首都医科大学宣武医院(以下简称“甲方”)就“北京地区脑卒中远程救治网络工程的建立与推广应用项目”所需“专家移动工作站安全终端系统”委托中招国际招标有限公司在国 内公开招标(招标编号:TC170V5AZ/03)。经评标委员会评定,北京元心科技有限公司(以下简称“乙方”)为该项目的中标单位(附件二:成交通知书)。甲乙双方 经过平等协商,根据《中华人民共和国合同法》等相关法律法规的规定,达成如下条款,并由双方共同遵守。
招标单位:首都医科大学宣武医院
目录
附 件 一 专 家 移 动 工 作 站 安 全 终 端 系 统 技 术 工 作 说 明 书 7
首都医科大学宣武医院(以下简称“甲方”)就“北京地区脑卒中远程救治网络工程的建立与推广应用项目”所需“专家移动工作站安全终端系统”委托中招国际招标有限公司在国内公开招标(招标编号:TC170V5AZ/03)。经评标委员会评定,北京元心科技有限公司(以下简称“乙方”)为该项目的中标单位(附件二:成交通知书)。甲乙双方经过平等协商,根据《中华人民共和国合同法》等相关法律法规的规定,达成如下条款,并由双方共同遵守。
北京地区脑卒中远程救治网络工程的建立与推广应用项目所需专家移动工作站安全终端系统建设。项目工作内容及技术要求详见附件一《专家移动工作站安全终端系统技术工作说明书》。
合同签订后三个月内完成硬件供货、业务模块和子系统的软件开发、安装、调试及部署。
1、合同价款
费用类型 | 名称 | 描述 | 单价 (万元) | 数量 | 合计 (万元) |
产品采购费 | 专家移动工作站安全终端 | 将远程或急救车手术现场中,实景视频设备采集的视频流进行加密存储,和加密传 输,保证从端到云的医疗数据安全。 | 0.55 | 30 台 | 16.5 |
技术开发费 | 安全认证接入系统 | 运行于专家移动工作站安全终端之上的一个子系统。该系统主要实现对用户身份 和设备身份的验证。 | 5 | 1 套 | 5 |
核心安全业务系统 | 接收来自专家移动工作站安全终端系统的加密的音视频数据,进行数据解密,并发送给视频交互服务器进行视频展示。 | 88.9 | 1 套 | 88.9 | |
音视频安全传输应用系统 | 用户注册,登录等操作;通过安全终端系统提供的接口对音视频数据进行加密处理;加密的数据除本地存储外,同时传输至核心安全业务后台系统;支持同步展示 采集到的手术视频。 | 5 | 1 套 | 5 | |
总计 | ¥1,154,000.00 元(大写:人民币壹佰壹拾伍万肆仟元整) |
本合同总价款为人民币壹佰壹拾伍万肆仟元整(¥1,154,000.00 元),合同总价中已包括硬件供货、系统开发、安装、调试及培训、售后服务等费用。具体明细如下:
2、付款方式
甲方采用电汇方式分期支付合同价款,具体支付条件和比例如下:
1、合同签订生效之日起 15 个工作日内,甲方向乙方支付合同总金额的 70%,即¥807,800 元(大写:人民币捌拾万柒仟捌佰元整);
2、硬件设备安装、调试完毕,且项目验收合格后 15 个工作日内,甲方向乙方支付合同总金额的 25%,即¥288,500 元(大写:人民币贰拾捌万捌仟xx元整);
3、项目验收合格满 1 年后的 15 个工作日内,甲方向乙方支付合同总金额的
5%,即¥57,700 元(大写:人民币伍万柒仟柒佰元整)。与本合同有关应征收的一切税费均由乙方承担。
上述各款项支付前,乙方需向甲方开具同等金额的有效发票,经甲方确认无误后办理支付。
乙方应严格遵照本合同技术要求,按照国家有关标准和规定完成硬件供货、系统开发服务、调试、部署、安装、培训及售后服务,按照合同规定向甲方提交符合技术要求的成果。同时,乙方为本项目提供 3 年期的免费维护服务,自项目验收合格之日开始计算。
乙方应根据本合同附件一《专家移动工作站安全终端系统技术工作说明书》的要求向甲方提供列示的项目成果。
1.乙方应保证甲方在使用本合同项下的货物或货物的任何一部分时,免受第三方提出的侵犯其知识产权的索赔或诉讼。
2.如果乙方所提供的货物,被第三方诉称侵犯了该方知识产权或任何其它权利,甲方以书面方式通知乙方,乙方应负责处理这一指控并应以乙方的名义向起诉方提出抗辩。由此可能产生的一切法律责任和经济责任由乙方承担。甲方将尽可能地对乙方抗辩给予协助,由此发生的费用由乙方承担。
1.甲乙双方在未征得对方同意前,不得将对方提供的有关合同或任何合同条文、计划或资料提供给与履行本合同无关的任何人。即使向与履行本合同有关的人员提供,也应承担保密义务。在验收前,乙方应向甲方提交与本项目相关的全
部资料。
2.对于在合同履行过程中所获得或了解的任何秘密,任何一方均应承担保密义务,未经对方书面许可,另一方不得利用或披露。
乙方按照合同约定完成硬件供货及软件开发工作,系统正式上线并平稳运行
5 个工作日后向甲方提出书面验收申请,并将与本合同有关的相关技术资料提交
给甲方,经甲方确认材料齐全后,由甲方按照本合同及其附件要求在 15 日之内 组织完成验收,逾期不验收则视为验收合格。如系统验收不合格,乙方应在双方 约定的时间内进行完善后提请甲方进行下一次验收,与之相关的费用由乙方承担。
验收标准以本合同约定的技术指标和惯例为依据。
1.乙方因自身原因未能按照合同规定的时间提交成果,应向甲方支付误期赔偿费,每周按合同总价的 5‰累计,误期赔偿费的最高限额为合同总价的 5%,同时乙方应继续履行本合同所规定的义务。
2.乙方因自身原因延迟交付成果超过 90 天,甲方有权终止合同,乙方应返还甲方已支付的合同款项。除前款所约定的误期赔偿费外,甲方有权要求乙方支付合同总价 10%的违约赔偿金。
3.系统保证期(项目验收合格起 3 年)内系统发生故障时,乙方接到甲方通知后,未能在规定时间内到达现场处理,乙方应向甲方支付延误赔偿费,每延误一次,赔偿合同总价的 1‰,延误赔偿费的最高限额为合同总价的 5%。
4.甲方延期付款时(正当拒付除外),应向乙方支付延期违约金,每周按延期付款金额的 5‰累计,延期违约金的最高限额为合同总价的 5%。
5.甲方延期付款时间超过 90 天,乙方有权终止合同,除前款所约定的延期违约金外,乙方有权要求甲方支付合同总价 10%的违约赔偿金。如果合同继续履行,乙方履行本合同的期限应相应顺延。
1.甲乙双方任何一方由于受不可抗力事件影响而不能履行合同时,履行合同的期限可以延长,延长的期限应相当于事件所影响的时间。
2.任何一方因发生不可抗力事件履行合同受阻,应在发生不可抗力事件后 7
天内以书面方式通知对方,并于不可抗力事件发生后 14 天内将有关当局出具的证明文件用特快专递或挂号信寄给对方审阅确认。一旦不可抗力事件的影响持续 90 天以上,双方应通过友好协商达成进一步履行合同的协议,双方也可解除合
第十一条 仲裁
附件一专家移动工作站安全终端系统技术工作说明书
一、 技术开发内容
方案整体阐述
项目背景
我国脑卒中防治形势xx,成为危害健康、危害社会及经济可持续发展的严重公共卫生问题和社会问题。脑血管疾病等重大慢病的急救体系,我国目前没有一个完整的信息化医疗救治体系。病人医疗信息不互通、广大基层患者急性期救治欠规范化指导、管理流程模式急需优化。
国家远程卒中中心通过现代化信息技术手段实现卒中救治指导,并且制定了急诊动静脉溶栓的相关标准和流程,组建立 7x24 小时全天候值班的溶栓专家团队,实现第一时间为急性缺血性卒中的患者提供最有效的远程会诊指导。
在国家发改委和国家卫生计生委脑卒中防治工程委员会的大力支持下,依托首都医科大学宣武医院建立国家远程卒中中心。卒中中心专家基于专网、公网、移动网络,借助于脑卒中远程救治系统,实现在远程能够对基层医院的急诊患者实现急诊溶栓、取栓的指导,使患者虽然身在基层医院,但能够在第一时间得到专家的远程救治指导,赢得宝贵的抢救时间,降低脑卒中的致死致残率。根据中心的职责、发展以及实际业务的需求,需要在现有远程卒中平台的基础上,开发新的业务模块和子系统。
