医院自助服务系统项目建设方案.doc

医院自助服务系统项目建设方案*有限公司目 录第一章 项目概述4项目背景4*运营经验及优势5名词说明7第二章 医院自助终端系统优化规划和设计原则8医院自助服务系统优化设计原则概述8医院自助终端设备规划10大堂式自助终端L15810壁挂式客户服务终端B31012发卡缴费终端L17013第三章 医院自助终端系统优化实现方案16自助服务系统结构概述16电子业务交易系统平台（EBTP）的技术实现20 spring 轻量系统框架20 数据库连接池和ORM设计框架20 分布式多层设计框架和多线程流程处理模式20 任务对列缓冲技术应用21 基本数据缓冲设计结构21 可插件式业务流程设计（STAGE）结构21 灵活方便的机构连接技术22 业务管理支撑系统EOSS的基本功能和技术实现22 用户权限管理22 终端远程监控管理系统方案23 系统运行管理28 综合业务客户端系统（IBCP）的技术实现和基本功能32 客户端系统结构32 客户端系统功能32 系统工作方式说明33 终端接入方式33支付方式33系统对帐方式34第四章 医院自助终端系统业务功能和流程方案35 业务功能规划表35 业务功能流程说明35 会员挂号36 会员登录界面37 刷会员卡提示界面37 科室选择界面37当天出诊医生信息界面38 挂号确认界面38 以后日期出诊医生信息界面39 挂号成功界面39 普通挂号40 终端界面效果41第五章 医院自助服务系统的整体安全方案44系统层安全部署44银行卡支付安全47 医院自助服务系统的稳定性能47系统整体性能47事务性处理性能48系统整体特点48第六章 佛山市第一人民医院成功案例介绍49第一章 项目概述项目背景医院计算机信息管理系统HIS的实施，使医院工作的主要环节，如门诊、住院、药品管理、病历管理等，都实现了电子化管理，极大地方便了医院各环节的工作，提高了工作的效率，也为病人提供了更好的服务。电子支付技术与医院计算机信息管理系统的有效结合，可以进一步提高医院的综合效益，提升医院的整体服务形象，为医院和病人带来直接的好处。目前医院在挂号和收费方面，主要通过专门的人员处理用户的现金或通过金融POS进行收费，基本上还是属于人工收费的方式，还存在一些需要改善的方面：l 很多收费的金额都比较小，如挂号费都是在几元钱左右，对零钞的管理比较麻烦，而且清点的工作强度也比较大。l 假钞以及假币的管理难度比较大。l 在采用手工POS收费时，收费人员需要进行专门的培训，而且还需要用户输入卡密码及凭证的签名等工作，从工作量上并没有明显的减少。这些都造成了在病人挂号或交费时都可能出现排队的现象。带有先进支付手段康众多媒体自助服务系统的应用，可以为医院的电子化、信息化建设进一步发挥出强大的经济效益和社会效益。通过自助的方式来为客户提供个性化服务，很多业务可以由客户自己来完成，提高医院的服务形象，同时也减少了医院在服务方面的人力投入；而且相关的支付也可以通过电子的方式进行，在银行卡、医保卡、诊疗卡十分普及的今天，不仅能完全杜绝假钞假币等方面的问题，在财务上也可以实现电子对帐的方式，减少医院管理人员的工作量及工作强度，而且可以提供更快速、更准确的财务数据。随着诊疗卡、电子病历、全院管理网络的建立，通过现有的管理网络，可以查询到当前医院的所有信息及当前病人看病过程中所有的信息，这些方面的条件使自助服务系统的使用和推广成为可能。*运营经验及优势*公司具有大规模自助服务终端运营、租赁服务的成功经验：第三章 医院自助终端系统优化实现方案自助服务系统结构概述1、系统平台组成整个自助运营服务交易平台，包含三个子系统：电子业务交易系统平台（EBTP）、业务管理支撑系统（EOSS）、综合业务客户端平台系统（IBCP）l 电子业务交易系统平台（EBTP）主要功能：交易服务模块、交易管理模块、冲正管理模块、缓存管理模块、命令管理模块、机构管理模块。l 业务管理支撑系统（EOSS）主要功能：终端管理、监控管理、终端控制管理、业务查询和统计管理、终端软件远程下载功能、信息发布管理。