第一篇：數(shù)據(jù)中心信息安全法規(guī)辦法

數(shù)據(jù)中心信息安全法規(guī)辦法

為加強數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理，保障數(shù)據(jù)中心的數(shù)據(jù)安全，現(xiàn)依據(jù)國家有關法律法規(guī)和政策，針對當前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié)，制定本辦法。

一、按照“誰主管誰負責、誰運行誰負責”的原則，各部門在其職責范圍內(nèi)，負責本單位計算機信息系統(tǒng)的安全和保密管理。

二、各單位應當明確一名主要領導負責計算機信息系統(tǒng)安全和保密工作，指定一個工作機構具體負責計算機信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設機構應當指定一名信息安全保密員。

三、要加強對與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡的管理，采取有效措施，防止違規(guī)接入，防范外部攻擊，并留存互聯(lián)網(wǎng)訪問日志。

四、計算機的使用管理應當符合下列要求：

1.對計算機及軟件安裝情況進行登記備案，定期核查；

2.設置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

3.安裝防病毒等安全防護軟件，并及時進行升級；及時更新操作系統(tǒng)補丁程序；

4.不得安裝、運行、使用與工作無關的軟件； 5.嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息；

6.嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息；

7.嚴禁將涉密計算機帶到與工作無關的場所。

五、移動存儲設備的使用管理應當符合下列要求：

1.實行登記管理；

2.移動存儲設備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設備不得在非涉密信息系統(tǒng)中使用；

3.移動存儲設備在接入本單位計算機信息系統(tǒng)之前，應當查殺病毒、木馬等惡意代碼；

4.鼓勵采用密碼技術等對移動存儲設備中的信息進行保護；

5.嚴禁將涉密存儲設備帶到與工作無關的場所。

六、數(shù)據(jù)復制操作管理應當符合下列要求：

1.將互聯(lián)網(wǎng)上的信息復制到處理內(nèi)部信息的系統(tǒng)時，應當采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播； 2.嚴格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復制數(shù)據(jù)。確需復制的，應當嚴格按照國家有關保密標準執(zhí)行；

3.不得使用移動存儲設備從涉密計算機向非涉密計算機復制數(shù)據(jù)。確需復制的，應當采取嚴格的保密措施，防止泄密；

4.復制和傳遞涉密電子文檔，應當嚴格按照復制和傳遞同等密級紙質(zhì)文件的有關規(guī)定辦理。

七、處理內(nèi)部信息的計算機及相關設備在變更用途時，應當使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。

八、涉密計算機及相關設備不再用于處理涉密信息或不再使用時，應當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。

九、加強對計算機使用人員的管理，開展經(jīng)常性的保密教育培訓，提高計算機使用人員的安全和保密意識與技能。

十、各單位應當與重點崗位的計算機使用人員簽訂安全保密責任書，明確安全和保密要求與責任。

十一、計算機使用人員離崗離職，有關部門應當即時取消其計算機信息系統(tǒng)訪問授權，收回計算機、移動存儲設備等相關物品。

十二、各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期開展檢查，發(fā)現(xiàn)問題及時糾正。

十三、定期檢查重點

1.系統(tǒng)安全運行情況。

檢查各個信息系統(tǒng)運行情況。綜合業(yè)務網(wǎng)絡殺毒軟件更新、運行情況；外網(wǎng)辦公用計算機病毒查殺情況；操作系統(tǒng)和軟件使用情況是否安全；是否存在內(nèi)外網(wǎng)混用情況；終端機是否開啟安全防護措施。

2.安全管理情況。

A.信息安全主管領導、信息安全管理部門、信息安全工作人員履職以及崗位責任情況等。

（1）信息安全主管領導明確及工作落實情況。

是否有領導分工等相關文件，是否明確了信息安全主管領導，檢查信息安全相關工作批示和會議記錄等文件，了解主管領導工作落實情況。

（2）信息安全管理部門指定及工作落實情況。

檢查部門分工文件，是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件，檢查管理部門工作落實情況。

（3）信息安全工作人員配備及工作落實情況。

檢查人員列表、崗位職責分工等文件，是否配備了信息安全工作人員。B.日常安全管理制度建立和落實情況。檢查人員管理、設備管理、運行維護管理情況。（1）人員管理制度。

檢查人員管理制度文件，是否有崗位信息安全責任，人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。

（2）設備管理制度。

檢查設備管理制度等文件。是否有設備發(fā)放、使用、維修、維護和報廢等相關制度，是否明確了相關管理責任人。硬件設備登記情況，包括PC機，路由器，交換機及其他主要設備。檢查《計算機硬件設備登記簿》。

（3）運行維護管理制度。

檢查是否建立了運行維護管理等相關制度文件，是否包含事故處理記錄、數(shù)據(jù)維護情況等相關內(nèi)容。檢查運維操作手冊和運維相關記錄，檢查是否有事故處理記錄、數(shù)據(jù)維護記錄、運行維護管理制度落實情況及相關記錄完整性。

3.技術防護情況。

檢查所有接入互聯(lián)網(wǎng)的計算機設備是否安裝了最新的殺毒軟件和病毒防火墻，統(tǒng)計網(wǎng)絡外連的出口個數(shù)，是否每個出口都進行了安全措施。檢查網(wǎng)點路由器、交換機等設備配置是否合理，是否啟用了有效的身份控制、訪問控制功能。

4.應急處理及容災備份情況。

重點檢查應急預案、應急演練和災備措施情況。檢查應急預案制定和修訂情

況。檢查應急演練人員對預案的熟悉程度。檢查冗余設備情況。

十四、加強整改落實

各部門要切實做好整改工作，對檢查中發(fā)現(xiàn)的問題，要及時進行研究，采取有效措施加以整改。因條件不具備不能立即整改的，要制定整改計劃、整改方案及整改時間表，并采取臨時防范措施，確保網(wǎng)絡與信息系統(tǒng)安全正常運行。要舉一反三，在同類系統(tǒng)、同類設備中排查類似問題，切實提高信息系統(tǒng)安全防護水平。

十五、加強風險控制

各部門在開展安全檢查工作時，要明確相關工作紀律并嚴格執(zhí)行。要識別檢查中的安全風險，周密制定應急預案，強化風險控制措施，明確發(fā)生重大安全問題時的處置流程，確保被檢查信息系統(tǒng)的正常運行。

十六、加強保密管理

各單位要高度重視保密工作，指定專人負責，對檢查活動、檢查實施人員以及相關文檔和數(shù)據(jù)進行嚴格管理，確保檢查工作中涉及到的商業(yè)秘密得到有效控制；對檢查人員進行保密培訓，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結果不向外透露。

十七、各單位應當建立健全政府信息保密審查機制，明確審查的程序和責任，并明確一名機關行政負責人分管保密審查工作，指定機構負責保密審查的日常工作。各單位開展保密審查時應履行審查審批手續(xù)。

十八、數(shù)據(jù)中心信息安全保密審查，應當以《保密法》及其實施辦法等有關法律、法規(guī)的規(guī)定及由中央國家機關和國家保密局制定的《國家秘密及其密級具體范圍的規(guī)定》（以下簡稱《保密范圍》）為依據(jù)。

十九、各單位不得開放涉及國家秘密、商業(yè)秘密、個人隱私的下列政府信息：

1.依照國家保密范圍和定密規(guī)定，明確標識為“秘密”、“機密”、“絕密”的信息；

2.雖未標識，但內(nèi)容涉及國家秘密、商業(yè)秘密、個人隱私的信息； 3.依照規(guī)定需經(jīng)國家和有關主管部門批準開放，而未獲批準的信息。4.其他開放后可能危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的信息。

