科技的飞速发展为医院不断向科学化、现代化、数字化方向迈进提供了强大助推力，医疗数据价值在日益多元化的医院信息系统中得以充分发挥的同时，其安全问题也受到行业的强烈关注。

政府针对医疗信息安全连续出台的多项政策，不仅要求紧关民生的医疗行业明确“数据备份的安全等级保护”，还规定医疗卫生行业要“实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私、推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。”

广东省中医院成立于1933年，目前已有五家三甲医院和四个分门诊，共3150张床位、7000余名员工。像广东省中医院这样的集团化医院，又是如何保证“数据安全”和“业务连续”呢？在由HC3i举办的“三级医院数字化建设趋势研讨会”上，广东省中医院信息中心主任傅昊阳分享了有关集团化医院灾备建设的实践经验，为行业信息化建设同仁提供了宝贵借鉴。

医院系统有哪些“常见病”？

要想建成适合医院系统运行和发展的灾备系统，首先应对医院自身常遇到的问题进行诊断和总结。傅昊阳主任说：“因为资金、人员和技术水平都是有限的，那么在有限资源上建立适合医院的灾备体系的关键，就是要将灾难场景分析清楚：医院的现实问题有哪些？最容易、最可能出现的问题有哪些？能够解决这些问题的灾备体系，才算是最适合医院自身的容灾体系。”

那么对于绝大部分医院而言，常见的“灾难场景”有哪些呢？傅昊阳主任列举如下六方面：

01 系统硬件故障

如数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机；

02 应用程序或操作系统出错

由于操作系统或应用程序中可能存在不完善的地方，当碰到某种激发事件时，应用程序非正常终止或系统崩溃；

03 人为错误

一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致数据丢失或者系统服务的无法访问；

04 电脑病毒/黑客入侵

由于目前的大多数计算机系统均连接在网络上，若缺少有效的防范机制，很容易遭受病毒的感染或黑客的入侵，轻者数据被损坏，重者系统瘫痪；

05 自然灾害

由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的物理破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断。

06 正常的停机

主要指计划内的系统升级、安装软件等过程。

“影响系统正常运行的因素有很多，在系统中断时能够在最短的时间内启动业务正常运行是最重要的，因此，数据的容灾备份需要未雨绸缪，防患未然。”傅昊阳主任如是说。

“灾”与“备”结合，让信息系统运行无忧

傅昊阳主任在演讲中表示，虽然“容灾”和“备份”两个词经常放在一起讲，但实际上却是两个全然不同的概念。

01 “灾”与“备”间的大不同

· “容灾”以在遭遇灾害时保证信息系统正常运行、实现业务连续性为目标。即一旦系统发生故障，容灾系统可以保证生产业务不间断，且系统不会出现停顿。简单来说，容灾主要针对火灾、地震等灾难性事故，处理的是实时性发生的故障。

· “备份”只保证数据的安全，以应对灾难来临时造成的数据丢失问题为主要目标。即当灾难发生，该系统会将生产系统中的数据复制下来，避免数据丢失或数据逻辑错误等突发状况，同时起到保留历史数据的作用。需要注意的是，由于备份是有时效性的，在还原备份数据时会带来一定的数据丢失，因此它只能满足恢复数据的目的，并不能在系统宕机时做到业务的实时接管。

傅主任在演讲中总结道：容灾系统与备份系统相互独立，并且针对不同问题，在运行关键任务的系统中互相不可替代。

02 “灾”“备”结合，系统运转不间断、数据不丢失

究竟完善的灾备体系能发挥什么样的作用呢？傅昊阳主任在演讲中对此进行了简要介绍：

· 实现医院信息系统双活数据容灾备份，RPO（恢复点目标）和RTO（恢复时间目标）趋向于零，支持任意时间点内数据回滚（预防数据逻辑错误），彻底解决任何单点故障问题，当设备或链路出现故障时做到自动切换，无需人工干预，实现医院信息系统业务不间断，数据不丢失。

· 在两个数据中心之间实时同步的保留两份数据，并且可以实现两个数据中心的两份同样的数据都是活动的状态，可读可写。当生产机房的存储故障后，备用容灾机房可以实现自动切换接管，业务不受影响。容灾机房出现故障时亦然。

· 当生产数据出现无法恢复灾难时，可以有备份数据实现业务恢复，保证数据不丢失。

“之前，我们对于离线备份并不特别重视，但随着业务的不断扩展，离线备份的重要性越来越凸显出来，我们也越来越重视起来，因为当出现大规模爆发的疫情时，离线数据会变得非常关键。”

傅主任还表示，医院在建设灾备体系的时候，要先分析清楚自己的问题在哪里、要解决的问题是什么、最大的风险点在哪里。“只有清楚认识到风险点，才能把整个的容灾体系和备份体系设计完善，让其在关键时刻充分发挥价值。”傅昊阳主任如是说。

集团化医院的“灾备六箴言”

针对多院区的灾备体系建设，傅昊阳主任总结了六个关键点：

01 架构

傅主任认为：“真正的容灾不是单个的软件或硬件，而应该是一套完整的体系，这套体系下的架构建设对灾备体系能否保障医院系统稳定运行有着关键性作用。”

02 技术

傅昊阳主任表示：“在容灾体系架构下包含了多种技术，但每一种技术只是整个容灾体系架构中的一个点，因此我们要合理选择对应的技术才能把整个架构拼起来，真正地实现关键时刻的容灾。”

03 设备

容灾体系所保障的重点是医院的核心业务系统，因此设备的选择也非常重要，因为再好的技术，都需要正常运转的设备作为基础。

04 制度

容灾能否在关键时刻发挥作用，其取决因素很多。

“有了好的技术、好的设备、好的架构，谁来真正操作容灾体系？容灾自动切换还是手动切换？相关的临床业务在切换过程中应该怎么处理？......想要保证这容灾体系可以更好、更顺畅地运行，这些问题都需要考虑，因此要有相关的制度来提供保障。”傅昊阳如是说。

05 流程

在建设灾备体系时，要规划好这个灾备体系的运行流程，把操作步骤明确下来，才能让灾备体系在关键时刻快速响应。

06 团队

灾备体系要在关键时刻发挥作用，了解灾备体系运行流程、能够熟练操作整个体系正常运行的人员是必不可缺的。

做到七个“好”，灾备演练不能少

傅昊阳主任表示，在把架构设计好、把容灾体系建立好、把相关管理制度梳理好、把相关设备设置好、把相关技术应用好、把相关人员培训好、把相关流程定义好的同时，还要重视容灾体系的实际操作。

“在整个的容灾体系建立起来以后进行实操演练也至关重要，因为实操演练能够帮助操作人员巩固灾备体系的操作流程和步骤，避免在关键时候出现疏漏。”傅昊阳道。

* 文章整理自“三级医院数字化建设趋势研讨会”傅昊阳主任演讲内容