最新安全基线与配置核查技术与方法课件.ppt

《最新安全基线与配置核查技术与方法课件.ppt》由会员分享，可在线阅读，更多相关《最新安全基线与配置核查技术与方法课件.ppt（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全基线与配置核查技术与方法安全基线与配置核查技术与方法目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战2最早的安全基线最早的安全基线安全基线最早可以追溯到上个实际的六十年代安全基线最早可以追溯到上个实际的六十年代美国军服保密制度美国军服保密制度，九，九十年代初期等级保护立法成为国家法律。十年代初期等级保护立法成为国家法律。1991年欧共体发布了信息安全评估标准（年欧共体发布了信息安全评估标准（ITSEC），），1999年正式列为年正式列为国际标准系列国际标准系列ITSEC主要提出了资产的主要提出了资产的CIA三性：机密性、完整性、可用性的安全属性，

2、三性：机密性、完整性、可用性的安全属性，对国际信息安全研发产生了重要影响，并一直沿用至今。对国际信息安全研发产生了重要影响，并一直沿用至今。国内的安全基线发展国内的安全基线发展1994年，我国首次颁布年，我国首次颁布中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例1999年推出年推出计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则2007年，年，信息安全等级保护管理办法信息安全等级保护管理办法，GB/T22239-2008“基本要求基本要求”和和GB/T28448-2012“测评要求测评要求”2010年，公安部发布年，公安部发布关于推动信息安

3、全等级保护测评体系建设和开展等关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知级测评工作的通知，觉得在全国部署开展信息安全等保测评工作。，觉得在全国部署开展信息安全等保测评工作。安全基线的发展历程3安全运维的困境二老大，这是上个月的报告。系统有X个高危漏洞，Y个配置问题。当前的系统到底是安全还是不安全呢？最近一次的安全整改到底有没有效果呢？安全状况同比和环比有什么变化呢？以上问题我们通过什么方式验证呢？问题分析我们忽略了什么数据库、中间件是支持业务的重要数据库、中间件是支持业务的重要组件，是不是都按照默认配置，使组件，是不是都按照默认配置，使用出厂设置，这些配置是否适用于用出厂设置

4、，这些配置是否适用于我们企业的安全要求，如何发现潜我们企业的安全要求，如何发现潜在的风险呢？在的风险呢？为了保证业务安全，信息系统及数为了保证业务安全，信息系统及数据安全，我们部署了很多安全设备，据安全，我们部署了很多安全设备，防火墙、入侵检测、网络设备、审防火墙、入侵检测、网络设备、审计系统、安全平台等等，那么这些计系统、安全平台等等，那么这些安全设备的自身安全谁来管理呢，安全设备的自身安全谁来管理呢，端口、进程、帐号安全？端口、进程、帐号安全？目前我们的关注点是保证业务安全、数目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还据安全，但所有系统平台的支撑最终还是落实到设备

5、上，设备安全了，业务支是落实到设备上，设备安全了，业务支撑才安全撑才安全-目前我们的关注点是保证业务安全、数目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还据安全，但所有系统平台的支撑最终还是落实到设备上，设备安全了，业务支是落实到设备上，设备安全了，业务支撑才安全撑才安全谁来关注它谁来关注它们的安全们的安全安全基线能给烟草用户带来什么能够及时发现能够及时发现当前业务应用当前业务应用系统所面临的系统所面临的安全问题并可安全问题并可以提供有效的以提供有效的解决办法解决办法可以成为用户可以成为用户对业务系统进对业务系统进行等级合规的行等级合规的有力检查和合有力检查和合规工具，出

6、具规工具，出具符合国家局要符合国家局要求的合规检查求的合规检查报告报告依据等保和依据等保和“三全三全”的要求的要求进行自动化检进行自动化检查（查（71个指标个指标项的检查要求，项的检查要求，35个技术指标，个技术指标，36个管理类，个管理类，共计共计380项）项）安全技术物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安

7、全及备份恢复数据完整性数据保密性备份和恢复安全管理安全管理制度管理制度制订和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购和使用软件开发工程实施测试验收系统交付系统备案等级测评系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理计算机应用管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全基线与配置核查目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战13

