最新安全基线与配置核查技术与方法课件

1、安全基线与配置核查技术与方法目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战2最早的安全基线安全基线最早可以追溯到上个实际的六十年代美国军服保密制度，九十年代初期等级保护立法成为国家法律。1991年欧共体发布了信息安全评估标准（ITSEC），1999年正式列为国际标准系列ITSEC主要提出了资产的CIA三性：机密性、完整性、可用性的安全属性，对国际信息安全研发产生了重要影响，并一直沿用至今。国内的安全基线发展1994年，我国首次颁布中华人民共和国计算机信息系统安全保护条例1999年推出计算机信息系统安全保护等级划分准则2007年，信息安全等级保护管理

2、办法，GB/T22239-2008“基本要求”和GB/T28448-2012“测评要求”2010年，公安部发布关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知，觉得在全国部署开展信息安全等保测评工作。安全基线的发展历程3安全运维的困境二老大，这是上个月的报告。系统有X个高危漏洞，Y个配置问题。当前的系统到底是安全还是不安全呢？最近一次的安全整改到底有没有效果呢？安全状况同比和环比有什么变化呢？以上问题我们通过什么方式验证呢？问题分析我们忽略了什么数据库、中间件是支持业务的重要组件，是不是都按照默认配置，使用出厂设置，这些配置是否适用于我们企业的安全要求，如何发现潜在的风险呢？为了保

3、证业务安全，信息系统及数据安全，我们部署了很多安全设备，防火墙、入侵检测、网络设备、审计系统、安全平台等等，那么这些安全设备的自身安全谁来管理呢，端口、进程、帐号安全？目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还是落实到设备上，设备安全了，业务支撑才安全目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还是落实到设备上，设备安全了，业务支撑才安全谁来关注它们的安全安全基线能给烟草用户带来什么能够及时发现当前业务应用系统所面临的安全问题并可以提供有效的解决办法可以成为用户对业务系统进行等级合规的有力检查和合规工具，出具符合国家局要求的合规检查报告依据等保和

4、“三全”的要求进行自动化检查（71个指标项的检查要求，35个技术指标，36个管理类，共计380项）安全技术物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复安全管理安全管理制度管理制度制订和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录

5、用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购和使用软件开发工程实施测试验收系统交付系统备案等级测评系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理计算机应用管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全基线与配置核查目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战13目标业务系统支持业务所需要的支撑系统及应用软件，例如：Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系统及一些设备，例如：Wind

6、owsLinux、交换路由设备、防火墙设备业务层支撑支撑层系统实现层什么是安全基线工具安全基线 的根本目的是保障业务系统的安全，使业务系统的风险维持在可控范围内，为了避免人为疏忽或错误，或使用默认的安全配置，给业务系统安全造成风险，而制定安全检查标准，并且采取必要的安全检查措施，使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段，自动完成安全配置检查的产品，并提供详尽的解决方案。安全基线与漏洞的区别同属于扫描类产品，同属主动安全范畴，主动安全的核心是弱点管理，弱点有两类：漏洞：系统自身固有的安全问题，软硬件BUG配置缺陷：也叫暴露，一般是配置方面的错误，并会被攻击者利用 相同点来

7、源不同漏洞：系统自身固有的安全问题，软硬件BUG，是供应商的 技术问题，用户是无法控制的，与生俱来的配置缺陷：配置是客户自身的管理问题，配置不当，主要包括 了账号、口令、授权、日志、IP通信等方面内容检查方式不同漏洞：黑盒扫描配置缺陷：白盒扫描 不同点安全基线的分类 基线体系Base Line组织机构其它人与技术标准策略16对比调研优化筛选对比筛选调研对比各地区、行业内及安全厂商多年实践的基线规范。筛选出各自基线规范中的不同点。结合实际情况，使用反馈，对现有资产的梳理，自定义。优化结合业务特点做局部调整，完善。安全基线规范梳理的方法论ITIL、ISO27001、三全标准建立安全基线是系统安全运

8、维第一步建立信息系统的安全基线，包括系统安全配置以及重要信息，如：服务、进程、端口、帐号等。安全基线建立的原则是：符合设备特点生产厂商、上线年限、性能上限、硬件老化适应系统特性部署方式和位置、分布能力、存储能力满足业务需求主要业务需求建立合理的安全基线体系18建立安全基线的管理体系的必要性首先根据组织状况，建立一套在当前时期或一段时期内的“理想化的综合基线指标”，即“基线体系”。这个“基线体系”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等。然后通过一些手段（比如自动化的评估工具）对组织现有的安全指标进行分析。通过对比“理想化的综合基线指标”，形成了一套差距分析

