T∕CACM 1073-2018 中医治未病服务规范 中医健康管理云平台系统建设规范

团中医治未病服务规范中医健康管理云平台系统建设规范2018-09-17发布2018-11-15实施本规范按照GB/T1.1—2009给出的规则起草。本规范由中华中医药学会提出并归口。本规范负责起草单位：广东省中医院。本规范参与起草单位：上海中医药大学附属曙光医院、十堰中医院、顺德中医院、阳江市中医院、民航广州医院、深圳龙岗人民医院、上海市“治未病”发展研究中心、广州市奥正计算机科技有限公司等。本规范主要起草人：杨志敏、李慧、黄鹂、林嫌钊、杨小波、吴大嵘、张晓天、张青岐、吴梅涛、冯小燕、钟宾谟、付祥、朱吉、何忠远、韦芳宁、张国雄、徐福平、原嘉民、孙晨、管桦桦、张晓轩。随着经济的发展与医学的进步，中医健康管理日益在医疗工作中显示出突出的作用。近5年来，各种类型的中医健康管理系统已经达到100多种，包括常见的体质中医健康管理软件，体检一体化的中医健康管理系统，但这些系统仍以单机版或者网络版本为主进行管理。而随着信息技术的发展，云平台技术的推出，掌上化随身化中医健康管理在技术上成为可能，而且市场需求包括普通受众与健康相关产业，迫切需要中医健康管理云平台技术成熟并投入使用。目前国内外对中医健康管理系统云平台尚停留在理念构建或平台开发前期阶段中，而对于其运用规范仍缺乏系统性、可行、具备成熟技术及实施经验的指导。基于中医健康管理系统化管理理念，结合云平台信息技术，推行规范化的中医健康管理云平台运用规范是满足目前公众对健康的追求和健康市场对产业化发展需求的必然过程。目前运行的云平台，通过线上线下交流、便捷一站式的医患沟通模式、日程式的随访管理及贴身健康档案管理等方式显示出良好的健康管理效果。但目前对于中医健康管理云平台的具体建设规范，仍然缺乏纲领性指导标准。本指导规范是在系统实际使用经验及专家共识的基础上，综合古代及现代中医对健康管理这一临床问题的认识及干预方法，从实践角度对中医健康管理云平台进行规范性指导。本规范主要具有以下特点：①中医健康管理需求结合信息技术，具有学科交叉特色与特点，适于中医院、西医院中医科室及中医养生机构实行。②结合现代文献及古代文献，对现代文献进行系统分析，建立一套合适进行中医健康管理的专业技术方案。③结合技术方案，进行平台建设，以临床运用与智能管理为要求，结合已开发成功的平台建设经验，结合信息学等专家意见，为本规范内容提供同行评价与建议。本规范对中医健康管理云平台的运用具有指导价值和实用价值，为广泛意义上的“治未病”工作提供技术平台。中医治未病服务规范中医健康管理云平台系统建设规范本规范规定了中医健康管理云平台相关概念、系统安装部署、系统用户规范、多租户模型、安全等级等。本规范适用于为实施中医健康管理的专业机构。推荐全国信息技术科技公司、各级综合性医院、中医医院、社区卫生服务中心及健康管理中心在进行中医、中西医临床健康管理平台建设时可实施本规范。2规范性引用文件GB/T5271.8信息技术词汇第8部分：安全GB17859—1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南T/CACM006/1—2016中医健康管理服务规范第1部分：中医健康状态信息采集T/CACM006/2—2016中医健康管理服务规范第2部分：中医健康状态评估规范T/CACM006/3—2016中医健康管理服务规范第3部分：中医健康调理T/CACM006/4—2016中医健康管理服务规范第4部分：中医健康状态跟踪服务3术语和定义GB/T5271.8和GB17859—1999确立的以及下列术语和定义适用于本规范。确定信息系统安全保护能力是否达到相应等级基本要求的过程。4基本结构VCenter、数据中心(Datacenter)、Pdc(PersonalDataCenter)提供数据中心即Vdc(VirtualDataCenter)虚拟数据中心：一个独立的可分批的云资源管理单元；vdc(VirtualDataCenter)可分层级包涵；群集(Cluster)、资源池(Resource_pool)、vApp(vSpherevApp)一组虚机、物理主机(MANAGED_SERVER)、vm(VMWare)虚拟机、模板、标准交换机网络、分布式交换机网络、端口组。ORG组织是多租户分配和自我管理的业务单元，是业务数据(资源数据、用户、角色、功能权限、消息事件、流程、计量计费、分析、指标、报表)隔离的范围。顶层组织即为租户，租户下可建立多层次组织架构。用户作为资源(数据)管理、界面范围、权限划分的载体。用户必须归属于相应的组织。用户暂不考虑跨组织。角色作为权限封装的载体。角色必须归属于相应的组织。上层组织的角色可以授权赋予下级的组织。大型医院整合内部多地域、多组织的IT资源构建统一云环境，通过云管理平台进行统一管理、统一分配、统一运维、统一成本或计费。