采購清單及技術(shù)參數(shù)

采購清單及技術(shù)參數(shù)序號設備名稱配置數(shù)量單位1業(yè)務區(qū)邊界防火墻（核心產(chǎn)品）1．多核處理器硬件架構(gòu)，標準機架式機箱，配置6個10/100/1000M自適應電口，2個SFP插槽，支持1個擴展槽，1個Console口，網(wǎng)絡層吞吐量16G，并發(fā)連接≥400萬，每秒新建連接數(shù)18萬，本次配置三年入侵防御（IPS）特征庫、病毒防護（AV）特征庫授權(quán)及升級服務；

2．產(chǎn)品支持路由、透明、交換以及混合模式接入；支持靜態(tài)路由、策略路由及動態(tài)路由，動態(tài)路由支持RIPv1/v2/ng，OSPFv2/v3，BGP4/4+協(xié)議；

3．支持通過綁定VLAN、VNI（VXLANNetworkIdentifier）、遠程VTEP，手動管理VxLan網(wǎng)絡；支持MAC、VNI、VTEP靜態(tài)綁定；

4．支持基于策略的路由負載，支持根據(jù)應用和服務進行智能選路；

5．支持基于IPv4/v6地址、應用的會話限制，限制動作包括每IP新建、每IP并發(fā)、所有IP新建、所有IP并發(fā)，且可以基于安全域指定限制方向；注：其中不動產(chǎn)業(yè)務邊界部署1臺，不動產(chǎn)服務器邊界部署2臺，一張圖服務器邊界部署1臺。4臺2管理中心服務器▲機架式服務器；Intel10核-2.2GHzCPU*2；64GBDDR4內(nèi)存；2*GE+2*10GE網(wǎng)口以太網(wǎng)卡；1GB緩存RAID卡，支持0/1/10；600GBSAS10Krpm硬盤*4；1+1冗余電源；含安裝導軌；1臺3日志審計系統(tǒng)▲1．設備要求：采用軟硬件一體化，標準機架式設備，千兆電口≥6個。事件采集≥5000EPS，事件處理2000EPS，內(nèi)置存儲空間≥2T，配置≥50個授權(quán)節(jié)點；

2．審計范圍：能夠?qū)ζ髽I(yè)和組織的IT資源中構(gòu)成業(yè)務信息系統(tǒng)的各種網(wǎng)絡設備、安全設備、安全系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫、中間件以及各種應用系統(tǒng)的日志、事件、告警等安全信息進行全面的審計；

3．資產(chǎn)管理：可按照設備資產(chǎn)重要程度和管理域的方式組織設備資產(chǎn)，提供便捷的添加、修改、刪除、查詢與統(tǒng)計功能；支持對資產(chǎn)日志進行過濾，設置允許接收和拒絕接收日志，并可以對資產(chǎn)設置一定時間范圍內(nèi)未收到事件后進行主動告警；

4．支持通過syslog、snmptrap、netflow等多種方式完成各種日志的收集功能；同品牌集中管理軟件的事件采集性能不低于30000條/秒，事件處理性能不低于10000條/秒；

5．實時監(jiān)視：支持實時的日志滾動顯示，可通過雷達圖等直觀顯示目前日志量和日志詳細信息；支持自定義實時監(jiān)視場景，提供可視化規(guī)則編輯視圖，對關注的事件進行實時展示；

6．關聯(lián)分析：可對不同類型設備的日志之間進行關聯(lián)分析，支持遞歸關聯(lián)，統(tǒng)計關聯(lián)，時序關聯(lián)，這幾種關聯(lián)方式能同時應用于一個關聯(lián)分析規(guī)則；

7．告警管理：通過關聯(lián)分析，對于發(fā)現(xiàn)的嚴重事件可以進行自動告警，告警內(nèi)容支持用戶自定義字段；告警方式包括郵件、短信、SNMPTrap、Syslog等；1臺4運維審計系統(tǒng)▲1．采用專用千兆多核硬件平臺和安全操作系統(tǒng)，標準機架式，千兆電口≥6個，擴展槽≥2個，內(nèi)置硬盤≥2TB，授權(quán)50個被管資源數(shù)；

2．物理旁路部署，不影響原有業(yè)務訪問；支持雙機熱備HA功能；支持分布式部署，可部署多臺運維審計設備共同負載訪問壓力；

3．支持手機動態(tài)令牌驗證功能，無需單獨安裝APP，支持綁定SSH公鑰，實現(xiàn)免密碼登錄，無授權(quán)數(shù)量限制；

4．支持SSH、RDP、TELNET、VNC、FTP、SFTP、SCP、x11、Rlogin協(xié)議主機，支持發(fā)布MySQL、SQLServer、Oracle、IE、Firefox、Chrome、VNCClient、SecBrowser、VSphereClient類型的應用；

5．支持用戶的IP地址（黑名單或白名單）和MAC地址限制（黑名單或白名單）限制，非法地址無法登陸；支持用戶的批量修改，包括重置密碼、移動部門、更改角色、修改多因子配置、修改有效期、修改IP限制、修改MAC限制；

6．無需安裝任何客戶端，便可windows、linux、MACOS等類操作系統(tǒng)登錄堡壘機，并訪問管理資源；1臺5數(shù)據(jù)庫審計系統(tǒng)▲1．專用硬件平臺和安全操作系統(tǒng)，系統(tǒng)內(nèi)嵌數(shù)據(jù)庫；基于B/S管理架構(gòu)，標準機架式設備，千兆自適應電口≥6個，接口板卡擴展槽≥2個，內(nèi)置存儲空間≥2TB，事件處理≥15000條/秒；

2．系統(tǒng)支持分布式部署方式，并支持數(shù)據(jù)庫審計集中管理功能，可快速查看所有審計系統(tǒng)的狀態(tài)、風險狀態(tài)等，方便區(qū)域性管理及防護策略的落實；

3．支持B/S、C/S應用系統(tǒng)三層架構(gòu)http應用審計，可提取包括應用系統(tǒng)的應用層帳號、數(shù)據(jù)庫帳號、操作系統(tǒng)用戶名、客戶端主機名、客戶端IP、客戶端MAC等身份信息，精確定位到人，并可獲取XML返回結(jié)果；

4．產(chǎn)品資質(zhì)要求：公安部《計算機信息系統(tǒng)專用產(chǎn)品銷售許可證》數(shù)據(jù)庫審計增強型。（提供以上資質(zhì)證書復印件）1臺6主機防護系統(tǒng)▲1．采用B/S架構(gòu)管理端，具備設備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測、統(tǒng)一漏洞修復、網(wǎng)絡流量管理、終端軟件管理、硬件資產(chǎn)管理以及各種報表和查詢等功能；本次配置授權(quán)為300個Windows終端許可及20個WindowsServer許可（為滿足采購人后續(xù)系統(tǒng)擴容的需求，要求主機防護系統(tǒng)還需要支持Linux操作系統(tǒng)以及中標麒麟、銀河麒麟等國產(chǎn)操作系統(tǒng)），提供三年系統(tǒng)管理、資產(chǎn)管理、日志報表、設備聯(lián)動、病毒防護、補丁管理、運維管控（內(nèi)網(wǎng)終端違規(guī)接入外網(wǎng)自動阻斷網(wǎng)絡連接）等升級服務；

2．按終端維度展示終端的硬件、軟件、操作系統(tǒng)、網(wǎng)絡、進程等信息；可監(jiān)控CPU溫度、硬盤溫度和主板溫度；支持終端軟、硬件變更審計，資產(chǎn)清單報表；支持統(tǒng)計指定分組或全網(wǎng)的終端掃描數(shù)、終端管理軟件安裝數(shù)、未安裝終端數(shù)及安裝率；支持自動發(fā)現(xiàn)設備的IP-MAC地址的綁定；支持插件清理，按插件顯示展示全網(wǎng)存在的插件和涉及的終端，可清理指定或全部插件、加入信任；按終端顯示展示全網(wǎng)每個終端存在的插件，可清理插件；

3．展示全網(wǎng)終端健康狀態(tài)、報警信息，可方便的查看不健康、亞健康終端列表；展示全網(wǎng)終端病毒庫日期比例，可方便的查看全網(wǎng)終端病毒庫的情況展示指定時間段內(nèi)指定終端修復漏洞，病毒查殺，木馬查殺的情況；要求支持郵件報警，可以設定多種觸發(fā)條件，滿足條件后自動發(fā)送郵件到相關人；支持大數(shù)據(jù)引擎系統(tǒng)，可將全網(wǎng)終端日常運維數(shù)據(jù)匯聚存儲分析，并根據(jù)客戶運維管理所需的要求定制報表；

4．要求產(chǎn)品具備主動防御技術(shù)，要求產(chǎn)品具備應用級沙箱技術(shù)；支持Linux、國產(chǎn)操作系統(tǒng)殺毒；支持瀏覽器防護，對篡改瀏覽器設置的惡意行為進行有效防御，并可以鎖定默認瀏覽器設置、要求能夠支持XP系統(tǒng)的漏洞利用防御，尤其對通過文件漏洞（尤其是0day漏洞）的攻擊行為進行有效檢測與防御、對敲詐者病毒提供防護機制；1套7安全準入系統(tǒng)▲1．機架式國產(chǎn)化網(wǎng)絡準入管理硬件設備；標準機架式結(jié)構(gòu)；標準配置6個1000MBASE-T接口；每秒事務數(shù)（TPS)：≥800（次/秒），最大吞吐量：≥300Mbps；配備≥300點的終端認證用戶許可；

2．能夠?qū)崟r監(jiān)測并發(fā)現(xiàn)接入內(nèi)網(wǎng)的PC、平板電腦、智能手機、IP設備等終端，能夠在第一時間隔離阻斷并通知管理員；配備認證引導和準入管理；

3．須原生支持802.1x標準協(xié)議，無需第三方RADIUS服務器支持；配備基于多廠商VirtualGateway的VLAN隔離技術(shù)，實現(xiàn)無客戶端環(huán)境下端口級準入控制；配備基于策略路由技術(shù)的準入控制模式，入網(wǎng)設備在訪問網(wǎng)內(nèi)關鍵資源時，將被強制隔離、引導至認證管理頁面，同時交換機接口動態(tài)VLAN下發(fā)、端口隔離模式的網(wǎng)絡邊界管理；

