【正文】 ..........................................................................................26 系統(tǒng)安全體系架構(gòu) .......................................................................................................27 安全防護(hù) .......................................................................................................................28 物理安全 ..................................................................................................................................28 網(wǎng)絡(luò)安全 ..................................................................................................................................28 操作系統(tǒng)安全 ..........................................................................................................................30 用戶認(rèn)證與授權(quán) ......................................................................................................................30 通信安全 ..................................................................................................................................30 數(shù)據(jù)存儲(chǔ)安全 ..........................................................................................................................31 可審計(jì)性 ..................................................................................................................................31 設(shè)備冗余 ..................................................................................................................................31 災(zāi)難備份 ..................................................................................................................................31 安全管理 .......................................................................................................................324 預(yù)期工期 ................................................................................................................................345 軟硬件清單 ............................................................................................................................353 / 321 項(xiàng)目背景和必要性近年來(lái)，國(guó)家不斷加大對(duì)互聯(lián)網(wǎng)的監(jiān)管和治理工作。中央針對(duì)加強(qiáng)互聯(lián)網(wǎng)管理工作，先后下發(fā)了中辦發(fā)〔2022〕32 號(hào)、中辦發(fā)〔2022〕24 號(hào)，中發(fā)〔2022〕11 號(hào)、工信部電管﹝2022﹞672 號(hào)、工信部電管〔2022〕188 號(hào)、工信部通?！?022〕280 號(hào)等，明確職責(zé)分工、強(qiáng)化互聯(lián)網(wǎng)管理要求。2022 年 11 月，工信部發(fā)布了《關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務(wù)和因特網(wǎng)接入服務(wù)（ISP）業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的實(shí)施方案》（工信部電管函[2022]552 號(hào)，以下簡(jiǎn)稱(chēng)《實(shí)施方案》）?！