數(shù)智化園區(qū)項(xiàng)目可行性研究報(bào)告模板

第第頁共111頁信息安全系統(tǒng)建設(shè)智慧園區(qū)信息安全體系在全民普及參與的安全文化建設(shè)的基礎(chǔ)上，從技術(shù)、管理、法規(guī)等方面為智慧園區(qū)提供安全保障。在技術(shù)層面上，從物理安全、基礎(chǔ)架構(gòu)安全、應(yīng)用安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全多個(gè)方向建立全面的安全防護(hù)體系，信息安全防護(hù)體系實(shí)現(xiàn)對(duì)智慧園區(qū)的層層防控，借此保護(hù)智慧園區(qū)整體建設(shè)體系，保護(hù)智慧園區(qū)的安全。智慧園區(qū)安全技術(shù)防護(hù)體系智慧園區(qū)安全技術(shù)防護(hù)體系包括物理安全、基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全、身份訪問安全等，是其他各維度的基礎(chǔ)。智慧園區(qū)安全建設(shè)以整體提升現(xiàn)有資源為主要方式，建立邏輯上統(tǒng)一的信息安全技術(shù)防護(hù)體系。物理安全包括機(jī)房安全和物聯(lián)網(wǎng)安全兩個(gè)方面。基礎(chǔ)架構(gòu)安全包括網(wǎng)絡(luò)及邊界安全、系統(tǒng)安全、主機(jī)安全和智能終端安全。應(yīng)用安全包括應(yīng)用開發(fā)生生命周期安全、業(yè)務(wù)流程安全、應(yīng)用開發(fā)環(huán)境安全和Web安全。數(shù)據(jù)安全包括數(shù)據(jù)生命周期安全、數(shù)據(jù)泄密保護(hù)、數(shù)據(jù)加密、數(shù)據(jù)歸檔和災(zāi)難備份。身份訪問安全包括身份驗(yàn)證、訪問管理和用戶生命周期管理。保護(hù)組織的物理基礎(chǔ)設(shè)施是指防護(hù)或預(yù)防對(duì)因某一故障或物理基礎(chǔ)設(shè)施的損失而造成的對(duì)業(yè)務(wù)連續(xù)性的可能影響。保護(hù)組織的基礎(chǔ)設(shè)施可能涉及間接威脅和漏洞的保護(hù)。例如，使用服務(wù)的丟失、物理訪問控制的滲透，或關(guān)鍵有形資產(chǎn)的丟失所造成的影響。物理安全包括機(jī)房物理安全和物聯(lián)網(wǎng)安全。機(jī)房物理安全計(jì)算機(jī)機(jī)房的物理安全應(yīng)該在數(shù)據(jù)中心設(shè)計(jì)、建設(shè)的階段就規(guī)劃好、部署好，并且在機(jī)房投入運(yùn)行后由內(nèi)部或外部的專業(yè)人員定期進(jìn)行檢查、評(píng)估，以保障相應(yīng)措施的合理性、有效性，降低安全風(fēng)險(xiǎn)。計(jì)算機(jī)機(jī)房物理安全的設(shè)計(jì)和評(píng)估工作首先要滿足國家的相關(guān)規(guī)范，智慧園區(qū)方面，需主要參考《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。計(jì)算機(jī)機(jī)房物理安全涉及計(jì)算機(jī)機(jī)房物理環(huán)境的防護(hù)、計(jì)算機(jī)機(jī)房場地安全和操作室場地安全三個(gè)方面。物聯(lián)網(wǎng)安全物聯(lián)網(wǎng)的構(gòu)成要素包括傳感器、傳輸系統(tǒng)（泛在網(wǎng)）和處理系統(tǒng)，因此，物聯(lián)網(wǎng)的安全形態(tài)是表現(xiàn)在這三個(gè)要素上。具體針對(duì)物理安全而言，主要表現(xiàn)在傳感器的方面，包括對(duì)傳感器的干擾、屏蔽和信號(hào)截獲等，所以需要在物理安全層面保證物聯(lián)網(wǎng)信息采集節(jié)點(diǎn)不被欺騙、控制、破壞、防止采集的信息被竊聽、篡改、偽造和重放攻擊，主要涉及傳統(tǒng)技術(shù)和RFID的安全。在物聯(lián)網(wǎng)層次模型中，物理安全對(duì)應(yīng)于物聯(lián)網(wǎng)的感知層的安全。當(dāng)前感知層采用的安全技術(shù)包括：高速密碼芯片、密碼技術(shù)和PKI公鑰基礎(chǔ)設(shè)施等。安全威脅物聯(lián)網(wǎng)的安全威脅主要來自終端感應(yīng)設(shè)備數(shù)據(jù)準(zhǔn)入及數(shù)據(jù)傳輸鏈路的安全。因?yàn)橹腔蹐@區(qū)的數(shù)據(jù)采集設(shè)備分布在城的各個(gè)角落，暴露在公眾范圍，這給整個(gè)信息系統(tǒng)帶來很多不可控的因素，只有制定嚴(yán)格的安全準(zhǔn)入策略，識(shí)別未經(jīng)授權(quán)的威脅信息以及對(duì)威脅信息的安全隔離措施，才能保障核心系統(tǒng)不受侵害。物聯(lián)網(wǎng)安全威脅可分為感知層安全威脅、傳輸層安全威脅、處理層安全威脅三類：感知層安全威脅感知層的任務(wù)是全面感知外界信息，或者說是原始信息收集器。該層的典型設(shè)備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS)、激光掃描儀等?？赡苡龅降膯栴}包括：(1）由于感知節(jié)點(diǎn)監(jiān)測網(wǎng)絡(luò)的不同內(nèi)容、提供各種不同格式的事件數(shù)據(jù)來表征網(wǎng)絡(luò)系統(tǒng)當(dāng)前的狀態(tài)。然而，這些傳感智能節(jié)點(diǎn)又容易受侵。(2）標(biāo)簽信息的截獲和對(duì)這些信息的破解。這些信息可以通過無線網(wǎng)絡(luò)平臺(tái)傳輸，這會(huì)給信息的安全代理影響。(3）傳感網(wǎng)的節(jié)點(diǎn)受來自網(wǎng)絡(luò)的DoS攻擊。因?yàn)閭鞲芯W(wǎng)通常要接入其他外在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)），所以就難免受到來自外部網(wǎng)絡(luò)的攻擊。主要攻擊除了非法訪問外，拒絕服務(wù)（DoS）攻擊也最為常見。傳感網(wǎng)節(jié)點(diǎn)的資源（計(jì)算和通信能力）有限，對(duì)抗DoS攻擊的能力比較脆弱，在互聯(lián)網(wǎng)環(huán)境里并不嚴(yán)重的DoS攻擊行為，在物聯(lián)網(wǎng)中就可能造成傳感網(wǎng)癱瘓。傳輸層安全威脅物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺樱缓筮M(jìn)行信息處理。在信息傳輸中，可能經(jīng)過一個(gè)或多個(gè)不同架構(gòu)的網(wǎng)絡(luò)進(jìn)行信息交接。在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，可能產(chǎn)生信息安全隱患?；ヂ?lián)網(wǎng)的安全問題都可能傳導(dǎo)到物聯(lián)網(wǎng)的傳輸層，甚至產(chǎn)生更嚴(yán)重的問題。物聯(lián)網(wǎng)傳輸層將會(huì)遇到以下安全問題：(1)DoS攻擊、DDoS攻擊。由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，而且以集群方式存在，會(huì)產(chǎn)生大量的數(shù)據(jù)需要傳播，這些巨量的數(shù)據(jù)會(huì)使網(wǎng)絡(luò)擁塞，以至于產(chǎn)生拒絕服務(wù)攻擊；(2）假冒攻擊、中間人攻擊等；(3）跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。處理層安全威脅處理層對(duì)接收的信息加以處理。它需要判斷哪些信息是有用的信息，哪些是垃圾信息甚至是惡意信息。處理的數(shù)據(jù)既有一般性數(shù)據(jù)，也有操作指令。特別值得警惕的是錯(cuò)誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡(luò)傳輸錯(cuò)誤、得到惡意修改等），或者是攻擊者的惡意指令。如何識(shí)別有用的信息，又如何甄別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網(wǎng)處理層的主要安全問題。這些問題包括：(1）由于超大量終端提供了海量的數(shù)據(jù)，來不及識(shí)別和處理；(2）智能設(shè)備的智能失效，導(dǎo)致效率嚴(yán)重下降；(3）自動(dòng)處理失控；(4）無法實(shí)現(xiàn)災(zāi)難控制并從災(zāi)難中恢復(fù)；(5）非法人為干預(yù)造成故障；(6）設(shè)備從網(wǎng)絡(luò)中邏輯丟失。物聯(lián)網(wǎng)的安全對(duì)策節(jié)點(diǎn)安全由于物聯(lián)網(wǎng)常常應(yīng)用在無人看管的場合，要完全保障這些設(shè)備的物理安全并不容易，但可以保障即使在這些設(shè)備被破壞的情況下，不會(huì)造成整個(gè)系統(tǒng)的毀壞。可以采取的措施有：(1）在網(wǎng)絡(luò)的關(guān)鍵位置要有冗余的傳感器，能夠替代已經(jīng)損壞的傳感器，做到網(wǎng)絡(luò)的自愈。(2）在通信前對(duì)節(jié)點(diǎn)與節(jié)點(diǎn)之間進(jìn)行身份認(rèn)證，可以通過對(duì)稱密碼或非對(duì)稱密碼方案解決。(3）通過限制網(wǎng)絡(luò)的發(fā)包速度和同一數(shù)據(jù)包的重傳次數(shù)，來阻止利用協(xié)議漏洞，通過持續(xù)通信的方式使節(jié)點(diǎn)能量資源的耗盡攻擊。傳輸安全在內(nèi)部，使用密鑰管理機(jī)制，用于保障內(nèi)部通信的安全。通信時(shí)建立一個(gè)臨時(shí)會(huì)話密鑰，而認(rèn)證性使用對(duì)稱密碼的認(rèn)證方案需要預(yù)置節(jié)點(diǎn)間的共享密鑰。如果要提高安全性，也可以使用非對(duì)稱密碼技術(shù)。建立端到端認(rèn)證機(jī)制、端到端密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法選取機(jī)制等。其它安全措施除了以上安全機(jī)制外，還可以采用以下策略：(1）入侵檢測和病毒檢測，這與互聯(lián)網(wǎng)一致；(2）惡意指令分析和預(yù)防，訪問控制及災(zāi)難恢復(fù)機(jī)制；(3）保密日志跟蹤和行為分析，惡意行為模型的建立；(4）密文查詢、挖掘與安全相關(guān)的數(shù)據(jù)、安全多方計(jì)算、安全云計(jì)算技術(shù)等；(5）移動(dòng)設(shè)備文件（包括秘密文件）的可備份和恢復(fù)；(6）移動(dòng)設(shè)備識(shí)別、定位和追蹤機(jī)制?；A(chǔ)架構(gòu)安全智慧園區(qū)龐大復(fù)雜的信息系統(tǒng)對(duì)企IT基礎(chǔ)架構(gòu)提出了更多要求，信息技術(shù)發(fā)展所帶來的高效率和高風(fēng)險(xiǎn)并存。對(duì)信息系統(tǒng)中的網(wǎng)絡(luò)、服務(wù)器和端點(diǎn)進(jìn)行主動(dòng)實(shí)施威脅和安全漏洞的監(jiān)視和管理對(duì)于鉗制新興威脅，防止它們對(duì)系統(tǒng)組件及相關(guān)人員和業(yè)務(wù)流程產(chǎn)生負(fù)面影響至關(guān)重要。信息系統(tǒng)應(yīng)該從三個(gè)層面考慮網(wǎng)絡(luò)安全，即網(wǎng)絡(luò)架構(gòu)安全、網(wǎng)絡(luò)安全技術(shù)部署和網(wǎng)絡(luò)設(shè)備安全配置，并通過不斷地評(píng)估和優(yōu)化提高用戶整體的網(wǎng)絡(luò)安全水平。