系统安全设计方案

1.

3.1网络构造安全网络构造安全是网络安全的前提和基础，对于云中心建设，每个层、区域的线路和设备均采用冗余设计通过合理规划，在终端与服务器之间建立安全访问途径在本次项目的网络构造设计中，关键网络设备、防火墙、入侵防御等均为双机冗余构造设计，双机冗余设计除了可以防止因一台设备或单个系统异常而导致业务中断外，还可以对系统业务流量负载分担，防止大流量环境下线路拥堵和带宽局限性的问题本次设计针对网络构造安全采用的重要技术措施如下重要网络设备的业务处理能力具有冗余空间，满足业务高峰期需要，同步具有可扩展、可管理等特性采用运行商高带宽链路保障了业务规定通过采用防火墙、互换机等设备，在业务终端与业务服务器之间建立了安全日勺访问途径在网络设备（防火墙、路由器、互换机）上配置优先级，通过技术手段（ACL依次匹配、QOS等）对业务服务的重要次序来指定分派，保证在网络发生拥堵的时候优先保护重要主机

1.

3.2划分子网络互换机日勺每一种端口均为自己独立的冲突域，但对于所有处在一种IP网段的I网络设备来说，当工作站的数量较多、信息流很大日勺时候，很轻易形成广播风暴，轻者导致某些网络设备的死机，严重时将导致整个网络的瘫痪在采用互换技术的网络中，对于网络构造日勺划分采用的I仅仅是物理网段的I划分的手段这样的网络构造从效率和安全性的角度来考虑都是有所欠缺的，并且在很大程度上限制了网络的灵活性，假如需要将一种广播域分开，那么就需要此外购置互换机并且要人工重新布线因此，需要进行虚拟网络（VLAN）设置VLAN对于网络顾客来说是完全透明的，顾客感觉不到使用中与互换式网络有任何的差异，但对于网络管理人员则有很大的不一样，由于这重要取决于VLAN对网络中的广播风暴的控制可提高网络的整体安全性，网络管理的简朴、直观等优势ACL（AccessControlList访问控制表）是顾客和设备可以访问的I那些既有服务和信息的列表使用ACL技术其作用在于控制VLAN间的互相通信在VLAN之间配置了Route协议之后，VLAN之间就可以实现互相的I通信，这时需要使ACL对其加以控制例如使用ACL技术使财务部门使用日勺VLAN2仅仅容许领导使用的I VLAN100访问，其他部门不能访问同步还可以隔离企业使用的I VLAN,并同步又容许访问Interneto

1.

3.3异常流量管理数据中心后台提供数据的数据库载体，将提供面向互联网的服务，包括门户网站、互联网数据搜集服务等，这些服务集中在对外信息服务区安全域中对于服务的访问流量，是我们需要保护的流量不过，往往有某些“异常”的流量,通过部分或完全占据网络资源，使得正常的业务访问延迟或中断也许发生在对外信息服务区安全边界的异常流量,根据产生原因的不一样，大体可以分为两类:袭击流量、病毒流量袭击流量是以拒绝服务式袭击（DDOS）为代表，他们重要来自于互联网，袭击的目的是互联网服务区安全域中的服务系统病毒流量病毒流量也许源自数据中心内部或互联网，重要是由蠕虫病毒所引起，一旦内部主机感染病毒，病毒会自动时在网络中寻找漏洞主机并感染互联网中的大量蠕虫病毒，也也许通过安全边界，进入到数据中心网络中来通过在网络平台中互联网出口区安全边界最外侧布署异常流量管理系统，可以实时时发现并阻断异常流量，为正常的互联网访问祈求提供高可靠环境异常流量管理系统布署在互联网出口安全区边界最外层，直接面向互联网，阻断来自互联网的袭击，阻断病毒日勺自动探测和传播异常流量系统必须具有智能的流量分析能力、特性识别能力，具有大流量入侵时足够的性能处理能力异常流量系统之后布署时即是边界防火墙设备

1.

3.4网络安全审计网络安全审计系统重要用于审计记录网络中欧I各类网络、应用协议与数据库业务操作流量，监控系统中存在的潜在威胁，综合分析安全事件，包括多种域间和域内事件审计体系采用旁路布署网络安全审计系统，对全网数据流进行监测、审计记录，同步和其他网络安全设备共同为集中安全管理平台提供监控数据用于分析预警并生成详细的审计报表本次设计针对网络安全审计采用的I重要技术措施如下安全审计系统对网络中的数据库行为、业务操作、网络协议、应用协议等进行审计记录审计记录包括事件的日期和时间、顾客、事件类型、事件与否成功及其他与审计有关日勺信息应可以根据记录数据进行分析，并生成审计报表应对审计记录进行保护，防止受到未预期的删除、修改或覆盖等重要采用的设备包括数据库审计、日志审计、网络行为审计、运维审计等设备各安全区域边界已经布署了对应的安全设备负责进行区域边界的安全对于流经各重要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析可以发现跨区域日勺安全威胁，实时地综合分析出网络中发生的安全事件一般可采用启动边界安全设备的审计功能模块，根据审计方略进行数据时日志记录与审计同步审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统网络安全审计系统重要用于监视并记录网络中的各类操作，侦察系统中存在时既有和潜在的威胁，实时地综合分析出网络中发生日勺安全事件，包括多种外部事件和内部事件在关键互换机处并接布署网络行为监控与审计系统，形成对全网网络数据时流量监测并进行对应安全审计，同步和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测网络行为监控和审计系统采用旁路技术，不用在目的主机中安装任何组件同步网络审计系统可以与其他网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、袭击和病毒进行分析和检测

1.

3.5网络访问控制访问控制是网络系统安全防备和保护的重要方略之一，它的重要任务是保证系统资源不被非法使用，是系统安全、保护网络资源的重要手段而安全访问控制的前提是必须合理的建立安全域，根据不一样的安全访问控制需求建立不一样的安全域本次云中心建设，采用防火墙+统一身份认证的方式对终端设备和访问人员实现安全准入管理技术防护机制如下布署统一身份认证系统，通过安全方略制定，结合防火墙，实现网络访问准入控制通过对云中心内各区域网络的边界风险与需求分析，在网络层进行访问控制布署防火墙产品，同步设置对应的安全方略（基线），对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的I数据包屏蔽，杜绝越权访问，防止各类非法袭击行为完整性检查边界完整性检查关键是要对内部网络中出现日勺内部顾客未通过准许私自联到外部网络日勺行为进行检查，维护网络边界完整性本次设计运用网络行为审计设备发现多种非法外联行为来进行网络边界完整性检查通过非法外联监控的管理，可以防止顾客访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密信息的完整性设计包括信息传播的完整性校验以及信息存储的完整性校验对于信息传播和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等对于信息传播的完整性校验应由传播加密系统完毕布署SSLVPN系统保证远程数据传播的数据完整性对于信息存储的完整性校验应由应用系统和数据库系统完毕应用层的通信保密性重要由应用系统完毕在通信双方建立连接之前，应用系统应运用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密对于信息传播的I通信保密性应由传播加密系统完毕布署SSLVPN系统保证远程数据传播日勺数据机密性

1.

