基于CDP技術的醫院信息系統數據備份與保護

王建英　黃士琴

摘要：目的：為滿足醫院信息系統對數據備份及安全防護越來越高的需求，改善傳統的基于各系統進行單獨存儲復制技術的策略已不能滿足目前業務系統多、數據量大且類型多樣的現狀。方法：本文提出了基于持續數據保護（CDP，continuous data protection）技術的數據備份保護整體建設方案，采用專業的CDP備份設備，將存儲管理從業務系統中分離出來。結果：通過在醫院實際應用效果來看，該方案可以有效預防各類故障造成的數據丟失，保證數據及業務能夠快速恢復，將業務宕機時間降至秒級。結論：相比于傳統的數據備份策略，該方案極大地降低了發生故障所帶來的風險，提高了醫院業務運行的效率。

關鍵詞：CDP技術;數據備份;數據安全;醫院信息系統

中圖分類號：TP309.3 文獻標識碼：A 文章編號：1007-9416（2019）08-0167-04

0 引言

隨著醫療信息化建設的快速發展，信息系統作為整個醫療流程的基礎設施，在醫院日常業務中的作用越來越明顯。而隨著醫院信息系統建設的不斷完善，對數據備份及安全防護的需求日漸凸顯[1]。一方面，業務系統的數量不斷增加，管理復雜度提高;另一方面，醫療數據呈幾何增長，數據量大且數據類型多樣化，主要包括病例、用藥、研究成果、醫保財務等，數據涉及到患者的就診記錄及診療費用等重要信息。數據安全和應用安全獲得了更多的關注，一旦應用數據庫被破壞、數據丟失或核心系統無法正常訪問，都會給醫院造成不可估量的損失，都會對醫院正常的醫療秩序產生重大的影響[2]。因此，如何對醫院數據進行合理的管理和保護已經成為系統管理者亟需面對的重要問題。

我院核心業務系統的使用已取代了傳統低效的“以紙傳遞信息”的醫療流程，使醫療效率得到了極大的提升。同時，傳統的備份方案已經不能滿足我院信息系統的備份需求，我院嘗試采用卷級CDP技術的數據備份與保護方案進行數據保護體系的建設。

1 我院信息系統現狀分析

1.1 基本情況

我院核心業務系統有醫院信息管理系統（Hospital Information System，簡稱HIS）、實驗室（檢驗科）信息系統（Hospital Laboratory Information System，簡稱LIS）、圖像存儲與傳輸系統（Picture ArchivingCommunicating System，簡稱PACS）、電子病歷（Electronic Medical Record，簡稱EMR）、手麻重癥系統等。其中HIS、LIS、手麻重癥系統的數據存放在本地硬盤上，PACS和EMR的數據存放在專業磁盤陣列上。

1.2 存在問題

（1）HIS系統業務數據存放在小型機的本地硬盤上，隨著業務量的不斷增高對服務器數據讀寫的壓力也越來也大，會直接影響系統的運行速度;HIS系統無有效的數據回滾機制，一旦該系統遭到病毒木馬攻擊、人為破壞或者運維誤操作導致在數據層出現邏輯錯誤，系統恢復只能恢復到上次定時備份恢復時的數據狀態，這種方式極易造成業務系統數據的丟失。給醫院造成不良影響。（2）LIS、手麻重癥系統為單機運行，這類業務系統存在單點故障隱患，一旦服務器出現硬件故障，將會造成相關業務服務中斷，傳統備份恢復方式，恢復時間較長，且易造成數據丟失，不利于醫院相關業務的快速恢復。（3）目前醫院現有一套虛擬化平臺，目前主要承載醫院非核心業務系統，這類業務系統沒有相關的備份保護措施，一旦相關業務虛機或虛擬化平臺遭到破壞，極易造成相關業務系統的數據丟失。（4）核心業務系統沒有連續數據保護設備，無法保證數據邏輯故障或誤刪除時數據不丟失[3]。（5）核心業務系統一旦出現故障，無法快速恢復業務系統服務，不僅會影響醫院業務的正常運行，還會造成在社會上的不良影響。

