信息系統(tǒng)三級等級保護建設(shè)

信息系統(tǒng)三級等級保護建設(shè)宿松縣審計信息系統(tǒng)三級等保和機房改造項目招標技術(shù)方案2017年10月11日信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第1頁。

目錄信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第1頁。TOC\o"1-4"\h\u18139第一章.信息系統(tǒng)三級等級保護建設(shè) 4277981.1.現(xiàn)狀與需求分析 4230091.1.1.項目現(xiàn)狀 44216.項目建設(shè)背景 425471.宿松縣審計信息系統(tǒng)簡介 428534.現(xiàn)有網(wǎng)絡(luò)及安全設(shè)備清單 516411.存在問題 59600.項目參考標準 642221.1.2.整改建設(shè)方案 723151.設(shè)計依據(jù) 91676.整改后網(wǎng)絡(luò)拓撲示意圖 1093041.1.3.安全管理體系建設(shè) 1025788.詳細方案設(shè)計管理部分 105540.總體安全方針與安全策略 1111871.信息安全管理制度 117369.安全管理機構(gòu) 1114059.人員安全管理 1219153.系統(tǒng)建設(shè)管理 1228911.系統(tǒng)運維管理 1232532.安全管理制度匯總 1485391.1.4.安全建設(shè)技術(shù)要求分析 1410706.網(wǎng)絡(luò)安全分析 14569.主機安全分析 159360.應(yīng)用安全分析 1630739.數(shù)據(jù)安全分析 16221171.1.5.叁級等保解決方案 1722418.終端安全管理 1719348.堡壘機 1825888.日志審計 2025392.入侵防御 2118069.數(shù)據(jù)庫審計 222711.網(wǎng)頁防篡改 237981.漏洞掃描 2432262.備份一體機 254192.防火墻（單位現(xiàn)有設(shè)備利舊） 28324060.網(wǎng)閘（網(wǎng)神品牌，單位原有設(shè)備利舊） 2828244第二章.機房標準化建設(shè) 28126462.1.工程簡述 28115202.1.1.設(shè)計需要 29145192.1.2.建設(shè)原則 29294922.1.3.建設(shè)依據(jù)規(guī)范 31243882.1.4.技術(shù)指標 32274332.1.5.空間布局設(shè)計 3312075.場地概況 3325668.平面設(shè)計圖 3422796.工程內(nèi)容 34信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第2頁。143782.2.設(shè)計方案 35信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第2頁。136562.2.1.機房裝飾裝修系統(tǒng) 3513670.吊頂設(shè)計 3514565.地面設(shè)計 379249.內(nèi)墻、柱面 3816184.隔斷 3824000.門、窗 3924627.災(zāi)害防護 39303152.2.2.供配電系統(tǒng) 4029692.供配電系統(tǒng)概述 40122312.2.3.空氣調(diào)節(jié)系統(tǒng) 4116223.機房環(huán)境要求 4126207.空調(diào)方案 42214942.2.4.防雷接地系統(tǒng) 4330620.防雷設(shè)計方案 4319162.接地設(shè)計方案 44195162.2.5.消防報警及無管網(wǎng)滅火系統(tǒng) 4530133.自動報警系統(tǒng)設(shè)計方案 4521404.無管網(wǎng)氣體滅火系統(tǒng)設(shè)計方案 4616735.滅火設(shè)計方案 4724159.消防排煙機設(shè)計 4877942.2.6.綜合布線系統(tǒng)工程 4931539.布線配置 49101052.2.7.機房動態(tài)環(huán)境監(jiān)控系統(tǒng) 4920154.場地設(shè)備監(jiān)控系統(tǒng)概述 4914763.場地設(shè)備監(jiān)控系統(tǒng)設(shè)計方案 5126608.各監(jiān)控子系統(tǒng)功能描述 517238第三章.項目需求清單 54236813.1.清單方案響應(yīng)說明 54信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第3頁。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第3頁。信息系統(tǒng)三級等級保護建設(shè)現(xiàn)狀與需求分析項目現(xiàn)狀項目建設(shè)背景本項目是宿松縣審計局為加快金審三期工程建設(shè)，促進審計信息化工作,提升信息安全的的重要內(nèi)容。根據(jù)安徽省審計廳關(guān)于進一步做好全省審計機關(guān)網(wǎng)絡(luò)及信息安全工作的通知（皖審信〔2016〕41號）、安徽省審計廳關(guān)于全面實施“五年創(chuàng)新計劃”的意見（皖審發(fā)〔2016〕59號）、安徽省審計廳關(guān)于印發(fā)全省審計機關(guān)開展“審計技術(shù)創(chuàng)新年”實施方案的通知（皖審發(fā)〔2017〕65號）等文件要求，建立健全數(shù)據(jù)采集與管理的制度規(guī)范和機制，加強大數(shù)據(jù)技術(shù)運用，加強對各領(lǐng)域、各層級、各系統(tǒng)間數(shù)據(jù)的關(guān)聯(lián)分析，增強判斷評價宏觀經(jīng)濟、感知經(jīng)濟風險等方面能力,維護國家信息安全，加強信息安全和保密工作，樹立防護新理念，注重應(yīng)用新技術(shù)、新方法做好網(wǎng)絡(luò)安全防護工作，大力提高信息化條件下審計監(jiān)督能力和水平。經(jīng)宿松縣人民政府和有關(guān)部門批準，宿松縣審計局于2017年啟動審計信息系統(tǒng)叁級安全等級保護和機房標準化建設(shè)。審計技術(shù)創(chuàng)新取得突破性進展，省級審計數(shù)據(jù)中心基本建立，數(shù)字化審計指揮平臺、大數(shù)據(jù)綜合分析平臺、審計綜合作業(yè)平臺架構(gòu)基本形成，運用信息化技術(shù)查核問題、評價判斷、宏觀分析的能力大幅提升。在此基礎(chǔ)上信息系統(tǒng)的安全就尤為重要，根據(jù)文件精神和實際需要，經(jīng)宿松縣人民政府和有關(guān)部門批準，宿松縣審計局于2017年啟動審計信息系統(tǒng)叁級安全等級保護和機房標準化建設(shè)。宿松縣審計信息系統(tǒng)簡介信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第4頁。宿松縣審計局已部署運用的系統(tǒng)有《審計管理系統(tǒng)》（簡稱OA系統(tǒng)）與《政府投資審計管理平臺》。從2006年起，國家審計署開始在全國審計機關(guān)推廣應(yīng)用《審計管理系統(tǒng)》（簡稱OA系統(tǒng)）。該系統(tǒng)是各級審計機關(guān)審計業(yè)務(wù)工作的組織、管理和決策的平臺，提供了公文交互、審計業(yè)務(wù)管理、培訓(xùn)學(xué)習(xí)、郵件服務(wù)、數(shù)據(jù)存儲等各項服務(wù)。2015年安徽省審計廳根據(jù)金審工程三期建設(shè)要求，在全省審計機關(guān)開發(fā)、部署“政府投資審計管理平臺”。宿松縣政府投資審計管理平臺是對宿松縣政府和國有企業(yè)事業(yè)單位投資的建設(shè)項目實施審計進行項目及資料申報、審計實施、審計結(jié)果核定后發(fā)布、相關(guān)審計信息數(shù)據(jù)交互等審計管理平臺系統(tǒng)。利用《審計管理系統(tǒng)》與《政府投資審計管理平臺》可以實現(xiàn)與審計人員《現(xiàn)場審計實施系統(tǒng)》與《政府投資審計管理平臺信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第4頁。宿松縣審計管理系統(tǒng)（ＯＡ）部署在審計專網(wǎng)即審計內(nèi)網(wǎng)上的三臺服務(wù)器集群上，與安徽省審計廳審計管理系統(tǒng)互聯(lián)互通，用戶只能通過審計內(nèi)網(wǎng)訪問終端。宿松縣政府投資管理平臺分別部署在審計內(nèi)網(wǎng)和投資審計專用外網(wǎng)上的兩臺獨立服務(wù)器集群中，兩臺服務(wù)器通過網(wǎng)閘交換數(shù)據(jù)，用戶通過審計內(nèi)網(wǎng)或者投資審計專用外網(wǎng)訪問平臺系統(tǒng)，上傳或查詢數(shù)據(jù)信息；在內(nèi)、外網(wǎng)都設(shè)有防火墻和交換機進行數(shù)據(jù)交換?，F(xiàn)有網(wǎng)絡(luò)及安全設(shè)備清單目前，宿松縣審計局已建成了獨立的計算機房，建筑面積約５０平方米。接通了審計專網(wǎng)（獨立專線）和投資審計專網(wǎng)（互聯(lián)網(wǎng)專線）、政務(wù)外網(wǎng)等3條光纖網(wǎng)絡(luò)；配置了8臺服務(wù)器，其中：AO系統(tǒng)3臺、數(shù)據(jù)分析系統(tǒng)2臺、檔案管理系統(tǒng)1臺和投資管理系統(tǒng)2臺；配置了網(wǎng)閘、防火墻、局域網(wǎng)路由器、交換機等網(wǎng)絡(luò)及安全設(shè)備；配備了保證停電延時12小時的UPS備用電源；按物理隔離網(wǎng)絡(luò)安全要求布置了審計專網(wǎng)和互聯(lián)網(wǎng)2套辦公網(wǎng)絡(luò)系統(tǒng)布線；按審計工作需要，全局審計人員每人均配備了一臺外網(wǎng)用計算機和一臺內(nèi)網(wǎng)用一體機（安裝運行OA系統(tǒng)和其他內(nèi)網(wǎng)信息系統(tǒng)及網(wǎng)站）。同時，基本實現(xiàn)了計算機和服務(wù)器設(shè)備及操作系統(tǒng)國產(chǎn)化，個人計算機操作系統(tǒng)正版化，公文流轉(zhuǎn)及審計項目數(shù)據(jù)電子化。