【正文】 31 / 324 預(yù)期工期本項(xiàng)目主要包括以下實(shí)施階段：項(xiàng)目合同簽訂；工程采購與工程設(shè)計(jì)；設(shè)施準(zhǔn)備及硬件安裝、軟件調(diào)測(cè)；網(wǎng)絡(luò)聯(lián)調(diào)、總體測(cè)試；系統(tǒng)驗(yàn)收。（5）制訂完備的系統(tǒng)維護(hù)制度，對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。（2）根據(jù)確定的安全等級(jí)，確定安全管理的范圍。（1）計(jì)算機(jī)操作與計(jì)算機(jī)編程；（2）機(jī)密資料的接收和傳送；（3）安全管理和系統(tǒng)管理；（4）應(yīng)用程序和系統(tǒng)程序的編制；（5）訪問證件的管理與其它工作；（6）計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。存儲(chǔ)有大量敏感信息的平臺(tái)數(shù)據(jù)庫中的數(shù)據(jù)由數(shù)據(jù)庫定時(shí)同步到備份數(shù)據(jù)庫，以便于數(shù)據(jù)庫故障時(shí)使用。? 數(shù)據(jù)庫冗余系統(tǒng)數(shù)據(jù)庫采用磁盤陣列等措施，具備容錯(cuò)和備份能力?；ヂ?lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)服務(wù)器本地硬盤以及本部的磁盤陣列采用RAID 技術(shù)，充分保證數(shù)據(jù)存儲(chǔ)的安全可靠。省管局企業(yè)通信服務(wù)器之間可以采用數(shù)字證書進(jìn)行相互身份的確認(rèn)，并通過建立加密通道對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，保證數(shù)據(jù)在傳輸過程中沒有被修改和不能被竊聽?；ヂ?lián)網(wǎng)云平臺(tái)監(jiān)管項(xiàng)目系統(tǒng)服務(wù)器之間除使用數(shù)據(jù)加密技術(shù)對(duì)通信數(shù)據(jù)進(jìn)行保護(hù)外，還對(duì)通信的雙方（主要是請(qǐng)求方）進(jìn)行身份認(rèn)證。建議本項(xiàng)目所有服務(wù)器均采用 Linux 操作系統(tǒng)。? 漏洞掃描漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性以及將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。從防病毒部署上“點(diǎn)”即在關(guān)鍵的網(wǎng)絡(luò)核心點(diǎn)上部署防病毒系統(tǒng)；“線”即在安裝各種類型操作系統(tǒng)和應(yīng)用的服務(wù)器上部26 / 32署防病毒系統(tǒng)；“面”即在所有聯(lián)網(wǎng)客戶端部署防病毒系統(tǒng)。不同安全區(qū)的用戶/服務(wù)器用戶進(jìn)行通信都要嚴(yán)格限制訪問的類型、端口、IP 地址。3．對(duì)終端設(shè)備輻射的防范。通常采取的防范措施主要是：1．對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高25 / 32效屏蔽效能的屏蔽室，用它來安裝運(yùn)行主要設(shè)備，以防止磁鼓，磁帶與高輻射設(shè)備等的信號(hào)外泄。本方案從物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、用戶認(rèn)證與授權(quán)、通信安全、存儲(chǔ)安全、可審計(jì)性、設(shè)備冗余、災(zāi)難備份等方面全面保障系統(tǒng)的安全性。安全管理貫穿于上述各個(gè)模塊和系統(tǒng)中，實(shí)踐表明僅有安全技術(shù)防范，而無嚴(yán)格的安全管理體系相配套，是難以保障系統(tǒng)安全的。7．建立網(wǎng)絡(luò)的安全評(píng)估體系。信息的安全性包括數(shù)據(jù)的完整性和安全性，系統(tǒng)應(yīng)設(shè)置周密的數(shù)據(jù)摘要和數(shù)字簽名系統(tǒng)，防止數(shù)據(jù)傳輸過程中被竊取或篡改。1．建立完整的安全體系，將網(wǎng)絡(luò)系統(tǒng)建設(shè)成為一個(gè)基于統(tǒng)一平臺(tái)上的，能夠?qū)ο到y(tǒng)安全狀態(tài)集中監(jiān)管的系統(tǒng)，主要包含網(wǎng)絡(luò)中的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、備份設(shè)備、數(shù)據(jù)庫管理、中間件、應(yīng)用軟件等，保障互聯(lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)的正常運(yùn)行。