智慧糧食信息化項目方案

目錄 1.2建設(shè)規(guī)模 21.3建設(shè)內(nèi)容 21.4主要結(jié)論 3 2.1全國糧食信息化推進(jìn)整體部署 2.2我區(qū)糧食安全省長責(zé)任制考核背景 2.3內(nèi)蒙古自治區(qū)儲備糧管理體制發(fā)生變革 5 3.1建設(shè)原則和策略 3.2.1總體設(shè)計邏輯架構(gòu) 7 4.1標(biāo)準(zhǔn)規(guī)范建設(shè)內(nèi)容 4.2信息資源規(guī)劃和數(shù)據(jù)庫建設(shè)方案 4.2.1數(shù)據(jù)中臺建設(shè) 94.3視頻平臺建設(shè) 4.3.1架構(gòu)設(shè)計 4.3.2視頻平臺功能設(shè)計 214.4應(yīng)用支撐平臺建設(shè) 4.4.1統(tǒng)一展現(xiàn)支撐層 4.4.2統(tǒng)一基礎(chǔ)服務(wù)支撐 4.4.3統(tǒng)一基礎(chǔ)管理支撐 4.5安全系統(tǒng)建設(shè)方案 4.5.1體系建設(shè)依據(jù) 4.5.2云安全總體框架 4.5.3云等保要求分析 4.5.4等保重要要求與應(yīng)對措施 434.5.5安全防護(hù)體系設(shè)計 4.5.6安全產(chǎn)品清單 4.5.7實施保障 5.1經(jīng)濟效益分析 5.2社會效益分析 11.1建設(shè)目標(biāo)根據(jù)《內(nèi)蒙古自治區(qū)人民政府專題會議紀(jì)要》[2021]7號文件要求：自治區(qū)快達(dá)到自治區(qū)級儲備占全區(qū)總規(guī)模50%以上，在國家正式考核前達(dá)到儲備糧口糧比例70%的要求。同時，要加快推進(jìn)自治區(qū)本級儲備庫點整合調(diào)整工作，跟先按照國糧辦發(fā)[2020]118號文的總體部署和要求，全面遵循《糧食和物資儲備管理平臺數(shù)據(jù)互通共享技術(shù)規(guī)范》(非涉密數(shù)據(jù)部分)(2020版)和《糧食和物資儲備管理平臺視頻監(jiān)控系統(tǒng)互聯(lián)互通技術(shù)規(guī)范》(2020版),實現(xiàn)全區(qū)地2.按照改革后糧物儲備管理體制，構(gòu)建糧物儲備一體化管理平臺2021年內(nèi)蒙古自治區(qū)政府對儲備糧管理體制做出重大調(diào)整，成立自治區(qū)儲3.云端統(tǒng)建庫級系統(tǒng)，儲備糧聯(lián)網(wǎng)監(jiān)管全覆蓋234和視頻監(jiān)控系統(tǒng)互聯(lián)互通兩個技術(shù)規(guī)范的通知》(國糧辦發(fā)(2020)46號),要的通知》(國糧辦發(fā)(2020)118號),要求省糧食局“提高站位，加大力度，實552021年3月2日內(nèi)蒙古自治區(qū)人民政府專題研究了自治區(qū)糧食安全省長責(zé)經(jīng)落實，沒有有關(guān)部門批準(zhǔn)，不得隨意出庫。在糧食購2020年內(nèi)蒙古自治區(qū)政府對儲備糧管理體制做出重大調(diào)整，發(fā)文批準(zhǔn)內(nèi)蒙61.全覆蓋2.整合性3.統(tǒng)分結(jié)合、以統(tǒng)為主辦發(fā)〔2019〕57號文提出的“統(tǒng)分結(jié)合、以統(tǒng)為主、注重實效”的要求，對全區(qū)儲備糧油和應(yīng)急物資儲備標(biāo)準(zhǔn)化業(yè)務(wù)應(yīng)用為主，兼顧不同儲備管理業(yè)務(wù)特4.先進(jìn)性5.高效性6.集成性7.開放性8.安全性7對上云糧庫)、糧庫平臺接入(針對自建平臺糧庫)、國家糧食平臺接入(獲取84.數(shù)據(jù)開發(fā)層：通過大數(shù)據(jù)平臺提供的離線和實時計包括GIS、工作流、數(shù)據(jù)庫、大數(shù)據(jù)平臺等需要本項目建設(shè)統(tǒng)一政務(wù)云平臺到各承儲企業(yè)的VPN網(wǎng)絡(luò)，計算存儲基礎(chǔ)設(shè)施94.1標(biāo)準(zhǔn)規(guī)范建設(shè)內(nèi)容的通知和國糧發(fā)規(guī)〔2021〕13號文的要求，結(jié)合內(nèi)蒙古自治區(qū)信息化的相關(guān)標(biāo)分類編碼、糧&物質(zhì)量標(biāo)準(zhǔn)、倉儲管理規(guī)范、物資配送作業(yè)規(guī)范、倉儲設(shè)施建設(shè)業(yè)務(wù)應(yīng)用軟件開發(fā)指南、統(tǒng)一平臺接口標(biāo)準(zhǔn)(身份、認(rèn)證、授權(quán))、應(yīng)