信息安全管理系統(tǒng)建設(shè)實(shí)施方案

1、WORD 資料 .可編輯XXX有限公司信息安全管理系統(tǒng)建設(shè)方案天津市國(guó)瑞數(shù)碼安全系統(tǒng)有限公司二一三年八月專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯目錄1項(xiàng)目背景和必要性 .32系統(tǒng)現(xiàn)狀和需求分析 . . 53建設(shè)方案 .63.1建設(shè)原則 .63.2系統(tǒng)設(shè)計(jì) .83.2.1系統(tǒng)總體邏輯架構(gòu) .83.2.2IDC 信息安全管理系統(tǒng)架構(gòu) .113.2.3系統(tǒng)部署及網(wǎng)絡(luò)拓?fù)?.12總體網(wǎng)絡(luò)部署 .12系統(tǒng)管理端部署 .13執(zhí)行單元（ EU）部署 .153.2.4項(xiàng)目實(shí)施所需資源 .錯(cuò)誤！未定義書簽。3.3建設(shè)內(nèi)容 .163.3.1ICP/IP 地址備案管理系統(tǒng) .16待辦事宜 .16ICP 備案管

2、理 .16IP 備案管理 .18未備案網(wǎng)站管理 .19黑名單管理 .19數(shù)據(jù)導(dǎo)入導(dǎo)出 .19用戶授權(quán)管理 .19系統(tǒng)管理 .203.3.2IDC 信息安全管理系統(tǒng) .20基礎(chǔ)數(shù)據(jù)上報(bào) .20基礎(chǔ)數(shù)據(jù)監(jiān)測(cè) .20訪問(wèn)日志管理 .21違規(guī)網(wǎng)站管理 .21信息監(jiān)測(cè)發(fā)現(xiàn) .21綜合管控管理 .22管局指令管理 .22統(tǒng)計(jì)查詢管理 .23用戶授權(quán)管理 .230系統(tǒng)管理 .233.3.3接入資源管理系統(tǒng) .23物理資源管理 .23邏輯資源管理 .24客戶信息管理 .24資源間的關(guān)聯(lián) .24資源信息統(tǒng)計(jì) .25日志管理 .25用戶授權(quán)管理 .26專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯系統(tǒng)管理 .26

3、3.4與省管局備案系統(tǒng)的集成方案. .263.5與 SMMS系統(tǒng)的對(duì)接方案 .263.6與電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的對(duì)接方案.273.7安全可靠性設(shè)計(jì) .273.7.1系統(tǒng)安全概述 .27系統(tǒng)安全概述 .27安全設(shè)計(jì)目標(biāo) .283.7.2系統(tǒng)安全體系架構(gòu) .293.7.3安全防護(hù) .29物理安全 .29網(wǎng)絡(luò)安全 .30操作系統(tǒng)安全 .32用戶認(rèn)證與授權(quán) .32通信安全 .32數(shù)據(jù)存儲(chǔ)安全 .33可審計(jì)性 .33設(shè)備冗余 .33災(zāi)難備份 .343.7.4安全管理 .344預(yù)期工期.375軟硬件清單 .錯(cuò)誤！未定義書簽。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯項(xiàng)目背景和必要性近年來(lái)，國(guó)家不斷

4、加大對(duì)互聯(lián)網(wǎng)的監(jiān)管和治理工作。中央針對(duì)加強(qiáng)互聯(lián)網(wǎng)管理工作，先后下發(fā)了中辦發(fā) 200432 號(hào)、中辦發(fā)201024 號(hào)，中發(fā)2011號(hào)、工信部電管 2009 672 號(hào)、工信部電管 2009188 號(hào)、工信部通保 2011280 號(hào)等，明確職責(zé)分工、強(qiáng)化互聯(lián)網(wǎng)管理要求。2011 年，中央在關(guān)于加強(qiáng)和創(chuàng)新社會(huì)管理的意見（中發(fā)201111 號(hào)）中明確要求加強(qiáng)網(wǎng)絡(luò)技術(shù)手段和管理力量建設(shè)，完善網(wǎng)上有害信息的監(jiān)測(cè)和查處機(jī)制，提高發(fā)現(xiàn)和處置能力。2012 年 11 月，工信部發(fā)布了關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務(wù)和因特網(wǎng)接入服務(wù)（ISP）業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的實(shí)施方案（工信部電管函2012552 號(hào)，

5、以下簡(jiǎn)稱實(shí)施方案 ）。實(shí)施方案 要求：“申請(qǐng) IDC 和 ISP業(yè)務(wù)的企業(yè)，應(yīng)建設(shè)獨(dú)立并具有以下功能的IDC 和 ISP 企業(yè)資源和業(yè)務(wù)管理系統(tǒng)：建設(shè)企業(yè)端互聯(lián)網(wǎng)網(wǎng)站備案管理系統(tǒng)，記錄并及時(shí)變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等，并實(shí)現(xiàn)與部、省網(wǎng)站備案管理系統(tǒng)的連接。建設(shè)企業(yè)接入資源管理平臺(tái)，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源異常使用實(shí)行日常發(fā)現(xiàn)、分析和處置，并實(shí)現(xiàn)與部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的連接。按照互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)技術(shù)要求和互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)接口規(guī)范等標(biāo)準(zhǔn)要專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯

6、求，建設(shè) IDC 和 ISP 信息安全技術(shù)管理手段，具備基礎(chǔ)數(shù)據(jù)管理、訪問(wèn)日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力?！弊鳛樯暾?qǐng) IDC 業(yè)務(wù)許可的企業(yè)，須落實(shí)國(guó)家關(guān)于互聯(lián)網(wǎng)管理的有關(guān)要求，對(duì)企業(yè)網(wǎng)絡(luò)信息安全保障依法實(shí)施監(jiān)督管理，盡快建立相關(guān)系統(tǒng)，維護(hù)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯系統(tǒng)現(xiàn)狀和需求分析目前， xxxxxx 主要提供互聯(lián)網(wǎng)云平臺(tái)服務(wù)，尚沒(méi)有建設(shè)實(shí)施方案中要求的 3 套業(yè)務(wù)管理系統(tǒng)。擁有 IDC 機(jī)房有 5 個(gè) ，現(xiàn)狀如下：石家莊聯(lián)通信息中心機(jī)房：機(jī)房出入口總帶寬是為1G。溫州電信十分局機(jī)房：機(jī)房出入口總帶寬是為 1G。北京 APNIC兆維