1.3 問題分析

以往的備份容災方案通過定時備份、存儲快照等來解決數據保護問題;通過主備雙機高可用等來減少由于故障導致的業務停機時間，這些方案已經不能完全滿足醫院信息化建設的備份與容災要求，原因如下：

（1）定時完全備份、增量備份、差量備份機制，在備份過程中，對生產系統的資源影響較大。（2）定時備份的備份間隔和備份時間窗口較長，發生故障時，有可能會丟失較長時間的數據。（3）備份數據是否正確及可用沒有簡單有效的驗證手段，需要通過恢復演練才能確定備份數據是否可用。（4）各類信息系統的應用和數據類型各不相同，需要根據不同的應用和數據類型制訂不同的備份方案和策略，操作實施和管理維護都較為復雜。（5）主機雙機的集群方案，不能解決誤刪除、木馬攻擊、勒索病毒等導致的數據邏輯錯誤。（6）發生故障后，需要從定時備份集中檢索并恢復數據，恢復時間窗口與數據量成正比，業務中斷的時間較長。

2 醫院數據保護需求分析

醫院信息系統與醫療業務緊密相關，具有一定的特殊性。各個醫院信息化建設的側重點不同，但是對于數據保護的需求主要集中在以下三個方面。

2.1 業務系統連續穩定運行需求

醫院信息系統作為醫療業務流程運轉的載體和基石，需要具有連續穩定的運行能力。我國人口眾多，每個綜合性醫院的患者基數巨大，由于系統低效或不穩定導致的醫療業務中斷不僅會延長患者就診時間，影響患者就診體驗，還可能影響醫療流程的連貫性。因此，確保醫院系統連續穩定的運行是數據備份保護和業務容災方案必須考慮的問題。

2.2 支持各業務系統不同數據類型的備份需求

醫療數據具有數據量大且數據類型多樣的特點。醫療數據包含各種結構化數據表、非（半）結構化文本文檔（XML和敘述文本）、醫療影像等多種多樣的數據存儲形式。比如，純數據（體檢、化驗結果）、信號數據（腦電信號、心電信號等）、圖像（B超、X光、CT等設備檢測結果）、文字數據（主訴、病史、過敏史、病程、檢測報告），以及用于科普、咨詢的動畫、語音和視頻信息等。這些數據會隨著每天的就診人數的增加而快速增長，且與患者密切相關。為此國家發布了專門的法律法規和文件，對各類數據都提出了不同的安全性要求。

2.3 滿足后續業務系統擴展需求，易于維護管理

隨著醫院信息系統的增加，服務器數量也在增加。醫院信息系統不僅包括HIS、LIS、PACS、電子病歷、合理用藥、物資管理、會計核算等核心業務系統，還包括辦公自動化（Office Automation，簡稱OA）、即時通訊、營養訂餐等非核心系統，業務數據多而復雜。因此，健壯、易兼容、可擴展且易于維護管理的數據備份保護方案是十分必要的。

針對上面三個方面的宏觀需求，具體到系統實際的功能上，數據備份及安全防護方案應具有以下功能：

（1）數據的動態紀錄：及時捕獲和記錄數據的變動情況。（2）數據及系統的一體化保護：既要保護所有的業務生產數據，還要保護整個業務系統。（3）保留歷史備份版本：充分考慮到故障出現的不確定性和不可預見性，確保出現故障時，業務數據系統可以恢復到任意時刻的歷史狀態。（4）精細的顆粒化數據恢復能力：實現秒級甚至IO級別的精細度，避免故障發生導致數據大量丟失。（5）快速業務恢復能力：應對任何情況的故障，需要保證業務服務在數分鐘內就可恢復。（6）在線驗證與備災演練功能：為了確保整個備份系統有效可用，需要在不影響業務運行的情況下，提供驗證方法以及災難模擬和恢復功能[4]。（7）簡單有效管理體系：提供統一的管理平臺，圖形化界面以及詳細的管理流程說明，減少管理員負擔，降低管理成本。