总体设计原则
数据规范化
统一组织机构、人员、分类、设备设施等相关的编码,原则上按医院现有标准编码、如标准编码,由医院统一编码。所有编码都保留和其它系统的映射码,保证和其它系统的数据交换和共享。
信息化标准从数据的管理、数据接入、应用维护,以及编码管理几个方面建设统一数据
标准规范,通过明确的、统一的管理机制、数据标准格式管理业务数据。信息化标准规范不
但是建设信息化系统的基础,也对信息化扩展建设提供了统一数据标准。
数据管理规范
数据管理规范在整套信息化标准规范中处于统领地位,从数据管理角度上对数据的管理、维护做出明确规范,划清数据的管理职责。通过理清数据管理机制,保障数据的动态更新性、统一性。
工作任务业务域,明确任务数据类型依据业务数据的特性,明确数据更新频率;根据数据结构特点,制定数据更新方式。
数据字典标准化
数据字典的建立,其主要目的是为数据管理、开发和使用人员提供有关数据的来源、说明、格式和与其他数据的关系等信息描述。在本项目建设过程中,各分系统的建设都要遵循此数据字典的标准。在未来的信息化建设中,也应参考此标准进行系统改进和新建。
项目建设完成后,需要依据建设的业务系统整理全套数据字段,按照管理业务线划分数据,制定数据表信息和数据项信息。
管理可视化
应用和后台的管理,使用户能直观、实时的看到信息,快速方便的跟踪业务处理情况。使用便捷化
规范系统操作的形式,形成统一的操作规范,使用户能以简单的方式熟悉系统操作,降低学习成本。对基本操作,所有业务功能都统一布局、外观、操作步骤。
移动终端操作尽可能同当前日常手机操作保持一致,使用户能快速上手。
遵循的技术规格
1. 技术设计充分考虑国产化软、硬件产品和技术,立足自主研发、安全可控;
2. 移动端、检查执法系统采用国产、自主、可控的安全行业特种终端、APP 服务定制开发;数据安全采用国产自主知识产权的标识认证加密等安全系统。
拟采取的主流技术
术语定义
专业术语 | 说明 |
B/S | Browser/Server,浏览器/服务器模式 |
PHP | PHP: Hypertext Preprocessor,超文本预处理器 |
C/S | Client/Server,客户机/服务器模式 |
HTML5 | HTML5 是 HTML 最新的修订版本,2014 年 10 月由万维网联盟(W3C)完成标准制定。 |
XML | EXtensible Markup Language,扩展标记语言 |
SOA | Service-Oriented Architecture,面向服务的体系架构 |
FDEP | Fine DataExchange Protocol,自定义的数据传输协议。 |
DEXML | 数据交换 XML,数据通讯报文格式。 |
DBMS | Database Management System,是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库 |
MySQL | Oracle 旗下的开源关系性数据库 |
Linux | 一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 UNIX 多用户、多任务、支持多线程和多 CPU 的操作系统 |
数据交换标准
XML 的数据内容与数据显示形式是完全分离的,XML 文件为纯文本文件不受平台限制, XML 是一种完全面向数据语义的标志语言,容易描述数据的语义及元素结构,不仅可以描 述结构化数据,更可以非结构化数据,非常适用于异构数据库之间的数据交换。目前,XML 已经成为数据交换的标准。
因此,通过 XML 可以有效保证对各种异构系统的数据接口需要,达到各审批单位原有系统数据资源的最优整合。
中间件技术
中间件是先进技术和技术标准的载体,采用中间件使得平台的先进性、可靠性得到保证。
中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源。中间件软件管理着客户端程序和数据库或者早期应用软件之间的通讯。中间件在分布式的客户和服务之间扮演着承上启下的角色,如事务管理、负载均衡以及基于 Web 的
计算等。
中间件具有以下的一些特点:满足大量应用的需要;运行于多种硬件和 OS 平台;支持分布式计算,提供跨网络、硬件和 OS 平台的透明性的应用或服务的交互功能;支持标准的协议;支持标准的接口。程序员通过调用中间件提供的大量 API,实现异构环境的通讯,从而屏蔽异构系统中复杂的操作系统和网络协议。针对不同的操作系统和硬件平台,它们可以有符合接口和协议规范的多种实现。由于标准接口对于可移植性和标准协议对于互操作性的重要性,中间件已成为许多标准化工作的主要部分。对于应用软件开发,中间件远比操作系统和网络服务更为重要,中间件提供的程序接口定义了一个相对稳定的高层应用环境,不管底层的计算机硬件和系统软件怎样更新换代,只要将中间件升级更新,并保持中间件对外的接口定义不变,应用软件几乎不需任何修改,从而保护了企业在应用软件开发和维护中的重大投资。
利用这些技术有助于减轻开发者的负担,使他们利用现有的硬件设备、操作系统、网络、数据库管理系统以及对象模型创建分布式应用软件时更加得心应手。由于中间件能够保护企业的投资,保证应用软件的相对稳定,实现应用软件的功能扩展;同时中间件产品在很大程度上简化了一个由不同硬件构成的分布式处理环境的复杂性,所以它的出现正日益引起用户的关注。
跨平台需求
专家移动工作站的系统设计支持跨平台需求,系统不依赖任何操作系统、数据库及其他第三方软件,可迁移到其他环境。
应用场景设计
4G
急救医生
核心安全业务系统 医生
系统的使用对象及应用方向:
1. 急救医生通过终端采集音视频信息:通过移动工作站安全终端系统,实景视频设备采集的视频流进行加密存储。
2. 急救医生将视频数据安全传输到后台安全业务系统,并发送给视频交互服务器进行视频展示。
3. 医院医生观看视频交互服务器进行指导等。
技术架构设计
总体功能框架
针对医院病人急救车转运过程中的指导工作的需求,本方案提供:专家移动工作站安全终端系统、安全接入系统、音视频安全传输应用软件和核心安全业务系统。
专家移动工作站安全终端,采用元心智能移动操作系统,元心智能移动操作系统是国内操作系统这一领域市场上首个获得的 EAL4 级安全认证的安全操作系统,支持 7 模全网通,支持 VPN(PPTP、IPSec、SSLVPN),支持 SD 卡全盘加密,并提供文件级加密机制,加密
数据库,及相关 API,支持双域隔离,支持安全启动及应用程序签名。
安全接入系统:该系统主要实现对用户身份和设备身份的验证。认证接入系统应支持多种方式的用户身份校验,如密码方式、生物识别方式等,并使用 CA 证书与后台进行接入认证,从而保障终端系统和使用者的合法性及唯一性。
音视频安全传输应用:支持用户注册,登录等操作;通过安全终端系统提供的接口对音视频数据进行加密处理;支持加密的数据本地存储;支持传输加密数据至核心安全业务后台系统;支持同步展示采集到的手术视频。
核心安全业务系统:核心安全业务系统的基本功能是接收来自专家移动工作站安全终端系统的加密的音视频数据,进行数据解密,并发送给视频交互服务器进行视频展示。
核心安全业务系统分为系统管理及支撑平台、身份验证平台、数据解密平台、数据转发平台。
核心安全业务服务部署在内部安全机房,前线医务人员使用移动终端进行音视频信息获取,并通过安全认证接入系统,上传音视频信息;后台医务人员查看核心安全业务系统传过来的音视频信息;后台系统管理人员对系统进行管理。
系统管理及支撑平台:面向管理员和运维人员,能够进行平台系统管理等。系统部署架构
外网
x网
安全终端
数据库服务器
安全服务器
应用服务器
