醫(yī)院網(wǎng)絡(luò)安全方案

1、構(gòu)筑醫(yī)院信息系統(tǒng)的全方位安全網(wǎng)絡(luò)第一章安全問題分析隨著醫(yī)院信息化程度越來越高，伴隨而來的的安全問題也日益突岀，尤其是隨著網(wǎng)絡(luò)規(guī) 模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用項(xiàng)目越來越豐富，涉及到的人員越來越來越龐雜，部署策略越來越 繁瑣，整個系統(tǒng)變得越復(fù)雜，醫(yī)院而對的安全風(fēng)險(xiǎn)也越來越大。如何有效地降低安全風(fēng)險(xiǎn)、 降低安全成本，安全的策略顯得尤為重要。醫(yī)院的HIS系統(tǒng)是關(guān)誕業(yè)務(wù)系統(tǒng)，需要系統(tǒng)不間 斷運(yùn)行。即使發(fā)生短暫的業(yè)務(wù)中斷，也會導(dǎo)致難以估量的經(jīng)濟(jì)和名譽(yù)損失。為此，我們分析 以下可能會導(dǎo)致業(yè)務(wù)系統(tǒng)中斷的原因：1. 服務(wù)器硬件故障如服務(wù)器的數(shù)據(jù)/系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問，并進(jìn)而可能導(dǎo)致應(yīng)用進(jìn)程終止 或系統(tǒng)停機(jī)

2、，甚至系統(tǒng)不能重啟動：網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)服務(wù)：CPU或內(nèi) 存的失效則會導(dǎo)致系統(tǒng)的死機(jī)：2. 主干交換機(jī)或干線的故障如主干交換機(jī)死機(jī)、交換機(jī)配置出錯、或干線線路出現(xiàn)意外故障。3. 數(shù)據(jù)庫服務(wù)、操作系統(tǒng)出錯由于操作系統(tǒng)或數(shù)據(jù)庫服務(wù)器中可能存在不完蓮的地方、或者配置不得當(dāng)，當(dāng)碰到菜種激發(fā) 事件時，數(shù)據(jù)庫服務(wù)器非正常終止或系統(tǒng)崩潰；4. 人為錯誤一些人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用服務(wù)進(jìn)程，也會導(dǎo)致系統(tǒng)服務(wù) 的無法訪問；5. 電腦病毒/黑客入侵由于目前的鄭州市的很多醫(yī)院的計(jì)算機(jī)和省市醫(yī)院醫(yī)保聯(lián)網(wǎng)，無論是物理還是邏輯上都 是互通的，若缺少有效的防范機(jī)制，很容易遭受病毒的

3、感染或者黑客的入侵，輕者數(shù)據(jù)被損 壞，系統(tǒng)數(shù)據(jù)被重者系統(tǒng)癱瘓：6. 自然災(zāi)害由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計(jì)算機(jī)系統(tǒng)破壞，舟會使一 般系統(tǒng)的恢復(fù)非常困難和耗吋，導(dǎo)致業(yè)務(wù)系統(tǒng)長吋間的中斷（通過容災(zāi)系統(tǒng)來解決）。7. 正常的停機(jī)主要指計(jì)劃內(nèi)的系統(tǒng)升級、安裝軟件、系統(tǒng)備份等過程。由上可見，影響系統(tǒng)安全運(yùn)行的因素有很多，但是，導(dǎo)致的系統(tǒng)中斷完全可以通過創(chuàng) 建一個完整的安全疑略的來有效避免。系統(tǒng)安全不僅是一個單一的安全防范問題，也不可能一時完會解決，而是一個整體的、 全面的技術(shù)問題，同時安全也是一個長期的，動態(tài)的過程。因此我公司提出了在醫(yī)院建立全 網(wǎng)安全的概念。在了解安全需求的

