下载掌阅APP,畅读海量书库
立即打开
随着信息系统对支撑医疗机构如医院业务的重要性越来越高,越来越需要在确保数据得到安全保护的同时,做到关键业务系统服务不停顿以及关键数据不丢失。一般容灾方案拓扑结构如下图5-4所示。
图5-4 容灾方案拓扑结构
医疗机构信息系统中存储大量的患者诊疗数据和医院管理数据,其中涉及众多个人和机构的敏感信息。随着隐私数据保护监管法律法规如《数据安全法(草案)》、《个人信息保护法(草案)》的出台,医疗数据的生产、传输、存储、计算、分析等利用过程中的隐私安全越来越受关注。
传统的备份、恢复解决方案虽然可以使数据得到很好的保护,但是发生故障时所造成的数据丢失量较大(RPO=24小时),以及系统恢复时间较长(RTO一般超过4小时)都是现代医疗机构所无法承受的。因此,规划一套满足业务连续性要求的数据中心系统架构,也就成为医疗机构信息系统基础架构建设中的一项重要任务。
在灾难备份与恢复行业国家标准《信息系统灾难恢复规范》中,将信息系统的灾难恢复能力划分为了6级,明确了RTO/RPO与灾难恢复能力等级的关系,在最高级(第6级)中要求RPO=0,RTO在分钟级内。如表5-2所示。
表5-2 信息系统的灾难恢复能力
随着医疗服务业务的进一步发展,医疗信息系统要求提供7×24小时的高可用性服务,业务运行不允许中断,系统一旦停机会给医院造成巨大的损失。
为了应对系统停机、业务中断等风险,多数医院建设了容灾数据中心,传统的以数据复制技术为基础的多数据中心架构均以灾难情况下的站点整体切换为第一目标,这种技术强调灾难情况下的站点恢复能力,但往往由于底层数据复制配置、网络环境、相互依存服务等方面的限制,无法顺利实现单个业务应用系统或主机的透明切换和迁移。
另一方面容灾站点的服务器、存储、网络等资源长期处于闲置状态,长期占用机房场地并耗费大量能源,所以大部分医疗机构并没有建立一个高效的容灾机制,一旦应用系统或机房硬件出现故障,将会造成业务中断,影响医院运营。
采用医疗机构存储高可用与双活数据中心的模式,确保当单个系统或整个数据中心出现故障时,最大限度减少数据的丢失量(包括RPO=0),以最快速度恢复关键应用系统(RTO接近零),提高信息系统的整体服务级别。
关于本地存储高可用,是在数据中心内提供存储空间的高可用和透明协作,实现本地不同存储系统高可用整合,之后再将整合后的存储空间分配给主机。
分布式缓存一致性技术能够提供随处访问的数据访问能力,打破数据中心间的物理壁垒,允许从不同地理位置同时访问单个数据副本。如果在其中一个数据中心发生了导致应用程序中断的计划外事件,则中断的应用程序可以在容灾数据中心的站点上重启,业务不中断。
双活数据中心是远距离扩展两个数据中心之间的随处访问能力,保持服务级别,即使一个数据中心发生故障,系统仍可继续运转并且数据和应用程序将保持在线和可用,无需人工干预,支持跨远距离共享、访问单个数据拷贝,实现主备主机同时访问同一套卷的目的。
通过存储高可用和双活数据中心等建设,不仅可帮助医疗机构实现在数据中心间透明的在线移动应用程序和数据,实现无中断的运营和升级,同时提高资源的使用效率、降低总体拥有成本。
备份系统主要解决因硬件故障造成的数据丢失;因应用程序/数据库损坏造成的数据丢失;因人为错误造成的数据丢失;因黑客攻击/病毒感染造成的数据丢失;因软硬件系统升级与维护前的数据备份。为防止因前述问题造成数据丢失,需对医疗机构信息系统的核心应用系统进行定期备份,并定期进行数据恢复验证测试,确保备份数据的可恢复性。
在医疗机构数据增长和服务级别不断提高的现实情况下,对数据的安全保护提出了更高要求,如能够快速而可靠地备份与恢复,以满足当下关键的恢复时间要求;通过保护至关重要的资产和减少流程错误提高安全性和可靠性;利用基于策略的备份任务和集中化管理减少复杂性;利用目前重复数据删除技术减少备份空间和备份介质的增长等等。总体上帮助医疗机构显著提高备份效率和可靠性、降低成本,并最大限度地减少管理工作。
当前,医疗机构业务连续性需确保当单个系统出现故障,特别是系统逻辑故障时,最大限度减少数据的丢失量(包括RPO=0),以最快的速度恢复关键应用系统(RTO<1小时),提高信息系统的整体服务级别。
数据保护具备同步(连续数据保护)和异步复制方式,针对业务应用系统数据库,采用同步复制方式,针对文件,采用异步复制方式。
● 针对数据库的同步复制特点
○ 无数据丢失(RPO=0),所有写操作都由源同步到目标,有距离限制(500米),可以基于FC网络实施部署。
○ 支持变量更新,链路故障恢复后进行变量更新。
○ 不占用服务器资源,独立运作,与操作系统、应用等无关。
○ 简化管理,基于浏览器图形界面的设置及管理。
● 针对文件的异步复制特点
○ 远距离复制技术,距离达到百公里,利用IP网络。
○ 自定义数据复制周期,分钟,小时,天。
○ 不占用服务器资源,独立运作,与操作系统、应用和文件系统无关;有效带宽利用。
○ 简化管理,基于浏览器图形界面的设置及管理采用以上的业务连续性解决方案,可实现受保护的数据库的任一时间点的故障恢复,及影像文件系统的远程保护。
当主数据中心的数据出现逻辑错误时,可以通过容灾存储上的数据进行快速回滚,从而实现数据库等系统进行任意时间点的恢复;在容灾中心部署备用服务器,可以在生产站点发生灾难时,接管容灾存储上的数据,从而实现容灾的快速切换。当生产中心站点恢复后,可以通过数据反向复制将修改数据增量同步回生产中心,然后实现容灾恢复。
综上所述,容灾方案能够保护医院数据在通常的如数据逻辑损坏、软件出错、病毒和终端用户差错等情形下尽可能减少损失。同时,凭借持续数据远程保护技术,还使得系统可以抵御突发灾难事件,使整个数据中心尽量减少停运。
医疗机构如医院建设业务连续性解决方案,目的是当故障发生时,能够通过业务连续性数据保护实现业务和数据的恢复,这就一方面要求数据可以恢复并且可用,另一方面定期的容灾演练才能验证容灾架构、灾难恢复预案的有效性以及实际执行能力。针对演练过程发现各方面存在的问题并加以改进,可以使容灾体系更加完善,同时也能使各部门相关人员都熟悉、了解相关的策略、流程和方法,提高医院应急响应和灾难恢复的综合执行能力。