1.安全體系總體設(shè)計(jì) 32.技術(shù)目標(biāo) 63.管理目標(biāo) 64.安全技術(shù)方案 71.網(wǎng)絡(luò)與邊界安全 72.主機(jī)系統(tǒng)安全 73.應(yīng)用安全 84.數(shù)據(jù)安全 85.防火墻設(shè)計(jì) 96.WEB入侵防護(hù)設(shè)計(jì) 7.安全隔離網(wǎng)關(guān)設(shè)計(jì) 5.安全管理方案 1.安全組織體系建設(shè) 2.安全管理制度建設(shè) 3.信息安全管理原則 4.其他管理措施 5.售后服務(wù)內(nèi)容、要求和期限 6.維護(hù)方案 7.技術(shù)培訓(xùn)方案 8.其它 某某軟件管理平臺(tái)，作為云平臺(tái)和大數(shù)據(jù)相結(jié)合的特殊系統(tǒng)平臺(tái)，需要重新設(shè)計(jì)和構(gòu)建大數(shù)據(jù)安全架構(gòu)和開(kāi)放數(shù)據(jù)服務(wù)，從安全設(shè)計(jì)、安全運(yùn)營(yíng)等各個(gè)角度考慮，部署整體的安全解決方案。保障大數(shù)據(jù)計(jì)算過(guò)程、數(shù)據(jù)形態(tài)、應(yīng)用價(jià)值的安全。安全系統(tǒng)建設(shè)的原則，一是必須符合國(guó)家電子政務(wù)安全規(guī)劃及國(guó)家的其他相關(guān)規(guī)定，二是要從平臺(tái)實(shí)際工作需求出發(fā)，建設(shè)既符合要求又滿足實(shí)際需求的安全系統(tǒng)。安全系統(tǒng)建設(shè)的重點(diǎn)是，確保信息的安全，確保業(yè)務(wù)應(yīng)用過(guò)程的安全防護(hù)、身份識(shí)別和管理。安全系統(tǒng)建設(shè)的任務(wù)，需從技術(shù)和管理兩個(gè)方面進(jìn)行安全系統(tǒng)的建設(shè)基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。本項(xiàng)目安全體系結(jié)構(gòu)如下圖所示。證安全策略1-1安全體系結(jié)構(gòu)圖信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級(jí)。系統(tǒng)安全體系應(yīng)用安全根據(jù)等級(jí)保護(hù)相關(guān)管理文件，本項(xiàng)目安全等級(jí)建議定級(jí)為第二級(jí)。本項(xiàng)目的安全設(shè)計(jì)主要包含六個(gè)方面的內(nèi)容：物理與環(huán)境安全、主機(jī)與存儲(chǔ)安全、網(wǎng)絡(luò)安全、虛擬化安全、數(shù)據(jù)安全、應(yīng)用安全等，具體說(shuō)明如下：物理與環(huán)境安全，是指保護(hù)大數(shù)據(jù)平臺(tái)免遭地震、水災(zāi)、火災(zāi)等事故以及人為行為導(dǎo)致的破壞。主要措施包括物理位置的正確選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷、防火、防靜電、防塵、防電磁干擾等。大數(shù)據(jù)平臺(tái)機(jī)房、UPS電源、監(jiān)控等場(chǎng)地設(shè)施和周?chē)h(huán)境及消防安全，嚴(yán)格按照國(guó)家相關(guān)標(biāo)準(zhǔn)，并滿足24小時(shí)不間斷運(yùn)行的要求進(jìn)行設(shè)計(jì)建設(shè)。大數(shù)據(jù)平臺(tái)的主機(jī)包括物理服務(wù)器、虛擬機(jī)，以及安全設(shè)備在內(nèi)的所有計(jì)算機(jī)設(shè)備，主要指它們?cè)诓僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全問(wèn)題主要包括操作系統(tǒng)本身缺陷所帶來(lái)的不安全因素，包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等，操作系統(tǒng)的安全配置問(wèn)題、病毒對(duì)操作系統(tǒng)的威脅等。主機(jī)安全，要求做到身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防御、惡意代碼控制、資源控制等，主要采取的措施和技術(shù)手段包括身份認(rèn)證、主機(jī)安全審計(jì)、主機(jī)入侵防御、主機(jī)防病毒系統(tǒng)等。本項(xiàng)目選擇高端存儲(chǔ)虛擬化平臺(tái)，除了提供最好的性能，擴(kuò)展性，還提供了業(yè)界最高的安全性。通過(guò)存儲(chǔ)虛擬分區(qū)，應(yīng)用主機(jī)安全保護(hù)，SAN安全保護(hù)，數(shù)據(jù)安全與統(tǒng)一容災(zāi)等眾多技術(shù)保障云計(jì)算系統(tǒng)的安全。在網(wǎng)絡(luò)安全方面，主要做到以下幾個(gè)方面的安全防護(hù)，包括網(wǎng)絡(luò)架構(gòu)安全、可采取的主要安全措施和技術(shù)包括防火墻、IPS、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、防病毒、防病毒網(wǎng)關(guān)、強(qiáng)身份認(rèn)證等。