醫(yī)院信息系統(tǒng)容災(zāi)備份的概念及目標

殷春燕，夏 超

21世紀的醫(yī)院已經(jīng)逐漸發(fā)展為現(xiàn)代化的綜合性醫(yī)院，為了實現(xiàn)醫(yī)院管理的科學(xué)化、現(xiàn)代化、數(shù)字化，與國際、國內(nèi)信息化建設(shè)的新技術(shù)接軌，適應(yīng)現(xiàn)代化醫(yī)院的醫(yī)療、科研、教育和管理的要求，現(xiàn)代化的醫(yī)院所建立起的信息系統(tǒng)（HIS）主要以一體化的臨床系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)，EIS系統(tǒng)、PIS系統(tǒng)等為基礎(chǔ)，實現(xiàn)數(shù)據(jù)全面共享，共同形成全面的醫(yī)院信息管理系統(tǒng)。龐大的系統(tǒng)必然產(chǎn)生海量數(shù)據(jù)，對于軟件系統(tǒng)而言數(shù)據(jù)就是根本，任何操作、分析、結(jié)算等都從數(shù)據(jù)庫中提取。從某種意義上說，數(shù)據(jù)安全成為了現(xiàn)代醫(yī)院信息系統(tǒng)安全的重中之重。一旦數(shù)據(jù)丟失，對任何一家醫(yī)院來說都會產(chǎn)生重大的影響。

近幾年，國家各部委對數(shù)據(jù)信息安全都有相關(guān)的明確規(guī)定，頒布了如下一系列條例，如《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保險工作的意見》，《計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》、《2006-2020年信息化發(fā)展戰(zhàn)略》、《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》、《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《民用航空重要信息系統(tǒng)災(zāi)難備份與恢復(fù)管理規(guī)范》、《重要信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南》。在2010-11北京衛(wèi)生局聯(lián)合公安局等部門下發(fā)了《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的實施方案》的通知，該通知中也明確提出了數(shù)據(jù)備份的安全等級保護，并要求需要在重點單位發(fā)揮試點示范作用。由此可見各行業(yè)已經(jīng)開始注重容災(zāi)備份的重要性。

1 醫(yī)院信息系統(tǒng)常見故障

1.1 系統(tǒng)硬件故障 如數(shù)據(jù)/系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問，并進而可能導(dǎo)致應(yīng)用進程終止或系統(tǒng)停機，甚至系統(tǒng)不能重啟動；網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)服務(wù)；CPU或內(nèi)存的失效則會導(dǎo)致系統(tǒng)的死機。

1.2 應(yīng)用程序或操作系統(tǒng)出錯 由于操作系統(tǒng)或應(yīng)用程序中可能存在不完善的地方，當碰到某種激發(fā)事件時，應(yīng)用程序非正常終止或系統(tǒng)崩潰。

1.3 人為錯誤 指人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用服務(wù)進程，也會導(dǎo)致數(shù)據(jù)丟失或者系統(tǒng)服務(wù)的無法訪問。

1.4 電腦病毒/黑客入侵 由于目前的大多數(shù)計算機系統(tǒng)均連接在網(wǎng)絡(luò)上，若缺少有效的防范機制，很容易遭受病毒的感染或黑客的入侵，輕者數(shù)據(jù)被損壞，重者系統(tǒng)癱瘓。

1.5 自然災(zāi)害 由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計算機系統(tǒng)破壞，將會使一般系統(tǒng)的恢復(fù)非常困難和耗時，導(dǎo)致業(yè)務(wù)系統(tǒng)長時間的中斷(通過容災(zāi)系統(tǒng)來解決)。

1.6 正常的停機 主要指計劃內(nèi)的系統(tǒng)升級、安裝軟件等過程。

2 數(shù)據(jù)容災(zāi)系統(tǒng)的層次和概念

國際標準SHARE 78對容災(zāi)系統(tǒng)的定義有七個層次：從最簡單的僅在本地進行磁帶備份，到將備份的磁帶存儲在異地，再到建立應(yīng)用系統(tǒng)實時切換的異地備份系統(tǒng)，恢復(fù)時間也可以從幾天到小時級到分鐘級、秒級或零數(shù)據(jù)丟失等。目前針對這7個層次，都有相應(yīng)的容災(zāi)方案。但有一個不變的原則，就是數(shù)據(jù)越重要，容災(zāi)等級就應(yīng)當越高，見圖1。

圖 1 數(shù)據(jù)容災(zāi)系統(tǒng)的層次與數(shù)據(jù)重要性的關(guān)系

從經(jīng)濟角度考慮，最完善的容災(zāi)解決方案不一定是最好的。容災(zāi)系統(tǒng)的總體投入（TCO）和投資匯報（ROI）對于許多用戶來說重要的是選型和設(shè)計指標。TCO包括建立系統(tǒng)、維護系統(tǒng)和擴充系統(tǒng)的總投入。用戶應(yīng)根據(jù)數(shù)據(jù)的重要性確定相應(yīng)的容災(zāi)等級。

2.1 數(shù)據(jù)容災(zāi) 是指建立一個異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是本地關(guān)鍵應(yīng)用數(shù)據(jù)的一個可用復(fù)制。在本地數(shù)據(jù)及整個應(yīng)用系統(tǒng)出現(xiàn)災(zāi)難時，系統(tǒng)至少在異地保存有一份可用的關(guān)鍵業(yè)務(wù)的數(shù)據(jù)。該數(shù)據(jù)可以是與本地生產(chǎn)數(shù)據(jù)的完全實時復(fù)制，也可以比本地數(shù)據(jù)略微落后，但一定是可用的。采用的主要技術(shù)是數(shù)據(jù)備份和數(shù)據(jù)復(fù)制技術(shù)。

