数据管理平台技术方案（技术方案）

1技术方案建议书 错误!未定义书签。1.1项目需求分析方案 41.1.1现状分析 41.1.2系统功能分析 错误!未定义书签。1.1.3系统性能分析 91.1.4用户需求分析 1.1.5数据需求分析 41.1.6业务需求分析 71.1.7可行性分析 1.2项目技术解决方案 1.2.1项目背景 1.2.2项目概述 1.2.3建设目标 1.2.4建设必要性 1.2.5建设依据 1.2.6项目现状 1.2.7技术路线 211.2.8总体框架 23 1.3实施进度计划方案 1.3.1项目整体工期安排 1.3.2项目进度计划表 1.3.3项目里程碑设计 1.3.4项目实施进度保障 1.3.5项目进度控制 1.3.6安装调试与部署 1.3.7系统测试与项目验收 1.4项目实施保障方案 第2页/共169页 1.4.6项目质量改进措施 1.5项目应急保障方案 1.6人员配置与管理方案 1.7.3培训范围及计划 1.8.2服务期和响应时间 1.9安全管理方案 1.9.3安全管理总体框架 1.9.4安全管理体系技术 1.9.5安全管理体系内容建设 1.9.6安全管理体系措施 1.9.7安全管理策略建设 1.9.8安全组织体系建设 1.9.9安全教育和培训 1.1项目需求分析方案1.1.1现状分析二是，科技数据资源孤立分散和碎片化问题严重。我省(市)数性科学引文数据库建设的不重视和科技数据资源的版权限制导致科通；一些营利性的服务机构(如网络信息平台、科技中介等)通过收1.1.2数据需求分析全会提出把增强自主创新能力作为科学技术发展的战略基点和调整增加。到2021年全省科学研究与技术开发机构422个，其中政府部门所属独立研究与开发机构135个，高等院校所属科研机构170个，大中型工业企业办科研机构117个。从事科技活动人员8.2万人，其中研究与发展人员2.8万人。拥有中国科学院和中国工程院院士29(创新中心)等科技公共服务平台93个，经国家认定企业技术中心13个。全社会科技创新投入大幅度增长，2021年研究与发展活动(内部)支出50.9亿元，占全省生产总值的0.96%。1.1.3业务需求分析数据服务从数据采集到数据加工处理再到数据呈现有着完整的数据规划阶段(3)统一规划数据来，建立稳定数据来源。数据采集阶段数据管理阶段1.1.4系统性能分析指标要求：7×24小时连续运行。指标要求：软件故障4小时内恢复。1.1.5用户需求分析科技部门的需求分析此类科技信息服务部门一般都自建了相关领域或行业的数据资企业的需求分析层面的管理系统建设，各个业务系统独立运行，相互之间缺乏统一.第12页/共169页1.1.6可行性分析科技资源按国家标准进行标识，资源数据合理，及时更新；共享承建单位拥有保障共享平台建设、运行与服务所需的科研基础设第13页/共169页加快以计算机科学与人工智能为代表的科技领域知识管理与服务能 (国科发基〔2018〕48号),《吉林省科技资源共享服务平台管理办第14页/共169页1.2.2项目概述—专家人才——科研成果”的科技资源知识图谱，建成“研究兴趣/第15页/共169页1.2.3建设目标第17页/共169页 (国科发基〔2018〕48号),本平台的建设围绕吉林省深入实施创新1.2.6项目现状全会提出把增强自主创新能力作为科学技术发展的战略基点和调整增加。到2021年全省科学研究与技术开发机构422个，其中政府部门所属独立研究与开发机构135个，高等院校所属科研机构170个，大中型工业企业办科研机构117个。从事科技活动人员8.2万人，其中研究与发展人员2.8万人。拥有中国科学院和中国工程院院士29(创新中心)等科技公共服务平台93个，经国家认定企业技术中心23部)支出50.9亿元，占全省生产总值的0.96%。硬盘共享倘若后续发生数据修改也很难再同步给相关共享人；云第20页/共169页留在设立企业网站上；另一方而购买大量的网络数据库资源需要中化共享很有可能导致数据使用边界模糊，增加了数据误用、数第21页/共169页系统应用软件采用基于组件的多层架构。