医院安全隔离与信息交互建议方案.doc

某某人民医院网闸使用建议方案 某某人民医院网络隔离与信息交换 推 荐 方 案 深圳市利谱信息技术有限公司 （2012年） 目 录 一、 需求分析 3 1.1 概述 3 1.2 某某人民网络的网络现状 3 1.3 网络结构说明 4 1.4 某某人民医院网络隔离与信息交换建设需求 4 1.5 某某人民医院的网络的安全现状 4 二、 设计原则及技术、设备选型依据 8 2.1 设计原则 8 三、 建设方案 9 3.1 某某人民医院网络隔离与信息交换设计拓扑图 9 3.2 TIPTOP物理隔离网闸的选型与依据 9 3.3 某某人民网络隔离与信息交换系统的运行 14 四、 实施计划 15 4.1 项目建立 15 4.2 项目保障 15 4.3 应用实施 15 4.4 实施进度表 16 五、 服务计划和培训 18 5.1 售后服务支持 18 5.2 故障处理程序 19 5.3 培训 20 一、 需求分析 1.1 概述 医院信息化建设经历了单机操作、局部网络化、全院的网络信息化建设三个阶段。随着社会的进步，医院信息化建设也赶上时代的步伐，从最初的小规模的尝试进入了大规模的铺开。医院内网通常部署有各种收费服务器、病例资料管理服务器和药房管理服务器。而近些年，人们越来越热衷于使用各种银行卡、信用卡、一卡通等电子货币媒介作为缴付医疗费用的方式。政策方面，国家又推行了新农合、新农保等相关惠民政策，这些政策的实施，使得医院与银行、社保局等相关机构建立了越来越紧密的业务联系，所以这就要求医院进一步加强内部信息的安全管理。只有保证病例档案、缴费系统、社会医疗等相关信息的真实性以及快速验证性，才能够在保证业务效率的同时，保障公民的切身利益。因此，如何保护内部相关信息的安全，是目前的一个挑战性问题。 1.2 某某人民网络的网络现状 某某人民网络现在的网络拓扑图： 1.3 网络结构说明 医院各个部门如门诊收费人员、住院部人员、医生和行政管理人员通过中心交换机实现网络的互联和对医院内部服务器的访问。门诊收费处通过DDN专线可以访问医保网，门诊收费处刷卡缴费系统通过互联网可以与银行进行信息交互。 1.4 某某人民医院网络隔离与信息交换建设需求 鉴于现有的网络状况，依据我医院信息化建设的规划，此次建设应达到以下目标： 1、 从管理和技术角度上，建立多层安全体系，保证医院网络信息和各个系统的安全性、保密性。同时在保持医院医保、互联网和医院各个系统隔离的同时，进行适度的、可控的内外网络的数据交换。保护医院各个系统网络的安全，实现隔离，防止外网黑客的攻击。 2、 详细记录医院数据中心网络及医院文件交换及邮件传输日志，做到有案可查。 1.5 某某人民医院的网络的安全现状 网络安全风险分析： 网络应用给人们带来了无尽的好处，但随某某人民医院网络应用规模的扩大，网络安全风险也变得更加严重和复杂。下面从网络的技术模型并结合某某人民医院系统网络现状，分析网络安全风险存在的方面。 以下我们先对某某人民医院网络进行概要的分析。 (1) 网络结构安全风险 Ø 来自与公网互联的安全危胁 由于Internet的开放性、国际性与自由性，Internet已成为国家之间信息战的主要战场；商业间谍会利用Internet窃取企业、医院的机密数据；企业之间的竞争会导致竞争对手攻击本企业的网络；黑客也随时随地想攻入企业或医院等网络。因此，只要与Internet相连，内部网络将面临着严重的安全危胁。 某某人民医院网络，直接与互联网相联，因此存在来自公网的安全威胁。 Ø 与系统外网络互联的安全威胁 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如： 入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。 恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。 某某人民医院网络，与医保网络、居民健康档案等网络相连，而这些网络的连接范围非常广、使用人员复杂，因此也存在桌安全威胁。 