網(wǎng)絡(luò)架構(gòu)安全主要包含安全區(qū)域劃分和安全邊界定義、結(jié)構(gòu)冗余性、服務(wù)器和終端桌面的安全接入。網(wǎng)絡(luò)安全技術(shù)主要包括問題控制、病毒及入侵防御、內(nèi)容安全、認(rèn)證和授權(quán)，以及審計(jì)跟蹤等。網(wǎng)絡(luò)設(shè)備安全配置主要包括定義正確適用的安全策略/訪問策略；定期掃描，發(fā)現(xiàn)網(wǎng)絡(luò)/安全設(shè)備中漏洞；及時(shí)升級(jí)和為系統(tǒng)打補(bǔ)??；安全報(bào)警及時(shí)處理等。VPN(VirtualPrivateNetwork）是通過internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)。根據(jù)需求，智慧園區(qū)政務(wù)云與各下級(jí)部門之間數(shù)據(jù)傳輸采用虛擬專用網(wǎng)絡(luò)SSLVPN進(jìn)行連接。SSLVPN是解決遠(yuǎn)程用戶訪問敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。智慧園區(qū)項(xiàng)目對(duì)安全要求高的鏈路，采用物理隔離的方法，保障數(shù)據(jù)的安全。物理隔離主要分兩種：雙網(wǎng)隔離計(jì)算機(jī)、物理隔離網(wǎng)閘。物理隔離網(wǎng)閘采用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換在任意時(shí)刻，物理隔離設(shè)備只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)鏈接，即當(dāng)它與外部網(wǎng)絡(luò)相連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。在每個(gè)應(yīng)用系統(tǒng)服務(wù)器上安裝防病毒軟件，防病毒軟件串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對(duì)，從而發(fā)現(xiàn)并阻斷病毒傳播，能有效阻斷已知網(wǎng)絡(luò)病毒的傳播系統(tǒng)安全主要防護(hù)應(yīng)從操作系統(tǒng)、網(wǎng)絡(luò)層、應(yīng)用層、內(nèi)容安全和安全管理等多個(gè)層面加以考慮。主要目的是對(duì)主機(jī)節(jié)點(diǎn)進(jìn)行全面防護(hù)，與網(wǎng)絡(luò)安全防護(hù)配合，形成有層次的立體防御體系。此處的主機(jī)安全主要是指內(nèi)部用戶PC終端安全，應(yīng)采用先進(jìn)的管理技術(shù)和完善管理制度建立統(tǒng)一的終端安全的監(jiān)控、管理監(jiān)控，提高終端設(shè)備的管理效率，保護(hù)終端安全，從而保障網(wǎng)絡(luò)和信息系統(tǒng)的安全。主要通過以下技術(shù)手段管理。通過統(tǒng)一的安全基礎(chǔ)框架，將所有的安全功能納入統(tǒng)一的管理。通過網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)對(duì)接入部門內(nèi)網(wǎng)的終端訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行認(rèn)證、授權(quán)和審計(jì)。通過定制安全防護(hù)策略，對(duì)終端系統(tǒng)進(jìn)行安全加固。實(shí)現(xiàn)終端各種補(bǔ)丁程序的自動(dòng)化更新，減少系統(tǒng)漏洞。移動(dòng)智能終端面臨的安全威脅來源多樣、途徑復(fù)雜。原有移動(dòng)通信網(wǎng)中的手機(jī)安全問題依然存在，例如手機(jī)用戶標(biāo)識(shí)卡（SIM）克隆、空中竊聽、垃圾短信等?；ヂ?lián)網(wǎng)中泛濫的安全問題也同樣威脅著移動(dòng)智能終端的安全，例如軟件漏洞/后門、病毒、不良信息，等等。由于移動(dòng)智能終端的安全威脅可歸結(jié)為移動(dòng)智能終端、移動(dòng)應(yīng)用商店和第三方應(yīng)用服務(wù)三個(gè)方面，因此應(yīng)對(duì)相關(guān)安全威脅的措施手段應(yīng)主要針對(duì)移動(dòng)智能終端自身安全能力、提供應(yīng)用軟件下載和銷售的應(yīng)用商店以及向應(yīng)用軟件提升升級(jí)和內(nèi)容服務(wù)的第三方服務(wù)器三個(gè)方向進(jìn)行管理，可通過當(dāng)前的主流BYOD（BringYourOwnDevice，指攜帶自己的設(shè)備辦公）解決方案進(jìn)行智能終端的安全保護(hù)及數(shù)據(jù)的防泄漏。應(yīng)用安全應(yīng)用安全，就是保障應(yīng)用程序使用的整個(gè)生命周期過程中所有過程和結(jié)果的安全。是針對(duì)應(yīng)用程序或工具在使用過程中可能出現(xiàn)的計(jì)算、數(shù)據(jù)傳輸?shù)男孤逗褪Ц`，通過相關(guān)安全工具、策略和控制流程來消除隱患。由于近年關(guān)于網(wǎng)絡(luò)釣魚、SQL注入和跨站腳本等帶來嚴(yán)重后果的攻擊事件的頻頻報(bào)道，嚴(yán)重影響了人們對(duì)Web應(yīng)用的信心。目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?duì)應(yīng)用自身弱點(diǎn)的攻擊。智慧園區(qū)在安全建設(shè)中，應(yīng)用安全已成為重點(diǎn)主題之一。因此，我們?yōu)橹腔蹐@區(qū)應(yīng)用系統(tǒng)定義了遵循國際標(biāo)準(zhǔn)的安全基線總體框架。安全基線是一個(gè)信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風(fēng)險(xiǎn)之間進(jìn)行平衡，而安全基線正是這個(gè)平衡的合理的分界線。不滿足系統(tǒng)最基本的安全需求，也就無法承受由此帶來的安全風(fēng)險(xiǎn)，而非基本安全需求的滿足同樣會(huì)帶來超額安全成本的付出，所以構(gòu)造信息系統(tǒng)安全基線已經(jīng)成為系統(tǒng)安全工程的首要步驟，同時(shí)也是進(jìn)行安全評(píng)估、解決信息系統(tǒng)安全性問題的先決條件。密碼技術(shù)是保護(hù)信息系統(tǒng)安全的基礎(chǔ)技術(shù)之一，密碼技術(shù)可以保證數(shù)據(jù)的保密性和完整性，同時(shí)它還具有身份認(rèn)證和數(shù)字簽名的功能。從密碼體制方面來說，密碼技術(shù)可分為對(duì)稱密鑰密碼技術(shù)和非對(duì)稱密鑰密碼技術(shù)兩大類。在應(yīng)用系統(tǒng)中常用的密碼技術(shù)主要有以下幾種：加密（Encryption）就是指通過特定的加密算法對(duì)數(shù)據(jù)進(jìn)行變換，將明文（Plaintext）轉(zhuǎn)換成密文（Cryptograph）；解密（Decryption）是加密的逆過程，解密的過程就是將密文還原為明文。數(shù)字簽名是指通過密碼算法對(duì)原始數(shù)據(jù)信息進(jìn)行加密處理后，生成一段原始數(shù)據(jù)信息的信息標(biāo)識(shí)，這段信息標(biāo)識(shí)稱為原始數(shù)據(jù)信息的數(shù)字簽名。通常數(shù)字簽名和原始數(shù)據(jù)信息是放在一起發(fā)送的，這樣便于信息的接受者對(duì)其進(jìn)行驗(yàn)證，數(shù)字簽名是對(duì)現(xiàn)實(shí)中手寫簽名和印章的模擬，數(shù)字簽名只有信息發(fā)送方一人能產(chǎn)生，這種唯一性對(duì)應(yīng)了原始數(shù)據(jù)信息的來源。數(shù)字簽名具有驗(yàn)證數(shù)據(jù)完整性和信息來源不可否認(rèn)性的功能，這正是PKI體系提供的核心功能。在應(yīng)用系統(tǒng)中，較小的數(shù)據(jù)可以直接簽名，而較大的數(shù)據(jù)或文件通常先對(duì)其作數(shù)據(jù)摘要后再對(duì)數(shù)據(jù)摘要作數(shù)字簽名。應(yīng)用系統(tǒng)跟其他系統(tǒng)通信時(shí)大都是通過發(fā)送接收?qǐng)?bào)文方式進(jìn)行的，除比較常用的ISO8583，sop報(bào)文等，還有比較多的就是自定義的報(bào)文格式，自定義報(bào)文需要解決報(bào)文的保密性和完整性問題，報(bào)文的完整性可以通過加密算法生成原始報(bào)文的報(bào)文標(biāo)識(shí)來識(shí)別，這個(gè)加密后的報(bào)文標(biāo)識(shí)稱為原始報(bào)文的識(shí)別碼，也叫報(bào)文校驗(yàn)碼MAC（MessageAuthenticationCode）。而報(bào)文的保密性可以通過對(duì)整個(gè)報(bào)文及其識(shí)別碼進(jìn)行加密處理來完成，實(shí)際應(yīng)用中識(shí)別碼通?？梢酝ㄟ^單向散列函數(shù)對(duì)原始報(bào)文作數(shù)據(jù)摘要得到，然后對(duì)原始報(bào)文和數(shù)據(jù)摘要作對(duì)稱加密，這樣既保證了報(bào)文的完整性，同時(shí)也保證了報(bào)文的保密性，這里對(duì)稱加密算法的密鑰分發(fā)是主要問題。數(shù)字信封DE（DigitalEnvelope）是指信息發(fā)送方在通訊雙發(fā)首次通訊時(shí)，使用對(duì)方的公鑰對(duì)雙方的通訊密鑰SK（SymmentricKey）進(jìn)行加密，形成一個(gè)數(shù)字信封，然后發(fā)給接收方，接收方收到數(shù)字信封后進(jìn)行拆封操作，用自己的私鑰對(duì)信封進(jìn)行解密得到通訊密鑰，然后雙方可以用通信密鑰對(duì)自己發(fā)送的信息進(jìn)行對(duì)稱加密[2]。這樣既解決了對(duì)稱加密的密鑰分配問題又提高了雙方通訊加密的效率，畢竟非對(duì)稱加密算法比對(duì)稱加密算法效率要低下。PKI體系是由政策機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)和注冊(cè)機(jī)構(gòu)組成的，通過使用單向散列函數(shù)、非對(duì)稱加密體制等加密解密技術(shù)，安全套接字協(xié)議SSL，LDAP協(xié)議（LightweightDirectoryAccessProtocol），X.509證書標(biāo)準(zhǔn)等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證和數(shù)字簽名等功能，從而保證數(shù)據(jù)保密性、完整性、真實(shí)性和不可否認(rèn)性的一種技術(shù)體系。PKI體系很好地解決了網(wǎng)上銀行的大部分安全需求，對(duì)網(wǎng)上銀行的數(shù)據(jù)安全和業(yè)務(wù)邏輯安全提供了有力的支持。CA是PKI體系的主要實(shí)體，數(shù)字證書是CA的主要產(chǎn)品，CA通過數(shù)字證書的應(yīng)用來實(shí)現(xiàn)PKI體系所提供的功能。數(shù)據(jù)安全數(shù)據(jù)是智慧園區(qū)最根本的價(jià)值，數(shù)據(jù)安全的重要性隨著智慧園區(qū)信息系統(tǒng)應(yīng)用的依賴程度不斷提高。隨著物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)的發(fā)展，智慧園區(qū)越來越龐大和重要的數(shù)據(jù)迫切需要進(jìn)行安全保護(hù)。