疾控中心信息化建设解决方案实用文档Word文档格式.docx
《疾控中心信息化建设解决方案实用文档Word文档格式.docx》由会员分享,可在线阅读,更多相关《疾控中心信息化建设解决方案实用文档Word文档格式.docx(61页珍藏版)》请在冰豆网上搜索。
中心领导授权查询各个业务子系统业务数据、各个科室工作量情况、单位各种收费情况等,实现单点登陆,掌控全局。
2.2系统设计原则
(1)规范与易用性:
业务流程规范、统一,操作界面图形化,操作方法简单、方便。
(2)安全与可靠性:
在系统架构设计、系统实施过程中充分考虑系统的可靠性,建立完善的后援支持措施,灾难恢复措施,使系统具有良好的容错性能,并选用业界成熟的、广泛采纳的软件技术,确保系统可靠运转;
同时系统满足身份真实性、数据完整性、数据机密性等方面的需求。
(3)先进与可扩展性:
系统能够应对业务变化,确保即使工作流程、工作内容等发生了变法,系统仍难可用或可以在简单改造的简单的基础上继续使用。
2.3网络结构图
2.4中心平台
2。
4。
1中心平台
中心平台主要由服务器、安全防火墙等设备组成。
为减少一次性投资成本,建设较为健全的中心平台,满足各业务系统的使用需求,中心平台采用租赁模式,疾控中心按三年付月使用费。
另外,鉴于疾控中心目前没有机房用于安放中心硬件,并没有配备相关的技术人员负责维护系统平台,因此,整个平台将托管于机房,由欣驰专业人员负责整个平台的日常运行维护工作。
1.应用服务器:
两台服务器主要作为内部办公系统的运行环境,承担着实验室信息系统、健康体检系统(从业人员体检+职业健康体检)、综合收费系统、办公自动化、突发公共卫生事件管理系统的运行。
为保证数据安全,服务器存储采用RAID5技术,实现数据的冗余备份。
2.防火墙:
主要用于内部办公系统的数据安全、网络安全管理。
2.4。
3疾控中心内部网络管理
本次疾控中心的整体信息化建设过程当中,系统的使用深入到每个科室的办公人员,为了确保工作人员在日常办公过程当中可以利用互联网资源提供工作效率,保证本次建设的数据安全、系统运行稳定,在访问系统服务器的时候速度不受影响,建议在疾控中心内部网络加载上网行为管理。
上网行为管理产品基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理"
提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”。
为了实现真正安全的网络环境,企业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理。
4设备介绍
1服务器HPDL388G7
分类
功能点
详细描述
硬件架构
CPU
英特尔®
至强®
处理器E5530(2。
40GHz,8MB三级缓存,80W,HT,Turbo1/1/2/2),可支持2个四核或双核IntelXeon5500处理器,Intel5520芯片组
硬盘
1250GB(5x250GB)SATA1.5Gb7200rpm热插拔硬盘,支持加速iSCSI惠普智能阵列P410i/256M内存控制器(RAID0/1/1+0/5/5+0)
内存
8GB(4x2GB)PC3-10600R寄存式DDR3-1333内存
光驱
DVD—ROM8/24XALL
尺寸
2U机架式服务器
其他
维保
三年,惠普标准技术支持(7x24)
运费及保险
包含
4.2绿盟防火墙SG-1210
随着网络环境日益复杂,多种应用的业务系统日趋普及,传统的防火墙已经难以满足用户复杂业务的防护需要;
网络攻击和蠕虫的泛滥和多变性,更对传统安全网关提出的很大的挑战。
这些问题一方面要求安全网关从传统4层防护到7层防护的转变,另一方面,也需要将原有功能单一的安全产品进行整合,形成具有一体化综合防护能力的网关产品。
在这个背景下,绿盟科技推出了具有自主知识产权的“冰之眼安全网关(ICEYESG)”USG系列产品,冰之眼安全网关分为分为UB(basic)基本型和UE(enhanced)增强型,包括从百兆低端到千兆高端等多个型号,适用于政府、军队、电信、能源、金融、教育、大中小型企业等各种不同用户。
冰之眼安全网关采用先进的多核CPU和ASIC转发芯片,其构建的专用硬件平台既满足了传统网关产品对转发性能的需要,又很好解决了传统安全网关应用层计算能力不足的问题;
同时冰之眼安全网关采用了绿盟独有的“智能协议识别”技术——NIPR(NsfocusIntelligentProtocolRecognition),对各种应用协议、攻击进行准确解析判断;
冰之眼安全网关内部更可以集成IPSECVPN、SSLVPN、抗DDOS、IPS、防病毒、防垃圾邮件、带宽管理、内容过滤、上网行为控制等多种功能模块,满足用户多重防护需要,从而真正实现了对用户业务的立体全方位防护。
功能类别
子功能
特性要求
防
火
墙
状态检测
采用基于内容状态检测的过滤技术
