醫(yī)院網(wǎng)絡(luò)安全方案

1、構(gòu)筑醫(yī)院信息系統(tǒng)的全方位安全網(wǎng)絡(luò) 第一章 安全問題分析隨著醫(yī)院信息化程度越來越高，伴隨而來的的安全問題也日益突出，尤其是隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用項(xiàng)目越來越豐富，涉及到的人員越來越來越龐雜，部署策略越來越繁瑣，整個(gè)系統(tǒng)變得越復(fù)雜，醫(yī)院面對的安全風(fēng)險(xiǎn)也越來越大。如何有效地降低安全風(fēng)險(xiǎn)、降低安全成本，安全的策略顯得尤為重要。醫(yī)院的HIS系統(tǒng)是關(guān)鍵業(yè)務(wù)系統(tǒng)，需要系統(tǒng)不間斷運(yùn)行。即使發(fā)生短暫的業(yè)務(wù)中斷，也會導(dǎo)致難以估量的經(jīng)濟(jì)和名譽(yù)損失。為此，我們分析以下可能會導(dǎo)致業(yè)務(wù)系統(tǒng)中斷的原因：1 服務(wù)器硬件故障如服務(wù)器的數(shù)據(jù)/系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問，并進(jìn)而可能導(dǎo)致應(yīng)用進(jìn)程終止或系統(tǒng)停機(jī)，甚至系統(tǒng)

2、不能重啟動；網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)服務(wù)；CPU或內(nèi)存的失效則會導(dǎo)致系統(tǒng)的死機(jī)；2 主干交換機(jī)或干線的故障 如主干交換機(jī)死機(jī)、交換機(jī)配置出錯(cuò)、或干線線路出現(xiàn)意外故障。3 數(shù)據(jù)庫服務(wù)、操作系統(tǒng)出錯(cuò)由于操作系統(tǒng)或數(shù)據(jù)庫服務(wù)器中可能存在不完善的地方、或者配置不得當(dāng)，當(dāng)碰到某種激發(fā)事件時(shí)，數(shù)據(jù)庫服務(wù)器非正常終止或系統(tǒng)崩潰；4 人為錯(cuò)誤一些人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用服務(wù)進(jìn)程，也會導(dǎo)致系統(tǒng)服務(wù)的無法訪問；5 電腦病毒/黑客入侵由于目前的鄭州市的很多醫(yī)院的計(jì)算機(jī)和省市醫(yī)院醫(yī)保聯(lián)網(wǎng)，無論是物理還是邏輯上都是互通的，若缺少有效的防范機(jī)制，很容易遭受病毒的感染或者黑客的入侵，輕者

3、數(shù)據(jù)被損壞，系統(tǒng)數(shù)據(jù)被重者系統(tǒng)癱瘓；6 自然災(zāi)害由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計(jì)算機(jī)系統(tǒng)破壞，將會使一般系統(tǒng)的恢復(fù)非常困難和耗時(shí)，導(dǎo)致業(yè)務(wù)系統(tǒng)長時(shí)間的中斷（通過容災(zāi)系統(tǒng)來解決）。7 正常的停機(jī)主要指計(jì)劃內(nèi)的系統(tǒng)升級、安裝軟件、系統(tǒng)備份等過程。由上可見，影響系統(tǒng)安全運(yùn)行的因素有很多，但是，導(dǎo)致的系統(tǒng)中斷完全可以通過創(chuàng)建一個(gè)完整的安全策略的來有效避免。系統(tǒng)安全不僅是一個(gè)單一的安全防范問題，也不可能一時(shí)完會解決，而是一個(gè)整體的、全面的技術(shù)問題，同時(shí)安全也是一個(gè)長期的，動態(tài)的過程。因此我公司提出了在醫(yī)院建立全網(wǎng)安全的概念。在了解安全需求的基礎(chǔ)之上，從安全的規(guī)劃的角度看，應(yīng)遵循

