··人民醫院傳染病樓智能化提升項目技術規范書目錄一、 工程概況 108二、 建設背景及必要性 108三、 建設目標及建設內容 109四、 建設依據 110五、 技術要求 1121、一般要求 1122、質量要求 1123、兼容性要求 112六、 系統技術方案 1131、網絡安全系統 1131.1系統概述 1131.2建設方案 1141.3系統功能 1172、超融合及桌面云系統 1302.1項目背景 1302.2系統概述 1312.3建設內容 1323、智慧病區應用系統 1373.1系統概述 1373.2建設方案 1403.3系統功能 1524、多媒體會議系統 1874.1系統概述 1874.2建設內容 187工程概況人民醫院傳染病病房樓規劃建設門診、醫技、病房綜合樓一棟，建筑層數五層。大樓建成后將增設傳染病床位200張，能持續加強和完善我縣傳染性疾病突發公共衛生事件醫療救治體系，提高救治能力和水平。建設背景及必要性本項目作為下轄的一個重要縣域，其醫療衛生事業的發展直接關系到全縣人民的健康福祉和社會穩定。隨著近年來傳染性疾病的頻發與公共衛生事件的挑戰，加強和完善傳染性疾病的醫療救治體系顯得尤為重要。人民醫院作為縣域內的主要醫療機構，承擔著全縣及周邊地區群眾的醫療救治任務，其醫療設施和服務水平直接關系到全縣公共衛生應急響應能力和救治效率。感染樓一期智能化工程已建設的系統包括綜合布線系統、計算機網絡系統、機房工程、綜合管網系統、醫護對講系統及排隊叫號系統。本次智能化提升工程是在一期智能化工程的基礎上，針對網絡安全、智慧病區系統管理、超融合系統、云桌面辦公及多媒體會議等方面進行的智能化升級。這將為醫院提供一個高效、安全、便捷的運行平臺，提升醫院的管理和服務水平，適應信息化條件下醫院管理、控制、服務一體化集成的要求。通過本次智能化系統的提升建設，醫院將能夠實現對醫療資源的優化配置和高效利用，降低運營成本，提高經濟效益和社會效益，未來將能更好地應對公共衛生挑戰、提升醫療服務水平、完善公共衛生應急體系、推動醫院信息化建設和可持續發展。建設目標及建設內容醫院智能化系統是通過采用現代信息技術、網絡技術和自動化控制技術來更高效、便捷、準確的提高醫院管理水平、醫療服務質量及醫護工作效率。醫院智能化建設的目標是要著重解決怎樣通過智能化系統的建設來實現對醫院的安全、設備、信息的合理有效管理，并最終使得建成的智能化系統能為醫院業務管理、設備運行以及對外服務提供一個運行平臺,提供一種高科技高效率的管理和服務手段，適應醫院信息化條件下管理、控制、服務一體化集成的要求，建立一個安全、舒適、便捷的信息化、網絡化、智能化的高水平醫院。現階段醫院智能化系統建設的重點是為醫院提供優質的醫療服務手段和智能化管理平臺，歸結到一句話也就是智能化系統是為醫院數字化應用和醫院管理服務的。不同的建筑有不同的功能，針對人民醫院傳染病病房樓智能化項目建設的具體功能要求，需不同程度地配置各種各樣的智能化弱電子系統，其設計及施工必須滿足醫院智能化建設的三大主題：滿足醫院數字化要求、健康舒適的就醫環境、節能和高效的建筑環境。本次建設內容主要包含以下子系統：網絡安全系統：本項目網絡安全系統旨在為人民醫院建立“一個中心”（安全管理中心）保障下的“三重防護”（安全通信網絡、安全區域邊界、安全計算環境）體系架構。通過本次網絡安全建設，最終確保醫院網絡等級保護建設既可以滿足等保三級的基本要求，又能夠提供全方面、立體、縱深的安全保障防御體系，保證醫院信息網絡系統具備整體安全防御能力。超融合及桌面云系統：本次桌面云采用業界主流云計算架構，考慮到當下云計算技術發展趨勢，及未來的可靠性，本次方案采用超融合架構建設，即一套超融合系統，運行所有系統所需的軟件系統，將用戶桌面、應用和數據集中在數據中心，通過虛擬化、混合云、公有云等技術組建資源池，提供云服務，全局資源可視化管理，全局一朵云。用戶通過使用瘦終端、軟終端、智能終端等隨時隨地移動接入，打造一種全新、安全、便捷、高效的工作方式。智慧病區應用系統：通過部署移動護理系統、護理管理系統及配套智慧病區硬件設備，進一步規范我院護理管理水平，滿足未來業務發展的運行要求，綠色、環保、舒適、規范的就醫環境及高可靠性系統的操作平臺是智慧病房建設的基本需求。智慧病區應用系統建成后使得醫院病房具備技術先進、功能齊全、安全可靠、智慧管理等現代化病房的功能。多媒體會議系統：本次設計在會議室部署了86寸會議一體機，以滿足日常會議、培訓、管理辦公的需要。建設依據本次項目各智能化子系統的設計遵循國際、國家最新的智能化系統建設標準、規范，主要參考的標準為：《智能建筑設計標準》（GB50314-2015）《全國衛生信息發展規劃綱要（2015-2020年）》《綜合醫院建設設計規范》（GB51039-2014）《綜合布線系統工程設計規范》（GB50311-2016）《綜合布線系統工程驗收規范》（GB/T50312-2016）《通信管道與通道工程設計規范》（GB50373-2019）《安全防范工程技術標準》（GB50348-2018）《視頻安防監控系統工程設計規范》（GB50395-2007）《民用閉路監控電視系統工程技術規范》（GB50198-2011）《安全防范視頻監控聯網系統信息傳輸、交換、控制技術要求》（GB/T28181-2011）《入侵報警系統工程設計規范》（GB50396-2007）《視頻顯示系統工程技術規范》（GB50464-2008）《廳堂擴聲系統設計規范》（GB50371-2006）《擴聲、會議系統安裝工程施工及驗收規范》（GY5055-2008）《有線電視網絡工程設計標準》（GB/T50200-2018）《數據中心設計規范》（GB50174-2017）《數據中心基礎設施施工及驗收規范》（GB50462-2015）《建筑物防雷設計規范》（GB50057-2010）《建筑物電子信息系統防雷技術規范》（GB50343-2012）《電氣裝置安裝工程接地施工及驗收規范》（GB50169-2006）《供配電系統設計規范》（GB50052-2009）《低壓配電設計規范》（GB50054-2011）《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）《關于加強信息安全保障工作的意見》（中辦發[2003]27號）《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）《網絡安全管理辦法》（公通字[2006]7號）《信息安全等級保護管理辦法》（公通字［2007］43號）《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）《衛生行業信息安全等級保護工作的指導意見》衛辦發〔2011〕85號GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》GB/T25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》GB/T28449-2018《信息安全技術網絡安全等級保護測評過程指南》GBT36627-2018《信息安全技術網絡安全等級保護測試評估技術指南》GB/T25058-2010《信息安全技術信息系統安全等級保護實施指南》GB17859-1999《計算機信息系統安全保護等級劃分準則》信息系統安全保障理論模型和技術框架IATF理論模型及方法論業主提供人民醫院傳染病病房樓各專業設計圖紙所有國際、國內和當地政府機關及部門頒布的最新的法定條理、規范、規格、標準、施工準則和業務條理。除上述規范、標準外，本項目材料、設備選型均應達到”中華人民共和國、安徽省醫療衛生行業”等有關智能化系統現行建設標準、規范要求。如國家對上述標準規范有調整，按最新標準和規范執行。