區(qū)域醫(yī)療信息集成平臺建設方案

項目建議書亞信科技（中國）有限公司安全保障建設安全設計目標區(qū)域醫(yī)療信息集成平臺的安全保障體系總體設計目標是針對本系統(tǒng)可能遇到的各種安全威脅和風險，采取行之有效的安全措施，保證系統(tǒng)中信息的完整性、高可用性和抗抵賴性，確保系統(tǒng)安全、穩(wěn)定、可靠的運行，為實現(xiàn)系統(tǒng)建設目標提供安全保障。安全保障體系設計的具體目標為：1、建立統(tǒng)一的安全系統(tǒng)管理平臺，對網(wǎng)絡系統(tǒng)、硬件環(huán)境、軟件平臺進行安全防護。2、建立完善的安全體系。建立起包括物理安全體系、網(wǎng)絡安全體系、應用安全體系、安全管理體系等在內的完善的安全保障機制。3、針對系統(tǒng)的建設和運行，定期監(jiān)督評審安全保障措施實施情況，確保系統(tǒng)安全運行。安全設計原則安全系統(tǒng)建設是一個系統(tǒng)化工程，在安全設計過程中要遵循以下設計原則，才能發(fā)揮安全的整體效應。（1）需求、風險、代價平衡分析的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡要進行實際的研究(包括任務、性能、結構、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。（2）綜合性、整體性原則本項目系統(tǒng)是一個涉及范圍廣，應用復雜的較大型系統(tǒng)工程，其安全系統(tǒng)的設計不是一般的安全系統(tǒng)設計，應當運用系統(tǒng)工程的觀點、方法，分析和制定安全手段及具體措施。計算機網(wǎng)絡的各個環(huán)節(jié)，包括個人(使用、維護、管理)、設備(含設施)、軟件(含應用系統(tǒng))、數(shù)據(jù)等，在安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。（3）一致性原則一致性原則主要是指系統(tǒng)安全問題應與整個系統(tǒng)的工作周期(或生命周期)同時存在，制定的安全體系結構必須與系統(tǒng)的安全需求相一致。安全的系統(tǒng)設計及實施計劃、網(wǎng)絡驗證、驗收、運行等，都要有安全的內容及措施。實際上，在系統(tǒng)建設的開始就考慮系統(tǒng)安全對策，比在網(wǎng)絡建設好后再考慮安全措施，不但容易，且花費也少得多。（4）易操作性原則安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。（5）適應性及靈活性原則安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應、容易修改和升級。（6）多重保護原則任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。（7）遵守有關法規(guī)在安全支撐平臺設計和設備選型過程中，涉及到安全產(chǎn)品的銷售應符合國家有關法律法規(guī)的規(guī)定，涉及到其他安全產(chǎn)品的銷售應具有主管部門的銷售許可證。同時安全產(chǎn)品應具有良好升級及售后維護。（8）技術和管理相結合原則安全體系應遵循技術和管理相結合的原則進行設計和實施，各種安全技術應該與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。從社會系統(tǒng)工程的角度綜合考慮，最大限度發(fā)揮人防、物防、技防相結合的作用。安全風險分析依據(jù)信息系統(tǒng)安全等級保護的要求，結合用戶行業(yè)特點，我們認為區(qū)域醫(yī)療信息集成平臺項目安全的威脅和風險表現(xiàn)在以下方面：1. 物理安全風險由于本項目除了中心主機房以外，其它工作地點比較分散，需要跟轄區(qū)內各個衛(wèi)生主管部門、醫(yī)療機構相互連接，有些路由和交換設備放置在部門設備間，同時還有大量的接入層設備放在不同辦公場所設備間，因此存在著很多的物理安全風險。物理安全的威脅主要有地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統(tǒng)、安全意識薄弱等。2. 網(wǎng)絡安全（1）數(shù)據(jù)傳輸風險本項目需要從各衛(wèi)生管理部門、醫(yī)療機構等地采集數(shù)據(jù)，數(shù)據(jù)在傳輸過程中，如果不采取保護措施，就有可能被竊聽，篡改和破壞，如采用搭線竊聽、在交換機或集線器上連接一個竊聽設備等。（2）網(wǎng)絡邊界風險對網(wǎng)絡中任意節(jié)點來說，其它所有網(wǎng)絡節(jié)點都是不可信任域，都可能對該系統(tǒng)造成一定的安全威脅。（3）網(wǎng)絡設備風險分析在網(wǎng)絡系統(tǒng)中使用了大量的網(wǎng)絡設備，這些設備自身的安全性也是要考慮的問題，例如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。3. 系統(tǒng)安全風險系統(tǒng)的安全風險包括操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟硬件的安全。目前沒有絕對安全的系統(tǒng)軟硬件設備可以選擇。不同的用戶應從各自的時間情況出發(fā)，選擇合理的軟硬件設備，使系統(tǒng)性安全性在總體上達到比較高的狀態(tài)；另一個方面在運行中加強管理。以確保系統(tǒng)的安全。4. 應用系統(tǒng)安全風險本項目是面向華亭縣轄區(qū)內衛(wèi)生主管部門、醫(yī)療機構、患者等多層次用戶，而且本項目包括多種通用軟件的綜合應用系統(tǒng)，大型復雜的大數(shù)據(jù)處理應用，隨著應用系統(tǒng)的不斷發(fā)展，其應用類型是不斷增加的。因此應用系統(tǒng)的安全是動態(tài)的、不斷變化的。在應用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。應用系統(tǒng)的安全性也涉及到信息的安全性，包括信息泄露、未經(jīng)授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。因此，采用多層次的訪問控制與權限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護，保證網(wǎng)上傳輸?shù)男畔?包括管理員口令與賬戶、上傳信息等)的安全性。5. 管理安全風險管理是網(wǎng)絡安全中最重要的部分。責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。降低安全管理風險，主要的手段要靠安全管理制度，信息安全管理制度要結合實際工作情況將其納入到項目運行管理規(guī)范制訂與執(zhí)行的日常工作之中去。安全體系總體架構針對區(qū)域醫(yī)療信息集成平臺所面臨的安全風險，應采用適當?shù)陌踩到y(tǒng)，安全體系框架是對系統(tǒng)提供保護的策略的集合，包括：物理環(huán)境安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全（應用數(shù)據(jù)安全、應用資源可信等）、運行管理安全等五個層次，共同為本項目系統(tǒng)提供多級別多層次的安全保障。安全系統(tǒng)體系架構如下圖所示：圖9：安全體系總體框架物理環(huán)境安全主要指機房等物理設備的安全。通過以下幾個方面措施進行保障：機房建設嚴格遵循國家頒布的相關建設標準，如防靜電標準、接地標準、濕度控制、抗電磁干擾等，杜絕機房建設中的不規(guī)范行為給系統(tǒng)帶來的安全風險；建立持續(xù)安全的電力供應系統(tǒng)，配備合適功率的UPS電源等；消防系統(tǒng)的建設，如機房建筑的防火措施、設置報警設備和滅火設備、加強防火管理等；物理線路安全保護，如建立防電磁泄漏系統(tǒng)、物理線路的備份保護等。