巴东区疾病预防控制中心信息化建设解决方案欣驰文化传媒有限公司2017年3月目录一、引言 (2)二、整体解决方案 (2)2.1系统设计的目的 (2)2.2系统设计原则 (3)2.3网络结构图 (3)2.4中心平台 (4)2.5疾控行业信息集成平台 (9)2.6实验室信息管理系统 (10)2.7从业人员健康体检系统 (13)2.8职业卫生信息管理系统 (16)2.9突发公共卫生事件管理系统 (18)2.10综合收费管理系统 (19)2.11办公自动化系统 (19)2.12门户网站 (21)2.13结核病诊疗管理系统 (22)2.14绩效考核系统 (22)2.15免疫规划管理系统 (23)一、引言巴东区疾病预防控制中心承担着巴东区公共卫生领域许多具体业务管理工作,将依据有关卫生法律、法规,在公共卫生、医疗保健等领域,开展全区急慢性传染病防治、计划免疫、卫生监测、卫生检验、健康教育、预防保健、突发公共卫生事件应急处理及后勤保证等工作。
疾病预防控制中心在信息化过程当中,通常在不同时期、不同阶段,由国家、省、市各上级主管部门提供不同软件供应商的各种业务管理系统,从而在信息化后期容易导致单位内部一个个信息孤岛。
巴东疾控中心在内部管理信息化方面,还是一块空白,关联的管理信息无法获取,无法在管理层面进行全局的数据分析和利用。
为此,本期建设将提供以业务为基础、以数据为中心、全面数据集成;统一规划、统一管理、统一平台;二、整体解决方案整体解决方案主要以门户网站、协同办公系统为信息资源内外整合平台,实现实验室信息管理系统、健康体检系统、突发公共卫生事件管理系统、综合收费管理系统、办公自动化系统,通过打通各个核心业务管理系统的边界,整合各种系统资源,实现信息资源的授权共享,并在此基础上有效利用现有数据,重视数据分析和挖掘,为疾控管理工作提供有效地决策支持。
2.1系统设计的目的(1)以门户网站为前台,协同办公自动化系统为资源整合中心,关联各个核心业务子系统,实现统一的身份认证和授权,实现前台资源共享和无缝连接,实现疾控中心业务数据的统一展示。
(2)共享的基础数据中心:建立统一用户管理的登陆帐号信息,实现一次登陆,即可授权操作各个业务系统。
(3)统一的收费管理,将中心各项主要收费集中管理,即建立统一的收费机制,避免收费部门登陆多个业务系统进行收费操作的不便,同时利用于各类收费的查询分析和汇总统计。
(4)关联业务管理系统的综合分析模型,在业务层面、管理层面建立关联,实现全局信息化共享和管理。
(5)领导查询中心:中心领导授权查询各个业务子系统业务数据、各个科室工作量情况、单位各种收费情况等,实现单点登陆,掌控全局。
2.2系统设计原则(1)规范与易用性:业务流程规范、统一,操作界面图形化,操作方法简单、方便。
(2)安全与可靠性:在系统架构设计、系统实施过程中充分考虑系统的可靠性,建立完善的后援支持措施,灾难恢复措施,使系统具有良好的容错性能,并选用业界成熟的、广泛采纳的软件技术,确保系统可靠运转;同时系统满足身份真实性、数据完整性、数据机密性等方面的需求。
(3)先进与可扩展性:系统能够应对业务变化,确保即使工作流程、工作内容等发生了变法,系统仍难可用或可以在简单改造的简单的基础上继续使用。
2.3网络结构图电信网络卫生…卫生院…社区服…备份 数据机房 VPN 网关社区服务站 … 网络存储系统巴东疾控中心网民 出差人员VPN 接入2.4中心平台2.4.1中心平台中心平台主要由服务器、安全防火墙等设备组成。
为减少一次性投资成本,建设较为健全的中心平台,满足各业务系统的使用需求,中心平台采用租赁模式,疾控中心按三年付月使用费。
另外,鉴于疾控中心目前没有机房用于安放中心硬件,并没有配备相关的技术人员负责维护系统平台,因此,整个平台将托管于机房,由欣驰专业人员负责整个平台的日常运行维护工作。
1.应用服务器:两台服务器主要作为内部办公系统的运行环境,承担着实验室信息系统、健康体检系统(从业人员体检+职业健康体检)、综合收费系统、办公自动化、突发公共卫生事件管理系统的运行。
为保证数据安全,服务器存储采用RAID5技术,实现数据的冗余备份。
2.防火墙:主要用于内部办公系统的数据安全、网络安全管理。
2.4.3疾控中心内部网络管理本次疾控中心的整体信息化建设过程当中,系统的使用深入到每个科室的办公人员,为了确保工作人员在日常办公过程当中可以利用互联网资源提供工作效率,保证本次建设的数据安全、系统运行稳定,在访问系统服务器的时候速度不受影响,建议在疾控中心内部网络加载上网行为管理。
上网行为管理产品基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”。
为了实现真正安全的网络环境,企业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理。
2.4.4设备介绍2.4.4.1服务器HP DL388G72.4.4.2 绿盟防火墙SG-1210随着网络环境日益复杂,多种应用的业务系统日趋普及,传统的防火墙已经难以满足用户复杂业务的防护需要;网络攻击和蠕虫的泛滥和多变性,更对传统安全网关提出的很大的挑战。
这些问题一方面要求安全网关从传统4层防护到7层防护的转变,另一方面,也需要将原有功能单一的安全产品进行整合,形成具有一体化综合防护能力的网关产品。
在这个背景下,绿盟科技推出了具有自主知识产权的“冰之眼安全网关(ICEYE SG)”USG系列产品,冰之眼安全网关分为分为UB(basic)基本型和UE(enhanced)增强型,包括从百兆低端到千兆高端等多个型号,适用于政府、军队、电信、能源、金融、教育、大中小型企业等各种不同用户。
