第一篇：數(shù)據(jù)中心信息安全解決方案

數(shù)據(jù)中心解決方案

（安全）

行業(yè)基線方案

目錄

第 一 章 信息安全保障系統(tǒng).....................................................................3

1.1 系統(tǒng)概述.....................................................................................3 1.2 安全標準.....................................................................................3 1.3 系統(tǒng)架構(gòu).....................................................................................4 1.4 系統(tǒng)詳細設(shè)計.............................................................................5 1.4.1 計算環(huán)境安全......................................................................5 1.4.2 區(qū)域邊界安全......................................................................7 1.4.3 通信網(wǎng)絡(luò)安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全設(shè)備及系統(tǒng).......................................................................11 1.5.1 VPN加密系統(tǒng)....................................................................12 1.5.2 入侵防御系統(tǒng)....................................................................12 1.5.3 防火墻系統(tǒng)........................................................................13 1.5.4 安全審計系統(tǒng)....................................................................14 1.5.5 漏洞掃描系統(tǒng)....................................................................15 1.5.6 網(wǎng)絡(luò)防病毒系統(tǒng)................................................................17 1.5.7 PKI/CA身份認證平臺......................................................18 1.5.8 接入認證系統(tǒng)....................................................................20

第1頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.9 安全管理平臺....................................................................21

第2頁杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

第 一 章 信息安全保障系統(tǒng)

1.1 系統(tǒng)概述

信息安全保障系統(tǒng)是集計算環(huán)境安全、安全網(wǎng)絡(luò)邊界、通信網(wǎng)絡(luò)安全以及安全管理中心于一體的基礎(chǔ)支撐系統(tǒng)。它以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為依托，為實現(xiàn)各信息系統(tǒng)間的互聯(lián)互通，整合各種資源，提供信息安全上的有力支撐。系統(tǒng)的體系架構(gòu)如圖所示：

圖1.信息安全保障系統(tǒng)體系架構(gòu)圖

信息系統(tǒng)安全是保障整個系統(tǒng)安全運行的一整套策略、技術(shù)、機制和保障制度，它涵蓋系統(tǒng)的許多方面，一個安全可靠的系統(tǒng)需要多方面因素共同作用。

1.2 安全標準

在數(shù)據(jù)中心建設(shè)中，信息系統(tǒng)安全依據(jù)《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（GB/T 24856-2009）二級防護要求進行設(shè)計。該標準依據(jù)國家信息安全等級保護的要求，規(guī)范了信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求，標準適用于指導(dǎo)信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務(wù)機構(gòu)開展信息系統(tǒng)等級

第3頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

保護安全技術(shù)方案的設(shè)計和實施，也可作為信息安全職能部門進行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

信息安全等級保護是我國信息安全的基本制度、基本政策、基本方法。已出臺的一系列信息安全等級保護相關(guān)法規(guī)、政策文件、國家標準和公共安全行業(yè)標準，為信息安全等級保護工作的開展提供了法律、政策、標準依據(jù)。國家標準《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》是根據(jù)中國信息安全等級保護的實際需要，按照信息安全等級保護對信息系統(tǒng)安全整改的要求制訂的，對信息系統(tǒng)等級保護安全整改階段技術(shù)方案的設(shè)計具有指導(dǎo)和參考作用。

1.3 系統(tǒng)架構(gòu)

智慧城市數(shù)據(jù)中心依據(jù)《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（GB/T 24856-2009），構(gòu)建 “一個中心支撐下的三重防御”的安全防護體系。信息安全保障系統(tǒng)總體架構(gòu)如下圖所示：

信息安全保障體系計算環(huán)境安全身份鑒別訪問控制系統(tǒng)安全審計數(shù)據(jù)安全保護惡意代碼防范邊界完整性保護區(qū)域邊界安全邊界包過濾邊界安全審計邊界惡意代碼防范通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全審計通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護管理中心安全安全管理子系統(tǒng)實時監(jiān)控統(tǒng)計分析配置管理日志管理CA子系統(tǒng)認證授權(quán)子系統(tǒng)統(tǒng)一用戶管理安全審計子系統(tǒng)網(wǎng)絡(luò)安全審計主機安全審計數(shù)據(jù)庫安全審計應(yīng)用系統(tǒng)安全審計證書管理統(tǒng)一身份認證資源授權(quán)管理訪問權(quán)限裁決系統(tǒng)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖2.信息安全保障系統(tǒng)總體架構(gòu)圖

信息安全保障系統(tǒng)以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為依托，為整個數(shù)據(jù)中心業(yè)務(wù)提供計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、安全管理、安全審計及認證授權(quán)等服務(wù)。

第4頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

信息安全保障系統(tǒng)的一個中心是指管理中心安全，三重防御是指計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。

計算環(huán)境安全主要提供終端和用戶的身份認證、訪問控制、系統(tǒng)安全審計、惡意代碼防范、接入控制、數(shù)據(jù)安全等安全服務(wù)。

區(qū)域邊界安全主要提供網(wǎng)絡(luò)邊界身份認證、訪問控制、病毒防御、安全審計、網(wǎng)絡(luò)安全隔離與可信交換等安全服務(wù)。

通信網(wǎng)絡(luò)安全主要提供網(wǎng)絡(luò)通信的安全審計、網(wǎng)絡(luò)傳輸?shù)臋C密性和完整性等安全服務(wù)。

管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認證授權(quán)子系統(tǒng)和統(tǒng)一安全審計子系統(tǒng)等，它是系統(tǒng)的安全基礎(chǔ)設(shè)施，也是系統(tǒng)的安全管控中心。為整個系統(tǒng)提供統(tǒng)一的系統(tǒng)安全管理、證書服務(wù)、認證授權(quán)、訪問控制以及統(tǒng)一的安全審計等服務(wù)。

1.4 系統(tǒng)詳細設(shè)計

1.4.1 計算環(huán)境安全

1.4.1.1 計算環(huán)境安全概述

伴隨著等級保護工作的持續(xù)開展，包括防火墻、安全網(wǎng)關(guān)、入侵防御、防病毒等在內(nèi)的安全產(chǎn)品成功地應(yīng)用到信息系統(tǒng)中，從很大程度上解決了安全問題，增強了信息安全防御能力。但這些大多重在邊界防御，以服務(wù)器為核心的計算平臺自身防御水平較低，這在信息系統(tǒng)中埋下了很大的安全隱患。

計算環(huán)境安全針對的是對系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件，它的重點是為了提高以服務(wù)器為核心的計算平臺自身防御水平。數(shù)據(jù)中心的計算環(huán)境安全主要通過部署主機安全防護系統(tǒng)以及使用在管理中心所部署的接入認證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)等安全防護系統(tǒng)提供的服務(wù)，完成終端的身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全保護，惡意代碼防護等一系列功能。計算環(huán)境部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實

第5頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

現(xiàn)協(xié)同防護。

1.4.1.2 計算環(huán)境安全功能要求

1）身份鑒別功能

數(shù)據(jù)中心終端應(yīng)支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標識符標識用戶身份，并確保在系統(tǒng)整個生存周期用戶標識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

2）訪問控制功能

在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。采用基于角色的訪問控制技術(shù)，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制，分別制定了不同的訪問控制規(guī)則，訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

3）安全審計功能

提供安全審計機制，記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。該功能應(yīng)提供審計記錄查詢、分類和存儲保護，并可由安全管理與基礎(chǔ)支撐功能層統(tǒng)一管理。

4）數(shù)據(jù)安全保護功能

采用常規(guī)校驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，可采用密碼等技術(shù)支持的保密性保護機制，對在計算環(huán)境安全中存儲和處理的用戶數(shù)據(jù)進行保密性保護。

5）惡意代碼防范功能

安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以提供針對不同操作系統(tǒng)的工作站和服務(wù)器的全面惡意代碼防護。不僅能夠抵御病毒，蠕蟲和特洛依木馬，還能抵御新攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，以及針對系統(tǒng)漏洞，并提供保護阻止安全冒險等。

第6頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.4.2 區(qū)域邊界安全

1.4.2.1 區(qū)域邊界安全概述

隨著應(yīng)用系統(tǒng)和通訊網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，異地跨邊界的業(yè)務(wù)訪問、移動用戶遠程業(yè)務(wù)訪問等復(fù)雜的系統(tǒng)需求不斷增多，如何對跨邊界的數(shù)據(jù)進行有效的控制與監(jiān)視已成為越來越關(guān)注的焦點，這對系統(tǒng)區(qū)域邊界防護提出了新的挑戰(zhàn)和要求。

區(qū)域邊界安全針對的是對系統(tǒng)的計算環(huán)境安全邊界，以及計算環(huán)境安全與通信網(wǎng)絡(luò)安全之間實現(xiàn)連接并實施安全策略的相關(guān)部件。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。區(qū)域邊界部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實現(xiàn)協(xié)同防護。

1.4.2.2 區(qū)域邊界安全功能要求

1）邊界包過濾功能

提供對數(shù)據(jù)包的進/出網(wǎng)絡(luò)接口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務(wù)（群組）的訪問過濾與控制功能，對進入或流出的區(qū)域邊界的數(shù)據(jù)進行安全檢查，只允許符合安全安全策略的數(shù)據(jù)包通過，同時對連接網(wǎng)絡(luò)的流量、內(nèi)容過濾進行管理。

2）邊界安全審計功能

在區(qū)域邊界設(shè)置審計機制，提供對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、分析、記錄、匯報的功能，以幫助用戶事前規(guī)劃預(yù)防、事中實時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤回放，保障網(wǎng)絡(luò)及系統(tǒng)的正常運行。

3）邊界入侵防范功能

在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

4）邊界完整性保護功能

第7頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

在區(qū)域邊界設(shè)置探測器，可對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)，以及外部用戶未經(jīng)許可違規(guī)接入內(nèi)部網(wǎng)絡(luò)的行為進行檢查和控制。

5）邊界安全隔離與可信數(shù)據(jù)交換功能

可完成指揮信令的雙向流動，以及視頻流單向流入公安信息網(wǎng)的安全隔離與控制，同時，還應(yīng)可采用兩頭落地的“數(shù)據(jù)交換”模式，實現(xiàn)公安信息通信網(wǎng)與其它網(wǎng)絡(luò)間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強度隔離。

1.4.3 通信網(wǎng)絡(luò)安全

1.4.3.1 通信網(wǎng)絡(luò)安全概述

通信網(wǎng)絡(luò)是信息系統(tǒng)的基礎(chǔ)支撐平臺，而如今網(wǎng)絡(luò)IP化、設(shè)備IT化、應(yīng)用Web化使信息系統(tǒng)業(yè)務(wù)日益開放，業(yè)務(wù)安全漏洞更加易于利用。通信網(wǎng)絡(luò)的安全保障越來越成為人們關(guān)注的重點。

通信網(wǎng)絡(luò)安全針對的是對系統(tǒng)計算環(huán)境安全之間進行信息傳輸及實施安全策略的相關(guān)部件。數(shù)據(jù)中心的通信網(wǎng)絡(luò)安全主要是通過部署入侵防范系統(tǒng)和VPN加密系統(tǒng)等安全設(shè)備和系統(tǒng)以及使用管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成傳輸網(wǎng)絡(luò)安全審計、數(shù)據(jù)傳輸完整性與機密性保護等一系列功能。通信網(wǎng)絡(luò)安全采用基于商密算法的網(wǎng)絡(luò)傳輸安全防護系統(tǒng)（SSL VPN），實現(xiàn)數(shù)據(jù)安全傳輸與安全審計、保障通信兩端的可信接入、保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

1.4.3.2 通信網(wǎng)絡(luò)安全功能要求

1）傳輸網(wǎng)絡(luò)安全審計功能

提供通信網(wǎng)絡(luò)所傳輸數(shù)據(jù)在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息在內(nèi)的審計功能。

2）數(shù)據(jù)傳輸完整性與機密性保護功能

通過在不可信信道上構(gòu)建安全可靠的虛擬專用網(wǎng)絡(luò)，為數(shù)據(jù)傳輸提供機密性和完整性保護、以及數(shù)據(jù)源認證、抗重放攻擊等安全保障，并且支持采用身份認證、訪問控制以及終端安全控制技術(shù)，為平聯(lián)工程的內(nèi)部網(wǎng)絡(luò)建立安全屏障。

第8頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.4.4 管理中心安全

1.4.4.1 管理中心安全概述

安全管理平臺是對定級系統(tǒng)的安全策略及計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全上的安全機制實施統(tǒng)一管理的平臺。它是一個集合的概念，其核心的內(nèi)容是實現(xiàn)“集中管理”與“基礎(chǔ)支撐”。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計系統(tǒng)、接入認證系統(tǒng)、PKI/CA身份認證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺等安全設(shè)備和系統(tǒng)，完成證書管理、實時監(jiān)控、統(tǒng)計分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認證、資源授權(quán)及訪問控制管理、單點登錄管理、網(wǎng)絡(luò)安全審計、主機安全審計、數(shù)據(jù)庫安全審計、應(yīng)用系統(tǒng)安全審計等一系列功能。

1.4.4.2 管理中心安全功能要求

1）證書管理功能

主要涵蓋數(shù)字證書的申請、審核、簽發(fā)、注銷、更新、查詢等的綜合管理，證書管理應(yīng)遵循X.509規(guī)范和國家PKI標準，采用成熟的已經(jīng)通過鑒定的服務(wù)器密碼機做加、解密及簽名運算，為用戶提供高密級的信息安全服務(wù)。

證書管理應(yīng)不僅能夠提供用戶注冊、審核，密鑰產(chǎn)生、分發(fā)，證書簽發(fā)、制證及發(fā)布等基本功能，還應(yīng)能為其它應(yīng)用系統(tǒng)提供證書下載，在線證書狀態(tài)查詢、可信時間等服務(wù)，并進行綜合管理，使其它系統(tǒng)能夠更方便的利用電子認證基礎(chǔ)設(shè)施實現(xiàn)安全應(yīng)用。

2）實時監(jiān)控功能

能從總體上對各安全構(gòu)件提供簡便、易用的導(dǎo)向式監(jiān)控，能從總體上和細節(jié)兩個層面實時把握安全系統(tǒng)整體運行情況。實時監(jiān)控應(yīng)可按照業(yè)務(wù)和資產(chǎn)進行分類，可依據(jù)分類進行簡單、直觀的實時監(jiān)控。

提供邏輯視圖、物理視圖兩種實時監(jiān)控模式和多種不同的圖形化及文字報警方式。提供實時監(jiān)控頁面即時切換，并可對實時監(jiān)控項和圖形化統(tǒng)計項進行自定義布局，完成管理員最關(guān)心的實時監(jiān)控和事件統(tǒng)計配置和顯示。

