联鼎三级甲等医院容灾备份方案医院软件Word格式.docx
《联鼎三级甲等医院容灾备份方案医院软件Word格式.docx》由会员分享,可在线阅读,更多相关《联鼎三级甲等医院容灾备份方案医院软件Word格式.docx(30页珍藏版)》请在冰豆网上搜索。
三级等保在数据安全及备份恢复包括数据完整性(S3)、数据保密性(S3)、备份和恢复(A3)几个方面。
数据完整性(S3)
应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
数据保密性(S3)
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
备份和恢复(A3)
应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
我们提出的方案实现的安全级别要高出三级等保要求许多,比如可以应用或系统故障实现秒级切换,数据逻辑错误可以实时回滚,并且核心业务系统可以做到双活容灾。
还可以通过部署备份系统,实现多层次的本地、异地数据及应用的保护。
通常医院的数据中心拥有相当数量的核心业务服务器、存储、网络系统,目前基本上还没有完整的数据安全体系,任何人为的操作错误、软件缺陷、硬件故障、电脑病毒、骇客攻击、自然灾难等诸多因素,均有可能造成数据的丢失和业务的停止,从而给业务系统造成无法估量的损失。
信息系统架构的合理性,系统的安全性、可靠性和最优TCO是本方案的总体目标。
需要逐步建立一个可以满足业务持续发展需要、具有一定先进性、易于管理维护、扩展性强的数据安全体系。
本方案提出了一套合理的数据安全体系,确保整个系统数据的多层次安全保障,本方案涉及容灾备份体系涵盖数据本地备份和应用级容灾。
1.3.环境概述
医院现规划有本地数据中心和异地容灾中心两个机房,其中本地数据中心有数据库级应用服务器共4台,和虚拟机环境上的近30个应用,异地容灾中心设计规划包含服务期、存储及相应网络环境(这部分内容方案汇总方可以根据实际情况调整,但规划的应用容灾实实现上,现仅需在异地机房部署与本地业务系统相对应的物理服务器或者虚拟机,配置上不需要数量与本地数据中心一致)。
本地数据中心环境:
数据库服务器为PC服务器,通过冗余SAN区域存储网络连接到核心存储设备,Windows操作系统和ORACLE数据库
应用服务器为PC服务器,拥有强劲的CPU和足够的内存空间
WEB服务器为PC服务器,足够的内存空间
病毒服务器
主审计服务器
其它服务器等
核心存储设备
网络系统
网络安全设备
参考拓扑图如下:
1.4.待解决问题
本地业务持续性保护
当任何服务器或应用由于人为或者意外原因造成宕机,都会影响到用户正常访问服务器业务,需要有针对整个系统各个核心业务系统的高可用保护手段,同时应避免高可用短板。
本地数据保护
本地服务器上拥有大量的各类业务数据,比如HIS、PACS等,这些数据在意外丢失时,必须要有一个快速本地数据恢复的手段,确保在任何意外情况下可以进行本地数据恢复。
灾难恢复
服务器的数据库和应用即使有本地备份手段,仍然无法避免本地机房发生灾难的情况下的业务和数据保障,而异地数据和业务的保护手段就是容灾,本方案讨论的就是异地应用级双活容灾。
容灾可以分为多个级别,本方案实现的是最高级别的应用级容灾。
2.容灾概述
2.1.概述
数据是整个系统运作的核心。
人为的操作错误,软件缺陷,硬件故障,电脑病毒,骇客攻击,自然灾难等诸多因素,均有可能造成数据的丢失,从而给整个系统造成无法估量的损失。
通常容灾系统可以简单的分为数据容灾和应用级容灾,对于医院这样的业务环境,按照国家规定,需要满足等级保护要求,需要建立一个达到应用级容灾的多层次数据保护体系,达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。
2.2.灾难恢复和业务持续性的区别
很多人认为灾难恢复(DisasterRecovery)和业务持续性(BusinessContinuity)是同一个概念。
实际上它们并不完全一样,当然,它们共同的目标是IT建设中,为了最坏的情况发生而作的准备。
业务持续性(BusinessContinuity)是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念。
