容灾备份建议书

医院信息系统容灾备份建议书

一、概述

二十一世纪的医院已经逐渐发展为现代化的综合性医院，为了实现医院管理的科学化、现代化、数字化，与国际、国内信息化建设的新技术接轨，适应现代化医院的医疗、科研、教育和管理的要求，现代化的医院所建立起的信息系统(HIS)主要以一体化的临床系统、LIS 系统、PACS系统，EIS系统、PIS系统等为基础，实现数据全面共享，共同形成全面的医院信息管理系统。庞大的系统必然产生海量数据，对于软件系统而言数据就是根本，任何操作、分析、结算等等都从数据库中提取。从某种意义上说，数据安全成为了现代医院信息系统安全的重中之重。一旦数据丢失，对任何一家医院来说都会产生重大的影响。

二、项目立项的必要性及市场需求分析

近几年，国家各部委对数据信息安全都有相关的明确规定！颁布了如下一系列条例，如《国家信息化领导小组关于加强信息安全保险工作的意见》，《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《2006―2020年信息化发展战略》、《信息系统灾难恢复规范》、《保险业信息系统灾难恢复管理指引》、《银行业

信息系统灾难恢复管理规范》、《民用航空重要信息系统灾难备份与恢复管理规范》、《重要信息系统灾难恢复规划指南》。在2010年11月，北京卫生局联合公安局等部门下发了《关于开展信息安全等级保护安全建设整改工作的实施方案》的通知，该通知中也明确提出了数据备份的安全等级保护，并要求需要在重点单位发挥试点示范作用。由此可见各行业已经开始注重容灾备份的重要性了！

对于关乎国计民生的医院行业，政府更是大力监管，在2011年推出的“《三级综合医院评审标准（2011 年版）》（卫医管发〔2011〕33号）”文件中的第五大点第四条就明确规定了“实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私。推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。” 该部分就已经包含了容灾备份及业务连续性管理的要求，从等级保护的要求而言，二级及以上的等级保护也是要求要做备份及业务连续性管理的，还需要有应急的制度、程序流程和灾难演练。

医院信息系统运行中可能出现的突发性故障和问题

１、系统硬件故障

如数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机；

2 、应用程序或操作系统出错

由于操作系统或应用程序中可能存在不完善的地方，当碰到

某种激发事件时，应用程序非正常终止或系统崩溃；

3 、人为错误

一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致数据丢失或者系统服务的无法访问；

4、电脑病毒/黑客入侵

由于目前的大多数计算机系统直接或通过U盘等硬件设备间接地连接在网络上，若缺少有效的防范机制，很容易遭受病毒的感染或黑客的入侵，轻者数据被损坏，重者系统瘫痪；

5、自然灾害

由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断。

6、正常的停机

主要指计划内的系统升级、安装软件等过程。

三、相关领域国内外技术现状、发展趋势及现有工作基础

备份的历史可以追溯到上世纪50年代，那时候国外一些公司就开始对自己的重要数据进行备份保护。但那时候重要数据以纸质媒体为多，电子数据只有一小部分，他们将其副本放置在另一个相对安全的地点存放，防止灾难事故对数据的损坏，这便是容灾备份的雏形。

70年代的时候随着电子数据越来越多，这种类似的数据容灾保

护形式越来越普遍。到了80年代，美国市场上已经有了上百个专业公司。一些视数据为生命且数据量巨大的金融公司开始广泛的采用这些公司提供的异地灾备中心存储解决方案。

1983年，政府开始对数据安全进行足够的重视。美国联邦货币监管中心要求金融机构起草了有关数据灾难备份及恢复的指导性文件，主要强调数据库的备份和恢复，通过运送备份磁带到专门的存储地实现安全。此文件一直使用到1989年，联邦货币监管中心有了更详尽更成熟的一套数据安全相关资料

进入九十年代，计算机的迅速发展和普及在大大的提高了生产效率的基础之上也给再灾难行业带来了新的市场和机遇，更过容灾备份厂家和产品有了用武之地。

九十年代的中后期（2000年前后），出现了业务连续性的概念，并开始逐渐取代单纯的灾难恢复。与灾难恢复相比，业务连续性不只局限于传统的IT系统，而是涵盖了包括人为操作失误、网络故障、流程中断等。

2000年以后，随着国内各行业信息系统的快速发展，特别是银行、证券、保险和政府等行业业务大集中速度的加快，企业的技术风险也相对集中。一旦发生灾难，则将导致政府和企业所有分支机构、营业网点和全部的业务处理停顿，或造成企业客户数据的丢失。如何防范技术风险,确保数据安全和业务连续性，已成为企业急需面对的课题。

虽然国内的信息化建设足足比国外晚了近五十年，但是一直是

用一种飞向的速度在追赶。基于此国家相关部门借鉴国外的容灾备份理念，对加强信息安全保障工作十分重视，先后出台了多项有关信息安全保障措施。如中国人民银行于2002年8月下发了《关于加强银行数据集中安全工作的指导意见》，指出："为保障银行业务的连续性，确保银行稳健运行，实施数据集中的银行必须建立相应的灾难备份中心。" "业务连续性计划应报中国人民银行备案。"。

2003年8月,中办发[2003]27号文件——《国家信息化领导小组关于加强信息安全保障工作的意见》规定：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案。“谁主管谁负责，谁运营谁负责”。

2004年9月，信安通（国家网络与信息安全协调小组办公室）发[2004]11号文件——《关于做好重要信息系统灾难备份工作的通知》：提高抵御灾难和重大事故的能力，减少灾难打击和重大事故造成的损失、确保重要信息系统的数据安全和作业连续性，避免引起社会重要服务功能的严重中断，保障社会经济的稳定，要求“统筹规划、资源共享、平战结合”！

同年2004年9月，开始起草《信息系统灾难恢复指南》初稿；

2004年10月22日，成立了由国信办领导、8大重点行业和5个政府单位专家及万国数据服务公司组成的《指南》工作组；

2005年4月，国信办以文件的形式下发了《信息系统灾难恢复指南》；