5.2.6Общесистемные сервисы
В состав общесистемных сервисов РИАМС должны быть включены следующие службы:
Единая служба каталога;
Служба электронной почты;
Служба предоставления доступа к сети Интернет;
Базовые сетевые службы (DNS, DHCP, WINS);
Файловая служба;
Единая служба времени;
Службы удаленного развертывания, обновления и администрирования программного обеспечения.
Единая служба каталога предназначена для централизованного хранения информации о структурных элементах РИАМС: пользователях, группах и организационных подразделениях организаций-участников РИАМС, серверах и рабочих станциях, включенных в контур РИАМС, технологических и прикладных сервисах РИАМС.
Служба электронной почты предназначена для организации централизованной почтовой системы в сфере здравоохранения Республики Коми. Пользователями службы электронной почты должны являться все сотрудники медицинских учреждений, а также сотрудники органов управления здравоохранением.
Служба предоставления доступа к сети Интернет предназначена для организации единой точки доступа в Интернет в рамках РИАМС для всех медицинских учреждений и органов управления здравоохранением.
Базовые сетевые службы (DNS, DHCP, WINS) предназначены для организации в рамках РИАМС единого сетевого адресного пространства, выдачи постоянных и временных IP-адресов, разрешения доменных имен в IP-адреса и обратно, а также для поддержки NetBIOS-адресации в рамках РИАМС.
Файловая служба предназначена для организации файловых хранилищ, а также для организации совместного доступа пользователей РИАМС к файлам, расположенным в файловых хранилищах.
Единая служба времени предназначена для обеспечения корректной работы единой службы каталога и организации единого временного пространства в рамках РИАМС.
Службы удаленного развертывания, обновления и администрирования программного обеспечения предназначены для обеспечения возможностей по удаленной установке базового и прикладного программного обеспечения, для проведения работ по изменению конфигураций ПО серверных комплексов и рабочих станций, а также для проведения работ по установке обновленных версий ПО.
5.2.6.1Единая служба каталога
Единая служба каталога (ЕСК) должна обеспечивать:
Централизованное хранение и централизованное управление такими объектами, как учетные записи пользователей, компьютеров и групп, общие папки и принтеры, почтовые системы;
Возможность децентрализованного (делегированного) управления объектами, размещенными в таких контейнерах, как домены или организационные подразделения (ОП);
Быстрый поиск информации о любом объекте сети при помощи запросов к контроллерам домена или серверам глобального каталога;
Проверку подлинности участников безопасности при входе в единую вычислительную сеть РИАМС;
Авторизацию при доступе к информационным ресурсам РИАМС;
Технологию единого входа (Single Sign On) при доступе к любым информационным ресурсам РИАМС;
Управление настройками серверов и рабочих станций, работающих под управлением ОС Windows различных версий, с помощью групповых политик, включая настройку защиты, а также реализацию рабочей среды пользователей с ограничениями на несанкционированные действия или запуск несанкционированного ПО;
Возможность интеграции с системой проверки подлинности на основе электронных сертификатов;
Возможности расширения каталога и интеграции с другими каталогами.
Единая служба каталога должна быть развернута в варианте, обеспечивающем постоянную доступность для всех пользователей, компьютеров, других служб и приложений.
Единую службу каталога РИАМС целесообразно развернуть на базе продукта Microsoft Active Directory 2008. При проектировании ЕСК необходимо рассмотреть следующие основные вопросы:
Модель леса Active Directory;
Структура доменов Active Directory;
Административная модель управления;
Структура организационных подразделений;
Структура сайтов и размещение контроллеров домена.
Ниже представлены основные рекомендации по развертыванию Единой службы каталога. Более детально решения по развертыванию Единой службы каталога должны быть проработаны на стадии технического проектирования.
5.2.6.1.1Модель леса AD
В настоящий момент в аппарате Правительства Республики Коми спроектирована и внедрена Единая Служба Каталога, состоящая из леса rkomi.local двух доменов: основного домена rkomi.local и ресурсного rk.local.
В качестве модели леса единой службы каталога РИАМС целесообразно рассмотреть модель с единым лесом. Такая модель характеризуется, прежде всего, простотой и эффективностью формирования и отслеживания политик безопасности. В рамках единой политики безопасности легко реализуется делегирование полномочий на службу каталога и на управление РИАМС в целом. Делегирование полномочий позволит сократить число сотрудников, обладающих административными полномочиями, и централизовано контролировать зону ответственности каждого из администраторов. Кроме того, при внедрении службы электронной почты на основе модели единого леса ЕСК, будет возможным создание единой глобальной адресной книги, содержащей всех пользователей РИАМС.