最底层是系统平台层，主要基于标准的J2EE组件。上层是应用平台层，包括工作流引擎组织权限框架、基础数据访问组件等。这些组件分别封装了工作流、组织权限、数据访问等方面的基本功能部件，是应用系统构建业务逻辑的基础。在应用平台层之上，是由各种业务数据模型、配置数据、组织权限定义、应用系统的业务处理逻辑和界面控制逻辑等组成的软件系统。通过组件化拼装，形成了整个应用软件系统，并通过内部息互联确保整个系统稳定、有效地运行。同时这种架构已经充分考虑到未来系统的扩展性及集成性，为未来系统的扩容和与其他相关应用系统的整合提供技术保障。应用平台层系统平台层技术架构1)分布式缓存。分布式缓存技术四用于动态Web应用以减轻数据库负担。它是通过在内存中缓存数据对象来减少读取数据库的次数，从而提高数据库第22页/共169页3)数据库集群和负载均衡。指定的IP或者网址即可访问到管理系统。与知识图谐构建资源统一检索专题库管理专题知识库多维度导航数据管理权限与安全机制统一身份认证1.2.9功能设计.1数据来源.2数据采集第24页/共169页InterneInternetWWW在线网络中已有各种电子文档，包PS2、PSD、TXT等等信息个性化服务RMS数据库提供跨库全文检索可扩展式开发……权限控制信息整合发布第26页/共169页.3数据整合.4数据接入第27页/共169页DAO(DataAccessObject)点。属于数据库访问的高层接口。是在OLEDB规程下开发的，基于(1)数据存储●数据加密(不存储裸数据，按块加密存储);在收到密文后，用解密密钥将密文解密，恢复为明文。在传输过程中，即使密文被非法分子偷窃获取，得到的也只是无法识别的●海量的数据存储能力(亿级的存储能力);第29页/共169页包括java,c,.net中都有一个索引项，则该索引表称之为稠密索引(Dense表称为稀疏索引(SpareIndex)。因为可以依据存储数据的部分内容找到数据在数组中的存储第30页/共169页时间复杂度可以认为为0(1),而数组遍历的时间复杂度为0(2)数据计算擎Spark、流处理计算引擎Storm、数据仓储组件Hive等。(3)数据传输第32页/共169页对相似重复记录和属性值异常等问题数据清洗规则，以及MD5加密传输知识图谱构建第33页/共169页自的式构建抽取式构理.1本体构建与管理本体构建为知识抽取提供规范化描述的概念层次体系和业务知第34页/共169页.2数据抽取及实体的属性值，都可以用三元组(主语、谓词、宾语)来表示，所取能力，支持业界前沿的基于机器阅读理解(MachineReading进行三元组抽取，先抽取主语(Subject),然后根据抽取结果和候选谓词对应的模板构造问句抽取宾语(Object),最终组成(主语，谓词，宾语)三元组。知识图谱服务支持基于该算法的模型第35页/共169页第36页/共169页.3知识融合.4知识推理能的研究中，基于符号的推理一般是基于经典逻辑第38页/共169页.5知识图谱存储与管理(1)平台支持知识图谱的实时更新，可手动更新，也可后台自动轮(3)平台支持知识图谱可视化，更加直观的、图形化，实现以可视.6预览图谱.8编辑图谱数据.9删除图谱.10复制图谱专题库管理.1专题知识构建与管理第40页/共169页.2专题库首页管理(1).平台支持对专题下的各类栏目进行增加、删除、编辑、排.4专题库目录结构.6专题库知识增删.7专题库文档排序.8专题库查询和搜索.9专题库关联文档第43页/共169页.12专题库存储加密系统管理.2角色权限管理(2)权限管理系统权限分为普通用户、附件下载权限、管理员、超级管理控制设置知识库目录权限可以设定每个员工能够访问的知识(3)用户管理.3操作日志记录第45页/共169页●允许二次开发：提供丰富的开发接口，允许用户进行二次开.5数据管理(1)身份管理不同系统角色使用的页面及功能模块不同，支持按需配置不平台支持用户身份实名认证管理，分为个人账户实名认证和组织账户实名认证，通过技术手段自动执行实名认证的审核●平台支持账户注销，可对不在使用的身份用户进行注销，分(2)部门管理(3