醫(yī)院基礎(chǔ)信息系統(tǒng)資源建設(shè)需求

醫(yī)院基礎(chǔ)信息系統(tǒng)資源建設(shè)需求基礎(chǔ)信息系統(tǒng)建設(shè)需求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)概述醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)需要符合未來以電子病歷系統(tǒng)為核心，多種醫(yī)療應(yīng)用系統(tǒng)（如HIS、PACS、LIS）集成，擁有有線和無線網(wǎng)絡(luò)覆蓋，集成語音、數(shù)據(jù)、視頻和虛擬化特性，支持遠(yuǎn)程醫(yī)療、遠(yuǎn)程會(huì)診、網(wǎng)上預(yù)約及檢驗(yàn)結(jié)果查詢、系統(tǒng)遠(yuǎn)程維護(hù)等功能，具備高可靠性、可用性、高安全性以及高性能，需要根據(jù)現(xiàn)有醫(yī)療系統(tǒng)的需求，以及未來5～10年運(yùn)營發(fā)展需要，建設(shè)全新的網(wǎng)絡(luò)系統(tǒng)，是醫(yī)院信息化發(fā)展和智能化建設(shè)的核心內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)覆蓋了整個(gè)醫(yī)院各區(qū)域，根據(jù)所承載業(yè)務(wù)劃分為內(nèi)網(wǎng)、外網(wǎng)、無線專網(wǎng)3張網(wǎng)絡(luò)。隨著醫(yī)院智能化，數(shù)字化和網(wǎng)絡(luò)化的發(fā)展，越來越多的智能化、信息化子系統(tǒng)通過TCP/IP網(wǎng)絡(luò)IPv4/IPv6進(jìn)行通信和數(shù)據(jù)傳輸，計(jì)算機(jī)網(wǎng)絡(luò)成為眾多智能化子系統(tǒng)的共用網(wǎng)絡(luò)平臺(tái)。各個(gè)專用網(wǎng)絡(luò)的概述如下：內(nèi)網(wǎng)：用于承載醫(yī)院內(nèi)部業(yè)務(wù)系統(tǒng)，采用三層雙星型結(jié)構(gòu)，分別為核心層、匯聚層、接入層。采用雙核心模式。核心層與匯聚層之間采用雙鏈路萬兆以太網(wǎng)技術(shù)，匯聚層與接入層之間采用千兆以太網(wǎng)鏈路，實(shí)現(xiàn)主干萬兆，千兆到桌面。醫(yī)院內(nèi)網(wǎng)承載醫(yī)院信息系統(tǒng)服務(wù),如信息集成平臺(tái)、一體化電子病歷、患者服務(wù)HIS系統(tǒng)，提供高帶寬、高可靠性，并具備將來醫(yī)院信息系統(tǒng)的擴(kuò)容和帶寬升級(jí)的條件。醫(yī)療設(shè)備專網(wǎng)外網(wǎng)：醫(yī)院外網(wǎng)用于醫(yī)院工作人員日常Internet訪問以及遠(yuǎn)程醫(yī)療連接使用。采用三層雙星型結(jié)構(gòu)，分別為核心層、匯聚層、接入層。采用雙核心模式。核心層與匯聚層之間采用雙鏈路萬兆以太網(wǎng)技術(shù)，匯聚層與接入層之間采用千兆以太網(wǎng)鏈路，實(shí)現(xiàn)主干萬兆，千兆到桌面。醫(yī)院外網(wǎng)承載醫(yī)院信息系統(tǒng)服務(wù)，如互聯(lián)網(wǎng)醫(yī)院等，提供高帶寬、高可靠性，并具備將來醫(yī)院信息系統(tǒng)的擴(kuò)容和帶寬升級(jí)的條件。無線專網(wǎng)：主要承載醫(yī)院內(nèi)外網(wǎng)無線網(wǎng)絡(luò)應(yīng)用以及擴(kuò)展物聯(lián)網(wǎng)應(yīng)用，同樣采用三層雙星網(wǎng)絡(luò)結(jié)構(gòu)，覆蓋所有病房區(qū)、病房大廳、出入院辦理大廳、門診大廳、網(wǎng)絡(luò)中心機(jī)房辦公區(qū)、辦公區(qū)、會(huì)議室、培訓(xùn)接待室，保證信號(hào)無死角。為移動(dòng)查房、移動(dòng)辦公、無線定位等應(yīng)用提供支撐。未來可根據(jù)不同應(yīng)用場(chǎng)景在對(duì)應(yīng)的無線專網(wǎng)AP上擴(kuò)展藍(lán)牙、RFID、LORA等物聯(lián)網(wǎng)模塊提供物聯(lián)網(wǎng)設(shè)備接入能力。醫(yī)院內(nèi)網(wǎng)、醫(yī)療設(shè)備專網(wǎng)、外網(wǎng)、無線專網(wǎng)均采用三層雙星型結(jié)構(gòu)，分別為核心層、匯聚層、接入層。接入層交換機(jī)部署在每層樓的弱電間，通過雙萬兆上聯(lián)匯聚交換機(jī)；匯聚層采用雙機(jī)熱備架構(gòu)，部署在每棟主建筑的匯聚弱電間，匯聚層均各自通過萬兆雙鏈路連接到核心交換機(jī)設(shè)備；核心層部署按雙活災(zāi)備架構(gòu)，即C區(qū)八層的主數(shù)據(jù)中心和地下一層的備數(shù)據(jù)中心，醫(yī)院內(nèi)網(wǎng)、外網(wǎng)和無線專網(wǎng)分別配置2臺(tái)核心交換機(jī)，形成了本地雙活災(zāi)備的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。內(nèi)網(wǎng)詳細(xì)方案內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)內(nèi)網(wǎng)作為院區(qū)信息系統(tǒng)的核心，醫(yī)院的重要業(yè)務(wù)系統(tǒng)部署在內(nèi)網(wǎng)上，其穩(wěn)定性和可靠性直接影響到整個(gè)醫(yī)院信息化的運(yùn)營，因此內(nèi)網(wǎng)使用擴(kuò)展性、靈活性、可靠性較的三層網(wǎng)絡(luò)結(jié)構(gòu)，包括核心層、匯聚層、接入層，核心層和匯聚層設(shè)計(jì)雙機(jī)提高網(wǎng)絡(luò)可用性，內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖所示。內(nèi)網(wǎng)的接入終端包括內(nèi)網(wǎng)辦公終端、醫(yī)療設(shè)備和智能化設(shè)備，醫(yī)療設(shè)備及智能化設(shè)備分別劃分在獨(dú)立的VLAN中，與其他業(yè)務(wù)邏輯隔離，保障醫(yī)療設(shè)備與智能化設(shè)備的業(yè)務(wù)正常運(yùn)轉(zhuǎn)。內(nèi)網(wǎng)核心層本期在內(nèi)網(wǎng)核心層部署兩臺(tái)核心交換機(jī)，分別部署在C區(qū)八層主數(shù)據(jù)機(jī)房和地下一層備數(shù)據(jù)機(jī)房，為醫(yī)院內(nèi)網(wǎng)提供快速的數(shù)據(jù)交換和極高的可用性，選用交換性能和可靠性極高的高端路由交換設(shè)備。為保證穩(wěn)定性和可靠性，內(nèi)網(wǎng)兩個(gè)數(shù)據(jù)中心均部署兩臺(tái)數(shù)據(jù)中心級(jí)高性能的核心交換機(jī)，通過虛擬化技術(shù)，構(gòu)建兩組核心；核心設(shè)備還必須采用電源、風(fēng)扇、主控、交換網(wǎng)板冗余等特性。主備兩臺(tái)核心交換機(jī)之間采用2條10G鏈路互連，部署虛擬化技術(shù)，使兩臺(tái)核心設(shè)備虛擬成為一臺(tái)設(shè)備，提高核心交換整體性能，保障可靠運(yùn)行，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)管理，兩臺(tái)核心交換機(jī)與匯聚交換機(jī)通過10GE光纖鏈路互連，形成萬兆網(wǎng)絡(luò)骨干。同時(shí)在核心層設(shè)置安全網(wǎng)關(guān)分別與其他醫(yī)療專網(wǎng)（包括其他院區(qū)及醫(yī)保/銀聯(lián)）以及內(nèi)網(wǎng)服務(wù)器區(qū)互聯(lián)，設(shè)置安全運(yùn)維管理區(qū)旁掛于核心交換機(jī)。內(nèi)網(wǎng)匯聚層匯聚設(shè)備作為三層網(wǎng)關(guān)，為接入設(shè)備提供余鏈路至核心層節(jié)點(diǎn)，實(shí)現(xiàn)區(qū)域級(jí)的網(wǎng)絡(luò)匯聚和對(duì)路由策略的控制。本期內(nèi)網(wǎng)設(shè)備設(shè)置A區(qū)一層匯聚弱電間、B區(qū)一層匯聚弱電間、C區(qū)一層匯聚弱電間3個(gè)匯聚節(jié)點(diǎn)；智能化設(shè)備設(shè)置A區(qū)四層匯聚弱電間、B區(qū)六層匯聚弱電間、C區(qū)八層主數(shù)據(jù)機(jī)房3個(gè)匯聚節(jié)點(diǎn)。匯聚交換機(jī)應(yīng)當(dāng)提供不少于48個(gè)10GESFP+光口，同時(shí)具備模塊化的雙風(fēng)扇和雙電源，能夠滿足區(qū)域級(jí)萬兆匯聚的需求。每個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)通過虛擬化堆疊，將雙設(shè)備虛擬為一臺(tái)邏輯設(shè)備，提高核心交換整體性能，保障可靠運(yùn)行，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)管理。每臺(tái)匯聚交換機(jī)分別通過2條10GE光纖鏈路上聯(lián)核心交換機(jī)，形成雙口字形連接。上聯(lián)接口配置為三層模式，運(yùn)行路由協(xié)議，同時(shí)配合核心層的虛擬化堆疊，可以實(shí)現(xiàn)跨設(shè)備鏈路聚合，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。匯聚交換機(jī)向下提供萬兆以太網(wǎng)光口連接接入交換機(jī)，下聯(lián)接口統(tǒng)一配置為二層trunk。通過在匯聚層部署虛擬化堆疊，在不需要VRRP的情況下實(shí)現(xiàn)網(wǎng)關(guān)熱備，達(dá)到毫秒級(jí)別的故障切換，當(dāng)一個(gè)匯聚層節(jié)點(diǎn)發(fā)生故障或被拆除時(shí)，不會(huì)影響端點(diǎn)與缺省網(wǎng)關(guān)的連接。內(nèi)網(wǎng)接入層接入層是負(fù)責(zé)連接業(yè)務(wù)終端，根據(jù)弱電間布局及終端數(shù)量等因素配置相應(yīng)的接入交換機(jī)。室內(nèi)安防監(jiān)控?cái)z像頭等部分智能化設(shè)備通過POE交換機(jī)進(jìn)行統(tǒng)一供電。48千兆電口交換機(jī)：支持48個(gè)10/100/1000BASE-T電口，4個(gè)1/10GESFP+光口。48萬兆POE交換機(jī)：支持48個(gè)10/100/1000BASE-TPoE+電口，支持4個(gè)10GESFP+端口。接入交換機(jī)應(yīng)當(dāng)支持所有端口的線速轉(zhuǎn)發(fā)，接入交換機(jī)不進(jìn)行堆疊，每臺(tái)交換機(jī)單獨(dú)上聯(lián)匯聚交換機(jī)。接入層和匯聚層之間不需要運(yùn)行生成樹協(xié)議，實(shí)現(xiàn)跨設(shè)備鏈路聚合，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。內(nèi)網(wǎng)外聯(lián)區(qū)根據(jù)院區(qū)業(yè)務(wù)規(guī)劃設(shè)計(jì)，內(nèi)網(wǎng)需要對(duì)外連接醫(yī)保專線和銀聯(lián)專線、醫(yī)療行業(yè)云等區(qū)域，通過租用電信運(yùn)營商數(shù)字專線進(jìn)行互聯(lián)。本項(xiàng)目院區(qū)醫(yī)院內(nèi)網(wǎng)將租用2條1G數(shù)字專線與聯(lián)通醫(yī)療云互聯(lián)，租用1條1G數(shù)字專線與珠江新城院區(qū)互聯(lián)，租用1條1G數(shù)字專線與醫(yī)療行業(yè)云互聯(lián)。與聯(lián)通醫(yī)療云、醫(yī)療行業(yè)云的組網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示，主要信息化系統(tǒng)部署于聯(lián)通云，多個(gè)院區(qū)之間通過多個(gè)環(huán)狀網(wǎng)絡(luò)互連，整體上是分布多地的多個(gè)院區(qū)內(nèi)部互聯(lián)和多地多專線出口的網(wǎng)絡(luò)結(jié)構(gòu)。將在院區(qū)本地建立應(yīng)急災(zāi)備中心，將聯(lián)通云上的核心業(yè)務(wù)系統(tǒng)進(jìn)行容災(zāi)備份。院區(qū)通過專線與醫(yī)療行業(yè)云互通，將醫(yī)療相關(guān)數(shù)據(jù)推送至醫(yī)療行業(yè)云。外網(wǎng)詳細(xì)方案外網(wǎng)網(wǎng)絡(luò)架構(gòu)醫(yī)院外網(wǎng)承載著一些對(duì)公眾及外網(wǎng)開放的業(yè)務(wù)系統(tǒng)，如互聯(lián)網(wǎng)醫(yī)院、郵件系統(tǒng)等，同內(nèi)網(wǎng)一樣采用三層網(wǎng)絡(luò)結(jié)構(gòu)，包括核心層、匯聚層、接入層，核心層和匯聚層設(shè)計(jì)雙機(jī)提高網(wǎng)絡(luò)可用性，并在出口設(shè)置上網(wǎng)行為管理、抗DDOS流量清洗系統(tǒng)等針對(duì)互聯(lián)網(wǎng)的安全防護(hù)設(shè)備。外網(wǎng)核心層本期在外網(wǎng)核心層部署兩臺(tái)核心交換機(jī)，分別部署在C區(qū)八層主數(shù)據(jù)機(jī)房和地下一層備數(shù)據(jù)機(jī)房，為醫(yī)院內(nèi)網(wǎng)提供快速的數(shù)據(jù)交換和極高的可用性，選用交換性能和可靠性極高的高端路由交換設(shè)備。為保證穩(wěn)定性和可靠性，內(nèi)網(wǎng)兩個(gè)數(shù)據(jù)中心均部署兩臺(tái)數(shù)據(jù)中心級(jí)高性能的核心交換機(jī)，通過虛擬化技術(shù)，構(gòu)建兩組核心；核心設(shè)備還必須采用電源、風(fēng)扇、主控、交換網(wǎng)板冗余等特性。主備兩臺(tái)核心交換機(jī)之間采用2條10G鏈路互連，進(jìn)行虛擬化堆疊，使兩臺(tái)核心設(shè)備虛擬成為一臺(tái)設(shè)備，提高核心交換整體性能，保障可靠運(yùn)行，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)管理，兩臺(tái)核心交換機(jī)與匯聚交換機(jī)通過10GE光纖鏈路互連，形成萬兆網(wǎng)絡(luò)骨干。同時(shí)在核心層設(shè)置安全網(wǎng)關(guān)分別與互聯(lián)網(wǎng)互聯(lián)，設(shè)置安全運(yùn)維管理區(qū)旁掛于核心交換機(jī)。