黃麗萍

[摘要] 無論是政府還是企業(yè)，對信息化的依賴性都越來越強(qiáng)，而現(xiàn)代的信息化基礎(chǔ)架構(gòu)建設(shè)是圍繞著數(shù)據(jù)進(jìn)行的。如何確保福建鐵路醫(yī)療保險管理信息系統(tǒng)數(shù)據(jù)的安全性、業(yè)務(wù)的連續(xù)可靠性，是福建鐵路醫(yī)療保險管理信息系統(tǒng)建設(shè)最重要的技術(shù)參數(shù)之一。

[關(guān)鍵詞] 鐵路醫(yī)保 信息系統(tǒng) 容災(zāi)備份

福建鐵路醫(yī)療保險管理信息系統(tǒng)是南昌鐵路局福建境內(nèi)參保單位所管轄鐵路職工的醫(yī)保管理系統(tǒng)，自2003年7月啟動至今，已經(jīng)平穩(wěn)運(yùn)行四年，現(xiàn)有參保人員7萬多人。它是一套以IC卡為載體，以城域網(wǎng)為主干，以現(xiàn)代化通訊方式為網(wǎng)絡(luò)聯(lián)通手段，以客戶機(jī)/服務(wù)器模式為處理方式的大型計(jì)算機(jī)信息管理網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)將福建省醫(yī)療保險管理中心鐵路分中心(以下簡稱福建鐵路醫(yī)保中心)繁重的日常工作分解成為若干個有序的模塊，依靠計(jì)算機(jī)系統(tǒng)的強(qiáng)大數(shù)據(jù)處理能力，幫助各級醫(yī)療保險管理部門正確決策，為參加醫(yī)療保險的人員提供高效服務(wù)。

1 系統(tǒng)現(xiàn)狀

福建鐵路醫(yī)療保險管理信息系統(tǒng)由兩臺IBM RS6000/ H85小型機(jī)共享一個IBM 7133磁盤陣列組成（見圖1），通過小型機(jī)與陣列柜的集群技術(shù)，提供系統(tǒng)安全運(yùn)轉(zhuǎn)的保證。小型機(jī)上安裝IBM AIX V5.1操作系統(tǒng)，ORACLE 9i數(shù)據(jù)庫系統(tǒng)。

IBM 7133磁盤陣列采用的串行存儲結(jié)構(gòu)（SSA）是一種高性能的串行互聯(lián)技術(shù)，用于連接磁盤設(shè)備和主機(jī)適配器。SSA子系統(tǒng)是由磁盤和適配器組成的環(huán)路構(gòu)成的。SSA是一種特別為低消耗、高性能地與磁盤驅(qū)動器連接而設(shè)計(jì)的串行連接。它是一種雙信號連接（發(fā)送和接收），提供了全雙工通信。

不可否認(rèn)，在存儲技術(shù)發(fā)展的先期，SSA技術(shù)在性能、擴(kuò)展性等方面得到了廣大用戶的認(rèn)可，隨著醫(yī)保應(yīng)用的不斷完善，數(shù)據(jù)量的不斷增加，IBM 7133磁盤陣列已經(jīng)不能滿足未來用戶對性能的需求。

網(wǎng)絡(luò)采用TCP/IP協(xié)議作為網(wǎng)絡(luò)互連協(xié)議，采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。Cisco Catalyst 4503作為中心交換機(jī)完成中心局域網(wǎng)的設(shè)備連接。在廣域網(wǎng)接入方面，主路由器采用CISCO 3662路由器，承擔(dān)和邵武、永安、漳平、福州、廈門的五個鐵路醫(yī)院建立網(wǎng)絡(luò)連接; 在撥號接入上，使用一臺CISCO 3662的路由器來作為接入設(shè)備.。

2 系統(tǒng)容災(zāi)備份需求分析

隨著信息技術(shù)的發(fā)展，醫(yī)療保險信息系統(tǒng)的實(shí)時性越來越強(qiáng)，影響越來越大，其系統(tǒng)運(yùn)行環(huán)境可靠性好壞，將直接影響到廣大用戶的日常操作。一旦出現(xiàn)無法避免的災(zāi)難而導(dǎo)致系統(tǒng)長時間不能運(yùn)行，將給業(yè)務(wù)帶來極大損失，并對用戶帶來極大影響。因此高可靠的系統(tǒng)運(yùn)行對現(xiàn)代信息系統(tǒng)來說是極其重要的。

