基于CDP技术的医院信息系统数据备份与保护

王建英　黄士琴

摘要：目的：为满足医院信息系统对数据备份及安全防护越来越高的需求，改善传统的基于各系统进行单独存储复制技术的策略已不能满足目前业务系统多、数据量大且类型多样的现状。方法：本文提出了基于持续数据保护（CDP，continuous data protection）技术的数据备份保护整体建设方案，采用专业的CDP备份设备，将存储管理从业务系统中分离出来。结果：通过在医院实际应用效果来看，该方案可以有效预防各类故障造成的数据丢失，保证数据及业务能够快速恢复，将业务宕机时间降至秒级。结论：相比于传统的数据备份策略，该方案极大地降低了发生故障所带来的风险，提高了医院业务运行的效率。

关键词：CDP技术;数据备份;数据安全;医院信息系统

中图分类号：TP309.3 文献标识码：A 文章编号：1007-9416（2019）08-0167-04

0 引言

随着医疗信息化建设的快速发展，信息系统作为整个医疗流程的基础设施，在医院日常业务中的作用越来越明显。而随着医院信息系统建设的不断完善，对数据备份及安全防护的需求日渐凸显[1]。一方面，业务系统的数量不断增加，管理复杂度提高;另一方面，医疗数据呈几何增长，数据量大且数据类型多样化，主要包括病例、用药、研究成果、医保财务等，数据涉及到患者的就诊记录及诊疗费用等重要信息。数据安全和应用安全获得了更多的关注，一旦应用数据库被破坏、数据丢失或核心系统无法正常访问，都会给医院造成不可估量的损失，都会对医院正常的医疗秩序产生重大的影响[2]。因此，如何对医院数据进行合理的管理和保护已经成为系统管理者亟需面对的重要问题。

我院核心业务系统的使用已取代了传统低效的“以纸传递信息”的医疗流程，使医疗效率得到了极大的提升。同时，传统的备份方案已经不能满足我院信息系统的备份需求，我院尝试采用卷级CDP技术的数据备份与保护方案进行数据保护体系的建设。

1 我院信息系统现状分析

1.1 基本情况

我院核心业务系统有医院信息管理系统（Hospital Information System，简称HIS）、实验室（检验科）信息系统（Hospital Laboratory Information System，简称LIS）、图像存储与传输系统（Picture ArchivingCommunicating System，简称PACS）、电子病历（Electronic Medical Record，简称EMR）、手麻重症系统等。其中HIS、LIS、手麻重症系统的数据存放在本地硬盘上，PACS和EMR的数据存放在专业磁盘阵列上。

1.2 存在问题

（1）HIS系统业务数据存放在小型机的本地硬盘上，随着业务量的不断增高对服务器数据读写的压力也越来也大，会直接影响系统的运行速度;HIS系统无有效的数据回滚机制，一旦该系统遭到病毒木马攻击、人为破坏或者运维误操作导致在数据层出现逻辑错误，系统恢复只能恢复到上次定时备份恢复时的数据状态，这种方式极易造成业务系统数据的丢失。给医院造成不良影响。（2）LIS、手麻重症系统为单机运行，这类业务系统存在单点故障隐患，一旦服务器出现硬件故障，将会造成相关业务服务中断，传统备份恢复方式，恢复时间较长，且易造成数据丢失，不利于医院相关业务的快速恢复。（3）目前医院现有一套虚拟化平台，目前主要承载医院非核心业务系统，这类业务系统没有相关的备份保护措施，一旦相关业务虚机或虚拟化平台遭到破坏，极易造成相关业务系统的数据丢失。（4）核心业务系统没有连续数据保护设备，无法保证数据逻辑故障或误删除时数据不丢失[3]。（5）核心业务系统一旦出现故障，无法快速恢复业务系统服务，不仅会影响医院业务的正常运行，还会造成在社会上的不良影响。

1.3 问题分析

以往的备份容灾方案通过定时备份、存储快照等来解决数据保护问题;通过主备双机高可用等来减少由于故障导致的业务停机时间，这些方案已经不能完全满足医院信息化建设的备份与容灾要求，原因如下：

（1）定时完全备份、增量备份、差量备份机制，在备份过程中，对生产系统的资源影响较大。（2）定时备份的备份间隔和备份时间窗口较长，发生故障时，有可能会丢失较长时间的数据。（3）备份数据是否正确及可用没有简单有效的验证手段，需要通過恢复演练才能确定备份数据是否可用。（4）各类信息系统的应用和数据类型各不相同，需要根据不同的应用和数据类型制订不同的备份方案和策略，操作实施和管理维护都较为复杂。（5）主机双机的集群方案，不能解决误删除、木马攻击、勒索病毒等导致的数据逻辑错误。（6）发生故障后，需要从定时备份集中检索并恢复数据，恢复时间窗口与数据量成正比，业务中断的时间较长。

