医院网络安全方案

1、构筑医院信息系统的全方位安全网络 第一章 安全问题分析随着医院信息化程度越来越高，伴随而来的的安全问题也日益突出，尤其是随着网络规模的不断扩大，网络应用项目越来越丰富，涉及到的人员越来越来越庞杂，部署策略越来越繁琐，整个系统变得越复杂，医院面对的安全风险也越来越大。如何有效地降低安全风险、降低安全成本，安全的策略显得尤为重要。医院的HIS系统是关键业务系统，需要系统不间断运行。即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。为此，我们分析以下可能会导致业务系统中断的原因：1 服务器硬件故障如服务器的数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统

2、不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机；2 主干交换机或干线的故障 如主干交换机死机、交换机配置出错、或干线线路出现意外故障。3 数据库服务、操作系统出错由于操作系统或数据库服务器中可能存在不完善的地方、或者配置不得当，当碰到某种激发事件时，数据库服务器非正常终止或系统崩溃；4 人为错误一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致系统服务的无法访问；5 电脑病毒/黑客入侵由于目前的郑州市的很多医院的计算机和省市医院医保联网，无论是物理还是逻辑上都是互通的，若缺少有效的防范机制，很容易遭受病毒的感染或者黑客的入侵，轻者

3、数据被损坏，系统数据被重者系统瘫痪；6 自然灾害由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决）。7 正常的停机主要指计划内的系统升级、安装软件、系统备份等过程。由上可见，影响系统安全运行的因素有很多，但是，导致的系统中断完全可以通过创建一个完整的安全策略的来有效避免。系统安全不仅是一个单一的安全防范问题，也不可能一时完会解决，而是一个整体的、全面的技术问题，同时安全也是一个长期的，动态的过程。因此我公司提出了在医院建立全网安全的概念。在了解安全需求的基础之上，从安全的规划的角度看，应遵循

4、以下原则：安全管理为本的原则、需求、风险、代价平衡分析的原则，综合性、整体性原则、适应性及灵活性原则，多重保护原则。当今的很多系统集成商力图做到全自运化，对于信息安全问题能够做到自动发现、自动解决，。出发点固然是不错，希望方便用户使用。但现实世界中的网络安全问题太过复杂，一切都是机器和程序搞定的想法有些不切合实际。我公司认为：在保卫系统安全的过程中人应该发挥人的能动性，做到主动出击，而不是被动防御。居以上分析，我公司提出以下全网安全的解决方案： 第二章服务器操作系统和数据安全方案第一节双机容错部分-解决由于服务器硬件故障、计划停机造成的服务器停机11方案说明确要建立高可用的计算机处理系统，首先

5、，在硬件上，要做到各部件的冗余，多台计算机组成集群结构，使整个系统不存在单点故障；此外，还需要有专门的集群软件来进行管理和监控，使得应用系统在任何软硬件单元发生故障时，能够稳定可靠地运行。此外，在高可用系统设计时，还需考虑下述关键点： 应用系统，主机/部件间的切换是非对用户透明？ 故障发生时，是否需要人为干预？ 切换的速度如何？ 配置是否简单方便，易于管理？与操作系统、应用程序是否能密切配合？1.2 双机容错部分构成 例如：ROSE HA FOR WIN2003SERVER 容错软件HP公司的F200磁盘阵列系统HPDL580G4两台1.3 方案简介系统以WN2003为平台，F200磁盘阵列及

6、ROSE HA软件为核心，常用数据库及网络数据存放在磁盘阵列中，两台服务器只安装本地系统文件及ROSE HA软件，并作一主一从的热备方式。当系统启动后：Rose HA首先启动HA manager管理程序，然后启动必要的服务和代理程序来监控和管理系统服务。HA代理程序通过RS232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。当ROSE HA代理程序监测到某个服务或硬件发生故障并作相应处理后（可由用户设定）仍不能成功时，则开始切换服务：将IP飘移到相同用户名的另一台Standby服务器上，磁盘阵列中的数据库由主服务器切换到从服务器，并恢复所有的服务功能。完成整个切换过程，平均时间为40