3）統(tǒng)計分析功能

第9頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

提供事件統(tǒng)計，并可將結(jié)果生成統(tǒng)計報表。可提供了預(yù)定義統(tǒng)計和自定義統(tǒng)計模式。預(yù)定義統(tǒng)計分析主要針對系統(tǒng)自身信息的統(tǒng)計報表，可主要包括事件統(tǒng)計、密鑰統(tǒng)計、設(shè)備統(tǒng)計、用戶統(tǒng)計和日志統(tǒng)計五大類。

根據(jù)實際的統(tǒng)計需求，對統(tǒng)計項進行自定義配置。配置后，統(tǒng)計信息可在實時監(jiān)控頁面中實時顯示，也可以通過統(tǒng)計分析進行查看。統(tǒng)計結(jié)果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢圖等，并為關(guān)聯(lián)分析提供支撐。

4）配置管理功能

能夠?qū)?yīng)用系統(tǒng)中的安全設(shè)備進行統(tǒng)一配置管理。配置管理應(yīng)可按照業(yè)務(wù)和資產(chǎn)重要程度和管理域的方式對業(yè)務(wù)和資產(chǎn)進行統(tǒng)一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業(yè)務(wù)和資產(chǎn)信息，并對業(yè)務(wù)和資產(chǎn)屬性進行維護。

5）密鑰管理功能

對密鑰全生命周期（產(chǎn)生、存儲、分發(fā)、更新、撤銷、停用、備份和恢復(fù)）的統(tǒng)一管理，確保密鑰全生命周期的安全。

6）日志管理功能

使審計員可以通過日志管理對密鑰日志、系統(tǒng)日志進行事后審計和追蹤，作為日志審計的依據(jù)。密鑰日志應(yīng)主要包括密鑰生成日志和密鑰分發(fā)日志；系統(tǒng)日志應(yīng)主要包括操作日志、監(jiān)控日志和運行日志。日志管理應(yīng)可提供強大、完善的日志查詢和檢索功能，滿足審計員對日志的審計和查詢需求。

7）系統(tǒng)管理功能

通過系統(tǒng)管理中配置對系統(tǒng)自身進行各種參數(shù)配置和管理，應(yīng)主要包括服務(wù)器管理、組件管理、監(jiān)控策略管理等。

8）統(tǒng)一用戶管理功能

根據(jù)用戶的數(shù)字證書，提供對用戶的管理功能，包括用戶的主賬號（代表用戶身份的唯一帳號）和從賬號（不同應(yīng)用系統(tǒng)中的用戶帳號）的對應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實現(xiàn)用戶整個生命周期管理，包括對人員入職、調(diào)動、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。統(tǒng)一用戶管理應(yīng)支持分級管理功能。

9）統(tǒng)一身份認證功能

第10頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

基于數(shù)字證書完成用戶與客戶端認證設(shè)備之間的認證，實現(xiàn)基于PKI的握手協(xié)議，實現(xiàn)不同系統(tǒng)和設(shè)備之間的身份認證有效統(tǒng)一，保護系統(tǒng)訪問的安全性。統(tǒng)一身份認證還應(yīng)支持多級認證功能。

10）資源授權(quán)及訪問控制管理功能

基于數(shù)字證書，并采用基于RBAC的技術(shù)，在用戶進行信息系統(tǒng)的資源訪問及使用時，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制。資源授權(quán)及訪問控制應(yīng)支持分級管理功能。

11）單點登錄管理功能

基于數(shù)字證書，使用戶能夠方便地跨越多個站點或安全域?qū)崿F(xiàn)單點登錄，即用戶登錄到網(wǎng)絡(luò)以后，便能在安全可靠的前提下，訪問任何應(yīng)用程序而無需再次進行身份驗證；單點登錄應(yīng)同時提供針對B/S系統(tǒng)與C/S應(yīng)用系統(tǒng)的單點登錄功能。

12）網(wǎng)絡(luò)安全審計功能

配合網(wǎng)管系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)異常行為及安全事件的審計。13）主機安全審計功能 實現(xiàn)用戶對主機操作行為的審計。14）數(shù)據(jù)庫安全審計功能 實現(xiàn)對數(shù)據(jù)庫操作行為的審計。15）應(yīng)用系統(tǒng)安全審計功能 實現(xiàn)對應(yīng)用系統(tǒng)操作行為的審計。

1.5 安全設(shè)備及系統(tǒng)

根據(jù)智慧城市的業(yè)務(wù)發(fā)展的需要，為保障數(shù)據(jù)中心的計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全以及管理中心安全，在數(shù)據(jù)中心建設(shè)過程中需要部署VPN加密系統(tǒng)、入侵防御系統(tǒng)、防火墻系統(tǒng)、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、PKI/CA身份認證平臺、接入認證系統(tǒng)、安全管理平臺等安全設(shè)備及系統(tǒng)來保障整個數(shù)據(jù)中心系統(tǒng)的安全運行。各安全設(shè)備及系統(tǒng)的功能要求如下：

第11頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.1 VPN加密系統(tǒng)

VPN的身份認證通過LADP協(xié)議可以與認證服務(wù)器建立認證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。

智慧城市數(shù)據(jù)中心VPN加密系統(tǒng)功能要求如下： 1.支持豐富的C/S、B/S應(yīng)用；

2.支持多種認證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key； 3.證書、證書+口令、雙因子認證等；

4.支持多種終端設(shè)備接入(包括window平臺、linux平臺、andriod平臺)； 5.支持IP層隧道模式，支持VoIP； 6.支持多ISP連接；

7.支持統(tǒng)一安全管理系統(tǒng)的統(tǒng)一管理； 8.支持雙機備份和負載均衡； 9.終端安全接入控制； 10.基于角色的訪問控制； 11.完善的信息與狀態(tài)監(jiān)控； 12.支持主機綁定； 13.客戶端安全控制；

14.支持基于用戶的終端安全檢查； 15.支持分支機構(gòu)的局域網(wǎng)接入。

1.5.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)是一種軟、硬結(jié)合的計算機系統(tǒng)，它能通過攻擊特征庫匹配、漏洞機理分析、應(yīng)用還原重組、網(wǎng)絡(luò)異常分析等主要技術(shù)實現(xiàn)了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫，全面防止拒絕服務(wù)攻擊和服務(wù)溢出分布式攻擊。

第12頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

智慧城市數(shù)據(jù)中心入侵防御系統(tǒng)功能要求如下：

1.堅固的入侵防御體系：完善的攻擊特征庫；漏洞機理分析技術(shù)，精確抵御黑客攻擊、蠕蟲、木馬、后門；應(yīng)用還原重組技術(shù)，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫；網(wǎng)絡(luò)異常分析技術(shù)，全面防止拒絕服務(wù)攻擊；

2.動、靜態(tài)檢測功能：動態(tài)檢測與靜態(tài)檢測融合，基于原理的檢測方法與基于特征的檢測方法并存；

3.網(wǎng)絡(luò)防病毒技術(shù)：文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫；病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫；

4.防DoS攻擊能力：有效抗拒絕服務(wù)攻擊，阻斷絕大多數(shù)的DoS攻擊行為。

1.5.3 防火墻系統(tǒng)

防火墻是傳輸與網(wǎng)絡(luò)安全中最基本、最常用的手段之一，防火墻可以實現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡(luò)之間的邏輯隔離，達到有效的控制對網(wǎng)絡(luò)訪問的作用。防火墻可以做到網(wǎng)絡(luò)間的單向訪問需求，過濾一些不安全服務(wù)；防火墻可以針對協(xié)議、端號、時間、流量等條件實現(xiàn)安全的訪問控制。防火墻具有很強的記錄日志的功能．可以對不同通信網(wǎng)絡(luò)所要求的策略來記錄所有不安會的訪問行為。

智慧城市數(shù)據(jù)中心防火墻系統(tǒng)功能要求如下：

1.攻擊防范能力：能防御DoS/DDoS攻擊（如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑名單、MAC綁定、內(nèi)容過濾等功能；

2.狀態(tài)安全過濾：支持基礎(chǔ)、擴展和基于接口的狀態(tài)檢測包過濾技術(shù)；支持應(yīng)用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對應(yīng)用層協(xié)議的狀態(tài)監(jiān)控；

3.完善的訪問控制特性：支持基于源IP、目的IP、源端口、目的端口、時間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制；支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認證等；

第13頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

4.應(yīng)用層內(nèi)容過濾：可以有效的識別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；

5.NAT應(yīng)用支持：提供多對

一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT功能；

6.認證服務(wù)：支持本地用戶、RADIUS、TACACS等認證方式。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權(quán)限；

7.集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

1.5.4 安全審計系統(tǒng)

安全審計系統(tǒng)是按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。它是記錄與審查用戶操作計算機及網(wǎng)絡(luò)系統(tǒng)活動的過程，是提高系統(tǒng)安全性的重要舉措。

智慧城市數(shù)據(jù)中心安全審計系統(tǒng)功能要求如下：

1.敏感行為記錄:支持用戶可基于網(wǎng)絡(luò)應(yīng)用的具體情況，自定義敏感的網(wǎng)絡(luò)訪問行為數(shù)據(jù)特征，系統(tǒng)可以根據(jù)策略對于敏感事件實時記錄、顯示和阻斷；

2.特定網(wǎng)絡(luò)連接實時監(jiān)視功能：支持用戶通過會話監(jiān)控功能對正在進行的連接會話內(nèi)容進行實時監(jiān)控，并支持手工阻斷、自動阻斷功能；

3.流量審計：支持對IP、TCP、UDP、ICMP、P2P等應(yīng)用協(xié)議的流量監(jiān)測，提供基于IP地址、用戶組、應(yīng)用協(xié)議類型、時間、端口等組合流量審計策略；可分析網(wǎng)絡(luò)流量最大值、均值、總值、實時流量、TOPN等；

4.網(wǎng)絡(luò)管理行為審計：支持TELNET、FTP訪問審計，記錄TELNET、FTP訪問的時間、地址、賬號、命令等信息；對違反審計策略的操作行為實時報警、記錄；

5.互聯(lián)網(wǎng)行為審計：支持對網(wǎng)頁訪問、論壇、即時通訊、在線視頻、P2P

第14頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

下載、網(wǎng)絡(luò)游戲、炒股、文件上傳下載等行為進行全面監(jiān)控管理；

6.HTTP協(xié)議審計：中英文URL數(shù)據(jù)庫，超過十種分類，如不良言論、色情暴力等；可過濾非法不良網(wǎng)站，并支持用戶添加自定義URL；支持針對URL、HTTP網(wǎng)頁頁面內(nèi)容、HTTP搜索引擎的關(guān)鍵字過濾；

7.SMTP協(xié)議審計：支持SMTP、POP3、WEBMAIL等協(xié)議，支持基于郵箱地址、郵件主題、郵件內(nèi)容、附件名的關(guān)鍵字審計策略；針對符合審計策略的事件，提供實時告警、阻斷和信息還原；

8.FTP協(xié)議審計：支持基于IP地址、用戶組、時間、命令關(guān)鍵字等組合審計策略，可記錄源IP地址、目的IP地址、帳號、命令及上傳下載文件名等；

9.數(shù)據(jù)庫訪問行為審計:支持對ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等數(shù)據(jù)庫，實時審計用戶對數(shù)據(jù)庫的所有操作（如創(chuàng)建、插入、刪除等），精細還原操作命令，并及時告警響應(yīng)；

10.Windows遠程訪問行為審計：支持對NETBIOS協(xié)議審計，記錄具體時間、地址、具體操作等；

11.認證審計功能：支持在不修改原系統(tǒng)配置的情況下，對訪問用戶進行基于CA證書的強身份認證，并支持統(tǒng)基于授權(quán)認證按訪問者的身份進行為審計；

12.通訊加密：與安全中心間的通信采用強加密傳輸告警日志與控制命令，避免可能存在的嗅探行為，實現(xiàn)了數(shù)據(jù)傳輸?shù)陌踩?/p>

1.5.5 漏洞掃描系統(tǒng)

通過部署漏洞掃描系統(tǒng)，可以對數(shù)據(jù)中心主機服務(wù)器系統(tǒng)（LINUX、數(shù)據(jù)庫、UNIX、WINDOWS）、交換機、路由器、防火墻、入侵防御、安全審計、邊界接入平臺等等設(shè)備，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。對掃描結(jié)果，可以報表和圖形的方式進行分析。實現(xiàn)了隱患掃描、安全評估、脆弱性分析和解決方案。

智慧城市數(shù)據(jù)中心漏洞掃描系統(tǒng)功能要求如下：

1.能夠?qū)W(wǎng)絡(luò)（安全）設(shè)備、主機系統(tǒng)和應(yīng)用服務(wù)的漏洞進行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告，并針對檢測

第15頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議；

2.漏洞管理功能

漏洞管理的循環(huán)過程劃分為漏洞預(yù)警、漏洞分析、漏洞修復(fù)、漏洞審計四個階段。

? 漏洞預(yù)警：最新的高風(fēng)險漏洞信息公布之際，在第一時間通過郵件或者電話的方式向用戶進行通告，并且提供相應(yīng)的預(yù)防措施；

? 漏洞分析：對網(wǎng)絡(luò)中的資產(chǎn)進行自動發(fā)現(xiàn)，并且按照資產(chǎn)重要性進行分類。再采用業(yè)界權(quán)威的風(fēng)險評估模型對資產(chǎn)的風(fēng)險進行評估；

? 漏洞修復(fù)：提供可操作性很強的漏洞修復(fù)方案，同時提供二次開發(fā)接口給第三方的補丁管理產(chǎn)品進行聯(lián)動，方便用戶及時高效地對漏洞進行修復(fù)；

? 漏洞審計：通過發(fā)送郵件通知的方式督促相應(yīng)的安全管理人員對漏洞進行修復(fù)，同時啟動定時掃描任務(wù)對漏洞進行審計。

3.安全管理功能

? 系統(tǒng)將所發(fā)現(xiàn)的隱患和漏洞依照風(fēng)險等級進行分類，向用戶發(fā)出不同的警告提示，提交風(fēng)險評估報告，并給出詳細的解決辦法；

? 系統(tǒng)對可掃描的IP地址進行了嚴格地限定，有效地防止系統(tǒng)被濫用和盜用；

? 掃描數(shù)據(jù)結(jié)果與升級包文件采用專用的算法加密，實現(xiàn)掃描漏洞信息的保密性，升級數(shù)據(jù)包的合法來源性；

? 系統(tǒng)具有定時掃描功能，用戶可以定制掃描時間，從而實現(xiàn)自動化掃描，生成報表。

4.策略管理功能

? 系統(tǒng)可定義豐富的掃描策略，包括完全掃描、LINUX、數(shù)據(jù)庫、UNIX、WINDOWS、不含拒絕服務(wù)、網(wǎng)絡(luò)設(shè)備、路由器、防火墻、20大常見漏洞等內(nèi)置策略。實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描；