4．配備終端入網(wǎng)IE重定向引導，當用戶訪問網(wǎng)頁時能夠自動轉(zhuǎn)向到指定的頁面或地址，并支持http代理及多重重定向引導，配備設置第二重定向地址及其要管理的終端網(wǎng)段；可根據(jù)用戶的實際環(huán)境自定義用戶重定向引導。能通過瀏覽器完成身份認證、控件安裝、設備注冊、安全檢查、檢查結(jié)果展現(xiàn)等全流程引導管理；

5．支持用戶在認證頁面自行進行賬號的申請。用戶可自行提交用戶名、密碼、姓名、電話、部門、E-Mail等信息。管理員審核通過后，用戶即可使用該賬號進行認證。有效解決用戶賬號和密碼創(chuàng)建和分發(fā)的困難。1臺8業(yè)務系統(tǒng)災備一體機▲1．機架式設備，600W電源，64位多核處理器，內(nèi)存16GB，6個熱插拔盤位，提供2個千兆以太網(wǎng)接口，備份存儲裸容量≥24TB；

2．支持通用RAID0、1、5、6、50、60等多種RAID方式，同時要求具備三重奇偶校驗技術(shù)，支持任意三塊硬盤同時損壞數(shù)據(jù)不丟；

3．支持目標端在線重復數(shù)據(jù)刪除功能，在數(shù)據(jù)存儲時實時完成重復數(shù)據(jù)刪除處理，不占用額外硬盤空間，不增加后期處理操作，不占用數(shù)據(jù)源端服務器處理資源；

4．支持遠程復制功能，復制細粒度為塊級別，復制策略可設置為實時復制、定時復制等策略，支持在本地直接管理遠程容災設備的復制任務。支持一對一、多對一、級聯(lián)復制等復制方式；

5．支持Windows、Linux及Unix操作系統(tǒng)下的文件或數(shù)據(jù)庫在線備份；支持人大金倉、達夢、南大通用GBase、神通、TRS等國產(chǎn)數(shù)據(jù)庫備份及恢復功能；

6．支持Oracle、OracleRAC的備份，在數(shù)據(jù)庫服務器上無需安裝任何客戶端程序，即可實現(xiàn)數(shù)據(jù)備份。支持采用多通道備份方式，實現(xiàn)單一備份任務可并行多條備份通道進行數(shù)據(jù)備份，最大發(fā)揮高速網(wǎng)絡（如萬兆）和存儲性能；

7．支持遠程備份功能，采用對等多主控模式，各主控能獨立工作；并可實現(xiàn)一對一、一對多、多對一、多對多的遠程備份容災方式；注：不動產(chǎn)業(yè)務系統(tǒng)1臺，國土“一張圖”系統(tǒng)1臺。2臺9不動產(chǎn)匯聚交換機▲1．交換容量≥5.9Tbps，轉(zhuǎn)發(fā)性能≥160Mpps；

2．MAC地址≥64K，IPv4FIB表≥16K，

3．支持雙機堆疊，且雙機堆疊后所有設備采用統(tǒng)一的轉(zhuǎn)發(fā)表項；

4．支持靜態(tài)路由、RIPv1/2、RIPng、OSPF、OSPFv3、ISIS、BGP、VRRP等協(xié)議；

5．支持MPLS、MPLSL2VPN、MPLSL3VPN、MPLSTE、三層組播，并提供國際權(quán)威機構(gòu)測試報告；

6．支持防CPU攻擊和MACsec功能；

7．配置交流電源，24個10/100/1000Base-T以太網(wǎng)端口，4個100/1000SFP，4個千兆SFP，2個QSFP+堆疊口。注：針對不動產(chǎn)業(yè)務系統(tǒng)部署2臺。2臺10業(yè)務接入交換機▲1．交換容量≥3Tbps，轉(zhuǎn)發(fā)性能≥95Mpps；

2．MAC地址≥16K，VLAN支持4k；

3．支持與現(xiàn)有服務器區(qū)的華為交換機進行堆疊，堆疊后所有設備采用統(tǒng)一的轉(zhuǎn)發(fā)表項，保留測試權(quán)利；

4．支持與現(xiàn)有核心交換機之間實現(xiàn)縱向虛擬化技術(shù)；

5．支持靜態(tài)路由、RIPv1/2、RIPng、OSPF、OSPFv3、ISIS、BGP、VRRP等協(xié)議；

6．支持openflow和支持MACsec功能；

7．配置：交流電源，24個10/100/1000Base-T以太網(wǎng)端口，4個千兆SFP端口。注：其中不動產(chǎn)業(yè)務區(qū)部署1臺，一張圖業(yè)務區(qū)部署1臺，規(guī)劃業(yè)務區(qū)部署1臺。3臺11機房地板改造機房面積約50㎡，更換部分已破損防靜電地板約65塊，將老舊愛默生UPS主機報廢并拆除，電池具有鉛酸腐蝕性，拆除后交甲方按報廢處置，并對機房衛(wèi)生進行全部清理等工作。靜電地板主要技術(shù)要求：

(1)上表面粘接HPL,具有耐久性防靜電性能，膠層粘接牢固均勻，采用自動噴膠設備，機械設備自動滾壓。

(2)地板的面板、底板采用優(yōu)質(zhì)的冷軋合金鋼板，底板為深拉伸鋼板，一次整體拉伸成形，自動多頭點焊機將面板和底板點焊組成地板基體。

(3)地板表面粘貼高耐磨、抗污染、防靜電性能優(yōu)良的高壓層裝飾板，四周鑲鉗PVC導電塑料邊條。

(4)地板的電性能：溫度為15-30℃，相對濕度30-75%時，地板的系統(tǒng)電阻值為1×107-1×1010Ω。

(5)地板的耐磨性能：支架達到上3mm下2mm橫梁標準1.0mm。地板表面覆蓋層材料為高耐磨三聚氰胺高壓層裝飾貼面（HPL），其耐磨大于3000轉(zhuǎn)，厚度大于1.0mm。

(6)地板的燃燒性能：地板表面覆蓋層材料及邊緣裝飾材料使用阻燃材料，其燃燒性能達到A級。1項12機房消防系統(tǒng)本機房消防工程應包括兩個部分：火災自動報警系統(tǒng)；七氟丙烷無管網(wǎng)安裝方式氣體滅火系統(tǒng)，機房區(qū)50㎡。

1、消防報警系統(tǒng)，報警區(qū)域：機房場所

（1）本機房消防報警設計為區(qū)域式報警系統(tǒng)，為一個獨立消防系統(tǒng)。

（2）根據(jù)GB50116-2013《火災自動報警系統(tǒng)設計規(guī)范》規(guī)定，安裝消防火災自動消防報警系統(tǒng)設備；

（3）本機房等氣體保護區(qū)內(nèi)設置報警，采用煙感與溫感雙路監(jiān)測；其中一路報警，發(fā)出警告，并啟動被保護區(qū)的警鈴，兩路均報警，則啟動氣體滅火裝置（可延時30S），實施滅火；

（4）消防通道處門均向疏散方向(走廊)開啟。機房區(qū)出口處設計安全出口標志燈，機房內(nèi)安裝消防應急照燈及排煙設備以滿足GB50116-2013《火災自動報警系統(tǒng)設計規(guī)范》規(guī)定；

（5）電源采用市電和消防主機自備電源供電方式，符合GB50116-98《火災自動報警系統(tǒng)設計規(guī)范》規(guī)定。

2、消防滅火系統(tǒng)

（1）設計保護對象機房共1個防護區(qū)，采用全淹沒無管網(wǎng)七氟丙烷氣體滅火系統(tǒng)，即在一分鐘內(nèi)噴射一定濃度的七氟丙烷并使其均勻地充滿整個保護區(qū)，將保護區(qū)內(nèi)的火撲滅；

（2）無管網(wǎng)氣體滅火系統(tǒng)設計充裝壓力為2.5MPa(表壓)；設計滅火藥劑在8s內(nèi)噴放完畢；

（3）滅火系統(tǒng)的控制方式為自動、電氣手動、機械應急手動，在保護區(qū)外設置手動控制盒。保護區(qū)無人時，應采用自動控制方式，即自動控制報警，發(fā)出火警信號，自動啟動滅火系統(tǒng)進行滅火；在保護區(qū)有人工作或值班時，應采用手動控制，即出現(xiàn)火情經(jīng)手動啟動，發(fā)出火警信號，啟動滅火系統(tǒng)進行滅火。自動、手動控制系統(tǒng)的轉(zhuǎn)換，可在控制柜上實現(xiàn)；當保護區(qū)發(fā)生火情，系統(tǒng)電源或電氣控制部分出現(xiàn)故障，不執(zhí)行滅火命令時，可采用機械應急手動控制方式，手動控制必須在提前關閉影響滅火效果的設備。通知并確認人員已經(jīng)撤離后方可實施；當火災報警時，在滅火系統(tǒng)噴放滅火劑前發(fā)現(xiàn)不需要啟動滅火系統(tǒng)進行滅火的情況時，可按下緊急停止按鈕阻止滅火指令的發(fā)出；

（4）對保護區(qū)的要求：保護區(qū)為獨立區(qū)域；保護區(qū)的圍護結(jié)構(gòu)及門窗的耐火極限不低于0.5h，圍護結(jié)構(gòu)及門的允許壓強不小于1200Pa；釋放七氟丙烷前，停止一切影響滅火效果的設備；保護區(qū)的通風系統(tǒng)在噴放七氟丙烷滅火劑前關閉，并設置防火閥門，關閉通風口；保護區(qū)外設置光報警及氣體釋放信號標志，保護區(qū)內(nèi)設置聲光報警；在釋放滅火劑前，發(fā)出火災警報，火災報警至釋放滅火劑的延時時間為30秒，以保證人員從保護區(qū)撤離；在釋放七氟丙烷滅火劑時及滅火后廢氣排盡前不允許有人停留在保護區(qū)內(nèi)。為保證滅火的可靠性，在滅火劑釋放之前或同時，應保證切斷電源，關閉、停止一切影響滅火效果的設備；保護區(qū)應有排風設備，釋放滅火劑后，應將廢氣排盡，人員方可進入，如需提前進入，須帶消防呼吸面罩；滅火系統(tǒng)的使用環(huán)境溫度為-10至49℃；