數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性和雙向強(qiáng)制身份認(rèn)證等；二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息儲(chǔ)存手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份和異地容災(zāi)等手段保證數(shù)據(jù)的安全。數(shù)據(jù)安全是一種主動(dòng)的防護(hù)措施，必須依靠可靠、完整的安全體系與安全技術(shù)來實(shí)現(xiàn)。有關(guān)數(shù)據(jù)安全的內(nèi)容可以簡化為以下三個(gè)基本點(diǎn)。機(jī)密性機(jī)密性又稱保密性，是指個(gè)人或團(tuán)體的信息不為其他不應(yīng)獲得者獲得。完整性數(shù)據(jù)完整性是指在傳輸、儲(chǔ)存信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權(quán)地篡改或在篡改后能夠被迅速發(fā)現(xiàn)?？捎眯詳?shù)據(jù)可用性是一種以使用者為中心的設(shè)計(jì)概念，可用性設(shè)計(jì)重點(diǎn)在于讓產(chǎn)品的設(shè)計(jì)能夠符合使用者的習(xí)慣和需求，也就是在確保數(shù)據(jù)機(jī)密性和完整性的同時(shí)，也要確保數(shù)據(jù)可以被使用者方便使用。不能一味強(qiáng)調(diào)機(jī)密和完整，而忽略數(shù)據(jù)存在的根本意義是被使用和處理。數(shù)據(jù)安全保護(hù)框架數(shù)據(jù)生命周期安全為應(yīng)對(duì)因生命周期帶來的挑戰(zhàn)，必須從數(shù)據(jù)的整個(gè)生存周期考慮，針對(duì)數(shù)據(jù)生命周期的不同階段，設(shè)計(jì)有針對(duì)性的解決方案。通過覆蓋數(shù)據(jù)生命周期的整體解決方案，最終實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)如文件數(shù)據(jù)、應(yīng)用數(shù)據(jù)的基于策略的自動(dòng)管理，包括數(shù)據(jù)的分類、備份、發(fā)布、遷移、歸檔和刪除，實(shí)現(xiàn)全面的數(shù)據(jù)儲(chǔ)存管理自動(dòng)化。在提高現(xiàn)有儲(chǔ)存資源利用率的同時(shí)，提高數(shù)據(jù)的可用性。數(shù)據(jù)泄露保護(hù)采取數(shù)據(jù)泄露安全的目的就是建立敏感數(shù)據(jù)的安全邊界，通過采取相應(yīng)的技術(shù)措施，為各種數(shù)據(jù)建立一個(gè)關(guān)于數(shù)據(jù)的安全邊界。理論上來說，這些數(shù)據(jù)只要還在安全邊界內(nèi)，就能保證其是安全的。數(shù)據(jù)的防泄漏保護(hù)需要一套完整的體系，也是多種系統(tǒng)的集成，用以解決不同類型用戶的不同需求。根據(jù)所屬的位置的不同，數(shù)據(jù)泄露安全保護(hù)可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄露安全保護(hù)和基于主機(jī)的數(shù)據(jù)泄露安全保護(hù)。基于網(wǎng)絡(luò)的數(shù)據(jù)泄露安全保護(hù)通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)區(qū)域的互聯(lián)網(wǎng)的接口處，所針對(duì)的對(duì)象是進(jìn)出各網(wǎng)絡(luò)區(qū)域的所有數(shù)據(jù)?；谥鳈C(jī)的數(shù)據(jù)泄露安全保護(hù)則部署在存放敏感數(shù)據(jù)的主機(jī)上，當(dāng)發(fā)現(xiàn)被保護(hù)主機(jī)上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機(jī)時(shí)，基于主機(jī)的數(shù)據(jù)泄露安全保護(hù)方案會(huì)采取攔截或警報(bào)等行為。智慧園區(qū)環(huán)境下，兩種方案通常需同時(shí)部署。數(shù)據(jù)加密數(shù)據(jù)加密功能是幫助客戶克服與部署全面的端點(diǎn)安全解決方案相關(guān)的困難，通過將安全性構(gòu)建在最常用的應(yīng)用中，能夠保護(hù)保存在PC、儲(chǔ)存器、智能終端等任何地方的數(shù)據(jù)。幫助用戶一致地執(zhí)行公司和法定安全策略。通過基于平臺(tái)的端點(diǎn)數(shù)據(jù)加密，能夠通過擴(kuò)展來提供大量的數(shù)據(jù)安全選項(xiàng)，具體取決于數(shù)據(jù)保存位置、共享方式和用戶。統(tǒng)一的加密平臺(tái)具有卓越的運(yùn)行效率和可擴(kuò)展性，能夠適應(yīng)增長。數(shù)據(jù)歸檔數(shù)據(jù)歸檔技術(shù)就是應(yīng)對(duì)這一問題有效的解決方案。與存儲(chǔ)不同，備份用于高速復(fù)制和恢復(fù)來減少故障、人員錯(cuò)誤或?yàn)?zāi)難的影響，數(shù)據(jù)歸檔的作用并不限于“恢復(fù)”一個(gè)應(yīng)用程序或業(yè)務(wù)，還要能夠方便地檢索。數(shù)據(jù)歸檔系統(tǒng)的最基本目的是將歷史數(shù)據(jù)安全地、低成本地存儲(chǔ)起來，在需要時(shí)可方便地搜尋到。因此，數(shù)據(jù)歸檔并不是生產(chǎn)數(shù)據(jù)的“復(fù)制”，而是一段信息的基本版本，經(jīng)常是當(dāng)前失效的或不再改變的數(shù)據(jù)。實(shí)際上，當(dāng)數(shù)據(jù)停止改變或不被頻繁使用時(shí)，最好把他們轉(zhuǎn)移到一個(gè)文檔，使之存儲(chǔ)在日常的備份窗口外，但仍能隨時(shí)的接入。用于數(shù)據(jù)歸檔的存儲(chǔ)平臺(tái)也同樣重要。理想的情況是，數(shù)據(jù)歸檔存儲(chǔ)系統(tǒng)應(yīng)能滿足長期保存活躍歸檔數(shù)據(jù)的需求，并易于擴(kuò)展和管理，總擁有成本也要低于生產(chǎn)環(huán)境。先進(jìn)的數(shù)據(jù)歸檔平臺(tái)還能保證內(nèi)容的真實(shí)性、內(nèi)容位置獨(dú)立性，以及具有內(nèi)置復(fù)制功能。災(zāi)難備份為了災(zāi)難恢復(fù)而對(duì)數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)計(jì)、技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份的過程稱為災(zāi)難備份。災(zāi)難備份是災(zāi)難恢復(fù)的基礎(chǔ)，是圍繞著災(zāi)難恢復(fù)所進(jìn)行的各類備份工作，災(zāi)難恢復(fù)不僅包含難備份，更注重的是業(yè)務(wù)恢復(fù)。建設(shè)集合各縣級(jí)兩級(jí)數(shù)據(jù)中心資源，形成“兩地雙中心”數(shù)據(jù)中心互為災(zāi)備格局。災(zāi)備中心的建立，將為主數(shù)據(jù)中心提供一個(gè)應(yīng)用級(jí)數(shù)據(jù)或數(shù)據(jù)級(jí)容災(zāi)，一旦主數(shù)據(jù)中心出現(xiàn)問題，災(zāi)備中心可以直接接管業(yè)務(wù)或保護(hù)數(shù)據(jù)。確定所有包含敏感信息的數(shù)據(jù)庫服務(wù)器，并理解如何通過各種資源進(jìn)行訪問（業(yè)務(wù)線應(yīng)用程序、批處理、特別查詢、應(yīng)用程序開發(fā)人員、管理員等）。在所存儲(chǔ)信息的敏感程度未知時(shí)保護(hù)信息并控制風(fēng)險(xiǎn)。在哪些信息應(yīng)符合具體規(guī)范不明確的情況下確保遵從性。利用數(shù)據(jù)庫自動(dòng)發(fā)現(xiàn)和信息分類來確定將機(jī)密數(shù)據(jù)存儲(chǔ)在何處，隨后利用可自定義的分類標(biāo)簽來自動(dòng)實(shí)施安全策略，將其應(yīng)用于特定類別的敏感對(duì)象。這些策略可確保敏感信息僅可被授權(quán)用戶查看和/或更改。定期執(zhí)行敏感數(shù)據(jù)發(fā)現(xiàn)任務(wù)，以防止引入惡意服務(wù)器，確保沒有任何重要信息會(huì)“被遺忘”。數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對(duì)真實(shí)數(shù)據(jù)進(jìn)行改造并提供測試使用，如身份證號(hào)、手機(jī)號(hào)、卡號(hào)、客戶號(hào)等個(gè)人信息都需要進(jìn)行數(shù)據(jù)脫敏。例如用相似的字符替代一些字段；用屏蔽字符（例如，‘x’）替代字符；用虛擬的姓氏替代真正的姓氏，以及在數(shù)據(jù)庫數(shù)列中對(duì)數(shù)據(jù)進(jìn)行重組。數(shù)據(jù)庫安全性評(píng)估將掃描整個(gè)數(shù)據(jù)庫基礎(chǔ)設(shè)施，查找漏洞，并使用實(shí)時(shí)和歷史數(shù)據(jù)提供對(duì)數(shù)據(jù)庫安全狀態(tài)的連續(xù)評(píng)估。評(píng)估可分為兩大類別：漏洞和配置測試檢查漏洞，例如缺少補(bǔ)丁、特權(quán)和默認(rèn)賬戶配置錯(cuò)誤等。行為測試實(shí)時(shí)監(jiān)控所有數(shù)據(jù)庫，根據(jù)訪問和操縱數(shù)據(jù)庫的方式來識(shí)別漏洞——例如登錄失敗次數(shù)過多、客戶端執(zhí)行管理命令或非工作時(shí)間的登錄。監(jiān)控和實(shí)時(shí)數(shù)據(jù)庫安全性與變更控制策略防止特權(quán)賬戶執(zhí)行未經(jīng)授權(quán)或惡意操作或者來自惡意用戶或外部用戶的攻擊。識(shí)別通過多層應(yīng)用程序（這些多層應(yīng)用程序通過通用服務(wù)賬戶訪問數(shù)據(jù)庫）對(duì)數(shù)據(jù)庫進(jìn)行未授權(quán)更改的應(yīng)用程序用戶。所有數(shù)據(jù)庫流量的連續(xù)上下文分析實(shí)時(shí)連續(xù)地監(jiān)控所有數(shù)據(jù)庫操作，利用正在申請(qǐng)專利的語言分析，根據(jù)各SQL事務(wù)的具體上下文信息來檢測未經(jīng)授權(quán)的操作。這種獨(dú)特的方法可最小化假陽性和陰性現(xiàn)象，同時(shí)提供無與倫比的控制水平，不同于僅尋找預(yù)定義模板或簽名的傳統(tǒng)方法。設(shè)定基準(zhǔn)以檢測異常行為并自動(dòng)化策略定義通過建立基準(zhǔn)，并識(shí)別正常的業(yè)務(wù)流程和存在異常活動(dòng)的業(yè)務(wù)流程，系統(tǒng)即自動(dòng)推薦可用于防止SQL注入等攻擊的策略?？赏ㄟ^直觀的下拉菜單輕松添加自定義策略。前瞻、實(shí)時(shí)的安全性前瞻性的響應(yīng)未經(jīng)授權(quán)或異常的行為?；诓呗缘男袆?dòng)可包括實(shí)時(shí)安全警報(bào)（SMTP、SNMP、Syslog）、軟件阻塞、啟用完整日志記錄、隔離用戶和自定義操作，例如VPN端口關(guān)閉和與周邊IDS/IPS系統(tǒng)協(xié)調(diào)一致。跟蹤和解決安全事件遵從法規(guī)要求組織證明自己即時(shí)的記錄、分析、解決了所有意外事件，并向管理者做了報(bào)告。業(yè)務(wù)用戶界面和工作流自動(dòng)化，用于應(yīng)對(duì)安全事件，此外還提供了一個(gè)儀表板，用于跟蹤關(guān)鍵指標(biāo)，例如開放的意外事件、嚴(yán)重度級(jí)別和意外事件開放的時(shí)長。