存在問題未做等保測評整改安徽省審計廳已完成核心系統(tǒng)、核心網(wǎng)絡(luò)的整改，并通過了系統(tǒng)安全等級保護測評，宿松縣審計局已經(jīng)完成審計管理系統(tǒng)和政府投資審計平臺兩個系統(tǒng)的三級等保登記、備案，但尚未完成系統(tǒng)的測評和整改，存在安全隱患與漏洞，具有一定的風險。安全防護薄弱信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第5頁。網(wǎng)絡(luò)安全設(shè)備中防火墻設(shè)備數(shù)量占比較高，整體信息安全工作僅處于網(wǎng)絡(luò)層防護層面，網(wǎng)絡(luò)應(yīng)用防護手段嚴重不足。無審計類設(shè)備；終端認證與安全防護手段缺失。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第5頁。數(shù)據(jù)缺乏體系化防護策略在數(shù)據(jù)的產(chǎn)生、加工、傳輸、存儲各環(huán)節(jié)缺少相應(yīng)安全級別的針對性防護策略，各審計業(yè)務(wù)人員對采集的財務(wù)及其他數(shù)據(jù)通過移動存儲介質(zhì)、本機存放等方式，未對數(shù)據(jù)采取統(tǒng)一管理和統(tǒng)一存放。存在發(fā)生敏感數(shù)據(jù)泄露風險，而且數(shù)據(jù)泄露后難以溯源。項目參考標準信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第6頁。遵循以國家信息安全等級保護指南等最新安全標準以及開展各項服務(wù)工作，配合本項目信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第6頁。指導(dǎo)思想中辦[2003]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知）公通字[2004]66號文件（關(guān)于印發(fā)《信息安全等級保護工作的實施意見》的通知）公通字[2007]43號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知）公信安[2009]1429《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》全國人大《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》國發(fā)[2012]23號《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》國發(fā)[2013]7號《國務(wù)院關(guān)于推進物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》公信安[2014]2182號《關(guān)于加強國家級重要信息系統(tǒng)安全保障工作有關(guān)事項的通知》（公信安[2014]2182號）安徽省審計廳發(fā)（皖審信〔2016〕41號）《安徽省審計廳關(guān)于進一步做好全省審計機關(guān)網(wǎng)絡(luò)及信息安全工作的通知》（皖審發(fā)〔2016〕59號）《安徽省審計廳關(guān)于全面實施“五年創(chuàng)新計劃”的意見》安徽省審計廳發(fā)（皖審發(fā)〔2017〕65號）《安徽省審計廳關(guān)于印發(fā)全省審計機關(guān)開展“審計技術(shù)創(chuàng)新年”實施方案的通知》等級保護GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T25058-2010信息系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南技術(shù)方面GB/T25066-2010信息安全產(chǎn)品類別與代碼GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T20010-2005包過濾防火墻評估準則GB/T20281-2006防火墻技術(shù)要求和測試評價方法GB/T18018-2007路由器安全技術(shù)要求GB/T20008-2005路由器安全評估準則GB/T20272-2006操作系統(tǒng)安全技術(shù)要求GB/T20273-2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20009-2005數(shù)據(jù)庫管理系統(tǒng)安全評估準則GB/T20275-2006入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20277-2006網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法GB/T20279-2006網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20278-2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20280-2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T20945-2007信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法GB/T21028-2007服務(wù)器安全技術(shù)要求GB/T25063-2010服務(wù)器安全側(cè)評要求GB/T21050-2007網(wǎng)絡(luò)交換機安全技術(shù)要求（EAL3）GB/T28452-2012應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T29240-2012終端計算機通用安全技術(shù)要求與測試評價方法GB/T28456-2012IPsec協(xié)議應(yīng)用測試規(guī)范GB/T28457-2012SSL協(xié)議應(yīng)用測試規(guī)范管理方面GB/T20269-2006信息系統(tǒng)安全管理要求GB/T28453-2012信息系統(tǒng)安全管理評估要求GB/T20984-2007信息安全風險評估規(guī)范GB/T24364-2009信息安全風險管理指南GB/T20985-2007信息安全事件管理指南GB/T20986-2007信息安全事件分類分級指南GB/T20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范方案設(shè)計GB/T25070-2010信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等保測評GB/T28448-2012信息系統(tǒng)安全等級保護測評要求GB/T28449-2012信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第7頁。整改建設(shè)方案信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第7頁。宿松縣審計信息系統(tǒng)等保及機房改造建設(shè)內(nèi)容序號項目主要內(nèi)容現(xiàn)有信息系統(tǒng)及網(wǎng)絡(luò)安全設(shè)備備注1三級等保測評整改審計管理系統(tǒng)、投資審計管理系統(tǒng)測評《審計管理系統(tǒng)》（內(nèi)網(wǎng)，4臺服務(wù)器）2安全等級保護整改服務(wù)《投資審計管理系統(tǒng)》（內(nèi)、外網(wǎng)，2臺服務(wù)器）3系統(tǒng)等保加固及機房改造項目設(shè)計4系統(tǒng)信息安全工程終端安全管理系統(tǒng)（IPS）審計專用光纖網(wǎng)路（內(nèi)網(wǎng)，含視頻專線）5日記審計系統(tǒng)投資審計專光纖網(wǎng)路（專用外網(wǎng)）6數(shù)據(jù)庫審計系統(tǒng)政務(wù)辦公光纖網(wǎng)路（政務(wù)外網(wǎng)）7入侵防御系統(tǒng)防火墻（內(nèi)、外網(wǎng)邊界，共3臺）8漏洞掃描系統(tǒng)網(wǎng)神網(wǎng)閘（投資審計系統(tǒng)內(nèi)、外網(wǎng)服務(wù)器數(shù)據(jù)交換）9網(wǎng)頁防篡改出入口交換機（共4臺）數(shù)據(jù)備份一體機樓層交換機（共3臺）10堡壘機KVM（2臺）11核心交換機12其他網(wǎng)絡(luò)安全設(shè)備（含利舊）13機房改造工程空間布局機房（建筑面積約50平方米）14裝飾裝修（包括吊頂、地面、內(nèi)墻柱面、隔斷、門窗及安全處理，上下通風、防靜電、防火、防濕、防塵、防蟲鼠、防幅射、保溫處理等）10KVA單進單出UPS及電池組（含承重加固）15供配電系統(tǒng)（包括外電接入、UPS供電、配電設(shè)備及線路、照明系統(tǒng)等）三相四線供電線（單相220V）16防雷接地系統(tǒng)機柜（4組）17空調(diào)新風系統(tǒng)（含精密空調(diào)、新風機等）空調(diào)（掛壁式、柜式各1臺）18消防系統(tǒng)機房綜合布線19安全監(jiān)控系統(tǒng)（含門禁、視頻監(jiān)控系統(tǒng)等）20動環(huán)監(jiān)測預(yù)警系統(tǒng)21統(tǒng)一機柜22機房內(nèi)綜合布線23其他（含利舊）信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第8頁。設(shè)計依據(jù)信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第8頁。依據(jù)宿松縣審計局現(xiàn)有網(wǎng)絡(luò)系統(tǒng)架構(gòu)和擬建主要項目內(nèi)容，并勘查現(xiàn)場機房環(huán)境，同時依據(jù)宿松縣審計局提供“宿松縣審計信息系統(tǒng)等保及機房改造建設(shè)內(nèi)容”網(wǎng)絡(luò)建設(shè)原則針對本項目，等級保護整改方案的設(shè)計和實施將遵循以下原則：針對本項目，等級保護整改方案的設(shè)計和實施等服務(wù)將遵循以下原則：保密性原則：對項目服務(wù)的實施過程和結(jié)果將嚴格保密，在未經(jīng)宿松縣審計局授權(quán)的情況下不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害客戶權(quán)益的行為；標準性原則：服務(wù)、設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標準進行；根據(jù)信息系統(tǒng)安全三級等級保護基本要求，分等級分安全域進行安全設(shè)計和安全建設(shè)。