【正文】 31 / 324 預期工期本項目主要包括以下實施階段：項目合同簽訂；工程采購與工程設計；設施準備及硬件安裝、軟件調(diào)測；網(wǎng)絡聯(lián)調(diào)、總體測試；系統(tǒng)驗收。（5）制訂完備的系統(tǒng)維護制度，對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。（2）根據(jù)確定的安全等級，確定安全管理的范圍。（1）計算機操作與計算機編程；（2）機密資料的接收和傳送；（3）安全管理和系統(tǒng)管理；（4）應用程序和系統(tǒng)程序的編制；（5）訪問證件的管理與其它工作；（6）計算機操作與信息處理系統(tǒng)使用媒介的保管等。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。存儲有大量敏感信息的平臺數(shù)據(jù)庫中的數(shù)據(jù)由數(shù)據(jù)庫定時同步到備份數(shù)據(jù)庫，以便于數(shù)據(jù)庫故障時使用。? 數(shù)據(jù)庫冗余系統(tǒng)數(shù)據(jù)庫采用磁盤陣列等措施，具備容錯和備份能力?；ヂ?lián)網(wǎng)云平臺監(jiān)管項目系統(tǒng)服務器本地硬盤以及本部的磁盤陣列采用RAID 技術(shù)，充分保證數(shù)據(jù)存儲的安全可靠。省管局企業(yè)通信服務器之間可以采用數(shù)字證書進行相互身份的確認，并通過建立加密通道對傳輸?shù)臄?shù)據(jù)進行加密保護，保證數(shù)據(jù)在傳輸過程中沒有被修改和不能被竊聽?；ヂ?lián)網(wǎng)云平臺監(jiān)管項目系統(tǒng)服務器之間除使用數(shù)據(jù)加密技術(shù)對通信數(shù)據(jù)進行保護外，還對通信的雙方（主要是請求方）進行身份認證。建議本項目所有服務器均采用 Linux 操作系統(tǒng)。? 漏洞掃描漏洞檢測和安全風險評估技術(shù)，因其可預知主體受攻擊的可能性以及將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡安全業(yè)界的重視。從防病毒部署上“點”即在關鍵的網(wǎng)絡核心點上部署防病毒系統(tǒng)；“線”即在安裝各種類型操作系統(tǒng)和應用的服務器上部26 / 32署防病毒系統(tǒng)；“面”即在所有聯(lián)網(wǎng)客戶端部署防病毒系統(tǒng)。不同安全區(qū)的用戶/服務器用戶進行通信都要嚴格限制訪問的類型、端口、IP 地址。3．對終端設備輻射的防范。通常采取的防范措施主要是：1．對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，即建設一個具有高25 / 32效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓，磁帶與高輻射設備等的信號外泄。本方案從物理安全、網(wǎng)絡安全、操作系統(tǒng)安全、用戶認證與授權(quán)、通信安全、存儲安全、可審計性、設備冗余、災難備份等方面全面保障系統(tǒng)的安全性。安全管理貫穿于上述各個模塊和系統(tǒng)中，實踐表明僅有安全技術(shù)防范，而無嚴格的安全管理體系相配套，是難以保障系統(tǒng)安全的。7．建立網(wǎng)絡的安全評估體系。信息的安全性包括數(shù)據(jù)的完整性和安全性，系統(tǒng)應設置周密的數(shù)據(jù)摘要和數(shù)字簽名系統(tǒng)，防止數(shù)據(jù)傳輸過程中被竊取或篡改。1．