某大型机构信息系统安全规划解决方案培训资料

北医信息系统安全规划方案2016-051 概述信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度，更是一项事关国家安全及社会稳定的政治任务。年 月，卫生部发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函号），要求卫生行业"全 面 开 展 信 息 安 全 等 级 保 护 工 作"，同 时 发 布卫生行业信息安全等级保护工作的指导意见（卫办发号），结合卫生行业实际，为规范和指导全国卫生行业信息安全等级保护工作，提供了指导意见。卫生行业实施信息安全等级保护制度工作全面开启。医院信息系统 （）是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。医院信息系统必须按照要求，全面实施信息安全等级保护制度，以确保医院信息系统数据安全。年，国务院发布了中华人民共和国计算机信息系统安全保护条例（国务院 号令），规定"计算机信息系统实行安全等级保护"。年 月，公安部等四部委联合发布关于信息安全等级保护工作的实施意见（公通字号），明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。年 月，信息安全等级保护管理办法（公通字号）正式出台，为开展信息安全等级保护工作提供了规范保障。随后，国家相继出台了计算机信息系统安全保护等级划分准则、信息系统安全保护等级定级指南、信息系统安全保护等级基本要求、信息系统安全等级保护测评要求等多种安全标准实施办法。用友作为整体解决方案提供商，在医院系统架构中我们将以数据安全作为方案重点根据国家标准并结合当前成熟的软硬件技术进行系统软件、硬件设计及架构，如果选择用友提供整体解决方案，医院管理系统可以实现最好的应用效果和最大的经济效益。2 总体设计目标系统具有较强的伸缩性和可扩展性，不但能够满足目前北医日常信息录入、查询、报表分析等业务操作的需求，而且对今后北医业务增加或访问量增大也具有良好的扩展性，实现业务和系统性能的线性增长。功能、性能满足需求的同时，数据安全是我们关注的重点方面，通过安全域划分、边界安全防护、身份鉴别、服务器容错和备份恢复等手段，用友信息系统可以多角度全方位的保证医疗信息系统的数据安全。3 安全总体实现目标3.1 安全定级医疗信息系统的准确定级十分关键，如果信息系统的定级不科学，那么依据定级结果建设的信息安全体系将事与愿违，甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。信息系统安全保护等级：（一）第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。（二）第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。（三）第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。（四）第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。（五）第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。卫生部卫生行业信息安全等级保护工作的指导意见（卫办发号）的有关指导意见，北医系统安全保护等级原则上不低于第二级。附：监督管理办法第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。（一）第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。（二）第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。（三）第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。（四）第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。（五）第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。3.2 安全域划分对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。在网络划分时主要分为外网、内网和DMZ区。用友应用服务器放置在DMZ，可以允许外网和内网的访问，数据库系统放置在内部网与应用服务器通过专用交换机通讯。这样可以实现不同安全等级的安全域分开管理互不影响。3.3 边界安全防护网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施，既可以使边界内部免遭外部攻击，也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面，在安全事件发生前，通过收集并分析安全日志以及各种入侵检测事件，能够及早发现攻击企图；另一方面，在安全事件发生后，又可以通过所记录的入侵事件来进行审计追踪。