信用信息體系平臺(tái)建設(shè)安全設(shè)計(jì)方案

1、信用信息體系平臺(tái)建設(shè)安全設(shè)計(jì)方案 1.1.安全體系總體設(shè)計(jì)安全系統(tǒng)建設(shè)的原則，一是必須符合國家電子政務(wù)安全 規(guī)劃及國家的其他相關(guān)規(guī)定，二是要從平臺(tái)實(shí)際工作需求出 發(fā)，建設(shè)既符合要求又滿足實(shí)際需求的安全系統(tǒng)。安全系統(tǒng)建設(shè)的重點(diǎn)是，確保信息的安全，確保業(yè)務(wù)應(yīng) 用過程的安全防護(hù)、身份識(shí)別和管理。安全系統(tǒng)建設(shè)的任務(wù)， 需從技術(shù)和管理兩個(gè)方面進(jìn)行安全系統(tǒng)的建設(shè)基本技術(shù)要 求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全 幾個(gè)層面提出；基本管理要求從安全管理制度、人員安全管 理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù) 要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè) 部分。系統(tǒng)安全體系應(yīng)用

2、安全 ' 全係統(tǒng)安全 措（物理安全安全策略安全標(biāo)準(zhǔn)、規(guī)范安 全 制 度 管 理數(shù)據(jù)安全：數(shù)據(jù)備份、數(shù)據(jù)庫安全策略本項(xiàng)目安全體系結(jié)構(gòu)如下圖所示應(yīng)用安全：應(yīng)用系統(tǒng)安全、PKI/CA認(rèn)|證系統(tǒng)安全：操作系統(tǒng)安全策略、防病毒 軟件網(wǎng)絡(luò)安全：網(wǎng)絡(luò)邊界安全、防火墻 物理安全：環(huán)境建設(shè)、設(shè)備冗余、. '安全管理：安全管理制度、人員安全管 理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理安全體系結(jié)構(gòu)圖信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以 及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到 高劃分為五級(jí)。根據(jù)等級(jí)保護(hù)相關(guān)管理文件，本項(xiàng)目安全等級(jí)建議

3、定級(jí) 為第二級(jí)。1.2.技術(shù)目標(biāo)從安全體系上考慮，實(shí)現(xiàn)多種安全技術(shù)或措施的有機(jī)整 合，形成一個(gè)整體、動(dòng)態(tài)、實(shí)時(shí)、互動(dòng)的有機(jī)防護(hù)體系。具 體包括：1）本地計(jì)算機(jī)安全：主機(jī)系統(tǒng)文件、主機(jī)系統(tǒng)的配置、 數(shù)據(jù)結(jié)構(gòu)、業(yè)務(wù)原始數(shù)據(jù)等的保護(hù)。2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全：網(wǎng)絡(luò)系統(tǒng)安全配置、網(wǎng)絡(luò)系統(tǒng)的 非法進(jìn)入和傳輸數(shù)據(jù)的非法竊取和盜用。3）邊界安全：橫向網(wǎng)絡(luò)接入邊界，內(nèi)部局域網(wǎng)不同安全 域或子網(wǎng)邊界的保護(hù)。4）業(yè)務(wù)應(yīng)用安全：業(yè)務(wù)系統(tǒng)的安全主要是針對(duì)應(yīng)用層部 分。應(yīng)用軟件的設(shè)計(jì)是與其業(yè)務(wù)應(yīng)用模式分不開的，同時(shí)也是建立在網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫系統(tǒng)基礎(chǔ)之上的， 因此業(yè)務(wù)部分的軟件分發(fā)、用戶管理、權(quán)限管理、終 端設(shè)備管理需要充

