数据中心信息安全解决方案

数据中心解决方案（安全）行业基线方案目录第 一 章 信息安全保障系统 21。1系统概述21。2安全标准21.3系统架构21。4系统详细设计31.4。1 计算环境安全3142区域边界安全51。4.3通信网络安全6144管理中心安全71。5 安全设备及系统91.5。1 VPN加密系统101。5。2入侵防御系统101。5.3防火墙系统111.5.4安全审计系统121.5。5漏洞扫描系统131.5。6网络防病毒系统151。5.7 PKI/CA身份认证平台161。5。8接入认证系统181.5。9安全管理平台19第19页杭州海康威视系统技术有限公司第 一 章 信息安全保障系统1.1 系统概述信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安 全管理中心于一体的基础支撑系统 .它以网络基础设施为依托 ,为实现各信息系 统间的互联互通，整合各种资源,提供信息安全上的有力支撑.系统的体系架构如 图所示：图1. 信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制 度，它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。 1.2 安全标准在数据中心建设中，信息系统安全依据信息系统等级保护安全设计技术要 求(GB/T 24856-2009)二级防护要求进行设计该标准依据国家信息安全等级保 护的要求,规范了信息系统等级保护安全设计技术要求，标准适用于指导信息系 统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安 全技术方案的设计和实施，也可作为信息安全职能部门进行监督、检查和指导 的依据。信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法 .已出 台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标 准，为信息安全等级保护工作的开展提供了法律、政策、标准依据.国家标准信 息安全技术 信息系统等级保护安全设计技术要求是根据中国信息安全等级保 护的实际需要，按照信息安全等级保护对信息系统安全整改的要求制订的，对信 息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。1.3 系统架构智慧城市数据中心依据信息系统等级保护安全设计技术要求(GB/T 248562009），构建 “一个中心支撑下的三重防御的安全防护体系.信息安全保障 系统总体架构如下图所示：图2. 信息安全保障系统总体架构图信息安全保障系统以网络基础设施为依托，为整个数据中心业务提供计算环 境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。 信息安全保障系统的一个中心是指管理中心安全，三重防御是指计算环境安全、 区域边界安全和通信网络安全。计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、 恶意代码防范、接入控制、数据安全等安全服务。区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、 网络安全隔离与可信交换等安全服务。通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等 安全服务。管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统 一安全审计子系统等，它是系统的安全基础设施，也是系统的安全管控中心。为 整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的 安全审计等服务.1.4 系统详细设计1.4.1 计算环境安全1.4.1.1 计算环境安全概述伴随着等级保护工作的持续开展，包括防火墙、安全网关、入侵防御、防病 毒等在内的安全产品成功地应用到信息系统中，从很大程度上解决了安全问题， 增强了信息安全防御能力。但这些大多重在边界防御，以服务器为核心的计算平 台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关 部件，它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心 的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的 接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务，完 成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系 列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控，实 现协同防护。