)数据安全管理密切关注接触这类数据的重点人员的操作行为是否符合制度定期进行安全意识的宣导，强化用户对信息安全的认知，引.6门户配置第47页/共169页式模板导入等功能，可以实现所见即所得编辑功能，所有的.7统一认证(1)用户使用在统一认证服务注册的用户名和密码(也可能是其他的授权信息，比如数字签名等)登陆统一认证服务；(2)统一认证服务创建了一个会话，同时将与该会话关联的访(3)用户使用这个访问认证令牌访问某个支持统一身份认证服(4)该应用系统将访问认证令牌传入统一身份认证服务，认证(5)统一身份认证服务确认认证令牌的有效性；(6)应用系统接收访问，并返回访问结果，如果需要提高访问第48页/共169页(1)用户登录(2)权限校验多维度导航.1学科分类导航.2文献来源导航第49页/共169页.3文献作者导航.4出版物来源导航.5语种分类导航.6关键词导航.7行业导航2.采矿业第50页/共169页20.国际组织.8年度导航.9机构导航科技资源统一检索科技资源统一检索主要实现不同来源数据库的资源一站式检索.1检索方式需求特点采用不同的检索机制和匹配方式，体现智能检索优第52页/共169页高级检索可以同时设定多个检索字段，输入多个检索词，根高级检索支持多字段逻辑组合，并可通过选择精确或模糊的方式、检索控制等方法完成较复杂的检索，得到符合需求的含但不限于：主题、关键词、篇名、摘要、参考文献、分类.2检索结果第53页/共169页.3智能推送在平台上的行为日志(包括知识检索、浏览、阅读、下载、收藏)从1.3实施进度计划方案1.3.1项目整体工期安排本项目总建设工期为截止时间为2022年12月31日，整体工期安排1个月第54页/共169页2系统功能开发1个月3内部测试1个月4生产环境框架及环境搭建5问题完善2周6系统培训3天7具备功能配置及上线条件2天第55页/共169页1.3.2项目进度计划表始，在2022年12月31日完成试点的上线应用，详细的开发及实施计划开始时间计划结束时间涉及相关人员1前期准备工作2022年8月2022年8月项目经理、架构师、实施人员、研究院相关人员需求方案细化及原型设计2022年8月2022年8月项目经理、系架构师、实施人员、UI设计人员原型方案确认2022年8月2022年9月项目经理、UI设计人员、研究院相关人员系统框架搭建2022年9月2022年9月研发经理、研发工程师2系统功能开发2022年9月2022年10月项目经理、研发经理、研发工程师3内部测试2022年11月2022年11月研发工程师、测试工程师4生产环境框架及环境搭建2022年11月2022年12月架构师、安装调试人员5提交用户测试(系统评估)及测试问题完善2022年12月2022年12月实施人员、测试人员6系统培训2022年12月2022年12月实施运维工程师7具备功能配置及上线条件2022年12月2022年12月实施运维工程师第56页/共169页1.3.3项目里程碑设计活动，是项目后续顺利开展的保证；里程碑事件2是后续调测的关键点，影响并制约后续项目活动的开展；里程碑事件3是调测实施工作2、需求分析3、方案设计5、系统测试及培训第57页/共169页务)进行分解。任务(活动)。第58页/共169页1、通过初验后，系统进入试运行，正常情况下新建工程试运行期为30天，故障都应在24小时内(节、假日也不例外)修复。如果试运行期间系统的缺陷1)通过用户开放使用，考核系统的运行功能、稳定性和可靠性。2)进行必要的人工模拟测试。3、在试运行期间，我司将修理、纠正或更换不符合技术要求的任何软件的4、所有试运行期间软件变化都应在试运行结束后写入试运行记录中，并编1、从本项目最终验收完成之后起为运维期(保修期),免费运维期为三年。第60页/共169页派单、故障处理、故障升级处理(按需)、回访确认、记录归档等步骤。