【正文】 以及 ISMS 與 SMMS 之間的關(guān)系如下圖所示：控制單元（ C U ）執(zhí)行單元（ E U ）執(zhí)行單元（ E U ）信 息 安 全 管 理 系 統(tǒng)（ I S M S ）...安 全 監(jiān) 管 系 統(tǒng)（ S M M S ）信息安全管理接口( I S M I )請(qǐng)求結(jié)果請(qǐng)求結(jié)果I D C / I S P 經(jīng) 營(yíng) 者電 信 管 理 部 門圖 ISMS 與 SMMS 之間的關(guān)系 WORD 資料. 可編輯 本項(xiàng)目系統(tǒng)的部署包括兩個(gè)部分：一是部署系統(tǒng)管理端（包括 ICP/IP 備案管理、控制單元（CU）和接入資源管理）相關(guān)配套設(shè)備，二是在 IDC 機(jī)房部署執(zhí)行單元（EU）配套設(shè)備。為了保 WORD 資料. 可編輯 證系統(tǒng)的安全和高效的數(shù)據(jù)傳輸效率，三個(gè)區(qū)的服務(wù)器均通過 VLAN 或防火墻進(jìn)行邏輯隔離。? 外網(wǎng) DMZ 區(qū)外網(wǎng) DMZ 區(qū)的主要功能是向省管局側(cè)系統(tǒng)上報(bào)的數(shù)據(jù)，并提供數(shù)據(jù)采集和分析處理服務(wù)。? 內(nèi)網(wǎng)業(yè)務(wù)區(qū)內(nèi)網(wǎng)業(yè)務(wù)區(qū)的主要功能是系統(tǒng)臺(tái)提供用戶管理、授權(quán)管理、應(yīng)用服務(wù)、審計(jì)等基礎(chǔ)業(yè)務(wù)的支撐和服務(wù)。內(nèi)網(wǎng)數(shù)據(jù)區(qū)包括：數(shù)據(jù)庫服務(wù)器 1 臺(tái)、磁盤陣列 1 臺(tái)。 WORD 資料. 可編輯 （EU）部署執(zhí)行單元（EU）配套設(shè)備包括： 5 臺(tái)探針執(zhí)行單元的部署方式為：? 在機(jī)房出入口，對(duì) IDC 機(jī)房核心交換/核心路由器的上聯(lián)鏈路進(jìn)行雙向流量分光，然后通過端口鏡像的方式流量分入探針（EU） 。新建 IDC 信息安全管理系 WORD 資料. 可編輯 統(tǒng)（ISMS） ，覆蓋監(jiān)管 xxxxx 上海 IDC 機(jī)房共 20G 帶寬，具備基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力；新建接入資源管理系統(tǒng)，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源異常使用實(shí)行日常發(fā)現(xiàn)、分析和處置。 備案管理為接入服務(wù)提供者 ICP 報(bào)備單位提供 ICP 備案的錄入、核實(shí)、審批、變更、注銷、退回處理、黑名單、未備案網(wǎng)站、核查結(jié)果、查詢、統(tǒng)計(jì)等管理功能。 WORD 資料. 可編輯 網(wǎng)站備案管理網(wǎng)站信息的備案信息添加、修改、刪除的管理。 公共備案查詢可在系統(tǒng)內(nèi)部對(duì)公共查詢進(jìn)行集中調(diào)用，可進(jìn)行批量查詢功能。 WORD 資料. 可編輯 支持接入商內(nèi)部多級(jí)報(bào)備管理，實(shí)現(xiàn) IP 報(bào)備實(shí)時(shí)動(dòng)態(tài)更新，確保 IP 報(bào)備信息的準(zhǔn)確性。 大段資源管理可對(duì)大段資源的信息進(jìn)行集中分配管理。 WORD 資料. 可編輯 對(duì)省管局系統(tǒng)下發(fā)的黑名單進(jìn)行信息顯示管理功能。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過權(quán)限功能予以授權(quán)和劃分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的管理和操作權(quán)限。其主要功能如下： WORD 資料. 可編輯 實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)的集中管理，包括基礎(chǔ)數(shù)據(jù)導(dǎo)入、添加、刪除/修改和上報(bào)等。此外，系統(tǒng)對(duì)機(jī)房?jī)?nèi)的 IP 使用方式進(jìn)行監(jiān)測(cè)，能夠?qū)崟r(shí)發(fā)現(xiàn)未報(bào)備 IP 地址接入、發(fā)現(xiàn)實(shí)際使用情況與報(bào)備不符的 IP。訪問日志至少包括源/目的 IP，源/目的端口、訪問時(shí)間，屬于 HTTP 協(xié)議的留存 URL。