企业内部成本中心、利润提供商构建多物理地域的IDC资源构建统一云环境，通过云管理平台搭建统一公共的云服务平组织、vdc体系：资源、操作过程数据、用户、角色、功能权限、消息事件、流程、计量计费、租户每个组织的生命周期管理，暂不考虑；组织视图，组织多版本(即随着企业组织架构演变过程而GLOBAL,为整个云管理平台的根组织。全局系统管理员super属于GLOBAL组织。租户经过员可进一步构建租户内部的组织结构，租户内部的组织结构可分层分级扩展，每级均可设定其管理根Vdc是归属于GLOBAL组织，全局系统管理员super和他授权的全局系统管理员可基于租户需求分配相应的一个或多个Vdc资源。租户组织的管理员可基于自身管理需求，继续向下创建下属的Vdc,并分配给自己的组织。下属各组织的管理员，如果授权了“分配授权”,可继续向下创建下——为各类云资源进行安全管理和监控，维护安全等级A级，安全结构为5级结构；疲劳状态、睡眠障碍状态、疼痛状态、焦虑状态、抑郁状态、健忘状态代谢综合征、高血糖、高血压、血脂异常、高黏血症、高尿酸血症等人群(指标超出正常，未达建议分为生活方式健康人群、生活方式高危(一级、二级、三级、四级)人群。建议分为经络平衡人群、经络(上下、阴阳、左右、表里)四种失衡人群。建议分为五脏系统健康人群、五脏(心、肝、脾、肺、肾)系统偏颇人群。8.5.1中医健康(糖尿病、高血压)自我监测记录平台。图A.1健康管理流程图uu0a05u品mi黑o0图A.2中医健康管理云平台服务系统架构图A.2.2系统开发平台软件选择前端UI使用展示层使用控制层使用持久层使用安全认证使用图形和数据报表使用开发语言苹果iOS移动网络操作系统IIS6.0服务管理器操作系统自带(信息服务管理器)移动平台iOS系统A.2.3后台管理技术架构A.2.3.1系统开发采用SOA架构SOA面向服务架构(Service—orientedarchitectures),SOA样式在三个主要参与者之间定义了交互模型：服务提供者：公布服务描述并且实现服务；服务消费者：使用统一资源标记符(URI)来直接使用服务描述，同时可以在服务注册中心来查找服务描述并且绑定和调用服务。下图是表达SOA三个参与者之间关系的元模型。图A.3SOA三个参与者之间的关系元模型本系统整个技术体系都建构于完全开放的技术标准体系之上，所有层级互联、服务部署和管理等环节都严格遵循有关的开放标准，最大限度保护，最大限度利用现有资源，同时确保平台的中立性和权威性，使得不同服务和应用能够共享平台资源，组合出符合用户业务需要的功能。图A.4SOA架构下分层体系结构图本项目采用构件化、可插拔的平台架构，支持积木式的快速构建方式，保证系统的扩展。应用系统能够分阶段实施，需充分考虑整个系统的发展，并兼顾日后系统扩展。系统架构统一规划、分层设计、分层构建和灵活配置，按“组件化”开发模式，程序模块化，业务规则和业务逻辑与程序尽量分离，程序要内聚性高，耦合性低。采用多层体系架构和先进技术与工具，便于系统功能扩展和整合。A.2.3.2数据服务层数据服务层通过使用SDO模型，采用数据服务的方式，利用医学设备仪器的网络接口读取医学数据完成中医健康管理中检查检验的数据指标。为了完成松散耦合的环境中对对象的访问，需要有一系列的协议。医学数据服务在传输层采用了HTTP协议。采用可扩展标注语言(XML)提供数据的描述。数据服务依靠基于XML的SOAP协议进行相互间的信息交换。开发医学数据服务描述语言(M-WSDL),用来描述数据服务的功能特性。利用M-WSDL定义XML语法，使用统一描述、发现和集成(UDDI)向数据服务注册中心注册并发布数据服务。A.2.3.3服务层采用Hadoop平台构建分布式存储和计算平台。集群的基础设施主要建立在虚拟的资源池上，这个资源池主要包括计算资源池、存储资源池、网络资源池等。采用Hadoop分布式文件系统对云计算的资源进行管理，包括负载的均衡、故障的监测、故障的恢复、监视统计等，并对众多的应用任务进行调度，使资源能够高安全地为应用提供服务。云计算能力被封装成标准的服务提供给应用程序，需要对这些服务进行管理和调度。门采用MapReduce作为并行计算的框架模型。MapReduce引擎由作业服务器和任务服务器组成。作业服务器负责管理调度所有作业，是整个系统分配任务的核心；任务服务器具体负责执行用户定义的操作，每个作业被分割为多个任务，包括Map任务和Reduce任务。任务是具体执行的基本单元，任务服务器执行过程中需要向作业服务器发送心跳信息，汇报每个任务的执行状态，收集作业执行的整体情况，为下次任务分配提供依据。A.2.3.4应用层应用层的主要功能是为用户提供服务，将根据用户的需求开发具体的应用，并为用户提供一个相对统一的人机界面接口。用户可以通过已注册和发布的服务，查询其需要的医学信息，使用CCMe-dII进行高性能的分布式处理和分析。用户请求的处理流程当用户通过用户界面查询已经发布的应用服务并发出服务请求时，发出的请求是查看所有的大脑图像信息，这个请求将通过数据服务层，从数据服务层已经发布的所有医学数据服务中查询大脑图像的服务描述，并返回结果。用户可以在列出的表中选择查看部分服务或全部服务。图A.6描述了系统中读操作请求控制流和数据流的处理流程。