xx医院数据信息安全整体规划建议书

1、XX医院数据信息安全系统整体规划建议书2009年X月XX医院数据信息安全整体规划 目录TOC o 1-5 h z HYPERLINK l bookmark2 第一章环境及需求2 HYPERLINK l bookmark4 环境现状描述2 HYPERLINK l bookmark6 1.2需求分析3 HYPERLINK l bookmark8 第二章整体解决方案规划6 HYPERLINK l bookmark10 整体规划拓扑结构图6 HYPERLINK l bookmark12 数据备份容灾整体解决方案概述6 HYPERLINK l bookmark16 第三章双机双柜高可靠存储系统8 HYP

2、ERLINK l bookmark18 3.1双机双柜系统拓扑结构图8 HYPERLINK l bookmark20 方案具体描述8 HYPERLINK l bookmark22 第四章数据备份恢复方案（未来规划）10 HYPERLINK l bookmark24 4.1LAN备份系统拓扑结构图10 HYPERLINK l bookmark26 方案具体描述10 HYPERLINK l bookmark28 虚拟磁带库相对磁盘阵列做备份设备的优势分析11 HYPERLINK l bookmark14 虚拟磁带库与物理磁带库的比较11 HYPERLINK l bookmark30 第五章快速灾难

3、恢复解决方案（未来规划）13 HYPERLINK l bookmark32 解决方案拓扑图13 HYPERLINK l bookmark34 5.2应用服务器灾难恢复原理图13 HYPERLINK l bookmark36 5.3方案具体描述14 HYPERLINK l bookmark38 第六章本期项目产品配置清单15 HYPERLINK l bookmark40 双机双柜系统硬件部分配置清单15 HYPERLINK l bookmark42 双机双柜系统软件部分配置清单15第一章环境及需求1.1环境现状描述XXXX医院目前的应用环境为：2台HIS系统服务器、1台体检系统服务器、1台社保系

4、统服务器、1台OA服务器。其中HIS系统服务器在LINUX平台，运行ORACLE数据库。在XX医院中，数据可以说是每个系统的血脉，支撑着整个系统的正常运行。对于数据的保护就像保护人的血液一样至关重要。HIS系统即医院管理信息化系统，包含了整个医院里的从挂号管理到门诊等等重要业务。从目前医院状况来看，HIS系统是7*24小时在线要求持续运行的高可用系统，其系统的安全稳定运行，数据的安全快速恢复至关重要，影响着整个医院的业务正常运转。PACS是英文PictureArchiving&CommunicationSystem的缩写，全文译义为医学影像存档与通信系统。经过近十年的发展，PACS已经从简单的

5、几台放射影像设备之间的图像存储与通信，扩展至医院所有影像设备乃至不同医院影像设备之间的相互操作，PACS与RIS和HIS的融合程度已成为衡量系统功能强大与否的重要标准。PACS的未来将是区域PACS的形成，组建本地区、跨地区广域网的PACS网络，实现全社会医学影像的网络化。完整的PACS系统分为医学图像获取、大容量数据存贮、图像显示和处理、数据库管理及用于传输影像的局域或广域网络五个单元。相对于HIS系统来说，医疗病案、影像系统对于数据的存储空间、数据的存取性能、数据的高可用有着更高的要求。因此，对于一般的医疗机构，我们可以采用目前最稳定、安全的LAN备份到VTL设备架构来完善我们的医疗病案、

6、影像系统。当HIS系统安全运行之后，越来越多的应用需要通过某台服务器随时随地调取和处理信息数据。数据和应用的可靠性与安全性以及不间断、快速恢复已经成为非常关键的因素。即如何提高“在线数据的高可用性”和“在线应用的高可用性”，成为医院HIS系统首要解决的问题！医院HIS，LIS等关键应用系统的可靠性、可用性要求非常高。方案设计需保证医院信息系统7*24*365不间断运行。很多医院已经采用传统双机热备模式（基于直连DAS架构）来保证医院信息管理系统的不间断运行，但由于方案设计使用单台磁盘阵列，磁盘阵列本身出现任何故障，都会导致信息系统访问中断或数据丢失。1.2需求分析在以前医院的业务系统中，一般采

7、用传统的双机高可用模式，采用两台服务器安装双机高可用软件，共同连接一台磁盘阵列共享一个逻辑分区来实现应用数据的共享，同时实现应用级别的高可用。两台服务器工作在主从模式，两者之间通过心跳线相连接，监控对方的运行状况，保证在主服务器出现故障的时候，另外一台服务器能够迅速接管，保证业务的正常运行。高可用应用其实就是针对应用系统中的单点故障而提出的一种解决方案。通常一个应用系统得完整组成包括：应用服务器、数据传输链路、后端存储。传统的高可用集群都是采用了两台应用服务器直连一台存储或通过交换机连接存储的方式。在这种方式中，虽然有效解决了服务器的单点故障，但是在中间的数据传输链路环节、后端存储环节却仍然存

