文档介绍：集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
联鼎三年级甲等医院容灾备份方案医院软件
三级甲等医院
信息系统数据安全方案建议书
上海联鼎软件股份有限公司
上海
201护
当任何服务器或应用由于人为或者意外原因造成宕机，都会影响到用户正常访问服务器业务，需要有针对整个系统各个核心业务系统的高可用保护手段，同时应避免高可用短板。
本地数据保护
本地服务器上拥有大量的各类业务数据，比如HIS、PACS等，这些数据在意外丢失时，必须要有一个快速本地数据恢复的手段，确保在任何意外情况下可以进行本地数据恢复。
灾难恢复
服务器的数据库和应用即使有本地备份手段，仍然无法避免本地机房发生灾难的情况下的业务和数据保障，而异地数据和业务的保护手段就是容灾，本方案讨论的就是异地应用级双活容灾。容灾可以分为多个级别，本方案实现的是最高级别的应用级容灾。
容灾概述
概述
数据是整个系统运作的核心。人为的操作错误，软件缺陷，硬件故障，电脑病毒，骇客攻击，自然灾难等诸多因素，均有可能造成数据的丢失，从而给整个系统造成无法估量的损失。
通常容灾系统可以简单的分为数据容灾和应用级容灾，对于医院这样的业务环境，按照国家规定，需要满足等级保护要求，需要建立一个达到应用级容灾的多层次数据保护体系，达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。
灾难恢复和业务持续性的区别
很多人认为灾难恢复（Disaster Recovery ）和业务持续性（Business Continuity）是同一个概念。实际上它们并不完全一样，当然，它们共同的目标是IT建设中，为了最坏的情况发生而作的准备。
业务持续性（Business Continuity）是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念。针对业务持续性的问题包括：业务系统持续性的实施计划是什么在问题出现时，谁负责在最短的时间内按照流程将系统恢复工作在特殊情况下，比如灾难的发生需要做什么多长时间能够使系统重新启动工作诸如此类的问题。比如：集群就是业务持续性保护手段的一种。
而灾难恢复（Disaster Recovery )是更高级别的安全保护手段，是针对更加严重的情况发生，如何保证系统持续提供服务，并且有完整的数据存在。那么我们必须知道：IT系统怎样从灾难发生后，进行数据的恢复采用什么样的技术来达到这样的目标什么样的应用需要在灾难发生时，进行切换，如何切换用户如何访问容灾中心的系统诸如此类的问题。而灾难恢复的实现，则主要通过远程数据复制和应用切换来实现。
我们看到，灾难恢复部分包含了业务持续性，比如应用级容灾就包括了业务持续性概念，它除了强调系统的远端冗余，更要求能够有完整的数据可供服务。而业务持续性更加强调系统持续提供服务的能力。二者都需要对系统运行环境存在的风险进行分析，做出投资决策。
我们对灾难恢复的认识
我们对灾难恢复有多年的积累，包括用于在灾难发生情况下减少宕机时间计划和技术手段。一个灾难恢复系统从结构上主要包括远端容灾中心，它能够在本地系统发生问题时，在最短的时间内接管本地的关键业务。
从业务规划角度，远端的容灾中心应该足够的远，越远越安全。系统在一公里、几公里范围内是无法达到容灾要求的，比如区域停电怎么办那么长期的全局数据安全规划怎么实现呢，真正容灾的保护需要跨区、跨省、甚至跨越国家来实现。很多全球化企业就是这么做的。
所以灾难恢复环境的实现，需要做到数据复制和应用切换两个环节：
数据复制：
指在异地保证各个系统关键数据和状态参数的一致，根据其实现的方法来分可以是软件的方式，也可以是硬件的方式。软件方式是在主系统和容灾系统的主机上，安装专用的数据复制软件。这种方式的特点是成本较低。但是存在需要占用一定系统资源的问题，随着系统硬件处理能力的提升，这些已经不是问题，因此，这种高性价比的解决方案正在成为大多用户的首选。硬件方式的数据复制，是数据通过存储阵列控制器直接在存储设备之间传输，由于数据复制是由光纤通道存储阵列控制器完成，因此不占用服务器内存等的硬件资源，也不须由操作系统进行管理和控制，对操作系统资源不会造成占用，对系统效率也不会造成影响，但这种方式无法确保数据库的一致性，并在有些异常情况下，数据库无法正常打开。
同时根据实现的步骤，也可以分为同步复制（实时容灾）和异步复制（异步容灾）。同步复制是安全级别最高的工作方式，工作时主系统主机向本地的存储设备发送一个I/O请求时，这个请求同时被传送到容灾系统的存储设备中，等到2个存储设备都处理完成后，才向主系统主机返回确认信号。这一机制确保在两个存储设备中的数据在数据块级别