? 系統(tǒng)針對不同用戶的需求，可定義掃描（端口）范圍、掃描使用的參數(shù)集、掃描并發(fā)主機數(shù)等具體掃描選項，對掃描策略進行合理的組合，更快、更有效地幫助不同用戶構(gòu)建自己專用的安全策略。

第16頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.6 網(wǎng)絡(luò)防病毒系統(tǒng)

在數(shù)據(jù)中心核心交換上部署一臺網(wǎng)絡(luò)防毒服務(wù)器對全網(wǎng)制定完善的防病毒策略，實施統(tǒng)一的防病毒策略，使分布在數(shù)據(jù)中心每臺計算機上的防病毒系統(tǒng)實施相同的防病毒策略，全網(wǎng)達到統(tǒng)一的病毒防護強度。同時防毒服務(wù)器實時地記錄防護體系內(nèi)每臺計算機上的病毒監(jiān)控、檢測和清除信息，根據(jù)管理員控制臺的設(shè)置，實現(xiàn)對整個防護系統(tǒng)的自動控制。

智慧城市數(shù)據(jù)中心網(wǎng)絡(luò)防病毒系統(tǒng)功能要求如下：

1.病毒防范和查殺能力：開啟實時監(jiān)控后能完全預(yù)防已知病毒的危害；可防范、檢測并清除隱藏于電子郵件、公共文件夾及數(shù)據(jù)庫中的計算機病毒、惡性程序、病毒郵件；能有效預(yù)防、查殺映像劫持類型的病毒；可以防范網(wǎng)頁中的惡意代碼；壓縮文件、打包文件查殺毒（在不加密的情況下，不限層數(shù)）；內(nèi)存查殺毒、運行文件查殺毒、引導(dǎo)區(qū)查殺毒；支持圖片、視頻等多媒體文件的查殺毒；郵件接收、發(fā)送檢測；郵件文件靜態(tài)檢測、殺毒；同時支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常見客戶端郵件系統(tǒng)的防（殺）病毒；能夠有效查殺各類Office文檔中的宏病毒 支持共享文件的病毒查殺；具有未知病毒檢測、清除能力；

2.升級管理

? 依據(jù)策略，全網(wǎng)統(tǒng)一自動升級，不需要人為干涉；

? 增量升級（包括系統(tǒng)中心從網(wǎng)站升級，客戶端從系統(tǒng)中心升級，下級中心；從上級中心升級)，以減少升級時帶來的網(wǎng)絡(luò)流量；可設(shè)置升級周期和升；級時間范圍，實現(xiàn)及時升級并避免升級時占用網(wǎng)絡(luò)帶寬影響用戶正常業(yè)務(wù)的通訊；

? 在與Internet隔離的內(nèi)部網(wǎng)絡(luò)中，提供多種升級方式，包括：自動在線升級、手動升級、下載離線升級包升級等。3.集中管理

支持多級系統(tǒng)中心，并能夠?qū)γ考壪到y(tǒng)中心及所屬客戶端進行統(tǒng)一升級，統(tǒng)一管理；支持多個管理員分組管理；允許管理員通過單一控制臺，集中地實現(xiàn)所有節(jié)點上防毒軟件的監(jiān)控、配置、查詢等管理工作，包括Unix、Linux系統(tǒng)上的第17頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

防（殺）病毒軟件；控制臺可跨網(wǎng)段管理，管理不依賴網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

1.5.7 PKI/CA身份認證平臺

PKI/CA 身份認證平臺通過發(fā)放和維護數(shù)字證書來建立一套信任網(wǎng)絡(luò)，在同一信任網(wǎng)絡(luò)中的用戶通過申請到的數(shù)字證書來完成身份認證和安全處理。PKI 從技術(shù)上解決了網(wǎng)絡(luò)通信安全的種種障礙，CA 從運營、管理、規(guī)范、法律、人員等多個角度來解決了網(wǎng)絡(luò)信任問題。

智慧城市數(shù)據(jù)中心PKI/CA身份認證平臺功能要求如下：

1.5.7.1 CA系統(tǒng)

1.證書管理：包括證書申請、證書下載、證書更新、證書注銷、證書凍結(jié)、證書解凍、證書查詢、證書歸檔；

2.模板管理：包括通用證書模板、簽名證書模板、加密證書模板、設(shè)備證書模板、SSL服務(wù)器證書模塊等，當國家/國際標準表擴展域無法滿足模板要求時，可以使用自定義擴展域OID + 編碼方式 + VALUE自定義模板；

3.審計管理；包括業(yè)務(wù)審計、日志審計等功能，并且支持日志防篡改； 4.支持總CRL、分CRL、增量CRL、支持CRL重疊期，可以根據(jù)模板指定CRL發(fā)布點；

5.系統(tǒng)支持SM2算法及RSA算法。

1.5.7.2 RA系統(tǒng)

1.證書管理；包括證書申請、證書下載、證書查詢、證書更新、證書凍結(jié)、證書解凍、證書注銷、批量申請證書、批量證書審核、批量下載證書；支持批量發(fā)送自動過期證書通知，管理員可以定時自動獲取系統(tǒng)內(nèi)將過期證書通知；

2.用戶管理；包括用戶組管理、添加用戶、修改用戶、刪除用戶、凍結(jié)用戶、解凍用戶、注銷用戶；

3.機構(gòu)管理；包括機構(gòu)信息管理、添加機構(gòu)、修改機構(gòu)、刪除機構(gòu)、導(dǎo)出機構(gòu)、導(dǎo)入機構(gòu)；

第18頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

4.權(quán)限管理；包括業(yè)務(wù)錄入員、審核員、制證員、人事錄入員、審核員、審計管理員；

5.審計管理；包括業(yè)務(wù)審計、日志審計等功能，并且支持日志防篡改； 6.用戶自主服務(wù)；包括自主下載證書、自主更新證書、下載根證書、下載CRL；支持靈活控制的自主服務(wù)模式和可擴展的用戶身份驗證模式；

7.支持直接下載用戶申請成功的證書，并制作到用戶證書載體中，證書載體包括：軟盤、USB Key和IC卡等。

1.5.7.3 KMC系統(tǒng)

KMC系統(tǒng)主要負責(zé)對用戶加密密鑰的產(chǎn)生、存儲、分發(fā)、查詢、注銷、歸檔及恢復(fù)整個生命流程實施管理；密鑰管理中心的功能從整體上來分，主要分為密鑰管理、管理中心結(jié)構(gòu)管理、授權(quán)管理、密鑰恢復(fù)、審計管理功能。

1.5.7.4 目錄服務(wù)系統(tǒng)

1.查詢功能； 2.更新功能； 3.復(fù)制功能； 4.引用功能。

1.5.7.5 用戶屬性管理系統(tǒng)

1.用戶身份管理； 2.用戶屬性管理；

3.下級平臺用戶自主管理及證書申請、下載服務(wù)； 4.查詢服務(wù)； 5.同步服務(wù)。

1.5.7.6 身份認證網(wǎng)關(guān)

1.支持證書身份認證

第19頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

身份認證網(wǎng)關(guān)支持PKI/CA數(shù)字證書認證，包括：用戶數(shù)字證書完整性驗證、CRL更新、OCSP證書校驗、支持多級CA頒發(fā)的證書、支持單雙向認證選擇、支持旁路認證及主路認證多種方式；

2.支持b/s和c/s應(yīng)用；

3.支持數(shù)據(jù)加密及數(shù)據(jù)完整性保護

提供對敏感數(shù)據(jù)進行加密，實現(xiàn)敏感數(shù)據(jù)保密，不被竊?。粚χ匾獦I(yè)務(wù)流程或敏感數(shù)據(jù)進行數(shù)字簽名，簽名結(jié)果作為依據(jù)，實現(xiàn)網(wǎng)絡(luò)行為不被否認；

4.支持訪問控制

支持應(yīng)用維護功能可以配置系統(tǒng)用戶，控制通過驗證的用戶是否可以訪問應(yīng)用系統(tǒng)；

5.支持單點登錄

支持多個應(yīng)用系統(tǒng)之間的單點登錄，即一次登錄，多次使用。用戶通過網(wǎng)關(guān)認證后，系統(tǒng)認證平臺通過Cookie機制維護該用戶的會話信息，用戶登錄應(yīng)用系統(tǒng)時，無需再次認證。極大的簡化了用戶登錄應(yīng)用系統(tǒng)的步驟，使應(yīng)用更加流暢；

6.安全審計及監(jiān)控

對訪問網(wǎng)關(guān)的用戶行為進行詳細記錄，并且對記錄的審查作權(quán)限控制，有效地實現(xiàn)了責(zé)任認定和系統(tǒng)使用情況分析。

對專網(wǎng)整個認證中心建設(shè)中各種PKI/CA設(shè)備、系統(tǒng)、服務(wù)進行有效的集中監(jiān)控與管理，解決PKI體系龐大帶來的難維護、難管理等問題；對證書的發(fā)放以及應(yīng)用訪問的審計。

1.5.8 接入認證系統(tǒng)

接入認證系統(tǒng)實現(xiàn)了基于802.1X的用戶名和密碼的身份認證，并且采用用戶名與接入終端的MAC地址、IP地址、VLAN、接入設(shè)備端口號等信息進行綁定的方式，來保證數(shù)據(jù)中心設(shè)備接入安全。

智慧城市數(shù)據(jù)中心接入認證系統(tǒng)功能要求如下：

1.可支持基于用戶名和密碼的身份認證，并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設(shè)備端口號等信息進行綁定；

第20頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

2.針對用戶終端進行系統(tǒng)狀態(tài)安全檢查，包括應(yīng)用軟件的安裝及使用、病毒庫版本更新、終端補丁檢查、非法外聯(lián)等，并且支持對瑞星、江民、金山、趨勢科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測和聯(lián)動；

3.在用戶終端通過安全檢查后，可以基于用戶的權(quán)限，向安全聯(lián)動組件下發(fā)事先配置的ACL策略，實現(xiàn)分級分權(quán)限的細粒度用戶網(wǎng)絡(luò)行為管理；

4.通過對USB進行監(jiān)控方式，避免重要文件通過移動存儲設(shè)備進行非法拷貝，有效的避免了機密文件的泄露；

5.支持802.1X用戶身份認證，可與主流廠商的交換機實現(xiàn)安全聯(lián)動，強制檢查用戶的安全狀態(tài)，如果不符合要求則無法接入企業(yè)內(nèi)網(wǎng)或只能訪問隔離區(qū)資源，進一步保護企業(yè)內(nèi)網(wǎng)的安全。

1.5.9 安全管理平臺

安全管理平臺的目標是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系，確保整個體系的可追究性。

SOC系統(tǒng)是信息安全保障系統(tǒng)的核心，主要體現(xiàn)在對視頻專網(wǎng)全局掌控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法的及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進行響應(yīng)。SOC充分利用所掌握的空間、時間、知識、能力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障。SOC在設(shè)備管理和安全事件管理方面外，應(yīng)該對公安行業(yè)的制度和工作方式在視頻業(yè)務(wù)流程中得以體現(xiàn)，主要表現(xiàn)為工作流的驅(qū)動，工單的管理，以及處理結(jié)果的反饋。

第21頁

杭州海康威視系統(tǒng)技術(shù)有限公司

第二篇：數(shù)據(jù)中心信息安全法規(guī)辦法

數(shù)據(jù)中心信息安全法規(guī)辦法

為加強數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理，保障數(shù)據(jù)中心的數(shù)據(jù)安全，現(xiàn)依據(jù)國家有關(guān)法律法規(guī)和政策，針對當前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié)，制定本辦法。

一、按照“誰主管誰負責(zé)、誰運行誰負責(zé)”的原則，各部門在其職責(zé)范圍內(nèi)，負責(zé)本單位計算機信息系統(tǒng)的安全和保密管理。

二、各單位應(yīng)當明確一名主要領(lǐng)導(dǎo)負責(zé)計算機信息系統(tǒng)安全和保密工作，指定一個工作機構(gòu)具體負責(zé)計算機信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設(shè)機構(gòu)應(yīng)當指定一名信息安全保密員。

三、要加強對與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡(luò)的管理，采取有效措施，防止違規(guī)接入，防范外部攻擊，并留存互聯(lián)網(wǎng)訪問日志。

四、計算機的使用管理應(yīng)當符合下列要求：

1.對計算機及軟件安裝情況進行登記備案，定期核查；

2.設(shè)置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

3.安裝防病毒等安全防護軟件，并及時進行升級；及時更新操作系統(tǒng)補丁程序；

4.不得安裝、運行、使用與工作無關(guān)的軟件； 5.嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息；

6.嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設(shè)備處理涉密信息；

7.嚴禁將涉密計算機帶到與工作無關(guān)的場所。

五、移動存儲設(shè)備的使用管理應(yīng)當符合下列要求：

1.實行登記管理；

2.移動存儲設(shè)備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設(shè)備不得在非涉密信息系統(tǒng)中使用；

3.移動存儲設(shè)備在接入本單位計算機信息系統(tǒng)之前，應(yīng)當查殺病毒、木馬等惡意代碼；

4.鼓勵采用密碼技術(shù)等對移動存儲設(shè)備中的信息進行保護；

5.嚴禁將涉密存儲設(shè)備帶到與工作無關(guān)的場所。

六、數(shù)據(jù)復(fù)制操作管理應(yīng)當符合下列要求：

1.將互聯(lián)網(wǎng)上的信息復(fù)制到處理內(nèi)部信息的系統(tǒng)時，應(yīng)當采取嚴格的技術(shù)防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播； 2.嚴格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復(fù)制數(shù)據(jù)。確需復(fù)制的，應(yīng)當嚴格按照國家有關(guān)保密標準執(zhí)行；

3.不得使用移動存儲設(shè)備從涉密計算機向非涉密計算機復(fù)制數(shù)據(jù)。確需復(fù)制的，應(yīng)當采取嚴格的保密措施，防止泄密；

4.復(fù)制和傳遞涉密電子文檔，應(yīng)當嚴格按照復(fù)制和傳遞同等密級紙質(zhì)文件的有關(guān)規(guī)定辦理。

七、處理內(nèi)部信息的計算機及相關(guān)設(shè)備在變更用途時，應(yīng)當使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。

八、涉密計算機及相關(guān)設(shè)備不再用于處理涉密信息或不再使用時，應(yīng)當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。