在宣武医院数据中心集中部署一套业务平台,卒中联网医院用户和救护车用户统一访问同一套服务器。系统通过物理/应用集中的方式实现集中管理模式。
平台网络拓朴
网络拓扑
系统管理员 | |
核心安全业务系统 | |
运营商网络
系统平台设计
系统应用平台架构分为 5 个层次:展现层(PreSentation Layer)、数据访问层(DataAccess Layer)、数据模型层(Model Layer)、关系数据库层(DBMS)。将业务逻辑、数据、界面显示分离,并实现各层次与组件的复用。
展现层(PreSentation Layer)
UI 展现交互及页面逻辑层,提供人机交互的操作界面。实现基础业务操作与交互、应用展示、数据配置等功能。
PSL 层提供相关业务最基本操作与配置管理。
通过 UI 框架层的交互解析及数据访问层的业务逻辑运算呈现最终用户交互视图。
数据访问层(DataAccess Layer)
用于与数据源交互及集成的数据接口层。实现业务逻辑运算、控制、数据读写等功能,为用户接口层提供业务与数据逻辑的运算服务。以业务模块为单位各自提供独立的业务与数据处理任务,并完成数据库的读写操作。
数据模型层(Model Layer)
框架与业务层、模块与模块之间交互的数据实体模型。用于各层各组件之间互相调用的数据载体,包含数据结构的基本特性。
按业务模块划分为八大实体组件及基础实体。
DBMS 层
存储数据的关系数据库。
传输接口设计
传输主动方为客户端,服务端采用实时监听,根据请求获取数据与接收数据
采用异步通信机制,提高并发效率。系统管理设计
系统管理模块包括账号管理、证书管理。
账号管理:维护账号的增加、修改、删除、查询功能。证书管理:维护证书的新增、修改、删除、查询功能。
系统集成设计
关键技术
由于要集成众多的业务系统,从技术架构的角度分析,需要采用开放性好,扩展性好、跨平台,可移值性强的系统,支持大用户量并发,支持大数据的承载。本解决方案使用了如下关键技术:
1、FramWork 架构技术:可以同时支持 WINDOWS 平台和 Linux 平台。
2、消息中间件技术:可实现与异构系统的松耦合集成、效率高、可靠性强。
3、脚本技术:支持使用 Javascript、Tcl 等动态脚本语言进行灵活的业务逻辑开发,可实现业务逻辑的强大定制、扩展能力,并保持系统开发、调试、维护的简单性。
4、应用集成接口技术:由于各个业务系统的对接要求不同,可制定标准接口,常见的标准接口有: SXML-RPC、JSON-RPC、MQ、Ftp、RMI、CORBA 等。
系统交互接口
内部接口
通过定义数据实体模型来作为模块之间传递的信息结构模板。
各模块之间通过函数调用、参数传递、返回值的方式进行信息传递。接口传递的信息将是以实体模型实例化实体对象封装的数据。
外部接口
TCP 模式:通过基于 TCP 协议的 SSLSocket 保证安全快速传输,基于约定的 FDEP 协
议与 DEXML 数据格式。数据传输过程采用 GZIP 压缩技术,以最大限度的提升传输性能。
异步处理优化
系统内部对于各交易请求全部采用异步处理的方式,各组成模块之间分工协作,不会因为某一个处理环节的性能瓶颈而导致当并发量增大时的系统崩溃。
网络流量优化
由于系统整个网络环境提供的带宽限制,信息的网络传输量将受到约束,也就是有一个最大值,无论采用什么样的技术手段,也不可能超越它。因此,要想提高系统的网络传输性能,就只能基于网络带宽现状,从诸如压缩数据,数据分包并发,采用全双工数据交换机等技术手段来进行范围内有效的优化。
应用服务优化
应用服务层的性能优化的目标就是提高下面几个指标:并发用户数量,吞吐量,可靠性。即在应用更快地为更多的用户提供服务的同时,保证服务过程不会中断。
应用服务层的性能优化可单纯靠添加硬件来提高性能,但很难获得好效果,这样虽然有可能暂时解决眼前的性能危机,但问题仍旧存在,一旦负载增加了又会出现。因此,首先从现有的应用和应用服务器榨取最大的性能。
并发用户
在应用服务器上运行应用,评估其在不能响应请求或响应请求所需时间超出许可范围之前能够支持的最大并发用户数量。响应时间可以由服务水准协议(Service Level Agreement, SLA,参见用 SLA 保证 Web 服务)定义,规定一个请求允许消耗的最长时间,超出该时间就被认为不可接受。对应用进行负载测试时很重要的一点是必须确保测试过程反映了应用实际运行过程中出现的典型事务,因为后来的性能优化措施将针对负载测试的结果进行。如果负载测试的事务不够典型,就不能有效地保证应用能够象测试环境中表现地那样为用户提供服务。
错误处理设计
出错处理信息
程序在运行时主要会出现两种错误:
1、由于输入信息,或无法满足要求时产生的错误,称为软错误。
2、由于其它问题,如网络传输超时等,产生的问题,称为硬错误。
对于软错误,须在操作成功判断及输入数据验证模块由数据进行数据分析,判断错误类型,再生成相应的错误提示语句,送到输出模块中。
对于硬错误,可在出错的相应模块中输出简单的出错语句,并将程序重置。返回输入阶段。出错信息必须给出相应的出错原因,例:“该编码已使用”、“无该条记录”等
出错处理对策
服务器安装不间断电源以防止停电或电压不稳造成的数据丢失的损失。若真断电时,客户机上将不会有太大的影响,主要是服务器上:在断电后恢复过程可采用数据库的日志文件,对其进行 ROLLBACK 处理,对数据进行恢复。
在硬件方面要选择较可靠、稳定的服务器机种,保证系统运行时的可靠性。安全保障体系设计
总体设计
说明:
1、系统支持采用产国信息安全体系进行数据加密和认证。
2、移动终端立足于全国产化自主、安全、可控的设备,支持采用国产化安全加密技术,保证终端安全的数据采集、存储、传输。
3、实现端、网、服务整体系统整体安全保障。
安全体系概述
随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制,主要体现在以下几个方面:
网络隔离需求:主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
攻击防范能力:由于 TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很
大的安全风险,常见的 IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。
网络优化需求:对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的 QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持 WEB 和 EMAIL 过滤,
支持 P2P 识别并限流等能力。
用户管理需求:对于接入局域网、广域网或者 Internet 的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,提出以下的安全分区设计模型,主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区等区域。通过以上的分区设计和网络现状,应建立以防火墙、应用层防御系统为支撑的深度边界安全解决方案:
防火墙:防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址
转换、流量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。
应用层防御:防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而 IDS 也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,检测并直接阻断恶意流量。
