醫(yī)院網(wǎng)絡(luò)安全方案

1、構(gòu)筑醫(yī)院信息系統(tǒng)的全方位安全網(wǎng)絡(luò)第一章安全問(wèn)題分析隨著醫(yī)院信息化程度越來(lái)越高，伴隨而來(lái)的的安全問(wèn)題也日益突岀，尤其是隨著網(wǎng)絡(luò)規(guī) 模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用項(xiàng)目越來(lái)越豐富，涉及到的人員越來(lái)越來(lái)越龐雜，部署策略越來(lái)越 繁瑣，整個(gè)系統(tǒng)變得越復(fù)雜，醫(yī)院而對(duì)的安全風(fēng)險(xiǎn)也越來(lái)越大。如何有效地降低安全風(fēng)險(xiǎn)、 降低安全成本，安全的策略顯得尤為重要。醫(yī)院的HIS系統(tǒng)是關(guān)誕業(yè)務(wù)系統(tǒng)，需要系統(tǒng)不間 斷運(yùn)行。即使發(fā)生短暫的業(yè)務(wù)中斷，也會(huì)導(dǎo)致難以估量的經(jīng)濟(jì)和名譽(yù)損失。為此，我們分析 以下可能會(huì)導(dǎo)致業(yè)務(wù)系統(tǒng)中斷的原因：1. 服務(wù)器硬件故障如服務(wù)器的數(shù)據(jù)/系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問(wèn)，并進(jìn)而可能導(dǎo)致應(yīng)用進(jìn)程終止 或系統(tǒng)停機(jī)

2、，甚至系統(tǒng)不能重啟動(dòng)：網(wǎng)卡的損壞可使終端用戶無(wú)法訪問(wèn)系統(tǒng)服務(wù)：CPU或內(nèi) 存的失效則會(huì)導(dǎo)致系統(tǒng)的死機(jī)：2. 主干交換機(jī)或干線的故障如主干交換機(jī)死機(jī)、交換機(jī)配置出錯(cuò)、或干線線路出現(xiàn)意外故障。3. 數(shù)據(jù)庫(kù)服務(wù)、操作系統(tǒng)出錯(cuò)由于操作系統(tǒng)或數(shù)據(jù)庫(kù)服務(wù)器中可能存在不完蓮的地方、或者配置不得當(dāng)，當(dāng)碰到菜種激發(fā) 事件時(shí)，數(shù)據(jù)庫(kù)服務(wù)器非正常終止或系統(tǒng)崩潰；4. 人為錯(cuò)誤一些人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用服務(wù)進(jìn)程，也會(huì)導(dǎo)致系統(tǒng)服務(wù) 的無(wú)法訪問(wèn)；5. 電腦病毒/黑客入侵由于目前的鄭州市的很多醫(yī)院的計(jì)算機(jī)和省市醫(yī)院醫(yī)保聯(lián)網(wǎng)，無(wú)論是物理還是邏輯上都 是互通的，若缺少有效的防范機(jī)制，很容易遭受病毒的

3、感染或者黑客的入侵，輕者數(shù)據(jù)被損 壞，系統(tǒng)數(shù)據(jù)被重者系統(tǒng)癱瘓：6. 自然災(zāi)害由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計(jì)算機(jī)系統(tǒng)破壞，舟會(huì)使一 般系統(tǒng)的恢復(fù)非常困難和耗吋，導(dǎo)致業(yè)務(wù)系統(tǒng)長(zhǎng)吋間的中斷（通過(guò)容災(zāi)系統(tǒng)來(lái)解決）。7. 正常的停機(jī)主要指計(jì)劃內(nèi)的系統(tǒng)升級(jí)、安裝軟件、系統(tǒng)備份等過(guò)程。由上可見(jiàn)，影響系統(tǒng)安全運(yùn)行的因素有很多，但是，導(dǎo)致的系統(tǒng)中斷完全可以通過(guò)創(chuàng) 建一個(gè)完整的安全疑略的來(lái)有效避免。系統(tǒng)安全不僅是一個(gè)單一的安全防范問(wèn)題，也不可能一時(shí)完會(huì)解決，而是一個(gè)整體的、 全面的技術(shù)問(wèn)題，同時(shí)安全也是一個(gè)長(zhǎng)期的，動(dòng)態(tài)的過(guò)程。因此我公司提出了在醫(yī)院建立全 網(wǎng)安全的概念。在了解安全需求的