此處，特別值得提出的是，拒絕服務(wù)攻擊對(duì)云計(jì)算來(lái)說(shuō)，其風(fēng)險(xiǎn)是非常凸顯的。拒絕服務(wù)攻擊DoS和DDoS不是云服務(wù)所特有的。但是，在云服務(wù)的技術(shù)環(huán)境中，企業(yè)中的關(guān)鍵核心數(shù)據(jù)、服務(wù)來(lái)開(kāi)了企業(yè)網(wǎng)，企業(yè)到云服務(wù)中心。更多的般都會(huì)有3%到7%的數(shù)據(jù)丟失，并且基本難以避免。b、數(shù)據(jù)采集的隱私性問(wèn)對(duì)不同級(jí)別的健康醫(yī)療信息資源進(jìn)行采集https2.技術(shù)目標(biāo)從安全體系上考慮，實(shí)現(xiàn)多種安全技術(shù)或措施的有機(jī)整合，形成一個(gè)整體、動(dòng)態(tài)、實(shí)時(shí)、互動(dòng)的有機(jī)防護(hù)體系。具體包括：1)本地計(jì)算機(jī)安全：主機(jī)系統(tǒng)文件、主機(jī)系統(tǒng)的配置、數(shù)據(jù)結(jié)構(gòu)、業(yè)務(wù)原始數(shù)據(jù)等的保護(hù)。2)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全：網(wǎng)絡(luò)系統(tǒng)安全配置、網(wǎng)絡(luò)系統(tǒng)的非法進(jìn)入和傳輸數(shù)據(jù)的非法竊取和盜用。3)邊界安全：橫向網(wǎng)絡(luò)接入邊界，內(nèi)部局域網(wǎng)不同安全域或子網(wǎng)邊界的保護(hù)。4)業(yè)務(wù)應(yīng)用安全：業(yè)務(wù)系統(tǒng)的安全主要是針對(duì)應(yīng)用層部分。應(yīng)用軟件的設(shè)計(jì)是與其業(yè)務(wù)應(yīng)用模式分不開(kāi)的，同時(shí)也是建立在網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)系統(tǒng)基礎(chǔ)之上的，所以業(yè)務(wù)部分的軟件分發(fā)、用戶管理、權(quán)限管理、終端設(shè)備管理需要充分利用相關(guān)的安全技術(shù)和良好的安全管理機(jī)制。安全建設(shè)管理目標(biāo)就是根據(jù)覆蓋信息系統(tǒng)生命周期的各階段管理域來(lái)建立完善的信息安全管理體系，從而在實(shí)現(xiàn)信息能夠充分共享的基礎(chǔ)上，保障信息及其他資產(chǎn)，保證業(yè)務(wù)的持續(xù)性并使業(yè)務(wù)的損失最小化，具體的目標(biāo)如下：1)定期對(duì)局域網(wǎng)網(wǎng)絡(luò)設(shè)備及服務(wù)器設(shè)備進(jìn)行安全隱患的檢查，確保所有運(yùn)行的網(wǎng)絡(luò)設(shè)備和服務(wù)器的操作系統(tǒng)安裝了最新補(bǔ)丁或修正程序，確保所有網(wǎng)絡(luò)設(shè)備及服務(wù)器設(shè)備的配置安全。2)提供全面風(fēng)險(xiǎn)評(píng)估、安全加固、安全通告、日常安全維護(hù)、安全應(yīng)急響應(yīng)及安全培訓(xùn)服務(wù)。3)對(duì)已有的安全制度，進(jìn)行更加全面的補(bǔ)充和完善。4)應(yīng)明確需要定期修訂的安全管理制度，并指定負(fù)責(zé)人或負(fù)責(zé)部門(mén)負(fù)責(zé)制度的日常維護(hù)。開(kāi)啟2-3層安全防護(hù)功能，完成Internet基礎(chǔ)安全接入，實(shí)現(xiàn)互聯(lián)網(wǎng)接入域的限，提供面向URL的控制能力，提供面向Service的控制能力，提供面向IP的建立基于PKI/CA的安全基礎(chǔ)設(shè)施。通過(guò)信息加密、數(shù)字簽名、身份認(rèn)證等(1)防火墻部署建議(2)防火墻部署作用地址綁定策略：對(duì)于二級(jí)系統(tǒng)，必須采取IPMAC6.WEB入侵防護(hù)設(shè)計(jì)(2)硬件WEB防篡改設(shè)備作用7.安全隔離網(wǎng)關(guān)設(shè)計(jì)內(nèi)部運(yùn)行信息系統(tǒng)的局域網(wǎng)(政務(wù)內(nèi)網(wǎng))上下級(jí)互聯(lián)的廣域網(wǎng)(政務(wù)專(zhuān)網(wǎng))提供信息發(fā)布查詢(xún)等社會(huì)化服務(wù)的國(guó)際互聯(lián)網(wǎng)(外網(wǎng))安全隔離網(wǎng)關(guān)功能性支持高性能的軟硬件處理平臺(tái)：采用先進(jìn)的最新64位多核高性能處理器和高速電信級(jí)設(shè)備高可靠性：可采用N：1虛擬化技術(shù)，將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，完成業(yè)務(wù)備份同時(shí)提高系統(tǒng)整體性能：可采用1：N虛擬化，劃分多濾(ASPF)功能，吞吐量不低于20G,并發(fā)鏈接數(shù)不低于2400萬(wàn)，至少滿足12個(gè)千兆電口，12個(gè)千兆光口，4個(gè)萬(wàn)兆接口的接入，實(shí)現(xiàn)多個(gè)接入?yún)^(qū)域的安全隔全面的應(yīng)用層流量識(shí)別與管理：支持精確檢測(cè)各種P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持精確的P2P流量識(shí)別，以達(dá)到對(duì)P2P流量進(jìn)行管理的目的，同時(shí)可提供不同的控制策略，實(shí)現(xiàn)靈活的P2P流量控制。