针对业务持续性的问题包括:
业务系统持续性的实施计划是什么在问题出现时,谁负责在最短的时间内按照流程将系统恢复工作在特殊情况下,比如灾难的发生需要做什么多长时间能够使系统重新启动工作诸如此类的问题。
比如:
集群就是业务持续性保护手段的一种。
而灾难恢复(DisasterRecovery)是更高级别的安全保护手段,是针对更加严重的情况发生,如何保证系统持续提供服务,并且有完整的数据存在。
那么我们必须知道:
IT系统怎样从灾难发生后,进行数据的恢复采用什么样的技术来达到这样的目标什么样的应用需要在灾难发生时,进行切换,如何切换用户如何访问容灾中心的系统诸如此类的问题。
而灾难恢复的实现,则主要通过远程数据复制和应用切换来实现。
我们看到,灾难恢复部分包含了业务持续性,比如应用级容灾就包括了业务持续性概念,它除了强调系统的远端冗余,更要求能够有完整的数据可供服务。
而业务持续性更加强调系统持续提供服务的能力。
二者都需要对系统运行环境存在的风险进行分析,做出投资决策。
2.3.我们对灾难恢复的认识
我们对灾难恢复有多年的积累,包括用于在灾难发生情况下减少宕机时间计划和技术手段。
一个灾难恢复系统从结构上主要包括远端容灾中心,它能够在本地系统发生问题时,在最短的时间内接管本地的关键业务。
从业务规划角度,远端的容灾中心应该足够的远,越远越安全。
系统在一公里、几公里范围内是无法达到容灾要求的,比如区域停电怎么办那么长期的全局数据安全规划怎么实现呢,真正容灾的保护需要跨区、跨省、甚至跨越国家来实现。
很多全球化企业就是这么做的。
所以灾难恢复环境的实现,需要做到数据复制和应用切换两个环节:
数据复制:
指在异地保证各个系统关键数据和状态参数的一致,根据其实现的方法来分可以是软件的方式,也可以是硬件的方式。
软件方式是在主系统和容灾系统的主机上,安装专用的数据复制软件。
这种方式的特点是成本较低。
但是存在需要占用一定系统资源的问题,随着系统硬件处理能力的提升,这些已经不是问题,因此,这种高性价比的解决方案正在成为大多用户的首选。
硬件方式的数据复制,是数据通过存储阵列控制器直接在存储设备之间传输,由于数据复制是由光纤通道存储阵列控制器完成,因此不占用服务器内存等的硬件资源,也不须由操作系统进行管理和控制,对操作系统资源不会造成占用,对系统效率也不会造成影响,但这种方式无法确保数据库的一致性,并在有些异常情况下,数据库无法正常打开。
同时根据实现的步骤,也可以分为同步复制(实时容灾)和异步复制(异步容灾)。
同步复制是安全级别最高的工作方式,工作时主系统主机向本地的存储设备发送一个I/O请求时,这个请求同时被传送到容灾系统的存储设备中,等到2个存储设备都处理完成后,才向主系统主机返回确认信号。
这一机制确保在两个存储设备中的数据在数据块级别的高度一致。
而异步复制的工作机制是主系统内主机与存储设备间的I/O处理与数据复制过程无关,也就是说,主机无须等待远端存储设备完成I/O处理,只要本地主系统存储设备完成I/O处理后,即向主系统主机发送确认信号。
这样,虽然主系统与容灾系统之间数据复制的通讯效率会提高,但是2个存储设备中的数据就可能存在不一致,这也就是采用异步复制机制的代价。
软件方式对传输控制更加灵活,方案采用的联鼎LanderDisaster可以实现同步传-同步写、同步传、异步写、异步传-同步写、异步传-异步写,满足各种网络环境的需求,比如,网络在工作时间段内繁忙,则可以定义在网络空闲情况下进行传递,而在备机,由于引入了时间漏斗概念,可以灵活定义时间漏斗大小,确保在漏斗内的数据可以灵活恢复,满足了在逻辑错误发生时,可以灵活恢复到指定时间点。
LanderDisaster同时提供了多种容灾实现手段,包括:
基于文件I/O变化捕捉的LanderDisaster复制方式,这种方式完全与应用、数据库无关,实现通用环境的软件容灾,适用于各类数据库和文件环境。
基于数据库日志传递、控制,而实现的高灵活性数据库容灾软件LanderDisaster,嵌入了传输加密、压缩、CDP功能,适用于ORACLE、SQLServer数据库环境的容灾。
应用切换:
即当某个具体应用在一个系统中失效之后,可以在另外一个系统中启动切换并接管该网络服务。
每次进行事务处理时,数据均同步更新。