4、基礎(chǔ)之上，從安全的規(guī)劃的角度看，應(yīng)遵循以下原則：安 全管理為本的原則、需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則，綜合性、整體性原則、適應(yīng)性及靈 活性原則，多重保護(hù)原則。當(dāng)今的很多系統(tǒng)集成商力圖做到全自運(yùn)化，對(duì)于信息安全問(wèn)題能夠做到自動(dòng)發(fā)現(xiàn)、自 動(dòng)解決，。岀發(fā)點(diǎn)固然是不錯(cuò)，希望方便用戶使用。但現(xiàn)實(shí)世界中的網(wǎng)絡(luò)安全問(wèn)題太過(guò)復(fù)雜, 一切都是機(jī)器和程序搞左的想法有些不切合實(shí)際。我公司認(rèn)為：在保衛(wèi)系統(tǒng)安全的過(guò)程中人 應(yīng)該發(fā)揮人的能動(dòng)性，做到主動(dòng)出擊，而不是被動(dòng)防御。居以上分析，我公司提岀以下全網(wǎng)安全的解決方案：第二章 服務(wù)器操作系統(tǒng)和數(shù)據(jù)安全方案第一節(jié)雙機(jī)容錯(cuò)部分解決由于服務(wù)器枝件故障、計(jì)劃停機(jī)造成的服務(wù)器停機(jī)1

5、. 1方案說(shuō)明確要建立高可用的計(jì)算機(jī)處理系統(tǒng)，首先，在硬件上，要做到務(wù)部件的冗余，多臺(tái)計(jì)算 機(jī)組成集群結(jié)構(gòu)，使整個(gè)系統(tǒng)不存在單點(diǎn)故障：此外，還需要有專門的集群軟件來(lái)進(jìn)行管理 和監(jiān)控，使得應(yīng)用系統(tǒng)在任何軟硬件單元發(fā)生故障時(shí)，能夠穩(wěn)圧可靠地運(yùn)行。此外，在高可 用系統(tǒng)設(shè)計(jì)時(shí)，還需考慮下述關(guān)鍵點(diǎn)：應(yīng)用系統(tǒng)，主機(jī)/部件間的切換是非對(duì)用戶透明？故障發(fā)生時(shí)，是否需要人為干預(yù)？切換的速度如何？配置是否簡(jiǎn)單方便，易于管理？與操作系統(tǒng)、應(yīng)用程序是否能密切配合？1.2雙機(jī)容錯(cuò)部分構(gòu)成例如：ROSE HA FOR WIN2003SERVER 容錯(cuò)軟件HP公司的F200磁盤陣列系統(tǒng)HPDL580G4 兩臺(tái)1.3方案簡(jiǎn)介

6、系統(tǒng)以WN2003為平臺(tái)，F(xiàn)200磁盤陣列及ROSE HA軟件為核心，常用數(shù)據(jù)庫(kù)及網(wǎng)絡(luò) 數(shù)據(jù)存放在磁盤陣列中，兩臺(tái)服務(wù)器只安裝本地系統(tǒng)文件及ROSE HA軟件，并作一主一從 的熱備方式。當(dāng)系統(tǒng)啟動(dòng)后：Rose HA首先啟動(dòng)HA manager管理程序，然后啟動(dòng)必要的 服務(wù)和代理程序來(lái)監(jiān)控和管理系統(tǒng)服務(wù)。HA代理程序通過(guò)RS232或?qū)Ｓ镁W(wǎng)絡(luò)適配器來(lái)監(jiān) 控、監(jiān)測(cè)、診斷和管理硬件、軟件服務(wù)。當(dāng)ROSE HA代理程序監(jiān)測(cè)到某個(gè)服務(wù)或硬件發(fā)生故障并作相應(yīng)處理后（可由用戶設(shè) 泄）仍不能成功時(shí)，則開(kāi)始切換服務(wù)：將IP飄移到相同用戶名的列一臺(tái)Standby服務(wù)器上, 磁盤陣列中的數(shù)據(jù)庫(kù)由主服務(wù)器切換到從服務(wù)器

