信息系统三级等级保护建设

信息系统三级等级保护建设宿松县审计信息系统三级等保和机房改造项目招标技术方案2017年10月11日信息系统三级等级保护建设全文共54页，当前为第1页。

目录信息系统三级等级保护建设全文共54页，当前为第1页。TOC\o"1-4"\h\u18139第一章.信息系统三级等级保护建设 4277981.1.现状与需求分析 4230091.1.1.项目现状 44216.项目建设背景 425471.宿松县审计信息系统简介 428534.现有网络及安全设备清单 516411.存在问题 59600.项目参考标准 642221.1.2.整改建设方案 723151.设计依据 91676.整改后网络拓扑示意图 1093041.1.3.安全管理体系建设 1025788.详细方案设计管理部分 105540.总体安全方针与安全策略 1111871.信息安全管理制度 117369.安全管理机构 1114059.人员安全管理 1219153.系统建设管理 1228911.系统运维管理 1232532.安全管理制度汇总 1485391.1.4.安全建设技术要求分析 1410706.网络安全分析 14569.主机安全分析 159360.应用安全分析 1630739.数据安全分析 16221171.1.5.叁级等保解决方案 1722418.终端安全管理 1719348.堡垒机 1825888.日志审计 2025392.入侵防御 2118069.数据库审计 222711.网页防篡改 237981.漏洞扫描 2432262.备份一体机 254192.防火墙（单位现有设备利旧） 28324060.网闸（网神品牌，单位原有设备利旧） 2828244第二章.机房标准化建设 28126462.1.工程简述 28115202.1.1.设计需要 29145192.1.2.建设原则 29294922.1.3.建设依据规范 31243882.1.4.技术指标 32274332.1.5.空间布局设计 3312075.场地概况 3325668.平面设计图 3422796.工程内容 34信息系统三级等级保护建设全文共54页，当前为第2页。143782.2.设计方案 35信息系统三级等级保护建设全文共54页，当前为第2页。136562.2.1.机房装饰装修系统 3513670.吊顶设计 3514565.地面设计 379249.内墙、柱面 3816184.隔断 3824000.门、窗 3924627.灾害防护 39303152.2.2.供配电系统 4029692.供配电系统概述 40122312.2.3.空气调节系统 4116223.机房环境要求 4126207.空调方案 42214942.2.4.防雷接地系统 4330620.防雷设计方案 4319162.接地设计方案 44195162.2.5.消防报警及无管网灭火系统 4530133.自动报警系统设计方案 4521404.无管网气体灭火系统设计方案 4616735.灭火设计方案 4724159.消防排烟机设计 4877942.2.6.综合布线系统工程 4931539.布线配置 49101052.2.7.机房动态环境监控系统 4920154.场地设备监控系统概述 4914763.场地设备监控系统设计方案 5126608.各监控子系统功能描述 517238第三章.项目需求清单 54236813.1.清单方案响应说明 54信息系统三级等级保护建设全文共54页，当前为第3页。信息系统三级等级保护建设全文共54页，当前为第3页。信息系统三级等级保护建设现状与需求分析项目现状项目建设背景本项目是宿松县审计局为加快金审三期工程建设，促进审计信息化工作,提升信息安全的的重要内容。根据安徽省审计厅关于进一步做好全省审计机关网络及信息安全工作的通知（皖审信〔2016〕41号）、安徽省审计厅关于全面实施“五年创新计划”的意见（皖审发〔2016〕59号）、安徽省审计厅关于印发全省审计机关开展“审计技术创新年”实施方案的通知（皖审发〔2017〕65号）等文件要求，建立健全数据采集与管理的制度规范和机制，加强大数据技术运用，加强对各领域、各层级、各系统间数据的关联分析，增强判断评价宏观经济、感知经济风险等方面能力,维护国家信息安全，加强信息安全和保密工作，树立防护新理念，注重应用新技术、新方法做好网络安全防护工作，大力提高信息化条件下审计监督能力和水平。经宿松县人民政府和有关部门批准，宿松县审计局于2017年启动审计信息系统叁级安全等级保护和机房标准化建设。审计技术创新取得突破性进展，省级审计数据中心基本建立，数字化审计指挥平台、大数据综合分析平台、审计综合作业平台架构基本形成，运用信息化技术查核问题、评价判断、宏观分析的能力大幅提升。在此基础上信息系统的安全就尤为重要，根据文件精神和实际需要，经宿松县人民政府和有关部门批准，宿松县审计局于2017年启动审计信息系统叁级安全等级保护和机房标准化建设。宿松县审计信息系统简介信息系统三级等级保护建设全文共54页，当前为第4页。宿松县审计局已部署运用的系统有《审计管理系统》（简称OA系统）与《政府投资审计管理平台》。从2006年起，国家审计署开始在全国审计机关推广应用《审计管理系统》（简称OA系统）。该系统是各级审计机关审计业务工作的组织、管理和决策的平台，提供了公文交互、审计业务管理、培训学习、邮件服务、数据存储等各项服务。2015年安徽省审计厅根据金审工程三期建设要求，在全省审计机关开发、部署“政府投资审计管理平台”。宿松县政府投资审计管理平台是对宿松县政府和国有企业事业单位投资的建设项目实施审计进行项目及资料申报、审计实施、审计结果核定后发布、相关审计信息数据交互等审计管理平台系统。利用《审计管理系统》与《政府投资审计管理平台》可以实现与审计人员《现场审计实施系统》与《政府投资审计管理平台信息系统三级等级保护建设全文共54页，当前为第4页。宿松县审计管理系统（ＯＡ）部署在审计专网即审计内网上的三台服务器集群上，与安徽省审计厅审计管理系统互联互通，用户只能通过审计内网访问终端。宿松县政府投资管理平台分别部署在审计内网和投资审计专用外网上的两台独立服务器集群中，两台服务器通过网闸交换数据，用户通过审计内网或者投资审计专用外网访问平台系统，上传或查询数据信息；在内、外网都设有防火墙和交换机进行数据交换。现有网络及安全设备清单目前，宿松县审计局已建成了独立的计算机房，建筑面积约５０平方米。接通了审计专网（独立专线）和投资审计专网（互联网专线）、政务外网等3条光纤网络；配置了8台服务器，其中：AO系统3台、数据分析系统2台、档案管理系统1台和投资管理系统2台；配置了网闸、防火墙、局域网路由器、交换机等网络及安全设备；配备了保证停电延时12小时的UPS备用电源；按物理隔离网络安全要求布置了审计专网和互联网2套办公网络系统布线；按审计工作需要，全局审计人员每人均配备了一台外网用计算机和一台内网用一体机（安装运行OA系统和其他内网信息系统及网站）。