安全生产_某大型机构信息系统安全规划解决方案培训资料

北医信息系统安全规划方案2016-051 概述信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度，更是一项事关国家安全及社会稳定的政治任务。年 月，卫生部发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函号），要求卫生行业全 面 开 展 信 息 安 全 等 级 保 护 工 作，同 时 发 布卫生行业信息安全等级保护工作的指导意见（卫办发号），结合卫生行业实际，为规范和指导全国卫生行业信息安全等级保护工作，提供了指导意见。卫生行业实施信息安全等级保护制度工作全面开启。医院信息系统 （）是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。医院信息系统必须按照要求，全面实施信息安全等级保护制度，以确保医院信息系统数据安全。年，国务院发布了中华人民共和国计算机信息系统安全保护条例（国务院 号令），规定计算机信息系统实行安全等级保护。年 月，公安部等四部委联合发布关于信息安全等级保护工作的实施意见（公通字号），明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。年 月，信息安全等级保护管理办法（公通字号）正式出台，为开展信息安全等级保护工作提供了规范保障。随后，国家相继出台了计算机信息系统安全保护等级划分准则、信息系统安全保护等级定级指南、信息系统安全保护等级基本要求、信息系统安全等级保护测评要求等多种安全标准实施办法。用友作为整体解决方案提供商，在医院系统架构中我们将以数据安全作为方案重点根据国家标准并结合当前成熟的软硬件技术进行系统软件、硬件设计及架构，如果选择用友提供整体解决方案，医院管理系统可以实现最好的应用效果和最大的经济效益。2 总体设计目标系统具有较强的伸缩性和可扩展性，不但能够满足目前北医日常信息录入、查询、报表分析等业务操作的需求，而且对今后北医业务增加或访问量增大也具有良好的扩展性，实现业务和系统性能的线性增长。功能、性能满足需求的同时，数据安全是我们关注的重点方面，通过安全域划分、边界安全防护、身份鉴别、服务器容错和备份恢复等手段，用友信息系统可以多角度全方位的保证医疗信息系统的数据安全。3 安全总体实现目标3.1 安全定级医疗信息系统的准确定级十分关键，如果信息系统的定级不科学，那么依据定级结果建设的信息安全体系将事与愿违，甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。信息系统安全保护等级：（一）第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。（二）第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。（三）第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。（四）第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。（五）第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。卫生部卫生行业信息安全等级保护工作的指导意见（卫办发号）的有关指导意见，北医系统安全保护等级原则上不低于第二级。附：监督管理办法第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。（一）第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。（二）第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。（三）第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。（四）第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。（五）第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。3.2 安全域划分对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。在网络划分时主要分为外网、内网和DMZ区。