涉密云 云数据中心 技术架构 标准体 系保障 检察专网 职务犯罪侦查与预防 应急处 理平台 其他相关部门 核心交换区 互联网 ISP1 ISP2 网络审计 检测探针 下一代防火墙 安 全 管 理 区 日志审计 堡垒机 防病毒 安全感知 平台 漏洞扫描 … … 数据库 司法监督 两法衔接 文化监督 … … 接入控制 电子档案 检视通 业务协同 VPN 链路负载均衡 链路负载均衡 专 网 办 公 区 最高检 安全隔离交换区 下一代防火墙 互 联 网 接 入 区 链路负载均衡 核心交换区 检测探针 APT 检测 安 全 管 理 区 日志审计 堡垒机 防病毒 安全感知 平台 漏洞扫描 接入控制 用 户 区 … … 门户网站 举报服务 门户网站 检务公开 上网行为管理 路由器 互联网业务区 核心业务区 音视频业务区 超融合架构 移动设备管控 自动化封装服务 企业应用商店 设备管理 外设控制 应用控制 网络控制 推送服务 IM 消息审计 地理围栏 时间围栏 远程控制 合规性检查 LDAP/Radius/CA 认证 应 用 服 务 身份认证 SSL VPN 安全接入 单点登录 安全审计 统一认证与安全接入 IPSec VPN 组网 移动终端安全 + 传输加密安全 + 应用与设备安全管控 智慧移动安全解决方案

公路治超解决方案整体网络方案架构 运营商 专线 CPE CPE CPE/RR 无线 4G/ 移动 承载 Internet NCE-Campμs 控制器 漏扫 日志审计 数据库审计 安全态势 物联网关 物联网关 漏扫 日志审计 数据库审计 安全态势 省治超平台 信息发 布子系 统 其它 系统 视频监 控和车 牌识别 子系统 车辆轮 廓检测 子系统 信息发 布子系 统 视频监 控和车 牌识别 治超执法协同 车牌识别 摄像头 车牌抓拍系统 车辆轮廓系统 激光雷达 全景监控 + 状态信 息板 站点全景状态信息板 非现场治超 边缘一体机 移动承载移动网 审计 CIS 探针 …… 漏扫 数据库审计 日志审计 堡垒机 整全 数据中心 非现场执法站点 协同网络 省治超平台 高速光纤专网 一体化站点，运维“无忧”  一体化设计：智能回传一体机网络 + 配 电一体化设计，高度集成，快速部署 县治超 县治超 县治超 固定治超站点 非现场治超站点 FW AR FW AR FW AR …… 漏扫 日志审计 数据库审计 安全态势 漏扫 日志审计 数据库审计 安全防护 漏扫 日志审计 数据库审计 安全防护 安全防护 日志审计 安全防护 … 日志审计 安全防护 … 日志审计 安全防护 … 云协同 云协同，构建治超全全体系 治超平台设计 协同网络设计 非现场治超智慧站点设计

....147 - V - XX 市智慧城市移动服务及应用平台建设项目初步设计及概算 6.2.6 数据库安全审计系统..................................................................149 6.2.7 运维审计系统........................................................ 火墙和隔离装置，在主机系统核心交换机内部署入侵检测系统。系统部署网络 防病毒系统和防木马系统，以防止病毒和恶意代码对系统的威胁。采用安全审 计系统对内网服务器和主机、设备进行综合的安全防护和审计。对数据库管理 系统进行安全加固，部署相应的安全策略，通过合理配置安全属性以提高数据 库管理系统的安全性。对系统范围内的计算机及网络设备进行安全加固，部署 相应的安全策略，通过合理配置设备的安全属性以提高计算机及网络设备的安 市智慧城市移动服务及应用平台建设项目初步设计及概算 装置，在主机系统核心交换机内部署入侵检测系统。系统部署网络防病毒系统 和防木马系统，以防止病毒和恶意代码对系统的威胁。采用安全审计系统对内 网服务器和主机、设备进行综合的安全防护和审计。对数据库管理系统进行安 全加固，部署相应的安全策略，通过合理配置安全属性以提高数据库管理系统 的安全性。对系统范围内的计算机及网络设备进行安全加固，部署相应的安全

66 2.9.3 基于多级信任保护的访问控制...............................................................70 2.9.4 云平台安全审计....................................................................................72 2.9.5 云计算综合安全网关 ...............................71 图表 48 云存储安全审计体系结构......................................................................................73 图表 49 安全日志审计系统结构图.......................................... 系统设计实施与关键技术方法 操作：也可称之“运行”，它体现了安全保障体系的主动防御，如果说技术 的构成是被动的，那操作和流程就是将各方面技术紧密结合在一起的主动过程， 运行保障至少包括安全评估、入侵检测、安全审计、安全监控、响应恢复等内 容。 信息安全保障体系的实现就是通过建立安全组织、安全管理和防护技术体 系，协调组织、技术、运作三者之间的关系，明确技术实施和安全操作中技术 人员的安全职责，从网络

