网络接入服务器(NAS)技术规范
信息产业部
网络接入服务器(NAS)技术规范
信息产业部
(Technical specification For network access server)
目次
1.范围
2.引用标准
3.定义
4.缩略语
5.设备功能
6.技术指标
7.通信接口
8.通信流程及协议
9.环境要求
10.电源与接地
11.例行试验
附录A(标准的附录) 二线模拟接口Z要求
附录B(标准的附录) 2048kbit/s接口要求
附录C(标准的附录) 串行同步通信接口要求
附录D(标准的附录) 网络接入服务器采用的中国一号信令的要求
附录E(标准的附录) 网络接入服务器采用的七号信令的要求
1.范围
本标准规定了网络接入服务器的定义、术语、设备的功能和指标、通信接口、通信流程及协议、环境要求等。
本标准适用于位于公用电话网(PSTN/ISDN)与IP网之间,将拨号用户接入IP网的网络接入服务器。
2.引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。在标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB2423-89 电工电子产品的基本环境试验规程试验
GB4798.3-90 电工电子产品应用环境条件 有气候防护场所固定使用
YDN 009-1997 帧中继网技术体制
YDN 034-1997 ISDN用户-网络接口规范
YDN 065-1997 邮电部电话交换设备总技术规范书
YDN 067-1997 ATM交换机技术规范
RFC0768-1990 UDP协议
RFC0791-1990 IP协议
RFC0792-1990 ICMP协议
RFC0793-1990 TCP协议
RFC0854-1990 TELNET协议
RFC0855-1990 Telnet协议选项规范
RFC0858-1990 Telnet抑制前进选项
RFC0894-1990 在以太网上传输IP数据包的标准
RFC1144-1992 低速串行链路上的TCP/IP头的压缩算法(SLHC协议)
RFC1155-1990 基于TCP/IP的互连网管理信息的结构和标识
RFC1157-1990 简单网络管理协议(SNMP协议)
RFC1213-1991 基于TCP/IP的互连网的网络管理信息库:MIB-Ⅱ
RFC1321-1992 MD5算法
RFC1332-1992 IPCP协议
RFC1334-1992 PAP协议
RFC1631-1994 IP网络地址转换器(NAT)
RFC1661-1994 PPP协议
RFC1990-1996 PPP多链协议
RFC1994-1996 CHAP协议
RFC1662-1994 在类HDLC帧中的PPP协议
RFC2138-1997 RADIUS协议
RFC2139-1997 RADIUS计费协议
RFC1944-1996 网络互连设备的性能测试方法
IEEE802.2/3-1985 局域网协议标准
ITU-TV.90-1999 56kbit/s Modem标准
ITU-TG.703-1991 系列数字接口的物理/电特性
3.定义
本标准采用下列定义。
3.1网络接入服务器
网络接入服务器(Network Access Server,缩写为NAS)是远程访问接入设备。它位于公用电话网(PSTN/ISDN)与IP网之间,将拨号用户接入IP网;它可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用。
3.2TCP/IP(Transport control protocol/Internet protocol)
TCP/IP是Internet的基本协议。TCP工作在第四层,是传输层,实现在IP之上的可靠传送、流量控制,为上层应用程序提供服务。IP工作在第三层,是网络层,实现数据报文寻径、数据包分片重组等功能。
3.3PPP点对点连接的通信协议(Point to point protocol)
用于完成点对点连接上的IP包封装。另外PPP还定义了IP地址的分配和管理、异步(起/止)和面向比特的同步封装、网络协议选用、链路配置、链路质量测试、错误测试等。
3.4MP多链路捆绑协议(Multilink PPP)
用于在PPP中把多个物理链路捆绑起来,提高和使用更高的带宽。MP是通过两个系统间同时存在的多条链路,分割、按序传送、重组PPP包的协议。在接入服务器内的MP捆绑包括2个B的捆绑和两个modem的捆绑,以及一个B和一个modem的捆绑等多种方式。
3.5RADIUS远程拨入用户认证服务(Remote Authentication Dial-In User Service)
RADIUS是当前流行的AAA协议,AAA是授权(Authorization)、认证(Authen-tication)和计费(Accounting)的简称。
RADIUS协议采用客户/服务器(Client/Server)结构,采用UDP作为传输协议。RADIUS的客户端通常运行于接入服务器上,客户端的任务是将用户(User)的信息发送到指定的服务器,然后根据服务器的不同响应进行处理。RADIUS服务器通常运行于一台工作站上,其任务是接收客户发来的请求,认证用户的权限,并返回客户向用户提供服务时所需的配置信息。RADIUS的服务器端的数据库中存放着所有的安全信息。
3.6ACN(Authenticated by Called Number)
指按照接入号码进行认证的功能。
3.7VPDN拨号虚拟专网(Virtual Private Dial Network)
VPDN提供这样一条途径,它使得远程用户可以通过公共IP网来访问一个内部网,例如一个企业的Intranet。
3.8SNMP简单网络管理协议(Simple Network Management Protocol)
是Internet的网络管理的标准协议。
3.9防火墙
防火墙的功能是阻止或限制非正当用户对于某网络的访问。
3.10来电指示
来电指示是接入服务器的一项功能,它用来通知正在上网的用户有电话打入,并由用户选择继续上网、接听电话或把来电转移到其它电话上。
3.11IP网
IP网是指以IP协议为网络层协议的一切网络。
4.缩略语
PAP: Password Authentication Protocol 密码认证协议
CHAP: Challenge-Handshake Authentication Protocol 握手认证协议
IPCP: The PPP Internet Protocol Control Protocol 网际网控制协议
IPXCP: The PPP Internetwork Packet Exchange Control Protocol 网间数
据包交换协议
BRI: Basic Rate Interface 基本速率接口
PRI: Primary Rate Interface 一次群速率接口
