广东省智慧医院建设方案

广东省智慧医院建设方案指引为加快推进卫生强省、健康广东建设，按照《广东省促东省智慧医院建设指引》，以促进和规范全省智慧医院建设，引领全省医院信息化发展方向，推动广东省医院信息化建设的再上新台阶。智慧医院是数字化医院建设的更高阶段，具有较高的信息化综合应用和智能化水平。其特点是在信息深度共享和业务深度协同的基础上，广泛应用云、大、物、移、智等新兴技术就医疗服务的供需两侧进行深度融合应用与流程再造，向群众、医务工作者、管理者提供全面、快捷、贴心的智慧惠民、智慧诊疗、智慧管理服务，从更高层次的上改善人民群众就医体验、增强健康获得感，提高医务工作者工作效率、降低劳动强度，提升医院管理效益、优化资源配置。本指引旨在为智慧医院提供必要的建设路径，以实现上述目标。本指引基于综合性医院业务背景制定，专科医院结合自身业务特点参照相关内容开展智慧医院建设。因时间和编者水平有限，指引难免有不足之处，相关意见建议请及时向省卫生计生委信息统计处反馈。第一章基础能力 11.机房基础 11.1基础装修 11.2电气设备 11.3安防管理 21.4综合管理 32.硬件设备 32.1服务器设备 32.2存储设备 42.3网络设备 42.4终端设备 73.基础软件 83.1操作系统 83.2中间件 93.3虚拟化软件 93.4数据库系统 103.5数据分析工具 114.数据中心安全 114.1防火墙 124.2安全审计设备 134.3系统加固设备 144.4数据加固设备 154.5入侵防范设备 164.6身份认证系统 184.7访问控制系统 204.8安全管理系统 205.终端安全 225.1身份认证设备 225.2介质安全设备 235.3客户端管理系统 5.4终端安全管理系统 6.网络安全 256.1结构安全设备 256.2通信加密设备 266.3网络优化设备 266.4网络安全管理 277.容灾备份 287.1基础设备灾备 287.2备用网络灾备 287.3数据备份与恢复 7.4应用容灾 298.技术力量 308.1组织结构 308.2人员组成 30第二章信息平台 309.信息资源平台 309.1临床数据中心 309.2运营数据中心 309.3科研数据中心 3110.信息交换平台建设标准 10.1消息传输 3110.2数据整合 3210.3服务集成 3210.4管理监控 3211.信息服务平台建设标准 11.1注册服务 3311.2文档共享服务 11.3文档存储服务 11.4业务协同服务 11.5安全与隐私保护服务 12.互联互通 3412.1概述 3412.2基本功能 34（1）平台技术架构 34（2）平台交互服务 34（3）平台运行性能 34第三章新技术、新业态、新模式 13.大数据平台 3513.1概述 3513.2应用场景 3514.云计算技术 3514.1概述 3514.2应用场景 3615.人工智能技术 3615.1概述 3615.2应用场景 3716.移动互联网 3716.1概述 3716.2应用场景 3817.物联网技术 3817.1概述 3817.2应用场景 3818.药品SPD 18.1概述 3918.2基本功能 3919.耗材SPD 4019.1概述 4019.2基本功能 4120.处方流转 4120.1概述 4120.2基本功能 4121.互联网+智能护理 4221.1概述 4221.2基本功能 42第四章智慧应用 4322.智慧便民 4322.1互联网服务 4322.2预约服务 4322.3就诊服务 4422.4信用服务 4822.5陪护服务 4922.6满意度评价 4922.7信息推送与公开 22.8随访服务管理 22.9健康管理 5123.智慧医疗 5223.1医疗服务 5323.2医务管理 6623.3护理管理 6923.4院感管理 7023.5数据上报管理 24.智慧药事 7224.1合理用药 7324.2抗菌药管理系统 24.3药师药历系统 24.4临床药学消息交互平台 24.5处方/医嘱点评系统 24.6前置审方系统 24.7药物临床试验管理 8025.智慧应急（可选） 8125.1紧急医学救援指挥系统 8125.2单兵系统 8225.3移动转运系统 8225.4智能化的紧急医学救援设备管理系统 8225.5智能化的紧急医学救援电子检伤系统 8325.6移动医院远程诊断系统 8325.7远程生命体征监测与传输系统 8425.8平急结合的社区紧急医学救援一体化系统 8426.智慧运营 8426.1财务管理 8526.2预算成本管理 8526.3医院资产管理 8626.4物资管理 8726.5人力资源管理 8726.6智慧后勤 8926.7运营决策分析 9326.8移动OA系统（移动办公自动化系统） 9327.智慧医保 9427.1概述 9427.2基本功能 9428.智慧科教 9528.1科研项目管理 9528.2科研辅助管理 9628.3应用转化管理 9628.4教育培训管理 97第一章基础能力计算机系统可靠运行要依靠计算机房的严格的环境条件（机房温度、湿度、洁净度及其控制精度）和工作条件（防静电性、防火性等）。在室内装潢部分的设计遵循的原则是：要体现出作为重要信息汇聚地的室内装潢特点；在充分考虑计算机系统、通讯、空调等设备的安全性、可靠性、先进性的前提下，达到高雅、大方、简朴的风格；机房室内装潢基本格调要简明、淡雅、柔和；选用装潢材料方面，要以自然材质为主，并充分考虑环保因素。——地面处理：为了铺设电源线及信号线方便，地面采用全钢抗静电的活动地板，其系统电——天花设计：设计采用国产优质金属微孔天花，白色哑光，内贴吸音纸，顶棚内有大量的管线以及照明灯具等其它设备；——墙身处理：墙面设计可根据实际情况选择不易吸尘、起尘及防火、防潮的材料为宜；——门窗工程：外门设计均采用定制钢质防火门，玻璃隔断上为钢化玻璃门，主机室、UPS室外窗一律做封窗处理；——机房的防尘处理：计算机房的洁净度要求是计算机房的一个重要指标，没有一个良好的空气质量，将大大减短计算机的寿命，影响其正常工作。机房墙身、窗户、门等必须做防尘处理；——机房内的防鼠处理：为保证机房及设备的运行安全，所有机房与外界连接的管线槽口处均以专用防火泥封堵，新、排风系统与大楼新、排风管道连接设防鼠钢网，从而符合消防规范提出的防范技术要求，并防止虫、鼠进入机房。按照经验估算，主机房耗电量是设备耗电量的两倍。设备耗电量可用机柜为单位来计算，一个机柜设备的耗电量估算为7KW。主机房耗电量=7KW×机柜数量×2。1.2.2基本参数——不间断电源：置双机互备在线式不间断电源UPS，待机时间在1到2小时；房内的业务主设备由不间断电源系统供电，不间断电源系统应有自动和手动旁路装置。配置柴油机发电机，容量应包括UPS的基本容量、空调和制冷设备的基本容量、应急照明及关系到生命安全等需要的负荷容量；宜采用专用电力变压器或专用回路供电，其动力系统电源与电子信息设备的电源应分开回路供电，设置专用配电箱(柜)；——电源采用双路电源，末端切换，放射式配电系统；——防静电及防雷:按照国家标准《建筑物防雷设计规范》和《建筑物电子信息系统防雷技术规范》规定执行。地面应有静电泄放措施和接地构造，防静电地面的体积电阻应为2.5×105～1.0×109欧姆。静电接地的连接线采用焊接或压接，采用导电胶与接地导体粘接时，其接触面积不宜小于20厘米。安防管理以维护机房安全为目的，运用安全防范产品和其它相关产品所构成的人脸识别系统、视频监控系统、出入管理系统、入侵监控等。