容灾技术在医院信息化建设中的应用研究

韩爱华

容灾技术在医院信息化建设中的应用研究

韩爱华①

目的：探索建立医院信息系统(HIS)核心业务系统应用级别的容灾架构与模式。方法：从容灾相关概念与技术指标、容灾的目标与分类、容灾规范、容灾技术与关键技术分析以及容灾系统建设方案与选择入手，通过容灾技术与容灾系统的深入研究，从低级到高级设计出多种医院信息系统容灾架构与模式。结果：选择适合的容灾模式，可以达到容灾应用要求，做到数据0丢失、服务0中断、业务0间断。结论：一地两中心的“2＋2”模式在现实中具有实现成本低、容灾级别高、实用的优点，值得推广应用。

容灾；全冗余；园区级容灾；一地两中心；“2＋2”模式

[First-author's address]Department of Equipment Management, Lanshan People’s Hospital, Linyi 276001, China.

随着信息技术的发展，信息化的应用越来越广泛，各行业对信息技术的依赖性越来越强，信息服务和数据已成为赖以生存的生命源泉。对医院来讲，其业务具有数据量大、类型复杂和事务并发多、实时性强、紧密相关生命与健康的特殊性，任何人为或自然因素所导致的应用中断、数据丢失，都可能造成医院巨大的经济和名誉损失甚至产生严重的法律后果。因此，医院信息系统不但应具有防止单点故障的高可用系统，还需具备应对灾难发生的容灾能力，以保障业务的连续性和提升业务体系的安全度，容灾建设已成为医院信息安全管理工作的重中之重[1]。

1 容灾相关概念与技术指标

1.1 灾难(Disaster)

所谓灾难，通常是指引起关键业务的信息服务中断、业务功能停顿或服务水平不可接受、达到特定时间的突发性事件。典型的灾难事件是自然灾难，如火灾、地震等；还有业务运营所需服务的中断，如硬件故障、软件错误、网络中断和电力故障等；人为的因素如操作员错误、破坏、植入有害代码和恐怖袭击；与IT系统相关的计划外宕机也可视作灾难[2]。

1.2 容灾(disaster recovery，DR)

容灾是指在各种灾难事件发生后，通过特定的容灾机制防止用户业务系统遭受各种灾难的破坏，在可以容忍的时间内恢复业务系统的正常运行，最大限度地保障计算机信息系统提供正常的应用服务和保障业务的连续性[3-4]。

1.3 容灾系统(disaster recovery system, DRS)

容灾系统是指在相隔较远的“异地”，建立两套或多套功能相同的IT系统，互相之间可以进行健康状态监视和功能切换，当一处系统发生灾难事件时，整个应用和业务系统可以切换到另一处，使得该业务系统功能可以继续正常工作，即利用地理上的分离来保证系统和数据对灾难事件的抵御能力。

1.4 容灾系统技术指标[5]

恢复时间目标(recovery time objective, RTO)：是指所能容忍的业务停止服务的最长时间。RTO针对的是服务丢失，系统服务的紧迫性要求越高，RTO的值越小。

数据恢复点目标(recovery point objective, RPO)：是指代表了当灾难发生时能够容忍丢失的数据量。RPO针对的是数据丢失，系统容忍丢失的数据量越小，RPO的值越小。

网络恢复目标(network recovery objective, NRO)：是指灾难发生后的网络恢复时间，即用户在灾难后可以连接到灾备中心的时间。

2 容灾的目标与分类

2.1 容灾的目标

容灾的实质是确保永不停顿的业务运营，容灾系统的核心在于使用各种技术和管理手段将灾难的影响化解。一是保证业务数据的安全，即“数据不丢失”；二是保证业务的连续性，即“应用不间断”。真正意义上的容灾，必须具备同时保证数据不丢失和应用不间断的能力，这也是容灾的最基本的目标[6]。

