本站原创在信息化快速发展的今天,医院信息系统已经成为一个数据量大,数据类型复杂的实时系统.任何人为或自然因素所导致的信息系统中断或数据丢失,都会造成医院业务的被迫中断,而由于医院业务的特殊性,任何业务中断都有可能引起严重的社会影响.所以,无论从医院管理还是临床业务角度,都对医院信息系统的稳定和安全提出了更高的要求,促使医院通过多种途径进一步加强医疗系统与数据的安全保障.
“灾备建设”对医院CIO来说并不陌生,随着医疗信息化建设的快速发展,医疗行业面对医疗数据呈几何倍增长、医患对医疗信息的要求越来越高、医疗成本快速上涨等各种挑战,信息化部门在医院中被提到了前所未有的高度.如何保证医患的满意度、增强医院的竞争力、提升医院美誉度,成为医院决策者考虑的头等大事,而所有这一切,都有赖于医院业务的持续平稳运行与医疗数据的安全完整.为此,本刊记者采访了解放医院医学信息情报所副所长薛万国、北京大学第三医院信息中心副主任计虹、北京航天中心医院信息中心主任魏红光、山东省中医院信息中心主任白如健、广州中山大学附属二院信息中心主任牛启润、深圳市人民医院计算机室主任汤学民,以及杭州信核数据科技有限公司资深顾问董唯元等信息化专家.
医院对数据安全保障的需求
在医院业务流程网络化、数据电子化的今天,保障信息安全成为医院信息化建设的重中之重.医院业务由于信息系统故障而被迫停止的事件并不少见:
2004年7月,重庆某医院怎么写作器硬盘出现故障,导致系统瘫痪持续7天,为了保住多年的数据信息,紧急到北京数据中心进行数据恢复.
2005年9月,某大城市医保局医保系统突然瘫痪,导致市区多家医院的正常医疗程序受到影响,持医保卡的患者无法使用医保卡进行挂号付费,各医院门诊大厅聚集了很多患者.之后大部分医院及时启动应急预案,经过医保局的紧急抢修,两小时后各大医院才恢复了正常的医疗程序.
2006年9月,四川某医院怎么写作器磁盘阵列柜持续故障3个月,导致大量宝贵数据丢失,直接经济损失严重,故障期间月收入较往年同期收入减少70多万元,严重影响了医院的经济收入和社会形象.
2008年5月12日汶川地震,震区多家医院由于信息中心机房被毁,造成宝贵的医疗数据丢失且无法恢复等
这些发生在我们医疗行业中的信息安全事故还有很多,多次事故已经为医院敲响了警钟――信息安全隐患无时不在,不论是加强医院管理或是寻求技术保障,保护数据、保护系统安全稳定已刻不容缓.
1. 政策引导保障数据安全
近年来,我国在政策引导上对信息安全提出了一系列的建设性意见,2003年8月,颁布《国家信息化领导小组关于加强信息安全保障工作的意见》;2004年9月,国务院信息化办公室颁布《关于做好重要信息系统灾难备份工作的通知》;2005年4月,国务院信息化办公室继续颁布了《重要信息系统灾难恢复指南》;2007年7月,颁布《信息系统灾难恢复规范》.
在最近的医疗系统安全保障工作中,2011年信息安全联合检查工作已经逐步开展.检查主要按照信息安全等级保护有关政策规定的内容和要求,重点进行安全管理、应急处置和安全技术手段三大方面的检查.其中安全管理方面包括信息安全等级保护的落实情况,重点检查信息系统定级备案、信息安全组织领导和办事机构的设立情况;应急处置方面包括网络和系统应急预案制定情况、信息安全应急值守制度、信息安全突发事件及时处置和上报制度、信息安全应急资源准备情况以及网络与系统备份措施的实施情况.
此次安全检查之详细与完备突显出有关部门对医院信息与数据安全的重视程度,也提高了整个医疗行业对系统与数据安全的重视,是保障医疗业务连续性的重要措施.
2. 保障医院业务连续的重要性
据薛万国介绍,在信息安全的“五性”范畴中,信息的“完整性、可用性”就包含了数据的完整和信息系统的可靠运行要求.如今,医院对信息系统的安全稳定运行依赖明显,对业务连续性诉求强烈.
