2010 年 6 月 1 构筑医院信息系统的全方位安全网络构筑医院信息系统的全方位安全网络 第一章 安全问题分析第一章 安全问题分析 随着医院信息化程度越来越高， 伴随而来的的安全问题也日益突出， 尤其是随着网络规 模的不断扩大，网络应用项目越来越丰富，涉及到的人员越来越来越庞杂，部署策略越来越 繁琐，整个系统变得越复杂，医院面对的安全风险也越来越大。如何有效地降低安全风险、 降低安全成本，安全的策略显得尤为重要。医院的 HIS 系统是关键业务系统，需要系统不间 断运行。即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。为此，我们分析 以下可能会导致业务系统中断的原因： 1 服务器硬件故障 如服务器的数据/系统磁盘的损坏将导致数据不能访问， 并进而可能导致应用进程终止 或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU 或内 存的失效则会导致系统的死机； 2 主干交换机或干线的故障 如主干交换机死机、交换机配置出错、或干线线路出现意外故障。 3 数据库服务、操作系统出错 由于操作系统或数据库服务器中可能存在不完善的地方、 或者配置不得当， 当碰到某种激发 事件时，数据库服务器非正常终止或系统崩溃； 4 人为错误 一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致系统服务 的无法访问； 5 电脑病毒/黑客入侵 由于目前的郑州市的很多医院的计算机和省市医院医保联网， 无论是物理还是逻辑上都 是互通的，若缺少有效的防范机制，很容易遭受病毒的感染或者黑客的入侵，轻者数据被损 坏，系统数据被重者系统瘫痪； 6 自然灾害 由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一 般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决） 。 2010 年 6 月 2 7 正常的停机 主要指计划内的系统升级、安装软件、系统备份等过程。 由上可见，影响系统安全运行的因素有很多，但是，导致的系统中断完全可以通过创 建一个完整的安全策略的来有效避免。 系统安全不仅是一个单一的安全防范问题， 也不可能一时完会解决， 而是一个整体的、 全面的技术问题，同时安全也是一个长期的，动态的过程。因此我公司提出了在医院建立全 网安全的概念。在了解安全需求的基础之上，从安全的规划的角度看，应遵循以下原则 ： 安 全管理为本的原则、需求、风险、代价平衡分析的原则，综合性、整体性原则、适应性及灵 活性原则，多重保护原则。 当今的很多系统集成商力图做到全自运化， 对于信息安全问题能够做到自动发现、 自 动解决， 。出发点固然是不错，希望方便用户使用。但现实世界中的网络安全问题太过复杂， 一切都是机器和程序搞定的想法有些不切合实际。我公司认为 ： 在保卫系统安全的过程中人 应该发挥人的能动性，做到主动出击，而不是被动防御。 居以上分析，我公司提出以下全网安全的解决方案： 第二章服务器操作系统和数据安全方案第二章服务器操作系统和数据安全方案 第一节第一节双机容错部分-解决由于服务器硬件故障、计划停机造成的服务器停机双机容错部分-解决由于服务器硬件故障、计划停机造成的服务器停机 11 方案说明 确要建立高可用的计算机处理系统，首先，在硬件上，要做到各部件的冗余，多台计算 机组成集群结构，使整个系统不存在单点故障 ； 此外，还需要有专门的集群软件来进行管理 和监控，使得应用系统在任何软硬件单元发生故障时，能够稳定可靠地运行。此外，在高可 用系统设计时，还需考虑下述关键点： 应用系统，主机/部件间的切换是非对用户透明？ 故障发生时，是否需要人为干预？ 切换的速度如何？ 配置是否简单方便，易于管理？ 与操作系统、应用程序是否能密切配合？ 