：对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 n 安全管理中心 ：对定级系统的安全策略及安全计算环境、 安全区域边界和安全通信网络上的安全机制 实施统一管理的平台。 n 定级系统互联 ：通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全 保护环境之间的安全连接。 n 跨定级系统安全管理中心 ：对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安 区域边界 通信网络 安全管理中心 1.2 防护框 架 u 不同定级系统之间的信息交互需要经过多级互联平台的仲裁； u 多级互联平台在信息交互过程中 ，从更高层次实现了基于安全策略的全局判断； u 多级互联平台防止定级系统敏感信息外泄、 攻击入侵； u 跨级互联管理中心实现了全系统策略的统一和协调。 1.2 防护框 架 工业控制系统：安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架 网络三重防御多级互联技术框架 边 界 防 护 边 界 防 护 生产监控 计算环境 边 界 隔 离 安全管理中心 安全管理中心 安全管理中心 系统 安全 审计 安全管理中心 互联网 现场控制 计算环境 企业管理 计算环境 1.2 防护框 架 1.2 防护框架 IEC 62443 工控安全防护框架 3 4

集约共享 开放接口 等保 2.0 通用方案设计思路 分级分域——划分丌同级别安全域 通信网络——网络架构及通信传输 区域边界——访问控制及检测防护 计算环境——入侵防范及数据安全 管理中心——集中管控及安全审计 “ 云安全服务平台（等保场景）”创新方案 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务 安全运营服务 下一代防火墙 上网行为管理 需要满足等级保护相关要求； 2. 多校区全网威胁管理。 三、方案设计 1. 安全区域边界：应用下一代防火墙： 部署在数据中心出口，对丌同分校接 入到数据中心的数据进行安全防护。 2. 安全管理中心：部署在运维管理区， 对数据进行持续性检测，保障核心数 据安全。 3. 应急分析不处置服务：配套安全服 务，发现问题后实现快速响应。 网站服务器 APP 系统 案例分享 - 企业 一、项目背景 运维能力弱，无法形成安全闭环； 4. 业务于化带来新的安全挑战。 三、方案设计 1. 于上安全：采用于内安全方案，解决于内东西向流量 可视及访问控制问题，对亍于内流量状态进行实时展示。 2. 安全管理中心：部署安全感知平台，通过设备联劢并 结合“人机共智”安全运维，对告警进行及时响应。 安全服务 安全感知平台 堡垒机 漏扫 网络防病毒 防火墙（利旧） 汇聚交换机 办公终端、

意义：解决冷链企业入驻经营问题，线上大宗交易 服务平台。 PART 2 ：智慧冷链产业园整体解决方案 冻品大宗交易 / 集采中心 生产加工中心 n 建设思路 12 冷链 仓储管理中心 冷库管理，共享库位、 共享库存，按批次、 品 类品种、 规范管理，最 终实现一品一码。 品类 品种库存共享 冷链 智慧物流中心 解决交易物流配送 品牌建设 营销中心 为企业及消费 者提供金融及 产业金融服务 冷链 金融服务中心 食安检测追溯 管理中心 PART 2 ：智慧冷链产业园整体解决方案 冻品质量监督管 理、 溯源管理， 品质保障 n 建设思路 14 冷链产业园管理中心 智慧冷链产业园管理中心的建设旨在为 产业发展服务，包含园区基础设施管理， 园区资产管理、 园区企业管理、 园区运 渠道推广 抖音、 博客论坛 新媒体营销 微信公共帐户 SEO 优化 中 控 大 屏 数据运营 财务管理 运营中心 检验检疫中心 数据模型 主数据 组织管理中心 数据开放 统一数据服务 WMS 中心 ...... 智能硬件 移动端 数据沙盘 小 程 序 微信端 PC 端 18 n 建设规划 围绕冷链产业园综合服务平台，以流通服务为核心，从集中交易、

