信息系统网络安全防护建设
要点
****年,
*
目录
*概述
*.*项目背景
*.*建设目标
*.*建设原则
*.*建设范围
*现状和需求分析
*.*现状分析
*.*.*网络架构
*.*.*平台架构
*.*安全防护需求分析
*.*.*物理安全防护
*.*.*网络安全防护
*.*.*计算环境安全防护
*.*.*应用安全防护
*.*.*数据安全防护
*.*.*安全管理
*功能和指标要求
*.*功能指标要求
*.*指标要求
**
*概述
*.*项目背景
通过数字化建模、网络化衔接、标准化定制,建立数据架构统*、管
理标准统*、管理动作统*的管理平台,推动信息技术与项目管理模式有
效融合,构建集动态监管、实时预警、直观展示、信息存储于*体的信息
系统。考虑到系统建设任务要求、承载数据的重要性、系统即将面临的相
关风险,需按照我方标准进行信息化安全防护建设(含保密传输、系统安
全等)。
*.*建设目标
通过安全防护设备的合理配置和应用,构建边界清晰、可控可管、体
制统*、安全高效的安全防护体系,形成以物理安全防护、网络安全防护、
计算环境安全防护、应用安全防护、数据安全防护和安全管理为主的安全
防护体系,防范和抵御来自系统内部与外部的失泄密风险和安全威胁。
*.*建设原则
在满足我方防护要求的条件下,综合考虑整体性、可扩展性、可实施
性等方面因素,主要遵循以下设计原则:
(*)体系化原则:充分考虑信息系统实际,本着满足建设急需、合
法合规的原则,对信息系统安全防护分系统进行设计和建设,构建体制统
*、结构灵活的安全防护体系。
(*)扩展性原则:考虑系统长期使用过程中的优化需求,按照开放
兼容、可扩展性原则设计安全防护体系架构,能够支撑系统后续发展及扩
容的需求。
(*)成熟性原则:安全防护设备选型在前瞻性的基础上充分考虑成
熟性的要求,优先选用我方型研装备、我方关键软硬件自主可控产品名录
或经我方主管部门测评认证的产品,所选产品能按系统建设进度要求及时
配发部署。
*.*建设范围
本项目建设范围为本级、*个项目部的安全防护系统建设,包含安防
监控系统、工程施工数字化管理平台和工程档案智能化管理平台,建设由
项目实施单位组织。
*现状和需求分析
*.*现状分析
*.*.*网络架构
信息系统建设机房*间,机房建在****,*个分中心分布在各施工项
目现场点位。安防监控系统、工程施工数字化管理平台分别使用地方专线,
工程档案智能化管理平台使用内部网络。地方专线、内部网络内相关系统
独立部署运行。地方专线采用租用方式,内部网络独立组网。
*.*.*平台架构
(*)工程施工数字化管理平台主要包括施工管理总集平台、施工管
理业务平台、施工管理采集平台、施工管理基础平台以及数据管理信息平
台等。
*)施工管理总集平台:属于总体集成,是业务系统操作、业务功能
集成、业务数据互通的支撑平台。
*)施工管理业务平台:服务于工程项目施工现场的业务系统。
*)施工管理采集平台:主要包括音视频采集设备、环境监测设备、
智能烟感设备和数据引接。
*)施工管理基础平台:主要包括网络交换设备、计算存储设备、网
络安全设备、机房配套设备和智慧工地驾驶舱。分别在项目部端和本级端
建设服务平台。
*)数据管理信息平台:提供数据服务和数据应用*个模块。
(*)工程档案智能化管理平台主要包含档案数字化管理软件、信息
化资料存储系统、数字化环境监测系统和智能化安全防护系统。
*)档案数字化管理软件:与智能档案柜、****技术等结合实现档案
的统*管理。
*)信息化资料存储系统:纸质档案快速准确定位、查询、检索、借
阅及数字化存储。
*)数字化环境监测系统:对档案室温湿度空气的自动调控,为档案
资料提供标准化存储环境。
*)智能化安全防护系统:为档案管理提供物理安全、数据安全、供
电安全及链路安全支撑。
*.*安全防护需求分析
依据数据涉密等级,参照我方标准要求,从物理安全防护、网络安全
防护、计算环境安全防护、应用安全防护、数据安全防护以及安全管理*
个方面明确安全防护需求。
*.*.*物理安全防护
物理安全防护主要包括物理场地安全和设备本身。物理场地主要包括
机房场地安全和用户终端场地安全。设备安全包括网络设备、终端设备、
安全防护设备等设备本身的安全,*方面需要在设备选型上进行控制,另
*方面需要对设备部署的场地进行控制。
*.*.*网络安全防护
为防止对内部的网络入侵和渗透攻击等,阻止远程恶意破坏和越权访
问等安全威胁,需要综合采用访问控制、网络审计、入侵检测、漏洞扫描、
接入鉴权等措施,在不影响业务的前提下,对网络边界实施防护。对物联