首先,从医院HIS系统来说,通常采用“双机热备+磁盘柜备份”的方式,因为磁盘备份具有价廉和大容量的特性,在医院信息化系统建设初期十分符合应用需求.但是随着医院信息化系统的发展,大小系统的增加和数据量几何倍增长,应用过程中,系统对于故障处理及恢复响应能力的不足便逐渐凸显出来.一旦出现软件故障或者人为失误,即使使用双机热备也无法完全保证业务的正常运行,而且随着数据量的不断增加,故障恢复时间也越来越长,如何实现设备故障情况下,在最短的时间内恢复整个系统的应用,成为医院首先需要解决的问题.
北京大学第三医院信息中心计虹副主任也指出,随着信息系统面向临床的日益深化,除了门急诊业务由于是面对大量患者怎么写作的窗口业务,保证业务连续性尤为重要以外,目前住院患者从住院到出院的全医疗流程都依托信息系统平台完成,诸如EMR系统、LIS系统、PACS系统、手术麻醉系统等,都需要确保信息系统的7×24不间断运行.安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性.
“在医疗领域的一些关键性业务系统中,如果一个性命攸关的重大手术正在进行,辅助应用系统忽然需要暂停哪怕1分钟的时间,都会造成不可设想的后果.”针对医院业务的连续性需求,杭州信核数据科技有限公司资深顾问董唯元也表达了同样的看法.
其实,除了医院信息系统、诊疗系统等核心业务系统外,关乎医院财务的业务系统,如收费系统同样不可中断.因为费用数据一旦丢失,就会造成财务混乱,进而影响医院财务核算,会给医院造成不可估量的损失.医院业务的中断还会造成一系列社会影响,滋长患者对医院的不信任,影响医院的社会形象.
加强管理,保障医院业务连续进行
1. 应急预案是业务连续性的有力保障
“其实从管理角度来讲,除了构建容灾备份系统,还有一个很重要的方案就是‘应急预案’设置和演练.医院高度重视信息系统突发事件的应急处置预案,不仅信息部门有针对网络和信息系统的应急处置预案,相关业务部门(比如财务处、门诊部等)也已制订了相应的应急处置预案.同时制订应急处置预案的演练计划,并定期进行实际演练,这才是保障业务连续性的多重保险.”计虹说,“医院成立信息系统突发事件处置领导小组和信息系统突发事件技术支持小组;建立信息系统突发事件响应流程;医院信息部门执行值班制度,遇到突发信息安全事件,均按应急处置预案的规定向主管领导报告和相关部门通报.在领导高度重视下,规范各项管理制度,抵御威胁的防护对策和整改措施,建立完善应急预案,健全信息安全综合体系,防患未然,防范和化解信息安全风险,将风险控制在可接受的水平,达到最大限度地保障网络和信息安全.”
对于应急预案的重要性,薛万国有着同样的看法:“当医院系统需要降级运行时,应急系统能保证最基本的业务继续运转,这是保障业务连续的‘保底’项目.比如说门诊收费系统应急预案,因为收费项目繁杂,人工无法完成,必须配备一套应急系统保证其可以实时划价,如单机版的收费系统.再如电力故障应急预案、网络故障应急预案、核心交换机主备切换预案等等,针对这些HIS系统主怎么写作器故障以外的能影响连续业务的隐患,均要配备一套应急系统或应急预案,一旦网络、怎么写作器出现问题可以立即启动,保证系统恢复正常运行.”
一般来说,若医院HIS系统主怎么写作器出现故障,其应急预案需要按照一定的操作流程来进行,如先检查中间层怎么写作器工作状态,主要交叉门诊终端有无连接问题、查看怎么写作器应用事件日志,若住院终端报中间层连接中断时,则需要逐个检查住院中间层怎么写作器,并将故障怎么写作器关闭.然后检查数据库工作状态,主要检查有无正在执行的例行任务、检查有无锁表的现象,然后切换备用怎么写作器数据库.
由此可见,医院一整套应急预案对医疗数据和信息系统的保护,能对医疗业务的连续、稳定运行起到十分重要的保障作用.
2. 加强管理,减少人为错误
“现在大家对灾备有一个认识上的误区,以为构建了灾备系统就能100%保证医院业务的连续性了,其实不是的.”薛万国说,“业界这种基于远程数据同步的容灾技术有一个致命的弱点,就是同构模式,即采用完全相同型号的两台设备来实现远程数据同步.这种方式确实能保证医疗数据与系统在本地发生地质灾害或火灾时,远程另一套系统能立即接管业务.但有调查数据显示,在医院中真正发生硬件故障的比率是很低的,很多故障是人为误操作、维护管理不到位、软件BUG造成的.现行的很多容灾模式在人为、软件错误面前显得非常脆弱.如果其中一台存储设备上的数据因软件BUG发生错误,那么由于同步原因,另外一台同型号或同系列的设备上的数据会出现同样的错误,继而会造成本地机房和容灾中心两端的系统同时不能工作.”