8、目标业务系统支持业务所需要的支撑系统及应用软件，例如：Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系统及一些设备，例如：WindowsLinux、交换路由设备、防火墙设备业务层业务层支撑支撑层支撑支撑层系统实现层系统实现层什么是安全基线工具什么是安全基线工具安全基线 的根本目的是保障业务系统的安全，使业务系统的风险维持在可控范围内，为了避免人为疏忽或错误，或使用默认的安全配置，给业务系统安全造成风险，而制定安全检查标准，并且采取必要的安全检查措施，使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段，自动完成安全配置检查的产品，并提供详尽的解决

9、方案。安全基线与漏洞的区别同属于扫描类产品，同属主动安全范畴，主动安全的核心是弱点管理，弱点有两类：漏洞：系统自身固有的安全问题，软硬件BUG配置缺陷：也叫暴露，一般是配置方面的错误，并会被攻击者利用 相同点来源不同漏洞：系统自身固有的安全问题，软硬件BUG，是供应商的 技术问题，用户是无法控制的，与生俱来的配置缺陷：配置是客户自身的管理问题，配置不当，主要包括 了账号、口令、授权、日志、IP通信等方面内容检查方式不同漏洞：黑盒扫描配置缺陷：白盒扫描 不同点安全基线的分类 基基线线体系体系Base LineBase Line组织组织机构机构其它其它人与人与技技术术标标准准策略策略16对对比比调

10、调研研优优化化筛选筛选对比筛选调研对比各地区、行业内及安全厂商多年实践的基线规范。筛选出各自基线规范中的不同点。结合实际情况，使用反馈，对现有资产的梳理，自定义。优化结合业务特点做局部调整，完善。安全基线规范梳理的方法论ITIL、ISO27001、三全标准建立安全基线是系统安全运维第一步建立信息系统的安全基线，包括系统安全配置以及重要信息，如：服务、进程、端口、帐号等。安全基线建立的原则是：符合设备特点生产厂商、上线年限、性能上限、硬件老化适应系统特性部署方式和位置、分布能力、存储能力满足业务需求主要业务需求建立合理的安全基线体系18建立安全基线的管理体系的必要性首先根据组织状况，建立一套在当

11、前时期或一段时期内的“理想化的综合基线指标”，即“基线体系”。这个“基线体系”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等。然后通过一些手段（比如自动化的评估工具）对组织现有的安全指标进行分析。通过对比“理想化的综合基线指标”，形成了一套差距分析结论。组织自身针对这个差距进行适时监测、确认和跟踪即可，对任何在此水平以下的情况进行预警或通报，提出“补足差距”的建议方案；而这个“理想化的综合基线指标”就是该组织的最优安全状态。追求规避全部风险是不现实的，信息系统在达到这个指标水平之后，部分风险自然会被转移或降低。如此便可以实现持续定义升高这个综合基线指标，持续监管

12、和持续改进，可以使每一时期每一阶段的安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的整体安全建设报表。19自动化安全基线工具框架安全状况以及变化趋势基线策略库系统快照（当前基线指标）安全基线指标库目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战21安全配置核查关注什么网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置口令策略检查口令重复使用次数限制检查口令生存周期要求文件权限检查关键权限指派安全要求-取得文件或其他对象的所有权查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹用户

13、账号检查是否禁用guest用户删除匿名用户空链接系统服务检查是否配置nfs服务限制检查是否禁止ctrl_alt_del举例：具体检查哪些内容认证授权对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检查口令生存周期要求配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。网络通信防火墙以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。日志审计设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器

14、。检查项名称检查项名称：检查口令重复使用次数限制检查口令重复使用次数限制被检查设备类型：Windows系列所属分类：账号口令配置要求：对于采用静态口令认证技术的设备，应配置设备，对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近使用户不能重复使用最近5次（含次（含5次）内已使用的口令。次）内已使用的口令。检测方法及判定依据 检测步骤:一、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”判定依据:强制密码历史=5则合规，否则不合规.加固方案参考配置参考配置:(1).进入进入“控制面板控制面板-管理工具管理工具-本地

15、安全策略本地安全策略”，在，在“帐户策略帐户策略-密码策密码策略略”：“强制密码历史强制密码历史”设置为设置为“记住记住5个密码个密码”检查项名称检查项名称：检查关键权限指派安全要求检查关键权限指派安全要求-取得文件或其他对象的所有权取得文件或其他对象的所有权被检查设备类型：Windows系列所属分类：认证授权配置要求：在本地安全设置中取得文件或其它对象的所有权仅指派给在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测方法及判定依据 检查步骤:一、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置