4、基礎(chǔ)之上，從安全的規(guī)劃的角度看，應(yīng)遵循以下原則：安 全管理為本的原則、需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則，綜合性、整體性原則、適應(yīng)性及靈 活性原則，多重保護(hù)原則。當(dāng)今的很多系統(tǒng)集成商力圖做到全自運(yùn)化，對于信息安全問題能夠做到自動發(fā)現(xiàn)、自 動解決，。岀發(fā)點(diǎn)固然是不錯，希望方便用戶使用。但現(xiàn)實(shí)世界中的網(wǎng)絡(luò)安全問題太過復(fù)雜, 一切都是機(jī)器和程序搞左的想法有些不切合實(shí)際。我公司認(rèn)為：在保衛(wèi)系統(tǒng)安全的過程中人 應(yīng)該發(fā)揮人的能動性，做到主動出擊，而不是被動防御。居以上分析，我公司提岀以下全網(wǎng)安全的解決方案：第二章 服務(wù)器操作系統(tǒng)和數(shù)據(jù)安全方案第一節(jié)雙機(jī)容錯部分解決由于服務(wù)器枝件故障、計(jì)劃停機(jī)造成的服務(wù)器停機(jī)1

5、. 1方案說明確要建立高可用的計(jì)算機(jī)處理系統(tǒng)，首先，在硬件上，要做到務(wù)部件的冗余，多臺計(jì)算 機(jī)組成集群結(jié)構(gòu)，使整個系統(tǒng)不存在單點(diǎn)故障：此外，還需要有專門的集群軟件來進(jìn)行管理 和監(jiān)控，使得應(yīng)用系統(tǒng)在任何軟硬件單元發(fā)生故障時，能夠穩(wěn)圧可靠地運(yùn)行。此外，在高可 用系統(tǒng)設(shè)計(jì)時，還需考慮下述關(guān)鍵點(diǎn)：應(yīng)用系統(tǒng)，主機(jī)/部件間的切換是非對用戶透明？故障發(fā)生時，是否需要人為干預(yù)？切換的速度如何？配置是否簡單方便，易于管理？與操作系統(tǒng)、應(yīng)用程序是否能密切配合？1.2雙機(jī)容錯部分構(gòu)成例如：ROSE HA FOR WIN2003SERVER 容錯軟件HP公司的F200磁盤陣列系統(tǒng)HPDL580G4 兩臺1.3方案簡介

6、系統(tǒng)以WN2003為平臺，F(xiàn)200磁盤陣列及ROSE HA軟件為核心，常用數(shù)據(jù)庫及網(wǎng)絡(luò) 數(shù)據(jù)存放在磁盤陣列中，兩臺服務(wù)器只安裝本地系統(tǒng)文件及ROSE HA軟件，并作一主一從 的熱備方式。當(dāng)系統(tǒng)啟動后：Rose HA首先啟動HA manager管理程序，然后啟動必要的 服務(wù)和代理程序來監(jiān)控和管理系統(tǒng)服務(wù)。HA代理程序通過RS232或?qū)Ｓ镁W(wǎng)絡(luò)適配器來監(jiān) 控、監(jiān)測、診斷和管理硬件、軟件服務(wù)。當(dāng)ROSE HA代理程序監(jiān)測到某個服務(wù)或硬件發(fā)生故障并作相應(yīng)處理后（可由用戶設(shè) 泄）仍不能成功時，則開始切換服務(wù)：將IP飄移到相同用戶名的列一臺Standby服務(wù)器上, 磁盤陣列中的數(shù)據(jù)庫由主服務(wù)器切換到從服務(wù)器

7、，并恢復(fù)所有的服務(wù)功能。完成整個切換過 程，平均時間為40秒，此時系統(tǒng)又進(jìn)入初始狀態(tài)。1. 4系統(tǒng)特點(diǎn)>硬件結(jié)合實(shí)現(xiàn)真正意義上的數(shù)據(jù)與系統(tǒng)分離。>對硬件配置要求不高，服務(wù)器可采用不同或相差較大的配巻。> 系統(tǒng)切換時間短，平均切換時間為30秒，為目前同類軟件中最短。> 系統(tǒng)效率髙。因?yàn)檎麄€系統(tǒng)中數(shù)據(jù)讀寫、管理及容錯由磁盤陣列來完成。而系 統(tǒng)從服務(wù)器故障糾錯處理由HA軟件來完成，而這兩個都是相對獨(dú)立的子系統(tǒng)。雙機(jī)容 錯監(jiān)控路徑為和RS232線路或10/100M自適應(yīng)網(wǎng)卡線路，既不占用主機(jī)CPU資源也 不占用基礎(chǔ)網(wǎng)絡(luò)帶寬，因此系統(tǒng)效率高，這一點(diǎn)在實(shí)際的應(yīng)用中得到用戶的一致好評

