取频率、Delete 语句执行频率、Instert语句执行频率、Instert_Selection语句执行频率、Replace语句执行频率、Replace_Selection语句执行频率、Selection语句执行频率、Select语句执行频率、Update语句执行频率、行删除速率、行插入速率、行读取速率、行更新速率、硬盘利用率。

3.2.2云专线
1.产品介绍
云专线接入（CT-CDA，Cloud Dedicated Access） 为用户提供多种链路接 入公有云，提高用户访问云资源的安全性，可支持 CN2 专线、IP-RAN、VxLAN Overlay、MSTP 专线、IPSec VPN。 针对本项目需求，提供带宽为4G双路由的IP-RAN跨域电路专线，连接 机房到本项目所在的柯桥机房，后期可根据客户需求在云专线产品范围内灵活选择专线资源。
2.产品优势
多种链路接入
支持 CN2 专线、IP-RAN、VxLAN Overlay、MSTP 专线、IPSec VPN，可根据业务需求灵活选择。
安全稳定
提供中国电信高质量链路，提供双路由、三路由的冗余方案，保障接入业务稳定、安全、高可用
灵活组合
每种接入方式均可与互联网接入同时使用，实现管理流量、业务流量分离。
降低成本
IPSec VPN 仅收取公网带宽费用，降低接入成本。
3.产品功能
VPN支持多个远端子网
远端子网指通过隧道可达的目标网络地址，用户可以配置多个远端子网，但 是远端子网不能和 VPN 所在的 VPC 下的子网冲突。
CN2（MPLS）专线接入
CN2 专线是指依托于中国电信 CN2 承载网，采用多协议标记交换（MPLS）方式，为用户在多个节点间实现虚拟专网功能，提供安全的 IPv4 和 IPv6 数据信 息传输服务。通过 CN2 专线可实现自有 IT 环境（私有云）与云资源的高效、安全的连接和统一管理。
IP-RAN专线
IPRAN中的IP 指的是互联协议，RAN指的是Radio Access Network。相对于传统的SDH传送网，IPRAN 的意思：“无线接入网IP化”， 是基于IP的传送网。
VxLAN OverLay
该专线类型可针对天翼云各类企业客户，可适应企业对网络需求变化快、对网络性能、系统安全性要求较高的需求，同时对服务要求较高。企业专属VxLAN隧道承载在预先建立的共享城域网VPN和CN2三层VPN管道上，为企业提供云专线接入服务。利用SDN技术实现企业终端即插即用、VxLAN隧道快速建立、按需调整带宽等。
MSTP 专线接入
MSTP 专线是指利用多业务传送节点（MSTP）技术，依托中国电信传送网， 为用户提供具有灵活调整带宽和以太网接入功能数据专线。通过 MSTP 专线可实 现自有 IT 环境（私有云）与云资源的高效、安全的连接和统一管理。
支持 VPN、MPLS 专线、MSTP 专线与互联网同时接入
IPSec VPN、MPLS 专线、MSTP 专线每种接入方式均可与互联网接入同时使用， 即可实现对云资源的安全管理，同时保证对外业务的提供。
3.2.2网络架构
利用云专线技术，实现公有云和私有云网络的互通。利用安全组，对等连接等技术实现VPC间的互通，利用VPN技术实现内外网的互通。

