信息安全管理系統(tǒng)建設(shè)方案

1、信息安全管理系統(tǒng)建設(shè)方 案信息安全治理系統(tǒng)建設(shè)方案天津市國(guó)瑞數(shù)碼安全系統(tǒng)有限公司二O 一三年八月1項(xiàng)目背景和必g性2系統(tǒng)現(xiàn)狀和需求分析3建設(shè)方案31建設(shè)原則3.2系統(tǒng)設(shè)計(jì)3.2.1系統(tǒng)總體邏輯架構(gòu)3.22QC信息安全治理系統(tǒng)架構(gòu)3.2.3 系統(tǒng)部署及阿絡(luò)拓?fù)淇傮w網(wǎng)絡(luò)部C DO 署.103,23,羅一 一 一系統(tǒng)治理端部署123 2 3蕓a擊片V 八尋林昭為行 元（EU） 部署,133,23,33.2.4項(xiàng)目實(shí)施所需資源14建設(shè)內(nèi)容3.3163.3.JICP/IP上也址備案治理系細(xì)3 3上待辦事宜1613,11,2ICP備案治理173.3 上 3IP備案治理1833.1-4未備案網(wǎng)站治理黑193

2、.3.名瞅治理數(shù)據(jù)導(dǎo)19533入導(dǎo)出.196.37用戶(hù)授權(quán)治理19331.8系統(tǒng)治理203.3.2 IDC信息安全治理系統(tǒng)20332.1基礎(chǔ)數(shù)據(jù)上報(bào)20332.2基礎(chǔ)數(shù)據(jù)監(jiān)測(cè)訪咨詢(xún)203,3.23日總：治理違規(guī)網(wǎng)站治2133.2.4理.信息監(jiān)測(cè)發(fā)覺(jué)2133.2.5綜合管控治理.管周213,12,6ffi令治理 統(tǒng)計(jì)直詢(xún)213,12,7治理用戶(hù)授權(quán)治理2233.2,8系統(tǒng)治理223 . 3 . 2接入資源治理系統(tǒng)、22 93,3.2,10233.3.3233 . 3 . 3 .1物理資源治理233.3.3.Z邏郴資源治理23客戶(hù)信思治理資233,33,4源間的關(guān)聯(lián)資源243,33,5信息統(tǒng)計(jì)】出

3、治243,33.6理243 3 3 7用戶(hù)授權(quán)治理33,33,8系統(tǒng)治理與省管局備案系統(tǒng)的集成方案與 SMMS 系統(tǒng)的對(duì)接方案與電信業(yè)務(wù)市場(chǎng)綜合治理系統(tǒng)的對(duì)接方案安全可靠性設(shè)計(jì)3.7.13,7.L13.7.3.硬23.7.33,73,13,73,23,73.33,73,43,73,53,73,6系統(tǒng)安全概述系統(tǒng)安全概述安全設(shè)計(jì)目標(biāo)系統(tǒng)安全體系架構(gòu)安全防護(hù) 物理安全網(wǎng)絡(luò)安全操作系統(tǒng)安全 用戶(hù)認(rèn)證與授權(quán) 通信安全 數(shù)據(jù)儲(chǔ)備安全 252525262626262627282828303030313737可審汁件31 HYPERLINK l bookmark230 o Curren

4、t Document 3,73 .8設(shè)備冗余 313,73,9災(zāi)難備份 313.7.4安全治理 324預(yù)期工期5軟硬件清單34351項(xiàng)目背景和必要性近年來(lái)，國(guó)家不斷加大對(duì)互聯(lián)網(wǎng)的監(jiān)管和治理工作。中央針對(duì)加強(qiáng)互聯(lián)網(wǎng) 治理工作， 先后下發(fā)了中辦發(fā)（2。4） 32號(hào)、中辦發(fā)（2018） 24號(hào)，中發(fā)（2018） 11號(hào).工信部電管 （2018 ） 672號(hào)、工信部電管（2018） 188號(hào)、工信部通保（2018） 280號(hào)等，明確職責(zé)分工、強(qiáng)化互聯(lián)網(wǎng)治理要求。2018年，中央在關(guān)于加強(qiáng)和創(chuàng)新社會(huì)治理的意見(jiàn)（中發(fā)（2018） 11號(hào)）中明確要求加強(qiáng)網(wǎng)絡(luò)技術(shù)手段和治理力量建設(shè)，完善網(wǎng)上有害信息的監(jiān)測(cè)和查

5、處機(jī)制，提高發(fā)覺(jué)和處 置能力。2019 年 H月，工信部公布了關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心（IDC ）業(yè)務(wù)和因特網(wǎng)接入服務(wù)（ISP）業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的實(shí)施方案（工信部電管函2019552號(hào)，以下簡(jiǎn)稱(chēng)實(shí)施方案實(shí)施方案要求：“申請(qǐng)IDC和ISP業(yè)務(wù)的企業(yè)，應(yīng)建設(shè)獨(dú)立并具有以下功能的IDC和ISP企業(yè)資源和業(yè)務(wù)治理系 統(tǒng)：建設(shè)企業(yè)端互聯(lián)網(wǎng)網(wǎng)站備案治理系統(tǒng)，記錄并及時(shí)變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等，并實(shí)現(xiàn)與部、省網(wǎng)站備案治理系統(tǒng)的連 接。建設(shè)企業(yè)接入資源治理平臺(tái)，記錄接入資源的分配.使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源專(zhuān)門(mén)使用實(shí)行日常發(fā)覺(jué)、分析和處置，并實(shí)現(xiàn)與部電信 業(yè)務(wù)市場(chǎng) 綜合治理系

6、統(tǒng)的連接。按照互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全治理系統(tǒng)技術(shù)要求和互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全治理系統(tǒng)接口規(guī)范等標(biāo)準(zhǔn)要求，建設(shè)IDC 和ISP信息安全技術(shù)治理手段，具備基礎(chǔ)數(shù)據(jù)治理、訪咨詢(xún)?nèi)罩局卫?、違法違規(guī)網(wǎng)站及違 法信息發(fā)覺(jué)處置等技術(shù)能力?！盭XXX作為申請(qǐng)IDC業(yè)務(wù)許可的企業(yè)，須落實(shí)國(guó)家關(guān)于互聯(lián)網(wǎng)治理的有關(guān)要求，對(duì)企業(yè)網(wǎng)絡(luò)信息安全保證依法實(shí)施監(jiān)督治理，盡快建立相關(guān)系統(tǒng)，愛(ài)護(hù)互聯(lián)網(wǎng)網(wǎng)絡(luò)信 息安全。2系統(tǒng)現(xiàn)狀和需求分析U前，XXXXXX要緊提供互聯(lián)網(wǎng)云平臺(tái)服務(wù)，尚沒(méi)有建設(shè)實(shí)施方案中要求的3套業(yè)務(wù)治理系統(tǒng)。XXXXXX擁有IDC機(jī)房有5個(gè)，現(xiàn)狀如下：石家莊聯(lián)通信息中心機(jī)房：機(jī)房出入

7、口總帶寬是為1G。溫州電信十分局機(jī)房：機(jī)房出入口總帶寬是為1G。北京APXIC兆維機(jī)房：機(jī)房出入口總帶寬是為1G。成都電信西信機(jī)房：機(jī)房出入口總帶寬是為1G。廣州電信七星崗機(jī)房：機(jī)房出入口總帶寬是為1G。依照建設(shè)需求，本期項(xiàng)U需要建設(shè)實(shí)施方案中要求的3套業(yè)務(wù)治理系 統(tǒng)，并全 覆蓋技術(shù)管控IDC機(jī)房的2G帶寬。建設(shè)方案3.1建設(shè)原則依照國(guó)家相關(guān)規(guī)范和項(xiàng)U建設(shè)需求，在本項(xiàng)U建設(shè)中，遵循如下建設(shè)原則IJ：利舊性本項(xiàng)U建設(shè)充分考慮了對(duì)現(xiàn)有應(yīng)用系統(tǒng)的阻礙，通過(guò)模塊化設(shè)計(jì)，內(nèi)部功 能奇度集 中，外部各模塊低關(guān)聯(lián)，保證現(xiàn)有應(yīng)用系統(tǒng)改動(dòng)最小，并最大程度的利用已有系統(tǒng)。先進(jìn)性本項(xiàng)U建設(shè)中充分考慮有用和技術(shù)進(jìn)展的

