【正文】 XX城市智慧醫(yī)療建設(shè)方案二〇一六年四月 XX市城市智慧醫(yī)療總體建設(shè)方案 總體架構(gòu)智慧醫(yī)療平臺(tái)按私有云的模式建設(shè)，內(nèi)容主要包括：基礎(chǔ)設(shè)施即服務(wù)(IaaS)、數(shù)據(jù)存儲(chǔ)即服務(wù)(DaaS)、平臺(tái)即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)、“云安全”和虛擬化應(yīng)用等五個(gè)層次的內(nèi)容，還包括貫穿五個(gè)層次的標(biāo)準(zhǔn)規(guī)范體系、運(yùn)行維護(hù)體系和安全保障體系三大體系，區(qū)域衛(wèi)生信息平臺(tái)總體架構(gòu)圖：基礎(chǔ)設(shè)施層：包括基礎(chǔ)軟件環(huán)境、硬件環(huán)境以及網(wǎng)絡(luò)環(huán)境等。基層醫(yī)療機(jī)構(gòu)系統(tǒng)建設(shè)所需的應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器和存儲(chǔ)設(shè)備以及平臺(tái)軟件系統(tǒng)都將基于市級(jí)云平臺(tái)運(yùn)行。數(shù)據(jù)資源層：包括本系統(tǒng)運(yùn)行所需的基礎(chǔ)庫(kù)和業(yè)務(wù)庫(kù)，并實(shí)現(xiàn)與市級(jí)數(shù)據(jù)交換管理系統(tǒng)數(shù)據(jù)的統(tǒng)一。服務(wù)支撐層：是基層醫(yī)療機(jī)構(gòu)管理信息系統(tǒng)的重要組成部分，負(fù)責(zé)為應(yīng)用系統(tǒng)提供底層的服務(wù)支撐以及技術(shù)支撐，主要利用市級(jí)數(shù)據(jù)交換管理系統(tǒng)提供的資源和支撐服務(wù)。應(yīng)用層：在統(tǒng)一的系統(tǒng)框架之上，根據(jù)實(shí)際需求，針對(duì)不同的應(yīng)用層面和場(chǎng)合進(jìn)行定制，形成不同的模塊或系統(tǒng)。主要包括基本醫(yī)療、公共衛(wèi)生、遠(yuǎn)程醫(yī)療、運(yùn)營(yíng)管理、業(yè)務(wù)監(jiān)管。具體功能架構(gòu)如下圖：醫(yī)療機(jī)構(gòu)信息系統(tǒng)層是醫(yī)療衛(wèi)生文檔交換和共享的主要信息源。醫(yī)療機(jī)構(gòu)的信息化建設(shè)包括三部分內(nèi)容：數(shù)字化醫(yī)院建設(shè)、基層醫(yī)療機(jī)構(gòu)醫(yī)療衛(wèi)生信息系統(tǒng)和公共衛(wèi)生機(jī)構(gòu)信息系統(tǒng)。區(qū)域醫(yī)療衛(wèi)生信息共享平臺(tái)是整個(gè)系統(tǒng)的核心。它的主要功能包括完成區(qū)域內(nèi)各級(jí)各種醫(yī)療衛(wèi)生信息的采集、傳輸、存儲(chǔ)、共享，并提供各種服務(wù)接口。按照功能又可劃分為兩層：健康信息交換層（HIE）和健康信息管理層（HIM）。HIE層主要負(fù)責(zé)區(qū)域間各系統(tǒng)之間的信息傳輸、交換和文檔存儲(chǔ)，HIM層主要負(fù)責(zé)對(duì)健康檔案信息的提取、轉(zhuǎn)換、存儲(chǔ)、分析，并提供基于健康檔案信息的各種服務(wù)。健康保障應(yīng)用系統(tǒng)包括門(mén)戶系統(tǒng)、健康保障服務(wù)平臺(tái)和遠(yuǎn)程醫(yī)療服務(wù)、醫(yī)療衛(wèi)生管理系統(tǒng)等。為居民、醫(yī)護(hù)人員提供直接的信息訪問(wèn)通道，為醫(yī)療衛(wèi)生管理機(jī)構(gòu)提供數(shù)據(jù)支持和決策依據(jù)。為XX市建立一個(gè)醫(yī)療衛(wèi)生數(shù)據(jù)中心，實(shí)現(xiàn)個(gè)人健康檔案數(shù)據(jù)和檢查檢驗(yàn)、影像數(shù)據(jù)的集中存儲(chǔ)，有利于信息的共享和分析。系統(tǒng)支持對(duì)數(shù)據(jù)倉(cāng)庫(kù)的擴(kuò)展，用來(lái)支持對(duì)海量數(shù)據(jù)的數(shù)據(jù)挖掘和統(tǒng)計(jì)分析服務(wù)。 