通过对安全区块的设计,在网络边界部署防火墙、IPS 等安全设备,不仅能够保证 2 至
7 层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护;
通过防火墙和 IPS 的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对 P2P 应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗 DoS/DDoS 的攻击等等。
设计原则
安全系统的建设目标是根据系统网络结构和应用模式,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,并提出相应的解决方案,制定相应的安全策略,编制安全规划,采用合理、先进的技术实施安全工程,加强安全管理,保证系统的安全性。
1、统筹规划,分步实施:明确整体安全策略,规划本系统平台信息安全保障体系并制定实
施计划,结合本系统平台应用实际情况和发展需要,分阶段、分步骤,不断推进和完善信息安全保障体系;
2、统一协调,各负其责:本系统平台信息安全系统将在医院的领导和统一协调下,落实责任,抓好安全工作,共同构筑本系统平台信息安全保障体系;
3、综合防范,整体安全:在本系统平台安全体系建设中,坚持管理与技术并重,内网与外网并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全;
4、分级保护、务求实效:从实际出发,综合评估信息的价值和系统所面临的风险大小等因素,科学划分网络与信息系统安全等级。依据安全等级进行安全建设和管理,综合xx安全
成本和风险,优化信息安全资源的配置,提高信息安全保障的有效性。
安全保障体系框架
1、安全技术体系
指实现物理安全、网络安全、系统安全、应用安全和管理安全需要采取的安全技术和措施。信息系统的安全保护建设主要包括:网络安全建设,包括网络平台改造、安全域划分、边界保护、入侵检测等内容;系统安全建设,包括防病毒、存储备份等内容;应用安全建设,包括签名验证服务器等内容;管理安全建设,包括安全运维管理的建设内容。
2、安全管理体系
指运用安全保密技术的同时,需要管理与技术并重,加强组织、人员、制度、资产和事件管理。完善安全管理组织责任,制定严格的安全制度,加强对人员和资产的管理,制定严格的应急预案,确保突发事件的应急处理。
3、安全服务体系
由于安全保密的复杂性、专业性和动态性,信息系统的规划、设计、建设、运行维护均需要有专业安全服务。需要有专业安全服务机构参与信息系统的安全建设和今后运行过程中的安全咨询、安全集成、安全维护、安全培训、应急响应、风险评估等工作。
设计策略
1、实现分域保护,纵深防御机制
为保障本系统网络区域的安全,在其安全域的网络边界处设置防火墙提供访问控制,并配置相应的安全策略。通过防火墙的边界逻辑隔离保护措施,允许资源互相访问的情况下,保护核心关键资产。在各安全域前,通过防火墙进行逻辑隔离和严格的安全接入访问控制机制,可有效的防止由网络入口处进行的各种破坏性的对网络的攻击和非法访问行为。
对数据域等关键区域通过部署多层防火墙进行纵深防御,设置不同于上层访问控制策略,更为严格的过滤访问安全存储区内数据的行为。
2、实现边界完整性检查与保护
首先在互联网出口处部署防病毒和入侵防御,对进入本系统网络的数据流进行了对于病毒和入侵的有效检验和过滤,补充了网络边界防护的防御措施;其次在防火墙内部署了网络入侵检测对网络的安全运行和改进、完善发挥着极其重要的作用,通过对全网内所有的数据流的实时采集与分析,特别是对于从外部网络进入本系统的访问行为,使得我们能够洞察内部网络内的各种非法行为,通过入侵检测,可以实时监控整个网络的数据流量,实时发现攻击行为并立即报警,为动态网络安全防御提供了良好的基础设备支持。从而实现了本系统网络的边界完整性检查与保护。
3、实现安全审计机制
解决内部人员违规的一个重要手段是对本系统网络系统实行高强度的网络安全审计。本系统网络系统对网络安全审计有着非常突出的需求。所谓网络安全审计不是简单的“日志记录”等浅层次的一般的审计概念。而是增强的,全方位,多层次、分布式的网络安全审计,它覆盖网络系统、操作系统、各类应用系统等,特别是针对本系统网络系统中一些典型应用系统采取强网络安全审计,对各种未授权或非法的活动实时报警、阻断等。支持支持审计的数据库种类包括 SQL Server、Oracle、sybase、MySQL、DB2、PostgreSQL、Teradata 等数据
库;支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计;支持 SQL 操作响应时间的审计,支持 Select 操作返回行数的审计。因此本系统网络系统所要实现的网络安全审计和数据库审计需要在以下方面得到增强:
增强信息收集能力;
增强信息分析能力;
增强适应性;
增强防绕过特性;
增强信息保护特性;
增强网络审计深度和针对性;
增强规范化,标准化和开放性;
增强对相关数据库的强审计性。
在本系统网络核心交换机上部署网络传感器探头,抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能。针对综合服务平台系统所在的安全区域边界及主机系统上建立了必要的安全审计机制
(包括网络行为审计和数据库审计),实现对违规行为的确认及时报警。
4、实现恶意代码库的综合防范机制
随着网络病毒的肆虐,病毒的危害性也越来越强,防病毒已经不仅限于单机形式的防病毒,而是需要建立一个统一的网络防病毒系统,通过统一的、强制性的防病毒策略,集中管理,定期升级,定期查杀,同时严格控制病毒源的入口,如电子邮件、软盘、光盘等。
首先,在互联网入口处分别部署防病毒措施,实现对边界安全防护的第一道针对于病毒的过滤“检查站”。
其次,本系统还在全网部署网络版防病毒软件。防病毒服务器部署在安全管理域。本系统网络系统防病毒服务器还应定时由管理员从网上下载病毒定义更新库,在防病毒服务器手工导入,进行更新,本系统网络系统防病毒客户端应定期从防病毒服务器上升级病毒库。建立病毒预报,病毒防治周报和月报制度。通过网络防病毒网关和防病毒系统构建的恶意代码库的综合防范机制。
网络安全
x系统网络安全保障体系从技术安全保障来看主要由以下安全措施和手段组成:
1、安全域划分措施;
2、通过防火墙建立了纵深、多层次、多级别防御机制;
3、通过入侵检测措施,构建了边界完整性检查与保护;
4、通过异构病毒防护措施,建立了基于病毒的恶意代码库的综合防范;
5、通过网络安全审计和数据库审计措施,建立了安全审计机制;
6、通过对以上安全措施和手段的统一整合,实现本系统网络系统安全保障体系的全面安全保障体系。下面详细针对各安全措施进行说明。
边界防护/分域防护
随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制,主要体现在以下几个方面:
网络隔离需求:主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
攻击防范能力:由于 TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险,常见的 IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。
网络优化需求:对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的 QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,提出以下的安全分区设计模型,主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区等区域。通过以上的分区设计