3.7入侵防御基于网络的开放性与自由性，网络中存在多种未知的威胁和不法分子日勺袭击网络入侵检测和防御从网络中搜集信息，再通过这些信息分析入侵特性并低于网络入侵和袭击，网络入侵防御设备可以与防火墙等其他安全产品紧密结合，大程度地为网络系统提供安全保障通过对安全域边界风险与需求分析，采用的技术措施如下在外部应用区，内部应用区、安全服务区布署网络入侵防御系统（IPS）系统，实时监视并分析通过网络的所有通信业务，监视端口扫描、强力袭击、木马后门袭击、拒绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等行为当检测到袭击行为时，抵御袭击并记录袭击源IP、袭击类型、袭击目的、袭击时间，提供报警

1.

3.8恶意代码防备恶意代码的防备重要是采用边界过滤技术，重要有入侵防御、防病毒网关、防火墙、DDoS袭击检测等，通过对数据进行深层次的安全代码检查，将可疑恶意代码进行隔离、查杀和过滤根据国家有关安全技术规定，病毒网关应具有查杀当时流行的J病毒和木马的能力，其病毒库应可以在线或离线及时更新，更新周期不应超过一周，遇紧急状况或国际、国内重大病毒事件时，可以及时更新恶意代码是对智慧都市业务系统大日勺安全威胁之一本次所采用的技术措施如下通过在互联网接入区布署防病毒网关，截断了病毒通过互联网传播到云中心网络口勺途径通过在互联域布署抗DDoS袭击的系统（设备），对流量进行清洗和过滤，净化了网络流量

1.

3.9网络设备防护云中心布署了大量网络设备（路由器、互换机、防火墙等），这些设备的自身安全也直接关系到系统及各网络应用的正常运行例如设备登录信息、配置信息泄露等多种网络设备、安全设备、服务器系统、互换机、路由器、网络安全审计等都必须具有管理员身份鉴别机制，采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别，密码配置必须满足“复杂”规定，长度不少于8位字符，且不能为全数字或单词等，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成，同步应配置大登陆失败次数，一般为3-5次，超过大登陆次数后，即将登陆源IP进行锁定严禁再次尝试登陆，以防口令暴力猜解设备应根据物理安全规定，固定安装于机柜并粘贴对应标识对所有网络设备均启动登录身份验证功能，对登录网络设备的顾客进行身份鉴别；同步对安全设备管理员登录地址进行限制；网络管理员和安全管理员的顾客名的I标识都具有唯一性；网络安全设备、服务器的口令采用强口令并定期更换；在安全设备、服务器、安全系统上启动登录失败处理功能，如采用限制非法登录次数和当网络登录连接超时自动退出等措施启用网络安全的SSH及SSL功能，保证对设备进行远程管理时防止鉴别信息在网络传播过程中被窃听本次云中心设计重要采用下列技术措施关键互换机、路由器、防火墙、隔离网闸等网络设备设置登录方略限制远程登陆管理IP地址范围，关键设备只容许运维管理域的IP主机或堡垒机方可以管理权限通过网络登陆设备配置和维护操作，通过网络远程配置管理必须采用加密方式（如SSH或S）建立连接，以防连接会话被窃听或篡改所有操作必须通过管理终端域管理终端或堡垒机操作，通过堡垒授权账号与权限划分，有审计员帐号监督审计，审计管理员可随时查看系统管理员对网络设备所做的操作，帐号登陆后若长时间未有操作，应可以自动退出系统或结束目前管理会话连接，严格杜绝超级管理员权限帐号或永久在线帐号存在布署运维堡垒主机对登录操作系统和数据库系统的顾客进行身份标识和鉴别，杜绝默认帐号，不合规则的帐户登录访问；操作系统和数据库系统管理顾客身份标识应具有不易被冒用的I特点，口令应有复杂度规定并定期更换启用登录失败处理功能，可采用结束会话、限制非法登录次数和自动退出等措施，三次登录失败账号自动锁定操作系统、数据库系统的不一样顾客分派不一样的顾客名，且具有唯一性

1.

3.10安全区域边界为保护边界安全，本处理方案针对构建一种安全的区域边界提出的处理手段是在被保护的信息边界布署一种“应用访问控制系统”该系统应可以实现如下功能信息层的自主和强制访问控制、防备SQL注入袭击和跨站袭击、抗DoS/DDoS袭击端口扫描、数据包过滤、网络地址换、安全审计等，同步为了保证应用系统的高可用性，需考虑负载均衡设备此外，对于不一样安全等级信息系统之间的I互连边界，可根据根据信息流向时高下，布署防火墙或安全隔离与信息互换系统，并配置对应的安全方略以实现对信息流向欧I控制根据数据中心互联网的业务需求，数据中心提供对互联网的访问服务对这些访问行为，需要对数据互换、传播协议、传播内容、安全决策等进行严格的检查，以防止有互联网引入风险数据中心内部划分了专门的互联网服务器安全域,将对外提供服务的Web服务器等布署在防火墙日勺DMZ区，负责接受和处理来自互联网的I业务访问祈求防火墙进行严格欧I访问控制的I设定，保证访问身份的合法性不过，防火墙无法高度保证传播内容、协议、数据的安全性同步，需要对政务内网服务器对数据中心政务外网的访问进行双向严格的管理控制，不容许互联网顾客访问到政务内网业务服务器的数据库O可以通过在电子政务内网和电子政务外网的安全边界上布署安全隔离网闸，对各部门的数据库实现按需数据同步通过这种方式，可认为访问提供更高的安全性保障安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后时应用层信息根据顾客的方略进行强制检查后，以格式化数据块的方式通过隔离互换矩阵进行单向互换，在此外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”这样，既从物理上隔离、阻断了具有潜在袭击也许的一切连接，又进行了强制内容检测，从而实现最高级别的I安全在安全域之间进行数据互换时，需要在安全域的边界控制信息流向，实现安全域边界网络层的访问控制因此，本项目提议在业务网络边界布署带有网络层访问控制功能的第二代防火墙，在数据存储区边界布署高性能第二代防火墙在业务网络边界布署带有网络层访问控制功能的第二代防火墙，一种方面实现对该区域与外部区域数据互换时的访问控制，此外一种方面实现对该区域应用层业务系统日勺保护，抵御来自外部的I应用层袭击在数据资源区布署高性能第二代防火墙，在从业务服务器区域与数据存储区进行数据互换时，再进行一次安全防护，从而实现对整个业务系统的I纵深的防御第二代防火墙是面向应用层设计，可以精确识别顾客、应用和内容，具有完整安全防护能力，可以全面替代老式防火墙，并具有强劲应用层处理能力的全新网络安全设备第二代防火墙处理了老式安全设备在应用识别、访问控制、内容安全防护等方面的局限性，同步启动所有功能后性能不会大幅下降

1.