针对这种同构模式的弊端,董唯元说:“这种现象在业界比较常见,其解决办法就是在传统容灾技术中融入存储虚拟化技术,使数据同步可以在完全开放的异构模式下进行.这样,数据同步就与存储设备型号完全无关.异构模式的远程数据同步是传统远程容灾体系的一个重要改进,从原理上避免了隐性故障关联.当然,并不是说有了技术上的保障就能任由人为错误的发生,根本还在于医院方加强管理来减少和规避人为错误造成的系统问题.”
3. 对机房环境实时检测,培养敏感意识
若问到信息中心最让CIO的头疼的问题时,估计多数人会道出对机房硬件环境的困扰.“不要小看机房设备的管理,在国内医院机房环境普遍不是很好的情况下,机房环境是最易出现问题的地方,特别是空调和供电.”
确实,在我们谈论其他几大备份的时候,是基于软硬件能对医院信息系统造成的影响,殊不知整个机房环境才是承载软硬件物理实体的最重要载体,这就出现了文章开篇提到的小故事.这种意外有可能经常发生,需要信息部门加强管理,明确责任,确立严格的倒班制度,对机房环境进行实时监测,从物理环境上保障医院信息系统大环境的优良与健康.
构建灾备系统,从技术上保障医院业务连续
从技术保障角度来看,构建灾备系统对医疗数据和信息系统的保护作用也不容小觑.构建医疗信息系统的容灾备份建设需要首先了解“容灾”和“备份”是两个不同又互相联系的概念.备份是将数据、系统、怎么写作器以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程.而数据备份是医疗系统备份领域中的一个重要组成部分.因为医疗数据是医疗信息中最重要的存在,通过数据备份,一个存储系统乃至整个网络都完全可以回到备份时的状态.
容灾则不仅仅是一项技术,因为其还包括一整套容灾流程、规范、具体措施和应急计划,所以说容灾更是一个工程.容灾并不是简单的备份,真正的数据容灾就是要避免传统备份的先天不足,它能在灾难发生时,全面、及时地恢复整个系统.备份是数据高可用的最后一道防线,是容灾的基础,其目的是系统数据崩溃时能够快速地恢复数据.
1. 医院构建灾备系统的进程
“近10年来,医院构建容灾与备份系统的进程与医院信息化发展的程度有直接关系,这也是医疗信息行业对系统的依赖程度越来越大的表现.”北京航天中心医院信息中心魏红光主任如是说,“在上世纪九十年代,医院刚开始建设信息系统时,那时候即使系统宕机也不存在很大的影响,医生仍然可以手工继续工作.但现在不行了,信息系统一旦发生问题,医院业务则无法开展,医疗业务对信息系统的依赖越来越强.构建灾备系统并不是医院在赶时髦,而是因为随着信息化发展,其业务对信息的依赖程度而造成的.”
同时,对医院构建灾备系统的发展,薛万国主张从两个维度观察.一个是纵向发展:从数据的本地备份到异地数据备份再到医疗系统的远程容灾.二是横向发展,即灾备建设对医院大大小小各种子系统的覆盖面.
对医院构建灾备系统的现状,《e医疗》杂志行业研究部对北京、山东、广州、深圳、四川等地的30所医院进行了调查.这些医院信息化应用比较成熟,所以对于医疗数据和系统的保护有明确的认识和做法.
从图1中可以看出,在这些医院中,基本全部实现了医院HIS、LIS、PACS、EMR医疗数据的本地备份,其他系统诸如手术麻醉系统、病理系统、OA系统等也实现了部分本地数据备份.实现异地(包括同城异地)数据备份的系统多为HIS,因为HIS系统涵盖了医院主要业务,保证HIS系统数据的完整和稳定,就相当于保证了医疗怎么写作的生命线.
一般来说,医疗数据备份可以保证系统故障发生后的断点恢复,但无法保证医院业务的持续进行.若实现了完整的系统、数据、怎么写作器远程容灾建设,一旦本地系统因为地质灾害原因中断,仍然可以通过远程系统接管本地业务的方法来保证医院关键业务的连续运作.可以看到,至今做到远程容灾的医院并不多,这主要是受限于资金和医院当前需求的发展.
