2數(shù)字化校園網(wǎng)絡(luò)及安全建設(shè)實(shí)施標(biāo)準(zhǔn)本文件規(guī)定了數(shù)字化校園網(wǎng)絡(luò)及安全建設(shè)的總體設(shè)計(jì)、基礎(chǔ)設(shè)施層方案設(shè)計(jì)、安全設(shè)計(jì)等方面的要求，明確了技術(shù)路線、設(shè)備配置、安全防護(hù)、管理體系等關(guān)鍵內(nèi)容。本文件適用于職業(yè)院校及普通高校數(shù)字化校園網(wǎng)絡(luò)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維與測(cè)評(píng)，也可作為教育信息化領(lǐng)域相關(guān)企業(yè)開展校園網(wǎng)絡(luò)及安全建設(shè)服務(wù)的參考依據(jù)。2.規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注明日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修訂單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T29829信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范GM/T0008安全芯片密碼檢測(cè)準(zhǔn)則3.術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)字化校園（DigitalCampus）以信息技術(shù)為基礎(chǔ)，整合校園內(nèi)各類信息資源，實(shí)現(xiàn)教學(xué)、管理、服務(wù)等業(yè)務(wù)數(shù)字化、網(wǎng)絡(luò)化、智能化的校園運(yùn)行模式，為師生提供便捷、高效的信息化服務(wù)環(huán)境。3.2全光網(wǎng)絡(luò)（POL，PassiveOpticalLAN）基于PON（無源光網(wǎng)絡(luò)）技術(shù)的企業(yè)類局域網(wǎng)絡(luò)，通過一套光纖網(wǎng)絡(luò)為用戶提供融合的數(shù)據(jù)、語音、視頻及其他弱電類業(yè)務(wù)接入，采用單模光纖作為傳輸介質(zhì)，具有高帶寬、長距離傳輸?shù)忍攸c(diǎn)。3.3虛擬局域網(wǎng)（VLAN，VirtualLocalAreaNetwork）3在物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上，利用交換機(jī)和路由器的功能，配置網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)，將一個(gè)局域網(wǎng)內(nèi)的不同網(wǎng)段聚合成一個(gè)邏輯上的子網(wǎng)，實(shí)現(xiàn)廣域隔離、提高網(wǎng)絡(luò)安全性和管理效率的技術(shù)。3.4無線局域網(wǎng)（WLAN，WirelessLocalAreaNetwork）使用射頻（RF）、微波或紅外線等無線傳輸技術(shù)，在有限地域范圍內(nèi)實(shí)現(xiàn)設(shè)備互聯(lián)的通信系統(tǒng)，可作為有線局域網(wǎng)的擴(kuò)展或替代，提供靈活的組網(wǎng)方式。3.5可信平臺(tái)控制模塊（TPCM，TrustedPlatformControlModule）集成在可信計(jì)算節(jié)點(diǎn)中的防護(hù)部件組件，由硬件、軟件及固件組成，與計(jì)算部件并行連接，為可信計(jì)算節(jié)點(diǎn)提供主動(dòng)度量、主動(dòng)控制、可信驗(yàn)證、加密保護(hù)等功能的基礎(chǔ)核心模塊。3.6商用密碼（CommercialCryptography）指國家密碼管理部門批準(zhǔn)使用的密碼算法、密碼協(xié)議、密碼設(shè)備和密碼系統(tǒng)，用于保障信息的機(jī)密性、完整性和可用性，滿足信息系統(tǒng)安全保護(hù)需求。3.7等級(jí)保護(hù)（ClassifiedProtection）根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及遭到破壞后對(duì)相關(guān)權(quán)益的危害程度，將信息系統(tǒng)劃分為不同安全保護(hù)等級(jí)，并采取相應(yīng)安全保護(hù)措施的制度。