l 综合业务客户端系统（IBCP）主要功能：设备驱动模块、业务通讯模块、Web服务模块、系统维护管理模块，业务流程控制模块。2、 系统网络结构图图1 医院自助服务系统网络结构图3、 系统网络结构说明² 医院HIS综合业务系统：医院门诊业务数据库为医院业务运作、清算支持系统，同时提供门诊病人数据库和交易数据库。² 阳光医疗平台系统：阳光康健医疗卡会员服务系统，负责会员管理和业务支撑管理及服务；² 银联支付平台：银行卡的实时充值交易服务器，包括批量和实时（支持银行卡支付交易）两种；² 交易数据库服务器：存放终端、后台交易数据库表、日志数据，采用双机热备系统，磁盘阵列模式。² 终端交易服务器：自助服务模块中负责多媒体自助终端接入以及相关交易处理的服务器；对系统注册的用户开放，提供收费等功能。² 自助终端：各种多媒体自助服务终端，提供多种自助服务；² 监控管理服务器：对自助终端状态监控以及系统运行状况监控，同时负责进行远程下装控制；² 安全黑盒子：负责银联支付类交易的安全加密和交易验证处理。² 防火墙：设置接入防火墙、网站防火墙、交易防火墙、接口防火墙，进行分层式的安全控制。² 无线IP池的路由器：针对无线通讯终端分配的私网IP分配接口。4、 系统软件体系三层架构图图2 系统三层构架图备注：1、用户层：医院门诊用户在使用终端系统；包括各类自助终端等接入设备。2、访问控制层：用于提供安全数据访问及操作控制，由接口服务器组成；3、接入层：负责系统的接入服务，用户的请求首先由接入层的接入服务器进行处理，然后根据医院用户的业务要求与业务逻辑服务器进行通讯，由接入服务器、网站服务器组成。4、业务逻辑层：用于部署中间件以及系统的业务逻辑组件，实现系统的各类业务请求，由交易服务器、交易黑盒子、远程管理服务器组成。5、数据层：存放医院HIS和阳光会员系统各类业务数据，即医疗业务数据库。电子业务交易系统平台（EBTP）的技术实现 spring 轻量系统框架设计采用Spring，其功能属于轻量级J2EE框架，能够对于现行的优秀技术进行完美结合和应用。整个系统的建设是基于Spring框架技术，进行构建。 数据库连接池和ORM设计框架- 能灵活的支持各种不同的主流关系数据库；- 具备完善的数据库连接保持和释放机制，开发和运行过程，无须担心数据库连接的建立和失效，以及数据库的并发访问等问题；- 能方便的实现各种事务的处理，将部分复杂的存储过程提升到应用程序层面进行处理；- 采用POJO形式进行数据库访问，能灵活的实现各种JAVA业务逻辑。 分布式多层设计框架和多线程流程处理模式系统基于分布式多层框架实现，利用RMI（或者中间件,webservice以及其它的RPC框架）技术实现系统的分布式运算。各业务功能模块能灵活的分布于局域网内不同计算机上。自动实现系统负载的均衡。对于每个功能模块，均采用可配置的多线程处理机制，根据模块和设备的配置情况，结合全异步太极图技术和任务队列缓冲技术，灵活设置处理线程的模块，既充分利用多线程处理机制并发处理的性能优势，又可以有效的遏止因并发线程无限增长引发的系统资源过度损耗于线程调度的情况。 任务对列缓冲技术应用任务队列是系统的特色所在，它分布于系统的每一个独立的功能模块当中。它的作用在于既能保存系统不能及时处理的任务，让它们不会因系统不能及时处理而丢失。同时也能够保障过多的任务请求不会对机构服务系统形成过大的压力冲击。队列缓冲技术也可以根据业务需求来使用不同的优先处理机制，有先到优先、后到优先及优先递减可选。先到优先保证客户的交易能够完善执行。后到优先保证用户的需求能够快速返回。队列内的超时清理机制，自动清理已经过期的任务，保证后续任务能尽快得到处理。 基本数据缓冲设计结构对于系统交易、业务配置等需要频繁访问而又很少变更的数据，系统通过Spring和其它的数据缓冲机制，将它们进行缓冲，定期刷新，以减少对这些数据重复访问的资源浪费。 可插件式业务流程设计（STAGE）结构对于系统的各种交易的处理流程，根据业务的需要，利用Spring框架的依赖注入的原理，灵活配置系统处理过程中各个交易的数据流向、任务处理内容、处理顺序、以及相关的差错处理过程。