当主业务中心发生灾难时,远程备份中心子系统中的数据将安然无恙,并且通过备用主机连接而保证数据的可用。
自动的存储子系统故障恢复和故障返回功能允许在线操作继续进行,只需要将客户端与远程子系统重新连接即可恢复业务运作。
通过建立额外的镜像,该方案可实现并行操作。
LanderCluster是联鼎十几年技术积累结晶的旗舰产品,与复制产品完美集成,可以使容灾部署更加方便、科学、可靠。
容灾考量重要指标:
RPO(RecoveryPointObjective):
即数据恢复点目标,主要指的是核心业务系统所能容忍的数据丢失量。
RTO(RecoveryTimeObjective):
即恢复时间目标,主要指的是所能容忍的业务停止服务的最长时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。
这两个指标值越低,容灾质量越高,需要根据实际情况选择部署策略。
2.4.数据库容灾的几种实现方式
由于绝大多数用户核心业务是基于数据库环境的,而数据库容灾是容灾环境中的关键。
目前数据库容灾主要有以下三种方式实现:
基于存储I/O复制实现,比如本方案涉及到的LanderReplicator这种方式是通过底层驱动截获I/O变化,将该变化写成日志,存放在单独的目录中,将日志传输到备机后,通过底层驱动将日志写入到备机,这种方式可以和LanderCluster有效的相结合,实时的保证了数据的一致性和业务的不间断性。
基于数据库可回滚的容灾方式,比如本方案涉及到的LanderDisaster,这种方式是通过底层驱动截获I/O变化,将变化写入日志,生成控制文件,将日志传输到备机后日志会保留设置时间轴长度时间,可以在备机进行容灾演练,回滚时间轴上任意时间点数据,无限次回滚,会打开备机数据库,方便管理员查询,可以将确认回退好的数据同步到主机,这种方式有效的解决了数据的完整,可回退,备机可查询。
基于日志挖掘的数据库逻辑复制方式,比如本方案涉及到的联鼎AliveDB,这种方式是通过对本机数据库日志挖掘,分离出数据库具体的内部操作指令,并将过滤过的操作传递到异地数据库上。
可以跨越不同的操作系统平台,跨越不能的Oracle版本,同时对网络带宽依赖较低,支持数据表、过程、触发器等关键的数据对象,是标准的数据库双活,容灾端可以提供实时的数据查询及报表业务等,在生产机出现故障时容灾机可以立即接管,稳定性极高,这种方式充分的利用了容灾端的计算能力,提高数据同步的效率,减少带宽的使用率,高效的提升系统整体的业务处理能力。
2.5.有效的容灾方案应有特点
正如我们前面提到的,新的需求需要我们换种新的思路来考虑。
在讨论如何以创新的思维来建立一个容灾项目之前,让我们先看一下理想容灾项目要的标准是什么:
灾难备份中心运行在远地环境,并且能够在灾难发生后,在很短的时间内上线(分钟级别);
应该尽量避免数据丢失,或者数据丢失在最小状态;
应用系统切换工作必须尽量减少人工操作,以提高效率;
数据一致性必须有保障;
对生产服务器的影响应该最小,或不构成任何影响。
2.6.容灾系统的设计指标
要建设容灾工程必须提出容灾系统设计指标,作为衡量和选择容灾解决方案的参数。
目前,国际上通用的容灾系统的评审标准为Share78:
备份/恢复的范围
灾难恢复计划的状态
业务中心与容灾中心之间的距离
业务中心与容灾中心之间如何相互连接
数据是怎样在两个中心之间传送的
允许有多少数据被丢失
怎样保证更新的数据在容灾中心被更新
容灾中心可以开始容灾进程的能力
Share78只是建立容灾系统的一种评审标准,在设计容灾系统时,还需要提供更加具体的设计指标。
建立容灾系统的最终目的,是为了在灾难发生后能够以最快的速度恢复数据服务,所以,容灾中心的设计指标主要与容灾系统的数据恢复能力有关。
最常见的设计指标有:
RTO和RPO。
各种容灾解决方案的RTO有较大差别,基于光通道技术的同步数据复制,配合异地备用的业务系统和跨业务中心与备份中心的高可用管理,这种容灾解决方案具有最小的RTO。
容灾系统为获得最小的RTO,同样需要投入大量资金。
RPO反映恢复数据完整性的指标,在同步数据复制方式下,RPO等于数据传输时延的时间,在异步数据复制方式下,RPO基本为异步传输数据排队的时间。