Ø 内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。 某某人民医院网络各种应用系统较多、使用人员很多，多种因素都将对网络安全构成威胁。 (2) 系统安全风险 系统安全是指主机操作系统的安全性问题。 任何操作系统都会有安全漏洞、缺陷和稳定性问题。基于检查系统的安全漏洞、缺陷和稳定性问题，来攻击一个系统，达到控制系统的目的。控制该系统之后，入侵者从一个不可信的主机转换为一个可信的主机，从而进行下一步的攻击。 目前，某某人民医院的各应用系统、数据库系统均建立在Windows NT服务器之上，对于服务器来说，Windows NT是安全性最差的操作系统，其漏洞最多，黑客对该系统也最熟悉，因此某某人民医院存在极大的系统安全威胁。 (3) 应用安全风险 应用安全是指主机系统上应用软件层面的安全，如Web服务器、信息交易系统和数据库的安全问题等。应用系统软件引入新的威胁，大部分Internet应用系统软件协议没有进行很好的安全性设计，且网络服务器程序经常用超级用户特权来执行，这便造成诸多安全问题。如何防范应用系统软件引入的安全问题？如何更好地发挥应用软件的功能？这是要解决的一个问题。 应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。 应用层面的安全风险包括如下方面： Ø 资源共享 某某人民医院内部必有自动化办公系统，而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 Ø 电子邮件系统 电子邮件为网系统用户提供电子邮件应用。某某人民医院内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。 Ø 病毒侵害     网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素 Ø  数据信息 数据安全对某某人民医院来说尤其重要，数据在广域网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。 (4) 管理安全风险 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。      机房重地却是任何都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。      内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。      管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 二、 设计原则及技术、设备选型依据 2.1 设计原则 Ø 高性价比原则：构建安全体系必须在性能和价格之间进行权衡。在方案的制定、产品的选型、服务的选择方面都尽可能体现高性能价格比的原则。 Ø 高效性：由于增加了安全产品，必将影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等。因此需要平衡利弊，提出最为适当的安全解决建议。 Ø 简单性：尽力避免造成网络结构的复杂，操作与维护的困难。安全体系的建立不能对目前信息系统的结构做出根本性的修改。 Ø 可管理性：对于安全系统来说，要求提供方便、友好的图形化管理界面。对于网络系统来说，要求不影响原有业务的开展。 Ø 开放性：安全管理工具支持广泛的安全管理标准。提供的安全产品具有相应的接口，可以利于各种安全产品之间集成使用，并可以和其他信息产品高效结合。 三、 建设方案 3.1 某某人民医院网络隔离与信息交换设计拓扑图 根据对某某人民医院网络建设需求分析，我们提出某某人民医院网络隔离与信息建设方案。根据某某人民医院的网络安全需求，我们在改变原结构情况下做统一平台管理规划。改造后的总体网络拓扑结构图： 我们把TIPTOP物理隔离网闸内口联接通过医院的数据中心和办公网络，网闸外口连接某某人民医院医保，健康档案及互联网。通过网闸实现了某某人民医院师数据中心与医保网络与互联网的隔离，但也可以实现一定安全度上的数据交换。 