外網(wǎng)匯聚層匯聚設(shè)備作為三層網(wǎng)關(guān)，為接入設(shè)備提供余鏈路至核心層節(jié)點(diǎn)，實(shí)現(xiàn)區(qū)域級(jí)的網(wǎng)絡(luò)匯聚和對(duì)路由策略的控制。本期設(shè)置A區(qū)一層匯聚弱電間、B區(qū)一層匯聚弱電間、C區(qū)一層匯聚弱電間3個(gè)匯聚節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)雙機(jī)熱備。匯聚交換機(jī)應(yīng)當(dāng)提供不少于48個(gè)10GESFP+光口，同時(shí)具備模塊化的雙風(fēng)扇和雙電源，能夠滿足區(qū)域級(jí)萬兆匯聚的需求。每個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)進(jìn)行虛擬化堆疊，將雙設(shè)備虛擬為一臺(tái)邏輯設(shè)備，提高核心交換整體性能，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)管理。每臺(tái)匯聚交換機(jī)分別通過2條10GE光纖鏈路上聯(lián)核心交換機(jī)，形成雙口字形連接。上聯(lián)接口配置為三層模式，運(yùn)行路由協(xié)議，同時(shí)配合核心層的虛擬化堆疊，可以實(shí)現(xiàn)跨設(shè)備鏈路聚合，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。匯聚交換機(jī)向下提供萬兆以太網(wǎng)光口連接接入交換機(jī)，下聯(lián)接口統(tǒng)一配置為二層trunk。通過在匯聚層部署虛擬化堆疊，在不需要VRRP的情況下實(shí)現(xiàn)網(wǎng)關(guān)熱備，達(dá)到毫秒級(jí)別的故障切換，當(dāng)一個(gè)匯聚層節(jié)點(diǎn)發(fā)生故障或被拆除時(shí)，不會(huì)影響端點(diǎn)與缺省網(wǎng)關(guān)的連接。外網(wǎng)接入層接入層是負(fù)責(zé)連接業(yè)務(wù)終端，根據(jù)弱電間布局及終端數(shù)量等因素配置相應(yīng)的接入交換機(jī)。48千兆電口交換機(jī)：支持48個(gè)GE電口，4個(gè)10GESFP+光口。接入交換機(jī)應(yīng)當(dāng)支持所有端口的線速轉(zhuǎn)發(fā)，接入交換機(jī)不進(jìn)行堆疊，每臺(tái)交換機(jī)單獨(dú)上聯(lián)匯聚交換機(jī)。接入層和匯聚層之間不需要運(yùn)行生成樹協(xié)議，實(shí)現(xiàn)跨設(shè)備鏈路聚合，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。外網(wǎng)外聯(lián)區(qū)根據(jù)院區(qū)業(yè)務(wù)規(guī)劃設(shè)計(jì)，外網(wǎng)需要通過運(yùn)營商的專線對(duì)外連接到互聯(lián)網(wǎng)，部署兩臺(tái)高性能的專線防火墻實(shí)現(xiàn)與外聯(lián)業(yè)務(wù)的對(duì)接。本項(xiàng)目需申請(qǐng)1條互聯(lián)網(wǎng)專線，單條專線帶寬不低于200M（上下行均等），滿足上網(wǎng)需求。無線專網(wǎng)詳細(xì)方案網(wǎng)絡(luò)架構(gòu)整體無線網(wǎng)絡(luò)架構(gòu)如下圖所示，內(nèi)網(wǎng)及外網(wǎng)共用一個(gè)無線專網(wǎng)，通過SSID進(jìn)行區(qū)分，并根據(jù)接入SSID的不同設(shè)置不同的安全管理策略。本期在無線專網(wǎng)核心層部署兩臺(tái)核心交換機(jī)，分別部署在C區(qū)八層主數(shù)據(jù)機(jī)房和地下一層備數(shù)據(jù)機(jī)房，為醫(yī)院智能化專網(wǎng)提供快速的數(shù)據(jù)交換和極高的可用性，選用交換性能和可靠性極高的高端路由交換設(shè)備。核心交換機(jī)要求采用正交架構(gòu)，以保證核心設(shè)備數(shù)據(jù)交換的無阻塞。為保證穩(wěn)定性和可靠性。主備兩臺(tái)核心交換機(jī)之間采用2條10G鏈路互連，部署虛擬化技術(shù)，使兩臺(tái)核心設(shè)備虛擬成為一臺(tái)設(shè)備，提高核心交換整體性能，保障可靠運(yùn)行，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)管理，兩臺(tái)核心交換機(jī)與匯聚交換機(jī)通過10GE光纖鏈路互連，形成萬兆網(wǎng)絡(luò)骨干。無線專網(wǎng)采用“接入——匯聚——核心”三層架構(gòu)，能靈活地貼合于醫(yī)療網(wǎng)的應(yīng)用場(chǎng)景，便于進(jìn)行流量整型以及醫(yī)療網(wǎng)內(nèi)各子系統(tǒng)間的策略管控。核心、匯聚交換機(jī)采用雙機(jī)，可部署設(shè)備虛擬化或HA模式，接入交換機(jī)采用堆疊技術(shù)保證高可用?；ヂ?lián)鏈路冗余部署，并采用鏈路綁定技術(shù)，提高帶寬容量。無線接入管理服務(wù)器（AC）部署于核心交換機(jī)下，無線AP接入各樓層的接入交換機(jī)下。內(nèi)網(wǎng)、外網(wǎng)采用同一套AP接入設(shè)備，承載醫(yī)療網(wǎng)和外網(wǎng)的無線應(yīng)用需求。無線控制器接在醫(yī)療網(wǎng)核心交換機(jī)下，醫(yī)療網(wǎng)的無線訪問采取集中轉(zhuǎn)發(fā)方式，外網(wǎng)的無線訪問使用分布式，經(jīng)有線網(wǎng)絡(luò)路徑訪問相關(guān)應(yīng)用。采用DTLS隧道加密技術(shù)，將控制報(bào)文和數(shù)據(jù)報(bào)文均加密，SSID完全獨(dú)立，同時(shí)，可基于SSID的流量限速，可保證內(nèi)網(wǎng)SSID使用更多的射頻資源，限制外網(wǎng)SSID的流量。無線網(wǎng)絡(luò)采用集中式管理的瘦無線AP＋集中控制器架構(gòu)，該無線架構(gòu)具有簡(jiǎn)單而強(qiáng)大的無線局域網(wǎng)集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是從無線控制器上獲取的，通過無線控制器就可以統(tǒng)一管理整個(gè)無線網(wǎng)絡(luò)的AP。網(wǎng)管人員只需簡(jiǎn)單地配置無線交換機(jī)，即可實(shí)現(xiàn)開通、管理和維護(hù)所有AP設(shè)備以及移動(dòng)終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。無線AP部署設(shè)計(jì)本方案為了更好的承載醫(yī)院無線業(yè)務(wù)，根據(jù)醫(yī)院院區(qū)場(chǎng)景的應(yīng)用特點(diǎn)，采用先進(jìn)的無線部署方案，并充分考慮了擴(kuò)展性，支持醫(yī)療物聯(lián)網(wǎng)的擴(kuò)展，利用Wi-Fi5和Wi-Fi6融合的部署方案，打造高性能的無線物聯(lián)網(wǎng)融合AP進(jìn)行無線的覆蓋。病房場(chǎng)景針對(duì)醫(yī)院病區(qū)，包括病房、護(hù)士站、走廊、配藥室、隔離病房、小型會(huì)議室、醫(yī)生辦公室、雜物間等，功能區(qū)眾多，而且住院病房門口的衛(wèi)生間成為了Wi-Fi信號(hào)最大的障礙。智能終端原本就已經(jīng)不是很強(qiáng)的Wi-Fi信號(hào)，在穿越兩層墻體后，信號(hào)已經(jīng)衰減了很多，很難支撐正常的智能終端對(duì)信號(hào)的要求?？紤]到病區(qū)的多房間特殊場(chǎng)景，本場(chǎng)景建議采用AP入室的設(shè)計(jì)方式，使病房?jī)?nèi)的無線信號(hào)不受任何墻體的阻隔，使信號(hào)達(dá)到最優(yōu)。本場(chǎng)景無線融合物聯(lián)網(wǎng)AP進(jìn)行病區(qū)無線信號(hào)的覆蓋。支持802.11ax最新技術(shù)標(biāo)準(zhǔn)，能夠?qū)崿F(xiàn)每個(gè)房間部署一個(gè)無線接入點(diǎn)，實(shí)際信號(hào)效果好，有效避免穿墻等因素的影響，同時(shí)每房間獨(dú)立享用單個(gè)接入點(diǎn)千兆帶寬，讓用戶的體驗(yàn)達(dá)到有線接入一般的高速效果。全部?jī)?nèi)置天線，安裝方式簡(jiǎn)單靈活，支持86盒安裝、壁掛、吸頂?shù)榷喾N安裝方式。公共空間、大型會(huì)議室等場(chǎng)景針對(duì)公共空間和大型會(huì)議室、大型辦公室等場(chǎng)景，人數(shù)眾多，流量帶寬要求高，選用放裝型AP進(jìn)行無線覆蓋，支持最新Wi-Fi6協(xié)議，實(shí)現(xiàn)天線入室覆蓋，取得最佳的覆蓋效果，能夠在設(shè)備上采用通用外置模塊增加多種物聯(lián)網(wǎng)無線方式的接入。在高密場(chǎng)景下，采用三頻Wi-Fi6設(shè)備，上行鏈路采用雙千兆以太網(wǎng)接口，突破了千兆速率的限制，使無線多媒體應(yīng)用成為現(xiàn)實(shí)，開啟萬物互聯(lián)新時(shí)代。為方便統(tǒng)一管理，提高設(shè)備的安全性，本次無線供電設(shè)計(jì)采用PoE供電的方式對(duì)無線AP進(jìn)行遠(yuǎn)程供電。高密場(chǎng)景下，針對(duì)Wi-Fi6三頻產(chǎn)品，采用多速率交換機(jī)，避免接口速率成為瓶頸，PoE供電方式具備以下幾點(diǎn)優(yōu)勢(shì)：首先，安全性更高，通過網(wǎng)線進(jìn)行供電可以避免本地電源的使用，有效減少強(qiáng)電部署，提高全院的用電安全；另外，通過PoE供電可以實(shí)現(xiàn)對(duì)AP供電的管理，實(shí)現(xiàn)AP的定時(shí)開關(guān)，一方面提高無線網(wǎng)絡(luò)的安全性（不必要使用時(shí)可關(guān)閉無線網(wǎng)絡(luò)），另一方面，還可以節(jié)省日常費(fèi)用（不必要使用時(shí)，關(guān)閉AP節(jié)省用電）。物聯(lián)網(wǎng)擴(kuò)展無線AP可通過外置模塊擴(kuò)展的方式可支持RFID、RORA、Zigbee、Bluetooth、UWB等標(biāo)準(zhǔn)模塊的任意組合。信號(hào)強(qiáng)度設(shè)計(jì)醫(yī)院網(wǎng)絡(luò)中使用的智能終端硬件種類和操作系統(tǒng)龐雜，各廠家PDA、PAD、手機(jī)等多達(dá)上百款，操作系統(tǒng)有iOS、Andriod和WinMobile，這些新型智能終端不同于筆記本電腦，它采用了低功耗系統(tǒng)結(jié)構(gòu)，包括芯片在內(nèi)的各類元器件的功率普遍非常低，因此導(dǎo)致了Wi-Fi網(wǎng)絡(luò)的回傳信號(hào)普遍比較弱，而且很多終端的網(wǎng)卡漫游功能設(shè)計(jì)不理想。面對(duì)這樣的智能終端，更強(qiáng)、更均勻的Wi-Fi信號(hào)覆蓋可以彌補(bǔ)其自身信號(hào)弱的問題。不同無線接入?yún)^(qū)域AP的Wi-Fi信號(hào)強(qiáng)度應(yīng)滿足一定的標(biāo)準(zhǔn)才能保證AP與智能終端之間信號(hào)的有效交互，從而保證無線覆蓋的效果。覆蓋區(qū)信號(hào)強(qiáng)度不僅要在終端的接收靈敏度以上，更重要的是還要達(dá)到漫游切換的要求。無線局域網(wǎng)室內(nèi)覆蓋主要特點(diǎn)是：覆蓋范圍較小，環(huán)境變動(dòng)較大，包括病房、護(hù)士站、走廊、配藥室、隔離病房、會(huì)議室、大套間、醫(yī)生辦公室、雜物間等，功能區(qū)眾多，而且住院病房門口的衛(wèi)生間成為了Wi-Fi信號(hào)最大的障礙。智能終端原本就已經(jīng)不是很強(qiáng)的Wi-Fi信號(hào)，在穿越兩層墻體后，信號(hào)已經(jīng)衰減了很多，很難支撐正常的智能終端對(duì)信號(hào)的要求。例如，2.4GHz電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下： 隔墻的阻擋（磚墻厚度100-300mm）：20-40dB； 樓層的阻擋：20dB以上； 木制家具、門和其它木板隔墻的阻擋：2-15dB； 厚玻璃（12mm）：10dB；同時(shí)，在衡量墻壁等對(duì)于AP信號(hào)的穿透損耗時(shí)，也需要考慮AP信號(hào)入射角度。例如，一面0.5米厚的墻壁，當(dāng)AP信號(hào)和覆蓋區(qū)域之間直線連接呈45°角入射時(shí)，無線信號(hào)相當(dāng)于穿透近1米厚的墻壁；在2°角時(shí)相當(dāng)于超過14米厚的墻壁，所以要獲取更好的覆蓋效果應(yīng)盡量使AP信號(hào)能夠垂直的穿過墻壁。防止病房?jī)?nèi)出現(xiàn)信號(hào)死角，需要詳細(xì)規(guī)劃信號(hào)的覆蓋，尤其要充分考慮衛(wèi)生間的情況。一般情況下，對(duì)于有業(yè)務(wù)需求的樓層和區(qū)域進(jìn)行覆蓋時(shí)，目標(biāo)覆蓋區(qū)域內(nèi)95％以上位置的接收信號(hào)強(qiáng)度應(yīng)≥-65dBm（經(jīng)驗(yàn)值，適用于絕大部分智能終端），重點(diǎn)覆蓋區(qū)域信號(hào)強(qiáng)度應(yīng)≥-55dBm。無線認(rèn)證設(shè)計(jì)醫(yī)院內(nèi)網(wǎng)無線有效地克服了有線網(wǎng)絡(luò)的弊端，醫(yī)生護(hù)士利用PDA、平板電腦和移動(dòng)手推車，隨時(shí)隨地進(jìn)行生命體征數(shù)據(jù)采集、醫(yī)護(hù)數(shù)據(jù)的查詢與錄入、醫(yī)生查房、床邊護(hù)理、呼叫通信、護(hù)理監(jiān)控、藥物配送、病人標(biāo)識(shí)碼識(shí)別等等，充分發(fā)揮醫(yī)療信息系統(tǒng)的效能，突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢(shì)。因此，對(duì)于內(nèi)網(wǎng)無線網(wǎng)絡(luò)的接入認(rèn)證來說，需要重點(diǎn)保障認(rèn)證的安全性以及便捷性。推薦在內(nèi)網(wǎng)區(qū)域使用802.1X、PORTAL、MAC認(rèn)證，可以使用醫(yī)生護(hù)士的身份信息作為賬號(hào)密碼，也可以對(duì)接醫(yī)院內(nèi)部人員數(shù)據(jù)庫。外網(wǎng)無線主要是面向病患和家屬的手機(jī)平板等終端設(shè)備。外網(wǎng)無線直接關(guān)系到網(wǎng)絡(luò)公共區(qū)域的安全問題，是網(wǎng)安檢查的重點(diǎn)區(qū)域，也是許多網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，因此無線控制器在認(rèn)證端開始全方面保證外網(wǎng)入口安全。