7、，并恢復(fù)所有的服務(wù)功能。完成整個(gè)切換過(guò) 程，平均時(shí)間為40秒，此時(shí)系統(tǒng)又進(jìn)入初始狀態(tài)。1. 4系統(tǒng)特點(diǎn)>硬件結(jié)合實(shí)現(xiàn)真正意義上的數(shù)據(jù)與系統(tǒng)分離。>對(duì)硬件配置要求不高，服務(wù)器可采用不同或相差較大的配巻。> 系統(tǒng)切換時(shí)間短，平均切換時(shí)間為30秒，為目前同類軟件中最短。> 系統(tǒng)效率髙。因?yàn)檎麄€(gè)系統(tǒng)中數(shù)據(jù)讀寫、管理及容錯(cuò)由磁盤陣列來(lái)完成。而系 統(tǒng)從服務(wù)器故障糾錯(cuò)處理由HA軟件來(lái)完成，而這兩個(gè)都是相對(duì)獨(dú)立的子系統(tǒng)。雙機(jī)容 錯(cuò)監(jiān)控路徑為和RS232線路或10/100M自適應(yīng)網(wǎng)卡線路，既不占用主機(jī)CPU資源也 不占用基礎(chǔ)網(wǎng)絡(luò)帶寬，因此系統(tǒng)效率高，這一點(diǎn)在實(shí)際的應(yīng)用中得到用戶的一致好評(píng)

8、.1. 5切換實(shí)例在本例中，兩臺(tái)應(yīng)用服務(wù)器分別運(yùn)行ORACLE SERVER數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)的數(shù)據(jù)存放在形成 鏡像的兩臺(tái)磁盤陣列中。ROSE HA通過(guò)ORACLE Server Agent監(jiān)控SQL數(shù)扌居庫(kù)的運(yùn)行狀況。當(dāng)主服務(wù)器發(fā)生意外故障時(shí)，ROSE HA ORACLE Database Agent會(huì)監(jiān)控到故障情況。通 過(guò)心跳線協(xié)議，ROSE HA會(huì)將數(shù)據(jù)庫(kù)數(shù)據(jù)切換到備用機(jī)上。切換后，ROSE HA可以檢測(cè)數(shù)據(jù) 的同步情況，如果數(shù)據(jù)正確無(wú)誤,ROSE HA將啟動(dòng)上層的數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)。第二節(jié)遠(yuǎn)程備份、恢復(fù)方案解決由于機(jī)房失火、雷擊、失竊等機(jī)房的意外原因造成的數(shù)據(jù)丟失2. 1系統(tǒng)構(gòu)成備份軟件:V

9、ERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER 中文版 備份服務(wù)器：醫(yī)院淘汰下來(lái)的服務(wù)器即可備份設(shè)備：建議醫(yī)院購(gòu)買磁帶庫(kù)或SATA磁盤陣列柜備份目標(biāo)：HIS服務(wù)器和市醫(yī)保服務(wù)器、財(cái)務(wù)科服務(wù)器和0 A服務(wù)器等2. 2備份策略備份策略的好壞，決左恢復(fù)的速度與質(zhì)量，我們制定備份策略如下：災(zāi)難恢復(fù)啟動(dòng)光盤+系統(tǒng)完全備份+數(shù)據(jù)庫(kù)完全備份+數(shù)據(jù)庫(kù)差別備份+數(shù)據(jù)庫(kù)日志備份災(zāi)難恢復(fù)啟動(dòng)光盤：當(dāng)硬件有重大改到時(shí)重做。（可以快速的恢復(fù)操作系統(tǒng)，并且在恢復(fù)過(guò)程中不用操作系統(tǒng)安裝盤）系統(tǒng)完全備份：每月的系統(tǒng)完全備份數(shù)據(jù)庫(kù)完全備份：每周日的數(shù)據(jù)庫(kù)完全備份數(shù)據(jù)庫(kù)差別備份：每

