鮑一丹 馬家奇*

國家傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)容災(zāi)備份實(shí)現(xiàn)*

鮑一丹①馬家奇①*

目的：實(shí)現(xiàn)中國疾病預(yù)防控制中心傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)的同城異地容災(zāi)。方法：在容災(zāi)中心采用B/S/DBMS的三層架構(gòu)部署傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)，通過遠(yuǎn)程復(fù)制技術(shù)實(shí)現(xiàn)數(shù)據(jù)級(jí)容災(zāi)；通過異步數(shù)據(jù)技術(shù)實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)用級(jí)容災(zāi)；通過異步模式進(jìn)行傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)容災(zāi)數(shù)據(jù)傳輸。結(jié)果：根據(jù)現(xiàn)有資源建立了同城異地容災(zāi)中心，實(shí)現(xiàn)重要信息系統(tǒng)數(shù)據(jù)的同城異地容災(zāi)備份，完成信息安全等級(jí)保護(hù)要求的軟硬件安全加固，且通過了公安部安全等級(jí)測(cè)評(píng)。結(jié)論：同城異地容災(zāi)中心的建立確保傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)和數(shù)據(jù)安全，保證連續(xù)性工作有效進(jìn)行。

容災(zāi)備份；數(shù)據(jù)容災(zāi)；遠(yuǎn)程復(fù)制技術(shù)；數(shù)據(jù)復(fù)制

[First-author’s address]Center for Public Health Surveillance and Information Service, Chinese Center for Disease Control and Prevention, Beijing 100050, China.

中國疾病預(yù)防控制中心(Chinese Center for Disease Control Prevention，簡(jiǎn)稱中國CDC)于2003年建立了以傳染病疫情報(bào)告為核心、基于B/S模式和J2EE三層架構(gòu)的實(shí)時(shí)在線傳染病個(gè)案網(wǎng)絡(luò)直報(bào)系統(tǒng)[1]。隨著疾病控制工作的發(fā)展，中國CDC已有包括傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)等20余個(gè)網(wǎng)絡(luò)直報(bào)系統(tǒng)。根據(jù)中國CDC信息化總體規(guī)劃設(shè)計(jì)，以及中國CDC傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)的要求，進(jìn)行24 h連續(xù)服務(wù)，其監(jiān)測(cè)管理模式由原來的統(tǒng)計(jì)數(shù)字定期逐級(jí)報(bào)告轉(zhuǎn)變?yōu)閭€(gè)案數(shù)據(jù)的實(shí)時(shí)網(wǎng)絡(luò)直報(bào)，其安全性關(guān)系到整個(gè)中國CDC。因此，建立容災(zāi)備份系統(tǒng)成為中國CDC信息化建設(shè)的重要組成部分。為確保系統(tǒng)和數(shù)據(jù)安全，保證連續(xù)性工作有效進(jìn)行，除在本地實(shí)施完善系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份系統(tǒng)外，尚需根據(jù)現(xiàn)有資源建立同城異地容災(zāi)中心，實(shí)現(xiàn)應(yīng)用系統(tǒng)和數(shù)據(jù)的異地容災(zāi)。

1 網(wǎng)絡(luò)直報(bào)容災(zāi)備份系統(tǒng)

1.1 容災(zāi)備份系統(tǒng)概念

典型的容災(zāi)系統(tǒng)由備用網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)備份處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、技術(shù)支持、運(yùn)行維護(hù)支持和災(zāi)難恢復(fù)預(yù)案等組成。其中，備用網(wǎng)絡(luò)系統(tǒng)、備份處理系統(tǒng)和數(shù)據(jù)備份系統(tǒng)屬于IT技術(shù)的范疇，而其他要素均屬于管理和服務(wù)的范疇[2-3]。容災(zāi)系統(tǒng)結(jié)構(gòu)如圖1所示。

1.2 容災(zāi)備份系統(tǒng)分類

(1)數(shù)據(jù)級(jí)容災(zāi)。數(shù)據(jù)級(jí)別災(zāi)備的關(guān)注點(diǎn)在于數(shù)據(jù)，即災(zāi)難發(fā)生后可確保用戶原有的數(shù)據(jù)不會(huì)丟失或者遭到破壞。數(shù)據(jù)級(jí)別災(zāi)備是保障數(shù)據(jù)可用的最低底線，當(dāng)數(shù)據(jù)丟失時(shí)能夠保證應(yīng)用系統(tǒng)可以重新得到所有數(shù)據(jù)。

