医院信息系统的安全与数据备份方案

我院是一所“二级甲等”中医院，是XX市中医药之临床与科教中心。建院十年来，已拥有各专业技术人员500多人，设有急诊、内科、外科等18个一级临床科室及专科专家门诊30多个，规划病床400张，目前开放病床350张。随着医院信息管理的进一步科学化、规范化，我院建立了“以病人为中心，以医生为主体，以临床信息为重点”,突出病人临床信息的自动化管理和临床医生是应用主体的特征，同时涵盖医院费用、财务、药品、设备、物资、人事、医技、质量控制等管理，以及统计、咨询、院长办公辅助决策支持等功能模块的医院信息系统。该系统实施后，对业务管理、教学和科研起到了越来越重要的作用，较大地提高医院管理水平和工作效率等，并赢得了病人的高度信赖，得到了社会各界人士的一致好评，受到了上级各有关部门的充分肯定和高度评价。

然而随着业务的不断发展，我院信息系统的数据库的数据量越来越大，人工对系统的保护和人工对数据的防灾越来越显得重要。计算机处理系统的稳定与否，其数据的安全与否，直接影响到其服务质量的好坏，从一定角度来讲，其服务质量的好坏直接影响到我院的医疗服务水平和管理工作。我院信息系统属于24 X 7的关键业务系统，需要不间断为医务人员提供服务。即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失，甚至要负法律责任。因此，保护系统的可用性和数据的安全、可靠性尤为重要，必须通过多种技术措施，提供较强地管理机制和控制手段，保证系统运行和业务数据的安全和一致性，以保证系统的正常运行。

正是在这种情况下，如何保证其系统的正常稳定运行，如何预防数据因错误或灾难而丢失，成为我院信息系统亟待解决的问题。

二、需求分析

1、系统现状

我院信息系统建立在Windows NT/2000操作平台上，有 4台DELL 4400服务器通过MSCS组成2个集群，数据库系统是Microsoft SQL Server 2000，客户端用户有400多个。该服务器群担负着非常重要的业务处理和系统支持任务，其安全、稳定地运行对保证我院的信息服务具有重要意义。

⑴、系统高可用性分析

由于医疗的特殊行业要求，医院的计算系统，包括医疗影像系统必须满足随时响应对数据、影像访问的要求，系统不能停机，必须保持运行的连续性。否则，必会延误对患者的治疗。这要求系统提供访问的服务器要有2台或2台以上，结合特定的软件技术提供容错机制，当一个服务器出现故障时，由另外一台服务器自动及时接管所有任务。在我院信息系统通过集群的双机系统(MSCS)对业务应用提供保护，在一台服务器的软硬件发生故障时，将整个业务切换到后备服务器上。该方法很大程度上避免了服务器的单点故障，提高了整个业务系统的可用性。

但是，随着我院业务系统的发展，随着竞争的不断加剧，在一些重要的系统中，已经不能满足于简单的本地保护，要求更高的系统可用性，要求实现真正的异地容灾保护。因为一旦出现异常情况，如火灾、爆炸、地震、水灾、雷击或某个方向线路故障等自然原因以及电源机器故障、人为破坏等非自然原因引起的灾难，导致业务正常无法进行和重要数据的丢失、破坏，造成的损失将不可估量。因此，我院要求业务系统可以在发生上述灾难时快速恢复，将损失降到最低点。

全面的异地容灾保护方案，意味着除了要实现本地的切换保护外，更要实现数据的实时异地复制和业务系统（包括数据库和应用软件）的实时远程切换。

⑵、数据安全分析

为满足业务的不断快速扩展及其它信息处理需求，越来越多的企业采用最新的计算机网络和信息处理技术来构建其核心业务处理系统。新建的计算机信息处理系统不仅需要很强的计算能力来及时处理大量的数据业务，同时，由于医院信息管理系统的特殊要求，还需要整体系统具备极强的稳定性与可靠性，使系统能够长时间安全、稳定地正常运转。并需要系统在发生问题时，企业的核心数据能安全的保存和恢复。从根本上来说，系统的稳定性与可靠性在很大程度上取决于相关保障子系统的性能，就像楼宇的安全可靠性主要取决于各类防护措施及消防保护等系统一样。

在一个网络中，如果服务器失败了，可以由另外一个服务器接管，而数据丢失了，则会造成永远无法弥补的损失，因此，保护数据的安全、可靠性尤为重要。不管系统的性能有多好，但所有的性能都体现在数据的完整存取上，只要数据丢失了，就会给医院、病人带来很大的损失和问题

因此，一个系统具备有备份措施是必要的。必须根据目前系统现状，结合存储产品如磁带设备、备份软件，良好的数据备份和恢复工作，定期数据备份、数据移出、数据移入，在意外情况发生时能确保数据的正确性、完整性。 

2、系统需求分析

⑴、应用系统及数据的安全可靠性要求

不管是在数据中心，还是在运作中心，要求对于关键性的应用系统，能够有效回避任何单点故障，这些故障范围包括：应用程序错误、数据库系统故障、网络端口故障、网线接触故障、磁盘系统介质故障、系统瘫痪等。我院的主机系统采用了双节点集群的结构可以避免单节点服务器的物理故障，保证万一上述故障发生，系统能够继续为客户提供正常的服务。但是该系统的存储系统还是存在单点故障的隐患，这是系统必须要重点解决的问题。

