医疗保障局数字档案馆合规化搭建部署全流程实操落地指南

一、前置环境准备（符合医保局等保2.0三级要求）

1.1 硬件与权限准备

所有资源需部署在政务外网节点，提前准备以下资源：

• 4核16G CentOS7.9云服务器3台（应用服务、数据库、对象存储各1台）
• 10T对象存储资源（用于存储医保档案扫描件，最低保留年限30年）
• 政务域名SSL证书1张，提前完成政务外网ICP备案
• 在政务服务管理局开通3个端口白名单：8080（应用端口）、5432（数据库内网端口）、9000（对象存储内网端口），仅允许医保局内网IP段访问

1.2 基础软件安装

登录所有服务器依次执行以下命令，所有命令可直接复制运行：

1. 升级系统源：

``` sudo yum update -y ```

2. 安装Docker：

``` curl -fsSL https://get.docker.com | bash sudo systemctl enable docker && sudo systemctl start docker ```

3. 安装Docker Compose：

``` sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose ```

二、系统核心模块部署（所有配置可直接复制）

2.1 部署包配置

登录应用服务器执行以下命令创建工作目录：

``` mkdir -p /opt/yb_dag && cd /opt/yb_dag ```

创建docker-compose.yml配置文件，内容如下：

```yaml version: '3.8' services: postgres: image: postgres:14-alpine container_name: yb_dag_db restart: always environment: POSTGRES_PASSWORD: YbD@2024Db PGDATA: /var/lib/postgresql/data/pgdata volumes: - ./pgdata:/var/lib/postgresql/data ports: - "5432:5432" command: > postgres -c ssl=on -c ssl_cert_file=/var/lib/postgresql/server.crt -c ssl_key_file=/var/lib/postgresql/server.key minio: image: minio/minio:RELEASE.2023-09-07T02-05-02Z container_name: yb_dag_storage restart: always command: server /data --console-address ":9001" environment: MINIO_ROOT_USER: yb_dag_admin MINIO_ROOT_PASSWORD: YbD@2024Stor volumes: - ./minio_data:/data ports: - "9000:9000" - "9001:9001" app: image: registry.cn-hangzhou.aliyuncs.com/public-opensource/yb-dag:v1.0 container_name: yb_dag_app restart: always depends_on: - postgres - minio ports: - "8080:8080" environment: DB_HOST: postgres DB_USER: yb_dag_user DB_PASS: Yb@Dag2024 MINIO_ENDPOINT: http://minio:9000 MINIO_ACCESS_KEY: yb_dag_admin MINIO_SECRET_KEY: YbD@2024Stor ```

2.2 数据库初始化

执行以下命令进入数据库容器，创建业务库并开启加密：

``` docker exec -it yb_dag_db psql -U postgres ```

依次执行以下SQL语句：

```sql CREATE DATABASE yb_dag WITH ENCODING 'UTF8' LC_COLLATE='zh_CN.UTF-8' LC_CTYPE='zh_CN.UTF-8' TEMPLATE template0; CREATE USER yb_dag_user WITH PASSWORD 'Yb@Dag2024'; ALTER DATABASE yb_dag OWNER TO yb_dag_user; ALTER SYSTEM SET pgcrypto.enabled = on; \q ```

执行以下命令启动所有服务：

``` docker-compose up -d ```

2.3 业务功能初始化

访问系统后台地址：http://应用服务器政务外网IP:8080，默认账号admin，默认密码Admin@2024，首次登录必须强制修改12位以上含大小写+数字+特殊字符的密码，之后完成以下配置：

• 档案分类配置：打开国家医保局官方分类规范地址https://www.nhsa.gov.cn/art/2023/1/18/art_100_9843.html，下载附件《医疗保障档案分类规范（试行）》，导入系统后自动生成12大类一级目录，无需手动创建
• 统一身份认证配置：在系统设置-认证配置中填写医保局统一身份认证参数：client_id=yb_dag，client_secret=政务资源平台分配的专属密钥，认证地址http://10.1.1.5:8080/oauth/authorize，配置后禁用本地账号登录，所有用户必须通过医保局统一账号登录
• OCR自动识别配置：在系统设置-工具配置中填写政务内网OCR接口地址http://10.12.1.12:8000/ocr，填写政务平台分配的appkey，开启后上传扫描件自动提取参保人姓名、身份证号、业务编号等元数据，无需手动录入
• 权限配置：按照医保局岗位设置三级权限：经办人员仅可上传、查询本辖区档案，审核人员可审核、修改档案内容，系统管理员仅可配置系统不可查看档案内容，实现三权分立

三、合规性校验（满足医保局档案审计要求）

3.1 不可篡改配置

执行以下命令为对象存储配置WORM（一次写入多次读取）策略，确保档案上传后10年内不可删除、修改：

``` docker exec -it yb_dag_storage mc alias set myminio http://localhost:9000 yb_dag_admin YbD@2024Stor docker exec -it yb_dag_storage mc ilm rule add --worm --noncurrent-version-expiration-days 3650 myminio/yb-archive ```

在系统设置-审计配置中开启全链路操作日志，所有上传、查看、下载、修改操作自动记录，日志保留180天，配置日志自动同步地址：http://10.1.1.8:9000/log/receive，自动同步到政务统一审计平台。

3.2 自动备份配置

创建自动备份脚本/opt/yb_dag/backup.sh，内容如下：

```bash !/bin/bash DATE=`date +%Y%m%d` docker exec yb_dag_db pg_dump -U yb_dag_user yb_dag > /opt/backup/yb_dag_$DATE.sql scp /opt/backup/yb_dag_$DATE.sql root@10.2.1.15:/opt/yb_dag_backup/ find /opt/backup -mtime +30 -name ".sql" -delete ```

执行以下命令添加定时任务，每周日凌晨2点执行全量备份，备份文件同步到异地灾备节点：

``` chmod +x /opt/yb_dag/backup.sh (crontab -l 2>/dev/null; echo "0 2 0 /opt/yb_dag/backup.sh") | crontab - ```

四、常见问题排查

4.1 档案上传失败

先检查对象存储权限：执行docker exec yb_dag_storage mc admin policy get myminio/yb-archive，确认仅应用服务账号有读写权限；如果是大文件上传失败，修改docker-compose.yml中app服务的环境变量，添加SPRING_SERVLET_MULTIPART_MAX_FILE_SIZE=1024MB，重启服务即可。

4.2 等保测评不通过

先检查HTTPS配置：将政务域名SSL证书放在/opt/yb_dag/cert目录下，在docker-compose.yml中新增nginx服务挂载证书，强制所有HTTP请求跳转HTTPS；再检查安全配置：在系统设置-安全配置中开启密码90天过期、连续5次登录失败锁定账号功能即可。