一种医院数据容灾备份系统的构建方案∗

刘麒麟

（湖北咸宁市中心医院 咸宁 437100）

一种医院数据容灾备份系统的构建方案∗

刘麒麟

（湖北咸宁市中心医院 咸宁 437100）

针对部分医院信息系统数据保护能力不强、系统易中断的问题，分析了医院数据容灾备份系统的需求、构建原则和目标，提出了一种医院数据容灾备份系统的构建方案。该方案利用双机房的容灾环境，实现各种存储资源的统一集中管理与数据与业务的统一保护，提高了数据的高可用性和业务的连续性，建立了较为完善的容灾备份体系。

容灾；医院数据；存储资源

1 引言

随着社会及公众对医疗业务的服务要求不断提高，管理水平和服务功能的强化及发展将对医院办公方式产生极大的推动作用，医院的主要诊疗活动都依赖于信息系统的运行，现阶段，国内医院在信息化方面正在逐步发展，并形成了一定的规模，主要的信息系统包括医院信息系统（Hospital Information System，HIS）、实验室信息管理系统（Laboratory Information Management System，LIS）、医学影像存档与通讯系统（Picture Archiving and Communication System，PACS）、放射信息管理系统（Radiology Information System，RIS）、电子病历（Electronic Medical Record，EMR）等，但是部分医院还存在信息化系统种类众多且相互隔离、数据保护能力不强、系统易中断的问题。由于医疗行业的特殊性，医院信息系统需要不间断运行，对于系统的安全、稳定要求很高，因此为了保障医院系统的高可用性，医院迫切需要构建数据容灾备份系统，确保发生存储、服务器故障时能做到“业务不中断，数据不丢失”。

容灾备份系统可以分为数据级容灾和应用级容灾两类［1～2］。其中数据级容灾，是建立一个异地的数据备份系统，对本地核心数据进行远程备份。数据级容灾，实际上就是数据复制，其实现方式可以分为数据同步传输方式和数据异步传输方式。应用级容灾，是数据级容灾的基础上，在异地建立一套完全相同的应用系统。该系统与本地系统功能相同、互为备份。建立异地备份应用系统不仅需要备份完全相同的数据，还需要构建主机、网络、应用软件、地址等资源，应用级容灾技术包括负载均衡技术和集群技术。在灾难备份与恢复行业国家标准《信息系统灾难恢复规范》［3～4］中，将信息系统的灾难恢复能力划分为了6级，明确了灾难恢复能力等级，在最高级（第6级）中要求实现远程数据实时备份，实现零丢失，应用软件可以实现实时无缝切换。

数据容灾技术综合了存储、备份和传输技术［5～9］。很多国际知名IT公司推出了自己的数据容灾系统和数据容灾方案，Veritas公司采用Volume Replicator技术将数据以异步或者同步的方式复制到远程系统［10］，数据不需要通过专用传输线路，而直接通过网络传输；IBM基于ESS企业存储服务器和PPRC复制技术的数据容灾方案［11］，实现以存储为基础的、实时的、同步的、与应用无关的数据远程镜像功能。华中科技大学的曹强等［12］实现了一个基于统一存储网的网络文件备份系统，具备较高的数据备份传输率；四川大学的李涛等［13］实现了一种基于跨平台、跨地域的容灾系统，具有实时、可控、能调的容错能力；西北工业大学的李战怀等［14］实现了一个基于平台的数据容灾系统，通过在内核中嵌入远程实时复制和灾难恢复机制，使系统达到高可靠性和高可用性；西北工业大学的刘卫平［15］实现了一种网络存储中的数据容错与容灾系统，提出了一种基于日志的远程异步数据复制协议ARPDL，提升了数据传输效率。

针对医院信息系统数据高可靠要求的特殊性，本文提出了一种医院数据容灾系统构建方案，利用双机房的业务级容灾环境，实现各种存储资源的统一集中管理，与数据和业务的统一保护，实现各种存储资源的统一集中管理与数据和业务的统一保护，提高了数据的高可用性和业务的连续性，建立了较为完善的容灾备份体系。

