最新安全基線與配置核查技術(shù)與方法課件

1、安全基線與配置核查技術(shù)與方法目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)2最早的安全基線安全基線最早可以追溯到上個實際的六十年代美國軍服保密制度，九十年代初期等級保護立法成為國家法律。1991年歐共體發(fā)布了信息安全評估標(biāo)準(zhǔn)（ITSEC），1999年正式列為國際標(biāo)準(zhǔn)系列ITSEC主要提出了資產(chǎn)的CIA三性：機密性、完整性、可用性的安全屬性，對國際信息安全研發(fā)產(chǎn)生了重要影響，并一直沿用至今。國內(nèi)的安全基線發(fā)展1994年，我國首次頒布中華人民共和國計算機信息系統(tǒng)安全保護條例1999年推出計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則2007年，信息安全等級保護管理

2、辦法，GB/T22239-2008“基本要求”和GB/T28448-2012“測評要求”2010年，公安部發(fā)布關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知，覺得在全國部署開展信息安全等保測評工作。安全基線的發(fā)展歷程3安全運維的困境二老大，這是上個月的報告。系統(tǒng)有X個高危漏洞，Y個配置問題。當(dāng)前的系統(tǒng)到底是安全還是不安全呢？最近一次的安全整改到底有沒有效果呢？安全狀況同比和環(huán)比有什么變化呢？以上問題我們通過什么方式驗證呢？問題分析我們忽略了什么數(shù)據(jù)庫、中間件是支持業(yè)務(wù)的重要組件，是不是都按照默認(rèn)配置，使用出廠設(shè)置，這些配置是否適用于我們企業(yè)的安全要求，如何發(fā)現(xiàn)潛在的風(fēng)險呢？為了保

3、證業(yè)務(wù)安全，信息系統(tǒng)及數(shù)據(jù)安全，我們部署了很多安全設(shè)備，防火墻、入侵檢測、網(wǎng)絡(luò)設(shè)備、審計系統(tǒng)、安全平臺等等，那么這些安全設(shè)備的自身安全誰來管理呢，端口、進程、帳號安全？目前我們的關(guān)注點是保證業(yè)務(wù)安全、數(shù)據(jù)安全，但所有系統(tǒng)平臺的支撐最終還是落實到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支撐才安全目前我們的關(guān)注點是保證業(yè)務(wù)安全、數(shù)據(jù)安全，但所有系統(tǒng)平臺的支撐最終還是落實到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支撐才安全誰來關(guān)注它們的安全安全基線能給煙草用戶帶來什么能夠及時發(fā)現(xiàn)當(dāng)前業(yè)務(wù)應(yīng)用系統(tǒng)所面臨的安全問題并可以提供有效的解決辦法可以成為用戶對業(yè)務(wù)系統(tǒng)進行等級合規(guī)的有力檢查和合規(guī)工具，出具符合國家局要求的合規(guī)檢查報告依據(jù)等保和

4、“三全”的要求進行自動化檢查（71個指標(biāo)項的檢查要求，35個技術(shù)指標(biāo)，36個管理類，共計380項）安全技術(shù)物理安全物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護網(wǎng)絡(luò)安全結(jié)構(gòu)安全訪問控制安全審計入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護主機安全身份鑒別訪問控制安全審計剩余信息保護入侵防范惡意代碼防范資源控制應(yīng)用安全身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性抗抵賴軟件容錯資源控制數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)安全管理安全管理制度管理制度制訂和發(fā)布評審和修訂安全管理機構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員安全管理人員錄

5、用人員離崗人員考核安全意識教育和培訓(xùn)外部人員訪問管理系統(tǒng)建設(shè)管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測評系統(tǒng)運維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理計算機應(yīng)用管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全基線與配置核查目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)13目標(biāo)業(yè)務(wù)系統(tǒng)支持業(yè)務(wù)所需要的支撐系統(tǒng)及應(yīng)用軟件，例如：Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系統(tǒng)及一些設(shè)備，例如：Wind