7、機(jī)房：機(jī)房出入口總帶寬是為 1G。成都電信西信機(jī)房：機(jī)房出入口總帶寬是為 1G。廣州電信七星崗機(jī)房：機(jī)房出入口總帶寬是為 1G。根據(jù)建設(shè)需求，本期項(xiàng)目需要建設(shè)實(shí)施方案中要求的3 套業(yè)務(wù)管理系統(tǒng)，并全覆蓋技術(shù)管控IDC 機(jī)房的 2G帶寬。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯建設(shè)方案3.1 建設(shè)原則根據(jù)國(guó)家相關(guān)規(guī)范和項(xiàng)目建設(shè)需求，在本項(xiàng)目建設(shè)中，遵循如下建設(shè)原則：利舊性本項(xiàng)目建設(shè)充分考慮了對(duì)現(xiàn)有應(yīng)用系統(tǒng)的影響，通過(guò)模塊化設(shè)計(jì)，內(nèi)部功能高度集中，外部各模塊低關(guān)聯(lián)，保證現(xiàn)有應(yīng)用系統(tǒng)改動(dòng)最小，并最大程度的利用已有系統(tǒng)。先進(jìn)性本項(xiàng)目建設(shè)中充分考慮實(shí)用和技術(shù)發(fā)展的趨勢(shì)，平臺(tái)服務(wù)器采用LINUX 操

8、作系統(tǒng)，平臺(tái)服務(wù)器上的軟件采用JAVA技術(shù)開發(fā)，整體開發(fā)架構(gòu)合理先進(jìn)，即保證了前端管理方便快速的需求，又能夠使后臺(tái)服務(wù)更穩(wěn)定、具有更高的性能。系統(tǒng)建設(shè)選擇的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫(kù)、操作系統(tǒng)以及Web 應(yīng)用服務(wù)器都采用目前業(yè)界主流的產(chǎn)品和技術(shù)。開放性本項(xiàng)目的開放性表現(xiàn)在互操作能力方面，項(xiàng)目建設(shè)應(yīng)支持相關(guān)的國(guó)家和國(guó)際標(biāo)準(zhǔn)，支持多種平臺(tái)和應(yīng)用。安全可靠性本項(xiàng)目系統(tǒng)對(duì)系統(tǒng)的安全性、可靠性具有很高的要求。系統(tǒng)數(shù)據(jù)庫(kù)中的敏專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯感信息，網(wǎng)絡(luò)中傳輸?shù)膫浒感畔ⅰ⒕W(wǎng)站信息等數(shù)據(jù)，均需要進(jìn)行安全保護(hù)。系統(tǒng)的設(shè)計(jì)開發(fā)充分利用認(rèn)證技術(shù)、加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行防護(hù)，并使用訪問(wèn)控

9、制手段對(duì)外部訪問(wèn)進(jìn)行限制，最大程度上確保系統(tǒng)的安全性。同時(shí)，系統(tǒng)必須要建立完善的數(shù)據(jù)備份、系統(tǒng)備案與恢復(fù)機(jī)制，保證整個(gè)系統(tǒng)可用性和可靠性。標(biāo)準(zhǔn)化系統(tǒng)的運(yùn)行支持標(biāo)準(zhǔn)的操作系統(tǒng)和服務(wù)器硬件環(huán)境，系統(tǒng)支持標(biāo)準(zhǔn)的密碼算法、認(rèn)證算法和數(shù)據(jù)壓縮算法，支持標(biāo)準(zhǔn)的XML文件格式定義。本項(xiàng)目整體 JAVA語(yǔ)言開發(fā)，通信協(xié)議采用標(biāo)準(zhǔn)的TCP/IP?？蓴U(kuò)展性考慮到系統(tǒng)將來(lái)的變化，系統(tǒng)應(yīng)具有良好的擴(kuò)展性。第一，在體系結(jié)構(gòu)上應(yīng)具有可伸縮性，以適應(yīng)擴(kuò)大業(yè)務(wù)范圍和增加多種應(yīng)用的需要，特別是系統(tǒng)硬件和軟件應(yīng)采用模塊化的可擴(kuò)展結(jié)構(gòu)。第二，模塊之間和本系統(tǒng)與外部系統(tǒng)之間通過(guò)標(biāo)準(zhǔn)接口交互。本項(xiàng)目系統(tǒng)的設(shè)計(jì)，關(guān)鍵服務(wù)如Web 服務(wù)、

10、數(shù)據(jù)庫(kù)服務(wù)等，均可實(shí)現(xiàn)在線增加服務(wù)器，以提供更大的服務(wù)能力；系統(tǒng)提供的數(shù)據(jù)壓縮、數(shù)據(jù)加密和消息認(rèn)證等算法均可進(jìn)行擴(kuò)展，以增加更好的算法支持；系統(tǒng)定義的數(shù)據(jù)傳輸格式，使用 XML文件，可以方便進(jìn)行業(yè)務(wù)增減而無(wú)須改變通信程序。兼容性本系統(tǒng)必須兼容現(xiàn)有系統(tǒng)原有的必備功能及業(yè)務(wù)數(shù)據(jù)，并制定有效的系統(tǒng)整合策略。易操作性系統(tǒng)必須堅(jiān)持易操作性原則，簡(jiǎn)單、易用，高效、快捷，用戶不需要了解專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯其中的具體技術(shù)細(xì)節(jié)，通過(guò)系統(tǒng)提供的WEB管理界面就能實(shí)現(xiàn)其管理功能?？删S護(hù)性系統(tǒng)應(yīng)具備良好的可維護(hù)性。系統(tǒng)的軟、硬件系統(tǒng)都具有良好的模塊化結(jié)構(gòu)，保證系統(tǒng)設(shè)計(jì)的合理性，配置相關(guān)的管理

11、手段。合法性選用的產(chǎn)品符合國(guó)家的相關(guān)法律、法規(guī)。3.2 系統(tǒng)設(shè)計(jì)3.2.1 系統(tǒng)總體邏輯架構(gòu)整個(gè)系統(tǒng)建設(shè)從邏輯功能上來(lái)講，自上而下劃分為四個(gè)層次：展現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)層、接口層等構(gòu)成，其邏輯結(jié)構(gòu)如下圖所示。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯圖： xxxxx 互聯(lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)的邏輯結(jié)構(gòu)如上圖所示，系統(tǒng)由展現(xiàn)層、服務(wù)層、數(shù)據(jù)層、接口層等構(gòu)成。展現(xiàn)層展現(xiàn)層是用戶進(jìn)行策略配置、結(jié)果查詢、數(shù)據(jù)報(bào)備、安全管控、數(shù)據(jù)統(tǒng)計(jì)分析和導(dǎo)出等操作的管理維護(hù)界面。系統(tǒng)用戶都通過(guò)展現(xiàn)層進(jìn)行業(yè)務(wù)操作。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯業(yè)務(wù)層業(yè)務(wù)層為展現(xiàn)層提供網(wǎng)站備案管理、接入資源管理、 信息

12、安全管理等的業(yè)務(wù)集合。業(yè)務(wù)層是連接展現(xiàn)層和數(shù)據(jù)層的紐帶，通過(guò)業(yè)務(wù)層實(shí)現(xiàn)策略的下發(fā)、 報(bào)備和發(fā)現(xiàn)的基礎(chǔ)資源信息入庫(kù)、 綜合管控信息入庫(kù)、同步的數(shù)據(jù)入庫(kù)等。數(shù)據(jù)層數(shù)據(jù)層主要功能用來(lái)保存系統(tǒng)中的相關(guān)數(shù)據(jù)，具體包括：接入商數(shù)據(jù)機(jī)房、服務(wù)器、互聯(lián)網(wǎng)出入口等資源數(shù)據(jù)ICP 數(shù)據(jù)IP 數(shù)據(jù)基礎(chǔ)資源監(jiān)測(cè)數(shù)據(jù)信息監(jiān)測(cè)數(shù)據(jù)訪問(wèn)日志數(shù)據(jù)管控?cái)?shù)據(jù)用戶信息數(shù)據(jù)用戶權(quán)限數(shù)據(jù)管理策略數(shù)據(jù)系統(tǒng)配置數(shù)據(jù)接口層接口層主要功能是實(shí)現(xiàn)與外部系統(tǒng)的接口。具體包括：與省管局安全監(jiān)管中心（SMMS）的接口專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯與省管局 ICP/IP 地址備案管理系統(tǒng)的接口與工信部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的接口與平臺(tái)

