【正文】 工輸入數(shù)據(jù)，以及商業(yè)銀行等外部網(wǎng)絡數(shù)據(jù)，因此系統(tǒng)與其他系統(tǒng)連接多，從其他系統(tǒng)得到的數(shù)據(jù)量也多，所以網(wǎng)絡的安全威脅還表現(xiàn)為病毒傳播、黑客攻擊、IP地址仿冒、信息泄露等。 網(wǎng)絡安全風險在內(nèi)部網(wǎng)絡，主要是指內(nèi)部人員通過內(nèi)部的局域網(wǎng)環(huán)境，非法訪問主機系統(tǒng)和業(yè)務應用系統(tǒng)引起的信息數(shù)據(jù)泄密、系統(tǒng)破壞等風險。 可控性可以控制授權范圍內(nèi)的信息流向及行為方式?？蓪彶樾允姑總€授權用戶的活動都是唯一標識和受監(jiān)控的，對其操作內(nèi)容進行跟蹤和審計。機密性確保信息不暴露給未授權的實體或進程，系統(tǒng)應該對用戶采用權限管理，防止信息的不當泄漏。系統(tǒng)效率與安全性平衡原則：由于安全程度與效率成反比，在設計安全系統(tǒng)時，應盡可能地兼顧系統(tǒng)效率的需求。最小開放原則：先禁止所有服務，只有限開放需要使用服務。公認原則：參考當前在基本相同的條件下通用的安全防護措施，據(jù)此作出適合本系統(tǒng)的選擇，系統(tǒng)所采用的產(chǎn)品是成熟、可靠的，系統(tǒng)能安全、穩(wěn)定地運行。長遠安全預期原則：對安全需求要有總體設計和長遠打算，包括為安全設置一些可能近不會用到的潛在功能。用友的設計符合信息安全等級的要求，同時配合合理的安全管理制度和機房建設要求，完全可以達到信息安全等級保護3級的要求。 進入was安裝程序所在目錄was6100，雙擊install安裝was 安裝IHS（節(jié)點ibm）在應用服務器1上安裝IHS及Plugins。4) 將WAS、UAP安裝到ufida_software目錄下面； 5) 應用服務器節(jié)點ibm安裝WAS 上傳解壓縮工具操作系統(tǒng)是32位的，將32位的解壓縮軟件winrarx32392b1 上傳到各個服務器節(jié)點。部署示例過程如下： 系統(tǒng)準備環(huán)境安裝在應用節(jié)點ibm（主機名為ibm）執(zhí)行下面的操作應用節(jié)點ibm ：1) 查看系統(tǒng)配置進入打開 hosts文件，并編輯 localhost ibm保證各節(jié)點相互ping IP地址和主機名可以通；2) 設置時區(qū)3) 安裝環(huán)境其他準備應用服務器是不保存任何業(yè)務數(shù)據(jù)的。$ nohup /usr/sbin/pfsd amp。 建議采用Oracle RAC方式，提高數(shù)據(jù)庫系統(tǒng)的高可用性，盡量避免采用Oracle單機的部署方式，減少單點故障。 應用系統(tǒng)部署 數(shù)據(jù)庫部署方案根據(jù)北醫(yī)項目需求，需要建立Oracle數(shù)據(jù)庫，通過對北醫(yī)現(xiàn)有業(yè)務系統(tǒng)分析可以看出目前業(yè)務分為主業(yè)務系統(tǒng)和查詢業(yè)務系統(tǒng)。導出產(chǎn)生的數(shù)據(jù)文件可以保存在一個合適的位置。首先需要將執(zhí)行的命令寫入到一個shell文件，每二步使用需要為UNIX的cron命令配置相應的命令，這些命令可以放在一個ASCII文件內(nèi)，如crontab，在該文件內(nèi)是相應的備份時間和命令，然后用cron設定定時導出作業(yè)。每周作一次完全備份，其余每天在類似時間內(nèi)作一次差分增量備份。完全備份與差分備份的時間可以設定在數(shù)據(jù)庫業(yè)務量較少的時間內(nèi)進行。方案建議每周作一次完全備份，保存周期為一個月，將每月未的完全備份進行保存，周期為一年（可以更長）；每天作一次增量備份，保存周期為一個月。全備份 (Full Backup)每次備份定義的所有數(shù)據(jù)，優(yōu)點是恢復快，缺點是備份數(shù)據(jù)量大，數(shù)據(jù)多時可能做一次全備份需很長時間增量備份 (Incremental Backup)增量備份又分為差量備份和累計備份差量備份 (Differential Backup)備份自上一次備份以來更新的所有數(shù)據(jù)，其優(yōu)點是每次備份的數(shù)據(jù)量少，缺點是恢復時需要全備份及多份增量備份累計備份 (Cumulative Backup)備份自上一次全備份以來更新的所有數(shù)據(jù)。