3.11安全域划分安全域的划分是网络防护的基础，实际上每一种安全边界所包括的区域都形成了一种安全域这些区域具有不一样的I使命，具有不一样的功能，分域保护时框架为明确各个域日勺安全等级奠定了基础，保证了信息流在互换过程中的安全性在数据中心中，有些应用系统之间面临相似或相似的安全威胁、，他们的I安全需求也具有一定的相似性为了简化保护措施，减少保护费用和简化管理，遵照分域保护、分级保护的原则，进行合理的安全域划分

1、划分原则网络位置分离划分为不一样的安全域；保护规定不一样划分为不一样的I安全域；访问对象不一样划分为不一样的I安全域

2、安全域的划分根据对虚拟服务器资源的I需求，数据中心将提供电子政务外网服务，电子政务外网服务区域包括部门数据资源区、关键骨干区、外部数据区、管理区和出口安全区，各安全域间通过对应的隔离手段互相隔离

1.4系统层安全

1.

4.1虚拟化平台安全虚拟化平台是整个硬件资源进行抽象化的关键层次，虚拟化平台的安全关乎到整个政务云平台时正常运转因此，对虚拟化平台的安全进行着重安全措施布署，至少包括选用成熟可靠，自主可控的虚拟化平台系统（基于OpenStack架构的KVM平台），防止被某些国外厂商“绑死”，并减少敌对势力运用后门程序进行破坏和数据窃取应在深入虚拟化平台底层，进行安全措施布署和控制增强平台可控性，并定期进行漏洞检测、安全加固和补丁升级，保障虚拟化平台的I动态可靠深入到虚拟化平台底层布署针对虚拟机的安全隔离与防护措施，防止恶意份子运用虚拟机对虚拟化平台发起袭击、恶意抢占资源，保障虚拟化平台的高可用性加强对虚拟化平台的I访问、运维管理的I审计措施，形成包括对资源池内、外部事件的I整体安全审计体系，防止特权人员对虚拟化平台破坏应采用资源高可用性措施，保障异地备份资源池与主资源池之间的负载均衡,提高业务持续性和可用性

1.

4.2虚拟机系统构造系统虚拟化的关键思想是虚拟化软件在一台物理机上虚拟出一台或多台虚拟机使用系统虚拟化技术，虚拟机运行在一种隔离环境中、具有完整硬件功能的逻辑计算机系统，包括客户操作系统和其中的应用程序在虚拟机系统中，多种操作系统可以互不影响地在同一台物理机上同步运行，复用物理机资源在虚拟机系统中，虚拟运行环境都需要为其上运行的虚拟机提供一套虚拟时硬件环境，包括虚拟的处理器、内存、设备与I/O及网络接口等为了以便虚拟机系统的管理，提高虚拟机系统日勺安全性，在虚拟机系统中，可以设置独立的管理虚拟机，专门提供虚拟机日勺管理和对虚拟机系统的I安全控制管理虚拟机可以和虚拟机监控器合作，完毕对虚拟机系统中客户虚拟机管理工作在管理虚拟机中，可以布署安全模块，为虚拟机系统提供安全机制伴随虚拟机系统功能的增多，虚拟机监控器规模越来越大，其出现的漏洞也越来越多因此，运用虚拟机监控器提供可靠的安全机制已经不可信通过在虚拟机监控器外，设置独立安全模块，既可以不增长虚拟机监控器的规模，又能给虚拟机系统提供可信的安全机制安全控制从VMM中分离出来日勺虚拟机系统构造安全控制模块负责提供对虚拟机监控器行为日勺安全控制，从而保证虚拟机系统的安全

1.

4.3虚拟化网络安全保障虚拟化网络的安全可靠运行，可为虚拟资源之间的协调分派，业务的流畅运行提供良好的保障应深入虚拟化平台底层，实现虚拟化网络可视可控、动态边界防护、安全方略一致性、虚拟机安全隔离和统一管理，以及安全风险态势可视化应采用的安全措施，至少包括通过设计采用底层控制技术的虚拟化安全网关系统，可全面获取虚拟化网络流量报文，对虚拟化网络中的流量、报文进行可视化处理，对越权访问行为进行阻断布署统一的安全方略管理平台，对多资源池间的虚拟机漂移、动态边界进行安全方略一致性保障，防止因虚拟机漂移带来的安全漏洞构建安全资源池体系，为各委办局和单位，提供专用的安全保障措施和安全方略管理接口，保障各委办局和单位可以在基础安全方略之上进行特性化的I安全方略配置，保障特殊安全需求的I满足建立虚拟机安全管理机制，虚拟机标签MAC绑定等技术措施，并检测虚拟机的通信包日勺mac与否与分派给虚拟机的一致，发现不一致后严禁其通信，减少因此带来日勺网络混乱理顺并进行物理网络和虚拟化网络结合的安全方略配置，以及等保符合性的安全方略调优、安全巡检和运维加固，配置专业化的I安全运维队伍在虚拟化平台上，布署具有FW、IPS、抗DDos袭击、安全审计等功能模块虚拟化安全网关系统，对虚拟化网络中存在的袭击和恶意代码散播进行遏，防止因此带来的安全事件发生

1.5数据层安全

1.

5.1数据安全方略数据安全，尤其保障数据信息的I CIA物理隔离通过不一样的业务访问规模布署多套物理隔离的系统网络云数据隔离通过虚拟化层安全机制实现虚拟机间存储访问隔离数据访问控制设置虚拟环境下的逻辑边界安全访问控制方略,实现虚拟机、虚拟机组间日勺数据访问控制数据存储安全为顾客可选提供加密存储服务，虚拟机服务则提议顾客对重要的数据信息在上传、存储前进行加密处理数据传播安全采用SSH、SSL等方式保障维护管理信息的安全，采用数据加密、VPN等保障顾客数据信息的网络传播安全剩余信息保护存储资源重分派之前进行完整的数据擦除；数据删除后，对应的存储区进行完整的数据擦除或标识为只写；数据备份与恢复支持文献级完整和增量备份；映像级恢复和单个文献的恢复

2.

5.2数据传播安全针对远程异地办公工作人员，通过SSLVPN技术接入，运用SSLVPN实现敏感数据加密，处在安全性的考虑SSLVPN设备布署在安全服务区详细采用的技术措施如下（I）顾客身份鉴别，防止外部人员非法接入

（2）数据传播安全，通过加密，保护在互联网上传播数据的I安全

1.

5.3数据完整性与保密性本次设计所采用的技术措施如下重点应用系统中传播关键、敏感数据时要采用高强度加密算法（3DES,AES等），实现数据保密性规定，其他类应用系统根据详细状况来考虑对于重点应用系统，因数据在Internet上传播或至关重要，应当保障数据时完整性,针对应用系统信息的重要程度，可以采用不一样的数据完整性验证手段要实时监控业务系统和管理员对业务数据库的所有访问，根据多种安全方略鉴定访问操作的风险等级，并根据风险等级选择性的报警，从而实现完全独立于数据库的审计功能模块提供可视化的审计日志检索和回放功能，生成可读性高欧I报表，到达提高数据库及业务系统日勺安全性日勺目的I通过布署证书认证系统、安全应用支撑平台为应用系统安全提供数据完整性、数据保密性服务同步布署数据库审计系统对访问数据库中机密数据的行为进行审计，到达提高数据库安全性的目的

1.

