【正文】 系統(tǒng)、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備和信息安全監(jiān)測平臺服務(wù)，實(shí)現(xiàn)本系統(tǒng)網(wǎng)絡(luò)安全防護(hù)。 充分利用已有的堡壘機(jī)、防病毒軟件和信息安全監(jiān)測平臺檢查和監(jiān)測服務(wù)，實(shí)現(xiàn)本系統(tǒng)主機(jī)安全利用已有的數(shù)據(jù)庫審計(jì)系統(tǒng)、數(shù)據(jù)備份服務(wù)，對本系統(tǒng)數(shù)據(jù)庫和重要數(shù)據(jù)信息進(jìn)行安全保護(hù)，確保數(shù)據(jù)信息安全。應(yīng)用級安全是指在應(yīng)用層上保證本系統(tǒng)各應(yīng)用子系統(tǒng)的信息安全。應(yīng)用層的信息安全是面向用戶和應(yīng)用程序的，采用身份認(rèn)證、授權(quán)管理、應(yīng)用審計(jì)以及信息加解密作為基本手段，并可根據(jù)具體應(yīng)用系統(tǒng)的實(shí)際需求提供靈活而可靠的信息安全。（1）數(shù)據(jù)安全管理系統(tǒng)內(nèi)部的數(shù)據(jù)均需要設(shè)定安全訪問級別，數(shù)據(jù)中間件層通過數(shù)據(jù)請求的安全屬性決定是否符合數(shù)據(jù)的安全級別，同時(shí)應(yīng)用層也針對數(shù)據(jù)的安全級別制定對應(yīng)的展示安全控制，確保數(shù)據(jù)的安全性從存儲到訪問，再到展示都有嚴(yán)格管理。系統(tǒng)應(yīng)該支持?jǐn)?shù)據(jù)安全性不符時(shí)的告警功能。（2）授權(quán)管理提供對平臺資源服務(wù)的訪問權(quán)限管理，實(shí)現(xiàn)對不同的業(yè)務(wù)開放不同的權(quán)限控制，提高系統(tǒng)對資源的安全性和可控制性。資源授權(quán)管理支持按照委辦局組織機(jī)構(gòu)、用戶賬號、角色等多種方式進(jìn)行授權(quán)管理。（3）認(rèn)證管理提供對系統(tǒng)訪問的統(tǒng)一認(rèn)證管理，支持SSO單點(diǎn)登錄方式。對訪問的賬號信息、集成對接的政務(wù)信息化系統(tǒng)的服務(wù)器信息、證書信息等方式進(jìn)行認(rèn)證，提高政務(wù)信息資源的訪問安全性。身份識別指提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別，確認(rèn)用戶 身份唯一性，提供登錄失敗處理機(jī)制，并可根據(jù)不同策略配置安全參數(shù)。擬復(fù)用四川ca認(rèn)證管理中心為xxx市會議管理信息系統(tǒng)發(fā)放的259個(gè)KEY，實(shí)現(xiàn)部門用戶安全認(rèn)證。訪問控制指根據(jù)安全策略，控制用戶對系統(tǒng)功能、文件、數(shù)據(jù)庫表的訪問，可根據(jù)不同用戶授予不同級別的權(quán)限。加密傳輸是指利用加密傳輸系統(tǒng)提供可靠的端到端加密服務(wù)，以保證數(shù)據(jù)的完整性、防竊取、防抵賴。具體涉及到諸如加密、解密、數(shù)字簽名、密鑰對產(chǎn)生、信息摘要、隨機(jī)數(shù)產(chǎn)生等基本安全服務(wù)。應(yīng)用系統(tǒng)和數(shù)據(jù)的安全是重中之重，而通過應(yīng)用系統(tǒng)直接進(jìn)行入侵，對數(shù)據(jù)進(jìn)行竊取、破壞，造成的影響可能比其他都要嚴(yán)重，因此，確保應(yīng)用系統(tǒng)及數(shù)據(jù)的安全是本整個(gè)應(yīng)用安全平臺必須考慮的問題。應(yīng)用審計(jì)系統(tǒng)負(fù)責(zé)應(yīng)用級行為的記錄、分析和管理，它可以使系統(tǒng)管理員更好、更準(zhǔn)確地了解和掌握應(yīng)用系統(tǒng)運(yùn)行情況，及時(shí)發(fā)現(xiàn)并解決出現(xiàn)的異常情況。建立整體的安全威脅模型，對web訪問存在的溢出漏洞、信息泄漏、錯(cuò)誤處理、跨站漏洞、SQL注入等安全漏洞進(jìn)行及時(shí)更新處理。通過加載安全組件包，對web訪問的非法連接、惡意掃描、注入信息等按照安全規(guī)則進(jìn)行有效攔截，保障應(yīng)用平臺安全穩(wěn)定運(yùn)行。系統(tǒng)的數(shù)據(jù)庫安全保護(hù)除盡量避免由于客觀因素，如斷電、火災(zāi)所造成的物理整性破壞外，設(shè)計(jì)一個(gè)好的數(shù)據(jù)庫結(jié)構(gòu)也是一個(gè)重要的關(guān)鍵，如對一個(gè)字段的修改不至于影響其它字段以保持邏輯完整性、定期數(shù)據(jù)庫備份以及設(shè)置一個(gè)合理的數(shù)據(jù)庫權(quán)限管理等?