16、为“只指派给Administrators组”。判定依据:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”加固方案参考步骤参考步骤:(1).进入进入“控制面板控制面板-管理工具管理工具-本地安全策略本地安全策略”，在，在“本地策略本地策略-用户权用户权利指派利指派”：“取得文件或其它对象的所有权取得文件或其它对象的所有权”设置为设置为“只指派给只指派给Administrators组组”。举例：启用远程日志功能举例：启用远程日志功能检查项名称检查项名称：文件与目录缺省权限控制文件与目录缺省权限控制被检查设备类型：Linux系列所属分类：日志审计配置要求：设备配置远程日

17、志功能，将需要重点关注的日志内容传输到日志服务器。设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测方法及判定依据 检测步骤:linux一、查看文件/etc/syslog.conf或者/etc/rsyslog.conf存在类似如下语句*.*192.168.56.168sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在类似如下内容:destination logserver udp(192.168.56.168 port(514);log source(src);destination(logserver);判定依据:步骤1或者步骤2满足其一则合

18、规,否则不合规加固方案参考步骤参考步骤:linux1).编辑文件编辑文件/etc/syslog.conf或者或者/etc/rsyslog.conf,增加如下内容增加如下内容:*.*suse1)编辑文件编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容增加如下内容:destination logserver udp(192.168.56.168 port(514);log source(src);destination(logserver);#日志服务器日志服务器ip视实际情况来确定视实际情况来确定.2).重启重启syslog服务服务#/etc/init.d/sys

19、log stop#/etc/init.d/syslog start举例：启用远程日志功能举例：启用远程日志功能检查项名称检查项名称：检查是否配置检查是否配置DDOS攻击防护攻击防护被检查设备类型：华为防火墙所属分类：协议安全配置要求：可打开可打开DOS和和DDOS攻击防护功能。对攻击告警。攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。可通过设置白名单方式屏蔽部分告警。检测方法及判定依据 一、检测方法执行命令 display current-configura

20、tion|include defend 检查判断 存在如下内容则合规。firewall defend*enable 备注：*表示任意字符。二、判定依据防火墙能够抵御DDoS攻击，并有相应的日志告警。加固方案参考配置操作参考配置操作1）在用户视图下执行命令）在用户视图下执行命令system-view，进入系统视图。，进入系统视图。2）执行命令）执行命令firewall defend syn-flood enable，开启，开启SYN Flood攻击防范攻击防范功能。功能。3）执行命令）执行命令firewall defend syn-flood interface GigabitEthernet

21、0/0/1 alert-rate 16000 max-rate 500000配置配置SYN Flood攻击防范的阈值。攻击防范的阈值。4）执行命令）执行命令firewall defend udp-flood enable，开启，开启UDP Flood攻击防攻击防范功能。范功能。5）执行命令）执行命令firewall defend udp-flood interface GigabitEthernet 0/0/1 max-rate 500000配置配置UDP Flood攻击防范的阈值。攻击防范的阈值。6）执行命令）执行命令firewall defend icmp-flood enable,开启开

22、启ICMP Flood攻击防攻击防范功能。范功能。7）执行命令）执行命令firewall defend icmp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置配置ICMP Flood攻击防范的阈值。攻击防范的阈值。检查项名称检查项名称：文件与目录缺省权限控制文件与目录缺省权限控制所属分类：认证授权配置要求：控制用户缺省访问权限，当在创建新文件或目录时控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改不应有的访问允许权限。防止同属于该

23、组的其它用户及别的组的用户修改该用户的文件或更高限制该用户的文件或更高限制检测方法及判定依据 检测步骤:查看文件/etc/profile的末尾是否设置umask值:#awk print$1:$2/etc/profile|grep umask|tail-n1判定条件:/etc/profile文件末尾存在umask 027加固方案参考步骤:一、首先对/etc/profile进行备份#cp/etc/profile/etc/profile.bak二、编辑文件/etc/profile,在文件末尾加上如下内容:umask 027三、执行以下命令让配置生效#source /etc/profile目录什么是安

