【文章內(nèi)容簡介】 系統(tǒng)的建設(shè)工作，在項目中，我擔(dān)任了系統(tǒng)分析與系統(tǒng)設(shè)計工作。醫(yī)院信息系統(tǒng)是指利用計算機軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)等現(xiàn)代化手段，對醫(yī)院及其屬各部門對人流、物流、財流進行綜合管理，對在醫(yī)療活動各階段產(chǎn)生的數(shù)據(jù)進行采集、存貯、處理、提取、傳輸、匯總、加工生成各種信息，從而為醫(yī)院的整體運行提供全面的、自動化的管理及各種服務(wù)的信息系統(tǒng)。由于行業(yè)性質(zhì)的緣故，醫(yī)院信息系統(tǒng)必須7x24小時不間斷運轉(zhuǎn)，因此對網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性有很好的要求，在該項目的系統(tǒng)設(shè)計階段，我們就將網(wǎng)絡(luò)系統(tǒng)的安全性作為一個重要的部分考慮在內(nèi)。由于該信息系統(tǒng)是建立在一個物理上與公眾網(wǎng)完全隔離的局域網(wǎng)基礎(chǔ)上的，所以我們并沒有過多地考慮防御來自外部入侵者的威脅方面的安全問題，我們認為該系統(tǒng)的安全核心—是保證信息系統(tǒng)的正常運行，二是保證數(shù)據(jù)的安全，也就是說該醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全可以分為信息系統(tǒng)安全和數(shù)據(jù)安全。下面就我們在這兩方面所采取的措施加以論述。信息系統(tǒng)安全信息系統(tǒng)安全涉及網(wǎng)絡(luò)安全、服務(wù)器組的安全、供電安全、病毒防范等。對于醫(yī)院的業(yè)務(wù)局域網(wǎng)，威脅網(wǎng)絡(luò)安全的主要因素有：網(wǎng)絡(luò)設(shè)計缺陷、網(wǎng)絡(luò)設(shè)備損壞、非法訪問等。經(jīng)過充分調(diào)研，認真分析，結(jié)合該醫(yī)院的實際情況，我們設(shè)計了一個主干為三層路由千兆交換以太網(wǎng)的網(wǎng)絡(luò)方案。我們采用具有三層路由功能的兩臺核心交換機NORTEL PASSORT 8600、兩臺具有三層路由功能的NORTEL ACCLAR 1150交換機和千兆級光纖組成網(wǎng)絡(luò)主干，邊沿交換機為BAYSTACK450。本方案我們采用SMLT(Split MultiLink Trunking)+VRRP(Virtual Router Redundancy Protocol)技術(shù)。NORTEL公司MLT(MultiLink Trunking)是一種允許多條物理鏈路模擬成一條邏輯鏈路的取合鏈路虛擬為一條邏輯上的傳輸線路進行數(shù)據(jù)傳輸，進而可以成倍地提高兩個交換機之間（或交換機與服務(wù)器之間）的數(shù)據(jù)傳輸帶寬，同時提供了傳輸鏈路的冗余備份。當(dāng)構(gòu)成虛擬傳輸鏈路的幾條物理鏈路有一條由于端口或傳輸介質(zhì)本身失效時，不會影響數(shù)據(jù)的正常傳輸，所受到的影響僅僅是虛擬鏈路的傳輸帶寬。SMLT，分離的多鏈路取作主干，同MLT相比，SMLT在構(gòu)成上，不再是兩個交換機之間。SMLT的一端是一個支持MLT的交換機，而另一端則是由兩個交換機通過IST（Inter Switch Trunk，是連接兩臺聚合交換機以實現(xiàn)信息共享，使兩臺聚合交換機能作為一臺邏輯交換機運轉(zhuǎn)的點對點鏈路）形成的一個邏輯上的交換機。MLT交換機會別與這兩上SMLT交換機連接，因此，SMLT在增加帶寬的同時，可以提供最高級別的可靠性—交換機級別的可靠性。兩個SMLT交換機不論是端口失效還是端口模板失效，甚至是交換機失效都不會影響數(shù)據(jù)的正常傳輸，避免了單點失效對網(wǎng)絡(luò)正常連通帶來的影響。同時，傳輸負載由兩個交換機來均衡完成，可以大幅度提高網(wǎng)絡(luò)主干的傳輸性能。