1.3.2基本功能——人脸识别：基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部的一系列相关技术，通常也叫做人像识别、面部识别；——视频监控：监控范围包括机房出入口、机房内部、机房监控室、变配电室、UPS电池室、发电机房、动力站房等区域。宜采用高清彩色网络摄像机，达到摄像无死角，视频内容清晰，可远程监控，存储时间≥1个月；不能提供24小时照明的区域，应具有补光措施；——出入管理：管理范围。包括机房出入口、机房监控室、安防设备间、变配电室、UPS电池室、发电机房、动力站房等区域。识读设备。出入区域门禁系统的识读设备采用非接触读卡器或采用人体生物特征识别设备。紧急出口建议采用推杆锁与监控室联动，具备报警功——入侵监控：监控范围。包括机房内、安防设备间、变配电室、UPS电池室、发电机房、动力站房等区域。报警联动。可通过网络、固定电话、手机等途径将报警信息及时通知相关人员。综合管理是对机房进行综合性的管理，包括环境监测、精密空调新风系统监测、供配电系统监测。1.4.2基本参数——环境监测：气质量监测。包括含尘浓度、温度、相对湿度、压差；——水感应器：设置强制排水设备，有漏水发生，系统将按预设报警方式通知相关人员；——精密空调新风系统监测：风系统监测。包括运行状态、滤网压差，报警参数（传感器故障、风量）等内容。密空调监测。包括状态参数（开关、制冷、加热、加湿、除湿、水阀开度、水流量）、报警参数（温度、相对湿度、传感器故障、压缩机压力、加湿器水位、风量）等信息；——供配电系统监测：供配电系统监测。包括的开关状态、电流、电压、有功功率、功率因数、谐波含量等，可根据需要选择。不间断电源监测。包括的输入和输出功率、电压、频率、电流、功率因数、负荷率、电池输入电压、电流、容量等，可根据需要选择。监测每一组蓄电池的电压、故障和环境温度。测柴油发电机油箱（罐）油位、柴油机转速、输出功率、频率、电压、功率因数。服务器系统是计算机数据中心的核心部分。目前，医院使用服务器主要有机架式服务器、塔式服务器、刀片式服务器、服务器存储一体机等类型。2.1.2参数要求——服务器存储一体机：通过标准化的架构集成了服务器、存储、网络、软件等配置，简化了数据中心基础设施部署和运维管理的复杂性的一体化设备；——对于医院信息系统使用的服务器主要有如下参数要求：CPU参数、内存参数、硬盘参数、电源数量、以太网端口数量、HBA卡速率和端口数量等；——CPU：通常有一路（搭载1个CPU）、两路（搭载2个CPU）、四路（搭载4个CPU最高到八路（搭载8个CPU）服务器，其中CPU性能为核数有双核、四核、六核、八核、十核、十二核、二十八核等类型的，主频由2.0GHz到3.8GHz不等。选择时可根据实际应用规模确定；——内存：一般配备24-48个，最高达190个以上的DDR4DIMM插槽，选择时可根据实际应用规模确定；——硬盘：一般配备4-8个，最高达40个以上的硬盘，要求支持的RAID0,RAID1,RAID5,RAID6,RAID10,RAID50模式。其中硬盘根据介质不同SATA/SAS/SSD三种类型，根据转速不同常见有7200rpm、15000rpm等类型。选择时可根据实际应用规模确定；——同时要求最少配备双电源、双网卡等。通过统一存储的应用分配规划医院的信息系统，达到信息充分共享、业务协同和医疗智能化的应用。包括全闪存存储、混合闪存存储、融合闪存阵列、云存储。2.2.2参数要求——控制器：一般要求有2个控制器或者以上，同时缓存容量在32GB-2TB之间；——端口：要求支持FC、FCoE、iSCSI、InfiniBand、NFS、CIFS、HTTP、FTP等存储网络协议；——硬盘：一般支持接口类型有SSD/SAS/NL-SAS/SATA等，硬盘容量、硬盘数量可根据实际应用规模确定；——数据保护软件功能：快照、克隆、拷贝、卷镜像、双活、备份等；——存储管理软件：数据中心中对存储设备集中提供操作维护1）集中管理来自不同供应商超过30余种存储软件，以便简化管理2）采用端到端存储路径分析提高故障定位3）管理光纤通道交换机(BrocadeandQLogic)4）发送容量分析报告，以便提高空间规划和降低存储成本。（5）提供存储健康评估和系统诊断，以便提高系统的稳定性。2.3.1核心交换机概述：主要负责全院区信息数据交换通讯功能，实现快速数据处理业务的设备。——具有主控引擎模块、电源模块、风扇等具备冗余功能，支持业务板卡热插拔。——支持千兆光电口与万兆光电口；——支持主流转发模式、堆叠技术、端口捆绑技术、隧道及加密技术；——能支持VRRP、STP、CSS、SNMP、TELNET、SSH、OSPF、RIP、VLAN等协议技术；——支持3块以上业务板卡、交换容量≥30TBbps、包转发率≥2500Mpps。2.3.2汇聚层交换机通常作为某个区域多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，具有承上启下的作用。——具有电源模块、风扇以及光电端口等具备冗余功能；——支持千兆光电口与万兆光电口；——支持主流转发模式、堆叠技术、端口捆绑技术、隧道及加密技术；——能支持VRRP、STP、VLAN、SNMP、TELNET、SSH等协议技术；——支持多业务板卡、交换容量≥3TBbps、包转发率≥480Mpps。2.3.3接入层交换机通常是指直接连接网络终端设备的交换机。——接入端口为百兆或千兆光电口，有条件可千兆到桌面；——根据使用情况可采用POE交换机；——支持交换容量经验值≥250Gbps、包转发率经验值≥90Mpps、接口数量应满足实际使用需求并具备冗余和可扩展性；——支持端口安全，实现MAC地址自动学习绑定；——支持802.1X协议；——支持STP、VLAN、SNMP、TELNET等协议。2.3.4路由器连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。——支持主流二三层网络协议、Qos服务；——支持主流安全加密传输技术、VPN技术（包括IPsec与L2TPVPN——支持流量负载均衡；——支持流量管理、虚拟通道划分；——支持策略路由；——支持RIP、OSPF等路由协议；——支持地址转换、端口映射功能；——包转发率经验值≥15Mpps，接口类型及数量应满足实际使用需求并具备冗余，支持双主控、双电源。2.3.5无线控制器（AC）是建无线局域网时，与无线AP配套使用，管理无线网络中的所有无线AP的网络设备，包括下发配置、修改相关配置参数、射频智能管理、接入安全控制等功能。——吞吐性能经验值≥20Gbps，最大无线访问接入点管理数经验值≥1024，电口／光口及数量根据实际情况选配；——支持主流接入控制、虚拟化、分层管理等技术；——支持主流安全防御技术，支持无感知认证和主流转发模式；——支持AP自动选择信道；——支持AP功率自动调优；——支持2.4G与5G频率的通信信号；——支持多个SSID划分。2.3.6无线接入点（AP）负责发射无线射频信号，供无线终端设备进行接入。——网口PoE供电，支持内置天线或馈线方式，支持RJ45网线或本地电源适配器供电方式；——支持主流无线通信协议；——支持安全加密、数据过滤等技术；——支持2.4G与5G频率的通信信号。2.4.1移动终端包括手机、笔记本、平板电脑、POS机甚至包括移动心电图、移动DR等设备。——个人手持终端（PDA）。具备多核处理器，具备扫描识别主流标准条码功能，支持WIFI、蓝牙、RFID和NFC等无线技术，具备扬声器、听筒和麦克风模块；——手持平板。