24、全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战29安全基线的工作介绍工作步骤获取要检查目标的基本信息IP地址设备类型：Windows/Linux+Apache将安全基线产品接入网络（直连检查），做好准备。进行目标设备的配置核查工作，通过检查报告导出检查结果。结果分析，确定检查结论并给出加固方案。获取要检查目标的基本信息IPIP地址地址系统类型系统类型是否安装是否安装数据库数据库是否安装是否安装中间件中间件是否提供是否提供登录信息登录信息网络是否网络是否可达可达192.168.1.1192.168.1.1windowswindowsSQL ServerSQL S

25、erverweblogicweblogic是是是是192.168.1.2192.168.1.2linuxlinuxOracleOracleTomcatTomcat否否否否192.168.1.3192.168.1.3aixaix无无WebsphereWebsphere否否否否192.168.1.4192.168.1.4思科路由器思科路由器是是是是192.168.1.5192.168.1.5华为防火墙华为防火墙是是是是系统类型：确定检查基线策略系统类型：确定检查基线策略是否提供登录信息是否提供登录信息/网络是否可达：确定使用哪种检查方式，在线或离线网络是否可达：确定使用哪种检查方式，在线或离线需要

26、设备维护人员在场补充设备信息需要设备维护人员在场补充设备信息将安全基线工具介入网络被扫描主机Internet浏览器HTTPS访问客户端Internet管理口：接扫描操作计算机扫描口：接目标网络核查工具使用说明安全配置核查演示环境地址登录账号登录密码http:/10.5.64.180:8888/sysadminvenus.sysadminhttp:/10.5.64.181:8888/sysadminvenus.sysadmin核查设备地址核查设备类型操作系统登录账号操作系统登录密码10.5.64.190windows7administrator123qwevenus10.5.64.190tomc

27、atadministrator123qwevenus10.5.64.190oracleadministrator123qwevenus（system/Qwe_1234）被扫描环境被扫描环境建立扫描任务3、选择添加的扫描目标1、填写任务名称4、确定开始扫描2、选择扫描策略模版添加被核查目标1、填写IP地址2、选择设备类型3、协议及登录信息4、自动探测匹配扫描结果查看1、确定扫描完成2、点击报告生成按钮3、选择预览或下载点击链接查看单个设备的基线结果每个设备的安全基线合规汇总单个设备安全基线分析展开分析合规结果详尽的加固方案分析扫描结果如何分析扫描结果考虑被检查设备重要程度设备部署的位置设备承载的

28、业务考虑单个不合规检查项的权重如何整改所有配置项目修改最好有建设厂商参与，先分析后整改避免修补过程影响系统正常运行，做好备份分析原则所有的设备都应重视所有的缺陷都应改进谢谢 谢谢！放射性核素治疗第一节第一节 131I治疗甲状腺疾病治疗甲状腺疾病一、一、131I治疗甲状腺功能亢进症治疗甲状腺功能亢进症（一）（一）原理原理 甲状腺组织高度选择性摄取碘。甲状腺组织高度选择性摄取碘。亢进的甲状腺组织受到亢进的甲状腺组织受到射线的集中照射而受到破坏，射线的集中照射而受到破坏，减少甲状腺激素的合成分泌。减少甲状腺激素的合成分泌。射射线线射程短，不会影响甲状腺外射程短，不会影响甲状腺外组织组织。131I在甲

29、状腺内停留时间适当，达到治疗的目的。在甲状腺内停留时间适当，达到治疗的目的。（二）适应症、相对适应症及禁忌症二）适应症、相对适应症及禁忌症1.1.适应症：适应症：（1 1）GravesGraves甲亢患者。甲亢患者。（2 2）对抗甲状腺药物过敏、或疗效差、或治疗后复发、）对抗甲状腺药物过敏、或疗效差、或治疗后复发、或术后复发及青少年和儿童甲亢药物治疗失败又或术后复发及青少年和儿童甲亢药物治疗失败又 拒绝手术或有手术禁忌症的拒绝手术或有手术禁忌症的GravesGraves甲亢患者。甲亢患者。（3 3）GravesGraves甲亢伴白细胞或血小板减少者。白细胞甲亢伴白细胞或血小板减少者。白细胞 3

30、.010 3.0109 9/L/L，血小板，血小板5.0105.0101111/L/L，仍可考虑，仍可考虑 131131I I治疗。治疗。（4 4）GravesGraves甲亢伴房颤的患者。甲亢伴房颤的患者。（5 5）GravesGraves甲亢并慢性淋巴性甲状腺炎摄碘率增高的患者。甲亢并慢性淋巴性甲状腺炎摄碘率增高的患者。（6 6）甲亢合并肝、肾功能损害者。）甲亢合并肝、肾功能损害者。（7 7）浸润性突眼。）浸润性突眼。2.2.禁忌症：禁忌症：（1 1）妊娠期和哺乳期妇女。）妊娠期和哺乳期妇女。（2 2）甲亢伴有近期心肌梗死者。）甲亢伴有近期心肌梗死者。（三）治疗方法（三）治疗方法 1.1.

