轨道交通线网云平台系统用户需求书-中心部分网络安全专用技术要求.docxVIP

轨道交通线网云平台系统用户需求书中心部分网络安全专用技术要求

i

目录

1建设内容 1

2安全体系规划 1

2.1安全体系架构 1

2.1.1安全等级保护设计原则 1

2.1.2安全架构及基础设施安全 2

2.2等保要求分析 3

2.2.1网络安全等级保护2.0 3

2.2.2安全物理环境 4

2.2.3安全通信网络 4

2.2.4安全区域边界 5

2.2.5安全计算环境 6

2.2.6数据全生命周期保障 8

2.2.7安全管理中心 10

2.2.8安全管理制度 11

2.2.9安全管理机构 12

2.2.10安全管理人员 13

2.2.11安全建设管理 14

2.2.12安全运维管理 14

2.2.13安全资源池 14

2.3云平台商用密码应用需求 15

2.3.1物理和环境安全 15

2.3.2网络和通信安全 15

2.3.3设备和计算安全 16

2.3.4应用和数据安全 17

2.3.5密钥管理 17

2.3.6密码应用要求 18

3安全建设整体方案 18

3.1总体安全策略 18

ii

3.2总体安全架构 20

3.2.1安全域划分原则 20

3.2.2安全域内业务平面划分 20

3.3网络安全接口标准 21

3.4安全保护方案 21

3.4.1云平台整体设计 22

3.4.2云平台详细建设内容 30

3.5云平台商用密码应用方案 41

3.5.1物理和环境安全密码应用方案 41

3.5.2网络和通信安全密码应用方案 41

3.5.3设备和计算安全密码应用方案 41

3.5.4应用和数据安全密码应用方案 42

3.5.5密钥管理应用方案 43

4业务系统安全建设方案 43

4.1系统安全建设策略 43

4.2业务系统安全建设 44

4.2.1非入云应用系统 44

4.2.2部分入云应用系统 44

4.2.3云内业务系统方案防护设计 44

4.3业务运行安全建设 45

4.3.1云上业务运行态势 45

4.3.2非云上业务运行态势 46

4.3.3业务质量监控 47

5云平台网络安全设备指标 47

5.1主要安全设备性能指标 47

5.1.1安全控制中心 错误！未定义书签。

5.1.2车站流量探针 47

5.1.3车站业务性能探针（硬件部署） 48

5.2云平台商用密码应用技术要求 49

iii

5.2.1SSLVPN网关 49

5.2.2云平台密码系统服务 50

5.2.3云平台密码证书签发服务 51

5.2.4密钥管理服务 51

5.3安全资源池技术要求 52

5.3.1云安全管理平台技术要求 52

5.3.2租户安全技术要求 53

5.3.3企业云主机安全服务 53

5.3.4漏洞扫描服务 53

5.3.5数据库安全审计 54

5.3.6云堡垒机 54

5.3.7日志审计服务 55

5.3.8虚拟边界防火墙及入侵检测服务 56

1

1建设内容

本期工程的安全设备需在云平台一期工程基础上进行扩容。

本期安全资源池在安全生产网、内部管理网中分别部署，安全资源池由独立设置的安全组件组成，投标人可自行选择安全组件采用X86服务器和虚拟机形态部署。安全资源池需保证通过交换机连通云上业务系统，为业务系统提供安全服务，每个安全资源池内的安全组件基于云上专业系统的定级分为网络安全等级保护（简称“等保”）二级安全组件和等保三级安全组件。

本期工程的安全设备应与综合运管平台深度集成，网络安全相关设备应支持综合运管平台的深度管控及监测。

投标人应无条件配合招标人对轨道交通线网信息安全相关事宜的统一安排及调整，相关费用含在投标报价中。

云平台厂商应承诺对接本项目密码设备，并根据密码设备接口完成云平台密评相关建设，相关费用含在投标报价中。

本工程安全设备应承诺对接云平台一期工程安全控制中心，并根据客户需求提供剧本编