某大型机构信息系统安全规划解决方案

北医信息系统安全规划方案 2016 05 1 1概述概述 信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度 更是一项事关 国家安全及社会稳定的政治任务 年 月 卫生部发布 卫生部办公厅关于全 面开展卫生行业信息安全等级保护工作的通知 卫办综函 号 要 求卫生行业 全 面 开 展 信 息 安 全 等 级 保 护 工 作 同 时 发 布 卫生行业信 息安全等级保护工作的指导意见 卫办发 号 结合卫生行业实际 为 规范和指导全国卫生行业信息安全等级保护工作 提供了指导意见 卫生行业实施信息安全等级保护制度工作全面开启 医院信息系统 是卫生 行业信息系统的重要组成部分 医院医疗工作的正常进行和病人个人隐私信息都与医院信 息系统的安全紧密相关 一旦网络瘫痪或数据丢失 将会给医院和病人带来巨大的灾难和 难以弥补的损失 医院信息系统必须按照要求 全面实施信息安全等级保护制度 以确保 医院信息系统数据安全 年 国务院发布了 中华人民共和国计算机信息系统安 全保护条例 国务院 号令 规定 计算机信息系统实行安全等级保护 年 月 公安部等四部委联合发布 关于信息安全等级保护工作的实施意见 公通字 号 明确了信息安全等级保护制度的原则 内容 工作要求 部门分工 和实施计划等 年 月 信息安全等级保护管理办法 公通字 号 正式出台 为开展信息安全等级保护工作提供了规范保障 随后 国家相继出台 了 计算机信息系统安全保护等级划分准则 信息系统安全保护等级定级指南 信息 系统安全保护等级基本要求 信息系统安全等级保护测评要求 等多种安全标准实施办 法 用友作为整体解决方案提供商 在医院系统架构中我们将以数据安全作为方案重点根 据国家标准并结合当前成熟的软硬件技术进行系统软件 硬件设计及架构 如果选择用友 提供整体解决方案 医院管理系统可以实现最好的应用效果和最大的经济效益 2 2总体设计目标总体设计目标 系统具有较强的伸缩性和可扩展性 不但能够满足目前北医日常信息录入 查询 报 表分析等业务操作的需求 而且对今后北医业务增加或访问量增大也具有良好的扩展性 实现业务和系统性能的线性增长 功能 性能满足需求的同时 数据安全是我们关注的重点方面 通过安全域划分 边 界安全防护 身份鉴别 服务器容错和备份恢复等手段 用友信息系统可以多角度全方位 的保证医疗信息系统的数据安全 3 3安全总体实现目标安全总体实现目标 3 13 1安全定级安全定级 医疗信息系统的准确定级十分关键 如果信息系统的定级不科学 那么依据定级结果 建设的信息安全体系将事与愿违 甚至可能面临严重安全隐患 信息系统的安全保护等级 由两个定级要素决定 等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度 信息系统安全保护等级从低到高依次划分为自主保护级 指导保护级 监督保护级 强制 保护级 专控保护级 5 个安全等级 信息系统安全保护等级 一 第一级为自主保护级 适用于一般的信息系统 其受到破坏后 会对公民 法人 和其他组织的合法权益产生损害 但不损害国家安全 社会秩序和公共利益 二 第二级为指导保护级 适用于一般的信息系统 其受到破坏后 会对社会秩序和 公共利益造成轻微损害 但不损害国家安全 三 第三级为监督保护级 适用于涉及国家安全 社会秩序和公共利益的重要信息系 统 其受到破坏后 会对国家安全 社会秩序和公共利益造成损害 四 第四级为强制保护级 适用于涉及国家安全 社会秩序和公共利益的重要信息系 统 其受到破坏后 会对国家安全 社会秩序和公共利益造成严重损害 五 第五级为专控保护级 适用于涉及国家安全 社会秩序和公共利益的重要信息系 统的核心子系统 其受到破坏后 会对国家安全 社会秩序和公共利益造成特别严重损害 卫生部 卫生行业信息安全等级保护工作的指导意见 卫办发 号 的有关指导意见 北医系统安全保护等级原则上不低于第二级 附 监督管理办法 第五条 信息系统运营 使用单位及个人依据本办法和相关技术标准对信息系统进行 保护 国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 一 第一级信息系统运营 使用单位或者个人可以依据国家管理规范和技术标准 进行保护 二 第二级信息系统运营 使用单位应当依据国家管理规范和技术标准进行保护 必要时 国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导 三 第三级信息系统运营 使用单位应当依据国家管理规范和技术标准进行保护 国家有关信息安全职能部门对其信息安全等级保护工作进行监督 检查 四 第四级信息系统运营 使用单位应当依据国家管理规范和技术标准进行保护 国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督 检查 五 第五级信息系统运营 使用单位应当依据国家管理规范和技术标准进行保护 国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督 检查 3 23 2安全域划分安全域划分 对大型信息系统进行等级保护 不是对整个系统进行同一等级的保护 而是针对系统 内部的不同业务区域进行不同等级的保护 