对于重2、在运维期内系统维护、软件升级、硬件变动所发生的服务费应由我司承第61页/共169页1.3.5项目进度控制第62页/共169页1.3.6安装调试与部署第63页/共169页平台施工计划的制定●数据库安装时必要准备(数据文件脚本、建表策略等)1.3.7系统测试与项目验收系统测试.1测试目的测试的目的在用验证本项目的可行性、可靠性、安全性及功能完.2测试环境我方根据各应用软件需求和硬件设备情况，规划、设计合理的测测试方法.1制定测试计划制定初步的测试计划，并在测试阶段开始前完善测试计划，同时要根据开发过程(概要设计、详细设计、编码过程)的实际情况进行第65页/共169页程不同而不同测试设计方式(如上线测试和初验测试)。同时检查测测试控制流程图测试控制流程图否是否是否是.3测试结果核查用来评价软件修改的恰当和正确性，测试分析过程和结论的正确第66页/共169页项目验收等)由我司提前15天提交给科学技术数据研究所，我司拟定的测试经双方确认形成正式的测试与验收文件并签署后，我司方可按计划求时，我司应向买方提供汇总的测试记录和全套最新的软件。通过第三方性能测试，以及初验合格后，双方签署初验文件，系统入网试运行期间我司应有专业技术人员进行现场技术支持，出现的任何第67页/共169页.1验收目的验收的目的旨在检验应用软件功能、系统集成是否符合贵公司的.2验收方式对于软件功能的验收，应由研究院统一组织制定验收方案，并编.3验收步骤>我方组织制定验收方案与测试用例。>我方组织力量对系统进行自验，并写出自验报告。>我方提出验收申请，并同时提供使用报告及系统自验报告。>研究院验收小组现场检查验收。>研究院验收小组提出验收意见/报告。第68页/共169页.4验收小组构成>主管部门验收小组的人数以能适应对系统进行较全面的检查为宜，在构成.5验收标准.5.1验收条件验收标准：应用软件在系统运行后，能连续稳定地运行，能实现第69页/共169页.5.2验收项目C:没有该文档项目验收项目工程实施文档工程实施计划技术文档系统安装手册系统需求说明书系统总体设计说明文档系统使用和维护手册(即用户手册)系统配置文档系统设计开发文档(概要设计)系统设计开发文档(详细设计)系统安装手册测试文档系统测试手册(ST)培训文档系统培训教材培训计划培训记录培训反馈意见书系统割接文系统运行分析报告第70页/共169页档应用软件(包含接口)的验收标准，是对应用软件的所有功能点对应用软件的测试，以不存在四类的测试结果、三类的测试结果小于5%,作为应用软件功能测试通过的标准。应用软件性能数据库性能数据库登陆安全应用系统的操作安全第71页/共169页安装简单人机交互界面在线帮助丰富的提示数据.5.3应用软件初验、终验第72页/共169页1.4项目实施保障方案1.4.1组织保障措施(5)我司本次项目建设的项目负责人(项目经理)是我司总监级别(或相当于总监级别)以上人员。我司在项目实施过程中保证配备足够的1.4.2制度保障措施决策制度③发起决策原则第74页/共169页沟通汇报制度物的质量，以及随后的系统开发活动(包括设计、编码、测试、维护变革管理制度②设计变更原则上由业务人员和开发人员和相关人员提出，第76页/共169页③内部测试变更原则上由测试人员提出，项目组内的项目经④验收测试、试运行等测试问题由最终用户提出，经过业务配置管理制度配置管理的作用是建立和维护在整个软件生命周期中项目产品问题管理制度第77页/共169页文档管理制度第78页/共169页对于双方提交的需要对方进行签字确认的报告或文档，在5个工第一条版本管理第79页/共169页1.4.3技术保障措施第80页/共169页1.4.4质量保障措施制定的且经领导小组评审批准的该软件系统需求规格说明书中规定软件开发项目组在开发软件系统所属的各个子系统(其中包括为机构和职责机构：在本软件系统整个开发期间，必须成立软件质量管理小组负责质供的产品时生效)等三方面的质量保证活动；f.项目的专职质量保证人员协助组长开展各项软件质量保证活是为了确保在软件开发工作的各个阶段和各个方面都认真采取各项第82页/共169页阶段评审工作要组织专门的评审小组，原则上由项目总体小组成每一次评审工作都应填写评审总结报告(RSR)、评审问题记录文档本章给出了在软件开发过程各阶段需要编制的文档名称及其要技术文档列表：为了确保软件的实现满足认可的需求规格说明书中规定的各项需第83页/共169页f.