(2)應(yīng)用級(jí)容災(zāi)。需要高級(jí)別的應(yīng)用災(zāi)備系統(tǒng)，是在數(shù)據(jù)級(jí)容災(zāi)基礎(chǔ)上，在異地建立一套與本地生產(chǎn)系統(tǒng)相當(dāng)?shù)膫浞莪h(huán)境，包括主機(jī)、網(wǎng)絡(luò)、應(yīng)用及IP等資源均有配套，當(dāng)本地系統(tǒng)發(fā)生災(zāi)難時(shí)異地系統(tǒng)可以提供完全可用的生產(chǎn)環(huán)境[4]。應(yīng)用級(jí)容災(zāi)備份系統(tǒng)能夠提供不間斷的應(yīng)用服務(wù)，保證信息系統(tǒng)提供的服務(wù)完整、可靠和安全。

(3)業(yè)務(wù)級(jí)容災(zāi)。全業(yè)務(wù)的容災(zāi)備份要求具備全部的基礎(chǔ)設(shè)施，其大部分內(nèi)容是非IT系統(tǒng)(如電話、辦公地點(diǎn)等)，當(dāng)大災(zāi)難發(fā)生后原有的辦公場(chǎng)所會(huì)受到破壞，除數(shù)據(jù)和應(yīng)用系統(tǒng)的恢復(fù)，更需要數(shù)據(jù)備份的工作場(chǎng)所能夠正常開展業(yè)務(wù)。

2 中國CDC傳染病網(wǎng)絡(luò)直報(bào)容災(zāi)系統(tǒng)

2.1 數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)

建立數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)是建立應(yīng)用級(jí)災(zāi)備系統(tǒng)的基礎(chǔ)，數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)建設(shè)的主要目的是確保中國CDC各業(yè)務(wù)網(wǎng)的數(shù)據(jù)能夠按照應(yīng)用系統(tǒng)恢復(fù)時(shí)間目標(biāo)(recovery time objective，RTO)的要求，通過數(shù)據(jù)復(fù)制技術(shù)將數(shù)據(jù)備份到災(zāi)備中心，確保兩個(gè)數(shù)據(jù)中心應(yīng)用系統(tǒng)數(shù)據(jù)的一致性和完整性[5]。

2.1.1 遠(yuǎn)程設(shè)備規(guī)劃

在建設(shè)統(tǒng)一虛擬化存儲(chǔ)平臺(tái)的基礎(chǔ)上，建設(shè)同城異址的實(shí)時(shí)容災(zāi)備份系統(tǒng)。重點(diǎn)利用中國CDC園區(qū)和異地中心做為中國CDC大的生產(chǎn)中心和災(zāi)備中心，秉承節(jié)省投資，最終實(shí)現(xiàn)雙中心和統(tǒng)一云平臺(tái)，滿足業(yè)務(wù)和系統(tǒng)可持續(xù)發(fā)展，且不影響已有業(yè)務(wù)的運(yùn)行，實(shí)現(xiàn)平滑上線的要求，最終設(shè)計(jì)規(guī)劃為開放式高端存儲(chǔ)特有的云存儲(chǔ)虛擬化結(jié)合存儲(chǔ)池底層實(shí)時(shí)復(fù)制技術(shù)的方案，滿足容災(zāi)備份需求[6]。

2.1.2 業(yè)務(wù)連續(xù)性分析

根據(jù)中國CDC業(yè)務(wù)系統(tǒng)模式和需求，通過對(duì)傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)、計(jì)劃免疫系統(tǒng)以及協(xié)同辦公系統(tǒng)等的分析和比較，傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)對(duì)數(shù)據(jù)和其支撐的業(yè)務(wù)對(duì)連續(xù)性要求最高，且恢復(fù)點(diǎn)目標(biāo)(recovery point objective，RPO)接近于0(0～1 min)，RTO＜2 h，該系統(tǒng)需要實(shí)時(shí)異地容災(zāi)備份[7]。數(shù)據(jù)分析見表1。

圖1 容災(zāi)系統(tǒng)組成結(jié)構(gòu)圖

表1 中國CDC系統(tǒng)業(yè)務(wù)連續(xù)性分析

2.2 技術(shù)選擇

(1)容災(zāi)的7個(gè)層次。根據(jù)國際標(biāo)準(zhǔn)SHARE78的定義，災(zāi)難恢復(fù)解決方案可根據(jù)“備份/恢復(fù)的范圍”、“災(zāi)難恢復(fù)計(jì)劃的狀態(tài)”、“在應(yīng)用中心與備份中心之間的距離”、“應(yīng)用中心與備份中心之間的如何相互連接”、“數(shù)據(jù)是怎樣在兩個(gè)中心之間傳送的”、“有多少數(shù)據(jù)被丟失”、“怎樣保證更新的數(shù)據(jù)在備份中心被更新”以及“備份中心可以開始備份工作的能力”八方面分成7個(gè)層次(見表2)。