2 医院数据保护需求分析

医院信息系统与医疗业务紧密相关，具有一定的特殊性。各个医院信息化建设的侧重点不同，但是对于数据保护的需求主要集中在以下三个方面。

2.1 业务系统连续稳定运行需求

医院信息系统作为医疗业务流程运转的载体和基石，需要具有连续稳定的运行能力。我国人口众多，每个综合性医院的患者基数巨大，由于系统低效或不稳定导致的医疗业务中断不仅会延长患者就诊时间，影响患者就诊体验，还可能影响医疗流程的连贯性。因此，确保医院系统连续稳定的运行是数据备份保护和业务容灾方案必须考虑的问题。

2.2 支持各业务系统不同数据类型的备份需求

医疗数据具有数据量大且数据类型多样的特点。医疗数据包含各种结构化数据表、非（半）结构化文本文档（XML和叙述文本）、医疗影像等多种多样的数据存储形式。比如，纯数据（体检、化验结果）、信号数据（脑电信号、心电信号等）、图像（B超、X光、CT等设备检测结果）、文字数据（主诉、病史、过敏史、病程、检测报告），以及用于科普、咨询的动画、语音和视频信息等。这些数据会随着每天的就诊人数的增加而快速增长，且与患者密切相关。为此国家发布了专门的法律法规和文件，对各类数据都提出了不同的安全性要求。

2.3 满足后续业务系统扩展需求，易于维护管理

随着医院信息系统的增加，服务器数量也在增加。医院信息系统不仅包括HIS、LIS、PACS、电子病历、合理用药、物资管理、会计核算等核心业务系统，还包括办公自动化（Office Automation，简称OA）、即时通讯、营养订餐等非核心系统，业务数据多而复杂。因此，健壮、易兼容、可扩展且易于维护管理的数据备份保护方案是十分必要的。

針对上面三个方面的宏观需求，具体到系统实际的功能上，数据备份及安全防护方案应具有以下功能：

（1）数据的动态纪录：及时捕获和记录数据的变动情况。（2）数据及系统的一体化保护：既要保护所有的业务生产数据，还要保护整个业务系统。（3）保留历史备份版本：充分考虑到故障出现的不确定性和不可预见性，确保出现故障时，业务数据系统可以恢复到任意时刻的历史状态。（4）精细的颗粒化数据恢复能力：实现秒级甚至IO级别的精细度，避免故障发生导致数据大量丢失。（5）快速业务恢复能力：应对任何情况的故障，需要保证业务服务在数分钟内就可恢复。（6）在线验证与备灾演练功能：为了确保整个备份系统有效可用，需要在不影响业务运行的情况下，提供验证方法以及灾难模拟和恢复功能[4]。（7）简单有效管理体系：提供统一的管理平台，图形化界面以及详细的管理流程说明，减少管理员负担，降低管理成本。

3 基于CDP技术的数据备份及业务应急方案

我院采用卷级的CDP技术的数据备份及业务应急方案能够解决传统备份未能解决的问题，能满足医院信息系统数据保护更高的要求。

3.1 卷级CDP技术的功能特点及优势

卷级CDP技术是基于块级的持续数据保护系统的一种实现方式，通过实时监控并捕捉卷或者磁盘上块级的所有数据改动，提取数据改动的IO指令形成IO日志，传输到容灾和备份系统进行存储。CDP数据捕获及数据存储原理过程，详细图1所示。

与传统的数据保护技术相比，CDP技术主要有以下几方面的优势[5]：

（1）强大的实时备份功能，与快照技术相结合，在网络层实现块级的数据保护，实时记录每一个的数据变化，并在每个时间周期后自动进行快照，快照在线完成，且没有备份窗口，不消耗主机资源。（2）可以选择秒级、分钟级或小时级的连续或定期备份，降低数据丢失的风险。无论出现任何故障，都可以实现故障的迅速排除，并且可在任意时刻提取和验证数据，备份立即可用，使业务短时间内恢复。（3）利用精简式复制技术，减少对带宽的占用，实现简单的远程容灾应用。（4）通过自动演练功能，可以在后台自动的验证备份数据是否正确及可用，确保备份容灾系统的正常运行。（5）当出现故障时，可立即在虚拟化平台上构建出与生产系统完全一致的业务环境并接管业务系统，保证业务系统的连续运行;当故障排除后，可以后台回迁数据到生产系统，回迁过程中，不影响业务运行。

