大型机构信息系统安全综合规划解决专业方案.docx

北医信息系统安全计划方案 -05 1 概述 信息安全等级保护制度不仅是中国信息安全保障工作一项基础制度，更是一项事关国家安全及社会稳定政治任务。２０１１年 １２月，卫生部公布《卫生部办公厅相关全方面开展卫生行业信息安全等级保护工作通知》（卫办综函［２０１１］１１２６号），要求卫生行业"全 面 开 展 信 息 安 全 等 级 保 护 工 作"，同 时 发 布《卫生行业信息安全等级保护工作指导意见》（卫办发［２０１１］８５号），结合卫生行业实际，为规范和指导全国卫生行业信息安全等级保护工作，提供了指导意见。 卫生行业实施信息安全等级保护制度工作全方面开启。医院信息系统 （ＨＩＳ）是卫生行业信息系统关键组成部分。医院医疗工作正常进行和病人个人隐私信息全部和医院信息系统安全紧密相关，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大灾难和难以填补损失。医院信息系统必需根据要求，全方面实施信息安全等级保护制度，以确保医院信息系统数据安全。１９９４年，国务院公布了《中国计算机信息系统安全保护条例》（国务院 １４７号令），要求"计算机信息系统实施安全等级保护"。２００４年 ９月，公安部等四部委联合公布《相关信息安全等级保护工作实施意见》（公通字［２００４］６６号），明确了信息安全等级保护制度标准、内容、工作要求、部门分工和实施计划等。２００７年 ６月，《信息安全等级保护管理措施》（公通字［２００７］４３号）正式出台，为开展信息安全等级保护工作提供了规范保障。随即，国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基础要求》、《信息系统安全等级保护测评要求》等多个安全标准实施措施。 用友作为整体处理方案提供商，在医院系统架构中我们将以数据安全作为方案关键依据国家标准并结合目前成熟软硬件技术进行系统软件、硬件设计及架构，假如选择用友提供整体处理方案，医院管理系统能够实现最好应用效果和最大经济效益。 2 总体设计目标 系统含有较强伸缩性和可扩展性，不仅能够满足现在北医日常信息录入、查询、报表分析等业务操作需求，而且对以后北医业务增加或访问量增大也含有良好扩展性，实现业务和系统性能线性增加。 功效、性能满足需求同时，数据安全是我们关注关键方面，经过安全域划分、边界安全防护、身份判别、服务器容错和备份恢复等手段，用友信息系统能够多角度全方位确保医疗信息系统数据安全。 3 安全总体实现目标 3.1 安全定级 医疗信息系统正确定级十分关键，假如信息系统定级不科学，那么依据定级结果建设信息安全体系将事和愿违，甚至可能面临严重安全隐患。信息系统安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害客体和对客体造成侵害程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。 信息系统安全保护等级： （一）　第一级为自主保护级，适适用于通常信息系统，其受到破坏后，会对公民、法人和其它组织正当权益产生损害，但不损害国家安全、社会秩序和公共利益。 （二）　第二级为指导保护级，适适用于通常信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 （三）　第三级为监督保护级，适适用于包含国家安全、社会秩序和公共利益关键信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 （四）　第四级为强制保护级，适适用于包含国家安全、社会秩序和公共利益关键信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 （五）　第五级为专控保护级，适适用于包含国家安全、社会秩序和公共利益关键信息系统关键子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成尤其严重损害。 卫生部《卫生行业信息安全等级保护工作指导意见》（卫办发［２０１１］８５号）相关指导意见，北医系统安全保护等级标准上不低于第二级。 附：监督管理措施 第五条　信息系统运行、使用单位及个人依据本措施和相关技术标准对信息系统进行保护，国家相关信息安全职能部门对其信息安全等级保护工作进行监督管理。 （一）　第一级信息系统运行、使用单位或个人能够依据国家管理规范和技术标准进行保护。 （二）　第二级信息系统运行、使用单位应该依据国家管理规范和技术标准进行保护。