医院网络安全方案

客户端不受影响。数据不丢失。 双机容错和远程备份网络示意图
第3节 服务器应用层防火墙 ------解决来自内部网络攻击问题
３．1 系统构成 WIN2003应用层防火墙：微软 ISA2006中文版
保护目标：医院所有WIN2003服务器不受内部攻击 ３．1方案说明 在防火墙上配置安全的策略，如：仅开放指定的端口和应用， 如：HIS服务器只允许ORACLE服务交换数据等。 ３．2对防火墙的攻击测试 当防火墙安装完装后，可以模拟攻击，如：Smurf和Land-based、 Ping of Death
应用系统，主机/部件间的切换是非对用户透明？ 故障发生时，是否需要人为干预？ 切换的速度如何？ 配置是否简单方便，易于管理？ 与操作系统、应用程序是否能密切配合？ 1.2 双机容错部分构成 例如： ROSE HA FOR WIN2003SERVER 容错软件
HP公司的F200磁盘阵列系统
HPDL580G4两台
1． 服务器硬件故障 如服务器的数据/系统磁盘的损坏将导致数据不能访问，并进而可
能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可 使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死 机；
2． 主干交换机或干线的故障 如主干交换机死机、交换机配置出错、或干线线路出现意外故
障。 3． 数据库服务、操作系统出错
端程序在服务器上会快一些。） 这样可以保证客户端运行间断不超过30分钟，数据丢失不超过5 分钟。 二）假定：双机系统中的磁盘阵列柜损坏，如控制器损坏。恢复过 程如下。 1）恢复本周周日的数据库完全备份到主服务本地硬盘上，大约15 分钟 2）恢复本周日全备后的最近一次的差别备份到主服务本地硬盘 上，大约2分钟 3）恢复所有最近一次差别备份后的日志备份，大约15分钟 4）修改主服务器本地磁盘盘符，重新启动SQL服务，大约2分钟 5）修改客户端的INI或配置文件的SERVERNAME的值为主服务 务器的名字，大约1-15分钟。（如果客户端程序在服务器上会快 一些。） 这样可以保证客户端运行间断不超过37分钟，数据丢失不超过5 分钟。 三）假定：正在使用数据库置疑或被误删除，也就是说数据库文件损 坏，而数据库服务没有停止。恢复过程如下。 1）恢复本周周日的数据库完全备份，大约15分钟 2）恢复本周日全备后的最近一次的差别备份，大约2分钟 3）恢复所有最近一次差别备份后的日志备份，大约15分钟 4）恢复活动日志（如果数据库文件还存在的话）大约2分钟。 这样可以保证客户端运行间断不超过34分钟，数据丢失不超过5 分钟，或者数据一点也不丢失。 四）假定：双机系统中的主服务器或备服务器其中一台的操作系统盘 损坏，而阵列柜的硬盘没有问题。恢复过程如下： 1）用系统恢复光盘恢复操作系统+上个月的系统全备。大约30分 钟左右。
第3节 杀毒软件
在每台接入网络的电脑上安装网络版杀毒软件，进行统一升 级，全网杀毒，并定期更新病毒库和杀毒引擎。
第4节 漏洞扫描和IDS /IPS
使用漏洞扫描工具，对服务器和工作站以及交换设备进行定期 扫描，发现漏洞及打上补丁和修复。
第三章 客户端安全方案
PC接口安全解决方案 1、 用普通小锁锁住机箱，防止随意打开机箱，拆卸、增加设 备。 2、 给ＢＩＯＳ设安全密码，防止任意进入更改系统设置信息， 在BIOS中将一些不使用的设备关闭，如：串口，USB口、软 驱接口，第二个IDE口等 3、 操作系统中删除有关于ＵＳＢ驱动和服务。
第2节 外网防火墙
系统构成：思科防火墙 保护目标：阻止通过医保网络，来自其他医院的攻击。
防火墙的作用：
一是可以限制他人进入和其他医院通过医保网络进入医院内部网 络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设 施；三是限定用户访问其他医院服务器；四是为监视外网安全提供方 便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网 络，例如外网等种类相对集中的网络。防火墙正在成为控制对网络系 统访问的非常流行的方法。事实上，在外网上的服务器中，超过三分 之一的服务器都是由某种形式的防火墙加以保护，这是对黑客防范最 严，安全性较强的一种方式，建议医保服务器都建议放在防火墙之 后。
