数据中心等保测评解决方案

目录1环境体系建设 51.1运行环境 5 51.1.2数据配套设备设计 6 71.1.2.2数据处理需求分析 7 9 1.1.3存储设计 1.2网络系统设计 1.2.1互联网带宽分析 2信息安全系统设计 2.2系统定级 2.3安全设计原则 202.4安全总体架构设计 2.5用户层安全设计 2.5.1PC终端安全设计 2.5.2移动端安全设计 222.6区域边界安全设计 2.6.1网络区域划分和隔离设计 2.6.2访问控制设计 2.6.3网络攻击监测 24 252.6.5网络及安全设备运维管理安全 25 252.7计算环境安全设计 262.8设备安全设计 2.8.1应用安全设计 262.8.2数据安全设计 282.8.3主机安全设计 352.8.4通信网络安全设计 2.8.5资源层安全设计 372.9安全管理中心设计 2.9.1安全管理制度 382.9.2安全管理机构 2.9.3人员安全管理 392.9.4安全规范管理 392.9.5系统建设管理 2.9.6系统运维管理 412.10安全运营体系设计 432.10.1三同步工作 442.10.2安全评估工作 452.10.3网络安全应急响应 452.11云计算安全扩展设计 472.11.1安全物理环境 2.11.2安全区域边界 2.11.3安全计算环境 472.11.4安全运维管理 482.12移动互联安全扩展设计 2.12.1安全物理环境 492.12.2安全区域边界 502.12.3安全计算环境 502.12.4安全运维管理 2.13部署方案 3平台安全可控设计 513.1国产化软件适配 3.2应用级灾备 513.3国产密码 523.3.1物理层面 523.3.2网络层面 523.3.3应用和数据层面 533.3.4终端 3.3.5商用密码产品清单 4运维保障设计 564.1运维目标 564.2运维服务对象 564.3运维范围 574.4运维内容 574.5运维标准 584.5.1运维服务时间 584.5.2运维问题记录规范 584.5.3运维行为规范 4.5.4现场服务支持规范 594.5.5突发事件应急策略 1环境体系建设表5-19:用户量分析及预测单位名称年度(人)年度(万件)功能：(1)物理资源管理(2)虚拟资源管理(3)数据资源管理(4)业务应用与服务部署(5)云平台类服务管理表所示：序号指标项名称数据备注1系统注册用户数U2人即普通市民总用户数2用户同时在线率C2根据具体业务情况取定3系统注册用户数U3即工作人员总用户数4用户同时在线率C3根据具体业务情况取定5系统同时在线用户数U1人6平均每个在线用户每分钟发出3次一般取值3-5,本处取37全部操作请求中，更新、查询、更新、查询、分析、其它各占1/483个96个6个3个一天内忙时峰值系数P3一般取值3-5,项目初期本处取3经验值系数E一般取值1.2-1.5,本处取一般取值10%-20%,项目初期本处取10%国内主流产品测试值应用综合增益系数G1一般取值1-1.5,项目初期本处取1.2一般取值0.5数据库服务器每秒钟处理能力需计算公式为：U1×N1/60×核序号指标项名称数据备注应用服务器每秒钟处理能力H2核核综上计算结果，本项目的服务器最低CPU总核数为89核，其中数据库服务器核心数为31核，应用服务器核心数为41核、Web服务器核心数为17核；服务器总内存最低为356GB,其中数据库服务器内存为124G,应用服务器内存为本次项目的备份需采用双机冗余方式,关键数据处理器(核心)备注81部署访问Nginx处理器(核心)数量备注高速缓存主机811消息地图日志数据111部署mysql机1(1)城管用户或公众上传信息(案件信息、录入信息)1)案件信息：件按照4张计算，共计约****KB;>录制视频：单个案件按需录制视频，单次录像操作为5秒，单次视频上传为18M。2)录入信息：(2)视频告警信息上传(3)物联传感设备信息上传(4)用户访问平台信息带宽(1)注册信息按照50K存储量计算，约需98M。(2)城市部件信息算，需要含3张800万像素图片，每部件需上传1张远景、2张近景图片，每张1据24567891据24567890.1%,用户并发率5%,得出同时在线人数58人。考虑平均每用户访问带宽0.125MB/s(128KB/s),带宽利用率70%,至互联网总带宽为75.4Mbps。0.1KB传感数据采集频率5秒计算考虑带宽利用率70%采集流量带宽0.1Mbps。综上计算结果，本项目至互联网所需总带宽为75.4M1.2.2电子政务外网带宽分析访问政务外网总用户约为20人，考虑用户并发率70%,得出同时在线人数14人。考虑平均每用户访问带宽0.125MB/s(128KB/s),带宽利用率70%,至20张，带宽利用率70%,至政务外网总带宽为83.2Mbps。频所需0.5MB/s带宽带宽利用率70%因此监控视频传输带宽需求为52Mbps。户约为457人，考虑用户并发率30%,得出同时在线人数138人。考虑平均每用户访问带宽0.125MB/s,带宽利用率70%,至政务外网总序号指标项名称备注云平台至互联网总带宽S云平台至互联网带宽S10人****区常住人口约为150万人234同时在线人数人5平均每用户访问带宽6带宽利用率(二)采集流量带宽S1个2平均每个传感数据大小35秒4带宽利用率二政务外网总带宽S管理中心至政务外网总带宽S管理中心至政务外网带宽S1人数字中心工作人员23司时在线人数人4平均每用户访问带宽5带宽利用率告警图片上传至政务外网带宽S序号指标项名称备注1平均每天上传图片张400张2单张图片上传带宽34带宽利用率监控视频传输带宽S1路2单条监控视频路数带宽S3司时调取的监控视频路数路4宽带利用率(二)云平台至政务外网总带宽S1人23同时在线人数人4平均访问带宽S5带宽利用率1232信息安全系统设计2.1等保标准图5-18:信息安全结构图2.2系统定级受侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级第二级第三级第四级国家安全第三级第四级第五级进行防护.