具备多核处理器，具备扬声器、麦克风和摄像头模块，支持802.11a/b/g/n/ac、蓝牙等无线技术；——其他移动终端。具有支持WIFI功能，支持2.4G与5G通信技术，根据实际需要，可配置有其他辅助功能，例如手写输入、语音识别等功能。2.4.2无线扫描枪通过蓝牙、wifi等传输数据，可以不受数据线电缆的长度限制传输数据。——按照国家标准《外壳防护等级标准》GB4208-2008的有关规定；——扫描方式支持影像式；——支持USB、RS485接口；——支持识别条形码和二维码等；——外壳防护等级至少满足IP41。2.4.3打印机打印机（Printer)是计算机的输出设备之一，用于将计算机处理结果打印在相关介质上。——条码打印机。具备LPT并口接口或RS232或USB接口，支持打印主流一维和二维条形——针式打印机。具备USB等串行接口或LPT并行接口，支持TCP/IP网络连接；——激光打印机。具备USB等串行接口或LPT并行接口，支持WIFI连接，支持TCP/IP网络连接；——胶片打印机。支持标准DICOM接口，支持TCP/IP网络连接；——卡片打印机。具备USB等串行接口或LPT并行接口，支持TCP/IP网络连接；——喷墨打印机。具备USB等串行接口或LPT并行接口，支持TCP/IP网络连接。操作系统（OperatingSystem，简称OS）是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。在医院中，一般可以分为服务器操作系统、台式电脑操作系统和移动终端操作系统。3.1.2基本功能——服务器操作系统：服务器操作系统主要分为WindowsServer、Unix、Linux等；——WindowsServer：WindowsServer是微软在2003年4月24日推出的Windows的服务器操作系统，其核心是MicrosoftWindowsServerSystem（WSS）。重要版本有WindowsNTServer4.0、Windows2000Server、WindowsServer2003、WindowsServer2003R2、WindowsServer2008、WindowsServer2008R2、WindowsServer2012；——Unix：UNIX操作系统（尤尼斯是一个强大的多用户、多任务操作系统，支持多种处理器架构，按照操作系统的分类，属于分时操作系统。目前，较常用的UNIX、类UNIX系统有AIX、Solaris、HP-UX等；——Linux：Linux是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。Linux存在着许多不同的Linux版本，较常用的有RedHat、Centos、Ubantu等；——台式电脑操作系统：目前在医院中使用的台式电脑操作系统大部分都为采用了图形化模式GUI的Windows操作系统。其按架构的不同，分为32位、64位系统。按版本的不同，分为WindowsXP、WindowsVista、Windows7、Windows8、Windows8.1和Windows10等较常用的版本；——移动终端操作系统：移动终端操作系统主要应用在移动终端上。主流的移动平板操作系统IOS系统、Android系统、Windows系统等；——ios系统：iOS属于类Unix的商业操作系统。主要运用在iPad，iPhone，iPodtouch等设备终端上；——Android系统：Android是一种基于Linux的自由及开放源代码的操作系统，主要使用于移动设备，如PDA、平板电脑等移动终端；——Windows系统：MicrosoftWindows是美国微软公司研发的一套操作系统。与台式电脑操作系统上使用的Windows操作系统类似，也是采用了图形化模式GUI的操作系统。其适用大多数的平板电脑。中间件是一种独立的系统软件或服务程序，分布式应用软件借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上，管理计算机资源和网络通讯。是连接两个独立应用程序或独立系统的软件。3.2.2基本功能——应用系统中间件:通信处理（消息）中间件，支持跨主流平台数据传输技术；交易中间件，具备自动切换系统、事务并发处理、负载均衡调度和监视功能；数据存取管理中间件，具备虚拟缓冲存取、格式转换和解压等功能；——服务类中间件（ESB支持元数据管理、主流传输协议和消息传递方式，具备多服务集成功能；具备服务和时间管理、元数据管理、安全管理功能；提供遗留系统适配器、服务编排和映射、协议转换、数据变换和企业应用集成中间件等服务；——面向消息的中间件:利用高效可靠的消息传递机制进行平台无关的数据交流，并基于数据通信来进行分布式系统的集成。通过提供消息传递和消息排队模型，它可在分布环境下扩展进程间的通信，并支持多通讯协议、语言、应用程序、硬件和软件平台。3.3.1服务器虚拟化软件将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，简化系统管理，实现服务器整合。——虚拟化集群：可由多台虚拟主机连接共享存储组成集群，实现业务的可持续运行。——虚拟机配置管理：对虚拟服务器CPU、内存、存储和网络资源进行配置管理。——高可用性：服务器出现故障时，在此服务器上运行的虚拟服务器自动在集群中的生产服务器重新启动。——动态迁移：正在运行的虚拟机从一台物理服务器实时迁移到另一台物理服务器，同时保持零停机时间、连续的服务可用性和事务处理完整性。——具备报警管理、主流参数的阈值配置管理功能，支持将报警信息以短信和邮件方式发给指定管理员。——提供虚拟化集群管理、图形化展示集群拓扑、虚拟机桌面预览服务。——支持主流内置备份模块，具备I/O虚拟化、动态负载均衡、故障自动迁移等功能。3.3.2桌面虚拟化软件桌面虚拟化是指将计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性。可以通过任何设备，在任何地点，任何时间通过网络访问属于我们个人的桌面系统。——支持主流终端和外设、终端操作系统、支持移动设备；——支持浮动、专用、固定等桌面池类型；——支持应用程序池访问；——具备批量部署、批量升级、桌面负载均衡等桌面管理功能，提供虚拟应用发布、自动发现应用、应用快速部署等应用管理服务，支持主流安全访问控制技术和主流多媒体技术。目前在医疗行业信息系统中数据库系统软件主要有Oracle、SQLServer、SYBASE、DB2、Hbase等。前四种数据库属于关系型数据库的范畴，HBase数据库就属于少量分布式数据库了。每一种数据库都有优劣，具体选择时需要考虑后期的维护成本。3.4.2基本功能——针对查询业务为主，几乎没有修改、删除等业务的场景，可以选择以列式存储为主的数据库，如GBASE、SYBASEIQ等；——针对实验性数据库场景时可以选择开源的数据库，如MYSQL等；——针对增、删、改业务较多的业务场景，可以选择关系型数据库Oracle、SQLServer等；——针对海量非结构化数据场景时可以选择Hbase等分布式大规模并行处理数据库。在医院当中，数据分析是用适当的统计分析方法对收集来的大量医疗数据进行分析，提取有用信息和形成结论而对数据加以详细研究和概括总结的过程。而数据分析工具则能提高数据分析的效率、简化数据分析的流程，从而更高效地作出判断，以便采取适当行动。目前使用的数据分析工具由简到繁主要有：Excel、SPSS、SAS、SQL、MapReduce等。