源程序清单(SCL);文档质量的度量准则：第84页/共169页1.4.4.4评审和检查第一次评审:第一次评审会对软件需求、概要设计以及验证与确认方法进行评a.软件需求评审(SRR)应确保在软件需求规格说明书中规定的b.概要设计评审(PDR)应评价软件设计说明书中的软件概要设第85页/共169页第二次评审:第二次评审会要对详细设计、功能测试与演示进行评审，并对第结构(即模块和函数的调用关系和调用序列)和变量使用是否正确。有程序单元结构测试的语句覆盖率必须等于100%,分支覆盖率必须大于或等于85%。要给出每个单元的输入和输出变量的变化范围。测第三次评审:第三次评审会要进行功能检查、物理检查和综合检查。这些评审a.功能检查应验证所开发的软件已经满足在软件需求规格说明的一致性(硬件和软件)、设计实现和功能需求的一致性、功能需求软件配置管理对软件提供商的控制第87页/共169页记录收集、维护和保存第88页/共169页1.4.5项目质量控制项目质量控制(ProjectQualityC我司现场项目经理定期依据实施整体检查表对现场实施人员进项目日报项目周报第89页/共169页项目月报工作与问题报告于24小时无法解决的问题，须提交《工作与问题报告》给相关部门专题报告会议报告第90页/共169页问题管理一览表否需要甲方协调解决，存在问题责任单位(部门),解决问题责任单位紧急服务响应否是是我司设立7×24或5×9小时(根据服务等级)的值班响应电话，内，95%以上的呼叫接通时间小于30秒；当我司需要查阅相关资料再对科学技术数据研究所的问题进行回复时，第92页/共169页故障升级流程所有担当人员应以高度的责任感积极进行重大系统要问题的对2)重大(一级)系统问题(故障)部门领导者(可以直至公司负责人)及时赶到现场，并与我司相关领导沟通，共同组织现场恢复工3)我司向科学技术数据研究所提交故障分析报告。2、汇报机制第93页/共169页故障。①故障描述：***(事故原因初步判断、预估处理时长);②故障影响面：***;③当前采取的应对措施：****第94页/共169页对问题进行全面总结汇报。包括事故发生的时间、地点、背景、第95页/共169页1.4.6项目质量改进措施在全面质量管理过程中首先有个计划；这个计划不仅包括目标，第96页/共169页事A事A每乡*”p我的制定初步改进方案质量改进方案的实施1、必须将现象的排除(应急措施)与原因的排除(防止再发生措施)严格区分开；第97页/共169页确认效果和总结如1)使用同一种图表将质量改进方案实施前后的不合格品率进行比较；2)将效果换算成收益，并与目标值比较；实施质量改进措施第98页/共169页1.5项目应急保障方案1.5.1应急指导思想1.5.2应急处置原则第99页/共169页1.5.3应急处理机制1.5.4应急处理流程9第101页/共169页1.5.5应急处理措施对于网络故障应急预案第102页/共169页第103页/共169页对于人为因素所造成的故障第104页/共169页网络攻击事件应急预案数据破坏事件应急预案第105页/共169页数据库安全审计记录和业务系统安全审计记录查找数据被破坏的原数据内容安全事件应急预案0重大事故报警制度第106页/共169页11.6人员配置与管理方案1.6.1项目团队组织架构我司为能有效进行资源控制、进度控制和质量控制以确保项目能够正常顺利实施及达到将来整个系统维护方便的目标，必须建立健全功能明确、决策有效、执行有力的项目组织机构，本项目的组织机构项目管理领导组技术支持组工程培训组系统集成组文档管理组软件测试组软件研发组第107页/共169页1.6.2人员配置计划(一)我司指定一名项目经理，对项目进度、质量进行管控，需求调(二)项目需求调研确认阶段、深化设计阶段分别提供不少于3人。(三)项目软件开发阶段提供不少于10人。(四)项目安装调试阶段、培训阶段不少于5人。(五)项目试运行阶段要求不少于3人。