王元東，羅 娟，符峰釗，郭平彩，彭 玲

隨著我國信息化建設(shè)飛速發(fā)展，圍繞醫(yī)院業(yè)務(wù)的信息系統(tǒng)也不斷涌現(xiàn)， 對提升醫(yī)院管理能力，提高臨床工作效率起到促進(jìn)作用。 如何保證各系統(tǒng)穩(wěn)定運(yùn)行、數(shù)據(jù)安全保障到位是重中之重。 筆者以某中心醫(yī)院為例，設(shè)計(jì)一套安全性高、低成本的信息系統(tǒng)容災(zāi)備份方案， 以期為無條件建設(shè)異地機(jī)房、且部分系統(tǒng)已具有簡單容災(zāi)能力的中小型醫(yī)院提供參考。

1 某中心醫(yī)院信息系統(tǒng)現(xiàn)狀分析

1.1 基本情況 該中心醫(yī)院主要業(yè)務(wù)系統(tǒng)為HIS（醫(yī)院信息管理系統(tǒng)）、LIS （檢驗(yàn)信息管理系統(tǒng)）、EMR（電子病歷系統(tǒng)）、PACS（醫(yī)學(xué)影像歸檔與存儲系統(tǒng)）、心電網(wǎng)絡(luò)、手麻重癥系統(tǒng)。 其中HIS、LIS、心電網(wǎng)絡(luò)、 手麻重癥系統(tǒng)的數(shù)據(jù)存放在本地硬盤上，PACS 和EMR 的數(shù)據(jù)存放在一臺EMC VNX5500磁盤陣列上。

在應(yīng)用安全上為了確保業(yè)務(wù)的連續(xù)性，HIS 系統(tǒng)采用了兩臺HP 小型機(jī)， 利用Oracle DataGuard實(shí)現(xiàn)兩臺小型機(jī)的數(shù)據(jù)同步，PACS 系統(tǒng)采用了兩臺IBM 服務(wù)器并采用了集群方式部署，實(shí)現(xiàn)業(yè)務(wù)故障時的自動切換，確保了應(yīng)用系統(tǒng)的連續(xù)性及高可用性。

在數(shù)據(jù)安全上，HIS、LIS、EMR 系統(tǒng)都采用數(shù)據(jù)庫自帶的備份功能定時對數(shù)據(jù)進(jìn)行備份。 該院信息系統(tǒng)拓?fù)鋱D見圖1。

1.2 存在問題 （1）HIS 系統(tǒng)沒有存儲設(shè)備，數(shù)據(jù)存放在小型機(jī)的本地硬盤上，隨著業(yè)務(wù)量的不斷增高對服務(wù)器數(shù)據(jù)讀寫的壓力也越來也大，會直接影響系統(tǒng)的運(yùn)行速度。 （2）LIS、心電網(wǎng)絡(luò)、手麻重癥系統(tǒng)為單機(jī)運(yùn)行，一旦服務(wù)器出現(xiàn)故障將會導(dǎo)致業(yè)務(wù)中斷。 （3）虛擬化系統(tǒng)物理服務(wù)器只有一臺，存在單點(diǎn)故障。 （4）核心業(yè)務(wù)系統(tǒng)沒有連續(xù)數(shù)據(jù)保護(hù)設(shè)備，無法保證數(shù)據(jù)邏輯故障或誤刪除時數(shù)據(jù)不丟失。

2 構(gòu)建數(shù)據(jù)容災(zāi)技術(shù)需求分析

2.1 需求分析 容災(zāi)備份系統(tǒng)能力是醫(yī)院信息化建設(shè)的一項(xiàng)重要評價指標(biāo)。 通常影響系統(tǒng)正常運(yùn)行的因素主要有以下幾種［1］：（1）計(jì)算機(jī)設(shè)備硬件故障導(dǎo)致的數(shù)據(jù)不能訪問、系統(tǒng)死機(jī)或無法啟動等；（2）由應(yīng)用程序或操作系統(tǒng)的漏洞導(dǎo)致的系統(tǒng)非正常終止；（3）人工誤操作導(dǎo)致的應(yīng)用、系統(tǒng)終止；（4）病毒感染導(dǎo)致的應(yīng)用、系統(tǒng)崩潰或數(shù)據(jù)損壞丟失；（5）由不可抗的自然災(zāi)害如雷擊，火災(zāi)等導(dǎo)致的業(yè)務(wù)系統(tǒng)中斷或數(shù)據(jù)丟失。 為了保證業(yè)務(wù)持續(xù)性，提高醫(yī)院數(shù)據(jù)的安全性，必須構(gòu)建能夠應(yīng)對各種突發(fā)情況的容災(zāi)系統(tǒng)。

