医院网络安全方案

1、构筑医院信息系统的全方位安全网络第一章 安全问题分析随着医院信息化程度越来越高， 伴随而来的的安全问题也日益突出， 尤其是随着网络规 模的不断扩大， 网络应用项目越来越丰富， 涉及到的人员越来越来越庞杂， 部署策略越来越 繁琐，整个系统变得越复杂，医院面对的安全风险也越来越大。如何有效地降低安全风险、 降低安全成本，安全的策略显得尤为重要。医院的 HIS 系统是关键业务系统，需要系统不 间断运行。 即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。为此，我们分 析以下可能会导致业务系统中断的原因：1 服务器硬件故障如服务器的数据 / 系统磁盘的损坏将导致数据不能访问， 并进而可能导致应

2、用进程终止 或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务； CPU 或 存的失效则会导致系统的死机；2 主干交换机或干线的故障如主干交换机死机、交换机配置出错、或干线线路出现意外故障。3 数据库服务、操作系统出错由于操作系统或数据库服务器中可能存在不完善的地方、 或者配置不得当， 当碰到某种激发 事件时，数据库服务器非正常终止或系统崩溃；4 人为错误一些人工的误操作， 如删除系统或应用文件， 终止系统或应用服务进程， 也会导致系统服务的无法访问；5 电脑病毒 /黑客入侵由于目前的市的很多医院的计算机和省市医院医保联网， 无论是物理还是逻辑上都是互 通的， 若缺少有效的

3、防机制，很容易遭受病毒的感染或者黑客的入侵， 轻者数据被损坏，系 统数据被重者系统瘫痪；6 自然灾害 由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一 般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决） 。7 正常的停机主要指计划的系统升级、安装软件、系统备份等过程。由上可见，影响系统安全运行的因素有很多，但是，导致的系统中断完全可以通过创 建一个完整的安全策略的来有效避免。系统安全不仅是一个单一的安全防问题，也不可能一时完会解决，而是一个整体的、 全面的技术问题， 同时安全也是一个长期的， 动态的过程。 因此我公司提出了在医院建立全 网

4、安全的概念。 在了解安全需求的基础之上， 从安全的规划的角度看， 应遵循以下原则：安 全管理为本的原则、需求、风险、代价平衡分析的原则，综合性、整体性原则、适应性及灵 活性原则，多重保护原则。当今的很多系统集成商力图做到全自运化， 对于信息安全问题能够做到自动发现、 自 动解决，。出发点固然是不错， 希望方便用户使用。 但现实世界中的网络安全问题太过复杂， 一切都是机器和程序搞定的想法有些不切合实际。 我公司认为： 在保卫系统安全的过程中人 应该发挥人的能动性，做到主动出击，而不是被动防御。居以上分析，我公司提出以下全网安全的解决方案：第二章 服务器操作系统和数据安全方案第一节双机容错部分-解

5、决由于服务器硬件故障、计划停机造成的服务器停机1. 1方案说明确要建立高可用的计算机处理系统，首先，在硬件上，要做到各部件的冗余，多台计算机组成集群结构，使整个系统不存在单点故障；此外，还需要有专门的集群软件来进行管理和监控，使得应用系统在任何软硬件单元发生故障时，能够稳定可靠地运行。此外，在高可 用系统设计时，还需考虑下述关键点：?应用系统，主机/部件间的切换是非对用户透明？?故障发生时，是否需要人为干预？?切换的速度如何？?配置是否简单方便，易于管理？与操作系统、应用程序是否能密切配合？1.2双机容错部分构成例如：ROSE HA FOR WIN2003SERVER容错软件HP公司的F200

6、磁盘阵列系统HPDL580G4 两台1.3方案简介系统以WN2003 为平台，F200磁盘阵列及 ROSE HA软件为核心，常用数据库及网络数据存放在磁盘阵列中， 两台服务器只安装本地系统文件及ROSE HA软件，并作一主一 从的热备方式。当系统启动后： Rose HA 首先启动 HA manager 管理程序，然后启动必要 的服务和代理程序来监控和管理系统服务。 HA 代理程序通过 RS232 或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。当 ROSE HA 代理程序监测到某个服务或硬件发生故障并作相应处理后（可由用户设 定）仍不能成功时， 则开始切换服务： 将 IP 飘移到相同用

