XX市智慧健康项目区域卫生数据交换平台建设方案

XX市智慧健康项目

区域卫生数据交换平台

建设方案3.#遵循以下原则进行系统总体设计。•技术的先进性和成熟性采用代表当今信息化系统发展趋势的主流和成熟技术进行系统架构设计，选用先进的技术手段，实现快速实施，保证技术先进性和成熟性。标准性、开放性系统设计应充分考虑“标准和开放”的原则，要支持各种相应的软硬件接口，使之具有灵活性和延展性，具备与多种系统互连互通的特性，在结构上实现真正开放。在系统建设中应广泛采用遵循国际标准的系统和产品，易于向今后的先进技术实现迁移，充分保护用户的现有投资，其综合反映在可移植性、互操作性、系统独立性和集成性上。同时考虑到投资的长期效益，系统应具有开放性，能够实现与多种技术和软硬件平台有机的结合，保证完成本系统未来的发展要求。可扩展性由于政府信息化建设和应用系统具有快速发展、高速膨胀的特点，这就要求系统的各个环节必须具有高扩展性。系统能够在数据、业务等多个层面上进行扩展。系统提供比硬件和网络的的扩展性更高层次的扩展能力。应用的可适应性系统的另一个特点是应用需求经常变化，这就要求系统必须为应用提供一定程度的可适应性。应提供充分的变更与扩展能力，适用政府机构、人员以及业务流程的调整，能够充分利用政府部门现有软、硬件和信息资源。这样可以用较低的成本实现技术更新换代，从而能够提高系统投资的综合性价比和长期稳定使用，保护已有的设备和技术投资。高可用性和可靠性为保证医疗卫生部门的高效工作，系统在稳定正常运行的同时还要提供较高的性能，从而能够高效率地处理各类关键事务。因此在系统设计之初就应该充分考虑如何保证系统的高可用性、可靠性和高效性。安全性信息安全是医疗卫生信息化建设的前提，系统设计中首要考虑如何建立整个系统的安全性、保密性，而且这种考虑必须是整体的、全面的。系统必须要提供信息传输保密性、数据完整性、身份识别和认证、防抵赖性、隐私保护等安全保障措施。可管理性

志的方式帮助管理员对系统故障进行诊断、排错和分析与规划，从而降低总体使用成本。可移植性系统设计要选择开放的应用平台，如JAVA等跨平台技术开发，实现交换系统与操作系统、硬件平台等无关，便于今后系统移植。5.3总体架构\眼务注册\眼务注册1脂务申佶噩务审捺1酮躺控1护眼务蜿计区域卫生交换平台（简称交换平台）的主要任务以满足临床信息、健康档案信息和公共卫生信息的交换共享为目标，采集相关业务数据，对外部系统提供数据共享服务，包括与区县和市级医院完成数据交换。今后还需要支持医疗卫生服务机构、政府卫生部门之间直接进行数据交换，支持引入新的数据交换业务服务。区域卫生交换平台的核心采用ESB（EnterpriseServiceBus,即企业服务总线），屏蔽接入交换平台不同应用的实现技术差异，提供对不同接入点应用的WebService、DB、JMS、文件等多种数据交换适配器服务，提供统一简单的抽象标准化的数据交换服务，简化应用系统接入的开发工作量，提供开放、灵活、高效和可靠的交换平台服务oESB提供对接入应用的协议适配、协议转换以及对接入点的域管理功能功能。服务管理平台SMP基于ESB的接口API实现，提供对整个数据交换平台的管理监控功能,包括各交换节点的管理和状态监控、运行在节点上的流程管理和状态监控、节点间的交换数据量和流量统计监控等，以及基于各个纬度的域管理功能。第6章.交换平台功能设计数据交换节点建设数据交换节点建设内容主要是交换平台对于各个节点的交换前置的规划和建设，主要包括数据接入服务封装、数据同步机制及数据可靠传输。数据接入适配服务数据接入适配服务主要是完成对各个节点前置的数据加工处理的过程，包括数据格式转换、数据清洗、以及数据加工等数据处理功能。•适配器服务适配器服务是外系统接入平台的桥梁，是多种异构系统之间互连互通及互操作的重要组件。适配器遵循JCA1.5标准，真正实现了适配器的重用。常见的适配器，如结构化及非结构化文件适配器，Oracle、DB2、SqlServer、KingBase、MySql、Access、Excel等数据库适配器，FTP、SMTP/P0P3、JMS等通讯类适配器等。除了系统本身集成的适配器之外，它还提供了适配器开发工具，便于用户开发适合自己需要的定制适配器，并无缝集成到开发系统中。服务封装是数据接入的最前端，无论直接还是“桥接”，都可以采用该适配器服务封装实现。XML数据即根据转换定义的规则，完成数据转换的处理。将原始的数据转换为需要的数据格式。统一的数据和服务表示——标准XML。