技術要求一般要求各系統所使用設備和材料必須技術先進，性能優良，在施工中所采用的任何設備及產品的隨機技術資料、使用說明書、出廠質量檢驗報告、產品合格證、儀表工具、備品備件等必須齊全完好，主要核心產品須提供廠商出具的不低于三年的售后服務承諾原件備查。所選各系統產品必須具有良好的開放性和兼容性，可提供二次開發和集成的協議接口，滿足未來智慧醫療管理平臺軟件的接入要求。應充分考慮接口開放和納入智慧醫療管理平臺軟件集成所產生的費用，并包含在總價中，無需單列；后期無條件配合業主方實現智慧醫療管理平臺軟件的整體集成。各系統所使用設備和材料須技術先進，性能優良，在施工中所采用的任何設備及產品的隨機技術資料、使用說明書、出廠質量檢驗報告、產品合格證、儀表工具、備品備件等須齊全完好。質量要求各系統所使用設備和材料必須技術先進，性能優良，在施工中所采用的任何設備及產品的隨機技術資料、使用說明書、出廠質量檢驗報告、產品合格證、儀表工具、備品備件等必須齊全完好，同時業主有權要求中標單位對進場材料進行重新檢測并出具材料復試報告，中標單位須無條件響應業主要求，所含費用包含在合同總價內。須保證本項目所提供的軟件均為正版軟件，且所提供的軟件、中間件及開發接口的版權、著作權無爭議。兼容性要求各系統所使用設備和材料必須技術先進，性能優良，在施工中所采用的任何設備及產品的隨機技術資料、使用說明書、出廠質量檢驗報告、產品合格證、儀表工具、備品備件等必須齊全完好，在系統移交時一并移交給使用部門。針對人民醫院傳染病病房樓智能化項目中涉及與現有醫院各個智能化系統對接需求，為保證項目建成后使用單位能夠方便使用、管理和維護智能化設備，要求智能化各個子系統須具備良好的兼容性。本項目新建傳染病病房樓智能化項目各系統與醫院現有系統必須實現無縫兼容、統一管理、避免同一院區出現同一系統多個管理情形，造成數據無法互聯互通、院方無法正常使用系統的情況，所投產品的選型須滿足以下要求，否則視為非實質性響應招標文件。本項目是在原有醫院基礎上新建傳染病病房樓，傳染病病房樓智能化系統需與原有院區智能化系統必須實現無縫兼容、統一管理、避免同一院區出現同一系統多個管理情形，造成數據無法互聯互通、院方無法正常使用系統的情況。投標人需承諾：我司完全理解該項目的對接需求，并承諾均能按招標人要求實現各系統的對接要求，若后期實施時未能實現，視為不響應招標文件要求，按照虛假響應，記入不誠信檔案處理。系統技術方案網絡安全系統系統概述醫療服務信息化是國際發展的趨勢，也是我國醫療改革的重要內容和必由之路。近年來，信息技術對健康醫療事業的影響日趨明顯，以大數據、云計算、移動互聯等新興信息技術為核心的新一輪科技革命，推動了人口健康信息化和健康醫療大數據應用發展，加速了健康醫療領域新模式、新業態、新技術的涌現，為人口健康信息化創造了廣闊空間，也為衛生計生行業推進職能轉變、創新服務模式、提升治理能力提供了難得機遇。醫療信息化火熱背后，醫療機構網絡安全問題如影隨形。針對醫院的網絡攻擊、勒索、挖礦、醫療信息泄露等網絡安全事件層出不窮，醫院網絡已經成為了不法黑客重點攻擊對象之一。人民醫院作為皖中地區重要的網絡運營者，信息數據與公眾生命安全、民生息息相關，社會影響和重要性不言而喻。無論在網絡安全防御層面還是在網絡安全法、數據安全法、密碼法、等級保護制度、衛生行業指導規范等合規合法層面，完善的網絡安全技術手段，保護關鍵基礎設施安全、重要信息數據安全勢在必行。本方案構建的網絡安全系統旨在為人民醫院建立“一個中心”（安全管理中心）保障下的“三重防護”（安全通信網絡、安全區域邊界、安全計算環境）體系架構。通過本次網絡安全建設，醫院信息網絡將具備以下能力：在統一安全防護策略下，網絡系統具有抵御大規模、較強惡意攻擊的能力；具備防范計算機病毒和惡意代碼危害的能力；具有檢測、發現、報警及記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在醫院信息網絡系統遭受損害后，具備快速恢復正常運行狀態的能力；具有對系統資源、用戶、安全機制等進行集中管控的能力；具有保護敏感資源的能力，并保障醫院基礎計算資源和應用程序可信，確保關鍵執行環節可信。最終確保醫院網絡等級保護建設既可以滿足等保三級的基本要求，又能夠提供全方面、立體、縱深的安全保障防御體系，保證醫院信息網絡系統具備整體安全防御能力。建設方案整個方案秉承“全面覆蓋、突出重點、節約成本、持續改善”的設計理念，依據國家網絡安全等級保護制度，根據在不同階段的需求、業務特性及應用重點，采用等級化與體系化相結合的安全體系設計方法，構建貼合醫院實際的安全防御體系，拓撲設計如圖所示。根據醫院的業務功能、特點及各業務系統安全需求，將網絡橫向拆分為醫院內網和醫院外網，并且采用雙向網閘對內外網實現鏈路層隔離。其中，醫院外網劃分互聯網接入區、外網DMZ區、外網核心交換區和外網終端辦公區共四個安全域；醫院內網劃分專網接入區、內網核心交換區、內網安全管理區、內網核心業務區和內網終端辦公區共五個安全域。醫院外網設計互聯網接入區在本部和東區的互聯網和外網核心交換機之間均串聯接入下一代防火墻，并開啟防病毒模塊，確保所有跨越邊界的訪問和所有流入、流出的數據均通過其受控接口進行通信、接受安全檢查和處理，實時發現和阻止從外部網絡發起的網絡攻擊行為，對網絡數據流中夾帶的惡意代碼進行檢測和清除，并提供病毒庫和檢測引擎的自動升級更新。在互聯網和外網核心交換機之間串聯接入入侵防御，能夠監視網絡或網絡設備的數據傳輸行為，能夠及時的中斷、調整或隔離一些不正常或是具有傷害性的網絡行為，對網絡數據流量進行深度檢測、實時分析，并對網絡中的攻擊行為進行主動防御。在本部和東區的互聯網和外網核心交換機之間均串聯接入上網行為管理（一主一備），針對內部員工上網行為不當引起的安全與管理隱患卻無能為力，員工的不當網絡行為引發的問題無法通過傳統的網絡安全防護手段實現，必須通過專業的上網行為管理產品解決。上網行為管理可對傳統標準應用協議、電子郵件、代理軟件等網絡應用進行準確識別與控制。通過精細化策略管理、細化的應用帶寬管理與流量控制、上網行為的詳細查詢等方式優化內網環境，約束員工上網行為，減少網絡流量負擔，提高工作效率。外網DMZ區外網防火墻旁路部署WAF，對WEB應用服務和網頁內容進行防護，屏蔽對網站的攻擊和篡改行為，實現防跨站攻擊、防SQL注入、防止黑客入侵、網頁防篡改等功能，從而有效對網站服務器系統及網頁內容進行安全保護，從應用和業務邏輯層面真正解決WEB網站安全問題。醫院內網設計專網接入區在專網與內網核心交換機之間串聯接入負載均衡，用戶訪問專網資源時，負載均衡接收到用戶的訪問流量，通過預先設定的鏈路負載均衡策略，將用戶訪問流量分配到不同的互聯網鏈路上，實現鏈路出站鏈路負載均衡，提升互聯網鏈路帶寬利用率。鏈路出站負載均衡實現了在多條鏈路上分擔用戶訪問專網服務器的流量，一旦其中任何一條鏈路發生問題時，其他健康的鏈路將承載所有網絡訪問，而當發生問題的鏈路恢復正常后，網絡服務自動恢復。在專網與內網核心交換機之間串聯接入下一代防火墻，并開啟防病毒模塊，確保所有跨越邊界的訪問和所有流入、流出的數據均通過其受控接口進行通信、接受安全檢查和處理，實時發現和阻止從外部網絡發起的網絡攻擊行為，對網絡數據流中夾帶的惡意代碼進行檢測和清除，并提供病毒庫和檢測引擎的自動升級更新。在專網與內網核心交換機之間串聯接入入侵防御，能夠監視網絡或網絡設備的數據傳輸行為，能夠及時的中斷、調整或隔離一些不正常或是具有傷害性的網絡行為，對網絡數據流量進行深度檢測、實時分析，并對網絡中的攻擊行為進行主動防御。內網安全管理區旁路部署漏洞掃描系統，以本地掃描或遠程掃描方式，對重要的網絡設備、主機系統及相應操作系統、應用系統等進行全面漏洞掃描和安全評估。通過不同角度的網絡掃描，可以發現網絡結構和配置方面的漏洞，以及各個設備和系統的端口分配、服務提供、服務軟件版本等存在的安全弱點。通過漏洞掃描系統提供詳盡的掃描分析報告和漏洞修補建議，幫助安全運營人員實現對醫院網絡，尤其是重要服務器主機系統進行安全加固，提升安全等級。