城市数字底座安全防护服务规范.docVIP

城市数字底座安全防护服务规范

一、安全防护技术要求

（一）基础设施安全防护

基础设施作为城市数字底座的物理载体，其安全防护需构建多层次防御体系。在计算资源安全方面，应采用虚拟化安全技术，对服务器、存储设备等硬件资源进行隔离与访问控制，实现CPU、内存、存储等资源的动态调度与安全隔离。针对云计算平台，需部署云防火墙、入侵防御系统（IPS）和恶意代码防护机制，对虚拟机间通信进行流量监控与异常检测，确保单个租户的安全事件不会扩散至其他租户。存储安全方面，应采用数据加密存储技术，对敏感数据实施AES-256级别加密，同时建立存储介质全生命周期管理机制，包括介质采购、使用、报废等环节的安全管控，防止存储介质丢失或报废处理不当导致的数据泄露。

网络安全防护需构建“边界-区域-终端”三级防护架构。边界防护应部署下一代防火墙（NGFW）、网络入侵检测/防御系统（NIDS/NIPS），实现对网络边界流量的深度检测与过滤，同时采用VPN技术保障远程接入安全。区域防护需基于业务功能和数据敏感程度划分安全区域，通过网络隔离技术（如VLAN、防火墙策略）限制区域间非授权访问，核心区域（如数据中心、资产管理中心）应实施更严格的访问控制策略。终端安全方面，所有接入城市数字底座的终端设备需安装终端安全管理软件，实现病毒查杀、漏洞管理、主机入侵检测等功能，同时采用终端准入控制技术，禁止未通过安全检测的终端接入网络。