医院通用备份容灾方案模板.docx

医院通用备份容灾方案模板.docx

《医院通用备份容灾方案模板.docx》由会员分享，可在线阅读，更多相关《医院通用备份容灾方案模板.docx（30页珍藏版）》请在冰豆网上搜索。

医院通用备份容灾方案模板

方案模板（适合政府、公安、医院等）

XXXXX用户

信息系统数据安全方案建议书

1.需求说明

1.1.项目背景

（根据项目情况，简单描述用户情况，可以网上摘录，最好贴近用户实际信息系统现状和发展规划）

XXXXXX医院经过几十年，几代儿医人的艰苦奋斗、无私奉献，从稚嫩一步一步走向成熟。

现在医院已成为一所学科齐全，拥有大量专业人才和先进医疗设备，技术先进的综合性医院。

联鼎做为医疗行业用户的IT解决方案提供商,我们为大型的服务用户，提供的一种增值数据安全保障服务，通常高级别的数据安全体系建设需要大量的资金投入，针对不同系统规模，投入可能从几十万到几百万。

联鼎十几年积累的技术和产品，具有稳定可靠、架构伸缩灵活、高性价比的特点，可以根据不同规模用户环境和不同等级保护要求进行灵活部署，满足广泛的需求，并能节省大量IT投入。

本方案正是经过对医院用户的软、硬件产品及网络环境的综合考察，结合实际环境的情况提出的。

我们力图提供一套完备、基于容灾技术、智能化、易管理的数据安全环境，并且尽我们的力量来充分体现我们在存储软件领域中的扎实功底和及时到位的技术支持服务，为医院用户信息系统数据安全保障建设提出合理的解决方案。

我们为医院用户提出建立一套基于云存储架构的数据安全体系，可以实现从本地高可用、本地容灾，到异地应用级容灾。

可以实现双活容灾、两第三中心数据保护平台建设。

信息系统中数据安全是本方案关注的核心。

1.2.实现目标

本建议方案针对医院信息系统中数据及应用部分满足信息安全等级保护制度的第三级要求而制定的。

三级等保在数据安全及备份恢复包括数据完整性（S3）、数据XX性（S3）、备份和恢复（A3）几个方面。

●数据完整性（S3）

应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施；

应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。

●数据XX性（S3）

应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输XX性；

应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储XX性。

●备份和恢复（A3）

应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放；

应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地；

应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障；

应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。

我们提出的方案实现的安全级别要高出三级等保要求许多，比如可以应用或系统故障实现秒级切换，数据逻辑错误可以实时回滚，并且核心业务系统可以做到双活容灾。

还可以通过部署备份系统，实现多层次的本地、异地数据及应用的保护。

通常医院的数据中心拥有相当数量的核心业务服务器、存储、网络系统，目前基本上还没有完整的数据安全体系，任何人为的操作错误、软件缺陷、硬件故障、电脑病毒、骇客攻击、自然灾难等诸多因素，均有可能造成数据的丢失和业务的停止，从而给业务系统造成无法估量的损失。

信息系统架构的合理性，系统的安全性、可靠性和最优TCO是本方案的总体目标。

需要逐步建立一个可以满足业务持续发展需要、具有一定先进性、易于管理维护、扩展性强的数据安全体系。

1.3.环境概述

医院现规划有本地数据中心和异地容灾中心两个机房，其中本地数据中心有数据库级应用服务器共4台，和虚拟机环境上的近30个应用，异地容灾中心设计规划包含服务期、存储及相应网络环境（这部分容方案汇总方可以根据实际情况调整，但规划的应用容灾实实现上，现仅需在异地机房部署与本地业务系统相对应的物理服务器或者虚拟机，配置上不需要数量与本地数据中心一致）。

