【正文】 我公司把ISO 9001質(zhì)量體系認(rèn)證作為加強(qiáng)質(zhì)量管理、提高企業(yè)品牌的重要手段。本項(xiàng)目管理方法包括：2 .項(xiàng)目范圍管理3 .項(xiàng)目時(shí)間管理6 項(xiàng)目北醫(yī)管理7. 項(xiàng)目溝通管理8. 項(xiàng)目風(fēng)險(xiǎn)管理9. 項(xiàng)目采購(gòu)管理 項(xiàng)目質(zhì)量管理為了配合項(xiàng)目的順利完成，集成商采用ISO9001質(zhì)量保證體系，來(lái)保證項(xiàng)目的成功實(shí)施： 質(zhì)量保證總則根據(jù)項(xiàng)目啟動(dòng)時(shí)所具備的資源和系統(tǒng)環(huán)境等約束條件，我們將與用戶(hù)一道努力，按照ISO9001質(zhì)量體系要求，通過(guò)質(zhì)量管理協(xié)調(diào)各種因素在系統(tǒng)實(shí)施過(guò)程中的作用，有效的利用資源，完成預(yù)定系統(tǒng)的實(shí)施任務(wù)。 項(xiàng)目管理方法項(xiàng)目管理方面，我們采用經(jīng)歷過(guò)眾多大型項(xiàng)目考驗(yàn)、完善的、符合ISO 9000標(biāo)準(zhǔn)的規(guī)范化項(xiàng)目管理體系，對(duì)項(xiàng)目運(yùn)作和實(shí)施進(jìn)行一體化管理。用戶(hù)的參與和配合可以使工程實(shí)施更加高效。用戶(hù)參與對(duì)項(xiàng)目實(shí)施有十分重要的意義：用戶(hù)參與制定的實(shí)施計(jì)劃是真正切實(shí)可行的計(jì)劃，因?yàn)橹挥杏脩?hù)最了解自己的現(xiàn)有環(huán)境和各種制約因素。 提倡用戶(hù)參與項(xiàng)目實(shí)施項(xiàng)目實(shí)施過(guò)程中用戶(hù)的參與程度也是項(xiàng)目成敗的重要因素。項(xiàng)目經(jīng)理負(fù)責(zé)整個(gè)項(xiàng)目實(shí)施的全過(guò)程，責(zé)任明確，任務(wù)清晰。本項(xiàng)目規(guī)模大、工期緊、技術(shù)難度大，因此項(xiàng)目經(jīng)理負(fù)責(zé)制就更為重要，建立項(xiàng)目經(jīng)理負(fù)責(zé)制有以下幾方面的好處：項(xiàng)目經(jīng)理可以從全局出發(fā)考慮、規(guī)劃、協(xié)調(diào)、監(jiān)控整個(gè)項(xiàng)目的實(shí)施過(guò)程，可以規(guī)范、統(tǒng)一項(xiàng)目實(shí)施過(guò)程，最大限度地避免因?yàn)轫?xiàng)目各環(huán)節(jié)的具體實(shí)施人員不了解項(xiàng)目整體情況而導(dǎo)致的脫節(jié)和沖突。項(xiàng)目經(jīng)理的作用是：負(fù)責(zé)整個(gè)項(xiàng)目實(shí)施的技術(shù)、實(shí)施管理。另外，項(xiàng)目中的所有技術(shù)文檔和實(shí)施文檔都會(huì)在公司技術(shù)響應(yīng)中心的數(shù)據(jù)庫(kù)存檔，以便于管理和查詢(xún)。工程師在實(shí)施現(xiàn)場(chǎng)嚴(yán)格按照實(shí)施規(guī)范進(jìn)行現(xiàn)場(chǎng)安裝，及時(shí)匯報(bào)實(shí)施結(jié)果。所有的計(jì)劃和規(guī)范都應(yīng)經(jīng)過(guò)用戶(hù)的確認(rèn)，確保計(jì)劃的有效性。具體而言，我們將從以下幾方面努力以保證工程實(shí)施的質(zhì)量：把要做的事寫(xiě)下來(lái)在實(shí)施開(kāi)始之前，充分考慮各種相關(guān)因素，制定切實(shí)可行的項(xiàng)目實(shí)施計(jì)劃和質(zhì)量保證計(jì)劃，包括以下幾方面的內(nèi)容：工作任務(wù)分解組織結(jié)構(gòu)和北醫(yī)計(jì)劃實(shí)施進(jìn)度項(xiàng)目各階段的詳細(xì)計(jì)劃項(xiàng)目實(shí)施過(guò)程中的質(zhì)量因素風(fēng)險(xiǎn)因素及對(duì)策質(zhì)量保證措施（進(jìn)度監(jiān)控措施、質(zhì)量監(jiān)控措施等）同時(shí)，根據(jù)項(xiàng)目的實(shí)施計(jì)劃，制定工程師現(xiàn)場(chǎng)實(shí)施規(guī)范，統(tǒng)一參加項(xiàng)目工程師的現(xiàn)場(chǎng)實(shí)施活動(dòng)，使項(xiàng)目的實(shí)施規(guī)范、統(tǒng)一、高效。