《医院信息系统安全与cdp 容灾系统设计》由会员分享,可在线阅读,更多相关《医院信息系统安全与cdp 容灾系统设计(5页珍藏版)》请在金锄头文库上搜索。
1、 1372医院信息系统安全与 CDP 容灾系统设计 医院信息系统安全与 CDP 容灾系统设计 许武 谭向阳 张弘涛 黑龙江省医院,150001,哈尔滨市南岗区果戈里大街 405 号 黑龙江中医药大学附属一院,150040,哈尔滨市动力区和平路 26 号 关键词 关键词 信息系统安全 容灾备份 CDP 数据保护 业务持续性 摘 要摘 要 医院信息系统是现代医院运营的数据基础平台, 保持系统的可用性和业 务连续性变得越来越重要, 建立灾难备份等安全管理系统能使信息系统在遭遇故 障或意外灾难时,保障业务的持续性,最大化地降低损失。通过设计分析和部署 灾难恢复系统的经验,表述了采用 CDP 数据保护技
2、术构建医院容灾系统的优势。 医院信息系统是一个数据量庞大、数据类型复杂和事务并发多的实时系统, 随着信息系统管理功能范围的不断拓展和功能模块的完善, 医院医疗日常工作对 信息系统的依赖逐渐加强,其所承担的任务和压力也越来越大,系统面临着数据 完整性、安全性、可用性等方面的严重压力。加之医院业务流程的特殊性,任何 原因导致信息系统出现故障, 引发系统中断将给医院造成无法挽回的经济和声誉 损失。对于一个安全可靠的系统来说,如何保证系统 7*24 小时的连续运行就显 得尤为重要。不仅要考虑整个系统的安全备份问题,同时还要保证在系统出现故 障时能保持业务的连续性和数据的完整性。 新概念的 CDP 数据
3、保护技术为构建医 院系统安全与容灾提供了良好的方案借鉴。 1 系统安全与容灾设计 1 系统安全与容灾设计 1.1 系统安全潜在的风险 1.1.1 网络与传输1.1 系统安全潜在的风险 1.1.1 网络与传输 医院信息化建设之初由于设计人员难以预料网络技术的发 展过程及壮大程度,通常网络架构存在着先天不足。如网络布线铺设不合理;网 络终端节点的增加简单随意,网络结构不合理,传输效率低;网络设备陈旧、可 靠性差,与新设备兼容性差;网络系统应急备份方案实施不到位等,当网络发生 故障后将造成信息系统大范围崩溃,甚至导致系统停止。 1.1.2 病毒感染1.1.2 病毒感染 病毒是医院内部网络安全隐患的重
4、要来源之一。当前病毒的发 展已进入一个网络传播破坏时代,它们可大量消耗主机和网络资源,一旦进入医 院内网络将使系统造成难以估量的损失。 1.1.3 容灾计划及处置手段1.1.3 容灾计划及处置手段 现有系统应用/数据安全性能较差,重要数据缺乏 可靠的备份、容灾和恢复措施,不能应对基础设施灾难(比如:机房电力故障、 火灾、磁盘阵列硬件故障等)和软灾难(比如:人为操作失误、系统软件 BUG、 病毒、 黑客等) 的中的任何一种。 遇到灾难时, 丢失的数据量无法得到恢复保证, 业务中断时间也无法得到保证。另外由于服务器本身的技术条件的限制,操作系 统容易发生崩溃,导致业务长时间中断,无法迅速恢复。 遇
5、到灾难不能保证明确的恢复时间目标(RTO:Recovery Time Object,恢 复时间目标,是指信息系统从灾难状态恢复到可运行状态所需的时间,用来衡量1373容灾系统的业务恢复能力) 。 遇到灾难不能保证明确的恢复点目标(RPO:Recovery Point Time,恢复点 目标。是指业务系统所允许的在灾难过程中的最大数据丢失量 ,用来衡量容灾 系统的数据冗余备份能力) 。 灾难备份的几种模式 灾难备份的几种模式 2.1“2+1”模式2.1“2+1”模式 两台服务器连接一台磁盘阵列,两台服务器同时在线,一台做 主服务器,一台做备份服务器,当主服务器出现故障时备份服务器可以自动接替 主
