新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)設(shè)計(jì)

摘 要： 探討了如何有效增強(qiáng)新農(nóng)合信息系統(tǒng)數(shù)據(jù)的安全性，確保業(yè)務(wù)系統(tǒng)的連續(xù)性。利用數(shù)據(jù)備份與數(shù)據(jù)容災(zāi)技術(shù)，并以“整體規(guī)劃、分步實(shí)施、逐年投入”的建設(shè)思路來構(gòu)建新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)系統(tǒng)。詳述了新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)系統(tǒng)的三個(gè)建設(shè)階段內(nèi)容，即本地?cái)?shù)據(jù)備份系統(tǒng)建設(shè)、異地?cái)?shù)據(jù)級容災(zāi)建設(shè)、應(yīng)用級容災(zāi)建設(shè)，并分階段實(shí)施，以確保建成一個(gè)有效的、全面的數(shù)據(jù)備份與容災(zāi)系統(tǒng)。

關(guān)鍵詞： 新農(nóng)合； 信息系統(tǒng)； 數(shù)據(jù)備份； 數(shù)據(jù)級容災(zāi)； 應(yīng)用級容災(zāi)

中圖分類號：TP399 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2012）12-23-03

Design of data backup and disaster recovery of new rural cooperative information system

Chen Weiqiang

（Tongxiang Municipal Health Bureau， Tongxiang， Zhejiang 314500， China）

Abstract： It is discussed in this paper how to enhance the data security of new rural cooperative information system effectively and ensure the continuity of business system. Using data backup and disaster recovery technologies， adopting the construction thought of \"overall planning， step-by-step implementation and year-by-year input\"， data backup and disaster recovery system of new rural cooperative information system is constructed. According to this construction thought， three construction phases of data backup and disaster recovery design of this system are introduced， that is， construction of local data backup system， construction of off-site data level disaster recovery and construction of application level disaster recovery. Through step-by-step implementation， an effective and all-round data backup and disaster recovery system is constructed.

Key words： new rural cooperative medicine； information system； data backup； data level disaster recovery； application level disaster recovery

0 引言

新農(nóng)合（新型農(nóng)村合作醫(yī)療）信息系統(tǒng)實(shí)現(xiàn)了參合群眾在聯(lián)網(wǎng)定點(diǎn)醫(yī)療機(jī)構(gòu)就診時(shí)的醫(yī)療費(fèi)用實(shí)時(shí)報(bào)銷，主管機(jī)構(gòu)對新農(nóng)合基金的實(shí)時(shí)監(jiān)管以及輔助決策分析。新農(nóng)合信息系統(tǒng)的成功實(shí)施，使新農(nóng)合政策深所廣大人民群眾的歡迎，提升了政府形象。新農(nóng)合業(yè)務(wù)量不斷上升，信息系統(tǒng)隨之產(chǎn)生的業(yè)務(wù)數(shù)據(jù)也越來越多，這些業(yè)務(wù)數(shù)據(jù)十分重要，是新農(nóng)合的生命，每一筆業(yè)務(wù)數(shù)據(jù)都關(guān)系著參合群眾的切身利益，關(guān)系著新農(nóng)合基金的準(zhǔn)確性、安全性，一旦發(fā)生數(shù)據(jù)丟失，勢必會造成嚴(yán)重的后果。因此，如何保證新農(nóng)合信息系統(tǒng)的安全運(yùn)行，如何保證新農(nóng)合信息系統(tǒng)在各種威脅數(shù)據(jù)安全因素（如物理故障、病毒感染、黑客攻擊、重大自然災(zāi)害等）面前具有必要的可靠性和健壯性[1]，已經(jīng)成為一個(gè)重大的課題擺在了新農(nóng)合信息化建設(shè)主管部門的桌面上。通過數(shù)據(jù)備份與容災(zāi)技術(shù)可以增強(qiáng)新農(nóng)合信息系統(tǒng)的數(shù)據(jù)安全性、確保業(yè)務(wù)系統(tǒng)的連續(xù)性。

1 數(shù)據(jù)備份與容災(zāi)技術(shù)

