医院数据灾备方案20101101.doc

目 录 一、前言2二、数据库备份的整体目标4三、数据库备份的设计原则及需求分析53.1. 设计原则53.2. 需求分析5四、UPM备特佳容灾备份系统介绍54.1.目前普通备份方案54.1.1 硬件解决方案54.1.2 软件解决方案74.2.UPM备特佳容灾备份系统产品介绍84.3.UPM备特佳容灾备份系统功能84.3.1实时备份84.3.2数据回退94.3.3从站接管94.3.4异地备份104.3.5三种备份方式104.4.UPM备特佳容灾备份系统的核心优势11五、数据灾备设计方案125.1.当前网络环境125.2.万盛区人民医院UPM数据灾备拓扑图135.3.数据库备份方案技术说明13备份方案说明14六、灾备方案的技术分析14七、数据库备份应用中的问题及解决方案177.1.主站数据库故障177.2.主站服务器故障17八、UPM备特佳容灾备份系统部分典型用户18九、 软件报价19一、 前言医院业务流程已迈入网络化、业务数据电子化的进程将不可逆转，今后所有的纸质文档必将被电子文档取代。根据中华人民共和国国家标准GB/T20988-2007信息系统灾难恢复规范中的风险定义，医院的系统数据时刻面临如下IT及非IT风险：风险类别风险列举计划外风险自然灾害气候灾害、地质灾难机房环境风险火灾、机房结构性破坏、供电系统瘫痪、空调故障社会性灾难传染性疾病或污染、恐怖主义事件、动乱人为故障人为失误或故意破坏硬件单点故障单台服务器故障、网络单点故障、存储单部件故障硬件多点故障多台服务器故障、网络多点故障、存储多部件故障数据库逻辑故障数据库损坏、数据表误删除或修改软件故障应用软件故障、数据库软件故障、操作系统故障、病毒木马系统性能严重下降主机、存储、网络、数据库、应用程序等计划内风险系统升级操作系统升级、数据库版本升级、应用升级、数据库整理、硬件微码升级数据备份定期或不定期的数据备份系统迁移数据迁移、系统整合容灾演习系统切换或回切事实胜于雄辩：2004年7月，重庆肺科医院服务器的硬盘出现故障，导致系统瘫痪7天，为了保住多年的数据信息，紧急到北京数据恢复中心进行数据恢复以挽回损失。重钢某厂财务服务器出现故障，导致1年多的数据丢失无法恢复，只有采取加班加点，花费大量的人力物力重新录入数据。2003年9月，重钢医保办服务器发生故障导致停机数天，且数据恢复困难。2004年3月，重庆渝中区人民法院数据磁盘阵列柜故障，造成10年的审判档案数据丢失，通过近3个月的重新录入，恢复了70%数据，其余数据永久损失。2006年9月，四川遂宁市人民医院服务器磁盘阵列柜出现故障，相当长时间（3个月）内数据未备份，导致大量宝贵数据丢失，直接经济收入损失严重，故障期间当月收入较前年同期收入减少70多万元，严重影响了医院经济收入和形象，并最终导致信息主管及分管副院长被撤职或处分；2007年1月3日重庆铁马公司因UPS故障导致机房被烧。2007年6月17日江津市人民医院PACS服务器阵列柜两块硬盘损坏，导致PACS阵列柜停机近10天。2008年5月12日汶川大地震，大渡口区重钢总医院位于四楼的信息中心机房剧烈晃动，导致HIS系统磁盘阵列柜故障并致数据丢失。2008年6月，永川市人民医院双机双柜全部跨掉，造成数据丢失，严重影响该院的工作。2008年7月，重庆綦江县财政局因软件故障丢失了部分OA办公自动化系统数据，造成一段时间的工作混乱和不便。2008年底，重庆梁平县财政局因数台办公电脑被盗，造成部分办公文件丢失。这些发生在我们周围的，近在眼前活生生的数据安全事故案例枚不胜数。事实让我们警醒：数据灾难猛于虎！数据安全隐患无时不在！数据安全建设刻不容缓！二、 数据库备份的整体目标根据万盛区人民医院信息网络系统的整体建设规划，目前已全面推广医院信息管理系统（HIS），医院信息管理系统是整个医院正常运作的重要信息管理平台，而对该系统核心数据库的备份，消除数据损坏或丢失的隐患，保证整个管理系统的高可用性也是医院信息化进程中的一个重要的阶段性目标。