【正文】 第21頁 杭州?？低曄到y(tǒng)技術(shù)有限公司。SOC充分利用所掌握的空間、時間、知識、能力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障。SOC系統(tǒng)是信息安全保障系統(tǒng)的核心，主要體現(xiàn)在對視頻專網(wǎng)全局掌控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。智慧城市數(shù)據(jù)中心接入認證系統(tǒng)功能要求如下：1. 可支持基于用戶名和密碼的身份認證，并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設(shè)備端口號等信息進行綁定；2. 針對用戶終端進行系統(tǒng)狀態(tài)安全檢查，包括應(yīng)用軟件的安裝及使用、病毒庫版本更新、終端補丁檢查、非法外聯(lián)等，并且支持對瑞星、江民、金山、趨勢科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測和聯(lián)動；3. 在用戶終端通過安全檢查后，可以基于用戶的權(quán)限，向安全聯(lián)動組件下發(fā)事先配置的ACL策略，實現(xiàn)分級分權(quán)限的細粒度用戶網(wǎng)絡(luò)行為管理；4. 通過對USB進行監(jiān)控方式，避免重要文件通過移動存儲設(shè)備進行非法拷貝，有效的避免了機密文件的泄露；5. ，可與主流廠商的交換機實現(xiàn)安全聯(lián)動，強制檢查用戶的安全狀態(tài)，如果不符合要求則無法接入企業(yè)內(nèi)網(wǎng)或只能訪問隔離區(qū)資源，進一步保護企業(yè)內(nèi)網(wǎng)的安全。對專網(wǎng)整個認證中心建設(shè)中各種PKI/CA設(shè)備、系統(tǒng)、服務(wù)進行有效的集中監(jiān)控與管理，解決PKI體系龐大帶來的難維護、難管理等問題；對證書的發(fā)放以及應(yīng)用訪問的審計。用戶通過網(wǎng)關(guān)認證后，系統(tǒng)認證平臺通過Cookie機制維護該用戶的會話信息，用戶登錄應(yīng)用系統(tǒng)時，無需再次認證。 用戶屬性管理系統(tǒng)1. 用戶身份管理；2. 用戶屬性管理；3. 下級平臺用戶自主管理及證書申請、下載服務(wù)；4. 查詢服務(wù)；5. 同步服務(wù)。 KMC系統(tǒng)KMC系統(tǒng)主要負責(zé)對用戶加密密鑰的產(chǎn)生、存儲、分發(fā)、查詢、注銷、歸檔及恢復(fù)整個生命流程實施管理；密鑰管理中心的功能從整體上來分，主要分為密鑰管理、管理中心結(jié)構(gòu)管理、授權(quán)管理、密鑰恢復(fù)、審計管理功能。智慧城市數(shù)據(jù)中心PKI/CA身份認證平臺功能要求如下： CA系統(tǒng)1. 證書管理：包括證書申請、證書下載、證書更新、證書注銷、證書凍結(jié)、證書解凍、證書查詢、證書歸檔；2. 模板管理：包括通用證書模板、簽名證書模板、加密證書模板、設(shè)備證書模板、SSL服務(wù)器證書模塊等，當(dāng)國家/國際標(biāo)準表擴展域無法滿足模板要求時，可以使用自定義擴展域OID + 編碼方式 + VALUE自定義模板；3. 審計管理；包括業(yè)務(wù)審計、日志審計等功能，并且支持日志防篡改；4. 支持總CRL、分CRL、增量CRL、支持CRL重疊期，可以根據(jù)模板指定CRL發(fā)布點；5. 系統(tǒng)支持SM2算法及RSA算法。 PKI/CA身份認證平臺PKI/CA 身份認證平臺通過發(fā)放和維護數(shù)字證書來建立一套信任網(wǎng)絡(luò)，在同一信任網(wǎng)絡(luò)中的用戶通過申請到的數(shù)字證書來完成身份認證和安全處理。 在與Internet隔離的內(nèi)部網(wǎng)絡(luò)中，提供多種升級方式，包括：自動在線升級、手動升級、下載離線升級包升級等。 依據(jù)策略，全網(wǎng)統(tǒng)一自動升級，不需要人為干涉；216。