轨道交通线网云平台系统用户需求书-中心部分网络安全专用技术要求.docx

《轨道交通线网云平台系统用户需求书-中心部分网络安全专用技术要求.docx》由会员分享，可在线阅读，更多相关《轨道交通线网云平台系统用户需求书-中心部分网络安全专用技术要求.docx（82页珍藏版）》请在三一文库上搜索。

1、轨道交通线网云平台系统用户需求书中心部分网络安全专用技术要求目录1建设内容12安全体系规划12.1 安全体系架构12.1.1 安全等级保护设计原则12.1.2 安全架构及基础设施安全22.2 等保要求分析32.2.1 网络安全等级保护2.O32.2.2 安全物理环境42.2.3 安全通信网络42.2.4 安全区域边界52.2.5 安全计算环境62.2.6 数据全生命周期保障82.2.7 安全管理中心102.2.8 安全管理制度112.2.9 安全管理机构122.2.10 安全管理人员132.2.11 安全建设管理142.2.12 安全运维管理142.2.13 安全资源池142.3 云平台商用密

2、码应用需求152.3.1 物理和环境安全152.3.2 网络和通信安全152.3.3 设备和计算安全162.3.4 应用和数据安全172.3.5 密钥管理172.3.6 密码应用要求183安全建设整体方案183.1 总体安全策略18203.2 总体安全架构3.2.1 安全域划分原则203.2.2 安全域内业务平面划分203.3 网络安全接口标准213.4 安全保护方案213.4.1 云平台整体设计223.4.2 云平台详细建设内容303.5 云平台商用密码应用方案413.5.1 物理和环境安全密码应用方案413.5.2 网络和通信安全密码应用方案413.5.3 设备和计算安全密码应用方案413

3、5.4 应用和数据安全密码应用方案423.5.5 密钥管理应用方案434业务系统安全建设方案434.1 系统安全建设策略434.2 业务系统安全建设444.2.1 非入云应用系统44422部分入云应用系统444.2.3 云内业务系统方案防护设计444.3 业务运行安全建设454.3.1 云上业务运行态势454.3.2 非云上业务运行态势464.3.3 业务质量监控475云平台网络安全设备指标475.1 主要安全设备性能指标475.1.1 安全控制中心错误！未定义书签。5.1.2 车站流量探针475.1.3 车站业务性能探针（硬件部署）485.2 云平台商用密码应用技术要求495.2.1 SS

4、LVPN网关495.2.2 云平台密码系统服务505.2.3 云平台密码证书签发服务515.2.4 密钥管理服务515.3 安全资源池技术要求525.3.1 云安全管理平台技术要求525.3.2 租户安全技术要求535.3.3 企业云主机安全服务535.3.4 漏洞扫描服务535.3.5 数据库安全审计545.3.6 云堡垒机545.3.7 日志审计服务555.3.8 虚拟边界防火墙及入侵检测服务56Ill1建设内容本期工程的安全设备需在云平台一期工程基础上进行扩容。本期安全资源池在安全生产网、内部管理网中分别部署，安全资源池由独立设置的安全组件组成，投标人可自行选择安全组件采用X86服务器和

5、虚拟机形态部署。安全资源池需保证通过交换机连通云上业务系统，为业务系统提供安全服务，每个安全资源池内的安全组件基于云上专业系统的定级分为网络安全等级保护（简称“等保）二级安全组件和等保三级安全组件。本期工程的安全设备应与综合运管平台深度集成，网络安全相关设备应支持综合运管平台的深度管控及监测。投标人应无条件配合招标人对轨道交通线网信息安全相关事宜的统一安排及调整，相关费用含在投标报价中。云平台厂商应承诺对接本项目密码设备，并根据密码设备接口完成云平台密评相关建设，相关费用含在投标报价中。本工程安全设备应承诺对接云平台一期工程安全控制中心，并根据客户需求提供剧本编排定制服务，相关费用含在投标报价