安全域是指同一环境内有相同的安全保护需求 相互信任 并具有相同的安全访问控制和边界控制策略的网络或系统 在网络划分时主要分为外网 内网和 DMZ 区 用友应用服务器放置在 DMZ 可以允许 外网和内网的访问 数据库系统放置在内部网与应用服务器通过专用交换机通讯 这样可 以实现不同安全等级的安全域分开管理互不影响 3 33 3边界安全防护边界安全防护 网络划分安全区域后 在不同信任级别的安全区域之间就形成了网络边界 实施边界 安全防护措施 既可以使边界内部免遭外部攻击 也可以遏制内部不法人员跨越边界而向 外部实施攻击 一方面 在安全事件发生前 通过收集并分析安全日志以及各种入侵检测 事件 能够及早发现攻击企图 另一方面 在安全事件发生后 又可以通过所记录的入侵 事件来进行审计追踪 在安全域之间设置的防火墙和端口绑定和 VLAN 划分可以最大限度的防止 IP 欺骗或饱 和攻击等流行的网络入侵和攻击 3 43 4身份鉴别身份鉴别 对于三级信息系统应当按照国家法律法规 信息安全等级保护制度等要求 采用电子 认证服务 并应当遵循 卫生系统数字证书应用集成规范 进行建设 根据实际需求实现 基于数字证书的身份认证 数字签名和验证 数据加密和解密 时间戳应用等各项安全功 能 3 53 5传输数据加密传输数据加密 为了防止数据监听导致的信息外泄 UAP 在客户端 应用服务器 数据库服务器采 取了全程数据加密策略 即使有人非法获取了中间的通讯数据流 因为数据已经加密 也 无法得知数据的实际含义 3 63 6服务器容错服务器容错 数据库服务器建议采用 ORACLE 的 RAC 组件构建数据库集群 WEB 应用服务器采用 IBM WebSphere App Server 网络版 并采用集群架构 基于集群的架构 所有服务器中如果一 台主机宕机 另外一台主机仍然正常工作 并且服务器及网络部署中 所有关键部位都为 冗余设计 如存储 服务器电源都可以采用双电源方案 网卡可以通过 AFT 技术实现冗余 切换 3 73 7备份与恢复备份与恢复 备份与恢复主要包含两方面内容 首先是指数据备份与恢复 另外一方面是关键网络 设备 线路以及服务器等硬件设备的冗余 数据是最重要的系统资源 数据丢失将会使系 统无法连续正常工作 数据备份系统应该遵循稳定性 全面性 自动化 高性能 操作简 单 实时性等原则 对于核心交换设备 外部接入链路以及系统服务器进行双机 双线的 冗余设计 保障从网络结构 硬件配置上满足系统不间断运行的需要 数据库备份将综合采用冷备份和热备份相结合 可以支持医疗系统 7 24 不间断运行 即使发生自然灾害或人为误操作行为 也可以快速还原保证系统连续运行 3 83 8日志审计日志审计 系统运行期通过 NMC 可以对系统运行日志进行安全审计 定期提供审计报告 通过审 计报告可以清晰的了解系统运行的状态 如果发现流量或访问数异常时可以分析该时间区 间的日志 确定导致异常的原因 4 4系统集成方案系统集成方案 针对北医数据安全的考虑 采用集中式部署 中心数据服务器和内外网应用服务器都 采用集群方式部署 配置磁带库进行数据备份 集群系统可以保证系统的稳定和数据的安 全 公司所有用户都通过浏览器方式 WEB SERVER 基于 B S 架构访问公司应用服务器及 数据服务器 操作使用该系统 公司内外网分离 内部网络部署数据库服务器和应用服务 器 多级防火墙可以有效屏蔽网络渗透和网络攻击 监控服务器和证书服务器主要负责日 志审计和证书确认 图 北医系统网络部署简图 建议本次开发项目数据库主机应用 AIX 平台 从而提供系统的可靠性和稳定性的同时 对用户的投资予以最大保护 建议所有应用服务器主机采用 WINDOWS 平台 业务系统中间 件软件采用 IBM WebSphere App Server 中间件 根据北医的性能与可靠性要求 需满足 7 24 小时无故障的运行 建议通过 F5 的负载均衡设备实现应用系统的集群 或者通过 IBM WebSphere App Server 自带集群分发器实现应用请求负载 核心数据库系统建议采用 ORACLE 如果采用 ORACLE 建议以共享存储方式运行 ORACLE 的 RAC 组件 能大大提高数据 的高可靠性和高负载能力 数据库服务器还高速通过 8G 光纤以 LANFREE 方式接入 SAN 存储 具体部署如下 4 14 1 总体架构设计 总体架构设计 在本项目中采用企业架构的设计方法论 针对北医系统设计的业务系统架构如下图所 示 网络架构 通过 F5 系统实现对外链路负载及对内的应用负载 应用架构 应用架构用于实现对业务架构的支持 包括应用服务器集群及查询应 用服务器集群的 2 套 WAS 集群 数据库架构 在不同的行业 数据库都越来越变得重要 本方案采用业务数据库 与查询业务数据分离方式 在内网建设 2 套 RAC 集群 Oracle 数据库 服务器架构 在本方案中核心服务器为 2 台数据库服务器 推荐使用 IBM P750 通过 PowerHA 及 Oracle 集群方式为应用提供服务 为保证业务的查询性能利用 现有 2 台 HP 小型机搭建查询数据库集群 2 套数据库集群通过用友 AE 方式软件 同步 2 套数据库中数据 存储区域网络 本项目为北医系统搭建一套核心的 SAN 网络 利用 2 台 SAN 交换 机连接 4 