6、owsLinux、交換路由設(shè)備、防火墻設(shè)備業(yè)務(wù)層支撐支撐層系統(tǒng)實現(xiàn)層什么是安全基線工具安全基線 的根本目的是保障業(yè)務(wù)系統(tǒng)的安全，使業(yè)務(wù)系統(tǒng)的風(fēng)險維持在可控范圍內(nèi)，為了避免人為疏忽或錯誤，或使用默認(rèn)的安全配置，給業(yè)務(wù)系統(tǒng)安全造成風(fēng)險，而制定安全檢查標(biāo)準(zhǔn)，并且采取必要的安全檢查措施，使業(yè)務(wù)系統(tǒng)達到相對的安全指標(biāo)要求。安全基線檢查工具是采用技術(shù)手段，自動完成安全配置檢查的產(chǎn)品，并提供詳盡的解決方案。安全基線與漏洞的區(qū)別同屬于掃描類產(chǎn)品，同屬主動安全范疇，主動安全的核心是弱點管理，弱點有兩類：漏洞：系統(tǒng)自身固有的安全問題，軟硬件BUG配置缺陷：也叫暴露，一般是配置方面的錯誤，并會被攻擊者利用 相同點來

7、源不同漏洞：系統(tǒng)自身固有的安全問題，軟硬件BUG，是供應(yīng)商的 技術(shù)問題，用戶是無法控制的，與生俱來的配置缺陷：配置是客戶自身的管理問題，配置不當(dāng)，主要包括 了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容檢查方式不同漏洞：黑盒掃描配置缺陷：白盒掃描 不同點安全基線的分類 基線體系Base Line組織機構(gòu)其它人與技術(shù)標(biāo)準(zhǔn)策略16對比調(diào)研優(yōu)化篩選對比篩選調(diào)研對比各地區(qū)、行業(yè)內(nèi)及安全廠商多年實踐的基線規(guī)范。篩選出各自基線規(guī)范中的不同點。結(jié)合實際情況，使用反饋，對現(xiàn)有資產(chǎn)的梳理，自定義。優(yōu)化結(jié)合業(yè)務(wù)特點做局部調(diào)整，完善。安全基線規(guī)范梳理的方法論ITIL、ISO27001、三全標(biāo)準(zhǔn)建立安全基線是系統(tǒng)安全運

8、維第一步建立信息系統(tǒng)的安全基線，包括系統(tǒng)安全配置以及重要信息，如：服務(wù)、進程、端口、帳號等。安全基線建立的原則是：符合設(shè)備特點生產(chǎn)廠商、上線年限、性能上限、硬件老化適應(yīng)系統(tǒng)特性部署方式和位置、分布能力、存儲能力滿足業(yè)務(wù)需求主要業(yè)務(wù)需求建立合理的安全基線體系18建立安全基線的管理體系的必要性首先根據(jù)組織狀況，建立一套在當(dāng)前時期或一段時期內(nèi)的“理想化的綜合基線指標(biāo)”，即“基線體系”。這個“基線體系”可以同時包含政策合規(guī)性的需求、自身的安全建設(shè)發(fā)展需求、特殊時期的安全保障需求等。然后通過一些手段（比如自動化的評估工具）對組織現(xiàn)有的安全指標(biāo)進行分析。通過對比“理想化的綜合基線指標(biāo)”，形成了一套差距分析

9、結(jié)論。組織自身針對這個差距進行適時監(jiān)測、確認(rèn)和跟蹤即可，對任何在此水平以下的情況進行預(yù)警或通報，提出“補足差距”的建議方案；而這個“理想化的綜合基線指標(biāo)”就是該組織的最優(yōu)安全狀態(tài)。追求規(guī)避全部風(fēng)險是不現(xiàn)實的，信息系統(tǒng)在達到這個指標(biāo)水平之后，部分風(fēng)險自然會被轉(zhuǎn)移或降低。如此便可以實現(xiàn)持續(xù)定義升高這個綜合基線指標(biāo)，持續(xù)監(jiān)管和持續(xù)改進，可以使每一時期每一階段的安全水平都是可控的。同時，收集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進行風(fēng)險的度量，輸出結(jié)合政策法規(guī)要求的整體安全建設(shè)報表。19自動化安全基線工具框架安全狀況以及變化趨勢基線策略庫系統(tǒng)快照（當(dāng)前基線指標(biāo)）安全基線指標(biāo)庫目錄什么是安全基線安全基線檢查的技術(shù)方