6、中。其他安全产品厂商应承诺根据本项目需求提供接口，包括不限于功能联动接口、数据对接接口等，相关费用含在投标报价中。2安全体系规划2.1 安全体系架构2.1.1 安全等级保护设计原则在网络安全实施过程中应遵循下列要求：按信息系统的安全需求，构建保证信息系统可用性、完整性和保密性的平台和安全保证体系，确保轨道业务安全；采用“网间分级隔离”的策略，根据业务特点、安全性和可靠性的需求，对应安全生产网、内部管理网和外部服务网网络设置安全机制和对应的资源池，并对各类资源池进行保护；采用“网内分类防护”的策略，在同一网络中根据业务特点划分的安全区域，不同安全区域应采用相应的安全防护措施；业务系统的安全应由应

7、用系统自身安全机制和云平台安全机制协同保障；应采用带外管理技术构建安全管理域，支持对应用系统的安全集中管控。应设置与集中管理相匹配的系统管理员、安全管理员和审计员，并制定管理规章和岗位职责；应建立符合国家有关网络安全要求的安全管理体系和机制。应包含非法外联行为、外部设备非法接入、移动存储设备的数据交换、发行介质等高危环节的管理内容；安全保障体系的基础设施、支持性基础设施所采用的设备应符合国家相关网络安全设备的标准规范，应优先选择来源可信度高的产品。物理与环境安全、安全工程建设应按照国家网络安全等级保护的相关文件执行。应定期或在网络威胁环境发生变化时进行全面安全风险评估，确保信息系统的安全风险处

8、于可接受水平。2.1. 2安全架构及基础设施安全遵循网络安全等级保护安全设计技术要求(GB/T25070-2019),等级保护三级安全技术从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行构建。安全技术体系按照“一个中心，三重保护”原则来建设。“一个中心”指的是安全管理中心，是对信息系统的安全策略及安全机制实施统一管理的平台。按照等保的基本要求，第三级(含)以上的信息系统安全保护环境需要设置安全管理中心。“三重保护”指的是按照分域保护的思想，将信息系统从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境，各个安全区域之间的访问关系形

9、成区域边界，各个安全区域之间的连接链路和网络设备构成了通信网络，因此整体安全保障技术体系将从保护计算环境、保护区域边界、保护通信网络三个层面分别进行构建，最终形成三重纵深防御的安全体系，并且它们始终都在安全管理中心的统一管控下有序地运行。保护计算环境：计算环境是对信息系统的信息进行存储、处理的相关部件，包括网络平台、系统平台和业务应用。不同安全等级信息系统的计算环境有着不同级别的保护要求，在进行计算环境保护措施设计时，可以将根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，提出各信息系统计算环境内部的安全技术保护措施。保护区域边界：区域边界是信息系统计算环境与通信网络之间实

10、现连接的相关部件。不同安全等级信息系统的区域边界有着不同级别的保护要求，在进行区域边界保护措施设计时，可以根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，对各信息系统区域边界实施安全保护技术措施。保护通信网络：通信网络是对信息系统计算环境之间进行信息传输的相关部件，包括骨干网/城域网及局域网主干核心系统。不同安全等级的通信网络有着不同级别的保护要求，在进行通信网络保护措施设计时，需要根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，实施通信网络安全保护技术措施。2.2. 保要求分析2.3. 2.1网络安全等级保护2.O根据GB/T22239-2019网

11、络安全技术网络安全等级保护基本要求，分为技术和管理两大类要求，具体如下图所示：安全运幅曾W安全建设管理安全管理人员安全tt用机构安全理制度安全管ff中心安全计笠环境安全区域边界安金通信M络安生物M环境图2.2-1信息系统安全等级保护基本要求本方案应严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型，根据信息系统等级保护安全设计技术要求，保护环境按照物理安全、安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的5个方面。同时结合安全管理要求，形成如下图所示的保护环境模型：安全管理安金管理中心系统IraJmtw1i安全人员管理安全修

