医院信息系统容灾方案的设计与实现

中国人民解放军第三零九医院信息科，北京 100091

医院信息系统容灾方案的设计与实现

林济南，王虹

中国人民解放军第三零九医院信息科，北京 100091

目的设计一套针对医院信息系统（HIS）的容灾方案。方法采用冗余备份技术、集群技术，来实现HIS的数据容灾和应用容灾。结果该方案在医院使用后，多次有效地避免了由各种原因引起的数据丢失和应用中断事件的发生。结论该设计方案简单有效，使HIS具备了数据容灾和应用容灾的能力，保证了医院业务的连续性和高可用性。

医院信息系统；容灾系统；数据备份

随着医院信息化建设的发展，医院信息系统（HIS）、图片存档及通讯系统（PACS）、实验室信息系统（LIS）、办公自动化（OA）信息系统等逐渐得到广泛应用，加上社会、公众对医疗业务的服务要求不断地提高，医院信息系统需要7×24 h连续运行，这对于系统的安全性、稳定性要求很高。信息系统应用的时间越长，业务安全越关键，日常的医院管理、临床医疗和教学科研对它们的依赖度也就越强，这些系统一旦停机造成的损失也越大。为了保护重要业务数据的安全，保证医院信息系统的业务连续性和高可用性，容灾系统的建设已经刻不容缓。

1 容灾系统简介

2007年7月，国家标准《信息系统灾难恢复规范》(GB/ T20988-2007)出台[1]，并于2007年11月1日开始正式实施。

容灾系统用于灾难恢复，它由数据备份系统、备用数据处理系统和备用的网络系统组成。灾难恢复是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程[2]。

1.1 灾难风险分析

一般来说，人们将计算机网络系统可能遭受的灾难分为下面几种：① 自然灾难，如洪水、飓风、地震等；② 外在事件，如电力或通讯中断；③ 技术失灵，如电脑宕机或网络受损；④ 设备受损，如火灾、爆炸等。

由于医院业务信息系统与计算机网络系统紧密连接，无论哪种灾难都会影响医院业务信息系统的安全。然而，建立容灾系统可以帮助业务信息系统将损失降到最小。容灾分为本地容灾和远程容灾，

本地容灾，一般指主机集群中某台主机出现故障，不能正常工作时，其他的主机可以替代该主机，继续进行正常工作[3]。远程容灾可以这样理解，备份中心是远程的，并且在单位日常业务运作信息系统中实施了各种数据保护，一旦单位日常业务运作信息系统受灾，远程备份中心接管它继续提供服务。

1.2 灾难恢复等级划分及要素分析

按照国家标准将信息系统灾难恢复到各个等级所需的资源分为7 个要素：① 数据备份系统；② 备用数据处理系统；③ 备用网络系统；④ 备用基础设施；⑤ 技术支持能力；⑥ 运行维护管理能力；⑦ 灾难恢复预案。国家标准对这7个要素都提出了明确要求[4]，见图1。

图1 灾难恢复等级

2 容灾方案的设计与实现

2.1 采用冗余、备份技术进行数据容灾

（1）网络连接。我院将生产中心（支持医院日常业务运作的各信息系统）建在门诊楼，而容灾中心则建在干部保健楼，两座楼的距离在300 m以上。生产中心和容灾中心之间不但有多条光纤直接相联，同时也建立千兆带宽的以太网络连接，并且信息系统各工作站的接入层网络建立与容灾中心的网络连接。

（2）数据存储。将相关信息系统的数据集中存储到中心磁盘阵列上。在生产中心对现有HIS磁盘阵列存储进行升级扩容，使其成为中心磁盘阵列；将LIS、OA、内网、邮件等服务器配备的双冗余光纤通道主机适配卡和中心磁盘阵列的双阵列控制器连接，实现生产中心的应用服务器与中心磁盘阵列存储之间的数据链路的冗余；同时，将LIS、OA、内网、邮件等应用服务器上的数据由本地磁盘迁移到中心磁盘阵列上。