用友質(zhì)量管理的目的和內(nèi)容目的：滿(mǎn)足用戶(hù)要求，規(guī)范自身行為，達(dá)到供需雙方共同獲益的效果；內(nèi)容：質(zhì)量策劃——目的、范圍、做什么、何時(shí)做、誰(shuí)來(lái)做、如何做；質(zhì)量控制——監(jiān)視過(guò)程，發(fā)現(xiàn)、排除不合格；質(zhì)量保證——滿(mǎn)足質(zhì)量要求，取得需方信任；質(zhì)量改進(jìn)——完善、改進(jìn)質(zhì)量體系； 集成商質(zhì)量管理基本要求：P D C 把要做的事寫(xiě)下來(lái)（Plan——計(jì)劃）按寫(xiě)下的事做出來(lái)（Do——執(zhí)行）把做的事記下來(lái)（Check——檢查）二、項(xiàng)目的質(zhì)量管理計(jì)劃本項(xiàng)目是一個(gè)難度較大的大型系統(tǒng)集成項(xiàng)目，需要在短時(shí)間內(nèi)完成多個(gè)安裝點(diǎn)的設(shè)備安裝和系統(tǒng)集成工作，因此本項(xiàng)目的質(zhì)量管理就顯得尤為重要。適時(shí)：指按合同規(guī)定的進(jìn)度或按與用戶(hù)共同協(xié)商的時(shí)間。質(zhì)量目標(biāo)我們的質(zhì)量目標(biāo)是：確保各階段工作的有效性，把符合用戶(hù)實(shí)際需求的產(chǎn)品適時(shí)地交付用戶(hù)。優(yōu)秀的產(chǎn)品：配備高素質(zhì)的工程師，選用先進(jìn)、穩(wěn)定的開(kāi)發(fā)工具和開(kāi)發(fā)方法；開(kāi)發(fā)全過(guò)程的嚴(yán)格的質(zhì)量控制；確保產(chǎn)品功能豐富，滿(mǎn)足用戶(hù)的實(shí)際需求。用友在系統(tǒng)集成工作中一直遵循ISO9000標(biāo)準(zhǔn)，軟件開(kāi)發(fā)于1998年通過(guò)ISO9001質(zhì)量體系認(rèn)證；1999年，在系統(tǒng)集成領(lǐng)域（包括集成服務(wù)和軟件開(kāi)發(fā)）通過(guò)ISO9001質(zhì)量體系認(rèn)證。ISO9000現(xiàn)象出現(xiàn)的根本原因，是各國(guó)的采購(gòu)商和供應(yīng)商對(duì)標(biāo)準(zhǔn)的普遍認(rèn)同，并將符合ISO9000標(biāo)準(zhǔn)的要求作為貿(mào)易活動(dòng)中建立相互信任關(guān)系的基石。在我公司的項(xiàng)目管理方法中，有三點(diǎn)是至關(guān)重要的：嚴(yán)格遵循ISO9000質(zhì)量管理規(guī)范項(xiàng)目經(jīng)理負(fù)責(zé)制提倡用戶(hù)參與項(xiàng)目實(shí)施 嚴(yán)格遵循ISO9000質(zhì)量管理規(guī)范國(guó)際標(biāo)準(zhǔn)化組織ISO在1987年推出ISO9000系列標(biāo)準(zhǔn)以來(lái)，已被70多個(gè)國(guó)家采用。5 項(xiàng)目管理方案 項(xiàng)目管理根據(jù)多年的大型項(xiàng)目管理經(jīng)驗(yàn)，我們總結(jié)了一整套項(xiàng)目管理的規(guī)范和方法。需要進(jìn)行日志記錄的內(nèi)容包括：各類(lèi)操作人員的關(guān)鍵操作信息、用戶(hù)及機(jī)構(gòu)變更等與安全管理相關(guān)的信息等。日志和審計(jì)系統(tǒng)應(yīng)建立完備的系統(tǒng)日志，對(duì)各個(gè)模塊的運(yùn)行情況和用戶(hù)關(guān)鍵操作進(jìn)行跟蹤記錄。