互聯(lián)網(wǎng)醫(yī)療健康惠民服務(wù)醫(yī)院前置機(jī)說(shuō)明-預(yù)約掛號(hào)直連、深度惠民服

XX省互聯(lián)網(wǎng)醫(yī)療健康XX服務(wù)醫(yī)院前置機(jī)說(shuō)明——預(yù)約掛號(hào)直連、深度XX服務(wù)目錄TOC\o"1-2"\h\u1、前置機(jī)概述 21.1網(wǎng)絡(luò)安全 2前置機(jī)的網(wǎng)絡(luò)接入，通過(guò)基于COS的醫(yī)療智能集XX全網(wǎng)關(guān)接入醫(yī)院內(nèi)網(wǎng)系統(tǒng)，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，前置機(jī)部署完成后，可以訪問(wèn)外網(wǎng)指定IP/端口的服務(wù)器，支持TCP/IP、FTP通訊協(xié)議。 21.2應(yīng)用安全 41.3數(shù)據(jù)安全 62前置機(jī)各項(xiàng)安全指標(biāo) 72.1物理安全 72.2網(wǎng)絡(luò)安全 82.3主機(jī)安全 92.4應(yīng)用安全 102.5數(shù)據(jù)安全 11 1、前置機(jī)概述前置機(jī)主要是作為醫(yī)院與掌上醫(yī)院服務(wù)中心平臺(tái)的數(shù)據(jù)通道，因目前醫(yī)院一般不支持公網(wǎng)訪問(wèn)，而院內(nèi)服務(wù)器可以訪問(wèn)指定端口的外網(wǎng)服務(wù)器，因此，前置機(jī)部署在醫(yī)院內(nèi)部，按照醫(yī)院的安全要求進(jìn)行開(kāi)發(fā)和部署，提供內(nèi)外網(wǎng)訪問(wèn)的數(shù)據(jù)通道。1.1網(wǎng)絡(luò)安全前置機(jī)的網(wǎng)絡(luò)接入，通過(guò)基于COS的醫(yī)療智能集XX全網(wǎng)關(guān)接入醫(yī)院內(nèi)網(wǎng)系統(tǒng)，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，前置機(jī)部署完成后，可以訪問(wèn)外網(wǎng)指定IP/端口的服務(wù)器，支持TCP/IP、FTP通訊協(xié)議。智能網(wǎng)關(guān)結(jié)構(gòu)圖如下：圖1.1智能集成網(wǎng)關(guān)結(jié)構(gòu) 智能網(wǎng)關(guān)在醫(yī)院端的部署結(jié)構(gòu)如下所示：圖1.2智能網(wǎng)關(guān)部署結(jié)構(gòu)圖 其他網(wǎng)絡(luò)安全：軟硬件防火墻；多重結(jié)構(gòu)，防止被攻擊。通訊采用TCP/IP協(xié)議，保證信息的安全性，對(duì)通訊數(shù)據(jù)進(jìn)行非對(duì)稱加密。文件傳輸采用FTP協(xié)議，文件傳輸保證斷點(diǎn)續(xù)傳，文件傳輸為單向上傳機(jī)制，防止公網(wǎng)用戶拉取文件。網(wǎng)絡(luò)單向訪問(wèn)，前置機(jī)可以訪問(wèn)公網(wǎng)指定IP端口的服務(wù)器，公網(wǎng)無(wú)法訪問(wèn)前置機(jī)。1.2應(yīng)用安全前置機(jī)與XX省XX服務(wù)平臺(tái)公網(wǎng)服務(wù)平臺(tái)的通訊全部通過(guò)TCP/IP協(xié)議實(shí)現(xiàn)，前置機(jī)應(yīng)用啟動(dòng)時(shí)，與公網(wǎng)服務(wù)平臺(tái)建立長(zhǎng)連接，并維持長(zhǎng)連接，設(shè)計(jì)了有效的長(zhǎng)連接維持機(jī)制，并采用MQ作為消息緩存組件，前置機(jī)的部署結(jié)構(gòu)如下：圖1.3前置機(jī)系統(tǒng)通訊結(jié)構(gòu)圖身份認(rèn)證，支持身份標(biāo)識(shí)（AppKey），簽名驗(yàn)證（Sign）。時(shí)效性控制，異步消息的時(shí)效為30s，超時(shí)則記錄超時(shí)異常。多級(jí)IP鑒權(quán)，系統(tǒng)級(jí)/APP級(jí)/API級(jí)1.3數(shù)據(jù)安全前置機(jī)訪問(wèn)的數(shù)據(jù)庫(kù)為院內(nèi)數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)多以中間庫(kù)的方式部署在前置機(jī)服務(wù)器上，前置機(jī)也可訪問(wèn)醫(yī)院內(nèi)網(wǎng)服務(wù)器，數(shù)據(jù)庫(kù)對(duì)前置機(jī)的訪問(wèn)提供專門用戶，并按照表權(quán)限為最小權(quán)限粒度，對(duì)前置機(jī)數(shù)據(jù)庫(kù)用戶進(jìn)行權(quán)限設(shè)置，并區(qū)分讀寫(xiě)權(quán)限。 