医药企业网络和服务器的安全解决方案

1、医药企业服务器的安全策略作者：鹰谷电子实验记录本引言由于疫情原因， 保持社交距离，免接触”的新行为模式被官方大力提倡。因此，医药企业 开展在线化、数字化运营和管理模式，上线电子数据采集和记录软件、办公、CRM、ERP等软件，以减少企业内部人员接触，提高远程办公能力，越来越迫切。由于安全原因，医 药企业通常希望把软件部署在自已企业的服务器上，实现数据的电子化，实现从外网安全 访问内网，实现远程协作。但是，由于安全防护管理和实践经验的缺乏，隔行如隔山，导 致医药企业管理者虽然想上软件系统，但总觉得不安，担心数据被黑客黑走，导致举棋不 定，决策缓慢，影响企业数字化进程。作者所在公司研发的医药企业级软

2、件，已经部署到数十家知名医药、化工和医疗器械公 司，如恒瑞拓界、迈瑞医疗、上海医药集团、复旦张江医药、红太阳集团、南大光电等知 名企业集团，积累了较多企业服务器本地部署软件安全防护经验。本文集作者的从业十多 年经验，从信息安全、内外网访问协作的角度，提出企业服务器安全部署和运行软件的解 决方案和建议，确保企业电子数据安全和不易丢失，避免和减少黑客攻击造成的损失，适 用于所有医药企业自有服务器部署的应用软件或数据库软件安全管理。外网即殖糊 电火ERP聚弟片冉角抬书摘企业服务器总体安全目标SQL注入、病毒、软件后门入侵保护服务器不受攻击，控制异常行为（如 DDos攻击、 等），保护服务器的数据资源

3、。Top Attack Methods (All Entries)Das find DDoSSQL imectionCr(KS SitP S.-npbrv (XSS)Fac#Preaic:abie Resource L Kallen0期n 0出用diw sUnlriertiorLtir mfonnalion 的0,ErKiog TrojanCre 快 rtifj.S”负 on Predict onC1035Sic Mque讨 Rx件Pfocess Ajtois：itr) Mi5carJ qutionKflc*a VuLnerat)： ityDNS Hideki rigAbLSC jfFunct

4、icra.iiyCortent SpocfmgAdmtnainriion EntxOS Ccmmarcinqit：rtKE Scrip- ng (XsSj服务器安全风险的根源企业服务器按应用类型，可分为应用业务层（ Web层）和数据库层（DB层）。任何软件, 可以理解为由这二部分组成。 这二者可以部署在同一服务器上， 也可以部署在不同的服务器 上。服务器安全问题，要么发生在 Web层，要么发生在 DB层。这些安全风险，要么来源于企业服务器之间的越权访问，要么来源于用户终端（如用户的电脑、笔记本、手机、平板 电脑等终端）的越权访问，要么来源于网络设备（如路由器）的越权访问。各风险点见下图标记：企

5、业服务器间的安全风险电子英要记录本展若解ERPE底努由QA案将能低安全级别企业服务器对高安全级别企业服务器上不适当的访问;不同企业服务器之间非授权的不适当访问；恶意代码对企业服务器的不良影响。用户终端与企业服务器之间的安全风险非授权用户终端不适当的访问服务器；授权用户终端不适当的访问高安全级别的服务器；以上是BS架构的软件系统（采用浏览器访问使用）可能出现的问题。对于 CS架构（不 使用浏览器，而是使用安装到用户终端的客户端软件访问服务器），还需要考虑到安装在 用户终端软件的安全性。网络设备自身的安全风险外网内网路由别 网关服罢居石火埴网络设备（如路由器，交换机等）的物理安全；网路设备操作系统

6、 Bug和对外提供的网络服务风险;网络管理协议SNMP非授权访问的风险；网络设备访问密码安全；网络设备用户安全风险医药企业服务器常用安全防护技术通过网络分区技术提升安全企业服务器所在的内网（局域网）可划分为几个功能区域，实现网络分区。在网络安全上 实现了以下目标：实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离；各分区有单一的出入口；分区之间互访必须经过网络层路由；为其他安全控制策略的部署奠定了基础。通过业务层和数据库层分隔提升安全服务器的应用类型被分为业务层（ Web层），数据库层（DB层），对应的安全控制策略 如下：通过应用类型分层保护不同级别服务器的安全；划分虚拟局域网（V