网设备的接入与威胁进行监测。
满足我方标准要求的跨网安全交换功能,实现安防监控系统数据向工
程施工数字化管理平台的单向受控传输、工程施工数字化管理平台数据单
向内部存储中心单向受控传输。
*.*.*计算环境安全防护
部署在终端、服务器等各类计算机系统与应用存在系统漏洞、病毒入
侵、木马植入、蠕虫传播、非法入侵、数据外泄等安全威胁,需要采用可
信防护、主机管控、标签水印、补丁升级、恶意代码查杀等手段,加强计
算机系统与应用对病毒及恶意代码的自我免疫能力,有效防止外部黑客攻
击和内部人员违规操作、恶意破坏,确保终端和服务器计算环境的安全。
*.*.*应用安全防护
应用系统应对用户操作及业务流转过程进行安全审计,确保操作留痕,
有迹可循。***应用系统访问面临***注入攻击、跨站脚本(***)、跨
站请求伪造(****)、***恶意代码等威胁,应提供应用层安全攻击的
防护措施,确保数据防篡改、避免数据泄露、防止非法操作执行,对***
应用数据包进行安全检测和过滤,确保应用系统的***访问安全。
*.*.*数据安全防护
为实现对信息系统的安全防护,采取数据库安全审计等技术手段,实
现对数据库细粒度访问控制及管控审计能力。
*.*.*安全管理
对整个系统的安全设备所涉及的安全策略、安全规则等安全要素实施
监控和管理,统*收集分析呈现安全设备的告警和日志等信息,并对安全
保密事件进行分析和审计。
*功能和指标要求
安全防护指标要求如下:
*.*功能指标要求
(*)网络安全防护
*)集成网络病毒过滤、入侵防护、上网行为管理等多项功能,提供
全面的网络边界防护能力;
*)提供基于*元组的数据包过滤以及访问控制功能,用于网络边界
防护,划分安全域、配置用户和系统的访问控制策略;
*)可对***访问、文件传输、邮件传输、其他协议等细粒度审计,
对网络访问行为的细粒度审计;
*)提特征匹配,能对引接到网络探针的流量进行特征匹配,能对符
合特征的流量进行采集,并生成报警信息;
*)支持采集还原,能采集还原可疑原始流量数据,支持对流量数据
的去重、内容压缩和规范化处理,支持分布式数据存储,可按需进行检索、
流量还原、流量回放、文件提取;
*)针对网络主机、操作系统、网络设备、应用系统、常用软件等的
脆弱性扫描能力;
*)能与支持***.**的交换机配合,完成主机局域网准入控制;
*)支持文档、图片、视频等多种类型的文件跨网传输,对数据源终
端的源目录文件进行保留、删除或移除操作;
*)支持脆弱性、异常行为、攻击行为、节点设备、事件处置,发现
新接入的物联网设备并有效管理,实时监测威胁。
(*)计算环境安全防护
*)支持主机到局域网可信接入鉴权设备的注册、注销;
*)提供文档资产管理、文档全生命周期管理、事中监控和异常行为
处理等功能;
*)为主机提供外设端口使用控制等主机安全防护;
*)为主机提供恶意代码防护、主机可信等安全保护。
(*)应用安全防护
支持***应用数据包安全检测和过滤,包括****协议过滤、***
注入攻击防御、跨站脚本(***)、跨站请求伪造(****)、***恶意代
码等。
(*)数据安全防护
能够分析和详细记录应用和各类工具对数据库的访问行为。
(*)安全管理
*)支持运行监控质量评估,对安全防护装备的在线工作状态进行量
化打分,包括在线情况、资源占用、网络接口状态、故障报警、操作日志、
安全策略和软件版本等;
*)提供日志采集服务接口,支持从被审计设备获取日志信息。
*.*指标要求
(*)网络安全防护
*)统*威胁管理吞吐量≥*****、最大并发连接≥****;
*)包过滤防护整机吞吐量≥*****;
*)事件记录能力≥*****条/秒;
*)在**流量下,**字节包长,以特征匹配方式采集流量,丢包率
≤*%;
*)攻击事件采集率≥****条/秒;
*)漏洞扫描支持的最大并发扫描**应不少于***个;
*)接入鉴权并发鉴权请求≥***个;
*)单向跨网传输速率≥*******;
*)支持物联网异常行为类别≤**。
(*)计算环境安全防护
*)恶意代码检测率≥**%;
*)支持可信终端管理数量≥***个。
(*)应用安全防护
支持***应用防护新建连接速率≥****次/秒。
(*)数据安全防护
数据库审计并发连接数&**;****,***语句解析能力&**;*****条/秒。
(*)安全管理
单级被管安全设备数≥***台。
功能介绍
热门关键词: 
换一批
海淀最新采购意向推荐
招标采购
询价订单
分包项目
直采订单
拟在建项目
业主委托