具有可靠易用的流程编制功能，把每个完整的操作流程封装成标准的stage，并灵活配置这些stage来进行各种系统业务的处理。 灵活方便的机构连接技术根据各种机构系统的连接协议的不同，使用不同的连接方式进行处理，有异步长连接，同步长连接和同步短连接三种基本的连接方式，而这些连接方式和具体的物理协议无关，也和具体的应用协议无关，这些物理协议和应用协议都能动态的配置到系统里面。 业务管理支撑系统EOSS的基本功能和技术实现整个系统分五部分：用户权限管理、终端监控、系统运行管理、统计报表管理、信息发布管理。后台业务管理支撑系统是操控整个系统运行的管理配置中心，是系统正常运行的监控管理平台。 用户权限管理系统用户分不同级别控制权限，同时针对不同角色可以实现不同的业务功能（1）系统用户管理 系统用户管理提供添加新用户、修改用户信息、重置密码、向用户添加角色l 超级管理员ROLE_SUPER：建立新用户、为用户分配权限l 监控用户ROLE_MONITOR：监控终端的运行情况l 监控普通用户ROLE_MONITOR_LOWER：监控终端的运行情况，只有取终端日志及取终端屏幕功能l 运行管理用户ROLE_MANAGER：配置系统运行参数、查看交易流水、报表等（2）用户角色功能为角色添加角色数据，可以实现对业务内容和网点管理范围进行控制管理。图3 用户角色管理 终端远程监控管理系统方案监控管理涉及到终端，监控接入，监控管理服务系统，管理终端，监控终端几个部分，这些部分之间的通讯基本使用异步长连接的方式进行，实现连接断线重连的功能来保证网络的畅通，它们之间的通讯协议紧凑可靠数据量小，传输迅速。基本结构如下：（1）终端远程技术实现终端的监控和管理的实现为一个单独的守护线程，此线程不仅负责把终端的当前状态发送到监控管理服务系统，同时时刻准备接收监控管理系统的控制命令，并根据接收到的控制命令进行调节自己的运行条件和运行环境，或者进行远程下载，重新启动并更新系统等。终端程序已经实现了发送当前的运行状态，进行系统的重新启动，进行远程下载，关闭计算机，重新启动程序，重新启动计算机，发送自己当前的画面，发送当前的和历史的日志信息等各种功能。如果有后续的功能需求，也能够随时进行功能的叠加。（2）后台监控管理服务系统技术实现监控管理服务的实现分为监控接入，监控管理服务处理部分和监控程序/监控终端。监控接入部分负责处理和管理所有终端的连接，当有新终端接入或者当前的终端连接断开时实时通知后面的监控程序/监控终端。由于进行了实时检查这些连接的有效性，并把这些连接状态发送到后面的监控管理服务系统部分，监控接入的处理变得轻快而有效，且资源占用率低，系统反应快。监控接入还负责转发终端上送来的状态信息，并转发监控管理服务部分发送给终端的控制数据。（3）后台终端控制的管理功能 监控系统主要功能是提供终端实时连接状态情况，实时反映终端的运行状态，如发票打印机、收据打印机、读卡器等设备状态，如有异常情况会及时地反映到监控区域，以不同颜色提示。此监控系统的使用对象主要有二部分：一是运维人员，如有异常会在最早的时间内作出及时反映，尽快帮助客户解决问题，二是使用该系统的监控管理人员，对所分配权限内终端进行监控，及时发现运行中的问题。终端控制有以下几个功能：1. 重启终端程序2. 关闭终端程序3. 重启操作系统4. 关闭操作系统5. 取终端日志文件6. 取终端屏幕文件7. 设置终端参数8. 终端管理9. 重新设置页面图4 终端网络监控（4）监控WEB界面监控部分分为监控软件和监控WEB界面可以在能够连接到后台服务器的任何PC上运行，而监控软件由于具有更多的关键功能，只能在指定权限的具体的PC上安装运行系统监控软件分为5个区域：网点终端信息区，后台服务器信息区，正常终端列表，超时终端列表和未连接终端列表，其中正常终端的显示内容可以根据网点终端信息区的选择而变化，也可选择根信息部分来显示所有的正常终端。