医院网络安全方案样本.docx
《医院网络安全方案样本.docx》由会员分享,可在线阅读,更多相关《医院网络安全方案样本.docx(10页珍藏版)》请在冰豆网上搜索。
医院网络安全方案样本
构筑医院信息系统全方位安全网络
第一章安全问题分析
随着医院信息化限度越来越高,随着而来安全问题也日益突出,特别是随着网络规模不断扩大,网络应用项目越来越丰富,涉及到人员越来越来越庞杂,布置方略越来越繁琐,整个系统变得越复杂,医院面对安全风险也越来越大。
如何有效地减少安全风险、减少安全成本,安全方略显得尤为重要。
医院HIS系统是核心业务系统,需要系统不间断运营。
虽然发生短暂业务中断,也会导致难以预计经济和名誉损失。
为此,咱们分析如下也许会导致业务系统中断因素:
1.服务器硬件故障
如服务器数据/系统磁盘损坏将导致数据不能访问,并进而也许导致应用进程终结或系统停机,甚至系统不能重启动;网卡损坏可使终端顾客无法访问系统服务;CPU或内存失效则会导致系统死机;
2.主干互换机或干线故障
如主干互换机死机、互换机配备出错、或干线线路浮现意外故障。
3.数据库服务、操作系统出错
由于操作系统或数据库服务器中也许存在不完善地方、或者配备不得当,当遇到某种激发事件时,数据库服务器非正常终结或系统崩溃;
4.人为错误
某些人工误操作,如删除系统或应用文献,终结系统或应用服务进程,也会导致系统服务无法访问;
5.电脑病毒/黑客入侵
由于当前郑州市诸多医院计算机和省市医院医保联网,无论是物理还是逻辑上都是互通,若缺少有效防范机制,很容易遭受病毒感染或者黑客入侵,轻者数据被损坏,系统数据被重者系统瘫痪;
6.自然灾害
由于某些意外不可抗拒因素,如雷击、火灾、洪灾等导致计算机系统破坏,将会使普通系统恢复非常困难和耗时,导致业务系统长时间中断(通过容灾系统来解决)。
7.正常停机
重要指筹划内系统升级、安装软件、系统备份等过程。
由上可见,影响系统安全运营因素有诸多,但是,导致系统中断完全可以通过创立一种完整安全方略来有效避免。
系统安全不但是一种单一安全防范问题,也不也许一时完会解决,而是一种整体、全面技术问题,同步安全也是一种长期,动态过程。
因而我公司提出了在医院建立全网安全概念。
在理解安全需求基本之上,从安全规划角度看,应遵循如下原则:
安全管理为本原则、需求、风险、代价平衡分析原则,综合性、整体性原则、适应性及灵活性原则,多重保护原则。
当今诸多系统集成商力图做到全自运化,对于信息安全问题可以做到自动发现、自动解决,。
出发点固然是不错,但愿以便顾客使用。
但现实世界中网络安全问题太过复杂,一切都是机器和程序搞定想法有些不切合实际。
我公司以为:
在保卫系统安全过程中人应当发挥人能动性,做到积极出击,而不是被动防御。
居以上分析,我公司提出如下全网安全解决方案:
第二章 服务器操作系统和数据安全方案
第一节 双机容错某些------解决由于服务器硬件故障、筹划停机导致服务器停机
1.1方案阐明
确要建立高可用计算机解决系统,一方面,在硬件上,要做到各部件冗余,多台计算机构成集群构造,使整个系统不存在单点故障;此外,还需要有专门集群软件来进行管理和监控,使得应用系统在任何软硬件单元发生故障时,可以稳定可靠地运营。
此外,在高可用系统设计时,还需考虑下述核心点:
∙应用系统,主机/部件间切换是非对顾客透明?
∙故障发生时,与否需要人为干预?
∙切换速度如何?
∙配备与否简朴以便,易于管理?
与操作系统、应用程序与否能密切配合?