3.2 系统总体框架

我院通过采用CDP技术，对医院的HIS、PACS等核心业务信息系统进行容灾备份安全防护。我院以CDP技术为基础的容灾备份系统总体构架图2所示。

（1）配置专用的备份容灾服务器，安装CDP备份容灾软件，以旁路方式接入系统。通过备份容灾服务器组建起备份容灾管理平台。硬件情况：2U机架式，高速240G SSD系统盘，8个3.5SAS热插拔盘位，Xeon六核CPU，64G ECC RAM，2个千兆网口，支持主流Windows、Linux和AIX等操作系统、数据库、虚拟机和文件备份和恢复、支持断点续传功能。（2）在每个待保护的主机上安装CDP客户端，通过CDP IO捕获引擎，实时监控并记录整个业务系统的数据变化情况，将变化记录传输保存至备份磁盘阵列中。

3.3 系统的软件架构和核心技术

整体系统在软件上可以划分为三个子系统，分别是客户端子系统、备份服务器子系统、容灾子系统，如图3所示。

客户端子系统接受备份服务器子系统的控制，负责抓取生产系统上的要保护磁盘的有效数据及每次写操作的IO数据，通过iSCSI协议发送给服务器子系统。

备份服务器子系统是整个系统的控制中心，以B/S架构提供CDP备份及容灾的配置及管理界面，同时备份服务器子系统也是整个系统的数据存储中心，为客户端子系统和容灾子系统提供基于iSCSI的镜像磁盘和快照磁盘，对客户端子系统发送来的IO数据，打上时间戳并记录到IO日志中，根据IO日志可生成任意时间点的数据。

容灾子系统利用ESXi等虚拟化平台，可在虚拟化容灾平台上快速的构建容灾和演练站点，利用iSCSI发起程序连接服务器子系统提供的任意时间点的快照磁盘，将快照磁盘以裸映射的方式提供给容灾虚拟机使用，可通过演练机检查数据的完整性和一致性，在必要时可开启接管机接管生产系统的业务，保障客户的数据安全及业务连续性。系统总体的原理图如图4所示。

系统的核心技术如下。

（1）IO数据截获技术：在生产系统上的文件系统层和磁盘层之间插入卷镜像驱动，之后所有对卷的写操作都会被卷镜像驱动截获到，驱动将截获到的变化数据同步或者异步的写入CDP备份服务器上的镜像盘中，实现对生产系统数据的实时备份。卷镜像驱动流程图5所示。（2）CDP数据存储技术。CDP服务端通过虚拟块设备驱动虚拟出一个块设备来，该虚拟的块设备通过iSCSI协议或FC协议提供给客户端作为镜像磁盘，CDP客户端通过volume filter driver（卷镜像驱动）将源卷的写操作，同步或异步分发一份到镜像盘上，备份服务端虚拟块设备驱动能感知到镜像盘上的每一次IO数据变化，对每一次的IO数据变化发生的时间、对应的扇区块及实际的IO数据记录到CDP数据区中，实现CDP备份功能。CDP数据存储技术原理图6所示。（3）指定时间点快速挂载技术。备份服务端通过扫描CDP数据区中的IO日志，查找指定时间前且最接近指定时间点的所有IO变化，记录到IO映射表中;备份服务端虚拟块设备驱动生成一个虚拟块设备，根据上一步的映射表重定向读写请求，则虚拟块设备中的数据就是指定时间点的完整数据。快速挂载不需要进行数据的移动、恢复等操作，仅仅需要扫描一次IO日志，可以在数秒内完成指定时间点的数据的快速挂载。

3.4 系统运行机制

基于核心业务系统连续性服务的要求，确保业务系统的7*24h不间断运行，采用卷级CDP持续数据保护技术的一对多应急接管业务连续性管理方案。整个容灾方案架构图如图7所示。

在机房业务网交换机中，通过出厂配给的千兆网线连接内置虚拟化备份容灾平台一体化设备，在应用服务器上安装应用容灾代理。服务器将自动识别到已安装应用容灾代理的应用服务器。应用服务器、生产服务器的系统盘和数据盘将通过设定的容灾平台备份策略（卷级CDP实时备份技术），将数据备份至内置虚拟化容灾平台中對应的容灾虚拟机（包含生产机系统、网络配置等）。实时数据复制机制使得容灾虚拟机与生产服务器的数据保持一致性和可用性，完成容灾接管的基本环境。容灾服务端容灾接管功能会通过故障诊断模块自动检测生产服务器的运行状态，当生产服务器出现故障时，由容灾服务器自动或手动接管故障服务器。生产服务器恢复正常后，通过数据智能回迁机制将容灾虚拟机中的数据反向同步至生产服务器上，然后按事先设定的方案，将应用服务切换回生产服务器。

