医院信息系统数据库安全性分析及措施医院信息系统数据库安全性分析及措施余大勇①①四二一医院信息科，510000，广东省广州市新港中路468号摘 要要数据库系统已经渗透到医疗行业的各个方面，数据库系统的安全问题也时时在威胁医院业务正常的运行与发展。

数据安全问题主要有几方面：硬件、系统软件出错，人为错误，计算机病毒，自然灾害等。

通过对现数据库系统安全进行分析，统计了本医院数据库意外停机的原因。

针对这些原因，提出了数据库安全措施，包括双机策略、磁盘备份策略、数据库容灾策略、数据库备份策略。

这些措施对提高医院信息系统数据库安全提供比较可靠的保障。

关键词关键词 医院信息系统 数据库安全 双机备份；1 1 引言引言 随着计算机技术的发展，医院信息已成为医疗系统日常活动中十分重要的一个组成部分，医院信息系统的可靠性、安全性、数据的完整性越来越引起广泛的重视。

与此同时，数据库系统的安全问题也正在威胁医院信息系统的正常运行。

目前，数据安全问题主要有几方面：硬件、系统软件出错，人为错误，计算机病毒，自然灾害等。

数据库的数据安全受到严峻的挑战。

数据库安全问题已是影响业务安全、健康、高速发展的一大隐患。

2 2 数据丢失的原因数据丢失的原因根据医院HIS数据丢失的情况，总结数据丢失原因主要是因为数据库系统停机造成的。

一般来说，信息管理系统要求24小时不停机，可靠性要求高，不仅不允许出现系统故障后丢失数据，而且要求故障在几分钟甚至几秒之内迅速恢复[1]。

而数据库系统停机可以分为：计划内停机和意外（非计划内）停机。

意外停机主要包括：系统错误：电源突然断电或者服务器磁盘突然损坏或者操作系统突然崩溃[2]；数据逻辑错误及自然灾害：发生在数据的逻辑错误；自然灾害，如火灾、地震、台风、暴雨等；人为错误：人为误删除某一张表或人为不小心删除某些数据等；系统管理员在日常维护中误删除了某个数据文件。

计划内停机包括：系统维护：增加硬件或系统升级；数据维护：表都重新定义或索引重建或更改表结构等。

对医院信息系统意外停机进行了150次的统计，统计结果见表1。

表1 意外停机统计表意外停机原因 次数 所占百分比硬件和系统出错74 49.3% 人为出错54 36.0% 计算机病毒10 6.7% 软件冲突7 4.7% 自然灾害 5 3.3%对于人为出错需要加强医院信息管理人员的业务能力。

其它意外停机造成的数据丢失可以通过硬件措施来避免或降低损失。

3 3 数据可安全的要求数据可安全的要求3.1 3.1 双机自动切换双机自动切换双机自动切换 在扩展镜像或共享磁盘阵列任意方式下，均能实现两台服务器各自运行不同应用且相互热备份，实现了用户硬件或是软件资源发生故障时系统及应用层上的在线自动热切换。

3.2 3.2 系统灾难性故障数据零丢失系统灾难性故障数据零丢失系统灾难性故障数据零丢失 出现系统故障后修复数据要求达到零数据丢失的高安全性。

3.3 3.3 应用系统灾难性故障应用系统灾难性故障应用系统灾难性故障 通过数据同步复制，实现在最短的时间内(几秒之内)故障切换，使系统永不停机。

3.4 3.4 应用数据的全自动备份应用数据的全自动备份应用数据的全自动备份 减少系统管理员的工作量，增加备份效率，压缩备份时间，使数据备份工作形成制度化、科学化，消除备份过程中因操作不当导致的严重损失，生成远程保留的为灾难恢复目的的介质。

3.5 3.5 实现数据的集中管理实现数据的集中管理实现数据的集中管理 以备份服务器形成数据中心，对各种应用系统及其它信息数据形成集中的备份，减少每个应用业务人员的工作负担，免除客户端备份的投资；形成数据管理策略，保证全系统一致的数据安全性。

3.6 3.6 重要历史数据归档重要历史数据归档重要历史数据归档 在备份服务器上以电子介质形式保留大量历史数据，形成最保贵的资源；对数据进行有规律的归档，便于今后的恢复、查阅。

4 4 数据库安全措施数据库安全措施4.1 4.1 双机策略双机策略双机策略 群集服务充当后端群集，可为数据库、消息传递以及文件和打印服务等应用程序提供高可用性。

当任一个节点（群集中的服务器）发生故障或脱机时，MSCS 将尝试最大程度地减少故障对系统的影响。

此状态下，可以称为“双机热备”。

MSCS 故障转移功能是通过群集中连接的多个计算机中的冗余实现的，每台计算机都具有独立的故障状态。

为了实现冗余，需要在群集中的多个服务器上安装应用程序。

但在任一个时刻，应用程序只在一个节点上处于联机状态。

当该应用程序出现故障或该服务器停机时，此应用程序将在另一个节点上重新启动。

每个节点都具有自己的内存、系统磁盘、操作系统和群集资源的子集。

如果某一节点出现故障，另一个节点将接管故障节点的资源（此过程称为“故障转移”）。

资源的存在可以分为五种状态：Offline，资源不能被别的资源或者客户机使用；Offline Pending，资源正处于Offline的过程中；Online，资源处于可用的状态；Online Pending，资源正处于Online的过程中；Failed，资源出现了MSCS无法解决的问题。