此次我们对医院下一步规划重点也进行了调查(如图2),数据显示“异地数据备份”建设占40%,“重要系统灾备建设”是医院重点规划项目,占50%.也就是说,当数据备份能基本保证医疗数据可用、可恢复后,如何保持业务连续性、窗口业务不间断运行,就成为医院重点考虑的方面.至于全院信息系统的远程容灾,就目前来说还处于规划阶段,列入医院近期发展目标的并不多,仅占10%.但多数受访CIO表示,全院医疗系统的远程容灾是发展方向.
2. 当前灾备技术的发展
谈到当前构建灾备系统对医疗信息安全的保护作用,董唯元指出了全方位的数据保护与传统数据备份的不同:“真正全方位的数据保护方案包含的远不止是数据备份,根据保护对象和相关技术的不同可大体分为两类:保护数据状态与保护数据内容.保护数据状态即保证数据在线性和可用性,保护数据内容即保护数据的完整性和不可更改性.”
(1)存储高可用技术保护数据可用
所谓数据状态,也称数据在线性或数据可用性,是指数据可以随时被应用访问和调用.“如果把数据比作钱,那么存储设备就是银行,打个比方来说,在只能消费的场合,身上没带,就无法进行消费活动.在这个场景中,存入银行的钱并没有丢失,只是处于不可用状态.”董唯元解释说.对数据来说也是如此,一旦发生故障,备份数据并不能被马上使用,而是要耐心等待数据恢复过程.在数据完整恢复之前,基于该数据的应用都无法正常运行,这种等待过程往往是医院所无法忍受的.
保护数据状态的各种技术手段,核心主旨就是在系统中消除单故障点,使任何软件或硬件模块发生故障时,系统仍然能够不中断地持续运行.在防范怎么写作器硬件及操作系统故障方面,双机集群技术已经普遍应用于各类关键性业务系统,而集群系统中的共享存储往往成为一个单点隐患,事实上,在应用了双机集群的系统中,有超过90%的停机故障都是由共享磁盘阵列造成的.“针对这个现象,信核数据提出的存储高可用技术,可以说已经解决了这个问题,在全球范围内填补了高可用集群领域最重要的一块空白.”董唯元说.
(2)保护数据内容
存储高可用集群技术可以保护数据状态,却并不保护数据内容.如果人为误操作删除了不该删除的文件,或者恶意用户篡改了数据,任凭高可用集群如何切换,也无法补救.之前在医疗行业中最常见的保留历史记录的方法是,在出现事故之前定期拷贝所有数据内容并留存起来.这种方式的弊端很多,重复占用大量存储空间、备份,恢复的速度慢、无法及时验证等等.
从最早的增量策略和差量策略,到后来的数据快照技术,再到新近出现的虚拟磁带库以及CDP技术,数据备份技术一直无法回避的一对矛盾就是备份过程与恢复过程的复杂性问题.概括地讲,备份过程越简单方便,恢复过程就会越复杂,反之,如果想得到简单快捷的恢复方式,则备份过程就会更复杂.对此,董唯元说:“这个问题可以通过SAN Boot技术,再结合信核数据自有CDP引擎和Replicator工具来解决,这样一来备份过程便完全与主机无关,而且无论多大量的数据,都可以实现分钟级系统恢复.”
所以说,一套完整的容灾系统应同时涵盖数据状态保护和数据内容保护,而且这两方面的保护措施和技术手段应实现一体化管理.“摆脱这种窘境的出路,就是选择同一系统平台来同时实现状态与内容的保护,将多种技术功能在同一系统中协调,能简练高效地实现状态与内容的多重保护机制.”董唯元解释说.
医院构建灾备系统的经验
1.重视数据灾备建设
医疗系统存储的应用主要来自于HIS、PACS、EMR等业务的应用,但随着医院信息化建设的越来越普及,系统数量与数据急剧增加,对医院构建灾备建设也提出了更高要求.通常在一个医院信息化建设过程中,对数据安全要求最高的是医院核心系统HIS系统,因为HIS系统主要对门诊、收费、药房管理和OA等系统提供怎么写作,这些都是对工作连续性要求极高的业务.有数据显示,一个中等规模的医院年平均存储数据量至少在2TB以上,这样大的数据量,若没有妥善保存而导致数据损坏、丢失、无法使用,无论对医院还是对患者来说都是极大的损失.