(4)技术产品应用原则。安全系统尽可能采用标准化或具有成熟理论基智慧市容环境卫生管理信息系统依托智慧城管政务云部署,总体安全架构如互联网区和政务外网区部署的业务分别划入互联网安全域和政务外网安全全要求》,有效满足互联网区业务系统和政务外网业基于网络安全等级保护(三级)的要求，结合业务特点进行安全域细粒度划安全域划分及安全部署如下所示：政务外网政务外网访问控制策略除了互联网区和政务外网区在网闸上部署生效之外,主要在位1.互联网发起的访问仅允许到达互联网对外服务域的开放服务端口(如5.电子政务外网发起的访问仅允许到达数据交换区的开放服务端口(如2.6.3网络攻击监测部署本地抗DDOS设备，实现对网络异发现和阻断防护；互联网传入内部网络；在安全管理区部署日志集中存储与审计系统,集中存储入交换机镜像流量监视并记录对数据库服务器的各类操作于6个月。2.7计算环境安全设计2.8设备安全设计2.8.1应用安全设计威胁隐患类型防护措施项设计非授权访问应用身份鉴别应用层非法访问访问控制业务恶意操作安全审计威胁隐患类型防护措施项设计资源控制剩余信息保护中间人攻击(交易)数据篡改中间人攻击信息系统密码应用数据破坏公民个人信息泄露个人信息保护2.8.2数据安全设计威胁隐患类型防护措施项设计剩余信息保护威胁隐患类型防护措施项设计中间人攻击信息系统密码应用数据破坏公民个人信息泄露个人信息保护>数据产生日期偏移取整：********12:30:45->********12:00:00,舍弃2.8.4通信网络安全设计威胁隐患类型防护措施项设计设备和线路故障网络架构安全中间人攻击网络数据泄露通信传输加密信息系统密码应用网络安全运营决策失效平台业务的影响；务出口区串联至网络的IPS(入侵防护)等设备应当具备BYPASS功能，避免网环境卫生管理信息系统面临的各类物理环境威胁，梳理如防护应对措施如威胁隐患类型防护要求项防护措施项设计气象灾害物理位置的b)机房场地应避免设在建筑物的顶层或地下室，制a)机房出入口应配置电子门禁系统，控制、鉴别和记录进入的防盗窃和防b)将通信线缆铺设在隐蔽处，可铺设在地下或管道中；c)设置机房防盗报警系统或设置有专人值守的视威胁隐患类型防护要求项防护措施项设计雷电灾害防雷击a)将各类机柜、设施和设备等通过接地系统安全接地；b)应采取措施防止感应雷，例如设置防雷保安器火灾防火警，并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐c)应对机房划分区域进行管理，区域和区域之间设置隔离防火电气水害防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋c)采取措施防止机房内水蒸气结露和地下积水的转移与渗透；静电危害防静电a)安装防静电地板并采用必要的接地防静电措施；b)采取措施防止静电的产生，例如采用静电消除温湿度异常温湿度控制电力中断电力供应b)提供短期的备用电力供应，至少满足设备在断常运行要求；c)设置冗余或并行的电力电缆线路为计算机系统供电；电磁干扰和泄漏电磁防护a)电源线和通信线缆应隔离铺设，避免互相干扰；2.9安全管理中心设计本项目作为政务服务应用的承载体,严格按照国家2.9.5系统建设管理2.10安全运营体系设计展要求整合后，参照国际IT服务管理标准ISO****0及最佳实践ITIL,根据平安全运维组织体系是实施安全运维的核心，通过安全运维组织体系的建设同步运行，在信息化建设的过程中，要同步落实如下工作：测评等工作确项目成员的职责分工；2.10.2安全评估工作2.10.3网络安全应急响应应急响应流程包括如下内容：3.总结阶段3.总结阶段机制安全计算环境身份鉴别安全审计恶意代码规范甚于信息保护2.11.4安全运维管理2.12移动互联安全扩展设计2.12.1安全物理环境建设内容下特性：态势总览、主机加固(10节点)、虚拟防火墙(100M)、日志审计(500G)、漏洞扫描(每月一次)、Web(4实例)、堡垒机(10节点)等套13平台安全可控设计3.3国产密码3.3.1物理层面3.3.3应用和数据层面PKI基础设施，将时间可信功能从应用系统中独立出来，解决对时间可信的安务，同时具备安全可靠的密钥管理机制。具采用终端密码产品USBKEY、数字证书、国密浏览器，完成信源加密(应用系统客户端的信息加密、信息传输完整性保护)、信道加密(基于国密的SSL加密链路)。编号设备类型供商国密门禁部署在政务云中心(水土)云服务商2网络层面国密VPN网关部署在政务云中心(水土云服务商编号设备类型设备/服务提供商3应用和数据国密签名验签部署在政务云中心(水土)云服务商4应用和数据国密电子签章部署在政务云中心(水土)云服务商5应用和数据国密时间戳部署在政务云中心(水土)云服务商6应用和数据国密密码机部署在政务云中心(水土)云服务商7终端国密USBKEY三方安全厂家8终端国密云数字证书存放于云端符合国家密码局要求的加密设施中三方安全厂家9终端国密浏览器三方安全厂家4运维保障设计城市信息中心负责运维,应用系统承建方提供技术支撑。序号运维类别内容及要求系统软件、数据库及用数据库备份和更新，对数据库内用户信息进行管理，保障核2业务中断等，进行快速响应和处理在最短时间低。在系统维护过程中，突发事件的出现将是很难完况，同时做好日常的数据增量备