數(shù)據(jù)備份技術(shù)和容災(zāi)技術(shù)是互補(bǔ)的數(shù)據(jù)安全技術(shù)。數(shù)據(jù)備份技術(shù)的目的是側(cè)重于數(shù)據(jù)的安全性和記錄過程，其目的在于預(yù)防系統(tǒng)數(shù)據(jù)中的邏輯錯(cuò)誤和歷史數(shù)據(jù)保存。容災(zāi)系統(tǒng)的目的在于保證生產(chǎn)系統(tǒng)數(shù)據(jù)以及業(yè)務(wù)的連續(xù)性，即當(dāng)生產(chǎn)系統(tǒng)發(fā)生故障時(shí)，仍然能夠保證數(shù)據(jù)的完整性以及業(yè)務(wù)可以繼續(xù)提供服務(wù)，以使系統(tǒng)不致停頓[2]。

1.1 數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的基礎(chǔ)

數(shù)據(jù)備份是指為防止生產(chǎn)系統(tǒng)出現(xiàn)操作失誤或生產(chǎn)系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列定期存放到其他存儲介質(zhì)的過程。數(shù)據(jù)備份是數(shù)據(jù)高可用的最后一道防線，它保存了生產(chǎn)數(shù)據(jù)的一個(gè)或者多個(gè)完整的副本，其目的是為了生產(chǎn)系統(tǒng)數(shù)據(jù)崩潰時(shí)能夠恢復(fù)數(shù)據(jù)。數(shù)據(jù)備份不能提供容災(zāi)系統(tǒng)實(shí)時(shí)的業(yè)務(wù)接管功能。

1.2 容災(zāi)是保障業(yè)務(wù)連續(xù)的基石

容災(zāi)往往是針對當(dāng)生產(chǎn)站點(diǎn)的業(yè)務(wù)系統(tǒng)不能正常工作時(shí)，其業(yè)務(wù)可由容災(zāi)站點(diǎn)接替，保持業(yè)務(wù)的連續(xù)性，能夠提供很好的RTO（Recovery Time Objective，系統(tǒng)恢復(fù)所需的時(shí)間指標(biāo)）和RPO（Recovery Point Objective，系統(tǒng)能夠恢復(fù)到的最新狀態(tài)）指標(biāo)。同時(shí)遠(yuǎn)程容災(zāi)站點(diǎn)具備應(yīng)付各種災(zāi)難，特別是區(qū)域性與毀滅性災(zāi)難的能力，具備較為完善的數(shù)據(jù)保護(hù)與災(zāi)難恢復(fù)功能，保證災(zāi)難降臨時(shí)數(shù)據(jù)的完整性及業(yè)務(wù)的連續(xù)性，并在最短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，將損失降到最小。

由于容災(zāi)系統(tǒng)會完整地把生產(chǎn)站點(diǎn)的任何變化復(fù)制到容災(zāi)站點(diǎn)，包括一些誤操作等不想讓它復(fù)制的工作，比如不小心把生產(chǎn)站點(diǎn)數(shù)據(jù)庫系統(tǒng)的某個(gè)表刪除了，同時(shí)容災(zāi)站點(diǎn)的表也會被完整地刪除。這時(shí)就需要從數(shù)據(jù)備份系統(tǒng)中取出最新備份，來恢復(fù)這些被錯(cuò)誤刪除的信息。因此容災(zāi)系統(tǒng)也不能替代數(shù)據(jù)備份系統(tǒng)的功能。

2 新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)系統(tǒng)建設(shè)思路

新農(nóng)合信息系統(tǒng)是以新農(nóng)合管理中心為核心，互聯(lián)轄區(qū)內(nèi)各級醫(yī)院、社區(qū)衛(wèi)生服務(wù)中心及站等醫(yī)療機(jī)構(gòu)的實(shí)時(shí)聯(lián)網(wǎng)交易系統(tǒng)，是政府直接面向群眾服務(wù)的窗口，系統(tǒng)運(yùn)行的好壞直接關(guān)系群眾的利益和政府的形象。因此，新農(nóng)合信息系統(tǒng)對RPO和RTO指標(biāo)肯定要盡可能高。

我國在2007年就由國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布了GB/T 20988—2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（以下簡稱“規(guī)范”）[3]，該規(guī)范根據(jù)RTO和RPO指標(biāo)將容災(zāi)系統(tǒng)的災(zāi)難恢復(fù)能力劃分為6個(gè)級別，具體如表1所示。