8、在单点故障。链路问题或者存储问题，同样会导致整个应用系统不能正常工作。在目前很多的双机应用系统中，因磁盘阵列故障而导致的业务系统中断不在少数。解决单点故障最好的方式就是冗余。链路上的单点可以通过冗余的链路来实现，后端存储的单点可以通过增加存储设备来实现。但比较大的难点是：如何保证冗余的链路或者设备能够彼此协调、正常工作，不会出现应用冲突，不会发生影响系统稳定运行的故障。链路上的冗余，会使得主机端对同一块分区多次识别，同一个分区会在主机端出现多块硬盘，操作系统不能将这些影子盘合并成为一个，因此这样不仅不能起到路径冗余的作用，还会给数据访问带来冲突。要解决这个问题，需要利用多路径软件。具备一定规模

9、的新医院，在整体规划上应当先进行全面完善的规划，然后根据医院的整体建设发展步伐分步实施。本期项目将从整个应用系统高可靠、备份恢复、系统保护等方面全方位考虑，设计出双机双柜、备份恢复和容灾整体方案。首先考虑建设最紧急最关键的高可靠存储系统，然后再逐步完善备份恢复系统、容灾系统等方面的建设，逐步建成高效可靠、高质量的数字化医院。具体而言，XX医院的主要需求在以下几个方面：本期工程规划：高可靠存储系统：可靠的双机双柜系统建设，需要存储设备的冗余，需要保证两个存储设备上的数据能够时刻保持一致，即服务器端的写操作I/O要能够同时送到两个存储设备，通常情况下，在操作系统层面是无法实现的。同时还要确保在一台

10、磁盘阵列出现故障时，另外一个磁盘阵列能够自动的、迅速的提供数据传输，而不用手工去切换存储、手工更换挂载点。因此实现整个应用系统无单点故障，不是单纯靠增加硬件设备来实现的，还需要相应的软件来提供一整套的解决方案，一方面能够协调冗余的链路正常工作，另外还要保证冗余的存储设备数据的一致性，实现存储之间的故障切换。未来规划一：数据备份系统：一般而言，数据备份空间为存储空间的23倍（2个备份周期，也就是3个全备份），不同的数据按照重要性的不同而有不同的备份周期，根据现阶段的3TB的数据总量大小，要求达到至少10TB以上的备份容量空间，考虑到未来3-5年的数据增长，备份设备要能很容易的扩展到提供30TB以

11、上的裸容量空间。未来规划二：关键应用系统的快速恢复：双机或群集的高可用主要用于解决硬件、网络和软件本身的故障，但是对于病毒的破坏、人为的误操作、黑客攻击（对于提供对外服务的网站很常见）却无能为力。因此，除了双机和群集系统外，还需要有针对病毒或黑客攻击导致群集瘫痪和系统崩溃这种情况发生时的快速容灾恢复手段。同时，对于单机服务器的操作系统（主要是容易崩溃的Windows系统操作系统）的快速恢复，也是需要考虑的问题。业界目前能满足这种需求的产品不多，NetStorNRS系统是其中比较有优势和具有很高性价比的一款产品，NRS设备的功能非常强大，在提供FCSAN、IPSAN存储/备份空间的同时，还支持对

12、核心应用服务器系统盘崩溃时的快速恢复，目前可以做到在FCSAN或IPSAN，以及LAN架构中对于系统盘的分钟级系统快速恢复。异地数据级别和应用级别的容灾：医院的HIS、LIS等关键应用系统属于核心应用。直接影响对外的医疗服务和医院的正常运行，因此建立容灾机房非常必要。建立容灾机房的目的就是防止火灾、意外事故发生时，医院的核心应用仍然能够快速恢复和不中断对外的服务。第二章整体解决方案规划2.1整体规划拓扑结构图容户端虹龙服奚朝各份月I算器血系统社棟系统ISIW2D歳按阵列ISU1H20豔盘阵列虚拟磁帶匡NetStor快速农难灰复手统IS2SI2.2数据备份容灾整体解决方案概述XXXX医院的存储备