5.4数据备份与恢复数据备份是数据在受损后恢复快的数据安全措施，规定将系统重要数据运用光盘库、磁带机、磁带库或其他存储设备，复制数据的副本，并且将备份介质异地寄存；数据备份方式可以选择海量备份、增量备份或差分备份，在初次对系统数据进行备份时，必须选择海量备份方式，规定每天对数据进行一次增量备份,每周对数据进行一次差备份重要数据传播网络和数据系统包括硬件部分，要采冗余构造，保证数据的高可用性针对系统的数据备份和恢复，本次设计采用的技术措施如下冗余技术设计网络拓扑构造，防止存在网络单点故障在里耶布署异地数据备份系统，并建立完整备份方略，根据每天、每周、每月等规定分别设定不一样日勺备份内容和规定

1.

5.5Web应用安全监测Web应用（此处重要指门户网站）是政务信息化中一项重要的应用，根据前期对全国Web应用的|调研和分析，Web应用曰勺安全隐患导致袭击事件不停发生的I局面本项目采用的措施是构建Web应用监测综合分析系统，针对web应用或门户网站站安全问题，变被动应对为积极关注，实行积极防御，这就需要以一种全面的视角看待网站安全问题，并依托各个方面的互相配合，对网站安全做到心中有数，防护有方详细的思绪如下

1、建立积极日勺安全检测机制面对Web应用的威胁、，我们缺乏有效的检查机制，因此，首先要建立一种积极日勺网站安全检查机制，保证网站安全状况的及时获知一与否已经遭到袭击,与否存还在被袭击日勺风险

2、进行有效的入侵防护面对Web应用时袭击，我们缺乏有效的检测防护机制，因此，需要布署针对网站的I入侵防护产品，加强网站防入侵能力，可以对网站主流的应用层袭击（如SQL注入和XSS袭击）进行防护

3、针对网站安全问题，建立及时响应机制面对Web应用程序漏洞和已经导致的危害，缺乏恢复日勺机制和足够日勺技术储备，因此，需要确立专业支持团体的I外援保障，处理及时响应问题，在网站安全问题被验证后，能保证对网站进行木马清除以及针对Web漏洞的J安全代码审核修补等工作只有通过以上3个环节有机结合，方可建立一套有检测，有防护，有响应的网站安全保障方案，保证在新威胁环境下网站的安全运行

1.6数据库安全

1.

6.1保证数据库的存在安全保证数据库系统的安全首先要保证数据库系统的存在安全

1.

6.2保证数据库的可用性数据库管理系统的可用性表目前两个方面一是需要制止公布某些非保护数据以防止敏感数据的泄漏；二是当两个顾客同步祈求同一纪录时进行仲裁

1.

6.3保障数据库系统的机密性重要包括顾客身份认证、访问控制和可审计性等

2.

6.4保证数据库的完整性数据库的完整性包括物理完整性、逻辑完整性和元素完整性物理完整性是指存储介质和运行环境的完整性逻辑完整性重要有实体完整性和引用完整性元素完整性是指数据库元素的对的性和精确性

1.7系统软件安全操作系统是计算机软硬件资源和数据日勺总管，肩负着计算机系统庞大日勺资源管理，频繁的输入输出控制以及不间断的顾客同操作系统之间欧I通信等重要功能网络设备防护-

1.

3.10安全区域边界-

1.

1.4系统层安全-

1.

4.1虚拟化平台安全-

1.

1.2虚拟机系统构造-

1.

1.3虚拟化网络安全-

1.5数据层安全-

1.

6.1数据安全方略-

1.

5.2数据传播安全-

1.

5.3数据完整性与保密性-

1.

5.4数据备份与恢复错误!未定义书签

1.

5.5Web应用安全监测-

1.

1.

6.1保证数据库日勺存在安全-

1.

1.2保证数据库日勺可用性-

1.

1.3保障数据库系统的机密性-

1.

1.4保证数据库日勺完整性-

（1）所述客体包括文献或资源，所述客体的信任状态包括强可信状态、弱可信状态或不可信状态，其中，具有可执行权限且来源合法的客体处在所述强可信状态；无可执行权限且来源合法或者未知的客体处在所述弱可信状态；具有可执行权限且来源未知的客体处在所述不可信状态

（2）所述主体包括进程，所述主体的信任状态包括强可信状态或不可信状态，其中，所述主体的信任状态由父进程的信任状态及进程对应的可执行文献的信任状态决定

（3）首先保证根进程处在强可信状态，系统中所有的主体（进程）均由根进程直接或间接派生而来的；以linux系统为例，内核加载后来，会启动顾客空间的根进程（init进程），此后，系统运行后的I所有进程均为根进程（init进程）直接或间接派生而来的

（4）当所述主体派生一种子进程时，子进程继承父进程的信任状态；当所述主体执行一种可执行程序或脚本时，当且仅当所述主体与所述客体均为强可信状态时，新进程的信任状态置为强可信状态，否则，新进程日勺信任状态置为不可信状态

（5）在所述文献时已经有权限内容的基础上，增长一种用于标识所述文献的I信任状态日勺权限位

（6）在制作操作系统的映像文献时，将操作系统中的I所有文献的信任状态进行初始化

（7）当所述主体创立一种客体时，假如所述主体为强可信状态，新创立的客体假如有执行权限设置则为强可信状态，否则，置为弱可信状态；当所述主体为不可信状态时，新创立日勺客体假如有执行权限设置则为不可信状态，否则，置为弱可信状态