山二销二解二二用川箱(1)为用户发送读操作服务的应用请求，读取存储在系统中的医学数据；(2)为应用服务访问主节点，发出需要存储数据的请求，获得需要存储块的位置和存储副本的(3)名称节点返回第一数据块和其他副本的存储位置给应用服务；(4)应用服务传送应用服务信息给数据层，并请求读取数据；(5)数据层通过已经注册和发布的数据服务，查询应用服务，获得从系统中读取的相关信息；(6)和(7)数据节点通过由名称节点传送过来的控制信息，读取数据并存储在指定的位置；(8)和(9)将结果返回给应用程序并显示到用户的界面上。根据用户需要进一步处理和分析获得的结果，发出应用服务请求，应用服Android核心系统服务依赖于Linux2.6内核，包括：安全性、内存管理、进程管理、网络协议、除了标准的Linux内核外，Android还增加了内核的驱动程序：Binder(IPC)驱动、显示驱动、第二层：本地框架和Java运行环境(LIBRARIES和ANDROIDRUNTIME)本地框架是有C/C++实现。包含C/C++库，被Android系统中不同组件使用，它们通过An-系统C库：(libc)从BSD继承过来的标准的C系统函数库，专门是为基于嵌入式Linux的设备多媒体库：基于PackerVideo的OpenCore;该库支持多种常用的音频、视频格式回放和录制，SufaceManager:显示子系统管理器，并且为多个应用程序提供2D和3D图LibWebCore:一个最新的Web浏览器引擎，支持Android浏览器，以及一个可嵌入式的WebSGL:Skia图形库，底层的2D图形引擎。3Dlibraries:基于OpenGLES1.0API的实现；该库可以使用硬件3D加速(如果可用),或者使用高度优化的3D软加速。FreeType:位图(bitmap)和矢量(vector)字体显示。Android运行环境(ANDROIDRUNTIME):提供了Java编程语言核心库的大多数功能，由DalvikJava虚拟机和基础的Java类库组成。Dalvik是Android中使用的Java虚拟机，每个Android应用程序都在自己的进程中运行，都拥有一个独立的Dalvik虚拟机实例。Dalvik被设计成一个可以同时高效运行多个虚拟机实例的虚拟系统。执行后缀名为.dex的Dal-vik可执行文件，该格式的文件针对小内存使用做出了优化。同时虚拟机是基于寄存器的，所有的类型都是有Java编译器编译，然后通过SDK中的“dx”工具转化为.dex格式由虚拟机执行。Dalvik虚拟机依赖于Linux内核的一些功能，比如线程机制和底层内存管理机制。第三层：Android应用框架(ANDROIDFRAMEWORK)。在Android系统中，开发人员也可以完全访问核心应用程序所使用的API框架。包含的框架入上图(不在陈述)。第四层：Android应用程序(APPL注意：Android应用程序都是有Java语言编写的。用户开发的Android应用程序和Android的核心应用程序是同一层次的，它们都是基于Android的系统API构建的。iOS的系统架构分为四个层次：核心操作系统层(CoreOSlayer)、核心服务层(CoreServices包含核心部分、文件系统、网络基础、安全特性、能量管理和一些设备驱提供核心服务，例如字符串处理函数、集合管理、网络管理、URL处理工具、联系人维护、偏该层框架和服务依赖CoreServices层，向CocoaTouch层提供画图和多媒体服务，如声音、图该框架基于iPhoneOS应用层直接调用层，如触摸事件、照相机管理等，包该层含UIKit框架和位于iOS系统架构最下面的一层是核心操作系统层，它包括内存管理、文件系统、电源管理以及一些其他的操作系统任务。可以直接和硬件设备进行交互。第二层是核心服务层，通过它来访问iOS的一些服务。第三层是媒体层，通过它在应用程序中使用各种媒体文件，进行音频与视频的录制，图形的绘制，以及制作基础的动画效果。最上一层可触摸层，为应用程框架，并且大部分与用户界面有关，本质上来说它负责用户在iOS设备上的触摸交互操作。在CocoaTouch层中的技术均属于Objective-C语言。Objective-C语言为iOS提供了像集合、文件管理、网络操作等支持。像UIKit框架，它为应用程序提供了各种可视化组件，比如像窗口(Window)、视图(View)和按钮组件(UIButton)。CocoaTouch层中的其他框架，实现如访问用户通讯录功能框架，获取照片信息功能的框架，负责加速感应器和三维陀螺仪等硬件支持的框架。A.2.4.3微信公众平台开发A.微信公众平台开发概况微信公众平台开发是指为微信公众号进行业务开发，为移动应用、PC端网站、公众号第三方平台(为各行各业公众号运营者提供服务)的开发，可通过微信开放平台接入。通过微信公众平台开发工具开发手机端，借助第三方平台运行健康管理中医云平台，有利于用户安全快捷的接入系统。微信公众平台是运营者通过公众号为微信用户提供资讯和服务的平台，而公众平台开发接口则是提供服务的基础，开发者在公众平台网站中创建公众号、获取接口权限后，可以通过阅读本接口文档来帮助开发。