医院信息系统的数据安全
随着国家“金卫”工程及全国医疗保险制度的全面推开,以及计算机软件及硬件技术的不断发展,计算机在医院的应用越来越广泛,各医院也根据自己的实际情况,或自行开发或购买软件公司的医院信息系统(HIS),我院于2000年9月建成了覆盖全院收费、药库、药房、病区、手术室、检验、病案、物资、财务和审计等科室的医院信息系统。
4年来,HIS的应用已成为医院深化改革、强化管理和发展内涵的重要保障 [1] ,其HIS运行数据对医院及患者起着举足轻重的作用。因医院是一特殊的服务行业,HIS必须能够保证24h不间断运行,否则将给医院带来很大的经济损失和社会负面影响,因此HIS的正常运行和数据的安全就显得尤为重要。基于这一点我院于2002年5月建成了双机热备份系统,现就其建设及运行情况作一介绍。
1 HIS数据安全隐患
我院的局域网采用总线型加星型拓扑结构,主干网为六芯多模千兆光纤,中心机房使用两台Xeon系列服务器,服务器运行Win NT4.0,数据库采用标准版SQL Server7.0。目前接入网络的客户机已超过百台,操作系统均为Windows98,前台开发工具为处理数据报表功能很强
, http://www.100md.com
的Power Builder6.0。在过去几年的HIS运行过程中,曾出现过服务器、网络等故障而导致HIS服务不能正常运行,网络故障通常表现为网络不通,大部分是因为网线或交换机本身故障,影响面不大,通过更换网线或交换机可迅速解除故障;但导致服务器这一HIS运行的核心发生故障的原因却很多,如硬盘故障,主板故障,系统自有的稳定性等,并且随着服务器运行时间的增加故障发生率会越来越大,如何才能保证服务器在各种情况下均无数据丢失,这就涉及到数据的安全性及数据的备份恢复机制。
2 数据安全技术及防范
2.1 RAID技术 RAID技术是通过磁盘阵列与数据条块化方法相结合,以提高数据可用率的一种结构,并利用“奇偶校验”技术,在硬盘失效时重新产生数据,结合硬盘热插拔技术,通过更换故障盘,可保证数据的安全性和完整性。RAID技术通常分为6级,为RAID0,RAID1……RAID5,RAID0连续地分别将数据并行地读/写于多个磁盘上,I/O传输率较高,但平均故障时间(MTTF)只有单盘的N分子一,因此RAID0可靠性最差。RAID5是一种旋转奇偶校验独立存取的阵列方式,在每块硬盘上既有数据信息,也有校验信息,因此适用于大数据量的操作,也适用于各种事务处理,是一种快速、大容量和容错分布合理的磁盘阵列,当有n块硬盘时,用户实际空间为n-1块硬盘空间。
, 百拇医药
2.2 双机热备份 我院中心机房硬件为服务器两台(HP LH6000和HP LH3000),分别作为主、从服务器。磁盘阵列柜一台(EscortDA6000),两台服务器通过SCSI控制卡与磁盘阵列柜相连,服务器之间通过心跳线相互侦测,考虑到单根跳线侦测可能会因心跳线本身故障而导致误侦,故采用RS232数据线加TCP/IP网线来侦测服务器的运行状态。在两台服务器上均安装RaidSys容错软件。在两台服务器均正常运行的情况下,HIS的所有事务处理均由主服务器(HP LH6000)进行响应,而从服务器(HP LH3000)处于待机状态。当主服务器发生故障而宕机时,从服务器通过心跳线侦测到后,在RaidSys软件的控制下将主服务器的所有服务自动接管过来进行服务。我院采用的磁盘阵列柜支持RAID0~RAID5技术,结合RAID技术及其特点,我们采用RAID5技术,在磁盘阵列柜上安装5块36G HP硬盘,因RAID5技术在其中一块硬盘发生故障后,RAID组从ONLINE变为DEGRADED方式,I/O读写不受影响,但如又有第2块硬盘发生故障时,则RAI
, http://www.100md.com
D组数据全部丢失,故我们将其中一块作为后备式,另四块硬盘利用RAID5技术,其实际容量为108G。结合我院每年数据量15G的实际情况,可保证5年内的数据在线服务。
2.3 异地数据备份 通过采用双机热备份技术,可以很好地控制因1台服务器宕机而导致HIS服务不能运行的可能,但对于非技术如火灾、地震等不可抗拒因素而导致数据丢失,双机热备份技术却无能为力,为此我们考虑在异地安装一服务器做异地备份用。我院在离中心机