ㄔO(shè)企業(yè)接入資源管理平臺(tái)，記錄接入資源的分配、使用、出租、轉(zhuǎn)讓等信息，對(duì)接入資源異常使用實(shí)行日常發(fā)現(xiàn)、分析和處置，并實(shí)現(xiàn)與部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的連接。”xxxx 作為申請(qǐng) IDC 業(yè)務(wù)許可的企業(yè)，須落實(shí)國(guó)家關(guān)于互聯(lián)網(wǎng)管理的有關(guān)要求，對(duì)企業(yè)網(wǎng)絡(luò)信息安全保障依法實(shí)施監(jiān)督管理，盡快建立相關(guān)系統(tǒng)，維護(hù)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全。xxxxxx 擁有 IDC 機(jī)房有 5 個(gè) ，現(xiàn)狀如下：? 石家莊聯(lián)通信息中心機(jī)房：機(jī)房出入口總帶寬是為 1G。? 北京 APNIC 兆維機(jī)房：機(jī)房出入口總帶寬是為 1G。? 廣州電信七星崗機(jī)房：機(jī)房出入口總帶寬是為 1G。5 / 323 建設(shè)方案 建設(shè)原則根據(jù)國(guó)家相關(guān)規(guī)范和項(xiàng)目建設(shè)需求，在本項(xiàng)目建設(shè)中，遵循如下建設(shè)原則：? 利舊性本項(xiàng)目建設(shè)充分考慮了對(duì)現(xiàn)有應(yīng)用系統(tǒng)的影響，通過(guò)模塊化設(shè)計(jì)，內(nèi)部功能高度集中，外部各模塊低關(guān)聯(lián)，保證現(xiàn)有應(yīng)用系統(tǒng)改動(dòng)最小，并最大程度的利用已有系統(tǒng)。系統(tǒng)建設(shè)選擇的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫(kù)、操作系統(tǒng)以及 Web 應(yīng)用服務(wù)器都采用目前業(yè)界主流的產(chǎn)品和技術(shù)。? 安全可靠性本項(xiàng)目系統(tǒng)對(duì)系統(tǒng)的安全性、可靠性具有很高的要求。系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)充分利用認(rèn)證技術(shù)、加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行防護(hù)，并使用訪問(wèn)控制手段對(duì)外部訪問(wèn)進(jìn)行限制，最大程度上確保系統(tǒng)的安全性。? 標(biāo)準(zhǔn)化系統(tǒng)的運(yùn)行支持標(biāo)準(zhǔn)的操作系統(tǒng)和服務(wù)器硬件環(huán)境，系統(tǒng)支持標(biāo)準(zhǔn)的密碼算法、認(rèn)證算法和數(shù)據(jù)壓縮算法，支持標(biāo)準(zhǔn)的 XML 文件格式定義。? 可擴(kuò)展性考慮到系統(tǒng)將來(lái)的變化，系統(tǒng)應(yīng)具有良好的擴(kuò)展性。第二，模塊之間和本系統(tǒng)與外部系統(tǒng)之間通過(guò)標(biāo)準(zhǔn)接口交互。? 兼容性本系統(tǒng)必須兼容現(xiàn)有系統(tǒng)原有的必備功能及業(yè)務(wù)數(shù)據(jù)，并制定有效的系統(tǒng)整合策略。? 可維護(hù)性系統(tǒng)應(yīng)具備良好的可維護(hù)性。? 合法性選用的產(chǎn)品符合國(guó)家的相關(guān)法律、法規(guī)。7 / 32圖：xxxxx 互聯(lián)網(wǎng)云平臺(tái)綜合監(jiān)管系統(tǒng)的邏輯結(jié)構(gòu)如上圖所示，系統(tǒng)由展現(xiàn)層、服務(wù)層、數(shù)據(jù)層、接口層等構(gòu)成。系統(tǒng)用戶都通過(guò)展現(xiàn)層進(jìn)行業(yè)務(wù)操作。業(yè)務(wù)層是連接展現(xiàn)層和數(shù)據(jù)層的紐帶，通過(guò)業(yè)務(wù)層實(shí)現(xiàn)策略的下發(fā)、報(bào)備和發(fā)現(xiàn)的基礎(chǔ)資源信息入庫(kù)、綜合管控信息入庫(kù)、同步的數(shù)據(jù)入庫(kù)等。具體包括：? 與省管局安全監(jiān)管中心（SMMS）的接口? 與省管局 ICP/IP 地址備案管理系統(tǒng)的接口? 與工信部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的接口? 與平臺(tái)用戶的接口根據(jù)系統(tǒng)的不同類(lèi)型集成的方式可能不同，接口的表現(xiàn)形式也不一樣，這里的接口只是邏輯上的接口。9 / 32 信息安全管理系統(tǒng)架構(gòu)IDC 信息安全管理系統(tǒng)（Information Security Management System，簡(jiǎn)稱(chēng) ISMS）包括控制單元（Control Unit，簡(jiǎn)稱(chēng) CU）和執(zhí)行單元（Execution Unit，簡(jiǎn)稱(chēng) EU）兩個(gè)部分。