构筑医院信息系统的全方位平安
网络之老阳三干创作
创作时间:二零二一年六月三十日 第一章 平安问题分析
随着医院信息化水平越来越高,陪伴而来的的平安问题也日益突出,尤其是随着网络规模的不竭扩年夜,网络应用项目越来越丰富,涉及到的人员越来越来越庞杂,布置战略越来越繁琐,整个系统变得越复杂,医院面对的平安风险也越来越年夜.如何有效地降低平安风险、降低平安本钱,平安的战略显得尤为重要.医院的HIS系统是关键业务系统,需要系统不间断运行.即使发生长久的业务中断,也会招致难以估量的经济和名誉损失.为此,我们分析以下可能会招致业务系统中断的原因:
1. 服务器硬件故障
如服务器的数据/系统磁盘的损坏将招致数据不能访问,并进而可能招致应用进程终止或系统停机,甚至系统不能重启动;网卡的损坏可使终端用户无法访问系统服务;CPU或内存的失效则会招致系统的死机;
2. 主干交换机或干线的故障
如主干交换机死机、交换机配置犯错、或干线线路呈现意外故障.
3. 数据库服务、把持系统犯错
由于把持系统或数据库服务器中可能存在不完善的处所、或者配
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
置不适当,当碰到某种激发事件时,数据库服务器非正常终止或系统解体;
4. 人为毛病
一些人工的误把持,如删除系统或应用文件,终止系统或应用服务进程,也会招致系统服务的无法访问;
5. 电脑病毒/黑客入侵
由于目前的郑州市的很多医院的计算机和省市医院医保联网,无论是物理还是逻辑上都是互通的,若缺少有效的防范机制,很容易遭受病毒的感染或者黑客的入侵,轻者数据被损坏,系统数据被重者系统瘫痪;
6. 自然灾害
由于一些意外的不成抗拒的因素,如雷击、火灾、洪灾等招致的计算机系统破坏,将会使一般系统的恢复非常困难和耗时,招致业务系统长时间的中断(通过容灾系统来解决).
7. 正常的停机
主要指计划内的系统升级、装置软件、系统备份等过程.
由上可见,影响系统平安运行的因素有很多,可是,招致的系统中断完全可以通过创立一个完整的平安战略的来有效防止.
系统平安不单是一个单一的平安防范问题,也不成能一时完会解决,而是一个整体的、全面的技术问题,同时平安也是一个长期的,静态的过程.因此我公司提出了在医院建立全网平安的概念.在了解平安需求的基础之上,从平安的规划的角度看,应遵循以下
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
原则:平安管理为本的原则、需求、风险、价格平衡分析的原则,综合性、整体性原则、适应性及灵活性原则,多重呵护原则.
现今的很多系统集成商力图做到全自运化,对信息平安问题能够做到自动发现、自动解决,.动身点固然是不错,希望方便用户使用.但现实世界中的网络平安问题太过复杂,一切都是机器和法式搞定的想法有些不切合实际.我公司认为:在捍卫系统平安的过程中人应该发挥人的能动性,做到主动反击,而不是主动防御.
居以上分析,我公司提出以下全网平安的解决方案: 第二章 服务器把持系统和数据平安方案
第一节双机容错部份------解决由于服务器硬件故障、计划停机造成的服务器停机
1.1方案说明
确要建立高可用的计算机处置系统,首先,在硬件上,要做到各部件的冗余,多台计算机组成集群结构,使整个系统不存在单点故障;另外,还需要有专门的集群软件来进行管理和监控,使得应用系统在任何软硬件单位发生故障时,能够稳定可靠地运行.另外,在高可用系统设计时,还需考虑下述关键点:
• 应用系统,主机/部件间的切换是非对用户透明? • 故障发生时,是否需要人为干预? • 切换的速度如何?
• 配置是否简双方便,易于管理?
与把持系统、应用法式是否能密切配合?