10、8小時(shí)的數(shù)據(jù)庫(kù)差別備份數(shù)據(jù)庫(kù)日志備份：每5分鐘的日志備份策略評(píng)價(jià)：優(yōu)點(diǎn)：備份速度快，恢復(fù)快并且是自動(dòng)化，可保留二年數(shù)據(jù)備份。2. 3）恢復(fù)策略一）假泄：當(dāng)機(jī)房失火或雷擊造成雙機(jī)系統(tǒng)的服務(wù)器硬件徹底損壞恢復(fù)過(guò)程如下：< 1） 恢復(fù)本周周日的數(shù)據(jù)庫(kù)完全備份到遠(yuǎn)程備份服務(wù)器上，大約5分鐘（2）恢復(fù)本周日全備后的最近一次差別備份到遠(yuǎn)程備份服務(wù)器上，大約2分鐘（3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘（4）修改客戶端的INI或配宜文件的SERVERNAME的值為遠(yuǎn)程備份服務(wù)器的名字，大約1-15分鐘。（如果客H端程序在服務(wù)器上會(huì)快一些。）這樣可以保證客戶端運(yùn)行間斷不超過(guò)30分鐘，數(shù)據(jù)

11、丟失不超過(guò)5分鐘"二）假定：雙機(jī)系統(tǒng)中的磁盤陣列柜損壞，如控制器損壞"恢復(fù)過(guò)程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫(kù)完全備份到主服務(wù)本地硬盤上，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份到主服務(wù)本地硬盤上，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）修改主服務(wù)器本地磁盤盤符，重新啟動(dòng)SQL服務(wù)，大約2分鐘5）修改客戶端的INI或配置文件的SERVERNAME的值為主服務(wù)務(wù)器的劃字，大 約1-15分鐘。（如果客戶端程序在服務(wù)器上會(huì)快一些。） 這樣可以保證客戶端運(yùn)行間斷不超過(guò)37分鐘，數(shù)據(jù)丟失不超過(guò)5分鐘。三）假定：正在使用數(shù)據(jù)庫(kù)置疑或被誤刪除，也就是

12、說(shuō)數(shù)據(jù)庫(kù)文件損壞，而數(shù)據(jù)庫(kù)服務(wù)沒(méi) 有停止。恢復(fù)過(guò)程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫(kù)完全備份，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）恢復(fù)活動(dòng)日志（如果數(shù)據(jù)庫(kù)文件還存在的話）大約2分鐘。這樣可以保證客戶端運(yùn)行間斷不超過(guò)34分鐘，數(shù)據(jù)丟失不超過(guò)5分鐘，或者數(shù)據(jù) 一點(diǎn)也不丟失。四）假定：雙機(jī)系統(tǒng)中的主服務(wù)器或備服務(wù)器其中一臺(tái)的操作系統(tǒng)盤損壞，而陣列柜的硬 盤沒(méi)有問(wèn)題。恢復(fù)過(guò)程如下：1）用系統(tǒng)恢復(fù)光盤恢復(fù)操作系統(tǒng)+上個(gè)月的系統(tǒng)全備。大約30分鐘左右?？蛻舳瞬皇苡绊?。數(shù)據(jù)不丟失。雙機(jī)容錯(cuò)和遠(yuǎn)程備份網(wǎng)絡(luò)示意圖HIS服務(wù)器HIS

