王建英　黃士琴

摘要：目的：為滿(mǎn)足醫(yī)院信息系統(tǒng)對(duì)數(shù)據(jù)備份及安全防護(hù)越來(lái)越高的需求，改善傳統(tǒng)的基于各系統(tǒng)進(jìn)行單獨(dú)存儲(chǔ)復(fù)制技術(shù)的策略已不能滿(mǎn)足目前業(yè)務(wù)系統(tǒng)多、數(shù)據(jù)量大且類(lèi)型多樣的現(xiàn)狀。方法：本文提出了基于持續(xù)數(shù)據(jù)保護(hù)（CDP，continuous data protection）技術(shù)的數(shù)據(jù)備份保護(hù)整體建設(shè)方案，采用專(zhuān)業(yè)的CDP備份設(shè)備，將存儲(chǔ)管理從業(yè)務(wù)系統(tǒng)中分離出來(lái)。結(jié)果：通過(guò)在醫(yī)院實(shí)際應(yīng)用效果來(lái)看，該方案可以有效預(yù)防各類(lèi)故障造成的數(shù)據(jù)丟失，保證數(shù)據(jù)及業(yè)務(wù)能夠快速恢復(fù)，將業(yè)務(wù)宕機(jī)時(shí)間降至秒級(jí)。結(jié)論：相比于傳統(tǒng)的數(shù)據(jù)備份策略，該方案極大地降低了發(fā)生故障所帶來(lái)的風(fēng)險(xiǎn)，提高了醫(yī)院業(yè)務(wù)運(yùn)行的效率。

關(guān)鍵詞：CDP技術(shù);數(shù)據(jù)備份;數(shù)據(jù)安全;醫(yī)院信息系統(tǒng)

中圖分類(lèi)號(hào)：TP309.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）08-0167-04

0 引言

隨著醫(yī)療信息化建設(shè)的快速發(fā)展，信息系統(tǒng)作為整個(gè)醫(yī)療流程的基礎(chǔ)設(shè)施，在醫(yī)院日常業(yè)務(wù)中的作用越來(lái)越明顯。而隨著醫(yī)院信息系統(tǒng)建設(shè)的不斷完善，對(duì)數(shù)據(jù)備份及安全防護(hù)的需求日漸凸顯[1]。一方面，業(yè)務(wù)系統(tǒng)的數(shù)量不斷增加，管理復(fù)雜度提高;另一方面，醫(yī)療數(shù)據(jù)呈幾何增長(zhǎng)，數(shù)據(jù)量大且數(shù)據(jù)類(lèi)型多樣化，主要包括病例、用藥、研究成果、醫(yī)保財(cái)務(wù)等，數(shù)據(jù)涉及到患者的就診記錄及診療費(fèi)用等重要信息。數(shù)據(jù)安全和應(yīng)用安全獲得了更多的關(guān)注，一旦應(yīng)用數(shù)據(jù)庫(kù)被破壞、數(shù)據(jù)丟失或核心系統(tǒng)無(wú)法正常訪(fǎng)問(wèn)，都會(huì)給醫(yī)院造成不可估量的損失，都會(huì)對(duì)醫(yī)院正常的醫(yī)療秩序產(chǎn)生重大的影響[2]。因此，如何對(duì)醫(yī)院數(shù)據(jù)進(jìn)行合理的管理和保護(hù)已經(jīng)成為系統(tǒng)管理者亟需面對(duì)的重要問(wèn)題。

我院核心業(yè)務(wù)系統(tǒng)的使用已取代了傳統(tǒng)低效的“以紙傳遞信息”的醫(yī)療流程，使醫(yī)療效率得到了極大的提升。同時(shí)，傳統(tǒng)的備份方案已經(jīng)不能滿(mǎn)足我院信息系統(tǒng)的備份需求，我院嘗試采用卷級(jí)CDP技術(shù)的數(shù)據(jù)備份與保護(hù)方案進(jìn)行數(shù)據(jù)保護(hù)體系的建設(shè)。

1 我院信息系統(tǒng)現(xiàn)狀分析

1.1 基本情況

我院核心業(yè)務(wù)系統(tǒng)有醫(yī)院信息管理系統(tǒng)（Hospital Information System，簡(jiǎn)稱(chēng)HIS）、實(shí)驗(yàn)室（檢驗(yàn)科）信息系統(tǒng)（Hospital Laboratory Information System，簡(jiǎn)稱(chēng)LIS）、圖像存儲(chǔ)與傳輸系統(tǒng)（Picture ArchivingCommunicating System，簡(jiǎn)稱(chēng)PACS）、電子病歷（Electronic Medical Record，簡(jiǎn)稱(chēng)EMR）、手麻重癥系統(tǒng)等。其中HIS、LIS、手麻重癥系統(tǒng)的數(shù)據(jù)存放在本地硬盤(pán)上，PACS和EMR的數(shù)據(jù)存放在專(zhuān)業(yè)磁盤(pán)陣列上。