EU 捕獲網(wǎng)絡(luò)數(shù)據(jù)，識(shí)別數(shù)據(jù)包采用的網(wǎng)絡(luò)協(xié)議，對(duì)所監(jiān)測(cè)線路主機(jī)的應(yīng)用服務(wù)、網(wǎng)絡(luò)代理服務(wù)、網(wǎng)站域名、用戶上網(wǎng)信息等進(jìn)行發(fā)現(xiàn)并及時(shí)上報(bào) CU，并響應(yīng) CU 的指令，協(xié)議阻斷違規(guī)網(wǎng)站/網(wǎng)頁(yè)，使網(wǎng)站喪失服務(wù)功能。系統(tǒng)管理端和 EU 通過(guò)內(nèi)網(wǎng)加密通信。根據(jù)保護(hù)對(duì)象、防護(hù)措施、安全策略以及網(wǎng)絡(luò)應(yīng)用需求等方面存在的差異，系統(tǒng)部署包括三個(gè)安全區(qū)：外網(wǎng) DMZ 區(qū)、內(nèi)網(wǎng)業(yè)務(wù)區(qū)、內(nèi)網(wǎng)數(shù)據(jù)區(qū)。只有外網(wǎng) DMZ 區(qū)允許來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)交互，其他兩個(gè)區(qū)不允許從互聯(lián)網(wǎng)進(jìn)行訪問(wèn)，且只允許外網(wǎng) DMZ 區(qū)內(nèi)的相關(guān)服務(wù)來(lái)讀取數(shù)據(jù)。系統(tǒng)通過(guò)互聯(lián)網(wǎng)與通信管理局側(cè) SMMS 系統(tǒng)進(jìn)行連接，通過(guò)內(nèi)網(wǎng)與 EU（IDC管控設(shè)備）進(jìn)行連接。外網(wǎng) DMZ 區(qū)包括：信息填報(bào)服務(wù)器（可選） 、分析處理 /接口服務(wù)器 1 臺(tái)。信息填報(bào)服務(wù)器是可選服務(wù)器，主要提供 ICP 備案數(shù)據(jù)及基礎(chǔ)數(shù)據(jù)填報(bào)服務(wù)，滿足網(wǎng)站主辦者自行報(bào)備網(wǎng)站備案信息的需要和 IDC/ISP 互聯(lián)網(wǎng)填報(bào)基礎(chǔ)數(shù)據(jù)的需要，用戶可根據(jù)需要選擇配備。內(nèi)網(wǎng)業(yè)務(wù)區(qū)包括：管理服務(wù)器 1 臺(tái)。? 內(nèi)網(wǎng)數(shù)據(jù)區(qū)內(nèi)網(wǎng)數(shù)據(jù)區(qū)的主要功能是匯集系統(tǒng)全部數(shù)據(jù)和文件，進(jìn)行分析處理、存儲(chǔ)，并提供數(shù)據(jù)支撐服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器及磁盤(pán)陣列采用 Raid 技術(shù)，充分保證數(shù)據(jù)存儲(chǔ)的安全可靠。注：本案中的防火墻需要做 NAT，使外網(wǎng) DMZ 交換機(jī)上連接的 2 臺(tái)服務(wù)器能夠連接互聯(lián)網(wǎng)。? 探針（EU）監(jiān)控網(wǎng)絡(luò)流量，實(shí)時(shí)監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)信息并將發(fā)現(xiàn)的有關(guān)信息通過(guò)互聯(lián)網(wǎng)加密上報(bào)到控制單元（CU ） ，控制單元（ CU）匯集各機(jī)房上報(bào)的網(wǎng)絡(luò)信息并進(jìn)行統(tǒng)一管理。圖 執(zhí)行單元 EU 部署網(wǎng)絡(luò)拓?fù)鋱D 建設(shè)內(nèi)容根據(jù)需求分析，為達(dá)到相關(guān)管理部門(mén)的管理要求，本期項(xiàng)目的建設(shè)內(nèi)容如下：? 在業(yè)務(wù)系統(tǒng)方面，新建 ICP/IP 地址備案管理系統(tǒng)，記錄并及時(shí)變更所接入網(wǎng)站的主體信息、聯(lián)系方式和接入信息等。? 在系統(tǒng)集成方面，實(shí)現(xiàn) ICP/IP 地址備案管理系統(tǒng)與部省網(wǎng)站備案管理系統(tǒng)的連接；實(shí)現(xiàn)接入資源管理系統(tǒng)與部電信業(yè)務(wù)市場(chǎng)綜合管理系統(tǒng)的連接；實(shí)現(xiàn) IDC 信息安全管理系統(tǒng)與通信管理局 SMMS 的對(duì)接。對(duì)登錄系統(tǒng)的當(dāng)前賬號(hào)，顯示其待辦的相關(guān)事項(xiàng)在首頁(yè)。 為接入商提供接入的用戶，即網(wǎng)站主辦者，提供 ICP 備案的自行錄入、注銷(xiāo)、進(jìn)度查詢(xún)、個(gè)人信息維護(hù)等管理功能，幫助網(wǎng)站主辦者在企業(yè)系統(tǒng)完成備案。 主體備案管理主體信息的備案信息添加、修改、刪除的管理。 接入備案管理接入信息的備案信息添加、修改、刪除的管理。 備案內(nèi)審管理對(duì)于 ICP 信息的層級(jí)審核，內(nèi)部回退，審批的管理功能。 備案數(shù)據(jù)分配對(duì)于現(xiàn)有存量數(shù)據(jù)，可進(jìn)行對(duì)已建賬號(hào)的綁定，分配。 備案管理為接入服務(wù)提供者 IP 報(bào)備單位提供 IP 地址來(lái)源、I