方案建議以物理備份為主，同時使用邏輯備份作為輔助備份方式，因為物理備份/恢復速度快。因此這種情況下，在導出時這種損壞將被檢測到，并且導出失敗。如果由于某種原因，磁盤上的數(shù)據(jù)塊被破壞，則物理備份將產(chǎn)生該塊的拷貝，錯誤將影響備份。邏輯備份有時也稱導出，創(chuàng)建數(shù)據(jù)庫對象的邏輯拷貝并存入文件，它實際上利用SQL從對象中讀取數(shù)據(jù)并將其存入文件，導入工具利用該文件恢復這些特定數(shù)據(jù)庫對象到數(shù)據(jù)庫中。通?？梢詫蝹€的數(shù)據(jù)文件或整個數(shù)據(jù)庫進行備份。從備份內(nèi)容的方式劃分，數(shù)據(jù)庫備份又分為物理與邏輯備份兩種。對于7X24的數(shù)據(jù)庫只能進行在線備份。冷備份進行時實際是將數(shù)據(jù)庫的相關文件作為文件系統(tǒng)的一部分進行備份，但仍將與普通的文件系統(tǒng)備份不同，它需要數(shù)據(jù)庫備份代理和數(shù)據(jù)庫系統(tǒng)的支持。3) 數(shù)據(jù)庫的備份/恢復方案數(shù)據(jù)庫備份方式從應用角度劃分，數(shù)據(jù)庫備份分為脫機與在線備份兩種方式。l 每月將數(shù)據(jù)庫完整備份拷貝到磁帶上中永久存儲。 備份策略設計1) 數(shù)據(jù)庫備份：l 每小時進行數(shù)據(jù)庫差異備份，采用自動化的RMAN差異備份，無誤備份完成后，刪除1天前的差異備份，保留1天內(nèi)的增量備份。在本項目中，對于大容量的數(shù)據(jù)庫數(shù)據(jù)，可采用LANfree的備份方式，并且配置相應的license。在NAS架構(gòu)中，情形十分類似，磁帶庫直接連接在NAS文件服務器上，備份服務器通過一種稱為NDMP的協(xié)議，指揮NAS文件服務器將數(shù)據(jù)備份到磁帶庫中。備份服務器相應用服務器發(fā)送指令和信息，指揮應用服務器將數(shù)據(jù)直接從磁盤陣列中備份到磁帶庫中。所謂LAN Free Backup顧名思義，就是指釋放網(wǎng)絡資源的數(shù)據(jù)備份方式。由于備份軟件的平臺無關特性，磁帶上的數(shù)據(jù)可以通過臨時的備份服務器完成數(shù)據(jù)的恢復和系統(tǒng)的重建，增強系統(tǒng)的安全性。而磁帶上的數(shù)據(jù)由于存放狀態(tài)是離線（Offline），所以能夠提供更高的安全性，如當系統(tǒng)受到病毒攻擊時，不會影響到磁帶上的數(shù)據(jù)。第二種方式，利用自動智能磁帶庫，完成海量數(shù)據(jù)的存儲備份。第一種方式，采用虛擬磁帶庫技術，做磁盤到磁盤（Disk to Disk）的備份，保證核心數(shù)據(jù)的吞吐效率，縮短備份時間窗?？赏ㄟ^SAN進行LANFree的備份和恢復，或者通過IP網(wǎng)絡進行數(shù)據(jù)的恢復，可通過相應的軟件功能，實現(xiàn)整個操作系統(tǒng)和應用系統(tǒng)的全恢復或備份恢復。當出現(xiàn)數(shù)據(jù)庫數(shù)據(jù)丟失或數(shù)據(jù)庫故障時，通過SAN網(wǎng)絡或IP網(wǎng)絡，可實現(xiàn)數(shù)據(jù)庫的完全恢復和部份恢復，從而保證數(shù)據(jù)的安全性。生產(chǎn)主機的數(shù)據(jù)備份通過兩種方式進行。安裝備份服務器，集中管理數(shù)據(jù)的備份和恢復。 備份系統(tǒng)設計 備份系統(tǒng)北醫(yī)系統(tǒng)需要對數(shù)據(jù)庫與應用系統(tǒng)進行備份。因而，核心存儲要求高的性能，高穩(wěn)定性，以保證業(yè)務系統(tǒng)的快速處理。在北醫(yī)系統(tǒng)中我們分別為核心數(shù)據(jù)庫和查詢數(shù)據(jù)建設2套存儲系統(tǒng)，其中核心數(shù)據(jù)庫服務器連接核心存儲設備，查詢數(shù)據(jù)庫利用現(xiàn)有存儲設備。第一個zone包含2臺P750服務器與EMC存儲，第二個zone為查詢服務器與EVA存儲，第三個zone為服務器備份zone，需要連接服務器與磁帶庫。