旁路部署數據庫審計，對來自網絡的數據庫訪問行為進行記錄，及時判斷出違規操作行為并進行記錄、報警，為數據庫系統的安全運行及事后審計提供有力保障。旁路部署堡壘機，將所有IT組件的管理運維端口，通過策略路由的方式，交由堡壘主機代理。實現運維單點登錄，統一管理運維賬號，管理運維授權，并對運維操作進行審計記錄（錄屏和鍵盤操作記錄），并通過堡壘機實現對運維角色與權限的劃分，分為系統管理員、審計管理員、安全管理員等。旁路部署日志審計，對重要的用戶行為和重要安全事件進行審計，并將審計記錄實時發送給集中的日志服務器，便于長期存儲保護和分析使用。旁路部署蜜罐，采用欺騙防御技術，在網絡中部署大量的虛擬主機，形成豐富、逼真的蜜網環境，誘導攻擊者，達到攻擊者發現、攻擊手段獲取、攻擊溯源等目標，幫助客戶完善網絡防護體系，提升主動防御能力。旁路部署內網安全管理平臺，實現對網絡安全的態勢覺察、跟蹤和預警，全面、實時掌握網絡安全態勢，及時掌握網絡安全態勢、風險和隱患，監測漏洞、病毒木馬、網絡攻擊情況，發現網絡安全事件線索，預警通報重大網絡安全威脅，處置安全事件，有效防范和打擊網絡攻擊等惡意行為，提升整體網絡安全態勢能力。系統功能網絡安全系統包括隔離網閘、外網下一代防火墻、外網入侵防御、外網上網行為管理、負載均衡、專網下一代防火墻、專網入侵防御、內網數據庫審計、漏洞掃描、日志審計、堡壘機、蜜罐、WAF、內網安全管理平臺等產品。隔離網閘在內網和外網之間部署隔離網閘，通過利用網閘內部、外部網絡的劃分，可實現內部網與外網的物理隔離，從而限制了外網敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了內部網絡的某些安全漏洞。使用網閘就可以隔離那些透漏內部細節服務。網閘可通過詳細的記錄分析，將內外網分別獨立的數據擺渡記錄進行抽取、融合，形成獨特的數據軌跡報表，記錄擺渡數據從源到目的的詳細信息，并可根據某一數據元素追查數據來源，為隔離網絡數據審查提供強有力依據及保障。下一代防火墻在互聯網與外網核心區之間、內網專網與內網核心區之間串聯部署下一代防火墻，確保所有跨越邊界的訪問和所有流入、流出的數據均通過其受控接口進行通信、接受安全檢查和處理。根據業務需要制定防火墻的訪問控制策略，在缺省拒絕所有通信的基礎上，僅允許業務所需的訪問連接和數據通信。防火墻上啟用入侵防御功能，實時發現和阻止從外部網絡發起的網絡攻擊行為，阻止來自外部網絡區域的攻擊流量。防火墻上啟用防病毒功能，對網絡數據流中夾帶的惡意代碼進行檢測和清除。并提供病毒庫和檢測引擎的自動升級更新。下一代防火墻具備以下基本功能：安全隔離：防火墻串接部署在核心交換機與互聯網接入鏈路、各網絡區域接入交換機之間，實現內外網安全隔離和內部不同網絡區域之間的安全隔離。網絡訪問控制：防火墻工作在網絡出口及不同網絡區域之間，對內外網絡之間及內部各個網絡區域之間流轉的數據進行深度分析，依據數據包的源地址、目的地址、通信協議、端口、流量、用戶、通信時間等信息進行判斷，確定是否存在非法或違規的操作，對不符合允許轉發策略的流量進行阻斷，從而有效保障網絡安全。會話監控：在防火墻配置會話監控策略，當會話處于非活躍一定時間或會話結束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話才能繼續訪問資源。防范帶寬濫用：可基于應用內容而非協議端口識別包括傳統協議、流媒體、網絡游戲、網絡視頻等常見網絡應用，并能夠詳細統計每一種應用的流量、連接數和累積傳輸字節數，判斷網絡中的各種帶寬濫用行為，繼而采取包括阻斷、限制連接數、限制流量等各種控制手段對網絡應用訪問流量進行精細化管理，確保關鍵應用或重要用戶的帶寬使用，確保網絡業務通暢，滿足業務高峰期帶寬需要。入侵防御在互聯網與外網核心區之間、內網專網與內網核心區之間部署入侵防御，能夠監視網絡或網絡設備的數據傳輸行為，能夠及時的中斷、調整或隔離一些不正常或是具有傷害性的網絡行為，對網絡數據流量進行深度檢測、實時分析，并對網絡中的攻擊行為進行主動防御。入侵防御具備如下功能：攻擊檢測功能：專業的攻擊檢測引擎，采用協議分析、模式識別、統計閥值和流量異常監視等綜合技術手段，深入分析L2~L7層網絡判斷入侵行為，準確地發現包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務、木馬蠕蟲傳播、系統漏洞攻擊等在內的11大類超過6000種網絡攻擊行為。同時，具有專業的防逃逸檢測手段，可以規避多種黑客的逃逸行為，嚴密的檢測、過濾網絡中細小、隱蔽的攻擊行為，保證網絡安全。惡意網站訪問防護功能：能夠統計分析內網用戶的上網行為，限制對惡意網站或者潛在不安全站點的訪問，通過與智能應用協議識別功能相結合，可以制定有效的管理策略，實現內網用戶的上網行為管理。能夠實時監測到每一個內網主機（以ip地址為標識）的各種應用流量、以及累積訪問各類URL地址的數量，在網絡中出現問題時能夠快速定位到問題源頭（內網主機用戶），可以有效威懾和遏制內網用戶的各種違反安全策略行為。應用流量管控功能：能夠識別包括傳統協議、網絡游戲、網絡視頻等2000多種網絡應用，并能夠詳細統計每一種應用的流量、連接數和累積傳輸字節數，使用戶很容易判斷網絡中的各種帶寬濫用行為，繼而采取包括阻斷、限制連接數、限制流量等各種控制手段，細粒度規范網絡帶寬使用，確保網絡業務通暢。上網行為管理在互聯網與外網核心交換機之間部署上網行為管理，對用戶訪問互聯網的行為進行分析和審計，防止內部員工上班時間違規上網或在網上發表違規言論，同時保存至少6個月的訪問日志，以便協助公安調查取證。上網行為管理具備如下功能：URL過濾：上網行為管理設備中內置千萬級URL列表，將URL按照一定的標準進行預分類，然后依據策略對內部用戶訪問的各種類別網頁進行過濾。在過濾URL記錄的同時，可以對網絡中所訪問的URL進行記錄和統計排名，以實現對URL訪問的監控和控制。員工依然可以上網瀏覽網頁，但其訪問時間和內容將受到一定監控。關鍵字過濾：上網行為管理設備提供對發帖的內容啟用關鍵詞過濾，對含有攻擊國家領導人、分裂國家言論、下流詞匯，或者傷害組織利益的帖子進行審計和過濾處理，并能對所有成功上傳的內容進行詳細記錄以便事后查驗。從而幫助員工養成遠離低俗內容的上網習慣，協助推動“互聯網低俗內容整治”，幫助企事業單位建立健康、規范、有序的上網環境。黑名單控制：為了防止網絡資源的濫用和方便管理員管理用戶，上網行為管理設備支持將用戶加入黑名單的功能。對進入黑名單的用戶可以采取懲罰機制，懲罰期限到了之后，該用戶又可以正常使用網絡。用戶一旦進入黑名單，當再次上網時，網頁回彈出已經進入黑名單、是什么原因進入黑名單的。靈活的黑名單功能可以幫助管理員快速、準確的定位出誰肆意占有網絡資源。對黑名單的控制，有一個生效時間，在生效時間內才進行黑名單的控制。在生效時間外，不對用戶的速率和會話進行限制，用戶產生的流量也不記入黑名單的流量配額內。白名單管理：對于領導或者重要的用戶，他們的上網不希望受到各種控制策略的限制，也不希望上網的內容被記錄。設備的白名單功能可以很好的滿足這些需求。符合白名單規則的流量，將不受“防火墻規則、流控規則、認證策略規則、上網策略對象規則、黑名單規則”的控制；同時上網的流量和上網行為的內容（如發送的郵件、發送的帖子、訪問的網頁、即時通訊記錄等）將全部不記錄。統計與報表系統：提供完整的互聯網訪問記錄，根據IP/用戶、應用、時間、線路等參數對上網流量及行為進行全方位的記錄，內容涵蓋網絡流量、帶寬速率、新建會話、活躍會話、Web訪問、郵件收發、IM聊天、論壇發帖、P2P下載等各種網絡行為。從而幫助管理者了解網絡整體使用情況，防止出現濫用、誤用、盜用的行為。上網行為監控：支持制定精細化的信息收發監控策略，有效控制信息的傳播范圍，上網行為管理設備能夠對以下信息發送進行監控與控制：WEB訪問記錄、論壇發帖、電子郵件、即時通訊軟件、FTP記錄、Telnet記錄。