9、结论。组织自身针对这个差距进行适时监测、确认和跟踪即可，对任何在此水平以下的情况进行预警或通报，提出“补足差距”的建议方案；而这个“理想化的综合基线指标”就是该组织的最优安全状态。追求规避全部风险是不现实的，信息系统在达到这个指标水平之后，部分风险自然会被转移或降低。如此便可以实现持续定义升高这个综合基线指标，持续监管和持续改进，可以使每一时期每一阶段的安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的整体安全建设报表。19自动化安全基线工具框架安全状况以及变化趋势基线策略库系统快照（当前基线指标）安全基线指标库目录什么是安全基线安全基线检查的技术方

10、法如何建立一套基线管理体系举例企业面临的困惑与运维挑战21安全配置核查关注什么网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置口令策略检查口令重复使用次数限制检查口令生存周期要求文件权限检查关键权限指派安全要求-取得文件或其他对象的所有权查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹用户账号检查是否禁用guest用户删除匿名用户空链接系统服务检查是否配置nfs服务限制检查是否禁止ctrl_alt_del举例：具体检查哪些内容认证授权对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检查口令生存周期要求配置访问控制规

11、则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。网络通信防火墙以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。日志审计设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检查项名称 ：检查口令重复使用次数限制被检查设备类型：Windows系列所属分类 ：账号口令配置要求： 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测方法及判定依据 检测步骤:一、进入“控制面板-管理工具-本地安全策略”，在

12、“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”判定依据:强制密码历史=5则合规，否则不合规.加固方案参考配置:(1).进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”检查项名称 ：检查关键权限指派安全要求-取得文件或其他对象的所有权被检查设备类型：Windows系列所属分类 ：认证授权配置要求： 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测方法及判定依据 检查步骤:一、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有

13、权”设置为“只指派给Administrators组”。判定依据:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”加固方案参考步骤:(1).进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。举例：启用远程日志功能检查项名称 ：文件与目录缺省权限控制被检查设备类型：Linux系列所属分类 ：日志审计配置要求： 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测方法及判定依据 检测步骤:linux一、查看文件 /etc/syslog.conf或者/et

14、c/rsyslog.conf存在类似如下语句*.*68sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在类似如下内容:destination logserver udp(68 port(514); ;log source(src); destination(logserver); ;判定依据:步骤1或者步骤2满足其一则合规,否则不合规加固方案参考步骤:linux1).编辑文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下内容:*.* suse1)编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:

15、destination logserver udp(68 port(514); ;log source(src); destination(logserver); ;#日志服务器ip视实际情况来确定.2).重启syslog服务#/etc/init.d/syslog stop#/etc/init.d/syslog start举例：启用远程日志功能检查项名称 ：检查是否配置DDOS攻击防护被检查设备类型：华为防火墙所属分类 ：协议安全配置要求： 可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。检测方

16、法及判定依据 一、检测方法执行命令 display current-configuration | include defend 检查判断 存在如下内容则合规。 firewall defend * enable 备注：*表示任意字符。二、判定依据防火墙能够抵御DDoS攻击，并有相应的日志告警。加固方案参考配置操作1）在用户视图下执行命令system-view，进入系统视图。 2）执行命令firewall defend syn-flood enable，开启SYN Flood攻击防范功能。 3）执行命令firewall defend syn-flood interface GigabitEthe

17、rnet 0/0/1 alert-rate 16000 max-rate 500000配置SYN Flood攻击防范的阈值。4）执行命令firewall defend udp-flood enable，开启UDP Flood攻击防范功能。5）执行命令firewall defend udp-flood interface GigabitEthernet 0/0/1 max-rate 500000配置UDP Flood攻击防范的阈值。6）执行命令firewall defend icmp-flood enable,开启ICMP Flood攻击防范功能。7）执行命令firewall defend ic

18、mp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置ICMP Flood攻击防范的阈值。检查项名称 ：文件与目录缺省权限控制所属分类 ：认证授权配置要求： 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制检测方法及判定依据 检测步骤:查看文件/etc/profile的末尾是否设置umask值:#awk print $1:$2 /etc/profile|grep umask|tail -n1判定条件:/etc/profile文件末尾