3.2 TIPTOP物理隔离网闸的选型与依据 (1) TIPTOP物理隔离网闸优点 Ø 固化单进程操作系统，确保系统本身不受黑客和病毒侵害； Ø 数据加密传送，保障内网数据不被窃取； Ø 专用物理隔离模块，确保内外网物理隔离； Ø 完善的身份认证体系，防止非法授权用户访问外网； Ø 完善的病毒查杀机制，防止病毒感染内部数据； Ø 完善的系统审计日志，监控数据交换全过程。 (2) TIPTOP物理隔离网闸功能介绍 TIPTOP V2.0物理隔离网闸产品是运用国际上最先进物理隔离网络安全技术设计的安全网闸，能够保证内部可信网络与外部不可信网络的物理隔断，能够阻止各种已知和未知的网络层和操作系统层的黑客攻击，提供比防火墙、入侵检测和扫描等技术更好的安全保障，既为客户保证了网路边界的物理隔离，又实现了在线式实时访问不可信网络（如INTERNET）所必需的数据交换、应用服务访问等，通过强大的协议检查、内容审查、用户审计等手段来确保内外网资源、信息和数据的安全实时交换和访问。 TIPTOP V2.0物理隔离网闸产品是当今最安全、最多面手的网络安全隔离设备，凭借其具有的物理隔离、双向应用代理、细粒化的内容检测和过滤等功能和标配的10个10M/100M/1000M自适应以太网口，可以轻松地集成到政府、教育、军队、电力、交通、能源、金融和大型企业等不同的网络环境中。为客户不仅提供提供物理隔离的安全，也提供接近线性的数据交换能力和惊人的最大并发连接数，最大并发连接数可达100000，,以满足客户对高安全、高性能、高可靠性的应用需求。 注：以上仅为参考图，产品以实物为准 (3) 主要特点 Ø 高安全性 TIPTOP V2.0隔离网闸奉行“安全隔断、适度交换”的设计思想，采用最新数据通道控制技术，在保证内网系统和信息安全的前提下，实现了内外网之间数据的安全、快速交换。由于采用多重安全机制、综合防范策略，彻底避免了来自操作系统、命令、协议的已知和未知的攻击，所以，它是目前所有安全产品中具有最高安全性的网络产品之一。 Ø 高带宽 TIPTOP V2.0物理隔离网闸的最高带宽可以高达1G，很好解决了绝大部分物理隔离网闸存在的效率问题。 Ø 低延时 TIPTOP V2.0隔离网闸采用了专用大规模集成电路芯片（ASIC）来控制内外端之间的数据交换，开关的转换速度在毫秒级之下，TIPTOP V2.0隔离网闸为内网用户提供浏览互联网络服务和文件交换速度之快，其延迟一般用户基本上是察觉不到的。 Ø 高可用性 TIPTOP V2.0物理隔离网闸同时支持热备系统的双路通信功能，提供了极高的可用性。另外系统本身还支持采用双电源，确保网络关键设备稳定和可靠的运行。 Ø 真正物理隔离 TIPTOP V2.0物理隔离网闸真正提供了两个网络之间的物理隔离。TIPTOP V2.0物理隔离网闸中断了两个网络之间的直接连接，所有的数据交换必须通过TIPTOP V2.0物理隔离网闸，网闸从网络的第七层将数据还原为原始数据或文件，然后以“摆渡文件”的形式来传递和交换数据。没有任何的包、命令和TCP/IP协议可以穿透TIPTOP V2.0物理隔离网闸。这同透明桥、混杂模式、IP over USB、以及通过开关方式来转发包有本质的区别，真正实现了网络之间的物理隔离。 Ø 专用物理隔离硬件 TIPTOP V2.0物理隔离网闸是通过电子通道开关控制系统来实现的。目前常见的物理隔离开关技术有三种：实时开关（Real-Time Switch），单向连接（One-Way Link），和SCSI控制开关。实时开关和单向连接的速度要快一些，SCSI控制开关的速度要慢一些。人们普遍存在对开关速度的担忧，担心开关速度直接影响网络的性能。如果开关的速度低，网络的性能肯定受到影响。即使开关的速度高，网闸的性能也受主机性能的限制。不管开关速度的高低，网闸的性能的上限都不会超过主机的上限。SCSI控制开关是基于对存储介质的读写控制来完成数据的存储、转发功能。由于受SCSI总线标准的限制，这种开关方式速度不高。 