8、趨勢(shì)，平臺(tái)服務(wù)器采納LINUX操作系 統(tǒng)，平臺(tái)服務(wù)器上的軟件采納JAVA技術(shù)開(kāi)發(fā)，整體開(kāi)發(fā)架構(gòu)合理先進(jìn)，即保證了前端 治理方便快速的需求，乂能夠使后臺(tái)服務(wù)更穩(wěn)固、具有更高的性 能。系統(tǒng)建設(shè)選擇的網(wǎng) 絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫(kù)、操作系統(tǒng)以及Web應(yīng)用 服務(wù)器都采納U前業(yè)界主流的產(chǎn) 品和技術(shù)。開(kāi)放性本項(xiàng)U的開(kāi)放性表現(xiàn)在互操作能力方面，項(xiàng)U建設(shè)應(yīng)支持相關(guān)的國(guó)家和國(guó)際標(biāo)準(zhǔn)， 支持多種平臺(tái)和應(yīng)用。安全可靠性本項(xiàng)U系統(tǒng)對(duì)系統(tǒng)的安全性、可黑性具有專(zhuān)門(mén)高的要求。系統(tǒng)數(shù)據(jù)庫(kù)中的敏銳信 息，網(wǎng)絡(luò)中傳輸?shù)膫浒感畔?、網(wǎng)站信息等數(shù)據(jù)，均需要進(jìn)行安全愛(ài)護(hù)。系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)充分利用認(rèn)證技術(shù)、加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行防護(hù)，并使用訪咨

9、詢(xún) 操縱手段 對(duì)外部訪咨詢(xún)進(jìn)行限制，最大程度上確保系統(tǒng)的安全性。同時(shí)，系統(tǒng) 必須要建立完善的 數(shù)據(jù)備份、系統(tǒng)備案與復(fù)原機(jī)制，保證整個(gè)系統(tǒng)可用性和可 靠性。標(biāo)準(zhǔn)化系統(tǒng)的運(yùn)行支持標(biāo)準(zhǔn)的操作系統(tǒng)和服務(wù)器碩件環(huán)境，系統(tǒng)支持標(biāo)準(zhǔn)的密碼算法、認(rèn)證算法和數(shù)據(jù)壓縮算法，支持標(biāo)準(zhǔn)的XML文件格武定義。本項(xiàng)U整體JAVA語(yǔ)言開(kāi)發(fā)，通信協(xié)議采納標(biāo)準(zhǔn)的TCP/IPo可擴(kuò)展性本項(xiàng)U系統(tǒng)的設(shè)訃，關(guān)鍵服務(wù)如Web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)等，均可實(shí)現(xiàn)在線(xiàn)增加服務(wù) 器，以提供更大的服務(wù)能力；系統(tǒng)提供的數(shù)據(jù)壓縮、數(shù)據(jù)加密和消息認(rèn)證等算法均可進(jìn) 行擴(kuò)展，以增加更好的算法支持；系統(tǒng)定義的數(shù)據(jù)傳輸格 式，使用XML文件，能夠方便 進(jìn)行業(yè)務(wù)增減

10、而無(wú)須改變通信程序。兼容性本系統(tǒng)必須兼容現(xiàn)有系統(tǒng)原有的必備功能及業(yè)務(wù)數(shù)據(jù)，并制定有效的系統(tǒng) 整合策 略。易操作性系統(tǒng)必須堅(jiān)持易操作性原則，簡(jiǎn)單、易用，高效、快捷，用戶(hù)不需要了解其中的具 體技術(shù)細(xì)節(jié)，通過(guò)系統(tǒng)提供的WEB治理界面就能實(shí)現(xiàn)其治理功能?？蓯?ài)護(hù)性系統(tǒng)應(yīng)具備良好的可愛(ài)護(hù)性。系統(tǒng)的軟、硬件系統(tǒng)都具有&好的模塊化結(jié)構(gòu)，保證 系統(tǒng)設(shè)計(jì)的合理性，配置相關(guān)的治理手段。合法性選用的產(chǎn)品符合國(guó)家的相關(guān)法律、法規(guī)。3.2系統(tǒng)設(shè)計(jì)321系統(tǒng)總體邏輯架構(gòu)整個(gè)系統(tǒng)建設(shè)從邏輯功能上來(lái)講，自上而下劃分為四個(gè)層次：展現(xiàn)層、業(yè)務(wù)層.數(shù) 據(jù)層.接口層等構(gòu)成，其邏輯結(jié)構(gòu)如下圖所示。互現(xiàn)聯(lián)網(wǎng) 一4業(yè)平務(wù)層界而接入咨源管理的

11、聯(lián)毗 敷 據(jù)催 部志世, I1數(shù)潦.客戶(hù)佑以數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)監(jiān)測(cè)牧據(jù)、 管控教據(jù) 浙計(jì)數(shù)據(jù)、/彼入曲.機(jī)詠服務(wù).嬴、化墳網(wǎng)III入口、1（故批. 傳來(lái)險(xiǎn)洞勘那、訪間H志拮,.旋成全用廣 界而網(wǎng)站各里切門(mén)ICP/IPSr案管理5rX /icp/ipfli|備接曰備案狀恣1 含海覆口 | fit備接1】監(jiān)瓣接口1訪何U志 1直詢(xún)接I】管把 接按入資溟報(bào)告摟口1慌瀉定位.接口rJ L!1:J*Kr1統(tǒng)房七唔曲埒爆臺(tái)代坪屎律咬個(gè)險(xiǎn)著4心CSAtSI部/通信管理局側(cè)系統(tǒng)圖：XXXXX互聯(lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)的邏輯結(jié)構(gòu)如上圖所示，系統(tǒng)山展現(xiàn)層.服務(wù)層.數(shù)據(jù)層.接口層等構(gòu)成。展現(xiàn)層展現(xiàn)層是用戶(hù)進(jìn)行策略配置、結(jié)

12、果查詢(xún)、數(shù)據(jù)報(bào)備、安全管控、數(shù)據(jù)統(tǒng) 計(jì)分析和導(dǎo)出等操作的治理愛(ài)護(hù)界面。系統(tǒng)用戶(hù)都通過(guò)展現(xiàn)層進(jìn)行業(yè)務(wù) 操作。業(yè)務(wù)層業(yè)務(wù)層為展現(xiàn)層提供網(wǎng)站備案治理、接入資源治理、信息安全治理等的業(yè)務(wù)集合。業(yè)務(wù)層是連接展現(xiàn)層和數(shù)據(jù)層的紐帶，通過(guò)業(yè)務(wù)層實(shí)現(xiàn)策略的下發(fā)、報(bào) 備和發(fā) 覺(jué)的基礎(chǔ)資源信息入庫(kù)、綜合管控信息入庫(kù)、同步的數(shù)據(jù)入庫(kù)等。數(shù)據(jù)層數(shù)據(jù)層要緊功能用來(lái)儲(chǔ)存系統(tǒng)中的相關(guān)數(shù)據(jù)，具體包括：接入商數(shù)據(jù) 機(jī)房、服務(wù)器、互聯(lián)網(wǎng)出入口等資源數(shù)據(jù)ICP數(shù)據(jù)IP數(shù)據(jù)基礎(chǔ)資源監(jiān)測(cè)數(shù)據(jù) 信息監(jiān)測(cè)數(shù)據(jù)訪咨詢(xún)?nèi)罩緮?shù)據(jù) 管控?cái)?shù)據(jù)用戶(hù)信息 數(shù)據(jù)用戶(hù)權(quán)限數(shù)據(jù) 治理策略數(shù)據(jù) 系統(tǒng)配置數(shù)據(jù)接口層接口層要緊功能是實(shí)現(xiàn)與外部系統(tǒng)的接口。具體包括：與

