蘇州市網路安全頂層規劃

A. 網路安全防範體系的層次

物理環境的安全性
該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性（線路備份、網管軟體、傳輸介質），軟硬體設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環境（溫度、濕度、煙塵），不間斷電源保障，等等。 操作系統的安全性
該層次的安全問題來自網路內使用的操作系統的安全，如Windows NT，Windows 2000等。主要表現在三方面，一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。 網路的安全性
該層次的安全問題主要體現在網路方面的安全性，包括網路層身份認證，網路資源的訪問控制，數據傳輸的保密與完整性，遠程接入的安全，域名系統的安全，路由系統的安全，入侵檢測的手段，網路設施防病毒等。 應用的安全性
該層次的安全問題主要由提供服務所採用的應用軟體和數據的安全性產生，包括Web服務、電子郵件系統、DNS等。此外，還包括病毒對系統的威脅。 管理的安全性
安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網路的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。

B. 網路信息安全層次結構是什麼.

信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面。
鑒別

鑒別是對網路中的主體進行驗證的過程，通常有三種方法驗證主體身份。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特徵或能力，如指紋、聲音、視網膜或簽字等。

口令機制：口令是相互約定的代碼，假設只有用戶和系統知道。口令有時由用戶選擇，有時由系統分配。通常情況下，用戶先輸入某種標志信息，比如用戶名和ID號，然後系統詢問用戶口令，若口令與用戶文件中的相匹配，用戶即可進入訪問。口令有多種，如一次性口令，系統生成一次性口令的清單，第一次時必須使用X，第二次時必須使用Y，第三次時用Z，這樣一直下去；還有基於時間的口令，即訪問使用的正確口令隨時間變化，變化基於時間和一個秘密的用戶鑰匙。這樣口令每分鍾都在改變，使其更加難以猜測。

智能卡：訪問不但需要口令，也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡，一般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數（ID）和其它數據的加密形式。ID保證卡的真實性，持卡人就可訪問系統。為防止智能卡遺失或被竊，許多系統需要卡和身份識別碼（PIN）同時使用。若僅有卡而不知PIN碼，則不能進入系統。智能卡比傳統的口令方法進行鑒別更好，但其攜帶不方便，且開戶費用較高。

主體特徵鑒別：利用個人特徵進行鑒別的方式具有很高的安全性。目前已有的設備包括：視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統

數據傳輸加密技術 目的是對傳輸中的數據流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分，加密可以在通信的三個不同層次來實現，即鏈路加密（位於OSI網路層以下的加密），節點加密，端到端加密（傳輸前對文件加密，位於OSI網路層以上的加密）。

一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路採用不同的加密密鑰提供安全保護。鏈路加密是面向節點的，對於網路高層主體是透明的，它對高層的協議信息（地址、檢錯、幀頭幀尾）都加密，因此數據在傳輸中是密文的，但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密，並進入TCP/IP數據包回封，然後作為不可閱讀和不可識別的數據穿過互聯網，當這些信息一旦到達目的地，將自動重組、解密，成為可讀數據。端到端加密是面向網路高層主體的，它不對下層協議進行信息加密，協議信息以明文形式傳輸，用戶數據在中央節點不需解密。

數據完整性鑒別技術 目前，對於動態傳輸的信息，許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法，但黑客的攻擊可以改變信息包內部的內容，所以應採取有效的措施來進行完整性控制。

報文鑒別：與數據鏈路層的CRC控制類似，將報文名欄位（或域）使用一定的操作組成一個約束值，稱為該報文的完整性檢測向量ICV（Integrated Check Vector）。然後將它與數據封裝在一起進行加密，傳輸過程中由於侵入者不能對報文解密，所以也就不能同時修改數據並計算新的ICV，這樣，接收方收到數據後解密並計算ICV，若與明文中的ICV不同，則認為此報文無效。

校驗和：一個最簡單易行的完整性控制方法是使用校驗和，計算出該文件的校驗和值並與上次計算出的值比較。若相等，說明文件沒有改變；若不等，則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯，但不能保護數據。

加密校驗和：將文件分成小快，對每一塊計算CRC校驗值，然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法，這種完整性控制機制幾乎無法攻破。但這種機制運算量大，並且昂貴，只適用於那些完整性要求保護極高的情況。

消息完整性編碼MIC（Message Integrity Code）：使用簡單單向散列函數計算消息的摘要，連同信息發送給接收方，接收方重新計算摘要，並進行比較驗證信息在傳輸過程中的完整性。這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此，一個被修改的文件不可能有同樣的散列值。單向散列函數能夠在不同的系統中高效實現。

