人民醫(yī)院社區(qū)衛(wèi)生服務中心信息系統(tǒng)業(yè)務持續(xù)保障解決方案TOC\o"1-5"\h\z\o"CurrentDocument"前言 12需求分析 1\o"CurrentDocument"核心醫(yī)療信息系統(tǒng)現狀 1業(yè)務持續(xù)風險分析 2業(yè)務中斷風險（軟件硬件問題） 2數據丟失風險 3維護難度大，維護力量不足 43解決方案 5設計思路 5業(yè)務持續(xù)保障 6系統(tǒng)拓撲 6\o"CurrentDocument"方案概述 6\o"CurrentDocument"復制策略 7\o"CurrentDocument"實現效果 7方案特點 84統(tǒng)一容災系統(tǒng)工作原理 10在線復制 10\o"CurrentDocument"啟智數據庫同步（DSS） 11\o"CurrentDocument"應急啟動 12\o"CurrentDocument"事后恢復 13\o"CurrentDocument"5方案主要技術指標 13\o"CurrentDocument"6配置及報價 16醫(yī)院信息業(yè)務持續(xù)解決方案1前言隨著醫(yī)院信息化的不斷建設和完善，各種信息系統(tǒng)的全面使用，信息化已滲透到醫(yī)院活動的各個方面，醫(yī)院對于信息系統(tǒng)的依賴程度日益增強。信息系統(tǒng)一旦中斷或數據丟失，會對醫(yī)院運營造成重大影響，這些直接的影響包括：1）正常醫(yī)療秩序受阻，嚴重時耽誤正常治療和處置，造成醫(yī)療糾紛和事故。2）數據錯誤或丟失，導致醫(yī)療糾紛以及重大經濟損失。毀滅性的數據丟失將導致醫(yī)院運營中斷或無法運營。3）較長時間的系統(tǒng)中斷，將對醫(yī)院公信力造成影響，嚴重時還會演變成社會事件，影響社會和諧。但是，我們又不能完全防止信息系統(tǒng)內外部安全風險、系統(tǒng)本身的漏洞和故障、機房及其它運行環(huán)境安全，以及IT新舊技術、新老系統(tǒng)混雜、人員流動大、保障能力等因素，使得信息業(yè)務的持續(xù)不間斷運行面臨挑戰(zhàn)。從信息系統(tǒng)的運行維護和管理指標，目前面臨的主要難題是：1）業(yè)務中斷（RTO指標）。2）數據丟失（RPO指標）。3）維護力量不足（連續(xù)運營能力）。2需求分析核心醫(yī)療信息系統(tǒng)現狀目前，XX醫(yī)院核心醫(yī)療信息系統(tǒng)都已實現信息化。其中，核心業(yè)務主要包括HIS門診系統(tǒng)數據庫、HIS住院系統(tǒng)數據庫、HIS電子病例系統(tǒng)數據庫、檢驗系統(tǒng)等，其中HIS門診系統(tǒng)數據庫以雙機集群方式部署在兩臺服務器上，其它系統(tǒng)均部署在單機服務器上。系統(tǒng)拓撲圖1：

存儲網絡檢驗系統(tǒng)等組HIS門診系統(tǒng)數據庫HIS住院系統(tǒng)數據庫以太網絡磁盤陣列存儲網絡檢驗系統(tǒng)等組HIS門診系統(tǒng)數據庫HIS住院系統(tǒng)數據庫以太網絡磁盤陣列HIS電子病歷系統(tǒng)數據庫圖1核心信息系統(tǒng)拓撲圖業(yè)務持續(xù)風險分析業(yè)務中斷風險（軟件硬件問題）目前HIS門診系統(tǒng)數據庫采用了集群方式。集群雖然實現了高可用，但是并不能完全避免故障，實現故障快速恢復。集群技術避免了由于硬件個體單元故障造成的業(yè)務中斷；但是共用同一版本數據，當邏輯錯誤發(fā)生時，無法保證數據庫業(yè)務數據有效可用，從而也就沒有在意外發(fā)生時，業(yè)務體系迅速恢復運營的基礎保障。在這種情況下，集群技術就顯示出巨大的不足，主要包括以下幾個方面：＞由于集群是“孿生”同構，當工作機出現上述問題崩潰時，備機極有可能被波及。