和网络现状,应建立以防火墙、应用层防御系统为支撑的深度边界安全解决方案:
防火墙:防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址
转换、流量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。
应用层防御:防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而 IDS 也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,检测并直接阻断恶意流量。
通过对安全区块的设计,在网络边界部署防火墙、IPS 等安全设备,不仅能够保证 2 至
7 层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护;通过防火墙和 IPS 的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对 P2P 应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗 DoS/DDoS 的攻击等等。
边界是划分各个不同安全域的关键点,边界的两边的安全域往往具有不同安全级别,对安全的要求也不相同。因此,对边界的保护是保障安全域的重要措施。
根据安全域划分,本系统平台划分为 4 个安全域,分别为应用服务域、安全管理域、数据域和 DMZ 区。网络采用双链路、双核心设计,并且在出口链路部署负载均衡设备,有效利用带宽。在网络出口部署带有防火墙功能的 UTM 和抗 DDoS 攻击设备,关键的数据域、应用服务域边界使用双接入交换机和双墙设计。
1、区域边界访问控制
同一安全域之内是相互信任的,而安全风险主要来自于该安全域与外界之间的信息共享和交互,因此,对于安全域的防护主要是对安全域边界的防护。区域边界访问控制的主要任务是保证网络资源不被非授权访问和使用,网络访问控制策略建立在安全域合理划分的基础上。
由于同一安全域内保护对象拥有相同或相似的访问控制需求,可以认为同一安全域之内是相互信任的,而安全风险主要来自于该安全域与外界之间的信息共享和交互,因此,对于安全域的防护主要是对安全域边界的防护。
在安全域边界主要通过防火墙、防病毒网关、三层 VLAN 等访问控制技术实现,主要安全策略如下:
访问控制策略:防火墙工作在不同的安全区域之间,对各个安全区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,进行判断,确定是否在在非法或违规的操作,并进行阻断,从而有效保障各个重要的计算环境;
地址转换策略:针对外网应用域,采取地址转换策略,来自互联网的用户只能到达外部地址,从而实现对服务器真实地址的保护;
会话监控策略:在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。
2、区域边界完整性保护
网络入侵检测系统是一种在网络上自动、实时的入侵检测和响应系统,它能够实时监控网络传输情况,自动检测可疑行为,分析来自网络外部和内部的入侵信号,在网络受到危害前发出警告,最大程度地为网络提供安全保障。
通过采用基于网络的入侵检测系统,以实现来针对于服务器的恶意或非法的访问请求的分析。
3、边界防火墙
防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址转换、流量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。
数据中心网络边界选用华为硬件防火墙。安全应该是目前防火墙方案中最重要的因素。基于 Symantec 多年积累的反病毒技术,采用文件级内容扫描的 AV 引擎,结合全球领先的仿真环境虚拟执行技术,提供高达 99%的精准检出率,采用 Symantec 领先的漏洞防护技术,
针对漏洞(而非攻击代码)提供“虚拟补丁”,让各种攻击变形无所遁形,持续追踪最新、最热门、最高危的系统漏洞和软件漏洞,以最快速的应对方案实现零日攻击防护,屏蔽挂马钓鱼等恶意网站,防范员工不当操作危害内网安全;隔离赌博色情等不良网站,营造绿色上网环境,这便是运行整个防火墙系统需要的全部软件。这意味着完全避免了潜在操作系统本身存在的安全漏洞。
防火墙收到的每个包都要经过若干彻底的一致性检查,如包头,选项,数据段和标记等。这些测试可使网络层避免 DoS(拒绝服务)攻击和 OS 指纹识别或通过防火墙的企图。
网络入侵防御与防范
基于网络的开放性与自由性,网上有各种各样的人,他们的意图也是形形色色的。利用防火墙技术,经过严谨的配置,通常能够为不同安全域之间提供安全的网络保护,降低网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,主要表现在以下几个方面:
1、入侵者可伪装成正常的访问请求通过防火墙,寻找内部系统可能存在的缺陷;
2、某些恶意程序(木马后门)和破坏者可能就在防火墙保护的系统内部;
3、由于性能的限制,防火墙通常不能提供实时的入侵检测能力;
4、保护措施单一。
因此为了弥补防火墙的不足,建立立体防御体系,可以考虑通过网络入侵检测系统用于分区实时检测和保护核心服务器和数据库,这样能够实时监控网络传输情况,自动检测可疑行为,分析来自网络外部和内部的入侵信号,在网络受到危害前发出预警,以便及时作出预判应对,最大程度地为网络提供安全保障。
根据网络规划、应用部署规划和网络访问流量的方向分析,建议对进入核心交换层的内部访问流量进行数据流镜像监听,有重点的对网络系统进行入侵检测防御。在互联网出口的两条链路上部署入 2 台带有入侵防御功能的安全网关,对进入网络内部的数据流量进行监测
和防护。
在核心交换机上部署 1 台高性能的入侵检测系统检测从政务外网进入到核心应用服务器和内网的数据流量,对相关业务域和全网用户访问行为进行有效监控,为日后的事件分析、系统情况排查提供可靠的数据依据。
网络防病毒系统
按照“层层设防、集中控制、预防为主、防杀结合”的策略,建设统一的、覆盖全网的、立体的、集中控制的网络防病毒体系,使网络没有薄弱环节成为病毒入侵的缺口。
网络安全审计
在网络层安全通过网络安全审计手段实现记录用户操作行为和分析记录;以及对资源访问的行为进行记录、集中分析并响应;当发现不符合规定的越权操作时能及时告警,迅速地查找出违规者的真实身份。
根据信息系统等级保护要求,对于三级信息系统需建立边界的安全审计机制,对确认的违规行为及时报警。
结合前面对系统网络总体防护等级情况及现状的差距分析,建议从下述几个方面进行规划建设:
完善业务域、数据域、安全管理域边界的访问控制措施;
加强数据域的安全审计体系建设,对于采用的审计手段及获得的审计记录数据在分析及安全存放方面完善;
建立核心网络边界处的攻击行为的检测报警措施;
建立用户的网络接入认证,以正确识别访问实体的身份。
系统安全
1) 软件安全
软件安全涉及信息存贮和处理状态的保护。无论是系统软件还是应用软件,都要求可靠和强壮,从信息之安全和保密角度考虑,软件安全主要有存取控制、信息流向控制、用户隔离及病毒预防等。
在软件安全中采取隔离控制是常规手段。多道编程、多用户存取操作系统内广泛使用隔离手段。多用户系统各用户程序互相隔离、多虚拟机是指一台中央处理机内同时运行若干不同操作系统,每个操作系统下又有若干用户同时工作。它们是互相隔离的,以达到保护的目的。
2) 访问控制
为保证计算机系统有序和有效操作,各进程就要受互资源管理策略的制约。存取控制为
实施资源管理策略提供机构,策略可以经常改变,但是它并不要求实施策略的机构有所改变,而只要求对系统参数和表格进行修改。