LAN: Local Area Network 局域网
ATM: Asynchronous Transfer Mode 异步传送模式
FR: Frame Relay 帧中继
5.设备功能
5.1网络接入服务器在网络中的地位
网络接入服务器位于公用交换电话网与IP网的接口处,用户拨号通过交换机经用户线或中继线接入网络接入服务器,其在通信网中所处位置如图1所示。
5.2设备的功能组成
网络接入服务器的功能组成可归类为四大功能模块。
5.2.1接入功能模块
图1 网络连接图(略)
接入功能模块包括电话网侧的接口模块,分为PSTN的接口模块和ISDN的接口模块;还包括IP网侧的接口模块,包括LAN接口模块和同步专线接口模块,根据需要也可采用FR和ATM接口模块。
5.2.2通信协议模块
接入服务器中包含众多通信协议:电话网侧通信协议(PPP)、IP网侧通信协议(TCP/IP、UDP)、VPDN协议等。
5.2.3管理模块
网络接入服务器的管理控制模块包括3个功能模块:SNMP代理功能模块、Tel-net服务器功能模块和远端拨号监控功能模块。通过3种不同的途径对网络接入服务器进行控制管理。
5.2.4接入认证、授权、计费和统计模块
网络接入服务器中包含网络接入认证与授权模块、计费模块和统计模块。除了上述4个主要的功能模块外,还有一些其它的模块诸如VPDN模块、来电指示模块和系统控制模块。
5.3设备的功能要求
5.3.1接口功能
网络接入服务器与公用电话(PSTN/ISDN)网和IP网都有通信接口:在电话网侧有PSTN接口和ISDN接口;在IP网侧有LAN接口和串行同步接口。
5.3.1.1电话网接口
网络接入服务器有两类电话网接口:一是模拟接口,它通过电话用户线与采用拨号呼入的用户相连,通常用于企业网或小型ISP,其信令采用模拟用户信令。另一类是电话网数字中继接口,以E1为单位。采用的信令可以有中国1号信令和中国7号信令。
电话网的接入物理层完成模数转换功能,此功能是依靠Modem来实现的。
电话网接口链路层采用PPP协议来完成拨号用户和网络接入服务器之间的链路层连接。它完成链路协议(LCP)、接入认证(PAP,CHAP)和网络协商(IPCP)的等功能,在拨号用户与网络接入服务器之间建立链路层连接。
5.3.1.2ISDN接口
网络接入服务器有两类ISDN接口:一类是基本速率接口(BRI接口),它直接接在电话用户线上,由2个B信道接口和一个D信道组成;另一类是一次群速率接口,它适用于大业务量用户,由30个B信道和一个D信道组成。在这两种接口中,B信道均为数据通道,用于透明地传递用户数据,D信道为信令信道,用于传送信令。
ISDN接口链路层采用PPP协议来完成拨号用户和网络接入服务器之间的链路层连接。它完成链路层协议(LCP)、接入认证(PAP,CHAP)和网络层协商(IPCP)等功能。
5.3.1.3LAN接口
LAN接口是网络接入服务器接入IP网的接口方式之一,网络接入服务器的LAN接口可采用以太网接口,其传输速率根据网络接入服务器的不同级别可以采用10Mbit/s、100Mbit/s或者更高的速率。
5.3.1.4串行同步接口
串行同步接口是网络接入服务器接入IP网的接口方式之一。它通过串行同步接口将网络接入服务器接到IP网上。物理层应符合ITU-TG.703的规定,网络接入服务器提供64kbit/s~155Mbit/s的串行同步接口。串行同步接口一般用于网络接入服务器以远程接入路由器的情况。
5.3.2通信协议实现和转换功能
网络接入服务器一个十分重要的功能是要提供电话网(PSTN/ISDN)和IP网之间的协议转换。
网络接入服务器应实现的网络协议有:
(1)电话网侧的通信协议
a)调制解调器通信协议(V系列建议)
b)AT命令集
c)PPP协议
(2)IP网侧的通信协议
a)LAN通信协议 IEEE802.3或IEEE802.3u
b)VPDN协议 L2TP
c)接入认证协议 Radius
d)网管协议 SNMP
e)TCP/IP
f)Telnet
5.3.3接入认证与授权功能
网络接入服务器对拨号用户进网时拨号用户的信用进行认证。用户接入认证可以根据用户的电话主叫号码来认证,也可以根据用户的用户名和口令来认证。
网络接入服务器是用户接入认证请求的发起端,它使用Radius协议向接入认证服务器发出用户接入认证的请求。它接收来自用户接入认证服务器用户认证响应,据此响应授于请求用户接入的权限并且开始计费。
5.3.4计费功能
网络接入服务器记录拨号上网用户的接入费用,接入费用是通过接入时长乘以费率而得到的。用户接入认证通过后,网络接入服务器接到用户接入认证响应即开始计费。用户发起正常调制解调器拆线或非正常调制解调器拆线,网络接入服务器即停止计费。停止计费时刻与开始计费时刻的差值即为用户接入时长。对于专线接入的用户接入服务器应支持按流量计费。
5.3.5防火墙功能
网络接入服务器的防火墙功能表现为根据不同的用户权限向用户提供不同的接入能力。网络接入服务器的防火墙功能可以有两种方式来提供,分别称为IP Filter和IP Pool。IP Filter是网络接入服务器提供IP包的过滤功能,向不同权限的用户提供不同层次的IP包过滤功能,以实现不同的用户有不同的接入能力。IP Pool则是与相应的路由器配合起来实现防火墙的功能,网络接入服务器根据用户的授权从不同的IP池中读取IP地址给相应的用户作为用户的主叫IP地址,在相应路由器则确定对不同主叫IP地址的不同的IP包的过滤能力,从而实现不同的用户权限有不同的接入能力。网络接入服务器可以支持IP包过滤式防火墙也可以支持IP Pool式防火墙。
5.3.6拨号虚拟专网(VPDN)
VPDN是由拨号用户发起的建立虚拟专网的技术。接入服务器中的VPDN功能包含两个方面的内容:
(1)对请求建立虚拟数据专网的拨号用户进行用户资格认证。
(2)为通过资格认证的用户建立虚拟数据专网的隧道、数据包传送和拆除隧道等。
接入服务器应支持用户通过特定用户名或特定号码接入VPDN,采用的通信协议应支持L2TP和PPTP协议(PPTP为可选项)。
5.3.7中继合群功能
中继合群功能指的是网络接入服务器可以处理来自同一个中继群的不同被叫号(相应于不同的ISP)的能力。网络接入服务器可以根据不同的电话被叫号,将用户呼叫接入认证指向各自的认证系统和应用系统。中继合群适用于多个ISP共用一个接入服务器的场合。其功能为:被叫号判别,不同IP地址分配和不同接入认证系统的导向。网络接入服务器应支持多种接入号码在同一中继群中接入;应支持PSTN和ISDN用户在同一中继群中接入,且接入号码相同。
5.3.8来电指示功能
当拨号接入用户已在IP网中工作时,有以该用户主叫号为呼入对象的电话呼叫,网络接入服务器即向拨号用户指示有来电呼叫。用户可以根据需要选择挂起当前作业,接收来电,或者不接收来电。来电指示要求网络接入服务器接收来自信令网的来电消息,处理来电消息,向用户发出来电指示信息。(此功能为可选项)