4、分利用相關(guān)的安全技術(shù)和良好的安 全管理機(jī)制。1.3.管理目標(biāo)安全建設(shè)管理目標(biāo)就是根據(jù)覆蓋信息系統(tǒng)生命周期的 各階段管理域來建立完善的信息安全管理體系，從而在實(shí)現(xiàn) 信息能夠充分共享的基礎(chǔ)上，保障信息及其他資產(chǎn)，保證業(yè) 務(wù)的持續(xù)性并使業(yè)務(wù)的損失最小化，具體的目標(biāo)如下：1）定期對(duì)局域網(wǎng)網(wǎng)絡(luò)設(shè)備及服務(wù)器設(shè)備進(jìn)行安全隱患的 檢查，確保所有運(yùn)行的網(wǎng)絡(luò)設(shè)備和服務(wù)器的操作系統(tǒng) 安裝了最新補(bǔ)丁或修正程序，確保所有網(wǎng)絡(luò)設(shè)備及服 務(wù)器設(shè)備的配置安全。2）提供全面風(fēng)險(xiǎn)評(píng)估、安全加固、安全通告、日常安全 維護(hù)、安全應(yīng)急響應(yīng)及安全培訓(xùn)服務(wù)。3）對(duì)已有的安全制度，進(jìn)行更加全面的補(bǔ)充和完善。4）應(yīng)明確需要定期修訂的安全管理制

5、度，并指定負(fù)責(zé)人 或負(fù)責(zé)部門負(fù)責(zé)制度的日常維護(hù)。5）應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告。6）應(yīng)通過第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程。1.4.安全技術(shù)方案1.4.1. 網(wǎng)絡(luò)與邊界安全網(wǎng)絡(luò)安全是指通過各種手段保證網(wǎng)絡(luò)免受攻擊或是非法訪問，以保證網(wǎng)絡(luò)的正常運(yùn)行和傳輸?shù)陌踩?、防火墻通過防火墻進(jìn)行缺省路由巡徑、內(nèi)部私有地址轉(zhuǎn)換和公眾服務(wù)靜態(tài)地址映射，開啟2-3層安全防護(hù)功能，完成Internet 基礎(chǔ)安全接入，實(shí)現(xiàn)互聯(lián)網(wǎng)接入域的合法接入控制、內(nèi)容過 濾、傳輸安全需求。2、安全隔離網(wǎng)閘布置安全隔離網(wǎng)閘，實(shí)現(xiàn)網(wǎng)間有效的數(shù)據(jù)交換。3、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性本項(xiàng)目政務(wù)網(wǎng)核心交

6、換機(jī)、政務(wù)網(wǎng)邊界防火墻采用主備冗余設(shè)計(jì)，以保證業(yè)務(wù)信息的可靠傳輸。1.4.2. 主機(jī)系統(tǒng)安全1、操作系統(tǒng)安全策略及時(shí)檢測(cè)、發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞；對(duì)發(fā)現(xiàn)的操作系統(tǒng)安全漏洞做出及時(shí)、正確的處理； 及時(shí)給系統(tǒng)打補(bǔ)丁，系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開;通過配備安全掃描系統(tǒng)對(duì)操作系統(tǒng)進(jìn)行安全掃描，發(fā)現(xiàn) 其中存在的安全漏洞，并有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行重新配 置或升級(jí)。2、網(wǎng)絡(luò)防病毒建立完善的病毒防護(hù)管理體系，負(fù)責(zé)病毒軟件的自動(dòng)分 發(fā)、自動(dòng)升級(jí)、集中配置和管理、統(tǒng)一事件和告警處理。通 過統(tǒng)一的管理服務(wù)器管理所有的病毒防護(hù)產(chǎn)品，包括防病 毒、防病毒網(wǎng)關(guān)、防垃圾郵件、防木馬程序、主機(jī)入侵防護(hù)。 對(duì)網(wǎng)絡(luò)內(nèi)的應(yīng)用