信息標(biāo)準(zhǔn)規(guī)范體系建設(shè)遵照國(guó)家相關(guān)標(biāo)準(zhǔn)，以及衛(wèi)生部關(guān)于醫(yī)療信息化建設(shè)的具體指導(dǎo)方案和意見(jiàn)，建立區(qū)域內(nèi)衛(wèi)生信息化標(biāo)準(zhǔn)規(guī)范體系，包括應(yīng)用的統(tǒng)一標(biāo)準(zhǔn)數(shù)據(jù)元庫(kù)，標(biāo)準(zhǔn)的衛(wèi)生數(shù)據(jù)字典庫(kù)（包括代碼的新增、審批、發(fā)布、修改的管理）等。國(guó)家衛(wèi)生信息標(biāo)準(zhǔn)體系基本框架標(biāo)準(zhǔn)規(guī)范體系建立的原則信息標(biāo)準(zhǔn)規(guī)范體系包括數(shù)據(jù)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)范（1）有國(guó)家（行業(yè)）標(biāo)準(zhǔn)的優(yōu)先遵循國(guó)家（行業(yè)）標(biāo)準(zhǔn)。（2）即將形成國(guó)家（行業(yè)）標(biāo)準(zhǔn)的，爭(zhēng)取在標(biāo)準(zhǔn)基本成熟時(shí)，將該標(biāo)準(zhǔn)率先引入試用。（3）無(wú)國(guó)家（行業(yè)）標(biāo)準(zhǔn)的，等效采用或約束使用國(guó)際標(biāo)準(zhǔn)。（4）無(wú)參照標(biāo)準(zhǔn)，按標(biāo)準(zhǔn)制定規(guī)范，自行研制。（5）在編寫(xiě)衛(wèi)生信息交換標(biāo)準(zhǔn)時(shí)需特別考慮到未來(lái)的發(fā)展和變化。信息標(biāo)準(zhǔn)規(guī)范體系設(shè)計(jì)內(nèi)容（1）按照XX市衛(wèi)生信息化總體規(guī)劃框架，以衛(wèi)生部信息標(biāo)準(zhǔn)框架體系為基礎(chǔ)，提出XX市區(qū)域信息系統(tǒng)標(biāo)準(zhǔn)規(guī)范體系總體框架與建設(shè)內(nèi)容的邏輯關(guān)系。（2）數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范設(shè)計(jì)，根據(jù)衛(wèi)生部標(biāo)準(zhǔn)中的公共數(shù)據(jù)元標(biāo)準(zhǔn)、公共代碼標(biāo)準(zhǔn)、公共數(shù)據(jù)存取規(guī)范、數(shù)據(jù)交換規(guī)范等，結(jié)合實(shí)際建立既符合衛(wèi)生部標(biāo)準(zhǔn)，又滿足區(qū)域信息化系統(tǒng)要求的數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范。（3）技術(shù)標(biāo)準(zhǔn)規(guī)范的設(shè)計(jì)，通過(guò)技術(shù)標(biāo)準(zhǔn)規(guī)定的制定，支持區(qū)域內(nèi)各系統(tǒng)和區(qū)域衛(wèi)生信息平臺(tái)之間數(shù)據(jù)級(jí)和應(yīng)用級(jí)整合，并提高業(yè)務(wù)系統(tǒng)之間的應(yīng)用集成，互聯(lián)互通能力。（4）管理標(biāo)準(zhǔn)規(guī)范：包括標(biāo)準(zhǔn)管理，安全管理，數(shù)據(jù)管理，項(xiàng)目管理，用于指導(dǎo)數(shù)據(jù)中心日常運(yùn)行管理，數(shù)據(jù)維護(hù)管理。（5）應(yīng)遵循的標(biāo)準(zhǔn)規(guī)范衛(wèi)生信息數(shù)據(jù)元標(biāo)準(zhǔn)化規(guī)則 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)模式描述指南 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)集元數(shù)據(jù)規(guī)范 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)集分類與編碼 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)建設(shè)指南（試行） 