系統(tǒng)能夠根據(jù)監(jiān)測(cè)指令對(duì) IDC/ISP 的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的違法信息進(jìn)行記錄，形成監(jiān)測(cè)日志，并及時(shí)上報(bào)給 SMMS。系統(tǒng)根據(jù)過濾指令對(duì) IDC/ISP 的雙向流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的違法信息進(jìn)行過濾處置，并進(jìn)行記錄，形成過濾日志，及時(shí)上報(bào)給 SMMS。過濾日志記錄包括源/目的 IP，源/目的端口、違法信息、采集時(shí)間以及觸發(fā)過濾動(dòng)作的過濾指令標(biāo)識(shí)，對(duì) HTTP 協(xié)議還記錄 URL，存在代理行為的記錄代理類型、代理 IP。對(duì)基礎(chǔ)資源數(shù)據(jù)、信息監(jiān)測(cè)數(shù)據(jù)、違法違規(guī)網(wǎng)站信息、訪問日志信息、過濾處置信息等，支持按照日、月、季、年等周期提供多種數(shù)據(jù)分析報(bào)告。未經(jīng)授權(quán)的用戶不得使用本系統(tǒng)的相應(yīng)功能。支持對(duì)物理資源信息進(jìn)行新增、刪除、修改、查看等操作，具體如下：a) 對(duì)機(jī)房信息進(jìn)行新增、刪除、修改和查看等操作。實(shí)現(xiàn)對(duì)邏輯資源的報(bào)備和管理，包括：a) 對(duì)IP地址段進(jìn)行新增、刪除、修改、查看、預(yù)留和分配等操作。包括：a) 統(tǒng)計(jì)本企業(yè)的IDC機(jī)房數(shù)量、機(jī)房建筑面積、每個(gè)機(jī)房的機(jī)架柜總數(shù)、每個(gè)機(jī)房的機(jī)架柜使用數(shù)、機(jī)房所在城市及相關(guān)信息；b) 統(tǒng)計(jì)本企業(yè)的IP地址總數(shù)、IP地址使用數(shù)、虛擬主機(jī)數(shù)量及相關(guān)信息；c) 統(tǒng)計(jì)本企業(yè)的ICP用戶數(shù)量、ISP用戶數(shù)量、IDC用戶數(shù)量、專線用戶數(shù)量、其他用戶數(shù)量及相關(guān)信息等。查詢到的日志能夠輸出到文件中進(jìn)行保存。實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認(rèn)證、集中用戶管理、資源的統(tǒng)一管理以及集中授權(quán)管理和集中審計(jì)管理。 與省管局備案系統(tǒng)的集成方案根據(jù)工業(yè)和信息化部《ICP/IP地址/域名信息備案管理系統(tǒng)企業(yè)系統(tǒng)接口規(guī)范》 ，實(shí)現(xiàn)本項(xiàng)目系統(tǒng)與省管局側(cè)備案管理系統(tǒng)的對(duì)接?；ヂ?lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)安全主要由四個(gè)方面組成：即物理安全、網(wǎng)絡(luò)安全、信息安全、安全管理。3．信息安全主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面。2．建立網(wǎng)絡(luò)系統(tǒng)整體病毒防范體系，實(shí)現(xiàn)當(dāng)業(yè)務(wù)網(wǎng)絡(luò)和內(nèi)部用戶網(wǎng)絡(luò)遭受病毒的攻擊時(shí)，確保網(wǎng)絡(luò)平臺(tái)的安全健壯性。5．保證各應(yīng)用系統(tǒng)和數(shù)據(jù)庫的資源安全。 WORD 資料. 可編輯 8．建立完善網(wǎng)絡(luò)安全管理體系。必須制定一系列安全管理制度，對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的關(guān)起等。終端機(jī)尤其是 CRT 顯示器，由于上萬伏高壓電子流的作用，輻射有極強(qiáng)的信號(hào)外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，目前主要采取主動(dòng)式的干擾設(shè)備如干擾機(jī)來破壞對(duì)應(yīng)信息的竊復(fù)。? 網(wǎng)絡(luò)防病毒威脅網(wǎng)絡(luò)安全的因素除了惡意攻擊外，計(jì)算機(jī)病毒也是常見的因素。