另外由于只有運(yùn)行在服務(wù)器上的代碼才可以訪問(wèn)數(shù)據(jù)庫(kù)，客戶(hù)端不能直接訪問(wèn)，這樣也保證了數(shù)據(jù)庫(kù)服務(wù)器的安全。客戶(hù)端的代碼是在運(yùn)行時(shí)動(dòng)態(tài)地下載到客戶(hù)端的，意味著不能在客戶(hù)端修改在客戶(hù)端的運(yùn)行代碼。權(quán)限劃分要合理，既要考慮不同層次的用戶(hù)對(duì)分析結(jié)果的訪問(wèn)權(quán)限，同時(shí)也要防止用戶(hù)依據(jù)合法權(quán)限得到的結(jié)果數(shù)據(jù)來(lái)推斷出其他數(shù)據(jù)的可能性。使用數(shù)字證書(shū)及HTTPS協(xié)議訪問(wèn)用戶(hù)權(quán)限控制在應(yīng)用系統(tǒng)中要進(jìn)行用戶(hù)角色和級(jí)別的定義，根據(jù)最小權(quán)限原則，分別為不同級(jí)別的不同角色設(shè)置操作權(quán)限和數(shù)據(jù)訪問(wèn)權(quán)限，從而控制合法用戶(hù)的操作權(quán)限，避免因軟件系統(tǒng)在權(quán)限控制方面的漏洞導(dǎo)致越權(quán)操作，產(chǎn)生安全問(wèn)題。每個(gè)客戶(hù)可以設(shè)定特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行數(shù)據(jù)解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開(kāi)，為一組客戶(hù)所共享，用于數(shù)據(jù)加密和驗(yàn)證簽名。數(shù)字證書(shū)是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，它提供了在Internet/Intranet上驗(yàn)證通信各方身份的方法，它是由由權(quán)威機(jī)構(gòu)－CA認(rèn)證機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行。通常采用以下方法：（1）口令機(jī)制，即通過(guò)用戶(hù)輸入口令進(jìn)行身份認(rèn)證；（2）使用數(shù)字證書(shū)來(lái)進(jìn)行用戶(hù)的身份認(rèn)證。clientAuthentication=falseserverId=user serverPassword={xor}XXXXffA==enabled=true必要時(shí)應(yīng)進(jìn)行中間件軟件安全漏洞信息跟蹤、并及時(shí)安裝安全補(bǔ)丁。群集技術(shù)服務(wù)器集群技術(shù)，由于現(xiàn)有的所有硬件系統(tǒng)不能達(dá)到100%的不間斷運(yùn)行，而單臺(tái)服務(wù)器不能做容錯(cuò)，所以不具備高的運(yùn)行安全可靠性，利用服務(wù)器集群技術(shù)，可以建立一套高可靠系統(tǒng)運(yùn)行環(huán)境。系統(tǒng)應(yīng)具有聯(lián)機(jī)備份能力。對(duì)一些特別重要的信息應(yīng)加密存儲(chǔ)。（配置步驟參考安全審計(jì)章節(jié)）數(shù)據(jù)的完整性要充分利用數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的數(shù)據(jù)完整性功能。視圖機(jī)制為不同用戶(hù)定義不同的視圖，通過(guò)視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶(hù)隱藏起來(lái)，從而自動(dòng)地對(duì)數(shù)據(jù)進(jìn)行保護(hù)。數(shù)據(jù)庫(kù)的安全性措施主要有以下幾方面：用戶(hù)標(biāo)識(shí)和鑒定通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)賬號(hào)與口令鑒定用戶(hù)的身份，這是系統(tǒng)提供的最外層安全保護(hù)措施，也是最常用的措施。 