訪談中南大學湘雅二院朱洪濤：醫院災備體系建設思考與實踐 - 網安

隨著互聯網醫院、單體多院區、醫聯體等醫療新業務或運行模式的陸續展開，醫療信息化建設邁入新階段。醫療信息化的加速發展，也推動了數據安全和業務連續性的建設，同時主管單位對醫療數據的處理，以及數據庫和核心業務系統的容災也提出了更高的要求。如何避免業務中斷、數據丟失，已經成為醫院在信息化建設過程中必須要考慮的關鍵點。特此，我們邀請了中南大學湘雅二院的信息中心主任朱洪濤來和大家聊聊，分享他對于醫院災備體系建設的思考和實踐。

朱洪濤

高級工程師，計算機碩士，現任中南大學湘雅二醫院信息網絡中心主任，醫學信息研究湖南省普通高等學校重點實驗室副主任。

一、如何結合醫院的實際情況和未來的建設需求，選擇合適的容災備份技術路線？

朱洪濤：容災建設方式可以大體分為備份、容災、雙活三個維度，其中容災與雙活建設又可以分為數據級容災（雙活）與應用級容災（雙活）。數據級容災系統只能保障數據的完整性、可靠性和安全性，但在實際突發災難事件中還是會中斷，而應用級容災系統能夠提供不間斷的應用服務，在災難事件發生時能夠讓應用持續穩定地運行。

那么在規劃過程中，我個人建議醫院應該根據自身的業務屬性與分類，針對性地設計不同業務系統的容災方式，主要可以根據業務所需要的RTO與RPO來選擇，具體可以參考“全國醫院信息化建設標準與規范”來對不同的系統容災進行規劃。

二、醫院在建設數據中心時，備份、容災、雙活究竟該如何選擇？

朱洪濤：首先我們要明確三者之間的區別，這里簡單做個對比，供大家參考：

從技術原理上來說雙活方案提供的是應用保護，容災備份提供的是數據保護。具體來說，雙活方案指當某臺設備或某個數據中心發生物理故障，如停電、硬件故障、網絡中斷等時，核心應用（如 HIS）不會中斷，前端的醫務工作人員對故障無感知。

但是對于邏輯錯誤，雙活方案是無能為力的。因為雙活技術的-原理決定了病毒會同時感染兩個數據中心，所以雙活解決方案是無法防范病毒入侵、人為誤操作導致數據丟失等邏輯錯誤的。

真正意義上的完整雙活，是對各個環節要求都非常高的，包括網絡時延、數據庫、存儲層面雙活等，其中最重要的是要求應用軟件能夠支持雙活甚至多活的部署模式。所以目前在醫療行業，大部分雙活其實只做到了部分層面的雙活。

容災提供的則是類似于主備形式的業務保護，其中又分為熱備與冷備機制。容災能夠同樣在15-30分鐘以內實現業務的恢復與拉起，但是會有業務中斷的情況。

其次，容災能夠與備份、連續數據保護(CDP)機制相結合，實現多個業務時間點的數據回滾，能夠非常有效地應對勒索病毒等邏輯錯誤。

建設TIPS

1. 針對醫院最核心的業務系統HIS：

比較完善的保護方案是雙活+連續數據保護(CDP) ，這樣既能杜絕業務中斷，又能防止數據丟失，還能實現中病毒后業務的快速恢復。

2. 對于其他較為關鍵的臨床業務系統：

建議采用容災+連續數據保護(CDP)，這樣能夠在較短時間內實現業務的恢復，并且對網絡帶寬、應用軟件的要求不會過高，在災備建設的投入上也能夠達到一個較好的平衡點。

雙活解決方案對于網絡、存儲的要求會比較高，整體的投入也很高，建議大家還是根據醫院的實際水平來規劃，不要盲目去規劃雙活。目前很多熱備的技術產品和方案也能夠滿足醫院核心業務的災備需求。

3. 針對醫院非臨床類的業務（管理類、統計類、后勤類）

以數據備份為主，確保在不可抗力發生時，數據不會丟失，業務則可以通過手動的形式進行恢復。

三、當前醫院系統涉及到的品牌眾多，各廠商使用的業務架構和數據庫類型又都不同，針對一些不常見的數據庫（比如cache數據庫）做災備建設時，醫院如何更好地去選擇和規劃災備平臺呢？

