某大型机构信息系统安全规划解决方案 - 图文

更新时间:2024-04-22 23:56:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

北医信息系统安全规划方案

2016-05

1 概述

信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度,更是一项事关国

家安全及社会稳定的政治任务。2011年 12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),要求卫生行业\全 面 开 展 信 息 安 全 等 级 保 护 工 作\,同 时 发 布《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),结合卫生行业实际,为规范和指导全国卫生行业信息安全等级保护工作,提供了指导意见。

卫生行业实施信息安全等级保护制度工作全面开启。医院信息系统 (HIS)是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。医院信息系统必须按照要求,全面实施信息安全等级保护制度,以确保医院信息系统数据安全。1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院 147号令),规定\计算机信息系统实行安全等级保护\。2004年 9月,公安部等四部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。2007年 6月,《信息安全等级保护管理办法》(公通字[2007]43号)正式出台,为开展信息安全等级保护工作提供了规范保障。随后,国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信息系统安全等级保护测评要求》等多种安全标准实施办法。

用友作为整体解决方案提供商,在医院系统架构中我们将以数据安全作为方案重点根据国家标准并结合当前成熟的软硬件技术进行系统软件、硬件设计及架构,如果选择用友提供整体解决方案,医院管理系统可以实现最好的应用效果和最大的经济效益。 2

总体设计目标

系统具有较强的伸缩性和可扩展性,不但能够满足目前北医日常信息录入、查询、报表分析等业务操作的需求,而且对今后北医业务增加或访问量增大也具有良好的扩展性,实现业务和系统性能的线性增长。

功能、性能满足需求的同时,数据安全是我们关注的重点方面,通过安全域划分、边界安全防护、身份鉴别、服务器容错和备份恢复等手段,用友信息系统可以多角度全方位的保证医疗信息系统的数据安全。 3

安全总体实现目标 3.1 安全定级

医疗信息系统的准确定级十分关键,如果信息系统的定级不科学,那么依据定级结果建设的信息安全体系将事与愿违,甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。

信息系统安全保护等级:

(一) 第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。

(二) 第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。

(三) 第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,

其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。

(四) 第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。

(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。

卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)的有关指导意见,北医系统安全保护等级原则上不低于第二级。

附:监督管理办法

第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。 (一) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。 (二) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 (三) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。 (四) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。 (五) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。

3.2 安全域划分

对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。

在网络划分时主要分为外网、内网和DMZ区。用友应用服务器放置在DMZ,可以允许外

网和内网的访问,数据库系统放置在内部网与应用服务器通过专用交换机通讯。这样可以实现不同安全等级的安全域分开管理互不影响。

3.3 边界安全防护

网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面,在安全事件发生前,通过收集并分析安全日志以及各种入侵检测事件,能够及早发现攻击企图;另一方面,在安全事件发生后,又可以通过所记录的入侵事件来进行审计追踪。

在安全域之间设置的防火墙和端口绑定和VLAN划分可以最大限度的防止IP欺骗或饱和攻击等流行的网络入侵和攻击。

3.4 身份鉴别

对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,并应当遵循《卫生系统数字证书应用集成规范》进行建设,根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。

3.5 传输数据加密

为了防止数据监听导致的信息外泄。UAP在客户端-应用服务器-数据库服务器采取了全程数据加密策略,即使有人非法获取了中间的通讯数据流,因为数据已经加密,也无法得知数据的实际含义。

3.6 服务器容错

数据库服务器建议采用ORACLE的RAC组件构建数据库集群,WEB应用服务器采用IBM WebSphere App Server网络版,并采用集群架构。基于集群的架构,所有服务器中如果一台主机宕机,另外一台主机仍然正常工作。并且服务器及网络部署中,所有关键部位都为冗余设计,如存储、服务器电源都可以采用双电源方案,网卡可以通过AFT技术实现冗余切换。

3.7 备份与恢复

备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足系统不间断运行的需要。

数据库备份将综合采用冷备份和热备份相结合,可以支持医疗系统7*24不间断运行。即使发生自然灾害或人为误操作行为,也可以快速还原保证系统连续运行

3.8 日志审计

系统运行期通过NMC可以对系统运行日志进行安全审计,定期提供审计报告。通过审计报告可以清晰的了解系统运行的状态,如果发现流量或访问数异常时可以分析该时间区间的日志,确定导致异常的原因。 4

系统集成方案

针对北医数据安全的考虑,采用集中式部署,中心数据服务器和内外网应用服务器都采用集群方式部署,配置磁带库进行数据备份,集群系统可以保证系统的稳定和数据的安全。公司所有用户都通过浏览器方式(WEB SERVER)基于B/S架构访问公司应用服务器及数据服务器,操作使用该系统。公司内外网分离,内部网络部署数据库服务器和应用服务器。多级防火墙可以有效屏蔽网络渗透和网络攻击,监控服务器和证书服务器主要负责日志审计和证书确认。

图:北医系统网络部署简图

****************************************************************

建议本次开发项目数据库主机应用AIX平台,从而提供系统的可靠性和稳定性的同时对用户的投资予以最大保护。建议所有应用服务器主机采用WINDOWS平台,业务系统中间件软件采用IBM WebSphere App Server中间件。根据北医的性能与可靠性要求,需满足7*24小时无故障的运行,建议通过F5的负载均衡设备实现应用系统的集群(或者通过IBM WebSphere App Server自带集群分发器实现应用请求负载)。核心数据库系统建议采用ORACLE,如果采用ORACLE建议以共享存储方式运行ORACLE的RAC组件,能大大提高数据的高可靠性和高负载能力,数据库服务器还高速通过8G光纤以LANFREE方式接入SAN存储。具体部署如下

4.1 ?总体架构设计

在本项目中采用企业架构的设计方法论。针对北医系统设计的业务系统架构如下图所示:

? 网络架构:通过F5系统实现对外链路负载及对内的应用负载。

? 应用架构:应用架构用于实现对业务架构的支持,包括应用服务器集群及查询应用

服务器集群的2套WAS集群。

? 数据库架构:在不同的行业,数据库都越来越变得重要。本方案采用业务数据库与

查询业务数据分离方式,在内网建设2套RAC集群Oracle数据库。

? 服务器架构:在本方案中核心服务器为2台数据库服务器,推荐使用IBM P750,

通过PowerHA及Oracle 集群方式为应用提供服务。为保证业务的查询性能利用现有2台HP小型机搭建查询数据库集群。2套数据库集群通过用友AE方式软件同步2套数据库中数据。

? 存储区域网络:本项目为北医系统搭建一套核心的SAN网络,利用2台SAN交换机

连接4台数据库服务器与磁盘阵列。核心数据库系统使用EMC CX480存储,查询数据库使用现有HP EVA4400存储设备。

网络架构、应用架构、数据库架构、服务器架构和存储区域网络是从上到下的关系,上层架构决定了下一层架构的需求,下一层架构用于实现上一层架构的目标。

在本次规划设计中,采用先进的设计方法论指导项目的设计和实施。北医硬件集成

方案的主要任务是支持公司新的北医系统,必须与业务发展战略和业务目标紧密挂钩,因此在制定北医集成方案总体规划时,会对北医业务需求、现有IT基础架构现状、支持业务能力以及IT技术和服务提供商的业务发展趋势等因素做综合的考虑,以保障现有IT投资,促进未来IT环境的扩展,平衡功能、性能和成本,保证本次搭建的业务平台能够