衛(wèi)生部基于電子病歷的醫(yī)院信息平臺(tái)建設(shè)技術(shù)解決方案 衛(wèi)生部電子病歷基本數(shù)據(jù)集編制規(guī)范 衛(wèi)生部健康檔案基本數(shù)據(jù)集編制規(guī)范（試行） 衛(wèi)生部健康檔案公用數(shù)據(jù)元標(biāo)準(zhǔn)（試行） 衛(wèi)生部健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)（試行） 衛(wèi)生部健康檔案基本數(shù)據(jù)集標(biāo)準(zhǔn)（試行） 衛(wèi)生部電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn) 衛(wèi)生部電子病歷基本內(nèi)容架構(gòu)圖 衛(wèi)生部電子病歷數(shù)據(jù)組與數(shù)據(jù)元 衛(wèi)生部電子病歷基礎(chǔ)模板 衛(wèi)生部國(guó)家衛(wèi)生數(shù)據(jù)字典與元數(shù)據(jù)管理 衛(wèi)生部婦幼保健信息系統(tǒng)基本功能規(guī)范 衛(wèi)生部社區(qū)衛(wèi)生信息系統(tǒng)基本功能規(guī)范 衛(wèi)生部新型農(nóng)村合作醫(yī)療信息系統(tǒng)基本規(guī)范（2008年修訂版） 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)建設(shè)技術(shù)解決方案 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)的婦幼保健信息系統(tǒng)技術(shù)解決方案 衛(wèi)生部綜合衛(wèi)生管理信息平臺(tái)建設(shè)指南 衛(wèi)生部衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書(shū)應(yīng)用集成規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書(shū)格式規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書(shū)介質(zhì)技術(shù)規(guī)定 衛(wèi)生部國(guó)家基本公共衛(wèi)生服務(wù)規(guī)范（2009年版） 衛(wèi)生部健康檔案基本衛(wèi)生服務(wù)記錄表單參考用表 衛(wèi)生部112個(gè)病種臨床路徑 衛(wèi)生部湖北省預(yù)防接種工作規(guī)范國(guó)際疾病分類—ICD國(guó)際社區(qū)醫(yī)療分類—ICPC醫(yī)學(xué)術(shù)語(yǔ)標(biāo)準(zhǔn)衛(wèi)生標(biāo)準(zhǔn)七組織—HLT醫(yī)學(xué)數(shù)字成像和通信標(biāo)準(zhǔn)—IT信息系統(tǒng)通用標(biāo)準(zhǔn)中國(guó)公共衛(wèi)生信息分類和基本數(shù)據(jù)集（）中國(guó)疾病預(yù)防控制中心全國(guó)醫(yī)療服務(wù)價(jià)格項(xiàng)目規(guī)范藥品命名與編碼衛(wèi)生機(jī)構(gòu)分類與代碼中醫(yī)證候詞匯表醫(yī)療設(shè)備與器械分類代碼中國(guó)醫(yī)院信息基本數(shù)據(jù)集標(biāo)準(zhǔn)（）社區(qū)衛(wèi)生信息基本數(shù)據(jù)庫(kù)婦幼保健信息系統(tǒng)基本數(shù)據(jù)庫(kù)個(gè)人信息基本數(shù)據(jù)集標(biāo)準(zhǔn)（試行） 區(qū)域衛(wèi)計(jì)局專網(wǎng)建設(shè) 網(wǎng)絡(luò)建設(shè)原則衛(wèi)計(jì)局VPN專用網(wǎng)絡(luò)包括了衛(wèi)生局系統(tǒng)居民健康檔案的收集和更新，醫(yī)院信息系統(tǒng)的操作和應(yīng)用等大量的業(yè)務(wù)，它必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性、高安全性的系統(tǒng)，因此，在網(wǎng)絡(luò)設(shè)計(jì)建設(shè)中，應(yīng)堅(jiān)持以下原則：標(biāo)準(zhǔn)開(kāi)放性：支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、行業(yè)或企業(yè)網(wǎng)絡(luò))之間的平滑連接互通，以便于將來(lái)網(wǎng)絡(luò)的擴(kuò)展。