1.4.1.2 计算环境安全功能要求1) 身份鉴别功能数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时， 采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的 唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机 制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。2) 访问控制功能在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限， 并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术 ,实 现不同用户、不同角色对不同资源的细粒度访问控制，分别制定了不同的访问控 制规则,访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。访问 操作包括对客体的创建、读、写、修改和删除等。3) 安全审计功能提供安全审计机制 ,记录系统的相关安全事件 .审计记录包括安全事件的主 体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储 保护,并可由安全管理与基础支撑功能层统一管理。4) 数据安全保护功能采用常规校验机制，检验存储的用户数据的完整性 ,以发现其完整性是否被 破坏,可采用密码等技术支持的保密性保护机制，对在计算环境安全中存储和处 理的用户数据进行保密性保护.5) 恶意代码防范功能安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级 和更新，以提供针对不同操作系统的工作站和服务器的全面恶意代码防护 .不仅 能够抵御病毒，蠕虫和特洛依木马，还能抵御新攻击，如垃圾邮件 ,间谍程序， 拨号器，黑客工具和恶作剧，以及针对系统漏洞，并提供保护阻止安全冒险等。1.4.2 区域边界安全1.4.2.1 区域边界安全概述随着应用系统和通讯网络结构日渐复杂，异地跨边界的业务访问、移动用户 远程业务访问等复杂的系统需求不断增多，如何对跨边界的数据进行有效的控制 与监视已成为越来越关注的焦点，这对系统区域边界防护提出了新的挑战和要 求。区域边界安全针对的是对系统的计算环境安全边界，以及计算环境安全与通 信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全 主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等 安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务 ,完成边 界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可 信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管 理、统一监控，实现协同防护。1.4.2.2 区域边界安全功能要求1）边界包过滤功能提供对数据包的进/出网络接口、协议（TCP、UDP、ICMP、以及其他非IP 协议）、源地址、目的地址、源端口、目的端口、以及时间、用户、服务（群组） 的访问过滤与控制功能，对进入或流出的区域边界的数据进行安全检查，只允许 符合安全安全策略的数据包通过，同时对连接网络的流量、内容过滤进行管理。2）边界安全审计功能在区域边界设置审计机制，提供对被授权人员和系统的网络行为进行解析、 分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为 响应、事后合规报告、事故追踪回放，保障网络及系统的正常运行.3）边界入侵防范功能 在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒 绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。4）边界完整性保护功能 在区域边界设置探测器，可对内部网络中出现的内部用户未通过准许私自联 到外部网络，以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5）边界安全隔离与可信数据交换功能 可完成指挥信令的双向流动，以及视频流单向流入公安信息网的安全隔离与 控制，同时，还应可采用两头落地的“数据交换”模式，实现公安信息通信网与其 它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。1.4.3 通信网络安全1.4.3.1 通信网络安全概述通信网络是信息系统的基础支撑平台，而如今网络IP化、设备IT化、应用 Web 化使信息系统业务日益开放，业务安全漏洞更加易于利用.