信息系統三級等級保護建設宿松縣審計信息系統三級等保和機房改造項目招標技術方案2017年10月11日信息系統三級等級保護建設全文共54頁，當前為第1頁。

目錄信息系統三級等級保護建設全文共54頁，當前為第1頁。TOC\o"1-4"\h\u18139第一章.信息系統三級等級保護建設 4277981.1.現狀與需求分析 4230091.1.1.項目現狀 44216.項目建設背景 425471.宿松縣審計信息系統簡介 428534.現有網絡及安全設備清單 516411.存在問題 59600.項目參考標準 642221.1.2.整改建設方案 723151.設計依據 91676.整改后網絡拓撲示意圖 1093041.1.3.安全管理體系建設 1025788.詳細方案設計管理部分 105540.總體安全方針與安全策略 1111871.信息安全管理制度 117369.安全管理機構 1114059.人員安全管理 1219153.系統建設管理 1228911.系統運維管理 1232532.安全管理制度匯總 1485391.1.4.安全建設技術要求分析 1410706.網絡安全分析 14569.主機安全分析 159360.應用安全分析 1630739.數據安全分析 16221171.1.5.叁級等保解決方案 1722418.終端安全管理 1719348.堡壘機 1825888.日志審計 2025392.入侵防御 2118069.數據庫審計 222711.網頁防篡改 237981.漏洞掃描 2432262.備份一體機 254192.防火墻（單位現有設備利舊） 28324060.網閘（網神品牌，單位原有設備利舊） 2828244第二章.機房標準化建設 28126462.1.工程簡述 28115202.1.1.設計需要 29145192.1.2.建設原則 29294922.1.3.建設依據規范 31243882.1.4.技術指標 32274332.1.5.空間布局設計 3312075.場地概況 3325668.平面設計圖 3422796.工程內容 34信息系統三級等級保護建設全文共54頁，當前為第2頁。143782.2.設計方案 35信息系統三級等級保護建設全文共54頁，當前為第2頁。136562.2.1.機房裝飾裝修系統 3513670.吊頂設計 3514565.地面設計 379249.內墻、柱面 3816184.隔斷 3824000.門、窗 3924627.災害防護 39303152.2.2.供配電系統 4029692.供配電系統概述 40122312.2.3.空氣調節系統 4116223.機房環境要求 4126207.空調方案 42214942.2.4.防雷接地系統 4330620.防雷設計方案 4319162.接地設計方案 44195162.2.5.消防報警及無管網滅火系統 4530133.自動報警系統設計方案 4521404.無管網氣體滅火系統設計方案 4616735.滅火設計方案 4724159.消防排煙機設計 4877942.2.6.綜合布線系統工程 4931539.布線配置 49101052.2.7.機房動態環境監控系統 4920154.場地設備監控系統概述 4914763.場地設備監控系統設計方案 5126608.各監控子系統功能描述 517238第三章.項目需求清單 54236813.1.清單方案響應說明 54信息系統三級等級保護建設全文共54頁，當前為第3頁。信息系統三級等級保護建設全文共54頁，當前為第3頁。信息系統三級等級保護建設現狀與需求分析項目現狀項目建設背景本項目是宿松縣審計局為加快金審三期工程建設，促進審計信息化工作,提升信息安全的的重要內容。根據安徽省審計廳關于進一步做好全省審計機關網絡及信息安全工作的通知（皖審信〔2016〕41號）、安徽省審計廳關于全面實施“五年創新計劃”的意見（皖審發〔2016〕59號）、安徽省審計廳關于印發全省審計機關開展“審計技術創新年”實施方案的通知（皖審發〔2017〕65號）等文件要求，建立健全數據采集與管理的制度規范和機制，加強大數據技術運用，加強對各領域、各層級、各系統間數據的關聯分析，增強判斷評價宏觀經濟、感知經濟風險等方面能力,維護國家信息安全，加強信息安全和保密工作，樹立防護新理念，注重應用新技術、新方法做好網絡安全防護工作，大力提高信息化條件下審計監督能力和水平。經宿松縣人民政府和有關部門批準，宿松縣審計局于2017年啟動審計信息系統叁級安全等級保護和機房標準化建設。審計技術創新取得突破性進展，省級審計數據中心基本建立，數字化審計指揮平臺、大數據綜合分析平臺、審計綜合作業平臺架構基本形成，運用信息化技術查核問題、評價判斷、宏觀分析的能力大幅提升。在此基礎上信息系統的安全就尤為重要，根據文件精神和實際需要，經宿松縣人民政府和有關部門批準，宿松縣審計局于2017年啟動審計信息系統叁級安全等級保護和機房標準化建設。宿松縣審計信息系統簡介信息系統三級等級保護建設全文共54頁，當前為第4頁。宿松縣審計局已部署運用的系統有《審計管理系統》（簡稱OA系統）與《政府投資審計管理平臺》。從2006年起，國家審計署開始在全國審計機關推廣應用《審計管理系統》（簡稱OA系統）。該系統是各級審計機關審計業務工作的組織、管理和決策的平臺，提供了公文交互、審計業務管理、培訓學習、郵件服務、數據存儲等各項服務。2015年安徽省審計廳根據金審工程三期建設要求，在全省審計機關開發、部署“政府投資審計管理平臺”。宿松縣政府投資審計管理平臺是對宿松縣政府和國有企業事業單位投資的建設項目實施審計進行項目及資料申報、審計實施、審計結果核定后發布、相關審計信息數據交互等審計管理平臺系統。利用《審計管理系統》與《政府投資審計管理平臺》可以實現與審計人員《現場審計實施系統》與《政府投資審計管理平臺信息系統三級等級保護建設全文共54頁，當前為第4頁。宿松縣審計管理系統（ＯＡ）部署在審計專網即審計內網上的三臺服務器集群上，與安徽省審計廳審計管理系統互聯互通，用戶只能通過審計內網訪問終端。宿松縣政府投資管理平臺分別部署在審計內網和投資審計專用外網上的兩臺獨立服務器集群中，兩臺服務器通過網閘交換數據，用戶通過審計內網或者投資審計專用外網訪問平臺系統，上傳或查詢數據信息；在內、外網都設有防火墻和交換機進行數據交換。現有網絡及安全設備清單目前，宿松縣審計局已建成了獨立的計算機房，建筑面積約５０平方米。接通了審計專網（獨立專線）和投資審計專網（互聯網專線）、政務外網等3條光纖網絡；配置了8臺服務器，其中：AO系統3臺、數據分析系統2臺、檔案管理系統1臺和投資管理系統2臺；配置了網閘、防火墻、局域網路由器、交換機等網絡及安全設備；配備了保證停電延時12小時的UPS備用電源；按物理隔離網絡安全要求布置了審計專網和互聯網2套辦公網絡系統布線；按審計工作需要，全局審計人員每人均配備了一臺外網用計算機和一臺內網用一體機（安裝運行OA系統和其他內網信息系統及網站）。同時，基本實現了計算機和服務器設備及操作系統國產化，個人計算機操作系統正版化，公文流轉及審計項目數據電子化。