網(wǎng)絡安全（１）安全的網(wǎng)絡設備的使用；（２）網(wǎng)絡隔離系統(tǒng)的建設，對于整個網(wǎng)絡區(qū)域在根據(jù)系統(tǒng)的密級要求劃分不同的信任域后，各信任域之間建立有效的隔離系統(tǒng)來保證各信任域的有效性，在保證安全性的同時又保證各信任域之間信息的可控交換；（3）網(wǎng)絡安全防御系統(tǒng)的建設，防火墻、認證網(wǎng)關、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)頁監(jiān)控系統(tǒng)、防水墻系統(tǒng)等；（４）容錯系統(tǒng)的建設，在系統(tǒng)中另外一個重要的安全措施就是對系統(tǒng)容錯保護，如建立備份線路來保證由于線路故障引起的網(wǎng)絡不通、建立備份設備保證由于單點故障引起的系統(tǒng)服務中斷。系統(tǒng)安全（1）操作系統(tǒng)安全多數(shù)的網(wǎng)絡攻擊和入侵目標是主機操作系統(tǒng)。對主機操作系統(tǒng)的保護是網(wǎng)絡安全防御中的重中之重。根據(jù)本項目系統(tǒng)的建設要求，對主機操作系統(tǒng)應滿足：用戶身份認證機制、自主訪問控制、審計、保證數(shù)據(jù)完整性以及可用性的要求。身份認證機制：管理員為系統(tǒng)中的每個用戶設置一個安全級范圍，表示用戶的安全等級，系統(tǒng)除進行身份和口令的判別外，還進行安全級判別，以保證進入系統(tǒng)的用戶具有合法的身份標識和安全級標識。自主訪問控制：按用戶意愿的訪問控制。基于這種機制，用戶可以說明其私人資源允許系統(tǒng)中哪個（些）用戶以何種權限進行共享。主機系統(tǒng)具有訪問控制表（ACL）的功能。審計：用于監(jiān)視和記錄系統(tǒng)中有關安全性的活動。系統(tǒng)通過記錄事件的類型、用戶的身份、操作的時間、參數(shù)和狀態(tài)等，系統(tǒng)管理員可以有選擇地設置哪些用戶、哪些操作（命令或系統(tǒng)調用）、對哪些敏感信息的訪問等需要審計，這些事件就會在系統(tǒng)中留下痕跡，構成一個審計記錄記入審計日志。這樣，系統(tǒng)管理員就可以根據(jù)審計日志，檢查系統(tǒng)中有無危害安全性的活動。數(shù)據(jù)完整性：主要是主機操作系統(tǒng)數(shù)據(jù)在存儲和處理過程中是否保持一致，系統(tǒng)的進程是否出現(xiàn)異常?？捎眯裕褐鳈C操作系統(tǒng)可用性特性包括，事件管理，能夠訪問關鍵事件信息，用于管理和調節(jié)系統(tǒng)，從而加快問題診斷的速度。動態(tài)調節(jié)，要求系統(tǒng)運行期間進行調節(jié)，從而使正常運行時間和可用性都達到了最大限度。路徑可選，為每個存儲設備或網(wǎng)絡設備均提供多條路徑，從而消除了單點故障并提高了可用性。多用戶路徑，支持在系統(tǒng)不停機的情況下安裝補丁，進而提高了正常運行時間和可用性。動態(tài)內存隔離，系統(tǒng)能夠隔離出現(xiàn)故障的內存，從而減少了計劃外的停機時間。對操作系統(tǒng)這一層次需要功能全面、智能化的檢測，以幫助網(wǎng)絡管理員高效地完成定期檢測和修復操作系統(tǒng)安全漏洞的工作。為了加強主機系統(tǒng)的安全，還可以采用基于主機的入侵防御技術，監(jiān)控主機的系統(tǒng)事件，從中檢測出攻擊的可疑特征，并給出響應和處理。（2）數(shù)據(jù)庫系統(tǒng)安全作為數(shù)據(jù)庫管理系統(tǒng)，由于數(shù)據(jù)大量集中，且為眾多用戶直接共享，安全性問題較為突出。在進行安全性設計時，既要考慮數(shù)據(jù)訪問的安全性和監(jiān)督用戶的訪問，又要兼顧對數(shù)據(jù)庫的存取速度。安全的數(shù)據(jù)庫系統(tǒng)需要支持安全機制有：對用戶和數(shù)據(jù)的分級管理、提供可靠的故障恢復機制、支持多臺服務器并行協(xié)同工作、提供良好的分布式數(shù)據(jù)庫環(huán)境、確保分布式數(shù)據(jù)的完整性等功能。應用安全華亭縣區(qū)域醫(yī)療信息集成平臺應用級安全包括統(tǒng)一身份認證,統(tǒng)一權限管理等,其包括系統(tǒng)軟件和應用軟件應具有訪問控制功能，包括用戶登錄訪問控制、角色權限控制、目錄級安全控制、文件屬性安全控制等；系統(tǒng)軟件(包括操作系統(tǒng)，數(shù)據(jù)庫等)和應用軟件等應定期進行完全備份，系統(tǒng)軟件配置修改和應用軟件的修改應及時備份，并做好相應的記錄文檔；及時了解系統(tǒng)軟件和應用軟件廠家公布的軟件漏洞并進行更新修正；應用軟件的開發(fā)應有完整的技術文檔，源代碼應有詳盡的注釋；使用基于PKI-CA體系的數(shù)字證書實現(xiàn)各業(yè)務應用系統(tǒng)的用戶身份驗證、數(shù)字簽名等功能。華亭縣區(qū)域醫(yī)療信息集成平臺應用安全體系的架構如圖所示，整個平臺分為三個部分；身份認證基礎設施,應用安全管理系統(tǒng)。身份認證基礎設施是整個系統(tǒng)的基礎,平臺整合了數(shù)字證書，用戶密碼模式，動態(tài)口令卡，手機動態(tài)密碼,指紋等多種身份認證模式，并支持接入華亭縣的CA機構。應用安全管理平臺是基于多種身份認證模式對涉及區(qū)域醫(yī)療衛(wèi)生安全要素的統(tǒng)一管理，要包括統(tǒng)一身份管理,醫(yī)療衛(wèi)生角色管理，衛(wèi)生信息資源管理，醫(yī)療衛(wèi)生授權管理等。運行管理安全在信息安全系統(tǒng)的建設中，信息的安全問題有70％是由于管理上的漏洞造成的，因此在完成信息系統(tǒng)安全建設的過程中，應建立一套完善的系統(tǒng)安全管理體系。一個完善的安全管理體系應從如下幾方面來考慮：充分考慮系統(tǒng)實際情況，合理地進行系統(tǒng)安全管理組織結構的設置；制定各項相關的管理制度，明確各部門及各管理員的職能范圍，建立完善的審計機制，做到有章可循，有據(jù)可查；建立智能化的安全事件和應急反應機制，達到對信息安全系統(tǒng)的動態(tài)管理。安全域劃分安全域是指同一系統(tǒng)內根據(jù)信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡，劃分的目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。每一個邏輯區(qū)域內有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略。區(qū)域間具有相互信任關系，相同的網(wǎng)絡安全域共享同樣的安全策略。安全域的劃分不能單純從安全角度考慮，而是應該以業(yè)務角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡結構和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡梳理，而又能保障其安全性。本項目業(yè)務網(wǎng)絡的安全域劃分，遵循信息系統(tǒng)分級、分域、分層保護要求，從管理的角度劃分安全域、從應用的角度劃分安全區(qū)。將本項目業(yè)務網(wǎng)絡劃分為公共服務區(qū)、過渡區(qū)、受限區(qū)和核心區(qū)四大區(qū)域，在不同的區(qū)域內劃分安全域劃。（1）公共服務區(qū)internet安全域（2）過渡區(qū)internetDMZ安全域（3）受限區(qū)安全域（4）核心區(qū)運行管理安全域（5）核心區(qū)一般生產(chǎn)區(qū)安全域（6）核心區(qū)高安全生產(chǎn)區(qū)安全域各業(yè)務網(wǎng)絡安全域之間出口處部署防火墻等進行加密傳輸和邊界控制。業(yè)務網(wǎng)絡的安全域劃分示意如下圖所示：圖10：業(yè)務網(wǎng)絡的安全域劃分示意圖公共區(qū)為Internet安全域，區(qū)域醫(yī)療信息集成平臺所依托的華亭縣公共信息平臺，網(wǎng)絡Internet接入?yún)^(qū)內與Internet連接的接入設備歸屬該安全域。