为了识别用户，每个用户针对每个公众号会产生一个安全的OpenID,如果需要在多公众号、移动应用之间做用户共通，则需前往微信开放平台，将这些公众号和应用绑定到一个开放平台账号下，绑定后，一个用户虽然对多个公众号和应用有多个不同的OpenID,但他对所有这些同一开放平台账号下的公众号和应用，只有一个UnionID,可以在用户管理中获取用户基本信息(UnionID机制)文档，了解详情。A.微信公众平台开发注意事项——在申请到认证公众号之前，可先通过测试号申请系统，快速申请一个接口测试号，立即开始接口测试开发。——在开发过程中，可以使用接口调试工具进行在线调试某些接口。——每个接口都有每日接口调用频次限制，可以在公众平台官网一开发者中心处查看具体频次。——在开发出现问题时，可通过接口调用的返回码，以及报警排查指引(在公众平台官网一开发者中心处可以设置接口报警),来发现和解决问题。——公众平台以access_token为接口调用凭据(access_token),来调用接口，所有接口的调用需要先获取access_token。access_token在2小时内有效，过期需要重新获取，但1天内获取次数有限，开发者需自行存储，详见获取接口调用凭据文档。——公众平台接口调用仅支持80端口。A.微信公众平台为用户提供服务形式a)公众号消息会话：公众号是以微信用户的一个联系人形式存在的，消息会话是公众号与用户交互的基础。目前公众号内主要四种消息服务的类型，分别用于不同的场景。1)群发消息：公众号可以一定频次(订阅号为每天1次，服务号为每月4次),向用户群发消息，包括文字消息、图文消息、图片、视频、语音等。2)被动回复消息：在用户给公众号发消息后，微信服务器会将消息发到开发者预先在开发者中心设置的服务器地址(开发者需要进行消息真实性验证),公众号可在5秒内做出回复，可以回复一个消息，也可以回复命令告诉微信服务器这条消息暂不回复。被动回复消息可以设置加密(在公众平台官网的开发者中心处设置，设置后，按照消息加解密文档来进行处理。其他3种消息的调用因为是API调用而不是对请求的返回，所以不需要加解密)。3)客服消息：在用户给公众号发消息后的48小时内，公众号可以给用户发送不限数量的消息，主要用于客服场景。用户的行为会触发事件推送，某些事件推送是支持公众号据此发送客服消息的，详见微信推送消息与事件说明文档。4)模板消息：在需要对用户发送服务通知(如刷卡提醒、服务预约成功通知等)时，公众号可以用特定内容模板，主动向用户发送消息。b)公众号内网页：许多复杂的业务场景，需要通过网页形式来提供服务。1)网页授权获取用户基本信息：通过该接口，可以获取用户的基本信息(获取用户的OpenID是无需用户同意的，获取用户的基本信息则需用户同意)。2)微信JS-SDK:是开发者在网页上通过JavaScript代码使用微信原生功能的工具包，开发者可以使用它在网页上录制和播放微信语音、监听微信分享、上传手机本地图片、拍照等许多A.2.5中医健康管理云计算平台安全架构IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服务模型中，提供商和用户的安全职责有着很大的不同。具体来说，IaaS提供商负责解决物理安全、环境安全和虚拟化安全等安全控制，而用户则负责与IT系统(事件>相关的安全控制，包括操作系统、应用和数据；PaaS提供商负责物理安全、环境安全、虚拟化安全和操作系统等安全，而用户则负责应用和数据的安全；SaaS提供商不仅负责物理和环境安全，还必须解决基础设施、应用和数据相关的安全控制。中医健康管理IaaS层云服务，即层安全，主要包括物理与环境安全、主机安全、网络安全、虚拟化安全、接口安全、数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。A.2.5.1laaS层安全A.物理与环境安全A..1机房环境安全物理与环境安全，是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。主要措施包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰等。中医健康管理云计算平台建设在单位信息中心机房，机房、电源、监控等场地设施和周围环境及消防安全，严格按照国家相关标准，并满足政务网24小时不间断运行的要求进行设计建设。具体安全措施符合9361—1988和2887—1989的规定。A..2物理线路安全a)通信线路安全：通信线路是实现数据传输的物理线路，包括网线、光纤等。应符合以下要求：——通信线路采用铺设或租用专线方式建设；——通信线路应远离强电磁场辐射源，埋于地下或采用金属套管；——定期测试信号强度，以确定是否有非法装置接入线路，特别是在线路附近有新的网络架设，电磁企业开工时，应请专业机构负责检测；——定期检查接线盒及其他易被人接近的线路部位，防止非法接入或干扰。