存在問題未做等保測評整改安徽省審計廳已完成核心系統、核心網絡的整改，并通過了系統安全等級保護測評，宿松縣審計局已經完成審計管理系統和政府投資審計平臺兩個系統的三級等保登記、備案，但尚未完成系統的測評和整改，存在安全隱患與漏洞，具有一定的風險。安全防護薄弱信息系統三級等級保護建設全文共54頁，當前為第5頁。網絡安全設備中防火墻設備數量占比較高，整體信息安全工作僅處于網絡層防護層面，網絡應用防護手段嚴重不足。無審計類設備；終端認證與安全防護手段缺失。信息系統三級等級保護建設全文共54頁，當前為第5頁。數據缺乏體系化防護策略在數據的產生、加工、傳輸、存儲各環節缺少相應安全級別的針對性防護策略，各審計業務人員對采集的財務及其他數據通過移動存儲介質、本機存放等方式，未對數據采取統一管理和統一存放。存在發生敏感數據泄露風險，而且數據泄露后難以溯源。項目參考標準信息系統三級等級保護建設全文共54頁，當前為第6頁。遵循以國家信息安全等級保護指南等最新安全標準以及開展各項服務工作，配合本項目信息系統三級等級保護建設全文共54頁，當前為第6頁。指導思想中辦[2003]27號文件（關于轉發《國家信息化領導小組關于加強信息安全保障工作的意見》的通知）公通字[2004]66號文件（關于印發《信息安全等級保護工作的實施意見》的通知）公通字[2007]43號文件（關于印發《信息安全等級保護管理辦法》的通知）公信安[2009]1429《關于開展信息安全等級保護安全建設整改工作的指導意見》全國人大《關于加強網絡信息保護的決定》國發[2012]23號《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》國發[2013]7號《國務院關于推進物聯網有序健康發展的指導意見》公信安[2014]2182號《關于加強國家級重要信息系統安全保障工作有關事項的通知》（公信安[2014]2182號）安徽省審計廳發（皖審信〔2016〕41號）《安徽省審計廳關于進一步做好全省審計機關網絡及信息安全工作的通知》（皖審發〔2016〕59號）《安徽省審計廳關于全面實施“五年創新計劃”的意見》安徽省審計廳發（皖審發〔2017〕65號）《安徽省審計廳關于印發全省審計機關開展“審計技術創新年”實施方案的通知》等級保護GB17859-1999計算機信息系統安全保護等級劃分準則GB/T25058-2010信息系統安全等級保護實施指南系統定級GB/T22240-2008信息安全技術信息系統安全保護等級定級指南技術方面GB/T25066-2010信息安全產品類別與代碼GB/T17900-1999網絡代理服務器的安全技術要求GB/T20010-2005包過濾防火墻評估準則GB/T20281-2006防火墻技術要求和測試評價方法GB/T18018-2007路由器安全技術要求GB/T20008-2005路由器安全評估準則GB/T20272-2006操作系統安全技術要求GB/T20273-2006數據庫管理系統安全技術要求GB/T20009-2005數據庫管理系統安全評估準則GB/T20275-2006入侵檢測系統技術要求和測試評價方法GB/T20277-2006網絡和終端設備隔離部件測試評價方法GB/T20279-2006網絡和終端設備隔離部件安全技術要求GB/T20278-2006網絡脆弱性掃描產品技術要求GB/T20280-2006網絡脆弱性掃描產品測試評價方法GB/T20945-2007信息系統安全審計產品技術要求和測試評價方法GB/T21028-2007服務器安全技術要求GB/T25063-2010服務器安全側評要求GB/T21050-2007網絡交換機安全技術要求（EAL3）GB/T28452-2012應用軟件系統通用安全技術要求GB/T29240-2012終端計算機通用安全技術要求與測試評價方法GB/T28456-2012IPsec協議應用測試規范GB/T28457-2012SSL協議應用測試規范管理方面GB/T20269-2006信息系統安全管理要求GB/T28453-2012信息系統安全管理評估要求GB/T20984-2007信息安全風險評估規范GB/T24364-2009信息安全風險管理指南GB/T20985-2007信息安全事件管理指南GB/T20986-2007信息安全事件分類分級指南GB/T20988-2007信息系統災難恢復規范方案設計GB/T25070-2010信息系統等級保護安全設計技術要求等保測評GB/T28448-2012信息系統安全等級保護測評要求GB/T28449-2012信息系統安全等級保護測評過程指南信息系統三級等級保護建設全文共54頁，當前為第7頁。整改建設方案信息系統三級等級保護建設全文共54頁，當前為第7頁。宿松縣審計信息系統等保及機房改造建設內容序號項目主要內容現有信息系統及網絡安全設備備注1三級等保測評整改審計管理系統、投資審計管理系統測評《審計管理系統》（內網，4臺服務器）2安全等級保護整改服務《投資審計管理系統》（內、外網，2臺服務器）3系統等保加固及機房改造項目設計4系統信息安全工程終端安全管理系統（IPS）審計專用光纖網路（內網，含視頻專線）5日記審計系統投資審計專光纖網路（專用外網）6數據庫審計系統政務辦公光纖網路（政務外網）7入侵防御系統防火墻（內、外網邊界，共3臺）8漏洞掃描系統網神網閘（投資審計系統內、外網服務器數據交換）9網頁防篡改出入口交換機（共4臺）數據備份一體機樓層交換機（共3臺）10堡壘機KVM（2臺）11核心交換機12其他網絡安全設備（含利舊）13機房改造工程空間布局機房（建筑面積約50平方米）14裝飾裝修（包括吊頂、地面、內墻柱面、隔斷、門窗及安全處理，上下通風、防靜電、防火、防濕、防塵、防蟲鼠、防幅射、保溫處理等）10KVA單進單出UPS及電池組（含承重加固）15供配電系統（包括外電接入、UPS供電、配電設備及線路、照明系統等）三相四線供電線（單相220V）16防雷接地系統機柜（4組）17空調新風系統（含精密空調、新風機等）空調（掛壁式、柜式各1臺）18消防系統機房綜合布線19安全監控系統（含門禁、視頻監控系統等）20動環監測預警系統21統一機柜22機房內綜合布線23其他（含利舊）信息系統三級等級保護建設全文共54頁，當前為第8頁。設計依據信息系統三級等級保護建設全文共54頁，當前為第8頁。依據宿松縣審計局現有網絡系統架構和擬建主要項目內容，并勘查現場機房環境，同時依據宿松縣審計局提供“宿松縣審計信息系統等保及機房改造建設內容”網絡建設原則針對本項目，等級保護整改方案的設計和實施將遵循以下原則：針對本項目，等級保護整改方案的設計和實施等服務將遵循以下原則：保密性原則：對項目服務的實施過程和結果將嚴格保密，在未經宿松縣審計局授權的情況下不得泄露給任何單位和個人，不得利用此數據進行任何侵害客戶權益的行為；標準性原則：服務、設計和實施的全過程均依據國內或國際的相關標準進行；根據信息系統安全三級等級保護基本要求，分等級分安全域進行安全設計和安全建設。