二十、各單位的業(yè)務機構在政府信息接入數(shù)據(jù)中心時、審簽時標明是否屬于保密事項；在進行保密審查時，負責保密審查工作的機構和人員應當提出“主動公開”、“不予公開”、“依申請開放”等審查意見，并注明其依據(jù)和理由。

二十一、各單位可以在數(shù)據(jù)中心查看本單位的數(shù)據(jù)以及其他單位公開的數(shù)據(jù)；如果要查看需要申請開放的數(shù)據(jù)，需要提出申請，審查通過后即可查看數(shù)據(jù)，審核不通過后不能查看數(shù)據(jù)。數(shù)據(jù)開放的審核及授權由有關主管部門或者同級保密工作部門負責。

二十二、數(shù)據(jù)中心的數(shù)據(jù)由九次方公司保障信息安全。

二十三、不同單位共同形成的政府信息開放給其他單位時，應由主辦的單位負責開放前的保密審查，并以文字形式征得其他機關單位同意后方可予以開放。二

十四、各單位對政府信息是否可以開放不明確時，在征求政府信息制作或者獲取單位保密組織機構的意見后，報有關主管部門或者同級保密工作部門確定。

二十五、已確定為國家秘密但已超過保密期限并擬開放的政府信息，單位應在保密審查確認能夠開放后，按保密規(guī)定辦理解密手續(xù)，再予以開放。二

十六、擬開放的政府信息中含有部分涉密內(nèi)容的，應當按照有關規(guī)定對國家秘密內(nèi)容采取刪除、變更等方式進行非密處理，采取屬于國家秘密的部分不予開放、其余部分開放的方法處理。

二十七、單位及其工作人員有下列情形之一的，應當追究政府信息開放工作過錯責任：

1.未按照規(guī)定的開放范圍和期限主動提供政府信息，以及不及時更新本單位的政府信息的；

2.對應當提供的政府信息不提供及提供虛假政府信息的；

3.未建立健全保密審查機制，不履行保密審查義務的，或者違反政府信息開放工作程序，開放不應當開放的政府信息的；

4.違反規(guī)定收取費用或者通過其他組織、個人以有償服務方式提供政府信息的；

5.違反政府信息開放有關規(guī)定的其他行為。

違反上述有關規(guī)定的單位，視情況給予責令作出書面檢查、通報批評處理。二

十八、無正當理由，在規(guī)定期限內(nèi)不依法履行保密審查職責，從而影響政府信息發(fā)布的，由監(jiān)察機關、上一級單位責令改正；情節(jié)嚴重的，對單位直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

二十九、單位違反有關規(guī)定，開放涉及國家秘密的政府信息，造成泄密事件的，依照有關規(guī)定對單位直接負責保密審查的主管人員和直接責任人給予處分；情節(jié)嚴重構成犯罪的，按照《刑法》、《保密法》及其實施辦法的有關規(guī)定，依法追究刑事責任。

三

十、對違反有關規(guī)定的單位直接責任人員、直接負責的主管人員和主要負責人，視情追究政府信息開放工作過錯責任。責任追究方式為：

1.責令改正； 2.誡勉談話； 3.責令作出書面檢查； 4.通報批評； 5.調(diào)離工作崗位。

以上追究方式可以單獨或合并使用；情節(jié)嚴重的，視情給予辭退、責令辭職或免職處理；需要依法給予處分的，依照《單位公務員處分條例》予以處理；構成犯罪的，依法追究刑事責任。三

十一、有關責任人員包括：

1.不依法履行職責，對造成的影響或者后果負直接責任的政府信息開放工作人員；

2.不依法履行職責，對造成的影響或者后果負直接領導責任的主管政府信息開放工作的領導；

3.不依法履行職責，對造成的影響或者后果負全面領導責任的單位主要領導。

三

十二、政府信息開放工作過錯責任人有下列情形之一的，應當從重處理：

1.推卸、轉(zhuǎn)嫁責任的；

2.干擾、妨礙調(diào)查處理，或者不采取補救措施，致使損失或者不良影響發(fā)生或者擴大的；

3.造成重大經(jīng)濟損失或者嚴重不良社會影響的； 4.一年內(nèi)出現(xiàn)兩次以上應予追究責任的情形的；

5.打擊、報復對信息開放工作進行投訴和申訴的公民、法人或其他組織的；

6.不依法履行政府信息開放義務，被復議機關或?qū)徟袡C關確認違法的； 7.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三

十三、政府信息開放工作過錯責任人有下列情形之一的，可以從輕或者免予處理：

1.問題或過錯發(fā)生后，主動配合調(diào)查處理的； 2.及時改正錯誤的；

3.主動采取措施，有效避免或者挽回損失，或者有效避免社會不良影響發(fā)生或者擴大的；

4.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三

十四、單位的政府信息開放工作過錯責任追究，由同級監(jiān)察機關或其上一級單位實施。監(jiān)察機關和上一級單位應加強溝通協(xié)商，及時對違反規(guī)定的單位作出處理。單位工作人員的政府信息開放工作過錯責任追究，由本單位負責，但按照人事管理權限不屬于本單位管理的除外。政府信息開放工作過錯責任追究機構應當依照法律、法規(guī)和管理權限的有關規(guī)定，對政府信息開放工作過錯行為進行調(diào)查和處理，必要時可以聯(lián)合調(diào)查處理。

三

十五、實施責任追究，應當充分聽取有關責任人員的陳述和申辯。有關責任人員對處理決定不服的，可以向作出處理決定的機關申請復核，也可以直接向作出處理決定機關的上一級機關或者監(jiān)察機關提出申訴。

第二篇：數(shù)據(jù)中心信息安全解決方案

數(shù)據(jù)中心解決方案

（安全）

行業(yè)基線方案

目錄

第 一 章 信息安全保障系統(tǒng).....................................................................3

1.1 系統(tǒng)概述.....................................................................................3 1.2 安全標準.....................................................................................3 1.3 系統(tǒng)架構.....................................................................................4 1.4 系統(tǒng)詳細設計.............................................................................5 1.4.1 計算環(huán)境安全......................................................................5 1.4.2 區(qū)域邊界安全......................................................................7 1.4.3 通信網(wǎng)絡安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全設備及系統(tǒng).......................................................................11 1.5.1 VPN加密系統(tǒng)....................................................................12 1.5.2 入侵防御系統(tǒng)....................................................................12 1.5.3 防火墻系統(tǒng)........................................................................13 1.5.4 安全審計系統(tǒng)....................................................................14 1.5.5 漏洞掃描系統(tǒng)....................................................................15 1.5.6 網(wǎng)絡防病毒系統(tǒng)................................................................17 1.5.7 PKI/CA身份認證平臺......................................................18 1.5.8 接入認證系統(tǒng)....................................................................20

第1頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

1.5.9 安全管理平臺....................................................................21

第2頁杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

第 一 章 信息安全保障系統(tǒng)

1.1 系統(tǒng)概述

信息安全保障系統(tǒng)是集計算環(huán)境安全、安全網(wǎng)絡邊界、通信網(wǎng)絡安全以及安全管理中心于一體的基礎支撐系統(tǒng)。它以網(wǎng)絡基礎設施為依托，為實現(xiàn)各信息系統(tǒng)間的互聯(lián)互通，整合各種資源，提供信息安全上的有力支撐。系統(tǒng)的體系架構如圖所示：

圖1.信息安全保障系統(tǒng)體系架構圖

信息系統(tǒng)安全是保障整個系統(tǒng)安全運行的一整套策略、技術、機制和保障制度，它涵蓋系統(tǒng)的許多方面，一個安全可靠的系統(tǒng)需要多方面因素共同作用。