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)系統(tǒng)的安全性系統(tǒng)要采用高性能的主流數(shù)據(jù)庫(kù)產(chǎn)品，同時(shí)要注意數(shù)據(jù)庫(kù)版本的先進(jìn)性和可靠性。必要時(shí)可按登錄時(shí)間、登錄機(jī)器的IP地址、MAC地址等因素限制用戶(hù)的訪問(wèn)請(qǐng)求。加大客戶(hù)口令的復(fù)雜程度，禁止用戶(hù)不設(shè)口令或使用過(guò)于簡(jiǎn)單的口令。嚴(yán)格控制網(wǎng)絡(luò)文件系統(tǒng)（NFS）的共享資源及其存取權(quán)限，以防外來(lái)侵入。取消或減少局域網(wǎng)內(nèi)主機(jī)間的互相信任關(guān)系，以提高系統(tǒng)的安全性。要加強(qiáng)操作系統(tǒng)的備份與恢復(fù)管理，內(nèi)容包括：軟件版本信息、網(wǎng)絡(luò)配置信息、磁盤(pán)卷組信息、內(nèi)核參數(shù)的配置信息和用戶(hù)賬號(hào)信息等；要建立可引導(dǎo)的系統(tǒng)恢復(fù)介質(zhì)，確保當(dāng)主機(jī)系統(tǒng)或操作系統(tǒng)故障時(shí)系統(tǒng)能夠正確啟動(dòng)，操作系統(tǒng)平臺(tái)能夠快速恢復(fù)。 應(yīng)在公司局域網(wǎng)內(nèi)配置WSUS服務(wù)器（Windows SUS補(bǔ)丁升級(jí)服務(wù)）一臺(tái)，可自動(dòng)將微軟的最新補(bǔ)丁發(fā)送給用戶(hù)。操作系統(tǒng)的安全等級(jí)主機(jī)操作系統(tǒng)，包括WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器，均應(yīng)達(dá)到NCSC認(rèn)證的C2級(jí)安全等級(jí)。下面是Cisco的無(wú)線WPA2設(shè)置： 操作系統(tǒng)操作系統(tǒng)的安全是北醫(yī)系統(tǒng)安全和網(wǎng)絡(luò)安全的基礎(chǔ)。對(duì)線路上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密，是有效防止非法用戶(hù)搭線竊聽(tīng)的有效手段。對(duì)于進(jìn)入北醫(yī)系統(tǒng)的數(shù)據(jù)，無(wú)論是合法的，還是非法地都要通過(guò)通訊日志系統(tǒng)歸檔，真正做到“數(shù)據(jù)落地”。區(qū)域I是內(nèi)部網(wǎng)絡(luò)，主要功能是承擔(dān)北醫(yī)系統(tǒng)內(nèi)部設(shè)備之間的數(shù)據(jù)通信，并為區(qū)域E和區(qū)域D提供數(shù)據(jù)。在該區(qū)域可以部署北醫(yī)系統(tǒng)與綜合網(wǎng)其他業(yè)務(wù)系統(tǒng)連接的通訊PC服務(wù)器，該區(qū)域可以部署服務(wù)于內(nèi)部瀏覽器用戶(hù)的WEB服務(wù)器。其安全級(jí)別高于區(qū)域O。在與其他系統(tǒng)進(jìn)行連接時(shí)，網(wǎng)絡(luò)邊界隔離方案如下圖所示，以保證系統(tǒng)安全。（7）系統(tǒng)自身高安全性系統(tǒng)的操作系統(tǒng)必須充分保障系統(tǒng)自身的安全及各組件間通信的安全，建議增加一臺(tái)日志審計(jì)服務(wù)器。不僅可以提供了多種安全分析報(bào)告和網(wǎng)絡(luò)狀態(tài)統(tǒng)計(jì)報(bào)告，還可提供一種報(bào)告定制機(jī)制，客戶(hù)可以按照自己的需要生成各種安全分析和統(tǒng)計(jì)報(bào)告。積極、主動(dòng)的事件響應(yīng)機(jī)制，可以做到與系統(tǒng)中的防火墻、IDS、AV等系統(tǒng)之間的實(shí)時(shí)互動(dòng)，進(jìn)行告警，及時(shí)阻斷正在進(jìn)行的不安全事件。