防抵賴技術 它包括對源和目的地雙方的證明，常用方法是數字簽名，數字簽名採用一定的數據交換協議，使得通信雙方能夠滿足兩個條件：接收方能夠鑒別發送方所宣稱的身份，發送方以後不能否認他發送過數據這一事實。比如，通信的雙方採用公鑰體制，發方使用收方的公鑰和自己的私鑰加密的信息，只有收方憑借自己的私鑰和發方的公鑰解密之後才能讀懂，而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有：採用可信第三方的權標、使用時戳、採用一個在線的第三方、數字簽名與時戳相結合等。

鑒於為保障數據傳輸的安全，需採用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便，有必要選取集成的安全保密技術措施及設備。這種設備應能夠為大型網路系統的主機或重點伺服器提供加密服務，為應用系統提供安全性強的數字簽名和自動密鑰分發功能，支持多種單向散列函數和校驗碼演算法，以實現對數據完整性的鑒別。
數據存儲安全系統

在計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護，以資料庫信息的保護最為典型。而對各種功能文件的保護，終端安全很重要。

資料庫安全：對資料庫系統所管理的數據和資源提供安全保護，一般包括以下幾點。一，物理完整性，即數據能夠免於物理方面破壞的問題，如掉電、火災等；二，邏輯完整性，能夠保持資料庫的結構，如對一個欄位的修改不至於影響其它欄位；三，元素完整性，包括在每個元素中的數據是准確的；四，數據的加密；五，用戶鑒別，確保每個用戶被正確識別，避免非法用戶入侵；六，可獲得性，指用戶一般可訪問資料庫和所有授權訪問的數據；七，可審計性，能夠追蹤到誰訪問過資料庫。

要實現對資料庫的安全保護，一種選擇是安全資料庫系統，即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略；二是以現有資料庫系統所提供的功能為基礎構作安全模塊，旨在增強現有資料庫系統的安全性。

終端安全：主要解決微機信息的安全保護問題，一般的安全功能如下。基於口令或（和）密碼演算法的身份驗證，防止非法使用機器；自主和強制存取控制，防止非法訪問文件；多級許可權管理，防止越權操作；存儲設備安全管理，防止非法軟盤拷貝和硬碟啟動；數據和程序代碼加密存儲，防止信息被竊；預防病毒，防止病毒侵襲；嚴格的審計跟蹤，便於追查責任事故。

信息內容審計系統
實時對進出內部網路的信息進行內容審計，以防止或追查可能的泄密行為。因此，為了滿足國家保密法的要求，在某些重要或涉密網路，應該安裝使用此系統。

C. 「蘇式養護」保障江蘇高速公路網路安全暢通，「蘇式養護」有哪些亮點

江蘇高速公路養護管理使公路的質量得到保證，公路的使用壽命也要高出全國水平，這是可持續，可穩發展的十分有效的公路管理模式。具有鮮明江蘇特色的“蘇式養護”品牌，為全國高速公路行業提供了有益借鑒，是全國對於公路管理方面不可多的楷模，被公路養護問題困擾的城市可以好好的琢磨一二蘇式養護的管理方法。

有如此神技，守護中國的公路，中華民族的偉大復興指日可待。百姓的美好生活，未來可期。

D. 蘇州十四五規劃

《蘇州市國民經濟和社會發展第十四個五年規劃和二_三五年遠景目標綱要》於2021年1月22日由蘇州市十六屆人大五次會議審議通過，昨天（3月10日），蘇州市人民政府網站向社會全文發布。

《蘇州市國民經濟和社會發展第十四個五年規劃和二_三五年遠景目標綱要》既是「路線圖」又是「時間表」，統籌落實國家和省要求，體現了中國特色、江蘇特徵、蘇州特點，所包含的內容非常豐富，催人奮進。

《蘇州市國民經濟和社會發展第十四個五年規劃和二_三五年遠景目標綱要》根據《中共蘇州市委關於制定國民經濟和社會發展第十四個五年規劃和二_三五年遠景目標的建議》編制，系統闡明「十四五」時期發展思路、主要目標、重大舉措和政策導向，宏觀展望2035年基本實現社會主義現代化目標願景，是政府履行法定職責的重要依據，是全市人民共同奮斗的行動綱領。

《綱要》具體章節包括：奮發有為，率先開啟社會主義現代化建設新征程；凝心聚力，勾畫社會主義現代化強市藍圖；創新驅動，勇當科技和產業創新開路先鋒；堅守實業，構築現代產業強市發展新優勢；分工合作，打造服務長三角一體化的中心城市；統籌供需，引領服務構建新發展格局；擴大開放，開拓合作共贏新局面；注重品質，凸顯特大城市國際化形象；均衡有序，塑造新時代城鄉融合發展典範；高效互聯，完善現代化智能化的設施網路體系；彰顯魅力，建設崇德向善文化厚重的文明城市；綠色低碳，促進人與自然和諧共生；增進福祉，營造有溫度的幸福家園；集成改革，增強經濟社會發展新活力；法治安全，推進市域治理體系能力現代化；同心同德，凝聚規劃實施的強大合力。