13、用戶的接口根據(jù)系統(tǒng)的不同類型集成的方式可能不同，接口的表現(xiàn)形式也不一樣，這里的接口只是邏輯上的接口。 例如，與平臺(tái)用戶的接口僅僅是用戶與系統(tǒng)的人機(jī)界面接口，而不需要有單獨(dú)的接口。3.2.2 IDC 信息安全管理系統(tǒng)架構(gòu)IDC 信息安全管理系統(tǒng)（ Information Security Management System，簡(jiǎn)稱ISMS）包括控制單元（ Control Unit，簡(jiǎn)稱 CU）和執(zhí)行單元（ Execution Unit，簡(jiǎn)稱 EU）兩個(gè)部分。CU負(fù)責(zé)與監(jiān)管機(jī)構(gòu)建設(shè)的安全監(jiān)管系統(tǒng)（SMMS）進(jìn)行通信，接收來(lái)自SMMS的管理指令，并根據(jù)要求向 SMMS上報(bào)數(shù)據(jù)，同時(shí) CU將管理指令分發(fā)

14、給EU執(zhí)行，并接收 EU對(duì)指令的執(zhí)行結(jié)果和日志記錄， 實(shí)現(xiàn)對(duì)本單位各執(zhí)行點(diǎn)的EU進(jìn)行集中管理，完成管理指令的調(diào)度、轉(zhuǎn)發(fā)和執(zhí)行及數(shù)據(jù)的匯總、分析和預(yù)警。EU 捕獲網(wǎng)絡(luò)數(shù)據(jù)，識(shí)別數(shù)據(jù)包采用的網(wǎng)絡(luò)協(xié)議，對(duì)所監(jiān)測(cè)線路主機(jī)的應(yīng)用服務(wù)、網(wǎng)絡(luò)代理服務(wù)、網(wǎng)站域名、用戶上網(wǎng)信息等進(jìn)行發(fā)現(xiàn)并及時(shí)上報(bào)CU，并響應(yīng) CU的指令，協(xié)議阻斷違規(guī)網(wǎng)站/ 網(wǎng)頁(yè)，使網(wǎng)站喪失服務(wù)功能。ISMS的控制單元與執(zhí)行單元之間、以及ISMS與 SMMS之間的關(guān)系如下圖所示：專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯IDC/ISP 經(jīng)營(yíng)者控制單元（CU）請(qǐng)結(jié)請(qǐng)結(jié)求果求果信息安全管理接口.(ISMI)執(zhí)行單元.執(zhí)行單元（EU ）.（EU）

15、信息安全管理系統(tǒng)ISMS ）電信管理部門安全監(jiān)管系統(tǒng)SMMS ）圖 ISMS 與 SMMS之間的關(guān)系3.2.3 系統(tǒng)部署及網(wǎng)絡(luò)拓?fù)淇傮w網(wǎng)絡(luò)部署本項(xiàng)目系統(tǒng)的部署包括兩個(gè)部分：一是部署系統(tǒng)管理端（包括ICP/IP 備案管理、控制單元（ CU）和接入資源管理）相關(guān)配套設(shè)備，二是在IDC 機(jī)房部署執(zhí)行單元（ EU）配套設(shè)備。系統(tǒng)管理端和EU通過(guò)內(nèi)網(wǎng)加密通信。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯系統(tǒng)管理端部署圖：系統(tǒng)管理端部署網(wǎng)絡(luò)拓?fù)鋱D項(xiàng)目系統(tǒng)管理端 （包括 ICP/IP 備案管理、控制單元 （CU）和接入資源管理）的配套設(shè)備包括：信息填報(bào)服務(wù)器（可選）、分析處理/ 接口服務(wù)器、管理服務(wù)器、數(shù)

16、據(jù)庫(kù)服務(wù)器、磁盤陣列、交換機(jī)、防火墻等。根據(jù)保護(hù)對(duì)象、防護(hù)措施、安全策略以及網(wǎng)絡(luò)應(yīng)用需求等方面存在的差異，系統(tǒng)部署包括三個(gè)安全區(qū)：外網(wǎng)DMZ區(qū)、內(nèi)網(wǎng)業(yè)務(wù)區(qū)、內(nèi)網(wǎng)數(shù)據(jù)區(qū)。為了保證系統(tǒng)的安全和高效的數(shù)據(jù)傳輸效率，三個(gè)區(qū)的服務(wù)器均通過(guò)VLAN或防火墻進(jìn)行邏輯隔離。只有外網(wǎng)DMZ區(qū)允許來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)交互，其他兩個(gè)區(qū)不允許從互聯(lián)網(wǎng)進(jìn)行訪問(wèn)，且只允許外網(wǎng)DMZ區(qū)內(nèi)的相關(guān)服務(wù)來(lái)讀取數(shù)據(jù)。不同安全區(qū)的用戶 / 服務(wù)器用戶進(jìn)行通信都要嚴(yán)格限制訪問(wèn)的類型、端口、IP 地址。系統(tǒng)通過(guò)互聯(lián)網(wǎng)與通信管理局側(cè)SMMS系統(tǒng)進(jìn)行連接，通過(guò)內(nèi)網(wǎng)與EU（ IDC 管控設(shè)備）進(jìn)行連接。專業(yè)技術(shù) . 整理分享WORD 資料 .可編

17、輯外網(wǎng) DMZ區(qū)外網(wǎng) DMZ區(qū)的主要功能是向省管局側(cè)系統(tǒng)上報(bào)的數(shù)據(jù)，并提供數(shù)據(jù)采集和分析處理服務(wù)。外網(wǎng) DMZ區(qū)包括：信息填報(bào)服務(wù)器（可選） 、分析處理 / 接口服務(wù)器 1 臺(tái)。分析處理 / 接口服務(wù)器上主要部署與外部系統(tǒng)通信的接入服務(wù)和數(shù)據(jù)采集/預(yù)處理服務(wù)。信息填報(bào)服務(wù)器是可選服務(wù)器， 主要提供 ICP 備案數(shù)據(jù)及基礎(chǔ)數(shù)據(jù)填報(bào)服務(wù)，滿足網(wǎng)站主辦者自行報(bào)備網(wǎng)站備案信息的需要和IDC/ISP 互聯(lián)網(wǎng)填報(bào)基礎(chǔ)數(shù)據(jù)的需要，用戶可根據(jù)需要選擇配備。內(nèi)網(wǎng)業(yè)務(wù)區(qū)內(nèi)網(wǎng)業(yè)務(wù)區(qū)的主要功能是系統(tǒng)臺(tái)提供用戶管理、授權(quán)管理、應(yīng)用服務(wù)、審計(jì)等基礎(chǔ)業(yè)務(wù)的支撐和服務(wù)。內(nèi)網(wǎng)業(yè)務(wù)區(qū)包括：管理服務(wù)器1 臺(tái)。管理服務(wù)器上主要部署I

