【正文】 中心應根據(jù)承載數(shù)據(jù)的規(guī)模、應用系統(tǒng)的重要程度、數(shù)據(jù)中心的業(yè)務和服務功能等劃分不同的安全域。安全域應包括應用服務器三級區(qū)域、數(shù)據(jù)庫服務器區(qū)域、數(shù)據(jù)存儲區(qū)域、前置服務器區(qū)域、網絡安全管理區(qū)域和對外服務區(qū)域等，根據(jù)“業(yè)務資產重要程度相似、業(yè)務風險等級相似”等原則進行安全域劃分?！W絡核心安全 數(shù)據(jù)中心網絡核心應確保網絡數(shù)據(jù)的處理性能和業(yè)務連續(xù)性，保障核心業(yè)務數(shù)據(jù)的網絡資源冗余，并具有硬件冗余備份機制?！W絡匯聚安全 在網絡匯聚安全中應通過ACL、防火墻實現(xiàn)訪問控制機制，確保重要服務器區(qū)域之間的安全訪問，建立與業(yè)務邏輯訪問關系相一致的網絡訪問控制策略，并針對三級區(qū)域匯聚邊界設置網絡入侵檢測、網絡安全審計等配套安全措施。——網絡接入安全 網絡接入分為互聯(lián)網接入、教育系統(tǒng)專網接入、第三方接入以及內部服務器和終端接入?；ヂ?lián)網邊界應建立具備冗余機制的邊界隔離措施，例如防火墻、防病毒網關、入侵防御等，或具備綜合防護能力的統(tǒng)一安全網關。同時根據(jù)互聯(lián)網可能發(fā)生的安全威脅合理部署抗DOS攻擊、負載均衡、帶寬管理等措施。教育系統(tǒng)專網包括教育城域網、教育科研網的專網接入，應至少部署防火墻、入侵檢測和網絡安全審計等措施。其他第三方接入應根據(jù)接入的重要程度形成統(tǒng)一的第三方安全解決區(qū)域，部署網絡接入邊界的防火墻、入侵檢測和網絡安全審計等措施。內部服務器和終端接入，在每個網絡接入邊界應部署用戶安全接入系統(tǒng)，控制遠程用戶的安全接入，并確保與遠程接入系統(tǒng)服務之間的安全傳輸和訪問?！W絡傳輸安全 數(shù)據(jù)中心承載的三級信息系統(tǒng)通過互聯(lián)網進行遠程傳輸時，包括與省縣級、部級信息系統(tǒng)的數(shù)據(jù)傳輸、區(qū)縣與各學校級信息系統(tǒng)的數(shù)據(jù)傳輸?shù)惹闆r，應根據(jù)實際情況部署IPSEC VPN或SSL VPN等通信傳輸加密措施，確保網絡傳輸過程的安全性。（3）主機安全數(shù)據(jù)中心服務器主機應建立備份冗余機制，保障系統(tǒng)的持續(xù)穩(wěn)定運行，針對核心重要信息系統(tǒng)應采用主機安全加固系統(tǒng)，建立“三權分立”的訪問控制機制，確保系統(tǒng)最小化的訪問控制配置實現(xiàn)。核心服務器應確保采用兩種以上的身份鑒別機制，與PKI/CA系統(tǒng)進行結合，運維管理可配合堡壘主機，確保實現(xiàn)細粒度的訪問控制、敏感信息加密以及日志審計功能。一般級別以及重要服務器應采用系統(tǒng)補丁管理和防病毒系統(tǒng)提高系統(tǒng)的防護能力，并通過系統(tǒng)配置優(yōu)化減少自身的安全隱患。對于操作和使用服務器的業(yè)務終端應進行統(tǒng)一的管理，確保業(yè)務終端的專業(yè)程度，加強終端的自身安全性，包括系統(tǒng)配置優(yōu)化、防病毒、補丁管理等措施。（4）存儲安全重要數(shù)據(jù)應采用數(shù)據(jù)隔離機制，確保數(shù)據(jù)存儲區(qū)域的安全性、訪問的嚴格控制和數(shù)據(jù)的嚴格使用。關鍵和重要業(yè)務數(shù)據(jù)、鑒別信息和重要管理數(shù)據(jù)要采用加密存儲的方式，確保數(shù)據(jù)的安全性。數(shù)據(jù)存儲要建立符合數(shù)據(jù)中心信息系統(tǒng)服務級別的備份恢復機制，確保數(shù)據(jù)能夠在所要求的時限內及時恢復。數(shù)據(jù)中心三級信息系統(tǒng)的備份恢復要建立異地數(shù)據(jù)級備份中心，確保每日數(shù)據(jù)的全備份、異地存儲。