九、加強對計算機使用人員的管理，開展經(jīng)常性的保密教育培訓(xùn)，提高計算機使用人員的安全和保密意識與技能。

十、各單位應(yīng)當與重點崗位的計算機使用人員簽訂安全保密責(zé)任書，明確安全和保密要求與責(zé)任。

十一、計算機使用人員離崗離職，有關(guān)部門應(yīng)當即時取消其計算機信息系統(tǒng)訪問授權(quán)，收回計算機、移動存儲設(shè)備等相關(guān)物品。

十二、各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期開展檢查，發(fā)現(xiàn)問題及時糾正。

十三、定期檢查重點

1.系統(tǒng)安全運行情況。

檢查各個信息系統(tǒng)運行情況。綜合業(yè)務(wù)網(wǎng)絡(luò)殺毒軟件更新、運行情況；外網(wǎng)辦公用計算機病毒查殺情況；操作系統(tǒng)和軟件使用情況是否安全；是否存在內(nèi)外網(wǎng)混用情況；終端機是否開啟安全防護措施。

2.安全管理情況。

A.信息安全主管領(lǐng)導(dǎo)、信息安全管理部門、信息安全工作人員履職以及崗位責(zé)任情況等。

（1）信息安全主管領(lǐng)導(dǎo)明確及工作落實情況。

是否有領(lǐng)導(dǎo)分工等相關(guān)文件，是否明確了信息安全主管領(lǐng)導(dǎo)，檢查信息安全相關(guān)工作批示和會議記錄等文件，了解主管領(lǐng)導(dǎo)工作落實情況。

（2）信息安全管理部門指定及工作落實情況。

檢查部門分工文件，是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件，檢查管理部門工作落實情況。

（3）信息安全工作人員配備及工作落實情況。

檢查人員列表、崗位職責(zé)分工等文件，是否配備了信息安全工作人員。B.日常安全管理制度建立和落實情況。檢查人員管理、設(shè)備管理、運行維護管理情況。（1）人員管理制度。

檢查人員管理制度文件，是否有崗位信息安全責(zé)任，人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。

（2）設(shè)備管理制度。

檢查設(shè)備管理制度等文件。是否有設(shè)備發(fā)放、使用、維修、維護和報廢等相關(guān)制度，是否明確了相關(guān)管理責(zé)任人。硬件設(shè)備登記情況，包括PC機，路由器，交換機及其他主要設(shè)備。檢查《計算機硬件設(shè)備登記簿》。

（3）運行維護管理制度。

檢查是否建立了運行維護管理等相關(guān)制度文件，是否包含事故處理記錄、數(shù)據(jù)維護情況等相關(guān)內(nèi)容。檢查運維操作手冊和運維相關(guān)記錄，檢查是否有事故處理記錄、數(shù)據(jù)維護記錄、運行維護管理制度落實情況及相關(guān)記錄完整性。

3.技術(shù)防護情況。

檢查所有接入互聯(lián)網(wǎng)的計算機設(shè)備是否安裝了最新的殺毒軟件和病毒防火墻，統(tǒng)計網(wǎng)絡(luò)外連的出口個數(shù)，是否每個出口都進行了安全措施。檢查網(wǎng)點路由器、交換機等設(shè)備配置是否合理，是否啟用了有效的身份控制、訪問控制功能。

4.應(yīng)急處理及容災(zāi)備份情況。

重點檢查應(yīng)急預(yù)案、應(yīng)急演練和災(zāi)備措施情況。檢查應(yīng)急預(yù)案制定和修訂情

況。檢查應(yīng)急演練人員對預(yù)案的熟悉程度。檢查冗余設(shè)備情況。

十四、加強整改落實

各部門要切實做好整改工作，對檢查中發(fā)現(xiàn)的問題，要及時進行研究，采取有效措施加以整改。因條件不具備不能立即整改的，要制定整改計劃、整改方案及整改時間表，并采取臨時防范措施，確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運行。要舉一反三，在同類系統(tǒng)、同類設(shè)備中排查類似問題，切實提高信息系統(tǒng)安全防護水平。

十五、加強風(fēng)險控制

各部門在開展安全檢查工作時，要明確相關(guān)工作紀律并嚴格執(zhí)行。要識別檢查中的安全風(fēng)險，周密制定應(yīng)急預(yù)案，強化風(fēng)險控制措施，明確發(fā)生重大安全問題時的處置流程，確保被檢查信息系統(tǒng)的正常運行。

十六、加強保密管理

各單位要高度重視保密工作，指定專人負責(zé)，對檢查活動、檢查實施人員以及相關(guān)文檔和數(shù)據(jù)進行嚴格管理，確保檢查工作中涉及到的商業(yè)秘密得到有效控制；對檢查人員進行保密培訓(xùn)，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結(jié)果不向外透露。

十七、各單位應(yīng)當建立健全政府信息保密審查機制，明確審查的程序和責(zé)任，并明確一名機關(guān)行政負責(zé)人分管保密審查工作，指定機構(gòu)負責(zé)保密審查的日常工作。各單位開展保密審查時應(yīng)履行審查審批手續(xù)。

十八、數(shù)據(jù)中心信息安全保密審查，應(yīng)當以《保密法》及其實施辦法等有關(guān)法律、法規(guī)的規(guī)定及由中央國家機關(guān)和國家保密局制定的《國家秘密及其密級具體范圍的規(guī)定》（以下簡稱《保密范圍》）為依據(jù)。

十九、各單位不得開放涉及國家秘密、商業(yè)秘密、個人隱私的下列政府信息：

1.依照國家保密范圍和定密規(guī)定，明確標識為“秘密”、“機密”、“絕密”的信息；

2.雖未標識，但內(nèi)容涉及國家秘密、商業(yè)秘密、個人隱私的信息； 3.依照規(guī)定需經(jīng)國家和有關(guān)主管部門批準開放，而未獲批準的信息。4.其他開放后可能危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的信息。

二十、各單位的業(yè)務(wù)機構(gòu)在政府信息接入數(shù)據(jù)中心時、審簽時標明是否屬于保密事項；在進行保密審查時，負責(zé)保密審查工作的機構(gòu)和人員應(yīng)當提出“主動公開”、“不予公開”、“依申請開放”等審查意見，并注明其依據(jù)和理由。

二十一、各單位可以在數(shù)據(jù)中心查看本單位的數(shù)據(jù)以及其他單位公開的數(shù)據(jù)；如果要查看需要申請開放的數(shù)據(jù)，需要提出申請，審查通過后即可查看數(shù)據(jù)，審核不通過后不能查看數(shù)據(jù)。數(shù)據(jù)開放的審核及授權(quán)由有關(guān)主管部門或者同級保密工作部門負責(zé)。

二十二、數(shù)據(jù)中心的數(shù)據(jù)由九次方公司保障信息安全。

二十三、不同單位共同形成的政府信息開放給其他單位時，應(yīng)由主辦的單位負責(zé)開放前的保密審查，并以文字形式征得其他機關(guān)單位同意后方可予以開放。二

十四、各單位對政府信息是否可以開放不明確時，在征求政府信息制作或者獲取單位保密組織機構(gòu)的意見后，報有關(guān)主管部門或者同級保密工作部門確定。

二十五、已確定為國家秘密但已超過保密期限并擬開放的政府信息，單位應(yīng)在保密審查確認能夠開放后，按保密規(guī)定辦理解密手續(xù)，再予以開放。二

十六、擬開放的政府信息中含有部分涉密內(nèi)容的，應(yīng)當按照有關(guān)規(guī)定對國家秘密內(nèi)容采取刪除、變更等方式進行非密處理，采取屬于國家秘密的部分不予開放、其余部分開放的方法處理。

二十七、單位及其工作人員有下列情形之一的，應(yīng)當追究政府信息開放工作過錯責(zé)任：

1.未按照規(guī)定的開放范圍和期限主動提供政府信息，以及不及時更新本單位的政府信息的；

2.對應(yīng)當提供的政府信息不提供及提供虛假政府信息的；

3.未建立健全保密審查機制，不履行保密審查義務(wù)的，或者違反政府信息開放工作程序，開放不應(yīng)當開放的政府信息的；

4.違反規(guī)定收取費用或者通過其他組織、個人以有償服務(wù)方式提供政府信息的；

5.違反政府信息開放有關(guān)規(guī)定的其他行為。

違反上述有關(guān)規(guī)定的單位，視情況給予責(zé)令作出書面檢查、通報批評處理。二

十八、無正當理由，在規(guī)定期限內(nèi)不依法履行保密審查職責(zé)，從而影響政府信息發(fā)布的，由監(jiān)察機關(guān)、上一級單位責(zé)令改正；情節(jié)嚴重的，對單位直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。

二十九、單位違反有關(guān)規(guī)定，開放涉及國家秘密的政府信息，造成泄密事件的，依照有關(guān)規(guī)定對單位直接負責(zé)保密審查的主管人員和直接責(zé)任人給予處分；情節(jié)嚴重構(gòu)成犯罪的，按照《刑法》、《保密法》及其實施辦法的有關(guān)規(guī)定，依法追究刑事責(zé)任。

三

十、對違反有關(guān)規(guī)定的單位直接責(zé)任人員、直接負責(zé)的主管人員和主要負責(zé)人，視情追究政府信息開放工作過錯責(zé)任。責(zé)任追究方式為：

1.責(zé)令改正； 2.誡勉談話； 3.責(zé)令作出書面檢查； 4.通報批評； 5.調(diào)離工作崗位。

以上追究方式可以單獨或合并使用；情節(jié)嚴重的，視情給予辭退、責(zé)令辭職或免職處理；需要依法給予處分的，依照《單位公務(wù)員處分條例》予以處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。三

十一、有關(guān)責(zé)任人員包括：

1.不依法履行職責(zé)，對造成的影響或者后果負直接責(zé)任的政府信息開放工作人員；

2.不依法履行職責(zé)，對造成的影響或者后果負直接領(lǐng)導(dǎo)責(zé)任的主管政府信息開放工作的領(lǐng)導(dǎo)；

3.不依法履行職責(zé)，對造成的影響或者后果負全面領(lǐng)導(dǎo)責(zé)任的單位主要領(lǐng)導(dǎo)。

三

十二、政府信息開放工作過錯責(zé)任人有下列情形之一的，應(yīng)當從重處理：

1.推卸、轉(zhuǎn)嫁責(zé)任的；

2.干擾、妨礙調(diào)查處理，或者不采取補救措施，致使損失或者不良影響發(fā)生或者擴大的；

3.造成重大經(jīng)濟損失或者嚴重不良社會影響的； 4.一年內(nèi)出現(xiàn)兩次以上應(yīng)予追究責(zé)任的情形的；

5.打擊、報復(fù)對信息開放工作進行投訴和申訴的公民、法人或其他組織的；

6.不依法履行政府信息開放義務(wù)，被復(fù)議機關(guān)或?qū)徟袡C關(guān)確認違法的； 7.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三

十三、政府信息開放工作過錯責(zé)任人有下列情形之一的，可以從輕或者免予處理：

1.問題或過錯發(fā)生后，主動配合調(diào)查處理的； 2.及時改正錯誤的；

3.主動采取措施，有效避免或者挽回損失，或者有效避免社會不良影響發(fā)生或者擴大的；

4.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三

十四、單位的政府信息開放工作過錯責(zé)任追究，由同級監(jiān)察機關(guān)或其上一級單位實施。監(jiān)察機關(guān)和上一級單位應(yīng)加強溝通協(xié)商，及時對違反規(guī)定的單位作出處理。單位工作人員的政府信息開放工作過錯責(zé)任追究，由本單位負責(zé)，但按照人事管理權(quán)限不屬于本單位管理的除外。政府信息開放工作過錯責(zé)任追究機構(gòu)應(yīng)當依照法律、法規(guī)和管理權(quán)限的有關(guān)規(guī)定，對政府信息開放工作過錯行為進行調(diào)查和處理，必要時可以聯(lián)合調(diào)查處理。

三

十五、實施責(zé)任追究，應(yīng)當充分聽取有關(guān)責(zé)任人員的陳述和申辯。有關(guān)責(zé)任人員對處理決定不服的，可以向作出處理決定的機關(guān)申請復(fù)核，也可以直接向作出處理決定機關(guān)的上一級機關(guān)或者監(jiān)察機關(guān)提出申訴。

第三篇：微軟-政府數(shù)據(jù)中心解決方案

政府數(shù)據(jù)中心解決方案

一、建設(shè)目標

隨著政府運營機構(gòu)的丌斷完善和成熟，各個政府機構(gòu)部門已建立起了自身的電子政務(wù)平臺、數(shù)據(jù)采集、信息共享不 安全等應(yīng)用平臺。不此同時，政府機構(gòu)內(nèi)部每個部門獨特的業(yè)務(wù)結(jié)構(gòu)，和各種有敁信息資源的急劇膨脹，形成了海量的 信息和數(shù)據(jù)。但長期以來，處亍安全保密戒部門利益的需要，政府信息一直處亍封閉戒半封閉的狀態(tài)，造成大量政府信 息資源的閑置和浪費。這些長期積累下來的政府信息資源綜合了社會各方面的信息源，是社會經(jīng)濟活勱丌可缺少的決策 依據(jù)信息和數(shù)據(jù)。

政府信息資源的開發(fā)和利用能力是提高政府決策水平的重要途徑，也是確保工作質(zhì)量和提高工作敁益的關(guān)鍵。因此 合理使用龐大的政府信息資源，為管理出謀劃策，提供準確完備的后臺數(shù)據(jù)支持，就成為制定戓略決策過程中備受重視 的焦點?；∵@種情況，微軟公司針對政府行業(yè)的信息化建設(shè)現(xiàn)狀和發(fā)展趨勢，推出了政府數(shù)據(jù)中心解決方案，旨在協(xié) 劣將政府各職能部門的數(shù)據(jù)源整合（包括公檢法信息庫、工商稅務(wù)信息庫、社會保障信息庫等），從中抽取數(shù)據(jù)并進行 分析、挖掘，向政府人員、廣大企業(yè)、公眾等提供信息服務(wù)。

1.業(yè)務(wù)目標

? 整體規(guī)劃，統(tǒng)一數(shù)據(jù)資料，標準化數(shù)據(jù)格式，避免重復(fù)建設(shè) ? 作為統(tǒng)一的應(yīng)用系統(tǒng)運行的數(shù)據(jù)平臺 ? 增強數(shù)據(jù)中心可擴展性，減輕維護壓力

? 當新增戒者改造子系統(tǒng)時，能方便地接入數(shù)據(jù)中心并同其他系統(tǒng)協(xié)調(diào)工作 ? 確定在現(xiàn)有系統(tǒng)基礎(chǔ)上發(fā)展和過渡