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
1.2 双机容错部份构成 例如:
ROSE HA FOR WIN2003SERVER 容错软件 HP公司的F200磁盘阵列系统 HPDL580G4两台 1.3 方案简介
系统以WN2003为平台,F200磁盘阵列及ROSE HA软件为核心,经常使用数据库及网络数据寄存在磁盘阵列中,两台服务器只装置本地系统文件及ROSE HA软件,并作一主一从的热备方式.当系统启动后:Rose HA首先启动HA manager管理法式,然后启动需要的服务和代办署理法式来监控和管理系统服务.HA代办署理法式通过RS232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务.
当ROSE HA代办署理法式监测到某个服务或硬件发生故障并作相应处置后(可由用户设定)仍不能胜利时,则开始切换服务:将IP飘移到相同用户名的另一台Standby服务器上,磁盘阵列中的数据库由主服务器切换到从服务器,并恢复所有的服务功能.完成整个切换过程,平均时间为40秒,此时系统又进入初始状态.
1.4系统特点
➢ ➢
硬件结合实现真正意义上的数据与系统分离.
对硬件配置要求不高,服务器可采纳分歧或相差较年夜
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
的配置.
➢
系统切换时间短,平均切换时间为30秒,为目前同类软
件中最短.
➢
系统效率高.因为整个系统中数据读写、管理及容错由
磁盘阵列来完成.而系统从服务器故障纠错处置由HA软件来完成,而这两个都是相对自力的子系统.双机容错监控路径为和RS232线路或10/100M自适应网卡线路,既不占用主机CPU资源也不占用基础网络带宽,因此系统效率高,这一点在实际的应用中获得用户的一致好评. 1.5切换实例
在本例中,两台应用服务器分别运行ORACLE SERVER数据库.数据库的数据寄存在形成镜像的两台磁盘阵列中.ROSE HA通过ORACLE Server Agent监控SQL数据库的运行状况.
当主服务器发生意外故障时,ROSE HA ORACLE Database Agent会监控到故障情况.通过心跳线协议,ROSE HA会将数据库数据切换到备用机上.切换后,ROSE HA可以检测数据的同步情况,如果数据正确无误,ROSE HA将启动上层的数据库和应用服务.
第二节
远程备份、恢复方案
-------解决由于机房失火、雷击、失窃等机房的意外原因造成的数据丧失 2.1 系统构成
备份软件:VERITAS BACKUP EXEC 10.X FOR
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
WIN2000/2003 SERVER中文版
备份服务器:医院淘汰下来的服务器即可
备份设备:建议医院购买磁带库或SATA磁盘阵列柜
备份目标:HIS服务器和市医保服务器、财政科服务器和OA服务器等 2.2备份战略
备份战略的好坏,决定恢复的速度与质量,我们制定备份战略如下:
灾难恢复启动光盘+系统完全备份+数据库完全备份+数据库分歧备份+数据库日志备份
灾难恢复启动光盘:当硬件有重年夜改到时重做.(可以快速的恢复把持系统,而且在恢复过程中不用把持系统装置盘)
系统完全备份:每月的系统完全备份
数据库完全备份:每周日的数据库完全备份 数据库分歧备份:每8小时的数据库分歧备份 数据库日志备份:每5分钟的日志备份
战略评价:优点:备份速度快,恢复快而且是自动化,可保管二年数据备份. 2.3)恢复战略
一)假定:当机房失火或雷击造成双机系统的服务器硬件完全损坏,恢复过程如下:
(1)
恢复本周周日的数据库完全备份到远程备份服务器上,
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
年夜约5分钟
(2)
恢复本周日全备后的最近一次分歧备份到远程备份服务器上,年夜约2分钟
(3)
恢复所有最近一次分歧备份后的日志备份,年夜约15分钟
(4)
修改客户真个INI或配置文件的SERVERNAME的值为远程备份服务器的名字,年夜约1-15分钟.(如果客户端法式在服务器上会快一些.)
这样可以保证客户端运行间断不超越30分钟,数据丧失不超越5分钟.
二)假定:双机系统中的磁盘阵列柜损坏,如控制器损坏.恢复过程如下.
