随着互联网医院、单体多院区、医联体等医疗新业务或运行模式的陆续展开，医疗信息化建设迈入新阶段。医疗信息化的加速发展，也推动了数据安全和业务连续性的建设，同时主管单位对医疗数据的处理，以及数据库和核心业务系统的容灾也提出了更高的要求。如何避免业务中断、数据丢失，已经成为医院在信息化建设过程中必须要考虑的关键点。特此，我们邀请了中南大学湘雅二院的信息中心主任朱洪涛来和大家聊聊，分享他对于医院灾备体系建设的思考和实践。

（朱洪涛：高级工程师，计算机硕士，现任中南大学湘雅二医院信息网络中心主任，医学信息研究湖南省普通高等学校重点实验室副主任。）

一、如何结合医院的实际情况和未来的建设需求，选择合适的容灾备份技术路线？

朱洪涛：容灾建设方式可以大体分为备份、容灾、双活三个维度，其中容灾与双活建设又可以分为数据级容灾（双活）与应用级容灾（双活）。数据级容灾系统只能保障数据的完整性、可靠性和安全性，但在实际突发灾难事件中还是会中断，而应用级容灾系统能够提供不间断的应用服务，在灾难事件发生时能够让应用持续稳定地运行。

那么在规划过程中，我个人建议医院应该根据自身的业务属性与分类，针对性地设计不同业务系统的容灾方式，主要可以根据业务所需要的RTO与RPO来选择，具体可以参考“全国医院信息化建设标准与规范”来对不同的系统容灾进行规划。

二、医院在建设数据中心时，备份、容灾、双活究竟该如何选择？

朱洪涛：首先我们要明确三者之间的区别，这里简单做个对比，供大家参考：

从技术原理上来说双活方案提供的是应用保护，容灾备份提供的是数据保护。具体来说，双活方案指当某台设备或某个数据中心发生物理故障，如停电、硬件故障、网络中断等时，核心应用（如 HIS）不会中断，前端的医务工作人员对故障无感知。

但是对于逻辑错误，双活方案是无能为力的。因为双活技术的­原理决定了病毒会同时感染两个数据中心，所以双活解决方案是无法防范病毒入侵、人为误操作导致数据丢失等逻辑错误的。

真正意义上的完整双活，是对各个环节要求都非常高的，包括网络时延、数据库、存储层面双活等，其中最重要的是要求应用软件能够支持双活甚至多活的部署模式。所以目前在医疗行业，大部分双活其实只做到了部分层面的双活。

容灾提供的则是类似于主备形式的业务保护，其中又分为热备与冷备机制。容灾能够同样在15-30分钟以内实现业务的恢复与拉起，但是会有业务中断的情况。

其次，容灾能够与备份、连续数据保护(CDP)机制相结合，实现多个业务时间点的数据回滚，能够非常有效地应对勒索病毒等逻辑错误。

 建设TIPS 

建设TIPS ： 

1. 针对医院最核心的业务系统HIS：

比较完善的保护方案是双活+连续数据保护(CDP) ，这样既能杜绝业务中断，又能防止数据丢失，还能实现中病毒后业务的快速恢复。

2. 对于其他较为关键的临床业务系统：

建议采用容灾+连续数据保护(CDP)，这样能够在较短时间内实现业务的恢复，并且对网络带宽、应用软件的要求不会过高，在灾备建设的投入上也能够达到一个较好的平衡点。

双活解决方案对于网络、存储的要求会比较高，整体的投入也很高，建议大家还是根据医院的实际水平来规划，不要盲目去规划双活。目前很多热备的技术产品和方案也能够满足医院核心业务的灾备需求。

3. 针对医院非临床类的业务（管理类、统计类、后勤类）

以数据备份为主，确保在不可抗力发生时，数据不会丢失，业务则可以通过手动的形式进行恢复。

三、当前医院系统涉及到的品牌众多，各厂商使用的业务架构和数据库类型又都不同，针对一些不常见的数据库（比如cache数据库）做灾备建设时，医院如何更好地去选择和规划灾备平台呢？