由于僅有一個版本的操作系統(tǒng)及應用軟件，該版本出現問題時，備機不能成功接管業(yè)務；＞當業(yè)務數據出現邏輯錯誤導致工作機崩潰時，由于共享存儲，且只擁有單一版本的數據庫業(yè)務數據，備機所接管的數據庫業(yè)務數據不可用，備機不能成功接管業(yè)務；集群軟件本身的不穩(wěn)定導致切換應用失敗。利用集群進行快速恢復顯然是不夠的。HIS住院系統(tǒng)數據庫、HIS電子病例系統(tǒng)數據庫、檢驗系統(tǒng)等應用服務器均為單機運行，無應急手段，一旦出現硬件故障或軟件故障，系統(tǒng)將陷于癱瘓。1）出現故障時，如果是硬件故障，首先要對硬件進行維修或者更換， 具體時間要取決于廠商的維修時間或者訂貨周期。2）硬件修復或者更換之后還要進行系統(tǒng)恢復、應用軟件安裝、數據恢復，這將花費幾個小時至幾天的時間，其中應用軟件的安裝往往還需要開發(fā)廠家的現場支持，恢復過程中數據的丟失也不可避免。3）如使用冷備機技術進行應急，需專業(yè)人員現場實施，并對數據一致性進行人工處理，業(yè)務恢復時間及數據恢復程度將不受控。數據丟失風險本地存儲數據存在安全隱患1）服務器雖然對磁盤做了Raid，為系統(tǒng)提供了相對安全、可靠的運行和存儲環(huán)境，但也成了系統(tǒng)的單一故障節(jié)點。雖然Raid本身有一定的安全策略，但是極端情況下發(fā)生故障（控制器、RAID卡故障或其它軟硬故障），醫(yī)院的業(yè)務將全部中斷，數據將可能永久丟失。2）操作、應用與數據無多歷史版本，服務器在某些情況下，如應用軟件、操作系統(tǒng)、數據發(fā)生錯誤的情況下，信息系統(tǒng)沒有可以用于回滾可用版本，如果全部重裝，將耗時耗力且產生巨大的數據丟失。無實時數據保護技術目前采用手工、定時自動備份方式，工作量大，數據不能驗證，數據安全不能保證。3數據庫自身機制不能快速恢復數據目前，采用數據庫自身機制對日志文件做定時自動或手動備份，無其它本地快速恢復手段，一旦出現硬件故障或軟件故障時：1）備份的數據無法驗證。備份數據是否可用需經驗證才能確定，傳統(tǒng)驗證方法需將備份的數據回寫到原應用環(huán)境下進行測試，這意味著要中斷現有系統(tǒng)運行；2）數據需要從備份服務器中回寫至應用服務器，本地再還原，因此一旦發(fā)生醫(yī)院業(yè)務系統(tǒng)中斷情況，業(yè)務恢復時間較長；3）恢復過程復雜不可控。安裝業(yè)務系統(tǒng)往往比較復雜，而且很多時候需要業(yè)務系統(tǒng)的開發(fā)方或集成商進行安裝，這將導致數據的恢復過程復雜而且不可控。維護難度大，維護力量不足預檢維護制度落實難度大系統(tǒng)持續(xù)運行的要求比較高，基本無主動停機進行維護維修的機會，預檢維護制度無法落實。即便有數據備份的措施，但也無法確認備份的數據是否有效，因為如需驗證，就必須將數據倒回原系統(tǒng)運行，原系統(tǒng)就需停頓。專業(yè)要求高、人員流動大新舊技術、新老系統(tǒng)混雜，未來IT新技術層出不窮，值勤人員和維護人員需要具備較高的專業(yè)背景和業(yè)務能力，這給經常性的運行維護帶來較大的難度。應急演練、快速恢復手段少單機單系統(tǒng)設計，在不中斷業(yè)務情況下，無法組織組織經常性的應急演練，平常也很難進行實際操作的訓練，無法保證維護人員在災難情況下的處置水平。目前的系統(tǒng)維護都是面向維護工程師專業(yè)設計，一線值勤維護人員缺少簡4單有效的快速恢復業(yè)務的技術手段。在災難發(fā)生時，一線值班人員實際上基本做不到現場快速恢復，需等待相關維護人員、廠商服務商到場，業(yè)務中斷時間、數據丟失的風險不可控。3解決方案3.1設計思路按照“高可用、容災、持續(xù)運營”的全面業(yè)務持續(xù)管理思想，保持現有網絡架構、容災設計不變，增加一套統(tǒng)一容災系統(tǒng)做全方面容災部署。提升統(tǒng)一容災、持續(xù)運營能力，實現“業(yè)務不中斷、數據不丟失、簡單可控”的運維目標，達到運行維護管理的“可控、簡單”。