内网管理系统升级增加点数和技术指标要求 - 福建协和医院

内网管理系统升级增加点数和技术指标要求 - 福建协和医院（通用2篇）

篇1：内网管理系统升级增加点数和技术指标要求 - 福建协和医院

附件1：

内网管理系统升级增加点数和技术指标要求：

一、升级现有北信源内网管理系统，许可协议600个。

二、在原有基础上增加700个许可协议。

三、参与投标系统需在本院实地测试运行通过。

四、详细技术参数

1.要求投标产品为具有成功实施案例的成熟产品，基于C/S、B/S混合管理模式构架，方便对网络中Windows系统客户端及本系统进行管理。

2.系统必须支持主流的桌机操作系统：WIN98/WIN2000/WIN2003/WINXP/WIN VISTA版本。3.管理构架上支持采用分级部署、分级管理和集中管理相结合的方式，管理模式为“下管一级”。4.级联网络，要提供上级直接查询下级数据的功能。

5.支持中央汇总、区域本地分布式报警方式相结合的管理机制，不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息，方便网管人员进行查询。

6.要求支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策略的下发执行，独立管理网络要求达到支持5000台以上计算机的管理，本次购买1300台计算机的管理许可，其中600台是已有终端升级部署,并分别做报价体系。

7.客户端终端安全管理软件要求能与现有协和医院本部客户端终端安全管理系统兼容，实现已部署的终端自动升级，实现全区终端的统一平台管理。

8.系统要求提供安全策略制定功能，根据终端安全防护需要提供安全策略（全局策略、本地策略、备份策略）。

9.策略制订后，能够自动分发至网络中所有注册终端，根据策略类型决定如何执行。10.策略需支持上级锁定并强制下级执行，下级无法修改。

11.可以定义策略执行的网络环境，如在特定网络中策略有效或无效。

12.系统要求支持管理网络终端软硬件资产：采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），注册后存储到数据库中;可自动发现客户端安装的软件，将所有相关数据入库管理；支持在管理中心对注册客户端进行联机卸载。

13.系统要求支持设备资产信息变化报警，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。

14.必须支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。15.要求支持硬件接口控制，控制外设接口的使用，管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等。

16.要求支持桌面流量管理，对网络客户端流量进行监控报警，客户端输入或输出流量超过设定阈值时报警，对可疑发包（蠕虫病毒等）行为、多并发连接进行检测、断网，防止非法入侵、滥用网络资源、感染病毒后影响网络正常工作。

17.支持对全网联网计算机的流量统计和流量排名，标示是否发包可疑和当前并发连接数。18.要求支持进行软件黑白名单管理，网管制订各种黑白名单策略后，报警处置客户端中安装运行的非法软件。

19.要求支持进程执行黑白名单管理，对及时结束非法进程，如QQ、MSN、炒股等，搜索病毒、木马等可疑程序。

20.针对绿色免安装软件，要求能够识别软件的产品名称和源文件名，即使进程名称发生改变也能进行管理和控制。

21.必须具备禁止、允许指定软件在注册表启动项、注册表服务项、（开始）程序菜单中添加相关值和快捷方式。

22.要求支持进行客户端防病毒软件管理，能够识别市场上多种常见杀毒软件，监控防病毒软件在客户端的安装情况、实时运行情况，对没有安装或升级、实时运行杀毒软件的计算机进行处理，如告警、断网，并以图表的形式直观显示，报警未安装、未运行杀毒软件客户端。23.能够对计算机上的病毒入侵源进行辅助分析和定位，并能够对以定位客户端进行远程提示或阻断。

24.要求支持客户端防火墙功能，对客户端进行端口访问控制、ICMP控制、IP地址访问控制，由管理员制订统一策略在客户端执行。

25.灵活设定管理监控策略，对不同的组设定不同的管理监控策略，实现灵活多变的管理；同一个的客户端可属于不同的多个组，可同时实施多种分组策略

26.客户端系统具有自我防护机制，防止用户随意停止、卸载，在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。

27.支持IP地址与MAC地址的捆绑功能。

28.支持对客户端不同路径下的不同文件的保护（读取、修改、删除）等操作进行限制或禁止，29.系统客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。30.要求支持对客户端进行系统安全性检查，包括：

