容災技術在醫院信息化建設中的應用研究

韓愛華

容災技術在醫院信息化建設中的應用研究

韓愛華①

目的：探索建立醫院信息系統(HIS)核心業務系統應用級別的容災架構與模式。方法：從容災相關概念與技術指標、容災的目標與分類、容災規范、容災技術與關鍵技術分析以及容災系統建設方案與選擇入手，通過容災技術與容災系統的深入研究，從低級到高級設計出多種醫院信息系統容災架構與模式。結果：選擇適合的容災模式，可以達到容災應用要求，做到數據0丟失、服務0中斷、業務0間斷。結論：一地兩中心的“2＋2”模式在現實中具有實現成本低、容災級別高、實用的優點，值得推廣應用。

容災；全冗余；園區級容災；一地兩中心；“2＋2”模式

[First-author's address]Department of Equipment Management, Lanshan People’s Hospital, Linyi 276001, China.

隨著信息技術的發展，信息化的應用越來越廣泛，各行業對信息技術的依賴性越來越強，信息服務和數據已成為賴以生存的生命源泉。對醫院來講，其業務具有數據量大、類型復雜和事務并發多、實時性強、緊密相關生命與健康的特殊性，任何人為或自然因素所導致的應用中斷、數據丟失，都可能造成醫院巨大的經濟和名譽損失甚至產生嚴重的法律后果。因此，醫院信息系統不但應具有防止單點故障的高可用系統，還需具備應對災難發生的容災能力，以保障業務的連續性和提升業務體系的安全度，容災建設已成為醫院信息安全管理工作的重中之重[1]。

1 容災相關概念與技術指標

1.1 災難(Disaster)

所謂災難，通常是指引起關鍵業務的信息服務中斷、業務功能停頓或服務水平不可接受、達到特定時間的突發性事件。典型的災難事件是自然災難，如火災、地震等；還有業務運營所需服務的中斷，如硬件故障、軟件錯誤、網絡中斷和電力故障等；人為的因素如操作員錯誤、破壞、植入有害代碼和恐怖襲擊；與IT系統相關的計劃外宕機也可視作災難[2]。

1.2 容災(disaster recovery，DR)

容災是指在各種災難事件發生后，通過特定的容災機制防止用戶業務系統遭受各種災難的破壞，在可以容忍的時間內恢復業務系統的正常運行，最大限度地保障計算機信息系統提供正常的應用服務和保障業務的連續性[3-4]。

1.3 容災系統(disaster recovery system, DRS)

容災系統是指在相隔較遠的“異地”，建立兩套或多套功能相同的IT系統，互相之間可以進行健康狀態監視和功能切換，當一處系統發生災難事件時，整個應用和業務系統可以切換到另一處，使得該業務系統功能可以繼續正常工作，即利用地理上的分離來保證系統和數據對災難事件的抵御能力。

1.4 容災系統技術指標[5]

恢復時間目標(recovery time objective, RTO)：是指所能容忍的業務停止服務的最長時間。RTO針對的是服務丟失，系統服務的緊迫性要求越高，RTO的值越小。

數據恢復點目標(recovery point objective, RPO)：是指代表了當災難發生時能夠容忍丟失的數據量。RPO針對的是數據丟失，系統容忍丟失的數據量越小，RPO的值越小。

網絡恢復目標(network recovery objective, NRO)：是指災難發生后的網絡恢復時間，即用戶在災難后可以連接到災備中心的時間。

2 容災的目標與分類

2.1 容災的目標

容災的實質是確保永不停頓的業務運營，容災系統的核心在于使用各種技術和管理手段將災難的影響化解。一是保證業務數據的安全，即“數據不丟失”；二是保證業務的連續性，即“應用不間斷”。真正意義上的容災，必須具備同時保證數據不丟失和應用不間斷的能力，這也是容災的最基本的目標[6]。