7、服務(wù)器進(jìn)行全面防護(hù)，從而切斷病毒在服務(wù) 器內(nèi)的寄生和傳播。對(duì)所有的客戶機(jī)進(jìn)行全面防護(hù)，徹底消 除病毒對(duì)客戶機(jī)的破壞，保證全網(wǎng)安全。1.43應(yīng)用安全1、應(yīng)用系統(tǒng)訪問控制控制不同用戶在不同數(shù)據(jù)、不同業(yè)務(wù)環(huán)節(jié)上的查詢、添加、修改、刪除的權(quán)限，提供面向 URL的控制能力，提供 面向Service的控制能力，提供面向 IP的控制能力，提供 Session的超時(shí)控制。限制登錄失敗次數(shù)：限制客戶在可配置的時(shí)間長度內(nèi)登 錄失敗的次數(shù)，避免客戶密碼遭到竊取。2、數(shù)據(jù)庫系統(tǒng)安全首先，通過系統(tǒng)權(quán)限、數(shù)據(jù)權(quán)限、角色權(quán)限管理建立數(shù) 據(jù)庫系統(tǒng)的權(quán)限控制機(jī)制，任何業(yè)務(wù)終端禁止直接訪問數(shù)據(jù) 庫服務(wù)器，只能夠通過 Web服務(wù)器

8、或接口服務(wù)器進(jìn)行訪問數(shù) 據(jù)庫服務(wù)器，并設(shè)置嚴(yán)格的數(shù)據(jù)庫訪問權(quán)限。其次，建立完備的數(shù)據(jù)修改日志，通過安全審計(jì)記錄和 跟蹤用戶對(duì)數(shù)據(jù)庫的操作，明確對(duì)數(shù)據(jù)庫的安全責(zé)任。3、身份認(rèn)證系統(tǒng)建立基于PKI/CA的安全基礎(chǔ)設(shè)施。通過信息加密、數(shù) 字簽名、身份認(rèn)證等措施綜合解決信息的機(jī)密性、完整性、 身份真實(shí)性和操作的不可否認(rèn)性問題。本項(xiàng)目能集成CA方式認(rèn)證。144.數(shù)據(jù)安全數(shù)據(jù)安全主要是采用備份的方式實(shí)現(xiàn)。對(duì)于應(yīng)用軟件及系統(tǒng)軟件的備份恢復(fù)，由于應(yīng)用及系統(tǒng) 軟件穩(wěn)定性較高，可采用一次性的全備份，以防止當(dāng)系統(tǒng)遭 到任何程度的破壞，都可以方便快速地將原來的系統(tǒng)恢復(fù)出 來。對(duì)于數(shù)據(jù)的備份，由于數(shù)據(jù)的不穩(wěn)定性，可分別

9、采用定 期全備份、差分備份、按需備份和增量備份的策略，來保證 數(shù)據(jù)的安全。配置數(shù)據(jù)備份系統(tǒng)，以實(shí)現(xiàn)本地關(guān)鍵系統(tǒng)和重要數(shù)據(jù)的備份本項(xiàng)目應(yīng)實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)庫的備份。本項(xiàng)目配備網(wǎng)頁防篡改軟件，通過在網(wǎng)頁被訪問時(shí)進(jìn)行 完整性檢查，杜絕網(wǎng)站向外發(fā)送被篡改的頁面內(nèi)容；配備一 套數(shù)據(jù)安全防護(hù)軟件，用于數(shù)據(jù)加密，確保系統(tǒng)生產(chǎn)數(shù)據(jù)的 安全。145.防火墻設(shè)計(jì)（1）防火墻部署建議控制大型網(wǎng)絡(luò)的安全的一種方法就是把網(wǎng)絡(luò)化分成單 獨(dú)的邏輯網(wǎng)絡(luò)域，如組織內(nèi)部的網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域，每一 個(gè)網(wǎng)絡(luò)域由所定義的安全邊界來保護(hù)。這種邊界的實(shí)施可通 過在相連的兩個(gè)網(wǎng)絡(luò)之間安全網(wǎng)關(guān)來控制其間訪問和信息 流。網(wǎng)關(guān)要經(jīng)過配置，以