 注册表检查：检查注册表键或者键值是否符合某一条件，对不符合检查要求的键值进行添加或删除；

 保护注册表，使其不被未授权用户或恶意程序修改；

 用户密码检查：检查系统用户、网络共享、屏幕保护等密码是否符合规范；  用户权限检查：监控系统用户及用户组增加、减少的变化。

31.要求支持桌面消息通知并回馈，向客户端发送请求重新注册、客户端代理程序升级等消息；能够查询消息回馈情况，了解消息通知接收效果。

32.要求支持终端点对点信息远程管理功能，诸如屏幕查看、抓包分析、运行进程查看、当前开放端口察看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等信息。33.对客户端的所有用户口令进行检查，并可以自行添加弱口令列表，如果发现系统存在弱口令则进行上报，并进行相应的提示。

34.要求支持对网络中客户端流量进行监控报警：对客户端设备流量进行采样并实时排序，监视网络的异常流量和异常连接，客户端输入或输出流量超越管理员设定阈值时报警，对可疑发包、可疑并发连接进行阻断，防止非法入侵、滥用网络资源。

35.要求支持对重要主机进行运维监控，支持对客户端硬盘、CPU、内存等系统资源应用状况的监控，在超过管理员设定阈值时自动报警。

36.要求支持系统重要进程、服务器、软件等的运行监控，对关键进程、关键服务进行保护，并在其发生死锁时自动恢复。

37.要求支持对重要服务器、路由器、交换机等网络设备的保护，有效保障网络的稳定运行。38.系统必须支持远程文件备份机制，要求把指定的文件在规定时间间隔内备份到指定服务器。39.要求系统支持管理员多路呼叫帮助平台，每个管理员可同时对多个用户提供远程帮助。40.要求支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并远程告警或断网。

41.支持对终端PC远程开关机；

42.支持监控已注册的设备网络连接行为，如改变网络地址接入其它网络，根据接入网络环境因素判定其是否非法接入其它网络。

43.客户端非法外联支持详细记录非法上网计算机的名称、单位、上网方式,可以在报警平台和报警查询中获知信息，并且可以对客户端进行提示信息，自动关机，断网等处理。44.必须支持是否允许使用代理服务器上网的控制。

45.要求支持对互联网补丁进行增量分离下载，经过病毒检测后将补丁导入内网，建立、更新内网补丁库。

46.要求支持按照不同类别对补丁进行归类（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等），并详细列表补丁信息。

47.要求支持其他非Windows系统补丁，如各种应用程序更新补丁，用户可以自定义索引文件。48.要求支持补丁闭环自动测试功能，对新下载的补丁进行真实环境的自动测试（管理员选定测试组计算机），测试完成后确认补丁安全再在指定时间后大面积下发补丁。

49.要求支持客户端补丁自动检测，在内网中建立补丁检测网站，客户端用户访问网站后，Web网页自动检测显示客户端补丁安装信息，用户可进行手动（批量）补丁下载安装；管理员可以在管理平台上点对点远程检测客户端补丁安装状况。

50.要求支持补丁分发策略制定，支持用户自定义补丁策略并自由分发，基于客户端网络IP范围、操作系统种类、补丁类别、风险级别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等）等制定策略，发送至客户端后统一按策略执行应用。

51.要求支持补丁自动分发安装，在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。

52.要求支持补丁分发流量和并发连接数控制，支持补丁下载代理转发，以免占用太大带宽，影响网络正常工作。

53.对于长期不打补丁的客户端，要求支持通过补丁管理系统阻止其接入内网的行为；对新接入网络的计算机要求立即安装补丁，否则阻断其入网。

54.要求对网内计算机的补丁安装情况进行整体收集，补丁下发完成后要有信息回馈，便于查询并导出报表。

55.系统能够以数字和图表方式提供统计报表，提供日志及相关报警信息报表，提供自定义编辑报表，支持支持Excel导出

56.要求支持分发普通文件到客户端计算机，在分发软件包时要求能够定义软件安装成功的标志，以便准确了解软件下发后安装情况，并且可以指定软件安装的系统用户类型。57.投标产品应具有公安部颁发的销售许可证书。58.投标产品应拥有国家认证的自主知识产权，并能提供相关证明。

篇2：内网管理系统升级增加点数和技术指标要求 - 福建协和医院

关键词：Subversion,信息系统,自动升级

1 软件自动升级的目的及意义

一般地, 在医院自主开发的软件信息系统中, 随着用户需求的不断提高和变更, 软件应用系统的修正、更新等维护工作极其频繁。由此带来的软件应用系统版本不一的问题极其突出。增加在线升级程序, 让用户随时升级到最新版本的软件信息系统, 可以很好地解决此类问题。所以软件升级具有重大意义:可以改正软件中的错误, 适应新的软硬件环境, 完善软件功能, 以及为以后的升级做准备。医院信息系统的升级能增强现在系统的功能, 给我们带来许多便利。