同时，基本实现了计算机和服务器设备及操作系统国产化，个人计算机操作系统正版化，公文流转及审计项目数据电子化。存在问题未做等保测评整改安徽省审计厅已完成核心系统、核心网络的整改，并通过了系统安全等级保护测评，宿松县审计局已经完成审计管理系统和政府投资审计平台两个系统的三级等保登记、备案，但尚未完成系统的测评和整改，存在安全隐患与漏洞，具有一定的风险。安全防护薄弱信息系统三级等级保护建设全文共54页，当前为第5页。网络安全设备中防火墙设备数量占比较高，整体信息安全工作仅处于网络层防护层面，网络应用防护手段严重不足。无审计类设备；终端认证与安全防护手段缺失。信息系统三级等级保护建设全文共54页，当前为第5页。数据缺乏体系化防护策略在数据的产生、加工、传输、存储各环节缺少相应安全级别的针对性防护策略，各审计业务人员对采集的财务及其他数据通过移动存储介质、本机存放等方式，未对数据采取统一管理和统一存放。存在发生敏感数据泄露风险，而且数据泄露后难以溯源。项目参考标准信息系统三级等级保护建设全文共54页，当前为第6页。遵循以国家信息安全等级保护指南等最新安全标准以及开展各项服务工作，配合本项目信息系统三级等级保护建设全文共54页，当前为第6页。指导思想中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知）公信安[2009]1429《关于开展信息安全等级保护安全建设整改工作的指导意见》全国人大《关于加强网络信息保护的决定》国发[2012]23号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发[2013]7号《国务院关于推进物联网有序健康发展的指导意见》公信安[2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）安徽省审计厅发（皖审信〔2016〕41号）《安徽省审计厅关于进一步做好全省审计机关网络及信息安全工作的通知》（皖审发〔2016〕59号）《安徽省审计厅关于全面实施“五年创新计划”的意见》安徽省审计厅发（皖审发〔2017〕65号）《安徽省审计厅关于印发全省审计机关开展“审计技术创新年”实施方案的通知》等级保护GB17859-1999计算机信息系统安全保护等级划分准则GB/T25058-2010信息系统安全等级保护实施指南系统定级GB/T22240-2008信息安全技术信息系统安全保护等级定级指南技术方面GB/T25066-2010信息安全产品类别与代码GB/T17900-1999网络代理服务器的安全技术要求GB/T20010-2005包过滤防火墙评估准则GB/T20281-2006防火墙技术要求和测试评价方法GB/T18018-2007路由器安全技术要求GB/T20008-2005路由器安全评估准则GB/T20272-2006操作系统安全技术要求GB/T20273-2006数据库管理系统安全技术要求GB/T20009-2005数据库管理系统安全评估准则GB/T20275-2006入侵检测系统技术要求和测试评价方法GB/T20277-2006网络和终端设备隔离部件测试评价方法GB/T20279-2006网络和终端设备隔离部件安全技术要求GB/T20278-2006网络脆弱性扫描产品技术要求GB/T20280-2006网络脆弱性扫描产品测试评价方法GB/T20945-2007信息系统安全审计产品技术要求和测试评价方法GB/T21028-2007服务器安全技术要求GB/T25063-2010服务器安全侧评要求GB/T21050-2007网络交换机安全技术要求（EAL3）GB/T28452-2012应用软件系统通用安全技术要求GB/T29240-2012终端计算机通用安全技术要求与测试评价方法GB/T28456-2012IPsec协议应用测试规范GB/T28457-2012SSL协议应用测试规范管理方面GB/T20269-2006信息系统安全管理要求GB/T28453-2012信息系统安全管理评估要求GB/T20984-2007信息安全风险评估规范GB/T24364-2009信息安全风险管理指南GB/T20985-2007信息安全事件管理指南GB/T20986-2007信息安全事件分类分级指南GB/T20988-2007信息系统灾难恢复规范方案设计GB/T25070-2010信息系统等级保护安全设计技术要求等保测评GB/T28448-2012信息系统安全等级保护测评要求GB/T28449-2012信息系统安全等级保护测评过程指南信息系统三级等级保护建设全文共54页，当前为第7页。整改建设方案信息系统三级等级保护建设全文共54页，当前为第7页。宿松县审计信息系统等保及机房改造建设内容序号项目主要内容现有信息系统及网络安全设备备注1三级等保测评整改审计管理系统、投资审计管理系统测评《审计管理系统》（内网，4台服务器）2安全等级保护整改服务《投资审计管理系统》（内、外网，2台服务器）3系统等保加固及机房改造项目设计4系统信息安全工程终端安全管理系统（IPS）审计专用光纤网路（内网，含视频专线）5日记审计系统投资审计专光纤网路（专用外网）6数据库审计系统政务办公光纤网路（政务外网）7入侵防御系统防火墙（内、外网边界，共3台）8漏洞扫描系统网神网闸（投资审计系统内、外网服务器数据交换）9网页防篡改出入口交换机（共4台）数据备份一体机楼层交换机（共3台）10堡垒机KVM（2台）11核心交换机12其他网络安全设备（含利旧）13机房改造工程空间布局机房（建筑面积约50平方米）14装饰装修（包括吊顶、地面、内墙柱面、隔断、门窗及安全处理，上下通风、防静电、防火、防湿、防尘、防虫鼠、防幅射、保温处理等）10KVA单进单出UPS及电池组（含承重加固）15供配电系统（包括外电接入、UPS供电、配电设备及线路、照明系统等）三相四线供电线（单相220V）16防雷接地系统机柜（4组）17空调新风系统（含精密空调、新风机等）空调（挂壁式、柜式各1台）18消防系统机房综合布线19安全监控系统（含门禁、视频监控系统等）20动环监测预警系统21统一机柜22机房内综合布线23其他（含利旧）信息系统三级等级保护建设全文共54页，当前为第8页。设计依据信息系统三级等级保护建设全文共54页，当前为第8页。依据宿松县审计局现有网络系统架构和拟建主要项目内容，并勘查现场机房环境，同时依据宿松县审计局提供“宿松县审计信息系统等保及机房改造建设内容”网络建设原则针对本项目，等级保护整改方案的设计和实施将遵循以下原则：针对本项目，等级保护整改方案的设计和实施等服务将遵循以下原则：保密性原则：对项目服务的实施过程和结果将严格保密，在未经宿松县审计局授权的情况下不得泄露给任何单位和个人，不得利用此数据进行任何侵害客户权益的行为；标准性原则：服务、设计和实施的全过程均依据国内或国际的相关标准进行；根据信息系统安全三级等级保护基本要求，分等级分安全域进行安全设计和安全建设。