數(shù)據(jù)庫(kù)的安全模型如下：圖1.4數(shù)據(jù)庫(kù)安全模型數(shù)據(jù)安全等級(jí)標(biāo)識(shí)，對(duì)關(guān)鍵數(shù)據(jù)表，設(shè)置表權(quán)限；并嚴(yán)格區(qū)分用戶讀寫(xiě)權(quán)限。數(shù)據(jù)隱私等級(jí)標(biāo)識(shí)，隱私數(shù)據(jù)，需進(jìn)行數(shù)據(jù)加鹽加密處理。應(yīng)答數(shù)據(jù)完整性保護(hù)，對(duì)返回結(jié)果簽名，并返回?cái)?shù)據(jù)長(zhǎng)度，保證數(shù)據(jù)完整性。2前置機(jī)各項(xiàng)安全指標(biāo)前置機(jī)各項(xiàng)安全指標(biāo)符合醫(yī)院服務(wù)接入的基 本要求，各項(xiàng)安全指標(biāo)的匹配如下文所述2.1物理安全測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)物理位置的選擇a）前置機(jī)部署在醫(yī)院的機(jī)房?jī)?nèi)，有完善的通風(fēng)系統(tǒng)，保持常年恒溫、恒濕。物理訪問(wèn)控制a）機(jī)架有專用鑰匙，由機(jī)房管理員管理，其他依賴醫(yī)院機(jī)房條件。防盜竊和防破壞a）主要設(shè)備放置在醫(yī)院機(jī)房制定機(jī)架上，依賴醫(yī)院的保護(hù)措施。防雷擊a）服務(wù)器采用了ALT防雷擊技術(shù)和IPT智能電源技術(shù)等高可靠設(shè)計(jì)，能夠承受由雷擊而造成的4000伏瞬時(shí)高壓。防火a）依賴醫(yī)院機(jī)房條件。防水和防潮a）依賴醫(yī)院機(jī)房條件。防靜電a）服務(wù)器采用接地防靜電措施。b）機(jī)房采用防靜電地板。溫濕度控制a）依賴醫(yī)院機(jī)房條件。電力供應(yīng)a）接入機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。d）接入醫(yī)院備用UPS電源，提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求。電磁防護(hù)a）電源線和網(wǎng)線隔離接入服務(wù)器，防止電磁干擾。2.2網(wǎng)絡(luò)安全測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)結(jié)構(gòu)安全a）醫(yī)院網(wǎng)絡(luò)訪問(wèn)控制，前置機(jī)可訪問(wèn)指定外網(wǎng)服務(wù)器，外網(wǎng)設(shè)備無(wú)法訪問(wèn)前置機(jī)服務(wù)器b）前置機(jī)網(wǎng)絡(luò)穩(wěn)定性及安全性依賴醫(yī)院的內(nèi)外網(wǎng)隔離措施。網(wǎng)絡(luò)訪問(wèn)控制a）前置機(jī)可以訪問(wèn)外網(wǎng)指定服務(wù)器，外部網(wǎng)絡(luò)不可訪問(wèn)前置機(jī)。b）前置機(jī)訪問(wèn)外網(wǎng)服務(wù)器固定端口，控制粒度為端口級(jí)；c）對(duì)前置機(jī)的通訊做限制，只允許TCP/IP、FTP通訊協(xié)議進(jìn)行通訊；d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e）前置機(jī)對(duì)通訊協(xié)議做修整補(bǔ)充，通訊的頭部加入用戶名密碼校驗(yàn)，控制粒度為用戶；f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g）其他訪問(wèn)控制依賴醫(yī)院網(wǎng)絡(luò)控制；邊界完整性檢查a）非法前置機(jī)用戶密碼將不能連接外網(wǎng)服務(wù)器入侵防范a）前置機(jī)應(yīng)用收到密集網(wǎng)絡(luò)攻擊將發(fā)出告警2.3主機(jī)安全測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)身份鑒別a）對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，主機(jī)除了管理員用戶，開(kāi)設(shè)一個(gè)指定目錄的訪問(wèn)用戶，以便查看系統(tǒng)運(yùn)行日志。