1.2 安全標準

在數(shù)據(jù)中心建設中，信息系統(tǒng)安全依據(jù)《信息系統(tǒng)等級保護安全設計技術要求》（GB/T 24856-2009）二級防護要求進行設計。該標準依據(jù)國家信息安全等級保護的要求，規(guī)范了信息系統(tǒng)等級保護安全設計技術要求，標準適用于指導信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務機構開展信息系統(tǒng)等級

第3頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

保護安全技術方案的設計和實施，也可作為信息安全職能部門進行監(jiān)督、檢查和指導的依據(jù)。

信息安全等級保護是我國信息安全的基本制度、基本政策、基本方法。已出臺的一系列信息安全等級保護相關法規(guī)、政策文件、國家標準和公共安全行業(yè)標準，為信息安全等級保護工作的開展提供了法律、政策、標準依據(jù)。國家標準《信息安全技術 信息系統(tǒng)等級保護安全設計技術要求》是根據(jù)中國信息安全等級保護的實際需要，按照信息安全等級保護對信息系統(tǒng)安全整改的要求制訂的，對信息系統(tǒng)等級保護安全整改階段技術方案的設計具有指導和參考作用。

1.3 系統(tǒng)架構

智慧城市數(shù)據(jù)中心依據(jù)《信息系統(tǒng)等級保護安全設計技術要求》（GB/T 24856-2009），構建 “一個中心支撐下的三重防御”的安全防護體系。信息安全保障系統(tǒng)總體架構如下圖所示：

信息安全保障體系計算環(huán)境安全身份鑒別訪問控制系統(tǒng)安全審計數(shù)據(jù)安全保護惡意代碼防范邊界完整性保護區(qū)域邊界安全邊界包過濾邊界安全審計邊界惡意代碼防范通信網(wǎng)絡安全通信網(wǎng)絡安全審計通信網(wǎng)絡數(shù)據(jù)傳輸完整性保護通信網(wǎng)絡數(shù)據(jù)傳輸保密性保護管理中心安全安全管理子系統(tǒng)實時監(jiān)控統(tǒng)計分析配置管理日志管理CA子系統(tǒng)認證授權子系統(tǒng)統(tǒng)一用戶管理安全審計子系統(tǒng)網(wǎng)絡安全審計主機安全審計數(shù)據(jù)庫安全審計應用系統(tǒng)安全審計證書管理統(tǒng)一身份認證資源授權管理訪問權限裁決系統(tǒng)管理網(wǎng)絡基礎設施圖2.信息安全保障系統(tǒng)總體架構圖

信息安全保障系統(tǒng)以網(wǎng)絡基礎設施為依托，為整個數(shù)據(jù)中心業(yè)務提供計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡安全、安全管理、安全審計及認證授權等服務。

第4頁

杭州海康威視系統(tǒng)技術有限公司

行業(yè)基線方案

信息安全保障系統(tǒng)的一個中心是指管理中心安全，三重防御是指計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡安全。

計算環(huán)境安全主要提供終端和用戶的身份認證、訪問控制、系統(tǒng)安全審計、惡意代碼防范、接入控制、數(shù)據(jù)安全等安全服務。

區(qū)域邊界安全主要提供網(wǎng)絡邊界身份認證、訪問控制、病毒防御、安全審計、網(wǎng)絡安全隔離與可信交換等安全服務。

通信網(wǎng)絡安全主要提供網(wǎng)絡通信的安全審計、網(wǎng)絡傳輸?shù)臋C密性和完整性等安全服務。

管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認證授權子系統(tǒng)和統(tǒng)一安全審計子系統(tǒng)等，它是系統(tǒng)的安全基礎設施，也是系統(tǒng)的安全管控中心。為整個系統(tǒng)提供統(tǒng)一的系統(tǒng)安全管理、證書服務、認證授權、訪問控制以及統(tǒng)一的安全審計等服務。

1.4 系統(tǒng)詳細設計

1.4.1 計算環(huán)境安全

1.4.1.1 計算環(huán)境安全概述

伴隨著等級保護工作的持續(xù)開展，包括防火墻、安全網(wǎng)關、入侵防御、防病毒等在內(nèi)的安全產(chǎn)品成功地應用到信息系統(tǒng)中，從很大程度上解決了安全問題，增強了信息安全防御能力。但這些大多重在邊界防御，以服務器為核心的計算平臺自身防御水平較低，這在信息系統(tǒng)中埋下了很大的安全隱患。

計算環(huán)境安全針對的是對系統(tǒng)的信息進行存儲、處理及實施安全策略的相關部件，它的重點是為了提高以服務器為核心的計算平臺自身防御水平。數(shù)據(jù)中心的計算環(huán)境安全主要通過部署主機安全防護系統(tǒng)以及使用在管理中心所部署的接入認證系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)等安全防護系統(tǒng)提供的服務，完成終端的身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全保護，惡意代碼防護等一系列功能。計算環(huán)境部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實

第5頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

現(xiàn)協(xié)同防護。

1.4.1.2 計算環(huán)境安全功能要求

1）身份鑒別功能

數(shù)據(jù)中心終端應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標識符標識用戶身份，并確保在系統(tǒng)整個生存周期用戶標識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

2）訪問控制功能

在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應的訪問操作權限，并能將這些權限的部分或全部授予其他用戶。采用基于角色的訪問控制技術，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制，分別制定了不同的訪問控制規(guī)則，訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

3）安全審計功能

提供安全審計機制，記錄系統(tǒng)的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內(nèi)容。該功能應提供審計記錄查詢、分類和存儲保護，并可由安全管理與基礎支撐功能層統(tǒng)一管理。

4）數(shù)據(jù)安全保護功能

采用常規(guī)校驗機制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，可采用密碼等技術支持的保密性保護機制，對在計算環(huán)境安全中存儲和處理的用戶數(shù)據(jù)進行保密性保護。

5）惡意代碼防范功能

安裝防惡意代碼軟件或配置具有相應安全功能的操作系統(tǒng)，并定期進行升級和更新，以提供針對不同操作系統(tǒng)的工作站和服務器的全面惡意代碼防護。不僅能夠抵御病毒，蠕蟲和特洛依木馬，還能抵御新攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，以及針對系統(tǒng)漏洞，并提供保護阻止安全冒險等。

第6頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

1.4.2 區(qū)域邊界安全

1.4.2.1 區(qū)域邊界安全概述

隨著應用系統(tǒng)和通訊網(wǎng)絡結構日漸復雜，異地跨邊界的業(yè)務訪問、移動用戶遠程業(yè)務訪問等復雜的系統(tǒng)需求不斷增多，如何對跨邊界的數(shù)據(jù)進行有效的控制與監(jiān)視已成為越來越關注的焦點，這對系統(tǒng)區(qū)域邊界防護提出了新的挑戰(zhàn)和要求。

區(qū)域邊界安全針對的是對系統(tǒng)的計算環(huán)境安全邊界，以及計算環(huán)境安全與通信網(wǎng)絡安全之間實現(xiàn)連接并實施安全策略的相關部件。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺等安全設備和系統(tǒng)以及使用在管理中心所部署的安全審計系統(tǒng)提供的服務，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。區(qū)域邊界部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實現(xiàn)協(xié)同防護。

1.4.2.2 區(qū)域邊界安全功能要求

1）邊界包過濾功能

提供對數(shù)據(jù)包的進/出網(wǎng)絡接口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務（群組）的訪問過濾與控制功能，對進入或流出的區(qū)域邊界的數(shù)據(jù)進行安全檢查，只允許符合安全安全策略的數(shù)據(jù)包通過，同時對連接網(wǎng)絡的流量、內(nèi)容過濾進行管理。