用友应用服务器放置在DMZ，可以允许外网和内网的访问，数据库系统放置在内部网与应用服务器通过专用交换机通讯。这样可以实现不同安全等级的安全域分开管理互不影响。3.3 边界安全防护网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施，既可以使边界内部免遭外部攻击，也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面，在安全事件发生前，通过收集并分析安全日志以及各种入侵检测事件，能够及早发现攻击企图；另一方面，在安全事件发生后，又可以通过所记录的入侵事件来进行审计追踪。在安全域之间设置的防火墙和端口绑定和VLAN划分可以最大限度的防止IP欺骗或饱和攻击等流行的网络入侵和攻击。3.4 身份鉴别对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求，采用电子认证服务，并应当遵循卫生系统数字证书应用集成规范进行建设，根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。3.5 传输数据加密 为了防止数据监听导致的信息外泄。UAP在客户端-应用服务器-数据库服务器采取了全程数据加密策略，即使有人非法获取了中间的通讯数据流，因为数据已经加密，也无法得知数据的实际含义。3.6 服务器容错数据库服务器建议采用ORACLE的RAC组件构建数据库集群，WEB应用服务器采用IBM WebSphere App Server网络版，并采用集群架构。基于集群的架构，所有服务器中如果一台主机宕机，另外一台主机仍然正常工作。并且服务器及网络部署中，所有关键部位都为冗余设计，如存储、服务器电源都可以采用双电源方案，网卡可以通过AFT技术实现冗余切换。3.7 备份与恢复备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足系统不间断运行的需要。数据库备份将综合采用冷备份和热备份相结合，可以支持医疗系统7*24不间断运行。即使发生自然灾害或人为误操作行为，也可以快速还原保证系统连续运行3.8 日志审计系统运行期通过NMC可以对系统运行日志进行安全审计，定期提供审计报告。通过审计报告可以清晰的了解系统运行的状态，如果发现流量或访问数异常时可以分析该时间区间的日志，确定导致异常的原因。4 系统集成方案针对北医数据安全的考虑，采用集中式部署，中心数据服务器和内外网应用服务器都采用集群方式部署，配置磁带库进行数据备份，集群系统可以保证系统的稳定和数据的安全。公司所有用户都通过浏览器方式（WEB SERVER）基于B/S架构访问公司应用服务器及数据服务器，操作使用该系统。公司内外网分离，内部网络部署数据库服务器和应用服务器。多级防火墙可以有效屏蔽网络渗透和网络攻击，监控服务器和证书服务器主要负责日志审计和证书确认。图：北医系统网络部署简图*建议本次开发项目数据库主机应用AIX平台，从而提供系统的可靠性和稳定性的同时对用户的投资予以最大保护。建议所有应用服务器主机采用WINDOWS平台，业务系统中间件软件采用IBM WebSphere App Server中间件。根据北医的性能与可靠性要求，需满足7*24小时无故障的运行，建议通过F5的负载均衡设备实现应用系统的集群（或者通过IBM WebSphere App Server自带集群分发器实现应用请求负载）。核心数据库系统建议采用ORACLE，如果采用ORACLE建议以共享存储方式运行ORACLE的RAC组件，能大大提高数据的高可靠性和高负载能力，数据库服务器还高速通过8G光纤以LANFREE方式接入SAN存储。具体部署如下4.1 ？总体架构设计在本项目中采用企业架构的设计方法论。针对北医系统设计的业务系统架构如下图所示： 网络架构：通过F5系统实现对外链路负载及对内的应用负载。 应用架构：应用架构用于实现对业务架构的支持，包括应用服务器集群及查询应用服务器集群的2套WAS集群。 数据库架构：在不同的行业，数据库都越来越变得重要。本方案采用业务数据库与查询业务数据分离方式，在内网建设2套RAC集群Oracle数据库。 服务器架构：在本方案中核心服务器为2台数据库服务器，推荐使用IBM P750，通过PowerHA及Oracle 集群方式为应用提供服务。为保证业务的查询性能利用现有2台HP小型机搭建查询数据库集群。2套数据库集群通过用友AE方式软件同步2套数据库中数据。 