房不远的地方另设一备份机房,服务器为HP LC2000,操作系统为Win NT4.0。异地备份我们利用SQL Server7.0的DatabaseMainteˉnance Plans服务设置一Backup定时任务,由于备份操作会耗用较长时间,我院进行一次数据完全备份,耗时大约需2h30min,因此我们考虑将备份时间放在每天数据访问量相对较少时进行,我们设定为凌晨1点自动执行。在定置任务时,设定保存2天的备份数据文件,这样可保证当某天数据备份过程中出现故障时也能进行数据的安全恢复。
, 百拇医药
3 典型实例
3.1 软件升级 2002年12月16日下午4:53,因局域网发现新的网络病毒,决定升级服务器杀毒软件病毒库,安装后系统在未提示的情况下即自行重启动,此时运行在从服务器的RaidSys软件侦测到主服务器某一任务结束时即自动切换,具体顺序为:Volume_E(卷标),IP(IP地址),Tyhis(服务器名),MSSQLServer(SQL数据库引擎),SQLServerAgent(SQL任务调度程序)。4:54,系统切换成功,至此主服务器所有服务被从服务器全部接管过来,历时不到1min。
3.2 突然掉电 2003年8月24日下午5:10,因医院安装医学影像与存储系统(PACS),考虑到PACS数据量的庞大,决定另外安装一服务器,在拔插服务器电源线时,因插线板故障导致主服务器(HP LH6000)突然掉电,运行在从服务器的RaidSys软件立即显示连接两台服务器的两根心跳线为红色,并将所有任务接管过来,历时不到1min。
, http://www.100md.com
两次不可预知情况下的系统切换,均未造成数据的丢失,保证了数据安全性及完整性。
4 小结
医院信息系统已逐渐成为医院管理现代化的重要标 志,成为医院现代化管理不可或缺的系统工程,并且在医院运行环节中起着越来越重要的作用,系统运行情况直接体现医院现代化水平及医院的管理水平与质量,医院信息系统正常运行的成败很大程度上取决于数据的安全及完整,而医院数据安全的关键是减少单点故障的发生,及时备份数据,因此有条件的医院可考虑使用网络存储器,并建立后援磁带备份机制,定期将数据备份到磁带上。只有充分利用先进技术,对单点故障进行重点建设,做好数据备份机制,加强安全意识,才能保证HIS的稳定、高效及数据的安全和完整。
参考文献
1 高燕婕,朱百钢,陈宗厚,等.现代远程医疗与医院信息系统(HIS)建设全书,第2卷.北京:光明日报出版社,2001,607.
作者单位:225400扬州大学医学院附属泰兴市人民医院信息科
(编辑 雪见), 百拇医药(刘松林)
4年来,HIS的应用已成为医院深化改革、强化管理和发展内涵的重要保障 [1] ,其HIS运行数据对医院及患者起着举足轻重的作用。因医院是一特殊的服务行业,HIS必须能够保证24h不间断运行,否则将给医院带来很大的经济损失和社会负面影响,因此HIS的正常运行和数据的安全就显得尤为重要。基于这一点我院于2002年5月建成了双机热备份系统,现就其建设及运行情况作一介绍。
1 HIS数据安全隐患
我院的局域网采用总线型加星型拓扑结构,主干网为六芯多模千兆光纤,中心机房使用两台Xeon系列服务器,服务器运行Win NT4.0,数据库采用标准版SQL Server7.0。目前接入网络的客户机已超过百台,操作系统均为Windows98,前台开发工具为处理数据报表功能很强
, http://www.100md.com
的Power Builder6.0。在过去几年的HIS运行过程中,曾出现过服务器、网络等故障而导致HIS服务不能正常运行,网络故障通常表现为网络不通,大部分是因为网线或交换机本身故障,影响面不大,通过更换网线或交换机可迅速解除故障;但导致服务器这一HIS运行的核心发生故障的原因却很多,如硬盘故障,主板故障,系统自有的稳定性等,并且随着服务器运行时间的增加故障发生率会越来越大,如何才能保证服务器在各种情况下均无数据丢失,这就涉及到数据的安全性及数据的备份恢复机制。
2 数据安全技术及防范
2.1 RAID技术 RAID技术是通过磁盘阵列与数据条块化方法相结合,以提高数据可用率的一种结构,并利用“奇偶校验”技术,在硬盘失效时重新产生数据,结合硬盘热插拔技术,通过更换故障盘,可保证数据的安全性和完整性。RAID技术通常分为6级,为RAID0,RAID1……RAID5,RAID0连续地分别将数据并行地读/写于多个磁盘上,I/O传输率较高,但平均故障时间(MTTF)只有单盘的N分子一,因此RAID0可靠性最差。RAID5是一种旋转奇偶校验独立存取的阵列方式,在每块硬盘上既有数据信息,也有校验信息,因此适用于大数据量的操作,也适用于各种事务处理,是一种快速、大容量和容错分布合理的磁盘阵列,当有n块硬盘时,用户实际空间为n-1块硬盘空间。