10、過濾區(qū)域之間的通信量和根據(jù)組織 的訪問控制方針來堵塞未授權(quán)訪問。這種網(wǎng)關(guān)的一個(gè)典型應(yīng) 用就是通常所說的防火墻。（2）防火墻部署作用防火墻技術(shù)是目前網(wǎng)絡(luò)邊界保護(hù)最有效也是最常見的 技術(shù)。采用防火墻技術(shù)，對(duì)重要節(jié)點(diǎn)和網(wǎng)段進(jìn)行邊界保護(hù)， 可以對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行 過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防 范各類攻擊行為，杜絕越權(quán)訪問，防止非法攻擊，抵御可能的DOS和DDOS攻擊。通過合理布局，形成多級(jí)的縱深防 御體系。通過防火墻的部署，實(shí)現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時(shí)間等信息，執(zhí)行 嚴(yán)格的訪問控制。并將互聯(lián)網(wǎng)服務(wù)區(qū)通過單獨(dú)的防

11、火墻接口 形成獨(dú)立安全域進(jìn)行隔離。而安全管理區(qū)集中了對(duì)安全管理和網(wǎng)絡(luò)管理的服務(wù)器，這些服務(wù)器可以集中的管理整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)及安全設(shè) 備，因此需要高度的防護(hù)。通常，這些安全域只有授權(quán)的管 理員可以訪問，其他的訪問請(qǐng)求，需要被阻斷。在此邊界部 署防火墻可以對(duì)改區(qū)域進(jìn)行嚴(yán)格的訪問控制，防止非授權(quán)用 戶訪問，阻斷可能發(fā)生的入侵與攻擊行為。采用防火墻實(shí)現(xiàn)以下的安全策略：安全域隔離：實(shí)現(xiàn)服務(wù)器區(qū)域與辦公網(wǎng)絡(luò)區(qū)域之間的邏輯隔離。或者通過防火墻提供多個(gè)端口，實(shí)現(xiàn)服務(wù)器A區(qū)域與服務(wù)器B區(qū)域、辦公網(wǎng)絡(luò)區(qū)域等多區(qū)域的邏輯隔離。訪問控制策略：防火墻工作在不同安全區(qū)域之間，對(duì)各 個(gè)安全區(qū)域之間流轉(zhuǎn)的數(shù)據(jù)進(jìn)行深度分析，

12、依據(jù)數(shù)據(jù)包的源 地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時(shí)間 等信息，進(jìn)行判斷，確定是否存在非法或違規(guī)的操作，并進(jìn)行阻斷，從而有效保障了各個(gè)重要的計(jì)算環(huán)境；地址轉(zhuǎn)換策略：針對(duì)核心的應(yīng)用服務(wù)器區(qū)域，部署的防 火墻將采取地址轉(zhuǎn)換策略，將來自內(nèi)網(wǎng)用戶的直接訪問變?yōu)?間接訪問，更有效的保護(hù)了應(yīng)用服務(wù)器；應(yīng)用控制策略：在防火墻上執(zhí)行內(nèi)容過濾策略，實(shí)現(xiàn)對(duì) 應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí) 的控制，從而提供給系統(tǒng)更精準(zhǔn)的安全性；會(huì)話監(jiān)控策略：在防火墻配置會(huì)話監(jiān)控策略，當(dāng)會(huì)話處 于非活躍一定時(shí)間或會(huì)話結(jié)束后，防火墻自動(dòng)將會(huì)話丟棄， 訪問來源必須重新建立會(huì)話才能繼續(xù)

13、訪問資源；會(huì)話限制策略：對(duì)于二級(jí)信息系統(tǒng)，從維護(hù)系統(tǒng)可用性 的角度必須限制會(huì)話數(shù)，來保障服務(wù)的有效性，防火墻可對(duì) 保護(hù)的應(yīng)用服務(wù)器采取會(huì)話限制策略，當(dāng)服務(wù)器接受的連接 數(shù)接近或達(dá)到閥值時(shí)，防火墻自動(dòng)阻斷其他的訪問連接請(qǐng) 求，避免服務(wù)器接到過多的訪問而崩潰；地址綁定策略：對(duì)于二級(jí)系統(tǒng)，必須采取IP+MAC地址 綁定技術(shù)，從而有效防止地址欺騙攻擊，同時(shí)采取地址綁定 策略后，還應(yīng)當(dāng)在各個(gè)二級(jí)計(jì)算環(huán)境的交換機(jī)上綁定MAC，防止攻擊者私自將終端設(shè)備接入二級(jí)計(jì)算環(huán)境進(jìn)行破壞；日志審計(jì)策略：防火墻詳細(xì)記錄了訪問日志，可提供給 網(wǎng)絡(luò)管理人員進(jìn)行分析。1.46 WEB入侵防護(hù)設(shè)計(jì)(1) WEB入侵防護(hù)部署建議政