在设置存取控制机构时,要引入保护域的概念。一个保护域对应一个具体进程,其定义一个客体集和可在每个客体上实现存取权的类型。存取权可由三元组(域、客体、权集)有序级组成的存取矩阵表示。
存取矩阵的一种表示形式为存取表,表内每一列对应一个客体,每个客体的存取表由二元组(域、权集)组成。这样每个客体均有其全部域,且无空权集出现。
存取矩阵的另一种方式为权能表。若存取矩阵的列和客体结合,行和域结合,则构成一个域的权能表,它是允许在其上作存取操作的客体表。一个客体用其物理名或地址代表,称为一种权能。
文件系统中,对文件存取不仅可置于文件,还可置于与文件树关联的各级目录。利用口令字可对文件起保护作用。
3) 安全操作系统
软件安全的根本是对安全操作系统的要求和实现。这种系统靠建立安全核实现,将与安全有关的决策的操作系统权能均集中在一个小而全的保护域(安全核)内。其具有下列特征:
完全:主体对客体的全部存取权均受安全检验;
隔离:安全核代码受隔离保护,系统内任何其他软件不会对它干扰或修改;可信:实施安全权能为预料中的,不会伴生其它权能而构成威胁。
本项目优先国产化的操作系统。
4) 自主访问控制
应用系统对不同用户设定有不同的角色与权限,所有用户仅具有其所相应访问操作的权限,为进一步提高系统的自主访问控制能力。
1、应启用访问控制功能,依据安全策略控制用户对资源的访问;
2、应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
3、应实现操作系统和数据库系统特权用户的权限分离;
4、应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
5、应及时删除多余的、过期的帐户,避免共享帐户的存在;
6、应对重要信息资源设置敏感标记;
7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
5) 入侵防范
1. 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
2. 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
3. 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
6) 恶意代码防范
在业务系统服务器上安装防病毒软件,并执行以下的安全策略:
在应用服务器上安装服务器版的防病毒软件,可以免除服务器受病毒、xxx木马和其它恶意程序的侵袭,禁止文件及数据的分享进散布到整个用户的网络环境,提供完整的病毒扫描防护功能;
文件系统对象的实时保护策略:服务器防病毒系统通过对文件系统所有需要的模块进行分析,以及阻止恶意代码的执行,为文件服务器中的文件系统提供实时保护。
7) 资源控制
1. 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
2. 应根据安全策略设置登录终端的操作超时锁定;
3. 应对重要服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源
的使用情况;
4. 应限制单个用户对系统资源的最大或最小使用限度;
5. 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
8) 主机防病毒
安全威胁由来自外部的,也有来自内部的,在防止外部攻击的同时,也要关注来自内部的威胁。为了在主机安全方面主要关注运维操作的内容,本方案在运管管理区域部署 1 台网络审计设备相联,对日常的正常维护以及非法操作进行了审计及管理。
9) 数据传输安全
考虑远程传输大量备份数据的传输安全,在平台和容灾中心两端各部署 1 台 IPSec VPN设备,建立本地与远程容灾中心间安全的传输加密通道,以保障备份数据机密性、完整性的安全保障需求。
应用安全
通过对平台业务需求调研,需要通过外网与医院业务系统进行数据传输,因此对数据传输的保密性和完整性有较高要求。本方案对业务服务器区的所有数据做了有效的备份,同时采用数字签名验证服务器对业务关键环节进行数字签名及验签,保证了数据的完整性。
平台的各类业务数据经过一定的加密算法进行存储和传输,在与政务外网的信息系统进行数据交换时,将加密后的数据通过安全交换区和省市信息资源共享交换平台进行。
1) 用户身份认证
对所有的业务系统服务器采用强身份登录认证机制。信息系统在主机的登录认证需采用采用两种或两种以上组合的鉴别技术。
本次方案中将部署数字签名认证 DSVS,采用基于数字证书+USBKEY 认证方式实现对网内所有业务系统服务的登录认证。
2) 自主访问控制
对不同用户设定有不同的角色与权限,所有用户仅具有其所相应访问操作的权限,为进一步提高系统的自主访问控制能力,本方案将在应用系统自身权限设定基础上,通过统一认证管理系统来统一对业务系统的组织机构、用户、权限进行管理。
3) 用户数据完整性保护
通过部署数字签名验证服务器,利用数字证书和数字签名等安全技术来实现用户数据完 整性保护功能。同时将业务数据存储到磁带库和磁盘阵列中并采用采用数据备份及恢复措施,
提高数据的可靠性和安全性。
4) 系统防病毒保护
采用网络防病毒软件。在病毒可能传播的各个渠道进行监控,结合定时病毒扫描和自动更新,保证整个网络系统的安全,同时,需要结合相应的管理策略,充分发挥防病毒产品集中管理、主动防御的优势,构建整体病毒防护体系。
数据库安全
数据库信息和其他信息一样,在计算机中都是以文件或数据库关系表的方式来表示和存贮。文件系统可看作数据库系统的原始形式,其安全性能在前面讨论,这里仅对以数据库为环境的数据安全和保密作进一步讨论。
数据库的安全建立在操作系统的安全之上,在网络化的信息生产体系中,数据可以分布在不同机器上,也可以集中到文件服务器或数据服务器中,前者要求分布式数据库,后者要求若干客户/服务器的数据库管理系统。数据库的特点是使得数据具有独立性,并且提供对完整性支持的并发控制、访问权限控制、数据的安全恢复等。针对数据安全,下面分别讨论:并发控制、存取控制和备份恢复技术。
1、并发控制
数据库的完整性可以归纳为语义的完整性、运行的完整性的恢复问题。运行的完整性即并发性事务处理的控制(并发控制)。数据完整受损主要是出错所致,如用户程序、事务处理或系统有误。
数据的集中导致并行事务处理的出现,并行的事务处理可能会并发存取相同的数据。为防止并发存取和并发个性对数据完整性的危害,应采取措施保证无误无冲突地工作。基于隔离控制原理,这些措施目的在于使每项事务处理都觉得整个数据库为其独占,即逻辑模拟用户操作环境。
并发修改同一数据项时,可能会得出错误结果。所以在数据库中当某项事务正在修改一个数据项时,其他事务只能读取,而不能修改。
在空间数据库的情况下,采用锁的机制可保护数据完整性。锁的粒度取决于数据库的实现方法。基于图幅的组织方式时,整个图幅可为一个锁单元,无缝组织时,某个要素作为锁单元。文件系统时,整个文件只能有一项事务进行修改,其他事务可读取。最理想的锁粒度
应是数据库中的单个要素,但这要求空间数据库有非常强的功能才行。
数据库中,当图形数据和属性数据不在同一个库中时,在修改时还要保证两边的一致性,所以要同时锁住图形数据和属性数据。
2、存取控制
存取控制实为授权机制,是数据库安全的关键。对于何范围内的数据,在何条件下,规定准许可进行何种操作。
数据库中的数据有对事件敏感、状态敏感和模式敏感的三种,事件敏感的数据只对一组专门用户在指定的时间内开放。状态敏感的数据,存取取决于其值,即在数据库管理系统动态状况下起作用。对模式敏感的数据其存取取决于数据库模式设计时对其用法的规定。
用户在调用具体的模块时,要输入户名和密码或口令,每个模块均有其授权的用户。每种数据也定义了用户权限表,只有指定的用户才能进行相应的操作。用户权限是由数据库管理员来设定的。