1.2 双机容错部分构成 例如： 2010 年 6 月 3 ROSE HA FOR WIN2003SERVER 容错软件 HP 公司的 F200 磁盘阵列系统 HPDL580G4 两台 1.3 方案简介 系统以 WN2003 为平台， F200 磁盘阵列及 ROSE HA 软件为核心， 常用数据库及网络 数据存放在磁盘阵列中， 两台服务器只安装本地系统文件及 ROSE HA 软件， 并作一主一从 的热备方式。当系统启动后：Rose HA 首先启动 HA manager 管理程序，然后启动必要的 服务和代理程序来监控和管理系统服务。HA 代理程序通过 RS232 或专用网络适配器来监 控、监测、诊断和管理硬件、软件服务。 当 ROSE HA 代理程序监测到某个服务或硬件发生故障并作相应处理后（可由用户设 定）仍不能成功时，则开始切换服务 ： 将 IP 飘移到相同用户名的另一台 Standby 服务器上， 磁盘阵列中的数据库由主服务器切换到从服务器， 并恢复所有的服务功能。 完成整个切换过 程，平均时间为 40 秒，此时系统又进入初始状态。 14 系统特点 硬件结合实现真正意义上的数据与系统分离。 对硬件配置要求不高，服务器可采用不同或相差较大的配置。 系统切换时间短，平均切换时间为 30 秒，为目前同类软件中最短。 系统效率高。因为整个系统中数据读写、管理及容错由磁盘阵列来完成。而系 统从服务器故障纠错处理由 HA 软件来完成，而这两个都是相对独立的子系统。双机容 错监控路径为和 RS232 线路或 10/100M 自适应网卡线路，既不占用主机 CPU 资源也 不占用基础网络带宽，因此系统效率高，这一点在实际的应用中得到用户的一致好评. 15 切换实例 在本例中， 两台应用服务器分别运行 ORACLE SERVER 数据库。 数据库的数据存放在形成 镜像的两台磁盘阵列中。ROSE HA 通过 ORACLE Server Agent 监控 SQL 数据库的运行状况。 当主服务器发生意外故障时，ROSE HA ORACLE Database Agent 会监控到故障情况。通 过心跳线协议，ROSE HA 会将数据库数据切换到备用机上。切换后，ROSE HA 可以检测数据 的同步情况，如果数据正确无误,ROSE HA 将启动上层的数据库和应用服务。 2010 年 6 月 4 第二节远程备份、恢复方案 第二节远程备份、恢复方案 -解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丢失 -解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丢失 21 系统构成 21 系统构成 备份软件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER 中文版 备份服务器：医院淘汰下来的服务器即可 备份设备：建议医院购买磁带库或 SATA 磁盘阵列柜 备份目标：HIS 服务器和市医保服务器、财务科服务器和服务器等 22 备份策略备份策略 备份策略的好坏，决定恢复的速度与质量，我们制定备份策略如下： 灾难恢复启动光盘灾难恢复启动光盘+系统完全备份系统完全备份+数据库完全备份数据库完全备份+数据库差别备份数据库差别备份+数据库日志备份数据库日志备份 灾难恢复启动光盘：当硬件有重大改到时重做。 （可以快速的恢复操作系统，并且在恢 复过程中不用操作系统安装盘） 系统完全备份：每月的系统完全备份 数据库完全备份：每周日的数据库完全备份 数据库差别备份：每 8 小时的数据库差别备份 数据库日志备份：每 5 分钟的日志备份 策略评价：优点：备份速度快，恢复快并且是自动化，可保留二年数据备份。 