10、法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)21安全配置核查關(guān)注什么網(wǎng)絡(luò)設(shè)備配置主機配置數(shù)據(jù)庫配置中間件配置應(yīng)用配置安全設(shè)備配置口令策略檢查口令重復(fù)使用次數(shù)限制檢查口令生存周期要求文件權(quán)限檢查關(guān)鍵權(quán)限指派安全要求-取得文件或其他對象的所有權(quán)查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾用戶賬號檢查是否禁用guest用戶刪除匿名用戶空鏈接系統(tǒng)服務(wù)檢查是否配置nfs服務(wù)限制檢查是否禁止ctrl_alt_del舉例：具體檢查哪些內(nèi)容認(rèn)證授權(quán)對于VPN用戶，必須按照其訪問權(quán)限不同而進行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進行嚴(yán)格限制。檢查口令生存周期要求配置訪問控制規(guī)

11、則，拒絕對防火墻保護的系統(tǒng)中常見漏洞所對應(yīng)端口或者服務(wù)的訪問。網(wǎng)絡(luò)通信防火墻以UDP/TCP協(xié)議對外提供服務(wù)，供外部主機進行訪問，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，應(yīng)配置防火墻，只允許特定主機訪問。日志審計設(shè)備配置遠程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢查項名稱 ：檢查口令重復(fù)使用次數(shù)限制被檢查設(shè)備類型：Windows系列所屬分類 ：賬號口令配置要求： 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測方法及判定依據(jù) 檢測步驟:一、進入“控制面板-管理工具-本地安全策略”，在

12、“帳戶策略-密碼策略”：查看是否“強制密碼歷史”設(shè)置為“記住5個密碼”判定依據(jù):強制密碼歷史=5則合規(guī)，否則不合規(guī).加固方案參考配置:(1).進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“強制密碼歷史”設(shè)置為“記住5個密碼”檢查項名稱 ：檢查關(guān)鍵權(quán)限指派安全要求-取得文件或其他對象的所有權(quán)被檢查設(shè)備類型：Windows系列所屬分類 ：認(rèn)證授權(quán)配置要求： 在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測方法及判定依據(jù) 檢查步驟:一、進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有

13、權(quán)”設(shè)置為“只指派給Administrators組”。判定依據(jù):“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”加固方案參考步驟:(1).進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”。舉例：啟用遠程日志功能檢查項名稱 ：文件與目錄缺省權(quán)限控制被檢查設(shè)備類型：Linux系列所屬分類 ：日志審計配置要求： 設(shè)備配置遠程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢測方法及判定依據(jù) 檢測步驟:linux一、查看文件 /etc/syslog.conf或者/et

14、c/rsyslog.conf存在類似如下語句*.*68sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在類似如下內(nèi)容:destination logserver udp(68 port(514); ;log source(src); destination(logserver); ;判定依據(jù):步驟1或者步驟2滿足其一則合規(guī),否則不合規(guī)加固方案參考步驟:linux1).編輯文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下內(nèi)容:*.* suse1)編輯文件/etc/syslog-ng/syslog-ng.conf,增加如下內(nèi)容:

15、destination logserver udp(68 port(514); ;log source(src); destination(logserver); ;#日志服務(wù)器ip視實際情況來確定.2).重啟syslog服務(wù)#/etc/init.d/syslog stop#/etc/init.d/syslog start舉例：啟用遠程日志功能檢查項名稱 ：檢查是否配置DDOS攻擊防護被檢查設(shè)備類型：華為防火墻所屬分類 ：協(xié)議安全配置要求： 可打開DOS和DDOS攻擊防護功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護人員根據(jù)網(wǎng)絡(luò)環(huán)境進行調(diào)整。維護人員可通過設(shè)置白名單方式屏蔽部分告警。檢測方

16、法及判定依據(jù) 一、檢測方法執(zhí)行命令 display current-configuration | include defend 檢查判斷 存在如下內(nèi)容則合規(guī)。 firewall defend * enable 備注：*表示任意字符。二、判定依據(jù)防火墻能夠抵御DDoS攻擊，并有相應(yīng)的日志告警。加固方案參考配置操作1）在用戶視圖下執(zhí)行命令system-view，進入系統(tǒng)視圖。 2）執(zhí)行命令firewall defend syn-flood enable，開啟SYN Flood攻擊防范功能。 3）執(zhí)行命令firewall defend syn-flood interface GigabitEthe