2.2 容災分類

容災分為3類：數據容災、應用容災和業務容災[7]。對應3個級別：數據級別、應用級別和業務級別。從對用戶整個業務連續性的保障程度來看，它們的高可用級別也逐漸提高。數據容災是抗御災難的基礎保障；應用容災是容災系統建設的目標；業務容災是最高級別容災。

(1)數據層容災。是指建立一個異地的數據系統，該系統是本地關鍵應用數據的一個實時復制。在本地數據及整個應用系統出現災難時，系統至少在異地保存有一份可用的關鍵業務數據。數據級別容災的關注點在于數據，即災難發生后可以確保用戶原有的數據不會丟失或者遭到破壞。

(2)應用層容災。是在數據容災的基礎上，在異地建立一套完整的與本地生產系統相當的備份應用系統，它們可以是互為備份，在災難情況下，遠程系統迅速接管業務運行。應用級容災系統不僅需要一份可用的數據復制，還要有包括網絡、主機、應用、甚至IP等資源，以及各資源之間的良好協調，以保證提供不間斷的應用服務。

(3)業務級別容災。除了為IT業務系統提供容災，還包括一系列非IT系統，如電話、辦公地點等。當一場大的災難發生時，用戶原有的辦公場所都會受到破壞，除了數據和應用系統，更需要一個備份的工作場所能夠正常的開展業務。

3 容災相關標準規范

3.1 國際標準SHARE 78

根據Anaheim制定的國際標準SHARE 78的定義，容災備份中心自動異地遠程恢復任務被定義有7種層次從低到高：層次0-本地數據備份與恢復；層次1-批量存取訪問方式；層次2-批量存取訪問方式＋熱備份地點；層次3-電子鏈接；層次4-工作狀態的備份地點；層次5-雙重在線存儲；層次6-零數據丟失。

3.2 《信息系統災難恢復規范》(GB/T 20988-2007)

根據國務院制定的《信息系統災難恢復規范》，災難恢復從高到底分為6級：6級-數據零丟失和遠程集群支持；5級-實時數據傳輸及完整設備支持；4級-電子傳輸及完整設備支持；3級-電子傳輸和部分設備支持；2級-備用場地支持；1級-基本支持。

4 容災技術與技術方案以及容災方案選擇

4.1 容災關鍵技術分析

容災涉及到多種技術[8]：如集群、存儲區域網絡(storage area network, SAN)、存儲多路徑(multipathing)、備份、恢復、快照、鏡像、遠程復制技術、持續數據保護技術(continuous data protection, CDP)、虛擬化技術[9]等。

一種技術能減少或防止某些類型的災難的影響。每種技術解決問題的側重不同，如存儲快照技術用來防范應用邏輯錯誤以及人為失誤帶來的存儲數據不可用風險；鏡像技術側重防范磁盤或磁盤陣列失效帶來的存儲系統不可用風險；存儲多路徑技術，用來防范因光纖故障或者板卡端口故障帶來的存儲不可用風險；數據復制技術用來防范災難事件帶來的數據損毀風險；備份、恢復軟件提供裸設備級的快速恢復能力；HA群集軟件，可以讓備份系統迅速接管不可用的應用系統；SAN技術可以方便實現數據保護、數據遷移、災難恢復、構建數據倉庫；CDP技術能夠捕捉到一切文件級或數據塊級別的數據寫改動，并提供記錄所有歷史數據狀態的動態恢復日志，使得恢復到任意時刻的數據成為可能；存儲虛擬化技術，可用于解決存儲設備復雜多樣、操作系統復雜、對容災級別要求較高的難題。

4.2 容災技術方案

容災技術方案分為基于應用的容災方案、基于主機的容災方案和基于存儲(包括虛擬存儲技術)等，這些方案各有其適用的范圍，適用于不同的災難保護需要。比較通用的和實用的容災技術方案主要有兩類，基于主機的跨陣列數據鏡像容災方案和基于磁盤系統的數據復制的容災方案。