4.縮略語下列縮略語適用于本文件。POL：無源光局域網(wǎng)（PassiveOpticalLAN）PON：無源光網(wǎng)絡(luò)（PassiveOpticalNetwork）GPON：千兆比特?zé)o源光網(wǎng)絡(luò)（GigabitPassiveOpticalNetwork）XGS-PON：萬兆對(duì)稱無源光網(wǎng)絡(luò)（10-GigabitSymmetricPassiveOpticalNetwork）OLT：光線路終端（OpticalLineTerminal）ONU：光網(wǎng)絡(luò)單元（OpticalNetworkUnit）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）WLAN：無線局域網(wǎng)（WirelessLocalAreaNetwork）AC：無線控制器（AccessController）AP：無線接入點(diǎn)（AccessPoint）TCM：可信密碼模塊（TrustedCryptographyModule）4TPCM：可信平臺(tái)控制模塊（TrustedPlatformControlModule）VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）DoS：拒絕服務(wù)攻擊（DenialofService）DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）MEC：邊緣計(jì)算（Multi-accessEdgeComputing）UPF：用戶面功能（UserPlaneFunction）5GC：5G核心網(wǎng)（5GCoreNetwork）AMF：接入和移動(dòng)性管理功能（AccessandMobilityManagementFunction）SMF：會(huì)話管理功能（SessionManagementFunction）PCF：策略控制功能（PolicyControlFunction）UDM：統(tǒng)一數(shù)據(jù)管理（UnifiedDataManagement）DNN：數(shù)據(jù)網(wǎng)絡(luò)名稱（DataNetworkName）APN：接入點(diǎn)名稱（AccessPointName）5.數(shù)字化校園網(wǎng)絡(luò)安全建設(shè)框架數(shù)字化校園網(wǎng)絡(luò)安全建設(shè)應(yīng)遵循“一個(gè)中心，三重防護(hù)”的縱深防御思想，構(gòu)建集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的綜合安全保障體系(圖1）。該體系以安全管理中心為核心，對(duì)通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境實(shí)施分層、縱深的綜合防護(hù)。5.1總體安全技術(shù)架構(gòu)總體安全技術(shù)架構(gòu)應(yīng)包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系，確保物理環(huán)境、網(wǎng)絡(luò)通信、區(qū)域邊界、計(jì)算環(huán)境和應(yīng)用數(shù)據(jù)的全面安全。安全技術(shù)體系：從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面，以及安全管理中心，構(gòu)建技術(shù)防護(hù)能力。安全管理體系：建立覆蓋系統(tǒng)全生命周期的安全管理制度，包括組織機(jī)構(gòu)、人員管理、建設(shè)管理和運(yùn)維管理。安全服務(wù)體系：通過風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、應(yīng)急響應(yīng)、安全培訓(xùn)等專業(yè)服務(wù)，協(xié)同技術(shù)與管理體系，保障信息系統(tǒng)風(fēng)險(xiǎn)可控。