4、以下原則：安全管理為本的原則、需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則，綜合性、整體性原則、適應(yīng)性及靈活性原則，多重保護(hù)原則。當(dāng)今的很多系統(tǒng)集成商力圖做到全自運(yùn)化，對于信息安全問題能夠做到自動發(fā)現(xiàn)、自動解決，。出發(fā)點(diǎn)固然是不錯(cuò)，希望方便用戶使用。但現(xiàn)實(shí)世界中的網(wǎng)絡(luò)安全問題太過復(fù)雜，一切都是機(jī)器和程序搞定的想法有些不切合實(shí)際。我公司認(rèn)為：在保衛(wèi)系統(tǒng)安全的過程中人應(yīng)該發(fā)揮人的能動性，做到主動出擊，而不是被動防御。居以上分析，我公司提出以下全網(wǎng)安全的解決方案： 第二章服務(wù)器操作系統(tǒng)和數(shù)據(jù)安全方案第一節(jié)雙機(jī)容錯(cuò)部分-解決由于服務(wù)器硬件故障、計(jì)劃停機(jī)造成的服務(wù)器停機(jī)11方案說明確要建立高可用的計(jì)算機(jī)處理系統(tǒng)，首先

5、，在硬件上，要做到各部件的冗余，多臺計(jì)算機(jī)組成集群結(jié)構(gòu)，使整個(gè)系統(tǒng)不存在單點(diǎn)故障；此外，還需要有專門的集群軟件來進(jìn)行管理和監(jiān)控，使得應(yīng)用系統(tǒng)在任何軟硬件單元發(fā)生故障時(shí)，能夠穩(wěn)定可靠地運(yùn)行。此外，在高可用系統(tǒng)設(shè)計(jì)時(shí)，還需考慮下述關(guān)鍵點(diǎn)： 應(yīng)用系統(tǒng)，主機(jī)/部件間的切換是非對用戶透明？ 故障發(fā)生時(shí)，是否需要人為干預(yù)？ 切換的速度如何？ 配置是否簡單方便，易于管理？與操作系統(tǒng)、應(yīng)用程序是否能密切配合？1.2 雙機(jī)容錯(cuò)部分構(gòu)成 例如：ROSE HA FOR WIN2003SERVER 容錯(cuò)軟件HP公司的F200磁盤陣列系統(tǒng)HPDL580G4兩臺1.3 方案簡介系統(tǒng)以WN2003為平臺，F(xiàn)200磁盤陣列及

6、ROSE HA軟件為核心，常用數(shù)據(jù)庫及網(wǎng)絡(luò)數(shù)據(jù)存放在磁盤陣列中，兩臺服務(wù)器只安裝本地系統(tǒng)文件及ROSE HA軟件，并作一主一從的熱備方式。當(dāng)系統(tǒng)啟動后：Rose HA首先啟動HA manager管理程序，然后啟動必要的服務(wù)和代理程序來監(jiān)控和管理系統(tǒng)服務(wù)。HA代理程序通過RS232或?qū)Ｓ镁W(wǎng)絡(luò)適配器來監(jiān)控、監(jiān)測、診斷和管理硬件、軟件服務(wù)。當(dāng)ROSE HA代理程序監(jiān)測到某個(gè)服務(wù)或硬件發(fā)生故障并作相應(yīng)處理后（可由用戶設(shè)定）仍不能成功時(shí)，則開始切換服務(wù)：將IP飄移到相同用戶名的另一臺Standby服務(wù)器上，磁盤陣列中的數(shù)據(jù)庫由主服務(wù)器切換到從服務(wù)器，并恢復(fù)所有的服務(wù)功能。完成整個(gè)切換過程，平均時(shí)間為40

7、秒，此時(shí)系統(tǒng)又進(jìn)入初始狀態(tài)。14系統(tǒng)特點(diǎn) 硬件結(jié)合實(shí)現(xiàn)真正意義上的數(shù)據(jù)與系統(tǒng)分離。 對硬件配置要求不高，服務(wù)器可采用不同或相差較大的配置。 系統(tǒng)切換時(shí)間短，平均切換時(shí)間為30秒，為目前同類軟件中最短。 系統(tǒng)效率高。因?yàn)檎麄€(gè)系統(tǒng)中數(shù)據(jù)讀寫、管理及容錯(cuò)由磁盤陣列來完成。而系統(tǒng)從服務(wù)器故障糾錯(cuò)處理由HA軟件來完成，而這兩個(gè)都是相對獨(dú)立的子系統(tǒng)。雙機(jī)容錯(cuò)監(jiān)控路徑為和RS232線路或10/100M自適應(yīng)網(wǎng)卡線路，既不占用主機(jī)CPU資源也不占用基礎(chǔ)網(wǎng)絡(luò)帶寬，因此系統(tǒng)效率高，這一點(diǎn)在實(shí)際的應(yīng)用中得到用戶的一致好評.15切換實(shí)例在本例中，兩臺應(yīng)用服務(wù)器分別運(yùn)行ORACLE SERVER數(shù)據(jù)庫。數(shù)據(jù)庫的數(shù)據(jù)存放