規范性原則：在各項安全服務工作中的過程和文檔，都具有很好的規范性（《安全服務實施規范》），可以便于項目的跟蹤和控制；可控性原則：服務所使用的工具、方法和過程都會在與宿松縣審計局雙方認可的范圍之內，服務進度遵守進度表的安排，保證雙方對服務工作的可控性；整體性原則：服務的范圍和內容整體全面，涉及的IT運行的各個層面，避免由于遺漏造成未來的安全隱患；最小影響原則：服務工作盡可能小的影響信息系統的正常運行，不會對現有業務造成顯著影響。體系化原則：在體系設計、建設中，充分考慮到各個層面的安全風險，構建完整的立體安全防護體系。先進性原則：為滿足后續不斷增長的業務需求、對安全產品、安全技術都充分考慮前瞻性要求，采用先進、成熟的安全產品、技術和先進的管理方法。分步驟原則：根據宿松縣審計局要求，對宿松縣審計局安全保障體系進行分期、分步驟的有序部署。信息系統三級等級保護建設全文共54頁，當前為第9頁。服務細致化原則：在項目建設過程中將充分結合自身的專業技術能力與行業經驗相，結合宿松縣審計局的實際信息系統量身定做，保障其信息系統安全穩定的運行。信息系統三級等級保護建設全文共54頁，當前為第9頁。整改后網絡拓撲示意圖安全管理體系建設詳細方案設計管理部分信息系統三級等級保護建設全文共54頁，當前為第10頁。安全管理體系的作用是通過建立健全組織機構、規章制度，以及通過人員安全管理、安全教育與培訓和各項管理制度的有效執行，來落實人員職責，確定行為規范，保證技術措施真正發揮效用，與技術體系共同保障安全策略的有效貫徹和落實。信息安全管理體系主要包括組織機構、規章制度、人員安全、系統建設和系統運維等五個方面內容。信息系統三級等級保護建設全文共54頁，當前為第10頁?？傮w安全方針與安全策略總體安全方針與安全策略是指導宿松縣審計局所有信息安全工作的綱領性文件，是信息安全決策機構對信息安全工作的決策和意圖的表述?？傮w安全方針與安全策略的作用在于統一對信息安全工作的認識，規定信息安全的基本架構，明確信息安全的根本目標和原則。本項目信息系統等保設計的總體安全方針與安全策略將具備以下特性：安全策略緊緊圍繞行業的發展戰略，符合宿松縣審計局實際的信息安全需求，能保障與促進信息化建設的順利進行，避免理想化與不可操作性。總體安全方針與安全策略中將明確闡述宿松縣審計局所有信息化建設項目在規劃設計、開發建設、運行維護和變更廢棄等各階段，應遵循的總體原則和要求。信息安全管理制度根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，定期或不定期對安全管理制度進行評審和修訂，修訂不足并予以改進。安全管理機構根據基本要求設置安全管理機構的組織形式和運作方式，明確崗位職責；設置安全管理崗位，設立系統管理員、網絡管理員、安全管理員等崗位，根據要求進行人員配備，配備專職安全員；成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。建立授權與審批制度；建立內外部溝通合作渠道；定期進行全面安全檢查，特別是系統日常運行、系統漏洞和數據備份等。人員安全管理信息系統三級等級保護建設全文共54頁，當前為第11頁。人員安全管理主要包括人員錄用、離崗、考核、教育培訓等內容。信息系統三級等級保護建設全文共54頁，當前為第11頁。一般單位都有統一的人事管理部門負責人員管理，這里的人員安全管理主要指對關鍵崗位人員進行的以安全為核心的管理，例如對關鍵崗位的人員采取在錄用或上崗前進行全面、嚴格的安全審查和技能考核，與關鍵崗位人員簽署保密協議，對離崗人員撤銷系統帳戶和相關權限等措施。只有注重對安全管理人員的培養，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。培訓的內容包括單位的信息安全方針、信息安全方面的基礎知識、安全技術、安全標準、崗位操作規程、最新的工作流程、相關的安全責任要求、法律責任和懲戒措施等。具體參照《信息系統安全管理要求》等。系統建設管理系統建設管理的重點是與系統建設活動相關的過程管理，由于主要的建設活動是由服務方，如集成方、開發方、測評方、安全服務方等完成，運營使用單位人員的主要工作是對之進行管理，應制定系統建設相關的管理制度，明確系統定級備案、方案設計、產品采購使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等活動的管理責任部門、具體的管理內容和控制方法，并按照管理制度落實各項管理措施，完整保存相關的管理記錄和過程文檔。系統運維管理1、環境和資產安全管理制度環境包括計算機、網絡機房環境以及設置有網絡終端的辦公環境，明確環境安全管理的責任部門或責任人，加強對人員出入、來訪人員的控制，對有關物理訪問、物品進出和環境安全等方面作出規定。對重要區域設置門禁控制手段，或使用視頻監控等措施。具體參照《信息系統安全管理要求》等。2、設備和介質安全管理制度明確配套設施、軟硬件設備管理、維護的責任部門或責任人，對信息系統的各種軟硬件設備采購、發放、領用、維護和維修等過程進行控制，對介質的存放、使用、維護和銷毀等方面作出規定，加強對涉外維修、敏感數據銷毀等過程的監督控制。具體參照《信息系統安全管理要求》等。3、日常運行維護制度信息系統三級等級保護建設全文共54頁，當前為第12頁。明確網絡、系統日常運行維護的責任部門或責任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行控制和管理；制訂設備操作管理、業務應用操作管理、變更控制和重用管理、信息交換管理相應的管理制度；制定與信息系統安全管理相配套的規范和操作規程并落實執行；正確實施為信息系統可靠運行而采取的各種檢測、監控、審計、分析、備份及容錯等方法和措施，對運行安全進行監督檢查。具體參照《信息系統安全管理要求》等。信息系統三級等級保護建設全文共54頁，當前為第12頁。4、集中安全管理制度第三級及以上信息系統應按照統一的安全策略、安全管理要求，統一管理信息系統的安全運行，進行安全機制的配置與管理，對設備安全配置、惡意代碼、補丁升級、安全審計等進行管理，對與安全有關的信息進行匯集與分析，對安全機制進行集中管理。具體參照《信息系統等級保護安全設計技術要求》和《信息系統安全管理要求》等。5、事件處置與應急響應制度按照國家有關標準規定，確定信息安全事件的等級。結合信息系統安全保護等級，制定信息安全事件分級應急處置預案，明確應急處置策略，落實應急指揮部門、執行部門和技術支撐部門，建立應急協調機制。落實安全事件報告制度，第三級以上信息系統發生較大、重大、特別重大安全事件時，運營使用單位按照相應預案開展應急處置，并及時向受理備案的公安機關報告。組織應急技術支撐力量和專家隊伍，按照應急預案定期組織開展應急演練。具體參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。6、災難備份制度要對第三級以上信息系統采取災難備份措施，防止重大事故、事件發生。識別需要定期備份的重要業務信息、系統數據及軟件系統等，制定數據的備份策略和恢復策略，建立備份與恢復管理相關的安全管理制度。具體參照《信息系統災難恢復規范》。