（3）数据备份。通过数据库备份脚本或第三方备份软件实现业务数据从中心磁盘阵列备份到对应服务器的本地磁盘。这种方式确保生产中心所有业务系统的数据都有相同的两份，杜绝了磁盘单点故障。

（4）磁盘阵列。我院对不同业务系统的存储设备采用不同级别的磁盘数组技术（RAID）；对HIS、PACS、LIS、电子病历等核心业务的中心磁盘阵列采用RAID1＋0的方式存储[4]，以达到对本地存储数据的冗余保护；对OA、网站等其他非核心业务，中心磁盘阵列则采用RAID5技术，以达到提高磁盘存储利用率的目的。

（5）冗余备份。在容灾中心安装一台磁盘阵列存储作为HIS和其他系统的容灾存储，利用IBM存储自带的远程数据镜像和数据复制技术进行异地冗余备份，当生产中心出现毁灭性灾难时，能最大限度保证数据的完整和安全[5]。对HIS、LIS、PACS、电子病历等核心业务的数据库数据除了利用上述方案进行冗余备份外，还利用Oracle、SQL Server自带的数据备份工具或自编备份脚本，进行数据库文件备份，并转储到磁带上，实现一段时间内的数据全备份，以有效应对文件损坏或人为误操作带来的数据风险[6]。

综上所述，该方案将生产中心与容灾中心设置在相隔一定距离的两座楼里，其优点有两个：一是可以有效预防单点的火灾、爆炸、电力或通讯中断等情况发生时对业务和数据的影响，二是方便本院技术人员实时监控容灾中心的日常运行情况和故障排除。其缺点是无法实现大的自然灾难发生时对业务和数据的安全保护，如当洪水和地震造成生产中心与容灾中心所在楼同时发生毁损时，业务和数据就会彻底被毁损。

2.2 采用双机热备和集群技术进行应用的容灾

信息系统的业务连续性主要由2 个指标来衡量：恢复时间目标（Recovery Time Objective，RTO）和恢复点目标（Recovery Point Objective，RPO）。RTO 体现了灾难发生后，业务工作可以在多长时间内恢复；RPO 体现了业务工作恢复时数据的丢失程度。国家标准第6级要求RTO 和RPO的值都趋于零，即具备远程集群系统的实时监控和自动切换能力。但这需要成倍的增加建设资金及后续维护成本。本方案综合考虑成本和业务实际需要，在灾备机房没有采用远程集群系统的实时监控和自动切换，做到了RPO等于零，而业务应用需要工程师的干预，RTO在10～15min左右。

我院数据库服务器和应用服务器采用双机热备技术和集群技术，大大降低了因机器硬件（硬盘、风扇和网卡）故障和软件（操作系统、应用软件）故障所带来的宕机风险，提高了整个系统的可用性。如HIS、PACS、RIS、医保和电子病历等数据库服务器均采用双机热备技术和集群技术进行容灾保护，以达到业务应用容灾的目的。每个业务系统均有2台数据库服务器，2台服务器根据业务特点，采用主从、互备、并行等不同的方式工作。

在工作过程中，实际以同一个虚拟的IP地址对外提供服务，按工作方式的不同，将服务请求发送给其中一台服务器承担；同时，服务器之间通过心跳线侦测对方的工作状况，当一台服务器出现故障时，另一台服务器根据心跳侦测的情况做出判断并进行切换、接管服务。对于用户而言，这一过程是全自动、完全透明的，在很短时间内完成，系统将继续正常运行，不会对业务造成影响。随着我院设备的扩充和业务量的增加，像PACS等系统还可以增加新的应用服务器到集群中来平衡系统的压力。

我院将现有的IBM P5 520小型机迁移到容灾中心，作为HIS容灾主机，在灾难发生时作为HIS应急运行主机；新购几台PC服务器作为其他业务系统的容灾主机，在灾难发生时作为应急运行主机。在容灾主机中安装和生产系统相同版本的操作系统、数据库、应用等软件，确保在生产数据库故障时，数据无丢失，数据库快速接管。容灾方案架构图，见图2。