當(dāng)遇到以下災(zāi)難性事件時，現(xiàn)有的主機(jī)系統(tǒng)將無法在短時間內(nèi)恢復(fù)業(yè)務(wù)：

① 主機(jī)系統(tǒng)故障。如系統(tǒng)/應(yīng)用軟件故障、磁盤陣列損壞、通信卡損壞、電源故障、CPU故障；

② 網(wǎng)絡(luò)故障。如網(wǎng)絡(luò)設(shè)備故障、通信線路故障；

③ 主機(jī)房故障。如主機(jī)房發(fā)生電源故障、通信故障、水災(zāi)或火災(zāi)、其他災(zāi)難；

④ 整幢樓房故障。如整幢樓房發(fā)生電源故障、水災(zāi)或者火災(zāi)、其他災(zāi)難；

⑤ 區(qū)域性的災(zāi)難。如地震、洪水。

針對以上情況，在日常維護(hù)運(yùn)行和主機(jī)雙機(jī)熱備的管理基礎(chǔ)上，我們再建立福建鐵路醫(yī)療保險管理系統(tǒng)的災(zāi)難備份中心，對系統(tǒng)數(shù)據(jù)安全進(jìn)行更高層次的保障，意義非常重大。當(dāng)上述災(zāi)難發(fā)生而短時間內(nèi)不可恢復(fù)，災(zāi)難備份中心用于恢復(fù)業(yè)務(wù)，提高整個系統(tǒng)的連續(xù)高可用性。

3 項(xiàng)目建設(shè)目標(biāo)

目標(biāo)：在現(xiàn)有系統(tǒng)基礎(chǔ)上，通過新增設(shè)備和優(yōu)化系統(tǒng)建設(shè)，建設(shè)一個更完善、更高效的福建鐵路醫(yī)療保險信息管理系統(tǒng)。

?新增主機(jī)及存儲設(shè)備，將新增主機(jī)與原有系統(tǒng)主機(jī)組成雙機(jī)集群系統(tǒng)。建立數(shù)據(jù)庫實(shí)時備份機(jī)制，加強(qiáng)系統(tǒng)的數(shù)據(jù)和應(yīng)用安全，提高現(xiàn)有系統(tǒng)的業(yè)務(wù)處理能力。

?利用原有系統(tǒng)備機(jī)與新增存儲、網(wǎng)絡(luò)設(shè)備，建設(shè)福建鐵路醫(yī)保應(yīng)用級容災(zāi)系統(tǒng)。當(dāng)災(zāi)難或其他不可抗拒的事件發(fā)生時，最大程度地保護(hù)所有系統(tǒng)數(shù)據(jù)的安全，幾十分鐘至幾小時內(nèi)恢復(fù)關(guān)鍵用戶與系統(tǒng)主機(jī)的連接并正常運(yùn)作。

4 系統(tǒng)升級及容災(zāi)設(shè)計(jì)

4.1 設(shè)計(jì)原則

4.1.1實(shí)用性原則

按實(shí)際應(yīng)用需要，系統(tǒng)設(shè)計(jì)應(yīng)充分利用已有軟硬件設(shè)備資源；應(yīng)用系統(tǒng)采用成熟的易于二次開發(fā)的通用數(shù)據(jù)管理系統(tǒng)，保證系統(tǒng)功能齊全、操作方便、顯示直觀，同時具有良好的用戶界面，便于維護(hù)和靈活擴(kuò)充，滿足不同層次的應(yīng)用需求。

4.1.2 先進(jìn)性原則

在滿足實(shí)用性的基礎(chǔ)上，力爭選用先進(jìn)的網(wǎng)絡(luò)技術(shù)及通信設(shè)施，數(shù)據(jù)庫及軟件平臺支撐工具采用較好的主流產(chǎn)品；系統(tǒng)結(jié)構(gòu)設(shè)計(jì)合理，數(shù)據(jù)處理速度快、冗余性強(qiáng)，并具有數(shù)據(jù)安全防護(hù)功能。

4.1.3 可擴(kuò)展性原則

可擴(kuò)展性體現(xiàn)在多個方面，包括系統(tǒng)體系結(jié)構(gòu)的可擴(kuò)充性、軟硬件系統(tǒng)的可擴(kuò)展性和系統(tǒng)規(guī)模的擴(kuò)展能力等?？紤]到醫(yī)保系統(tǒng)用戶擴(kuò)容、業(yè)務(wù)增長等因素，設(shè)計(jì)應(yīng)具有用戶端靈活的擴(kuò)充能力，系統(tǒng)數(shù)據(jù)庫采用可擴(kuò)充的、標(biāo)準(zhǔn)化的模塊設(shè)計(jì)，具有良好的可伸縮性，可靈活配置，支持根據(jù)實(shí)際需要擴(kuò)展系統(tǒng)規(guī)模。

4.1.4 高可用性、可靠性原則

醫(yī)保信息系統(tǒng)性質(zhì)特殊，要求系統(tǒng)具有高可用性、可靠性。要能實(shí)時承載系統(tǒng)的高速運(yùn)行、數(shù)據(jù)信息流轉(zhuǎn)的安全，具有良好的故障恢復(fù)能力與預(yù)警能力，整個系統(tǒng)必須進(jìn)行多重保障設(shè)計(jì)，包括熱備份、冗余設(shè)備/鏈接路等。