1.2 存在問(wèn)題

（1）HIS系統(tǒng)業(yè)務(wù)數(shù)據(jù)存放在小型機(jī)的本地硬盤(pán)上，隨著業(yè)務(wù)量的不斷增高對(duì)服務(wù)器數(shù)據(jù)讀寫(xiě)的壓力也越來(lái)也大，會(huì)直接影響系統(tǒng)的運(yùn)行速度;HIS系統(tǒng)無(wú)有效的數(shù)據(jù)回滾機(jī)制，一旦該系統(tǒng)遭到病毒木馬攻擊、人為破壞或者運(yùn)維誤操作導(dǎo)致在數(shù)據(jù)層出現(xiàn)邏輯錯(cuò)誤，系統(tǒng)恢復(fù)只能恢復(fù)到上次定時(shí)備份恢復(fù)時(shí)的數(shù)據(jù)狀態(tài)，這種方式極易造成業(yè)務(wù)系統(tǒng)數(shù)據(jù)的丟失。給醫(yī)院造成不良影響。（2）LIS、手麻重癥系統(tǒng)為單機(jī)運(yùn)行，這類(lèi)業(yè)務(wù)系統(tǒng)存在單點(diǎn)故障隱患，一旦服務(wù)器出現(xiàn)硬件故障，將會(huì)造成相關(guān)業(yè)務(wù)服務(wù)中斷，傳統(tǒng)備份恢復(fù)方式，恢復(fù)時(shí)間較長(zhǎng)，且易造成數(shù)據(jù)丟失，不利于醫(yī)院相關(guān)業(yè)務(wù)的快速恢復(fù)。（3）目前醫(yī)院現(xiàn)有一套虛擬化平臺(tái)，目前主要承載醫(yī)院非核心業(yè)務(wù)系統(tǒng)，這類(lèi)業(yè)務(wù)系統(tǒng)沒(méi)有相關(guān)的備份保護(hù)措施，一旦相關(guān)業(yè)務(wù)虛機(jī)或虛擬化平臺(tái)遭到破壞，極易造成相關(guān)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)丟失。（4）核心業(yè)務(wù)系統(tǒng)沒(méi)有連續(xù)數(shù)據(jù)保護(hù)設(shè)備，無(wú)法保證數(shù)據(jù)邏輯故障或誤刪除時(shí)數(shù)據(jù)不丟失[3]。（5）核心業(yè)務(wù)系統(tǒng)一旦出現(xiàn)故障，無(wú)法快速恢復(fù)業(yè)務(wù)系統(tǒng)服務(wù)，不僅會(huì)影響醫(yī)院業(yè)務(wù)的正常運(yùn)行，還會(huì)造成在社會(huì)上的不良影響。

1.3 問(wèn)題分析

以往的備份容災(zāi)方案通過(guò)定時(shí)備份、存儲(chǔ)快照等來(lái)解決數(shù)據(jù)保護(hù)問(wèn)題;通過(guò)主備雙機(jī)高可用等來(lái)減少由于故障導(dǎo)致的業(yè)務(wù)停機(jī)時(shí)間，這些方案已經(jīng)不能完全滿(mǎn)足醫(yī)院信息化建設(shè)的備份與容災(zāi)要求，原因如下：

（1）定時(shí)完全備份、增量備份、差量備份機(jī)制，在備份過(guò)程中，對(duì)生產(chǎn)系統(tǒng)的資源影響較大。（2）定時(shí)備份的備份間隔和備份時(shí)間窗口較長(zhǎng)，發(fā)生故障時(shí)，有可能會(huì)丟失較長(zhǎng)時(shí)間的數(shù)據(jù)。（3）備份數(shù)據(jù)是否正確及可用沒(méi)有簡(jiǎn)單有效的驗(yàn)證手段，需要通過(guò)恢復(fù)演練才能確定備份數(shù)據(jù)是否可用。（4）各類(lèi)信息系統(tǒng)的應(yīng)用和數(shù)據(jù)類(lèi)型各不相同，需要根據(jù)不同的應(yīng)用和數(shù)據(jù)類(lèi)型制訂不同的備份方案和策略，操作實(shí)施和管理維護(hù)都較為復(fù)雜。（5）主機(jī)雙機(jī)的集群方案，不能解決誤刪除、木馬攻擊、勒索病毒等導(dǎo)致的數(shù)據(jù)邏輯錯(cuò)誤。（6）發(fā)生故障后，需要從定時(shí)備份集中檢索并恢復(fù)數(shù)據(jù)，恢復(fù)時(shí)間窗口與數(shù)據(jù)量成正比，業(yè)務(wù)中斷的時(shí)間較長(zhǎng)。

