王元东，罗 娟，符峰钊，郭平彩，彭 玲

随着我国信息化建设飞速发展，围绕医院业务的信息系统也不断涌现， 对提升医院管理能力，提高临床工作效率起到促进作用。 如何保证各系统稳定运行、数据安全保障到位是重中之重。 笔者以某中心医院为例，设计一套安全性高、低成本的信息系统容灾备份方案， 以期为无条件建设异地机房、且部分系统已具有简单容灾能力的中小型医院提供参考。

1 某中心医院信息系统现状分析

1.1 基本情况 该中心医院主要业务系统为HIS（医院信息管理系统）、LIS （检验信息管理系统）、EMR（电子病历系统）、PACS（医学影像归档与存储系统）、心电网络、手麻重症系统。 其中HIS、LIS、心电网络、 手麻重症系统的数据存放在本地硬盘上，PACS 和EMR 的数据存放在一台EMC VNX5500磁盘阵列上。

在应用安全上为了确保业务的连续性，HIS 系统采用了两台HP 小型机， 利用Oracle DataGuard实现两台小型机的数据同步，PACS 系统采用了两台IBM 服务器并采用了集群方式部署，实现业务故障时的自动切换，确保了应用系统的连续性及高可用性。

在数据安全上，HIS、LIS、EMR 系统都采用数据库自带的备份功能定时对数据进行备份。 该院信息系统拓扑图见图1。

1.2 存在问题 （1）HIS 系统没有存储设备，数据存放在小型机的本地硬盘上，随着业务量的不断增高对服务器数据读写的压力也越来也大，会直接影响系统的运行速度。 （2）LIS、心电网络、手麻重症系统为单机运行，一旦服务器出现故障将会导致业务中断。 （3）虚拟化系统物理服务器只有一台，存在单点故障。 （4）核心业务系统没有连续数据保护设备，无法保证数据逻辑故障或误删除时数据不丢失。

2 构建数据容灾技术需求分析

2.1 需求分析 容灾备份系统能力是医院信息化建设的一项重要评价指标。 通常影响系统正常运行的因素主要有以下几种［1］：（1）计算机设备硬件故障导致的数据不能访问、系统死机或无法启动等；（2）由应用程序或操作系统的漏洞导致的系统非正常终止；（3）人工误操作导致的应用、系统终止；（4）病毒感染导致的应用、系统崩溃或数据损坏丢失；（5）由不可抗的自然灾害如雷击，火灾等导致的业务系统中断或数据丢失。 为了保证业务持续性，提高医院数据的安全性，必须构建能够应对各种突发情况的容灾系统。

2.2 关键技术 常见的容灾技术［2］主要有存储镜像技术、主机镜像技术、数据库镜像技术三类。 存储镜像技术通过存储控制器或网关设备实现设备级数据远程镜像，可采用同步复制和异步复制两种方式。 影响存储镜像技术的主要因素［3］有主备中心带宽、距离，成本，实施与维护的复杂程度等。

主机镜像技术提供操作系统级别的镜像功能，主要通过卷管理器的磁盘镜像功能来实现。 有顺序和并行两种存取方式。 并行模式性能优于顺序模式。 影响主机镜像技术的主要因素为成本，实施与维护的复杂程度等。

数据库镜像技术主要通过对生产端进行日志分析，提取出有用的信息，并应用在容灾端的方式实现。 该方式可以分为两种，一种是数据库本身提供 的容 灾 复制 功 能［4，5］如Oracle 的Data Guard 等；另一种是利用第三方复制工具。 影响数据库镜像技术的主要因素为设备及系统性能、实施与维护的复杂程度。

图1 某中心医院信息系统拓扑图

3 容灾备份系统方案设计

3.1 系统设计原则 （1）方案必须采用成熟的、经实践证明其实用性的技术；（2）从结构设计、产品选择以及网络管理上保证整个网络的高可靠性和稳定性。 系统传输信息的差错率小，无故障运行时间长；（3）系统的设计应符合国际标准和工业标准，采用开放式系统体系结构；（4） 系统应具有良好的安全性，需进行有效的安全控制和管理；（5）选用的技术和设备应能满足用户对系统扩展的要求，具有兼容性；（6）系统在保证性能强大、技术先进的同时应尽量节约投资［5］。

3.2 系统设计具体要求

3.2.1 系统容灾要求 由于医疗行业与医疗活动的特殊性，任何人为或自然因素造成的业务中断都会对医院造成严重后果。 因此数据中心应该有快速灾难恢复的能力。

3.2.2 系统备份要求 建立一个覆盖整个医院的全部操作平台的所有应用及数据库备份系统，实现医院各种数据的备份。 采用集中备份的方式，提高数据的安全性，简化备份管理。

3.2.3 存储系统要求 方案设计应能够平滑简便地扩展存储空间［6］。另外，方案应利于提高存储系统性能，并使之易于管理，使系统能够实现诸如磁盘镜像、RAID 技术、磁盘的在线扩容、文件系统的在线伸缩、在线I/O 性能调整等功能。

3.3 系统设计实现 结合医院现有设备和系统情况，在满足数据备份安全要求和业务连续不间断的前提下，尽可能地便于实施，易于维护，节约成本，利于扩展。 整体的容灾备份系统架构可以分为主机层，存储网络层，存储层。 系统拓扑图见图2。

在主机层，HIS 和PACS 系统都已经采取了集群方式部署，实现了主机的高可用性，对于LIS 系统、虚拟化系统、心电网络、手麻重症系统需要增加服务器实现主机的高可用性。

在存储网络层， 使用原有的两台EMC 光通道交换机，仅对原有的交换机进行扩容，每台交换机激活8 个FC 端口， 两台交换机采用冗余的方式工作，确保网络层的高可用性。

在存储层，增加两套磁盘阵列，一套作为HIS、虚拟化系统的主存储，另一套作为核心业务系统的容灾存储。HIS、LIS、EMR 等核心数据同时存放在这两台新购的存储设备上。

为了解决在线数据的安全以及高可用性，部署一套虚拟存储网关设备和一套数据连续保护设备。

虚拟存储网关设备能够实现医院的业务数据同时存放在两台磁盘阵列上， 两台阵列同时工作，互为主备， 保证业务的正常运行和数据的完整性。连续数据保护设备能够实现对医院业务数据的实时保护，对业务数据的改变做实时的记录，可以做到任意时间点的回退，防止误操作、病毒破坏等对数据造成的损坏。

该数据容灾备份系统能够生成四份数据，两份实时数据，一份近线数据，一份离线数据。 如果主核心存储出现故障，另外一台容灾存储会自动接管业务， 如果主存储和容灾存储中的数据出现逻辑故障，则可通过连续数据保护设备恢复出逻辑故障的数据或直接接管业务，能够最大限度地确保医院的数据安全以及业务的连续性。 该设计方案成本低，适合无条件建设异地机房的中小型医院借鉴。

图2 容灾备份系统方案拓扑图