医院综合信息系统网络安全体系设计概述(共14页).doc

《医院综合信息系统网络安全体系设计概述(共14页).doc》由会员分享，可在线阅读，更多相关《医院综合信息系统网络安全体系设计概述(共14页).doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上医院综合信息系统网络安全体系设计概述双击自动滚屏发布者： 发布时间：2006-11-9 20:10:38 阅读：874次作者：王唐虎 摘要： 随着网络应用的不断发展，网络安全问题也变得越来越重要。本文结合实际工作中的应用，对网络安全体系设计中的指导原则、安全需求、用户授权体系、网络安全措施等内容做了详细的叙述。 关键词： 信息系统；网络安全体系；异地备份；操作系统；防火墙 网络的普及给我们的生活、学习带来了很大的便利，但同时隐藏在便利和高效后面的是巨大的安全隐患。我院信息系统中的信息种类、数量是巨大的，其中不乏敏感、机密、实时信息，数据库服务器24h不间断运行，整个网

2、络系统一旦发生人为或意外的故障，可能会造成巨大的损失和社会影响1，这就要求医院应将综合信息网安全体系设计放在重要的位置。1 指导原则医院综合信息网安全体系的建立，应以信息的安全需求为核心依据。网络安全的主要目标是针对窃取信息、破坏信息、篡改信息和污染信息的人为因素。针对整个系统中各种信息的关键性及敏感程序，合理评价其安全级别，全面确定系统的安全策略，建立一套完整的安全体系与保证体系。安全体系设计原则：（1）安全需求与安全相结合；（2）安全体系建设与应用系统建设同步进行；（3）安全策略的制定要综合考虑网络系统的安全支持；（4）安全方案的选择和实施要尽量全面；（5）安全策略的实施最终要与目录服务相

3、结合，做到集中授权管理。2 安全需求要实现医院综合信息网在全院各部门的广泛应用，目标是在保证具有足够开放性的前提下提供信息资源的保密性、完整性和可靠性：（1）保密性：防止非法侵入未审查的信息；（2）完整性：对信息数据的准确性和完整性有保护的能力；（3）可靠性：保证信息和其他重要资源在需要时能供用户使用。3 用户授权体系授权权限有读、写、创建、修改、添加、删除等。信息权限设计要尽量复杂，要在信息共享的实现中完善。数据库和文件系统可支持非常复杂的权限控制：（1）标识：针对不同的科室部门、人员设立用户和用户组；（2）验证：在网络环境下，要防止用户非法冒充的可能；（3）介入控制：通过集中或分布式控制，

4、对文件系统或数据库系统配置权限；（4）审查：系统的安全性必须经过。4 网络安全措施一个完善的综合信息网由桥、路由器和网关分隔不同级别的边界，随着网络范围的缩小，用户间、节点间的信任程序增强，组织授权级别也大致相同，因而来自内部的威胁相对减少。我院综合网络设计的布局合理性体现在：主干网以千兆光纤为主干，以门诊、住院处、外科楼、内科楼及干部楼为两级结节的网络架构，层层级连，建立在一个主域控制下的医院数据网络系统。信息中心配有两机冗错加磁盘阵列、备份软件（HA roses），确保数据安全2。同时配备有一台防火墙服务器，装有当今最为流行、高效、可移植性的网络杀毒软件赛门铁克（Symantec Anti

5、Virus Enterprise Edition 8.0）,选择了赛门铁克产品建立医院全方位多平台网络防毒杀毒体系，不仅可以确保系统安全运行，也可最大限度地保证用户的投资。4.1 操作系统安全措施4.1.1 服务器系统安全 操作系统安全控制策略主要是利用用户识别和认证、存取控制和监控审查机制增强安全性。在综合信息网中的服务器的主要操作系统有SUN OS和WINDOWSNT。两者都是经过认证的C2安全级的操作系统，均提供分布集中化的安全管理功能。主要有：（1）本地安全管理；（2）安全账户管理；（3）安全监控参数；（4）安全登录认证；（5）存取控制列表。4.1.2 客户机系统安全 综合信息网客户机

