1、構筑醫院信息系統的全方位安全網絡 第一章 安全問題分析隨著醫院信息化程度越來越高，伴隨而來的的安全問題也日益突出，尤其是隨著網絡規模的不斷擴大，網絡應用項目越來越豐富，涉及到的人員越來越來越龐雜，部署策略越來越繁瑣，整個系統變得越復雜，醫院面對的安全風險也越來越大。如何有效地降低安全風險、降低安全成本，安全的策略顯得尤為重要。醫院的HIS系統是關鍵業務系統，需要系統不間斷運行。即使發生短暫的業務中斷，也會導致難以估量的經濟和名譽損失。為此，我們分析以下可能會導致業務系統中斷的原因：1 服務器硬件故障如服務器的數據/系統磁盤的損壞將導致數據不能訪問，并進而可能導致應用進程終止或系統停機，甚至系統

2、不能重啟動；網卡的損壞可使終端用戶無法訪問系統服務；CPU或內存的失效則會導致系統的死機；2 主干交換機或干線的故障 如主干交換機死機、交換機配置出錯、或干線線路出現意外故障。3 數據庫服務、操作系統出錯由于操作系統或數據庫服務器中可能存在不完善的地方、或者配置不得當，當碰到某種激發事件時，數據庫服務器非正常終止或系統崩潰；4 人為錯誤一些人工的誤操作，如刪除系統或應用文件，終止系統或應用服務進程，也會導致系統服務的無法訪問；5 電腦病毒/黑客入侵由于目前的鄭州市的很多醫院的計算機和省市醫院醫保聯網，無論是物理還是邏輯上都是互通的，若缺少有效的防范機制，很容易遭受病毒的感染或者黑客的入侵，輕者

3、數據被損壞，系統數據被重者系統癱瘓；6 自然災害由于一些意外的不可抗拒的因素，如雷擊、火災、洪災等導致的計算機系統破壞，將會使一般系統的恢復非常困難和耗時，導致業務系統長時間的中斷（通過容災系統來解決）。7 正常的停機1 / 12主要指計劃內的系統升級、安裝軟件、系統備份等過程。由上可見，影響系統安全運行的因素有很多，但是，導致的系統中斷完全可以通過創建一個完整的安全策略的來有效避免。系統安全不僅是一個單一的安全防范問題，也不可能一時完會解決，而是一個整體的、全面的技術問題，同時安全也是一個長期的，動態的過程。因此我公司提出了在醫院建立全網安全的概念。在了解安全需求的基礎之上，從安全的規劃的角

4、度看，應遵循以下原則：安全管理為本的原則、需求、風險、代價平衡分析的原則，綜合性、整體性原則、適應性及靈活性原則，多重保護原則。當今的很多系統集成商力圖做到全自運化，對于信息安全問題能夠做到自動發現、自動解決，。出發點固然是不錯，希望方便用戶使用。但現實世界中的網絡安全問題太過復雜，一切都是機器和程序搞定的想法有些不切合實際。我公司認為：在保衛系統安全的過程中人應該發揮人的能動性，做到主動出擊，而不是被動防御。居以上分析，我公司提出以下全網安全的解決方案： 第二章服務器操作系統和數據安全方案第一節雙機容錯部分-解決由于服務器硬件故障、計劃停機造成的服務器停機11方案說明確要建立高可用的計算機處

5、理系統，首先，在硬件上，要做到各部件的冗余，多臺計算機組成集群結構，使整個系統不存在單點故障；此外，還需要有專門的集群軟件來進行管理和監控，使得應用系統在任何軟硬件單元發生故障時，能夠穩定可靠地運行。此外，在高可用系統設計時，還需考慮下述關鍵點：· 應用系統，主機/部件間的切換是非對用戶透明？· 故障發生時，是否需要人為干預？· 切換的速度如何？· 配置是否簡單方便，易于管理？與操作系統、應用程序是否能密切配合？1.2 雙機容錯部分構成 例如：ROSE HA FOR WIN2003SERVER 容錯軟件HP公司的F200磁盤陣列系統HPDL580G4兩臺

6、1.3 方案簡介系統以WN2003為平臺，F200磁盤陣列及ROSE HA軟件為核心，常用數據庫及網絡數據存放在磁盤陣列中，兩臺服務器只安裝本地系統文件及ROSE HA軟件，并作一主一從的熱備方式。當系統啟動后：Rose HA首先啟動HA manager管理程序，然后啟動必要的服務和代理程序來監控和管理系統服務。HA代理程序通過RS232或專用網絡適配器來監控、監測、診斷和管理硬件、軟件服務。當ROSE HA代理程序監測到某個服務或硬件發生故障并作相應處理后（可由用戶設定）仍不能成功時，則開始切換服務：將IP飄移到相同用戶名的另一臺Standby服務器上，磁盤陣列中的數據庫由主服務器切換到從服