b)骨干线路冗余防护：骨干线路冗余防护应符合以下要求：——骨干线路或重要的节点与省卫计委网相连，应有冗余线路和环形路由措施；——骨干线路的网络设备应有冗余电源配置，保障线路正常运转；——省级卫计委重要部门重要业务系统所属的相关线路，应建立冗余或环形路由措施；c)核心设备防雷击措施：通信线路骨干线路和核心设备，应该具备防雷击的措施。A.主机安全云计算平台的主机包括物理服务器、虚拟机以及安全设备在内的所有计算机设备，主要指它们在操作系统和数据库系统层面的安全。主机安全问题主要包括操作系统本身缺陷所带来的不安全因素，包括身份认证、访问控制、系统漏洞等，操作系统的安全配置问题、病毒对操作系统的威胁等。主机安全，要求做到身份鉴别、访问控制、安全审计、入侵防御、恶意代码控制、资源控制等，主要采取的措施和技术手段包括身份认证、主机安全审计、主机入侵防御、主机防病毒系统等。A.主机安全的漏洞管理A..1主机安全的漏洞管理概述漏洞管理是一个重要的威胁管理内容，云服务引入漏洞管理的主要目的是帮助保护主机、网络设备，以及应用程序不受已知漏洞的攻击。漏洞管理需要先明确漏洞的定义。漏洞分为两种情况，一是指主机、网络设备、应用程序等存在的已知的问题；二是指人为导致的问题，例如安装了有潜在风险的应用或者做了有潜在风险的配置。这些问题都会由于没有及时安装最新的补丁或者没有采用其他手段解决而成为整个系统中的潜在安全而针对漏洞的管理则是指在最短的时间内发现漏洞并设法解决，并形成一套可重复的成熟流程，同时需要对该套流程的所有内容进行记录、生成最终报告。所以针对漏洞的管理可以分为两部分内容：漏洞的扫描和漏洞的解决。a)漏洞的扫描：1)对于设备现状的准确收集以及展现，是设备管理的重要方面只有准确了解设备状况，才能了解到现存的漏洞(包括有可能的配置失误、错误、应用性能瓶颈、应用功能缺失等),并根据运维采集的性能趋势数据，了解潜在的问题及漏洞。2)通过硬件配置的记录，再准确制定出硬件配置的维护、修复计划，可以清晰地帮助管理员掌握全面的服务器硬件资产信息及后续的行动计划。3)此外，对于服务器目前的软件配置及漏洞状况，同样需要管理员通过自动化手段进行自动记录和统计。以便于管理员了解主机的具体应用部署及漏洞情况，清晰了解软件目前的状态及其影响。b)漏洞的解决：1)通过安装补丁：通过更新系统中的宿主机、虚拟机、客户端计算机的操作系统的系统服务包2)通过手动修复：通过统一安全管理平台向所有计算机分发并启动控制脚本，从而实现更多的内容控制。包括修复计算机配置或者用户配置，删除有潜在漏洞的文件、文档。3)后续阶段，在统一安全管理平台上，管理员可以看到每台计算机的补丁安装状况，也可以通过报表了解平台内部所有补丁安装状况。A..2病毒防护中医健康管理云计算平台集中部署网络型防病毒设备，包括防病毒网关、防病毒软件，过滤蠕虫、病毒、恶意代码等，防止对网络造成影响。并统一实现病毒定义库的实时升级，可以通过升级防病毒服务器，实现数据中心全网防病毒软件的升级。病毒防护提供以下功能：——防病毒软件的部署由点及面，全方位进行部署，彻底截断病毒入侵的途径；——开启实时检测，保证在病毒入侵时可以随时发现并清除；——定期进行病毒库升级，在发生重大病毒事件时，做到手工立即升级，保障系统防病毒软件的病毒库是最新版本；——定期进行服务器和PC机全磁盘查杀病毒，保障系统中不存在病毒；;——建立病毒防范的日常管理机制和审查机制；———一旦发现病毒立即杀灭，并通过病毒防护系统的多级结构上报主管领导或上级主管部门；——对于染毒次数、杀毒次数、杀毒后果进行详细记录。A..3补丁管理未能及时安装操作系统补丁给主机带来诸多安全隐患，补丁的更新频繁通过人工为每个主机安装系统补丁，不仅仅耗时耗力，也容易造成人为操作失误导致更大的灾难。为了能够更加便捷，更加快——自动为客户端安装补丁程序，减轻管理员的工作负担，提高补丁程序的安装效率(系统管理——支持基于策略和目标的补丁分发(可以将补丁只发给指定的用户群，便于用户按照部门之间——补丁可用性测试，减少补丁对应用的影响：一些补丁程序可能会导致系统——如果忘记了补丁可用性测试，万一因安装补丁程序，使系统瘫痪(系统崩溃)或应用程序不——支持多种非Window操作系统。数据库系统及其数据是系统中的核心资产，应用系统操作的本质是基于统的安全性受到各单位日益重视。面对目前数据库和应用系统在逻辑和技术上层出不穷的安全漏洞，内部或外部用户绕过表现层、应用层(中间处理层),对数据服务层进行非授权的直接访问，如绝大多数应用系统(包括C/S应用及内部C/S系统)都没有考虑到因为管理、应用层或数据库漏洞导致黑客或者内部非授权用户非法访问数据库的巨大风险，这是架设防火墙也无法解决的问题。如发生绕过应用系统，直接对数据库应用系统数据进行非法修改和数据库系统的合理配置是保证数据库正常运行的基本条件，如发生管理正常运行的应用系统极少需要进行数据库用户权限调整，入侵者A..5运维安全审计系统a)信息系统中医健康管理云计算平台通过部署集中运维审计系统，统一规范内部运维管理行为，预防、及时阻断异常，定位安全事故，为恢复系统和追查责任提供原始依据。