存储区域网络：本项目为北医系统搭建一套核心的SAN网络，利用2台SAN交换机连接4台数据库服务器与磁盘阵列。核心数据库系统使用EMC CX480存储，查询数据库使用现有HP EVA4400存储设备。网络架构、应用架构、数据库架构、服务器架构和存储区域网络是从上到下的关系，上层架构决定了下一层架构的需求，下一层架构用于实现上一层架构的目标。在本次规划设计中，采用先进的设计方法论指导项目的设计和实施。北医硬件集成方案的主要任务是支持公司新的北医系统，必须与业务发展战略和业务目标紧密挂钩，因此在制定北医集成方案总体规划时，会对北医业务需求、现有IT基础架构现状、支持业务能力以及IT技术和服务提供商的业务发展趋势等因素做综合的考虑，以保障现有IT投资，促进未来IT环境的扩展，平衡功能、性能和成本，保证本次搭建的业务平台能够长期有效的支持业务的发展。4.2 ？集成配置明细编号名称配置需求数量1数据库服务器IBM P750 POWER7 3.0主频 16CORE,128G内存，300G*2硬盘，4块8G FC卡,AIX6.1 64位22应用服务器IBM x3850 X5 4CPU（6核），主频Xeon2.66 GH，48GB内存，硬盘空间2300GB 做RAID1、双电源，2块千兆网卡、2块原厂8GB的HBA卡33查询应用服务器IBM x3650 M3 4CPU（6核），主频Xeon2.66 GH，48GB内存，硬盘空间2300GB 做RAID1、双电源，2块千兆网卡、2块原厂8GB的HBA卡24备份服务器IBM x3650 2CPU（4核），主频Xeon 2.26 GH，8GB内存，硬盘空间2300GB 做RAID1,8G FC卡1块、双电源，2块千兆网卡、2块原厂8GB的HBA卡15F5负载均衡设备支持IBM WebSphere App Serve负载和INTERNET多链路负载和接入(含F5-BIG-LTM-1600-4G-R、F5-ADD-BIG-LC、含RamCache）CPU双核，160G硬盘、内存4G、4 个10/100/1000 电口2个光口及相应的SFP模块26ORACLE数据库ORACLE Enterprise Edition 以上 64位版本,需RAC组件1CPU DB+ 1CPU RAC 27用友AE2CPU配置18应用中间件（WAS）IBM WebSphere App Server 6.1 网络（集群）版 FOR WINDOWS 64位需要部署2套，目前每套只按一台主机1CPU报价。29应用、备份服务器操作系统 Red Hat Enterprise Linux AS, Version 5 with Update 1 for x64510查询服务器HBA卡HP下用的HBA卡(根据系统采用的操作系统版本决定型号)44.3 ？主机部署方案4.3.1 安装场地环境（包括电源、UPS、线路、线缆等） 需经厂商工程师确认，现有环境 机柜位置图注：以下为示意图，具体位置需现场确定4.3.2 主机系统设备连接图（需设备方案确定） 4.3.3 软体配置安装配置AIX安装配置，以及主机系统规划 主机设备/分区命名方式 命名方式：主功能_机器序号（A-Z）序号（0-10）_子功能 主功能： 数据库系统，暂定：DB 子功能： DB、TEST 服务器列表标准名称缩写名称用途ZJS北医_P750_DB1北医_DB1生产数据库1ZJS北医_P750_DB2北医_DB2生产数据库2ZJS北医CX_RX8640_DB1CX_DB1查询数据库1ZJS北医CX_RX8640_DB2CX_DB2查询数据库2ZJS北医_X3850_APP1北医_APP1生产应用中间件1ZJS北医_X3850_APP2北医_APP2生产应用中间件2ZJS北医_X3850_APP3北医_APP3生产应用中间件3ZJS北医CX_X3850_APP1CX_APP1查询应用中间件1ZJS北医CX_X3850_APP2CX_APP2查询应用中间件2ZJS北医_X3650_BAK北医_BAK备份服务器 主机IP地址分配规划IBM P750（Oracle RAC）主机名北医_DB1网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM P750（Oracle RAC）主机名北医_DB2网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*HP rx8640（Oracle