14、府單位為了提供便民服務(wù)，為了實(shí)現(xiàn)各種電子政務(wù)應(yīng) 用，必須將一部分原來在內(nèi)網(wǎng)的數(shù)據(jù)信息面對(duì)公網(wǎng)，面對(duì)外 單位企業(yè)網(wǎng)絡(luò)，本方案的商事主體公眾服務(wù)平臺(tái)WEB應(yīng)用服務(wù)器部署于DMZ區(qū)域，對(duì)公眾公布相關(guān)社會(huì)信用信息。盡管商事主體公眾服務(wù)平臺(tái) WEB應(yīng)用服務(wù)器已受到防 火墻的安全防護(hù)，但來自互聯(lián)網(wǎng)的病毒、木馬、蠕蟲應(yīng)用層 攻擊很容易會(huì)沖破防火墻的防線，對(duì)WEB應(yīng)用服務(wù)器帶來威脅，如網(wǎng)頁篡改，SQL注入等等，為提升網(wǎng)絡(luò)的安全性能， 建議在互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)WEB應(yīng)用服務(wù)器分別部署一臺(tái)硬件WEB防篡改設(shè)備，與防火墻一同構(gòu)筑 2-7層立體防 護(hù)。(2) 硬件WEB防篡改設(shè)備作用硬件WEB防篡改設(shè)備集成入侵防御

15、與檢測(cè)、病毒過濾、帶寬管理和URL過濾等功能，通過深入到 7層的分析與檢 測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟 件、網(wǎng)頁篡改等攻擊和惡意行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基 礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。1.4.7.安全隔離網(wǎng)關(guān)設(shè)計(jì)安全隔離網(wǎng)關(guān)部署建議政府部門一般按照國家電子政務(wù)建設(shè)要求組建自己的 電子政務(wù)網(wǎng)絡(luò)，采用三級(jí)聯(lián)網(wǎng)。政府單位為了提供便民服務(wù)， 為了實(shí)現(xiàn)各種電子政務(wù)應(yīng)用，必須將一部分原來在內(nèi)網(wǎng)的數(shù) 據(jù)信息面對(duì)公網(wǎng)，面對(duì)上下級(jí)單位、面對(duì)外單位企業(yè)網(wǎng)絡(luò)。政府的政務(wù)網(wǎng)一般主要由四部分組成：內(nèi)部運(yùn)行信息系統(tǒng)的局域網(wǎng)（政務(wù)內(nèi)網(wǎng)）上下級(jí)互聯(lián)的廣域網(wǎng)（政務(wù)專網(wǎng)）市級(jí)各部門信息資源共享的政務(wù)外網(wǎng)

16、提供信息發(fā)布查詢等社會(huì)化服務(wù)的國際互聯(lián)網(wǎng)（外網(wǎng)）政府政務(wù)內(nèi)外網(wǎng)、上下級(jí)互聯(lián)互通涉及數(shù)據(jù)的交換，必 然帶來一定的安全風(fēng)險(xiǎn)。原來利用互連網(wǎng)發(fā)動(dòng)攻擊的黑客、 病毒、下級(jí)單位的人員疏忽、惡意試探也可能利用政府內(nèi)部 網(wǎng)絡(luò)的數(shù)據(jù)交換的連接嘗試攻擊本單位政府內(nèi)部政務(wù)網(wǎng)，影 響到本單位內(nèi)部網(wǎng)的重要數(shù)據(jù)正常運(yùn)行，所以安全問題變得 越來越復(fù)雜和突出。政府網(wǎng)絡(luò)信息交換的安全原則和要求體現(xiàn)在如下幾個(gè) 方面：建立統(tǒng)一的安全隔離平臺(tái)，政府政務(wù)內(nèi)網(wǎng)的辦公、業(yè) 務(wù)管理系統(tǒng)通過統(tǒng)一出口實(shí)現(xiàn)與外部應(yīng)用、單位網(wǎng)間的可信 信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的安全策略，實(shí)現(xiàn)政務(wù)內(nèi)網(wǎng)信息和上下級(jí)單位、外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。5.532