所有登录云计算平台进行业务系统维护的操作都应该通过运维安全审计系统。运维安全审计系统可以对所有操作进行实时记录，包括SSH/Telnet等字符界面，或VNC/RDP等图形化操作界面。对违规操作进行实时拦截，并提供审计日志供事后核实。运维审计系统的部署架构图如下所示：应用安全审计提供以下功能：1)身份认证审核，结合本工程购买身份认证系统，实现基于真实用户身份的多因素身份认证；2)对数据、文件的删除和修改等行为监控；3)系统管理员、系统安全员、审计员和一般用户所实施的操作监控，其他与系统安全有关的事件或专门定义的可审计事件；4)对于每一个事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；5)日志信息可转存或备份到存储设备；6)对审计数据进行报表分析功能，包括分类排序、筛选、趋势分析；7)应用系统可基于特定异常事件进行审计分析。A.网络安全在网络安全方面，主要做到以下几个方面的安全防护，包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防御、网络设备防护。可采取的主要安全措施和技术包括防火墙、IPS、网络安全审计系统、防病毒网关、强身份认证等。在云服务的技术环境中，特别是企业中的关键核心数据，通过安全夹实时监控等服务来传输数据到企业网，企业网再传输到云服务中心。更多的应用和集成业务开始依靠互联网。解决服务带来的后果和破坏，将会明显地超过传统的企业网络环境。因此，必须采取相应的抗拒绝服务攻击技术措施，以保障云计算平台的正常工作。a)安全域划分：针对网络内部不同的业务部门及应用系统安全需求，对其进行安全域划分，并按照这些安全功能需求设计和实现相应的安全隔离与保护措施。安全区域的划分主要规定了各个安全区域的重要级别和重点防护公用网络区：采用国家公用地址(即从CNNIC注册的地址)的网络区域，是国家的主干道，实互联网接入区：是各级部门通过逻辑隔离手段安全接入互联网的网专用网络区：是依托国家基础设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供安全公众服务区、互联网接入骨干网区和互联网用户接入区之间署，为了保证安全，需要进行逻辑隔离，在公用网络区和互联网接入区间部署中医健康管理云计算平台在互联网接入层和数据及中心汇聚层分别部署了高性能防火墙。启动0003防御功能，保护网络或者主机系统，可对大流量DDOS攻击给予拦截，保证云平台出口网络的量进行检测，确保各区域服务器应用的安全。不同区域的安全级别通过0~100的数字表示，数字越大表示安全级别越高。只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动隔离网闸作为新一代网络安全产品，部署在可络间的信息交换。隔离网闸通过专用硬件在可信网络与不可信网络间实现物于网络层和操作系统层的攻击，并通过基于硬件设计的反射GAP系统，实现在线高速实时的数据传中医健康管理云计算平台部署安全隔离网闸用于在MPLSVPN隔离的不同网络区域之间进行安要点可信网和不可信网物理隔断，可信网络上的计算数据是静态的高性能防火墙的功能侧重在于边界划分，边界互访网动态的、有害的攻击譬如DDOS病毒、特洛伊木马病毒、蠕虫病毒等已经不能通过防火墙的方式来防护，因此我们建议在云计算平台的核心交换机和防火墙之间配置专用的入侵防御系统IPS。本工程新增VPN网关2台。远程安全接入网关(VPN)主要实现远程用户接入认证、数据加密和传输安全。VPN通过提供IPsec/SSL等方式进行用户认证和加密。用户认证管理系统结合第三方VPN网关的部署同时满足政务办公用户和政务移动用户VPN接入需要，以及解决零散分布的用户在异地访问XX,并提供了身份验证、授权的功能。在移动用户侧通过安装客户端软件，直接发起VPN连接请求，VPN网关上对这些移动用户进行分组，并结合VPN网关VPE功能，使移动用户认证通过后，可以按不同的身份分别登录到不同的MPLSVPN内部。VPN网关部署示意图如下所示：图A.9VPN网关部署示意图新用户注册新用户注册注册成功?分配VPN账号身份认证系统认证通过?是平台资源使用浏览器B/S模式登录放VPN连接对于出差在外的领导和公务员可通过安全认证网关设备，启用虚拟专用网(VPN)技术访问中支持多种认证方式：支持用户名+口令、证书、USB+证书+口令等多因素身份认证方式；支持网络层以上的B/S和C/S应用；包括基于端口VLAN以及基于TAG的VLAN都在所有IT架构系统中被广泛使用。中医健康管理云计算平台通过VLAN隔离不同服务区内不同业务系统的二层网络。对用于虚拟机管理使用的网络，包括专用网络区、公共网络区、互联网接入区内不同业务系统都需要划分独立的VLAN。本方案使用虚拟化平台，通过在虚拟交换机上对不同虚拟机划分VLAN,在动态迁移过程中，虚拟化技术在物理硬件与运行IT服务的虚拟系统之间引入了一个抽象层，并通过整合服务器以及提高操作效率和灵活性，实现了一种节约成本的有效方式。然而，对于所运行增功能引入的虚拟化层本身却是一个潜在的攻击入侵通道。