数据 中心 数据安全  文件分片离散存储  多种备份机制 平台安全  网络边界部署防攻击系统  云主机配置安全防御系统  数据库前端部署数据库防 火墙 应用安全  分布式架构部署模式  应用外围增加第三方 安全框架  主动防御与升级 规范管理  专人管理  一人一账户  短信验证 长效管理规范 ① 建立管理机制 建立分级考核和奖惩激励

数据 中心 数据安全  文件分片离散存储  多种备份机制 平台安全  网络边界部署防攻击系统  云主机配置安全防御系统  数据库前端部署数据库防 火墙 应用安全  分布式架构部署模式  应用外围增加第三方 安全框架  主动防御与升级 规范管理  专人管理  一人一账户  短信验证 长效管理规范 ① 建立管理机制 建立分级考核和奖惩激励

根据政务云中心业务应用特点及平台架构层的特性，在采取传统安全防护基 础上，进一步集成数据加密、VPN、身份认证、安全存储、虚拟化安全、安全防 御设施和资源云化等综合安全技术手段，构建面向应用的纵深安全防御体系。本 项目的安全建设参照等保三级 2.0 要求建设，但主要涉及政务云数据中心基础安 第 34 页 全防护和电子政务云平台自身的安全防护。主要体现如下的几个方面： （1）底层结构安全，主要保障虚拟化平台架构层面安全； （2）基础设施安全，保障数据中心基础设施的稳定性及服务连续性； 基础网络安全：重点是安全域划分：部署防火墙，划分安全域，实施安全边 界防护；异常流量监测与攻击防范：进行流量实施监控，部署 DDoS 攻击防御系 统或使用相关攻击防护服务；采用负载均衡设备，实现承载网络应支持设备级、 链路级的冗余备份； 主机及管理终端安全：主机/终端系统安全加固：补丁管理、安全配置；安全 防护：控制蠕虫/病毒/木马在云计算平台内传播，非法入侵监测； 运营安全：制定安全运营策略及安全维护规章要求；制定数据中心运营维护 SLA 指标要求；制定数据中心安全事件应急响应机制及流程，包括安全事件的等 级划分、处理流程、事件上报等规范要求。 采用“分区分域、重点保护”的建设原则，和“综合防御、积极防范”的建设思路， 结合信息系统实际的网络环境，遵循方案的整体设计原则，为政务云平台建设一 个安全、稳定、可靠、实用高效的网络安全基础平台。 3.1.8.2 安全设计原则 政务云安全体

根据政务云中心业务应用特点及平台架构层的特性，在采取传统安全防护基 础上，进一步集成数据加密、VPN、身份认证、安全存储、虚拟化安全、安全防 御设施和资源云化等综合安全技术手段，构建面向应用的纵深安全防御体系。本 项目的安全建设参照等保三级 2.0 要求建设，但主要涉及政务云数据中心基础安 第 34 页 全防护和电子政务云平台自身的安全防护。主要体现如下的几个方面： （1）底层结构安全，主要保障虚拟化平台架构层面安全； （2）基础设施安全，保障数据中心基础设施的稳定性及服务连续性； 基础网络安全：重点是安全域划分：部署防火墙，划分安全域，实施安全边 界防护；异常流量监测与攻击防范：进行流量实施监控，部署 DDoS 攻击防御系 统或使用相关攻击防护服务；采用负载均衡设备，实现承载网络应支持设备级、 链路级的冗余备份； 主机及管理终端安全：主机/终端系统安全加固：补丁管理、安全配置；安全 防护：控制蠕虫/病毒/木马在云计算平台内传播，非法入侵监测； 运营安全：制定安全运营策略及安全维护规章要求；制定数据中心运营维护 SLA 指标要求；制定数据中心安全事件应急响应机制及流程，包括安全事件的等 级划分、处理流程、事件上报等规范要求。 采用“分区分域、重点保护”的建设原则，和“综合防御、积极防范”的建设思路， 结合信息系统实际的网络环境，遵循方案的整体设计原则，为政务云平台建设一 个安全、稳定、可靠、实用高效的网络安全基础平台。 3.1.8.2 安全设计原则 政务云安全体

网络 通 讯安全 基础安全 容灾备份安全 安全门禁 服务器安全 备份电源 机房屏蔽系统 防火墙 访问控制 病毒防护 安全测略 安全审计 数据审计 攻 击 防 护 入侵防御 WAF 堡垒机 抗 DDoS VPN 智慧党建平台安全架构 管理安全筑牢根基，运营安全保障动态，技术安全加固应用，云内安全守护环境，安全评估把控风险。 安全日常扫描 系统安全检测 操作零门槛，全局情况“张口即得” 打破传统技术壁垒，只需用自然语言提问，系统 即时输出对应报表，实现“想问就 问、 即问即答”。 让党建全局数据从“藏在系统里 ” 变为“随问随现”。 异常预警化，潜在问题“主动提示” 预警信息可一键推送至相关负责人，形成“发现问 题 - 推送责任方 - 跟踪整改”的闭环，让数据不仅 用于“看” , 更能推动“改”。 云南省第一人民医院委员会智慧党建大数据 组织体系综合分析 (7) 超 党地织列 拳 · 期系方式 M i T ” 查 瓶 一世 : 度 等移积 6 56 元 a1 5 精准识别：动态标签锁定流动状态 突破传统“党员主动报备”模式，基于流动党员大模型，智能生成“流动标签” , 自动触发识别机制，避免“隐性流动”党员漏管。 动态追踪：全周期轨迹可视化 建立“流动轨迹档案” , 形成“流出 - 流入 - 活动”闭环记录。管理员通过地图