＞保持現有的系統(tǒng)構架基本框架不變，部署統(tǒng)一容災系統(tǒng)；＞HIS門診系統(tǒng)數據庫、HIS住院系統(tǒng)數據庫數據丟失約等于0；數據庫雙活、數據恢復點目標RPO約等于0。＞HIS電子病例系統(tǒng)數據庫、檢驗系統(tǒng)等應用服務器數據丟失小于1小時；數據恢復點目標RPO小于1小時。＞業(yè)務快速恢復時間約為五分鐘；業(yè)務中斷時，由“統(tǒng)一容災系統(tǒng)”直接接管故障系統(tǒng)工作。實際業(yè)務恢復時間等于原系統(tǒng)重啟時間，一般在五分鐘以內。＞極簡操作，隨時演練；采用“應急、統(tǒng)一、簡單”設計，在統(tǒng)一平臺上完成全方位數據、系統(tǒng)的備份、實時保護，向現場維護人員提供極簡應急的“單鍵”搶通體驗，并可隨時提供應急演練和業(yè)務訓練。＞建立基礎平臺，容災系統(tǒng)功能可擴展。在保持現在基礎平臺的基礎上，未來根據經費和管理目標要求，方便地通過增加授權和功能模塊，來擴展對其他業(yè)務系統(tǒng)的保護或提升維護指標。

3.2業(yè)務持續(xù)保障系統(tǒng)拓撲根據XX醫(yī)院的實際情況與切實需求，HIS門診系統(tǒng)數據庫、HIS住院系統(tǒng)數據庫、HIS電子病例系統(tǒng)數據庫、檢驗系統(tǒng)等作為本醫(yī)院核心業(yè)務，具有訪問量大，系統(tǒng)硬件性能要求高，系統(tǒng)實時性要求高，數據完整性要求高的特點。因此，在醫(yī)院信息中心部署一套UNIDR（統(tǒng)一容災系統(tǒng)）對信息中心的所有業(yè)務系統(tǒng)進行保護。根據信息系統(tǒng)的IT基礎架構現狀，根據網絡的情況、服務器的情況及應用保護的需要，應急容災拓撲結構如圖2：HIS門診、住院系統(tǒng)數據庫雙活平臺啞曬HIS門診系統(tǒng)

數據庫HISHIS門診、住院系統(tǒng)數據庫雙活平臺啞曬HIS門診系統(tǒng)

數據庫HIS住院系統(tǒng)

數據庫HIS電子病歷

系統(tǒng)數據庫圖2應急容災拓撲圖方案概述統(tǒng)一容災系統(tǒng)（UNIDR）的作用首先是給被保護的服務器增加一個邏輯存儲空間，并通過網絡映射給被保護服務器，服務器的操作系統(tǒng)、應用環(huán)境、相關數據自動備份到邏輯存儲空間中。當服務器發(fā)生任何軟硬件故障時，服務器轉換為虛擬機啟動應急模式，UNIDR將按照事先設置的策略將備份在邏輯存儲空間中的操作系統(tǒng)、應用環(huán)境、相關數據映射到統(tǒng)一容災系統(tǒng)內置虛擬平臺上，通過虛擬機接替故障服務器，快速恢復業(yè)務運行。數據庫雙活。針對HIS門診、住院系統(tǒng)數據庫采用啟智數據庫同步進行保護，實現數據庫的實時數據捕獲、數據分析合成、數據存儲、數據應用、系統(tǒng)管理等整個系統(tǒng)架構。當業(yè)務系統(tǒng)發(fā)生故障時，通過簡單的IP地址切換，即可立即恢復數據庫業(yè)務。HIS電子病例系統(tǒng)、檢驗系統(tǒng)等應用服務器，統(tǒng)一容災系統(tǒng)對被保護服務器的數據變化，進行定時快照，實現快速恢復和多版本保存。復制策略通過制定不同、合理的復制策略，實現集中、無人值守、自動化的數據在線復制。在災難發(fā)生時，對系統(tǒng)和數據進行應急接替，及時恢復業(yè)務運行，使損失減至最小。在系統(tǒng)第一次復制時，通過初始復制模式對整個系統(tǒng)盤進行復制，在以后運行中可按需要進行計劃性的增量復制，可設置具體復制策略：服務器名稱復制策略實現指標HIS電子病例系統(tǒng)數據庫服務器、檢驗系統(tǒng)等應用服務器定時因1根據需要可設定天級別或更小級別的在線定時復制RTO<5分鐘，RP0<60分鐘HIS門診、住院系統(tǒng)數據庫服務器實時因1實時在線同步RT0<5分鐘，RPO^O實現效果應用服務器快速恢復。