2.技術(shù)目標

? 數(shù)據(jù)定義、數(shù)據(jù)管理和數(shù)據(jù)轉(zhuǎn)換 ? 標準的系統(tǒng)間通訊協(xié)議

?平臺獨立應(yīng)用獨立的自勱化流程管理 ? 安全認證和角色控制 ? 系統(tǒng)管理的方便性 ? 性能、穩(wěn)定性和可擴展性

二、方案概述

微軟政府數(shù)據(jù)中心解決方案，是結(jié)合政府信息化建設(shè)現(xiàn)狀及發(fā)展需求而推出的，使得各政府部門之間的基礎(chǔ)數(shù)據(jù) 共享，讓基礎(chǔ)數(shù)據(jù)發(fā)揮更大的社會價值，使得政府從宏觀上把握經(jīng)濟運行的整體情況。該方案主要實現(xiàn): ? 政府部門之間數(shù)據(jù)的安全、可靠交換和共享，避免數(shù)據(jù)重復(fù)采集，保持各部門基礎(chǔ)數(shù)據(jù)的一致；

? 數(shù)據(jù)的即時整合，并對全局數(shù)據(jù)進行靈活的多維度分析和多樣式展示，為管理層監(jiān)控和決策提供有敁支持微軟政 府數(shù)據(jù)中心解決方案以微軟數(shù)據(jù)庫SQL 2008為核心，配合數(shù)據(jù)交換平臺Biztalk Server2006，形成了數(shù)據(jù)采集和管理中 心。利用SQLServer內(nèi)置的數(shù)據(jù)分析工具和展現(xiàn)工具給政府有關(guān)部門及領(lǐng)導(dǎo)提供深層次的數(shù)據(jù)分析和數(shù)據(jù)挖掘報告。為了保障數(shù)據(jù)中心的安全可靠，微軟利用自身操作系統(tǒng)廠商的能力，圍繞著Windows Server 2008，形成了一套 System Center和Forefront的完美結(jié)合的系統(tǒng)安全管理平臺，丌僅能無縫接入IT架構(gòu)平臺，而丏能夠提高整體架構(gòu)的安 全性和工作敁率，降低管理的復(fù)雜度和成本，真正解決管理不安全問題，同時讓數(shù)據(jù)中心的IT資源得到最佳整合和優(yōu)化。

三、整體架構(gòu)

在政府數(shù)據(jù)中心平臺的建設(shè)中，我們認為主要包括兩個方面，一個是數(shù)據(jù)中心數(shù)據(jù)管理平臺的建設(shè)，另一個是數(shù) 據(jù) 交換平臺的建設(shè)。數(shù)據(jù)管理平臺解決企業(yè)內(nèi)部業(yè)務(wù)數(shù)據(jù)的集中管理、統(tǒng)一規(guī)劃問題，數(shù)據(jù)交換平臺主要解決數(shù)據(jù)管 理平臺不企業(yè)內(nèi)部其它應(yīng)用之間數(shù)據(jù)的交換（數(shù)據(jù)的采集、發(fā)布、流程控制）以及內(nèi)部各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)整合問題。安全接入層基亍ISA Server的多層防火墻技術(shù)，可以保護數(shù)據(jù)中心免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問。首先，在 不Internet連接層建立防火墻，也可以配置成Web緩存服務(wù)器，戒二者兼?zhèn)洌渲饕δ馨ǎ篒nternet防火墻、安全 服務(wù)器發(fā)布、正向Web緩存服務(wù)器、反向Web緩存服務(wù)器、防火墻和Web緩存集成。在數(shù)據(jù)存儲不管理層安裝ISA Server，可以將其配置成防火墻，可以開放限制的數(shù)據(jù)訪問端口，達到安全防護的功能。數(shù)據(jù)展現(xiàn)基亍微軟的MOSS 2007技術(shù)，實現(xiàn)數(shù)據(jù)訪問權(quán)限的統(tǒng)一認證和個性化展現(xiàn)，通過門戶網(wǎng)站向用戶提供所需要的數(shù)據(jù)展現(xiàn)。數(shù)據(jù)采集和交換

數(shù)據(jù)采集用InfoPath 2007，可以直接調(diào)用數(shù)據(jù)庫接口倒入數(shù)據(jù)，也可以通過調(diào)用Web Service 向數(shù)據(jù)集成平臺發(fā)請 求。

基亍微軟的BizTalk Server 2006技術(shù)，可提供應(yīng)用之間的信息交換提供數(shù)據(jù)轉(zhuǎn)換、業(yè)務(wù)流程定義不運行、消息封裝、路由、傳輸?shù)染唧w業(yè)務(wù)服務(wù)。

數(shù)據(jù)信息服務(wù)

采用Content Management Server、Reporting Services、流媒體 Server來實現(xiàn)網(wǎng)站內(nèi)容管理和搜索、數(shù)據(jù)報表 服務(wù)、流媒體服務(wù)。

數(shù)據(jù)存儲不管理 建立政府業(yè)務(wù)數(shù)據(jù)（非結(jié)構(gòu)化數(shù)據(jù)、關(guān)系數(shù)據(jù)和多維數(shù)據(jù)）的物理存儲中心。

安全管理和服務(wù)器運維管理 基亍AD目彔服務(wù)的安全認證體系，實現(xiàn)了如下的特性：數(shù)據(jù)安全性、信息化部門間通信的安全性、信息化部門和

Internet網(wǎng)的單點安全登彔、以及易用和良好擴展性的安全管理。部署一套Microsoft System Center Operations Manager 和 Microsoft System Center Config Manager進行服務(wù)器的運維管理，實時監(jiān)控數(shù)據(jù)中心服務(wù)器的運行情 況，及時的發(fā)現(xiàn)敀障。

四、功能特點

1.數(shù)據(jù)交換平臺

由亍政府各類應(yīng)用系統(tǒng)在應(yīng)用范圍、構(gòu)建方式、系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)資源等方面存在一定的差異，因此需要建立統(tǒng)一的 數(shù)據(jù)交換平臺，采用Web Services技術(shù)，實現(xiàn)政府數(shù)據(jù)中心平臺不各業(yè)務(wù)之間的數(shù)據(jù)交換、各業(yè)務(wù)部門各業(yè)務(wù)系統(tǒng)之間 的統(tǒng)一信息交換，為各部門協(xié)同工作、協(xié)同辦公、各種業(yè)務(wù)系統(tǒng)之間的業(yè)務(wù)整合提供支撐平臺。

數(shù)據(jù)交換平臺采用微軟的BizTalk軟件產(chǎn)品。BizTalk提供多種適配器，從技術(shù)上說，Biztalk適配器丌一定必須運行在 單獨的前置機上，完全可以運行在數(shù)據(jù)交換平臺上。出亍業(yè)務(wù)和部署考慮，同其他部門單位、垂直業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)交 換的時候，從業(yè)務(wù)完整性、維護界定、安全性等考慮，很難允許直接操作原有業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程戒數(shù)據(jù)庫，這時才有 使用前置機的必要。

2.數(shù)據(jù)分析不挖掘平臺

數(shù)據(jù)分析不挖掘平臺的作用就是挖掘出政府隱藏在數(shù)據(jù)間的相互關(guān)系，然后利用歷叱數(shù)據(jù)的相互關(guān)系找出規(guī)律，建立模 型，并用此模型預(yù)測未

來數(shù)據(jù)的種類、特征，最后為領(lǐng)導(dǎo)決策提供依據(jù) 數(shù)據(jù)分析不挖掘平臺提供多維數(shù)據(jù)庫的建立、數(shù)據(jù)分析方法和工具的提供和數(shù)據(jù)轉(zhuǎn)換等功能。

3.數(shù)據(jù)存儲不管理

雖然在政府現(xiàn)有的數(shù)據(jù)源和目標數(shù)據(jù)種類繁多，有關(guān)系型數(shù)據(jù)庫，文本文件、XML文件、平面數(shù)據(jù)庫、Office文檔 等，但我們可以大致歸類為兩種類型的數(shù)據(jù)??結(jié)構(gòu)化的數(shù)據(jù)和非結(jié)構(gòu)化的文檔。因此在數(shù)據(jù)存儲和管理的設(shè)計中，我 們可以利用大型的關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫技術(shù)（多維分析數(shù)據(jù)）建立起企業(yè)級結(jié)構(gòu)化數(shù)據(jù)中心，以及根據(jù)非結(jié)構(gòu)化文 檔的特點建立起企業(yè)級的文檔數(shù)據(jù)管理中心。

結(jié)構(gòu)化數(shù)據(jù)存儲可采用實時/定期/業(yè)務(wù)驅(qū)勱需求的方式，從業(yè)務(wù)系統(tǒng)中通過數(shù)據(jù)交換平臺提取數(shù)據(jù)到數(shù)據(jù)庫中進行存 儲，集中存儲各業(yè)務(wù)系統(tǒng)中共享的代碼和基礎(chǔ)數(shù)據(jù)，保證數(shù)據(jù)在丌同業(yè)務(wù)系統(tǒng)中的統(tǒng)一性和一致性，并根據(jù)業(yè)務(wù)分析的 需要建立起數(shù)據(jù)分析模型，為企業(yè)業(yè)務(wù)分析及輔劣決策服務(wù)。而非結(jié)構(gòu)化數(shù)據(jù)的文檔數(shù)據(jù)存儲和管理，可利用WEB方式 的文檔庫，集中地對政府內(nèi)非結(jié)構(gòu)化的數(shù)據(jù)（如公文等）提供整個信息生命周期的管理。提供對多種格式的文檔進行存 儲和管理、支持文檔(單個/批量)的發(fā)布流程、能夠按丌同分類組織文檔、支持分布的物理存儲和集中的逡輯視圖、提供 基亍角色的訪問權(quán)限控制、提供版本控制、提供文檔搜索和索引功能，能夠?qū)Χ鄠€數(shù)據(jù)源（文檔庫）進行統(tǒng)一的全文檢 索、開放標準的編程接口等功能。

4.數(shù)據(jù)采集平臺

數(shù)據(jù)采集平臺作為政府數(shù)據(jù)中心信息來源，主要仸務(wù)是對來自丌同部門，丌同類型的數(shù)據(jù)進行收集。數(shù)據(jù)采集平臺 提供統(tǒng)一的數(shù)據(jù)采集方式，方便不后臺數(shù)據(jù)集成、數(shù)據(jù)存儲平臺信息通信。

在政府可以定義標準的數(shù)據(jù)采集模板，支持隨時隨地采集（在線、離線），支持標準的采集數(shù)據(jù)存儲方式。在這種 架構(gòu)下，可以直接調(diào)用數(shù)據(jù)庫接口倒入數(shù)據(jù)，也可以通過調(diào)用Web Service 向數(shù)據(jù)集成平臺發(fā)請求。

5.系統(tǒng)管理不運維平臺

在整個數(shù)據(jù)中心建設(shè)中，系統(tǒng)管理不運行維護也非常重要，除軟件的基礎(chǔ)架構(gòu)支持外，服務(wù)器的安全、穩(wěn)定運行也 是數(shù)據(jù)中心安全和穩(wěn)定的基礎(chǔ)。系統(tǒng)管理和運維平臺提供數(shù)據(jù)中心所有服務(wù)器和客戶端機器的補丁下發(fā)和系統(tǒng)運行監(jiān)控。

6.安全體系 整個數(shù)據(jù)中心建立在底層的基礎(chǔ)安全服務(wù)平臺之上，基礎(chǔ)安全服務(wù)平臺作為基本的應(yīng)用安全服務(wù)，丌但提供網(wǎng)絡(luò)防 火墻功能，而丏提供數(shù)字簽名、加/解密，實現(xiàn)各種安全服務(wù)。

7.數(shù)據(jù)中心運維框架

運維管理系統(tǒng)以將數(shù)據(jù)中心管理運行相關(guān)的工作、信息整合在一起，通過合理的分類使得運維管理人員很方便的找 到所需要的信息、日常維護所需工具，從而加快工作敁率。

管理運行門戶中的信息、工具是被權(quán)限保護的。所有使用管理運行門戶的用戶必須經(jīng)過身仹認證，然后系統(tǒng)會根據(jù) 用戶角色、權(quán)限的丌同，提供相應(yīng)的個性化操作界面。即將當前用戶最關(guān)心的、有權(quán)使用的功能、信息，按照用戶的喜 好展現(xiàn)出來。這樣管理運行門戶的用戶可以最方便、快捷的完成相關(guān)的維護工作。

整個運維管理系統(tǒng)以系統(tǒng)維護和業(yè)務(wù)管理為主線，其它功能是保證維護質(zhì)量、提高工作敁率的輔劣手段。系統(tǒng)通過 信息采集模塊，將各種需要監(jiān)控的信息收集起來，然后以各種形式展現(xiàn)給系統(tǒng)管理員。當出現(xiàn)需要處理的事件時，管理 員使用相應(yīng)的管理工具對系統(tǒng)進行管理，從而解決問題，保證系統(tǒng)穩(wěn)定運行。當管理過程中出現(xiàn)疑問戒需要尋求他人幫 劣時，可以通過查詢信息共享中的信息、通過協(xié)調(diào)工具直接和與家進行溝通、參對現(xiàn)有的各種配置信息等多種途徑，迅 速找到解決方案，從而及時、準確的解決問題。

管理運行門戶采用單點登彔（SSO）機制，業(yè)務(wù)管理員只需在門戶進行一次身仹認證過程，隨后可以在仸何子系統(tǒng) 的管理操作臺間無縫切換，各子系統(tǒng)的管理操作臺會根據(jù)用戶的身仹判斷出其在子系統(tǒng)中的管理角色和權(quán)限，然后提供 相應(yīng)的管理能力。當管理員在子系統(tǒng)的管理操作臺間切換時，各管理操作臺會和統(tǒng)一認證、權(quán)限管理子系統(tǒng)進行溝通，自勱實現(xiàn)單點登彔，減少管理人員的操作難度。

為了保證系統(tǒng)維護的質(zhì)量，領(lǐng)導(dǎo)可以通過查看各種統(tǒng)計分析報告對維護人員的維護工作進行審查、監(jiān)督。通過查看 系統(tǒng)運行、業(yè)務(wù)運營情況的分析，發(fā)現(xiàn)可能存在的問題戒趨勢，從而及時制定應(yīng)對措施，保證大連數(shù)據(jù)中心的對外提供 的服務(wù)質(zhì)量。

在 上 述 總 體 設(shè) 計 的 框 架 下，數(shù) 據(jù) 中 心 的 運 維 管 理 系 統(tǒng) 逡 輯 設(shè) 計 可 以 細 化 如 下 ：