朱洪涛：我个人建议大家在选择灾备平台时，尽量选择兼容性强、适配厂家多的主流品牌。因为医院的业务近年来一直在变化，从原来的HIS、电子病历，到最近的集成平台、大数据平台，一个三甲医院的业务系统少则几十个，多则达上百个，系统整体越来越复杂，架构也越来越多。因此选择一个能够对多类型业务进行容灾的平台是很关键的，但是这类平台大多是基于云平台或者操作系统层面所实现的容灾。

那么针对数据库，尤其是像cache这类较为少见的数据库，建议采用数据库自带的镜像（复制）机制实现数据库级别的容灾，基于数据库镜像机制，基本不会出现坏块、坏表的情况。

四、容灾演练在电子病历测评、三甲医院复审里都有明确要求，但目前看每年都开展容灾演练的医院比较少，对容灾演练您有什么建议吗？

朱洪涛：其实容灾演练对医院来说都是比较重视的，之所以现在开展还比较少，我认为主要是目前容灾演练的不规范、黑盒化与门槛化这些原因。现在除了一些比较大的三甲医院，大部分医院都没有标准的灾难响应计划（DRP），导致很多信息中心的工程师其实是缺乏一套流程来进行容灾演练的。

其次，目前业内大量的容灾方案是非常依赖容灾厂商与规划厂商的，很多容灾方案对医院来说，要做演练是存在一定门槛的。医院信息中心对自己投入大量成本建设的灾备平台的掌控力度是比较弱的，大家潜意识也担心演练的实际效果，更担心容灾演练变成灾难事件。

所以我们医院在灾备中心建设完毕以后，第一次演练时我明确要求厂商要手把手全流程给我们的信息中心赋能，而且我也和几位工程师一起制定了我们医院的容灾响应计划。我们就是要通过演练来把信息中心的容灾能力与容灾计划实打实的操练出来，让容灾的效果和能力真正掌握在我们信息中心手上。

五、您对深信服近期推出的医疗行业数据中心解决方案如何评价的呢？这套方案是否能满足您对医院 容灾建设的需求呢？

据我了解，深信服目前已经具备了备份、容灾、延伸集群双活、云灾备、CDP等比较全面的容灾解决方案，能满足医院灾备体系建设面临的多种场景需求。就像我前面提到的，医院的容灾建设是一个复杂并且体系化的过程，很少有医院的灾备体系建设是采取单一架构的，深信服这种更灵活的灾备解决方案是未来的灾备建设的一个趋势。

另外，深信服前段时间推出的异构容灾平台，也让我眼前一亮，说明深信服在这方面有很高的研发投入。这个异构方案能够基于云平台、虚拟化平台、裸金属等不同架构都可以实现容灾，并且支持业界目前比较少见的cache数据库、TIDB等分布式数据库的容灾。这样的方案模式其实是更加适合医院未来业务架构逐步演进的需要。

还有一点是容灾服务，其实医院对容灾规划、容灾演练都是有刚需的。但是很多容灾平台的测试、实施包括后面的演练都离不开厂商。这让容灾平台变成了一个黑盒。我觉得深信服在提供容灾演练相关服务时，医院的工程师参与并掌握全过程实操是很不错的。医院最需要的就是这类“授人以鱼不如授人以渔”的合作伙伴。

总结：

1. 医院应根据自身的业务属性与分类，针对性地设计不同业务系统的容灾方式，主要可以根据业务所需要的RTO与RPO来选择。

2. 根据医院的实际业务情况来规划双活，核心业务系统可以采用最完善的保护方案，双活+ CDP机制；临床业务系统则建议采用容灾+CDP机制；非临床类的管理类、统计类、后勤类业务则可以以数据备份为主。 

3. 选择灾备平台时，医院应尽量选择兼容性强、适配厂家多的主流品牌。

4. 医院在灾备中心建设完后，要通过容灾演练把容灾能力实打实的操练出来，让容灾的效果和能力真正掌控在医院信息中心手上。

5. 深信服推出的异构容灾平台，很适合医院未来业务架构逐步演进的需要；医院应该多考虑能够“授人以渔”的服务或者合作伙伴。