某大型机构信息系统安全规划解决方案文档格式.docx
《某大型机构信息系统安全规划解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《某大型机构信息系统安全规划解决方案文档格式.docx(66页珍藏版)》请在冰点文库上搜索。
(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)的有关指导意见,北医系统安全保护等级原则上不低于第二级。
附:
监督管理办法
第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。
必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
(三) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
3.2安全域划分
对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。
安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。
在网络划分时主要分为外网、内网和DMZ区。
用友应用服务器放置在DMZ,可以允许外网和内网的访问,数据库系统放置在内部网与应用服务器通过专用交换机通讯。
这样可以实现不同安全等级的安全域分开管理互不影响。
3.3边界安全防护
网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。
实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。
一方面,在安全事件发生前,通过收集并分析安全日志以及各种入侵检测事件,能够及早发现攻击企图;
另一方面,在安全事件发生后,又可以通过所记录的入侵事件来进行审计追踪。
在安全域之间设置的防火墙和端口绑定和VLAN划分可以最大限度的防止IP欺骗或饱和攻击等流行的网络入侵和攻击。
3.4身份鉴别
对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,并应当遵循《卫生系统数字证书应用集成规范》进行建设,根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。
3.5传输数据加密
为了防止数据监听导致的信息外泄。
UAP在客户端-应用服务器-数据库服务器采取了全程数据加密策略,即使有人非法获取了中间的通讯数据流,因为数据已经加密,也无法得知数据的实际含义。
3.6服务器容错
数据库服务器建议采用ORACLE的RAC组件构建数据库集群,WEB应用服务器采用IBMWebSphereAppServer网络版,并采用集群架构。
基于集群的架构,所有服务器中如果一台主机宕机,另外一台主机仍然正常工作。
并且服务器及网络部署中,所有关键部位都为冗余设计,如存储、服务器电源都可以采用双电源方案,网卡可以通过AFT技术实现冗余切换。
3.7备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
数据是最重要的系统资源。
数据丢失将会使系统无法连续正常工作。
数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足系统不间断运行的需要。
数据库备份将综合采用冷备份和热备份相结合,可以支持医疗系统7*24不间断运行。
即使发生自然灾害或人为误操作行为,也可以快速还原保证系统连续运行
3.8日志审计
系统运行期通过NMC可以对系统运行日志进行安全审计,定期提供审计报告。
通过审计报告可以清晰的了解系统运行的状态,如果发现流量或访问数异常时可以分析该时间区间的日志,确定导致异常的原因。
4系统集成方案
针对北医数据安全的考虑,采用集中式部署,中心数据服务器和内外网应用服务器都采用集群方式部署,配置磁带库进行数据备份,集群系统可以保证系统的稳定和数据的安全。
公司所有用户都通过浏览器方式(WEBSERVER)基于B/S架构访问公司应用服务器及数据服务器,操作使用该系统。
公司内外网分离,内部网络部署数据库服务器和应用服务器。
多级防火墙可以有效屏蔽网络渗透和网络攻击,监控服务器和证书服务器主要负责日志审计和证书确认。
图:
北医系统网络部署简图
****************************************************************
建议本次开发项目数据库主机应用AIX平台,从而提供系统的可靠性和稳定性的同时对用户的投资予以最大保护。
建议所有应用服务器主机采用WINDOWS平台,业务系统中间件软件采用IBMWebSphereAppServer中间件。
根据北医的性能与可靠性要求,需满足7*24小时无故障的运行,建议通过F5的负载均衡设备实现应用系统的集群(或者通过IBMWebSphereAppServer自带集群分发器实现应用请求负载)。
核心数据库系统建议采用ORACLE,如果采用ORACLE建议以共享存储方式运行ORACLE的RAC组件,能大大提高数据的高可靠性和高负载能力,数据库服务器还高速通过8G光纤以LANFREE方式接入SAN存储。
具体部署如下
4.1?