С целью обеспечения возможности использования аппаратных и программных средств, развернутых в рамках ЕСК Аппарата Правительства Республики Коми, а также с целью обеспечения взаимодействия между ЕСК Аппарата Правительства Республики Коми и проектируемым ЕСК РИАМС целесообразно установить двухсторонние транзитивные доверительные отношения между лесами rkomi.local и лесом РИАМС (riams.local).
5.2.6.1.2Структура доменов AD
При определении структуры доменов целесообразно рассмотреть гибридную доменную структуру, состоящую из двух деревьев доменов.
Рис. 7. Доменная структура ЕСК
При такой структуре одно дерево содержит корневой домен riams.local и дочерний домен test.local, второе дерево содержит рабочий домен riams.rkomi.ru. Сокращенные доверительные отношения между тестовым и рабочим доменами упрощают процедуры проверки подлинности.
Корневой домен леса riams.local является хранителем следующих мастеров операций: Мастера схемы и Мастера именования доменов. Администраторы корневого домена riams.local имеют административные права на уровне всего леса и могут производить такие операции, как модификация схемы AD и создание новых доменов.
Тестовый домен test.local используется для тестирования новых продуктов перед внедрением их в рабочий домен.
В рабочем домене riams.rkomi.ru располагаются все основные информационные ресурсы РИАМС – учетные записи пользователей всех объектов РИАМС, учетные записи всех компьютеров и серверов, опубликованные принтеры, общие папки и т.д.
Стратегическое управление всеми ресурсами ЕСК осуществляется администраторами Оператора РИАМС. Для выполнения некритичных для безопасности ЕСК операций техническим специалистам, находящимся непосредственно на объектах информатизации, назначаются минимально необходимые для осуществления этих операций полномочия.
Приведенная структура доменов обеспечивает:
Контроль членства в группах Enterprise Admins и Schema Admins (расположенных в корневом домене леса), имеющих административные права во всех доменах ЕСК;
Унификацию процессов администрирования службы каталога;
Возможность использования различных доменных групповых политик, например, политик паролей и аудита, для каждого из доменов леса.
5.2.6.1.3Административная модель управления
В соответствии с основными положениями организации эксплуатации РИАМС, представленными в настоящем документе (раздел 6), административная модель управления ЕСК должна строиться на принципах централизованного управления с делегированием разрешений на отдельные операции группам локальных администраторов. Управление объектами службы каталога должно выполняться на следующих уровнях:
Уровень леса;
Уровень домена;
Уровень организационных подразделений.
Предоставление полномочий на управление объектами ЕСК на уровне леса и доменов осуществляется с помощью стандартных групп безопасности – Enterprise Admins и Domain Admins. Предоставление локальным администраторам полномочий на управление организационными подразделениями на своем объекте информатизации происходит с помощью механизма делегирования. Для этого в рабочем домене для каждого объекта информатизации создаются организационные подразделения, куда помещаются все ресурсы соответствующих объектов. Для каждого такого организационного подразделения создаются группы безопасности. Этим группам безопасности делегируются полномочия на осуществление конкретных операций. Локальные администраторы получают полномочия на проведение операций с объектами в организационных подразделениях своих объектов за счет членства в соответствующих группах безопасности.
5.2.6.1.4Структура организационных подразделений
Структура организационных подразделений (ОП) должна отражать территориально–производственную и организационную модель РИАМС. Основным критерием создания организационных подразделений является необходимость решения задач управления объектами и ресурсами сети, а также задач разграничения доступа.
Детальная структура организационных подразделений должна быть разработана на стадии технического проектирования ЕСК. Базируясь на предложенных выше положениях целесообразно предложить к рассмотрению основные положения структуры организационных подразделений ЕСК.
Для административных доменов riams.local и test.local структура организационных подразделений не проектируется.
Для рабочего домена riams.rkomi.ru предлагается набор организационных подразделений в следующем составе:
Организационное подразделение Servers, предназначенное для размещения объектов всех основных типов серверов системы. Для каждого типа серверов (серверы почтовой системы, файловые серверы, серверы печати, серверы удаленного доступа, прокси-серверы и т.д.) создаются отдельные вложенные организационные подразделения: Exchange Servers, File Servers, Print Servers, Terminal Servers и т.д., в которых размещаются учетные записи соответствующих серверов.