1.2双机容错某些构成
例如:
ROSEHAFORWINSERVER容错软件
HP公司F200磁盘阵列系统
HPDL580G4两台
1.3方案简介
系统以WN为平台,F200磁盘阵列及ROSEHA软件为核心,惯用数据库及网络数据存储在磁盘阵列中,两台服务器只安装本地系统文献及ROSEHA软件,并作一主一从热备方式。
当系统启动后:
RoseHA一方面启动HAmanager管理程序,然后启动必要服务和代理程序来监控和管理系统服务。
HA代理程序通过RS232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。
当ROSEHA代理程序监测到某个服务或硬件发生故障并作相应解决后(可由顾客设定)仍不能成功时,则开始切换服务:
将IP飘移到相似顾客名另一台Standby服务器上,磁盘阵列中数据库由主服务器切换到从服务器,并恢复所有服务功能。
完毕整个切换过程,平均时间为40秒,此时系统又进入初始状态。
1.4系统特点
Ø硬件结合实现真正意义上数据与系统分离。
Ø对硬件配备规定不高,服务器可采用不同或相差较大配备。
Ø系统切换时间短,平均切换时间为30秒,为当前同类软件中最短。
Ø系统效率高。
由于整个系统中数据读写、管理及容错由磁盘阵列来完毕。
而系统从服务器故障纠错解决由HA软件来完毕,而这两个都是相对独立子系统。
双机容错监控途径为和RS232线路或10/100M自适应网卡线路,既不占用主机CPU资源也不占用基本网络带宽,因而系统效率高,这一点在实际应用中得到顾客一致好评.
1.5切换实例
在本例中,两台应用服务器分别运营ORACLESERVER数据库。
数据库数据存储在形成镜像两台磁盘阵列中。
ROSEHA通过ORACLEServerAgent监控SQL数据库运营状况。
当主服务器发生意外故障时,ROSEHAORACLEDatabaseAgent会监控到故障状况。
通过心跳线合同,ROSEHA会将数据库数据切换到备用机上。
切换后,ROSEHA可以检测数据同步状况,如果数据对的无误,ROSEHA将启动上层数据库和应用服务。
第二节远程备份、恢复方案
-------解决由于机房失火、雷击、失窃等机房意外因素导致数据丢失
2.1系统构成
备份软件:
VERITASBACKUPEXEC10.XFORWIN/SERVER中文版
备份服务器:
医院裁减下来服务器即可
备份设备:
建议医院购买磁带库或SATA磁盘阵列柜
备份目的:
HIS服务器和市医保服务器、财务科服务器和OA服务器等
2.2备份方略
备份方略好坏,决定恢复速度与质量,咱们制定备份方略如下:
劫难恢复启动光盘+系统完全备份+数据库完全备份+数据库差别备份+数据库日记备份
劫难恢复启动光盘:
当硬件有重大改届时重做。
(可以迅速恢复操作系统,并且在恢复过程中不用操作系统安装盘)
系统完全备份:
每月系统完全备份
数据库完全备份:
每周日数据库完全备份
数据库差别备份:
每8小时数据库差别备份
数据库日记备份:
每5分钟日记备份
方略评价:
长处:
备份速度快,恢复快并且是自动化,可保存二年数据备份。
2.3)恢复方略
一)假定:
当机房失火或雷击导致双机系统服务器硬件彻底损坏,恢复过程如下:
(1)恢复本周周日数据库完全备份到远程备份服务器上,大概5分钟
(2)恢复本周日全备后近来一次差别备份到远程备份服务器上,大概2分钟
(3)恢复所有近来一次差别备份后日记备份,大概15分钟
(4)修改客户端INI或配备文献SERVERNAME值为远程备份服务器名字,大概1-15分钟。
