很多醫(yī)院在信息系統(tǒng)建設規(guī)劃初期，都會向HIS軟件的供應商或系統(tǒng)集成商提出設計一個“應急服務器”的要求。

    所謂應急服務器，是指即使發(fā)生了非常嚴重的災難性事故導致醫(yī)院一線系統(tǒng)癱瘓之后，仍然能夠保證醫(yī)院業(yè)務（至少部分關(guān)鍵的科室，如：門急診）繼續(xù)運行的服務器。因此醫(yī)院的應急服務器應該具有以下特點：

    1. 這是一套二線備用系統(tǒng)，應該具有運行門急診業(yè)務所需要的一切資源，包括服務器等硬件，以及后臺數(shù)據(jù)庫、應用程序、中間件等等；

    2. 應急服務器并不是群集系統(tǒng)中的熱備服務器，它不能在無人干預的情況下自動切換上線，應急服務器系統(tǒng)的啟用必須要有管理人員的確認；

    3. 應急服務器并不是備份服務器，醫(yī)院所能忍受的數(shù)據(jù)丟失量（Recovery Point Objective）在秒級到分鐘級，恢復時間（Recovery Time Objective）在分鐘級到小時級；

    4. 應急服務器與傳統(tǒng)意義上的備份服務器在功能上有重合，也有互補；

    5. 為了避免因核心交換機故障等問題導致系統(tǒng)完全不可用，應急服務器應該盡可能靠近門急診科室操作終端；

    二、解決方案

    應急服務器并不是一臺簡單的服務器，它是一個隨時可以啟用的HIS系統(tǒng)后臺資源的整合。所以，我們需要全面考慮應用的要求，從而設計出量身定制的醫(yī)院應急服務器解決方案。

    2.1 數(shù)據(jù)傳遞

    首先，我們需要考慮一線系統(tǒng)的數(shù)據(jù)如何傳遞到二線系統(tǒng)（也就是應急服務器）。

    由于醫(yī)院系統(tǒng)RPO要求非常高（如果啟用應急服務器就必須損失一天的數(shù)據(jù)，那么，這個應急服務器的解決方案是無法滿足醫(yī)院要求的），傳統(tǒng)的時間點備份往往無法滿足要求。所以，采用實時復制技術(shù)將一線數(shù)據(jù)實時復制到二線系統(tǒng)才是真正可行的手段。

    VERITAS作為災難恢復領(lǐng)域的領(lǐng)導廠商，為醫(yī)院提供了功能強大、靈活易用的數(shù)據(jù)復制產(chǎn)品和解決方案來滿足醫(yī)院的需求。

    不論醫(yī)院的一線系統(tǒng)是單機服務器、雙機熱備系統(tǒng)還是2+2的群集系統(tǒng)，作為數(shù)據(jù)復制軟件來說，都可以看作一個整體，將一線系統(tǒng)的數(shù)據(jù)實時復制到二線系統(tǒng)。如下圖所示： 

    采用VERITAS Volume Replicator或者VERITAS Replication Exec實現(xiàn)數(shù)據(jù)的實時復制，為應急服務器提供了最短時間差的業(yè)務數(shù)據(jù)。在正常情況下，如果一線系統(tǒng)的數(shù)據(jù)丟失，那么應急服務器中的數(shù)據(jù)滯后應該在秒級到分鐘級。

    同時，復制過來的數(shù)據(jù)可以立即使用，為接下來的應急啟用提供了很好的基礎。

    2.2 應急啟用

    有了數(shù)據(jù)之后，我們還要考慮如何啟用應急服務器的問題。一旦一線系統(tǒng)發(fā)生停機，并且判斷無法在短時間內(nèi)恢復使用的時候，如何快速啟用應急服務器系統(tǒng)？對于這個問題，我們應該分成兩部分來分析。

    1. 一線系統(tǒng)停機的情況一定需要管理人員的判斷，對于是否啟用應急服務器，應該同時考慮到停機時間和數(shù)據(jù)丟失量兩方面的平衡；

    2. 應急服務器的啟用可以有自動化啟用和手工啟用兩種方式，需要根據(jù)具體要求選擇合適的手段。

    對于如何判斷是否應該啟用應急服務器系統(tǒng)，需要綜合考慮各方面因素（如：一線系統(tǒng)數(shù)據(jù)是否存在、一線系統(tǒng)預期恢復時間、可能的數(shù)據(jù)丟失量、啟用應急服務器之后重新還原到一線系統(tǒng)的工作量等等），結(jié)合醫(yī)院自身的特點和要求，制定相應的應急響應策略。

