【正文】 量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大?。辉诠械刂酚斜ＷC的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。對于本期IP地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。內(nèi)部IP地址應(yīng)該本著易管理、易分配、易理解等原則來進(jìn)行分配，由于規(guī)劃的是內(nèi)部地址，所以應(yīng)該使用私有地址去規(guī)劃。VLAN規(guī)劃策略：每個(gè)接入單位設(shè)置一個(gè)完全獨(dú)立的VLAN；信息中心服務(wù)器群單獨(dú)設(shè)置一個(gè)完全獨(dú)立的VLAN；信息中心內(nèi)網(wǎng)管單獨(dú)設(shè)置一個(gè)完全獨(dú)立的VLAN；各個(gè)接入單位之間原則上相互隔離，可以根據(jù)實(shí)際情況允許部分單位互訪；各個(gè)接入單位只能訪問服務(wù)器群VLAN，不能訪問網(wǎng)管VLAN；網(wǎng)管VLAN可以訪問其他所有VLAN用戶。信息系統(tǒng)數(shù)據(jù)中心基本安全建設(shè)拓?fù)鋱D如下：信息系統(tǒng)數(shù)據(jù)中心基本安全網(wǎng)絡(luò)拓?fù)鋱D如下： VLAN規(guī)劃及ACL策略 利用VLAN技術(shù)，可以實(shí)現(xiàn)各接入節(jié)點(diǎn)之間的邏輯隔離，杜絕廣播風(fēng)暴的發(fā)生；通過在核心交換機(jī)的路由模塊上使用訪問控制列表ACL，定制訪問控制策略，可以精確地實(shí)現(xiàn)各VLAN之間的受控互訪，還可以控制各VLAN用戶訪問信息中心的行為，保證敏感信息只允許授權(quán)用戶的訪問。（5）抗拒絕服務(wù)系統(tǒng)抗拒絕服務(wù)系統(tǒng)對SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，F(xiàn)ragment Flood，HTTPProxy Flood，CC Proxy Flood，Connection Exhausted等各種常見的攻擊行為均可有效識別，并通過集成的機(jī)制實(shí)時(shí)對這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。通過部署入侵防御系統(tǒng)可以實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在數(shù)據(jù)中心網(wǎng)絡(luò)之外，保護(hù)內(nèi)網(wǎng)區(qū)域的核心信息資產(chǎn)安全。（2）網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)通過部署網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)使衛(wèi)生局信息網(wǎng)絡(luò)劃分為數(shù)據(jù)中心區(qū)及公眾服務(wù)區(qū)兩個(gè)不同安全域，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)居民健康信息系統(tǒng)數(shù)據(jù)在內(nèi)外網(wǎng)之間交換，解決內(nèi)外網(wǎng)物理隔離后數(shù)據(jù)安全傳遞的問題，以滿足開放公眾平臺的需要。建設(shè)的內(nèi)容主要包含六大部分：（1）防火墻本項(xiàng)目工程要建設(shè)的防火墻有兩臺，一臺用于公眾服務(wù)區(qū)互聯(lián)網(wǎng)出口，另一臺用于數(shù)據(jù)中心區(qū)域接入政務(wù)外網(wǎng)。居民健康數(shù)據(jù)中心依托公衛(wèi)網(wǎng)橫向接入個(gè)醫(yī)療衛(wèi)生機(jī)構(gòu)。接入方式選擇：l 專線接入；l Internet經(jīng)VPN接入；接入帶寬推薦：l 社區(qū)服務(wù)站、衛(wèi)生院等接入帶寬 ≥ 10Mbpsl 社區(qū)服務(wù)中心、縣醫(yī)院等接入帶寬 ≥ 50Mbpsl 二、三級醫(yī)院接入帶寬 ≥ 100Mbpsl 衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心接入帶寬 ≥ 1000Mbps信息系統(tǒng)網(wǎng)絡(luò)層安全的設(shè)計(jì)和建設(shè)采用硬件保護(hù)與軟件保護(hù)、靜態(tài)防護(hù)與動態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級防護(hù)的總體策略。網(wǎng)絡(luò)平臺是區(qū)域衛(wèi)生信息平臺的基礎(chǔ)設(shè)施。