2 醫(yī)院數(shù)據(jù)保護(hù)需求分析

醫(yī)院信息系統(tǒng)與醫(yī)療業(yè)務(wù)緊密相關(guān)，具有一定的特殊性。各個(gè)醫(yī)院信息化建設(shè)的側(cè)重點(diǎn)不同，但是對(duì)于數(shù)據(jù)保護(hù)的需求主要集中在以下三個(gè)方面。

2.1 業(yè)務(wù)系統(tǒng)連續(xù)穩(wěn)定運(yùn)行需求

醫(yī)院信息系統(tǒng)作為醫(yī)療業(yè)務(wù)流程運(yùn)轉(zhuǎn)的載體和基石，需要具有連續(xù)穩(wěn)定的運(yùn)行能力。我國(guó)人口眾多，每個(gè)綜合性醫(yī)院的患者基數(shù)巨大，由于系統(tǒng)低效或不穩(wěn)定導(dǎo)致的醫(yī)療業(yè)務(wù)中斷不僅會(huì)延長(zhǎng)患者就診時(shí)間，影響患者就診體驗(yàn)，還可能影響醫(yī)療流程的連貫性。因此，確保醫(yī)院系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行是數(shù)據(jù)備份保護(hù)和業(yè)務(wù)容災(zāi)方案必須考慮的問(wèn)題。

2.2 支持各業(yè)務(wù)系統(tǒng)不同數(shù)據(jù)類(lèi)型的備份需求

醫(yī)療數(shù)據(jù)具有數(shù)據(jù)量大且數(shù)據(jù)類(lèi)型多樣的特點(diǎn)。醫(yī)療數(shù)據(jù)包含各種結(jié)構(gòu)化數(shù)據(jù)表、非（半）結(jié)構(gòu)化文本文檔（XML和敘述文本）、醫(yī)療影像等多種多樣的數(shù)據(jù)存儲(chǔ)形式。比如，純數(shù)據(jù)（體檢、化驗(yàn)結(jié)果）、信號(hào)數(shù)據(jù)（腦電信號(hào)、心電信號(hào)等）、圖像（B超、X光、CT等設(shè)備檢測(cè)結(jié)果）、文字?jǐn)?shù)據(jù)（主訴、病史、過(guò)敏史、病程、檢測(cè)報(bào)告），以及用于科普、咨詢(xún)的動(dòng)畫(huà)、語(yǔ)音和視頻信息等。這些數(shù)據(jù)會(huì)隨著每天的就診人數(shù)的增加而快速增長(zhǎng)，且與患者密切相關(guān)。為此國(guó)家發(fā)布了專(zhuān)門(mén)的法律法規(guī)和文件，對(duì)各類(lèi)數(shù)據(jù)都提出了不同的安全性要求。

2.3 滿(mǎn)足后續(xù)業(yè)務(wù)系統(tǒng)擴(kuò)展需求，易于維護(hù)管理

隨著醫(yī)院信息系統(tǒng)的增加，服務(wù)器數(shù)量也在增加。醫(yī)院信息系統(tǒng)不僅包括HIS、LIS、PACS、電子病歷、合理用藥、物資管理、會(huì)計(jì)核算等核心業(yè)務(wù)系統(tǒng)，還包括辦公自動(dòng)化（Office Automation，簡(jiǎn)稱(chēng)OA）、即時(shí)通訊、營(yíng)養(yǎng)訂餐等非核心系統(tǒng)，業(yè)務(wù)數(shù)據(jù)多而復(fù)雜。因此，健壯、易兼容、可擴(kuò)展且易于維護(hù)管理的數(shù)據(jù)備份保護(hù)方案是十分必要的。

針對(duì)上面三個(gè)方面的宏觀需求，具體到系統(tǒng)實(shí)際的功能上，數(shù)據(jù)備份及安全防護(hù)方案應(yīng)具有以下功能：

