鄂托克旗第二人民医院网上预约挂号平台方案

上传人:无*** 文档编号:80925559 上传时间:2022-04-26 格式:DOC 页数:24 大小:1.55MB
返回 下载 相关 举报
鄂托克旗第二人民医院网上预约挂号平台方案_第1页
第1页 / 共24页
鄂托克旗第二人民医院网上预约挂号平台方案_第2页
第2页 / 共24页
鄂托克旗第二人民医院网上预约挂号平台方案_第3页
第3页 / 共24页
点击查看更多>>
资源描述
鄂托克旗第二人民医院 鄂托克旗第二人民医院网上预约挂号平台方案鄂托克旗第二人民医院二 O 一 三 年 三 月目录第一章 总章31.1项目背景31.2网上及电话预约挂号解决的问题31.3网上预约挂号流程需求分析4第二章 平台功能设计52.1网上预约挂号平台主要功能52.1.1前台用户操作界面功能主要有52.1.2后台挂号值班人员可操作的有62.1.3后台管理员可操作的有62.2电话预约挂号平台功能72.3.1会员管理体系82.3.2预约挂号功能92.3.3预约挂号途径92.3.4特殊情况处理102.3.5黑名单功能112.3.6医生出诊排班维护112.3.8与移动运营商财务对账12第三章 平台实现技术133.1平台技术实现133.1.1系统原理和实现15第四章 平台安全设计164.1综合安全体系164.1.1终端接入安全174.1.3传输安全174.1.4存储安全184.2鄂托克旗第二人民医院网上预约挂号平台安全策略184.2.1身份识别与认证184.2.2权限控制194.2.3日志与审计204.2.4病毒防护214.2.5软防火墙22第一章 总章1.1项目背景随着经济与科学技术的高速发展,信息化的进程不断加快。我国还有部分医院的信息处理停留在手工方式,劳动强度大且工作效率低,医师护士和管理人员的大量时间都消耗在事务性工作上,病人排队等候时间长,辗转过程多,影响了医疗的秩序。计算机化的医院信息系统已成为现代化医院运营必不可少的基础设施与技术支撑环境。门诊挂号系统是整个医院管理信息系统的第一个窗口,是病人到医院就诊要做的第一项工作。它用于收集病人的信息,协调科室医生管理,控制各科室的流量等等。网上预约以及电话预约挂号系统是一种基于移动互联网及MIS电话的新型挂号系统,是卫生信息化建设的最基础项目之一。1.2网上及电话预约挂号解决的问题1、通过预约挂号系统,用户就可以在网上预约医院的专家而无须再受排队之苦。2、通过网上及电话预约挂号系统更好的改善就医环境,简化就医环节,节约就医时间,真正体现了以病人为中心,一切从方便患者出发,符合当今医院人性化温馨服务的理念。3、通过网上及电话预约挂号系统解决门诊一直是困扰医院提高服务质量的一个复杂环节,特别是医疗水平高、门诊量大的医院,而造成门诊质量难以提高的因素主要有两方面:一是集中式挂号(现在流行的分层挂号只是相对而言一个范围较小的集中式挂号),就诊人员流量不均、具有不确定性,有明显的就诊高峰和低谷(表现在整个医院不同门诊时间段及同科室的不同时间段)。4、通过网上及电话预约挂号的方式解决高峰期病人挂号排队长,就诊时间长,医生熟人插号现象,环境拥挤混乱,医生问诊时间短、不仔细、态度差。而低谷期,医生无病人看、溜号,医院资源浪费。5、通过网上及电话预约挂号解决专家号(特别是外院专家号)难挂,出现倒号、炒号现象,严重损害病人利益,影响到医院的声誉。最终通过网上及电话预约挂号,可有效的解决这一现象,还通过有效的身份验证,杜绝倒、炒专家号的现象,提高医院门诊服务质量,取得良好的社会效益和经济效益。此外,病人到医院就诊前对医院的相关信息了解不多,对所要挂的专科医生的情况又不太了解,只能凭经验和印象进行选择,具有较大的盲目性。而当医院开通网上挂号预约服务以后,求医者只需坐在家中,轻点儿下鼠标,就可以挂上医院专家门诊号,可以做到“足不出户选医生”。网上预约正悄然改变着都市求医者的看病观念。拥有相对固定的个人医生和习惯。预约看病,将不再遥远,所以应用必将越来越广泛。1.3网上预约挂号流程需求分析l 点开医院网站首页,注册会员,登陆。l 选择科室:在选中的医院后,您可根据需要就诊的疾病选择点击相应的科室,即打开该科室医生出诊时间安排表。