2）邊界安全審計功能

在區(qū)域邊界設置審計機制，提供對被授權人員和系統(tǒng)的網(wǎng)絡行為進行解析、分析、記錄、匯報的功能，以幫助用戶事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放，保障網(wǎng)絡及系統(tǒng)的正常運行。

3）邊界入侵防范功能

在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。

4）邊界完整性保護功能

第7頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

在區(qū)域邊界設置探測器，可對內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡，以及外部用戶未經(jīng)許可違規(guī)接入內(nèi)部網(wǎng)絡的行為進行檢查和控制。

5）邊界安全隔離與可信數(shù)據(jù)交換功能

可完成指揮信令的雙向流動，以及視頻流單向流入公安信息網(wǎng)的安全隔離與控制，同時，還應可采用兩頭落地的“數(shù)據(jù)交換”模式，實現(xiàn)公安信息通信網(wǎng)與其它網(wǎng)絡間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強度隔離。

1.4.3 通信網(wǎng)絡安全

1.4.3.1 通信網(wǎng)絡安全概述

通信網(wǎng)絡是信息系統(tǒng)的基礎支撐平臺，而如今網(wǎng)絡IP化、設備IT化、應用Web化使信息系統(tǒng)業(yè)務日益開放，業(yè)務安全漏洞更加易于利用。通信網(wǎng)絡的安全保障越來越成為人們關注的重點。

通信網(wǎng)絡安全針對的是對系統(tǒng)計算環(huán)境安全之間進行信息傳輸及實施安全策略的相關部件。數(shù)據(jù)中心的通信網(wǎng)絡安全主要是通過部署入侵防范系統(tǒng)和VPN加密系統(tǒng)等安全設備和系統(tǒng)以及使用管理中心所部署的安全審計系統(tǒng)提供的服務，完成傳輸網(wǎng)絡安全審計、數(shù)據(jù)傳輸完整性與機密性保護等一系列功能。通信網(wǎng)絡安全采用基于商密算法的網(wǎng)絡傳輸安全防護系統(tǒng)（SSL VPN），實現(xiàn)數(shù)據(jù)安全傳輸與安全審計、保障通信兩端的可信接入、保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

1.4.3.2 通信網(wǎng)絡安全功能要求

1）傳輸網(wǎng)絡安全審計功能

提供通信網(wǎng)絡所傳輸數(shù)據(jù)在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息在內(nèi)的審計功能。

2）數(shù)據(jù)傳輸完整性與機密性保護功能

通過在不可信信道上構建安全可靠的虛擬專用網(wǎng)絡，為數(shù)據(jù)傳輸提供機密性和完整性保護、以及數(shù)據(jù)源認證、抗重放攻擊等安全保障，并且支持采用身份認證、訪問控制以及終端安全控制技術，為平聯(lián)工程的內(nèi)部網(wǎng)絡建立安全屏障。

第8頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

1.4.4 管理中心安全

1.4.4.1 管理中心安全概述

安全管理平臺是對定級系統(tǒng)的安全策略及計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡安全上的安全機制實施統(tǒng)一管理的平臺。它是一個集合的概念，其核心的內(nèi)容是實現(xiàn)“集中管理”與“基礎支撐”。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計系統(tǒng)、接入認證系統(tǒng)、PKI/CA身份認證系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺等安全設備和系統(tǒng)，完成證書管理、實時監(jiān)控、統(tǒng)計分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認證、資源授權及訪問控制管理、單點登錄管理、網(wǎng)絡安全審計、主機安全審計、數(shù)據(jù)庫安全審計、應用系統(tǒng)安全審計等一系列功能。

1.4.4.2 管理中心安全功能要求

1）證書管理功能

主要涵蓋數(shù)字證書的申請、審核、簽發(fā)、注銷、更新、查詢等的綜合管理，證書管理應遵循X.509規(guī)范和國家PKI標準，采用成熟的已經(jīng)通過鑒定的服務器密碼機做加、解密及簽名運算，為用戶提供高密級的信息安全服務。

證書管理應不僅能夠提供用戶注冊、審核，密鑰產(chǎn)生、分發(fā)，證書簽發(fā)、制證及發(fā)布等基本功能，還應能為其它應用系統(tǒng)提供證書下載，在線證書狀態(tài)查詢、可信時間等服務，并進行綜合管理，使其它系統(tǒng)能夠更方便的利用電子認證基礎設施實現(xiàn)安全應用。

2）實時監(jiān)控功能

能從總體上對各安全構件提供簡便、易用的導向式監(jiān)控，能從總體上和細節(jié)兩個層面實時把握安全系統(tǒng)整體運行情況。實時監(jiān)控應可按照業(yè)務和資產(chǎn)進行分類，可依據(jù)分類進行簡單、直觀的實時監(jiān)控。

提供邏輯視圖、物理視圖兩種實時監(jiān)控模式和多種不同的圖形化及文字報警方式。提供實時監(jiān)控頁面即時切換，并可對實時監(jiān)控項和圖形化統(tǒng)計項進行自定義布局，完成管理員最關心的實時監(jiān)控和事件統(tǒng)計配置和顯示。

3）統(tǒng)計分析功能

第9頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

提供事件統(tǒng)計，并可將結果生成統(tǒng)計報表?？商峁┝祟A定義統(tǒng)計和自定義統(tǒng)計模式。預定義統(tǒng)計分析主要針對系統(tǒng)自身信息的統(tǒng)計報表，可主要包括事件統(tǒng)計、密鑰統(tǒng)計、設備統(tǒng)計、用戶統(tǒng)計和日志統(tǒng)計五大類。

根據(jù)實際的統(tǒng)計需求，對統(tǒng)計項進行自定義配置。配置后，統(tǒng)計信息可在實時監(jiān)控頁面中實時顯示，也可以通過統(tǒng)計分析進行查看。統(tǒng)計結果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢圖等，并為關聯(lián)分析提供支撐。

4）配置管理功能

能夠?qū)孟到y(tǒng)中的安全設備進行統(tǒng)一配置管理。配置管理應可按照業(yè)務和資產(chǎn)重要程度和管理域的方式對業(yè)務和資產(chǎn)進行統(tǒng)一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業(yè)務和資產(chǎn)信息，并對業(yè)務和資產(chǎn)屬性進行維護。

5）密鑰管理功能

對密鑰全生命周期（產(chǎn)生、存儲、分發(fā)、更新、撤銷、停用、備份和恢復）的統(tǒng)一管理，確保密鑰全生命周期的安全。

6）日志管理功能

使審計員可以通過日志管理對密鑰日志、系統(tǒng)日志進行事后審計和追蹤，作為日志審計的依據(jù)。密鑰日志應主要包括密鑰生成日志和密鑰分發(fā)日志；系統(tǒng)日志應主要包括操作日志、監(jiān)控日志和運行日志。日志管理應可提供強大、完善的日志查詢和檢索功能，滿足審計員對日志的審計和查詢需求。

7）系統(tǒng)管理功能

通過系統(tǒng)管理中配置對系統(tǒng)自身進行各種參數(shù)配置和管理，應主要包括服務器管理、組件管理、監(jiān)控策略管理等。

8）統(tǒng)一用戶管理功能

根據(jù)用戶的數(shù)字證書，提供對用戶的管理功能，包括用戶的主賬號（代表用戶身份的唯一帳號）和從賬號（不同應用系統(tǒng)中的用戶帳號）的對應管理，用戶屬性的統(tǒng)一管理，以及實現(xiàn)用戶整個生命周期管理，包括對人員入職、調(diào)動、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。統(tǒng)一用戶管理應支持分級管理功能。

