丁 濤 劉 峰 楊 賽

(1漢中市中心醫(yī)院 漢中 723000 2西安交通大學(xué) 西安 710049 3寧夏醫(yī)科大學(xué)總醫(yī)院 銀川 750004)

1 引言

隨著醫(yī)院信息化建設(shè)的逐步深入，信息技術(shù)廣泛應(yīng)用于醫(yī)療機(jī)構(gòu)日常診療、管理、服務(wù)等活動中，成為醫(yī)院運營的重要基礎(chǔ)設(shè)施[1]，其安全、可靠、穩(wěn)定運行對各項工作順利開展至關(guān)重要。2018年國家衛(wèi)生健康委員會發(fā)布《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》[2]，明確指出醫(yī)院信息化建設(shè)要涵蓋各應(yīng)用及數(shù)據(jù)庫服務(wù)器、存儲磁盤陣列、集群軟件和應(yīng)用容災(zāi)軟件等組件，具備數(shù)據(jù)容災(zāi)能力，支持多種技術(shù)本地化高可用，對醫(yī)療大數(shù)據(jù)的安全性、容災(zāi)能力建設(shè)的需求更加迫切[3]。部分醫(yī)院為提高系統(tǒng)和數(shù)據(jù)抗風(fēng)險能力，運用系統(tǒng)集成技術(shù)實現(xiàn)大數(shù)據(jù)安全保護(hù)，主要方式包括基于底層存儲硬件的數(shù)據(jù)克隆、復(fù)制，基于應(yīng)用或數(shù)據(jù)庫的群集，基于操作系統(tǒng)的熱備，以及其他不同層級雙活技術(shù)、虛擬化技術(shù)等。魏智等[4]通過對醫(yī)院數(shù)據(jù)安全需求分析，提出一種基于數(shù)據(jù)庫和存儲的雙活數(shù)據(jù)中心，最大限度實現(xiàn)業(yè)務(wù)系統(tǒng)的高可用和數(shù)據(jù)容災(zāi)；曹凱[5]通過軟件定義網(wǎng)絡(luò)(software-defined networking，SDN)、超融合等新技術(shù)應(yīng)用，構(gòu)建跨數(shù)據(jù)中心的雙活超融合虛擬化資源池，減少系統(tǒng)單點故障、性能瓶頸；上官斌[6]研究顯示，越來越多機(jī)構(gòu)開始逐步推進(jìn)系統(tǒng)雙活建設(shè)，其中最重要、最困難的是如何實現(xiàn)大型數(shù)據(jù)庫雙活，包括仲裁一致性、性能同步、異常切換決策等。

建立數(shù)據(jù)中心雙活容災(zāi)保護(hù)機(jī)制(以下簡稱雙活)可以有效促進(jìn)大數(shù)據(jù)相關(guān)業(yè)務(wù)的高可用，確保數(shù)據(jù)一致性和系統(tǒng)安全性，已被廣泛應(yīng)用于醫(yī)療大數(shù)據(jù)安全保護(hù)。但是，不同雙活建設(shè)層級達(dá)到的數(shù)據(jù)保護(hù)預(yù)期效果差別較大，如何選擇合適的雙活技術(shù)，以較高性價比實現(xiàn)大數(shù)據(jù)安全保護(hù)，具有一定研究意義。本文通過對常用醫(yī)療大數(shù)據(jù)雙活保護(hù)技術(shù)分析，從實施復(fù)雜度和風(fēng)險、建設(shè)與運維成本、軟硬件兼容性以及對不同結(jié)構(gòu)數(shù)據(jù)的保護(hù)能力，資源消耗、性能、技術(shù)開放程度等方面，總結(jié)不同維度雙活技術(shù)的優(yōu)缺點，結(jié)合醫(yī)院數(shù)據(jù)保護(hù)場景和功能需要，討論技術(shù)方案的難點與問題，為醫(yī)院大數(shù)據(jù)中心的可靠運行、應(yīng)急容災(zāi)和數(shù)據(jù)保護(hù)提供思路。