2 国内外研究现状

各个软件厂家都在不断地推出自己产品的新版本, 从而增加产品功能, 补充产品的性能, 提高竞争力。用户为了自己使用的方便和避免由于软件问题而引起的错误, 也需要对软件进行升级更新。

2.1 杀毒软件的升级

杀毒软件应该是软件中最优先更新的。大的杀毒软件 (如Symantec的AntiVirus) 通常每天都发布病毒更新程序, 或者是某些病毒特有的编码形式。如果你使用了杀毒程序, 则必须及时获得这些更新文件, 以便确保杀毒软件能防杀最新的病毒。

2.2 操作系统的升级

操作系统升级分为两种, 一是操作系统的升级, 由操作系统低版本升级到高版本;二是操作系统的更新, 操作系统内在系统软件的更新, 系统补丁的更新。操作系统的升级主要是通过系统安装光盘对现在系统进行升级或者新版本完全安装。

2.3 驱动程序的更新

驱动程序的更新流程主要如下:首先, 要检查驱动程序是否需要升级。如果需要升级, 应对当前的驱动进行备份, 一旦升级失败, 可以通备份进行还原。其次, 获取新版本的驱动程序。可以到相应厂商的网站或驱动程序网站下载最新的驱动程序后安装即可。

2.4 应用软件的升级

应用软件的升级分为以下四种情况:第一, 需要删除旧版本的软件, 重新安装新版本软件;第二, 需要要无后台程序运行的软件;第三, 升级时需要相应软件的支持;第四, 只需进行在线更新的软件。综上, 绝大部分应用软件进行升级时的要求并不高, 本文的研究重点放在在线升级系统, 在线升级具有如下优点:升级方便容易;操作简单;系统更加稳定;适合升级频率比较快的软件。

目前在线升级的方式主要有以下几种方式:一是基于版本号和日期的在线升级方法。第二是基于文件MD5的在线升级方法。还有一种是基于增量更新包的在线升级方法。

3 我院信息系统内软件升级现状

我院采用的是军卫一号医院信息系统, 操作系统为windowsXP, 同时每台工作站安装了杀毒软件网络版及多种工作应用程序。由于军队医院特殊性, 采用局域网未接入Internet。但是这也给日常的软件升级维护带来了很多不便。

实际工作中大部分软件进行升级时的要求并不高, 有些软件的升级更简单, 只要将相应文件拷贝到原安装路径下覆盖旧文件就可以了。而有些则对升级提出了一定的要求, 例如要删除旧版本的软件, 后台不能运行等情况。现有的各种软件升级方式各有利弊, 目前大多数软件没有提供局域网升级方式, 网络管理员特别是公共机房的网管必须分别对每台计算机进行升级, 造成了时间的浪费和工作效率的下降。

由于各个软件商都有自己的升级方式, 用户不知道究竟何种软件应该采用何种升级方式。因此需要一个通用的在线升级平台, 实现医院各类信息系统的在线升级。通过研究当前信息系统在线升级的实现方式, 提出了一种基于版本控制工具Subversion的在线升级技术, 实现一个面向医院信息系统通用的跨平台的在线升级系统。

4 版本控制相关技术

4.1 SVN技术

Subversion是一个自由/开源的版本控制系统。在Subversion管理下, 文件和目录等数据可以恢复到早期版本, 或者是检查数据修改的历史。Subversion的版本库可以通过网络访问, 从而使用户可以在不同的终端设备上进行操作。

SVN的架构图如图4.1所示。图中的一端是保存所有版本数据的Subversion版本库, 另一端是Subvesion的客户程序, 管理着所有版本数据的本地影射, 在这两极之间是各种各样的版本库访问 (RA) 层, 某些使用电脑网络通过网络服务器访问版本库, 某些则绕过网络服务器直接访问版本库。

4.2 版本库和版本模型

Subversion是一个"集中式"的信息共享系统。版本库是Subversion的核心部分, 是数据的中央仓库。版本库以典型的文件和目录结构形式文件系统树来保存信息。任意数量的客户端连接到Subversion版本库, 读取、修改这些文件。客户端通过写数据将信息分享给其他人, 通过读取数据获取别人共享的信息。

版本控制系统的核心任务是实现协作编辑和数据共享, 但是不同的系统使用不同的策略实现这个目的。

5 基于SVN的在线升级系统设计

5.1 在线升级系统架构

在线升级就是在计算机连网的情况下, 使目前运行的系统可以自动升级到新的版本。鉴于医院自主开发的信息系统的需求的变化, 设计和开发一个通用的在线升级平台维护医院各信息系统的版本。

