通过制定居民健康卡应用标准，规范医疗机构居民健康卡接入终端、SAM卡、居民健康卡相关应用。实现对居民健康卡应用机构、接入终端、SAM卡和用卡情况实时监管。

通过对接各省居民健康卡注册管理平台（以下简称实体卡管）、电子健康卡管理系统（以下简称电子卡管）和医疗卫生机构，实现居民健康卡用卡数据实时采集上传。

建设居民健康卡应用中心，实现对用卡数据的高效、实时采集，并在有效采集基础上，对用卡数据进行自动汇总与分析。

通过建设国家级居民健康卡用卡监测平台，实现对接入机构、接入终端的授权与认证。实现对居民健康卡SAM卡应用情况、居民健康卡应用情况的日常监管。并对居民健康卡应用数据进行汇总分析，提供多种统计分析形式，为日常监管和领导决策提供数据支持。

各省市级卫生健康委员会通过建设居民健康卡用卡业务检测系统，实现对自己所辖范围内健康卡使用情况的监测。

联通上级用卡监测系统实现对用卡数据的报送，为上级机构监测属地健康卡使用情况提供数据支撑。

各级系统互联互通架构图见图6-10。

居民使用电子健康卡（以下简称电子卡）、居民健康卡（以下简称实体卡）的行为，往往伴随着一系列的用卡数据。

省市级卡管平台（包括实体卡管、电子卡管）通过采集居民在医疗机构的用卡数据，同时比对卡管平台数据，将获取到海量居民用卡数据。

用卡监测系统从卡管平台采集居民用卡数据，用于统计分析，产生各类数据指标，同时将此类数据进行可视化展示，并生成可供使用的数据报表。

同时省级用卡监测系统将本省（市）用卡数据上传至国家（省）用卡监测系统，为上级系统统计分析提供数据支撑。

系统总体架构见图6-11。

提供基于WEB浏览器界面的人机交互模式，提供系统之间基于WEB Service的接口服务模式，以及消息队列+ JSON消息的大批量数据交换技术，具有如下特点：

采用响应式WEB页面设计技术，使得该界面不仅可以在PC、笔记本电脑，也可以在平板电脑设备上自动调整布局，具有良好的适应性。

与省级卡管对接基于WEB Service和中间库形式实现，通过省级卡管分配服务调用权限和中间库应用权限，省级卡管可以安全调用国家系统中的各项数据注册、验证、上传服务。实现升级卡管与国家级系统中的业务联动。

业务服务层建设于通用框架层之上，通过调用通用框架层提供的开发接口，实现多种业务操作，完成实际业务工作。业务管理层还有多个业务系统，业务管理层的操作对业务接入层的工作进行交互，共同完成数据采集业务和主索引应用业务。业务管理层利用采集到的数据，对其进行清洗、转换，形成多种统计分析结果并采用可视化形式进行展示。

数据服务层采用Oracle、Hadoop存储数据，使用redis存储常用的内存缓存数据，比如各类编码信息等。数据服务层采用集群和分区技术以支持数据量的大量快速增长的需求。也保障了系统的可靠性和高性能。

数据仓库采用Hadoop生态系统进行搭建，持久化数据用Hadoop HDFS进行存储，实时处理引擎采用kafka + Spark Streaming API进行存储，查询采用Spark Streaming提供实时查询分析能力。

流数据采用Kafka进行缓存，Spark集成方案处理，进行实时计算，可以简化系统架构增强系统实时分析计算能力。

在流计算节点中进行业务规则定制和处理，实现事件投递、预警等功能。

管理或基础数据由Oracle集群进行存储，数据集市由Oracle承担。

基础设计层分为网络和服务器主机，以及中间件产品。网络依托电子政务外网和各地卫生专网，连接国家中心、各省中心以及医疗机构，同时将互联网作为备份网络在政务外网不通的情况下使用互联网，通过使用VPN，也可以连接到电子健康卡应用单位。

服务器主要包括WEB服务器、数据库服务器和应用服务器、接口服务器等，这些服务器上安装Nginx、Hadoop、Oracle、Undertow、Kafka等中间件，并连接到磁盘阵列上存储大量数据。

