电子病历基础与网络安全解读.pptx

,电子病历系统功能应用水平分级评价措施及标 准之“电子病历基础与网络安全”解读,01,目 录,CONTENTS,病历数据存储,02,电子认证与签名,03,基础设施与安全管控,04,系统劫难恢复体系,病历数据存储,等级,要求,0,未在计算机系统中存储病历数据,1,重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）可分别存储一个就 诊周期（门诊存储当天，住院存储一次住院）,2,重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）在各部门可集中存 储一个就诊周期（门诊存储当天，住院存储一次住院）,3,重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）可集中统一长 期存储,既往就诊记录可被访问,4,重点病历数据、主要医疗记录和图像可,供,全院使用,并可集中统一长期存储,病历保存时间符合电子病历应用管理规范的存储要求,5,全部医疗记录和图像能够长期存储，并形,成,统一管理,体系,具有针对,离线病历数据,的,智能化调用,与传输机制,对于预约或已住院患者的全部离线医疗记录能够提前提供调取和快速访问功能,病历数据存储,等级,要求,6,已将,历史病历扫描存储,，并具有与其他病历整合的索引,病历的存储控制具有智能化分配存储空间、监控存储与备份操作，具有动态智能高效调,度机制,7,可记录和存储就诊患者,医疗机构内外,的医疗信息,可实现,与全国、省、市卫生数据平台进行信息交换,具有市级以上医联体（或医疗联盟、医疗集团）核心医院医疗数据存储管理能力,8,可记录和存储就诊患者医疗机,构,内外的,医疗及健康信息,可记录和存储,全国,专病的注册登记信息及电子病历数据，数据内容具备代表性，可支持 权威知识库的研发,重点病历数据、重要医疗记录和图像可供全 院使用并可集中统一长期存储（4级规定）,重点病历数据：病案首页、住院医嘱、检查汇报、检查汇报、门诊 处方。,集中统一长期存储：不是按科室存储，是全院统一的系统；长期：对于门诊，不能只指保留当日数据，对于住院，不能只指保留住院 期间的数据。,系统不能是科室级的系统，例如：放射科的PACS不行,系统数据可供全院使用，例如,：,病历保留时间符合电子病历应用管理规范 的存储规定（4级规定）,按照国卫办医发8号电子病历应用管理规范（试 行）第三章 电子病历的书写与存储第十九条规定：,门（急）诊电子病历由医疗机构保管的，保留时间自患者最终一次 就诊之日起不少于；住院电子病历保留时间自患者最终一次出 院之日起不少于30年。,电子,病,历数,据,存储,示,例,一次临床医疗活动产生的数据应当能在几种系统中流转。,以生化检查（未考虑危急值、质控等）为例：,医生站 开申请单,申请单 送护士站,在护士站,打印条码,在试管,上贴条码,抽血样,在护士站 上确认申 请单发送,血样送 检查科,检查科接,受血样,、分类,检查科 对血样 进行检查,检查完 成后生成 检查汇报,检查科对 检查汇报 进行复审,检查科 发送检 验汇报,医生工 作站接受 检查汇报,电子,病,历数,据,存储,常,见问题,数,据没有,实,现集中,存,储。用,图,片,（PDF）形,式,实,现流转,不,行。如,下,图：,电子,病,历数,据,存,储常见,问,题,没有实现集中存储。不一样系统中数据要传递。