3、驗收

消防系統(tǒng)按招標文件安裝完畢后，經(jīng)第三方有權(quán)檢測機構(gòu)檢測并通過驗收后交付投入使用；

包括但不限于設備安裝、調(diào)試等費用計入投標報價中，采購人不接受任何變更。1項13機房動環(huán)監(jiān)控系統(tǒng)機房集中監(jiān)控系統(tǒng)：包含以下各子系統(tǒng)：串口服務器一臺；監(jiān)控系統(tǒng)軟件組態(tài)平臺；支持電話語音報警、短信報警、短信查詢與定時報平安系統(tǒng)、電子郵件/微信報警系統(tǒng)等；1、功能要求如下:（1）供配電監(jiān)測：可測量任何制式的全部相電壓/線電壓、電流、功率、電能、功率因數(shù)、頻率等34個參數(shù)。

（2）UPS監(jiān)測：對機房內(nèi)UPS電源的各部件工作狀態(tài)、運行參數(shù)等進行實時監(jiān)測；

（3）精密空調(diào)監(jiān)測：對機房內(nèi)空調(diào)的運行狀態(tài)進行實時監(jiān)測（廠家提供協(xié)議）。安裝定位式漏水監(jiān)測設備，保證機房設備的穩(wěn)定運行；

（4）溫濕度監(jiān)測：在機房的各個重要部位安裝溫濕度傳感器，采用液晶顯示，吸頂安裝或墻面安裝，美觀大氣，額定電壓：12VDC，測量范圍：-20℃～70℃，0～100%RH，精度：±0.5℃、±3%RH。2、機房新增防盜監(jiān)測功能：對機房內(nèi)重要區(qū)域安裝吸頂式紅外探測器實時監(jiān)測機房的人體入侵情況。1項14機房UPS系統(tǒng)擴容現(xiàn)有易事特EA66100主機一套，增加一臺電池柜及一組電池組（標配的32節(jié)12V/100AH免維護鉛酸蓄電池），并接入現(xiàn)有主機中，滿足等保中應急儲備電量不小于2小時的要求；UPS電池需多提供兩節(jié)電池（隨機抽取）供甲方、縣信息辦測試容量和破壞性檢測，電池內(nèi)不應含有與制造電池原料無關的材料（如玻璃，沙石，石灰等）。1項15機房線路整改對1樓、5樓機房內(nèi)線路進行整改：1、對大樓弱電系統(tǒng)600多信息點進行檢測，并將信息點不通的模塊進行更換，保障每個房間信息點（包括網(wǎng)絡信息點和電話信息點）的正常使用。1樓、5樓機房內(nèi)信息點按樓層及內(nèi)外網(wǎng)分開。按綜合布線標準進行施工，統(tǒng)籌規(guī)劃，保證線路清晰及便于查找問題。具體整改：（1）線路按綜合布線標準上架并打上對應永久性標簽，并與網(wǎng)絡、通信供應商做好銜接工作；（2）更換各辦公室損壞的墻插網(wǎng)絡接口模塊并打上對應標簽；（3）整改過程中充分利舊現(xiàn)有機房的網(wǎng)絡設備；整改中需要增加的機柜，配線架，跳線、光纖、線槽、ODF、模塊、面板、電話配線架、電話跳線等未考慮到的材料、施工費等均含在總報價中。（4）對5樓非自然資源局的其他單位線路一并規(guī)整到位。（5）改善機房現(xiàn)有環(huán)境，使其滿足測評相關要求。2、現(xiàn)有機柜內(nèi)只有UPS電，沒有市電，每個機柜內(nèi)增加市電供電，把原有雙電源設備，分別接入UPS和市電雙供電模式。增加8個PDU和電源線等。3、為杜絕機房線路安全隱患，需對機房強電線路統(tǒng)一規(guī)劃設計，按綜合布線標準重新排布，按標準的要求分開走線。1項16安全服務針對現(xiàn)有業(yè)務系統(tǒng)進行整體的安全服務，包括如下內(nèi)容：

1．漏洞掃描服務：系統(tǒng)和網(wǎng)絡進行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡設備、服務器主機、數(shù)據(jù)和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅；

2．風險評估服務：通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為，對信息系統(tǒng)安全進行深入的評估，發(fā)現(xiàn)目前網(wǎng)絡和業(yè)務系統(tǒng)的脆弱性、可能造成的影響；

3．安全加固服務：根據(jù)漏洞檢測、風險評估、基線核查等安全評估的結(jié)果，結(jié)合不同的網(wǎng)絡設備、安全產(chǎn)品、操作系統(tǒng)和應用系統(tǒng)的安全特性，對加固對象進行修補加固；

4．安全巡檢服務：中標供應商在項目質(zhì)保期間根據(jù)需要每季度須為采購人提供不少于1次的安全巡檢服務，出具書面巡檢報告；如遇突發(fā)情況，中標供應商應無條件提供應急服務（接電話后3小時內(nèi)到達現(xiàn)場）。

5．新業(yè)務上線檢測服務：運維期間針對采購人新上線的業(yè)務系統(tǒng)進行合規(guī)性檢查，使其滿足等級保護的防護要求；

6．安全培訓服務：為了提高采購人的安全防護意識，中標供應商在驗收前須為采購人提供不少于2次的安全培訓服務；

7．制度完善服務：中標供應商需結(jié)合實際情況，為采購人提供滿足等級保護測評要求的相關安全管理制度；

注：安全服務以通過等級保護測評為驗收依據(jù)。3年采購清單及技術(shù)要求中的其他要求詳見建設方案，建設方案如下：第一章項目概述1.1、項目名稱當涂縣自然資源和規(guī)劃局不動產(chǎn)登記及國土資源“一張圖”信息系統(tǒng)安全等級保護建設項目服務采購1.2、項目建設方案編制依據(jù)1）互聯(lián)網(wǎng)+政務服務”技術(shù)體系建設指南2）政務信息資源類規(guī)范、標準3）《中華人民共和國網(wǎng)絡安全法》（2017年6月1日）4)《網(wǎng)絡安全等級保護管理條例》（征求意見稿）5)《網(wǎng)絡安全等級保護定級指南》（GB/T22240-2019）6)《網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）7)《網(wǎng)絡安全等級保護安全設計技術(shù)要求》（GB/T25070-2019）8)《網(wǎng)絡安全等級保護實施指南》（GB/T25058-2019）9)《信息安全風險評估規(guī)范》（GB/T20984-2007）10)《電子信息系統(tǒng)機房設計規(guī)范》（GB/T50174-2008）11)《計算機場地安全要求》（GB/T9361-2006）1.3、項目概況1.3.1、項目背景網(wǎng)絡安全等級保護制度是我國關于信息安全的基本政策，《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)(2003)27號）明確要求我國信息安全保障工作實行等級保護制度。2007年6月發(fā)布的關于印發(fā)《信息安全等級保護管理辦法》的通知(公通字(2007)43號）進一步強調(diào)了開展網(wǎng)絡安全等級保護工作的重要意義，規(guī)定了實施網(wǎng)絡安全等級保護制度的原則、內(nèi)容、職責分工、基本要求和實施計劃，部署了實施網(wǎng)絡安全等級保護工作的操作辦法。2017年6月國家頒布實施《中華人民共和國網(wǎng)絡安全法》，正式將網(wǎng)絡安全等級保護制度寫進國家法律，要求網(wǎng)絡系統(tǒng)的使用者、管理者、運營者按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務。這從法治層面進一步推動網(wǎng)絡安全等級保護制度的落實。2019年5月，網(wǎng)絡安全等級保護制度2.0標準正式發(fā)布，實施時間為2019年12月1日,等級保護正式進入2.0時代。等級保護2.0更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護，除了基本要求外，還增加了對使用了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)的保護對象全覆蓋。等保2.0標準的發(fā)布，對加強國家及全社會網(wǎng)絡安全保障工作，提升網(wǎng)絡安全保護能力具有重要意義。隨著當涂縣自然資源和規(guī)劃局信息化建設的不斷深入，對信息系統(tǒng)的依賴越來越強，自然資源不動產(chǎn)登記和國土資源“一張圖”等重要信息系統(tǒng)能否安全正常地運行直接關系到國家安全、公共利益和社會秩序。2020年1月，我局委托第三方等級保護測評機構(gòu)，對重點應用系統(tǒng)進行等級保護預測評，測評結(jié)果與等級保護基本要求存在較大差距，主要體現(xiàn)在：缺少相關安全設備、相關系統(tǒng)安全配置不達標、安全管理制度流程或執(zhí)行記錄與等保要求存在差異。當涂縣自然資源和規(guī)劃局網(wǎng)絡安全防護體系急需參照等級保護標準進行整改建設。1.3.2、建設目標結(jié)合不動產(chǎn)登記和國土資源“一張圖”信息系統(tǒng)的實際情況，按照《信息系統(tǒng)等級保護安全設計技術(shù)要求》和《信息系統(tǒng)安全等級保護基本要求》等相關要求，通過落實安全責任制，開展管理制度建設、技術(shù)措施建設，落實等級保護制度的各項要求，當涂縣自然資源和規(guī)劃局信息系統(tǒng)整網(wǎng)參照三級標準建設，規(guī)劃標準參照三級安全架構(gòu)模型進行設計，使不動產(chǎn)登記信息系統(tǒng)達到三級要求，國土資源“一張圖”信息系統(tǒng)達到二級要求，系統(tǒng)安全管理水平明顯提高，安全保護能力明顯增強，安全隱患和安全事故明顯減少，有效保障我局信息化建設健康發(fā)展，維護社會秩序和公共利益。本項目建設將完成以下目標：1、建立全面合規(guī)的等保體系以當涂縣自然資源和規(guī)劃局信息系統(tǒng)現(xiàn)有基礎設施，建設并完成滿足等級保護三級系統(tǒng)基本要求的網(wǎng)絡信息系統(tǒng)。確保當涂縣自然資源和規(guī)劃局信息系統(tǒng)的整體信息化建設符合相關要求并且整體網(wǎng)絡的安全防護水平邁向新的臺階。2、建立安全管理組織機構(gòu)成立當涂縣自然資源和規(guī)劃局信息安全工作領導小組，局長為安全責任人，信息中心負責擬定實施當涂縣自然資源和規(guī)劃局不動產(chǎn)系統(tǒng)和一張圖系統(tǒng)等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。3、建立完善的安全技術(shù)防護體系根據(jù)信息安全等級保護的要求，建立滿足等級保護三級要求的安全技術(shù)防護體系。4、建立健全信息系統(tǒng)安全管理制度根據(jù)信息安全等級保護三級的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。5、制定保障業(yè)務不中斷的應急預案應急預案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形以及問題出現(xiàn)時對系統(tǒng)影響程度的深淺來制定相應的應急措施，同時需要組織當涂縣自然資源和規(guī)劃局定期演練已建立的應急預案，提升應急事件的應對效率和意識。6、組織安全技術(shù)和意識培訓通過合理、有效、深入、系統(tǒng)的安全知識和安全防范意識培訓，進一步提升管理維護人員安全防范意識，為信息化技術(shù)人員提供信息安全相關專業(yè)技術(shù)知識培訓。1.3.3、項目建設內(nèi)容考核情況無1.3.4、項目建設的意義和必要性、項目建設的意義當涂縣自然資源和規(guī)劃局的信息化歷經(jīng)多年發(fā)展，當前信息化基礎建設以及業(yè)務系統(tǒng)目前已趨于完善，以不動產(chǎn)登記系統(tǒng)和一張圖業(yè)務系統(tǒng)為核心的關鍵業(yè)務其中不動產(chǎn)登記系統(tǒng)更是為廣大人民群眾和上級政府提供了重要的基礎數(shù)據(jù)服務，但相比較下，信息安全的建設水平卻存在滯后現(xiàn)象，而隨著近年來國家層面對網(wǎng)絡安全的重視，以及《網(wǎng)絡安全法》和《網(wǎng)絡安全技術(shù)信息安全等級保護基本要求》條例的發(fā)布和實施，網(wǎng)絡安全問題被提升到一個戰(zhàn)略層面，也成為了各單位負責人以及單位信息化負責人必須要做的基本工作，等級保護的作為國家的一項標準，對于完善信息安全法律法規(guī)和標準體系，提高單位的安全建設的整體水平，增強信息系統(tǒng)安全保護的整體性、針對性和時效性具有非常重要的意義。、現(xiàn)狀及問題描述.1、系統(tǒng)架構(gòu)描述當涂縣自然資源和規(guī)劃局通過光纖與市局專網(wǎng)、縣電子政務網(wǎng)、縣住建局、鄉(xiāng)鎮(zhèn)國土所實現(xiàn)業(yè)務交互，現(xiàn)網(wǎng)拓撲結(jié)構(gòu)如下圖所示：當涂縣自然資源和規(guī)劃局網(wǎng)絡現(xiàn)狀.2、系統(tǒng)設備描述目前內(nèi)網(wǎng)中有一臺邊界防火墻、一臺出口路由器、兩臺華為核心交換機、一臺不動產(chǎn)匯聚交換機，一臺一張圖業(yè)務交換機，不動產(chǎn)業(yè)務服務器五臺、數(shù)據(jù)庫服務器兩臺，一臺浪潮的光纖交換機和一臺華為的存儲設備；四臺一張圖業(yè)務服務器，一臺一張圖存儲系統(tǒng)；四臺規(guī)劃局的服務器及一臺存儲系統(tǒng)也安裝在了資源局的機房中；不動產(chǎn)匯聚交換機與縣局電子政務網(wǎng)進行了互聯(lián)；不動產(chǎn)匯聚交換機通過一臺網(wǎng)閘與前置機相連，和住建部門之間進行數(shù)據(jù)交換；內(nèi)網(wǎng)中接入交換機集中分布在1樓機房和5樓機房，通過光纖雙上行至內(nèi)網(wǎng)核心交換機；由于采購時間較早，僅有的網(wǎng)神防火墻型號已經(jīng)停產(chǎn)，相關特征庫無法升級，產(chǎn)品也已經(jīng)繼續(xù)續(xù)保；除防火墻外，網(wǎng)絡中安全防護設備較少，沒有明確的安全域劃分，沒有完善的機房管理制度及人員操作管理平臺，且機房內(nèi)部環(huán)境較為雜亂，尤其是辦公外網(wǎng)部分的機柜環(huán)境。.3、機房現(xiàn)狀描述當涂縣自然資源和規(guī)劃局的機房總有2個，主機房位于辦公大樓的1樓，副機房位于辦公大樓的5樓，機房建成時間較早，運維單位多且人員水平參差不齊，機房內(nèi)沒有相關管理和運維制度可以參考，工作責任沒有監(jiān)督和出發(fā)措施，導致機房內(nèi)線路雜亂不堪，給后期單位運維和故障排查帶來極大阻礙。1樓主機房機柜環(huán)境（部分）如下圖所示：