云硬件管 理中心 云数据 管理中心 云安全管 理中心 云远程 控制中心 云应用库 管理中心 云认证管 理中心 实现为云平台提供统一的数据管理服务，集中平台所有的基础 数据、业务数据、信息资源，是云平台所有数据进行集中、抽 取、管理、同步、备份、交换、传输、存储的集散地。 云数据管理中心 实现平台实名制机制对系统用户进行统一管理和权限控制 云认证管理中心 实现对云平台的各种资源的统一控制和协同管理以及系统数据 兼容性和应用 系统的无限扩展能力 云应用库管理中心 实现为整个平台的正常、稳定运转提供安全监管和防护体系， 建立软件、集群部署、软负载均衡等相结合的全方位的安全保 障体系 云安全管理中心 实现对云平台硬件资源的统一协同管理，为云应用服务模块提供 各种底层服务支持 云硬件管理中心 五、建设内容— 5.2 支撑环境建设 云硬件管理中心 云 OS 智能 调度 虚拟化整 合 务 …… 业务组一 业务组 N 物理资源管理 虚拟资源管理 资源计费管理 IT 系统拓扑图 服务器虚拟化 服务器虚拟化 异构虚拟化 管理 五、建设内容— 5.2 支撑环境建设 云认证管理中心 Qracle Qracle 应用系统 1 单点登录 / 数据 同步接口 应用系统 2 单点登录 / 数据 同步接口 未来要接入的应用系统 单点登录 / 数据 同步接口 门户

云硬件管 理中心 云数据 管理中心 云安全管 理中心 云远程 控制中心 云应用库 管理中心 云认证管 理中心 实现为云平台提供统一的数据管理服务，集中平台所有的基础 数据、业务数据、信息资源，是云平台所有数据进行集中、抽 取、管理、同步、备份、交换、传输、存储的集散地。 云数据管理中心 实现平台实名制机制对系统用户进行统一管理和权限控制 云认证管理中心 实现对云平台的各种资源的统一控制和协同管理以及系统数据 兼容性和应用 系统的无限扩展能力 云应用库管理中心 实现为整个平台的正常、稳定运转提供安全监管和防护体系， 建立软件、集群部署、软负载均衡等相结合的全方位的安全保 障体系 云安全管理中心 实现对云平台硬件资源的统一协同管理，为云应用服务模块提供 各种底层服务支持 云硬件管理中心 五、建设内容— 5.2 支撑环境建设 云硬件管理中心 云 OS 智能 调度 虚拟化整 合 务 …… 业务组一 业务组 N 物理资源管理 虚拟资源管理 资源计费管理 IT 系统拓扑图 服务器虚拟化 服务器虚拟化 异构虚拟化 管理 五、建设内容— 5.2 支撑环境建设 云认证管理中心 Qracle Qracle 应用系统 1 单点登录 / 数据 同步接口 应用系统 2 单点登录 / 数据 同步接口 未来要接入的应用系统 单点登录 / 数据 同步接口 门户

项目建设思 路 12 冷链 仓储管理中心 冷库管理 ，共享库位、 共享库存 ，按批次、 品 类品种、 规范管理 ，最 终实现一品一码。 品类 品种库存共享 冷链 智慧物流中心 解决交易物流配送 问题 ，集配物流管 理 PART 2 ：智慧冷链产业园综合服务平台建设方 案 n 项目建设思 路 13 食安检测追溯 管理中心 冻品质量监督管 理、溯源管理 冷链园区企业服务中心 呈现形式 ：线上平台、 线下基建服务 意义 ：解决企业入驻及入驻后经营条件 问题 ，线上企业信息化服务平台。 线 下 企业员工基本生活需求问题 冷链产业园管理中心 智慧冷链产业园管理中心的建设旨在为 产业发展服务 ，包含园区基础设施管理 ， 园区资产管理、 园区企业管理、 园区运 作日常管理、 园区商务接待等。 PART 2 ：智慧冷链产业园综合服务平台建设方 优化 实体渠道 抖音、博客论坛 集团数据及资 源导入 主数据 财务管理 数据中台 统一数据服务 数据开放 数据模型 数据运营 WMS 中心 检验检疫中心 组织管理中心 运营中心 n 项目建设产品架 构 前 端 应 用 运 营 中 台 智能硬件 数据沙盘 商 业 模 式 网 站

安全计算环境 身份令牌服务平台 安全管理中心 运维安全管理与审计系统（堡垒机） 安全计算环境 漏洞扫描系统 安全计算环境 数据库审计系统 安全管理中心 安全分析与管理系统（ NGSOC ） 控制域 服务产品 安全区域边界 / 安全计算环境 基础环境评估 安全计算环境 渗透测试 安全计算环境 系统上线前安全评估 安全管理中心 应急响应 安全管理中心 态势感知安全运营服务 安全管理制度 安全管理制度 安全管理体系建设 安全建设管理 等级保护咨询服务 安全管理中心 重要时期安全保障服务 注：  针对不同区域进行不同的 安全防护手段；如区域边 界采用防火墙隔离；安全 管理区部署数据库审计、 日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 38  云安全管理平台和虚拟化安全资源池，对云计算的“东西向”流量提供安全防护  虚拟化安全资源池包括主机安全、漏洞管理、 1 7 反垃圾邮件 邮件威胁感知系统 V3.0 / TSS10000-ZX10 V3.0 安全管理中心 2 8 漏洞扫描 漏洞扫描系统 V3.0 / S3300-VSS20Z 主机 安全管理中心 2 9 运维堡垒机 运维安全管理系统 V6.0 / BH3300-G-2000Z 主机 安全管理中心 2 10 双向网闸 安全隔离与信息交换系统 V2.0 / GZ10000-FT10 安全区域边界

