低成本構建中小型醫(yī)院信息系統(tǒng)容災備份方案的設計分析

王元東，羅 娟，符峰釗，郭平彩，彭 玲

隨著我國信息化建設飛速發(fā)展，圍繞醫(yī)院業(yè)務的信息系統(tǒng)也不斷涌現(xiàn)， 對提升醫(yī)院管理能力，提高臨床工作效率起到促進作用。 如何保證各系統(tǒng)穩(wěn)定運行、數據安全保障到位是重中之重。 筆者以某中心醫(yī)院為例，設計一套安全性高、低成本的信息系統(tǒng)容災備份方案， 以期為無條件建設異地機房、且部分系統(tǒng)已具有簡單容災能力的中小型醫(yī)院提供參考。

1 某中心醫(yī)院信息系統(tǒng)現(xiàn)狀分析

1.1 基本情況 該中心醫(yī)院主要業(yè)務系統(tǒng)為HIS（醫(yī)院信息管理系統(tǒng)）、LIS （檢驗信息管理系統(tǒng)）、EMR（電子病歷系統(tǒng)）、PACS（醫(yī)學影像歸檔與存儲系統(tǒng)）、心電網絡、手麻重癥系統(tǒng)。 其中HIS、LIS、心電網絡、 手麻重癥系統(tǒng)的數據存放在本地硬盤上，PACS 和EMR 的數據存放在一臺EMC VNX5500磁盤陣列上。

在應用安全上為了確保業(yè)務的連續(xù)性，HIS 系統(tǒng)采用了兩臺HP 小型機， 利用Oracle DataGuard實現(xiàn)兩臺小型機的數據同步，PACS 系統(tǒng)采用了兩臺IBM 服務器并采用了集群方式部署，實現(xiàn)業(yè)務故障時的自動切換，確保了應用系統(tǒng)的連續(xù)性及高可用性。

在數據安全上，HIS、LIS、EMR 系統(tǒng)都采用數據庫自帶的備份功能定時對數據進行備份。 該院信息系統(tǒng)拓撲圖見圖1。

1.2 存在問題 （1）HIS 系統(tǒng)沒有存儲設備，數據存放在小型機的本地硬盤上，隨著業(yè)務量的不斷增高對服務器數據讀寫的壓力也越來也大，會直接影響系統(tǒng)的運行速度。 （2）LIS、心電網絡、手麻重癥系統(tǒng)為單機運行，一旦服務器出現(xiàn)故障將會導致業(yè)務中斷。 （3）虛擬化系統(tǒng)物理服務器只有一臺，存在單點故障。 （4）核心業(yè)務系統(tǒng)沒有連續(xù)數據保護設備，無法保證數據邏輯故障或誤刪除時數據不丟失。

2 構建數據容災技術需求分析

2.1 需求分析 容災備份系統(tǒng)能力是醫(yī)院信息化建設的一項重要評價指標。 通常影響系統(tǒng)正常運行的因素主要有以下幾種［1］：（1）計算機設備硬件故障導致的數據不能訪問、系統(tǒng)死機或無法啟動等；（2）由應用程序或操作系統(tǒng)的漏洞導致的系統(tǒng)非正常終止；（3）人工誤操作導致的應用、系統(tǒng)終止；（4）病毒感染導致的應用、系統(tǒng)崩潰或數據損壞丟失；（5）由不可抗的自然災害如雷擊，火災等導致的業(yè)務系統(tǒng)中斷或數據丟失。 為了保證業(yè)務持續(xù)性，提高醫(yī)院數據的安全性，必須構建能夠應對各種突發(fā)情況的容災系統(tǒng)。

2.2 關鍵技術 常見的容災技術［2］主要有存儲鏡像技術、主機鏡像技術、數據庫鏡像技術三類。 存儲鏡像技術通過存儲控制器或網關設備實現(xiàn)設備級數據遠程鏡像，可采用同步復制和異步復制兩種方式。 影響存儲鏡像技術的主要因素［3］有主備中心帶寬、距離，成本，實施與維護的復雜程度等。

主機鏡像技術提供操作系統(tǒng)級別的鏡像功能，主要通過卷管理器的磁盤鏡像功能來實現(xiàn)。 有順序和并行兩種存取方式。 并行模式性能優(yōu)于順序模式。 影響主機鏡像技術的主要因素為成本，實施與維護的復雜程度等。

數據庫鏡像技術主要通過對生產端進行日志分析，提取出有用的信息，并應用在容災端的方式實現(xiàn)。 該方式可以分為兩種，一種是數據庫本身提供 的容 災 復制 功 能［4，5］如Oracle 的Data Guard 等；另一種是利用第三方復制工具。 影響數據庫鏡像技術的主要因素為設備及系統(tǒng)性能、實施與維護的復雜程度。