RAC）主机名CX_DB1网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*HP rx8640（Oracle RAC）主机名CX_DB2网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3850（IBM WAS 6.1ND）主机名北医_APP1网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3850（IBM WAS 6.1ND）主机名北医_APP2网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3850（IBM WAS 6.1ND）北医_APP1北医_APP3网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3850（IBM WAS 6.1ND）主机名CX_APP1网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3850（IBM WAS 6.1ND）主机名CX_APP2网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.*浮动IP地址*.*.*.*子网掩码*.*.*.*IBM x3650（数据备份）主机名北医_BAK网关*.*.*.*IP地址1*.*.*.*子网掩码1*.*.*.*IP地址2*.*.*.*子网掩码2*.*.*.*IP地址3*.*.*.*子网掩码3*.*.*.* Kernel参数参数名称Oracle最低设置SUN APP设置KSI_ALLOC_MAX(NPROC * 8) MAX_THREAD_PROC 2561024MAXFILES256MAXDSIZ1073741824 MAXDSIZ_64 2147483648.MAXSSIZ 134217728 MAXSSIZ_64BIT 134217728MAXSWAPCHUNKS 16384 MAXUPRC (NPROC*9)/10) MSGMAP(MSGTQL + 2).MSGMNINPROCMSGSEG 32767 MSGTQL NPROC NCALLOUT (NPROC + 16) 2084NCSIZE(8 * NPROC +2048) +VX_NCSIZE)NFILE (15 * NPROC +2048)NFLOCKS4096 NINODE (8 * NPROC +2048)NKTHREAD (NPROC * 7) / 4)+ 16)3635NPROC 40962068SEMMAP(SEMMNI + 2) SEMMNI 4096 SEMMNS (SEMMNI * 2) SEMMNU (NPROC - 4) SEMVMX32768 SHMMNI512.SHMSEG 32 VPS_CEILING64 系统包、补丁附：系统包、补丁表列表； 操作系统用户和组定义功能用户名用户idprimary group组id主目录Oracle数据库oracle600dba600/oracle备份软件安装用户bkup300bkusr300/home/bkup普通用户genusr400genusrs400/home/genusr4.4 ？存储系统设计4.4.1 SAN网络设计在本次进行SAN架构设计时，我们遵循以下原则，构建一个统一规划的存储网络。1. 按照业务系统进行分级设计2. 具有灵活的扩展能力，需要增加主机时，将主机轻松的连接到这个网络中，并能共享网络中的存储资源；需要增加存储时，将存储在线地加入到这个网络中，并动态地为应用主机分配磁盘空间3. 充分利用现有设备，保护原有投资4. 保证将来存储网络的扩展性整个系统将重点考虑安全性、可靠性、高可用性，另外，还考虑到系统的运行性能、高可扩充性、开放性、可维护性、用户操作的简易性以及充分保护用户投资等诸多方面的需求。4.4.2 SAN交换机规划 SAN网络根据业务系统的规划建立了统一的SAN 网络后需要对网络内部结构统一规划。在北医系统中，核心数据库服务器连接EMC存储，查询服务器连接EVA存储，同时还需要考虑备份系统设计。 SAN交换机的安全性设计通过交换机的Zoning功能，在开放系统、多平台或SAN环境中通过使用World Wide Names将主机与相应的存储FC端口划分不同的区域，每台主机仅可以通过定义的路径访问事先定义的LUN，达到SAN结构中Zone 的安全管理功能和数据保护功能。分区能够在使用不同操作系统的设备之间建立起屏障。