必需时，国家相关信息安全职能部门能够对其信息安全等级保护工作进行指导。 （三）　第三级信息系统运行、使用单位应该依据国家管理规范和技术标准进行保护，国家相关信息安全职能部门对其信息安全等级保护工作进行监督、检验。 （四）　第四级信息系统运行、使用单位应该依据国家管理规范和技术标准进行保护，国家相关信息安全职能部门对其信息安全等级保护工作进行强制监督、检验。 （五）　第五级信息系统运行、使用单位应该依据国家管理规范和技术标准进行保护，国家指定专门部门或专门机构对其信息安全等级保护工作进行专门监督、检验。 3.2 安全域划分 对大型信息系统进行等级保护，不是对整个系统进行同一等级保护，而是针对系统内部不一样业务区域进行不相同级保护。安全域是指同一环境内有相同安全保护需求、相互信任、并含有相同安全访问控制和边界控制策略网络或系统。 在网络划分时关键分为外网、内网和DMZ区。用友应用服务器放置在DMZ，能够许可外网和内网访问，数据库系统放置在内部网和应用服务器经过专用交换机通讯。这么能够实现不一样安全等级安全域分开管理互不影响。 3.3 边界安全防护 网络划分安全区域后，在不一样信任等级安全区域之间就形成了网络边界。实施边界安全防护方法，既能够使边界内部免遭外部攻击，也能够遏制内部不法人员跨越边界而向外部实施攻击。首先，在安全事件发生前，经过搜集并分析安全日志和多种入侵检测事件，能够及早发觉攻击企图；其次，在安全事件发生后，又能够经过所统计入侵事件来进行审计追踪。 在安全域之间设置防火墙和端口绑定和VLAN划分能够最大程度预防IP欺骗或饱和攻击等流行网络入侵和攻击。 3.4 身份判别 对于三级信息系统应该根据国家法律法规、信息安全等级保护制度等要求，采取电子认证服务，并应该遵照《卫生系统数字证书应用集成规范》进行建设，依据实际需求实现基于数字证书身份认证、数字署名和验证、数据加密和解密、时间戳应用等各项安全功效。 3.5 传输数据加密 为了预防数据监听造成信息外泄。UAP在用户端-应用服务器-数据库服务器采取了全程数据加密策略，即使有些人非法获取了中间通讯数据流，因为数据已经加密，也无法得悉数据实际含义。 3.6 服务器容错 数据库服务器提议采取ORACLERAC组件构建数据库集群，WEB应用服务器采取IBM WebSphere App Server网络版，并采取集群架构。基于集群架构，全部服务器中假如一台主机宕机，另外一台主机仍然正常工作。而且服务器及网络布署中，全部关键部位全部为冗余设计，如存放、服务器电源全部能够采取双电源方案，网卡能够经过AFT技术实现冗余切换。 3.7 备份和恢复 备份和恢复关键包含两方面内容，首先是指数据备份和恢复，另外首先是关键网络设备、线路和服务器等硬件设备冗余。数据是最关键系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵照稳定性、全方面性、自动化、高性能、操作简单、实时性等标准。对于关键交换设备、外部接入链路和系统服务器进行双机、双线冗余设计，保障从网络结构、硬件配置上满足系统不间断运行需要。 数据库备份将综合采取冷备份和热备份相结合，能够支持医疗系统7*24不间断运行。即使发生自然灾难或人为误操作行为，也能够快速还原确保系统连续运行 3.8 日志审计 系统运行期经过NMC能够对系统运行日志进行安全审计，定时提供审计汇报。经过审计汇报能够清楚了解系统运行状态，假如发觉流量或访问数异常时能够分析该时间区间日志，确定造成异常原因。 4 系统集成方案 针对北医数据安全考虑，采取集中式布署，中心数据服务器和内外网应用服务器全部采取集群方法布署，配置磁带库进行数据备份，集群系统能够确保系统稳定和数据安全。企业全部用户全部经过浏览器方法（WEB SERVER）基于B/S架构访问企业应用服务器及数据服务器，操作使用该系统。企业内外网分离，内部网络布署数据库服务器和应用服务器。多级防火墙能够有效屏蔽网络渗透和网络攻击，监控服务器和证书服务器关键负责日志审计和证书确定。 图：北医系统网络布署简图 **************************************************************** 提议此次开发项目数据库主机应用AIX平台，从而提供系统可靠性和稳定性同时对用户投资给予最大保护。提议全部应用服务器主机采取WINDOWS平台，业务系统中间件软件采取IBM WebSphere App Server中间件。依据北医性能和可靠性要求，需满足7*二十四小时无故障运行，提议经过F5负载均衡设备实现应用系统集群（或经过IBM WebSphere App Server自带集群分发器实现应用请求负载）。