圖1 某中心醫(yī)院信息系統(tǒng)拓撲圖

3 容災備份系統(tǒng)方案設計

3.1 系統(tǒng)設計原則 （1）方案必須采用成熟的、經實踐證明其實用性的技術；（2）從結構設計、產品選擇以及網絡管理上保證整個網絡的高可靠性和穩(wěn)定性。 系統(tǒng)傳輸信息的差錯率小，無故障運行時間長；（3）系統(tǒng)的設計應符合國際標準和工業(yè)標準，采用開放式系統(tǒng)體系結構；（4） 系統(tǒng)應具有良好的安全性，需進行有效的安全控制和管理；（5）選用的技術和設備應能滿足用戶對系統(tǒng)擴展的要求，具有兼容性；（6）系統(tǒng)在保證性能強大、技術先進的同時應盡量節(jié)約投資［5］。

3.2 系統(tǒng)設計具體要求

3.2.1 系統(tǒng)容災要求 由于醫(yī)療行業(yè)與醫(yī)療活動的特殊性，任何人為或自然因素造成的業(yè)務中斷都會對醫(yī)院造成嚴重后果。 因此數據中心應該有快速災難恢復的能力。

3.2.2 系統(tǒng)備份要求 建立一個覆蓋整個醫(yī)院的全部操作平臺的所有應用及數據庫備份系統(tǒng)，實現(xiàn)醫(yī)院各種數據的備份。 采用集中備份的方式，提高數據的安全性，簡化備份管理。

3.2.3 存儲系統(tǒng)要求 方案設計應能夠平滑簡便地擴展存儲空間［6］。另外，方案應利于提高存儲系統(tǒng)性能，并使之易于管理，使系統(tǒng)能夠實現(xiàn)諸如磁盤鏡像、RAID 技術、磁盤的在線擴容、文件系統(tǒng)的在線伸縮、在線I/O 性能調整等功能。

3.3 系統(tǒng)設計實現(xiàn) 結合醫(yī)院現(xiàn)有設備和系統(tǒng)情況，在滿足數據備份安全要求和業(yè)務連續(xù)不間斷的前提下，盡可能地便于實施，易于維護，節(jié)約成本，利于擴展。 整體的容災備份系統(tǒng)架構可以分為主機層，存儲網絡層，存儲層。 系統(tǒng)拓撲圖見圖2。

在主機層，HIS 和PACS 系統(tǒng)都已經采取了集群方式部署，實現(xiàn)了主機的高可用性，對于LIS 系統(tǒng)、虛擬化系統(tǒng)、心電網絡、手麻重癥系統(tǒng)需要增加服務器實現(xiàn)主機的高可用性。

在存儲網絡層， 使用原有的兩臺EMC 光通道交換機，僅對原有的交換機進行擴容，每臺交換機激活8 個FC 端口， 兩臺交換機采用冗余的方式工作，確保網絡層的高可用性。

在存儲層，增加兩套磁盤陣列，一套作為HIS、虛擬化系統(tǒng)的主存儲，另一套作為核心業(yè)務系統(tǒng)的容災存儲。HIS、LIS、EMR 等核心數據同時存放在這兩臺新購的存儲設備上。

為了解決在線數據的安全以及高可用性，部署一套虛擬存儲網關設備和一套數據連續(xù)保護設備。

虛擬存儲網關設備能夠實現(xiàn)醫(yī)院的業(yè)務數據同時存放在兩臺磁盤陣列上， 兩臺陣列同時工作，互為主備， 保證業(yè)務的正常運行和數據的完整性。連續(xù)數據保護設備能夠實現(xiàn)對醫(yī)院業(yè)務數據的實時保護，對業(yè)務數據的改變做實時的記錄，可以做到任意時間點的回退，防止誤操作、病毒破壞等對數據造成的損壞。

該數據容災備份系統(tǒng)能夠生成四份數據，兩份實時數據，一份近線數據，一份離線數據。 如果主核心存儲出現(xiàn)故障，另外一臺容災存儲會自動接管業(yè)務， 如果主存儲和容災存儲中的數據出現(xiàn)邏輯故障，則可通過連續(xù)數據保護設備恢復出邏輯故障的數據或直接接管業(yè)務，能夠最大限度地確保醫(yī)院的數據安全以及業(yè)務的連續(xù)性。 該設計方案成本低，適合無條件建設異地機房的中小型醫(yī)院借鑒。

圖2 容災備份系統(tǒng)方案拓撲圖