8、在形成鏡像的兩臺磁盤陣列中。ROSE HA通過ORACLE Server Agent監(jiān)控SQL數(shù)據(jù)庫的運(yùn)行狀況。當(dāng)主服務(wù)器發(fā)生意外故障時(shí)，ROSE HA ORACLE Database Agent會監(jiān)控到故障情況。通過心跳線協(xié)議，ROSE HA會將數(shù)據(jù)庫數(shù)據(jù)切換到備用機(jī)上。切換后，ROSE HA可以檢測數(shù)據(jù)的同步情況，如果數(shù)據(jù)正確無誤,ROSE HA將啟動上層的數(shù)據(jù)庫和應(yīng)用服務(wù)。第二節(jié) 遠(yuǎn)程備份、恢復(fù)方案 -解決由于機(jī)房失火、雷擊、失竊等機(jī)房的意外原因造成的數(shù)據(jù)丟失 21 系統(tǒng)構(gòu)成 備份軟件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版

9、備份服務(wù)器：醫(yī)院淘汰下來的服務(wù)器即可備份設(shè)備：建議醫(yī)院購買磁帶庫或SATA磁盤陣列柜備份目標(biāo)：HIS服務(wù)器和市醫(yī)保服務(wù)器、財(cái)務(wù)科服務(wù)器和服務(wù)器等22備份策略備份策略的好壞，決定恢復(fù)的速度與質(zhì)量，我們制定備份策略如下：災(zāi)難恢復(fù)啟動光盤+系統(tǒng)完全備份+數(shù)據(jù)庫完全備份+數(shù)據(jù)庫差別備份+數(shù)據(jù)庫日志備份災(zāi)難恢復(fù)啟動光盤：當(dāng)硬件有重大改到時(shí)重做。（可以快速的恢復(fù)操作系統(tǒng)，并且在恢復(fù)過程中不用操作系統(tǒng)安裝盤）系統(tǒng)完全備份：每月的系統(tǒng)完全備份數(shù)據(jù)庫完全備份：每周日的數(shù)據(jù)庫完全備份數(shù)據(jù)庫差別備份：每8小時(shí)的數(shù)據(jù)庫差別備份數(shù)據(jù)庫日志備份：每5分鐘的日志備份策略評價(jià)：優(yōu)點(diǎn)：備份速度快，恢復(fù)快并且是自動化，可保留二年

10、數(shù)據(jù)備份。23）恢復(fù)策略一）假定：當(dāng)機(jī)房失火或雷擊造成雙機(jī)系統(tǒng)的服務(wù)器硬件徹底損壞，恢復(fù)過程如下：（1） 恢復(fù)本周周日的數(shù)據(jù)庫完全備份到遠(yuǎn)程備份服務(wù)器上，大約5分鐘（2） 恢復(fù)本周日全備后的最近一次差別備份到遠(yuǎn)程備份服務(wù)器上，大約2分鐘（3） 恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘（4） 修改客戶端的INI或配置文件的SERVERNAME的值為遠(yuǎn)程備份服務(wù)器的名字，大約1-15分鐘。（如果客戶端程序在服務(wù)器上會快一些。）這樣可以保證客戶端運(yùn)行間斷不超過30分鐘，數(shù)據(jù)丟失不超過5分鐘。 二）假定：雙機(jī)系統(tǒng)中的磁盤陣列柜損壞，如控制器損壞。恢復(fù)過程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫完全備份

11、到主服務(wù)本地硬盤上，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份到主服務(wù)本地硬盤上，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）修改主服務(wù)器本地磁盤盤符，重新啟動SQL服務(wù)，大約2分鐘5）修改客戶端的INI或配置文件的SERVERNAME的值為主服務(wù)務(wù)器的名字，大約1-15分鐘。（如果客戶端程序在服務(wù)器上會快一些。）這樣可以保證客戶端運(yùn)行間斷不超過37分鐘，數(shù)據(jù)丟失不超過5分鐘。三）假定：正在使用數(shù)據(jù)庫置疑或被誤刪除，也就是說數(shù)據(jù)庫文件損壞，而數(shù)據(jù)庫服務(wù)沒有停止?；謴?fù)過程如下。1）恢復(fù)本周周日的數(shù)據(jù)庫完全備份，大約15分鐘2）恢復(fù)本周日全備后的最近一次的差別備份