五、系統(tǒng)配置

第四篇：浦東數(shù)據(jù)中心-信息安全管理協(xié)議書

信息安全管理協(xié)議書

本單位（或本人）__________________________鄭重承諾：本單位（或本人）在上?？茡裥畔⒖萍加邢?/p>

公司托管的服務(wù)器或網(wǎng)站所從事的業(yè)務(wù)嚴格遵守法律、法規(guī)、規(guī)章及政府部門、行業(yè)協(xié)會、行業(yè)組織的相關(guān)

規(guī)定（包括但不限于：信部電[2005]501號《互聯(lián)網(wǎng)站管理工作細則》、國務(wù)院292號令《互聯(lián)網(wǎng)信息服務(wù)管理

辦法》)，不從事任何違反法規(guī)的行為，不在互聯(lián)網(wǎng)上散布謠言、發(fā)布擾亂社會秩序的信息、不發(fā)布組織或?qū)?/p>

施過激行為的信息、對所屬的網(wǎng)站加強監(jiān)管，發(fā)現(xiàn)違法的相關(guān)內(nèi)容及時進行制止和清理，及時做好網(wǎng)站備案工

作。

上海科擇信息科技有限公司有權(quán)對本單位（或本人）的網(wǎng)站備案和信息內(nèi)容進行監(jiān)管，有權(quán)在發(fā)現(xiàn)本公 司（或本人）托管的服務(wù)器或網(wǎng)站上存在備案問題或非法信息問題時，關(guān)停網(wǎng)站或服務(wù)器；若因本公司（或本 人）監(jiān)管不力，未及時進行網(wǎng)站備案或由于服務(wù)器上存在非法網(wǎng)站、非法信息導(dǎo)致的一切后果（包括但不限于 經(jīng)濟責(zé)任、行政責(zé)任、法律責(zé)任等）由本公司（或本人）自行承擔(dān)，與上?？茡裥畔⒖萍加邢薰緹o關(guān)。

特此承諾！

用戶名稱：（簽名或蓋章）

日期：年月日

第五篇：XX廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案

XX廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案 XX廣電數(shù)據(jù)中心面臨的挑戰(zhàn)

“數(shù)據(jù)中心”建設(shè)是三網(wǎng)融合建設(shè)的重要組成部分，是廣電網(wǎng)絡(luò)運營商進行多業(yè)務(wù)運營轉(zhuǎn)型，提升綜合實力的主要任務(wù)。作為定位在“多業(yè)務(wù)運營平臺”基礎(chǔ)之上的數(shù)據(jù)中心，它不僅作為IDC開展IDC業(yè)務(wù)，還對廣電現(xiàn)有的寬帶接入業(yè)務(wù)、互動

數(shù)字電視視頻業(yè)務(wù)、互動增值業(yè)務(wù)的發(fā)展產(chǎn)生積極作用，同時為廣電的IT支撐系統(tǒng)提供運維保障。當前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是：

1)廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務(wù)大部分在電信和聯(lián)通的IP網(wǎng)內(nèi)，導(dǎo)致廣電巨大的入網(wǎng)流量帶寬成本。需要建設(shè)數(shù)據(jù)中心并部署一定規(guī)模的P2P、WEB應(yīng)用緩存系統(tǒng)，從而盡可能將本地寬帶用戶的內(nèi)容和服務(wù)請求終結(jié)在廣電網(wǎng)內(nèi)。

2)互動數(shù)字高清視頻業(yè)務(wù)是廣電運營商的核心業(yè)務(wù)，其發(fā)展方向是互動、高清、3D，該業(yè)務(wù)不僅需要大量豐富的高清互動視頻媒體資源，同時還需要完善的視頻內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），作為數(shù)據(jù)中心一個業(yè)務(wù)域，對大流量環(huán)境下的高帶寬、高可靠、高穩(wěn)定、易管理、節(jié)能環(huán)保要求較高。

3)IDC業(yè)務(wù)是運營商業(yè)務(wù)領(lǐng)域的重要組成部分，是信息化服務(wù)的趨勢，IDC相關(guān)業(yè)務(wù)除了傳統(tǒng)的系統(tǒng)托管業(yè)務(wù)、服務(wù)器和帶寬等資源租賃業(yè)務(wù)、網(wǎng)絡(luò)安全增值業(yè)務(wù)外，還將面向公眾、企業(yè)等客戶的云計算服務(wù)，承載這些業(yè)務(wù)，完善的數(shù)據(jù)中心基礎(chǔ)設(shè)施是不可或缺的。

4)隨著業(yè)務(wù)的發(fā)展，廣電運營商需要逐步建設(shè)完備的IT支撐系統(tǒng)，包括相關(guān)的業(yè)務(wù)平臺管理系統(tǒng)、內(nèi)部管理系統(tǒng)，現(xiàn)階段大部分的廣電IT支撐系統(tǒng)還處在不斷完善、持續(xù)建設(shè)的階段，如果廣電馬上建設(shè)完善獨立的IT支撐系統(tǒng)數(shù)據(jù)中心將是一種硬件資源、運維資源的潛在浪費，需要將其納入到多業(yè)務(wù)數(shù)據(jù)中心，保障該系統(tǒng)的獨立性和安全隔離，以逐步完善IT支撐系統(tǒng)。

根據(jù)對廣電行業(yè)業(yè)務(wù)對數(shù)據(jù)中心的建設(shè)需求，漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，對數(shù)據(jù)中心網(wǎng)絡(luò)的總體架構(gòu)、網(wǎng)絡(luò)功能、可靠性、安全設(shè)計、服務(wù)質(zhì)量設(shè)計進行了詳細的描述，以指導(dǎo)建設(shè)一個高度可靠、安全、快速、可擴展的數(shù)據(jù)中心網(wǎng)絡(luò)平臺。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

漢柏認為數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標是：在統(tǒng)籌廣電數(shù)據(jù)中心項目業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠期發(fā)展目標，建設(shè)一個高度可靠、安全、快速、可擴展的基礎(chǔ)網(wǎng)絡(luò)平臺，為各項業(yè)務(wù)提供優(yōu)質(zhì)高效的網(wǎng)絡(luò)服務(wù)。數(shù)據(jù)中心業(yè)務(wù)規(guī)劃

廣電數(shù)據(jù)中心網(wǎng)絡(luò)承載的業(yè)務(wù)眾多，可按照業(yè)務(wù)類型初步規(guī)劃如下：

自營交互業(yè)務(wù)????視頻CDN分發(fā)核心交互電視增值系統(tǒng)寬帶和3G終端視頻門戶P2P和WEB緩存廣電多業(yè)務(wù)數(shù)據(jù)中心????云計算業(yè)務(wù)承載網(wǎng)企業(yè)級私有云個人級公有云物聯(lián)網(wǎng)????IDC業(yè)務(wù)大客戶系統(tǒng)托管游戲門戶視頻門戶WEB門戶IT支撐系統(tǒng)運維????多業(yè)務(wù)管理系統(tǒng)計費管理系統(tǒng)用戶管理系統(tǒng)企業(yè)內(nèi)部管理系統(tǒng) 1)自營交互應(yīng)用業(yè)務(wù) 交互應(yīng)用業(yè)務(wù)區(qū)承載了雙向互動點播系統(tǒng)業(yè)務(wù)，是作為廣電運營商“三網(wǎng)融合”的核心業(yè)務(wù)，在業(yè)務(wù)部署模式上采用的是分布式部署，即中央交互服務(wù)器與區(qū)域交互服務(wù)器是邏輯分開的。

2)IDC業(yè)務(wù) 包括大客戶系統(tǒng)托管、游戲門戶、視頻門戶、WEB門戶等業(yè)務(wù)。3)云計算業(yè)務(wù)

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

包括承載網(wǎng)、企業(yè)私有云、個人公有云、物聯(lián)網(wǎng)等業(yè)務(wù)。4)IT支撐系統(tǒng)

包括多業(yè)務(wù)管理系統(tǒng)、計費管理系統(tǒng)、用戶管理系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等業(yè)務(wù)。網(wǎng)絡(luò)架構(gòu)設(shè)計

3.1 設(shè)計原則

廣電數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計原則如下： ? 層次化

廣電數(shù)據(jù)中心網(wǎng)絡(luò)在網(wǎng)絡(luò)層次設(shè)計上分為三層結(jié)構(gòu)，即核心層、匯聚層、接入層。? 區(qū)域化

廣電數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能劃分區(qū)域，各自獨立，分別設(shè)計。? 高可靠性

系統(tǒng)的可靠性是網(wǎng)絡(luò)健壯和穩(wěn)定的重要因素之一，所以對網(wǎng)絡(luò)系統(tǒng)的高可靠性設(shè)計必須全面考慮。? 可擴展性

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用規(guī)模的不斷擴大，網(wǎng)絡(luò)應(yīng)具有平滑擴展的能力，這種擴展不應(yīng)影響原有的應(yīng)用。廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)應(yīng)能夠隨時通過增加網(wǎng)絡(luò)設(shè)備或模塊來擴展、升級整個網(wǎng)絡(luò)系統(tǒng)，同時保證原有設(shè)備的正常使用。

3.2 整體網(wǎng)絡(luò)架構(gòu)

漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法，即：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? 根據(jù)不同的網(wǎng)絡(luò)訪問層次，將數(shù)據(jù)中心網(wǎng)絡(luò)分為：核心層、匯聚層和接入層。? 根據(jù)不同的業(yè)務(wù)功能，將數(shù)據(jù)中心網(wǎng)絡(luò)在功能上分為：交互業(yè)務(wù)區(qū)、IDC業(yè)務(wù)區(qū)、云計算業(yè)務(wù)區(qū)、IT支撐業(yè)務(wù)區(qū)。整體拓撲結(jié)構(gòu)如下：

VOD承載網(wǎng)骨干網(wǎng)核心交換機（外聯(lián)）交互業(yè)務(wù)區(qū)對外防火墻IDC業(yè)務(wù)區(qū)對外防火墻云計算業(yè)務(wù)區(qū)對外防火墻IT支撐業(yè)務(wù)區(qū)對外防火墻交互業(yè)務(wù)區(qū)匯聚交換機IDC業(yè)務(wù)區(qū)匯聚交換機云計算業(yè)務(wù)區(qū)匯聚交換機IT支撐業(yè)務(wù)區(qū)匯聚交換機交互業(yè)務(wù)區(qū)對外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IDC業(yè)務(wù)區(qū)對外接入?yún)^(qū)IDC業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻云計算業(yè)務(wù)區(qū)對外接入?yún)^(qū)云計算業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IT支撐業(yè)務(wù)區(qū)對外接入?yún)^(qū)IT支撐業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入IDC業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入云計算業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入核心交換機（內(nèi)聯(lián)）IT支撐業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點

核心交換區(qū)作為中心連接了各業(yè)務(wù)區(qū)匯聚接入交換機和骨干網(wǎng)、VOD承載網(wǎng)接入路由器，核心與匯聚之間以及核心與廣域網(wǎng)之間采用口字型結(jié)構(gòu)，以保證系統(tǒng)可靠性。

3.3 層次化網(wǎng)絡(luò)架構(gòu)

核心交換區(qū)分外聯(lián)核心交換區(qū)和內(nèi)聯(lián)核心交換區(qū)，各負責(zé)與廣電骨干網(wǎng)和VOD承載網(wǎng)以及其它數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)；作為數(shù)據(jù)中心網(wǎng)絡(luò)的路由中心，與區(qū)域匯聚交換機三層連接，實現(xiàn)整個網(wǎng)絡(luò)各個區(qū)域間的數(shù)據(jù)交換。核心層交換機之間通過兩條萬兆鏈路捆綁漢柏科技有限公司 004km.cn客服熱線：400-706-8366

互聯(lián)，以實現(xiàn)穩(wěn)定可靠的網(wǎng)絡(luò)中心。核心交換機建議采用漢柏萬兆模塊化交換機PT-6600系列交換機，通過萬兆鏈路與匯聚交換機實現(xiàn)互聯(lián)互通。漢柏PT-6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。PT-6600單機提供高達3.2T的交換容量和2381Mpps的轉(zhuǎn)發(fā)能力，可以實現(xiàn)384個千兆或64個萬兆以太網(wǎng)接口的全線速轉(zhuǎn)發(fā)，滿足了數(shù)據(jù)中心的高性能需求；PT-6600支持全方位的安全，通過加強設(shè)備自身的安全特性，提供內(nèi)置的安全模塊等多種方式，滿足了數(shù)據(jù)中心的高安全需求；PT-6600支持不間斷轉(zhuǎn)發(fā)技術(shù)，支持所有模塊的熱插拔，再加上VRRP等冗余備份技術(shù)，滿足了數(shù)據(jù)中心的高可靠需求。漢柏 PT-6600憑借其卓越的性能、全方位的安全以及電信級的可靠性，為數(shù)據(jù)中心建設(shè)提供了堅實可靠的網(wǎng)絡(luò)基礎(chǔ)平臺。匯聚層作為各個區(qū)域數(shù)據(jù)的匯聚中心，分擔(dān)核心層的壓力，為服務(wù)器群對外提供高帶寬出口；要求提供高密度GE/10GE端口實現(xiàn)接入層互聯(lián)；另外充分考慮擴展性需求，我們建議選用漢柏科技公司的PT-6600萬兆交換機作為匯聚，以實現(xiàn)高密度、高性能的服務(wù)器接入。接入層支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比，基于機架考慮，1U設(shè)備更具有靈活部署能力。漢柏PT-3750E系列萬兆路由交換機采用硬件領(lǐng)先的架構(gòu)，可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包，在IPv6方面處于業(yè)界領(lǐng)先的地位。該系列產(chǎn)品全面支持各種單播路由和組播路由協(xié)議以及漢柏科技有限公司獨有的擴展的多項功能，可滿足于大型網(wǎng)絡(luò)的需求。不僅如此，PT-3750E系列交換機還借助芯片級的安全可靠轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持，以及較高的性價比，成為大型網(wǎng)絡(luò)匯聚層和中型網(wǎng)絡(luò)萬兆核心層解決方案的最佳產(chǎn)品。PT-3750E系列萬兆路由交換機是漢柏科技有限公司強力推出的面向大型數(shù)據(jù)中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機，PT-3750E系列交換機支持靈漢柏科技有限公司 004km.cn客服熱線：400-706-8366

活的千兆的雙介質(zhì)光、電組合端口形態(tài)，同時支持高達四個高性能的萬兆擴展，標準的1U高度，滿足匯聚產(chǎn)品向高性能、小型化、節(jié)能環(huán)保發(fā)展的趨勢。在性能和功能方面，PT-3750E系列交換機能夠滿足大型網(wǎng)絡(luò)的組網(wǎng)需求，并具備豐富的智能和安全特性，特別適合于作為大型校園網(wǎng)、企業(yè)網(wǎng)、電子政務(wù)網(wǎng)、城域網(wǎng)的匯聚設(shè)備，以及中小型網(wǎng)絡(luò)的核心設(shè)備。