不同的系统传输数据内容和方式都可能不一样，不同的系统提供服务的方式和数据格式也不一样，为了使不同系统在互相交互时有一个统一的接口表现方式需要定义一套统一的接口（服务方式和数据格式）表示方式，因为XML的强大描述能力，使用XML来描述各系统的服务接口和数据传输方式。数据描述工具数据共享的主要功能是数据采集和数据应用，需要有一个方便的数据描述工具和数据描述方式，作为整个数据共享的基础。数据共享服务的技术实现及其表现形式可以有多种，如本产品提供的Java服务、常用的Web服务等。在TIStudio工具中，能够将用户创建的Java服务、适配器服务等，发布为Web服务，而且还提供了访问外系统提供的Web服务的开发工具。数据服务方式支持已有应用的快速接入及服务化封装，并提供代理服务的快速开发向导，以便通过服务总线统一提供已有应用服务或第三方服务的接入、访问和管理。支持Web服务的常用工业标准，如WSDL、SOAP、UDDI、WS-Security、WS-IBasicProfile等。6.1.2数据同步机制根据业务系统需求，建立实时、定时、单向、双向机制，以及服务注册代理机制。•实时机制实时机制采用触发器机制，依靠数据库自身的实时触发管理，确保数据的实时同步，实时同步时间在毫秒级。触发器分为INSERT、UPATE、DELETE三种。即业务表在数据变化时根据三种触发条件判断属于那种数据更新方式并定位数据记录。在数据加载时通过定位信息获取数据并按照触发类型进行数据更新同步定时机制定时机制采用时间戳方式，依靠操作系统时间就需要在业务表中统一添加时间字段作为时间戳（如表中已有相应的时间字段，可以不必添加），每当更新修改业务数据时，同时修改时间戳字段值。当数据加载时，通过上次运行时间、本次运行时间与时间戳字段的比较来决定进行何种数据抽取。单向机制无论是定时还是实时机制，都可以设定为单向。即针对一个数据源，只是做同一种操作向其他数据源做数据同步。双向机制对于实时数据同步可以支持双向。即针对一个数据源，在往其他数据源做数据同步的同时，该数据源又要受被其同步的数据源的变化做实时同步。服务注册代理使用标准接口（支持UDDI和JAXR接口）的服务注册库进行服务注册和检索、Web服务部署后的启动/停止控制及将部署后的服务列表查询功能集成进了监控中心等，可提供完整的Web服务封装、开发、部署、运行监控、运行服务水平数据监测统计、服务注册和检索等全生命周期管理。另外，集成了基于标准规范的服务注册库可供用户直接使用。6.1.3数据可靠传输TongLINK/Q作为东方通科技公司的消息中间件产品，它以其独特的消息、队列、可靠等机制和技术优势为各种分布式应用系统的开发注入了强大动力，极大地推动了数据及应用系统集成的发展。在分布式系统之间通过消息点对点传输、广播传输模式的实现，建立与集成环境松散耦合的专用传输通道，实现消息可靠传输。通过把消息保存在可靠队列中来保障“可靠传输”，并在传输中具有断点续传功能，能够应对网络故障、机器故障，保障消息一次传输、可靠到达。TongLINK/Q先进的队列、消息及路由等处理机制，使其能够为应用系统提供高效、灵活的同步和异步传输处理、存储转发、消息路由等技术支持，确保消息在任何情况下都能够安全、可靠的送达。通过使用TongLINK/Q，应用系统完全不需要担心消息传递过程中可能遇到的各种障碍（机器故障、网络故障等）和异常。TongLINK/Q提供点对点、发布订阅、路由、集群等多种方式的消息传递模式，极大方便了企业应用的灵活构建，同时TongLINK/Q通过对核心、进程管理、队列管理等各层面的优化和改进，能够更加充分地利用硬件和网络资源，极大地提高了传输效率，为各种不同应用模式、不同系统规模、不同消息传输量的系统提供了强有力的后台支撑。

发送着援收看点对点传输消息队列消息队列轴TSI境布者主题主题订阅者发送着援收看点对点传输消息队列消息队列轴TSI境布者主题主题订阅者|网貉—I*订阿者TongLINK/Q为系统的管理人员提供了丰富易用的管理工具，以满足不同的管理习惯和管理需求。通过管理工具，在系统运行过程中，可以对系统对象进行动态管理和控制，以达到对系统运行规模进行调控、节省系统资源、提高效率的目的。通过基于浏览器模式的可视化监控管理中心，用户可以在任何运行IE的远端对系统进行远程集中管理，包括系统的远程启动、停止、配置和监控，极大地方便了系统的维护和管理。TongLINK/Q全面支持JMS1.1规范标准，用户可借助于它进行标准化的应用开发，并能够轻松地与其他系统进行集成。