規(guī)范性原則：在各項安全服務(wù)工作中的過程和文檔，都具有很好的規(guī)范性（《安全服務(wù)實施規(guī)范》），可以便于項目的跟蹤和控制；可控性原則：服務(wù)所使用的工具、方法和過程都會在與宿松縣審計局雙方認可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證雙方對服務(wù)工作的可控性；整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的IT運行的各個層面，避免由于遺漏造成未來的安全隱患；最小影響原則：服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運行，不會對現(xiàn)有業(yè)務(wù)造成顯著影響。體系化原則：在體系設(shè)計、建設(shè)中，充分考慮到各個層面的安全風險，構(gòu)建完整的立體安全防護體系。先進性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全產(chǎn)品、安全技術(shù)都充分考慮前瞻性要求，采用先進、成熟的安全產(chǎn)品、技術(shù)和先進的管理方法。分步驟原則：根據(jù)宿松縣審計局要求，對宿松縣審計局安全保障體系進行分期、分步驟的有序部署。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第9頁。服務(wù)細致化原則：在項目建設(shè)過程中將充分結(jié)合自身的專業(yè)技術(shù)能力與行業(yè)經(jīng)驗相，結(jié)合宿松縣審計局的實際信息系統(tǒng)量身定做，保障其信息系統(tǒng)安全穩(wěn)定的運行。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第9頁。整改后網(wǎng)絡(luò)拓撲示意圖安全管理體系建設(shè)詳細方案設(shè)計管理部分信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第10頁。安全管理體系的作用是通過建立健全組織機構(gòu)、規(guī)章制度，以及通過人員安全管理、安全教育與培訓(xùn)和各項管理制度的有效執(zhí)行，來落實人員職責，確定行為規(guī)范，保證技術(shù)措施真正發(fā)揮效用，與技術(shù)體系共同保障安全策略的有效貫徹和落實。信息安全管理體系主要包括組織機構(gòu)、規(guī)章制度、人員安全、系統(tǒng)建設(shè)和系統(tǒng)運維等五個方面內(nèi)容。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第10頁?？傮w安全方針與安全策略總體安全方針與安全策略是指導(dǎo)宿松縣審計局所有信息安全工作的綱領(lǐng)性文件，是信息安全決策機構(gòu)對信息安全工作的決策和意圖的表述。總體安全方針與安全策略的作用在于統(tǒng)一對信息安全工作的認識，規(guī)定信息安全的基本架構(gòu)，明確信息安全的根本目標和原則。本項目信息系統(tǒng)等保設(shè)計的總體安全方針與安全策略將具備以下特性：安全策略緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合宿松縣審計局實際的信息安全需求，能保障與促進信息化建設(shè)的順利進行，避免理想化與不可操作性?？傮w安全方針與安全策略中將明確闡述宿松縣審計局所有信息化建設(shè)項目在規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和變更廢棄等各階段，應(yīng)遵循的總體原則和要求。信息安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。信息安全領(lǐng)導(dǎo)小組負責定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定，定期或不定期對安全管理制度進行評審和修訂，修訂不足并予以改進。安全管理機構(gòu)根據(jù)基本要求設(shè)置安全管理機構(gòu)的組織形式和運作方式，明確崗位職責；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。建立授權(quán)與審批制度；建立內(nèi)外部溝通合作渠道；定期進行全面安全檢查，特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。人員安全管理信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第11頁。人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第11頁。一般單位都有統(tǒng)一的人事管理部門負責人員管理，這里的人員安全管理主要指對關(guān)鍵崗位人員進行的以安全為核心的管理，例如對關(guān)鍵崗位的人員采取在錄用或上崗前進行全面、嚴格的安全審查和技能考核，與關(guān)鍵崗位人員簽署保密協(xié)議，對離崗人員撤銷系統(tǒng)帳戶和相關(guān)權(quán)限等措施。只有注重對安全管理人員的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。培訓(xùn)的內(nèi)容包括單位的信息安全方針、信息安全方面的基礎(chǔ)知識、安全技術(shù)、安全標準、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責任要求、法律責任和懲戒措施等。具體參照《信息系統(tǒng)安全管理要求》等。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的重點是與系統(tǒng)建設(shè)活動相關(guān)的過程管理，由于主要的建設(shè)活動是由服務(wù)方，如集成方、開發(fā)方、測評方、安全服務(wù)方等完成，運營使用單位人員的主要工作是對之進行管理，應(yīng)制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等活動的管理責任部門、具體的管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施，完整保存相關(guān)的管理記錄和過程文檔。系統(tǒng)運維管理1、環(huán)境和資產(chǎn)安全管理制度環(huán)境包括計算機、網(wǎng)絡(luò)機房環(huán)境以及設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，明確環(huán)境安全管理的責任部門或責任人，加強對人員出入、來訪人員的控制，對有關(guān)物理訪問、物品進出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。具體參照《信息系統(tǒng)安全管理要求》等。2、設(shè)備和介質(zhì)安全管理制度明確配套設(shè)施、軟硬件設(shè)備管理、維護的責任部門或責任人，對信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護和維修等過程進行控制，對介質(zhì)的存放、使用、維護和銷毀等方面作出規(guī)定，加強對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體參照《信息系統(tǒng)安全管理要求》等。3、日常運行維護制度信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第12頁。明確網(wǎng)絡(luò)、系統(tǒng)日常運行維護的責任部門或責任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行控制和管理；制訂設(shè)備操作管理、業(yè)務(wù)應(yīng)用操作管理、變更控制和重用管理、信息交換管理相應(yīng)的管理制度；制定與信息系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并落實執(zhí)行；正確實施為信息系統(tǒng)可靠運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法和措施，對運行安全進行監(jiān)督檢查。具體參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第12頁。4、集中安全管理制度第三級及以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運行，進行安全機制的配置與管理，對設(shè)備安全配置、惡意代碼、補丁升級、安全審計等進行管理，對與安全有關(guān)的信息進行匯集與分析，對安全機制進行集中管理。具體參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。5、事件處置與應(yīng)急響應(yīng)制度按照國家有關(guān)標準規(guī)定，確定信息安全事件的等級。結(jié)合信息系統(tǒng)安全保護等級，制定信息安全事件分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機制。落實安全事件報告制度，第三級以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時，運營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時向受理備案的公安機關(guān)報告。組織應(yīng)急技術(shù)支撐力量和專家隊伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。6、災(zāi)難備份制度要對第三級以上信息系統(tǒng)采取災(zāi)難備份措施，防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體參照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。