(如果客户端程序在服务器上会快某些。
)
这样可以保证客户端运营间断不超过30分钟,数据丢失不超过5分钟。
二)假定:
双机系统中磁盘阵列柜损坏,如控制器损坏。
恢复过程如下。
1)恢复本周周日数据库完全备份到主服务本地硬盘上,大概15分钟
2)恢复本周日全备后近来一次差别备份到主服务本地硬盘上,大概2分钟
3)恢复所有近来一次差别备份后日记备份,大概15分钟
4)修改主服务器本地磁盘盘符,重新启动SQL服务,大概2分钟
5)修改客户端INI或配备文献SERVERNAME值为主服务务器名字,大概1-15分钟。
(如果客户端程序在服务器上会快某些。
)
这样可以保证客户端运营间断不超过37分钟,数据丢失不超过5分钟。
三)假定:
正在使用数据库置疑或被误删除,也就是说数据库文献损坏,而数据库服务没有停止。
恢复过程如下。
1)恢复本周周日数据库完全备份,大概15分钟
2)恢复本周日全备后近来一次差别备份,大概2分钟
3)恢复所有近来一次差别备份后日记备份,大概15分钟
4)恢复活动日记(如果数据库文献还存在话)大概2分钟。
这样可以保证客户端运营间断不超过34分钟,数据丢失不超过5分钟,或者数据一点也不丢失。
四)假定:
双机系统中主服务器或备服务器其中一台操作系统盘损坏,而阵列柜硬盘没有问题。
恢复过程如下:
1)用系统恢复光盘恢复操作系统+上个月系统全备。
大概30分钟左右。
客户端不受影响。
数据不丢失。
双机容错和远程备份网络示意图
第三节服务器应用层防火墙
------解决来自内部网络袭击问题
3.1系统构成
WIN应用层防火墙:
微软 ISA中文版
保护目的:
医院所有WIN服务器不受内部袭击
3.1方案阐明
在防火墙上配备安全方略,如:
仅开放指定端口和应用,如:
HIS服务器只容许ORACLE服务互换数据等。
3.2对防火墙袭击测试
当防火墙安装完装后,可以模仿袭击,如:
Smurf和Land-based、PingofDeath
SynFlood和DoS袭击等,分析防火墙抗袭击能力。
1.3经常分析防火墙日记
为防火墙指定一种日记服务器,在正常使用防火墙后,要经常查看、分析日记,看看有无异常连接祈求和异常数据包通过防火墙。
分析日记内容应涉及:
(1)检查日期和时间
(2)跟踪客户端IP地址
(3)检查顾客祈求途径和文献
(4)理解访问状态(代码)
(5)检查顾客代理
(6)查看访问源头
第二章 网络安全方案
第一节VLAN------逻辑隔离各个使用区
1.1方案阐明
使用互换机VLAN功能,逻辑把医院网络划分为5个某些,每个某些分别属于不同IP网段,各个网段通过3层路由依照路由方略和防火墙方略(应用层防火墙)互换数据。
各个某些功能如下:
HIS服务器区 放置HIS、PACS、LIS服务器
HIS客户端区HIS客户端
医保区 市医保服务器,省医保路由器
财务专用区 财务科专用服务器和工作站
公共区 OA服务器,备份服务器,杀毒控制中心等。
各个某些访问方略如下:
HIS服务器区 只能访问公共区,用来升级病毒库和远程备份。
HIS客户端区访问公共区,HIS服务器区,和医保区
医保区 只能被访问。
财务专用区 只能访问公共区,用来升级病毒库和远程备份。
公共区 只能被访问。
(配合防火墙方略)
第二节外网防火墙
系统构成:
思科防火墙
保护目的:
制止通过医保网络,来自其她医院袭击。
防火墙作用:
一是可以限制她人进入和其她医院通过医保网络进入医院内部网络,过滤掉不安全服务和非法顾客;二是防止入侵者接近你防御设施;三是限定顾客访问其她医院服务器;四是为监视外网安全提供以便。