8、.1. 5切換實(shí)例在本例中，兩臺應(yīng)用服務(wù)器分別運(yùn)行ORACLE SERVER數(shù)據(jù)庫。數(shù)據(jù)庫的數(shù)據(jù)存放在形成 鏡像的兩臺磁盤陣列中。ROSE HA通過ORACLE Server Agent監(jiān)控SQL數(shù)扌居庫的運(yùn)行狀況。當(dāng)主服務(wù)器發(fā)生意外故障時，ROSE HA ORACLE Database Agent會監(jiān)控到故障情況。通 過心跳線協(xié)議，ROSE HA會將數(shù)據(jù)庫數(shù)據(jù)切換到備用機(jī)上。切換后，ROSE HA可以檢測數(shù)據(jù) 的同步情況，如果數(shù)據(jù)正確無誤,ROSE HA將啟動上層的數(shù)據(jù)庫和應(yīng)用服務(wù)。第二節(jié)遠(yuǎn)程備份、恢復(fù)方案解決由于機(jī)房失火、雷擊、失竊等機(jī)房的意外原因造成的數(shù)據(jù)丟失2. 1系統(tǒng)構(gòu)成備份軟件:V

9、ERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER 中文版 備份服務(wù)器：醫(yī)院淘汰下來的服務(wù)器即可備份設(shè)備：建議醫(yī)院購買磁帶庫或SATA磁盤陣列柜備份目標(biāo)：HIS服務(wù)器和市醫(yī)保服務(wù)器、財(cái)務(wù)科服務(wù)器和0 A服務(wù)器等2. 2備份策略備份策略的好壞，決左恢復(fù)的速度與質(zhì)量，我們制定備份策略如下：災(zāi)難恢復(fù)啟動光盤+系統(tǒng)完全備份+數(shù)據(jù)庫完全備份+數(shù)據(jù)庫差別備份+數(shù)據(jù)庫日志備份災(zāi)難恢復(fù)啟動光盤：當(dāng)硬件有重大改到時重做。（可以快速的恢復(fù)操作系統(tǒng)，并且在恢復(fù)過程中不用操作系統(tǒng)安裝盤）系統(tǒng)完全備份：每月的系統(tǒng)完全備份數(shù)據(jù)庫完全備份：每周日的數(shù)據(jù)庫完全備份數(shù)據(jù)庫差別備份：每

10、8小時的數(shù)據(jù)庫差別備份數(shù)據(jù)庫日志備份：每5分鐘的日志備份策略評價(jià)：優(yōu)點(diǎn)：備份速度快，恢復(fù)快并且是自動化，可保留二年數(shù)據(jù)備份。2. 3）恢復(fù)策略一）假泄：當(dāng)機(jī)房失火或雷擊造成雙機(jī)系統(tǒng)的服務(wù)器硬件徹底損壞恢復(fù)過程如下：< 1） 恢復(fù)本周周日的數(shù)據(jù)庫完全備份到遠(yuǎn)程備份服務(wù)器上，大約5分鐘（2）恢復(fù)本周日全備后的最近一次差別備份到遠(yuǎn)程備份服務(wù)器上，大約2分鐘（3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘（4）修改客戶端的INI或配宜文件的SERVERNAME的值為遠(yuǎn)程備份服務(wù)器的名字，大約1-15分鐘。（如果客H端程序在服務(wù)器上會快一些。）這樣可以保證客戶端運(yùn)行間斷不超過30分鐘，數(shù)據(jù)

11、丟失不超過5分鐘"二）假定：雙機(jī)系統(tǒng)中的磁盤陣列柜損壞，如控制器損壞"恢復(fù)過程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫完全備份到主服務(wù)本地硬盤上，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份到主服務(wù)本地硬盤上，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）修改主服務(wù)器本地磁盤盤符，重新啟動SQL服務(wù)，大約2分鐘5）修改客戶端的INI或配置文件的SERVERNAME的值為主服務(wù)務(wù)器的劃字，大 約1-15分鐘。（如果客戶端程序在服務(wù)器上會快一些。） 這樣可以保證客戶端運(yùn)行間斷不超過37分鐘，數(shù)據(jù)丟失不超過5分鐘。三）假定：正在使用數(shù)據(jù)庫置疑或被誤刪除，也就是