建立完整的安全體系，將網(wǎng)絡系統(tǒng)建設成為一個基于統(tǒng)一平臺上的，能夠?qū)ο到y(tǒng)安全狀態(tài)集中監(jiān)管的系統(tǒng)，主要包含網(wǎng)絡中的主機設備、網(wǎng)絡設備、存儲設備、備份設備、數(shù)據(jù)庫管理、中間件、應用軟件等，保障互聯(lián)網(wǎng)云平臺綜合監(jiān)管系統(tǒng)的正常運行。2．網(wǎng)絡安全：系統(tǒng)（主機、服務器）安全、防病毒、系統(tǒng)安全檢測、入侵檢測（監(jiān)控） 、審計分析、網(wǎng)絡運行安全、備份與恢復應急、局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻） 、網(wǎng)絡安全檢測等。本項目系統(tǒng)中傳輸著管控指令、監(jiān)測數(shù)據(jù)、訪問日志等敏感信息，因此，系統(tǒng)的總體安全性十分重要。22 / 32為了保障系統(tǒng)正常、穩(wěn)定、有效、安全地運行，系統(tǒng)提供本身的集中配置管理，包括：系統(tǒng)基本設置、通信參數(shù)配置等，并對系統(tǒng)、服務程序的運行狀態(tài)進行實時監(jiān)控。 系統(tǒng)日志系統(tǒng)日志記錄系統(tǒng)用戶的所有對資源的增、刪、改及訪問操作，同時還提供系統(tǒng)自身運行情況日志，可以方便的追溯到每個用戶的操作記錄。并且提供對日志的查詢、統(tǒng)計和維護功能。對基礎資源數(shù)據(jù)支持按照日、月、季、年等周期和條件，提供多種數(shù)據(jù)分析報告。d) 對機架柜上的主機服務器進行新增、刪除、修改、查看、上架和下架等操作。物理資源包括：機房、機架柜、網(wǎng)絡設備、主機服務器。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過權(quán)限功能予以授權(quán)和劃分，同時在同一功能單元中可對不同的使用者授權(quán)不同的管理和操作權(quán)限。系統(tǒng)對省管局 SMMS 下發(fā)至本企業(yè)的各種指令，包括：管理指令、查詢指令、19 / 32更新指令和基礎數(shù)據(jù)指令，提供指令同步、查詢、查看、下發(fā)，以及指令執(zhí)行狀態(tài)和結(jié)果的查詢等管理功能。已隔離的未備案網(wǎng)站，一經(jīng)備案自動解除隔離。對于監(jiān)測發(fā)現(xiàn)的服務器及網(wǎng)絡中的不良信息，除監(jiān)測日志信息外，留存相關內(nèi)容數(shù)據(jù)的鏡像，并以醒目方式標識不良信息。系統(tǒng)提供違法違規(guī)網(wǎng)站的發(fā)現(xiàn)、處置及上報功能，并記錄違法違規(guī)網(wǎng)站的域名、IP、服務內(nèi)容、違法違規(guī)類型以及當前狀態(tài)（已處置或未處置）、處置18 / 32人賬號、處置時間，定時上報給 SMMS(上報周期為日)，并供 SMMS 查詢。系統(tǒng)對 IDC/ISP 的上行流量數(shù)據(jù)進行監(jiān)測，并記錄和統(tǒng)計訪問信息，形成訪問日志，并供 SMMS 查詢，以便事后 IDC 機房的用戶行為審計分析。系統(tǒng)能夠?qū)C房內(nèi)網(wǎng)絡協(xié)議、網(wǎng)站、應用服務、IP 地址等進行采集、監(jiān)測，并對機房內(nèi)的應用服務訪問量進行統(tǒng)計。 信息安全管理系統(tǒng)IDC 信息安全管理系統(tǒng)主要實現(xiàn)基礎數(shù)據(jù)管理、訪問日志管理、信息安全管理、違法網(wǎng)站管理等功能，以滿足 IDC/ISP 經(jīng)營單位自身的信息安全監(jiān)管需求和監(jiān)管機構(gòu)的監(jiān)管需求。實現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認證、集中用戶管理、資源的統(tǒng)一管理以及集中授權(quán)管理和集中審計管理。