在外網(wǎng)無線認(rèn)證方式上，建議采用短信認(rèn)證，保障實(shí)名制上網(wǎng)，滿足公共區(qū)域的網(wǎng)絡(luò)監(jiān)管要求。PORTAL賬號(hào)密碼認(rèn)證采用Portal賬號(hào)密碼認(rèn)證，內(nèi)部員工接入時(shí)即需要認(rèn)證，登錄的賬號(hào)可以為姓名、手機(jī)號(hào)、工號(hào)等具有唯一性信息，實(shí)現(xiàn)一人一賬號(hào)自行登錄。外部服務(wù)器對(duì)接認(rèn)證院方也可以采用關(guān)聯(lián)外置認(rèn)證數(shù)據(jù)庫的方式進(jìn)行認(rèn)證，兼容的第三方的認(rèn)證服務(wù)器有：Radius服務(wù)器、Portal服務(wù)器、LDAP服務(wù)器、微軟AD域、數(shù)據(jù)庫（Oracle、Ms-sql（SQLServer）、mySQL）、AS服務(wù)器。例如醫(yī)院的人事部門常把本單位職工的基本情況(職工號(hào)、姓名、年齡、性別、籍貫、工資、簡(jiǎn)歷等)存放在數(shù)據(jù)庫中，對(duì)接數(shù)據(jù)庫做無線認(rèn)證可以免除額外建立賬號(hào)的工作。對(duì)接醫(yī)院的員工信息數(shù)據(jù)庫，讀取數(shù)據(jù)庫中的員工工號(hào)作為上網(wǎng)賬號(hào)，實(shí)現(xiàn)802.1x認(rèn)證等。MAC地址認(rèn)證對(duì)于智能醫(yī)護(hù)終端，選擇MAC地址認(rèn)證，這是基于無線終端MAC地址的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法，不需要在終端上安裝任何客戶端軟件，也不需要手動(dòng)輸入用戶名或者密碼。設(shè)備在首次檢測(cè)到用戶的MAC地址以后，即啟動(dòng)對(duì)該用戶的認(rèn)證操作。配合MAC地址黑白名單，規(guī)定只有護(hù)理終端可以接入無線，其他均為非法設(shè)備，保障網(wǎng)絡(luò)安全。智能PSK認(rèn)證在很多PDA、小推車無線接入或者一些物聯(lián)網(wǎng)終端無線接入的時(shí)候，往往只能使用PSK的認(rèn)證方式，但是無線PSK的認(rèn)證方式是不安全的，這些終端接入的是醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，一旦PSK被破解或者被萬能鑰匙共享，對(duì)于內(nèi)部網(wǎng)絡(luò)是非常危險(xiǎn)的。因此，設(shè)計(jì)智能PSK認(rèn)證，對(duì)于醫(yī)護(hù)智能移動(dòng)終端，通過MAC地址和不同的密碼進(jìn)行綁定做認(rèn)證，保證一機(jī)一密碼。短信認(rèn)證短信認(rèn)證只需要在連接wifi后，通過訪客手機(jī)接收驗(yàn)證碼，輸入即可獲取上網(wǎng)權(quán)限。為提高便捷性和經(jīng)濟(jì)性，可以設(shè)置短信認(rèn)證的有效期，有效期內(nèi)都不需要重新認(rèn)證。也可以設(shè)置短信驗(yàn)證碼的有效期，有效期內(nèi)，可以不用重復(fù)獲取驗(yàn)證碼，節(jié)約短信費(fèi)用。無線網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)同頻組網(wǎng)零漫游針對(duì)內(nèi)網(wǎng)場(chǎng)景，為提高漫游效果，使用同頻組網(wǎng)技術(shù)，真正實(shí)現(xiàn)內(nèi)網(wǎng)無線“零漫游”。同頻組網(wǎng)是針對(duì)移動(dòng)查房等對(duì)無線連接的穩(wěn)定性有較高要求的應(yīng)用場(chǎng)景提供的一種零切換無縫漫游解決方案，為醫(yī)療終端提供零漫游的無線網(wǎng)絡(luò)覆蓋，終端在零漫游的無線網(wǎng)絡(luò)中自由移動(dòng)時(shí)，保障業(yè)務(wù)流量不中斷；致力于解決終端在傳統(tǒng)蜂窩部署的無線網(wǎng)絡(luò)中因位置移動(dòng)產(chǎn)生漫游而導(dǎo)致的業(yè)務(wù)中斷問題，提高行業(yè)用戶的效率。通過同頻算法實(shí)現(xiàn)Wi-Fi的同頻組網(wǎng)，將多個(gè)物理AP虛擬成一個(gè)大AP，對(duì)外呈現(xiàn)同一個(gè)SSID、信道、BSSID，對(duì)于無線終端而言只是搜索到了一個(gè)虛擬AP發(fā)射出來的信號(hào)，因此無線終端在物理AP之間移動(dòng)時(shí)無需重新建立802.11無線鏈路連接（省去了請(qǐng)求、關(guān)聯(lián)等幀），從而實(shí)現(xiàn)零切換無縫漫游。智能負(fù)載均衡優(yōu)先接5.8G頻段優(yōu)先接5.8頻段，使支持2.4G/5G雙頻的移動(dòng)終端優(yōu)先接入5GHz頻段，平衡2.4G/5G網(wǎng)絡(luò)利用率，提高終端用戶的上網(wǎng)體驗(yàn)，實(shí)現(xiàn)價(jià)值最大化。接入點(diǎn)間負(fù)載均衡根據(jù)AP當(dāng)前的負(fù)載情況及其他條件（如：接入人數(shù)、信道利用率等）控制終端的接入，達(dá)到AP間負(fù)載均衡，提高網(wǎng)絡(luò)吞吐量和服務(wù)質(zhì)量。另外，還支持根據(jù)不同場(chǎng)景、不同的區(qū)域靈活的設(shè)置不同的負(fù)載均衡參數(shù)，以實(shí)現(xiàn)漫游、無線體驗(yàn)的最佳效果。終端請(qǐng)求接入某個(gè)AP，無線控制器根據(jù)該AP與鄰居AP的負(fù)載情況，決定是否允許新的客戶端接入，終端可自動(dòng)連接其他空閑AP，達(dá)到負(fù)載分擔(dān)的效果。動(dòng)態(tài)負(fù)載引導(dǎo)（防終端粘滯）終端在不同區(qū)域間移動(dòng)時(shí)，為了讓終端接收到信號(hào)最佳的無線接入點(diǎn)，獲得良好的上網(wǎng)體驗(yàn)，無線防終端粘滯功能，可以根據(jù)實(shí)際情況，設(shè)置切換閾值，漫游效果更好。當(dāng)接入點(diǎn)識(shí)別出終端的信號(hào)強(qiáng)度小于設(shè)定的信號(hào)強(qiáng)度閾值，并且該終端的無線流量小于流量閾值時(shí)，接入點(diǎn)將主動(dòng)讓終端漫游。無線AC冗余通過部署多臺(tái)控制器，實(shí)現(xiàn)醫(yī)院無線網(wǎng)絡(luò)的冗余災(zāi)備，增加網(wǎng)絡(luò)可靠性，避免單點(diǎn)故障。兩臺(tái)控制器實(shí)現(xiàn)雙機(jī)熱備方案，一臺(tái)為主機(jī)，一臺(tái)為備機(jī)，當(dāng)主機(jī)運(yùn)行正常時(shí)，備機(jī)處于待命狀態(tài)，主機(jī)上的必要配置（例如WLAN配置，用戶信息等）同步到備機(jī)上面，一旦主機(jī)出現(xiàn)運(yùn)行故障，則AP自動(dòng)切換到備機(jī)上運(yùn)行，保證用戶業(yè)務(wù)不中斷；當(dāng)主機(jī)恢復(fù)后，AP切換回主機(jī)。網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)的發(fā)展，其作用已經(jīng)不僅是簡(jiǎn)單的互連互通，通信、計(jì)算、應(yīng)用、存儲(chǔ)、監(jiān)控等各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)的融合，促使網(wǎng)絡(luò)成為承載單位核心業(yè)務(wù)的平臺(tái)。隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜，網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營管理等問題成為困擾客戶的難題，并直接決定了核心業(yè)務(wù)能否順利開展。在這種情況下，依靠單純的硬件數(shù)據(jù)交換已經(jīng)不能滿足用戶的需求，因此靈活的軟件控制和高速的硬件數(shù)據(jù)交換進(jìn)行有機(jī)融合的整體解決方案成為整個(gè)醫(yī)療行業(yè)的發(fā)展趨勢(shì)。為了保障業(yè)務(wù)服務(wù)質(zhì)量、保持系統(tǒng)持續(xù)穩(wěn)定運(yùn)行，本期建設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)和外網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)，覆蓋當(dāng)前全量的軟硬件設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、機(jī)房設(shè)備、無線網(wǎng)絡(luò)等統(tǒng)一管控平臺(tái)。網(wǎng)絡(luò)管理系統(tǒng)通過建立網(wǎng)絡(luò)管理系統(tǒng)將整個(gè)整個(gè)基礎(chǔ)網(wǎng)絡(luò)的監(jiān)測(cè)、管理手段進(jìn)行統(tǒng)一的集成，通過統(tǒng)一展示，協(xié)同處置，實(shí)現(xiàn)院區(qū)的整體性安全運(yùn)維。以下是統(tǒng)一運(yùn)維平臺(tái)的建設(shè)內(nèi)容：綜合展現(xiàn)實(shí)時(shí)監(jiān)控：提供對(duì)實(shí)例、業(yè)務(wù)、資源類型全方面的信息展示，支持通過業(yè)務(wù)或類型維度快速定位，包含有專業(yè)定制的儀表,當(dāng)前實(shí)例的實(shí)時(shí)情況和當(dāng)前資源相關(guān)告警,實(shí)例最新數(shù)據(jù)展示及實(shí)例監(jiān)控項(xiàng)信息，提供對(duì)實(shí)例全方面的信息展示；對(duì)比分析：支持選擇不同被監(jiān)控對(duì)象、不同性能指標(biāo)、不同周期進(jìn)行對(duì)比分析；業(yè)務(wù)健康度：支持一級(jí)、二級(jí)業(yè)務(wù)系統(tǒng)的統(tǒng)計(jì)視圖來查看這個(gè)系統(tǒng)的健康得分情況，可以通過可視圖化的界面快速定位問題的應(yīng)用；業(yè)務(wù)拓?fù)洌禾峁﹩螛I(yè)務(wù)系統(tǒng)詳細(xì)的資源實(shí)例拓?fù)湔故?，支持單資源實(shí)例健康值、告警查看，并支持快速進(jìn)行運(yùn)維操作等；告警統(tǒng)計(jì)報(bào)表：實(shí)時(shí)統(tǒng)計(jì)業(yè)務(wù)系統(tǒng)、設(shè)備類型、告警級(jí)別、時(shí)間等多維度統(tǒng)計(jì)告警的分布、告警的趨勢(shì)、告警的持續(xù)時(shí)間、告警的響應(yīng)時(shí)間等報(bào)表；性能統(tǒng)計(jì)報(bào)表：實(shí)時(shí)統(tǒng)計(jì)多資源實(shí)例，多指標(biāo)項(xiàng)的性能趨勢(shì)、Top性能消耗資源情況、資源容量情況、Top異常變動(dòng)指標(biāo)及資源情況；自定義報(bào)表：支持自定義報(bào)表功能，定時(shí)或?qū)崟r(shí)輸出常用的報(bào)表統(tǒng)計(jì)，支持郵件發(fā)送報(bào)告；告警管理告警列表：全網(wǎng)告警的統(tǒng)一管理，支持對(duì)告警進(jìn)行流程管理，定期對(duì)告警進(jìn)行歸檔，通過右鍵快速進(jìn)行問題分析，信息查詢，拓?fù)涠ㄎ唬婢呗哉{(diào)整，快速運(yùn)維等相關(guān)操作；告警處理：通過響應(yīng)告警的方式來統(tǒng)計(jì)告警處理的時(shí)效性,通過掛機(jī)告警的方式來解決告警通知的轟炸；歷史告警：通過手工和定時(shí)歸檔已恢復(fù)的告警,更有效的管理和處理當(dāng)前告警；告警方式：支持通過郵件、短信等方式進(jìn)行告警通知推送；動(dòng)態(tài)基線告警：告警閾值通過歷史數(shù)據(jù)動(dòng)態(tài)生成，根據(jù)指標(biāo)的歷史性能數(shù)據(jù)按一定規(guī)律生產(chǎn)指標(biāo)的上門線、下門線、基準(zhǔn)線，并基于此觸發(fā)告警；預(yù)測(cè)告警：支持針對(duì)容量、空間等類別的指標(biāo)進(jìn)行預(yù)測(cè)告警；告警恢復(fù)策略：支持單獨(dú)配置告警恢復(fù)策略，壓縮短周期性能波動(dòng)導(dǎo)致的重復(fù)告警；告警自愈：支持在告警觸發(fā)時(shí)通過預(yù)先配置的故障處理方案自動(dòng)執(zhí)行；資源管理配置模型：提供默認(rèn)的常用配置模型，支持定義配置項(xiàng)分類、配置項(xiàng)、屬性、關(guān)系類型等基礎(chǔ)信息；資源庫：提供配置項(xiàng)數(shù)據(jù)基本的配置信息增刪改查和樹圖呈現(xiàn)功能；資源導(dǎo)入：支持通過xls將配置項(xiàng)實(shí)例數(shù)據(jù)導(dǎo)入，導(dǎo)入支持新增和更新數(shù)據(jù)；資源導(dǎo)出：提供資源數(shù)據(jù)導(dǎo)出功能，對(duì)指定的某類或某些類配置數(shù)據(jù)導(dǎo)出為xls格式數(shù)據(jù)；數(shù)據(jù)集成針對(duì)有數(shù)據(jù)主動(dòng)推送能力的被接入系統(tǒng)，提供api接口用于數(shù)據(jù)的接收。只需要在被接入系統(tǒng)中把數(shù)據(jù)推送至該API即可。被接入系統(tǒng)無數(shù)據(jù)主動(dòng)推送能力，但數(shù)據(jù)庫可供訪問，支持使用采集器做數(shù)據(jù)主動(dòng)采集同步。支持定義需要收集的數(shù)據(jù)范圍（業(yè)務(wù)范圍、粒度范圍、時(shí)間范圍等），周期性地從各被接入系統(tǒng)的數(shù)據(jù)庫中提取數(shù)據(jù)。被接入系統(tǒng)無數(shù)據(jù)主動(dòng)推送能力，并且不開放數(shù)據(jù)庫的訪問，但可提供數(shù)據(jù)文件到指定存儲(chǔ)，支持通過文件采集器統(tǒng)一提取文件進(jìn)行數(shù)據(jù)采集。安全運(yùn)維制度建設(shè)軟硬件標(biāo)準(zhǔn)化規(guī)約。構(gòu)建統(tǒng)一的運(yùn)維管理規(guī)范和執(zhí)行標(biāo)準(zhǔn)，輸出軟硬件標(biāo)準(zhǔn)化規(guī)約；實(shí)現(xiàn)基礎(chǔ)設(shè)施現(xiàn)狀調(diào)研及標(biāo)準(zhǔn)化建議，包括操作系統(tǒng)標(biāo)準(zhǔn)化、數(shù)據(jù)庫標(biāo)準(zhǔn)化、網(wǎng)絡(luò)標(biāo)準(zhǔn)化。