醫(yī)院網(wǎng)絡(luò)安全方案

1、構(gòu)筑醫(yī)院信息系統(tǒng)的全方位平安網(wǎng)絡(luò)第一章平安問題分析隨著醫(yī)院信息化程度越來越高，伴隨而來的的平安問題也日益突岀，尤其是隨著網(wǎng)絡(luò)規(guī) 模 的不斷擴大， 網(wǎng)絡(luò)應(yīng)用工程越來越豐富， 涉及到的人員越來越來越龐雜， 部署策略越來越 繁瑣， 整個系統(tǒng)變得越復(fù)雜，醫(yī)院而對的平安風(fēng)險也越來越大。如何有效地降低平安風(fēng)險、 降低平安 本錢，平安的策略顯得尤為重要。醫(yī)院的 HIS 系統(tǒng)是關(guān)誕業(yè)務(wù)系統(tǒng)，需要系統(tǒng)不間 斷運行。即 使發(fā)生短暫的業(yè)務(wù)中斷，也會導(dǎo)致難以估量的經(jīng)濟和名譽損失。為此，我們分析以下可能會導(dǎo)致業(yè)務(wù)系統(tǒng)中斷的原因：1. 效勞器硬件故障如效勞器的數(shù)據(jù) / 系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問，并進而可能導(dǎo)致應(yīng)用

2、進程終止 或 系統(tǒng)停機，甚至系統(tǒng)不能重啟動：網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)效勞： CPU 或內(nèi) 存的 失效那么會導(dǎo)致系統(tǒng)的死機：2. 主干交換機或干線的故障如主干交換機死機、交換機配置出錯、或干線線路出現(xiàn)意外故障。3. 數(shù)據(jù)庫效勞、操作系統(tǒng)出錯 由于操作系統(tǒng)或數(shù)據(jù)庫效勞器中可能存在不完蓮的地方、或者配置不得當(dāng)，當(dāng)碰到菜種激發(fā) 事 件時，數(shù)據(jù)庫效勞器非正常終止或系統(tǒng)崩潰；4. 人為錯誤 一些人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用效勞進程，也會導(dǎo)致系統(tǒng)效勞 的 無法訪問；5. 電腦病毒 / 黑客入侵由于目前的鄭州市的很多醫(yī)院的計算機和省市醫(yī)院醫(yī)保聯(lián)網(wǎng)，無論是物理還是邏輯上都 是 互

3、通的，假設(shè)缺少有效的防范機制，很容易遭受病毒的感染或者黑客的入侵，輕者數(shù)據(jù)被損壞，系統(tǒng)數(shù)據(jù)被重者系統(tǒng)癱瘓：6. 自然災(zāi)害 由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計算機系統(tǒng)破壞，舟會使一 般 系統(tǒng)的恢復(fù)非常困難和耗吋，導(dǎo)致業(yè)務(wù)系統(tǒng)長吋間的中斷通過容災(zāi)系統(tǒng)來解決。7. 正常的停機主要指方案內(nèi)的系統(tǒng)升級、安裝軟件、系統(tǒng)備份等過程。由上可見，影響系統(tǒng)平安運行的因素有很多，但是，導(dǎo)致的系統(tǒng)中斷完全可以通過創(chuàng) 建一 個完整的平安疑略的來有效防止。系統(tǒng)平安不僅是一個單一的平安防范問題，也不可能一時完會解決，而是一個整體的、 全 面的技術(shù)問題，同時平安也是一個長期的，動態(tài)的過程。因此我公司提