13、省管局安全監(jiān)管中心（SMMS）的接口與省管局ICP/IP地址備案治 理系統(tǒng)的接口與工信部電信業(yè)務(wù)市場(chǎng)綜合治理系統(tǒng)的接口與平臺(tái)用戶(hù) 的接口依照系統(tǒng)的不同類(lèi)型集成的方式可能不同，接口的表現(xiàn)形式也不一樣，那個(gè)地點(diǎn)的接口只是邏輯上的接口。例如，與平臺(tái)用戶(hù)的接口僅僅是用戶(hù)與系統(tǒng)的人機(jī)界面接口，而不需要有單獨(dú)的接口。3.2.2 IDC信息安全治理系統(tǒng)架構(gòu)IDC 信息安全治理系統(tǒng) (Informeition Security Management System，簡(jiǎn)稱(chēng)ISMS)包括操縱單元(Control Unitr簡(jiǎn)稱(chēng)CU)和執(zhí)行單元(Execution Unit,簡(jiǎn)稱(chēng)EG兩個(gè)部分。CU負(fù)責(zé)與監(jiān)管機(jī)構(gòu)建設(shè)的

14、安全監(jiān)管系統(tǒng)(SMMS)進(jìn)行通信，接收來(lái)自SMMS的治理指令，并依照要求向SMMS上報(bào)數(shù)據(jù)，同時(shí)CU將治理指令分發(fā)給EU執(zhí)行，并接收 EU對(duì)指令的執(zhí)行結(jié)果和日志記錄，實(shí)現(xiàn)對(duì)本單位各執(zhí)行點(diǎn)的EU進(jìn)行集中治理，完成治 理指令的調(diào)度.轉(zhuǎn)發(fā)和執(zhí)行及數(shù)據(jù)的匯總、分析和預(yù)警。EU捕捉網(wǎng)絡(luò)數(shù)據(jù)，識(shí)不數(shù)據(jù)包采納的網(wǎng)絡(luò)協(xié)議，對(duì)所監(jiān)測(cè)線(xiàn)路主機(jī)的應(yīng)用服務(wù)、網(wǎng)絡(luò)代理服務(wù)、網(wǎng)站域名、用戶(hù)上網(wǎng)信息等進(jìn)行發(fā)覺(jué)并及時(shí)上報(bào)CL并響應(yīng)CU的 指令，協(xié)議阻斷違規(guī)網(wǎng)站/網(wǎng)頁(yè)，使網(wǎng)站喪失服務(wù)功能。以及ISMS與SMMS之間的關(guān)系如下圖所ISMS的操縱單元與執(zhí)行單元之間、示：IDC/ISP經(jīng)營(yíng)者控制元(CU)請(qǐng)結(jié)請(qǐng)求果求電信管理部門(mén)!信

15、思安全管理接口:(1SMI)執(zhí)行敢元執(zhí)疔單元(EU)(EU)_/ 信息安全管理系統(tǒng)CISMS)圖ISMS與SMMS之間的關(guān)系安全監(jiān)管系統(tǒng)(SMMS)3.23系統(tǒng)部署及網(wǎng)絡(luò)拓?fù)?.2.3J總體網(wǎng)絡(luò)部署本項(xiàng)U系統(tǒng)的部署包括兩個(gè)部分：一是部署系統(tǒng)治理端（包括ICP/IP備案治理、操縱單元（CU）和接入資源治理）相關(guān)配套設(shè)備，二是在IDC機(jī)房部署執(zhí)行單元（EU）配套設(shè)備。系統(tǒng)治理端和EU通過(guò)內(nèi)網(wǎng)加密通信。323.2系統(tǒng)治理端部署0,填舷、言方火增防火墻*務(wù)（可雄）允纖務(wù)tt正總陣列-1 T兆 W 找圖:-I sqs 發(fā)系統(tǒng)治理端部署網(wǎng)絡(luò)拓?fù)鋱D項(xiàng)U系統(tǒng)治理端（包括ICP/IP備案治理、操縱單元（CU）和

16、接入資源治理）的配 套設(shè)備包括：信息填報(bào)服務(wù)器（可選）、分析處理/接口服務(wù)器、治理服務(wù) 器、數(shù)據(jù)庫(kù)服 務(wù)器、磁盤(pán)陣列、交換機(jī)、防火墻等。依照愛(ài)護(hù)對(duì)象、防護(hù)措施、安全策略以及網(wǎng)絡(luò)應(yīng)用需求等方面存在的差 異，系統(tǒng)部 署包括三個(gè)安全區(qū)：外網(wǎng)DMZ區(qū)、內(nèi)網(wǎng)業(yè)務(wù)區(qū)、內(nèi)網(wǎng)數(shù)據(jù)區(qū)。為了 保證系統(tǒng)的安全和高效的數(shù)據(jù)傳輸效率，三個(gè)區(qū)的服務(wù)器均通過(guò)VLAN或防火墻進(jìn)行邏輯 隔離。只有外網(wǎng)DMZ區(qū)承諾來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)交互，其他兩個(gè)區(qū)不 承諾從互聯(lián)網(wǎng)進(jìn)行訪 咨詢(xún)，且只承諾外網(wǎng)DMZ區(qū)內(nèi)的相關(guān)服務(wù)來(lái)讀取數(shù)據(jù)。不 同安全區(qū)的用戶(hù)/服務(wù)器用戶(hù)進(jìn) 行通信都要嚴(yán)格限制訪咨詢(xún)的類(lèi)型、端口、IP地址。系統(tǒng)通過(guò)互聯(lián)網(wǎng)與通信治理局側(cè)S

17、MMS系統(tǒng)進(jìn)行連接，通過(guò)內(nèi)網(wǎng)與EU（IDC管控設(shè)備）進(jìn)行連接。外網(wǎng)DMZ區(qū)外網(wǎng)DMZ區(qū)的要緊功能是向省管局側(cè)系統(tǒng)上報(bào)的數(shù)據(jù)，并提供數(shù)據(jù)采集和 分析處理 服務(wù)。外網(wǎng)DMZ區(qū)包括：信息填報(bào)服務(wù)器（可選）、分析處理/接口服務(wù)器I臺(tái)。分析處理/接口服務(wù)器上要緊部署與外部系統(tǒng)通信的接入服務(wù)和數(shù)據(jù)采集/預(yù)處理服 務(wù)。信息填報(bào)服務(wù)器是可選服務(wù)器，要緊提供ICP備案數(shù)據(jù)及基礎(chǔ)數(shù)據(jù)填報(bào)服務(wù)，滿(mǎn)足 網(wǎng)站主辦者自行報(bào)備網(wǎng)站備案信息的需要和IDC/ISP互聯(lián)網(wǎng)填報(bào)基礎(chǔ)數(shù)據(jù) 的需要，用戶(hù) 可依照需要選擇配備。內(nèi)網(wǎng)業(yè)務(wù)區(qū)內(nèi)網(wǎng)業(yè)務(wù)區(qū)的要緊功能是系統(tǒng)臺(tái)提供用戶(hù)治理、授權(quán)治理、應(yīng)用服務(wù)、審計(jì)等基礎(chǔ)業(yè) 務(wù)的支撐和服務(wù)。內(nèi)網(wǎng)業(yè)務(wù)區(qū)

