數(shù)智化園區(qū)項目可行性研究報告模板

第第頁共111頁信息安全系統(tǒng)建設(shè)智慧園區(qū)信息安全體系在全民普及參與的安全文化建設(shè)的基礎(chǔ)上，從技術(shù)、管理、法規(guī)等方面為智慧園區(qū)提供安全保障。在技術(shù)層面上，從物理安全、基礎(chǔ)架構(gòu)安全、應(yīng)用安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全多個方向建立全面的安全防護體系，信息安全防護體系實現(xiàn)對智慧園區(qū)的層層防控，借此保護智慧園區(qū)整體建設(shè)體系，保護智慧園區(qū)的安全。智慧園區(qū)安全技術(shù)防護體系智慧園區(qū)安全技術(shù)防護體系包括物理安全、基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全、身份訪問安全等，是其他各維度的基礎(chǔ)。智慧園區(qū)安全建設(shè)以整體提升現(xiàn)有資源為主要方式，建立邏輯上統(tǒng)一的信息安全技術(shù)防護體系。物理安全包括機房安全和物聯(lián)網(wǎng)安全兩個方面。基礎(chǔ)架構(gòu)安全包括網(wǎng)絡(luò)及邊界安全、系統(tǒng)安全、主機安全和智能終端安全。應(yīng)用安全包括應(yīng)用開發(fā)生生命周期安全、業(yè)務(wù)流程安全、應(yīng)用開發(fā)環(huán)境安全和Web安全。數(shù)據(jù)安全包括數(shù)據(jù)生命周期安全、數(shù)據(jù)泄密保護、數(shù)據(jù)加密、數(shù)據(jù)歸檔和災(zāi)難備份。身份訪問安全包括身份驗證、訪問管理和用戶生命周期管理。保護組織的物理基礎(chǔ)設(shè)施是指防護或預(yù)防對因某一故障或物理基礎(chǔ)設(shè)施的損失而造成的對業(yè)務(wù)連續(xù)性的可能影響。保護組織的基礎(chǔ)設(shè)施可能涉及間接威脅和漏洞的保護。例如，使用服務(wù)的丟失、物理訪問控制的滲透，或關(guān)鍵有形資產(chǎn)的丟失所造成的影響。物理安全包括機房物理安全和物聯(lián)網(wǎng)安全。機房物理安全計算機機房的物理安全應(yīng)該在數(shù)據(jù)中心設(shè)計、建設(shè)的階段就規(guī)劃好、部署好，并且在機房投入運行后由內(nèi)部或外部的專業(yè)人員定期進行檢查、評估，以保障相應(yīng)措施的合理性、有效性，降低安全風(fēng)險。計算機機房物理安全的設(shè)計和評估工作首先要滿足國家的相關(guān)規(guī)范，智慧園區(qū)方面，需主要參考《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。計算機機房物理安全涉及計算機機房物理環(huán)境的防護、計算機機房場地安全和操作室場地安全三個方面。物聯(lián)網(wǎng)安全物聯(lián)網(wǎng)的構(gòu)成要素包括傳感器、傳輸系統(tǒng)（泛在網(wǎng)）和處理系統(tǒng)，因此，物聯(lián)網(wǎng)的安全形態(tài)是表現(xiàn)在這三個要素上。具體針對物理安全而言，主要表現(xiàn)在傳感器的方面，包括對傳感器的干擾、屏蔽和信號截獲等，所以需要在物理安全層面保證物聯(lián)網(wǎng)信息采集節(jié)點不被欺騙、控制、破壞、防止采集的信息被竊聽、篡改、偽造和重放攻擊，主要涉及傳統(tǒng)技術(shù)和RFID的安全。在物聯(lián)網(wǎng)層次模型中，物理安全對應(yīng)于物聯(lián)網(wǎng)的感知層的安全。當前感知層采用的安全技術(shù)包括：高速密碼芯片、密碼技術(shù)和PKI公鑰基礎(chǔ)設(shè)施等。安全威脅物聯(lián)網(wǎng)的安全威脅主要來自終端感應(yīng)設(shè)備數(shù)據(jù)準入及數(shù)據(jù)傳輸鏈路的安全。因為智慧園區(qū)的數(shù)據(jù)采集設(shè)備分布在城的各個角落，暴露在公眾范圍，這給整個信息系統(tǒng)帶來很多不可控的因素，只有制定嚴格的安全準入策略，識別未經(jīng)授權(quán)的威脅信息以及對威脅信息的安全隔離措施，才能保障核心系統(tǒng)不受侵害。物聯(lián)網(wǎng)安全威脅可分為感知層安全威脅、傳輸層安全威脅、處理層安全威脅三類：感知層安全威脅感知層的任務(wù)是全面感知外界信息，或者說是原始信息收集器。該層的典型設(shè)備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS)、激光掃描儀等?？赡苡龅降膯栴}包括：(1）由于感知節(jié)點監(jiān)測網(wǎng)絡(luò)的不同內(nèi)容、提供各種不同格式的事件數(shù)據(jù)來表征網(wǎng)絡(luò)系統(tǒng)當前的狀態(tài)。然而，這些傳感智能節(jié)點又容易受侵。(2）標簽信息的截獲和對這些信息的破解。這些信息可以通過無線網(wǎng)絡(luò)平臺傳輸，這會給信息的安全代理影響。(3）傳感網(wǎng)的節(jié)點受來自網(wǎng)絡(luò)的DoS攻擊。因為傳感網(wǎng)通常要接入其他外在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)），所以就難免受到來自外部網(wǎng)絡(luò)的攻擊。主要攻擊除了非法訪問外，拒絕服務(wù)（DoS）攻擊也最為常見。傳感網(wǎng)節(jié)點的資源（計算和通信能力）有限，對抗DoS攻擊的能力比較脆弱，在互聯(lián)網(wǎng)環(huán)境里并不嚴重的DoS攻擊行為，在物聯(lián)網(wǎng)中就可能造成傳感網(wǎng)癱瘓。傳輸層安全威脅物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后進行信息處理。在信息傳輸中，可能經(jīng)過一個或多個不同架構(gòu)的網(wǎng)絡(luò)進行信息交接。在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，可能產(chǎn)生信息安全隱患?；ヂ?lián)網(wǎng)的安全問題都可能傳導(dǎo)到物聯(lián)網(wǎng)的傳輸層，甚至產(chǎn)生更嚴重的問題。物聯(lián)網(wǎng)傳輸層將會遇到以下安全問題：(1)DoS攻擊、DDoS攻擊。由于物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大，而且以集群方式存在，會產(chǎn)生大量的數(shù)據(jù)需要傳播，這些巨量的數(shù)據(jù)會使網(wǎng)絡(luò)擁塞，以至于產(chǎn)生拒絕服務(wù)攻擊；(2）假冒攻擊、中間人攻擊等；(3）跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。處理層安全威脅處理層對接收的信息加以處理。它需要判斷哪些信息是有用的信息，哪些是垃圾信息甚至是惡意信息。處理的數(shù)據(jù)既有一般性數(shù)據(jù)，也有操作指令。特別值得警惕的是錯誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡(luò)傳輸錯誤、得到惡意修改等），或者是攻擊者的惡意指令。如何識別有用的信息，又如何甄別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網(wǎng)處理層的主要安全問題。這些問題包括：(1）由于超大量終端提供了海量的數(shù)據(jù)，來不及識別和處理；(2）智能設(shè)備的智能失效，導(dǎo)致效率嚴重下降；(3）自動處理失控；(4）無法實現(xiàn)災(zāi)難控制并從災(zāi)難中恢復(fù)；(5）非法人為干預(yù)造成故障；(6）設(shè)備從網(wǎng)絡(luò)中邏輯丟失。物聯(lián)網(wǎng)的安全對策節(jié)點安全由于物聯(lián)網(wǎng)常常應(yīng)用在無人看管的場合，要完全保障這些設(shè)備的物理安全并不容易，但可以保障即使在這些設(shè)備被破壞的情況下，不會造成整個系統(tǒng)的毀壞?？梢圆扇〉拇胧┯校?1）在網(wǎng)絡(luò)的關(guān)鍵位置要有冗余的傳感器，能夠替代已經(jīng)損壞的傳感器，做到網(wǎng)絡(luò)的自愈。(2）在通信前對節(jié)點與節(jié)點之間進行身份認證，可以通過對稱密碼或非對稱密碼方案解決。(3）通過限制網(wǎng)絡(luò)的發(fā)包速度和同一數(shù)據(jù)包的重傳次數(shù)，來阻止利用協(xié)議漏洞，通過持續(xù)通信的方式使節(jié)點能量資源的耗盡攻擊。傳輸安全在內(nèi)部，使用密鑰管理機制，用于保障內(nèi)部通信的安全。通信時建立一個臨時會話密鑰，而認證性使用對稱密碼的認證方案需要預(yù)置節(jié)點間的共享密鑰。如果要提高安全性，也可以使用非對稱密碼技術(shù)。建立端到端認證機制、端到端密鑰協(xié)商機制、密鑰管理機制和機密性算法選取機制等。其它安全措施除了以上安全機制外，還可以采用以下策略：(1）入侵檢測和病毒檢測，這與互聯(lián)網(wǎng)一致；(2）惡意指令分析和預(yù)防，訪問控制及災(zāi)難恢復(fù)機制；(3）保密日志跟蹤和行為分析，惡意行為模型的建立；(4）密文查詢、挖掘與安全相關(guān)的數(shù)據(jù)、安全多方計算、安全云計算技術(shù)等；(5）移動設(shè)備文件（包括秘密文件）的可備份和恢復(fù)；(6）移動設(shè)備識別、定位和追蹤機制。