（4）同被審計(jì)的產(chǎn)品有效聯(lián)動(dòng)系統(tǒng)可以和所審計(jì)的各種產(chǎn)品進(jìn)行有效聯(lián)動(dòng)，提高審計(jì)系統(tǒng)和其他產(chǎn)品的互操作性，提高產(chǎn)品管理成效。通過(guò)對(duì)不同產(chǎn)品和系統(tǒng)的日志進(jìn)行綜合審計(jì)，能夠有效洞悉隱患。系統(tǒng)提供如下功能：（1）支持多種日志信息集中綜合審計(jì)系統(tǒng)應(yīng)可以對(duì)安全產(chǎn)品（如防火墻，IDS、AV等）、網(wǎng)絡(luò)產(chǎn)品（如router、switch）、應(yīng)用系統(tǒng)（如Web、 Mail）、操作系統(tǒng)（如Windows、 Linux、 Unix）等多種產(chǎn)品和系統(tǒng)的日志信息進(jìn)行收集，最大效率地發(fā)揮了各種安全系統(tǒng)/設(shè)備的整體作用，有效滿(mǎn)足客戶(hù)的實(shí)際需求。（7）能夠幫助建立安全策略，具有詳細(xì)的幫助數(shù)據(jù)庫(kù)，幫助管理員實(shí)現(xiàn)網(wǎng)絡(luò)的安全，并且制定實(shí)際的、可強(qiáng)制執(zhí)行的網(wǎng)絡(luò)安全策略。（5）檢測(cè)的特征庫(kù)要全面并能夠及時(shí)更新。（2）能夠支持大規(guī)模并行檢測(cè)，能夠方便地對(duì)大的網(wǎng)絡(luò)同時(shí)執(zhí)行多個(gè)檢測(cè)；（3）所采用的入侵檢測(cè)產(chǎn)品和技術(shù)不能被繞過(guò)或旁路。網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)能滿(mǎn)足以下要求：（1）能在網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)實(shí)時(shí)地入侵防御，全面防御可能的入侵行為。用友NC成功地和國(guó)內(nèi)外多家知名安全廠商合作，提供專(zhuān)業(yè)、可靠的證書(shū)認(rèn)證體系。當(dāng)甲收到一個(gè)新證書(shū)時(shí)，首先應(yīng)該從證書(shū)廢止列表中檢查證書(shū)是否已經(jīng)被撤銷(xiāo)。如果用戶(hù)的密鑰或CA的密鑰被破壞，將導(dǎo)致證書(shū)的撤銷(xiāo)。用戶(hù)可以利用網(wǎng)絡(luò)彼此交換證書(shū)。甲只需驗(yàn)證乙證書(shū)上CA的簽名；如果他們使用不同的CA，問(wèn)題就復(fù)雜了，甲必須從CA的樹(shù)形結(jié)構(gòu)底部開(kāi)始，從底層CA往上層CA查詢(xún)，一直追蹤到同一個(gè)CA為止，找出共同的信任CA。如果甲準(zhǔn)備和乙通信，他首先必須先取得乙的證書(shū)，然后對(duì)它進(jìn)行驗(yàn)證。CA可以是多級(jí)的，下圖以二級(jí)CA圖為例：根CA為下一級(jí)CA頒發(fā)簽名證書(shū)，下一級(jí)CA再為用戶(hù)頒發(fā)簽名證書(shū)和密鑰交換證書(shū)。認(rèn)證中心（CA）作為權(quán)威的、可信賴(lài)的、公正的第三方機(jī)構(gòu)，專(zhuān)門(mén)負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書(shū)服務(wù)。SSL安全通道HTTPS是部署UAP的服務(wù)器容器提供的，例如WAS需要進(jìn)行如下端口設(shè)置： CA認(rèn)證數(shù)字證書(shū)是一段包含用戶(hù)身份信息、用戶(hù)公鑰信息以及身份驗(yàn)證機(jī)構(gòu)（也稱(chēng)為證書(shū)認(rèn)證中心，CA）數(shù)字簽名的數(shù)據(jù)。加密算法應(yīng)選用國(guó)際通用的算法。數(shù)據(jù)報(bào)文加密可通過(guò)硬件加密或軟件加密方法來(lái)實(shí)現(xiàn)，可根據(jù)數(shù)據(jù)處理量大小等因素選擇硬件加密或軟件加密。 