天津市卫生局关于印发天津市区县卫生局数据中心建设技术性指南的通知
(津卫办〔2012〕127号)
各区、县卫生局:
为贯彻《天津市卫生系统信息化建设"十二五"规划》,积极推进以居民健康档案为重点的区域卫生信息平台建设,完成社区卫生服务中心及乡镇卫生院相关数据上传任务,经研究,制定了《天津市区县卫生局数据中心建设技术性指南》。现印发给你们,请参照执行。
该文件可在市卫生局综合信息网www.tjwsj.gov.cn信息化建设栏目下载。具体工作可与市公共卫生信息中心联系。
联系人:张晓卓;联系电话:23337655。
二〇一二年三月十五日
天津市区县卫生局数据中心
建设技术性指南
第1章 项目概述
区域性卫生信息化建设将通过实现社区卫生服务中心和乡镇卫生院与二、三级医院的业务联动,全面提高区域性公共卫生信息化水平,逐步完善区域性卫生信息资源的统一性、规范性、完整性和开放性,提高医疗卫生服务的社会效益和经济效益,实现区域内各卫生系统信息的网上交换、区域内医疗卫生信息的集中管理与资源共享。
我市将建立市卫生局级的数据中心和相应的区域卫生工作平台,逐步实现二、三级医院的HIS、电子病历系统与区县卫生局的居民健康档案信息系统共享数据中心硬件资源平台。
第2章 项目建设目标
在建立全市卫生信息网络的基础上,建立以社区卫生与医疗管理为主的区域卫生工作平台。建设以卫生专网为载体,以居民电子健康档案为重点,以“一卡通”为建设目标,着眼于以社区卫生服务绩效考核与管理的社区卫生服务管理系统。实现管理机制创新、服务模式转变、信息互通、资源共享、服务协同。区县卫生局数据中心做为全市卫生专网的一个节点,起到联系居民健康档案上传的重要作用;同时也是区县级区域卫生工作平台的重要硬件及系统软件的支撑系统和数据共享中心,通过建设要达到如下目标:
1) 建立一个运行稳定、支持复杂应用、容错性强的服务器集群系统;
2) 建立一个可扩展的、高性能的、智能化的支持区县级数据中心的数据存储及备份、容灾系统;
3) 建立一个高可信的、高效的、全面立体防护的安全系统;
4) 建立一个高效高速、安全可靠的具有信息资源高度共享的门户性网站;
5) 建立区域卫生工作平台、社区卫生服务管理系统的硬件承载平台,保证应用服务的7*24*365天的运行。
第3章 网络带宽建议
网络平台是区域卫生信息平台的基础设施。以卫生行政部门为中心,区域内的医疗卫生机构通过与中心节点的连接,实现互联互通。根据我们多个区域卫生项目实施经验。网络接入要求如下
接入方式:
建议专线接入;
接入带宽推荐:
社区卫生服务中心、乡镇卫生院等接入带宽 ≥ 10Mbps
二级、三乙医院接入带宽 ≥ 10Mbps
区县卫生局数据中心接入带宽在≥10Mbps的基础上通过实际应用测试逐步扩大。若需支持远程会诊功能,建议采用100Mbps
第4章 数据中心网络拓扑图
根据安全级别进行网络安全域的规划。数据中心网络拓扑图如下图:
第5章 参考设备主要技术性参数
5.1 系统软件技术要求
操作系统建议使用 Windows server 2008,数据库软件Oracle 11g。同时,建议使用主流异地备份、服务器群集管理等系统软件。――市卫生局(津卫办[2011]304号)文件
5.1.1. 数据库软件
序号
| 产品
|
1
| Oracle Database 11g企业版
|
5.1.2. 操作系统软件
序号
| 产品
|
1
| Windows 2008 server x64
|
5.1.3. 网络版杀毒软件
序号
| 产品
|
1
| 网络版杀毒软件
|
功能要求
| 国内外著名品牌。
如非国内品牌,则要求在中国本地建有病毒响应中心和在中国本地建有研发中心。
产品具备多层安全防护能力,包括防病毒、防木马/间谍软件,个人防火墙、入侵防护、操作系统保护、软件控件、设备控制、前瞻性地威胁防护、网络准入控制等功能;所有功能由一个集成的代理软件完成。
防病毒引擎在所有Windows平台上均通过权威的病毒公告牌100%病毒检测的认证,提供近5年在VB100%认证的通过次数和失败次数。
防病毒引擎应具备恶意代码自动修复功能,可以检测底层的rootkit技术并可以清除rootkit。请描述检测rootkit的技术实现。
能够检测收发Internet电子邮件时,可采用启发式扫描检测外发邮件病毒;有效地防范邮件蠕虫的攻击。
提供对于未知病毒、恶意代码的防范能力,支持基于行为的检测和防护技术:如对于利用U盘进行传播的病毒可以主动拦截。
针对未知恶意威胁具有行为打分能力,智能识别蠕虫或者木马软件,无需提示用户操作判断。
可以锁定IE设置,防止流氓软件支持IE浏览器;可以锁定注册表、系统目录、进程,阻止木马或者流氓软件试图更改这些设置。
当发生新的网络病毒爆发时,管理员可以设定对文件、注册表、进程、DLL加载等系统操作的控制,制定应急响应措施。
可自动灵活的分配客户端扫描优先级别,调节扫描占用的CPU资源,在机器繁忙时自动停止手动或调度扫描。
对于安全风险检测有详细的分类,同时有灵活的处理方式,包括清除、隔离以及自动的排除。并能设置威胁的跟踪功能。
防火墙具备网络应用程序的自学习功能,自定义过滤功能(例如将端口和应用相关联,以防止木马程序),防止应用程序骑劫。
具有位置感应功能,可以自动检测计算机所处的位置(办公室、家、VPN等)在不同的位置执行不同的防护策略。
支持基于系统驱动级别的网络控制,对于恶意.sys驱动欺骗发包可以拦截阻断。
防火墙策略必须在PC引导时开始强制应用。在防火墙策略强制应用之前,用户不能够访问网络。
具有IPS功能,IPS策略能够及时更新及发布,防止DOS/DDOS攻击,防止IP地址欺骗,防止MAC地址欺骗,自动禁止攻击者的IP地址。
IPS具备通用漏洞阻截技术,当木马、流氓软件利用IE浏览器的漏洞或者系统漏洞进行传播时可以根据攻击特征进行阻断。
具有终端外设管理功能,如禁止用户使用光驱、软驱、USB设备、网络适配器等。
客户端软件版本升级无需重新安装终端代理,可通过策略服务器统一升级。
支持中央集中式管理,采用基于Web的管理方式,集中管理所有终端安全防护技术。
客户端安全代理能够通过网络自动或手动从中央管理服务器上升级最新的策略。
当客户端与管理服务器之间的网络连接断开时,应当仍然能够执行相应的正确的代理防护策略。
针对企业用户或计算机划分逻辑组,针对每一个逻辑组配置不同的安全策略。支持组下划分子组,不限制子组的层次。
允许创建多个不同权限的管理员ID,各管理员只能执行所授权的功能。对不同的子组可以具有不同的管理权限,如策略配置、监视、客户端管理等权限。
控制台具备图形报告、集中日志记录和阈值警报等功能。
提供管理数据库的自动恢复能力,提供数据归档。
数据库支持数据复制,策略服务器支持负载均衡和冗余。
提供统一的用户报表和Portal页面,可以直观地察看产品运行状态,企业安全情况。
|
许可要求
| 客户端数量,服务器端数量,1个管理中心端.
|
服务要求
| 3年免费升级服务。
现场安装部署和技术指导服务。
|