通過光纖交換機分區(qū)可以增強SAN的安全性，同時也應該在服務器和存儲設備上實施針對SAN的安全措施，比如存儲上的LUN Masking。分區(qū)可以將使用相同操作系統(tǒng)的設備進行分組，并放到不同的分區(qū)，從而防止了這種情況的發(fā)生。分區(qū)能夠在使用不同操作系統(tǒng)的設備之間建立起屏障。在北醫(yī)系統(tǒng)中，核心數(shù)據(jù)庫服務器連接EMC存儲，查詢服務器連接EVA存儲，同時還需要考慮備份系統(tǒng)設計。1. 按照業(yè)務系統(tǒng)進行分級設計2. 具有靈活的擴展能力，需要增加主機時，將主機輕松的連接到這個網(wǎng)絡中，并能共享網(wǎng)絡中的存儲資源；需要增加存儲時，將存儲在線地加入到這個網(wǎng)絡中，并動態(tài)地為應用主機分配磁盤空間3. 充分利用現(xiàn)有設備，保護原有投資4. 保證將來存儲網(wǎng)絡的擴展性整個系統(tǒng)將重點考慮安全性、可靠性、高可用性，另外，還考慮到系統(tǒng)的運行性能、高可擴充性、開放性、可維護性、用戶操作的簡易性以及充分保護用戶投資等諸多方面的需求。 主功能： 數(shù)據(jù)庫系統(tǒng)，暫定：DB 機柜位置圖注：以下為示意圖，具體位置需現(xiàn)場確定 主機系統(tǒng)設備連接圖（需設備方案確定） 軟體配置安裝配置AIX安裝配置，以及主機系統(tǒng)規(guī)劃 主機設備/分區(qū)命名方式29應用、備份服務器操作系統(tǒng) Red Hat Enterprise Linux AS, Version 5 with Update 1 for x64510查詢服務器HBA卡HP下用的HBA卡(根據(jù)系統(tǒng)采用的操作系統(tǒng)版本決定型號)4 ？主機部署方案 安裝場地環(huán)境（包括電源、UPS、線路、線纜等）300GB 做RAID雙電源，2塊千兆網(wǎng)卡、2塊原廠8GB的HBA卡24備份服務器IBM x3650 2CPU（4核），主頻Xeon GH，8GB內(nèi)存，硬盤空間2180。 ？集成配置明細編號名稱配置需求數(shù)量1數(shù)據(jù)庫服務器IBM P750 POWER7 16CORE,128G內(nèi)存，300G*2硬盤，4塊8G FC卡, 64位22應用服務器IBM x3850 X5 4CPU（6核）， GH，48GB內(nèi)存，硬盤空間2180。 在本次規(guī)劃設計中，采用先進的設計方法論指導項目的設計和實施。核心數(shù)據(jù)庫系統(tǒng)使用EMC CX480存儲，查詢數(shù)據(jù)庫使用現(xiàn)有HP EVA4400存儲設備。為保證業(yè)務的查詢性能利用現(xiàn)有2臺HP小型機搭建查詢數(shù)據(jù)庫集群。 數(shù)據(jù)庫架構(gòu)：在不同的行業(yè)，數(shù)據(jù)庫都越來越變得重要。 應用架構(gòu)：應用架構(gòu)用于實現(xiàn)對業(yè)務架構(gòu)的支持，包括應用服務器集群及查詢應用服務器集群的2套WAS集群。 網(wǎng)絡架構(gòu)：通過F5系統(tǒng)實現(xiàn)對外鏈路負載及對內(nèi)的應用負載。具體部署如下 ？總體架構(gòu)設計在本項目中采用企業(yè)架構(gòu)的設計方法論。根據(jù)北醫(yī)的性能與可靠性要求，需滿足7*24小時無故障的運行，建議通過F5的負載均衡設備實現(xiàn)應用系統(tǒng)的集群（或者通過IBM WebSphere App Server自帶集群分發(fā)器實現(xiàn)應用請求負載）。圖：北醫(yī)系統(tǒng)網(wǎng)絡部署簡圖****************************************************************建議本次開發(fā)項目數(shù)據(jù)庫主機應用AIX平臺，從而提供系統(tǒng)的可靠性和穩(wěn)定性的同時對用戶的投資予以最大保護。公司內(nèi)外網(wǎng)分離，內(nèi)部網(wǎng)絡部署數(shù)據(jù)庫服務器和應用服務器。4 系統(tǒng)集成方案針對北醫(yī)數(shù)據(jù)安全的考慮，采用集中式部署，中心數(shù)據(jù)服務器和內(nèi)外網(wǎng)應用服務器都采用集群方式部署，配置磁帶庫進行數(shù)據(jù)備份，集群系統(tǒng)可以保證系統(tǒng)的穩(wěn)定和數(shù)據(jù)的安全。