未连接区域部分显示当前停止运行的终端，因为终端只要运行，就会有信息发送到监控来，信息为实时的信息。超时终端可能为死机的终端等，因为在预定的时间内没有信息发送到后台来。后台服务器状态为显示后台的各种子系统的当前运行状态，如果后台服务器出现各种问题，则此处会使用醒目的颜色来标志。图5 终端运行状态监控终端显示有六种颜色状态：正常（绿色）、警告（黄色）、错误（红色）、超时（粉色）、未连接（兰绿）、钱箱满（深兰色）图例：l 网点信息区网点信息区罗列出当前监控的系统中的所有终端和网点信息，这些网点终端信息被组织成树状，便于查找和选择感兴趣的网点和终端进行特别显示和监控。当每次监控软件和监控管理处理器连接后，这些信息会被即时更新，软件运行的过程中也可根据需要实时的刷新这些信息来保持和后台系统的同步。l 后台服务状态区域后台系统运行的过程中，根据预定的调节，会实时的发送一些和各机构的连接状况信息，当然也可根据需要对某些业务进行监控，这些信息会实时的发送到这个区域， 如果想要查询历史信息，只需要打开想要查询的机构图标即可。l 未连接终端在系统运行的过程中，可能由于某种原因，一些终端并没有连接到后台，或者某些终端出现了死机现象，此时这些终端会被显示到这个区域，更改网点信息区域中的网点并不会影响显示在此区域的终端。l 超时终端区域超过指定时间而没有上送状态的终端将被暂时显示到此区域。放入此区域的终端会被定时检查连接状态。更改网点信息区域中的网点并不会影响显示在此区域的终端。l 正常终端正常终端的显示区域的显示内容会根据网点信息中被选择的网点的不同而改变，当选择网点信息中的根节点时，此区域显示当前系统中所有正常运行的终端，可以选择此区域中的指定终端并进行各种控制操作，比如去日志信息等功能。（5）终端远程下载的实现终端程序由于为独立的自助服务系统，经常运行在无人值守的地方，或者运行在比较偏僻的城乡区域，这样给系统的运行和维护带来人力和物力成本的上升。当系统软件功能升级时，不再适合运维人员四处活动继续软件安装，软件的自动下装和自动运行变得日益重要。由于网络的限制，一些下装方法和下装数量以及下装速度也不得不放在考虑的重要部分。 系统运行管理系统配置主要为系统运行设置基本参数，由七部分组成：ü 系统基本配置(即系统运行状态)ü 更改所有终端的下载状态ü 银行签到ü 手工冲正ü 机构商户、终端网点配置管理ü 业务交易配置管理ü 系统运行日志管理（1）系统基本配置系统状态配置主要有系统状态的读取、系统状态更改。（2）更改所有终端的下载状态此处可控制所有终端的下装状态：全部允许、全部禁止，一次性将所有终端下装状态改变，主要用于系统升级或切换时等特殊情况。（3）银行签到为银联POS终端进行签到操作是终端进行正常交易的前提必要条件，保证使终端的MacKey 与 Pinkey 与银联同步，从而影响交易的正常进行。（4）机构商户、终端网点配置管理主要为机构和银行的接口和数据进行配置，并且实现终端和网点关系的配置，终端与某网点存在着一对多式的关联关系，并进行相关配置管理。 网点树桩数据配置后，需针对网点进行业务许可和禁止管理配置。（5）业务交易配置配置业务最小原子单元。业务码定义了系统中可运行的业务信息，业务与交易的对应关系为一对多，即一个业务可有一至多个交易，按业务码列表就可看到每一个业务码代表的明确用途及业务相关交易配置。最终实现业务配置化管理。（6）系统运行日志管理和查询管理系统具有处理情况日志记录功能、修改情况日志记录功能、日志查询和打印功能、日志备份和恢复功能。针对业务提供以下方式进行查询：ü 按终端号查询ü 按日期查询（默认为当天）ü 按交易时间段查询（默认时间段从00：00开始到系统当前时间）ü 按交易流水号查询ü 按交易类型查询（下拉选项）ü 按银行卡号查询ü 业务码查询ü 系统流水号查询ü 网点号查询ü 支付卡号查询ü 轧差日期查询ü 发票号（7） 统计报表管理统计管理由后台管理员执行，对自助服务终端进行业务统计分析管理，并提供相关统计报表。要求的报表有：总报表、分项总报表、报表查看/修改权限管理、交易报表、反销帐报表等，统计报表可根据根据条件进行查询。