5.3.9网管接口
网络接入服务器接受IP网网管的管理,完成网络管理的功能有:配置管理、性能管理、故障管理、安全管理、记帐管理。
网络接入服务器内设置网管代理模块,网管代理模块实现与网管的通信、采集网络接入服务器的相应信息并维护MIB库。
采用的通信协议为SNMP,MIB应符合RFC1213、1212、1157、1155的规定。
网络接入服务器配置管理可以通过Telnet来实现。其对网络接入服务器应具有Telnet通信协议接口和口令等安全管理功能。
网管对下列方面进行统计:用户呼叫次数、用户呼叫不能连接次数、用户访问的平均时长、用户访问的平均费用、闲时概率、忙时概率、日均用户曲线、月均用户曲线、设备元素故障概率、无法拆线次数、非正常终止原因及出现频率等。
5.3.10多链路捆绑功能
网络接入服务器应支持多链路捆绑工作模式,网络接入服务器支持ISDN的多B捆绑和两个或两个以上的PSTN链路的捆绑。
5.3.11远端拨号接入监控功能
网络接入服务器提供远端拨号接入监控功能,供远端维护和监控。这是一项可选的功能,主要是用于对网络接入服务器本身的维护之用。
5.3.12设备的管理
网络接入服务器应提供远端拨号接入监控功能和本地控制台(console)管理功能,网络接入服务器应具有远程拨入功能。远端拨号终端或本地控制台应能实现网络接入服务器故障恢复后重启动(reboot)功能,实现对网络接入服务器维护和监控的功能。远端拨号终端或本地控制台应能实现修改用户帐单的功能,可以增添用户帐单或撤销用户帐单;远端拨号终端或本地控制台应能实现设备安全控制管理,可以修改用户身份码(PIN),强制拆除连接;远端拨号终端或本地控制台应能实现设备的故障定位,能确定故障的Modem,并停止使用它。
6.技术指标
6.1物理层接口技术指标
网络接入服务器的物理层接口技术指标详见第7章的规定。
6.2链路层接口的技术指标
6.2.1PSTN的链路层接口技术指标
PSTN链路层协议为PPP协议(SLIP为可选项);
PPP的平均建链时间:<5s(包含RADIUS认证时间);
每秒同时建链数:>设备端口数的10%。
6.2.2ISDN链路层接口的技术指标
ISDN链路层协议为PPP协议(SLIP为可选项);
PPP的平均建链时间:<5s;
每秒同时建链数:>设备端口数的10%。
6.3用户接入认证技术指标
网络接入服务器的接入认证由两段组成,一是拨号用户和网络接入服务器之间的接入认证(PAP或CHAP协议),二是网络接入服务器和Radius server之间的认证。
应支持PAP/CHAP认证,支持Radius协议。PAP/CHAP认证符合RFC1994规范,Radius认证、授权应符合RFC2138、2139规范;Radius协议采用客户机/服务器结构,使用UDP协议作为传输协议。
用户接入认证的平均响应时间:<3s(不包括漫游用户);
每秒处理用户接入认证数:>设备端口数的10%;
用户接入认证的差错率(误判率)<0.1%。
用户接入认证的成功率:
负载为90%时认证成功率 ≥95%;
负载为50%时认证成功率 ≥99%;
负载为10%时认证成功率 ≥99.5%。
认证、授权的Radius服务器应有主备用。接入服务器应支持一个主用Radius服务器和两个以上备用Radius服务器:
应支持主叫号码识别功能;
应支持储值卡用户的接入,支持Rlogin;
应能设置多个IP地址池;
应具备被叫号码识别功能。
6.4拨号虚拟专用网技术指标
拨号虚拟专用网是由拨号用户发起的,以隧道技术为其接口技术来建立虚拟数据专网。它分为3个步骤:拨号用户认证,建立隧道,通信。
VPDN的建立响应时间:<5s;
可建立VPDN数:>设备端口数的30%;
每秒平均建立VPDN数:>设备端口数的10%;
成功率:>99.9%;
差错率:<0.1%。
6.5多链路通信技术指标
将多个链路捆绑起来,为拨号用户提供更高的通信速率。
ISDN可捆绑的B通道数:≥6B;
ISDN可捆绑的B通道的组数:≥设备端口数的50%;
PSTN可捆绑的链路数:≥2;
PSTN可捆绑的链路组数:≥设备端口数的50%。
6.6呼叫处理能力技术指标
呼叫处理能力指的是,对拨号用户呼入的处理能力。
每秒能同时处理的呼叫次数:≥设备端口数的10%;
闲时(10%)呼叫接通率:≥99%;
忙时(90%)呼叫接通率:≥97%;
呼叫接续时间:≤5s。
6.7文件传送速率技术指标
文件传送速率用来检查网络接入服务器的处理能力。统一用传送FTP文件来衡量。由于对不同的文件压缩的效果不一样,因而采用“标准文件”(文件的压缩比为2.5∶1)来进行。
·单路PSTN最大文件传送速率
56kbit/s的Modem:≥9.5kB(其余Modem的速率按同比要求);
·多路PSTN最大文件传送速率
线性度不劣于85%,即两条链路≥9.5kB(1+0.85)=17.58kB;
·单B最大文件传送速率≥6.8kB
·多B最大文件传送速率
线性度不劣于85%,即2B速率≥6.8kB(1+0.85)=12.58kB;
·包过滤条件下,文件传送速率
在最大过滤条件下,文件传送速率不低于正常值的85%(即对于56kbit/s的Modem不低于8.55kB);
·文件传送线性度(从10%~100%下的文件传送速率)
文件传送线性度应优于85%,最差不低于70%;
捆绑信道的文件传送线性度见图2。
6.8长时掉线率技术指标
长时掉线率指的是拨号用户已经建立连接,因设备的原因而引起的掉线的比率。
图2 捆绑信道的文件传送线性度(略)
表1 网络接入服务器发起拆线的情况
-------------------------------
| |忙时90% |闲时10% |
|---------|---------|---------|
|3h |1% |1% |
|---------|---------|---------|
|6h |3% |2% |
|---------|---------|---------|
|24h |10% |5% |
-------------------------------
6.9计费
接入服务器上的计费和统计功能是通过Radius协议实现的。Radius计费符合RFC2138、2139规范。Radius服务器将计费信息记录到数据库中,计费、统计软件根据这些数据进行计算,最后得出用户上网的帐单和统计数据。
·计费的备份:用于计费的Radius服务器应有主备用。应支持一个主用Radius服务器,两个以上备用Radius服务器。
·应支持实时计费(预付卡用户)。
·应支持按照主叫号码计费(数字接口情况下)。
·应支持储值卡用户的计费。
精度:≤1s;
差错率:≤0.01%。
6.10时钟精度
时钟精度的指标仅针对自备时钟的接入服务器。
-6
准确度:±50×10
-6
牵引范围能同步到:±50×10
-8
最大频率偏移:<2×10
-8
初始最大频率偏差:<1×10
MRTIE理想状态:<1μs