19、存在umask 027加固方案参考步骤:一、首先对/etc/profile进行备份#cp /etc/profile /etc/profile.bak二、编辑文件/etc/profile,在文件末尾加上如下内容:umask 027三、执行以下命令让配置生效#source /etc/profile目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战29安全基线的工作介绍工作步骤获取要检查目标的基本信息IP地址设备类型：Windows/Linux+Apache将安全基线产品接入网络（直连检查），做好准备。进行目标设备的配置核查工作，通过检查报告导出检查结果。结

20、果分析，确定检查结论并给出加固方案。获取要检查目标的基本信息IP地址系统类型是否安装数据库是否安装中间件是否提供登录信息网络是否可达windowsSQL Serverweblogic是是linuxOracleTomcat否否aix无Websphere否否思科路由器是是华为防火墙是是系统类型：确定检查基线策略是否提供登录信息/网络是否可达：确定使用哪种检查方式，在线或离线需要设备维护人员在场补充设备信息将安全基线工具介入网络被扫描主机Internet浏览器HTTPS访问客户端Internet管理口 ：接扫描操作计算机扫描口 ：接目标网络核查工具使用说明安全配置核查演示环境地址登录账号登录密码80

21、:8888/sysadminvenus.sysadmin81:8888/sysadminvenus.sysadmin核查设备地址核查设备类型操作系统登录账号操作系统登录密码90windows7administrator123qwevenus90tomcatadministrator123qwevenus90oracleadministrator123qwevenus（system/Qwe_1234）被扫描环境建立扫描任务3、选择添加的扫描目标1、填写任务名称4、确定开始扫描2、选择扫描策略模版添加被核查目标1、填写IP地址2、选择设备类型3、协议及登录信息4、自动探测匹配扫描结果查看1、确定扫

22、描完成2、点击报告生成按钮3、选择预览或下载点击链接查看单个设备的基线结果每个设备的安全基线合规汇总单个设备安全基线分析展开分析合规结果详尽的加固方案分析扫描结果如何分析扫描结果考虑被检查设备重要程度设备部署的位置设备承载的业务考虑单个不合规检查项的权重如何整改所有配置项目修改最好有建设厂商参与，先分析后整改避免修补过程影响系统正常运行，做好备份分析原则所有的设备都应重视所有的缺陷都应改进谢 谢！放射性核素治疗第一节 131I治疗甲状腺疾病一、 131I治疗甲状腺功能亢进症（一）原理 甲状腺组织高度选择性摄取碘。 亢进的甲状腺组织受到射线的集中照射而受到破坏， 减少甲状腺激素的合成分泌。 射线

23、射程短，不会影响甲状腺外组织。 131I在甲状腺内停留时间适当，达到治疗的目的。 （二）适应症、相对适应症及禁忌症1.适应症：（1）Graves甲亢患者。（2）对抗甲状腺药物过敏、或疗效差、或治疗后复发、 或术后复发及青少年和儿童甲亢药物治疗失败又 拒绝手术或有手术禁忌症的Graves甲亢患者。（3）Graves甲亢伴白细胞或血小板减少者。白细胞 3.0109/L，血小板5.01011/L，仍可考虑 131I治疗。（4）Graves甲亢伴房颤的患者。（5）Graves甲亢并慢性淋巴性甲状腺炎摄碘率增高的患者。（6）甲亢合并肝、肾功能损害者。（7）浸润性突眼。 2.禁忌症： （1）妊娠期和哺乳期

24、妇女。 （2）甲亢伴有近期心肌梗死者。（三）治疗方法 1.治疗前准备： （1）停服影响甲状腺摄131I的食物和药物2周以上。 （2）测定甲状腺摄131I率。 （3）甲状腺显像、B超或触诊检查，确定甲状腺重量。 （4）血、尿常规，必要时查肝、肾功能和心电图等。（5）测定血清TT3、TT4、FT3、FT4、TSH、TGAb、TPOAb、TRAb等。（6）治疗前向患者讲清疗效、可能出现的反应、注意事项 （包括辐射防护），及可能出现的并发症和预防方法。（7）签署知情同意书。2.治疗剂量的计算和确定（1）计算计量法/个体化剂量方案： 计划量（Bq/g甲状腺组织） 甲状腺重量（g） 服131I总剂量（MB