配置細(xì)粒度審計(jì)跟蹤記錄建所有數(shù)據(jù)庫活動(dòng)的連續(xù)、細(xì)粒度的跟蹤記錄，根據(jù)上下文實(shí)時(shí)分析和篩選以便實(shí)現(xiàn)前瞻性的控制并生成審計(jì)人員所需的特定信息。所得到的報(bào)告提供對(duì)所有數(shù)據(jù)庫活動(dòng)（例如登錄失敗、特權(quán)升級(jí)、模式更改、非工作時(shí)間訪問或未經(jīng)授權(quán)的應(yīng)用程序訪問、敏感表訪問）的可見性，并以此來體現(xiàn)遵從性。例如，系統(tǒng)監(jiān)控以下全部內(nèi)容：身份訪問安全身份和訪問安全通常定義為身份驗(yàn)證、訪問管理和身份生命周期管理三部分。它有助于組織識(shí)別訪問系統(tǒng)、應(yīng)用和數(shù)據(jù)的用戶身份，確保只有經(jīng)過授權(quán)的用戶才可以訪問，從而保護(hù)這些資產(chǎn)的安全，降低管理成本，增強(qiáng)用戶體驗(yàn)，支持遵從性，幫助提高對(duì)人員人份的信任度。要想在物理和邏輯環(huán)境中有效地進(jìn)行身份管理和訪問管理，則必須在整個(gè)身份生命周期中管理用戶身份和資源訪問權(quán)限，包括身份生命周期管理，用戶自主維護(hù)、注冊(cè)、驗(yàn)證、配置、重新驗(yàn)證和取消配置身份控制，訪問和隱私控制、角色管理、單點(diǎn)登錄（SSO:SingleSignOn）和審計(jì)訪問授權(quán)。訪問授權(quán)可在用戶的整個(gè)生命周期內(nèi)（跨多個(gè)環(huán)境和安全域）及時(shí)地提供訪問。身份驗(yàn)證 身份驗(yàn)證管理需要能夠集中地自動(dòng)實(shí)現(xiàn)用戶賬號(hào)和審批工作流的創(chuàng)建，從整體角度設(shè)置IT和非IT資源，并通過自動(dòng)化流程降低成本。借助集成化的單次登錄及個(gè)性化的門戶自服務(wù)（包括密碼重置），提升用戶的生產(chǎn)效率。借助當(dāng)前功能強(qiáng)大的身份識(shí)別和識(shí)別存儲(chǔ)技術(shù)，身份識(shí)別管理范圍可以涵蓋智慧園區(qū)管理涉及的身份識(shí)別的各個(gè)環(huán)節(jié)。從員工入職工作、合作機(jī)構(gòu)簽約或客戶訪問系統(tǒng)開始，他就能追蹤、管理并自動(dòng)實(shí)現(xiàn)需要的系統(tǒng)訪問變更，同時(shí)啟動(dòng)所有的工作流和批準(zhǔn)過程。 訪問管理 管理用戶訪問在智慧園區(qū)應(yīng)用系統(tǒng)中是一項(xiàng)復(fù)雜的工作。員工、政府企業(yè)機(jī)構(gòu)及個(gè)人用戶要求跨不同平臺(tái)和操作系統(tǒng)，安全地訪問關(guān)鍵型業(yè)務(wù)應(yīng)用。許多分布式操作系統(tǒng)支持管理員訪問所有信息，這也意味著諸如患者信息或敏感商業(yè)計(jì)劃等信息的私密性可能遭到破壞。管理訪問也意味著對(duì)被認(rèn)證的用戶訪問所有類型的資源進(jìn)行控制，同時(shí)確保強(qiáng)大的安全策略始終如一地應(yīng)用到所有職員。 訪問管理解決方案通過集中和強(qiáng)化的端到端的安全性，保證業(yè)務(wù)關(guān)鍵性資產(chǎn)的安全，而無需受限于操作系統(tǒng)、平臺(tái)、業(yè)務(wù)應(yīng)用以及是否是Web資源。集中管理會(huì)同提升生產(chǎn)效率的個(gè)性化以及統(tǒng)一的安全策略，可以確保降低成本。借助主動(dòng)的動(dòng)態(tài)安全措施，這些解決方案能夠提供最強(qiáng)大的保護(hù)，因此能夠在防止內(nèi)部破壞和外部攻擊的同時(shí)，全面監(jiān)控IT和物理訪問設(shè)備的違規(guī)使用。 用戶生命周期管理用戶生命周期管理主要是針對(duì)智慧園區(qū)各個(gè)系統(tǒng)的內(nèi)部用戶。生命周期管理是指IT系統(tǒng)用戶的管理應(yīng)和其他在內(nèi)部的人事流程相關(guān)，同時(shí)也是受其驅(qū)動(dòng)的。通常內(nèi)部用戶的人事關(guān)系發(fā)生變動(dòng)后，其在統(tǒng)一用戶管理系統(tǒng)中的用戶狀態(tài)能夠做相應(yīng)的調(diào)整，用戶的生命周期管理能夠根據(jù)其人事管理過程中的演進(jìn)進(jìn)而發(fā)生變化。構(gòu)建該體系需要從整體考慮信息系統(tǒng)的身份管理流程，制定相應(yīng)的規(guī)范，加強(qiáng)身份管理和認(rèn)證的安全性，從而保障系統(tǒng)的安全、可靠運(yùn)行。作為信息安全體系技術(shù)架構(gòu)的重要組成部分，身份管理與認(rèn)證是建成信息安全保障體系的關(guān)鍵技術(shù)類項(xiàng)目。作為共享的重要信息安全基礎(chǔ)設(shè)施，身份管理與認(rèn)證為業(yè)務(wù)流程在系統(tǒng)中實(shí)現(xiàn)提供安全的身份認(rèn)證，并降低系統(tǒng)建設(shè)與集成的復(fù)雜性和成本，提高信息系統(tǒng)的安全防護(hù)能力。集中身份管理也作為提高身份管理效率的措施，可以有效避免用戶身份管理不一致，無法適應(yīng)信息系統(tǒng)大規(guī)模應(yīng)用、影響信息技術(shù)應(yīng)用情況，從而保證信息系統(tǒng)向用戶提供服務(wù)的可能性。集中身份管理與統(tǒng)一認(rèn)證授權(quán)服務(wù)能夠解決應(yīng)用系統(tǒng)用戶賬號(hào)管理復(fù)雜、口令安全性不足等信息安全問題，是安全、有效地達(dá)到等級(jí)保護(hù)和內(nèi)控合規(guī)性要求的重要措施。安全區(qū)域劃分及邊界控制在智慧園區(qū)信息系統(tǒng)的安全體系建設(shè)中，整體的安全區(qū)域劃分及網(wǎng)絡(luò)邊界控制，屬于信息安全技術(shù)防護(hù)中的基礎(chǔ)架構(gòu)安全部分，但由于該部分內(nèi)容比較重要，所以單獨(dú)提出，用作智慧園區(qū)平臺(tái)安全基礎(chǔ)架構(gòu)的設(shè)計(jì)依據(jù)。依照智慧園區(qū)的規(guī)劃，整體的安全區(qū)域劃分邊界控制，主要針對(duì)以當(dāng)前的電子政務(wù)外網(wǎng)信息機(jī)房為依托建成的云計(jì)算中心，對(duì)核心服務(wù)和數(shù)據(jù)進(jìn)行安全隔離設(shè)計(jì)，提升安全保障控制能力。根據(jù)當(dāng)前模塊，共劃分為應(yīng)用服務(wù)器區(qū)域、平臺(tái)服務(wù)器區(qū)域、運(yùn)維管理區(qū)域、辦公接入?yún)^(qū)域、下級(jí)行政單位（縣、鄉(xiāng)鎮(zhèn)社區(qū)）接入?yún)^(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、企事業(yè)單位接入?yún)^(qū)域和DMZ（隔離區(qū)，Demilitarizedzone）區(qū)域。未來可根據(jù)規(guī)模的擴(kuò)張，依據(jù)現(xiàn)有架構(gòu)思想，新建或分割當(dāng)前的區(qū)域。智慧園區(qū)的安全區(qū)域劃分設(shè)計(jì)，可規(guī)劃為安全區(qū)、非安全區(qū)和半安全區(qū)。其中，應(yīng)用服務(wù)器區(qū)、平臺(tái)服務(wù)器區(qū)和運(yùn)維管理區(qū)均為安全區(qū)；DMZ區(qū)為半安全區(qū)；辦公接入?yún)^(qū)、鄉(xiāng)鎮(zhèn)社區(qū)接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)和企事業(yè)單位接入?yún)^(qū)均為非安全區(qū)，各個(gè)區(qū)域之間執(zhí)行嚴(yán)格的網(wǎng)絡(luò)安全邊界控制。網(wǎng)絡(luò)安全邊界控制的整體規(guī)范為：非安全區(qū)只能訪問半安全區(qū)，禁止訪問安全區(qū)；半安全區(qū)可發(fā)起訪問安全區(qū)，但不能主動(dòng)發(fā)起訪問非安全區(qū)；安全區(qū)只能訪問本區(qū)域內(nèi)容，不能主動(dòng)發(fā)起訪問其他區(qū)域（運(yùn)維管理區(qū)除外）。對(duì)于智慧園區(qū)的管理和服務(wù)系統(tǒng)，所有數(shù)據(jù)主要來自幾個(gè)位置；各個(gè)專項(xiàng)智慧園區(qū)應(yīng)用系統(tǒng)的自動(dòng)或手動(dòng)上傳；互聯(lián)網(wǎng)/物聯(lián)網(wǎng)系統(tǒng)的信息收集；公共用戶的資料上傳；以及下級(jí)政府單位資料上傳等等。對(duì)于各個(gè)系統(tǒng)的資料收集，在云計(jì)算中心的DMZ區(qū)域，設(shè)立專門的數(shù)據(jù)交互平臺(tái)，各個(gè)專項(xiàng)系統(tǒng)及各類用戶，將本系統(tǒng)內(nèi)智慧園區(qū)信息所需資料手動(dòng)上傳或自動(dòng)上傳到DMZ區(qū)域的數(shù)據(jù)交互平臺(tái)。智慧園區(qū)系統(tǒng)內(nèi)部的應(yīng)用系統(tǒng)會(huì)從數(shù)據(jù)交互平臺(tái)讀取相關(guān)數(shù)據(jù)。各系統(tǒng)之間經(jīng)過嚴(yán)格權(quán)限控制，也可以通過數(shù)據(jù)交互平臺(tái)互相訪問，達(dá)到數(shù)據(jù)共享的目的。智慧園區(qū)信息安全管理體系智慧園區(qū)的安全保障體系是全方位的，需要全社會(huì)的積極配合及各職能部門的相互協(xié)調(diào)。有必要建立或健全安全管理體系和組織體系，完善安全運(yùn)行管理機(jī)制，明確各職能部門的職責(zé)和分工，從技術(shù)、管理和法律等多方面保證智慧園區(qū)的政策運(yùn)行。完善信息安全組織體系，成立以政府職能部門為主的“智慧園區(qū)”安全管理機(jī)構(gòu)，強(qiáng)化和明確其職責(zé)。在健全信息安全組織體系的基礎(chǔ)上，切實(shí)落實(shí)安全管理責(zé)任制，明確各級(jí)、各部門作為信息安全保障工作的責(zé)任人。技術(shù)部門主管或項(xiàng)目負(fù)責(zé)人作為信息安全保障工作的直接責(zé)任人，強(qiáng)化對(duì)網(wǎng)絡(luò)管理人員和操作人員的管理。加強(qiáng)信息安全配套建設(shè)，消除信息安全風(fēng)險(xiǎn)隱患，把好涉密計(jì)算機(jī)和存儲(chǔ)介質(zhì)、內(nèi)部網(wǎng)絡(luò)對(duì)外接入、設(shè)備采購和服務(wù)外包的三個(gè)重要的管理關(guān)口。對(duì)正度信息系統(tǒng)和涉及重大民生及城公共服務(wù)的重要系統(tǒng)，建立與之配套的數(shù)據(jù)備災(zāi)中心。加強(qiáng)對(duì)涉密信息的監(jiān)督管理，對(duì)相關(guān)單位將涉密信息存儲(chǔ)在聯(lián)網(wǎng)計(jì)算機(jī)上，并違反規(guī)定上互聯(lián)網(wǎng)，將涉密信息暴露在互聯(lián)網(wǎng)上的要及時(shí)糾正，并對(duì)有關(guān)人員進(jìn)行教育和處理。對(duì)網(wǎng)上發(fā)布的信息進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)泄密事件，將危害控制在最小范圍內(nèi)，使保密制度得到有效執(zhí)行和落實(shí)。