（8）当所述主体对客体进行写入或删除操作时，假如所述主体为不可信状态，客体为强可信状态，严禁操作，否则容许操作

（9）当所述主体修改客体时可执行权限时，不管客体处在什么状态，当且仅当所述主体为强可信状态时，容许操作，否则，严禁操作通过此种措施，确定操作系统中的所有主体与客体的信任状态，并根据主体与客体的I信任状态，控制主体对客体的操作权限，该操作系统安全防护措施于以便易用的同步，通过各信任状态可以非常有效地防备系统被恶意程序修改和破坏,同步对操作系统的易用性和稳定性等不会导致较大影响详细实行方式本措施在于提供一种操作系统安全防护措施，操作系统中的所有主体与客体具有不一样曰勺信任状态，并根据主体与客体的信任状态，控制主体对客体日勺操作权限；防备操作系统被恶意修改与破坏，同步对系统日勺性能和稳定性方面不会带来明显影响控制主体对客体的操作权限包括控制主体对客体执行的写入操作、删除操作和修改操作可信认证技术重要针对破坏和修改系统以及顾客数据的恶意行为；目前市面上出现的I破坏系统的恶意程序，它们常用手段一般是运用系统漏洞植入恶意代码非法获得超级权限，修改系统文献，破坏操作系统正常机能或者为下一步的恶意行为留下后门所述客体包括文献或资源，所述客体的信任状态包括强可信状态、弱可信状态或不可信状态，其中，具有可执行权限且来源合法的客体处在所述强可信状态；无可执行权限且来源合法或者未知的客体处在所述弱可信状态；具有可执行权限且来源未知的客体处在所述不可信状态在UNIX、linux、VWS等系统中，通过9位权限控制文献的存取权限，可以在9位权限中扩充一位用来标识文献的信任状态，在制作系统的映像文献时,对操作系统中的所有文献的信任状态进行一次初始化，将内核文献、init程序文献等其他来源合法的可执行文献的信任状态设置为强可信状态；将无执行权限的文献设置为弱可信状态，未来源未知时可执行文献设置为不可信状态所述主体包括进程，所述主体根据信任状态包括强可信信任状态与不可信信任状态主体和客体不一样样，主体是动态的，而客体是静态的例如，操作系统中日勺文献和资源在每次系统重启后来，文献和资源的内容和属性是不会变化的I,而系统中的进程每次重启后都会重新创立，因此主体日勺信任状态定义同客体有所不一样主体的信任状态是在主体（进程）创立时为其定义的，定义的要素有两个父进程的信任状态；进程对应的I可执行文献（进程及I代码）的信任状态因此，所述主体的信任状态由父进程的I信任状态及进程对应时可执行文献的信任状态决定首先保证根进程处在强可信状态，系统中所有的主体（进程）均由根进程直接或间接派生而来日勺；以linux系统为例，内核加载后来，会启动顾客空间的I根进程（init进程），此后，系统运行后的所有进程均为根进程（init进程）直接或间接派生而来的当所述主体调用fork函数创立一种子进程时，子进程继承父进程的信任状态；当所述主体调用exec运行一种新进程时，当且仅当所述主体与可执行程序客体（文献）均为强可信状态时，新进程的信任状态置为强可信状态，否则，新进程的信任状态置为不可信状态所述主体创立一种客体，当所述主体为强可信状态时，新创立的客体假如有执行权限置为强可信状态，否则，置为弱可信状态；当所述主体为不可信状态时，新创立aI客体假如有执行权限置为不可信状态，否则，置为弱可信状态当进程exec执行一种新的进程时，规则如下:假如主体（进程）为强可信状态，客体（新进程的程序文献）也为强可信状态，新进程置为强可信状态；假如客体为不可信状态，新进程置为不可信状态；假如主体（进程）为不可信状态，无论客体与否为可信状态，新进程统一置为不可信状态当主体（进程）在系统上创立一种新日勺客体（文献）时，规则如下假如主体（进程）为强可信状态，新创立的客体（文献）假如有执行权限置为强可信状态，否则，置为弱可信状态；假如主体（进程）为不可信状态，新创立的客体（文献）假如有执行权限置为不可信状态，否则，置为弱可信状态

1.8应用层安全

1.

8.1身份鉴别本次设计详细采用的技术措施如下各应用子系统应具有有效的身份认证与鉴别功能，保证只有合法授权的顾客方可登陆应用系统统一身份认证网关支持采用“顾客名+口令”、“USBKEY+数字证书”的方式进行身份鉴别，对重要应用系统采用两种组合方式进行身份认证和鉴别方式对于顾客登录信息系统的I密码配置必须满足“复杂”规定，长度不少于8位字符，且不能为全数字或字母，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成配置大登陆失败次数，一般为3-5次，超过大登陆次数后，即将登陆源IP进行锁定严禁再次尝试登陆，以防口令暴力猜解帐号登陆后若长时间未有操作,应可以自动退出系统、结束目前管理会话，保证在长时间离开时不被非法冒名操作配置系统顾客初次登陆时必须修改自己的登陆密码，配置密码失效周期，每一种月必须修改一次登录密码

1.

8.2访问控制建立访问控制方略，根据小原则授予顾客权限，应用系统要分派不一样的特权顾客，访问方略统一由授权帐号分派本次设计重要通过建立统一的I权限分派和管理系统为每个系统顾客依权限小化分派原则进行权限分派、资源分派，并制定系统登陆方略、身份鉴别方式以及各顾客之间信息通讯规则访问控制粒度主体控制到单一顾客，客体控制到信息类别配置系统新建立的帐号，在权限明确分派之前无任何系统资源访问权限，杜绝使用默认权限访问应用系统资源系统管理具有三权分立机制，即由顾客管理员、审计员、系统管理员角色构成，顾客管理员角色只能创立系统顾客并分派权限，系统中任何一种顾客登陆系统的所有操作过程,都应当在审计员监督检查范围之内，无超级管理员帐号存在

1.

8.3Web应用安全云计算软件服务提供商通过基于Web的瘦客户端为顾客提供鉴权、登录和应用等功能但由于Web浏览器自身的脆弱性，Web应用程序会很轻易被植入恶意代码而对顾客和服务提供商带来损失Web应用防火墙可以良好地防备某些基于web的I常见袭击，如跨站脚本袭击、SQL注入等数据中心计算网络中存在大量的Web服务器，网站存在Web应用安全漏洞极易导致Web安全袭击事件的发生，而Web袭击可导致的后果极为严重，通过常见日勺Web袭击手段将一种合法正常网站攻陷，运用获取到的对应权限在网页中嵌入恶意代码，将恶意程序下载到存在客户端漏洞的主机上，从而实现袭击目0^0一般状况下，网站出现安全事件重要有如下几种网站访问被拒绝导致页面的不能正常浏览打开，公众看不到网页，获取不到公布的信息网站被写入恶意代码会导致浏览网站的来宾计算机中毒，引起多种后果,最终导致有关人员不在信任和访问网站假如针对特定人群（尤其是国家重要机关和部门）的袭击可导致波及国家秘密日勺重要信息泄漏，引起严重日勺国家政策变动或者国际声誉受损网站页面被篡改页面出现某些敏感词汇或虚假信息，引起公众信誉公关问题，甚至网站被公共安全机关强制关闭、取缔网站数据被窃取导致网站上包括顾客数据在内的隐私数据被窃取，顾客数据泄漏后给顾客导致诸多二次袭击的问题（如冒充其身份对其好友进行诈骗），使得顾客对该网站的信任度一落千丈，从而不再访问该网站在云计算服务器前端布署Web防火墙，保护Web服务器欧I正常运行

1.

8.4安全审计本次设计重要采用日志审计设备，将系统所有操作过程详细记录，并由日志审计员方可进行查看审计记录的内容至少应包括事件日勺日期、时间、发起者信息、类型、描述和成果等，并可以进行记录、查询和生成对应报表审计模块至少覆盖事件的日期、时间、发起者信息、类型、描述和成果等内容，审计记录的内容应当尽量保证详细以便于事后问题时终和审计检查

1.