    VERITAS Storage Foundation DR解決方案為應急服務器的啟用提供了自動化、易于使用的技術(shù)手段。一旦一線系統(tǒng)停機之后，Storage Foundation DR可以后臺將相應的服務資源（如：磁盤、文件系統(tǒng)、數(shù)據(jù)文件、IP地址等等）準備起來，等待用戶的確認，只要管理人員確定要起用應急服務器，此時只需要簡單地單擊鼠標就可以完成應急服務器的啟用。

    當然，您也可以手動啟用應急服務器，但這需要一定的技術(shù)經(jīng)驗作為基礎。

    2.3 系統(tǒng)還原

    應急服務器的啟用是為了在緊急情況下保證醫(yī)院業(yè)務系統(tǒng)的運行（至少門急診業(yè)務），當一線系統(tǒng)恢復正常之后，應急服務器應該能有一個簡單易行的手段將最新的數(shù)據(jù)交還給一線系統(tǒng)，恢復全院業(yè)務從一線系統(tǒng)運行的正常狀態(tài)。

    VERITAS Volume Replicator和VERITAS Replication Exec軟件的設計充分考慮了系統(tǒng)還原的要求，為系統(tǒng)資源的切換和數(shù)據(jù)的反向復制的實現(xiàn)提供了強大的支持。

    2.4 時間點備份的必要性

    雖然實時復制技術(shù)滿足了醫(yī)院數(shù)據(jù)保護在RPO和RTO方面的高要求，但仍然有必要對系統(tǒng)進行完全的時間點備份。

    由于實時復制不能保存多個時間點的數(shù)據(jù)副本，所以，實時復制對于誤操作、軟件漏洞、病毒破壞等造成的數(shù)據(jù)邏輯性失效是無能為力的。唯一有效的辦法就是通過時間點備份的方式保留多個不同時間點的數(shù)據(jù)副本，一旦發(fā)生數(shù)據(jù)邏輯性失效的時候，我們就可以通過恢復在錯誤發(fā)生之前的數(shù)據(jù)副本來找回正確的數(shù)據(jù)。

    另外，醫(yī)院數(shù)據(jù)的遠距離容災保護并未得到充分的重視，這也是由于醫(yī)院往往沒有遠距離的分支機構(gòu)以及相應的網(wǎng)絡鏈路造成的。但實現(xiàn)醫(yī)院數(shù)據(jù)的遠距離容災卻是非常有必要的。利用專業(yè)數(shù)據(jù)備份軟件完善的備份管理機制以及磁帶介質(zhì)易于離線的特性，我們可以經(jīng)濟有效地實現(xiàn)一個磁帶容災解決方案。每天將備份好數(shù)據(jù)的磁帶運送到異地，可以為醫(yī)院的IT系統(tǒng)提供最后一道保險：即使醫(yī)院所在的地點因為地震、洪災等大面積災難事故，醫(yī)院寶貴的業(yè)務數(shù)據(jù)仍然能夠從異地的磁帶介質(zhì)中恢復出來。

    三、應用效果

    實際上，本方案的設計是考慮為醫(yī)院的信息系統(tǒng)建立二線以及三線的備用系統(tǒng)。采用實時復制技術(shù)是醫(yī)院應急服務器解決方案的關(guān)鍵，這使得應急服務器獲得的數(shù)據(jù)與一線系統(tǒng)最新的業(yè)務數(shù)據(jù)的時間差大大縮短，從而降低了應急服務器啟用的代價。 

    一旦一線系統(tǒng)發(fā)生停機事件，應急服務器內(nèi)存儲的數(shù)據(jù)與一線數(shù)據(jù)的時間差由原來的天、小時級縮短到現(xiàn)在的分鐘、秒級。如果采用VERITAS Storage Foundation DR解決方案，還能為用戶提供自動化的資源切換，等待用戶確認，管理人員只需要簡單地單擊鼠標即可完成應急服務器的啟用。

    另一方面，基于時間點的備份避免了因數(shù)據(jù)邏輯性失效帶來的風險，如果醫(yī)院因為誤操作、軟件漏洞等造成數(shù)據(jù)不可用，則可以通過恢復錯誤發(fā)生前的數(shù)據(jù)副本找回正確的數(shù)據(jù)。

    最后，利用磁帶介質(zhì)易于離線的特性，我們可以將醫(yī)院的備份數(shù)據(jù)運送到遠距離的異地進行保存，從而防止大面積災難性事故造成的數(shù)據(jù)損毀。

多易

<bdo id="yy1ga"></bdo>