12、理机构安全管理制度安全运蟆管理安全aI设管理安全说信网络:网%结喳全IRiiv网络设备防护r通.完整工;通信保密性网络可信接入安全计环境I身份潍别II人慢陆卫iI三SSM飞?斗容情-siSI-iiI丽N空制:I客体安全奥用I三g|安全区域边界I_边界访问控制II|一边界入侵方羹)ffgF)卜边界恶藏代码防范|物理安全物理环境机房管理机房菅理设窗与介质自理图2.2-2三级系统安全保护环境建设框架2. 2.2安全物理环境物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层

13、的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力，包括但不限于：机房缺乏控制，人员随意出入带来的风险；-网络设备被盗、被毁坏；线路老化或是有意、无意的破坏线路；设备在非预测情况下发生故障、停电等；自然灾害如地震、水灾、火灾、雷击等。因此，在通盘考虑安全风险时，应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。2.2.3安全通信网络通信网络的安全主要包括：网络架构安全、通信传输安全和可信验证等方面。网络架构是否合理直接影响着是否能够有效的承载业务需要，因此网络架构需要具备一定的冗余性，包括通信链路的冗余

14、通信设备的冗余；带宽能否满足业务高峰时期数据交换需求；网络通信设备的处理能力是否能应对高峰期的业务需求；合理的划分安全区域，子网网段和VLAN；网络通信传输是否采用了加密或者校验码技术保证完整性和保密性；通信网络设备是否支持可信验证能力，基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。2. 2.4安全区域边界区域边界的安全主要包括：边界防护、访问控制、入侵防范、恶意代码防范和垃圾邮件防范、以及边界安全审计等方面。1）边界防护检查边界

15、的检查是最基础的防护措施，首先在网络规划部署上要做到流量和数据必须经过边界设备，并接受规则检查，其中包括无线网络的接入也需要经过边界设备检查，因此不仅需要对非授权设备私自连到内部网络的行为进行检查，还需要对内部非授权用户私自连到外部网络的行为进行检查，维护边界完整性。2）边界访问控制对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。3）边界入侵防范各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网

16、络层以及业务系统的安全防护，保护核心信息资产免受攻击危害。4）恶意代码防范和垃圾邮件防范现今，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。同时垃圾邮件日渐泛滥，不仅占用带宽、侵犯个人隐私同时也成为黑客入侵的利用工具，因此在边界上迫切需要网关型产品在网络层面对病毒及垃圾邮件予以清除。5）边界安全审计在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行记录与审计分析，可以和主机审计、应用审计以及网络审计形成

17、多层次的审计系统。并可通过安全管理中心集中管理。2.2.5安全计算环境计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、入侵防范、恶意代码防范、数据完整性与保密性、安全审计、可信验证、备份与恢复、剩余信息保护、个人信息保护等方面。D身份鉴别身份鉴别包括主机和应用两个方面。对于主机环境的系统登录应按应用类别分配不同权限的用户，并且口令复杂并需要定期更换，同时在认证过程中，需要两种或两种以上的鉴别技术对管理用户进行鉴别等管理手段，缺少严格的账号管理手段，将会导致过期账号、多余账号，共享账号的存在。主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于

18、简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听，从而获得管理员权限，可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度，且防止被网络窃听；同时应考虑失败处理机制。应用系统的用户身份鉴别，应采用专用的登录控制模块对登录用户进行身份标识，同时采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，如数字证书、生物特征识别。并通过与相应系统配合，严格控制应用系统用户的访问权限，并保证用户的唯一性。2）访问控制访问控制包括主机和应用两个方面。访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也

19、可能企图执行高权限用户的操作，这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符，在制定好的访问控制策略下进行操作，杜绝越权非法操作。3）安全审计计算环境的安全审计包括多层次的审计要求。对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，便于日后的分析、调查、取证，规范主机使用行为。而对于应用系统同样提出了应用审计的要求，即对应用系统的使用行为进行审计。重点审计应用层信息和业务系统的运转流程息息相关。能够为安全事件提供足够的信息，与身份认证和访问控制联系紧密，为相关事件提供审计记录。