17、安全隔離網(wǎng)關(guān)功能性支持為保障網(wǎng)絡(luò)的安全隔離，安全隔離網(wǎng)關(guān)設(shè)備應(yīng)具備如下 特性：高性能的軟硬件處理平臺(tái)：采用先進(jìn)的最新64位多核高性能處理器和高速存儲(chǔ)器。電信級(jí)設(shè)備高可靠性：可采用N : 1虛擬化技術(shù)，將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，完成業(yè)務(wù)備份同時(shí)提高系統(tǒng) 整體性能：可采用 1： N虛擬化，劃分多個(gè)邏輯的虛擬防火 墻，基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實(shí)際物理系統(tǒng) 特性一致，并且可以基于虛擬系統(tǒng)進(jìn)行吞吐、并發(fā)、新建、 策略等性能分配。強(qiáng)大的安全防護(hù)功能：支持豐富的攻擊防范功能、包過 濾和應(yīng)用層狀態(tài)包過濾（ASPF）功能，吞吐量不低于 20G， 并發(fā)鏈接數(shù)不低于 2400萬，至少滿足12個(gè)千兆

18、電口，12個(gè) 千兆光口，4個(gè)萬兆接口的接入，實(shí)現(xiàn)多個(gè)接入?yún)^(qū)域的安全 隔離，提供萬兆防護(hù)性能。全面的應(yīng)用層流量識(shí)別與管理：支持精確檢測(cè)各種 P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持精 確的P2P流量識(shí)別，以達(dá)到對(duì)P2P流量進(jìn)行管理的目的， 同 時(shí)可提供不同的控制策略，實(shí)現(xiàn)靈活的P2P流量控制。咼精度、咼效率的入侵檢測(cè)引擎?；诰_狀態(tài)的全面 檢測(cè)引擎，引擎集成多項(xiàng)檢測(cè)技術(shù)，實(shí)現(xiàn)基于精確狀態(tài)的全 面檢測(cè)，具有極高的入侵檢測(cè)精度； 引擎采用并行檢測(cè)技術(shù)， 軟、硬件可靈活適配，大大提高入侵檢測(cè)的效率。實(shí)時(shí)的病毒防護(hù)：采用知名防病毒公司的流引擎查毒技 術(shù)，迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的

19、病毒等惡意代碼。迅捷的 URL分類過濾：提供基礎(chǔ)的URL黑白名單過濾同時(shí)，可以配置URL分類過濾服務(wù)器在線查詢。IPv6狀態(tài)防火墻：實(shí)現(xiàn)真正意義上實(shí)現(xiàn)IPv6條件下的防火墻功能，同時(shí)完成IPv6的攻擊防范。集成鏈路負(fù)載均衡特性：通過鏈路狀態(tài)檢測(cè)、鏈路繁忙 保護(hù)等技術(shù)，有效實(shí)現(xiàn)出口的多鏈路自動(dòng)均衡和自動(dòng)切換。集成SSLVPN特性：滿足移動(dòng)辦公、出差的安全訪問需 求，可結(jié)合USB-Key、短信進(jìn)行移動(dòng)用戶的身份認(rèn)證，與原 有認(rèn)證系統(tǒng)相結(jié)合、實(shí)現(xiàn)一體化的認(rèn)證接入。DLP基礎(chǔ)功能支持：支持郵件過濾，提供SMTP郵件地 址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL 和內(nèi)容過濾；支持網(wǎng)絡(luò)傳輸