18、CP/IP 備案管理系統(tǒng)的Web應(yīng)用服務(wù)、接入資源管理系統(tǒng)的 Web應(yīng)用服務(wù)和 IDC 信息安全管理系統(tǒng)的Web應(yīng)用服務(wù)。內(nèi)網(wǎng)數(shù)據(jù)區(qū)內(nèi)網(wǎng)數(shù)據(jù)區(qū)的主要功能是匯集系統(tǒng)全部數(shù)據(jù)和文件，進(jìn)行分析處理、存儲(chǔ)，并提供數(shù)據(jù)支撐服務(wù)。內(nèi)網(wǎng)數(shù)據(jù)區(qū)包括：數(shù)據(jù)庫(kù)服務(wù)器1 臺(tái)、磁盤陣列 1 臺(tái)。數(shù)據(jù)庫(kù)服務(wù)器及磁盤陣列采用Raid 技術(shù)，充分保證數(shù)據(jù)存儲(chǔ)的安全可靠。數(shù)據(jù)庫(kù)服務(wù)器上主要部署ICP/IP備案管理系統(tǒng)的數(shù)據(jù)庫(kù)、接入資源管理系統(tǒng)的數(shù)據(jù)庫(kù)和 IDC 信息安全管理系統(tǒng)的數(shù)據(jù)庫(kù)。注：本案中的防火墻需要做NAT，使外網(wǎng) DMZ交換機(jī)上連接的 2 臺(tái)服務(wù)器能專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯夠連接互聯(lián)網(wǎng)。執(zhí)行

19、單元（ EU）部署執(zhí)行單元（ EU）配套設(shè)備包括：5 臺(tái)探針執(zhí)行單元的部署方式為：在機(jī)房出入口，對(duì)IDC 機(jī)房核心交換 / 核心路由器的上聯(lián)鏈路進(jìn)行雙向流量分光，然后通過(guò)端口鏡像的方式流量分入探針（EU）。探針（ EU）監(jiān)控網(wǎng)絡(luò)流量，實(shí)時(shí)監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)信息并將發(fā)現(xiàn)的有關(guān)信息通過(guò)互聯(lián)網(wǎng)加密上報(bào)到控制單元（CU），控制單元（ CU）匯集各機(jī)房上報(bào)的網(wǎng)絡(luò)信息并進(jìn)行統(tǒng)一管理。實(shí)時(shí)監(jiān)測(cè)用戶的訪問(wèn)請(qǐng)求，記錄訪問(wèn)日志，并依據(jù)當(dāng)前的策略協(xié)議阻斷違規(guī)網(wǎng)站/ 網(wǎng)頁(yè)，使其喪失服務(wù)功能。圖 執(zhí)行單元 EU部署網(wǎng)絡(luò)拓?fù)鋱D專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯3.3 建設(shè)內(nèi)容根據(jù)需求分析，為達(dá)到相關(guān)管理部門的管

20、理要求， 本期項(xiàng)目的建設(shè)內(nèi)容如下：在業(yè)務(wù)系統(tǒng)方面， 新建 ICP/IP 地址備案管理系統(tǒng)， 記錄并及時(shí)變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等。新建 IDC 信息安全管理系統(tǒng)（ISMS），覆蓋監(jiān)管 xxxxx 上海 IDC 機(jī)房共 20G帶寬，具備基礎(chǔ)數(shù)據(jù)管理、訪問(wèn)日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力；新建接入資源管理系統(tǒng)，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源異常使用實(shí)行日常發(fā)現(xiàn)、分析和處置。在系統(tǒng)集成方面，實(shí)現(xiàn) ICP/IP 地址備案管理系統(tǒng)與部省網(wǎng)站備案管理系統(tǒng)的連接；實(shí)現(xiàn)接入資源管理系統(tǒng)與部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的連接；實(shí)現(xiàn) IDC 信息安全管理系

21、統(tǒng)與通信管理局SMMS的對(duì)接。在相應(yīng)配套設(shè)施方面， 建設(shè)防火墻、管理服務(wù)器、分析處理 / 接口服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、磁盤陣列、交換機(jī)、 EU探針等硬件設(shè)備。3.3.1 ICP/IP地址備案管理系統(tǒng)待辦事宜對(duì)登錄系統(tǒng)的當(dāng)前賬號(hào)，顯示其待辦的相關(guān)事項(xiàng)在首頁(yè)。ICP 備案管理為接入服務(wù)提供者ICP 報(bào)備單位提供 ICP 備案的錄入、核實(shí)、審批、變更、注銷、退回處理、黑名單、未備案網(wǎng)站、核查結(jié)果、查詢、統(tǒng)計(jì)等管理功能。為接入商提供接入的用戶， 即網(wǎng)站主辦者， 提供 ICP 備案的自行錄入、 注銷、進(jìn)度查詢、個(gè)人信息維護(hù)等管理功能，幫助網(wǎng)站主辦者在企業(yè)系統(tǒng)完成備案。專業(yè)技術(shù) . 整理分享WORD 資料

22、.可編輯支持接入商內(nèi)部多級(jí)報(bào)備管理，實(shí)現(xiàn)ICP 報(bào)備實(shí)時(shí)動(dòng)態(tài)更新，確保ICP 報(bào)備信息的準(zhǔn)確性。.1主體備案管理主體信息的備案信息添加、修改、刪除的管理。.2網(wǎng)站備案管理網(wǎng)站信息的備案信息添加、修改、刪除的管理。.3接入備案管理接入信息的備案信息添加、修改、刪除的管理。.4退回處理管理對(duì)于審核不通過(guò)的信息進(jìn)行便捷的再處理提交的數(shù)據(jù)管理功能。.5備案內(nèi)審管理對(duì)于 ICP 信息的層級(jí)審核，內(nèi)部回退，審批的管理功能。.6公共備案查詢可在系統(tǒng)內(nèi)部對(duì)公共查詢進(jìn)行集中調(diào)用，可進(jìn)行批量查詢功能。.7備案數(shù)據(jù)分配對(duì)于現(xiàn)有存量數(shù)據(jù)，可進(jìn)行對(duì)已建賬號(hào)的綁定，分配。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯.8