20、安全审计需要借助统一的管理平台，对于计算机环境，很多问题都会在系统的安全管理过程中显示出来，包括用户行为、资源异常、系统中安全事件等，虽然都能显示出来，但由于计算机环境复杂，没有统一的管理平台展示、分析、存储，会使很多安全事件漏掉，给系统安全运维带来了不必要的风险。4）入侵防范入侵防御能主动发现现存系统的漏洞。系统是否遵循最小安装原则，是否开启了不需要的系统服务、默认共享和高危端口，应用系统是否有对数据做有效性校验。面对网络的复杂性和不断变化的情况，依靠人工的经验寻找安全漏洞、做出风险评估并制定安全策略是不现实的，应对此类安全风险进行预防，预先找出存在的漏洞并进行修复。5）恶意代码防范病毒、蠕

21、虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。占据正常业务大量的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。6）可信验证基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和计算应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证。7）数据完整性和保密性数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问题。应采取措

22、施保证数据在传输过程中的完整性以及保密性；保护鉴别信息的保密性。应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。8）数据备份恢复应具有异地备份场地及备份环境，并能提供本地、异地数据备份与恢复功能，备份介质场外存放，在异地备份数据应能利用通信网络进行定时批量传送备用场地。9）剩余信息保护对于正常使用中的主机操作系统和数据库系统等，经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储，在这些存储资源重新分配前，如果不对其原使用者的信息进行清除，将会引起原用户信息泄漏的安全风险，因此

23、需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。对于动态管理和使用的客体资源，应在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。10）个人信息保护业务应用系统在用户注册时采集了与本业务无关的用户个人信息，根据等级保护要求规定，应仅采集和保存业务必需的用户个人信息，禁止未授权访问和使用用户个人信息。2.2.6数据全生命周期保障数据安全特别关注数据全生命周期的流转过程中的安全风险，并着力构建一个贯穿数据采集、传输、存储、处理、共享、销毁全生命周期，全方位覆盖管理、技术、运营和监管等内容，采取主被动防护相结

24、合的数据安全措施，切实解决数据流转安全问题，提高数据安全保障能力。1）数据采集安全需求分析数据相关系统需要对全域的数据进行采集，在采集过程中会涉及到多个业务系统的数据汇聚，在这个过程中，需要对数据进行安全审计，对数据进行监控，同时能够对采集到的数据资产进行梳理，分类分级，摸清数据资产的位置和流向。2）数据存储安全需求分析对于存储在数据库中的数据，需要对数据库的状态进行持续监控，保障数据库可靠高效运行，同时提高数据库DBA对于数据库的管理效率。内部人员、运维人员需要经常对数据库进行访问，所以需要对数据库进行安全审计监控，对于高危行为进行告警阻断，做到访问控制。最后定期对数据库漏洞进行扫描，杜绝因

25、数据库自身漏洞造成的数据资产损失。3）数据加工安全需求分析在对数据的加工过程中，需要对数据进行全面的脱敏，不仅是对数据库的数据进行脱敏，还应做到实时脱敏，防止敏感数据泄密，同时要对数据库进行审计和监控，对删除、破坏数据的行为及时阻断，防止数据资产的损失。最后应建立数据综合治理平台，对整个流程的数据进行全面的监控，同时对数据和行为进行Al分析，对整个态势进行分析。4）对外提供数据服务安全需求分析数据流转是数据共享最关键的一步，也是整个业务的重点，在数据共享交换过程中，极易发生数据的泄密以及因为数据接口的原因被不法分子利用，造成损失。所以在数据交换过程中做好数据安全防护尤为重要，首先要对共享数据进

26、行监控与审计，同时做好数据接口的审计和监控，保障数据接口安全。5）合法权限滥用的监控需求内部人员、第三方运维人员、数据库系统的DBA、新模块的程序开发人员对数据库中的数据都需要频繁地访问；诸多的人群和过高的权限会造成敏感数据集中泄露的风险，经营方面的数据也有被异常篡改的风险，这样都会造成无法预知的损失。6）数据脱敏功能需求数据脱敏的主要目的是防止数据泄露，同时确保敏感数据不被用于不当目的,满足合规性要求，并促进数据的安全共享和利用。为了实现这些目的，需要制定灵活的脱敏策略，根据数据的敏感性和业务需求，平衡数据的隐私保护和可用性。采用专业的数据脱敏工具和技术来简化脱敏过程，提高脱敏效率也是非常重