通过JMS1.1标准，TongLINK/Q能够无缝的与东方通公司的其他的中间件产品进行集成，如与JAVAEE应用服务器TongWeb、企业应用集成产品TongintegratorSOA套件等有机的集成。TongLINK/Q作为一个消息传递的可靠平台，应用系统可以借助于它轻松地传输和处理消息，而无需考虑消息传递的具体细节，能够大大降低开发难度，缩短开发周期，节约开发成本。。6.2数据交换中心建设服务注册与发布中心提供对各节点开放服务的统一注册、代理发布或者索引发布等功能，通过ESB中间件提供的WebService适配器服务，可以将各节点对方开放的WebService统一代理为中心ESB代理地址的服务供其他部门节点调用，并提供对接入服务的管理和监控功能。同层级数据路由1.需求描述同级接入点应用系统可以通过交换平台向区域卫生协作平台提交和查询数据，区域卫生协作平台可以通过交换平台向接入点应用系统推送数据。同级接入点应用系统可以通过交换平台访问、查询和推送数据2.功能描述支持按照请求的服务名称，自动实现到提供服务的数据交换节点路由。支持按照请求服务消息中特定字段和配置的路由规则，自动实现到目标服务的数据交换节点路由。支持目标服务的数据交换节点集群部署下的数据路由。区/市多层级数据路由1.需求描述XX市区域卫生信息平台采用分层建设，区级医疗卫生机构、社区卫生中心卫生站、区级区域卫生协作平台可以通过交换平台进行交互。市级医疗卫生机构、区级区域卫生协作平台、市级区域卫生协作平台也可以通过交换平台进行数据交互。区级区域卫生协作平台可以通过交换平台向市级区域卫生协作平台提交和查询数据，市级区域卫生协作平台可以通过交换平台向区级区域卫生协作平台推送数据。2.功能描述支持多层级的交换平台间业务路由。支持定制路由，可以根据服务请求消息中特定字段和配置的路由规则，实现到目标服务的数据交换节点路由。交换平台管理监控设计6.3.1交换域管理1.需求分析交换平台涉及医院和公共卫生服务机构等医疗卫生机构的点、线（例如，各条线系统等）、面（例如，区域卫生信息平台等），这些点、线、面都拥有相对独立的数据资源或应用服务。从交换层面上，这些拥有相对独立数据资源或应用服务的业务系统接入点可视为交换的节点一组节点构成交换域，需要支持这些节点间独立地进行信息交换和业务协同。2.功能描述支持交换域中涉及机构、机构对应的接入点和服务配置管理。支持交换域中机构对服务访问权限的配置管理。6.3.2交换平台运行监控•服务流程管理服务流程管理包括节点、项目、服务、组件及业务流程等运行状况的集中管理，能够对所监控的对象进行状态参看、启动/停止等控制。•服务流程监控监控管理逻辑节点及部署在逻辑节点上面的项目、服务、组件及业务流程等运行状况的集中管理监控平台。通过监控管理中心，用户可以查看逻辑节点及部署在逻辑节点上面的项目、服务、组件及业务流程等运行状态、日志信息等，并能够对所监控的对象进行如启动/停止等控制。监控管理中心基于JMX标准，管理功能可扩展，并方便用户编程访问。监控管理中心的界面基于Web浏览器方式，方便用户查看系统运行状态，跟踪服务、业务流程运行信息，便于对监控对象进行分析、诊断。管理员账号管理1.需求分析交换平台超级管理员需要对交换平台的管理员用户进行管理。2.功能描述支持新增、修改、删除和查询管理员账号。支持管理员账号的权限管理。支持安全可靠的密码管理。日志管理1.需求描述交换平台管理员需要对日志进行管理，导出和查询日志，通过分析性能日志优化系统。2.功能描述支持日志导出，可以通过日志类型、日志级别、日志记录起始时间、日志记录结束时间选择导出日志范围。支持日志查询，可以通过操作描述、附加信息、日志级别、日志产生时间查询日志，查询结果包括账号信息、IP地址、日志级别、模块类型、日志产生时间、操作描述、附加信息、操作结果等字段。支持性能日志，性能日志定位于单条交换数据的轨迹记录，内容包含数据交换服务名、数据交换操作名、数据交换请求方、数据交换接收方、数据交换请求时间、数据交换应答时间、操作结果、附加信息等。6.4平台接口功能6.4.1基于适配器服务的接口适配器接口遵循JCA1.5标准，真正实现了接口的重用。常见的适配器接口包括结构化及非结构化文件适配器，Oracle、DB2、SqlServer、KingBase、MySql、Access、Excel等数据库适配器服务接口；FTP、SMTP/POP3、JMS等通讯类适配器等；XML、TXT、格式文件消息等；数据加密解密、数据压缩解压、数据加工等接口。除了系统本身集成的适配器之外，它还提供了适配器开发工具，便于用户开发适合自己需要的定制适配器，并无缝集成到开发系统中。