3.4 區(qū)域化業(yè)務(wù)接入網(wǎng)絡(luò)架構(gòu)

目前應(yīng)用訪問大部分已實現(xiàn)瀏覽器/服務(wù)（簡稱B/S）架構(gòu)，該架構(gòu)要求采用三級服務(wù)器訪問模式，結(jié)合安全和管理方面需求，漢柏建議采用對外接入?yún)^(qū)和應(yīng)用服務(wù)器接入?yún)^(qū)兩個子區(qū)域?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器接入，其網(wǎng)絡(luò)架構(gòu)及流量模型如下：

VOD承載網(wǎng)骨干網(wǎng)交互業(yè)務(wù)區(qū)對外防火墻CS業(yè)務(wù)流交互業(yè)務(wù)區(qū)匯聚交換機CS服務(wù)器交互業(yè)務(wù)區(qū)對外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻SS業(yè)務(wù)流核心交換機（內(nèi)聯(lián)）SS服務(wù)器交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

兩個業(yè)務(wù)子區(qū)域通過交換網(wǎng)絡(luò)的互連，層層的安全保護，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。網(wǎng)絡(luò)功能性設(shè)計

4.1 VLAN設(shè)計

廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)屬于交換網(wǎng)絡(luò)，各業(yè)務(wù)數(shù)據(jù)由VLAN通道進行承載，漢柏建議VLAN設(shè)計分為如下三個部分： ? 設(shè)備管理VLAN ? 設(shè)備間互聯(lián)VLAN ? 業(yè)務(wù)VLAN 由于各業(yè)務(wù)區(qū)域廣播域完全分開，因此對業(yè)務(wù)區(qū)域來說可以獨立進行VLAN設(shè)計，建議VLAN設(shè)計與IP地址設(shè)計統(tǒng)籌考慮，如可以將VLAN編號與IP地址某一位設(shè)計成相同，以利于數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)運行維護。

4.2 IP地址設(shè)計

IP地址設(shè)計分設(shè)備管理地址設(shè)計、互聯(lián)地址設(shè)計、業(yè)務(wù)地址設(shè)計，漢柏認為廣電數(shù)據(jù)中心網(wǎng)絡(luò)IP地址規(guī)劃應(yīng)按如下原則進行：

? IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有效的管理網(wǎng)絡(luò)的問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；

? IP地址的合理分配是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。應(yīng)充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足當前業(yè)務(wù)對IP地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；

? IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要； ? 地址分配是由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各業(yè)務(wù)區(qū)域的地址段； ? IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率； ? 采用CIDR技術(shù)，通過IP地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??； ? 充分合理利用分配的地址空間，提高地址的利用效率；

? IP地址規(guī)劃應(yīng)該是數(shù)據(jù)中心網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。

4.3 路由設(shè)計

考慮到交互應(yīng)用系統(tǒng)內(nèi)Client-to-Server網(wǎng)絡(luò)中服務(wù)器對負載均衡的需求，漢柏建議將Client-to-Server網(wǎng)絡(luò)網(wǎng)關(guān)部署在負載均衡器上，而Server-to-Server網(wǎng)絡(luò)中的服務(wù)器網(wǎng)關(guān)部署在區(qū)域防火墻上，由防火墻實現(xiàn)安全訪問控制。其它業(yè)務(wù)區(qū)域服務(wù)器網(wǎng)關(guān)均部署在匯聚交換機上，防火墻透明部署，并增加安全訪問控制策略。為了實現(xiàn)網(wǎng)關(guān)設(shè)備的動態(tài)切換，漢柏建議為網(wǎng)關(guān)設(shè)備部署VRRP協(xié)議，并疊加BFD for VRRP技術(shù)，實現(xiàn)網(wǎng)關(guān)快速切換。漢柏建議各區(qū)域采用OSPF路由協(xié)議實現(xiàn)互聯(lián)互通，路由策略設(shè)計如下： 1)對于外聯(lián)核心交換機啟用三個OSPF進程，分別與對外接入?yún)R聚交換機、骨干網(wǎng)漢柏科技有限公司 004km.cn客服熱線：400-706-8366

接入路由器、VOD承載網(wǎng)接入路由器建立鄰居，分別學(xué)習(xí)到數(shù)據(jù)中心網(wǎng)絡(luò)路由、骨干網(wǎng)路由及VOD承載網(wǎng)路由，然后將數(shù)據(jù)中心網(wǎng)絡(luò)路由重分布到骨干網(wǎng)和VOD承載網(wǎng)，而骨干網(wǎng)和VOD承載網(wǎng)之間不重分布路由，以防止骨干網(wǎng)用戶能夠訪問VOD承載網(wǎng)數(shù)據(jù)。

2)對于內(nèi)聯(lián)核心交換機啟用兩個進程，分別與應(yīng)用服務(wù)器接入?yún)R聚交換機和其他節(jié)點數(shù)據(jù)中心交換機建立鄰居，在各路由區(qū)域內(nèi)選擇性重分布路由，以控制業(yè)務(wù)區(qū)域服務(wù)器與其它數(shù)據(jù)中心訪問。網(wǎng)絡(luò)可靠性設(shè)計

5.1 設(shè)備級可靠性設(shè)計

本方案采用的漢柏設(shè)備為分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗余設(shè)計，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；采用無源背板設(shè)計，避免機箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務(wù)無影響。漢柏PT系列交換機采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。此外設(shè)備自身的可靠性還可以通過為關(guān)鍵設(shè)備配置冗余部件來實現(xiàn)，如將核心交換機和匯聚交換機配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測設(shè)備均支持雙操作系統(tǒng)，當出現(xiàn)主操作系統(tǒng)不工作時，備操作系統(tǒng)立刻接管主操作系統(tǒng)，保證業(yè)務(wù)不發(fā)生中斷。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

5.2 鏈路級可靠性設(shè)計

漢柏PT-6600及PT-3750E交換機均支持鏈路捆綁技術(shù)，對于核心交換機和匯聚交換機，互聯(lián)鏈路采用了兩條鏈路捆綁，這樣當出現(xiàn)單條鏈路中斷情況時，均可以通過協(xié)議的收斂機制實現(xiàn)數(shù)據(jù)交換無丟包。網(wǎng)絡(luò)互聯(lián)方面，由于采用了OSPF路由協(xié)議，當非捆綁鏈路出現(xiàn)中斷情況時，OSPF協(xié)議將重新計算出新的轉(zhuǎn)發(fā)路徑，保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。同時漢柏PT-6600及PT-3750E交換機均支持BFD技術(shù)，可將OSPF路由協(xié)議的收斂速度由秒級縮減到毫秒級，從而大大提高了整體網(wǎng)絡(luò)的可靠性和應(yīng)用的可用性。網(wǎng)絡(luò)安全設(shè)計

6.1 設(shè)計原則

漢柏認為數(shù)據(jù)中心網(wǎng)絡(luò)安全需遵從如下設(shè)計原則：(1)構(gòu)建分域的控制體系

整個系統(tǒng)安全在總體架構(gòu)上將按照分域保護思路進行，參考IATF信息安全技術(shù)框架，將交互應(yīng)用公共支撐網(wǎng)絡(luò)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)形成單獨的計算環(huán)境、各個安全區(qū)域之間的通道形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；因此方案將從保護計算環(huán)境、保護邊界、保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個層面進行設(shè)計，并通過統(tǒng)一的基礎(chǔ)支撐平臺來實現(xiàn)對基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控制體系。(2)構(gòu)建縱深的防御體系

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

整個系統(tǒng)安全對交互應(yīng)用公共支撐網(wǎng)絡(luò)的通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境，綜合采用訪問控制、入侵檢測、安全審計、防病毒、集中數(shù)據(jù)備份等多種技術(shù)和措施，實現(xiàn)雙向交互業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護，并在此基礎(chǔ)上實現(xiàn)綜合集中的安全管理，并充分考慮各種技術(shù)的組合和功能的互補性，合理利用措施，從外到內(nèi)形成一個縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護能力。

(3)保證一致的安全強度

應(yīng)采用分級的辦法，采取強度一致的安全措施，并采取統(tǒng)一的防護策略，使各安全措施在作用和功能上相互補充，形成動態(tài)的防護體系。在建設(shè)手段上，采取“大平臺”的方式進行建設(shè)，在平臺上實現(xiàn)各個級別信息系統(tǒng)的基本保護，比如多層的邊界防護系統(tǒng)、統(tǒng)一的審計系統(tǒng)，綜合的網(wǎng)管系統(tǒng)，然后在基本保護的基礎(chǔ)上，再根據(jù)各個信息系統(tǒng)的重要程度，采取高強度的保護措施。

(4)實現(xiàn)集中的安全管理

網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。建設(shè)一套覆蓋全面、重點突出、持續(xù)運行的信息安全管理體系，該體系覆蓋信息系統(tǒng)安全所要求的安全技術(shù)和安全運維等內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，可持續(xù)發(fā)展與完善。信息安全管理的目標就是通過采取適當?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄?、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設(shè)集中的安全管理平臺，實現(xiàn)對信息資產(chǎn)、安全事件、安全風(fēng)險、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對安全事件的發(fā)生。(5)系統(tǒng)冗余設(shè)計

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

如何保證數(shù)據(jù)中心對外正常提供服務(wù)是整個數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)的重點，整個系統(tǒng)不應(yīng)只考慮到安全設(shè)備的部署，還要系統(tǒng)的考慮到主干網(wǎng)絡(luò)、分域網(wǎng)絡(luò)、所有應(yīng)用系統(tǒng)的冗余機制，以保證所有業(yè)務(wù)的正常訪問。

(6)提升系統(tǒng)的保障能力

在技術(shù)措施和管理手段建設(shè)的同時，重視信息安全中“人”的重要作用，通過一系列的風(fēng)險評估、安全加固提升系統(tǒng)的安全性，并通過安全培訓(xùn)和安全通告提高歌華有線自身技術(shù)人員的技術(shù)水平，使系統(tǒng)安全保障能力達到行業(yè)內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運行。

6.2 安全域設(shè)計

傳統(tǒng)解決方案中，終端用戶可以訪問自己前端WEB服務(wù)器，同時WEB服務(wù)器可以訪問內(nèi)部應(yīng)用服務(wù)器，這樣存在非常嚴重的安全隱患，一旦前端WEB服務(wù)器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機竊取高等級安全域中的信息數(shù)據(jù)。針對網(wǎng)絡(luò)中可能存在的“肉雞”主機問題，應(yīng)用安全域解決方案通過對用戶主機的認證授權(quán)模式，確?？蛻糁鳈C在同一時間段只能訪問某一個區(qū)域，如訪問對外接入?yún)^(qū)域，則對外接入?yún)^(qū)域服務(wù)器不能訪問其他的安全域中的服務(wù)器，保證了即使被植入木馬的主機，不會被外界控制去訪問其它服務(wù)器資源，從而降低網(wǎng)絡(luò)中信息泄漏的概率。按照區(qū)域的功能和應(yīng)用的不同，漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)劃分為如下三個安全域：

? 外聯(lián)區(qū)；

? 業(yè)務(wù)區(qū)（包括四個子區(qū)）； ? 內(nèi)聯(lián)區(qū)；

各安全域的邊界規(guī)劃如下圖所示：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

外聯(lián)區(qū)交互業(yè)務(wù)區(qū)IDC業(yè)務(wù)區(qū)云計算業(yè)務(wù)區(qū)IT支撐系統(tǒng)業(yè)務(wù)區(qū)內(nèi)聯(lián)區(qū)

安全域邊界規(guī)劃描述如下：

? 外聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域； ? 內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域； ? 各業(yè)務(wù)安全子域?qū)儆诓煌踩颍?/p>

6.3 防火墻系統(tǒng)設(shè)計

為實現(xiàn)安全域邊界防護，需在安全域之間部署防火墻，漢柏建議廣電數(shù)據(jù)中心網(wǎng)絡(luò)防火墻部署方式如下圖：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

VOD承載網(wǎng)骨干網(wǎng)核心交換機（外聯(lián)）交互業(yè)務(wù)區(qū)對外防火墻IDC業(yè)務(wù)區(qū)對外防火墻云計算業(yè)務(wù)區(qū)對外防火墻IT支撐業(yè)務(wù)區(qū)對外防火墻交互業(yè)務(wù)區(qū)匯聚交換機IDC業(yè)務(wù)區(qū)匯聚交換機云計算業(yè)務(wù)區(qū)匯聚交換機IT支撐業(yè)務(wù)區(qū)匯聚交換機交互業(yè)務(wù)區(qū)對外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IDC業(yè)務(wù)區(qū)對外接入?yún)^(qū)IDC業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻云計算業(yè)務(wù)區(qū)對外接入?yún)^(qū)云計算業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IT支撐業(yè)務(wù)區(qū)對外接入?yún)^(qū)IT支撐業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入IDC業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入云計算業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入核心交換機（內(nèi)聯(lián)）IT支撐業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點

建議在外聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏PA-5500-F45超萬兆防火墻，流量較小的內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏PA-5500-F40萬兆防火墻。部署模式建議采用透明方式+安全策略，以達到更高的轉(zhuǎn)發(fā)性能。作為業(yè)界領(lǐng)先的安全防護產(chǎn)品，PA-5500-F45/40具有如下突出特點：

? 專業(yè)的安全防護 PA-5500-F45/40不僅能夠提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能，同時能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口掃描、IP-Spoofing等幾十種常見攻擊。針對嵌入在各種應(yīng)用（郵件、網(wǎng)頁、FTP以及VoIP）中的攻擊、病毒和惡意插件，PA-5500-F45/40能夠在深度識別業(yè)務(wù)類別和用戶行為的前提下，提供基于狀態(tài)監(jiān)測的漢柏科技有限公司 004km.cn客服熱線：400-706-8366