2．網(wǎng)絡(luò)安全：系統(tǒng)（主機(jī)、服務(wù)器）安全、防病毒、系統(tǒng)安全檢測(cè)、入侵檢測(cè)（監(jiān)控） 、審計(jì)分析、網(wǎng)絡(luò)運(yùn)行安全、備份與恢復(fù)應(yīng)急、局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻） 、網(wǎng)絡(luò)安全檢測(cè)等。本項(xiàng)目系統(tǒng)中傳輸著管控指令、監(jiān)測(cè)數(shù)據(jù)、訪問日志等敏感信息，因此，系統(tǒng)的總體安全性十分重要。22 / 32為了保障系統(tǒng)正常、穩(wěn)定、有效、安全地運(yùn)行，系統(tǒng)提供本身的集中配置管理，包括：系統(tǒng)基本設(shè)置、通信參數(shù)配置等，并對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。 系統(tǒng)日志系統(tǒng)日志記錄系統(tǒng)用戶的所有對(duì)資源的增、刪、改及訪問操作，同時(shí)還提供系統(tǒng)自身運(yùn)行情況日志，可以方便的追溯到每個(gè)用戶的操作記錄。并且提供對(duì)日志的查詢、統(tǒng)計(jì)和維護(hù)功能。對(duì)基礎(chǔ)資源數(shù)據(jù)支持按照日、月、季、年等周期和條件，提供多種數(shù)據(jù)分析報(bào)告。d) 對(duì)機(jī)架柜上的主機(jī)服務(wù)器進(jìn)行新增、刪除、修改、查看、上架和下架等操作。物理資源包括：機(jī)房、機(jī)架柜、網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器。系統(tǒng)中不同功能單元的操作和使用權(quán)限可通過權(quán)限功能予以授權(quán)和劃分，同時(shí)在同一功能單元中可對(duì)不同的使用者授權(quán)不同的管理和操作權(quán)限。系統(tǒng)對(duì)省管局 SMMS 下發(fā)至本企業(yè)的各種指令，包括：管理指令、查詢指令、19 / 32更新指令和基礎(chǔ)數(shù)據(jù)指令，提供指令同步、查詢、查看、下發(fā)，以及指令執(zhí)行狀態(tài)和結(jié)果的查詢等管理功能。已隔離的未備案網(wǎng)站，一經(jīng)備案自動(dòng)解除隔離。對(duì)于監(jiān)測(cè)發(fā)現(xiàn)的服務(wù)器及網(wǎng)絡(luò)中的不良信息，除監(jiān)測(cè)日志信息外，留存相關(guān)內(nèi)容數(shù)據(jù)的鏡像，并以醒目方式標(biāo)識(shí)不良信息。系統(tǒng)提供違法違規(guī)網(wǎng)站的發(fā)現(xiàn)、處置及上報(bào)功能，并記錄違法違規(guī)網(wǎng)站的域名、IP、服務(wù)內(nèi)容、違法違規(guī)類型以及當(dāng)前狀態(tài)（已處置或未處置）、處置18 / 32人賬號(hào)、處置時(shí)間，定時(shí)上報(bào)給 SMMS(上報(bào)周期為日)，并供 SMMS 查詢。系統(tǒng)對(duì) IDC/ISP 的上行流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)，并記錄和統(tǒng)計(jì)訪問信息，形成訪問日志，并供 SMMS 查詢，以便事后 IDC 機(jī)房的用戶行為審計(jì)分析。系統(tǒng)能夠?qū)C(jī)房內(nèi)網(wǎng)絡(luò)協(xié)議、網(wǎng)站、應(yīng)用服務(wù)、IP 地址等進(jìn)行采集、監(jiān)測(cè)，并對(duì)機(jī)房內(nèi)的應(yīng)用服務(wù)訪問量進(jìn)行統(tǒng)計(jì)。 信息安全管理系統(tǒng)IDC 信息安全管理系統(tǒng)主要實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理、違法網(wǎng)站管理等功能，以滿足 IDC/ISP 經(jīng)營單位自身的信息安全監(jiān)管需求和監(jiān)管機(jī)構(gòu)的監(jiān)管需求。實(shí)現(xiàn)系統(tǒng)用戶的統(tǒng)一身份認(rèn)證、集中用戶管理、資源的統(tǒng)一管理以及集中授權(quán)管理和集中審計(jì)管理。