4.3 容災方案選擇

不同的用戶、不同的業務系統、不同應用對容災的要求不同，要求不同的容災服務等級，需要根據具體的實際需求來選擇合適的容災方案。選擇容災方案時要充分考慮現狀、容災要求和容災級別以及資金投入、異地容災中心的管理；還要考察方案在技術上是否成熟、穩定、可靠，性能和靈活性是否滿足要求，是否有成功案例等等。

5 醫院信息系統應用容災模式

5.1 一地一中心的“2＋1”模式

目前絕大多數醫院都采用了傳統的群集技術[10]，實現了“2＋1”的“雙機熱備份”模式，這種基于共享磁盤陣列[11]的集群解決方案在應對服務器故障方面效果顯著，但存在著一個非常明顯的缺陷，那就是作為存儲數據的磁盤陣列是一個“單點”。任何單點故障都可能對業務產生災難性影響，數據中心存儲數據的磁盤陣列故障同樣如此。因此，這種模式僅僅是一種服務器高可用方案，容災能力非常有限。

5.2 一地兩中心或兩地兩中心的“2＋2”模式[12]

在“2＋1”群集模式的基礎上，增加一臺磁盤陣列，將一臺服務器定義為一個“運算節點”，將一臺磁盤陣列定義為一個“存儲節點”，所謂“2＋2”的意思是“兩個運算節點＋兩個存儲節點”。采用先進的光纖SAN架構，并采用管理軟件(如Symantec Storage Foundation)實現2臺磁盤陣列之間的鏡像關系，每一次I/O的寫入都分別通過2條主機通道到達2臺磁盤陣列的控制器，并當2個I/O都返回正確的結果之后，操作才算完成。所以，2臺磁盤陣列中的數據完全保持實時同步，不用擔心任何的數據一致性問題。數據復制采用同步傳輸的方式或者異步傳輸方式，同步傳輸方式最遠距離在50 km內，超過50 km采用異步方式傳輸。

當生產中心的磁盤系統發生故障時，由于容災中心的磁盤是它的鏡像，操作系統會自動隔離生產中心的磁盤，轉而對容災中心的數據通過SAN網絡直接進行訪問，不需要有任何針對業務系統的動作。就是說，生產中心磁盤系統的災難，對業務系統是透明的，應用和數據庫不會因為生產中心磁盤系統的故障而停止；同時也避免了數據庫損壞及數據一致性風險。

這種解決方案實現了最少硬件的全冗余鏈接，無任何單點故障，系統中任意一個組件的損壞都不會影響系統的正常運行，鏡像的存儲節點為系統的關鍵在線業務數據提供了雙重保障，實現了數據和應用的高級容災。

兩個節點可以分別部署在兩地(異地)，成為異地兩地兩中心模式；亦可分別部署在同城不同的兩地機房，構建“同城兩地兩中心容災模式”，適合于具有分院的醫院集團；亦可部署在醫院內不同的建筑內，如門診樓和住院樓，構建一地兩中心架構，也就是當前非常熱門的“園區級容災”模式，適用于沒有分院的醫院[13]。這幾種模式下，其中一地或者其中一棟樓發生災難性的事故(如火災等)，醫院的業務和應用仍然能夠繼續正常運行，不會有任何數據丟失的情況發生(如圖1所示)。

圖1 2＋2容災示意圖

另外這個“2＋2”的架構具有非常好的可擴展性，不僅可以“2＋2”，還可以做到“N＋2”，甚至“N＋N”，把醫院的所有信息系統進行整合，有效減少硬件投資、提高系統可維護性。

5.3 同城-異地(遠程)的兩地三中心模式[14]

兩地三中心模式分為3種方式：①在同城異園區建立災備中心，然后遠程異地災備中心實現對同城異園區災備中心的備份；②在同城同園區建立災備中心，然后異地災備中心實現對同城同園區災備中心的備份；③同城災備中心與遠程異地災備中心分別獨立為生產中心實施備份。當生產中心出現嚴重故障時，可通過同城災備中心實現對業務的迅速接管，而出現區域性重大災難時，可通過生產中心的遠程異地災備中心實現業務的恢復。這種模式因為建設和管理成本太高，在醫院應用不多。