基礎(chǔ)架構(gòu)安全智慧園區(qū)龐大復(fù)雜的信息系統(tǒng)對企IT基礎(chǔ)架構(gòu)提出了更多要求，信息技術(shù)發(fā)展所帶來的高效率和高風(fēng)險并存。對信息系統(tǒng)中的網(wǎng)絡(luò)、服務(wù)器和端點進行主動實施威脅和安全漏洞的監(jiān)視和管理對于鉗制新興威脅，防止它們對系統(tǒng)組件及相關(guān)人員和業(yè)務(wù)流程產(chǎn)生負面影響至關(guān)重要。信息系統(tǒng)應(yīng)該從三個層面考慮網(wǎng)絡(luò)安全，即網(wǎng)絡(luò)架構(gòu)安全、網(wǎng)絡(luò)安全技術(shù)部署和網(wǎng)絡(luò)設(shè)備安全配置，并通過不斷地評估和優(yōu)化提高用戶整體的網(wǎng)絡(luò)安全水平。網(wǎng)絡(luò)架構(gòu)安全主要包含安全區(qū)域劃分和安全邊界定義、結(jié)構(gòu)冗余性、服務(wù)器和終端桌面的安全接入。網(wǎng)絡(luò)安全技術(shù)主要包括問題控制、病毒及入侵防御、內(nèi)容安全、認證和授權(quán)，以及審計跟蹤等。網(wǎng)絡(luò)設(shè)備安全配置主要包括定義正確適用的安全策略/訪問策略；定期掃描，發(fā)現(xiàn)網(wǎng)絡(luò)/安全設(shè)備中漏洞；及時升級和為系統(tǒng)打補丁；安全報警及時處理等。VPN(VirtualPrivateNetwork）是通過internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點之間安全地傳遞數(shù)據(jù)的技術(shù)。根據(jù)需求，智慧園區(qū)政務(wù)云與各下級部門之間數(shù)據(jù)傳輸采用虛擬專用網(wǎng)絡(luò)SSLVPN進行連接。SSLVPN是解決遠程用戶訪問敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。智慧園區(qū)項目對安全要求高的鏈路，采用物理隔離的方法，保障數(shù)據(jù)的安全。物理隔離主要分兩種：雙網(wǎng)隔離計算機、物理隔離網(wǎng)閘。物理隔離網(wǎng)閘采用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡(luò)之間的信息交換在任意時刻，物理隔離設(shè)備只能與一個網(wǎng)絡(luò)的主機系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)鏈接，即當它與外部網(wǎng)絡(luò)相連接時，它與內(nèi)部網(wǎng)絡(luò)的主機是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。在每個應(yīng)用系統(tǒng)服務(wù)器上安裝防病毒軟件，防病毒軟件串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對，從而發(fā)現(xiàn)并阻斷病毒傳播，能有效阻斷已知網(wǎng)絡(luò)病毒的傳播系統(tǒng)安全主要防護應(yīng)從操作系統(tǒng)、網(wǎng)絡(luò)層、應(yīng)用層、內(nèi)容安全和安全管理等多個層面加以考慮。主要目的是對主機節(jié)點進行全面防護，與網(wǎng)絡(luò)安全防護配合，形成有層次的立體防御體系。此處的主機安全主要是指內(nèi)部用戶PC終端安全，應(yīng)采用先進的管理技術(shù)和完善管理制度建立統(tǒng)一的終端安全的監(jiān)控、管理監(jiān)控，提高終端設(shè)備的管理效率，保護終端安全，從而保障網(wǎng)絡(luò)和信息系統(tǒng)的安全。主要通過以下技術(shù)手段管理。通過統(tǒng)一的安全基礎(chǔ)框架，將所有的安全功能納入統(tǒng)一的管理。通過網(wǎng)絡(luò)準入控制，實現(xiàn)對接入部門內(nèi)網(wǎng)的終端訪問網(wǎng)絡(luò)資源的權(quán)限進行認證、授權(quán)和審計。通過定制安全防護策略，對終端系統(tǒng)進行安全加固。實現(xiàn)終端各種補丁程序的自動化更新，減少系統(tǒng)漏洞。移動智能終端面臨的安全威脅來源多樣、途徑復(fù)雜。原有移動通信網(wǎng)中的手機安全問題依然存在，例如手機用戶標識卡（SIM）克隆、空中竊聽、垃圾短信等?；ヂ?lián)網(wǎng)中泛濫的安全問題也同樣威脅著移動智能終端的安全，例如軟件漏洞/后門、病毒、不良信息，等等。由于移動智能終端的安全威脅可歸結(jié)為移動智能終端、移動應(yīng)用商店和第三方應(yīng)用服務(wù)三個方面，因此應(yīng)對相關(guān)安全威脅的措施手段應(yīng)主要針對移動智能終端自身安全能力、提供應(yīng)用軟件下載和銷售的應(yīng)用商店以及向應(yīng)用軟件提升升級和內(nèi)容服務(wù)的第三方服務(wù)器三個方向進行管理，可通過當前的主流BYOD（BringYourOwnDevice，指攜帶自己的設(shè)備辦公）解決方案進行智能終端的安全保護及數(shù)據(jù)的防泄漏。應(yīng)用安全應(yīng)用安全，就是保障應(yīng)用程序使用的整個生命周期過程中所有過程和結(jié)果的安全。是針對應(yīng)用程序或工具在使用過程中可能出現(xiàn)的計算、數(shù)據(jù)傳輸?shù)男孤逗褪Ц`，通過相關(guān)安全工具、策略和控制流程來消除隱患。由于近年關(guān)于網(wǎng)絡(luò)釣魚、SQL注入和跨站腳本等帶來嚴重后果的攻擊事件的頻頻報道，嚴重影響了人們對Web應(yīng)用的信心。目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?yīng)用自身弱點的攻擊。智慧園區(qū)在安全建設(shè)中，應(yīng)用安全已成為重點主題之一。因此，我們?yōu)橹腔蹐@區(qū)應(yīng)用系統(tǒng)定義了遵循國際標準的安全基線總體框架。安全基線是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風(fēng)險之間進行平衡，而安全基線正是這個平衡的合理的分界線。不滿足系統(tǒng)最基本的安全需求，也就無法承受由此帶來的安全風(fēng)險，而非基本安全需求的滿足同樣會帶來超額安全成本的付出，所以構(gòu)造信息系統(tǒng)安全基線已經(jīng)成為系統(tǒng)安全工程的首要步驟，同時也是進行安全評估、解決信息系統(tǒng)安全性問題的先決條件。密碼技術(shù)是保護信息系統(tǒng)安全的基礎(chǔ)技術(shù)之一，密碼技術(shù)可以保證數(shù)據(jù)的保密性和完整性，同時它還具有身份認證和數(shù)字簽名的功能。從密碼體制方面來說，密碼技術(shù)可分為對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)兩大類。在應(yīng)用系統(tǒng)中常用的密碼技術(shù)主要有以下幾種：加密（Encryption）就是指通過特定的加密算法對數(shù)據(jù)進行變換，將明文（Plaintext）轉(zhuǎn)換成密文（Cryptograph）；解密（Decryption）是加密的逆過程，解密的過程就是將密文還原為明文。數(shù)字簽名是指通過密碼算法對原始數(shù)據(jù)信息進行加密處理后，生成一段原始數(shù)據(jù)信息的信息標識，這段信息標識稱為原始數(shù)據(jù)信息的數(shù)字簽名。通常數(shù)字簽名和原始數(shù)據(jù)信息是放在一起發(fā)送的，這樣便于信息的接受者對其進行驗證，數(shù)字簽名是對現(xiàn)實中手寫簽名和印章的模擬，數(shù)字簽名只有信息發(fā)送方一人能產(chǎn)生，這種唯一性對應(yīng)了原始數(shù)據(jù)信息的來源。數(shù)字簽名具有驗證數(shù)據(jù)完整性和信息來源不可否認性的功能，這正是PKI體系提供的核心功能。在應(yīng)用系統(tǒng)中，較小的數(shù)據(jù)可以直接簽名，而較大的數(shù)據(jù)或文件通常先對其作數(shù)據(jù)摘要后再對數(shù)據(jù)摘要作數(shù)字簽名。應(yīng)用系統(tǒng)跟其他系統(tǒng)通信時大都是通過發(fā)送接收報文方式進行的，除比較常用的ISO8583，sop報文等，還有比較多的就是自定義的報文格式，自定義報文需要解決報文的保密性和完整性問題，報文的完整性可以通過加密算法生成原始報文的報文標識來識別，這個加密后的報文標識稱為原始報文的識別碼，也叫報文校驗碼MAC（MessageAuthenticationCode）。而報文的保密性可以通過對整個報文及其識別碼進行加密處理來完成，實際應(yīng)用中識別碼通?？梢酝ㄟ^單向散列函數(shù)對原始報文作數(shù)據(jù)摘要得到，然后對原始報文和數(shù)據(jù)摘要作對稱加密，這樣既保證了報文的完整性，同時也保證了報文的保密性，這里對稱加密算法的密鑰分發(fā)是主要問題。數(shù)字信封DE（DigitalEnvelope）是指信息發(fā)送方在通訊雙發(fā)首次通訊時，使用對方的公鑰對雙方的通訊密鑰SK（SymmentricKey）進行加密，形成一個數(shù)字信封，然后發(fā)給接收方，接收方收到數(shù)字信封后進行拆封操作，用自己的私鑰對信封進行解密得到通訊密鑰，然后雙方可以用通信密鑰對自己發(fā)送的信息進行對稱加密[2]。這樣既解決了對稱加密的密鑰分配問題又提高了雙方通訊加密的效率，畢竟非對稱加密算法比對稱加密算法效率要低下。