Организационное подразделение Organizations, в котором будут располагаться учетные записи всех пользователей рабочего домена и опубликованные в ЕСК общие папки. Внутри данного подразделения создаются ОП второго уровня с названиями организаций, входящих в РИАМС: Минздрав РК, ТФОМС, МЦОД г. Воркута, МБУ «Воргашорская больница», ГУ РК «Кардиологический диспансер» и т.д. В организационных подразделениях с названиями организаций при необходимости создаются подразделения с названиями объектов информатизации и отдельных площадок (включая ФАПы). Структура подразделений должна соответствовать организационной структуре медицинского учреждения или органа управления здравоохранением и может включать: Департамент, Отдел и т.д., при этом в организационных подразделениях департаментов и отделов располагаются учетные записи пользователей и опубликованные в ЕСК общие папки.
Организационное подразделение System Accounts, в котором будут располагаться административные и специализированные учетные записи, группы безопасности и группы распространения (списки рассылки). Внутри данного подразделения создаются ОП второго уровня с названиями содержащихся в них объектов, такие, как, например, «Административные учетные записи», «Группы», «Почтовые ресурсы», «Ресурсы общего доступа» и т.д. В организационных подразделениях второго уровня при необходимости создаются вложенные подразделения – в соответствии с территориально-производственным признаком или по названию ресурса, доступ к которому определяют соответствующие специализированные учетные записи или группы безопасности.
Организационное подразделение Hardware, в которое будут помещаться объекты всех рабочих станций и опубликованных в ЕСК принтеров. Внутри данного организационного подразделения создаются организационные подразделения второго уровня с названиями объектов информатизации. В организационных подразделениях объектов информатизации могут быть созданы вложенные подразделения третьего уровня с названием отдельных площадок. В данных подразделениях располагаются учетные записи рабочих станций. В соответствии со структурой медицинских учреждений при необходимости в подразделениях с названиями площадок могут быть созданы ОП четвертого (по этажам) и пятого уровня (по комнатам), где будут размещаться учетные записи рабочих станций и опубликованных в ЕСК принтеров.
Предложенные положения организации структуры ОП ЕСК отвечают следующим основным требованиям:
Структура организационных подразделений обеспечивает возможности по гибкому делегированию полномочий администраторам в зависимости от их компетенции и от области их ответственности, включая уровень отдельных объектов ЕСК: серверов, рабочих станций, пользователей, групп, общие папки и т.д. Делегирование полномочий на серверы, имеющие учетные записи в ЕСК, производится на двух уровнях: делегирование полномочий на все серверы и делегирование полномочий на серверы определенного типа.
Структура организационных подразделений обеспечивает возможности по делегированию полномочий по управлению рабочими станциями и пользователями локальным администраторам, отвечающим за обслуживание определенных объектов информатизации.
5.2.6.1.5Структура сайтов и размещение контроллеров домена
Структура сайтов единой службы каталога должна отражать физическую структуру сети РИАМС. При проектировании структуры сайтов и межсайтовых связей единой службы каталога РИАМС должен применяться следующий подход:
Каждой территориально обособленной площадке должен соответствовать собственный сайт.
В случае, если на площадке не будет развертываться ни одного контроллера домена, и площадка имеет канал связи только с одной другой площадкой, на которой будут развертываться контроллеры домена, допускается объединить данные площадки в один сайт Active Directory.
Топология межсайтовых связей должна отражать топологию физических каналов связи.
Размещение контроллеров домена на объектах информатизации РИАМС должно производиться исходя из следующих данных:
Количество пользователей на объекте;
Наличие программного обеспечения, для которого необходимо наличие локальных контроллеров домена;
Количество и качество каналов связи на данном объекте информатизации.
Общий подход к оценке количества и типа развертываемых на конкретном объекте контроллеров домена должен быть следующий:
В каждом домене должно быть развернуто не менее двух контроллеров домена. Дополнительные контроллеры могут быть установлены для организации серверов форпостов для оптимизации репликации межсайтовых связей;
На каждом объекте, где расположены серверы службы электронной почты, должно быть развернуто не менее двух серверов глобального каталога;
На объекте с 200 пользователями и более должно быть развернуто не менее двух контроллеров домена, один из которых назначается сервером глобального каталога;
При количестве пользователей более 50 развертывается не менее одного контроллера домена;
При количестве пользователей менее 50 контроллеры домена развертываются только на тех объектах, на которых размещается программное обеспечение и службы, требующие наличия контроллера домена. В данном случае контроллер домена развертывается в режиме только для чтения (RODC);
Для объектов, характеризующихся небольшим количеством пользователей, низкой пропускной способностью сети передачи данных, а также, отсутствием или невысоким уровнем подготовки ИТ-специалистов, контроллеры домена разворачиваются в режиме только для чтения (RODC).