7、安全監測制度開展信息系統實時安全監測，實現對物理環境、通信線路、主機、網絡設備、用戶行為和業務應用等的監測和報警，及時發現設備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時對安全事件進行響應與處置。8、其他制度信息系統三級等級保護建設全文共54頁，當前為第13頁。對系統運行維護過程中的其它活動，如系統變更、密碼使用等進行控制和管理。按國家密碼管理部門的規定，對信息系統中密碼算法和密鑰的使用進行分級管理。信息系統三級等級保護建設全文共54頁，當前為第13頁。安全管理制度匯總制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統安全狀況進行自查，第三級信息系統每年自查一次，第四級信息系統每半年自查一次。經自查，信息系統安全狀況未達到安全保護等級要求的，應當進一步開展整改。具體參照《信息系統安全管理要求》等。最終提交安全制度包括但不限于以下內容：總體安全策略（組織、流程、策略、技術）崗位安全責任制度系統日常安全管理工作制度系統安全評估管理辦法安全區域劃分及管理規定管理信息區域網管制度系統建設管理制度設備入網安全管理制度賬號和口令及權限管理制度加密技術使用管理辦法應急預案管理制度安全事件報告和處置管理制度安全建設技術要求分析網絡安全分析評測信息系統的網絡安全保障情況。涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構等三大類對象。安全建設：主要關注的方面包括網絡結構、網絡邊界及網絡設備的自身安全等。主要建設涉及方面包括：信息系統三級等級保護建設全文共54頁，當前為第14頁。結構安全：關鍵設備的冗余空間、核心網絡帶寬、子網/網段控制，主要設備的冗余空間、路由控制，整體網絡帶寬、帶寬分配優先級，重要網段部署；信息系統三級等級保護建設全文共54頁，當前為第14頁。訪問控制：訪問控制設備的用戶、網段，端口控制、防止地址欺騙，撥號訪問控制、應用層協議過濾，最大流量及最大連接數等；安全審計：日志記錄，審計報表，審計記錄的保護；邊界安全性檢查（內部的非法聯出）非授權的設備私自外聯，定位及阻斷；入侵防范（檢測常見攻擊）記錄、報警；惡意代碼防范（網絡邊界處防范）網絡設備防護（基本的登錄鑒定）組合鑒定技術，特權用戶的權限分離；以上安全實現措施：增加網絡安全審計產品，增加違規外聯檢測阻斷產品，網絡設備特別配置服務等。主機安全分析評測信息系統的主機安全保障情況。涉及對象為操作系統、數據庫、應用系統等。安全建設：服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。主要涉及方面包括：身份鑒別（基本的身份鑒別）組合鑒別技術；訪問控制（安全策略、特權用戶的權限分離）管理權限的分離、敏感標記的設置及操作；安全審計（服務器基本運行情況審計）重要客戶端的審計、審計報表，審計記錄的保護；剩余信息保護（空間釋放及信息清除）（比較超前、目前較難實現）；入侵防范（最小安裝原則、升級服務器）重要服務器檢測、記錄、報警，重要程序完整性；惡意代碼防范（防惡意代碼軟件、代碼庫統一管理）主機與網絡的防范產品不同；資源控制（對用戶會話數及終端登錄的控制）監視重要服務器、最小服務水平的檢測及報警。信息系統三級等級保護建設全文共54頁，當前為第15頁。以上安全實現措施：增加身份認證系統，訪問控制策略配置服務，主機入侵防范策略配置服務，網管軟件和主機配置服務。信息系統三級等級保護建設全文共54頁，當前為第15頁。應用安全分析評測信息系統的應用安全保障情況。涉及對象為操作系統、數據庫、應用系統等。安全建設：基本應用包括消息發送、web瀏覽等；業務應用包括電子商務、電子政務等。主要建設涉及的方面包括：身份鑒別（基本的身份鑒別）組合技術鑒別；訪問控制（安全策率，最小授權原則）敏感標記的設置及操作；抗抵賴性；安全審計、運行情況審計、審計記錄的保護，審計報表、審計過程的保護；剩余信息保護（空間釋放及信息清除）（比較超前、目前較難實現）；通信完整性（校驗碼技術）密碼技術；通信保密性（初始化驗證、敏感信息加密）整個報文及會話過程加密；軟件容錯（數據有效性檢驗、部分運行保護）自動保護功能；資源控制（對用戶會話數及系統最大并發會話數的限制）資源分配限制、資源分配優先級、最小服務水平的檢測及報警。以上安全實現措施：應用軟件本身的配置及升級，訪問控制策略配置服務，系統審計配置服務，增加通訊加密手段，建立統一的CA中心等。數據安全分析數據安全測評將評測系統數據安全保障情況，包括保密性、完整性、安全性。安全建設：主要是保護用戶數據、系統數據、業務數據的保護，將對數據造成的損害將至最??；備份恢復也是防止數據被破壞后無法恢復的重要手段，主要包括數據備份、硬件冗余和異地實時備份。主要建設涉及的方面包括：數據完整性（鑒別數據傳輸的完整性）各類數據傳輸及備份、檢測及恢復；數據保密性（鑒別數據存儲的保密性）各類數據的傳輸及存儲；信息系統三級等級保護建設全文共54頁，當前為第16頁。備份及恢復（重要數據的備份、重要硬件的冗余）本地完全備份、異地備份（備份介質場外存放）。信息系統三級等級保護建設全文共54頁，當前為第16頁。以上安全實現措施：增加通信加密手段，增加核心設備的冗余，增加重要設備的冗余等。叁級等保解決方案終端安全管理功能要求：1.資產信息：對注冊信息項除了系統預置的部門、設備使用人、聯系電話、地址、Email地址等信息項類型之外，還可以根據客戶端注冊的個性化要求，新增個性化客戶端注冊信息項類型。管理員還可以對新增的自定義客戶端注冊信息進行修改、刪除，并可以選擇該項是否為必填項。；2.能夠有效控制網絡非法外聯行為，阻斷終端通過多網卡、WIFI、3G網卡、手機等多種方式網絡非法外聯訪問，杜絕網絡非法外聯行為發生；3.入庫資產查詢：可查詢入庫資產的資產編號、IP、責任部門、責任人、資產類型、資產型號、物理位置、資產狀態、操作歷史等信息，查詢條件包括：資產編號、資產狀態、資產屬性、資產類型、品牌、資產型號、責任部門、責任人、物理位置、使用部門、使用人、IP地址、MAC地址、條形碼編號、資產序列號、所在網絡、資產來源等信息；4.無需對現有網絡進行任何調整，即可實現終端安全域劃分和管理，支持根據安全終端安全等級保護級別，設置終端安全域內和終端安全域之間細粒度終端訪問控制權限，全面提升內網終端安全防護級別；5.支持用戶端補丁安全情況查詢，可按照部門或操作系統進行統計。支持用戶端運行狀態查詢，顯示用戶、部門、殺毒軟件、IP/MAC等重要信息；剪貼板：能夠審計系統剪貼板敏感信息內容的行為，審計或阻止通過拷貝/剪切動作進行內容復制操作傳播敏感信息內容的行為；6.按部門、按組進行全局終端信息統計，可統計終端軟硬件、進程、端口、補丁等信息；信息系統三級等級保護建設全文共54頁，當前為第17頁。7能夠對終端網絡流量進行監控和管理，可以根據終端應用系統終端帶寬閥值，保證關鍵應用系統帶寬資源，阻斷終端異常流量對內網的阻塞。將蠕蟲病毒或非業務流量對網絡的影響減到最小。支持針對不同的進程自定義設置不同的流量使用策略，并能夠并實時監控終端每個進程的流量，實時自動抑制異常流量，自動限制超過閾值的流量。