此次备份主要完成以下几个目的：1、医院HIS系统在异地备份机房建立独立的数据库备份。2、所有备份在不影响系统正常使用的情况下采用实时增量备份模式；3、采用有效措施保证数据库的安全性、可靠性，确保备份数据的完整性及可用性，避免因数据库置疑、硬件损坏、外部环境（火灾、地震）或人为因素造成的数据灾难。4、保证万盛区人民医院HIS系统的高可用性5、数据灾难恢复等级（参见下表）达到国家标准的第5-6级。数据灾难恢复等级表第1级数据介质转移（异地存放、安全保管、定期更新）第2级备用场地支持（异地介质存放、系统硬件网络可调）第3级电子传送和部分设备支持（网络传送、磁盘镜像复制）第4级电子传送和完整设备支持（网络传送、网络与系统就绪）第5级实时数据传送及完整设备支持（关键数据实时复制、网络系统就绪、人机切换）第6级数据零丢失和远程（在线实时镜像、作业动态分配、实时、无缝切换）三、 数据库备份的设计原则及需求分析3.1. 设计原则本次数据库备份的设计原则是结合此次万盛区人民医院数据安全的整体建设原则，以及医院信息管理系统的数据库备份需求，统一规划、统一管理、统一标准、先进成熟、可靠适用、资源共享，结合实际情况而制定的数据库备份方案。3.2. 需求分析目前，医院HIS系统已在万盛区人民医院中全面使用，从数据安全角度出发，为避免各种硬件故障、数据库置疑、网络故障、病毒攻击、人为破坏等因素造成的数据丢失、系统瘫痪等数据灾难事件，必须对数据库做一个全面的备份方案，在数据库备份上的功能需求如下：1、将医院HIS系统数据库实时增量备份至异地备份机房的备份服务器。2、系统数据库损坏或是其它原因造成的主机房数据库系统不可用，在异地备份机房的备份服务器可接管（自动接管或手动接管）主服务器继续工作，保证业务流程的高可用性，待主服务器工作恢复正常后，可从备份服务器将数据库数据恢复至主站服务器，备份服务器则继续充当备份角色。3、在异地备份数据恢复的过程中，支持数据库的回退操作。四、 UPM备特佳容灾备份系统介绍4.1. 目前普通备份方案4.1.1 硬件解决方案Raid 0 RAID0：RAID 0 - Disk Stripping without parity 又称数据分块，即把数据分成若干相等大小的小块，并把它们写到阵列上不同的硬盘上，这种技术又称“Stripping”（即将数据条带化），这种把数据分布在多个盘上，在读写时是以并行的方式对各硬盘同时进行操作。 优点：从理论上讲，其容量和数据传输率是单个硬盘的N倍。N为构成RAID0的硬盘总数。当然，若阵列控制器有多个硬盘通道时，对多个通道上的硬盘进行RAID0操作，I/O性能会更高。因此常用于图像，视频等领域，RAID0 I/O传输率较高， 缺点：平均故障时间MTTF只有单盘的N分之一，因此RAID0可靠性最差，只要任何一块硬盘发生故障，则数据会丢失。RAID 1RAID1又称镜像。即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时只从工作盘读出，一旦工作盘发生故障立即转入镜像盘，从镜像盘中读出数据。当更换故障盘后，数据可以重构，恢复工作盘正确数据。因此RAID1常用于对容错要求极严的应用场合，如财政、金融等领域。 优点：这种阵列可靠性比较高，但其有效容量减小到总容量一半以下 缺点：RAID1只能保护硬盘故障，并不能保证软件故障，如数据库被置疑或操作系统损坏，则镜像盘的数据库和操作系统也会坏掉。RAID 5RAID5是一种旋转奇偶校验独立存取的阵列方式，没有固定的校验盘，是按某种规则把奇偶校验信息均匀地分布在阵列所属的硬盘上，所以在每块硬盘上，既有数据信息也有校验信息。