【正文】 系統(tǒng)、入侵檢測系統(tǒng)等網(wǎng)絡安全設備和信息安全監(jiān)測平臺服務，實現(xiàn)本系統(tǒng)網(wǎng)絡安全防護。 充分利用已有的堡壘機、防病毒軟件和信息安全監(jiān)測平臺檢查和監(jiān)測服務，實現(xiàn)本系統(tǒng)主機安全利用已有的數(shù)據(jù)庫審計系統(tǒng)、數(shù)據(jù)備份服務，對本系統(tǒng)數(shù)據(jù)庫和重要數(shù)據(jù)信息進行安全保護，確保數(shù)據(jù)信息安全。應用級安全是指在應用層上保證本系統(tǒng)各應用子系統(tǒng)的信息安全。應用層的信息安全是面向用戶和應用程序的，采用身份認證、授權(quán)管理、應用審計以及信息加解密作為基本手段，并可根據(jù)具體應用系統(tǒng)的實際需求提供靈活而可靠的信息安全。（1）數(shù)據(jù)安全管理系統(tǒng)內(nèi)部的數(shù)據(jù)均需要設定安全訪問級別，數(shù)據(jù)中間件層通過數(shù)據(jù)請求的安全屬性決定是否符合數(shù)據(jù)的安全級別，同時應用層也針對數(shù)據(jù)的安全級別制定對應的展示安全控制，確保數(shù)據(jù)的安全性從存儲到訪問，再到展示都有嚴格管理。系統(tǒng)應該支持數(shù)據(jù)安全性不符時的告警功能。（2）授權(quán)管理提供對平臺資源服務的訪問權(quán)限管理，實現(xiàn)對不同的業(yè)務開放不同的權(quán)限控制，提高系統(tǒng)對資源的安全性和可控制性。資源授權(quán)管理支持按照委辦局組織機構(gòu)、用戶賬號、角色等多種方式進行授權(quán)管理。（3）認證管理提供對系統(tǒng)訪問的統(tǒng)一認證管理，支持SSO單點登錄方式。對訪問的賬號信息、集成對接的政務信息化系統(tǒng)的服務器信息、證書信息等方式進行認證，提高政務信息資源的訪問安全性。身份識別指提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別，確認用戶 身份唯一性，提供登錄失敗處理機制，并可根據(jù)不同策略配置安全參數(shù)。擬復用四川ca認證管理中心為xxx市會議管理信息系統(tǒng)發(fā)放的259個KEY，實現(xiàn)部門用戶安全認證。訪問控制指根據(jù)安全策略，控制用戶對系統(tǒng)功能、文件、數(shù)據(jù)庫表的訪問，可根據(jù)不同用戶授予不同級別的權(quán)限。加密傳輸是指利用加密傳輸系統(tǒng)提供可靠的端到端加密服務，以保證數(shù)據(jù)的完整性、防竊取、防抵賴。具體涉及到諸如加密、解密、數(shù)字簽名、密鑰對產(chǎn)生、信息摘要、隨機數(shù)產(chǎn)生等基本安全服務。應用系統(tǒng)和數(shù)據(jù)的安全是重中之重，而通過應用系統(tǒng)直接進行入侵，對數(shù)據(jù)進行竊取、破壞，造成的影響可能比其他都要嚴重，因此，確保應用系統(tǒng)及數(shù)據(jù)的安全是本整個應用安全平臺必須考慮的問題。應用審計系統(tǒng)負責應用級行為的記錄、分析和管理，它可以使系統(tǒng)管理員更好、更準確地了解和掌握應用系統(tǒng)運行情況，及時發(fā)現(xiàn)并解決出現(xiàn)的異常情況。建立整體的安全威脅模型，對web訪問存在的溢出漏洞、信息泄漏、錯誤處理、跨站漏洞、SQL注入等安全漏洞進行及時更新處理。通過加載安全組件包，對web訪問的非法連接、惡意掃描、注入信息等按照安全規(guī)則進行有效攔截，保障應用平臺安全穩(wěn)定運行。