5圖1校園網(wǎng)絡(luò)安全拓?fù)涫疽鈭D5.2安全域劃分要求為實(shí)現(xiàn)精細(xì)化訪問控制和風(fēng)險(xiǎn)隔離，應(yīng)根據(jù)業(yè)務(wù)功能、資產(chǎn)價(jià)值和安全要求對(duì)校園網(wǎng)絡(luò)進(jìn)行安全域劃分。劃分應(yīng)遵循以下要求：互聯(lián)網(wǎng)出口區(qū)：作為校園網(wǎng)與互聯(lián)網(wǎng)的邊界，應(yīng)部署邊界防火墻、入侵防御系統(tǒng)（IPS）等設(shè)備，實(shí)現(xiàn)對(duì)南北向流量的深度檢測(cè)與防護(hù)。數(shù)據(jù)中心區(qū)：承載核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)，應(yīng)劃分為獨(dú)立的服務(wù)器區(qū)、數(shù)據(jù)庫區(qū)、超融合區(qū)等，各區(qū)之間通過防火墻進(jìn)行邏輯隔離，實(shí)施嚴(yán)格的訪問控制策略。安全運(yùn)維管理區(qū)：用于部署堡壘機(jī)、日志審計(jì)、漏洞掃描等安全管理系統(tǒng)，應(yīng)與業(yè)務(wù)網(wǎng)絡(luò)物理或邏輯隔離，實(shí)現(xiàn)對(duì)運(yùn)維操作的集中管控與審計(jì)。教學(xué)辦公區(qū)：為教職工提供教學(xué)和辦公網(wǎng)絡(luò)接入，應(yīng)與學(xué)生區(qū)、訪客區(qū)分離。學(xué)生宿舍區(qū)：為學(xué)生提供生活網(wǎng)絡(luò)接入，應(yīng)實(shí)施獨(dú)立的認(rèn)證和行為管理策略。無線網(wǎng)絡(luò)區(qū)：為移動(dòng)終端提供接入，應(yīng)與有線網(wǎng)絡(luò)邊界明確，并部署無線控制器進(jìn)行統(tǒng)一認(rèn)證和管理。DMZ區(qū)（隔離區(qū)）：用于部署對(duì)外提供服務(wù)的應(yīng)用系統(tǒng)（如學(xué)校官網(wǎng)），應(yīng)與內(nèi)網(wǎng)核心區(qū)嚴(yán)格隔離。6.基礎(chǔ)設(shè)施技術(shù)要求基礎(chǔ)設(shè)施建設(shè)應(yīng)采用先進(jìn)、成熟、可靠的技術(shù)，構(gòu)建高速、穩(wěn)定、安全、可擴(kuò)展的校園6網(wǎng)絡(luò)環(huán)境。6.1有線網(wǎng)絡(luò)系統(tǒng)要求6.1.1網(wǎng)絡(luò)架構(gòu)要求a)網(wǎng)絡(luò)模型：應(yīng)采用“核心層-接入層”的二層網(wǎng)絡(luò)架構(gòu)，邏輯上構(gòu)建扁平化大二層網(wǎng)絡(luò)，簡化網(wǎng)絡(luò)結(jié)構(gòu)，提高轉(zhuǎn)發(fā)效率。b)核心層：應(yīng)采用雙核心交換機(jī)，通過虛擬化技術(shù)（如CSS/VSS）實(shí)現(xiàn)設(shè)備級(jí)冗余和鏈路聚合，提供高可靠性和高帶寬。核心層應(yīng)具備萬兆（10Gbps）及以上的轉(zhuǎn)發(fā)能力。c)接入層：應(yīng)采用全光網(wǎng)絡(luò)（POL）方案，通過光線路終端（OLT）和光網(wǎng)絡(luò)單元（ONU）實(shí)現(xiàn)光纖到桌面或房間，提供千兆（1Gbps）到用戶的接入能力。d)冗余設(shè)計(jì)：核心設(shè)備、關(guān)鍵鏈路及電源應(yīng)采用冗余配置，確保無單點(diǎn)故障。e)IP地址規(guī)劃：應(yīng)統(tǒng)一規(guī)劃IPv4和IPv6地址，遵循唯一性、連續(xù)性、可擴(kuò)展性原則。業(yè)務(wù)地址、管理地址、互聯(lián)地址應(yīng)明確劃分。f)VLAN規(guī)劃：應(yīng)按功能（如管理、教學(xué)、辦公、學(xué)生）和安全域劃分VLAN，實(shí)現(xiàn)不同業(yè)務(wù)網(wǎng)絡(luò)的邏輯隔離。管理VLAN應(yīng)與用戶VLAN嚴(yán)格分離。6.1.2設(shè)備功能與性能要求a)核心交換機(jī)：應(yīng)采用模塊化結(jié)構(gòu)，具備不少于8個(gè)業(yè)務(wù)槽位，支持按需擴(kuò)展。堆疊后交換容量應(yīng)不低于1.8Tbps，包轉(zhuǎn)發(fā)率不低于1400Mpps，實(shí)現(xiàn)無阻塞線速轉(zhuǎn)發(fā)。