5樓副機房現(xiàn)狀環(huán)境展示：.4、管理制度描述1）安全管理制度按照新的等級保護基本要求中規(guī)定，安全管理制度應當涵蓋“管理制度”、“制定和發(fā)布”以及“評審和修訂“等方面的內(nèi)容。但我單位未安排專業(yè)公司及人員協(xié)助我們建立安全管理制度，若按照等級保護2.0標準進行測評，則屬于不合規(guī)項。2）安全管理組織按照新的等級保護基本要求中規(guī)定，安全管理機構(gòu)應當涵蓋“崗位設臵”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等方面的內(nèi)容。但我單位并未組織建立安全管理組織架構(gòu)，若按照等級保護2.0標準進行測評，則屬于不合規(guī)項。3）人員安全管理制度按照新的等級保護基本要求中規(guī)定，人員安全管理應當涵蓋“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓”以及“外部人員訪問管理”等方面的內(nèi)容。但我單位未安排專業(yè)公司及人員協(xié)助建立人員安全管理制度，若按照等級保護2.0標準進行測評，則屬于不合規(guī)項。4）系統(tǒng)建設管理制度按照新的等級保護基本要求中規(guī)定，系統(tǒng)建設管理應當涵蓋“系統(tǒng)定級”、“安全方案設計、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務商選擇”等方面的內(nèi)容。但我單位未安排專業(yè)公司及人員協(xié)助建立安全系統(tǒng)建設制度，若按照等級保護2.0標準進行測評，則屬于不合規(guī)項。5）系統(tǒng)運維管理制度按照新的等級保護基本要求中規(guī)定，系統(tǒng)運維管理應當涵蓋“環(huán)境管理”、“資產(chǎn)管理、“介質(zhì)管理”、“設備管理”、“監(jiān)控管理和安全管理中心”、“網(wǎng)絡安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”以及“應急預案管理”等方面的內(nèi)容。但我單位未安排專業(yè)公司及人員協(xié)助建立安全系統(tǒng)運維制度，若按照等級保護2.0標準進行測評，則屬于不合規(guī)項。、項目建設必要性當涂縣自然資源和規(guī)劃局的中心機房位于辦公大樓的1樓，歷經(jīng)多次規(guī)模性建設后，機房內(nèi)基礎設施配置相對完整，但由于自辦公大樓建成投入使用至今近十年，沒有聘請專業(yè)的運維支撐單位進行日常維護，因此目前基礎設施及相關設備運行情況較差。針對本次等級保護建設，并結(jié)合我單位當前網(wǎng)絡系統(tǒng)的實際情況，提煉出以下幾點等級保護設計、建設環(huán)節(jié)的核心需求：1、等保合規(guī)性設計方案需要綜合考慮，在深入了解當前現(xiàn)有網(wǎng)絡環(huán)境的基礎上，結(jié)合等級保護新規(guī)要求，建設一套完整的、體系化的、符合規(guī)定的安全防護方案，達到等級保護測評標準，通過等級保護測評要求；2、產(chǎn)品多元性為了防止同一品牌在某些方面存在設計疏忽或邏輯漏洞，給系統(tǒng)帶來因單一產(chǎn)品帶來的風險，設計方案中需要考慮使用1-2家廠商產(chǎn)品；3、架構(gòu)前瞻性方案架構(gòu)和產(chǎn)品性能、容量配置應具備良好的擴展性和前瞻性，便于后期靈活的擴容；能夠從容應對當涂縣自然資源和規(guī)劃局數(shù)據(jù)中心未來5年內(nèi)的信息化發(fā)展要求；4、平臺通用性信息化的快速發(fā)展帶動著企事業(yè)行業(yè)信息化的發(fā)展，為了促進行業(yè)信息化發(fā)展，規(guī)范引導行業(yè)信息化的健康發(fā)展，設計方案的系統(tǒng)架構(gòu)的通用性和產(chǎn)品兼容性需要在考慮因素內(nèi)；為了全面地對當涂縣自然資源和規(guī)劃局的信息系統(tǒng)安全需求進行分析，本方案還深入?yún)⒖肌禛B/T22239-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》，根據(jù)本次等保2.0通用要求中，在“一個中心三重防御”的思想下，進行具體技術(shù)和安全服務拆分，將對當涂縣自然資源和規(guī)劃局的信息系統(tǒng)安全需求從安全技術(shù)需求分析、安全管理需求分析兩大板塊進行分析。1.3.5、安全技術(shù)需求說明、物理環(huán)境需求概述1、自動滅火裝置需求概述機房內(nèi)目前未部署自動滅火裝置，根據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22239-2019要求，第三級安全要求中“安全物理環(huán)境”一項中明確要求：“機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；”本次將通過等級保護建設來完善機房內(nèi)自動滅火裝置的需求。2、UPS系統(tǒng)擴容需求概述現(xiàn)有UPS系統(tǒng)的供電能力只能滿足現(xiàn)有機房中的設備負載的臨時用電，若本次按照等級保護中要求新增設備，則需要對現(xiàn)有UPS系統(tǒng)的供電能力進行重新計算并擴容。本次將通過等級保護建設來完善機房內(nèi)UPS系統(tǒng)擴容的需求。3、防靜電地板更換需求概述由于機房建設較早，投入使用年限久遠，機房內(nèi)大部分防靜電地板的外觀已經(jīng)嚴重損毀，進入到更換階段，根據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22239-2019要求，第三級安全要求中“安全物理環(huán)境”一項中明確要求：“應采用防靜電地板或地面，并采用必要的接地防靜電措施；”本次將通過等級保護建設來完善機房內(nèi)防靜電地板更換的需求。4、線路及標簽整理需求概述由于機房建設較早，投入使用年限久遠，涉及到多方運維單位，而各單位人員素質(zhì)參差不齊，導致現(xiàn)有機房內(nèi)線路雜亂無章，并且缺少相應標簽，這給我單位排查問題帶來重重阻礙，據(jù)有關統(tǒng)計，信息系統(tǒng)中80%的網(wǎng)絡突發(fā)故障來自于物理鏈路，因此規(guī)范標準的布線是保障網(wǎng)絡穩(wěn)定可靠的基本前提。本次將通過等級保護建設來完善機房內(nèi)線路及標簽整理的需求。5、機房動環(huán)監(jiān)控系統(tǒng)需求概述信息機房是一個單位的核心場所，隨著現(xiàn)如今信息化建設的不斷發(fā)展及逐漸普及,機房內(nèi)的機柜、配線室、設備控制室都承擔著及其重要的責任,因而對其運行環(huán)境的要求都較為高，傳統(tǒng)意義上的機房環(huán)境監(jiān)控一般都是采用值班或者管理人員巡查管理方式，耗人、耗力且效率低下。為了改善這一現(xiàn)象，本次通過等級保護建設部署一套動環(huán)監(jiān)控系統(tǒng)提升機房內(nèi)環(huán)境管理效率的需求。、通信網(wǎng)絡需求概述1、網(wǎng)絡架構(gòu)完善需求概述當涂縣自然資源和規(guī)劃局的業(yè)務內(nèi)網(wǎng)雖然已經(jīng)進行了雙核心、雙接入的冗余設計，但是在重要的業(yè)務區(qū)域內(nèi)，仍舊使用了單接入交換機，本次建設需要從網(wǎng)絡架構(gòu)的合理性和冗余能力進行考慮。本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中關于網(wǎng)絡架構(gòu)的相關要求。2、網(wǎng)絡區(qū)域調(diào)整需求概述當涂縣自然資源和規(guī)劃局的業(yè)務網(wǎng)絡由于前期規(guī)劃時并沒有統(tǒng)一區(qū)域劃分，導致目前網(wǎng)絡并沒有明確的區(qū)域界限，網(wǎng)絡中的流量也沒有明確的區(qū)域權(quán)限，這將導致整網(wǎng)處于高風險狀態(tài)。本次需要通過等級保護建設，對辦公網(wǎng)絡進行明確的區(qū)域劃分，并針對各區(qū)域間的辦公需要進行權(quán)限的精細化控制，降低風險。、區(qū)域邊界需求概述1、區(qū)域邊界防護需求概述針對已劃分好區(qū)域的網(wǎng)絡區(qū)域邊界，需要部署具備相關防護功能的設備來滿足《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22239-2019第三級安全要求中“安全區(qū)域邊界”一項的相關要求：“應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信；”“應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；”“應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；”“應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；”“應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；”“應對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。”本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中區(qū)域邊界防護的相關要求。2、入侵防御需求概述根據(jù)等級保護的要求，針對“安全區(qū)域邊界”和“安全計算環(huán)境”之間的防護要求包括：“應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；”“應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；”“檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。”