信息系統三級等級保護建設全文共54頁，當前為第17頁。8.支持對補丁文件分類，支持補丁分發。提供廠商自己的補丁服務器進行補丁下載并分發。支持軟件分發流量控制?？梢酝瑫r向多個客戶端分發軟件包，也可以指定在某個時間范圍內進行軟件分發。策略可根據風險等級進行告警，能夠定義策略優先等級、策略生效時間、顯示策略創建修改的人員及時間記錄。支持文件監控策略。對不同磁盤類型及指定文件夾下的文件和文件夾的創建、修改、刪除、移動、打開、讀取、執行、重命名等操作可以有選擇地禁止和審計，可設置例外項。堡壘機功能描述信息化的發展使得企事業單位對信息系統依賴性越來越強，信息系統規模的不斷擴大和系統維護人員的日益增多，不但帶來了賬號、權限的管理問題。同時，運維人員的誤操作和違規操作引起的危害也越來越嚴重。加強對運維人員操作行為的監管與審計是信息安全發展的必然趨勢。堡壘機為企業用戶提供了一套先進的運維安全管控與審計解決方案。通過集中的賬號管理、運維操作訪問控制和全程運維操作審計，幫助企業轉變傳統IT安全運維被動響應的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規要求，為企業效益保駕護航。堡壘機的核心技術原理是采用訪問過程雙向模擬技術。信息系統三級等級保護建設全文共54頁，當前為第18頁。其主要實現方法為將原先的“客戶端-服務器”訪問模式，轉變成“客戶端-運維管理系統-服務器”的協議代理模式。在用戶訪問過程中，運維管理系統通過技術手段將原來的一次TCP會話，拆分為兩個獨立的TCP會話，并分別在兩個拆分后的會話中模擬了服務器端和客戶端角色，因此，無論是與服務器通訊、還是與客戶端通訊時，都能準確還原加密信息，進而實現對加密、圖形協議的內容識別、控制功能。信息系統三級等級保護建設全文共54頁，當前為第18頁。堡壘機強大的功能、簡單的操作、友好的用戶界面、全面的技術支持解除了您的后顧之憂，是您值得信賴的網絡安全產品。堡壘機的架構:堡壘機主要由兩大模塊組成，協議控制模塊、管理模塊。協議控制層主要負責實現底層對訪問過程的TCP會話拆分、還原識別操作內容、記錄操作指令、并根據策略執行阻斷操作。管理模塊主要實現運維用戶、操作對象的配置、訪問授權控制策略控制以及行為審計功能。支持主動監控業界唯一的主動監控技術，支持通過C/S方式自動顯示當前正在進行的訪問操作，適合監控中心使用。安全簡便的部署方式旁路代理方式部署，僅需要為系統分配一個IP即可，無需安裝任何服務端軟件和客戶端軟件。完善的自審計功能系統具備詳細的自審計功能，所有系統操作均會生成相應的日志記錄，包括：用戶登錄、系統操作、錄像查看、修改密碼、郵件發送任務、記錄歸檔任務、系統升級等等。深入的協議解析能力不僅能夠解析明文操作，而且能夠識別SSH加密操作，對于RDP遠程訪問操作，系統能夠記錄其鍵盤輸入、窗口標題，方便后期審計。良好的協議擴展能力信息系統三級等級保護建設全文共54頁，當前為第19頁。除了常見的SSH、RDP、VNC、HTTP等訪問協議以外，還支持Radmin、Pcanywhere等應用，并且可以通過二次開發方式方便的增加其他第三方應用。信息系統三級等級保護建設全文共54頁，當前為第19頁。堡壘機的部署方式

堡壘機采用旁路代理方式部署，在實際部署時只需為其配置一個獨立的IP地址即可，該IP要求能夠與服務器區、維護區互相訪問。日志審計功能要求：支持市面主流安全設備、網絡設備、中間件、服務器、數據庫、操作系統等不少于26類300種日志對象的日志數據采集。支持主動、被動相結合的數據采集方式；支持通過Agent采集日志數據；2.支持標準化日志描述語言快速擴展兼容特殊日志，支持日志數據采集實時展示，支持控制被采集設備的日志流量速度，支持日志歸一化處理，將不同設備所產生的不同格式的難以理解的日志數據進行統一格式化處理，提煉出有用信息清晰、明確的展示給管理者；支持基于時間軸展示數據分布，能夠通過時間軸進行查詢分析；3.支持對所管理設備的日志原始數據完整存儲，采用基于具有自主知識產權的非關系型大數據存儲架構，支持數據本地集中存儲、網絡存儲以及大數據存儲，支持海量原始日志加密壓縮存儲，壓縮比10:1；支持自定義存儲位置，支持磁盤陣列、SAN、NAS等外部高性能存儲；支持存儲空間圖像化、動態監控，超過閥值進行告警。支持從存儲空間、存儲時間多維度進行動態監控。支持數據自動、手動備份以及備份數據回復查看；4.系統內置常見安全事件關聯分析規則，支持基于策略的多日志源海量日志實時關聯分析，發現安全事件實時告警。提供可視化關聯分析規則編輯視圖，可根據實際業務編輯關聯分析規則；5.支持安全告警概況、安全告警趨勢以及實時安全事件的統一展示，實時告警可根據級別、規則類型等進行分類；支持根據時間類型、級別、規則類型、規則名稱、時間范圍、事件名、設備IP、源IP、目的IP、源端口、目的端口和傳輸協議等方式快速檢索安全事件告警，檢索結果支持Excel等格式導出。支持基于時間軸展示數據分布，能夠通過時間軸進行查詢分析；信息系統三級等級保護建設全文共54頁，當前為第20頁。6、支持實時日志查看，提供實時更新的最近的2000條日志信息，管理員可以進行監視、刷新、清零等基本監視條件管理。支持在查詢結果頁面上直接下鉆二次查詢，快速定位關鍵日志，還可以返回上次查詢條件；查詢結果支持分頁顯示；支持查詢結果導出；支持外部備份文件導入進行查詢。支持查詢結果快速統計，可自定義統計規則。信息系統三級等級保護建設全文共54頁，當前為第20頁。入侵防御功能描述新一代網絡入侵防護系統IPS，不但能對已知安全威脅進行防護；而且能夠降低未知惡意軟件帶來的危害；還通過內網安全功能，有效的防止內網持續滲透，有效降低敏感數據的泄露和服務器的非法外聯，為用戶提供一套看得見、檢得出、防得住的全新入侵防護解決方案。該產品高度融合高性能、高安全性、高可靠性和易操作性等特性，產品內置先進的信譽防護機制，同時具備深度入侵防護、高級威脅防護、精細流量控制等多項功能，能夠為用戶提供深度攻擊防御的完美價值體驗。1.僵尸網絡發現基于實時的信譽機制，結合企事業級單位和全球信譽庫，可有效檢測惡意URI、僵尸網絡，保護用戶在訪問被植入木馬等惡意代碼的網站地址時不受侵害，第一時間有效攔截Web威脅，并且能及時發現網絡中可能出現的僵尸網絡主機和C&C連接。2.入侵防護實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，保護企業信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機。高級威脅防護能夠基于敏感數據的外泄、文件識別、服務器非法外聯等異常行為檢測，實現內網的高級威脅防護功能。以全面深入的協議分析為基礎，融合權威專家系統、智能協議識別、協議異常檢測、流量異常檢測、會話關聯分析，以及狀態防火墻等多種技術，為客戶提供從網絡層、應用層到內容層的深度安全防護。3.流量控制阻斷一切非授權用戶流量，管理合法網絡資源的利用，有效保證關鍵應用全天候暢通無阻，通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。