总体架构设计
在本项目中采用企业架构的设计方法论。
针对北医系统设计的业务系统架构如下图所示:
·
网络架构:
通过F5系统实现对外链路负载及对内的应用负载。
应用架构:
应用架构用于实现对业务架构的支持,包括应用服务器集群及查询应用服务器集群的2套WAS集群。
数据库架构:
在不同的行业,数据库都越来越变得重要。
本方案采用业务数据库与查询业务数据分离方式,在内网建设2套RAC集群Oracle数据库。
服务器架构:
在本方案中核心服务器为2台数据库服务器,推荐使用IBMP750,通过PowerHA及Oracle集群方式为应用提供服务。
为保证业务的查询性能利用现有2台HP小型机搭建查询数据库集群。
2套数据库集群通过用友AE方式软件同步2套数据库中数据。
存储区域网络:
本项目为北医系统搭建一套核心的SAN网络,利用2台SAN交换机连接4台数据库服务器与磁盘阵列。
核心数据库系统使用EMCCX480存储,查询数据库使用现有HPEVA4400存储设备。
网络架构、应用架构、数据库架构、服务器架构和存储区域网络是从上到下的关系,上层架构决定了下一层架构的需求,下一层架构用于实现上一层架构的目标。
在本次规划设计中,采用先进的设计方法论指导项目的设计和实施。
北医硬件集成方案的主要任务是支持公司新的北医系统,必须与业务发展战略和业务目标紧密挂钩,因此在制定北医集成方案总体规划时,会对北医业务需求、现有IT基础架构现状、支持业务能力以及IT技术和服务提供商的业务发展趋势等因素做综合的考虑,以保障现有IT投资,促进未来IT环境的扩展,平衡功能、性能和成本,保证本次搭建的业务平台能够长期有效的支持业务的发展。
4.2?
集成配置明细
编号
名称
配置需求
数量
1
数据库服务器
IBMP750POWER73.0主频16CORE,128G内存,300G*2硬盘,4块8GFC卡,AIX6.164位
2
应用服务器
IBMx3850X54CPU(6核),主频Xeon2.66GH,48GB内存,硬盘空间2´
300GB做RAID1、双电源,2块千兆网卡、2块原厂8GB的HBA卡
3
查询应用服务器
IBMx3650M34CPU(6核),主频Xeon2.66GH,48GB内存,硬盘空间2´
4
备份服务器
IBMx36502CPU(4核),主频Xeon2.26GH,8GB内存,硬盘空间2´
300GB做RAID1,8GFC卡1块、双电源,2块千兆网卡、2块原厂8GB的HBA卡
5
F5负载均衡设备
支持IBMWebSphereAppServe负载和INTERNET多链路负载和接入(含F5-BIG-LTM-1600-4G-R、F5-ADD-BIG-LC、含RamCache)CPU双核,160G硬盘、内存4G、4个10/100/1000电口2个光口及相应的SFP模块
6
ORACLE数据库
ORACLEEnterpriseEdition11.1.0.6以上64位版本,需RAC组件
1CPUDB+1CPURAC
7
用友AE
2CPU配置
8
应用中间件(WAS)
IBMWebSphereAppServer6.1网络(集群)版FORWINDOWS64位需要部署2套,目前每套只按一台主机1CPU报价。
9
应用、备份服务器操作系统
RedHatEnterpriseLinuxAS,Version5withUpdate1forx64
10
查询服务器HBA卡
HP下用的HBA卡(根据系统采用的操作系统版本决定型号)
4.3?
主机部署方案
4.3.1安装场地环境(包括电源、UPS、线路、线缆等)
需经厂商工程师确认,现有环境
机柜位置图
注:
以下为示意图,具体位置需现场确定
4.3.2主机系统设备连接图
(需设备方案确定)
4.3.3软体配置安装配置
AIX安装配置,以及主机系统规划
4.3.3.1主机设备/分区命名方式
命名方式:
主功能_〔机器序号(A-Z)+序号(0-10)〕_子功能
主功能:
数据库系统,暂定:
DB
子功能:
DB、TEST
4.3.3.2服务器列表
标准名称
缩写名称
用途
ZJS北医_P750_DB1
北医_DB1
生产数据库1
ZJS北医_P750_DB2
北医_DB2
生产数据库2
ZJS北医CX_RX8640_DB1
CX_DB1
查询数据库1
ZJS北医CX_RX8640_DB2
CX_DB2
查询数据库2
ZJS北医_X3850_APP1
北医_APP1
生产应用中间件1
ZJS北医_X3850_APP2
北医_APP2
生产应用中间件2
ZJS北医_X3850_APP3
北医_APP3
生产应用中间件3
ZJS北医CX_X3850_APP1
CX_APP1
查询应用中间件1
ZJS北医CX_X3850_APP2
CX_APP2
查询应用中间件2
ZJS北医_X3650_BAK
北医_BAK
4.3.3.3主机IP地址分配规划
IBMP750(OracleRAC)
主机名
网关
*.*.*.*
IP地址1
子网掩码1
IP地址2
子网掩码2
IP地址3
子网掩码3
浮动IP地址
子网掩码
HPrx8640(OracleRAC)
IBMx3850(IBMWAS6.1ND)
IBMx3650(数据备份)
4.3.3.4Kernel参数
参数名称
Oracle最低设置
SUNAPP设置
KSI_ALLOC_MAX
(NPROC*8)
MAX_THREAD_PROC
256
1024
MAXFILES
MAXDSIZ
1073741824
MAXDSIZ_64
2147483648.