表2 容災(zāi)的7個(gè)層次

(2)遠(yuǎn)程容災(zāi)技術(shù)。中國CDC傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)的容災(zāi)設(shè)計(jì)綜合考慮各種技術(shù)的組合和輔助功能，分布實(shí)施，實(shí)現(xiàn)最高層次的容災(zāi)架構(gòu)。基于本系統(tǒng)存儲(chǔ)的遠(yuǎn)程數(shù)據(jù)復(fù)制技術(shù)是屬于國際標(biāo)準(zhǔn)SHARE78第5層以上容災(zāi)，具有RPO和RTO短的優(yōu)勢(shì)，同時(shí)安全、成熟和穩(wěn)定。目前的大型容災(zāi)項(xiàng)目基本均基于該技術(shù)，同樣是本系統(tǒng)設(shè)計(jì)規(guī)劃中重點(diǎn)采用的遠(yuǎn)程容災(zāi)技術(shù)[8]。

(3)數(shù)據(jù)復(fù)制方式。根據(jù)傳染病網(wǎng)絡(luò)直報(bào)的特點(diǎn)，采用基于HDS存儲(chǔ)的容災(zāi)方案。為保證最小數(shù)據(jù)丟失，RPO接近于0，生產(chǎn)中心到同城災(zāi)備中心規(guī)劃采用16波粗波分復(fù)用器(coarse wavelength division multiplexer，CWDM)光纖鏈路保證災(zāi)備傳輸[9]。以此為基礎(chǔ)，同城容災(zāi)采用存儲(chǔ)的異步數(shù)據(jù)復(fù)制方式。

2.3 傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)數(shù)據(jù)的災(zāi)備管理

(1)根據(jù)中國CDC信息化建設(shè)的總體設(shè)計(jì)要求，利用中國CDC園區(qū)與異地舊址之間已有的CWDM設(shè)備，構(gòu)建兩地之間的SAN存儲(chǔ)網(wǎng)絡(luò)互聯(lián)環(huán)境和IP局域網(wǎng)絡(luò)互聯(lián)環(huán)境[10]?？傮w網(wǎng)絡(luò)規(guī)劃如圖2所示。

(2)傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)為核心業(yè)務(wù)系統(tǒng)，該系統(tǒng)的容災(zāi)建設(shè)是通過中國CDC園區(qū)通用存儲(chǔ)平臺(tái)(universal storage platform V， USP V)建立的存儲(chǔ)虛擬池配置對(duì)異地USP VM存儲(chǔ)池的遠(yuǎn)程容災(zāi)數(shù)據(jù)復(fù)制。具體設(shè)計(jì)架構(gòu)如圖3所示。

2.4 應(yīng)用級(jí)容災(zāi)系統(tǒng)實(shí)現(xiàn)

2.4.1 容災(zāi)系統(tǒng)方案

圖2 容災(zāi)系統(tǒng)總體規(guī)劃邏輯拓?fù)鋱D

圖3 遠(yuǎn)程數(shù)據(jù)復(fù)制總體架構(gòu)圖

應(yīng)用級(jí)災(zāi)備系統(tǒng)是在數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)基礎(chǔ)上實(shí)現(xiàn)應(yīng)用系統(tǒng)的切換和回切，以保證業(yè)務(wù)的連續(xù)性。在應(yīng)用級(jí)災(zāi)備系統(tǒng)建設(shè)時(shí)只需在原有數(shù)據(jù)級(jí)災(zāi)備的基礎(chǔ)上，在災(zāi)備中心部署應(yīng)用級(jí)應(yīng)用系統(tǒng)相應(yīng)的數(shù)據(jù)庫和應(yīng)用服務(wù)器，并安裝配置數(shù)據(jù)庫和應(yīng)用程序。自2013年啟用中國CDC啟動(dòng)同城異地容災(zāi)備份中心，已經(jīng)實(shí)現(xiàn)傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)由同城數(shù)據(jù)級(jí)容災(zāi)備份到應(yīng)用級(jí)容災(zāi)備份的轉(zhuǎn)變。整個(gè)備份過程采用了異步數(shù)據(jù)復(fù)制技術(shù)，通過異步模式進(jìn)行數(shù)據(jù)的傳輸[11]。

2.4.2 應(yīng)用系統(tǒng)架構(gòu)