用支撐平4.2信息資源規(guī)劃和數(shù)據(jù)庫建設(shè)方案監(jiān)控系統(tǒng)互聯(lián)互通技術(shù)規(guī)范》和《糧食和物資儲備管理平臺數(shù)據(jù)互通共享技術(shù)4.2.1.2建設(shè)原則力，當(dāng)系統(tǒng)新增業(yè)務(wù)功能或現(xiàn)有業(yè)務(wù)功能改變時(界面的改變、業(yè)務(wù)實體變化、業(yè)務(wù)流程變化、規(guī)則的改變、代碼改變等),應(yīng)盡可能的保證業(yè)務(wù)變化造成的影25類數(shù)據(jù)、多源異構(gòu)數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。依托自治區(qū)統(tǒng)一政務(wù)云平臺提供的Hadoop生態(tài)大數(shù)據(jù)平臺，對匯聚的數(shù)據(jù)發(fā)工具和算法，比如說PCA,線性回歸，統(tǒng)計，度量等等。當(dāng)數(shù)據(jù)已被整合和計算好之后，需要提供給終端用戶、B2.數(shù)據(jù)自助服務(wù)模型沖擊的包括方法論+產(chǎn)品在內(nèi)的統(tǒng)一數(shù)據(jù)服務(wù)體系，使其在提供統(tǒng)一的公用3.數(shù)據(jù)開放接口2、數(shù)據(jù)字典3、元數(shù)據(jù)標(biāo)準(zhǔn)4.3.1.1系統(tǒng)邏輯架構(gòu)設(shè)計轉(zhuǎn)碼服務(wù)報警主機編碼器應(yīng)用層服務(wù)層接入層4.3.1.2網(wǎng)絡(luò)安全架構(gòu)設(shè)計4.3.1.3接入層安全聯(lián)網(wǎng)設(shè)計物資庫物資庫承儲庫警圖4.3-2網(wǎng)絡(luò)拓?fù)?.3.1.5.2網(wǎng)絡(luò)設(shè)計4.3.1.5.3網(wǎng)絡(luò)安全設(shè)計4.3.1.5.4監(jiān)控資源接入方式對于規(guī)模小的視頻監(jiān)控資源，一般采用單設(shè)備監(jiān)控：攝像機直接接入4.3.2.2設(shè)計依據(jù)《公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》(GB/T見>的通知(中辦發(fā)(2014)69號)》《關(guān)于加強公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(發(fā)改高技《公安部關(guān)于印發(fā)<公安發(fā)展“十三五”規(guī)劃(2016-2020年)>的通知(公的通知(公通字〔2015〕4號)》的通知(公傳發(fā)〔2015)582號〕》4.3.2.3.1總體架構(gòu)解碼器解碼器國標(biāo)上服同關(guān)_G?OGB國標(biāo)入間關(guān)_09GW_1(單弧(單嘰議傳輸?shù)姆?wù)器，實現(xiàn)標(biāo)準(zhǔn)協(xié)議、非標(biāo)準(zhǔn)協(xié)議(SDK/ONVIF對接)視頻平臺及設(shè)平臺；針對下級：視頻資源自前端設(shè)備(攝像機/第三方平臺)通過國標(biāo)協(xié)議接內(nèi)存數(shù)-eds國標(biāo)接入網(wǎng)關(guān)_00gw_1(草機).制程通見時到數(shù)目名參在絕象困修屬思基意黃著喻用高清解碼子系地制程通見時到數(shù)目名參在絕象困修屬思基意黃著喻用高清解碼子系地電視墻管理電子地困輪刻管理送案管理直位快通查技視顏實時見道重著面制L圖4.3-6系統(tǒng)邏輯架構(gòu)4.3.2.3.3平臺應(yīng)用系統(tǒng)組成4.3.2.4平臺業(yè)務(wù)功能設(shè)計平臺支持C/S、B/S多種架構(gòu)方式，為用戶提供靈活多樣的使用4.3.2.4.1基礎(chǔ)聯(lián)網(wǎng)關(guān)鍵單元前端相機平臺具備網(wǎng)絡(luò)/硬盤錄像機接入管理模塊，能兼容多支持精細(xì)化權(quán)限設(shè)定：可針對任何一個用戶進(jìn)行精細(xì)權(quán)限設(shè)置(是否可以實操作日志管理負(fù)責(zé)將用戶對基礎(chǔ)聯(lián)網(wǎng)平臺系統(tǒng)以及通過客戶端操作信息進(jìn)支持多種日志類型區(qū)分，具體包括用戶操作支持按用戶、時間，類型、等級等條件對相關(guān)類型日志信息進(jìn)行搜索。支持日志報表打印。4.3.2.4.2平臺應(yīng)用功能設(shè)計現(xiàn)選擇1,4,5,6,9,16等多種畫面分割模式以及全屏顯示；可按照圖像原始像類型、攝像頭等查詢錄像。