【文章內(nèi)容簡(jiǎn)介】 系統(tǒng)的建設(shè)工作，在項(xiàng)目中，我擔(dān)任了系統(tǒng)分析與系統(tǒng)設(shè)計(jì)工作。醫(yī)院信息系統(tǒng)是指利用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)等現(xiàn)代化手段，對(duì)醫(yī)院及其屬各部門(mén)對(duì)人流、物流、財(cái)流進(jìn)行綜合管理，對(duì)在醫(yī)療活動(dòng)各階段產(chǎn)生的數(shù)據(jù)進(jìn)行采集、存貯、處理、提取、傳輸、匯總、加工生成各種信息，從而為醫(yī)院的整體運(yùn)行提供全面的、自動(dòng)化的管理及各種服務(wù)的信息系統(tǒng)。由于行業(yè)性質(zhì)的緣故，醫(yī)院信息系統(tǒng)必須7x24小時(shí)不間斷運(yùn)轉(zhuǎn)，因此對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性有很好的要求，在該項(xiàng)目的系統(tǒng)設(shè)計(jì)階段，我們就將網(wǎng)絡(luò)系統(tǒng)的安全性作為一個(gè)重要的部分考慮在內(nèi)。由于該信息系統(tǒng)是建立在一個(gè)物理上與公眾網(wǎng)完全隔離的局域網(wǎng)基礎(chǔ)上的，所以我們并沒(méi)有過(guò)多地考慮防御來(lái)自外部入侵者的威脅方面的安全問(wèn)題，我們認(rèn)為該系統(tǒng)的安全核心—是保證信息系統(tǒng)的正常運(yùn)行，二是保證數(shù)據(jù)的安全，也就是說(shuō)該醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全可以分為信息系統(tǒng)安全和數(shù)據(jù)安全。下面就我們?cè)谶@兩方面所采取的措施加以論述。信息系統(tǒng)安全信息系統(tǒng)安全涉及網(wǎng)絡(luò)安全、服務(wù)器組的安全、供電安全、病毒防范等。對(duì)于醫(yī)院的業(yè)務(wù)局域網(wǎng)，威脅網(wǎng)絡(luò)安全的主要因素有：網(wǎng)絡(luò)設(shè)計(jì)缺陷、網(wǎng)絡(luò)設(shè)備損壞、非法訪問(wèn)等。經(jīng)過(guò)充分調(diào)研，認(rèn)真分析，結(jié)合該醫(yī)院的實(shí)際情況，我們?cè)O(shè)計(jì)了一個(gè)主干為三層路由千兆交換以太網(wǎng)的網(wǎng)絡(luò)方案。我們采用具有三層路由功能的兩臺(tái)核心交換機(jī)NORTEL PASSORT 8600、兩臺(tái)具有三層路由功能的NORTEL ACCLAR 1150交換機(jī)和千兆級(jí)光纖組成網(wǎng)絡(luò)主干，邊沿交換機(jī)為BAYSTACK450。本方案我們采用SMLT(Split MultiLink Trunking)+VRRP(Virtual Router Redundancy Protocol)技術(shù)。NORTEL公司MLT(MultiLink Trunking)是一種允許多條物理鏈路模擬成一條邏輯鏈路的取合鏈路虛擬為一條邏輯上的傳輸線路進(jìn)行數(shù)據(jù)傳輸，進(jìn)而可以成倍地提高兩個(gè)交換機(jī)之間（或交換機(jī)與服務(wù)器之間）的數(shù)據(jù)傳輸帶寬，同時(shí)提供了傳輸鏈路的冗余備份。當(dāng)構(gòu)成虛擬傳輸鏈路的幾條物理鏈路有一條由于端口或傳輸介質(zhì)本身失效時(shí)，不會(huì)影響數(shù)據(jù)的正常傳輸，所受到的影響僅僅是虛擬鏈路的傳輸帶寬。SMLT，分離的多鏈路取作主干，同MLT相比，SMLT在構(gòu)成上，不再是兩個(gè)交換機(jī)之間。SMLT的一端是一個(gè)支持MLT的交換機(jī)，而另一端則是由兩個(gè)交換機(jī)通過(guò)IST（Inter Switch Trunk，是連接兩臺(tái)聚合交換機(jī)以實(shí)現(xiàn)信息共享，使兩臺(tái)聚合交換機(jī)能作為一臺(tái)邏輯交換機(jī)運(yùn)轉(zhuǎn)的點(diǎn)對(duì)點(diǎn)鏈路）形成的一個(gè)邏輯上的交換機(jī)。