PKI體系是由政策機構(gòu)、認證機構(gòu)和注冊機構(gòu)組成的，通過使用單向散列函數(shù)、非對稱加密體制等加密解密技術(shù)，安全套接字協(xié)議SSL，LDAP協(xié)議（LightweightDirectoryAccessProtocol），X.509證書標準等技術(shù)，實現(xiàn)數(shù)據(jù)加密、身份認證和數(shù)字簽名等功能，從而保證數(shù)據(jù)保密性、完整性、真實性和不可否認性的一種技術(shù)體系。PKI體系很好地解決了網(wǎng)上銀行的大部分安全需求，對網(wǎng)上銀行的數(shù)據(jù)安全和業(yè)務(wù)邏輯安全提供了有力的支持。CA是PKI體系的主要實體，數(shù)字證書是CA的主要產(chǎn)品，CA通過數(shù)字證書的應(yīng)用來實現(xiàn)PKI體系所提供的功能。數(shù)據(jù)安全數(shù)據(jù)是智慧園區(qū)最根本的價值，數(shù)據(jù)安全的重要性隨著智慧園區(qū)信息系統(tǒng)應(yīng)用的依賴程度不斷提高。隨著物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)的發(fā)展，智慧園區(qū)越來越龐大和重要的數(shù)據(jù)迫切需要進行安全保護。數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性和雙向強制身份認證等；二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息儲存手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份和異地容災(zāi)等手段保證數(shù)據(jù)的安全。數(shù)據(jù)安全是一種主動的防護措施，必須依靠可靠、完整的安全體系與安全技術(shù)來實現(xiàn)。有關(guān)數(shù)據(jù)安全的內(nèi)容可以簡化為以下三個基本點。機密性機密性又稱保密性，是指個人或團體的信息不為其他不應(yīng)獲得者獲得。完整性數(shù)據(jù)完整性是指在傳輸、儲存信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權(quán)地篡改或在篡改后能夠被迅速發(fā)現(xiàn)?？捎眯詳?shù)據(jù)可用性是一種以使用者為中心的設(shè)計概念，可用性設(shè)計重點在于讓產(chǎn)品的設(shè)計能夠符合使用者的習(xí)慣和需求，也就是在確保數(shù)據(jù)機密性和完整性的同時，也要確保數(shù)據(jù)可以被使用者方便使用。不能一味強調(diào)機密和完整，而忽略數(shù)據(jù)存在的根本意義是被使用和處理。數(shù)據(jù)安全保護框架數(shù)據(jù)生命周期安全為應(yīng)對因生命周期帶來的挑戰(zhàn)，必須從數(shù)據(jù)的整個生存周期考慮，針對數(shù)據(jù)生命周期的不同階段，設(shè)計有針對性的解決方案。通過覆蓋數(shù)據(jù)生命周期的整體解決方案，最終實現(xiàn)業(yè)務(wù)數(shù)據(jù)如文件數(shù)據(jù)、應(yīng)用數(shù)據(jù)的基于策略的自動管理，包括數(shù)據(jù)的分類、備份、發(fā)布、遷移、歸檔和刪除，實現(xiàn)全面的數(shù)據(jù)儲存管理自動化。在提高現(xiàn)有儲存資源利用率的同時，提高數(shù)據(jù)的可用性。數(shù)據(jù)泄露保護采取數(shù)據(jù)泄露安全的目的就是建立敏感數(shù)據(jù)的安全邊界，通過采取相應(yīng)的技術(shù)措施，為各種數(shù)據(jù)建立一個關(guān)于數(shù)據(jù)的安全邊界。理論上來說，這些數(shù)據(jù)只要還在安全邊界內(nèi)，就能保證其是安全的。數(shù)據(jù)的防泄漏保護需要一套完整的體系，也是多種系統(tǒng)的集成，用以解決不同類型用戶的不同需求。根據(jù)所屬的位置的不同，數(shù)據(jù)泄露安全保護可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄露安全保護和基于主機的數(shù)據(jù)泄露安全保護?；诰W(wǎng)絡(luò)的數(shù)據(jù)泄露安全保護通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)區(qū)域的互聯(lián)網(wǎng)的接口處，所針對的對象是進出各網(wǎng)絡(luò)區(qū)域的所有數(shù)據(jù)?；谥鳈C的數(shù)據(jù)泄露安全保護則部署在存放敏感數(shù)據(jù)的主機上，當發(fā)現(xiàn)被保護主機上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機時，基于主機的數(shù)據(jù)泄露安全保護方案會采取攔截或警報等行為。智慧園區(qū)環(huán)境下，兩種方案通常需同時部署。數(shù)據(jù)加密數(shù)據(jù)加密功能是幫助客戶克服與部署全面的端點安全解決方案相關(guān)的困難，通過將安全性構(gòu)建在最常用的應(yīng)用中，能夠保護保存在PC、儲存器、智能終端等任何地方的數(shù)據(jù)。幫助用戶一致地執(zhí)行公司和法定安全策略。通過基于平臺的端點數(shù)據(jù)加密，能夠通過擴展來提供大量的數(shù)據(jù)安全選項，具體取決于數(shù)據(jù)保存位置、共享方式和用戶。統(tǒng)一的加密平臺具有卓越的運行效率和可擴展性，能夠適應(yīng)增長。數(shù)據(jù)歸檔數(shù)據(jù)歸檔技術(shù)就是應(yīng)對這一問題有效的解決方案。與存儲不同，備份用于高速復(fù)制和恢復(fù)來減少故障、人員錯誤或災(zāi)難的影響，數(shù)據(jù)歸檔的作用并不限于“恢復(fù)”一個應(yīng)用程序或業(yè)務(wù)，還要能夠方便地檢索。數(shù)據(jù)歸檔系統(tǒng)的最基本目的是將歷史數(shù)據(jù)安全地、低成本地存儲起來，在需要時可方便地搜尋到。因此，數(shù)據(jù)歸檔并不是生產(chǎn)數(shù)據(jù)的“復(fù)制”，而是一段信息的基本版本，經(jīng)常是當前失效的或不再改變的數(shù)據(jù)。實際上，當數(shù)據(jù)停止改變或不被頻繁使用時，最好把他們轉(zhuǎn)移到一個文檔，使之存儲在日常的備份窗口外，但仍能隨時的接入。用于數(shù)據(jù)歸檔的存儲平臺也同樣重要。理想的情況是，數(shù)據(jù)歸檔存儲系統(tǒng)應(yīng)能滿足長期保存活躍歸檔數(shù)據(jù)的需求，并易于擴展和管理，總擁有成本也要低于生產(chǎn)環(huán)境。先進的數(shù)據(jù)歸檔平臺還能保證內(nèi)容的真實性、內(nèi)容位置獨立性，以及具有內(nèi)置復(fù)制功能。災(zāi)難備份為了災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)計、技術(shù)支持能力和運行管理能力進行備份的過程稱為災(zāi)難備份。災(zāi)難備份是災(zāi)難恢復(fù)的基礎(chǔ)，是圍繞著災(zāi)難恢復(fù)所進行的各類備份工作，災(zāi)難恢復(fù)不僅包含難備份，更注重的是業(yè)務(wù)恢復(fù)。建設(shè)集合各縣級兩級數(shù)據(jù)中心資源，形成“兩地雙中心”數(shù)據(jù)中心互為災(zāi)備格局。災(zāi)備中心的建立，將為主數(shù)據(jù)中心提供一個應(yīng)用級數(shù)據(jù)或數(shù)據(jù)級容災(zāi)，一旦主數(shù)據(jù)中心出現(xiàn)問題，災(zāi)備中心可以直接接管業(yè)務(wù)或保護數(shù)據(jù)。確定所有包含敏感信息的數(shù)據(jù)庫服務(wù)器，并理解如何通過各種資源進行訪問（業(yè)務(wù)線應(yīng)用程序、批處理、特別查詢、應(yīng)用程序開發(fā)人員、管理員等）。在所存儲信息的敏感程度未知時保護信息并控制風(fēng)險。在哪些信息應(yīng)符合具體規(guī)范不明確的情況下確保遵從性。利用數(shù)據(jù)庫自動發(fā)現(xiàn)和信息分類來確定將機密數(shù)據(jù)存儲在何處，隨后利用可自定義的分類標簽來自動實施安全策略，將其應(yīng)用于特定類別的敏感對象。這些策略可確保敏感信息僅可被授權(quán)用戶查看和/或更改。定期執(zhí)行敏感數(shù)據(jù)發(fā)現(xiàn)任務(wù)，以防止引入惡意服務(wù)器，確保沒有任何重要信息會“被遺忘”。數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進行改造并提供測試使用，如身份證號、手機號、卡號、客戶號等個人信息都需要進行數(shù)據(jù)脫敏。例如用相似的字符替代一些字段；用屏蔽字符（例如，‘x’）替代字符；用虛擬的姓氏替代真正的姓氏，以及在數(shù)據(jù)庫數(shù)列中對數(shù)據(jù)進行重組。數(shù)據(jù)庫安全性評估將掃描整個數(shù)據(jù)庫基礎(chǔ)設(shè)施，查找漏洞，并使用實時和歷史數(shù)據(jù)提供對數(shù)據(jù)庫安全狀態(tài)的連續(xù)評估。評估可分為兩大類別：漏洞和配置測試檢查漏洞，例如缺少補丁、特權(quán)和默認賬戶配置錯誤等。行為測試實時監(jiān)控所有數(shù)據(jù)庫，根據(jù)訪問和操縱數(shù)據(jù)庫的方式來識別漏洞——例如登錄失敗次數(shù)過多、客戶端執(zhí)行管理命令或非工作時間的登錄。監(jiān)控和實時數(shù)據(jù)庫安全性與變更控制策略防止特權(quán)賬戶執(zhí)行未經(jīng)授權(quán)或惡意操作或者來自惡意用戶或外部用戶的攻擊。