2. 重视灾备方案设计
每个医院在构建容灾备份系统时,都应将医院自身需求充分考虑到项目方案中,尤其是针对每个漏洞需要采取的防范措施、每个情况需要采取的技术支持.如保证所有系统特别是HIS系统的数据有实时备份功能;为不同的应用提供不同的性能支持;一旦HIS系统数据库写入错误,要能迅速恢复到最近的备份时间点;在业务不中断的情况下,满足存储阵列下线维护、升级;人为删除、系统BUG、网络病毒等原因造成的怎么写作器宕机应如何维护等等,包括灾备系统的升级费用都要列入计划方案中.
“医院方面要把能想到的所有需要防范的情况列到方案中,这是一个很重要的问题.”薛万国说.
3. 三分技术七分管理
对医院而言,一套自上而下、行之有效的管理手段也是业务连续的有力保障.“管理是从上而下的意识层面的防护,俗话说‘三分技术,七分管理’.安全因素不仅仅是技术问题,更多的是管理问题,人的因素.完善的管理机制是整个信息系统安全的保障.问题不断地发生,我们善于不断地总结经验,完善自身的管理.”计虹说,“我们认为技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行.当然技术也在不断地发展,构建灾备系统让技术作保障,良好的管理再加上技术保障,医疗业务才能说做到了有备无患.”
4. 重视应急系统
应急系统,即支持医院最关键业务的系统,一般来说,医院都会为收费系统配备一套应急系统.医院每天都担负着为成千上万民众诊治的重任,医院信息系统是医疗怎么写作的生命线之一,系统的正常与否直接关系到医疗秩序的优劣,医疗秩序的优劣又直接关系到患者的等待时间和对医院的信任感.所以除了信息系统对医院业务的支撑外,应急系统对核心业务的支持作用也不容小觑.
小结
目前来看,医院构建灾备建设困难不少,其中之一就是医疗系统众多,如今医院的信息系统已经不是一个个孤立的程序,而是作为集成化的整体形态工作.随着医院信息化的不断深入,医院逐渐由过去的HIS系统发展到HIS、OA、MIS、LIS、PACS以及EMR相互融合,包括一些科室级的独立系统的应用.可以说,现在医院中至少有几十个系统在支撑业务运转,如果将这些系统逐一构建灾备系统的话,不但工程复杂,成本也是非常高昂的,管理起来压力很大.
“现在一些大型医院运行的HIS及各类专科系统往往在数据存储、怎么写作器等软硬件上相互独立,对动辄几十个系统全部做到软硬件容灾备份很难,技术及资金投入都很大.所以现在很多医院都是将涉及医院重要业务的HIS构建灾备系统,而将其它的重要系统只进行数据异地备份,这样在资金不足的情况下,也能保证数据的完整性.”薛万国解释了现在的医院构建灾备系统所面临的困难.
困难是一时的,只有技术的不断发展才能逐步解决现有问题.当问及灾备技术在未来的发展趋势时,董唯元说:“在虚拟主机、虚拟计算、虚拟桌面等虚拟化技术日益盛行的今天,虚拟存储技术作为所有虚拟化技术的核心基础,是获得系统开放性和扩展能力的核心技术出发点,已经成为众多系统数据集中存储的解决方案.将来随着虚拟化技术的普及,医疗行业未来的容灾技术也将与虚拟化、云计算等模式融合,这将是大势所趋.”
解放医院
医学信息情报所副所长 薛万国
对于可能出现的系统故障,各医院都应该设有相应的应急预案,当医院系统需要降级运行时,应急系统能保证最基本的业务继续运转,这是保障业务连续的‘保底’项目.
北京大学第三医院
信息中心副主任 计 ,虹
技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行.
北京航天中心医院
信息中心主任 魏红光
近10年来,医院构建容灾与备份系统的进程与医院信息化发展的程度有直接关系,信息系统一旦发生问题,医院业务则无法开展,这也是医疗信息行业对系统的依赖程度越来越大的表现.
广州中山大学附属二院
信息中心主任 牛启润
网络病毒、外来入侵等都会对医院信息系统造成很大的隐患,但最大的隐患还是来自管理不善,如网络规划不合理、没有安全和应急措施、使用U盘、随意更改数据库等.
杭州信核数据科技有限公司
资深顾问 董唯元
真正全方位的数据保护方案不止包含数据备份,而是保护数据状态与保护数据内容.保护数据状态即保证数据在线性和可用性,保护数据内容即保护数据的完整性和不可更改性.
深圳市人民医院
计算机室主任 汤学民
医院信息系统中隐患很多,针对门急诊系统可能出现的故障,我院的应急方案是构建门急诊备用网络、备用怎么写作器,系统故障或计划停机时手动启用.