25、q）= 甲状腺最高摄131I率（%）（2）固定计量法：给予固定剂量（10-15mCi）。（3）半固定剂量法： 根据临床情况将治疗剂量分为三个等级：低剂量 （3-4mCi）中剂量（5-6mCi） 高剂量（7-8mCi） 3. 影响和确定治疗剂量的因素（1）甲状腺的大小和重量（2）甲状腺最高摄131I率和有效半减期（3）甲亢的严重程度（4）个体敏感性（5）甲状腺肿的类型4.给药方法 一般采用一次口服法。口服131I前后最少禁食2小时。5.重复治疗及治疗剂量的确定 若第一次131I治疗后未见明显疗效，可在治疗后6个月进行第二次治疗。 若第一次131I治疗后症状好转但未痊愈，可先用抗甲状腺药物对症处理

26、，确实疗效不佳时，再考虑第二次治疗。 6.治疗后注意事项 必须空腹服药，服药后2h方可进食。 服131I 后近期内禁用含碘的食物及药物，必要时可用 普萘洛尔类及各种镇静药配合治疗。 服131I后注意休息，避免剧烈活动。 服131I后1周内极个别患者可能出现甲亢危象，必须及时处理。 若服用131I剂量较大，在短期内（至少1周）应避免与孕妇 及婴幼儿的接触。 一旦误服过大剂量131I应立即口服复方碘溶液并多饮水， 加速排出。（四）疗效评价 应用最早、最成熟、最广泛的经典治疗方法。 简便、安全、经济、疗效好、复发率低、并发症少是治疗甲亢的一种十分有效的方法。 总有效率在90%以上，复发率为1-4%。

27、 对少数晚发永久性甲减者需给予甲状腺激素替代治疗。 甲亢经131I治疗痊愈后，其合并症一般均有好转或痊愈：1.甲亢性肌病：最常见、最严重的并发症之一。肌无力和肌萎缩；周期性瘫痪；重症肌无力。治疗后均能恢复或好转。2.甲亢性心脏病：症状恢复。同时患高心病、冠心病者，甲亢 治愈后有关症状相应减轻。3.Graves 眼病：多数患者症状消失、减轻，极少数患者突眼 加重。 4.甲亢合并肝功能损害：无论是甲亢本身所致肝功异常 或是甲亢合并有肝脏疾病，甲亢治愈后肝功能均有改 善或恢复正常。 5.甲亢合并糖尿病：部分患者糖尿病可获改善。 6.甲亢性精神病：可以好转或痊愈。 7.甲亢合并白细胞减少：常可恢复正常

28、。（五）治疗反应及处理1.早期反应：（1）几天内出现乏力、食欲差、恶心、皮肤瘙痒、甲状腺 肿胀等反应，无需特殊处理，多自行消失。（2）甲亢症状加重：发生率1%，多在治疗后1周。 患者体温高于39，心率大于160次/min，大汗淋漓、 谵妄、昏迷、呕吐及腹泻等，或老年患者出现淡漠、 嗜睡、低热、乏力，呈恶病质状，心率慢、脉压小和 突眼时，要特别注意甲亢危象的发生。应按内科常规 治疗方法处理。2.甲减 在治疗后1-2个月（少数在2-6个月）发生，为早发甲减，多数在3-6个月内自行恢复。 治疗1年后发生的甲减，多为永久性甲减。其发病率与甲状腺接受131I剂量并非完全相关。出现时应及时给予甲状腺激素治

29、疗。二、131I治疗功能自主性甲状腺腺瘤（一）原理： 功能自主性甲状腺结节有较高的摄取 131I的功能，131I治疗可破坏结节达到 治疗目的。（二）适应症、相对适应症和禁忌症 1.适应症：（1）功能自主性甲状腺结节有手术禁忌症或拒绝手术治疗者。（2）甲状腺显像为“热”结节，结节外甲状腺组织完全或基 本被抑制。（3）有甲亢合并心血管病变如心律不齐、房颤者。2.相对适应症：（1）“热”结节外甲状腺组织未能完全抑制者，不宜 131I治疗。 （2）结节重量超过100g，但患者不能手术，必要时可 考虑131I治疗。 年龄较小，但在30岁以上，需要时可考虑131I治疗。3.禁忌症：妊娠和哺乳患者；临床上不