應(yīng)全面支持IPv4/IPv6雙協(xié)議棧，并支持OSPF、BGP等動(dòng)態(tài)路由協(xié)議。b)光線路終端（OLT）：應(yīng)支持GPON、XGS-PON等多種接入方式，具備向未來網(wǎng)絡(luò)平滑演進(jìn)的能力。上聯(lián)端口應(yīng)支持萬兆（10GE）速率，下聯(lián)PON口業(yè)務(wù)槽位應(yīng)滿足校區(qū)覆蓋需求（如本部校區(qū)不低于15個(gè)）。應(yīng)支持對(duì)ONU的集中控制、管理、狀態(tài)監(jiān)控和軟件升級(jí)。c)光網(wǎng)絡(luò)單元（ONU）：應(yīng)根據(jù)不同場景提供多種接口類型和密度的產(chǎn)品，如4口、8口、帶PoE、帶Wi-Fi等。支持802.1x認(rèn)證、端口速率限制和安全隔離功能。d)PoE型ONU應(yīng)支持PoE/PoE+標(biāo)準(zhǔn)（IEEE802.3af/at），單端口最大輸出功率不低于30W。6.2無線網(wǎng)絡(luò)系統(tǒng)要求6.2.1無線組網(wǎng)要求a)組網(wǎng)方式：應(yīng)采用“無線控制器（AC）+瘦AP”的集中管理組網(wǎng)架構(gòu)，所有AP由AC統(tǒng)一下發(fā)配置、策略和進(jìn)行固件升級(jí)。b)供電方式：AP應(yīng)采用以太網(wǎng)供電（PoE），通過接入層的PoE型ONU或PoE交換機(jī)進(jìn)行供電，簡化布線。c)無縫漫游：無線網(wǎng)絡(luò)應(yīng)支持二層和三層無縫漫游，保證用戶在不同AP覆蓋區(qū)域移動(dòng)時(shí)7業(yè)務(wù)不中斷。d)認(rèn)證對(duì)接：應(yīng)實(shí)現(xiàn)無線用戶與校園統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接，支持Portal、802.1x等多種認(rèn)證方式。6.2.2無線AP功能與性能要求a)技術(shù)標(biāo)準(zhǔn)：AP設(shè)備應(yīng)支持Wi-Fi6（802.11ax）標(biāo)準(zhǔn)，并向下兼容。b)頻段支持：應(yīng)支持2.4GHz和5GHz雙頻或三頻（2.4GHz+5GHz+5GHz）同時(shí)工作，以提升接入容量和減少干擾。c)智能天線：應(yīng)采用智能天線技術(shù)，通過波束成形等算法動(dòng)態(tài)調(diào)整信號(hào)覆蓋，提升信號(hào)質(zhì)量和穿透性，減少覆蓋盲區(qū)。d)安全雷達(dá)：AP應(yīng)具備安全雷達(dá)功能，能夠無損掃描射頻環(huán)境，識(shí)別并反制仿冒AP、釣魚Wi-Fi、非法終端接入等無線安全威脅。e)場景化部署：普通密度區(qū)（如辦公室、宿舍）：應(yīng)部署普通型雙頻AP，整機(jī)速率不低于2.9Gbps。高密度區(qū)（如教室、圖書館、會(huì)議室）：應(yīng)部署高密型三頻AP，整機(jī)速率不低于6.5Gbps，以滿足大量用戶并發(fā)接入需求。6.35G專網(wǎng)接入要求為滿足移動(dòng)辦公、遠(yuǎn)程教學(xué)等場景需求，可建設(shè)5G隨行專網(wǎng)（圖2)，實(shí)現(xiàn)師生通過5G網(wǎng)絡(luò)安全、便捷地訪問校園內(nèi)網(wǎng)資源。6.3.1架構(gòu)要求a)應(yīng)采用基于ULCL（上行分類器）技術(shù)的共享隨行專網(wǎng)方案，實(shí)現(xiàn)用戶不換卡、不換號(hào)即可訪問內(nèi)網(wǎng)。b)應(yīng)在運(yùn)營商網(wǎng)絡(luò)中部署輔錨點(diǎn)UPF，并通過專線與校園內(nèi)網(wǎng)安全對(duì)接。c)應(yīng)通過在核心網(wǎng)PCF配置分流策略，實(shí)現(xiàn)對(duì)校園內(nèi)網(wǎng)流量和公網(wǎng)流量的智能分流。訪問內(nèi)網(wǎng)的流量經(jīng)由輔錨點(diǎn)UPF轉(zhuǎn)發(fā)至校園網(wǎng)，訪問互聯(lián)網(wǎng)的流量經(jīng)由主錨點(diǎn)UPF轉(zhuǎn)發(fā)。