MAXSSIZ
134217728
MAXSSIZ_64BIT
134217728
MAXSWAPCHUNKS
16384
MAXUPRC
((NPROC*9)/10)
MSGMAP
(MSGTQL+2).
MSGMNI
NPROC
MSGSEG
32767
MSGTQL
NPROC
NCALLOUT
(NPROC+16)
2084
NCSIZE
((8*NPROC+2048)+VX_NCSIZE)
NFILE
(15*NPROC+2048)
NFLOCKS
4096
NINODE
(8*NPROC+2048)
NKTHREAD
(((NPROC*7)/4)+16)
3635
4096
2068
SEMMAP
(SEMMNI+2)
SEMMNI
SEMMNS
(SEMMNI*2)
SEMMNU
(NPROC-4)
SEMVMX
32768
SHMMNI
512.
SHMSEG
32
VPS_CEILING
64
4.3.3.5系统包、补丁
系统包、补丁表列表;
4.3.3.6操作系统用户和组定义
功能
用户名
用户id
primarygroup
组id
主目录
Oracle数据库
oracle
600
dba
/oracle
备份软件安装用户
bkup
300
bkusr
/home/bkup
普通用户
genusr
400
genusrs
/home/genusr
4.4?
存储系统设计
4.4.1SAN网络设计
在本次进行SAN架构设计时,我们遵循以下原则,构建一个统一规划的存储网络。
1.按照业务系统进行分级设计
2.具有灵活的扩展能力,需要增加主机时,将主机轻松的连接到这个网络中,并能共享网络中的存储资源;
需要增加存储时,将存储在线地加入到这个网络中,并动态地为应用主机分配磁盘空间
3.充分利用现有设备,保护原有投资
4.保证将来存储网络的扩展性
整个系统将重点考虑安全性、可靠性、高可用性,另外,还考虑到系统的运行性能、高可扩充性、开放性、可维护性、用户操作的简易性以及充分保护用户投资等诸多方面的需求。
4.4.2SAN交换机规划
4.4.2.1SAN网络根据业务系统的规划
建立了统一的SAN网络后需要对网络内部结构统一规划。
在北医系统中,核心数据库服务器连接EMC存储,查询服务器连接EVA存储,同时还需要考虑备份系统设计。
4.4.2.2SAN交换机的安全性设计
通过交换机的Zoning功能,在开放系统、多平台或SAN环境中通过使用WorldWideNames将主机与相应的存储FC端口划分不同的区域,每台主机仅可以通过定义的路径访问事先定义的LUN,达到SAN结构中Zone的安全管理功能和数据保护功能。
分区能够在使用不同操作系统的设备之间建立起屏障。
例如,分离运行不同操作系统的服务器与存储设备通常很重要,因为它们之间信息意外的传输能够删除或破坏数据。
分区可以将使用相同操作系统的设备进行分组,并放到不同的分区,从而防止了这种情况的发生。
在进行分区划分时,建议遵守如下原则:
一个分区只能包含一个服务器链路(服务器HBA的WWN或者对应的交换机端口)和一个存储设备链路(存储设备HBA的WWN或者对应的交换机端口)。
通过光纤交换机分区可以增强SAN的安全性,同时也应该在服务器和存储设备上实施针对SAN的安全措施,比如存储上的LUNMasking。
综上所述,在北医系统中的2台核心SAN网络交换机需要分别建立3个zone隔