朱洪濤：我個人建議大家在選擇災備平臺時，盡量選擇兼容性強、適配廠家多的主流品牌。因為醫院的業務近年來一直在變化，從原來的HIS、電子病歷，到最近的集成平臺、大數據平臺，一個三甲醫院的業務系統少則幾十個，多則達上百個，系統整體越來越復雜，架構也越來越多。因此選擇一個能夠對多類型業務進行容災的平臺是很關鍵的，但是這類平臺大多是基于云平臺或者操作系統層面所實現的容災。

那么針對數據庫，尤其是像cache這類較為少見的數據庫，建議采用數據庫自帶的鏡像（復制）機制實現數據庫級別的容災，基于數據庫鏡像機制，基本不會出現壞塊、壞表的情況。

四、容災演練在電子病歷測評、三甲醫院復審里都有明確要求，但目前看每年都開展容災演練的醫院比較少，對容災演練您有什么建議嗎？

朱洪濤：其實容災演練對醫院來說都是比較重視的，之所以現在開展還比較少，我認為主要是目前容災演練的不規范、黑盒化與門檻化這些原因。現在除了一些比較大的三甲醫院，大部分醫院都沒有標準的災難響應計劃（DRP），導致很多信息中心的工程師其實是缺乏一套流程來進行容災演練的。

其次，目前業內大量的容災方案是非常依賴容災廠商與規劃廠商的，很多容災方案對醫院來說，要做演練是存在一定門檻的。醫院信息中心對自己投入大量成本建設的災備平臺的掌控力度是比較弱的，大家潛意識也擔心演練的實際效果，更擔心容災演練變成災難事件。

所以我們醫院在災備中心建設完畢以后，第一次演練時我明確要求廠商要手把手全流程給我們的信息中心賦能，而且我也和幾位工程師一起制定了我們醫院的容災響應計劃。我們就是要通過演練來把信息中心的容災能力與容災計劃實打實的操練出來，讓容災的效果和能力真正掌握在我們信息中心手上。

五、您對深信服近期推出的醫療行業數據中心解決方案如何評價的呢？這套方案是否能滿足您對醫院容災建設的需求呢？

據我了解，深信服目前已經具備了備份、容災、延伸集群雙活、云災備、CDP等比較全面的容災解決方案，能滿足醫院災備體系建設面臨的多種場景需求。就像我前面提到的，醫院的容災建設是一個復雜并且體系化的過程，很少有醫院的災備體系建設是采取單一架構的，深信服這種更靈活的災備解決方案是未來的災備建設的一個趨勢。

另外，深信服前段時間推出的異構容災平臺，也讓我眼前一亮，說明深信服在這方面有很高的研發投入。這個異構方案能夠基于云平臺、虛擬化平臺、裸金屬等不同架構都可以實現容災，并且支持業界目前比較少見的cache數據庫、TIDB等分布式數據庫的容災。這樣的方案模式其實是更加適合醫院未來業務架構逐步演進的需要。

還有一點是容災服務，其實醫院對容災規劃、容災演練都是有剛需的。但是很多容災平臺的測試、實施包括后面的演練都離不開廠商。這讓容災平臺變成了一個黑盒。我覺得深信服在提供容災演練相關服務時，醫院的工程師參與并掌握全過程實操是很不錯的。醫院最需要的就是這類“授人以魚不如授人以漁”的合作伙伴。

總結

1. 醫院應根據自身的業務屬性與分類，針對性地設計不同業務系統的容災方式，主要可以根據業務所需要的RTO與RPO來選擇。

2. 根據醫院的實際業務情況來規劃雙活，核心業務系統可以采用最完善的保護方案，雙活+ CDP機制；臨床業務系統則建議采用容災+CDP機制；非臨床類的管理類、統計類、后勤類業務則可以以數據備份為主。

3. 選擇災備平臺時，醫院應盡量選擇兼容性強、適配廠家多的主流品牌。

4. 醫院在災備中心建設完后，要通過容災演練把容災能力實打實的操練出來，讓容災的效果和能力真正掌控在醫院信息中心手上。

5. 深信服推出的異構容災平臺，很適合醫院未來業務架構逐步演進的需要；醫院應該多考慮能夠“授人以漁”的服務或者合作伙伴。