MRTIE保持状态:(s≥100)
-4 2
MRTIE≤〔10s+1/2×2.3×10 ×s +10〕ns
6.11可靠性指标
·无故障连续工作时间
系统的无故障工作时间:MTBF>69000h。
·故障恢复时间
系统故障恢复时间<1h。
·对电信级网络接入服务器的要求
要求设备具有高可靠性和高稳定性;主处理器、主存和电源等要求双机冗余备份;通道卡要求以m+n备份并提供远端测试诊断功能;电源故障能为保持入呼叫的有效性和保持连接的有效性。
7.通信接口
7.1物理层接口
7.1.1PSTN通信接口
网络接入服务器有两类PSTN接口:一类是用于用户接入的模拟用户接口;另一类是数字中继接口。
电话信道是模拟信道,即使在中继采用数字信道的情况下,从端到端仍是模拟信道。要进行数据通信需要经过调制解调器(Modem),因而PSTN物理层接口有两个,即电话信道物理层接口和调制解调器物理层接口。
7.1.1.1模拟用户接口(可选项)
采用二线模拟接口Z,详见附录A。
7.1.1.2PSTN数字中继接口
采用2048kbit/s速率的数字接口,详见附录B中相关规定。
7.1.1.3调制解调器物理层接口技术指标
应兼容56kbit/s(v.90)、33.6kbit/s(V.34bis)、28.8kbit/s(V.34)、14.4kbit/s(v.32bis)等速率;
接收电平>-43dBm;
发送电平<-6dBm;
无载波电平<-45dBm;
AT命令集。
7.1.2ISDN通信接口
网络接入服务器有两类ISDN接口:一类是BRI接口,即通常所说的192kbit/s(2B+D)接口。其中B为64kbit/s的数字信道,D为16kbit/s信令信道。另一类是一次群速率接口接口(PRI),即30B+D接口,速率为2048kbit/s。
7.1.2.1ISDN的BRI接口
BRI接口是把现有电话网的普通用户线作为ISDN用户线而规定的接口,它是ISDN最基本的用户—网络接口。BRI接口由两条其传输速率为64kbit/s的B通路和一条其传输速率为16kbit/s的D通路构成。两条B通路可以独立地用来传送用户信息,D通路则用来传送信令。
a)功能
BRI接口采用总线结构,支持时分复用多路传输,采用标准插座并具有同呼冲突检测的能力及可选的馈电功能。
b)码型
采用100%占空比的AMI码。
c)电特性
BRI接口采用变压器耦合方式。它具有低功耗、通过接口馈电和抗噪声等电特性,见表2。
表2 接口的电特性
-----------------------------------------
| 项 目 | 规 定 |
|----------|----------------------------|
|比特率 |192kbit/s容差(自由振荡方式)±100ppm |
|----------|----------------------------|
|线路终端 |100Ω±100% |
|----------|----------------------------|
|NT的抖动特性 |NT输出序列中最大抖动(峰-峰)为一个比特的5% |
|----------|----------------------------|
|发送输入阻抗 |<20Ω |
|----------|----------------------------|
|无信号 |>2.5kΩ |
|----------|----------------------------|
|发送脉冲 |<20Ω |
-----------------------------------------
d)标准插头座
采用ISO标准化的插头座,其标准编号为DIS8877。
7.1.2.2ISDN的一次群速率接口
ISDN的一次群速率接口采用2048kbit/s速率接口,详见附录B中相关规定。
7.1.3串厅同步物理层接口
它包括64kbit/s、2048kbit/s、34368kbit/s、155520kbit/s等速率接口。详见附录C中相关规定。
7.1.4LAN接口
网络接入服务器具有10Mbit/s(符合IEEE802.3)和100Mbit/s(符合IEEE802.3u)的LAN接口。
7.1.4.110Mbit/sLAN接口
10Mbid/s的LAN接口的物理层分为两部分,即与媒体无关的部分以及与媒体直接邻接的媒体连接单元(MAU)。物理层提供在物理层实体间发送和接收比特的能力。IEEE802.3体系结构如图3所示。
OSI模型 IEEE802.3
--------- ---------
| 高层 | | 高层 |
|-------| ----→|-------|
| 网络层 | / | LLC |
|-------|---/ |-------|
| 数据链路层 | | MAC |
|-------|---------→|-------|
| 物理层 | | PLS |
--------- | 物理信令 |
---------
------
| |
------
||←---- AUI--
------ |
AUI:连接单元接口 | | |
MDI:媒体相关接口 ----------- } MAU
PMA:物理媒体连接件 | PMA | |
MAU:媒体连接单元 ----------- |
| |←--- MDI←-
-----------
| 媒体 |
-----------
图3 IEEE802.3体系结构
物理信令(PLS)服务,PLS为MAC子层的数据及控制信息的传送提供服务,并监测物理媒体的状态。它所提供的服务原语如表3所示。
表3 服务原语
----------------------------------
|PLS-DATA.请求(OUTPUT—UNIT) |
|PLS-DATA.证实(OUTPUT—STATUS) |
|PLS-DATA.指示(INPUT—UNIT) |
|PLS-CARRIER.指示(CARRIER—STATUS) |
|PLS-SIGNAL.指示(SIGNAL—STATUS) |
----------------------------------
·AUI(连接单元接口)
物理上,AUI由4或5对屏蔽双绞线组成:
数据出,用于自站往MAU发数据;
数据入,用于MAU往站发数据;
控制入,用于MAU往站送控制信号;
控制出(选用),用于自站往MAU发控制信号;
电源供给,用于自站往MAU供电。
·码型
接口上采用曼切斯特编码,用0.85V和-0.85V分别表示“1”和“0”。
·电缆
电缆可采用10Base-5、10Base-2、10Base-T和10Base-F。
7.1.4.2100Mbit/sLAN接口
100Mbit/sLAN接口和以太网接口的最大的区别在于物理层的差异和所用传输介质的不同,而在高层二者基本上是一致的。IEEE802.3u(100Base-T)是100Mbit/s以太网的标准。100Base-T技术中可采用3类传输介质,即100Base-T4、100Base-TX和100Base-FX,它们采用4B/5B编码方式。