支持多畫面回放；實現(xiàn)對指定文件的播放、慢放、快放、暫停、繼續(xù)、停止。支持單路多時段回放、切片回放、多路同時段回要同時對多個點位(最多16個)的錄像進(jìn)行下載。統(tǒng)一展現(xiàn)支撐統(tǒng)一展現(xiàn)支撐統(tǒng)一基礎(chǔ)服務(wù)支撐統(tǒng)一基礎(chǔ)管理支撐圖4.4-1應(yīng)用支撐平臺產(chǎn)品構(gòu)成(3)功能強大：支持各種BI應(yīng)用(4)支持大數(shù)據(jù)分析應(yīng)用(8)統(tǒng)一建設(shè)：降低本低3.部署：在儲備管理SaaS和承儲SaaS專用虛擬機集群分別部署，共兩套。集群或雙機熱備。數(shù)據(jù)庫產(chǎn)品包括：關(guān)系數(shù)據(jù)庫系統(tǒng)、分布式大數(shù)據(jù)平臺(具有批流計算、分布式計算、NOSQL數(shù)據(jù)存儲、消息服務(wù)、ET用于本項目視頻平臺建設(shè)，實現(xiàn)承儲視頻匯聚接入、信令控制和媒體分發(fā)。用于本項目數(shù)據(jù)中臺系統(tǒng)建設(shè)，實現(xiàn)25類承儲數(shù)據(jù)的處理、計算和數(shù)據(jù)服2.產(chǎn)品：本項目采購基于K8S的國產(chǎn)商用容器化PaaS平臺。用于為本項目SaaS應(yīng)用提供操作系統(tǒng)運行環(huán)境。由本項目采購國產(chǎn)linux均是根據(jù)該單位內(nèi)部職責(zé)的分配與指定，由1-N個機構(gòu)的1-N個人員在不同時間4.5安全系統(tǒng)建設(shè)方案3.《信息安全技術(shù)云計算安全參考架構(gòu)》(GB_5.《信息安全技術(shù)云計算云服務(wù)質(zhì)量評價指標(biāo)》(GB/T3776.《信息安全技術(shù)網(wǎng)絡(luò)安全保護(hù)等級定級指南》(GB/T22240)7.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T22239-2019)8.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GBT28448-2019)本項目建設(shè)的內(nèi)蒙古自治區(qū)儲備糧信息化管理平臺依托自治區(qū)統(tǒng)一政務(wù)云平臺提供的云平臺安全和租戶級安全體系構(gòu)成，如下圖：全租戶安全平臺安全圖4.5-1云安全體系總體框架隨著我國信息技術(shù)的快速發(fā)展，特別是云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用的出現(xiàn)給信息安全引入了新的安全威脅與風(fēng)險。為加強對采用新技術(shù)、新應(yīng)用安全滿足等級保護(hù)合規(guī)要求，形成了等級保護(hù)系列擴展標(biāo)準(zhǔn)。2018年6月27日，公安部正式發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》 (以下稱“《等保條例》”),標(biāo)志著《網(wǎng)絡(luò)安全法》(以下稱“《網(wǎng)安法》”)第二十一條所確立的網(wǎng)絡(luò)安全等級保護(hù)制度有了具體的實施依據(jù)與有力抓手?！兜缺l例》共八章七十三條，包括總則、支持與保障、網(wǎng)絡(luò)的安全保護(hù)、涉密網(wǎng)絡(luò)的安全保護(hù)、密碼管理、監(jiān)督管理、法律責(zé)任和附則。相較于2007年實施的《信息安全等級保護(hù)管理辦法》(以下稱“《管理辦法》”)所確立的等級保護(hù)1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進(jìn)行了更新與完善，適應(yīng)了現(xiàn)階段網(wǎng)絡(luò)安全的新形勢、新變化以及新技術(shù)、新應(yīng)用發(fā)展的要求，標(biāo)志著等級保護(hù)正式邁入2.0時代。《信息安全技術(shù)云技術(shù)安全參考架構(gòu)》及云計算平臺參考定級標(biāo)準(zhǔn)，需要按筑以及相關(guān)的基礎(chǔ)設(shè)施。從物理位置的選擇、物理訪害(洪水、地震等)及不可抗因素造成的業(yè)務(wù)中斷、數(shù)據(jù)損失。4.5.3.5安全管理中心4.5.3.6安全管理制度4.5.3.7安全管理機構(gòu)3)定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。