例如，分离运行不同操作系统的服务器与存储设备通常很重要，因为它们之间信息意外的传输能够删除或破坏数据。分区可以将使用相同操作系统的设备进行分组，并放到不同的分区，从而防止了这种情况的发生。在进行分区划分时，建议遵守如下原则：一个分区只能包含一个服务器链路(服务器HBA的WWN或者对应的交换机端口)和一个存储设备链路(存储设备HBA的WWN或者对应的交换机端口)。通过光纤交换机分区可以增强SAN的安全性，同时也应该在服务器和存储设备上实施针对SAN的安全措施，比如存储上的LUN Masking。综上所述，在北医系统中的2台核心SAN网络交换机需要分别建立3个zone隔离各应用服务器。第一个zone包含2台P750服务器与EMC存储，第二个zone为查询服务器与EVA存储，第三个zone为服务器备份zone，需要连接服务器与磁带库。4.5 ？存储规划方案 4.5.1 存储系统规划通过建立统一、集中的存储平台，北医系统的存储系统将具有架构清晰、部署灵活、设备标准、网络可靠、数据分级、易于扩充等特点。在北医系统中我们分别为核心数据库和查询数据建设2套存储系统，其中核心数据库服务器连接核心存储设备，查询数据库利用现有存储设备。核心存储之所以非常重要，是因为它可以在网络中提供对信息的即时访问，核心存储为业务系统提供日常业务处理所需要的数据和信息。因而，核心存储要求高的性能，高稳定性，以保证业务系统的快速处理。查询数据库存储设备需要配有同样容量的存储空间。4.6 备份系统设计4.6.1 备份系统北医系统需要对数据库与应用系统进行备份。4.6.2 备份方案概述备份采用企业级的备份管理软件实现对数据的多种方式的备份，通过SAN结构的支持，实现数据的备份和恢复。安装备份服务器，集中管理数据的备份和恢复。在业务主机上安装备份软件的客户端，实现数据的LAN-Free的备份和恢复。生产主机的数据备份通过两种方式进行。一方面，通过数据库的在线备份模块，实现数据库的全备份和其它级别的多种备份，保证数据库的运行安全。当出现数据库数据丢失或数据库故障时，通过SAN网络或IP网络，可实现数据库的完全恢复和部份恢复，从而保证数据的安全性。另一方面，对于操作系统和应用系统的数据，可以通过备份客户端或备份存储节点进行数据备份。可通过SAN进行LAN-Free的备份和恢复，或者通过IP网络进行数据的恢复，可通过相应的软件功能，实现整个操作系统和应用系统的全恢复或备份恢复。数据一般有两种方式进行保存。第一种方式，采用虚拟磁带库技术，做磁盘到磁盘（Disk to Disk）的备份，保证核心数据的吞吐效率，缩短备份时间窗。由于采用虚拟磁带库(磁盘)方式进行备份，也同时保证了数据的恢复效率，根据业务要求的恢复时间窗，我们可以尽量将恢复时间窗小的数据通过介质池划分的方式，定向到磁盘中。第二种方式，利用自动智能磁带库，完成海量数据的存储备份。由于磁带备份的廉价特性，可以将历史数据存放到磁带中，一方面提高磁盘资源的存储有效率，另一方面保证海量历史数据的存储。而磁带上的数据由于存放状态是离线（Offline），所以能够提供更高的安全性，如当系统受到病毒攻击时，不会影响到磁带上的数据。也从另外一个方面提高了系统数据的可靠性和数据的安全。由于备份软件的平台无关特性，磁带上的数据可以通过临时的备份服务器完成数据的恢复和系统的重建，增强系统的安全性。4.6.3 备份的整体架构随着存储技术的发展，在SAN、NAS这些新的存储架构中，备份技术也发展出了LAN Free Backup、Serverless Backup等全新的技术。所谓LAN Free Backup顾名思义，就是指释放网络资源的数据备份方式。在SAN架构中，LAN Free Backup的实现机制一般如下图所示。备份服务器相应用服务器发送指令和信息，指挥应用服务器将数据直接从磁盘阵列中备份到磁带库中。在这个过程中，庞大的备份数据流没有流经网络，为网络节约了宝贵的带宽资源。在NAS架构中，情形十分类似，磁带库直接连接在NAS文件服务器上，备份服务器通过一种称为NDMP的协议，指挥NAS文件服务器将数据备份到磁带库中。细心观察之下会发现，这两种方式虽然都节约了网络资源，但却增加了服务器的工作负荷。在本项目中，对于大容量的数据库数据，可采用LAN-free的备份方式，并且配置相应的license。非数据库类的应用，可依据数据量的多少选择备份方式。4.6.4 备份策略设计1) 数据库备份：l 每小时进行数据库差异备份，采用自动化的RMAN差异备份，无误备份完成后，删除1天前的差异备份，保留1天内的增量备份。