6、几乎全部是PC机。由于微机放置的分散性，它的安全控制须得以加强：（1）加强用户责任意识，注意微机的物理介入控制；（2）设置CMOS系统启动口令；（3）设置屏保口令；（4）对关键文件进行加密存储；（5）定期备份关键文件或异地磁盘存储；（6）防止病毒感染。4.2 数据库系统安全措施 我院针对数据库系统的保护采取了两机热备份和异地备份方案。4.2.1 保障数据库系统的完整性 数据库系统的物理完整性，即保障数据库物理存储介质及物理运行环境的正确与不受侵害。数据库系统的逻辑完整性包括数据库结构完整性及数据库主码完整性两个方面。4.2.2 数据库系统的安全保护性 数据库系统的用户身份鉴别：保证每个用户是合

7、法的，且是可以识别的；数据库的存取控制：即控制主体对客体的访问，拒绝非授权访问，防止信息泄露。数据库管理系统的安全保护：主要集中在对数据库的存取控制上。4.2.3 数据库的保护和恢复 对系统进行维护时，应采取保护措施。如数据转储，我院采用的异地备份就是很好的例子。远程维护时，应事先通知相关用户；对系统进行预防维护或故障维修时，必须记录故障原因、维修对象、维修内容和维修前后状况等。数据库恢复的措施，建立自动的备份任务，即在每天数据库不忙的时候进行，如在夜间24时左右备份前一天的全部数据。并要保证数据备份的连续性和完整性。一旦有故障发生时可恢复至备份前一刻的数据。同时我院引进的异地备份，可完成数据

8、灾难恢复。数据灾难恢复的重要性：灾难恢复同普通数据恢复的最大区别在于，在整个系统都失效时，用灾难恢复措施能够迅速恢复系统。而普通数据恢复则不行，如果说系统也发生了失效，在开始数据恢复之前，必须重新装入系统。也就是说，数据恢复只能处理狭义的数据失效，而灾难恢复则可以处理广义的数据失效(见表1）。表1 无备份、无灾难恢复和有灾难恢复的比较略 备份策略方案:采用父子备份策略，即每日备份采用差分备份，即周一进行一次系统完全备份，然后在接下来的几天里，再将当天所有与周一不同的数据（新的或经改动的）备份到磁带上，每周再进行一次全备份。与祖父子备份策略相比，这种备份策略管理人员每周需更换一次磁带，但相比较而

9、言，其设备投资额却极大地节约了。使用磁带库，4盘磁带做每日备份，2盘用于每周备份，另一盘配置清洗带清洗磁头。也可使用HP DAT磁带库，5盘DDS3磁带分别用来备份周一周五的数据，1盘清洗带则可用来清洗磁头，父子备份策略的灾难恢复也很方便，管理人员只需两盘磁带，即周一磁带与灾难发生前一天磁带，就可将系统恢复。4.3 Web服务安全 随着Internet的普及和发展，为防止内部网络不被入侵，企业内部网在接入时必须利用防火墙来保护内网。防火墙实际上是隔离技术。它在两个网络通信是执行的一种访问控制手段，最大限度地阻止网络中的黑客访问，防止他们更改、复制和毁坏重要信息3。我院引用电信宽带10M，联入局

10、域网，采用一台装有windows2000的服务器作为防火墙。内外网配有不同的IP地址。以确保内网的安全。4.4 病毒防范措施 随着计算机及网络技术的快速发展，防毒必行：（1）建立防病毒体制和规章制度；（2）实行严格的用机制度；（3）实行安全的备份制度；（4）设立网络防病毒系统，采用“以防为主、以杀为辅、防杀结合、软硬件互补”的反病毒模式进行预防。研究医院管理系统信息安全问题、整合相应的应用系统、制定医院管理系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是医院信息化工作的重要内容。医院网络信息系统平台的构建双击自动滚屏发布者： 发布时间：2006-11-5 19:45:28 阅读：13