规范性原则：在各项安全服务工作中的过程和文档，都具有很好的规范性（《安全服务实施规范》），可以便于项目的跟踪和控制；可控性原则：服务所使用的工具、方法和过程都会在与宿松县审计局双方认可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性；整体性原则：服务的范围和内容整体全面，涉及的IT运行的各个层面，避免由于遗漏造成未来的安全隐患；最小影响原则：服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。体系化原则：在体系设计、建设中，充分考虑到各个层面的安全风险，构建完整的立体安全防护体系。先进性原则：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求，采用先进、成熟的安全产品、技术和先进的管理方法。分步骤原则：根据宿松县审计局要求，对宿松县审计局安全保障体系进行分期、分步骤的有序部署。信息系统三级等级保护建设全文共54页，当前为第9页。服务细致化原则：在项目建设过程中将充分结合自身的专业技术能力与行业经验相，结合宿松县审计局的实际信息系统量身定做，保障其信息系统安全稳定的运行。信息系统三级等级保护建设全文共54页，当前为第9页。整改后网络拓扑示意图安全管理体系建设详细方案设计管理部分信息系统三级等级保护建设全文共54页，当前为第10页。安全管理体系的作用是通过建立健全组织机构、规章制度，以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行，来落实人员职责，确定行为规范，保证技术措施真正发挥效用，与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、系统建设和系统运维等五个方面内容。信息系统三级等级保护建设全文共54页，当前为第10页。总体安全方针与安全策略总体安全方针与安全策略是指导宿松县审计局所有信息安全工作的纲领性文件，是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识，规定信息安全的基本架构，明确信息安全的根本目标和原则。本项目信息系统等保设计的总体安全方针与安全策略将具备以下特性：安全策略紧紧围绕行业的发展战略，符合宿松县审计局实际的信息安全需求，能保障与促进信息化建设的顺利进行，避免理想化与不可操作性。总体安全方针与安全策略中将明确阐述宿松县审计局所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段，应遵循的总体原则和要求。信息安全管理制度根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，定期或不定期对安全管理制度进行评审和修订，修订不足并予以改进。安全管理机构根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。建立授权与审批制度；建立内外部沟通合作渠道；定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。人员安全管理信息系统三级等级保护建设全文共54页，当前为第11页。人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。信息系统三级等级保护建设全文共54页，当前为第11页。一般单位都有统一的人事管理部门负责人员管理，这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理，例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核，与关键岗位人员签署保密协议，对离岗人员撤销系统帐户和相关权限等措施。只有注重对安全管理人员的培养，提高其安全防范意识，才能做到安全有效的防范，因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。具体参照《信息系统安全管理要求》等。系统建设管理系统建设管理的重点是与系统建设活动相关的过程管理，由于主要的建设活动是由服务方，如集成方、开发方、测评方、安全服务方等完成，运营使用单位人员的主要工作是对之进行管理，应制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法，并按照管理制度落实各项管理措施，完整保存相关的管理记录和过程文档。系统运维管理1、环境和资产安全管理制度环境包括计算机、网络机房环境以及设置有网络终端的办公环境，明确环境安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。具体参照《信息系统安全管理要求》等。2、设备和介质安全管理制度明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体参照《信息系统安全管理要求》等。3、日常运行维护制度信息系统三级等级保护建设全文共54页，当前为第12页。明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理；制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度；制定与信息系统安全管理相配套的规范和操作规程并落实执行；正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施，对运行安全进行监督检查。具体参照《信息系统安全管理要求》等。信息系统三级等级保护建设全文共54页，当前为第12页。4、集中安全管理制度第三级及以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。5、事件处置与应急响应制度按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。6、灾难备份制度要对第三级以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体参照《信息系统灾难恢复规范》。7、安全监测制度开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。8、其他制度信息系统三级等级保护建设全文共54页，当前为第13页。对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。信息系统三级等级保护建设全文共54页，当前为第13页。安全管理制度汇总制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。具体参照《信息系统安全管理要求》等。