下图不对,电子认证与签名,等级,要求,0,无电子身份认证,1,专用的医疗信息处理系统有身份认证,2,各个系统均有身份认证功能,临床应用的电子病历系统（住院医师站、门诊医师站、护士站）可,用,相同用户与密码,进 行身份认证,3,重点电子病历相关系统（门诊、病房、检查与检验系统）对同一用户可用相同用户与密码进 行身份认证,4,医疗相关的,所有系统,对同一用户可采用相同的用户与密码进行身份认证,电子认证与签名,等级,要求,5,重点电子病历相关记录（门诊、病房、检查、检验科室产生的医疗记录）有统一的身份 认证功能,重点电子病历相关记录（门诊、病房、检查、检验科室产生的医疗记录）,的,最终医疗档,案,至少有一类可实现,可靠电子签名,功能,6,所有,医疗记录处理系统产生的,最终,医疗档案具有可靠电子签名,最终,医疗档案的电子签名记录中有符合电子病历应用管理规范要求,的,时间戳,7,全部,电子病历系统在数据产生过程可实,现,可靠电子签名,，如,每个,医嘱、,每段,病程记录、,每个,阶段的检查报告等,全部,医疗记录的电子签名记录中有符合电子病历应用管理规范要求,的,时间戳,8,有医疗信息交换与共享相关的医疗机,构,之间,的电子病历中的电子签名可互认,可靠电子签名、时间戳,电子病历应用管理规范【国卫办医发8号】,第十条 有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力。,第十一条 电子病历系统应当采用权威可靠时间源。,第二十六条 本规范所称的电子签名，是指电子签名法第二条规定的数 据电文中以电子形式所含、所附用于识别签名人身份并表明签名人承认其中 内容的数据。“可靠的电子签名”是指符合电子签名法第十三条有关条 件的电子签名。,电子认证与签名的原理,非对称加密,密码散列算法,公钥存储在,CA,，也叫“证书,授,权中,心,”,电子,认,证与签名,门诊处方电子签名示例,电子签名汇报主体内容包括：,1、签名原文：处方主体内容；,2、签名证书：标识签名行为人身份；,3、签名值：标识电子签名信息；,4、时间戳值：标识签名行为发生时间。,原文,签名值,时间戳,签名证书,基,础,设,施与,安,全,管,控,等级,要求,0,无要求,1,处理电子病历的计算机,具备防病毒措施,2,具有部门级的局域网,服务器具备防病毒措施,3,有放置服务器的专用房间,医院内部有局域网，部门间网络互相联通,有相关的计算机、硬件管理制度,4,具备独立的信息机房,局域网全院联通,服务器部署在独立的安全保护区域,有相关的网络管理制度,基,础,设,施与,安,全,管,控,等级,要求,5,楼层机房、网络设备和配线架要有清晰且正确,的,标识,根据不同业务划分,独立的网络区域,全院重点区域应覆盖无线局域网、部,分,医疗设备接入院内局域网,有配套的安全运维管理制度,具有保障信息系统服务器时间一致的机制,建立数据使用的审查机制，确需向境外传输数据应经过安全评估。,6,信息机房有高可靠的不间断电,源,、空调，具备专门的消防设施,关键网络设备、网络链路采用,冗余,设计，电子病历系统,核心设备不存在单点故障,支持智能医疗仪器等物联网设备安全地接入院,内,局域网,具备防止非授权客户端随意接入网络的能,力,，并且可有效控制内网客户端非法,外联,完成信息安全等级保护定级备案与测,评,、医院重要,信息安全等级保护不低于第,三,级,有不受,医,院管控的服,务,机构提供和,管,理的时间戳,及,守时系,统,。,时,间源应取自,权,威的,时,间 源，如国家授时网络、北斗,/GPS,导航系统、手机系统等,电子病历系统数据库要有详细的访问操作记,录,，操作行为记录保存六个月以上,基础设施与安全管控,等级,要求,7,医,院,核,心,机房符,合,数,据中心设,计规,范,GB50174-2017,中,B,级机,房,要,求,，院内,局,域网布,线,符合综合布线系统工程设计规范,GB50311,的有关规定,电子,病历,系统核,心,软,硬,件设备,等,可,集,中监,控,、,报,警,，并可,集,中,管,理日,志，,日,志,保留时间,不 低于六个月,可以,审计网络设备及服务器的操作行,为,，操作行为记录保存六个月以上,设有,信息安全岗位,，定期组织安全培训及考核，定期组织安全测评,8,实现院内局域网与区域健康网络的连接并有安全防护,不同楼宇的机房可,集中监控,、报警,与互联网环境的系统传输数据时,有,安全传输通道,涉及互联网业务的信息系统，,数据库服务器不可直接暴露在互联网环境中,具有独立的信息安全管理制度体系，设有独立的信息安全岗位，,有,专人负责信息安全,工作,基础,设,施与安,全,管,控,常见问题,有有关的网络管理制度（4级规定）,制度的体现是有执行制度的记录和符合制度规定的操作。