對于省管局系統(tǒng)下發(fā)的未備案網(wǎng)站名單進行信息顯示的管理功能。 廣播信息管理對廣播數(shù)據(jù)進行添加、修改、刪除的信息操作。 備案管理為接入服務提供者 IP 報備單位提供 IP 地址來源、IP 地址分配及使用信息、IP 地址廣播信息、自帶 IP 地址信息、IP 地址信息等的錄入、修改、刪除、分配、內(nèi)部審核、退回處理、查詢、統(tǒng)計等管理功能。 備案內(nèi)審管理對于 ICP 信息的層級審核，內(nèi)部回退，審批的管理功能。 主體備案管理主體信息的備案信息添加、修改、刪除的管理。對登錄系統(tǒng)的當前賬號，顯示其待辦的相關事項在首頁。圖 執(zhí)行單元 EU 部署網(wǎng)絡拓撲圖 建設內(nèi)容根據(jù)需求分析，為達到相關管理部門的管理要求，本期項目的建設內(nèi)容如下：? 在業(yè)務系統(tǒng)方面，新建 ICP/IP 地址備案管理系統(tǒng)，記錄并及時變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等。注：本案中的防火墻需要做 NAT，使外網(wǎng) DMZ 交換機上連接的 2 臺服務器能夠連接互聯(lián)網(wǎng)。? 內(nèi)網(wǎng)數(shù)據(jù)區(qū)內(nèi)網(wǎng)數(shù)據(jù)區(qū)的主要功能是匯集系統(tǒng)全部數(shù)據(jù)和文件，進行分析處理、存儲，并提供數(shù)據(jù)支撐服務。信息填報服務器是可選服務器，主要提供 ICP 備案數(shù)據(jù)及基礎數(shù)據(jù)填報服務，滿足網(wǎng)站主辦者自行報備網(wǎng)站備案信息的需要和 IDC/ISP 互聯(lián)網(wǎng)填報基礎數(shù)據(jù)的需要，用戶可根據(jù)需要選擇配備。系統(tǒng)通過互聯(lián)網(wǎng)與通信管理局側(cè) SMMS 系統(tǒng)進行連接，通過內(nèi)網(wǎng)與 EU（IDC管控設備）進行連接。根據(jù)保護對象、防護措施、安全策略以及網(wǎng)絡應用需求等方面存在的差異，系統(tǒng)部署包括三個安全區(qū)：外網(wǎng) DMZ 區(qū)、內(nèi)網(wǎng)業(yè)務區(qū)、內(nèi)網(wǎng)數(shù)據(jù)區(qū)。EU 捕獲網(wǎng)絡數(shù)據(jù)，識別數(shù)據(jù)包采用的網(wǎng)絡協(xié)議，對所監(jiān)測線路主機的應用服務、網(wǎng)絡代理服務、網(wǎng)站域名、用戶上網(wǎng)信息等進行發(fā)現(xiàn)并及時上報 CU，并響應 CU 的指令，協(xié)議阻斷違規(guī)網(wǎng)站/網(wǎng)頁，使網(wǎng)站喪失服務功能。具體包括：? 與省管局安全監(jiān)管中心（SMMS）的接口? 與省管局 ICP/IP 地址備案管理系統(tǒng)的接口? 與工信部電信業(yè)務市場綜合管理系統(tǒng)的接口? 與平臺用戶的接口根據(jù)系統(tǒng)的不同類型集成的方式可能不同，接口的表現(xiàn)形式也不一樣，這里的接口只是邏輯上的接口。系統(tǒng)用戶都通過展現(xiàn)層進行業(yè)務操作。? 合法性選用的產(chǎn)品符合國家的相關法律、法規(guī)。? 兼容性本系統(tǒng)必須兼容現(xiàn)有系統(tǒng)原有的必備功能及業(yè)務數(shù)據(jù)，并制定有效的系統(tǒng)整合策略。? 可擴展性考慮到系統(tǒng)將來的變化，系統(tǒng)應具有良好的擴展性。系統(tǒng)的設計開發(fā)充分利用認證技術(shù)、加密技術(shù)對數(shù)據(jù)進行防護，并使用訪問控制手段對外部訪問進行限制，最大程度上確保系統(tǒng)的安全性。