實(shí)現(xiàn)運(yùn)維管理現(xiàn)狀調(diào)研及標(biāo)準(zhǔn)化建議，包括監(jiān)控標(biāo)準(zhǔn)化、日志標(biāo)準(zhǔn)化、配置標(biāo)準(zhǔn)化。實(shí)現(xiàn)應(yīng)用現(xiàn)狀調(diào)研及標(biāo)準(zhǔn)化建議，包括中間件標(biāo)準(zhǔn)化、通用組件標(biāo)準(zhǔn)化。提供基礎(chǔ)設(shè)施、運(yùn)維管理標(biāo)準(zhǔn)化的實(shí)施路線圖建議。網(wǎng)絡(luò)硬件設(shè)備監(jiān)控模塊建設(shè)一套服務(wù)器及存儲(chǔ)監(jiān)控系統(tǒng)，支持對(duì)于主流廠商的服務(wù)器硬件狀態(tài)監(jiān)控：實(shí)現(xiàn)對(duì)交換機(jī)、路由器、負(fù)載均衡、防火墻、安全審計(jì)等網(wǎng)絡(luò)及安全設(shè)備進(jìn)行集中管理，并對(duì)設(shè)備運(yùn)行狀態(tài)、性能進(jìn)行監(jiān)控，提供拓?fù)鋱D實(shí)時(shí)展示及設(shè)備面板圖功能。實(shí)現(xiàn)對(duì)服務(wù)器、存儲(chǔ)、主機(jī)操作系統(tǒng)性能監(jiān)控及運(yùn)行狀態(tài)監(jiān)控。實(shí)現(xiàn)對(duì)機(jī)房動(dòng)環(huán)監(jiān)控。無線AP、AC的狀態(tài)統(tǒng)一監(jiān)控。可實(shí)現(xiàn)有效替代人工機(jī)房巡檢，實(shí)時(shí)掌握硬件工作狀態(tài)信息，以實(shí)現(xiàn)有效替代人工機(jī)房巡檢，實(shí)時(shí)掌握硬件工作狀態(tài)信息。實(shí)時(shí)掌握硬件工作狀態(tài)信息，以實(shí)現(xiàn)有效替代人工機(jī)房巡檢，實(shí)時(shí)掌握硬件工作狀態(tài)信息。內(nèi)網(wǎng)終端微隔離管控系統(tǒng)本期將在內(nèi)網(wǎng)部署內(nèi)網(wǎng)終端微隔離管控系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端的IP管理和隔離，包含以下功能。(1)為全網(wǎng)終端設(shè)備的身份識(shí)別、認(rèn)證、在線狀態(tài)感知功能、全網(wǎng)IP端到端微隔離，阻斷終端之間的病毒傳播，消除網(wǎng)絡(luò)環(huán)路風(fēng)暴。(2)實(shí)現(xiàn)終端IP精準(zhǔn)定位，可實(shí)時(shí)監(jiān)測(cè)指定終端的接入物理位置，方便終端的快速定位和處置。(3)實(shí)現(xiàn)終端IP地址與接入位置解耦，終端更換接入位置零漫游配置。(4)實(shí)現(xiàn)全網(wǎng)終端資產(chǎn)分布、責(zé)任人、物理位置等信息的統(tǒng)一管理。(5)外置日志中心，提供系統(tǒng)日志、操作日志、終端入網(wǎng)日志、網(wǎng)絡(luò)質(zhì)量日志的存儲(chǔ)、查詢、分析功能。網(wǎng)絡(luò)安全信息安全是一項(xiàng)立體的多維度的系統(tǒng)性工程，相關(guān)的標(biāo)準(zhǔn)要求與安全措施是一種多對(duì)多的關(guān)系，落實(shí)到本期的信息安全設(shè)計(jì)上，會(huì)存在一項(xiàng)要求需要部署多種設(shè)備進(jìn)行防護(hù)的情況，也會(huì)出現(xiàn)一種安全設(shè)備與多項(xiàng)安全要求相關(guān)聯(lián)，甚至需要相關(guān)的安全管理措施進(jìn)行配合。本期信息安全方案將以網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)的相關(guān)要求為基礎(chǔ)，結(jié)合醫(yī)療信息化對(duì)安全的相關(guān)要求進(jìn)行設(shè)計(jì)。內(nèi)網(wǎng)安全設(shè)計(jì)內(nèi)網(wǎng)是院區(qū)信息系統(tǒng)的核心，醫(yī)院的重要業(yè)務(wù)系統(tǒng)部署在內(nèi)網(wǎng)上，其安全性是本期信息安全的重點(diǎn)。從安全域的角度看，內(nèi)網(wǎng)可劃分為核心交換域、終端接入域、業(yè)務(wù)域、外聯(lián)域、運(yùn)維管理域，各安全域的安全設(shè)計(jì)如下。核心交換域在主數(shù)據(jù)機(jī)房和備數(shù)據(jù)機(jī)房分別部署一對(duì)核心交換機(jī)，實(shí)現(xiàn)關(guān)鍵設(shè)備本地異機(jī)房的冗余，保障網(wǎng)絡(luò)的可用性。在核心交換機(jī)旁掛2臺(tái)內(nèi)網(wǎng)防火墻，通過虛擬防火墻方式為各個(gè)安全域提供安全網(wǎng)關(guān)防護(hù)。內(nèi)網(wǎng)終端接入域針對(duì)終端部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、終端防病毒系統(tǒng)、終端桌面管理系統(tǒng)，對(duì)PC進(jìn)行用戶名密碼認(rèn)證，并對(duì)操作系統(tǒng)進(jìn)行安全性檢查，要求符合黑白軟件名單、操作系統(tǒng)補(bǔ)丁、防病毒軟件等安全基線要求。對(duì)打印機(jī)、醫(yī)療設(shè)備等啞終端進(jìn)行MAC地址認(rèn)證，并配合終端掃描綁定IP地址和終端協(xié)議指紋，防止非法終端私接和仿冒，對(duì)內(nèi)網(wǎng)進(jìn)行入侵。內(nèi)網(wǎng)業(yè)務(wù)域在服務(wù)器區(qū)部署虛擬防火墻、服務(wù)器數(shù)據(jù)防泄密系統(tǒng)、主機(jī)安全自適應(yīng)系統(tǒng)等安全設(shè)備。為了對(duì)不同安全等級(jí)的業(yè)務(wù)系統(tǒng)進(jìn)行安全隔離，需要將對(duì)應(yīng)的服務(wù)器或虛擬機(jī)劃分至不同IP子網(wǎng)，將匯聚交換機(jī)作為網(wǎng)關(guān)，使必要的流量經(jīng)過匯聚交換機(jī)處的安全設(shè)備。運(yùn)維管理域在內(nèi)網(wǎng)安全運(yùn)維管理區(qū)部署的安全設(shè)備有堡壘機(jī)、態(tài)勢(shì)感知系統(tǒng)、日志審計(jì)分析系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)等安全設(shè)備，以及統(tǒng)一安全運(yùn)營治理支撐平臺(tái)等安全管理設(shè)備，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)整體的身份鑒別、訪問控制、入侵防范、集中管控、安全審計(jì)等安全管理。安全運(yùn)維區(qū)存在大量集權(quán)控制系統(tǒng)，通過在運(yùn)維管理區(qū)部署虛擬安全網(wǎng)關(guān)，采用白名單放訪問控制策略實(shí)現(xiàn)網(wǎng)絡(luò)層最小化開放原則，降低黑客攻破入侵集權(quán)系統(tǒng)風(fēng)險(xiǎn)。外聯(lián)域針對(duì)第三方機(jī)構(gòu)、其他分院以及聯(lián)通云的連接專線，部署虛擬防火墻進(jìn)行安全防護(hù)。防火墻集成防Ddos、IPS和防病毒功能，能夠?qū)崿F(xiàn)多層次的安全防護(hù)。外網(wǎng)安全設(shè)計(jì)外網(wǎng)主要用于提供互聯(lián)網(wǎng)接入，雖然內(nèi)部沒有部署業(yè)務(wù)系統(tǒng)，但互聯(lián)網(wǎng)的網(wǎng)絡(luò)環(huán)境復(fù)雜，主要從外部邊界防護(hù)和內(nèi)部的訪問控制著手，重點(diǎn)防范來自外部的攻擊。從安全域的角度看，外網(wǎng)可劃分為核心交換域、終端接入域、互聯(lián)網(wǎng)出口域、網(wǎng)管域，各安全域的安全設(shè)計(jì)如下。核心交換域在主數(shù)據(jù)機(jī)房和備數(shù)據(jù)機(jī)房分別部署一臺(tái)核心交換機(jī)，實(shí)現(xiàn)關(guān)鍵設(shè)備本地異機(jī)房的冗余，保障網(wǎng)絡(luò)的可用性。在核心交換機(jī)旁掛2臺(tái)外網(wǎng)防火墻，通過虛擬防火墻方式為各個(gè)安全域提供安全網(wǎng)關(guān)防護(hù)。外網(wǎng)終端接入域針對(duì)終端部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、桌面管理系統(tǒng)、終端防病毒系統(tǒng)，對(duì)PC進(jìn)行用戶名密碼認(rèn)證，并對(duì)操作系統(tǒng)進(jìn)行安全性檢查，要求符合黑白軟件名單、操作系統(tǒng)補(bǔ)丁、防病毒軟件等安全基線要求。對(duì)打印機(jī)、自助掛號(hào)機(jī)等啞終端進(jìn)行MAC地址認(rèn)證，并配合終端掃描綁定IP地址和終端協(xié)議指紋，防止非法終端私接和仿冒，對(duì)外網(wǎng)進(jìn)行入侵。網(wǎng)管域在網(wǎng)管區(qū)部署的安全設(shè)備有網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)防泄密系統(tǒng)、網(wǎng)間文件交互系統(tǒng)，態(tài)勢(shì)感知探針等安全設(shè)備等，實(shí)現(xiàn)對(duì)外網(wǎng)整體集中管控等安全管理。安全運(yùn)維區(qū)存在大量集權(quán)控制系統(tǒng)，通過在運(yùn)維管理區(qū)部署虛擬安全網(wǎng)關(guān)，采用白名單放訪問控制策略實(shí)現(xiàn)網(wǎng)絡(luò)層最小化開放原則，降低黑客攻破入侵集權(quán)系統(tǒng)風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)出口域在互聯(lián)網(wǎng)出口部署虛擬防火墻和上網(wǎng)行為管理。虛擬防火墻負(fù)責(zé)執(zhí)行外網(wǎng)訪問互聯(lián)網(wǎng)的NAT網(wǎng)絡(luò)地址轉(zhuǎn)換；上網(wǎng)行為管理負(fù)責(zé)對(duì)用戶的帶寬占用和行為進(jìn)行控制，其中，防火墻集成防Ddos、IPS、防病毒功能，能夠?qū)崿F(xiàn)多層次的安全防護(hù)。無線網(wǎng)絡(luò)安全設(shè)計(jì)無線專網(wǎng)的安全主要從終端的準(zhǔn)入控制入手，通過嚴(yán)格的準(zhǔn)入和權(quán)限控制最大限度確保接入的終端的合法性，并通過無線射頻防護(hù)、無線空口加密和SSID設(shè)計(jì)等無線網(wǎng)絡(luò)特有的安全手段保障無線專網(wǎng)的安全。從安全域的角度看，無線專網(wǎng)可劃分為核心交換域、終端接入域，各安全域的安全設(shè)計(jì)如下。無線專網(wǎng)核心交換域在主數(shù)據(jù)機(jī)房和備數(shù)據(jù)機(jī)房分別部署一臺(tái)核心交換機(jī)和無線控制器，實(shí)現(xiàn)關(guān)鍵設(shè)備本地異機(jī)房的冗余，保障網(wǎng)絡(luò)的可用性；與內(nèi)網(wǎng)、外網(wǎng)邊界處通過虛擬防火墻互聯(lián)，集成IPS和防病毒功能，能夠?qū)崿F(xiàn)多層次的安全防護(hù)，滿足等級(jí)保護(hù)三級(jí)對(duì)無線網(wǎng)絡(luò)的邊界防護(hù)要求。終端準(zhǔn)入控制機(jī)制終端類型識(shí)別無線平臺(tái)支持自動(dòng)檢測(cè)識(shí)別功能，通過收集終端信息自動(dòng)精確識(shí)別終端類型。對(duì)市面上主流終端進(jìn)行精準(zhǔn)識(shí)別，比如安卓、蘋果、Windows等智能移動(dòng)終端以及筆記本和臺(tái)式機(jī)等，收集到的數(shù)據(jù)可通過平臺(tái)進(jìn)行展示。終端類型準(zhǔn)入通過終端類型智能識(shí)別，可實(shí)現(xiàn)基于終端類型的接入準(zhǔn)入，即對(duì)安卓、蘋果、Windows等智能移動(dòng)終端以及筆記本和臺(tái)式機(jī)，在接入無線網(wǎng)絡(luò)時(shí)，根據(jù)配置的準(zhǔn)入策略進(jìn)行限制或放通，比如在內(nèi)網(wǎng)區(qū)域中只允許醫(yī)療PDA或者工作站接入內(nèi)網(wǎng)無線網(wǎng)絡(luò)，從源頭端提高了醫(yī)院內(nèi)網(wǎng)無線的安全性?；诮K端類型的管控除了基于終端類型的準(zhǔn)入之外，還可以通過識(shí)別無線終端的類型來進(jìn)行無線管控，包括上網(wǎng)訪問權(quán)限、VLAN劃分、流量控制、頁面推送和跳轉(zhuǎn)等。網(wǎng)絡(luò)權(quán)限控制無線內(nèi)網(wǎng)方案，在醫(yī)護(hù)終端接入無線時(shí)，通過角色分配來達(dá)到用戶權(quán)限控制。在接入以后，通過認(rèn)證的終端被分配到一個(gè)角色，角色包含了訪問控制策略、用戶審計(jì)策略、流速限制策略、以及流量與時(shí)長(zhǎng)配額策略。無線控制器以角色的方式分配給每個(gè)終端，不同的角色就需要擁有不同的訪問控制策略?？梢愿鶕?jù)終端類型、接入位置、賬號(hào)信息分配權(quán)限，保證醫(yī)院內(nèi)網(wǎng)區(qū)域的無線終端不能非法訪問不能訪問的區(qū)域，對(duì)網(wǎng)絡(luò)資源進(jìn)行嚴(yán)格分配，例如不允許終端訪問互聯(lián)網(wǎng)等。無線射頻防護(hù)所謂釣魚Wi-Fi，就是黑客或不良分子在公共場(chǎng)所搭建“免費(fèi)”Wi-Fi，或者搭建與原無線網(wǎng)絡(luò)相似或相同的無線網(wǎng)絡(luò)（SSID），誘使無線客戶端訪問虛假的無線接入點(diǎn)，從而達(dá)到截獲其賬號(hào)、密碼等信息的目的。醫(yī)院內(nèi)網(wǎng)的移動(dòng)終端承載著大量的個(gè)人隱私以及重要的醫(yī)學(xué)信息，因此必須在醫(yī)院環(huán)境的部署具有防釣魚功能的無線射頻防護(hù)系統(tǒng)，才能保證數(shù)據(jù)安全。無線內(nèi)置無線入侵檢測(cè)系統(tǒng)（wIDS）、無線入侵預(yù)防系統(tǒng)（wIPS），對(duì)非法接入點(diǎn)進(jìn)行檢測(cè)以及反制，可以對(duì)具備某些特性，如特定SSID（與原網(wǎng)絡(luò)相同或相似）、非法AP的MAC（物理地址）或者非無線控制器所管理的AP發(fā)射出的無線信號(hào)，進(jìn)行時(shí)時(shí)掃描、檢測(cè)。對(duì)檢測(cè)到的釣魚Wi-Fi后可對(duì)其進(jìn)行反制，引導(dǎo)無線終端不接入釣魚Wi-Fi，從而保護(hù)無線安全。