2.2 應(yīng)用容災(zāi) 是在數(shù)據(jù)容災(zāi)的基礎(chǔ)上，在異地建立一套完整的與本地生產(chǎn)系統(tǒng)相當?shù)膫浞輵?yīng)用系統(tǒng)（可以是互為備份）。建立這樣一個系統(tǒng)是相對比較復(fù)雜的，不僅需要一份可用的數(shù)據(jù)復(fù)制，還要有包括網(wǎng)絡(luò)、主機、應(yīng)用、甚至IP等資源，以及各資源之間的良好協(xié)調(diào)。主要的技術(shù)包括負載均衡、集群技術(shù)。

數(shù)據(jù)容災(zāi)是應(yīng)用容災(zāi)的基礎(chǔ)，應(yīng)用容災(zāi)是數(shù)據(jù)容災(zāi)的目標。不管是數(shù)據(jù)級容災(zāi)還是應(yīng)用級容災(zāi)，這里面都提到了一個詞“異地”。

2.3 “異地” 狹義上講，就是不在同一個地方，不管相距多遠，只要空間位置不重合，那就是不在同一個地方，比如兩臺不通機器上的數(shù)據(jù)也可以算作狹義上的異地。而廣義上的異地，業(yè)內(nèi)給出了基本的標準，就是不在同一個地震帶、不在同一個電網(wǎng)、不在同一個江河流域。由此可以看出，異地離的越遠，備份數(shù)據(jù)的安全性就越高。

2.4 “兩地三中心” 指在兩個地方分別建立三個中心。兩個地方指的就是廣義上的“本地”和“異地”。三個中心，即：“本地生產(chǎn)中心”、“本地高可用中心”和“異地容災(zāi)中心”。

綜合醫(yī)院的信息化建設(shè)來看，目前大多數(shù)醫(yī)院尚不具備在廣義的異地建立“兩地三中心”災(zāi)備模式的條件，但這并不意味著就可以不做異地。既然做不成廣義的異地，就先做狹義的兩地三中心。也就是 “一主兩備”。即一個主機（生產(chǎn)機），兩個備份機。見圖2。

圖 2 二地三中心容災(zāi)備份模式

圖2 中，生產(chǎn)中心（A）是醫(yī)院內(nèi)的核心信息系統(tǒng)His、Lis和PACS。備份中心（B）是和生產(chǎn)中心（A）在同一個機房的備份中心。備份中心（C）在另外一個機房（沒有多機房條件的醫(yī)院，可以放在其他樓的某個科室）的備份中心。

3 數(shù)據(jù)容災(zāi)備份的目標

3.1 實現(xiàn)His、Lis和PACS數(shù)據(jù)的實時保護 對生產(chǎn)中心（A）中的His、Lis和PACS上的數(shù)據(jù)（包括數(shù)據(jù)庫和文件）進行自動監(jiān)控，連續(xù)捕獲數(shù)據(jù)變化，只要數(shù)據(jù)發(fā)生改變，便實時、準確的備份到備份中心（B）和備份中心（C），實現(xiàn)ROP=0。

3.2 實現(xiàn)災(zāi)難發(fā)生后業(yè)務(wù)的連續(xù)性 當生產(chǎn)中心 （A）中His、Lis和PACS任意一臺服務(wù)器宕機時，備份中心（B）中對應(yīng)的備份機可以在1 min之內(nèi)接管主服務(wù)器的機器名以及IP，提供對外的所有服務(wù)，保證了核心業(yè)務(wù)連續(xù)性，可以提供365天7*24小時的業(yè)務(wù)不間斷的保護。

3.3 實現(xiàn)邏輯錯誤的修復(fù) 當生產(chǎn)中心 （A）中His、Lis和PACS任意一臺服務(wù)器出現(xiàn)邏輯錯誤時，可以在備份中心（B）中對應(yīng)的備份機上按任意操作步數(shù)或時間點進行數(shù)據(jù)快速恢復(fù)，回到數(shù)據(jù)庫的任何狀態(tài)，從而能夠找回誤刪或者損壞前的數(shù)據(jù)。在恢復(fù)的過程中不但保證了數(shù)據(jù)的完整型，而且能保證事件的完整性。

3.4 實現(xiàn)災(zāi)難后的數(shù)據(jù)恢復(fù) 當災(zāi)難發(fā)生，如水災(zāi)火災(zāi)等，導(dǎo)致同一個機房內(nèi)生產(chǎn)中心（A）和備份中心（B）全部遭到損壞后，可以從備份中心（C）中進行災(zāi)難恢復(fù)。從而快速的進行災(zāi)后重建，將損失降低到最低。

上述四個建設(shè)目標，充分的考慮了醫(yī)院信息化自身的特點，確實解決了數(shù)據(jù)的零丟失以及業(yè)務(wù)的連續(xù)性。且符合國家信息安全等級保護制度的要求，滿足三級甲等醫(yī)院的評審以及復(fù)審條件。

另外總體投入成本合理，硬件的投入（備份中心B和備份中心C中的備份機可以和生產(chǎn)中心A有較大的差別，還可以試用虛擬機）以及容災(zāi)中心（可以借助其它科室的機房放服務(wù)器）的建設(shè)彈性大，是每個醫(yī)院都有條件做的容災(zāi)備份方案。