通信网络的安全 保障越来越成为人们关注的重点.通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全 策略的相关部件。数据中心的通信网络安全主要是通过部署入侵防范系统和 VPN 加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供 的服务，完成传输网络安全审计、数据传输完整性与机密性保护等一系列功能 . 通信网络安全采用基于商密算法的网络传输安全防护系统（SSL VPN），实现数据 安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密 性。1.4.3.2 通信网络安全功能要求1）传输网络安全审计功能 提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息在内的审计功能。2) 数据传输完整性与机密性保护功能通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性 和完整性保护、以及数据源认证、抗重放攻击等安全保障，并且支持采用身份认 证、访问控制以及终端安全控制技术，为平联工程的内部网络建立安全屏障。1.4.4 管理中心安全1.4.4.1 管理中心安全概述安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通 信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念，其核心的 内容是实现“集中管理”与“基础支撑”。数据中心的管理中心安全主要是通过 部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、 漏洞扫描系统和安全管理平台等安全设备和系统，完成证书管理、实时监控、统 计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份 认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、 数据库安全审计、应用系统安全审计等一系列功能。1.4.4.2 管理中心安全功能要求1) 证书管理功能主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理， 证书管理应遵循X。509规范和国家PKI标准，采用成熟的已经通过鉴定的服务 器密码机做加、解密及签名运算，为用户提供高密级的信息安全服务。证书管理应不仅能够提供用户注册、审核，密钥产生、分发，证书签发、制 证及发布等基本功能，还应能为其它应用系统提供证书下载，在线证书状态查询、 可信时间等服务，并进行综合管理,使其它系统能够更方便的利用电子认证基础 设施实现安全应用.2) 实时监控功能能从总体上对各安全构件提供简便、易用的导向式监控，能从总体上和细节 两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进行分 类，可依据分类进行简单、直观的实时监控。提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警 方式。提供实时监控页面即时切换，并可对实时监控项和图形化统计项进行自定 义布局，完成管理员最关心的实时监控和事件统计配置和显示。3）统计分析功能 提供事件统计，并可将结果生成统计报表。可提供了预定义统计和自定义统 计模式。预定义统计分析主要针对系统自身信息的统计报表，可主要包括事件统 计、密钥统计、设备统计、用户统计和日志统计五大类。根据实际的统计需求，对统计项进行自定义配置。配置后，统计信息可在实 时监控页面中实时显示，也可以通过统计分析进行查看。统计结果以图形化方式 呈现，呈现方式多样，至少可支持柱图、饼图、趋势图等，并为关联分析提供支 撑。4）配置管理功能 能够对应用系统中的安全设备进行统一配置管理 .配置管理应可按照业务和 资产重要程度和管理域的方式对业务和资产进行统一配置管理，提供便捷的添 加、修改、删除、查询功能，便于管理员能方便地查找所需的业务和资产信息， 并对业务和资产属性进行维护。5）密钥管理功能 对密钥全生命周期（产生、存储、分发、更新、撤销、停用、备份和恢复） 的统一管理,确保密钥全生命周期的安全.6）日志管理功能 使审计员可以通过日志管理对密钥日志、系统日志进行事后审计和追踪，作 为日志审计的依据。密钥日志应主要包括密钥生成日志和密钥分发日志；系统日 志应主要包括操作日志、监控日志和运行日志。日志管理应可提供强大、完善的 日志查询和检索功能，满足审计员对日志的审计和查询需求.7）系统管理功能 通过系统管理中配置对系统自身进行各种参数配置和管理，应主要包括服务 器管理、组件管理、监控策略管理等。