【正文】 提供針對B/S系統(tǒng)與C/S應(yīng)用系統(tǒng)的單點登錄功能。10） 資源授權(quán)及訪問控制管理功能基于數(shù)字證書，并采用基于RBAC的技術(shù)，在用戶進行信息系統(tǒng)的資源訪問及使用時，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制。9） 統(tǒng)一身份認證功能基于數(shù)字證書完成用戶與客戶端認證設(shè)備之間的認證，實現(xiàn)基于PKI的握手協(xié)議，實現(xiàn)不同系統(tǒng)和設(shè)備之間的身份認證有效統(tǒng)一，保護系統(tǒng)訪問的安全性。8） 統(tǒng)一用戶管理功能根據(jù)用戶的數(shù)字證書，提供對用戶的管理功能，包括用戶的主賬號（代表用戶身份的唯一帳號）和從賬號（不同應(yīng)用系統(tǒng)中的用戶帳號）的對應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實現(xiàn)用戶整個生命周期管理，包括對人員入職、調(diào)動、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。日志管理應(yīng)可提供強大、完善的日志查詢和檢索功能，滿足審計員對日志的審計和查詢需求。6） 日志管理功能使審計員可以通過日志管理對密鑰日志、系統(tǒng)日志進行事后審計和追蹤，作為日志審計的依據(jù)。配置管理應(yīng)可按照業(yè)務(wù)和資產(chǎn)重要程度和管理域的方式對業(yè)務(wù)和資產(chǎn)進行統(tǒng)一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業(yè)務(wù)和資產(chǎn)信息，并對業(yè)務(wù)和資產(chǎn)屬性進行維護。統(tǒng)計結(jié)果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢圖等，并為關(guān)聯(lián)分析提供支撐。根據(jù)實際的統(tǒng)計需求，對統(tǒng)計項進行自定義配置。可提供了預(yù)定義統(tǒng)計和自定義統(tǒng)計模式。提供實時監(jiān)控頁面即時切換，并可對實時監(jiān)控項和圖形化統(tǒng)計項進行自定義布局，完成管理員最關(guān)心的實時監(jiān)控和事件統(tǒng)計配置和顯示。實時監(jiān)控應(yīng)可按照業(yè)務(wù)和資產(chǎn)進行分類，可依據(jù)分類進行簡單、直觀的實時監(jiān)控。證書管理應(yīng)不僅能夠提供用戶注冊、審核，密鑰產(chǎn)生、分發(fā)，證書簽發(fā)、制證及發(fā)布等基本功能，還應(yīng)能為其它應(yīng)用系統(tǒng)提供證書下載，在線證書狀態(tài)查詢、可信時間等服務(wù)，并進行綜合管理，使其它系統(tǒng)能夠更方便的利用電子認證基礎(chǔ)設(shè)施實現(xiàn)安全應(yīng)用。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計系統(tǒng)、接入認證系統(tǒng)、PKI/CA身份認證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺等安全設(shè)備和系統(tǒng)，完成證書管理、實時監(jiān)控、統(tǒng)計分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認證、資源授權(quán)及訪問控制管理、單點登錄管理、網(wǎng)絡(luò)安全審計、主機安全審計、數(shù)據(jù)庫安全審計、應(yīng)用系統(tǒng)安全審計等一系列功能。 管理中心安全 管理中心安全概述安全管理平臺是對定級系統(tǒng)的安全策略及計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全上的安全機制實施統(tǒng)一管理的平臺。 通信網(wǎng)絡(luò)安全功能要求1） 傳輸網(wǎng)絡(luò)安全審計功能提供通信網(wǎng)絡(luò)所傳輸數(shù)據(jù)在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息在內(nèi)的審計功能。數(shù)據(jù)中心的通信網(wǎng)絡(luò)安全主要是通過部署入侵防范系統(tǒng)和VPN加密系統(tǒng)等安全設(shè)備和系統(tǒng)以及使用管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成傳輸網(wǎng)絡(luò)安全審計、數(shù)據(jù)傳輸完整性與機密性保護等一系列功能。通信網(wǎng)絡(luò)的安全保障越來越成為人們關(guān)注的重點。5） 邊界安全隔離與可信數(shù)據(jù)交換功能可完成指揮信令的雙向流動，以及視頻流單向流入公安信息網(wǎng)的安全隔離與控制，同時，還應(yīng)可采用兩頭落地的“數(shù)據(jù)交換”模式，實現(xiàn)公安信息通信網(wǎng)與其它網(wǎng)絡(luò)間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強度隔離。3） 邊界入侵防范功能在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。 區(qū)域邊界安全功能要求1） 邊界包過濾功能提供對數(shù)據(jù)包的進/出網(wǎng)絡(luò)接口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務(wù)（群組）的訪問過濾與控制功能，對進入或流出的區(qū)域邊界的數(shù)據(jù)進行安全檢查，只允許符合安全安全策略的數(shù)據(jù)包通過，同時對連接網(wǎng)絡(luò)的流量、內(nèi)容過濾進行管理。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。 區(qū)域邊界安全 區(qū)域邊界安全概述隨著應(yīng)用系統(tǒng)和通訊網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，異地跨邊界的業(yè)務(wù)訪問、移動用戶遠程業(yè)務(wù)訪問等復(fù)雜的系統(tǒng)需求不斷增多，如何對跨邊界的數(shù)據(jù)進行有效的控制與監(jiān)視已成為越來越關(guān)注的焦點，這對系統(tǒng)區(qū)域邊界防護提出了新的挑戰(zhàn)和要求。5） 惡意代碼防范功能安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進行升級和更新，以提供針對不同操作系統(tǒng)的工作站和服務(wù)器的全面惡意代碼防護。該功能應(yīng)提供審計記錄查詢、分類和存儲保護，并可由安全管理與基礎(chǔ)支撐功能層統(tǒng)一管理。 3） 安全審計功能提供安全審計機制，記錄系統(tǒng)的相關(guān)安全事件。采用基于角色的訪問控制技術(shù)，實現(xiàn)不同用戶、不同角色對不同資源的細粒度訪問控制，分別制定了不同的訪問控制規(guī)則，訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。在對每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標識符標識用戶身份，并確保在系統(tǒng)整個生存周期用戶標識的唯一性；在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。計算環(huán)境部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實現(xiàn)協(xié)同防護。計算環(huán)境安全針對的是對系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件，它的重點是為了提高以服務(wù)器為核心的計算平臺自身防御水平。 系統(tǒng)詳細設(shè)計 計算環(huán)境安全 計算環(huán)境安全概述伴隨著等級保護工作的持續(xù)開展，包括防火墻、安全網(wǎng)關(guān)、入侵防御、防病毒等在內(nèi)的安全產(chǎn)品成功地應(yīng)用到信息系統(tǒng)中，從很大程度上解決了安全問題，增強了信息安全防御能力。管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認證授權(quán)子系統(tǒng)和統(tǒng)一安全審計子系統(tǒng)等，它是系統(tǒng)的安全基礎(chǔ)設(shè)施，也是系統(tǒng)的安全管控中心。區(qū)域邊界安全主要提供網(wǎng)絡(luò)邊界身份認證、訪問控制、病毒防御、安全審計、網(wǎng)絡(luò)安全隔離與可信交換等安全服務(wù)。信息安全保障系統(tǒng)的一個中心是指管理中心安全，三重防御是指計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。 系統(tǒng)架構(gòu)智慧城市數(shù)據(jù)中心依據(jù)《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（GB/T 248562009），構(gòu)建 “一個中心支撐下的三重防御”的安