2.2 容灾分类

容灾分为3类：数据容灾、应用容灾和业务容灾[7]。对应3个级别：数据级别、应用级别和业务级别。从对用户整个业务连续性的保障程度来看，它们的高可用级别也逐渐提高。数据容灾是抗御灾难的基础保障；应用容灾是容灾系统建设的目标；业务容灾是最高级别容灾。

(1)数据层容灾。是指建立一个异地的数据系统，该系统是本地关键应用数据的一个实时复制。在本地数据及整个应用系统出现灾难时，系统至少在异地保存有一份可用的关键业务数据。数据级别容灾的关注点在于数据，即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。

(2)应用层容灾。是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统，它们可以是互为备份，在灾难情况下，远程系统迅速接管业务运行。应用级容灾系统不仅需要一份可用的数据复制，还要有包括网络、主机、应用、甚至IP等资源，以及各资源之间的良好协调，以保证提供不间断的应用服务。

(3)业务级别容灾。除了为IT业务系统提供容灾，还包括一系列非IT系统，如电话、办公地点等。当一场大的灾难发生时，用户原有的办公场所都会受到破坏，除了数据和应用系统，更需要一个备份的工作场所能够正常的开展业务。

3 容灾相关标准规范

3.1 国际标准SHARE 78

根据Anaheim制定的国际标准SHARE 78的定义，容灾备份中心自动异地远程恢复任务被定义有7种层次从低到高：层次0-本地数据备份与恢复；层次1-批量存取访问方式；层次2-批量存取访问方式＋热备份地点；层次3-电子链接；层次4-工作状态的备份地点；层次5-双重在线存储；层次6-零数据丢失。

3.2 《信息系统灾难恢复规范》(GB/T 20988-2007)

根据国务院制定的《信息系统灾难恢复规范》，灾难恢复从高到底分为6级：6级-数据零丢失和远程集群支持；5级-实时数据传输及完整设备支持；4级-电子传输及完整设备支持；3级-电子传输和部分设备支持；2级-备用场地支持；1级-基本支持。

4 容灾技术与技术方案以及容灾方案选择

4.1 容灾关键技术分析

容灾涉及到多种技术[8]：如集群、存储区域网络(storage area network, SAN)、存储多路径(multipathing)、备份、恢复、快照、镜像、远程复制技术、持续数据保护技术(continuous data protection, CDP)、虚拟化技术[9]等。

一种技术能减少或防止某些类型的灾难的影响。每种技术解决问题的侧重不同，如存储快照技术用来防范应用逻辑错误以及人为失误带来的存储数据不可用风险；镜像技术侧重防范磁盘或磁盘阵列失效带来的存储系统不可用风险；存储多路径技术，用来防范因光纤故障或者板卡端口故障带来的存储不可用风险；数据复制技术用来防范灾难事件带来的数据损毁风险；备份、恢复软件提供裸设备级的快速恢复能力；HA群集软件，可以让备份系统迅速接管不可用的应用系统；SAN技术可以方便实现数据保护、数据迁移、灾难恢复、构建数据仓库；CDP技术能够捕捉到一切文件级或数据块级别的数据写改动，并提供记录所有历史数据状态的动态恢复日志，使得恢复到任意时刻的数据成为可能；存储虚拟化技术，可用于解决存储设备复杂多样、操作系统复杂、对容灾级别要求较高的难题。

4.2 容灾技术方案

容灾技术方案分为基于应用的容灾方案、基于主机的容灾方案和基于存储(包括虚拟存储技术)等，这些方案各有其适用的范围，适用于不同的灾难保护需要。比较通用的和实用的容灾技术方案主要有两类，基于主机的跨阵列数据镜像容灾方案和基于磁盘系统的数据复制的容灾方案。