3.5.2基本功能——Excel：最普通的数据分析工具，可使用数据透视表、函数等功能对少量数据时行分析处理。——SPSS和SAS：SPSS、SAS都是用于统计分析，围绕统计学知识的一些基本应用，包括描述统计，方差分析，因子分析，主成分分析，基本的回归，分布的检验等等。——SQL：结构化查询语言(StructuredQueryLanguage)简称SQL，是一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。通过使用“数据检索语句”（DML用以从存储在数据库的表中获得数据，并按照编写的算法确定数据怎样在应用程序给出。——MapReduce：MapReduce是一种编程模型，用于大规模数据集（大于1TB）的并行运算。由Map和Reduce两个函数编程实现基本的并行计算任务，提供了抽象的操作和并行编程接口，以完成大规模数据的编程和计算处理。它是一个基于集群的高性能并行计算平台（ClusterWeb防火墙是入侵检测系统，入侵防御系统的一种，主要是针对WEB业务进行防御。——WEB网站访问防护专用安全设备，具备WEB访问控制、控制允许访问的端口与路径、——具备WEB网络数据分析基本功能，能通过网络访问数据及时了解访问用户的动向及访——具备对SQL注入、操作系统命令注入等入侵防范安全功能，安全防范数据安全；——具备拒绝服务攻击防护、网页防篡改、webshell攻击检测，安全防范网络可用性；——具备防信息泄露、与安全身份认证等功能保证信息非法访问；——具备日志审计安全功能，且审计日志至少保留6个月以上。4.1.2数据库防火墙数据库访问控制和安全审计专用设备。——具备数据库审计功能、数据库访问与操作记录，记录至少保留6个月以上；——具备数据库访问控制、数据库访问检测与过滤功能，限定指定IP或MAC地址主机才能进行数据库登录操作；——具备数据库服务发现、脱敏数据发现功能；——具备数据库状态和性能监控、数据库管理员特权管控等功能，安全审计同时也对管理员进行审计；——支持访问控制策略和双机热备功能，保障连续服务能力。4.1.3网络防火墙概述网络边界防护和访问控制的专用设备。——具备访问控制功能，应用层、网络层的访问控制；——具备入侵防御功能，对高危漏洞、流行木马、DDOS攻击等进行防御；——具备病毒防御功能，对勒索病毒等传播病毒进行防御；——具备应用识别功能，主要是针对应用层协议进行应用控制；——具备检测漏洞风险及分析功能。主要是针对各服务器进行漏洞扫描并发现漏洞；——具备WEB防护功能，支持网站防篡改功能；——具备身份认证功能；——具备数据防泄露功能；——支持信息内容过滤访问控制、应用识别访问控制等访问控制类型；——具备BYPASS功能；——支持SNMPtrap、邮件、短信、Syslog等4种告警方式。4.2.1网络安全审计概述记录网络行为并进行审计和异常行为发现的专用安全设备。——对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；——审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息；——能够对记录数据进行分析，生成审计报表；——审计日志至少保留6个月以上。4.2.2数据库审计概述监控数据库系统的用户操作日志、数据库活动、预警的专用设备。——具备数据库操作记录的查询、保护、备份、分析并记录用户登录IP、MAC地址等功能；——具备实时监控、风险报警和操作过程回放等功能；——支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。4.2.3运维审计概述数据中心运维操作审计及预警的专用设备。——具备资源授权、运维监控、运维操作审计、审计报表等功能；——支持基于用户、运维协议、目标主机、运维时间段（年、月、日、时间）等授权策略组——支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项；——支持违规操作实时告警与阻断、会话审计与回放功能，告警功能支持短信、邮件等方式。4.2.4主机安全审计概述记录主机操作的审计设备。——支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审——支持记录事件的日期、时间、类型、主体标识、客体标识和结果等。4.3.1漏洞扫描设备概述检测与发现系统漏洞的专用设备。——具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等5项功能；——支持CVE、CNNVD、CNCVE、CNVD、BUGTRAQ等5种漏洞库编号，按照国家新发布的漏洞及时更新；——产品扫描信息支持主机信息、用户信息、服务信息、漏洞信息等4种内容；——支持扫描操作系统、网络设备、虚拟化设备、数据库、移动设备、应用系统等6类系统和设备；——支持主机探测、端口扫描、弱口令扫描、多主机扫描、多线程扫描、口令猜解等6种扫描方式；——支持SNMPtrap、邮件、短信、Syslog等4种告警方式。4.3.2Web漏洞扫描设备——支持SQL注入、远程代码执行、微软IIS高危漏洞、Cookie注入、跨站脚本攻击检测——支持防敏感信息泄露等漏洞检测能力；——支持弱密码检测能力；——支持SNMPtrap、邮件、短信、syslog等告警方式；——具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等功能。4.4.1网络防泄露设备概述防止通过网络传输泄露敏感/关键信息的专用设备。——具备识别能力（协议识别、应用识别、文件识别、内容识别、异常行为识别）、响应能力、策略管理、报表与审计等4项功能；——支持HTTP、HTTPS、FTP、SMTP、POP3等5种协议识别；——支持识别加密文件、压缩文件、图片文件、非Windows文件、未知文件、自定义文件等6种文件类型；——支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等9种常见异常行为识别方式；——支持文件内容、发送者、接收者、文件特征、通讯协议等5种条件策略配置。4.4.2存储数据防泄露设备概述发现和处理存储系统敏感数据的专用防泄露。——具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等3项功能；——支持在文件服务器、数据库、协作平台、Web站点、台式机、移动终端等6种系统的敏感数据发现；——支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等6种检测技术。4.4.3数据库加密设备概述加密医院数据库和发现数据库风险的专用设备。——具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等5项功能；——支持动态加解密、密文索引、多级密钥等。4.4.4邮件加密设备概述邮件加密和邮件服务器安全防护的专用设备。——具备邮件加密、安全防御、邮件传输代理、日志审计等4项功能；——支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等7种邮件加密方式；——支持DNS反向解析、SMTP攻击防御、SMTP连接限制、SMTP字典攻击、SMTP密码防猜机制、POP攻击防御、IMAP攻击防御、DNS攻击防御等8种安全防御方式。