访问控制
提供基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的精细粒度的安全访问控制
工作模式
支持路由、透明、混合模式
支持协议
NAT
支持基于策略的双向NAT、动态/静态NAT、端口PAT
IDS联动
支持业内标准IDS联动协议
路由协议
支持静态路由
支持OSPF等动态路由协议
支持基于源/目的地址、接口的、基于服务的策略路由
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能
支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能
DHCP
支持DHCPClient、DHCPServer、DHCPRelay
DNS
支持DNSClient、DNSserver
VLAN
支持VlanTrunk,支持802。
1Q,能进行封装和解封,可在同一个Vlan内能进行二层交换
SNTP
支持网络时钟协议SNTP,可以自动根据NTP服务器的时钟调整设备时间
防病毒
支持HTTP、FTP、POP3、SMTP、IMAP、IM协议的病毒查杀
病毒类型
支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀
查杀类型
支持邮件正文/附件、网页及下载文件中包含的病毒查杀,
支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀,
支持TAR等多种打包文件的病毒查杀
病毒库升级
支持对病毒库的定期升级
入侵防护
核心技术
采用智能协议识别技术(NIPR)
攻击防护
针对各种攻击,如远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门等监控
攻击库升级
支持对应用协议特征库、协议行为特征库、攻击规则库的定期升级
抗DDoS
网络层防护
提供对SynFlood、IcmpFlood、UdpFlood等流量型DDoS防御能力
应用层防护
提供CC攻击等应用层DDoS防御能力
专用防护
提供对网吧、DNS服务、游戏网站等专业防护
反垃圾邮件
过滤方式
支持RBL和ORDBL,支持MIME检查,支持自定义关键字和黑白名单,支持匹配码、正则表达式方式,支持多语言
邮件管理
支持对邮件主题、正文、收发件人、附件名、附件内容等内容进行过滤,支持限制传输文件类型及大小
VPN
VPN种类
支持标准IPSECVPN、SSLVPN协议
IKE
支持基于标准IKE协商的VPN通信隧道
支持多种IKE认证方式,如预共享密钥、数字证书
支持IKE扩展认证,如Radius认证等
部署
支持网关到网关、远程用户到网关的VPN隧道
支持星型连接方式
支持网状连接方式
支持分级的树状连接方式
算法
支持3DES、DES、AES等算法
支持标准MD5、SHA—1认证算法
其他VPN特性
支持网络邻居(利用WINS)
支持隧道内的QoS
支持隧道的NAT穿越
支持对隧道内明文的访问控制
与内网安全管理系统相结合,支持远程终端的安全性自检,对违反安全策略的主机拒绝连通
上网
行为管理
支持网站访问、邮件收发、即时通讯、论坛、网络游戏、炒股软件、在线视频、数据库访问、telnet、FTP等近100种网络应用行为管理
P2P监控
支持对现有几十种P2P下载、视频等应用的监控
内容类型
支持网页URL、信息关键字等的实时检测和过滤
Web过滤
支持阻断JavaApplet,Cookies,ActiveX
URL库
支持恶意URL库,提供超过1000万条的URL,提供多种精细分类(如不良言论、色情暴力、网络“钓鱼"
、论坛聊天等)
响应方式
支持基于协议、时间、IP地址、用户等多种条件组合,实时告警、阻断并记录,支持限制传输文件类型及大小
身份认证
支持本地认证和第三方认证(RADIUS、LDAP、AD等)
流量管理
支持协议/端口、源/目的IP地址/网段、时间)、带宽/会话数等对象,实现基于内容、面向对象的流量管理
支持VPN隧道内的QOS
支持最小保证带宽和最大限制带宽,支持优先级别
网关准入
实现方式
支持与内网安全管理系统联动,可实现没有安装矩阵客户端软件的pc机不允许访问外网资源
网络拓扑
以太网接入
支持以太网接入
多链路防护
支持多出口接入防护
IP绑定
支持IP/MAC绑定
高可用性
HA
支持会话同步、配置同步,
支持HA流量加密
支持Active-Active与Active—Standby两种模式
用户认证
认证方式
支持本地账户数据库及RADIUS认证
支持使用OTP一次性口令认证
设备管理
管理途径
Windows控制台管理、Web管理、串口管理、SSH管理
管理方式
集中管理、主辅管理、分级管理
实时监视
安全事件、网络流量、网络状态、设备状态
部署方式
支持串联部署、端口旁路监
升级会员 