医院HIS系统应急服务器备份解决方案

一、需求分析 
  
    很多医院在信息系统建设规划初期,都会向HIS软件的供应商或系统集成商提出设计一个“应急服务器”的要求。 
  
    所谓应急服务器,是指即使发生了非常严重的灾难性事故导致医院一线系统瘫痪之后,仍然能够保证医院业务(至少部分关键的科室,如:门急诊)继续运行的服务器。因此医院的应急服务器应该具有以下特点: 
  
   1. 这是一套二线备用系统,应该具有运行门急诊业务所需要的一切资源,包括服务器等硬件,以及后台数据库、应用程序、中间件等等;
  
   2. 应急服务器并不是群集系统中的热备服务器,它不能在无人干预的情况下自动切换上线,应急服务器系统的启用必须要有管理人员的确认;
  
   3. 应急服务器并不是备份服务器,医院所能忍受的数据丢失量(Recovery Point Objective)在秒级到分钟级,恢复时间(Recovery Time Objective)在分钟级到小时级;
  
   4. 应急服务器与传统意义上的备份服务器在功能上有重合,也有互补;
  
   5. 为了避免因核心交换机故障等问题导致系统完全不可用,应急服务器应该尽可能靠近门急诊科室操作终端;
  
   二、解决方案
  
   应急服务器并不是一台简单的服务器,它是一个随时可以启用的HIS系统后台资源的整合。所以,我们需要全面考虑应用的要求,从而设计出量身定制的医院应急服务器解决方案。
  
   2.1 数据传递
  
   首先,我们需要考虑一线系统的数据如何传递到二线系统(也就是应急服务器)。
  
   由于医院系统RPO要求非常高(如果启用应急服务器就必须损失一天的数据,那么,这个应急服务器的解决方案是无法满足医院要求的),传统的时间点备份往往无法满足要求。所以,采用实时复制技术将一线数据实时复制到二线系统才是真正可行的手段。
  
   VERITAS作为灾难恢复领域的领导厂商,为医院提供了功能强大、灵活易用的数据复制产品和解决方案来满足医院的需求。
  
   不论医院的一线系统是单机服务器、双机热备系统还是2+2的群集系统,作为数据复制软件来说,都可以看作一个整体,将一线系统的数据实时复制到二线系统。如下图所示: 
  
  



  
   采用VERITAS Volume Replicator或者VERITAS Replication Exec实现数据的实时复制,为应急服务器提供了最短时间差的业务数据。在正常情况下,如果一线系统的数据丢失,那么应急服务器中的数据滞后应该在秒级到分钟级。
  
   同时,复制过来的数据可以立即使用,为接下来的应急启用提供了很好的基础。
  
  2.2 应急启用
  
   有了数据之后,我们还要考虑如何启用应急服务器的问题。一旦一线系统发生停机,并且判断无法在短时间内恢复使用的时候,如何快速启用应急服务器系统?对于这个问题,我们应该分成两部分来分析。
  
   1. 一线系统停机的情况一定需要管理人员的判断,对于是否启用应急服务器,应该同时考虑到停机时间和数据丢失量两方面的平衡;
  
   2. 应急服务器的启用可以有自动化启用和手工启用两种方式,需要根据具体要求选择合适的手段。
  
   对于如何判断是否应该启用应急服务器系统,需要综合考虑各方面因素(如:一线系统数据是否存在、一线系统预期恢复时间、可能的数据丢失量、启用应急服务器之后重新还原到一线系统的工作量等等),结合医院自身的特点和要求,制定相应的应急响应策略。
  
   VERITAS Storage Foundation DR解决方案为应急服务器的启用提供了自动化、易于使用的技术手段。一旦一线系统停机之后,Storage Foundation DR可以后台将相应的服务资源(如:磁盘、文件系统、数据文件、IP地址等等)准备起来,等待用户的确认,只要管理人员确定要起用应急服务器,此时只需要简单地单击鼠标就可以完成应急服务器的启用。
  
   当然,您也可以手动启用应急服务器,但这需要一定的技术经验作为基础。
  
   2.3 系统还原
  
   应急服务器的启用是为了在紧急情况下保证医院业务系统的运行(至少门急诊业务),当一线系统恢复正常之后,应急服务器应该能有一个简单易行的手段将最新的数据交还给一线系统,恢复全院业务从一线系统运行的正常状态。
  
   VERITAS Volume Replicator和VERITAS Replication Exec软件的设计充分考虑了系统还原的要求,为系统资源的切换和数据的反向复制的实现提供了强大的支持。
  
   2.4 时间点备份的必要性
  
   虽然实时复制技术满足了医院数据保护在RPO和RTO方面的高要求,但仍然有必要对系统进行完全的时间点备份。
  
   由于实时复制不能保存多个时间点的数据副本,所以,实时复制对于误操作、软件漏洞、病毒破坏等造成的数据逻辑性失效是无能为力的。唯一有效的办法就是通过时间点备份的方式保留多个不同时间点的数据副本,一旦发生数据逻辑性失效的时候,我们就可以通过恢复在错误发生之前的数据副本来找回正确的数据。




  
   另外,医院数据的远距离容灾保护并未得到充分的重视,这也是由于医院往往没有远距离的分支机构以及相应的网络链路造成的。但实现医院数据的远距离容灾却是非常有必要的。利用专业数据备份软件完善的备份管理机制以及磁带介质易于离线的特性,我们可以经济有效地实现一个磁带容灾解决方案。每天将备份好数据的磁带运送到异地,可以为医院的IT系统提供最后一道保险:即使医院所在的地点因为地震、洪灾等大面积灾难事故,医院宝贵的业务数据仍然能够从异地的磁带介质中恢复出来。
  
   三、应用效果
  
   实际上,本方案的设计是考虑为医院的信息系统建立二线以及三线的备用系统。采用实时复制技术是医院应急服务器解决方案的关键,这使得应急服务器获得的数据与一线系统最新的业务数据的时间差大大缩短,从而降低了应急服务器启用的代价。 
  
    一旦一线系统发生停机事件,应急服务器内存储的数据与一线数据的时间差由原来的天、小时级缩短到现在的分钟、秒级。如果采用VERITAS Storage Foundation DR解决方案,还能为用户提供自动化的资源切换,等待用户确认,管理人员只需要简单地单击鼠标即可完成应急服务器的启用。
  
   另一方面,基于时间点的备份避免了因数据逻辑性失效带来的风险,如果医院因为误操作、软件漏洞等造成数据不可用,则可以通过恢复错误发生前的数据副本找回正确的数据。
  
   最后,利用磁带介质易于离线的特性,我们可以将医院的备份数据运送到远距离的异地进行保存,从而防止大面积灾难性事故造成的数据损毁。