建立健全信息安全制度，制定整個(gè)城市的安全方針、安全策略以及整體的安全戰(zhàn)略規(guī)劃，針對(duì)一級(jí)信息安全管理制定相應(yīng)管理制度和規(guī)范。要求基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營、使用單位根據(jù)自身情況，制定包括拿權(quán)責(zé)任制度、定期檢查制度、評(píng)估改進(jìn)制度、安全外包制度、事故報(bào)告制度等在內(nèi)的日常信息安全規(guī)章制度。開展信息安全和信息法制教育，要通過加強(qiáng)信息安全知識(shí)的普及教育，特別是對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，大力強(qiáng)化相關(guān)隊(duì)伍的安全保密意識(shí)，使網(wǎng)絡(luò)信息安全宣傳教育工作不留死角，為網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行創(chuàng)造條件。與人事制度相結(jié)合，對(duì)信息安全相關(guān)崗位的工作人員的錄用、調(diào)崗、離職有一定的管理機(jī)制，對(duì)在崗人員有相關(guān)考核，切實(shí)把好用人關(guān)。對(duì)網(wǎng)絡(luò)管理人員和涉密操作人員要簽訂保密協(xié)議，明確保密職責(zé)，實(shí)行持證上崗制度。信息安全政策法規(guī)建設(shè)政策法規(guī)智慧園區(qū)是信息和知識(shí)密集的城。信息資源開發(fā)與國家機(jī)密、商業(yè)機(jī)密和個(gè)人隱私保護(hù)之間無疑存在矛盾，但這種矛盾也非是完全不可調(diào)和的，需政府進(jìn)行政策法規(guī)方面的制定和引導(dǎo)。其一，一方面國家機(jī)密、商業(yè)秘密和個(gè)人隱私是需要保護(hù)的，但另一方面，這些信息都是有著巨大潛在市場需求的重要資源，過度的保護(hù)可能適得其反，在對(duì)某些資源存在廣泛社會(huì)需求的情況下，簡單地對(duì)資源進(jìn)行封鎖只會(huì)導(dǎo)致資源的盜用和濫用。相反，如果允許對(duì)這些資源進(jìn)行適當(dāng)?shù)拈_發(fā)，反而可能有助于資源保護(hù)。其二，“機(jī)密、秘密和隱私”都不是絕對(duì)的，這些信息有可能隨著社會(huì)環(huán)境變化而成為可公開的信息。其三，對(duì)某些真正的機(jī)密、秘密和隱私信息，可以通過某些技術(shù)手段對(duì)其進(jìn)行去隱私化處理，既屏蔽掉其中的隱私內(nèi)容，又保持其商業(yè)價(jià)值。因此，智慧園區(qū)建設(shè)應(yīng)當(dāng)拋棄“封閉就是安全、開放就是不安全”的傳統(tǒng)觀念，通過適當(dāng)?shù)募夹g(shù)手段、信息處理方法及管理制度，實(shí)現(xiàn)信息安全保障和信息資源開發(fā)的同步提升。信息安全文化普及建設(shè)面對(duì)、協(xié)商防范，建立全社會(huì)協(xié)作參與的信息安全體系。安全的發(fā)展應(yīng)用，為其社會(huì)協(xié)同應(yīng)對(duì)信息安全問題提供了技術(shù)基礎(chǔ)。每個(gè)加入信息安全服務(wù)云的用戶即是服務(wù)的對(duì)象，也是完成分布式判別功能的一個(gè)信息節(jié)點(diǎn)，提高信息安全保障的準(zhǔn)確性和及時(shí)性。安全和標(biāo)準(zhǔn)規(guī)范體系安全體系是指為保障不同層面的信息系統(tǒng)建設(shè)和運(yùn)維的安全而采用的技術(shù)和管理手段。隨著信息技術(shù)的不斷進(jìn)步和信息化建設(shè)的不斷發(fā)展，信息安全威脅不斷擴(kuò)大，全局性和群體性信息安全事件發(fā)生的可能性不斷增加，防御難度日益加大，信息安全已成為國家安全、社會(huì)安全、經(jīng)濟(jì)安全的重要組成部分。因此，建設(shè)智慧，要強(qiáng)化信息安全保障能力，維護(hù)國家、企業(yè)以及公眾利益，保護(hù)國家涉密信息、政府敏感信息、商業(yè)機(jī)密信息、個(gè)人私密信息的安全，避免信息安全事故對(duì)政治、經(jīng)濟(jì)和社會(huì)生活的嚴(yán)重影響。全生命周期安全防護(hù)體系涵蓋信息安全管理機(jī)構(gòu)、信息安全管理制度、信息安全技術(shù)體系以及信息安全運(yùn)維體系。標(biāo)準(zhǔn)規(guī)范體系是與智慧建設(shè)相關(guān)的一系列技術(shù)標(biāo)準(zhǔn)和規(guī)范。智慧標(biāo)準(zhǔn)規(guī)范體系建設(shè)目標(biāo)是全面、系統(tǒng)地梳理項(xiàng)目建設(shè)中所需的各項(xiàng)標(biāo)準(zhǔn)規(guī)范，貫徹落實(shí)已頒布的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和自治區(qū)等地方標(biāo)準(zhǔn)，在具體建設(shè)項(xiàng)目過程中由政府引導(dǎo)、相關(guān)協(xié)會(huì)或第三方機(jī)構(gòu)牽頭組織制定和完善相關(guān)標(biāo)準(zhǔn)。將標(biāo)準(zhǔn)研究編制成果和榆林信息化建設(shè)時(shí)間充分結(jié)合，以標(biāo)準(zhǔn)指導(dǎo)信息化系統(tǒng)建設(shè)，提高信息化建設(shè)成功率。智慧園區(qū)標(biāo)準(zhǔn)體系涵蓋總體框架、終端、網(wǎng)絡(luò)、資源、平臺(tái)、應(yīng)用和信息安全等各方面的標(biāo)準(zhǔn)。安全和標(biāo)準(zhǔn)規(guī)范體系安全等級(jí)保護(hù)建設(shè)方案設(shè)計(jì)目標(biāo)依照國家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》等標(biāo)準(zhǔn)，以及智慧園區(qū)項(xiàng)目對(duì)信息系統(tǒng)等級(jí)保護(hù)工作的有關(guān)規(guī)定和要求。通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。使得智慧園區(qū)信息系統(tǒng)的等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。參考標(biāo)準(zhǔn)安全等級(jí)保護(hù)工作遵循國家信息安全等級(jí)保護(hù)指南等最新安全標(biāo)準(zhǔn)開展各項(xiàng)服務(wù)工作，本項(xiàng)目建設(shè)參考依據(jù)：指導(dǎo)思想中辦〔2003〕27號(hào)文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的通知）公通字〔2004〕66號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知）公通字〔2007〕43號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知）公信安[2009]1429《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》等級(jí)保護(hù)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信安字〔2007〕10號(hào)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南系統(tǒng)定級(jí)GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南技術(shù)方面GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GA/T671-2006信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求GA/T709-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本模型GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求管理方面GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息系統(tǒng)安全工程管理要求ISO/IEC27001信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)方案設(shè)計(jì)信安秘字[2009]059《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》設(shè)計(jì)原則信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測評(píng)、信息安全檢查五個(gè)階段。信息系統(tǒng)安全等級(jí)測評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級(jí)測評(píng)在安全控制測評(píng)的基礎(chǔ)上，還要包括系統(tǒng)整體測評(píng)。針對(duì)智慧園區(qū)項(xiàng)目，建議所有涉及安全加固以及整改部分必須滿足國家有關(guān)等保三級(jí)測評(píng)的要求和標(biāo)準(zhǔn)，必須針對(duì)信息薄弱環(huán)節(jié)做好等保三級(jí)防護(hù)的安全覆蓋，等級(jí)保護(hù)整改方案的設(shè)計(jì)和實(shí)施將遵循以下原則：保密性原則：對(duì)安全服務(wù)的實(shí)施過程和結(jié)果嚴(yán)格保密，在未經(jīng)實(shí)施機(jī)構(gòu)授權(quán)的情況下不能泄露給任何單位和個(gè)人，不能利用此數(shù)據(jù)進(jìn)行任何侵害客戶權(quán)益的行為；標(biāo)準(zhǔn)性原則：服務(wù)設(shè)計(jì)和實(shí)施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；根據(jù)等級(jí)保護(hù)三級(jí)基本要求，進(jìn)行分等級(jí)分安全域進(jìn)行安全設(shè)計(jì)和安全建設(shè)。規(guī)范性原則：在各項(xiàng)安全服務(wù)工作中的過程和文檔，應(yīng)具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；可控性原則：服務(wù)所使用的工具、方法和過程都會(huì)在雙方認(rèn)可的范圍之內(nèi)，服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對(duì)服務(wù)工作的可控性；整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的IT運(yùn)行的各個(gè)層面，避免由于遺漏造成未來的安全隱患；體系化原則：在體系設(shè)計(jì)、建設(shè)中，充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的立體安全防護(hù)體系。先進(jìn)性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對(duì)安全產(chǎn)品、安全技術(shù)都充分考慮前瞻性要求，采用先進(jìn)、成熟的安全產(chǎn)品、技術(shù)和先進(jìn)的管理方法。分步驟原則：根據(jù)智慧園區(qū)項(xiàng)目建設(shè)要求，對(duì)項(xiàng)目安全保障體系進(jìn)行分期、分步驟的有序部署。