17、rnet 0/0/1 alert-rate 16000 max-rate 500000配置SYN Flood攻擊防范的閾值。4）執(zhí)行命令firewall defend udp-flood enable，開啟UDP Flood攻擊防范功能。5）執(zhí)行命令firewall defend udp-flood interface GigabitEthernet 0/0/1 max-rate 500000配置UDP Flood攻擊防范的閾值。6）執(zhí)行命令firewall defend icmp-flood enable,開啟ICMP Flood攻擊防范功能。7）執(zhí)行命令firewall defend ic

18、mp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置ICMP Flood攻擊防范的閾值。檢查項名稱 ：文件與目錄缺省權(quán)限控制所屬分類 ：認(rèn)證授權(quán)配置要求： 控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制檢測方法及判定依據(jù) 檢測步驟:查看文件/etc/profile的末尾是否設(shè)置umask值:#awk print $1:$2 /etc/profile|grep umask|tail -n1判定條件:/etc/profile文件末尾

19、存在umask 027加固方案參考步驟:一、首先對/etc/profile進行備份#cp /etc/profile /etc/profile.bak二、編輯文件/etc/profile,在文件末尾加上如下內(nèi)容:umask 027三、執(zhí)行以下命令讓配置生效#source /etc/profile目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)29安全基線的工作介紹工作步驟獲取要檢查目標(biāo)的基本信息IP地址設(shè)備類型：Windows/Linux+Apache將安全基線產(chǎn)品接入網(wǎng)絡(luò)（直連檢查），做好準(zhǔn)備。進行目標(biāo)設(shè)備的配置核查工作，通過檢查報告導(dǎo)出檢查結(jié)果。結(jié)

20、果分析，確定檢查結(jié)論并給出加固方案。獲取要檢查目標(biāo)的基本信息IP地址系統(tǒng)類型是否安裝數(shù)據(jù)庫是否安裝中間件是否提供登錄信息網(wǎng)絡(luò)是否可達windowsSQL Serverweblogic是是linuxOracleTomcat否否aix無Websphere否否思科路由器是是華為防火墻是是系統(tǒng)類型：確定檢查基線策略是否提供登錄信息/網(wǎng)絡(luò)是否可達：確定使用哪種檢查方式，在線或離線需要設(shè)備維護人員在場補充設(shè)備信息將安全基線工具介入網(wǎng)絡(luò)被掃描主機Internet瀏覽器HTTPS訪問客戶端Internet管理口 ：接掃描操作計算機掃描口 ：接目標(biāo)網(wǎng)絡(luò)核查工具使用說明安全配置核查演示環(huán)境地址登錄賬號登錄密碼80

21、:8888/sysadminvenus.sysadmin81:8888/sysadminvenus.sysadmin核查設(shè)備地址核查設(shè)備類型操作系統(tǒng)登錄賬號操作系統(tǒng)登錄密碼90windows7administrator123qwevenus90tomcatadministrator123qwevenus90oracleadministrator123qwevenus（system/Qwe_1234）被掃描環(huán)境建立掃描任務(wù)3、選擇添加的掃描目標(biāo)1、填寫任務(wù)名稱4、確定開始掃描2、選擇掃描策略模版添加被核查目標(biāo)1、填寫IP地址2、選擇設(shè)備類型3、協(xié)議及登錄信息4、自動探測匹配掃描結(jié)果查看1、確定掃

22、描完成2、點擊報告生成按鈕3、選擇預(yù)覽或下載點擊鏈接查看單個設(shè)備的基線結(jié)果每個設(shè)備的安全基線合規(guī)匯總單個設(shè)備安全基線分析展開分析合規(guī)結(jié)果詳盡的加固方案分析掃描結(jié)果如何分析掃描結(jié)果考慮被檢查設(shè)備重要程度設(shè)備部署的位置設(shè)備承載的業(yè)務(wù)考慮單個不合規(guī)檢查項的權(quán)重如何整改所有配置項目修改最好有建設(shè)廠商參與，先分析后整改避免修補過程影響系統(tǒng)正常運行，做好備份分析原則所有的設(shè)備都應(yīng)重視所有的缺陷都應(yīng)改進謝 謝！放射性核素治療第一節(jié) 131I治療甲狀腺疾病一、 131I治療甲狀腺功能亢進癥（一）原理 甲狀腺組織高度選擇性攝取碘。 亢進的甲狀腺組織受到射線的集中照射而受到破壞， 減少甲狀腺激素的合成分泌。 射線