，F(xiàn)有的系統(tǒng)還采取了設(shè)置應(yīng)用中間件的策略，保證用戶不能直接訪問中心數(shù)據(jù)庫，這樣對數(shù)據(jù)庫的安全能起到相當(dāng)好的保護(hù)作用。充分利用已部署的數(shù)據(jù)庫審計(jì)系統(tǒng)，加強(qiáng)數(shù)據(jù)審計(jì)，及時(shí)發(fā)現(xiàn)安全事件。按照信息安全等級保護(hù)要求，信息安全管理體系包括；制定管理制度、設(shè)置安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等5個(gè)方面。 按照國家相關(guān)信息安全標(biāo)準(zhǔn)規(guī)范要求及成熟信息安全管理方法論，建立符合xxx市xxx公共平臺資源綜合管理與服務(wù)交付系統(tǒng)安全管理需求的管理制度，主要包括安全策略、管理制度、操作規(guī)程等，構(gòu)成全面的信息安全管理制度體系。 （1）安全策略安全策略根據(jù)組織機(jī)構(gòu)的風(fēng)險(xiǎn)及安全目標(biāo)制定的行動(dòng)策略即為安全策略。安全策略通常建立在授權(quán)的基礎(chǔ)之上，未經(jīng)適當(dāng)授權(quán)的實(shí)體，信息不可以給予、不被訪問、不允許引用、任何資源也不得使用。按照授權(quán)的性質(zhì)，安全策略分為如下幾個(gè)方面：基于身份的安全策略、基于規(guī)則的安全策略、基于角色的安全策略。（2）管理制度216。 人員管理制度216。 安全巡檢制度216。 信息系統(tǒng)密碼口令管理制度216。 機(jī)房管理制度216。 設(shè)備管理制度216。 設(shè)備巡檢制度216。 信息安全事件上報(bào)/處理制度216。 系統(tǒng)監(jiān)測/檢查管理制度216。 業(yè)務(wù)連續(xù)性管理制度（3）操作規(guī)程216。 信息安全基線216。 設(shè)備巡檢流程216。 信息安全事件處理流程216。 設(shè)備檢修流程216。 信息安全事件應(yīng)急處置流程216。 人員離崗信息清除流程成立專門的信息安全管理機(jī)構(gòu)，配備系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理員等，其中安全管理員應(yīng)為專職，關(guān)鍵事物崗位應(yīng)配備多人共同管理。 建立規(guī)范人員安全管理機(jī)制，對人員錄用進(jìn)行嚴(yán)格審查，并簽署保密協(xié)議，人員離職或轉(zhuǎn)崗應(yīng)辦理嚴(yán)格的離職/轉(zhuǎn)崗手續(xù)，包括終止/修改授權(quán)、相關(guān)設(shè)備設(shè)施、關(guān)鍵數(shù)據(jù)清理等，定期開展信息安全專業(yè)人員培訓(xùn)，定期對在崗人員進(jìn)行安全技能和知識考核，嚴(yán)格執(zhí)行外部人員訪問受控區(qū)域制定。遵循與信息系統(tǒng)同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施和同步運(yùn)維原則，在系統(tǒng)規(guī)劃設(shè)計(jì)之初應(yīng)明確信息安全等級，根據(jù)定級情況進(jìn)行信息系統(tǒng)安全規(guī)劃、設(shè)計(jì)、實(shí)施、測試、驗(yàn)收和運(yùn)行。信息安全建設(shè)應(yīng)貫穿信息系統(tǒng)全生命周期。xxx市xxx公共平臺資源綜合管理與服務(wù)交付系統(tǒng)運(yùn)維管理建議在信息安全等級保護(hù)總體要求下，參照ITSS標(biāo)準(zhǔn)結(jié)合系統(tǒng)實(shí)際開展信息系統(tǒng)運(yùn)維管理。1 項(xiàng)目預(yù)算序號項(xiàng)目名稱設(shè)備及軟件單價(jià) （萬元）數(shù)量總價(jià) （萬元）一、基礎(chǔ)支撐平臺建設(shè)　1服務(wù)器數(shù)據(jù)庫服務(wù)器2應(yīng)用服務(wù)器4前置服務(wù)器22支撐軟件Liunx 8數(shù)據(jù)庫2　IT服務(wù)管理軟件(流程管理)1　SOA中間件1二、應(yīng)用系統(tǒng)建設(shè)0　　資源綜合管理1服務(wù)交付管理1日常工作管理1　　系統(tǒng)對接　項(xiàng)目建設(shè)合計(jì)　三、項(xiàng)目實(shí)施與管理　1項(xiàng)目監(jiān)理費(fèi)用按項(xiàng)目建設(shè)費(fèi)用3%以內(nèi)計(jì)算2項(xiàng)目測評費(fèi)用按項(xiàng)目建設(shè)費(fèi)用3%以內(nèi)計(jì)算項(xiàng)目總預(yù)算36