5.2.6.1.6Именование объектов службы каталога
С целью стандартизации именования объектов проектируемой ЕСК РИАМС, предлагается принять за основу стандарт именований объектов, принятый в ЕСК аппарата Правительства Республики Коми.
5.2.6.2Служба электронной почты
Служба электронной почты должна обеспечивать:
Обмен почтовыми сообщениями как внутри РИАМС, между организациями и пользователями системы, так и с внешними почтовыми системами;
Централизованное управление маршрутами доставки сообщений как внутри РИАМС, так и при взаимодействии с внешними почтовыми системами;
Хранение почтовых ящиков и общих папок в базах данных серверов службы электронной почты;
Работу с адресными книгами, в том числе с глобальными списками всех получателей РИАМС, а также возможности быстрого поиска получателей;
Управление почтовыми ящиками пользователей;
Работу с календарями, контактами, задачами, как общими, так и персональными;
Защищенный доступ к почтовому ящику с помощью клиентов различных типов («толстый клиент», веб-приложение, клиент мобильного устройства);
Возможности по делегированию управления функциями службы электронной почты объектам единой службы каталогов;
Предоставление доступа к базовым функциям и данным службы с использованием стандартных интерфейсов и протоколов, таких, как HTTP/HTTPS, POP3/SMTP, IMAP4, MAPI/RPC, ActiveSync;
Защиту почты от вирусов и нежелательных сообщений (спама).
Модель управления службы электронной почты должна обеспечивать централизованное управление почтовой системой, но должна позволять делегировать полномочия по управлению такими объектами, как получатели, серверы и общие папки.
Структура службы электронной почты должна позволять эффективно управлять передачей сообщений как внутри РИАМС, так и обменом сообщений с внешними почтовыми системами, с учетом минимизации использования низкоскоростных и ненадежных каналов связи.
Центральная точка службы электронной почты должна быть развернута на вычислительных мощностях Регионального центра обработки данных. При этом необходимо обеспечить отказоустойчивость и высокую доступность этого элемента службы электронной почты. Показатели отказоустойчивости и высокой доступности должны быть достигнуты за счет:
развертывания отказоустойчивого кластера для основных почтовых серверов РИАМС;
настройки постоянной резервной репликации для почтовых ящиков пользователей;
развертывания кластера балансировки сетевой нагрузки для серверов клиентского доступа.
Количество и размещение серверов службы электронной почты на других объектах РИАМС должно быть определено на стадии технического проектирования общесистемных сервисов РИАМС с учетом данных об объектах РИАМС, количестве пользователей на объектах, а также с учетом требований обеспечения отказоустойчивости и распределения нагрузки.
5.2.6.3Служба предоставления доступа к сети Интернет
Централизованная служба доступа к сети Интернет должна обеспечивать:
Межсетевое экранирование и фильтрация данных на разных уровнях (пакетном, прикладном);
Управление доступом к сети Интернет пользователей РИАМС в соответствии с групповыми политиками, определенными с помощью единой службы каталога, в том числе: разрешение/запрет доступа по категориям сайтов, разрешение/запрет доступа по типам сетевых протоколов и адресу назначения, контроль доступа по времени (напр., в рабочее/нерабочее время), разрешение/запрет доступа по именам файлов или их типам;
Управление пропускной способностью канала доступа к Интернет в зависимости от категории пользователя РИАМС;
Кэширование прямого и обратного соединения (прокси-сервер);
Антивирусную защиту при подключении пользователей РИАМС к Интернет.