④支持邮件中继控制、多台AD服务器轮询、SMTP认证控制、邮件交换、假冒Postmaster攻击防4.5.1入侵防御设备概述对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。——具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能；——支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6种入侵防御技术；——支持流量检测与清洗（流量型DDoS攻击防御、应用型DDoS攻击防御、DoS攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2种抗拒绝服务技术。4.5.2入侵检测设备概述通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。——参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。满足三级要求。4.5.3网络准入控制设备概述屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。——具备网络准入身份认证、合规性健康检查、终端接入管理（包括：PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7项功能；——支持pap、chap、md5、tls、peap等5种网络准入身份认证方法。4.5.4防病毒网关设备概述病毒防御网关化的专业设备。——具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6项功能；——支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6双协议栈的病毒过滤、病毒隔离等5种病毒过滤方法。4.5.5网络安全入侵防范概述监视与检测网络入侵各种行为，并记录审计。——在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；——当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。4.5.6主机入侵防范概述监视与检测主机被入侵各种行为，并记录审计。——能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生入侵事件时提供报警；——能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。4.5.7主机恶意代码防范概述监视与检测主机是否植入恶意代码软件，并记录审计。——应用防恶意代码软件，及时更新防恶意代码软件版本和恶意代码库；——支持防恶意代码的统一管理。4.5.8网页防篡改概述用于医院保护网站文件，防止网站篡改。——具备网站攻击过滤、网站文件访问控制、网站安全校验、网站攻击事件告警、网站安全管理策略、网站备份、网站同步、网站自动恢复、网站服务器可靠性监测、网站审计日志等——网站同步过程支持文件加密传输技术、完整性校验、文件检索、快速传输技术等4种技4.6.1统一身份管理概述对医院内所有应用实现统一的用户信息存储、认证和管理的系统。——具备单点登录、用户身份信息管理、用户管理规则库、用户访问权限设置、权限规则库、用户与权限的适配管理、系统审计、第三方应用系统接口调用获取权限等8项功能；——实现多业务系统的统一认证，支持数字证书、动态口令、静态口令、Windows域认证、通行码认证、指纹认证、人脸识别等7种认证方式。4.6.2电子认证服务概述采用数字证书的方式进行身份认证。——具备数字证书的申请、审核、签发、查询、发布、证书吊销列表的签发、查询、发布等8项数字证书全生命周期管理功能；——支持国密系列标准；——支持交叉认证、数据备份/恢复、日志审计管理等3项系统管理功能。4.6.3用户身份鉴别指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。——支持受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护；——支持两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护；——可支持指纹、刷脸等技术方式进行用户身份鉴别。4.6.4个人隐私保护概述患者隐私数据或敏感数据防泄露及加密保护能力。——具备隐私数据字段级加密保护功能，并能提供第三方服务接口，支持动态脱敏和动态加密数据保护功能；——支持代理、网关和混合接入方式，基于安全等级标记的数据标签技术和双机热备功能，保障连续服务能力。4.6.5网络设备身份鉴别概述网络设备交换机或路由器等设备的身份鉴别认证。——支持登录网络设备的用户进行身份、地址、标识进行管理；——支持两种或以上组合的鉴别技术进行身份鉴别；——支持口令复杂度、定期更换、失败处理、结束会话、限制非法登录次数、登录连接超时自动退等6项安全功能。4.6.6主机身份鉴别概述主机操作系统级别或数据系统级别的身份鉴别认证。——对登录操作系统和数据库系统的用户进行身份标识和鉴别；——支持两种或以上组合的鉴别技术进行身份鉴别；——支持口令复杂度、定期更换、失败处理、结束会话、限制非法登录次数、登录连接超时自动退等6项安全功能。4.7.1上网行为管理概述用于医院互联网的安全管理。——具备上网人员管理、上网浏览管理、上网外发管理、上网流量管理、上网行为监控分析、上网隐私保护、风险集中告警、邮件延迟审计等功能；——具备上网应用管理，制定策略允许或禁止上网的所有业务应用；——支持IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式等3种上网人员身份管理方式；——支持对主流即时通讯软件外发内容的关键字识别、记录、阻断等3项操作。4.7.2虚拟化安全防护概述提供虚拟化网络边界防护的专用软件防火墙。——具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服务、网络防护、日志审计、身份认证等8项功能；——支持网络访问控制、权限控制、目录级安全控制、属性安全控制、服务器安全控制等5种访问控制方法。4.8.1文档安全管理概述用于医院核心信息资产有意或无意泄露防护的管理系统。——具备文档加密与解密功能，只允许院区内的终端设备才能使用加密文档；——具备文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等——具备身份认证、使用追踪、离线管理、文档操作审计等功能；——支持对电子文档进行细粒度的权限控制，包括只读、打印、修改、复制等4种权限控制；——支持对文档的阅读、编辑、删除、打印、外发、授权等6种动作进行详细的日志审计。4.8.2日志审计系统概述记录、分析和处理用户操作行为的系统。——具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能；——支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容；——支持数据分析，并生成审计报表；——支持至少6个月以上的审计记录。4.8.3资产风险管理概述基于医院网络环境，构建医院网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。