各自助终端厂家需要按照医院公司到要求提交统一的报表格式。 综合业务客户端系统（IBCP）的技术实现和基本功能 客户端系统结构l OSGI底层核心架构；l 设备驱动独立，保证业务层硬件无关性；l 由流程控制层统一驱动，业务逻辑脚本化、插件化，保证系统各部分的无关性和简单性；l 后台管理（参数维护、硬件检测、状态上送等）与业务逻辑分离，进一步使业务逻辑简单易维护。 客户端系统功能运营多媒体自助终端软件，具有以下基本功能：l 自动的管理功能：包括自动签到、终端自检、自动下装银联密钥、自动更新终端文件等。l 管理维护功能：提供终端上的管理界面，可供维护人员设置终端基本参数，检查目前终端硬件设备状态等。l 终端针对客户的认证功能：支持客户密码和产品密码认证、支持二代身份证认证；l 终端业务服务功能，包括：a) 业务介绍：业务介绍和自助服务终端使用指南b) 费用查询：帐单查询、清单查询、缴费充值记录查询、余额查询等c) 发票打印：一次性发票打印、补打发票d) 充值缴费：话费缴纳、话费预存、充值卡充值，支持银行卡和现金充值方式e) 业务办理：选号、医院密码修改、修改程控功能f) 客户信息查询：查询客户资料、套餐查询、业务查询等l 业务浏览功能：在多媒体终端上进行业务浏览。l 自动更新下载软件，并且是增量软件的下载模式； 系统工作方式说明 终端接入方式终端可通过两种方式接入系统：方式一 有线方式：通过医院内网（接入医院内网可使用LAN网或WI-FI）接入，通过医院的路由及银联路由通道转到阳光平台内网后，接入到自助服务系统。方式二 无线方式：通过移动、电信或联通的3G无线通讯网络接入Internet，在其上建立VPN私网，接入到自助服务系统。支付方式终端可通过阳光会员卡、银联卡、羊城通三种方式支付。方式一 会员卡支付：用户支付时，直接在终端上刷阳光会员卡进行支付。支付交易通过自助服务系统转发到阳光平台处理完成。方式二 银联卡支付：用户支付时，直接在终端上刷银联卡进行支付。支付交易通过自助服务系统向银联支付网关发起。方式三 医保卡支付：用户支付时，可选择采用医保卡支付挂号，和小额药单支付。支付交易通过脱机扣款方式完成，每日后台系统收集每台终端的批量扣款数据上传给羊城通数据中心进行支付清算。系统提供报表，手工处理完成清算工作。系统对帐方式医院自助服务系统的对帐模式是以银行数据为准，先隔日与银联获取对帐文件，在于医院HIS系统的缴费交易进行对帐，包括阳光无磁交易数据进行对帐。系统提供对帐文件和轧差报表。财务需要3日完成到帐。针对羊城通交易，因为终端为脱机交易，系统自动获得每台终端扣款数据，提供各医院小额交易对帐报表，在与羊城通完成清算确认后，由人工方式完成处理，系统只提供报表。第四章 医院自助终端系统业务功能和流程方案 业务功能规划表业务种类业务说明操作权限服务指南终端使用服务协议用户身份识别1. 医疗卡身份识别2. 医院内针疗卡身份识别3. 二代身份证识别自助挂号类1. 医疗会员挂号2. 普通挂号3. 复诊预约4. 其他预约（体检、检查等）门诊药单信息查询和打印1. 门诊药单查询2. 治疗单查询交易支付类1. 光医疗卡支付2. 银联标准银行卡支付3. 个人医保卡支付会员卡增值服务类1. 会员申请注册2. 新会员发卡凭密码操作3. 会员卡充值4. 会员业务办理5. 会员积分查询 业务功能流程说明 会员挂号（1）功能说明用户类型：具有会员卡的用户，会员卡上必须有足够的储值金。功能说明：会员在终端上登录后，选择挂号的科室、医生及挂号的日期后，进行预约挂号，挂号成功则挂号费从会员卡上直接扣除。功能要点a）在挂号成功后，由自助服务系统分配一个挂号流水号对当天的每次挂号进行区分，在挂号完成后，病人可以凭自助终端打印的挂号凭证到相应的诊室看病。b）挂号费从会员卡上扣除，自助服务系统不处理扣费交易。c）在挂号完成后会打印挂号收据。d）在自助终端上不处理普通号的处理，即挂号一定与医生姓名相关。e）在自助终端上挂号不能对诊金进行修改，另外不提供退号的功能，病人如果退号则必须通过会员平台正常的退号流程进行。