在異地容災(zāi)中心部署的傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)采用B/S/DBMS的三層架構(gòu)，其中包括應(yīng)用服務(wù)器和Web服務(wù)器，結(jié)合現(xiàn)有可利用資源及新采購服務(wù)器，且與中國CDC園區(qū)數(shù)據(jù)中心保持一致，共計(jì)使用8臺(tái)DELL M910和4臺(tái)DELL M610服務(wù)器(如圖4所示)。

圖4 異地容災(zāi)中心部署結(jié)構(gòu)圖

2.4.3 單系統(tǒng)的切換與回切

(1)單系統(tǒng)的切換。傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)采用USP V存儲(chǔ)進(jìn)行復(fù)制，USP V存儲(chǔ)支持部分系統(tǒng)切換，當(dāng)生產(chǎn)中心的系統(tǒng)不可用時(shí)，只需將該系統(tǒng)對(duì)應(yīng)的主機(jī)切換到災(zāi)備中心，該系統(tǒng)的數(shù)據(jù)可通過USP V存儲(chǔ)設(shè)備的反向復(fù)制功能從災(zāi)備端復(fù)制到生產(chǎn)端。

(2)單系統(tǒng)的回切。當(dāng)生產(chǎn)中心的業(yè)務(wù)系統(tǒng)恢復(fù)后檢查兩端數(shù)據(jù)的一致性和完整性，當(dāng)兩端數(shù)據(jù)一致后可將災(zāi)備端應(yīng)用系統(tǒng)反向回切到生產(chǎn)端。

2.5 啟動(dòng)容災(zāi)條件

由于切換消耗時(shí)間過多，應(yīng)用啟動(dòng)約為30 min，回切同樣會(huì)耗費(fèi)很長時(shí)間，因此當(dāng)生產(chǎn)中心系統(tǒng)出現(xiàn)故障后、在長時(shí)間難以恢復(fù)的情況下考慮切換，其切換條件為：①生產(chǎn)中心網(wǎng)絡(luò)出口長時(shí)間中斷，超過系統(tǒng)約定的宕機(jī)時(shí)間；②生產(chǎn)中心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫服務(wù)器因故障宕機(jī)，難以在短時(shí)間內(nèi)修復(fù)；③生產(chǎn)中心的磁盤陣列因故障宕機(jī)，難以在短時(shí)間內(nèi)修復(fù)；④生產(chǎn)中心出現(xiàn)長時(shí)間停電，超過UPS能夠支撐的供電保護(hù)時(shí)間，并難以在短時(shí)間內(nèi)恢復(fù)供電。

3 傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)災(zāi)難場(chǎng)景模擬

當(dāng)中國CDC園區(qū)生產(chǎn)中心主機(jī)及存儲(chǔ)發(fā)生故障、應(yīng)用服務(wù)器無法提供服務(wù)時(shí)，負(fù)載均衡設(shè)備將自動(dòng)調(diào)整到通過異地容災(zāi)中心應(yīng)用服務(wù)器提供服務(wù)，切換過程網(wǎng)絡(luò)不需要進(jìn)行任何人為調(diào)整。目前，中國CDC園區(qū)前置應(yīng)用負(fù)載均衡為后端服務(wù)器80～89提供負(fù)載均衡服務(wù)，并通過適當(dāng)可用的健康檢查方式對(duì)后端應(yīng)用進(jìn)行可行性檢查。

用戶訪問直報(bào)系統(tǒng)通過應(yīng)用負(fù)載均衡進(jìn)行流量分擔(dān)，此時(shí)中國CDC園區(qū)應(yīng)用負(fù)載通過適當(dāng)健康檢查方式檢查本地應(yīng)用服務(wù)器是否可用；如果可用則選擇本地應(yīng)用服務(wù)器為用戶提供服務(wù)；如果本地應(yīng)用服務(wù)器健康檢查失敗，則通過CWDM線路提供的IP網(wǎng)絡(luò)使用異地應(yīng)用服務(wù)器繼續(xù)為用戶提供服務(wù)，其切換方式如圖5所示。

圖5 應(yīng)用切換效果拓?fù)鋱D

4 結(jié)語

中國CDC依托信息化建設(shè)完成傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)數(shù)據(jù)容災(zāi)中心的建設(shè)。通過升級(jí)改造原有數(shù)據(jù)中心，部署相應(yīng)系統(tǒng)，連接同城異地機(jī)房的裸光纖，實(shí)現(xiàn)重要信息系統(tǒng)數(shù)據(jù)的同城異地容災(zāi)備份，尤其是傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)的容災(zāi)備份，并完成信息安全等級(jí)保護(hù)要求的軟硬件安全加固。應(yīng)用實(shí)效通過了2014年和2015年公安部的安全等級(jí)測(cè)評(píng)，確保數(shù)據(jù)的完整性和一致性。

[1]馬家奇.國家疾病網(wǎng)絡(luò)直報(bào)系統(tǒng)與醫(yī)院信息系統(tǒng)連接的公共衛(wèi)生意義[J].中華預(yù)防醫(yī)學(xué)雜志，2008，42(z1)：108-109.