4、出了在醫(yī)院建立全 網(wǎng)安 全的概念。在了解平安需求的根底之上，從平安的規(guī)劃的角度看，應(yīng)遵循以下原那么：安 全管理 為本的原那么、需求、風(fēng)險、代價平衡分析的原那么，綜合性、整體性原那么、適應(yīng)性及靈 活性原那么， 多重保護原那么。當(dāng)今的很多系統(tǒng)集成商力圖做到全自運化，對于信息平安問題能夠做到自動發(fā)現(xiàn)、自 動 解決，。岀發(fā)點固然是不錯，希望方便用戶使用。但現(xiàn)實世界中的網(wǎng)絡(luò)平安問題太過復(fù)雜, 一切都是機器和程序搞左的想法有些不切合實際。我公司認(rèn)為：在保衛(wèi)系統(tǒng)平安的過程中人應(yīng)該發(fā)揮人的能動性，做到主動出擊，而不是被動防御。居以上分析，我公司提岀以下全網(wǎng)平安的解決方案：第二章 效勞器操作系統(tǒng)和數(shù)據(jù)平安方案第

5、一節(jié)雙機容錯局部 - 解決由于效勞器枝件故障、方案停機造成的效勞器停機1. 1 方案說明確要建立高可用的計算機處理系統(tǒng)，首先，在硬件上，要做到務(wù)部件的冗余，多臺計算 機 組成集群結(jié)構(gòu)，使整個系統(tǒng)不存在單點故障：此外，還需要有專門的集群軟件來進行管理 和監(jiān) 控，使得應(yīng)用系統(tǒng)在任何軟硬件單元發(fā)生故障時，能夠穩(wěn)圧可靠地運行。此外，在高可 用系統(tǒng) 設(shè)計時，還需考慮下述關(guān)鍵點：?應(yīng)用系統(tǒng)，主機 / 部件間的切換是非對用戶透明？?故障發(fā)生時，是否需要人為干預(yù)？?切換的速度如何？?配置是否簡單方便，易于管理?與操作系統(tǒng)、應(yīng)用程序是否能密切配合？1.2雙機容錯局部構(gòu)成例如：ROSE HA FOR WIN200

6、3SERVER 容錯軟件HP公司的F200磁盤陣列系統(tǒng)HPDL580G4 兩臺1.3方案簡介系統(tǒng)以WN2003為平臺，F(xiàn)200磁盤陣列及ROSE HA軟件為核心，常用數(shù)據(jù)庫及網(wǎng)絡(luò)數(shù)據(jù)存放在磁盤陣列中，兩臺效勞器只安裝本地系統(tǒng)文件及ROSE HA軟件，并作一主一從 的熱備方式。當(dāng)系統(tǒng)啟動后：Rose HA首先啟動HA manager管理程序，然后啟動必要的 效勞和代理程序 來監(jiān)控和管理系統(tǒng)效勞。HA代理程序通過RS232或?qū)Ｓ镁W(wǎng)絡(luò)適配器來監(jiān) 控、監(jiān)測、診斷和管理 硬件、軟件效勞。當(dāng)ROSE HA代理程序監(jiān)測到某個效勞或硬件發(fā)生故障并作相應(yīng)處理后可由用戶設(shè)泄仍不能成功時，那么開始切換效勞：將 IP

7、飄移到相同用戶名的列一臺 Standby效勞器上,磁盤陣列 中的數(shù)據(jù)庫由主效勞器切換到從效勞器，并恢復(fù)所有的效勞功能。完成整個切換過程，平均時間為40秒，此時系統(tǒng)又進入初始狀態(tài)。1.4系統(tǒng)特點>硬件結(jié)合實現(xiàn)真正意義上的數(shù)據(jù)與系統(tǒng)別離。>對硬件配置要求不高，效勞器可采用不同或相差較大的配巻。> 系統(tǒng)切換時間短，平均切換時間為30秒，為目前同類軟件中最短。> 系統(tǒng)效率髙。因為整個系統(tǒng)中數(shù)據(jù)讀寫、管理及容錯由磁盤陣列來完成。而系統(tǒng)從效勞器故障糾錯處理由 HA軟件來完成，而這兩個都是相對獨立的子系統(tǒng)。雙機容錯監(jiān)控路徑為和RS232線路或10/100M自適應(yīng)網(wǎng)卡線路，既不占用主機