4.3 容灾方案选择

不同的用户、不同的业务系统、不同应用对容灾的要求不同，要求不同的容灾服务等级，需要根据具体的实际需求来选择合适的容灾方案。选择容灾方案时要充分考虑现状、容灾要求和容灾级别以及资金投入、异地容灾中心的管理；还要考察方案在技术上是否成熟、稳定、可靠，性能和灵活性是否满足要求，是否有成功案例等等。

5 医院信息系统应用容灾模式

5.1 一地一中心的“2＋1”模式

目前绝大多数医院都采用了传统的群集技术[10]，实现了“2＋1”的“双机热备份”模式，这种基于共享磁盘阵列[11]的集群解决方案在应对服务器故障方面效果显著，但存在着一个非常明显的缺陷，那就是作为存储数据的磁盘阵列是一个“单点”。任何单点故障都可能对业务产生灾难性影响，数据中心存储数据的磁盘阵列故障同样如此。因此，这种模式仅仅是一种服务器高可用方案，容灾能力非常有限。

5.2 一地两中心或两地两中心的“2＋2”模式[12]

在“2＋1”群集模式的基础上，增加一台磁盘阵列，将一台服务器定义为一个“运算节点”，将一台磁盘阵列定义为一个“存储节点”，所谓“2＋2”的意思是“两个运算节点＋两个存储节点”。采用先进的光纤SAN架构，并采用管理软件(如Symantec Storage Foundation)实现2台磁盘阵列之间的镜像关系，每一次I/O的写入都分别通过2条主机通道到达2台磁盘阵列的控制器，并当2个I/O都返回正确的结果之后，操作才算完成。所以，2台磁盘阵列中的数据完全保持实时同步，不用担心任何的数据一致性问题。数据复制采用同步传输的方式或者异步传输方式，同步传输方式最远距离在50 km内，超过50 km采用异步方式传输。

当生产中心的磁盘系统发生故障时，由于容灾中心的磁盘是它的镜像，操作系统会自动隔离生产中心的磁盘，转而对容灾中心的数据通过SAN网络直接进行访问，不需要有任何针对业务系统的动作。就是说，生产中心磁盘系统的灾难，对业务系统是透明的，应用和数据库不会因为生产中心磁盘系统的故障而停止；同时也避免了数据库损坏及数据一致性风险。

这种解决方案实现了最少硬件的全冗余链接，无任何单点故障，系统中任意一个组件的损坏都不会影响系统的正常运行，镜像的存储节点为系统的关键在线业务数据提供了双重保障，实现了数据和应用的高级容灾。

两个节点可以分别部署在两地(异地)，成为异地两地两中心模式；亦可分别部署在同城不同的两地机房，构建“同城两地两中心容灾模式”，适合于具有分院的医院集团；亦可部署在医院内不同的建筑内，如门诊楼和住院楼，构建一地两中心架构，也就是当前非常热门的“园区级容灾”模式，适用于没有分院的医院[13]。这几种模式下，其中一地或者其中一栋楼发生灾难性的事故(如火灾等)，医院的业务和应用仍然能够继续正常运行，不会有任何数据丢失的情况发生(如图1所示)。

图1 2＋2容灾示意图

另外这个“2＋2”的架构具有非常好的可扩展性，不仅可以“2＋2”，还可以做到“N＋2”，甚至“N＋N”，把医院的所有信息系统进行整合，有效减少硬件投资、提高系统可维护性。

5.3 同城-异地(远程)的两地三中心模式[14]

两地三中心模式分为3种方式：①在同城异园区建立灾备中心，然后远程异地灾备中心实现对同城异园区灾备中心的备份；②在同城同园区建立灾备中心，然后异地灾备中心实现对同城同园区灾备中心的备份；③同城灾备中心与远程异地灾备中心分别独立为生产中心实施备份。当生产中心出现严重故障时，可通过同城灾备中心实现对业务的迅速接管，而出现区域性重大灾难时，可通过生产中心的远程异地灾备中心实现业务的恢复。这种模式因为建设和管理成本太高，在医院应用不多。