由于一个主机系统能够容纳多个虚拟机，由于VMware基于一个已针对虚拟化进行优化处理的轻量级内核，因此，较一般的操作系统而言，它不易受病毒和其他问题的影响。尽管如此，虚拟化运行在虚拟机中的客户操作系统也存在与物理系统相同的安全风险。虚拟化无法消除这样的风器。因此，关键在于对虚拟机采取与物理服务器相同的安全保护措施。通常安病毒代理器、间谍软件过滤器、入侵防御系统以及其他所有安全工具上。确保随通过在模板中获取加强了安全性的基本操作系统映像(未安装任何应用程序),可以确保创建的所有虚拟机都具有已知基准级别的安全性。随后便可以使用该模板创建其他特定于应用程序的模板，虚拟化平台能够精确控制主机资源的分配。通过使用云平台的资源管理可以控制虚拟机所消耗的服务器资源，因此，受到攻击的虚拟机不会对在同他虚拟机造成影响。可以利用这一机制来抵御拒绝服务器攻击，此攻击会导致虚拟机可以将故障排除信息写入虚拟机日志文件，该文件存储于云平台进程有意或无意的配置会导致其滥用日志记录功能，将大量数据注入日志文件。经志文件会占用物理主机文件系统的大量空间，将硬盘填满，致使在中医健康管理云计算平台运营后，平台上既存有政务应用所产生的业务数据，也存有社会公众应用而产生的业务数据，另外还包括普通公众用户上传的各类隐私信息，虽然云计算应用设计时已采用诸如数据标记等技术以防非法访问混合数据，但通过应用程序的漏洞仍可实现非法访问。为了根本解决这一问题，必须通过存储区域划分的方式来实现数据隔离，在互联网环境下把SAN存储分隔为两个数据区，分别作为政务应用数据区和社会公众数据区，可较好地解决数据存储安全问题。中医健康管理云计算平台在IaaS平台建设完成后，将逐步引入PaaS层云服务。PaaS位于IaaS之上，又增加了一个层面，用来与应用开发框架、中间件技术，以及数据库、消息和队列等功能集PaaS层的安全，主要包括接口安全、运行安全，当然也包括了数据安全、加密和密钥管理、身在PaaS上，需保障用户IT系统的安全部署和安全运行，使其不对现有的PaaS平台造成影响和威胁，不会在云内部发起对内和对外的攻击。运行安全主要包括用户应用的安全控、不同用户系统的隔离、安全审计等。中医健康管理云计算平台配备了运维安防止内部发起的攻击；通过防火墙、IPS、漏洞管理、网页防篡改等安全技术手段保障由外部发起的对于PaaS平台提供的一组云服务接口，采取相应的措施，来确保接口的强用户认证、加密和访在接口安全上，本项目配备了PKI应用服务器，结合政务网CA中心，实现对接口的强用户认SaaS位于底层的IaaS和PaaS之上，SaaS能提供独立的运行环境，用以交付完整的用户体包括内容、展现、应用和管理能力。SaaS层的安全，主要包括应用安全。当然也包括数据安全、加SaaS层安全技术实现措施，XX结合防火墙、IPS等网络安全防护，通过PKI应用服务器、动态身份认证服务器实现用户身份的强认证、访问控制以及数据的加解密。通过网页防篡改功能增强云计算服务推动了Internet的Web化趋势。与传统的操作系统、数据库、C/S系统的安全漏洞Web系统漏洞层出不穷，主要包括两个方面。一是Web应用漏洞，即Web应用层的各项漏洞，包括Web应用主流的安全漏洞、网页挂马、恶意代码利用的漏洞等；二是Web代码漏洞，即Web应用系统在开发阶段遗留下来的代码漏洞，包括SQL注入漏洞、跨站脚本漏洞、CGI漏洞和无效链中医健康管理云计算平台SaaS应用在开发之初，式的SDL(安全开发生命周期)规范和流程，从整个生命周期上去考虑应用安全。对于Web应用系统，其防护是一个复杂问题，包括应对网页篡改、DDoS攻击、导致系统可用性问题的其他类型黑客攻击等各种措施；改务外网云计算平台采用的技术击目标。虽然目前已有防火墙、入侵防御等安全防范手段，但现代操作系统的复统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。网页防篡改通过Web服务器核心内嵌技术，使用密码技术，为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有唯一性的数字水印。公众每次访问网页时，都将网页内容非法修改，则立即进行自动恢复，从而彻底地保证了非法网页内容不被网页防篡改系统综合考虑了广泛使用的IIS/Apache服务器对于Web攻击的特殊防护需求，基于最为稳定和高效的IIS/Apache模块美集成。网页防篡改系统对SQL注入攻击、跨站攻击、溢出代码攻击、对系统文件的访问、特殊的URL攻击、构造危险的Cookie、对危险文件类型的访问、对危险文件路径的访问等均能进行不间断的有效检测、阻止与保护，并根据自动化攻击工具和手工攻击方式灵活调整安全保护策略。A.2.5.4公共安全A.数据安全无论是IaaS、PaaS还是SaaS,都存在数据安全的问题。数据安全，就是要保障数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。主要实现以下目标。数据存放位置：必须保证所有的数据包括所有副本和备份、存储在安全的地理位置。