過渡區(qū)為InternetDMZ安全域，信息平臺網(wǎng)絡中所定義的Internet接入?yún)^(qū)內的DMZ區(qū)（部署外部服務器）歸屬該安全域。受限區(qū)內包含遠程接入?yún)^(qū)，辦公網(wǎng)接入?yún)^(qū)和開發(fā)測試區(qū)三個受限區(qū)安全子域，遠程接入?yún)^(qū)包含生產(chǎn)數(shù)據(jù)中心與合作單位、分支機構和災備數(shù)據(jù)中心相連接的網(wǎng)絡設備；辦公網(wǎng)接入?yún)^(qū)包含生產(chǎn)數(shù)據(jù)中心與辦公網(wǎng)相連接的網(wǎng)絡設備；開發(fā)測試區(qū)包含數(shù)據(jù)中心中所提供的用于開發(fā)測試目的各類設備，該區(qū)域可定義多個受限區(qū)安全域實例，以隔離開發(fā)、測試、或支撐多個并行進行的開發(fā)測試工作。核心區(qū)包含一般業(yè)務生產(chǎn)區(qū)、運行管理區(qū)和高安全業(yè)務生產(chǎn)區(qū)三個安全子域，其中高安全業(yè)務生產(chǎn)區(qū)、運行管理區(qū)在安全防護級別上應高于一般業(yè)務生產(chǎn)區(qū)。一般業(yè)務生產(chǎn)區(qū)包含非關鍵的業(yè)務應用，可以按照需求定義多個安全域實例，以實現(xiàn)業(yè)務應用的隔離；運行管理區(qū)內包含數(shù)據(jù)中心運行管理系統(tǒng)的各類設備，包含網(wǎng)絡管理、系統(tǒng)管理、安全管理，可以按照需求定義多個安全域實例，隔離上述不同管理目的的系統(tǒng)應用。高安全業(yè)務生產(chǎn)區(qū)包含安全要求最高的核心業(yè)務應用、數(shù)據(jù)等資產(chǎn)，可以按照需求定義多個安全域實例各類不同的高安全業(yè)務。安全域劃分后，安全域間的信息流控制遵循如下原則：所有跨安全域的數(shù)據(jù)流必須經(jīng)過定義好的邊界控制組件的控制；在邊界控制組件中，缺省情況下，除了明確被允許的流量，所有的流量都將被阻止；界控制組件的故障將不會導致跨越安全域的非授權訪問；所有來自Internet或合作伙伴區(qū)域的流量需要被嚴格控制和監(jiān)控，每個連接必須被授權和審計。安全等級劃分依據(jù)公安部、原國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護定級指南》，及本項目風險分析，確定本項么為非涉密業(yè)務網(wǎng)，安全保護等級為三級。本次安全建設將按照國家等級安全防護的第三級來設計。根據(jù)國信辦《電子政務信息安全等級保護實施指南》以及全國信息安全標準化技術委員會《信息安全技術信息系統(tǒng)安全等級保護基本要求》中的規(guī)定，第三級安全保護能力是：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。按照安全等級保護三級的要求，從業(yè)務信息安全、系統(tǒng)安全服務等幾個層面進行建設。平臺要兼顧保障信息安全和服務可用，具體定級要求如下：（一）業(yè)務信息安全等級居民健康檔案和電子病歷數(shù)據(jù)和應用系統(tǒng)一旦遭到破壞，將影響到廣大人民群眾的生命健康保障，會對社會秩序和公共利益造成“嚴重損害”，應定為三級。（二）系統(tǒng)服務安全等級系統(tǒng)包括健康檔案查詢、遠程會診、公共衛(wèi)生服務、應急管理等服務，一旦系統(tǒng)不可用，將對社會秩序和公共利益造成“嚴重損害”，定為三級。（三）系統(tǒng)安全等級本項目最后安全等級從信息和服務的等級較高者確定，定為三級。安全技術體系安全技術體系以防火墻、安全隔離、入侵檢測、漏洞掃描、安全審計、防病毒等系統(tǒng)為基礎，通過入侵檢測技術、身份認證和訪問控制技術、安全評估技術、安全審計等現(xiàn)代網(wǎng)絡安全技術，嚴格按照國家標準和保密規(guī)定提供高安全性和高可靠性的保障服務體系，提供一個從底層數(shù)據(jù)存儲和傳輸?shù)谋Ｗo機制，到上層應用系統(tǒng)的防護的基礎支撐平臺，安全保障基礎支撐平臺主要包括防火墻系統(tǒng)、安全隔離與信息交換系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)、病毒防護系統(tǒng)、安全審計等系統(tǒng)組成。防火墻系統(tǒng)防火墻是安全管理與控制平臺重要的子系統(tǒng)，是主要的訪問控制設施，實施TCP/IP第3層-5層的網(wǎng)絡訪問控制，防止大部分的惡意、誤用、濫用等入侵破壞行為。為了不改變平臺的原有的部分網(wǎng)絡的結構，減小暴露IP帶來的潛在威脅，增強防火墻的安全性，所有的不涉及到路由功能的防火墻統(tǒng)一采用透明接入方式。在保障平臺業(yè)務的正常開展過程中，防火墻實施靜態(tài)或動態(tài)訪問控制功能，提高整個安全保障系統(tǒng)的動態(tài)反饋控制能力。同時對關鍵業(yè)務數(shù)據(jù)流實施分流、整形、必要時對應用層數(shù)據(jù)進行分析、過濾，提高數(shù)據(jù)保護能力；全面防御網(wǎng)絡入侵行為。安全管理與控制平臺會根據(jù)系統(tǒng)當前系統(tǒng)的安全狀態(tài)綜合調整防火墻的安全保障力度。由于網(wǎng)絡應用，絕大多數(shù)數(shù)據(jù)包為小包64-512之間，因此該處防火墻要求較好的小包吞吐性能；考慮到用戶擴展，防火墻支持千兆鏈路。并且支持多接口，滿足安全域的劃分需要。為了保障核心業(yè)務的安全穩(wěn)定可靠運行，在核心業(yè)務域（如數(shù)據(jù)庫服務區(qū)、數(shù)據(jù)交換服務區(qū)）的防火墻采用了雙機熱備功能。風險管理與用戶行為審計系統(tǒng)1、業(yè)務流審計、跟蹤與監(jiān)測可以實現(xiàn)對終端接入方式監(jiān)測、數(shù)據(jù)結構監(jiān)測、業(yè)務邏輯監(jiān)測、報警與回放等。2、常用協(xié)議審計主要對HTTP、POP3、SMTP、FTP、TELNET、HTTPS、PCANYWHERE等協(xié)議進行審計。3、敏感信息審計安全審計系統(tǒng)能夠根據(jù)用戶定義的關鍵詞，對網(wǎng)絡數(shù)據(jù)內容進行實時的按策略進行監(jiān)控、審計，并記錄原始的數(shù)據(jù)報文。4、數(shù)據(jù)庫操作審計安全審計系統(tǒng)能夠實時記錄網(wǎng)絡用戶對數(shù)據(jù)庫的操作，包括查詢、添加、刪除、修改、事務處理等操作。并能將這些操作進行回放。5、數(shù)據(jù)處理功能安全審計系統(tǒng)能夠記錄所有的網(wǎng)絡行為數(shù)據(jù)，并能將相應的記錄進行分類的日志存儲，以供事后的查詢、分析和事后追溯使用。安全漏洞檢測1、功能說明智能掃描引擎群：完成對主機、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、特殊設備、通用端口等的掃描；找出系統(tǒng)的脆弱性。可信數(shù)據(jù)傳輸通道：傳遞控制指令以及數(shù)據(jù)，并且可以采用加密或認證等。掃描協(xié)調：提供各個掃描器引擎之間協(xié)同以及與整個網(wǎng)絡的協(xié)同工作設備分類：為全系統(tǒng)的掃描提供基本的掃描分類，對具體設備提供更為準確的掃描功能。信息融合：收集各個掃描引擎的數(shù)據(jù)，與統(tǒng)計分析一起綜合分析系統(tǒng)潛在的脆弱性。資源評估：檢測系統(tǒng)資源狀態(tài)，尋找最佳的掃描時機。作為整體掃描調度的參考信息。掃描策略：提供掃描活動的總體實施原則，并控制掃描調度的執(zhí)行。調度引擎：提供掃描引擎之間有機融合，加速脆弱性檢測進程。統(tǒng)計分析：評估掃描活動的評估結果、有效性、效率等。脆弱性庫：提供給本的漏洞判別依據(jù)，包括linux、unix、windows操作系統(tǒng)，網(wǎng)絡設備、應用層、CGI等漏洞特征信息。檢測庫：提供驗證容易被利用的漏洞的脆弱性方法與措施。2、特點與安全管理與控制平臺緊密融合，進行全網(wǎng)的弱點探測。