2.2 關(guān)鍵技術(shù) 常見的容災(zāi)技術(shù)［2］主要有存儲鏡像技術(shù)、主機(jī)鏡像技術(shù)、數(shù)據(jù)庫鏡像技術(shù)三類。 存儲鏡像技術(shù)通過存儲控制器或網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)設(shè)備級數(shù)據(jù)遠(yuǎn)程鏡像，可采用同步復(fù)制和異步復(fù)制兩種方式。 影響存儲鏡像技術(shù)的主要因素［3］有主備中心帶寬、距離，成本，實(shí)施與維護(hù)的復(fù)雜程度等。

主機(jī)鏡像技術(shù)提供操作系統(tǒng)級別的鏡像功能，主要通過卷管理器的磁盤鏡像功能來實(shí)現(xiàn)。 有順序和并行兩種存取方式。 并行模式性能優(yōu)于順序模式。 影響主機(jī)鏡像技術(shù)的主要因素為成本，實(shí)施與維護(hù)的復(fù)雜程度等。

數(shù)據(jù)庫鏡像技術(shù)主要通過對生產(chǎn)端進(jìn)行日志分析，提取出有用的信息，并應(yīng)用在容災(zāi)端的方式實(shí)現(xiàn)。 該方式可以分為兩種，一種是數(shù)據(jù)庫本身提供 的容 災(zāi) 復(fù)制 功 能［4，5］如Oracle 的Data Guard 等；另一種是利用第三方復(fù)制工具。 影響數(shù)據(jù)庫鏡像技術(shù)的主要因素為設(shè)備及系統(tǒng)性能、實(shí)施與維護(hù)的復(fù)雜程度。

圖1 某中心醫(yī)院信息系統(tǒng)拓?fù)鋱D

3 容災(zāi)備份系統(tǒng)方案設(shè)計(jì)

3.1 系統(tǒng)設(shè)計(jì)原則 （1）方案必須采用成熟的、經(jīng)實(shí)踐證明其實(shí)用性的技術(shù)；（2）從結(jié)構(gòu)設(shè)計(jì)、產(chǎn)品選擇以及網(wǎng)絡(luò)管理上保證整個網(wǎng)絡(luò)的高可靠性和穩(wěn)定性。 系統(tǒng)傳輸信息的差錯率小，無故障運(yùn)行時間長；（3）系統(tǒng)的設(shè)計(jì)應(yīng)符合國際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)，采用開放式系統(tǒng)體系結(jié)構(gòu)；（4） 系統(tǒng)應(yīng)具有良好的安全性，需進(jìn)行有效的安全控制和管理；（5）選用的技術(shù)和設(shè)備應(yīng)能滿足用戶對系統(tǒng)擴(kuò)展的要求，具有兼容性；（6）系統(tǒng)在保證性能強(qiáng)大、技術(shù)先進(jìn)的同時應(yīng)盡量節(jié)約投資［5］。

3.2 系統(tǒng)設(shè)計(jì)具體要求

3.2.1 系統(tǒng)容災(zāi)要求 由于醫(yī)療行業(yè)與醫(yī)療活動的特殊性，任何人為或自然因素造成的業(yè)務(wù)中斷都會對醫(yī)院造成嚴(yán)重后果。 因此數(shù)據(jù)中心應(yīng)該有快速災(zāi)難恢復(fù)的能力。

3.2.2 系統(tǒng)備份要求 建立一個覆蓋整個醫(yī)院的全部操作平臺的所有應(yīng)用及數(shù)據(jù)庫備份系統(tǒng)，實(shí)現(xiàn)醫(yī)院各種數(shù)據(jù)的備份。 采用集中備份的方式，提高數(shù)據(jù)的安全性，簡化備份管理。