7、安全監(jiān)測制度開展信息系統(tǒng)實時安全監(jiān)測，實現(xiàn)對物理環(huán)境、通信線路、主機、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報警，及時發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時對安全事件進行響應(yīng)與處置。8、其他制度信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第13頁。對系統(tǒng)運行維護過程中的其它活動，如系統(tǒng)變更、密碼使用等進行控制和管理。按國家密碼管理部門的規(guī)定，對信息系統(tǒng)中密碼算法和密鑰的使用進行分級管理。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第13頁。安全管理制度匯總制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統(tǒng)安全狀況進行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應(yīng)當進一步開展整改。具體參照《信息系統(tǒng)安全管理要求》等。最終提交安全制度包括但不限于以下內(nèi)容：總體安全策略（組織、流程、策略、技術(shù)）崗位安全責任制度系統(tǒng)日常安全管理工作制度系統(tǒng)安全評估管理辦法安全區(qū)域劃分及管理規(guī)定管理信息區(qū)域網(wǎng)管制度系統(tǒng)建設(shè)管理制度設(shè)備入網(wǎng)安全管理制度賬號和口令及權(quán)限管理制度加密技術(shù)使用管理辦法應(yīng)急預(yù)案管理制度安全事件報告和處置管理制度安全建設(shè)技術(shù)要求分析網(wǎng)絡(luò)安全分析評測信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓撲結(jié)構(gòu)等三大類對象。安全建設(shè)：主要關(guān)注的方面包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界及網(wǎng)絡(luò)設(shè)備的自身安全等。主要建設(shè)涉及方面包括：信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第14頁。結(jié)構(gòu)安全：關(guān)鍵設(shè)備的冗余空間、核心網(wǎng)絡(luò)帶寬、子網(wǎng)/網(wǎng)段控制，主要設(shè)備的冗余空間、路由控制，整體網(wǎng)絡(luò)帶寬、帶寬分配優(yōu)先級，重要網(wǎng)段部署；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第14頁。訪問控制：訪問控制設(shè)備的用戶、網(wǎng)段，端口控制、防止地址欺騙，撥號訪問控制、應(yīng)用層協(xié)議過濾，最大流量及最大連接數(shù)等；安全審計：日志記錄，審計報表，審計記錄的保護；邊界安全性檢查（內(nèi)部的非法聯(lián)出）非授權(quán)的設(shè)備私自外聯(lián)，定位及阻斷；入侵防范（檢測常見攻擊）記錄、報警；惡意代碼防范（網(wǎng)絡(luò)邊界處防范）網(wǎng)絡(luò)設(shè)備防護（基本的登錄鑒定）組合鑒定技術(shù)，特權(quán)用戶的權(quán)限分離；以上安全實現(xiàn)措施：增加網(wǎng)絡(luò)安全審計產(chǎn)品，增加違規(guī)外聯(lián)檢測阻斷產(chǎn)品，網(wǎng)絡(luò)設(shè)備特別配置服務(wù)等。主機安全分析評測信息系統(tǒng)的主機安全保障情況。涉及對象為操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等。安全建設(shè)：服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主要涉及方面包括：身份鑒別（基本的身份鑒別）組合鑒別技術(shù)；訪問控制（安全策略、特權(quán)用戶的權(quán)限分離）管理權(quán)限的分離、敏感標記的設(shè)置及操作；安全審計（服務(wù)器基本運行情況審計）重要客戶端的審計、審計報表，審計記錄的保護；剩余信息保護（空間釋放及信息清除）（比較超前、目前較難實現(xiàn)）；入侵防范（最小安裝原則、升級服務(wù)器）重要服務(wù)器檢測、記錄、報警，重要程序完整性；惡意代碼防范（防惡意代碼軟件、代碼庫統(tǒng)一管理）主機與網(wǎng)絡(luò)的防范產(chǎn)品不同；資源控制（對用戶會話數(shù)及終端登錄的控制）監(jiān)視重要服務(wù)器、最小服務(wù)水平的檢測及報警。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第15頁。以上安全實現(xiàn)措施：增加身份認證系統(tǒng)，訪問控制策略配置服務(wù)，主機入侵防范策略配置服務(wù)，網(wǎng)管軟件和主機配置服務(wù)。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第15頁。應(yīng)用安全分析評測信息系統(tǒng)的應(yīng)用安全保障情況。涉及對象為操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等。安全建設(shè)：基本應(yīng)用包括消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用包括電子商務(wù)、電子政務(wù)等。主要建設(shè)涉及的方面包括：身份鑒別（基本的身份鑒別）組合技術(shù)鑒別；訪問控制（安全策率，最小授權(quán)原則）敏感標記的設(shè)置及操作；抗抵賴性；安全審計、運行情況審計、審計記錄的保護，審計報表、審計過程的保護；剩余信息保護（空間釋放及信息清除）（比較超前、目前較難實現(xiàn)）；通信完整性（校驗碼技術(shù)）密碼技術(shù)；通信保密性（初始化驗證、敏感信息加密）整個報文及會話過程加密；軟件容錯（數(shù)據(jù)有效性檢驗、部分運行保護）自動保護功能；資源控制（對用戶會話數(shù)及系統(tǒng)最大并發(fā)會話數(shù)的限制）資源分配限制、資源分配優(yōu)先級、最小服務(wù)水平的檢測及報警。以上安全實現(xiàn)措施：應(yīng)用軟件本身的配置及升級，訪問控制策略配置服務(wù)，系統(tǒng)審計配置服務(wù)，增加通訊加密手段，建立統(tǒng)一的CA中心等。數(shù)據(jù)安全分析數(shù)據(jù)安全測評將評測系統(tǒng)數(shù)據(jù)安全保障情況，包括保密性、完整性、安全性。安全建設(shè)：主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護，將對數(shù)據(jù)造成的損害將至最??；備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實時備份。主要建設(shè)涉及的方面包括：數(shù)據(jù)完整性（鑒別數(shù)據(jù)傳輸?shù)耐暾裕└黝悢?shù)據(jù)傳輸及備份、檢測及恢復(fù)；數(shù)據(jù)保密性（鑒別數(shù)據(jù)存儲的保密性）各類數(shù)據(jù)的傳輸及存儲；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第16頁。備份及恢復(fù)（重要數(shù)據(jù)的備份、重要硬件的冗余）本地完全備份、異地備份（備份介質(zhì)場外存放）。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第16頁。以上安全實現(xiàn)措施：增加通信加密手段，增加核心設(shè)備的冗余，增加重要設(shè)備的冗余等。叁級等保解決方案終端安全管理功能要求：1.資產(chǎn)信息：對注冊信息項除了系統(tǒng)預(yù)置的部門、設(shè)備使用人、聯(lián)系電話、地址、Email地址等信息項類型之外，還可以根據(jù)客戶端注冊的個性化要求，新增個性化客戶端注冊信息項類型。管理員還可以對新增的自定義客戶端注冊信息進行修改、刪除，并可以選擇該項是否為必填項。；2.能夠有效控制網(wǎng)絡(luò)非法外聯(lián)行為，阻斷終端通過多網(wǎng)卡、WIFI、3G網(wǎng)卡、手機等多種方式網(wǎng)絡(luò)非法外聯(lián)訪問，杜絕網(wǎng)絡(luò)非法外聯(lián)行為發(fā)生；3.入庫資產(chǎn)查詢：可查詢?nèi)霂熨Y產(chǎn)的資產(chǎn)編號、IP、責任部門、責任人、資產(chǎn)類型、資產(chǎn)型號、物理位置、資產(chǎn)狀態(tài)、操作歷史等信息，查詢條件包括：資產(chǎn)編號、資產(chǎn)狀態(tài)、資產(chǎn)屬性、資產(chǎn)類型、品牌、資產(chǎn)型號、責任部門、責任人、物理位置、使用部門、使用人、IP地址、MAC地址、條形碼編號、資產(chǎn)序列號、所在網(wǎng)絡(luò)、資產(chǎn)來源等信息；4.無需對現(xiàn)有網(wǎng)絡(luò)進行任何調(diào)整，即可實現(xiàn)終端安全域劃分和管理，支持根據(jù)安全終端安全等級保護級別，設(shè)置終端安全域內(nèi)和終端安全域之間細粒度終端訪問控制權(quán)限，全面提升內(nèi)網(wǎng)終端安全防護級別；5.支持用戶端補丁安全情況查詢，可按照部門或操作系統(tǒng)進行統(tǒng)計。支持用戶端運行狀態(tài)查詢，顯示用戶、部門、殺毒軟件、IP/MAC等重要信息；剪貼板：能夠?qū)徲嬒到y(tǒng)剪貼板敏感信息內(nèi)容的行為，審計或阻止通過拷貝/剪切動作進行內(nèi)容復(fù)制操作傳播敏感信息內(nèi)容的行為；6.按部門、按組進行全局終端信息統(tǒng)計，可統(tǒng)計終端軟硬件、進程、端口、補丁等信息；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第17頁。