本地数据中心环境：

●数据库服务器为PC服务器，通过冗余SAN区域存储网络连接到核心存储设备，Windows操作系统和ORACLE数据库

●应用服务器为PC服务器，拥有强劲的CPU和足够的存空间

●WEB服务器为PC服务器，足够的存空间

●病毒服务器

●主审计服务器

●其它服务器等

●核心存储设备

●网络系统

●网络安全设备

（或者以列表方式描述环境，参考列表如下）：

编号

品牌

型号

操作系统

软件应用

数据库

RPO

RTO

说明

1

HP

Rx4640

HP-UX

工商业务

ORACLE10G

0

<10分钟

MCServiceGuard

存储EVA8000

2

HP

Rx4640

HP-UX

12315

ORACLE10G

0

<10分钟

MCServiceGuard

存储EVA8000

参考拓扑图如下：

（完成现有环境架构图，下图为参考）

1.4.待解决问题

●本地业务持续性保护

当任何服务器或应用由于人为或者意外原因造成宕机，都会影响到用户正常访问服务器业务，需要有针对整个系统各个核心业务系统的高可用保护手段，同时应避免高可用短板。

●本地数据保护

本地服务器上拥有大量的各类业务数据，比如HIS、PACS等，这些数据在意外丢失时，必须要有一个快速本地数据恢复的手段，确保在任何意外情况下可以进行本地数据恢复。

●灾难恢复

服务器的数据库和应用即使有本地备份手段，仍然无法避免本地机房发生灾难的情况下的业务和数据保障，而异地数据和业务的保护手段就是容灾，本方案讨论的就是异地应用级双活容灾。

容灾可以分为多个级别，本方案实现的是最高级别的应用级容灾。

2.容灾概述

本章节容可以根据项目情况删减，或者不用。

2.1.概述

数据是整个系统运作的核心。

人为的操作错误，软件缺陷，硬件故障，电脑病毒，骇客攻击，自然灾难等诸多因素，均有可能造成数据的丢失，从而给整个系统造成无法估量的损失。

通常容灾系统可以简单的分为数据容灾和应用级容灾，对于医院这样的业务环境，按照规定，需要满足等级保护要求，需要建立一个达到应用级容灾的多层次数据保护体系，达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。

2.2.灾难恢复和业务持续性的区别

很多人认为灾难恢复（DisasterRecovery）和业务持续性（BusinessContinuity）是同一个概念。

实际上它们并不完全一样，当然，它们共同的目标是IT建设中，为了最坏的情况发生而作的准备。

业务持续性（BusinessContinuity）是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念。