——具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等7项功能；——支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等9种资产信息库内容；——支持表格、指示灯、3D图表、雷达图、拓扑图、热度图等6种风险可视化结果展示方4.8.4统一安全管理通过对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。——具备资产管理、资产风险管理功能，能记录电子资产在用状态；——具有网络安全事件采集、网络安全事件分析、网络安全事件分析模型，对网络安全事件进行追踪溯源，进一步降低安全风险；——具备实时安全监测功能；——基于数据分析模型，支持表格、指示灯、3D图表、雷达图、拓扑图、热度图等6种可视化结果展示方式。通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性如指纹、脸象、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。——支持口令认证、证书认证、智能卡认证、短信认证、第三方系统联动等5种身份鉴别方——支持两种或以上组合的鉴别技术进行身份鉴别。5.1.2生物信息鉴别概述通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性如指纹、脸象、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。——具备用户身份识别和鉴别、身份认证、权限管理、PKI/CA集成接口等4项功能；——支持指纹识别、手掌几何学识别、虹膜识别、视网膜识别、面部识别、签名识别、声音识别等用户身份生物信息采集和鉴别类型。概述采用授权管理、访问控制数据加解密系统，实现U盘数据的全盘数据加密保护和安全区数据开启的口令控制。——访问安全U盘中的数据之前须进行口令认证；——对安全U盘操作权限进行管控，包括数据的复制，文件的另存，打印等3项功能；——对安全U盘进行加密存储，支持国密算法；——对操作行为进行安全审计；——具有独立的操作系统。5.2.2移动存储介质概述对普通移动存储介质的注册、使用、访问进行管控与审计。——具备存储介质的安全分区、数据加密存储等2项功能；——加密分区支持访问权限控制、防止恶意破坏；——支持加密标签认证管理，防止未授权移动存储介质接入；——对授权接入的移动存储介质操作进行安全审计。5.3.1客户端终端认证用于终端对网络身份和实体用户身份进行关联的客户端软件。——具备用户名密码、证书、智能卡认证、短信、生物特征等5种身份鉴别功能；——支持浏览器、独立客户端等2种认证客户端；——支持两种或以上组合的鉴别技术进行身份鉴别；——具备离线认证功能。5.3.2虚拟专用网络客户端管理概述用于终端设备与业务系统之间传输数据加密的客户端软件。——具备L2TP、PPTP、IPSecVPN、SSLVPN等4种虚拟专用网络（VPN）客户端功能；——支持主流桌面终端操作系统和主流移动终端操作系统接入方式；——支持SM1、SM2、SM3、SM4等4种国密算法；——支持MD5、SHA1、DES、AES、RSA等5种国际密码算法。5.4.1桌面终端安全管理概述用于满足终端桌面安全管理和合规性需求的终端安全管理软件。——具备即时通讯管理、非授权外连管理、软件分发、打印管理、文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、上网行为控制与审计、敏感字审计、远程协助等——支持终端网络安全准入认证功能；——支持对双网卡、WIFI、3G、蓝牙、红外等5种违规连接方式进行监测、审计和阻断。5.4.2移动终端安全管理概述支持医院移动业务终端安全防护的管理系统。——具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5项功能；——支持主流移动操作系统；——对移动终端进行安全审计。5.4.3移动存储介质管理概述解决医院移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。——具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4项功能；——支持移动硬盘、闪存、U盘、储存卡等4种移动存储介质的管理；——支持预置策略、自定义策略、预置标签及自定义标签等4种管理规则；——支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6种预置管理策略和预置标签管理策略。为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络（数据机密性要求彻底解决高密级网络信息泄露的问题而采用无反馈的单向传输技术。——具备单向文件传输、单向数据库同步、单向邮件传输、邮件过滤、数据防泄漏规则等5项功能；——支持主流数据库的单向同步；——支持按邮件地址、邮件域名、邮件内容、邮件附件和IP地址端口等5种邮件过滤条件；——全面的数据安全检测；——应用独立与非入侵性。6.1.2双向网闸概述隔断内外网间的直接连接，保障用户网络在隔离的同时进行可控数据交换的专用隔离硬件。——具备防止各类敏感数据泄露、安全隔离和受控的信息交换、应用协议支持、应用层数据控制等4项功能；——支持根据数据的类别和级别，制定数据防泄露规则；——支持Web、FTP、SMTP、POP3、数据库访问等5种应用协议；——支持Web、FTP、SMTP、POP3、TCP、UDP等6种应用层数据控制协议。6.2.1虚拟专用网络设备概述采用加密通道进行数据通信传输的专用设备。——具备网络通信加密、数据完整性校验、身份认证、日志审计、地址转换、内容过滤、病毒过滤、入侵防御等8项功能；——支持传输通道加密、数据加密、数据校验、通信数据加密与解密统一等4种技术类型。6.2.2加密机设备采用加密通道传输数据的专用数据通信设备。——具备网络通信加密、数据完整性校验、身份认证、日志审计、地址转换、内容过滤、病毒过滤、入侵防御等8项功能；——支持传输通道加密、数据加密、数据校验、通信数据加密与解密统一等4种技术类型。6.3.1广域网加速设备概述对医院应用系统加速，提高效率、节省带宽和降低成本的数据传输优化专用设——具备对传输数据以透明方式进行流量整形、顺序重组，动态压缩等3项功能；——支持多种医疗应用数据类型加速服务，包括WEB页面类型、图片类型、视频类型等3种协议类型；——支持单边加速和双边加速等2种加速方式。6.3.2链路负载均衡设备解决医院网络拥塞，提高网络资源访问的响应速度，基于负载均衡算法做流量最优原路的网络硬件设备。——具备链路聚合、负载均衡选路算法、网络请求重定向、内容管理、内置地址库、链路健康检查等6项功能；——支持轮询算法、加权轮询算法、带宽比率算法、首个有效算法、随机算法、加权随机算法、丢包算法、最小连接数算法、加权最小连接数算法、最小流量算法、加权最小流量算法、观察者算法、包速率算法、实时带宽算法、最小新建连接数算法、静态就近性算法等16种负载均衡选路算法；——支持手工导入更新，支持国内运营商地址库、全国地址库和全球地址等3种内置地址库类型；——支持控制报文协议（ICMP）、地址解析协议(ARP)、自定义逻辑组合条件等3种链路健康检查方式。