MLT交換機(jī)會(huì)別與這兩上SMLT交換機(jī)連接，因此，SMLT在增加帶寬的同時(shí)，可以提供最高級(jí)別的可靠性—交換機(jī)級(jí)別的可靠性。兩個(gè)SMLT交換機(jī)不論是端口失效還是端口模板失效，甚至是交換機(jī)失效都不會(huì)影響數(shù)據(jù)的正常傳輸，避免了單點(diǎn)失效對(duì)網(wǎng)絡(luò)正常連通帶來(lái)的影響。同時(shí)，傳輸負(fù)載由兩個(gè)交換機(jī)來(lái)均衡完成，可以大幅度提高網(wǎng)絡(luò)主干的傳輸性能。SMLT體系結(jié)構(gòu)由SMLT Aggregation Switch、IST（Inter Switch Trunk）和SMLT Client構(gòu)成，其結(jié)構(gòu)圖如下：在沒(méi)有使用SMLT的情況下啟動(dòng)虛擬路由冗余協(xié)議（VRRP），通常只有主交換機(jī)進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，如果主交換機(jī)出了故障，備用交換機(jī)什么樣自動(dòng)頂替主交換機(jī)，完成數(shù)據(jù)包的轉(zhuǎn)發(fā)工具；使用SMLT，使得VRRP的性能得到擴(kuò)展，除了主交換機(jī)進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)外，備用交換機(jī)也進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，主交換機(jī)和備用交換機(jī)互為備份并互相偵聽(tīng)，這樣即可以實(shí)現(xiàn)流量的負(fù)載均衡，也可以實(shí)現(xiàn)故障恢復(fù)，避免單點(diǎn)失效。為了避免邊沿交換機(jī)出現(xiàn)單點(diǎn)換效，我們采用了堆疊技術(shù)，把若干臺(tái)BAYSTACK450用堆疊電纜堆疊起來(lái)，在堆疊的某些交換機(jī)上加裝光纖模塊，由這些光纖端口捆綁成一條邏輯鏈路上聯(lián)到網(wǎng)絡(luò)主干，這樣就算堆疊的某些交換機(jī)上損壞了，整個(gè)堆疊還可以正常工作。特別地，門(mén)診收款處和門(mén)診藥房是醫(yī)院的窗口單位，為了避免由于門(mén)診樓交換機(jī)堆疊中的某臺(tái)交換機(jī)出現(xiàn)了故障而導(dǎo)致門(mén)診收款系統(tǒng)和門(mén)診發(fā)藥系統(tǒng)癱瘓，我們把門(mén)診收款工作站和門(mén)診發(fā)藥站發(fā)散地接到堆疊中的七臺(tái)交換機(jī)。在防止非法訪問(wèn)方面，我們采用了密碼管理、權(quán)限設(shè)置、虛擬子網(wǎng)（VLAN）的劃分等措施。服務(wù)器是全院計(jì)算機(jī)網(wǎng)絡(luò)的大腦和神經(jīng)中樞，保證服務(wù)器可靠長(zhǎng)期有效的運(yùn)行是網(wǎng)絡(luò)信息系統(tǒng)安全的一個(gè)特別重要的問(wèn)題。由于本方案中的應(yīng)用程序是采用安全性較高的三層體系統(tǒng)結(jié)構(gòu)，所以服務(wù)器組包括域控制器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。域控制我們采用了兩臺(tái)穩(wěn)定性較好的IBM xserials 230服務(wù)器，一臺(tái)做主域控制器，另一臺(tái)做備份域控制器，這樣即可以實(shí)現(xiàn)登陸驗(yàn)證的負(fù)載均衡，又可以避免域控制器的單點(diǎn)失效問(wèn)題。應(yīng)用服務(wù)器部分我們采用了六臺(tái)HP 380G3服務(wù)器和一臺(tái)F5 BIGIP5000控制器。BIGIP控制器是針對(duì)企業(yè)本網(wǎng)站或數(shù)據(jù)中心的一種產(chǎn)品。它能夠提供高可用性和智能負(fù)載平衡功能。