系統(tǒng)的數(shù)據(jù)庫安全保護除盡量避免由于客觀因素，如斷電、火災所造成的物理整性破壞外，設計一個好的數(shù)據(jù)庫結(jié)構(gòu)也是一個重要的關鍵，如對一個字段的修改不至于影響其它字段以保持邏輯完整性、定期數(shù)據(jù)庫備份以及設置一個合理的數(shù)據(jù)庫權(quán)限管理等?，F(xiàn)有的系統(tǒng)還采取了設置應用中間件的策略，保證用戶不能直接訪問中心數(shù)據(jù)庫，這樣對數(shù)據(jù)庫的安全能起到相當好的保護作用。充分利用已部署的數(shù)據(jù)庫審計系統(tǒng)，加強數(shù)據(jù)審計，及時發(fā)現(xiàn)安全事件。按照信息安全等級保護要求，信息安全管理體系包括；制定管理制度、設置安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等5個方面。 按照國家相關信息安全標準規(guī)范要求及成熟信息安全管理方法論，建立符合xxx市xxx公共平臺資源綜合管理與服務交付系統(tǒng)安全管理需求的管理制度，主要包括安全策略、管理制度、操作規(guī)程等，構(gòu)成全面的信息安全管理制度體系。 （1）安全策略安全策略根據(jù)組織機構(gòu)的風險及安全目標制定的行動策略即為安全策略。安全策略通常建立在授權(quán)的基礎之上，未經(jīng)適當授權(quán)的實體，信息不可以給予、不被訪問、不允許引用、任何資源也不得使用。按照授權(quán)的性質(zhì)，安全策略分為如下幾個方面：基于身份的安全策略、基于規(guī)則的安全策略、基于角色的安全策略。（2）管理制度216。 人員管理制度216。 安全巡檢制度216。 信息系統(tǒng)密碼口令管理制度216。 機房管理制度216。 設備管理制度216。 設備巡檢制度216。 信息安全事件上報/處理制度216。 系統(tǒng)監(jiān)測/檢查管理制度216。 業(yè)務連續(xù)性管理制度（3）操作規(guī)程216。 信息安全基線216。 設備巡檢流程216。 信息安全事件處理流程216。 設備檢修流程216。 信息安全事件應急處置流程216。 人員離崗信息清除流程成立專門的信息安全管理機構(gòu)，配備系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員等，其中安全管理員應為專職，關鍵事物崗位應配備多人共同管理。 建立規(guī)范人員安全管理機制，對人員錄用進行嚴格審查，并簽署保密協(xié)議，人員離職或轉(zhuǎn)崗應辦理嚴格的離職/轉(zhuǎn)崗手續(xù)，包括終止/修改授權(quán)、相關設備設施、關鍵數(shù)據(jù)清理等，定期開展信息安全專業(yè)人員培訓，定期對在崗人員進行安全技能和知識考核，嚴格執(zhí)行外部人員訪問受控區(qū)域制定。遵循與信息系統(tǒng)同步規(guī)劃、同步設計、同步實施和同步運維原則，在系統(tǒng)規(guī)劃設計之初應明確信息安全等級，根據(jù)定級情況進行信息系統(tǒng)安全規(guī)劃、設計、實施、測試、驗收和運行。信息安全建設應貫穿信息系統(tǒng)全生命周期。xxx市xxx公共平臺資源綜合管理與服務交付系統(tǒng)運維管理建議在信息安全等級保護總體要求下，參照ITSS標準結(jié)合系統(tǒng)實際開展信息系統(tǒng)運維管理。1 項目預算序號項目名稱設備及軟件單價 （萬元）數(shù)量總價 （萬元）一、基礎支撐平臺建設　1服務器數(shù)據(jù)庫服務器2應用服務器4前置服務器22支撐軟件Liunx 8數(shù)據(jù)庫2　IT服務管理軟件(流程管理)1　SOA中間件1二、應用系統(tǒng)建設0　　資源綜合管理1服務交付管理1日常工作管理1　　系統(tǒng)對接　項目建設合計　三、項目實施與管理　1項目監(jiān)理費用按項目建設費用3%以內(nèi)計算2項目測評費用按項目建設費用3%以內(nèi)計算項目總預算36