7、秒，此时系统又进入初始状态。14系统特点 硬件结合实现真正意义上的数据与系统分离。 对硬件配置要求不高，服务器可采用不同或相差较大的配置。 系统切换时间短，平均切换时间为30秒，为目前同类软件中最短。 系统效率高。因为整个系统中数据读写、管理及容错由磁盘阵列来完成。而系统从服务器故障纠错处理由HA软件来完成，而这两个都是相对独立的子系统。双机容错监控路径为和RS232线路或10/100M自适应网卡线路，既不占用主机CPU资源也不占用基础网络带宽，因此系统效率高，这一点在实际的应用中得到用户的一致好评.15切换实例在本例中，两台应用服务器分别运行ORACLE SERVER数据库。数据库的数据存放

8、在形成镜像的两台磁盘阵列中。ROSE HA通过ORACLE Server Agent监控SQL数据库的运行状况。当主服务器发生意外故障时，ROSE HA ORACLE Database Agent会监控到故障情况。通过心跳线协议，ROSE HA会将数据库数据切换到备用机上。切换后，ROSE HA可以检测数据的同步情况，如果数据正确无误,ROSE HA将启动上层的数据库和应用服务。第二节 远程备份、恢复方案 -解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丢失 21 系统构成 备份软件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版

9、备份服务器：医院淘汰下来的服务器即可备份设备：建议医院购买磁带库或SATA磁盘阵列柜备份目标：HIS服务器和市医保服务器、财务科服务器和服务器等22备份策略备份策略的好坏，决定恢复的速度与质量，我们制定备份策略如下：灾难恢复启动光盘+系统完全备份+数据库完全备份+数据库差别备份+数据库日志备份灾难恢复启动光盘：当硬件有重大改到时重做。（可以快速的恢复操作系统，并且在恢复过程中不用操作系统安装盘）系统完全备份：每月的系统完全备份数据库完全备份：每周日的数据库完全备份数据库差别备份：每8小时的数据库差别备份数据库日志备份：每5分钟的日志备份策略评价：优点：备份速度快，恢复快并且是自动化，可保留二年

10、数据备份。23）恢复策略一）假定：当机房失火或雷击造成双机系统的服务器硬件彻底损坏，恢复过程如下：（1） 恢复本周周日的数据库完全备份到远程备份服务器上，大约5分钟（2） 恢复本周日全备后的最近一次差别备份到远程备份服务器上，大约2分钟（3） 恢复所有最近一次差别备份后的日志备份，大约15分钟（4） 修改客户端的INI或配置文件的SERVERNAME的值为远程备份服务器的名字，大约1-15分钟。（如果客户端程序在服务器上会快一些。）这样可以保证客户端运行间断不超过30分钟，数据丢失不超过5分钟。 二）假定：双机系统中的磁盘阵列柜损坏，如控制器损坏。恢复过程如下。1）恢复本周周日的数据库完全备份

11、到主服务本地硬盘上，大约15分钟2）恢复本周日全备后的最近一次的差别备份到主服务本地硬盘上，大约2分钟3）恢复所有最近一次差别备份后的日志备份，大约15分钟4）修改主服务器本地磁盘盘符，重新启动SQL服务，大约2分钟5）修改客户端的INI或配置文件的SERVERNAME的值为主服务务器的名字，大约1-15分钟。（如果客户端程序在服务器上会快一些。）这样可以保证客户端运行间断不超过37分钟，数据丢失不超过5分钟。三）假定：正在使用数据库置疑或被误删除，也就是说数据库文件损坏，而数据库服务没有停止。恢复过程如下。1）恢复本周周日的数据库完全备份，大约15分钟2）恢复本周日全备后的最近一次的差别备份

12、，大约2分钟3）恢复所有最近一次差别备份后的日志备份，大约15分钟4）恢复活动日志（如果数据库文件还存在的话）大约2分钟。这样可以保证客户端运行间断不超过34分钟，数据丢失不超过5分钟，或者数据一点也不丢失。四）假定：双机系统中的主服务器或备服务器其中一台的操作系统盘损坏，而阵列柜的硬盘没有问题。恢复过程如下：1）用系统恢复光盘恢复操作系统+上个月的系统全备。大约30分钟左右。客户端不受影响。数据不丢失。双机容错和远程备份网络示意图第三节 服务器应用层防火墙-解决来自内部网络攻击问题1 系统构成 WIN2003应用层防火墙：微软ISA2006中文版保护目标：医院所有WIN2003服务器不受内部

