医院银医自助就医系统建设项目技术体系方案详细设计.doc
《医院银医自助就医系统建设项目技术体系方案详细设计.doc》由会员分享,可在线阅读,更多相关《医院银医自助就医系统建设项目技术体系方案详细设计.doc(53页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、医院银医自助就医系统建设项目技术体系方案详细设计1.1 安全技术体系设计1.1.1 物理安全设计 物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。1、 机房选址l 机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。2、 机房管理l 机房出入口安排专人值守,控制、鉴别和记录进入的人员;l 需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。l 对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装
2、等过渡区域;l 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。3、 机房环境l 合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。l 机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离
3、开。配备空调系统及环境测温报警系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。4、 设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环
4、境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。1.1.2 计算环境安全设计身份鉴别身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面:1、 主机身份鉴别为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:l 对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。l 根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;l 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。l 远程管理时应启用SSH等
5、管理方式,加密管理数据,防止被网络窃听。l 对主机管理员登录进行双因素认证方式,采用USB key+密码进行身份鉴别2、 应用身份鉴别:l 为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括:l 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。l 根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换。l 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。访问控制三级系统一个重的要求是实现自主访问控制和
6、强制访问控制。自主访问控制实现:在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现:在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级。由此主要控制的是对应用系统的文件、数据库等资源的访问,避免越权非法使用。采用的措施主要包括
7、:l 启用访问控制功能:制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。l 权限控制:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。l 账号管理:严格限制默认账户的访问权限,重命名默认账户,修改默认口令;及时删除多余的、过期的账户,避免共享账户的存在。l 访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。系统安全审计
8、系统审计包含主机审计和应用审计两个层面:1、 主机审计:l 部署终端安全管理系统,启用主机审计功能,或部署主机审计系统,实现对主机监控、审计和系统管理等功能。l 监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。l 审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户;内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预
9、期的删除、修改或覆盖等。同时,根据记录的数据进行统计分析,生成详细的审计报表,l 系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。2、 应用审计:l 应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。l 应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。l 部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围
10、覆盖到每个用户,从而把握数据库系统的整体安全。应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。入侵防范针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范,可以从多个角度进行处理:(1) 防火墙系统可以对进出网络边界的数据进行端口级的访问控制;(2) 入侵检测系统可以起到防范针对主机的入侵行为;3、 部署漏洞扫描进行系统安全性检测;4、 防病毒网关用来保护网络内进出数据的安全,杀除病毒、过滤关键字、阻止垃圾邮件等;5、 部署企业版防病毒系统保证服务端及客户端安全,扫描及清除病毒;6、 部署终端安全管理系统,开启补丁分发功能模块及时进行系统
11、补丁升级;7、 操作系统的安装遵循最小安装的原则,仅安装需要的组件和应用程序,关闭多余服务等;8、 另外根据系统类型进行其它安全配置的加固处理。针对网络入侵防范,可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。入侵检测系统部署在XX县人民医院的核心处以及主要服务器区,这里我们建议在这些区域的交换机上部署入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止
12、非法操作和恶意攻击。同时,入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。需要说明的是,IDP是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线,对在防火墙系统阻断攻击失败时,可以最大限度地减少相应的损失。因此,IDP应具备更多的检测能力,能够和其他安全产品(边界防火墙、内网安全管理软件等)进行联动。主机恶意代码防范各类恶意代码尤其是病毒、木马等是对XX县人民医院的重大危害,病毒在爆发时将使路由器、三层交换机、防火墙等网关设备性能急速下降,并且占用整个网络带宽。针对病毒的风险,我们建议重点是将病毒消灭或封堵在终端这个源头上。比
13、如,在所有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在XX县人民医院安全管理安全域中,可以部署防病毒服务器,负责制定和终端主机防病毒策略,在XX县人民医院内网建立全网统一的一级升级服务器,在下级节点建立三级升级服务器,由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库,分发到数据中心节点的各个终端,并下发到各三级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时,防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志,为全网的病毒防护管理
14、提供必要的信息。软件容错软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计,包括:1、 提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;2、 具备自保护功能,在故障发生时,应用系统应能够自动保存当前所有状态,确保系统能够进行恢复。备份与恢复备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连
15、续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择,而已成为必然的趋势。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能,其中包括联机备份应用系统和数据文件,先进的设备和介质管理,快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。本地完全数据备份至少每天一次,且备份介质需要场外存放。提供能异地数据备份功
16、能,利用通信网络将关键数据定时批量传送至异地备用场地。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。资源控制 为保证XX县人民医院的应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标,包括:3、 会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够及时检测并自动结束会话,释放资源;4、 会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段内可能的并发会话连接数进行限制,同时对单个帐户的多重
17、并发会话进行限制,设定相关阈值,保证系统可用性。5、 登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端登录。6、 超时锁定:根据安全策略设置登录终端的操作超时锁定。7、 用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,保障正常合理的资源占用。8、 对重要服务器的资源进行监视,包括CPU、硬盘、内存等。9、 对系统的服务水平降低到预先规定的最小值进行检测和报警。10、 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。客体
18、安全重用为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。1.1.3 区域边界安全设计边界访问控制通过对XX县人民医院的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为
19、网络创造全面纵深的安全防御体系。在各安全域边界部署防火墙产品,部署效果如下:(1) 网络安全的基础屏障:防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。(2) 强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网
20、络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。(3) 对网络存取和访问进行监控审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。(4) 防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网
21、段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。(5) 精确流量管理通过部署防火墙设备,不仅可以实现精准访问控制与边界隔离防护,还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护,严格控制节点之间的网络数据流。边界完整性检查边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为
22、进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。1、 终端非法外联行为监控可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。2、 终端非法外联行为管理可以禁止终端与没有通过系统授
23、权许可的终端进行通信,禁止拨号上网行为。边界安全审计(上网行为管理)各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。边界恶意代码防范(
24、防病毒)一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。在XX县人民医院办公外网边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署防病毒网关,截断了病毒通过网络传播的途径,净化了网络流量。部署的防病毒网关应特别注意设备性能,产品必须具备良好的体系架
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 自助 就医 系统 建设项目 技术 体系 方案 详细 设计
限制150内