最终提交安全制度包括但不限于以下内容：总体安全策略（组织、流程、策略、技术）岗位安全责任制度系统日常安全管理工作制度系统安全评估管理办法安全区域划分及管理规定管理信息区域网管制度系统建设管理制度设备入网安全管理制度账号和口令及权限管理制度加密技术使用管理办法应急预案管理制度安全事件报告和处置管理制度安全建设技术要求分析网络安全分析评测信息系统的网络安全保障情况。涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。安全建设：主要关注的方面包括网络结构、网络边界及网络设备的自身安全等。主要建设涉及方面包括：信息系统三级等级保护建设全文共54页，当前为第14页。结构安全：关键设备的冗余空间、核心网络带宽、子网/网段控制，主要设备的冗余空间、路由控制，整体网络带宽、带宽分配优先级，重要网段部署；信息系统三级等级保护建设全文共54页，当前为第14页。访问控制：访问控制设备的用户、网段，端口控制、防止地址欺骗，拨号访问控制、应用层协议过滤，最大流量及最大连接数等；安全审计：日志记录，审计报表，审计记录的保护；边界安全性检查（内部的非法联出）非授权的设备私自外联，定位及阻断；入侵防范（检测常见攻击）记录、报警；恶意代码防范（网络边界处防范）网络设备防护（基本的登录鉴定）组合鉴定技术，特权用户的权限分离；以上安全实现措施：增加网络安全审计产品，增加违规外联检测阻断产品，网络设备特别配置服务等。主机安全分析评测信息系统的主机安全保障情况。涉及对象为操作系统、数据库、应用系统等。安全建设：服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主要涉及方面包括：身份鉴别（基本的身份鉴别）组合鉴别技术；访问控制（安全策略、特权用户的权限分离）管理权限的分离、敏感标记的设置及操作；安全审计（服务器基本运行情况审计）重要客户端的审计、审计报表，审计记录的保护；剩余信息保护（空间释放及信息清除）（比较超前、目前较难实现）；入侵防范（最小安装原则、升级服务器）重要服务器检测、记录、报警，重要程序完整性；恶意代码防范（防恶意代码软件、代码库统一管理）主机与网络的防范产品不同；资源控制（对用户会话数及终端登录的控制）监视重要服务器、最小服务水平的检测及报警。信息系统三级等级保护建设全文共54页，当前为第15页。以上安全实现措施：增加身份认证系统，访问控制策略配置服务，主机入侵防范策略配置服务，网管软件和主机配置服务。信息系统三级等级保护建设全文共54页，当前为第15页。应用安全分析评测信息系统的应用安全保障情况。涉及对象为操作系统、数据库、应用系统等。安全建设：基本应用包括消息发送、web浏览等；业务应用包括电子商务、电子政务等。主要建设涉及的方面包括：身份鉴别（基本的身份鉴别）组合技术鉴别；访问控制（安全策率，最小授权原则）敏感标记的设置及操作；抗抵赖性；安全审计、运行情况审计、审计记录的保护，审计报表、审计过程的保护；剩余信息保护（空间释放及信息清除）（比较超前、目前较难实现）；通信完整性（校验码技术）密码技术；通信保密性（初始化验证、敏感信息加密）整个报文及会话过程加密；软件容错（数据有效性检验、部分运行保护）自动保护功能；资源控制（对用户会话数及系统最大并发会话数的限制）资源分配限制、资源分配优先级、最小服务水平的检测及报警。以上安全实现措施：应用软件本身的配置及升级，访问控制策略配置服务，系统审计配置服务，增加通讯加密手段，建立统一的CA中心等。数据安全分析数据安全测评将评测系统数据安全保障情况，包括保密性、完整性、安全性。安全建设：主要是保护用户数据、系统数据、业务数据的保护，将对数据造成的损害将至最小；备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。主要建设涉及的方面包括：数据完整性（鉴别数据传输的完整性）各类数据传输及备份、检测及恢复；数据保密性（鉴别数据存储的保密性）各类数据的传输及存储；信息系统三级等级保护建设全文共54页，当前为第16页。备份及恢复（重要数据的备份、重要硬件的冗余）本地完全备份、异地备份（备份介质场外存放）。信息系统三级等级保护建设全文共54页，当前为第16页。以上安全实现措施：增加通信加密手段，增加核心设备的冗余，增加重要设备的冗余等。叁级等保解决方案终端安全管理功能要求：1.资产信息：对注册信息项除了系统预置的部门、设备使用人、联系电话、地址、Email地址等信息项类型之外，还可以根据客户端注册的个性化要求，新增个性化客户端注册信息项类型。管理员还可以对新增的自定义客户端注册信息进行修改、删除，并可以选择该项是否为必填项。；2.能够有效控制网络非法外联行为，阻断终端通过多网卡、WIFI、3G网卡、手机等多种方式网络非法外联访问，杜绝网络非法外联行为发生；3.入库资产查询：可查询入库资产的资产编号、IP、责任部门、责任人、资产类型、资产型号、物理位置、资产状态、操作历史等信息，查询条件包括：资产编号、资产状态、资产属性、资产类型、品牌、资产型号、责任部门、责任人、物理位置、使用部门、使用人、IP地址、MAC地址、条形码编号、资产序列号、所在网络、资产来源等信息；4.无需对现有网络进行任何调整，即可实现终端安全域划分和管理，支持根据安全终端安全等级保护级别，设置终端安全域内和终端安全域之间细粒度终端访问控制权限，全面提升内网终端安全防护级别；5.支持用户端补丁安全情况查询，可按照部门或操作系统进行统计。支持用户端运行状态查询，显示用户、部门、杀毒软件、IP/MAC等重要信息；剪贴板：能够审计系统剪贴板敏感信息内容的行为，审计或阻止通过拷贝/剪切动作进行内容复制操作传播敏感信息内容的行为；6.按部门、按组进行全局终端信息统计，可统计终端软硬件、进程、端口、补丁等信息；信息系统三级等级保护建设全文共54页，当前为第17页。7能够对终端网络流量进行监控和管理，可以根据终端应用系统终端带宽阀值，保证关键应用系统带宽资源，阻断终端异常流量对内网的阻塞。将蠕虫病毒或非业务流量对网络的影响减到最小。支持针对不同的进程自定义设置不同的流量使用策略，并能够并实时监控终端每个进程的流量，实时自动抑制异常流量，自动限制超过阈值的流量。信息系统三级等级保护建设全文共54页，当前为第17页。8.支持对补丁文件分类，支持补丁分发。提供厂商自己的补丁服务器进行补丁下载并分发。支持软件分发流量控制。可以同时向多个客户端分发软件包，也可以指定在某个时间范围内进行软件分发。策略可根据风险等级进行告警，能够定义策略优先等级、策略生效时间、显示策略创建修改的人员及时间记录。支持文件监控策略。对不同磁盘类型及指定文件夹下的文件和文件夹的创建、修改、删除、移动、打开、读取、执行、重命名等操作可以有选择地禁止和审计，可设置例外项。堡垒机功能描述信息化的发展使得企事业单位对信息系统依赖性越来越强，信息系统规模的不断扩大和系统维护人员的日益增多，不但带来了账号、权限的管理问题。同时，运维人员的误操作和违规操作引起的危害也越来越严重。