13、服務(wù)器市醫(yī)保服務(wù)器0A服務(wù)器磁盤陣列柜反病毒控制中心0磁盤柜或帶庫(kù)遠(yuǎn)程備份服務(wù)器財(cái)務(wù)科數(shù)據(jù)第三節(jié)服務(wù)器應(yīng)用層防火墻解決來(lái)自內(nèi)部網(wǎng)絡(luò)攻擊問(wèn)題3. 1系統(tǒng)構(gòu)成WIN2003應(yīng)用層防火墻：微軟ISA2006中文版保護(hù)目標(biāo)：醫(yī)院所有WIN2003服務(wù)器不受內(nèi)部攻擊3. 1方案說(shuō)明在防火墻上配宜安全的策略，女口：僅開(kāi)放指泄的端口和應(yīng)用，如：HIS服務(wù)器只允許ORACLE服務(wù)交換數(shù)據(jù)等。3. 2對(duì)防火墻的攻擊測(cè)試當(dāng)防火墻安裝完裝后，可以模擬攻擊，如：Smurf和Land-based、Ping of DeathSyn Flood和DoS攻擊等，分析防火墻抗攻擊能力。1. 3經(jīng)常分析防火墻日志為防火墻指泄一個(gè)

14、日志服務(wù)器，在正常使用防火墻后，要經(jīng)常查看、分析日志，看看有沒(méi)有異常的連接請(qǐng)求和異常的數(shù)據(jù)包通過(guò)防火墻分析日志的內(nèi)容應(yīng)包括：（1） 檢査日期和時(shí)間（2）跟蹤客戶端IP地址（3）檢查用戶請(qǐng)求的路徑和文件（4）了解訪問(wèn)狀態(tài)（代碼）（5）檢查用戶代理（6）査看訪問(wèn)源頭第二章網(wǎng)絡(luò)安全方案第一節(jié) VLA邏輯隔離各個(gè)使用區(qū)VLAN劃分邏輯示意圖1型擺流方問(wèn)1. 1方案說(shuō)明使用交換機(jī)的VLAN的功能，邏輯的把醫(yī)院的網(wǎng)絡(luò)劃分為5個(gè)部分，每個(gè)部分分 別屬于不同的I P網(wǎng)段，各個(gè)網(wǎng)段通過(guò)3層路由根據(jù)路由策略和防火墻策略（應(yīng)用 層防火墻）交換數(shù)據(jù)。各個(gè)部分的功能如下：HIS服務(wù)器區(qū)放置HIS、PACS、LIS服務(wù)器

15、II I S客戶端區(qū)HIS客戶端醫(yī)保區(qū)市醫(yī)保服務(wù)器，省醫(yī)保路由器財(cái)務(wù)專用區(qū)財(cái)務(wù)科專用服務(wù)器和工作站公共區(qū)o A服務(wù)器，備份服務(wù)器，殺毒控制中心等。各個(gè)部分的訪問(wèn)策略如下:HIS服務(wù)器區(qū)II I S客戶端區(qū) 醫(yī)保區(qū)財(cái)務(wù)專用區(qū) 公共區(qū)只能訪問(wèn)公共區(qū)，用來(lái)升級(jí)病毒庫(kù)和遠(yuǎn)程備份。 訪問(wèn)公共區(qū)，II I S服務(wù)器區(qū)，和醫(yī)保區(qū)只能被訪問(wèn)。只能訪問(wèn)公共區(qū)，用來(lái)升級(jí)病毒庫(kù)和遠(yuǎn)程備份。 只能被訪問(wèn)。（配合防火墻策略）第二節(jié)外網(wǎng)防火墻系統(tǒng)構(gòu)成：思科防火墻保護(hù)目標(biāo)：阻止通過(guò)醫(yī)保網(wǎng)絡(luò)，來(lái)自其他醫(yī)院的攻擊。防火墻的作用：一是可以限制他人進(jìn)入和其他醫(yī)院通過(guò)醫(yī)保網(wǎng)絡(luò)進(jìn)入醫(yī)院內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全 服務(wù)和非法用戶；二是防止入