對於「如何勾畫社會主義現代化強市藍圖」，蘇州市發改委發展規劃處處長夏成華這樣「拎重點」：

「十四五」時期，蘇州加快建設社會主義現代化強市，面向全球、面向未來，以推動高質量發展為主題，以深化供給側結構性改革為主線，以需求側管理為著力點，以謀劃新發展優勢為主軸，以改革創新為根本動力，以滿足人民日益增長的美好生活需要為根本目的，建設高質量經濟、造就高品質生活、打磨高顏值城市、實現高效能治理，率先建設充分展現「強富美高」新圖景的社會主義現代化強市。

到2035年，蘇州經濟強、百姓富、環境美、社會文明程度高的發展內涵全面提升，「爭當表率、爭做示範、走在前列」的目標要求如期實現，基本建成創新之城、開放之城、人文之城、生態之城、宜居之城、善治之城，高水平建成充分展現「強富美高」新圖景的社會主義現代化強市、國家歷史文化名城、著名風景旅遊城市、長三角重要中心城市，為建設世界級城市群作出積極貢獻。

到2035年，全市人均地區生產總值在2020年基礎上實現翻一番，居民收入增幅與經濟增長保持同步，人均收入和消費能力達到發達國家水平。經濟綜合實力邁入全球先進城市行列，城市軟實力全面增強，城市能級和核心競爭力全面提升。

E. 網路安全規劃有那些

網路安全的實質就是安全立法、安全管理和安全技術的綜合實施。這三個層次體現了安全策略的限制、監視和保障職能。根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM（系統安全工程能力成熟模型）和ISO17799（信息安全管理標准）等國際標准，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，在網路安全方案整體規劃中應遵循下列十大原則。
（1）整體性原則。
（2）均衡性原則。
（3）有效性與實用性原則。
（4）等級性原則。
（5）易操作性原則。
（6）技術與管理相結合原則。
（7）統籌規劃，分步實施原則。
（8）動態化原則。
（9）可評價性原則。
（10）多重保護原則。
總之，在進行計算機網路工程系統安全規劃與設計時，重點是網路安全策略的制定，保證系統的安全性和可用性，同時要考慮系統的擴展和升級能力，並兼顧系統的可管理性等。

F. 如何加強網路安全

1.物理安全

很多人一提到網路安全，都會想到技術、黑客，但是往往忽略了最應該注意到的方面。有的時候一個公司突然網路癱瘓，或者昨天還好好的，今天突然上不去網了，有可能就是你的網線插口掉了，或者被老鼠咬壞了。

所以，在搭建網路的時候，我們就要注意做好物理保護，要注意防火，要將電線和網路放在比較隱蔽的地方，要准備UPS來確保網路能夠以持續的電壓運行，要防蟲防鼠。

2.系統安全

我們經常看到電影或者電視劇里，信息盜竊者打開別人的電腦，拷去了所需要的信息，造成了巨大的損失。

所以，在生活中，我們一定要對電腦設置密碼，而且最好是數字、字母和標點符號的混合體，雖然並不能保證不被解開，但是至少可以拖延時間，減低風險。

而且，在重要的文檔或者程序上，我們也可以設置密碼，加強防護。

3.及時打補丁

現在很多企業使用的都是微軟的windows系統，由於並不像Linux那樣開源，所以windows的安全系數並不高，所以要養成定時檢查更新，及時對系統補丁進行更新，降低風險。

4.安裝殺毒軟體和防火牆

對於個人用戶來講，私人電腦如果沒有什麼重要文件的話，一般的免費殺毒軟體就夠用了。但是如果是公司的話，最好還是購買正版的殺毒軟體，像江民、卡巴斯基等都是很不錯的。

而且，我們一定要養成定時殺毒清理的習慣，保證電腦時刻保持安全。

5.代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

G. 如何做好網路安全工作

1、完善網路安全機制

制定《網路安全管理制度》，設立公司網路與信息化管理機構，負責網路設施和信息系統的運維管理。堅持做好網路與信息安全風險評估和定期巡查，制定網路安全應急預案，健全網路安全事件聯動機制，提高公司網路安全應急處理能力。

通過計算機入網申請登記表、網路密碼變更記錄、公司網路管理日誌等記錄，做好網路監控和安全服務，構建安全即服務的雙重縱深防禦模式，為公司管理保駕護航。

6、加強新媒體運營維護

做好公司微信、網站等的管理和維護，及時發布企業運行信息，構築全公司資源共享的信息平台，弘揚企業文化，提升企業形象，更好地服務於企業改革發展。

H. 智慧城市頂層規劃和城市總體規劃的區別

一、「頂層設計」的來源和內涵

「頂層設計」原是一個工程學術語，是源於自然科學或大型工程技術領域的一種設計理念，指運用系統論的方法，從全局的角度，對某項任務或者某個項目的各方面、各層次、各要素統籌規劃、多緯度設計，以集中有效資源，高效快捷地實現目標。