（1）數(shù)據(jù)的動(dòng)態(tài)紀(jì)錄：及時(shí)捕獲和記錄數(shù)據(jù)的變動(dòng)情況。（2）數(shù)據(jù)及系統(tǒng)的一體化保護(hù)：既要保護(hù)所有的業(yè)務(wù)生產(chǎn)數(shù)據(jù)，還要保護(hù)整個(gè)業(yè)務(wù)系統(tǒng)。（3）保留歷史備份版本：充分考慮到故障出現(xiàn)的不確定性和不可預(yù)見(jiàn)性，確保出現(xiàn)故障時(shí)，業(yè)務(wù)數(shù)據(jù)系統(tǒng)可以恢復(fù)到任意時(shí)刻的歷史狀態(tài)。（4）精細(xì)的顆?；瘮?shù)據(jù)恢復(fù)能力：實(shí)現(xiàn)秒級(jí)甚至IO級(jí)別的精細(xì)度，避免故障發(fā)生導(dǎo)致數(shù)據(jù)大量丟失。（5）快速業(yè)務(wù)恢復(fù)能力：應(yīng)對(duì)任何情況的故障，需要保證業(yè)務(wù)服務(wù)在數(shù)分鐘內(nèi)就可恢復(fù)。（6）在線(xiàn)驗(yàn)證與備災(zāi)演練功能：為了確保整個(gè)備份系統(tǒng)有效可用，需要在不影響業(yè)務(wù)運(yùn)行的情況下，提供驗(yàn)證方法以及災(zāi)難模擬和恢復(fù)功能[4]。（7）簡(jiǎn)單有效管理體系：提供統(tǒng)一的管理平臺(tái)，圖形化界面以及詳細(xì)的管理流程說(shuō)明，減少管理員負(fù)擔(dān)，降低管理成本。

3 基于CDP技術(shù)的數(shù)據(jù)備份及業(yè)務(wù)應(yīng)急方案

我院采用卷級(jí)的CDP技術(shù)的數(shù)據(jù)備份及業(yè)務(wù)應(yīng)急方案能夠解決傳統(tǒng)備份未能解決的問(wèn)題，能滿(mǎn)足醫(yī)院信息系統(tǒng)數(shù)據(jù)保護(hù)更高的要求。

3.1 卷級(jí)CDP技術(shù)的功能特點(diǎn)及優(yōu)勢(shì)

卷級(jí)CDP技術(shù)是基于塊級(jí)的持續(xù)數(shù)據(jù)保護(hù)系統(tǒng)的一種實(shí)現(xiàn)方式，通過(guò)實(shí)時(shí)監(jiān)控并捕捉卷或者磁盤(pán)上塊級(jí)的所有數(shù)據(jù)改動(dòng)，提取數(shù)據(jù)改動(dòng)的IO指令形成IO日志，傳輸?shù)饺轂?zāi)和備份系統(tǒng)進(jìn)行存儲(chǔ)。CDP數(shù)據(jù)捕獲及數(shù)據(jù)存儲(chǔ)原理過(guò)程，詳細(xì)圖1所示。

與傳統(tǒng)的數(shù)據(jù)保護(hù)技術(shù)相比，CDP技術(shù)主要有以下幾方面的優(yōu)勢(shì)[5]：

（1）強(qiáng)大的實(shí)時(shí)備份功能，與快照技術(shù)相結(jié)合，在網(wǎng)絡(luò)層實(shí)現(xiàn)塊級(jí)的數(shù)據(jù)保護(hù)，實(shí)時(shí)記錄每一個(gè)的數(shù)據(jù)變化，并在每個(gè)時(shí)間周期后自動(dòng)進(jìn)行快照，快照在線(xiàn)完成，且沒(méi)有備份窗口，不消耗主機(jī)資源。（2）可以選擇秒級(jí)、分鐘級(jí)或小時(shí)級(jí)的連續(xù)或定期備份，降低數(shù)據(jù)丟失的風(fēng)險(xiǎn)。無(wú)論出現(xiàn)任何故障，都可以實(shí)現(xiàn)故障的迅速排除，并且可在任意時(shí)刻提取和驗(yàn)證數(shù)據(jù)，備份立即可用，使業(yè)務(wù)短時(shí)間內(nèi)恢復(fù)。（3）利用精簡(jiǎn)式復(fù)制技術(shù)，減少對(duì)帶寬的占用，實(shí)現(xiàn)簡(jiǎn)單的遠(yuǎn)程容災(zāi)應(yīng)用。（4）通過(guò)自動(dòng)演練功能，可以在后臺(tái)自動(dòng)的驗(yàn)證備份數(shù)據(jù)是否正確及可用，確保備份容災(zāi)系統(tǒng)的正常運(yùn)行。（5）當(dāng)出現(xiàn)故障時(shí)，可立即在虛擬化平臺(tái)上構(gòu)建出與生產(chǎn)系統(tǒng)完全一致的業(yè)務(wù)環(huán)境并接管業(yè)務(wù)系統(tǒng)，保證業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)行;當(dāng)故障排除后，可以后臺(tái)回遷數(shù)據(jù)到生產(chǎn)系統(tǒng)，回遷過(guò)程中，不影響業(yè)務(wù)運(yùn)行。