識別通過多層應(yīng)用程序（這些多層應(yīng)用程序通過通用服務(wù)賬戶訪問數(shù)據(jù)庫）對數(shù)據(jù)庫進行未授權(quán)更改的應(yīng)用程序用戶。所有數(shù)據(jù)庫流量的連續(xù)上下文分析實時連續(xù)地監(jiān)控所有數(shù)據(jù)庫操作，利用正在申請專利的語言分析，根據(jù)各SQL事務(wù)的具體上下文信息來檢測未經(jīng)授權(quán)的操作。這種獨特的方法可最小化假陽性和陰性現(xiàn)象，同時提供無與倫比的控制水平，不同于僅尋找預(yù)定義模板或簽名的傳統(tǒng)方法。設(shè)定基準以檢測異常行為并自動化策略定義通過建立基準，并識別正常的業(yè)務(wù)流程和存在異?；顒拥臉I(yè)務(wù)流程，系統(tǒng)即自動推薦可用于防止SQL注入等攻擊的策略?？赏ㄟ^直觀的下拉菜單輕松添加自定義策略。前瞻、實時的安全性前瞻性的響應(yīng)未經(jīng)授權(quán)或異常的行為?；诓呗缘男袆涌砂▽崟r安全警報（SMTP、SNMP、Syslog）、軟件阻塞、啟用完整日志記錄、隔離用戶和自定義操作，例如VPN端口關(guān)閉和與周邊IDS/IPS系統(tǒng)協(xié)調(diào)一致。跟蹤和解決安全事件遵從法規(guī)要求組織證明自己即時的記錄、分析、解決了所有意外事件，并向管理者做了報告。業(yè)務(wù)用戶界面和工作流自動化，用于應(yīng)對安全事件，此外還提供了一個儀表板，用于跟蹤關(guān)鍵指標，例如開放的意外事件、嚴重度級別和意外事件開放的時長。配置細粒度審計跟蹤記錄建所有數(shù)據(jù)庫活動的連續(xù)、細粒度的跟蹤記錄，根據(jù)上下文實時分析和篩選以便實現(xiàn)前瞻性的控制并生成審計人員所需的特定信息。所得到的報告提供對所有數(shù)據(jù)庫活動（例如登錄失敗、特權(quán)升級、模式更改、非工作時間訪問或未經(jīng)授權(quán)的應(yīng)用程序訪問、敏感表訪問）的可見性，并以此來體現(xiàn)遵從性。例如，系統(tǒng)監(jiān)控以下全部內(nèi)容：身份訪問安全身份和訪問安全通常定義為身份驗證、訪問管理和身份生命周期管理三部分。它有助于組織識別訪問系統(tǒng)、應(yīng)用和數(shù)據(jù)的用戶身份，確保只有經(jīng)過授權(quán)的用戶才可以訪問，從而保護這些資產(chǎn)的安全，降低管理成本，增強用戶體驗，支持遵從性，幫助提高對人員人份的信任度。要想在物理和邏輯環(huán)境中有效地進行身份管理和訪問管理，則必須在整個身份生命周期中管理用戶身份和資源訪問權(quán)限，包括身份生命周期管理，用戶自主維護、注冊、驗證、配置、重新驗證和取消配置身份控制，訪問和隱私控制、角色管理、單點登錄（SSO:SingleSignOn）和審計訪問授權(quán)。訪問授權(quán)可在用戶的整個生命周期內(nèi)（跨多個環(huán)境和安全域）及時地提供訪問。身份驗證 身份驗證管理需要能夠集中地自動實現(xiàn)用戶賬號和審批工作流的創(chuàng)建，從整體角度設(shè)置IT和非IT資源，并通過自動化流程降低成本。借助集成化的單次登錄及個性化的門戶自服務(wù)（包括密碼重置），提升用戶的生產(chǎn)效率。借助當前功能強大的身份識別和識別存儲技術(shù)，身份識別管理范圍可以涵蓋智慧園區(qū)管理涉及的身份識別的各個環(huán)節(jié)。從員工入職工作、合作機構(gòu)簽約或客戶訪問系統(tǒng)開始，他就能追蹤、管理并自動實現(xiàn)需要的系統(tǒng)訪問變更，同時啟動所有的工作流和批準過程。 訪問管理 管理用戶訪問在智慧園區(qū)應(yīng)用系統(tǒng)中是一項復(fù)雜的工作。員工、政府企業(yè)機構(gòu)及個人用戶要求跨不同平臺和操作系統(tǒng)，安全地訪問關(guān)鍵型業(yè)務(wù)應(yīng)用。許多分布式操作系統(tǒng)支持管理員訪問所有信息，這也意味著諸如患者信息或敏感商業(yè)計劃等信息的私密性可能遭到破壞。管理訪問也意味著對被認證的用戶訪問所有類型的資源進行控制，同時確保強大的安全策略始終如一地應(yīng)用到所有職員。 訪問管理解決方案通過集中和強化的端到端的安全性，保證業(yè)務(wù)關(guān)鍵性資產(chǎn)的安全，而無需受限于操作系統(tǒng)、平臺、業(yè)務(wù)應(yīng)用以及是否是Web資源。集中管理會同提升生產(chǎn)效率的個性化以及統(tǒng)一的安全策略，可以確保降低成本。借助主動的動態(tài)安全措施，這些解決方案能夠提供最強大的保護，因此能夠在防止內(nèi)部破壞和外部攻擊的同時，全面監(jiān)控IT和物理訪問設(shè)備的違規(guī)使用。 用戶生命周期管理用戶生命周期管理主要是針對智慧園區(qū)各個系統(tǒng)的內(nèi)部用戶。生命周期管理是指IT系統(tǒng)用戶的管理應(yīng)和其他在內(nèi)部的人事流程相關(guān)，同時也是受其驅(qū)動的。通常內(nèi)部用戶的人事關(guān)系發(fā)生變動后，其在統(tǒng)一用戶管理系統(tǒng)中的用戶狀態(tài)能夠做相應(yīng)的調(diào)整，用戶的生命周期管理能夠根據(jù)其人事管理過程中的演進進而發(fā)生變化。構(gòu)建該體系需要從整體考慮信息系統(tǒng)的身份管理流程，制定相應(yīng)的規(guī)范，加強身份管理和認證的安全性，從而保障系統(tǒng)的安全、可靠運行。作為信息安全體系技術(shù)架構(gòu)的重要組成部分，身份管理與認證是建成信息安全保障體系的關(guān)鍵技術(shù)類項目。作為共享的重要信息安全基礎(chǔ)設(shè)施，身份管理與認證為業(yè)務(wù)流程在系統(tǒng)中實現(xiàn)提供安全的身份認證，并降低系統(tǒng)建設(shè)與集成的復(fù)雜性和成本，提高信息系統(tǒng)的安全防護能力。集中身份管理也作為提高身份管理效率的措施，可以有效避免用戶身份管理不一致，無法適應(yīng)信息系統(tǒng)大規(guī)模應(yīng)用、影響信息技術(shù)應(yīng)用情況，從而保證信息系統(tǒng)向用戶提供服務(wù)的可能性。集中身份管理與統(tǒng)一認證授權(quán)服務(wù)能夠解決應(yīng)用系統(tǒng)用戶賬號管理復(fù)雜、口令安全性不足等信息安全問題，是安全、有效地達到等級保護和內(nèi)控合規(guī)性要求的重要措施。安全區(qū)域劃分及邊界控制在智慧園區(qū)信息系統(tǒng)的安全體系建設(shè)中，整體的安全區(qū)域劃分及網(wǎng)絡(luò)邊界控制，屬于信息安全技術(shù)防護中的基礎(chǔ)架構(gòu)安全部分，但由于該部分內(nèi)容比較重要，所以單獨提出，用作智慧園區(qū)平臺安全基礎(chǔ)架構(gòu)的設(shè)計依據(jù)。依照智慧園區(qū)的規(guī)劃，整體的安全區(qū)域劃分邊界控制，主要針對以當前的電子政務(wù)外網(wǎng)信息機房為依托建成的云計算中心，對核心服務(wù)和數(shù)據(jù)進行安全隔離設(shè)計，提升安全保障控制能力。根據(jù)當前模塊，共劃分為應(yīng)用服務(wù)器區(qū)域、平臺服務(wù)器區(qū)域、運維管理區(qū)域、辦公接入?yún)^(qū)域、下級行政單位（縣、鄉(xiāng)鎮(zhèn)社區(qū)）接入?yún)^(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、企事業(yè)單位接入?yún)^(qū)域和DMZ（隔離區(qū)，Demilitarizedzone）區(qū)域。未來可根據(jù)規(guī)模的擴張，依據(jù)現(xiàn)有架構(gòu)思想，新建或分割當前的區(qū)域。智慧園區(qū)的安全區(qū)域劃分設(shè)計，可規(guī)劃為安全區(qū)、非安全區(qū)和半安全區(qū)。其中，應(yīng)用服務(wù)器區(qū)、平臺服務(wù)器區(qū)和運維管理區(qū)均為安全區(qū)；DMZ區(qū)為半安全區(qū)；辦公接入?yún)^(qū)、鄉(xiāng)鎮(zhèn)社區(qū)接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)和企事業(yè)單位接入?yún)^(qū)均為非安全區(qū)，各個區(qū)域之間執(zhí)行嚴格的網(wǎng)絡(luò)安全邊界控制。網(wǎng)絡(luò)安全邊界控制的整體規(guī)范為：非安全區(qū)只能訪問半安全區(qū)，禁止訪問安全區(qū)；半安全區(qū)可發(fā)起訪問安全區(qū)，但不能主動發(fā)起訪問非安全區(qū)；安全區(qū)只能訪問本區(qū)域內(nèi)容，不能主動發(fā)起訪問其他區(qū)域（運維管理區(qū)除外）。對于智慧園區(qū)的管理和服務(wù)系統(tǒng)，所有數(shù)據(jù)主要來自幾個位置；各個專項智慧園區(qū)應(yīng)用系統(tǒng)的自動或手動上傳；互聯(lián)網(wǎng)/物聯(lián)網(wǎng)系統(tǒng)的信息收集；公共用戶的資料上傳；以及下級政府單位資料上傳等等。對于各個系統(tǒng)的資料收集，在云計算中心的DMZ區(qū)域，設(shè)立專門的數(shù)據(jù)交互平臺，各個專項系統(tǒng)及各類用戶，將本系統(tǒng)內(nèi)智慧園區(qū)信息所需資料手動上傳或自動上傳到DMZ區(qū)域的數(shù)據(jù)交互平臺。智慧園區(qū)系統(tǒng)內(nèi)部的應(yīng)用系統(tǒng)會從數(shù)據(jù)交互平臺讀取相關(guān)數(shù)據(jù)。