l 选择医生:您可根据医生信息、出诊时间、自己的时间安排,选定最适合自己的医生,点击医生出诊时间,进行挂号;l 填写预约信息:您按照要求填写好各项信息并确认无误后点提交,完成本次网上挂号的操作;l 挂号预约成功确认:当您预约成功后,可点击挂号管理,确认您的网上挂号预约是否成功; l 去医院就诊:就诊人携带相关证件,到医院导诊台或就诊科室说明您是预约挂号即可。第二章 平台功能设计2.1网上预约挂号平台主要功能通过对用户需求的分析,我们可以分析出医院挂号系统基于B/S模式,大致可以分为两类用户:个人,公司。本系统的功能主要包括两块,前台用户操作及后台管理,基中后台管理又分为两种:普通的挂号值班操作人员的挂号和查询操作、超级管理员的管理。2.1.1前台用户操作界面功能主要有l 专家查询功能:通过这个功能可以浏览到每个专家的简介及所属科室,从而选择专家进行具体预约。l 注册登陆功能:未注册用用户可以浏览专家信息,但不能预约挂号,注册登陆后便可执行以下的几个功能l 预约查询功能:此功能汇总了用户的预约信息,包括:门诊号、专家、门诊日期、预约日期,同时还可以对预约进行取消。l 用户信息修改密码可以对自己的信息进行修改,如:姓名、密码提示问题及答案、性别、出生年月、身份证号、E-mail地址等信息。l 密码修改等功能:输入一遍旧密码,两遍新密码即可成功修改密码(密码必须是八位)。l 系统帮助:可以用系统帮助对系统的功能和具体使用进行介绍,使用户完全了解系统的使用。l 安全退出功能:用户可以点击安全退出按钮返回到登陆界面,未注册用户可以退出进行注册登陆。2.1.2后台挂号值班人员可操作的有l 挂号操作:给用户挂号,其中包括可操作项:A、 病人基本信息的建立:病人初次挂号时把病人基本信息录入数据库,B、 更改病人基本资料:当病人并非初次就诊挂号时将病人以前的基本信息调出并将相关信息更新C、 选择挂号类别:包括普通号、专家号、特殊专家号、优惠号等,自动显示挂号费用;D、 病人就诊信息的查找功能:对病人的挂号就诊信息进行查找,可以根据多个字段进行检索,例如:病人编号,病人姓名和挂号科室查出病人以往的就诊信息。病历录入功能:把病人病历录入数据库。l 专家信息及排班表查询:可对医生基本信息查询,对医生一段时间内排班情况及已预约情况的查询,生成医生排班表2.1.3后台管理员可操作的有l 具有后台挂号值班人员可操作的所有权限l 专家管理功能:对专家进行添加与删除,修改专家档案;安排和查看专家的值班情况(即生成医生排班表),查看和修改每个专家的预约情况。l 用户管理功能:修改和删除用户资料,显示用户的预约信息l 预约挂号管理功能:可以分别按用户名、专家名、预约号、科室、预约日期、就诊日期等字段进行查询管理,取消已过期的预约挂号信息。l 系统管理功能:对管理员及挂号值班操作人员进行添加与删除,修改其信息。l 统计功能:能完成任意时间段的诊别、类别、科别(并可统计到医生)工作量统计、挂号收费(诊疗费、挂号费)统计;能完成挂号员、挂号室工作量及诊疗费、挂号费、病历本费统计日报、月报(及任意时间段)。能即时完成会计科目、收费项目和科室汇总等日报、月报表。能统计退号退费一览表等。2.2电话预约挂号平台功能电话预约:发送电话“XX+医院字母简称+医生工号,预约看病时间,患者姓名”到106XXXXXXXX可直接预约挂号。例如患者张XX需要在4月30日上午8:30预约南京市XXX医院心血管科的王智超医生,张XX在自助服务电子显示屏上上查询到王智超医生的工号为00868,则正确格式为:“GHDH00868,07150830,张XX”。实现移动手机电话预约挂号流程。 (开始预约) (预约成功)2.3.1会员管理体系l 患者在网上预约挂号之前,必须先注册为平台会员。l 注册会员必须填写信息:真实姓名、身份证号、家庭住址、手机号、(性别和出生日期根据身份证号自动得出);系统需提供在会员注册时信息,让用户确认,信息不全的让用户补全。l 会员注册需要通过电话激活(输入验证码)。l 会员功能定义:允许查看医院信息、上网医生信息及出诊排班表、医生出诊和停诊公告、预约挂号操作、预约挂号成功记录查询、退号操作、支付费用清单。