23、射程短，不會影響甲狀腺外組織。 131I在甲狀腺內(nèi)停留時間適當(dāng)，達到治療的目的。 （二）適應(yīng)癥、相對適應(yīng)癥及禁忌癥1.適應(yīng)癥：（1）Graves甲亢患者。（2）對抗甲狀腺藥物過敏、或療效差、或治療后復(fù)發(fā)、 或術(shù)后復(fù)發(fā)及青少年和兒童甲亢藥物治療失敗又 拒絕手術(shù)或有手術(shù)禁忌癥的Graves甲亢患者。（3）Graves甲亢伴白細胞或血小板減少者。白細胞 3.0109/L，血小板5.01011/L，仍可考慮 131I治療。（4）Graves甲亢伴房顫的患者。（5）Graves甲亢并慢性淋巴性甲狀腺炎攝碘率增高的患者。（6）甲亢合并肝、腎功能損害者。（7）浸潤性突眼。 2.禁忌癥： （1）妊娠期和哺乳期

24、婦女。 （2）甲亢伴有近期心肌梗死者。（三）治療方法 1.治療前準(zhǔn)備： （1）停服影響甲狀腺攝131I的食物和藥物2周以上。 （2）測定甲狀腺攝131I率。 （3）甲狀腺顯像、B超或觸診檢查，確定甲狀腺重量。 （4）血、尿常規(guī)，必要時查肝、腎功能和心電圖等。（5）測定血清TT3、TT4、FT3、FT4、TSH、TGAb、TPOAb、TRAb等。（6）治療前向患者講清療效、可能出現(xiàn)的反應(yīng)、注意事項 （包括輻射防護），及可能出現(xiàn)的并發(fā)癥和預(yù)防方法。（7）簽署知情同意書。2.治療劑量的計算和確定（1）計算計量法/個體化劑量方案： 計劃量（Bq/g甲狀腺組織） 甲狀腺重量（g） 服131I總劑量（MB

25、q）= 甲狀腺最高攝131I率（%）（2）固定計量法：給予固定劑量（10-15mCi）。（3）半固定劑量法： 根據(jù)臨床情況將治療劑量分為三個等級：低劑量 （3-4mCi）中劑量（5-6mCi） 高劑量（7-8mCi） 3. 影響和確定治療劑量的因素（1）甲狀腺的大小和重量（2）甲狀腺最高攝131I率和有效半減期（3）甲亢的嚴(yán)重程度（4）個體敏感性（5）甲狀腺腫的類型4.給藥方法 一般采用一次口服法?？诜?31I前后最少禁食2小時。5.重復(fù)治療及治療劑量的確定 若第一次131I治療后未見明顯療效，可在治療后6個月進行第二次治療。 若第一次131I治療后癥狀好轉(zhuǎn)但未痊愈，可先用抗甲狀腺藥物對癥處理

26、，確實療效不佳時，再考慮第二次治療。 6.治療后注意事項 必須空腹服藥，服藥后2h方可進食。 服131I 后近期內(nèi)禁用含碘的食物及藥物，必要時可用 普萘洛爾類及各種鎮(zhèn)靜藥配合治療。 服131I后注意休息，避免劇烈活動。 服131I后1周內(nèi)極個別患者可能出現(xiàn)甲亢危象，必須及時處理。 若服用131I劑量較大，在短期內(nèi)（至少1周）應(yīng)避免與孕婦 及嬰幼兒的接觸。 一旦誤服過大劑量131I應(yīng)立即口服復(fù)方碘溶液并多飲水， 加速排出。（四）療效評價 應(yīng)用最早、最成熟、最廣泛的經(jīng)典治療方法。 簡便、安全、經(jīng)濟、療效好、復(fù)發(fā)率低、并發(fā)癥少是治療甲亢的一種十分有效的方法。 總有效率在90%以上，復(fù)發(fā)率為1-4%。