23、備案數(shù)據(jù)回收對(duì)于由于操作失誤導(dǎo)致的錯(cuò)誤數(shù)據(jù)分配功能，進(jìn)行數(shù)據(jù)定向回收。IP 備案管理為接入服務(wù)提供者IP 報(bào)備單位提供 IP 地址來(lái)源、 IP 地址分配及使用信息、IP 地址廣播信息、 自帶 IP 地址信息、 IP 地址信息等的錄入、 修改、刪除、分配、內(nèi)部審核、退回處理、查詢、統(tǒng)計(jì)等管理功能。支持接入商內(nèi)部多級(jí)報(bào)備管理，實(shí)現(xiàn)IP 報(bào)備實(shí)時(shí)動(dòng)態(tài)更新，確保IP 報(bào)備信息的準(zhǔn)確性。.1來(lái)源信息管理對(duì)于 IP 的來(lái)源信息進(jìn)行錄入、變更及注銷等操作。.2分配信息管理對(duì) IP 新的自用、已分配、再分配等多種數(shù)據(jù)信息狀態(tài)進(jìn)行新增、修改、刪除等信息的管理。.3廣播信息管理對(duì)廣播數(shù)據(jù)進(jìn)行添加、修改、刪除的信息

24、操作。.4大段資源管理可對(duì)大段資源的信息進(jìn)行集中分配管理。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯.5可用資源管理可對(duì)于沒(méi)有分配出去的資源進(jìn)行可用資源查看并進(jìn)行分配操作的管理功能。.6分配信息審核對(duì)于不同級(jí)別或者用戶組提交的報(bào)備信息進(jìn)行審核的管理操作，實(shí)現(xiàn)內(nèi)部多級(jí)管理。未備案網(wǎng)站管理對(duì)于省管局系統(tǒng)下發(fā)的未備案網(wǎng)站名單進(jìn)行信息顯示的管理功能。黑名單管理對(duì)省管局系統(tǒng)下發(fā)的黑名單進(jìn)行信息顯示管理功能。數(shù)據(jù)導(dǎo)入導(dǎo)出可對(duì) ICP/IP地址等基礎(chǔ)錄入數(shù)據(jù)進(jìn)行批量導(dǎo)入，免去每條數(shù)據(jù)都需要手動(dòng)填寫的麻煩?？蓪?shí)現(xiàn)對(duì)于系統(tǒng)內(nèi)的常用數(shù)據(jù)進(jìn)行導(dǎo)出。用戶授權(quán)管理實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認(rèn)證、集中用戶管理、 資源的統(tǒng)

25、一管理以及集中授權(quán)管理和集中審計(jì)管理。 系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能予以授權(quán)和劃分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的管理和操專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯作權(quán)限。未經(jīng)授權(quán)的用戶不得使用本系統(tǒng)的相應(yīng)功能。系統(tǒng)管理為了保障系統(tǒng)正常、穩(wěn)定、有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置管理，包括：系統(tǒng)基本設(shè)置、通信參數(shù)配置、系統(tǒng)日志等，并對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。3.3.2 IDC 信息安全管理系統(tǒng)IDC 信息安全管理系統(tǒng)主要實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)管理、訪問(wèn)日志管理、信息安全管理、違法網(wǎng)站管理等功能， 以滿足 IDC/ISP 經(jīng)營(yíng)單位自身的信息安全監(jiān)管

26、需求和監(jiān)管機(jī)構(gòu)的監(jiān)管需求。其主要功能如下：基礎(chǔ)數(shù)據(jù)上報(bào)實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)的集中管理， 包括基礎(chǔ)數(shù)據(jù)導(dǎo)入、 添加、刪除 / 修改和上報(bào)等。基礎(chǔ)數(shù)據(jù)包括： IDC/ISP 經(jīng)營(yíng)單位信息、機(jī)房和IDC/ISP 用戶數(shù)據(jù)?；A(chǔ)數(shù)據(jù)更新后增量上報(bào)，將含修改內(nèi)容的記錄上報(bào)給SMMS，SMMS可對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行查詢?；A(chǔ)數(shù)據(jù)監(jiān)測(cè)系統(tǒng)能夠?qū)C(jī)房?jī)?nèi)網(wǎng)絡(luò)協(xié)議、網(wǎng)站、應(yīng)用服務(wù)、IP 地址等進(jìn)行采集、監(jiān)測(cè)，并對(duì)機(jī)房?jī)?nèi)的應(yīng)用服務(wù)訪問(wèn)量進(jìn)行統(tǒng)計(jì)。此外，系統(tǒng)對(duì)機(jī)房?jī)?nèi)的 IP 使用方式進(jìn)行監(jiān)測(cè)， 能夠?qū)崟r(shí)發(fā)現(xiàn)未報(bào)備IP 地址專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯接入、發(fā)現(xiàn)實(shí)際使用情況與報(bào)備不符的IP 。對(duì)發(fā)現(xiàn)異常的IP 地址

27、記錄： IP 、登記使用方式、登記域名、異常類型（使用方式或登記域名異常）、實(shí)際使用方式、實(shí)際域名、發(fā)現(xiàn)時(shí)間等監(jiān)測(cè)信息。采集、監(jiān)測(cè)及統(tǒng)計(jì)信息及時(shí)上報(bào)，并供SMMS查詢。訪問(wèn)日志管理系統(tǒng)對(duì) IDC/ISP 的上行流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)， 并記錄和統(tǒng)計(jì)訪問(wèn)信息， 形成訪問(wèn)日志，并供 SMMS查詢，以便事后IDC 機(jī)房的用戶行為審計(jì)分析。訪問(wèn)日志至少包括源 / 目的 IP ，源/ 目的端口、訪問(wèn)時(shí)間，屬于HTTP協(xié)議的留存 URL。訪問(wèn)日志查詢、統(tǒng)計(jì)支持時(shí)間、IP 及 URL等組合查詢、統(tǒng)計(jì)條件。訪問(wèn)日志留存時(shí)間要求滿足互聯(lián)網(wǎng)信息服務(wù)管理辦法。違規(guī)網(wǎng)站管理系統(tǒng)提供違法違規(guī)網(wǎng)站的發(fā)現(xiàn)、處置及上報(bào)功能， 并記

28、錄違法違規(guī)網(wǎng)站的域名、IP 、服務(wù)內(nèi)容、違法違規(guī)類型以及當(dāng)前狀態(tài)（已處置或未處置）、處置人賬號(hào)、處置時(shí)間，定時(shí)上報(bào)給SMMS(上報(bào)周期為日 ) ，并供 SMMS查詢。信息監(jiān)測(cè)發(fā)現(xiàn)系統(tǒng)能夠根據(jù)監(jiān)測(cè)指令對(duì)IDC/ISP 的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)， 對(duì)發(fā)現(xiàn)的違法信息進(jìn)行記錄，形成監(jiān)測(cè)日志，并及時(shí)上報(bào)給SMMS。支持根據(jù) IP 地址、域名、 URL地址、違法關(guān)鍵詞等條件設(shè)置監(jiān)測(cè)規(guī)則。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯監(jiān)測(cè)日志記錄包括源 / 目的 IP ，源 / 目的端口、違法信息、采集時(shí)間以及觸發(fā)監(jiān)測(cè)動(dòng)作的監(jiān)測(cè)指令標(biāo)識(shí)，對(duì)HTTP協(xié)議還記錄URL，存在代理行為的記錄代理類型、代理 IP 。對(duì)