2.云計算擴展要求表格4.5-1等保通用技術(shù)要求明細(xì)控制點要求項和防雨等能力的建筑內(nèi)；或地下室，否則應(yīng)加強防水和防潮措機房的選擇有一定的靈活性，相比物理訪問控制制、鑒別和記錄進(jìn)入的人員電子門禁，配合人員出入登記，保防盜竊和防破壞設(shè)置明顯的不易除去的標(biāo)記；b)應(yīng)將通信線纜鋪設(shè)在隱蔽安全處；都應(yīng)達(dá)到要求防雷擊接地系統(tǒng)安全接地；防火火；采用具有耐火等級的建筑材料；自動消防系統(tǒng)+耐火建筑材料+分區(qū)隔離防水和防潮戶、屋頂和墻壁滲透；和地下積水的轉(zhuǎn)移與滲透；c)應(yīng)安裝對水敏感的檢測儀表或元防靜電地防靜電措施；防靜電地板+靜電消除器溫濕度控制應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。精密空調(diào)電力供應(yīng)a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要電力供應(yīng)應(yīng)來自至少兩個不同供電站，并在機房的供電系統(tǒng)中配置穩(wěn)壓器和過電壓防護(hù)設(shè)備，還需要配電磁防護(hù)免互相干擾；電磁屏蔽網(wǎng)絡(luò)架構(gòu)足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)設(shè)備選型時需要根據(jù)業(yè)務(wù)峰值務(wù)高峰期需要；c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；安全第一要素：分區(qū)分域d)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；如外聯(lián)邊界、骨干網(wǎng)接入邊界、管用防火墻進(jìn)行訪問控制和隔離核心網(wǎng)絡(luò)設(shè)備及邊界隔離的安全設(shè)備、安全管理設(shè)備等都已采用冗余部署信過程中數(shù)據(jù)的完整性；方案中提供了采用的邊界防火墻具備VPN功能，可以提供通信過程中的加密保障方案中提供了采用的邊界防火墻具備VPN功能，可以提供通信過程中的加密保障邊界防護(hù)過邊界設(shè)備提供的受控接口進(jìn)行通信；區(qū)域的邊界防火墻上開啟相應(yīng)業(yè)務(wù)的端口訪問控制策略網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問下除允許通信外受控接口拒絕所有通信；則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；最小授權(quán)原則c)應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；測d)應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；用內(nèi)容的能力，即具備上網(wǎng)行為管限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；功能的下一代防火墻擊行為的分析；新型網(wǎng)絡(luò)攻擊需要不斷更新安全防御系統(tǒng)的威脅情報庫，首先需要部署相應(yīng)的流量探針進(jìn)行流量采集，其次需要威脅情報庫+流量分析設(shè)備實現(xiàn)新型攻擊的發(fā)現(xiàn)，最后部署型攻擊的阻斷在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。郵件防范制的升級和更新；已部署具備AV功能的下一代防火墻制的升級和更新。在外聯(lián)出口及各安全區(qū)域都部署了具備反垃圾郵件功能的網(wǎng)關(guān)設(shè)備安全審計安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；的要求間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；日志審計系統(tǒng)的審計維度包括日期、時間、用戶、事件、事件結(jié)果及其它必要信息c)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋日志審計數(shù)據(jù)應(yīng)定期備份，并保證互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審設(shè)計部署行為審計及日志審計系統(tǒng)，可滿足用戶行為審