4.1.5 安全性原則

本系統(tǒng)對安全性和可靠性有很高的要求，因此要從網(wǎng)絡(luò)配置、軟件系統(tǒng)、運(yùn)行環(huán)境和管理操作等多方面充分考慮系統(tǒng)數(shù)據(jù)的保密與安全。必須具備防黑客攻擊、防病毒免疫機(jī)能等安全措施。

4.2 系統(tǒng)升級設(shè)計(jì)

4.2.1 主機(jī)存儲設(shè)計(jì)

根據(jù)福建鐵路醫(yī)保中心對主機(jī)和存儲系統(tǒng)升級和容災(zāi)策略的要求，增加1臺高性能小型機(jī)（性能要求：4路CPU，8G內(nèi)存，4個73GB硬盤，兩個以太網(wǎng)口，2個4Gbps HBA卡），一臺擴(kuò)展16槽的高速光纖陣列（性能要求：1.3T硬盤容量，冗余雙控制器，每控制器2G Cache，內(nèi)置4口FC接口），將新增加的高性能小型機(jī)做為生產(chǎn)主機(jī), 原來H85作為生產(chǎn)備機(jī)，提高系統(tǒng)的處理能力，原有的H85備機(jī)作為災(zāi)難備份主機(jī)系統(tǒng)，升級后的系統(tǒng)拓?fù)浣Y(jié)構(gòu)見圖2。

4.2.2 數(shù)據(jù)遷移設(shè)計(jì)

數(shù)據(jù)遷移的內(nèi)容包括：現(xiàn)有的醫(yī)保系統(tǒng)的數(shù)據(jù)，以及歷史數(shù)據(jù)（包括電子數(shù)據(jù)和紙質(zhì)數(shù)據(jù)）,以及目前需要新納入的數(shù)據(jù)。

4.2.3 應(yīng)用遷移設(shè)計(jì)

由于目前系統(tǒng)屬于實(shí)時在線系統(tǒng)，必須保證應(yīng)用系統(tǒng)在停機(jī)遷移后仍能正常啟動服務(wù)。即福建鐵路醫(yī)保中心的業(yè)務(wù)能夠正常開展，定點(diǎn)醫(yī)療機(jī)構(gòu)能夠正常刷卡結(jié)算。具體方法是：通過Toad工具可以導(dǎo)出所有的醫(yī)保應(yīng)用對象，包括視圖、過程函數(shù)、包、觸發(fā)器、序列號等。Toad生成對象的目的是防止IMP導(dǎo)入過程中，對象丟失時，可以用其恢復(fù)，IMP比較經(jīng)常丟失的對象是視圖。

4.3 應(yīng)用級容災(zāi)設(shè)計(jì)

在應(yīng)用系統(tǒng)中，當(dāng)故障或?yàn)?zāi)難發(fā)生時，首先要保證系統(tǒng)數(shù)據(jù)的安全，其次是盡快恢復(fù)系統(tǒng)生產(chǎn)運(yùn)行。目前，IBM RS/6000 上，在業(yè)界最為完整的災(zāi)難備份方案是：采用本地?zé)醾浞荩℉ACMP-HotStandby）技術(shù)，實(shí)現(xiàn)生產(chǎn)中心RS/6000雙主機(jī)熱備份。在此基礎(chǔ)上，建立實(shí)時模式的災(zāi)難備份/恢復(fù)中心，同時配合實(shí)時災(zāi)難備份技術(shù)，在保護(hù)技術(shù)上進(jìn)一步延伸，這種完備的系統(tǒng)災(zāi)難備份方案將對以下情況的故障和災(zāi)難提供恢復(fù)能力。容災(zāi)系統(tǒng)拓?fù)浣Y(jié)構(gòu)見圖3。

4.3.1方案特點(diǎn)

支持?jǐn)?shù)據(jù)在不同地理空間的兩個場所(機(jī)房)之間實(shí)時鏡像；

支持所有數(shù)據(jù)庫和文件類型，對應(yīng)用程序透明；

適用基于TCP/IP，TCP/UDP應(yīng)用的網(wǎng)絡(luò)；

提供三種地理上的數(shù)據(jù)鏡像模式：同步(SYNC)，鏡像寫一致(MWC)，異步(ASYNC)；

保證數(shù)據(jù)一致性。

4.3.2方案描述

福建鐵路醫(yī)保中心的生產(chǎn)系統(tǒng)由新增的IBM高性能服務(wù)器和原有的生產(chǎn)主機(jī)IBM H85構(gòu)成HACMP雙機(jī)熱備群集系統(tǒng)。雙機(jī)共享新增的生產(chǎn)陣列，原有的H85備機(jī)作為福建鐵路醫(yī)保中心系統(tǒng)的容災(zāi)主機(jī)。