20、協(xié)議的文件過濾；支持應(yīng)用層過 濾，提供Java/ActiveXBIocking 和SQL注入攻擊防范。1.5.安全管理方案1.5.1.安全組織體系建設(shè)為實(shí)現(xiàn)統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理的原則，安全管理必須設(shè)立 專門的管理機(jī)構(gòu)，配備相應(yīng)的安全管理人員，并實(shí)行“第一 把手”責(zé)任制。系統(tǒng)的安全管理機(jī)構(gòu)，將根據(jù)國家的有關(guān)信息網(wǎng)絡(luò)安全 的法規(guī)、方針、政策等，承擔(dān)所屬系統(tǒng)的各項(xiàng)安全管理工作， 具體為：1）擬定并組織實(shí)施所屬計(jì)算機(jī)信息系統(tǒng)安全管理的各項(xiàng) 規(guī)章制度；2）監(jiān)督、指導(dǎo)所屬計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作，定期 組織檢查計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況，及時(shí)排除各 種安全隱患；3）貫徹國家安全主管部門的規(guī)章制度和要求，組

21、織落實(shí)安全技術(shù)措施，保障計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全；4）組織宣傳計(jì)算機(jī)信息系統(tǒng)安全方面的法律、法規(guī)和有關(guān)政策，開展計(jì)算機(jī)信息系統(tǒng)的安全培訓(xùn)和教育；5）負(fù)責(zé)聯(lián)系和協(xié)調(diào)所屬計(jì)算機(jī)信息系統(tǒng)的各項(xiàng)安全工作；6）在結(jié)合現(xiàn)有組織和人員配置情況下，組織結(jié)構(gòu)及崗位職責(zé)設(shè)置要充分體現(xiàn)統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理的原則，主 要內(nèi)容包括：管理機(jī)構(gòu)的建立，管理機(jī)構(gòu)的職能、權(quán) 限劃分，人員崗位、數(shù)量、職責(zé)定義。1.52安全管理制度建設(shè)安全管理制度是保證網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，需要通過一 系列規(guī)章制度的實(shí)施，來確保各類人員按照規(guī)定的職責(zé)行 事，做到各行其職、各負(fù)其責(zé)，避免責(zé)任事故的發(fā)生和防止 惡意的侵犯。安全管理制度包括：安全技術(shù)規(guī)范、

22、人員安全管理制度、 設(shè)備安全管理制度、運(yùn)行安全管理制度、安全操作管理制度、 安全等級(jí)保護(hù)制度、有害數(shù)據(jù)防治管理制度、敏感數(shù)據(jù)保護(hù) 制度、安全技術(shù)保障制度、安全計(jì)劃管理制度等。安全技術(shù)規(guī)范包括：1、日常操作管理辦法（針對(duì)網(wǎng)絡(luò)安全管理員）安全事件的分析主要集中在網(wǎng)絡(luò)安全管理員，因此日常 操作規(guī)范主要是對(duì)不同級(jí)別安全管理員的日常工作職責(zé)、內(nèi) 容、操作流程所做的規(guī)定，從而實(shí)現(xiàn)安全防護(hù)的程序化和統(tǒng) 一化管理。2、安全策略配置管理辦法根據(jù)安全問題潛在環(huán)境的差異和對(duì)環(huán)境關(guān)注程度的不 同，選擇相應(yīng)的網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)安全建設(shè)非常重要的一步，突出重點(diǎn)、兼顧一般的策略配置能夠降低風(fēng)險(xiǎn)3、數(shù)據(jù)備份管理辦法鑒于重要的