計及安全事件審計的要求在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行自治區(qū)統(tǒng)一政務(wù)云平臺已劃分出獨臺對安全設(shè)備就行管控備和服務(wù)器等的運行狀況進(jìn)行集中監(jiān)安全管理區(qū)已態(tài)勢感知系統(tǒng)可實現(xiàn)記錄的留存時間符合法律法規(guī)要求；態(tài)勢感知系統(tǒng)可實現(xiàn)全網(wǎng)設(shè)備日志的集中審計分析，并具有足夠的存儲保證審計記錄留存至少半年級等安全相關(guān)事項進(jìn)行集中管理；力，結(jié)合及時更新的威脅情報庫可最大程度實現(xiàn)對各類安全事件的識別、報警和分析身份鑒別別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；各區(qū)域邊界防火墻具備VPN功能，可對接入用戶進(jìn)行身份鑒別當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施；接超時自動退出等功能c)當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措竊聽；術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。方式實現(xiàn)組合的身份鑒別訪問控制a)應(yīng)對登錄的用戶分配賬戶和權(quán)限；登錄用戶權(quán)限最小化原則認(rèn)賬戶的默認(rèn)口令；設(shè)置初次登錄強制更改密碼策略c)應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；理人員定期刪除多余賬戶d)應(yīng)進(jìn)行角色劃分，并授予管理用戶分離；用戶權(quán)限最小原則訪問控制策略規(guī)定主體對客體的訪問限的劃分，其它權(quán)限在相應(yīng)設(shè)備上實現(xiàn)現(xiàn)此功能并控制主體對有安全標(biāo)記信息資源的通過DLP類產(chǎn)品對敏感數(shù)據(jù)做標(biāo)記安全審計a)應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；本方案已設(shè)計部署行為審計及日志審計系統(tǒng)，可滿足用戶行為審計及安全事件審計的要求間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；日志審計系統(tǒng)的審計維度包括日期、時間、用戶、事件、事件結(jié)果及其它必要信息c)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋日志審計數(shù)據(jù)應(yīng)定期備份，并保證本方案已設(shè)計部署行為審計及日志審計系統(tǒng)，可滿足用戶行為審計及安全事件審計的要求a)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序終端的應(yīng)用及網(wǎng)絡(luò)組件應(yīng)遵循最小授權(quán)原則享和高危端口；只開啟必要的端口c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；管理終端的認(rèn)證授權(quán)應(yīng)遵循最小授權(quán)原則d)應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏系統(tǒng)中部署漏洞掃描(包括主機、數(shù)據(jù)庫及WEB層面)報警。各安全域邊界已部署具備入侵檢測功能的網(wǎng)關(guān)設(shè)備惡意代碼防范和效阻斷。各安全域邊界已部署具備惡意代碼據(jù)和重要個人信息等；部署具備VPN功能的網(wǎng)關(guān)設(shè)備，保障數(shù)據(jù)傳輸?shù)臋C密性、完整性和不可否認(rèn)性據(jù)和重要個人信息等。需配置加密機或文檔加密產(chǎn)品障數(shù)據(jù)傳輸?shù)臋C密性、完整性和不可否認(rèn)性需配置加密機或文檔加密產(chǎn)品a)應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能；信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場異地備份系統(tǒng)備份系統(tǒng)熱備剩余信息保護(hù)釋放或重新分配前得到完全清除；云平臺應(yīng)具備用戶銷戶后主動刪除原用戶存儲空間的功能，或?qū)⒋藢懭牍芾碇贫戎袀€人信息保護(hù)人信息；除業(yè)務(wù)必須的個人信息外，不得采集更多個人信息b)應(yīng)禁止未授權(quán)訪問和非法使用用戶禁止對非授訪問個人信息安全管理中心a)應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允系統(tǒng)管理操作，并對這些操作進(jìn)行審進(jìn)行限制并審計份與恢復(fù)等。