长期有效的支持业务的发展。

4.2 ?集成配置明细

编号 1 名称 数据库服务器 配置需求 IBM P750 POWER7 3.0主频 16CORE,128G内存,300G*2硬盘,4块8G FC卡,AIX6.1 64位 IBM x3850 X5 4CPU(6核),主频Xeon2.66 GH,48GB内存,硬盘空间2?300GB 做RAID1、双电源,2块千兆网卡、2块原厂8GB的HBA卡 IBM x3650 M3 4CPU(6核),主频Xeon2.66 GH,48GB内存,硬盘空间2?300GB 做RAID1、双电源,2块千兆网卡、2块原厂8GB的HBA卡 IBM x3650 2CPU(4核),主频Xeon 2.26 GH,8GB内存,硬盘空间2?300GB 做RAID1,8G FC卡1块、双电源,2块千兆网卡、2块原厂8GB的HBA卡 支持IBM WebSphere App Serve负载和INTERNET多链路负载和接入(含F5-BIG-LTM-1600-4G-R、F5-ADD-BIG-LC、含RamCache)CPU双核,160G硬盘、内存4G、4 个10/100/1000 电口2个光口及相应的SFP模块 ORACLE Enterprise Edition 11.1.0.6 以上 64位版本,需RAC组件 1CPU DB+ 1CPU RAC 2CPU配置 IBM WebSphere App Server 6.1 网络(集群)版 FOR WINDOWS 64位需要部署2套,目前每套只按一台主机1CPU报价。 Red Hat Enterprise Linux AS, Version 5 with Update 1 for x64 HP下用的HBA卡(根据系统采用的操作系统版本决定型号) 数量 2 2 应用服务器 3 3 查询应用服务器 2 4 备份服务器 1 5 F5负载均衡设备 2 6 ORACLE数据库 2 7 用友AE 应用中间件(WAS) 应用、备份服务器操作系统 查询服务器HBA卡 1 8 2 9 5 10 4

4.3 ?主机部署方案

4.3.1 安装场地环境(包括电源、UPS、线路、线缆等) ? ?

需经厂商工程师确认,现有环境 机柜位置图

注:以下为示意图,具体位置需现场确定

4.3.2

主机系统设备连接图

(需设备方案确定) 4.3.3

软体配置安装配置

AIX安装配置,以及主机系统规划

4.3.3.1 主机设备/分区命名方式

? ? ?

命名方式:主功能_〔机器序号(A-Z)+序号(0-10)〕_子功能 主功能: 数据库系统,暂定:DB 子功能: DB、TEST

4.3.3.2 服务器列表

标准名称 ZJS北医_P750_DB1 ZJS北医_P750_DB2 ZJS北医CX_RX8640_DB1 ZJS北医CX_RX8640_DB2 ZJS北医_X3850_APP1 ZJS北医_X3850_APP2 ZJS北医_X3850_APP3 ZJS北医CX_X3850_APP1 ZJS北医CX_X3850_APP2 ZJS北医_X3650_BAK

缩写名称 北医_DB1 北医_DB2 CX_DB1 CX_DB2 北医_APP1 北医_APP2 北医_APP3 CX_APP1 CX_APP2 北医_BAK 用途 生产数据库1 生产数据库2 查询数据库1 查询数据库2 生产应用中间件1 生产应用中间件2 生产应用中间件3 查询应用中间件1 查询应用中间件2 备份服务器 4.3.3.3 主机IP地址分配规划

IBM P750(Oracle RAC) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM P750(Oracle RAC) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址 北医_DB2 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* 北医_DB1 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.*

HP rx8640(Oracle RAC) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

HP rx8640(Oracle RAC) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM x3850(IBM WAS 6.1ND) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM x3850(IBM WAS 6.1ND) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

北医_APP2 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* 北医_APP1 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* CX_DB2 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* CX_DB1 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.*

IBM x3850(IBM WAS 6.1ND) 北医_APP1 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM x3850(IBM WAS 6.1ND) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM x3850(IBM WAS 6.1ND) 主机名 IP地址1 IP地址2 IP地址3 浮动IP地址

IBM x3650(数据备份) 主机名 IP地址1 IP地址2 IP地址3

北医_BAK *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 *.*.*.* *.*.*.* *.*.*.* *.*.*.* CX_APP2 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* CX_APP1 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* 北医_APP3 *.*.*.* *.*.*.* *.*.*.* *.*.*.* 网关 子网掩码1 子网掩码2 子网掩码3 子网掩码 *.*.*.* *.*.*.* *.*.*.* *.*.*.* *.*.*.* 4.3.3.4 Kernel参数

参数名称 KSI_ALLOC_MAX MAX_THREAD_PROC MAXFILES MAXDSIZ MAXDSIZ_64 MAXSSIZ MAXSSIZ_64BIT MAXSWAPCHUNKS MAXUPRC MSGMAP MSGMNI MSGSEG MSGTQL NCALLOUT NCSIZE Oracle最低设置 (NPROC * 8) 256 1073741824 2147483648. 134217728 134217728 16384 ((NPROC*9)/10) (MSGTQL + 2). NPROC 32767 NPROC (NPROC + 16) ((8 * NPROC SUN APP设置 1024 256 2084 +2048) +VX_NCSIZE) NFILE NFLOCKS NINODE NKTHREAD NPROC SEMMAP SEMMNI SEMMNS SEMMNU (15 * NPROC +2048) 4096 (8 * NPROC +2048) (((NPROC * 7) / 4)+ 16) 4096 (SEMMNI + 2) 4096 (SEMMNI * 2) (NPROC - 4) 3635 2068 SEMVMX SHMMNI SHMSEG VPS_CEILING 32768 512. 32 64 4.3.3.5 系统包、补丁

附:系统包、补丁表列表;

4.3.3.6 操作系统用户和组定义

功能 Oracle数据库 备份软件安装用户 普通用户

用户名 oracle bkup genusr 用户id 600 300 400 primary group dba bkusr genusrs 组id 600 300 400 主目录 /oracle /home/bkup /home/genusr 4.4 ?存储系统设计

4.4.1 SAN网络设计

在本次进行SAN架构设计时,我们遵循以下原则,构建一个统一规划的存储网络。 1. 按照业务系统进行分级设计

2. 具有灵活的扩展能力,需要增加主机时,将主机轻松的连接到这个网络中,并能共享网

络中的存储资源;需要增加存储时,将存储在线地加入到这个网络中,并动态地为应用主机分配磁盘空间

3. 充分利用现有设备,保护原有投资 4. 保证将来存储网络的扩展性

整个系统将重点考虑安全性、可靠性、高可用性,另外,还考虑到系统的运行性能、高可扩充性、开放性、可维护性、用户操作的简易性以及充分保护用户投资等诸多方面的需求。

4.4.2 SAN交换机规划

4.4.2.1 SAN网络根据业务系统的规划

建立了统一的SAN 网络后需要对网络内部结构统一规划。在北医系统中,核心数据库服务器连接EMC存储,查询服务器连接EVA存储,同时还需要考虑备份系统设计。

4.4.2.2 SAN交换机的安全性设计

通过交换机的Zoning功能,在开放系统、多平台或SAN环境中通过使用World Wide Names将主机与相应的存储FC端口划分不同的区域,每台主机仅可以通过定义的路径访问事先定义的LUN,达到SAN结构中Zone 的安全管理功能和数据保护功能。

分区能够在使用不同操作系统的设备之间建立起屏障。例如,分离运行不同操作系统的服务器与存储设备通常很重要,因为它们之间信息意外的传输能够删除或破坏数据。分区可以将使用相同操作系统的设备进行分组,并放到不同的分区,从而防止了这种情况的发生。