9）統(tǒng)一身份認證功能

第10頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

基于數(shù)字證書完成用戶與客戶端認證設備之間的認證，實現(xiàn)基于PKI的握手協(xié)議，實現(xiàn)不同系統(tǒng)和設備之間的身份認證有效統(tǒng)一，保護系統(tǒng)訪問的安全性。統(tǒng)一身份認證還應支持多級認證功能。

10）資源授權及訪問控制管理功能

基于數(shù)字證書，并采用基于RBAC的技術，在用戶進行信息系統(tǒng)的資源訪問及使用時，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制。資源授權及訪問控制應支持分級管理功能。

11）單點登錄管理功能

基于數(shù)字證書，使用戶能夠方便地跨越多個站點或安全域?qū)崿F(xiàn)單點登錄，即用戶登錄到網(wǎng)絡以后，便能在安全可靠的前提下，訪問任何應用程序而無需再次進行身份驗證；單點登錄應同時提供針對B/S系統(tǒng)與C/S應用系統(tǒng)的單點登錄功能。

12）網(wǎng)絡安全審計功能

配合網(wǎng)管系統(tǒng)，實現(xiàn)對網(wǎng)絡異常行為及安全事件的審計。13）主機安全審計功能 實現(xiàn)用戶對主機操作行為的審計。14）數(shù)據(jù)庫安全審計功能 實現(xiàn)對數(shù)據(jù)庫操作行為的審計。15）應用系統(tǒng)安全審計功能 實現(xiàn)對應用系統(tǒng)操作行為的審計。

1.5 安全設備及系統(tǒng)

根據(jù)智慧城市的業(yè)務發(fā)展的需要，為保障數(shù)據(jù)中心的計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡安全以及管理中心安全，在數(shù)據(jù)中心建設過程中需要部署VPN加密系統(tǒng)、入侵防御系統(tǒng)、防火墻系統(tǒng)、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、PKI/CA身份認證平臺、接入認證系統(tǒng)、安全管理平臺等安全設備及系統(tǒng)來保障整個數(shù)據(jù)中心系統(tǒng)的安全運行。各安全設備及系統(tǒng)的功能要求如下：

第11頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

1.5.1 VPN加密系統(tǒng)

VPN的身份認證通過LADP協(xié)議可以與認證服務器建立認證關系，也可以與PKI/CA服務器建立聯(lián)系在終端導入證書，VPN 加密技術采用DES、3DES、AES、IDEA、RC4等加密技術，通過上述的加密技術，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡中傳輸安全。

智慧城市數(shù)據(jù)中心VPN加密系統(tǒng)功能要求如下： 1.支持豐富的C/S、B/S應用；

2.支持多種認證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key； 3.證書、證書+口令、雙因子認證等；

4.支持多種終端設備接入(包括window平臺、linux平臺、andriod平臺)； 5.支持IP層隧道模式，支持VoIP； 6.支持多ISP連接；

7.支持統(tǒng)一安全管理系統(tǒng)的統(tǒng)一管理； 8.支持雙機備份和負載均衡； 9.終端安全接入控制； 10.基于角色的訪問控制； 11.完善的信息與狀態(tài)監(jiān)控； 12.支持主機綁定； 13.客戶端安全控制；

14.支持基于用戶的終端安全檢查； 15.支持分支機構的局域網(wǎng)接入。

1.5.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)是一種軟、硬結合的計算機系統(tǒng)，它能通過攻擊特征庫匹配、漏洞機理分析、應用還原重組、網(wǎng)絡異常分析等主要技術實現(xiàn)了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網(wǎng)絡釣魚的泛濫，全面防止拒絕服務攻擊和服務溢出分布式攻擊。

第12頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

智慧城市數(shù)據(jù)中心入侵防御系統(tǒng)功能要求如下：

1.堅固的入侵防御體系：完善的攻擊特征庫；漏洞機理分析技術，精確抵御黑客攻擊、蠕蟲、木馬、后門；應用還原重組技術，抑制間諜軟件、灰色軟件、網(wǎng)絡釣魚的泛濫；網(wǎng)絡異常分析技術，全面防止拒絕服務攻擊；

2.動、靜態(tài)檢測功能：動態(tài)檢測與靜態(tài)檢測融合，基于原理的檢測方法與基于特征的檢測方法并存；

3.網(wǎng)絡防病毒技術：文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫；病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫；

4.防DoS攻擊能力：有效抗拒絕服務攻擊，阻斷絕大多數(shù)的DoS攻擊行為。

1.5.3 防火墻系統(tǒng)

防火墻是傳輸與網(wǎng)絡安全中最基本、最常用的手段之一，防火墻可以實現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡之間的邏輯隔離，達到有效的控制對網(wǎng)絡訪問的作用。防火墻可以做到網(wǎng)絡間的單向訪問需求，過濾一些不安全服務；防火墻可以針對協(xié)議、端號、時間、流量等條件實現(xiàn)安全的訪問控制。防火墻具有很強的記錄日志的功能．可以對不同通信網(wǎng)絡所要求的策略來記錄所有不安會的訪問行為。

智慧城市數(shù)據(jù)中心防火墻系統(tǒng)功能要求如下：

1.攻擊防范能力：能防御DoS/DDoS攻擊（如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑名單、MAC綁定、內(nèi)容過濾等功能；

2.狀態(tài)安全過濾：支持基礎、擴展和基于接口的狀態(tài)檢測包過濾技術；支持應用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對應用層協(xié)議的狀態(tài)監(jiān)控；

3.完善的訪問控制特性：支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網(wǎng)址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制；支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認證等；

第13頁

杭州海康威視系統(tǒng)技術有限公司

行業(yè)基線方案

4.應用層內(nèi)容過濾：可以有效的識別網(wǎng)絡中各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網(wǎng)絡帶寬；支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；

5.NAT應用支持：提供多對

一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、IP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT功能；

6.認證服務：支持本地用戶、RADIUS、TACACS等認證方式。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權限；

7.集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

1.5.4 安全審計系統(tǒng)

安全審計系統(tǒng)是按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。它是記錄與審查用戶操作計算機及網(wǎng)絡系統(tǒng)活動的過程，是提高系統(tǒng)安全性的重要舉措。

智慧城市數(shù)據(jù)中心安全審計系統(tǒng)功能要求如下：

1.敏感行為記錄:支持用戶可基于網(wǎng)絡應用的具體情況，自定義敏感的網(wǎng)絡訪問行為數(shù)據(jù)特征，系統(tǒng)可以根據(jù)策略對于敏感事件實時記錄、顯示和阻斷；

2.特定網(wǎng)絡連接實時監(jiān)視功能：支持用戶通過會話監(jiān)控功能對正在進行的連接會話內(nèi)容進行實時監(jiān)控，并支持手工阻斷、自動阻斷功能；

3.流量審計：支持對IP、TCP、UDP、ICMP、P2P等應用協(xié)議的流量監(jiān)測，提供基于IP地址、用戶組、應用協(xié)議類型、時間、端口等組合流量審計策略；可分析網(wǎng)絡流量最大值、均值、總值、實時流量、TOPN等；

4.網(wǎng)絡管理行為審計：支持TELNET、FTP訪問審計，記錄TELNET、FTP訪問的時間、地址、賬號、命令等信息；對違反審計策略的操作行為實時報警、記錄；

5.互聯(lián)網(wǎng)行為審計：支持對網(wǎng)頁訪問、論壇、即時通訊、在線視頻、P2P

第14頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

下載、網(wǎng)絡游戲、炒股、文件上傳下載等行為進行全面監(jiān)控管理；

6.HTTP協(xié)議審計：中英文URL數(shù)據(jù)庫，超過十種分類，如不良言論、色情暴力等；可過濾非法不良網(wǎng)站，并支持用戶添加自定義URL；支持針對URL、HTTP網(wǎng)頁頁面內(nèi)容、HTTP搜索引擎的關鍵字過濾；