多掃描引擎可以并行工作。檢測加驗證機制，確保脆弱性被發(fā)現(xiàn)，同時增加確認機制；與安全管理與控制平臺一道，檢驗系統(tǒng)的整體風險。掃描引擎專家化，提高漏洞識別的準確率。圖11：安全漏洞檢測子系統(tǒng)邏輯結構圖安全認證和授權管理遵照衛(wèi)生部《基于健康檔案的區(qū)域衛(wèi)生信息平臺建設指南》要求，使用基于PKI-CA體系的數(shù)字證書實現(xiàn)各業(yè)務應用系統(tǒng)的用戶身份驗證、數(shù)字簽名等功能。認證體系系統(tǒng)設計應包含三個部分；身份認證基礎設施，應用安全管理系統(tǒng)，應用安全中間件。身份認證基礎設施是整個系統(tǒng)的基礎，應該整合數(shù)字證書，用戶密碼模式，動態(tài)口令卡，手機動態(tài)密碼，指紋等多種身份認證模式，并支持接入各地的CA機構。應用安全管理系統(tǒng)的建設，以便基于多種身份認證模式對涉及區(qū)域醫(yī)療衛(wèi)生安全要素的統(tǒng)一管理，并包括統(tǒng)一身份管理、醫(yī)療衛(wèi)生角色管理、衛(wèi)生信息資源管理、醫(yī)療衛(wèi)生授權管理等。應用安全中間件是基于身份認證基礎設施和應用安全管理平臺，將醫(yī)療衛(wèi)生安全應用以獨立中間件服務的方式提供給醫(yī)院，社區(qū)等醫(yī)療衛(wèi)生信息系統(tǒng)使用，從而完成統(tǒng)一的電子健康信息網(wǎng)絡安全應用平臺的構建.這些中間件主要包括關于身份認證服務的中間件，關于數(shù)據(jù)安全服務的中間件，關于醫(yī)療行為審計服務的中間件。統(tǒng)一身份認證數(shù)字證書認證中心(CertificateAuthority，CA)主要負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的身份認證數(shù)字證書。每一個數(shù)字證書都與上一級的數(shù)字簽名相關聯(lián)，最終通過一個安全鏈追溯到一個已知的并被廣泛認為安全、權威、足以信賴的機構。電子交易的各方都必須擁有合法的身份，即由CA中心簽發(fā)的數(shù)字證書，在交易的各個環(huán)節(jié)，交易的各方都需檢驗對方數(shù)字證書的有效性，從而解決用戶的信任問題。在本系統(tǒng)建設中，可直接利用阿榮旗數(shù)字認證中心已有的CA中心的身份識別基礎設施。通過衛(wèi)生數(shù)據(jù)中心平臺，各應用系統(tǒng)調用各種中間件，方便地實現(xiàn)區(qū)域醫(yī)療信息集成平臺統(tǒng)一的身份管理與授權管理。1、證書發(fā)放方式安全認證中心（CA）提供數(shù)字證書服務功能，實現(xiàn)對系統(tǒng)各類工作人員、外部公眾進行數(shù)字證書的申請、頒發(fā)、更新與作廢，在證書載體形式上，為確保證書自身的安全性，建議采用USB智能key作為證書載體，其突出的優(yōu)點是攜帶方便，操作簡單，并且安全可靠，是目前主流的證書介質。2、統(tǒng)一認證管理系統(tǒng)統(tǒng)一認證管理系統(tǒng)面向內部工作人員，提供集中基于數(shù)字證書的可信用戶身份標識管理，一方面為系統(tǒng)內部人員提供可靠的身份認證服務，為用戶提供方便的單點登錄功能，另一方面提供用戶管理的高效性，降低后臺管理人員的維護工作量，并通過共享的用戶信息服務，將各應用系統(tǒng)有機的整合在一起，實現(xiàn)互聯(lián)互通。依托華亭縣區(qū)域醫(yī)療信息集成平臺統(tǒng)一部署CA認證系統(tǒng)，提供給華亭縣各醫(yī)療機構、公共衛(wèi)生服務機構、衛(wèi)生管理部門等應用，來實現(xiàn)用戶訪問控制。通過區(qū)域衛(wèi)生數(shù)據(jù)中心平臺,各應用系統(tǒng)調用各種中間件,方便地實現(xiàn)區(qū)域衛(wèi)生網(wǎng)絡系統(tǒng)統(tǒng)一的身份管理與授權管理。CA系統(tǒng)能提供完善的功能，包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（CRL）查詢服務、目錄查詢服務、CA管理、密鑰管理和日志審計等全面的功能。（1）證書簽發(fā)通過CA認證系統(tǒng)，能夠申請、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶訪問CA認證系統(tǒng)，提交證書申請請求，申請數(shù)字證書；RA管理員訪問管理員站點，審查和批準用戶的證書申請請求；CA認證中心根據(jù)RA管理員的批準，簽發(fā)用戶證書，并將數(shù)字證書發(fā)布到目錄服務器中。用戶CA認證系統(tǒng)，獲取簽發(fā)的證書。（2）證書生命周期管理通過CA認證系統(tǒng)，可以實現(xiàn)證書的生命周期管理，包括證書申請、證書批準、證書查詢、證書下載、證書吊銷、證書更新等。（3）CRL服務功能CA認證系統(tǒng)支持證書黑名單列表（CRL）功能，能夠配置指定RA的CRL下載地點及CRL發(fā)布時間。CA認證系統(tǒng)定時產(chǎn)生CRL列表，并將產(chǎn)生的CRL發(fā)布至Web層CRL服務模塊，可以通過手工下載該CRL。（4）目錄服務功能CA認證系統(tǒng)支持目錄服務，在簽發(fā)用戶證書時或者對證書進行吊銷處理時，會及時更新目錄內容。證書目錄服務的功能提供給用戶進行證書查詢的功能，用戶可以通過電子郵件（Email）、用戶名稱（CommonName）、單位名稱（Organization）和部門名稱（OU）等字段查找CA認證系統(tǒng)簽發(fā)的用戶證書。（5）CA管理功能CA認證系統(tǒng)具有完善的CA管理功能，包括管理員管理、賬號管理、策略管理等。（6）日志與審計功能系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括統(tǒng)計各CA、RA賬號證書頒發(fā)情況；記錄所有RA與CA的操作日志；對所有操作人員的操作行為進行審計。（7）CA密鑰管理系統(tǒng)支持CA密鑰管理功能，包括CA密鑰產(chǎn)生和存儲（軟件與硬件）；CA證書（包括根CA和子CA）的產(chǎn)生和管理；CA密鑰歸檔與備份。采用PKI加密采用加密技術來保護敏感信息的傳輸，保證信息傳輸中的安全性。在一個加密系統(tǒng)中，信息使用加密密鑰加密后，得到的密文傳送給接收方，接收方使用解密密鑰對密文解密得到原文。目前主要有兩種加密體系：秘密密鑰加密和公開密鑰加密。數(shù)字簽名的應用項目建設過程中涉及到電子健康檔案和電子病歷的傳輸和共享，因此我們需要采用電子簽名技術來保證電子健康檔案系統(tǒng)的安全性和不可抵賴性。通過區(qū)域衛(wèi)生數(shù)據(jù)中心平臺平臺，醫(yī)院的醫(yī)生可通過調用身份認證(可采用數(shù)字證書或指紋模式)，數(shù)字簽名，數(shù)據(jù)加密等服務將電子病歷上載到衛(wèi)生數(shù)據(jù)中心中共享，衛(wèi)生數(shù)據(jù)中心可對電子病歷信息資源共享的機制進行設置與管理，其他醫(yī)院醫(yī)生則通過調用身份認證(可采用數(shù)字證書或指紋模式)，方問控制，數(shù)據(jù)解密等服務對電子病歷進行調閱，病人也可通過衛(wèi)生服務網(wǎng)站調用身份認證(可采用手機動態(tài)密碼方式)，訪問控制，數(shù)據(jù)解密等服務對自己的電子病歷進行遠程查詢，從而實現(xiàn)區(qū)域內電子病歷的安全共享和訪問，為電子病歷法律化奠定技術基礎。圖SEQ圖\*ARABIC12：平臺數(shù)字簽名系統(tǒng)結構圖隱私與權限管理為了保證電子健康信息共享的同時實現(xiàn)對居民隱私的保護，平臺必須對電子健康信息提供權限管理機制。電子健康信息的權限管理根據(jù)醫(yī)生、管理者和市民等不同的角色進行權限管理，按等級實現(xiàn)個人級、文件類別級、文件級和市民自定義保護級四級保護機制。入侵檢測1、邏輯結構實時入侵檢測子系統(tǒng)的體系結構主要分為高速數(shù)據(jù)收集層、高速數(shù)據(jù)傳輸層、信息處理層、綜合分析層、管理控制層、協(xié)調層等。