“應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警?！北敬瓮ㄟ^等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中入侵防御的相關要求。3、安全準入及違規(guī)外聯(lián)控制需求概述等級保護標準在“安全區(qū)域邊界”中要求：“應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制。”即需要對單位的內(nèi)部網(wǎng)絡邊界進行管控，對非授權(quán)的連接行為能夠發(fā)現(xiàn)和限制。本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中安全準入及違規(guī)外聯(lián)控制的相關要求。、計算環(huán)境需求概述1、主機防病毒需求概述目前當涂縣自然資源與規(guī)劃局的內(nèi)網(wǎng)辦公終端中，沒有部署相關主機安全防護系統(tǒng)，而根據(jù)等級保護的要求，辦公主機中需要滿足如下要求：“應采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷；”“應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；”“審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；”“應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；”“應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷?！薄皯獙Π踩呗?、惡意代碼、補丁升級等安全相關事項進行集中管理”。本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中主機防病毒的相關要求。2、數(shù)據(jù)庫行為審計需求概述數(shù)據(jù)無價，業(yè)務系統(tǒng)的全部數(shù)據(jù)都使用數(shù)據(jù)庫進行保存，數(shù)據(jù)庫的安全應當?shù)玫阶銐虻闹匾暎瑫r在等級保護中也要求：“應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；”“應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計；”“應通過審計管理員對審計記錄進行分析，并根據(jù)分析結(jié)果進行處理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等?！北敬瓮ㄟ^等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中數(shù)據(jù)庫行為審計的相關要求。3、系統(tǒng)及數(shù)據(jù)備份需求概述等級保護制度中，針對數(shù)據(jù)的備份和恢復要求，應用數(shù)據(jù)的備份和恢復應具有以下功能：“應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；”“應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；”“應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性?！北敬瓮ㄟ^等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中系統(tǒng)及數(shù)據(jù)備份的相關要求。4、安全加固需求概述由于辦公網(wǎng)絡中的各類網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)等的安全狀況是動態(tài)變化的，對于安全問題的發(fā)現(xiàn)及安全加固優(yōu)化配置等操作都需要非常專業(yè)的安全技能，需要進行周期性的安全評估、審計、加固等工作，才能夠保障整體安全水平的持續(xù)提高。、管理中心需求概述1、日志審計需求概述《網(wǎng)絡安全法》第二十一條之（三）規(guī)定“采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月”。本次將通過安全等保建設來滿足相關法律的要求。本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善《網(wǎng)絡安全法》中關于日志審計相關要求。2、運維審計需求概述在日常信息系統(tǒng)運維過程中，由于未進行安全運維，可能會帶來特權(quán)賬號、誤操作、惡意操作等問題，等級保護制度針對設備的安全管理和安全操作有著明確的要求，包括：“應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；”“當進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；”“應對登錄的用戶分配賬號和權(quán)限；”“應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；”“應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；”“應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計；”“應能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡中的安全設備或安全組件進行管理。”“應對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計；”“應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設備的備份與恢復等。”本次通過等級保護建設，結(jié)合當涂縣自然資源與規(guī)劃局網(wǎng)絡現(xiàn)狀，部署相關設備或功能，來完善等級保護中運維審計的相關要求。1.3.6、安全管理需求說明、安全管理制度需求概述本次通過安全等保建設，對等級保護中管理要求的安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理的5方面的管理制度進行補充、完善，使其達到能夠滿足等級保護的相關要求。、系統(tǒng)漏洞掃描需求概述由于我單位內(nèi)部業(yè)務系統(tǒng)較多，有沒有專業(yè)安全人員對各系統(tǒng)進行進行底層的安全檢查，這將會給單位內(nèi)部系統(tǒng)帶來極大隱患。本次需要通過等級保護建設，利用專業(yè)工具、設備或者專業(yè)手段，定期掃描來發(fā)現(xiàn)現(xiàn)有業(yè)務系統(tǒng)中存在，但未被發(fā)現(xiàn)或者隱藏的風險，來對系統(tǒng)進行進一步的加固操作。、定期風險評估需求概述通過針對業(yè)務系統(tǒng)定期的風險評估工作，來發(fā)現(xiàn)并分析當前業(yè)務系統(tǒng)高、中、低危的風險項，提升安全運維工作效率，并滿足等級保護相關要求。、系統(tǒng)安全應急需求概述由于應急預案是安全等級保護的重要組成部分，本次需要通過等級保護的建設，針對我單位的信息系統(tǒng)，協(xié)助我單位建立應急管理預案，同時需要協(xié)助我單位定期演練已建立的應急預案；提供特殊情況下的安全應急響應支持，包括但不限于機房環(huán)境應急響應、網(wǎng)絡環(huán)境應急響應、系統(tǒng)安全應急響應等內(nèi)、人員安全培訓需求概述人員的安全防護意識和安全防護技術(shù)是保證當涂縣自然資源和規(guī)劃局業(yè)務系統(tǒng)平穩(wěn)運行的重要保障基礎，通過合理、有效、深入、系統(tǒng)的安全知識和安全防范意識培訓，進一步提升管理維護人員安全防范意識，為信息化技術(shù)人員提供信息安全相關專業(yè)技術(shù)知識培訓。本次將通過等級保護建設，提升管理、操作人員安全防范意識和安全防護水平，開展定期安全技術(shù)培訓（包括網(wǎng)絡基礎培訓、信息安全基礎培訓、相關安全產(chǎn)品培訓）和安全管理制度培訓，使當涂縣自然資源與規(guī)劃局相關管理人員和技術(shù)人員能夠熟練掌握安全技術(shù)，扎實落實管理制度。、新業(yè)務安全檢測需求概述考慮到由于部分系統(tǒng)開發(fā)時間緊，任務重，人員隊伍建設無法迅速滿足系統(tǒng)建設的需求，導致系統(tǒng)在上線交付時無法滿足安全合規(guī)要求，而系統(tǒng)已經(jīng)開發(fā)完成，任何針對信息系統(tǒng)的重新設計或功能完善都將導致迭加的成本投入，甚至不可行。而在應用系統(tǒng)的整個開發(fā)過程中，代碼編寫不規(guī)范、人為設置的系統(tǒng)后門開發(fā)過程安全管理都是不可忽視的問題，如果不進行規(guī)范管理，將導致系統(tǒng)上線后的各種安全問題。所以將通過本次安全等保建設，來保證當涂縣自然資源和規(guī)劃局在后續(xù)的業(yè)務上線期間的系統(tǒng)軟件的安全檢測。1.3.7、總體建設與本期建設任務總體建設任務是根據(jù)國家相關法律法規(guī)和條例，針對當涂縣自然資源和規(guī)劃局的不動產(chǎn)登記系統(tǒng)和一張圖業(yè)務系統(tǒng)進行等級保護建設，提升當涂縣自然資源和規(guī)劃局的網(wǎng)絡安全防護能力和防護水平至一個新高度。由于安全總是一個相對狀態(tài)，安全建設也應該有著長期和持續(xù)性的投入建設，本期建設任務有如下幾點：1、改善當涂縣自然資源和規(guī)劃局信息機房的現(xiàn)狀，具體工作可概述為：①更機房內(nèi)破損的靜電地板；②機房內(nèi)增加自動消防系統(tǒng)；③對機房現(xiàn)有的UPS系統(tǒng)進行擴容；④對機房弱電間內(nèi)現(xiàn)有的線路進行梳理整改；⑤機房內(nèi)增加一套動環(huán)監(jiān)控系統(tǒng)用于檢測機房內(nèi)溫濕度、UPS、精密空調(diào)等設備；2、通過建設整改，使不動產(chǎn)登記系統(tǒng)和一張圖業(yè)務系統(tǒng)通過等級保護新標準的測評，獲得公安部門頒發(fā)的等保備案證書；3、獲得專業(yè)化持續(xù)性的安全檢測能力，提升整體安全防護水平。