核心層為市衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心機(jī)房，匯聚層為區(qū)縣衛(wèi)計(jì)局信息中心機(jī)房，接入層為接入衛(wèi)生醫(yī)療單位。選擇性價(jià)比高的設(shè)備?？晒芾硇裕嚎衫孟冗M(jìn)的網(wǎng)絡(luò)管理平臺，對網(wǎng)絡(luò)實(shí)行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。同時(shí)，通過VPN、信息加密等技術(shù)，制訂統(tǒng)一的全網(wǎng)安全策略。高性能：骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的高質(zhì)量傳輸，使網(wǎng)絡(luò)運(yùn)行不存在瓶頸。（5）應(yīng)遵循的標(biāo)準(zhǔn)規(guī)范衛(wèi)生信息數(shù)據(jù)元標(biāo)準(zhǔn)化規(guī)則 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)模式描述指南 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)集元數(shù)據(jù)規(guī)范 衛(wèi)生部衛(wèi)生信息數(shù)據(jù)集分類與編碼 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺建設(shè)指南（試行） 衛(wèi)生部基于電子病歷的醫(yī)院信息平臺建設(shè)技術(shù)解決方案 衛(wèi)生部電子病歷基本數(shù)據(jù)集編制規(guī)范 衛(wèi)生部健康檔案基本數(shù)據(jù)集編制規(guī)范（試行） 衛(wèi)生部健康檔案公用數(shù)據(jù)元標(biāo)準(zhǔn)（試行） 衛(wèi)生部健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)（試行） 衛(wèi)生部健康檔案基本數(shù)據(jù)集標(biāo)準(zhǔn)（試行） 衛(wèi)生部電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn) 衛(wèi)生部電子病歷基本內(nèi)容架構(gòu)圖 衛(wèi)生部電子病歷數(shù)據(jù)組與數(shù)據(jù)元 衛(wèi)生部電子病歷基礎(chǔ)模板 衛(wèi)生部國家衛(wèi)生數(shù)據(jù)字典與元數(shù)據(jù)管理 衛(wèi)生部婦幼保健信息系統(tǒng)基本功能規(guī)范 衛(wèi)生部社區(qū)衛(wèi)生信息系統(tǒng)基本功能規(guī)范 衛(wèi)生部新型農(nóng)村合作醫(yī)療信息系統(tǒng)基本規(guī)范（2008年修訂版） 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺建設(shè)技術(shù)解決方案 衛(wèi)生部基于健康檔案的區(qū)域衛(wèi)生信息平臺的婦幼保健信息系統(tǒng)技術(shù)解決方案 衛(wèi)生部綜合衛(wèi)生管理信息平臺建設(shè)指南 衛(wèi)生部衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范 衛(wèi)生部衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)定 衛(wèi)生部國家基本公共衛(wèi)生服務(wù)規(guī)范（2009年版） 衛(wèi)生部健康檔案基本衛(wèi)生服務(wù)記錄表單參考用表 衛(wèi)生部112個(gè)病種臨床路徑 衛(wèi)生部湖北省預(yù)防接種工作規(guī)范國際疾病分類—ICD國際社區(qū)醫(yī)療分類—ICPC醫(yī)學(xué)術(shù)語標(biāo)準(zhǔn)衛(wèi)生標(biāo)準(zhǔn)七組織—HLT醫(yī)學(xué)數(shù)字成像和通信標(biāo)準(zhǔn)—IT信息系統(tǒng)通用標(biāo)準(zhǔn)中國公共衛(wèi)生信息分類和基本數(shù)據(jù)集（）中國疾病預(yù)防控制中心全國醫(yī)療服務(wù)價(jià)格項(xiàng)目規(guī)范藥品命名與編碼衛(wèi)生機(jī)構(gòu)分類與代碼中醫(yī)證候詞匯表醫(yī)療設(shè)備與器械分類代碼中國醫(yī)院信息基本數(shù)據(jù)集標(biāo)準(zhǔn)（）社區(qū)衛(wèi)生信息基本數(shù)據(jù)庫婦幼保健信息系統(tǒng)基本數(shù)據(jù)庫個(gè)人信息基本數(shù)據(jù)集標(biāo)準(zhǔn)（試行） 區(qū)域衛(wèi)計(jì)局專網(wǎng)建設(shè) 