8）统一用户管理功能 根据用户的数字证书,提供对用户的管理功能，包括用户的主账号（代表用 户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理，用户 属性的统一管理，以及实现用户整个生命周期管理，包括对人员入职、调动、离 职等过程中的用户身份的创建、修改、删除等操作的管理等。统一用户管理应支 持分级管理功能。9) 统一身份认证功能 基于数字证书完成用户与客户端认证设备之间的认证,实现基于 PKI 的握手 协议,实现不同系统和设备之间的身份认证有效统一，保护系统访问的安全性。 统一身份认证还应支持多级认证功能.10) 资源授权及访问控制管理功能基于数字证书，并采用基于 RBAC 的技术，在用户进行信息系统的资源访 问及使用时，实现不同用户、不同角色对不同资源的细粒度访问控制。资源授权 及访问控制应支持分级管理功能。11) 单点登录管理功能 基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录，即 用户登录到网络以后，便能在安全可靠的前提下，访问任何应用程序而无需再次 进行身份验证；单点登录应同时提供针对 B/S 系统与 C/S 应用系统的单点登录 功能。12) 网络安全审计功能 配合网管系统,实现对网络异常行为及安全事件的审计。13) 主机安全审计功能 实现用户对主机操作行为的审计。14) 数据库安全审计功能 实现对数据库操作行为的审计。15) 应用系统安全审计功能 实现对应用系统操作行为的审计。1.5 安全设备及系统根据智慧城市的业务发展的需要，为保障数据中心的计算环境安全、区域边 界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署 VPN 加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防 病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及 系统来保障整个数据中心系统的安全运行。各安全设备及系统的功能要求如下：1.5.1 VPN 加密系统VPN 的身份认证通过 LADP 协议可以与认证服务器建立认证关系，也可以 与PKI/CA服务器建立联系在终端导入证书,VPN加密技术采用DES、3DES、 AES、IDEA、RC4等加密技术，通过上述的加密技术，保证视频、信令、数据在 公共网络中传输安全。智慧城市数据中心VPN加密系统功能要求如下：1. 支持丰富的c/s、B/S应用；2. 支持多种认证方式，如用户名+ 口令、RADIUS、AD、LDAP、USB Key；3. 证书、证书+口令、双因子认证等；4. 支持多种终端设备接入（包括window平台、linux平台、andriod平台）；5. 支持IP层隧道模式，支持VoIP;6. 支持多ISP连接；7. 支持统一安全管理系统的统一管理；8. 支持双机备份和负载均衡；9. 终端安全接入控制；10. 基于角色的访问控制；11. 完善的信息与状态监控;12. 支持主机绑定;13. 客户端安全控制；14. 支持基于用户的终端安全检查;15. 支持分支机构的局域网接入。1.5.2 入侵防御系统入侵防御系统是一种软、硬结合的计算机系统，它能通过攻击特征库匹配、 漏洞机理分析、应用还原重组、网络异常分析等主要技术实现了精确抵御黑客攻 击、蠕虫、木马、后门，抑制间谍软件、灰色软件、网络钓鱼的泛滥，全面防止 拒绝服务攻击和服务溢出分布式攻击。智慧城市数据中心入侵防御系统功能要求如下：1. 坚固的入侵防御体系：完善的攻击特征库;漏洞机理分析技术，精确抵御 黑客攻击、蠕虫、木马、后门；应用还原重组技术，抑制间谍软件、灰色软件、 网络钓鱼的泛滥；网络异常分析技术，全面防止拒绝服务攻击;2. 动、静态检测功能:动态检测与静态检测融合,基于原理的检测方法与基 于特征的检测方法并存；3. 网络防病毒技术：文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶 意软件、灰色软件,病毒库;病毒类型根据危害程度划分为:流行库、高危库、普 通库；4. 防 DoS 攻击能力：有效抗拒绝服务攻击，阻断绝大多数的 DoS 攻击行为。1.5.3 防火墙系统防火墙是传输与网络安全中最基本、最常用的手段之一，防火墙可以实现数 据中心内部、外部网络之间的逻辑隔离,达到有效的控制对网络访问的作用。防 火墙可以做到网络间的单向访问需求,过滤一些不安全服务；防火墙可以针对协 议、端号、时间、流量等条件实现安全的访问控制。防火墙具有很强的记录日志 的功能可以对不同通信网络所要求的策略来记录所有不安会的访问行为.智慧城市数据中心防火墙系统功能要求如下：1. 攻击防范能力：能防御 DoS/DDoS 攻击（如 CC、SYNflood、DNS Query Flood、 SYNFlood、UDPFlood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、LargelCMP 报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC 绑定、内容过滤等功能；2. 