SMLT體系結(jié)構(gòu)由SMLT Aggregation Switch、IST（Inter Switch Trunk）和SMLT Client構(gòu)成，其結(jié)構(gòu)圖如下：在沒有使用SMLT的情況下啟動虛擬路由冗余協(xié)議（VRRP），通常只有主交換機進行數(shù)據(jù)包的轉(zhuǎn)發(fā)，如果主交換機出了故障，備用交換機什么樣自動頂替主交換機，完成數(shù)據(jù)包的轉(zhuǎn)發(fā)工具；使用SMLT，使得VRRP的性能得到擴展，除了主交換機進行數(shù)據(jù)包的轉(zhuǎn)發(fā)外，備用交換機也進行數(shù)據(jù)包的轉(zhuǎn)發(fā)，主交換機和備用交換機互為備份并互相偵聽，這樣即可以實現(xiàn)流量的負載均衡，也可以實現(xiàn)故障恢復(fù)，避免單點失效。為了避免邊沿交換機出現(xiàn)單點換效，我們采用了堆疊技術(shù)，把若干臺BAYSTACK450用堆疊電纜堆疊起來，在堆疊的某些交換機上加裝光纖模塊，由這些光纖端口捆綁成一條邏輯鏈路上聯(lián)到網(wǎng)絡(luò)主干，這樣就算堆疊的某些交換機上損壞了，整個堆疊還可以正常工作。特別地，門診收款處和門診藥房是醫(yī)院的窗口單位，為了避免由于門診樓交換機堆疊中的某臺交換機出現(xiàn)了故障而導(dǎo)致門診收款系統(tǒng)和門診發(fā)藥系統(tǒng)癱瘓，我們把門診收款工作站和門診發(fā)藥站發(fā)散地接到堆疊中的七臺交換機。在防止非法訪問方面，我們采用了密碼管理、權(quán)限設(shè)置、虛擬子網(wǎng)（VLAN）的劃分等措施。服務(wù)器是全院計算機網(wǎng)絡(luò)的大腦和神經(jīng)中樞，保證服務(wù)器可靠長期有效的運行是網(wǎng)絡(luò)信息系統(tǒng)安全的一個特別重要的問題。由于本方案中的應(yīng)用程序是采用安全性較高的三層體系統(tǒng)結(jié)構(gòu)，所以服務(wù)器組包括域控制器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器。域控制我們采用了兩臺穩(wěn)定性較好的IBM xserials 230服務(wù)器，一臺做主域控制器，另一臺做備份域控制器，這樣即可以實現(xiàn)登陸驗證的負載均衡，又可以避免域控制器的單點失效問題。應(yīng)用服務(wù)器部分我們采用了六臺HP 380G3服務(wù)器和一臺F5 BIGIP5000控制器。BIGIP控制器是針對企業(yè)本網(wǎng)站或數(shù)據(jù)中心的一種產(chǎn)品。它能夠提供高可用性和智能負載平衡功能。六臺HP380G3服務(wù)器可以通過F5 BIGIP5000控制器連接到核心交換機PASSPORT 8600,F5 BIGIP5000控制器可以持續(xù)監(jiān)視六臺HP 380G3服務(wù)器，以確保服務(wù)器運行正常，然后再自動將輸入的服務(wù)請求路由到六臺中可用性最高的服務(wù)器。這樣接，只要有一臺HP380G3服務(wù)器不出現(xiàn)故障，中間層應(yīng)用程序便可以正常運行。這樣設(shè)計即可以實現(xiàn)中間層應(yīng)用程序的負載均衡，同時在F5 BIGIP5000控制器不出現(xiàn)故障的前提下，又避免了應(yīng)用服務(wù)器的單點失效問題。數(shù)據(jù)庫服務(wù)器部分我們采用了一臺穩(wěn)定性較高、存儲性能較好的HP DL760 G2服務(wù)器、一臺HP DL580 G2服務(wù)器和一臺HP MSA1000光纖磁盤陣列柜。兩臺服務(wù)器分別通過光纖通道連接到磁盤陣列柜，組成存儲局域網(wǎng)（SAN）。本方案采用了微軟的群集技術(shù)，實現(xiàn)了Active/Passive雙機熱備份模式，HP DL760 G2做主數(shù)據(jù)庫服務(wù)器，HP DL580 G2做備份數(shù)據(jù)庫服務(wù)器，在主服務(wù)器發(fā)生故障的情況下，備份服務(wù)器將自動在30秒內(nèi)將所有服務(wù)接管過來，從而保證了數(shù)據(jù)庫服務(wù)器的正常運行。在磁盤陣列柜，我們安裝了5塊146G的scsi服務(wù)器硬盤，其中4塊硬盤做RAID5，一塊硬盤做Hot spare，這樣可以保證陣列柜在兩塊硬盤發(fā)生故障時，系統(tǒng)還可以正常運行。