上網行為審計：上網行為管理設備可記錄全部的會話日志。通過檢查完整的會話日志，管理者可以跟蹤網絡中的任何操作，尤其可幫助公安部門稽查案件。上網行為管理設備的會話記錄包括：源IP、目的IP、協議類型、七層應用名稱、源端口、目的端口、是否進行NAT轉換(可顯示轉換后的IP和端口)、會話產生的時間和會話持續時間。WAF在互聯網DMZ區部署WAF，對WEB應用服務和網頁內容進行防護，屏蔽對網站的攻擊和篡改行為，實現防跨站攻擊、防SQL注入、防止黑客入侵、網頁防篡改等功能，從而更有效地對網站服務器系統及網頁內容進行安全保護，從應用和業務邏輯層面真正解決WEB網站安全問題。WAF具備如下功能：WEB應用威脅防御：支持對HTTP數據流進行深度分析，內置針對WEB攻擊防護的專用特征規則庫，規則涵蓋諸如SQL注入、XSS（跨站腳本攻擊）等OWASPTOP10中的WEB應用安全風險，及遠程文件包含漏洞利用、目錄遍歷、OS命令注入等當今黑客常用的針對WEB基礎架構的攻擊手段。對于HTTP數據包內容具有完全的訪問控制權限，檢查所有經過網絡的HTTP流量，回應請求并建立安全規則。一旦某個會話被控制，WAF能對內外雙向流量進行多重檢查，以阻止內嵌的攻擊，保證數據不被竊取。網站管理者也可以指定各種策略對URL、參數和格式等進行安全檢查。網頁防篡改：WAF應能夠監控網頁請求的合法性，實時攔截篡改攻擊。同時，通過比對請求頁面的哈希指紋，校驗被請求的網頁是否被篡改。一旦檢測到發生網頁篡改緊急事件時，WAF會將用戶請求重定向到默認頁面或指定的正常頁面，使篡改攻擊者的意圖不能得逞。視篡改的程度或網站特殊需求，啟動專業的應急機制。一方面支持對網絡流量進行有效控制，及時阻止篡改攻擊行為，保證網站形象。另一方面可提供多種形式的告警機制，通知網站管理者進行事件分析和歷史追溯，從而完成WEB服務器的配置及數據恢復，杜絕網頁內容連續被篡改。抗拒絕服務攻擊：WAF系統中集成抗拒絕服務攻擊功能，能夠防御迄今已知的所有種類DDoS攻擊，如SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等。同時對未知攻擊也能進行有效防護。WEB應用漏洞掃描：WAF提供對網站應用漏洞的掃描功能。該功能基于先進的漏洞掃描引擎及龐大漏洞信息庫。掃描內容涵蓋：SQL注入、跨站腳本編制及操作系統命令注入等WEB常見漏洞。掃描任務支持單任務及批量任務。執行方式可按時間周期進行靈活設置。掃描結束后，自動生成全中文網站漏洞分析報告。此功能可以使網站管理者在不需要安裝任何漏洞掃描軟件的情況下，直觀地了解到網站存在的安全漏洞情況，以及時進行相關修補工作。WEB應用加速：WAF在對網站進行全面的安全防護的同時，通過連接池、緩存等機制，實現應用加速，優化網站性能的功效。WEB應用加速功能通過高性能的硬件平臺及軟件加速算法，可以將用戶的WEB請求響應速度提高數倍，大幅提升網站系統的可用性。業務智能分析：WAF提供強大的網站業務智能分析功能，內容豐富，涵蓋網站業務數據智能分析、網站安全數據智能分析以及網站管理數據智能分析三大模塊，展現形式為數據表格搭配統計圖示，效果清晰、直觀，為網站管理者提供針對性的決策依據。數據庫審計旁路部署數據庫審計，采用多核、并發審計、文件式存儲等先進技術，多角度審計、分析數據庫活動，并對異常的數據庫行為進行告警通知，同時記錄事件的用戶名、源IP地址、SQL語句、業務用戶IP、業務用戶主機等信息。具備以下主要功能：全面的協議解析通過數據庫協議自動識別技術，結合靈活的審計策略，可對國際、國內、NoSQL等20+種數據庫協議進行全面審計：國際主流數據庫：Oracle、SQLServer、MySQL、Informix、PostgreSQL、Cache、Hive、Hana等；國內主流數據庫：KingBase、DaMeng、Oscar、GBase、Inspur_KDB；NoSQL數據庫：MongoDB、HBase、ElasticSearch、Redis。細粒度的SQL解析通過對雙向數據報文的識別、解析，不僅解析出基本的五元組信息、基本的數據庫協議要素，還可根據業務要求進行更細粒度的SQL解析。支持全類型的綁定變量解析和全類型的結果集解析，支持SQL操作時長、SQL錯誤碼解析，內置完備的知識庫，可將SQL錯誤碼翻譯成SQL錯誤信息。支持超長SQL語句解析，保證SQL語句零遺漏的審計；內置智能SQL分析器，可實現多層次嵌套SQL語句的詞法、語法分析，并提取操作對象；此外，友好的界面可實現審計結果詳情完整展示、SQL會話倍數回放等。清晰的資產監控內置一套實例發現、資產監控、實例事件分析、資產風險評估的數據軌跡模型，通過實例發現，讓隱藏在網絡環境中的已知實例、未知實例、潛在危害實例清晰可見。將核心實例所屬資產加入監控，除監控資產的基本信息外，諸如內存、硬盤、CPU，還可深入實時監控資產負載、活躍會話、總會話、連接池、表空間、緩沖區、鎖等信息。還支持基于實例的審計事件、告警事件等進行會話趨勢、事件趨勢、告警趨勢、訪問源趨勢的分析，并綜合評估資產的健康狀況，保證資產的可用性和響應能力。還內置上億條弱口令樣本庫，采用無損傷破解技術，完成對資產弱口令的檢測。精準的業務關聯支持對基于WEB應用架構的業務系統進行WEB審計和數據庫審計，提取業務系統的應用帳號、請求地址等信息，并將WEB事件和數據庫事件進行關聯，進而精確定位每個SQL操作的源用戶，達到實名化審計。還提供無損插件部署到業務系統上，可實現100%精準關聯。精細的業務報表提供豐富靈活的報表統計模板，諸如等保、薩班斯法案等合規性報表模板。內置數十種業務統計場景，如數據庫名稱、數據庫類型、客戶端程序、SQL操作類型、SQL響應時間、影響行數、連接時長、訪問量等，全方位滿足等保、分保檢查中的審計項要求。系統內置報表任務，可周期性的生成日報、周報和月報；系統支持PDF、WORD、EXCEL、HTML、CSV等格式的報表文件導出并可通過郵件發送至相關人員。此外，還支持根據業務要求，定制符合業務需求的業務報表。全場景的安全響應對產生的審計事件和告警事件，數據庫審計提供了全場景的安全響應機制。系統提供緊急、警報、關鍵、錯誤、警告、通知等級別的告警設置，支持以SYSLOG、SNMPTrap、KAFKA、郵件、短信、聲光等方式外發響應事件，并可與第三方管理平臺（如SOC、態勢平臺）進行聯動，支持旁路阻斷、與防火墻聯動等方式管控安全事件。可靠的系統運維提供本地認證、Radius和LDAP等方式的用戶認證管理，支持三權管理，支持配置文件與策略的導入、導出，根據預設的磁盤利用率百分比閥值、時間等方式清理空間，通過SYSLOG、SNMP等格式將系相關日志外發給其他系統。系統支持SM2\SM3\SM4國密算法，可用紅蓮花、密信等安全瀏覽器管理，最大程度上保證了設備管理的安全性問題；設備還提供恢復出廠配置、版本回滾、抓包工具、一鍵巡檢、雙機熱備等功能。漏洞掃描漏洞掃描系統基于網絡，通過遠程檢測目標系統TCP/IP不同端口所提供的服務，分析目標給予的應答，以搜集目標系統上的各種信息，然后與系統內置的漏洞庫進行匹配，如果滿足匹配條件，則認為安全弱點存在。漏洞掃描系統提供以下功能：漏洞掃描漏洞知識庫從操作系統、服務、應用程序和漏洞嚴重程度多個視角進行分類，支持對漏洞信息的檢索功能，可以從其中快速檢索到指定類別或者名稱的漏洞信息，并具體說明支持的檢索方式。系統內置不同的策略模板如針對Unix、Windows操作系統等模板，同時允許用戶定制掃描策略；用戶可定義掃描范圍、掃描使用的參數集、掃描并發主機數等具體掃描選項。可以在掃描過程中人工指定包括SNMP、SMB等常見協議的登陸口令，登陸到相應的系統中對特定應用進行深入掃描。可定義掃描端口范圍、端口掃描方式，支持多種口令猜測方式，包括利用Telnet,Pop3,Ftp,WindowsSMB等協議進行口令猜測，允許外掛用戶提供的字典檔。