6.4.2基于消息的接口C/C++/C#JAVA、JMS1.1PB、VB、Delphi等API、动态/静态链接库、ActiveX控件。6.4.3基于文件服务的接口文件目录：直接将文件放入文件夹就可进行接入C/C++/C#、JAVA文件调用接口：支持发送和接收。文件适配器：基于文件内容解析的接口。第7章.平台可靠性设计7.1集群架构7.1.1队列集群模式队列集群模式如下图：QNodeAClusterQueQXodeBQNodeC应用/队列集群模式如下图：QNodeAClusterQueQXodeBQNodeC应用/网络/客户端1：在各应用子系统安装消息中间件TongLINK/Q，在子系统端配置Cluster队列，各子系统将需要传送至管理中心平台的信息写入Cluster队列，由Cluster队列发往不同的远程队列。如上图，ClusterQue为QCU中的集群队列，其集群主要有线路备份和负载均衡两种功能。■若文件中设置为线路备份功能时，则发送消息会找到最优的一条线路进行发送。线路有如下：1）ClusterQue—>QNodeA2）ClusterQue—>QNodeB3）ClusterQue—>QNodeC若配置文件中设置为均衡负载功能时，则发送消息会根据目的队列实际按照比例分发到不同的队列（即对QNodeA、QNodeB和QNodeC三个队列进行分发）中，比例为Weight配置的最大公约数。若有条线路不通，则不会往这条线路上发送消息；若所有线路都不通，则返回失败（线路备份和均衡负载都适合）。2：监管中心只需向各自的消息中间件TongLINK/Q的本地队列中获取各子系统发送来的消息，不同的消息节点可以有相同的本地队列名，这样可保证了后台服务程序在对消息中间件TongLINK/Q进行二次开发时程序的完整性和统一性。简单的说，即监管中心后台服务程序可以在所有服务器上部署完全一致的程序也能实现消息中间件的集群。7.1.2应用集群模式应用服务器TongWeb支持软件和硬件级集群两种集群模式，这里主要介绍软件方式下的集群实现。因为硬件级的集群（如F5等设备），有硬件集群服务器来提供支持，不需要用户做任何添加修改，所以重点介绍应用服务器得到软件集群实现。下面是通过Apache、Nginx等web服务器实现的TongWeb集群和session复制功能的架构图：丁nniiWeberver1'ongWebServer架构图：丁nniiWeberver1'ongWebServerasiun复制分发诘求1：TongWeb的集群是通过Apache来实现的，当客户端请求访问Apache时，Apache会将请求按一定比例转发到后台多个TongWeb上，当其中一个TongWeb出现问题时，其余TongWeb还可以继续接收客户端的请求。假设目前有三台机器（可以支持8个以内的集群服务，而集群性能基本呈90%递增的线性增长），其中两台装TongWeb,另一台装Apache,结构如上图所示（apache的安装和TongWeb的安装也可以在同一台物理机器上，其逻辑表现形式不变），客户端访问Apache,Apache会将请求按一定比例转发到后台的两个TongWeb上,用户可以通过配置，实现负载比例的灵活分配。2：TongWeb自带memcached模块（内存数据库），为了使集群有更高的可靠性，可以为应用配置session复制功能，这样当用户访问到一台TongWeb上时，如果此时TongWeb宕机用户的请求被转发到另一台TongWeb，同时此用户的session信息也会被复制过来，从而保证session信息不丢失。TongWeb的session复制功能由memcached来实现，我们称之为会话服务器（产品自带）。通常为了保证会话服务器的可靠性，我们建议至少配置两个会话服务器。memcached相当于一种内存形式的数据库，TongWeb会将session信息同步到memcached当中，当客户端访问跳转到另一TongWeb时，可以从memcached中恢复sesssion信息。，memcached可以启动多个，每个memcached分别保存一部分session信息通过以上设置可轻松简单的实现监管中心应用服务的集群，提高了监管中心并发处理能力，也为7*24的运行提供了可靠高效的技术保障。