審計管理a)應(yīng)對審計管理員進(jìn)行身份鑒別，只允安全審計操作，并對這些操作進(jìn)行審賬戶權(quán)限，對審計員的操作同樣記行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包設(shè)置審計管理員對審計記錄應(yīng)進(jìn)行a)應(yīng)對安全管理員進(jìn)行身份鑒別，只允安全管理操作，并對這些操作進(jìn)行審策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，進(jìn)行授權(quán)，配置可信驗證策略等。主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)，配置可信驗證策略等。a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管劃出特定管理區(qū)行管理；和服務(wù)器等的運行狀況進(jìn)行集中監(jiān)測；等的運行狀況進(jìn)行集中監(jiān)測d)應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)記錄的留存時間符合法律法規(guī)要求；設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和時間符合法律法規(guī)要求e)應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進(jìn)行集中管理；通過安全管理平臺對安全相關(guān)事項f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件的各類安全事件進(jìn)行識別、報警和控制點要求項應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)網(wǎng)絡(luò)架構(gòu)a)應(yīng)保證云計算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)；間的隔離；的隔離和邊界的訪問控制c)應(yīng)繪制與當(dāng)前運行情況相符的虛擬拓?fù)溥M(jìn)行實時更新；并拓?fù)涑尸F(xiàn)d)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機制的能力；云平臺為用戶提供可自主申請?zhí)摂M防火墻并開通入侵檢測功能云平臺為用戶提供可自主申請并獨立云安全管理平臺可與第三方安全產(chǎn)品訪問控制a)應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制，并設(shè)置訪問控制規(guī)則；部署虛擬防火墻設(shè)置訪問控制規(guī)則訪問控制機制，設(shè)置訪問控制規(guī)則部署虛擬防火墻設(shè)置訪問控制規(guī)則攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；c)應(yīng)能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量；殺毒軟件實現(xiàn)虛機之間的東西向流量安全防護(hù)，或部署主機插件，通過全流量情況時進(jìn)行告警；監(jiān)控設(shè)備要有告警機制安全審計a)應(yīng)對云服務(wù)商和云服務(wù)客戶遠(yuǎn)程管虛擬機刪除、虛擬機重啟；現(xiàn)略做統(tǒng)一管理調(diào)度與分配；分離并實現(xiàn)各自的集中審計日志審計、運維審計、行為審計等運行狀況的集中監(jiān)測。平臺和用戶各自獨立的監(jiān)測能力身份鑒別當(dāng)遠(yuǎn)程管理云計算平臺中設(shè)備時，管理終端和云計算平臺之間應(yīng)建立雙向身要求服務(wù)器和用戶雙方都有證書。