台数据库服务器与磁盘阵列 核心数据库系统使用 EMC CX480 存储 查 询数据库使用现有 HP EVA4400 存储设备 网络架构 应用架构 数据库架构 服务器架构和存储区域网络是从上到下的关系 上层架构决定了下一层架构的需求 下一层架构用于实现上一层架构的目标 在本次规划设计中 采用先进的设计方法论指导项目的设计和实施 北医硬件集 成方案的主要任务是支持公司新的北医系统 必须与业务发展战略和业务目标紧密挂钩 因此在制定北医集成方案总体规划时 会对北医业务需求 现有 IT 基础架构现状 支持 业务能力以及 IT 技术和服务提供商的业务发展趋势等因素做综合的考虑 以保障现有 IT 投资 促进未来 IT 环境的扩展 平衡功能 性能和成本 保证本次搭建的业务平台 能够长期有效的支持业务的发展 4 24 2 集成配置 集成配置明细明细 编号编号名称名称配置需求配置需求数量数量 1 数据库服务器数据库服务器 IBM P750 POWER7 3 0 主频 16CORE 128G 内存 300G 2 硬盘 4 块 8G FC 卡 AIX6 1 64 位 2 2 应用服务器应用服务器 IBM x3850 X5 4CPU 6 核 主频 Xeon2 66 GH 48GB 内存 硬盘空间 2 300GB 做 RAID1 双电源 2 块千兆 网卡 2 块原厂 8GB 的 HBA 卡 3 3 查询应用服务查询应用服务 器器 IBM x3650 M3 4CPU 6 核 主频 Xeon2 66 GH 48GB 内存 硬盘空间 2 300GB 做 RAID1 双电源 2 块千兆 网卡 2 块原厂 8GB 的 HBA 卡 2 4 备份服务器备份服务器 IBM x3650 2CPU 4 核 主频 Xeon 2 26 GH 8GB 内 存 硬盘空间 2 300GB 做 RAID1 8G FC 卡 1 块 双电 源 2 块千兆网卡 2 块原厂 8GB 的 HBA 卡 1 5 F5F5 负载均衡设负载均衡设 备备 支持 IBM WebSphere App Serve 负载和 INTERNET 多链 路负载和接入 含 F5 BIG LTM 1600 4G R F5 ADD BIG LC 含 RamCache CPU 双核 160G 硬盘 内存 4G 4 个 10 100 1000 电口 2 个光口及相应的 SFP 模块 2 6 ORACLEORACLE 数据库数据库 ORACLE Enterprise Edition 11 1 0 6 以上 64 位版本 需 RAC 组件 1CPU DB 1CPU RAC 2 7 用友用友 AEAE2CPU 配置 1 8 应用中间件应用中间件 WASWAS IBM WebSphere App Server 6 1 网络 集群 版 FOR WINDOWS 64 位需要部署 2 套 目前每套只按一台主机 1CPU 报价 2 9 应用 备份服应用 备份服 务器操作系统务器操作系统 Red Hat Enterprise Linux AS Version 5 with Update 1 for x64 5 10 查询服务器查询服务器 HBAHBA 卡卡 HP 下用的 HBA 卡 根据系统采用的操作系统版本决定型 号 4 4 34 3 主机部署方案 主机部署方案 4 3 14 3 1 安装场地环境 包括电源 安装场地环境 包括电源 UPSUPS 线路 线缆等 线路 线缆等 需经厂商工程师确认 现有环境 机柜位置图 注 以下为示意图 具体位置需现场确定 4 3 24 3 2主机系统设备连接图主机系统设备连接图 需设备方案确定 4 3 34 3 3软体配置安装配置软体配置安装配置 AIX 安装配置 以及主机系统规划 4 3 3 14 3 3 1主机设备主机设备 分区命名方式分区命名方式 命名方式 主功能 机器序号 A Z 序号 0 10 子功能 主功能 数据库系统 暂定 DB 子功能 DB TEST 4 3 3 24 3 3 2服务器列表服务器列表 标准名称缩写名称用途 ZJS 北医 P750 DB1北医 DB1生产数据库 1 ZJS 北医 P750 DB2北医 DB2生产数据库 2 ZJS 北医 CX RX8640 DB1 CX DB1 查询数据库 1 ZJS 北医 CX RX8640 DB2 CX DB2 查询数据库 2 ZJS 北医 X3850 APP1北医 APP1生产应用中间件 1 ZJS 北医 X3850 APP2北医 APP2生产应用中间件 2 ZJS 北医 X3850 APP3北医 APP3生产应用中间件 3 ZJS 北医 CX X3850 APP1 CX APP1 查询应用中间件 1 ZJS 北医 CX X3850 APP2 CX APP2 查询应用中间件 2 ZJS 北医 X3650 BAK北医 BAK备份服务器 4 3 3 34 3 3 3主机主机 IPIP 地址分配规划地址分配规划 IBM P750 Oracle RAC 主机名北医 DB1网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM P750 Oracle RAC 主机名北医 DB2网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 HP rx8640 Oracle RAC 