漏洞分析能夠對掃描結果數據進行在線分析，能夠根據端口、漏洞、BANNER信息、IP地址等關鍵字對主機信息進行查詢并能將查詢結果保存。能夠在線對多個已完成的掃描任務進行合并分析。離線報告可以輸出到HTML、WORD、EXCEL等文件，報告可以直接下載或通過郵件直接發送給相應管理人員。在線報表中對綜述、主機、漏洞、趨勢等信息進行分類顯示；綜述中應對漏洞和風險分布進行定量統計分析并展示。漏洞管理提供XML、SNMPTRAP和HTTP等二次開發接口給其他的安全產品或者安全管理平臺調用，并且提供具體接口的說明文檔。對掃描出來的資產的安全漏洞能夠發送郵件給對應的資產管理員，通知其限期內修復漏洞并自動對修復進行驗證，實現對漏洞的有效跟蹤和驗證。提供對資產風險的多次趨勢分析能力，能夠有效地分析網絡整體和主機的漏洞分布和風險的趨勢。能夠進行自動和手動的漏洞庫升級，保證隨時擁有檢測最新漏洞的能力。堡壘機在醫院內網安全管理區中部署堡壘機，在系統運維人員和信息系統（網絡、主機、數據庫、應用等）之間搭建一個唯一的入口和統一的交互界面，針對信息系統中關鍵軟硬件設備運維行為進行管控及審計。通過將各設備、應用系統的管理接口，以強制策略路由方式轉發至堡壘主機，從而完成反向代理的部署模式，實現對管理用戶的身份鑒別。通過“數字證書”認證方式作為“用戶名+口令”驗證身份的有效補充和增強，實現等級保護三級要求的雙因素身份認證。堡壘主機主要實現功能包括：單點登錄：提供基于B/S的單點登錄系統，用戶通過一次登錄系統后，就可以無需認證的訪問包括被授權的多種基于B/S的應用系統，使用戶無需記憶多種登錄用戶ID和口令。單點登錄可以實現與用戶授權管理的無縫鏈接，可以通過對用戶、角色、行為和資源的授權，增加對資源的保護和對用戶行為的監控及審計。集中賬戶管理：支持對所有服務器、網絡設備登錄帳號的集中管理，是集中授權、認證和審計的基礎，降低了管理大量用戶帳號的難度和工作量。同時，還能夠制定統一的、標準的用戶帳號安全策略。集中帳號管理可以實現將帳號與具體的自然人相關聯，從而實現針對自然人的行為審計。統一身份認證：為用戶提供統一的認證接口。采用統一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性，同時又避免了直接在業務服務器上安裝認證代理軟件所帶來的額外開銷。集中身份認證提供靜態密碼、數字證書、一次性口令和生物特征等多種認證方式，而且提供接口，可以方便地與第三方認證服務對接。建議采用基于靜態密碼+數字證書的雙因素認證方式。統一資源授權：提供統一的界面，對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。授權的對象包括用戶、用戶角色、資源和用戶行為。系統不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度授權。細粒度訪問控制：提供細粒度的訪問控制，最大限度保護用戶資源的安全。細粒度的命令策略是命令的集合，可以是一組可執行命令，也可以是一組非可執行的命令，該命令集合用來分配給具體的用戶，來限制其系統行為，管理員會根據其自身的角色為其指定相應的控制策略來限定用戶。訪問控制策略是保護系統安全性的重要環節，制定良好的訪問策略能夠更好的提高系統的安全性。操作審計：操作審計管理主要審計操作人員的帳號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一帳號、資源進行標識后，操作審計能更好地對帳號完整使用過程進行追蹤。為了對字符終端、圖形終端操作行為進行審計和監控，堡壘主機對各種字符終端和圖形終端使用的協議進行代理，實現多平臺的操作支持和審計，例如Telnet、SSH、FTP、Windows平臺的RDP遠程桌面協議，Linux/Unix平臺的XWindow圖形終端訪問協議等。日志審計在安全管理區中部署日志審計，通過被動采集（SYSLOG、SNMPTRAP）或主動采集（ODBC/JDBC、文件讀取、安裝AGENT）的方式對網絡中所有網絡設備、服務器操作系統、應用系統、安全設備、安全軟件管理平臺等所產生的日志數據進行統一采集、存儲、分析和統計，為管理人員提供直觀的日志查詢、分析、展示界面，并長期妥善保存日志數據以便需要時查看。保證審計記錄的留存時間符合法律法規要求。日志收集和分析系統實現以下功能：日志收集：收集用戶內、外網的網絡設備、安全設備、服務器、數據庫以及采取B/S方式進行開發的各類應用系統，進行統一集中存儲和匯總，并提供給系統管理人員進行進一步的分析和查詢；日志歸一化處理：將不同設備所產生的不同格式的難以理解的日志數據進行統一格式化處理，提煉出有用信息清晰、明確的展示給管理者。原始日志高效存儲：完備的原始日志數據存儲策略，符合塞班斯、等保、分保等合規性要求。管理者可以針對不同的管理對象設置不同的存儲策略。采用專用數據存儲技術對海量安全信息數據進行實時壓縮，壓縮比高達10:1，每兆存儲空間可存儲20000條以上安全信息，數據加密存儲，防篡改。支持自定義存儲位置（磁盤陣列、SAN、NAS等外部存儲網絡）以獲取超大存儲空間。支持存儲空間實時動態監視，圖形化顯示最新存儲空間使用情況。支持按存儲空間、存儲時間進行多維度存儲策略管理。若存儲空間超過設定閥值則系統自動報警，提醒管理者備份原始數據。數據的備份支持手動備份、自動備份兩種模式。日志查詢：支持對海量日志信息進行組合條件檢索查詢，獨特的海量數據查詢技術，真正實現了即查即顯。查詢結果根據歸一化后的格式展現給管理者，便于管理者事后追溯。同時為具有一定專業知識的高級管理者提供歸一化日志與原始日志同屏對比顯示功能，高級管理者可以更深入的分析原始日志數據。支持多條件日志檢索查詢；支持原始日志全文檢索。查詢結果支持word、pdf等多種格式導出；支持將備份日志數據進行還原檢索查詢；支持查詢結果二次查詢。統計分析報表：系統在對安全信息數據進行詳盡的分析及統計的基礎上支持豐富的報表，實現分析結果的可視化。為了幫助管理員對網絡事件進行深度的挖掘分析，系統內只多種統計主題，支持管理員從不同角度進行安全信息的可視化分析。審計報表支持按照排行、流量和概要進行統計，同時支持日、月、年等統計周期。對于統計結果系統提供了表格及多種圖形表現形式（柱狀圖、曲線圖）。報警管理：日志收集和分析系統可以定義事件的報警方式，即定義什么樣的事件采取什么樣的報警方式，另外系統管理人員利用日志收集和分析系統，也可以定義自動告警功能，而且用戶可以自定義告警內容及管理員應采取的措施，保證報警信息能夠足以提醒安全保密管理人員有安全事件發生。蜜罐統計概覽統計概覽模塊支持以運維者視角查看系統性能載荷、蜜網數據以及攻擊數據等信息，包括攻擊源、被攻擊虛擬主機、攻擊類型占比、攻擊趨勢等排名統計數據，并提供包括蜜網拓撲以及防御態勢的大屏視圖，方便運維人員直觀的查看當前蜜網環境的誘捕情況以及整體防御態勢。告警中心告警中心模塊支持展示系統通過兩個威脅行為分析引擎捕獲分析到的安全事件，其中主機交互事件展示威脅行為異常分析引擎捕獲到的攻擊源對虛擬主機進行的所有交互行為，支持針對事件進行事件檢索和聚合分析；攻擊入侵告警展示威脅行為流量分析引擎針對入侵到蜜網環境的流量進行檢測分析出的威脅信息，支持告警信息篩選查詢。蜜網管理蜜網管理模塊負責蜜網的整體配置工作，包括蜜網、虛擬主機的創建以及模板的管理，支持智能模式批量創建虛擬主機，自動識別資產主機避免IP沖突對真實業務造成影響，同時支持向系統識別到的資產主機下發多種主機誘餌，擴大吸引攻擊者攻擊虛擬主機的范圍。支持向創建好的虛擬主機中上傳文件誘餌，提升虛擬主機真實度，捕獲分析攻擊者更多攻擊行為。此外還提供郵件誘餌、互聯網誘餌等功能，進一步提升主動防御能力。策略配置策略配置模塊支持配置系統中涉及到的各類策略信息，包括網卡的配置修改、事件白名單的管理、設備指紋庫的開啟關閉、操作系統指紋庫的開啟關閉、網站模板的爬取與上傳、告警級別定制、流量分析規則的管理、數據共享的配置以及防火墻沙箱等設備的聯動管理及日志查看。