状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术；支 持应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数 据包，支持对应用层协议的状态监控；3. 完善的访问控制特性：支持基于源IP、目的IP、源端口、目的端口、时 间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式 进行访问控制；支持流量管理、连接数控制、IP+MAC绑定、用户认证等；4. 应用层内容过滤:可以有效的识别网络中各种P2P模式的应用，并且对这 些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮 件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；5. NAT应用支持:提供多对一、多对多、静态网段、双向转换、IP和DNS 映射等NAT应用方式；支持多种应用协议正确穿越NAT功能；6. 认证服务：支持本地用户、RADIUS、TACACS等认证方式。支持基于用户 身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图 分级，对于不同级别的用户赋予不同的管理配置权限；7. 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件 监控和统计功能、邮件告警功能.1.5.4 安全审计系统安全审计系统是按照一定的安全策略，利用记录、系统活动和用户活动等信 息,检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或 改善系统性能的过程.它是记录与审查用户操作计算机及网络系统活动的过程， 是提高系统安全性的重要举措.智慧城市数据中心安全审计系统功能要求如下：1. 敏感行为记录：支持用户可基于网络应用的具体情况，自定义敏感的网 络访问行为数据特征,系统可以根据策略对于敏感事件实时记录、显示和阻断;2. 特定网络连接实时监视功能：支持用户通过会话监控功能对正在进行的 连接会话内容进行实时监控，并支持手工阻断、自动阻断功能;3. 流量审计：支持对IP、TCP、UDP、ICMP、P2P等应用协议的流量监测， 提供基于IP地址、用户组、应用协议类型、时间、端口等组合流量审计策略； 可分析网络流量最大值、均值、总值、实时流量、TOPN等；4. 网络管理行为审计：支持TELNET、FTP访问审计，记录TELNET、FTP访问 的时间、地址、账号、命令等信息；对违反审计策略的操作行为实时报警、记录；5. 互联网行为审计：支持对网页访问、论坛、即时通讯、在线视频、 P2P 下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理；6. HTTP 协议审计：中英文 URL 数据库,超过十种分类，如不良言论、色情 暴力等;可过滤非法不良网站，并支持用户添加自定义URL；支持针对URL、HTTP 网页页面内容、HTTP搜索引擎的关键字过滤；7. SMTP 协议审计：支持 SMTP、POP3、WEBMAIL 等协议,支持基于邮箱地址、 邮件主题、邮件内容、附件名的关键字审计策略；针对符合审计策略的事件，提 供实时告警、阻断和信息还原；8. FTP 协议审计:支持基于 IP 地址、用户组、时间、命令关键字等组合审 计策略，可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等；9. 数据库访问行为审计:支持对 ORALCE、SQL SERVER、MY SQL、DB2、Sybase、 Infomix 等数据库,实时审计用户对数据库的所有操作（如创建、插入、删除等）， 精细还原操作命令,并及时告警响应；10. Windows远程访问行为审计：支持对NETBIOS协议审计，记录具体时间、 地址、具体操作等;11. 认证审计功能:支持在不修改原系统配置的情况下，对访问用户进行基于CA证书的强身份认证，并支持统基于授权认证按访问者的身份进行为审计；12. 通讯加密：与安全中心间的通信采用强加密传输告警日志与控制命令， 避免可能存在的嗅探行为，实现了数据传输的安全。1.5.5 漏洞扫描系统通过部署漏洞扫描系统，可以对数据中心主机服务器系统（LINUX、数据库、 UNIX、WINDOWS）、交换机、路由器、防火墙、入侵防御、安全审计、边界接 入平台等等设备，实现不同内容、不同级别、不同程度、不同层次的扫描。对扫 描结果，可以报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性 分析和解决方案。智慧城市数据中心漏洞扫描系统功能要求如下：1. 