技術(shù)先進(jìn)性和實(shí)用性：在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到衛(wèi)生醫(yī)療網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)的發(fā)展趨勢(shì)。高性能：骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的高質(zhì)量傳輸，使網(wǎng)絡(luò)運(yùn)行不存在瓶頸。高可靠性與安全性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)選用具有高可靠性的網(wǎng)絡(luò)設(shè)備，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持湞江市衛(wèi)生局醫(yī)療信息化網(wǎng)絡(luò)各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時(shí)，通過(guò)VPN、信息加密等技術(shù)，制訂統(tǒng)一的全網(wǎng)安全策略?？蓴U(kuò)展性：根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)容和升級(jí)，并在擴(kuò)容和升級(jí)過(guò)程中最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。可管理性：可利用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。經(jīng)濟(jì)性：充分利用現(xiàn)有的資源，保護(hù)已有投資。選擇性價(jià)比高的設(shè)備。 組網(wǎng)方案根據(jù)組網(wǎng)需求分析，采用如下方案進(jìn)行建設(shè)：整個(gè)網(wǎng)絡(luò)分為核心層、匯聚層和接入層三個(gè)部分。核心層為市衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心機(jī)房，匯聚層為區(qū)縣衛(wèi)計(jì)局信息中心機(jī)房，接入層為接入衛(wèi)生醫(yī)療單位。接入衛(wèi)生醫(yī)療單位作為衛(wèi)計(jì)系統(tǒng)VPN專網(wǎng)的接入點(diǎn)，通過(guò)10M/100M/1000M光纖就近接入運(yùn)營(yíng)商機(jī)房，經(jīng)運(yùn)營(yíng)商光纖城域網(wǎng)匯聚后接入?yún)^(qū)縣衛(wèi)計(jì)局信息中心或直接接入市衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心機(jī)房。網(wǎng)絡(luò)平臺(tái)是區(qū)域衛(wèi)生信息平臺(tái)的基礎(chǔ)設(shè)施。以衛(wèi)生行政部門(mén)為中心，區(qū)域內(nèi)的醫(yī)療衛(wèi)生機(jī)構(gòu)通過(guò)與中心節(jié)點(diǎn)的連接，實(shí)現(xiàn)互聯(lián)互通。接入方式選擇：l 專線接入；l Internet經(jīng)VPN接入；接入帶寬推薦：l 社區(qū)服務(wù)站、衛(wèi)生院等接入帶寬 ≥ 10Mbpsl 社區(qū)服務(wù)中心、縣醫(yī)院等接入帶寬 ≥ 50Mbpsl 二、三級(jí)醫(yī)院接入帶寬 ≥ 100Mbpsl 衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心接入帶寬 ≥ 1000Mbps信息系統(tǒng)網(wǎng)絡(luò)層安全的設(shè)計(jì)和建設(shè)采用硬件保護(hù)與軟件保護(hù)、靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級(jí)防護(hù)的總體策略。根據(jù)應(yīng)用系統(tǒng)目的和安全需求，網(wǎng)絡(luò)系統(tǒng)主要?jiǎng)澐譃閮纱蟀踩?，即?shù)據(jù)中心區(qū)域和公眾服務(wù)區(qū)域。