2、子模塊功能說明智能探測器：用于獲取主機或則網(wǎng)絡的傳輸數(shù)據(jù)，采用分布式布置；該探測器分布于安全管理與控制平臺全系統(tǒng)中。該探測器只捕獲策略要求的基于包、流信息等。主機高速數(shù)據(jù)傳輸通路：用于高速傳遞基于主機發(fā)生的入侵信息，是信息收集其中一個渠道。網(wǎng)絡高速數(shù)據(jù)傳輸通路：用于捕獲高速傳輸網(wǎng)絡傳輸?shù)臄?shù)據(jù)信息，是信息收集的重要渠道。高速匹配：提供基于特征信息的入侵行為功能，為系統(tǒng)主要的入侵檢測功能。流量統(tǒng)計：提供基于流量的網(wǎng)絡入侵行為檢測。該模塊用于在高速網(wǎng)絡環(huán)境下發(fā)現(xiàn)入侵、蠕蟲、病毒攻擊行為。協(xié)議分類：該模塊完成數(shù)據(jù)的分類，發(fā)現(xiàn)錯誤協(xié)議的攻擊行為，以及加速入侵檢測速度。入侵協(xié)調接口：動態(tài)獲取安全管理與控制平臺管理范圍的健康指數(shù)，以及與其他系統(tǒng)交換信息。資源評估模塊：完成實時入侵檢測系統(tǒng)的當前資源狀態(tài)，確保整個入侵系統(tǒng)能夠有效可用進行檢測。特征信息庫：存放入侵攻擊特征信息，用于匹配引擎使用。復雜統(tǒng)計分析模塊：經(jīng)過對連續(xù)時間、或空間范圍的時間進行統(tǒng)計分析，確定入侵行為是否發(fā)生。遺傳進化模塊：生成新的入侵檢測知識，并記錄到實時入侵檢測知識庫中。神經(jīng)網(wǎng)絡模塊：用于學習入侵、網(wǎng)絡正常工作行為，自動發(fā)現(xiàn)入侵行為。3、特點全面融合智能安全管理與控制平臺。多種模式準確可靠攻擊識別?；诓呗缘男畔⑹占绞?，減少了信息收集的數(shù)量。給予全網(wǎng)健康信息指數(shù)進行入侵行為判斷，更準確可靠。系統(tǒng)負荷自動調整，提高了實時入侵響應系統(tǒng)的可用性。圖13：實時入侵檢測子系統(tǒng)的體系結構圖1、支持安全智能管理與控制平臺的遠程集中管理與控制；2、支持安全智能管理與控制平臺格式的詳細狀態(tài)與操作日志；3、支持日志服務器方式；4、支持對主流路由器、交換機等網(wǎng)絡設備進行安全管理與控制。防病毒為了不影響系統(tǒng)的效率，在清殺病毒的過程忠，殺毒產(chǎn)品本身具備低內存開銷，以及低CPU利用率，低虛警率等優(yōu)點。為了管理方便，支持全網(wǎng)病毒庫、版本等集中升級功能。方案中的實時病毒平臺與其他安全保障子系統(tǒng)緊密融合，提高全網(wǎng)的安全保障力度。應具備如下功能：1、具有分別支持Windows、Unix等多種操作系統(tǒng)的防病毒模塊；2、能夠實現(xiàn)分布式的部署方案，實現(xiàn)Internet聯(lián)接的病毒防護、文件服務器病毒防護、郵件服務器病毒防護和工作站的病毒防護；3、具有實時掃描，定期掃描和手動掃描三種掃描模式；4、自動報警功能，并有多種報警方式選擇，包括但不限于：郵件形式、純文本格式、HTML格式；5、簡單、實用的圖形化用戶界面；6、基于安全管理和控制系統(tǒng)實現(xiàn)防病毒的集中管理和控制；7、監(jiān)控的對象包括但不限于：文件（軟盤、光盤、硬盤、內存、網(wǎng)絡鄰居、文件夾）、OFFICE文檔、郵件、網(wǎng)頁、注冊表、各類腳本、隱私保護、即時通訊（MSN、QQ等）、壓縮工具、下載工具等；能夠在線對防病毒模塊自動或手動升級并可方便進行全網(wǎng)統(tǒng)一升級。網(wǎng)頁防篡改網(wǎng)頁篡改者利用操作系統(tǒng)的漏洞和管理的缺陷進行攻擊，而目前大量的安全措施（如安裝防火墻、入侵檢測）集中在網(wǎng)絡層上，它們無法有效阻止網(wǎng)頁篡改事件發(fā)生。因此，門戶網(wǎng)站需要專門的網(wǎng)頁防篡改系統(tǒng)來保護網(wǎng)頁和保障網(wǎng)站內容的安全。網(wǎng)頁防篡改系統(tǒng)需具有以下功能。1、安全傳輸合法網(wǎng)頁的安全傳輸是系統(tǒng)安全的一個重要環(huán)節(jié)，防篡改系統(tǒng)使用高安全強度的工業(yè)標準的加密協(xié)議，保證信息傳輸過程中的完整性和私密性，用先進的密碼技術防止來自內部和外部的篡改和偷竊。2、身份鑒別系統(tǒng)各部分通信時需要對實體身份進行鑒別，防篡改系統(tǒng)提供的鑒別方式。包括：服務器防篡改模塊的真實性、頁面自動發(fā)布服務器的真實性、系統(tǒng)監(jiān)管員身份的真實性。3、自動同步為高效網(wǎng)頁的內容掃描、發(fā)布和恢復，防篡改系統(tǒng)使用頁面自動發(fā)布服務器。該服務器采用先進的算法檢查本身文件系統(tǒng)的變化，自動將其同步到一臺或多臺安裝了防篡改模塊的目標Web服務器上，同時也能作為網(wǎng)頁恢復時的基準內容，減少人工干預。安全管理體系安全的實現(xiàn)要從技術、產(chǎn)品和管理三方面的結合著眼。沒有嚴格的安全管理保障體系與安全技術防護相配合，是無法保障網(wǎng)絡系統(tǒng)安全運行的。安全管理保障體系主要包括：安全管理組織、安全規(guī)章制度和安全服務體系。安全管理組織為保障網(wǎng)絡安全保障體系的順利實施和運營，必須要有一個完整的安全管理組織。（1）建立安全管理領導組織來批準信息安全方針、分配安全職責并領導組織內部信息安全建設和制度的實施；（2）建立提供安全建議的專家小組，負責安全咨詢、安全培訓、重大問題決策等；（3）建立日常安全管理機構，負責日常的安全事務，如病毒防護、網(wǎng)絡防護、日志維護、數(shù)據(jù)備份、安全數(shù)據(jù)分析等；（4）建立應急響應技術隊伍，完善應急響應體系，確保發(fā)生安全事件時，做到及時響應和支援。安全規(guī)章制度由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理制度、操作規(guī)程管理制度、系統(tǒng)維護管理制度等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，可以在很大程度上降低網(wǎng)絡運行的安全隱患。安全制度主要包括以下幾方面：（1）制訂網(wǎng)絡安全管理辦法。明確安全防護的范圍、各類數(shù)據(jù)的安全保護級別、管理要求等；（2）制訂系統(tǒng)安全狀況的定期評估制度。根據(jù)評估情況，制訂并更新安全策略；（3）制訂機房管理制度。按照安全防護等級進行分區(qū)控制，限制人員出入與己無關的區(qū)域。出入管理可采用證件識別或者安裝自動識別登記系統(tǒng)，采用磁卡、指紋等對人員進行識別、登記管理；（4）制訂各類操作規(guī)程和運行維護辦法。操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其職，不能超越自己的管轄范圍。對系統(tǒng)進行維護時，要采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份，必須有詳細的文檔記錄等；（5）制訂備份和恢復管理制度，明確備份策略和恢復機制；（6）制訂異常和緊急管理制度，確保在異常和緊急情況下將損失降低到最小；（7）建立人員管理制度，明確安全管理人員的錄取程序、培訓辦法、職責、工作要求、權限等，對調動或者離職人員要及時調整相應的授權；（8）建立安全設備管理辦法，確定各種設備使用和管理辦法以及責任人；（9）建立證件管理辦法，明確數(shù)字證書、身份卡等證件的發(fā)放、使用和管理辦法；（10）建立日志管理和審計管理制度，明確日志的內容、要求和審計的過程等管理辦法；（11）建立技術檔案和媒體管理制度，明確技術檔案和媒體的借取、報廢等管理辦法；（12）建立操作系統(tǒng)、數(shù)據(jù)庫等軟件的安全管理制度，明確操作系統(tǒng)、數(shù)據(jù)庫軟件的版本管理、安全補丁的安裝、安全配置等管理辦法。安全服務體系安全服務是為輔助各類安全產(chǎn)品或安全系統(tǒng)，加強系統(tǒng)整體安全水平而設立的。