6 结语

容灾建设是一项系统工程，需要IT技术、管理、政策法规共同配合。全系统的容灾建设工程复杂、成本高昂、管理压力大。当前的解决方案大部分都是面对HIS核心业务系统，保证数据的完整和应用的连续，其他重要系统只是进行数据异地备份。随着HIT的不断发展，特别是虚拟主机、虚拟计算、虚拟桌面、虚拟存储等虚拟化技术[15]和云计算、云存储[16]技术等的融合，容灾技术和应用有着广泛的前景。参考文献

[1]ChadL,Michael H.Componentsof disastertolerant computing:analysis of disaster recovery, IT application downtime andexecutive visibility[J].International Journal of Business Information Systems,2008,3(3):317-331.

[2]叶斌.两种适用医院信息系统容灾与数据备份的方案[J].中国医疗设备,2011,26(5):132-133.

[3]张红.医院信息化背景下数据容灾的对策[J].医疗装备,2011,24(3):37-39.

[4]王占明,黄志中.医院数据中心与容灾中心架构设计及实践应用[J].医疗卫生装备,2011,32(10):56-58.

[5]刘其成,郑纬民,陈康.虚拟化技术在容灾系统中的应用[J].小型微型计算机系统,2010,31(10):1954-1958.

[6]翁锦阳,何萍,朱铁兵.大型医院信息系统的容灾设计和应用[J].中国医疗设备,2011,26(1):59-60,168.

[7]郭江博.构建容灾系统防范网络安全问题研究[J].中国信息界,2011(4):55-56.

[8]郝乐.数据容灾技术研究[J].电子科技,2011,24(3):20-21.

[9]康潇文,杨英杰,杜鑫.虚拟存储技术在容灾系统中的应用[J].计算机工程,2010,35(21):36-38,41.

[10]赵艳,朱立峰.基于复制的医院信息系统数据库灾难恢复方案[J].中国数字医学,2008,3(1):48-51.

[11]何鹏,吴青.医院信息系统数据远程容灾方案设计分析[J].中外医疗,2010(13):150-151.

[12]姜文,胡顺福.实现医院信息系统高可用性设计[J].中国医疗器械杂志,2008,32(1):62-63,67.

[13]傅征,梁铭会.数字医学概论[M].北京:人民卫生出版社,2009.

[14]范建华,赵文.容灾备份异地架构在“不可抗力因素”下的应用研究[J].陕西理工学院学报(自然科学版),2011,27(1):54-59,66.

[15]谢乍晴,陈章清.虚拟化技术在构建数字化医院中的应用[J].医学信息学杂志,2011,32(9):28-30.

[16]祝建武.云存储在企业容灾备份中全新模式探析[J].现代商贸工业,2011(3):268-269.

Application of disaster recovery technology in establishment of hospital informatization

HAN Ai-hua

Objective: To explore how to establish application level disaster recovery framework and mode based on HIS core system in hospital. Methods: The author researched correlative conception, technique data, target and classification, standard, technique and key technical analysis as well as system development scheme and choice of disaster recovery, and thoroughly studied disaster recovery technology and disaster recovery system, and designed all kinds of disaster recovery framework and mode of hospital information system. Results: Selecting proper disaster recovery mode could meet disaster recovery application requirements, and there was no data lose and no service break and no professional work interruption. Conclusion: A ground of "2+2" mode of two centers has the advantage of low cost, high level of disaster recovery, practicality in the reality, and it was worthy of being widely used.

Disaster recovery; Fully redundant system; Disaster recovery of Park level; One ground of two centers; "2+2" mode

1672-8270(2012)08-0019-04

TN915.08

A

韩爱华,女，(1969- ),本科学历，主管技师。临沂市兰山区人民医院设备科，从事生物医学工程与计算机医学应用研究。

2012-04-02

①临沂市兰山区人民医院设备科 山东 临沂 276001

China Medical Equipment,2012,9(8):19-22.