实际应用中,考虑到数据传输因素,业务数据库与容灾备份数据库的一致性(SCN)是不相同的,RPO表示业务数据库与容灾备份数据库的SCN的时间差。
发生灾难后,启动容灾系统完成数据恢复,RPO就是新恢复业务系统的数据损失量。
从经济角度考虑,最佳的容灾解决方案不一定是性能最好的容灾解决方案,容灾系统的总体投入TCO和投资回报ROI,对于许多用户来说是十分重要的设计指标。
TCO包括建立系统、维护系统和扩充系统的总投入,由于容灾系统的启用概率很低,新技术的发展和新产品的性能价格比的提高,必定造成容灾设备的贬值。
所以,对于容灾系统TCO越高,ROI越低。
我们的观点是对于系统规模不大的情况下,容灾系统建设投入,应该控制在主系统投入的30%左右,如果超过将得到非常差的RIO。
由于业务不同模式的IT系统在升级过程中,会采用新技术和新产品,业务系统任何变动都会引起容灾系统相应的变化,势必加大系统升级的投入。
要想把这种变化的影响降低到最小,容灾系统的灵活性和兼容性也应该是十分重要的指标。
综上所述,进行容灾系统设计时,必须根据企事业的业务系统的使用情况,综合考虑地理环境、网络条件、投资规模、业务系统长远发展规划等各种因素,制定合理的可行的容灾系统设计指标。
3.方案设计
3.1.设计概述
综合考虑“技术、成本、融合、发展”因素,运用成熟、可靠、先进、安全的技术和产品,既能适应当前对技术及管理的特定需要,又能满足未来业务扩张、技术产品升级的发展要求。
合理控制总体拥有成本(TCO),有效提高工作效率和服务质量、显著降低维护成本和管理复杂度,实现最大投资回报(ROI)。
3.2.设计思想
数据安全体系架构是一项系统工程,包括系统持续提供服务能力、数据本地安全、数据异地保护以及应用级容灾。
我们在架构数据安全体系的时候,必须从基础架构做起,建立一套具有高度伸缩性、稳固性、可管理性、最优化TCO和服务保障的系统。
大多数用户在系统建立初期,由于各种限制,导致系统建设存在各种安全隐患,资源不能有效利用、管理难度大、扩展性不佳等系列问题,使得IT管理者疲于奔命。
根据我们多年的行业经验,在虚拟化和云计算大潮延伸到各行业的今天,我们有更多的手段和理由来建立一个科学架构的数据安全体系,应主要从以下几个层面入手。
系统持续服务能力
系统持续服务能力是计算机系统运行的基本要求,单纯依靠服务器本身的可靠性很难达到预期,通常的做法是采用集群技术。
集群技术实现了应用的虚拟化,软件的监视程序监视群集中每一个节点状态,并且对出现的故障很快地做出反应,使应用程序不会因为任何单点故障而停止服务,确保整个系统在任何服务器故障的情况下,灵活切换到其它服务器上运行。
并且可以灵活增加服务器节点。
联鼎集群产品LanderCluster是LanderVault家族中的旗舰模块,凝聚了联鼎十五年的技术积累,是目前市场上最优秀的集群软件产品之一。
数据本地安全
数据本地安全主要是通过备份手段,将关键的业务数据、系统数据,备份到备份介质上,并且在数据丢失或者不可恢复的情况下,快速进行数据恢复。
本地数据安全关注的重点在备份恢复速度、备份可靠性上。
如果可以建立一个可以按需分配、自我管理的云备份模式,将更适应未来的发展。
这样的体系下,可以任意增加备份客户端,客户端包括桌面用户和服务器应用。
目前常用的解决方案仍然是通过部署备份软件达到本地数据安全目的,常见的备份软件都能达到本地数据备份的要求,当然,还有一中软硬件一体化解决方案,由于其高性价比的特点,被越来越多的采用。
联鼎2012年推出的智能鼎设备就是一款非常有特点的产品,在诸多的大型用户环境中得到使用。
详细设备信息请参考附件。
本地数据保护的内容是本方案要讨论的核心之一。
数据异地保护
也称为异地数据容灾,是在本地数据保护的基础之上,在异地机房部署一个备份策略,实现本地数据直接传输到异地机房,在本地应用系统故障的情况下,可以直接切换到异地容灾节点使业务正常使用,这个是实现异地容灾的必要手段,是在本地备份系统已经相当完善的情况下,更高级的数据安全手段。
应用级容灾
应用级容灾是数据保护的最高级别,是针对关键业务系统灾难情况下的异地保护手段。
通常这些方案在金融、证券等涉及民生、国家安全的行业中采用。
但随着计算机技术的发展,目前大多数的用户在完成前面几步数据安全体系建设后,开始考虑建立应用容灾系统。
云存储体系
容灾中心的存储架构的合理性是整个灾备中心安全型和伸缩性的基础保障。