5.2.6.4Базовые сетевые службы (DNS, DHCP, WINS)
Базовая сетевая служба DNS должна обеспечивать:
создание и поддержание зон различных типов: основных, дополнительных, зон-заглушек;
возможность хранения информации DNS в базе данных единой службы каталога с обеспечением защиты зон и записей, а также защищенную передачу зонной информации между серверами DNS;
поддержку записей, регистрируемых контроллерами доменов и серверами единой службы каталога;
делегирование доменов;
возможность разрешения имен с помощью условной и безусловной пересылки запросов к другим серверам DNS;
динамическую регистрацию имен и IP-адресов узлов по запросу клиентов или сервера(ов) DHCP, в том числе и защищенную (регистрацию только после проверки подлинности);
возможность автоматической очистки зон путем удаления из них устаревших записей;
прямое преобразование (разрешение) DNS-имен узлов в IP-адреса, и обратное преобразование IP-адресов в DNS-имена;
разрешение имен узлов, как внутренних, так и узлов в Интернете;
возможность пересылки неразрешенных запросов к серверам WINS.
Базовая сетевая служба DHCP должна обеспечивать:
авторизацию серверов DHCP в единой службе каталога;
создание и поддержание областей DHCP с диапазонами IP адресов и другими параметрами;
ведение журнала работы службы;
периодическое резервное копирование баз данных DHCP;
выдача клиентам DHCP параметров для работы в сети TCP/IP (основные параметры: IP-адрес и маска подсети; дополнительные параметры: адрес основного шлюза, сервера(ов) DNS и WINS, имени домена и т.д.);
возможность резервирования IP-адресов;
возможность создания классов клиентов и выдачи различных дополнительных параметров для клиентов разных классов;
возможность регистрации выданных IP-адресов и имен клиентов в прямых и обратных зонах службы DNS.
Базовая сетевая служба WINS должна обеспечивать:
репликацию данных WINS между разными серверами;
периодическое резервное копирование баз данных WINS;
динамическую регистрацию имен NetBIOS и соответствующих им IP-адресов;
разрешение имен NetBIOS в IP-адреса и, наоборот, предоставление для IP-адреса списка зарегистрированных имен NetBIOS;
поддержку статических записей для компьютеров и устройств, не являющихся клиентами NetBIOS.
Дополнительно служба DNS должна обеспечивать возможность совместного использования со службой WINS для разрешения имен компьютеров, которые не регистрируются в DNS и не являются клиентами DHCP, но могут быть зарегистрированы в базе данных WINS.
5.2.6.5Файловая служба
Файловая служба должна обеспечить:
надежное хранение пользовательских и других файловых данных на серверах;
предоставление файлов в совместный доступ по сети;
защиту и аудит доступа;
отказоустойчивость и высокую доступность данных;
доступ к предыдущим версиям и восстановление удаленных файлов;
контроль объемов и типов данных, хранящихся на серверах, с помощью пользовательских квот и шаблонов фильтров.
Файловые серверы должны быть развернуты на вычислительных мощностях Регионального центра обработки данных, а также на объектах РИАМС типов МЦОД-В, МЦОД-УП, МЦОД-И, МЦОД-У, ЛПУ-С (Таблица 2).
Для всех разделов жестких дисков, применяемых на файловых серверах, должна использоваться файловая система NTFS, причем на каждый каталог должны быть установлены минимальные разрешения NTFS, обеспечивающие нормальную работу пользователей или приложений. Для томов, содержащих файлы, предоставленные в совместное использование, должна быть настроена система теневого копирования тома. На файловых серверах должен быть включен аудит доступа к объектам (добавление, чтение, модификация или удаление) и настроены правила аудита для этих объектов. Для управления объемами и типами хранящейся на серверах информации и предотвращения переполнения разделов с данными (особенно пользовательскими) должна быть настроена система квотирования.
Для файловых серверов высокой доступности необходимо применять либо кластерные решения, либо дублирование серверов с развертыванием распределенной файловой системы DFS с настройкой репликации. Способ развертывания файловых серверов высокой доступности должен быть определен на стадии технического проектирования общесистемных сервисов.
5.2.6.6Единая служба времени
Единая служба времени должна обеспечивать:
централизованное управление единым временным пространством леса единой службы каталога;
синхронизацию времени между всеми узлами в рамках леса единой службы каталога;
механизмы для коррекции и компенсирования хода часов операционных систем серверов и рабочих станций;
синхронизацию с внешним источником времени по протоколу NTP.
Служба синхронизации времени должна быть развернута в варианте, обеспечивающем постоянную доступность для всех серверов, компьютеров, служб и приложений РИАМС.