從第1級到第6級RTO和RPO的要求逐步提高，相應(yīng)的建設(shè)成本也逐級遞增。根據(jù)新農(nóng)合業(yè)務(wù)的特點(diǎn)，選擇第6等級災(zāi)難恢復(fù)能力是最為理想的，即“數(shù)據(jù)零丟失，業(yè)務(wù)系統(tǒng)僅間斷數(shù)分鐘”。但考慮到建設(shè)成本，很多財(cái)政能力欠佳的地區(qū)都難以承受。因此，對新農(nóng)合信息系統(tǒng)的數(shù)據(jù)備份與容災(zāi)系統(tǒng)建設(shè)可采取整體規(guī)劃、分步實(shí)施、逐年投入的建設(shè)思路。各地新農(nóng)合信息主管部門可以分階段進(jìn)行，從最基本的本地?cái)?shù)據(jù)備份（等級1）做起，再到異地的數(shù)據(jù)級容災(zāi)（等級2-5），最終實(shí)現(xiàn)應(yīng)用級的切換容災(zāi)（等級6）目標(biāo)。

3 新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)系統(tǒng)建設(shè)內(nèi)容

根據(jù)分步建設(shè)的思路，系統(tǒng)的建設(shè)可大致分三個(gè)階段進(jìn)行，即：本地?cái)?shù)據(jù)備份系統(tǒng)建設(shè)階段、異地?cái)?shù)據(jù)級容災(zāi)建設(shè)階段、應(yīng)用級容災(zāi)建設(shè)階段。以下將詳述各階段系統(tǒng)建設(shè)內(nèi)容。

3.1 本地?cái)?shù)據(jù)備份系統(tǒng)

新農(nóng)合信息系統(tǒng)本地?cái)?shù)據(jù)備份可實(shí)現(xiàn)新農(nóng)合生產(chǎn)數(shù)據(jù)離線保存，確保在生產(chǎn)數(shù)據(jù)受損的情況下從離線備份數(shù)據(jù)中恢復(fù)回去。新農(nóng)合信息系統(tǒng)本地?cái)?shù)據(jù)備份組成應(yīng)至少包括一臺數(shù)據(jù)備份服務(wù)器、一套數(shù)據(jù)備份軟件、一臺磁帶庫、多個(gè)備份客戶端節(jié)點(diǎn)。數(shù)據(jù)備份模式有LAN-Free和LAN方式，LAN-Free模式不占用IP網(wǎng)絡(luò)資源，備份與恢復(fù)效率高。

⑴ 數(shù)據(jù)備份服務(wù)器用于運(yùn)行數(shù)據(jù)備份軟件主控端，實(shí)現(xiàn)備份軟件主控端與備份客戶端節(jié)點(diǎn)的通訊以及對磁帶庫讀寫操作的控制。

⑵ 數(shù)據(jù)備份軟件應(yīng)包括主控端、操作系統(tǒng)客戶端、數(shù)據(jù)庫客戶端、SAN支持客戶端、存儲介質(zhì)許可等模塊，實(shí)現(xiàn)制定執(zhí)行新農(nóng)合信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)備份與恢復(fù)策略任務(wù)。（備份軟件有Veritas NBU、IBM TSM、commvault、bakbone等）。

⑶ 磁帶庫是存儲備份數(shù)據(jù)的介質(zhì)設(shè)備，通常有物理磁帶庫和虛擬磁帶庫，物理磁帶庫有磁帶驅(qū)動器、機(jī)械臂、磁帶槽位等組件組成，虛擬磁帶庫有仿真物理磁帶庫軟件、存儲控制器、磁盤等組件組成。由于物理磁帶庫組件易老化、維護(hù)成本高、速度慢等不足，目前業(yè)界主流采用虛擬磁帶庫，虛擬磁帶庫讀寫速度快、維護(hù)方便并具有遠(yuǎn)程復(fù)制的功能，未來可升級至數(shù)據(jù)級的遠(yuǎn)程容災(zāi)。

⑷ 備份客戶端節(jié)點(diǎn)是要備份數(shù)據(jù)的業(yè)務(wù)服務(wù)器，根據(jù)操作系統(tǒng)、數(shù)據(jù)庫平臺需安裝不同的備份軟件客戶端代理，備份客戶端代理將保持與備份軟件主控端的通訊。

⑸ 通過配置備份軟件任務(wù)，在業(yè)務(wù)系統(tǒng)空閑時(shí)（晚上或凌晨），每天增量/每周全量備份新農(nóng)合信息系統(tǒng)數(shù)據(jù)庫、日志及配置文件[4]。

⑹ 定期對備份的數(shù)據(jù)進(jìn)行驗(yàn)證，以保證和校驗(yàn)備份數(shù)據(jù)的正確性和一致性，操作頻率為每月1次，并對操作進(jìn)行記錄，具體記錄內(nèi)容包括所需恢復(fù)數(shù)據(jù)時(shí)間戳、數(shù)據(jù)容量、操作開始時(shí)間、操作結(jié)束時(shí)間、恢復(fù)總花費(fèi)時(shí)間等。