7能夠?qū)K端網(wǎng)絡(luò)流量進行監(jiān)控和管理，可以根據(jù)終端應(yīng)用系統(tǒng)終端帶寬閥值，保證關(guān)鍵應(yīng)用系統(tǒng)帶寬資源，阻斷終端異常流量對內(nèi)網(wǎng)的阻塞。將蠕蟲病毒或非業(yè)務(wù)流量對網(wǎng)絡(luò)的影響減到最小。支持針對不同的進程自定義設(shè)置不同的流量使用策略，并能夠并實時監(jiān)控終端每個進程的流量，實時自動抑制異常流量，自動限制超過閾值的流量。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第17頁。8.支持對補丁文件分類，支持補丁分發(fā)。提供廠商自己的補丁服務(wù)器進行補丁下載并分發(fā)。支持軟件分發(fā)流量控制。可以同時向多個客戶端分發(fā)軟件包，也可以指定在某個時間范圍內(nèi)進行軟件分發(fā)。策略可根據(jù)風險等級進行告警，能夠定義策略優(yōu)先等級、策略生效時間、顯示策略創(chuàng)建修改的人員及時間記錄。支持文件監(jiān)控策略。對不同磁盤類型及指定文件夾下的文件和文件夾的創(chuàng)建、修改、刪除、移動、打開、讀取、執(zhí)行、重命名等操作可以有選擇地禁止和審計，可設(shè)置例外項。堡壘機功能描述信息化的發(fā)展使得企事業(yè)單位對信息系統(tǒng)依賴性越來越強，信息系統(tǒng)規(guī)模的不斷擴大和系統(tǒng)維護人員的日益增多，不但帶來了賬號、權(quán)限的管理問題。同時，運維人員的誤操作和違規(guī)操作引起的危害也越來越嚴重。加強對運維人員操作行為的監(jiān)管與審計是信息安全發(fā)展的必然趨勢。堡壘機為企業(yè)用戶提供了一套先進的運維安全管控與審計解決方案。通過集中的賬號管理、運維操作訪問控制和全程運維操作審計，幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運維被動響應(yīng)的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規(guī)要求，為企業(yè)效益保駕護航。堡壘機的核心技術(shù)原理是采用訪問過程雙向模擬技術(shù)。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第18頁。其主要實現(xiàn)方法為將原先的“客戶端-服務(wù)器”訪問模式，轉(zhuǎn)變成“客戶端-運維管理系統(tǒng)-服務(wù)器”的協(xié)議代理模式。在用戶訪問過程中，運維管理系統(tǒng)通過技術(shù)手段將原來的一次TCP會話，拆分為兩個獨立的TCP會話，并分別在兩個拆分后的會話中模擬了服務(wù)器端和客戶端角色，因此，無論是與服務(wù)器通訊、還是與客戶端通訊時，都能準確還原加密信息，進而實現(xiàn)對加密、圖形協(xié)議的內(nèi)容識別、控制功能。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第18頁。堡壘機強大的功能、簡單的操作、友好的用戶界面、全面的技術(shù)支持解除了您的后顧之憂，是您值得信賴的網(wǎng)絡(luò)安全產(chǎn)品。堡壘機的架構(gòu):堡壘機主要由兩大模塊組成，協(xié)議控制模塊、管理模塊。協(xié)議控制層主要負責實現(xiàn)底層對訪問過程的TCP會話拆分、還原識別操作內(nèi)容、記錄操作指令、并根據(jù)策略執(zhí)行阻斷操作。管理模塊主要實現(xiàn)運維用戶、操作對象的配置、訪問授權(quán)控制策略控制以及行為審計功能。支持主動監(jiān)控業(yè)界唯一的主動監(jiān)控技術(shù)，支持通過C/S方式自動顯示當前正在進行的訪問操作，適合監(jiān)控中心使用。安全簡便的部署方式旁路代理方式部署，僅需要為系統(tǒng)分配一個IP即可，無需安裝任何服務(wù)端軟件和客戶端軟件。完善的自審計功能系統(tǒng)具備詳細的自審計功能，所有系統(tǒng)操作均會生成相應(yīng)的日志記錄，包括：用戶登錄、系統(tǒng)操作、錄像查看、修改密碼、郵件發(fā)送任務(wù)、記錄歸檔任務(wù)、系統(tǒng)升級等等。深入的協(xié)議解析能力不僅能夠解析明文操作，而且能夠識別SSH加密操作，對于RDP遠程訪問操作，系統(tǒng)能夠記錄其鍵盤輸入、窗口標題，方便后期審計。良好的協(xié)議擴展能力信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第19頁。除了常見的SSH、RDP、VNC、HTTP等訪問協(xié)議以外，還支持Radmin、Pcanywhere等應(yīng)用，并且可以通過二次開發(fā)方式方便的增加其他第三方應(yīng)用。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第19頁。堡壘機的部署方式

堡壘機采用旁路代理方式部署，在實際部署時只需為其配置一個獨立的IP地址即可，該IP要求能夠與服務(wù)器區(qū)、維護區(qū)互相訪問。日志審計功能要求：支持市面主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、中間件、服務(wù)器、數(shù)據(jù)庫、操作系統(tǒng)等不少于26類300種日志對象的日志數(shù)據(jù)采集。支持主動、被動相結(jié)合的數(shù)據(jù)采集方式；支持通過Agent采集日志數(shù)據(jù)；2.支持標準化日志描述語言快速擴展兼容特殊日志，支持日志數(shù)據(jù)采集實時展示，支持控制被采集設(shè)備的日志流量速度，支持日志歸一化處理，將不同設(shè)備所產(chǎn)生的不同格式的難以理解的日志數(shù)據(jù)進行統(tǒng)一格式化處理，提煉出有用信息清晰、明確的展示給管理者；支持基于時間軸展示數(shù)據(jù)分布，能夠通過時間軸進行查詢分析；3.支持對所管理設(shè)備的日志原始數(shù)據(jù)完整存儲，采用基于具有自主知識產(chǎn)權(quán)的非關(guān)系型大數(shù)據(jù)存儲架構(gòu)，支持數(shù)據(jù)本地集中存儲、網(wǎng)絡(luò)存儲以及大數(shù)據(jù)存儲，支持海量原始日志加密壓縮存儲，壓縮比10:1；支持自定義存儲位置，支持磁盤陣列、SAN、NAS等外部高性能存儲；支持存儲空間圖像化、動態(tài)監(jiān)控，超過閥值進行告警。支持從存儲空間、存儲時間多維度進行動態(tài)監(jiān)控。支持數(shù)據(jù)自動、手動備份以及備份數(shù)據(jù)回復(fù)查看；4.系統(tǒng)內(nèi)置常見安全事件關(guān)聯(lián)分析規(guī)則，支持基于策略的多日志源海量日志實時關(guān)聯(lián)分析，發(fā)現(xiàn)安全事件實時告警。提供可視化關(guān)聯(lián)分析規(guī)則編輯視圖，可根據(jù)實際業(yè)務(wù)編輯關(guān)聯(lián)分析規(guī)則；5.支持安全告警概況、安全告警趨勢以及實時安全事件的統(tǒng)一展示，實時告警可根據(jù)級別、規(guī)則類型等進行分類；支持根據(jù)時間類型、級別、規(guī)則類型、規(guī)則名稱、時間范圍、事件名、設(shè)備IP、源IP、目的IP、源端口、目的端口和傳輸協(xié)議等方式快速檢索安全事件告警，檢索結(jié)果支持Excel等格式導(dǎo)出。支持基于時間軸展示數(shù)據(jù)分布，能夠通過時間軸進行查詢分析；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第20頁。6、支持實時日志查看，提供實時更新的最近的2000條日志信息，管理員可以進行監(jiān)視、刷新、清零等基本監(jiān)視條件管理。支持在查詢結(jié)果頁面上直接下鉆二次查詢，快速定位關(guān)鍵日志，還可以返回上次查詢條件；查詢結(jié)果支持分頁顯示；支持查詢結(jié)果導(dǎo)出；支持外部備份文件導(dǎo)入進行查詢。支持查詢結(jié)果快速統(tǒng)計，可自定義統(tǒng)計規(guī)則。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第20頁。入侵防御功能描述新一代網(wǎng)絡(luò)入侵防護系統(tǒng)IPS，不但能對已知安全威脅進行防護；而且能夠降低未知惡意軟件帶來的危害；還通過內(nèi)網(wǎng)安全功能，有效的防止內(nèi)網(wǎng)持續(xù)滲透，有效降低敏感數(shù)據(jù)的泄露和服務(wù)器的非法外聯(lián)，為用戶提供一套看得見、檢得出、防得住的全新入侵防護解決方案。該產(chǎn)品高度融合高性能、高安全性、高可靠性和易操作性等特性，產(chǎn)品內(nèi)置先進的信譽防護機制，同時具備深度入侵防護、高級威脅防護、精細流量控制等多項功能，能夠為用戶提供深度攻擊防御的完美價值體驗。1.僵尸網(wǎng)絡(luò)發(fā)現(xiàn)基于實時的信譽機制，結(jié)合企事業(yè)級單位和全球信譽庫，可有效檢測惡意URI、僵尸網(wǎng)絡(luò)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站地址時不受侵害，第一時間有效攔截Web威脅，并且能及時發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的僵尸網(wǎng)絡(luò)主機和C&C連接。2.入侵防護實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。高級威脅防護能夠基于敏感數(shù)據(jù)的外泄、文件識別、服務(wù)器非法外聯(lián)等異常行為檢測，實現(xiàn)內(nèi)網(wǎng)的高級威脅防護功能。以全面深入的協(xié)議分析為基礎(chǔ)，融合權(quán)威專家系統(tǒng)、智能協(xié)議識別、協(xié)議異常檢測、流量異常檢測、會話關(guān)聯(lián)分析，以及狀態(tài)防火墻等多種技術(shù)，為客戶提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護。3.流量控制阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第21頁。IPS還提供強大、靈活的流量管理功能，采用全局維度（協(xié)議/端口）、局部維度（源/目的IP地址、用戶、網(wǎng)段）、時間維信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第21頁。