7.SMTP協(xié)議審計：支持SMTP、POP3、WEBMAIL等協(xié)議，支持基于郵箱地址、郵件主題、郵件內(nèi)容、附件名的關鍵字審計策略；針對符合審計策略的事件，提供實時告警、阻斷和信息還原；

8.FTP協(xié)議審計：支持基于IP地址、用戶組、時間、命令關鍵字等組合審計策略，可記錄源IP地址、目的IP地址、帳號、命令及上傳下載文件名等；

9.數(shù)據(jù)庫訪問行為審計:支持對ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等數(shù)據(jù)庫，實時審計用戶對數(shù)據(jù)庫的所有操作（如創(chuàng)建、插入、刪除等），精細還原操作命令，并及時告警響應；

10.Windows遠程訪問行為審計：支持對NETBIOS協(xié)議審計，記錄具體時間、地址、具體操作等；

11.認證審計功能：支持在不修改原系統(tǒng)配置的情況下，對訪問用戶進行基于CA證書的強身份認證，并支持統(tǒng)基于授權認證按訪問者的身份進行為審計；

12.通訊加密：與安全中心間的通信采用強加密傳輸告警日志與控制命令，避免可能存在的嗅探行為，實現(xiàn)了數(shù)據(jù)傳輸?shù)陌踩?/p>

1.5.5 漏洞掃描系統(tǒng)

通過部署漏洞掃描系統(tǒng)，可以對數(shù)據(jù)中心主機服務器系統(tǒng)（LINUX、數(shù)據(jù)庫、UNIX、WINDOWS）、交換機、路由器、防火墻、入侵防御、安全審計、邊界接入平臺等等設備，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。對掃描結果，可以報表和圖形的方式進行分析。實現(xiàn)了隱患掃描、安全評估、脆弱性分析和解決方案。

智慧城市數(shù)據(jù)中心漏洞掃描系統(tǒng)功能要求如下：

1.能夠?qū)W(wǎng)絡（安全）設備、主機系統(tǒng)和應用服務的漏洞進行掃描，指出有關網(wǎng)絡的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告，并針對檢測

第15頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

到的網(wǎng)絡安全隱患給出相應的修補措施和安全建議；

2.漏洞管理功能

漏洞管理的循環(huán)過程劃分為漏洞預警、漏洞分析、漏洞修復、漏洞審計四個階段。

? 漏洞預警：最新的高風險漏洞信息公布之際，在第一時間通過郵件或者電話的方式向用戶進行通告，并且提供相應的預防措施；

? 漏洞分析：對網(wǎng)絡中的資產(chǎn)進行自動發(fā)現(xiàn)，并且按照資產(chǎn)重要性進行分類。再采用業(yè)界權威的風險評估模型對資產(chǎn)的風險進行評估；

? 漏洞修復：提供可操作性很強的漏洞修復方案，同時提供二次開發(fā)接口給第三方的補丁管理產(chǎn)品進行聯(lián)動，方便用戶及時高效地對漏洞進行修復；

? 漏洞審計：通過發(fā)送郵件通知的方式督促相應的安全管理人員對漏洞進行修復，同時啟動定時掃描任務對漏洞進行審計。

3.安全管理功能

? 系統(tǒng)將所發(fā)現(xiàn)的隱患和漏洞依照風險等級進行分類，向用戶發(fā)出不同的警告提示，提交風險評估報告，并給出詳細的解決辦法；

? 系統(tǒng)對可掃描的IP地址進行了嚴格地限定，有效地防止系統(tǒng)被濫用和盜用；

? 掃描數(shù)據(jù)結果與升級包文件采用專用的算法加密，實現(xiàn)掃描漏洞信息的保密性，升級數(shù)據(jù)包的合法來源性；

? 系統(tǒng)具有定時掃描功能，用戶可以定制掃描時間，從而實現(xiàn)自動化掃描，生成報表。

4.策略管理功能

? 系統(tǒng)可定義豐富的掃描策略，包括完全掃描、LINUX、數(shù)據(jù)庫、UNIX、WINDOWS、不含拒絕服務、網(wǎng)絡設備、路由器、防火墻、20大常見漏洞等內(nèi)置策略。實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描；

? 系統(tǒng)針對不同用戶的需求，可定義掃描（端口）范圍、掃描使用的參數(shù)集、掃描并發(fā)主機數(shù)等具體掃描選項，對掃描策略進行合理的組合，更快、更有效地幫助不同用戶構建自己專用的安全策略。

第16頁

杭州海康威視系統(tǒng)技術有限公司

行業(yè)基線方案

1.5.6 網(wǎng)絡防病毒系統(tǒng)

在數(shù)據(jù)中心核心交換上部署一臺網(wǎng)絡防毒服務器對全網(wǎng)制定完善的防病毒策略，實施統(tǒng)一的防病毒策略，使分布在數(shù)據(jù)中心每臺計算機上的防病毒系統(tǒng)實施相同的防病毒策略，全網(wǎng)達到統(tǒng)一的病毒防護強度。同時防毒服務器實時地記錄防護體系內(nèi)每臺計算機上的病毒監(jiān)控、檢測和清除信息，根據(jù)管理員控制臺的設置，實現(xiàn)對整個防護系統(tǒng)的自動控制。

智慧城市數(shù)據(jù)中心網(wǎng)絡防病毒系統(tǒng)功能要求如下：

1.病毒防范和查殺能力：開啟實時監(jiān)控后能完全預防已知病毒的危害；可防范、檢測并清除隱藏于電子郵件、公共文件夾及數(shù)據(jù)庫中的計算機病毒、惡性程序、病毒郵件；能有效預防、查殺映像劫持類型的病毒；可以防范網(wǎng)頁中的惡意代碼；壓縮文件、打包文件查殺毒（在不加密的情況下，不限層數(shù)）；內(nèi)存查殺毒、運行文件查殺毒、引導區(qū)查殺毒；支持圖片、視頻等多媒體文件的查殺毒；郵件接收、發(fā)送檢測；郵件文件靜態(tài)檢測、殺毒；同時支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常見客戶端郵件系統(tǒng)的防（殺）病毒；能夠有效查殺各類Office文檔中的宏病毒 支持共享文件的病毒查殺；具有未知病毒檢測、清除能力；

2.升級管理

? 依據(jù)策略，全網(wǎng)統(tǒng)一自動升級，不需要人為干涉；

? 增量升級（包括系統(tǒng)中心從網(wǎng)站升級，客戶端從系統(tǒng)中心升級，下級中心；從上級中心升級)，以減少升級時帶來的網(wǎng)絡流量；可設置升級周期和升；級時間范圍，實現(xiàn)及時升級并避免升級時占用網(wǎng)絡帶寬影響用戶正常業(yè)務的通訊；

? 在與Internet隔離的內(nèi)部網(wǎng)絡中，提供多種升級方式，包括：自動在線升級、手動升級、下載離線升級包升級等。3.集中管理

支持多級系統(tǒng)中心，并能夠?qū)γ考壪到y(tǒng)中心及所屬客戶端進行統(tǒng)一升級，統(tǒng)一管理；支持多個管理員分組管理；允許管理員通過單一控制臺，集中地實現(xiàn)所有節(jié)點上防毒軟件的監(jiān)控、配置、查詢等管理工作，包括Unix、Linux系統(tǒng)上的第17頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