加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。堡垒机为企业用户提供了一套先进的运维安全管控与审计解决方案。通过集中的账号管理、运维操作访问控制和全程运维操作审计，帮助企业转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，为企业效益保驾护航。堡垒机的核心技术原理是采用访问过程双向模拟技术。信息系统三级等级保护建设全文共54页，当前为第18页。其主要实现方法为将原先的“客户端-服务器”访问模式，转变成“客户端-运维管理系统-服务器”的协议代理模式。在用户访问过程中，运维管理系统通过技术手段将原来的一次TCP会话，拆分为两个独立的TCP会话，并分别在两个拆分后的会话中模拟了服务器端和客户端角色，因此，无论是与服务器通讯、还是与客户端通讯时，都能准确还原加密信息，进而实现对加密、图形协议的内容识别、控制功能。信息系统三级等级保护建设全文共54页，当前为第18页。堡垒机强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。堡垒机的架构:堡垒机主要由两大模块组成，协议控制模块、管理模块。协议控制层主要负责实现底层对访问过程的TCP会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现运维用户、操作对象的配置、访问授权控制策略控制以及行为审计功能。支持主动监控业界唯一的主动监控技术，支持通过C/S方式自动显示当前正在进行的访问操作，适合监控中心使用。安全简便的部署方式旁路代理方式部署，仅需要为系统分配一个IP即可，无需安装任何服务端软件和客户端软件。完善的自审计功能系统具备详细的自审计功能，所有系统操作均会生成相应的日志记录，包括：用户登录、系统操作、录像查看、修改密码、邮件发送任务、记录归档任务、系统升级等等。深入的协议解析能力不仅能够解析明文操作，而且能够识别SSH加密操作，对于RDP远程访问操作，系统能够记录其键盘输入、窗口标题，方便后期审计。良好的协议扩展能力信息系统三级等级保护建设全文共54页，当前为第19页。除了常见的SSH、RDP、VNC、HTTP等访问协议以外，还支持Radmin、Pcanywhere等应用，并且可以通过二次开发方式方便的增加其他第三方应用。信息系统三级等级保护建设全文共54页，当前为第19页。堡垒机的部署方式

堡垒机采用旁路代理方式部署，在实际部署时只需为其配置一个独立的IP地址即可，该IP要求能够与服务器区、维护区互相访问。日志审计功能要求：支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据采集。支持主动、被动相结合的数据采集方式；支持通过Agent采集日志数据；2.支持标准化日志描述语言快速扩展兼容特殊日志，支持日志数据采集实时展示，支持控制被采集设备的日志流量速度，支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者；支持基于时间轴展示数据分布，能够通过时间轴进行查询分析；3.支持对所管理设备的日志原始数据完整存储，采用基于具有自主知识产权的非关系型大数据存储架构，支持数据本地集中存储、网络存储以及大数据存储，支持海量原始日志加密压缩存储，压缩比10:1；支持自定义存储位置，支持磁盘阵列、SAN、NAS等外部高性能存储；支持存储空间图像化、动态监控，超过阀值进行告警。支持从存储空间、存储时间多维度进行动态监控。支持数据自动、手动备份以及备份数据回复查看；4.系统内置常见安全事件关联分析规则，支持基于策略的多日志源海量日志实时关联分析，发现安全事件实时告警。提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则；5.支持安全告警概况、安全告警趋势以及实时安全事件的统一展示，实时告警可根据级别、规则类型等进行分类；支持根据时间类型、级别、规则类型、规则名称、时间范围、事件名、设备IP、源IP、目的IP、源端口、目的端口和传输协议等方式快速检索安全事件告警，检索结果支持Excel等格式导出。支持基于时间轴展示数据分布，能够通过时间轴进行查询分析；信息系统三级等级保护建设全文共54页，当前为第20页。6、支持实时日志查看，提供实时更新的最近的2000条日志信息，管理员可以进行监视、刷新、清零等基本监视条件管理。支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件；查询结果支持分页显示；支持查询结果导出；支持外部备份文件导入进行查询。支持查询结果快速统计，可自定义统计规则。信息系统三级等级保护建设全文共54页，当前为第20页。入侵防御功能描述新一代网络入侵防护系统IPS，不但能对已知安全威胁进行防护；而且能够降低未知恶意软件带来的危害；还通过内网安全功能，有效的防止内网持续渗透，有效降低敏感数据的泄露和服务器的非法外联，为用户提供一套看得见、检得出、防得住的全新入侵防护解决方案。该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的信誉防护机制，同时具备深度入侵防护、高级威胁防护、精细流量控制等多项功能，能够为用户提供深度攻击防御的完美价值体验。1.僵尸网络发现基于实时的信誉机制，结合企事业级单位和全球信誉库，可有效检测恶意URI、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，第一时间有效拦截Web威胁，并且能及时发现网络中可能出现的僵尸网络主机和C&C连接。2.入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。高级威胁防护能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测，实现内网的高级威胁防护功能。以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，为客户提供从网络层、应用层到内容层的深度安全防护。3.流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。信息系统三级等级保护建设全文共54页，当前为第21页。IPS还提供强大、灵活的流量管理功能，采用全局维度（协议/端口）、局部维度（源/目的IP地址、用户、网段）、时间维信息系统三级等级保护建设全文共54页，当前为第21页。4.应用管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。数据库审计功能描述1.灵活接入部署数据库审计基于旁路审计原理，系统采用旁路接入部署方式，只要在交换机上设置端口镜像或采用TAP分流，不需要对现有的网络体系结构（包括：路由器、防火墙、应用层负载均衡设备、应用服务器等）进行调整，工作时也不影响数据库保护对象本身的运行与性能。