第二章業(yè)務需求分析2.1、業(yè)務功能、業(yè)務流程和業(yè)務量分析1)硬件部分要求根據(jù)等級保護相關要求，本次安全建設涉及的相關硬件部分需求：序號設備名稱單位數(shù)量1▲邊界防火墻臺42管理中心服務器臺13日志審計系統(tǒng)臺14運維審計系統(tǒng)臺15數(shù)據(jù)庫審計系統(tǒng)臺16主機防護系統(tǒng)套17安全準入系統(tǒng)臺18業(yè)務系統(tǒng)災備一體機臺29不動產(chǎn)匯聚交換機臺210業(yè)務接入交換機臺311機房地板改造項112機房消防系統(tǒng)項113機房動環(huán)監(jiān)控系統(tǒng)項114機房UPS系統(tǒng)擴容項1本次安全建設涉及的相關服務部分需求：序號服務名稱單位數(shù)量1機房線路整改服務項12安全服務年3第三章總體建設方案3.1、建設原則1、統(tǒng)一性、整體性原則2、一致性原則3、多重保護原則4、適應性及靈活性原則5、合規(guī)性原則6、先進性原則7、可靠性原則8、可擴展性原則9、開放兼容性原則10、最小授權(quán)原則11、經(jīng)濟性原則3.2、總體建設任務通過安全建設，使不動產(chǎn)登記信息系統(tǒng)及國土資源“一張圖”信息系統(tǒng)分別順利通過等級保護三級測評及二級測評。第四章本期軟件項目建設方案4.1、系統(tǒng)整體設計4.1.1、設計原則等級保護是國家信息安全建設的重要政策，其核心是對信息系統(tǒng)分等級、按標準進行建設、管理和監(jiān)督。1、統(tǒng)一性、整體性原則2、一致性原則3、多重保護原則4、適應性及靈活性原則5、合規(guī)性原則6、先進性原則7、可靠性原則8、可擴展性原則9、開放兼容性原則10、最小授權(quán)原則11、經(jīng)濟性原則4.1.2、設計思路本項目在進行安全體系方案設計時，將根據(jù)國家信息安全等級保護相關要求，通過分析系統(tǒng)的實際安全需求，結(jié)合其業(yè)務信息的實際特性，并依據(jù)及參照相關政策標準，設計安全保障體系方案，綜合提升信息系統(tǒng)的安全保障能力和防護水平，確保信息系統(tǒng)的安全穩(wěn)定運行。具體設計將遵循以下思路開展。1、將合規(guī)要求與業(yè)務風險分析相結(jié)合的設計思路2、縱深防御的安全體系設計思路3、體系化安全保障框架設計思路4、安全體系疊加演進，以積極防御為主的設計思路4.1.3、設計概述、構(gòu)建分域的控制體系當涂縣自然資源和規(guī)劃局安全等級保護解決方案，在總體架構(gòu)上將按照分域保護思路進行，本方案將信息系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，以安全區(qū)域為單位進行安全防御技術(shù)措施的建設，各個安全區(qū)域內(nèi)部還根據(jù)安全需求的不同進一步劃分了子安全域和三級安全域，子安全域和三級安全域的邊界也采用了與一級安全域形同的邊界安全防護措施，從而構(gòu)成了分域的安全控制體系。、構(gòu)建縱深的防御體系當涂縣自然資源和規(guī)劃局安全建設方案包括技術(shù)和管理兩個部分，本方案針對當涂縣自然資源和規(guī)劃局系統(tǒng)分別從物理安全、計算安全、網(wǎng)絡通信安全、區(qū)域邊界完全、管理安全等方面進行安全技術(shù)和措施的設計，實現(xiàn)核心業(yè)務應用的可用性、完整性和保密性保護，并在此基礎上充分考慮各種技術(shù)的組合和功能的互補性，提供了多重安全措施的綜合防護能力，從外到內(nèi)形成一個縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護能力。、保證一致的安全強度當涂縣自然資源和規(guī)劃局等級保護設計方案將采用分級的辦法，對于部署于同一安全區(qū)域的系統(tǒng)采取強度一致的安全措施，并采取統(tǒng)一的防護策略，使各安全措施在作用和功能上相互補充，形成動態(tài)的防護體系。4.1.4、框架建立、安全區(qū)域要求在信息系統(tǒng)安全等級保護基本要求中，安全等級保護三級的基本要求中，明確要求網(wǎng)絡系統(tǒng)必須具備結(jié)構(gòu)化的安全保護能力，具體要求包括：結(jié)構(gòu)安全：應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；應在業(yè)務中斷與服務器之間進行路由控制建立安全的訪問路徑；應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖；應根據(jù)各部門的工作職能、重要性和涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址。應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。、安全區(qū)域定義安全域是根據(jù)等級保護要求、信息性質(zhì)、使用主體、安全目標和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡實體的集合。一個安全域內(nèi)可進一步被劃分為安全子域，安全子域也可繼續(xù)依次細化為次級安全域、三級安全域等等。同一級安全域之間的安全需求包括兩個方面：隔離需求和連接需求。隔離需求對應著網(wǎng)絡邊界的身份認證、訪問控制、不可抵賴、審計等安全服務；連接需求對應著傳輸過程中保密性、完整性、可用性等安全服務。下級安全域繼承上級安全域的隔離和連接需求。因此，當涂縣自然資源和規(guī)劃局應該劃分不同級別的安全域，并對不同級別的安全域?qū)嵭蟹旨壍谋Ｗo。、區(qū)域劃分原則當涂縣自然資源和規(guī)劃局安全區(qū)域的劃分主要依據(jù)系統(tǒng)的應用功能、資產(chǎn)價值、資產(chǎn)所面臨的風險，劃分原則如下：系統(tǒng)功能和應用相似性原則資產(chǎn)價值相似性原則安全要求相似性原則威脅相似性原則、安全區(qū)域劃分當涂縣自然資源和規(guī)劃局按訪問對象和等級保護要求的不同可劃分為10個安全區(qū)域，包括：核心交換區(qū)【高安全域】不動產(chǎn)匯聚區(qū)【高安全域】不動產(chǎn)業(yè)務區(qū)【高安全域】一張圖業(yè)務區(qū)【高安全域】規(guī)劃業(yè)務區(qū)【中安全域】安全管理區(qū)【中安全域】邊界互聯(lián)區(qū)【中安全域】外聯(lián)接入?yún)^(qū)【中安全域】內(nèi)網(wǎng)辦公區(qū)【高安全域】不動產(chǎn)辦公區(qū)【中安全域】在項目實施過程中，應避免多個安全等級保護要求不同的業(yè)務系統(tǒng)共用一臺服務器的現(xiàn)象，不同等級應用系統(tǒng)應分開部署，避免造成對相應業(yè)務系統(tǒng)進行安全保護工作的問題及隱患，如出現(xiàn)此種情況，為保障高安全等級保護要求的業(yè)務系統(tǒng)，會設置比較嚴格的安全訪問控制措施及其他相關安全策略，但此時可能會造成低安全等級保護要求的業(yè)務系統(tǒng)的訪問受影響，如相關業(yè)務系統(tǒng)端口受限等問題，從而在實際實施中，往往為保證業(yè)務系統(tǒng)的正常工作，必須實行低安全等級保護要求的安全訪問控制措施，給系統(tǒng)帶來了極大的安全隱患。在本次工程中，按各個業(yè)務系統(tǒng)不同的安全等級保護要求，將同級別的業(yè)務系統(tǒng)部署到同一臺服務器上或一個區(qū)域內(nèi)，并按規(guī)劃好的安全域進行安全防護，保障系統(tǒng)安全及業(yè)務的可靠運行。、區(qū)域控制原則必須對高級別安全域進行保護，使之免受可能導致高級別數(shù)據(jù)被低級別安全域的用戶泄漏、篡改、破壞的攻擊，高級別安全域中的資源不能由非授權(quán)的低級別安全域用戶使用、修改、破壞或禁用。基于以上對不同安全域的劃分，在邊界安全方面需要考慮的問題主要有：不同級安全域之間的安全控制主要考慮不同級安全域之間互訪的安全控制問題。同級安全域之間的安全控制主要考慮不同邏輯網(wǎng)絡之間的同級安全域之間的安全控制問題，以及同一邏輯網(wǎng)絡的同級安全域之間的安全控制問題。同一安全域內(nèi)不同級別安全子域之間的安全控制主要考慮同一安全域內(nèi)不同邏輯網(wǎng)絡之間的安全控制問題。4.1.5、總體設計根據(jù)當涂縣自然資源和規(guī)劃局分域保護框架的基礎，投標人需要有針對性的給出基于分域保護的總體部署架構(gòu)圖。4.2、技術(shù)方案設計4.2.1、安全物理環(huán)境設計一般來說，機房物理環(huán)境的安全建設可分為技術(shù)和管理兩個層面。在技術(shù)層面，應采取電子門禁、監(jiān)控報警系統(tǒng)等技術(shù)措施，在管理層面，可在司專業(yè)安全系統(tǒng)集成工作經(jīng)驗的指導下，制定機房維護管理、出入登記申報等制度。技術(shù)措施主要包括如下幾個方面：重要區(qū)域配置電子門禁系統(tǒng)，從物理層面實現(xiàn)訪問控制在條件允許的情況下，配備光、電等機房防盜報警系統(tǒng)在條件允許的情況下，機房、設備配備相應防雷擊措施對重要設備采取區(qū)域隔離防火措施，并與其他設備在物理上隔離開主要設備采用必要的接地防靜電措施，如防靜電手環(huán)或防靜電工作服等設置溫、濕度自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)在條件允許的情況下設置冗余或并行的電力電纜線路為系統(tǒng)提供持續(xù)供電，建立備用供電系統(tǒng)綜上所述，物理安全建設需要考慮物理物理環(huán)境安全評估、機房安全設施補足、物理安全管理咨詢等相關工作。