正常情况下，本地容灾平台会提供自动演练机制，每天把最新的数据备份快照镜像加载到虚拟机，进行源系统的镜像模拟，然后校验对应虚拟机数据、系统服务、文件等的可用性、完整性。校验内容包括：WindowsService、File、EventLog、DataBase（MSSQL、Oracle）等。并发送自动演练报告至管理员邮箱或手机。确保每天的备份正常，并且可以在灾难发生时即刻恢复生产服务。

3.5 系统故障恢复机制

（1）文件恢复。用于恢复由误删除、误操作导致的文件丢失。使用CDP快照回滚，通过查找历史快照找到所需文件，并将其复制到业务服务器中。（2）服务器系统故障恢复。业务服务器系统受病毒木马、人为误操作、软硬件故障等影响导致的系统错误或系统崩溃，采用LiveCD技术将可用历史版本引导恢复到业务服务器的存储设备上，重新启动业务服务器即可恢复系统。

3.6 整体方案优势

（1）应急接管。系统支持容灾机任意时间点的应急接管，当生产服务器宕机，可以手动、自动启动容灾机接管当前生产业务，且保持原有生产机的保护策略，保障业务持续运行。（2）自动演练。系统支持容灾机的自动演练，无需人工干预，自动进行系统日志校验、文件校验、服务校验、数据库脚本校验，保证数据可用性，演练完成后，根据演练时设定的校验项生成数据演练校验的报告，发送至管理员邮箱。（3）数据挂载。容灾数据通过挂载的方式呈现出来，且挂载的数据可读可写，用户可以根据实际场景进行任意时间点的数据挂载，恢复自己想要的历史数据。（4）数据回迁。当生产服务器故障修复后，可以启动系统PE将所有数据（包含接管后的数据）回写到生产服务器，之后由生产服务器继续向外提供服务。（5）策略下发。所有装有容灾代理的业务主机会自动被容灾服务器（即CDP Server）识别，之后系统管理员可在Web界面，依据不同需要对各个业务主机配置相应的保护策略，操作简单，维护方便。（6）极简部署。部署简单，与应用无关，不需要预先安装与源环境一样的系统与应用，节约部署周期。

4 结语

传统存储备份技术已经不能适应目前医院信息系统对于数据保护的需求，根据医院的具体环境，我们将CDP技术合理应用到医院信息系统建设中，制定合理有效的数据备份及安全防护方案，搭建相应的CDP备份容灾系统，确保医院现有的业务系统服务器只需关注业务的稳定运行，提高医疗效率。CDP备份容灾系统可实时进行数据备份及安全防护，在故障发生时，将业务宕机时间降至分钟级。CDP技术的应用，全面提升了医院业务信息系统的瞬间恢复和系统保护能力，极大地降低了故障发生带来的风险，使医院信息系统能真正进入到安全可靠的状态中。在提高医院的经济效益和服务质量的同时，真正的服务于患者，服务于社会。

随着信息化建设不断快速发展，信息系统所面临的各类自然的或不确定的安全威胁将越来越多。因此，持续关注新技术的发展，将新技术与医院环境相结合，构建更加安全更加可靠的数据备份及安全防护机制将成为我们今后信息化建设的重要课题。

参考文献

[1] 王建英，陈文霞，胡雯，张鹏.医院信息安全分析及措施[J].中国病案，2013，14（956-57+47）.

[2] 刘志国，王建，李丽.医院信息系统灾备方案的探讨和实践[J].医疗卫生装备，2016，37（04）：66-69.

[3] 王元东，罗娟，符峰钊，郭平彩，彭玲.低成本构建中小型医院信息系统容灾备份方案的设计分析[J].实用医药杂志，2019，36（02）：182-184.

[4] 李洪波，朱雪波，张冀.基于分布式数据库的容灾系统的研究与应用[J].电脑与电信，2010（02）：75-77.

[5] 薛仓.多级数据容灾系统的设计与实现[J].中国科技信息，2013（02）：91+95.

Date Backup and Protection of Hospital Information System Based on Technology

WANG Jian-ying，HUANG Shi-qin

（Department of Information， the Fifth Medical Center of Chinese PLA General Hospital

（Former 307th hospital of the PLA），Beijing  100071）

Abstract：Purpose： order to meet the increasing demand for data backup and security protectionof hospital information systems， the traditional strategy of implementing separate storage and replication technologies based on each system cannot meet the current status of many business systems， large data volumes and various types. Methods： paper proposed the overall construction scheme of data backup protection based on continuous data protection （CDP） technology， in which the storage management is separated from the business system by using professional CDP backup equipment. Results： application in hospitals showed that this proposed scheme can effectively prevent data loss caused by various kinds of faults， ensure rapid recovery of data and business， and reduce downtime to seconds. Conclusion： with traditional data backup strategy， this proposed scheme greatly reduces the risk of faults and improves the efficiency of hospital business operation.

Key words：CDP technology; Data backup;Data security; Hospital information system