（1）安全服務體系框架安全服務體系由以下組成部分：安全評估審計服務定期檢查系統(tǒng)的安全現(xiàn)狀，以便動態(tài)地調整安全防護策略，有針對地指導安全增強和系統(tǒng)加固工作的開展。安全增強加固服務針對安全狀況的動態(tài)變化，及時地彌補最新出現(xiàn)的各類安全漏洞和隱患。安全信息通告服務為技術人員提供最新的安全信息，以便維護人員能及時了解最新安全動態(tài)，及時做好安全調整，完善安全保護措施。安全應急響應服務針對系統(tǒng)建成后出的重大、疑難安全故障進行及時的專家安全響應和恢復，提高系統(tǒng)應對重大安全事故的能力?，F(xiàn)場監(jiān)控值守服務在重要時期或節(jié)日期間，安排專門的安全服務人員進行值守服務。專業(yè)安全培訓對專業(yè)安全技術人員進行定期的培訓，提高安全技術及安全意識。（2）安全服務內容安全服務主要有以下內容：安全評估審計服務物理環(huán)境評估，主要是評估信息系統(tǒng)設備所處的物理環(huán)境的安全性，包括防火、防盜、防腐蝕、防靜電、防自然災害的情況，同時評估訪問控制狀況，以及布線合理性和電力保障等狀況；網(wǎng)絡體系評估，包括網(wǎng)絡拓撲的安全性分析、核心設備冗余配置、鏈路冗余配置、網(wǎng)絡流量與擁塞控制分析以及網(wǎng)絡邊界的安全控制等；服務器系統(tǒng)和網(wǎng)絡設備安全分析，對主機和設備的評估，包括對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、路由設備、交換設備、接入設備以及安全設備等的安全性綜合分析；安全產(chǎn)品和技術應用狀況評估，包括安全技術和產(chǎn)品的類型、應用前后的效果、目前安全功能的欠缺以及對新的安全技術和功能的需求；業(yè)務系統(tǒng)安全評估，包括對業(yè)務結構、業(yè)務流程評估，也包括對業(yè)務處理軟件或系統(tǒng)平臺的安全性檢測，對于業(yè)務系統(tǒng)發(fā)生的安全案例，也要做深入地了解和分析。網(wǎng)絡安全管理狀況評估，評估現(xiàn)行安全管理狀況的不足，協(xié)助改進安全管理規(guī)范，并使之切實得到貫徹執(zhí)行；網(wǎng)絡安全策略狀況評估，評估現(xiàn)行安全策略的不足，協(xié)助各業(yè)務系統(tǒng)改進安全策略，使之更適合業(yè)務系統(tǒng)的運行維護和發(fā)展趨勢。安全增強加固服務各類關鍵的服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)和各類主干網(wǎng)絡設備，安全補丁的選擇性安裝。安全信息通告服務要求安全服務廠商通過郵件、Web網(wǎng)站或電話等方式，提供及時的、針對性的各類安全信息，幫助系統(tǒng)安全管理人員了解最新動態(tài)和技術。安全應急響應服務安全應急響應服務的第一項任務是盡快恢復系統(tǒng)或網(wǎng)絡的正常運轉；第二項任務是使系統(tǒng)和網(wǎng)絡操作所遭受的破壞最小化；第三項任務是根據(jù)在應急的過程中記錄和保留下來的有關的原始資料，提供準確的分析統(tǒng)計報告和有價值的建議?，F(xiàn)場監(jiān)控值守服務在系統(tǒng)進行重要演示或節(jié)日期間，安排專門的安全服務人員到現(xiàn)場提供監(jiān)控值守服務，隨時處理突發(fā)事件。專業(yè)安全培訓服務提供網(wǎng)絡安全技術培訓服務，針對不同參培人員的角色和職責提供相應的培訓內容，充分考慮從領導決策層、技術管理層到普通網(wǎng)絡用戶等各層次人員所需了解或掌握的網(wǎng)絡安全知識和技術。安全管理措施1、對涉密網(wǎng)的環(huán)境因素實施監(jiān)控和警衛(wèi)，預防人為威脅。2、集中建設網(wǎng)絡支撐平臺監(jiān)控中心，進行統(tǒng)一安全監(jiān)控。3、建立健全相關網(wǎng)絡安全管理責任制度。4、建立嚴格的機房安全管理制度。非工作人員未經(jīng)許可不準進入機房，任何人不準將有關資料泄密、任意抄錄或復制。5、禁止在生產(chǎn)系統(tǒng)中使用未經(jīng)批準的應用程序，禁止在生產(chǎn)系統(tǒng)上加載無關軟件，嚴禁擅自修改系統(tǒng)的有關參數(shù)；用于開發(fā)、測試的系統(tǒng)必須與生產(chǎn)系統(tǒng)嚴格分開。6、監(jiān)視系統(tǒng)運行記錄，及時審查日志文件，認真分析告警信息，及時掌握運行狀況，對系統(tǒng)可能發(fā)生的故障做好應急方案。7、軟件程序的修改或增加功能時，須提出修改理由、方案、實施時間，報上級主管部門批準；程序修改后，須在測試系統(tǒng)上進行調試，確認無誤經(jīng)批準后方可投入生產(chǎn)應用。8、軟件修改、升級前后的程序版本須存檔備查，軟件修改、升級時須有應急補救方案。9、制定各項訪問控制措施，包括對網(wǎng)絡、主機、數(shù)據(jù)庫等的訪問。對所有路由器、交換機的密碼及配置應由網(wǎng)絡管理員掌握，統(tǒng)一進行配置；對各類主機的管理和對用戶以及文件系統(tǒng)的分配、訪問權限設置等工作統(tǒng)一由主機管理員執(zhí)行；對所有數(shù)據(jù)庫的管理和對表、視圖、記錄和域的授權工作統(tǒng)一由數(shù)據(jù)庫管理員執(zhí)行。實體認證1、應確保訪問區(qū)域醫(yī)療信息集成平臺的所有實體（用戶和系統(tǒng)）采用唯一身份標識，并對實體身份進行統(tǒng)一管理：對區(qū)域醫(yī)療信息集成平臺各類實體信息進行數(shù)字身份的定義和標識；實現(xiàn)數(shù)字身份流程化管理，控制數(shù)字身份的整個生命周期，支持身份信息申請、審批、變更及撤銷等管理操作管理操作；確保每個用戶必須具有唯一的身份標識和唯一的身份鑒別信息；如果進行用戶和系統(tǒng)之間的相互身份鑒別，則系統(tǒng)也必須具有唯一的身份鑒別信息；確保用戶和系統(tǒng)的身份鑒別信息必須是不可偽造；提供用戶自助服務功能（例如身份注冊申請、修改、密碼重置等）。2、應提供專用的認證模塊對訪問平臺系統(tǒng)的用戶和系統(tǒng)進行身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護，應選擇以下身份認證機制中的兩種或兩種以上組合進行身份認證：基于PKI體系的數(shù)字證書認證方式：數(shù)字證書需存儲于硬件證書載體USBKey并進行PIN口令保護、私鑰和PIN碼應在USBKey內生成；用戶名/口令認證方式：口令設置必須具備一定的復雜度、口令設置定期更換要求、口令字符輸入時應不顯示原始字符、口令信息在傳輸及存儲過程中需采用密碼技術加密保護、管理員有權限重置密碼；基于人體生物特征識別的認證方式；其他具有相應安全強度的認證方式。3、應支持登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施：設置賬戶鎖定閾值時間，當失敗的用戶身份鑒別嘗試次數(shù)達到規(guī)定的數(shù)值時，必須能夠終止用戶與系統(tǒng)之間的會話；用戶多次登錄錯誤時，自動鎖定該賬戶，管理員有權限解除賬戶鎖定；必須對身份鑒別失敗事件進行審計跟蹤。4、應支持單點登錄系統(tǒng)功能，用戶只經(jīng)過一次身份認證即可訪問不同的業(yè)務系統(tǒng)。實體授權1、應根據(jù)用戶對區(qū)域醫(yī)療信息集成平臺系統(tǒng)的使用性質的不同進行用戶分類管理：將用戶分為業(yè)務用戶和管理用戶兩大類，根據(jù)用戶職責對用戶分類進行細化；創(chuàng)建用戶角色和工作組，按照一定規(guī)則將具有相同屬性或特征的用戶劃分為一組，進行用戶組管理。2、系統(tǒng)支持對用戶、角色、資源和權限的標準化管理，實施權限管理和權限的分配：應支持基于“用戶－角色/用戶組－應用資源”的授權模型，制定授權策略；提供增加、修改、刪除和查詢用戶權限的功能；能夠創(chuàng)建、修改數(shù)據(jù)訪問規(guī)則，根據(jù)業(yè)務規(guī)則對用戶自動臨時授權的功能（如限定訪問時間或訪問資料范圍等）；應支持分層次授權，避免集中授權復雜性，提高授權的準確性；業(yè)務權限和管理權限嚴格分開，業(yè)務用戶不應具備管理權限；必須對所有的授權行為進行審計跟蹤。