高精度、高效率的入侵檢測(cè)引擎。基于精確狀態(tài)的全面檢測(cè)引擎，引擎集成多項(xiàng)檢測(cè)技術(shù)，實(shí)現(xiàn)基于精確狀態(tài)的全面檢測(cè)，具有極高的入侵檢測(cè)精度；引擎采用并行檢測(cè)技術(shù)，軟、硬件可靈活適配，大大提高入侵檢測(cè)的效率。實(shí)時(shí)的病毒防護(hù)：采用知名防病毒公司的流引擎查毒技術(shù)，迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。迅捷的URL分類(lèi)過(guò)濾：提供基礎(chǔ)的URL黑白名單過(guò)濾同時(shí)，能夠配置URL分類(lèi)過(guò)濾服務(wù)器在線查詢(xún)。IPv6狀態(tài)防火墻：實(shí)現(xiàn)真正意義上實(shí)現(xiàn)IPv6條件下的防火墻功能，同時(shí)完集成鏈路負(fù)載均衡特性：通過(guò)鏈路狀態(tài)檢測(cè)、鏈路繁忙保護(hù)等技術(shù)，有效實(shí)現(xiàn)出口的多鏈路自動(dòng)均衡和自動(dòng)切換。集成SSLVPN特性：滿足移動(dòng)辦公、出差的安全訪問(wèn)需求，可結(jié)合USB-Key、短信進(jìn)行移動(dòng)用戶的身份認(rèn)證，與原有認(rèn)證系統(tǒng)相結(jié)合、實(shí)現(xiàn)一體化的認(rèn)證接入。DLP基礎(chǔ)功能支持：支持郵件過(guò)濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容支持應(yīng)用層過(guò)濾，提供Java/ActiveXBlocking和SQL注入攻擊防范。為實(shí)現(xiàn)統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理的原則，安全管理必須設(shè)立專(zhuān)門(mén)的管理機(jī)構(gòu)，配備相對(duì)應(yīng)的安全管理人員，并實(shí)行“第一把手”責(zé)任制。系統(tǒng)的安全管理機(jī)構(gòu)，將根據(jù)國(guó)家的有關(guān)信息網(wǎng)絡(luò)安全的法規(guī)、方針、政策等，承擔(dān)所屬系統(tǒng)的各項(xiàng)安全管理工作，具體為：1)擬定并組織實(shí)施所屬計(jì)算機(jī)信息系統(tǒng)安全管理的各項(xiàng)規(guī)章制度；預(yù)警是對(duì)出現(xiàn)攻擊事件的報(bào)警，其主要內(nèi)容包括：安全事件報(bào)警形式(電子(4)系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；(5)重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。2、任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專(zhuān)有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可3、職責(zé)分離原則在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作理應(yīng)分開(kāi)。(1)敏感資料的接收和傳送；(3)應(yīng)用程序和系統(tǒng)程序的編制；(4)計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。安全教育和培訓(xùn)為了將安全隱患減少到最低，不但需要對(duì)安全管理員進(jìn)行專(zhuān)業(yè)性的安全技術(shù)培訓(xùn)，還需要加強(qiáng)對(duì)一般辦公人員的安全知識(shí)的普及。通過(guò)對(duì)用戶的不斷教育和培訓(xùn)，提高用戶的安全意識(shí)、法制觀念和技術(shù)防范水平，確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。根據(jù)用戶的不同層次制定相對(duì)應(yīng)的教育培訓(xùn)計(jì)劃及培訓(xùn)方式。建議在項(xiàng)目實(shí)施過(guò)程中，委托第三方測(cè)試單位進(jìn)行安全性測(cè)試，委托第三方5.售后服務(wù)內(nèi)容、要求和期限6.維護(hù)方案2、故障響