冰之眼安全网关采用先进的多核CPU和ASIC转发芯片,其构建的专用硬件平台既满足了传统网关产品对转发性能的需要,又很好解决了传统安全网关应用层计算能力不足的问题;同时冰之眼安全网关采用了绿盟独有的“智能协议识别”技术——NIPR (Nsfocus Intelligent Protocol Recognition),对各种应用协议、攻击进行准确解析判断;冰之眼安全网关内部更可以集成IPSEC VPN、SSL VPN、抗DDOS、IPS、防病毒、防垃圾邮件、带宽管理、内容过滤、上网行为控制等多种功能模块,满足用户多重防护需要,从而真正实现了对用户业务的立体全方位防护。
功能类别子功能特性要求防火墙状态检测采用基于内容状态检测的过滤技术访问控制提供基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的精细粒度的安全访问控制工作模式支持路由、透明、混合模式支持协议NAT 支持基于策略的双向NAT、动态/静态NAT、端口PATIDS联动支持业内标准IDS联动协议路由协议支持静态路由支持OSPF等动态路由协议支持基于源/目的地址、接口的、基于服务的策略路由支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能DHCP 支持DHCP Client、DHCP Server、DHCP RelayDNS 支持DNS Client、DNS serverVLAN支持Vlan Trunk,支持802.1Q,能进行封装和解封,可在同一个Vlan内能进行二层交换SNTP 支持网络时钟协议SNTP,可以自动根据NTP服务器的时钟调整设备时间防病毒支持协议支持HTTP、、SMTP、IMAP、IM协议的病毒查杀病毒类型支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀查杀类型支持邮件正文/附件、网页及下载文件中包含的病毒查杀,支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀,支持TAR等多种打包文件的病毒查杀病毒库升级支持对病毒库的定期升级入侵防护核心技术采用智能协议识别技术(NIPR)攻击防护针对各种攻击,如远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门等监控攻击库升级支持对应用协议特征库、协议行为特征库、攻击规则库的定期升级抗网络层防护提供对Syn Flood、Icmp Flood、Udp Flood等流量型DDoS防御能力管理于内容、面向对象的流量管理支持VPN 隧道内的QOS支持最小保证带宽和最大限制带宽,支持优先级别网关准入实现方式支持与内网安全管理系统联动,可实现没有安装矩阵客户端软件的pc机不允许访问外网资源网络拓扑以太网接入支持以太网接入多链路防护支持多出口接入防护IP绑定支持IP/MAC绑定高可用性HA支持会话同步、配置同步,支持HA流量加密支持Active-Active与Active-Standby两种模式用户认证认证方式支持本地账户数据库及RADIUS认证支持使用OTP一次性口令认证设备管理管理途径Windows控制台管理、Web管理、串口管理、SSH管理管理方式集中管理、主辅管理、分级管理实时监视安全事件、网络流量、网络状态、设备状态部署方式支持串联部署、端口旁路监听部署方式统计分析提供不同分类的Top-N排名规则升级支持规则的在线升级和离线升级、自动升级和手动升级用户管理支持设备管理账户分级分权,支持操作审计响应方式发送邮件、用户自定义动作、snmp trap、与其他产品联动(IDS)扩展能力支持扩展多种软硬件模块,如扩展IPS、IPSEC VPN、SSL VPN等功能日志报表提供日志存储、事件检索、统计报表功能2.4.4.3 e网安™上网行为管理+防火墙+路由器SOA1000-A0508中国电信e网安SOA100-A0508综合防火墙是福富软件公司推出的一款专业的上网行为管理产品,是面向企业用户的软硬件一体化的控制管理网关。
它提供强大的网页过滤功能,屏蔽员工对非法网站的访问;提供基于时间、用户、应用的精细管理控制策略,控制员工无节制地网络聊天,从而保障工作效率;提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免企业机密信息泄露;此外,还提供应用层的带宽管理功能,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。
●网页过滤:最领先的中文URL分类数据库;灵活的Web策略设置;Web访问违禁提示;●应用控制: 基于特征识别的覆盖全面的应用协议数据库; 灵活精细的管控策略●带宽管理: 识别控制P2P软件和加密P2P数据; 针对用户/应用设置带宽;基于时间段流量控制●内容审计: 邮件收发审计; IM审计; 论坛发帖;基于时间和用户对象审计外发信息;●实时监控:●查询统计与报表分析: 详细的日志查询; 丰富的统计报告●日志管理: 完整的日志记录与导出备份; 日志中心●集中管理: 设备管理; 策略制定与下发;设备日志查询;报告分析●用户管理:丰富的用户认证方式;支持混合认证;支持认证账号唯一性控制;支持认证账号黑名单;支持第三方认证信息联动接口;支持免监控用户;按照企业组织结构建立用户组;IP网段自动分组;登录重定向●设备自身安全:专用的安全的软、硬件系统;软硬件旁路功能避免出现单点故障; 支持系统热备,实现无硬盘依赖; 控制内网病毒攻击导致的异常流量2.5疾控行业信息集成平台疾控行业信息集成平台在全面梳理、重整疾控中心核心业务流程基础上,构建了统一的身份认证和授权访问机制,依托自主研发的数据分析和挖掘模型,打破各个核心业务管理系统的边界,整合各种内外部信息资源,实现信息资源的授权共享,同时高度重视数据分析和挖掘利用,实现疾控中心信息化的整体有序共享。