江苏省盐城市中心血站 江苏盐城 224005
近年来,国内采供血行业信息化发展迅速,采供血机构逐步向集中、跨区域的“信息整合”过度。灾难备份作为血液集中化检测项目容灾系统的一个组成部分有着十分重要的作用,对信息系统所支持的关键业务功能在灾难发生后及时恢复和继续运作提供了保证。
关键词:灾难备份系统;数据恢复技术;异地灾难备份架构
1概述
根据5血站质量管理规范6和5血站实验室质量管理规范6中关于计算机信息管理系统灾难备份方面的相关要求(对数据库进行定期备份,并确保备份库存点与主体数据库有效安全分隔)只需要配备一套存储设备(光盘或移动硬盘等)每天手工进行一次完全数据备份并且场外保存即可。但事实是这样操作直接导致灾难恢复等级很低,按照国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988)2007)中的定义只能达到1级或是2级,而对于LIMS(实验室信息管理系统,laboratoryinformationmanage-mentsystem)这种对业务连续性和数据及时性要求较高的应用而言这样等级的灾难恢复系统显然是不能很好满足要求的。
现在由于集中化检测项目的实行,盐城市血液中心已对LIMS进行了升级,并分别确认了数据备份系统、备用基础设施、备份数据处理系统、备份网络系统、技术支持能力、运行维护管理能力和灾难恢复预案这7个要素需要达成的目标从而制定出一整套全新的集中化检测。实验室信息管理项目的灾难备份系统,具体分为2个阶段实施,目前第一阶段已完成。
2运行、备份模式
由于2012年盐城市血液中心已建成全市采供血信息系统包括其灾难备份系统所以这次的集中化检测项目及其灾备系统借鉴了很多经验,并基于性能和成本作出了不少优化。在第一阶段里整个LIMS系统采用了双机故障集群,保证在1台机器崩溃时,另1台能自动接管,使业务系统不间断的运行;集群共享的磁盘阵列配置双冗余SAS通道控制器在一定程度上保证了数据的安全性;此外还配置有专门用于备份的服务器和磁带库存储设备实现了备份库存与主体数据库的有效安全分隔进一步保证数据安全。实验室软件采用了SQLserver数据库作为其后台,所以根据化验室数据的具体要求所制定的备份策略是结合数据库的完全、差异和事物日志备份,备份数据通过光纤存储到异地的磁带库里。在网络方面,则提供了一对光纤的冗余。至此该容灾方案已经达到了灾难恢复等级的第3级(图1)。
图1集中化检测项目平台系统示意图
3对集中化检测项目的分析
从集中化检测项目灾难备份系统设计之初我们就把“可用性”和“安全性”这2大要素作为整个系统的最终目标,“可用性”指业务运作的连续性;“安全性”指备份数据的及时性(允许丢失的数据量)以及和源数据的一致性和完整性。
虽然上述容灾方案达到3级标准已经超出行业规范中的相关要求,但事实上该方案只是建了1个同城的数据备份中心,在灾难发生时由于该中心仅存储有生产中心数据的副本所以并不能直接接管业务。因此具备一处真正意义上的灾难备份中心对实验室业务系统这种对RTO(恢复时间目标,recoverytimeobjective)要求比较高的系统是十分必要的。两者的区别在于一旦生产中心发生灾难时,前者拥有整套设备可迅速接管而后者仅存有数据副本,故其RTO比前者大。盐城市血液中心下一阶段就将新建一处灾难备份中心,会配置灾难恢复所需要的全部主机设备、数据存储设备、通信线路和网络设备,并处于就绪状态;备用场地也提出了支持不间断运行的高要求。备用数据处理系统具备和生产数据处理系统一致的处理能力并且完全兼容。2个中心各自的主机和数据库软件分别都是集群的,具备实时监控和自动切换能力。对于2个中心之间数据备份方式上采用远程数据库复制,它是由数据库系统软件来实现数据库的远程复制和同步。在复制过程中使用自动冲突检测的手段在一定程度上保证数据一致性不受破坏。
具体实施方面,从高可用性来看倾向于用SQLserver新增特性中提供的数据库镜像,镜像的主要优点是易于管理,没有群集的单点失效缺点;相比另一个可以考虑的方案logshipping则有时间上的延时,且如果日志备份很大,传送速度也会成为一个问题。数据库镜像有2台服务器。主服务器通过传送事务日志中的每个事务到镜像服务器来进行数据同步。每当数据库提交一个事务,该事务就会被同步到镜像服务器。根据事务安全设置的不同,传送操作将分为同步或异步。同步操作可以确保将提交的事务提交给2个服务器,但可能会增加事务提交的时间;异步操作则令事务在不等待镜像服务器的情况下提交,这将不影响主服务器事务的提交时间,但不能确保镜像也提交了该事务,所以在出现故障那一刻有可能有部分日志丢失导致2中心数据的不一致。届时还会根据实际情况考虑是否增加1台见证服务器用以自动故障转移以实现一个完整的容错服务器解决方案。整个架构有点类似IBMHAGEO系统。从数据安全性考虑,当采用同步复制时,RPO=0;见证服务器几秒钟内即可检测到主服务器发生了故障,并能立即让备份服务器接受数据库连接,这就意味着RTO可达分钟级。按照国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988)2007)中的定义这一阶段的集中化检测项目实施全部完成后,整个系统的灾难恢复等级将达到5级。
4讨论
灾难备份建设不是一个简单的信息系统项目,而是一个耗资庞大的系统工程,与其它项目相比,主要是为小概率灾难事件准备的,需要投入大量的人力、物力及财力但见效却很难快速体现。所以在灾备系统设计上,必须综合考虑需求、建设投资和运维费用等方面的因素。
参考文献
[1]GB/T20988)2007.信息安全技术信息系统灾难恢复规范.
[2]中国信息安全测评中心.灾难恢复策略的制定//中国信息安全测评中心.信息系统灾难恢复基础.北京:航空工业出版社,2009,53)84
[3]覃正,郝晓玲,方一丹.灾难备份关键技术与方案//覃正,郝晓玲,方一丹.IT操作风险管理理论与实务.北京:清华大学出版社,2009,318)335
论文作者:季节
论文发表刊物:《江苏科技报》2016年11期
论文发表时间:2017/4/6
标签:灾难论文; 备份论文; 系统论文; 服务器论文; 数据论文; 中心论文; 数据库论文; 《江苏科技报》2016年11期论文;