無線空口加密無線數(shù)據(jù)在空中傳輸，承載醫(yī)院內(nèi)部重要業(yè)務(wù)數(shù)據(jù)，需要高效且可靠的加密機(jī)制來避免數(shù)據(jù)被暴力破解或篡改。支持國際標(biāo)準(zhǔn)的多種數(shù)據(jù)加密方式，保證了業(yè)務(wù)數(shù)據(jù)在傳輸過程中既安全又可靠。業(yè)務(wù)身份綁定為防止非法用戶竊取合法賬戶后，使用未經(jīng)認(rèn)證的終端接入無線網(wǎng)絡(luò)，無線控制器將護(hù)理終端的賬戶與終端MAC地址綁定。如果非法用戶使用終端與綁定列表中的不一致，將拒絕該用戶登錄。如果非法用戶嘗試用黑客手段仿造終端MAC地址，還可以根據(jù)終端類型判斷是否是合法的終端。另一方面，為防止非法用戶竊取合法賬戶后，使用未經(jīng)認(rèn)證的終端接入無線網(wǎng)絡(luò)，無線控制器還將賬戶與終端IP地址綁定。如果非法用戶使用終端與綁定列表中的不一致，也可以拒絕該用戶登錄。如果非法用戶嘗試用黑客手段仿造終端IP地址，還可以根據(jù)終端類型判斷是否是合法的終端。病區(qū)網(wǎng)絡(luò)終端隔離一般情況下，醫(yī)院可以根據(jù)不同病區(qū)不同科室劃分不同VLAN，方便管理。而在單病區(qū)中，為了減少病毒等攻擊的傳播，在無線網(wǎng)絡(luò)部署時(shí)，應(yīng)當(dāng)啟用VLAN內(nèi)用戶隔離功能。一方面，禁止同一VLAN內(nèi)的用戶之間相互通信，可以減少同一個(gè)VLAN內(nèi)無線終端間的廣播報(bào)文，提高了無線網(wǎng)絡(luò)性能，同時(shí)提高了安全性。另一方面，避免某些感染了病毒的手持終端傳播病毒的風(fēng)險(xiǎn)，最大限度地確保醫(yī)院內(nèi)網(wǎng)安全，提高效率業(yè)務(wù)。 SSID設(shè)計(jì)無線網(wǎng)絡(luò)的建設(shè)是想通過Wi-Fi業(yè)務(wù)促進(jìn)院區(qū)業(yè)務(wù)系統(tǒng)的無紙化、移動(dòng)化，提高企業(yè)單位的信息化水平。但同時(shí)院區(qū)各個(gè)無線上網(wǎng)行為存在潛在的安全隱患、以及上網(wǎng)流量波動(dòng)等特點(diǎn)，很容易導(dǎo)致基于Wi-Fi的業(yè)務(wù)應(yīng)用受到干擾。此時(shí)，需要啟動(dòng)多SSID，不同的無線上網(wǎng)業(yè)務(wù)應(yīng)用隔離開，劃分在不同的SSID運(yùn)行。每個(gè)SSID都會(huì)在空口上廣播自己的管理報(bào)文，不宜設(shè)置過多的SSID，過多的SSID會(huì)降低空口效率。通過將該SSID設(shè)置在單獨(dú)的VLAN可以控制其訪問權(quán)限，甚至可以設(shè)置成固定IP或MAC地址綁定，從源頭上保證接入的安全性。同時(shí)可以將該SSID設(shè)置成隱藏模式，避免該SSID被其他客戶端搜索到后受到可能的惡意攻擊，充分提高關(guān)鍵業(yè)務(wù)的保密性和安全性。WLAN網(wǎng)絡(luò)的廣播域是由SSID來決定的，通過SSID和VLAN的映射，使用VLAN間的廣播報(bào)文隔離業(yè)務(wù)，盡量降低廣播報(bào)文對(duì)WLAN網(wǎng)絡(luò)的沖擊。VLAN劃分可基于終端位置劃分，比如基于病區(qū)劃分，需注意單VLAN內(nèi)終端數(shù)量。內(nèi)網(wǎng)使用的SSID可以設(shè)置在的5GHz頻段，這個(gè)頻點(diǎn)不僅獨(dú)立的頻點(diǎn)多，便于通過帶寬捆綁提高數(shù)據(jù)傳輸速度，而且該頻段相對(duì)干擾非常少，可以充分保證業(yè)務(wù)高速、可靠傳輸?shù)囊螅梢蕴峁└玫?GHz零漫游性能。在外網(wǎng)通過設(shè)置另一個(gè)SSID，辦公人員連接互聯(lián)網(wǎng)、網(wǎng)上辦公使用，并設(shè)置接入權(quán)限，確保網(wǎng)絡(luò)接入安全。設(shè)置SSID-public，可以對(duì)訪客等有限開放，并結(jié)合管理系統(tǒng)進(jìn)行實(shí)名認(rèn)證后才可以訪問互聯(lián)網(wǎng)，避免網(wǎng)絡(luò)濫用。安全設(shè)備功能說明邊界安全安全設(shè)備（系統(tǒng)）根據(jù)其部署的位置和作用可分為以下幾種：安全域（邊界）防護(hù)設(shè)備、安全運(yùn)維和審計(jì)、終端安全設(shè)備、主機(jī)服務(wù)器安全設(shè)備、應(yīng)用安全設(shè)備、數(shù)據(jù)安全設(shè)備以及安全管理中心。安全網(wǎng)關(guān)（防火墻）本項(xiàng)目在網(wǎng)絡(luò)邊界，安全域邊界部署下一代防火墻作為安全網(wǎng)關(guān)，具備防火墻、應(yīng)用識(shí)別、入侵防御、防病毒、URL過濾、數(shù)據(jù)過濾、文件過濾、流量管理、VPN等功能外，還增加了針對(duì)Web攻擊、僵木蠕、DDOS、HTTPS加密流量等安全威脅的防護(hù)能力，對(duì)不同安全域通過不同的訪問控制策略進(jìn)行安全隔離，提升邊界安全防護(hù)。上網(wǎng)行為管理 本項(xiàng)目在外網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)，主要實(shí)現(xiàn)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制等，目的是提升工作效率、提升帶寬利用率，達(dá)到保護(hù)網(wǎng)絡(luò),防止黒客攻擊等目的。并提供安全策略、鏈路負(fù)載、身份認(rèn)證、流量管理、行為管控、上網(wǎng)審計(jì)、日志追溯、網(wǎng)監(jiān)對(duì)接、用戶行為分析等實(shí)用功能。設(shè)備部署情況如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1內(nèi)網(wǎng)防火墻內(nèi)網(wǎng)核心層部署2臺(tái)防火墻，通過虛擬化防火墻方式為內(nèi)網(wǎng)出口、業(yè)務(wù)區(qū)、運(yùn)維管理區(qū)、接入?yún)^(qū)等安全域提供安全網(wǎng)關(guān)防護(hù)，起到訪問控制、入侵防御和病毒過濾作用。2臺(tái)內(nèi)網(wǎng)，主備機(jī)房各1臺(tái)，跨機(jī)房雙機(jī)部署2外網(wǎng)防火墻在院區(qū)外網(wǎng)核心層部署2臺(tái)防火墻，通過虛擬防火墻方式為外網(wǎng)出口、運(yùn)維管理區(qū)、接入?yún)^(qū)等安全域提供安全網(wǎng)關(guān)防護(hù)，起到訪問控制、入侵防御和病毒過濾作用。2臺(tái)外網(wǎng)3上網(wǎng)行為管理系統(tǒng)在院區(qū)互聯(lián)網(wǎng)出口部署一臺(tái)上網(wǎng)行為審計(jì)系統(tǒng)，保障外聯(lián)的流量能夠得到合規(guī)審計(jì)。2臺(tái)外網(wǎng)，雙機(jī)部署安全運(yùn)維和審計(jì)堡壘機(jī)（IT運(yùn)維審計(jì)系統(tǒng)）本項(xiàng)目在內(nèi)網(wǎng)部署堡壘機(jī)，通過集中化賬號(hào)管理、高強(qiáng)度認(rèn)證加固、細(xì)粒度授權(quán)控制和多形式審計(jì)記錄，使內(nèi)部人員、第三方人員的操作處于可管、可控、可見、可審的狀態(tài)下，規(guī)范運(yùn)維的操作步驟，避免誤操作和非授權(quán)操作帶來的隱患，有效保障組織機(jī)構(gòu)的服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)等資產(chǎn)的安全運(yùn)行和數(shù)據(jù)的安全使用。在運(yùn)維管理方面，堡壘機(jī)以單點(diǎn)登錄為核心，運(yùn)維代理技術(shù)為支撐，通過高可用的部署方式，對(duì)用戶提供跨平臺(tái)資產(chǎn)管理、自動(dòng)化運(yùn)維和運(yùn)維分析報(bào)表等運(yùn)維管理工具。數(shù)據(jù)庫審計(jì)系統(tǒng)數(shù)據(jù)庫安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計(jì)數(shù)據(jù)庫中以便日后進(jìn)行查詢、分析、過濾，實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。日志審計(jì)分析系統(tǒng)為滿足《網(wǎng)絡(luò)安全法》的要求，本期建設(shè)的院區(qū)數(shù)據(jù)業(yè)務(wù)容災(zāi)中心還提供對(duì)應(yīng)用訪問日志、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、服務(wù)器日志等日志記錄，所有日志記錄均通過日志審計(jì)系統(tǒng)進(jìn)行集中存儲(chǔ)和審計(jì)，并且所有日志保存不少于六個(gè)月。日志審計(jì)分析系統(tǒng)是7*24小時(shí)實(shí)時(shí)采集網(wǎng)絡(luò)中安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器資源和應(yīng)用系統(tǒng)的日志，實(shí)時(shí)感知全網(wǎng)安全勢(shì)態(tài)；系統(tǒng)支持集中存儲(chǔ)和分布式集群存儲(chǔ)方式，實(shí)現(xiàn)海量日志全生命周期存儲(chǔ)管理；通過對(duì)日志的采集、分析、存儲(chǔ)、備份、查詢、實(shí)時(shí)匯總分析和報(bào)表匯總實(shí)現(xiàn)對(duì)海量日志全生命周期管理；有助于對(duì)全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時(shí)監(jiān)測(cè)、統(tǒng)計(jì)分析、查詢、調(diào)查、追溯、可視化分析展示等。安全日志深度分析及自動(dòng)預(yù)警安全日志深度分析及自動(dòng)預(yù)警通過對(duì)接日志審計(jì)分析系統(tǒng)，對(duì)系統(tǒng)收集的每日200GB日增日志進(jìn)行場(chǎng)景建模深度分析，從操作系統(tǒng)安全、賬戶安全、權(quán)限變更、應(yīng)用安全、數(shù)據(jù)庫運(yùn)行、堡壘機(jī)安全等角度為醫(yī)院定制不少于30個(gè)場(chǎng)景的實(shí)時(shí)監(jiān)測(cè)，可實(shí)現(xiàn)以下功能：（1）通過告警平臺(tái)完成告警事件全生命周期管理：從發(fā)生、通知、合并、接手、處理到追溯全流程全面覆蓋，保證所有安全事件得到關(guān)注、告警及處理當(dāng)發(fā)生安全事件或應(yīng)用異常時(shí)，能夠第一時(shí)間向管理員自動(dòng)預(yù)警，為應(yīng)急處置贏得良機(jī)。（2）對(duì)接醫(yī)院短信平臺(tái)、釘釘平臺(tái)實(shí)現(xiàn)自定義安全事件告警的自動(dòng)化推送。（3）具備日志告警整合去重能力，實(shí)現(xiàn)日志告警降噪，快速定位故障原因，降低MTTR。安全運(yùn)維和審計(jì)安全設(shè)備部署如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1堡壘機(jī)通過集中化賬號(hào)管理、高強(qiáng)度認(rèn)證加固、細(xì)粒度授權(quán)控制和多形式審計(jì)記錄，使內(nèi)部人員、第三方人員的操作處于可管、可控、可見、可審的狀態(tài)下。1項(xiàng)內(nèi)網(wǎng)2數(shù)據(jù)庫審計(jì)監(jiān)視并記錄對(duì)數(shù)據(jù)庫服務(wù)器的各類操作行為。--復(fù)用本院數(shù)據(jù)庫審計(jì)系統(tǒng)3日志審計(jì)分析系統(tǒng)實(shí)時(shí)采集網(wǎng)絡(luò)中安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器資源和應(yīng)用系統(tǒng)的日志，實(shí)時(shí)感知全網(wǎng)安全勢(shì)態(tài)。200GB內(nèi)網(wǎng)4安全日志深度分析及自動(dòng)預(yù)警對(duì)接日志審計(jì)分析系統(tǒng)，定制不少于30個(gè)場(chǎng)景的實(shí)時(shí)監(jiān)測(cè)。30個(gè)內(nèi)網(wǎng)終端安全終端防病毒系統(tǒng)終端防病毒系統(tǒng)也稱反病毒軟件或防毒軟件，是用于消除PC電腦上的病毒、特洛伊木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)、主動(dòng)防御等功能。采用統(tǒng)一的病毒檢測(cè)查殺策略、漏洞修復(fù)等安全操作，并向安全控制中心發(fā)送相應(yīng)的安全數(shù)據(jù)。具備以下功能：防病毒防間諜軟件功能：具有國內(nèi)網(wǎng)的病毒碼監(jiān)控能力，實(shí)現(xiàn)對(duì)病毒、木馬、蠕蟲、間諜軟件、灰色軟件等惡意程序具備綜合的防護(hù)能力；IDS/IPS及防火墻功能：對(duì)內(nèi)外網(wǎng)的漏洞利用、蠕蟲攻擊等惡意行為進(jìn)行監(jiān)控及攔截；防病毒系統(tǒng)中央管理集中管理能力：通過單一Web介面主控臺(tái)集中管理，實(shí)現(xiàn)防病毒策略統(tǒng)一管理、防病毒組件統(tǒng)一更新、病毒日志統(tǒng)一管理；設(shè)備控制功能：可實(shí)現(xiàn)對(duì)可移動(dòng)設(shè)備（數(shù)據(jù)存儲(chǔ)設(shè)備，游戲設(shè)備，I/O設(shè)備等）的有效控制；這樣就可減少惡意程序感染用戶計(jì)算機(jī)的幾率，同時(shí)有效避免隱私數(shù)據(jù)的外泄；行為監(jiān)控功能：通過監(jiān)控應(yīng)用程序行為以及控制文件訪問權(quán)限、注冊(cè)表訪問權(quán)限、允許運(yùn)行的進(jìn)程等，防護(hù)內(nèi)部和外部安全漏洞風(fēng)險(xiǎn)；病毒爆發(fā)阻止功能：實(shí)現(xiàn)病毒爆發(fā)阻止策略的實(shí)時(shí)發(fā)布能力（在病毒碼還未發(fā)布時(shí)）；文件信譽(yù)技術(shù)(FRT)：用戶訪問某文件前將自動(dòng)在云端查詢?cè)撐募淖钚掳踩燃?jí)，并阻止用戶對(duì)低安全等級(jí)文件的訪問；Web信譽(yù)技術(shù)(WRT)：對(duì)數(shù)以百萬計(jì)的Web站點(diǎn)進(jìn)行動(dòng)態(tài)評(píng)級(jí)，確定其安全性，防御基于Web的惡意軟件、數(shù)據(jù)竊取、網(wǎng)站釣魚、生產(chǎn)力損失和信譽(yù)損害；支持多種客戶端部署方式：登錄腳本安裝、瀏覽器安裝（將安裝鏈接放在網(wǎng)站上）、遠(yuǎn)程安裝、掃描安裝、光盤安裝、通知安裝、共享安裝、生成安裝包安裝、通過微軟SMS安裝、硬盤克隆安裝等；APT（高級(jí)持續(xù)性威脅）防御和治理：APT（高級(jí)持續(xù)性威脅）已經(jīng)成為網(wǎng)絡(luò)安全的主流攻擊手段，APT防御和治理將成為等保標(biāo)準(zhǔn)；集中隔離恢復(fù)：為避免誤報(bào)導(dǎo)致用戶文件被隔離，可以快速一鍵還原；集中隔離恢復(fù)功能允許在隔離目錄中搜索文件并執(zhí)行SHA1驗(yàn)證檢查，確保您要恢復(fù)的文件沒有以任何方式進(jìn)行修改，隔離文件恢復(fù)簡(jiǎn)單快捷。