系统功能结构见图6-12。

数据采集模块：负责采集健康卡用卡业务数据、前置机状态数据、前置机服务水平数据。

可靠性：支持医疗机构、省市级卡管数据上传带来的高并发压力。

实时性：数据上传后能够实时将数据接入后台。

可扩展性：支持数据扩展。

安全性：数据传输加密进行，并对数据上传终端进行认证，保证传输数据的安全性。

数据分析模块：将采集到的数据进行分析统计汇总，存入分析统计数据库。

实时性：能够实时处理上传数据、并将其汇总。

数据展示模块：根据前台所需要展示内容，向服务器请求数据，并将从服务器获取的数据可视化展示到页面，同时提供大屏展示功能。

可视化：将请求数据进行可视化展示。

多样化：能够将数据进行多样化展示。

易识别：在展示数据的同时需要满足展示内容的易识别性。

系统功能大纲见表6-2。

建立用卡监测体系，各级分别建立其符合本地特色的用卡监测系统，对属地健康卡用卡情况进行统计分析，同时按照要求将用卡数据上传上级用卡监测系统，为其提供数据支撑。

系统部署结构见图6-13。

见表6-3。

该模块对接系统部署前置服务，同时提供SDK，最大程度降低对接系统的开发量。前置服务将采集数据以文件的形式先存到本地，防止因为网络故障造成数据丢失，以保证数据的完整性。

前置服务将用卡数据、前置机状态数据通过https双向认证加密通道进行传输，从而得出原始数据的散列得出其摘要信息，防止数据被篡改，见图6-14。

将采集到的海量用卡数据，按照不同维度进行统计分析汇总，将数据存入统计分析库中，为数据展示模块提供数据支持，见图6-15。

根据不同数据展示需要，从统计分析库中取出数据按不同可视化展示，以及生成各类报表，为管理部门提供数据支撑，见图6-16。

作为一个复杂的应用系统，系统的安全设计应完整地覆盖网络、硬件、系统软件、应用支撑、业务应用系统以及相关的法规、管理制度和其他软支撑环境等各个方面。

应用系统的安全性设计是系统正常使用的重要保障，防火墙、入侵检测等硬件设备或是防病毒软件等基础支撑系统只能保障系统能够运行在一个安全的可信任域之内，并保证系统的基本可持续服务，但对于从局域网发起的攻击，特别是利用应用系统的漏洞截获他人密码、越过授权访问甚至篡改信息等非法操作则无能为力，应用系统自身必须具备严格的保护机制、控制手段和事后补救措施，才能保障系统的安全。

根据信息系统的一般建设情况，开发过程中，应用层面主要需至少考虑以下几方面的安全措施：

1．使用电子认证等技术手段保证系统接入身份认证，根据要求采用双向认证或单向认证。

2．相关信息中的关键数据存储在数据库中要进行加密，如：用户密码，隐私类疾病等。

3．重要数据的传输无论通过互联网传输还是通过政务网传输都要进行加密。

4．系统要防止恶意攻击和数据泄密，严格保护居民健康隐私信息。

5．文件访问要求进行权限控制，防止恶意下载，没有权限的人不能够进行下载。

6．下载的文件不会被恶意传播。

系统必须能够保证用户身份的可靠，如能够支持电子证书+用户口令登录方式，此外还可选择各种附加验证手段，包括能够扩展支持指纹、物理设备绑定、网络地址绑定等手段进行认证。

系统的权限控制必须严密、完整，不存在逻辑上的漏洞，同时权限的划分必须详细，除可按菜单功能模块划分授权外，应可按数据内容、数据项和处理流程对权限进行划分。

对系统中管理的数据和文件，系统可通过ACL权限列表的方式，全面地管理这些资源的权限，防止通过链接、文件路径等方式绕过权限管理体系，恶意下载或窃取文件。

系统中用户密码等与业务无关的关键数据应以加密的方式存储，针对特别重要的数据，其加密过程应为不可逆的，即程序在判断用户输入的密码是否正确时，只能通过加密用户输入密码判断与存储的加密信息是否一致，而不能通过反解口令明文的方式进行验证。

在数据传输过程中，应通过加密措施确保信息不被非法窃听，并通过数字文摘或其他校验手段保障数据在传输过程中没有被非法篡改。数据传输可根据数据密级要求使用不同的加密手段，采用非对称加密方式保护数据传输安全。

系统应全面、完整地记录用户的各种操作，包括登入、注销、对数据的修改、成功和失败的各项操作等，审计日志不仅仅用于发生安全事故后的过程追查、责任认定或作为恢复数据的依据，通过审计日志中的异常信息也可以提前发现一些可能即将绕过其他安全检查进行非法操作的行为。

对于系统的源代码，应当由经验丰富的开发人员进行白盒的安全性检查，检查代码中是否存在缓冲溢出，或对数据合法性判断不够完整等安全性隐患，是否能防止恶意攻击，如常见的SQL注入，拒绝服务或其他类型的攻击和窃取数据行为。