馬存寧 袁雪 劉玉泉 王澤川 胡欣 王杰 王至誠 曹新志

（江蘇省中西醫(yī)結(jié)合醫(yī)院 信息中心 江蘇 南京 210028）

引言

CDP（continuous data protection）是一種在不影響主要數(shù)據(jù)運(yùn)行的情況下，可以實(shí)現(xiàn)捕捉或跟蹤目標(biāo)數(shù)據(jù)所發(fā)生的任何變化，并且能夠恢復(fù)到此前任意時(shí)間點(diǎn)的技術(shù)方法。CDP在醫(yī)院主要應(yīng)用于對(duì)醫(yī)療信息系統(tǒng)的數(shù)據(jù)持續(xù)保護(hù)[1]。CDP因可實(shí)現(xiàn)數(shù)據(jù)備份、系統(tǒng)恢復(fù)、災(zāi)難恢復(fù)和異地災(zāi)備等多項(xiàng)功能，故能完整保護(hù)醫(yī)院的信息系統(tǒng)，它可提供一個(gè)業(yè)務(wù)生產(chǎn)系統(tǒng)數(shù)據(jù)的實(shí)時(shí)連續(xù)復(fù)制，而且提供了顆粒度無限的恢復(fù)點(diǎn)，可存取任何時(shí)間點(diǎn)上數(shù)據(jù)，還可將本地?cái)?shù)據(jù)保護(hù)擴(kuò)展到異地，實(shí)現(xiàn)遠(yuǎn)程容災(zāi)，各類故障情況下，均能在幾分鐘內(nèi)恢復(fù)業(yè)務(wù)重新上線運(yùn)行，從文件丟失到磁盤損壞到全站點(diǎn)損壞，均可利用CDP的快速恢復(fù)功能在幾分鐘內(nèi)恢復(fù)業(yè)務(wù)上線運(yùn)行，充分保證醫(yī)院的業(yè)務(wù)連續(xù)性[2,3]。

CDP解決方案相比常規(guī)局部防御體系災(zāi)備技術(shù)，具備災(zāi)難防范的全面性，不會(huì)出現(xiàn)無法恢復(fù)數(shù)據(jù)的局面。CDP解決方案可以實(shí)現(xiàn)本地恢復(fù)和異地恢復(fù)的分層恢復(fù)體系，而大部分災(zāi)難在本地即刻恢復(fù)（如數(shù)據(jù)丟失或磁盤陣列損壞等），不需采用異地災(zāi)備系統(tǒng)，這種體系的恢復(fù)效率和減少災(zāi)難造成影響的能力獲得其在醫(yī)院中的普遍應(yīng)用[4]。CDP這種分層次恢復(fù)的能力可以準(zhǔn)確定位應(yīng)對(duì)災(zāi)難的解決方案，做到快速有效的恢復(fù)。其精簡復(fù)制功能帶有獨(dú)特的帶寬優(yōu)化技術(shù)，是存儲(chǔ)設(shè)備級(jí)災(zāi)備技術(shù)占用帶寬的1/50，是常規(guī)災(zāi)備技術(shù)占用帶寬的1/6，在窄帶環(huán)境下輕松實(shí)現(xiàn)異地災(zāi)備，可為醫(yī)院節(jié)約大量帶寬方面的投資。

然而在CDP實(shí)施過程中存在潛在風(fēng)險(xiǎn)，安裝CDP過程中，需要系統(tǒng)重啟，可能將導(dǎo)致系統(tǒng)不可用和業(yè)務(wù)數(shù)據(jù)丟失，提前備份好數(shù)據(jù)并規(guī)劃預(yù)留停機(jī)時(shí)間，做好計(jì)劃，測算好業(yè)務(wù)的流量并選擇合適的時(shí)機(jī)都很重要。另外，在實(shí)施過程中，還可能會(huì)出現(xiàn)數(shù)據(jù)同步引起的主機(jī)運(yùn)行異常，同步速度的限制，和其他因?qū)嵤┻^程而導(dǎo)致的主機(jī)嚴(yán)重錯(cuò)誤等問題。為此，我們引入PDCA管理方法，PDCA循環(huán)又稱“戴明循環(huán)”，由美國的質(zhì)量管理專家休哈特博士提出的，后由戴明采納普及。PDCA循環(huán)由英文字母Plan（計(jì)劃）、Do（實(shí)施）、Check（檢查）、Action（處理）首字母組成，對(duì)于每件事情，通常我們會(huì)先做計(jì)劃（P），計(jì)劃完了以后去實(shí)施（D），實(shí)施的過程中進(jìn)行檢查（C），檢查執(zhí)行結(jié)果是否達(dá)到了預(yù)期，分析影響的因素、出現(xiàn)問題的原因，并提出解決的措施，對(duì)于沒有解決的問題，應(yīng)提交給下一個(gè)PDCA循環(huán)中去解決，PDCA循環(huán)不是停留在一個(gè)水平上的循環(huán)，不斷解決問題的過程就是水平逐步上升的過程。PDCA循環(huán)可以使我們的思路和工作步驟更加條理化、系統(tǒng)化、科學(xué)化。其應(yīng)用非常廣泛，它可以運(yùn)用于自己所做的每件事情中。在醫(yī)療行業(yè)里，PDCA循環(huán)可以發(fā)現(xiàn)和改善各種管理問題，如數(shù)據(jù)安全管理、績效考核管理、醫(yī)療器械管理、設(shè)備安全管理以及其他醫(yī)療廢物管理等，在處理和解決問題的過程中，對(duì)于成功的經(jīng)驗(yàn)應(yīng)該給予肯定，并進(jìn)行標(biāo)準(zhǔn)化，不斷提高該領(lǐng)域的水平。