11、36次作者：栾松兰 北京回龙观医院计算机中心 摘要：医院信息化建设水平已经成为现代化医院的重要标志，是医疗体制改革特别是医 疗保险制度改革顺利实施的基本保障。随着医院信息化建设进程的加速，医院信息系统（HIS） 建设正在从以收费为核心的管理信息系统（HMIS）逐渐转向以病人为中心的临床信息系统（CIS），以进一步满足病人不断增长的医疗服务需求。原有的信息系统平台，无论是网络 带宽、网络设备，还是服务器性能以及存储体系等，都严重影响了医生工作站、护士工作站、 电子病历系统、LIS、PACS等业务开展。本文首先对当前网络系统、服务器和存储系统的现 状和应用需求做了详细分析，以此为基础提出了医院信息

12、系统整体升级改造方案，并重点阐 述了负载均衡、集群、SAN存储架构等先进技术的具体实现方法，较好地解决了网络性能、 稳定性、数据安全可靠性等瓶颈问题。关键字：医院；HIS；平台构建第一章 绪论医院信息系统（Hospital Information System，HIS）是现代化医院必不可少的重要 基础设施与支撑环境，而HIS平台建设又是系统正常、高效运行的基本保障。HIS平台是指运行HIS的系统软件和硬件环境，主要包括网络系统（网络布线、网络设 备和网络操作系统）、主机系统（服务器、客户机或工作站）、存储体系、网络安全系统等。 随着医疗体制改革特别是医疗保险制度改革的深入，作为病人医疗信息的拥

13、有者和提供者的 医院地位已经渐渐地由主动变得被动起来，原来简单的医患双边关系转换为医院患者 保险单位银行复杂的多边关系。这就要求HIS不仅仅要及时、准确地向医保部门提供病 人结算数据报表，同时也必须能够提供合法的、合格的、保证医院利益的相关临床信息。因 而，HIS建也要相应地从以收费为核心的管理信息系统（Hospital Management Information System ,HMIS ） 逐 渐 转 向 以 病 人 为 中 心 的 临 床 信 息 系 统 （ Clinical Information System ,CIS），以进一步满足病人不断增长的医疗服务需求。客观上来说，2003

14、年突如其来的那场SARS确实给我们带来了一场灾难，却恰恰暴漏出 卫生信息系统建设的严重缺陷-面对突发公共卫生事件而显得无能为力。也正是由于这个 原因，卫生信息系统建设才再度受到党和国家各级政府的高度重视，HIS面临着又一个具有 重大意义的挑战。基于以上两个主要原因，近二年医院信息化建设的进程明显加快。不论是医疗保险制 度改革带给医院的压力，还是SARS给予医院信息化建设的带来了机会， HIS平台的升级改 造总是首当其冲要进行的，这是解决网络系统安全和数据安全、保证HIS应用不断拓展和高 效运行的前提，也是数字化医院建设的基础。第二章 系统现状及需求分析北京回龙观医院是我国最大的精神医学专科医院

15、之一，占地平方米，有病床1369 张，是北京市卫生局直属三级甲等医院。医院的特点是：门诊量不大，住院病员数多。从数据量上看，日均门诊量150200人，若按每个门诊病人有1016K的数据量来计算，一天的 门诊所产生的数据大致有1.5MB3.2 MB，全年在547MB1168MB；住院病人的医嘱变化较少， 医嘱执行的时间长，若按15001800人的住院人数来计算，每个病人有122OK的数据量， 一天所产生的数据大致有18MB36MB，全年在6570MB1314OMB。从2002开始，医院正式运行由北京众邦慧智公司开发的医院信息系统（CHIS2000）。主 要模块包括：门急诊挂号系统、门急诊划价收费

16、系统、门诊和住院药房管理系统、药库管理 系统、住院病人入出转管理系统、住院收费系统、病人医嘱处理系统、医技科室计费系统、 物资设备管理系统等。客观地说，引进的这些模块是以收费为核心的HMIS。系统采用的是目 前国际上比较先进的C/S体系结构，运行在Windows 2000和SQL Server2000的平台上，为患 者提供一年365天，一天24小时的不间断服务。2.1网络服务器现状分析服务器系统是医院业务系统正常运行的关键。其性能、可靠性、安全性和稳定性是最根 本的问题。我院原有两台HP LH3000服务器，每台的配置为两颗PIII800 CPU，2G内存，一台作为 主服务器，另一台做冷备。由