2 醫(yī)療大數(shù)據(jù)安全需求分析

醫(yī)療大數(shù)據(jù)包括不同時期、廠商、業(yè)務(wù)、信息系統(tǒng)應(yīng)用所積累的各類患者病歷、文書，檢驗、檢查結(jié)果等電子化資料，以及醫(yī)院管理、運營、公共衛(wèi)生服務(wù)中形成的各種與醫(yī)療相關(guān)的數(shù)據(jù)信息[7]。根據(jù)“智慧醫(yī)院”建設(shè)程度，信息系統(tǒng)日益增加使數(shù)據(jù)累積和應(yīng)用環(huán)境趨于復(fù)雜，機(jī)構(gòu)醫(yī)療大數(shù)據(jù)呈現(xiàn)出海量化、業(yè)務(wù)及時化、存儲多樣化、價值高端化的特點[8]，其安全需求主要包括：一是醫(yī)療大數(shù)據(jù)的價值決定其安全基礎(chǔ)是物理數(shù)據(jù)安全性，避免數(shù)據(jù)丟失、損毀以及其他因物理數(shù)據(jù)安全造成的公共事件；二是從應(yīng)用角度，關(guān)注系統(tǒng)和數(shù)據(jù)容量增長衍生的各種問題，對數(shù)據(jù)應(yīng)用層服務(wù)能力要求更高；三是關(guān)注數(shù)據(jù)連續(xù)性和系統(tǒng)運行魯棒性，能夠持續(xù)為患者和醫(yī)療服務(wù)提供數(shù)據(jù)支撐能力；四是從技術(shù)角度更加關(guān)注各種不同物理硬件、應(yīng)用軟件的高性能，在高并發(fā)下為不同業(yè)務(wù)需求提供安全可靠的服務(wù)；五是關(guān)注復(fù)雜情況下，不同類型(包括各種結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化)數(shù)據(jù)管理，以及數(shù)據(jù)集邏輯與隱私保護(hù)[9]。

3 醫(yī)療大數(shù)據(jù)雙活系統(tǒng)集成技術(shù)與應(yīng)用

3.1 雙活系統(tǒng)集成技術(shù)應(yīng)用意義

醫(yī)院業(yè)務(wù)系統(tǒng)應(yīng)用具有較強行業(yè)特點，醫(yī)療大數(shù)據(jù)保護(hù)一般不為每個系統(tǒng)或獨立應(yīng)用進(jìn)行特定數(shù)據(jù)安全保護(hù)體系建設(shè)，常用做法是從醫(yī)療數(shù)據(jù)的采集、存儲、訪問、應(yīng)用等環(huán)節(jié)建立完整安全防護(hù)體系[10]。雙活系統(tǒng)集成技術(shù)被廣泛應(yīng)用，特別是基于數(shù)據(jù)中心的雙活應(yīng)用，具有低成本、低風(fēng)險、快速交付等特點，有助于醫(yī)院減少資源浪費，既達(dá)到保護(hù)效果又能在共享和應(yīng)用過程中實現(xiàn)數(shù)據(jù)管理的安全可靠和規(guī)范有序。

3.2 雙活系統(tǒng)集成技術(shù)概況

雙活系統(tǒng)集成就是由兩套或兩組以上存儲、主機(jī)同時為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)讀寫及存儲服務(wù)，數(shù)據(jù)同時以雙副本或更多副本形式分別存在兩個不同物理空間。同時，所有數(shù)據(jù)均在線，當(dāng)任意底層物理部件出現(xiàn)損壞時業(yè)務(wù)數(shù)據(jù)不會丟失，甚至業(yè)務(wù)平臺不會停止，見圖1。

圖1 雙活數(shù)據(jù)中心

雙活系統(tǒng)集成技術(shù)并沒有標(biāo)準(zhǔn)的定義或者行業(yè)規(guī)范，一般根據(jù)不同層級數(shù)據(jù)和業(yè)務(wù)保護(hù)需要，形成涵蓋存儲、數(shù)據(jù)庫、文件、網(wǎng)絡(luò)、業(yè)務(wù)等不同層面的系統(tǒng)集成部署技術(shù)，本文主要討論業(yè)務(wù)數(shù)據(jù)系統(tǒng)集成雙活技術(shù)。

3.3 醫(yī)院常用雙活系統(tǒng)集成技術(shù)

3.3.1 雙活系統(tǒng)集成技術(shù)分類 按照數(shù)據(jù)副本動作發(fā)生的位置和處理方式，雙活系統(tǒng)集成技術(shù)可分為5種：基于數(shù)據(jù)庫的雙活系統(tǒng)集成；基于主機(jī)(文件系統(tǒng)層)的雙活系統(tǒng)集成；基于存儲硬件的“單寫式”雙活系統(tǒng)集成；基于存儲硬件的“雙寫式”雙活系統(tǒng)集成；重構(gòu)業(yè)務(wù)應(yīng)用，通過應(yīng)用實現(xiàn)雙活系統(tǒng)集成。其中，第5種是根據(jù)業(yè)務(wù)特點、訪問邏輯、訪問模式等進(jìn)行應(yīng)用軟件重構(gòu)，再添加一系列軟件組件，封裝部分業(yè)務(wù)模塊，甚至改變業(yè)務(wù)流程，進(jìn)而實現(xiàn)雙活。由于醫(yī)院業(yè)務(wù)特殊性，除小部分技術(shù)實力強、業(yè)務(wù)模式簡單的新興互聯(lián)網(wǎng)醫(yī)療平臺可以實現(xiàn)外，其應(yīng)用范圍相對較小。因此本文以討論前4種技術(shù)為主。