主机名 CX DB1 网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 HP rx8640 Oracle RAC 主机名 CX DB2 网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3850 IBM WAS 6 1ND 主机名北医 APP1网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3850 IBM WAS 6 1ND 主机名北医 APP2网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3850 IBM WAS 6 1ND 北医 APP1北医 APP3网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3850 IBM WAS 6 1ND 主机名 CX APP1 网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3850 IBM WAS 6 1ND 主机名 CX APP2 网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 浮动 IP 地址 子网掩码 IBM x3650 数据备份 主机名北医 BAK网关 IP 地址 1 子网掩码 1 IP 地址 2 子网掩码 2 IP 地址 3 子网掩码 3 4 3 3 44 3 3 4KernelKernel 参数参数 参数名称Oracle 最低设置SUN APP 设置 KSI ALLOC MAX NPROC 8 MAX THREAD PROC 2561024 MAXFILES256 MAXDSIZ1073741824 MAXDSIZ 64 2147483648 MAXSSIZ 134217728 MAXSSIZ 64BIT 134217728 MAXSWAPCHUNKS 16384 MAXUPRC NPROC 9 10 MSGMAP MSGTQL 2 MSGMNINPROC MSGSEG 32767 MSGTQL NPROC NCALLOUT NPROC 16 2084 NCSIZE 8 NPROC 2048 VX NCSIZE NFILE 15 NPROC 2048 NFLOCKS4096 NINODE 8 NPROC 2048 NKTHREAD NPROC 7 4 16 3635 NPROC 40962068 SEMMAP SEMMNI 2 SEMMNI 4096 SEMMNS SEMMNI 2 SEMMNU NPROC 4 SEMVMX32768 SHMMNI512 SHMSEG 32 VPS CEILING64 4 3 3 54 3 3 5系统包 补丁系统包 补丁 附 系统包 补丁表列表 4 3 3 64 3 3 6操作系统用户和组定义操作系统用户和组定义 功能用户名用户 id primary group 组 id主目录 Oracle 数据库 oracle600dba600 oracle 备份软件安装用户 bkup300bkusr300 home bkup 普通用户 genusr400genusrs400 home genusr 4 44 4 存储系统设计 存储系统设计 4 4 14 4 1 SANSAN 网络设计网络设计 在本次进行 SAN 架构设计时 我们遵循以下原则 构建一个统一规划的存储网络 1 按照业务系统进行分级设计 2 具有灵活的扩展能力 需要增加主机时 将主机轻松的连接到这个网络中 并能共享 网络中的存储资源 需要增加存储时 将存储在线地加入到这个网络中 并动态地为 应用主机分配磁盘空间 3 充分利用现有设备 保护原有投资 4 保证将来存储网络的扩展性 整个系统将重点考虑安全性 可靠性 高可用性 另外 还考虑到系统的运行性能 高可扩充性 开放性 可维护性 用户操作的简易性以及充分保护用户投资等诸多方面的 需求 4 4 24 4 2 SANSAN 交换机规划交换机规划 4 4 2 14 4 2 1SANSAN 网络根据业务系统的网络根据业务系统的规划规划 建立了统一的 SAN 网络后需要对网络内部结构统一规划 在北医系统中 核心数据库 服务器连接 EMC 存储 查询服务器连接 EVA 存储 同时还需要考虑备份系统设计 4 4 2 24 4 2 2SANSAN 交换机的安全性设计交换机的安全性设计 通过交换机的 Zoning 功能 在开放系统 多平台或 SAN 环境中通过使用 World Wide Names 将主机与相应的存储 FC 端口划分不同的区域 每台主机仅可以通过定义的路径访问 事先定义的 LUN 达到 SAN 结构中 Zone 的安全管理功能和数据保护功能 分区能够在使用不同操作系统的设备之间建立起屏障 例如 分离运行不同操作系统 的服务器与存储设备通常很重要 因为它们之间信息意外的传输能够删除或破坏数据 分 区可以将使用相同操作系统的设备进行分组 并放到不同的分区 从而防止了这种情况的 发生 在进行分区划分时 建议遵守如下原则 一个分区只能包含一个服务器链路 服务器 HBA 的 WWN 或者对应的交换机端口 和一个 存储设备链路 存储设备 HBA 的 WWN 