应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性， 在保证性能的前提下，为主要业务提供 7x24 小时持续的支撑服务。 2、安全性 平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数 据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作 行为的可回溯能力。同时，应能提供独立的机房、专用的门禁及专享的运营管 理团队，确保机房及信息化云服务平台运行的安全。 3、可扩展性 各平 检 测 清 洗 ， 包 括 NTP REQUEST FLOOD、NTP REPLY FLOOD 等攻击检测，支持基于 NTP 请求限 速、NTP 响应限速、源认证、会话认证的防御策略。 入侵防 御系统 入侵防御系统软件全功能模块使用授权开启，要求提供三年原厂 7x24 小时软硬件售后保修和软件升级服务。 【性能参数】网络层吞吐量 10Gbps，IPS 吞吐量 4Gbps，并发连结数 署。其中，链 路负载均衡支持 ipv6 以及多种链路调度功能，安全网关为国际领先的下一代防 火墙，创新融合网络层防火墙与入侵防御能力，通过一次拆包多次分析技术提 升处理效果和网络体验，对网络流量的深度解析，即使准确发现非法入侵攻击 行为，并执行实施精确阻断，主动而高效的保护用户网络安全。  链路负载均衡 本方案建设充分考虑后续数据中心扩展性，采用链路负载均衡，后续网络 和应用系统的

的安全管控。 • 对平台内数据进行安全运营。 引入具有可信背景的第三方安全监督机构必要性 机构职能 • 规划与建设大数据平台安全技术保障体 系，覆盖采集、传输、存储、加工、发 布等数据生命周期内，包含防御、检测、 审计等的多重安全功能。 • 制定大数据安全制度与流程，如数据安 全管理办法、数据分类分级标准；数据 输入、输出审核 标准与 流程等。 • 梳理与完善政府、数广和本机构三方应 承担的安全职责，确保工作界面清晰， 根据安全监督机构的角色与定位，其应该承担以下的各项安全职能。 安全监督机构的职能建议 政务大数据安全体系 总体思路：以“数据安全”为核 心 ，从安全技术、安全管理、安全服务三个方面打造“全局、可控、智能、主动的”大 数据安全体系。 大数据基础安全  基础安全是大数据平台的安全基础，是指在物理环境、网络、服务器、终端和应用中通用的安全技术，所有业务系统都 应考虑的安全技术防护措施。联通会对标信息

型号 控制域 部署数量 1 安全硬件 防火墙（南北向） 防火墙系统 V3.6.6.0 / NSG3300-3620-F （万 兆） /V3.6.6.0 安全区域边界 8 2 入侵防御（南北 向） 入侵防御系统 V1.1 / P3300-3610-F （万兆） /V1.1 安全区域边界 6 3 DDos 防范 抗拒绝服务系统 V4.0 安全区域边界 6 4 网络安全审计 网络安全审计系统 云安全管理平台 云安全管理平台软件 V2.0 / 服务器端 安全管理中心 2 16 虚拟机安全（东西 向） 统一服务器安全管理系统 V8.0 / M6160 安全计算环境 视虚拟机数量 17 入侵防御 云安全管理平台软件 V2.0 / 虚拟组件 安全区域边界 4 18 防火墙 云安全管理平台软件 V2.0 / 虚拟组件 安全区域边界 4 数据库审计 云安全管理平台软件 V2.0 / 虚拟组件 安全管理中心 云管平台（安全组件）、综合日志审计、堡垒机 + 双因子、态势感知系统、 SOC 、 … 主机防护、 防病毒、 安全浏览 器、 US BKEY… 用户 层面 虚拟防火 墙、虚拟 入侵防御、 云堡垒机 … 云平 台层 面  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系； 信创云等保安全框架 41 云计算平台由设施、硬件、资源抽象控制层、 虚

型号 控制域 部署数量 1 安全硬件 防火墙（南北向） 防火墙系统 V3.6.6.0 / NSG3300-3620-F （万 兆） /V3.6.6.0 安全区域边界 8 2 入侵防御（南北 向） 入侵防御系统 V1.1 / P3300-3610-F （万兆） /V1.1 安全区域边界 6 3 DDos 防范 抗拒绝服务系统 V4.0 安全区域边界 6 4 网络安全审计 网络安全审计系统 云安全管理平台 云安全管理平台软件 V2.0 / 服务器端 安全管理中心 2 16 虚拟机安全（东西 向） 统一服务器安全管理系统 V8.0 / M6160 安全计算环境 视虚拟机数量 17 入侵防御 云安全管理平台软件 V2.0 / 虚拟组件 安全区域边界 4 18 防火墙 云安全管理平台软件 V2.0 / 虚拟组件 安全区域边界 4 数据库审计 云安全管理平台软件 V2.0 / 虚拟组件 安全管理中心 云管平台（安全组件）、综合日志审计、堡垒机 + 双因子、态势感知系统、 SOC 、 … 主机防护、 防病毒、 安全浏览 器、 US BKEY… 用户 层面 虚拟防火 墙、虚拟 入侵防御、 云堡垒机 … 云平 台层 面  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系； 信创云等保安全框架 41 云计算平台由设施、硬件、资源抽象控制层、 虚

防火墙 入侵检测防御系统 链路负载均衡 管理机 服务器 数据库 WEB 防火墙 漏洞扫描 网络安全审计 数据库防火墙 安全管理平台 网络安全监测 VPN 联通 1G 移动 1G 五、建设内容— 5.3 机房环境建设 出口网关 核心交换机 万兆服务器接入交换机 链路负载均衡 应用负载均衡 网络系统 联通 1G 出口带宽 安全防护 移动 1G 入侵检测防御 防火墙 WEB