数据中心等保三级建设标准

互联网数据中心等保三级

解决方案

Word文档-可编辑

编制单位：XX科技服务有限公司

- I -

目录

一. 前言 ...................................................................................................................................................... 1 二. 项目背景 ............................................................................................................................................... 1 三. 安全风险分析 ....................................................................................................................................... 2 3.1 设备安全风险 ....

第三级基本要求

第三级基本要求在技术上包括5个方面：物理安全、主机安全、网络安全、应用安全和数据安全，详见《基本要求》，这里总结了三级系统在二级系统基础上增加的主要安全要求。

1)物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。三级系统主要在环境安全、物理访问控制和防盗窃防破坏等方面较二级系统应有所加强，例如重要区域配置电子门禁系统，机房设置防盗报警系统和设置火灾自动消防系统等。

2)网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤，实现应用层HTTP、FTP、TELNET等协议命令级的控制；边界防护应能够对非授权设备私自联到内部网络的行为进行检查和有效阻断；主要网络设备要求采用两种或两种以上组合的鉴别技术实现身份鉴别；在网络入侵防范方面不仅能够被动的防护，还应能主动发出报警。

3)主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码

三级等保建设方案

目 录

1 概述 .............................................................................................................................................. 2

1.1 项目概况 .......................................................................................................................... 2 1.2 方案说明 .......................................................................................................................... 3 1.3 设计依据 ..................................................................................

信息中心建设方案

天津生态城市政景观

数据中心建设方案

北京曼诺林数字科技有限公司

2012年5月5日

北京曼诺林数字科技有限公司

信息中心建设方案

一、系统概述

市政景观数据中心，是市政景观公司所有专业系统数据存放和管理应用的中心节点；所有系统数据的存储、查询、管理源数据均来自数据中心。

市政景观公司数据中心主要包括两个节点：商业街数据中心（以下称数据中心）和青坨子泵站信息中心（以下称信息中心）。数据中心是数据汇总存储中心；而信息中心则是所有业务系统应用管理中心。信息中心和数据中心通过一条4芯光纤连接，实现信息中心对数据中心的数据访问。

市政景观数据中心建设要实现以下目标： 1.实现各业务系统数据的接收、存储和访问管理。 2.实现对业务系统数据的远程安全访问。

3.为各业务系统稳定可靠工作提供必须得环境；包括设备运行环境和网络环境。

二、建设需求分析

2.1网络需求

1.保证业务系统数据安全。

市政景观公司主要有道路管理系统、桥梁管理系统、智能巡检系统、照明系统、可视化泵站系统、数字排水系统以及气象站系统。这些业务系统各对本系统数据进行分类汇总、存储、分析。系统数据是各系统正常工作的基础。数据中心必须保证所有传输到数据中心业务系统数据的可靠

数据中心网路建设

宝信软件与标准化专栏

Baosight and Standardigation

编辑：李秋花

E-mail: liqh@http://www.77cn.com.cn

48

数据中心网路建设

宝信软件与标准化专栏

Baosight and Standardigation

国际主流的万兆主干、千兆服务器连接、百兆桌面的网络架构，核心层之间互联采用一路或多路万兆连接，形成主干万兆或多万兆带宽。核心设备选型上均要求具备足够的背板处理能力，即使将来系统升级，也能保护用户对于现有网络基础设施的投资。所有的核心设备作双机冗余设计，部分关键设备如服务器群网络核心交换机甚至做到双机、双引擎冗余，最大限度地解决单点故障的问题，提高系统整体可用性。通过集群协议，比如路由器或者防火墙的集群协议，如HSRP、VRRP等，可以确保检测到故障后进行快速的故障切换。同时也推荐数据中心的设计和数据电缆的连接应当避免单点故障的发生，例如对冗余的网段和端口应用不同的路由路径和电缆结构，对广域网的连接，建议采用多路ISP线路。

另外，作为企业整体网络的一部分，设计初期就必须考虑与现有系统的连接与整合。在网络协议、IP地址规范、线路和设备命名规范、网络安全规范等方面完全遵照已有的成果。

信息系统安全等级测评

报告模板

项目名称： 委托单位： 测评单位：

年 月 日

测评单位名称

报告摘要

一、测评工作概述

概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）

描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果

依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题

依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DD

数据中心建设是一项周密的系统工程，涉及数据中心选址、基础设施建设、运维管理队伍建设等一系列工作，不仅在建设期需要投入大量的人力、物力和财力，而且在建成后还要持续投入大量的运营管理资金和人员。建设模式的选择作为数据中心建设的一项重要基础工作，应在数据中心建设前期给予足够的重视。本章所述数据中心建设模式，是指相关资源的获取方式，目前主要有三种：自建、共建和外包。从国内外实践经验和案例来看，多企业共建模式的弊端较多，案例很少，一般不予考虑。因此，本章主要讨论自建模式和外包模式。

一、 建设模式分析

自建，是指企业自己拥有并独享数据中心基础设施建设和运维管理团队。外包，是指企业选择第三方专业服务商，替代内部资源来承担数据中心的规划、建设、运营、管理和维护。例如。租用数据中心场地、设备，将数据中心运行维护外包给专业服务商等形式。我们主要从财务、能力和效率角度分别对自建和外包模式展开分析。

1. 财务

从财务的角度来分析不同建设模式对企业利益的影响是重要环节。这个角度主要评估两个对企业利益有影响的问题：在一定周期内两种模式的总成本支出不同，以及两种模式下的成本支出反映到财务报表的形式不同。以下分别就两种模式中有差异的几项内容作分析：

1) 基建成本

数据

机密

本文内容涉及腾讯科技（深圳）有限公司商业秘密，未经书面许可，不得以任何形式披露、传播或扩散。 1 / 22

腾讯科技（深圳）有限公司

名 称 运营商（或其他合建方）合建数据中心设计需求书 编 号

版本号 0.03 密 级 机密 拟 制

Bruceyang

审 核

批 准

运营商（或其他合建方）合建数据中心设计需求书

Version 0.03

修 订 信 息

更改日期 部门及更改人

版本号 版本说明

2010-3-18 DIS/Bruceyang 0.01 初稿

2010-12-26 DIS/Bruceyang 0.02 11页，修改末端配电要求

2011-9-16 DIS/Tuoczhu 0.03 11页，12页，20页，增加PDU/机柜要求

机密

本文内容涉及腾讯科技（深圳）有限公司商业秘密，未经书面许可，不得以任何形式披露、传播或扩散。 2 / 22 保密声明

本文档（包括其附件）可能包含受保密协议或其他权利保护的机密信息，仅提供给指定的接收者或者因既定目的有必要知道的人。在未经得腾讯许可前，接收人不得擅自对外披露。如非指定接收者，则任何使用、传播、发送或复制本文档的行为均不被许可或为非法。

机密

本文内容涉及腾讯科技（深圳

计算机等级保护三级要求

等保安全要求

措施建议

三级综合解决 方案 A

三级综合解决 方案 B

三级综合解决 方案 C

第 在网络边界部署访问控制设备， 启用 防火墙(FW) 三 端口级访问控制功能，并对进出网络的 级 信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制

1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题， 目前思科和 H3C 都有相应 设备， 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统

计算机等级保护三级要求

等保安全要求

措施建议

三级综合解决 方案 A

三级综合解决 方案 B

三级综合解决 方案 C

第 在网络边界部署访问控制设备， 启用 防火墙(FW) 三 端口级访问控制功能，并对进出网络的 级 信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制

1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题， 目前思科和 H3C 都有相应 设备， 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统