12、說數(shù)據(jù)庫文件損壞，而數(shù)據(jù)庫服務(wù)沒 有停止?；謴?fù)過程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫完全備份，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）恢復(fù)活動日志（如果數(shù)據(jù)庫文件還存在的話）大約2分鐘。這樣可以保證客戶端運(yùn)行間斷不超過34分鐘，數(shù)據(jù)丟失不超過5分鐘，或者數(shù)據(jù) 一點(diǎn)也不丟失。四）假定：雙機(jī)系統(tǒng)中的主服務(wù)器或備服務(wù)器其中一臺的操作系統(tǒng)盤損壞，而陣列柜的硬 盤沒有問題。恢復(fù)過程如下：1）用系統(tǒng)恢復(fù)光盤恢復(fù)操作系統(tǒng)+上個月的系統(tǒng)全備。大約30分鐘左右?？蛻舳瞬皇苡绊?。數(shù)據(jù)不丟失。雙機(jī)容錯和遠(yuǎn)程備份網(wǎng)絡(luò)示意圖HIS服務(wù)器HIS

13、服務(wù)器市醫(yī)保服務(wù)器0A服務(wù)器磁盤陣列柜反病毒控制中心0磁盤柜或帶庫遠(yuǎn)程備份服務(wù)器財(cái)務(wù)科數(shù)據(jù)第三節(jié)服務(wù)器應(yīng)用層防火墻解決來自內(nèi)部網(wǎng)絡(luò)攻擊問題3. 1系統(tǒng)構(gòu)成WIN2003應(yīng)用層防火墻：微軟ISA2006中文版保護(hù)目標(biāo)：醫(yī)院所有WIN2003服務(wù)器不受內(nèi)部攻擊3. 1方案說明在防火墻上配宜安全的策略，女口：僅開放指泄的端口和應(yīng)用，如：HIS服務(wù)器只允許ORACLE服務(wù)交換數(shù)據(jù)等。3. 2對防火墻的攻擊測試當(dāng)防火墻安裝完裝后，可以模擬攻擊，如：Smurf和Land-based、Ping of DeathSyn Flood和DoS攻擊等，分析防火墻抗攻擊能力。1. 3經(jīng)常分析防火墻日志為防火墻指泄一個

14、日志服務(wù)器，在正常使用防火墻后，要經(jīng)常查看、分析日志，看看有沒有異常的連接請求和異常的數(shù)據(jù)包通過防火墻分析日志的內(nèi)容應(yīng)包括：（1） 檢査日期和時間（2）跟蹤客戶端IP地址（3）檢查用戶請求的路徑和文件（4）了解訪問狀態(tài)（代碼）（5）檢查用戶代理（6）査看訪問源頭第二章網(wǎng)絡(luò)安全方案第一節(jié) VLA邏輯隔離各個使用區(qū)VLAN劃分邏輯示意圖1型擺流方問1. 1方案說明使用交換機(jī)的VLAN的功能，邏輯的把醫(yī)院的網(wǎng)絡(luò)劃分為5個部分，每個部分分 別屬于不同的I P網(wǎng)段，各個網(wǎng)段通過3層路由根據(jù)路由策略和防火墻策略（應(yīng)用 層防火墻）交換數(shù)據(jù)。各個部分的功能如下：HIS服務(wù)器區(qū)放置HIS、PACS、LIS服務(wù)器