各系統(tǒng)之間經(jīng)過嚴格權(quán)限控制，也可以通過數(shù)據(jù)交互平臺互相訪問，達到數(shù)據(jù)共享的目的。智慧園區(qū)信息安全管理體系智慧園區(qū)的安全保障體系是全方位的，需要全社會的積極配合及各職能部門的相互協(xié)調(diào)。有必要建立或健全安全管理體系和組織體系，完善安全運行管理機制，明確各職能部門的職責和分工，從技術(shù)、管理和法律等多方面保證智慧園區(qū)的政策運行。完善信息安全組織體系，成立以政府職能部門為主的“智慧園區(qū)”安全管理機構(gòu)，強化和明確其職責。在健全信息安全組織體系的基礎(chǔ)上，切實落實安全管理責任制，明確各級、各部門作為信息安全保障工作的責任人。技術(shù)部門主管或項目負責人作為信息安全保障工作的直接責任人，強化對網(wǎng)絡(luò)管理人員和操作人員的管理。加強信息安全配套建設(shè)，消除信息安全風(fēng)險隱患，把好涉密計算機和存儲介質(zhì)、內(nèi)部網(wǎng)絡(luò)對外接入、設(shè)備采購和服務(wù)外包的三個重要的管理關(guān)口。對正度信息系統(tǒng)和涉及重大民生及城公共服務(wù)的重要系統(tǒng)，建立與之配套的數(shù)據(jù)備災(zāi)中心。加強對涉密信息的監(jiān)督管理，對相關(guān)單位將涉密信息存儲在聯(lián)網(wǎng)計算機上，并違反規(guī)定上互聯(lián)網(wǎng)，將涉密信息暴露在互聯(lián)網(wǎng)上的要及時糾正，并對有關(guān)人員進行教育和處理。對網(wǎng)上發(fā)布的信息進行監(jiān)控，及時發(fā)現(xiàn)泄密事件，將危害控制在最小范圍內(nèi)，使保密制度得到有效執(zhí)行和落實。建立健全信息安全制度，制定整個城市的安全方針、安全策略以及整體的安全戰(zhàn)略規(guī)劃，針對一級信息安全管理制定相應(yīng)管理制度和規(guī)范。要求基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)運營、使用單位根據(jù)自身情況，制定包括拿權(quán)責任制度、定期檢查制度、評估改進制度、安全外包制度、事故報告制度等在內(nèi)的日常信息安全規(guī)章制度。開展信息安全和信息法制教育，要通過加強信息安全知識的普及教育，特別是對相關(guān)人員進行網(wǎng)絡(luò)安全知識培訓(xùn)，大力強化相關(guān)隊伍的安全保密意識，使網(wǎng)絡(luò)信息安全宣傳教育工作不留死角，為網(wǎng)絡(luò)信息系統(tǒng)安全運行創(chuàng)造條件。與人事制度相結(jié)合，對信息安全相關(guān)崗位的工作人員的錄用、調(diào)崗、離職有一定的管理機制，對在崗人員有相關(guān)考核，切實把好用人關(guān)。對網(wǎng)絡(luò)管理人員和涉密操作人員要簽訂保密協(xié)議，明確保密職責，實行持證上崗制度。信息安全政策法規(guī)建設(shè)政策法規(guī)智慧園區(qū)是信息和知識密集的城。信息資源開發(fā)與國家機密、商業(yè)機密和個人隱私保護之間無疑存在矛盾，但這種矛盾也非是完全不可調(diào)和的，需政府進行政策法規(guī)方面的制定和引導(dǎo)。其一，一方面國家機密、商業(yè)秘密和個人隱私是需要保護的，但另一方面，這些信息都是有著巨大潛在市場需求的重要資源，過度的保護可能適得其反，在對某些資源存在廣泛社會需求的情況下，簡單地對資源進行封鎖只會導(dǎo)致資源的盜用和濫用。相反，如果允許對這些資源進行適當?shù)拈_發(fā)，反而可能有助于資源保護。其二，“機密、秘密和隱私”都不是絕對的，這些信息有可能隨著社會環(huán)境變化而成為可公開的信息。其三，對某些真正的機密、秘密和隱私信息，可以通過某些技術(shù)手段對其進行去隱私化處理，既屏蔽掉其中的隱私內(nèi)容，又保持其商業(yè)價值。因此，智慧園區(qū)建設(shè)應(yīng)當拋棄“封閉就是安全、開放就是不安全”的傳統(tǒng)觀念，通過適當?shù)募夹g(shù)手段、信息處理方法及管理制度，實現(xiàn)信息安全保障和信息資源開發(fā)的同步提升。信息安全文化普及建設(shè)面對、協(xié)商防范，建立全社會協(xié)作參與的信息安全體系。安全的發(fā)展應(yīng)用，為其社會協(xié)同應(yīng)對信息安全問題提供了技術(shù)基礎(chǔ)。每個加入信息安全服務(wù)云的用戶即是服務(wù)的對象，也是完成分布式判別功能的一個信息節(jié)點，提高信息安全保障的準確性和及時性。安全和標準規(guī)范體系安全體系是指為保障不同層面的信息系統(tǒng)建設(shè)和運維的安全而采用的技術(shù)和管理手段。隨著信息技術(shù)的不斷進步和信息化建設(shè)的不斷發(fā)展，信息安全威脅不斷擴大，全局性和群體性信息安全事件發(fā)生的可能性不斷增加，防御難度日益加大，信息安全已成為國家安全、社會安全、經(jīng)濟安全的重要組成部分。因此，建設(shè)智慧，要強化信息安全保障能力，維護國家、企業(yè)以及公眾利益，保護國家涉密信息、政府敏感信息、商業(yè)機密信息、個人私密信息的安全，避免信息安全事故對政治、經(jīng)濟和社會生活的嚴重影響。全生命周期安全防護體系涵蓋信息安全管理機構(gòu)、信息安全管理制度、信息安全技術(shù)體系以及信息安全運維體系。標準規(guī)范體系是與智慧建設(shè)相關(guān)的一系列技術(shù)標準和規(guī)范。智慧標準規(guī)范體系建設(shè)目標是全面、系統(tǒng)地梳理項目建設(shè)中所需的各項標準規(guī)范，貫徹落實已頒布的國家標準、行業(yè)標準和自治區(qū)等地方標準，在具體建設(shè)項目過程中由政府引導(dǎo)、相關(guān)協(xié)會或第三方機構(gòu)牽頭組織制定和完善相關(guān)標準。將標準研究編制成果和榆林信息化建設(shè)時間充分結(jié)合，以標準指導(dǎo)信息化系統(tǒng)建設(shè)，提高信息化建設(shè)成功率。智慧園區(qū)標準體系涵蓋總體框架、終端、網(wǎng)絡(luò)、資源、平臺、應(yīng)用和信息安全等各方面的標準。安全和標準規(guī)范體系安全等級保護建設(shè)方案設(shè)計目標依照國家《計算機信息系統(tǒng)安全保護等級劃分準則》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全保護等級定級指南》等標準，以及智慧園區(qū)項目對信息系統(tǒng)等級保護工作的有關(guān)規(guī)定和要求。通過為滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設(shè)。使得智慧園區(qū)信息系統(tǒng)的等級保護建設(shè)方案最終既可以滿足等級保護的相關(guān)要求，又能夠全方面為業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。參考標準安全等級保護工作遵循國家信息安全等級保護指南等最新安全標準開展各項服務(wù)工作，本項目建設(shè)參考依據(jù)：指導(dǎo)思想中辦〔2003〕27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知）公通字〔2004〕66號文件（關(guān)于印發(fā)《信息安全等級保護工作的實施意見》的通知）公通字〔2007〕43號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知）公信安[2009]1429《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》等級保護GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則信安字〔2007〕10號信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南技術(shù)方面GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GA/T671-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求GA/T709-2007信息安全技術(shù)信息系統(tǒng)安全等級保護基本模型GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求管理方面GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息系統(tǒng)安全工程管理要求ISO/IEC27001信息系統(tǒng)安全管理體系標準方案設(shè)計信安秘字[2009]059《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》設(shè)計原則信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。針對智慧園區(qū)項目，建議所有涉及安全加固以及整改部分必須滿足國家有關(guān)等保三級測評的要求和標準，必須針對信息薄弱環(huán)節(jié)做好等保三級防護的安全覆蓋，等級保護整改方案的設(shè)計和實施將遵循以下原則：保密性原則：對安全服務(wù)的實施過程和結(jié)果嚴格保密，在未經(jīng)實施機構(gòu)授權(quán)的情況下不能泄露給任何單位和個人，不能利用此數(shù)據(jù)進行任何侵害客戶權(quán)益的行為；標準性原則：服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標準進行；根據(jù)等級保護三級基本要求，進行分等級分安全域進行安全設(shè)計和安全建設(shè)。