29、于監(jiān)測(cè)發(fā)現(xiàn)的服務(wù)器及網(wǎng)絡(luò)中的不良信息，除監(jiān)測(cè)日志信息外， 留存相關(guān)內(nèi)容數(shù)據(jù)的鏡像，并以醒目方式標(biāo)識(shí)不良信息。綜合管控管理系統(tǒng)根據(jù)過(guò)濾指令對(duì)IDC/ISP 的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)， 對(duì)發(fā)現(xiàn)的違法信息進(jìn)行過(guò)濾處置，并進(jìn)行記錄，形成過(guò)濾日志，及時(shí)上報(bào)給SMMS。支持根據(jù) IP 地址、域名、 URL地址、關(guān)鍵詞等條件設(shè)置過(guò)濾規(guī)則。杜絕未備案先接入、黑名單網(wǎng)站再次接入，有效落實(shí)“先備案后接入”、“誰(shuí)經(jīng)營(yíng)，誰(shuí)負(fù)責(zé)”的原則。已隔離的未備案網(wǎng)站，一經(jīng)備案自動(dòng)解除隔離。過(guò)濾日志記錄包括源 / 目的 IP ，源 / 目的端口、違法信息、采集時(shí)間以及觸發(fā)過(guò)濾動(dòng)作的過(guò)濾指令標(biāo)識(shí)，對(duì)HTTP協(xié)議還記錄URL，存在代理行

30、為的記錄代理類型、代理 IP 。系統(tǒng)還提供黑白名單管理功能，用戶可針對(duì)IP 地址、域名等設(shè)置白名單，系統(tǒng)對(duì)匹配白名單規(guī)則的數(shù)據(jù)不進(jìn)行監(jiān)測(cè)、過(guò)濾。用戶可針對(duì)域名、IP 地址、URL等用戶可設(shè)置黑名單， 匹配命中的數(shù)據(jù)均被根據(jù)策略處置（阻斷、通知等）。管局指令管理系統(tǒng)對(duì)省管局 SMMS下發(fā)至本企業(yè)的各種指令， 包括：管理指令、 查詢指令、更新指令和基礎(chǔ)數(shù)據(jù)指令，提供指令同步、查詢、查看、下發(fā)，以及指令執(zhí)行狀專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯態(tài)和結(jié)果的查詢等管理功能。統(tǒng)計(jì)查詢管理對(duì)基礎(chǔ)資源數(shù)據(jù)、信息監(jiān)測(cè)數(shù)據(jù)、違法違規(guī)網(wǎng)站信息、訪問(wèn)日志信息、過(guò)濾處置信息等，支持按照日、月、季、年等周期提供

31、多種數(shù)據(jù)分析報(bào)告。統(tǒng)計(jì)報(bào)表的顯示形式可為數(shù)據(jù)列表、餅狀圖、柱狀圖或曲線圖等形式靈活顯示。用戶授權(quán)管理實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認(rèn)證、集中用戶管理、 資源的統(tǒng)一管理以及集中授權(quán)管理和集中審計(jì)管理。 系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能予以授權(quán)和劃分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的管理和操作權(quán)限。未經(jīng)授權(quán)的用戶不得使用本系統(tǒng)的相應(yīng)功能。0系統(tǒng)管理為了保障系統(tǒng)正常、穩(wěn)定、有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置管理，包括：系統(tǒng)基本設(shè)置、通信參數(shù)配置、執(zhí)行單元管理、系統(tǒng)日志等，并對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。3.3.3 接入資源管理系統(tǒng)物理資源管理實(shí)現(xiàn)物理資源的報(bào)備和

32、管理。物理資源包括：機(jī)房、機(jī)架柜、網(wǎng)絡(luò)設(shè)備、主專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯機(jī)服務(wù)器。支持對(duì)物理資源信息進(jìn)行新增、刪除、修改、查看等操作，具體如下：對(duì)機(jī)房信息進(jìn)行新增、刪除、修改和查看等操作。對(duì)機(jī)架柜進(jìn)行新增、刪除、修改、查看、預(yù)留和取消預(yù)留等操作。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行新增、刪除、修改、查看、上架和下架等操作。對(duì)機(jī)架柜上的主機(jī)服務(wù)器進(jìn)行新增、刪除、修改、查看、上架和下架等操作。邏輯資源管理實(shí)現(xiàn)對(duì)邏輯資源的報(bào)備和管理，包括：對(duì)IP 地址段進(jìn)行新增、刪除、修改、查看、預(yù)留和分配等操作。客戶信息管理系統(tǒng)可以對(duì)客戶信息進(jìn)行登記、注銷、修改和查看等操作； 或者通過(guò)其他方式（例如從企業(yè)已有的客戶

33、管理系統(tǒng)）獲取對(duì)客戶信息的登記、注銷、修改等操作結(jié)果，并可查看客戶信息的內(nèi)容。資源間的關(guān)聯(lián)系統(tǒng)可以根據(jù)業(yè)務(wù)出租、業(yè)務(wù)續(xù)租、業(yè)務(wù)變更、業(yè)務(wù)轉(zhuǎn)讓、業(yè)務(wù)退租等不同的業(yè)務(wù)狀態(tài)，建立、變更、解除物理資源、邏輯資源和客戶信息三者間的關(guān)聯(lián)關(guān)系，從而反映接入資源的使用情況。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯資源信息統(tǒng)計(jì)對(duì)基礎(chǔ)資源數(shù)據(jù)支持按照日、月、季、年等周期和條件，提供多種數(shù)據(jù)分析報(bào)告。包括：統(tǒng)計(jì)本企業(yè)的 IDC機(jī)房數(shù)量、機(jī)房建筑面積、 每個(gè)機(jī)房的機(jī)架柜總數(shù)、 每個(gè)機(jī)房的機(jī)架柜使用數(shù)、機(jī)房所在城市及相關(guān)信息；統(tǒng)計(jì)本企業(yè)的 IP 地址總數(shù)、 IP 地址使用數(shù)、虛擬主機(jī)數(shù)量及相關(guān)信息；統(tǒng)計(jì)本企業(yè)的

34、ICP用戶數(shù)量、ISP用戶數(shù)量、IDC用戶數(shù)量、專線用戶數(shù)量、其他用戶數(shù)量及相關(guān)信息等。統(tǒng)計(jì)報(bào)表的顯示形式可為數(shù)據(jù)列表、 餅狀圖、柱狀圖或曲線圖等形式靈活顯示。日志管理系統(tǒng)提供完備的日志管理功能，包括資源分配日志， 異常處理日志， 系統(tǒng)日志等。并且提供對(duì)日志的查詢、 統(tǒng)計(jì)和維護(hù)功能。 查詢到的日志能夠輸出到文件中進(jìn)行保存。.1資源分配日志資源分配日志記錄資源的日常分配，做到所有資源的可追溯性， 可以查詢到所有接入資源的使用情況。.2異常處理日志異常處理以日志的方式進(jìn)行管理。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯.3系統(tǒng)日志系統(tǒng)日志記錄系統(tǒng)用戶的所有對(duì)資源的增、刪、改及訪問(wèn)操作， 同時(shí)還