TIPTOP V2.0物理隔离网闸采用国际领先的DTPTM物理隔离通道控制系统，该硬件设备采用专用大规模集成电路芯片（ASIC）将数据传输控制逻辑固化，达到嵌入式控制目的，使得黑客无法更改、病毒无法破坏，彻底保障系统本身的安全。开关功能在系统的内核中实现，成功的达到网闸的最高性能，优于常见的三种开关技术。内核的效率要远远高于外设的效率。 Ø 抗攻击内核 TIPTOP V2.0物理隔离网闸，采用固化的单进程操作系统，确保系统本身不受黑客和病毒侵害安全操作系统。 (4) 主要功能 Ø 提供互联网浏览服务 l 支持http/https应用 TIPTOP V2.0物理隔离网闸完全遵循互联网标准http/https，提供应用级的代理来实现各种互联网浏览和访问。这种应用主要是为内部网络用户能够安全的访问互联网，用来浏览网站和查阅资料提供的。访问外部网站可以不受限制，也可以进行限制。只有被访问和被请求的信息经过安全检查后才可以交换到内部，完全禁止主动对内部网络的访问。 l 提供网页和站点过滤功能 TIPTOP V2.0物理隔离网闸提供强大的过滤功能，可方便的通过协议、域名、文件类型、关键词等过滤条件设置安全策略，防止网络资源的非法使用。可以提供协议命令过滤、关键词过滤、URL过滤、脚本过滤等，同时可根据需要定制每个用户的允许上网时间。 Ø 提供电子邮件收发服务 支持标准的SMTP和POP3协议的电子邮件，可以配置安全可定制的地址内容检查、审核和控制。 Ø 提供数据库交换服务 可提供内网数据库和外网数据库之间数据的实时交换。目前可支持的应用数据库包括：ORACLE、SYBASE、SQLSERVER、MYSQL、MSQL、ACCESS、ODBC等。 Ø 提供文件交换服务 提供内外网间文件定时或实时的交换，可控制文件传输方向，提供单向或双向传输。 Ø 提供视频点播服务 支持标准的ＭＭＳ、ＲＴＳＰ协议的视频点播，可以配置提供点播外网视频影音文件。 Ø 提供ＦＴＰ文件传输服务 提供内网用户访问外网ＦＴＰ服务器，支持ＦＴＰ协议的文件上传、下载功能服务。 Ø 支持病毒库升级 部署在业务网的病毒服务器，通过TIPTOP利谱安全隔离网闸的文件同步功能，根据TIPTOP利谱的解决方案，实现部署在办公网病毒升级服务器的病毒库升级文件，实时的同步至业务网的病毒升级服务器，满足业务网防病毒终端及时升级病毒库的要求;TIPTOP利谱文件同步功能满足用户实时同步增量文件，并提供不依赖于文件扩展名的格式检查，提供文件重名处理策略，提供丰富的文件同步策略，保障用户在网络间进行安全的文件交换。 3.3 某某人民网络隔离与信息交换系统的运行 我们把TIPTOP物理隔离网闸内口连接通过医院数据中心和办公局域网络，网闸外网网口连接互联网和医保。通过网闸实现某某人民医院数据中心与医保网络、互联网的隔离， 医院办公网络与医保网络、互联网隔离，但隔离的同时在实现一定安全角度上的数据交换。 Ø TIPTOP物理隔离网闸在保证某某人民医院与医保网络、互联网隔离的同时，进行适当的、可控的内外网络的数据交换。保护两部分网络之间的安全，实现隔离，防止互联网黑客的攻击。 Ø 通过网闸对某某人民医院各个部门人员文件交换进行身份认证控制，并实现分组管理。 Ø 利用网闸详细记录某某人民医院每个员工通过网闸访问互联网、文件交换、邮件交换及文件交换日志，做到有按可查。 四、 实施计划 4.1 项目建立 我们深圳市利谱将全力配合某某人民医院网络中心人员，按照某某人民医院网络信息中心确定的时间表进行工作。 4.2 项目保障 为了确保整个项目顺利进行，确保系统尽快投入生产，制定一个完整的项目计划是成功的关键。 (1). 良好的组织，由某某人民医院网络中心人员与我公司组成项目小组，负责系统的实施和开发工作。 · 项目领导小组 · 技术支持小组：由各方面的计算机，通信，网络安全技术专家组成。 · 工程实施小组：由我公司技术人员组成。 (2). 严格的管理 在项目实施的过程中，项目小组将严格控制协调实施的进度和质量，并确保项目实施的保密性，以确保整个项目按期完成。 (3). 文挡的管理 协调安装和调试的过程中，任何工作和修改都必须记录归档，以便日后查询与参考。并严格作到保密。 4.3 应用实施 (1). 