4.應(yīng)用管理全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。數(shù)據(jù)庫審計功能描述1.靈活接入部署數(shù)據(jù)庫審計基于旁路審計原理，系統(tǒng)采用旁路接入部署方式，只要在交換機上設(shè)置端口鏡像或采用TAP分流，不需要對現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)（包括：路由器、防火墻、應(yīng)用層負載均衡設(shè)備、應(yīng)用服務(wù)器等）進行調(diào)整，工作時也不影響數(shù)據(jù)庫保護對象本身的運行與性能。當然，也使得審計系統(tǒng)本身難以被發(fā)現(xiàn)受到攻擊。數(shù)據(jù)庫審計支持多路采集數(shù)據(jù)的接入模式，一個審計引擎可以同時采集多個數(shù)據(jù)源的審計數(shù)據(jù)，適合于那些成本有限，但是審計數(shù)據(jù)源又相對分散的環(huán)境（比如多個交換機鏡像口）。數(shù)據(jù)庫審計支持審計引擎分布式部署，同時審計中心對多個審計引擎進行統(tǒng)一管理，以及審計數(shù)據(jù)的集中管理分析，適合需要大規(guī)模部署審計引擎的環(huán)境。2數(shù)據(jù)庫攻擊檢測通過數(shù)據(jù)庫審計，能夠通過審計記錄發(fā)現(xiàn)生產(chǎn)數(shù)據(jù)庫一些潛在的安全威脅，比如SQL注入，密碼猜解，執(zhí)行操作系統(tǒng)級的命令等，及時發(fā)現(xiàn)并阻止生產(chǎn)數(shù)據(jù)庫安全威脅，保證生產(chǎn)數(shù)據(jù)庫更加安全運行。3審計數(shù)據(jù)管理該功能是為了闡述產(chǎn)品支持的審計數(shù)據(jù)的管理和存儲策略。對海量審計數(shù)據(jù)，長期保持原始日志，以便后期查詢需要，同時盡量節(jié)約空間,高壓縮率的存儲是很重要的，數(shù)據(jù)庫審計擁有高達95%以上的高壓縮率保存，而且所有的壓縮解壓過程都是按照預(yù)定策略自動實現(xiàn)的。對于歷史審計數(shù)據(jù)，可以從保存好的最原始的數(shù)據(jù)中重新分析而得，該過程允許用戶自定義待分析的審計數(shù)據(jù)時間范圍和保存地址。適合于分析好的審計數(shù)據(jù)丟失，或者分析模塊更新的用戶。對于歷史審計數(shù)據(jù)，也可以壓縮保存的審計結(jié)果中重新提取，進行分析展示。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第22頁。以上保存的所有審計數(shù)據(jù)都是在獨立的，專門的審計存儲服務(wù)器上，也可以導(dǎo)出到第三方存儲或者刻錄成光盤保存，所有數(shù)據(jù)都是加密保存的，其他工具無法對審計數(shù)據(jù)進行讀取。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第22頁。4數(shù)據(jù)靈活采集數(shù)據(jù)庫審計支持審計引擎在進行數(shù)據(jù)包時，接受用戶自定義的采集過濾（其中，過濾的條件包括操作源IP、操作源MAC、計算機名、程序名、生產(chǎn)數(shù)據(jù)庫名、生產(chǎn)數(shù)據(jù)庫用戶名、操作內(nèi)容、表名等），從而只采集用戶關(guān)心的數(shù)據(jù)，剔除垃圾數(shù)據(jù)，減少查詢時沒用信息的干擾。用戶可以靈活自定義設(shè)置該功能是否啟用。該功能面向數(shù)據(jù)量非常大，但是所關(guān)注審計數(shù)據(jù)又清晰可定義的用戶具有非常實際的意義。5會話審計及TelentHttp審計數(shù)據(jù)庫審計支持數(shù)據(jù)庫會話審計，能夠完整的保存不同數(shù)據(jù)庫客戶端與數(shù)據(jù)庫服務(wù)器的整個會話狀態(tài)，并按照不同類型展示出來，允許用戶通過多條件進行會話查詢，以及該會話范圍內(nèi)的所有數(shù)據(jù)庫語句，同時也為數(shù)據(jù)庫服務(wù)器的性能優(yōu)化有幫助。數(shù)據(jù)庫審計還支持按照協(xié)議類型，完整審計到通過telnet客戶端訪問數(shù)據(jù)庫的所有會話信息，并進行整改會話的回訪，使得通過該方式進行的數(shù)據(jù)庫行為無處遁形。數(shù)據(jù)庫審計還支持對http協(xié)議的審計，從而可以審計到通過該協(xié)議相關(guān)的：前臺應(yīng)用程序的用戶名，前臺程序的URL，WebSessionID，Web客戶端IP等，通過把這些信息與中間件訪問數(shù)據(jù)庫的sql進行關(guān)聯(lián)分析，讓真實sql操作用戶也可以被審計到。6綁定變量審計數(shù)據(jù)庫審計支持對綁定變量的審計，不僅可以審計到調(diào)用綁定變量的數(shù)據(jù)庫操作，同時也能夠?qū)υ撟兞空鎸嵉馁x值過程也能夠?qū)徲嫷?，并進行關(guān)聯(lián)分析。網(wǎng)頁防篡改功能要求：支持無IP純透明模式串聯(lián)部署、旁路監(jiān)測模式部署、負載均衡模式部署。串聯(lián)部署時防護口不占用IP地址。串聯(lián)部署時服務(wù)器可以看到真實客戶端源IP，而不是WAF的業(yè)務(wù)IP地址；串聯(lián)部署時服務(wù)器可以看到真實客戶端源IP，而不是WAF的業(yè)務(wù)IP地址；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第23頁。支持VLAN劃分，支持多VLAN環(huán)境下trunk的部署；支持虛擬線無論任何網(wǎng)絡(luò)環(huán)境可強制數(shù)據(jù)從一個接口轉(zhuǎn)發(fā)到另一個接口；支持鏈路聚合(Channel)部署；支持Trunk鏈路防護；支持靜態(tài)路由及策略路由配置，支持ARP綁定，支持靜態(tài)MAC地址表配置，支持服務(wù)器健康檢查，可以實時監(jiān)測服務(wù)器的活躍狀態(tài)；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第23頁。識別與分析能力：應(yīng)采用先進的協(xié)議分析技術(shù)對入侵特征進行分析，可有效防范DNS請求報文洪泛濫攻擊和有效的對系統(tǒng)進行安全性識別；網(wǎng)關(guān)型網(wǎng)頁防篡改，無需在服務(wù)器中安裝任何插件，可以對動態(tài)網(wǎng)站及靜態(tài)網(wǎng)站文件內(nèi)容進行防篡改，當檢測到篡改后可以實時恢復(fù)篡改內(nèi)容。6.支持多種WEB應(yīng)用漏洞的安全掃描檢測，如SQL注入、跨站腳本、目錄遍歷等。支持自定義WEB漏洞掃描任務(wù)，支持對需要認證登錄的web系統(tǒng)進行漏洞掃描，支持自定義每日、每周、每月等掃描周期設(shè)置?？蓪?dǎo)出web漏洞掃描報告，報告支持pdf,html,txt,xml等格式；支持多服務(wù)器的負載均衡，支持輪叫、加權(quán)輪叫、原地址散列、最小連接等多種負載均衡算法；能配合現(xiàn)有的負載均衡設(shè)備協(xié)同工作，支持任意部署，而不影響客戶現(xiàn)有拓撲；產(chǎn)品支持將Web服務(wù)器的錯誤提示信息，替換為標準、通用的錯誤提示信息，防止Web服務(wù)器系統(tǒng)核心問題泄露。產(chǎn)品支持針對HTTP/HTTPS請求信息中的請求頭長度、Cookie個數(shù)、HTTP協(xié)議參數(shù)個數(shù)、協(xié)議參數(shù)值長度、協(xié)議參數(shù)名長度等進行限制，并支持請求信息自學(xué)習(xí)功能。支持帳號創(chuàng)建、帳號授權(quán)、帳號屬性修改、帳號刪除等賬號管理功能。支持用戶身份認證，用戶切換角色時，必須進行重新認證。支持超時重新認證機制并能夠定義用戶認證嘗試的最大允許失敗次數(shù)。支持賬號策略自定義，支持定義允許最大登錄失敗次數(shù)、密碼錯誤賬號鎖定時間、防管理員賬號暴力破解。。漏洞掃描功能要求：1.采用經(jīng)過系統(tǒng)加固的專有操作系統(tǒng)；基于B/S模式，支持HTTPS安全訪問方式；基于SSL的遠程管理和掃描；用戶多次登錄失敗時，自動鎖定登錄IP；可以限制可掃描的IP地址范圍；可以限制用戶的登錄IP地址；；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第24頁。支持資產(chǎn)自動發(fā)現(xiàn)功能，支持利用歷史掃描過程中所發(fā)現(xiàn)的在線主機信息，來添加資產(chǎn)；支持對已有資產(chǎn)的直接掃描；支持顯示資產(chǎn)的歷史掃描結(jié)果，支持顯示資產(chǎn)的風險評估值；支持直接查看資產(chǎn)的漏洞掃描情況；信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第24頁。產(chǎn)品應(yīng)支持按CVE編號、CNNVD編號、CNCVE編號、Bugtraq編號、漏洞編號、漏洞名稱、影響平臺、簡短描述、詳細描述、修補建議等信息進行模糊檢索，方便用戶檢索掃描策略。產(chǎn)品應(yīng)支持多網(wǎng)卡并行掃描，每個網(wǎng)卡可以在互不相通的網(wǎng)段中進行獨立的掃描操作，用戶下發(fā)任務(wù)后程序根據(jù)對象IP地址自動尋找相應(yīng)的網(wǎng)卡執(zhí)行任務(wù)。根據(jù)用戶實際購買的授權(quán)掃描口數(shù)量，支持所有授權(quán)掃描口并發(fā)執(zhí)行掃描任務(wù);支持掃描范圍自定義、資產(chǎn)導(dǎo)入掃描范圍、從文件導(dǎo)入掃描范圍；支持主機存活探測，支持ARP、ICMPping、TCPping及UDPping四種類型；支持顯示掃描剩余時間，隨時查看掃描進度結(jié)果；支持多個掃描進度并發(fā)統(tǒng)計展示；支持查看歷史掃描記錄；支持最大限度報告漏洞；報告應(yīng)具有易懂的漏洞描述和詳盡的安全修補方案建議，并提供相關(guān)的技術(shù)站點以供管理員參考；應(yīng)可根據(jù)角色需求產(chǎn)生靈活的報告格式，支持用戶自定義報表和預(yù)定義報表；產(chǎn)品應(yīng)可靈活定制產(chǎn)生各類報表數(shù)據(jù)的餅圖、柱圖等圖表信息；掃描報告應(yīng)可對安全的威脅程度分級，并能夠形成風險趨勢分析報表和主機間風險對比分析報告；報表具備導(dǎo)出功能，可以導(dǎo)出不同格式的報表，如html、Excel、TXT、Word、PDF、XML等。