7.1.3ESB集群模式HTTP分JftSS配<PrcsKybiihiniu>ter^HTTP分JftSS配<PrcsKybiihiniu>ter^BalaiicerMejiibeflittpu'/Server]JcjadliJit:toi=-3Hstl^Tit.ztrMtTiih^rhiKp：..iyS^r¥rL；r2Itwill討「LcjlI■Bnhw匚vrM嚣mb肌li1tp://S&rss-urNLoad氐匚lor飞</PnDxy>l*rox.yScJlIbyfrrii::论诂朮nAfKiLkieHTTP欝发器F叩^CTV三种均衡策略：-bytraffic：按照流量均衡-Byrequest：按照请求次数均衡-Bybusyness:按照繁忙程度均衡7.2数据备份与灾难恢复由于数据备份所占有的重要地位，它已经成为计算机领域里相对独立的分支机构。一般来说，各种操作系统所附带的备份程序都有着这样或那样的缺陷，所以若想对数据进行可靠的备份，必须选择专门的备份软、硬件，并制定相应的备份及恢复方案。在发达国家，几乎每一个网络都会配置专用的外部存储设备，而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。计算机界往往会用服务器和数据备份设备（如磁带机）的连接率，即一百台服务器中有多少配置了数据备份设备，来作为评价备份普及程度和对网络数据安全程度的一个重要衡量指标。如果每一台服务器或每一个局域网络都配置了数据备份设备以及相应的备份软件，那么无论网络硬件还是软件出了问题，都能够很轻松地恢复。每一位计算机前的使用者都会有这样的经验：一旦在操作过程中敲错了一个键，我们几个小时，甚至是几天的工作成果便有可能付之东流。据统计，80%以上的数据丢失都是由于人们的错误操作引起的。遗憾的是，这样的错误操作对人类来说是永远无法避免的。另一方面，随着网络的普遍建立，人们更多的通过网络来传递大量信息。而在网络环境下，除了人为的错误操作之外，还有各种各样的病毒感染、系统故障、线路故障等，使得数据信息的安全无法得到保障，我们对网络的大量投资也失去了意义。在这种情况下，数据备份就成为日益重要的措施，通过及时有效的备份，系统管理者就可以高枕无忧了。网络数据存储管理系统是指在分布式网络环境下，通过专业的数据存储管理软件，结合相应的硬件和存储设备，来对全网络的数据备份进行集中管理，从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。7.2.1本地服务器备份备份可在本地服务器上通过配置磁带机实现简单的比较原始的数据备份。本地网络备份和恢复都是由本地人员完成，要求系统管理员对备份操作很熟悉，还须进行科学化、制度化的管理，以防人为错误发生和磁带管理混乱。7.2.2远程集中式备份方案系统管理员将磁带机/库连接在总部中心备份服务器上，通过网络将总部及地方数据备份到这些磁带机/库上。在这种方案中，备份和灾难恢复的工作由中心系统管理员完成。减少地方人员介入，降低人为错误发生概率，提高备份数据可靠性。为在整个网络系统内实现全自动的数据存储管理，备份服务器、备份管理软件与智能存储设备的有机结合是这一目标实现的基础。网络数据存储管理系统的工作原理是在网络上选择一台应用服务器（当然也可以在网络中另配一台服务器作为专用的备份服务器）作为网络数据存储管理服务器，安装网络数据存储管理服务器端软件，作为整个网络的备份服务器。在备份服务器上连接一台大容量存储设备（磁带库、光盘库）。在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件，通过局域网将数据集中备份管理到与备份服务器连接的存储设备上。网络数据存储管理系统的核心是备份管理软件，通过备份软件的计划功能，可为整个系统建立一个完善的备份计划及策略,并可借助备份时的呼叫功能,让所有的服务器备份都能在同一时间进行。备份软件也提供完善的灾难恢复手段，能够将备份硬件的优良特性完全发挥出来,使备份和灾难恢复时间大大缩短，实现网络数据备份的全自动智能化管理。目前在数据存储领域可以完成网络数据备份管理的软件产品主要有LegatoNetWorker、IBMADSM、VeritasNetBackup等。日常备份制度描述了每天的备份以什么方式、使用什么备份介质进行，是系统备份方案的具体实施细则。在制订完毕后，应严格按照制度进行日常备份，否则将无法达到备份方案的目标。数据备份有多种方式：全备份、增量备份、差分备份、按需备份等。•全备份：备份系统中所有的数据；•增量备份：只备份上次备份以后有变化的数据；差分备份：只备份上次完全备份以后有变化的数据。按需备份：根据临时需要有选择地进行数据备份。全备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全备份最可靠；但是随着数据量的不断增大，我们将无法每天做全备份，而只能在周末进行全备份，其它时间我们采用所用时间更少的增量备份或采用介于两者之间的差分备份。