13、攻击1方案说明在防火墙上配置安全的策略，如：仅开放指定的端口和应用，如：HIS服务器只允许ORACLE服务交换数据等。2对防火墙的攻击测试 当防火墙安装完装后，可以模拟攻击，如：Smurf和Land-based、Ping of DeathSyn Flood和DoS攻击等，分析防火墙抗攻击能力。13经常分析防火墙日志为防火墙指定一个日志服务器，在正常使用防火墙后，要经常查看、分析日志，看看有没有异常的连接请求和异常的数据包通过防火墙。分析日志的内容应包括：（1） 检查日期和时间（2）跟踪客户端IP地址（3）检查用户请求的路径和文件（4）了解访问状态（代码） （5）检查用户代理 （6）查看访问源头

14、 第二章网络安全方案第一节 VLAN-逻辑隔离各个使用区11方案说明使用交换机的的功能，逻辑的把医院的网络划分为个部分，每个部分分别属于不同的网段，各个网段通过层路由根据路由策略和防火墙策略（应用层防火墙）交换数据。各个部分的功能如下：HIS服务器区 放置HIS、PACS、LIS服务器客户端区 HIS客户端医保区市医保服务器，省医保路由器财务专用区财务科专用服务器和工作站公共区服务器，备份服务器，杀毒控制中心等。各个部分的访问策略如下：HIS服务器区 只能访问公共区，用来升级病毒库和远程备份。客户端区 访问公共区，服务器区，和医保区医保区只能被访问。财务专用区只能访问公共区，用来升级病毒库和远

15、程备份。公共区只能被访问。（配合防火墙策略）第二节 外网防火墙系统构成：思科防火墙保护目标：阻止通过医保网络，来自其他医院的攻击。防火墙的作用：一是可以限制他人进入和其他医院通过医保网络进入医院内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问其他医院服务器；四是为监视外网安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如外网等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在外网上的服务器中，超过三分之一的服务器都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，建议医保服务器

16、都建议放在防火墙之后。第三节 杀毒软件在每台接入网络的电脑上安装网络版杀毒软件，进行统一升级，全网杀毒，并定期更新病毒库和杀毒引擎。第四节 漏洞扫描和IDS /IPS使用漏洞扫描工具，对服务器和工作站以及交换设备进行定期扫描，发现漏洞及打上补丁和修复。第三章客户端安全方案PC接口安全解决方案一、 用普通小锁锁住机箱，防止随意打开机箱，拆卸、增加设备。二、 给设安全密码，防止任意进入更改系统设置信息，在BIOS中将一些不使用的设备关闭，如：串口，USB口、软驱接口，第二个IDE口等三、 操作系统中删除有关于驱动和服务。客户端权限分配方案 方案描述： 创建两个用户，一个用户是超级用户，另一个是普通

17、用户。超级用户密码由信息科管理，普通用户自动登录到系统。利用策略编辑器把没用的服务、权限、设备关掉。如：共享权限，桌面属性、网上邻居、USB接口。普通用户不能安装、卸载软件，不能停止服务等。 BIOS的启动，只允许C盘启动，不允许从LAN、USB、CDROM等硬盘分成三个区系统区，数据区，备份区把盘式化成NTFS分区说明：普通用户不能更改IP设置、安全策略、停止或启动服务等。IP安全访问方案一、 通过设定IP安全策略，设定出站的端口，仅仅是1521（ORACLE），趋势的杀毒软件端口，也就是说，工作站只能访问数据库服务器，不能访问其它任何服务。如：HTTP，FTP，QQ等，更不可能上网。二、

18、通过设定IP安全策略，关闭ICMP等协议，设定入站的端口仅仅为远程管理端口。可以有效防止黑客、木马及冲击波等攻击。说明:通过此设置，工作站不能上网，只能访问服务器，也不能访问别的电脑，也不能被别的电脑访问。客服端远程服务方案 （中文版RAMIN）方案描述： 为了更快的为客服端解决问题、减少管理员来回跑的次数，建议所有的客户机上安装远程服务软件，科室打来电话后，管理员可以远程操作其电脑，与其交互操作和讲解。远程软件安装后，是以服务形式存在，不易被非法卸载或停止。我们已把客服端远程服务软件做成安装程序。操作系统恢复方案 一：用一键还原类的软件，把操作系统备份到隐含分区。方案描述：解决操作系统重装问题，如果操作需要重新装，只要在客户机启动时按F10时，就自动恢复到系统安装时状态。二：通过网络远程启动操作系统或恢复操作系统。方案描述：需要在同一网段的一台电脑上安装远程启动服务，客户端操作系统传至这台电脑，当客户端需要恢复系统时，从网卡启动就可以恢复或启动系统。远程服务安全解决方案代理方式：一、 双网卡