18、包括：治理服務(wù)器1臺(tái)。治理服務(wù)器上要緊部署ICP/IP備案治理系統(tǒng)的Web應(yīng)用服務(wù)、接入資源治 理系統(tǒng) 的Web應(yīng)用服務(wù)和IDC信息安全治理系統(tǒng)的Web應(yīng)用服務(wù)。內(nèi)網(wǎng)數(shù)據(jù)區(qū)內(nèi)網(wǎng)數(shù)據(jù)區(qū)的要緊功能是聚攏系統(tǒng)全部數(shù)據(jù)和文件，進(jìn)行分析處理、儲(chǔ)備，并提供數(shù) 據(jù)支撐服務(wù)。內(nèi)網(wǎng)數(shù)據(jù)區(qū)包括：數(shù)據(jù)庫(kù)服務(wù)器1臺(tái)、磁盤(pán)陣列1臺(tái)。數(shù) 據(jù)庫(kù)服務(wù)器及磁 盤(pán)陣列采納Raid技術(shù)，充分保證數(shù)據(jù)儲(chǔ)備的安全可靠。數(shù)據(jù)庫(kù)服務(wù)器上要緊部署icp/ip備案治理系統(tǒng)的數(shù)據(jù)庫(kù)、接入資源治理系統(tǒng)的數(shù) 據(jù)庫(kù)和IDC借息安全治理系統(tǒng)的數(shù)據(jù)庫(kù)。注：本案中的防火墻需要做NAT,使外網(wǎng)DMZ交換機(jī)上連接的2臺(tái)服務(wù)器能夠連接互 聯(lián)網(wǎng)。323 3執(zhí)行單元

19、(EU)部署執(zhí)行單元(EU)配套設(shè)備包括：5臺(tái)探針執(zhí)行單元的部署方式為：“在機(jī)房出入口，對(duì)IDC機(jī)房核心交換/核心路山器的上聯(lián)鏈路進(jìn)行雙向流量分光，然后通過(guò)端口鏡像的方式流量分入探針(EU)o/探針(EU)監(jiān)控網(wǎng)絡(luò)流量，實(shí)時(shí)監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)信息并將發(fā)覺(jué)的有關(guān)信息通過(guò)互聯(lián)網(wǎng)加密上報(bào)到操縱單元(CU),操縱單元(CU)聚攏 各機(jī)房上報(bào) 的網(wǎng)絡(luò)信息并進(jìn)行統(tǒng)一治理。實(shí)時(shí)監(jiān)測(cè)用戶(hù)的訪咨詢(xún)要 求，記錄訪咨詢(xún)?nèi)?志，并依據(jù)當(dāng)前的策略協(xié)議阻斷違規(guī)網(wǎng)站/網(wǎng)貢，使其喪失服務(wù)功能。fftAHHOE圖執(zhí)行單元EU部署網(wǎng)絡(luò)拓?fù)鋱D3.3建設(shè)內(nèi)容依照需求分析，為達(dá)到相關(guān)治理部門(mén)的治理要求，本期項(xiàng)U的建設(shè)內(nèi)容如下：在業(yè)務(wù)系統(tǒng)

20、方面，新建icp/ip地址備案治理系統(tǒng)，記錄并及時(shí)變更所接 入網(wǎng)站的主 體信息、聯(lián)系方式和接入信息等。新建IDC信息安全治理系 統(tǒng)(ISMS).覆蓋監(jiān)管XXXXX 上海IDC機(jī)房共20G帶寬，具備基礎(chǔ)數(shù)據(jù)治 理、訪咨詢(xún)?nèi)罩局卫怼⑦`法違規(guī)網(wǎng)站及違法 信息發(fā)覺(jué)處置等技術(shù)能力；新建接入資源治理系統(tǒng)，記錄接入資源的分配、使用、出 租、轉(zhuǎn)讓等信 息，對(duì)接入資源專(zhuān)門(mén)使用實(shí)行日常發(fā)覺(jué)、分析和處置。在系統(tǒng)集成方面，實(shí)現(xiàn)ICP/IP地址備案治理系統(tǒng)與部省網(wǎng)站備案治理系統(tǒng)的連接；實(shí)現(xiàn)接入資源治理系統(tǒng)與部電信業(yè)務(wù)市場(chǎng)綜合治理系統(tǒng)的連 接；實(shí) 現(xiàn)IDC信息安全治理系統(tǒng)與通信治理局SMMS的對(duì)接。在相應(yīng)配套設(shè)施方面，建

21、設(shè)防火墻、治理服務(wù)器、分析處理/接口服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、磁盤(pán)陣列、交換機(jī)、EU探針等硬件設(shè)備。33.1ICP/IP地址備案治理系統(tǒng)對(duì)登錄系統(tǒng)的當(dāng)前賬號(hào)，顯示其待辦的相關(guān)事項(xiàng)在首頁(yè)。ICP備案治理為接入服務(wù)提供者ICP報(bào)備單位提供ICP備案的錄入、核實(shí)、審批、變更、注銷(xiāo)、 退回處理、黑名單、未備案網(wǎng)站、核查結(jié)果、查詢(xún)、統(tǒng)計(jì)等治理功能。為接入商提供接入的用戶(hù)，即網(wǎng)站主辦者，提供ICP備案的自行錄入、注銷(xiāo)、進(jìn)度 查詢(xún)、個(gè)人信息愛(ài)護(hù)等治理功能，關(guān)心網(wǎng)站主辦者在企業(yè)系統(tǒng)完成備案。支持接入商內(nèi)部多級(jí)報(bào)備治理，實(shí)現(xiàn)ICP報(bào)備實(shí)時(shí)動(dòng)態(tài)更新，確保ICP報(bào)備信息的 準(zhǔn)確性。33121主體備案治理主體信息的備案信

22、息添加、修改、刪除的治理。網(wǎng)站備案治理網(wǎng)站信息的備案信息添加、修改、刪除的治理。3.3 2.3接入備案治理接入信息的備案信息添加、修改、刪除的治理。33124退回處理治理關(guān)于審核不通過(guò)的信息進(jìn)行便利的再處理提交的數(shù)據(jù)治理功能。33125備案內(nèi)審治理關(guān)于 ICP信息的層級(jí)審核，內(nèi)部回退，審批的治理功能。33 1 26公共備案查詢(xún)可在系統(tǒng)內(nèi)部對(duì)公共查詢(xún)進(jìn)行集中調(diào)用，可進(jìn)行批量查詢(xún)功能。3.3 2.7備案數(shù)據(jù)分配關(guān)于現(xiàn)有存量數(shù)據(jù)，可進(jìn)行對(duì)已建賬號(hào)的綁定，分配。33128備案數(shù)據(jù)回收關(guān)于山于操作失誤導(dǎo)致的錯(cuò)誤數(shù)據(jù)分配功能，進(jìn)行數(shù)據(jù)定向回收。1 P備案治理為接入服務(wù)提供者IP報(bào)備單位提供IP地址來(lái)源、I

23、P地址分配及使用信息、 IP地址廣播信息、自帶IP地址信息、IP地址信息等的錄入、修改、刪除、分配、 內(nèi)部審核、退回處理、查詢(xún)、統(tǒng)計(jì)等治理功能。支持接入商內(nèi)部多級(jí)報(bào)備治理，實(shí)現(xiàn)IP報(bào)備實(shí)時(shí)動(dòng)態(tài)更新，確保IP報(bào)備信息的準(zhǔn) 確性。33.13.1來(lái)源信息治理關(guān)于IP的來(lái)源信息進(jìn)行錄入.變更及注銷(xiāo)等操作。3.3 3.2分配信息治理對(duì)IP新的自用、已分配、再分配等多種數(shù)據(jù)宿息狀態(tài)進(jìn)行新增、修改、刪 除等信息 的治理。33.133廣播信息治理對(duì)廣播數(shù)據(jù)進(jìn)行添加、修改、刪除的信息操作。33.13.4大段資源治理可對(duì)大段資源的信息進(jìn)行集中分配治理。3.3 3.5可用資源治理可關(guān)于沒(méi)有分配出去的資源進(jìn)行可用資源

