医院网络安全方案51218.pdf

《医院网络安全方案51218.pdf》由会员分享，可在线阅读，更多相关《医院网络安全方案51218.pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 医院网络安全方案(总 11 页)本页仅作为文档封面，使用时可以删除 This document is for reference only-rar21year.March 2 构筑医院信息系统的全方位安全网络 第一章 安全问题分析 随着医院信息化程度越来越高，伴随而来的的安全问题也日益突出，尤其是随着网络规模的不断扩大，网络应用项目越来越丰富，涉及到的人员越来越来越庞杂，部署策略越来越繁琐，整个系统变得越复杂，医院面对的安全风险也越来越大。如何有效地降低安全风险、降低安全成本，安全的策略显得尤为重要。医院的 HIS 系统是关键业务系统，需要系统不间断运行。即使发生短暂的业务中断，也会导致难以

2、估量的经济和名誉损失。为此，我们分析以下可能会导致业务系统中断的原因：1 服务器硬件故障 如服务器的数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU 或内存的失效则会导致系统的死机；2 主干交换机或干线的故障 如主干交换机死机、交换机配置出错、或干线线路出现意外故障。3 数据库服务、操作系统出错 由于操作系统或数据库服务器中可能存在不完善的地方、或者配置不得当，当碰到某种激发事件时，数据库服务器非正常终止或系统崩溃；4 人为错误 一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导

3、致系统服务的无法访问；5 电脑病毒/黑客入侵 由于目前的郑州市的很多医院的计算机和省市医院医保联网，无论是物理还是逻辑上都是互通的，若缺少有效的防范机制，很容易遭受病毒的感染或者黑客的入侵，轻者数据被损坏，系统数据被重者系统瘫痪；6 自然灾害3 由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决）。7 正常的停机 主要指计划内的系统升级、安装软件、系统备份等过程。由上可见，影响系统安全运行的因素有很多，但是，导致的系统中断完全可以通过创建一个完整的安全策略的来有效避免。系统安全不仅是一个单一的

4、安全防范问题，也不可能一时完会解决，而是一个整体的、全面的技术问题，同时安全也是一个长期的，动态的过程。因此我公司提出了在医院建立全网安全的概念。在了解安全需求的基础之上，从安全的规划的角度看，应遵循以下原则：安全管理为本的原则、需求、风险、代价平衡分析的原则，综合性、整体性原则、适应性及灵活性原则，多重保护原则。当今的很多系统集成商力图做到全自运化，对于信息安全问题能够做到自动发现、自动解决，。出发点固然是不错，希望方便用户使用。但现实世界中的网络安全问题太过复杂，一切都是机器和程序搞定的想法有些不切合实际。我公司认为：在保卫系统安全的过程中人应该发挥人的能动性，做到主动出击，而不是被动防御

5、。居以上分析，我公司提出以下全网安全的解决方案：第二章 服务器操作系统和数据安全方案 第一节 双机容错部分-解决由于服务器硬件故障、计划停机造成的服务器停机 11 方案说明 4 确要建立高可用的计算机处理系统，首先，在硬件上，要做到各部件的冗余，多台计算机组成集群结构，使整个系统不存在单点故障；此外，还需要有专门的集群软件来进行管理和监控，使得应用系统在任何软硬件单元发生故障时，能够稳定可靠地运行。此外，在高可用系统设计时，还需考虑下述关键点：应用系统，主机/部件间的切换是非对用户透明？4 故障发生时，是否需要人为干预？切换的速度如何？配置是否简单方便，易于管理？与操作系统、应用程序是否能密切

6、配合 1.2 双机容错部分构成 例如：ROSE HA FOR WIN2003SERVER 容错软件 HP 公司的 F200 磁盘阵列系统 HPDL580G4 两台 1.3 方案简介 系统以 WN2003 为平台，F200 磁盘阵列及 ROSE HA 软件为核心，常用数据库及网络数据存放在磁盘阵列中，两台服务器只安装本地系统文件及ROSE HA 软件，并作一主一从的热备方式。当系统启动后：Rose HA 首先启动 HA manager 管理程序，然后启动必要的服务和代理程序来监控和管理系统服务。HA 代理程序通过 RS232 或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。当 ROSE

7、HA 代理程序监测到某个服务或硬件发生故障并作相应处理后（可由用户设定）仍不能成功时，则开始切换服务：将 IP 飘移到相同用户名的另一台 Standby 服务器上，磁盘阵列中的数据库由主服务器切换到从服务器，并恢复所有的服务功能。完成整个切换过程，平均时间为 40 秒，此时系统又进入初始状态。5 14 系统特点 硬件结合实现真正意义上的数据与系统分离。对硬件配置要求不高，服务器可采用不同或相差较大的配置。系统切换时间短，平均切换时间为 30 秒，为目前同类软件中最短。5 系统效率高。因为整个系统中数据读写、管理及容错由磁盘阵列来完成。而系统从服务器故障纠错处理由 HA 软件来完成，而这两个都是