（1）平臺安全數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫系統(tǒng)安全是指數(shù)據(jù)庫管理系統(tǒng)的安全性，應采用符合整體信息系統(tǒng)數(shù)據(jù)支撐的數(shù)據(jù)庫系統(tǒng)，能夠承載大型數(shù)據(jù)的結構化處理和存儲。數(shù)據(jù)庫管理系統(tǒng)要實現(xiàn)兩種以上的身份鑒別機制，對數(shù)據(jù)庫用戶進行權限劃分，強制職責分離，實現(xiàn)嚴格的訪問控制，并對敏感數(shù)據(jù)進行加密處理和存儲，保障數(shù)據(jù)的安全性，啟動數(shù)據(jù)庫的日志審計功能。中間件安全 業(yè)務支撐的中間件系統(tǒng)應啟動自身安全配置，并采用漏洞掃描等技術方法對中間件進行評估，能夠發(fā)現(xiàn)潛在的安全隱患，并及時進行加固處理，確保中間件系統(tǒng)的自身安全。提供中間件的原廠商應能夠支持中間件版本的升級，持續(xù)提供確保其安全性和穩(wěn)定性的服務。虛擬主機安全 虛擬機的體系結構本身可以增強虛擬域操作系統(tǒng)的安全性，應當進行合理的設計，通過虛擬機的管理系統(tǒng)加強虛擬機的隔離機制，并配置支持虛擬化的防病毒、入侵檢測等機制。虛擬主機操作系統(tǒng)的運維管理要采用兩種以上的身份鑒別機制，嚴格的訪問控制和日志審計功能。（2）應用安全數(shù)據(jù)中心接入的應用系統(tǒng)應根據(jù)軟件開發(fā)生命周期（SDLC）對應用系統(tǒng)開發(fā)進行管理，對應用系統(tǒng)進行整體的安全需求分析、整體的安全體系架構設計，安全編碼和安全策略，確保應用系統(tǒng)自身的安全性。應用系統(tǒng)要設計身份鑒別、訪問控制、敏感數(shù)據(jù)加密、抗抵賴和日志審計等安全功能，符合數(shù)據(jù)中心的整體技術架構，具體安全技術要求可參見《教育服務與監(jiān)管體系信息化建設項目應用系統(tǒng)開發(fā)安全規(guī)范》。數(shù)據(jù)中心在進行應用交付和系統(tǒng)服務時，應采用必要的安全服務機制，確保交付和服務的安全性，包括信息安全風險評估、安全加固、應用代碼審計、等級保護安全測評和應急響應等。在信息系統(tǒng)的建設和運維過程中，要通過信息安全風險評估、安全加固和應用代碼審計等服務對系統(tǒng)進行安全分析，降低系統(tǒng)自身的脆弱性，提升系統(tǒng)的安全保護能力。同時在出現(xiàn)異常問題和事件時，能夠通過應急響應的方式及時進行處理和恢復。應采用電子認證系統(tǒng)，與重要應用系統(tǒng)的身份認證、訪問控制、通信安全以及日志審計功能相結合，逐步建立起統(tǒng)一的教育系統(tǒng)信任體系。電子認證和應用安全支撐系統(tǒng)應根據(jù)應用系統(tǒng)的實際安全需求，配置必要的電子證書，同時結合數(shù)字簽名技術實現(xiàn)抗抵賴機制。通過部署RA中心和本地認證網關，實現(xiàn)PKI/CA系統(tǒng)的措施應用，設置單獨的安全區(qū)域部署相關的系統(tǒng)設備。（1）電子認證系統(tǒng)按照教育部的統(tǒng)一部署，在教育部電子認證系統(tǒng)（CA系統(tǒng)）基礎上，建設市級及縣級電子認證系統(tǒng)，縣縣電子認證系統(tǒng)通過建設數(shù)字證書注冊系統(tǒng)方式實現(xiàn)，并通過教育部電子認證系統(tǒng)（CA系統(tǒng)）簽發(fā)數(shù)字證書，二者邏輯關系如下圖：CA系統(tǒng)體系框架數(shù)據(jù)中心進行證書簽發(fā)的通信網絡應采用加密的方式，確保證書簽發(fā)和資源訪問的安全性。基于縣級電子認證系統(tǒng)的證書申請、發(fā)放、變更、審核等管理工作應當設置必要的RA操作員、管理員和審核員，全面做好系統(tǒng)的運維管理工作，確保系統(tǒng)的安全性。（2）數(shù)字證書應用支撐系統(tǒng)我縣信息系統(tǒng)應根據(jù)實際安全需求，配置數(shù)字證書，同時結合數(shù)字簽名技術實現(xiàn)身份認證和抗抵賴。通過部署本地身份認證網關、簽名驗證設備、SSL網關等設備，實現(xiàn)PKI/CA系統(tǒng)的措施應用，設置單獨的安全區(qū)域部署相關的系統(tǒng)設備。