規(guī)范性原則：在各項安全服務(wù)工作中的過程和文檔，應(yīng)具有很好的規(guī)范性，可以便于項目的跟蹤和控制；可控性原則：服務(wù)所使用的工具、方法和過程都會在雙方認可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證雙方對服務(wù)工作的可控性；整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的IT運行的各個層面，避免由于遺漏造成未來的安全隱患；體系化原則：在體系設(shè)計、建設(shè)中，充分考慮到各個層面的安全風(fēng)險，構(gòu)建完整的立體安全防護體系。先進性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全產(chǎn)品、安全技術(shù)都充分考慮前瞻性要求，采用先進、成熟的安全產(chǎn)品、技術(shù)和先進的管理方法。分步驟原則：根據(jù)智慧園區(qū)項目建設(shè)要求，對項目安全保障體系進行分期、分步驟的有序部署。安全等級保護設(shè)計計算環(huán)境安全域劃分的原則應(yīng)是：結(jié)合實際，參考國內(nèi)外標準，逐步優(yōu)化。互聯(lián)網(wǎng)接入域接入域包括：外網(wǎng)接入域提供互聯(lián)網(wǎng)用戶接入訪問入口、終端用戶訪問互聯(lián)網(wǎng)出口互聯(lián)網(wǎng)接入域?qū)儆谕獠炕ヂ?lián)部分，內(nèi)部連接著核心域。由于其直接暴露于互聯(lián)網(wǎng)，通過防火墻的安全策略定制，以阻止網(wǎng)絡(luò)非授權(quán)訪問的發(fā)生。并可以在防火墻上監(jiān)控外部或外圍網(wǎng)絡(luò)的工作狀況及時針對突發(fā)事件制定臨時策略。對于網(wǎng)絡(luò)的訪問行為也可以進行相關(guān)的日志記錄。部署防火墻可以對進出數(shù)據(jù)進行訪問控制，并對內(nèi)部上網(wǎng)流量進行帶寬控制和應(yīng)用協(xié)議控制，有效地防止內(nèi)部大量的P2P應(yīng)用流量帶來的網(wǎng)絡(luò)帶寬占用問題。安全管理平臺區(qū)域安全管理平臺區(qū)域：該區(qū)域主要安全設(shè)備的集中管理，包括防病毒服務(wù)器、漏洞掃描、堡壘主機、網(wǎng)絡(luò)審計、入侵檢測數(shù)據(jù)庫審計和安全管理平臺等資源，通過此平臺可以對云計算中心的整網(wǎng)安全狀況進行有效的監(jiān)控，包括網(wǎng)絡(luò)安全狀況、數(shù)據(jù)庫安全狀況、網(wǎng)站安全狀況的進行實時的監(jiān)控和防御。并通過安全管理平臺進行統(tǒng)一的管理和監(jiān)控，一旦發(fā)生安全事件通過此平臺統(tǒng)一告警，生成相應(yīng)的工單系統(tǒng)。依據(jù)內(nèi)置的知識庫，定期輸出網(wǎng)絡(luò)運行風(fēng)險分析報告。堡壘主機集賬號管理、授權(quán)管理、認證管理和綜合審計于一體，為云計算中心提供統(tǒng)一框架，整合企業(yè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)，確保合法用戶安全、方便使用特定資源。既能有效地保障合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠的運行。堡壘主機具備堅強的安全防護能力，扮演著看門者的職責，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過，因此堡壘主機能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉所有對目標設(shè)備的非法訪問行為。漏洞掃描系統(tǒng)利用一系列的腳本模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)果進行分析，針對已知的網(wǎng)絡(luò)漏洞進行檢驗。有效地發(fā)現(xiàn)云計算中心中各系統(tǒng)資源存在的潛在威脅，并提供安全加固的依據(jù)。網(wǎng)絡(luò)審計系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中，不影響網(wǎng)絡(luò)的性能，具有即時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力。通過數(shù)據(jù)的抓取，可實現(xiàn)對業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)庫的操作過程進行審計，有效保護業(yè)務(wù)數(shù)據(jù)的完整性?？梢詫`規(guī)行為進行審計記錄與報警。通信網(wǎng)絡(luò)虛擬化安全虛擬化安全機制用于保護虛擬機管理器和虛擬機。它保護虛擬機管理器防止外部的襲擊，并且隔離虛擬機。如果虛擬機管理器被攻擊，在其上的多個虛擬機的隔離機制會失敗。虛擬機管理器的漏洞不僅僅是其自身的問題，因為虛擬機也可能會帶來一些它們自己的漏洞。這些漏洞可以通過保護虛擬機鏡像或者虛擬機安全生命周期的管理來得到減輕。虛擬化（Virtualization）作為一種能夠提高物理服務(wù)器運行效率、降低成本、簡化資源管理以及支撐動態(tài)資源擴展等特點成為云計算的核心技術(shù)。然而，虛擬化技術(shù)也給云計算帶來了更加復(fù)雜的安全環(huán)境，許多研究表明，大多數(shù)的虛擬機產(chǎn)品相對傳統(tǒng)的物理服務(wù)器而言安全性更差，但是這個現(xiàn)狀是可以隨著技術(shù)的革新而得到改進的。理論上，虛擬機可以獲得和物理機相同級別甚至在某些方面更強的安全性。考慮到云計算實質(zhì)上是一個虛擬化的計算資源平臺，并以虛擬機的方式為用戶提供運行環(huán)境，因此，在云計算安全研究領(lǐng)域中，虛擬化安全的研究顯得尤為重要和迫切，其中云計算平臺中的虛擬機安全是核心。虛擬機系統(tǒng)結(jié)構(gòu)1）虛擬機系統(tǒng)結(jié)構(gòu)系統(tǒng)虛擬化的核心思想是虛擬化軟件在一臺物理機上虛擬出一臺或多臺虛擬機。使用系統(tǒng)虛擬化技術(shù)，虛擬機運行在一個隔離環(huán)境中、具有完整硬件功能的邏輯計算機系統(tǒng)，包括客戶操作系統(tǒng)和其中的應(yīng)用程序。在虛擬機系統(tǒng)中，多個操作系統(tǒng)可以互不影響地在同一臺物理機上同時運行，復(fù)用物理機資源。在虛擬機系統(tǒng)中，虛擬運行環(huán)境都需要為其上運行的虛擬機提供一套虛擬的硬件環(huán)境，包括虛擬的處理器、內(nèi)存、設(shè)備與I/O及網(wǎng)絡(luò)接口等。為了方便虛擬機系統(tǒng)的管理，提高虛擬機系統(tǒng)的安全性，在虛擬機系統(tǒng)中，可以設(shè)立獨立的管理虛擬機，專門提供虛擬機的管理和對虛擬機系統(tǒng)的安全控制。管理虛擬機可以和虛擬機監(jiān)控器合作，完成對虛擬機系統(tǒng)中客戶虛擬機管理工作。在管理虛擬機中，可以部署安全模塊，為虛擬機系統(tǒng)提供安全機制。隨著虛擬機系統(tǒng)功能的增多，虛擬機監(jiān)控器規(guī)模越來越大，其出現(xiàn)的漏洞也越來越多。因此，利用虛擬機監(jiān)控器提供可靠的安全機制已經(jīng)不可信。通過在虛擬機監(jiān)控器外，設(shè)立獨立安全模塊，既可以不增加虛擬機監(jiān)控器的規(guī)模，又能給虛擬機系統(tǒng)提供可信的安全機制。安全控制模塊負責提供對虛擬機監(jiān)控器行為的安全控制，從而保證虛擬機系統(tǒng)的安全。Hypervisor安全惡意用戶利用Hyprevisor的漏洞，對虛擬機系統(tǒng)進行攻擊。由于Hypervisor在虛擬機系統(tǒng)中的關(guān)鍵作用，一旦其遭受攻擊，將嚴重影響虛擬機系統(tǒng)的安全運行，造成數(shù)據(jù)丟失和信息泄漏。利用可信計算技術(shù)，可以有效保證Hypervisor的完整可信，降低安全風(fēng)險。VM安全1、訪問控制訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它通過某種途徑顯示地管理著對所有資源的訪問請求。根據(jù)安全策略的要求，訪問控制對每個資源請求做出許可或限制訪問的判斷，可以有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。在虛擬機Hypervisor中，設(shè)置訪問控制機制，可以有效管理虛擬機對物理資源的訪問，控制虛擬機之間的訪問。2、VM隔離VM之間有效隔離，保證未授權(quán)的VM不能訪問其他VM的資源。出現(xiàn)安全問題的VM不會影響其他VM，以及虛擬機系統(tǒng)的正常運行。3、虛擬網(wǎng)絡(luò)安全(1）虛擬機防護墻虛擬防火墻就是完全運行于虛擬環(huán)境下的防火墻，與主機防火墻概念是相對立的。它如同一臺虛擬機，一般運行于虛擬機監(jiān)控器hypervisor（VMM）中，對虛擬機網(wǎng)絡(luò)中的數(shù)據(jù)包進行過濾和監(jiān)控。它可以是主機hypervisor（VMM）中的一個內(nèi)核進程，也可以是一個帶有安全功能的虛擬交換機。(2)vIDS/IPSvIDS/IPS可以通過分析網(wǎng)絡(luò)數(shù)據(jù)或采集系統(tǒng)數(shù)據(jù)對虛擬機系統(tǒng)進行安全控制。