关键数据库系统提议采取ORACLE，假如采取ORACLE提议以共享存放方法运行ORACLERAC组件，能大大提升数据高可靠性和高负载能力，数据库服务器还高速经过8G光纤以LANFREE方法接入SAN存放。具体布署以下 4.1 ？总体架构设计 在本项目中采取企业架构设计方法论。针对北医系统设计业务系统架构以下图所表示： · 网络架构：经过F5系统实现对外链路负载及对内应用负载。 · 应用架构：应用架构用于实现对业务架构支持，包含应用服务器集群及查询应用服务器集群2套WAS集群。 · 数据库架构：在不一样行业，数据库全部越来越变得关键。本方案采取业务数据库和查询业务数据分离方法，在内网建设2套RAC集群Oracle数据库。 · 服务器架构：在本方案中关键服务器为2台数据库服务器，推荐使用IBM P750，经过PowerHA及Oracle 集群方法为应用提供服务。为确保业务查询性能利用现有2台HP小型机搭建查询数据库集群。2套数据库集群经过用友AE方法软件同时2套数据库中数据。 · 存放区域网络：本项目为北医系统搭建一套关键SAN网络，利用2台SAN交换机连接4台数据库服务器和磁盘阵列。关键数据库系统使用EMC CX480存放，查询数据库使用现有HP EVA4400存放设备。 网络架构、应用架构、数据库架构、服务器架构和存放区域网络是从上到下关系，上层架构决定了下一层架构需求，下一层架构用于实现上一层架构目标。 在此次计划设计中，采取优异设计方法论指导项目标设计和实施。北医硬件集成方案关键任务是支持企业新北医系统，必需和业务发展战略和业务目标紧密挂钩，所以在制订北医集成方案总体计划时，会对北医业务需求、现有IT基础架构现实状况、支持业务能力和IT技术和服务提供商业务发展趋势等原因做综合考虑，以保障现有IT投资，促进未来IT环境扩展，平衡功效、性能和成本，确保此次搭建业务平台能够长久有效支持业务发展。 4.2 ？集成配置明细 编号 名称 配置需求 数量 1 数据库服务器 IBM P750 POWER7 3.0主频 16CORE,128G内存，300G*2硬盘，4块8G FC卡,AIX6.1 64位 2 2 应用服务器 IBM x3850 X5 4CPU（6核），主频Xeon2.66 GH，48GB内存，硬盘空间2´300GB 做RAID1、双电源，2块千兆网卡、2块原厂8GBHBA卡 3 3 查询应用服务器 IBM x3650 M3 4CPU（6核），主频Xeon2.66 GH，48GB内存，硬盘空间2´300GB 做RAID1、双电源，2块千兆网卡、2块原厂8GBHBA卡 2 4 备份服务器 IBM x3650 2CPU（4核），主频Xeon 2.26 GH，8GB内存，硬盘空间2´300GB 做RAID1,8G FC卡1块、双电源，2块千兆网卡、2块原厂8GBHBA卡 1 5 F5负载均衡设备 支持IBM WebSphere App Serve负载和INTERNET多链路负载和接入(含F5-BIG-LTM-1600-4G-R、F5-ADD-BIG-LC、含RamCache）CPU双核，160G硬盘、内存4G、4 个10/100/1000 电口2个光口及对应SFP模块 2 6 ORACLE数据库 ORACLE Enterprise Edition 11.1.0.6 以上 64位版本,需RAC组件 1CPU DB+ 1CPU RAC 2 7 用友AE 2CPU配置 1 8 应用中间件（WAS） IBM WebSphere App Server 6.1 网络（集群）版 FOR WINDOWS 64位需要布署2套，现在每套只按一台主机1CPU报价。 2 9 应用、备份服务器操作系统 Red Hat Enterprise Linux AS, Version 5 with Update 1 for x64 5 10 查询服务器HBA卡 HP下用HBA卡(依据系统采取操作系统版本决定型号) 4 4.3 ？