在线升级平台的架构包括在线更新服务器 (SVN Server) 、在线更新客户端 (基于SVN) 和项目源码SVN服务器。项目源码服务器存放着程序的最新版本, 该版本随着开发人员的修改随时更新, 并不是一个稳定的版本, 而是最新的版本。在线更新服务器存放着最近的一个比较稳定的版本。在线更新客户端是安装用户计算机上的一个更新程序, 它负责从在线更新服务器上检出、更新出最新的程序版本如图5.1。

开发人员每修改一个功能模块, 就会上传到源码SVN。测试人员对更新的功能进行测试, 当测试通过后, 测试人员将项目源码SVN服务器上的程序编译后提交到在线更新服务器, 供各应用客户端更新程序下载。在线升级客户端启动后每隔2小时自动检测更新服务器上的版本, 当发现新的版本后, 在服务器界面上显示存在更新, 并建议管理员进行更新。

5.2 在线升级系统设计

5.2.1 在线升级客户端设计

客户端用SVN的JAVA开源包svnant和svnkit来实现。客户端的实现如下: (1) 检查在线更新服务器是否可用, 本地在线更新客户端是否安装完整, 是否已经成功安装服务端; (2) 通过SVN STATUS获取SVN本地修订版本号; (3) 通过SVN INFO获取SVN服务器上的修订版本号; (4) 若本地修订版本号与服务器修订版本号不相等, 说明程序存在更新, 否则, 则认为没有更新, 转 (9) ; (5) 停止运行的CS端的服务器和WEB服务器; (6) 若存在更新, 客户端首先执行svn ignore, 设置个性化的文件不进行版本更新, 其次执行svn update, 来更新的程序; (7) 对CS端的客户端和服务器进行重新打包。部署新的WEB程序; (8) 启动CS端的服务器, 启动WEB服务器, 自动打开WEB服务器的登录页面; (9) 在线更新结束。

5.2.2 在线升级服务器设计

在线升级服务器基于svnserv进行二次开发, 实现SVN SERVER。客户端与服务器文件传输采用HTTP协议。

Subversion的设计包括一个抽象的网络层, 这意味着版本库可以通过各种服务器进程访问, 而且客户端"版本库访问"的API允许程序员写出相关协议的插件, 理论上讲, Subversion可以使用无限数量的网络协议实现, 目前实践中只有两种服务器。Apache的HTTP服务器是一个Subversion可以利用的"重型"网络服务器, 通过一个自定义模块, httpd可以让Subversion版本库通过WebDAV/DeltaV协议在客户端前可见。这个协议利用了无处不在的HTTP协议是广域网的核心这一点。作为Apache 2.0软件的一部分打包, 被许多操作系统和第三方产品支持, 网络管理员也不需要打开另一个自定义端口。这样一个Apache-Subversion服务器具备了许多svnserve没有的特性, 但是也有一点难于配置。

商业应用需要越过网络防火墙的版本库访问, 防火墙需要小心的考虑非认证用户"吸取"他们的网络流量的情况, SSL让那种形式的关注更不容易使敏感数据泄露。如果Subversion使用OpenSSL编译, 它就会具备与Subversion服务器使用https://的URL通讯的能力, Subversion客户端使用的Neon库不仅仅可以用来验证服务器证书, 也可以必要时提供客户端证书, 如果客户端和服务器交换了SSL证书并且成功地互相认证, 所有剩下的交流都会通过一个会话关键字加密。

5.3 基于SVN技术的在线升级优点

使用SVN技术进行在线更新有以下优点:

(1) 可以更新到指定版本号的版本; (2) 版本控制由SVN来控制, 不用定制增量升级包, 大大节约了制作更新文件的时间; (3) SVN原子提交的特性, 要么更新成功, 要么一个文件不更新; (4) 纠错能力强。若更新时因特殊原因终止, 再次更新时只需要执行svn clean, 就能再次更新。不会以外因断网、断电等特殊因素损坏本地文件; (5) 每次更新, 服务器零配置, 只需要提交最新的程序文件到SVN即可; (6) 用户可以从任意版本号的软件升级到最新版本。

参考文献

[1]马殿欣, 靳胜利, 王华.软件在线升级程序的设计[J].脑编程技巧与维护, 2004, (05) .

[2]郭贤海, 詹英.通用自动升级系统的研制与开发[J].计算机时代, 2006, (02) .

[3]谢峰.软件升级程序的设计与实现[J].大众科技, 2006, (05) .

[4]屠伟国.面向跨平台的在线升级系统研究与实现[D].哈尔滨工业大学, 2004

[5]曹吉.Subversion点评[J].程序员, 2004, (12) .

[6]闫晗.利用SVN对软件项目进行版本控制管理[J].科技风, 2009, (05) .