信息系統三級等級保護建設全文共54頁，當前為第21頁。IPS還提供強大、靈活的流量管理功能，采用全局維度（協議/端口）、局部維度（源/目的IP地址、用戶、網段）、時間維信息系統三級等級保護建設全文共54頁，當前為第21頁。4.應用管理全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻，以及在線炒股等網絡行為，協助企業辨識和限制非授權網絡流量，更好地執行企業的安全策略。數據庫審計功能描述1.靈活接入部署數據庫審計基于旁路審計原理，系統采用旁路接入部署方式，只要在交換機上設置端口鏡像或采用TAP分流，不需要對現有的網絡體系結構（包括：路由器、防火墻、應用層負載均衡設備、應用服務器等）進行調整，工作時也不影響數據庫保護對象本身的運行與性能。當然，也使得審計系統本身難以被發現受到攻擊。數據庫審計支持多路采集數據的接入模式，一個審計引擎可以同時采集多個數據源的審計數據，適合于那些成本有限，但是審計數據源又相對分散的環境（比如多個交換機鏡像口）。數據庫審計支持審計引擎分布式部署，同時審計中心對多個審計引擎進行統一管理，以及審計數據的集中管理分析，適合需要大規模部署審計引擎的環境。2數據庫攻擊檢測通過數據庫審計，能夠通過審計記錄發現生產數據庫一些潛在的安全威脅，比如SQL注入，密碼猜解，執行操作系統級的命令等，及時發現并阻止生產數據庫安全威脅，保證生產數據庫更加安全運行。3審計數據管理該功能是為了闡述產品支持的審計數據的管理和存儲策略。對海量審計數據，長期保持原始日志，以便后期查詢需要，同時盡量節約空間,高壓縮率的存儲是很重要的，數據庫審計擁有高達95%以上的高壓縮率保存，而且所有的壓縮解壓過程都是按照預定策略自動實現的。對于歷史審計數據，可以從保存好的最原始的數據中重新分析而得，該過程允許用戶自定義待分析的審計數據時間范圍和保存地址。適合于分析好的審計數據丟失，或者分析模塊更新的用戶。對于歷史審計數據，也可以壓縮保存的審計結果中重新提取，進行分析展示。信息系統三級等級保護建設全文共54頁，當前為第22頁。以上保存的所有審計數據都是在獨立的，專門的審計存儲服務器上，也可以導出到第三方存儲或者刻錄成光盤保存，所有數據都是加密保存的，其他工具無法對審計數據進行讀取。信息系統三級等級保護建設全文共54頁，當前為第22頁。4數據靈活采集數據庫審計支持審計引擎在進行數據包時，接受用戶自定義的采集過濾（其中，過濾的條件包括操作源IP、操作源MAC、計算機名、程序名、生產數據庫名、生產數據庫用戶名、操作內容、表名等），從而只采集用戶關心的數據，剔除垃圾數據，減少查詢時沒用信息的干擾。用戶可以靈活自定義設置該功能是否啟用。該功能面向數據量非常大，但是所關注審計數據又清晰可定義的用戶具有非常實際的意義。5會話審計及TelentHttp審計數據庫審計支持數據庫會話審計，能夠完整的保存不同數據庫客戶端與數據庫服務器的整個會話狀態，并按照不同類型展示出來，允許用戶通過多條件進行會話查詢，以及該會話范圍內的所有數據庫語句，同時也為數據庫服務器的性能優化有幫助。數據庫審計還支持按照協議類型，完整審計到通過telnet客戶端訪問數據庫的所有會話信息，并進行整改會話的回訪，使得通過該方式進行的數據庫行為無處遁形。數據庫審計還支持對http協議的審計，從而可以審計到通過該協議相關的：前臺應用程序的用戶名，前臺程序的URL，WebSessionID，Web客戶端IP等，通過把這些信息與中間件訪問數據庫的sql進行關聯分析，讓真實sql操作用戶也可以被審計到。6綁定變量審計數據庫審計支持對綁定變量的審計，不僅可以審計到調用綁定變量的數據庫操作，同時也能夠對該變量真實的賦值過程也能夠審計到，并進行關聯分析。網頁防篡改功能要求：支持無IP純透明模式串聯部署、旁路監測模式部署、負載均衡模式部署。串聯部署時防護口不占用IP地址。串聯部署時服務器可以看到真實客戶端源IP，而不是WAF的業務IP地址；串聯部署時服務器可以看到真實客戶端源IP，而不是WAF的業務IP地址；信息系統三級等級保護建設全文共54頁，當前為第23頁。支持VLAN劃分，支持多VLAN環境下trunk的部署；支持虛擬線無論任何網絡環境可強制數據從一個接口轉發到另一個接口；支持鏈路聚合(Channel)部署；支持Trunk鏈路防護；支持靜態路由及策略路由配置，支持ARP綁定，支持靜態MAC地址表配置，支持服務器健康檢查，可以實時監測服務器的活躍狀態；信息系統三級等級保護建設全文共54頁，當前為第23頁。識別與分析能力：應采用先進的協議分析技術對入侵特征進行分析，可有效防范DNS請求報文洪泛濫攻擊和有效的對系統進行安全性識別；網關型網頁防篡改，無需在服務器中安裝任何插件，可以對動態網站及靜態網站文件內容進行防篡改，當檢測到篡改后可以實時恢復篡改內容。6.支持多種WEB應用漏洞的安全掃描檢測，如SQL注入、跨站腳本、目錄遍歷等。支持自定義WEB漏洞掃描任務，支持對需要認證登錄的web系統進行漏洞掃描，支持自定義每日、每周、每月等掃描周期設置。可導出web漏洞掃描報告，報告支持pdf,html,txt,xml等格式；支持多服務器的負載均衡，支持輪叫、加權輪叫、原地址散列、最小連接等多種負載均衡算法；能配合現有的負載均衡設備協同工作，支持任意部署，而不影響客戶現有拓撲；產品支持將Web服務器的錯誤提示信息，替換為標準、通用的錯誤提示信息，防止Web服務器系統核心問題泄露。產品支持針對HTTP/HTTPS請求信息中的請求頭長度、Cookie個數、HTTP協議參數個數、協議參數值長度、協議參數名長度等進行限制，并支持請求信息自學習功能。支持帳號創建、帳號授權、帳號屬性修改、帳號刪除等賬號管理功能。支持用戶身份認證，用戶切換角色時，必須進行重新認證。支持超時重新認證機制并能夠定義用戶認證嘗試的最大允許失敗次數。支持賬號策略自定義，支持定義允許最大登錄失敗次數、密碼錯誤賬號鎖定時間、防管理員賬號暴力破解。。漏洞掃描功能要求：1.采用經過系統加固的專有操作系統；基于B/S模式，支持HTTPS安全訪問方式；基于SSL的遠程管理和掃描；用戶多次登錄失敗時，自動鎖定登錄IP；可以限制可掃描的IP地址范圍；可以限制用戶的登錄IP地址；；信息系統三級等級保護建設全文共54頁，當前為第24頁。支持資產自動發現功能，支持利用歷史掃描過程中所發現的在線主機信息，來添加資產；支持對已有資產的直接掃描；支持顯示資產的歷史掃描結果，支持顯示資產的風險評估值；支持直接查看資產的漏洞掃描情況；信息系統三級等級保護建設全文共54頁，當前為第24頁。產品應支持按CVE編號、CNNVD編號、CNCVE編號、Bugtraq編號、漏洞編號、漏洞名稱、影響平臺、簡短描述、詳細描述、修補建議等信息進行模糊檢索，方便用戶檢索掃描策略。產品應支持多網卡并行掃描，每個網卡可以在互不相通的網段中進行獨立的掃描操作，用戶下發任務后程序根據對象IP地址自動尋找相應的網卡執行任務。