24、查看并進(jìn)行分配操作的治理功能。3.3 3.6分配信息審核關(guān)于不同級(jí)不或者用戶(hù)組提交的報(bào)備信息進(jìn)行審核的治理操作，實(shí)現(xiàn)內(nèi)部多 級(jí)治 理。未備案網(wǎng)站治理關(guān)于省管局系統(tǒng)下發(fā)的未備案網(wǎng)站名單進(jìn)行信息顯示的治理功能。黑名單治理對(duì)省管局系統(tǒng)下發(fā)的黑名單進(jìn)行信息顯示治理功能。數(shù)據(jù)導(dǎo)入導(dǎo)出可對(duì)ICP/IP地址等基礎(chǔ)錄入數(shù)據(jù)進(jìn)行批量導(dǎo)入，免去每條數(shù)據(jù)都需要手動(dòng)填寫(xiě)的苦惱?？蓪?shí)現(xiàn)關(guān)于系統(tǒng)內(nèi)的常用數(shù)據(jù)進(jìn)行導(dǎo)出。用戶(hù)授權(quán)治理實(shí)現(xiàn)系統(tǒng)用戶(hù)的統(tǒng)一身份認(rèn)證、集中用戶(hù)治理、資源的統(tǒng)一治理以及集中授 權(quán)治理 和集中審計(jì)治理。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能 予以授權(quán)和劃 分，同時(shí)在同一功能單元中可對(duì)不同的使用者

25、授權(quán)不同的治理和操 作權(quán)限。未經(jīng)授權(quán)的 用戶(hù)不得使用本系統(tǒng)的相應(yīng)功能。系統(tǒng)治理為了保證系統(tǒng)正常、穩(wěn)固.有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置治 理，包 括：系統(tǒng)差不多設(shè)置、通信參數(shù)配置、系統(tǒng)日志等，并對(duì)系統(tǒng)、服務(wù)程序 的運(yùn)行狀態(tài)進(jìn) 行實(shí)時(shí)監(jiān)控。33.2 IDC信息安全治理系統(tǒng)IDC信息安全治理系統(tǒng)要緊實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)治理.訪咨詢(xún)?nèi)罩局卫怼⑿畔踩卫?、違法網(wǎng)站治理等功能，以滿(mǎn)足IDC/ISP經(jīng)營(yíng)單位自身的信息安全監(jiān)管需求 和監(jiān)管 機(jī)構(gòu)的監(jiān)管需求。其要緊功能如下：332基礎(chǔ)數(shù)據(jù)上報(bào)實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)的集中治理，包括基礎(chǔ)數(shù)據(jù)導(dǎo)入、添加、刪除/修改和上報(bào)等?；A(chǔ)數(shù)據(jù)包括：IDC/ISP經(jīng)營(yíng)單位信息、機(jī)房和I

26、DC/ISP用戶(hù)數(shù)據(jù)。基礎(chǔ)數(shù) 據(jù)更新 后增ft上報(bào)，將含修改內(nèi)容的記錄上報(bào)給SMMS, SMMS可對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行查詢(xún)。3 322基礎(chǔ)數(shù)據(jù)監(jiān)測(cè)系統(tǒng)能夠?qū)C(jī)房?jī)?nèi)網(wǎng)絡(luò)協(xié)議、網(wǎng)站、應(yīng)用服務(wù)、IP地址等進(jìn)行采集、監(jiān)測(cè)，并對(duì)機(jī) 房?jī)?nèi)的應(yīng)用服務(wù)訪咨詢(xún)量進(jìn)行統(tǒng)計(jì)。此外，系統(tǒng)對(duì)機(jī)房?jī)?nèi)的IP使用方式進(jìn)行監(jiān)測(cè)，能夠?qū)崟r(shí)發(fā)覺(jué)未報(bào)備IP地址 接入、 發(fā)覺(jué)實(shí)際使用情形與報(bào)備不符的IP。對(duì)發(fā)覺(jué)專(zhuān)門(mén)的IP地址記錄：IP、登記使用方式、 登記域名、專(zhuān)門(mén)類(lèi)型（使用方式或登記域名專(zhuān)門(mén)）、實(shí)際使用方式、實(shí)際域名、發(fā)覺(jué)時(shí) 刻等監(jiān)測(cè)信息。采集、監(jiān)測(cè)及統(tǒng)計(jì)信息及時(shí)上報(bào)，并供SMMS查詢(xún)。33.2.3訪咨詢(xún)?nèi)罩局卫硐到y(tǒng)對(duì)IDC/ISP的上行

27、流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，并記錄和統(tǒng)訃訪咨詢(xún)信息，形成 訪咨 詢(xún)?nèi)罩?，并供SMMS查詢(xún)，以便事后IDC機(jī)房的用戶(hù)行為審計(jì)分析。訪咨詢(xún)?nèi)罩局辽侔ㄔ?U的IP,源/U的端口、訪咨詢(xún)時(shí)刻，屬于HTTP協(xié)訪咨詢(xún)?nèi)罩静樵?xún)、統(tǒng)計(jì)支持時(shí)刻、【？及URL等組合查詢(xún)、統(tǒng)計(jì)條件。訪咨詢(xún)?nèi)罩玖舸鏁r(shí)刻要求滿(mǎn)足互聯(lián)網(wǎng)信息服務(wù)治理方法C3.324違規(guī)網(wǎng)站治理系統(tǒng)提供違法違規(guī)網(wǎng)站的發(fā)覺(jué)、處置及上報(bào)功能，并記錄違法違規(guī)網(wǎng)站的域 名、 ip.服務(wù)內(nèi)容、違法違規(guī)類(lèi)型以及當(dāng)前狀態(tài)（S處置或未處置）、處置人賬 號(hào)、處置時(shí) 刻，定時(shí)上報(bào)給SMMS （上報(bào)周期為日），并供SMMS查詢(xún)。33.2.5信息監(jiān)測(cè)發(fā)覺(jué)系統(tǒng)能夠依照監(jiān)測(cè)指令對(duì)IDC/IS

28、P的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)發(fā)覺(jué)的違法信息 進(jìn)行記錄，形成監(jiān)測(cè)日志，并及時(shí)上報(bào)給SMMS。支持依照IP地址、域名、血地址、違法關(guān)鍵詞等條件設(shè)置監(jiān)測(cè)規(guī)則。監(jiān)測(cè)日志記錄包括源/U的IP,源/U的端口、違法信息、采集時(shí)刻以及觸發(fā)監(jiān)測(cè)動(dòng)作 的監(jiān)測(cè)指令標(biāo)識(shí)，對(duì)HTTP協(xié)議還記錄URL，存在代理行為的記錄代 理類(lèi)型、代理IP。關(guān)于監(jiān)測(cè)發(fā)覺(jué)的服務(wù)器及網(wǎng)絡(luò)中的不&信息，除監(jiān)測(cè)日志信息外，留存相關(guān)內(nèi)容數(shù)據(jù) 的鏡像，并以醒。方式標(biāo)識(shí)不&信息。3.326綜合管控治理系統(tǒng)依照過(guò)濾指令對(duì)IDC/ISP的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)發(fā)覺(jué)的違法信息進(jìn)行過(guò) 濾處置，并進(jìn)行記錄，形成過(guò)濾日志，及時(shí)上報(bào)給SMMS。支持依照IP地址、