針對(duì)醫(yī)療數(shù)據(jù)安全管理問題，本文探討了如何利用PDCA循環(huán)來實(shí)現(xiàn)CDP在實(shí)施過程中的風(fēng)險(xiǎn)防控。

1 項(xiàng)目實(shí)施

1.1 實(shí)施計(jì)劃

項(xiàng)目實(shí)施前，先制定計(jì)劃，包括實(shí)施計(jì)劃步驟、確定項(xiàng)目實(shí)施人員和制定風(fēng)險(xiǎn)故障應(yīng)對(duì)方案等。

（1）實(shí)施計(jì)劃步驟（2）確定項(xiàng)目實(shí)施人員（3）風(fēng)險(xiǎn)故障應(yīng)對(duì)方案

1.2 執(zhí)行

CDP系統(tǒng)搭建時(shí)，新增CDP主機(jī)與目標(biāo)服務(wù)器間的備份專用網(wǎng)絡(luò)，使備份數(shù)據(jù)流量通過備份專用網(wǎng)絡(luò)通信傳輸，不通過業(yè)務(wù)網(wǎng)絡(luò)傳輸，可不占用業(yè)務(wù)帶寬資源，使得備份任務(wù)執(zhí)行期間不影響業(yè)務(wù)數(shù)據(jù)的交互[12]。但是在搭建這種架構(gòu)的時(shí)候，需要充分考慮到集群服務(wù)器的特殊性，搭建局域網(wǎng)時(shí)，集群網(wǎng)絡(luò)需單獨(dú)設(shè)置，在故障轉(zhuǎn)移群集管理器(WSFC)-網(wǎng)絡(luò)中，選擇新增的局域網(wǎng)，選擇不允許在此網(wǎng)絡(luò)上進(jìn)行群集網(wǎng)絡(luò)通信，此設(shè)置是為了不讓新建備份專用網(wǎng)絡(luò)干擾群集心跳網(wǎng)絡(luò)的正常運(yùn)行，因?yàn)閷?shí)際操作過程中可能會(huì)出現(xiàn)備份而導(dǎo)致的心跳網(wǎng)絡(luò)報(bào)錯(cuò)和群集強(qiáng)制切換報(bào)錯(cuò)等。

此外，在搭建CDP虛擬機(jī)的過程中，即使虛擬機(jī)的業(yè)務(wù)網(wǎng)絡(luò)正常運(yùn)行，也可能會(huì)存在組建局域網(wǎng)過程中無法與服務(wù)器私網(wǎng)地址（不同網(wǎng)段）通信，在VMware vSphere Client中需要添加標(biāo)準(zhǔn)交換機(jī)vSwitch，創(chuàng)建新的虛擬機(jī)端口組并設(shè)置網(wǎng)絡(luò)標(biāo)簽，將新的網(wǎng)卡劃分到新的標(biāo)準(zhǔn)交換機(jī)vSwitch上。

1.3 檢查

執(zhí)行備份計(jì)劃任務(wù)，檢查備份是否成功，檢查過程中出現(xiàn)因備份導(dǎo)致服務(wù)器卡死，首先考慮是I/O資源占用率太高，其次觀察系統(tǒng)資源性能監(jiān)視器，發(fā)現(xiàn)并不是I/O占用的問題，繼續(xù)排查CDP軟件的問題，保持配置步驟在另生產(chǎn)故障轉(zhuǎn)移群集環(huán)境中測試并獲得成功，但是Windows Server 2003 R2 群集，因系統(tǒng)環(huán)境不通無法進(jìn)行對(duì)比并定位問題所在，進(jìn)一步懷疑是操作系統(tǒng)的問題，預(yù)搭建Windows Server2008R2集群再次測試。