23、數(shù)據(jù)文件存在著對(duì)文件破壞后難以恢復(fù)性 的特點(diǎn)，出于對(duì)數(shù)據(jù)安全性、可恢復(fù)性的考慮，必須適時(shí)的 進(jìn)行數(shù)據(jù)備份，以實(shí)現(xiàn)安全防范的目的，同時(shí)能夠提高遭破 壞后的數(shù)據(jù)恢復(fù)速度。更重要的是對(duì)備份數(shù)據(jù)是否存在安全 隱患，確保備份數(shù)據(jù)的真正安全可靠，這是數(shù)據(jù)備份管理規(guī) 范區(qū)別于傳統(tǒng)數(shù)據(jù)備份的重大區(qū)別所在。4、攻擊事件預(yù)警管理辦法預(yù)警是對(duì)出現(xiàn)攻擊事件的報(bào)警，其主要內(nèi)容包括：安全 事件報(bào)警形式（電子郵件、LAN即時(shí)消息等）、預(yù)警結(jié)果傳送 渠道、預(yù)警結(jié)果的處理。5、日志管理辦法（針對(duì)網(wǎng)絡(luò)安全管理員）日志是軟件對(duì)安全防護(hù)系統(tǒng)工作運(yùn)行結(jié)果進(jìn)行的記錄， 是管理員進(jìn)行統(tǒng)計(jì)分析和發(fā)現(xiàn)問題的一種方式。其主要內(nèi)容 包括：日志生成

24、、統(tǒng)計(jì)分析、重要情況通報(bào)。6、定期報(bào)告辦法把安全事件等情況向相關(guān)領(lǐng)導(dǎo)逐級(jí)進(jìn)行定期或不定期 的總結(jié)統(tǒng)計(jì)匯報(bào)，為領(lǐng)導(dǎo)決策提供依據(jù)。其主要內(nèi)容包括： 報(bào)告形式、報(bào)告對(duì)象、報(bào)告程序及頻率、報(bào)告內(nèi)容。1.5.3 信息安全管理原則1、多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。 這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此 項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到 保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：（1）信息處理系統(tǒng)使用的媒介發(fā)放與回收；（2）處理保密信息；（3）硬件和軟件的維護(hù)；（4）系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；（5）重要程序和數(shù)據(jù)的刪除和銷毀等。2、任期有限原則一般

25、地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職 務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任 期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假 制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度 切實(shí)可行。3、職責(zé)分離原則 在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng) 當(dāng)分開。（1）敏感資料的接收和傳送；（2）安全管理和系統(tǒng)管理；（3）應(yīng)用程序和系統(tǒng)程序的編制；（4）計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。安全教育和培訓(xùn)為了將安全隱患減少到最低，不僅需要對(duì)安全管理員進(jìn) 行專業(yè)性的安

26、全技術(shù)培訓(xùn)，還需要加強(qiáng)對(duì)一般辦公人員的安 全知識(shí)的普及。通過對(duì)用戶的不斷教育和培訓(xùn)，提高用戶的 安全意識(shí)、法制觀念和技術(shù)防范水平，確保網(wǎng)絡(luò)系統(tǒng)的安全 運(yùn)行。根據(jù)用戶的不同層次制定相應(yīng)的教育培訓(xùn)計(jì)劃及培訓(xùn) 方式。1.5.4. 其他管理措施建議在項(xiàng)目實(shí)施過程中，委托第三方測(cè)試單位進(jìn)行安全 性測(cè)試，委托第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程。1.5.5. 售后服務(wù)內(nèi)容、要求和期限(1) 投標(biāo)人須提供售后服務(wù)隊(duì)伍的名稱、技術(shù)人員、聯(lián) 系地址、電話、服務(wù)手段等詳細(xì)相關(guān)資料。(2) 項(xiàng)目整體免費(fèi)質(zhì)保期為三年，質(zhì)保期內(nèi)采購人可以根據(jù)業(yè)務(wù)應(yīng)用發(fā)展情況增加應(yīng)用功能，如系統(tǒng)需要升級(jí)改造 及用戶需求發(fā)生變更所產(chǎn)生的軟件開發(fā)，由中標(biāo)人免費(fèi)提供 服務(wù)。(3) 在質(zhì)保期內(nèi)，投標(biāo)人對(duì)招標(biāo)人關(guān)于本系統(tǒng)的合