6 結語

容災建設是一項系統工程，需要IT技術、管理、政策法規共同配合。全系統的容災建設工程復雜、成本高昂、管理壓力大。當前的解決方案大部分都是面對HIS核心業務系統，保證數據的完整和應用的連續，其他重要系統只是進行數據異地備份。隨著HIT的不斷發展，特別是虛擬主機、虛擬計算、虛擬桌面、虛擬存儲等虛擬化技術[15]和云計算、云存儲[16]技術等的融合，容災技術和應用有著廣泛的前景。參考文獻

[1]ChadL,Michael H.Componentsof disastertolerant computing:analysis of disaster recovery, IT application downtime andexecutive visibility[J].International Journal of Business Information Systems,2008,3(3):317-331.

[2]葉斌.兩種適用醫院信息系統容災與數據備份的方案[J].中國醫療設備,2011,26(5):132-133.

[3]張紅.醫院信息化背景下數據容災的對策[J].醫療裝備,2011,24(3):37-39.

[4]王占明,黃志中.醫院數據中心與容災中心架構設計及實踐應用[J].醫療衛生裝備,2011,32(10):56-58.

[5]劉其成,鄭緯民,陳康.虛擬化技術在容災系統中的應用[J].小型微型計算機系統,2010,31(10):1954-1958.

[6]翁錦陽,何萍,朱鐵兵.大型醫院信息系統的容災設計和應用[J].中國醫療設備,2011,26(1):59-60,168.

[7]郭江博.構建容災系統防范網絡安全問題研究[J].中國信息界,2011(4):55-56.

[8]郝樂.數據容災技術研究[J].電子科技,2011,24(3):20-21.

[9]康瀟文,楊英杰,杜鑫.虛擬存儲技術在容災系統中的應用[J].計算機工程,2010,35(21):36-38,41.

[10]趙艷,朱立峰.基于復制的醫院信息系統數據庫災難恢復方案[J].中國數字醫學,2008,3(1):48-51.

[11]何鵬,吳青.醫院信息系統數據遠程容災方案設計分析[J].中外醫療,2010(13):150-151.

[12]姜文,胡順福.實現醫院信息系統高可用性設計[J].中國醫療器械雜志,2008,32(1):62-63,67.

[13]傅征,梁銘會.數字醫學概論[M].北京:人民衛生出版社,2009.

[14]范建華,趙文.容災備份異地架構在“不可抗力因素”下的應用研究[J].陜西理工學院學報(自然科學版),2011,27(1):54-59,66.

[15]謝乍晴,陳章清.虛擬化技術在構建數字化醫院中的應用[J].醫學信息學雜志,2011,32(9):28-30.

[16]祝建武.云存儲在企業容災備份中全新模式探析[J].現代商貿工業,2011(3):268-269.

Application of disaster recovery technology in establishment of hospital informatization

HAN Ai-hua

Objective: To explore how to establish application level disaster recovery framework and mode based on HIS core system in hospital. Methods: The author researched correlative conception, technique data, target and classification, standard, technique and key technical analysis as well as system development scheme and choice of disaster recovery, and thoroughly studied disaster recovery technology and disaster recovery system, and designed all kinds of disaster recovery framework and mode of hospital information system. Results: Selecting proper disaster recovery mode could meet disaster recovery application requirements, and there was no data lose and no service break and no professional work interruption. Conclusion: A ground of "2+2" mode of two centers has the advantage of low cost, high level of disaster recovery, practicality in the reality, and it was worthy of being widely used.

Disaster recovery; Fully redundant system; Disaster recovery of Park level; One ground of two centers; "2+2" mode

1672-8270(2012)08-0019-04

TN915.08

A

韓愛華,女，(1969- ),本科學歷，主管技師。臨沂市蘭山區人民醫院設備科，從事生物醫學工程與計算機醫學應用研究。

2012-04-02

①臨沂市蘭山區人民醫院設備科 山東 臨沂 276001

China Medical Equipment,2012,9(8):19-22.