7.2链路层接口
7.2.1PPP接口
PPP协议是提供在点到点链路上传递、封装网络层数据包的一种数据链路层协议。PPP定义了一整套的协议包括链路控制协议(LCP)、网络层控制协议(NCP)和认证协议(PAP和CHAP)。
PPP协议软件包的上下接口如图4所示。
-----------
| N1 |
|---------|
| PPP |
|---------|
| PHY |
-----------
图4 PPP链路层接口
图4描述了PPP与上下层的接口。PPP有两种消息,即控制消息和数据消息。控制消息用于上下层之间的控制/与MIB之间的数据交换;数据消息用于上下层数据的传输。控制消息主要作用为:根据命令与上下层进行信息交互,控制PPP链路的状态转换。数据消息主要作用为:相对于网络层,取网络层发送队列数据送往相应的物理端口;对于物理层接收物理端口送往本端的数据报文并根据协议类型进行相应的处理。
7.2.2LAN数据链路层
7.2.2.1逻辑链路控制子层
LLC的功能是屏蔽MAC子层不同的介质访问方法向上层提供统一的接口,并为面向连接的访问提供流控和差错控制。LLC子层界面服务规范IEEE802.2规定了3个界面服务规范:
·网络层/LLC子层界面服务规范;
·LLC子层MAC子层界面服务规范;
·LLC子层/LLC子层管理功能的界面服务规范。
7.2.2.2LLC协议数据单元(PDU)的结构
LLC PDU的格式如图5所示。
·DSAP address,目的服务访问地址字段;
DSAP SSAP Control Information
address Address Field field
8bit 8bit 8 16bit 8*Mbit
图5 LLC PDU的格式
·SSAP address,源访问访问点的地址字段;
·Control field,控制字段,16位格式包括序列号,8位格式不包括序列号;
·Information field,信息字段,长度为8的M倍。M的上限取决于所用的介质访问控制方法。
---------------------------------------------
|I/G|D |D |D |D |D |D |D |C/R|S |S |S |S |S |
---------------------------------------------
←------------------------→←------------------
DSAP SSAP
I/G=0:单个DSAP C/R=0:命令
I/G=1:成组DSAP C/R=1:响应
DSAP字段全“1”为全局地址。
7.2.2.3介质访问控制
目前有多种介质访问控制方式,如CSMA/CD、标记总线、标记环和时间片分割环。以太网采用CSMA/CD的介质访问控制方式。带碰撞的载波监听多路访问(CSMA/CD)实际上是一种“先听后讲”的技术,它解决了总线型结构的网络各站点间的通信问题。
一个站点要发送消息,要对媒体进行监听,应遵守下列规则:
(1)若媒体空闲,则发送消息,否则进入步骤2;
(2)若媒体忙,则继续侦听,一旦发现媒体空闲,就立即发送;
(3)若发生碰撞,则等待一段随机时间,再重复步骤1。
CSMA/CD的MAC帧结构
----------------------------------------------
| 前导码 | SFD | DA | SA | 长度 | LLC | PAD | FCS |
----------------------------------------------
前导码字段包含7个字节,基本结构为10101010,它用于使PLS电路和收到的帧定时达到稳态同步。帧起始定界符(SFD)字段10101011序列紧跟在前导码后,表示一帧的开始。
DA和SA分别为2或6字节的目的地址和源地址字段。PAD为填充字段;FCS为帧校验序列,采用CRC冗余校验。
7.2.3 帧中继(FR)接口
详见YDN009。
7.2.4ATM接口
详见YDN067—1997。
7.3信令要求
7.3.1用户信令要求
接入服务器和交换机间采用的模拟用户线信号按YDN065—1997的相关规定,ISDN用户信令按YDN034—1997的相关规定。
7.3.2局间信令要求
7.3.2.1局间数字型线路信令要求
详见附录D的相关规定。
7.3.2.2多频记发器(MFC)信令要求
详见附录D的相关规定。
7.3.2.3七号信令
详见附录E的相关规定。
7.3.3铃流和信号音
网络接入服务器采用的铃流和信号音按YD/N065—1997的相关规定,其中:
·铃流源为22~28Hz正弦波;
·谐波失真≤10%;
·输出电压有效值为60~90V;
·振铃采用5s断续,即1s送,4s断,断续时间各允许偏差在-10%~+10%之间;
·信号音的信号源为450Hz±25Hz或950Hz±50Hz正弦波,谐波失真不大于10%;
·需要时可启用1400Hz±50Hz和1800Hz±50Hz的频率,信号源的谐波失真不大于5%。各种信号音断、续时间偏差分别在-10%~+10%之间。
7.3.4信令配合要求
信令配合要求应符合YDN065—1997的相关规定。
7.4高层接口
7.4.1拨号虚拟专网(L2TP)
L2TP采用两类消息,即控制消息和数据消息。控制消息用于隧道和呼叫(会话)的建立、维护和释放;数据消息用于封装PPP包。控制消息利用L2TP的可靠控制通道保证传输的可靠性,数据消息不采用可靠传输,包丢失后不再重传。
图6描述了L2TP控制消息和数据消息与上下层的接口。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的,这些消息再通过UDP的1701端口承载于TCP/IP之上。
------------
|PPP包 |
|----------| ------------
|L2TP消息 | |L2TP控制消息 |
|----------| |----------|
|L2TP数据通道 | |L2TP控制通道 |
|---------------------------|
| UDP 1701 端口 |
-----------------------------
图6 L2TP协议栈
控制消息必须采用序列号保证在控制通道上传输的可靠性。数据消息也可以采用序列号进行包的重定位和丢失包检测,但不重发有错误的包。
7.4.2接入认证与授权(Radius)接口
(1)接入认证接口
RADIUS采用Client/Server模式,NAS处于RADIUS的Client端,它负责把用户信息传递到指定的RADIUS Server,并对返回的响应进行处理,以决定是否允许用户访问网络。RADIUS协议处于UDP协议的上层,一个RADIUS包被封装在UDP的Data域中,UDP的目的端口是1812(十进制)。