2 医院数据容灾备份需求分析

医院的主要业务流程活动都依赖于信息系统的运行，针对医疗行业核心系统的重要性，核心信息系统需要不间断运行，对于系统的安全、稳定要求很高，一旦由于系统硬件的功能失效，存储介质的老化损坏，人为的错误操作，以及各种难以预料的外界因素导致数据意外丢失或损坏，那么将会对于医院业务运作造成无法估量的影响。所以必须对数据存储系统的完整性和可靠性给予高度重视，并提供一个完善的具有高可用性的存储备份解决方案，以避免在各种极端情况下造成的重大损失。

现阶段部分医院架构主要存在以下问题：

1）系统恢复能力差。当核心系统发生软件故障时，无法切换，核心系统不能连续运行，恢复系统需要花费很长时间；

2）数据保护能力弱。当应用系统或主机出现故障后，没有办法做到尽快及时的恢复，而且保存在存储上的数据没有很好的集中备份环境，当需要数据恢复时，不能做到及时有效的数据恢复及良好的数据保护。

可以采用容灾备份技术来防止数据的丢失，保证系统的正常运行。随着业务系统增加，数据量的增大，系统管理人员很难进行手工备份操作，不仅工作量大、且容易出错、效率降低、难以管理备份效果；如几个简单的管理备份介质工作当对同一个数据库的容量超过一盘磁带的容量时，如果采用手动备份就变成了一个极其复杂，效率极低、风险很大的工作了。同时在系统中断时能够在最短的时间内恢复数据，最大程度减低业务中断时间是最重要的。人工处理往往难以满足这些要求。所以需要采用一套离线备份系统对业务数据进行保护，提高备份恢复的效率。

因此，需要建设一个集中统一的信息保护管理平台，把分散业务系统整合到这个统一集中平台上进行集中备份管理维护，并为相应系统改造打下基础。

3 容灾备份系统构建

3.1 容灾备份系统构建原则和目标

容灾备份系统构建原则主要包括：

1）高度灵活性和可扩充性。业务系统直接支持日常业务的运营与开展，稳定、高效是核心业务系统的基本要求；

2）高可靠性与高可用性。充分考虑到系统运行设备、数据存储及应用设计，能够为系统提供零数据丢失、保障业务安全、不间断的稳定运行，包括防范一定区域的应急风险。

容灾备份构建目标主要包括：

1）构建业务连续性平台。构建应用和数据级容灾系统，实现各种存储资源的统一集中管理，消除存储单点故障，提高数据的高可用、支持业务连续性的实现，建立数据容灾体系。同时，实现关键应用系统的主机高可用性，应用系统站点间自动切换，减少人工干预，实现应用系统的容灾体系。将来可扩充至远程数据实时复制，支持业务连续性的实现；

2）构建集中备份平台。构建数据的统一备份恢复管理平台，提供不同数据的不同保护级别，提高备份效率，提供长久数据保存与及时恢复。

3.2 容灾备份系统构建方案

按照基本达到容灾6级要求进行容灾系统方案设计。

1）设计并构建系统容灾架构

将核心业务系统的服务器和存储设施，分别放置在两个机房环境中，形成分开运行的主、备服务器双机房环境，两个机房之间通过光纤链路、光纤交换机，构成一个统一的SAN构架。当主机房中系统或主机故障发生时、甚至整个机房发生故障，核心系统可以在几分钟内无缝的切换到备用机房的服务器上，实现应用系统主服务器和备用服务器之间的快速自动切换，保障系统的核心应用可靠运行，提升应用的切换速度和可靠性，降低生产主机停机风险，满足“业务不停顿”的要求，容灾备份系统架构如图1所示。

图1 容灾系统架构

2）设计并实现系统可靠存储

容灾系统的架构设计存储机制包括同步机制和异步机制。同步机制是将本地数据同时完全复制到远程，需要同步的数据同时要放在远程响应完成，本地才会向应用响应结束，图2描述了同步机制的基本过程。