六臺(tái)HP380G3服務(wù)器可以通過(guò)F5 BIGIP5000控制器連接到核心交換機(jī)PASSPORT 8600,F5 BIGIP5000控制器可以持續(xù)監(jiān)視六臺(tái)HP 380G3服務(wù)器，以確保服務(wù)器運(yùn)行正常，然后再自動(dòng)將輸入的服務(wù)請(qǐng)求路由到六臺(tái)中可用性最高的服務(wù)器。這樣接，只要有一臺(tái)HP380G3服務(wù)器不出現(xiàn)故障，中間層應(yīng)用程序便可以正常運(yùn)行。這樣設(shè)計(jì)即可以實(shí)現(xiàn)中間層應(yīng)用程序的負(fù)載均衡，同時(shí)在F5 BIGIP5000控制器不出現(xiàn)故障的前提下，又避免了應(yīng)用服務(wù)器的單點(diǎn)失效問(wèn)題。數(shù)據(jù)庫(kù)服務(wù)器部分我們采用了一臺(tái)穩(wěn)定性較高、存儲(chǔ)性能較好的HP DL760 G2服務(wù)器、一臺(tái)HP DL580 G2服務(wù)器和一臺(tái)HP MSA1000光纖磁盤(pán)陣列柜。兩臺(tái)服務(wù)器分別通過(guò)光纖通道連接到磁盤(pán)陣列柜，組成存儲(chǔ)局域網(wǎng)（SAN）。本方案采用了微軟的群集技術(shù)，實(shí)現(xiàn)了Active/Passive雙機(jī)熱備份模式，HP DL760 G2做主數(shù)據(jù)庫(kù)服務(wù)器，HP DL580 G2做備份數(shù)據(jù)庫(kù)服務(wù)器，在主服務(wù)器發(fā)生故障的情況下，備份服務(wù)器將自動(dòng)在30秒內(nèi)將所有服務(wù)接管過(guò)來(lái)，從而保證了數(shù)據(jù)庫(kù)服務(wù)器的正常運(yùn)行。在磁盤(pán)陣列柜，我們安裝了5塊146G的scsi服務(wù)器硬盤(pán)，其中4塊硬盤(pán)做RAID5，一塊硬盤(pán)做Hot spare，這樣可以保證陣列柜在兩塊硬盤(pán)發(fā)生故障時(shí)，系統(tǒng)還可以正常運(yùn)行。由于醫(yī)院許多大型診療議器設(shè)備啟動(dòng)時(shí)有瞬間高壓、高磁場(chǎng)等，會(huì)對(duì)計(jì)算機(jī)產(chǎn)生影響因此我們要求院方做到中心機(jī)房的電源專(zhuān)線專(zhuān)供，我們通過(guò)設(shè)置VLAN和要求院方安裝網(wǎng)絡(luò)版殺毒軟件來(lái)防范病毒。數(shù)據(jù)安全我們采用數(shù)據(jù)備份來(lái)保證數(shù)據(jù)安全。本方案我們采用冗余備份策略。 Backup Exec 。Veritas Backup Exec能為跨網(wǎng)絡(luò)的服務(wù)器和工作站提供快速可靠的備份和恢復(fù)能力。我們利用Veritas Backup Exec的作業(yè)管理功能設(shè)置備份定時(shí)任務(wù)，每天進(jìn)行一次數(shù)據(jù)庫(kù)數(shù)據(jù)完全備份，每三個(gè)月進(jìn)行一次系統(tǒng)的災(zāi)難備份。災(zāi)難備份能在數(shù)據(jù)庫(kù)服務(wù)器崩潰時(shí)，避免重裝系統(tǒng)，利用最新的數(shù)據(jù)備份使系統(tǒng)盡快憂愁到運(yùn)行狀態(tài)。 SQL SERVER 2000自身的備份功能，每天定時(shí)自動(dòng)地進(jìn)行一次數(shù)據(jù)完全備份，備份數(shù)據(jù)存放到另一臺(tái)數(shù)據(jù)備份服務(wù)器HP ML570中，同時(shí)在HP ML570中設(shè)置一定時(shí)任務(wù)，對(duì)每天的備份數(shù)據(jù)進(jìn)行一次完整性檢查，這樣可以保證備份數(shù)據(jù)是完整、可用的。通過(guò)數(shù)據(jù)備份，能使醫(yī)院在破壞數(shù)據(jù)的災(zāi)難事件中造成的損失降到最低。