8.5剩余信息保护应用系统剩余信息保护重要是指系统保证顾客鉴别信息所在的I存储空间被释放或再分派给其他顾客前得到完全清除，无论这些信息是寄存在硬盘上还是在内存中本次设计重要通过专门的硬盘空间擦除设备保证系统内的文献、目录和数据库记录等资源所在的存储空间被释放或重新分派给其他顾客前得到完全清除应用层口勺通信保密性重要由应用系统完毕在通信双方建立连接之前，应用系统应运用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密本次设计详细采用日勺技术措施如下对于信息传播的通信保密性应由传播加密系统完毕,针对移动办公需求，通过布署VPN系统保证远程数据传播的数据机密性对于重点应用系统，传播关键、敏感数据时要采用传播加密技术，实现数据保密性规定；其他类应用系统应根据详细状况来考虑不得以明文方式在互联网上传播数据，以防数据在网络传播过程当中被非法窃听数据加密要在顾客身份鉴别阶段完毕，包括在网上传播的顾客身份认证信息均需以密文方式在网络传播B/S架构的I应用系统，使用SSL加密和S方式进行浏览访问

1.

8.7抗抵赖处理系统抗抵赖特性有效的措施就是采用数字签名技术，通过数字签名及签名验证技术，可以判断数据的发送方是真实存在的顾客数字签名是不对称加密算法的经典应用数字签名时应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完毕对数据的合法“签名”，数据接受方则运用对方的公钥来解读收到的I“数字签名”，并将解读成果用于对数据完整性日勺检查，以确认签名日勺合法性同步，通过对签名日勺验证，可以判断数

1.

9.1身份鉴别-

1.

8.3Web应用安全-

1.

8.4安全审计-

1.

8.5剩余信息保护-

1.

8.6通信保密性-

1.

8.7抗抵赖-

1.

8.8软件容错-

1.

8.9资源控制-

1.

8.1010可信接入体系-

1.

8.11全-

1.

8.12防护措施-

1.

8.13管理运维体系-

1.

8.8软件容错软件容错的重要目的是提供足够的冗余信息和算法程序，使系统在实际运行时可以及时发现程序设计错误,采用补救措施，以提高软件可靠性，保证整个计算机系统的正常运行本次设计详细采用的技术措施如下提供数据有效性检查功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定规定具有自保护功能，在故障发生时，应用系统应可以自动保留目前所有状态,保证系统可以进行恢复系统在开发设计时需具有顾客输入数据长度、字符的合规性验证功能,例如:顾客登陆框，应限定顾客登陆名长度不超过16个字符，密码输入框字符长度不应超过32个字符，并且要对特殊字符（如英文状态下的单引号、双引号）和数据库关键字进行过滤；系统应当可以对目前日勺工作状态进行记录，保证系统异常瓦解后可以及时恢复到当关状态

1.

8.9资源控制为应用系统正常时为顾客提供服务，必须进行资源控制，否则会出现资源耗尽、服务质量下降甚至服务中断等后果通过对应用系统进行开发或配置来到达控制日勺目的I,详细采用的技术措施如下会话自动结束当应用系统欧I通信双方中日勺一方在一段时间内未作任何响应,另一方应可以及时检测并自动结束会话，释放资源会话限制对应用系统的大并发会话连接数进行限制，对一种时间段内也许时并发会话连接数进行限制，同步对单个帐户的多重并发会话进行限制，设定有关阈值，保证系统可用性登陆条件限制通过设定终端接入方式、网络地址范围等条件限制终端登录超时锁定根据安全方略设置登录终端的操作超时锁定顾客可用资源阈值限制单个顾客对系统资源的大或小使用程度，保障正常合理日勺资源占用对重要服务器及I资源进行监视，包括CPU、硬盘、内存等对系统及I服务水平减少到预先规定的小值进行检测和报警提供服务优先级设定功能，并在安装后根据安全方略设定访问帐户或祈求进程的优先级，根据优先级分派系统资源

1.10可信接入体系专网有多种接入方式和多种接入群体，从人员上可分为政务单位接入、移动办公人员接入、企事业单位接入以及公众人员接入；从线路上分为无线接入和光纤接入对于不一样的接入人群、线路以及采用日勺措施如下表接入表无线接入光纤接入公众顾客准入控制VPN认证、身份认证、准入控制移动办公VPN认证、身份认证、准入企事业单位控制VPN认证、身份认证、准入政府单位控制身份认证除了公众顾客以外，其他任何接入形式和接入方式均需要身份认证；当接入顾客被发现后，需要对其身份进行认证和核算，否则只能被拒绝访问或强制到安全隔离区，访问有限H勺公共资源等，假如认证被通过则需要下一步的准入控制详细流程如图:身份认证流程图■身份检查身份确认接入申请________________接入用户身份认证基于证书时双因子认证，认证通过后根据证书携带的J属性信息进行资源授权访问，资源包括应用和系统，应用系统、数据库、中间件、主机、网络设备、安全设备等VPN认证除了公众顾客访问的公共资源外，其他接入顾客均有VPN接入的需求，VPN认证目日勺是加强数据在传播过程中的机密性、完整性保护，减少数据的传播安全风险，智慧都市专网可使用的IVPN认证有多种方式，但使用最广泛和常见日勺有IPSECVPN、SSLVPN和MPLSVPN三种方式这三种VPN合用于不一样改I环境IPSECVPN基于IPSEC安全传播协议而构建的VPN系统，实现对传播数据的加密、传播数据的完整性校验以及对抗重放袭击IPSECVPN常常布署在全网接入的环境中，实现从网关到网关、端点到网关以及端点到端点的安全传播隧道；使用IPSECVPN隧道实现远程访问时，就像将远程终端直接接入到关键网络计算环境同样，可以便地访问网络计算环境中的资源SSLVPN基于SSL安全传播协议而构建的I VPN系统，实现对传播数据的J加密、传播数据的完整性校验以及抗抵赖保护SSLVPN常常布署在单点接入的环境中，实现点到网关的安全传播隧道；合用SSLVPN隧道实现远程访问时，需要通过S去访问智慧都市网络计算环境的综合门户，通过综合门户才能访问许可的信息系统进行业务处理MPLS VPN最初MPLS被设计为通过标签来互换数据包，用于将网络计算环境中的不一样业务数据流分离，并通过执行QOS来保障关键业务访问可得到足够的保障带宽资源，不过这种方式对数据包不加密，只要袭击者掌握了MPLS标签的长度规则，同样可以破解出传播数据的内容导致泄密；但该措施实现简朴，因此在电子政务广域网的传播链路中，实现多种数据流的分离这三种技术各有特点，也各有对应范围其中IPSECVPN适合于多点对对点，或者单点对多点的全网接入；MPLSVPN适合于不一样业务走相似的I骨干链路时，实现业务流的J隔离与带宽管理的场所；而SSLVPN依托的底层协议为SSL协议，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化原则准入控制准入控制系统存在着多种准入控制技术如:NACC、