同時防毒服務(wù)器實時地記錄防護體系內(nèi)每臺計算機上的病毒監(jiān)控、檢測和清除信息，根據(jù)管理員控制臺的設(shè)置，實現(xiàn)對整個防護系統(tǒng)的自動控制。 系統(tǒng)針對不同用戶的需求，可定義掃描（端口）范圍、掃描使用的參數(shù)集、掃描并發(fā)主機數(shù)等具體掃描選項，對掃描策略進行合理的組合，更快、更有效地幫助不同用戶構(gòu)建自己專用的安全策略。 系統(tǒng)可定義豐富的掃描策略，包括完全掃描、LINUX、數(shù)據(jù)庫、UNIX、WINDOWS、不含拒絕服務(wù)、網(wǎng)絡(luò)設(shè)備、路由器、防火墻、20大常見漏洞等內(nèi)置策略。 系統(tǒng)具有定時掃描功能，用戶可以定制掃描時間，從而實現(xiàn)自動化掃描，生成報表。 系統(tǒng)對可掃描的IP地址進行了嚴格地限定，有效地防止系統(tǒng)被濫用和盜用；216。3. 安全管理功能216。 漏洞修復(fù)：提供可操作性很強的漏洞修復(fù)方案，同時提供二次開發(fā)接口給第三方的補丁管理產(chǎn)品進行聯(lián)動，方便用戶及時高效地對漏洞進行修復(fù)；216。 漏洞分析：對網(wǎng)絡(luò)中的資產(chǎn)進行自動發(fā)現(xiàn)，并且按照資產(chǎn)重要性進行分類。216。實現(xiàn)了隱患掃描、安全評估、脆弱性分析和解決方案。 漏洞掃描系統(tǒng)通過部署漏洞掃描系統(tǒng)，可以對數(shù)據(jù)中心主機服務(wù)器系統(tǒng)（LINUX、數(shù)據(jù)庫、UNIX、WINDOWS）、交換機、路由器、防火墻、入侵防御、安全審計、邊界接入平臺等等設(shè)備，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。它是記錄與審查用戶操作計算機及網(wǎng)絡(luò)系統(tǒng)活動的過程，是提高系統(tǒng)安全性的重要舉措。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權(quán)限；7. 集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。防火墻具有很強的記錄日志的功能．可以對不同通信網(wǎng)絡(luò)所要求的策略來記錄所有不安會的訪問行為。 防火墻系統(tǒng)防火墻是傳輸與網(wǎng)絡(luò)安全中最基本、最常用的手段之一，防火墻可以實現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡(luò)之間的邏輯隔離，達到有效的控制對網(wǎng)絡(luò)訪問的作用。 入侵防御系統(tǒng)入侵防御系統(tǒng)是一種軟、硬結(jié)合的計算機系統(tǒng)，它能通過攻擊特征庫匹配、漏洞機理分析、應(yīng)用還原重組、網(wǎng)絡(luò)異常分析等主要技術(shù)實現(xiàn)了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫，全面防止拒絕服務(wù)攻擊和服務(wù)溢出分布式攻擊。各安全設(shè)備及系統(tǒng)的功能要求如下： VPN加密系統(tǒng)VPN的身份認證通過LADP協(xié)議可以與認證服務(wù)器建立認證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。15） 應(yīng)用系統(tǒng)安全審計功能實現(xiàn)對應(yīng)用系統(tǒng)操作行為的審計。13） 主機安全審計功能實現(xiàn)用戶對主機操作行為的審計。11） 單點登錄管理功能基于數(shù)字證書，使用戶能夠方便地跨越多個站點或安全域?qū)崿F(xiàn)單點登錄，即用戶登錄到網(wǎng)絡(luò)以后，便能在安全可靠的前提下，訪問任何應(yīng)用程序而無需再次進行身份驗證；單點登錄應(yīng)同時提供針對B/S系統(tǒng)與C/S應(yīng)用系統(tǒng)的