图2 同步机制响应过程

同步机制虽然可以保证数据的安全可靠，但是可能影响应用系统的连续性，因此，本方案采用基于异步机制的存储方案。异步机制中，本地站点完成后直接返回给应用，不需要等待远程站点完成复制过程，图3描述了异步机制的基本过程。

图3 异步机制响应过程

异步机制只需要写操作得到本地存储设备的执行完成确认，就可以执行下一个指令，保证了系统对存储的快速响应，但本地与远程之间数据存储的异步执行，不能完全确保本地和远程存储设备的实时数据完全一致，因此异步机制的核心是写操作的远程传播以及数据同步。

为了减少本地和远程的通信开销，并且保证本地和远程的数据一致，采用一种批指令异步机制，其基本过程如图4所示。

图4 批指令异步机制响应过程

批指令包括控制信息区和指令信息区，数据结构如图5所示。在本地存储中，在一定周期T内接收到的指令组成一个批指令，并且利用时戳Stamp标识该批指令，N为批指令所包含的指令数量，用于确保批指令能够完整接收。

图5 批指令数据结构

其中，批指令形成过程如图6所示。

图6 批指令形成过程

远程可根据批指令的时戳和指令数量确定是否完全接收该批指令，确保数据传输的高可靠性。在批指令形成过程中包含指令覆盖判断的过程，这是由于对同一个逻辑块可能会存在重复写两个以上的指令，只需要将最后一个指令都传递到远程，就可以满足数据同步的要求，并且大量减少通信链路的数据传输量。

假设本地接收多个指令依次写逻辑块a1、c1、d1、e1、c2、b1、c3、f1、e2、d2、e3、b2、e4。该指令序列提交给本地主存储执行，对b逻辑块覆盖了1次，对c逻辑块覆盖了2次，对d逻辑块覆盖了1次，对e逻辑块覆盖了 3次，与执行指令序列 a1、c3、d2、e4、b2、f1结果是相同的，指令信息传递量减少50%，指令序列的更新过程如图7所示。

图7 指令序列更新过程

本地和远程存储系统实行数据异步机制保持数据一致性，实现站点间数据的双存储实时存放，消除存储单点故障，做到底层双存储保护，保障数据的高可靠性，避免软件系统故障和硬件单独故障，带来的系统异常中断风险，提高数据的高可用、支持业务连续性，满足关键系统“业务不中断，数据不丢失”的业务连续性运行需求。

本方案有如下特点：

1）优化了管理维护工作。通过集群管理界面，借助业务级容灾技术，可以快速配置、测试和实施业务关联性的集群架构，通过直观的图像界面管理，简化了整个容灾环境的维护管理工作；实现存储在线管理，减少对业务系统的影响，所有的逻辑卷和文件系统操作都可以在应用不停机的状态下完成，真正实现存储供应对应用的透明。

2）保障了数据的高可靠性和业务的连续性。当生产存储故障时，能够保障系统不中断、数据不丢失；当生产主机故障时，系统可自动或“一键式”半自动进行切换，相对人工切换，降低出错概率和整体切换时间；尽量降低业务中断，真正实现业务连续性。

3）增强了数据使用的灵活性和使用效率。支持将快照、复制映射到不同品牌的存储阵列上，提高灵活性，实现生产数据查询、测试、逻辑性错误恢复等用途，提高数据处理效率提升业务用途。

4）保障了存储的可伸缩性和容灾的可扩展性。无需进行系统结构的改动与调整，增加模块即可灵活、方便实现容灾扩展。

4 结语

本文提出了一种医院数据容灾备份系统的构建方案，方案利用双机房的容灾环境，实现各种存储资源的统一集中管理与数据和业务的统一保护，构建的系统能够优化管理维护工作、保障数据的高可靠性和业务的连续性、增强数据使用的灵活性和使用效率，保障存储的可伸缩性和容灾的可扩展性，具备较为完善的容灾备份体系，可应用于各类医院信息系统容灾备份改造工程中。

［1］王德军，王丽娜.容灾系统研究［J］.计算机工程，2005，31（6）：43-45.WANG Dejun，WANG Lina.Research of Disaster Tolerance System［J］.Computer Engineering，2005，31（6）：43-45.

