医院信息系统应用级容灾体系的建设与实施
洪怀江,马晟杰
丽水市中心医院 信息中心,浙江丽水 320000
[摘 要]本文详细介绍了医院信息系统的应用级容灾体系的建设和实施过程。 为确保我院医院信息系统(HIS)业务正常运行,并保证其在发生灾难时也能在短时间恢复业务正常,我院在计算机房进行应用级容灾系统建设,系统部署包括3部分:业务系统端部署、容灾系统端部署和WEB管理端部署。
[关键词]医院信息系统;容灾系统;数据备份;网络安全
20世纪90年代以来,我国各大医院纷纷建立了以医院管理为核心的医院信息系统(HIS)。2000年以后,我院先后建立了PACS(医学影像存储与传输系统)、RIS(放射信息管理系统)、LIS(实验室信息管理系统)、EMR(电子病历)系统等,使医院业务量持续增长,数据信息量也在成倍地增长。医院业务对信息系统的依赖程度也在加强,一旦信息系统发生灾难,将会导致病人无法就诊,医生无法看病,将会使医院就诊处于无序状态。虽然国内外很多医疗机构早在大数据信息时代来临之际就着手加强对业务连续性系统的建设工作。但是,直到2001年911事件发生之后,世贸大厦里的大量数据化为乌有,导致大厦里的许多公司由于数据丢失而倒闭,这时人们才真正认识到灾备建设的必要性、重要性,并投入大量财力、物力保证业务系统的可靠性和连续性[1]。
如何确保医院核心业务系统安全、可靠地运行,以及在发生服务器、存储器、数据库故障时仍能确保整个业务信息系统稳定运行和数据安全是医院IT人员重点思考的问题[2-3]。其次为提高业务系统性能,降低外围业务对业务系统的压力,将部分分析数据与统计业务数据分离到容灾系统,也是本文考虑解决的问题。
1 我院现状及需求
目前,我院HIS数据库总数据量为127 GB左右,EMR数据库为278G左右。为避免数据丢失造成严重损失,我院对核心数据库进行了异地备份。采用IBMP720小机+SAN交换+IBM DS5020存储以及Oracle 10g2数据库和AIX6.1操作系统。利用OGG(数据复制技术)将源数据库的在线日志或归档日志获得的数据增删改变化应用到目标数据库,实现对核心数据库的备份[4]。
HIS是医院的核心业务系统,医院的业务基本上都是围绕着HIS开展,一旦HIS出现故障,病人无法正常就诊、交费、取药,医生开不了处方、医嘱、检验单、检查单,相关检查科室取不到病人的基本信息,造成病人情绪不稳定,医院处于全面瘫痪状态[5]。我院目前用两台IBM P550小机+双SAN交换+双IBM DS4700存储,虽然避免了单点故障的风险,但机房物理环境发生灾难性事故,还是存在着相当大的风险;虽然有异地备份机制,但数据从备份恢复到正常需用时间周期长,并需要对客户端进行相应配置更改。如何在短时间内恢复HIS的运行,减少信息系统故障对病人、医务人员、社会造成的影响仍是迫切需解决的问题。
2 应用级容灾的方案设计
2.1 容灾系统拓扑架构
为确保我院HIS业务正常运行,并保证在发生灾难时也能在短时间恢复业务正常,我院在外科大楼6层计算机房进行应用级容灾建设,利用原有的IBMP720小机+SAN交换+IBM DS5020存储以及Oracle 10g2数据库和AIX6.1操作系统进行应用级容灾部署。应用级容灾部署后可以在业务系统和容灾系统之间形成相互切换、相互恢复的容灾关系。当业务系统出现异常或计划内维护时,业务系统可以简单地切换至容灾系统,容灾系统替代业务系统提供服务;业务系统硬件设备复原之后,容灾系统可以回切至业务系统运行[6]。我院应用级容灾的总体架构图设计,见图1。
图1 应用级容灾的总体架构图
2.2 容灾管理平台的部署
Trust DBRA(灾难备份系统)的部署分为3部分:业务系统端部署、容灾系统端部署和WEB管理端部署。
(1)业务系统端部署:Trust DBRA在业务系统的数据库实例上安装一个Trust Diaster Backup Client Agent for Oracle(Trust Log Capture Service和 Trust Log Transfer Service),用来获取Online redo log数据和传输Redo log数据[7]。如果需要进行应用服务器和文件数据同步,则需要同时部署Trust Backup Client Agent for App。