(六)项目上线后，我司将提供2名技术人员，负责系统上线后单位第108页/共169页1.6.3人员职责配置项目管理领导组项目评审组项目评审组由公司领导和资深专家、用户单位各相关部门领导和技术策划组项目经理项目经理对项目总体负责，在项目实施过程中作为我司代表与贵第109页/共169页各项目实施组文档管理组负责项目全部文档(包括电子文档和印刷文档)的制工程培训组负责培训的组织、培训材料的准备及对内/对外的各技术支持组负责工程项目完成后对用户的技术支持及对系统的项目组织团队成员情况表团队姓名职业资格证书名1第110页/共169页第111页/共169页1.6.4人员协调管理1、人员配备。根据项目大小及推进情况配备适量人员，项目实行双向选择，由项目经理把关，项目部全体工作人员要服从领2、据实考勤。项目组设一名考勤人员，项目组人员的工资发放按照3、统一调配。所有项目人员不得影响本职工作，在本职工作未完成所有项目成员在岗时间确定后，原则上不得随意变动，如确存需第112页/共169页1.7项目培训方案1.7.1培训目标训科学技术数据研究所的人员可以熟练使用数据管理平台经过培训第113页/共169页培训项目1数据管理平台日常维护培训高排除故障的能力2数据管理平台的配置操作软件系统的安装培训，包含操作系统、数据库等安软件系统的初始配置，如组织架构、人员角色、权限设置等各类初始参数培训系统的功能培训，包括数据管理、知识图谱构建、专题库管理、系统管理、多维度导航、科技资源统系统的日常维护及问题点培训系统的备份管理培训3数据管理平台设计培训对各个系统的对接以及数据交换相关技术培训能、安装调测(数据库、服务器、中间件、应用部第114页/共169页内容课程时间培训地点师资达到目的1数据管理平台的基本介绍及重要性科学技术数据研究所确定0.5个工作日术数据师培训人员了解数据管理平台的重要性2数据管理平台的安装和系统设置1个工作日术数据师可以独立完成数据管理平台的安装和设3数据管理平台的各个模块功能培训及操作2个工作日术数据师可以对数据管理平台各个功能模块的的了解和操作。4固定资产系统的日常问题处理以及系统安全备份1个工作日术数据师实现可以对数据管理平台出现的日常问题份等功能。50.5个工作日术数据师第115页/共169页●用培训PPT的形式进行培训讲解。●用演示系统进行软件实现业务流程的讲解。●培训以测试环境中的测试数据为案例进行讲解。●培训采取现场培训加远程视频培训模式。●系统管理员培训时间不少于14天、相关操作员现场培训不少于3天。第116页/共169页1.8服务方案1.8.1服务组织机构本地化售后服务机构保障阅相关资料时，在30分钟内回复科学技术数据研究所问题。售后服务团队配置第117页/共169页团队姓名在本次招标中名称12341.8.2服务期和响应时间司所提供的软件出现故障时，我司提供远程服务的响应速度小于2小时，提供现场服务故障修复时间小于4小时。对于在短时间内第118页/共169页(4)我司提供7×24小时的技术支持。计、开发等技术原因而引起故障，我司对应用软件有责任进行修复(包括月故障处理表单、月维护工作例会纪要等)交换给科学技术数(7)我司在项目验收前制订提供《故障应急处置预案》,并经科我司提供的技术支持热线电话95%以上的呼叫接通时间小于30秒；30分钟内回复。第119页/共169页系统巡检服务巡检频度：每年2次2)依据检查结果，进行相应的故障排除；第120页/共169页重要通讯保障应急方案设计与预演我司在与科学技术数据研究所一起了解业务需求和服务质量要第121页/共169页我司负责对科学技术数据研究所维护人员进行应急方案操作进辅助故障定位服务及响应服务完成故障定位服务后2日内提供故障定位分析报告。第122页/共169页1.8.3技术支持及运维服务>相关的系统检测、跟踪、监控、优化、版本更新等技术服务；运维体系系统可用率系统可用率雄蛋好*InfrastructureLibrary,ITIL,数据技术基础架构库),ITIL的核心模块是“服务管理”,这个模块一共包括了10个流程和一项职关的一项管理职能及5个运营级流程，即事故管理、问题管理、配置管理、变更管理和发布管理；服务提供流程组归纳了与IT管理相关的5个战术级流程，即服务级别管理、IT服务财务管理、能力管务管理基础架构集成。