29、域名、URL地址、關(guān)鍵詞等條件設(shè)置過(guò)濾規(guī)則。杜絕未備案先接 入、黑名單網(wǎng)站再次接入，有效落實(shí)“先備案后接入、“誰(shuí)經(jīng)營(yíng)，誰(shuí) 負(fù)責(zé)”的原則。已 隔離的未備案網(wǎng)站，一經(jīng)備案自動(dòng)解除隔離。過(guò)濾日志記錄包括源/U的IP,源/U的端口、違法信息、采集時(shí)刻以及觸發(fā)過(guò)濾動(dòng)作 的過(guò)濾指令標(biāo)識(shí)，對(duì)HTTP協(xié)議還記錄URL，存在代理行為的記錄代 理類(lèi)型、代理IP。系統(tǒng)還提供黑。名單治理功能，用戶(hù)可針對(duì)IP地址、域名等設(shè)置白名單，系統(tǒng)對(duì)匹 配白名單規(guī)則的數(shù)據(jù)不進(jìn)行監(jiān)測(cè)、過(guò)濾。用戶(hù)可針對(duì)域名、IP地址、URL等用戶(hù)可設(shè)置黑名單，匹配命中的數(shù)據(jù)均被依照策略處置（阻斷、通知等）。33.2.7管局指令治理系統(tǒng)對(duì)省管局SMMS

30、下發(fā)至本企業(yè)的各種指令，包括：治理指令、查詢(xún)指令、更新 指令和基礎(chǔ)數(shù)據(jù)指令，提供指令同步、查詢(xún)、查看、下發(fā)，以及指令執(zhí)行狀態(tài)和結(jié)果的 查詢(xún)等治理功能。33.2.8統(tǒng)計(jì)查詢(xún)治理對(duì)基礎(chǔ)資源數(shù)據(jù)、信息監(jiān)測(cè)數(shù)據(jù)、違法違規(guī)網(wǎng)站信息、訪咨詢(xún)?nèi)罩拘畔?、過(guò)濾處置信 息等，支持按照日.月、季.年等周期提供多種數(shù)據(jù)分析報(bào)告。統(tǒng)計(jì)報(bào)表的顯示形式可為數(shù)據(jù)列表、餅狀圖、柱狀圖或曲線(xiàn)圖等形式靈活顯3.329用戶(hù)授權(quán)治理實(shí)現(xiàn)系統(tǒng)用戶(hù)的統(tǒng)一身份認(rèn)證、集中用戶(hù)治理、資源的統(tǒng)一治理以及集中授 權(quán)治理 和集中審計(jì)治理。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能 予以授權(quán)和劃 分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的

31、治理和操 作權(quán)限。未經(jīng)授權(quán)的 用戶(hù)不得使用本系統(tǒng)的相應(yīng)功能。0系統(tǒng)治理為了保證系統(tǒng)正常、穩(wěn)固.有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置治 理，包 括：系統(tǒng)差不多設(shè)置、通信參數(shù)配置、執(zhí)行單元治理、系統(tǒng)日志等，并對(duì) 系統(tǒng)、服務(wù)程 序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。3-3-3接入資源治理系統(tǒng)物理資源治理實(shí)現(xiàn)物理資源的報(bào)備和治理。物理資源包括：機(jī)房、機(jī)架柜、網(wǎng)絡(luò)設(shè)備、主 機(jī)服務(wù) 器。支持對(duì)物理資源信息進(jìn)行新增、刪除、修改、查看等操作，具體如下：a）對(duì)機(jī)房信息進(jìn)行新增、刪除、修改和查看等操作。b）對(duì)機(jī)架柜進(jìn)行新增、刪除、修改、查看、預(yù)留和取消預(yù)留等操作。d）對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行新增、刪除、修改、查看.上架和下架等操作

32、。d）對(duì)機(jī)架柜上的主機(jī)服務(wù)器進(jìn)行新增、刪除、修改、查看、上架和下架等操作。33.3.2邏輯資源治理實(shí)現(xiàn)對(duì)邏輯資源的報(bào)備和治理，包括：a）對(duì)IP地址段進(jìn)行新增、刪除、修改、查看、預(yù)留和分配等操作。33.3.3客戶(hù)信息治理系統(tǒng)能夠?qū)蛻?hù)信息進(jìn)行登記、注銷(xiāo)、修改和查看等操作；或者通過(guò)其他方 式（例 如從企業(yè)已有的客戶(hù)治理系統(tǒng)）獵取對(duì)客戶(hù)信息的登記、注銷(xiāo)、修改等操 作結(jié)果，并可 查看客戶(hù)信息的內(nèi)容。3334資源間的關(guān)聯(lián)系統(tǒng)能夠依照業(yè)務(wù)出租、業(yè)務(wù)續(xù)租、業(yè)務(wù)變更、業(yè)務(wù)轉(zhuǎn)讓、業(yè)務(wù)退租等不同 的業(yè)務(wù) 狀態(tài)，建立、變更、解除物理資源、邏輯資源和客戶(hù)信息三者間的關(guān)聯(lián)關(guān) 系，從而反映 接入資源的使用1W形。33.3

33、.5資源信息統(tǒng)計(jì)對(duì)基礎(chǔ)資源數(shù)據(jù)支持按照日、月、季、年等周期和條件，提供多種數(shù)據(jù)分析 報(bào)告。 包括：a）統(tǒng)計(jì)本企業(yè)的IDC機(jī)房數(shù)量、機(jī)房建筑面積、每個(gè)機(jī)房的機(jī)架柜總數(shù)、每個(gè)機(jī)房的機(jī)架柜使用數(shù)、機(jī)房所在都市及相關(guān)信息；b）統(tǒng)計(jì)本企業(yè)的IP地址總數(shù)、IP地址使用數(shù)、虛擬主機(jī)數(shù)量及相關(guān)信息：C）統(tǒng)計(jì)本企業(yè)的ICP用戶(hù)數(shù)量、ISP用戶(hù)數(shù)量、IDC用戶(hù)數(shù)量、專(zhuān)線(xiàn)用戶(hù)數(shù)量、其他用戶(hù)數(shù)量及相關(guān)信息等。統(tǒng)計(jì)報(bào)表的顯示形式可為數(shù)據(jù)列表、餅狀圖、柱狀圖或曲線(xiàn)圖等形式靈活顯zjso3336日志治理系統(tǒng)提供完備的日志治理功能，包括資源分配日志，專(zhuān)門(mén)處理日志，系統(tǒng)日志等。 同時(shí)提供對(duì)日志的查詢(xún)、統(tǒng)訃和愛(ài)護(hù)功能。查詢(xún)到的日

34、志能夠輸出到文件 中進(jìn)行儲(chǔ)存。資源分配日志資源分配日志記錄資源的日常分配，做到所有資源的可追溯性，能夠查詢(xún)到 所有接 入資源的使用情形。33362專(zhuān)門(mén)處理日志專(zhuān)門(mén)處理以日志的方式進(jìn)行治理。系統(tǒng)日志系統(tǒng)日志記錄系統(tǒng)用戶(hù)的所有對(duì)資源的增、刪、改及訪咨詢(xún)操作，同時(shí)還提 供系統(tǒng) 自身運(yùn)行悄形日志，能夠方便的追溯到每個(gè)用戶(hù)的操作記錄。33.3.7用戶(hù)授權(quán)治理實(shí)現(xiàn)系統(tǒng)用戶(hù)的統(tǒng)一身份認(rèn)證、集中用戶(hù)治理、資源的統(tǒng)一治理以及集中授權(quán)治理 和集中審計(jì)治理。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過(guò)權(quán)限功能 予以授權(quán)和劃 分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的治理和操 作權(quán)限。未經(jīng)授權(quán)的 用戶(hù)不得使用本系