15、II I S客戶端區(qū)HIS客戶端醫(yī)保區(qū)市醫(yī)保服務(wù)器，省醫(yī)保路由器財(cái)務(wù)專用區(qū)財(cái)務(wù)科專用服務(wù)器和工作站公共區(qū)o A服務(wù)器，備份服務(wù)器，殺毒控制中心等。各個部分的訪問策略如下:HIS服務(wù)器區(qū)II I S客戶端區(qū) 醫(yī)保區(qū)財(cái)務(wù)專用區(qū) 公共區(qū)只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)程備份。 訪問公共區(qū)，II I S服務(wù)器區(qū)，和醫(yī)保區(qū)只能被訪問。只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)程備份。 只能被訪問。（配合防火墻策略）第二節(jié)外網(wǎng)防火墻系統(tǒng)構(gòu)成：思科防火墻保護(hù)目標(biāo)：阻止通過醫(yī)保網(wǎng)絡(luò)，來自其他醫(yī)院的攻擊。防火墻的作用：一是可以限制他人進(jìn)入和其他醫(yī)院通過醫(yī)保網(wǎng)絡(luò)進(jìn)入醫(yī)院內(nèi)部網(wǎng)絡(luò)，過濾掉不安全 服務(wù)和非法用戶；二是防止入

16、侵者接近你的防御設(shè)施；三是限定用戶訪問其他醫(yī)院服務(wù) 器：四是為監(jiān)視外網(wǎng)安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于 相對獨(dú)立的網(wǎng)絡(luò)，例如外網(wǎng)等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪 問的非常流行的方法。事實(shí)上，在外網(wǎng)上的服務(wù)器中，超過三分之一的服務(wù)器都是由某 種形式的防火墻加以保護(hù)，這是對黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，建議醫(yī)保服 務(wù)器都建議放在防火墻之后。第三節(jié)殺毒軟件在每臺接入網(wǎng)絡(luò)的電腦上安裝網(wǎng)絡(luò)版殺毒軟件，進(jìn)行統(tǒng)一升級，全網(wǎng)殺毒，并泄期更新病毒庫和殺毒引擎。第四節(jié)漏洞掃描和IDS /IPS使用漏洞掃描工具，對服務(wù)器和工作站以及交換設(shè)備進(jìn)行左期掃描，發(fā)現(xiàn)漏洞及

17、打上補(bǔ)丁和修復(fù)。第三章 客戶端安全方案PC接口安全解決方案一、用普通小鎖鎖住機(jī)箱，防止隨意打開機(jī)箱，拆卸、增加設(shè)備。二、給B 1 OS設(shè)安全密碼，防止任意進(jìn)入更改系統(tǒng)設(shè)置信息，（£ BIOS中將一些不使 用的設(shè)備關(guān)閉，如：串口，USB 口、軟驅(qū)接口，第二個IDE 口等三、操作系統(tǒng)中刪除有關(guān)于US B驅(qū)動和服務(wù)。客戶端權(quán)限分配方案方案描述：創(chuàng)建兩個用戶，一個用戶是超級用戸，另一個是普通用戶。超級用戶密碼由信息科管理，普 通用戶自動登錄到系統(tǒng)。利用策略編借器把沒用的服務(wù)、權(quán)限、設(shè)備關(guān)掉。如：共享權(quán)限，桌而屬性、網(wǎng)上鄰 居、USB接口。普通用戶不能安裝、卸載軟件，不能停止服務(wù)等。BIOS的

18、啟動，只允許C盤啟動，不允許從LAN、USB、CDROM等硬盤分成三個區(qū)系統(tǒng)區(qū)，數(shù)據(jù)區(qū)，備份區(qū)把盤式化成NTFS分區(qū)說明：普通用戶不能更改IP設(shè)宜、安全策略、停止或啟動服務(wù)等。IP安全訪問方案一、通過設(shè)定IP安全策略，設(shè)左岀站的端口，僅僅是1521 （ORACLE）,趨勢的殺毒軟 件端口，也就是說，工作站只能訪問數(shù)據(jù)庫服務(wù)器，不能訪問其它任何服務(wù)。如： HTTP, FTP, QQ等，更不可能上網(wǎng)。二、通過設(shè)泄IP安全策略，關(guān)閉ICMP等協(xié)議，設(shè)泄入站的端口僅僅為遠(yuǎn)程管理端口。 可以有效防止黑客、木馬及沖擊波等攻擊。說明:通過此設(shè)置，工作站不能上網(wǎng)，只能訪問服務(wù)器，也不能訪問別的電腦，也不能被別 的電腦訪問?？头诉h(yuǎn)程服務(wù)方案（中文版RAMIN）方案描述：為了更快的為客服端解決問題、減少管理員來回跑的次數(shù)，建議所