實體訪問控制應啟用訪問控制功能，依據(jù)安全策略控制用戶對平臺系統(tǒng)的訪問，滿足以下功能要求：標識和鑒別系統(tǒng)用戶的過程應符合以上實體認證的規(guī)范要求角色的職能分割應符合以上實體授權的規(guī)范要求應在安全策略控制范圍內，據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問，訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作：訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等；基于授權策略建立自主訪問控制列表；應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為服務級；應在會話處于非活躍一定時間或會話結束后終止連接；應能夠對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應能夠對單個帳戶的多重并發(fā)會話進行限制；應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制；應能夠對一個訪問賬戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問賬戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)5總體建設計劃項目建設期為2018年11月至2020年10月，分為兩期建設。前期準備：2018年11月-2018年12月完成需求調研和建設方案。一期工程：2018年11月-2019年10月一期項目初步規(guī)劃一年內完成。本期主要任務是進行華亭縣醫(yī)療衛(wèi)生服務信息化基礎設施建設，做好頂層設計，建立華亭縣區(qū)域醫(yī)療衛(wèi)生基礎支撐體系、平臺基礎服務與平臺數(shù)據(jù)中心，構建華亭縣區(qū)域醫(yī)療信息集成平臺，實現(xiàn)華亭縣范圍內所有醫(yī)療機構之間以電子病歷、居民電子健康檔案為基礎的數(shù)據(jù)互聯(lián)互通。整合資源，實現(xiàn)對各級醫(yī)療衛(wèi)生機構有效統(tǒng)一管理和服務。以便民服務為宗旨，整合醫(yī)療資源，通過衛(wèi)生主管部門推動，建立統(tǒng)一的醫(yī)療便民服務平臺，有助于普及公眾的醫(yī)療保健知識提高社會整體健康水平，能夠提高患者的就診效率，優(yōu)化醫(yī)療資源配置，實現(xiàn)區(qū)域范圍內衛(wèi)生信息互聯(lián)互通和資源共享。同時，以整合平臺為基礎，完成師旗醫(yī)院、鄉(xiāng)鎮(zhèn)醫(yī)院信息系統(tǒng)之間的連接。實現(xiàn)村衛(wèi)生室、縣醫(yī)院、鄉(xiāng)鎮(zhèn)醫(yī)院之間的相互轉診，合理分流病人，優(yōu)化醫(yī)療資源配置、優(yōu)勢互補、疾病診治連續(xù)化管理的機制，最終實現(xiàn)小病在社區(qū)，大病進醫(yī)院，康復回社區(qū)的就醫(yī)格局。二期工程：2019年11月-2020年10月本期項目的主要任務是在一期建成成果基礎上，進一步提升醫(yī)療服務協(xié)同及醫(yī)療衛(wèi)生管理與應用的深度開發(fā)和建設，深化完善各醫(yī)療衛(wèi)生機構的信息系統(tǒng)，豐富區(qū)域醫(yī)療信息集成平臺的應用。具體計劃如下：任務要求完成時間備注前期準備2018年11月1需求調研2018年11月2方案確定2018年12月3試點啟動會2018年12月一期工程2019年10月1阿榮旗區(qū)域醫(yī)療信息集成平臺基礎平臺搭建2018年12月1.1采集交換平臺2018年12月1.2大數(shù)據(jù)處理平臺2018年12月1.3服務支撐平臺2018年12月1.4應用集成平臺2018年12月2應用系統(tǒng)建設2019年3月各系統(tǒng)均全市統(tǒng)建2.1區(qū)域衛(wèi)生部分(1)健康檔案管理系統(tǒng)2018年12月(2)惠民卡管理系統(tǒng)2018年12月(3)計劃免疫系統(tǒng)2019年1月(4)婦幼保健系統(tǒng)(5)健康教育系統(tǒng)2019年1月(6)慢病管理系統(tǒng)2019年1月(7)健康體檢系統(tǒng)2019年1月(8)康復管理系統(tǒng)2019年1月(9)流動人員管理系統(tǒng)2019年1月(10)高危人群管理系統(tǒng)2019年1月2.3智慧醫(yī)療部分(1)智慧醫(yī)療門戶2019年3月(2)過度醫(yī)療篩查系統(tǒng)2019年3月(3)基藥使用分析系統(tǒng)2019年3月(4)醫(yī)療費用分析系統(tǒng)2019年3月(5)醫(yī)?；橄到y(tǒng)2019年3月(6)健康小屋2019年3月(7)醫(yī)院自助終端2019年3月3系統(tǒng)接入3.1新農(nóng)合結算系統(tǒng)2019年5月3.2國家藥品電子監(jiān)管系統(tǒng)2019年5月3.3藥品三統(tǒng)一和基本藥物管理系統(tǒng)2019年5月3.4試點縣級平臺2019年6月3.5醫(yī)療機構信息系統(tǒng)2019年7月4系統(tǒng)試運行2019年8月5系統(tǒng)驗收及交付使用2019年9月6一期系統(tǒng)正式上線2019年10月二期工程2020年10月1應用系統(tǒng)建設2020年4月1.1區(qū)域衛(wèi)生2020年4月(1)血液管理信息系統(tǒng)2019年11月(2)雙向轉診系統(tǒng)2020年4月(3)區(qū)域影像中心2020年4月(4)區(qū)域心電中心2020年4月(5)區(qū)域臨檢中心2020年4月1.2智慧醫(yī)療應用2020年4月(1)預約掛號平臺2019年11月(2)健康關懷系統(tǒng)2020年4月(3)醫(yī)療衛(wèi)生決策支持系統(tǒng)2020年4月2系統(tǒng)接入2020年10月2.1醫(yī)療機構信息系統(tǒng)2020年9月逐步開展合療及醫(yī)保定點非政府辦醫(yī)院接入3系統(tǒng)試運行2020年5月4系統(tǒng)驗收及交付使用2020年9月5二期系統(tǒng)正式上線2020年10月社會與經(jīng)濟效益項目建成后，將為華亭縣衛(wèi)生行政管理部門、各醫(yī)療衛(wèi)生機構、相關單位和居民產(chǎn)生良好的社會效益和經(jīng)濟效益。社會效益1）華亭縣借助區(qū)域醫(yī)療信息集成平臺，可以為華亭縣提供應急指揮的信息支撐系統(tǒng)，提高決策水平和效率，為民辦實事。政府可以利用突發(fā)公共衛(wèi)生事件應急指揮和處理平臺，結合社會各方的資源，加強對突發(fā)公共衛(wèi)生事件的監(jiān)測和預警。當有突發(fā)公共衛(wèi)生事件發(fā)生時，可以按照應急預案及其啟動程序要求，應對各種突發(fā)公共衛(wèi)生事件，保證突發(fā)公共衛(wèi)生事件應急處理工作能有力、有效、有序地進行，維護正常的社會秩序和生活秩序。市政府通過網(wǎng)絡可以隨時查閱區(qū)域內醫(yī)療衛(wèi)生行業(yè)各種最新的統(tǒng)計數(shù)據(jù)，加強宏觀管理，優(yōu)化衛(wèi)生資源的配置，能夠為城鄉(xiāng)居民提供更加便捷的健康服務，保障阿榮旗區(qū)域內各類人群的健康需求，增強區(qū)域競爭能力。通過網(wǎng)絡全面掌握華亭縣全區(qū)域的醫(yī)療衛(wèi)生服務體系、救助體系、保障體系等方面的詳細資訊，為制定區(qū)域內醫(yī)療和公共衛(wèi)生政策提供準確依據(jù)。2）華亭縣衛(wèi)生行政主管部門區(qū)域醫(yī)療信息集成平臺建成后，可以提高對衛(wèi)生資源的調配力度，增強衛(wèi)生決策能力，建立應對突發(fā)公共衛(wèi)生事件輔助決策系統(tǒng)。