各种备份的数据量不同:全备份＞差分备份＞增量备份。在备份时要根据它们的特点灵活使用。数据库全备份：选择在周五（或周六）自动进行。•数据库增量备份：每晚作批前和批后由Unix或其它主机系统执行,批处理人员触发或由系统自动执行。文件全备份：将主机系统和其它服务器的数据作全备份，选择在周日自动进行。文件增量备份：在周一到周四（或周五）之间备份文件的增量。系统全量：在月初的周日备份系统及数据库的全量。系统增量：在其余的时间仅备份系统和数据库配置的增量。跟踪备份：实时备份系统增量（事务日志备份）。结合以上备份策略，从便于管理和恢复的角度考虑，制订数据分组和存储介质对应策略，将数据分门别类放在不同编号的磁带组上，并建立不同的存取权限。建议建立：数据库介质：专门放置数据库信息。•文件介质：除数据库以外的文件。•数据库日志和系统日志介质：安全稽核和系统恢复的重要数据记录须较长时间保存，建议由安全管理官员建立管理，形成与主机系统管理人员分离的运行数据记录。系统介质：备份系统和系统配置等的变化，做到快速恢复系统。自动备份进程由备份服务器发动。每天晚上，自动按照事先制订的时间表所要求内容，进行增量或全量的备份。由于每天的备份被适当地均衡，峰值备份数据量在周五（或周六）和周日发生。其它文件的自由备份。进入软件交互菜单，选择要求备份的文件后备份。在线跟踪备份。配合数据存储管理软件的数据库在线备份功能,可定义实时或定时将日志备份。灾难备份异地存放介质的克隆。自动复制每日完成后的数据，以存放异地作灾难恢复。第8章.平台安全设计8.1物理安全物理安全是整个系统安全的前提，用于保证计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。系统安全体系中的物理安全可以分为环境安全、设备安全和媒体安全，涉及到系统应用范围内的各方主体。其中，环境安全是对系统运行环境的安全保护，如区域保护和灾难保护等，具体可以参照国家标准GB50173-93、GB2887-89、GB9361-88等相关要求进行设计；设备安全则主要包括存储、传输或系统运行所用设备的防盗、防毁、防磁、防止线路截获、抗电磁干扰及电源保护等；媒体安全则包括存储媒体本身的安全以及媒体中存储数据安全。8.2网络安全系统安全体系之网络安全主要分为传输网络安全和业务网络安全两类。对于系统相关的传输网络，网络安全主要是保证参与系统各方主体之间的数据传输网络以及公共网络服务的安全可靠运行，从目前情况来看，传输网络安全目前需要由网络基础设施提供商或服务商为其安全性提供充分保证。对于系统相关的业务网络，网络安全主要包括控制远程用户接入、设置防火墙、防范病毒、控制与公网互连、防范黑客入侵以及就网络安全进行严格监控和规范管理等以保护业务网络资源和应用服务。（1）.远程用户接入问题依据互联网平台，采用虚拟专用网（VPN）网络连接方式进行数据传输，以该种方式传输防止数据在传输过程中被窃听、被篡改，同时采用拨号用户身份认证等加强对接入用户的安全验证，对接入用户实现统一管理，采用加密手段对关键数据加密后进行传输，防止数据泄漏和被非法窃取；严格限制远程接入用户能访问的系统信息和系统资源，防止非法用户进入系统所在网络。（2）.防火墙问题系统运行所在专网和外网之间、不同安全域之间根据需要设置防火墙，依据安全政策对出入网络的信息流进行控制，有条件地允许、拒绝、检测或过滤。防火墙设置需要综合考虑系统所要求的速度、性能、管理、便易性和性价比等各个方面，进行周密设计和总体规划；另外应注意加强安全管理，采取一些必要的措施保证较高的安全性，比如防火墙要安装在不同的介质上，尽量使用不同的服务器提供不同性质的服务，对于重要系统的出口应重点配置防火墙，在实际配置和实施时应该关闭不需要的服务，要经常检查防火墙的日志，发现异常应该及时处理，采取多层防御、冗余防御等多种方法和措施。（3）.关于防病毒问题在系统中，需要基于业务需求建立多层次病毒防卫体系。需要在系统每一个安装或运行点强调安装防病毒软件，在系统中的业务处理终端和服务器端应同时提供对应的防病毒保护措施。防病毒工作是一个长期的工作，应及时进行防病毒软件或系统的升级、换代工作。另外除了采用各种防病毒产品以外，还应建立和实施完善的综合安全性操作程序，该操作程序应包括各种安全措施，如定期数据备份、关键信息加密保护等。4）.控制与公网互连的问题在系统中，数据传输的方式一般包括纸质传输、介质传输和网络传输，因此对于公网传输的情况应加强安全方面的管理和控制。