5.2.6.7Службы удаленного развертывания, обновления и администрирования программного обеспечения
Службы удаленного развертывания должны позволять:
Создавать и хранить мастер-образы операционного окружения для рабочих станций различного типа;
Удаленно устанавливать программное обеспечение рабочих станций, включая операционные системы, с хранящихся в системе мастер-образов;
Автоматически устанавливать обновления системного, базового и прикладного ПО рабочих станций с централизованного сервера обновлений.
При проектировании служб удаленного развертывания целесообразно рассмотреть применение служб WDS (Windows Deployment Services) и WSUS (Windows Server Update Services), входящих в состав серверной операционной системы Windows Server 2008 R2.
5.2.7Региональный удостоверяющий центр
Региональный удостоверяющий центр предназначен для предоставления сертификатов электронной цифровой подписи и обеспечения проверки достоверности и актуальности сертификатов в рамках РИАМС.
В качестве удостоверяющего центра РИАМС необходимо использовать Региональный удостоверяющий центр Республики Коми, созданный на основании Постановления Правительства Республики Коми от 31 декабря 2008 г. № 390 «Об удостоверяющем центре органов исполнительной власти Республики Коми, государственных органов Республики Коми, образованных Главой Республики Коми или Правительством Республики Коми, и о мерах по применению средств электронной цифровой подписи». Региональный удостоверяющий центр Республики Коми удовлетворяет всем функциональным требованиям, а также требованиям информационной безопасности.
Региональный удостоверяющий центр Республики Коми обеспечивает:
Регистрацию и изготовление сертификатов пользователей по заявлениям;
Уникальность сертификатов и достоверности указанных сведений;
Ведение и хранение реестра сертификатов открытых ключей пользователей в течении установленного срока;
Аннулирование, приостановление и возобновление действия сертификатов пользователей;
Подтверждение ЭЦП в электронных документах;
Выдачу сертификатов открытых ключей пользователям.
При приеме заявлений пользователей о выдаче электронного сертификата, Региональный УЦ должен проводить верификацию заявок пользователей на основании информации об учетной записи пользователя в Единой службе каталога (см. п. 5.2.6.1).
Региональный удостоверяющий центр Республики Коми должен взаимодействовать с Федеральным удостоверяющим центром ЕГИС в сфере здравоохранения, создаваемом в Федеральном уровне Системы в соответствии с Концепцией создания Единой Государственной Информационной Системы в сфере здравоохранения, утвержденной приказом Минздравсоцразвития РФ от 28.04.2011.
В процессе взаимодействия с Федеральным удостоверяющим центром Региональный УЦ должен:
отправлять все изменения реестра сертификатов, произведенные в РК, включая информацию о вновь выданных сертификатах, а также об аннулированных, приостановленных и возобновленных сертификатах;
принимать изменения реестра сертификатов федерального уровня, производя обновление реестра сертификатов.
Оператором Регионального удостоверяющего центра Республики Коми является Государственное бюджетное учреждение Республики Коми «Центр безопасности информации», который также включается в общую структуру управления РИАМС (раздел 6).
5.2.8Единый портал системы здравоохранения Республики Коми
Единый портал системы здравоохранения Республики Коми должен обеспечивать доступ граждан и организаций к информации о законодательстве в сфере здравоохранения, о состоянии системы здравоохранения Республики Коми, о деятельности Министерства здравоохранения РК, об учреждениях здравоохранения Республики Коми. Помимо размещения общедоступной информации Портал должен предоставлять возможность размещения сервисов прикладных информационных систем для организации доступа к ним граждан и организаций. Дополнительно Портал должен обеспечивать функционирование компонентов информационных систем прикладного сегмента, предназначенных для сотрудников медицинских учреждений и требующих специальных прав доступа.
Единый портал системы здравоохранения должен быть предназначен для двух основных категорий пользователей: для внешних пользователей, обращающихся к порталу с помощью подключения к сети Интернет и для внутренних пользователей – работников медицинских учреждений всех уровней, обращающихся к порталу путем подключения к единой информационной сети.
Единый портал системы здравоохранения Республики Коми должен включать следующие подсистемы:
Подсистема «Внешний портал»;
Подсистема «Внутренний портал»;
Подсистема управления структурой и содержанием портала.
Подсистема «Внешний портал» предназначена для обеспечения доступа заинтересованных физических или юридических лиц, не являющихся сотрудниками медицинских учреждений, к разделам портала и прикладным системам, интегрированным с порталом.
Подсистема «Внутренний портал» предназначена для обеспечения доступа сотрудников медицинских учреждений всех уровней к разделам портала и прикладным системам, интегрированным с порталом.