3.3.2 數(shù)據(jù)庫端雙活集成 數(shù)據(jù)庫端雙活集成技術(shù)一般基于數(shù)據(jù)庫的分布式服務(wù)構(gòu)建。在同一應(yīng)用環(huán)境下，除保持?jǐn)?shù)據(jù)一致性外，將數(shù)據(jù)庫服務(wù)分散至兩臺以上的服務(wù)器。其典型應(yīng)用形式分為兩類，一是以甲骨文公司為代表的Oracle RAC結(jié)合自動存儲管理(automatic storage management，ASM)解決方案。ASM支持條帶化和磁盤鏡像，且比傳統(tǒng)的獨立磁盤冗余陣列(redundant array of independent disks，RAID)更靈活，可以為每個數(shù)據(jù)文件指定冗余級別。當(dāng) ASM為普通文件分配一個擴(kuò)展數(shù)據(jù)塊時，會分配另一個輔助副本，并將輔助副本存儲在主副本以外的其他磁盤組塊中，在發(fā)生磁盤故障時不會導(dǎo)致數(shù)據(jù)丟失。二是基于數(shù)據(jù)庫日志的數(shù)據(jù)庫文件副本同步復(fù)制技術(shù)。在數(shù)據(jù)庫運行過程中，所有客戶端請求都會寫入數(shù)據(jù)庫日志，再寫入相應(yīng)數(shù)據(jù)庫文件里，并通過日志詳細(xì)記錄數(shù)據(jù)寫入先后順序，便于解決數(shù)據(jù)恢復(fù)時的一致性和完整性問題。部分?jǐn)?shù)據(jù)庫服務(wù)商研發(fā)出基于日志的副本復(fù)制技術(shù)，在寫日志進(jìn)程中將緩存里的日志依托通信傳輸給副本庫實例，副本庫根據(jù)接收的日志執(zhí)行數(shù)據(jù)更新操作，確保副本庫與主庫的數(shù)據(jù)一致；該技術(shù)能為數(shù)據(jù)庫提供雙文件支持，以同步或異步形式更新，支持手動或自動故障轉(zhuǎn)移，并可將副本配置成只讀模式，進(jìn)行其他數(shù)據(jù)操作，從而減輕主庫壓力。

3.3.3 主機(jī)端雙活集成 在主機(jī)端層面，可以基于邏輯卷鏡像方式提供雙活系統(tǒng)集成服務(wù)，常見技術(shù)形式有Unix、Linux系統(tǒng)的邏輯卷管理(logical volume manager，LVM)模式、Windows系統(tǒng)的動態(tài)卷鏡像功能等。依托操作系統(tǒng)原生的輸入/輸出(input/output，I/O)組件，基于不同站點的各種物理存儲卷，利用鏡像方式“組合”成一個在線邏輯卷，再將邏輯卷提供給操作系統(tǒng)和業(yè)務(wù)系統(tǒng)存取數(shù)據(jù)。來自不同存儲的兩個獨立物理存儲卷，通過存儲區(qū)域網(wǎng)絡(luò)(storage area network，SAN)提供給計算服務(wù)器操作系統(tǒng)，這兩個卷可以本地化部署，也可以通過SAN跨數(shù)據(jù)中心形成遠(yuǎn)程雙活數(shù)據(jù)。通過對LVM物理分區(qū)單元寫入進(jìn)行實時雙向復(fù)制，當(dāng)本地卷數(shù)據(jù)及遠(yuǎn)端卷數(shù)據(jù)同時寫完時，才能算一個完整的數(shù)據(jù)寫入；當(dāng)其中一個存儲卷寫入超時或?qū)懭胧r，該存儲卷會被標(biāo)為故障或離線狀態(tài)，等寫入恢復(fù)后，重新手動同步，以確保鏡像副本與原生副本數(shù)據(jù)一致。在創(chuàng)建邏輯卷時，LVM已經(jīng)將邏輯卷與兩個或多個不同底層物理存儲卷完成映射，針對任何數(shù)據(jù)文件的讀寫都需要由文件系統(tǒng)和LVM完成與底層物理數(shù)據(jù)塊交互，在磁盤底層出現(xiàn)壞塊或某個底層存儲卷徹底損壞時，LVM無須對底層數(shù)據(jù)塊指針進(jìn)行動態(tài)轉(zhuǎn)移，以保證數(shù)據(jù)不丟失、業(yè)務(wù)不停止。