主机布署方案 4.3.1 安装场地环境（包含电源、UPS、线路、线缆等） · 需经厂商工程师确定，现有环境 · 机柜位置图 注：以下为示意图，具体位置需现场确定 4.3.2 主机系统设备连接图 （需设备方案确定） 4.3.3 软体配置安装配置 AIX安装配置，和主机系统计划 4.3.3.1 主机设备/分区命名方法 · 命名方法：主功效_〔机器序号（A-Z）＋序号（0-10）〕_子功效 · 主功效： 数据库系统，暂定：DB · 子功效： DB、TEST 4.3.3.2 服务器列表 标准名称 缩写名称 用途 ZJS北医_P750_DB1 北医_DB1 生产数据库1 ZJS北医_P750_DB2 北医_DB2 生产数据库2 ZJS北医CX_RX8640_DB1 CX_DB1 查询数据库1 ZJS北医CX_RX8640_DB2 CX_DB2 查询数据库2 ZJS北医_X3850_APP1 北医_APP1 生产应用中间件1 ZJS北医_X3850_APP2 北医_APP2 生产应用中间件2 ZJS北医_X3850_APP3 北医_APP3 生产应用中间件3 ZJS北医CX_X3850_APP1 CX_APP1 查询应用中间件1 ZJS北医CX_X3850_APP2 CX_APP2 查询应用中间件2 ZJS北医_X3650_BAK 北医_BAK 备份服务器 4.3.3.3 主机IP地址分配计划 IBM P750（Oracle RAC） 主机名 北医_DB1 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM P750（Oracle RAC） 主机名 北医_DB2 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* HP rx8640（Oracle RAC） 主机名 CX_DB1 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* HP rx8640（Oracle RAC） 主机名 CX_DB2 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3850（IBM WAS 6.1ND） 主机名 北医_APP1 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3850（IBM WAS 6.1ND） 主机名 北医_APP2 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3850（IBM WAS 6.1ND） 北医_APP1 北医_APP3 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3850（IBM WAS 6.1ND） 主机名 CX_APP1 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3850（IBM WAS 6.1ND） 主机名 CX_APP2 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 浮动IP地址 *.*.*.* 子网掩码 *.*.*.* IBM x3650（数据备份） 主机名 北医_BAK 网关 *.*.*.* IP地址1 *.*.*.* 子网掩码1 *.*.*.* IP地址2 *.*.*.* 子网掩码2 *.*.*.* IP地址3 *.*.*.* 子网掩码3 *.*.*.* 4.3.3.4 Kernel参数 参数名称 Oracle最低设置 SUN APP设置 KSI_ALLOC_MAX (NPROC * 8) MAX_THREAD_PROC 256 1024 MAXFILES 256 MAXDSIZ MAXDSIZ_64 . MAXSSIZ MAXSSIZ_64BIT MAXSWAPCHUNKS 16384 MAXUPRC ((NPROC*9)/10) MSGMAP (MSGTQL + 2). MSGMNI NPROC MSGSEG 32767 MSGTQL NPROC NCALLOUT (NPROC + 16) 2084 NCSIZE ((8 * NPROC +2048) +VX_NCSIZE) NFILE (15 * NPROC +2048) NFLOCKS 4096 NINODE (8 * NPROC +2048) NKTHREAD (((NPROC * 7) / 4)+ 16) 3635 NPROC 4096 2068 SEMMAP (SEMMNI + 2) SEMMNI 4096 SEMMNS (SEMMNI * 2) SEMMNU (NPROC - 4) SEMVMX 32768 SHMMNI 512. SHMSEG 32 VPS_CEILING 64 4.3.3.5 系统包、补丁 附：系统包、补丁表列表； 4.3.3.6 操作系统用户和组定义 功效 用户名 用户id primary group 组id 主目录 Oracle数据库 oracle 600 dba 600 /oracle 备份软件安装用户 bkup 300 bkusr 300 /home/bkup 一般用户 genusr 400 genusrs 400 /home/genusr 4.4 ？