（2）终端界面流程序号说明涉及的操作1会员登录病人输入会员卡帐号、密码登录；病人在终端上刷阳光会员卡登录（无需密码）；2科室选择登录成功后显示科室列表，包括：可预约和不可预约两种；3挂当日号显示当日可预约挂号的医生列表；挂当日以后的号选其他日期；4挂以后号显示以后十五日内可预约挂号的医生列表（分页显示）；5打印凭证预约挂号成功，打印挂号凭证（3）终端界面说明a）空闲等待界面自助终端设备是无人值守的，所以在没有人使用的时候可以用来显示一些医院的介绍性内容。在界面上应当包括以下的内容：l 医院的院名l 医院的电话及地址信息l 医院的介绍信息l 本自助终端的功能主按钮：阳光会员挂号、普通挂号在本界面下可以进行的操作：b) 病人点击会员挂号，系统转到会员登录界面。 会员登录界面在此界面中通过文字提示用户输入会员卡号和登录密码。该界面包含以下几点的内容：提示性文字及图片：提示用户本机挂号成功后不能取消。会员卡号输入框、密码输入框、数字输入小键盘。会员卡刷卡登录按钮。在本界面下可以进行的操作：（1） 病人可以在会员卡号输入框输入卡号，在密码输入框输入密码，登录成功转入到挂号科室选择界面。（2） 病人可以点击会员卡刷卡登录按钮，系统转入到刷会员卡提示界面。（3） 如果在一段时间内，没有任何动作，则系统返回空闲等待主界面。 刷会员卡提示界面在此界面中通过文字和刷卡动画提示用户在插卡口插入阳光会员卡。该界面包含以下几点的内容：提示性文字及刷卡动画。在本界面下可以进行的操作：（1） 病人在插卡口插入会员卡，系统自动识别会员卡后，终端吐出会员卡，系统转入到挂号科室选择界面。 科室选择界面在此界面中显示医院所有的科室信息，由病人进行选择，在此界面中包含的内容有：科室的名称（含可预约标识）。科室的名称做成按钮形式。提示性文字，告诉用户如何在本界面下进行操作。在本界面下可以完成的操作有：病人选择相应的科室后，系统向阳光平台发起查询该科室近期（最近十五天，含当天）所有出诊医生的信息，界面转到显示当天出诊医生信息的界面。当天出诊医生信息界面在此界面中显示当天该科室所有出诊医生的信息，由病人进行选择，在界面中应当包含以下的内容：在醒目位置显示该科室的名称。以列表方式显示当天该科室所有出诊医生的信息，医生的信息应当包括：医生姓名、挂号类型、最大号源数、挂号费等。挂号分上午号和下午号。分页显示按钮（如果一页显示不全）。挂以后日期号按钮。在本界面下可以进行的操作：（1） 病人选择相应的医生列表中的上午/下午单元格内的预约按钮，则系统转到显示挂号确认界面。（2） 病人选择分页显示按钮，医生列表自动翻页。（3） 病人选择“挂其他日期号”按钮，则系统转到以后日期出诊医生信息界面。 挂号确认界面在此界面中显示病人所挂号的信息确认，应当包含以下的内容：挂号的科室医生姓名挂号预约的时间挂号费在本界面下可以进行的操作：（1） 病人点击“确定”按钮，系统自动执行挂号预约登记操作，成功后转到挂号成功界面。（2） 病人点击“返回”按钮，则系统转到科室选择界面。 以后日期出诊医生信息界面在此界面中显示当天以后十五日内的该科室所有出诊医生的信息，由病人进行选择，在界面中应当包含以下的内容：在醒目位置显示该科室的名称。以列表方式显示以后该科室所有出诊医生的信息，医生的信息应当包括：医生姓名、挂号类型、最大号源数、挂号费等。每日号分上午号和下午号。分页显示按钮（如果一页显示不全）。挂今天号按钮。在本界面下可以进行的操作：（1） 病人选择相应的医生列表中的某个日期（分上午/下午）单元格中的预约按钮，则系统转到显示挂号确认界面。（2） 病人选择分页显示按钮，医生列表自动翻页。（3） 病人选择“挂今天号”按钮，则系统转到当天出诊医生信息的界面。 挂号成功界面在此界面中显示挂号成，并提示用户拿取挂号凭证，在界面中应当包含以下的内容：在醒目位置挂号成功，提示用户拿取挂号凭证。提示用户提前30分钟到挂号科室就诊。