是物理还是逻辑上都是互通的，若缺少有效的防范机制，很容易遭受病 毒的感染或者黑客的入侵，轻者数据被损坏，系统数据被重者系统瘫 痪；
6． 自然灾害 由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机 系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时 间的中断（通过容灾系统来解决）。
等。 各个部分的访问策略如下： HIS服务器区 只能访问公共区，用来升级病毒库和远程备 份。 ＨＩＳ客户端区 访问公共区，ＨＩＳ服务器区，和医保区 医保区 只能被访问。 财务专用区 只能访问公共区，用来升级病毒库和远程 备份。 公共区 只能被访问。（配合防火墙策略）
库的数据存放在形成镜像的两台磁盘阵列中。ROSE
HA通过ORACLE
Server Agent监控SQL数据库的运行状况。
当主服务器发生意外故障时，ROSE HA ORACLE Database Agent会
监控到故障情况。通过心跳线协议，ROSE HA会将数据库数据切换到备
用机上。切换后，ROSE HA可以检测数据的同步情况，如果数据正确无
1.3 方案简介 系统以WN2003为平台，F200磁盘阵列及ROSE HA软件为核心， 常用数据库及网络数据存放在磁盘阵列中，两台服务器只安装本地系统 文件及ROSE HA软件，并作一主一从的热备方式。当系统启动后： Rose HA首先启动HA manager管理程序，然后启动必要的服务和代理 程序来监控和管理系统服务。HA代理程序通过RS232或专用网络适配 器来监控、监测、诊断和管理硬件、软件服务。 当ROSE HA代理程序监测到某个服务或硬件发生故障并作相应处 理后（可由用户设定）仍不能成功时，则开始切换服务：将IP飘移到相 同用户名的另一台Standby服务器上，磁盘阵列中的数据库由主服务器
7． 正常的停机 主要指计划内的系统升级、安装软件、系统备份等过程。
由上可见，影响系统安全运行的因素有很多，但是，导致的系统 中断完全可以通过创建一个完整的安全策略的来有效避免。
系统安全不仅是一个单一的安全防范问题，也不可能一时完会解 决，而是一个整体的、全面的技术问题，同时安全也是一个长期的，动 态的过程。因此我公司提出了在医院建立全网安全的概念。在了解安全 需求的基础之上，从安全的规划的角度看，应遵循以下原则：安全管理 为本的原则、需求、风险、代价平衡分析的原则，综合性、整体性原 则、适应性及灵活性原则，多重保护原则。
第二章 服务器操作系统和数据安全方案
第一节 双机容错部分------解决由于服务器硬件故障、计划停机造
成的服务器停机 1．1方案说明 确要建立高可用的计算机处理系统，首先，在硬件上，要做到各部
件的冗余，多台计算机组成集群结构，使整个系统不存在单点故障；此 外，还需要有专门的集群软件来进行管理和监控，使得应用系统在任何 软硬件单元发生故障时，能够稳定可靠地运行。此外，在高可用系统设 计时，还需考虑下述关键点：
当今的很多系统集成商力图做到全自运化，对于信息安全问题能 够做到自动发现、自动解决，。出发点固然是不错，希望方便用户使 用。但现实世界中的网络安全问题太过复杂，一切都是机器和程序搞定 的想法有些不切合实际。我公司认为：在保卫系统安全的过程中人应该 发挥人的能动性，做到主动出击，而不是被动防御。
居以上分析，我公司提出以下全网安全的解决方案：
列来完成。而系统从服务器故障纠错处理由HA软件来完成，而
这两个都是相对独立的子系统。双机容错监控路径为和RS232
线路或10/100M自适应网卡线路，既不占用主机CPU资源也不
占用基础网络带宽，因此系统效率高，这一点在实际的应用中
得到用户的一致好评.