在虛擬機系統(tǒng)中部署vIDS/vIPS，具有以下作用：(1）監(jiān)視、分析用戶及系統(tǒng)活動；(2）進行系統(tǒng)配置和弱點審計；(3）識別反應(yīng)已知進攻的活動模式并向相關(guān)人士報警；(4）進行異常行為模式的統(tǒng)計分析；(5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6）進行操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略行為。虛擬機安全管理1、安全策略在實現(xiàn)虛擬化之前，應(yīng)首先考慮安全策略規(guī)劃。分析虛擬平臺具體風(fēng)險，制定安全計劃。虛擬機部署：物理上把公共的虛擬機與專用的虛擬機分開；把不同任務(wù)或者服務(wù)虛擬機分開；虛擬機生命周期安全管理：考慮虛擬機創(chuàng)建、移動和銷毀過程生命周期安全威脅。具體如下。2、補丁管理對虛擬機系統(tǒng)技術(shù)進行補丁修復(fù)，可以有效地降低系統(tǒng)的安全風(fēng)險。尤其要加強對休眠虛擬機的安全系統(tǒng)狀態(tài)的監(jiān)控。3、虛擬機遷移可靠的虛擬機遷移技術(shù)是解決這個問題的關(guān)鍵。然而，可靠的虛擬機遷移安全機制能有效地保證虛擬機遷移的成功。在虛擬機遷移之前，為確保虛擬機遷移目的平臺的安全性和可靠性，可以先對虛擬平臺進行遠程證明和一致性檢測等措施，從而確保虛擬機成功遷移和安全運行。4、鏡像管理在虛擬機鏡像（VMI）的存儲和引導(dǎo)過程，要保證虛擬機鏡像的完整性和可靠性。5、審計虛擬機的審計內(nèi)容應(yīng)該包括電源狀態(tài)（開啟、關(guān)閉、暫停、恢復(fù)），對硬件配置的更改，登錄嘗試、權(quán)限變更、用戶對數(shù)據(jù)的訪問和業(yè)務(wù)的操作記錄等。此外，還應(yīng)該包括對文件的復(fù)制、移動、刪除做審計。6、管理工具虛擬機系統(tǒng)提供給用戶的管理工具能夠方便用戶有效地管理虛擬機系統(tǒng)。但是這些工具的缺陷導(dǎo)致這些工具在使用過程中會出現(xiàn)虛擬機功能的異常現(xiàn)象。而且，基于虛擬機管理工具的惡意使用也將對虛擬機系統(tǒng)帶來安全威脅。所以，要對虛擬機管理工具進行安全控制。安全管理平臺安全管理中心主要指省的統(tǒng)一安全管理平臺。具體包括：智慧園區(qū)平臺病毒防護中心智慧園區(qū)平臺CA中心智慧園區(qū)平臺網(wǎng)絡(luò)管理平臺智慧園區(qū)平臺安全審計平臺智慧園區(qū)平臺等級保護管理平臺智慧園區(qū)平臺運維管理平臺智慧園區(qū)平臺安全管理平臺環(huán)保、消防、職業(yè)安全、職業(yè)衛(wèi)生和節(jié)能環(huán)境影響分析為了落實科學(xué)發(fā)展觀和可持續(xù)發(fā)展戰(zhàn)略，本項目將堅決貫徹執(zhí)行《中華人民共和國環(huán)境影響評價法》，預(yù)防和控制對環(huán)境造成的不良影響。本項目為信息工程，屬于無污染項目，建設(shè)運行過程中不產(chǎn)生有害廢氣、廢水、廢渣等物質(zhì)；本項目的動力設(shè)備將產(chǎn)生輕微噪聲，計算機硬件的安裝和使用將會對辦公環(huán)境產(chǎn)生一定影響。影響環(huán)境的因素主要有：（1）大屏設(shè)備等配套設(shè)備產(chǎn)生的噪聲；（2）設(shè)備產(chǎn)生的電磁輻射；（3）設(shè)備材料本身的非環(huán)保因素和固體廢棄物；環(huán)保措施及方案針對上述影響環(huán)境的因素，必須考慮使用符合國家環(huán)保要求的設(shè)備和技術(shù)，保護系統(tǒng)使用人員的身體健康。具體的環(huán)保措施為：（1）計算機、網(wǎng)絡(luò)及相關(guān)硬件設(shè)備要滿足TCO99和FCC-B低電磁輻射標準認證，設(shè)備外殼采用綠色阻燃可回收環(huán)保材料；（2）計算機屏幕采用液晶顯示屏幕，保護工作人員視力，滿足人體工程學(xué)、生態(tài)學(xué)方面的要求。同時室內(nèi)必須安裝必要的空調(diào)、空氣加濕/去濕設(shè)備，保證空氣的流通；消防措施在項目建設(shè)中，將遵循“預(yù)防為主，消防結(jié)合”的方針，嚴格貫徹執(zhí)行國家《建筑設(shè)計防火規(guī)劃》。在設(shè)備選購、建筑裝修等方面設(shè)計中采取以下措施：嚴格按照國家規(guī)定，選購符合國家規(guī)定標準或使用許可的設(shè)備（如不間斷供電電源等）。建筑物按防火規(guī)定，設(shè)置防火門、疏散通道、消防電梯、安全出入口、火災(zāi)自動報警系統(tǒng)等，建筑物內(nèi)部裝修選用不燃性和難燃性材料。建筑物內(nèi)外，嚴格按照國家消防規(guī)定設(shè)置消防設(shè)施、通道和各種指示標志。職業(yè)安全和衛(wèi)生措施依據(jù)《中華人民共和國安全生產(chǎn)法》，對本工程施工技術(shù)人員提供以下勞動保護：為保證設(shè)備良好運行，改善工作條件，所有工作間全部采取空調(diào)降溫、冬季采暖的措施；機房采取防靜電措施，防止靜電對設(shè)備和人身的傷害；設(shè)有火災(zāi)自動報警系統(tǒng)，以便在有緊急情況時能夠及時通知全體人員；機房裝修過程要針對粉塵、有毒有害物質(zhì)對施工人員提供必要的防護措施，嚴格按照安全的施工工藝流程和進度施工；選擇安全的電源開關(guān)、插座，避免計算機電源裸露，防止被電源開關(guān)、插座、裸露處電擊等。節(jié)能分析本項目主要能耗設(shè)備是服務(wù)器、存儲設(shè)備和網(wǎng)絡(luò)設(shè)備、前端監(jiān)控設(shè)備和指揮中心大屏和操作臺，所需能源為電能。為了響應(yīng)國家號召，減少能源浪費，本項目擬采取以下措施：1) 服務(wù)器、存儲、網(wǎng)絡(luò)、安全類設(shè)備、視頻監(jiān)控設(shè)備、前端監(jiān)測設(shè)備、移動終端設(shè)備將優(yōu)先采購進入《節(jié)能降耗電子信息技術(shù)、產(chǎn)品與應(yīng)用方案推薦目錄》的產(chǎn)品；2) 充分利用操作系統(tǒng)中的電源管理功能，根據(jù)服務(wù)器的負載情況調(diào)節(jié)功耗，盡量減少能源浪費；3) 在滿足性能和成本要求的前提下，優(yōu)先選擇能耗較少的硬件設(shè)備。在工程建設(shè)的同時，應(yīng)對各機構(gòu)機房的場地布置、機柜安放進行優(yōu)化，保證設(shè)備布置的合理性，使設(shè)備散熱有效、平均，杜絕設(shè)備因環(huán)境因素大量消耗電能的情況。項目組織機構(gòu)和人員領(lǐng)導(dǎo)和管理機構(gòu)成立智慧園區(qū)建設(shè)項目工作領(lǐng)導(dǎo)小組，協(xié)調(diào)解決智慧園區(qū)建設(shè)中的重大問題，領(lǐng)導(dǎo)小組下設(shè)辦公室，負責智慧園區(qū)建設(shè)規(guī)劃編制以及項目擬訂方案、審查論證、組織驗收、運行管理等環(huán)節(jié)的協(xié)調(diào)、管理工作。根據(jù)工作需要領(lǐng)導(dǎo)小組成員進行調(diào)整，領(lǐng)導(dǎo)小組成員如下：(1）領(lǐng)導(dǎo)小組負責智慧園區(qū)中重大事項的決策。(2）辦公室職責=1\*GB3①、負責智慧園區(qū)的頂層設(shè)計，制定智慧園區(qū)中長期發(fā)展規(guī)劃，編制、調(diào)整，根據(jù)各年情況做任務(wù)分解。=2\*GB3②、負責工作監(jiān)督、檢查工作的組織、協(xié)調(diào)等。=3\*GB3③、負責領(lǐng)導(dǎo)小組會議議題的整理、擬定，會議的組織和決議的督辦。=4\*GB3④、負責與領(lǐng)導(dǎo)小組的交流、溝通，掌握項目建設(shè)動態(tài)和總結(jié)建設(shè)存在的問題，及時編寫工作簡報，報告領(lǐng)導(dǎo)小組成員。=5\*GB3⑤、負責根據(jù)需要提出調(diào)整試點工作的申請；=6\*GB3⑥、負責向上級領(lǐng)導(dǎo)小組匯報智慧園區(qū)建設(shè)的總體思路和建設(shè)進度；=7\*GB3⑦、負責按期完成智慧園區(qū)項目建設(shè)的自評價報告等工作。=8\*GB3⑧、負責級范圍智慧園區(qū)項目建設(shè)方案審核、評估及相關(guān)培訓(xùn)、會議的組織管理工作。(3）智慧辦下設(shè)組別按任務(wù)分解表督促落實相關(guān)工作。=1\*GB3①綜合協(xié)調(diào)組負責與其他單位的聯(lián)絡(luò)保障；負責協(xié)調(diào)相關(guān)部門、行業(yè)的信息共享和交換等。=2\*GB3②項目策劃組負責策劃、組織實施智慧園區(qū)各個階段的主要目標和任務(wù)，落實全國智慧園區(qū)建設(shè)。=3\*GB3③資金籌措組負責制定智慧園區(qū)近期、中長期發(fā)展的經(jīng)費估算。=3\*GB3③運營組負責統(tǒng)籌協(xié)調(diào)運營工作，負責支撐平臺運營維護、云計算服務(wù)、產(chǎn)業(yè)服務(wù)、工程管控、信息安全管理等工作，洽談運營事宜。=5\*GB3⑤專家咨詢組組織專家委員會，負責智慧園區(qū)建設(shè)各領(lǐng)域建設(shè)的技術(shù)攻關(guān)和指導(dǎo)，示范項目和建設(shè)項目的技術(shù)審核；負責智慧相關(guān)產(chǎn)品的技術(shù)審核、把關(guān)。負責對智慧園區(qū)建設(shè)領(lǐng)導(dǎo)小組、各級領(lǐng)導(dǎo)以及總體策劃組等提供技術(shù)咨詢服務(wù)；負責對智慧園區(qū)的各項規(guī)劃、建設(shè)項目、政策制定等進行可行性論證，提出意見和建議；負責對智慧園區(qū)建設(shè)相關(guān)關(guān)鍵節(jié)點、關(guān)鍵環(huán)節(jié)建言獻策。