l 每天夜里0点后进行数据库完整备份，采用自动化的RMAN完整备份，无误备份完成后，删除3天前的完整备份，保留3天内的完整备份。l 每月将数据库完整备份拷贝到磁带上中永久存储。2) 应用服务器备份：由于应用服务器不保存文件，故只需要对操作系统和应用系统进行备份即可。3) 数据库的备份/恢复方案数据库备份方式从应用角度划分，数据库备份分为脱机与在线备份两种方式。脱机备份是指在数据库系统加载而未打开方式的情况下进行的备份，有时也称冷备份。冷备份进行时实际是将数据库的相关文件作为文件系统的一部分进行备份，但仍将与普通的文件系统备份不同，它需要数据库备份代理和数据库系统的支持。而在线备份是数据库打开方式下进行的备份，有时也称热备份，此时数据库的应用除性能上受到备份任务的影响外仍然可用，而脱机备份时数据库是不可用的。对于7X24的数据库只能进行在线备份。方案建议书中所指的备份绝大多数是在线备份，但建议用户在进行数据库运行较长时间后或系统进行了较大的结构性修改后进行一次脱机备份，尽管它不是必须进行的。从备份内容的方式划分，数据库备份又分为物理与逻辑备份两种。物理备份主要是通过数据库自身备份工具与备份软件的数据库备份代理将数据库的相关文件，如控制文件、数据文件、日志文件进行备份。通常可以对单个的数据文件或整个数据库进行备份。目前大型数据库备份通常选择物理备份。逻辑备份有时也称导出，创建数据库对象的逻辑拷贝并存入文件，它实际上利用SQL从对象中读取数据并将其存入文件，导入工具利用该文件恢复这些特定数据库对象到数据库中。逻辑备份不提供时间点（Point-in-Time）恢复，而且不能和归档日志重做日志文件联用进行数据库的恢复。如果由于某种原因，磁盘上的数据块被破坏，则物理备份将产生该块的拷贝，错误将影响备份。使用逻辑备份的一个优点是，由于在导出表时进行全面表扫描，所以这种破坏不会影响备份。因此这种情况下，在导出时这种损坏将被检测到，并且导出失败。另外，逻辑备份还可以辅助数据库进行内部数据表的恢复。方案建议以物理备份为主，同时使用逻辑备份作为辅助备份方式，因为物理备份/恢复速度快。全备份与增量备份备份一般来讲有两种方式，即全备份和增量备份，而增量备份按其备份的数据的不同可以分为差量备份和累计备份。全备份 (Full Backup)每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间增量备份 (Incremental Backup)增量备份又分为差量备份和累计备份差量备份 (Differential Backup)备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份累计备份 (Cumulative Backup)备份自上一次全备份以来更新的所有数据。物理备份策略数据库物理备份使用在线备份方式。方案建议每周作一次完全备份，保存周期为一个月，将每月未的完全备份进行保存，周期为一年（可以更长）；每天作一次增量备份，保存周期为一个月。恢复时首先恢复最近一次的全备份，然后再恢复所有的增量备份，需要说明的是这个过程是自动执行。完全备份与差分备份的时间可以设定在数据库业务量较少的时间内进行。逻辑备份策略建议用户以用户或表方式导出数据库。每周作一次完全备份，其余每天在类似时间内作一次差分增量备份。保存周期与物理备份相同。首先需要将执行的命令写入到一个shell文件，每二步使用需要为UNIX的cron命令配置相应的命令，这些命令可以放在一个ASCII文件内，如crontab，在该文件内是相应的备份时间和命令，然后用cron设定定时导出作业。需要注意的是这些备份作业应在其它备份作业开始之前完成。导出产生的数据文件可以保存在一个合适的位置。在备份管理系统中选定这些文件作为一个备份作业，使用磁带保存相应的备份。4.7 应用系统部署4.7.1 数据库部署方案根据北医项目需求，需要建立Oracle数据库，通过对北医现有业务系统分析可以看出目前业务分为主业务系统和查询业务系统。在本方案中计划采用业务系统与查询系统数据库分离方式部署。 建议采用Oracle RAC方式，提高数据库系统的高可用性，尽量避免采用Oracle单机的部署方式，减少单点故障。