Подсистема управления структурой и содержанием портала предназначена для управления структурой разделов портала, подготовки к публикации и размещения на страницах портала информационных материалов, размещения ссылок на интегрированные прикладные информационные системы, на другие ресурсы сети Интернет.
Для обеспечения функционирования портала в системе должны быть предусмотрены дополнительные служебные роли:
Редакторы портала – пользователи портала, отвечающие за информационное наполнение портала, оформление разделов и страниц портала, предназначенных как для внешних, так и для внутренних пользователей;
Администраторы портала – пользователи портала, выполняющие настройку работы портала, занимающиеся техническим и регламентным обслуживанием портала.
5.2.8.1Подсистема «Внешний портал»
Основной категорией пользователей данной подсистемы должны являться внешние пользователи, подключающиеся к порталу с помощью сети Интернет.
Подсистема «Внешний портал здравоохранения» должна обеспечивать выполнение следующих основных функций:
Отображение опубликованных материалов;
Предоставление информационных сервисов прикладными информационными системами;
Предоставление доступа к прикладным информационным системам, интегрированным с порталом – для авторизованных пользователей;
Навигацию по разделам портала;
Отображение карты портала;
Поиск опубликованных на портале материалов.
В целях предоставления внешним пользователям доступа к информационному содержанию портала, а также для организации доступа пользователей к сервисам прикладных систем, размещенным на внешнем портале, в подсистеме должны быть реализованы функции регистрации пользователей портала, авторизации и функционирование «личных кабинетов» пользователей портала.
В целях обеспечения информационной безопасности подсистема «Внешний портал» должна быть расположена во внешней зоне защищаемого периметра сети здравоохранения РК и должна быть отделена от внутренней зоны с помощью межсетевых экранов.
5.2.8.2Подсистема «Внутренний портал»
Основной категорией пользователей данной подсистемы должны являться внутренние пользователи – сотрудники медицинских учреждений, подключающиеся к порталу с помощью внутренней сети системы здравоохранения РК.
Права пользователей по доступу к информации, размещенной на внутреннем портале, а также права доступа к сервисам прикладных систем, должны определяться на основании групповых политик единой службы каталога (см. п. 5.2.6.1).
Подсистема должна обеспечивать выполнение следующих основных функций:
Отображение опубликованных на портале материалов – в соответствии с профилем и ролью пользователя, заданными групповыми политиками ЕСК;
Доступ к прикладным информационным системам, интегрированным с порталом в соответствии с профилем и ролью пользователя, заданными групповыми политиками ЕСК;
Сохранение истории операций и действий пользователя;
Отображение и редактирование профиля пользователя;
Навигацию по разделам портала;
Отображение карты портала;
Поиск опубликованных на портале материалов и сервисов.
Подсистема должна автоматически, в зависимости от профиля пользователя, формировать структуру и внешний вид портала и обеспечивать доступность сервисов прикладных систем.
5.2.8.3Подсистема управления структурой и содержанием портала
Подсистема управления структурой и содержанием портала должна обеспечивать управление как внешней, так и внутренней частью портала.
В отношении внешней и внутренней частей Портала подсистема управления структурой и содержанием должна обеспечивать выполнение следующих функций:
Управление структурой портала;
Управление информационным наполнением портала.
Пользователь, обладающий соответствующими правами, должен иметь возможность управлять структурой разделов и содержанием отдельных разделов портала.
Структура портала должна представлять собой многоуровневую иерархию, в состав которой могут входить следующие структурные элементы:
В подсистеме должны быть реализованы следующие основные функции управления структурой портала:
Отображение структуры портала;
Добавление структурного элемента в структуру портала;
Редактирование свойств структурного элемента;
Публикация структурного элемента;
Прекращение публикации структурного элемента;
Изменение расположения структурного элемента в структуре портала;
Удаление структурного элемента из структуры портала.
Информационное наполнение портала должно осуществляться путем совершения операций над информационными элементами. Должна быть возможность размещать на страницах портала информационные элементы следующих типов:
Документ;
Статья;
Изображение;
Ссылка;
Сервис и т.п.
5.2.9Контакт-центр
Контакт-центр предназначен для обеспечения возможности организации «горячей линии» для приема и обработки запросов от населения и пользователей автоматизированных информационных систем, входящих в РИАМС, поступающих по телефону и/или электронной почте.