桌面管理系統(tǒng)桌面管理系統(tǒng)可實(shí)現(xiàn)對(duì)醫(yī)院桌面端應(yīng)用策略管理、遠(yuǎn)程桌面維護(hù)、網(wǎng)絡(luò)訪問策略、移動(dòng)存儲(chǔ)設(shè)備管理、系統(tǒng)補(bǔ)丁統(tǒng)一分發(fā)和企業(yè)資產(chǎn)管理，具備以下功能：設(shè)備自動(dòng)發(fā)現(xiàn)與資產(chǎn)管理：自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備；可依據(jù)IP/MAC/主機(jī)名以及資產(chǎn)的配置對(duì)接入設(shè)備快速定位；自動(dòng)發(fā)現(xiàn)組織內(nèi)所有終端計(jì)算機(jī)的軟硬件配置信息及運(yùn)行狀態(tài)信息，建立資產(chǎn)基線；支持配置變更自動(dòng)發(fā)現(xiàn)與告警；自動(dòng)維護(hù)軟硬件配置變更歷史信息。安全主動(dòng)評(píng)估，發(fā)現(xiàn)安全隱患：自動(dòng)發(fā)現(xiàn)存在安全隱患的終端計(jì)算機(jī)，并提示系統(tǒng)管理員和用戶要采取的彌補(bǔ)措施；桌面終端網(wǎng)絡(luò)流量異常評(píng)估，及時(shí)發(fā)現(xiàn)異常流量桌面終端；桌面終端安全配置評(píng)估，及時(shí)發(fā)現(xiàn)安全設(shè)置不完善的桌面終端；可疑注冊(cè)表項(xiàng)、可疑文件檢查；靈活配置各種安全隱患條件；多種方式控制/限制存在安全隱患的終端計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)。安全加固，防患于未然：補(bǔ)丁漏洞自動(dòng)修復(fù)，支持桌面終端操作系統(tǒng)補(bǔ)丁、MS應(yīng)用軟件補(bǔ)丁自動(dòng)更新、自動(dòng)升級(jí)；支持登錄口令強(qiáng)度、Guest帳戶、屏幕保護(hù)檢測(cè)，加固主機(jī)安全性；禁止各種默認(rèn)共享、禁止修改IP地址、禁止修改注冊(cè)表；強(qiáng)制安裝防病毒軟件與更新病毒庫；禁止運(yùn)行非法進(jìn)程等；內(nèi)置雙向個(gè)人防火墻，既可限制外部網(wǎng)絡(luò)直接訪問終端計(jì)算機(jī)，又可以限制終端計(jì)算機(jī)去訪問一些不允許的網(wǎng)絡(luò)服務(wù)。非法操作監(jiān)管，讓管理規(guī)定令行禁止：檢查終端計(jì)算機(jī)是否安裝了非法軟件；支持對(duì)USB硬盤、Modem撥號(hào)、無線通訊、紅外、藍(lán)牙、同時(shí)使用內(nèi)外網(wǎng)卡等非法操作的監(jiān)控、審計(jì)和禁止使用；支持對(duì)網(wǎng)上聊天、BT下載的監(jiān)控、審計(jì)和禁止；支持對(duì)HTTP訪問、Email、網(wǎng)絡(luò)文件拷貝等行為進(jìn)行審計(jì)，或禁止；支持離線管理，可以支持終端計(jì)算機(jī)在離開網(wǎng)絡(luò)之后策略仍然有效。軟件分發(fā)：在不對(duì)客戶端用戶造成負(fù)擔(dān)的前提下確保安全和病毒補(bǔ)丁的技術(shù)正常發(fā)放和安裝；支持大規(guī)?？蛻魴C(jī)、大軟件的快速分發(fā)，支持MultiCast分發(fā)、斷點(diǎn)續(xù)傳、多文件服務(wù)器等技術(shù)；支持自動(dòng)安裝、手動(dòng)安裝，可以支持多種打包工具和打包格式，如：Wise、MSI打包；可以方便靈活地按照網(wǎng)段、部門、IP、操作系統(tǒng)類型等條件選擇軟件分發(fā)目標(biāo)。遠(yuǎn)程協(xié)助與監(jiān)控：實(shí)時(shí)監(jiān)控客戶端畫面；可以選擇進(jìn)程控制或者只監(jiān)視不控制，滿足各種場(chǎng)合的需要；可以同時(shí)監(jiān)控多臺(tái)客戶端畫面。準(zhǔn)入控制系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入管理解決方案是通過定義一個(gè)可信域，允許可信域內(nèi)的計(jì)算機(jī)互相訪問，而禁止非可信域內(nèi)的計(jì)算機(jī)與可信域內(nèi)的計(jì)算機(jī)進(jìn)行通訊，從而杜絕任何形式的非法入網(wǎng)，徹底防止非法計(jì)算機(jī)利用直插網(wǎng)線、仿冒內(nèi)網(wǎng)合法計(jì)算機(jī)IP和計(jì)算機(jī)名、直連網(wǎng)內(nèi)合法計(jì)算機(jī)、私接路由這些常見和難以管理的方式違規(guī)入網(wǎng)，滿足等保關(guān)于接入層邊界安全保護(hù)要求。同時(shí)，對(duì)于外來合法入網(wǎng)的計(jì)算機(jī)，如廠家服務(wù)人員或各類外協(xié)人員攜帶的計(jì)算機(jī)，當(dāng)其接入網(wǎng)絡(luò)時(shí)可同步實(shí)施嚴(yán)格的管理，有效限制其訪問的網(wǎng)絡(luò)范圍，既可保證外來計(jì)算機(jī)在限定的網(wǎng)絡(luò)空間內(nèi)順利的完成工作，又可以防止其觸及網(wǎng)內(nèi)高密級(jí)區(qū)，威脅敏感信息的安全。另外，對(duì)所有合法進(jìn)入網(wǎng)絡(luò)的計(jì)算機(jī)在入網(wǎng)前將進(jìn)行必要的安全檢查，確保每臺(tái)計(jì)算機(jī)都符合既定的安全規(guī)范，防止其成為病毒攜帶者威脅網(wǎng)絡(luò)安全和穩(wěn)定。主要分為三方面：終端合法檢查，檢查終端入網(wǎng)的合法性，比如：終端是否安裝了客戶端，終端的IP/MAC是否合法等。終端合規(guī)檢查，檢查終端計(jì)算機(jī)環(huán)境是否符合規(guī)范要求，例如：終端是否安裝了指定的殺毒軟件，終端是否修復(fù)了操作系統(tǒng)補(bǔ)丁，不允許上網(wǎng)的終端是否上過網(wǎng)等。終端權(quán)限管理，對(duì)合法、合規(guī)聯(lián)入的終端進(jìn)行權(quán)限的管理控制，例如：聯(lián)入內(nèi)網(wǎng)的終端只能訪問指定的服務(wù)器，聯(lián)入內(nèi)網(wǎng)的終端只能使用與業(yè)務(wù)相關(guān)的應(yīng)用程序等。智慧屏安全管理系統(tǒng)針對(duì)智慧叫號(hào)屏、門診收費(fèi)大屏等安卓智慧顯示屏進(jìn)行集中安全管控，包括智慧顯示屏設(shè)備管理、資產(chǎn)管理、移動(dòng)應(yīng)用管理、移動(dòng)數(shù)據(jù)管理、安全合規(guī)管理、外設(shè)管理等。具體功能如下：(1)設(shè)備管理：管理設(shè)備資產(chǎn)、對(duì)設(shè)備進(jìn)行遠(yuǎn)程配置、遠(yuǎn)程設(shè)置安全策略、執(zhí)行安全合規(guī)管理、遠(yuǎn)程后臺(tái)操作設(shè)備等。(2)搭建統(tǒng)一的應(yīng)用集市，對(duì)智慧屏應(yīng)用進(jìn)行應(yīng)用黑白名單管理、遠(yuǎn)程設(shè)置應(yīng)用安全策略、對(duì)移動(dòng)應(yīng)用進(jìn)行加固、統(tǒng)一標(biāo)準(zhǔn)應(yīng)用推送等。(3)移動(dòng)內(nèi)容管理。遠(yuǎn)程集中推送數(shù)據(jù)文檔、對(duì)文檔設(shè)置安全策略、防止文檔內(nèi)容外泄、管理文檔生命周期等。(4)資產(chǎn)管理：實(shí)現(xiàn)智慧屏資產(chǎn)管理，設(shè)備配置管理，安裝軟件管理，版本管理。(5)外設(shè)管理：外設(shè)的集中權(quán)限管理，可根據(jù)不同用戶限制外設(shè)如U盤的隨意接入，減少智慧屏受控風(fēng)險(xiǎn)。醫(yī)療設(shè)備安全管理系統(tǒng)醫(yī)療設(shè)備安全管理系統(tǒng)聚焦于物聯(lián)網(wǎng)場(chǎng)景下的醫(yī)療設(shè)備安全管控問題，支持IT和IoT混合終端，其核心能力包括設(shè)備發(fā)現(xiàn)和識(shí)別、設(shè)備安全檢測(cè)、醫(yī)療設(shè)備回傳內(nèi)容審計(jì)等，防止出現(xiàn)醫(yī)療物聯(lián)網(wǎng)設(shè)備的私接和仿冒、異常行為、廠商遠(yuǎn)程運(yùn)維等影響診療業(yè)務(wù)正常開展等問題，同時(shí)提升醫(yī)院信息科人員對(duì)全院聯(lián)網(wǎng)設(shè)備的安全管控能力，確保一旦出現(xiàn)時(shí)間能夠快速發(fā)現(xiàn)、快速處置，盡可能降低對(duì)醫(yī)院業(yè)務(wù)的影響。終端安全設(shè)備部署如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1終端防病毒系統(tǒng)搭建防病毒管理中心，可通過總院進(jìn)行管理。2項(xiàng)內(nèi)網(wǎng)、外網(wǎng)各部署1套2終端桌面管理系統(tǒng)搭建桌面管理中心，可通過總院進(jìn)行管理。2項(xiàng)內(nèi)網(wǎng)、外網(wǎng)各部署1套3網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)搭建準(zhǔn)入控制管理系統(tǒng)，可通過總院進(jìn)行管理。3臺(tái)內(nèi)網(wǎng)2臺(tái)（主備）

外網(wǎng)1臺(tái)4智慧屏安全管理系統(tǒng)針對(duì)智慧叫號(hào)屏、門診收費(fèi)大屏等安卓智慧顯示屏進(jìn)行集中安全管控。1套內(nèi)網(wǎng)部署5醫(yī)療設(shè)備安全管理系統(tǒng)解決物聯(lián)網(wǎng)場(chǎng)景下的醫(yī)療設(shè)備安全管控問題。1套內(nèi)網(wǎng)部署主機(jī)服務(wù)器安全主機(jī)安全自適應(yīng)系統(tǒng)主機(jī)安全自適應(yīng)系統(tǒng)在醫(yī)院現(xiàn)有的每臺(tái)Linux服務(wù)器及重要Windows服務(wù)器部署EDR主機(jī)調(diào)查取證輕量客戶端，實(shí)現(xiàn)主機(jī)漏洞檢查、主機(jī)基線檢查、主機(jī)弱口令檢查、主機(jī)命令執(zhí)行跟蹤、C&C回連進(jìn)程定位、入侵軌跡記錄、進(jìn)程調(diào)用監(jiān)控及高危行為阻止、WebShell后門檢測(cè)查殺。具備以下功能：資產(chǎn)清點(diǎn)：從安全角度自動(dòng)化構(gòu)建細(xì)粒度資產(chǎn)信息，支持對(duì)業(yè)務(wù)層資產(chǎn)精準(zhǔn)識(shí)別和動(dòng)態(tài)感知，讓保護(hù)對(duì)象清晰可見。使用Agent-Server架構(gòu)，提供10余類主機(jī)關(guān)鍵資產(chǎn)清點(diǎn)，800余類業(yè)務(wù)應(yīng)用自動(dòng)識(shí)別，并擁有良好的擴(kuò)展能力。風(fēng)險(xiǎn)發(fā)現(xiàn)：在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上，持續(xù)、全面透徹地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)及安全薄弱點(diǎn)。根據(jù)多維度的風(fēng)險(xiǎn)分析和精確到命令行的處理建議，幫助用戶及時(shí)處理重要風(fēng)險(xiǎn)，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼，從而大大提高系統(tǒng)的攻擊門檻。入侵檢測(cè)：入侵檢測(cè)提供多錨點(diǎn)的檢測(cè)能力，能夠?qū)崟r(shí)、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)失陷主機(jī)，并提供對(duì)入侵事件的響應(yīng)手段。合規(guī)基線：由國內(nèi)信息安全等級(jí)保護(hù)要求和CIS（CenterforInternetSecurity）組成的基準(zhǔn)要求，涵蓋多個(gè)版本的主流操作系統(tǒng)、Web應(yīng)用、數(shù)據(jù)庫等。結(jié)合這些基線內(nèi)容，一方面，用戶可快速進(jìn)行企業(yè)內(nèi)部風(fēng)險(xiǎn)自測(cè)，發(fā)現(xiàn)問題并及時(shí)修復(fù)，以滿足監(jiān)管部門要求的安全條件；另一方面，企業(yè)可自行定義基線標(biāo)準(zhǔn)，作為企業(yè)內(nèi)部管理的安全基準(zhǔn)。漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)通過最新的漏洞庫規(guī)則，定時(shí)及突發(fā)情況下第一時(shí)間開展全網(wǎng)資產(chǎn)漏洞掃描工具，及時(shí)發(fā)現(xiàn)資產(chǎn)存在的漏洞，為漏洞修復(fù)贏得寶貴的時(shí)間并可校驗(yàn)漏洞修復(fù)是否成功，具備以下功能：全方位系統(tǒng)脆弱性發(fā)現(xiàn)：全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告；新漏洞快速定位風(fēng)險(xiǎn)：在突發(fā)新漏洞公布后，能夠快速定位風(fēng)險(xiǎn)資產(chǎn)、風(fēng)險(xiǎn)類型、嚴(yán)重程度，有效支撐用戶快速修復(fù)漏洞；融入并促進(jìn)安全管理流程：安全管理不只是技術(shù)，更重要的是通過流程制度對(duì)安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制，依據(jù)漏洞閉環(huán)管理思路，對(duì)漏洞進(jìn)行全生產(chǎn)周期的管理，從漏洞發(fā)現(xiàn)、告警、跟蹤、修復(fù)等進(jìn)行全過程監(jiān)控，提供全網(wǎng)風(fēng)險(xiǎn)報(bào)告，監(jiān)督安全管理的執(zhí)行。