这一改变解决了争用校验盘的问题，使得在同一组内并发进行多个写操作。所以RAID5即适用于大数据量的操作，也适用于各种事务处理，它是一种快速、大容量和容错分布合理的磁盘阵列。当有N块阵列盘时，用户空间为N-1块盘容量。 优点：可满足硬盘扩容的需求，一块硬盘发生故障后，RAID组从ONLINE变为DEGRADED方式，但I/O读写不受影响，直到故障盘恢复。 缺点：如果DEGRADED状态下，即在第一块硬盘发生故障后，又有第二块盘故障，整个RAID组的数据将丢失，阵列卡或阵列柜损坏，整个RAID组的数据也将丢失。CLUSTER（双机热备）双机热备，属于群集的一种，就是将中心服务器安装成互为备份的两台服务器，并且在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会迅速的自动启动并运行（一般为2分钟左右），从而保证整个网络系统的正常运行，双机热备的工作机制实际上是为整个网络系统的中心服务器提供了一种故障自动恢复能力。 优点：可以适当保证系统的高可用性，对客户端来说，服务器始终是运行的。 缺点：虽然适当保证了操作系统的高可用性，但一旦阵列柜、阵列卡或RAID5发生任何故障，一则系统的高可用性不可保证，二则数据库的数据会造成永久性丢失。4.1.2 软件解决方案目前，往往通过定时备份的方式来实现数据库的备份，或者实现数据库的定时异地备份，但在这种情况下，一旦主服务器或数据库发生任何故障，一则不能保证系统的连续使用，二则数据库最多只能恢复到最近一次备份的时间点，会造成一定时间段内的数据，所以目前的定时备份方案存在着数据丢失的巨大风险。目前备份方式综述综上所述，凡是硬件的备份方式都无法实现数据的自动备份存储，只能实现冗余，且不能实现实时异地备份，所以以上软件、硬件的数据安全解决方案，都无法达到目前万盛区人民医院HIS系统数据库备份与容灾的需求。4.2. UPM备特佳容灾备份系统产品介绍UPM备特佳容灾备份系统（以下简称“UPM系统”）是针对MSSQLSyBaseDB2 OracleAccessMySQL等数据库进行连续数据保护（CDP），以及在数据库损害时能够接替服务或快速恢复数据的软件系统。原理 采用消息机制，只有当数据库及其中的表发生增加、修改、删除的写操作时，软件才做备份。 当主站出现问题，从站可以恢复数据或接替工作。 主数据库或表损坏，从站自动检测，提示回退的步数或按照时间标签回退。4.3. UPM备特佳容灾备份系统功能4.3.1 实时备份在不停止数据库服务的情况下，对数据库进行自动监控，连续捕获和备份数据变化，实现对主站数据库的所有写操作实时、准确的备份下来。在软件第一次运行时，会对主数据库作一个全备份，此后主数据库有任何变化，软件会立即以毫秒级单位实现主从数据库实时同步。4.3.2 数据回退在主数据库损坏的情况下，可通过从站备份的数据库可恢复到主站数据库损坏时的临界点，并支持数据库的回退操作，回退机制可满足数据业务的完整性，可避免因误操作等引起的数据丢失，回退操作可按回退步数、时间点回退两种方式，在磁盘空间足够大的情况下，可支持无限制回退。4.3.3 从站接管接管IP，例如主数据库服务器突然宕机，通过从站能迅速侦测和报警，可以使数据库备份机迅速接管主站的IP以及对外的数据库服务，使核心业务服务能够不间断运行，真正保证核心应用系统的高可用性。接管模式支持手动接管、半自动接管、自动接管几种模式，可避免软件的自动接管模式下可能发生的误接管情况。采用“智能报警+人工干预模式”，当主数据服务器宕机以后，备份服务器从站会报警并接管弹出确认提示，管理人员可以根据具体情况采取相应措施。4.3.4 异地备份 支持主站数据库异地灾备，主从数据库通过网络实现实时备份，主从站距离不限，可支持局域网和广域网，当主站发生任何数据灾难事故，可通过远程实现数据库的恢复。