数据删除或持久性：数据必须彻底有效地去除才被视为销毁。不同客户数据的混合：数据尤其是保密/敏感数据不能在使用、存储或传输过程中，在没有任何补充控制的情况下与其他客户数据混合。数据的混合将在数据安全和地缘位置等方面增加安全的挑战。数据备份和恢复重建计划：必须保证数据可用，运输机备份和云回复计划必须到位和有效，以防止数据丢失、意外的数据覆盖和破坏。在数据的创建、存储、使用、共享、归档、销毁等阶段，都要采取相应的保护措施，访问控制、安全审计等技术手段，来保障数据安全。通常我们可以将数据类型分为结构化数据、半结构化数据和非结构化数据。对于存在Oracle、MSSQL、MySQL等关系型数据库中的结构化数据，可通过数据库安全审计系统实现数据存取安全；对于半结构化数据和非结构化数据可通过数据加密实现数据安全。中医健康管理云计算平台配备有PKI应用服务器，结合CA中心颁布的数字证书可以实现应用数据的加解密，保障接口数据的安全；物理磁盘的安全可通过加密硬盘实现数据的加密，防止硬盘丢失引起的信息泄露。考虑硬盘加密将带来新的单点故障以及硬盘加密必然带来的一定存储性能的下降，本期暂未考虑使用加密硬盘，在后续扩容工程中，可根据业务系统需要按需扩容。对磁盘的物理安全，当前可通过加强机房管理实现物理设备的安全。A.目录服务器中医健康管理云计算平台配备目录服务器一套，通过系统化的自定义方式来统一身份、资源、设备和策略，例如电子邮件地址、应用程序、文件、人员或小组、自动化系统以及其他网络组件。目录服务器构成了云计算平台身份管理部署的基础。通过目录服务器管理云计算平台管理员、云计算平台使用单位和云计算平台业务系统用户的身份及安全性访问权。借助目录服务器，奠定安全身份管理解决方案、目录服务管理和多平台网络服务的基础。A.加密和密钥管理加密和密钥管理是云计算系统中，用于保护数据的一种核心机制。加密提供了资源保护功能，同时密钥管理则提供了对受保护资源的访问控制。加密的机密性和完整性，包括加密网络传输中的数据、加密静止数据、加密备份媒介中的数据。除这些常见的加密应用之外，对云计算的特殊性而言，应该要求进一步分析加密动态数据的方式，包括内存中的数据。密钥管理包括密钥存储的保护、密钥存储的访问控制、密钥的备份和恢复问题。加密和密钥管理可通过PKI应用服务器实现，中医健康管理云计算平台配置PKI应用服务器实现以下A..1数字证书有效性验证服务PKI应用服务器能够验证数字证书是否有效，通过PKI应用服务器的接口，应用系统能够验证用户证书的有效性，并获取用户证书的详细信息。A..2数字签名服务PKI应用服务器能够将指定的数据进行签名，并返回应用服务器签名数据。A..3数字签名有效性验证服务PKI应用服务器能够根据签名相关信息以及原始信息判断该段签名值是否为签名用户对原始信息的签名值。PKI应用服务器能够根据应用需求制作数字信封。A..5数据加密服务PKI应用服务器能够根据应用需求将明文数据加密。A..6数据解密服务PKI应用服务器能够根据应用需求将密文数据解密。A..7日志记录功能PKI应用服务器能够根据用户需求定时将工作情况以日志方式保存。A..8数字时间戳服务PKI应用服务器能够根据应用需求给某段数据加盖时间戳信息以备将来对某操作进行时间信息的获取。A.动态口令身份认证系统在网络信息安全的五个功能中(身份认证、授权、保密性、完整性和不可否认),身份认证(Authentication)是最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的账号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。本解决方案提供了完整的身份认证解决方案，特别是双因素身份认证解决方案，已成为该领域的事实标准，该解决方案以易于实现、成熟、可靠等特点在信息安全领域赢得广泛信赖。图A.11双因素认证示意图中医健康管理云计算平台新增身份认证系统，提供基于用户真实身份的多因素身份认证。身份认证系统主要提供以下功能：——登录系统(操作系统、网络设备、关键应用系统)时进行身份认证，并对此过程进行记录；——应定义认证尝试允许次数，并通过延长认证失败超出允许次数后再次允许认证的时间间隔来限制重复尝试，并对此过程进行记录；——用于身份认证的用户名和口令应在信道中加密传输；——应当对登录用户的来源进行控制和监控；A.安全代理服务器中医健康管理云计算平台部署安全代理服务器，提供数据在网络上传输的安全、保密、完整、不可抵赖以及拥有身份验证机制。安全代理服务器采用SSL技术A..1安全代理服务器的功能——信息保密：对信息使用基于单一密钥的对称性算法进行加密。——身份认证：对通讯一方或双方使用电子证书和公钥算法进行身份确认。—信息保全：采用对称性信息完整性检验算法，实现信息保全。安全代理服务器原理图如下：图A.12安全代理服务器原理图应用客户端不能直接访问或登录Web服务器，只能利用用户数字证书，通过访问安全代理来访问Web服务器。当用户需要用浏览器的SSL与安全代理进行连接