或者对应的交换机端口 通过光纤交换机分区可以增强 SAN 的安全性 同时也应该在服务器和存储设备上实施 针对 SAN 的安全措施 比如存储上的 LUN Masking 综上所述 在北医系统中的 2 台核心 SAN 网络交换机需要分别建立 3 个 zone 隔离各应 用服务器 第一个 zone 包含 2 台 P750 服务器与 EMC 存储 第二个 zone 为查询服务器与 EVA 存储 第三个 zone 为服务器备份 zone 需要连接服务器与磁带库 4 54 5 存储规划方案 存储规划方案 4 5 14 5 1 存储系统规划存储系统规划 通过建立统一 集中的存储平台 北医系统的存储系统将具有架构清晰 部署灵活 设备标准 网络可靠 数据分级 易于扩充等特点 在北医系统中我们分别为核心数据库和查询数据建设 2 套存储系统 其中核心数据库 服务器连接核心存储设备 查询数据库利用现有存储设备 核心存储之所以非常重要 是因为它可以在网络中提供对信息的即时访问 核心存储 为业务系统提供日常业务处理所需要的数据和信息 因而 核心存储要求高的性能 高稳 定性 以保证业务系统的快速处理 查询数据库存储设备需要配有同样容量的存储空间 4 64 6备份系统设计备份系统设计 4 6 14 6 1 备份系统备份系统 北医系统需要对数据库与应用系统进行备份 4 6 24 6 2 备份方案概述备份方案概述 备份采用企业级的备份管理软件实现对数据的多种方式的备份 通过 SAN 结构的支持 实现数据的备份和恢复 安装备份服务器 集中管理数据的备份和恢复 在业务主机上安装备份软件的客户端 实现数据的 LAN Free 的备份和恢复 生产主机的数据备份通过两种方式进行 一方面 通过数据库的在线备份模块 实现 数据库的全备份和其它级别的多种备份 保证数据库的运行安全 当出现数据库数据丢失或数据库故障时 通过 SAN 网络或 IP 网络 可实现数据库的 完全恢复和部份恢复 从而保证数据的安全性 另一方面 对于操作系统和应用系统的数据 可以通过备份客户端或备份存储节点进 行数据备份 可通过 SAN 进行 LAN Free 的备份和恢复 或者通过 IP 网络进行数据的恢复 可通过相应的软件功能 实现整个操作系统和应用系统的全恢复或备份恢复 数据一般有两种方式进行保存 第一种方式 采用虚拟磁带库技术 做磁盘到磁盘 Disk to Disk 的备份 保证核 心数据的吞吐效率 缩短备份时间窗 由于采用虚拟磁带库 磁盘 方式进行备份 也同时 保证了数据的恢复效率 根据业务要求的恢复时间窗 我们可以尽量将恢复时间窗小的数 据通过介质池划分的方式 定向到磁盘中 第二种方式 利用自动智能磁带库 完成海量数据的存储备份 由于磁带备份的廉价 特性 可以将历史数据存放到磁带中 一方面提高磁盘资源的存储有效率 另一方面保证 海量历史数据的存储 而磁带上的数据由于存放状态是离线 Offline 所以能够提供更高的安全性 如当 系统受到病毒攻击时 不会影响到磁带上的数据 也从另外一个方面提高了系统数据的可 靠性和数据的安全 由于备份软件的平台无关特性 磁带上的数据可以通过临时的备份服务器完成数据的 恢复和系统的重建 增强系统的安全性 4 6 34 6 3 备份的整体架构备份的整体架构 随着存储技术的发展 在 SAN NAS 这些新的存储架构中 备份技术也发展出了 LAN Free Backup Serverless Backup 等全新的技术 所谓 LAN Free Backup 顾名思义 就是指释放网络资源的数据备份方式 在 SAN 架构 中 LAN Free Backup 的实现机制一般如下图所示 备份服务器相应用服务器发送指令和 信息 指挥应用服务器将数据直接从磁盘阵列中备份到磁带库中 在这个过程中 庞大的 备份数据流没有流经网络 为网络节约了宝贵的带宽资源 在 NAS 架构中 情形十分类似 磁带库直接连接在 NAS 文件服务器上 备份服务器通过一种称为 NDMP 的协议 指挥 NAS 文 件服务器将数据备份到磁带库中 细心观察之下会发现 这两种方式虽然都节约了网络资 源 但却增加了服务器的工作负荷 在本项目中 对于大容量的数据库数据 可采用 LAN free 的备份方式 并且配置相 应的 license 非数据库类的应用 可依据数据量的多少选择备份方式 4 6 44 6 4 备份策略设计备份策略设计 1 1 数据库备份 数据库备份 每小时进行数据库差异备份 采用自动化的 RMAN 差异备份 无误备份完成后 删 除 1 天前的差异备份 保留 1 天内的增量备份 每天夜里 0 点后进行数据库完整备份 采用自动化的 RMAN 完整备份 无误备份完 成后 删除 3 天前的完整备份 保留 3 天内的完整备份 每月将数据库完整备份拷贝到磁带上中永久存储 2 2 应用服务器备份 应用服务器备份 由于应用服务器不保存文件 故只需要对操作系统和应用系统进行备份即可 3 3 数据库的备份数据库的备份 恢复方案恢复方案 数据库备份方式数据库备份方式 从应用角度划分 数据库备份分为脱机与在线备份两种方式 脱机备份是指在数据库 系统加载而未打开方式的情况下进行的备份 有时也称冷备份 冷备份进行时实际是将数 据库的相关文件作为文件系统的一部分进行备份 但仍将与普通的文件系统备份不同 它 需要数据库备份代理和数据库系统的支持 