项目实施范围，某某人民医院网络中心物理隔离网闸的建设与安装使用。 (2). 提供服务的内容，根据上述项目实施范围及工作实施内容，我公司将协助某某人民医院网络信息中心完成下列工作： ² 网络安全系统需求分析 ² 网络安全系统客户化 ² 网络安全系统的测试 ² 网络安全系统的试运行 ² 网络安全系统的投产 网络安全系统需求分析： 此任务的主要目的是对某某人民医院网络信息中心的具体安全需求进行调查分析，如各业务系统的安全需求、性能需求和设计系统的前提并形成安全系统需求规格说明书。 网络安全系统客户化： 根据确定的安全系统需求分析，并结合所用的安全系统去实现这些需求的过程，将网络安全系统分解为几个子系统，描述每一个子系统的功能，处理流程，硬件间的接口。 网络安全系统的测试： 本测试内容主要针对网络安全系统的软硬件功能说明书进行测试。 网络安全系统的试运行： 我公司将从技术方面支持试运行的工作，某某人民医院网络中心共同制定运行方案，并根据试运行的结果（包括功能方面和性能方面）对安全系统进行必要的修正。主要考虑是要考核系统是否达到某某人民医院网络信息中心网络安全系统的预定要求。 网络安全系统的正式运行： 当网络安全系统试运行期间所有产生的问题得到完全解决后，网络安全系统将进入正式运行阶段。我公司与某某人民医院网络信息中心正式运行作好前期准备。 4.4 实施进度表 任 务 第一周 第二周 第三周 合同签定       设备定货       需求分析       文档编制       软硬件到货      系统安装调试       系统试运行       系统正式运行       培训     系统验收        注：时间自合同签定之日起计算。 五、 服务计划和培训 5.1 售后服务支持 Ø 售后服务包括硬件保修、软件升级和故障应急处理。软件升级（按照报价体系执行服务收费和服务期限定义）。 Ø 技术支持: 对于用户的任何技术问题，提供远程故障诊断、技术支持以及必要的现场技术支持。技术支持包括： Ø 备件优先保修： 在利谱厂家确认故障后，将在3个工作日内提供相同型号或相近功能型号作为备件；坏件修好后将同时收回备件。 Ø 全面的反应策略与流程 ü 5天的现场事变反应预演 ü 7*24的事件响应、处理及恢复服务 ü 保证1小时内的电话响应 ,保证1小时内到达现场 ü 提供安全响应工具箱 ü 案例分析 ü 资源库 ü 代码与条例 ü 2天的现场事件响应后的过程评审 ü 为期3个月的跟踪服务 ü 在线操作系统升级 ü 在线故障诊断、排除 ü 现场设备替代(只针对p1,p2故障) 当用户安全系统设备出现严重故障，业务无法正常进行时，可以派遣工程师，携带必要的设备、工具，到用户现场排除故障，恢复网络运行。 5.2 故障处理程序 Ø 故障分类 编号 故障级别 故障现象 P1 一级故障 现有的安全设备停机，或对最终用户的业务运作有严重影响 P2 二级故障 现有安全设备的操作性能严重下降，或由于网络性能明显下降，对最终用户的业务运作有重要影响 P3 三级故障 安全设备的操作性能受损或个别设备故障，只影响局部，不影响全局业务 P4 四级故障 安装、配置等技术难点，业务不受影响 Ø 技术响应要求 故障级别 电话响应 解决方案实施落实 P1 <1小时 <8小时 P2 <1小时 < 3天 P3 <1小时 < 5天 P4 <1小时 < 10天 Ø 技术服务流程 各级技术服务中心接到用户报障信息，必须在1小时内响应用户，可自行解决的问题立即向用户提交可行的解决方案，并在4小时内落实实施方案，同时向技术顾问中心报备；不能马上自行解决的重大问题，立即向技术顾问中心报告，由技术顾问中心按照服务要求直接响应用户。建议用户在向就近的工程技术人员发出服务请求的同时，也向利谱顾问中心报障。 Ø 技术服务团队及工作职责 本公司技术支持服务的团队资源包括以下三方面： 团队级别及组成说明 工作职责范围 T1级：利谱 售前、售后工程师 电话：0755-83209150，0755-83203372 Email：nyl@ pxf@ 电话或网上热线技术支持；P1类故障中重大技术问题的现场支持；授权合作伙伴售前、售后工程师培训。 