12、，大約2分鐘3）恢復(fù)所有最近一次差別備份后的日志備份，大約15分鐘4）恢復(fù)活動日志（如果數(shù)據(jù)庫文件還存在的話）大約2分鐘。這樣可以保證客戶端運(yùn)行間斷不超過34分鐘，數(shù)據(jù)丟失不超過5分鐘，或者數(shù)據(jù)一點(diǎn)也不丟失。四）假定：雙機(jī)系統(tǒng)中的主服務(wù)器或備服務(wù)器其中一臺的操作系統(tǒng)盤損壞，而陣列柜的硬盤沒有問題?；謴?fù)過程如下：1）用系統(tǒng)恢復(fù)光盤恢復(fù)操作系統(tǒng)+上個(gè)月的系統(tǒng)全備。大約30分鐘左右?？蛻舳瞬皇苡绊?。數(shù)據(jù)不丟失。雙機(jī)容錯(cuò)和遠(yuǎn)程備份網(wǎng)絡(luò)示意圖第三節(jié) 服務(wù)器應(yīng)用層防火墻-解決來自內(nèi)部網(wǎng)絡(luò)攻擊問題1 系統(tǒng)構(gòu)成 WIN2003應(yīng)用層防火墻：微軟ISA2006中文版保護(hù)目標(biāo)：醫(yī)院所有WIN2003服務(wù)器不受內(nèi)部

13、攻擊1方案說明在防火墻上配置安全的策略，如：僅開放指定的端口和應(yīng)用，如：HIS服務(wù)器只允許ORACLE服務(wù)交換數(shù)據(jù)等。2對防火墻的攻擊測試 當(dāng)防火墻安裝完裝后，可以模擬攻擊，如：Smurf和Land-based、Ping of DeathSyn Flood和DoS攻擊等，分析防火墻抗攻擊能力。13經(jīng)常分析防火墻日志為防火墻指定一個(gè)日志服務(wù)器，在正常使用防火墻后，要經(jīng)常查看、分析日志，看看有沒有異常的連接請求和異常的數(shù)據(jù)包通過防火墻。分析日志的內(nèi)容應(yīng)包括：（1） 檢查日期和時(shí)間（2）跟蹤客戶端IP地址（3）檢查用戶請求的路徑和文件（4）了解訪問狀態(tài)（代碼） （5）檢查用戶代理 （6）查看訪問源頭

14、 第二章網(wǎng)絡(luò)安全方案第一節(jié) VLAN-邏輯隔離各個(gè)使用區(qū)11方案說明使用交換機(jī)的的功能，邏輯的把醫(yī)院的網(wǎng)絡(luò)劃分為個(gè)部分，每個(gè)部分分別屬于不同的網(wǎng)段，各個(gè)網(wǎng)段通過層路由根據(jù)路由策略和防火墻策略（應(yīng)用層防火墻）交換數(shù)據(jù)。各個(gè)部分的功能如下：HIS服務(wù)器區(qū) 放置HIS、PACS、LIS服務(wù)器客戶端區(qū) HIS客戶端醫(yī)保區(qū)市醫(yī)保服務(wù)器，省醫(yī)保路由器財(cái)務(wù)專用區(qū)財(cái)務(wù)科專用服務(wù)器和工作站公共區(qū)服務(wù)器，備份服務(wù)器，殺毒控制中心等。各個(gè)部分的訪問策略如下：HIS服務(wù)器區(qū) 只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)程備份?？蛻舳藚^(qū) 訪問公共區(qū)，服務(wù)器區(qū)，和醫(yī)保區(qū)醫(yī)保區(qū)只能被訪問。財(cái)務(wù)專用區(qū)只能訪問公共區(qū)，用來升級病毒庫和遠(yuǎn)

15、程備份。公共區(qū)只能被訪問。（配合防火墻策略）第二節(jié) 外網(wǎng)防火墻系統(tǒng)構(gòu)成：思科防火墻保護(hù)目標(biāo)：阻止通過醫(yī)保網(wǎng)絡(luò)，來自其他醫(yī)院的攻擊。防火墻的作用：一是可以限制他人進(jìn)入和其他醫(yī)院通過醫(yī)保網(wǎng)絡(luò)進(jìn)入醫(yī)院內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問其他醫(yī)院服務(wù)器；四是為監(jiān)視外網(wǎng)安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨(dú)立的網(wǎng)絡(luò)，例如外網(wǎng)等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實(shí)上，在外網(wǎng)上的服務(wù)器中，超過三分之一的服務(wù)器都是由某種形式的防火墻加以保護(hù)，這是對黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，建議醫(yī)保服務(wù)器