服务台的主要目标是协调客户(用户)和IT第124页/共169页部门之间的联系，为IT服务运作提供支持，从而提高客户的满意可能最小地影响客户和用户业务的情况下使IT系统恢复到服务级别第125页/共169页流程，它包括IT投资预算、IT服务成本核算和服务计费三个子流的浪费、合理引导客户的行为，从而最终保证所提供的IT服务符合足够的技术、财务和管理资源来确保IT服务持续性的管理流程。IT第126页/共169页称。数据中心运维管理主要肩负起以下重要目标：合规性、可用性、经济性、服务性等四大目标。(2)在提供IT服务过程中所应用的各种设备，包括存储、服(3)系统与数据，包括操作系统、数据库、中间件、应用程序管理对象虽然不像前两类管理对象那样“看得见，摸得着”,但却(4)管理工具，包括了基础设施监控软件、监控软件、工作流第127页/共169页技术支持和运维服务方案第128页/共169页第129页/共169页(1)运行维护及故障处理排除(2)应急演练第130页/共169页1.9安全管理方案1.9.1安全管理体系建设的目标1.9.2信息安全管理原则1.9.3安全管理总体框架第132页/共169页机的信息安全体系的作用力远远大于各个信息安全保障要素的保障1.9.4安全管理体系技术体化安个服蒸理中心(5全第133页/共169页平台和上层应用平台或第三方订阅平台支持双向认证机制，即平平台提供自服务门户和运营管理门户，门户访问具备必要的安全数据存储过程中，及时缓存内容到支持层，保证数据完全写入不1)使用OAuth2.0进行统一登陆授权，引入了授权服务器做为中第134页/共169页2)基于角色的用户权限系统设计。系统分为资源、角色、用户三3)资源自身的认证体系。每个资源被请求访问的时候，均会判断1.9.5安全管理体系内容建设1.9.6安全管理体系措施物理环境安全防护通信网络安全防护第135页/共169页区域边界安全防护.1边界防护子项第136页/共169页边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；防火墙b)应能够对非授权设备私自联到内部网络的行为进行检查或限制c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；.2访问控制过安全加固服务配置实现进出网络的数据流实现基于应用协议和应子项访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信安全策略加固访问控制列表，并保证访问控制规则数量最安全策略加固子项c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进安全策略加固d)应对进出网络的数据流实现基于应用协议防火墙.3入侵防范们能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦子项入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；第137页/共169页第138页/共169页实现对网络攻击特别是新型网络攻击行为的d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严.4恶意代码防范子项第139页/共169页子项.5安全审计通过日志审计系统针对设备以及主机日志进行统一的收集与审子项安全审计a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；日志审计系统b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；第140页/共169页c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分计算环境安全防护.1身份鉴别第141页/共169页本项目需采用安全服务