4.3.5 三种备份方式 恢复数据型 UPM系统会在用户指定的备份目录备份数据库文件，当主站数据丢失时，可应用主从站的数据恢复模块将数据加载回主站。加载过程中可按步数或者时间点回退数据，从而调整数据库的完整性。优点：硬件成本低，PC配置基本无要求。缺点：无法进行接管操作 免恢复数据型软件将会把数据文件直接加载到从站（备份机）的数据库中，当主站（工作机）瘫痪后可以马上接替工作。这种备份不需要恢复，但是没有回退功能（此种备份方式的主从站的数据库版本需要一致，并且数据对对应的数据文件所存放的位置也要一致）。优点：备份数据占用磁盘空间较小，可以进行IP以及数据库服务的接管。缺点：配置相对较高，从站需要安装与主站同版本的数据库。没有数据回退功能。 双备份型除了在用户指定的备份目录以文件的形式备份数据库文件，同时还会把数据库文件直接加载到从站（备份机）的数据库中。这样，从站即可以免恢复，也可以回退。（此种备份方式的主从站的数据库版本需要一致，并且数据对对应的数据文件所存放的位置也要一致）优点：即可以进行以及数据库服务的接管，也可以进行数据回退。缺点：备份文件占用空间较大，成本相对较高。4.4. UPM备特佳容灾备份系统的核心优势连续数据保护，体现实时特点真正的CDP技术核心功能是持续监控计算机系统磁盘写入操作；对于每一次磁盘写入数据的改动都进行记录并复制改动数据信息，经过CDP软件的各种“高级”逻辑组织和处理能力，把改动的数据信息体现在对于实际文件或者应用系统内部数据的“实时、连续”恢复上面，以实现针对每一步数据操作改动的相应备份。所以，CDP系统能够提供基于块级、文件级和应用级的保护，以及恢复目标无限的、任意可变的恢复点。不同于”备份”，准确恢复到事发地点“真CDP”区别于“准CDP-快照/复制”，“CDP”区别于“备份”，CDP是不设任何预先的保护时间点，其启动工作操作触发在于用户的对数据库系统的写操作；而快照/复制和备份都需要预先设置启动时间点，哪怕按秒、分、小时或者天等等，所以通过UPM系统的“CDP”技术，使数据库的恢复操作真正能够做到准确恢复到事发临界点。五、 数据灾备设计方案5.1. 当前网络环境万盛区人民医院系统当前的应用环境：操作系统：Windows 2003 server数据库： SYBASE硬件环境：1台主服务器+1台备份服务器网络环境：千兆主干+百兆桌面应用系统：医院HIS信息管理系统应用系统情况：在本院范围内使用HIS系统数据库文件放在服务器硬盘中，软件上使用定时备份的方法备份数据库，仅仅达到了最初级的安全程度。没有办法解决服务器硬件、操作系统、HIS系统或数据库发生故障时的高可用性问题。 一旦出现诸如磁盘损坏、阵列索引信息丢失、数据库置疑等技术性故障，数据库将会部分或完全丢失，更不用提地震、火灾、漏水、强波动电流、偷盗、人为破坏等情况的发生，目前采用的技术手段应对上述情况是很脆弱的，已经不能满足当前数据的安全保护需求，数据时刻存在着丢失的危险，一旦发生数据丢失的情况，将严重影响整个HIS系统甚至于整个医院业务的正常运作。根据万盛区人民医院数据安全的实际需求，我们设计了如下安全保障系统来解决核心数据的安全问题。5.2. 万盛区人民医院UPM数据灾备拓扑图简要说明：1. 通过UPM系统将医院HIS系统主服务器中的SYBASE数据库实时增量备份到异地备份机房的从站备份服务器上；2. 从站备份服务器可实现对主站数据库的接管、回退、恢复等功能。5.3. 数据库备份方案技术说明术语说明主站：代表主数据库服务器。从站：用于备份主站数据库的服务器。备份方案说明1. 在本地局域网内的异地备份机房配置一台专用的UPM备份服务器，做为主站数据库备份的从站。2. 在从站上安装与主站相同的操作系统及相关补丁，安装相同的数据库系统及相关的补丁，并约定主从站的数据库系统文件与数据文件及设备的路径完全相同。3. 