3.2 系統(tǒng)總體框架

我院通過(guò)采用CDP技術(shù)，對(duì)醫(yī)院的HIS、PACS等核心業(yè)務(wù)信息系統(tǒng)進(jìn)行容災(zāi)備份安全防護(hù)。我院以CDP技術(shù)為基礎(chǔ)的容災(zāi)備份系統(tǒng)總體構(gòu)架圖2所示。

（1）配置專(zhuān)用的備份容災(zāi)服務(wù)器，安裝CDP備份容災(zāi)軟件，以旁路方式接入系統(tǒng)。通過(guò)備份容災(zāi)服務(wù)器組建起備份容災(zāi)管理平臺(tái)。硬件情況：2U機(jī)架式，高速240G SSD系統(tǒng)盤(pán)，8個(gè)3.5SAS熱插拔盤(pán)位，Xeon六核CPU，64G ECC RAM，2個(gè)千兆網(wǎng)口，支持主流Windows、Linux和AIX等操作系統(tǒng)、數(shù)據(jù)庫(kù)、虛擬機(jī)和文件備份和恢復(fù)、支持?jǐn)帱c(diǎn)續(xù)傳功能。（2）在每個(gè)待保護(hù)的主機(jī)上安裝CDP客戶(hù)端，通過(guò)CDP IO捕獲引擎，實(shí)時(shí)監(jiān)控并記錄整個(gè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)變化情況，將變化記錄傳輸保存至備份磁盤(pán)陣列中。

3.3 系統(tǒng)的軟件架構(gòu)和核心技術(shù)

整體系統(tǒng)在軟件上可以劃分為三個(gè)子系統(tǒng)，分別是客戶(hù)端子系統(tǒng)、備份服務(wù)器子系統(tǒng)、容災(zāi)子系統(tǒng)，如圖3所示。

客戶(hù)端子系統(tǒng)接受備份服務(wù)器子系統(tǒng)的控制，負(fù)責(zé)抓取生產(chǎn)系統(tǒng)上的要保護(hù)磁盤(pán)的有效數(shù)據(jù)及每次寫(xiě)操作的IO數(shù)據(jù)，通過(guò)iSCSI協(xié)議發(fā)送給服務(wù)器子系統(tǒng)。

備份服務(wù)器子系統(tǒng)是整個(gè)系統(tǒng)的控制中心，以B/S架構(gòu)提供CDP備份及容災(zāi)的配置及管理界面，同時(shí)備份服務(wù)器子系統(tǒng)也是整個(gè)系統(tǒng)的數(shù)據(jù)存儲(chǔ)中心，為客戶(hù)端子系統(tǒng)和容災(zāi)子系統(tǒng)提供基于iSCSI的鏡像磁盤(pán)和快照磁盤(pán)，對(duì)客戶(hù)端子系統(tǒng)發(fā)送來(lái)的IO數(shù)據(jù)，打上時(shí)間戳并記錄到IO日志中，根據(jù)IO日志可生成任意時(shí)間點(diǎn)的數(shù)據(jù)。

容災(zāi)子系統(tǒng)利用ESXi等虛擬化平臺(tái)，可在虛擬化容災(zāi)平臺(tái)上快速的構(gòu)建容災(zāi)和演練站點(diǎn)，利用iSCSI發(fā)起程序連接服務(wù)器子系統(tǒng)提供的任意時(shí)間點(diǎn)的快照磁盤(pán)，將快照磁盤(pán)以裸映射的方式提供給容災(zāi)虛擬機(jī)使用，可通過(guò)演練機(jī)檢查數(shù)據(jù)的完整性和一致性，在必要時(shí)可開(kāi)啟接管機(jī)接管生產(chǎn)系統(tǒng)的業(yè)務(wù)，保障客戶(hù)的數(shù)據(jù)安全及業(yè)務(wù)連續(xù)性。系統(tǒng)總體的原理圖如圖4所示。

