隨著醫(yī)院信息化建設(shè)的普及和深入，信息系統(tǒng)連續(xù)的重要性日益凸顯。要提高醫(yī)院信息系統(tǒng)的連續(xù)性和穩(wěn)定性，需采取相應(yīng)措施保障信息系統(tǒng)安全，降低突發(fā)事件概率。在CHIMA 2019大會上，佛山市婦幼保健院信息中心主任馬麗明詳細闡述了推動醫(yī)院信息系統(tǒng)業(yè)務(wù)連續(xù)性管理的方法。

以下內(nèi)容根據(jù)馬麗明主任演講內(nèi)容整理。

佛山市婦幼保健院是一所集醫(yī)療、保健、科研、教學(xué)、信息管理、健康教育六大功能于一體三甲專科醫(yī)院，是佛山市婦幼保健業(yè)務(wù)的指導(dǎo)中心，2015年通過德國KTQ醫(yī)院質(zhì)量認證。設(shè)有婦、產(chǎn)、兒等多個重點學(xué)科，其中產(chǎn)科2011年成功實施亞洲首例開放式子宮內(nèi)胎兒手術(shù)，婦科陰式系列手術(shù)連續(xù)20年位居全國領(lǐng)先。

醫(yī)院信息中心現(xiàn)有專業(yè)技術(shù)人員20名，碩士6名，本科以上占比100%，其中已考取高級職稱4名。信息中心自行負責(zé)數(shù)據(jù)庫、數(shù)據(jù)中心的運維，承擔(dān)HIS、電子病歷、BI等等開發(fā)與維護，同時負責(zé)佛山一市五區(qū)58所產(chǎn)院及200多個社區(qū)的區(qū)域婦幼信息化建設(shè)和管理。

醫(yī)院信息化建設(shè)起步于1992年，2004年實施結(jié)構(gòu)化、一體化電子病歷， 2007年參與國家區(qū)域信息資源規(guī)劃，先后參與區(qū)域平臺、區(qū)域健康檔案、電子病歷數(shù)據(jù)標準、婦幼系統(tǒng)功能規(guī)范、居民健康卡等標準的研制，并把成果應(yīng)用到工作中，2015年實現(xiàn)移動智能，包括門診、住院、保健服務(wù)，以及臨床診療、后勤服務(wù)、辦公管理的互聯(lián)網(wǎng)應(yīng)用，覆蓋院前、院中、院后的醫(yī)療服務(wù)全流程。

醫(yī)院信息系統(tǒng)業(yè)務(wù)連續(xù)性管理的需求源自于人們的風(fēng)險防范意識，其中核心是容災(zāi)系統(tǒng)。

信息系統(tǒng)容災(zāi)是指建立兩套或多套功能相同的IT系統(tǒng)，系統(tǒng)之間能夠進行健康狀態(tài)監(jiān)視和功能切換。容災(zāi)系統(tǒng)的目標是保證業(yè)務(wù)的連續(xù)性，災(zāi)備效果取決于數(shù)據(jù)恢復(fù)時間的長短。如果恢復(fù)時間過長，則不存在業(yè)務(wù)連續(xù)性。容災(zāi)目標是縮短恢復(fù)時間，終極目標是消除這個時間。

按照對系統(tǒng)的保護程度，容災(zāi)系統(tǒng)大致可分為三種：

一是數(shù)據(jù)級容災(zāi)。強調(diào)的是數(shù)據(jù)的遠程備份，確保原有數(shù)據(jù)不丟失，它的費用較低，構(gòu)建實施相對簡單，但應(yīng)用可能會中斷，恢復(fù)時間也較長。

二是應(yīng)用級容災(zāi)。是在數(shù)據(jù)級容災(zāi)基礎(chǔ)上，再構(gòu)建一套相同的應(yīng)用系統(tǒng)，保證關(guān)鍵應(yīng)用在允許的時間范圍內(nèi)能夠恢復(fù)，它需要更多技術(shù)實現(xiàn)快速切換，確保業(yè)務(wù)的連續(xù)性，系統(tǒng)建立相對復(fù)雜，不僅需要一份可用的數(shù)據(jù)復(fù)制，還需要網(wǎng)絡(luò)、主機、應(yīng)用、甚至IP等各資源間良好協(xié)調(diào)。

三是業(yè)務(wù)級容災(zāi)。它要求更高的全業(yè)務(wù)災(zāi)備，包含很多非IT技術(shù)，如辦公場地、供應(yīng)商、供應(yīng)鏈的管理等。