存放系统设计 4.4.1 SAN网络设计 在此次进行SAN架构设计时，我们遵照以下标准，构建一个统一计划存放网络。 1. 根据业务系统进行分级设计 2. 含有灵活扩展能力，需要增加主机时，将主机轻松连接到这个网络中，并能共享网络中存放资源；需要增加存放时，将存放在线地加入到这个网络中，并动态地为应用主机分配磁盘空间 3. 充足利用现有设备，保护原有投资 4. 确保未来存放网络扩展性 整个系统将关键考虑安全性、可靠性、高可用性，另外，还考虑到系统运行性能、高可扩充性、开放性、可维护性、用户操作简易性和充足保护用户投资等很多方面需求。 4.4.2 SAN交换机计划 4.4.2.1 SAN网络依据业务系统计划 建立了统一SAN 网络后需要对网络内部结构统一计划。在北医系统中，关键数据库服务器连接EMC存放，查询服务器连接EVA存放，同时还需要考虑备份系统设计。 4.4.2.2 SAN交换机安全性设计 经过交换机Zoning功效，在开放系统、多平台或SAN环境中经过使用World Wide Names将主机和对应存放FC端口划分不一样区域，每台主机仅能够经过定义路径访问事先定义LUN，达成SAN结构中Zone 安全管理功效和数据保护功效。 分区能够在使用不一样操作系统设备之间建立起屏障。比如，分离运行不一样操作系统服务器和存放设备通常很关键，因为它们之间信息意外传输能够删除或破坏数据。分区能够将使用相同操作系统设备进行分组，并放到不一样分区，从而预防了这种情况发生。 在进行分区划分时，提议遵守以下标准： 一个分区只能包含一个服务器链路(服务器HBAWWN或对应交换机端口)和一个存放设备链路(存放设备HBAWWN或对应交换机端口)。 经过光纤交换机分区能够增强SAN安全性，同时也应该在服务器和存放设备上实施针对SAN安全方法，比如存放上LUN Masking。 总而言之，在北医系统中2台关键SAN网络交换机需要分别建立3个zone隔离各应用服务器。第一个zone包含2台P750服务器和EMC存放，第二个zone为查询服务器和EVA存放，第三个zone为服务器备份zone，需要连接服务器和磁带库。 4.5 ？存放计划方案 4.5.1 存放系统计划 经过建立统一、集中存放平台，北医系统存放系统将含有架构清楚、布署灵活、设备标准、网络可靠、数据分级、易于扩充等特点。 在北医系统中我们分别为关键数据库和查询数据建设2套存放系统，其中关键数据库服务器连接关键存放设备，查询数据库利用现有存放设备。 关键存放之所以很关键，是因为它能够在网络中提供对信息即时访问，关键存放为业务系统提供日常业务处理所需要数据和信息。所以，关键存放要求高性能，高稳定性，以确保业务系统快速处理。查询数据库存放设备需要配有一样容量存放空间。 4.6 备份系统设计 4.6.1 备份系统 北医系统需要对数据库和应用系统进行备份。 4.6.2 备份方案概述 备份采取企业级备份管理软件实现对数据多个方法备份，经过SAN结构支持，实现数据备份和恢复。 安装备份服务器，集中管理数据备份和恢复。 在业务主机上安装备份软件用户端，实现数据LAN-Free备份和恢复。 生产主机数据备份经过两种方法进行。首先，经过数据库在线备份模块，实现数据库全备份和其它等级多个备份，确保数据库运行安全。 当出现数据库数据丢失或数据库故障时，经过SAN网络或IP网络，可实现数据库完全恢复和部份恢复，从而确保数据安全性。 其次，对于操作系统和应用系统数据，能够经过备份用户端或备份存放节点进行数据备份。可经过SAN进行LAN-Free备份和恢复，或经过IP网络进行数据恢复，可经过对应软件功效，实现整个操作系统和应用系统全恢复或备份恢复。 数据通常有两种方法进行保留。 第一个方法，采取虚拟磁带库技术，做磁盘到磁盘（Disk to Disk）备份，确保关键数据吞吐效率，缩短备份时间窗。因为采取虚拟磁带库(磁盘)方法进行备份，也同时确保了数据恢复效率，依据业务要求恢复时间窗，我们能够尽可能将恢复时间窗小数据经过介质池划分方法，定向到磁盘中。 第二种方法，利用自动智能磁带库，完成海量数据存放备份。因为磁带备份廉价特征，能够将历史数据存放到磁带中，首先提升磁盘资源存放有效率，其次确保海量历史数据存放。 而磁带上数据因为存放状态是离线（Offline），所以能够提供更高安全性，如当系统受到病毒攻击时，不会影响到磁带上数据。也从另外一个方面提升了系统数据可靠性和数据安全。 因为备份软件平台无关特征，磁带上数据能够经过临时备份服务器完成数据恢复和系统重建，增强系统安全性。 