图7描述了RADIUS协议在TCP/IP协议栈中的位置,及其与下层的接口。这些RADIUS数据包通过UDP的1812端口承载于TCP/IP之上。
-------------
| RADUS |
---------|-----------|
| TCP | UDP |
|--------------------|
| IP |
|--------------------|
| PPP | Ethernet |
----------------------
图7 Radius 协议栈
7.4.3Telnet通信接口
Telnet协议建立在TCP协议之上,信息分为两类,即数据类和控制命令类。其中控制命令使用TCP的URGENT机制(紧急数据)发送,以使其不受流控的限制立即传送到服务器。Telnet协议的可靠性通过TCP协议来保证。Telnet接口如图8所示。
------------
| Telnet |
|----------|
| TCP |
|----------|
| IP |
------------
图8 Telnet接口
7.4.4SNMP接口
SNMP协议是一个简单网络管理协议。它采用轮询的机制建立在无证实的传输层协议UDP之上,SNMP接口如图9所示。
------------
| SNMP |
|----------|
| UDP |
|----------|
| IP |
|----------|
| 物理层 |
------------
图9 SNMP接口
8.通信流程及协议
8.1Modem与AT命令通信流程
一个远程拨号用户和NAS连接时的AT命令控制流程如下:
(1)远程用户用Modem拨号向NAS(接入服务器)发起呼叫;
(2)NAS向CSM(Central Site Modem)下发AT命令“ATA”,以令其应答远端Modem;
(3)远端Modem与CSM之间进行握手协商,寻求一适合线路情况的速率;
(4)如果协商成功,CSM以ATA命令的响应码CONNECT向NAS上报告连接成功及线路速率。线路载波建立后,远程Modem和CSM间透明地传递用户到AS的数据;
(5)远程用户要求中断连接;
(6)NAS向CSM下发AT命令“+++”,拆除已建立的连接;
不分页显示 总共4页 1 [2] [3] [4]
下一页
卫生部办公厅关于启用国家重性精神疾病基本数据收集分析系统的通知
卫生部办公厅
卫生部办公厅关于启用国家重性精神疾病基本数据收集分析系统的通知
卫办疾控函〔2011〕722号
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,中国疾病预防控制中心:
为及时掌握重性精神疾病动态,我部组织开发了“国家重性精神疾病基本数据收集分析系统”(以下简称系统),现已启用。为确保系统的正常运行,提出以下工作要求:
一、各级卫生行政部门应当于8月20日前,完成对辖区精神卫生医疗机构、精神卫生防治技术管理机构、基层医疗卫生机构中的系统使用与管理人员的培训,所需费用从2011年中央补助地方疾病预防控制业务培训项目中支出。
二、各地要按照《国家重性精神疾病基本数据收集分析系统管理规范(试行)》(附件1)和《国家重性精神疾病基本数据收集分析系统用户与权限管理规范(试行)》(附件2)要求(可从卫生部网站下载),做好重性精神疾病患者(以下简称患者)信息录入。重性精神疾病管理治疗项目(以下简称686项目)地区,应当将原“全国精神疾病信息管理系统”中的所有患者信息,于8月31日前录入新系统。非686项目地区,要根据卫办疾控函〔2011〕427号文件要求,于9月30日前完成患者信息录入。
三、已经建立精神疾病信息系统的省份,请与中国疾控中心精神卫生中心联系,获取国家信息系统基础数据集,于9月30日前实现国家信息系统与省级信息系统之间的对接。
各地在系统运行过程中遇到相关问题,请与中国疾控中心精神卫生中心联系。
联系人:中国疾控中心精神卫生中心王勋
联系电话:010-82802834、82012955
附件:1.国家重性精神疾病基本数据收集分析系统管理规范(试行)
2.国家重性精神疾病基本数据收集分析系统用户与权限管理规范(试行)
二○一一年八月四日
附件1
国家重性精神疾病基本数据收集分析系统管理规范(试行)
为加强管理,维护国家重性精神疾病基本数据收集分析系统(以下简称系统)的正常运行,确保基本数据的完整、准确,依据《国家基本公共卫生服务规范(2011版)》、《重性精神疾病管理治疗工作规范》及《计算机信息系统安全保护条例》,制定本规范。
一、基本原则
(一)分级负责。各级卫生行政部门以及精神卫生防治技术管理机构(以下简称精防机构)负责本级系统的建设、运行与管理,并对下一级卫生行政部门及精防机构提供技术指导及相关支持。
根据《关于进一步加强精神卫生工作指导意见的通知》(国办发〔2004〕71号)和《关于印发精神卫生防治体系建设与发展规划的通知》(发改社会〔2010〕2267号)要求,精防机构由各级卫生行政部门在本辖区内指定一所具备条件的精神专科医院或有精神科专科特长的综合医院设立。无精神专科医院的,卫生行政部门可以委托同级疾病预防控制中心承担管理责任,同时委托一所政府举办的设精神科的综合医院承担技术指导责任。
(二)属地管理。各级医疗机构为系统使用及基本数据报告单位,接受本级精防机构的技术指导与管理。
二、报告病种及基本数据收集范围
(一)报告病种。包括精神分裂症、分裂情感性障碍、偏执性精神病、双相(情感)障碍、癫痫所致精神障碍、精神发育迟滞(伴发精神障碍)6种重性精神疾病(详见附表1)的确诊病例。疑似病例暂不纳入系统报告范围。
(二)基本数据收集范围。包括患者个案信息(详见附表2)和精神卫生工作报表。
三、责任报告单位及相关人员
(一)责任报告单位。包括从事重性精神疾病救治、服务、管理的各级精神卫生医疗机构及其他医疗机构,社区卫生服务中心及乡镇卫生院,各级精防机构等。
(二)责任报告人。包括承担重性精神疾病患者(以下简称患者)建档与随访管理的基层医务人员,从事患者诊断、治疗、应急医疗处置的精神卫生专业人员,负责填写、报送重性精神疾病管理治疗工作报表的精防机构人员,以及其他相关人员。责任报告人负责填写基本数据的相关表格等。
(三)数据质控员。数据质控员是指负责患者信息审核、基本数据录入及质量管理的人员。
(四)业务管理员。业务管理员是指各级精防机构中负责设立系统用户账号、分配用户权限、履行用户管理职责的唯一责任人。
四、基本数据报告流程
(一)患者个案信息。在系统中,患者分为2类:一类为“在管患者”,是指辖区内纳入基本公共卫生服务管理(以下简称管理)的居家患者;另一类为“非在管患者”,包括未纳入管理但接受应急医疗处置的患者、拒绝纳入管理的患者等。
1.在管患者。由承担管理任务的基层医务人员填写相关表格,数据质控员负责录入系统。