防（殺）病毒軟件；控制臺可跨網(wǎng)段管理，管理不依賴網(wǎng)絡拓撲結構。

1.5.7 PKI/CA身份認證平臺

PKI/CA 身份認證平臺通過發(fā)放和維護數(shù)字證書來建立一套信任網(wǎng)絡，在同一信任網(wǎng)絡中的用戶通過申請到的數(shù)字證書來完成身份認證和安全處理。PKI 從技術上解決了網(wǎng)絡通信安全的種種障礙，CA 從運營、管理、規(guī)范、法律、人員等多個角度來解決了網(wǎng)絡信任問題。

智慧城市數(shù)據(jù)中心PKI/CA身份認證平臺功能要求如下：

1.5.7.1 CA系統(tǒng)

1.證書管理：包括證書申請、證書下載、證書更新、證書注銷、證書凍結、證書解凍、證書查詢、證書歸檔；

2.模板管理：包括通用證書模板、簽名證書模板、加密證書模板、設備證書模板、SSL服務器證書模塊等，當國家/國際標準表擴展域無法滿足模板要求時，可以使用自定義擴展域OID + 編碼方式 + VALUE自定義模板；

3.審計管理；包括業(yè)務審計、日志審計等功能，并且支持日志防篡改； 4.支持總CRL、分CRL、增量CRL、支持CRL重疊期，可以根據(jù)模板指定CRL發(fā)布點；

5.系統(tǒng)支持SM2算法及RSA算法。

1.5.7.2 RA系統(tǒng)

1.證書管理；包括證書申請、證書下載、證書查詢、證書更新、證書凍結、證書解凍、證書注銷、批量申請證書、批量證書審核、批量下載證書；支持批量發(fā)送自動過期證書通知，管理員可以定時自動獲取系統(tǒng)內(nèi)將過期證書通知；

2.用戶管理；包括用戶組管理、添加用戶、修改用戶、刪除用戶、凍結用戶、解凍用戶、注銷用戶；

3.機構管理；包括機構信息管理、添加機構、修改機構、刪除機構、導出機構、導入機構；

第18頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

4.權限管理；包括業(yè)務錄入員、審核員、制證員、人事錄入員、審核員、審計管理員；

5.審計管理；包括業(yè)務審計、日志審計等功能，并且支持日志防篡改； 6.用戶自主服務；包括自主下載證書、自主更新證書、下載根證書、下載CRL；支持靈活控制的自主服務模式和可擴展的用戶身份驗證模式；

7.支持直接下載用戶申請成功的證書，并制作到用戶證書載體中，證書載體包括：軟盤、USB Key和IC卡等。

1.5.7.3 KMC系統(tǒng)

KMC系統(tǒng)主要負責對用戶加密密鑰的產(chǎn)生、存儲、分發(fā)、查詢、注銷、歸檔及恢復整個生命流程實施管理；密鑰管理中心的功能從整體上來分，主要分為密鑰管理、管理中心結構管理、授權管理、密鑰恢復、審計管理功能。

1.5.7.4 目錄服務系統(tǒng)

1.查詢功能； 2.更新功能； 3.復制功能； 4.引用功能。

1.5.7.5 用戶屬性管理系統(tǒng)

1.用戶身份管理； 2.用戶屬性管理；

3.下級平臺用戶自主管理及證書申請、下載服務； 4.查詢服務； 5.同步服務。

1.5.7.6 身份認證網(wǎng)關

1.支持證書身份認證

第19頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

身份認證網(wǎng)關支持PKI/CA數(shù)字證書認證，包括：用戶數(shù)字證書完整性驗證、CRL更新、OCSP證書校驗、支持多級CA頒發(fā)的證書、支持單雙向認證選擇、支持旁路認證及主路認證多種方式；

2.支持b/s和c/s應用；

3.支持數(shù)據(jù)加密及數(shù)據(jù)完整性保護

提供對敏感數(shù)據(jù)進行加密，實現(xiàn)敏感數(shù)據(jù)保密，不被竊??；對重要業(yè)務流程或敏感數(shù)據(jù)進行數(shù)字簽名，簽名結果作為依據(jù)，實現(xiàn)網(wǎng)絡行為不被否認；

4.支持訪問控制

支持應用維護功能可以配置系統(tǒng)用戶，控制通過驗證的用戶是否可以訪問應用系統(tǒng)；

5.支持單點登錄

支持多個應用系統(tǒng)之間的單點登錄，即一次登錄，多次使用。用戶通過網(wǎng)關認證后，系統(tǒng)認證平臺通過Cookie機制維護該用戶的會話信息，用戶登錄應用系統(tǒng)時，無需再次認證。極大的簡化了用戶登錄應用系統(tǒng)的步驟，使應用更加流暢；

6.安全審計及監(jiān)控

對訪問網(wǎng)關的用戶行為進行詳細記錄，并且對記錄的審查作權限控制，有效地實現(xiàn)了責任認定和系統(tǒng)使用情況分析。

對專網(wǎng)整個認證中心建設中各種PKI/CA設備、系統(tǒng)、服務進行有效的集中監(jiān)控與管理，解決PKI體系龐大帶來的難維護、難管理等問題；對證書的發(fā)放以及應用訪問的審計。

1.5.8 接入認證系統(tǒng)

接入認證系統(tǒng)實現(xiàn)了基于802.1X的用戶名和密碼的身份認證，并且采用用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定的方式，來保證數(shù)據(jù)中心設備接入安全。

智慧城市數(shù)據(jù)中心接入認證系統(tǒng)功能要求如下：

1.可支持基于用戶名和密碼的身份認證，并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定；

第20頁

杭州?？低曄到y(tǒng)技術有限公司

行業(yè)基線方案

2.針對用戶終端進行系統(tǒng)狀態(tài)安全檢查，包括應用軟件的安裝及使用、病毒庫版本更新、終端補丁檢查、非法外聯(lián)等，并且支持對瑞星、江民、金山、趨勢科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測和聯(lián)動；

3.在用戶終端通過安全檢查后，可以基于用戶的權限，向安全聯(lián)動組件下發(fā)事先配置的ACL策略，實現(xiàn)分級分權限的細粒度用戶網(wǎng)絡行為管理；

4.通過對USB進行監(jiān)控方式，避免重要文件通過移動存儲設備進行非法拷貝，有效的避免了機密文件的泄露；

5.支持802.1X用戶身份認證，可與主流廠商的交換機實現(xiàn)安全聯(lián)動，強制檢查用戶的安全狀態(tài)，如果不符合要求則無法接入企業(yè)內(nèi)網(wǎng)或只能訪問隔離區(qū)資源，進一步保護企業(yè)內(nèi)網(wǎng)的安全。

1.5.9 安全管理平臺

安全管理平臺的目標是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系，確保整個體系的可追究性。

SOC系統(tǒng)是信息安全保障系統(tǒng)的核心，主要體現(xiàn)在對視頻專網(wǎng)全局掌控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法的及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進行響應。SOC充分利用所掌握的空間、時間、知識、能力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障。SOC在設備管理和安全事件管理方面外，應該對公安行業(yè)的制度和工作方式在視頻業(yè)務流程中得以體現(xiàn)，主要表現(xiàn)為工作流的驅(qū)動，工單的管理，以及處理結果的反饋。

第21頁

杭州?？低曄到y(tǒng)技術有限公司

第三篇：浦東數(shù)據(jù)中心-信息安全管理協(xié)議書

信息安全管理協(xié)議書

本單位（或本人）__________________________鄭重承諾：本單位（或本人）在上海科擇信息科技有限

公司托管的服務器或網(wǎng)站所從事的業(yè)務嚴格遵守法律、法規(guī)、規(guī)章及政府部門、行業(yè)協(xié)會、行業(yè)組織的相關

規(guī)定（包括但不限于：信部電[2005]501號《互聯(lián)網(wǎng)站管理工作細則》、國務院292號令《互聯(lián)網(wǎng)信息服務管理