8、 CPU資源也 不占用基 礎(chǔ)網(wǎng)絡(luò)帶寬，因此系統(tǒng)效率高，這一點在實際的應(yīng)用中得到用戶的一致好評1. 5切換實例在本例中，兩臺應(yīng)用效勞器分別運行 ORACLE SERVER數(shù)據(jù)庫。數(shù)據(jù)庫的數(shù)據(jù)存放在形成 鏡像的兩臺磁盤陣列中。 ROSE HA通過ORACLE Server Age nt監(jiān)控SQL數(shù)扌居庫的運行狀況。當(dāng)主效勞器發(fā)生意外故障時， ROSE HA ORACLE Database Age nt 會監(jiān)控到故障情況。通 過 心跳線協(xié)議，ROSE HA會將數(shù)據(jù)庫數(shù)據(jù)切換到備用機上。切換后， ROSE HA可以檢測數(shù)據(jù) 的同 步情況，如果數(shù)據(jù)正確無誤,ROSE HA將啟動上層的數(shù)據(jù)庫和應(yīng)用效勞。第

9、二節(jié)遠(yuǎn)程備份、恢復(fù)方案 解決由于機房失火、雷擊、失竊等機房的意外原因造成的數(shù)據(jù)喪失2. 1系統(tǒng)構(gòu)成備份軟件:VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版 備份效勞器：醫(yī)院淘汰下來的效勞器即可備份設(shè)備：建議醫(yī)院購置磁帶庫或 SATA磁盤陣列柜備份目標(biāo)：HIS效勞器和市醫(yī)保效勞器、財務(wù)科效勞器和0 A效勞器等2. 2備份策略備份策略的好壞，決左恢復(fù)的速度與質(zhì)量，我們制定備份策略如下：災(zāi)難恢復(fù)啟動光盤+系統(tǒng)完全備份+數(shù)據(jù)庫完全備份+數(shù)據(jù)庫差異備份+數(shù)據(jù)庫日志備份災(zāi)難恢復(fù)啟動光盤：當(dāng)硬件有重大改到時重做。可以快速的恢復(fù)操作系統(tǒng)，并且在恢復(fù)過程中

10、不用操作系統(tǒng)安裝盤系統(tǒng)完全備份：每月的系統(tǒng)完全備份數(shù)據(jù)庫完全備份：每周日的數(shù)據(jù)庫完全備份數(shù)據(jù)庫差異備份：每8小時的數(shù)據(jù)庫差異備份數(shù)據(jù)庫日志備份：每5分鐘的日志備份策略評價：優(yōu)點：備份速度快，恢復(fù)快并且是自動化，可保存二年數(shù)據(jù)備份。2. 3 恢復(fù)策略一假泄：當(dāng)機房失火或雷擊造成雙機系統(tǒng)的效勞器硬件徹底損壞？恢復(fù)過程如下：<1恢復(fù)本周周日的數(shù)據(jù)庫完全備份到遠(yuǎn)程備份效勞器上，大約5分鐘2 恢復(fù)本周日全備后的最近一次差異備份到遠(yuǎn)程備份效勞器上，大約2分鐘3 恢復(fù)所有最近一次差異備份后的日志備份，大約15分鐘4修改客戶端的INI或配宜文件的SERVERNAME的值為遠(yuǎn)程備份效勞器的名字，大約1-1

11、5分鐘。如果客H端程序在效勞器上會快一些。這樣可以保證客戶端運行間斷不超過30分鐘，數(shù)據(jù)喪失不超過 5分鐘"二假定：雙機系統(tǒng)中的磁盤陣列柜損壞，如控制器損壞"恢復(fù)過程如下。2恢復(fù)本周日全備后的最近一次的差異備份到主效勞本地硬盤上，大約2 分鐘3恢復(fù)所有最近一次差異備份后的日志備份，大約15 分鐘4修改主效勞器本地磁盤盤符，重新啟動 SQL 效勞，大約 2 分鐘5修改客戶端的 INI 或配置文件的 SERVERNAME 的值為主效勞務(wù)器的劃字， 大 約 1-15 分鐘。如果客戶端程序在效勞器上會快一些。 這樣可以保證客戶端運行間斷不超過 37 分鐘，數(shù)據(jù)喪失不超過 5 分鐘。