31、治疗前准备：治疗前准备：（1 1）停服影响甲状腺摄）停服影响甲状腺摄131131I I的食物和药物的食物和药物2 2周以上。周以上。（2 2）测定甲状腺摄）测定甲状腺摄131131I I率。率。（3 3）甲状腺显像、）甲状腺显像、B B超或触诊检查，确定甲状腺重量。超或触诊检查，确定甲状腺重量。（4 4）血、尿常规，必要时查肝、肾功能和心电图等。）血、尿常规，必要时查肝、肾功能和心电图等。（5 5）测定血清）测定血清TTTT3 3、TTTT4 4、FTFT3 3、FTFT4 4、TSHTSH、TGAbTGAb、TPOAbTPOAb、TRAbTRAb等。等。（6 6）治疗前向患者讲清疗效、可能出

32、现的反应、注意事项）治疗前向患者讲清疗效、可能出现的反应、注意事项 （包括辐射防护），及可能出现的并发症和预防方法。（包括辐射防护），及可能出现的并发症和预防方法。（7 7）签署知情同意书。）签署知情同意书。2.2.治疗剂量的计算和确定治疗剂量的计算和确定（1 1）计算计量法）计算计量法/个体化剂量方案：个体化剂量方案：计划量（计划量（Bq/g甲状腺组织）甲状腺组织）甲状腺重量（甲状腺重量（g）服服131I总剂量（总剂量（MBq）=甲状腺最高摄甲状腺最高摄131I率（率（%）（2 2）固定计量法：给予固定剂量（）固定计量法：给予固定剂量（10-15mCi10-15mCi）。）。（3 3）半固定

33、剂量法：）半固定剂量法：根据临床情况将治疗剂量分为三个等级：根据临床情况将治疗剂量分为三个等级：低剂量低剂量 （3-4mCi3-4mCi）中剂量（中剂量（5-6mCi5-6mCi）高剂量（高剂量（7-8mCi7-8mCi）3.3.影响和确定治疗剂量的因素影响和确定治疗剂量的因素（1 1）甲状腺的大小和重量）甲状腺的大小和重量（2 2）甲状腺最高摄）甲状腺最高摄131131I I率和有效半减期率和有效半减期（3 3）甲亢的严重程度）甲亢的严重程度（4 4）个体敏感性）个体敏感性（5 5）甲状腺肿的类型）甲状腺肿的类型4.4.给药方法给药方法 一般采用一次口服法。口服一般采用一次口服法。口服131

34、131I I前后最少禁食前后最少禁食2 2小时。小时。5.5.重复治疗及治疗剂量的确定重复治疗及治疗剂量的确定 若第一次若第一次131131I I治疗后未见明显疗效，可在治疗后治疗后未见明显疗效，可在治疗后6 6个月进行第二个月进行第二次治疗。次治疗。若第一次若第一次131131I I治疗后症状好转但未痊愈，可先用抗甲状腺药物治疗后症状好转但未痊愈，可先用抗甲状腺药物对症处理，确实疗效不佳时，再考虑第二次治疗。对症处理，确实疗效不佳时，再考虑第二次治疗。6.6.治疗后注意事项治疗后注意事项 必须空腹服药，服药后必须空腹服药，服药后2h2h方可进食。方可进食。服服131131I I 后近期内禁用

35、含碘的食物及药物，必要时可用后近期内禁用含碘的食物及药物，必要时可用 普萘洛尔类及各种镇静药配合治疗。普萘洛尔类及各种镇静药配合治疗。服服131131I I后注意休息，避免剧烈活动。后注意休息，避免剧烈活动。服服131131I I后后1 1周内极个别患者可能出现甲亢危象，必须及时处理。周内极个别患者可能出现甲亢危象，必须及时处理。若服用若服用131131I I剂量较大，在短期内（至少剂量较大，在短期内（至少1 1周）应避免与孕妇周）应避免与孕妇 及婴幼儿的接触。及婴幼儿的接触。一旦误服过大剂量一旦误服过大剂量131131I I应立即口服复方碘溶液并多饮水，应立即口服复方碘溶液并多饮水，加速排出