4.7.2 数据库部署1) 创建用户oracle,组dba2) 修改oracle用户的.profile$ vi .profileumask 022export ORACLE_BASE=/oracle/appexport ORACLE_HOME=$ORACLE_BASE/product/920export ORACLE_SID=export PATH=/usr/ccs/bin:/usr/bin:/etc/:/usr/sbin:/usr/ucb:/usr/local/bin:$ORACLE_HOME/bin:/usr/bin/X11:/sbin 3) 将.dtprofile中的:# DTSOURCEPROFILE=true改为:DTSOURCEPROFILE=true4) 创建/var/opt/oracle目录，并且赋予oracle：dba的权限5) 安装mount光盘： (HP下必须用pfs_mount来mount光盘)*$ nohup /usr/sbin/pfs_mountd &$ nohup /usr/sbin/pfsd &$ /usr/sbin/pfs_mount /$SD_CDROM$ exit/usr/sbin/pfs_umount /cdrom*6) 正式安装以oracle用户运行Oracle Installer： $ cd / $ ./cdrom/runInstaller 之后按照图形界面一步步操作.4.7.3 中间件北医系统中间件采用集群方式运行，应用服务器上运行着中间件软件WAS和用友的UAP的系统软件。应用服务器是不保存任何业务数据的。北医系统应用服务器目前可以采用两台服务器进行部署，当未来业务迅速发展，可以进行横向扩展，即当发生应用服务器负载过大，导致整个系统的性能下降的情况时，可以再增加新的应用服务器，以分摊负载。部署示例过程如下： 系统准备环境安装在应用节点ibm（主机名为ibm）执行下面的操作应用节点ibm ：11) 查看系统配置进入打开 hosts文件，并编辑 localhost1 ibm保证各节点相互ping IP地址和主机名可以通；2) 设置时区3) 安装环境其他准备 目录存放安装过程中需要的软件；利用ftp命令或工具上传安装文件，并且采用bin（二进制的形式）上传WAS安装文件到ufida_software目录下（如果是压缩包的形式则上传完成后将其解压）；上传WAS_TOOLS安装文件到ufida_software目录下（如果是压缩包的形式则上传完成后将其解压），即was的tools安装盘里的内容一般包含上传升级工具Update Installer、HIS、Plugins等，如果没有可单独上传；patch上传到 ufida_software目录下； 上传解压缩工具操作系统是32位的，将32位的解压缩软件winrar-x32-392b1 上传到各个服务器节点。然后双击winrar-x32-392b1，安装。4) 将WAS、UAP安装到ufida_software目录下面； 5) 应用服务器节点ibm安装WAS 在应用节点ibm 上安装WAS6.1 进入was安装程序所在目录was6100，双击install安装was 安装IHS（节点ibm）在应用服务器1上安装IHS及Plugins;双击运行install 安装Update Installer 以及patch（节点ibm）在节点ibm 解压安装包在节点ibm安装Update InstallerWindows2003 64位上的WAS Update Installer需要3，否则会无法安装patch双击install 创建集群选择“集群”新建 配置WAS添加webserver到was中apache k start 安装UAP安装uap4.8 整体安全策略4.8.1 安全原则为了能完成既定的业务功能，要求计算机系统能够稳定、安全运行，应该在系统建设之初，为其建立完善的安全保障体系。用友的设计符合信息安全等级的要求，同时配合合理的安全管理制度和机房建设要求，完全可以达到信息安全等级保护3级的要求。为了达到系统安全控制的目标，应在系统规划、建设、运行维护的整个生命周期中，按照以下安全原则，指导系统的安全工作：1、起点进入原则：从系统建设开始就考虑安全问题，防止在系统设计的早期没有考虑安全性，导致因为错误的选择留下基础安全隐患，以致在系统运行期为保证系统安全付出更大的代价。2、长远安全预期原则：对安全需求要有总体设计和长远打算，包括为安全设置一些可能近不会用到的潜在功能。3、遵照业界通行准则原则：完全遵循国际上有关的数据安全标准；采用当前先进的数据安全技术和产品，并确保系统达到所设计的安全强度。4、公认原则：参考当前在基本相同的条件下通用的安全防护措施，据此作出适合本系统的选择，系统所采用的产品是成熟、可靠的，系统能安全、稳定地运行。