安全等級(jí)保護(hù)設(shè)計(jì)計(jì)算環(huán)境安全域劃分的原則應(yīng)是：結(jié)合實(shí)際，參考國內(nèi)外標(biāo)準(zhǔn)，逐步優(yōu)化?；ヂ?lián)網(wǎng)接入域接入域包括：外網(wǎng)接入域提供互聯(lián)網(wǎng)用戶接入訪問入口、終端用戶訪問互聯(lián)網(wǎng)出口互聯(lián)網(wǎng)接入域?qū)儆谕獠炕ヂ?lián)部分，內(nèi)部連接著核心域。由于其直接暴露于互聯(lián)網(wǎng)，通過防火墻的安全策略定制，以阻止網(wǎng)絡(luò)非授權(quán)訪問的發(fā)生。并可以在防火墻上監(jiān)控外部或外圍網(wǎng)絡(luò)的工作狀況及時(shí)針對(duì)突發(fā)事件制定臨時(shí)策略。對(duì)于網(wǎng)絡(luò)的訪問行為也可以進(jìn)行相關(guān)的日志記錄。部署防火墻可以對(duì)進(jìn)出數(shù)據(jù)進(jìn)行訪問控制，并對(duì)內(nèi)部上網(wǎng)流量進(jìn)行帶寬控制和應(yīng)用協(xié)議控制，有效地防止內(nèi)部大量的P2P應(yīng)用流量帶來的網(wǎng)絡(luò)帶寬占用問題。安全管理平臺(tái)區(qū)域安全管理平臺(tái)區(qū)域：該區(qū)域主要安全設(shè)備的集中管理，包括防病毒服務(wù)器、漏洞掃描、堡壘主機(jī)、網(wǎng)絡(luò)審計(jì)、入侵檢測數(shù)據(jù)庫審計(jì)和安全管理平臺(tái)等資源，通過此平臺(tái)可以對(duì)云計(jì)算中心的整網(wǎng)安全狀況進(jìn)行有效的監(jiān)控，包括網(wǎng)絡(luò)安全狀況、數(shù)據(jù)庫安全狀況、網(wǎng)站安全狀況的進(jìn)行實(shí)時(shí)的監(jiān)控和防御。并通過安全管理平臺(tái)進(jìn)行統(tǒng)一的管理和監(jiān)控，一旦發(fā)生安全事件通過此平臺(tái)統(tǒng)一告警，生成相應(yīng)的工單系統(tǒng)。依據(jù)內(nèi)置的知識(shí)庫，定期輸出網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)分析報(bào)告。堡壘主機(jī)集賬號(hào)管理、授權(quán)管理、認(rèn)證管理和綜合審計(jì)于一體，為云計(jì)算中心提供統(tǒng)一框架，整合企業(yè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)，確保合法用戶安全、方便使用特定資源。既能有效地保障合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠的運(yùn)行。堡壘主機(jī)具備堅(jiān)強(qiáng)的安全防護(hù)能力，扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過，因此堡壘主機(jī)能夠攔截非法訪問和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷、過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為。漏洞掃描系統(tǒng)利用一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，然后對(duì)結(jié)果進(jìn)行分析，針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。有效地發(fā)現(xiàn)云計(jì)算中心中各系統(tǒng)資源存在的潛在威脅，并提供安全加固的依據(jù)。網(wǎng)絡(luò)審計(jì)系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中，不影響網(wǎng)絡(luò)的性能，具有即時(shí)的網(wǎng)絡(luò)數(shù)據(jù)采集能力、強(qiáng)大的審計(jì)分析功能以及智能的信息處理能力。通過數(shù)據(jù)的抓取，可實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)庫的操作過程進(jìn)行審計(jì)，有效保護(hù)業(yè)務(wù)數(shù)據(jù)的完整性?？梢詫?duì)違規(guī)行為進(jìn)行審計(jì)記錄與報(bào)警。通信網(wǎng)絡(luò)虛擬化安全虛擬化安全機(jī)制用于保護(hù)虛擬機(jī)管理器和虛擬機(jī)。它保護(hù)虛擬機(jī)管理器防止外部的襲擊，并且隔離虛擬機(jī)。如果虛擬機(jī)管理器被攻擊，在其上的多個(gè)虛擬機(jī)的隔離機(jī)制會(huì)失敗。虛擬機(jī)管理器的漏洞不僅僅是其自身的問題，因?yàn)樘摂M機(jī)也可能會(huì)帶來一些它們自己的漏洞。這些漏洞可以通過保護(hù)虛擬機(jī)鏡像或者虛擬機(jī)安全生命周期的管理來得到減輕。虛擬化（Virtualization）作為一種能夠提高物理服務(wù)器運(yùn)行效率、降低成本、簡化資源管理以及支撐動(dòng)態(tài)資源擴(kuò)展等特點(diǎn)成為云計(jì)算的核心技術(shù)。然而，虛擬化技術(shù)也給云計(jì)算帶來了更加復(fù)雜的安全環(huán)境，許多研究表明，大多數(shù)的虛擬機(jī)產(chǎn)品相對(duì)傳統(tǒng)的物理服務(wù)器而言安全性更差，但是這個(gè)現(xiàn)狀是可以隨著技術(shù)的革新而得到改進(jìn)的。理論上，虛擬機(jī)可以獲得和物理機(jī)相同級(jí)別甚至在某些方面更強(qiáng)的安全性?？紤]到云計(jì)算實(shí)質(zhì)上是一個(gè)虛擬化的計(jì)算資源平臺(tái)，并以虛擬機(jī)的方式為用戶提供運(yùn)行環(huán)境，因此，在云計(jì)算安全研究領(lǐng)域中，虛擬化安全的研究顯得尤為重要和迫切，其中云計(jì)算平臺(tái)中的虛擬機(jī)安全是核心。虛擬機(jī)系統(tǒng)結(jié)構(gòu)1）虛擬機(jī)系統(tǒng)結(jié)構(gòu)系統(tǒng)虛擬化的核心思想是虛擬化軟件在一臺(tái)物理機(jī)上虛擬出一臺(tái)或多臺(tái)虛擬機(jī)。使用系統(tǒng)虛擬化技術(shù)，虛擬機(jī)運(yùn)行在一個(gè)隔離環(huán)境中、具有完整硬件功能的邏輯計(jì)算機(jī)系統(tǒng)，包括客戶操作系統(tǒng)和其中的應(yīng)用程序。在虛擬機(jī)系統(tǒng)中，多個(gè)操作系統(tǒng)可以互不影響地在同一臺(tái)物理機(jī)上同時(shí)運(yùn)行，復(fù)用物理機(jī)資源。在虛擬機(jī)系統(tǒng)中，虛擬運(yùn)行環(huán)境都需要為其上運(yùn)行的虛擬機(jī)提供一套虛擬的硬件環(huán)境，包括虛擬的處理器、內(nèi)存、設(shè)備與I/O及網(wǎng)絡(luò)接口等。為了方便虛擬機(jī)系統(tǒng)的管理，提高虛擬機(jī)系統(tǒng)的安全性，在虛擬機(jī)系統(tǒng)中，可以設(shè)立獨(dú)立的管理虛擬機(jī)，專門提供虛擬機(jī)的管理和對(duì)虛擬機(jī)系統(tǒng)的安全控制。管理虛擬機(jī)可以和虛擬機(jī)監(jiān)控器合作，完成對(duì)虛擬機(jī)系統(tǒng)中客戶虛擬機(jī)管理工作。在管理虛擬機(jī)中，可以部署安全模塊，為虛擬機(jī)系統(tǒng)提供安全機(jī)制。隨著虛擬機(jī)系統(tǒng)功能的增多，虛擬機(jī)監(jiān)控器規(guī)模越來越大，其出現(xiàn)的漏洞也越來越多。因此，利用虛擬機(jī)監(jiān)控器提供可靠的安全機(jī)制已經(jīng)不可信。通過在虛擬機(jī)監(jiān)控器外，設(shè)立獨(dú)立安全模塊，既可以不增加虛擬機(jī)監(jiān)控器的規(guī)模，又能給虛擬機(jī)系統(tǒng)提供可信的安全機(jī)制。安全控制模塊負(fù)責(zé)提供對(duì)虛擬機(jī)監(jiān)控器行為的安全控制，從而保證虛擬機(jī)系統(tǒng)的安全。Hypervisor安全惡意用戶利用Hyprevisor的漏洞，對(duì)虛擬機(jī)系統(tǒng)進(jìn)行攻擊。由于Hypervisor在虛擬機(jī)系統(tǒng)中的關(guān)鍵作用，一旦其遭受攻擊，將嚴(yán)重影響虛擬機(jī)系統(tǒng)的安全運(yùn)行，造成數(shù)據(jù)丟失和信息泄漏。利用可信計(jì)算技術(shù)，可以有效保證Hypervisor的完整可信，降低安全風(fēng)險(xiǎn)。VM安全1、訪問控制訪問控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它通過某種途徑顯示地管理著對(duì)所有資源的訪問請(qǐng)求。根據(jù)安全策略的要求，訪問控制對(duì)每個(gè)資源請(qǐng)求做出許可或限制訪問的判斷，可以有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。在虛擬機(jī)Hypervisor中，設(shè)置訪問控制機(jī)制，可以有效管理虛擬機(jī)對(duì)物理資源的訪問，控制虛擬機(jī)之間的訪問。2、VM隔離VM之間有效隔離，保證未授權(quán)的VM不能訪問其他VM的資源。出現(xiàn)安全問題的VM不會(huì)影響其他VM，以及虛擬機(jī)系統(tǒng)的正常運(yùn)行。3、虛擬網(wǎng)絡(luò)安全(1）虛擬機(jī)防護(hù)墻虛擬防火墻就是完全運(yùn)行于虛擬環(huán)境下的防火墻，與主機(jī)防火墻概念是相對(duì)立的。它如同一臺(tái)虛擬機(jī)，一般運(yùn)行于虛擬機(jī)監(jiān)控器hypervisor（VMM）中，對(duì)虛擬機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行過濾和監(jiān)控。它可以是主機(jī)hypervisor（VMM）中的一個(gè)內(nèi)核進(jìn)程，也可以是一個(gè)帶有安全功能的虛擬交換機(jī)。(2)vIDS/IPSvIDS/IPS可以通過分析網(wǎng)絡(luò)數(shù)據(jù)或采集系統(tǒng)數(shù)據(jù)對(duì)虛擬機(jī)系統(tǒng)進(jìn)行安全控制。在虛擬機(jī)系統(tǒng)中部署vIDS/vIPS，具有以下作用：(1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；(2）進(jìn)行系統(tǒng)配置和弱點(diǎn)審計(jì)；(3）識(shí)別反應(yīng)已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；(4）進(jìn)行異常行為模式的統(tǒng)計(jì)分析；(5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6）進(jìn)行操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略行為。虛擬機(jī)安全管理1、安全策略在實(shí)現(xiàn)虛擬化之前，應(yīng)首先考慮安全策略規(guī)劃。分析虛擬平臺(tái)具體風(fēng)險(xiǎn)，制定安全計(jì)劃。虛擬機(jī)部署：物理上把公共的虛擬機(jī)與專用的虛擬機(jī)分開；把不同任務(wù)或者服務(wù)虛擬機(jī)分開；虛擬機(jī)生命周期安全管理：考慮虛擬機(jī)創(chuàng)建、移動(dòng)和銷毀過程生命周期安全威脅。具體如下。2、補(bǔ)丁管理對(duì)虛擬機(jī)系統(tǒng)技術(shù)進(jìn)行補(bǔ)丁修復(fù)，可以有效地降低系統(tǒng)的安全風(fēng)險(xiǎn)。