計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，除了采用保障網(wǎng)絡(luò)安全的技術(shù)外，還要加強(qiáng)安全教育和制度管理，因此我們強(qiáng)烈要求院方重視對(duì)各級(jí)計(jì)算機(jī)操作人員進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全的教育，并制定較為完善的計(jì)算機(jī)網(wǎng)絡(luò)管理制度，如嚴(yán)禁非操作人員使用電腦；計(jì)算機(jī)中心指定專(zhuān)職系統(tǒng)管理員掌握服務(wù)器密碼，每次更新或升級(jí)計(jì)算機(jī)軟件必須有兩人同時(shí)在場(chǎng)，并做好記錄等。在整個(gè)項(xiàng)目方案中，我們用于保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的措施主要是設(shè)備的冗余、鏈路的冗余。采用冗余的措施，除了可以避免單點(diǎn)失效問(wèn)題，還可以增加網(wǎng)絡(luò)帶寬和實(shí)現(xiàn)業(yè)務(wù)流量的負(fù)載均衡。因此保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性不僅可以保證網(wǎng)絡(luò)服務(wù)的持續(xù)不中斷，還可以更好地提高網(wǎng)絡(luò)服務(wù)效率。在整個(gè)項(xiàng)目完成至今一年，從系統(tǒng)運(yùn)行的情況來(lái)看，整個(gè)方案是合理的，高可靠性的，院方也感到滿意。當(dāng)然，方案中也有不足的地方，如F5 BIGIP5000控制器存在單點(diǎn)失效問(wèn)題；隨著院方的網(wǎng)上掛號(hào)等業(yè)務(wù)的開(kāi)展，本方案中沒(méi)有考慮到內(nèi)網(wǎng)與公眾網(wǎng)相連的安全措施等。長(zhǎng)春經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)的網(wǎng)絡(luò)安全建設(shè)一、系統(tǒng)安全目標(biāo)保證電子政務(wù)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的信息傳輸、信息存儲(chǔ)是安全的、保密的，確保電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全、可靠、平穩(wěn)地運(yùn)行，我們要實(shí)現(xiàn)如下系統(tǒng)安全目標(biāo)：1．建成開(kāi)發(fā)區(qū)完整的網(wǎng)絡(luò)安全體系，并建立一套可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略； 2．采用防火墻系統(tǒng)對(duì)開(kāi)發(fā)區(qū)電子政務(wù)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全訪問(wèn)控制；3．通過(guò)網(wǎng)絡(luò)監(jiān)控系統(tǒng)，全面監(jiān)視和跟蹤進(jìn)、出網(wǎng)絡(luò)的所有訪問(wèn)行為，發(fā)現(xiàn)不安全的操作和黑客攻擊行為，及時(shí)告警和拒絕；4．建設(shè)網(wǎng)絡(luò)定期安全掃描系統(tǒng)，檢測(cè)網(wǎng)絡(luò)安全漏洞，及時(shí)了解和掌握計(jì)算機(jī)當(dāng)前或近期使用情況，減少被黑客利用的不安全因素；5．建立病毒防范體系，防止網(wǎng)絡(luò)系統(tǒng)被病毒的侵害；6．通過(guò) CA 認(rèn)證和 PKI 數(shù)據(jù)加密技術(shù)進(jìn)行用戶身份識(shí)別，為電子政務(wù)系統(tǒng)提供安全保障；7．對(duì)內(nèi)、外網(wǎng)絡(luò)的信息發(fā)布平臺(tái) WEB 進(jìn)行保護(hù)，防止網(wǎng)站網(wǎng)頁(yè)被非法人員篡改，為領(lǐng)導(dǎo)決策提供安全的文件傳輸服務(wù)；8．利用安全評(píng)估系統(tǒng)進(jìn)行系統(tǒng)審計(jì)、敏感信息檢查，確保電子政務(wù)信息的安全；9．進(jìn)行重要數(shù)據(jù)庫(kù)系統(tǒng)的冗余備份，以備不測(cè)或?yàn)?zāi)難時(shí)快速恢復(fù)網(wǎng)絡(luò)系統(tǒng)。