應(yīng)用層網(wǎng)關(guān)功能，結(jié)合強大的入侵檢測機制和防病毒引擎，真正實現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護。? 穩(wěn)定和高性能 PA-5500-F45/40防火墻采用了基于漢柏多個專利技術(shù)的雙安全操作系統(tǒng)，并對數(shù)據(jù)平面和控制平面進行了嚴格的區(qū)分。對數(shù)據(jù)平面中各種需要高性能處理的功能，如地址轉(zhuǎn)換、報文轉(zhuǎn)發(fā)和訪問控制策略進行了細致的優(yōu)化處理；在控制平面上，支持鏈路狀態(tài)信息的倒換機制、分布式應(yīng)用和模塊化的硬件架構(gòu)，同時也對處理資源進行了保護，確保即使在極限網(wǎng)絡(luò)壓力下，PA-5500-F45/40仍然能夠維持平穩(wěn)的工作狀態(tài)。? 萬兆就緒 針對日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸，應(yīng)用的飛速增長帶來了帶寬的提升需求，萬兆接口的應(yīng)用已經(jīng)勢不可擋。同時，數(shù)據(jù)中心對設(shè)備的功耗和體積要求也越來越嚴格，更希望能夠在相同的機架面積里面實現(xiàn)更高密度的連接。借助出色的硬件平臺研發(fā)能力，漢柏科技率先推出了全球第一款在1RU體積上實現(xiàn)萬兆接口的防火墻，憑借突出的功耗控制和效能優(yōu)化，為用戶平滑過渡到萬兆時代提供了最佳選擇。? 內(nèi)置交換芯片 PA-5500-F45/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進的防火墻+交換機的設(shè)計架構(gòu)，采用高性能的千兆交換芯片，提供高達128Gbps的交換容量，不僅能夠?qū)崿F(xiàn)接口之間的L2/L3線速轉(zhuǎn)發(fā)，還同時能夠提供鏈路匯聚(802.3ad)、靈活的VLAN配置以及端口鏡像等功能，內(nèi)置的硬件ACL還能夠配合防火墻，實現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離，提供更為全面的高性能安全接入功能。? 虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護，而對于多個安全域的獨立部署，需要多漢柏科技有限公司 004km.cn客服熱線：400-706-8366

臺防火墻才能實現(xiàn)，這造成了IT資源的極大浪費。PA-5500-F45/40支持虛擬防火墻技術(shù)，能夠在一臺物理防火墻上劃分出多個虛擬防火墻，每一臺虛擬防火墻都能夠?qū)崿F(xiàn)獨立的訪問控制策略、VPN、身份認證和系統(tǒng)管理。同時，系統(tǒng)還能夠?qū)Χ鄠€虛擬防火墻進行統(tǒng)一的配置管理、軟件升級。對于用戶來說，即提高了現(xiàn)有設(shè)備的利用率，又解決了網(wǎng)絡(luò)部署復(fù)雜、擴展性差等問題。? 出色的能效比 PA-5500-F45/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對報文轉(zhuǎn)發(fā)、過濾以及VPN的關(guān)鍵處理進行了深入的優(yōu)化設(shè)計，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對于提高用戶IT資源利用率，降低能耗和節(jié)能減排給予了強有力的支持。

? 精細的流量和業(yè)務(wù)管理 基于專利技術(shù)的流量識別，結(jié)合強大的深度業(yè)務(wù)識別技術(shù)，PowerAegis系列防火墻能夠提供對包括HTTP、Mail、FTP等多種業(yè)務(wù)在內(nèi)的精細化識別，根據(jù)既定的服務(wù)管理策略，對各種應(yīng)用給予不同的差分化對待，確保了關(guān)鍵業(yè)務(wù)的正常運行，即提高了網(wǎng)絡(luò)資源的利用效率和組織的生產(chǎn)效率，又降低了IT總成本和運維的風(fēng)險。

6.4 入侵檢測系統(tǒng)設(shè)計

IDS的部署目的是為了監(jiān)測來自不同網(wǎng)絡(luò)對數(shù)據(jù)中心網(wǎng)絡(luò)的訪問，用以及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并提供有效證據(jù)。制定策略是使用IDS最重要的工作之一，良好的策略不僅可以讓管理員及時捕捉到網(wǎng)絡(luò)上正在發(fā)生的重大危害事件，而且使管理員不致被大量的無用信息所淹沒，減輕工作負擔(dān)。如果是初次使用，對網(wǎng)絡(luò)上存在些什么樣的數(shù)據(jù)流可能不甚明確，這時可以采用包含事件較多的策略集，待運行一段時間后，對網(wǎng)絡(luò)狀況有了基本的了解，再在此策略集的基礎(chǔ)上酌情刪減。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

漢柏建議IDS的部署方式如下圖：

VOD承載網(wǎng)骨干網(wǎng)IDS核心交換機（外聯(lián)）IDS交互業(yè)務(wù)區(qū)辦公業(yè)務(wù)區(qū)綜合業(yè)務(wù)區(qū)管理業(yè)務(wù)區(qū)核心交換機（內(nèi)聯(lián)）IDSIDS

IDS建議采用兩臺漢柏PA-5500-U40旁路部署模式，兩臺IDS分別連接在核心交換機上，將核心交換機連接各業(yè)務(wù)區(qū)域端口的出入流量鏡像到漢柏PA-5500-U40，由漢柏PA-5500-U40進行入侵檢測。漢柏PA-5500-U40主要特點如下： 1)業(yè)界領(lǐng)先的架構(gòu)設(shè)計 ? 業(yè)界最佳的系統(tǒng)架構(gòu) PA-5500-U40采用了控制平面、轉(zhuǎn)發(fā)平面和管理平面嚴格分離的系統(tǒng)架構(gòu)，采用基于硬件ASIC的完成防火墻的所有功能，實現(xiàn)小包64字節(jié)線速的吞吐量，嚴格保障防火墻的轉(zhuǎn)發(fā)性能；對于應(yīng)用層安全，采用高性能的通用處理器，以應(yīng)對實時變化的威脅和應(yīng)用；對于管理數(shù)據(jù)，給予最高優(yōu)先級的處理，即使在應(yīng)用層處理負載較重的時候，仍然能夠輕松對設(shè)備進行管理和配置。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? IronScreen雙安全操作系統(tǒng) PA-5500-U40采用了基于漢柏專利多核技術(shù)的雙安全操作系統(tǒng)，獨創(chuàng)性的提出了基于安全領(lǐng)域在多核上的SMP（對稱多處理）軟件模型，該模型成功的應(yīng)用了阿比達定律，有效的降低串行化執(zhí)行代碼在總執(zhí)行代碼中的比例，極大地發(fā)揮了多核下的并行計算能力。除此之外，PA-5500-U40使用了智能流分類系統(tǒng)，將大量的數(shù)據(jù)流均勻分散在不同的核上進行全流程處理，增加了數(shù)據(jù)Cache的命中率，極大的提高了系統(tǒng)的性能。針對多核軟件設(shè)計大量使用到的鎖，漢柏設(shè)計并實現(xiàn)了自有專利的安全操作系統(tǒng)寫時拷貝機制，使得90%的數(shù)據(jù)流在做并行化處理時都是免鎖的，進一步保障了系統(tǒng)的穩(wěn)定性和可靠性。

2)入侵檢測和防御 PA-5500-U40采用了集成多種檢測機制的高性能掃描引擎，包括特征庫匹配、異常行為分析、協(xié)議檢查等手段，結(jié)合漢柏強大的實時安全服務(wù)，能夠主動識別各種DoS/DDoS攻擊、協(xié)議的變種攻擊、木馬和后門程序，不僅能準確地檢測入侵，實時的阻止惡意的攻擊，并能夠提供豐富完整的日志和定位信息，進行事后溯源工作。

3)Web安全 針對不斷涌現(xiàn)的Web安全，PA-5500-U40也提供了一定程度的防護，不僅包括能夠有效的識別或過濾出嵌入在Web頁面中的Java Applet、Java Script、Cookie和ActiveX等信息，還能夠提供關(guān)鍵字過濾和基于超過4000萬域名的Web頁面分類數(shù)據(jù)庫，幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問，杜絕潛在的威脅。

4)數(shù)據(jù)泄漏防護 PA-5500-U40還提供了精細的數(shù)據(jù)泄漏防護(DLP)功能，支持用戶定義各種規(guī)則的漢柏科技有限公司 004km.cn客服熱線：400-706-8366

關(guān)鍵字和敏感詞，支持包括Email、HTTP、FTP和IM在內(nèi)的各種協(xié)議，對于銀行卡帳號、身份信息、財務(wù)信息等關(guān)鍵數(shù)據(jù)，將其控制在可信網(wǎng)絡(luò)的范圍以內(nèi)，避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補的錯誤。

5)豐富的應(yīng)用支持和管理 PA-5500-U40采用了多重識別技術(shù)，首先基于強大的深度報文檢測和多達1400種的業(yè)界最豐富的協(xié)議庫，對絕大部分的應(yīng)用進行模式匹配；其次采用了啟發(fā)式學(xué)習(xí)和DFI技術(shù)，采用漢柏專利技術(shù)進行深層次的行為挖掘；最后，對偽裝成HTTP報文的應(yīng)用，進行一致性還原比對。在這三重技術(shù)的保障下，將應(yīng)用識別率，提高到遠遠超過了業(yè)界的其他競爭對手的程度。

6)可視化的安全管理 PA-5500-U40提供了豐富的展現(xiàn)功能，提供包括病毒排行、攻擊排行、應(yīng)用帶寬的排行、鏈路帶寬使用情況，在應(yīng)用管理上，可以提供能夠細致到當前用戶的應(yīng)用、占用的帶寬、使用的連接，讓安全管理者對已有的、潛在的和未知的安全威脅，以及網(wǎng)絡(luò)中的各種應(yīng)用和用戶行為，都有著非常豐富的直觀感受，為用戶創(chuàng)造出可視化安全的體驗。

7)實時的病毒庫、攻擊庫、應(yīng)用庫更新 作為安全網(wǎng)關(guān)設(shè)備，如何能夠保證在新的威脅、病毒、攻擊和新的應(yīng)用出現(xiàn)的第一時間，就能夠做到有效的洞悉和控制，不僅考驗產(chǎn)品本身的應(yīng)變能力，更考驗安全廠商支持的力度和深度，以及響應(yīng)的速度。漢柏科技為PA-5500-U40配備了強大的安全服務(wù)團隊，并和國際先進的安全機構(gòu)合作，對不斷涌現(xiàn)的新的病毒、威脅以及應(yīng)用，實時更新到漢柏安全數(shù)據(jù)庫中。目前安全數(shù)據(jù)庫已經(jīng)有20萬條病毒特征、4000多種攻擊特征、1400多種應(yīng)用特征庫，以及70多種分類4000多萬條網(wǎng)頁數(shù)據(jù)庫。

8)簡單易用的配置工具

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

PA-5500-U40集成了業(yè)界最完整的安全功能，但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設(shè)計的核心思想，從產(chǎn)品定義階段就將易用性作為關(guān)鍵指標。PA-5500-U40提供了簡單直觀的Web管理界面和用以高級配置的命令行，可以支持復(fù)雜的策略、協(xié)議作為對象的方式靈活使用；除此之外，提供初始配置向?qū)А?shù)量眾多的場景應(yīng)用指導(dǎo)和設(shè)計工具，既能夠滿足需要簡單配置的用戶，也能夠為專業(yè)的安全管理人員提供全面而直接的配置方法。QoS設(shè)計

7.1 數(shù)據(jù)中心網(wǎng)絡(luò)QoS需求

為了保證數(shù)據(jù)中心關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，建議對應(yīng)用按重要等級進行分類，在網(wǎng)絡(luò)上，實現(xiàn)對不同等級的應(yīng)用提供優(yōu)先權(quán)不同的質(zhì)量服務(wù)。

7.2 QoS策略的制定

? 為了實現(xiàn)端到端業(yè)務(wù)QoS保障，各層網(wǎng)絡(luò)設(shè)備所承擔(dān)的任務(wù)如下： ? 匯聚交換機作為服務(wù)器接入，進行數(shù)據(jù)分類及DSCP標記； ? 核心交換機信任DSCP值,并部署擁塞避免和擁塞管理機制； ? 在統(tǒng)一出口設(shè)備上部署擁塞控制和流量監(jiān)管機制。實施QoS的根本目的是確保網(wǎng)絡(luò)的各類信息能夠及時獲得所需要的網(wǎng)絡(luò)帶寬。針對數(shù)據(jù)中心信息流的內(nèi)容及特點，漢柏建議制定如下的QoS策略: 1)業(yè)務(wù)前端數(shù)據(jù)（主要為WEB服務(wù)）要給予最高優(yōu)先級保證，在任何情況下都要確保業(yè)務(wù)數(shù)據(jù)及時可靠地傳送。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

2)Voice over IP（VoIP）流量占用帶寬不大，但對延遲極為敏感，也給予較高優(yōu)先級保證。

3)IT支撐系統(tǒng)中網(wǎng)管流量，屬于一種數(shù)據(jù)傳輸業(yè)務(wù)，其對延時并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為次高優(yōu)先級。4)其它需要定義為高優(yōu)先級的業(yè)務(wù)。

5)數(shù)據(jù)共享等屬于非業(yè)務(wù)的數(shù)據(jù)流量，其數(shù)據(jù)包最長，對延時并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為普通優(yōu)先級。6)所有未定義的流量則被置為最低優(yōu)先級。漢柏解決方案總結(jié)

? 安全性好

容易明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，可以單獨對每個區(qū)域進行安全實施，不會對其它區(qū)域造成影響。? 擴展性好

可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新業(yè)務(wù)區(qū)，而不改變原有的網(wǎng)絡(luò)結(jié)構(gòu)。? 提高可用性

可以最大限度的隔離故障域，簡化數(shù)據(jù)路徑，加快故障收斂時間。? 易管理

網(wǎng)絡(luò)結(jié)構(gòu)清晰，日常的運維變得更加簡單，問題定位容易。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

About 漢柏—

漢柏（英文：Opzoon）是一家全球領(lǐng)先的行業(yè)深度定制化、智能網(wǎng)絡(luò)設(shè)備和解決方案提供商，是源自硅谷的中國高科技企業(yè)。其海外市場業(yè)務(wù)占據(jù)漢柏95%以上的銷售來源，年復(fù)合增長率超過40%，截止2010年全球銷售額累計10億美金，在全球10多個國家設(shè)立26個辦事處及分公司。

目前，漢柏具有業(yè)界領(lǐng)先的基礎(chǔ)網(wǎng)絡(luò)、安全網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)及云計算等多條產(chǎn)品線及解決方案，業(yè)務(wù)涵蓋眾多領(lǐng)域，包括政府、電信、交通、公安、社保、廣電、教育、金融、智能樓宇、醫(yī)療、酒店等各行業(yè)，并擁有眾多全球成功典范案例客戶。未來，漢柏將在云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等領(lǐng)域持續(xù)加大研發(fā)投入，探索科技創(chuàng)新，致力于成為業(yè)界頂尖的下一代智能網(wǎng)絡(luò)和應(yīng)用解決方案提供商！

漢柏科技有限公司 004km.cn客服熱線：400-706-8366