,下面照片中用办公笔记本连系统是不容许的。,要管好移动设备（笔记本、移动硬盘、闪存）。,基础,设,施与安,全,管,控,常见问题,网络互换机配置、备份方略无文档，只能从设备上调取。,例：VLAN表直接从互换机上调取。问题：一是缺乏文档，二是没有 关闭互换机的TELNET命令及23端口。,风险,的,要素,威胁,脆弱性,安全措施,风险,资产,安全需求,资产价值,运用,导致,导致,减少,防备,采用,提出,增长,具有,暴露,苍蝇,不叮,无缝,的,蛋,风险管理的目的,通过减少威胁、减少脆弱性、减少资产价值使风险减少到可以承受的范围内,风险,脆弱性,威胁,资产,基本的风险,脆弱性,威胁,资产,风险,采用措施后的剩余风险,通过减少资产价值减少风险示例,HIS,电子病历,LIS,内网区,域,外网区域,HIS,电子病历,LIS,互联网,应用服务器,HIS,电子病历,LIS,互联网,应用服务器,HIS,电子病历,LIS,三日内挂号信息 三日内出诊信息 三日内检查信息,互联网,应用服务器,下策,中策,上策,关键业务瘫痪 大量数据泄露,大量数据泄露,少许数据泄露,减少资产价值,风险评估,脆弱性 识别,威胁,识别,资产 识别,威胁出,现,的,频,率,资产价值,资产,弱,点,的,严,重程度,安全事件 的也许性,安全事件 导致的损失,风险,安全评估的措施,资产等级划分,威胁分析,风险分析,确认安全方案,威胁分析模型,-STRIDE,模型,风险分析模型,-DREAD,模型,潜在破坏：假如威胁成真，可 能导致的损失有多严重?,再现性：袭击者重现这一漏洞 有多复杂?,可运用性：实行袭击有多难?,受影响顾客：有多少顾客也许 受到袭击的影响？(按比例),可发现性：袭击者发现弱点会 有多难?,控制措施,控制的类型：,事前：威慑、防止,事中：检测、赔偿、纠正,事后：恢复、指导,控制的实行机制：,管理,技术,物理,安全机制应以纵深防御的方式实现,物理 技术,管理,网络安全等级保护,旧版,技术要求,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复,管理要求,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,新版,物理和环境安全,技术要求,网络和通信安全,设备和计算安全,应用和数据安全,安全策略和管理制度,管理要求,安全管理机构和人员,安全建设管理,安全运维管理,完毕信息安全等级保护定级立案与测评、医院重要信息安全等级保护不低于第三级,（电子病历分级评价新原则六级规定）,物理和环,境,安全,重要安全威胁：,非法入侵,电力中断,火灾,漏水,温湿度异常,设备故障,链路损坏,物理和环境安全建设要点：,机房建设原则：电子信息系统机房设计规 范B级（冗余型）以上（基础设施与安全管 控7级规定）,设备及链路冗余：消除单点故障、链路聚合,（基础设施与安全管控6级规定）,集中监控系统（劫难恢复体系6级规定）,网络和通信安全重要威胁,网络层安全重要威胁：,边界不清晰，边界缺乏保护措施,访问控制方略混乱（any to any）,非法接入,网络通信面临的重要威胁：,截获从网络上窃听他人的通信内容。,中断故意中断他人在网络上的通信。,篡改故意篡改网络上传送的报文。,伪造伪造信息在网络上传送。,安全的本,质,-,信任,信任域,-,高,信任,域,-,低,信任边界,从低到高 需要验证,从高到低 无需验证,网络和通信安,全,建设要点,划分安全域：由在同一工作环境 中、具有相似或相似的安全保护 需求和保护方略、互相信任、相 互关联或互相作用的IT要素的集 合访问控制方略（4级规定服务器 布署在独立的安全保护区域）,网络准入：802.1x、引流、Arp干,扰、SNMP（6级规定）,传播加密：SSH、HTTPS、VPN,设备和计算安全重要威胁,身份鉴别你是谁,访问控制你的权限是什么,行为审计你干了什么,入侵防备远程管理工具安全吗？