MSCS下Oracle的特点：由上述MSCS简介中可以了解到，在MSCS这种模式下，Oracle数据库放在共享存储上，而只有且唯一有一台服务器处在Online的状态中，以供客户端连接数据库，而另外一台就处在Offline状态中，在这种状态中，是起不到负载平衡的作用，并且这台服务器就是闲置着，并且客户端是使用不到offline状态中的服务器资源。

我们可以把在MSCS模式下的Oracle看作是一个单机的模式。

当某个一个服务器出现了故障，那么Oracle就会shutdown abort，然后切换到另外一台正常的服务器上，那么Oracle就会startup，即相当于重新启动数据库。

MSCS是Microsoft Windows Server下的一个组件，而且Windows Server Standard版本是没有的。

4.2 4.2 磁盘备份策略磁盘备份策略磁盘备份策略 磁盘阵列采用RAID技术[3]，实现容错性能，同时保证数据的快速读写。

4.2.1 4.2.1 Raid 1+0Raid 1+0Raid 1+0图1 RAID1+0结构图图1为现HIS 系统的存储上采用的磁盘Raid 级别的情况。

RAID 1+0是先做镜像，然后再做条带。

这种情况中，我们假设当Disk 0损坏时，在剩下的3块盘中，只有当Disk 1磁盘发生故障时，才会导致整个RAID 失效，我们可简单计算故障率为1/3。

对比于Raid 0+1，区别在于：RAID 0+1是先做条带，然后再做镜像。

这种情况中，我们假设Disk 0与Disk 1做条带，当Disk 0损坏时，Disk 1就失效，在剩下的2块盘中，当Disk 2或者Disk 3磁盘发生故障时，那么会导致整个RAID 失效，我们可简单计算故障率为1/2。

4.2.2 4.2.2 Raid 5Raid 5Raid 5 RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。

图2 RAID5 结构图图2中，P0为Disk 0，Disk 1和Disk 2的奇偶校验信息，其它以此类推。

由图2中可以看出，RAID 5不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。

当RAID5的一个磁盘数据发生损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。

RAID 0+1和RAID 5 的性能对比见表2。

表2 RAID 级别性能对比表项目项目RAID1+0RAID1+0 RAID 5RAID 5 容错性有 有 冗余类型复制 奇偶校验 热备盘选项有 有 读性能中间 高 随即写性能中间 低 连续写性能中间 低 需要的磁盘数 需要4个或4*N 个 三个或更多可以用容量 磁盘容量的50% (n-1)/n 的总容量数成本 高 较低 本院HIS 系统本地磁盘有5块，采用两种Raid 级别，Disk 0与Disk 1做Raid 1（镜像），剩余3块做Raid 5。

在做Raid 1的两块盘中安装操作系统和数据库软件，采用镜像能更大都保证系统软件的安全性与稳定性，做Raid 5的三块磁盘存放用户等资料，可以说是在安全和磁盘使用容量上兼顾的存储解决方案。

4.3 4.3 数据库容灾策略数据库容灾策略数据库容灾策略 数据库容灾使用Data Guard，Data Guard的特点：Data Guard 和集群是互补的，应一起使用以实现最高可用性结构；集群提供了高可用性，能够快速和自动地从节点故障或一个实例崩溃中恢复过来，提供了增强的可伸缩性；Data Guard 提供了灾难保护并防止数据丢失，维护主数据库的事务一致的副本，防止灾难、数据损坏和用户错误；数据库容灾和备份机制是发生数据库故障的最后一道保障, 建立数据库备份与容灾机制，保证数据库数据的安全和业务的连续性。

该模式下，主库（Database）通过网络把归档文件传输到备机上（Database Copy），备机上都数据库利用传送过来的归档文件（归档文件记录着对数据库的所有操作，除了查询操作）对备机上的数据库再重做一遍。

可以说是一个对主库实时复制的备库。

4.4 4.4 数据库备份策略数据库备份策略数据库备份策略 备份的目的是为了防备万一发生的意外事故，如自然灾害，病毒侵入，人为破坏等。

这些意外发生的频率不是很高，从这个意义上来讲，在满足备份需要的基础上，备份数据的存取速度并不是一个很重要的因素。

现HIS系统采用全库热备方式，即在不停库的情况下，对数据库做备份，为发生数据库故障提供最后一道保障。

热备份是在数据库运行的情况下，采用archivelog mode方式备份数据库的方法。

热备份的优点是：可在表空间或数据文件级备份，备份时间短；备份时数据库仍可使用；可达到秒级恢复（恢复到某一时间点上）；可对几乎所有数据库实体作恢复；恢复是快速的，在大多数情况下在数据库仍工作时恢复。

5 结语5现HIS系统，操作系统与数据库软件安装在Raid 1级别的本地磁盘上，保证了不会因为其中一个磁盘的损坏而导致系统崩溃。

数据库所有数据文件存放在存储上，存储采用Raid 1+0+ 1块磁盘冗余，在硬件上最大的保证了数据的安全。

在双机热备的模式下，有效地降低软硬件故障等原因造成的数据库无法启动或数据丢失的风险。

Data Guard和备份机制，更加进一步保证数据库数据的安全和业务的连续性。

从而更加降低了自然灾害，如火灾、电源短路造成机器损坏等对数据丢失所造成的风险。

参考文献参考文献[1] 李东武.医院信息系统双机热备和数据备份的设计与实现[J].中国医疗设备,2008,23(7):38-40.[2] 王鹤飞.医院HIS系统网络常见故障与维护[J].医学信息,2008,21(7):1036-1037.[3] 解生冕,王琢,韩雨民,等.医院信息系统(HIS)系统备份与容错设计[J].办公自动化,2008,(7):36-38.。