3.2.3安全与管控
安全服务
采用多种安全产品相结合的方式，针对不同的攻击类型，确定使用什么样的安全策略。
1网络隔离
建议参考3.2.4章节的子网、安全组等，针对生产环境、应用服务器和数据库服务器划分不同的子网，并且设置服务器与服务器之间以及服务器与互联网之间互访策略。（具体使用可参见天翼云产品帮助http://www.ctyun.cn/help）
2 Anti-DDos流量清洗
Anti-DDos 流量清洗 通过专业的防DDoS设备提供精细化的抵御DDoS攻击的能力。客户可根据带宽租用需要及业务模型自助配置防护参数，系统检测到DDos攻击后通知用户进行网站防御。该安全服务具备以下特性：
专业可靠 专业级防DDoS设备、丰富的防护经验；TCP、UDP清洗零误杀，确保业务稳定可靠
全面精准 百万级的IP黑名单库，精准有效
秒级响应 秒级攻击响应延迟；极低清洗网络延迟
免安装免维护 无需采购昂贵清洗设备，默认为云上客户开通，可免费使用
3 Web漏洞扫描
Web 漏洞扫描（Web Scan）用于检测在云服务器上运行的WEB页面的漏洞。目前支持通用WEB漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。该安全服务具备以下特性：
扫描覆盖范围广 覆盖OWASP Top 10，支持27种以上Web漏洞安全检测
多达1000种第三方开源软件的漏洞检测以及未知漏洞的检测；并实时同步wooyun漏洞库
支持windows/linux及常用应用服务的安全扫描，支持5种以上主机安全检测
覆盖600多种Web指纹及主机指纹
简单易用 提供界面友好、简单易用的管理控制台，可以大幅降低对Web漏洞扫描的技能门槛
报表详实 针对检测发现的漏洞，提供详实的报表数据及漏洞修复建议，从而保障云服务器的安全性
4 Web应用防火墙（WAF）
WEB 应用防火墙（WAF） 可以对HTTP的请求进行异常检测，有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。该安全服务具备以下特性：
免部署，一键拦截黑客攻击 一键开启Web应用防火墙服务，SQL注入、XSS等各种黑客Web攻击自动拦截
简单实时拦截 0Day 攻击 利用大数据分析，实时捕获拦截异常访问和0day攻击
替身式服务 分布式安全节点直接对外服务，在云服务器前端建立安全盾，云服务器被隐藏在安全盾内，保护云服务器安全
5主机入侵检测服务
主机入侵检测服务适用于所有类型的云环境，未用户的云服务器提供基础的入侵检测服务，能够检测暴力破解攻击、告知系统的异地登录情况、识别云服务器的安全弱点和网页后门文件，提高安全性，降低风云服务器被黑客入侵的风险。
用户可以免费开通、使用。
6增强安全意识
我们统计分析的数据中，大部分原因是由于安全意识的问题，我们强烈建议客户谨记安全意识“12字真言”，解决90%以上的外部入侵事件。可从以下几个方面增强安全意识：
强口令 修改所有OS系统口令（包括管理员和普通用户）、数据库账号口令、应用（WEB）系统管理账号口令为强口令，密码12位以上。
关端口 禁止不必要的端口直接暴露在公网。设置防火墙规则或配置安全组策略来禁止端口开放情况，推荐使用安全组策略。非公共开放的业务端口（如SSH），建议设置只允许特定的IP进行连接。
控权限 严格控制各服务的系统权限，各服务进程请不要以root权限运行；各应用(如WEB)同数据库交互的账号同样不要使用root权限的账号。
查应用 检查WEB应用及相关配置是否存在安全风险（如SQL注入、XSS、struts2框架等漏洞；各项配置是否安全等）

管控
堡垒机提供迈迪网内部运维人员对天翼云云主机的访问管控，包括统一用户认证、鉴权和会话审计。Nginx提供主业务访问入口及请求管理；SNAT GW满足其他非主业务互联网连接需求。

3.2.4对象存储
对象存储OOS （Object-Oriented Storage） 服务是中国电信为客户提供的一种海量、弹性、高可用、高性价比的云存储服务客户获得无限的云存储空间，而且只需根据资源使用量付费，并支持随时进行调整OOS云服务提供了基于Web门户和基于REST接口两种访问方式，用户可以在任何地方通过互联网对数据进行管理和访问。
3.2.5备份和容灾设计
异地备份容灾（内蒙贵州资源池）。
3.3视频会议翼T
3.3.1方案描述
翼T是专为中小型协作空间设计的视频通信云一体化终端。翼T可以实现多方远距离沟通，满足客户随时随地地进行信息共享、交流沟通和协同办公的需求。产品交互内容包括视频、语音、文字、白板等形式，支持多终端随时随地接入（PC、手机、Pad、Mac），界面简单易用。

3.3.2 功能特性
翼T包含拥有高性能集成处理器的设备与互联网云平台，满足客户对视频画质、音质、时延的要求。同时采用视频通信云架构，给予客户优质体验。
同时内置齐全的会控系统（如全体静音、锁定画面、分享文件等），保障会议准确稳定地进行。
3.3.3 方案部署
将设备安装在会议室内的电视机上，连接网线即可开启会议。与会人员则通过移动终端登陆软件加入会议。

1.4产品能力
1.4．1云服务+终端
保证会议视视频流畅进行，同时会议可以录制下载本地或上传云端，提供客户随时观看。
1.4.2跨平台、跨地域协作
支持手机、电脑、pad、传统会议设备接入随时随地接入，打造便捷的会议模式。
1.4.3极易部署，操作简单
一键配置开启视频，扫描微信二维码进入会控功能。

3.4设备清单列表

4解决方案值业务迁移和运维方案
4.1迁移方案
根据以往丰富的项目经验，结合中国电信云平台的特点，定制了一套数据迁移与整合的方法。本迁移与整合方法分为6个阶段，分别为系统评估与分析、方案设计、虚拟化环境准备、应用移植、测试验证和业务割接。

4.2运维服务保障
中国电信“一站式”服务是贯穿于售前、售中、售后全过程的一站服务，使客户无论在全国任何地方，有何种电信服务需求，需要解决任何问题，只要与当地的中国电信专门的政企客户服务部门联系，都可以快速得到解决，“一站服务，全程无忧”。
“一站式”服务包括：一点售前业务咨询、一点业务受理、一点故障申告、一点计费结算、一点技术支持。
一站式服务
1.