6、服务器的工作。但一旦磁盘阵列发生故障,则整个系统将停止运行。此模式优 点是投资少,无数据损失;缺点是有单点故障。 2.2 “2+2”模式2.2 “2+2”模式 两台服务器连接两台磁盘阵列,两台服务器和两台磁盘阵列 均同时在线。用管理软件实现两台磁盘阵列之间的镜像,每次服务器的数据都同 时写入两台磁盘阵列,这样两台磁盘阵列中的数据完全保持实时同步。优点是无 单点故障,无数据损失;缺点是投资大,不易管理。 2.3 精简“2+2”模式2.3 精简“2+2”模式 两台服务器连接一台磁盘阵列,但磁盘阵列柜中采用双 阵列卡,分别通过光纤接到服务器上。这样就避免了单点故障,同时也节约了投 资。 2.4 异地
7、备份系统2.4 异地备份系统 为加强系统容灾能力,在主机房所在楼宇以外的机房设立备 份服务器系统。当主机房发生灾难事故时,可以通过更改异地备份服务器的名称 或 IP 地址,在最短的时间内恢复系统运行。但可能会有少量的数据损失。 2.5 数据备份2.5 数据备份 每天晚间在系统业务稍空闲的时段设置策略,利用后台任务自动 将系统数据备份到磁带和备份服务器上,并在备份服务器上恢复数据库,磁带则 可每天更换异地存放。这样就可以在系统出现故障时实现数据的快速恢复可用。 2.6 CDP 数据保护模式2.6 CDP 数据保护模式 CDP 是一种在不影响主要数据运行的前提下,可以实现 持续捕捉或跟踪目标数据所
8、发生的任何改变, 并且能够恢复到此前任意时间点的 方法。 CDP 系统能够提供块级、 文件级和应用级的备份, 以及恢复目标的无限的、 任意可变的恢复点。具体实现手段如有:数据保护可以方便的通过 IP 网络远程 复制, 基于数据差量微扫描技术, 只传输数据的增量和变量, 对网络带宽要求低; 复制策略支持时间周期复制模式、变化量阈值触发模式、连续复制模式;通过 TimeMark 技术,支持对单个数据卷创建至少 255 个快照点保护等。对于所有系 统的保护均不改变任何系统现状,轻松实现灾难防御体系,适合用户不同的应用 场合需求。 灾难恢复 CDP 系统设计 灾难恢复 CDP 系统设计 3.1 容灾备
9、份系统建设要预先考虑的几大因素3.1 容灾备份系统建设要预先考虑的几大因素 3.1.1 灾难的防御范围3.1.1 灾难的防御范围 明确系统可能承受的灾难类型, 如系统故障、 通信故障、 长时间断电、火灾及地震等各种意外情况,不同的防范体系所采取的备份、保护 方案将有很大差异。据相关机构调查分析:硬件故障、人为错误、软件错误居信 息系统故障发生概率的前三位,自然灾害引发的事件概率较小,但由于其破坏力 极强,是灾备系统防御必须考虑的重要问题。 除了人们已知的各类自然灾害、设备故障外,是否需要防范人为的数据篡改 或丢失(如人为的失误型故障、黑客攻击、断点等),容灾实现的技术保护手段在1374抗击这两
10、类灾难时一般是有区别的。 传统的容灾手段重点集中在大站点类灾难的 恢复能力上(主要指自然和电力等灾难),防范软件和人为错误的(如各类失误的 恢复上)能力一般不具有或很差,因此传统的容灾系统并不具有涵盖全系列灾难 防范的内容。而新一代的 CDP(连续数据保护)的容灾技术就加入了全面的灾难防 御体系,而且将自然灾害、人的灾难等等要素都予以全面的考虑。 3.1.2 容灾系统对医院现有业务的影响程度3.1.2 容灾系统对医院现有业务的影响程度 一般医院的信息系统均为 24 小时 在线的生产系统,设计灾备系统时应首先要保证不更改原有生产系统的结构,否 则可能产生对现有系统状态的破坏和增加不稳定因素;其次
11、,容灾系统的实施应 采取最为简易和快捷的方式,具有可操作性、可控性,实施周期要短,后期维护 过程是否简捷等, 这些因素往往决定了容灾系统今后的维护和运营成本和对生产 系统的影响,以及容灾系统建设的成功率。 3.1.3 容灾系统技术维护难易度3.1.3 容灾系统技术维护难易度 很久以来由于容灾技术的复杂性和高成本性, 使得许多容灾系统建设都呈现出后期维护难度大、 灾备演习难度大的特征。 因此, 选择容灾技术方案应考虑到技术实现和管理的友好性和简易性。 3.1.4 容灾技术手段的兼容性3.1.4 容灾技术手段的兼容性 这是目前容灾体系技术路线中最为困扰的因素。 混合系统容灾、开放设备的选择常使得用