主機(jī)服務(wù)器安全設(shè)備部署如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1主機(jī)安全自適應(yīng)系統(tǒng)每臺(tái)Linux服務(wù)器及Windows服務(wù)器部署EDR主機(jī)調(diào)查取證輕量系統(tǒng)，實(shí)現(xiàn)主機(jī)入侵軌跡取證、行為采集、威脅溯源。1套內(nèi)網(wǎng)2漏洞掃描設(shè)備滿足主機(jī)漏洞及時(shí)檢測(cè)要求。--復(fù)用本院漏洞掃描系統(tǒng)數(shù)據(jù)安全數(shù)據(jù)脫敏系統(tǒng)本次的安全建設(shè)中，院區(qū)的數(shù)據(jù)需要上傳到區(qū)域衛(wèi)生平臺(tái)，為保障輸出數(shù)據(jù)的安全性，以及提供給外部使用、測(cè)試、研究，基于數(shù)據(jù)隱私保護(hù)的要求，我們需要借助專業(yè)的第三數(shù)據(jù)脫敏工具，實(shí)現(xiàn)數(shù)據(jù)的屏蔽和脫敏，采用專門的脫敏算法對(duì)敏感數(shù)據(jù)進(jìn)行變形、屏蔽、替換、隨機(jī)化、加密，將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)，隱藏了真正的隱私信息，為數(shù)據(jù)的安全使用提供了基礎(chǔ)保障。同時(shí)脫敏后的數(shù)據(jù)可以保留原有數(shù)據(jù)的特征和分布，無需改變相應(yīng)的業(yè)務(wù)系統(tǒng)邏輯。數(shù)據(jù)防泄密系統(tǒng)數(shù)據(jù)防泄密系統(tǒng)可提供數(shù)據(jù)流出安全監(jiān)測(cè)，防止數(shù)據(jù)的不合規(guī)流出，防止數(shù)據(jù)的泄漏，具備以下功能：網(wǎng)絡(luò)數(shù)據(jù)日常監(jiān)測(cè)：進(jìn)行日常數(shù)據(jù)流出監(jiān)測(cè)，系統(tǒng)日常工作中的網(wǎng)絡(luò)行為、網(wǎng)絡(luò)數(shù)據(jù)傳輸、運(yùn)維人員和第三方接入人員的數(shù)據(jù)獲取工作情況進(jìn)行記錄，方便監(jiān)管；事中違規(guī)控制：監(jiān)測(cè)工具能夠智能識(shí)別與網(wǎng)絡(luò)阻斷業(yè)務(wù)協(xié)同工作，在實(shí)時(shí)數(shù)據(jù)監(jiān)測(cè)中識(shí)別出違規(guī)的數(shù)據(jù)傳輸，實(shí)現(xiàn)違規(guī)數(shù)據(jù)流出數(shù)據(jù)的阻斷，保證敏感的數(shù)據(jù)安全無泄漏；事后追根溯源：通過事后審計(jì)信息可以對(duì)發(fā)生的安全事件進(jìn)行追溯，保留一份不能修改不可刪除的“證據(jù)”。敏感數(shù)據(jù)識(shí)別分類分級(jí)系統(tǒng)敏感數(shù)據(jù)識(shí)別分類分級(jí)系統(tǒng)主要面向醫(yī)院數(shù)據(jù)資產(chǎn)進(jìn)行自動(dòng)化發(fā)現(xiàn)和識(shí)別敏感數(shù)據(jù)，并提供可視化數(shù)據(jù)視圖進(jìn)行敏感資產(chǎn)保護(hù)及標(biāo)準(zhǔn)的分類分級(jí)模板，提供對(duì)接能力將敏感數(shù)據(jù)發(fā)現(xiàn)結(jié)果導(dǎo)入到業(yè)務(wù)系統(tǒng)中完成保護(hù)閉環(huán)，可實(shí)現(xiàn)以下功能。(1)數(shù)據(jù)服務(wù)發(fā)現(xiàn)：優(yōu)質(zhì)的數(shù)據(jù)服務(wù)掃描功能，可智能化發(fā)現(xiàn)、掃描并定位企業(yè)繁瑣且巨量的數(shù)據(jù)，自動(dòng)識(shí)別數(shù)據(jù)關(guān)系，高效進(jìn)行靜態(tài)數(shù)據(jù)資產(chǎn)安全梳理。(2)敏感數(shù)據(jù)識(shí)別：精準(zhǔn)定位敏感數(shù)據(jù)的分布，支持結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)及文件數(shù)據(jù)。支持對(duì)海量數(shù)據(jù)資產(chǎn)快速進(jìn)行自動(dòng)化分類分級(jí)，在業(yè)務(wù)零打擾的情況下完成對(duì)數(shù)據(jù)資產(chǎn)的自動(dòng)化標(biāo)識(shí)。(3)智能分析引擎：以多維度的規(guī)則匹配和機(jī)器學(xué)習(xí)能力，深度學(xué)習(xí)企業(yè)數(shù)據(jù)資產(chǎn)業(yè)務(wù)場(chǎng)景，形成一套貼合實(shí)際業(yè)務(wù)場(chǎng)景的算法模型，使自動(dòng)化分類分級(jí)更高效、精準(zhǔn)。(4)分類分級(jí)可視化：系統(tǒng)將分類分級(jí)結(jié)果以多個(gè)維度進(jìn)行可視化呈現(xiàn)，提供了以數(shù)據(jù)清單維度的分級(jí)結(jié)果、數(shù)據(jù)分類維度的分級(jí)結(jié)果以及數(shù)據(jù)分級(jí)維度的識(shí)別結(jié)果。應(yīng)用接口數(shù)據(jù)傳輸安全檢測(cè)系統(tǒng)應(yīng)用接口數(shù)據(jù)傳輸安全檢測(cè)系統(tǒng)通過網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測(cè)應(yīng)用接口數(shù)據(jù)傳輸安全，實(shí)現(xiàn)應(yīng)用API接口資產(chǎn)梳理、敏感數(shù)據(jù)識(shí)別、API接口弱點(diǎn)評(píng)估、API生命周期監(jiān)測(cè)，支持實(shí)時(shí)監(jiān)測(cè)1Gbps高配版的應(yīng)用訪問流量，具備數(shù)據(jù)溯源功能。(1)敏感接口梳理：產(chǎn)品采用自動(dòng)化接口發(fā)現(xiàn)技術(shù)，能夠?qū)⒕W(wǎng)絡(luò)流量中大量的URL進(jìn)行聚合歸類，然后提取參數(shù)配置，還原接口的技術(shù)設(shè)計(jì)形式；按照接口資源類型展示各類接口。(2)敏感操作記錄：多方法識(shí)別數(shù)據(jù)標(biāo)簽：基于自主研發(fā)的日志結(jié)構(gòu)化引擎，自動(dòng)將網(wǎng)絡(luò)上流動(dòng)的敏感數(shù)據(jù)進(jìn)行記錄。自動(dòng)多種敏感數(shù)據(jù)識(shí)別模式，包括預(yù)定義模式，正則表達(dá)模式，專家自定義模式。其中自動(dòng)識(shí)別個(gè)人信息數(shù)據(jù)，并支持專家自定義企業(yè)特有的敏感數(shù)據(jù)標(biāo)簽。(3)系統(tǒng)接口弱點(diǎn)發(fā)現(xiàn)：產(chǎn)品針對(duì)流量中活躍資產(chǎn)進(jìn)行數(shù)據(jù)資產(chǎn)弱點(diǎn)檢查，對(duì)接口資產(chǎn)進(jìn)行自動(dòng)打標(biāo)分類，對(duì)不同類型的接口資產(chǎn)進(jìn)行分類自查。支持多種接口弱點(diǎn)自動(dòng)識(shí)別，包括口令類、認(rèn)證類、權(quán)限類、數(shù)據(jù)類等安全風(fēng)險(xiǎn)，并自動(dòng)進(jìn)行告警。(4)發(fā)現(xiàn)數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)：產(chǎn)品提供風(fēng)險(xiǎn)預(yù)警和快速風(fēng)險(xiǎn)排查能力，通過各類監(jiān)控指標(biāo)，及時(shí)發(fā)現(xiàn)可疑高風(fēng)險(xiǎn)數(shù)據(jù)安全事件和違規(guī)操作行為。網(wǎng)間文件交互系統(tǒng)網(wǎng)間文件交互系統(tǒng)可以減少醫(yī)院?jiǎn)T工使用U盤在醫(yī)院內(nèi)網(wǎng)、外網(wǎng)進(jìn)行數(shù)據(jù)交互，避免外部病毒通過移動(dòng)設(shè)備進(jìn)入內(nèi)網(wǎng)，保障文件傳輸過程的安全性，對(duì)進(jìn)入內(nèi)網(wǎng)的文件進(jìn)行審核、過濾，保障文件進(jìn)出內(nèi)外網(wǎng)的安全性?？梢詫?duì)數(shù)據(jù)進(jìn)行隔離交換、審批審計(jì)、防泄密、統(tǒng)一文件管控等功能。提升醫(yī)療機(jī)構(gòu)內(nèi)容生產(chǎn)能力高效便捷的同網(wǎng)/異網(wǎng)文件傳輸能力，方便用戶協(xié)作貢獻(xiàn)及遠(yuǎn)程辦公。提高自助運(yùn)維能力通過自助備份、自動(dòng)傳輸、公共分發(fā)、軟件倉庫等功能，減低運(yùn)維工作量。彌補(bǔ)內(nèi)部數(shù)據(jù)管理缺陷補(bǔ)充院內(nèi)數(shù)據(jù)保護(hù)方案中的通道管控，增加院內(nèi)數(shù)據(jù)安全防護(hù)能。降低信息管理成本建立統(tǒng)一的內(nèi)部數(shù)據(jù)傳輸通道，實(shí)現(xiàn)整體化管控，并定時(shí)分析輸出報(bào)表。減少威脅通過U盤傳入內(nèi)網(wǎng)風(fēng)險(xiǎn)。通過文件交互系統(tǒng)，內(nèi)網(wǎng)將全面關(guān)閉U盤使用，利用文件交互系統(tǒng)的病毒查殺功能對(duì)傳輸文件進(jìn)行病毒查殺，將極大減少U盤使用過程中將病毒傳入內(nèi)網(wǎng)的風(fēng)險(xiǎn)。減少內(nèi)網(wǎng)醫(yī)療數(shù)據(jù)通過U盤傳出外網(wǎng)的風(fēng)險(xiǎn)。從內(nèi)網(wǎng)拷貝文件出外網(wǎng)或互聯(lián)網(wǎng)，需要通過文件交互系統(tǒng)的安全審計(jì)，有效減少敏感數(shù)據(jù)外泄風(fēng)險(xiǎn)。數(shù)據(jù)安全設(shè)備部署如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1數(shù)據(jù)脫敏系統(tǒng)保障對(duì)外給出的數(shù)據(jù)能夠進(jìn)行敏感字段的脫敏，滿足電子病歷及互聯(lián)互通要求。1臺(tái)內(nèi)網(wǎng)主機(jī)房2網(wǎng)間文件交互系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間文件的數(shù)據(jù)交互，保障數(shù)據(jù)交互過程的安全性。1臺(tái)內(nèi)網(wǎng)與外網(wǎng)間3數(shù)據(jù)防泄密系統(tǒng)本次在院區(qū)服務(wù)器區(qū)1個(gè)網(wǎng)絡(luò)防泄密節(jié)點(diǎn)，保障外聯(lián)的數(shù)據(jù)的合規(guī)性，防止數(shù)據(jù)泄密。1臺(tái)內(nèi)網(wǎng)4敏感數(shù)據(jù)識(shí)別分類分級(jí)系統(tǒng)面向醫(yī)院數(shù)據(jù)資產(chǎn)進(jìn)行自動(dòng)化發(fā)現(xiàn)和識(shí)別敏感數(shù)據(jù)。1套內(nèi)網(wǎng)5應(yīng)用接口數(shù)據(jù)傳輸安全檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)應(yīng)用接口數(shù)據(jù)傳輸安全。1套內(nèi)網(wǎng)統(tǒng)一安全指揮平臺(tái)流量匯聚交付設(shè)備流量匯聚交付設(shè)備支持多路鏡像輸入和多路鏡像輸出的任意組合，用于從核心鏡像流量復(fù)制多不同的安全監(jiān)控設(shè)備，避免核心鏡像數(shù)量不足導(dǎo)致安全設(shè)備無法接入。通過對(duì)流量整合、流量去重、多鏡像輸入、應(yīng)用級(jí)精細(xì)化分流，極大緩解核心交換機(jī)的鏡像壓力。設(shè)備支持串接、旁路、分光等多種部署方式，可以滿足醫(yī)院不同的流量采集需求。流量匯聚支持按需個(gè)人敏感信息自動(dòng)脫敏功能，滿足數(shù)據(jù)安全要求?？梢詭椭t(yī)院實(shí)現(xiàn)基于應(yīng)用的流量識(shí)別和調(diào)度，實(shí)現(xiàn)應(yīng)用級(jí)精細(xì)化分流。態(tài)勢(shì)感知平臺(tái)及威脅潛伏探針在院區(qū)內(nèi)網(wǎng)及外網(wǎng)分別部署一臺(tái)態(tài)勢(shì)平臺(tái)威脅潛伏探針，實(shí)現(xiàn)分院內(nèi)外網(wǎng)潛伏的威脅，態(tài)勢(shì)感知平臺(tái)可從總院進(jìn)行管理，態(tài)勢(shì)感知平臺(tái)具備以下功能。內(nèi)部攻擊可視化醫(yī)院云數(shù)據(jù)中心內(nèi)部橫向攻擊行為檢測(cè)：對(duì)越過邊界防護(hù)，或以內(nèi)部主機(jī)為跳板的橫向攻擊，進(jìn)行實(shí)時(shí)檢測(cè)與告警，包括對(duì)內(nèi)掃描、對(duì)內(nèi)利用漏洞進(jìn)行病毒傳播、對(duì)內(nèi)進(jìn)行L2-7的攻擊行為等。全網(wǎng)業(yè)務(wù)訪問關(guān)系可視化業(yè)務(wù)系統(tǒng)訪問關(guān)系：通過訪問關(guān)系學(xué)習(xí)展示用戶、業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)之間訪問關(guān)系，通過顏色區(qū)分不同危險(xiǎn)等級(jí)用戶、業(yè)務(wù)系統(tǒng)，可視化的呈現(xiàn)以識(shí)別非法的訪問；業(yè)務(wù)系統(tǒng)應(yīng)用及流量可視化：業(yè)務(wù)系統(tǒng)的應(yīng)用、流量、會(huì)話數(shù)進(jìn)行可視化的呈現(xiàn)，并提供流量趨勢(shì)分析。違規(guī)操作可視化違規(guī)訪問行為檢測(cè)：結(jié)合全網(wǎng)的資產(chǎn)及訪問關(guān)系可視，將違規(guī)訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行可視化的呈現(xiàn)，防止進(jìn)一步可能存在的攻擊，并向管理員預(yù)警。異常行為可視化業(yè)務(wù)資產(chǎn)異常行為檢測(cè)：包括業(yè)務(wù)資產(chǎn)在非正常時(shí)間主動(dòng)發(fā)起的請(qǐng)求、業(yè)務(wù)主動(dòng)向外發(fā)起非正常請(qǐng)求（如DNS請(qǐng)求）等異常行為預(yù)警可能存在的安全威脅；潛在風(fēng)險(xiǎn)的訪問路徑：將可能失陷的終端對(duì)業(yè)務(wù)系統(tǒng)的訪問路徑、存在異常流量及行為的終端/服務(wù)器的訪問路徑進(jìn)行預(yù)警，幫助管理員及時(shí)響應(yīng)安全事件并進(jìn)行安全策略調(diào)整。