由于防火墙假设了网络边界和服务,因而更适合于相对独立网络,例如外网等种类相对集中网络。
防火墙正在成为控制对网络系统访问非常流行办法。
事实上,在外网上服务器中,超过三分之一服务器都是由某种形式防火墙加以保护,这是对黑客防范最严,安全性较强一种方式,建议医保服务器都建议放在防火墙之后。
第三节杀毒软件
在每台接入网络电脑上安装网络版杀毒软件,进行统一升级,全网杀毒,并定期更新病毒库和杀毒引擎。
第四节漏洞扫描和IDS/IPS
使用漏洞扫描工具,对服务器和工作站以及互换设备进行定期扫描,发现漏洞及打上补丁和修复。
第三章 客户端安全方案
PC接口安全解决方案
一、用普通小锁锁住机箱,防止随意打开机箱,拆卸、增长设备。
二、给BIOS设安全密码,防止任意进入更改系统设立信息,在BIOS中将某些不使用设备关闭,如:
串口,USB口、软驱接口,第二个IDE口等
三、操作系统中删除关于于USB驱动和服务。
客户端权限分派方案
方案描述:
创立两个顾客,一种顾客是超级顾客,另一种是普通顾客。
超级顾客密码由信息科管理,普通顾客自动登录到系统。
运用方略编辑器把没用服务、权限、设备关掉。
如:
共享权限,桌面属性、网上邻居、USB接口。
普通顾客不能安装、卸载软件,不能停止服务等。
BIOS启动,只容许C盘启动,不容许从LAN、USB、CDROM等
硬盘提成三个区
系统区,数据区,备份区
把盘式化成NTFS分区
阐明:
普通顾客不能更改IP设立、安全方略、停止或启动服务等。
IP安全访问方案
一、通过设定IP安全方略,设定出站端口,仅仅是1521(ORACLE),趋势杀毒软件端口,也就是说,工作站只能访问数据库服务器,不能访问其他任何服务。
如:
HTTP,FTP,QQ等,更不也许上网。
二、通过设定IP安全方略,关闭ICMP等合同,设定入站端口仅仅为远程管理端口。
可以有效防止黑客、木马及冲击波等袭击。
阐明:
通过此设立,工作站不能上网,只能访问服务器,也不能访问别电脑,也不能被别电脑访问。
客服端远程服务方案(中文版RAMIN)
方案描述:
为了更快为客服端解决问题、减少管理员来回跑次数,建议所有客户机上安装远程服务软件,科室打来电话后,管理员可以远程操作其电脑,与其交互操作和解说。
远程软件安装后,是以服务形式存在,不易被非法卸载或停止。
咱们已把客服端远程服务软件做成安装程序。
操作系统恢复方案
一:
用一键还原类软件,把操作系统备份到隐含分区。
方案描述:
解决操作系统重装问题,如果操作需要重新装,只要在客户机启动时按F10时,就自动恢复到系统安装时状态。
二:
通过网络远程启动操作系统或恢复操作系统。
方案描述:
需要在同一网段一台电脑上安装远程启动服务,客户端操作系统传至这台电脑,当客户端需要恢复系统时,从网卡启动就可以恢复或启动系统。
远程服务安全解决方案
代理方式:
一、双网卡方式
做代理电脑,一块网卡连接外网,一块网卡接内网互换机,注意不要在这台电脑上启用路由,一定要启用防火墙功能。
安装端口转发软件,注旨在外网端口不要和内网端口一致,如外网端口:
4888,内网端口4899,外网端口3388,内网端口,3389,等,远程控制密码8位以上,在远程服务结速时,内网网络端口断开。
二、宽带路由器方式:
路由器上内网端口,和HIS网络互换机互联,路由器上外网代理端口不要和内网端口一致:
4888,内网端口4899,外网端口3388,内网端口,3389,等。
远程控制密码8位以上,在远程服务结速时,内网网络端口断开。
河南煤化鹤煤公司总医院信息科
6月5日星期六