2.非在管患者。非在管患者接受应急医疗处置后,由实施应急医疗处置的精神卫生医疗机构填写《重性精神疾病应急医疗处置记录单》(以下简称应急处置单),并将复印件于24小时内报本级精防机构,由本级精防机构将应急处置单逐级移交至县级精防机构。对于辖区内的患者,县(区)精防机构将应急处置单移交至患者常住地社区卫生服务中心/乡镇卫生院,在知情同意的前提下纳入管理,为患者建立健康档案,进行定期随访,报告程序同“在管患者”;对于辖区外的患者,县(区)精防机构将应急处置单报市级精防机构。
市级精防机构的数据质控员应当于每月10日前,将本市非在管患者上月应急医疗处置月报表录入系统。
(二)精神卫生工作报表。包括患者危险行为发生及解锁情况、工作机构及人员情况、工作开展情况和重性精神疾病管理治疗项目实施情况等。省级精防机构每年初收集汇总上一年度(1月1日至12月31日)精神卫生工作情况并填写报表,经省级卫生行政部门审核后,于3月1日前录入系统。
五、部门与机构职责
(一)卫生行政部门。
1.卫生部承担国家级系统组织管理与协调任务,负责制订管理规范等相关制度,定期开展督导。
2.省级卫生行政部门负责本省(区、市)系统的组织管理与协调以及所需硬件配置。
根据本地区精神卫生工作需要及信息化条件,可以适当增加登记报告的重性精神疾病种类和内容。在国家级系统基础上,可以设计开发本地区重性精神疾病信息管理系统,并实现与国家级系统的对接。
3.地市级、县级卫生行政部门负责本地区系统的运行维护、组织管理与协调工作。
(二)技术指导与管理机构。
1.中国疾控中心公共卫生监测与信息服务中心负责系统的国家级硬件平台建设与维护,负责数据交换及定期备份,参与省级师资培训。
2.中国疾控中心精神卫生中心(挂靠在北京大学精神卫生研究所)负责系统日常管理。具体职责包括:协助卫生部制订系统管理规范等管理制度;受卫生部委托承担系统的国家级业务管理工作,负责系统的国家级权限管理和机构编码维护;负责数据的国家级质量控制、汇总与统计分析,并形成相关报表定期报送卫生部;组织开展省级师资培训;承担卫生部委托的其他相关工作。
3.精防机构。协助同级卫生行政部门制订本地区重性精神疾病基本数据收集分析方案;负责系统的本级业务管理和权限管理;承担系统的本级数据质量控制、汇总与统计分析,并形成相关报表定期报送同级卫生行政部门;组织开展本级培训等。
此外,市级精防机构承担本辖区非在管患者应急医疗处置月报表的汇总及网络报告任务;县级精防机构负责本辖区应急处置单的汇总和信息分流工作。
(三)精神卫生医疗机构。精神卫生医疗机构(包括精神专科医院及设精神科的综合医院)负责制订本单位系统管理报告制度;填写《重性精神疾病患者出院信息单》(以下简称出院信息单)并转至本级精防机构。
(四)基层医疗机构。
1.社区卫生服务中心/乡镇卫生院负责制订本单位系统管理报告制度,承担辖区内患者基本数据收集及网络报告任务等。
2.社区卫生服务站/村卫生室协助社区卫生服务中心/乡镇卫生院开展辖区内患者基本数据收集与报告工作。
六、信息管理
(一)信息报告管理。患者基本数据报告同时采用纸质表格和系统网络报告两种形式。
1.网络报告。具备网络直报条件的责任报告单位直接将基本数据录入系统;不具备网络直报条件的社区卫生服务中心/乡镇卫生院,可由所在地县级精防机构使用该社区卫生服务中心/乡镇卫生院的直报用户账号代为录入。
2.信息审核。责任报告人和数据质控员对基本数据的准确性、完整性负责。责任报告人须对纸质表格进行错项、漏项、逻辑错误检查,确保信息准确。数据质控员对可疑信息应核实后再行录入。
县级精防机构的数据质控员应当在2周内对本辖区网络报告的基本数据进行审核,对可疑信息应当及时返回责任报告单位核实。
3.信息更新。责任报告单位对失访后再次纳入管理或其他信息有变化的患者,应及时进行系统信息更新。
4.查重。县级精防机构每隔2周对辖区内的系统网络报告信息进行查重,如发现报告患者信息相同或基本相同,应当及时与责任报告单位的数据质控员取得联系并进行核实,如确为重复信息应当及时予以删除。
(二)信息安全管理。
1.各级精防机构负责本级的系统用户安全管理。未经同级卫生行政部门批准,不得擅自扩大系统使用与查询范围和权限。其他部门和机构如需查询系统相关信息,需出示相关证明并经同级卫生行政部门批准后备案。
2.卫生部或省级卫生行政部门可依法发布全国或本省(区、市)重性精神疾病管理治疗相关信息。其他责任报告单位、责任报告人和数据质控员以及精神疾病防治相关人员无权向社会发布相关信息,不得向无关人员透露患者信息。
3.各级业务管理员应当按照《国家重性精神疾病基本数据收集分析系统用户与权限管理规范(试行)》规定履行职责,遵守国家法律法规,熟悉国家保密制度有关规定,责任心强。能够熟练使用计算机及互联网络,具备基本的网络安全知识,不参加任何非法网络组织,未经许可不得透露系统相关信息。
七、系统产出及资料保存
(一)系统产出。根据患者个案信息等,系统可定期自动生成常规报表及统计图表,以便精神卫生管理需要。
(二)资料保存。
1.基层医疗机构建档随访所产生的纸质材料需至少保留5年,死亡患者档案信息至少保留3年。
2.本系统将于每年4月1日自动迭代更新,清空上一年患者个案的随访信息,各级数据质控员应当定期备份基本数据及统计分析结果。
八、考核与评估
各级卫生行政部门定期组织对本辖区重性精神疾病信息报告管理工作进行考核。各级精防机构协助同级卫生行政部门制订考核方案,并定期对相关医疗机构进行指导与评估。有关医疗机构应当将重性精神疾病基本数据收集分析工作纳入本单位考核范围,定期进行自查。
附表:1.系统报告病种的具体诊断名称及编码表
2.系统基础数据集
http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohjbyfkzj/s5888/201108/52641.htm
国家重性精神疾病基本数据收集分析系统
用户与权限管理规范(试行)
本规范用于说明国家重性精神疾病基本数据收集分析系统(以下简称系统)各级用户的权限。
一、用户及其职责。
(一)用户、功能点及角色定义。
1.用户:是指系统相关使用者。
2.功能点:是指用户能够进行的某项系统操作行为。例如:新增一条个案信息。
3.角色:在权限管理中,一个角色就是一组功能点的集合。例如:个案信息的新增、修改、删除等功能点集合为一个角色。
(二)用户类型。
1.业务管理员。是指各级精防机构中负责建立系统用户账号、分配权限、履行用户管理职责的唯一责任人,使用《用户认证与授权管理系统》(为系统的一个配套用户管理系统)为相关用户开设账号并分配权限。
业务管理员应当由责任心强、熟悉计算机及网络使用与管理、了解精神卫生工作体系的人员担任;应当遵守国家法律法规,熟悉国家保密制度的有关规定,不参加任何非法网络组织,未经许可不得透露系统相关信息。
2.本级用户。是指由本级业务管理员分配的具有不同权限和业务操作功能的同级用户。包括国家、省、市、县级精神卫生医疗机构及精防机构。
3.直报用户。是指由县级业务管理员分配的、承担患者个案信息录入及报告的用户。通常指社区卫生服务中心和乡镇卫生院。