17、于医院的业务量和业务种类不断的增加，原有的服务器负荷加 重。尤其是在医院业务高峰期早810点测试，大部分时候CPU的占用率都超过了50%, 有时 瞬间会超过100%，持续23秒后回落，客户端有明显长时间停滞，短时间内无法提交作业。 通过测试分析，造成目前CPU压力较大的原因：第一，高峰客户端集中，数据交换量激增； 第二，现有服务器性能也无法满足医院不断增长的业务需求；第三，由于采用的是DAS构架， 磁盘I/0 读写也要消耗系统资源。综合起来，主要问题是服务器和存储系统性能低下，已经 不适合作为系统的主要业务的核心服务器。2.2网络设备现状分析我院现有网络设备状况是，核心交换机为一台Cisco

18、Catalyst 4006模块化交换机，引 擎配置为WS-X4014，三代引擎Supervisor, 配有两块WS-X4306-GB, 共有12个千兆多模光 纤接口。两块千兆模块分别插在第二和第三个槽上，其中第一个千兆模块上有6块5484，其 中4块用于与其他四幢楼相联，有两个千兆卡空余；另有一块48口百兆RJ45模块，已经用满； 另外有一台Cisco2600系列的路由器作为远程接入；其中5号楼有两台Cisco 2950G-24级联交 换机；4号楼用一台Cisco 2950G-24交换机与普通交换机级联；2号楼有一台Cisco 2950G-24 交换机；电话机房还有一台VDSL3100交换机级

19、联一台普通8口交换机。通过对高峰期网络流量和网络核心交换机的性能测试，在早8点到10点，登录该核心交 换机，看到CPU的利用率为4%6%, 内存的利用率为30%, 远远没有达到该交换机的最高性能, 交换机资源充足。尽管在数据交换能力上，可以满足当前以至今后几年业务发展需求，但是， 由于没有冗余设计，一旦发生问题，会导致整个网络瘫痪。因此，存在着单点故障。下面是 原系统的网络拓扑图综上所述，由于HMIS应用范围在不断扩大，以病人为中心的临床信息系统如医生工作站 系统、电子病历系统、LIS、PACS等的开发应用正在逐步加深，基于网络环境下的其它应用 如办公自动化系统、数字图书馆等也相继展开。现有服

20、务器和存储系统性能相对滞后和老化， 整个系统的负载能力开始明显不足。系统设计上存在多个单点故障，而任何一个单点故障都 会造成整个系统瘫痪，使医院出现大面积的业务停滞，医院的声誉和收入将受到巨大损失。 因此，对医院的整个系统平台进行一次大规模的升级改造，势在必行。第三章 系统建设原则和总体设计目标3.1系统建设原则统一规划、分布实施 医院信息系统是一项规模大、投资多、涉及面广的系统工程，必须统一规划，在充分进行需求分析的基础上，设定系统建设的目标、内容和规范，避免盲目建设、重复建设的投资 风险；另一方面，系统建设应该分步实施，做到边投资、边建设、边使用、边见效，产生良 好的综合效益。先进性和实用

21、性的统一 系统的建设应该从实际使用出发，采用目前成熟的技术，加快系统开发的进度，减少投资风险；同时，采用的技术必须是先进的、可扩充、可升级的，从切合医院实际业务应用出发，解决医院现代化综合信息管理的各种需求，易学、易用、易于维护，注重实用效果。 可靠性和稳定性 平台系统应具有强大的容错能力，例如：关键设备采用冗余设计，重要干线采用双路连接，以便当通讯线路或其它网络部件发生故障时，保证网络系统正常运行。 保证系统的36524正常运行，并提供系统异常情况下的后备解决方案，提供网络防病毒系统、入侵检测、防火墙、存储备份、冗余容灾设计和网管软件解决方案。 开放性和可扩充性， 系统网络结构应易于扩充，以