1．5切换实例
在本例中，两台应用服务器分别运行ORACLE SERVER数据库。数据
安全网络
构筑医院信息系统的全方位
第一章 安全问题分析
随着医院信息化程度越来越高，伴随而来的的安全问题也日益突 出，尤其是随着网络规模的不断扩大，网络应用项目越来越丰富，涉及 到的人员越来越来越庞杂，部署策略越来越繁琐，整个系统变得越复 杂，医院面对的安全风险也越来越大。如何有效地降低安全风险、降低 安全成本，安全的策略显得尤为重要。医院的HIS系统是关键业务系 统，需要系统不间断运行。即使发生短暂的业务中断，也会导致难以估 量的经济和名誉损失。为此，我们分析以下可能会导致业务系统中断的 原因：
Syn Flood和DoS攻击等，分析防火墙抗攻击能力。 1．3经常分析防火墙日志 为防火墙指定一个日志服务器，在正常使用防火墙后，要经常查 看、分析日志，看看有没有异常的连接请求和异常的数据包通过防火 墙。 分析日志的内容应包括：
（1） 检查日期和时间 （2）跟踪客户端IP地址 （3）检查用户请求的路径和文件 （4）了解访问状态（代码） （5）检查用户代理 （6）查看访问源头
第二章 网络安全方案
第1节 VLAN------逻辑隔离各个使用区
1．1方案说明 使用交换机的ＶＬＡＮ的功能，逻辑的把医院的网络划分为５个 部分，每个部分分别属于不同的ＩＰ网段，各个网段通过３层路 由根据路由策略和防火墙策略（应用层防火墙）交换数据。 各个部分的功能如下： HIS服务器区 放置HIS、PACS、LIS服务器 ＨＩＳ客户端区 HIS客户端 医保区 市医保服务器，省医保路由器 财务专用区 财务科专用服务器和工作站 公共区 ＯＡ服务器，备份服务器，杀毒控制中心
误,ROSE HA将启动上层的数据库和应用服务。
第2节 远程备份、恢复方案
-------解决由于机房失火、雷击、失窃等机房的意外 原因造成的数据丢失 2．1 系统构成
备份软件：VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER中文版
备份服务器：医院淘汰下来的服务器即可 备份设备：建议医院购买磁带库或SATA磁盘阵列柜 备份目标：HIS服务器和市医保服务器、财务科服务器和ＯＡ服务 器等 2．2备份策略 备份策略的好坏，决定恢复的速度与质量，我们制定备份策略如 下： 灾难恢复启动光盘+系统完全备份+数据库完全备份+数据库差别备 份+数据库日志备份 灾难恢复启动光盘：当硬件有重大改到时重做。（可以快速的恢复 操作系统，并且在恢复过程中不用操作系统安装盘） 系统完全备份：每月的系统完全备份 数据库完全备份：每周日的数据库完全备份 数据库差别备份：每8小时的数据库差别备份 数据库日志备份：每5分钟的日志备份 策略评价：优点：备份速度快，恢复快并且是自动化，可保留二年 数据备份。 2．3）恢复策略 一）假定：当机房失火或雷击造成双机系统的服务器硬件彻底损 坏，恢复过程如下：
切换到从服务器，并恢复所来自百度文库的服务功能。完成整个切换过程，平均时
间为40秒，此时系统又进入初始状态。
1．4系统特点
硬件结合实现真正意义上的数据与系统分离。
对硬件配置要求不高，服务器可采用不同或相差较大的配置。
系统切换时间短，平均切换时间为30秒，为目前同类软件中最
短。
系统效率高。因为整个系统中数据读写、管理及容错由磁盘阵
由于操作系统或数据库服务器中可能存在不完善的地方、或者配置不得 当，当碰到某种激发事件时，数据库服务器非正常终止或系统崩溃；
4． 人为错误 一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进 程，也会导致系统服务的无法访问；
5． 电脑病毒/黑客入侵 由于目前的郑州市的很多医院的计算机和省市医院医保联网，无论
（1） 恢复本周周日的数据库完全备份到远程备份服务器 上，大约5分钟
（2） 恢复本周日全备后的最近一次差别备份到远程备份服 务器上，大约2分钟
（3） 恢复所有最近一次差别备份后的日志备份，大约15分 钟
（4） 修改客户端的INI或配置文件的SERVERNAME的值为 远程备份服务器的名字，大约1-15分钟。（如果客户