對(duì)于省管局系統(tǒng)下發(fā)的未備案網(wǎng)站名單進(jìn)行信息顯示的管理功能。 廣播信息管理對(duì)廣播數(shù)據(jù)進(jìn)行添加、修改、刪除的信息操作。 備案管理為接入服務(wù)提供者 IP 報(bào)備單位提供 IP 地址來源、IP 地址分配及使用信息、IP 地址廣播信息、自帶 IP 地址信息、IP 地址信息等的錄入、修改、刪除、分配、內(nèi)部審核、退回處理、查詢、統(tǒng)計(jì)等管理功能。 備案內(nèi)審管理對(duì)于 ICP 信息的層級(jí)審核，內(nèi)部回退，審批的管理功能。 主體備案管理主體信息的備案信息添加、修改、刪除的管理。對(duì)登錄系統(tǒng)的當(dāng)前賬號(hào)，顯示其待辦的相關(guān)事項(xiàng)在首頁。圖 執(zhí)行單元 EU 部署網(wǎng)絡(luò)拓?fù)鋱D 建設(shè)內(nèi)容根據(jù)需求分析，為達(dá)到相關(guān)管理部門的管理要求，本期項(xiàng)目的建設(shè)內(nèi)容如下：? 在業(yè)務(wù)系統(tǒng)方面，新建 ICP/IP 地址備案管理系統(tǒng)，記錄并及時(shí)變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等。注：本案中的防火墻需要做 NAT，使外網(wǎng) DMZ 交換機(jī)上連接的 2 臺(tái)服務(wù)器能夠連接互聯(lián)網(wǎng)。? 內(nèi)網(wǎng)數(shù)據(jù)區(qū)內(nèi)網(wǎng)數(shù)據(jù)區(qū)的主要功能是匯集系統(tǒng)全部數(shù)據(jù)和文件，進(jìn)行分析處理、存儲(chǔ)，并提供數(shù)據(jù)支撐服務(wù)。信息填報(bào)服務(wù)器是可選服務(wù)器，主要提供 ICP 備案數(shù)據(jù)及基礎(chǔ)數(shù)據(jù)填報(bào)服務(wù)，滿足網(wǎng)站主辦者自行報(bào)備網(wǎng)站備案信息的需要和 IDC/ISP 互聯(lián)網(wǎng)填報(bào)基礎(chǔ)數(shù)據(jù)的需要，用戶可根據(jù)需要選擇配備。系統(tǒng)通過互聯(lián)網(wǎng)與通信管理局側(cè) SMMS 系統(tǒng)進(jìn)行連接，通過內(nèi)網(wǎng)與 EU（IDC管控設(shè)備）進(jìn)行連接。根據(jù)保護(hù)對(duì)象、防護(hù)措施、安全策略以及網(wǎng)絡(luò)應(yīng)用需求等方面存在的差異，系統(tǒng)部署包括三個(gè)安全區(qū)：外網(wǎng) DMZ 區(qū)、內(nèi)網(wǎng)業(yè)務(wù)區(qū)、內(nèi)網(wǎng)數(shù)據(jù)區(qū)。EU 捕獲網(wǎng)絡(luò)數(shù)據(jù)，識(shí)別數(shù)據(jù)包采用的網(wǎng)絡(luò)協(xié)議，對(duì)所監(jiān)測(cè)線路主機(jī)的應(yīng)用服務(wù)、網(wǎng)絡(luò)代理服務(wù)、網(wǎng)站域名、用戶上網(wǎng)信息等進(jìn)行發(fā)現(xiàn)并及時(shí)上報(bào) CU，并響應(yīng) CU 的指令，協(xié)議阻斷違規(guī)網(wǎng)站/網(wǎng)頁，使網(wǎng)站喪失服務(wù)功能。具體包括：? 與省管局安全監(jiān)管中心（SMMS）的接口? 與省管局 ICP/IP 地址備案管理系統(tǒng)的接口? 與工信部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的接口? 與平臺(tái)用戶的接口根據(jù)系統(tǒng)的不同類型集成的方式可能不同，接口的表現(xiàn)形式也不一樣，這里的接口只是邏輯上的接口。系統(tǒng)用戶都通過展現(xiàn)層進(jìn)行業(yè)務(wù)操作。? 合法性選用的產(chǎn)品符合國家的相關(guān)法律、法規(guī)。? 兼容性本系統(tǒng)必須兼容現(xiàn)有系統(tǒng)原有的必備功能及業(yè)務(wù)數(shù)據(jù)，并制定有效的系統(tǒng)整合策略。? 可擴(kuò)展性考慮到系統(tǒng)將來的變化，系統(tǒng)應(yīng)具有良好的擴(kuò)展性。系統(tǒng)的設(shè)計(jì)開發(fā)充分利用認(rèn)證技術(shù)、加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行防護(hù)，并使用訪問控制手段對(duì)外部訪問進(jìn)行限制，最大程度上確保系統(tǒng)的安全性。