正常情況下，福建鐵路醫(yī)保中心的新增生產(chǎn)主機(jī)和備用主機(jī)各自獨(dú)立運(yùn)行，備用主機(jī)負(fù)責(zé)監(jiān)視生產(chǎn)主機(jī)的運(yùn)行狀態(tài)，容災(zāi)主機(jī)和存儲系統(tǒng)維持著一份生產(chǎn)系統(tǒng)的實(shí)時鏡像。

當(dāng)福建鐵路醫(yī)保中心新的主機(jī)發(fā)生故障時，同樣位于福建鐵路醫(yī)保中心的備機(jī)將通過HACMP實(shí)現(xiàn)本地的切換。當(dāng)新的生產(chǎn)主機(jī)恢復(fù)并重新加入群集系統(tǒng)后，應(yīng)用和IP地址又將從本地備份主機(jī)返回給福建省鐵路醫(yī)保新增的生產(chǎn)主機(jī)，恢復(fù)平時的運(yùn)行狀態(tài)。

當(dāng)福建鐵路醫(yī)保中心發(fā)生災(zāi)難性故障時，如火災(zāi)、大樓停電，導(dǎo)致鐵路醫(yī)保中心主機(jī)全部不可用時，應(yīng)用將手工切換到福建鐵路醫(yī)保中心的災(zāi)難備份主機(jī)H85上。備份主機(jī)H85利用新的容災(zāi)高速光纖存儲陣列上存放的福建鐵路醫(yī)保生產(chǎn)數(shù)據(jù)實(shí)時鏡像實(shí)現(xiàn)生產(chǎn)系統(tǒng)接管。一旦福建鐵路醫(yī)保中心故障排除，應(yīng)用將按照計(jì)劃切換回福建鐵路醫(yī)保中心新的生產(chǎn)主機(jī)上。

4.4 網(wǎng)絡(luò)容災(zāi)設(shè)計(jì)

災(zāi)備中心網(wǎng)絡(luò)系統(tǒng)的容錯、容災(zāi)設(shè)計(jì)應(yīng)該充分保證系統(tǒng)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)設(shè)備層的安全、可靠、有效的工作。

網(wǎng)絡(luò)層上的容災(zāi)備份主要從以下幾個方面考慮：

（1）使用冗余通訊設(shè)備。

（2）使用有效的、可靠的路由協(xié)議。

（3）使用基于網(wǎng)絡(luò)設(shè)備的HSRP備份協(xié)議。

（4）備份鏈路的配置。

根據(jù)容災(zāi)備份中心實(shí)際分布的物理位置以及容災(zāi)備份的需求，建議容災(zāi)備份中心與數(shù)據(jù)中心之間通過裸光纖直接連接。容災(zāi)網(wǎng)絡(luò)作為一種應(yīng)急網(wǎng)絡(luò)，鑒于目前通信費(fèi)用較高，建議各下聯(lián)節(jié)點(diǎn)與容災(zāi)中心之間通過VPN保持連接，并采用靜態(tài)路由來保證數(shù)據(jù)的有效傳輸。

5 結(jié)論及展望

福建鐵路醫(yī)療保險管理信息系統(tǒng)的正常運(yùn)行關(guān)系到參保職工的切身利益， 2008年5月12日這一突如其來的特大地震災(zāi)害，給我們敲了警鐘，針對像地震這種大范圍、大破壞性的突發(fā)性災(zāi)難發(fā)生時，福建鐵路醫(yī)療保險管理信息系統(tǒng)是否做到提前有所防范？對面臨的潛在風(fēng)險和業(yè)務(wù)影響是否有制定應(yīng)急預(yù)案?這是我們不得不思考的問題。僅有本地備份只能解決系統(tǒng)誤操作或者是病毒侵襲等原因造成的數(shù)據(jù)丟失，使數(shù)據(jù)得以快速的恢復(fù)。只有采用異地備份的方式，將數(shù)據(jù)備份一份到異地的存儲設(shè)備中，才能真正避免人為的或自然災(zāi)害造成的數(shù)據(jù)丟失。我們正是在此基礎(chǔ)上考慮，建立福建鐵路醫(yī)療保險管理信息系統(tǒng)容災(zāi)系統(tǒng)解決方案，構(gòu)架一個更加安全和高效的福建鐵路醫(yī)療保險管理信息系統(tǒng)，這樣既有本地的快速備份和恢復(fù)，又有異地的高安全級別的備份，從多個方面實(shí)現(xiàn)了數(shù)據(jù)的各個級別的的安全保護(hù)。