而在线备份是数据库打开方式下进行的备份 有时也称热备份 此时数据库的应用除性能上受到备份任务的影响外仍然可用 而脱机备 份时数据库是不可用的 对于 7X24 的数据库只能进行在线备份 方案建议书中所指的备份绝大多数是在线备份 但建议用户在进行数据库运行较长时 间后或系统进行了较大的结构性修改后进行一次脱机备份 尽管它不是必须进行的 从备份内容的方式划分 数据库备份又分为物理与逻辑备份两种 物理备份主要是通 过数据库自身备份工具与备份软件的数据库备份代理将数据库的相关文件 如控制文件 数据文件 日志文件进行备份 通常可以对单个的数据文件或整个数据库进行备份 目前 大型数据库备份通常选择物理备份 逻辑备份有时也称导出 创建数据库对象的逻辑拷贝 并存入文件 它实际上利用 SQL 从对象中读取数据并将其存入文件 导入工具利用该文件 恢复这些特定数据库对象到数据库中 逻辑备份不提供时间点 Point in Time 恢复 而且不能和归档日志重做日志文件联 用进行数据库的恢复 如果由于某种原因 磁盘上的数据块被破坏 则物理备份将产生该 块的拷贝 错误将影响备份 使用逻辑备份的一个优点是 由于在导出表时进行全面表扫 描 所以这种破坏不会影响备份 因此这种情况下 在导出时这种损坏将被检测到 并且 导出失败 另外 逻辑备份还可以辅助数据库进行内部数据表的恢复 方案建议以物理备份为主 同时使用逻辑备份作为辅助备份方式 因为物理备份 恢复 速度快 全备份与增量备份全备份与增量备份 备份一般来讲有两种方式 即全备份和增量备份 而增量备份按其备份的数据的不同 可以分为差量备份和累计备份 全备份 Full Backup 每次备份定义的所有数据 优点是恢复快 缺点是备份数据量大 数据多时可能做一 次全备份需很长时间 增量备份 Incremental Backup 增量备份又分为差量备份和累计备份 差量备份 Differential Backup 备份自上一次备份以来更新的所有数据 其优点是每次备份的数据量少 缺点是恢复 时需要全备份及多份增量备份 累计备份 Cumulative Backup 备份自上一次全备份以来更新的所有数据 物理备份策略 数据库物理备份使用在线备份方式 方案建议每周作一次完全备份 保存周期为一个 月 将每月未的完全备份进行保存 周期为一年 可以更长 每天作一次增量备份 保存 周期为一个月 恢复时首先恢复最近一次的全备份 然后再恢复所有的增量备份 需要说 明的是这个过程是自动执行 完全备份与差分备份的时间可以设定在数据库业务量较少的 时间内进行 逻辑备份策略 建议用户以用户或表方式导出数据库 每周作一次完全备份 其余每天在类似时间内 作一次差分增量备份 保存周期与物理备份相同 首先需要将执行的命令写入到一个 shell 文件 每二步使用需要为 UNIX 的 cron 命令 配置相应的命令 这些命令可以放在一个 ASCII 文件内 如 crontab 在该文件内是相应 的备份时间和命令 然后用 cron 设定定时导出作业 需要注意的是这些备份作业应在其它 备份作业开始之前完成 导出产生的数据文件可以保存在一个合适的位置 在备份管理系统中选定这些文件作 为一个备份作业 使用磁带保存相应的备份 4 74 7应用系统部署应用系统部署 4 7 14 7 1 数据库部署方案数据库部署方案 根据北医项目需求 需要建立 Oracle 数据库 通过对北医现有业务系统分析可以看出 目前业务分为主业务系统和查询业务系统 在本方案中计划采用业务系统与查询系统数据 库分离方式部署 建议采用 Oracle RAC 方式 提高数据库系统的高可用性 尽量避免采用 Oracle 单机 的部署方式 减少单点故障 4 7 24 7 2 数据库部署数据库部署 1 创建用户 oracle 组 dba 2 修改 oracle 用户的 profile vi profile umask 022 export ORACLE BASE oracle app export ORACLE HOME ORACLE BASE product 920 export ORACLE SID export PATH usr ccs bin usr bin etc usr sbin usr ucb usr local bin ORACLE HOME bin usr bin X11 sbin 3 将 dtprofile 中的 DTSOURCEPROFILE true 改为 DTSOURCEPROFILE true 4 创建 var opt oracle 目录 并且赋予 oracle dba 的权限 5 安装 mount 光盘 HP 下必须用 pfs mount 来 mount 光盘 nohup usr sbin pfs mountd 双击运行 install 4 7 3 34 7 3 3安装安装 UpdateUpdate InstallerInstaller 以及以及 patchpatch 节点 节点 ibmibm 在节点 ibm 解压安装包 在节点 ibm 安装 Update Installer Windows2003 64 位上的 WAS Update Installer 需要 6 1 0 13 否则会无法安装 patch 双击 install 4 7 3 44 7 3 4创建集群创建集群 选择 集群 新建 4 