中主机加固服务来满足等保三级建设安子项度要求并定期更换；超时自动退出等相关措施；主机加.2访问控制通过安全服务主机加固进行有效的计算环境主机访问控制，保障(1)对登录的用户分配账户和权限；(2)重命名或删除默认账户，修改默认账户的默认口令；(4)授予管理用户所需的最小权限，实现管理用户的权限分离；(5)由授权主体配置访问控制策略，访问控制策略规定主体对客第142页/共169页(7)对重要主体和客体设置安全标记，并控制主体对有安全标记本项目需采用主机加固服务来满足等保三级建设安全计算环境一子项a)应对登录的用户分配账户和权限；的默认口令；避免共享账户的存在；理用户的权限分离；制策略规定主体对客体的访问规则；程级，客体为文件、数据库表级；主机加.3安全审计(1)针对主机的安全审计通过启用本地的安全审计功能，针对(2)针对数据库系统的安全审计，通过数据库审计系统对云平台本项目利用日志审计系统进行日志审计，满足等保三级建设安全子项安全审日志审计系第143页/共169页第144页/共169页b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)应对审计进程进行保护，防止未经授权的数据库审计系统.4入侵防范(1)在网络层面，通过入侵检测系统可以起到防范网络的攻击行(2)采用安全扫描对信息系统主机进行安全(3)仅安装需要的组件和应用程序，关闭不需要的系统服务、默(4)针对业务服务器，可通过对操作系统人工加固的方式，来提(1)采用专业的安全检测工具和人工评审代码相结合的方式，实第145页/共169页(2)根据检测结果，提供详细的代码加固建议，并协助完成代码子项入侵防范a)应遵循最小安装的原则，仅安装需要的组件和应用程序；安全配置加固端口c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞漏洞扫描墙、IPS.5恶意代码防范子项.6数据完整性.7数据保密性.8数据备份和恢复第147页/共169页量备份(IncrementalBackup)、差分备份(DifferentialBackup)三数据库全备份：选择在周五(或周六)自动进行。文件增量备/差分备份份：在周一到周四(或周五)之间备份文系统增量/差分备份：在其余的时间仅备份系统和数据库配置的子项第148页/共169页数据备份恢复a)应提供重要数据的本地数据备份与恢复功将重要数据实时备份至备份场地；c)应提供重要数据处理系统的热冗余，保证数据备份应用信息安全防护.1信息应用身份认证机验证码(将一串随机产生的数字上英文字每，生成一幅图片，图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息，输入表单提交验证)等多种模式，防止恶意软件自动登录攻击，(1)提供强制要求修改口令的功能。通过管理端的设置，可要求(2)具有登录失败处理的功能，锁定登录失败次数超过一定数量(3)具有超时处理的功能，当用户登录后在一段时间内无任何动第149页/共169页.2访问控制.2.1账号权限范围系统的角色采用在业界接受度较高的功能权限模型是RBAC(Role-BasedAcc.2.2账号安全认证严格设定为管理员可新增和修改其管理范围内的用户和信息。这第150页/共169页.2.3账户风险控制(1)无风险：正常使用，不存在任何风险；(2)低风险：存在过于频繁请求、过长时间登陆等明显区别于一(3)中度风险：存在特殊风险操作，例如多次错误输入口令、弱系统对每一次账号的完整过程(从登录到活跃)进行评估，达到一般对于用户账号，其登陆账号一般为身份证，口令为统一规则第151页/共169页(1)口令安全：用户口令采用加密传输，并且由用户关系中心唯(2)口令找回：系统实现用户与邮箱、手机绑定，如果用户口令(3)弱口令：会强制提示用户更改口令并完成修改。登录是安全保护的第一道防线，这个阶段就可以拦截大量的异常(1)登录失败次数。记录账号短时间内登录失败的次数，防止别的密码输入错误次数达到3次以上后，就会加验证码。有的输入密码(3