系統(tǒng)的核心技術(shù)如下。

（1）IO數(shù)據(jù)截獲技術(shù)：在生產(chǎn)系統(tǒng)上的文件系統(tǒng)層和磁盤(pán)層之間插入卷鏡像驅(qū)動(dòng)，之后所有對(duì)卷的寫(xiě)操作都會(huì)被卷鏡像驅(qū)動(dòng)截獲到，驅(qū)動(dòng)將截獲到的變化數(shù)據(jù)同步或者異步的寫(xiě)入CDP備份服務(wù)器上的鏡像盤(pán)中，實(shí)現(xiàn)對(duì)生產(chǎn)系統(tǒng)數(shù)據(jù)的實(shí)時(shí)備份。卷鏡像驅(qū)動(dòng)流程圖5所示。（2）CDP數(shù)據(jù)存儲(chǔ)技術(shù)。CDP服務(wù)端通過(guò)虛擬塊設(shè)備驅(qū)動(dòng)虛擬出一個(gè)塊設(shè)備來(lái)，該虛擬的塊設(shè)備通過(guò)iSCSI協(xié)議或FC協(xié)議提供給客戶(hù)端作為鏡像磁盤(pán)，CDP客戶(hù)端通過(guò)volume filter driver（卷鏡像驅(qū)動(dòng)）將源卷的寫(xiě)操作，同步或異步分發(fā)一份到鏡像盤(pán)上，備份服務(wù)端虛擬塊設(shè)備驅(qū)動(dòng)能感知到鏡像盤(pán)上的每一次IO數(shù)據(jù)變化，對(duì)每一次的IO數(shù)據(jù)變化發(fā)生的時(shí)間、對(duì)應(yīng)的扇區(qū)塊及實(shí)際的IO數(shù)據(jù)記錄到CDP數(shù)據(jù)區(qū)中，實(shí)現(xiàn)CDP備份功能。CDP數(shù)據(jù)存儲(chǔ)技術(shù)原理圖6所示。（3）指定時(shí)間點(diǎn)快速掛載技術(shù)。備份服務(wù)端通過(guò)掃描CDP數(shù)據(jù)區(qū)中的IO日志，查找指定時(shí)間前且最接近指定時(shí)間點(diǎn)的所有IO變化，記錄到IO映射表中;備份服務(wù)端虛擬塊設(shè)備驅(qū)動(dòng)生成一個(gè)虛擬塊設(shè)備，根據(jù)上一步的映射表重定向讀寫(xiě)請(qǐng)求，則虛擬塊設(shè)備中的數(shù)據(jù)就是指定時(shí)間點(diǎn)的完整數(shù)據(jù)?？焖賿燧d不需要進(jìn)行數(shù)據(jù)的移動(dòng)、恢復(fù)等操作，僅僅需要掃描一次IO日志，可以在數(shù)秒內(nèi)完成指定時(shí)間點(diǎn)的數(shù)據(jù)的快速掛載。

3.4 系統(tǒng)運(yùn)行機(jī)制

基于核心業(yè)務(wù)系統(tǒng)連續(xù)性服務(wù)的要求，確保業(yè)務(wù)系統(tǒng)的7*24h不間斷運(yùn)行，采用卷級(jí)CDP持續(xù)數(shù)據(jù)保護(hù)技術(shù)的一對(duì)多應(yīng)急接管業(yè)務(wù)連續(xù)性管理方案。整個(gè)容災(zāi)方案架構(gòu)圖如圖7所示。

在機(jī)房業(yè)務(wù)網(wǎng)交換機(jī)中，通過(guò)出廠配給的千兆網(wǎng)線(xiàn)連接內(nèi)置虛擬化備份容災(zāi)平臺(tái)一體化設(shè)備，在應(yīng)用服務(wù)器上安裝應(yīng)用容災(zāi)代理。服務(wù)器將自動(dòng)識(shí)別到已安裝應(yīng)用容災(zāi)代理的應(yīng)用服務(wù)器。應(yīng)用服務(wù)器、生產(chǎn)服務(wù)器的系統(tǒng)盤(pán)和數(shù)據(jù)盤(pán)將通過(guò)設(shè)定的容災(zāi)平臺(tái)備份策略（卷級(jí)CDP實(shí)時(shí)備份技術(shù)），將數(shù)據(jù)備份至內(nèi)置虛擬化容災(zāi)平臺(tái)中對(duì)應(yīng)的容災(zāi)虛擬機(jī)（包含生產(chǎn)機(jī)系統(tǒng)、網(wǎng)絡(luò)配置等）。實(shí)時(shí)數(shù)據(jù)復(fù)制機(jī)制使得容災(zāi)虛擬機(jī)與生產(chǎn)服務(wù)器的數(shù)據(jù)保持一致性和可用性，完成容災(zāi)接管的基本環(huán)境。容災(zāi)服務(wù)端容災(zāi)接管功能會(huì)通過(guò)故障診斷模塊自動(dòng)檢測(cè)生產(chǎn)服務(wù)器的運(yùn)行狀態(tài)，當(dāng)生產(chǎn)服務(wù)器出現(xiàn)故障時(shí)，由容災(zāi)服務(wù)器自動(dòng)或手動(dòng)接管故障服務(wù)器。生產(chǎn)服務(wù)器恢復(fù)正常后，通過(guò)數(shù)據(jù)智能回遷機(jī)制將容災(zāi)虛擬機(jī)中的數(shù)據(jù)反向同步至生產(chǎn)服務(wù)器上，然后按事先設(shè)定的方案，將應(yīng)用服務(wù)切換回生產(chǎn)服務(wù)器。