XX 旅游数据中心大数据集成应用平台设计方案网络安全要求符合 XX 市电子 政务有关规定中对信息安全的要求。网络安全要求包括但不限于：系统部署所在 的网络结构安全、设备入侵防范、设备防护、安全审计等。由于本项目系统部署 在云计算中心，所有汇聚的信息在云计算中心已具备网络安全保护。 3. 数据安全性要求 系统要求对地理信息数据、视频监控数据、市旅游局内部系统数据、涉旅数 据、综合业务数据、日志数据等数据信息的安全 数字证书应 用）及不可抵赖性、安全审计、系统的容错性等。 5.应用安全要求 （1）以 CA 认证系统为基础，实现用户与服务资源的双向认证机制；（2） 以基于角色的授权原则，建立与政务信息资源共享平台业务、平台管理人员、部 门管理人员岗位职责相对应的权限管理机制及统一的安全登陆机制；（3）以密 码技术为基础的数据完整与保密机制；（4）对安全事件进行审计机制以及根据 政务信息资源共享平台 回 的数据，实现跨业务系统、跨数据中心的数据共享。 1.4.2.7.4 数据权限管理 数据权限管理系统为用户提供了对数据访问进行细粒度权限控制的功能。 其主要功能有：资源授权、访问策略、日志审计、规则告警等。 1.4.2.7.5 数据服务管理 通过建立服务及相关资源的接入和注册机制，使数据资源可以动态扩展、 持续构建，从而屏蔽数据资源的规格形态、存储位置等信息，为用户提供一致 的访问方式和服务接口。

服务 • MPP 服务 • 卷备份服务 • 整机备份服务 安全服务 • vFW 服务 • 主机漏洞管理 服务 • 主机 WAF 服务 • 入侵检测服务 • 态势分析服务 • 云审计服务 • 弹性伸缩服务 • VAPP 服务 • 自动化运维服 务 • 开发集成服务 一云：云服务目录规划 政务大数据建设背景 1 目录 2 政务大数据解决方案 1. 整体架构 2 统 交换传输子系 统 交换配置管 理 交换管理系统 交换监控管 理 交换系统管 理 抽取、映射 数据处理系统 过滤、转换 比对、校验 跟踪、对账 数据质量管理 核对、审计 元数据管理 编目 目录服务 注册、服务 管理、监控 设计、注册 接口服务 ESB 服务 管理、监控 数 据 共 享 法人库 人口库 地理信息 库 电子证照 库 其他特色库 实 体 、 关 系 搜 索 数据展示 总体架构 应用场景 数据汇聚 数据分析 数据治理 数据安全 数据管理 平台和数据安全管控体系设计 1. 基础设施安全 身份认证 访问控制 数据加密 日志审计 多租户安全 数据水印 数据溯源 完整性保护 数据管理 安全策略 访问校验 细颗粒度访问控制 数据生命 周期管理 2. 数据管理安全 4. 安全分析 智能监测 威胁预测 智能响应

市新型智慧城市建设项目初步设计与投资概算—总册 xxx 市电子政务外网分为核心层、汇聚层、接入层、互联网出口。xxx 市电子政 务外网组网图如下： 第 47 页 政务外网云资源 互联网区云资源 漏洞扫描系统 综合日志审计 医卫专网 综治视频专网 ( 专线 ) 移动互联网 移动互联网 xxx 市电子政务外网 公安视频专网 物联网 xxx 市新型智慧城市建设项目初步设计与投资概算—总册 xxx 电子政务外网 开发活动应遵循的规范 ⚫ 评审计划 ⚫ 审计计划 6.5.2.3.2 质量保证方法 审计是软件质量保证的最基本的活动和手段。审计包括过程审计和产品审计。审 计是把工作产品和项目实际活动与预先定义的标准和流程相比较，从而获得软件项目 状态和软件产品的质量。审计的输出是审计报告，审计报告中包括项目状态和软件产 品的质量的评估结果、原因分析和改进意见。 1、产品审计 产品审计是以计划的内容为基础， 产品审计是以计划的内容为基础， 以目标和方法为依据、对所作的各种技术工作 进行描述，同时提交执行文档，所有提交审查的记录都将保存做为审计线索。 阶段 审计任务 计划开始时间 责任人 项目启动 WBS 计划 项目启动阶段结束 软件质量保证计划 软件配置管理计划 第 70 页 xxx 市新型智慧城市建设项目初步设计与投资概算-总册 第 70 页 xxx 市新型智慧城市建设项目初步设计与投资概算-总册 需求分析