Контакт-центр является программно-аппаратным комплексом, включающим в себя следующие системы:
Программно-аппаратный комплекс приема, маршрутизации и регистрации телефонных обращений;
Базы знаний.
Программно-аппаратный комплекс приема, маршрутизации и регистрации телефонных обращений предназначен для приема звонков и корреспонденции, маршрутизации обращений в соответствии с их тематикой, регистрации и обработки обращений, осуществления первой линии технической поддержки пользователей единого информационного портала регионального уровня, а также пользователей автоматизированных информационных систем регионального уровня. Программно-аппаратный комплекс должен состоять из следующих основных компонент:
Модуль определения телефонного номера;
Модуль автоматической маршрутизации звонка (IVR);
Модуль распределения звонков между сотрудниками контакт-центра;
Модуль мониторинга и записи разговоров;
Модуль работы с входящей корреспонденцией;
Модуль работы с электронной почтой;
Модуль регистрации обращений;
Модуль сбора статистики;
Модуль интеграционного взаимодействия.
Модуль определения телефонного номера предназначен для оперативного автоматического определения телефонного номера звонящего абонента с целью отображения его в регистрационной информации, а также использования для последующего оказания услуг контакт-центра, например, осуществления обратного звонка в случаях, когда ситуация требует обратной связи (вызов скорой неотложной помощи, определение удобных для пациентов сроков оказания медицинских услуг).
Модуль автоматической маршрутизации звонка (IVR) предназначен для обеспечения предварительной маршрутизации звонков в соответствии с пунктом голосового меню, выбранного пользователем.
Модуль распределения звонков между сотрудниками контакт-центра позволяет обеспечить равномерную загрузку операторов контакт-центра путем маршрутизации звонка к свободному или первому освободившемуся оператору.
Модуль мониторинга и записи разговоров предназначен для ведения учета обработанных звонков согласно их основным характеристикам, а также предоставления возможности записи и прослушивания разговоров операторов контакт-центра с целью повышения качества оказываемых услуг.
Модуль работы с входящей корреспонденцией должен обеспечивать автоматическую регистрацию (в модуле регистрации обращений) и предварительную систематизацию полученной почтовой корреспонденции, маршрутизацию корреспонденции согласно содержащихся в ней вопросов, а также ведение и отслеживание сроков предоставления ответов на входящие письма.
Модуль работы с электронной почтой должен предоставлять возможность получения, автоматической регистрации (в модуле регистрации обращений), систематизации и маршрутизации на заранее определенные адреса электронной почты корреспонденции, поступающей в контакт-центр по электронной почте, а также отслеживание сроков предоставления ответов и оказания услуг согласно зарегистрированным запросам.
Модуль регистрации обращений предназначен для записи информации об обращениях в контакт-центр, сделанных посредством телефонной, факсимильной и почтовой связи, а также обращений, поступивших по электронной почте.
Модуль сбора статистики предназначен для получения обобщенной статистической информации по обращениям, сделанным в контакт-центр различными способами. Полученная с помощью данного модуля отчетность призвана обеспечивать своевременную реакцию на изменения и принятие оправданных управленческих решений по работе контакт-центра.
Модуль интеграционного взаимодействия должен предоставлять возможность взаимодействия программного обеспечения контакт-центра с информационными автоматизированными системами, входящими в РИАМС.
Особенностью реализации программно-аппаратного комплекса в рамках РИАМС является многократное использование его функциональности для реализации различных целей:
Обеспечения двустороннего взаимодействия с населением по вопросам медицины и оказания медицинских услуг в регионе; осуществления удаленной записи на исследования, обследования, диагностические мероприятия, госпитализацию, на прием к врачам, включая вызов врача на дом, вызов скорой и неотложной помощи и проч., предоставления удаленных консультаций специалистов;
Осуществление первого уровня технической поддержки пользователей единого информационного портала регионального уровня;
Осуществление первого уровня технической поддержки сотрудников медицинских учреждений по работе с системами РИАМС.
В связи с необходимостью осуществления оперативного взаимодействия с разными категориями обращений необходимо создание и ведение баз знаний, содержащих наиболее часто встречающиеся вопросы и ответы на них в разрезе целей использования контакт-центра. Базы знаний должны содержать механизмы, обеспечивающие ввод, систематизацию, изменение, хранение и удаление информации, быстрый поиск и средства максимально удобной для сотрудников контакт-центра визуализации запрошенных данных.
|