22、满足今后不断增加的用户端的需求和可能出现的较大任务负载，硬件平台亦应具有可升级性，当需要时可通过新的计算机设备同原有计算机设备一 起工作以提高系统的处理能力，从而最大限度地保护医院现有投资。3.2 系统总体设计目标系统升级改造后，信息存储、处理、传输能力大幅度提升，大大增强了HIS后台的整体 负载能力。整个系统在安全性、可靠性、扩展性和可维护性等方面将得到明显的改善，系统 将以更快的速度和质量为医疗、财务、行政和后勤管理服务，确保网络更具有前瞻性，可以 为HIS系统提供稳定的运行环境以及灵活的扩展空间。第四章 系统详细设计和实现4.1 双机集群热备系统服务器是HIS系统正常运行的硬件平台,其可

23、靠性、可用性和运行效率直接决定HIS系统 稳定性，在设计中重点考虑其后台环境的升级。高性能的双机集群热备系统，整体综合考虑 了基于C/S 体系结构的特点，根据实际需要和特点及存储的特殊性有机的加以设计， 使系 统安全有效地运行。结合我院目前的实际情况，双机热备系统我们采用HP最新的机架式HP DL580G2服务器2 台，数据库运算由其中一台主服务器负担，采用高性能的4路服务器，配置4颗CPU，热备份 服务器配置2颗CPU，服务器本地各配置2块72GB的硬盘，采用RAID1磁盘镜像方式，确保 系统盘数据可靠性，将硬盘划分为C 、D 两个盘卷。内存配置为4GB，今后可以最大扩展到32GB，2台服务

24、器分别连接至共享的光纤阵列柜-HP MSA1000上。 另外，考虑到系统的最大冗余，选用一台原有的LH3000作为冷备服务器，一旦双机系统出现故障，可以迅速手工切换到该服务器上运行HIS，这台服务器连接一台磁带机做磁带 备份，同时安装Windows 2000的活动目录（AD）服务，作为整个HIS系统的域控制器。另外， 用一台较高性能的PC作为备份域控制器，以提高整个域的可用性。另一台LH3000作为网络防病毒系统、图书情报检索、防火墙系统、OA以及WEB应用服务器。每台HP DL580G2服务器上，均标配了1块千兆光纤NC6770接口网卡，作为网络访问使用，使用的NC7771作为心跳连接。4.

25、2 双机热备系统集群功能实现系统设计的集群实时热备份通过 Windows 2000 Advanced Server的Cluster集群功能 实现。Microsoft Cluster Server(MSCS)连接两台服务器，以便它们的数据可以作为一个单独的系统来被访问和管理。合成的集群组成了在两台服务器(节点)之间的网络连接，而且每 个节点连接到一个共享的光纤阵列柜上，应用数据被存储在这里。MSCS可自动探测到一个节 点失效并做节点切换，正在使用的用户只会经历一个瞬间的停顿。MSCS可提供服务器容错处理并且提高系统的可用性，为了保持网络正常工作，采取周 期性备份、监视潜在服务或者服务器储运损耗的

26、办法，并且快速解决影响系统可用性的问题。 确保系统的可管理性、可伸缩性以及可用性。4.3 存储系统采 用 现 今 世 界 最 为 先 进 的 光 纤 通 道 存 储 架 构 存 储 区 域 网 络 (Storage Area Network,SAN)，即通过光纤通道将应用层、数据层、浏览层和存储设备有机地结合在一起， 完全独立于上层服务器的任何模式(单机, 网络,双机，集群)即上层服务器的损坏,不会影响 SAN内数据安全，高效地保证了整个HIS系统所有数据的安全性。用一台MSA1000光纤通道磁盘阵列作为主存储设备，两台数据库服务器通过FC-HBA连接 到MSA1000磁盘阵列上的内置8口FC