業(yè)務(wù)連續(xù)性管理是一個體系，是容災(zāi)技術(shù)的升華概念，是相關(guān)所有活動的一個集合。它是由計劃和執(zhí)行過程組成的策略，覆蓋了技術(shù)和操作方式，目的是保證機構(gòu)信息流在任何時候及任何狀況下都能保持業(yè)務(wù)連續(xù)運行。策略通常以服務(wù)器及主機為核心，包括預(yù)算、IT系統(tǒng)、基礎(chǔ)通信設(shè)施、人員培訓(xùn)、應(yīng)急演練、安全防范等重要環(huán)節(jié)。

業(yè)務(wù)連續(xù)性總體設(shè)計的主要依據(jù)是《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《 數(shù)據(jù)中心設(shè)計規(guī)范》，同時還可參考《ISO27001信息安全管理體系》、《BS25999業(yè)務(wù)連續(xù)性管理的標準》等要求，但最關(guān)鍵還是結(jié)合自身業(yè)務(wù)、資源等實際情況進行量化設(shè)計。

醫(yī)院信息系統(tǒng)很復(fù)雜，系統(tǒng)從客戶端發(fā)送請求到服務(wù)器，服務(wù)器返回數(shù)據(jù)到客戶端，中間經(jīng)歷非常多的環(huán)節(jié)，就像人體一樣，雖然只是動一個小手指頭，但卻需要人體八大系統(tǒng)協(xié)調(diào)配合。因此，醫(yī)院在做業(yè)務(wù)連續(xù)性總體規(guī)劃時，要從物理層、網(wǎng)絡(luò)層、接入層等綜合因素進行考慮,要結(jié)合醫(yī)院的實際情況，正如每個人的體質(zhì)不同，每家醫(yī)院的現(xiàn)有條件也是不一樣的。

業(yè)務(wù)連續(xù)性管理的核心基礎(chǔ)是IT備份和恢復(fù)。整個系統(tǒng)的高可用性，是通過每一層的冗余加上自動故障轉(zhuǎn)移來綜合實現(xiàn)的。在硬件層面上，設(shè)備性能需要滿足業(yè)務(wù)處理能力且滿足業(yè)務(wù)高峰期需要，服務(wù)器、存儲、核心交換機等關(guān)鍵設(shè)備要冗余配置，同時關(guān)鍵設(shè)備的關(guān)鍵部件，如電源、CPU等也要冗余配置。

容災(zāi)系統(tǒng)主要分為以下四級：

第0級：沒有備援中心，數(shù)據(jù)本地備份。備份數(shù)據(jù)只在本地保存，沒有送往異地。

第1級：本地備份，異地保存。成本低、易于配置。但數(shù)據(jù)量增大時，存在存儲介質(zhì)難管理，難以及時恢復(fù)等問題。這個級別的容災(zāi)，需要注意預(yù)先確定數(shù)據(jù)恢復(fù)的先后次序和步驟，確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)優(yōu)先恢復(fù)。

第2級：熱備份站點備份，異地建立熱備份點。使用同步或異步方式通過網(wǎng)絡(luò)進行數(shù)據(jù)備份，不承擔(dān)業(yè)務(wù)。當(dāng)出現(xiàn)災(zāi)難時，備份站點接替主站點的業(yè)務(wù)。

第3級：活動備援中心。兩個數(shù)據(jù)中心，都處于工作狀態(tài)，并進行相互數(shù)據(jù)備份。當(dāng)某個中心發(fā)生災(zāi)難時，另一個中心接替其工作任務(wù)。這個要求最高，需要的資源和投入也是最大，但發(fā)生災(zāi)難時，它的恢復(fù)速度最快。

容災(zāi)系統(tǒng)設(shè)計時需考慮包括備份/恢復(fù)數(shù)據(jù)量的大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離、數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時所要求的恢復(fù)速度、備援中心的管理及投入資金等因素，并根據(jù)以上因素，結(jié)合自身業(yè)務(wù)狀況確定選用的等級。

系統(tǒng)的可用性是系統(tǒng)正常運行時間的百分比，是架構(gòu)組最主要的KPI，此外，還有復(fù)原時間目標（Recovery Time Objective，RTO）和復(fù)原點目標（Recovery Point Objective,RPO）。RTO主要指企業(yè)所能容忍的業(yè)務(wù)停止服務(wù)的最長時間，RPO主要指業(yè)務(wù)系統(tǒng)所能容忍的數(shù)據(jù)丟失量。兩者沒有必然的關(guān)聯(lián)性，不同業(yè)務(wù)RTO和RPO需求不同，不同企業(yè)的同一種業(yè)務(wù)，RTO和RPO的需求也會有所不同，理想是兩者皆為零。

