殷春燕，夏 超

21世纪的医院已经逐渐发展为现代化的综合性医院，为了实现医院管理的科学化、现代化、数字化，与国际、国内信息化建设的新技术接轨，适应现代化医院的医疗、科研、教育和管理的要求，现代化的医院所建立起的信息系统（HIS）主要以一体化的临床系统、LIS系统、PACS系统，EIS系统、PIS系统等为基础，实现数据全面共享，共同形成全面的医院信息管理系统。庞大的系统必然产生海量数据，对于软件系统而言数据就是根本，任何操作、分析、结算等都从数据库中提取。从某种意义上说，数据安全成为了现代医院信息系统安全的重中之重。一旦数据丢失，对任何一家医院来说都会产生重大的影响。

近几年，国家各部委对数据信息安全都有相关的明确规定，颁布了如下一系列条例，如《国家信息化领导小组关于加强信息安全保险工作的意见》，《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《2006-2020年信息化发展战略》、《信息系统灾难恢复规范》、《保险业信息系统灾难恢复管理指引》、《银行业信息系统灾难恢复管理规范》、《民用航空重要信息系统灾难备份与恢复管理规范》、《重要信息系统灾难恢复规划指南》。在2010-11北京卫生局联合公安局等部门下发了《关于开展信息安全等级保护安全建设整改工作的实施方案》的通知，该通知中也明确提出了数据备份的安全等级保护，并要求需要在重点单位发挥试点示范作用。由此可见各行业已经开始注重容灾备份的重要性。

1 医院信息系统常见故障

1.1 系统硬件故障 如数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机。

1.2 应用程序或操作系统出错 由于操作系统或应用程序中可能存在不完善的地方，当碰到某种激发事件时，应用程序非正常终止或系统崩溃。

1.3 人为错误 指人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致数据丢失或者系统服务的无法访问。

1.4 电脑病毒/黑客入侵 由于目前的大多数计算机系统均连接在网络上，若缺少有效的防范机制，很容易遭受病毒的感染或黑客的入侵，轻者数据被损坏，重者系统瘫痪。

1.5 自然灾害 由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断(通过容灾系统来解决)。

1.6 正常的停机 主要指计划内的系统升级、安装软件等过程。

2 数据容灾系统的层次和概念

国际标准SHARE 78对容灾系统的定义有七个层次：从最简单的仅在本地进行磁带备份，到将备份的磁带存储在异地，再到建立应用系统实时切换的异地备份系统，恢复时间也可以从几天到小时级到分钟级、秒级或零数据丢失等。目前针对这7个层次，都有相应的容灾方案。但有一个不变的原则，就是数据越重要，容灾等级就应当越高，见图1。

图 1 数据容灾系统的层次与数据重要性的关系

从经济角度考虑，最完善的容灾解决方案不一定是最好的。容灾系统的总体投入（TCO）和投资汇报（ROI）对于许多用户来说重要的是选型和设计指标。TCO包括建立系统、维护系统和扩充系统的总投入。用户应根据数据的重要性确定相应的容灾等级。

2.1 数据容灾 是指建立一个异地的数据系统，该系统是本地关键应用数据的一个可用复制。在本地数据及整个应用系统出现灾难时，系统至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制，也可以比本地数据略微落后，但一定是可用的。采用的主要技术是数据备份和数据复制技术。

2.2 应用容灾 是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统（可以是互为备份）。建立这样一个系统是相对比较复杂的，不仅需要一份可用的数据复制，还要有包括网络、主机、应用、甚至IP等资源，以及各资源之间的良好协调。主要的技术包括负载均衡、集群技术。

数据容灾是应用容灾的基础，应用容灾是数据容灾的目标。不管是数据级容灾还是应用级容灾，这里面都提到了一个词“异地”。

2.3 “异地” 狭义上讲，就是不在同一个地方，不管相距多远，只要空间位置不重合，那就是不在同一个地方，比如两台不通机器上的数据也可以算作狭义上的异地。而广义上的异地，业内给出了基本的标准，就是不在同一个地震带、不在同一个电网、不在同一个江河流域。由此可以看出，异地离的越远，备份数据的安全性就越高。

2.4 “两地三中心” 指在两个地方分别建立三个中心。两个地方指的就是广义上的“本地”和“异地”。三个中心，即：“本地生产中心”、“本地高可用中心”和“异地容灾中心”。

综合医院的信息化建设来看，目前大多数医院尚不具备在广义的异地建立“两地三中心”灾备模式的条件，但这并不意味着就可以不做异地。既然做不成广义的异地，就先做狭义的两地三中心。也就是 “一主两备”。即一个主机（生产机），两个备份机。见图2。

图 2 二地三中心容灾备份模式

图2 中，生产中心（A）是医院内的核心信息系统His、Lis和PACS。备份中心（B）是和生产中心（A）在同一个机房的备份中心。备份中心（C）在另外一个机房（没有多机房条件的医院，可以放在其他楼的某个科室）的备份中心。

3 数据容灾备份的目标

3.1 实现His、Lis和PACS数据的实时保护 对生产中心（A）中的His、Lis和PACS上的数据（包括数据库和文件）进行自动监控，连续捕获数据变化，只要数据发生改变，便实时、准确的备份到备份中心（B）和备份中心（C），实现ROP=0。

3.2 实现灾难发生后业务的连续性 当生产中心 （A）中His、Lis和PACS任意一台服务器宕机时，备份中心（B）中对应的备份机可以在1 min之内接管主服务器的机器名以及IP，提供对外的所有服务，保证了核心业务连续性，可以提供365天7*24小时的业务不间断的保护。

3.3 实现逻辑错误的修复 当生产中心 （A）中His、Lis和PACS任意一台服务器出现逻辑错误时，可以在备份中心（B）中对应的备份机上按任意操作步数或时间点进行数据快速恢复，回到数据库的任何状态，从而能够找回误删或者损坏前的数据。在恢复的过程中不但保证了数据的完整型，而且能保证事件的完整性。

3.4 实现灾难后的数据恢复 当灾难发生，如水灾火灾等，导致同一个机房内生产中心（A）和备份中心（B）全部遭到损坏后，可以从备份中心（C）中进行灾难恢复。从而快速的进行灾后重建，将损失降低到最低。

上述四个建设目标，充分的考虑了医院信息化自身的特点，确实解决了数据的零丢失以及业务的连续性。且符合国家信息安全等级保护制度的要求，满足三级甲等医院的评审以及复审条件。

另外总体投入成本合理，硬件的投入（备份中心B和备份中心C中的备份机可以和生产中心A有较大的差别，还可以试用虚拟机）以及容灾中心（可以借助其它科室的机房放服务器）的建设弹性大，是每个医院都有条件做的容灾备份方案。