系统要求内外网物理隔离，一般可以采用双穴主机及类似措施，在严格控制与公网互连的前提下，妥善解决公网与专网之间的数据传输问题。（5）.关于防止黑客问题随着网络规模的扩张和信息技术的飞速发展，黑客技术也不断发展，其攻击的范围和层次也不断扩张。系统作为我国政府信息化的重要项目（比如四库建设、十二金工程、网站建设等）也有可能成为某些恶意黑客的攻击对象。因此在设计和实施系统安全体系时，应加强采用入侵检测技术防范黑客入侵和侵袭，并在必要的时候采取证据记录、跟踪恢复、强制断开等措施保证业务网络的安全。（6）.网络安全管理和监测网络安全管理和监测是系统安全设施和安全机制有效发挥作用的重要保证，主要包括安全规范的制定和实施、各类操作用户的安全管理、安全体系的运营监控、应急处理和安全控制等。8.3数据安全系统一般将需要采集、整理、处理、传输、统计、分析等所对应的数据进行安全分级，比如有些系统将数据分为一般数据、重要数据和关键数据三级，有些系统将数据分为自主保护、审计保护、标记保护、结构化保护和验证保护五级等，然后对于不同级别的数据采用不同的安全措施。根据数据的处理形式不同，安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。（1）.数据传输安全系统中的数据传输根据传输方式的不同可以分为介质传输、纸质传输、网络传输三类，其中网络传输按照传输网络的不同又可以分为公网传输和专网传输两种。在信息化办公环境较差的单位，可能还需要采用纸质传输数据，也即通过报送纸质报表方式来传递数据，该类数据则需要通过人为因素保证传输数据的安全性，纸质报表上的数据由信息化环境较好的上级单位负责数据的录入工作。在网络环境较差的应用单位，需要采用介质传输的方式传递数据。介质传输是指将需要传输的数据按照一定的格式存储于介质之上进行传输，传输数据的安全性由写入介质之前对关键信息加入身份认证、数字签名、数据摘要、数据加密等安全措施以保证数据的可靠性、防止偷窃、防止篡改和不可否认。网络传输中的公网传输主要发生在当存在于公网上的政务系统相关的单位需要向存在于专网之上的系统应用的政府机构传递数据的情形。根据传递数据的安全级别不同，需要在公网中传输的一般数据，可以采用时间戳加盖与验证、数据摘要与验证等措施保证传输数据的完整性；对于重要数据，需要增加数字签名与验证、签名回执、数据加密与解密等保证数据的安全；对于关键数据，可以考虑增加交叉认证保证更高的安全性。网络传输中的专网传输主要发生在同时处于专网之内的不同业务系统之间传递数据的情形。在系统中一般需要构建数据传输与交换平台，不同系统之间或者内部的数据传输可以转换为系统与数据交换平台之间的数据传输。在系统与数据交换平台之间传输数据时，对于重要数据或关键数据，可以综合采用数字签名与验证、签名回执、时间戳加盖与验证、数据摘要与验证、数据加密与解密等安全措施，必要时可以采用交叉认证的方式保证更高的安全性，甚至可以部署加密机等硬件设施以提供硬件级别上的安全性。（2）.数据存储安全系统一般采用关系型数据库的形式来保存数据，根据部署方式的不同，数据库可以是集中式部署，也可以是分布式部署或者两者的混合形式。数据存储安全除了采用关系型数据库管理系统本身提供的数据库加密存储、权限控制等安全机制之外，根据数据的安全分级，一般数据可以直接采用明文存储或者明文加上验证码存储，对于重要数据和关键数据则除了附加验证码之外，还需要先加密后存储以防止数据被非法窃取或篡改。（3）.数据库安全数据库安全直接由提供数据存储和访问的数据库管理系统来保证。数据库管理系统能够提供多级数据库的安全机制，并能支持数据加密存储和传输以及冗余控制，对管理的数据和资源提供的安全保护一般包括物理完整性、逻辑完整性、元素完整性、用户鉴别、可获得性、可审计性等，其中物理完整性是数据能够免于物理方面破坏的问题，如掉电、火灾等；逻辑完整性是指能够保持数据库的结构如对一个字段的修改不至于影响到其它字段；元素完整性是指包括在每个元素中的数据是准确的；用户鉴别是指数据库能够确保每个登录用户被正确识别同时避免非法用户入侵；可获得性是指数据库的用户一般可访问数据库和所有授权访问的数据；可审计性则是数据库提供审计功能，能够跟踪到哪个合法或者非法用户在什么时间以什么方式访问过数据库哪些数据。8.4应用安全系统安全体系之应用系统安全主要包括用户身份认证、访问控制、安全审计及日志、安全技术及应用四个部分。（1）.用户身份认证用户身份认证一般发生于用户登录系统时或者不同系统之间传递数据时的情况。