16、都建議放在防火墻之后。第三節(jié) 殺毒軟件在每臺接入網(wǎng)絡(luò)的電腦上安裝網(wǎng)絡(luò)版殺毒軟件，進(jìn)行統(tǒng)一升級，全網(wǎng)殺毒，并定期更新病毒庫和殺毒引擎。第四節(jié) 漏洞掃描和IDS /IPS使用漏洞掃描工具，對服務(wù)器和工作站以及交換設(shè)備進(jìn)行定期掃描，發(fā)現(xiàn)漏洞及打上補(bǔ)丁和修復(fù)。第三章客戶端安全方案PC接口安全解決方案一、 用普通小鎖鎖住機(jī)箱，防止隨意打開機(jī)箱，拆卸、增加設(shè)備。二、 給設(shè)安全密碼，防止任意進(jìn)入更改系統(tǒng)設(shè)置信息，在BIOS中將一些不使用的設(shè)備關(guān)閉，如：串口，USB口、軟驅(qū)接口，第二個(gè)IDE口等三、 操作系統(tǒng)中刪除有關(guān)于驅(qū)動和服務(wù)。客戶端權(quán)限分配方案 方案描述： 創(chuàng)建兩個(gè)用戶，一個(gè)用戶是超級用戶，另一個(gè)是普通

17、用戶。超級用戶密碼由信息科管理，普通用戶自動登錄到系統(tǒng)。利用策略編輯器把沒用的服務(wù)、權(quán)限、設(shè)備關(guān)掉。如：共享權(quán)限，桌面屬性、網(wǎng)上鄰居、USB接口。普通用戶不能安裝、卸載軟件，不能停止服務(wù)等。 BIOS的啟動，只允許C盤啟動，不允許從LAN、USB、CDROM等硬盤分成三個(gè)區(qū)系統(tǒng)區(qū)，數(shù)據(jù)區(qū)，備份區(qū)把盤式化成NTFS分區(qū)說明：普通用戶不能更改IP設(shè)置、安全策略、停止或啟動服務(wù)等。IP安全訪問方案一、 通過設(shè)定IP安全策略，設(shè)定出站的端口，僅僅是1521（ORACLE），趨勢的殺毒軟件端口，也就是說，工作站只能訪問數(shù)據(jù)庫服務(wù)器，不能訪問其它任何服務(wù)。如：HTTP，F(xiàn)TP，QQ等，更不可能上網(wǎng)。二、

18、通過設(shè)定IP安全策略，關(guān)閉ICMP等協(xié)議，設(shè)定入站的端口僅僅為遠(yuǎn)程管理端口。可以有效防止黑客、木馬及沖擊波等攻擊。說明:通過此設(shè)置，工作站不能上網(wǎng)，只能訪問服務(wù)器，也不能訪問別的電腦，也不能被別的電腦訪問。客服端遠(yuǎn)程服務(wù)方案 （中文版RAMIN）方案描述： 為了更快的為客服端解決問題、減少管理員來回跑的次數(shù)，建議所有的客戶機(jī)上安裝遠(yuǎn)程服務(wù)軟件，科室打來電話后，管理員可以遠(yuǎn)程操作其電腦，與其交互操作和講解。遠(yuǎn)程軟件安裝后，是以服務(wù)形式存在，不易被非法卸載或停止。我們已把客服端遠(yuǎn)程服務(wù)軟件做成安裝程序。操作系統(tǒng)恢復(fù)方案 一：用一鍵還原類的軟件，把操作系統(tǒng)備份到隱含分區(qū)。方案描述：解決操作系統(tǒng)重裝問題，如果操作需要重新裝，只要在客戶機(jī)啟動時(shí)按F10時(shí)，就自動恢復(fù)到系統(tǒng)安裝時(shí)狀態(tài)。二：通過網(wǎng)絡(luò)遠(yuǎn)程啟動操作系統(tǒng)或恢復(fù)操作系統(tǒng)。方案描述：需要在同一網(wǎng)段的一臺電腦上安裝遠(yuǎn)程啟動服務(wù)，客戶端操作系統(tǒng)傳至這臺電腦，當(dāng)客戶端需要恢復(fù)系統(tǒng)時(shí)，從網(wǎng)卡啟動就可以恢復(fù)或啟動系統(tǒng)。遠(yuǎn)程服務(wù)安全解決方案代理方式：一、 雙網(wǎng)卡