36、。加速排出。（四）疗效评价（四）疗效评价 应用最早、最成熟、最广泛的经典治疗方法。应用最早、最成熟、最广泛的经典治疗方法。简便、安全、经济、疗效好、复发率低、并发症少是治疗甲简便、安全、经济、疗效好、复发率低、并发症少是治疗甲亢的一种十分有效的方法。亢的一种十分有效的方法。总有效率在总有效率在90%90%以上，复发率为以上，复发率为1-4%1-4%。对少数晚发永久性甲减者需给予甲状腺激素替代治疗。对少数晚发永久性甲减者需给予甲状腺激素替代治疗。甲亢经甲亢经131131I I治疗痊愈后，其合并症一般均有好转或痊愈：治疗痊愈后，其合并症一般均有好转或痊愈：1.1.甲亢性肌病：最常见、最严重的并发症

37、之一。肌无力和肌萎缩；甲亢性肌病：最常见、最严重的并发症之一。肌无力和肌萎缩；周期性瘫痪；重症肌无力。治疗后均能恢复或好转。周期性瘫痪；重症肌无力。治疗后均能恢复或好转。2.2.甲亢性心脏病：症状恢复。同时患高心病、冠心病者，甲亢甲亢性心脏病：症状恢复。同时患高心病、冠心病者，甲亢 治愈后有关症状相应减轻。治愈后有关症状相应减轻。3.Graves 3.Graves 眼病：多数患者症状消失、减轻，极少数患者突眼眼病：多数患者症状消失、减轻，极少数患者突眼 加重。加重。4.4.甲亢合并肝功能损害：无论是甲亢本身所致肝功异常甲亢合并肝功能损害：无论是甲亢本身所致肝功异常 或是甲亢合并有肝脏疾病，甲亢

38、治愈后肝功能均有改或是甲亢合并有肝脏疾病，甲亢治愈后肝功能均有改 善或恢复正常。善或恢复正常。5.5.甲亢合并糖尿病：部分患者糖尿病可获改善。甲亢合并糖尿病：部分患者糖尿病可获改善。6.6.甲亢性精神病：可以好转或痊愈。甲亢性精神病：可以好转或痊愈。7.7.甲亢合并白细胞减少：常可恢复正常。甲亢合并白细胞减少：常可恢复正常。（五）治疗反应及处理（五）治疗反应及处理1.1.早期反应：早期反应：（1 1）几天内出现乏力、食欲差、恶心、皮肤瘙痒、甲状腺）几天内出现乏力、食欲差、恶心、皮肤瘙痒、甲状腺 肿胀等反应，无需特殊处理，多自行消失。肿胀等反应，无需特殊处理，多自行消失。（2 2）甲亢症状加重：

39、发生率）甲亢症状加重：发生率1%1%，多在治疗后，多在治疗后1 1周。周。患者体温高于患者体温高于3939，心率大于，心率大于160160次次/min/min，大汗淋漓、，大汗淋漓、谵妄、昏迷、呕吐及腹泻等，或老年患者出现淡漠、谵妄、昏迷、呕吐及腹泻等，或老年患者出现淡漠、嗜睡、低热、乏力，呈恶病质状，心率慢、脉压小和嗜睡、低热、乏力，呈恶病质状，心率慢、脉压小和 突眼时，要特别注意甲亢危象的发生。应按内科常规突眼时，要特别注意甲亢危象的发生。应按内科常规 治疗方法处理。治疗方法处理。2.2.甲减甲减 在治疗后在治疗后1-21-2个月（少数在个月（少数在2-62-6个月）发生，为早发甲减，个月

40、）发生，为早发甲减，多数在多数在3-63-6个月内自行恢复。个月内自行恢复。治疗治疗1 1年后发生的甲减，多为永久性甲减。其发病率与甲状年后发生的甲减，多为永久性甲减。其发病率与甲状腺接受腺接受131131I I剂量并非完全相关。出现时应及时给予甲状腺剂量并非完全相关。出现时应及时给予甲状腺激素治疗。激素治疗。二、二、131131I I治疗功能自主性甲状腺腺瘤治疗功能自主性甲状腺腺瘤（一）原理：（一）原理：功能自主性甲状腺结节有较高的摄取功能自主性甲状腺结节有较高的摄取 131131I I的功能，的功能，131131I I治疗可破坏结节达到治疗可破坏结节达到 治疗目的。治疗目的。（二）适应症、