網(wǎng)絡(luò)建設(shè)原則衛(wèi)計(jì)局VPN專用網(wǎng)絡(luò)包括了衛(wèi)生局系統(tǒng)居民健康檔案的收集和更新，醫(yī)院信息系統(tǒng)的操作和應(yīng)用等大量的業(yè)務(wù)，它必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性、高安全性的系統(tǒng)，因此，在網(wǎng)絡(luò)設(shè)計(jì)建設(shè)中，應(yīng)堅(jiān)持以下原則：標(biāo)準(zhǔn)開放性：支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、行業(yè)或企業(yè)網(wǎng)絡(luò))之間的平滑連接互通，以便于將來網(wǎng)絡(luò)的擴(kuò)展。（3）技術(shù)標(biāo)準(zhǔn)規(guī)范的設(shè)計(jì)，通過技術(shù)標(biāo)準(zhǔn)規(guī)定的制定，支持區(qū)域內(nèi)各系統(tǒng)和區(qū)域衛(wèi)生信息平臺之間數(shù)據(jù)級和應(yīng)用級整合，并提高業(yè)務(wù)系統(tǒng)之間的應(yīng)用集成，互聯(lián)互通能力。信息標(biāo)準(zhǔn)規(guī)范體系設(shè)計(jì)內(nèi)容（1）按照XX市衛(wèi)生信息化總體規(guī)劃框架，以衛(wèi)生部信息標(biāo)準(zhǔn)框架體系為基礎(chǔ)，提出XX市區(qū)域信息系統(tǒng)標(biāo)準(zhǔn)規(guī)范體系總體框架與建設(shè)內(nèi)容的邏輯關(guān)系。（4）無參照標(biāo)準(zhǔn)，按標(biāo)準(zhǔn)制定規(guī)范，自行研制。（2）即將形成國家（行業(yè)）標(biāo)準(zhǔn)的，爭取在標(biāo)準(zhǔn)基本成熟時(shí)，將該標(biāo)準(zhǔn)率先引入試用。 信息標(biāo)準(zhǔn)規(guī)范體系建設(shè)遵照國家相關(guān)標(biāo)準(zhǔn)，以及衛(wèi)生部關(guān)于醫(yī)療信息化建設(shè)的具體指導(dǎo)方案和意見，建立區(qū)域內(nèi)衛(wèi)生信息化標(biāo)準(zhǔn)規(guī)范體系，包括應(yīng)用的統(tǒng)一標(biāo)準(zhǔn)數(shù)據(jù)元庫，標(biāo)準(zhǔn)的衛(wèi)生數(shù)據(jù)字典庫（包括代碼的新增、審批、發(fā)布、修改的管理）等。為XX市建立一個(gè)醫(yī)療衛(wèi)生數(shù)據(jù)中心，實(shí)現(xiàn)個(gè)人健康檔案數(shù)據(jù)和檢查檢驗(yàn)、影像數(shù)據(jù)的集中存儲，有利于信息的共享和分析。健康保障應(yīng)用系統(tǒng)包括門戶系統(tǒng)、健康保障服務(wù)平臺和遠(yuǎn)程醫(yī)療服務(wù)、醫(yī)療衛(wèi)生管理系統(tǒng)等。按照功能又可劃分為兩層：健康信息交換層（HIE）和健康信息管理層（HIM）。區(qū)域醫(yī)療衛(wèi)生信息共享平臺是整個(gè)系統(tǒng)的核心。具體功能架構(gòu)如下圖：醫(yī)療機(jī)構(gòu)信息系統(tǒng)層是醫(yī)療衛(wèi)生文檔交換和共享的主要信息源。應(yīng)用層：在統(tǒng)一的系統(tǒng)框架之上，根據(jù)實(shí)際需求，針對不同的應(yīng)用層面和場合進(jìn)行定制，形成不同的模塊或系統(tǒng)。數(shù)據(jù)資源層：包括本系統(tǒng)運(yùn)行所需的基礎(chǔ)庫和業(yè)務(wù)庫，并實(shí)現(xiàn)與市級數(shù)據(jù)交換管理系統(tǒng)數(shù)據(jù)的統(tǒng)一。XX城市智慧醫(yī)療建設(shè)方案二〇一六年四月 XX市城市智慧醫(yī)療總體建設(shè)方案 總體架構(gòu)智慧醫(yī)療平臺按私有云的模式建設(shè)，內(nèi)容主要包括：基礎(chǔ)設(shè)施即服務(wù)(IaaS)、數(shù)據(jù)存儲即服務(wù)(DaaS)、平臺即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)、“云安全”和虛擬化應(yīng)用等五個(gè)層次的內(nèi)容，還包括貫穿五個(gè)層次的標(biāo)準(zhǔn)規(guī)范體系、運(yùn)行維護(hù)體系和安全保障體系三大體系，區(qū)域衛(wèi)生信息平臺總體架構(gòu)圖：基礎(chǔ)設(shè)施層：包括基礎(chǔ)軟件環(huán)境、硬件環(huán)境以及網(wǎng)絡(luò)環(huán)境等?