⑺ 要建立完善的集中備份和恢復(fù)系統(tǒng)機(jī)制，是備份平臺可靠運(yùn)行的有力保障。應(yīng)建立專人運(yùn)維、日檢查、周檢查、周匯報(bào)的運(yùn)行制度，以確保數(shù)據(jù)集中備份和恢復(fù)平臺運(yùn)行的可靠性和連續(xù)性。

3.2 異地?cái)?shù)據(jù)級容災(zāi)系統(tǒng)

異地?cái)?shù)據(jù)級容災(zāi)的目的是確保數(shù)據(jù)的安全。傳統(tǒng)上，數(shù)據(jù)級的容災(zāi)是通過磁帶備份完成的，這里有一個(gè)概念：嚴(yán)格意義上，所有的通過服務(wù)器磁盤或者磁盤陣列進(jìn)行數(shù)據(jù)同步的技術(shù)都不能稱作是數(shù)據(jù)級的容災(zāi)，只能作為應(yīng)用級容災(zāi)的組成部分，因?yàn)檫@種方式雖然能夠避免硬損害（掉電、硬件故障，火災(zāi)，地震等），但并不能防止數(shù)據(jù)的邏輯損害（黑客攻擊、人為誤操作、病毒感染等）。定時(shí)將數(shù)據(jù)備份到離線的磁帶，再通過人力運(yùn)送到遠(yuǎn)程異地保存，一旦有災(zāi)難發(fā)生時(shí)，先將IT基礎(chǔ)設(shè)施修復(fù)，再從磁帶中恢復(fù)系統(tǒng)和數(shù)據(jù)—這就是采用磁帶的數(shù)據(jù)級容災(zāi)方式。由于其成本低廉，長期以來被廣泛采用。但隨著數(shù)據(jù)量的增長，這種方式的弊端也日益明顯—冗長的恢復(fù)時(shí)間 （通常需要數(shù)天甚至數(shù)周）、不可靠的數(shù)據(jù)恢復(fù)等，使它越來越不能滿足業(yè)界各行各業(yè)的RTO和RPO要求。因此，新農(nóng)合信息系統(tǒng)異地?cái)?shù)據(jù)級容災(zāi)系統(tǒng)采用虛擬磁帶庫是較為理想的方式?；谔摂M磁帶庫的數(shù)據(jù)級容災(zāi)其實(shí)是傳統(tǒng)的磁帶備份容災(zāi)方式的改良版本，在提供更高性能、更高可靠性的同時(shí)，用基于IP網(wǎng)絡(luò)的自動化傳輸取代了人工車輛運(yùn)輸?shù)倪^程，使容災(zāi)過程更加方便、快捷且避免了風(fēng)險(xiǎn)極高的人工接觸點(diǎn)。另外，由于虛擬磁帶庫在邏輯層面和原來的磁帶備份設(shè)備完全相同，完全兼容原有的備份軟硬件系統(tǒng)，人員也不需要進(jìn)行新的培訓(xùn)和適應(yīng)，加之其數(shù)據(jù)近線保存，具有無需人工管理磁帶、恢復(fù)速度快等特點(diǎn)。

在本地備份系統(tǒng)建設(shè)階段完成基礎(chǔ)上，可以很方便地實(shí)現(xiàn)異地?cái)?shù)據(jù)級容災(zāi)。需要配備的主要設(shè)備和軟件有以下：

⑴ 需準(zhǔn)備異地容災(zāi)中心場所，具備計(jì)算機(jī)設(shè)備運(yùn)行的基本環(huán)境要求。（包括防靜電、防雷接地、不間斷電源、網(wǎng)絡(luò)通訊鏈路、交換路由設(shè)備、安全設(shè)備等）；

⑵ 本地?cái)?shù)據(jù)中心與容災(zāi)中心須通過租用專線鏈路或VPN方式實(shí)現(xiàn)互聯(lián)互通；

⑶ 異地容災(zāi)中心配置一臺支持ISCSI接口的虛擬磁帶庫，能與本地主機(jī)房虛擬磁帶庫遠(yuǎn)程通訊，實(shí)現(xiàn)兩臺虛擬磁帶庫之間的遠(yuǎn)程數(shù)據(jù)復(fù)制；

⑷ 定期需對本地備份數(shù)據(jù)與異地備份數(shù)據(jù)進(jìn)行一致性的校驗(yàn)工作。

3.3 應(yīng)用級容災(zāi)系統(tǒng)