1.4 處理

采用了2臺(tái)Windows Server 2008 R2服務(wù)器做集群，采用相同系統(tǒng)環(huán)境并安裝CDP Agent軟件，測試通過，備份任務(wù)成功執(zhí)行。查看日志進(jìn)一步分析，備份執(zhí)行到調(diào)用本地卷影復(fù)制服務(wù)（VSS）時(shí)發(fā)生卡死。繼對(duì)比補(bǔ)丁安裝情況，發(fā)現(xiàn)新建群集服務(wù)器并未安裝補(bǔ)丁，問題目標(biāo)服務(wù)器安裝200余個(gè)補(bǔ)丁，懷疑為補(bǔ)丁導(dǎo)致服務(wù)調(diào)度異常，后逐個(gè)安裝補(bǔ)丁發(fā)現(xiàn)安全更新程序 (KB3033929)安裝后，執(zhí)行時(shí)本地卷影復(fù)制服務(wù)掛起并觸發(fā)系統(tǒng)宕機(jī)，導(dǎo)致問題目標(biāo)服務(wù)器宕機(jī)，卸載相應(yīng)補(bǔ)丁后測試通過，同步任務(wù)正常執(zhí)行。

2 結(jié)果

通過PDCA整個(gè)流程的運(yùn)行，項(xiàng)目實(shí)施中解決了服務(wù)器卡死的情況，系統(tǒng)運(yùn)行同步數(shù)據(jù)順利，實(shí)現(xiàn)了持續(xù)數(shù)據(jù)保護(hù)的功能，數(shù)據(jù)可以在秒級(jí)和I/O級(jí)時(shí)瞬間恢復(fù)到任意歷史軌跡，并且恢復(fù)的過程可迅速完成。此方法完全不同于傳統(tǒng)體系的回存恢復(fù)機(jī)制，在恢復(fù)的速度上以及恢復(fù)到任何時(shí)間點(diǎn)的能力上均產(chǎn)生了不可比擬的飛躍。利用PDCA方法進(jìn)行CDP的實(shí)施，使得備份的數(shù)據(jù)立即可用，無需各類備份技術(shù)冗長的數(shù)據(jù)回滾過程。通過此次實(shí)踐結(jié)果看出，CDP可以在磁盤故障時(shí)無需停機(jī)，當(dāng)生產(chǎn)數(shù)據(jù)發(fā)生嚴(yán)重故障不能生產(chǎn)時(shí)，CDP可以快速接管業(yè)務(wù)，無需等待故障修復(fù)，也無需事先部署備用系統(tǒng)，原數(shù)據(jù)庫和應(yīng)用在原服務(wù)器上照常提供服務(wù)。這個(gè)功能可以充分保證業(yè)務(wù)連續(xù)性，實(shí)現(xiàn)存儲(chǔ)層面的冗余，大幅提高系統(tǒng)可靠性，同時(shí)也大大降低部署成本。

3 討論

隨著大數(shù)據(jù)和互聯(lián)網(wǎng)技術(shù)的日益發(fā)展，醫(yī)療信息時(shí)刻面臨著數(shù)據(jù)丟失、數(shù)據(jù)泄露、人為誤刪除、惡意篡改、黑客攻擊、病毒等種種威脅。這些潛在的數(shù)據(jù)安全問題對(duì)信息保護(hù)、容災(zāi)備份等措施提出了有效性的挑戰(zhàn)。在技術(shù)方面，定時(shí)備份已經(jīng)不能滿足市場需求，實(shí)時(shí)備份、鏡像復(fù)制技術(shù)也呈現(xiàn)出一定的缺陷，CDP數(shù)據(jù)保護(hù)技術(shù)獲得越來越多專業(yè)人士的認(rèn)可。除了數(shù)據(jù)安全外，CDP容災(zāi)備份還可保障業(yè)務(wù)的持續(xù)性，對(duì)要求極高的醫(yī)療、教育、金融等行業(yè)采用CDP容災(zāi)備份方案，切實(shí)保障了業(yè)務(wù)的連續(xù)性和安全穩(wěn)定性。在項(xiàng)目實(shí)施過程中，每一件事情先做計(jì)劃，計(jì)劃完了以后去實(shí)施，實(shí)施的過程中進(jìn)行檢查，檢查結(jié)果以后進(jìn)行處理總結(jié)，再把處理的結(jié)果進(jìn)行改進(jìn)，進(jìn)行實(shí)施，進(jìn)行改善，這樣把沒有改善的問題又放到下一個(gè)循環(huán)里面去，就形成一個(gè)一個(gè)的PDCA循環(huán)。PDCA循環(huán)應(yīng)用了科學(xué)的統(tǒng)計(jì)觀念和處理方法，作為推動(dòng)工作、發(fā)現(xiàn)問題和解決問題的有效工具。本文以CDP項(xiàng)目實(shí)施為例，結(jié)合PDCA循環(huán)管理理念進(jìn)行醫(yī)院業(yè)務(wù)數(shù)據(jù)的持續(xù)性保護(hù)，不僅順利解決了實(shí)施過程中服務(wù)器卡死等問題，還做到了快速響應(yīng)和數(shù)據(jù)節(jié)點(diǎn)的瞬間恢復(fù)，保障了醫(yī)院業(yè)務(wù)系統(tǒng)的正常運(yùn)行。