；鶎俞t(yī)療機(jī)構(gòu)系統(tǒng)建設(shè)所需的應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器和存儲設(shè)備以及平臺軟件系統(tǒng)都將基于市級云平臺運(yùn)行。服務(wù)支撐層：是基層醫(yī)療機(jī)構(gòu)管理信息系統(tǒng)的重要組成部分，負(fù)責(zé)為應(yīng)用系統(tǒng)提供底層的服務(wù)支撐以及技術(shù)支撐，主要利用市級數(shù)據(jù)交換管理系統(tǒng)提供的資源和支撐服務(wù)。主要包括基本醫(yī)療、公共衛(wèi)生、遠(yuǎn)程醫(yī)療、運(yùn)營管理、業(yè)務(wù)監(jiān)管。醫(yī)療機(jī)構(gòu)的信息化建設(shè)包括三部分內(nèi)容：數(shù)字化醫(yī)院建設(shè)、基層醫(yī)療機(jī)構(gòu)醫(yī)療衛(wèi)生信息系統(tǒng)和公共衛(wèi)生機(jī)構(gòu)信息系統(tǒng)。它的主要功能包括完成區(qū)域內(nèi)各級各種醫(yī)療衛(wèi)生信息的采集、傳輸、存儲、共享，并提供各種服務(wù)接口。HIE層主要負(fù)責(zé)區(qū)域間各系統(tǒng)之間的信息傳輸、交換和文檔存儲，HIM層主要負(fù)責(zé)對健康檔案信息的提取、轉(zhuǎn)換、存儲、分析，并提供基于健康檔案信息的各種服務(wù)。為居民、醫(yī)護(hù)人員提供直接的信息訪問通道，為醫(yī)療衛(wèi)生管理機(jī)構(gòu)提供數(shù)據(jù)支持和決策依據(jù)。系統(tǒng)支持對數(shù)據(jù)倉庫的擴(kuò)展，用來支持對海量數(shù)據(jù)的數(shù)據(jù)挖掘和統(tǒng)計(jì)分析服務(wù)。國家衛(wèi)生信息標(biāo)準(zhǔn)體系基本框架標(biāo)準(zhǔn)規(guī)范體系建立的原則信息標(biāo)準(zhǔn)規(guī)范體系包括數(shù)據(jù)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)范（1）有國家（行業(yè)）標(biāo)準(zhǔn)的優(yōu)先遵循國家（行業(yè)）標(biāo)準(zhǔn)。（3）無國家（行業(yè)）標(biāo)準(zhǔn)的，等效采用或約束使用國際標(biāo)準(zhǔn)。（5）在編寫衛(wèi)生信息交換標(biāo)準(zhǔn)時(shí)需特別考慮到未來的發(fā)展和變化。（2）數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范設(shè)計(jì)，根據(jù)衛(wèi)生部標(biāo)準(zhǔn)中的公共數(shù)據(jù)元標(biāo)準(zhǔn)、公共代碼標(biāo)準(zhǔn)、公共數(shù)據(jù)存取規(guī)范、數(shù)據(jù)交換規(guī)范等，結(jié)合實(shí)際建立既符合衛(wèi)生部標(biāo)準(zhǔn)，又滿足區(qū)域信息化系統(tǒng)要求的數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范。（4）管理標(biāo)準(zhǔn)規(guī)范：包括標(biāo)準(zhǔn)管理，安全管理，數(shù)據(jù)管理，項(xiàng)目管理，用于指導(dǎo)數(shù)據(jù)中心日常運(yùn)行管理，數(shù)據(jù)維護(hù)管理。技術(shù)先進(jìn)性和實(shí)用性：在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到衛(wèi)生醫(yī)療網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來的發(fā)展趨勢。高可靠性與安全性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)選用具有高可靠性的網(wǎng)絡(luò)設(shè)備，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持湞江市衛(wèi)生局醫(yī)療信息化網(wǎng)絡(luò)各業(yè)務(wù)系統(tǒng)的正常運(yùn)行?？蓴U(kuò)展性：根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)容和升級，并在擴(kuò)容和升級過程中最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。經(jīng)濟(jì)性：充分利用現(xiàn)有的資源，保護(hù)已有投資。 組網(wǎng)方案根據(jù)組網(wǎng)需求分析，采用如下方案進(jìn)行建設(shè)：整個(gè)網(wǎng)絡(luò)分為核心層、匯聚層和接入層三個(gè)部分。