,恶意代码讹诈病毒泛滥,5月12日,全球范围内爆发的基于Windows网络共享协议 进行袭击传播的“WannaCry”恶意代码,8月16日,Xshell被植入后门代码，可导致敏感信息泄露,多次报道非正规站点下载的 TeamViewer被植入木马,设备和计算安,全,建设要点,双原因验证,堡垒主机,物理,技术,管理,物理：限制可以登录堡垒主机的物理位置,技术：设备仅可通过堡垒机登录、双原因认证、权限控制、录屏监控,管理：第三方厂商使用堡垒主机登记、定期审计操作行为,设备和计算安,全,建设要点,最小权限只开通必要端口与服务,补丁管理集中补丁更新平台，更新补丁原则,私有云杀毒平台（2级规定）,要不要打补丁，打了补丁会不会蓝屏,DREAD,风险分析模型,潜在破坏：假如威胁成真，也许导致的损失有多严重?,再现性：袭击者重现这一漏洞有多复杂?,可运用性：实行袭击有多难?,受影响顾客：有多少顾客也许受到袭击的影响？(按比例),可发现性：袭击者发现弱点会有多难?,威胁情报分析,-,“,永恒之蓝”,漏洞,潜在破坏,加密所有文档文件，无,法,还原,高,再现性,只要漏洞存在则可重现,高,可利用性,互联网已有漏洞利用病,毒,，且,传,播速,度,极快,高,受影响的用户,所有未打补丁，开通,445,端口的系统,高,可发现性,直接,445,端口免密码传播，无需发,现,漏洞,高,应用和数据安,全,管理,安全方略和管理制度,安全方略,管理制度,制定和公布,评审和修改,制定信息安全工作的总体方针和安全方略，阐明安全工作的总体目的、,范围、原则和安全框架等。,对安全管理活动中的各类管理内容建立安全管理制度；,对规定管理人员或操作人员执行的平常管理操作建立操作规程；,形成由安全方略、管理制度、操作规程、登记表单等构成的全面的信 息安全管理制度体系。,指定或授权专门的部门或人员负责安全管理制度的制定；,安全管理制度应通过正式、有效的方式公布，并进行版本控制；,定期对安全管理制度的合理性和合用性进行论证和审定，对存在不 足或需要改善的安全管理制度进行修订。,3级：有有关的计算机、硬件管理制度,4级：有有关的网络管理制度,5级：建立数据使用的审查机制,安全管理机构和人员,岗位设置,人员配置,授权和审批 沟通和合作 审核和检查 人员录取 人员离岗,安全意识教育和培训,外部人员访问管理,7,级：设有信息安全岗位，,定,期组,织,安全,培,训,及,考核,，,定期,组,织,安,全测评,8,级：具有独立的信息安全,管,理制,度,体系,，,设,有,独立,的,信息,安,全,岗,位，,有,专人,负,责,信,息安,全,工作,安全建,设,管理,定级和立案,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实行,测试验收,系统交付,等级测评,服务供应商管理,系统,定级,安全,设计,设备,采购,系统,实行,系统,验收,系统,测评,自行开发：,保证开发环境与实际运行环境物理分开，测试数据和测试成果受到控制；,制定软件开发管理制度，明确阐明开发过程的控制措施和人员行为准则；,保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。,外包开发：,在软件交付前检测软件质量和其中也许存在的恶意代码；,规定开发单位提供软件设计文档和使用指南；,规定开发单位提供软件源代码，并审查软件中也许存在的后门和隐蔽信道。