l 非会员功能定义:允许查看各上网医院信息、上网医生信息及出诊排班表、医生出诊和停诊公告。2.3.2预约挂号功能预约挂号的天数由医院自行设置,原则上医生的出诊排班上网就允许患者进行预约挂号,预约不允许挂当天的号。2.3.3预约挂号途径l 通过登陆南京市XXX医院网站的“南京市XXX医院网上公共预约挂号平台”,选择医院、医生挂号。l 通过打电话到南京市XXX医院服务热线预约挂号(现在已有该功能)。l 通过登陆医院网站的“网上预约挂号平台” 选择该医院的医生挂号(医院内部网站的“网上预约挂号平台”,但挂号序号和总量应与南京市XXX医院网上预约挂号平台纳入统一管理)。l 上网医生允许预约的号子数由医院自行设置(必须在网上公示已预约数,开放预约数,总量三项数据),各号子的预约时间段或统一的预约时间段由平台设定统一默认设置,特殊情况可在医院后台自行设置)。l 网上预约成功以后,平台会以电话方式告知会员,预约服务号、服务密码、医院、科室、医生、预约时间段。预约挂号病人到医院确认方式:预约挂号病人到医院就诊时按照正常程序到医院导医台、自助挂号台或指定地点通过系统分配的号码,显示病人预约挂号纪录,进行确认并打印正式挂号单,HIS系统将预约挂号病人确认信息发给排队叫号系统,如果该病人的挂号序号在当前专家就诊病人挂号序号后三位这前,则排队叫号系统将该挂号信息排到当前专家门诊病人的后三位进行叫号。如果在挂号序号后三位之后,则按正常序号进入叫号系统针对通用就诊病人,医院采用自助服务设备进行确认的,需配备二代身份证信息读取机,对就诊病人进行身份确认。采用人工方式对病人身份信息进行确认的,要严格对照病人身份证把好病人审核工作,确保病人信息正确,减少黄牛现象。2.3.4特殊情况处理l 如医生停诊,平台将以电话方式通知会员,可凭预约服务号和个人身份证以及停诊通知电话到医院退回挂号费,(在就诊前一天可在预约平台上提供转号功能,也可申请退号,就诊当天只能申请退号)。l 如需退号,需要在预约平台进行退号操作,可凭预约服务号和个人身份证以及退号电话到医院退回挂号费,退号截止时间在就诊当天上午和下午。l 预约挂号的前提条件:需要选择预约的医生、预约的时间段。l 可以通过过滤条件:医院、科室、医生,来选择医生和时间段。l 可以通过过滤条件:科室、日期范围,来选择医生和时间段。l 提供成功挂号清单,以及支付的费用。l 要求医院在预约挂号病人到院内确认时将病人挂号信息,与医院HIS系统内病人基本信息作对比2.3.5黑名单功能对恶意挂号连续3次不来的不允许预约挂号,取消其半年内享受网络预约挂号的权利。对连续多天挂同一专家号,存在黄牛可能的用户不允许预约挂号(要求间隔3天以上),取消其半年内享受网络预约挂号的权利。提供统计、分析等功能和后台管理相关功能。2.3.6医生出诊排班维护l 医生出诊排班表由南京市XXX医院在其HIS门诊排班系统中自行维护,开通医生预约挂号。l 预约挂号平台与医院HIS门诊排班系统进行实时数据交换。l 需要对医生具体的出诊时间进行设定,时间包括日期、上午、下午、坐诊时间。l 需要设置允许预约的号子数。l 需要设置各号子的时间段,或者设置统一的时间段。l 医院至少提前统一的预约时间段确定医生出诊排班表,无特殊不能按期完成的,由系统自动记录,并纳入年度考核。l 如需停诊,医院必须提前一天设置,如遇特殊情况不能提前设置的,必须通过申请由中心确认以后生效。l 对南京市XXX医院的预约挂号服务数进行统计分析,方便年度信息化工作考核。l 建立南京市XXX医院统一的学科、医生信息编码标准体系:l 在平台建立南京市XXX医院科室、医生的编码标准,由中心统一维护。l 医院内部的科室和医生的编码与中心的编码标准进行匹配,不得随意更改。l 医院如需更改或增加科室和医生的编码,必须通过向中心申请、审核的方式来进行。l 2.3.7与HIS挂号数据对接l 完成平台与医院HIS系统得挂号、收费、排班、门诊医生等系统的实时数据交换接口,平台要实时取得医院的挂号信息、门诊医生排班信息;医院HIS系统的挂号、收费、门诊医生要实时取得平台的预约挂号、收费信息。