(2)容灾系统端部署:Trust DBRA在容灾系统为每个对应的Client Agent安装Server模块。多对一的部署方式,只需安装一个Server模块;一对一的部署方式,需要安装多个Server模块。
(3)WEB管理端部署:WEB管理端主要用来实现容灾系统的WEB管理,可以实现多项任务合一模式下的集中化管理,包括总体监视、切换、容灾操作、作业信息检查、活动站点管理等功能。
3 容灾切换技术及实现方式
3.1 数据库复制技术
Oracle数据库发出事务更新,日志写入进程(LGWR),即完成Online Redo Log的写入过程。具体过程是Trust Log Capture Service 实时读取生产端在线日志信息,由Trust Log Service同步到灾备中心端写日志数据;在灾难备份中心,Trust 灾备Server进程接收Trust Log Service传送过来的数据并且生成对应的灾备端的Online Redo Log数据,在业务系统进行Log switch的时候同步在灾难备份中心完成Log Switch,在灾备端Trust Apply Service通过Oracle Physical Recover机制把相关Online Redo Log日志内容更新到灾备中心数据库(实时更新模式)或者直接把归档内容更新灾难备份中心数据库(异步模式),实现容灾库与生产库的实时同步[8],见图2。
图2 数据库复制技术示意图
3.2 应用复制技术
中间件(应用)同步简称APP同步,主要实现单个文件、多个文件、目录、文件系统等内容的数据同步。APP同步可以安装在数据库服务器上,也可以安装在中间件服务器或文件服务器上。APP同步时间间隔以分钟为单位计算,时间长度可以按实际需要进行调整,一般不建议间隔时间太短,如>5 min。APP同步缺省以首次全量同步,然后以增量同步的模式进行;每次增量同步时,自动检查同步内容的文件时间和文件大小,若遇到文件时间和文件大小不一致时,会自动同步整个文件至容灾服务器。APP同步支持断点续传功能,若遇到文件传输过程中出现意外,导致文件内容不完整等情形时,APP同步在增量扫描中会自动检测到该文件,并实现断点续传功能。APP同步在遇到文件传输成功结束时,会自动校验文件,以确认文件内容和生产端文件内容是否完全一致。
3.3 局部灾难切换方式
在生产中心发生局部灾难时,比如HIS本身发生灾难(HIS服务器、存储损坏等)致使HIS服务中断,但HIS相关外围接口系统及其他系统完好。此时可将HIS切换至灾备中心,其他系统在生产中心运行。切换方法如下:
(1)通过Trust DBRA切换管理平台,进行灾备切换操作:① 停止生产端应用,停止生产端中间件数据库,停止生产端数据库(这个步骤在实际发生时,可能无需进行);② 切换IP地址(要求在二层网络下操作);③ 启动灾备端数据库、灾备端中间件、灾备端应用。
(2)由于生产中心其他应用系统、网络处于正常运行状态,因此,网络不需要切换至容灾汇聚点,而是通过生产汇聚点,访问灾备中心的HIS数据库。
(3)根据备份策略,进行HIS的系统数据备份。
3.4 整体性灾难切换方式
当整个生产中心发生灾难或机房停电、火灾、地震等情况下,所有应用系统不可用,将其切换到灾备中心运行。可通过如下方式和步骤来进行切换:
(1)通过Trust DBRA容灾切换平台,根据预先制定的灾难应急预案,进行应用级容灾切换:① 停止生产端应用及数据库;② 启动灾备端数据库、启动灾备端中间件、启动灾备端应用;③ 启动各业务系统的灾备端数据库、中间件和应用程序。
(2)通过三层网络容灾汇聚点,访问灾备中心的业务系统。
(3)业务系统在灾备端运行后,根据预先制定的备份策略,进行应用系统备份和数据库数据的备份。
4 容灾活动站点的管理
为了减轻生产端负载,以及充分利用现有设备资源提高经济效益,在容灾节点通过启动Trust DBRA站点来提供Oracle数据库的活动数据查询能力,分流主数据库的压力。在相关查询的客户端的tnsnames.ora文件中配置相关容灾节点信息,这样就能将相关的查询和数据统计业务分担给容灾端[9]。
5 容灾应急系统建立的意义
(1)容灾端建设后,我院定期组织相关人员进行信息系统故障应急演练,提高临床医务人员处理信息系统故障能力,并在演练后形成书面总结报告,为以后系统维护提供应急方案[10-11]。
(2)实现院内异地灾备建设,确保发生灾难时信息数据的安全性和完整性。