7 3 54 7 3 5配置配置 WASWAS 添加 webserver 到 was 中 apache k start 4 7 3 64 7 3 6安装安装 UAPUAP 安装 uap 4 84 8整体安全策略整体安全策略 4 8 14 8 1 安全原则安全原则 为了能完成既定的业务功能 要求计算机系统能够稳定 安全运行 应该在系统建设 之初 为其建立完善的安全保障体系 用友的设计符合信息安全等级的要求 同时配合合理的安全管理制度和机房建设要求 完全可以达到信息安全等级保护 3 级的要求 为了达到系统安全控制的目标 应在系统规划 建设 运行维护的整个生命周期中 按照以下安全原则 指导系统的安全工作 1 起点进入原则 从系统建设开始就考虑安全问题 防止在系统设计的早期没有考虑 安全性 导致因为错误的选择留下基础安全隐患 以致在系统运行期为保证系统安全付出 更大的代价 2 长远安全预期原则 对安全需求要有总体设计和长远打算 包括为安全设置一些可 能近不会用到的潜在功能 3 遵照业界通行准则原则 完全遵循国际上有关的数据安全标准 采用当前先进的数 据安全技术和产品 并确保系统达到所设计的安全强度 4 公认原则 参考当前在基本相同的条件下通用的安全防护措施 据此作出适合本系 统的选择 系统所采用的产品是成熟 可靠的 系统能安全 稳定地运行 5 最小特权原则 不给用户超出任务所需权力以外的权利 6 最小开放原则 先禁止所有服务 只有限开放需要使用服务 7 适度复杂与经济原则 在保证安全强度的前提下 考虑安全机制的经济合理性 尽 量减少安全机制的规模和复杂度 使之具有可操作性 8 系统效率与安全性平衡原则 由于安全程度与效率成反比 在设计安全系统时 应 尽可能地兼顾系统效率的需求 9 在工作中遵守了安全原则的情况下 可以使北医系统具有以下几个安全特性 可用性可用性 确保授权实体在需要时可访问系统 并进行业务处理 防止因为计算机系统本身出现 问题或攻击者非法占用资源导致授权者不能正常工作 机密性机密性 确保信息不暴露给未授权的实体或进程 系统应该对用户采用权限管理 防止信息的 不当泄漏 完整性完整性 确保数据的准确和完整合法 只有授权的实体或进程才能修改数据 同时系统应该提 供对数据进行完整性验证的手段 能够判别出数据是否已被篡改 可审查性可审查性 使每个授权用户的活动都是唯一标识和受监控的 对其操作内容进行跟踪和审计 为 出现的安全问题提供调查的依据和手段 可控性可控性 可以控制授权范围内的信息流向及行为方式 4 8 24 8 2 安全风险分析安全风险分析 4 8 2 14 8 2 1物理安全风险物理安全风险 主要是指主机 路由器 交换机等物理运行环境可能存在的安全风险 如 地震 水 灾 火灾等环境事故造成整个网络系统毁灭 电源故障造成设备断电以至操作系统引导失 败或数据库信息丢失 设备以及设备的配置文件 配置数据被盗 被毁造成数据丢失或信 息泄漏 系统崩溃 电磁辐射可能造成数据信息丢失或泄露 4 8 2 24 8 2 2网络安全风险网络安全风险 在内部网络 主要是指内部人员通过内部的局域网环境 非法访问主机系统和业务应 用系统引起的信息数据泄密 系统破坏等风险 主要表现在内部管理人员非法获取财务资 料 修改存贮的数据 故意破坏主机或网络的稳定运行等行为 同时 由于本系统原始数据来源于综合网内各相关业务系统 手工输入数据 以及商 业银行等外部网络数据 因此系统与其他系统连接多 从其他系统得到的数据量也多 所 以网络的安全威胁还表现为病毒传播 黑客攻击 IP 地址仿冒 信息泄露等 系统的用户通过 IE 浏览器访问系统重要数据时 由于数据传输过程中没有加密 同时 进行系统访问时在本地计算机留存访问痕迹 也可能造成数据泄露的安全风险 4 8 2 34 8 2 3系统安全风险系统安全风险 由于操作系统 数据库 B S 三层架构中的应用服务器等基础软件本身的漏洞和缺陷 用户权限设置不合理以及一些不安全协议的使用等因素都可能构成对系统的威胁 如果通 过某些手段进入操作系统 就可能破坏所有的系统 数据库漏洞 设计缺陷等也会引起系 统的安全风险问题 4 8 2 44 8 2 4应用安全风险应用安全风险 应用程序设计不合理以及用户权限设置不当 也会对系统构成威胁 4 8 2 54 8 2 5数据安全风险数据安全风险 对系统的备份与恢复重要性认识不足 不按要求定期进行备份 一旦发生意外 如果 没有事先采取备份措施 将会导致惨重的损失 4 8 2 64 8 2 6管理安全风险管理安全风险 管理人员安全意识淡薄 业务处理流程不规范 管理制度不健全可能会对系统构成安 全隐患 种种事件表明 多数企业机密泄漏事件是由于企业内部相关人员对个人密码的保 护上重视程度不够 甚至在利益的驱使下直接将企业内部信息泄漏出去 所以企业内部安 全管理在各种安全风险中占有很重要的位置 4 94 9系统安全实现方案系统安全实现方案 鉴于北医数据的重要性和特殊性 北医系统的安全就显得非常的重要 下面的各项策 略将实现安全总体设计提出的各项安全目标 4 9 14 9 1 服务器容错服务器容错 对于系统内部的设备 应采取有效措施进行安全管理 保证设备安全 防止未经授权 访问系统设备 应按事先确定的规则统一管理 实施访问权的控制 禁止非授权用户访问 设施 禁止对设备进行任何非授权参数修改 硬件环境的建设 