8圖2共享隨行專網(wǎng)總體系統(tǒng)架構(gòu)圖6.3.2功能要求a)無感切換：用戶在5G網(wǎng)絡(luò)下訪問校園內(nèi)網(wǎng)應(yīng)用時(shí)，應(yīng)能自動(dòng)、無感知地切換至專網(wǎng)通道。b)安全隔離：非授權(quán)用戶無法通過5G網(wǎng)絡(luò)訪問校園內(nèi)網(wǎng)，保障內(nèi)網(wǎng)資源安全。c)策略控制：應(yīng)能基于用戶身份、位置等因素，靈活配置和下發(fā)專網(wǎng)訪問策略。6.4場景化網(wǎng)絡(luò)配套要求應(yīng)根據(jù)不同區(qū)域的功能和用戶密度，配置差異化的網(wǎng)絡(luò)接入方案。a)行政辦公區(qū)：有線：每間辦公室宜配置1個(gè)8口ONU，滿足多終端有線接入需求。無線：每間辦公室部署1個(gè)普通型AP，通過樓層匯集的PoE型ONU供電。b)教學(xué)區(qū)：9無線：每間教室部署1個(gè)高密型AP，通過樓層匯集的24口XGS-PONPoE型ONU供電，確保高并發(fā)下的帶寬需求（單個(gè)AP上行帶寬不低于200Mbps）。c)宿舍區(qū)：每間宿舍配置1個(gè)帶Wi-Fi功能的4口ONU，同時(shí)提供有線和無線接入。ONU應(yīng)支持信道隔離，避免相鄰宿舍信號(hào)干擾，并配置保護(hù)箱。d)公共區(qū)域（圖書館、食堂等）：應(yīng)根據(jù)人流密度部署若干高密型AP，通過PoE型ONU供電，確保大范圍、高密度人群的無線覆蓋質(zhì)量。7.安全技術(shù)要求數(shù)字化校園網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)（或以上）要求進(jìn)行安全建設(shè)，構(gòu)建技術(shù)與管理并重的縱深防御體系。7.1物理環(huán)境安全a)機(jī)房選址：核心數(shù)據(jù)中心機(jī)房應(yīng)選擇在防震、防風(fēng)、防雨的建筑內(nèi)，避免設(shè)在頂層、地下室或用水設(shè)備的下層及隔壁。b)訪問控制：機(jī)房出入口應(yīng)部署電子門禁系統(tǒng)（如指紋、刷卡），對(duì)進(jìn)入人員進(jìn)行身份鑒別和記錄，記錄應(yīng)至少保存6個(gè)月。c)環(huán)境保障：應(yīng)配備獨(dú)立的空調(diào)系統(tǒng)、不間斷電源（UPS）、備用發(fā)電機(jī)、氣體消防系統(tǒng)、防雷接地裝置，并對(duì)溫濕度進(jìn)行實(shí)時(shí)監(jiān)控。d)電磁防護(hù)：電源線和通信線纜布放時(shí)應(yīng)隔離，對(duì)關(guān)鍵設(shè)備和存儲(chǔ)介質(zhì)可根據(jù)需要實(shí)施電磁屏蔽。7.2通信網(wǎng)絡(luò)安全a)網(wǎng)絡(luò)架構(gòu)：應(yīng)通過劃分VLAN或子網(wǎng)的方式隔離不同安全級(jí)別的網(wǎng)絡(luò)區(qū)域，關(guān)鍵網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)采用冗余設(shè)計(jì)。b)通信保密性：對(duì)于通過互聯(lián)網(wǎng)傳輸?shù)墓芾頂?shù)據(jù)和敏感業(yè)務(wù)數(shù)據(jù)（如遠(yuǎn)程運(yùn)維、VPN接入），應(yīng)采用加密技術(shù)（如SSL/IPsec）保證傳輸過程的保密性。c)可信驗(yàn)證：宜選用具備可信根芯片的網(wǎng)絡(luò)設(shè)備，在設(shè)備啟動(dòng)和運(yùn)行關(guān)鍵環(huán)節(jié)對(duì)引導(dǎo)程序、系統(tǒng)程序等進(jìn)行可信驗(yàn)證，防止設(shè)備被仿冒或篡改。7.3區(qū)域邊界安全a)邊界防護(hù)：應(yīng)在校園網(wǎng)互聯(lián)網(wǎng)出口、數(shù)據(jù)中心邊界以及重要安全域之間部署下一代防火墻，實(shí)現(xiàn)基于應(yīng)用、用戶、內(nèi)容的精細(xì)化訪問控制。防火墻吞吐量應(yīng)滿足業(yè)務(wù)峰值需求（如支持20000人并發(fā)，單用戶4Mbps帶寬，則單臺(tái)吞吐量不低于40Gbps）。