对于数据库的操作可分为:拥有、只读、只写、读写、删除、增长率等。一般这种权限是在表一级上定义的,通过对视图(View)的授权也可以对表的列定义访问权限。
数据库的用户也是分组、分级的,数据库管理员拥有全部特权,数据拥有者次之,数据查询者又均低一等。
空间数据在存取控制上又有其专门特征。数据控制的可以是基于空间范围的,也可以是要素类的。有些区域对某些用户是开放的,对其他用户关闭;而有些要素只对某些用户是开放的。因此其存取控制可用一个三元组的表来表示,即(范围,要素,权限)。该表只有 DBA
才能访问修改。
3、数据恢复
数据库中的数据是独立于程序而存在的,无论是自然错误还是人为错误,都可能有千百万数据的错误,为了能够恢复修改前的状态和值,数据库的操作要具有:
自动恢复:在出错时可回到修改前状态;
自动备份:数据库修改后,原数据应有备份,这种备份又有完全备份和增量式备份;历史数据:当数据库中数据大量修改后,原来的数据要保留入历史库中,供以后用。
4、数据保密
在远程访问时,数据查询结果要在网上传送,这样就要求传送的数据安全。同样要采用加密的方法来达到目的。
安全管理体系
安全管理体系建设是信息安全管理规划的重要组成部分,是网络正常、安全运行的重要保证。只有加强信息的安全管理,才能保证网络服务的机密性、完整性、可用性。实现信息安全管理就必须通过建立一系列网络安全保密管理办法,构建安全行为规范,保障和促进技术手段的有效实施。本系统平台安全管理体系建设主要包含以下几方面:
1、建立网络安全建设、运行的管理组织机构,明确相应职责;
2、进行网络安全技术人员的培训、管理;
3、界定不同岗位的技术权限的,建立权限管理制度;
4、制定网络管理人员、网络安全人员、各级网络操作人员正确的行为规范和操作程序;
5、监督重点网络建设,管理运行场地及其场地设施;
6、对重要网络设备、网络安全设备的运行、维护、报废实施管理;
7、规范技术文档的内容,制定管理办法;
8、进行各类帐号、口令的产生、发放、销毁的管理;
9、重要存贮介质的管理;
10、制定安全应急方案;
11、建立网络互联管理办法。
需针对本项目成立专门的信息安全领导组织,统领数据、网络、运维各管理部门,指定具体的维护人员,建立外部的软件厂商、硬件厂商、专业服务团队、安全产品提供商的联系,建立从安全监管机构到信息安全支持机构的管理体系;
安全服务体系
由于安全保密的复杂性、专业性和动态性,信息系统的规划、设计、建设、运行维护均需要有专业安全服务。需要有专业安全服务机构参与信息系统的安全建设和今后运行过程中的安全评估、安全加固、安全保障、安全应急响应等工作。
国产化支撑
由于企业参与使用平台,所以整个系统同时运行在政务外网和内网之中,端到云的安全就非常重要。
通过国产自主的通信认证系统,平台用户可以在内部构建一个与外界通讯环境完全隔离的受保护通讯平台,具有商业保密需求的通讯以该平台进行传递,可以防止重要的商业信息被监听和泄漏。
国产自主的通信认证系统客户端程序可以安装在智能手机、平板设备、笔记本电脑、台式终端上,结合后台服务器形成完整系统,向用户提供灵活的通讯功能。
国产自主的通信认证系统安全通讯系统在传统语音和短消息及文件传送系统的基础上,加上对客户端的安全认证和数据保护功能来保护用户的通讯数据。
整个系统以国产自主的通信认证系统标识安全认证体系技术为核心,实现对每个终端用户的认证接入和应用授权管理,从而保证整个通讯平台的安全性。
每个用户在接入系统之前,服务端先通过标识验证该用户端的合法性,然后才进行应用授权,同时通过认证系统标识认证体系对用户域进行划分和交叉授权,在统一通讯平台上实现灵活的域管理和交叉授权服务。
专家移动工作站安全终端系统
安全终端系统应该包括智能终端和中间件两部分。智能终端(即硬件)支持 4G/WiFi/蓝牙等无线传输方式,支持多种制式的音视频编解码。中间件采用数据隔离机制,支持文件级的加密粒度以及加密数据库,并提供相关接口,从而实现数据的高安全防护。
元心双系统
元心智能移动操作系统是国内操作系统这一领域市场上首个获得的 EAL4 级安全认证的安全操作系统。
一台设备,同时运行两个系统:安全系统和生活系统。双系统系统可以根据需要瞬间切换。
支持指纹切换、图标切换等多种切换方式。后台重要信息的感知能力。
两个系统间采用高安全的深度隔离技术进行隔离。多种手段保证整机的安全性。
更加强化的安全系统安全性。
双域隔离
文件系统隔离:系统间互相不可见;
IPC 机制隔离:系统间不能够使用原生 IPC 机制直接进行通讯、调用;服务隔离:两个系统的服务不能直接跨系统使用;
设备节点隔离:关键设备节点不能被任一系统随意访问,访问方式受内核控制;用户隔离:两个系统内的用户相互是隔离的,并没有任何关联;
安全的专用通讯机制:保证双系统间可以协同工作,例如系统的切换、文件的共享、通知消息的发送、配置项的同步等等;
内域访问受限,应用受限;内核之上运行时隔离。
产品特点
支持 4G 通信, 网络制式支持 7 模全网通, 支持 TD-LTE, LTE-FDD ,
TD-SCDMA/HSPA(+), WCDMA/HSPA(+),GPRS 等各种制式
支持 WiFi(WEP、WPA/WPA2 PSK 以及 802.1x EAP)
支持蓝牙(蓝牙 4.0,及加密模式)
支持 VPN(PPTP、IPSec、SSLVPN)
支 持 OpenGL ES3.0
支持硬件高清音视频编解码,各种主流编码格式(H.264,MPEG4,H.263,
VP8 等)
主屏尺寸: 5.5 英寸
主屏分辨率: 1920x1080 像素
屏幕像素密度: 401ppi
后置摄像头: 1300 万像素
前置摄像头: 500 万像素
电池容量: 5100mAh
处理器: 高通晓龙 625 8 核
内 存 : 4GB
内置存储: 64GB
一体化的安全保证
可信启动
终端支持安全启动及应用程序签名。
可信基于某种硬件不可更改机制,对启动流程中加载执行的所有软件模块进行逐级校验;
CPU 上电时使用某一预置硬件值,对其加载的启动代码加以校验,保证其未被篡改;
该启动代码加载后,使用其内部携带的密钥,对其即将加载执行的代码进行进一步的数字签名校验;
同理,次级代码再次对其加载执行的下级模块进行签名校验;
可信启动保证了系统初始运行于一个干净、安全、未被篡改的可信环境中;
可信启动也可以保证刷机、OTA 过程的安全,未经签名的、篡改过的镜像文件和 OTA
包无法刷入手机;
可信启动结合对可执行文件的签名校验,进一步保证了系统内核态的安全。
全盘加密和内存卡加密
| 支持 SD 卡全盘加密,并提供文件级加密机制,加密数据库,及相关 API; |
| 支持基于可信计算环境的密钥管理; |
| 支持基于不同应用场景的密钥管理; |
| 支持xx标准全盘加密机制; |
| 基于 dm-crypto,默认对数据分区进行整个设备的加密; |
| 定制的加密策略,可以变更加密设备的类型和范围; |
| 支持对 TF 内存卡的全卡、分区加密。 |
性能特性
传输中间件
系统应支持通过多种方式获取实景视频设备的视频数据流:蓝牙或 WiFi 方式。
获取的数据使用加密接口对数据进行实时加密,并将加密后的数据流通过 VPN 通道传输至后台的实景业务处理系统,传输方式支持 4G 网络和 WiFi 方式。
安全认证系统接入系统
过 TLS 协议与服务器建立安全连接
client
server
TLS initiation
Validate
Server certificate
Server certificate
Appserver certificate
TLS Established
Validate Server certificate