各分項設(shè)計包括機房設(shè)計，以及網(wǎng)絡(luò)、接入層、應(yīng)用層、服務(wù)層、數(shù)據(jù)層服務(wù)器、存儲等的高可用設(shè)計。

1.機房設(shè)計。機房是信息系統(tǒng)業(yè)務(wù)連續(xù)性的基本保障（可參考四星級IDC機房標準）。首先，在機房選址上，除了要考慮防震、抗災(zāi)、抵御強烈的風(fēng)暴外，還要避免頂層或地下室以及用水設(shè)備下層或隔壁。其次，在機房材料選擇上，要注意選擇耐火材料，安全為主、裝飾為輔。同時，機房放置的往往不只是醫(yī)院信息系統(tǒng)使用的設(shè)備，可能也會涉及一些經(jīng)常需要正常運維的設(shè)備網(wǎng)或運營商的設(shè)備，因此，這些設(shè)備要避免混雜在一起，盡量分成獨立的物理區(qū)域進行管理，這樣有利于降低日后的運營管理成本。

構(gòu)建雙機房時，要考慮多方面的因素，例如：機房間的距離遠近，光纖部署方式是單模還是多模？雙活機房間的群集系統(tǒng)通訊心跳時間是否滿足？機房間的系統(tǒng)硬件配置是否一致？是否存在低配機房性能無法接管高配機房業(yè)務(wù)系統(tǒng)？建議采取雙活機房模式時，兩機房之間的距離小于100KM。

供配電是機房設(shè)計中最重要的部分之一，雙回路市電+發(fā)電機+UPS供電模式幾乎成為機房設(shè)計的標配，但是，需要特別注意UPS供電的范圍，建議UPS的供電保證到配線間，有條件的甚至可考慮機房空調(diào)的供電。

此外，防水、空調(diào)、照明、消防、安防等均需要嚴格按照國家的規(guī)定進行設(shè)計，保證機房平穩(wěn)安全運行。

2.網(wǎng)絡(luò)高可用設(shè)計。它是業(yè)務(wù)連續(xù)性的保障之一，而且是非常重要的一個組成。其中，主干和水平子系統(tǒng)一定要做冗余配置，建議采用多條物理鏈路連接，并配置鏈路聚合。A級數(shù)據(jù)中心的核心網(wǎng)絡(luò)設(shè)備應(yīng)采用容錯系統(tǒng)，并應(yīng)具有可擴展性，相互備用的核心網(wǎng)絡(luò)設(shè)備宜布置在不同的物理隔間內(nèi)。同時要做業(yè)務(wù)、心跳、備份鏈路隔離，這是鏈路高可用的一個很重要的保障。

現(xiàn)在很多醫(yī)院是多院區(qū)的，在做異地機房互聯(lián)時，建議用兩對以上的光纖鏈路，同時要求運營商的光纖鏈路設(shè)計要端到端的雙路由，走不同管道，從不同的入口進入院區(qū)。

網(wǎng)絡(luò)分區(qū)分域管理，是國家信息安全等級保護的要求，也是醫(yī)院自身降低風(fēng)險的需要，因為很多醫(yī)療設(shè)備、監(jiān)控設(shè)備，由于特殊性無法安裝準入系統(tǒng)和殺毒軟件，需要根據(jù)不同特點對網(wǎng)絡(luò)進行分區(qū)隔離，采取不同的管理措施。從我們自身經(jīng)驗來看，網(wǎng)絡(luò)基礎(chǔ)安全配置，是目前最有效、性價比最高的一種安全防護手段。醫(yī)院可以通過相應(yīng)的管理策略，降低整個網(wǎng)絡(luò)安全運維的風(fēng)險。此外，建議做好網(wǎng)絡(luò)邊界防護，部署準入控制系統(tǒng)，定期清查無用端口。

進行網(wǎng)絡(luò)高可用設(shè)計，在構(gòu)建容災(zāi)系統(tǒng)時，需要建立多層次的網(wǎng)絡(luò)故障切換機制，才能確保快速反應(yīng)和迅速的業(yè)務(wù)接管。建議至少包含以下機制：本地系統(tǒng)安全機制、遠程數(shù)據(jù)復(fù)制機制、遠程故障診斷機制和故障切換策略。

3.接入層的高可用設(shè)計。主要考慮可用性、擴展性，可使用反向代理+負載均衡等技術(shù)，使請求可以均勻分攤到后端的操作單元執(zhí)行。

4.應(yīng)用層高可用設(shè)計。建議在應(yīng)用層不要包括復(fù)雜的業(yè)務(wù)邏輯，只做呈現(xiàn)和轉(zhuǎn)換。可以通過負載均衡轉(zhuǎn)換和高可用進行對外接入，同時做好程序的更新備份與回退機制。