即使發(fā)生自然災害或人為誤操作行為，也可以快速還原保證系統(tǒng)連續(xù)運行 日志審計系統(tǒng)運行期通過NMC可以對系統(tǒng)運行日志進行安全審計，定期提供審計報告。對于核心交換設備、外部接入鏈路以及系統(tǒng)服務器進行雙機、雙線的冗余設計，保障從網(wǎng)絡結(jié)構(gòu)、硬件配置上滿足系統(tǒng)不間斷運行的需要。數(shù)據(jù)丟失將會使系統(tǒng)無法連續(xù)正常工作。 備份與恢復備份與恢復主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復，另外一方面是關鍵網(wǎng)絡設備、線路以及服務器等硬件設備的冗余?；诩旱募軜?gòu)，所有服務器中如果一臺主機宕機，另外一臺主機仍然正常工作。UAP在客戶端應用服務器數(shù)據(jù)庫服務器采取了全程數(shù)據(jù)加密策略，即使有人非法獲取了中間的通訊數(shù)據(jù)流，因為數(shù)據(jù)已經(jīng)加密，也無法得知數(shù)據(jù)的實際含義。 身份鑒別對于三級信息系統(tǒng)應當按照國家法律法規(guī)、信息安全等級保護制度等要求，采用電子認證服務，并應當遵循《衛(wèi)生系統(tǒng)數(shù)字證書應用集成規(guī)范》進行建設，根據(jù)實際需求實現(xiàn)基于數(shù)字證書的身份認證、數(shù)字簽名和驗證、數(shù)據(jù)加密和解密、時間戳應用等各項安全功能。一方面，在安全事件發(fā)生前，通過收集并分析安全日志以及各種入侵檢測事件，能夠及早發(fā)現(xiàn)攻擊企圖；另一方面，在安全事件發(fā)生后，又可以通過所記錄的入侵事件來進行審計追蹤。 邊界安全防護網(wǎng)絡劃分安全區(qū)域后，在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡邊界。用友應用服務器放置在DMZ，可以允許外網(wǎng)和內(nèi)網(wǎng)的訪問，數(shù)據(jù)庫系統(tǒng)放置在內(nèi)部網(wǎng)與應用服務器通過專用交換機通訊。安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡或系統(tǒng)。（五）　第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護，國家指定的專門部門或者專門機構(gòu)對其信息安全等級保護工作進行專門監(jiān)督、檢查。（三）　第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督、檢查。（二）　第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護。附：監(jiān)督管理辦法第五條　信息系統(tǒng)運營、使用單位及個人依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理。（五）　第五級為專控保護級，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。（三）　第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。信息系統(tǒng)安全保護等級：（一）　第一級為自主保護級，適用于一般的信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。功能、性能滿足需求的同時，數(shù)據(jù)安全是我們關注的重點方面，通過安全域劃分、邊界安全防護、身份鑒別、服務器容錯和備份恢復等手段，用友信息系統(tǒng)可以多角度全方位的保證醫(yī)療信息系統(tǒng)的數(shù)據(jù)安全。用友作為整體解決方案提供商，在醫(yī)院系統(tǒng)架構(gòu)中我們將以數(shù)據(jù)安全作為方案重點根據(jù)國家標準并結(jié)合當前成熟的軟硬件技術進行系統(tǒng)軟件、硬件設計及架構(gòu)，如果選擇用友提供整體解決方案，醫(yī)院管理系統(tǒng)可以實現(xiàn)最好的應用效果和最大的經(jīng)濟效益。２００７年 ６月，《信息安全等級保護管理辦法》（公通字［２００７］４３號）正式出