⑵、系统的容灾要求

由于医院业务的特殊性，任何人为或自然因素所导致的应用/系统中断，都会造成医院巨大的经济和名誉损伤及严重的法律后果。为了避免一些突发的意外情况（如地震，水灾，雷击等）造成数据中心破坏而导致的业务中断，数据中心应该有快速灾难恢复的能力，同时，下面的运作中心也不应该因上述故障导致本地数据丢失。可见，在某些不可抗拒的意外事件发生时，如何避免数据丢失，如何正常为用户提供服务，也是系统建设中一个必不可少的方面。

⑶、备份的要求

建立一个覆盖各中心全部操作平台的应用及数据库备份系统，实现我院内部，包括数据中心和所有运作中心各种数据的备份。备份的管理采用集中备份管理的方式，尽可能提高各主机数据的安全性和可管理性。

备份内容应包括数据中心和运作中心：

⑴应用数据库备份

⑵应用程序备份

⑶操作系统备份

⑷系统的灾难恢复

⑸要求备份系统的设计应不对应用系统产生任何不良影响。

⑹要求备份系统的设计要考虑到系统扩展的要求，提供系统平滑升级的能力

如何通过有效的备份策略和备份手段减少数据的丢失/错误，如何在事故发生时快速有效地恢复数据，将是我们需要慎重研究的一个重要环节。

⑷、存储系统高性能和可扩展性的要求

医院系统的数据处理量非常大，特别是医学影像管理系统，这对存储子系统的性能提出了较高的要求。同时，随着业务的扩展和时间的推移，医院系统的业务数据量将会以指数级往上增长。这样一来，原来购置的存储空间将在短期内达到饱和，所以，如何平滑简便地扩展存储空间将是一个非常事实的问题。     

⑸、存储系统的可管理性要求

如何提高存储系统的性能，并使之更易于管理，让管理员从日常的烦琐工作中解脱出来，从而减低管理成本？如何提高磁盘管理的效率，使系统能够实现诸如磁盘镜像、RAID技术、磁盘的在线扩容、文件系统的在线伸缩、在线I/O性能调整？这些都是现实中的确存在的问题，它们涉及系统管理的各个方面，并直接影响当前应用系统的性能。

3、系统设计目标

根据前面的分析，建议采用如下总体方案：

⑴、在线复制：

建立灾难备用机房，采用在线复制技术，进行两地数据同步，最大限度地保证业务系统工作的连续性、可靠性。

⑵、冷备份：

在备用机房采用冷备份技术，将数据备份到磁带机，避免人为误操作、硬盘损坏、病毒及黑客造成关键数据的永久丢失，保证数据的可用性、一致性和完整性。

三、系统设计原则

有了如上总体需求，就可以设计一套真正符合贵公司需要的高可用系统。通常，参照业界标准，电脑系统的高可用性设计主要依据如下几个指标：

系统达到99%的高可用性(采用在线复制+在线备份)，快速的恢复能力(<0.5天)，尽可能缩短时间以避免停机造成的经济损失；可扩展性强，方便应用系统升级和迁移，便于日后与公司其它系统整合；对于应用系统平台及存储介质广泛地支持；可管理性强，界面直观，操作简便；能实现统一管理，减少辅助设备及维护人员，降低管理成本；性价比高，且易于使用；

四、系统设计方案

通过上述讨论，我们确定采用在线复制+冷备份来满足对系统高可用的需求来建立信息及应用系统的高可用 (99%以上) 电子平台。

1、建立数据异地实时同步复制：我们在另一座楼中建立一个机房,有一台服务器专用于数据备份用，当业务系统对数据的任何修改，各营业点数据会实时同步地复制到备份中心复制。复制产品选用已被大量的全球客户认同的Veritas Storage Replicator(VSR)2.1，针对SQL、Oracle、DB2和Lotus Notes实施一对一的数据复制。VSR第一次做全复制后，以后做连续的增量复制。

2、建立数据离线备份：实时复制是高可用和异地容灾手段，并不能消除数据逻辑错误和保持历史数据，同时避免人为误操作、硬盘损坏、病毒及黑客造成关键数据的永久丢失，我们在备用机房对系统所有数据做离线备份，将数据备份到磁带机，离线备份软件我们选择Veritas Backup Exec；

3、建立灾难恢复:实现在线备份和恢复网络中所有NT/2000、NOVELL服务器的文件系统，包括操作系统文件、数据库系统文件和用户文件。

⑴、定时自动备份：通过定时的备份操作和磁带库的自动更换磁带功能，将IT系统管理从繁重、单调的备份操作中解脱出来，从事更有价值的工作，从而也避免认为的误操作而导致的备份数据的丢失；

⑵、通过数据库的代理程序，实现对数据库的在线备份；

⑶、通过客户端的代理程序，能将其他平台上的数据拉到备份服务器上，实现跨平台的数据备份，所支持的平台包括了目前所有的驻留操作系统；

⑷、定期清洗磁头，提高备份可靠性； 

五、方案实施及运行效果

我院信息系统安全与数据备份方案，是在2002年11月份实施完成的，现在运行效果很好，曾两次为我院找回了丢失的数据。一次是服务器磁盘阵列坏，我们通过异地的同步复制，很快找回了丢失的数据并及时恢复了系统的正常运行，而且数据完整无缺，保证我院信息系统的正常运行。还有一次是我们的信息系统升级时，由于升级软件的漏洞，致使系统升级后，我院几年来所有病案的护理病历数据全部丢失，我们通过我们的磁带备份，及时恢复了全部的护理病历数据，为我院和病人挽回了不可估量的损失。所以说建立数据备份系统，保证信息系统的安全是非常必要。