35、統(tǒng)的相應(yīng)功能。33.3.8系統(tǒng)治理為了保證系統(tǒng)正常、穩(wěn)固、有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置治理，包 括：系統(tǒng)差不多設(shè)置、通信參數(shù)配置等，并對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài) 進(jìn)行實(shí)時(shí)監(jiān) 控。3.4與省管局備案系統(tǒng)的集成方案依照工業(yè)和信息化部ncp/ip地址/域名信息備案治理系統(tǒng)企業(yè)系統(tǒng)接口規(guī)范，實(shí)現(xiàn)本項(xiàng)U系統(tǒng)與省管局側(cè)備案治理系統(tǒng)的對(duì)接。3.5與SMMS系統(tǒng)的對(duì)接方案依照互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全治理系統(tǒng)接口規(guī)范，實(shí) 現(xiàn)本項(xiàng) U系統(tǒng)與省管局側(cè)的SMMS的對(duì)接。3.6與電信業(yè)務(wù)市場(chǎng)綜合治理系統(tǒng)的對(duì)接方案依照部電信業(yè)務(wù)市場(chǎng)綜合治理信息系統(tǒng)與企業(yè)資源治理平臺(tái)間接口規(guī)范，實(shí)現(xiàn) 本項(xiàng)U系統(tǒng)與

36、部電信業(yè)務(wù)市場(chǎng)綜合治理信息系統(tǒng)的對(duì)接。3.7安全可靠性設(shè)計(jì)3.7.1系統(tǒng)安全概述3.7 1系統(tǒng)安全概述本項(xiàng)U系統(tǒng)中傳輸著管控指令、監(jiān)測(cè)數(shù)據(jù)、訪咨詢(xún)?nèi)罩镜让翡J信息，因此，系統(tǒng)的 總體安全性十分卓要?；ヂ?lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)安全要緊山四個(gè)方面組 成：即物理安 全、網(wǎng)絡(luò)安全.信息安全、安全治理。1物理安全是愛(ài)護(hù)運(yùn)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種運(yùn)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它要 緊包括：環(huán)境安全、設(shè)備安全、媒體安全等三個(gè)方面。2網(wǎng)絡(luò)安全：系統(tǒng)（主機(jī)、服務(wù)器）安全、防病毒、系統(tǒng)安全檢測(cè)、入侵檢測(cè)（監(jiān)控）、審訃分析、網(wǎng)絡(luò)運(yùn)行安全、備份與復(fù)原應(yīng)急、局

37、域網(wǎng)、子網(wǎng)安全 訪咨詢(xún) 操縱（防火墻）、網(wǎng)絡(luò)安全檢測(cè)等。信息安全要緊涉及到信息傳輸?shù)陌踩?、信息?chǔ)備的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面。安全治理包含人員的治理、安全治理制度制定，安全教育培訓(xùn)等。3.7J.2安全設(shè)計(jì)目標(biāo)互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)U系統(tǒng)安全系統(tǒng)建設(shè)應(yīng)在物理安全、網(wǎng)絡(luò)安全、信息安 全、安 全治理四個(gè)方面分不進(jìn)行，通過(guò)安全建設(shè)，使整個(gè)網(wǎng)絡(luò)能面對(duì)口前和以后一段時(shí)期內(nèi)的安 全威逼，實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的統(tǒng)一監(jiān)控和治理，更好地保證整 個(gè)網(wǎng)絡(luò)的正常運(yùn)行。建立完整的安全體系，將網(wǎng)絡(luò)系統(tǒng)建設(shè)成為一個(gè)基于統(tǒng)一平臺(tái)上的，能夠?qū)ο到y(tǒng)安全狀態(tài)集中監(jiān)管的系統(tǒng)，要緊包含網(wǎng)絡(luò)中的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、儲(chǔ) 備設(shè) 備、

38、備份設(shè)備、數(shù)據(jù)庫(kù)治理、中間件、應(yīng)用軟件等，保證互聯(lián)網(wǎng)云平臺(tái)綜合 監(jiān)管系統(tǒng)的 正常運(yùn)行。建立網(wǎng)絡(luò)系統(tǒng)整體病毒防范體系，實(shí)現(xiàn)當(dāng)業(yè)務(wù)網(wǎng)絡(luò)和內(nèi)部用戶(hù)網(wǎng)絡(luò)遭受病的攻擊時(shí)，確保網(wǎng)絡(luò)平臺(tái)的安全健壯性。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全訪咨詢(xún)操縱，防止非法訪咨詢(xún)與破壞，同時(shí)具有嚴(yán)密的跟蹤審計(jì)功能和分析處理能力。實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全性。信息的安全性包括數(shù)據(jù)的完整性和安全性，系統(tǒng)應(yīng)設(shè)置周密的數(shù)據(jù)摘要和數(shù)字簽名系統(tǒng)，防止數(shù)據(jù)傳輸過(guò)程中被竊取或篡改。保證各應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的資源安全。對(duì)網(wǎng)絡(luò)中的各應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)資源進(jìn)行愛(ài)護(hù)，確保網(wǎng)絡(luò)中有關(guān)工作的順利開(kāi)展。建設(shè)網(wǎng)絡(luò)安全檢測(cè)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀況，提供快速響應(yīng)故障的手段，同時(shí)系統(tǒng)應(yīng)具

39、有較強(qiáng)的網(wǎng)絡(luò)入侵檢測(cè)和監(jiān)控預(yù)警能力。建立網(wǎng)絡(luò)的安全評(píng)估體系。建立完善網(wǎng)絡(luò)安全治理體系。3-7.2系統(tǒng)安全體系架構(gòu)互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)U系統(tǒng)的安全體系架構(gòu)山安全防護(hù)和安全治理組成。安全防護(hù)要緊是指如何恰當(dāng)?shù)倪x用當(dāng)前各種安全技術(shù)體系構(gòu)建整個(gè)系統(tǒng)安全。安全治理貫穿于上述各個(gè)模塊和系統(tǒng)中，實(shí)踐講明僅有安全技術(shù)防范，而無(wú)嚴(yán)格的安 全治理體系相配套，是難以保證系統(tǒng)安全的。必須制定一系列安全治理制度，對(duì)安全技術(shù) 和安全設(shè)施進(jìn)行治理。從全局治理角度來(lái)看，要制定全局的安全治理策略；從技術(shù)治理角 度來(lái)看，要實(shí)現(xiàn)安全的配置和治理；從人員治理角度來(lái)看，要實(shí)現(xiàn)統(tǒng)一的用戶(hù)角色劃分策 略，制定一系列的治理制度規(guī)范，并進(jìn)行人員

40、安全培訓(xùn)。上述所有模塊與系統(tǒng)均構(gòu)架運(yùn)行于國(guó)家有關(guān)運(yùn)算機(jī)安全法律與政策、安全標(biāo) 準(zhǔn)和規(guī) 范及相關(guān)規(guī)定基礎(chǔ)之上。本方案從物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、用戶(hù)認(rèn)證與授權(quán)、通信安全.儲(chǔ)備安全.可審計(jì)性、設(shè)備冗余、災(zāi)難備份等方面全面保證系統(tǒng)的安全性。3.7.3. 1物理安全為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防 止系統(tǒng)信息在空間的擴(kuò)散。運(yùn)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失秘的案例差不多 專(zhuān)門(mén)多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在兒白其至可達(dá)千米的復(fù) 原顯示給運(yùn)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間 上的擴(kuò)散，通常是在物理上采