12、三假定：正在使用數(shù)據(jù)庫置疑或被誤刪除，也就是說數(shù)據(jù)庫文件損壞，而數(shù)據(jù)庫效勞沒 有停 止?；謴?fù)過程如下。1恢復(fù)本周周日的數(shù)據(jù)庫完全備份，大約 15 分鐘2恢復(fù)本周日全備后的最近一次的差異備份，大約2 分鐘3恢復(fù)所有最近一次差異備份后的日志備份，大約15 分鐘4恢復(fù)活動日志如果數(shù)據(jù)庫文件還存在的話大約2 分鐘。這樣可以保證客戶端運行間斷不超過 34 分鐘，數(shù)據(jù)喪失不超過 5 分鐘，或者數(shù)據(jù) 一點 也不喪失。四假定：雙機系統(tǒng)中的主效勞器或備效勞器其中一臺的操作系統(tǒng)盤損壞，而陣列柜的硬 盤沒 有問題?；謴?fù)過程如下：1用系統(tǒng)恢復(fù)光盤恢復(fù)操作系統(tǒng) +上個月的系統(tǒng)全備。大約 30 分鐘左右。 客戶端不受影響

13、。數(shù)據(jù)不喪失。雙機容錯和遠(yuǎn)程備份網(wǎng)絡(luò)示意圖第三節(jié)效勞器應(yīng)用層防火墻 解決來自內(nèi)部網(wǎng)絡(luò)攻擊問題3. 1系統(tǒng)構(gòu)成WIN2003應(yīng)用層防火墻：微軟ISA2006中文版保護目標(biāo)：醫(yī)院所有 WIN2003效勞器不受內(nèi)部攻擊3. 1方案說明在防火墻上配宜平安的策略，女口 ：僅開放指泄的端口和應(yīng)用，如：HIS效勞器只允許ORACLE效勞交換數(shù)據(jù)等。3. 2對防火墻的攻擊測試當(dāng)防火墻安裝完裝后，可以模擬攻擊，如：Smurf和Lan d-based、Ping of DeathSyn Flood和DoS攻擊等，分析防火墻抗攻擊能力。1. 3經(jīng)常分析防火墻日志為防火墻指泄一個日志效勞器，在正常使用防火墻后，要經(jīng)常查

14、看、分析日志，看看有沒有異常的連接請求和異常的數(shù)據(jù)包通過防火墻分析日志的內(nèi)容應(yīng)包括：1 檢査日期和時間 2跟蹤客戶端 IP 地址 3檢查用戶請求的路徑和文件4了解訪問狀態(tài)代碼5檢查用戶代理 6査看訪問源頭第二章網(wǎng)絡(luò)平安方案第一節(jié)VLA邏輯隔離各個使用區(qū)VLAN劃分邏輯示意圖HIS客戶瑞區(qū)省市醫(yī)?；蚱渌t(yī)保區(qū)型擺流方問1. 1方案說明使用交換機的VLAN的功能，邏輯的把醫(yī)院的網(wǎng)絡(luò)劃分為5個局部，每個局部分 另帰于不同的I P網(wǎng)段，各個網(wǎng)段通過3層路由根據(jù)路由策略和防火墻策略應(yīng)用 層防火墻交換數(shù)據(jù)。各個局部的功能如下：HIS效勞器區(qū)放置HIS、PACS、LIS效勞器II I S客戶端區(qū)HIS客戶端