機房安全設施補足可通過設備采購項目予以完善，安全評估、咨詢工作可通過專業(yè)安全系統(tǒng)集成商的安全服務項目予以執(zhí)行。當涂縣自然資源和規(guī)劃局當前機房狀況的物理環(huán)境和配套防護措施已經(jīng)相對完備，但仍存在以下問題：1、信息機房中未配備自動消防滅火措施；2、機柜內(nèi)各設備之間連線凌亂不規(guī)范，線路標簽缺失；3、信息機房中防靜電地板破損情況嚴重；4、UPS系統(tǒng)供電能力需要擴容；4.2.2、安全通信網(wǎng)絡設計、安全體系架構(gòu)為了對當涂縣自然資源和規(guī)劃局實現(xiàn)良好的安全保障，參照等級保護的要求對系統(tǒng)安全區(qū)域進行劃分設計，實現(xiàn)內(nèi)部辦公、數(shù)據(jù)共享交換與外部接入?yún)^(qū)域之間的安全隔離，并對核心區(qū)域進行冗余建設，用以保障關鍵業(yè)務系統(tǒng)的可用性與連續(xù)性。、安全域劃分原則安全域是由安全保護對象中安全計算環(huán)境和安全區(qū)域邊界的綜合組成，根據(jù)安全域的描述可以把保護對象進行進一步的劃分，同時使整個網(wǎng)絡邏輯結(jié)構(gòu)清晰。安全域可以根據(jù)其更細粒度的防護策略，進一步劃分成安全子域，其關鍵是能夠區(qū)分防護重點，形成重要資源重點保護的策略。安全域的理論和方法所遵循的根本原則。、業(yè)務保障原則、適度安全原則、結(jié)構(gòu)簡化原則、等級保護原則、立體協(xié)防原則、生命周期原則1、對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮不斷的變化；另外，在安全域的建設和調(diào)整過程中要考慮工程化的管理。2、當涂縣自然資源和規(guī)劃局網(wǎng)絡安全域劃分根據(jù)當涂縣自然資源和規(guī)劃局整體安全需求并結(jié)合《網(wǎng)絡安全等級保護基本技術(shù)要求》和《網(wǎng)絡安全等級保護安全設計技術(shù)要求》中的相關要求，區(qū)域劃分如下圖所示：本次設計將當涂縣自然資源和規(guī)劃局的系統(tǒng)分成了4大區(qū)域10個子區(qū)域：四大區(qū)域分別是：綜合業(yè)務區(qū)、數(shù)據(jù)交換區(qū)、、外聯(lián)接入?yún)^(qū)和安全管理區(qū)，10個子區(qū)域如下：1）核心交換區(qū)、2）不動產(chǎn)匯聚區(qū)、3）不動產(chǎn)業(yè)務區(qū)、4）一張圖業(yè)務區(qū)、5）規(guī)劃業(yè)務區(qū)、6）安全管理區(qū)、7）邊界互聯(lián)區(qū)、8）外聯(lián)接入?yún)^(qū)、9）內(nèi)網(wǎng)辦公區(qū)、10）不動產(chǎn)辦公區(qū)4.2.3、安全區(qū)域邊界設計邊界訪問控制邊界防護與訪問控制1、安全風險邊界是信息安全的第一道防線，所有訪問內(nèi)部應用的數(shù)據(jù)均會通過網(wǎng)絡邊界進入內(nèi)部網(wǎng)絡，隨著攻擊手段的不斷演進，邊界所面臨的安全風險越來越高，頻發(fā)突發(fā)、隱蔽性強、手段多樣、實施體系化的復合型攻擊，已經(jīng)成為當前網(wǎng)絡邊界威脅的主要特征。事實證明，每一次網(wǎng)絡攻擊的成功，都是攻擊者通過技術(shù)手段數(shù)次突破網(wǎng)絡邊界防線的過程，傳統(tǒng)的邊界防御技術(shù)已經(jīng)不能滿足新的邊界安全防護的需求。2、產(chǎn)品部署需要按照要求部署防火墻設備。、邊界入侵防范邊界入侵防御1、安全風險隨著國家信息化的發(fā)展，網(wǎng)絡攻擊活動也愈演愈烈，而網(wǎng)絡攻擊造成的破壞性因信息化程度的高度集中也越來越大。主要呈現(xiàn)如下趨勢：網(wǎng)絡應用越來越復雜，單純的依靠端口識別應用以達到攻擊檢測的目的不再有效；網(wǎng)絡帶寬的快速增長給入侵防護系統(tǒng)的處理能力帶來挑戰(zhàn)，僅依靠防火墻這樣的邊界防護設備實現(xiàn)網(wǎng)絡攻擊檢測已經(jīng)遠遠不能滿足要求，具備大流量業(yè)務并發(fā)處理能力的專業(yè)設備尤其重要；除具備針對網(wǎng)絡層/傳輸層的基礎攻擊防護外，針對應用層深度識別和防御能力越發(fā)重要。因此，如何有效的對網(wǎng)絡攻擊行為、異常行為進行監(jiān)測防御，是邊界安全的重要一環(huán)。2、產(chǎn)品部署需要部署一臺入侵防御系統(tǒng)，入侵防御能夠有效檢測和阻斷入侵攻擊。4.2.4、安全計算環(huán)境設計、一體化終端安全防護設計1、安全風險系統(tǒng)內(nèi)部面臨的各種威脅，尤其是大量的終端系統(tǒng)，面臨來自病毒木馬的入侵、各種類型設備接入不同網(wǎng)絡區(qū)域不易管理、容易引發(fā)泄密等所帶來的問題、需要人工維護各類系統(tǒng)進行補丁升級等工作所帶來的巨大工作量…這一系列問題都為單位終端安全管理帶來的極大的挑戰(zhàn)。而隨著單位安全建設的推進，由于受條件和其它因素限制，在針對上述解決問題制定解決方案的時候，企事業(yè)往往采取了分而治之的方式，某一類問題就采用一套獨立的系統(tǒng)解決問題?，F(xiàn)在再回顧的話，企事業(yè)內(nèi)部可能部署了多套系統(tǒng)，而這些系統(tǒng)甚至來自不同的廠商，彼此獨立完成不同的功能。同時，這些各種各樣的安全系統(tǒng)也給企事業(yè)安全帶來了一些新的問題：（1）終端被各種軟件占據(jù)，資源耗費巨大（2）系統(tǒng)之間容易產(chǎn)生沖突（3）系統(tǒng)之間獨立，無法聯(lián)動（4）管理維護困難2、產(chǎn)品部署需要部署在內(nèi)網(wǎng)中部署一套終端安全管理系統(tǒng)來控制服務器和終端。、數(shù)據(jù)訪問安全審計設計1、安全風險單位大量敏感數(shù)據(jù)都保存在數(shù)據(jù)庫中，數(shù)據(jù)庫存在的安全風險主要表現(xiàn)在：（1）無法通過本地部署訪問控制，及時發(fā)現(xiàn)或阻斷超級用戶對數(shù)據(jù)發(fā)起的訪問。（2）分布式技術(shù)的部署，導致用戶對數(shù)據(jù)的真實存儲位置不可知。（3）虛擬化技術(shù)的運用，使用戶難以獲知正與哪個或者哪些其他用戶共享相同的存儲或處理設備，對于提供商在解決數(shù)據(jù)隔離保護問題方面部署措施的有效性更是難以獲得充分、可信的信息。2、產(chǎn)品部署需要部署數(shù)據(jù)庫審計系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)通過從核心交換機上鏡像過來的訪問核心區(qū)接口的數(shù)據(jù)流量進行分析和處理，為安全事件/事故提供溯源依據(jù)。、數(shù)據(jù)備份與恢復設計等級保護制度中，針對數(shù)據(jù)的備份和恢復要求，應用數(shù)據(jù)的備份和恢復應具有以下功能：1、應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；2、應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；3、應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。本次計劃在當涂縣自然資源和規(guī)劃局的一張圖業(yè)務區(qū)和不動產(chǎn)業(yè)務區(qū)分別部署一臺災備一體機。4.2.5、安全運營管理中心、日志審計系統(tǒng)設計1、安全風險隨著《網(wǎng)絡安全法》的頒布實施，安全審計已經(jīng)成為網(wǎng)絡安全建設的必要措施，隨著威脅的多樣化，傳統(tǒng)信息安全以“防”為主的思路已經(jīng)發(fā)生重大轉(zhuǎn)變，在攻擊防不勝防的情況下，持續(xù)的監(jiān)測、快速響應并追蹤溯源成為新等級保護體系下的主要思想，因而，安全審計變得尤為重要。自《網(wǎng)絡安全法》實施以來，已經(jīng)有許多單位因為安全審計沒有達到合規(guī)要求而面臨處罰，因此，新等級保護制度下，安全審計措施的缺失不僅僅將使單位存在安全防護短板，更將會給單位帶來嚴重的合規(guī)風險。2、產(chǎn)品部署需要部署一臺日志審計系統(tǒng)，通過鏡像核心交換機上的數(shù)據(jù)，通過與網(wǎng)絡設備、安全設備、主機設備之間的關聯(lián)并收集分析和記錄。、安全運維與審計設計1、安全風險在日常信息系統(tǒng)運維過程中，由于未進行安全運維，可能帶來以下安全問題，主要包括：（1）特權(quán)賬號的存在，操作系統(tǒng)自身難以實現(xiàn)權(quán)限最小化，從而導致過度授權(quán)、數(shù)據(jù)泄露等一系列安全風險；（2）運維過程引入第三方服務已是常態(tài)，運維人員的誤操作、惡意操作行為時有發(fā)生；（3）缺乏有效的審計和控制手段，系統(tǒng)無法滿足等級保護需求。2、產(chǎn)品部署需要部署一臺堡壘機，來實現(xiàn)對內(nèi)部或外部運維人員運維操作進行記錄和存檔。4.3、管理方案設計4.3.1、安全管理制度設計、安全策略和制度體系安全技術(shù)措施的有效實施需要安全管理制度的助力，同樣，安全管理制度的落實也常常需要技術(shù)措施的支撐，兩者是相輔相成，相互關聯(lián)的，等級保護對于單位安全制度體系的建設要求參照了ISO27001的相關標準，即安全管理制度體系自上而下分為安全策略、管理制度和操作規(guī)程、記錄表單，單位需要建設符合單位實際情況的管理制度體系，應覆蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、建設和運維等管理內(nèi)容，并對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。、制度文件管理制度文件需要正式發(fā)布并進行定期評審修訂和版本控制。信息安全管理制度應該得到單位負責人的簽發(fā)和認可，只有被正式發(fā)布并真正落實的管理制度才能促使單位安全管理能力的提升和安全技術(shù)措施的有效運行。