當業(yè)務系統(tǒng)出現故障，容災系統(tǒng)能快速接管業(yè)務系統(tǒng)的運行，并重新提供業(yè)務服務，業(yè)務中斷時間RTO小于5分鐘，實際業(yè)務恢復時間等于原系統(tǒng)重啟時間；＞HIS系統(tǒng)數據庫的實時保護。數據完整性指標RPO'0,業(yè)務恢復及時性指標RTO小于5分鐘；＞數據查詢分離：為HIS門診、住院系統(tǒng)核心數據庫系統(tǒng)復制出多1個服務子系統(tǒng)，提供面向其他單位的數據查詢和檢索功能，隔離核心數據庫和外界的聯(lián)系，降低核心系統(tǒng)的資源消耗。＞HIS電子病例系統(tǒng)數據庫服務器、檢驗系統(tǒng)等應用服務器。采用64快照技術，對數據庫服務器上的數據變化，形成連續(xù)時間點快照。當災難發(fā)生時，可以選擇任意時間點的快照形成副本，保證業(yè)務數據丟失小于1小時；＞極簡操作模式，一線值班人員可以簡單完成業(yè)務容災；＞采用虛擬機、網絡啟動應急方式，適應各種軟硬件故障導致的業(yè)務系統(tǒng)應急。＞在線復制與在線還原，不影響系統(tǒng)的正常運行；＞復制的系統(tǒng)、應用和數據獨立于生產系統(tǒng)之外；＞自動生成多版本快照，確保可用、可靠；＞完全國產自主可控技術，獨立于第三方的運維工具；＞不影響生產系統(tǒng)的正常工作，方便進行經常性應急演練；＞具有充分的可擴充的網絡容災應急設計，最大程度保護前期投資。方案特點分鐘級業(yè)務恢復的產品設計當發(fā)生中斷時，使用容災系統(tǒng)直接接替故障系統(tǒng)工作，不需要長時間的硬盤數據回寫，幾分鐘即可恢復業(yè)務運行。確保業(yè)務系統(tǒng)同時具備高可用和快速的災難恢復能力，使業(yè)務的連續(xù)性得以保障。秒級數據保護的產品設計對核心數據庫實現數據庫數據實時同步，實現核心數據庫系統(tǒng)的實時數據捕獲、遷移，當發(fā)生故障時，可立即恢復數據庫業(yè)務。數據查詢分離為核心數據庫系統(tǒng)復制出多1個服務子系統(tǒng)，提供面向其他單位的數據查詢和檢索功能，隔離核心數據庫和外界的聯(lián)系，降低核心系統(tǒng)的資源消耗。.4極簡操作模式一線值班人員可以軟件一鍵切換方式完成業(yè)務容災；.5全面在線復制的產品設計容災系統(tǒng)不僅僅復制業(yè)務系統(tǒng)的數據，而且復制包括業(yè)務服務器操作系統(tǒng)以及業(yè)務運行的完整軟件環(huán)境，包括：＞操作系統(tǒng)；＞數據庫系統(tǒng)；＞中間件系統(tǒng)；＞各種應用系統(tǒng)等。.6便于演練驗證備份的數據和運行環(huán)境是否可恢復，是災備系統(tǒng)有效性的重點，災難恢復演練作為業(yè)務連續(xù)性管理的一個重要環(huán)節(jié)，通常具有操作復雜、資源占用較大的問題，成功進行一次演練的難度很高。使用容災系統(tǒng)，可以大大降低演練的技術難度，只需要部署一個簡單的演練環(huán)境，就可以使用容災系統(tǒng)中虛擬機應急的功能，極短的時間就可以將所有的業(yè)務系統(tǒng)運行起來，從而實現檢驗容災備份的可用性、災難恢復應急預案的可執(zhí)行性等演練目的，從而使業(yè)務系統(tǒng)在發(fā)生災難后進行恢復得以保障。.7易于擴展的一體化容災技術實現容災系統(tǒng)采用軟、硬件一體化設計，可方便地進行“交鑰匙”方式業(yè)務功能交付，部署、管理便利。容災系統(tǒng)采用模塊化設計，可根據需要靈活選擇相應的功能模塊，同時，當應用環(huán)境變化時，可以方便地進行升級擴展：包括存儲容量的擴展、應急方式的擴展、保護服務器數量的擴容等，可有效地保護用戶的初期投資。.8易用易維護容災系統(tǒng)的操作管理采用全中文的WebUI，不需要安裝任何管理軟件，任何具有網絡互通能力的終端都可以方便地通過瀏覽器登陸容災系統(tǒng)管理程序，進行操作和管理。4統(tǒng)一容災系統(tǒng)工作原理在線復制在統(tǒng)一容災系統(tǒng)部署完成后，將為每臺生產服務器分配一組容災存儲，配合安裝在生產服務器上的客戶端軟件，根據預先設定的策略，自動對各服務器的操作系統(tǒng)、應用軟件、數據及數據庫實施動態(tài)差異量在線復制，復制后在統(tǒng)一容災系統(tǒng)系統(tǒng)上生成用于應急、容災的快照，供應急、容災、恢復時選用。10