l 平台需要反馈给HIS的预约挂号数据,包括:(1) 成功预约的号子和时间段;内容包含科室、医生和挂号费。(2) 未被预约的号子和时间段;内容包含科室、医生和挂号费。2.3.8与移动运营商财务对账l 平台将以日为单位出一张 南京市XXX医院应收汇总及明细。l 平台将以日为单位出一张 移动运营商对南京市XXX医院应付汇总及明细。第三章 平台实现技术3.1平台技术实现从1990年到1999年这十年,是MIS系统快速发展的十年。在这十年中,用户最大的需求就是把传统用手工操作的资料电子化。从2000年到2009年这十年,是ERP系统快速发展的十年,在这十年中,用户的需求已经不简单地停留在信息的采集和查询,而是要整合单位的资源和流程,让企业具有更强的核心竞争力。而今天,历史到了2013年,在企业中已经不乏各种信息系统,企业面临的最大的问题不是信息太少而是信息太多如何整合的问题。现在的企业已经有了太多的系统,OA系统,财务系统,库存系统,HR系统,而这些系统大多数各自独立,完成各自的任务。企业的领导面对纷繁复杂的系统,纷繁复杂的数据,反而无法得到企业的完整视图,为企业的决策提供强有力的数据支撑。如何让企业的管理者、决策层能看到统一、完整、准确的视图是摆在许多企业信息化面前的问题。这个问题也转化成如何构建企业内部的主数据模型的问题。而多茂云计算PAAS平台,作为一个企业的主数据模型系统。可以整合企业的各个系统,通过企业事先制定好的数据交换规则,形成关于本企业完整、准确的视图并放到主数据模型中。多茂云计算PAAS平台的UDM主数据模型系统是由南京多茂和南京大学计算机软件新技术国家重点实验室在国家863面向网构软件的自适应服务协同关键技术研究项目的研究成果上联合研制的具有自主产权的产品。项目组成员包括从美国硅谷回来的工程师及国家“核高基”中间件项目专家组的成员。多茂云计算PAAS平台借鉴了国外最先进的主数据模型设计的理念,结合中国的国情,让“系统是短暂的,数据是永恒的”理念得到实施。多茂云计算PAAS平台突破了传统关系型数据库设计中,系统越多,关系越复杂,数据冲突越多的瓶颈。而通过多茂云计算PAAS平台,不仅能展现给客户一个完整的360度视图,更能使得在企业中,系统越多,数据越真实,模型越准确。用户能像使用Office一样使用多茂云计算PAAS平台。并可在此平台上动态创建管理所需的表单、流程、消息、报表等而无需有相关的编程经验。由于多茂云计算PAAS平台直接生成的是源代码,用户可以很方便地在源代码的基础上对系统进行优化和二次开发。大大保护了用户的投资,并使得用户根据自身软件的特点进行优化成为可能。而对于大多数套装软件来说,由于不对用户开放源代码,很多模块对用户来说就是“黑盒”,成为系统实施中的障碍和瓶颈。多茂云计算PAAS平台不仅符合软件即服务的发展潮流,更可以快速创建各个行业的主数据模型,并在行业中进行推广,提升中国企业的管理水平。系统架构如下图所示:系统登录表单设计流程设计权限设置3.1.1系统原理和实现南京多茂企业信息云计算接入平台众多底层复杂问题进行了屏蔽,并实现了与客户业务无耦合性,它为集团客户提供了一条可快速、低成本进入移动化领域的便捷通道。它使移动信息化告别了传统的手工作坊模式,缔造了全新的产业流水线合作模式,为移动信息化产业的规模化成长与发展建立了基础。平台与集团客户原有IT系统的接入分成三种方式:表现层对接、业务逻辑层对接方式、国际开放协议对接方式。移动终端(诺基亚)MAS电话平台移动终端(O-Phone)PC电脑KUP移动中间件鄂托克旗第二人民医院网上预约挂号平台移动云计算PaaS平台鄂托克旗第二人民医院医院HIS系统.从以上的移动移动中间件及云计算平台系统整体架构图可见,用户的应用系统不直接和移动客户端打交道,数据可以先进入多茂云计算PAAS平台进行梳理和整合后再进入移动移动中间件。或者也可以通过移动移动中间件和客户的应用系统打交道。通俗点来说,移动移动中间件其实是模拟了PC应用的客户端,所以在客户的应用程序中无需做任何的修改就可以支持移动的应用。而移动移动中间件把从应用系统里面返还的数据以手机终端可以显示的格式展示到手机端。