內網安全管理平臺內網安全管理平臺圍繞國家監管、行業監管、等保合規、實戰演練、安全運營等多種場景需求而設計研發，系統基于大數據架構，聯合多種探針設備，運用主被動采集方式，實現多源異構的安全數據采集；通過檢索、調查、場景、關聯多類分析手段，實現海量安全數據深度分析；對日志、漏洞、性能進行實時監測及告警，并基于工單及安全響應編排劇本，實現協同化、高效化的安全處置；采用主被動識別方式，發現和維護被管理網絡的資產信息，建立資產關系拓撲；實現多類安全設備集中配置，快速聯動；提供全面威脅情報庫，對接外部威脅情報數據；從資產、漏洞、攻擊、威脅、監測、處置等多個維度進行全面的態勢分析展示。超融合及桌面云系統項目背景人民醫院傳染病病房樓一直采用傳統辦公PC作為業務終端。本次升級需要添置辦公用品以滿足業務辦公的需求。本方案采用桌面云解決方案替換傳統PC，用于支持醫院各種業務系統的訪問和使用，及OA辦公，解決傳統PC在實際應用過程中遇到的問題，主要體現在以下幾方面：難以保證非法接入：PC本地有USB口、串口、并口都可以外接設備，沒有有效的管理手段禁止非法設備的接入，不但易于感染病毒、木馬等惡意程序對醫院信息化系統造成危害，也存在醫院涉密數據和統方數據泄密的風險。難以保證數據的安全：PC通常是應用系統的客戶端，可接收、處理、存儲應用系統的數據，若這些數據是醫院的關鍵信息資產，容易使醫院關鍵信息泄露。另一方面，PC工作環境下保存著員工和醫院關鍵數據和患者的個人隱私數據、醫院方數據等關鍵數據，是醫院資產的一部分。這些數據如何能在PC出現故障或文件丟失時恢復，是一個當前IT系統的一個巨大的挑戰。難以管理：面對廣泛分布的PC硬件，用戶日益要求能在任何地方訪問其桌面環境，因此集中式PC管理極難實現。此外，眾所周知，由于PC硬件種類繁多，用戶修改桌面環境的需求各有不同，因此PC桌面標準化也是一個難題。高能耗、高排放：一臺PC的能耗在200瓦左右，每臺PC個人電腦平均運行12小時以上，一臺PC一年耗電800-1000度電左右，對于醫院上萬臺規模的PC工作環境，一年的耗電量是一個非常驚人的數字。這當今提倡綠色環保、低碳經濟的大環境下，確實是一個巨大的挑戰。資源未能充分利用：PC的分布式特性使人們難以通過集中資源的方式提高利用率和降低成本。結果，PC的資源利用率通常低于5%，遠程辦公室需要重復的桌面基礎架構，移動工作人員可能需要使用復雜的遠程桌面解決方案。總體擁有成本高(TCO)：PC硬件相對較低的成本優勢，通常無法抵消PC管理和支持工作的高昂成本。目前，PC管理工作包括部署軟件、更新和修補程序等，由于這些工作需要對多種PC配置的部署進行測試和驗證，因而會耗費大量的人力。同時，由于標準化程度不高，支持人員經常需要親臨現場解決問題，這就進一步增加了支持成本。針對上述問題，隨著醫院信息化進程的不斷深入，傳統的PC訪問模式面臨著高能耗、可靠性低、運維效率低等問題，已不能適應快速發展的業務需要，經過多方調研和比較，目前業界主流趨勢是采用云技術改造辦公桌面，即將用戶桌面集中在數據中心，通過虛擬化技術組建資源池，提供業務用戶使用瘦終端、軟終端、智能終端等移動接入，打造一種全新的、安全、便捷、高效的工作方式。系統概述目前業界主流趨勢是采用云技術改造桌面，將用戶桌面、應用和數據集中在數據中心，通過虛擬化、混合云、公有云等技術組建資源池，提供云服務，全局資源可視化管理，全局一朵云。用戶通過使用瘦終端、軟終端、智能終端等隨時隨地移動接入，打造一種全新、安全、便捷、高效的工作方式：辦公移動化：桌面云作為辦公平臺，聚合入口，訪問云上所有辦公業務，基于6A辦公理念，任何人AnyOne可以在任何地點AnyWhere、任何時間AnyTime，通過多種認證設備AnyDevice訪問豐富的應用AnyApplication來進行辦公DoAnyWork。資源自動化：桌面云基于虛擬化、混合云等提供云服務，多租戶、多分支適配組織架構，統一鑒權和混合云打通，全局資源可視化管理，全局一朵云，實現資源彈性化，業務自動化。數據安全化：桌面云提供軟硬件端到端解決方案，從芯片、硬件、云平臺、操作系統以及終端等端到端確保安全可控，平臺可靠，數據和資源云端統一管控不落地，確保數據安全。支持X86和ARM雙棧技術架構統一運維管理，滿足客戶業務無縫切換，平滑過渡。管理統一化：將原本分散在各PC上的用戶桌面、應用和數據集中到數據中心，實現資源、權限以及運維的統一管理，從分散的運維向集中化運維過渡，提升問題響應速度和效率，大大降低運維工作量，并且通過標準化模板支持用戶操作系統、業務應用的統一化、標準化，實現IT辦公平臺的歸一化管理。建設內容2.3.1項目需求人民醫院傳染病病房樓桌面云主要應用場景為OA辦公、信息科運維、會議室、導醫臺、電子公告牌、門診、掛號、收費、藥品管理、醫療化驗、影響查詢、移動查房、移動辦公等。由于主要用于基本辦公，桌面云適用度相對較好,主要外設是打印機、磁卡讀卡器、條碼打印機、掃描槍、排隊叫號器、社保讀卡器、滿意度調查器等一系列USB和串并口設備。具體場景如下：行政后勤OA辦公場景醫院行政和后勤工作人員使用桌面能進行正常的辦公活動，運行WindowsXP、Windows7系統，及各種辦公軟件，如Office、Project、Visio、InternetExplorer瀏覽網頁、Outlook處理郵件、金山詞霸等。同時可外接USB通道、打印設備和存儲設備并保證辦公環境的信息安全。門診，醫療化驗，臨床醫療支持醫院多種業務系統(HIS)客戶端的流暢運行；業務連續不中斷，具有高連續性；數據不丟失，保證數據的高可靠性。支持使用LIS系統的醫技科室，包括藥劑科、檢驗科、理療科、手術室、供應室、營養治療科、血庫、醫療器械管理科等LIS系統進行信息錄入、查閱、醫囑書寫等操作，并支持OA辦公活動。支持醫生工作站、護士工作站快速響應和穩定的服務，依據醫生、護士輪班工作的特點，每個用戶對擁有的桌面的操作不會影響到他人，同時滿足醫生、護士移動工作的特點，不同終端登陸同一賬號可顯示同一界面，擁有個性化數據。掛號，收費支持多種外設（打印機，掃描槍，醫保卡讀卡器，身份證讀卡器，銀行卡讀卡器、設備卡讀卡器，服務評價器，計價器等），滿足掛號、收費系統對外設的需求。會議室，導醫臺，電子公告牌公用終端因使用人員不固定，安全性易受到攻擊。需要具備防病毒特性，不保存個性化數據，重啟后實現自動還原，免維護。如導醫臺，電子公告牌等公用終端，可以實現模板的便捷更換。信息科運維場景支持自動化運維管理工具，能夠實現統一管理，資源靈活調整，快速發放，簡易安裝。方便快速的運維，提升管理效率。移動查房，移動辦公通過WLAN網絡，實現移動終端接入。通過移動終端，滿足醫護人員在院內移動性辦公；醫護人員可以在院內有WLAN網絡覆蓋的任何位置登陸醫生工作站、護士工作站，查看病人基本信息、病人病歷，包括歷史記錄和臨床檢查結果，支持制定和修改檢驗、檢查、治療醫囑，實現移動查房。2.3.2方案設計本次桌面云采用業界主流云計算架構，考慮到當下云計算技術發展趨勢，及未來的可靠性，本次方案采用超融合架構建設，即一套超融合系統，運行所有系統所需的軟件系統，由于超融合系統采用的是分布式架構，因此在建設初期，成本較低，隨著業務系統需求不斷加強，只需添加相應硬件節點即可，整個擴容過程快速，便捷。（1）拓撲描述本次方案超融合拓撲如下圖所示：本次方案采用標準桌面云架構，建設一套適應目前需求、滿足未來擴展的方案。本次擬建設60個云桌面節點，將使用1套超融合系統承載。虛擬桌面云數據存儲由超融合系統提供，分布式架構，能夠實現出現任意一節點物理服務器故障，虛擬桌面可以漂移至其他正常物理服務器之上。本次超融合硬件設備：每節點配置4個10G網口，通過10G交換機互聯，構建超融合系統。超融合系統使用2臺萬兆交換機互聯，兩臺萬兆交換機做堆疊操作，使得任一交換機/鏈路故障均不會對超融合系統和業務產生影響。