3 基于CDP技術的數據備份及業務應急方案

我院采用卷級的CDP技術的數據備份及業務應急方案能夠解決傳統備份未能解決的問題，能滿足醫院信息系統數據保護更高的要求。

3.1 卷級CDP技術的功能特點及優勢

卷級CDP技術是基于塊級的持續數據保護系統的一種實現方式，通過實時監控并捕捉卷或者磁盤上塊級的所有數據改動，提取數據改動的IO指令形成IO日志，傳輸到容災和備份系統進行存儲。CDP數據捕獲及數據存儲原理過程，詳細圖1所示。

與傳統的數據保護技術相比，CDP技術主要有以下幾方面的優勢[5]：

（1）強大的實時備份功能，與快照技術相結合，在網絡層實現塊級的數據保護，實時記錄每一個的數據變化，并在每個時間周期后自動進行快照，快照在線完成，且沒有備份窗口，不消耗主機資源。（2）可以選擇秒級、分鐘級或小時級的連續或定期備份，降低數據丟失的風險。無論出現任何故障，都可以實現故障的迅速排除，并且可在任意時刻提取和驗證數據，備份立即可用，使業務短時間內恢復。（3）利用精簡式復制技術，減少對帶寬的占用，實現簡單的遠程容災應用。（4）通過自動演練功能，可以在后臺自動的驗證備份數據是否正確及可用，確保備份容災系統的正常運行。（5）當出現故障時，可立即在虛擬化平臺上構建出與生產系統完全一致的業務環境并接管業務系統，保證業務系統的連續運行;當故障排除后，可以后臺回遷數據到生產系統，回遷過程中，不影響業務運行。

3.2 系統總體框架

我院通過采用CDP技術，對醫院的HIS、PACS等核心業務信息系統進行容災備份安全防護。我院以CDP技術為基礎的容災備份系統總體構架圖2所示。

（1）配置專用的備份容災服務器，安裝CDP備份容災軟件，以旁路方式接入系統。通過備份容災服務器組建起備份容災管理平臺。硬件情況：2U機架式，高速240G SSD系統盤，8個3.5SAS熱插拔盤位，Xeon六核CPU，64G ECC RAM，2個千兆網口，支持主流Windows、Linux和AIX等操作系統、數據庫、虛擬機和文件備份和恢復、支持斷點續傳功能。（2）在每個待保護的主機上安裝CDP客戶端，通過CDP IO捕獲引擎，實時監控并記錄整個業務系統的數據變化情況，將變化記錄傳輸保存至備份磁盤陣列中。

3.3 系統的軟件架構和核心技術

整體系統在軟件上可以劃分為三個子系統，分別是客戶端子系統、備份服務器子系統、容災子系統，如圖3所示。

客戶端子系統接受備份服務器子系統的控制，負責抓取生產系統上的要保護磁盤的有效數據及每次寫操作的IO數據，通過iSCSI協議發送給服務器子系統。

備份服務器子系統是整個系統的控制中心，以B/S架構提供CDP備份及容災的配置及管理界面，同時備份服務器子系統也是整個系統的數據存儲中心，為客戶端子系統和容災子系統提供基于iSCSI的鏡像磁盤和快照磁盤，對客戶端子系統發送來的IO數據，打上時間戳并記錄到IO日志中，根據IO日志可生成任意時間點的數據。

容災子系統利用ESXi等虛擬化平臺，可在虛擬化容災平臺上快速的構建容災和演練站點，利用iSCSI發起程序連接服務器子系統提供的任意時間點的快照磁盤，將快照磁盤以裸映射的方式提供給容災虛擬機使用，可通過演練機檢查數據的完整性和一致性，在必要時可開啟接管機接管生產系統的業務，保障客戶的數據安全及業務連續性。系統總體的原理圖如圖4所示。