802.1x、EOU、DHCP准入、IPAM准入、SNMP准入、WebAuth、MAB/IAB认证等，这些准入控制技术分别提供了对局域网顾客、移动顾客、无线顾客等的准入控制，基本实现如下某些功能接入发现无论接入顾客通过专网任何网点、VPN网络、无线网络、私接Hub等均可通过准入控制系统发现,且这种发现与接入介质无关,无论是笔记本、电脑主机、智能终端均可被发现身份认证当接入顾客被发现后，配合身份认证系统对其身份进行认证和核算，一般通过WebAuth认证方式强制接入顾客填写申请准入的个人信息，否则只能被强制到安全隔离区，假如认证被通过则可获取访问授权方略审查获得访问授权后，仍然需要对接入介质（PC机、笔记本电脑、智能终端）与否符合汇聚层的安全方略需要深入的审查，检查其操作系统与否符合合规、重要的安全补丁与否安装、与否具有共享文献目录、移动存储介质与否具有自动播放功能、病毒版本与否及时更新、内网终端主机管理系统与否安装等对于方略审查未通过的接入顾客则引导至隔离修复区，在隔离修复区对接入终端进行安全修复，当完全满足接入方略规定后则放行进入到政务资源网无线认证对于通过无线智能设备接入到智慧政务网络的终端同样采用强制性的个人账号+密码的认证方式接入，认证通过后才能获取授权访问资源，与其他终端不一样的是智能设备除了可以访问政务网以外，还存留了诸多的个人资料和信息如短信、照片、通信录等，而无线认证日勺目的J就是隔离个人信息、应用和工作信息、应用同步在隔离通道内启用VPN加密传播工作信息和数据，保障了业务的持续性和完整性通过上述手段的综合应用，保障在专网的接入端建立起可信接入体系，实现各类终端系统的可信接入

1.9接口安全调用接口时，可采用如下措施保证安全性:

1.使用MD5实现对接口加签，目的I是为了防止篡改数据；

2.基于网关实现黑明单与白名单拦截；

3.可使用rsa非对称加密公钥和私钥互换；

4.假如是开放接口,可以采用oath

2.0协议；

5.使用s协议加密传播，不过传播速度慢；

6.对某些特殊字符实现过滤防止xss、sql注入的袭击；

7.定期使用第三方安全扫描插件；

8.接口采用dto、do实现参数转化，到达敏感信息脱敏效果；

9.使用token+图形验证码措施实现防止模拟祈求；

10.使用对IP访问实现接口的限流，对短时间内同一种祈求IP一直访问接口进行限制详细安全性设计如下:实现妁定我则■用方按牖理则加密,传就对应“欣—《二务方按期理则第一通过appKey标识不同理用方appKeys»g八y限理signKey只在本地加密，不与网络传输利用signKey和恰入•数生成sign进行加疣比较好的加密方式是通过rsa加密的方式.公铜给对方.用于解密.私铜自己保存.用于博密0摆前结，两方分配好用户名和声码防止襁其他人调用1用户旨录向附第H挪供认证信息（如餐号叩S码）.RB务U检证成功后返回】，弟客卢浦；客户MPToki保存在本地.后缉发照请来时.携带比Token；token,不带上appK，.斐雯楼口提供方根准tokan故土曷哪Z用7^3眼务先检变Token的有效性，有效则成行，无效（二，拒绝Toker»tt«2ie,可以伪造谪求北8♦政3次方案阳多方配Sip白名・将请求中的所有密数和值技骐字典升序排序，生成字苻害.然后利用signKcy进行加定1冷照请求，St名的字母升序排列非空清求，数（包含AccessKcy）,使用URL蔻值冏的格式（BDkcyl防止授口请求》数被更改-value1kcy2-valuc

2...）拼接成字符串smngA2在stnngA■后将接上SecretkeylWlJ字桁$具体流理stfingSignTemp；3对stnngSigcTempig行MD5运耳,并将得到的字符串所有字符K授为大号.得到sqnfA./务指口方在返回结果的时候,同样带上哙将字如何防止中间人■检返国■果,调用方在收到返回的附侬,4擅9筌字税.校检API接口安全性设计、-是否符合理则.如果将合规他11说明未被瞥揆nonce-timestamp但亳是否存在受乂？圈旁选是否应该做格□耳MKO指18一的随机字料器，用来标识每个馨圣名防止接口被重放的谓求.通过为每个请求摄供一个唯一的标识符,账务1S能钙防止谓求破多次使用（记最所有用过的nonce以阻止二次使用）.ftJffl.对服务器来说永久存储所有接收到的nonce的代价是尊常大的可以使用timcstarrp采优化nonce的存铝.其他安全性IP白名单appfd调用方18一标识method接口调用方法（或者以url区分）version调用接口的版本sgntype加窿算法加电相关/------------------------------------------------------、、、gn丁密后的字符由.用的字口提供方校验接口设计常用字段标识发出调求时—limstamp\捡口.供方fit青*事处1■■求业务层面区分防止中间人向故攻击目诃的ud・槽口横供方主动通知接口询用方福notify_url定页百18役接口酒求参裁的集合的字符字（或君以搭口字b«content股的形式暴嘉出来）主要展白户工平台，开发圈之阍的关系其他相关oaxh20用于If户授权开发而及取/揭作8f户在平台上的信息

1.10安全防护措施数据中心机房的安全无疑是整个计算机信息系统安全的前提，假如数据中心机房存在这样那样口勺不安全原因，从而导致发生数据中心机房事故，则整个信息系统日勺安全也就不也许实现尤其是机房火灾，一旦发生将给机房导致不可挽回的I巨大损失尽管数据中心机房有动态监控系统和消防系统，但当劫难发生时,预警与消防系统在火灾面前显得如此无力

1.应提高对机房可靠性、可用性、安全性等方面的认识，既要重视信息系统安全，又要重视机房的运行维护管理，重视对计算机硬件、软件及网络设备的维护要树立大局意识和忧患意识，对机房设施安全的重要性予以足够的重视

2.应重点加强管理制度的执行管理制度包括防止维护流程和紧急状况处理预案两个方面要制定对应的管理制度，包括机房管理岗位制度、机房操作规程等，以明确岗位职责为应对机房中也许会发生的紧急状况，如火灾、断电、数据丢失、设备失灵等，应按多种紧急状况分列处置措施，还要对预案进行演习

3.应不停提高机房管理人员的技术水平机房设施非常复杂，波及诸多专业和系统，维护人员只有通过不停的后续学习和培训，提高技术水平，才能防止诸多人为错误甚至事故的发生

4.应加强供配电、照明等电源子系统的监测同步应重点对温度、湿度、灰尘、有害气体等进行评估和监测还要加强静电防护、干扰源分析及保护、雷击防护、电磁干扰、振动控制，防火、防水等工作