（2）配置描述本次共配置6個融合節點超融合硬件節點，構筑桌面云資源池。6個融合節點：1.采用≥2顆X86處理器主頻≥2.1GHz/單顆核數≥24Core；2.內存：≥8*32GB-DDR4；3.硬盤：≥2*960GBSAS盤，≥8*8TBSATA盤,≥1*3.2TBNVMe盤4.RAID卡支持0,1,10,5,6,50,60,4G緩存;5.網口：≥4GE電口，≥4*10GE光口（含多模光模塊）；2臺萬兆互聯交換機：1、交換容量≥96T，包轉發率≥2000Mpps；2、固定端口10GE光口≥48,40/100GE光口≥6；1套桌面云系統：配置60個用戶使用許可，通過桌面云系統軟件的部署，實現每臺虛擬機資源的動態調整、桌面切換、故障遷移等功能。60臺瘦終端：2.41GHz雙核-2G-16G-1000M-DVI-I-Win10中文版,含DVI-I轉VGA轉接頭,含底座和壁掛。用戶桌面規格及數量如下表：業務場景桌面規格數量規劃OA辦公vCPU：4核，內存：8GB，磁盤：系統盤100GB，數據盤300GB602.3.3安全設計為保障數據中心安全，云計算采用了完整的安全架構，避免出現安全真空，強化了網絡隔離和虛擬化隔離，安全架構層面主要采用了分層和縱深防御的思想。從防范非法用戶和惡意系統管理員的角度進行系統的防范，保證存放桌面云數據中心的數據做到非法用戶“進不來”，即使進入系統數據也“拿不走”，即使進入系統機密敏感數據也“打不開”，非法人員作案后“賴不掉”，機密數據“丟不了”。各分層采用安全措施介紹如下：終端安全桌面云支持對終端進行合法性認證，如終端與用戶或用戶組綁定、802.1X認證（密碼方式或證書方式）、CA認證等方式，防止非法終端接入保證終端安全。接入安全提供豐富的安全用戶身份認證，包括域賬戶、USBKEY、動態口令、動態短信、指紋等單一認證和雙因子認證，確保接入用戶的合法性，同時華為桌面云還支持LiteAD認證（非微軟AD）。傳輸安全客戶端用戶通過HDP協議連接虛擬桌面時，桌面訪問采用傳輸加密（HDPoverSSL）等手段，保證業務運行和維護安全。業務系統各個組件間通信（WI、HDC、ITA、License、VNCGate、HDA等），均采用HTTPS方式，傳送通道采用SSL加密。系統安全根據虛擬化機制，做到CPU調度、內存、網絡訪問、磁盤IO、存儲空間的隔離，保證虛擬機隔離安全。虛擬化平臺從數據完整性、身份認證、數據訪問隔離控制、數據機密性等方面保證用戶數據的安全。系統進行資源回收時，剩余數據清零。網絡通信平面劃分為業務平面、存儲平面和管理平面，且三個平面之間是隔離的。管理安全桌面云所有管理系統都提供完善的日志，保證所有管理員的操作都有日志記錄，供事后審計。桌面云系統支持三員分立的管理，實現系統管理員、安全管理員、安全審計員的權限制衡。智慧病區應用系統系統概述隨著醫院信息化建設不斷提高，以及智慧醫療概念的深入和數據中心戰略建立，切實提高智慧病區應用服務能力，進一步規范護理管理水平，滿足未來業務發展的運行要求，綠色、環保、舒適、規范的就醫環境及高可靠性系統的操作平臺是智慧病房建設的基本需求。智慧病區應用系統建成后使得醫院病房具備技術先進、功能齊全、安全可靠、智慧管理等現代化病房的功能。2.2.1移動護理系統概述移動護理系統是一個綜合性的醫療技術平臺，專為提升醫院的護理服務質量和效率而設計。其核心功能之一是系統管理，通過安全登錄確保用戶數據的安全，并列入了輔助功能以支持無障礙使用，使任何醫護人員均可安全便捷地訪問系統。同時，數據遷移和離線操作的能力確保了信息的穩定性和連續性，即使在網絡不穩定的情況下也不受影響。在患者全過程管理方面，移動護理系統提供完整的醫囑閉環管理，從醫囑的生成、執行到反饋，每一步都被精確監控。系統涵蓋了各種醫囑類型，包括輸液、針劑用藥、口服藥、檢驗和輸血，確保醫囑在醫護團隊中被準確傳達和執行。此外，護理醫囑的執行以及經驗和智能提醒功能，使得醫務人員能夠高效地完成日常操作，提高工作效能。生命體征管理功能提供了對患者生理數據的實時監控，包括心率、血壓等關鍵指標，與此同時，系統通過健康宣教和臨床報告功能，促進患者健康知識的普及，并為醫生提供完備的臨床診斷支持。護理文書模塊讓醫護人員能夠高效記錄和管理嬰幼兒的臨床數據，從而優化護理流程。集成的護理文書管理不僅方便了效率的提升，還確保了文書的質量控制和統計。通過護理計劃與護理臨床決策支持，移動護理系統幫助醫務人員為每位患者制定個性化的護理方案。系統支持評估類數據的聯動，以及護理任務清單的管理，使醫護人員能夠有效地跟蹤并完成任務。自動化的護理計劃不僅提升了操作的準確性，還改善了患者的護理體驗。2.2.2護理管理系統概述護理管理系統是一個全面的技術平臺，旨在優化護理工作的多個環節，確保醫院護理管理工作的高效運轉和護理質量。系統首先通過完善的護理制度與文檔管理模塊，幫助維護和改進制度體系建設。它允許用戶對重要文檔進行分類、組織和權限管理，并能記錄文檔變更和員工的閱讀情況。此外，系統支持移動端訪問，使護理人員能夠在任何地方通過移動設備訪問和管理文檔，確保信息的實時性與準確性。人員管理模塊是系統的關鍵部分，它涵蓋了從個人檔案到整體人員變動的方方面面。用戶可以通過檔案管理功能查看個人概覽、管理個人信息、預產期、照片以及證件，同時確保所有檔案的權限得到精確控制。人員調配管理功能支持對調動、借調和外派的管理，而人員統計則提供包括年齡、學歷、工作年限及性別分布等數據的詳細統計分析，幫助醫療機構更好地規劃和使用人力資源。科研成果管理更是提供了論文、著作、專利等的登記管理，支持護理人員的科研發展。護理排班模塊提供了強大的排班設置和管理能力，系統允許對日工時、假期、班次、以及院科規則進行細致的設置。護理人員可以在系統中進行科室排班，甚至利用快捷復制功能提高效率。統計分析功能則幫助醫院進行多層級的數據分析，如護患比、科室對比、護士長數據等，有助于進行排班的優化調整。移動端功能方便護理人員隨時查看和編輯排班安排，滿足個性化的工作需求。質控檢查和不良事件管理是確保護理質量和安全的核心模塊。質控檢查包括從質量標準庫到檢查計劃的管理，確保護理工作的標準化執行。同時，不良事件管理模塊提供從事件填報到管理的全流程解決方案，包括詳細的情況及統計分析，幫助醫院識別并改進在護理過程中的當前問題。通過焦點問題和人員統計，系統助于發現和減少潛在的護理隱患，提高整體護理安全。教育與培訓模塊支持護理人員的持續職業發展。不但提供在線與現場培訓的發布管理、課程進度跟蹤，還包括教育目標的設定、學分查詢和人員檔案管理。結合實習生教育管理，系統為新晉護理人員提供全面的培訓支持。處于后臺的系統管理模塊則確保整個系統的穩定運行，通過組織架構和權限配置、公告管理和教育檔案管理，提供用戶友好的系統環境。在移動端，護理人員可以方便地接收系統通知、安排培訓課程和進行個人信息管理，確保教育培訓的目標達成。1.提高醫院信息化水平通過引入先進的智慧護理系統等多個系統，實現數據共享和信息流通，提高業務的化整體效率和醫療服務的質量。該系統將使各部門之間能夠實時傳遞患者病歷、醫囑和檢驗結果等信息，避免信息孤島和重復錄入，提高工作效率和準確性。2.提升醫護人員工作效率智慧護理系統的實際操作體驗更加簡單易用，可減輕醫護人員的工作壓力，提高工作效率，減少人為誤差。醫護人員可以通過手持終端設備（PDA）隨時隨地查看和更新患者信息、進行護理記錄、查房巡視等操作，提高工作效率，節約時間。3.改善患者就診體驗通過交互顯示大屏，在候診區域實時展示患者候診和叫號情況，患者可以隨時查看自己的就診進度，避免因排隊等待導致的時間浪費。在病房中呈現患者的病情信息、護理計劃等內容，增強醫患交流效果，讓患者更好地了解和參與自己的治療過程，提升患者滿意度。4.提高醫院管理水平護理管理系統的實施可以幫助醫院進行人員管理、工作量統計、質量評估等方面的數據管理和分析，通過對數據進行指標監控和分析，來提高工作效率和質量。