文档介绍:构筑医院信息系统的全方位安全网络
第一章安全问题分析
随着医院信息化程度越来越高,伴随而来的的安全问题也日益突出,尤其是随着网络规模的不断扩大,网络应用项目越来越丰富,涉及到的人员越来越来越庞杂,部署策略越来越繁琐,整个系统变得越复杂,医院面对的安全风险也越来越大。如何有效地降低安全风险、降低安全成本,安全的策略显得尤为重要。医院的HIS系统是关键业务系统,需要系统不间断运行。即使发生短暂的业务中断,也会导致难以估量的经济和名誉损失。为此,我们分析以下可能会导致业务系统中断的原因:
服务器硬件故障
如服务器的数据/系统磁盘的损坏将导致数据不能访问,并进而可能导致应用进程终止或系统停机,甚至系统不能重启动;网卡的损坏可使终端用户无法访问系统服务;CPU或内存的失效则会导致系统的死机;
主干交换机或干线的故障
如主干交换机死机、交换机配置出错、或干线线路出现意外故障。
数据库服务、操作系统出错
由于操作系统或数据库服务器中可能存在不完善的地方、或者配置不得当,当碰到某种激发事件时,数据库服务器非正常终止或系统崩溃;
人为错误
一些人工的误操作,如删除系统或应用文件,终止系统或应用服务进程,也会导致系统服务的无法访问;
电脑病毒/黑客入侵
由于目前的郑州市的很多医院的计算机和省市医院医保联网,无论是物理还是逻辑上都是互通的,若缺少有效的防范机制,很容易遭受病毒的感染或者黑客的入侵,轻者数据被损坏,系统数据被重者系统瘫痪;
自然灾害
由于一些意外的不可抗拒的因素,如雷击、火灾、洪灾等导致的计算机系统破坏,将会使一般系统的恢复非常困难和耗时,导致业务系统长时间的中断(通过容灾系统来解决)。
正常的停机
主要指计划内的系统升级、安装软件、系统备份等过程。
由上可见,影响系统安全运行的因素有很多,但是,导致的系统中断完全可以通过创建一个完整的安全策略的来有效避免。
系统安全不仅是一个单一的安全防范问题,也不可能一时完会解决,而是一个整体的、全面的技术问题,同时安全也是一个长期的,动态的过程。因此我公司提出了在医院建立全网安全的概念。在了解安全需求的基础之上,从安全的规划的角度看,应遵循以下原则:安全管理为本的原则、需求、风险、代价平衡分析的原则,综合性、整体性原则、适应性及灵活性原则,多重保护原则。
当今的很多系统集成商力图做到全自运化,对于信息安全问题能够做到自动发现、自动解决,。出发点固然是不错,希望方便用户使用。但现实世界中的网络安全问题太过复杂,一切都是机器和程序搞定的想法有些不切合实际。我公司认为:在保卫系统安全的过程中人应该发挥人的能动性,做到主动出击,而不是被动防御。
居以上分析,我公司提出以下全网安全的解决方案:
第二章服务器操作系统和数据安全方案
第一节双机容错部分------解决由于服务器硬件故障、计划停机造成的服务器停机
确要建立高可用的计算机处理系统,首先,在硬件上,要做到各部件的冗余,多台计算机组成集群结构,使整个系统不存在单点故障;此外,还需要有专门的集群软件来进行管理和监控,使得应用系统在任何软硬件单元发生故障时,能够稳定可靠地运行。此外,在高可用系统设计时,还需考虑下述关键点:
应用系统,主机/部件间的切换是非对用户透明?
故障发生时,是否需要人为干预?
切换的速度如何?
配置是否简单方便,易于管理?
与操作系统、应用程序是否能密切配合?
双机容错部分构成
例如:
ROSE HA FOR WIN2003SERVER 容错软件
HP公司的F200磁盘阵列系统
HPDL580G4两台
方案简介
系统以WN2003为平台,F200磁盘阵列及ROSE HA软件为核心,常用数据库及网络数据存放在磁盘阵列中,两台服务器只安装本地系统文件及ROSE HA软件,并作一主一从的热备方式。当系统启动后:Rose HA首先启动HA manager管理程序,然后启动必要的服务和代理程序来监控和管理系统服务。HA代理程序通过RS232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。
当ROSE HA代理程序监测到某个服务或硬件发生故障并作相应处理后(可由用户设定)仍不能成功时,则开始切换服务:将IP飘移到相同用户名的另一台Standby服务器上,磁盘阵列中的数据库由主服务器切换到从服务器,并恢复所有的服务功能。完成整个切换过程,平均时间为40秒,此时系统又进入初始状态。
硬件结合实现真正意义上的数据与系统分离。
对硬件配置要求不高,服务器可采用不同或相差较大的配置。
系统切换时间短,平均切换时间为30秒,为目前同类软件中最短。
系统效率高。因为整个系统中数据读写、管理及容错由