VM生產服務器生產服務器快照VM生產服務器生產服務器快照啟智數據庫同步（DSS）DSS是一種基于Oracle在線日志（Redolog）分析技術的結構化數據實施復制備份軟件產品，備份數據庫始終處于OPEN狀態(tài)。DSS通過在源端（生產）數據庫服務器和目標端（備份端）數據庫服務器各自配置一個代理程SourageAgent和TargetAgent，DSSAgent程序是綠色免安裝的程序，直接解壓配置啟動參數就可以進行數據實時同步。DSS利用數據庫日志在線跟蹤、分析技術，將生產數據庫的交易信息以事務為單位，通過異步的方式，實時的傳遞、裝載到目標數據庫中，以達到源端、目標端復制數據保持同步的目的。11

業(yè)務系統(tǒng)數據實時查詢4SSQLTCP/P網絡透明壓縮傳輸-二進制數據文件DTFSQL■memory裝載進程過濾進程接收進程Disk業(yè)務系統(tǒng)數據實時查詢4SSQLTCP/P網絡透明壓縮傳輸-二進制數據文件DTFSQL■memory裝載進程過濾進程接收進程DiskTargetAgent應急啟動生產服務器故障時，使用統(tǒng)一容災系統(tǒng)管理器中提供的虛擬機應急功能，統(tǒng)一容災系統(tǒng)會將容災副本以自身集成的虛擬化平臺啟動，啟動時不需要進行任何P2V的操作，可以正常啟動該容災副本上的操作系統(tǒng)及其上的所有應用和服務，啟動完成后，業(yè)務系統(tǒng)恢復正常功能。生產服務器 生產服務器12生產服務器 生產服務器12總之，一旦服務器發(fā)生任意故障，通過多種應急手段（網絡啟動、FC啟動、虛擬機啟動）使用簡單的操作，即可在分鐘級內恢復故障服務器業(yè)務，實現RTO三5分鐘。事后恢復當實施網絡啟動操作系統(tǒng)、應用軟件并恢復業(yè)務功能后，可在系統(tǒng)I/O比較少的時間（如深夜），使用統(tǒng)一容災系統(tǒng)的恢復功能，自動或手動對各服務器原有的磁盤進行恢復操作；將存放在網絡存儲里的可用的操作系統(tǒng)、應用軟件、數據及數據庫恢復（回寫）到本地盤，該操作支持對數十臺服務器的自動恢復，非常便于運營管理。當完成對本地盤的全部系統(tǒng)和數據的恢復后，根據需要只需重啟系統(tǒng)，并選擇本地啟動即可將運營切換到本地盤上。生產服務器生產服務器生產服務器生產服務器5方案主要技術指標主要容災指標13＞RTO三5分鐘；＞RPO^0或RPO三1小時。一體化虛擬機平臺＞內置一體化虛擬機平臺；＞支持軟、硬件一鍵虛擬機快速應急啟動。虛擬機P2V動態(tài)遷移每個快照均可支持虛擬機直接啟動應急。跨網段應急啟動支持多網段跨網段應急網絡啟動。數據保護＞支持實時復制，RPO^0；＞支持定時復制，RPO三1小時；＞提供任快照點回滾的數據保護和恢復功能。應急方式支持軟、硬一鍵切換模式。恢復還原方式＞采用PXE協(xié)議的網絡啟動應急模式在線恢復還原；＞支持手動還原。快照版本提供64快照版本，可擴展到2048快照版本。保護范圍操作系統(tǒng)、應用程序、數據庫、數據文件、服務器硬件等。復制方式在線復制，支持增量復制、全量復制14支持的操作系統(tǒng)MicrosoftWindows2000/2003/2008Server；MicrosoftWindowsXP；Linux；國產操作系統(tǒng)：麒麟、紅旗。支持的數據庫MicrosoftSQLServer；Oracle；MySQL；Sybase；DB2；國產數據庫：GBase。存儲容量及擴展統(tǒng)一容災系統(tǒng)的存儲容量：集成存儲：16TB；擴展存儲：支持FCSAN、iSCSISAN、DAS等方式的存儲