系統的核心技術如下。

（1）IO數據截獲技術：在生產系統上的文件系統層和磁盤層之間插入卷鏡像驅動，之后所有對卷的寫操作都會被卷鏡像驅動截獲到，驅動將截獲到的變化數據同步或者異步的寫入CDP備份服務器上的鏡像盤中，實現對生產系統數據的實時備份。卷鏡像驅動流程圖5所示。（2）CDP數據存儲技術。CDP服務端通過虛擬塊設備驅動虛擬出一個塊設備來，該虛擬的塊設備通過iSCSI協議或FC協議提供給客戶端作為鏡像磁盤，CDP客戶端通過volume filter driver（卷鏡像驅動）將源卷的寫操作，同步或異步分發一份到鏡像盤上，備份服務端虛擬塊設備驅動能感知到鏡像盤上的每一次IO數據變化，對每一次的IO數據變化發生的時間、對應的扇區塊及實際的IO數據記錄到CDP數據區中，實現CDP備份功能。CDP數據存儲技術原理圖6所示。（3）指定時間點快速掛載技術。備份服務端通過掃描CDP數據區中的IO日志，查找指定時間前且最接近指定時間點的所有IO變化，記錄到IO映射表中;備份服務端虛擬塊設備驅動生成一個虛擬塊設備，根據上一步的映射表重定向讀寫請求，則虛擬塊設備中的數據就是指定時間點的完整數據。快速掛載不需要進行數據的移動、恢復等操作，僅僅需要掃描一次IO日志，可以在數秒內完成指定時間點的數據的快速掛載。

3.4 系統運行機制

基于核心業務系統連續性服務的要求，確保業務系統的7*24h不間斷運行，采用卷級CDP持續數據保護技術的一對多應急接管業務連續性管理方案。整個容災方案架構圖如圖7所示。

在機房業務網交換機中，通過出廠配給的千兆網線連接內置虛擬化備份容災平臺一體化設備，在應用服務器上安裝應用容災代理。服務器將自動識別到已安裝應用容災代理的應用服務器。應用服務器、生產服務器的系統盤和數據盤將通過設定的容災平臺備份策略（卷級CDP實時備份技術），將數據備份至內置虛擬化容災平臺中對應的容災虛擬機（包含生產機系統、網絡配置等）。實時數據復制機制使得容災虛擬機與生產服務器的數據保持一致性和可用性，完成容災接管的基本環境。容災服務端容災接管功能會通過故障診斷模塊自動檢測生產服務器的運行狀態，當生產服務器出現故障時，由容災服務器自動或手動接管故障服務器。生產服務器恢復正常后，通過數據智能回遷機制將容災虛擬機中的數據反向同步至生產服務器上，然后按事先設定的方案，將應用服務切換回生產服務器。

正常情況下，本地容災平臺會提供自動演練機制，每天把最新的數據備份快照鏡像加載到虛擬機，進行源系統的鏡像模擬，然后校驗對應虛擬機數據、系統服務、文件等的可用性、完整性。校驗內容包括：WindowsService、File、EventLog、DataBase（MSSQL、Oracle）等。并發送自動演練報告至管理員郵箱或手機。確保每天的備份正常，并且可以在災難發生時即刻恢復生產服務。

3.5 系統故障恢復機制

（1）文件恢復。用于恢復由誤刪除、誤操作導致的文件丟失。使用CDP快照回滾，通過查找歷史快照找到所需文件，并將其復制到業務服務器中。（2）服務器系統故障恢復。業務服務器系統受病毒木馬、人為誤操作、軟硬件故障等影響導致的系統錯誤或系統崩潰，采用LiveCD技術將可用歷史版本引導恢復到業務服務器的存儲設備上，重新啟動業務服務器即可恢復系統。