当然，也使得审计系统本身难以被发现受到攻击。数据库审计支持多路采集数据的接入模式，一个审计引擎可以同时采集多个数据源的审计数据，适合于那些成本有限，但是审计数据源又相对分散的环境（比如多个交换机镜像口）。数据库审计支持审计引擎分布式部署，同时审计中心对多个审计引擎进行统一管理，以及审计数据的集中管理分析，适合需要大规模部署审计引擎的环境。2数据库攻击检测通过数据库审计，能够通过审计记录发现生产数据库一些潜在的安全威胁，比如SQL注入，密码猜解，执行操作系统级的命令等，及时发现并阻止生产数据库安全威胁，保证生产数据库更加安全运行。3审计数据管理该功能是为了阐述产品支持的审计数据的管理和存储策略。对海量审计数据，长期保持原始日志，以便后期查询需要，同时尽量节约空间,高压缩率的存储是很重要的，数据库审计拥有高达95%以上的高压缩率保存，而且所有的压缩解压过程都是按照预定策略自动实现的。对于历史审计数据，可以从保存好的最原始的数据中重新分析而得，该过程允许用户自定义待分析的审计数据时间范围和保存地址。适合于分析好的审计数据丢失，或者分析模块更新的用户。对于历史审计数据，也可以压缩保存的审计结果中重新提取，进行分析展示。信息系统三级等级保护建设全文共54页，当前为第22页。以上保存的所有审计数据都是在独立的，专门的审计存储服务器上，也可以导出到第三方存储或者刻录成光盘保存，所有数据都是加密保存的，其他工具无法对审计数据进行读取。信息系统三级等级保护建设全文共54页，当前为第22页。4数据灵活采集数据库审计支持审计引擎在进行数据包时，接受用户自定义的采集过滤（其中，过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等），从而只采集用户关心的数据，剔除垃圾数据，减少查询时没用信息的干扰。用户可以灵活自定义设置该功能是否启用。该功能面向数据量非常大，但是所关注审计数据又清晰可定义的用户具有非常实际的意义。5会话审计及TelentHttp审计数据库审计支持数据库会话审计，能够完整的保存不同数据库客户端与数据库服务器的整个会话状态，并按照不同类型展示出来，允许用户通过多条件进行会话查询，以及该会话范围内的所有数据库语句，同时也为数据库服务器的性能优化有帮助。数据库审计还支持按照协议类型，完整审计到通过telnet客户端访问数据库的所有会话信息，并进行整改会话的回访，使得通过该方式进行的数据库行为无处遁形。数据库审计还支持对http协议的审计，从而可以审计到通过该协议相关的：前台应用程序的用户名，前台程序的URL，WebSessionID，Web客户端IP等，通过把这些信息与中间件访问数据库的sql进行关联分析，让真实sql操作用户也可以被审计到。6绑定变量审计数据库审计支持对绑定变量的审计，不仅可以审计到调用绑定变量的数据库操作，同时也能够对该变量真实的赋值过程也能够审计到，并进行关联分析。网页防篡改功能要求：支持无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署。串联部署时防护口不占用IP地址。串联部署时服务器可以看到真实客户端源IP，而不是WAF的业务IP地址；串联部署时服务器可以看到真实客户端源IP，而不是WAF的业务IP地址；信息系统三级等级保护建设全文共54页，当前为第23页。支持VLAN划分，支持多VLAN环境下trunk的部署；支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口；支持链路聚合(Channel)部署；支持Trunk链路防护；支持静态路由及策略路由配置，支持ARP绑定，支持静态MAC地址表配置，支持服务器健康检查，可以实时监测服务器的活跃状态；信息系统三级等级保护建设全文共54页，当前为第23页。识别与分析能力：应采用先进的协议分析技术对入侵特征进行分析，可有效防范DNS请求报文洪泛滥攻击和有效的对系统进行安全性识别；网关型网页防篡改，无需在服务器中安装任何插件，可以对动态网站及静态网站文件内容进行防篡改，当检测到篡改后可以实时恢复篡改内容。6.支持多种WEB应用漏洞的安全扫描检测，如SQL注入、跨站脚本、目录遍历等。支持自定义WEB漏洞扫描任务，支持对需要认证登录的web系统进行漏洞扫描，支持自定义每日、每周、每月等扫描周期设置。可导出web漏洞扫描报告，报告支持pdf,html,txt,xml等格式；支持多服务器的负载均衡，支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法；能配合现有的负载均衡设备协同工作，支持任意部署，而不影响客户现有拓扑；产品支持将Web服务器的错误提示信息，替换为标准、通用的错误提示信息，防止Web服务器系统核心问题泄露。产品支持针对HTTP/HTTPS请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制，并支持请求信息自学习功能。支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能。支持用户身份认证，用户切换角色时，必须进行重新认证。支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数。支持账号策略自定义，支持定义允许最大登录失败次数、密码错误账号锁定时间、防管理员账号暴力破解。。漏洞扫描功能要求：1.采用经过系统加固的专有操作系统；基于B/S模式，支持HTTPS安全访问方式；基于SSL的远程管理和扫描；用户多次登录失败时，自动锁定登录IP；可以限制可扫描的IP地址范围；可以限制用户的登录IP地址；；信息系统三级等级保护建设全文共54页，当前为第24页。支持资产自动发现功能，支持利用历史扫描过程中所发现的在线主机信息，来添加资产；支持对已有资产的直接扫描；支持显示资产的历史扫描结果，支持显示资产的风险评估值；支持直接查看资产的漏洞扫描情况；信息系统三级等级保护建设全文共54页，当前为第24页。产品应支持按CVE编号、CNNVD编号、CNCVE编号、Bugtraq编号、漏洞编号、漏洞名称、影响平台、简短描述、详细描述、修补建议等信息进行模糊检索，方便用户检索扫描策略。产品应支持多网卡并行扫描，每个网卡可以在互不相通的网段中进行独立的扫描操作，用户下发任务后程序根据对象IP地址自动寻找相应的网卡执行任务。