30、适于采用甲状腺素作为治疗前后辅助用药的患者；怀疑甲状腺有恶变的患者；自主功能结节摄率过低的患者。（三）治疗方法 给药方法与131I治疗甲亢相同，一般视腺瘤大小、 摄取131I率的高低和有效半减期长短而定。 目前主要采取一次大剂量疗法，达到足以破坏结节 的作用，比分次小剂量法疗效好。（四）疗效评价 治疗后2-3个月结节逐渐缩小，甲亢症状逐渐改善， 治疗有效率近100%。极少发生甲减。 其疗效及疗效出现的时间与131I治疗剂量密切相关。三、 131I治疗分化型甲癌转移灶（一）原理： 分化型甲状腺癌（滤泡状及乳头状腺癌）及其 转移灶具有摄取131I的功能。 131I 发射的射线对癌组织进行集中照射，

31、破 坏癌组织，达到治疗目的。 1.适应症： （1）符合下列条件者均应使用131I去除残留甲状腺组织： 期和期（TNM分期）DTC 患者 所有年龄45岁期 DTC 患者 选择性期 DTC 患者，特别是有多发肿瘤病灶、 出现淋巴结转移、有甲状腺外或血管浸润者 激进型病理类型患者（二）适应症和禁忌症（2）残留甲状腺组织已被完全去除，复发或转移灶 不能手术切除，病灶摄取131I的患者。（3）残留甲状腺组织已被完全去除，131I显像阴性 但Tg水平10g/L的患者。2.禁忌症： （1）妊娠和哺乳患者；（2）术后创口未愈合的患者；（3）白细胞低于3.0 109/L的患者；（4）肝、肾功能严重损害的患者。（

32、三）治疗方法 1.治疗前准备 （1）停用甲状腺素制剂3-6周。 （2）术后4-6周创伤痊愈后即可行131I去除治疗。 （3）忌服含碘食物或含碘药物4周。 （4）测定血常规、FT3、FT4、TSH、Tg、TGAb，甲状腺摄131I率、 X线胸片、心电图、肝功和肾功、甲状腺显像等。 2.给药方法（1）131I去除残留甲状腺组织 常规给予 3.7GBq（100mCi）；病理为激进型患者可 增加至 5.55-7.4GBq（150-200mCi）。 1周后给予甲状腺素；如治疗前甲减明显，24小时可 给甲状腺素。（2）131I治疗DTC转移灶 甲状腺床复发或颈部淋巴结转移者给予 3.7-5.5GBq （1

33、00-150mCi）；肺转移者给予 5.55-7.4GBq（150- 200mCi）；骨转移者 7.4-9.25GBq（200-250mCi）。 治疗后5-7天行全身显像；24小时可给甲状腺素。 3.放射防护 （四）治疗效果 有效率达75%，较单纯外科手术有更高生存率。 定期随访，发现新的功能性转移灶再行131I治疗， 10年存活率近90%。（五）副作用 最常见为骨髓抑制，程度多较轻微。严重者需用增加白细 胞药物或输血治疗。 弥漫性肺转移者易发生肺纤维化。 （六）疗效评价 原发灶首选手术切除，再行131I清除， 发现有淋巴、肺和骨骼等转移灶时，应及时采用131I治疗。第二节肿瘤核素治疗一、骨转

34、移瘤治疗（一）原理： 与骨组织有较高的亲和力。 发射的-射线，抑制和破坏骨转移瘤，同时还能缓解疼痛。 目前常用的放射性药物： 153Sm-EDTMP、186Re-HEDP、89SrCl2 骨转移瘤主要来源：肺癌、前列腺癌、乳腺癌；转移部位以扁骨为多。（二）适应证与禁忌证1. 适应证:（1）临床、X线、CT、MR、病理，尤其是全身骨显像 检查证实的多发骨转移瘤。（2）骨转移引起的骨痛，放、化疗无效者。（3）原发骨肿瘤伴有骨内多发性转移者。（4）白细胞计数 3.5109/L，血小板 90109/L。2. 禁忌证：（1）骨显像为溶骨性“冷区”者。（2）放、化疗后有骨髓功能严重障碍者。（3）合并有严重肝、肾功能受损者。（4）妊娠及哺乳期妇女。（三）治疗方法1. 患者准备（1）病史、体检资料、全身骨显像、X线检查、CT、病理 诊断、血常规、肝、肾功能检查等。（2）接受过放、化疗患者，至少停用2-4周，且血常规符合 治疗适应证