4.6.3 备份整体架构 伴随存放技术发展，在SAN、NAS这些新存放架构中，备份技术也发展出了LAN Free Backup、Serverless Backup等全新技术。 所谓LAN Free Backup顾名思义，就是指释放网络资源数据备份方法。在SAN架构中，LAN Free Backup实现机制通常以下图所表示。备份服务器对应用服务器发送指令和信息，指挥应用服务器将数据直接从磁盘阵列中备份到磁带库中。在这个过程中，庞大备份数据流没有流经网络，为网络节省了宝贵带宽资源。在NAS架构中，情形十分类似，磁带库直接连接在NAS文件服务器上，备份服务器经过一个称为NDMP协议，指挥NAS文件服务器将数据备份到磁带库中。细心观察之下会发觉，这两种方法即使全部节省了网络资源，但却增加了服务器工作负荷。 在本项目中，对于大容量数据库数据，可采取LAN-free备份方法，而且配置对应license。非数据库类应用，可依据数据量多少选择备份方法。 4.6.4 备份策略设计 1) 数据库备份： l 每小时进行数据库差异备份，采取自动化RMAN差异备份，无误备份完成后，删除1天前差异备份，保留1天内增量备份。 l 天天夜里0点后进行数据库完整备份，采取自动化RMAN完整备份，无误备份完成后，删除3天前完整备份，保留3天内完整备份。 l 每个月将数据库完整备份拷贝到磁带上中永久存放。 2) 应用服务器备份： 因为应用服务器不保留文件，故只需要对操作系统和应用系统进行备份即可。 3) 数据库备份/恢复方案 数据库备份方法 从应用角度划分，数据库备份分为脱机和在线备份两种方法。脱机备份是指在数据库系统加载而未打开方法情况下进行备份，有时也称冷备份。冷备份进行时实际是将数据库相关文件作为文件系统一部分进行备份，但仍将和一般文件系统备份不一样，它需要数据库备份代理和数据库系统支持。而在线备份是数据库打开方法下进行备份，有时也称热备份，此时数据库应用除性能上受到备份任务影响外仍然可用，而脱机备份时数据库是不可用。对于7X24数据库只能进行在线备份。 方案提议书中所指备份绝大多数是在线备份，但提议用户在进行数据库运行较长时间后或系统进行了较大结构性修改后进行一次脱机备份，尽管它不是必需进行。 从备份内容方法划分，数据库备份又分为物理和逻辑备份两种。物理备份关键是经过数据库本身备份工具和备份软件数据库备份代理将数据库相关文件，如控制文件、数据文件、日志文件进行备份。通常能够对单个数据文件或整个数据库进行备份。现在大型数据库备份通常选择物理备份。逻辑备份有时也称导出，创建数据库对象逻辑拷贝并存入文件，它实际上利用SQL从对象中读取数据并将其存入文件，导入工具利用该文件恢复这些特定数据库对象到数据库中。 逻辑备份不提供时间点（Point-in-Time）恢复，而且不能和归档日志重做日志文件联用进行数据库恢复。假如因为某种原因，磁盘上数据块被破坏，则物理备份将产生该块拷贝，错误将影响备份。使用逻辑备份一个优点是，因为在导出表时进行全方面表扫描，所以这种破坏不会影响备份。所以这种情况下，在导出时这种损坏将被检测到，而且导出失败。另外，逻辑备份还能够辅助数据库进行内部数据表恢复。 方案提议以物理备份为主，同时使用逻辑备份作为辅助备份方法，因为物理备份/恢复速度快。 全备份和增量备份 备份通常来讲有两种方法，即全备份和增量备份，而增量备份按其备份数据不一样能够分为差量备份和累计备份。 全备份 (Full Backup) 每次备份定义全部数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间 增量备份 (Incremental Backup) 增量备份又分为差量备份和累计备份 差量备份 (Differential Backup) 备份自上一次备份以来更新全部数据，其优点是每次备份数据量少，缺点是恢复时需要全备份及多份增量备份 累计备份 (Cumulative Backup) 备份自上一次全备份以来更新全部数据。 物理备份策略 数据库物理备份使用在线备份方法。方案提议每七天作一次完全备份，保留周期为30天，将每个月未完全备份进行保留，周期为十二个月（能够更长）；天天作一次增量备份，保留周期为30天。恢复时首先恢复最近一次全备份，然后再恢复全部增量备份，需要说明是这个过程是自动实施。完全备份和差分备份时间能够设定在数据库业务量较少时间内进行。 逻辑备份策略 提议用户以用户或表方法导出数据库。每七天作一次完全备份，其它天天在类似时间内作一次差分增量备份。保留周期和物理备份相同。 