35、提供系統(tǒng)自身運(yùn)行情況日志，可以方便的追溯到每個(gè)用戶的操作記錄。用戶授權(quán)管理實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認(rèn)證、集中用戶管理、 資源的統(tǒng)一管理以及集中授權(quán)管理和集中審計(jì)管理。 系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能予以授權(quán)和劃分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的管理和操作權(quán)限。未經(jīng)授權(quán)的用戶不得使用本系統(tǒng)的相應(yīng)功能。系統(tǒng)管理為了保障系統(tǒng)正常、穩(wěn)定、有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置管理，包括：系統(tǒng)基本設(shè)置、通信參數(shù)配置等，并對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。3.4 與省管局備案系統(tǒng)的集成方案根據(jù)工業(yè)和信息化部 ICP/IP 地址 / 域名信息備案管理系統(tǒng)企業(yè)系統(tǒng)接口規(guī)

36、范，實(shí)現(xiàn)本項(xiàng)目系統(tǒng)與省管局側(cè)備案管理系統(tǒng)的對(duì)接。3.5 與 SMMS系統(tǒng)的對(duì)接方案根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)接口規(guī)范，實(shí)現(xiàn)本項(xiàng)目系統(tǒng)與省管局側(cè)的SMMS的對(duì)接。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯3.6 與電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的對(duì)接方案根據(jù)部電信業(yè)務(wù)市場(chǎng)綜合管理信息系統(tǒng)與企業(yè)資源管理平臺(tái)間接口規(guī)范，實(shí)現(xiàn)本項(xiàng)目系統(tǒng)與部電信業(yè)務(wù)市場(chǎng)綜合管理信息系統(tǒng)的對(duì)接。3.7 安全可靠性設(shè)計(jì)3.7.1 系統(tǒng)安全概述系統(tǒng)安全概述本項(xiàng)目系統(tǒng)中傳輸著管控指令、監(jiān)測(cè)數(shù)據(jù)、訪問(wèn)日志等敏感信息，因此，系統(tǒng)的總體安全性十分重要?；ヂ?lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)安全主要由四個(gè)方面組成：即物理安全、

37、網(wǎng)絡(luò)安全、信息安全、安全管理。1物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括：環(huán)境安全、設(shè)備安全、媒體安全等三個(gè)方面。2網(wǎng)絡(luò)安全：系統(tǒng)（主機(jī)、服務(wù)器）安全、防病毒、系統(tǒng)安全檢測(cè)、入侵檢測(cè)（監(jiān)控）、審計(jì)分析、網(wǎng)絡(luò)運(yùn)行安全、備份與恢復(fù)應(yīng)急、局域網(wǎng)、子網(wǎng)安全訪問(wèn)控制（防火墻）、網(wǎng)絡(luò)安全檢測(cè)等。3信息安全主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面。4安全管理包含人員的管理、安全管理制度制定，安全教育培訓(xùn)等。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯安全設(shè)計(jì)目標(biāo)互聯(lián)網(wǎng)

38、云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)安全系統(tǒng)建設(shè)應(yīng)在物理安全、網(wǎng)絡(luò)安全、信息安全、安全管理四個(gè)方面分別進(jìn)行，通過(guò)安全建設(shè)， 使整個(gè)網(wǎng)絡(luò)能面對(duì)目前和未來(lái)一段時(shí)期內(nèi)的安全威脅， 實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的統(tǒng)一監(jiān)控和管理，更好地保障整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。1建立完整的安全體系，將網(wǎng)絡(luò)系統(tǒng)建設(shè)成為一個(gè)基于統(tǒng)一平臺(tái)上的，能夠?qū)ο到y(tǒng)安全狀態(tài)集中監(jiān)管的系統(tǒng)，主要包含網(wǎng)絡(luò)中的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、備份設(shè)備、數(shù)據(jù)庫(kù)管理、中間件、應(yīng)用軟件等，保障互聯(lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)的正常運(yùn)行。2建立網(wǎng)絡(luò)系統(tǒng)整體病毒防范體系，實(shí)現(xiàn)當(dāng)業(yè)務(wù)網(wǎng)絡(luò)和內(nèi)部用戶網(wǎng)絡(luò)遭受病毒的攻擊時(shí)，確保網(wǎng)絡(luò)平臺(tái)的安全健壯性。3實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全訪問(wèn)控制，防止非法訪問(wèn)與破壞，同

39、時(shí)具有嚴(yán)密的跟蹤審計(jì)功能和分析處理能力。4實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全性。信息的安全性包括數(shù)據(jù)的完整性和安全性，系統(tǒng)應(yīng)設(shè)置周密的數(shù)據(jù)摘要和數(shù)字簽名系統(tǒng)，防止數(shù)據(jù)傳輸過(guò)程中被竊取或篡改。5保證各應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的資源安全。對(duì)網(wǎng)絡(luò)中的各應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)資源進(jìn)行保護(hù)，確保網(wǎng)絡(luò)中有關(guān)工作的順利開展。6建設(shè)網(wǎng)絡(luò)安全檢測(cè)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀況，提供快速響應(yīng)故障的手段，同時(shí)系統(tǒng)應(yīng)具有較強(qiáng)的網(wǎng)絡(luò)入侵檢測(cè)和監(jiān)控預(yù)警能力。7建立網(wǎng)絡(luò)的安全評(píng)估體系。8建立完善網(wǎng)絡(luò)安全管理體系。專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯3.7.2 系統(tǒng)安全體系架構(gòu)互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)的安全體系架構(gòu)由安全防護(hù)和安全管理組成。安全

40、防護(hù)主要是指如何恰當(dāng)?shù)倪x用當(dāng)前各種安全技術(shù)體系構(gòu)建整個(gè)系統(tǒng)安全。安全管理貫穿于上述各個(gè)模塊和系統(tǒng)中，實(shí)踐表明僅有安全技術(shù)防范， 而無(wú)嚴(yán)格的安全管理體系相配套， 是難以保障系統(tǒng)安全的。 必須制定一系列安全管理制度，對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。從全局管理角度來(lái)看， 要制定全局的安全管理策略； 從技術(shù)管理角度來(lái)看， 要實(shí)現(xiàn)安全的配置和管理；從人員管理角度來(lái)看，要實(shí)現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理制度規(guī)范，并進(jìn)行人員安全培訓(xùn)。上述所有模塊與系統(tǒng)均構(gòu)架運(yùn)行于國(guó)家有關(guān)計(jì)算機(jī)安全法律與政策、安全標(biāo)準(zhǔn)和規(guī)范及相關(guān)規(guī)定基礎(chǔ)之上。3.7.3 安全防護(hù)本方案從物理安全、 網(wǎng)絡(luò)安全、操作系統(tǒng)安全、 用戶認(rèn)

41、證與授權(quán)、 通信安全、存儲(chǔ)安全、可審計(jì)性、設(shè)備冗余、災(zāi)難備份等方面全面保障系統(tǒng)的安全性。物理安全為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。 計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失秘的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。通常采取的防范措施主要是：1對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)