16、侵者接近你的防御設(shè)施；三是限定用戶訪問(wèn)其他醫(yī)院服務(wù) 器：四是為監(jiān)視外網(wǎng)安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于 相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如外網(wǎng)等種類相對(duì)集中的網(wǎng)絡(luò)。防火墻正在成為控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪 問(wèn)的非常流行的方法。事實(shí)上，在外網(wǎng)上的服務(wù)器中，超過(guò)三分之一的服務(wù)器都是由某 種形式的防火墻加以保護(hù)，這是對(duì)黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，建議醫(yī)保服 務(wù)器都建議放在防火墻之后。第三節(jié)殺毒軟件在每臺(tái)接入網(wǎng)絡(luò)的電腦上安裝網(wǎng)絡(luò)版殺毒軟件，進(jìn)行統(tǒng)一升級(jí)，全網(wǎng)殺毒，并泄期更新病毒庫(kù)和殺毒引擎。第四節(jié)漏洞掃描和IDS /IPS使用漏洞掃描工具，對(duì)服務(wù)器和工作站以及交換設(shè)備進(jìn)行左期掃描，發(fā)現(xiàn)漏洞及

17、打上補(bǔ)丁和修復(fù)。第三章 客戶端安全方案PC接口安全解決方案一、用普通小鎖鎖住機(jī)箱，防止隨意打開(kāi)機(jī)箱，拆卸、增加設(shè)備。二、給B 1 OS設(shè)安全密碼，防止任意進(jìn)入更改系統(tǒng)設(shè)置信息，（£ BIOS中將一些不使 用的設(shè)備關(guān)閉，如：串口，USB 口、軟驅(qū)接口，第二個(gè)IDE 口等三、操作系統(tǒng)中刪除有關(guān)于US B驅(qū)動(dòng)和服務(wù)?？蛻舳藱?quán)限分配方案方案描述：創(chuàng)建兩個(gè)用戶，一個(gè)用戶是超級(jí)用戸，另一個(gè)是普通用戶。超級(jí)用戶密碼由信息科管理，普 通用戶自動(dòng)登錄到系統(tǒng)。利用策略編借器把沒(méi)用的服務(wù)、權(quán)限、設(shè)備關(guān)掉。如：共享權(quán)限，桌而屬性、網(wǎng)上鄰 居、USB接口。普通用戶不能安裝、卸載軟件，不能停止服務(wù)等。BIOS的

18、啟動(dòng)，只允許C盤啟動(dòng)，不允許從LAN、USB、CDROM等硬盤分成三個(gè)區(qū)系統(tǒng)區(qū)，數(shù)據(jù)區(qū)，備份區(qū)把盤式化成NTFS分區(qū)說(shuō)明：普通用戶不能更改IP設(shè)宜、安全策略、停止或啟動(dòng)服務(wù)等。IP安全訪問(wèn)方案一、通過(guò)設(shè)定IP安全策略，設(shè)左岀站的端口，僅僅是1521 （ORACLE）,趨勢(shì)的殺毒軟 件端口，也就是說(shuō)，工作站只能訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，不能訪問(wèn)其它任何服務(wù)。如： HTTP, FTP, QQ等，更不可能上網(wǎng)。二、通過(guò)設(shè)泄IP安全策略，關(guān)閉ICMP等協(xié)議，設(shè)泄入站的端口僅僅為遠(yuǎn)程管理端口。 可以有效防止黑客、木馬及沖擊波等攻擊。說(shuō)明:通過(guò)此設(shè)置，工作站不能上網(wǎng)，只能訪問(wèn)服務(wù)器，也不能訪問(wèn)別的電腦，也不能被別 的電腦訪問(wèn)?？头诉h(yuǎn)程服務(wù)方案（中文版RAMIN）方案描述：為了更快的為客服端解決問(wèn)題、減少管理員來(lái)回跑的次數(shù)，建議所