首先需要将实施命令写入到一个shell文件，每二步使用需要为UNIXcron命令配置对应命令，这些命令能够放在一个ASCII文件内，如crontab，在该文件内是对应备份时间和命令，然后用cron设定定时导出作业。需要注意是这些备份作业应在其它备份作业开始之前完成。 导出产生数据文件能够保留在一个适宜位置。在备份管理系统中选定这些文件作为一个备份作业，使用磁带保留对应备份。 4.7 应用系统布署 4.7.1 数据库布署方案 依据北医项目需求，需要建立Oracle数据库，经过对北医现有业务系统分析能够看出现在业务分为主业务系统和查询业务系统。在本方案中计划采取业务系统和查询系统数据库分离方法布署。 提议采取Oracle RAC方法，提升数据库系统高可用性，尽可能避免采取Oracle单机布署方法，降低单点故障。 4.7.2 数据库布署 1) 创建用户oracle,组dba 2) 修改oracle用户.profile $ vi .profile umask 022 export ORACLE_BASE=/oracle/app export ORACLE_HOME=$ORACLE_BASE/product/920 export ORACLE_SID= export PATH=/usr/ccs/bin:/usr/bin:/etc/:/usr/sbin:/usr/ucb:/usr/local/bin:$ORACLE_HOME/bin:/usr/bin/X11:/sbin 3) 将.dtprofile中: # DTSOURCEPROFILE=true 改为: DTSOURCEPROFILE=true 4) 创建/var/opt/oracle目录，而且给予oracle：dba权限 5) 安装 mount光盘： (HP下必需用pfs_mount来mount光盘) *********************************************************** $ nohup /usr/sbin/pfs_mountd & $ nohup /usr/sbin/pfsd & $ /usr/sbin/pfs_mount /${SD_CDROM} $ exit /usr/sbin/pfs_umount /cdrom *********************************************************** 6) 正式安装 以oracle用户运行Oracle Installer： $ cd / $ ./cdrom/runInstaller 以后根据图形界面一步步操作. 4.7.3 中间件 北医系统中间件采取集群方法运行，应用服务器上运行着中间件软件WAS和用友UAP系统软件。应用服务器是不保留任何业务数据。 北医系统应用服务器现在能够采取两台服务器进行布署，当未来业务快速发展，能够进行横向扩展，即当发生应用服务器负载过大，造成整个系统性能下降情况时，能够再增加新应用服务器，以分摊负载。 布署示例过程以下： 4.7.3.1 系统准备环境安装 在应用节点ibm（主机名为ibm）实施下面操作 应用节点ibm ：10.0.0.71 1) 查看系统配置 进入打开 hosts文件，并编辑 127.0.0.1 localhost 10.0.0.71 ibm 确保各节点相互ping IP地址和主机名能够通； 2) 设置时区 3) 安装环境其它准备 · 目录存放安装过程中需要软件； 利用ftp命令或工具上传安装文件，而且采取bin（二进制形式） 上传WAS安装文件到ufida_software目录下（假如是压缩包形式则上传完成后将其解压）； 上传WAS_TOOLS安装文件到ufida_software目录下（假如是压缩包形式则上传完成后将其解压），即wastools安装盘里内容通常包含上传升级工具Update Installer、HIS、Plugins等，假如没有可单独上传； patch上传到 ufida_software目录下； · 上传解压缩工具 操作系统是32位，将32位解压缩软件winrar-x32-392b1 上传到各个服务器节点。 然后双击winrar-x32-392b1，安装。 4) 将WAS、UAP安装到ufida_software目录下面； 5) 应用服务器节点ibm安装WAS · 在应用节点ibm 上安装WAS6.1 · 进入was安装程序所在目录was6100，双击install安装was 4.7.3.2 安装IHS（节点ibm） 在应用服务器1上安装IHS及Plugins; 双击运行install 4.7.3.3 安装Update Installer 和patch（节点ibm） 在节点ibm 解压安装包 在节点ibm安装Up