12、户的理想与技术现实形成障碍。如果能 够在建立容灾系统时,充分考虑采用面向未来的技术,这样就可以形成长期受益 的良好架构,使得今后的系统改造成本将减少(降低 TCO) ,达到为全系统服务 的长期目标。 容灾建设的要素还有很多,全面考虑业务连续性体系的每一个方面,抓住最 为重要的环节,进行深入而细致的研究,就能够使有限的资金发挥更大的能量, 达到事半功倍的效果。 4 CDP 的应用范围 4 CDP 的应用范围 4.1 大抵可归纳为三类 4.1.1 为数据中心内的文件服务器/NAS 提供普通的数据保护4.1 大抵可归纳为三类 4.1.1 为数据中心内的文件服务器/NAS 提供普通的数据保护 在这种应
13、用中, CDP 逐渐取代了以前那种夜间的磁盘或磁带备份任务。虽然,有些人认为 CDP 只是为 那些关键的数据而准备, 但我们发现有些 CDP 产品比传统的备份工具更加易于使 用,而且效果更好,完全可以用于普通的文件服务器备份。 4.1.2 为远程的分支机构进行集中化的备份4.1.2 为远程的分支机构进行集中化的备份 将 CDP 用于远程分支机构备份应用 的最大好处就是从此避免远距离转移磁带介质的风险。 我们使用同总机构一样的 复制技术将分支机构的备份数据同步传输回来。 同时集中化的控制也让异地之间 的数据安全管理工作变得更加主动和高效。 4.1.3 帮助解决笔记本电脑上的数据备份问题4.1.3
14、 帮助解决笔记本电脑上的数据备份问题 也许我们曾经使用过很多方法来 保护笔记本电脑上的数据,但都收效甚微。如今我们可以用 CDP 将数据的变化统 统保留在笔记本电脑自带的硬盘上, 然后在连接办公室网络时再自动将它们发送 到远端的中心服务器。不过,从技术定义上讲,这并不能称为 CDP。因为这类产 品只有在笔记本电脑与网络连接的时候,才能上传改变的数据。 4.2 CDP 的技术优势 4.2 CDP 的技术优势 经过对市场上各种主流的灾难恢复解决方案及 CDP 技术的 对比分析,我们选择了先进的近线持续数据保护(CDP)技术实现本地容灾建设。 4.2.1维持系统原状4.2.1维持系统原状 利用CDP
15、技术实现数据保护对于原有系统的状态均不产生1375改变,轻松实现灾难防御体系。 4.2.2 远程复制功能4.2.2 远程复制功能 可通过 IP 网络远程复制,具备基于数据差量微扫描技术, 只传输数据的增量和变量,对网络带宽要求低。 4.2.3 数据实时镜像4.2.3 数据实时镜像 所有业务系统和应用数据实时镜像,由于采用基于块级的 实时系统克隆,使得所有的业务系统都得到了保障。 4.2.4 数据快照4.2.4 数据快照 通过 TimeMark 技术,支持对单个数据卷创建至少 255 个快照 点保护,对于逻辑性的错误极具恢复力,每一个快照都可以在几秒钟内将庞大的 历史数据版本展现出来,可用于灾难
16、的恢复,亦可用于业务系统的统计和分析。 充分体现了这种技术的强大之处。 4.2.5 瞬间数据再现4.2.5 瞬间数据再现 CDP 技术在数据的恢复上完全不同于传统的备份技术, 无需 象传统备份那样漫长的恢复过程,而是直接利用 CDP 所产生的镜像版本直接使 用,可谓瞬间数据再现。 4.2.6 备份间隔精细化4.2.6 备份间隔精细化 CDP 技术实现保存能够恢复的数据, 其数据的间隔和颗粒 度摆脱了传统的粗放型(如传统的一天一备份),走向了精细化的颗粒度(CDP 备 份的时间间隔可以达到分钟级或秒级)。 4.2.7 异地灾备4.2.7 异地灾备 建立异地灾备系统时,只需要在一个统一的控制平台下轻松实 现,工程量和维护复杂度十分小,一个图形化的管理界面将所有的保护策略和空 间管理都有效地掌控起来。在生产中心发生物理故障和地点性灾难时,不论如何 切换,都能保证恢复点指标 RPO 和恢复时间指标 RTO 为接近于 0。 4.3 容灾备份系统架构图