=6\*GB3⑥政策法規(guī)組負責制定智慧園區(qū)相關(guān)政策、法律法規(guī)，適當向參與項目建設(shè)的運營商、廠商傾斜，保證產(chǎn)業(yè)鏈的形成；負責制定智慧園區(qū)相關(guān)技術(shù)標準和運行規(guī)范。=7\*GB3⑦監(jiān)察審計組負責監(jiān)督指導(dǎo)智慧園區(qū)建設(shè)項目實施過程的進度控制、質(zhì)量控制、成本控制和過程風(fēng)險控制；負責智慧園區(qū)建設(shè)相關(guān)的財務(wù)審計；負責項目建設(shè)相關(guān)各單位、各小組、各運營商的工程監(jiān)理；負責機關(guān)效能監(jiān)察、黨風(fēng)廉政建設(shè)和反腐倡廉工作。項目實施機構(gòu)為了有效控制智慧園區(qū)項目實施過程中的一系列活動，項目領(lǐng)導(dǎo)小組成立項目管理小組。主要的職責是根據(jù)系統(tǒng)建設(shè)中各項階段功能的要求，在計劃的時間和成本預(yù)算內(nèi)，提交出要交付的產(chǎn)品或者服務(wù)。項目管理小組將運用一整套科學(xué)的項目管理方法，按照一定的項目管理模式（主要包括項目定義和組織、項目計劃、項目跟蹤和管理），來確保整個項目按步驟、有計劃、高效率、高質(zhì)量地進行。項目實施機構(gòu)1、項目管理小組為了有效控制智慧園區(qū)項目實施過程中的一系列活動，項目領(lǐng)導(dǎo)小組成立項目管理小組。項目管理小組人員由發(fā)改委熟悉信息系統(tǒng)建設(shè)項目管理人員組成，主要的職責是根據(jù)系統(tǒng)建設(shè)中各項階段功能的要求，在計劃的時間和成本預(yù)算內(nèi)，提交出要交付的產(chǎn)品或者服務(wù)。項目管理小組將運用一整套科學(xué)的項目管理方法，按照一定的項目管理模式（主要包括項目定義和組織、項目計劃、項目跟蹤和管理），來確保整個項目按步驟、有計劃、高效率、高質(zhì)量地進行。運行維護機構(gòu)信息化小組為智慧園區(qū)項目建成后的運行維護機構(gòu)，由項目承建運營商人員組成，在項目領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，全面負責平臺的運行、維護和組織管理。人員培訓(xùn)方案系統(tǒng)培訓(xùn)包括應(yīng)用培訓(xùn)與管理培訓(xùn)。應(yīng)用培訓(xùn)針對使用者，主要由運維部門實施。根據(jù)對象的不同，采取分層次、多元化的培訓(xùn)手段，如對政務(wù)繁忙的領(lǐng)導(dǎo)，主要采取集中講授入門課程、一對一輔導(dǎo)、代理復(fù)雜技術(shù)操作等方式；對中層干部及一般使用者，主要采取培訓(xùn)等方式。在應(yīng)用培訓(xùn)過程中，應(yīng)注意收集使用者對系統(tǒng)的改進意見，在此基礎(chǔ)上不斷完善應(yīng)用界面和應(yīng)用功能。管理培訓(xùn)針對運維部門、人員，包括現(xiàn)場培訓(xùn)、專業(yè)培訓(xùn)和技術(shù)交流等，主要由供應(yīng)商或廠商實施。1、現(xiàn)場培訓(xùn)指對現(xiàn)場管理人員進行的日常管理和日常故障排除的培訓(xùn)；2、專業(yè)培訓(xùn)指對系統(tǒng)維護和開發(fā)人員進行系統(tǒng)的、有針對性的培訓(xùn)，如操作系統(tǒng)和數(shù)據(jù)庫培訓(xùn)，包括認證培訓(xùn)；3、技術(shù)交流指參加與工作有關(guān)的各種展示會、研討會和產(chǎn)品發(fā)布會，深化對專題技術(shù)的了解和認識，通過研討和技術(shù)交流獲得最新技術(shù)資料并跟蹤業(yè)界最新動態(tài)。項目實施進度項目實施采用逐步推進的建設(shè)方式，項目建設(shè)期建設(shè)約為XXXX個月。投資估算和資金籌措投資估算的有關(guān)說明（1）本項目投資估算依據(jù)國家建設(shè)項目投資估算的有關(guān)規(guī)定編制，投資估算遵循“符合規(guī)范、結(jié)合實際、經(jīng)濟合理、不重不漏、計算正確”的指導(dǎo)原則。（2）本項目建設(shè)投資包括建筑安裝工程費、設(shè)備及支撐軟件購置費、軟件研發(fā)技術(shù)服務(wù)、工程建設(shè)其他費、云計算資源租用費、數(shù)據(jù)資源費、預(yù)備費等。（3）應(yīng)用系統(tǒng)軟件研究、開發(fā)費，按定制各種應(yīng)用系統(tǒng)軟件需要的工作量和人工費用估算。（5）本項目將為社會資本預(yù)留靈活、充足的資金對接通道，不限定資金性質(zhì)、資金渠道、融資組合形式，給社會資本多元化組合創(chuàng)造更大空間。（6）本投資估算中涉及的金額為估算值，具體投資明細以項目實際為準。項目建設(shè)期總投資估算本項目建設(shè)投資總額為XXXX萬元。其中云計算資源租用費用為XXXX萬元/年。項目建設(shè)投資估算表序號項目名稱設(shè)備及支撐軟件購置費應(yīng)用軟件研發(fā)技術(shù)費云計算資源租用費用數(shù)據(jù)資源購買費用其他費用合計備注1第一部分：工程費用1.1智慧園區(qū)平臺2第二部分：工程其他費用2.1管理費運行維護費用總計說明：1、項目建設(shè)期涉及的研發(fā)費用均按國家有關(guān)部門頒布的取費標準進行測算。2、工程建設(shè)其他費用，結(jié)合項目實際測算。3、本投資估算表中涉及的金額為估算值，具體投資明細以項目實際為準。資金來源與落實情況項目投資資金來源由單位支付。效益與風(fēng)險分析項目的經(jīng)濟效益和社會效益分析社會效益智慧園區(qū)是運用物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)，促進城規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式，其本質(zhì)是信息化和城化高度融合，是城化、信息化向更高階段發(fā)展的標志。建設(shè)智慧園區(qū)是的重大戰(zhàn)略決策，其社會效益體現(xiàn)在：（一）建設(shè)智慧園區(qū)可轉(zhuǎn)變經(jīng)濟發(fā)展方式、促進經(jīng)濟結(jié)構(gòu)調(diào)整和產(chǎn)業(yè)轉(zhuǎn)型升級。智慧園區(qū)建設(shè)涉及的多個行業(yè)，都是戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分，加快智慧園區(qū)建設(shè)，積極推動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等高新技術(shù)在智能制造、節(jié)能環(huán)保等領(lǐng)域的應(yīng)用，可以快速提升現(xiàn)有產(chǎn)業(yè)的科技含量和產(chǎn)品附加值，能吸引集聚一批知識密集、信息密集、創(chuàng)新密集的先進制造業(yè)和高端服務(wù)業(yè)，加快經(jīng)濟結(jié)構(gòu)調(diào)整和產(chǎn)業(yè)轉(zhuǎn)型升級，由此將牽動形成場大、范圍廣、關(guān)聯(lián)多、鏈條長的智慧產(chǎn)業(yè)鏈，催生一批新產(chǎn)業(yè)和新業(yè)態(tài)，推動產(chǎn)業(yè)向低碳化、集群化、科學(xué)化的可持續(xù)園區(qū)產(chǎn)業(yè)發(fā)展。（二）建設(shè)智慧園區(qū)可實現(xiàn)資源節(jié)約型、環(huán)境友好型社會。借助智慧園區(qū)的理念和實踐，能夠促進人們消費模式和生產(chǎn)方式的變革和創(chuàng)新，推動綠色消費、清潔生產(chǎn)和敏捷制造，實現(xiàn)節(jié)能減排，低碳環(huán)保。（三）建設(shè)智慧園區(qū)可轉(zhuǎn)變政府職能、提高公共管理水平。智慧園區(qū)通過使用現(xiàn)代信息技術(shù)，通過快速的信息反饋和及時決策調(diào)度，能更好地推進業(yè)務(wù)，完善運行機制，打造高效的形象。（四）建設(shè)智慧園區(qū)可改善園區(qū)民生服務(wù)、提高生活品質(zhì)。智慧園區(qū)管理服務(wù)重點項目建設(shè)，廣泛應(yīng)用一系列專業(yè)系統(tǒng)平臺，充分整合城各種資源，建立“互聯(lián)互通、協(xié)同運轉(zhuǎn)”的管理模式，可有效解決城發(fā)展面臨的城市管理、配套服務(wù)和交通保障等問題，能滿足，使人民過上更加便捷舒適的生活，全面提升人民生活質(zhì)量和幸福指數(shù)。經(jīng)濟效益我國經(jīng)過改革開放以來30多年的發(fā)展，中國城化步伐不斷加快，每年有1500萬人口進入城。到2025年，中國將會有近三分之二的人口居住在城，中國已經(jīng)進入到了一個城市社會。1980年中國城人口比例僅20％，而到2010年這一比例達到45％，是世界上城人口最多的國家。城化雖然帶來了人民生活水平的提高，但城要保持可持續(xù)發(fā)展卻越來越受到各種因素的制約，需要轉(zhuǎn)方式、調(diào)結(jié)構(gòu)、改變生活方式、不斷解決突發(fā)性事件等問題。智慧建設(shè)具有良好的經(jīng)濟促進作用，主要體現(xiàn)在以下方面：第一，建設(shè)智慧可促進經(jīng)濟持續(xù)快速發(fā)展，轉(zhuǎn)變增長方式，突破增長極限。城發(fā)展日益受到土地、空間、能源和清潔水等資源短缺的約束，城人口膨脹、環(huán)境保護等問題面臨的壓力也越來越大。2007年我國石油、天然氣的人均儲量分別只有世界人均水平的7.35％和7.13％，而2006年我國單位GDP能耗則是日本的5