3.3.4 基于存儲底層硬件的雙活集成 基于存儲底層硬件實現(xiàn)的雙活系統(tǒng)集成主要有兩種方式：一種是“單寫式”；另一種是“雙寫式”?！皢螌懯健彪p活系統(tǒng)集成是指針對底層的數(shù)據(jù)卷，所有數(shù)據(jù)“寫”操作均由一方完成，并且進(jìn)行數(shù)據(jù)單向同步?；诖鎯Φ讓佑布摹皢螌懯健彪p活系統(tǒng)集成，見圖2。存儲集群A為源端，存儲集群B為從端，存儲集群內(nèi)部的控制器A1和A2，B1和B2分別構(gòu)成高可用(high availability，HA)環(huán)境，在搭建集成環(huán)境時兩個存儲集群建立從屬關(guān)系，源端任何寫入操作都交由本地卷SVM_A1完成，而對端控制器接收到前端服務(wù)器的寫入請求時，會將該請求轉(zhuǎn)發(fā)至源端SVM_A1，由源端SVM_A1完成寫入操作，同時給目標(biāo)端SVM_A1-mc復(fù)制一個寫入操作，直到兩邊SVM同時寫入完成后，數(shù)據(jù)和副本才完成寫入。

圖2 基于存儲底層硬件的“單寫式”雙活系統(tǒng)集成

因此，針對數(shù)據(jù)卷A1，無論是來自源端還是對端服務(wù)器寫入請求，均會被轉(zhuǎn)發(fā)給源端SVM_A1完成“寫”操作，再按照從源端SVM_A1到目標(biāo)端SVM_A1-mc單向方式完成數(shù)據(jù)復(fù)制“寫”操作。當(dāng)源端出現(xiàn)故障或災(zāi)難時，業(yè)務(wù)系統(tǒng)會有一個屬主切換過程，類似故障轉(zhuǎn)移，在此期間業(yè)務(wù)會發(fā)生中斷或性能急劇降低。

存儲“雙寫式”雙活系統(tǒng)集成技術(shù)與“單寫式”最大的不同之處在于針對底層數(shù)據(jù)卷，對端和源端在接收到數(shù)據(jù)寫入請求后，會自發(fā)完成“寫”操作。這種架構(gòu)的對端及源端數(shù)據(jù)卷均是在線、可讀寫狀態(tài)，因此在底層任意存儲硬件出現(xiàn)問題時不需要故障切換動作，確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性；另外，源端和對端雙方均可同時提供讀寫操作，其整體性能優(yōu)于“單寫式”架構(gòu)。

4 技術(shù)比較與討論

不同層面雙活技術(shù)實現(xiàn)的數(shù)據(jù)保護(hù)效果存在差異，見表1。醫(yī)院各種業(yè)務(wù)系統(tǒng)眾多且集成環(huán)境復(fù)雜，很難用一種技術(shù)實現(xiàn)所有層面的數(shù)據(jù)保護(hù)，因此，結(jié)合不同需求和應(yīng)用場景以及業(yè)務(wù)響應(yīng)要求，分級分類選擇合適的雙活數(shù)據(jù)保護(hù)技術(shù)，才能以較高性價比實現(xiàn)醫(yī)療大數(shù)據(jù)有效保護(hù)。

表1 不同層面雙活系統(tǒng)集成技術(shù)對比

4.1 核心業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫保護(hù)