5.应加强对进入机房人员的管理工作人员行为、素质等原因均也许对机房安全导致影响，因此，除制度约束外，门禁和视频监视等物理安全方略均可有效提高机房安全水平

6.定期巡检和防灾演习，此外应由消防部门定期组织对机房开展专题消防检查，及时堵塞安全漏洞

7.应定期对机房设施进行安全评估最佳每年聘任第三方机构进行安全评估,专业评估机构拥有专家力量，可以比较安全地对所有的设备进行操作，不会由于误操作引起机房故障

8.灾备特殊及I数据中心机房要建立同城双中心加异地灾备中心日勺“两地三中心”的灾备模式防备胜于救灾，只有提高对火灾的防备意识，贯彻各项防备措施，才能有效防止火灾事故的发生保证数据中心机房发挥其重要作用

1.11安全管理运维体系数据中心的安全需求是全方位的、整体的，需要从技术、管理等方面进行全面的安全设计和建设，从而有效提高信息系统的防护、检测、响应、恢复能力，以抵御不停出现的安全威胁与风险，保证系统长期稳定可靠的I运行保障数据中心全面、持久的I安全，绝不是靠几种安全产品的简朴堆砌就能实现时必须在对的J有效分析安全需求的I基础上，重视技术、管理、服务三者的I结合，重视多层面安全技术的综合运用，重视组织、人员、制度、资产和事件等多方面的协调管理，重视安全服务在信息系统整个生命周期中的I作用，重视通过风险评估来改善、完善安全保密功能，最终形成有效的安全防护能力、隐患发现能

1.1总体设计

1.

1.1设计原则信息安全是信息化建设日勺安全保障设施，信息安全的目的是可以更好的保障网络上承载的业务，在保证安全的同步，还要保障业务的正常运行和运行效率在此基础上，云计算中心安全系统在设计时应遵照如下原则

1、清晰定义模型原则在设计信息安全保障体系时，首先要对信息系统进行模型抽象，根据信息系统抽象模型特性，分析出信息系统中各个方面的内容及其安全现实状况，再将信息系统各内容属性中与安全有关的I属性抽取出来，建立“保护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型，从而相对精确地描述信息系统的安全属性和等级保护的逻辑思维

2、分域防护、综合防备的原则任何安全措施都不是绝对安全的，都也许被攻破为防止攻破一层或一类保护的袭击行为无法破坏整个信息系统，需要安全技术手段与等级保护技术规定相结合，在此基础上合理划分安全域和综合采用多种有效措施，进行多层和多重保护

3、需求、风险、代价平衡的原则对新型日勺信息系统，如多元化欧I、复杂的J网络空间，绝对安全难以到达，也力、应急响应能力和系统恢复能力，实现信息系统的J物理安全、网络安全、系统安全、应用安全和管理安全安全技术体系指实现物理层安全、网络层安全、系统层安全、数据层安全、数据库安全、系统软件安全、应用层安全、接口安全需要采用的安全技术和措施安全管理体系指在运用安全技术的同步，需要管理与技术并重，加强组织、人员、制度、资产和事件管理安全服务体系指由于安全保密的复杂性、专业性和动态性，信息系统的规划、设计、建设、运行维护均需要有安全征询、安全集成、安全维护、安全培训、应急响应、风险评估等专业安全服务不一定是必须日勺，需对日勺处理需求、风险与代价的关系，等级保护，适度防护,做到安全性与可用性相容，做到技术上可实现，经济上可执行

4、技术与管理相结合原则信息安全波及人、技术、操作等各方面要素，单靠技术或单靠管理都不也许实现因此在考虑信息系统信息安全时，必须将多种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合

5、动态发展和可扩展原则伴随网络攻防技术的深入发展，网络安全需求会不停变化，以及环境、条件、时间的限制，安全防护一步到位，一劳永逸地处理信息安全问题是不现实的信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性，此后伴随应用和网络安全技术的发展，不停调整安全方略，加强安全防护力度，以适应新的网络安全环境，满足新的信息安全需求

1.

1.2参照原则本方案中，安全系统的设计参照了如下设计原则

1、GB17859-1999（中华人民共和国国标）计算机信息系统安全保护等级划分准则

2、国标GB/T22239-2023《信息系统安全等级保护基本规定》

3、国标GB9361-1988《计算站场地安全规定》

4、国标GB2887-1989《计算站场地技术条件》

5、国标GB50174-1993《电子计算机机房设计规范》

6、国标GB9254-1998《信息技术设备的I无线电骚扰限值和测量措施》

7、《信息系统通用安全技术规定》GB/T20271-

20238、国家公共安全和保密准则GGBB1-1999《信息设备电磁泄漏发射限值》

9、GB/T20269-2023《信息系统安全管理规定》GB/T20269-

202310、GB/T20282-2023《信息系统安全工程管理规定》GB/T20282-2023IkISO17799/BS7799《信息安全管理通例》

1.2物理层安全本项目建设依托于普洱市林业信息中心，为系统安全设计提供支撑，保障数据中心基础设施的稳定性及服务持续性

1.

2.1机房建设安全机房建设安全是保障整个数据中心安全的前提重要防备如下的物理安全隐患由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染导致网络设施工作停滞人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断电子、电力设备自身固有缺陷和弱点及所处环境轻易在人员误操作或外界诱发下发生故障重要技术措施包括良好的机房位置选择在机房出入口布署电子门禁系统布署防盗报警系统布署防雷保安器、自动消防系统、水敏感检测仪表或元件、防静电地板、温度监控与自动调整、电压防护设备等环境安全措施布署电力恢复设备，防电磁干扰措施维护业务持续性

2.

2.2电气安全特性机房内实体要保障正常的电气安全，重要考虑如下几点机房安全温度指标，机房温度必须控制在22摄氏度左右机安全湿度指标，机房湿度必须控制在45%-65%之间防火、防磁、防水措施严禁易然、易爆、危险品入机房

1.

2.3设备安全设备安全重要包括设备的防火，防水、防盗、人为破坏及电源保护包括对操作终端的物理安全加强措施，采用拆除光驱、软驱和封堵串口、并口和USB、IEEE1394等物理端口日勺措施

1.

2.4介质安全措施包括介质数据的安全及安全介质自身的安全存储涉密信息的软盘、光盘等存储介质，应按照存储信息的最高密级标明等级，并由专人妥善管理存储涉密信息的介质不能减少密级使用为保证信息网络系统及I物理安全，除在网络规划和场地、环境等规定外，还要防止系统信息在空间时扩散计算机系统通过电磁辐射使信息被截获而失秘的案例已经诸多，在理论和技术支持下日勺验证工作也证明这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害为了防止系统中的信息在空间上的扩散，一般是在物理上通过一定的防护措施，来减少或干扰扩散出去的空间信号

1.3网络层安全目前，在通信网络安全面，采用密码等关键技术实现的I各类VPN都可以很有效的处理此类问题针对部分安全等级较高的I信息系统，本处理方案除确定使用成熟的IVPN技术外，还提出可运用PKI体系构建一种可信网络平台，并运用终端数据加密技术实现数据层面的加密，在VPN日勺基础上再加上一份“双重保险”,到达在满足等级保护有关规定的同步，可灵活提高通信网络安全性的效果。