應(yīng)用級容災(zāi)是《規(guī)范》[3]中最高等級的災(zāi)難恢復(fù)系統(tǒng)，目的是為了生產(chǎn)中心在發(fā)生災(zāi)難時(shí)保證業(yè)務(wù)系統(tǒng)的正常運(yùn)行，一般都需要本異地建立完全相同的兩套系統(tǒng)，一套本地?cái)?shù)據(jù)中心生產(chǎn)系統(tǒng)，一套異地容災(zāi)中心災(zāi)備系統(tǒng)，兩套同時(shí)運(yùn)行（熱-熱模式）或者處于主從狀態(tài)，發(fā)生災(zāi)難時(shí)立即切換至災(zāi)備系統(tǒng)（熱-冷模式）。兩套系統(tǒng)之間有數(shù)據(jù)傳輸鏈路連接，數(shù)據(jù)自生產(chǎn)系統(tǒng)實(shí)時(shí)復(fù)制災(zāi)備系統(tǒng)，或者共享同一套數(shù)據(jù)。實(shí)現(xiàn)應(yīng)用級容災(zāi)主要通過兩大技術(shù)，一是本地與異地災(zāi)備系統(tǒng)之間的應(yīng)用系統(tǒng)集群實(shí)時(shí)切換技術(shù)，二是數(shù)據(jù)的遠(yuǎn)程實(shí)時(shí)復(fù)制[5]。在數(shù)據(jù)遠(yuǎn)程實(shí)時(shí)復(fù)制方面我們還可以選擇基于服務(wù)器端技術(shù)、基于交換機(jī)端技術(shù)或者基于存儲端技術(shù)等。

在本地備份系統(tǒng)和異地容災(zāi)系統(tǒng)建設(shè)階段完成基礎(chǔ)上，采用基于服務(wù)器端技術(shù)實(shí)現(xiàn)新農(nóng)合應(yīng)用級容災(zāi)。需配置的主要設(shè)備及軟件有以下：

⑴ 需異地容災(zāi)中心場所，具備計(jì)算機(jī)設(shè)備運(yùn)行的基本環(huán)境要求。（包括防靜電、防雷接地、不間斷電源、網(wǎng)絡(luò)通訊鏈路、交換路由設(shè)備、安全設(shè)備等）；

⑵ 配備與主數(shù)據(jù)中心相當(dāng)或稍低配置的數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、存儲陣列等設(shè)備；

⑶ 配置基于服務(wù)器端技術(shù)的遠(yuǎn)程數(shù)據(jù)實(shí)時(shí)復(fù)制軟件和遠(yuǎn)程應(yīng)用系統(tǒng)高可用切軟件軟件。（主流軟件為Symatec Storage Foundation）。

⑷ 需建立本地?cái)?shù)據(jù)中心與異地容災(zāi)中心的切換機(jī)制、恢復(fù)機(jī)制、演練機(jī)制等運(yùn)維措施。

4 結(jié)束語

綜上所述，新農(nóng)合信息系統(tǒng)數(shù)據(jù)備份與容災(zāi)是一個(gè)循序漸進(jìn)的過程，信息技術(shù)的發(fā)展日新月異，我們既不能盲目地投入建設(shè)，又要兼顧好新農(nóng)合信息系統(tǒng)服務(wù)水平的提升。分階段進(jìn)行數(shù)據(jù)備份與容災(zāi)系統(tǒng)的建設(shè)是理性、科學(xué)的選擇。建設(shè)好數(shù)據(jù)備份與容災(zāi)系統(tǒng)可以使新農(nóng)合信息系統(tǒng)更加健壯、更加安全可靠。

參考文獻(xiàn)：

[1] 陳伯勛，李健，李勇濤，曾光.醫(yī)院信息系統(tǒng)中的數(shù)據(jù)安全與備份[J].中

國數(shù)字醫(yī)學(xué)，2008.3（12）：33

[2] 章志華.信息化醫(yī)院業(yè)務(wù)系統(tǒng)數(shù)據(jù)災(zāi)難備份[J].中國數(shù)字醫(yī)學(xué)，

2009.4（6）：90

[3] GB/T 20988—2007.信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].

[4] 扶干儒.淺談數(shù)據(jù)備份技術(shù)[J].黑龍江科技信息，2007.16：85

[5] 湯泳，呂英杰.數(shù)據(jù)容災(zāi)技術(shù)介紹[J].郵電設(shè)計(jì)技術(shù)，2002.10：40