全網(wǎng)安全態(tài)勢(shì)感知整體安全態(tài)勢(shì)：結(jié)合攻擊趨勢(shì)、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性對(duì)全網(wǎng)安全態(tài)勢(shì)進(jìn)行整體評(píng)價(jià)，以業(yè)務(wù)系統(tǒng)的視角進(jìn)行呈現(xiàn)，可有效的把握整體安全態(tài)勢(shì)進(jìn)行安全決策分析；全網(wǎng)態(tài)勢(shì)感知：展示內(nèi)網(wǎng)服務(wù)器被外網(wǎng)攻擊的實(shí)時(shí)動(dòng)態(tài)圖，實(shí)現(xiàn)全網(wǎng)安全攻擊態(tài)勢(shì)大屏展示；有效的攻擊事件：通過旁路鏡像的方式可將攻擊回包狀態(tài)進(jìn)行完整的檢測(cè)，結(jié)合業(yè)務(wù)系統(tǒng)的漏洞信息，可以識(shí)別攻擊成功的有效安全事件；失陷業(yè)務(wù)系統(tǒng)/資產(chǎn)：通過外發(fā)異常流量、網(wǎng)頁篡改監(jiān)測(cè)、黑鏈檢測(cè)等檢測(cè)技術(shù)確定業(yè)務(wù)系統(tǒng)/資產(chǎn)是否已被攻擊，并將資產(chǎn)存在的后門進(jìn)行檢測(cè)，并向管理員告知已失陷的安全事件；安全事件關(guān)聯(lián)分析：將下一代防火墻及安全檢測(cè)探針的安全事件進(jìn)行關(guān)聯(lián)分析，結(jié)合黑客攻擊鏈進(jìn)行關(guān)聯(lián)分析，并確定更加高級(jí)的安全威脅。蜜罐通過在真實(shí)網(wǎng)絡(luò)環(huán)境中部署監(jiān)測(cè)節(jié)點(diǎn)，監(jiān)聽掃描和攻擊行為，將攻擊流量重定向至由偽裝組件搭建的蜜網(wǎng)環(huán)境中，從而實(shí)現(xiàn)混淆攻擊者目標(biāo)，延緩攻擊進(jìn)程，記錄攻擊行為的功能。蜜網(wǎng)環(huán)境由高仿真的各類服務(wù)型蜜罐組網(wǎng)形成，具備極強(qiáng)的偽裝性和較高的交互性。諦聽還可通過日志外發(fā)接口和API接口，實(shí)現(xiàn)和其他防護(hù)設(shè)備、威脅情報(bào)的聯(lián)動(dòng)，為反制措施提供精準(zhǔn)情報(bào)。DNS安全防護(hù)系統(tǒng)DNS安全防護(hù)系統(tǒng)以透明代理方式向醫(yī)院提供DNS解析及惡意域名過濾，系統(tǒng)可實(shí)現(xiàn)以下功能：（1）有效防護(hù)數(shù)據(jù)竊取、遠(yuǎn)控連接、重定向流量、使DNS拒絕服務(wù)等各種針對(duì)DNS的攻擊行為；（2）識(shí)別及過濾醫(yī)院網(wǎng)絡(luò)中的肉雞、僵尸網(wǎng)絡(luò)、惡意后門等威脅的網(wǎng)絡(luò)回聯(lián)域名請(qǐng)求，定位存在上述威脅的源頭終端；（3）僵尸網(wǎng)絡(luò)的非法訪問重定向，阻斷黑客對(duì)僵尸網(wǎng)絡(luò)終端的遠(yuǎn)程控制；（4）支持對(duì)所有DNS攻擊事件、失陷主機(jī)進(jìn)行回聯(lián)統(tǒng)計(jì)等分析回溯能力；（5）提供智能DNS遞歸和緩存服務(wù)，具備遞歸調(diào)度策略，可按需對(duì)解析結(jié)果進(jìn)行優(yōu)選并應(yīng)答，促進(jìn)鏈路帶寬均衡、提高訪問速度、改善互聯(lián)網(wǎng)訪問體驗(yàn)；（6）對(duì)DNS請(qǐng)求進(jìn)行智能分析，定位異常DNS訪問來源，阻斷網(wǎng)絡(luò)攻擊外聯(lián)；（7）提供DNS使用自動(dòng)化報(bào)表，為業(yè)務(wù)及帶寬擴(kuò)容提供有效的數(shù)據(jù)支撐。統(tǒng)一安全運(yùn)營治理支撐平臺(tái)統(tǒng)一安全運(yùn)營治理支撐平臺(tái)可實(shí)現(xiàn)全網(wǎng)IT資產(chǎn)全生命周期、業(yè)務(wù)系統(tǒng)三同步管控、外聯(lián)業(yè)務(wù)風(fēng)險(xiǎn)管控、對(duì)外接口安全管控、敏感數(shù)據(jù)安全管控、安全威脅處置管理、信息系統(tǒng)等保工作管理等治理能力。具體功能項(xiàng)要求如下：(1)資產(chǎn)管理，按照資產(chǎn)管理責(zé)任矩陣實(shí)現(xiàn)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用、數(shù)據(jù)庫、中間件、應(yīng)用接口、醫(yī)護(hù)終端的統(tǒng)一資產(chǎn)管理，形成資產(chǎn)庫；(2)資產(chǎn)漏洞管理，主機(jī)自適應(yīng)安全系統(tǒng)實(shí)現(xiàn)資產(chǎn)漏洞管理，支持導(dǎo)入外部漏洞檢測(cè)結(jié)果，實(shí)現(xiàn)漏洞的整改佐證與跟蹤；(3)外聯(lián)業(yè)務(wù)風(fēng)險(xiǎn)管理，實(shí)現(xiàn)對(duì)外應(yīng)用系統(tǒng)、對(duì)外應(yīng)用接口的入網(wǎng)管理、安全準(zhǔn)入、對(duì)外接口合規(guī)審批管理；(4)對(duì)接數(shù)據(jù)分類分級(jí)系統(tǒng)，對(duì)照《數(shù)安法》、《個(gè)保法》要求，實(shí)現(xiàn)敏感數(shù)據(jù)及個(gè)人信息數(shù)據(jù)資產(chǎn)的安全合規(guī)評(píng)估，每年輸出數(shù)據(jù)安全合規(guī)報(bào)告；(5)支撐數(shù)據(jù)治理，支撐醫(yī)院開展資產(chǎn)分級(jí)、分類；按業(yè)務(wù)系統(tǒng)開展場(chǎng)景分析、敏感數(shù)據(jù)識(shí)別；完善醫(yī)院數(shù)據(jù)安全管理辦法，明確數(shù)據(jù)安全責(zé)任矩陣；推動(dòng)醫(yī)院各數(shù)據(jù)安全相關(guān)工具與平臺(tái)（數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫運(yùn)維管控、堡壘機(jī)、DLP等）對(duì)接，按照數(shù)據(jù)安全治理的要求和數(shù)據(jù)安全風(fēng)險(xiǎn)控制點(diǎn)，采集相關(guān)數(shù)據(jù)，在管理平臺(tái)上設(shè)計(jì)數(shù)據(jù)安全的治理分析策略，不斷優(yōu)化分析模型，實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行告警；(5)安全威脅處置管理，對(duì)接終端防病毒系統(tǒng)，實(shí)現(xiàn)高危終端定位、勒索病毒告警、病毒傳播渠道分析、全網(wǎng)病毒感染率分析、病毒發(fā)展趨勢(shì)分析；對(duì)接態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)全網(wǎng)威脅評(píng)價(jià)、全網(wǎng)威脅及失陷主機(jī)處置跟蹤及全網(wǎng)威脅趨勢(shì)分析；(6)信息系統(tǒng)等保工作管理，對(duì)醫(yī)院所有信息系統(tǒng)納入管理，跟蹤各信息系統(tǒng)定級(jí)、整改、測(cè)評(píng)工作開展情況，有效推進(jìn)等保工作管理；(7)醫(yī)院網(wǎng)絡(luò)安全形勢(shì)分析，從法規(guī)要求、信息化戰(zhàn)略、分析外部安全威脅、網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)、內(nèi)部安全脆弱性等方面分析醫(yī)院面臨的安全形勢(shì)；(8)安全運(yùn)維治理,協(xié)助醫(yī)院制定滲透測(cè)試、漏洞掃描、配置核查、安全巡檢、安全加固等安全工作的標(biāo)準(zhǔn)與流程；將相關(guān)標(biāo)準(zhǔn)和流程以知識(shí)庫方式內(nèi)置在平臺(tái)上，指導(dǎo)和約束內(nèi)外部安全、運(yùn)維工程師按照醫(yī)院合規(guī)庫要求，通過平臺(tái)開展日常安全運(yùn)維工作。統(tǒng)一安全指揮平臺(tái)部署如下：序號(hào)項(xiàng)目/設(shè)備名稱部署說明數(shù)量單位備注說明1流量匯聚交付設(shè)備用于從核心鏡像流量復(fù)制多不同的安全監(jiān)控設(shè)備。2臺(tái)內(nèi)外網(wǎng)各1臺(tái)2態(tài)勢(shì)感知平臺(tái)及威脅潛伏探針內(nèi)網(wǎng)及外網(wǎng)分別部署一臺(tái)態(tài)勢(shì)平臺(tái)威脅潛伏探針，實(shí)現(xiàn)分院內(nèi)外網(wǎng)潛伏的威脅。1套平臺(tái)部署在內(nèi)網(wǎng)，探針內(nèi)外網(wǎng)各1臺(tái)3蜜罐實(shí)現(xiàn)混淆攻擊者目標(biāo)，延緩攻擊進(jìn)程，記錄攻擊行為的功能。1臺(tái)內(nèi)網(wǎng)4DNS安全防護(hù)系統(tǒng)提供DNS解析及惡意域名過濾。1套內(nèi)網(wǎng)5統(tǒng)一安全運(yùn)營治理支撐平臺(tái)實(shí)現(xiàn)全網(wǎng)IT資產(chǎn)全生命周期、業(yè)務(wù)系統(tǒng)三同步管控、外聯(lián)業(yè)務(wù)風(fēng)險(xiǎn)管控、對(duì)外接口安全管控、敏感數(shù)據(jù)安全管控、安全威脅處置管理、信息系統(tǒng)等保工作管理等治理能力。1套內(nèi)網(wǎng)商用密碼應(yīng)用設(shè)備服務(wù)器密碼機(jī)能獨(dú)立或并行為多個(gè)應(yīng)用實(shí)體提供密碼運(yùn)算、密鑰管理等功能的設(shè)備，支持SM1、SM2、SM3、SM4等國產(chǎn)密碼算法。用于給業(yè)務(wù)系統(tǒng)及機(jī)房的門禁、視頻監(jiān)控提供基礎(chǔ)的密碼服務(wù)。時(shí)間戳服務(wù)器采用精確的時(shí)間源、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制、能夠?yàn)橛脩籼峁┚_的、可信賴的且不可抵賴的時(shí)間戳服務(wù)；支持SM2、SM3、SM4等國家標(biāo)準(zhǔn)密碼算法，同時(shí)支持RSA、SHA1、SHA256、SHA512等國際標(biāo)準(zhǔn)密碼算法。具有時(shí)間管理、時(shí)間戳證書管理、密鑰安全存儲(chǔ)、設(shè)備管理、訪問控制、真隨機(jī)數(shù)生成、日志審計(jì)和設(shè)備自檢等功能?？梢詽M足應(yīng)用系統(tǒng)的簽發(fā)時(shí)間戳、驗(yàn)證時(shí)間戳、同步可信時(shí)間的要求。具有商用密碼產(chǎn)品認(rèn)證證書。SSLVPN用于構(gòu)建SSL通道，提供高強(qiáng)度的身份認(rèn)證、高強(qiáng)度的數(shù)據(jù)加密傳輸、完整性驗(yàn)證服務(wù)，實(shí)現(xiàn)系統(tǒng)通訊數(shù)據(jù)傳輸機(jī)密性保護(hù)，主要用于提供辦公人員從外部辦公和運(yùn)維的安全接入。IPSECVPN用于構(gòu)建IPSec通道，提供高強(qiáng)度的身份認(rèn)證、高強(qiáng)度的數(shù)據(jù)加密傳輸、完整性驗(yàn)證服務(wù)，實(shí)現(xiàn)系統(tǒng)通訊數(shù)據(jù)傳輸機(jī)密性保護(hù)，主要用于站點(diǎn)到站點(diǎn)的安全訪問。智能密碼鑰匙智能密碼鑰匙具備密碼運(yùn)算和密鑰管理能力；支持用戶私鑰和數(shù)字證書存儲(chǔ)；支持?jǐn)?shù)據(jù)加解密、數(shù)據(jù)完整性校驗(yàn)、數(shù)字簽名、訪問控制等功能。支持SM2、SM3、SM4、SM9等國產(chǎn)密碼算法。個(gè)人證書服務(wù)采用國家認(rèn)可的權(quán)威第三方CA機(jī)構(gòu)證書，提供國密證書簽發(fā)和管理服務(wù)，應(yīng)用于個(gè)人用戶標(biāo)識(shí)真實(shí)身份，配合智能密碼鑰匙使用。手機(jī)密碼服務(wù)平臺(tái)手機(jī)密碼服務(wù)平臺(tái)為移動(dòng)互聯(lián)網(wǎng)、移動(dòng)設(shè)備提供密碼運(yùn)算支撐，用于身份認(rèn)證、電子簽名、數(shù)據(jù)保護(hù)等密碼服務(wù)；身份鑒別：支持基于數(shù)字證書的身份鑒別；個(gè)人信息保護(hù)：提供用戶個(gè)人敏感信息保護(hù)；密鑰管理：提供移動(dòng)端密鑰生成、分發(fā)、使用、存儲(chǔ)、銷毀等全生命周期管理；協(xié)同簽名：提供數(shù)據(jù)簽名服務(wù)接口，支持從業(yè)務(wù)系統(tǒng)發(fā)起簽名請(qǐng)求，服務(wù)器與用戶手機(jī)端共同完成協(xié)同簽名操作流程。電子簽章服務(wù)系統(tǒng)電子簽章是以電子形式對(duì)加蓋圖像數(shù)據(jù)的電子文檔進(jìn)行數(shù)字簽名，以確保文檔來源的真實(shí)性以及文檔的完整性，防止對(duì)文檔非授權(quán)的篡改，并確保簽章行為的不可否認(rèn)性。密鑰管理系統(tǒng)密鑰管理系統(tǒng)是生成用戶加密密鑰對(duì)并對(duì)其進(jìn)行管理的系統(tǒng)，它負(fù)責(zé)密鑰在整個(gè)生命周期中的安全管理，包括密鑰的生成、存儲(chǔ)、分發(fā)、備份、更新、撤銷、歸檔和恢復(fù)等全過程的管理。信息安全保障系統(tǒng)聯(lián)動(dòng)機(jī)制隨著網(wǎng)絡(luò)安全威脅的不斷演化，醫(yī)院亟需解決的信息安全威脅已由傳統(tǒng)安全威脅轉(zhuǎn)為針對(duì)性APT攻擊等未知威脅。未知威脅針對(duì)性強(qiáng)、潛伏時(shí)間長(zhǎng)，面對(duì)這類威脅，依靠單一的技術(shù)和產(chǎn)品功能，很難做出有效的威脅發(fā)現(xiàn)和阻斷措施。為幫助院區(qū)應(yīng)對(duì)最新的安全威脅，本次為醫(yī)院設(shè)計(jì)的信息安全保障系統(tǒng)，實(shí)現(xiàn)有最大限度的聯(lián)動(dòng)機(jī)制。通過統(tǒng)一威脅發(fā)現(xiàn)、威脅特征自動(dòng)更新、策略統(tǒng)一下發(fā)，確保在網(wǎng)絡(luò)邊界、服務(wù)器區(qū)邊界、安全接入?yún)^(qū)、主機(jī)層帶來最佳的安全防護(hù)。具體聯(lián)動(dòng)機(jī)制如下表：安全設(shè)備部署位置聯(lián)動(dòng)設(shè)備聯(lián)動(dòng)功能態(tài)勢(shì)感知平臺(tái)院區(qū)內(nèi)網(wǎng)及外網(wǎng)態(tài)勢(shì)