3.6 整體方案優勢

（1）應急接管。系統支持容災機任意時間點的應急接管，當生產服務器宕機，可以手動、自動啟動容災機接管當前生產業務，且保持原有生產機的保護策略，保障業務持續運行。（2）自動演練。系統支持容災機的自動演練，無需人工干預，自動進行系統日志校驗、文件校驗、服務校驗、數據庫腳本校驗，保證數據可用性，演練完成后，根據演練時設定的校驗項生成數據演練校驗的報告，發送至管理員郵箱。（3）數據掛載。容災數據通過掛載的方式呈現出來，且掛載的數據可讀可寫，用戶可以根據實際場景進行任意時間點的數據掛載，恢復自己想要的歷史數據。（4）數據回遷。當生產服務器故障修復后，可以啟動系統PE將所有數據（包含接管后的數據）回寫到生產服務器，之后由生產服務器繼續向外提供服務。（5）策略下發。所有裝有容災代理的業務主機會自動被容災服務器（即CDP Server）識別，之后系統管理員可在Web界面，依據不同需要對各個業務主機配置相應的保護策略，操作簡單，維護方便。（6）極簡部署。部署簡單，與應用無關，不需要預先安裝與源環境一樣的系統與應用，節約部署周期。

4 結語

傳統存儲備份技術已經不能適應目前醫院信息系統對于數據保護的需求，根據醫院的具體環境，我們將CDP技術合理應用到醫院信息系統建設中，制定合理有效的數據備份及安全防護方案，搭建相應的CDP備份容災系統，確保醫院現有的業務系統服務器只需關注業務的穩定運行，提高醫療效率。CDP備份容災系統可實時進行數據備份及安全防護，在故障發生時，將業務宕機時間降至分鐘級。CDP技術的應用，全面提升了醫院業務信息系統的瞬間恢復和系統保護能力，極大地降低了故障發生帶來的風險，使醫院信息系統能真正進入到安全可靠的狀態中。在提高醫院的經濟效益和服務質量的同時，真正的服務于患者，服務于社會。

隨著信息化建設不斷快速發展，信息系統所面臨的各類自然的或不確定的安全威脅將越來越多。因此，持續關注新技術的發展，將新技術與醫院環境相結合，構建更加安全更加可靠的數據備份及安全防護機制將成為我們今后信息化建設的重要課題。

參考文獻

[1] 王建英，陳文霞，胡雯，張鵬.醫院信息安全分析及措施[J].中國病案，2013，14（956-57+47）.

[2] 劉志國，王建，李麗.醫院信息系統災備方案的探討和實踐[J].醫療衛生裝備，2016，37（04）：66-69.

[3] 王元東，羅娟，符峰釗，郭平彩，彭玲.低成本構建中小型醫院信息系統容災備份方案的設計分析[J].實用醫藥雜志，2019，36（02）：182-184.

[4] 李洪波，朱雪波，張冀.基于分布式數據庫的容災系統的研究與應用[J].電腦與電信，2010（02）：75-77.

[5] 薛倉.多級數據容災系統的設計與實現[J].中國科技信息，2013（02）：91+95.

Date Backup and Protection of Hospital Information System Based on Technology

WANG Jian-ying，HUANG Shi-qin

（Department of Information， the Fifth Medical Center of Chinese PLA General Hospital

（Former 307th hospital of the PLA），Beijing? 100071）

Abstract：Purpose： order to meet the increasing demand for data backup and security protectionof hospital information systems， the traditional strategy of implementing separate storage and replication technologies based on each system cannot meet the current status of many business systems， large data volumes and various types. Methods： paper proposed the overall construction scheme of data backup protection based on continuous data protection （CDP） technology， in which the storage management is separated from the business system by using professional CDP backup equipment. Results： application in hospitals showed that this proposed scheme can effectively prevent data loss caused by various kinds of faults， ensure rapid recovery of data and business， and reduce downtime to seconds. Conclusion： with traditional data backup strategy， this proposed scheme greatly reduces the risk of faults and improves the efficiency of hospital business operation.

Key words：CDP technology; Data backup;Data security; Hospital information system