在本界面下可以进行的操作：病人选择“退出”按钮，则系统转到空闲等待界面 普通挂号（1）功能说明用户类型：无阳光会员卡的普通用户，必须有可支付的银联卡（后期可能实现现金支付）。功能说明：普通用户无需登录，但需提供挂号者姓名、年龄、性别，选择挂号的科室、医生及挂号的日期，进行预约挂号，挂号成功则挂号费从用户银联卡上直接扣除。以后如实现与医院的诊疗卡系统连接，可通过诊疗卡识别用户信息。（2）功能要点a）在挂号成功后，由自助服务系统分配一个挂号流水号对当天的每次挂号进行区分，在挂号完成后，病人可以凭自助终端打印的挂号凭证到相应的诊室看病。b）挂号费从用户银联卡上扣除，自助服务系统向银联支付平台发起扣费交易。c）在挂号完成后会打印挂号收据。d）在自助终端上不处理普通号的处理，即挂号一定与医生姓名相关。e）在自助终端上挂号不能对诊金进行修改，另外不提供退号的功能，病人如果退号则必须通过阳光平台正常的退号流程进行。（3）终端界面流程序号说明涉及的操作1科室选择登录成功后显示科室列表，包括：可预约和不可预约两种；2挂当日号显示当日可预约挂号的医生列表；挂当日以后的号选其他日期；3挂以后号显示以后十五日内可预约挂号的医生列表（分页显示）；4银联卡支付用户通过刷银联卡进行挂号费支付，需提供银联卡密码；5打印凭证预约挂号成功，打印挂号凭证 终端界面效果（1）终端主界面（2）挂号界面（3）科室界面（4）挂号成功界面（5）银行刷卡界面（6）银行卡输密码界面第五章 医院自助服务系统的整体安全方案系统层安全部署对于一个完整的可运行的应用系统来说，一般由支持这个应用系统的网络环境（包括网络设备和线路）、操作系统、应用服务程序、银行支付环节组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络结构、操作系统到应用程序设计与实现本身三个层次的实现手段。（1）操作系统层面的安全方案 由于应用系统程序通常安装在通用操作系统上，因此保证操作系统自身的安全性，是保证应用系统安全性的重要基础。我们建议在对已经投入使用的应用系统进行实施时，首先是后台的操作系统，其次是终端的操作系统，相互之间在物理上采取分段隔离式网络配置，保证只有业务数据的交互，操作系统的信息相互隔离。 *的后台系统均采用Linux系统，保证系统的安全配置；*的终端系统可以根据医院的要求部属WindowsXP，或者Liunx操作系统，本身的软件平台是跨平台，不受影响，主要部署视客户维护模式和熟悉程度而定。所提供的操作系统符合C2级以上安全标准，提供完整管理、审计、监控和故障处理功能。（2）应用系统网络结构的安全方案安全需求 使用技术 实现功能 边界安全 防火墙 通过防火墙隔离，建立 DMZ 区和内部网络，同时限制不同区域间的数据访问 系统安全 系统评估 系统加固 对 Web 服务器、数据库服务器等重要服务器进行检测，发现其中系统和配置上的弱点，通过安装补丁、修改配置等方法提高安全性应用安全 应用评估 检查应用中可能存在的安全漏洞，包括用户认证、配置文件、SQL 注入等，防止因为应用弱点导致的安全隐患 数据可用 数据备份 定期数据备份 服务可用 抗拒绝服务系统 防止攻击者从 Internet 发起攻击 数据加密 软件开发使用“通讯加密和身份认证”技术 通过通讯加密，保证数据传输安全性 通过身份认证，保证数据的保密性 客户银行密码采用符合银行PBOC技术SAM卡机制通过银联发放的PSAM卡（包含银行3DES加密密钥）在终端上键盘黑盒子上直接加密客户PIN，保证支付数据安全性；通过通讯MAC验证，并保证数据传输安全。管理安全 入侵检测系统 日志审计系统 通过入侵检测系统和日志审计系统，加强安全监控制，预先发现攻击者的行为，同时也为事后审计提供证据 1) 数据库符合C2级以上安全标准，提供完整的数据库管理、监控和故障处理功能。2) 数据库要保证数据的完整和正确；避免“死锁”、“超长事务”、“数据溢出”等异常情况对系统造成危害。3) 设定用户权限，防止非法进入，防止越权操作；具备完善的事务处理手段，保证数据操作的完整性，提供事务失败的恢复和通信失败的恢复；在传输数据时，要保证数据的一致性。