27、 對少數(shù)晚發(fā)永久性甲減者需給予甲狀腺激素替代治療。 甲亢經(jīng)131I治療痊愈后，其合并癥一般均有好轉(zhuǎn)或痊愈：1.甲亢性肌?。鹤畛Ｒ?、最嚴(yán)重的并發(fā)癥之一。肌無力和肌萎縮；周期性癱瘓；重癥肌無力。治療后均能恢復(fù)或好轉(zhuǎn)。2.甲亢性心臟?。喊Y狀恢復(fù)。同時患高心病、冠心病者，甲亢 治愈后有關(guān)癥狀相應(yīng)減輕。3.Graves 眼?。憾鄶?shù)患者癥狀消失、減輕，極少數(shù)患者突眼 加重。 4.甲亢合并肝功能損害：無論是甲亢本身所致肝功異常 或是甲亢合并有肝臟疾病，甲亢治愈后肝功能均有改 善或恢復(fù)正常。 5.甲亢合并糖尿?。翰糠只颊咛悄虿】色@改善。 6.甲亢性精神?。嚎梢院棉D(zhuǎn)或痊愈。 7.甲亢合并白細胞減少：?？苫謴?fù)正常

28、。（五）治療反應(yīng)及處理1.早期反應(yīng)：（1）幾天內(nèi)出現(xiàn)乏力、食欲差、惡心、皮膚瘙癢、甲狀腺 腫脹等反應(yīng)，無需特殊處理，多自行消失。（2）甲亢癥狀加重：發(fā)生率1%，多在治療后1周。 患者體溫高于39，心率大于160次/min，大汗淋漓、 譫妄、昏迷、嘔吐及腹瀉等，或老年患者出現(xiàn)淡漠、 嗜睡、低熱、乏力，呈惡病質(zhì)狀，心率慢、脈壓小和 突眼時，要特別注意甲亢危象的發(fā)生。應(yīng)按內(nèi)科常規(guī) 治療方法處理。2.甲減 在治療后1-2個月（少數(shù)在2-6個月）發(fā)生，為早發(fā)甲減，多數(shù)在3-6個月內(nèi)自行恢復(fù)。 治療1年后發(fā)生的甲減，多為永久性甲減。其發(fā)病率與甲狀腺接受131I劑量并非完全相關(guān)。出現(xiàn)時應(yīng)及時給予甲狀腺激素治

29、療。二、131I治療功能自主性甲狀腺腺瘤（一）原理： 功能自主性甲狀腺結(jié)節(jié)有較高的攝取 131I的功能，131I治療可破壞結(jié)節(jié)達到 治療目的。（二）適應(yīng)癥、相對適應(yīng)癥和禁忌癥 1.適應(yīng)癥：（1）功能自主性甲狀腺結(jié)節(jié)有手術(shù)禁忌癥或拒絕手術(shù)治療者。（2）甲狀腺顯像為“熱”結(jié)節(jié)，結(jié)節(jié)外甲狀腺組織完全或基 本被抑制。（3）有甲亢合并心血管病變?nèi)缧穆刹积R、房顫者。2.相對適應(yīng)癥：（1）“熱”結(jié)節(jié)外甲狀腺組織未能完全抑制者，不宜 131I治療。 （2）結(jié)節(jié)重量超過100g，但患者不能手術(shù)，必要時可 考慮131I治療。 年齡較小，但在30歲以上，需要時可考慮131I治療。3.禁忌癥：妊娠和哺乳患者；臨床上不

30、適于采用甲狀腺素作為治療前后輔助用藥的患者；懷疑甲狀腺有惡變的患者；自主功能結(jié)節(jié)攝率過低的患者。（三）治療方法 給藥方法與131I治療甲亢相同，一般視腺瘤大小、 攝取131I率的高低和有效半減期長短而定。 目前主要采取一次大劑量療法，達到足以破壞結(jié)節(jié) 的作用，比分次小劑量法療效好。（四）療效評價 治療后2-3個月結(jié)節(jié)逐漸縮小，甲亢癥狀逐漸改善， 治療有效率近100%。極少發(fā)生甲減。 其療效及療效出現(xiàn)的時間與131I治療劑量密切相關(guān)。三、 131I治療分化型甲癌轉(zhuǎn)移灶（一）原理： 分化型甲狀腺癌（濾泡狀及乳頭狀腺癌）及其 轉(zhuǎn)移灶具有攝取131I的功能。 131I 發(fā)射的射線對癌組織進行集中照射，