,安全运,维,管理,环境管理,资产管理,介质管理,设备维护管理 漏洞和风险管理,网络与系统安全管理 恶意代码防备管理 配置管理,密码管理,备份与恢复管理 安全事件处置,应急预案管理,ITIL,流程中运维安全,管,理,5,级：有配套的安全运维管理制度,告警与监控,的,重要性,监控系统,日志平台,机房硬件,服务器,互换机,应用系统,告警平台,目前的大多高可用方案在一台设备发生故障时业务系统是无感知的，因此所有的高可用方案都要配合监控系统，否则当一 个线路或一台设备出现故障时无法进行察觉，当第二个线路或设备再出现故障将导致严重事故,只有冗余没有监控与告警，早晚会失去冗余保护,只有告警没有冗余，仅仅比顾客早发现故障一分钟,网络袭击,数据链路,告警与监控应用案例,机房监控告警：,温湿度：冷通道、电池间、楼宇设备间内温度超过30,空调：掉电、压缩机故障、风机故障、上下水异常等,UPS：市电掉电、UPS模块故障灯,配电：主备电力切换,门禁：门打开时间超过1分钟后循环报警，直至门关闭,漏水：漏水线沾水,链路监控告警：,链路冗余技术目前非常完善，当一路中断后业务系统完全 无感知，如不配合合适的监控手段，无法察觉业务中断。,运用监控软件对每条链路进行自动探测（频率60秒），发,现一路中断后立即通过微信汇报管理员进行处理。,硬件性能监控告警,当业务压力增长或遭遇系统BUG时，互换机、服务器的CPU、内存等会伴随使用时间逐渐增高，如未及时发现将会影响业 务的正常运转。,为每台设备设定告警阈值，到达阈值则立即通过微信发送给 管理员，便于在事件成为事故前妥善处理。,系统劫难恢复体系,等级,要求,0,无灾难恢复体系,1,对于重点系统，每周至少进行一次完整数据备份，备份数据存储于本机以外的存储设备,2,对于重点系统应具有软件及数据备份，数据备份周期不应超,过,1,周，当出现系统故障时，可恢 复关键业务,3,全部系统应具有软件及数据的备份，数据备份周期不应超,过,1,周；,重点系,统,每日,至少进行一次完整数据备份；,重点系统具有备用服务器及核心网络设备；,4,全部,系统,每日,至少进行一次完整数据备份,具有,灾备机房,，配备灾难恢复所需的关键数据处理设备、通信线路和相应的网络设备,数据备份采用,自动,方式完成，备份数据,存储于灾备机房,有专职的计算机机房运行管理人员；,5,对于重点系统具备完整的灾难恢复保障体系，每年至少完成一,次,应急演练,每季度至少进行一次数据恢复验证，保障备份数据的可用性,对于重点系统数据与,系统的恢复时间不大于,2,小时，数据丢失时间不超过,1,天,系统劫难恢复体系,等级,要求,6,具备灾备机房，配置灾难恢复所需的全部网络及数据处理设,备,，并处于,就绪或运行状态,机房有管理人员,持续值守或监控,有配套,的,管理制,度,，,如,备份存,取,、,验,证制,度,、灾,备,机房运行管,理,制,度,、备份,系,统运,行,管 理制度等,7,支持主备数据库间的实施数据同步，可利用通信网络将关键数,据,实时复制,到灾备机房,具备通信网络,自动或集中切换,能力。,数据与系统的,恢复时间不大于,15,分钟，数据丢失时间不超过半小时,8,灾备系统具备与生产系统一致的处理能力并完全兼容；,重点系统数据服务器可实时无缝切换，具备实时监控和自动切换能力。,系统完全冗余，数据不丢失,系统劫难恢复体系常见问题,1）所有系统每日至少进行一次完整数据备份（4级规定）,所有系统HIS、EMR、LIS、PACS等系统都要有数据备份。,数据备份是在服务器上查看备份后台任务或备份文献。,复核发既有的医院数天没有备份文献产生。,系统劫难恢复体系常见问题,2）具有灾备机房，配置劫难恢复所需的关键数据处理设备、通信线 路和对应的网络设备（4级规定）,数据容灾与数据备份不是一回事!,容灾分为系统级容灾和数据级容灾,系统级容灾是在此外机房配置完整灾备系统一套，与生产系统定期 同步，生产系统发生故障，立即启动灾备系统。,数据级容灾是在此外机房配置一套灾备存储设备。生产系统在写数 据时，同步镜像到灾备存储设备。发生故障时，数据切换到镜像存 储。,系统劫难恢复体系常见问题,3）数据备份采用自动方式完毕，备份数据存储于灾备机房（4级规定）,数据备份不能采用手动方式完毕。,备份数据存储于单独的灾备机房。,系统劫难恢复体系常见问题,4）有专职的计算机机房运行管理人员（4级规定）,计算机机房运行管理人员认真负责的执行机房运维。,机房运维内容,熟悉机房设备的用途和操作措施；,机房环境监控；,定期检查机房内设备（空调、UPS、配电柜、漏水等）的运行状态；,定期对机房设备进行维护（空调、UPS、消防）；,做好机房人员进出记录；,根据设备变化状况修改文档。