（1）安全管理機構各數(shù)據(jù)中心安全組織應遵循層次化設計原則，分別為信息安全決策層、信息安全管理層和信息安全執(zhí)行層。設立信息系統(tǒng)安全機制集中管理機構，接受信息安全工作職能部門領導，配備必要的管理和技術人員；負責信息系統(tǒng)安全的集中控制管理，行使防范與保護、監(jiān)控與檢查、響應與處置職能，統(tǒng)一管理信息系統(tǒng)的安全，統(tǒng)一進行信息系統(tǒng)安全機制的配置與管理；適時匯集各種安全機制所獲取的與系統(tǒng)安全運行有關的信息；根據(jù)應急處置預案作出快速處理；應對安全事件和處理結果進行管理；建立安全管理控制平臺，完善管理信息系統(tǒng)安全運行的技術手段；負責接受和配合政府有關部門的信息安全監(jiān)管工作。（2）人員安全管理對于教育部門內部人員和外部人員，必須結合我縣人力資源管理的實際情況，按照等級保護相關要求進行管理，以保證人員管理的可操作性。重點考慮以下兩個方面的人員安全管理。內部人員安全管理 內部人員管理從人員錄用、人員管理、人員考核、保密協(xié)議、培訓、離崗離職等多個方面都要制定相應的管理制度和規(guī)定。建立安全教育和培訓制度，定期進行技能考核。外部人員安全管理 對于外來人員管理，應包括軟件開發(fā)商、產品供應商、系統(tǒng)集成商、設備維護商和服務提供商等外來人員，以及臨時因業(yè)務洽談、技術交流、提供短期和不頻繁的技術支持服務而臨時來訪的“第三方”人員。而非臨時“第三方”人員指因從事合作開發(fā)、參與項目工程、提供技術支持或顧問服務，必須在縣級教育部門臨時工作的“第三方”人員，應制定相應包含訪問、安全要求等管理制度。（3）安全管理制度結合各類安全管理要求和數(shù)據(jù)中心面臨的實際安全風險，數(shù)據(jù)中心應制定必要的信息安全總體方針、策略、安全管理制度和技術規(guī)范，內容覆蓋安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設安全管理和系統(tǒng)運維安全管理等相關內容。（4）信息系統(tǒng)建設安全管理數(shù)據(jù)中心建設安全管理應當與整體的工程管理相結合，落實“同步規(guī)劃、同步建設、同步運營”的原則，制定信息系統(tǒng)規(guī)劃、立項、需求分析、設計、建設等方面的安全管理規(guī)定。同時要結合信息系統(tǒng)的開發(fā)和部署制定相配套的信息系統(tǒng)安全開發(fā)和部署的規(guī)范，確保信息系統(tǒng)和數(shù)據(jù)中心建設過程中的安全。數(shù)據(jù)中心建設過程中必須要加強信息安全等級保護工作，通過對數(shù)據(jù)中心進行系統(tǒng)定級、備案、整改、等級測評和監(jiān)督檢查等工作落實具體的信息安全等級保護內容。數(shù)據(jù)中心正式啟動和運行前，必須經過專項安全評估并得到專家或程序的認可，才能正式投入使用。現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備需要終止運行的，應采取必要的安全措施，進行數(shù)據(jù)和軟件備份，對終止運行的設備進行不可恢復的數(shù)據(jù)清除，如果存儲設備損壞則必須采取銷毀措施，并得到相應領導和技術負責人認可才能正式終止運行。（5）運維安全管理數(shù)據(jù)中心的運維安全管理要實現(xiàn)運維管理體系化，對環(huán)境、資產、介質、設備進行綜合監(jiān)控管理，對支撐重要信息系統(tǒng)的資源進行監(jiān)控保護。對于信息系統(tǒng)安全運維所需要的密碼保護、病毒掃描、變更等事件，必須按照定義好的安全管理策略措施，建立一套運維管理制度，并通過培訓等方式全面落實。還應通過建立統(tǒng)一的安全管理監(jiān)控中心，實現(xiàn)人、事件、流程、資產的綜合管理。統(tǒng)一安全管理平臺的功能包含但不限于資產安全管理、安全事件管理、安全審計管理、安全風險管理和工單管理等。同時根據(jù)數(shù)據(jù)中心的運維管理機制，建立全面的信息安全運維管理機構、人員、工具、流程和運維模式。