7、務器，并恢復所有的服務功能。完成整個切換過程，平均時間為40秒，此時系統又進入初始狀態。14系統特點Ø 硬件結合實現真正意義上的數據與系統分離。Ø 對硬件配置要求不高，服務器可采用不同或相差較大的配置。Ø 系統切換時間短，平均切換時間為30秒，為目前同類軟件中最短。Ø 系統效率高。因為整個系統中數據讀寫、管理及容錯由磁盤陣列來完成。而系統從服務器故障糾錯處理由HA軟件來完成，而這兩個都是相對獨立的子系統。雙機容錯監控路徑為和RS232線路或10/100M自適應網卡線路，既不占用主機CPU資源也不占用基礎網絡帶寬，因此系統效率高，這一點在實際的應用中得到用

8、戶的一致好評.15切換實例在本例中，兩臺應用服務器分別運行ORACLE SERVER數據庫。數據庫的數據存放在形成鏡像的兩臺磁盤陣列中。ROSE HA通過ORACLE Server Agent監控SQL數據庫的運行狀況。當主服務器發生意外故障時，ROSE HA ORACLE Database Agent會監控到故障情況。通過心跳線協議，ROSE HA會將數據庫數據切換到備用機上。切換后，ROSE HA可以檢測數據的同步情況，如果數據正確無誤,ROSE HA將啟動上層的數據庫和應用服務。第二節 遠程備份、恢復方案 -解決由于機房失火、雷擊、失竊等機房的意外原因造成的數據丟失 21 系統構成 備份

9、軟件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版備份服務器：醫院淘汰下來的服務器即可備份設備：建議醫院購買磁帶庫或SATA磁盤陣列柜備份目標：HIS服務器和市醫保服務器、財務科服務器和服務器等22備份策略備份策略的好壞，決定恢復的速度與質量，我們制定備份策略如下：災難恢復啟動光盤+系統完全備份+數據庫完全備份+數據庫差別備份+數據庫日志備份災難恢復啟動光盤：當硬件有重大改到時重做。（可以快速的恢復操作系統，并且在恢復過程中不用操作系統安裝盤）系統完全備份：每月的系統完全備份數據庫完全備份：每周日的數據庫完全備份數據庫差別備份：每8小時

10、的數據庫差別備份數據庫日志備份：每5分鐘的日志備份策略評價：優點：備份速度快，恢復快并且是自動化，可保留二年數據備份。23）恢復策略一）假定：當機房失火或雷擊造成雙機系統的服務器硬件徹底損壞，恢復過程如下：（1） 恢復本周周日的數據庫完全備份到遠程備份服務器上，大約5分鐘（2） 恢復本周日全備后的最近一次差別備份到遠程備份服務器上，大約2分鐘（3） 恢復所有最近一次差別備份后的日志備份，大約15分鐘（4） 修改客戶端的INI或配置文件的SERVERNAME的值為遠程備份服務器的名字，大約1-15分鐘。（如果客戶端程序在服務器上會快一些。）這樣可以保證客戶端運行間斷不超過30分鐘，數據丟失不超過

11、5分鐘。 二）假定：雙機系統中的磁盤陣列柜損壞，如控制器損壞。恢復過程如下。1）恢復本周周日的數據庫完全備份到主服務本地硬盤上，大約15分鐘2）恢復本周日全備后的最近一次的差別備份到主服務本地硬盤上，大約2分鐘3）恢復所有最近一次差別備份后的日志備份，大約15分鐘4）修改主服務器本地磁盤盤符，重新啟動SQL服務，大約2分鐘5）修改客戶端的INI或配置文件的SERVERNAME的值為主服務務器的名字，大約1-15分鐘。（如果客戶端程序在服務器上會快一些。）這樣可以保證客戶端運行間斷不超過37分鐘，數據丟失不超過5分鐘。三）假定：正在使用數據庫置疑或被誤刪除，也就是說數據庫文件損壞，而數據庫服務沒

12、有停止。恢復過程如下。1）恢復本周周日的數據庫完全備份，大約15分鐘2）恢復本周日全備后的最近一次的差別備份，大約2分鐘3）恢復所有最近一次差別備份后的日志備份，大約15分鐘4）恢復活動日志（如果數據庫文件還存在的話）大約2分鐘。這樣可以保證客戶端運行間斷不超過34分鐘，數據丟失不超過5分鐘，或者數據一點也不丟失。四）假定：雙機系統中的主服務器或備服務器其中一臺的操作系統盤損壞，而陣列柜的硬盤沒有問題。恢復過程如下：1）用系統恢復光盤恢復操作系統+上個月的系統全備。大約30分鐘左右。客戶端不受影響。數據不丟失。雙機容錯和遠程備份網絡示意圖第三節 服務器應用層防火墻-解決來自內部網絡攻擊問題1

13、系統構成 WIN2003應用層防火墻：微軟ISA2006中文版保護目標：醫院所有WIN2003服務器不受內部攻擊1方案說明在防火墻上配置安全的策略，如：僅開放指定的端口和應用，如：HIS服務器只允許ORACLE服務交換數據等。2對防火墻的攻擊測試 當防火墻安裝完裝后，可以模擬攻擊，如：Smurf和Land-based、Ping of Death  Syn Flood和DoS攻擊等，分析防火墻抗攻擊能力。13經常分析防火墻日志為防火墻指定一個日志服務器，在正常使用防火墻后，要經常查看、分析日志，看看有沒有異常的連接請求和異常的數據包通過防火墻。分析日志的內容應包括：（1） 檢