在安全域之间设置的防火墙和端口绑定和VLAN划分可以最大限度的防止IP欺骗或饱和攻击等流行的网络入侵和攻击。3.4 身份鉴别对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求，采用电子认证服务，并应当遵循卫生系统数字证书应用集成规范进行建设，根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。3.5 传输数据加密 为了防止数据监听导致的信息外泄。UAP在客户端-应用服务器-数据库服务器采取了全程数据加密策略，即使有人非法获取了中间的通讯数据流，因为数据已经加密，也无法得知数据的实际含义。3.6 服务器容错数据库服务器建议采用ORACLE的RAC组件构建数据库集群，WEB应用服务器采用IBM WebSphere App Server网络版，并采用集群架构。基于集群的架构，所有服务器中如果一台主机宕机，另外一台主机仍然正常工作。并且服务器及网络部署中，所有关键部位都为冗余设计，如存储、服务器电源都可以采用双电源方案，网卡可以通过AFT技术实现冗余切换。3.7 备份与恢复备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足系统不间断运行的需要。数据库备份将综合采用冷备份和热备份相结合，可以支持医疗系统7*24不间断运行。即使发生自然灾害或人为误操作行为，也可以快速还原保证系统连续运行3.8 日志审计系统运行期通过NMC可以对系统运行日志进行安全审计，定期提供审计报告。通过审计报告可以清晰的了解系统运行的状态，如果发现流量或访问数异常时可以分析该时间区间的日志，确定导致异常的原因。4 系统集成方案针对北医数据安全的考虑，采用集中式部署，中心数据服务器和内外网应用服务器都采用集群方式部署，配置磁带库进行数据备份，集群系统可以保证系统的稳定和数据的安全。公司所有用户都通过浏览器方式（WEB SERVER）基于B/S架构访问公司应用服务器及数据服务器，操作使用该系统。公司内外网分离，内部网络部署数据库服务器和应用服务器。多级防火墙可以有效屏蔽网络渗透和网络攻击，监控服务器和证书服务器主要负责日志审计和证书确认。图：北医系统网络部署简图*建议本次开发项目数据库主机应用AIX平台，从而提供系统的可靠性和稳定性的同时对用户的投资予以最大保护。建议所有应用服务器主机采用WINDOWS平台，业务系统中间件软件采用IBM WebSphere App Server中间件。根据北医的性能与可靠性要求，需满足7*24小时无故障的运行，建议通过F5的负载均衡设备实现应用系统的集群（或者通过IBM WebSphere App Server自带集群分发器实现应用请求负载）。核心数据库系统建议采用ORACLE，如果采用ORACLE建议以共享存储方式运行ORACLE的RAC组件，能大大提高数据的高可靠性和高负载能力，数据库服务器还高速通过8G光纤以LANFREE方式接入SAN存储。具体部署如下4.1 ？总体架构设计在本项目中采用企业架构的设计方法论。针对北医系统设计的业务系统架构如下图所示：· 网络架构：通过F5系统实现对外链路负载及对内的应用负载。· 应用架构：应用架构用于实现对业务架构的支持，包括应用服务器集群及查询应用服务器集群的2套WAS集群。· 数据库架构：在不同的行业，数据库都越来越变得重要。本方案采用业务数据库与查询业务数据分离方式，在内网建设2套RAC集群Oracle数据库。· 服务器架构：在本方案中核心服务器为2台数据库服务器，推荐使用IBM P750，通过PowerHA及Oracle 集群方式为应用提供服务。为保证业务的查询性能利用现有2台HP小型机搭建查询数据库集群。2套数据库集群通过用友AE方式软件同步2套数据库中数据。· 存储区域网络：本项目为北医系统搭建一套核心的SAN网络，利用2台SAN交换机连接4台数据库服务器与磁盘阵列。核心数据库系统使用EMC CX480存储，查询数据库使用现有HP EVA4400存储设备。网络架构、应用架构、数据库架构、服务器架构和存储区域网络是从上到下的关系，上层架构决定了下一层架构的需求，下一层架构用于实现上一层架构的目标。在本次规划设计中，采用先进的设计方法论指导项目的设计和实施。北医硬件集成方案的主要任务是支持公司新的北医系统，必须与业务发展战略和业务目标紧密挂钩，因此在制定北医集成方案总体规划时，会对北医业务需求、现有IT基础架构现状、支持业务能力以及IT技术和服务提供商的业务发展趋势等因素做综合的考虑，以保障现有IT投资，促进未来IT环境的扩展，平衡功能、性能和成本，保证本次搭建的业务平台能够长期有效的支持业务的发展。4.2 ？集成配置明细编号名称配置需求数量1数据库服务器IBM P750 POWER7 3.0主频 16CORE,128G内存，300G*2硬盘，4块8G FC卡,AIX6.1 64位22应用服务器IBM x3850 X5 4CPU（6核），主频Xeon2.66 GH，48GB内存，硬盘空间2´300GB 做RAID1、双电源，2块千兆网卡、2块原厂8GB的HBA