根据用户实际购买的授权扫描口数量，支持所有授权扫描口并发执行扫描任务;支持扫描范围自定义、资产导入扫描范围、从文件导入扫描范围；支持主机存活探测，支持ARP、ICMPping、TCPping及UDPping四种类型；支持显示扫描剩余时间，随时查看扫描进度结果；支持多个扫描进度并发统计展示；支持查看历史扫描记录；支持最大限度报告漏洞；报告应具有易懂的漏洞描述和详尽的安全修补方案建议，并提供相关的技术站点以供管理员参考；应可根据角色需求产生灵活的报告格式，支持用户自定义报表和预定义报表；产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息；扫描报告应可对安全的威胁程度分级，并能够形成风险趋势分析报表和主机间风险对比分析报告；报表具备导出功能，可以导出不同格式的报表，如html、Excel、TXT、Word、PDF、XML等。备份一体机功能描述1.应用容灾保证应用不间断的虚拟化应用容灾：作为一体化容灾中针对应用不间断的独特保护屏障，备份一体机容灾家族针对性的提供了应用容灾的方案，主要基于CDP应用容灾技术实现，包括完整的CDP实时备份、灾难恢复、故障检测和灾难演习流程，确保灾难发生后可迅速接管应用，对外提供服务，保证用户获得最小RPO基础上同时享有最小的RTO。除此之外，备份一体机独特的虚拟化应用容灾模式，可直接通过内嵌的虚拟化平台实现，用户无需另外购置容灾服务器，从而收获更小的整体TCO。性能优越的异地应用容灾。信息系统三级等级保护建设全文共54页，当前为第25页。通过采用级联复制模型在本地和异地分别部署容灾站点来实现数据及应用的远程容灾，避免了对生产服务器的性能产生影响；基于重复数据删除技术能够克服远程容灾对带宽要求较高的问题，精简数据传输量，减少数据传输时间，极大提高了数据传输效率，实现了数据及应用的异地容灾和多重保障。可验证的应用容灾方案支持两种灾难恢复演习模式：实战演习和模拟演习，用于验证容灾方案的有效性。实战演习通过生产服务器的参与，验证整套应用容灾方案的可用性；模拟演习只需容灾服务器的参与，对生产服务器及实时复制不会产生任何影响，可验证容灾服务器的可用性。信息系统三级等级保护建设全文共54页，当前为第25页。2.数据备份保证数据不丢失的CDP实时备份：传统数据保护方案一般通过定时的方式进行备份和恢复，备份一体机在此基础上提供CDP实时备份技术，对用户产生的数据进行精细化的细颗粒度抓捕，实现数据的实时保护，减少备份窗口的同时，保证拥有可恢复的任意时间点数据，并且提供下载恢复、浏览恢复和瞬间恢复多种数据恢复方式，保证意外情况下，数据的瞬间可恢复性，从而拥有更小的RPO。全方位保护的平台和应用功能支持最广泛家族产品，可满足大中型组织机构异构环境的复杂需求，包括从Windows到Linux到Unix平台，SQLServer、Oracle、ExchangeServer、SharePoint、Domino、DB2、ActiveDirectory、MySQL、Sybase等各种数据库，VMware、Xen、KVM及WindowsHyper-V等各种虚拟化平台的备份，可实现从操作系统到应用程序以及文件系统的全方位保护。双重保障的D2D2R异地数据容灾。备份一体机异地数据容灾通过将备份数据从本地同步到异地容灾中心，轻松实现数据异地容灾，获得最佳数据保护效果。优化容灾性能的源端重复数据删除。重复数据删除是一种数据压缩技术，基于哈希算法，通过本地分块的方式，进行指纹对比后识别数据源中的重复数据块，只对唯一的数据块进行传输。信息系统三级等级保护建设全文共54页，当前为第26页。备份一体机采用基于数据类型的源端重复数据删除，既可以根据数据类型优化重复数据删除的计算量，也可以根据用户的实际数据环境，配置重删数据分块阈值，保证重删的效率和效果。通过此技术，容灾方案可受益如下：减少备份窗口，释放带宽压力，节省存储空间，部署更加灵活，大幅优化容灾整体性能。更智能的数据周期管理支持基于D2D2T的阶段备份（StagedBackup），将近线保存的备份数据自动迁移或复制到磁带设备，轻松实现周期性的近线备份和离线备份。信息系统三级等级保护建设全文共54页，当前为第26页。重复数据删除技术数据总量的成倍增长，既导致了需保护的备份数据总量也不断增长，也导致了重复数据总量的剧增。由于同一局域网内的所有客户端数据通常会定期在服务器中集中归档、存储或备份，备份频率越高，产生的完全重复数据也就越多。大量重复的数据不仅会浪费存储空间资源，还会给数据保护工作带来额外的负担。由于备份数据量过大，在传输备份数据时，将消耗大量带宽资源，甚至会严重影响企业IT系统的正常运行。备份一体机重复数据删除技术，支持源端重复数据删除方案，在备份数据传输到存储介质之前执行重删操作。信息系统三级等级保护建设全文共54页，当前为第27页。信息系统三级等级保护建设全文共54页，当前为第27页。应用层攻击防护：基于深度应用识别，积极防范复杂应用攻击；支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER，MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护；定期更新攻击特征库，安全专家积极响应新的攻击和漏洞。边界流量过滤：基于全球实时更新的恶意IP地址库和自定义的黑名单数据对流量进行过滤，并对命中黑名单的恶意流量采取阻断措施进行处理，从而阻断已知恶意IP地址的流量。黑白名单支持云端同步、自定义以及第三方联动下发。Web防护：支持WEB攻击防护功能，有效识别并防御各种Web威胁，如SQL注入、XSS跨站脚本、CC等恶意网络攻击；支持外链检查功能、目录访问等WEB防护功能，有效抵御针对WEB服务器和客户端的各种安全威胁。统一智能防护：通过统一智能系统软件，在防火墙产品的基础上全面实现智能防火墙功能，提升威胁防护、风险管控能力。通过威胁检测技术，结合机器学习、大数据、关联分析等前沿技术，基于行为分析，准确发现变种恶意软件等未知威胁，从而弥补了传统检测技术的弊端。功能实现的效果和好处：攻击防护是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施，例如输出告警日志、丢弃报文、限制报文、更新会话状态或加入黑名单，从而有效防止对服务器或者网络资源的破坏。用户通过在服务器前端、网络边界部署防火墙，部署攻击防护策略，可以有效应对各种类型的攻击进行告警、限制以及阻断，保护服务器和网络资源免受攻击影响。防火墙的攻击防护功能采用最优化的攻击识别算法，在最大化降低攻击防护功能对防火墙性能影响的同时提高了攻击识别的准确性。防火墙（单位现有设备利旧）网闸（网神品牌，单位原有设备利旧）机房标准化建设工程简述信息系统三级等级保护建设全文共54页，当前为第28页。不掌握审计信息化技术就失去审计的话语权，当审计事业正享受计算机及网络技术的进步带来高效益的同时，必须考虑到它的稳定性及可靠性，计算机设备只有通过稳定、可靠、安全的运行才能发挥其效益，而计算机设备的稳定、可靠、安全运行要依靠计算机机房的严格环境条件，即机房温度、湿度、洁净度、噪声、振动、静电、电磁干扰等条件及其控制精度，因此计算机机房工程的设计与施工是一个关键。信息系统三级等级保护建设全文共54页，当前为第28页。设计需要充分考虑机房使用的长久性与稳定性，保证机房整个系统运行安全可靠。