图2 容灾方案架构图

该方案建成后，有效地应对过一次门诊楼的火灾风波。去年，我院门诊楼因中央空调老化起火，虽然火灾在较短的时间内扑灭了，没有造成生产中心硬件受损，但较长时间内电力无法供应，业务无法继续，经请示报告后，迅速启用容灾中心的相关系统，在15 min内HIS、PACS、LIS、医保和电子病历等核心业务系统恢复服务，确保了各项业务工作的正常运行。

2.3 采用双光纤交换机、双光纤线路进行网络链路的容灾

容灾中心与生产中心的数据需要进行同步，所以同步的链路也是安全保护的重点。容灾系统在网络的拓扑结构设计中，在位于门诊楼的生产中心架设2台光纤交换机，在干部保健楼的容灾中心也架设2台光纤交换机，交换机之间采用2条多模光纤直接连接，充分考虑了扩展性和冗余性[7]，最大限度地保证网络的健壮和自愈性，从而实现网络链路的容灾。

3 结束语

异地容灾系统能保证当灾难发生时医院数据的安全和业务的连续性，具体表现在：数据在远程场地存在有一致、可用的备份，应用可以在十几分钟内立即在远程容灾中心运行。

该方案具有如下特点：① 管理操作简单方便：将生产机房信息系统上的数据变化实时同步复制到灾备机房的容灾系统，对生产系统的资源占用低，不影响生产系统的正常运行；与操作系统和数据库无关，支持所有操作系统和数据库及各种数据文件；② 快速切换、无缝接管：当生产中心的系统无法正常运行，而又不能在短期内恢复时，可利用灾备中心提供业务接管，灾备中心必须在生产中心不可用并决定切换后，15min之内完成业务接管，且生产中心服务器恢复正常后，容灾系统需要将灾备中心的最新数据反向复制回生产中心，实现业务的恢复；③ 监控及管理功能：能实现对系统运行状态、运行日志及系统配置等方面进行统一的管理及监控，保证在系统出现错误时能及时报警并跟踪，以方便故障快速定位和解决。

[1] GB/T20988-2007,信息系统灾难恢复规范[S]．

[2] 胡敏,徐旭东,张曙光,等．医院信息系统容灾方案的设计与实施[J]．医疗卫生装备,2009,30(11):44-45．

[3] 刘晓辉．医院信息系统中灾备系统的设计与实现[J]．医疗设备信息,2007,22(1):22-24．

[4] 朱有存,罗丹,王梅,等．基于RMAN的“军卫一号”数据库备份恢复方法[J]．医疗卫生装备,2007,28(1):50-51．

[5] 马锡坤．基于Oracle的在线式应用容灾系统的建立[J]．中国医疗设备,2012,27(2):38-40．

[6] 王亦然．Oracle数据库灾备技术探讨[J]．个人电脑,2011,(11):94-96．

[7] 陈常晖．数据中心灾备技术实现浅析[J]．电脑知识与技术, 2009,5(36):10544-10545．

Design and Implementation of Disaster Recovery Scheme of Hospital Information System

LIN Ji-nan, WANG Hong
Department of Information, the 309thHospital of PLA, Beijing 100091, China

ObjectiveTo design a disaster recovery scheme for hospital information system (HIS).MethodsUsing the redundancy backup technology and cluster technology to achieve the data disaster recovery and application disaster recovery of HIS.ResultsWith the application of this scheme in our hospital, data loss and application interruption caused by various causes are prevented.ConclusionThe scheme is simple and effective, and makes hospital information system have abilities of data disaster recovery and application disaster recovery, which assure the continuity and high usability of critical businesses.

hospital information system; disaster recovery system; data backup

TP309.3；TP393.08

A

10.3969/j.issn.1674-1633.2013.09.016

1674-1633(2013)09-0047-03

2013-05-29

2013-07-29

作者邮箱：linjn2009@126．com