管理層可以及時獲取各項指標數據，并根據數據分析結果進行決策，提高醫院的管理水平。5.加強員工培訓和職業發展護理教育系統將為護士提供優質、便捷的學習途徑，使其能接受到專業化、綜合化、全方位的培訓，促進其專業發展和職業晉升。通過在線學習平臺，護士可以隨時學習最新的醫療知識、技術和操作流程，提高自身素質和專業能力。通過實現以上建設目標，移動護理系統將為醫院提供更高效、精確和優質的醫療服務，滿足患者不斷增長的高品質服務需求，提升醫院整體競爭力。建設方案3.2.1建設原則1.面向需求，滿足用戶需求在整個項目實施過程中，首先需要明確項目背景與目標，充分了解用戶的需求，并根據用戶的實際需要，選擇合適的解決方案，配置相應的硬件和軟件設備，確保項目的可行性和實用性。同時，在項目運行期間，需要不斷收集醫院各部門、醫生、護士等用戶的反饋信息，掌握他們的實際使用情況，及時對系統進行優化和改進。2.緊密配合，協同作戰為確保項目實施的順利進行，需要在開始前對相關人員進行培訓，使其能夠熟練掌握系統操作方法和技巧，有效避免由于人為失誤導致的錯誤和浪費。此外，在項目實施過程中，需要對各部門進行有效協調，減少溝通成本，并提高工作效率。同時，還需要建議專門的項目管理小組，負責項目的監管、協調和實施，確保項目按時保質完成。3.安全可靠，保障數據安全移動護理系統是一種基于互聯網傳輸數據的信息系統，因此，在實施過程中，必須有嚴格的數據安全方案和規范的數據備份、恢復制度，確保數據不會被非法人員獲取和篡改。同時，在硬件和軟件設備的選擇上，應優選品質可靠、性能穩定、可靠性高的設備，并建立完善的設備維護保養和日常維護機制，及時查找并排除故障。4.靈活可擴展，滿足未來需求移動護理系統是一個開放性的系統，它需要不斷適應醫療服務模式發展的變化，因此，在實施過程中，需要重視系統的靈活性和可擴展性，保證其可以與各種相關系統進行集成，在未來的業務拓展方面，具有較強的應對能力。在系統設計和硬件設備選擇上，應優選具有自主知識產權的廠商，減少對第三方的依賴。5.高效節約，實現成本控制移動護理系統是一項重要的信息化工程，需要大量的人力、物力和財力。在項目實施過程中，應優先考慮節約成本的方式，從硬件設備和軟件應用開發、部署等方面入手，盡可能減少不必要的費用支出，降低運營成本。同時，要評估項目投資收益周期，確保項目具有較高的投資回報率。6.持續創新，加速發展移動護理系統作為信息化工程，其成功的關鍵在于不斷創新。因此，在項目實施過程中，需要定期對系統進行改進升級，增加新的功能和服務，以更好地滿足用戶的需求和醫療服務的發展需求。此外，還要加強科技創新，利用大數據和人工智能等技術手段，提高醫療服務效率和精準度，促進醫療服務的發展。以上是智慧病區應用系統的建設原則，這些原則對于項目順利實施具有非常重要的意義。在項目實施中，需要全面貫徹這些原則，不斷完善和創新，以實現醫療服務質量和效率的全面提升。同時，在項目實施后，還需要建立健全的運維機制，加強項目服務和維護工作，確保項目長期穩定運行和優化發展。3.2.2系統安全設計1.身份認證和權限管理系統應該采用多層次的身份認證和權限管理機制。除了基本的用戶名和密碼驗證外，可以考慮使用雙因素認證，如手機驗證碼、指紋識別或智能卡等，提供更高的身份驗證強度。權限管理可以采用角色-based訪問控制（RBAC）模型，將用戶劃分為不同的角色，并根據角色的權限設置對應的訪問權限。2.數據加密和傳輸安全保護數據在傳輸過程中的安全性，系統應該使用公開可靠的加密算法，AES（高級加密標準）和RSA（非對稱加密算法）對敏感數據進行加密。同時，應該選擇支持TLS（傳輸層安全）協議的通信通道，確保數據傳輸的機密性和完整性。3.安全審計和日志記錄系統應該具備完善的安全審計和日志記錄功能。管理員需要定期審查系統的日志記錄，對異常活動進行監測和分析。此外，還可以使用安全信息與事件管理系統（SIEM）來集中收集、存儲和分析日志數據，幫助發現潛在的安全威脅和漏洞。4.異常監測和入侵檢測系統應該配置入侵檢測系統（IDS）或入侵防御系統（IPS），用于監測網絡流量和系統活動，及時發現和阻止潛在的攻擊行為。可以使用基于規則、行為分析或機器學習等技術的入侵檢測系統，以提高檢測的準確性和及時性。5.數據備份與恢復系統應該實施定期的數據備份策略，確保數據的完整性和可用性。備份數據應該加密存儲，并保存在安全可靠的存儲介質中，例如云存儲或離線存儲設備。在發生數據丟失、損壞或災難事件時，能夠及時恢復數據以保證業務的連續性。6.漏洞管理和補丁更新建立漏洞管理機制，定期進行漏洞掃描和安全評估，及時安裝合適的補丁和更新。系統應該跟蹤和監測安全廠商發布的安全公告和補丁更新，評估其對系統的影響并及時進行修復，以減少可能的漏洞利用。7.員工培訓與安全意識持續加強員工的安全意識和培訓，提高員工對信息安全的認識和防范能力。定期組織安全培訓，教育員工有關密碼安全、社會工程學攻擊、釣魚郵件警惕等方面的知識，并建立相應的安全操作規程和應急響應流程。8.安全漏洞響應和應急處理建立完善的安全漏洞響應和應急處理機制。一旦發現安全漏洞或遭受攻擊，應該迅速采取行動，包括隔離受感染的系統、修補漏洞、通知相關當局和用戶，并進行徹底的系統審查和恢復。9.安全測試和驗證在開發過程中，進行安全測試和驗證，包括靜態和動態代碼分析、滲透測試等。通過找出和修復潛在的安全漏洞和弱點，提高系統的安全性能和魯棒性。10.定期安全評估和審查定期進行系統的安全評估和審查，評估系統的漏洞、威脅和風險，并根據評估結果采取相應的安全措施。這可以幫助發現和解決安全問題，并持續改進系統的安全性能。11.合規性和隱私保護確保系統符合相關的法律法規和合規要求，特別是涉及患者隱私的相關法規，如個人信息保護法、醫療保密法等。加強隱私保護措施，包括數據脫敏、訪問控制、監管機制等，防止未經授權的數據訪問和泄露。12.安全意識教育除了員工培訓外，還應該加強用戶的安全意識教育。提供清晰明了的安全操作指南，引導用戶正確使用系統，并警示他們避免常見的安全風險和威脅。13.安全合規審計定期進行安全合規審計，檢查系統是否符合安全標準和合規要求。通過獨立的安全合規審計，確認系統的安全性能和合規性，并作出必要的改進和調整。綜上所述，智慧護理的安全設計內容涵蓋了身份認證和權限管理、數據加密和傳輸安全、安全審計和日志記錄、異常監測和入侵檢測、數據備份與恢復、漏洞管理和補丁更新以及員工培訓與安全意識等方面。通過綜合應用這些安全設計措施，可以確保系統在安全性能方面具備較高的保障水平，提供可靠的護理服務并保護患者隱私的安全。3.2.3建設標準及規范醫院信息互聯互通標準化成熟度測評標準《醫院信息互聯互通標準化成熟度測評》主要通過對電子病歷與醫院信息平臺標準符合性測試以及互聯互通實際應用效果的評價，構建醫院信息互聯互通成熟度分級評價體系。電子病歷與醫院信息平臺標準符合性測試是針對醫療機構所采用產品的電子病歷數據、電子病歷共享文檔、平臺交互服務分別與對應衛生信息標準的符合性測試。互聯互通實際應用效果的評價是針對醫療機構內部、醫療機構與上級信息平臺之間的應用效果等情況進行評價。通過開展醫院信息互聯互通標準化成熟度測評工作，實現的最終目標為：建立起一套科學、系統的衛生信息標準測試評價管理機制，指導和促進衛生信息標準的采納、應用和實施，推進醫療衛生服務與管理系統的標準化建設，促進實現醫療衛生機構之間標準化互聯互通和信息共享。基于平臺實現符合標準要求的交互服務，增加對提供互聯網診療服務，開始臨床知識庫建設，平臺實現院內術語和字典的統一，實現與上級平臺提供較為完善的互聯網診療服務，初步實現基通過醫院信息平臺能夠與上級平臺進行豐富的交基于平臺提供較為完善的臨床決策支持、閉環管電子病歷系統應用分級評價標準按照國家衛健委2018年12月份發布的最新《電子病歷系統應用水平分級評價管理辦法（試行）》和《電子病歷系統應用水平分級評價標準（試行）》，目的是