居民健康數(shù)據(jù)中心依托公衛(wèi)網(wǎng)橫向接入個(gè)醫(yī)療衛(wèi)生機(jī)構(gòu)。公眾服務(wù)區(qū)依托政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口，主要放置居民健康信息查詢服務(wù)器，對(duì)互聯(lián)網(wǎng)公眾開(kāi)放。建設(shè)的內(nèi)容主要包含六大部分：（1）防火墻本項(xiàng)目工程要建設(shè)的防火墻有兩臺(tái)，一臺(tái)用于公眾服務(wù)區(qū)互聯(lián)網(wǎng)出口，另一臺(tái)用于數(shù)據(jù)中心區(qū)域接入政務(wù)外網(wǎng)。通過(guò)在公眾服務(wù)區(qū)互聯(lián)網(wǎng)邊界部署防火墻可以實(shí)現(xiàn)非授權(quán)訪問(wèn)及越權(quán)訪問(wèn)，同時(shí)，將居民健康信息系統(tǒng)公眾平臺(tái)放置于防火墻DMZ區(qū)，這樣可對(duì)進(jìn)出DMZ區(qū)有數(shù)據(jù)流進(jìn)行訪問(wèn)控制，例如實(shí)現(xiàn)只允許來(lái)自Internet的用戶可以訪問(wèn)DMZ區(qū)的居民健康信息系統(tǒng)，而不允許此處的服務(wù)器訪問(wèn)外網(wǎng)；在政務(wù)外網(wǎng)邊界同樣部署一臺(tái)防火墻，此處的防火墻主要用于阻擋了對(duì)內(nèi)（數(shù)據(jù)中心區(qū)）、對(duì)外(政務(wù)外網(wǎng))的非法訪問(wèn)和不安全數(shù)據(jù)的傳遞，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性，同時(shí)，開(kāi)戶防火墻日志審計(jì)功能，留存60天的網(wǎng)絡(luò)訪問(wèn)日志。（2）網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)通過(guò)部署網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)使衛(wèi)生局信息網(wǎng)絡(luò)劃分為數(shù)據(jù)中心區(qū)及公眾服務(wù)區(qū)兩個(gè)不同安全域，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)居民健康信息系統(tǒng)數(shù)據(jù)在內(nèi)外網(wǎng)之間交換，解決內(nèi)外網(wǎng)物理隔離后數(shù)據(jù)安全傳遞的問(wèn)題，以滿足開(kāi)放公眾平臺(tái)的需要。（3）入侵防御(IPS)作為政務(wù)外網(wǎng)防火墻的補(bǔ)充，部署于防火墻之后，通過(guò)部署IPS可以實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，入侵防御系統(tǒng)是一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)受到危害之前攔截和響應(yīng)入侵。通過(guò)部署入侵防御系統(tǒng)可以實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在數(shù)據(jù)中心網(wǎng)絡(luò)之外，保護(hù)內(nèi)網(wǎng)區(qū)域的核心信息資產(chǎn)安全。（4）數(shù)據(jù)庫(kù)審計(jì)考慮到居民健康系統(tǒng)及網(wǎng)絡(luò)安全的重要性，在衛(wèi)生局核心網(wǎng)絡(luò)中安裝數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，部署在居民健康信息系統(tǒng)上的交換機(jī)，安全審計(jì)系統(tǒng)基于網(wǎng)絡(luò)旁路，對(duì)業(yè)務(wù)系統(tǒng)不會(huì)造成任何危害，部署安全審計(jì)系統(tǒng)后，可以能夠記錄內(nèi)部人員、第三方業(yè)務(wù)系統(tǒng)開(kāi)發(fā)商、維護(hù)人員或不法分子通過(guò)后臺(tái)工具直接登錄數(shù)據(jù)庫(kù)的操作行為，并完整全面的監(jiān)控和記錄登錄