在进行分区划分时,建议遵守如下原则:

一个分区只能包含一个服务器链路(服务器HBA的WWN或者对应的交换机端口)和一个存储设备链路(存储设备HBA的WWN或者对应的交换机端口)。

通过光纤交换机分区可以增强SAN的安全性,同时也应该在服务器和存储设备上实施针对SAN的安全措施,比如存储上的LUN Masking。

综上所述,在北医系统中的2台核心SAN网络交换机需要分别建立3个zone隔离各应用服务器。第一个zone包含2台P750服务器与EMC存储,第二个zone为查询服务器与EVA存储,第三个zone为服务器备份zone,需要连接服务器与磁带库。

4.5 ?存储规划方案

4.5.1 存储系统规划

通过建立统一、集中的存储平台,北医系统的存储系统将具有架构清晰、部署灵活、设备标准、网络可靠、数据分级、易于扩充等特点。

在北医系统中我们分别为核心数据库和查询数据建设2套存储系统,其中核心数据库服

务器连接核心存储设备,查询数据库利用现有存储设备。

核心存储之所以非常重要,是因为它可以在网络中提供对信息的即时访问,核心存储为业务系统提供日常业务处理所需要的数据和信息。因而,核心存储要求高的性能,高稳定性,以保证业务系统的快速处理。查询数据库存储设备需要配有同样容量的存储空间。

4.6 备份系统设计

4.6.1 备份系统

北医系统需要对数据库与应用系统进行备份。

4.6.2 备份方案概述

备份采用企业级的备份管理软件实现对数据的多种方式的备份,通过SAN结构的支持,实现数据的备份和恢复。

安装备份服务器,集中管理数据的备份和恢复。

在业务主机上安装备份软件的客户端,实现数据的LAN-Free的备份和恢复。 生产主机的数据备份通过两种方式进行。一方面,通过数据库的在线备份模块,实现数据库的全备份和其它级别的多种备份,保证数据库的运行安全。

当出现数据库数据丢失或数据库故障时,通过SAN网络或IP网络,可实现数据库的完全恢复和部份恢复,从而保证数据的安全性。

另一方面,对于操作系统和应用系统的数据,可以通过备份客户端或备份存储节点进行数据备份。可通过SAN进行LAN-Free的备份和恢复,或者通过IP网络进行数据的恢复,可通过相应的软件功能,实现整个操作系统和应用系统的全恢复或备份恢复。

数据一般有两种方式进行保存。

第一种方式,采用虚拟磁带库技术,做磁盘到磁盘(Disk to Disk)的备份,保证核心数据的吞吐效率,缩短备份时间窗。由于采用虚拟磁带库(磁盘)方式进行备份,也同时保证了数据的恢复效率,根据业务要求的恢复时间窗,我们可以尽量将恢复时间窗小的数据通过介质池划分的方式,定向到磁盘中。

第二种方式,利用自动智能磁带库,完成海量数据的存储备份。由于磁带备份的廉价特性,可以将历史数据存放到磁带中,一方面提高磁盘资源的存储有效率,另一方面保证海

量历史数据的存储。

而磁带上的数据由于存放状态是离线(Offline),所以能够提供更高的安全性,如当系统受到病毒攻击时,不会影响到磁带上的数据。也从另外一个方面提高了系统数据的可靠性和数据的安全。

由于备份软件的平台无关特性,磁带上的数据可以通过临时的备份服务器完成数据的恢复和系统的重建,增强系统的安全性。

4.6.3 备份的整体架构

随着存储技术的发展,在SAN、NAS这些新的存储架构中,备份技术也发展出了LAN Free Backup、Serverless Backup等全新的技术。

所谓LAN Free Backup顾名思义,就是指释放网络资源的数据备份方式。在SAN架构中,LAN Free Backup的实现机制一般如下图所示。备份服务器相应用服务器发送指令和信息,指挥应用服务器将数据直接从磁盘阵列中备份到磁带库中。在这个过程中,庞大的备份数据流没有流经网络,为网络节约了宝贵的带宽资源。在NAS架构中,情形十分类似,磁带库直接连接在NAS文件服务器上,备份服务器通过一种称为NDMP的协议,指挥NAS文件服务器将数据备份到磁带库中。细心观察之下会发现,这两种方式虽然都节约了网络资源,但却增加了服务器的工作负荷。

在本项目中,对于大容量的数据库数据,可采用LAN-free的备份方式,并且配置相应

的license。非数据库类的应用,可依据数据量的多少选择备份方式。

4.6.4 备份策略设计

1) 数据库备份:

? 每小时进行数据库差异备份,采用自动化的RMAN差异备份,无误备份完成后,删

除1天前的差异备份,保留1天内的增量备份。

? 每天夜里0点后进行数据库完整备份,采用自动化的RMAN完整备份,无误备份完

成后,删除3天前的完整备份,保留3天内的完整备份。 ? 每月将数据库完整备份拷贝到磁带上中永久存储。 2) 应用服务器备份:

由于应用服务器不保存文件,故只需要对操作系统和应用系统进行备份即可。 3) 数据库的备份/恢复方案

数据库备份方式

从应用角度划分,数据库备份分为脱机与在线备份两种方式。脱机备份是指在数据库系统加载而未打开方式的情况下进行的备份,有时也称冷备份。冷备份进行时实际是将数据库的相关文件作为文件系统的一部分进行备份,但仍将与普通的文件系统备份不同,它需要数据库备份代理和数据库系统的支持。而在线备份是数据库打开方式下进行的备份,有时也称热备份,此时数据库的应用除性能上受到备份任务的影响外仍然可用,而脱机备份时数据库是不可用的。对于7X24的数据库只能进行在线备份。

方案建议书中所指的备份绝大多数是在线备份,但建议用户在进行数据库运行较长时间后或系统进行了较大的结构性修改后进行一次脱机备份,尽管它不是必须进行的。

从备份内容的方式划分,数据库备份又分为物理与逻辑备份两种。物理备份主要是通过数据库自身备份工具与备份软件的数据库备份代理将数据库的相关文件,如控制文件、数据文件、日志文件进行备份。通常可以对单个的数据文件或整个数据库进行备份。目前大型数据库备份通常选择物理备份。逻辑备份有时也称导出,创建数据库对象的逻辑拷贝并存入文件,它实际上利用SQL从对象中读取数据并将其存入文件,导入工具利用该文件恢复这些特定数据库对象到数据库中。

逻辑备份不提供时间点(Point-in-Time)恢复,而且不能和归档日志重做日志文件联

用进行数据库的恢复。如果由于某种原因,磁盘上的数据块被破坏,则物理备份将产生该块的拷贝,错误将影响备份。使用逻辑备份的一个优点是,由于在导出表时进行全面表扫描,所以这种破坏不会影响备份。因此这种情况下,在导出时这种损坏将被检测到,并且导出失败。另外,逻辑备份还可以辅助数据库进行内部数据表的恢复。

方案建议以物理备份为主,同时使用逻辑备份作为辅助备份方式,因为物理备份/恢复速度快。

全备份与增量备份

备份一般来讲有两种方式,即全备份和增量备份,而增量备份按其备份的数据的不同可以分为差量备份和累计备份。

全备份 (Full Backup)

每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需很长时间

增量备份 (Incremental Backup) 增量备份又分为差量备份和累计备份 差量备份 (Differential Backup)

备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份

累计备份 (Cumulative Backup)