備份一體機功能描述1.應(yīng)用容災(zāi)保證應(yīng)用不間斷的虛擬化應(yīng)用容災(zāi)：作為一體化容災(zāi)中針對應(yīng)用不間斷的獨特保護屏障，備份一體機容災(zāi)家族針對性的提供了應(yīng)用容災(zāi)的方案，主要基于CDP應(yīng)用容災(zāi)技術(shù)實現(xiàn)，包括完整的CDP實時備份、災(zāi)難恢復(fù)、故障檢測和災(zāi)難演習(xí)流程，確保災(zāi)難發(fā)生后可迅速接管應(yīng)用，對外提供服務(wù)，保證用戶獲得最小RPO基礎(chǔ)上同時享有最小的RTO。除此之外，備份一體機獨特的虛擬化應(yīng)用容災(zāi)模式，可直接通過內(nèi)嵌的虛擬化平臺實現(xiàn)，用戶無需另外購置容災(zāi)服務(wù)器，從而收獲更小的整體TCO。性能優(yōu)越的異地應(yīng)用容災(zāi)。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第25頁。通過采用級聯(lián)復(fù)制模型在本地和異地分別部署容災(zāi)站點來實現(xiàn)數(shù)據(jù)及應(yīng)用的遠程容災(zāi)，避免了對生產(chǎn)服務(wù)器的性能產(chǎn)生影響；基于重復(fù)數(shù)據(jù)刪除技術(shù)能夠克服遠程容災(zāi)對帶寬要求較高的問題，精簡數(shù)據(jù)傳輸量，減少數(shù)據(jù)傳輸時間，極大提高了數(shù)據(jù)傳輸效率，實現(xiàn)了數(shù)據(jù)及應(yīng)用的異地容災(zāi)和多重保障。可驗證的應(yīng)用容災(zāi)方案支持兩種災(zāi)難恢復(fù)演習(xí)模式：實戰(zhàn)演習(xí)和模擬演習(xí)，用于驗證容災(zāi)方案的有效性。實戰(zhàn)演習(xí)通過生產(chǎn)服務(wù)器的參與，驗證整套應(yīng)用容災(zāi)方案的可用性；模擬演習(xí)只需容災(zāi)服務(wù)器的參與，對生產(chǎn)服務(wù)器及實時復(fù)制不會產(chǎn)生任何影響，可驗證容災(zāi)服務(wù)器的可用性。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第25頁。2.數(shù)據(jù)備份保證數(shù)據(jù)不丟失的CDP實時備份：傳統(tǒng)數(shù)據(jù)保護方案一般通過定時的方式進行備份和恢復(fù)，備份一體機在此基礎(chǔ)上提供CDP實時備份技術(shù)，對用戶產(chǎn)生的數(shù)據(jù)進行精細化的細顆粒度抓捕，實現(xiàn)數(shù)據(jù)的實時保護，減少備份窗口的同時，保證擁有可恢復(fù)的任意時間點數(shù)據(jù)，并且提供下載恢復(fù)、瀏覽恢復(fù)和瞬間恢復(fù)多種數(shù)據(jù)恢復(fù)方式，保證意外情況下，數(shù)據(jù)的瞬間可恢復(fù)性，從而擁有更小的RPO。全方位保護的平臺和應(yīng)用功能支持最廣泛家族產(chǎn)品，可滿足大中型組織機構(gòu)異構(gòu)環(huán)境的復(fù)雜需求，包括從Windows到Linux到Unix平臺，SQLServer、Oracle、ExchangeServer、SharePoint、Domino、DB2、ActiveDirectory、MySQL、Sybase等各種數(shù)據(jù)庫，VMware、Xen、KVM及WindowsHyper-V等各種虛擬化平臺的備份，可實現(xiàn)從操作系統(tǒng)到應(yīng)用程序以及文件系統(tǒng)的全方位保護。雙重保障的D2D2R異地數(shù)據(jù)容災(zāi)。備份一體機異地數(shù)據(jù)容災(zāi)通過將備份數(shù)據(jù)從本地同步到異地容災(zāi)中心，輕松實現(xiàn)數(shù)據(jù)異地容災(zāi)，獲得最佳數(shù)據(jù)保護效果。優(yōu)化容災(zāi)性能的源端重復(fù)數(shù)據(jù)刪除。重復(fù)數(shù)據(jù)刪除是一種數(shù)據(jù)壓縮技術(shù)，基于哈希算法，通過本地分塊的方式，進行指紋對比后識別數(shù)據(jù)源中的重復(fù)數(shù)據(jù)塊，只對唯一的數(shù)據(jù)塊進行傳輸。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第26頁。備份一體機采用基于數(shù)據(jù)類型的源端重復(fù)數(shù)據(jù)刪除，既可以根據(jù)數(shù)據(jù)類型優(yōu)化重復(fù)數(shù)據(jù)刪除的計算量，也可以根據(jù)用戶的實際數(shù)據(jù)環(huán)境，配置重刪數(shù)據(jù)分塊閾值，保證重刪的效率和效果。通過此技術(shù)，容災(zāi)方案可受益如下：減少備份窗口，釋放帶寬壓力，節(jié)省存儲空間，部署更加靈活，大幅優(yōu)化容災(zāi)整體性能。更智能的數(shù)據(jù)周期管理支持基于D2D2T的階段備份（StagedBackup），將近線保存的備份數(shù)據(jù)自動遷移或復(fù)制到磁帶設(shè)備，輕松實現(xiàn)周期性的近線備份和離線備份。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第26頁。重復(fù)數(shù)據(jù)刪除技術(shù)數(shù)據(jù)總量的成倍增長，既導(dǎo)致了需保護的備份數(shù)據(jù)總量也不斷增長，也導(dǎo)致了重復(fù)數(shù)據(jù)總量的劇增。由于同一局域網(wǎng)內(nèi)的所有客戶端數(shù)據(jù)通常會定期在服務(wù)器中集中歸檔、存儲或備份，備份頻率越高，產(chǎn)生的完全重復(fù)數(shù)據(jù)也就越多。大量重復(fù)的數(shù)據(jù)不僅會浪費存儲空間資源，還會給數(shù)據(jù)保護工作帶來額外的負擔。由于備份數(shù)據(jù)量過大，在傳輸備份數(shù)據(jù)時，將消耗大量帶寬資源，甚至?xí)乐赜绊懫髽I(yè)IT系統(tǒng)的正常運行。備份一體機重復(fù)數(shù)據(jù)刪除技術(shù)，支持源端重復(fù)數(shù)據(jù)刪除方案，在備份數(shù)據(jù)傳輸?shù)酱鎯橘|(zhì)之前執(zhí)行重刪操作。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第27頁。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第27頁。應(yīng)用層攻擊防護：基于深度應(yīng)用識別，積極防范復(fù)雜應(yīng)用攻擊；支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER，MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多種常見的應(yīng)用和協(xié)議的攻擊防護；定期更新攻擊特征庫，安全專家積極響應(yīng)新的攻擊和漏洞。邊界流量過濾：基于全球?qū)崟r更新的惡意IP地址庫和自定義的黑名單數(shù)據(jù)對流量進行過濾，并對命中黑名單的惡意流量采取阻斷措施進行處理，從而阻斷已知惡意IP地址的流量。黑白名單支持云端同步、自定義以及第三方聯(lián)動下發(fā)。Web防護：支持WEB攻擊防護功能，有效識別并防御各種Web威脅，如SQL注入、XSS跨站腳本、CC等惡意網(wǎng)絡(luò)攻擊；支持外鏈檢查功能、目錄訪問等WEB防護功能，有效抵御針對WEB服務(wù)器和客戶端的各種安全威脅。統(tǒng)一智能防護：通過統(tǒng)一智能系統(tǒng)軟件，在防火墻產(chǎn)品的基礎(chǔ)上全面實現(xiàn)智能防火墻功能，提升威脅防護、風險管控能力。通過威脅檢測技術(shù)，結(jié)合機器學(xué)習(xí)、大數(shù)據(jù)、關(guān)聯(lián)分析等前沿技術(shù)，基于行為分析，準確發(fā)現(xiàn)變種惡意軟件等未知威脅，從而彌補了傳統(tǒng)檢測技術(shù)的弊端。功能實現(xiàn)的效果和好處：攻擊防護是一個重要的網(wǎng)絡(luò)安全特性，它通過分析經(jīng)過設(shè)備的報文的內(nèi)容和行為，判斷報文是否具有攻擊特征，并根據(jù)配置對具有攻擊特征的報文執(zhí)行一定的防范措施，例如輸出告警日志、丟棄報文、限制報文、更新會話狀態(tài)或加入黑名單，從而有效防止對服務(wù)器或者網(wǎng)絡(luò)資源的破壞。用戶通過在服務(wù)器前端、網(wǎng)絡(luò)邊界部署防火墻，部署攻擊防護策略，可以有效應(yīng)對各種類型的攻擊進行告警、限制以及阻斷，保護服務(wù)器和網(wǎng)絡(luò)資源免受攻擊影響。防火墻的攻擊防護功能采用最優(yōu)化的攻擊識別算法，在最大化降低攻擊防護功能對防火墻性能影響的同時提高了攻擊識別的準確性。防火墻（單位現(xiàn)有設(shè)備利舊）網(wǎng)閘（網(wǎng)神品牌，單位原有設(shè)備利舊）機房標準化建設(shè)工程簡述信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第28頁。不掌握審計信息化技術(shù)就失去審計的話語權(quán)，當審計事業(yè)正享受計算機及網(wǎng)絡(luò)技術(shù)的進步帶來高效益的同時，必須考慮到它的穩(wěn)定性及可靠性，計算機設(shè)備只有通過穩(wěn)定、可靠、安全的運行才能發(fā)揮其效益，而計算機設(shè)備的穩(wěn)定、可靠、安全運行要依靠計算機機房的嚴格環(huán)境條件，即機房溫度、濕度、潔凈度、噪聲、振動、靜電、電磁干擾等條件及其控制精度，因此計算機機房工程的設(shè)計與施工是一個關(guān)鍵。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第28頁。設(shè)計需要充分考慮機房使用的長久性與穩(wěn)定性，保證機房整個系統(tǒng)運行安全可靠。