由于醫(yī)院許多大型診療議器設(shè)備啟動時有瞬間高壓、高磁場等，會對計算機產(chǎn)生影響因此我們要求院方做到中心機房的電源專線專供，我們通過設(shè)置VLAN和要求院方安裝網(wǎng)絡(luò)版殺毒軟件來防范病毒。數(shù)據(jù)安全我們采用數(shù)據(jù)備份來保證數(shù)據(jù)安全。本方案我們采用冗余備份策略。 Backup Exec 。Veritas Backup Exec能為跨網(wǎng)絡(luò)的服務(wù)器和工作站提供快速可靠的備份和恢復(fù)能力。我們利用Veritas Backup Exec的作業(yè)管理功能設(shè)置備份定時任務(wù)，每天進行一次數(shù)據(jù)庫數(shù)據(jù)完全備份，每三個月進行一次系統(tǒng)的災(zāi)難備份。災(zāi)難備份能在數(shù)據(jù)庫服務(wù)器崩潰時，避免重裝系統(tǒng)，利用最新的數(shù)據(jù)備份使系統(tǒng)盡快憂愁到運行狀態(tài)。 SQL SERVER 2000自身的備份功能，每天定時自動地進行一次數(shù)據(jù)完全備份，備份數(shù)據(jù)存放到另一臺數(shù)據(jù)備份服務(wù)器HP ML570中，同時在HP ML570中設(shè)置一定時任務(wù)，對每天的備份數(shù)據(jù)進行一次完整性檢查，這樣可以保證備份數(shù)據(jù)是完整、可用的。通過數(shù)據(jù)備份，能使醫(yī)院在破壞數(shù)據(jù)的災(zāi)難事件中造成的損失降到最低。計算機網(wǎng)絡(luò)安全是一個系統(tǒng)工程，除了采用保障網(wǎng)絡(luò)安全的技術(shù)外，還要加強安全教育和制度管理，因此我們強烈要求院方重視對各級計算機操作人員進行計算機網(wǎng)絡(luò)安全的教育，并制定較為完善的計算機網(wǎng)絡(luò)管理制度，如嚴禁非操作人員使用電腦；計算機中心指定專職系統(tǒng)管理員掌握服務(wù)器密碼，每次更新或升級計算機軟件必須有兩人同時在場，并做好記錄等。在整個項目方案中，我們用于保障計算機網(wǎng)絡(luò)系統(tǒng)安全的措施主要是設(shè)備的冗余、鏈路的冗余。采用冗余的措施，除了可以避免單點失效問題，還可以增加網(wǎng)絡(luò)帶寬和實現(xiàn)業(yè)務(wù)流量的負載均衡。因此保障計算機網(wǎng)絡(luò)的安全性不僅可以保證網(wǎng)絡(luò)服務(wù)的持續(xù)不中斷，還可以更好地提高網(wǎng)絡(luò)服務(wù)效率。在整個項目完成至今一年，從系統(tǒng)運行的情況來看，整個方案是合理的，高可靠性的，院方也感到滿意。當(dāng)然，方案中也有不足的地方，如F5 BIGIP5000控制器存在單點失效問題；隨著院方的網(wǎng)上掛號等業(yè)務(wù)的開展，本方案中沒有考慮到內(nèi)網(wǎng)與公眾網(wǎng)相連的安全措施等。長春經(jīng)濟技術(shù)開發(fā)區(qū)的網(wǎng)絡(luò)安全建設(shè)一、系統(tǒng)安全目標保證電子政務(wù)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的信息傳輸、信息存儲是安全的、保密的，確保電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全、可靠、平穩(wěn)地運行，我們要實現(xiàn)如下系統(tǒng)安全目標：1．建成開發(fā)區(qū)完整的網(wǎng)絡(luò)安全體系，并建立一套可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略； 2．采用防火墻系統(tǒng)對開發(fā)區(qū)電子政務(wù)內(nèi)、外網(wǎng)絡(luò)進行安全訪問控制；3．通過網(wǎng)絡(luò)監(jiān)控系統(tǒng)，全面監(jiān)視和跟蹤進、出網(wǎng)絡(luò)的所有訪問行為，發(fā)現(xiàn)不安全的操作和黑客攻擊行為，及時告警和拒絕；4．建設(shè)網(wǎng)絡(luò)定期安全掃描系統(tǒng)，檢測網(wǎng)絡(luò)安全漏洞，及時了解和掌握計算機當(dāng)前或近期使用情況，減少被黑客利用的不安全因素；5．