T2级：利谱 授权技术服务中心 售前技术咨询、实施过程的电话在线参与和检查；P1、P2类中紧急现场技术支持和系统维护或恢复；技术改良方案的实施方案检查和指导；集成商售前、售后技术培训。 T3级：授权项目集成商工程师 售前技术咨询、实施方案制定参与；实施现场技术支持；各类故障的紧急现场技术支持和系统维护或恢复；售后用户技术培训和技术咨询服务。 5.3 培训 应用培训是帮助某某人民医院网络信息中心尽快熟悉新的网络安全系统，保证系统正常运行，掌握网络安全基本概念，日常操作和维护知识，以便在较短的时间内管理和使用网络安全系统，实施安全系统。 ² 培训内容： 1）网络安全基础知识培训： 2）安全产品使用培训： TIPTOP物理隔离网闸系统的使用及管理方法；能够制订比较专业的网络安全策略。 ² 培训条件： 1）培训教师均为资深教师，拥有各个项目产品和技术的高级认证，均有3年以上的培训经验。 2）培训均使用中文授课。 3）被培训人员所使用的全部培训资料和讲义均由培训中心提供。 3、通过活动，使学生养成博览群书的好习惯。 B比率分析法和比较分析法不能测算出各因素的影响程度。√ C采用约当产量比例法，分配原材料费用与分配加工费用所用的完工率都是一致的。Ｘ C采用直接分配法分配辅助生产费用时，应考虑各辅助生产车间之间相互提供产品或劳务的情况。错 C产品的实际生产成本包括废品损失和停工损失。√ C成本报表是对外报告的会计报表。× C成本分析的首要程序是发现问题、分析原因。× C成本会计的对象是指成本核算。× C成本计算的辅助方法一般应与基本方法结合使用而不单独使用。√ C成本计算方法中的最基本的方法是分步法。X D当车间生产多种产品时，“废品损失”、“停工损失”的借方余额，月末均直接记入该产品的产品成本 中。× D定额法是为了简化成本计算而采用的一种成本计算方法。× F“废品损失”账户月末没有余额。√ F废品损失是指在生产过程中发现和入库后发现的不可修复废品的生产成本和可修复废品的修复费用。Ｘ F分步法的一个重要特点是各步骤之间要进行成本结转。(√) G各月末在产品数量变化不大的产品，可不计算月末在产品成本。错 G工资费用就是成本项目。(×) G归集在基本生产车间的制造费用最后均应分配计入产品成本中。对 J计算计时工资费用，应以考勤记录中的工作时间记录为依据。(√) J简化的分批法就是不计算在产品成本的分批法。(×) J简化分批法是不分批计算在产品成本的方法。对 J加班加点工资既可能是直接计人费用，又可能是间接计人费用。√ J接生产工艺过程的特点，工业企业的生产可分为大量生产、成批生产和单件生产三种，X K可修复废品是指技术上可以修复使用的废品。错 K可修复废品是指经过修理可以使用，而不管修复费用在经济上是否合算的废品。Ｘ P品种法只适用于大量大批的单步骤生产的企业。× Q企业的制造费用一定要通过“制造费用”科目核算。Ｘ Q企业职工的医药费、医务部门、职工浴室等部门职工的工资，均应通过“应付工资”科目核算。Ｘ S生产车间耗用的材料，全部计入“直接材料”成本项目。Ｘ S适应生产特点和管理要求，采用适当的成本计算方法，是成本核算的基础工作。(×) W完工产品费用等于月初在产品费用加本月生产费用减月末在产品费用。对 Y“预提费用”可能出现借方余额，其性质属于资产，实际上是待摊费用。对 Y引起资产和负债同时减少的支出是费用性支出。X Y以应付票据去偿付购买材料的费用，是成本性支出。X Y原材料分工序一次投入与原材料在每道工序陆续投入，其完工率的计算方法是完全一致的。Ｘ Y运用连环替代法进行分析，即使随意改变各构成因素的替换顺序，各因素的影响结果加总后仍等于指标的总差异，因此更换各因索替换顺序，不会影响分析的结果。(×) Z在产品品种规格繁多的情况下，应该采用分类法计算产品成本。对 Z直接生产费用就是直接计人费用。X Z逐步结转分步法也称为计列半成品分步法。√ A按年度计划分配率分配制造费用，“制造费用”账户月末(可能有月末余额/可能有借方余额/可能有贷方余额/可能无月末余额)。 A按年度计划分配率分配制造费用的方法适用于(季节性生产企业) 22