6.3.3流量控制概述对医院网络流量（网络层流量、传输层流量、应用层流量）进行特征抓取分析及管控的硬件设备。——具备用户行为分析、用户行为管控、应用带宽限制、应用带宽保障、网络流量分析报告——支持对P2P、游戏、网络视频、WEB视频等4类应用进行分析管控。6.4.1安全策略管理概述用于网络安全设备集中管理和监控的专用系统。——具备网络安全设备策略集中编辑、策略集中下发、设备集中升级、设备集中监控、拓扑展示、统计报表等6项功能；——支持防火墙、入侵防御、病毒防御、VPN网关、VPN客户端等5种管控策略；——支持邮件告警、日志、短信、第三方应用等4种告警方式。6.4.2网络设备管理概述用于对网络设备进行集中管理和统一监控的专用系统。——具备网络设备拓扑管理、可用性监控、网络设备性能监控、主机服务器监控、数据库监控、中间件监控、业务系统监控、网络配置管理、统计报表等9项功能；——支持设备综合性能、链路带宽利用率、CPU使用率、内存使用率、设备响应时间、设备ICMP丢包率、端口进/出流量、端口进/出错包率、端口进/出丢包率、端口进/出单播包速率、非单播包速率、组播包速率、广播包速率、自定义报表等14种报表；——支持邮件、日志、声音、短信、颜色等5种告警方式。实现基础设备灾备是要在同城本地或是在异地建设备用机房。不同的地域，构建一套或者多套相同的基础设备环境，实现灾难后立刻接管的作用。7.1.2参数要求——备用机房面积：本地备用机房面积是主机房的50-80%，异地备用机房面积是主机房的50%以上；——供电电源：具备2路市电进线电源。实现一路跳闸后，另一路可以继续送电。——空调消防：配备精密空调消防，实现智能监控机房环境情况；——监控安全设备：具备监控安全设备，代替人工进行长时间监视，并可通过录像机记录下——满足备份介质长期存放的防尘、防磁、防物理损坏的环境和场地要求。备用网络灾备是要在医院网络中建立备用网络通信设备系统与备用通信线路。具备当一路网络出现故障时，另一路网络能实现快速接管，保证业务不受影响。7.2.2参数要求——备用网络链路1）具备主要通信线路和数据处理系统的硬件冗余，保证系统的高可用性。（2）主机房和备用机房均要具备多条内部网络备用链路3）实现全冗余技术设计网络拓扑结构，保证系统的高可用性，保证不出现关键节点的单点故障；——备用网络设备：提供主要网络设备和数据处理系统的硬件冗余，保证系统的高可用性。主要包括路由器、防火墙、交换机、负载均衡设备需要具备冗余电源、冗余接口、冗余风扇具备备份记录，用于恢复数据到过去的某个时间点时的状态，应对的场景主要是由于误删除、测试开发等原因需要把数据恢复到某一个时间点的能力。具有对生产系统的实时或者准实时影像的容灾系统，应对生产系统崩溃时及时把应用切换到容灾系统上，确保生产系统的持续运行。7.3.2参数要求——本地数据备份：1、具有存储磁盘阵列、存储备份软件组件，并能通过数据快照、同异步复制等相关技术，实现本地数据备份；——本地数据恢复：具备关键业务信息系统复原时间目标（RTO）15分钟内和复原点目标（RPO）10分钟内；——异地数据备份：1、具有存储磁盘阵列、存储备份软件组件，并能通过使用存储镜像、数据异步备份相关技术，实现异地数据备份；——异地数据恢复：具备关键业务信息系统复原时间目标（RTO）1小时内和复原点目标（RPO）30分钟内。应用容灾是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份)，在灾难情况下，远程系统迅速接管业务运行。7.4.2参数要求——本地应用高可用：具有应用报务器、数据库服务器、存储磁盘阵列、集群软件和应用容灾软件等5个组件；支持使用集群、负载均衡等2种相关技术；——本地应用恢复：具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2项功能。RTO时间小于15分钟、RPO时间小于10分钟；——异地应用容灾：具有应用服务器、数据库服务器、存储磁盘阵列、集群软件和应用容灾软件等5个组件；支持使用高可用、负载均衡、内容分发网络等3种相关技术；——异地应用恢复：具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2项功能。关键业务RTO时间小于1小时、RPO时间小于30分钟。——医院一级职能部门；——按额定床位，每100床位拥有1名专职信息化工作人员；——有适当比例的高级工程师和硕士及上学历的信息化工作人员；第二章信息平台信息资源平台是全院的数据中心，使医院不同业务系统之间实现资源整合和信息共享，在保证数据完整性、一致性和准确性的基础上，保障信息安全及隐私保护，利用知识体系整合数据，实现数据的有效利用。信息资源平台包括三大资源库：临床数据中心、运营数据中心和科研数据中心。临床数据中心通过将以患者为中心的临床数据进行标准化、结构化和非结构化的表达、组织和存储，以及在次基础上开发各种标准的、符合法律规范和安全要求的数据访问服务，为医院的各类信息化应用提供统一完整的数据视图，最终实现辅助改善医疗服务质量，减少医疗差错，提供临床科研实力和降低医疗成本的目标。运营数据中心从医院业务信息系统中抽取相关数据，设立运营监测指标，按照科室、医务人员、时间等维度，建设业务分析数据仓库和数据集市，为管理决策应用分析和预警提供数据管理支撑。科研数据中心为临床科研服务，根据科研课题需求，抽取课题相关数据，按照科研课题要求进行数据统一标准化和提取，形成独立的科研专题库，供课题相关人员进行科研查询和信息交换平台是医院信息品台的重要组成部分，负责为医院提供院内系统间的数据交换，以及院内系统与院外系统的数据贾环。信息交换层通过采用统一的数据交换标准和业务流程的整合，将业务系统与信息平台连接起来，实现医疗数据的无缝交换和共享，保证各业务系统的有效协同，同时大大降低系统的耦合度。信息交换平台建设的核心是建设面向服务架构（SOA）的企业服务总线（ESB医院业务系统间的信息交换和信息共享都要通过ESB来完成，借此来整合医院医疗数据和业务服务。在业务系统信息交换的同时，ESB还需要借助医疗卫生信息标准和安全标准，实现医院信息的标注化处理和安全保障。信息交换平台主要提供消息传输、数据交换、数据整合、服务集成、管理监控等服务。借助ESB消息传输功能，让各系统间数据有效、合理的组织传输、同时，根据接收方业务需求，对消息进行消息路由、消息过滤，使传输的消息能够按照消费系统的业务需求做到精准传递。实现接入ESB各业务系统消息的准确传递，通过不同路由方式选择和路由过滤规则机制引入，体重ESB可控性和可靠性，为交换信息各系统提高一个简单、透明、可靠的路由机制。借助规则引擎验证输入ESB消息格式和内容是否符合规范，过滤错误消息，保证消息能正确传递给消息接收系统。消息队列由消息中间件提供，是消息传递过程中的消息容器，可以将消息驻留在内存或磁盘上，等待消息接收方处理。根据医院各业务系统对消息传输实时性的要求，提供同步和异步消息传输机制。ESB可以对受保护的数据进行加密处理和传送，到达目的地后再用解密手段还原数据，防止消息传递过程中外泄。通过消息传递中间件的缓存服务响应消息来缩短服务响应时间。ESB在不改变原有业务流程的情况下，对进行交换的数据作数转换，使业务系统间能够实现数据的无缝交换和共享访问，解决分布、异构系统间数据格式不相同的问题。借助ESB的集成功能，将医院各业务系统分散的临床诊疗数据整合起来，为医院管理者、医务人员、患者提供完整的临床诊疗视图，也可以满足科研等数据共享需求。