41、相对适应症和禁忌症（二）适应症、相对适应症和禁忌症 1.1.适应症：适应症：（1 1）功能自主性甲状腺结节有手术禁忌症或拒绝手术治疗者。）功能自主性甲状腺结节有手术禁忌症或拒绝手术治疗者。（2 2）甲状腺显像为）甲状腺显像为“热热”结节，结节外甲状腺组织完全或基结节，结节外甲状腺组织完全或基 本被抑制。本被抑制。（3 3）有甲亢合并心血管病变如心律不齐、房颤者。）有甲亢合并心血管病变如心律不齐、房颤者。2.2.相对适应症：相对适应症：（1 1）“热热”结节外甲状腺组织未能完全抑制者，不宜结节外甲状腺组织未能完全抑制者，不宜 131131I I治疗。治疗。（2 2）结节重量超过）结节重量超过10

42、0g100g，但患者不能手术，必要时可，但患者不能手术，必要时可 考虑考虑131131I I治疗。治疗。年龄较小，但在年龄较小，但在3030岁以上，需要时可考虑岁以上，需要时可考虑131131I I治疗。治疗。3.3.禁忌症：禁忌症：妊娠和哺乳患者；妊娠和哺乳患者；临床上不适于采用甲状腺素作为治疗前后辅助用药的患者；临床上不适于采用甲状腺素作为治疗前后辅助用药的患者；怀疑甲状腺有恶变的患者；怀疑甲状腺有恶变的患者；自主功能结节摄率过低的患者。自主功能结节摄率过低的患者。（三）治疗方法（三）治疗方法 给药方法与给药方法与131131I I治疗甲亢相同，一般视腺瘤大小、治疗甲亢相同，一般视腺瘤大小

43、、摄取摄取131131I I率的高低和有效半减期长短而定。率的高低和有效半减期长短而定。目前主要采取一次大剂量疗法，达到足以破坏结节目前主要采取一次大剂量疗法，达到足以破坏结节 的作用，比分次小剂量法疗效好。的作用，比分次小剂量法疗效好。（四）疗效评价（四）疗效评价 治疗后治疗后2-32-3个月结节逐渐缩小，甲亢症状逐渐改善，个月结节逐渐缩小，甲亢症状逐渐改善，治疗有效率近治疗有效率近100%100%。极少发生甲减。极少发生甲减。其疗效及疗效出现的时间与其疗效及疗效出现的时间与131131I I治疗剂量密切相关。治疗剂量密切相关。三、三、131131I I治疗分化型甲癌转移灶治疗分化型甲癌转移

44、灶（一）原理：（一）原理：分化型甲状腺癌（滤泡状及乳头状腺癌）及其分化型甲状腺癌（滤泡状及乳头状腺癌）及其 转移灶具有摄取转移灶具有摄取131131I I的功能。的功能。131131I I 发发射的射的射线对癌组织进行集中照射，破射线对癌组织进行集中照射，破 坏癌组织，达到治疗目的。坏癌组织，达到治疗目的。1.1.适应症：适应症：（1 1）符合下列条件者均应使用）符合下列条件者均应使用131131I I去除残留甲状腺组织：去除残留甲状腺组织：期和期和期（期（TNMTNM分期）分期）DTC DTC 患者患者 所有年龄所有年龄454545岁岁期期 DTC DTC 患者患者 选择性选择性期期 DTC

45、 DTC 患者，特别是有多发肿瘤病灶、患者，特别是有多发肿瘤病灶、出现淋巴结转移、有甲状腺外或血管浸润者出现淋巴结转移、有甲状腺外或血管浸润者 激进型病理类型患者激进型病理类型患者（二）适应症和禁忌症（二）适应症和禁忌症（2 2）残留甲状腺组织已被完全去除，复发或转移灶）残留甲状腺组织已被完全去除，复发或转移灶 不能手术切除，病灶摄取不能手术切除，病灶摄取131131I I的患者。的患者。（3 3）残留甲状腺组织已被完全去除，）残留甲状腺组织已被完全去除，131131I I显像阴性显像阴性 但但TgTg水平水平10g/L10g/L的患者。的患者。2.2.禁忌症：禁忌症：（1 1）妊娠和哺乳患者