從防病毒管理上“點(diǎn)”即各個(gè)安裝防病毒軟件的客戶端；“線”即按單位機(jī)構(gòu)劃分“點(diǎn)”的集合；“面”即囊括所有“點(diǎn)” “線”的全集，換句話就是全網(wǎng)統(tǒng)一管理、單位部門自主管理、個(gè)人自主負(fù)責(zé)的方式進(jìn)行防病毒管理。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的安全風(fēng)險(xiǎn)。所有服務(wù)器均僅開放必須的網(wǎng)絡(luò)服務(wù)，如備案系統(tǒng)應(yīng)用軟件服務(wù)端口、SSH。用戶可以使用瀏覽器訪問互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng) WEB 服務(wù)。互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)對(duì)系統(tǒng)的一些敏感配置信息進(jìn)行加密存放，需要加密保護(hù)的配置數(shù)據(jù)有：報(bào)備單位上報(bào)數(shù)據(jù)使用的密碼等。用戶的每一次關(guān)鍵操作都記入審計(jì)日志，可以對(duì)用戶的訪問行為進(jìn)行詳細(xì)審計(jì)。? 電源冗余重要服務(wù)器采用高可靠的電源解決方案，應(yīng)采用雙電源為系統(tǒng)提供不間斷電源。系統(tǒng)安全包括人、技術(shù)、操作三方面因素。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：（1）訪問控制使用證件的發(fā)放與回收；（2）信息處理系統(tǒng)使用的媒介發(fā)放與回收；（3）處理保密信息；（4）硬件和軟件的維護(hù)； WORD 資料. 可編輯 （5）系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；（6）重要程序和數(shù)據(jù)的刪除和銷毀等；2．任期有限原則為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。此外人員安全管理還包括定期或不定期安全技術(shù)培訓(xùn)、安全意識(shí)培訓(xùn)等。（3）制訂相應(yīng)的機(jī)房出入管理制度，對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。按照工程施工步驟和實(shí)際條件，預(yù)計(jì)本工程進(jìn)度如下：預(yù)計(jì)工期項(xiàng)目1 月 2 月 3 月項(xiàng)目合同簽訂工程采購與設(shè)計(jì)設(shè)施準(zhǔn)備及硬件安裝、軟件調(diào)測(cè)網(wǎng)絡(luò)聯(lián)調(diào)、總體測(cè)試系統(tǒng)驗(yàn)收。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。（4）制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。具體工作是：（1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí) 。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。1．多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。數(shù)據(jù)文件在確認(rèn)已成功存入文件服務(wù)器及將接收日志寫入數(shù)據(jù)接收日志庫之前，要在本地緩存數(shù)據(jù)文件，作為數(shù)據(jù)文件的備份。 WORD 資料. 可編輯 互聯(lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)必須能夠提供 724 小時(shí)不間斷服務(wù)，對(duì)影響系統(tǒng)可靠性的主要因素如數(shù)據(jù)庫故障和電源故障等需要采取冗余配置等措施。由于 SHA1 算法的特性，可以確保任何人包括數(shù)據(jù)庫管理員也無法得知密碼信息。省管局和企業(yè)之間的數(shù)據(jù)傳輸由接口服務(wù)器進(jìn)行。 WORD 資料. 可編輯 系統(tǒng)采用基于角色的授權(quán)管理，并堅(jiān)持最小權(quán)限原則，以減少用戶越權(quán)進(jìn)行業(yè)務(wù)操作的現(xiàn)象，最大程度的保證系統(tǒng)的安全。本方案建議采用網(wǎng)絡(luò)掃描工具、系統(tǒng)掃描工具、實(shí)時(shí)掃描工具來進(jìn)行漏洞檢測(cè)。本項(xiàng)目建議采用入侵檢測(cè)系統(tǒng)，以提高項(xiàng)目系統(tǒng)的安全抗攻擊能力