根據用戶實際購買的授權掃描口數量，支持所有授權掃描口并發執行掃描任務;支持掃描范圍自定義、資產導入掃描范圍、從文件導入掃描范圍；支持主機存活探測，支持ARP、ICMPping、TCPping及UDPping四種類型；支持顯示掃描剩余時間，隨時查看掃描進度結果；支持多個掃描進度并發統計展示；支持查看歷史掃描記錄；支持最大限度報告漏洞；報告應具有易懂的漏洞描述和詳盡的安全修補方案建議，并提供相關的技術站點以供管理員參考；應可根據角色需求產生靈活的報告格式，支持用戶自定義報表和預定義報表；產品應可靈活定制產生各類報表數據的餅圖、柱圖等圖表信息；掃描報告應可對安全的威脅程度分級，并能夠形成風險趨勢分析報表和主機間風險對比分析報告；報表具備導出功能，可以導出不同格式的報表，如html、Excel、TXT、Word、PDF、XML等。備份一體機功能描述1.應用容災保證應用不間斷的虛擬化應用容災：作為一體化容災中針對應用不間斷的獨特保護屏障，備份一體機容災家族針對性的提供了應用容災的方案，主要基于CDP應用容災技術實現，包括完整的CDP實時備份、災難恢復、故障檢測和災難演習流程，確保災難發生后可迅速接管應用，對外提供服務，保證用戶獲得最小RPO基礎上同時享有最小的RTO。除此之外，備份一體機獨特的虛擬化應用容災模式，可直接通過內嵌的虛擬化平臺實現，用戶無需另外購置容災服務器，從而收獲更小的整體TCO。性能優越的異地應用容災。信息系統三級等級保護建設全文共54頁，當前為第25頁。通過采用級聯復制模型在本地和異地分別部署容災站點來實現數據及應用的遠程容災，避免了對生產服務器的性能產生影響；基于重復數據刪除技術能夠克服遠程容災對帶寬要求較高的問題，精簡數據傳輸量，減少數據傳輸時間，極大提高了數據傳輸效率，實現了數據及應用的異地容災和多重保障?？沈炞C的應用容災方案支持兩種災難恢復演習模式：實戰演習和模擬演習，用于驗證容災方案的有效性。實戰演習通過生產服務器的參與，驗證整套應用容災方案的可用性；模擬演習只需容災服務器的參與，對生產服務器及實時復制不會產生任何影響，可驗證容災服務器的可用性。信息系統三級等級保護建設全文共54頁，當前為第25頁。2.數據備份保證數據不丟失的CDP實時備份：傳統數據保護方案一般通過定時的方式進行備份和恢復，備份一體機在此基礎上提供CDP實時備份技術，對用戶產生的數據進行精細化的細顆粒度抓捕，實現數據的實時保護，減少備份窗口的同時，保證擁有可恢復的任意時間點數據，并且提供下載恢復、瀏覽恢復和瞬間恢復多種數據恢復方式，保證意外情況下，數據的瞬間可恢復性，從而擁有更小的RPO。全方位保護的平臺和應用功能支持最廣泛家族產品，可滿足大中型組織機構異構環境的復雜需求，包括從Windows到Linux到Unix平臺，SQLServer、Oracle、ExchangeServer、SharePoint、Domino、DB2、ActiveDirectory、MySQL、Sybase等各種數據庫，VMware、Xen、KVM及WindowsHyper-V等各種虛擬化平臺的備份，可實現從操作系統到應用程序以及文件系統的全方位保護。雙重保障的D2D2R異地數據容災。備份一體機異地數據容災通過將備份數據從本地同步到異地容災中心，輕松實現數據異地容災，獲得最佳數據保護效果。優化容災性能的源端重復數據刪除。重復數據刪除是一種數據壓縮技術，基于哈希算法，通過本地分塊的方式，進行指紋對比后識別數據源中的重復數據塊，只對唯一的數據塊進行傳輸。信息系統三級等級保護建設全文共54頁，當前為第26頁。備份一體機采用基于數據類型的源端重復數據刪除，既可以根據數據類型優化重復數據刪除的計算量，也可以根據用戶的實際數據環境，配置重刪數據分塊閾值，保證重刪的效率和效果。通過此技術，容災方案可受益如下：減少備份窗口，釋放帶寬壓力，節省存儲空間，部署更加靈活，大幅優化容災整體性能。更智能的數據周期管理支持基于D2D2T的階段備份（StagedBackup），將近線保存的備份數據自動遷移或復制到磁帶設備，輕松實現周期性的近線備份和離線備份。信息系統三級等級保護建設全文共54頁，當前為第26頁。重復數據刪除技術數據總量的成倍增長，既導致了需保護的備份數據總量也不斷增長，也導致了重復數據總量的劇增。由于同一局域網內的所有客戶端數據通常會定期在服務器中集中歸檔、存儲或備份，備份頻率越高，產生的完全重復數據也就越多。大量重復的數據不僅會浪費存儲空間資源，還會給數據保護工作帶來額外的負擔。由于備份數據量過大，在傳輸備份數據時，將消耗大量帶寬資源，甚至會嚴重影響企業IT系統的正常運行。備份一體機重復數據刪除技術，支持源端重復數據刪除方案，在備份數據傳輸到存儲介質之前執行重刪操作。信息系統三級等級保護建設全文共54頁，當前為第27頁。信息系統三級等級保護建設全文共54頁，當前為第27頁。應用層攻擊防護：基于深度應用識別，積極防范復雜應用攻擊；支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER，MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多種常見的應用和協議的攻擊防護；定期更新攻擊特征庫，安全專家積極響應新的攻擊和漏洞。邊界流量過濾：基于全球實時更新的惡意IP地址庫和自定義的黑名單數據對流量進行過濾，并對命中黑名單的惡意流量采取阻斷措施進行處理，從而阻斷已知惡意IP地址的流量。黑白名單支持云端同步、自定義以及第三方聯動下發。Web防護：支持WEB攻擊防護功能，有效識別并防御各種Web威脅，如SQL注入、XSS跨站腳本、CC等惡意網絡攻擊；支持外鏈檢查功能、目錄訪問等WEB防護功能，有效抵御針對WEB服務器和客戶端的各種安全威脅。統一智能防護：通過統一智能系統軟件，在防火墻產品的基礎上全面實現智能防火墻功能，提升威脅防護、風險管控能力。通過威脅檢測技術，結合機器學習、大數據、關聯分析等前沿技術，基于行為分析，準確發現變種惡意軟件等未知威脅，從而彌補了傳統檢測技術的弊端。功能實現的效果和好處：攻擊防護是一個重要的網絡安全特性，它通過分析經過設備的報文的內容和行為，判斷報文是否具有攻擊特征，并根據配置對具有攻擊特征的報文執行一定的防范措施，例如輸出告警日志、丟棄報文、限制報文、更新會話狀態或加入黑名單，從而有效防止對服務器或者網絡資源的破壞。用戶通過在服務器前端、網絡邊界部署防火墻，部署攻擊防護策略，可以有效應對各種類型的攻擊進行告警、限制以及阻斷，保護服務器和網絡資源免受攻擊影響。防火墻的攻擊防護功能采用最優化的攻擊識別算法，在最大化降低攻擊防護功能對防火墻性能影響的同時提高了攻擊識別的準確性。防火墻（單位現有設備利舊）網閘（網神品牌，單位原有設備利舊）機房標準化建設工程簡述信息系統三級等級保護建設全文共54頁，當前為第28頁。不掌握審計信息化技術就失去審計的話語權，當審計事業正享受計算機及網絡技術的進步帶來高效益的同時，必須考慮到它的穩定性及可靠性，計算機設備只有通過穩定、可靠、安全的運行才能發揮其效益，而計算機設備的穩定、可靠、安全運行要依靠計算機機房的嚴格環境條件，即機房溫度、濕度、潔凈度、噪聲、振動、靜電、電磁干擾等條件及其控制精度，因此計算機機房工程的設計與施工是一個關鍵。