升级 扩充等工程应经过科学的规划 充分的论证和严格的技术审 查 有关文字材料应妥善保存并接受主管部门的检查 建立硬件系统环境的可用性保障机制 关键设备要采用有冗余技术的设备 例如配备 冗余风扇 冗余供电模块 冗余核心模块 对于关键设备应采用配备两台相同设备的方法 适当采用负载均衡等技术 充分保证系统得可靠性和处理效率 尽量减少硬件系统的计划 性停机时间 尽量避免硬件系统的非计划性停机 硬件方案文档 设备配置文档 核心设备的系统日志要定期保存 妥为保管 视同机 密 4 9 24 9 2 身份鉴别身份鉴别 身份鉴别可以有效检查使用者是否有权限登录系统 在进入 UAP 之前就需要使用者提 供管理员分配给其的用户名和密码 不通的用户名所拥有的权限也是不同的 用户的密码 用专门的加密算法加密存储在数据库中 即使是数据库管理员也无法得知用户的密码 登录身份管理 4 9 34 9 3 访问控制访问控制 访问控制用于对北医系统资源的访问 防止未经授权而利用网络访问系统资源 利用 已得到鉴别的身份或利用有关的信息 按事先确定的规则实施访问权的控制 可以采用 VLAN 和域控制器的方法 限制用户访问服务器的权限 通过 ACL 设置不同的访问权限 访问控制需要网络管理员在交换机进行 VLAN 的划分 不通 VLAN 是无法互相访问的 这样最大限度的隔离不同网段 防止相互影响 下面是一个典型的 VLAN 划分过程 一个典型局域网的一个典型局域网的 VLANVLAN 配置过程配置过程 步骤步骤命令及注释命令及注释说明说明 1 设置 vtp domainvlan database 进入 vlan 配置模式 vtp domain com 设置 vtp 管理域名称 com vtp server 设置交换机为服务器模式 vtp client 设置交换机为客户端模式 vtp domain 称为管理域 交换 vtp 更新信息的 所有交换机必须配置为相同的管理域 核心交 换机和分支交换机都要配置 2 配置中继interface fa0 1 进入端口配置模式 switchport switchport trunk encapsulation isl 配置中继协议 switchport mode trunk 核心交换机上以上都要配置 不过在分支交换 机进入端口模式只配置这个命令就可以了 3 创建 vlanvlan 10 name counter 创建了一个编号为 10 名字为 counter 的 vlan 创建 vlan 一旦建立了管理域 就可以创建 vlan 了 在核心交换机上配置 4 将交换机端口划入 vlan switchport access vlan 10 归属 counter vlan 在分支交换机的端口配置模式下配置 5 配置三层交换interface vlan 10 ip address 172 16 58 1 255 255 255 0 给 vlan10 配置 ip 在核心交换机上配置 4 9 44 9 4 防火墙防火墙 防火墙是一组计算机硬件和软件的结合体 在用户访问端与北医系统之间建立起一个 安全网关 从而保护内部系统免受非法用户的侵害 同时具有 IP 地址转换功能 以便对外 有效屏蔽网络内部 IP 地址 提高网络的安全性 由于防火墙检查过滤通过的 ip 包 不可 避免会影响网络传输效率 有必要在保障安全的前提下选择高效传输的防火墙 硬件防火墙 CISCO ASA5520 BUN K9 就可以满足一般性需求 但是考虑到网络设 备的兼容性 建议硬件防火墙和交换机等网络设备从一家选购 软件防火墙 防护效果远远不如硬件防火墙 而且无法做到多机器的整体防护 而且需要消耗硬件性能 优点是便宜 比较常见的有天网防火墙 瑞星防火墙等 4 9 54 9 5 线路备份线路备份 为了保证系统通信的畅通 防止因通信线路异常而引起的传输错误 业务中断等 建 议网络系统广域网应采用线路备份手段 保证系统的数据传输不间断 同时有负载均衡能 力 下面用一个简单例子描述线路备份的步骤 路由器 R1 接口配置 R1 int e0 R1 Ethernet0 ip add 192 168 10 254 24 R1 Ethernet0 int s0 R1 Serial0 ip add 192 168 1 1 24 R1 Serial0 int s1 R1 Serial1 ip add 192 168 2 1 24 R1 Serial1 quit 开启 ospf R1 ospf enable Start OSPF task OSPF enabled R1 ospf int eth 0 R1 Ethernet0 ospf enable area 0 在接口上开启 ospf 并划分到相应的区域 R1 Ethernet0 int s 0 R1 Serial0 ospf enable area 0 在接口上开启 ospf 并划分到相应的区域 R1 Serial0 quit 配置静态路由 R1 ip route static 192 168 20 0 24 192 168 2 2 R1 路由器 R2 接口配置 R2 int e0 R2 Ethernet0 ip add 192 168 20 254 24 R2 Ethernet0 int s0 R2 Serial0 ip add 192 168 1 2 24 R