31、破 壞癌組織，達到治療目的。 1.適應(yīng)癥： （1）符合下列條件者均應(yīng)使用131I去除殘留甲狀腺組織： 期和期（TNM分期）DTC 患者 所有年齡45歲期 DTC 患者 選擇性期 DTC 患者，特別是有多發(fā)腫瘤病灶、 出現(xiàn)淋巴結(jié)轉(zhuǎn)移、有甲狀腺外或血管浸潤者 激進型病理類型患者（二）適應(yīng)癥和禁忌癥（2）殘留甲狀腺組織已被完全去除，復(fù)發(fā)或轉(zhuǎn)移灶 不能手術(shù)切除，病灶攝取131I的患者。（3）殘留甲狀腺組織已被完全去除，131I顯像陰性 但Tg水平10g/L的患者。2.禁忌癥： （1）妊娠和哺乳患者；（2）術(shù)后創(chuàng)口未愈合的患者；（3）白細胞低于3.0 109/L的患者；（4）肝、腎功能嚴(yán)重?fù)p害的患者。（

32、三）治療方法 1.治療前準(zhǔn)備 （1）停用甲狀腺素制劑3-6周。 （2）術(shù)后4-6周創(chuàng)傷痊愈后即可行131I去除治療。 （3）忌服含碘食物或含碘藥物4周。 （4）測定血常規(guī)、FT3、FT4、TSH、Tg、TGAb，甲狀腺攝131I率、 X線胸片、心電圖、肝功和腎功、甲狀腺顯像等。 2.給藥方法（1）131I去除殘留甲狀腺組織 常規(guī)給予 3.7GBq（100mCi）；病理為激進型患者可 增加至 5.55-7.4GBq（150-200mCi）。 1周后給予甲狀腺素；如治療前甲減明顯，24小時可 給甲狀腺素。（2）131I治療DTC轉(zhuǎn)移灶 甲狀腺床復(fù)發(fā)或頸部淋巴結(jié)轉(zhuǎn)移者給予 3.7-5.5GBq （1

33、00-150mCi）；肺轉(zhuǎn)移者給予 5.55-7.4GBq（150- 200mCi）；骨轉(zhuǎn)移者 7.4-9.25GBq（200-250mCi）。 治療后5-7天行全身顯像；24小時可給甲狀腺素。 3.放射防護 （四）治療效果 有效率達75%，較單純外科手術(shù)有更高生存率。 定期隨訪，發(fā)現(xiàn)新的功能性轉(zhuǎn)移灶再行131I治療， 10年存活率近90%。（五）副作用 最常見為骨髓抑制，程度多較輕微。嚴(yán)重者需用增加白細 胞藥物或輸血治療。 彌漫性肺轉(zhuǎn)移者易發(fā)生肺纖維化。 （六）療效評價 原發(fā)灶首選手術(shù)切除，再行131I清除， 發(fā)現(xiàn)有淋巴、肺和骨骼等轉(zhuǎn)移灶時，應(yīng)及時采用131I治療。第二節(jié)腫瘤核素治療一、骨轉(zhuǎn)

34、移瘤治療（一）原理： 與骨組織有較高的親和力。 發(fā)射的-射線，抑制和破壞骨轉(zhuǎn)移瘤，同時還能緩解疼痛。 目前常用的放射性藥物： 153Sm-EDTMP、186Re-HEDP、89SrCl2 骨轉(zhuǎn)移瘤主要來源：肺癌、前列腺癌、乳腺癌；轉(zhuǎn)移部位以扁骨為多。（二）適應(yīng)證與禁忌證1. 適應(yīng)證:（1）臨床、X線、CT、MR、病理，尤其是全身骨顯像 檢查證實的多發(fā)骨轉(zhuǎn)移瘤。（2）骨轉(zhuǎn)移引起的骨痛，放、化療無效者。（3）原發(fā)骨腫瘤伴有骨內(nèi)多發(fā)性轉(zhuǎn)移者。（4）白細胞計數(shù) 3.5109/L，血小板 90109/L。2. 禁忌證：（1）骨顯像為溶骨性“冷區(qū)”者。（2）放、化療后有骨髓功能嚴(yán)重障礙者。（3）合并有嚴(yán)重肝、腎功能受損者。（4）妊娠及哺乳期婦女。（三）治療方法1. 患者準(zhǔn)備（1）病史、體檢資料、全身骨顯像、X線檢查、CT、病理 診斷、血常規(guī)、肝、腎功能檢查等。（2）接受過放、化療患者，至少停用2-4周，且血常規(guī)符合 治療適應(yīng)證