［2］杨义先，姚文斌，陈钊.信息系统灾备技术综论［J］.北京邮电大学学报，2010，33（2）：1-6.YANG Yixian，YAO Wenbin，CHEN Zhao.Review of Disaster Backup and Recovery Technology of Information System［J］.Journal of Beijing University of Posts and Telecommunications，2010，33（2）：1-6.

［3］GB/T20988-2007.信息安全技术信息系统灾难恢复规范［S］.北京：中国标准出版社，2007：10-13.GB/T20988-2007.Information security technologyDisaster recovery specifications for information systems［S］.Beijing：China Standards Press，2007：10-13.

［4］谢长生，韩德志，李怀阳，等.容灾备份的等级和技术［J］.中国计算机用户，2003（18）：30.XIE Changsheng，HAN Dezhi，LI Huaiyang.The Level and Technology of Disaster Recovery Backup［J］.China Computer Users，2003（18）：30.

［5］L.D.Stevens.The evolution of magnetic storage［J］.IBM Journal of Research and Development，1981（25） ：663-675.

［6］LUO Xinguo，ZHANG Jiangling.Study on a Network Storage System［J］.Proceedings of International Symposium on Multidisciplines，China，1992：151-155

［7］G A.Gilbson，R.V Meter.Network Attached Storage Architecture［J］.Communications of the ACM，2000，43（11）：37-45.

［8］IBM Tech report.Trends in Storage Infrastructure，2002：23-34.

［9］IBM Corporation.A Disaster Recovery very Solution Selection Methodology［M］.February 2004：56-58.

［10］Paul Massiglia.VERITAS Volume Replication and Oracle Databases［M］.VERITEIS Corporation，2000：79-83.

［11］IBM Corporation.Method system and program for maintaining data consistency among updates across groups of storage areas using up-date times［M］.United States Patent 6463501，2002：46-50.

［12］曹强.数据存储系统的关键理论及性能分析［D］.武汉：华中科技大学，2003：21-28.CAO Qiang.The Key Theory and Performance Analysis of Data Storage System［D］.Wuhan：Huazhong University of Science and Technology，2003：21-28.

［13］廖竣揩.基于Internet的容灾系统的设计与实现［D］.成都：四川大学，2004：1-25.LIAO Junkai.Design and Implementation of Disaster Tolerant System Based on Internet［D］.Chengdu：Sichuan University.2004：1-25.

［14］王彦龙.Linux平台数据容灾系统的研究与实现.［D］.西安：西北工业大学，2005：10-35.WANG Yanlong.Research and Implementation of Data Disaster Tolerant System Based on Linux Platform［D］.Xi'an：Northwestern Polytechnical University，2005：10-35.

［15］刘卫平.网络存储中的数据容错与容灾技术研究［D］.西安：西北工业大学，2006：12-36.LIU Weiping.Research on Data Fault Tolerance and Disaster Recovery Technology in Network Storage［D］.Xi'an：Northwestern Polytechnical University，2006：12-36.

A Scheme of Buiding Hospital Data Disaster Tolerant System

LIU Qilin
（Xianning Central Hospital，Xianning 437100）

Aiming at the problem that the data protection ability of some hospital information systems is not strong and the system is easy to be interrupted，this paper analyses the demand，the construction principle and the goal of hospital data disaster tolerant system firstly，then proposes a new construction scheme of hospital data disaster tolerant system.The scheme utilizes the disaster recovery environment of the double room to realize the unified management of the various storage resources and the unified protection of the data and the business，improves the high availability of the data and the continuity of the business，establishes a relatively perfect disaster tolerance system.

disaster-tolerant，hospital data，storage resources

TP309

10.3969/j.issn.1672-9722.2017.11.033

Class Number TP309

2017年5月21日，

2017年6月19日

刘麒麟，男，工程师，研究方向：计算机网络与信息安全。