系統(tǒng)建設選擇的網(wǎng)絡設備、服務器設備、數(shù)據(jù)庫、操作系統(tǒng)以及 Web 應用服務器都采用目前業(yè)界主流的產(chǎn)品和技術(shù)。? 廣州電信七星崗機房：機房出入口總帶寬是為 1G。xxxxxx 擁有 IDC 機房有 5 個 ，現(xiàn)狀如下：? 石家莊聯(lián)通信息中心機房：機房出入口總帶寬是為 1G?！ㄔO企業(yè)接入資源管理平臺，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對接入資源異常使用實行日常發(fā)現(xiàn)、分析和處置，并實現(xiàn)與部電信業(yè)務市場綜合管理系統(tǒng)的連接。中央針對加強互聯(lián)網(wǎng)管理工作，先后下發(fā)了中辦發(fā)〔2022〕32 號、中辦發(fā)〔2022〕24 號，中發(fā)〔2022〕11 號、工信部電管﹝2022﹞672 號、工信部電管〔2022〕188 號、工信部通?！?022〕280 號等，明確職責分工、強化互聯(lián)網(wǎng)管理要求。2022 年，中央在《關于加強和創(chuàng)新社會管理的意見》（中發(fā)〔2022〕11 號）中明確要求加強網(wǎng)絡技術(shù)手段和管理力量建設，完善網(wǎng)上有害信息的監(jiān)測和查處機制，提高發(fā)現(xiàn)和處置能力?！凑铡痘ヂ?lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務信息安全管理系統(tǒng)技術(shù)要求》和《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務信息安全管理系統(tǒng)接口規(guī)范》等標準要求，建設 IDC 和 ISP 信息安全技術(shù)管理手段，具備基礎數(shù)據(jù)管理、訪問日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力。? 溫州電信十分局機房：機房出入口總帶寬是為 1G。根據(jù)建設需求，本期項目需要建設《實施方案》中要求的 3 套業(yè)務管理系統(tǒng)，并全覆蓋技術(shù)管控 IDC 機房的 2G 帶寬。? 開放性本項目的開放性表現(xiàn)在互操作能力方面，項目建設應支持相關的國家和國際標準，支持多種平臺和應用。同時，系統(tǒng)必須要建立完善的數(shù)據(jù)備份、系統(tǒng)備案與恢復機制，保證整個系統(tǒng)可用性和可靠性。第一，在體系結(jié)構(gòu)上應具有可伸縮性，以適應擴大業(yè)務范圍和增加多種應用的需要，特別是系統(tǒng)硬件和軟件應采用模塊化的可擴展結(jié)構(gòu)。? 易操作性系統(tǒng)必須堅持易操作性原則，簡單、易用，高效、快捷，用戶不需要了解其中的具體技術(shù)細節(jié)，通過系統(tǒng)提供的 WEB 管理界面就能實現(xiàn)其管理功能。 系統(tǒng)設計整個系統(tǒng)建設從邏輯功能上來講，自上而下劃分為四個層次：展現(xiàn)層、業(yè)務層、數(shù)據(jù)層、接口層等構(gòu)成，其邏輯結(jié)構(gòu)如下圖所示。? 業(yè)務層業(yè)務層為展現(xiàn)層提供網(wǎng)站備案管理、接入資源管理、信息安全管理等8 / 32的業(yè)務集合。例如，與平臺用戶的接口僅僅是用戶與系統(tǒng)的人機界面接口，而不需要有單獨的接口。ISMS 的控制單元與執(zhí)行單元之間、以及 ISMS 與 SMMS 之間的關系如下圖所示：控制單元（ C U ）執(zhí)行單元（ E U ）執(zhí)行單元（ E U ）信