4.3.2、安全管理機構(gòu)設計、信息安全組織機構(gòu)及職責信息安全管理機構(gòu)是行使單位信息安全管理智能的重要機構(gòu)，一般由信息安全管理領導機構(gòu)和執(zhí)行機構(gòu)構(gòu)成，信息安全領導機構(gòu)需確保整個組織貫徹單位的信息安全方針、策略和制度等。等級保護制度中明確規(guī)定“單位應成立指導和管理網(wǎng)絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權(quán)?！辈⒃O立網(wǎng)絡安全管理的職能部門。、崗位職責及授權(quán)審批信息安全管理應落實崗位安全責任，信息安全組織機構(gòu)及職責明確了組織層面的管理職責，但管理職責的落實需要層層落實到人，等級保護中明確要求要“設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責”，并設立系統(tǒng)管理員、審計管理員和安全管理員，并明確崗位工作職責。、內(nèi)部溝通和外部合作信息安全管理工作不是孤立的，在單位業(yè)務工作中離不開安全管理工作的保障，同樣，信息安全管理工作也離不開單位業(yè)務部門的配合，要使信息安全管理工作順利開展，需“加強各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡安全問題”，加強內(nèi)部溝通。同時，單位的信息安全工作也需要得到外部專家和技術(shù)力量的支持，包括監(jiān)管部門、供應商、業(yè)界專家及其他安全組織等。、安全審核與檢查信息安全管理工作是否有效，安全制度和規(guī)范是否得到落實需要單位信息安全管理部門定期進行檢查，以便及時發(fā)現(xiàn)問題，持續(xù)改進和提升信息安全管理能力。按照等級保護的要求，單位信息安全檢查可分為定期常規(guī)安全檢查和定期全面安全檢查，安全檢查工作需進行認真準備，保留記錄。4.3.3、安全管理人員設計、內(nèi)部人員安全管理人是信息安全工作的主體，也是信息安全威脅的主要來源，調(diào)查發(fā)現(xiàn)，越來越多的信息安全事件是由內(nèi)部人員的惡意或工作疏忽導致，因此，加強人員安全管理是信息安全管理工作的重中之重，其中，尤其需要加強對內(nèi)部人員的安全教育和審核。、外部人員安全管理在日常業(yè)務工作中，單位越來越多地與外部單位人員進行業(yè)務合作和往來，外部人員包括指軟件開發(fā)商，硬件供應商，系統(tǒng)集成商，設備維護商和服務提供商，以及實習生、臨時工、調(diào)用人員等。這些人員由于工作需要需臨時或短期訪問單位內(nèi)部網(wǎng)絡，進出單位工作場所，非內(nèi)部人員由于流動性強，背景情況不明，給單位信息系統(tǒng)的安全帶來較大隱患，必須建立嚴格的物理和網(wǎng)絡訪問授權(quán)審批制度，并有效執(zhí)行。4.3.4、安全建設管理設計、系統(tǒng)定級和備案根據(jù)新等級保護制度的要求，二級以上（含二級）信息系統(tǒng)在定級工作中需要組織相關部門和有關安全技術(shù)專家對定級結(jié)果的合理性和正確性進行論證和審定，新建信息系統(tǒng)在規(guī)劃階段就可根據(jù)信息系統(tǒng)將承載的業(yè)務的重要程度對信息系統(tǒng)進行定級，按照相應等級進行等級保護安全體系設計和建設，對二級以上（含二級）信息系統(tǒng)還需按照公安機關的要求進行備案。、系統(tǒng)安全方案設計按照“三同步”的原則，信息安全需要與信息化建設同步規(guī)劃、同步建設、同步使用，在系統(tǒng)建設規(guī)劃階段需明確安全建設的目標和建設需求并進行安全規(guī)劃方案的設計，安全方案應經(jīng)過評審，經(jīng)過批準后才能實施。、安全產(chǎn)品采購管理信息安全產(chǎn)品的采購和使用應符合國家的有關規(guī)定，對于密碼產(chǎn)品的采購和使用需符合國家密碼主管部門的要求，并預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。、外包軟件開發(fā)管理對于外包軟件開發(fā)由于開發(fā)過程可控，在系統(tǒng)上線后可能引發(fā)各種安全問題，且難以從源頭解決，因此，在等級保護制度中，對于外包軟件開發(fā)明確要求應在軟件交付前檢測其中可能存在的惡意代碼，并要求開發(fā)單位提供軟件設計文檔和使用指南，對于三級系統(tǒng)的外包軟件開發(fā)還要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。、工程實施管理信息系統(tǒng)安全建設過程中，涉及產(chǎn)品安裝部署、功能啟用、策略配置、與應用系統(tǒng)集成等各方面工作，安全工程建設整個過程本身還需要安全可控，需要由專門的部門或人員負責工程實施過程的管理，并制定安全工程實施方案，控制工程實施過程。對于三級信息系統(tǒng)，等級保護還明確要求需通過第三方工程監(jiān)理控制項目的實施過程。、測試及交付管理項目建設完成后在正式上線前應進行系統(tǒng)測試，應制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告，按照等級保護的要求，應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內(nèi)容。在系統(tǒng)交付時，應制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點，對負責系統(tǒng)運行維護的技術(shù)人員進行相應的技能培訓，提供建設過程文檔和運行維護文檔。、服務供應商選擇來自供應鏈的安全威脅已經(jīng)越來越引起人們的關注，加強對供應鏈的管理是新等級保護制度的變化之一，等級保護制度規(guī)定要確保服務供應商的選擇符合國家的有關規(guī)定；與選定的服務供應商簽訂相關協(xié)議，明確整個服務供應鏈各方需履行的網(wǎng)絡安全相關義務；并定期監(jiān)督、評審和審核服務供應商提供的服務，并對其變更服務內(nèi)容加以控制。4.3.5、安全運維管理設計按照等級保護要求，日常安全運維管理主要從環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、資產(chǎn)維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、防病毒管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維管理幾個方面進行考慮。、環(huán)境管理環(huán)境是指信息系統(tǒng)所處的物理環(huán)境，包括機房、配線間、辦公場所等，加強對環(huán)境的安全管理主要是為了防止非授權(quán)物理訪問導致的對信息系統(tǒng)的破壞，一般來說，機房作為重要信息設備集中放置的場所應重點加強防護，重要辦公區(qū)域也需要加強物理防護。、資產(chǎn)管理信息資產(chǎn)是構(gòu)成網(wǎng)絡和信系統(tǒng)的基礎，是系統(tǒng)各種服務功能實現(xiàn)的提供者和信息存儲的承載者，應明確單位信息資產(chǎn)的種類、數(shù)量、責任人等，并建立清單，定期盤點，對重要信息資產(chǎn)應重點保護。、介質(zhì)管理介質(zhì)作為信息的載體，在信息的存儲、傳遞過程中發(fā)揮著重要作用，同時，也是惡意代碼傳播的重要手段、且容易導致信息泄露。單位需要制定嚴格的介質(zhì)管理制度，規(guī)范介質(zhì)的使用行為，對個人介質(zhì)更加需要嚴格的管理。、設備維護管理信息設備在日常工作中存儲和處理業(yè)務信息，設備的可用性和安全性對信息安全至關重要，要加強對信息設備日常的管理，包括設備日常維護、外帶、報修、報廢等。、漏洞和風險管理信息安全漏洞是信息系統(tǒng)脆弱性的主要表現(xiàn)，易被攻擊者利用進而入侵系統(tǒng)進行破壞，對漏洞的發(fā)現(xiàn)和修補除了需采取必要的技術(shù)措施外，加強對系統(tǒng)的日常安全評估，并及時進行整改修復，也是降低信息安全風險的重要手段。、網(wǎng)絡和系統(tǒng)安全管理網(wǎng)絡和系統(tǒng)作為信息系統(tǒng)的基礎性設施，為各個業(yè)務系統(tǒng)和辦公應用提供連通和數(shù)據(jù)傳輸，實現(xiàn)信息共享，網(wǎng)絡和系統(tǒng)應進行更細分更專業(yè)的管理，對重要的業(yè)務系統(tǒng)還需要指定專門的管理人員。、防病毒管理對于病毒的防范需要采取必要的安全技術(shù)措施，但技術(shù)措施的有效性需要安全管理制度進行保障，病毒防范作為單位重要的信息安全基礎性工作，必須確保提高全員的防病毒意識，確保技術(shù)手段的有效落實。、配置管理信息系統(tǒng)的配置基線管理是重要的日常運維管理工作，良好的配置管理是系統(tǒng)安全可靠運行的基礎，配置基線應結(jié)合等級保護的要求，進行相關配置信息的保存、更新和變更控制。、密碼管理根據(jù)等級保護的要求，單位在信息安全建設過程中需遵循密碼相關國家標準和行業(yè)標準，使用國家密碼管理主管部門認證核準的密碼技術(shù)和產(chǎn)品。0、變更管理信息安全風險是“動態(tài)”的主要因素之一，就是網(wǎng)絡和信息系統(tǒng)是會發(fā)生變化的，為了加強防范由于網(wǎng)絡和系統(tǒng)變化對整體安全現(xiàn)狀的影響，規(guī)避變更產(chǎn)生的風險，需進行變更管理。1、備份與恢復管理按照等級保護要求，三級信息系統(tǒng)需具備實時的數(shù)據(jù)備份能力，并能進行異地備份，對于單位信息系統(tǒng)容災備份能力的建設，除了建設備份與恢復技術(shù)措施外，對備份策略的制定和管理，備份與流程的制定以及備份恢復能力的演練是單位系統(tǒng)實現(xiàn)高可用的重要保證。2、安全事件處置和應急管理新等級保護制度強調(diào)了單位對于信息安全事件處置能力和應急管理的能力，在當前信息安全