13、份和容灾解决方案由以下三个部分组成：本期实施的双机双柜高可靠存储系统、未来规划的备份恢复系统和核心应用快速灾难恢复系统。双机双柜高可靠存储系统（本期项目）本期项目，通过新增加的两台稳定性、可靠性、性能、可扩展性都非常优秀的NetStoriSUM720光纤磁盘阵列作为主存储，搭建全冗余存储系统，防止任何设备的单点故障造成的业务中断。备份恢复系统（未来的规划）随着业务系统的数据不断增加，以后采用NetStorVTL虚拟磁带库作为近线备份设备，接入LAN,实现数据的快速备份和恢复；整个数据的备份和恢复操xx医院数据信息安全整体规划 作由NBE备份软件统一管理。核心业务系统的快速灾难恢复系统（未来的规

14、划）在生产的千兆以太网内，采用容灾恢复设备，可以实现对于应用服务器系统盘的分钟级灾难恢复，当应用服务器的系统盘崩溃时，可以立即使用容灾服务器中的镜像系统盘作为替代，保证应用不中断，同时无需重新安装操作系统就可以自动恢复。如果考虑进行异地容灾系统的建设，在容灾机房使用一台Windows服务器作为备用服务器，然后后端直连原有的磁盘阵列，本地和灾备机房采用CDR持续数据复制软件做同步的数据复制。这是数据级别的容灾。如果要实现应用级别的容灾，需要在备用服务器上安装与本地一样的应用系统，如Oracle数据库、SQLServer数据库等。XX医院数据信息安全整体规划 第三章双机双柜高可靠存储系统ISUTJ

15、72C磁盘阵列IOTT20讎盘阵列L巧系统31双机双柜系统拓扑结构图LANFC；ISCSI3.2方案具体描述在本方案中，双机双柜应用系统的硬件配置如下：两台服务器，每台服务器上至少安装两块FCHBA卡；两台NetStoriSUM720FC-FC磁盘阵列；4根FC线。两台服务器通过四个FCHBA卡分别和NetStoriSUM720磁盘阵列相连；同时两台服务器上的两对网卡分别建立起连接，作为冗余的心跳。方案特点如下：1、全冗余架构，无单故障点：前端应用采用双机、中间网络层采用双FC交换机（可选）、后端存储采用双磁盘阵列，所有数据链路为冗余多链路。2、零宕机，零数据丢失（业务连续性最佳，可以达到RP

16、O=O；RTO=OT生产中心主机可用时）或RTO为分钟级T生产中心不可用，容灾中心有可用主机）：两台磁盘阵列通过主机卷管理软件或第三方卷管理软件进行实时镜像，两份在线数据，一台磁盘阵列故障时，业务不会有任何中断。3、灾难发生时，完全没有手工接管的操作过程：单个服务器故障有备机自动接管；网络设备和存储设备故障时，完全不影响业务运行。【备注：如果采用磁盘阵列复制的方式，最大的问题是用户需要安排人员全天24小时在机房值班，因为发生故障时，手工的切换过程必须依靠人工干预才能完成】4、性能优越：即使建立在文件系统上的Oracle数据库，也可以达到类似建立在裸设备上的高性能。5、异构平台兼容性好：跨各种主

17、机平台（Windows、Linux、UNIX）、跨存储网络架构（FCSAN、IPSAN、DAS等多种架构）、跨可跨越异构存储平台、跨各种厂家和各种型号的服务器。6、全中文管理界面，方便用户使用管理；可分级存储，可以把重要数据或最新数据保存在FC盘，把非关键数据保存在SATA盘，获得高性价比；专用存储控制器耗电少、无线缆和模块化设计导致部件散热很少、变速风扇（温度降低时自动降低速度）、磁盘休眠（一定时间没有IO时自动休眠）、磁盘柜通风设计；绿色一通过严格的欧盟RoHS设计，无毒无害。第四章数据备份恢复方案（未来规划）4.1LAN备份系统拓扑结构图客户容LLIS吾统lOTfZU隔盘阵列ISUM72

18、D磁蛊眸列社嗦系统TjW备份肥等器虛拟厳芾库虛拟厳芾库LAIIFCT3CSI备楡数据涼如图所示，用户的备份系统可以采用一台独立的专用备份服务器（采用PC的备份服务器），统一控制整个LAN网络中的服务器将数据直接写入用户现有的备份设备（在本方案中为NetStorVTL设备）中，以便做数据的快速备份和恢复。4.2方案具体描述在本方案中可采用NBE备份软件进行数据的备份和恢复。在以后的项目中我们采用专用的备份设备虚拟磁带库做备份设备，保存日常的备份数据。虚拟磁带库和磁盘阵列、物理带库做备份的优势分析如下两节所述:4.3虚拟磁带库相对磁盘阵列做备份设备的优势分析结论4.4与物理带库的互操作主要功能无法