1)恢复本周周日的数据库完全备份到主服务本地硬盘上,年夜约15分钟
2)恢复本周日全备后的最近一次的分歧备份到主服务本地硬盘上,年夜约2分钟
3)恢复所有最近一次分歧备份后的日志备份,年夜约15分钟
4)修改主服务器本地磁盘盘符,重新启动SQL服务,年夜约2分钟
5)修改客户真个INI或配置文件的SERVERNAME的值为主服务务器的名字,年夜约1-15分钟.(如果客户端法式在服
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
务器上会快一些.)
这样可以保证客户端运行间断不超越37分钟,数据丧失不超越5分钟.
三)假定:正在使用数据库置疑或被误删除,也就是说数据库文件损坏,而数据库服务没有停止.恢复过程如下.
1)恢复本周周日的数据库完全备份,年夜约15分钟
2)恢复本周日全备后的最近一次的分歧备份,年夜约2分钟 3)恢复所有最近一次分歧备份后的日志备份,年夜约15分钟
4)恢复活动日志(如果数据库文件还存在的话)年夜约2分钟.
这样可以保证客户端运行间断不超越34分钟,数据丧失不超越5分钟,或者数据一点也不丧失.
四)假定:双机系统中的主服务器或备服务器其中一台的把持系统盘损坏,而阵列柜的硬盘没有问题.恢复过程如下:
1)用系统恢复光盘恢复把持系统+上个月的系统全备.年夜约30分钟左右.
客户端不受影响.数据不丧失. 双机容错和远程备份网络示意图
第三节
服务器应用层防火墙
------解决来自内部网络攻击问题
3.1 系统构成
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
WIN2003应用层防火墙:微软 ISA2006中文版
呵护目标:医院所有WIN2003服务器不受内部攻击 3.1方案说明
在防火墙上配置平安的战略,如:仅开放指定的端口和应用,如:HIS服务器只允许ORACLE服务交换数据等. 3.2对防火墙的攻击测试
当防火墙装置完装后,可以模拟攻击,如:Smurf和Land-based、Ping of Death
Syn Flood和DoS攻击等,分析防火墙抗攻击能力. 1.3经常分析防火墙日志
为防火墙指定一个日志服务器,在正常使用防火墙后,要经常检查、分析日志,看看有没有异常的连接请求和异常的数据包通过防火墙.
分析日志的内容应包括:
(1)
检(
2
查)
跟
日踪
期客
户
和端
IP
时
地
间 址
(3)检查用户请求的路径和文件 (((
456
))
了解检
访查检
问用察
状户访
态代
(代办
码署源
) 理 头
)问
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
第二章 网络平安方案
第一节
VLAN------逻辑隔离各个使用区
1.1方案说明
使用交换机的VLAN的功能,逻辑的把医院的网络划分为5个部份,每个部份分别属于分歧的IP网段,各个网段通过3层路由根据路由战略和防火墙战略(应用层防火墙)交换数据.
各个部份的功能如下:
HIS服务器区 放置HIS、PACS、LIS服务器 HIS客户端区 HIS客户端
医保区 市医保服务器,省医保路由器 财政专用区 财政科专用服务器和工作站
公共区 OA服务器,备份服务器,杀毒控制中心等.
各个部份的访问战略如下:
HIS服务器区 只能访问公共区,用来升级病毒库和远程备份.
HIS客户端区 访问公共区,HIS服务器区,和医保区
医保区 只能被访问.
财政专用区 只能访问公共区,用来升级病毒库和远程备份.
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
公共区 只能被访问.(配合防火墙战略)
第二节
外网防火墙
系统构成:思科防火墙
呵护目标:阻止通过医保网络,来自其他医院的攻击.
防火墙的作用:
一是可以限制他人进入和其他医院通过医保网络进入医院内部网络,过滤失落不服安服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问其他医院服务器;四是为监视外网平安提供方便.由于防火墙假设了网络鸿沟和服务,因此更适合于相对自力的网络,例如外网等种类相对集中的网络.防火墙正在成为控制对网络系统访问的非常流行的方法.事实上,在外网上的服务器中,超越三分之一的服务器都是由某种形式的防火墙加以呵护,这是对黑客防范最严,平安性较强的一种方式,建议医保服务器都建议放在防火墙之后.