在主机房的医院HIS服务器上安装一套UPM系统主站软件，在异地从站备份服务器上安装UPM系统从站软件。4. 在异地从站上部署医院HIS应用系统，原则上与主站部署相同。5. 在异地从站上部署医院HIS应用系统相关的工具及软件系统。6. 在异地从站上划分专用空间用于备份主站数据库和相关日志。7. 在主从站上开通UPM系统工作所需要的专用端口，该端口可根据实际情况临时设定，条件是不与其它端口发生冲突，如主从站之间有防火墙或防火墙软件，须设定规则开放相关端口。8. UPM系统主从站设置为服务启动模式，UPM系统会随操作系统自动运行，勿需人工干预。六、 灾备方案的技术分析1. 基于数据库记录级的备份。UPM系统是通过操作系统消息机制来实现数据的备份，以对数据库的成功写操作作为备份的开始，实现对数据库记录级的备份。2. 实时准确从站对数据库进行自动监控，连续捕获和备份数据变化；软件启动时，先对主数据库作一个全备份，此后主数据库有任何变化，软件会以毫秒级单位备份到从站上去，实现主从站数据的实时同步。3. 数据传输采用严格校验机制与高效加密模式如在传输过程中掉包，则系统会自动重新抓取数据包；采用加密模式保证数据在传输过程中的安全性。4. 采用队列缓存机制保证了主站在高资源占用时，主站的数据能完整到达从站。5. 支持双备份型模式将数据同时备份至从站的备份目录和数据库中，主服务器故障时，从站可即时接替主服务器的工作继续对外服务，待主服务器故障排除后，可从从站上将数据恢复到主服务器。6. 有数据库回退保护机制，回退机制可保证数据库的完整性，当主站数据库发生逻辑故障或需要回到数据库的历史状态，可通过回退将数据库回退到正常的状态，这样也可保证主文件损坏时，备份的数据库及文件仍然可用。7. 可支持时间点及步数回退数据库回退时可按照回退时间和步数来选择，保证数据可回退至数据库任何历史时间点；可支持数据库的反复回退及加载。8. 主数据库可同时向多个目标从站备份数据主站数据库可同时向多个从站备份数据，可支持局域网和广域网。9. 多个主站数据库可同时备份至同一从站大大节约了备份的硬件资源。10. 与数据库中表的结构无关，且无任何限制UPM系统采用先进的开发技术，是基于系统底层的开发，与数据库具有无关性，没有任何限制。11. 不对数据库中的应用作任何修改在主站上，UPM系统只会数据库作读操作，不会对数据库作任何写操作，确保数据库的数据安全。12. 数据库恢复简单、方便数据库的恢复设计为一键式向导恢复，操作极为简单方便，同时为避免数据误恢复，系统设计为必须主从站同时操作方能进行数据恢复，不允许单独从主站或单独从从站将数据强制恢复。13. 对备份线路及硬件配置要求低采用增量备份方式，数据量处理小，对备份线路要求低，不会影响系统的正常使用；对从站的配置要求低，软件对主从站硬件配置无特殊要求。14. 对主服务器无压力系统采用消息机制，只有在数据库发生变化时才触发，只传数据库的变化部分，不同于文件考备，和数据表的轮询，对主服务器系统占用低。15. 对数据库备份完整对数据库的备份包括了数据库相关的具体数据信息，具体包括TABLES（表），DIAGRAMS（关系图），VIEWS（视图），STORED PROCE（存储过程），USERS（用户），ROLES（角色），RULES（规则），DEFAULTS（缺省），USER DEFINED（用户定义）等；16. 局域，广域网通用备份系统对网络没有特殊的要求，可支持局域网和广域网。17. 接管可以自动接管或人工干预当主站发生故障后，从站可接主站；接管方式分为自动接管、半自动接管、手动接管；主从站可支持心跳线接管模式；可支持由单机从站接管群集系统的功能；可支持不同操作系统间的互相接管功能。18. 针对不同的网络和应用环境有不同的解决方式针对不同的网络和应用环境，可支持数据库和多种备份方式和管理方式，