第1章三大保障体系设计1.1标准与规范体系设计1.1.1标准、规范及制度建设原则本项目需要建设的标准、规范及制度主要包括总体标准规范、技术标准规范、业务标准规范、运维规范及制度、管理规范及制度等，为”智慧嘉熙”信息化系统的合理建设和运维提供指导。1.1.2标准、规范及制度建设内容按照前述标准规范框架分类，系统工程标准规范建设的内容分为两部分：1、明确可以遵循执行的国家、国际和行业标准规范：2、制定或完善仅在本项目中应用的标准规范。按照GBT13016-2009《标准体系表编制原则和要求》中的有关规定，从总体、技术、业务、管理、运营等纬度制定适合本系统建设的技术标准和管理规范。1.1.2.1总体标准规范1、建设运行标准规范体系（或参考模型）针对建设与应用的需求，根据国家已制订的标准体系或信息系统建设标准规范参考模型的基础上，制订符合国家标准要求的项目建设和运行标准规范体系或参考模型。首先提出支持”智慧嘉熙”信息化系统建设任务的标准规范体系。2、建设术语规范针对”智慧嘉熙”信息化系统项目建设内容，根据国家相关标准，制订覆盖项目的业务术语规范，统一规范”智慧嘉熙”信息化系统项目建设和运行的信息及其管理术语。先提出覆盖本项目内容的术语规范。3、项目建设管理办法本办法为”智慧嘉熙”信息化系统项目建设实施规范化管理提供指导，通过明确项目管理的基本流程、项目建设和维护阶段基本流程，制订在立项及可行性研究阶段、招标投标阶段、设计阶段、实施阶段、测试验收阶段和运行及维护阶段的相关管理办法，明确有关方责任，确保项目建设有序推进和质量的提高。1.1.2.2技术标准规范1、数据标准本部分为”智慧嘉熙”信息化系统项目涉及的基础数据的有关标准与规范。2、网络标准为了保证系统建设和管理的规范化，需要制订系统建设规范、系统管理规范。本部分重点考虑与本系统关系密切的业务数据标准与规范。3、安全标准本部分根据系统安全保障的要求，提供所需的信息安全管理、信息安全技术和信全评估等层面的标准与规范。1.1.2.3业务标准规范为保障”智慧嘉熙”信息化系统项目的宏观管理与业务，需要制定业务标准规范体系，主要包括业务管理组织体系保障”智慧嘉熙”信息化系统项目、业务操作规程、信息管理操作规范、业务流程规范等方面的标准规范。1、业务管理组织体系根据相关用户单位的实际组织情况，从最佳配置、最优服务角度出发，制定业务管理组织体系规范。2、业务流程规范制定业务流程规范，为项目提供支撑。3、业务操作规程制定业务操作规程，为项目提供支撑。4、信息管理操作规范制定信息管理操作规范，确保项目信息安全、一致。1.1.2.4管理标准规范为了保证系统建成后”智慧嘉熙”信息化系统的规范化管理和运行，需要制定项目管理标准规范体系，主要包括以下内容：1、安全管理员岗位职责2、网络安全组织管理规范3、网络运行安全管理及技术规范4、计算机用户使用规则5、信息安全人员管理制度6、技术文档安全管理7、帐号管理制度8、场地设施安全管理制度9、机房日常管理制度10、运行维护制度11、备份恢复制度12、应急响应制度1.1.2.5运营标准规范主要包括对系统的软硬件环境、系统设备、数据库、中间件、应用软件等的日常运行、管理和维护等方面的标准规范和规章制度。1、信息资源评价标准主要包括信息资源开发利用评定质量的指标及评定优劣的标准规范与规章制度。2、安全管理标准信息安全标准主要包括系统安全运行和管理等方面的标准规范与规章制度。1.2安全保障系体系设计1.3.1系统概述随着信息化的发展，日常业务的处理越来越离不开计算机，随着企业和机构的规模不断的发展和增大，企业内部安全上网和信息安全，以及完成数据集中和交换，已经作为一个迫切的问题摆在面前。公司业务开展，越来越依赖于信息化系统建设：优化网络系统结构，集中化的管理，稳定的网络，是业务开展基础：网络系统的安全，应用系统的安全，是公司业务正常开展的保障：高效的信息网络系统，可以整体提高公司办公效率。基于以上需求，科技在给单位信息化方面做了有针对性的建设，最终打造稳定、安全、可靠的公司信息化网络平台。1.3.2需求分析结合单位的T建设重点和当前实际网络拓扑，制定了服务器负载均衡AD+出口下一代防火墙NGAF+WEB防火墙(WAF)+移动办公SSLVPN-+上网行为管理+上网日志审计+应用性能监控和分析+数据中心防火墙+企业及无线的整体建设方案。1.3.3系统结构详见拓扑图如下：E门户网站入安全域互联网接SSLVPN数据中心办公区域成汇聚层设备部署简单说明：1.单位大楼的建设中，整个互联网出口需要部署一台下一代防火墙，来次互联网的数据进行网络层到应用层进行L2-L7层流量清洗，有效的解决了内网终端上网和服务器集群受到病毒木马感染以及防护来自应用层攻击的问题，防止敏感信息的泄露，全面保证了应用系统的安全。2.在出口防火墙后面部署的上网行为管理，统一对内网用户上网行为做统一身份认证、上网权限控制和应用流量控制，保证内部员工的合规上网。3、在对外发布的DMZ出口部署的WEB防火墙，全面保证对外发布的网站安全，保护网页内容不会被篡改，以及被挂外链等攻击。4.在内网的核心交换机上分别旁挂一台SSLVPN设备。方便出差的领导和员工进行远程移动办公，实现再任何时间、任何地点只要能上网就可以实现安全接入办公，例如通过个人PC、iPad、iPhone、Android等平板电脑或智能手机实现远程便捷安全办公。5、内部重要应用系统，为了保证接入的安全性，通过的VPN设备，实现接入身份的认证授权，以及数据传输的加密，保证了核心业务数据的安全。6、通过上网行为审计设备AC旁挂核心交换机上，提供上网行全面的、灵活的审计功能，可以针对内网用户所有上网行为包括收发邮件、IM聊天、外发文件、网站访问等等行为和内容都可以做到详细记录。一方面满足了嘉熙部和工信部对上网日志审计的要求，同时保障了企业内部的机密信息一旦泄密后做到有据可查，帮助企业规避法律风险。7、数据中心出口部署的数据中心防火墙，全面保护服务器和业务系统的安全，保护服务器集群受到病毒木马感染以及防护来自应用层攻击的问题，保证数据中心的稳定性和安全性。8、在企业部署的企业级无线，覆盖所有需要办公的场所，企业级无线可以在应用层的管控、无线安全、增值营销服务整套解决方案。9、服务器数据中心出口交换机上旁挂的负载均衡AD,通过AD各种服务器负载均衡算法和健康监测机制，以及服务器性能优化，保证服务器和业务稳定和高效运行，做到7*24小时业务不中断。1.3.4系统设计1.3.4.1出口下一代应用防火墙下一代防火墙做双机部署放置于内网核心交换机前面，全面保护内网的终端上网和服务器应用系统的安全：全面防护，标本兼治：通过下一代应用防火墙的恶意网站过滤功能，防止终端访问威胁网站和应用，同时通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威肋感染终端的各种技术手段，避免因为用户无意中的网络访问行为将病毒、木马引入终端，完善内容级安全防护：灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。1.对服务器集群系统防护：