線路備份為了保證系統(tǒng)通信的暢通，防止因通信線路異常而引起的傳輸錯(cuò)誤、業(yè)務(wù)中斷等，建議網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)應(yīng)采用線路備份手段，保證系統(tǒng)的數(shù)據(jù)傳輸不間斷，同時(shí)有負(fù)載均衡能力。l 軟件防火墻，防護(hù)效果遠(yuǎn)遠(yuǎn)不如硬件防火墻，而且無(wú)法做到多機(jī)器的整體防護(hù)，而且需要消耗硬件性能，優(yōu)點(diǎn)是便宜。由于防火墻檢查過(guò)濾通過(guò)的ip包，不可避免會(huì)影響網(wǎng)絡(luò)傳輸效率，有必要在保障安全的前提下選擇高效傳輸?shù)姆阑饓?。在核心交換機(jī)上配置將交換機(jī)端口劃入vlan switchport access vlan 10 歸屬counter vlan 在分支交換機(jī)的端口配置模式下配置。核心交換機(jī)和分支交換機(jī)都要配置配置中繼interface fa0/1 進(jìn)入端口配置模式switchportswitchport trunk encapsulation isl 配置中繼協(xié)議switchport mode trunk核心交換機(jī)上以上都要配置，不過(guò)在分支交換機(jī)進(jìn)入端口模式只配置這個(gè)命令就可以了創(chuàng)建vlanvlan 10 name counter 創(chuàng)建了一個(gè)編號(hào)為10 名字為counter的 vlan。訪問(wèn)控制需要網(wǎng)絡(luò)管理員在交換機(jī)進(jìn)行VLAN的劃分，不通VLAN是無(wú)法互相訪問(wèn)的，這樣最大限度的隔離不同網(wǎng)段，防止相互影響?？梢圆捎肰LAN和域控制器的方法，限制用戶(hù)訪問(wèn)服務(wù)器的權(quán)限。用戶(hù)的密碼用專(zhuān)門(mén)的加密算法加密存儲(chǔ)在數(shù)據(jù)庫(kù)中，即使是數(shù)據(jù)庫(kù)管理員也無(wú)法得知用戶(hù)的密碼。硬件方案文檔、設(shè)備配置文檔、核心設(shè)備的系統(tǒng)日志要定期保存，妥為保管，視同機(jī)密。硬件環(huán)境的建設(shè)、升級(jí)、擴(kuò)充等工程應(yīng)經(jīng)過(guò)科學(xué)的規(guī)劃、充分的論證和嚴(yán)格的技術(shù)審查，有關(guān)文字材料應(yīng)妥善保存并接受主管部門(mén)的檢查。 服務(wù)器容錯(cuò)對(duì)于系統(tǒng)內(nèi)部的設(shè)備，應(yīng)采取有效措施進(jìn)行安全管理，保證設(shè)備安全。 系統(tǒng)安全實(shí)現(xiàn)方案鑒于北醫(yī)數(shù)據(jù)的重要性和特殊性， 北醫(yī)系統(tǒng)的安全就顯得非常的重要。種種事件表明，多數(shù)企業(yè)機(jī)密泄漏事件是由于企業(yè)內(nèi)部相關(guān)人員對(duì)個(gè)人密碼的保護(hù)上重視程度不夠，甚至在利益的驅(qū)使下直接將企業(yè)內(nèi)部信息泄漏出去。 數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)系統(tǒng)的備份與恢復(fù)重要性認(rèn)識(shí)不足，不按要求定期進(jìn)行備份，一旦發(fā)生意外，如果沒(méi)有事先采取備份措施，將會(huì)導(dǎo)致慘重的損失。數(shù)據(jù)庫(kù)漏洞、設(shè)計(jì)缺陷等也會(huì)引起系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題。 系統(tǒng)安全風(fēng)險(xiǎn)由于操作系統(tǒng)、數(shù)據(jù)庫(kù)、B/S三層架構(gòu)中的應(yīng)用服務(wù)器等基礎(chǔ)軟件本身的漏洞和缺陷、用戶(hù)權(quán)限設(shè)置不合理以及一些不安全協(xié)議的使用等因素都可能構(gòu)成對(duì)系統(tǒng)的威脅。同時(shí)，由于本系統(tǒng)原始數(shù)據(jù)來(lái)源于綜合網(wǎng)內(nèi)各相關(guān)業(yè)務(wù)系統(tǒng)、手