[2]鄭毅.網(wǎng)絡(luò)信息系統(tǒng)容災(zāi)技術(shù)研究[J].襄樊學(xué)院學(xué)報(bào)，2007，28(11)：48-51.

[3]汪兆來.基于存儲(chǔ)虛擬化技術(shù)的雙活數(shù)據(jù)中心醫(yī)院信息系統(tǒng)容災(zāi)平臺(tái)研究與設(shè)計(jì)[J].中國醫(yī)學(xué)裝備，2015，12(9)：65-68.

[4]謝彬，崔凱.數(shù)據(jù)異地容災(zāi)的實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(2)：89-90，95.

[5]馮陽，張立新，廖明耀，等.數(shù)據(jù)(災(zāi)備)中心中間件應(yīng)用服務(wù)器研究與設(shè)計(jì)[J].電子技術(shù)應(yīng)用，2015(z1)：264-268.

[6]姚文斌，葉鵬迪.云災(zāi)備中系統(tǒng)級(jí)管理技術(shù)的關(guān)鍵問題[J].中興通訊技術(shù)，2012，18(6)：22-25.

[7]牛啟潤.醫(yī)院信息系統(tǒng)存儲(chǔ)與容災(zāi)建設(shè)的體會(huì)[J].中國數(shù)字醫(yī)學(xué)，2007，2(8)：51-53.

[8]薛雁.醫(yī)院SAN數(shù)據(jù)存儲(chǔ)和遠(yuǎn)程容災(zāi)方案[J].現(xiàn)代醫(yī)院，2007，7(2)：143-145.

[9]舒繼武.存儲(chǔ)系統(tǒng)的體系結(jié)構(gòu)[J].中國教育網(wǎng)絡(luò)，2007(3)：66-68.

[10]陸維嘉.SAN存儲(chǔ)網(wǎng)絡(luò)技術(shù)在醫(yī)院信息系統(tǒng)容災(zāi)與備份中的應(yīng)用淺析[J].中國數(shù)字醫(yī)學(xué)，2009，4(5)：77-79.

[11]肖革新，馬家奇.公共衛(wèi)生數(shù)據(jù)中心存儲(chǔ)系統(tǒng)設(shè)計(jì)思路與實(shí)踐探討[J].信息網(wǎng)絡(luò)安全，2012(2)：71-73.

Realization of disaster backup of infectious disease net reporting system in Chinese Center for Disease Control and Prevention/

BAO Yi-dan, MA Jia-qi// China Medical Equipment,2016,13(12):131-134.

Objective: To realize the different disaster recovery of infectious disease net reporting system of Chinese Center for Disease Control and Prevention (China CDC) in the same city. Methods: We adopted B/S/DBMS three-tier architecture to deploy the infectious disease net reporting system in the disaster recovery center, realized data level disaster recovery through the remote replication technology, realized application level disaster recovery through technology of the data asynchronous replicating and transmitted disaster recovery data of the infectious disease net reporting system through asynchronous mode. Results: According to the existing resources, we established different disaster recovery center of the same city, realized the disaster recovery data backup of important information system in the same city, completed the security of software and hardware in information security level protection, and passed the level evaluation of Ministry of Public Security. Conclusion: The establishment of disaster recovery center in the off-sete of same city can make sure the security of the system and data, and ensure the continuity of work efficiency.

Disaster backup; Data disaster recovery; Remote replication technology; Data reproduction

10.3969/J.ISSN.1672-8270.2016.12.038

1672-8270(2016)12-0131-04

R197.324

A

2016-10-12

科技基礎(chǔ)條件平臺(tái)國家人口與健康數(shù)據(jù)共享平臺(tái)公共衛(wèi)生科學(xué)數(shù)據(jù)中心

①中國疾病預(yù)防控制中心公共衛(wèi)生監(jiān)測(cè)與信息服務(wù)中心 北京 100050

*通訊作者：majq@chinacdc.cn

鮑一丹，女，(1983- )，碩士，助理研究員。中國疾病預(yù)防控制中心公共衛(wèi)生監(jiān)測(cè)與信息服務(wù)中心，從事網(wǎng)絡(luò)安全工作。