备份自上一次全备份以来更新的所有数据。 物理备份策略

数据库物理备份使用在线备份方式。方案建议每周作一次完全备份,保存周期为一个月,将每月未的完全备份进行保存,周期为一年(可以更长);每天作一次增量备份,保存周期为一个月。恢复时首先恢复最近一次的全备份,然后再恢复所有的增量备份,需要说明的是这个过程是自动执行。完全备份与差分备份的时间可以设定在数据库业务量较少的时间内进行。

逻辑备份策略

建议用户以用户或表方式导出数据库。每周作一次完全备份,其余每天在类似时间内作一次差分增量备份。保存周期与物理备份相同。

首先需要将执行的命令写入到一个shell文件,每二步使用需要为UNIX的cron命令配置相应的命令,这些命令可以放在一个ASCII文件内,如crontab,在该文件内是相应的备

份时间和命令,然后用cron设定定时导出作业。需要注意的是这些备份作业应在其它备份作业开始之前完成。

导出产生的数据文件可以保存在一个合适的位置。在备份管理系统中选定这些文件作为一个备份作业,使用磁带保存相应的备份。

4.7 应用系统部署

4.7.1 数据库部署方案

根据北医项目需求,需要建立Oracle数据库,通过对北医现有业务系统分析可以看出目前业务分为主业务系统和查询业务系统。在本方案中计划采用业务系统与查询系统数据库分离方式部署。

建议采用Oracle RAC方式,提高数据库系统的高可用性,尽量避免采用Oracle单机的部署方式,减少单点故障。

4.7.2 数据库部署

1) 创建用户oracle,组dba 2) 修改oracle用户的.profile $ vi .profile umask 022

export ORACLE_BASE=/oracle/app

export ORACLE_HOME=$ORACLE_BASE/product/920 export ORACLE_SID= export

PATH=/usr/ccs/bin:/usr/bin:/etc/:/usr/sbin:/usr/ucb:/usr/local/bin:$ORACLE_HOME/bin:/usr/bin/X11:/sbin

3) 将.dtprofile中的: # DTSOURCEPROFILE=true 改为:

DTSOURCEPROFILE=true

4) 创建/var/opt/oracle目录,并且赋予oracle:dba的权限 5) 安装

mount光盘: (HP下必须用pfs_mount来mount光盘)

*********************************************************** $ nohup /usr/sbin/pfs_mountd & $ nohup /usr/sbin/pfsd &

$ /usr/sbin/pfs_mount /${SD_CDROM} $ exit

/usr/sbin/pfs_umount /cdrom

***********************************************************

6) 正式安装

以oracle用户运行Oracle Installer: $ cd /

$ ./cdrom/runInstaller 之后按照图形界面一步步操作.

4.7.3 中间件

北医系统中间件采用集群方式运行,应用服务器上运行着中间件软件WAS和用友的UAP的系统软件。应用服务器是不保存任何业务数据的。

北医系统应用服务器目前可以采用两台服务器进行部署,当未来业务迅速发展,可以进行横向扩展,即当发生应用服务器负载过大,导致整个系统的性能下降的情况时,可以再增加新的应用服务器,以分摊负载。

部署示例过程如下:

4.7.3.1 系统准备环境安装

在应用节点ibm(主机名为ibm)执行下面的操作 应用节点ibm :10.0.0.71 1) 查看系统配置

进入打开 hosts文件,并编辑 127.0.0.1 localhost 10.0.0.71 ibm

保证各节点相互ping IP地址和主机名可以通; 2) 设置时区 3) 安装环境其他准备 ?

目录存放安装过程中需要的软件;

利用ftp命令或工具上传安装文件,并且采用bin(二进制的形式)

上传WAS安装文件到ufida_software目录下(如果是压缩包的形式则上传完成后将其解压); 上传WAS_TOOLS安装文件到ufida_software目录下(如果是压缩包的形式则上传完成后将其解压),即was的tools安装盘里的内容一般包含上传升级工具Update Installer、HIS、Plugins等,如果没有可单独上传; patch上传到 ufida_software目录下; ?

上传解压缩工具

操作系统是32位的,将32位的解压缩软件winrar-x32-392b1 上传到各个服务器节点。 然后双击winrar-x32-392b1,安装。

4) 将WAS、UAP安装到ufida_software目录下面; 5) 应用服务器节点ibm安装WAS ? ?

在应用节点ibm 上安装WAS6.1

进入was安装程序所在目录was6100,双击install安装was

4.7.3.2 安装IHS(节点ibm)

在应用服务器1上安装IHS及Plugins; 双击运行install

4.7.3.3

安装Update Installer 以及patch(节点ibm)

在节点ibm 解压安装包

在节点ibm安装Update Installer

Windows2003 64位上的WAS Update Installer需要6.1.0.13,否则会无法安装patch 双击install

4.7.3.4 创建集群

选择“集群”—〉新建

4.7.3.5 配置WAS

添加webserver到was中 apache –k start

4.7.3.6

安装UAP

安装uap

4.8 整体安全策略

4.8.1 安全原则

为了能完成既定的业务功能,要求计算机系统能够稳定、安全运行,应该在系统建设之初,为其建立完善的安全保障体系。

用友的设计符合信息安全等级的要求,同时配合合理的安全管理制度和机房建设要求,完全可以达到信息安全等级保护3级的要求。

为了达到系统安全控制的目标,应在系统规划、建设、运行维护的整个生命周期中,按照以下安全原则,指导系统的安全工作:

1、起点进入原则:从系统建设开始就考虑安全问题,防止在系统设计的早期没有考虑安全性,导致因为错误的选择留下基础安全隐患,以致在系统运行期为保证系统安全付出更大的代价。

2、长远安全预期原则:对安全需求要有总体设计和长远打算,包括为安全设置一些可能近不会用到的潜在功能。

3、遵照业界通行准则原则:完全遵循国际上有关的数据安全标准;采用当前先进的数据安全技术和产品,并确保系统达到所设计的安全强度。

4、公认原则:参考当前在基本相同的条件下通用的安全防护措施,据此作出适合本系统的选择,系统所采用的产品是成熟、可靠的,系统能安全、稳定地运行。

5、最小特权原则:不给用户超出任务所需权力以外的权利。 6、最小开放原则:先禁止所有服务,只有限开放需要使用服务。

7、适度复杂与经济原则:在保证安全强度的前提下,考虑安全机制的经济合理性,尽量减少安全机制的规模和复杂度,使之具有可操作性。

8、系统效率与安全性平衡原则:由于安全程度与效率成反比,在设计安全系统时,应尽可能地兼顾系统效率的需求。

9、在工作中遵守了安全原则的情况下,可以使北医系统具有以下几个安全特性: 可用性

确保授权实体在需要时可访问系统,并进行业务处理,防止因为计算机系统本身出现问题或攻击者非法占用资源导致授权者不能正常工作。

机密性

确保信息不暴露给未授权的实体或进程,系统应该对用户采用权限管理,防止信息的不当泄漏。

完整性

确保数据的准确和完整合法,只有授权的实体或进程才能修改数据,同时系统应该提供对数据进行完整性验证的手段,能够判别出数据是否已被篡改。

可审查性

使每个授权用户的活动都是唯一标识和受监控的,对其操作内容进行跟踪和审计。为出现的安全问题提供调查的依据和手段。

可控性

可以控制授权范围内的信息流向及行为方式。

4.8.2 安全风险分析

4.8.2.1 物理安全风险

主要是指主机、路由器、交换机等物理运行环境可能存在的安全风险,如:地震、水灾、火灾等环境事故造成整个网络系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备以及设备的配置文件、配置数据被盗、被毁造成数据丢失或信息泄漏、系统崩溃;电磁辐射可能造成数据信息丢失或泄露。