云存储云一体化方案部署需要具有以下特点:
采用云平台作为灾备中心提供一体化平台,满足虚拟化数据中心对容灾环境云主机和云存储的应用需求;
采用分布式存储系统具有高吞吐、海量空间、极易扩展等优势,满足云平台提供弹性、安全的高可用存储需求;
基础架构清晰合理;
既满足虚拟化、文件等非结构化数据存储的大容量和方便部署管理,又能满足核心数据库的性能业务需求;
弹性部署,管理便捷;
根据业务规模与需求,灵活扩展计算资源与存储资源。
由于现在有更多的优秀解决方案,我们把容灾系统建设做为重点讨论问题之一。
下图为云存储架构容灾中心平台逻辑图:
3.3.设计原则
本次项目,我们在具体设计方案时,制定了如下的方案设计原则。
这些原则也本身都是从用户实际需求出发,并着眼于配合今后业务发展所必需的数据中心的建设要求。
一是开放性原则系统的开放性必须建立在标准化基础之上,依据当前信息化建设的国际标准、国家标准、卫生标准组织实施。
开放性体现选用产品方面,通过将市场上最好的各类产品组合起来,来构建完整的系统框架。
二是先进性原则在选择核心技术时,充分考虑采用当前最前沿的技术和产品,以确保系统的先进性。
同时,先进技术的应用还必须充分考虑到相关技术的成熟性,以便确保整个系统建成后的长期稳定、正常运转。
三是可靠性原则系统的各个架构层不仅是整体的组成部分,同时也是一个相对独立的工作过程,在系统设计时应当充分考虑到各架构层在运转过程中产生的故障对系统整体效能的影响,尽力避免系统瘫痪情况的发生。
四是扩展性原则由于医院业务在实际工作中还将不断发展,具体业务需求不可能通过一次整理就全部完成,因此系统设计、开发和相关技术的选择必须具有比较强大的扩展能力,为今后系统局部调整或升级留有余地,并能够满足不同系统的需要,以适应业务工作的可持性发展。
五是安全性原则采用合适的技术和方案加强数据的安全防护,尽力避免因遭攻击而受到破坏。
同时在出现故障时,能在较短时间内实现数据恢复。
以上几点是构建数据安全体系的几个要点,按照本方案的思路,可以做到有计划、有步骤的实施,最后达到建立包括应用级容灾的完整数据安全体系。
因为联鼎是一家专业提供完整的自主研发的一体化软件产品解决方案厂商,只需要在同一个管理平台下,就可以完成对整个数据安全体系的架构和管理操作,真正实现一体化的数据安全体系。
3.4.方案说明
3.4.1.方案综述
结合XXXXXX医院实际环境,综合对医院现有系统环境进行分析,为保障业务持续不间断的运行,数据的安全可靠,本地灾难发生时业务不间断等设计目标,我们推荐以下方案,确保XXXXXX医院整体业务系统安全高效的运行。
结合现在本地数据中心的环境,分别部署了以下几个方面的策略:
1、在灾备中心部署云存储平台,建立高度可靠、可伸缩的存储体系,做到存储冗余,可存放虚拟化容灾节点在线数据、虚拟机容灾数据、备份数据和其它必要的应用。
2、采用智能鼎备份一体机实现本地数据备份,对关键业务系统数据文件和数据库进行本地数据保护。
作为多层次数据保护体系的最后一层保护是必须具备的手段。
3、采用智能鼎容灾一体机作为异地容灾平台,与云存储形成高度可靠和可扩展的容灾系统,对本地数据中心的核心业务服务器进行灵活容灾部署。
针对不同类型应用可以采用不同的容灾策略。
采用LanderDisaster容灾模块,对数据库服务器、应用服务器等本地关键业务进行异地应用级容灾保护,确保本地灾难,该业务可以在容灾中心启动,实现准双活容灾;
采用AliveDB模块,实现对核心业务数据库ORACLE的双活容灾,容灾中心的对应服务器ORACLE数据库可以实时访问。
4、采用LanderCluster集群模块对应用服务器、WEB服务器等关键业务进行高可用性保护,确保任何一台服务器宕机,都不会影响业务的运行。
集群模块用于对整个数据中心、灾备中心服务器及应用的状态监控、实时应用切换。
可以在统一平台上,对整个数据中心业务系统进行管理,并可以制定自定义事件。
通过这样部署,实现了本地和异地的整体安全保障,使医院信息系统达到相当高的安全级别。
该安全平台均在联鼎一体化管理平台LanderVault下进行部署和管理,是真正的一体化数据安全平台和体系。
本方案架构对本地数据中心不造成任何影响,不需要改变现有架构,不需要在本地数据中心增加任何硬件设备,是目前最容易部署的
升级会员 