15、醫(yī)保區(qū)市醫(yī)保效勞器，省醫(yī)保路由器財務(wù)專用區(qū)財務(wù)科專用效勞器和工作站各個局部的訪問策略如下HIS效勞器區(qū)II I S客戶端區(qū)醫(yī)保區(qū)財務(wù)專用區(qū)公共區(qū)訪問公共區(qū)，II I只能被訪問。只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)程備份。S效勞器區(qū)，和醫(yī)保區(qū)只能被訪問。只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)程備份。配合防火墻策略第二節(jié)外網(wǎng)防火墻系統(tǒng)構(gòu)成：思科防火墻保護目標(biāo)：阻止通過醫(yī)保網(wǎng)絡(luò)，來自其他醫(yī)院的攻擊。防火墻的作用：一是可以限制他人進入和其他醫(yī)院通過醫(yī)保網(wǎng)絡(luò)進入醫(yī)院內(nèi)部網(wǎng)絡(luò)，過濾掉不平安效勞和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問其他醫(yī)院效勞器：四是為監(jiān)視外網(wǎng)平安提供方便。由于防火墻假設(shè)了

16、網(wǎng)絡(luò)邊界和效勞，因此更適合于相對獨立的網(wǎng)絡(luò)，例如外網(wǎng)等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實上，在外網(wǎng)上的效勞器中，超過三分之一的效勞器都是由某種形式的防火墻加以保護，這是對黑客防范最嚴(yán)，平安性較強的一種方式，建議醫(yī)保服 務(wù)器都建議放在防火墻之后。第三節(jié)殺毒軟件在每臺接入網(wǎng)絡(luò)的電腦上安裝網(wǎng)絡(luò)版殺毒軟件，進行統(tǒng)一升級，全網(wǎng)殺毒，并泄期 更新病毒庫和殺毒引擎。第四節(jié)漏洞掃描和IDS /IPS使用漏洞掃描工具，對效勞器和工作站以及交換設(shè)備進行左期掃描，發(fā)現(xiàn)漏洞及打 上補丁和修復(fù)。第三章客戶端平安方案PC接口平安解決方案一、用普通小鎖鎖住機箱，防止隨意翻開機箱，拆卸

17、、增加設(shè)備。二、給B 1 OS設(shè)平安密碼，防止任意進入更改系統(tǒng)設(shè)置信息，£bios中將一些不使 用的設(shè)備關(guān)閉，如：串口， USB 口、軟驅(qū)接口，第二個IDE 口等三、操作系統(tǒng)中刪除有關(guān)于 US B驅(qū)動和效勞?？蛻舳藱?quán)限分配方案方案描述： 創(chuàng)立兩個用戶，一個用戶是超級用戸，另一個是普通用戶。超級用戶密碼由信息科管理，普 通 用戶自動登錄到系統(tǒng)。利用策略編借器把沒用的效勞、 權(quán)限、設(shè)備關(guān)掉。 如：共享權(quán)限，桌而屬性、 網(wǎng)上鄰 居、 USB 接口。普通用戶不能安裝、卸載軟件，不能停止效勞等。BIOS 的啟動，只允許 C 盤啟動，不允許從 LAN 、USB、CDROM 等硬盤分成三個區(qū) 系統(tǒng)

18、區(qū)，數(shù)據(jù)區(qū)，備份區(qū) 把盤式化成 NTFS 分區(qū) 說明：普通用戶不能更改 IP 設(shè)宜、平安策略、停止或啟動效勞等。IP 平安訪問方案一、通過設(shè)定IP平安策略，設(shè)左岀站的端口，僅僅是 1521 (ORACLE )，趨勢的殺毒軟 件端 口，也就是說， 工作站只能訪問數(shù)據(jù)庫效勞器， 不能訪問其它任何效勞。 如： HTTP, FTP, QQ 等，更不可能上網(wǎng)。二、通過設(shè)泄IP平安策略，關(guān)閉ICMP等協(xié)議，設(shè)泄入站的端口僅僅為遠(yuǎn)程管理端口?？梢杂行Х乐购诳?、木馬及沖擊波等攻擊。說明 : 通過此設(shè)置，工作站不能上網(wǎng)，只能訪問效勞器，也不能訪問別的電腦，也不能被別的電腦訪問?？头诉h(yuǎn)程效勞方案(中文版 RAMIN )方案描述：為了更快的為客服端解決問題、減少管理員來回跑的次數(shù)，建議所有的客戶機上安裝遠(yuǎn)程服務(wù)軟件，科室打來 后，管理員可以遠(yuǎn)