b)入侵防范：應(yīng)部署入侵防御系統(tǒng)（IPS），實(shí)時(shí)檢測(cè)并阻斷網(wǎng)絡(luò)攻擊行為。防火墻應(yīng)開啟DDoS攻擊防范功能。宜部署沙箱技術(shù)檢測(cè)未知高級(jí)威脅（APT攻擊）。c)Web應(yīng)用防護(hù)：應(yīng)在對(duì)外發(fā)布的Web應(yīng)用服務(wù)器前部署Web應(yīng)用防火墻（WAF），防護(hù)SQL注入、跨站腳本等應(yīng)用層攻擊。d)安全審計(jì)：邊界設(shè)備應(yīng)開啟日志審計(jì)功能，并將日志統(tǒng)一發(fā)送至安全管理中心進(jìn)行集中分析和存儲(chǔ)，留存時(shí)間不少于6個(gè)月。7.4計(jì)算環(huán)境安全a)身份鑒別：操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)應(yīng)對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別。重要系統(tǒng)或管理員賬戶應(yīng)采用雙因素認(rèn)證方式。密碼應(yīng)設(shè)置復(fù)雜度策略并定期更換。b)訪問控制：應(yīng)根據(jù)最小權(quán)限原則，對(duì)不同用戶角色授予相應(yīng)的訪問和操作權(quán)限，控制粒度應(yīng)達(dá)到文件或數(shù)據(jù)庫表級(jí)別。c)入侵防范與惡意代碼防范：服務(wù)器和終端應(yīng)遵循最小化安裝原則，及時(shí)安裝補(bǔ)丁，并統(tǒng)一部署防病毒軟件，保持病毒庫實(shí)時(shí)更新。d)安全審計(jì)：應(yīng)啟用操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的審計(jì)功能，記錄用戶的重要操作和系統(tǒng)異常事件。7.5應(yīng)用和數(shù)據(jù)安全a)數(shù)據(jù)備份與恢復(fù)：應(yīng)制定并執(zhí)行數(shù)據(jù)備份策略，對(duì)核心業(yè)務(wù)數(shù)據(jù)和系統(tǒng)進(jìn)行每日備份。備份介質(zhì)應(yīng)與生產(chǎn)系統(tǒng)異地存放，并每年至少進(jìn)行一次恢復(fù)演練。b)個(gè)人信息保護(hù)：個(gè)人信息的收集、使用、存儲(chǔ)和傳輸應(yīng)遵循目的明確、最少夠用、知情同意的原則。對(duì)界面展示的個(gè)人敏感信息應(yīng)進(jìn)行去標(biāo)識(shí)化處理。c)網(wǎng)頁防篡改：應(yīng)對(duì)外發(fā)布的Web站點(diǎn)部署網(wǎng)頁防篡改系統(tǒng)，防止頁面被惡意篡改。d)密碼應(yīng)用：若涉及商用密碼建設(shè)，應(yīng)符合GB/T39786-2021等相關(guān)標(biāo)準(zhǔn)要求，在數(shù)據(jù)傳輸、存儲(chǔ)等環(huán)節(jié)采用合規(guī)的密碼技術(shù)。8.安全管理要求應(yīng)建立健全覆蓋網(wǎng)絡(luò)安全工作全流程的管理體系，確保安全策略的有效落地和持續(xù)改進(jìn)。8.1安全管理中心a)集中監(jiān)控：應(yīng)建設(shè)統(tǒng)一的網(wǎng)管系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備等IT/CT資產(chǎn)進(jìn)行集中化、可視化監(jiān)控，實(shí)現(xiàn)統(tǒng)一的告警、性能和拓?fù)涔芾怼)集中審計(jì)：應(yīng)部署日志審計(jì)系統(tǒng)，對(duì)全網(wǎng)設(shè)備和系統(tǒng)的日志進(jìn)行統(tǒng)一收集、范式化、分析和存儲(chǔ)，實(shí)現(xiàn)安全事件的可追溯。c)集中策略管理：應(yīng)部署安全管理平臺(tái)，對(duì)全網(wǎng)的防火墻等安全設(shè)備進(jìn)行策略的集中下發(fā)、變更審批和合規(guī)性檢查。d)態(tài)勢(shì)感知：宜部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，通過大數(shù)據(jù)分析和威脅情報(bào)，對(duì)全網(wǎng)安全狀