27、-SW光纤通道交换机上，采用F100架构形成一个基于SAN 的存储系统，从而为整个HIS系统的良好运行提供有利保证。MSA1000光纤通道磁盘阵列上共有14个硬盘插槽，此次配置 8块硬盘，在磁盘阵列的 PORTI和PORT2上各安装4块硬盘，将8块硬盘做为ARRAY A,分配给HIS系统使用。ARRAY A包含8块72GB物理硬盘做成RAID ADG（Advanced Data Guarding,先进数据保护）卷集，分成1GB 和413GB两个逻辑硬盘，1GB的逻辑盘作为集群系统的仲裁盘，413GB的逻辑磁盘作为HIS系统 的数据库空间。采用RAID O+l的方式，使用磁盘阵列上的硬盘。根据数

28、据分析，我院数据量一年大概 产生20GB30GB左右，即在线数据为20GB30GB左右；出于开发改进程序的目的，还要准备 一个练习库提供给软件人员开发、测试程序，数据大小也为 20GB30GB；此外为了查询历 史数据，需要在盘柜上准备最近三年的历史库，共计60GB90GB左右；在线数据库备份需要20GB30GB；共计需要180GB左右的存储量。RAID 0+1完全可以满足今后几年的需要。4.4 备份系统良好的备份系统是HIS系统的数据安全的最后保障，科学合理的备份系统设计不但能实 现良好的备份，还可以尽量降低系统的成本。冷备服务器 因为双机热备是双机共享磁盘阵列柜,存在单点失效问题。为进一步保

29、证数据的安全性，在双机热备的基础上选择一台LH3000服务器进行数据库的备份。相对于双机热备而言， 数据库的冷备份不是实时进行的，系统通过后台任务定时从主服务器向冷备份服务器做正式 库的备份。如果双机热备系统发生故障，还可以临时启动备份服务器，代替主服务器工作。 冷备份系统是对双机热备系统的硬件加强。此外，冷备份服务器还可用来保存历史数据，作 为练习与培训服务器使用。同时在该服务器上配备一台磁带机HP DAT40，通过建立一个后台 任务定时完成磁带备份。磁带备份采取完全备份方式，而不使用增量备份方式。用七盘磁带，每天更换一盘， 这样可以避免因磁带损坏而使连续多天的数据同时丢失。4.5 网络系统

30、系统原有的两台HP LH3000服务器（1台主机，1台冷备）由两台高性能的HP DL580 G2 取代，两台服务器都通过千兆光纤网卡连接到核心交换机，彻底消除了服务器网络带宽的瓶 颈，满足了未来几年的流量增长，两台服务器通过光纤通道卡连接到MSA1000内置光纤交换机上。新增一条到1#病房楼的千兆主干线路。1#病房楼要安装三台Cisco Catalyst2950G-48-EI交换机，三台交换机通过千兆光纤口级联；办公楼要用两台Cisco Catalyst 295OG-48-EI取代原来的交换机，这两台交换机也是通过千兆光口接连；3#病房楼用一台 Cisco Catalyst 2950G-48-

31、EI替换。在核心交换机上重新划分VLAN，包括服务器组VLAN、 Internet VLAN、重要用户 VLAN 组等，定制相关的安全访问控制措施，严格保护网内的资 源，采用思科的TRUNK、 PORTFAST、VTP 等技术，合理设计该网。升级后的网络拓扑图如下：结束语在医院信息化不断发展的今天，一个高速、强大、安全、可靠的存储系统无疑不可缺 少，本方案设计，尽可能缩短了因停机造成的经济损失；可扩展性强，方便应用系统升级和 迁移，便于与医保或其他系统整合；对于应用系统平台及存储介质广泛地支持，可管理性强。 目前，医院的网络系统升级工程已经完成，为医院信息系统提供了稳定、可靠和安全 的网络环境。采用双机集群热备系统，来实现高性能、高可靠性、高稳定的平台架构，当一 台主机出现故障时，热备系统能够秒级响应，将任务及时切换到另一台备用服务器上，保证了用户数据的可靠性和 HIS 系统的持续不间断运行，做到完全实时热备。专心-专注-专业