數(shù)據(jù)庫(kù)用戶、源地址、所使用的程序和操作內(nèi)容等行為及所有的SQL語(yǔ)句，同時(shí)，對(duì)審計(jì)記錄結(jié)果可以進(jìn)行長(zhǎng)期保存，并可以回朔，按需審計(jì)；還能夠?qū)ξｋU(xiǎn)行為如：刪除表操作及各種針對(duì)數(shù)據(jù)庫(kù)的攻擊行為進(jìn)行報(bào)警，通過(guò)長(zhǎng)期的訪問(wèn)記錄，可以生成報(bào)告以對(duì)數(shù)據(jù)庫(kù)訪問(wèn)進(jìn)行統(tǒng)計(jì)和分析，從而對(duì)數(shù)據(jù)庫(kù)性能改進(jìn)提供參考依據(jù)。（5）抗拒絕服務(wù)系統(tǒng)抗拒絕服務(wù)系統(tǒng)對(duì)SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，F(xiàn)ragment Flood，HTTPProxy Flood，CC Proxy Flood，Connection Exhausted等各種常見(jiàn)的攻擊行為均可有效識(shí)別，并通過(guò)集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對(duì)此兩種應(yīng)用的DOS攻擊方式。信息系統(tǒng)數(shù)據(jù)中心基本安全建設(shè)拓?fù)鋱D如下：信息系統(tǒng)數(shù)據(jù)中心基本安全網(wǎng)絡(luò)拓?fù)鋱D如下： VLAN規(guī)劃及ACL策略 利用VLAN技術(shù)，可以實(shí)現(xiàn)各接入節(jié)點(diǎn)之間的邏輯隔離，杜絕廣播風(fēng)暴的發(fā)生；通過(guò)在核心交換機(jī)的路由模塊上使用訪問(wèn)控制列表ACL，定制訪問(wèn)控制策略，可以精確地實(shí)現(xiàn)各VLAN之間的受控互訪，還可以控制各VLAN用戶訪問(wèn)信息中心的行為，保證敏感信息只允許授權(quán)用戶的訪問(wèn)。在使用ACL時(shí)，一般采用通過(guò)信息中心核心交換機(jī)上定制的ACL進(jìn)行邏輯判斷，各單位之間一般不能直接互訪，要互訪必須通過(guò)核心交換機(jī)進(jìn)行控制。VLAN規(guī)劃策略：每個(gè)接入單位設(shè)置一個(gè)完全獨(dú)立的VLAN；信息中心服務(wù)器群?jiǎn)为?dú)設(shè)置一個(gè)完全獨(dú)立的VLAN；信息中心內(nèi)網(wǎng)管單獨(dú)設(shè)置一個(gè)完全獨(dú)立的VLAN；各個(gè)接入單位之間原則上相互隔離，可以根據(jù)實(shí)際情況允許部分單位互訪；各個(gè)接入單位只能訪問(wèn)服務(wù)器群VLAN，不能訪問(wèn)網(wǎng)管VLAN；網(wǎng)管VLAN可以訪問(wèn)其他所有VLAN用戶。 IP地址分配原則IP地址規(guī)劃應(yīng)該包括兩部分，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是Internent上的公有地址。內(nèi)部IP地址應(yīng)該本著易管理、易分配、易理解等原則來(lái)進(jìn)行分配，由于規(guī)劃的是內(nèi)部地址，所以應(yīng)該使用私有地址去規(guī)劃。IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對(duì)于本期IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配將通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，這里主要描述IP地址分配的原則。主要的原則描述為：IP地址分配要盡量給每個(gè)部門(mén)分配連續(xù)的IP地址空間；在每個(gè)部門(mén)，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；IP地址的規(guī)劃與劃分應(yīng)該考慮到各系的發(fā)展，能夠滿足未來(lái)發(fā)展的需要；即要滿足本期工程對(duì)IP地址的需求，同時(shí)要充分考慮未來(lái)業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須