把握機房實質(zhì)，將技術(shù)指標的可靠性與環(huán)境建設(shè)的藝術(shù)性緊密結(jié)合，實現(xiàn)智能空間與自然環(huán)境的和諧配合。通過對環(huán)境整合改造，使之氣氛明快，富于現(xiàn)代氣息，給機房工作人員提供方便、快捷、舒適的工作環(huán)境，并為管理人員提供安全、高效的管理手段。充分體現(xiàn)“以人為本”的設(shè)計理念。將預(yù)期實現(xiàn)的功能與合理的平面布置結(jié)合起來，形成智能空間整體解決方案的新概念。立足基本需求，用前瞻性的眼光來審視，建設(shè)后的機房無論從空間和效果上都做到科學(xué)化、現(xiàn)代化。體現(xiàn)“面向未來”的設(shè)計理念，建設(shè)一個布局合理、有現(xiàn)代感、功能完備、安全可靠、可持續(xù)發(fā)展、設(shè)施先進，綠色環(huán)保、投資合理的現(xiàn)代化網(wǎng)絡(luò)機房。建設(shè)原則根據(jù)功能需求分析，本次建設(shè)按照“實用可靠、有效適度、經(jīng)濟節(jié)約、技術(shù)先進”的總體原則實施。在設(shè)計過程中充分考慮方便今后的運行維護，并能有效降低機房運行及維護成本。本次建設(shè)的具體原則主要包括：應(yīng)至少按照以下原則進行系統(tǒng)配置設(shè)計：實用性原則在系統(tǒng)設(shè)計的過程中，方案不僅綜合考慮了機房內(nèi)需要被集成的所有弱電子系統(tǒng)資源的充分利用與共享等實際情況，以及集成后智能化集成系統(tǒng)的實用性和在一段時間內(nèi)先進型的問題，還著眼于未來，也即隨著社會發(fā)展對智能化不斷提出的新要求，從系統(tǒng)運行環(huán)境、資源整合、功能應(yīng)用、新技術(shù)等多方面綜合考慮，將各部分融合成一個高效、統(tǒng)一、實用的有機體?？煽啃栽瓌t信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第29頁。系統(tǒng)整體架構(gòu)：系統(tǒng)設(shè)計中，充分考慮集中監(jiān)控管理的網(wǎng)絡(luò)構(gòu)架搭建、系統(tǒng)集成平臺的設(shè)計、各種子系統(tǒng)的模板整合、系統(tǒng)監(jiān)控/管理的層次結(jié)構(gòu)的設(shè)計等綜合因素，進行可實施性、可靠性、兼容性的綜合設(shè)計。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第29頁。網(wǎng)絡(luò)架構(gòu)體系：集成網(wǎng)絡(luò)系統(tǒng)的總體結(jié)構(gòu)采用結(jié)構(gòu)化和模塊化設(shè)計，具有很好的兼容性和擴充性，既可以集成不同廠商的子系統(tǒng)，又可使系統(tǒng)能夠以方便地擴充，通過本智能化集成系統(tǒng)可以為本項目構(gòu)建統(tǒng)一的監(jiān)控管理平臺，根據(jù)實際需要進行冗余設(shè)計，確保系統(tǒng)的可靠性、安全性。各子系統(tǒng)：采用成熟可靠的技術(shù)，并具備集成界面要求。分步實施原則根據(jù)項目的實際情況，對整個項目進行系統(tǒng)設(shè)計、系統(tǒng)布局、工程實施等綜合考慮，有計劃、有步驟的分步實施，從而確保實施的效率、效果與質(zhì)量。經(jīng)濟性原則系統(tǒng)平滑擴容與升級：系統(tǒng)采用開放式的體系結(jié)構(gòu)，容易實現(xiàn)與第三方系統(tǒng)無縫集成，平滑擴容；網(wǎng)絡(luò)支撐：選用經(jīng)濟、實用、可靠的現(xiàn)有網(wǎng)絡(luò)體系，避免重復(fù)投資；智能化集成平臺的模塊化結(jié)構(gòu)設(shè)計使得系統(tǒng)的前期搭建、中期的實施、后期的升級維護簡便、經(jīng)濟。在保證先進性的同時，以提高工作效率，節(jié)省人力和各種資源為目標進行工程設(shè)計，充分考慮系統(tǒng)的實用和效益，爭取獲得最大的投資回報率。先進性原則基礎(chǔ)通訊建設(shè)全部采用技術(shù)成熟先進產(chǎn)品，滿足不斷發(fā)展的技術(shù)應(yīng)用需要。整體集成系統(tǒng)的設(shè)計以系統(tǒng)工程的科學(xué)思想為指導(dǎo)，以現(xiàn)代計算機科學(xué)、通訊、控制和決策支持的理論與技術(shù)為基礎(chǔ)，采用國際先進的中間構(gòu)件技術(shù)和完全組態(tài)的方式，實現(xiàn)各類信息實時處理，數(shù)據(jù)庫、決策支持系統(tǒng)的一體化。開放性原則系統(tǒng)整體設(shè)計采用分散控制與集中管理的結(jié)構(gòu)，使各子系統(tǒng)既能相對獨立運行，又能夠方便地集成在具有統(tǒng)一操作界面的同一集成管理系統(tǒng)平臺上；其模塊化、結(jié)構(gòu)化的系統(tǒng)結(jié)構(gòu)，使具有良好的兼容性和擴充性，不僅可以使不同廠商的不同子系統(tǒng)方便的集成在同一個系統(tǒng)中，又可以使系統(tǒng)在日后能夠方便的擴充?？晒芾硇浴⒎?wù)性、便利性原則信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第30頁。智能化系統(tǒng)完成對通訊、安防、物業(yè)和設(shè)備的監(jiān)視和控制管理。在保障系統(tǒng)先進性的同時，以提高工作效率、節(jié)省人力和資源為目標進行系統(tǒng)設(shè)計，充分考慮系統(tǒng)的實用性和效益；系統(tǒng)提供科學(xué)、完整的報警體系，確保系統(tǒng)的安全、科學(xué)的管理。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第30頁。建設(shè)依據(jù)規(guī)范業(yè)主提供本項目資料和擬建設(shè)項目內(nèi)容?？辈飕F(xiàn)場。2、可參照國標GB/T50314-2006《智能建筑設(shè)計標準》的具體要求。3、所有國際、國內(nèi)和當?shù)卣畽C關(guān)及部門頒布的最新的法定條例、規(guī)范、規(guī)格、標準、施工準則和業(yè)務(wù)條例，包括但不僅限于但必須高于以下所列各項：《電子信息系統(tǒng)機房設(shè)計規(guī)范》(GB50174-2008)《智能建筑工程質(zhì)量驗收規(guī)范》GB50339《建筑電氣工程施工質(zhì)量驗收規(guī)范》GB50303《綜合布線系統(tǒng)工程設(shè)計規(guī)范》GB50311《合布線系統(tǒng)工程驗收規(guī)范》GB50312《建筑電氣安裝工程施工質(zhì)量驗收規(guī)范》GB50303《電氣安裝工程接地裝置施工及驗收規(guī)范》GB50169《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》GB50343《計算機機房用活動地板技術(shù)條件》GB6650《計算機機房施工及驗收規(guī)范》SJ/30003《供配電系統(tǒng)設(shè)計規(guī)范》GB50054《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859《信息技術(shù)與包過濾防火墻安全技術(shù)要求》GB/T18019《民用建筑能耗數(shù)據(jù)采集標準》JGJ/T154《安全防范工程技術(shù)規(guī)范》GB50348《安全技術(shù)防范系統(tǒng)通用圖形符號》GA／T74GA／T75《民用閉路電視監(jiān)控系統(tǒng)工程技術(shù)規(guī)范》GB50198《視頻安防監(jiān)控系統(tǒng)技術(shù)要求》GA50367《視頻安防監(jiān)控系統(tǒng)工程設(shè)計規(guī)范》GB-50395《入侵報警系統(tǒng)工程設(shè)計規(guī)范》GB50394《出入口控制系統(tǒng)工程設(shè)計規(guī)范》GB50396信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第31頁?！斗辣I報警控制器通用技術(shù)條件》GB12663信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第31頁?！斗辣I報警中心控制臺》GB/T16572國家和地方其它相關(guān)的現(xiàn)行標準和法規(guī)其它相關(guān)行業(yè)、地區(qū)規(guī)定及規(guī)范。其他國家和地方相關(guān)法律法規(guī)技術(shù)指標依據(jù)國家相關(guān)規(guī)范和設(shè)計標準，本次項目的網(wǎng)絡(luò)中心機房在環(huán)境裝修質(zhì)量、供電電網(wǎng)的穩(wěn)定、空氣的潔凈度、環(huán)境的溫濕度、噪音的控制、防靜電防雷擊上都能達到如下指標，既為該大樓信息化設(shè)備提供一個良好的、穩(wěn)定的、高效的、管理方便的集中設(shè)備運行區(qū)域，也是宿松縣審計局標準化機房建設(shè)成果對外的一個形象窗口。溫度開機時：21℃～25℃（夏季）、18℃～22℃（冬季）；停機時：5℃～35℃；溫度變化率小于5℃/H，并不得凝露。濕度開機時：相對濕度達到45%～65%；停機時：相對濕度達到40%～70%。潔凈度主機房內(nèi)的空氣含塵濃度，在表態(tài)條件下測試，每升空氣中大于或等于0.5μm的塵埃粒數(shù)，應(yīng)少于18000粒。噪音強度主機房內(nèi)的噪音，在計算機系統(tǒng)停機條件下，在主操作員位置測量應(yīng)小于65dB。電磁場干擾機房內(nèi)無線電干擾場強：在頻率范圍0.15MHz～1000MHz時不大于126db；機房內(nèi)磁場干擾場強：不大于800A/m。靜電電位主機房內(nèi)絕緣體的靜電電位不應(yīng)大于1KV。機房照明計算機機房在距地面0.8m處，照度不應(yīng)低于300Lx；工作間和輔助房間不低于200Lx。信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第32頁。事故照明信息系統(tǒng)三級等級保護建設(shè)全文共54頁，當前為第32頁。計算機機房、電源室等應(yīng)設(shè)事故照明，其照度在距地面0.8m處不應(yīng)低于5Lx。供配電環(huán)境工作頻率49.8Hz～50.2Hz，電壓