19、与物理磁带库互操作作为主存储设备拟磁带库与物理磁带库的比较数据可以与物理带库交互替代传统磁带库成为主要备份设备磁盘阵列NetStorVTL虚拟磁带库与文件系统建立在文件系统上，会随文件系统的损建立在裸设备上，不会随文件系统的损坏而的关系坏一同损坏损坏病毒有可能会被病毒感染和破坏不会被病毒感染和破环安全性误删除是文件系统上的文件，可能会被操作系统命令误删除不在文件系统上，不会被误删除数据移植/非法拷贝文件可能通过共享被人非法拷贝到其它机器上恢复，导致机密泄漏不会发生非法拷贝泄密的问题共享由一台备份服务器独占，不能共享可以虚拟多台磁带库，分配给所有的备份服务器，存储空间共享管理性空间回收有些备份软

20、件难以实现，需要借助操作系统命令删除文件自动完成索引有些备份软件不能扫描磁盘上的介质具有与传统磁带库一样的完整索引管理功索引，一旦索引损毁无法进行恢复能性能瓶颈性能低。文件系统本身是性能瓶颈。难性能高。磁盘阵列和光纤接口的性能可以通性能以优化过扩容逐步提高。磁盘碎片的问题存在，系统性能会逐渐降低不存在。系统性能保持不变设备本身投资较低较高。有备而无患,早已是信息管理人员的基本观念，在部署与管理任何信息服务时，备份必然是要纳入的重要环节，不过执行备份工作时，必然会对应用程序的运作造成影响，有时候甚至必须让应用程序暂时停止服务一段时间，备份才能顺利进行，这段因备份工作导致的服务中断时间称为备份窗口

21、(backupwindow)。为了避免系统的正常运作受到影响，系统管理者多半会利用夜间或假日等非高峰时间进行备份，然而随着数据量不断膨胀，备份所需的时间越来越长，许多人发现如果继续使用传统的磁带备份方式，备份速度实在太慢，已经不能在既定时间内完成工作。另一方面，磁带的可靠度也是备受质疑的，用过磁带机的人都知道，磁带有三怕怕潮、怕摔、怕强磁。潮湿的环境容易使磁带发霉，若要长期存放必须置于恒温恒湿的磁带箱内；现今磁带的磁录密度都相当高，一旦不慎从高处摔落地面，就会导致磁头定位不准，读取不到数据；磁带不能接近强力扇区更是基本常识，被磁化的磁带经常是导致还原失败的原因。长时间存放的磁带必须按时回带，磁

22、带机的读写头也得按时清洗，确保万一需要复原时，磁带能正常被读取。物理带库还有一个容易发生机械故障(主要是机械臂故障和卡带等)的问题，导致备份中断，维护麻烦，维护和配件更换成本高等问题。以上的问题就是产生VTL虚拟磁带库的原因，虚拟磁带库具有以下优势：解决了磁带设备可靠性的要求，没有磁带那种机械故障的问题；采用RAID磁盘组校验保护，数据安全基本高；消除了磁带加载卸载对性能的影响；空间利用率比磁带高；维护管理的难度小，可以集中管理，而磁带是分散管理的，需要写标签、找文件柜放磁带，避免强光、潮湿等等。第五章快速灾难恢复解决方案（未来规划）5.1解决方案拓扑图ISUJI720磁盘阵列ISUM720茜

23、瘪:味列LANPCISCSI5.2应用服务器灾难恢复原理图NRS对操作系统盘的快速恢复PubJiIPNetwork115：诺3HfcA更揍失效疏盘或垂新格贰化，riskSR民模块披5.系純盘;，DiMiSa圧棧块握重用眾堆系蜿盘汝蔓丸版催掾设静豳盘的定时复制或CW邮彳牛茯腔淒块提供时闊厘拷良咕上软统.宕机连L錐負料0-1p16：K）iSGSJHB提供系统廷程底动5.3方案具体描述针对应用服务器的快速灾难恢复系统，可以对应用服务器的系统盘或数据盘进行保护。这种保护可以在系统上装了双机或多节点群集之后，作为一种额外的保护措施。当然，NetStorNRS设备也可以对单台服务器的系统盘进行保护。因为群集系统只能对于群集中的逻辑故障（例如应用软件Bugs，人为误操作造成的应用中断）、硬件故障（部件失效）、网络故障（网卡、心跳线路问题）等单机故障的高可用保护，而对于由于病毒造成的数据丢失或系统崩溃是无能为力的。采用NRS这种设备，相当于在网络中为核心应用准备了另外一