8、相对独立的子系统。双机容错监控路径为和 RS232 线路或 10/100M 自适应网卡线路，既不占用主机 CPU 资源也不占用基础网络带宽，因此系统效率高，这一点在实际的应用中得到用户的一致好评.15 切换实例 在本例中，两台应用服务器分别运行 ORACLE SERVER 数据库。数据库的数据存放在形成镜像的两台磁盘阵列中。ROSE HA 通过 ORACLE Server Agent 监控 SQL 数据库的运行状况。当主服务器发生意外故障时，ROSE HA ORACLE Database Agent会监控到故障情况。通过心跳线协议，ROSE HA 会将数据库数据切换到备用机上。切换后，ROSE

9、 HA 可以检测数据的同步情况，如果数据正确无误,ROSE HA 将启动上层的数据库和应用服务。第二节 远程备份、恢复方案 -解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丢失 21 系统构成 备份软件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版 备份服务器：医院淘汰下来的服务器即可 备份设备：建议医院购买磁带库或 SATA 磁盘阵列柜 备份目标：HIS 服务器和市医保服务器、财务科服务器和服务器等 22 备份策略 备份策略的好坏，决定恢复的速度与质量，我们制定备份策略如下：6 灾难恢复启动光盘+系统完全备份+数据库完全备份+

10、数据库差别备份+数据库日志备份6 灾难恢复启动光盘：当硬件有重大改到时重做。（可以快速的恢复操作系统，并且在恢复过程中不用操作系统安装盘）系统完全备份：每月的系统完全备份 数据库完全备份：每周日的数据库完全备份 数据库差别备份：每 8 小时的数据库差别备份 数据库日志备份：每 5 分钟的日志备份 策略评价：优点：备份速度快，恢复快并且是自动化，可保留二年数据备份。23）恢复策略 一）假定：当机房失火或雷击造成双机系统的服务器硬件彻底损坏，恢复过程如下：（1）恢复本周周日的数据库完全备份到远程备份服务器上，大约 5 分钟（2）恢复本周日全备后的最近一次差别备份到远程备份服务器上，大约 2 分钟（

11、3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟（4）修改客户端的 INI或配置文件的 SERVERNAME的值为远程备份服务器的名字，大约 1-15分钟。（如果客户端程序在服务器上会快一些。）这样可以保证客户端运行间断不超过 30 分钟，数据丢失不超过 5 分钟。二）假定：双机系统中的磁盘阵列柜损坏，如控制器损坏。恢复过程如下。1）恢复本周周日的数据库完全备份到主服务本地硬盘上，大约 15 分钟 7 2）恢复本周日全备后的最近一次的差别备份到主服务本地硬盘上，大约 2 分钟 3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟 4）修改主服务器本地磁盘盘符，重新启动 SQL服

12、务，大约 2 分钟 5）修改客户端的 INI或配置文件的 SERVERNAME 的值为主服务务器的名字，大约 1-15分钟。（如果客户端程序在服务器上会快一些。）这样可以保证客户端运行间断不超过 37 分钟，数据丢失不超过 5 分钟。7 三）假定：正在使用数据库置疑或被误删除，也就是说数据库文件损坏，而数据库服务没有停止。恢复过程如下。1）恢复本周周日的数据库完全备份，大约 15 分钟 2）恢复本周日全备后的最近一次的差别备份，大约 2 分钟 3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟 4）恢复活动日志（如果数据库文件还存在的话）大约 2 分钟。这样可以保证客户端运行间断不超过

13、 34 分钟，数据丢失不超过 5 分钟，或者数据一点也不丢失。四）假定：双机系统中的主服务器或备服务器其中一台的操作系统盘损坏，而阵列柜的硬盘没有问题。恢复过程如下：1）用系统恢复光盘恢复操作系统+上个月的系统全备。大约 30 分钟左右。客户端不受影响。数据不丢失。双机容错和远程备份网络示意图 8 8 第三节 服务器应用层防火墙-解决来自内部网络攻击问题 1 系统构成 WIN2003 应用层防火墙：微软 ISA2006 中文版 保护目标：医院所有 WIN2003 服务器不受内部攻击 1 方案说明 在防火墙上配置安全的策略，如：仅开放指定的端口和应用，如：HIS服务器只允许 ORACLE服务交换

14、数据等。2 对防火墙的攻击测试 当防火墙安装完装后，可以模拟攻击，如：Smurf和 Land-based、Ping of Death Syn Flood 和 DoS 攻击等，分析防火墙抗攻击能力。13经常分析防火墙日志 为防火墙指定一个日志服务器，在正常使用防火墙后，要经常查看、分析日志，看看有没有异常的连接请求和异常的数据包通过防火墙。分析日志的内容应包括：（1）检查日期和时间（2）（2）跟踪客户端 IP 地址（3）（3）检查用户请求的路径和文件（4）（4）了解访问状态（代码）（5）（5）检查用户代理 （6）（6）查看访问源头 （7）9 9 第二章 网络安全方案 第一节 VLAN-逻辑隔离各