）、访问控制和权限、加密（使 用业界认为安全的算法进行加密并列出算法）、会话管理、日志等功能； 161 （6）系统中所有密码、私钥等相关数据都经过加密后存储； （7）应用系统通过监控、日志、审计与告警等措施来确保其安全运作。重 要的系统操作（如系统配置文件修改，操作员维护等）均被记录日志。应用日志 被安全存储，防止被删除或随意篡改； （8）提供设备、应用授权认证及 Topic 的双向绑定授权，保障设备安全与 数据对象等。支持通过管理界面对应用授权对象进行管理，并通过连接器或接口 进行实时同步。 （2）平台管理权限 支持平台自身的管理权限，平台管理权限默认由超级管理员拥有，支持自定 义平台管理角色（例如身份管理员、系统管理员、审计管理员）并将相关的管理 权限分配给任意用户，支持基于机构的分级授权、用户对自身权限的再分配。 （3）应用级授权 201 支持应用级授权根据用户权限，授予或收回用户在应用系统内部的账号，并 支持基于角色的批量授权，还支持基于用户属性的自动授权（例如财务部用 户自动授予财务系统权限、正式员工自动开通邮箱权限等）和基于工作流的自助 申请审批授权。 5.1.4 合规审计 （1）日志审计 支持提供认证日志、访问日志与合规统计日志。 （2）平台运维审计 支持提供管理员操作日志、平台和容器日志、和运维管理日志。 （3）身份管理统计 支持提供身份管理统计报表，包括组织数据统计、用户数据统计、应用账号

远程容灾：是否需要远程容灾； 安全模板 边界防火墙策略：是否需要边界防护； VPN：是否需要 VPN（开隧道、建用户）； 区域防火墙策略：是否需要区域防护； IDS/IPS：是否需要入侵检测； 安全审计：是否需要安全审计，需要安装 Agent； IT 监控：是否需要 IT 设备监控，需要安装 Agent； PKI：是否需要安全认证服务（CA 证书），需要实现 API； 通用的基础地图数据支持；实时采集数据主要来源于众多智慧城市应用的前端 传感器或信息采集设备，为各项应用的深入分析加工提供数据原料；非结构化 数据主要包括音视频等复杂格式文件等；管理数据包含认证、鉴权、审计、计 量、编码、保密等方面的数据，以及信息编码规范。 关系数据库实例与具体智慧城市应用对应，管理各应用中自有的关系型数 据。在充分满足各应用对数据库需求的基础上，通过数据管理平台的调度下， 用对数据的访问、操作、交换与 共享打下基础。 数据管理平台包含数据访问鉴权、数据注册管理、数据实例路由、数据访 问日志、数据访问计量和数据风险防护等数据事务逻辑，从准确访问、使用权 限、安全审计等方面确保应用对数据的高效使用。 1. 数据访问鉴权： 数据管理平台通过数据访问鉴权，针对来自应用层的数据服务请求，进行 请求发起方身份、权限、要求安全级别的鉴别，访问鉴权的结果供数据注册管

数据分级分类 数据管理子平台 数据交 换 服务管 理 统一监 控 交换级 联 对接联 调 接口开 发 数据 安全 子平 台 加密密钥 管理 数据脱敏 管理 安全审计 分析 敏感数据 发现 数据分级 分类管理 身份认证和 权限管理 大数据基础支撑子平台 并行大数据计算与分布式存储（ HADOOP) 并行分布式关系型数据库（ MPP DB ） 统一数据开放门户 服务管理／统 一监控／交换 级联等） 数据管理子平台 （数据标准管理、元数据管理、数据资产 管理、数据架构管理、数据异常管理、数 据开发统一调度管理、数据质量管理 数据安全子平台 （数据风险审计、风险识 别管理、数据安全管理、 敏感数据管理） 数据智能子平台 （数据探索、智能标签、数据 DNA 、全景监控、画像分析） 运行支撑 安 全 保 障 体 系 标 准 规 范 体 系 统一数据管理门户 防电磁辐射泄漏， 防静电，防火等 内容 网 络 安 全  确保平台网络的 设计、构建和使 用的安全  使用基于网络的 各种相关安全技 术和手段，如防 火墙， IPS ，安 全审计等 系 统 安 全  保证服务器操作 系统，数据库， 中间件在内的平 台相关系统安全  使用安全评估管 理工具所进行的 系统安全分析和 加固 数 据 安 全  确保数据存储与