單向書訪問控制a)應(yīng)保證當(dāng)虛擬機遷移時，訪問控制策略隨其遷移；云平臺自身實現(xiàn)云平臺自身可實現(xiàn)效，并進(jìn)行告警；新啟用虛擬機，并進(jìn)行告警；云平臺自身可實現(xiàn)c)應(yīng)能夠檢測惡意代碼感染及在虛擬資源控制宕機后不影響虛擬機監(jiān)視器及其他虛云平臺自身可實現(xiàn)云平臺自身可實現(xiàn)鏡像和快照保護(hù)作系統(tǒng)鏡像；云平臺自身提供鏡像加密驗功能，防止虛擬機鏡像被惡意篡改；云平臺自身提供鏡像加密c)應(yīng)采取密碼技術(shù)或其他技術(shù)手段防資源被非法訪問。數(shù)據(jù)完整性和保密性循國家相關(guān)規(guī)定；按照要求執(zhí)行云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限；的恢復(fù)措施；云平臺自身功能的加解密過程。需集成CA系統(tǒng)據(jù)的備份；部署數(shù)據(jù)備份產(chǎn)品存儲位置的能力；云平臺自身能力副本之間的內(nèi)容應(yīng)保持一致；云平臺提供備份能力遷移到其他云計算平臺和本地系統(tǒng)提云平臺提供遷移能力剩余信息保護(hù)空間回收時得到完全清除；云平臺自身能力云計算平臺應(yīng)將云存儲中所有副本刪云平臺自身能力內(nèi)蒙古自治區(qū)儲備糧信息化管理平臺作為自治區(qū)統(tǒng)一政務(wù)云平臺的一個云電子政易外同全一、出口域在出口提供兩種接入方式，新增4臺下一代防火墻，兩兩做虛擬化，為200家糧庫提供互聯(lián)網(wǎng)MPLA-VPN和互聯(lián)網(wǎng)專線兩種通信鏈路接入方式。本次購置的下一代防火墻，能夠全面應(yīng)對網(wǎng)絡(luò)層、應(yīng)用層威脅。具備IPS功能和AV病毒用本次購置的下一代防火墻和自治區(qū)統(tǒng)一政務(wù)云平臺已有的東西向防火墻對云租戶業(yè)務(wù)信息系統(tǒng)提供2-7層安全威脅識別及阻斷攻擊行為的能力。三、本項目云租戶子安全域在本項目云租戶內(nèi)進(jìn)一步劃分為SaaS應(yīng)用VPC、數(shù)據(jù)庫服務(wù)VPC、數(shù)據(jù)和視頻中心VPC三個子安全域。利用自治區(qū)統(tǒng)一政務(wù)云平臺已有的東西向防火墻滿足互相隔離和安全域訪問限制與隔離，同時在SaaS應(yīng)用VPC內(nèi)部署vWAF和網(wǎng)頁防篡改實現(xiàn)對本次項目建設(shè)的SaaS應(yīng)用層的安全防護(hù)。具體實現(xiàn)方式是SaaS應(yīng)用VPC。SaaS應(yīng)用VPC的業(yè)務(wù)流量經(jīng)過東西向防火墻訪問控制規(guī)則再去訪問數(shù)據(jù)庫VPC和數(shù)據(jù)視頻中心VPC。洞掃描、數(shù)據(jù)庫審計和終端安全，新增密碼安全和SSLVPN設(shè)備，滿足商用密表格4.5-3對應(yīng)安全產(chǎn)品應(yīng)對產(chǎn)品網(wǎng)絡(luò)與通信安全測、防止或限制從外部發(fā)按需自治區(qū)統(tǒng)一政務(wù)云平臺提供全流量深度檢測與威脅分析系統(tǒng)按需自治區(qū)統(tǒng)一政務(wù)云平臺提供界防護(hù)、入侵防范等安全機制按需自治區(qū)統(tǒng)一政務(wù)云平臺提供云防火墻按需自治區(qū)統(tǒng)一政務(wù)云平臺提供入侵防御按需自治區(qū)統(tǒng)一政務(wù)云平臺提供應(yīng)保護(hù)云服務(wù)器賬戶、系統(tǒng)的安全，防范惡意代碼按需自治區(qū)統(tǒng)一政務(wù)云平臺提供按需設(shè)備與計算安全應(yīng)收集各自控制部分的審日志審計按需自治區(qū)統(tǒng)一政務(wù)云平臺提供險控制系統(tǒng)按需自治區(qū)統(tǒng)一政務(wù)云平臺提供應(yīng)對用戶進(jìn)行身份鑒別、按需自治區(qū)統(tǒng)一政務(wù)云平臺提供應(yīng)用全安全事件進(jìn)行識別、報警按需自治區(qū)統(tǒng)一政務(wù)云平臺提供應(yīng)滿足數(shù)據(jù)完整性和數(shù)據(jù)按需自治區(qū)統(tǒng)一政務(wù)云平臺提供網(wǎng)頁防篡改1自治區(qū)統(tǒng)一政務(wù)云平臺提供按需自治區(qū)統(tǒng)一政務(wù)云平臺提供按需自治區(qū)統(tǒng)一政務(wù)云平臺提供項目自建安全管理應(yīng)定期對系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞后的處理措施按需自治區(qū)統(tǒng)一政務(wù)云平臺提供應(yīng)設(shè)置安全策略，包括定件按需自治區(qū)統(tǒng)一政務(wù)云平臺提供按需按需應(yīng)采取措施識別安全漏洞響后進(jìn)行及時