系統(tǒng)建設(shè)選擇的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)以及 Web 應(yīng)用服務(wù)器都采用目前業(yè)界主流的產(chǎn)品和技術(shù)。? 廣州電信七星崗機(jī)房：機(jī)房出入口總帶寬是為 1G。xxxxxx 擁有 IDC 機(jī)房有 5 個(gè) ，現(xiàn)狀如下：? 石家莊聯(lián)通信息中心機(jī)房：機(jī)房出入口總帶寬是為 1G?！ㄔO(shè)企業(yè)接入資源管理平臺(tái)，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源異常使用實(shí)行日常發(fā)現(xiàn)、分析和處置，并實(shí)現(xiàn)與部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的連接。中央針對(duì)加強(qiáng)互聯(lián)網(wǎng)管理工作，先后下發(fā)了中辦發(fā)〔2022〕32 號(hào)、中辦發(fā)〔2022〕24 號(hào)，中發(fā)〔2022〕11 號(hào)、工信部電管﹝2022﹞672 號(hào)、工信部電管〔2022〕188 號(hào)、工信部通?！?022〕280 號(hào)等，明確職責(zé)分工、強(qiáng)化互聯(lián)網(wǎng)管理要求。2022 年，中央在《關(guān)于加強(qiáng)和創(chuàng)新社會(huì)管理的意見》（中發(fā)〔2022〕11 號(hào)）中明確要求加強(qiáng)網(wǎng)絡(luò)技術(shù)手段和管理力量建設(shè)，完善網(wǎng)上有害信息的監(jiān)測(cè)和查處機(jī)制，提高發(fā)現(xiàn)和處置能力?！凑铡痘ヂ?lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)技術(shù)要求》和《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)接口規(guī)范》等標(biāo)準(zhǔn)要求，建設(shè) IDC 和 ISP 信息安全技術(shù)管理手段，具備基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力。? 溫州電信十分局機(jī)房：機(jī)房出入口總帶寬是為 1G。根據(jù)建設(shè)需求，本期項(xiàng)目需要建設(shè)《實(shí)施方案》中要求的 3 套業(yè)務(wù)管理系統(tǒng)，并全覆蓋技術(shù)管控 IDC 機(jī)房的 2G 帶寬。? 開放性本項(xiàng)目的開放性表現(xiàn)在互操作能力方面，項(xiàng)目建設(shè)應(yīng)支持相關(guān)的國家和國際標(biāo)準(zhǔn)，支持多種平臺(tái)和應(yīng)用。同時(shí)，系統(tǒng)必須要建立完善的數(shù)據(jù)備份、系統(tǒng)備案與恢復(fù)機(jī)制，保證整個(gè)系統(tǒng)可用性和可靠性。第一，在體系結(jié)構(gòu)上應(yīng)具有可伸縮性，以適應(yīng)擴(kuò)大業(yè)務(wù)范圍和增加多種應(yīng)用的需要，特別是系統(tǒng)硬件和軟件應(yīng)采用模塊化的可擴(kuò)展結(jié)構(gòu)。? 易操作性系統(tǒng)必須堅(jiān)持易操作性原則，簡單、易用，高效、快捷，用戶不需要了解其中的具體技術(shù)細(xì)節(jié)，通過系統(tǒng)提供的 WEB 管理界面就能實(shí)現(xiàn)其管理功能。 系統(tǒng)設(shè)計(jì)整個(gè)系統(tǒng)建設(shè)從邏輯功能上來講，自上而下劃分為四個(gè)層次：展現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)層、接口層等構(gòu)成，其邏輯結(jié)構(gòu)如下圖所示。? 業(yè)務(wù)層業(yè)務(wù)層為展現(xiàn)層提供網(wǎng)站備案管理、接入資源管理、信息安全管理等8 / 32的業(yè)務(wù)集合。例如，與平臺(tái)用戶的接口僅僅是用戶與系統(tǒng)的人機(jī)界面接口，而不需要有單獨(dú)的接口。ISMS 的控制單元與執(zhí)行單元之間、以及 ISMS 與 SMMS 之間的關(guān)系如下圖所示：控制單元（ C U ）執(zhí)行單元（ E U ）執(zhí)行單元（ E U ）信