二、實(shí)施方案物理安全體系物理安全是整個(gè)系統(tǒng)安全的前提，是保護(hù)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞的過(guò)程。具體實(shí)施方案包括機(jī)房、通訊線路、物理隔離卡、設(shè)備和電源的安全措施。（1）機(jī)房環(huán)境安全接地系統(tǒng)：對(duì)政務(wù)中心所在的開(kāi)發(fā)大廈內(nèi)所有計(jì)算機(jī)和各種地線系統(tǒng)采用統(tǒng)一的防雷處理，即建筑物內(nèi)共地系統(tǒng)，保證設(shè)備安全，并能防止電磁信息泄漏。防雷措施：開(kāi)發(fā)區(qū)在樓頂安裝了避雷設(shè)施，即在主機(jī)房外部安裝了接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。機(jī)房?jī)?nèi)部采取屏蔽、合理布線、過(guò)電壓保護(hù)等技術(shù)措施，以此達(dá)到防雷的目的。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。（2）通信線路安全主要是對(duì)電源線和信號(hào)線采取加裝性能良好的濾波器功能，減小阻抗和導(dǎo)線間的交叉耦合，阻止傳導(dǎo)發(fā)射。對(duì)機(jī)房水管、暖氣管、金屬門(mén)采用各種電磁屏蔽措施，阻止輻射發(fā)生。物理隔離卡物理隔離卡系統(tǒng)從安全的角度出發(fā)，提供了一種安全的用戶訪問(wèn)機(jī)制，終端用戶可以在多網(wǎng)物理隔離的條件下安全自由地訪問(wèn)其中任意一個(gè)網(wǎng)絡(luò)。為如何解決開(kāi)發(fā)區(qū)管委會(huì)領(lǐng)導(dǎo)班子、機(jī)關(guān)處室、企事業(yè)、駐區(qū)單位等既要接入電子政務(wù)內(nèi)網(wǎng)又要接入電子政務(wù)外網(wǎng)的實(shí)際需求提供了一套經(jīng)濟(jì)、高效、安全的解決方案。根據(jù)開(kāi)發(fā)區(qū)各部門(mén)接入的政務(wù)網(wǎng)絡(luò)類(lèi)別和數(shù)量，選擇雙網(wǎng)線隔離卡來(lái)實(shí)現(xiàn)相關(guān)功能設(shè)計(jì)。4．設(shè)備、電源安全主要是加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備的使用管理，強(qiáng)調(diào)堅(jiān)持做好硬件設(shè)備（如交換機(jī)、路由器、主機(jī)、顯示器等）的日常維護(hù)和保養(yǎng)工作，定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常。電源系統(tǒng)電壓的波動(dòng)、浪涌電流和突然斷電等意外情況的發(fā)生可能引起計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息的丟失、存儲(chǔ)設(shè)備的損壞等情況的發(fā)生，必須依照國(guó)家的相關(guān)標(biāo)準(zhǔn)配備。防火墻將防火墻部署在路由器與受保護(hù)的內(nèi)部網(wǎng)絡(luò)之間，作為數(shù)據(jù)包進(jìn)/出的唯一通道。過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為，封堵某些禁止的業(yè)務(wù)，記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。同時(shí)，通過(guò)設(shè)置 DMZ（Demilitarized Zone）實(shí)現(xiàn)政府對(duì)外網(wǎng)站及信箱與外部暢通的訪問(wèn)。它具體適用范圍包括：長(zhǎng)春經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)電子政務(wù)門(mén)戶網(wǎng)站的出入口處；長(zhǎng)春經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)