正常情況下，本地容災(zāi)平臺(tái)會(huì)提供自動(dòng)演練機(jī)制，每天把最新的數(shù)據(jù)備份快照鏡像加載到虛擬機(jī)，進(jìn)行源系統(tǒng)的鏡像模擬，然后校驗(yàn)對(duì)應(yīng)虛擬機(jī)數(shù)據(jù)、系統(tǒng)服務(wù)、文件等的可用性、完整性。校驗(yàn)內(nèi)容包括：WindowsService、File、EventLog、DataBase（MSSQL、Oracle）等。并發(fā)送自動(dòng)演練報(bào)告至管理員郵箱或手機(jī)。確保每天的備份正常，并且可以在災(zāi)難發(fā)生時(shí)即刻恢復(fù)生產(chǎn)服務(wù)。

3.5 系統(tǒng)故障恢復(fù)機(jī)制

（1）文件恢復(fù)。用于恢復(fù)由誤刪除、誤操作導(dǎo)致的文件丟失。使用CDP快照回滾，通過(guò)查找歷史快照找到所需文件，并將其復(fù)制到業(yè)務(wù)服務(wù)器中。（2）服務(wù)器系統(tǒng)故障恢復(fù)。業(yè)務(wù)服務(wù)器系統(tǒng)受病毒木馬、人為誤操作、軟硬件故障等影響導(dǎo)致的系統(tǒng)錯(cuò)誤或系統(tǒng)崩潰，采用LiveCD技術(shù)將可用歷史版本引導(dǎo)恢復(fù)到業(yè)務(wù)服務(wù)器的存儲(chǔ)設(shè)備上，重新啟動(dòng)業(yè)務(wù)服務(wù)器即可恢復(fù)系統(tǒng)。

3.6 整體方案優(yōu)勢(shì)

（1）應(yīng)急接管。系統(tǒng)支持容災(zāi)機(jī)任意時(shí)間點(diǎn)的應(yīng)急接管，當(dāng)生產(chǎn)服務(wù)器宕機(jī)，可以手動(dòng)、自動(dòng)啟動(dòng)容災(zāi)機(jī)接管當(dāng)前生產(chǎn)業(yè)務(wù)，且保持原有生產(chǎn)機(jī)的保護(hù)策略，保障業(yè)務(wù)持續(xù)運(yùn)行。（2）自動(dòng)演練。系統(tǒng)支持容災(zāi)機(jī)的自動(dòng)演練，無(wú)需人工干預(yù)，自動(dòng)進(jìn)行系統(tǒng)日志校驗(yàn)、文件校驗(yàn)、服務(wù)校驗(yàn)、數(shù)據(jù)庫(kù)腳本校驗(yàn)，保證數(shù)據(jù)可用性，演練完成后，根據(jù)演練時(shí)設(shè)定的校驗(yàn)項(xiàng)生成數(shù)據(jù)演練校驗(yàn)的報(bào)告，發(fā)送至管理員郵箱。（3）數(shù)據(jù)掛載。容災(zāi)數(shù)據(jù)通過(guò)掛載的方式呈現(xiàn)出來(lái)，且掛載的數(shù)據(jù)可讀可寫(xiě)，用戶(hù)可以根據(jù)實(shí)際場(chǎng)景進(jìn)行任意時(shí)間點(diǎn)的數(shù)據(jù)掛載，恢復(fù)自己想要的歷史數(shù)據(jù)。（4）數(shù)據(jù)回遷。當(dāng)生產(chǎn)服務(wù)器故障修復(fù)后，可以啟動(dòng)系統(tǒng)PE將所有數(shù)據(jù)（包含接管后的數(shù)據(jù)）回寫(xiě)到生產(chǎn)服務(wù)器，之后由生產(chǎn)服務(wù)器繼續(xù)向外提供服務(wù)。（5）策略下發(fā)。所有裝有容災(zāi)代理的業(yè)務(wù)主機(jī)會(huì)自動(dòng)被容災(zāi)服務(wù)器（即CDP Server）識(shí)別，之后系統(tǒng)管理員可在Web界面，依據(jù)不同需要對(duì)各個(gè)業(yè)務(wù)主機(jī)配置相應(yīng)的保護(hù)策略，操作簡(jiǎn)單，維護(hù)方便。（6）極簡(jiǎn)部署。部署簡(jiǎn)單，與應(yīng)用無(wú)關(guān)，不需要預(yù)先安裝與源環(huán)境一樣的系統(tǒng)與應(yīng)用，節(jié)約部署周期。