5.服務(wù)層高可用設(shè)計。盡可能把服務(wù)微小化，同時，業(yè)務(wù)領(lǐng)域的每個子域單獨一個服務(wù)。要對服務(wù)進行分類分級，采取分而治之的管理辦法，對服務(wù)的設(shè)計、部署、上線發(fā)布等各個環(huán)節(jié)進行管理，建議核心服務(wù)可采取獨立服務(wù)器且N+1的部署方式。

6.數(shù)據(jù)庫高可用設(shè)計。主要使用Mongo DB等分布式數(shù)據(jù)庫或使用數(shù)據(jù)庫軟件自身的高可用機制，如ORACLE RAC等方式實現(xiàn)。合理使用緩存，數(shù)據(jù)、應(yīng)用分離，數(shù)據(jù)讀寫分離是高可用數(shù)據(jù)庫架構(gòu)最常用到的方法。對于訪問量大的數(shù)據(jù)庫可做讀寫分離，對于數(shù)據(jù)量大的數(shù)據(jù)庫可做分庫分表，不同業(yè)務(wù)域數(shù)據(jù)庫做分區(qū)隔離，重要數(shù)據(jù)庫配置備庫。

7.服務(wù)器高可用設(shè)計。傳統(tǒng)服務(wù)器虛擬化和超融合虛擬化是目前實現(xiàn)服務(wù)器高可用的兩種主流技術(shù)，兩者各有優(yōu)缺點，應(yīng)根據(jù)自身業(yè)務(wù)特點選用適合的實現(xiàn)方式。

8.存儲的高可用設(shè)計。存儲虛擬化技術(shù)和分布式存儲技術(shù)是目前實現(xiàn)存儲高可用的兩種主流技術(shù)。

信息安全從來不是信息部門單獨的事情，必須全員的配合。醫(yī)院應(yīng)把業(yè)務(wù)連續(xù)性管理融入到組織文化中，完善相關(guān)組織架構(gòu)、制度流程和操作規(guī)范，落實經(jīng)費、明確人員及崗位職責(zé)，并建立應(yīng)急管理機制，明確安全事件發(fā)現(xiàn)報告和處理流程。業(yè)務(wù)連續(xù)性方案和方針管理中，需特別關(guān)注人員教育和培訓(xùn)，應(yīng)不斷根據(jù)新的安全動態(tài)，制定和修訂相應(yīng)的安全計劃和制度。同時，及時在全院開展相關(guān)的培訓(xùn)與學(xué)習(xí)。我院在每年新員工崗前培訓(xùn)、中層會議上，進行信息安全基本知識培訓(xùn)，收效顯著。

制訂業(yè)務(wù)連續(xù)性策略，要根據(jù)醫(yī)院的實際情況，進行業(yè)務(wù)影響分析、風(fēng)險評估，以及連續(xù)性資源分析，然后根據(jù)分析的結(jié)果，制定業(yè)務(wù)恢復(fù)指標。它一定是有差別化的業(yè)務(wù)恢復(fù)策略和業(yè)務(wù)恢復(fù)預(yù)案，其中必須包括關(guān)鍵業(yè)務(wù)資源恢復(fù)、業(yè)務(wù)替代手段和數(shù)據(jù)追補和數(shù)據(jù)恢復(fù)的優(yōu)先級等。

制定和實施業(yè)務(wù)連續(xù)性響應(yīng)時，需建立并實施覆蓋重要業(yè)務(wù)的連續(xù)性計劃；制定總體應(yīng)急預(yù)案及重要業(yè)務(wù)專項應(yīng)急預(yù)案；要與公共事業(yè)部門、同業(yè)單位、外部金融服務(wù)平臺建立有效銜接；應(yīng)要求重要業(yè)務(wù)及信息系統(tǒng)的外部供應(yīng)商建立業(yè)務(wù)連續(xù)性計劃，并證明其業(yè)務(wù)連續(xù)性計劃的有效性，建立重要供應(yīng)商備份制；應(yīng)急預(yù)案應(yīng)內(nèi)明確數(shù)據(jù)追補方案和業(yè)務(wù)替代手段；建立危機公關(guān)，做好輿情監(jiān)控和引導(dǎo)。

服務(wù)器永不宕機，是所有醫(yī)療信息化人士的共同期望。我們在業(yè)務(wù)連續(xù)性管理中，應(yīng)做到事前有預(yù)案、事中有響應(yīng)、事后有監(jiān)測，并在故障事件處理過程主動告知、及時回應(yīng)、合理引導(dǎo)，為醫(yī)院臨床和管理業(yè)務(wù)的可持續(xù)運行提供安全保障。