辦法》)，不從事任何違反法規(guī)的行為，不在互聯(lián)網(wǎng)上散布謠言、發(fā)布擾亂社會秩序的信息、不發(fā)布組織或?qū)?/p>

施過激行為的信息、對所屬的網(wǎng)站加強監(jiān)管，發(fā)現(xiàn)違法的相關內(nèi)容及時進行制止和清理，及時做好網(wǎng)站備案工

作。

上?？茡裥畔⒖萍加邢薰居袡鄬Ρ締挝唬ɑ虮救耍┑木W(wǎng)站備案和信息內(nèi)容進行監(jiān)管，有權在發(fā)現(xiàn)本公 司（或本人）托管的服務器或網(wǎng)站上存在備案問題或非法信息問題時，關停網(wǎng)站或服務器；若因本公司（或本 人）監(jiān)管不力，未及時進行網(wǎng)站備案或由于服務器上存在非法網(wǎng)站、非法信息導致的一切后果（包括但不限于 經(jīng)濟責任、行政責任、法律責任等）由本公司（或本人）自行承擔，與上?？茡裥畔⒖萍加邢薰緹o關。

特此承諾！

用戶名稱：（簽名或蓋章）

日期：年月日

第四篇：有關信息安全保密的國家法規(guī)

一 有關信息安全保密的國家法規(guī)

1． 中華人民共和國憲法； 2． 中華人民共和國刑法； 3． 中華人民共和國國家安全法； 4． 中華人民共和國國家法實施細則； 5． 中華人民共和國保守國家秘密法； 6． 中華人民共和國保守國家秘密法實施細則；

第五篇：數(shù)據(jù)中心機房安全管理制度

數(shù)據(jù)中心機房安全管理制度

計算機數(shù)據(jù)中心機房是保證醫(yī)院信息系統(tǒng)正常運行的重要場所。為保證機房設備與信息的安全，保障機房有良好的運行環(huán)境和工作秩序，特制定本制度。

1、保證中心機房環(huán)境安全：

每天查看中心機房的溫度和濕度，并記錄；每天聾看UPS日志并記錄，不得在中心機房附近添置強震動、強噪聲、強磁場的設備，定期檢查計算機設備使用電源安全接地情況。

2、實行中心機房準入管理：

中心機房配備門禁止系統(tǒng)，計算機中心工作人員進入需持個人的專用卡刷卡進入。外來人員需得到計算機中心負責人同意，并在相關計算機中心工作人員陪同下方可進入．并作記錄。

3、中心服務器操作系統(tǒng)安全管理：

系統(tǒng)管理員單獨管理系統(tǒng)用戶密碼，并定期更換密碼；離開服務器時技術鎖定機器。第三方需要登陸服務器時，需在計算機中心工作人員全程陪同下進行操作，工作完畢后更換密碼。系統(tǒng)管理員每天查看系統(tǒng)日志，檢查關鍵目錄是否有異常。操作系統(tǒng)版本升級應得到計算機中心負責人同意，并做好記錄。更改系統(tǒng)配置后應及時進行備份，并做好相關文檔存檔。

4、中心數(shù)據(jù)庫系統(tǒng)安全管理：

數(shù)據(jù)庫管理員每天查看數(shù)據(jù)庫的備份，并及時匯報異常。數(shù)據(jù)庫系統(tǒng)參數(shù)調(diào)整、版本升級應得到計算機中心負責人同意．并做好記錄。

5、中心交換機安全管理：

網(wǎng)絡管理員每天查看中心交換機使用情況．并做好記錄。確保備用交換機狀態(tài)正常，備用鏈路完整。

鎮(zhèn)江中西醫(yī)結合醫(yī)院計算機中心

計算機中心管理制度

1、計算機中心是受院長直接領導的、兼具管理職能的技術科室．基本職能是負責醫(yī)院信息化建設的規(guī)劃、實施、運行、維護和管理。

2、醫(yī)院信息化建設的核心內(nèi)容是醫(yī)院信息系統(tǒng)建設。醫(yī)院信化建設適應堅持以需求為導向、以應用促發(fā)展，注重經(jīng)濟實效、技術上適度超前的基本原則，遵循規(guī)劃充分論證、分步實施、試點運行、階段見效、持續(xù)發(fā)展的實施策略。

3、在醫(yī)院信息系統(tǒng)的建設過程中，必須堅持以全院大局為優(yōu)先考慮，在院長的授權下完成信息資源的平衡調(diào)配，避免形成信息孤島，并確保與信息系統(tǒng)相關任務及時、準確、完整的執(zhí)行和完成。

4、為保證醫(yī)院信息化建設的順暢進行，計算機中心爭取院方提供必要的支持條件。包括充足的專業(yè)技術人員配備；符合國家及行業(yè)相關標準的信息處理設備運行環(huán)境和辦公空間；以及滿足醫(yī)院信息化發(fā)展需要的預算資金。

5、計算機中心有貫徹執(zhí)行國家和衛(wèi)生行政管理部門發(fā)布的有關信息化的法律、法規(guī)、標準、政策、條例、規(guī)程和辦法的責任。

6、參照國家和衛(wèi)生行業(yè)的相關標準和規(guī)范，結合醫(yī)院的實際情況，制定相應的管理制度和操作規(guī)程并貫徹執(zhí)行。

7、確立為醫(yī)院醫(yī)療、教學、科研和管理服務的意識，參照信息技術治理的理念和方法，推動信息管理和服務的規(guī)范化。

8、信息工程的立項、審批、實施、驗收應按照相關規(guī)定履行招標、論證手續(xù)．并接受財務和審計部門的監(jiān)督。

9、加強以醫(yī)學信息學為基礎的專業(yè)學科建設．強化對信息中心工作人員的相關專業(yè)技術培訓，提高其分析，解決、處理問題的水平和能力，以為臨床和管理部門提供及時、優(yōu)質(zhì)的信息服務。

鎮(zhèn)江中西醫(yī)結合醫(yī)院計算機中心

計算機中心工作制度

1、遵守國家有關法律規(guī)定，遵守醫(yī)院內(nèi)各項規(guī)章制度，嚴格履行科室崗位職責。

2、嚴格遵守和執(zhí)行醫(yī)院局域網(wǎng)管理規(guī)定，干得向他人泄露自己掌握內(nèi)部管理密碼和管理方法保障網(wǎng)絡安全。

3、監(jiān)督并定期檢查醫(yī)院信息網(wǎng)絡系統(tǒng)的各項工作．加強網(wǎng)絡設備的維護．監(jiān)控網(wǎng)絡運轉(zhuǎn)，保證數(shù)據(jù)暢通運行，做好數(shù)據(jù)備份。

4、做好數(shù)據(jù)統(tǒng)計查詢工作，確保信息的準確性，充分發(fā)揮信息作用，向業(yè)務科室提供信息反饋資料，為決策提供依據(jù)。

5、嚴格遵守科內(nèi)有關規(guī)定，不得私自操作服務器、前置機和交換機等設備．以免影響網(wǎng)絡正常工作。

6、不得在辦公區(qū)隨意接待無關人員．重大情況及時通報。

7、做好信息的保密工作．不得隨意向無關人員提供各種信息（經(jīng)濟、醫(yī)療及其他）。做好充足的準備，隨時應對網(wǎng)絡的突發(fā)事件。

鎮(zhèn)江中西醫(yī)結合醫(yī)院計算機中心