广州市南沙区120急救医疗指挥调度系
统运行维护需求说明
一、系统运行现状
南沙区120急救医疗指挥调度系统的供应商对设备的保修期是2014年起至2016年底。期间总体运行稳定,确保了院前急救指挥工作顺利进行,但客观上也存在部分设备老化,部分软件不完善情况,因此需要有120系统维护能力的专业公司运行维护,才能保证系统的长期稳定运行。
二、需求分析
120急救指挥调度系统的特点是必须保证系统7*24小时长时间不间断的运行,一定要有一套完整的维护体系及专业的维护技术人员24小时待命,在出现系统故障的情况下,立刻有应对的备用方案进行替代,保证120急救指挥调度系统的基础业务一分钟都不能中断,并且第一时间马上有专业的技术人员进行故障检查,在最短的时间内恢复系统的正常运行,实现长期稳定可靠的运行。
三、120指挥调度系统硬件设备总体清单 电话调度机1台 服务器5台 录音台1台 KVM视频切换1台
指挥中心电脑8套 投影机3台
UPS 不间断电源1套 指挥中心的视频监控系统1套 13家医院的视频监控13套
13家医院的120系统GPS处警终端13套 四、120指挥调度系统软件清单 电话调度机软件1套 120业务服务器软件1套 120GPS业务服务器软件1套 120数据库软件1套
120网络通信服务器软件1套 120联网服务器1套 120受理台软件5套 120地图台软件5套 医院远程处警台软件13套 LED控制软件2套 视频监控软件1套 五、运行维护具体要求 (一)硬件设备维护: 1、服务器安全维护
网络连接是通过开放的应用端口来实现的,尽可能少地
开放端口,就会大大减少了攻击者成功的机会。关闭掉不会用到的服务。telnet使用更为安全的ssh来代替。下载端口扫描程序扫描系统,如果发现有未知的开放端口,马上找到正使用它的进程,从而判断是否关闭。
Windows主机可采用定义安全策略的方法关闭隐患端口;也可采用筛选tcp端口添加允许的端口,其余端口就被自动排除。
Linux主机可检查inetd.conf文件。在该文件中注释掉那些永不会用到的服务(如:echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。
2、服务器存储维护
将不需要的服务一律去掉,如果服务器运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险;同时可以腾出空间运行必要的服务,既节省资源又能保证服务器安全。
3、服务器路由管理维护
在服务器中,应该严格禁止设置缺省路由,尽量为每一个子网或网段设置一个路由,否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。
4、设备口令管理维护
服务器登陆口令的长度一般不少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免
用英语单词或词组等设置口令,定期更换。
Windows主机可以通过组策略中的密码策略强制使用强密码并要求定期修改,还需要为administrator账号改名。
Linux主机口令的保护涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才有权限访问这2个文件。安装口令过滤工具加npasswd,可检查系统口令是否可经受攻击。
5、网络分区管理维护
潜在的攻击首先就会尝试缓冲区溢出。以缓冲区溢出为类型的安全漏洞是最为常见的一种形式。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。
Windows主机分区格式采用ntfs文件格式,对不同的文件夹设置不同的权限。为防止缓冲区溢出类型的网络攻击,安装相应的溢出漏洞补丁;日志文件放在非系统分区上。
Linux主机可为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,为/home单独分一个区,这样可防止/home目录文件填满根分区,从而就避免了部分针对Linux分区溢出的恶意攻击。
6、服务器网络安全维护
嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。可使用安全的拓扑结构、会话加密、使用静态的ARP地址来防范。
7、服务器日志管理维护
日志文件记录着系统运行情况,攻击者往往在攻击时修改日志文件,来隐藏踪迹;因此需要对日志文件及目录设置严格的访问权限,禁止其他用户的读取和写入权限。
Windows主机开启审核策略,对账户管理、登录事件、 对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事件的成功 失败进行审核,产生日志文件,同时只有系统管理员对日志文件有访问权限。
Linux主机要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件;另外,还可以安装icmp/tcp日志管理程序,如iplogger,来观察那些可疑的多次的连接尝试。
8、服务器、电脑设备病毒安全维护
Windows主机可部署防病毒软件,安装微软基线安全分析器MBSA扫描服务器操作系统漏洞,及时下载server pack和漏洞补丁。部署主机IDS(入侵检测系统);如免费的轻量级网络入侵检测系统snort,
Linux主机也有一些工具可以保障服务器的安全。如bastille linux,它是一套相当方便的软件,bastille linux 目