46、；）妊娠和哺乳患者；（2 2）术后创口未愈合的患者；）术后创口未愈合的患者；（3 3）白细胞低于）白细胞低于3.03.0 10109 9/L/L的患者；的患者；（4 4）肝、肾功能严重损害的患者。）肝、肾功能严重损害的患者。（三）治疗方法（三）治疗方法 1.1.治疗前准备治疗前准备 （1 1）停用甲状腺素制剂）停用甲状腺素制剂3-63-6周。周。（2 2）术后）术后4-64-6周创伤痊愈后即可行周创伤痊愈后即可行131131I I去除治疗。去除治疗。（3 3）忌服含碘食物或含碘药物）忌服含碘食物或含碘药物4 4周。周。（4 4）测定血常规、）测定血常规、FTFT3 3、FTFT4 4、TSHT

47、SH、TgTg、TGAbTGAb，甲状腺摄，甲状腺摄131131I I率、率、X X线胸片、心电图、肝功和肾功、甲状腺显像等。线胸片、心电图、肝功和肾功、甲状腺显像等。2.2.给药方法给药方法（1 1）131131I I去除残留甲状腺组织去除残留甲状腺组织 常规给予常规给予 3.7GBq 3.7GBq（100mCi100mCi）；病理为激进型患者可）；病理为激进型患者可 增加至增加至 5.55-7.4GBq 5.55-7.4GBq（150-200mCi150-200mCi）。）。1 1周后给予甲状腺素；如治疗前甲减明显，周后给予甲状腺素；如治疗前甲减明显，2424小时可小时可 给甲状腺素。给甲

48、状腺素。（2 2）131131I I治疗治疗DTCDTC转移灶转移灶 甲状腺床复发或颈部淋巴结转移者给予甲状腺床复发或颈部淋巴结转移者给予 3.7-5.5GBq 3.7-5.5GBq （100-150mCi100-150mCi）；肺转移者给予）；肺转移者给予 5.55-7.4GBq 5.55-7.4GBq（150-150-200mCi 200mCi）；骨转移者）；骨转移者 7.4-9.25GBq 7.4-9.25GBq（200-250mCi200-250mCi）。）。治疗后治疗后5-75-7天行全身显像；天行全身显像；2424小时可给甲状腺素。小时可给甲状腺素。3.3.放射防护放射防护 （四）

49、治疗效果（四）治疗效果 有效率达有效率达75%75%，较单纯外科手术有更高生存率。，较单纯外科手术有更高生存率。定期随访，发现新的功能性转移灶再行定期随访，发现新的功能性转移灶再行131131I I治疗，治疗，10 10年存活率近年存活率近90%90%。（五）副作用（五）副作用 最常见为骨髓抑制，程度多较轻微。严重者需用增加白细最常见为骨髓抑制，程度多较轻微。严重者需用增加白细 胞药物或输血治疗。胞药物或输血治疗。弥漫性肺转移者易发生肺纤维化。弥漫性肺转移者易发生肺纤维化。（六）疗效评价（六）疗效评价 原发灶首选手术切除，再行原发灶首选手术切除，再行131131I I清除，清除，发现有淋巴、肺

50、和骨骼等转移灶时，应及时采用发现有淋巴、肺和骨骼等转移灶时，应及时采用131131I I治疗。治疗。第二节第二节肿瘤核素治疗肿瘤核素治疗一、一、骨转移瘤治疗骨转移瘤治疗（一）原理：（一）原理：与骨组织有较高的亲和力。与骨组织有较高的亲和力。发射的发射的-射线，抑制和破坏骨转移瘤，同时还能缓解疼痛。射线，抑制和破坏骨转移瘤，同时还能缓解疼痛。目前常用的放射性药物：目前常用的放射性药物：153Sm-EDTMP、186Re-HEDP、89SrCl2 骨转移瘤主要来源：肺癌、前列腺癌、乳腺癌；骨转移瘤主要来源：肺癌、前列腺癌、乳腺癌；转移部位以扁骨为多。转移部位以扁骨为多。（二）适应证与禁忌证（二）适