4 結(jié)語(yǔ)

傳統(tǒng)存儲(chǔ)備份技術(shù)已經(jīng)不能適應(yīng)目前醫(yī)院信息系統(tǒng)對(duì)于數(shù)據(jù)保護(hù)的需求，根據(jù)醫(yī)院的具體環(huán)境，我們將CDP技術(shù)合理應(yīng)用到醫(yī)院信息系統(tǒng)建設(shè)中，制定合理有效的數(shù)據(jù)備份及安全防護(hù)方案，搭建相應(yīng)的CDP備份容災(zāi)系統(tǒng)，確保醫(yī)院現(xiàn)有的業(yè)務(wù)系統(tǒng)服務(wù)器只需關(guān)注業(yè)務(wù)的穩(wěn)定運(yùn)行，提高醫(yī)療效率。CDP備份容災(zāi)系統(tǒng)可實(shí)時(shí)進(jìn)行數(shù)據(jù)備份及安全防護(hù)，在故障發(fā)生時(shí)，將業(yè)務(wù)宕機(jī)時(shí)間降至分鐘級(jí)。CDP技術(shù)的應(yīng)用，全面提升了醫(yī)院業(yè)務(wù)信息系統(tǒng)的瞬間恢復(fù)和系統(tǒng)保護(hù)能力，極大地降低了故障發(fā)生帶來(lái)的風(fēng)險(xiǎn)，使醫(yī)院信息系統(tǒng)能真正進(jìn)入到安全可靠的狀態(tài)中。在提高醫(yī)院的經(jīng)濟(jì)效益和服務(wù)質(zhì)量的同時(shí)，真正的服務(wù)于患者，服務(wù)于社會(huì)。

隨著信息化建設(shè)不斷快速發(fā)展，信息系統(tǒng)所面臨的各類(lèi)自然的或不確定的安全威脅將越來(lái)越多。因此，持續(xù)關(guān)注新技術(shù)的發(fā)展，將新技術(shù)與醫(yī)院環(huán)境相結(jié)合，構(gòu)建更加安全更加可靠的數(shù)據(jù)備份及安全防護(hù)機(jī)制將成為我們今后信息化建設(shè)的重要課題。

參考文獻(xiàn)

[1] 王建英，陳文霞，胡雯，張鵬.醫(yī)院信息安全分析及措施[J].中國(guó)病案，2013，14（956-57+47）.

[2] 劉志國(guó)，王建，李麗.醫(yī)院信息系統(tǒng)災(zāi)備方案的探討和實(shí)踐[J].醫(yī)療衛(wèi)生裝備，2016，37（04）：66-69.

[3] 王元東，羅娟，符峰釗，郭平彩，彭玲.低成本構(gòu)建中小型醫(yī)院信息系統(tǒng)容災(zāi)備份方案的設(shè)計(jì)分析[J].實(shí)用醫(yī)藥雜志，2019，36（02）：182-184.

[4] 李洪波，朱雪波，張冀.基于分布式數(shù)據(jù)庫(kù)的容災(zāi)系統(tǒng)的研究與應(yīng)用[J].電腦與電信，2010（02）：75-77.

[5] 薛倉(cāng).多級(jí)數(shù)據(jù)容災(zāi)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)科技信息，2013（02）：91+95.

Date Backup and Protection of Hospital Information System Based on Technology

WANG Jian-ying，HUANG Shi-qin

（Department of Information， the Fifth Medical Center of Chinese PLA General Hospital

（Former 307th hospital of the PLA），Beijing? 100071）

Abstract：Purpose： order to meet the increasing demand for data backup and security protectionof hospital information systems， the traditional strategy of implementing separate storage and replication technologies based on each system cannot meet the current status of many business systems， large data volumes and various types. Methods： paper proposed the overall construction scheme of data backup protection based on continuous data protection （CDP） technology， in which the storage management is separated from the business system by using professional CDP backup equipment. Results： application in hospitals showed that this proposed scheme can effectively prevent data loss caused by various kinds of faults， ensure rapid recovery of data and business， and reduce downtime to seconds. Conclusion： with traditional data backup strategy， this proposed scheme greatly reduces the risk of faults and improves the efficiency of hospital business operation.

Key words：CDP technology; Data backup;Data security; Hospital information system