, 百拇医药
2.2 双机热备份 我院中心机房硬件为服务器两台(HP LH6000和HP LH3000),分别作为主、从服务器。磁盘阵列柜一台(EscortDA6000),两台服务器通过SCSI控制卡与磁盘阵列柜相连,服务器之间通过心跳线相互侦测,考虑到单根跳线侦测可能会因心跳线本身故障而导致误侦,故采用RS232数据线加TCP/IP网线来侦测服务器的运行状态。在两台服务器上均安装RaidSys容错软件。在两台服务器均正常运行的情况下,HIS的所有事务处理均由主服务器(HP LH6000)进行响应,而从服务器(HP LH3000)处于待机状态。当主服务器发生故障而宕机时,从服务器通过心跳线侦测到后,在RaidSys软件的控制下将主服务器的所有服务自动接管过来进行服务。我院采用的磁盘阵列柜支持RAID0~RAID5技术,结合RAID技术及其特点,我们采用RAID5技术,在磁盘阵列柜上安装5块36G HP硬盘,因RAID5技术在其中一块硬盘发生故障后,RAID组从ONLINE变为DEGRADED方式,I/O读写不受影响,但如又有第2块硬盘发生故障时,则RAI
, http://www.100md.com
D组数据全部丢失,故我们将其中一块作为后备式,另四块硬盘利用RAID5技术,其实际容量为108G。结合我院每年数据量15G的实际情况,可保证5年内的数据在线服务。
2.3 异地数据备份 通过采用双机热备份技术,可以很好地控制因1台服务器宕机而导致HIS服务不能运行的可能,但对于非技术如火灾、地震等不可抗拒因素而导致数据丢失,双机热备份技术却无能为力,为此我们考虑在异地安装一服务器做异地备份用。我院在离中心机
房不远的地方另设一备份机房,服务器为HP LC2000,操作系统为Win NT4.0。异地备份我们利用SQL Server7.0的DatabaseMainteˉnance Plans服务设置一Backup定时任务,由于备份操作会耗用较长时间,我院进行一次数据完全备份,耗时大约需2h30min,因此我们考虑将备份时间放在每天数据访问量相对较少时进行,我们设定为凌晨1点自动执行。在定置任务时,设定保存2天的备份数据文件,这样可保证当某天数据备份过程中出现故障时也能进行数据的安全恢复。
, 百拇医药
3 典型实例
3.1 软件升级 2002年12月16日下午4:53,因局域网发现新的网络病毒,决定升级服务器杀毒软件病毒库,安装后系统在未提示的情况下即自行重启动,此时运行在从服务器的RaidSys软件侦测到主服务器某一任务结束时即自动切换,具体顺序为:Volume_E(卷标),IP(IP地址),Tyhis(服务器名),MSSQLServer(SQL数据库引擎),SQLServerAgent(SQL任务调度程序)。4:54,系统切换成功,至此主服务器所有服务被从服务器全部接管过来,历时不到1min。
3.2 突然掉电 2003年8月24日下午5:10,因医院安装医学影像与存储系统(PACS),考虑到PACS数据量的庞大,决定另外安装一服务器,在拔插服务器电源线时,因插线板故障导致主服务器(HP LH6000)突然掉电,运行在从服务器的RaidSys软件立即显示连接两台服务器的两根心跳线为红色,并将所有任务接管过来,历时不到1min。
, http://www.100md.com
两次不可预知情况下的系统切换,均未造成数据的丢失,保证了数据安全性及完整性。
4 小结
医院信息系统已逐渐成为医院管理现代化的重要标 志,成为医院现代化管理不可或缺的系统工程,并且在医院运行环节中起着越来越重要的作用,系统运行情况直接体现医院现代化水平及医院的管理水平与质量,医院信息系统正常运行的成败很大程度上取决于数据的安全及完整,而医院数据安全的关键是减少单点故障的发生,及时备份数据,因此有条件的医院可考虑使用网络存储器,并建立后援磁带备份机制,定期将数据备份到磁带上。只有充分利用先进技术,对单点故障进行重点建设,做好数据备份机制,加强安全意识,才能保证HIS的稳定、高效及数据的安全和完整。
参考文献
1 高燕婕,朱百钢,陈宗厚,等.现代远程医疗与医院信息系统(HIS)建设全书,第2卷.北京:光明日报出版社,2001,607.
作者单位:225400扬州大学医学院附属泰兴市人民医院信息科
(编辑 雪见), 百拇医药(刘松林)