尤其要加強(qiáng)對(duì)休眠虛擬機(jī)的安全系統(tǒng)狀態(tài)的監(jiān)控。3、虛擬機(jī)遷移可靠的虛擬機(jī)遷移技術(shù)是解決這個(gè)問題的關(guān)鍵。然而，可靠的虛擬機(jī)遷移安全機(jī)制能有效地保證虛擬機(jī)遷移的成功。在虛擬機(jī)遷移之前，為確保虛擬機(jī)遷移目的平臺(tái)的安全性和可靠性，可以先對(duì)虛擬平臺(tái)進(jìn)行遠(yuǎn)程證明和一致性檢測等措施，從而確保虛擬機(jī)成功遷移和安全運(yùn)行。4、鏡像管理在虛擬機(jī)鏡像（VMI）的存儲(chǔ)和引導(dǎo)過程，要保證虛擬機(jī)鏡像的完整性和可靠性。5、審計(jì)虛擬機(jī)的審計(jì)內(nèi)容應(yīng)該包括電源狀態(tài)（開啟、關(guān)閉、暫停、恢復(fù)），對(duì)硬件配置的更改，登錄嘗試、權(quán)限變更、用戶對(duì)數(shù)據(jù)的訪問和業(yè)務(wù)的操作記錄等。此外，還應(yīng)該包括對(duì)文件的復(fù)制、移動(dòng)、刪除做審計(jì)。6、管理工具虛擬機(jī)系統(tǒng)提供給用戶的管理工具能夠方便用戶有效地管理虛擬機(jī)系統(tǒng)。但是這些工具的缺陷導(dǎo)致這些工具在使用過程中會(huì)出現(xiàn)虛擬機(jī)功能的異?，F(xiàn)象。而且，基于虛擬機(jī)管理工具的惡意使用也將對(duì)虛擬機(jī)系統(tǒng)帶來安全威脅。所以，要對(duì)虛擬機(jī)管理工具進(jìn)行安全控制。安全管理平臺(tái)安全管理中心主要指省的統(tǒng)一安全管理平臺(tái)。具體包括：智慧園區(qū)平臺(tái)病毒防護(hù)中心智慧園區(qū)平臺(tái)CA中心智慧園區(qū)平臺(tái)網(wǎng)絡(luò)管理平臺(tái)智慧園區(qū)平臺(tái)安全審計(jì)平臺(tái)智慧園區(qū)平臺(tái)等級(jí)保護(hù)管理平臺(tái)智慧園區(qū)平臺(tái)運(yùn)維管理平臺(tái)智慧園區(qū)平臺(tái)安全管理平臺(tái)環(huán)保、消防、職業(yè)安全、職業(yè)衛(wèi)生和節(jié)能環(huán)境影響分析為了落實(shí)科學(xué)發(fā)展觀和可持續(xù)發(fā)展戰(zhàn)略，本項(xiàng)目將堅(jiān)決貫徹執(zhí)行《中華人民共和國環(huán)境影響評(píng)價(jià)法》，預(yù)防和控制對(duì)環(huán)境造成的不良影響。本項(xiàng)目為信息工程，屬于無污染項(xiàng)目，建設(shè)運(yùn)行過程中不產(chǎn)生有害廢氣、廢水、廢渣等物質(zhì)；本項(xiàng)目的動(dòng)力設(shè)備將產(chǎn)生輕微噪聲，計(jì)算機(jī)硬件的安裝和使用將會(huì)對(duì)辦公環(huán)境產(chǎn)生一定影響。影響環(huán)境的因素主要有：（1）大屏設(shè)備等配套設(shè)備產(chǎn)生的噪聲；（2）設(shè)備產(chǎn)生的電磁輻射；（3）設(shè)備材料本身的非環(huán)保因素和固體廢棄物；環(huán)保措施及方案針對(duì)上述影響環(huán)境的因素，必須考慮使用符合國家環(huán)保要求的設(shè)備和技術(shù)，保護(hù)系統(tǒng)使用人員的身體健康。具體的環(huán)保措施為：（1）計(jì)算機(jī)、網(wǎng)絡(luò)及相關(guān)硬件設(shè)備要滿足TCO99和FCC-B低電磁輻射標(biāo)準(zhǔn)認(rèn)證，設(shè)備外殼采用綠色阻燃可回收環(huán)保材料；（2）計(jì)算機(jī)屏幕采用液晶顯示屏幕，保護(hù)工作人員視力，滿足人體工程學(xué)、生態(tài)學(xué)方面的要求。同時(shí)室內(nèi)必須安裝必要的空調(diào)、空氣加濕/去濕設(shè)備，保證空氣的流通；消防措施在項(xiàng)目建設(shè)中，將遵循“預(yù)防為主，消防結(jié)合”的方針，嚴(yán)格貫徹執(zhí)行國家《建筑設(shè)計(jì)防火規(guī)劃》。在設(shè)備選購、建筑裝修等方面設(shè)計(jì)中采取以下措施：嚴(yán)格按照國家規(guī)定，選購符合國家規(guī)定標(biāo)準(zhǔn)或使用許可的設(shè)備（如不間斷供電電源等）。建筑物按防火規(guī)定，設(shè)置防火門、疏散通道、消防電梯、安全出入口、火災(zāi)自動(dòng)報(bào)警系統(tǒng)等，建筑物內(nèi)部裝修選用不燃性和難燃性材料。建筑物內(nèi)外，嚴(yán)格按照國家消防規(guī)定設(shè)置消防設(shè)施、通道和各種指示標(biāo)志。職業(yè)安全和衛(wèi)生措施依據(jù)《中華人民共和國安全生產(chǎn)法》，對(duì)本工程施工技術(shù)人員提供以下勞動(dòng)保護(hù)：為保證設(shè)備良好運(yùn)行，改善工作條件，所有工作間全部采取空調(diào)降溫、冬季采暖的措施；機(jī)房采取防靜電措施，防止靜電對(duì)設(shè)備和人身的傷害；設(shè)有火災(zāi)自動(dòng)報(bào)警系統(tǒng)，以便在有緊急情況時(shí)能夠及時(shí)通知全體人員；機(jī)房裝修過程要針對(duì)粉塵、有毒有害物質(zhì)對(duì)施工人員提供必要的防護(hù)措施，嚴(yán)格按照安全的施工工藝流程和進(jìn)度施工；選擇安全的電源開關(guān)、插座，避免計(jì)算機(jī)電源裸露，防止被電源開關(guān)、插座、裸露處電擊等。節(jié)能分析本項(xiàng)目主要能耗設(shè)備是服務(wù)器、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)設(shè)備、前端監(jiān)控設(shè)備和指揮中心大屏和操作臺(tái)，所需能源為電能。為了響應(yīng)國家號(hào)召，減少能源浪費(fèi)，本項(xiàng)目擬采取以下措施：1) 服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全類設(shè)備、視頻監(jiān)控設(shè)備、前端監(jiān)測設(shè)備、移動(dòng)終端設(shè)備將優(yōu)先采購進(jìn)入《節(jié)能降耗電子信息技術(shù)、產(chǎn)品與應(yīng)用方案推薦目錄》的產(chǎn)品；2) 充分利用操作系統(tǒng)中的電源管理功能，根據(jù)服務(wù)器的負(fù)載情況調(diào)節(jié)功耗，盡量減少能源浪費(fèi)；3) 在滿足性能和成本要求的前提下，優(yōu)先選擇能耗較少的硬件設(shè)備。在工程建設(shè)的同時(shí)，應(yīng)對(duì)各機(jī)構(gòu)機(jī)房的場地布置、機(jī)柜安放進(jìn)行優(yōu)化，保證設(shè)備布置的合理性，使設(shè)備散熱有效、平均，杜絕設(shè)備因環(huán)境因素大量消耗電能的情況。項(xiàng)目組織機(jī)構(gòu)和人員領(lǐng)導(dǎo)和管理機(jī)構(gòu)成立智慧園區(qū)建設(shè)項(xiàng)目工作領(lǐng)導(dǎo)小組，協(xié)調(diào)解決智慧園區(qū)建設(shè)中的重大問題，領(lǐng)導(dǎo)小組下設(shè)辦公室，負(fù)責(zé)智慧園區(qū)建設(shè)規(guī)劃編制以及項(xiàng)目擬訂方案、審查論證、組織驗(yàn)收、運(yùn)行管理等環(huán)節(jié)的協(xié)調(diào)、管理工作。根據(jù)工作需要領(lǐng)導(dǎo)小組成員進(jìn)行調(diào)整，領(lǐng)導(dǎo)小組成員如下：(1）領(lǐng)導(dǎo)小組負(fù)責(zé)智慧園區(qū)中重大事項(xiàng)的決策。(2）辦公室職責(zé)=1\*GB3①、負(fù)責(zé)智慧園區(qū)的頂層設(shè)計(jì)，制定智慧園區(qū)中長期發(fā)展規(guī)劃，編制、調(diào)整，根據(jù)各年情況做任務(wù)分解。=2\*GB3②、負(fù)責(zé)工作監(jiān)督、檢查工作的組織、協(xié)調(diào)等。=3\*GB3③、負(fù)責(zé)領(lǐng)導(dǎo)小組會(huì)議議題的整理、擬定，會(huì)議的組織和決議的督辦。=4\*GB3④、負(fù)責(zé)與領(lǐng)導(dǎo)小組的交流、溝通，掌握項(xiàng)目建設(shè)動(dòng)態(tài)和總結(jié)建設(shè)存在的問題，及時(shí)編寫工作簡報(bào)，報(bào)告領(lǐng)導(dǎo)小組成員。=5\*GB3⑤、負(fù)責(zé)根據(jù)需要提出調(diào)整試點(diǎn)工作的申請(qǐng)；=6\*GB3⑥、負(fù)責(zé)向上級(jí)領(lǐng)導(dǎo)小組匯報(bào)智慧園區(qū)建設(shè)的總體思路和建設(shè)進(jìn)度；=7\*GB3⑦、負(fù)責(zé)按期完成智慧園區(qū)項(xiàng)目建設(shè)的自評(píng)價(jià)報(bào)告等工作。=8\*GB3⑧、負(fù)責(zé)級(jí)范圍智慧園區(qū)項(xiàng)目建設(shè)方案審核、評(píng)估及相關(guān)培訓(xùn)、會(huì)議的組織管理工作。(3）智慧辦下設(shè)組別按任務(wù)分解表督促落實(shí)相關(guān)工作。=1\*GB3①綜合協(xié)調(diào)組負(fù)責(zé)與其他單位的聯(lián)絡(luò)保障；負(fù)責(zé)協(xié)調(diào)相關(guān)部門、行業(yè)的信息共享和交換等。=2\*GB3②項(xiàng)目策劃組負(fù)責(zé)策劃、組織實(shí)施智慧園區(qū)各個(gè)階段的主要目標(biāo)和任務(wù)，落實(shí)全國智慧園區(qū)建設(shè)。=3\*GB3③資金籌措組負(fù)責(zé)制定智慧園區(qū)近期、中長期發(fā)展的經(jīng)費(fèi)估算。=3\*GB3③運(yùn)營組負(fù)責(zé)統(tǒng)籌協(xié)調(diào)運(yùn)營工作，負(fù)責(zé)支撐平臺(tái)運(yùn)營維護(hù)、云計(jì)算服務(wù)、產(chǎn)業(yè)服務(wù)、工程管控、信息安全管理等工作，洽談運(yùn)營事宜。=5\*GB3⑤專家咨詢組組織專家委員會(huì)，負(fù)責(zé)智慧園區(qū)建設(shè)各領(lǐng)域建設(shè)的技術(shù)攻關(guān)和指導(dǎo)，示范項(xiàng)目和建設(shè)項(xiàng)目的技術(shù)審核；負(fù)責(zé)智慧相關(guān)產(chǎn)品的技術(shù)審核、把關(guān)。負(fù)責(zé)對(duì)智慧園區(qū)建設(shè)領(lǐng)導(dǎo)小組、各級(jí)領(lǐng)導(dǎo)以及總體策劃組等提供技術(shù)咨詢服務(wù)；負(fù)責(zé)對(duì)智慧園區(qū)的各項(xiàng)規(guī)劃、建設(shè)項(xiàng)目、政策制定等進(jìn)行可行性論證，提出意見和建議；負(fù)責(zé)對(duì)智慧園區(qū)建設(shè)相關(guān)關(guān)鍵節(jié)點(diǎn)、關(guān)鍵環(huán)節(jié)建言獻(xiàn)策。=6\*GB3⑥政策法規(guī)組負(fù)責(zé)制定智慧園區(qū)相關(guān)政策、法律法規(guī)，適當(dāng)向參與項(xiàng)目建設(shè)的運(yùn)營商、廠商傾斜，保證產(chǎn)業(yè)鏈的形成；負(fù)責(zé)制定智慧園區(qū)相關(guān)技術(shù)標(biāo)準(zhǔn)和運(yùn)行規(guī)范。