借助ESB的SOA构架，将分散的业务服务集成起来，实现业务的统一管理和重复使用。通过标准化处理，将注册到ESB的业务服务封装成开放的、标准的可供所有业务系统使用的平台服务。信息交换平台可以通过监控管理功能查询已做的操作，正在运行的操作和出错的操作，及时掌握整个数据传输中的情况，还可以看到当前服务器资源使用和消耗的情况，针对监控结果做统计分析，同时对于监控的过程中出现的异常情况设定相应的告警，以便相关人员及时了解和处理异常事件信息服务平台定义了信息交互过程的角色、交易、触发条件和交互流程，提供标准化服务接口，实现各应用系统的交互。解决了医院信息共享互通、业务协同、区域医疗义务交互和信息安全隐私保护的需求。服务平台主要提供注册服务、文档贡献服务、文档存储服务、业务协同服务和安全与隐私保护服务。注册服务是实现医院医疗信息集成也业务协同的重要基础，通过注册服务为整个医院范围内需要统一识别的信息对象分配全局唯一的编码。包括患者注册、医护人员注册、医疗机构（科室）注册、术语注册。文档共享服务提供文档采集、文档索引、文旦个调阅、文档订阅通知和数据整合加工功能。文档采集提供面向文档源的文档提交与注册功能，院内所有可产生医疗服务信息的系统均可调用文档采集服务提交注册文档。文档注册服务同时提供将文档注册到平台注册中心的功能，并在文档注册中心记录文档索引和文档元数据信息，用户查询时可通过索引获取文档。查到文档后通过调用文档调阅服务来获取文档。对订阅了文档的用户，文档更新时订阅通知服务会想用户发布通知获取最新文档。数据整合加工服务负责将分布的、异构数据源中的数据，如关系数据、平面数据文件等抽取到临时中间层厚进行清洗、转换、集成，最后加载到数据仓库货数据集市中，成为联机分析处理、数据挖掘的基础。文档存储服务为文档采集服务提供文档写入功能，向文档源提供文档提交注册服务；文档存储服务为文档调阅服务提供文档获取服务。同时，文档储存服务提供组合数据文档源与数据资源库的文档资源注册服务，将其他系统的独立数据资源库作为平台资源库使用，提供数访问服务。通过ESB集成的流程管理和业务编排机制，指定参与流程的web服务的调用顺序，还可以构造循环、变量声明、赋值、定义故障处理等，形成复杂的业务流程。同时，可以通过业务规则引擎在业务流程中定义业务规则，当业务执行到分支时进行判断和决策，决定业务流程方向。通过Kerberos服务器为用户提供安全验证并提供用户准入票证，通过验证用户可登陆机构内所有设备和软件。还可以实现单点登录，利用账号同步管理模块，将用户身份信息和密码同步到各个系统，在平台上统一存储管理用户信息，再次基础上，用户从统一入口登录，可以直接访问已授权的个应用系统。在医院信息平台建设的基础上，完成数据及标准化建设、共享文档标准化建设和互联互通标准化建设，达成医院信息互联互通标准化成熟度测评指标，为实现跨机构的医疗协作与标准化提供支撑。——数据及标准化建设：根据《WS445-2014电子病历基本数据集》的要求，对数据类型、表示格式、数据元值及代码等数据元属性进行标准化建设，一共包含58个数据子集。——共享文档标准化建设:根据《电子病历共享文档规范》的要求，对其结构、内容的规范性进行标准化建设，包括53个电子病历贡献文档和3个其他共享文档。——互联互通标准化建设:互联互通标准化建设指标包括三个方面：（1）平台技术架构平台的信息整合方式、信息整合技术、信息资源库建设以及统一身份认证及门户服务等定性指标符合测评规范。（2）平台交互服务根据《WS/T447-2014基于电子病历的医院信息平台技术规范》的要求，平台提供44个标准服务。（3）平台运行性能平台实际运转情况和运行性能如基础服务、电子病历整合服务、电子病历档案服务等的响应时间达到测评指标。第三章新技术、新业态、新模式指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。——基因组测序：个人基因组中包含了健康信息，所以通过了解个人基因组序列，可以预测在不同情况下可能的健康状况；——个性化医疗：随着相关技术的成熟，利用大数据分析对与个人健康相关的大型数据集（例如基因组数据、个人健康管理数据考察遗传变异因素、对特定疾病的易感性和对特殊药物的反应等，然后可以根据这些因素进行药物研发和制定用药方案；——疾病预防控制：疾病预防控制是公共卫生部门基于对疾病的实时监进行有效的响应控制，在公共卫生部门，可以通过大数据技术的应用进行全面的疫情监测，提前确定传染病或一定规模的未知疾病，为后续疫情控制争取时间；——远程患者监控：从对慢性患者的远程监控系统收集数据，并将分析结果反馈给监控设备(查看患者是否正在遵从医嘱)，从而确定今后的用药和治疗方案；——个人健康管理：利用大数据技术，可以对个人健康进行全生命周期管理。利用相关设备，可以收集获取个人饮食、睡眠、运动、烟酒、体征情况(如身高、体重、腰围、体温、血压、血糖等)和睡眠质量等数据，通过对这些数据的连续观测和分析，可以及时发现身体的健康异常和重大疾病风险，进而给出健康干预方案；——临床决策支持：临床决策支持系统可以提高工作效率和诊疗质量。主要通过分析医生输入的内容，把它与知识库中的内容进行比对，从而对医生提供错误提醒，如药物不良反应。利用临床决策支持系统可以降低医疗事故率，还可以使护理人员和助理医生得到更多的临床支持，从而可以避免医生耗费过多时间用于对他们进行很简单的业务指导，进提高医生的治疗效率；——患者档案分析：通过大数据技术分析电子病历库中海量的患者档案，可以分析总结出各类疾病和人群特征之间的联系，这样就可以为那些属于某类疾病的易感人群提供预警。在互联网上通过虚拟化技术、并行处理技术以及分布式计算机技术将资源与设备整合起来，为用户提供方便与快捷的、基于网络的计算与存储服务。――电子病历信息共享：云计算技术可以在医院信息化中通过软件租用服务为医院提供有选择地租用相应软件服务，医院可以按照实际的应用和需求从软件供应商租用软件服务。软件供应商可以仅开发和维护唯一的应用软件，从而降低软件实际成本。对于医院则降低其信息化建设的投资风险和成本。这一套软件为不同医院使用，可以使区域内的医院实现电子病历信息的共享；――医学影像信息的存储与共享：医院可以租用空间服务和远程数据备份功能，建立自己的远程备份，通过云计算提供的存储服务实现医院海量影像查检结果的存储服务。同时实现建立在线的医学影像平台，让患者和医生和医院采用数字化手段从医院的任何部门收集、共享和使用医院影像图像；――数据中心的构建：云计算均可以为医疗机构构建性能优异的数据中心，极大降低了医院的管理成本，云计算介入医疗结构的数据中心建设，无需用户增加设施，其可以根据医疗结构的个性化需求，直接将配置写入设备，用户只要安装软件即可使用；――在线服务系统的构建：云计算系统具有强大的虚拟化管理系统(OPV-Manager)，具有高度扩展性、灵活性以及对资源的可控性，可以通过软件完成资源统一分配和管理、用户身份管理和安全、网络服务、运行环境的监视以及对外设物理设备的远程操作等。如云计算的SAAS（SoftwareasaService，指软件即服务）模式，就可以搭建起病房护士与病患直接视频直接对话的联络系统，还可以建设远程导诊、探视等系统，极大改善了传统在线服务的质量；――疾病分析系统的构建：医疗性研究的基础均建立在对大量病例资料、研究样本、实验数据的汇总、梳理、分析之上。传统的计算机系统只能进行医疗数据的简单收集和整理，无法满足临床医生和研究者的需要。而由云计算所提供的计算分析服务可根据