在用户登录系统时，需要对登录用户持有的数字证书进行认证，以保证只有合法持有有效数字证书的用户才能够登录系统，同时还需要进行安全审计和记录系统安全日志。对于发生在政务工作中的业务流程跳转、请求发生变化等情况产生的身份认证问题，可以视同为不同用户的登录或同一用户对不同业务系统的访问以及相应的用户数字证书认证过程。在不同系统之间传递数据的时候，系统数据传输服务器之间也需要进行身份认证以保证发送和接收数据主体的合法性。（2）.访问控制访问控制通过“自主访问控制”和“强制访问控制”的方法阻止非授权用户访问客体。“自主访问控制”（DAC）自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。自主访问控制一个安全的操作系统需要具备访问控制机制。它基于对主体及主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地（也可能是单位方式）将访问权，或访问权的某个子集授予其它主体。“强制访问控制”（MAC）强制访问控制是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。如果系统认为具有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问该文件的权力。强制访问控制施加给用户自己客体的严格的限制，但也使用户受到自己的限制。但是，系统为了防范特洛伊木马，必须要这么做。即便是不存在特洛伊木马，强制访问控制也有用，它可以防止在用户无意或不负责任操作时，泄露机密信息。在系统中，需要指定各个应用层次中的每一个用户所能够访问的业务资源和系统资源，也即访问控制和权限分配策略。这里的权限不但包括用户能否访问的业务范围、业务数据、数据的访问方式、操作类型等，还包括系统相关的系统资源，包括打印、邮件等。一般的，系统中的权限按照角色进行分配，也即对所有权限进行分组，一个角色将对应于一个权限的组合。这样在对用户进行权限分配的时候，只需要直接赋予用户不同的角色即可。（3）.安全技术及应用根据安全级别的划分，可以采用包括数据加密与解密、数据摘要及验证、数字签名及验证、时间戳加盖及验证等在内的安全技术保证系统的安全性、完整性和不可否认性。数据加密的方法可以划分为对称加密和非对称加密两种，典型的加密方法包括标准数据加密算法DES、RC、RSA、EIGamal等，数据加密主要用于保证数据存储或者传输的安全性，防止窃取。数据摘要方法主要包括MD、SHA等，通常具有两个特点，其一是对于源数据的任何一个Bit的改变，数据摘要将有很大改变,其二是源数据不同，对应的数据摘要则不同。因此通过对源数据产生8字节的摘要信息并连同源数据一起传输，然后通过对数据摘要的验证能够有效检测和防止数据非法篡改，保证数据的完整性。数字签名方法主要包括DSA方法等，数据的发送方利用自己的私有签名密钥对源数据对应的数据摘要进行签名，保证数据发送方的合法性，同时防止抵赖，数字签名的使用依赖于公正的认证中心CA所发放的合法的、有效的数字证书。时间戳加盖是对传递的数据包加入时间戳标志，数据的接收方能够根据时间戳标志进行数据操作顺序的判断并进行数据包的重新组织，这种方法一定程度上可以防止旁路重发所带来的风险。（4）.安全审计和日志系统需要利用安全日志记录和审计，以保证在发生安全相关问题的时候能够做到追踪问责，通过对安全日志记录的查询和分析以及相关的审计操作找到安全问题的根源所在。安全审计和日志的范围可以根据系统的实际需要进行设置，但是对于安全密切相关的用户登录事件、访问控制事件以及身份认证、访问控制、数据加密、数字签名等行为安全事件等应该进行安全审计操作，并记录系统安全日志。第9章.标准规范建设标准规范体系建设旨在有目的、有目标、有计划、有步骤地建立起联系紧密、相互协调、层次分明、构成合理、相互支持、满足需求的标准规范并贯彻实施，以支持项目的合理建设。遵循国家相关标准，并根据实际需要补充制订数据资源平台有关的标准规范，形成一套完整、统一的标准规范体系，是实现信息高度共享、系统运行高度协调的保障。平台标准规范包括平台技术标准和平台管理规范两类9.1技术规范1、平台接口规范接口标准包括数据服务接口，文件服务接口，日志访问接口，管理监控接口2、平台技术规范技术规范用于描述平台的定位，总体架构，功能要求，主要参考平台建设方案。3、平台服务建设规范服务建设规范用于指导和约束信息化部门对现有业务系统进行改造，进行服务、异构数据格式转换处理和业务流程开发，服务封装。9.2管理规范1、管理办法运行