=7\*GB3⑦監(jiān)察審計(jì)組負(fù)責(zé)監(jiān)督指導(dǎo)智慧園區(qū)建設(shè)項(xiàng)目實(shí)施過程的進(jìn)度控制、質(zhì)量控制、成本控制和過程風(fēng)險(xiǎn)控制；負(fù)責(zé)智慧園區(qū)建設(shè)相關(guān)的財(cái)務(wù)審計(jì)；負(fù)責(zé)項(xiàng)目建設(shè)相關(guān)各單位、各小組、各運(yùn)營商的工程監(jiān)理；負(fù)責(zé)機(jī)關(guān)效能監(jiān)察、黨風(fēng)廉政建設(shè)和反腐倡廉工作。項(xiàng)目實(shí)施機(jī)構(gòu)為了有效控制智慧園區(qū)項(xiàng)目實(shí)施過程中的一系列活動(dòng)，項(xiàng)目領(lǐng)導(dǎo)小組成立項(xiàng)目管理小組。主要的職責(zé)是根據(jù)系統(tǒng)建設(shè)中各項(xiàng)階段功能的要求，在計(jì)劃的時(shí)間和成本預(yù)算內(nèi)，提交出要交付的產(chǎn)品或者服務(wù)。項(xiàng)目管理小組將運(yùn)用一整套科學(xué)的項(xiàng)目管理方法，按照一定的項(xiàng)目管理模式（主要包括項(xiàng)目定義和組織、項(xiàng)目計(jì)劃、項(xiàng)目跟蹤和管理），來確保整個(gè)項(xiàng)目按步驟、有計(jì)劃、高效率、高質(zhì)量地進(jìn)行。項(xiàng)目實(shí)施機(jī)構(gòu)1、項(xiàng)目管理小組為了有效控制智慧園區(qū)項(xiàng)目實(shí)施過程中的一系列活動(dòng)，項(xiàng)目領(lǐng)導(dǎo)小組成立項(xiàng)目管理小組。項(xiàng)目管理小組人員由發(fā)改委熟悉信息系統(tǒng)建設(shè)項(xiàng)目管理人員組成，主要的職責(zé)是根據(jù)系統(tǒng)建設(shè)中各項(xiàng)階段功能的要求，在計(jì)劃的時(shí)間和成本預(yù)算內(nèi)，提交出要交付的產(chǎn)品或者服務(wù)。項(xiàng)目管理小組將運(yùn)用一整套科學(xué)的項(xiàng)目管理方法，按照一定的項(xiàng)目管理模式（主要包括項(xiàng)目定義和組織、項(xiàng)目計(jì)劃、項(xiàng)目跟蹤和管理），來確保整個(gè)項(xiàng)目按步驟、有計(jì)劃、高效率、高質(zhì)量地進(jìn)行。運(yùn)行維護(hù)機(jī)構(gòu)信息化小組為智慧園區(qū)項(xiàng)目建成后的運(yùn)行維護(hù)機(jī)構(gòu)，由項(xiàng)目承建運(yùn)營商人員組成，在項(xiàng)目領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，全面負(fù)責(zé)平臺(tái)的運(yùn)行、維護(hù)和組織管理。人員培訓(xùn)方案系統(tǒng)培訓(xùn)包括應(yīng)用培訓(xùn)與管理培訓(xùn)。應(yīng)用培訓(xùn)針對(duì)使用者，主要由運(yùn)維部門實(shí)施。根據(jù)對(duì)象的不同，采取分層次、多元化的培訓(xùn)手段，如對(duì)政務(wù)繁忙的領(lǐng)導(dǎo)，主要采取集中講授入門課程、一對(duì)一輔導(dǎo)、代理復(fù)雜技術(shù)操作等方式；對(duì)中層干部及一般使用者，主要采取培訓(xùn)等方式。在應(yīng)用培訓(xùn)過程中，應(yīng)注意收集使用者對(duì)系統(tǒng)的改進(jìn)意見，在此基礎(chǔ)上不斷完善應(yīng)用界面和應(yīng)用功能。管理培訓(xùn)針對(duì)運(yùn)維部門、人員，包括現(xiàn)場培訓(xùn)、專業(yè)培訓(xùn)和技術(shù)交流等，主要由供應(yīng)商或廠商實(shí)施。1、現(xiàn)場培訓(xùn)指對(duì)現(xiàn)場管理人員進(jìn)行的日常管理和日常故障排除的培訓(xùn)；2、專業(yè)培訓(xùn)指對(duì)系統(tǒng)維護(hù)和開發(fā)人員進(jìn)行系統(tǒng)的、有針對(duì)性的培訓(xùn)，如操作系統(tǒng)和數(shù)據(jù)庫培訓(xùn)，包括認(rèn)證培訓(xùn)；3、技術(shù)交流指參加與工作有關(guān)的各種展示會(huì)、研討會(huì)和產(chǎn)品發(fā)布會(huì)，深化對(duì)專題技術(shù)的了解和認(rèn)識(shí)，通過研討和技術(shù)交流獲得最新技術(shù)資料并跟蹤業(yè)界最新動(dòng)態(tài)。項(xiàng)目實(shí)施進(jìn)度項(xiàng)目實(shí)施采用逐步推進(jìn)的建設(shè)方式，項(xiàng)目建設(shè)期建設(shè)約為XXXX個(gè)月。投資估算和資金籌措投資估算的有關(guān)說明（1）本項(xiàng)目投資估算依據(jù)國家建設(shè)項(xiàng)目投資估算的有關(guān)規(guī)定編制，投資估算遵循“符合規(guī)范、結(jié)合實(shí)際、經(jīng)濟(jì)合理、不重不漏、計(jì)算正確”的指導(dǎo)原則。（2）本項(xiàng)目建設(shè)投資包括建筑安裝工程費(fèi)、設(shè)備及支撐軟件購置費(fèi)、軟件研發(fā)技術(shù)服務(wù)、工程建設(shè)其他費(fèi)、云計(jì)算資源租用費(fèi)、數(shù)據(jù)資源費(fèi)、預(yù)備費(fèi)等。（3）應(yīng)用系統(tǒng)軟件研究、開發(fā)費(fèi)，按定制各種應(yīng)用系統(tǒng)軟件需要的工作量和人工費(fèi)用估算。（5）本項(xiàng)目將為社會(huì)資本預(yù)留靈活、充足的資金對(duì)接通道，不限定資金性質(zhì)、資金渠道、融資組合形式，給社會(huì)資本多元化組合創(chuàng)造更大空間。（6）本投資估算中涉及的金額為估算值，具體投資明細(xì)以項(xiàng)目實(shí)際為準(zhǔn)。項(xiàng)目建設(shè)期總投資估算本項(xiàng)目建設(shè)投資總額為XXXX萬元。其中云計(jì)算資源租用費(fèi)用為XXXX萬元/年。項(xiàng)目建設(shè)投資估算表序號(hào)項(xiàng)目名稱設(shè)備及支撐軟件購置費(fèi)應(yīng)用軟件研發(fā)技術(shù)費(fèi)云計(jì)算資源租用費(fèi)用數(shù)據(jù)資源購買費(fèi)用其他費(fèi)用合計(jì)備注1第一部分：工程費(fèi)用1.1智慧園區(qū)平臺(tái)2第二部分：工程其他費(fèi)用2.1管理費(fèi)運(yùn)行維護(hù)費(fèi)用總計(jì)說明：1、項(xiàng)目建設(shè)期涉及的研發(fā)費(fèi)用均按國家有關(guān)部門頒布的取費(fèi)標(biāo)準(zhǔn)進(jìn)行測算。2、工程建設(shè)其他費(fèi)用，結(jié)合項(xiàng)目實(shí)際測算。3、本投資估算表中涉及的金額為估算值，具體投資明細(xì)以項(xiàng)目實(shí)際為準(zhǔn)。資金來源與落實(shí)情況項(xiàng)目投資資金來源由單位支付。效益與風(fēng)險(xiǎn)分析項(xiàng)目的經(jīng)濟(jì)效益和社會(huì)效益分析社會(huì)效益智慧園區(qū)是運(yùn)用物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)，促進(jìn)城規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式，其本質(zhì)是信息化和城化高度融合，是城化、信息化向更高階段發(fā)展的標(biāo)志。建設(shè)智慧園區(qū)是的重大戰(zhàn)略決策，其社會(huì)效益體現(xiàn)在：（一）建設(shè)智慧園區(qū)可轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、促進(jìn)經(jīng)濟(jì)結(jié)構(gòu)調(diào)整和產(chǎn)業(yè)轉(zhuǎn)型升級(jí)。智慧園區(qū)建設(shè)涉及的多個(gè)行業(yè)，都是戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分，加快智慧園區(qū)建設(shè)，積極推動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等高新技術(shù)在智能制造、節(jié)能環(huán)保等領(lǐng)域的應(yīng)用，可以快速提升現(xiàn)有產(chǎn)業(yè)的科技含量和產(chǎn)品附加值，能吸引集聚一批知識(shí)密集、信息密集、創(chuàng)新密集的先進(jìn)制造業(yè)和高端服務(wù)業(yè)，加快經(jīng)濟(jì)結(jié)構(gòu)調(diào)整和產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，由此將牽動(dòng)形成場大、范圍廣、關(guān)聯(lián)多、鏈條長的智慧產(chǎn)業(yè)鏈，催生一批新產(chǎn)業(yè)和新業(yè)態(tài)，推動(dòng)產(chǎn)業(yè)向低碳化、集群化、科學(xué)化的可持續(xù)園區(qū)產(chǎn)業(yè)發(fā)展。（二）建設(shè)智慧園區(qū)可實(shí)現(xiàn)資源節(jié)約型、環(huán)境友好型社會(huì)。借助智慧園區(qū)的理念和實(shí)踐，能夠促進(jìn)人們消費(fèi)模式和生產(chǎn)方式的變革和創(chuàng)新，推動(dòng)綠色消費(fèi)、清潔生產(chǎn)和敏捷制造，實(shí)現(xiàn)節(jié)能減排，低碳環(huán)保。（三）建設(shè)智慧園區(qū)可轉(zhuǎn)變政府職能、提高公共管理水平。智慧園區(qū)通過使用現(xiàn)代信息技術(shù)，通過快速的信息反饋和及時(shí)決策調(diào)度，能更好地推進(jìn)業(yè)務(wù)，完善運(yùn)行機(jī)制，打造高效的形象。（四）建設(shè)智慧園區(qū)可改善園區(qū)民生服務(wù)、提高生活品質(zhì)。智慧園區(qū)管理服務(wù)重點(diǎn)項(xiàng)目建設(shè)，廣泛應(yīng)用一系列專業(yè)系統(tǒng)平臺(tái)，充分整合城各種資源，建立“互聯(lián)互通、協(xié)同運(yùn)轉(zhuǎn)”的管理模式，可有效解決城發(fā)展面臨的城市管理、配套服務(wù)和交通保障等問題，能滿足，使人民過上更加便捷舒適的生活，全面提升人民生活質(zhì)量和幸福指數(shù)。經(jīng)濟(jì)效益我國經(jīng)過改革開放以來30多年的發(fā)展，中國城化步伐不斷加快，每年有1500萬人口進(jìn)入城。到2025年，中國將會(huì)有近三分之二的人口居住在城，中國已經(jīng)進(jìn)入到了一個(gè)城市社會(huì)。1980年中國城人口比例僅20％，而到2010年這一比例達(dá)到45％，是世界上城人口最多的國家。城化雖然帶來了人民生活水平的提高，但城要保持可持續(xù)發(fā)展卻越來越受到各種因素的制約，需要轉(zhuǎn)方式、調(diào)結(jié)構(gòu)、改變生活方式、不斷解決突發(fā)性事件等問題。智慧建設(shè)具有良好的經(jīng)濟(jì)促進(jìn)作用，主要體現(xiàn)在以下方面：第一，建設(shè)智慧可促進(jìn)經(jīng)濟(jì)持續(xù)快速發(fā)展，轉(zhuǎn)變?cè)鲩L方式，突破增長極限。城發(fā)展日益受到土地、空間、能源和清潔水等資源短缺的約束，城人口膨脹、環(huán)境保護(hù)等問題面臨的壓力也越來越大。2007年我國石油、天然氣的人均儲(chǔ)量分別只有世界人均水平的7.35％和7.13％，而2006年我國單位GDP能耗則是日本的5