7、LAN）,业务层和数据库层分别位于不同的VLAN中；划分安全级别：业务层（ Web层）可以设置安全级别较低，可与外网连接，而数据库层（DB层）安全级别最高，仅限内网某固定IP地址访问，拒绝外网访问；提升网络设备自身安全网络设备的物理安全：安装环境温度、湿度、空气洁净度需要满足设备正常运行条件， 禁止非授权人员物理接触设备；网络服务安全：关闭网络设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的服务；网络设备设置复杂的密码；用户安全，只允许经授权的用户在设备上执行权限范围内的操作，且对操作有相应的授 权、认证和审计；简单网络管理协议（SNMP）安全，对SNMP访问进行ACL （访问控制列

8、表）控制, 只允许许可范围内的IP地址访问。防火墙专用的硬件或软件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。专用的软硬件，设备自身安全性很高；提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址 的私密性；提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；多层次的安全级别，为不同的安全区域提供差异化的安全级别，如设置 DMZ （两个防火 墙之间的空间）；提供多样的系统安全策略和日志功能。医药企业服务器安全防护小技巧首先从基本做起，及时安装系统补丁：不论是 Windows还是Linux ,任何操作系统都 有漏洞，及时的打上补丁

9、避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一；安装和配置部署防火墙： 对服务器安全而言，安装软件防火墙非常必要。 防火墙对于非 法访问具有很好的预防作用， 但是安装了防火墙并不等于服务器安全了。 在安装防火墙之后， 你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果；部署杀毒软件：现在网络上的病毒非常猖獗，这就需要在网络服务器上安装杀毒软件来 控制病毒传播，同时，在杀毒软件的使用中， 必须要定期或及时升级杀毒软件，并且每天自 动更新病毒库；关闭不需要的服务和端口：服务器操作系统在安装时，会默认启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患；定期

10、对服务器进行备份： 为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份；账号和密码保护：账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统， 那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常 重要的措施；监测系统日志：通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。电子实验记录本网络安全方案作者多年从事医药企业级软件一一电子实验记录本

11、，通常部署在企业内网服务器上，要实 现异地访问，远程访问，这样才能更好地体现电子实验记录本作为沟通协作、掌控项目进 展、积累大数据的工具。为了确保远程访问的安全，可采用如下方法：通过VPN访问电子实验记录本电子实验记录本系统安装部署在企业内网服务器上，可通过固定的公网ip地址，在企业路由器上开通 VPN服务来实现外部访问。 VPN（虚拟专用网，Virtual Private Network）,是将 物理地址不同的服务器，通过公用 Internet连接形成的逻辑上的虚拟专用网。应用系统 Web层和数据DB层设置不同安全级别应用Web层与数据库服务分别安装在两台服务器上，其中， Web服务器可以上

12、外网， DB层数据库服务器禁止外网访问。确保电子实验记录本的数据库外网不能访问，只能通 过同一局域网内的应用 Web层服务器访问。用户终端与服务器之间的安全策略用户终端（如电脑、笔记本、手机、平板电脑等）与服务器之间的安全控制，主要采用了 部署专用硬件防火墙和杀毒软件来实现。安全控制设计如下：在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠 性；在防火墙上部署严格的安全控制策略，对数据流执行双向控制；每台用户终端安装杀毒软件，如最新版的腾讯管家、360安全卫士等。电子实验记录本数据库备份策略为了杜绝实验记录数据万无一失，数据库备份策略非常重要。即使被黑客攻击入侵，也能留有余地，确保数据安全恢复。数据库类型本地备份异地备份服务器RAID备份各类型数据库，如Mysql, Pgsql, MogoDB, Sqlserver, Oracle 等在服务器上，每天 通过脚本，在凌晨 整体备份数据库每天通过同步工具完整备份至另