（1）安全監(jiān)控和預警平臺數(shù)據(jù)中心結合三級信息系統(tǒng)的安全管理要求，應建立統(tǒng)一的安全監(jiān)控與預警平臺，能夠實現(xiàn)本地計算環(huán)境、設備、資源、web安全漏洞的統(tǒng)一安全監(jiān)控、告警、安全事件分析、風險管理、綜合日志審計和工單管理，能夠與國家教育安全監(jiān)控與預警體系相對接，實現(xiàn)聯(lián)動，及時上報信息安全事件發(fā)生和處理情況。另外，通過統(tǒng)一的安全預警機制，能夠及時對信息安全事件提出響應和處置建議。（2）安全管理工作信息化平臺建立安全管理工作信息化平臺，實現(xiàn)對信息系統(tǒng)的安全定級備案、差距分析、整改建設、等級測評、監(jiān)督檢查、系統(tǒng)廢止等各項工作的全面管理，支持多種方式的高級查詢、分析和統(tǒng)計，并能夠與部級安全管理工作信息化平臺相銜接，實現(xiàn)數(shù)據(jù)上報。七、數(shù)據(jù)中心配置項目及成本預算總預算： 某縣VPN教育城域網升級改造資金概算表（合計 萬元）序號項目名稱規(guī)格參數(shù)及主要性能數(shù)量單價前期必建后期必建選建21970機房環(huán)境建設1靜電地板600*600全鋼制靜電地板100平米2機房吊頂 (300*300鋁扣板）100平米13墻面裝潢墻面裝潢300平米34玻璃隔斷及開關門玻璃隔斷及開關門，采用不銹鋼包框12mm厚防火玻璃。32平米5門窗采用隔熱玻璃窗，門采用鋼質防盜門。6機房照明機房照明1批7配電柜配電柜，含1個3P 150A斷路器，3P 63A空開1個，2P 100A空開1個，1P 32A空開10組機房強電空開1個序號項目名稱規(guī)格參數(shù)及主要性能數(shù)量單價前期必建后期必建選建8電源線16平方。配電柜到UPS進線及UPS輸出線路9電源線6平方。機房內配電柜到機柜的電源線（每個機柜2組電源線）3圈10UPS電源15KVA在線式，（可沿用原有設備）1 套11發(fā)電機系統(tǒng)滿足所以網絡設備及服務器正常運行的需要。1臺101012機房三級防雷系統(tǒng)含避雷器、管線、銅帶、輔材等材料費，.1套3313機房空調大3P，二級節(jié)能，柜機，定時開關和記憶功能。：,380v2臺14服務器及網絡專用機柜42U。環(huán)保機柜。600mm*1000mm*2000mm?；⌒胃呙芏染W孔前門及高密度網孔后門，解決機械保護、通風散熱、外部觀察機器運行狀態(tài)；通風率達70%。 前后為通風孔的上下框。 結構堅固，最大靜載達800KG。 可關閉的上部、下部多處走線通道，底部大走線孔尺寸可按需調整 。 配安裝底座，達到固定機柜、底部過線、底部送冷風、防鼠的要求。 高級旋把機柜門鎖；按需配專用PDU、理線夾。8臺15管理員操作控制臺材質為冷軋鋼的4位監(jiān)控管理操作臺（含4位獨立電源開關控制器）。1臺16KVM32口KVM（10米延長線）+ 4臺19液晶顯示器 TFT Monitor(19/432mm。TN。1280*1024。模擬和數(shù)字；支持雙輸入端口) 1臺1117電視監(jiān)控墻6位，帶6臺42液晶電視或6位多屏顯示器1套101018安防系統(tǒng)設置門禁，對進出人員進行授權管理。安裝機房報警系統(tǒng)。對機房區(qū)域安裝攝像頭，做到監(jiān)控無死角，并進行實時監(jiān)控錄像，硬盤錄像機要異室部署。1套3319運行監(jiān)控對機房的溫濕度、消防、UPS主機、精密空調、配電、漏水等子系統(tǒng)進行全面集中監(jiān)控準確定位。具有本地聲音報警、短信告警功能，支持實時顯示、智能查詢、報表、存儲功能。支持遠程訪問。1套55序號項目名稱規(guī)格參數(shù)及主要性能數(shù)量單價前期必建后期必建選建20弱電布線必須做到與強電分離，橋架接地良好。布線規(guī)范，標記明確。下走線布局的機房必須預留足夠的備用網線，光纖規(guī)劃應根據(jù)發(fā)展超前考慮。機柜內的走線必須固定于機柜配線架。設備之間應采用千兆連接。1套1121消防系統(tǒng)采用七氟丙烷氣體滅火裝置，配備防毒面具。器材和設備需經國家指定的檢測中心確認合格的產品。消防系