信息系統三級等級保護建設全文共54頁，當前為第28頁。設計需要充分考慮機房使用的長久性與穩定性，保證機房整個系統運行安全可靠。把握機房實質，將技術指標的可靠性與環境建設的藝術性緊密結合，實現智能空間與自然環境的和諧配合。通過對環境整合改造，使之氣氛明快，富于現代氣息，給機房工作人員提供方便、快捷、舒適的工作環境，并為管理人員提供安全、高效的管理手段。充分體現“以人為本”的設計理念。將預期實現的功能與合理的平面布置結合起來，形成智能空間整體解決方案的新概念。立足基本需求，用前瞻性的眼光來審視，建設后的機房無論從空間和效果上都做到科學化、現代化。體現“面向未來”的設計理念，建設一個布局合理、有現代感、功能完備、安全可靠、可持續發展、設施先進，綠色環保、投資合理的現代化網絡機房。建設原則根據功能需求分析，本次建設按照“實用可靠、有效適度、經濟節約、技術先進”的總體原則實施。在設計過程中充分考慮方便今后的運行維護，并能有效降低機房運行及維護成本。本次建設的具體原則主要包括：應至少按照以下原則進行系統配置設計：實用性原則在系統設計的過程中，方案不僅綜合考慮了機房內需要被集成的所有弱電子系統資源的充分利用與共享等實際情況，以及集成后智能化集成系統的實用性和在一段時間內先進型的問題，還著眼于未來，也即隨著社會發展對智能化不斷提出的新要求，從系統運行環境、資源整合、功能應用、新技術等多方面綜合考慮，將各部分融合成一個高效、統一、實用的有機體。可靠性原則信息系統三級等級保護建設全文共54頁，當前為第29頁。系統整體架構：系統設計中，充分考慮集中監控管理的網絡構架搭建、系統集成平臺的設計、各種子系統的模板整合、系統監控/管理的層次結構的設計等綜合因素，進行可實施性、可靠性、兼容性的綜合設計。信息系統三級等級保護建設全文共54頁，當前為第29頁。網絡架構體系：集成網絡系統的總體結構采用結構化和模塊化設計，具有很好的兼容性和擴充性，既可以集成不同廠商的子系統，又可使系統能夠以方便地擴充，通過本智能化集成系統可以為本項目構建統一的監控管理平臺，根據實際需要進行冗余設計，確保系統的可靠性、安全性。各子系統：采用成熟可靠的技術，并具備集成界面要求。分步實施原則根據項目的實際情況，對整個項目進行系統設計、系統布局、工程實施等綜合考慮，有計劃、有步驟的分步實施，從而確保實施的效率、效果與質量。經濟性原則系統平滑擴容與升級：系統采用開放式的體系結構，容易實現與第三方系統無縫集成，平滑擴容；網絡支撐：選用經濟、實用、可靠的現有網絡體系，避免重復投資；智能化集成平臺的模塊化結構設計使得系統的前期搭建、中期的實施、后期的升級維護簡便、經濟。在保證先進性的同時，以提高工作效率，節省人力和各種資源為目標進行工程設計，充分考慮系統的實用和效益，爭取獲得最大的投資回報率。先進性原則基礎通訊建設全部采用技術成熟先進產品，滿足不斷發展的技術應用需要。整體集成系統的設計以系統工程的科學思想為指導，以現代計算機科學、通訊、控制和決策支持的理論與技術為基礎，采用國際先進的中間構件技術和完全組態的方式，實現各類信息實時處理，數據庫、決策支持系統的一體化。開放性原則系統整體設計采用分散控制與集中管理的結構，使各子系統既能相對獨立運行，又能夠方便地集成在具有統一操作界面的同一集成管理系統平臺上；其模塊化、結構化的系統結構，使具有良好的兼容性和擴充性，不僅可以使不同廠商的不同子系統方便的集成在同一個系統中，又可以使系統在日后能夠方便的擴充?？晒芾硇?、服務性、便利性原則信息系統三級等級保護建設全文共54頁，當前為第30頁。智能化系統完成對通訊、安防、物業和設備的監視和控制管理。在保障系統先進性的同時，以提高工作效率、節省人力和資源為目標進行系統設計，充分考慮系統的實用性和效益；系統提供科學、完整的報警體系，確保系統的安全、科學的管理。信息系統三級等級保護建設全文共54頁，當前為第30頁。建設依據規范業主提供本項目資料和擬建設項目內容?？辈飕F場。2、可參照國標GB/T50314-2006《智能建筑設計標準》的具體要求。3、所有國際、國內和當地政府機關及部門頒布的最新的法定條例、規范、規格、標準、施工準則和業務條例，包括但不僅限于但必須高于以下所列各項：《電子信息系統機房設計規范》(GB50174-2008)《智能建筑工程質量驗收規范》GB50339《建筑電氣工程施工質量驗收規范》GB50303《綜合布線系統工程設計規范》GB50311《合布線系統工程驗收規范》GB50312《建筑電氣安裝工程施工質量驗收規范》GB50303《電氣安裝工程接地裝置施工及驗收規范》GB50169《建筑物電子信息系統防雷技術規范》GB50343《計算機機房用活動地板技術條件》GB6650《計算機機房施工及驗收規范》SJ/30003《供配電系統設計規范》GB50054《計算機信息系統安全保護等級劃分準則》GB17859《信息技術與包過濾防火墻安全技術要求》GB/T18019《民用建筑能耗數據采集標準》JGJ/T154《安全防范工程技術規范》GB50348《安全技術防范系統通用圖形符號》GA／T74GA／T75《民用閉路電視監控系統工程技術規范》GB50198《視頻安防監控系統技術要求》GA50367《視頻安防監控系統工程設計規范》GB-50395《入侵報警系統工程設計規范》GB50394《出入口控制系統工程設計規范》GB50396信息系統三級等級保護建設全文共54頁，當前為第31頁。《防盜報警控制器通用技術條件》GB12663信息系統三級等級保護建設全文共54頁，當前為第31頁?！斗辣I報警中心控制臺》GB/T16572國家和地方其它相關的現行標準和法規其它相關行業、地區規定及規范。其他國家和地方相關法律法規技術指標依據國家相關規范和設計標準，本次項目的網絡中心機房在環境裝修質量、供電電網的穩定、空氣的潔凈度、環境的溫濕度、噪音的控制、防靜電防雷擊上都能達到如下指標，既為該大樓信息化設備提供一個良好的、穩定的、高效的、管理方便的集中設備運行區域，也是宿松縣審計局標準化機房建設成果對外的一個形象窗口。溫度開機時：21℃～25℃（夏季）、18℃～22℃（冬季）；停機時：5℃～35℃；溫度變化率小于5℃/H，并不得凝露。濕度開機時：相對濕度達到45%～65%；停機時：相對濕度達到40%～70%。潔凈度主機房內的空氣含塵濃度，在表態條件下測試，每升空氣中大于或等于0.5μm的塵埃粒數，應少于18000粒。噪音強度主機房內的噪音，在計算機系統停機條件下，在主操作員位置測量應小于65dB。電磁場干擾機房內無線電干擾場強：在頻率范圍0.15MHz～1000MHz時不大于126db；機房內磁場干擾場強：不大于800A/m。靜電電位主機房內絕緣體的靜電電位不應大于1KV。機房照明計算機機房在距地面0.8m處，照度不應低于300Lx；工作間和輔助房間不低于200Lx。信息系統三級等級保護建設全文共54頁，當前為第32頁。事故照明信息系統三級等級保護建設全文共54頁，當前為第32頁。計算機機房、電源室等應設事故照明，其照度在距地面0.8m處不應低于5Lx。供配電環境工作頻率49.8Hz～50.2Hz，電壓