(三)业务管理员职责。各级业务管理员分别负责管理下级业务管理员、本级用户和直报用户。采用集中管理与分级负责相结合的方式。
1.集中管理。各级业务管理员集中管理本辖区内用户账号建立、角色创建及权限分配工作。其中,国家级业务管理员负责系统的角色创建和权限分配;国家、省、市级业务管理员负责为下级业务管理员和本级用户建立账号并授予角色;县级业务管理员负责为直报用户和本级用户建立账号并授予角色。
2.分级负责。国家、省、市级业务管理员承担下级业务管理员及本级用户的操作培训、技术指导和日常管理任务,县级业务管理员承担直报用户及本级用户的操作培训、技术指导和日常管理任务。各级业务管理员对本辖区内的系统安全负责。
二、用户建立
(一)用户建立原则。
1.根据工作需要,建立不同的用户。
2.用户的权限分配应当以保障数据报告的准确、安全、高效为原则。须使用系统提供的角色对用户进行合理授权。如需特殊操作权限,应当逐级向国家级业务管理员申请。
3.所有基层医疗机构责任报告单位均须开设相应的直报用户账号,不论其目前是否具备网络直报条件。
4.按照单人单号原则创建用户账号。
5.所有系统用户信息采用实名制登记。
6.在系统进行调整或修改后,业务管理员应当及时调整角色以适应新的使用环境。
(二)用户建立程序。
1.用户申请。各级业务管理员需填写《国家重性精神疾病基本数据收集分析系统用户申请表》(见附表1,以下简称用户申请表),经本单位主管领导签字批准后,交予上级业务管理员,申请开通账号。
各级精防机构、精神卫生医疗机构及其他医疗机构如需使用系统进行网络直报或数据管理,需填写用户申请表,经本单位主管领导签字批准后,交予本级精防机构业务管理员,申请开通账号。
各社区卫生服务中心/乡镇卫生院的用户申请表经本单位领导签字批准后,交所在县(区)精防机构业务管理员,申请开通直报用户账号。
2.用户创建。业务管理员收到用户申请表后,填写《国家重性精神疾病基本数据收集分析系统用户申请回执》(见附表2,以下简称申请回执),经本单位主管领导审核签字后为申请单位创建用户,并将申请回执反馈给申请单位。用户申请表由业务管理员存档。
创建用户的步骤依次为建立账号、创建角色、为角色分配权限及进行相应角色授予。省、市、县级业务管理员在为用户建立账号后,直接授予用户国家级业务管理员创建的相应角色。
3.用户账号命名规则。用户账号命名规则为“用户类型首字母缩写-所在省/市/县区名称首字母缩写-用户姓名全拼”。其中,“所在省/市/县区名称首字母缩写”采用用户本级行政区划名称的首字母缩写,字母全部为小写。如河北省保定市业务管理员张三的账号为 gly-bd-zhangsan(管理员-保定-张三); 河北省保定市清苑县本级用户王五的账号为 bj-qy-wangwu(本级-清苑-王五);又如北京市海淀区直报用户李四的账号为zb-hd-lisi(直报-海淀-李四)。
出现同一区县用户姓名拼音相同的情况,按申请顺序,在账号后加阿拉伯数字,如zb-hd-lisi1,依此类推。
(三)角色管理。
1.角色类型。角色类型共有8个,包括:个案信息录入、个案信息浏览、月报表录入(非在管患者应急医疗处置月报表)、年报表录入(精神卫生工作报表)、个案信息汇总报表浏览、非在管/汇总患者应急医疗处置报表浏览、省级精神卫生工作报表浏览、年报表审核。
2.角色授予。各级业务管理员依照《用户对应角色授予表》(见附表3)为其授予相应角色。
(四)用户有效期。用户有效期设置以2年为限。超过有效期的用户如需继续使用,由业务管理员延长其使用期限,延长的期限最长不超过2年。
三、安全管理
(一)系统安全管理。用户必须遵守国家法律法规、单位规章制度,不得参加任何网络非法组织和发布任何反动言论;保守国家及单位机密,不得对外散布、传播本系统内部信息。
用户必须使用符合卫生部规定的安全网络环境,专机专用。避免使用公共场所的计算机登陆系统。用户应当在运行本系统的计算机上安装杀毒软件、防火墙,定期杀毒;禁止安装、运行含有病毒、恶意代码、木马的程序,禁止运行黑客程序及进行黑客操作。
(二)用户安全管理。
1.账号管理。各级业务管理员应当妥善保管用户信息及各种原始表单;定期检查用户账号使用情况,必要时关闭用户账号或取消相关角色。
用户调离岗位时,应当及时向所属业务管理员报告,业务管理员应当及时注销该用户账号。
2.密码管理。业务管理员建立用户账号时,应当为其分配初始密码,并单独告知用户本人。业务管理员有权重设下级业务管理员账号密码,但每次重设生效后应及时告知下级业务管理员,如实记录重设原因并留档备查。
用户在初次使用系统时,应当立即更改初始密码。用户密码设置不得少于8位,须使用数字、字母、符号混合编制,并每月变更1次。用户不得将账号、密码泄露给他人。
3.应急管理。直报用户和本级用户发现账号密码泄露时,应当于24小时内通知本级业务管理员。本级业务管理员在查明情况前,应当暂停该用户的使用权限,并及时通知数据质控员对该用户所报数据进行核查,确认未对报告数据造成破坏后,修改该用户密码,恢复该用户的报告权限,同时书面记录并留档备查。
各级业务管理员应当每月检查用户权限系统,如发现本级用户或直报用户信息被恶意盗取或改变,须立即取消该用户的账号,及时采取补救措施,将危害降至最低。如已发生数据泄露,应当立即上报本级卫生行政部门及上级精防机构。情况严重时应当立即向中国疾控中心精神卫生中心和中国疾控中心公共卫生监测与信息服务中心报告。
业务管理员账号发生泄露,应当立即报告上级业务管理员。上级业务管理员应当暂停其用户权限,核查系统账号管理及数据安全,采取必要的补救措施,确认系统安全后方可恢复其账号功能。
4.业务管理员交接。各级业务管理员应当相对固定,必须交接工作时,应当与接班者及本单位负责人现场核对账号信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接,并形成书面交接报告,由交接双方及单位负责人签字。交接前须报告上级业务管理员,交接完成后上级业务管理员及时停用原业务管理员账号并启用新业务管理员账号。
四、督导与考核评估
(一)督导。责任报告单位应当定期组织对系统权限、用户管理等进行专项督导,每年至少1次。
督导重点内容包括:业务管理员是否严格按照用户申请表分配下级业务管理员、本级用户以及直报用户的权限;对岗位职责变更的用户,是否及时按照权限变更申请表进行权限变更;用户有效期管理情况;是否及时注销调离相关岗位的用户;机构编码年度维护后是否及时注销已取消机构的用户;是否妥善保管用户与权限申请、变更表单;用户是否按密码管理要求设置密码,定期更换密码;用户账号能否做到专人专用等。
(二)考核评估。采用单位自评和逐级考核相结合的形式,重点考核安全管理及数据质量。卫生部及时通报国家级年度考核结果。
附表:1.系统用户申请表
2.系统用户申请回执
3.用户对应角色授予表
http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohjbyfkzj/s5888/201108/52641.htm