14、查日期和時間（2）跟蹤客戶端IP地址（3）檢查用戶請求的路徑和文件（4）了解訪問狀態（代碼） （5）檢查用戶代理 （6）查看訪問源頭 第二章網絡安全方案第一節 VLAN-邏輯隔離各個使用區11方案說明使用交換機的的功能，邏輯的把醫院的網絡劃分為個部分，每個部分分別屬于不同的網段，各個網段通過層路由根據路由策略和防火墻策略（應用層防火墻）交換數據。各個部分的功能如下：HIS服務器區 放置HIS、PACS、LIS服務器客戶端區 HIS客戶端醫保區市醫保服務器，省醫保路由器財務專用區財務科專用服務器和工作站公共區服務器，備份服務器，殺毒控制中心等。各個部分的訪問策略如下：HIS服務器區 只能訪問公共

15、區，用來升級病毒庫和遠程備份。客戶端區 訪問公共區，服務器區，和醫保區醫保區只能被訪問。財務專用區只能訪問公共區，用來升級病毒庫和遠程備份。公共區只能被訪問。（配合防火墻策略）第二節 外網防火墻系統構成：思科防火墻保護目標：阻止通過醫保網絡，來自其他醫院的攻擊。防火墻的作用：一是可以限制他人進入和其他醫院通過醫保網絡進入醫院內部網絡，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防御設施；三是限定用戶訪問其他醫院服務器；四是為監視外網安全提供方便。由于防火墻假設了網絡邊界和服務，因此更適合于相對獨立的網絡，例如外網等種類相對集中的網絡。防火墻正在成為控制對網絡系統訪問的非常流行的方法。事實

16、上，在外網上的服務器中，超過三分之一的服務器都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，建議醫保服務器都建議放在防火墻之后。第三節 殺毒軟件在每臺接入網絡的電腦上安裝網絡版殺毒軟件，進行統一升級，全網殺毒，并定期更新病毒庫和殺毒引擎。第四節 漏洞掃描和IDS /IPS使用漏洞掃描工具，對服務器和工作站以及交換設備進行定期掃描，發現漏洞及打上補丁和修復。第三章客戶端安全方案PC接口安全解決方案一、 用普通小鎖鎖住機箱，防止隨意打開機箱，拆卸、增加設備。二、 給設安全密碼，防止任意進入更改系統設置信息，在BIOS中將一些不使用的設備關閉，如：串口，USB口、軟驅接口，

17、第二個IDE口等三、 操作系統中刪除有關于驅動和服務。客戶端權限分配方案 方案描述： 創建兩個用戶，一個用戶是超級用戶，另一個是普通用戶。超級用戶密碼由信息科管理，普通用戶自動登錄到系統。利用策略編輯器把沒用的服務、權限、設備關掉。如：共享權限，桌面屬性、網上鄰居、USB接口。普通用戶不能安裝、卸載軟件，不能停止服務等。 BIOS的啟動，只允許C盤啟動，不允許從LAN、USB、CDROM等硬盤分成三個區系統區，數據區，備份區把盤式化成NTFS分區說明：普通用戶不能更改IP設置、安全策略、停止或啟動服務等。IP安全訪問方案一、 通過設定IP安全策略，設定出站的端口，僅僅是1521（ORACLE）

18、，趨勢的殺毒軟件端口，也就是說，工作站只能訪問數據庫服務器，不能訪問其它任何服務。如：HTTP，FTP，QQ等，更不可能上網。二、 通過設定IP安全策略，關閉ICMP等協議，設定入站的端口僅僅為遠程管理端口。可以有效防止黑客、木馬及沖擊波等攻擊。說明:通過此設置，工作站不能上網，只能訪問服務器，也不能訪問別的電腦，也不能被別的電腦訪問。客服端遠程服務方案 （中文版RAMIN）方案描述： 為了更快的為客服端解決問題、減少管理員來回跑的次數，建議所有的客戶機上安裝遠程服務軟件，科室打來電話后，管理員可以遠程操作其電腦，與其交互操作和講解。遠程軟件安裝后，是以服務形式存在，不易被非法卸載或停止。我們已把客服端遠程服務軟件做成安裝程序。操作系統恢復方案 一：用一鍵還原類的軟件，把操作系統備份到隱含分區。方案描述：解決操作系統重裝問題，如果操作需要重新裝，只要在客戶機啟動時按F10時，就自動恢復到系統安裝時狀態。二：通過網絡遠程啟動操作系統或恢復操作系統。方案描述：需要在同一網段的一臺電腦上安裝遠程啟動服務，客戶端操作系統傳至這臺電腦，當客戶端需要恢復系統時，從網卡啟動就可以恢復或啟動系統。遠程服務安全解決方案代理方式：一、 雙網卡的方式做代理的電