对于Word、Excel等办公文件,移动移动中间件在其中做了解析,并转换成移动终端能显示的格式,这样无论你是智能还是非智能的手机,都可以在手机终端中打开Word、Excel等的办公文件了。另外由于移动移动中间件已经在服务器端对文件进行了解析和分辨率的压缩,所以这样也大大地减少了数据通信的流量,节省了用户的费用。第四章 平台安全设计4.1综合安全体系系统安全性是一切的基础,在安全方面,我们的安全方案一直是业内同行参照的标本。移动办公系统具有的安全措施包括五大方面:终端接入安全、传输入安全、存储安全、运行安全、机制安全,对系统的各个环节给予细致的保护。4.1.1终端接入安全移动专线与边界防火墙由运营商直接将专线接入至用户单位机房,避免业务数据经过Internet所造成的风险。图表 移动专线与3G网络同时,由于移动办公服务器既需要与移动网络连接,以提供移动客户端接入,又需要接驳入用户单位的内网办公系统以获得相关的办公数据,因而需要通过边界防火墙,其可以有效地限制移动网络侧只能访问移动办公服务器的相应端口,可以较为有效的避免因移动网络与用户单位办公网络相连所带来的威胁。4.1.3传输安全SSL内容加密方式l 单向认证SSL安全协议应用的一种方式,单向认证中的“单向”是指仅对服务器的标识进行身份验证,而不对客户端的标识进行身份验证。但同样能保证对服务器的标识进行身份验证,并通过加密客户端与服务器之间的消息,可以确保通信的保密性和完整性。l 双向认证SSL安全协议应用的另一种方式,不仅通过服务器数字证书对服务器进行身份验证,而且通过客户端数字证书对客户端进行身份验证。通过加密客户端与服务器之间的消息,可以确保通信的保密性和完整性。4.1.4存储安全用户密码安全移动办公系统不直接存储用户的密码信息,而是存储用户的密码的加密信息,保证用户的密码的安全。持久数据存储安全对于需要持久的存储在移动办公服务器上的重要数据,移动办公系统采取加密安全存储,而不是直接存储系统硬盘数据。这样即使单位服务器被侵入,依旧无法取得用户存储于移动办公系统的机密文档。4.2鄂托克旗第二人民医院网上预约挂号平台安全策略结合鄂托克旗第二人民医院网上预约挂号平台建设的现状,我们将采取以下安全策略实现门户系统的安全。4.2.1身份识别与认证结合鄂托克旗第二人民医院网上预约挂号平台身份识别与认证将用于后台管理平台身份认证、前台网上申报(本项目中暂不涉及)等处。为了防止非法用户进入系统,可以采用多种方法来鉴别一个用户的合法性,常见的方法是设置用户口令(用户管理系统)和数字签名与认证。对于用户管理系统来说,设置用户口令是最常用的身份识别方式,但由于多种原因(用户本身设置、安全系统支持等),口令的方法比较容易被猜到或破译,使得该方法经常失效。因此,对于这种身份识别策略应该制定系统支持规定和口令设置规定。l 系统需要提供的支持这种方式身份识别系统应该提供以下主要功能:1.口令自动加密:对于用户设置的口令应该按照一定的加密算法进行加密,禁止明码传输或存放。2.反跟踪机制:防止有人通过跟踪系统的运行而获取登录口令。3.口令长度下限控制:不接受低于8位字符长度口令,并提出警告。4.口令自动检测:禁止用户设置与用户名相同的口令。5.口令锁定:对于多次受到试探(次数可由系统管理人员设置,如每次登录每天试探20次以上)的用户口令需要登记并锁定,同时提醒系统管理人员注意。6.提醒用户修改口令:当用户的口令设置期限超过一定的时间段(可自由设定,例如60天)时,提醒用户在一定的期限内重新设置口令,否则系统用户将被自动封锁。7.过期用户帐号消除:及时提醒系统管理人员对于长期不用的用户帐号予以清除。l 口令设置规定为了防止有恶意的攻击,对于用户口令的设置做出以下规定:1.禁止以下形式的口令设置:l用户名(账号)作为口令;l用户名(账号)的变换形式作为口令;l使用生日作为口令;l常用的英文单词作为口令;l5位或5位以下的字符作为口令。2.设置口令应遵循原则:l口令必须包括大写字母、小写字母及数字;l口令长度至少在8位以上;l应该定期修改口令,避免使用原来的旧口令;l用户在退出后应适时注销。4.2.2权限控制权限控制是针对系统实施安全保护的最常用的措施之一,是系统远程管理安全理论的重要方面。