第三节
杀毒软件
在每台接入网络的电脑上装置网络版杀毒软件,进行统一升级,全网杀毒,并按期更新病毒库和杀毒引擎.
第四节
漏洞扫描和IDS /IPS
使用漏洞扫描工具,对服务器和工作站以及交换设备进行按期扫描,发现漏洞及打上补钉和修复.
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
第三章 客户端平安方案
PC接口平安解决方案
一、用普通小锁锁住机箱,防止随意翻开机箱,装配、增加设备. 二、给BIOS设平安密码,防止任意进入更改系统设置信息,在
BIOS中将一些不使用的设备关闭,如:串口,USB口、软驱接口,第二个IDE口等
三、把持系统中删除有关于USB驱动和服务.
客户端权限分配方案 方案描述:
创立两个用户,一个用户是超级用户,另一个是普通用户.超级用户密码由信息科管理,普通用户自动登录到系统.
利用战略编纂器把没用的服务、权限、设备关失落.如:共享权限,桌面属性、网上邻居、USB接口.普通用户不能装置、卸载软件,不能停止服务等.
BIOS的启动,只允许C盘启动,不允许从LAN、USB、CDROM等 硬盘分成三个区
系统区,数据区,备份区 把盘式化成NTFS分区
说明:普通用户不能更改IP设置、平安战略、停止或启动服务等. IP平安访问方案
一、 通过设定
IP平安战略,设定出站的端口,仅仅是1521
(ORACLE),趋势的杀毒软件端口,也就是说,工作站只能访
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
问数据库服务器,不能访问其它任何服务.如:HTTP,FTP,QQ等,更不成能上网.
二、 通过设定
IP平安战略,关闭ICMP等协议,设定入站的端口
仅仅为远程管理端口.可以有效防止黑客、木马及冲击波等攻击.
说明:通过此设置,工作站不能上网,只能访问服务器,也不能访问另外电脑,也不能被另外电脑访问. 客服端远程服务方案 (中文版RAMIN) 方案描述:
为了更快的为客服端解决问题、减少管理员来回跑的次数,建议所有的客户机上装置远程服务软件,科室打来德律风后,管理员可以远程把持其电脑,与其交互把持和讲解.
远程软件装置后,是以服务形式存在,不容易被非法卸载或停止. 我们已把客服端远程服务软件做成装置法式. 把持系统恢复方案
一:用一键还原类的软件,把把持系统备份到隐含分区.
方案描述:
解决把持系统重装问题,如果把持需要重新装,只要在客户机启动时按F10时,就自动恢复到系统装置时状态.
二:通过网络远程启动把持系统或恢复把持系统. 方案描述:
需要在同一网段的一台电脑上装置远程启动服务,客户端把持
创作时间:二零二一年六月三十日
创作时间:二零二一年六月三十日
系统传至这台电脑,当客户端需要恢复系统时,从网卡启动就可以恢复或启动系统.
远程服务平安解决方案
代办署理方式:
一、双网卡的方式
做代办署理的电脑,一块网卡连接外网,一块网卡接内网交换机,注意不要在这台电脑上启用路由,一定要启用防火墙功能.装置端口转发软件,注意在外网的端口不要和内网的端口一致,如外网端口:4888,内网端口4899,外网端口3388,内网端口,3389,等,远程控制的密码8位以上,在远程服务结速时,内网网络端口断开.
二、宽领路由器方式:
路由器上内网端口,和HIS网络交换机互联,路由器上的外网的代办署理端口不要和内网的端口一致:4888,内网端口4899,外网端口3388,内网端口,3389,等.远程控制的密码8位以上,在远程服务结速时,内网网络端口断开.
河南煤化鹤煤公司总医院 信息科
2010年6月5日星期六
创作时间:二零二一年六月三十日 创作时间:二零二一年六月三十日
因篇幅问题不能全部显示,请点此查看更多更全内容