能够对网络（安全）设备、主机系统和应用服务的漏洞进行扫描,指出有 关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告,并针对检测到 的网络安全隐患给出相应的修补措施和安全建议；2. 漏洞管理功能漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个 阶段。漏洞预警:最新的高风险漏洞信息公布之际，在第一时间通过邮件或者电话的方式向用户进行通告，并且提供相应的预防措施;漏洞分析：对网络中的资产进行自动发现，并且按照资产重要性进行分类。再采用业界权威的风险评估模型对资产的风险进行评估；漏洞修复：提供可操作性很强的漏洞修复方案，同时提供二次开发接口给第三方的补丁管理产品进行联动，方便用户及时高效地对漏洞进行修复;漏洞审计：通过发送邮件通知的方式督促相应的安全管理人员对漏洞进 行修复，同时启动定时扫描任务对漏洞进行审计.3. 安全管理功能系统将所发现的隐患和漏洞依照风险等级进行分类，向用户发出不同的警告提示，提交风险评估报告，并给出详细的解决办法；系统对可扫描的IP地址进行了严格地限定，有效地防止系统被滥用和盗 用;扫描数据结果与升级包文件采用专用的算法加密，实现扫描漏洞信息的 保密性，升级数据包的合法来源性；系统具有定时扫描功能，用户可以定制扫描时间，从而实现自动化扫描, 生成报表。4. 策略管理功能系统可定义丰富的扫描策略，包括完全扫描、LINUX、数据库、UNIX、 WINDOWS、不含拒绝服务、网络设备、路由器、防火墙、20大常见漏洞等内置策 略。实现不同内容、不同级别、不同程度、不同层次的扫描；系统针对不同用户的需求，可定义扫描（端口）范围、扫描使用的参数集、扫描并发主机数等具体扫描选项，对扫描策略进行合理的组合，更快、更有效地 帮助不同用户构建自己专用的安全策略。1.5.6 网络防病毒系统在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒 策略，实施统一的防病毒策略，使分布在数据中心每台计算机上的防病毒系统实 施相同的防病毒策略，全网达到统一的病毒防护强度。同时防毒服务器实时地记 录防护体系内每台计算机上的病毒监控、检测和清除信息，根据管理员控制台的 设置，实现对整个防护系统的自动控制.智慧城市数据中心网络防病毒系统功能要求如下：1. 病毒防范和查杀能力：开启实时监控后能完全预防已知病毒的危害；可 防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性 程序、病毒邮件；能有效预防、查杀映像劫持类型的病毒；可以防范网页中的恶 意代码；压缩文件、打包文件查杀毒（在不加密的情况下，不限层数）；内存查 杀毒、运行文件查杀毒、引导区查杀毒；支持图片、视频等多媒体文件的查杀毒; 邮件接收、发送检测;邮件文件静态检测、杀毒；同时支持 Foxmail、Outlook、 OutlookExpress、Notes 和 Mozilla 等常见客户端邮件系统的防（杀）病毒;能 够有效查杀各类 Office 文档中的宏病毒 支持共享文件的病毒查杀;具有未知病 毒检测、清除能力；2. 升级管理依据策略，全网统一自动升级，不需要人为干涉；A增量升级（包括系统中心从网站升级，客户端从系统中心升级，下级中心；从上级中心升级），以减少升级时带来的网络流量；可设置升 级周期和升;级时间范围，实现及时升级并避免升级时占用网络带宽影 响用户正常业务的通讯;在与Internet隔离的内部网络中，提供多种升级方式，包括：自动在 线升级、手动升级、下载离线升级包升级等。3. 集中管理支持多级系统中心，并能够对每级系统中心及所属客户端进行统一升级，统 一管理；支持多个管理员分组管理;允许管理员通过单一控制台,集中地实现所有 节点上防毒软件的监控、配置、查询等管理工作,包括 Unix、Linux 系统上的防 （杀）病毒软件；控制台可跨网段管理,管理不依赖网络拓扑结构。1.5.7 PKI/CA 身份认证平台PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络，在同 一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。 PKI 从技术上解决了网络通信安全的种种障碍，CA从运营、管理、规范、法律、人 员等多个角度来解决了网络信任问题.智慧城市数据中心PKI/CA身份认证平台功能要求如下：1.5.7.1 CA 系统1. 证书管理：包括证书申请、证书下载、证书更新、证书注销、证书冻结、 证书解冻、证书查询、证书归档；2. 模板管理：包括通用证书模板、签名证书模板、加密证书模板、设备证 书模板、SSL服务器证书模块等，当国家/国际标准表扩展域无法满足模板要求 时，可以使用自定义扩展域OID +编码方式+ VALUE自定义模板；3. 审计管理；包括业务审计、日志审计等功能，并且支持日志防篡改；4. 支持总CRL、分CRL、增量CRL、支持CRL重叠期，可以根据模板指定CRL 发布点；5. 系统支持SM2算法及RSA算法.1.5.7.2 RA 系统1. 