23）恢复策略）恢复策略 一）假定：当机房失火或雷击造成双机系统的服务器硬件彻底损坏当机房失火或雷击造成双机系统的服务器硬件彻底损坏，恢复过程如下： （1）恢复本周周日的数据库完全备份到远程备份服务器上，大约 5 分钟 （2）恢复本周日全备后的最近一次差别备份到远程备份服务器上，大约 2 分钟 （3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟 （4）修改客户端的 INI 或配置文件的 SERVERNAME 的值为远程备份服务器的 名字，大约 1-15 分钟。 （如果客户端程序在服务器上会快一些。 ） 这样可以保证客户端运行间断不超过这样可以保证客户端运行间断不超过 30 分钟，数据丢失不超过分钟，数据丢失不超过 5 分钟分钟。 二）假定：双机系统中的磁盘阵列柜损坏，如控制器损坏双机系统中的磁盘阵列柜损坏，如控制器损坏。恢复过程如下。 1）恢复本周周日的数据库完全备份到主服务本地硬盘上，大约 15 分钟 2）恢复本周日全备后的最近一次的差别备份到主服务本地硬盘上，大约 2 分钟 2010 年 6 月 5 3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟 4）修改主服务器本地磁盘盘符，重新启动 SQL 服务，大约 2 分钟 5）修改客户端的 INI 或配置文件的 SERVERNAME 的值为主服务务器的名字，大 约 1-15 分钟。 （如果客户端程序在服务器上会快一些。 ） 这样可以保证客户端运行间断不超过这样可以保证客户端运行间断不超过 37 分钟，数据丢失不超过分钟，数据丢失不超过 5 分钟。分钟。 三）假定：正在使用数据库置疑或被误删除，也就是说数据库文件损坏，而数据库服务没 有停止 正在使用数据库置疑或被误删除，也就是说数据库文件损坏，而数据库服务没 有停止。恢复过程如下。 1）恢复本周周日的数据库完全备份，大约 15 分钟 2）恢复本周日全备后的最近一次的差别备份，大约 2 分钟 3）恢复所有最近一次差别备份后的日志备份，大约 15 分钟 4）恢复活动日志（如果数据库文件还存在的话）大约 2 分钟。 这样可以保证客户端运行间断不超过这样可以保证客户端运行间断不超过 34 分钟，数据丢失不超过分钟，数据丢失不超过 5 分钟，或者数据 一点也不丢失。 分钟，或者数据 一点也不丢失。 四）假定：双机系统中的主服务器或备服务器其中一台的操作系统盘损坏，而阵列柜的硬 盘没有问题 主服务器或备服务器其中一台的操作系统盘损坏，而阵列柜的硬 盘没有问题。恢复过程如下： 1）用系统恢复光盘恢复操作系统+上个月的系统全备。大约 30 分钟左右。 客户端不受影响。数据不丢失。 双机容错和远程备份网络示意图双机容错和远程备份网络示意图 2010 年 6 月 6 第三节服务器应用层防火墙第三节服务器应用层防火墙 -解决来自内部网络攻击问题解决来自内部网络攻击问题 1 系统构成1 系统构成 WIN2003 应用层防火墙：微软ISA2006 中文版 保护目标：医院所有 WIN2003 服务器不受内部攻击 1 方案说明 在防火墙上配置安全的策略，如：仅开放指定的端口和应用，如：HIS 服务器只允 许 ORACLE 服务交换数据等。 2 对防火墙的攻击测试 当防火墙安装完装后，可以模拟攻击，如：Smurf 和 Land-based、Ping of Death Syn Flood 和 DoS 攻击等，分析防火墙抗攻击能力。 13 经常分析防火墙日志 为防火墙指定一个日志服务器，在正常使用防火墙后，要经常查看、分析日志，看看有 没有异常的连接请求和异常的数据包通过防火墙。 2010 年 6 月 7 分析日志的内容应包括： （1）检查日期和时间 （2）跟踪客户端 IP 地址 （3）检查用户请求的路径和文件 （4）了解访问状态（代码） （5）检查用户代理 （6）查看访问源头 第二章网络安全方案第二章网络安全方案 第一节第一节VLAN-VLAN-逻辑隔离各个使用区逻辑隔离各个使用区 2010 年 6 月 8 11 方案说明 使用交换机的的功能，逻辑的把医院的网络划分为个部分，每个部分分 别属于不同