客户端跟服务器 TLS 双向认证,服务器验证客户端 CA 证书,保证终端系统和使用者的合法性及唯一性;客户端验证服务器的 CA 证书,确保服务器的合法性。
多种身份验证
客户端接入多种方式:
身份验证支持通过密码方式,支持简单密码和复杂密码;身份验证支持生物识别等方式,例如指纹等。
安全加密模块
所有终端与后台的信息传输,应支持使用 HTTPS, SSL/TLS 等协议进行加密,以确保认证信息的安全交换。
web 端通过 HTTPS 与服务器安全连接
Web 与服务器 HTTPS 安全连接;传输过程完全加密;
参数说明
1、 支持标准加解密算法,包括国密 SM1~SM4
2、 支持软件/硬件加解密(硬件加密如 T 卡,Trustzone 等)
3、 支持多种认证方式,如简单密码,复杂密码,图形密码,指纹,虹膜等
4、 支持 CA 证书体系
5、 支持 HTTPS, SSL/TLS 等加密数据传输方式
核心安全业务系统
核心安全业务系统包含管理后台模块、身份验证模块、数据解密模块和数据转发模块。管理后台是管理员针对账号的管理。核心安全业务针对用户的接收来自专家移动工作站安全终端系统的加密的音视频数据,进行数据解密,并发送给视频交互服务器进行视频展示。
管理后台
管理后台即系统管理及支撑平台:面向管理员和运维人员,能够进行账号管理和组织机构管理。
账号管理
支持账号的新建、批量导入、修改、删除等操作。组织架构管理
支持部门的新建、修改、删除等操作。
身份验证模块
通过 CA 证书和密码方式,验证接入的终端身份,对账号信息进行检查。
数据解密模块
支持多路数据同时解密(至少 5 路),加密算法支持国密算法 SM1-SM4 和其他商密算法。
支持各种主流视频格式编解码,如 H.264,MPEG4,H.263,VP8 等。支持 HTTPS, SSL/TLS 等加密数据传输方式。
数据转发模块
接收来自专家移动工作站安全终端系统的加密的音视频数据,解密后转发到视频交互服务器。
音视频安全传输应用软件
功能架构
软件分为统一登录模块、数据采集模块、数据加密模块、数据存储模块、数据传输模块及音视频播放模块。
统一登录模块
支持用户名、密码方式登录;支持指纹方式登录;
通过 CA 证书验证接入的终端身份,对账号信息进行检查;
与客户端之间 TLS 双向认证。
client
server
TLS initiation
Validate
Server certificate
Server certificate
Appserver certificate
TLS Established
Validate Server certificate
数据加密模块
支持数据加密,加密算法支持国密算法 SM1-SM4 和其他商密算法,通过安全终端系统提供的接口对音视频数据进行加密处理。
数据传输模块
采集到的手术视频,并加密;将加密的数据本地存储;
将加密的数据传输到到后台安全业务系统;支持同步展示采集到的手术视频。
二、 项目实施保证措施
售后服务及承诺
1. 乙方将组建项目小组进行服务。以良好的服务理念和完善的售后服务体系,能够按照投标技术方案提供系统集成技术支持服务;
2. 乙方在遵守国家法律、法规、规程、有关标准的前提下,遵循业主至上的原则,尊重业主提出的要求、建议。乙方将在本项目中对采购人提供全程、全方位的服务。
3. 乙方承诺:硬件设备安装调试完毕并验收合格后,免费原厂质保三年;系统正式上线并验收合格后,免费维护三年;质保期内系统升级、维护均免费;
4. 乙方承诺:在系统建设、使用、运维等过程中遇到问题时,甲方都能够得到乙方相应的技术支持与帮助。
5. 乙方提供 7*24 小时(每周 7 天,每天 24 小时)热线电话、远程网络、现场等技术支持服务,对于系统故障,提供快速响应机制,满足医院业务连续性要求;接到业主通知后最迟 1 小时响应,2 小时到现场。
6. 乙方承诺:服务内容及服务质量满足合同要求,并符合国家有关标准要求。
7. 乙方承诺:根据医院的业务特点和用户认知程度不同,提出系统而有效的培训方案。
8. 乙方承诺:由于乙方原因造成的损失由乙方承担。
附加服务
在上述软硬件维护服务期内,乙方每三个月对系统运行稳定性或服务期安全性进行一次检测并根据检测结果出具相应报告。
人员保障
项目实施过程中,乙方保持实施团队骨干人员稳定性。如出现骨干人员变动,需提前告知甲方并提供同等级别的人员予以替换。
三、 验收标准
专家移动工作站安全终端系统
功能说明
该系统的功能是将远程或急救车手术现场中,实景视频设备采集的视频流进行加密存储,和加密传输,保证从端到云的医疗数据安全。
专家移动工作站安全终端系统应该包括智能终端和中间件两部分。智能终端(即硬件)需要支持4G/WiFi/蓝牙等无线传输方式,支持多种制式的音视频编解码。中间件(即软件)可以采用数据隔离机制,需要支持文件级的加密粒度以及加密数据库,并提供相关接口,从
而实现数据的高安全防护。
系统应支持通过蓝牙或WiFi方式获取实景视频设备的视频数据流,使用加密接口对数据进行实时加密,并将加密后的数据流通过VPN通道传输至后台的实景业务处理系统,传输方式可以直接使用4G网络,也可以使用WiFi方式。
参数说明
1. 支持4G通信,支持TD-LTE, LTE-FDD,TD-SCDMA/HSPA(+), WCDMA/HSPA(+),GPRS等各种制式;
2. 支持WiFi(WEP、WPA/WPA2 PSK以及802.1x EAP);
3. 支持蓝牙(蓝牙4.0,及加密模式);
4. 支持VPN(PPTP、IPSec、SSLVPN);
5. 支持OpenGL ES3.0;
6. 支持硬件高清音视频编解码,各种主流编码格式(H.264,MPEG4,H.263,VP8等);
7. 支持SD卡全盘加密,并提供文件级加密机制,加密数据库,及相关API;
8. 支持双域隔离,安全域与普通域存储完全隔离,内核之上运行时隔离;内域访问受限,应用受限;
9. 支持安全启动及应用程序签名;
10. 终端操作系统应具有EAL4级别安全认证;
安全认证接入系统
功能说明
安全认证接入系统是运行于专家移动工作站安全终端之上的一个子系统。该系统主要实现对用户身份和设备身份的验证。
认证接入系统应支持多种方式的用户身份校验,如密码方式、生物识别方式等,并使用 CA证书与后台进行接入认证,从而保障终端系统和使用者的合法性及唯一性。
所有终端与后台的信息传输,应支持使用HTTPS, SSL/TLS等协议进行加密,以确保认证信息的安全交换。
参数说明
1. 支持标准加解密算法,包括国密SM1~SM4;
2. 支持软件/硬件加解密(硬件加密如T卡,Trustzone等);
3. 支持多种认证方式,如简单密码,复杂密码,图形密码,指纹,虹膜等;
4. 支持CA证书体系;
5. 支持HTTPS, SSL/TLS等加密数据传输方式;
核心安全业务系统
功能说明
核心安全业务系统的基本功能是接收来自专家移动工作站安全终端系统的加密的音视频数据,进行数据解密,并发送给视频交互服务器进行视频展示。
该系统需要支持多路数据同时解密(软/硬件解密均可)。加密算法需要支持国密算法,和其他商密算法。
业务系统应能够通过特定的VPN通道接收加密数据流,其传输协议支持HTTPS, SSL等方
式。
参数说明
1. 支持多路(至少5路)高清音视频解码
2. 支持软/硬件加解密,支持国密算法
3. 支持各种主流视频格式编解码,如H.264,MPEG4,H.263,VP8等
4. 支持HTTPS, SSL/TLS等加密数据传输方式
音视频安全传输应用软件
功能说明
此应用运行在专家移动工作站安全终端系统上,应满足如下功能需求:
1. 用户注册,登录等操作;
2. 通过安全终端系统提供的接口对音视频数据进行加密处理;
3. 加密的数据除本地存储外,同时传输至核心安全业务后台系统; 4.支持同步展示采集到的手术视频。