5、最小特权原则：不给用户超出任务所需权力以外的权利。6、最小开放原则：先禁止所有服务，只有限开放需要使用服务。7、适度复杂与经济原则：在保证安全强度的前提下，考虑安全机制的经济合理性，尽量减少安全机制的规模和复杂度，使之具有可操作性。8、系统效率与安全性平衡原则：由于安全程度与效率成反比，在设计安全系统时，应尽可能地兼顾系统效率的需求。9、在工作中遵守了安全原则的情况下，可以使北医系统具有以下几个安全特性：可用性确保授权实体在需要时可访问系统，并进行业务处理，防止因为计算机系统本身出现问题或攻击者非法占用资源导致授权者不能正常工作。机密性确保信息不暴露给未授权的实体或进程，系统应该对用户采用权限管理，防止信息的不当泄漏。完整性确保数据的准确和完整合法，只有授权的实体或进程才能修改数据，同时系统应该提供对数据进行完整性验证的手段，能够判别出数据是否已被篡改。可审查性使每个授权用户的活动都是唯一标识和受监控的，对其操作内容进行跟踪和审计。为出现的安全问题提供调查的依据和手段。 可控性可以控制授权范围内的信息流向及行为方式。4.8.2 安全风险分析 物理安全风险主要是指主机、路由器、交换机等物理运行环境可能存在的安全风险，如：地震、水灾、火灾等环境事故造成整个网络系统毁灭；电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；设备以及设备的配置文件、配置数据被盗、被毁造成数据丢失或信息泄漏、系统崩溃；电磁辐射可能造成数据信息丢失或泄露。 网络安全风险在内部网络，主要是指内部人员通过内部的局域网环境，非法访问主机系统和业务应用系统引起的信息数据泄密、系统破坏等风险。主要表现在内部管理人员非法获取财务资料、修改存贮的数据，故意破坏主机或网络的稳定运行等行为。同时，由于本系统原始数据来源于综合网内各相关业务系统、手工输入数据，以及商业银行等外部网络数据，因此系统与其他系统连接多，从其他系统得到的数据量也多，所以网络的安全威胁还表现为病毒传播、黑客攻击、IP地址仿冒、信息泄露等。系统的用户通过IE浏览器访问系统重要数据时，由于数据传输过程中没有加密，同时进行系统访问时在本地计算机留存访问痕迹，也可能造成数据泄露的安全风险。 系统安全风险由于操作系统、数据库、B/S三层架构中的应用服务器等基础软件本身的漏洞和缺陷、用户权限设置不合理以及一些不安全协议的使用等因素都可能构成对系统的威胁。如果通过某些手段进入操作系统，就可能破坏所有的系统。数据库漏洞、设计缺陷等也会引起系统的安全风险问题。 应用安全风险应用程序设计不合理以及用户权限设置不当，也会对系统构成威胁。 数据安全风险对系统的备份与恢复重要性认识不足，不按要求定期进行备份，一旦发生意外，如果没有事先采取备份措施，将会导致惨重的损失。 管理安全风险管理人员安全意识淡薄，业务处理流程不规范、管理制度不健全可能会对系统构成安全隐患。种种事件表明，多数企业机密泄漏事件是由于企业内部相关人员对个人密码的保护上重视程度不够，甚至在利益的驱使下直接将企业内部信息泄漏出去。所以企业内部安全管理在各种安全风险中占有很重要的位置。4.9 系统安全实现方案鉴于北医数据的重要性和特殊性， 北医系统的安全就显得非常的重要。下面的各项策略将实现安全总体设计提出的各项安全目标。4.9.1 服务器容错对于系统内部的设备，应采取有效措施进行安全管理，保证设备安全。防止未经授权访问系统设备，应按事先确定的规则统一管理，实施访问权的控制，禁止非授权用户访问设施，禁止对设备进行任何非授权参数修改。硬件环境的建设、升级、扩充等工程应经过科学的规划、充分的论证和严格的技术审查，有关文字材料应妥善保存并接受主管部门的检查。建立硬件系统环境的可用性保障机制，关键设备要采用有冗余技术的设备，例如配备冗余风扇、冗余供电模块、冗余核心模块；对于关键设备应采用配备两台相同设备的方法，适当采用负载均衡等技术；充分保证系统得可靠性和处理效率，尽量减少硬件系统的计划性停机时间，尽量避免硬件系统的非计划性停机。硬件方案文档、设备配置文档、核心设备的系统日志要定期保存，妥为保管，视同机密。4.9.2 身份鉴别身份鉴别可以有效检查使用者是否有权限登录系统，在进入UAP之前就需要使用者提供管理员分配给其的用户名和密码，不通的用户名所拥有的权限也是不同的。用户的密码用专门的加密算法加密存储在数据库中，即使是数据库管理员也无法得知用户的密码。登录身份管理：4.9.3 访问控制访问控制用于对北医系统资源的访问，防止未经授权而利用网络访问系统资源