各醫(yī)院、各科室可以及時獲得宏觀管理所需的數(shù)據(jù)支持,以輔助其決策，高效開展電子政務、疫情監(jiān)測、應急聯(lián)動等工作?？h政府、醫(yī)療衛(wèi)生主管單位對各醫(yī)療衛(wèi)生單位的監(jiān)督、管理更加及時和準確，提高對整體衛(wèi)生資源的調配能力，加強對疾病與疫情的控制，加強衛(wèi)生監(jiān)督，提高行業(yè)內的應急指揮處理能力。衛(wèi)生信息的發(fā)布與公示將更有利于加強對醫(yī)療機構的管理和約束，增強政策的透明度。通過信息化建設，能夠更好地滿足城鄉(xiāng)居民基本醫(yī)療衛(wèi)生服務需求，加強公共衛(wèi)生、農(nóng)村衛(wèi)生和社區(qū)衛(wèi)生建設，優(yōu)化衛(wèi)生資源配置，促進衛(wèi)生資源的有效利用。3）華亭縣醫(yī)療衛(wèi)生機構衛(wèi)生信息系統(tǒng)建成后，各醫(yī)療衛(wèi)生機構可以全面優(yōu)化和整合醫(yī)院內部與外部的信息資源，實現(xiàn)醫(yī)院基本業(yè)務系統(tǒng)、管理系統(tǒng)、電子病歷系統(tǒng)、辦公自動化系統(tǒng)、醫(yī)學文獻系統(tǒng)、遠程醫(yī)療和遠程教學系統(tǒng)等系統(tǒng)的建設和融合，提高醫(yī)院的整體運作效率，讓患者得到更加先進、便捷、人性化的醫(yī)療服務，全面提高醫(yī)院服務水平、技術水平及管理水平。各醫(yī)療衛(wèi)生單位可利用互聯(lián)互通的醫(yī)療衛(wèi)生網(wǎng)絡體系進行全區(qū)的醫(yī)療信息共享，將極大地增加衛(wèi)生資源的利用率。同時能夠改進醫(yī)務人員的工作模式，實現(xiàn)實時的環(huán)節(jié)質控，提高醫(yī)療服務質量。各醫(yī)療機構的醫(yī)護人員可以通過網(wǎng)絡調閱全區(qū)共享的電子病歷、健康檔案，查詢各種醫(yī)學文獻，提高醫(yī)院的醫(yī)療水平、醫(yī)療質量和工作效率（預計單位時間內每個醫(yī)護人員服務患者的人數(shù)可增加10%-20%）。醫(yī)院運用信息網(wǎng)絡進行遠程醫(yī)療、健康咨詢等業(yè)務，更好地為人民群眾的健康服務。疾病監(jiān)控部門能夠提高免疫預防、慢性病管理、疫情報告和監(jiān)測工作的管理水平，強化對免疫接種信息、生物制品信息的統(tǒng)計、分析功能，加強慢性病分析、指導、管理功能，提高疫情預警、預報的能力和水平。有利于衛(wèi)生監(jiān)督部門建立衛(wèi)生監(jiān)督信息系統(tǒng)功能規(guī)范和信息標準體系，實現(xiàn)網(wǎng)上受理審批，監(jiān)督信息公布查詢等信息化應用目標。4）華亭縣公共衛(wèi)生機構（1）疾病預防控制機構疾病預防控制機構能夠實時獲取疾病個案信息，智能分析出區(qū)域群體疫情信息，提高上報效率和質量，實現(xiàn)傳染病、慢病、精神病等疾病的實時監(jiān)控和預警報告。（2）婦幼保健機構婦幼保健機構能夠得到更豐富的信息，提供更優(yōu)質、更全面的婦幼保健服務。婦幼各業(yè)務工作量大，通過人口健康信息化平臺能夠建立與其他機構和衛(wèi)生行政部門的橫向網(wǎng)絡體系，完成婦幼保健信息與其他信息系統(tǒng)數(shù)據(jù)的共享與交換，實現(xiàn)婦幼保健業(yè)務與醫(yī)療業(yè)務，做到數(shù)據(jù)一處錄入，多處利用；實現(xiàn)婦幼保健行政管理業(yè)務的全面整合。（3）健康教育機構能夠獲得更全面、更準確的疾病分布情況和居民對健康教育的需求信息，有針對地進行健康教育計劃，發(fā)布健康教育知識，舉辦健康教育活動，評價健康教育效果，進行健康知識測試等一系列健康教育活動，提升全市民眾的健康水平。（4）華亭縣城鄉(xiāng)居民區(qū)域醫(yī)療信息集成平臺項目建成后，城鄉(xiāng)居民可以享受更高品質的醫(yī)療衛(wèi)生服務，及時獲取有效的醫(yī)藥保健信息，提高生活質量。通過提高醫(yī)療機構的醫(yī)療服務質量和服務效率，降低醫(yī)療成本，有效緩解“看病難、看病貴”的狀況，構建和諧醫(yī)患關系。建立區(qū)域性健康檔案，實現(xiàn)健康信息共享，改變城鄉(xiāng)居民的就醫(yī)觀念，逐步實現(xiàn)“小病在社區(qū),大病在醫(yī)院”。為城鄉(xiāng)居民提供方便、快捷、全面、科學的健康服務和保障。居民可以通過網(wǎng)絡在家中查詢自己的健康資料，或使用全區(qū)統(tǒng)一的健康卡在各醫(yī)療機構中進行就診，享受便捷的、全方位的疾病診治、醫(yī)療咨詢、健康教育、醫(yī)療保健等健康服務。提高衛(wèi)生服務的透明度，讓群眾明明白白消費享受醫(yī)療服務。各醫(yī)療機構可運用衛(wèi)生信息網(wǎng)為居民提供主動的、人性化的健康服務，將有助于增強居民的健康保健意識，極大地提高居民的健康水平與生活質量。（5）華亭縣相關部門人口健康信息化平臺建成后，有利于各相關部門加強溝通，密切配合，提高業(yè)務能力，增強服務功能。商業(yè)保險公司、銀行、醫(yī)療機構等相關單位可以借助該信息網(wǎng)絡平臺開展健康保險、信用卡支付、健康咨詢、網(wǎng)上掛號、網(wǎng)上申報等增值業(yè)務，為居民提供更加豐富更加便捷的健康服務?；颊咴诟鱾€醫(yī)院的診療信息資源可以重復利用，減少了重復的醫(yī)療支出，將大大地降低醫(yī)療支付的費用，預計可節(jié)省10%-30%。藥監(jiān)部門可以利用其豐富的藥品使用有關數(shù)據(jù)進行不良藥物事件的監(jiān)測，進行用藥分析等等。經(jīng)濟效益1、建立統(tǒng)一的醫(yī)療資源平臺信息化的醫(yī)療模式以病患為中心，使不同層級醫(yī)院、醫(yī)療管理部門以及患者之間能夠在信息資源共享的條件下，實現(xiàn)跨組織、高效率的網(wǎng)絡交流和協(xié)調配合。通過統(tǒng)一的信息化平臺，消費者、醫(yī)療服務提供者和政府管理機構可以逐步建立起相互信賴的關系，進而降低成本、優(yōu)化醫(yī)療服務資源配置。2、實現(xiàn)信息協(xié)作與多方共贏通過區(qū)域醫(yī)療信息集成平臺，各衛(wèi)生機構可以更加便利地進行信息共享和分工協(xié)作。對醫(yī)療機構而言，方便了醫(yī)生診療、有利于提高醫(yī)療質量；對科研機構而言，對醫(yī)學科學專題研究等提供了有效的信息獲取來源；對于衛(wèi)生管理機構而言，在降低居民醫(yī)療支出的同時也減少了大型檢查設備重復投資造成的浪費；對公共衛(wèi)生應急保障機構，由于系統(tǒng)能及時監(jiān)控到異常及突發(fā)病歷情況，使得衛(wèi)生管理機構能對類似情況進行預防與管理。3、減少重復投資和建設成本通過區(qū)域醫(yī)療信息共享打破了傳統(tǒng)的條塊分割，為醫(yī)療資源共享開辟一條新路。經(jīng)過授權的各醫(yī)院及衛(wèi)生機構可以從統(tǒng)一的平臺提取、更新、保存信息。這種以“區(qū)域政府主導、第三方平臺共享式”的醫(yī)療協(xié)同模式的好處是以區(qū)域為中心，直接共享，影響范圍大，減少了重復投資和建設成本。4、提高醫(yī)療機構的服務質量區(qū)域醫(yī)療信息信息化的深入人心，必將醫(yī)療機構業(yè)務流程信息化、醫(yī)療機構業(yè)務管理信息化、患者服務信息化三條線滿足醫(yī)療機構業(yè)務的發(fā)展需求。第一、提升醫(yī)療機構業(yè)務的整體形；第二、開源節(jié)流，查漏補缺，實現(xiàn)人、財、物規(guī)范化管理；第三、提供輔助決策支持、降低管理成本；第四、醫(yī)療行為得到規(guī)范，在加速培養(yǎng)高水平醫(yī)務人員上起到了極大的作用；第五、使業(yè)務更加透明化，從而杜絕許多管理中的“貓膩”現(xiàn)象，減少了醫(yī)療糾紛。5、真正解決看病難和貴的問題遠程會診、遠程預約掛號、遠程查詢、遠程醫(yī)療咨詢等可為百姓就醫(yī)大