15、个使用区 11 方案说明 使用交换机的的功能，逻辑的把医院的网络划分为个部分，每个部分分别属于不同的网段，各个网段通过层路由根据路由策略和防火墙策略（应用层防火墙）交换数据。各个部分的功能如下：HIS 服务器区 放置 HIS、PACS、LIS 服务器 客户端区 HIS 客户端 医保区 市医保服务器，省医保路由器 10 财务专用区 财务科专用服务器和工作站 公共区 服务器，备份服务器，杀毒控制中心等。10 各个部分的访问策略如下：HIS 服务器区 只能访问公共区，用来升级病毒库和远程备份。客户端区 访问公共区，服务器区，和医保区 医保区 只能被访问。财务专用区 只能访问公共区，用来升级病毒库和远

16、程备份。公共区 只能被访问。（配合防火墙策略）第一节 外网防火墙 系统构成：思科防火墙 保护目标：阻止通过医保网络，来自其他医院的攻击。防火墙的作用：一是可以限制他人进入和其他医院通过医保网络进入医院内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问其他医院服务器；四是为监视外网安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如外网等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在外网上的服务器中，超过三分之一的服务器都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，建议医保

17、服务器都建议放在防火墙之后。第二节 杀毒软件 在每台接入网络的电脑上安装网络版杀毒软件，进行统一升级，全网杀毒，并定期更新病毒库和杀毒引擎。第三节 漏洞扫描和 IDS/IPS 使用漏洞扫描工具，对服务器和工作站以及交换设备进行定期扫描，发现漏洞及打上补丁和修复。11 11 第三章 客户端安全方案 PC 接口安全解决方案 一、用普通小锁锁住机箱，防止随意打开机箱，拆卸、增加设备。二、给设安全密码，防止任意进入更改系统设置信息，在BIOS 中将一些不使用的设备关闭，如：串口，USB 口、软驱接口，第二个 IDE口等 三、操作系统中删除有关于驱动和服务。客户端权限分配方案 方案描述：创建两个用户，一

18、个用户是超级用户，另一个是普通用户。超级用户密码由信息科管理，普通用户自动登录到系统。利用策略编辑器把没用的服务、权限、设备关掉。如：共享权限，桌面属性、网上邻居、USB 接口。普通用户不能安装、卸载软件，不能停止服务等。BIOS 的启动，只允许 C 盘启动，不允许从 LAN、USB、CDROM 等 硬盘分成三个区 系统区，数据区，备份区 把盘式化成 NTFS 分区 说明：普通用户不能更改 IP 设置、安全策略、停止或启动服务等。IP安全访问方案 12 一、通过设定 IP 安全策略，设定出站的端口，仅仅是 1521（ORACLE），趋势的杀毒软件端口，也就是说，工作站只能访问数据库服务器，不能

19、访问其它任何服务。如：HTTP，FTP，QQ等，更不可能上网。二、通过设定 IP 安全策略，关闭 ICMP 等协议，设定入站的端口仅仅为远程管理端口。可以有效防止黑客、木马及冲击波等攻击。说明:通过此设置，工作站不能上网，只能访问服务器，也不能访问别的电脑，也不能被别的电脑访问。客服端远程服务方案（中文版 RAMIN）方案描述：为了更快的为客服端解决问题、减少管理员来回跑的次数，建议所有的客户机上安装远程服务软件，科室打来电话后，管理员可以远程操作其电脑，与其交互操作和讲解。远程软件安装后，是以服务形式存在，不易被非法卸载或停止。我们已把客服端远程服务软件做成安装程序。操作系统恢复方案 一：用

20、一键还原类的软件，把操作系统备份到隐含分区。方案描述：12 解决操作系统重装问题，如果操作需要重新装，只要在客户机启动时按 F10时，就自动恢复到系统安装时状态。二：通过网络远程启动操作系统或恢复操作系统。方案描述：需要在同一网段的一台电脑上安装远程启动服务，客户端操作系统传至这台电脑，当客户端需要恢复系统时，从网卡启动就可以恢复或启动系统。远程服务安全解决方案 代理方式：一、双网卡的方式 做代理的电脑，一块网卡连接外网，一块网卡接内网交换机，注意不要在这台电脑上启用路由，一定要启用防火墙功能。安装端口转发软件，注意在外网的端口不要和内网的端口一致，如外网端口：4888，内网端口 4899，外网端口 3388，内网端口，3389，等，远程控制的密码 8位以上，在远程服务结速时，内网网络端口断开。二、宽带路由器方式：路由器上内网端口，和 HIS 网络交换机互联，路由器上的外网的代理端口不要和内网的端口一致：4888，内网端口 4899，外网端口 3388，内网端口，3389，等。远程控制的密码 8位以上，在远程服务结速时，内网网络端口断开。河南煤化鹤煤公司总医院 信息科 2010 年 6 月 5 日星期六