27、要的。此外，性能优化也是关键，通过合理的系统设计和资源配置，降低数据脱敏对系统性能的影响。在实施数据脱敏的过程中，还需要通过策略管理功能来创建、删除、修改、查询和启停脱敏策略。敏感信息管理功能可以查看敏感数据分级分类图表和敏感词出现频率，进行安全评估统计并生成风险报告。用户管理和角色管理功能则涉及到创建用户、查询用户、修改用户信息和角色分配等操作。这些功能共同构成了数据脱敏系统的核心需求，确保了数据脱敏过程的全面性和有效性7）数据的行为溯源数据涉及到多个系统之间的流转，数据的流转过程中涉及到多个环节，出现数据泄露后应当追踪到数据泄露源头。8）数据态势感知建立数据安全的态势感知平台，对数据库扫描

28、数据库状态监控、数据库防火墙、数据脱敏、数据库审计系统日志信息进行收集和分析，以大屏幕的方式对当前数据库安全情况做展示，能够对当前数据安全情况一目了然。2.2.7安全管理中心安全管理中心是等保2.O新增的内容，需求包括系统管理、审计管理、安全管理、集中管控四个方面。1）系统管理应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复。2）审计管理应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行

29、安全审计操作，并对这些操作进行审计；应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。3）安全管理应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。4）集中管控应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控;应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组进行管理；应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中

30、监测；应能对服务器进行监控，包括监视服务器的CPU、硬盘、内存、网络等资源情况，能够对系统服务水平降低到预先规定的最小值进行检测和报警，以提高运维能力；应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各类安全事件进行识别、报警和分析。2.2.8安全管理制度D制定和发布组织相关人员制定安全管理制度并对制定的安全管理制度进行论证和审定；安全管理制度应经过主管部门讨论通过，按照程序以文件形式发布；安全管理制度应注明发布范围，并对收发文进行登记。2）评审和修订应定期对安全管理制

31、度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订，定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。2.2.9安全管理机构D人员配备应配备一定数量的系统管理人员、网络管理人员、安全管理人员等；应配备专职安全管理人员，职位不可兼任；应对关键事物岗位配备多人共同管理。2）授权和审批应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；应列表说明须审批的事项（如列表说明哪些事项应经过信息安全领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经过哪些部门双重审批等）、审批部门和可批准人；应建立各审批事项的审批程序，按照审批程序执行审批过程，对关键活动

32、建立逐级审批制度；应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；应记录授权过程并保存授权文档。3）沟通和合作应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安

33、全规划和安全评审等。4）审核和检查应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；应由信息化管理部或上级单位组织相关人员定期进行全面检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。2.2.10安全管理人员1）人员录用应对被录用的安全管理人员的身份、背景、专业资格和资质进行审查，并对被录用的人员所具备的技术技能进行考核

34、确保其具备基本的专业技术水平和安全管理知识；应与被录用的人员签署保密协议；对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查。同时应签署岗位安全协议。2）人员离岗应严格规范人员离岗过程，及时终止离岗员工的所有访问权限；应及时取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；人员应与机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开。3）人员考核应定期对各个岗位的人员进行安全技能及安全认知的考核；应对关键岗位的人员进行全面、严格的安全审查和技能考核；应对考核结果进行记录并保存。4）安全意识教育和培训应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；应告知人

35、员相关的安全责任和惩戒措施；应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训；应针对不同岗位制定不同培训计划（计划包括培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等）；应对安全教育和培训的情况和结果进行记录并归档保存。5）第三方人员访问管理第三方人员对重要区域（如访问主机房、重要服务器或设备、保密文档等）的访问，须提出书面申请，批准后由专人全程陪同或监督，并记录备案（记录第三方人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息）；对第三方人员允许访问的区域、系统、设备、信息等内容应进行书面的规