3.2.3 存儲系統(tǒng)要求 方案設(shè)計(jì)應(yīng)能夠平滑簡便地?cái)U(kuò)展存儲空間［6］。另外，方案應(yīng)利于提高存儲系統(tǒng)性能，并使之易于管理，使系統(tǒng)能夠?qū)崿F(xiàn)諸如磁盤鏡像、RAID 技術(shù)、磁盤的在線擴(kuò)容、文件系統(tǒng)的在線伸縮、在線I/O 性能調(diào)整等功能。

3.3 系統(tǒng)設(shè)計(jì)實(shí)現(xiàn) 結(jié)合醫(yī)院現(xiàn)有設(shè)備和系統(tǒng)情況，在滿足數(shù)據(jù)備份安全要求和業(yè)務(wù)連續(xù)不間斷的前提下，盡可能地便于實(shí)施，易于維護(hù)，節(jié)約成本，利于擴(kuò)展。 整體的容災(zāi)備份系統(tǒng)架構(gòu)可以分為主機(jī)層，存儲網(wǎng)絡(luò)層，存儲層。 系統(tǒng)拓?fù)鋱D見圖2。

在主機(jī)層，HIS 和PACS 系統(tǒng)都已經(jīng)采取了集群方式部署，實(shí)現(xiàn)了主機(jī)的高可用性，對于LIS 系統(tǒng)、虛擬化系統(tǒng)、心電網(wǎng)絡(luò)、手麻重癥系統(tǒng)需要增加服務(wù)器實(shí)現(xiàn)主機(jī)的高可用性。

在存儲網(wǎng)絡(luò)層， 使用原有的兩臺EMC 光通道交換機(jī)，僅對原有的交換機(jī)進(jìn)行擴(kuò)容，每臺交換機(jī)激活8 個FC 端口， 兩臺交換機(jī)采用冗余的方式工作，確保網(wǎng)絡(luò)層的高可用性。

在存儲層，增加兩套磁盤陣列，一套作為HIS、虛擬化系統(tǒng)的主存儲，另一套作為核心業(yè)務(wù)系統(tǒng)的容災(zāi)存儲。HIS、LIS、EMR 等核心數(shù)據(jù)同時存放在這兩臺新購的存儲設(shè)備上。

為了解決在線數(shù)據(jù)的安全以及高可用性，部署一套虛擬存儲網(wǎng)關(guān)設(shè)備和一套數(shù)據(jù)連續(xù)保護(hù)設(shè)備。

虛擬存儲網(wǎng)關(guān)設(shè)備能夠?qū)崿F(xiàn)醫(yī)院的業(yè)務(wù)數(shù)據(jù)同時存放在兩臺磁盤陣列上， 兩臺陣列同時工作，互為主備， 保證業(yè)務(wù)的正常運(yùn)行和數(shù)據(jù)的完整性。連續(xù)數(shù)據(jù)保護(hù)設(shè)備能夠?qū)崿F(xiàn)對醫(yī)院業(yè)務(wù)數(shù)據(jù)的實(shí)時保護(hù)，對業(yè)務(wù)數(shù)據(jù)的改變做實(shí)時的記錄，可以做到任意時間點(diǎn)的回退，防止誤操作、病毒破壞等對數(shù)據(jù)造成的損壞。

該數(shù)據(jù)容災(zāi)備份系統(tǒng)能夠生成四份數(shù)據(jù)，兩份實(shí)時數(shù)據(jù)，一份近線數(shù)據(jù)，一份離線數(shù)據(jù)。 如果主核心存儲出現(xiàn)故障，另外一臺容災(zāi)存儲會自動接管業(yè)務(wù)， 如果主存儲和容災(zāi)存儲中的數(shù)據(jù)出現(xiàn)邏輯故障，則可通過連續(xù)數(shù)據(jù)保護(hù)設(shè)備恢復(fù)出邏輯故障的數(shù)據(jù)或直接接管業(yè)務(wù)，能夠最大限度地確保醫(yī)院的數(shù)據(jù)安全以及業(yè)務(wù)的連續(xù)性。 該設(shè)計(jì)方案成本低，適合無條件建設(shè)異地機(jī)房的中小型醫(yī)院借鑒。

圖2 容災(zāi)備份系統(tǒng)方案拓?fù)鋱D