接入衛(wèi)生醫(yī)療單位作為衛(wèi)計(jì)系統(tǒng)VPN專網(wǎng)的接入點(diǎn)，通過10M/100M/1000M光纖就近接入運(yùn)營商機(jī)房，經(jīng)運(yùn)營商光纖城域網(wǎng)匯聚后接入?yún)^(qū)縣衛(wèi)計(jì)局信息中心或直接接入市衛(wèi)計(jì)局?jǐn)?shù)據(jù)中心機(jī)房。以衛(wèi)生行政部門為中心，區(qū)域內(nèi)的醫(yī)療衛(wèi)生機(jī)構(gòu)通過與中心節(jié)點(diǎn)的連接，實(shí)現(xiàn)互聯(lián)互通。根據(jù)應(yīng)用系統(tǒng)目的和安全需求，網(wǎng)絡(luò)系統(tǒng)主要?jiǎng)澐譃閮纱蟀踩?，即?shù)據(jù)中心區(qū)域和公眾服務(wù)區(qū)域。公眾服務(wù)區(qū)依托政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口，主要放置居民健康信息查詢服務(wù)器，對互聯(lián)網(wǎng)公眾開放。通過在公眾服務(wù)區(qū)互聯(lián)網(wǎng)邊界部署防火墻可以實(shí)現(xiàn)非授權(quán)訪問及越權(quán)訪問，同時(shí)，將居民健康信息系統(tǒng)公眾平臺放置于防火墻DMZ區(qū)，這樣可對進(jìn)出DMZ區(qū)有數(shù)據(jù)流進(jìn)行訪問控制，例如實(shí)現(xiàn)只允許來自Internet的用戶可以訪問DMZ區(qū)的居民健康信息系統(tǒng)，而不允許此處的服務(wù)器訪問外網(wǎng)；在政務(wù)外網(wǎng)邊界同樣部署一臺防火墻，此處的防火墻主要用于阻擋了對內(nèi)（數(shù)據(jù)中心區(qū)）、對外(政務(wù)外網(wǎng))的非法訪問和不安全數(shù)據(jù)的傳遞，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性，同時(shí)，開戶防火墻日志審計(jì)功能，留存60天的網(wǎng)絡(luò)訪問日志。（3）入侵防御(IPS)作為政務(wù)外網(wǎng)防火墻的補(bǔ)充，部署于防火墻之后，通過部署IPS可以實(shí)現(xiàn)細(xì)粒度的訪問控制，入侵防御系統(tǒng)是一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)受到危害之前攔截和響應(yīng)入侵。（4）數(shù)據(jù)庫審計(jì)考慮到居民健康系統(tǒng)及網(wǎng)絡(luò)安全的重要性，在衛(wèi)生局核心網(wǎng)絡(luò)中安裝數(shù)據(jù)庫審計(jì)系統(tǒng)，部署在居民健康信息系統(tǒng)上的交換機(jī)，安全審計(jì)系統(tǒng)基于網(wǎng)絡(luò)旁路，對業(yè)務(wù)系統(tǒng)不會造成任何危害，部署安全審計(jì)系統(tǒng)后，可以能夠記錄內(nèi)部人員、第三方業(yè)務(wù)系統(tǒng)開發(fā)商、維護(hù)人員或不法分子通過后臺工具直接登錄數(shù)據(jù)庫的操作行為，并完整全面的監(jiān)控和記錄登錄數(shù)據(jù)庫用戶、源地址、所使用的程序和操作內(nèi)容等行為及所有的SQL語句，同時(shí)，對審計(jì)記錄結(jié)果可以進(jìn)行長期保存，并可以回朔，按需審計(jì)；還能夠?qū)ξｋU(xiǎn)行為如：刪除表操作及各種針對數(shù)據(jù)庫的攻擊行為進(jìn)行報(bào)警，通過長期的訪問記錄，可以生成報(bào)告以對數(shù)據(jù)庫訪問進(jìn)行統(tǒng)計(jì)和分析，從而對數(shù)據(jù)庫性能改進(jìn)提供參考依據(jù)。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對此兩種應(yīng)用的DOS攻擊方式。在使用ACL時(shí)，一般采用通過信息中心核心交換機(jī)上定制的ACL進(jìn)行邏輯判斷，各單位之間一般不能直接互訪，要互訪必須通過核心交換機(jī)進(jìn)行控制。 IP地址分配原則IP地址規(guī)劃應(yīng)該包括兩部分，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是Internent上的公有地址。IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配將通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，這里主要描述IP地址分配的原則。充分合理利用已申請的地址空間，提高地址的利用效率。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層