(3)保证了医院业务的连续性。我院IBM P550小机+IBMDS4700已运行多年,不时会出现一些硬件故障,在未建设容灾系统时,进行硬件更换时需要关闭Oracle数据库并停机,造成业务中断。建了容灾系统后,当业务系统出现异常或计划内维护时,业务系统可以简单的切换至容灾系统,容灾系统替代业务系统提供服务;业务系统硬设备复原之后,容灾系统可以回切至业务系统,并保持业务的连续性,数据的完整性。
(4)把相关数据统计、数据分析等业务的客户端指向灾备端,提高了灾备端设备资源利用率,减轻了生产端的运行压力,已取得了良好的经济效益和社会效益。
[参考文献]
[1]翁锦阳,何萍,朱铁兵.大型医院信息系统的容灾设计和应用[J].医院数字化,2011,(1):59-61.
[2]夏旭.无线网络在医院信化中的应用优势及不足的探讨[J].信息与电脑,2011,(6):124.
[3]刘传高.浅谈医院信息系统的安全管理[J].中华全科医学,2012,(9):1474-1475.
[4]武冬春.基于GoldenGate技术实现关键业务容灾的解决方案[J].信息通信,2013,(7):232-233.
[5]王晨光.医院信息系统(HIS)安全维护措施探讨[J].中国医学创新,2013,(14):77-78.
[6]刘跃,宋兵.信息系统异地容灾技术探讨[J].中国传媒科技,2012,(12):74-77.
[7]邹先霞,贾维嘉,潘久辉.基于数据库日志的变化数据捕获研究[J].小型微型计算机系统,2012,(3):531-536.
[8]李民,曹阳.基于Oracle Data Guard构建医院信息系统的容灾备份方案[J].医院数字化,2012,(8):45-47.
[9]江英琴.基于日志复制技术的容灾系统研究与应用[J].电子技术与软件工程,2014,(12):217-219.
[10]王玉珍,孙巍,郭建魁.医院网络入侵检测系统联动策略的实施[J].中国医疗设备,2015,30(8):87-89.
[11]王栩,刘佳.大型医院HIS系统应急方案全流程[J].计算机软件光盘与应用,2012,(11):143-144.
Construction and Implementation of the Application-level Disaster Tolerant System in the Hospital Information System
Abstract:This paper introduced in details the implementation process of the application-level disaster tolerant system in the hospital information system.To ensure the proper function of the hospital information system (HIS),as well as to ensure the recovery of the HIS within short period of time during disaster,our hospital constructed the application-level disaster tolerant system,which includes three parts: business system end deployment,disaster tolerant system end deployment,and WEB management end deployment.
Key words:hospital information system;disaster tolerant system;data backup;network security
HONG Huai-jiang,MA Sheng-jie
Information Center,Lishui Central Hospital,Lishui Zhejiang 323000,China
[中图分类号]TP393.08
[文献标志码]A
doi:10.3969/j.issn.1674-1633.2016.04.025
[文章编号]1674-1633(2016)04-0100-03
收稿日期:2015-10-26
修回日期:2016-02-23