4.8.2.2 网络安全风险

在内部网络,主要是指内部人员通过内部的局域网环境,非法访问主机系统和业务应用系统引起的信息数据泄密、系统破坏等风险。主要表现在内部管理人员非法获取财务资料、修改存贮的数据,故意破坏主机或网络的稳定运行等行为。

同时,由于本系统原始数据来源于综合网内各相关业务系统、手工输入数据,以及商业银行等外部网络数据,因此系统与其他系统连接多,从其他系统得到的数据量也多,所以网络的安全威胁还表现为病毒传播、黑客攻击、IP地址仿冒、信息泄露等。

系统的用户通过IE浏览器访问系统重要数据时,由于数据传输过程中没有加密,同时进行系统访问时在本地计算机留存访问痕迹,也可能造成数据泄露的安全风险。

4.8.2.3 系统安全风险

由于操作系统、数据库、B/S三层架构中的应用服务器等基础软件本身的漏洞和缺陷、用户权限设置不合理以及一些不安全协议的使用等因素都可能构成对系统的威胁。如果通过某些手段进入操作系统,就可能破坏所有的系统。数据库漏洞、设计缺陷等也会引起系统的安全风险问题。

4.8.2.4 应用安全风险

应用程序设计不合理以及用户权限设置不当,也会对系统构成威胁。

4.8.2.5 数据安全风险

对系统的备份与恢复重要性认识不足,不按要求定期进行备份,一旦发生意外,如果没有事先采取备份措施,将会导致惨重的损失。

4.8.2.6 管理安全风险

管理人员安全意识淡薄,业务处理流程不规范、管理制度不健全可能会对系统构成安全隐患。种种事件表明,多数企业机密泄漏事件是由于企业内部相关人员对个人密码的保护上重视程度不够,甚至在利益的驱使下直接将企业内部信息泄漏出去。所以企业内部安全管理在各种安全风险中占有很重要的位置。

4.9 系统安全实现方案

鉴于北医数据的重要性和特殊性, 北医系统的安全就显得非常的重要。下面的各项策

略将实现安全总体设计提出的各项安全目标。

4.9.1 服务器容错

对于系统内部的设备,应采取有效措施进行安全管理,保证设备安全。防止未经授权访问系统设备,应按事先确定的规则统一管理,实施访问权的控制,禁止非授权用户访问设施,禁止对设备进行任何非授权参数修改。

硬件环境的建设、升级、扩充等工程应经过科学的规划、充分的论证和严格的技术审查,有关文字材料应妥善保存并接受主管部门的检查。

建立硬件系统环境的可用性保障机制,关键设备要采用有冗余技术的设备,例如配备冗余风扇、冗余供电模块、冗余核心模块;对于关键设备应采用配备两台相同设备的方法,适当采用负载均衡等技术;充分保证系统得可靠性和处理效率,尽量减少硬件系统的计划性停机时间,尽量避免硬件系统的非计划性停机。

硬件方案文档、设备配置文档、核心设备的系统日志要定期保存,妥为保管,视同机密。

4.9.2 身份鉴别

身份鉴别可以有效检查使用者是否有权限登录系统,在进入UAP之前就需要使用者提供管理员分配给其的用户名和密码,不通的用户名所拥有的权限也是不同的。用户的密码用专门的加密算法加密存储在数据库中,即使是数据库管理员也无法得知用户的密码。

登录身份管理:

4.9.3 访问控制

访问控制用于对北医系统资源的访问,防止未经授权而利用网络访问系统资源,利用已得到鉴别的身份或利用有关的信息,按事先确定的规则实施访问权的控制。可以采用VLAN和域控制器的方法,限制用户访问服务器的权限。通过ACL设置不同的访问权限。

访问控制需要网络管理员在交换机进行VLAN的划分,不通VLAN是无法互相访问的,这样最大限度的隔离不同网段,防止相互影响。

下面是一个典型的VLAN划分过程:一个典型局域网的VLAN配置过程

步骤 1、设置vtp domain 命令及注释 vlan database 进入vlan配置模式 vtp domain com 设置vtp管理域名称 com vtp server 设置交换机为服务器模式 vtp client 设置交换机为客户端模式 说明 vtp domain 称为管理域,交换vtp更新信息的所有交换机必须配置为相同的管理域。核心交换机和分支交换机都要配置 2、配置中继 interface fa0/1 进入端口配置模式 switchport switchport trunk encapsulation isl 配置中继协议 switchport mode trunk 核心交换机上以上都要配置,不过在分支交换机进入端口模式只配置这个命令就可以了 3、创建vlan vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan。 创建vlan一旦建立了管理域,就可以创建vlan了。在核心交换机上配置 在分支交换机的端口配置模式下配置。 4、将交换机端口划入switchport access vlan 10 归属counter vlan vlan 5、配置三层交换 interface vlan 10 ip address 172.16.58.1 255.255.255.0 给vlan10配置ip 在核心交换机上配置 4.9.4 防火墙

防火墙是一组计算机硬件和软件的结合体,在用户访问端与北医系统之间建立起一个安全网关,从而保护内部系统免受非法用户的侵害,同时具有IP地址转换功能,以便对外有效屏蔽网络内部IP地址,提高网络的安全性。由于防火墙检查过滤通过的ip包,不可避免会影响网络传输效率,有必要在保障安全的前提下选择高效传输的防火墙。

? 硬件防火墙,CISCO ASA5520-BUN-K9就可以满足一般性需求,但是考虑到网络设

备的兼容性,建议硬件防火墙和交换机等网络设备从一家选购。

? 软件防火墙,防护效果远远不如硬件防火墙,而且无法做到多机器的整体防护,而

且需要消耗硬件性能,优点是便宜。比较常见的有天网防火墙、瑞星防火墙等。

4.9.5 线路备份

为了保证系统通信的畅通,防止因通信线路异常而引起的传输错误、业务中断等,建议

网络系统广域网应采用线路备份手段,保证系统的数据传输不间断,同时有负载均衡能力。

下面用一个简单例子描述线路备份的步骤: 路由器R1: ##接口配置 [R1]int e0 [R1-Ethernet0]ip add 192.168.10.254 24 [R1-Ethernet0]int s0 [R1-Serial0]ip add 192.168.1.1 24 [R1-Serial0]int s1 [R1-Serial1]ip add 192.168.2.1 24 [R1-Serial1]quit ##开启ospf [R1]ospf enable Start OSPF task... OSPF enabled [R1-ospf]int eth 0 [R1-Ethernet0]ospf enable area 0 ##在接口上开启ospf,并划分到相应的区域 [R1-Ethernet0]int s 0 [R1-Serial0]ospf enable area 0 ##在接口上开启ospf,并划分到相应的区域 [R1-Serial0]quit ##配置静态路由 [R1]ip route-static 192.168.20.0 24 192.168.2.2 [R1] 路由器R2: ##接口配置 [R2]int e0 [R2-Ethernet0]ip add 192.168.20.254 24 [R2-Ethernet0]int s0 [R2-Serial0]ip add 192.168.1.2 24 [R2-Serial0]int s1 [R2-Serial1]ip add 192.168.2.2 24 [R2-Serial1]quit ##开启ospf [R2]ospf enable Start OSPF task... OSPF enabled [R2-ospf]int eth 0 [R2-Ethernet0]ospf enable area 0 ##在接口上开启ospf,并划分到相应的区域 [R2-Ethernet0]int s 0 [R2-Serial0]ospf enable area 0 ##在接口上开启ospf,并划分到相应的区域 [R2-Serial0]quit ##配置静态路由 [R2]ip route-static 192.168.10.0 24 192.168.2.1 4.9.6 传输加密