7、户名的另一台 Standby 服务器上， 磁盘阵列中的数据库由主服务器切换到从服务器， 并恢复所有的服务功能。 完成整个切换过 程，平均时间为 40 秒，此时系统又进入初始状态。1 4 系统特点? 硬件结合实现真正意义上的数据与系统分离。? 对硬件配置要求不高，服务器可采用不同或相差较大的配置。? 系统切换时间短，平均切换时间为 30 秒，为目前同类软件中最短。? 系统效率高。 因为整个系统中数据读写、 管理及容错由磁盘阵列来完成。 而系 统从服务器故障纠错处理由 HA 软件来完成， 而这两个都是相对独立的子系统。 双机容 错监控路径为和 RS232 线路或 10/100M 自适应网卡线路，

8、既不占用主机 CPU 资源也 不占用基础网络带宽，因此系统效率高，这一点在实际的应用中得到用户的一致好评 . 1 5 切换实例在本例中，两台应用服务器分别运行 ORACLE SERVER 数据库。数据库的数据存放在形成镜像的两台磁盘阵列中。 ROSE HA 通过 ORACLE Server Agent监控 SQL 数据库的运行状况。当主服务器发生意外故障时， ROSE HA ORACLE Database Agent会监控到故障情况。通过心跳线协议， ROSE HA 会将数据库数据切换到备用机上。切换后，ROSE HA 可以检测数据的同步情况，如果数据正确无误 ,ROSE HA 将启动上层的数

9、据库和应用服务。第二节远程备份、恢复方案 解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丢失2 1 系统构成备份软件： VERITAS BACKUP EXEC 10.X FOR WIN2000/2003 SERVER 中文版 备份服务器：医院淘汰下来的服务器即可备份设备：建议医院购买磁带库或 SATA 磁盘阵列柜备份目标：HIS服务器和市医保服务器、财务科服务器和OA服务器等2 2 备份策略 备份策略的好坏，决定恢复的速度与质量，我们制定备份策略如下： 灾难恢复启动光盘 + 系统完全备份 + 数据库完全备份 + 数据库差别备份 + 数据库日志备份灾难恢复启动光盘：当硬件有重大改到时重做

10、。 （可以快速的恢复操作系统，并且在恢 复过程中不用操作系统安装盘）系统完全备份：每月的系统完全备份 数据库完全备份：每周日的数据库完全备份 数据库差别备份：每 8 小时的数据库差别备份数据库日志备份：每 5 分钟的日志备份 策略评价：优点：备份速度快，恢复快并且是自动化，可保留二年数据备份。2 3 ）恢复策略一）假定： 当机房失火或雷击造成双机系统的服务器硬件彻底损坏 ，恢复过程如下：（1） 恢复本周周日的数据库完全备份到远程备份服务器上，大约 5 分钟（2） 恢复本周日全备后的最近一次差别备份到远程备份服务器上，大约 2 分钟（ 3） 恢复所有最近一次差别备份后的日志备份，大约 15 分钟

11、（ 4） 修改客户端的 INI 或配置文件的 SERVERNAME 的值为远程备份服务器的 名字，大约 1-15 分钟。（如果客户端程序在服务器上会快一些。 ） 这样可以保证客户端运行间断不超过 30 分钟，数据丢失不超过 5 分钟 。二）假定： 双机系统中的磁盘阵列柜损坏，如控制器损坏 。恢复过程如下。1 ）恢复本周周日的数据库完全备份到主服务本地硬盘上，大约 15 分钟2 ）恢复本周日全备后的最近一次的差别备份到主服务本地硬盘上，大约 2 分钟3 ）恢复所有最近一次差别备份后的日志备份，大约 15 分钟4 ）修改主服务器本地磁盘盘符，重新启动 SQL 服务，大约 2 分钟5）修改客户端的

12、INI 或配置文件的 SERVERNAME 的值为主服务务器的名字，大 约 1-15 分钟。（如果客户端程序在服务器上会快一些。 ） 这样可以保证客户端运行间断不超过 37 分钟，数据丢失不超过 5 分钟。三）假定： 正在使用数据库置疑或被误删除， 也就是说数据库文件损坏，而数据库服务没有 停止 。恢复过程如下。1 ）恢复本周周日的数据库完全备份，大约 15 分钟2 ）恢复本周日全备后的最近一次的差别备份，大约2 分钟3 ）恢复所有最近一次差别备份后的日志备份，大约15 分钟4）恢复活动日志（如果数据库文件还存在的话）大约2 分钟。这样可以保证客户端运行间断不超过34分钟，数据丢失不超过 5分钟，或者数据