建立病毒防范體系，防止網(wǎng)絡(luò)系統(tǒng)被病毒的侵害；6．通過 CA 認證和 PKI 數(shù)據(jù)加密技術(shù)進行用戶身份識別，為電子政務(wù)系統(tǒng)提供安全保障；7．對內(nèi)、外網(wǎng)絡(luò)的信息發(fā)布平臺 WEB 進行保護，防止網(wǎng)站網(wǎng)頁被非法人員篡改，為領(lǐng)導(dǎo)決策提供安全的文件傳輸服務(wù)；8．利用安全評估系統(tǒng)進行系統(tǒng)審計、敏感信息檢查，確保電子政務(wù)信息的安全；9．進行重要數(shù)據(jù)庫系統(tǒng)的冗余備份，以備不測或災(zāi)難時快速恢復(fù)網(wǎng)絡(luò)系統(tǒng)。二、實施方案物理安全體系物理安全是整個系統(tǒng)安全的前提，是保護設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導(dǎo)致的破壞的過程。具體實施方案包括機房、通訊線路、物理隔離卡、設(shè)備和電源的安全措施。（1）機房環(huán)境安全接地系統(tǒng)：對政務(wù)中心所在的開發(fā)大廈內(nèi)所有計算機和各種地線系統(tǒng)采用統(tǒng)一的防雷處理，即建筑物內(nèi)共地系統(tǒng)，保證設(shè)備安全，并能防止電磁信息泄漏。防雷措施：開發(fā)區(qū)在樓頂安裝了避雷設(shè)施，即在主機房外部安裝了接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。機房內(nèi)部采取屏蔽、合理布線、過電壓保護等技術(shù)措施，以此達到防雷的目的。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。（2）通信線路安全主要是對電源線和信號線采取加裝性能良好的濾波器功能，減小阻抗和導(dǎo)線間的交叉耦合，阻止傳導(dǎo)發(fā)射。對機房水管、暖氣管、金屬門采用各種電磁屏蔽措施，阻止輻射發(fā)生。物理隔離卡物理隔離卡系統(tǒng)從安全的角度出發(fā)，提供了一種安全的用戶訪問機制，終端用戶可以在多網(wǎng)物理隔離的條件下安全自由地訪問其中任意一個網(wǎng)絡(luò)。為如何解決開發(fā)區(qū)管委會領(lǐng)導(dǎo)班子、機關(guān)處室、企事業(yè)、駐區(qū)單位等既要接入電子政務(wù)內(nèi)網(wǎng)又要接入電子政務(wù)外網(wǎng)的實際需求提供了一套經(jīng)濟、高效、安全的解決方案。根據(jù)開發(fā)區(qū)各部門接入的政務(wù)網(wǎng)絡(luò)類別和數(shù)量，選擇雙網(wǎng)線隔離卡來實現(xiàn)相關(guān)功能設(shè)計。4．設(shè)備、電源安全主要是加強對網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備的使用管理，強調(diào)堅持做好硬件設(shè)備（如交換機、路由器、主機、顯示器等）的日常維護和保養(yǎng)工作，定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常。電源系統(tǒng)電壓的波動、浪涌電流和突然斷電等意外情況的發(fā)生可能引起計算機系統(tǒng)存儲信息的丟失、存儲設(shè)備的損壞等情況的發(fā)生，必須依照國家的相關(guān)標準配備。防火墻將防火墻部署在路由器與受保護的內(nèi)部網(wǎng)絡(luò)之間，作為數(shù)據(jù)包進/出的唯一通道。過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進、出網(wǎng)絡(luò)的訪問行為，封堵某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動，對網(wǎng)絡(luò)攻擊進行檢測和告警。同時，通過設(shè)置 DMZ（Demilitarized Zone）實現(xiàn)政府對外網(wǎng)站及信箱與外部暢通的訪問。它具體適用范圍包括：長春經(jīng)濟技術(shù)開發(fā)區(qū)電子政務(wù)門戶網(wǎng)站的出入口處；長春經(jīng)濟技術(shù)開發(fā)區(qū)