证书管理；包括证书申请、证书下载、证书查询、证书更新、证书冻结、 证书解冻、证书注销、批量申请证书、批量证书审核、批量下载证书；支持批量 发送自动过期证书通知，管理员可以定时自动获取系统内将过期证书通知；2. 用户管理；包括用户组管理、添加用户、修改用户、删除用户、冻结用 户、解冻用户、注销用户;3. 机构管理；包括机构信息管理、添加机构、修改机构、删除机构、导出 机构、导入机构；4. 权限管理；包括业务录入员、审核员、制证员、人事录入员、审核员、 审计管理员；5. 审计管理；包括业务审计、日志审计等功能，并且支持日志防篡改；6. 用户自主服务；包括自主下载证书、自主更新证书、下载根证书、下载CRL;支持灵活控制的自主服务模式和可扩展的用户身份验证模式；7. 支持直接下载用户申请成功的证书,并制作到用户证书载体中,证书载体 包括：软盘、USB Key和IC卡等.1.5.7.3 KMC 系统KMC系统主要负责对用户加密密钥的产生、存储、分发、查询、注销、归档 及恢复整个生命流程实施管理；密钥管理中心的功能从整体上来分，主要分为密 钥管理、管理中心结构管理、授权管理、密钥恢复、审计管理功能。1.5.7.4 目录服务系统1. 查询功能;2. 更新功能；3. 复制功能;4. 引用功能。1.5.7.5 用户属性管理系统1. 用户身份管理；2. 用户属性管理；3. 下级平台用户自主管理及证书申请、下载服务；4. 查询服务；5. 同步服务。1.5.7.6 身份认证网关1. 支持证书身份认证身份认证网关支持PKI/CA数字证书认证，包括:用户数字证书完整性验证、 CRL更新、OCSP证书校验、支持多级CA颁发的证书、支持单双向认证选择、支 持旁路认证及主路认证多种方式；2. 支持 b/s 和 c/s 应用；3. 支持数据加密及数据完整性保护 提供对敏感数据进行加密,实现敏感数据保密，不被窃取;对重要业务流程或敏感数据进行数字签名,签名结果作为依据,实现网络行为不被否认；4. 支持访问控制 支持应用维护功能可以配置系统用户控，制通过验证的用户是否可以访问应用系统5. 支持单点登录 支持多个应用系统之间的单点登录,即一次登录，多次使用。用户通过网关认证后，系统认证平台通过Cookie机制维护该用户的会话信息，用户登录应用 系统时,无需再次认证。极大的简化了用户登录应用系统的步骤,使应用更加流 畅；6. 安全审计及监控 对访问网关的用户行为进行详细记录，并且对记录的审查作权限控制，有效地实现了责任认定和系统使用情况分析。对专网整个认证中心建设中各种PKI/CA设备、系统、服务进行有效的集中 监控与管理，解决PKI体系庞大带来的难维护、难管理等问题；对证书的发放以 及应用访问的审计。1.5.8 接入认证系统接入认证系统实现了基于 802.1X 的用户名和密码的身份认证，并且采用用 户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑 定的方式，来保证数据中心设备接入安全.智慧城市数据中心接入认证系统功能要求如下：1. 可支持基于用户名和密码的身份认证，并且支持用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定；2. 针对用户终端进行系统状态安全检查,包括应用软件的安装及使用、病毒 库版本更新、终端补丁检查、非法外联等,并且支持对瑞星、江民、金山、趋势 科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、N0D32等厂商的 防病毒软件的检测和联动；3. 在用户终端通过安全检查后，可以基于用户的权限,向安全联动组件下发 事先配置的 ACL 策略，实现分级分权限的细粒度用户网络行为管理；4. 通过对 USB 进行监控方式，避免重要文件通过移动存储设备进行非法拷 贝，有效的避免了机密文件的泄露；5. 支持 802.1X 用户身份认证，可与主流厂商的交换机实现安全联动，强制 检查用户的安全状态，如果不符合要求则无法接入企业内网或只能访问隔离区资 源，进一步保护企业内网的安全.1.5.9 安全管理平台安全管理平台的目标是要确保全局的掌控，确保整个体系的完整性 ,而不仅 限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监 控体系，确保整个体系的可追究性。SOC 系统是信息安全保障系统的核心，主要体现在对视频专网全局掌控、 预警能力和应急响应处理能力.全局预警就是要建立全局性的安全状况收集系统, 对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事 件进行响应。SOC充分利用所掌握的空间、时间、知识、能力等资源优势，形 成全局性的资源协调体系，为系统的全局可控性提供有力的保障。 SOC 在设备 管理和安全事件管理方面外,应该对公安行业的制度和工作方式在视频业务流程 中得以体现，主要表现为工作流的驱动，工单的管理，以及处理结果的反馈。