41、取一定的防護(hù)措施，來(lái) 減少或干擾擴(kuò)散出去的空間信號(hào)。 通常采取的防范措施要緊是：L對(duì)主機(jī)房及重要信息儲(chǔ)備、收發(fā)部門(mén)進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運(yùn)行要緊設(shè)備，以防止磁鼓，磁帶與高輻射設(shè) 備等的 信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的 隔離措施和設(shè)計(jì)，如信號(hào)線(xiàn)、電話(huà)線(xiàn)、空調(diào)、消防操縱線(xiàn)，以及通 風(fēng)波導(dǎo)，門(mén)的關(guān)起對(duì)本地網(wǎng)、局域網(wǎng)傳輸線(xiàn)路傳導(dǎo)輻射的抑制。山于電纜傳輸輻射信息的不可幸免性，現(xiàn)均采納了光纜傳輸?shù)姆绞?，大多?shù)均在MOdem出來(lái)的設(shè)備用光 電轉(zhuǎn)換接 口，用光纜接出屏蔽室外進(jìn)行傳輸。對(duì)終端設(shè)備輻射的防范。終端機(jī)專(zhuān)門(mén)是CRT顯示

42、器，山于上萬(wàn)伏高壓電子流的作用，輻射有極強(qiáng)的信號(hào)外淤，但乂因終端分散使用不宜集中采納屏蔽室的方法 來(lái)防止，故現(xiàn)在的要求除在訂購(gòu)設(shè)備上盡量選取低輻射產(chǎn)品外，U前要緊 采取主動(dòng)式的 干擾設(shè)備如干擾機(jī)來(lái)破壞對(duì)應(yīng)信息的竊復(fù)。防火墻防護(hù)防火墻愛(ài)護(hù)是網(wǎng)絡(luò)安全性設(shè)計(jì)中重要的一環(huán)，本方案中通過(guò)部署防火墻，將 互聯(lián)網(wǎng) 云平臺(tái)監(jiān)管項(xiàng)U系統(tǒng)的相關(guān)硬件設(shè)備隔離起來(lái)，既限制外部網(wǎng)絡(luò)對(duì)系統(tǒng)的 非授權(quán)訪咨詢(xún)， 乂限制內(nèi)部用戶(hù)對(duì)外部的非授權(quán)訪咨詢(xún)。訪咨詢(xún)策略為了保證系統(tǒng)安全，系統(tǒng)從邏輯上劃分為對(duì)外服務(wù)區(qū)和內(nèi)部服務(wù)區(qū)，對(duì)外服 務(wù)區(qū)承 諾來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)交互：內(nèi)部數(shù)據(jù)區(qū)不承諾從互聯(lián)網(wǎng)進(jìn)行訪咨詢(xún)，只承 諾對(duì)外服務(wù)區(qū) 內(nèi)的服務(wù)區(qū)來(lái)讀

43、取數(shù)據(jù)。不同安全區(qū)的用戶(hù)/服務(wù)器用戶(hù)進(jìn)行通信 都要嚴(yán)格限制訪咨詢(xún)的 類(lèi)型、端口、IP地址。網(wǎng)絡(luò)防病毒威逼網(wǎng)絡(luò)安全的因素除了惡意攻擊外，運(yùn)算機(jī)病毒也是常見(jiàn)的因素。本方案建議項(xiàng)U 系統(tǒng)中的所有主機(jī)設(shè)備都需要利用網(wǎng)絡(luò)防病毒產(chǎn)品，建立網(wǎng)絡(luò)病毒防護(hù)體系。在防病毒選 型部署治理上采取“點(diǎn)”“線(xiàn)”“面”的立體部署方式，即采納多層次的防病毒防范體系。 從防病毒部署上“點(diǎn)即在關(guān)鍵的網(wǎng)絡(luò)核心點(diǎn)上部署 防病毒系統(tǒng)；“線(xiàn)”即在安裝各種類(lèi) 型操作系統(tǒng)和應(yīng)用的服務(wù)器上部署防病毒系統(tǒng)；“面”即在所有聯(lián)網(wǎng)客戶(hù)端部署防病毒系 統(tǒng)。從防病毒治理上“點(diǎn)”即各個(gè)安裝防病毒軟件的客戶(hù)端；線(xiàn)”即按單位機(jī)構(gòu)劃分“點(diǎn)” 的集合；“面”即嶷括

44、 所有“點(diǎn)” “線(xiàn)”的全集，換句話(huà)確實(shí)是全網(wǎng)統(tǒng)一治理、單位部 門(mén)自主治理、個(gè) 人自主負(fù)責(zé)的方式進(jìn)行防病毒治理。入侵檢測(cè)入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱(chēng)“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)覺(jué)可疑 傳輸 時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，IDS是一種積極主動(dòng)的安全防護(hù)技 術(shù)。本項(xiàng)目建議采納入侵檢測(cè)系統(tǒng)，以提高項(xiàng)U系統(tǒng)的安全抗攻擊能力。漏洞掃描漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性以及將要發(fā)生的行 為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可關(guān)心識(shí) 不檢測(cè)對(duì)象的 系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存 在的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)可

45、能存在如下漏洞：/系統(tǒng)設(shè)置配置不當(dāng)使得一般用戶(hù)權(quán)限過(guò)高“治理員山于操作不當(dāng)給系統(tǒng)安裝了后門(mén)程序“系統(tǒng)本身或應(yīng)用程序存在可被利用的漏洞關(guān)于網(wǎng)絡(luò)安全來(lái)講，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，及時(shí)有效的補(bǔ)償 系統(tǒng)存在的漏洞，是系統(tǒng)安全穩(wěn)固運(yùn)行的前提。本方案建議采納網(wǎng)絡(luò)掃描工具、系統(tǒng)掃描具、實(shí)時(shí)掃描工具來(lái)進(jìn)行漏洞檢 測(cè)。3.7.33操作系統(tǒng)安全建議本項(xiàng)U所有服務(wù)器均采納Linux操作系統(tǒng)。所有服務(wù)器均僅開(kāi)放必須 的網(wǎng)絡(luò)服務(wù)，如備案系統(tǒng)應(yīng)用軟件服務(wù)端口、SSHo所有操作系統(tǒng)均需要定期進(jìn)行安全加固。3734用戶(hù)認(rèn)證與授權(quán)系統(tǒng)采納基于角色的授權(quán)治理，并堅(jiān)持最小權(quán)限原則，以減少用戶(hù)越權(quán)進(jìn)行業(yè)務(wù)操作 的現(xiàn)象

46、，最大程度的保證系統(tǒng)的安全。通信安全互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)口系統(tǒng)服務(wù)器之間除使用數(shù)據(jù)加密技術(shù)對(duì)通信數(shù)據(jù)進(jìn) 行愛(ài)護(hù) 外，還對(duì)通信的雙方（要緊是要求方）進(jìn)行身份認(rèn)證。用戶(hù)能夠使用掃瞄器訪咨詢(xún)互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)U系統(tǒng)WEB服務(wù)。系統(tǒng)采 納IP限 定、電子鑰匙和數(shù)字證書(shū)對(duì)用戶(hù)進(jìn)行雙因素身份認(rèn)證，確保只有授權(quán)的用戶(hù)才能使用系 統(tǒng)功能。省管局和企業(yè)之間的數(shù)據(jù)傳輸山接口服務(wù)器進(jìn)行。省管局企業(yè)通宿服務(wù)器 之間能夠 采納數(shù)字證書(shū)進(jìn)行相互身份的確認(rèn)，并通過(guò)建立加密通道對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密愛(ài)護(hù)， 保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被修改和不能被竊聽(tīng)。數(shù)據(jù)儲(chǔ)備安全互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)tl系統(tǒng)對(duì)系統(tǒng)的一些敏銳配置信息進(jìn)行加密存放，需 要加密愛(ài) 護(hù)的配置數(shù)據(jù)有：報(bào)備單位上報(bào)數(shù)據(jù)使用的密碼等。系統(tǒng)采納SHA1算法，運(yùn)算摘要值， 數(shù)