它包括人员权限、数据标识、权限控制、控制类型、风险分析等内容。系统或应用系统的合法用户和用户组被赋予一定的权限。权限控制功能可以规定用户和用户组可以访问哪些目录、子目录、文件和其他资源。包括服务器访问权限、数据库访问权限、表单与视图访问权限、文档访问权限、文档字段访问权限、区段与字段访问权限控制等多个级别。这些权限控制手段按层次逐渐细化,需要的话可以对Intranet/Internet系统中的每一个数据或设计元素控制访问权限。权限控制机制需要针对系统系统提供一系列按角色授权管理的功能,可以指定用户对这些文件、目录、设备能够执行哪些操作。一般情况下,根据用户的性质可以分为以下几类授权用户:n 特殊用户(即系统管理员);n 一般用户,系统管理员根据他们的实际需要为他们分配操作权限;n 审计用户,负责网络的安全控制与资源使用情况的审计。实现的权限控制系统必须针对上述用户或用户组提供灵活、易用的权限控制功能。针对不同用户的用户授权机制又可分为以下几种方式:l 屏蔽功能方式该种控制方式只对授权用户提供其权限允许的操作,而将其无权执行的功能或操作隐藏起来。这种控制方式优点在于系统的用户界面只与提供相应用户的业务所属功能,不会出现其他的功能而影响其操作,同时由于其他非授权操作用户无法知晓,因此在一定程度上提供了系统的安全性。 l 禁止功能方式这种控制方式与上一种控制方式原理上类似,不过这种方式只是允许用户使用对其授权的功能,具体表现为相应的选项或功能按钮为使能状态(Enable,即正常状态),而禁止该用户使用的功能表现为相应的选项或对应按钮为禁能状态(即Disable,按钮为灰色)。这种控制方式的优点是用户可以了解系统的所有功能,但缺点是系统的操作界面与用户所承担的业务不是完全一致,有引起混乱之嫌,另外,由于系统的所有功能全部呈现给用户, 对于系统的安全性有一定的威胁。l 触发方式这种控制方式是用户在选择某项功能后系统自动启动权限检查机制,决定其是否有权执行相应的操作,若系统已经授权,则系统转去执行相应的功能,否则系统会拒绝执行,并给出相应的提示信息。这种控制方式的优点与第二种方式相似,另外由于这种方式是动态检查相应用户的授权,因此,对于系统的安全性有一定的保障。但是这种方式的界面也会给用户带来一定的困惑(很多未授权的功能尽管可以选择但无法执行)。4.2.3日志与审计通过操作系统的日志功能或安装专门的同类软件,记录下任何对服务器的操作。完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。通过对日志的分析、统计和审计,可以检测所有尝试过的恶意攻击,不管是来自客户机的还是浏览器的,在一定程度上可以预防各种入侵,提高网络安全。例如,如果分析结果表明某用户某日失败注册次数高达20次,就可能是入侵者正在尝试该用户的口令。这时可以考虑对合法用户的口令进行一定的保护,防止有恶意的入侵者轻易获取到口令。4.2.4病毒防护计算机病毒出现以来一直是令业界十分头痛的问题,而且随着因特网技术的普及,计算机病毒的传播速度更快,其危害程度较以前更大。因此,在筹建系统系统时必须预先选择一套合适的防病毒程序并制定相应的规章来应对。在选择防病毒程序时,应从以下的几个方面来考察和选择:l 查解变体代码机和病毒制造机:能对各种变体代码机和病毒制造机自动分析、辨别,能够查出它们所产生的各种病毒并予以解除。l 未知病毒预测:使用代码分析和病毒常用手段的综合加权分析,检测还没有命名的未知病毒,并能报告出未知病毒感染的目标类型和病毒类别。l 在线监控、实时预警:对系统进行实时监测,防止软盘、光盘、网络数据等所携带的病毒感染系统,同时给出预警,提起系统维护人员注意。l 病毒源跟踪:在局域网上查到病毒时,能准确定位到有关的系统,并生成相应的报告文件,同时向该系统发送有关病毒的消息,必要时会将这些工作站注销,帮助管理员快速地找到病毒源。l 压缩包还原技术:展开ZIP、RAR、LHA等几十种压缩包文件,使隐藏在其中的病毒在进入系统或安装前得到有效的控制、清除。l 应急恢复:提供磁盘关键数据的保护和系统文件备份,当系统遭到病毒侵袭而导致文件损坏、硬盘数据丢失或系统无法启动时,通过软盘就可实现快捷的灾难恢复。