按照國家衛(wèi)生健康委員會《關(guān)于進(jìn)一步推進(jìn)以電子病歷為核心的醫(yī)療機(jī)構(gòu)信息化建設(shè)工作的通知》要求[11]，三級醫(yī)院到2020年電子病歷系統(tǒng)功能應(yīng)用水平分級評價要達(dá)到4級以上。其中，醫(yī)院信息系統(tǒng)、電子病歷系統(tǒng)等作為核心應(yīng)用要實現(xiàn)業(yè)務(wù)及數(shù)據(jù)庫保護(hù)。從業(yè)務(wù)角度看，核心系統(tǒng)的容災(zāi)恢復(fù)點目標(biāo)和恢復(fù)時間目標(biāo)接近0才能達(dá)到高可用[12]，滿足安全需求；從數(shù)據(jù)角度看，在確保數(shù)據(jù)一致性的前提下，應(yīng)該盡可能實現(xiàn)數(shù)據(jù)多份冗余，因此，采用數(shù)據(jù)庫端和基于底層存儲的“雙寫式”雙活系統(tǒng)集成融合，可以最大限度地實現(xiàn)整體保護(hù)效果?；蛘呓Y(jié)合不同主機(jī)的故障轉(zhuǎn)移群集能力，實現(xiàn)計算層面高可用，將故障轉(zhuǎn)移群集與存儲底層硬件“雙寫式”雙活結(jié)合，進(jìn)一步提升核心業(yè)務(wù)生產(chǎn)系統(tǒng)的穩(wěn)定性以及高可用。

4.2 一般業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫保護(hù)

一般業(yè)務(wù)系統(tǒng)的響應(yīng)及時性要求不高，恢復(fù)時間點目標(biāo)要比核心業(yè)務(wù)系統(tǒng)大，特別是部分醫(yī)院建設(shè)資金投入有限，對除核心業(yè)務(wù)以外的絕大多數(shù)系統(tǒng)采用超融合、虛擬化等方式進(jìn)行部署，通過建立虛擬資源池節(jié)省硬件開銷，可以降低運維成本與難度。針對這部分業(yè)務(wù)及數(shù)據(jù)庫，可以將數(shù)據(jù)空間采用“雙寫式”雙活系統(tǒng)集成架構(gòu)進(jìn)行構(gòu)建，而上層業(yè)務(wù)則依托虛擬機(jī)平臺自身的快照技術(shù)，或者其他多主機(jī)共享群集技術(shù)，實現(xiàn)業(yè)務(wù)高可用與數(shù)據(jù)冗余災(zāi)備，例如虛擬機(jī)快照技術(shù)、RoseHA、Windows Cluster、賽門鐵克VCS等，能夠提高生產(chǎn)系統(tǒng)可靠性，以較低成本實現(xiàn)較好效果。

4.3 特殊業(yè)務(wù)應(yīng)用及數(shù)據(jù)保護(hù)

根據(jù)使用場景，醫(yī)院還有一些特殊信息系統(tǒng)應(yīng)用，特別是多影像、多文件存儲及管理，其業(yè)務(wù)模式、性能需求、數(shù)據(jù)特征以及數(shù)據(jù)量和其他系統(tǒng)差異較大。一是數(shù)據(jù)量巨大，單日新增數(shù)據(jù)量超過10 GB，隨著時間推移，積累的海量數(shù)據(jù)形成巨大保存壓力；二是數(shù)據(jù)形式以影像、圖片等文件為主，部分系統(tǒng)產(chǎn)生的文件數(shù)據(jù)還具有小而多的特點；三是數(shù)據(jù)調(diào)閱頻度不固定，但操作人員對數(shù)據(jù)的響應(yīng)速度有很高要求。這部分特殊業(yè)務(wù)以及數(shù)據(jù)保護(hù)，要綜合考慮存儲系統(tǒng)的性能、數(shù)據(jù)保護(hù)技術(shù)以及成本，建議采用大容量網(wǎng)絡(luò)存儲方式構(gòu)建數(shù)據(jù)倉庫，結(jié)合分層存儲技術(shù)，保障數(shù)據(jù)調(diào)閱性能；在數(shù)據(jù)保護(hù)技術(shù)選擇上，可以采用存儲底層硬件“單寫式”雙活系統(tǒng)集成技術(shù)，確保數(shù)據(jù)安全冗余和成本低廉，形成性價比較高的綜合解決方案。

5 結(jié)語

醫(yī)療大數(shù)據(jù)不僅保障醫(yī)院日常業(yè)務(wù)運行，同時還服務(wù)于機(jī)構(gòu)科研創(chuàng)新等方面，醫(yī)療大數(shù)據(jù)安全保護(hù)十分關(guān)鍵[13]。通過對不同層面雙活系統(tǒng)集成技術(shù)的研究與合理應(yīng)用，可以為醫(yī)院醫(yī)療信息數(shù)據(jù)及業(yè)務(wù)連續(xù)性保護(hù)提供一定支撐，提高醫(yī)院網(wǎng)絡(luò)信息安全水平，使信息化、大數(shù)據(jù)更好地服務(wù)于醫(yī)療健康事業(yè)。