血液信息管理系统容灾方案探讨.docVIP

血液信息管理系统容灾方案探讨 　　摘 要：目的：保障血站采供血业务系统数据安全；方法：通过容灾的方法有效地保护数据的安全；结果：当发生各种灾难时，造成大量数据丢失，容灾系统是数据安全性的可靠保障；结论：血站的采供血管理工作已经离不开血液信息管理系统，所以数据安全性至关重要，建立相应的应对机制可以保证业务尽快恢复，甚至可以保证业务不间断执行。 　　关键词：血液信息 管理系统 容灾方案 　　1.血站信息化建设现状 　　血站的信息化管理系统有一定的专业性、特殊性，不管是血站内部信息化管理人员还是社会上从事血站信息系统开发的专业人员都比较少，所以血站的信息化建设起步比较低也比较晚，但是血站的所有业务工作和信息管理系统已经越来越紧密结合，因人为、硬件、网络、意外灾害所造成的故障引起数据丢失破坏而造成重大损失也让血站的信息管理人员更重视数据的备份甚至容灾。结合血站自身的信息化建设现状、应用以及经济因素，我们可以制定不同的信息系统应急方案来保护数据。 　　2.容灾技术 　　2.1容灾技术 　　容灾是一个范畴比较广泛的概念，容灾对于IT而言，就是提供一个能防止用户业务系统遭受各种灾难影响破坏的计算机系统。容灾还表现为一种未雨绸缪的主动性，而不是在灾难发生后的“亡羊补牢 ”。 　　从技术上看，衡量容灾系统有两个主要指标：RPO（RecoveryPointObject）和RTO（RecoveryTimeObject），其中RPO代表了当灾难发生时允许丢失的数据量，而RTO则代表了系统恢复的时间。RPO与RTO越小，系统的可用性就越高，当然用户需要的投资也越大。表1为根据国家标准的灾备分级， 对血液行业的RTO/RPO进行分级设定： 　　需要指出的是，灾难恢复能力最高等级RTO不是“0”。即应用没有达到自动切换。从技术层面而言，目前的远程集群技术能够达到应用自动切换的目标，但是这种方式的弊端在于，多种潜在因素（例如集群服务器心跳线中断、网络短时间中断、应用服务器响应不及时等）容易导致在生产中心实际运行正常情况下进行误切换，运行风险高。灾备中心的应用接管是一个管理和决策的过程，需要人为参与，无法完全交给机器和软???来替代完成的。一旦灾难发生，在人为决策后，将灾备中心服务器启动或恢复对外访问，通过几分钟实现业务的快速切换，既能够达到高等级的灾备建设目标，又能避免误切换的巨大风险。 　　2.2如何选择灾备等级 　　单位在选择合适的灾备等级时，需要考虑投资回报率。对于银行、运营商等行业而言，核心业务系统的数据对于企业的正常运行至关重要，一旦数据大量丢失或业务长时间中断，造成的影响是无可估量的。因此对于这些行业的核心业务系统，往往选择等级六的灾难恢复等级，虽然投资巨大，但是与风险造成的影响比较起来是相称的。而对于一般行业（例如中小企业），一方面受到资金投入、技术门槛、人员素质、管理及维护复杂度等因素的制约，另一方面发生灾难所带来的损失也不像银行、运营商等行业那么巨大，因此完全没有必要一味追求高的灾备建设等级，而是可以结合自身条件在等级一到等级五中进行选择。 　　2.3灾难恢复策略 　　每个业务单位中的不同业务系统，可采用不同的灾难恢复策略。同样是银行、运营商等行业，核心业务的灾备等级选择了等级六，有没有必要非核心业务（例如OA、网站等）也采用等级六呢？答案显然是否定的。风险给不同类型的业务所带来的损失是不同的，因此不能采用一刀切的方式进行灾备系统建设，而是需要细致分析业务单位信息系统的重要程度，有效区分核心业务和非核心业务，并平衡业务系统的实际需求和总体成本的关系。因此，各业务单位在进行灾备系统建设时，需要根据业务系统重要性的不同，采用不同的灾备等级。这也说明，我们在进行灾备规划时，单靠一种方案或一种技术是行不通的，为了实现多种灾备等级，需要有一个完整的灾备技术体系作支撑。 　　3.我站采取的数据保护方式 　　根据采供血业务系统数据安全高于系统实时性要求的特点（RPORTO），血站业务系统容灾设计实现 5 级容灾水平，并为将来升级到 6 级的无损灾备做准备。 　　要真正实现血液信息系统的完整容灾，需要对影响系统运行的各个部分进行容灾设计，即实现所有系统关键部位的容灾。 　　我站目前通过在本地两幢建筑搭建一个生产中心和备用中心，中间用光纤链接。 　　我站生产中心做好双机热备，主要网络设备都采取冗余方式，但考虑成本关系，存储并没有做到冗余，但我们采用ORACLE数据库，利用ORACLE本身技术做了DATAGUARD，这是一种比较经济的办法，能够有效实现异地数据的实时备份，一旦生产中心的网络、硬件等出现异常情况，备用中心可以通过手工的方式启动，数据的丢失即RPO控制在十分钟内，这是根据我们的业务特点所能够承受的范围，但因需要人工判断和切换，RTO的时间会比较