针对业务持续性的问题包括：

业务系统持续性的实施计划是什么？

在问题出现时，谁负责在最短的时间按照流程将系统恢复工作？

在特殊情况下，比如灾难的发生需要做什么？

多长时间能够使系统重新启动工作？

诸如此类的问题。

比如：

集群就是业务持续性保护手段的一种。

而灾难恢复（DisasterRecovery）是更高级别的安全保护手段，是针对更加严重的情况发生，如何保证系统持续提供服务，并且有完整的数据存在。

那么我们必须知道：

IT系统怎样从灾难发生后，进行数据的恢复？

采用什么样的技术来达到这样的目标？

什么样的应用需要在灾难发生时，进行切换，如何切换？

用户如何访问容灾中心的系统？

诸如此类的问题。

而灾难恢复的实现，则主要通过远程数据复制和应用切换来实现。

我们看到，灾难恢复部分包含了业务持续性，比如应用级容灾就包括了业务持续性概念，它除了强调系统的远端冗余，更要求能够有完整的数据可供服务。

而业务持续性更加强调系统持续提供服务的能力。

二者都需要对系统运行环境存在的风险进行分析，做出投资决策。

2.3.我们对灾难恢复的认识

我们对灾难恢复有多年的积累，包括用于在灾难发生情况下减少宕机时间计划和技术手段。

一个灾难恢复系统从结构上主要包括远端容灾中心，它能够在本地系统发生问题时，在最短的时间接管本地的关键业务。

从业务规划角度，远端的容灾中心应该足够的远，越远越安全。

系统在一公里、几公里围是无法达到容灾要求的，比如区域停电怎么办？

那么长期的全局数据安全规划怎么实现呢，真正容灾的保护需要跨区、跨省、甚至跨越来实现。

很多全球化企业就是这么做的。

所以灾难恢复环境的实现，需要做到数据复制和应用切换两个环节：

●数据复制：

指在异地保证各个系统关键数据和状态参数的一致，根据其实现的方法来分可以是软件的方式，也可以是硬件的方式。

软件方式是在主系统和容灾系统的主机上，安装专用的数据复制软件。

这种方式的特点是成本较低。

但是存在需要占用一定系统资源的问题，随着系统硬件处理能力的提升，这些已经不是问题，因此，这种高性价比的解决方案正在成为大多用户的首选。

硬件方式的数据复制，是数据通过存储阵列控制器直接在存储设备之间传输，由于数据复制是由光纤通道存储阵列控制器完成，因此不占用服务器存等的硬件资源，也不须由操作系统进行管理和控制，对操作系统资源不会造成占用，对系统效率也不会造成影响，但这种方式无法确保数据库的一致性，并在有些异常情况下，数据库无常打开。

同时根据实现的步骤，也可以分为同步复制（实时容灾）和异步复制（异步容灾）。

同步复制是安全级别最高的工作方式，工作时主系统主机向本地的存储设备发送一个I/O请求时，这个请求同时被传送到容灾系统的存储设备中，等到2个存储设备都处理完成后，才向主系统主机返回确认信号。

这一机制确保在两个存储设备中的数据在数据块级别的高度一致。

而异步复制的工作机制是主系统主机与存储设备间的I/O处理与数据复制过程无关，也就是说，主机无须等待远端存储设备完成I/O处理，只要本地主系统存储设备完成I/O处理后，即向主系统主机发送确认信号。

这样，虽然主系统与容灾系统之间数据复制的通讯效率会提高，但是2个存储设备中的数据就可能存在不一致，这也就是采用异步复制机制的代价。

软件方式对传输控制更加灵活，方案采用的联鼎LanderDisaster可以实现同步传-同步写、同步传、异步写、异步传-同步写、异步传-异步写，满足各种网络环境的需求，比如，网络在工作时间段繁忙，则可以定义在网络空闲情况下进行传递，而在备机，由于引入了时间漏斗概念，可以灵活定义时间漏斗大小，确保在漏斗的数据可以灵活恢复，满足了在逻辑错误发生时，可以灵活恢复到指定时间点。

LanderDisaster同时提供了多种容灾实现手段，包括：

基于文件I/O变化捕捉的LanderDisaster复制方式，这种方式完全与应用、数据库无关，实现通用环境的软件容灾，适用于各类数据库和文件环境。

基于数据库日志传递、控制，而实现的高灵活性数据库容灾软件LanderDisaster,嵌入了传输加密、压缩、CDP功能，适用于ORACLE、SQLServer数据库环境的容灾。

Ø应用切换：

即当某个具体应用在一个系统中失效之后，可以在另外一个系统中启动切换并接管该网络服务。

每次进行事务处理时，数据均同步更新。

当主业务中心发生灾难时，远程备份中心子系统中的数据将安然无恙，并且通过备用主机连接而保证数据的可用。

自动的存储子系统故障恢复和故障返回功能允许在线操作继续进行，只需要将客户端与远程子系统重新连接即可恢复业务运作。

通过建立额外的镜像，该方案可实现并行操作。

LanderCluster是联鼎十几年技术积累结晶的旗舰产品，与复制产品完美集成，可以使容灾部署更加方便、科学、可靠。

Ø容灾考量重要指标：

RPO（RecoveryPointObjective）：

即数据恢复点目标，主要指的是核心业务系统所能容忍的数据丢失量。

RTO（RecoveryTimeObjective）：

即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。

这两个指标值越低，容灾质量越高，需要根据实