,RPO,与,RTO,恢复点目的(RPO)Recovery Point Objective：劫难发生后，系统和数据必须恢复到的时间,点规定,代表了当劫难发生时容许丢失的数据量,恢复时间目的(RTO)Recovery Time Objective：恢复业务所需的最长时间,容错、容灾、劫难恢复的关系,容错：在计算机系统的软件、硬件发生故障时，保证计算机系统中仍能工作的能力。,双机热备、链路冗余,容灾：在劫难发生时，在保证生产系统的数据尽量少丢失的状况下，保持生存系统的业务不间断地运行。,双活数据中心,劫难恢复：在劫难发生后，将系统恢复到正常运作的能力。,备份与恢复,容灾,备份,目的,保证系统数据和服务的“在线性”，即 当系统发生故障时，以使系统不致停顿,“将在线数据转移成离线数据的过,程,”，,应,付系,统数据中的逻辑错误和历史数据保,存,。,作用,保障业务连续性,数据高可用的最后一道防线,RPO,“双活”技术使得系统逻辑错误、,误,删除,等,会,直接作用于灾备系统,根据备份的间隔时间，通常在,15,分,钟,至,24,小时,R,T,O,0-10,分钟,1,小时以上，甚至几天时间,医院信息系统业务持续性管理的重要性,医院信息系统已经成为支撑现代化医院运行的重要手段，一旦出现 故障，会直接影响医院业务的正常开展，导致医院业务停滞，对社 会秩序和公共利益导致严重损害。,国家网络安全事件应,急,预案,1、总则,2、组织机构与职责,3、监测与预警,4、应急处置,5、调查与评估,6、防止工作,7、保障措施,8、附则,应急处,置,小组,建立组织：成立由主管院长任组长，信息中心、门诊、急诊、医,务处、收费处、药房、医保、党政办公室、保卫处等多部门组长,的业务持续性管理小组。,确定重点保护目的：HIS、电子病历,确定重点保护区域：门急诊,管理保障：方略制定、运维团体管理（ITIL）、第三方厂商支,持,技术保障：高可用性、劫难恢复、集中监控,主管院长,业务恢复,信息中心,医政管理,门诊部,急诊部,医务处,患者服务,收费处,药房,医保,解释口径,党政办公,室,治安管理,保卫处,物理机房容,错,方案,机房供电,模块化,UPS,冗余供电,双路市电输入,医院柴油发电机备,电,机房空调,4台行间送风精密空 调轮番值守、冗余 互备,线路冗余,全冗余光纤接入,服务器接入线路全 冗余,环境监控,24,小时监控录像,门禁进出监控,漏水监控,温湿度监控,网络容,错,方案,硬件设备：波及到关键业务的地方均采用了双机方案，关键服务器、关键互换机、存储等重要设备均使用了双机热备方案。,光纤冗余：关键机房到各个设备间、各分部使用不一样路由的双光纤,无线应急：布署了无线应急网络，在 有线网络出现故障时可以切换到无线 网络；在关键机房与新门诊楼之间架 设了大功率室外无线互联设备，可以 在光纤故障时，切换到无线网络。,服务器容错方案,每台服务器4路网线、2路存储FC光纤上联，任 何一路中断不影响业务正常运行,可实现服务器在线漂移，在业务不中断的前提 下实现虚拟机迁移,一台服务器发生故障，上面的虚拟机自动迁移,至其他服务器，相称于虚拟机进行了一次重启,数据库容错、容灾、劫难恢复的结合方案,关键数据库使用Oracle RAC技术实现 容错。,两台服务器负载均衡，每台服务器分 别向两套存储中写数据，任意一台服 务器或任意一套存储故障不影响业务 运行。,布署Oracle-Dataguard服务器，与主 服务器实时同步数据实现容灾。,三份数据实时在线。,RAC双机切换客户端无感知。,Dataguard切换时间10分钟。,Rman数据备份每天一次全备份，归 档日志半小时一次增量用于劫难恢复,容错,切换无感知,（6级规定）,容灾,10分钟切换,（7级规定）,劫难恢复,数据保护,（4级规定）,4级：数据备份采用自动方式完毕,6级：电子病历系统关键设备不存在单点故障,7级：数据与系统的恢复时间不不小于15分钟,应急演习（5级规定，每年一次）,感谢您的聆听,