4) 各种系统软件安装最新的补丁软件。5) 控制终端访问应用系统的种类、权限及时限。（3）应用软件的安全方案缴费平台属于关键的业务系统，涉及了电力系统的重要数据，同时关系到缴费等交融交易，如果在软件自身没有保护好安全性的话，其他的安全也就形同虚设。 软件的安全功能包括： 1) 用户的身份认证，对于位于 Internet 上的相关涉及数据修改的业务应用，进行用户认证，防止用户身份认证饶过的情况。 2) 加强用户授权，采用最小权限原则，限制用户登陆能进行的操作，并限制能访问的资源，防止资源泄密。 3) 加强系统日志审计，对关键操作，比如增加用户、缴费、登陆退出等数据加以记录，便于时候追查。 4) 用户输入检查，防止攻击者通过输入恶意代码实现攻击。5) 数据库防篡改，使用多层系统架构，调用相应的数据接口对数据进行间接修改，并建议对关键表关键字段设置 MAC，通过 MD5、SHA 等算法保证数据不能通过手工修改，保证安全性。6) 数据通讯加密措施l 信息传输的数据安全：客户向银联进行支付交易时关键数据采用了基于PSAM卡的加密及签名，既保证了敏感数据泄漏，又保证了交易数据（如金额、商户号等）的被篡改。 l 支付请求的数据安全：银联在线向支付网关发送支付请求的数据也进行了加密和校验。l 在终端上使用键盘黑盒子中的银联PSAM卡对输入卡号、密码等信息进行了银行加密和签名。并直接发给银联网关。l 数据加解密的安全：在服务器端安装布署了经国密办认证通过的硬件加密设备，对数据的加密、解密、数据校验、转换等功能均在硬件加密设备中完成，从系统内部保证数据的安全。l 交易数据的安全：系统采用数字签名技术将商户提交的订单数据及数字签名，支付结果及签名等各环节关键的交易数据保存在交易数据库中。（4）数据安全措施1) 磁盘镜象：服务器应具有镜象容错功能、或者采用RAID2以上的磁盘阵列。2) 数据备份：所有数据都要有可靠备份，并可联机恢复，保证被恢复的完整性和一致性。3) 加密存储：对于一些敏感的重要数据（如：用户密码、操作员密码等）必须加密存储。4) 密钥存储：关键服务器证书的私钥存储在有自毁保护措施的安全设备中。银行卡支付安全当在多媒体终端上进行银行卡的联机交费时，银行卡PIN的传输是一个极敏感的环节。从客户使用的方便性考虑，用银行卡交费时不必输副密码（为交易专门申请的密码），而是直接输该银行卡的密码（PIN）。这就要求PIN在传输过程中一定是被加密的（利用SAM卡中保存的密钥进行加密）；而根据密文PIN在后台的处理模式，可采用密文透明直接传输模式。采用这种方式的思路如下：PIN_KEY是保存在终端的SAM卡中，在终端利用PIN_KEY对PIN的加密由SAM卡完成。密文透明传输方式即是在自助终端的SAM 卡中保存银行的PIN加密密钥（PIN KEY），以及PIN加密算法，自助终端首先采用银行的PIN KEY以及加密算法，对客户PIN进行加密，密文结果上送后台，后台直接将该密文PIN，透明传输给银行后台主机，进行密码校验。密文透明传输方式的优点是：银行磁卡PIN的安全控制，完全与医院自助系统相互独立，便于系统的安全管理和维护，也确保了银行相关信息的安全性，同时也可避免持卡人副密码等业务处理方式给系统以及客户带来的不便。 医院自助服务系统的稳定性能系统整体性能1) 满足医院10年内的业务发展需求，至少支持1000台应用终端处理各种业务和统计分析的需要；2) 系统保证数据的一致性，完整性，准确性要求达到%；3) 应能够连续7×24小时不间断工作，平均无无故障时间>9000小时，出现故障能及时告警，软件系统具备自动或手动恢复措施，自动恢复时间<15分钟，手工恢复时间<12小时，在发生错误时能够快速地恢复正常运行，软件系统可防止消耗过多的系统资源而使系统崩溃；4) 系统峰值响应速度，并发实时处理用户400人；5) 终端硬件无故障时间达到5000小时，故障可恢复时间为30分钟；6) 终端内部的电子电器模块使用寿命可达5年以上。损耗件主要是打印头热敏为35公里长，超