l 支持多平台:一套完善的防病毒程序应该针对不同的操作系统平台(如Windows95/98/NT/XP、OS2、Unix、Solaris等)均有相应的解决方案,不仅能够满足单机的病毒防护,而且需要满足网络环境的应用要求。l 网络反病毒:提供实时查杀网络病毒、邮件病毒功能和因特网保护功能。l 检测病毒数量:随着病毒的数量、种类呈迅猛发展趋势,能查杀病毒的种类也就成为评测杀毒软件的指标之一。l 其他方面,如界面友好性、升级周期短、速度快(提供在线升级)、简单易用等特性也很必要。4.2.5软防火墙防火墙是系统系统安全的基础和保障。l 软防火墙的技术分类根据防火墙所防范的方式和侧重点不同可以分为不同的类型:包过滤、应用级网关和代理服务器等几大类型。1.包过滤型防火墙 包过滤型防火墙工作在网络层和传输层,与应用层无关,因此无需改动客户机和主机上的应用程序。它是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑(称为访问控制表)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 这种防火墙通常安装在路由器上,由于路由器是内部网络与因特网连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 2.应用级网关型防火墙 应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 应用网关和包过滤防火墙有一个共同的特点:只依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。3.代理服务型防火墙 代理服务也称链路级网关或TCP通道,它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册、登记并形成报告,当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。这种类型的防火墙还经常结合入过滤器的功能。4.复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常包括以下两种方案:屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与因特网相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为因特网上其他节点所能到达的唯一节点,从而确保内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成DMZ区,两个分组过滤路由器放在这一子网的两端,使这一子网与因特网及内部网相分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。l 软防火墙的选型原则防火墙本身是一对矛盾的结合体:一方面需要限制数据的往来,另一方面又要允许数据流通。鉴于不同的网管机制和安全策略,这种矛盾会表现为不同的形式。存在两种极端的情况:除了非允许不可的都禁止通过;除了非禁止不可都允许通过。第一种情况保证了系统的安全但不好用,而第二种情况则正好相反:好用但不安全。大多数防火墙产品都是在这两者之间进行折衷的。 这里所谓的好用或不好用主要指跨越防火墙的访问效率。在确保防火墙安全或比较安全的前提下能够提供最高的访问效率是选用防火墙产品的主要参考指标之一。除此之外,对于防火墙的选型还应该从以下的功能、特点来加以考虑。n 安全性:即是否通过了严格的入侵测试;n 抗攻击能力:对典型攻击的防御能力;n 性能:是否能够提供足够的网络吞吐能力;n 自我完备能力:自身的安全性,Fail-close;n 可管理能力:是否支持SNMP网管;n 认证和加密特性;n VPN支持:支持虚网划分功能;n 日志功能:记录多种事件的日志、过滤多种事件;n 服务的类型和原理;n 网络地址转换能力。
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!