数据在网络上传输时,为保证数据的安全,防止数据被窃取。数据报文加密可通过硬件加密或软件加密方法来实现,可根据数据处理量大小等因素选择硬件加密或软件加密。

所有加密设备和加密算法的选用应符合国家相关密码管理条例的规定。加密算法应选用国际通用的算法。

利用浏览器访问系统重要数据时,使用HTTPS协议,如下图所示,在浏览器与WEB服务器间建立安全的SSL通道,并对应用透明,做到了信息的秘密性。

浏览器端证书 (SSL over HTTP) HTTPS 服务器端证书 WEB 服务器 浏览器

SSL安全通道

HTTPS是部署UAP的服务器容器提供的,例如WAS需要进行如下端口设置:

4.9.7 CA认证

数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构(也称为证书认证中心,CA)数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。

数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。

CA可以是多级的,下图以二级CA图为例:

根CA为下一级CA颁发签名证书,下一级CA再为用户颁发签名证书和密钥交换证书。 每一个用户有一个各不相同的名字,一个可信的证书认证中心给每个用户分配一个唯一的名字并签发一个包含名字和用户公开密钥的证书。

如果甲准备和乙通信,他首先必须先取得乙的证书,然后对它进行验证。如果他们使用相同的CA,事情就很简单。甲只需验证乙证书上CA的签名;如果他们使用不同的CA,问题就复杂了,甲必须从CA的树形结构底部开始,从底层CA往上层CA查询,一直追踪到同一个CA为止,找出共同的信任CA。

证书可以存储在网络中的数据库中。用户可以利用网络彼此交换证书。当证书撤销后,它将从证书目录中删除,然而签发此证书的CA仍保留此证书的副本,以备日后解决可能引起的纠纷。

如果用户的密钥或CA的密钥被破坏,将导致证书的撤销。每一个CA必须保留一个已经撤销但还没有过期的证书废止列表(CRL)。当甲收到一个新证书时,首先应该从证书废止列表中检查证书是否已经被撤销。

数字证书可以存放在计算机的硬盘、随身软盘、IC卡或USB卡中。

用友NC成功地和国内外多家知名安全厂商合作,提供专业、可靠的证书认证体系。 如果希望启用证书保护,在WAS中部署UAP时,需要进行CA相关设置(以WAS为例):

安全证书导入方式,如果选择新建缺省个人则进第二部分如下图:

4.9.8 入侵检测

在网络安全管理中,除使用一般的网管软件和系统监控管理软件外,还应使用网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。网络入侵防御系统应能满足以下要求:

(1)能在网络环境下实现实时地入侵防御,全面防御可能的入侵行为。能及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。

(2)能够支持大规模并行检测,能够方便地对大的网络同时执行多个检测; (3)所采用的入侵检测产品和技术不能被绕过或旁路。

(4)检测和扫描行为不能影响正常的网络连接服务和网络的效率。 (5)检测的特征库要全面并能够及时更新。

(6)安全检测策略可由用户自行设定,对检测强度和风险程度进行等级管理,用户可根据不同需求选择相应的检测策略。

(7)能够帮助建立安全策略,具有详细的帮助数据库,帮助管理员实现网络的安全,并且制定实际的、可强制执行的网络安全策略。

4.9.9 安全审计

在北医系统中,需设置对信息包及信息包内容监管的系统和设备,用以探测信息包的异常来源和去向,对信息包的内容进行检查。

系统提供如下功能:

(1)支持多种日志信息集中综合审计

系统应可以对安全产品(如防火墙,IDS、AV等)、网络产品(如router、switch)、应用系统(如Web、 Mail)、操作系统(如Windows、 Linux、 Unix)等多种产品和系统的日志信息进行收集,最大效率地发挥了各种安全系统/设备的整体作用,有效满足客户的实际需求。

(2)审计不同的产品和系统

系统应对不同产品和系统的日志格式兼容,支持四个层面的各种日志审计:操作系统日志、安全产品日志、网络设备日志、各种服务和应用系统日志。通过对不同产品和系统的日志进行综合审计,能够有效洞悉隐患。

(3)集中管理、审计

系统通过提供统一的集中管理平台,可以对多种复杂日志格式统一管理;同时,支持方便的日志查询,这使得对海量日志的管理查询效率极高,有利于综合分析,方便及时发现问题。

(4)同被审计的产品有效联动

系统可以和所审计的各种产品进行有效联动,提高审计系统和其他产品的互操作性,提高产品管理成效。

(5)实时监控,及时有效响应

系统可以对审计对象进行实时监控,及时发现问题。积极、主动的事件响应机制,可以做到与系统中的防火墙、IDS、AV等系统之间的实时互动,进行告警,及时阻断正在进行的不安全事件。

(6)报表种类丰富,了然可视

系统可以提供丰富的报表,便于分析。不仅可以提供了多种安全分析报告和网络状态统计报告,还可提供一种报告定制机制,客户可以按照自己的需要生成各种安全分析和统计报告。同时,提供远程及本地的管理界面,可以在本地和远程安全地进行系统直观的、可视化管理和监控。

(7)系统自身高安全性

系统的操作系统必须充分保障系统自身的安全及各组件间通信的安全,建议增加一台日志审计服务器。

数据库审计对数据安全影响最大,下面是Oracle数据库实现审计的典型配置过程: 激活数据库审计:

查看审计信息:

4.9.10 网络边界安全

在北医系统运行过程中,需要与综合网内多个业务系统、以及外部的应行系统进行互联。在与其他系统进行连接时,网络边界隔离方案如下图所示,以保证系统安全。

区域O路由器R-1防火墙F-1区域E区域DLAN交换机S-1防火墙F-2LAN交换机S-2区域I 网络边界安全隔离

区域E是非军事区之一,主要功能是透过防火墙F-1与银行等系统外用户服务器进行通信,建议使用具有第三层交换功能的局域网交换机S-1,必要时划分成不同的VLAN。其安全级别高于区域O。

区域D是非军事区之二,主要功能是非军事区的第二梯队,可以透过防火墙F-2防问区域E中的服务器,并可访问区域O中的服务器,同时,可以透过F-2受限地访问区域I中的服务器,建议使用具有第三层交换功能的局域网交换机S-2。在该区域可以部署北医系统与综合网其他业务系统连接的通讯PC服务器,该区域可以部署服务于内部浏览器用户的WEB服务器。其安全级别略高于区域E。

区域I是内部网络,主要功能是承担北医系统内部设备之间的数据通信,并为区域E和区域D提供数据。应将北医系统的数据库服务器、应用服务器、存储系统等设备部署其中。

对于进入北医系统的数据,无论是合法的,还是非法地都要通过通讯日志系统归档,真正做到“数据落地”。

4.9.11 线路安全

为了保证系统通信的畅通,防止因通信线路异常而引起的传输错误、操作中断等,综合考虑综合网的网络建设,可以考虑采用线路备份手段,保证系统之间的数据传输不间断。对线路上传输的敏感数据进行加密,是有效防止非法用户搭线窃听的有效手段。

无线网络的通讯建议采用WPA2认证模式,防止密码破解。 下面是Cisco的无线WPA2设置:

4.9.12 操作系统

操作系统的安全是北医系统安全和网络安全的基础。操作系统应提供用户身份认证、资源权限划分、访问控制和日志审计等手段,保护信息资源不被非法访问和使用。

1、操作系统的安全等级

主机操作系统,包括WEB服务器、数据库服务器、应用服务器,均应达到NCSC认证的C2级安全等级。

Windows操作系统的安全问题越来越受到大家的关注,尤其是现在局域网的规模越来越大,对网络管理员来说,手工为每台客户机安装补丁的工作量太大,且很难实现。 应在公司局域网内配置WSUS服务器(Windows SUS补丁升级服务)一台,可自动将微软的最新补丁发送给用户。

2、操作系统的备份与恢复

要建立安全性好、可靠性高的文件系统,如日志文件系统(JFS或VxFS),以提高文件系统的性能和故障恢复能力。

要加强操作系统的备份与恢复管理,内容包括:软件版本信息、网络配置信息、磁盘卷组信息、内核参数的配置信息和用户账号信息等;要建立可引导的系统恢复介质,确保当主机系统或操作系统故障时系统能够正确启动,操作系统平台能够快速恢复。

3、操作系统的访问权限

严格控制目录与文件的访问权限,以实现对系统资源的保护。取消或减少局域网内主机间的互相信任关系,以提高系统的安全性。关闭不必要的且有安全隐患的网络服务(如rsh、rlogin、ftp等)。严格控制网络文件系统(NFS)的共享资源及其存取权限,以防外来侵入。

4、操作系统的用户与口令管理

科学设计用户组和用户账号,合理设定各类用户对系统资源的访问权限。加大客户口令的复杂程度,禁止用户不设口令或使用过于简单的口令。设置口令的失效期,以强制用户定期修改口令。必要时可按登录时间、登录机器的IP地址、MAC地址等因素限制用户的访问请求。

5、操作系统的安全审计

启用操作系统的安全审计功能,定期查看各种系统日志,如系统启动与关机日志、用户身份切换日志、成功登录与失败登录日志、定期作业日志等,通过系统日志及时发现并排除系统安全隐患。

4.9.13 数据库 1、数据库系统的安全性

系统要采用高性能的主流数据库产品,同时要注意数据库版本的先进性和可靠性。所采用的数据库系统应符合NCSC认证的C2级安全标准,应提供严格的数据库恢复和事务完整性保障机制,提供完整的角色管理和自主控制安全机制,要支持软、硬件容错,逻辑备份与恢复,物理备份与恢复,在线联机备份和恢复等功能,保证在发生故障和灾难后能够很好地恢复或重构数据库。

2、数据库的安全性措施主要有以下几方面: 用户标识和鉴定

通过数据库系统的用户账号与口令鉴定用户的身份,这是系统提供的最外层安全保护措施,也是最常用的措施。

存取控制

合理设置数据库对象的授权粒度,认真研究并大力推行角色/权限管理机制,建议使用具有口令保护的角色,通过应用系统级的身份认证连接数据库,通过应用程序进行角色的口令输入、打开角色并激活角色开关,以避免用户绕过应用程序而直接调用SQL语句访问数据库资源。

视图机制

为不同用户定义不同的视图,通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据进行保护。

审计

建议打开数据库系统的审计功能,以监视不合法行为。(配置步骤参考安全审计章节) 3、数据的完整性

要充分利用数据库管理系统所提供的数据完整性功能。在数据库的设计时要通过实体完整性、参照完整性的定义,使数据库系统拒绝接收不合语义的数据,从而保证数据的正确。对一些特别重要的信息应加密存储。

4、数据的备份与恢复

系统应提供完备的数据备份和恢复功能,既要考虑逻辑备份和恢复功能,又要考虑物理备份和恢复功能,既要考虑业务数据的备份和恢复,又要考虑数据库控制文件、归档日志文件及配置信息的备份和恢复,以确保数据库遭遇介质故障时,能够重构并尽快恢复数据。系统应具有联机备份能力。

5、磁盘RAID

ORACLE数据库的数据文件存放在RAID磁盘上,采取RAID5或RAID10对数据库的数据文件进行保护,才坏掉一块磁盘的情况下数据不会丢失。

6、群集技术

服务器集群技术,由于现有的所有硬件系统不能达到100%的不间断运行,而单台服务器不能做容错,所以不具备高的运行安全可靠性,利用服务器集群技术,可以建立一套高可靠系统运行环境。

4.9.14 中间件安全

系统如果使用中间件产品,包括通讯中间件和B/S架构中的应用服务器,应对用到的中间件产品采取安全保护措施,如用户管理、权限管理等,以保护中间件相关资源不被非法访问和使用。必要时应进行中间件软件安全漏洞信息跟踪、并及时安装安全补丁。

例如启用WAS安全控制:

修改/data/WebSphere/AppServer/profiles/default/config/cells/sunNode01Cell/security.xml

<

对应用系统内的所有用户要进行身份验证,防止非法用户对系统的访问。通常采用以下方法:

(1)口令机制,即通过用户输入口令进行身份认证; (2)使用数字证书来进行用户的身份认证。

要满足以上要求,建议采用通用的数字证书技术。数字证书是网络通讯中标志通讯各方身份信息的一系列数据,它提供了在Internet/Intranet上验证通信各方身份的方法,它是

由由权威机构-CA认证机构,又称为证书授权(Certificate Authority)中心发行。

数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个客户可以设定特定的仅为本人所知的私有密钥(私钥),用它进行数据解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组客户所共享,用于数据加密和验证签名。

当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。

申请证书邮政数字证书管理中心安装证书 浏览器端证书 (SSL over HTTP) HTTPS 服务器端证书 WEB 服务器 浏览器 使用数字证书及HTTPS协议访问

2、用户权限控制

在应用系统中要进行用户角色和级别的定义,根据最小权限原则,分别为不同级别的不同角色设置操作权限和数据访问权限,从而控制合法用户的操作权限,避免因软件系统在权限控制方面的漏洞导致越权操作,产生安全问题。 3、应用数据安全

主要考虑相关数据的安全性。权限划分要合理,既要考虑不同层次的用户对分析结果的访问权限,同时也要防止用户依据合法权限得到的结果数据来推断出其他数据的可能性。 4、代码安全和安全代码

由于采用B/S多层结构,UAP-NC的系统代码全部放于服务器上,只有服务器管理人员才能更改代码。客户端的代码是在运行时动态地下载到客户端的,意味着不能在客户端修改在客户端的运行代码。同时借助于Java提供的沙盒功能,也限制了下载的代码访问本地文件的功能,保护了用户本地的计算机。另外由于只有运行在服务器上的代码才可以访问数据库,客户端不能直接访问,这样也保证了数据库服务器的安全。

用友集成通过配合用友软件的安全配置实现安全,即UAP-NC假设所有用户的输入都是不可

信任的,因此通过客户端界面由用户输入的数据都将通过UAP-NC的客户端引擎进行数据校验,防止通过用户输入发动的系统攻击。 5、日志和审计

系统应建立完备的系统日志,对各个模块的运行情况和用户关键操作进行跟踪记录。通过周期性审计、实时审计和事后审计等审计策略,以发现非法违规操作,进而发现安全漏洞并及时采取补救措施。需要进行日志记录的内容包括:各类操作人员的关键操作信息、用户及机构变更等与安全管理相关的信息等。

日志数据或文件应妥善保存,并要限制业务操作员对其的访问权限。 5

项目管理方案 5.1 项目管理

根据多年的大型项目管理经验,我们总结了一整套项目管理的规范和方法。对于大型复杂项目,这些项目管理的规范和方法就更为重要,是项目成败的重要因素。在我公司的项目管理方法中,有三点是至关重要的:

1、严格遵循ISO9000质量管理规范 2、项目经理负责制 3、提倡用户参与项目实施 5.1.1

严格遵循ISO9000质量管理规范

国际标准化组织ISO在1987年推出ISO9000系列标准以来,已被70多个国家采用。这个系列标准化在全球有广泛深刻的影响,有人称之为ISO9000现象。ISO9000现象出现的根本原因,是各国的采购商和供应商对标准的普遍认同,并将符合ISO9000标准的要求作为贸易活动中建立相互信任关系的基石。ISO9000现象推动了企业按照ISO9000系列标准的要求建立自身有效运转的质量保证体系,作为保证产品质量和提供优质服务的质量基础。

用友在系统集成工作中一直遵循ISO9000标准,软件开发于1998年通过ISO9001质量体系认证;1999年,在系统集成领域(包括集成服务和软件开发)通过ISO9001质量体系认证。

一、用友的质量方针、质量目标和质量承诺 质量方针

我们的质量方针是:优秀的产品,一流的服务。

优秀的产品:配备高素质的工程师,选用先进、稳定的开发工具和开发方法;开发全过程的严格的质量控制;确保产品功能丰富,满足用户的实际需求。

一流的服务:设置技术服务中心和专业的支持工程师,提供专业水准的服务;设有客户服务热线电话,保证为用户提供及时的服务;全员具有“客户的成功才是我们的成功”的服务意识。 质量目标

我们的质量目标是:确保各阶段工作的有效性,把符合用户实际需求的产品适时地交付用户。 有效性:阶段成果经过严格的确认,确实成为下一步工作的依据。 适时:指按合同规定的进度或按与用户共同协商的时间。 质量承诺

我们的质量承诺是:我们在工作中严格执行ISO9000质量标准。 用友质量管理的目的和内容

目的:满足用户要求,规范自身行为,达到供需双方共同获益的效果; 内容:

质量策划——目的、范围、做什么、何时做、谁来做、如何做; 质量控制——监视过程,发现、排除不合格; 质量保证——满足质量要求,取得需方信任; 质量改进——完善、改进质量体系; 集成商质量管理基本要求:P D C 把要做的事写下来(Plan——计划) 按写下的事做出来(Do——执行) 把做的事记下来(Check——检查)

二、项目的质量管理计划

本项目是一个难度较大的大型系统集成项目,需要在短时间内完成多个安装点的设备安装和系统集成工作,因此本项目的质量管理就显得尤为重要。我们在本项目的执行工程中,一定会严格遵循ISO9000质量管理规范。具体而言,我们将从以下几方面努力以保证工程实施的质量:

把要做的事写下来

在实施开始之前,充分考虑各种相关因素,制定切实可行的项目实施计划和质量保证计划,包括以下几方面的内容: 工作任务分解 组织结构和北医计划 实施进度

项目各阶段的详细计划 项目实施过程中的质量因素 风险因素及对策

质量保证措施(进度监控措施、质量监控措施等)

同时,根据项目的实施计划,制定工程师现场实施规范,统一参加项目工程师的现场实施活动,使项目的实施规范、统一、高效。

另外,还要编写详细的、可操作的项目实施用户指导书,帮助用户准备场地、线路等环境,避免因为环境准备的原因造成整体进度的延误。

所有的计划和规范都应经过用户的确认,确保计划的有效性。 按写下的事做出来

在项目实施过程中,严格按照制定好的实施计划安排工程实施,确保工程进度。 工程师在实施现场严格按照实施规范进行现场安装,及时汇报实施结果。 把做的事记下来

在项目实施工程中,我们的每一项活动都会通过文档的形式详细记录下来,通过实施文档可以监控整个实施过程,并为实施结束之后的技术支持和售后维护工作提供依据。另外,项目中的所有技术文档和实施文档都会在公司技术响应中心的数据库存档,以便于管理和查询。 5.1.2

项目经理负责制

根据我公司的项目管理经验,我们在所有项目中都设立专职的项目经理,采用项目经理负责制。项目经理的作用是:负责整个项目实施的技术、实施管理。项目经理通过协调管理项目实施的各工作小组成员的工作,负责控制整个项目实施有关的技术细节审定,项目实施中的进度和质量管理,以及与项目有关的商务合同执行情况的管理。

本项目规模大、工期紧、技术难度大,因此项目经理负责制就更为重要,建立项目经理负责制有以下几方面的好处:

1、项目经理可以从全局出发考虑、规划、协调、监控整个项目的实施过程,可以规范、统一项目实施过程,最大限度地避免因为项目各环节的具体实施人员不了解项目整体情况而导致的脱节和冲突。

2、项目经理是我公司与用户之间的直接和单一的接口,可以简化集成商与用户之间的接口环节,避免接口过多造成的重复工作或相互推委的现象。

3、项目经理负责整个项目实施的全过程,责任明确,任务清晰。

4、项目经理在公司内部有足够的权力,可以协调、调度公司各方面的资源,保证项目的成功。 5.1.3

提倡用户参与项目实施

项目实施过程中用户的参与程度也是项目成败的重要因素。因此在本项目实施过程中,我们积极提倡用户自始至终参与项目实施,而且希望这种参与是自上而下的参与。用户参与对项目实施有十分重要的意义:

1、用户参与制定的实施计划是真正切实可行的计划,因为只有用户最了解自己的现有环境和各种制约因素。

2、只有用户的参与才能确保项目实施的各项准备工作得以真正落实。 3、用户的参与和配合可以使工程实施更加高效。

4、只有用户自始至终地参与项目实施,才能保证项目实施完成后的有效移交,同时可以提高售后服务的效率和质量。

5.2 项目管理方法

项目管理方面,我们采用经历过众多大型项目考验、完善的、符合ISO 9000标准的规范化项目管理体系,对项目运作和实施进行一体化管理。

整个项目实施严格执行ISO9000质量标准,根据: GB/T19001-1994 idt ISO9001:1994

GB/T19000.3-1994 idt ISO 9000.3:1993的要求将对本项目实施全面质量管理,确保各阶段工作的有效性、项目实施和项目文档的规范性,把满足本项目各单位要求的、安全的、高可靠的软硬件产品适时地交付用户。

本项目管理方法包括:

1.项目整合管理 1.1项目计划制订 1.2项目计划实施 1.3整体变更管理 2 .项目范围管理 2.1立项 2.2项目范围计划编制 2.3范围定义 2.4范围核实 2.5范围变更控制 3 .项目时间管理 3.1项目工作单元定义 3.2项目工作单元排序 3.3历时估算 3.4进度计划编制 3.5进度计划控制 4.项目费用管理 4.1资源计划编制 4.2成本估算 4.3制定预算 4.4成本控制 5.项目质量管理 5.1质量计划编制 5.2质量保证 5.3质量控制 6 项目北医管理 6.1项目组织计划编制 6.2获取项目组成员 6.3建立项目组 7. 项目沟通管理 7.1沟通计划编制 7.2发送项目信息 7.3执行情况报告 7.4项目总结 8. 项目风险管理 8.1风险识别 8.2风险量化 8.3风险应对措施设计 8.4风险应对措施控制 9. 项目采购管理 9.1采购计划编制 9.2议标计划编制 9.3议标 9.4合同商选择 9.5合同管理 9.6合同终结 5.3 项目质量管理

为了配合项目的顺利完成,集成商采用ISO9001质量保证体系,来保证项目的成功实施:

本文来源:https://www.bwwdw.com/article/0pbp.html

微信扫码分享

《某大型机构信息系统安全规划解决方案 - 图文.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档
下载全文
范文搜索
下载文档
Top