36、定，并按照规定执行。2.2.11安全建设管理要从系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等多方面对系统建设进行管理。2.2.12安全运维管理不同的主机、存储、网络和安全设备共同构成信息系统，从安全运维的角度迫切需要集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理，更需要集中对资产信息、配置信息、日志审计信息、告警审计信息进行展示，安全管理中心需要个性化的安全管理和安全事件可视化展示。综上所述，安全管理中心的建设不仅要满足业务的等级保护要求，更要有力地促进业务系统运维工作的规范化

37、和透明化，实现资产的接入可监视、事件可记录、问题可跟踪，从技术上提高对资产的运维管理和服务水平，减少信息系统运行故障率，降低管理和运维成本，最大限度发挥IT管控效益。系统建成后，由管理机构组织相关人员进行日常运行维护管理，主要包括环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。2.2.13安全资源池2.2.13.1通用要求安全资源池应具备对全网安全态势及运维态势分析展示的功能。云平台安全资源池应具备对系统管理员、审计管理员、安全管理员的身份鉴别能力，同时对三个管理权限人员的行为和记录

38、结果进行分析。对全网的网络链路、安全设备、网络设备和服务器进行统一监管审计，对其运行日志、本地分析的日志等结果进行统一分析展示。2. 2.13.2云计算安全扩展要求在云平台环境下，应能对物理资源和虚拟资源按照策略做统一管理调度与分配；应保证云计算平台管理流量与业务系统流量分离；应具备数据审计功能；应能监控云平台虚拟化安全等设备的运行状况。2.3云平台商用密码应用需求2.3.1物理和环境安全2.3.1.1密码应用需求应依据GB/T39786-2021信息安全技术信息系统密码应用基本要求中的第三级信息系统商用密码应用要求，云平台的物理和环境安全需求如下：D宜采用密码技术进行物理访问身份鉴别，保证重

39、要区域进入人员身份的真实性。2）宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。3）宜采用密码技术保证视频监控音像记录数据的存储完整性。2. 3.2网络和通信安全3. 3.2.1风险分析目前本系统用户通过普通浏览器、客户端访问云平台，数据传输安全隐患，存在接入实体身份不可控，存在通信数据在信息系统外部被非授权截取等风险。4. 3.2.2密码应用需求网络和通信安全应实现对云平台与经由外部网络连接的实体、内部跨物理机房通信时进行网络通信安全防护，涉及的密码应用需求主要有：依据GB/T39786-2021信息安全技术信息系统密码应用基本要求中的第三级信息系统商用密码应用要求，云平台的网络和通

40、信安全需求如下：1）应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。2）宜采用密码技术保证通信过程中数据的完整性。3）应采用密码技术保证通信过程中重要数据的机密性。4）宜采用密码技术保证网络边界访问控制信息的完整性。5）可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性。2.3.3设备和计算安全2.3.3.1风险分析系统管理员在内网通过堡垒机，使用用户名+口令+短信验证码登录堡垒机,对系统中的应用服务器、数据库服务器、网络设备、安全设备进行运维管理，未使用密码技术对管理员进行身份鉴别，存在非授权人员登录，对系统进行恶意破坏的风险。2. 3.3.2密

41、码应用需求设备和计算安全应主要实现对云平台中物理机、虚拟机等安全防护，为云平台自身以及云上业务应用系统所涉及的各类设备提供密码支撑和保障作用，涉及的密码应用需求主要有：依据GB/T39786-2021信息安全技术信息系统密码应用基本要求中的第三级信息系统商用密码应用要求，云平台的设备和计算安全需求如下：D应采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性。2）远程管理设备时，应采用密码技术建立安全的信息传输通道。3）宜采用密码技术保证系统资源访问控制信息的完整性。4）宜采用密码技术保证设备中的重要信息资源安全标记的完整性。5）宜采用密码技术保证日志记录的完整性。6）宜采用密码技术