安全计算环境 身份令牌服务平台 安全管理中心 运维安全管理与审计系统（堡垒机） 安全计算环境 漏洞扫描系统 安全计算环境 数据库审计系统 安全管理中心 安全分析与管理系统（ NGSOC ） 控制域 服务产品 安全区域边界 / 安全计算环境 基础环境评估 安全计算环境 渗透测试 安全计算环境 系统上线前安全评估 安全管理中心 应急响应 安全管理中心 态势感知安全运营服务 安全管理制度 安全管理制度 安全管理体系建设 安全建设管理 等级保护咨询服务 安全管理中心 重要时期安全保障服务 注：  针对不同区域进行不同的 安全防护手段；如区域边 界采用防火墙隔离；安全 管理区部署数据库审计、 日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 38  云安全管理平台和虚拟化安全资源池，对云计算的“东西向”流量提供安全防护  虚拟化安全资源池包括主机安全、漏洞管理、 1 7 反垃圾邮件 邮件威胁感知系统 V3.0 / TSS10000-ZX10 V3.0 安全管理中心 2 8 漏洞扫描 漏洞扫描系统 V3.0 / S3300-VSS20Z 主机 安全管理中心 2 9 运维堡垒机 运维安全管理系统 V6.0 / BH3300-G-2000Z 主机 安全管理中心 2 10 双向网闸 安全隔离与信息交换系统 V2.0 / GZ10000-FT10 安全区域边界

技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 等保 1.0 等保 2.0 安全管理制度 安全管理制度 安全管理机构 安全管理机构 人员安全管理 安全管理人员 系统建设管理 安全建设管理 系统运维管理 安全运维管理 第 网络 安全 等级 保护 测试 评估 技术 指南 （新 立) 网络安 全等级 保护测 评机构 能力要 求和评 估规范 （GB/T 36959- 2018) 信息安全风险评估规范 网络安全等级保护管理中心 技术要求（GB/T 36958-2018） 第 24页 等保合规实现 - 安全管理体系建设 方针策略 信息安全工作的纲领性文件。 制度办法 在安全策略的指导下，制定的各项安 全管理和技术制度、办法和准则，用 重全方位 主动防御动态防御整体防控和精准防护。 等保一个中心、三重防护 安全区域边界 安全通信网络 网络架构 通信传输 可信验证 安全计算环境 系统管理 审计管理 安全管理 安全管理中心 边界防护 访问控制 入侵防范 恶意代码和垃圾邮件防范 安全审计 可信验证 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 集中管控 数据完整性 数据保密性

综合安防管理平台 综合安防管理平台 联网网关 汇聚应用平台 汇聚应用平台 汇聚应用平台 联网网关 联网网关 联网网关 联网网关 联网网关 联网网关 系统架构 考勤 门禁 人员通道 梯控 管理中心 访客 停车场 可视对讲 视频监控 巡查 周界入侵 报警 系统设计 “ 一个中心，四层防护”  监控中心  第一道防线： • 小区最外层围墙 • 小区大门出入口 • 人员照片统一汇聚检索 门禁资源点开门和关门状态监控等 管理中心反控开启房门 …… 监控中心 - 非法入侵报警 房间 1 房间 2 非法入侵 人脸识别 楼层安全门关闭 电梯楼层被锁 紧急按 钮触发 手机推送 报警： XX 市 XX 店有 人员非法 入侵，请 立即处理！ 监控中心 - 与第三方通讯 管理中心 第三方平台 公安警综 上行：人员信息 下行：结果反馈 人员信息传输 管理流程 内部人员 管理流程 管理中心对进出人员信 息实时检测，发现黑名 单实时完成预警。 管理中心 包括门禁、人员通道、 梯控、可视对讲身份认 证通行。 身份认证 通过第三方黑名单库完 成身份信息比对。 向第三方平台同步访客 信息，上报刷卡事件等。 第三方对接 包括门禁、人员通道、 梯控、可视对讲身份认 证通行。 身份认证 管理中心对进出人员信 息实时检测，发现黑名