b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)使用復(fù)雜用戶口令，字母+符號(hào)+數(shù)字，長(zhǎng)度不小于10。c）啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施d）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，必須通過(guò)醫(yī)聯(lián)網(wǎng)絡(luò)進(jìn)行跳轉(zhuǎn)，防止信息被竊聽(tīng)。e）為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性訪問(wèn)控制a）設(shè)置不同的用戶訪問(wèn)權(quán)限，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)b）實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離d）定期刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；b）定期根據(jù)醫(yī)院的安全審計(jì)標(biāo)準(zhǔn)對(duì)前置機(jī)服務(wù)器進(jìn)行審計(jì)；入侵防范a）檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b）服務(wù)器監(jiān)控前置應(yīng)用的完整性，應(yīng)用受到破壞時(shí)發(fā)出告警；c）操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。惡意代碼防范a）服務(wù)器安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；c）服務(wù)器支持防惡意代碼的統(tǒng)一管理。資源控制a）指定醫(yī)聯(lián)平臺(tái)的服務(wù)器訪問(wèn)醫(yī)院前置機(jī)；b）前置機(jī)設(shè)置登陸超時(shí)自動(dòng)鎖定；d）以文件夾訪問(wèn)權(quán)限為最小粒度，進(jìn)行資源訪問(wèn)權(quán)限控制；2.4應(yīng)用安全測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)身份鑒別a）應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別訪問(wèn)控制a）訪問(wèn)指定數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)做嚴(yán)格的權(quán)限控制b）訪問(wèn)指定的webservice，做端口訪問(wèn)控制c）與公網(wǎng)服務(wù)中心信息傳遞做用戶名密碼校驗(yàn)d）對(duì)公網(wǎng)平臺(tái)接口采用權(quán)限控制，防止公網(wǎng)平臺(tái)調(diào)用無(wú)權(quán)限接口安全審計(jì)a）提供覆蓋到公網(wǎng)服務(wù)平臺(tái)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)通信完整性a）采用校驗(yàn)碼技術(shù)以及數(shù)據(jù)通訊包長(zhǎng)度校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性通信保密性a）前置機(jī)連接外網(wǎng)服務(wù)器前，進(jìn)行用戶名密碼校驗(yàn)。b）對(duì)通訊過(guò)程中的敏感信息進(jìn)行非對(duì)稱加密處理抗抵賴a）不接受外網(wǎng)的請(qǐng)求軟件容錯(cuò)a）提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求資源控制a）通信雙方中的一方在30秒內(nèi)未作任何響應(yīng)，另一方自動(dòng)結(jié)束會(huì)話b）對(duì)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制，最XX接數(shù)為10。c）應(yīng)