42、具有高效屏蔽效能的屏蔽室， 用它來(lái)安裝運(yùn)行主要設(shè)備，以防止磁鼓， 磁帶與高輻射設(shè)備等的信號(hào)外泄。 為提高屏蔽室的效能， 在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的關(guān)起等。2對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制。由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用了光纜傳輸?shù)姆绞剑?大多數(shù)均在 Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。3對(duì)終端設(shè)備輻射的防范。終端機(jī)尤其是CRT顯示器，由于上萬(wàn)伏高壓電子流的作用，輻射有極強(qiáng)的信號(hào)外泄， 但又因終端分散使用不宜集中采用屏蔽室的辦法來(lái)防止， 故現(xiàn)在的要求除在訂購(gòu)設(shè)

43、備上盡量選取低輻射產(chǎn)品外，目前主要采取主動(dòng)式的干擾設(shè)備如干擾機(jī)來(lái)破壞對(duì)應(yīng)信息的竊復(fù)。網(wǎng)絡(luò)安全防火墻防護(hù)防火墻保護(hù)是網(wǎng)絡(luò)安全性設(shè)計(jì)中重要的一環(huán)，本方案中通過(guò)部署防火墻，將互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)的相關(guān)硬件設(shè)備隔離起來(lái)，既限制外部網(wǎng)絡(luò)對(duì)系統(tǒng)的非授權(quán)訪問(wèn)，又限制內(nèi)部用戶對(duì)外部的非授權(quán)訪問(wèn)。訪問(wèn)策略為了保障系統(tǒng)安全，系統(tǒng)從邏輯上劃分為對(duì)外服務(wù)區(qū)和內(nèi)部服務(wù)區(qū)，對(duì)外服專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯務(wù)區(qū)允許來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)交互；內(nèi)部數(shù)據(jù)區(qū)不允許從互聯(lián)網(wǎng)進(jìn)行訪問(wèn)，只允許對(duì)外服務(wù)區(qū)內(nèi)的服務(wù)區(qū)來(lái)讀取數(shù)據(jù)。不同安全區(qū)的用戶/ 服務(wù)器用戶進(jìn)行通信都要嚴(yán)格限制訪問(wèn)的類型、端口、IP 地址。網(wǎng)絡(luò)防病毒威脅

44、網(wǎng)絡(luò)安全的因素除了惡意攻擊外，計(jì)算機(jī)病毒也是常見的因素。本方案建議項(xiàng)目系統(tǒng)中的所有主機(jī)設(shè)備都需要利用網(wǎng)絡(luò)防病毒產(chǎn)品，建立網(wǎng)絡(luò)病毒防護(hù)體系。在防病毒選型部署管理上采取“點(diǎn)” “線”“面”的立體部署方式，即采用多層次的防病毒防范體系。 從防病毒部署上 “點(diǎn)” 即在關(guān)鍵的網(wǎng)絡(luò)核心點(diǎn)上部署防病毒系統(tǒng)；“線”即在安裝各種類型操作系統(tǒng)和應(yīng)用的服務(wù)器上部署防病毒系統(tǒng)；“面”即在所有聯(lián)網(wǎng)客戶端部署防病毒系統(tǒng)。從防病毒管理上“點(diǎn)”即各個(gè)安裝防病毒軟件的客戶端； “線”即按單位機(jī)構(gòu)劃分“點(diǎn)”的集合； “面”即囊括所有“點(diǎn)”“線”的全集，換句話就是全網(wǎng)統(tǒng)一管理、單位部門自主管理、個(gè)人自主負(fù)責(zé)的方式進(jìn)行防病毒管理。入

45、侵檢測(cè)入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱“ IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，IDS 是一種積極主動(dòng)的安全防護(hù)技術(shù)。 本項(xiàng)目建議采用入侵檢測(cè)系統(tǒng)，以提高項(xiàng)目系統(tǒng)的安全抗攻擊能力。漏洞掃描漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性以及將要發(fā)生的行為和產(chǎn)生的后果， 而受到網(wǎng)絡(luò)安全業(yè)界的重視。 這一技術(shù)的應(yīng)用可幫助識(shí)專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯別檢測(cè)對(duì)象的系統(tǒng)資源， 分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)可能存在如下漏洞：系統(tǒng)設(shè)置配置不當(dāng)使得普通用戶權(quán)限過(guò)高管理員由于操作不

46、當(dāng)給系統(tǒng)安裝了后門程序系統(tǒng)本身或應(yīng)用程序存在可被利用的漏洞對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，及時(shí)有效的彌補(bǔ)系統(tǒng)存在的漏洞，是系統(tǒng)安全穩(wěn)定運(yùn)行的前提。本方案建議采用網(wǎng)絡(luò)掃描工具、系統(tǒng)掃描工具、實(shí)時(shí)掃描工具來(lái)進(jìn)行漏洞檢測(cè)。操作系統(tǒng)安全建議本項(xiàng)目所有服務(wù)器均采用Linux操作系統(tǒng)。所有服務(wù)器均僅開放必須的網(wǎng)絡(luò)服務(wù)，如備案系統(tǒng)應(yīng)用軟件服務(wù)端口、SSH。所有操作系統(tǒng)均需要定期進(jìn)行安全加固。用戶認(rèn)證與授權(quán)系統(tǒng)采用基于角色的授權(quán)管理，并堅(jiān)持最小權(quán)限原則，以減少用戶越權(quán)進(jìn)行業(yè)務(wù)操作的現(xiàn)象，最大程度的保證系統(tǒng)的安全。通信安全互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)服務(wù)器之間除使用數(shù)據(jù)加密技術(shù)對(duì)通信數(shù)據(jù)進(jìn)

47、專業(yè)技術(shù) . 整理分享WORD 資料 .可編輯行保護(hù)外，還對(duì)通信的雙方（主要是請(qǐng)求方）進(jìn)行身份認(rèn)證。用戶可以使用瀏覽器訪問(wèn)互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)WEB服務(wù)。系統(tǒng)采用IP 限定、電子鑰匙和數(shù)字證書對(duì)用戶進(jìn)行雙因素身份認(rèn)證，確保只有授權(quán)的用戶才能使用系統(tǒng)功能。省管局和企業(yè)之間的數(shù)據(jù)傳輸由接口服務(wù)器進(jìn)行。省管局- 企業(yè)通信服務(wù)器之間可以采用數(shù)字證書進(jìn)行相互身份的確認(rèn)，并通過(guò)建立加密通道對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被修改和不能被竊聽。數(shù)據(jù)存儲(chǔ)安全互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)對(duì)系統(tǒng)的一些敏感配置信息進(jìn)行加密存放，需要加密保護(hù)的配置數(shù)據(jù)有：報(bào)備單位上報(bào)數(shù)據(jù)使用的密碼等。系統(tǒng)采用SHA1算法，計(jì)算摘要值，數(shù)據(jù)庫(kù)中僅保存該摘要值。由于SHA1算法的特性，可以確保任何人包括數(shù)據(jù)庫(kù)管理員也無(wú)法得知密碼信息?；ヂ?lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)服務(wù)器本地硬盤以及本部的磁盤陣列采用RAID技術(shù)