把握机房实质，将技术指标的可靠性与环境建设的艺术性紧密结合，实现智能空间与自然环境的和谐配合。通过对环境整合改造，使之气氛明快，富于现代气息，给机房工作人员提供方便、快捷、舒适的工作环境，并为管理人员提供安全、高效的管理手段。充分体现“以人为本”的设计理念。将预期实现的功能与合理的平面布置结合起来，形成智能空间整体解决方案的新概念。立足基本需求，用前瞻性的眼光来审视，建设后的机房无论从空间和效果上都做到科学化、现代化。体现“面向未来”的设计理念，建设一个布局合理、有现代感、功能完备、安全可靠、可持续发展、设施先进，绿色环保、投资合理的现代化网络机房。建设原则根据功能需求分析，本次建设按照“实用可靠、有效适度、经济节约、技术先进”的总体原则实施。在设计过程中充分考虑方便今后的运行维护，并能有效降低机房运行及维护成本。本次建设的具体原则主要包括：应至少按照以下原则进行系统配置设计：实用性原则在系统设计的过程中，方案不仅综合考虑了机房内需要被集成的所有弱电子系统资源的充分利用与共享等实际情况，以及集成后智能化集成系统的实用性和在一段时间内先进型的问题，还着眼于未来，也即随着社会发展对智能化不断提出的新要求，从系统运行环境、资源整合、功能应用、新技术等多方面综合考虑，将各部分融合成一个高效、统一、实用的有机体。可靠性原则信息系统三级等级保护建设全文共54页，当前为第29页。系统整体架构：系统设计中，充分考虑集中监控管理的网络构架搭建、系统集成平台的设计、各种子系统的模板整合、系统监控/管理的层次结构的设计等综合因素，进行可实施性、可靠性、兼容性的综合设计。信息系统三级等级保护建设全文共54页，当前为第29页。网络架构体系：集成网络系统的总体结构采用结构化和模块化设计，具有很好的兼容性和扩充性，既可以集成不同厂商的子系统，又可使系统能够以方便地扩充，通过本智能化集成系统可以为本项目构建统一的监控管理平台，根据实际需要进行冗余设计，确保系统的可靠性、安全性。各子系统：采用成熟可靠的技术，并具备集成界面要求。分步实施原则根据项目的实际情况，对整个项目进行系统设计、系统布局、工程实施等综合考虑，有计划、有步骤的分步实施，从而确保实施的效率、效果与质量。经济性原则系统平滑扩容与升级：系统采用开放式的体系结构，容易实现与第三方系统无缝集成，平滑扩容；网络支撑：选用经济、实用、可靠的现有网络体系，避免重复投资；智能化集成平台的模块化结构设计使得系统的前期搭建、中期的实施、后期的升级维护简便、经济。在保证先进性的同时，以提高工作效率，节省人力和各种资源为目标进行工程设计，充分考虑系统的实用和效益，争取获得最大的投资回报率。先进性原则基础通讯建设全部采用技术成熟先进产品，满足不断发展的技术应用需要。整体集成系统的设计以系统工程的科学思想为指导，以现代计算机科学、通讯、控制和决策支持的理论与技术为基础，采用国际先进的中间构件技术和完全组态的方式，实现各类信息实时处理，数据库、决策支持系统的一体化。开放性原则系统整体设计采用分散控制与集中管理的结构，使各子系统既能相对独立运行，又能够方便地集成在具有统一操作界面的同一集成管理系统平台上；其模块化、结构化的系统结构，使具有良好的兼容性和扩充性，不仅可以使不同厂商的不同子系统方便的集成在同一个系统中，又可以使系统在日后能够方便的扩充。可管理性、服务性、便利性原则信息系统三级等级保护建设全文共54页，当前为第30页。智能化系统完成对通讯、安防、物业和设备的监视和控制管理。在保障系统先进性的同时，以提高工作效率、节省人力和资源为目标进行系统设计，充分考虑系统的实用性和效益；系统提供科学、完整的报警体系，确保系统的安全、科学的管理。信息系统三级等级保护建设全文共54页，当前为第30页。建设依据规范业主提供本项目资料和拟建设项目内容。勘察现场。2、可参照国标GB/T50314-2006《智能建筑设计标准》的具体要求。3、所有国际、国内和当地政府机关及部门颁布的最新的法定条例、规范、规格、标准、施工准则和业务条例，包括但不仅限于但必须高于以下所列各项：《电子信息系统机房设计规范》(GB50174-2008)《智能建筑工程质量验收规范》GB50339《建筑电气工程施工质量验收规范》GB50303《综合布线系统工程设计规范》GB50311《合布线系统工程验收规范》GB50312《建筑电气安装工程施工质量验收规范》GB50303《电气安装工程接地装置施工及验收规范》GB50169《建筑物电子信息系统防雷技术规范》GB50343《计算机机房用活动地板技术条件》GB6650《计算机机房施工及验收规范》SJ/30003《供配电系统设计规范》GB50054《计算机信息系统安全保护等级划分准则》GB17859《信息技术与包过滤防火墙安全技术要求》GB/T18019《民用建筑能耗数据采集标准》JGJ/T154《安全防范工程技术规范》GB50348《安全技术防范系统通用图形符号》GA／T74GA／T75《民用闭路电视监控系统工程技术规范》GB50198《视频安防监控系统技术要求》GA50367《视频安防监控系统工程设计规范》GB-50395《入侵报警系统工程设计规范》GB50394《出入口控制系统工程设计规范》GB50396信息系统三级等级保护建设全文共54页，当前为第31页。《防盗报警控制器通用技术条件》GB12663信息系统三级等级保护建设全文共54页，当前为第31页。《防盗报警中心控制台》GB/T16572国家和地方其它相关的现行标准和法规其它相关行业、地区规定及规范。其他国家和地方相关法律法规技术指标依据国家相关规范和设计标准，本次项目的网络中心机房在环境装修质量、供电电网的稳定、空气的洁净度、环境的温湿度、噪音的控制、防静电防雷击上都能达到如下指标，既为该大楼信息化设备提供一个良好的、稳定的、高效的、管理方便的集中设备运行区域，也是宿松县审计局标准化机房建设成果对外的一个形象窗口。温度开机时：21℃～25℃（夏季）、18℃～22℃（冬季）；停机时：5℃～35℃；温度变化率小于5℃/H，并不得凝露。湿度开机时：相对湿度达到45%～65%；停机时：相对湿度达到40%～70%。洁净度主机房内的空气含尘浓度，在表态条件下测试，每升空气中大于或等于0.5μm的尘埃粒数，应少于18000粒。噪音强度主机房内的噪音，在计算机系统停机条件下，在主操作员位置测量应小于65dB。电磁场干扰机房内无线电干扰场强：在频率范围0.15MHz～1000MHz时不大于126db；机房内磁场干扰场强：不大于800A/m。静电电位主机房内绝缘体的静电电位不应大于1KV。机房照明计算机机房在距地面0.8m处，照度不应低于300Lx；工作间和辅助房间不低于200Lx。信息系统三级等级保护建设全文共54页，当前为第32页。事故照明信息系统三级等级保护建设全文共54页，当前为第32页。计算机机房、电源室等应设事故照明，其照度在距地面0.8m处不应低于5Lx。供配电环境工作频率49.8Hz～50.2Hz，电压