42、对重要可执行程序进行完整性保护，并对其来源进行真实性验证。2. 3.4应用和数据安全3. 3.4.1风险分析云管理平台存在口令泄露被仿冒登录等风险，关键鉴别数据业务数据存在传输、存储过程中被泄露的风险，也潜在存在被非法篡改风险，需保证关键数据机密性、完整性。4. 3.4.2密码应用需求云平台可以视作一个包含上百个组件的复杂应用，应用和数据安全是云平台安全防护的核心，涉及的密码应用需求主要有：依据GB/T39786-2021信息安全技术信息系统密码应用基本要求中的第三级信息系统商用密码应用要求，云平台的应用和数据安全安全需求如下:D应采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实

43、性。2）宜采用密码技术保证信息系统应用的访问控制信息的完整性。3）宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。4）应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。5）应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。6）宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。7）宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。8）在可能涉及法律责任认定的应用中，宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。2.3.5密钥管理2.3.5.1风险分析系统中的密钥管理面临保护不足带

44、来的密钥泄露风险，密钥泄露潜在会导致被保护数据泄露；针对证书等存在证书到期未及时更新带来的业务中断、安全隐患；云中密钥安全潜在还涉及不同用户群体间密钥隔离风险，避免被误用和滥用；针对密钥保护的高安全性，不支持通过认证的硬件密码模块，会降低密钥管理安全等级。2. 3.5.2密码应用需求云平台内应对使用到的对称密钥、非对称密钥（证书等）需要进行生命周期管理，覆盖密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节，保证密钥（除公钥外）不被非授权的访问、使用、泄露、修改和替换，同时保证公钥不被非授权的修改和替换。2. 3.6密码应用要求根据GB/T39786-2021信息安全技术信

45、息系统密码应用基本要求第三级别要求，制定本系统密码应用解决方案，并委托密评机构对密码应用解决方案进行评估，评估通过后，建设密码保障系统，制定密码相关的管理制度，系统改造完成后，依据密码应用解决方案对本系统进行密码应用安全性评估，评估通过后上线运行。3安全建设整体方案2.1 总体安全策略云平台安全设计应按照云服务的使用范围以及层次，提供整合的云服务安全体系，并与安全防护体系、安全运维体系相结合，形成完整的云平台防护体系。云平台应按信息系统的安全需求，构建保证信息系统可用性、完整性、保密性的平台和安全保证体系，确保云平台相关系统的业务安全。云平台应采用“网内分类防护”的策略，在同一网络中根据业务特

46、点划分的安全区域，不同安全区域应采用相应的安全防护措施。业务系统的安全应由应用系统自身安全机制和云平台安全机制协同保障，云平台应具备最高支持应用系统达到相关等级保护标准的能力。云平台应为保证关键业务的持续可用性，根据各个业务的特点和环境定制其所需的安全服务，达到其所需的安全能力。云平台应为部署在多个安全域的业务系统，制定协同一致的安全策略，平台应提供业务完整性所需要的安全服务。云平台应采用带外管理技术构建安全管理域，支持对应用系统的安全集中管控。应设置与集中管理相匹配的系统管理员、安全管理员和审计员，并制定管理规章和岗位职责。安全管理系统应能对云平台和各业务系统进行持续监控，掌控外部服务网、三

47、网区域边界和关键业务系统的安全态势。系统安全审计日志留存期不少于六个月。安全设备的可靠性、可用性及性能应满足业务要求，一般不低于被保护对象。安全保障体系的基础设施、支持性基础设施所采用的设备应符合国家相关网络安全设备的标准规范，应优先选择来源可信度高的产品。物理与环境安全、安全工程建设应按照国家网络安全等级保护的相关文件执行。投标人提供的安全方案中所有串接于网络安装的安全设备均应具有BYPASS功能。投标人提供的所有安全设备（系统）均应满足对IPv6流量指标三90%的要求。应定期或在网络威胁环境发生变化时进行全面安全风险评估，确保信息系统的安全风险处于可接受水平。投标人应满足网络安全法中关于网络安全专用产品的强制性要求，根据国家网信部门会同国务院