頂層設計要求注重規劃設計與實際需求的緊密結合，強調設計對象定位上的准確、結構上的優化、功能上的協調和資源上的整合，是一種將復雜對象簡單化、具體化、程式化、規范化、相關因素一體化的設計方法，不僅需要從系統和全局的高度，對設計對象的結構、功能、層次、標准進行統籌考慮和明確界定，而且十分強調從理想目標到現實的技術化、精確化建構，目的是要在目標與實踐之間鋪展「藍圖」。

「頂層設計」理念提出後，被廣泛應用於信息科學、軍事學、社會學、教育學等多個領域，並成為各領域制定發展戰略的一種重要思維方式。頂層設計的內涵主要體現在以下幾個方面：

一是注重戰略目標的整體性：在根據任務需求確定核心或終極目標後，「頂層設計」一定要完整地考慮各方面、各層次問題，形成一整套解決方案，調動各方面、各層次資源圍繞全局目標，有序地、漸進地落實和推進，才能最終產生頂層設計所預期的整體效果。

二是注重戰術目標的科學性：戰略目標確定後，在具體實施過程中，本著先基礎後表層、先共性後個性的科學步驟。尤其要注重解決我國長期以來政務信息社會復雜需求復雜實現、簡單需求簡單實現的模仿建設模式，優化升級為復雜工作簡單實現，簡單工作規范實現的模型式工作方法。

三是具有縝密的邏輯思維：「頂層設計」是「自上而下」的設計，但其中的「上」並不是憑空建構，而是源於實踐再經過提煉優化後高於實踐，是對實踐經驗和感性認識的理性提升。頂層設計成功的關鍵在於能夠通過縝密的全局的邏輯思維，在理想與實現、可能性與現實性之間繪制一張精確、可控的全局「藍圖」，實踐者依據「藍圖」按工作重要性分期分批建設，可以最大程度地避免各種風險，保障建設工作順利進行。

四是強調執行力保障：「頂層設計」的整體戰略、科學戰術和「藍圖」繪就以後，如果沒有到位的、全局的、基礎的詳細設計的精準執行，戰略目標依然是海市蜃樓，「藍圖」也將成為牆上的廢紙。「頂層設計」的執行過程是精細化管理和全面質量管理的體現，規劃設計要真正落地生效，必須強調執行、注重細節，注重各環節之間的互動與銜接。

二、當前政務信息化領域頂層設計存在的主要問題

(一)問題表現

十多年來，我國各級黨政機關在推進信息化建設時反復強調要做好「頂層設計」，卻屢屢收效甚微，主要原因之一就是片面地理解了「頂層」，僅按字面意思將「頂層設計」理解為最上層、最權威、最宏觀層面的設計，將「頂層規劃設計」及「專項初步設計」當成頂層設計的全部，而缺乏後面更重要的全局性基礎性頂層初步設計、全局頂層詳細規劃銜接和強有力的執行。

一個政務信息化的「頂層設計」方案，重點應解決四個方面的問題：

第一，要理順全局的體制機制，即理清建設主體，制定數據資源共享、投融資長效機制，至少要涵蓋兩個層面，一是制度機制層面的頂層設計，通過機制設計解決傳統體制機制、法規標准不匹配、不協調的問題，減少上下推進、橫向溝通之間的阻礙，保障建設順利開展;第二，理順全局的客體，即信息分類體系及數據字典體系，再分清層次，合並同類項;第三，理順全局的三定方案及各層級崗位職責以及每個部門每個人處理工作的責任清單，即銜接主體與客體的許可權形成及分配策略體系;第四，理順技術實施層面的頂層設計，對基礎設施、共性支撐軟體產品、各類應用系統建設、數據資源交換與共享等方面進行全局性的初步設計與詳細設計，為形成數據要素流通的技術、平台、系統壁壘奠定基礎。

在形式和內容上，全局性基礎性的頂層設計至少要包含「全局規劃設計、全局初步設計和全局詳細設計」三個部分，即形成「全局頂層三設計」。

對政務信息化而言，全局即指黨委及政府所屬各單位、單位所屬各部門分管業務之和，基礎則是指規劃設計出各類信息應用系統均可復用的管理與服務業務、數據、技術、安全、保密業務與標准單元。完成「全局頂層三設計」的標志則是形成共性政務業務與技術總體需求規范、背景信息(元數據)與數據結構規范、軟硬體產品與應用系統介面規范，業務功能、兼容安全可控環境測評規范等全套技術文檔。以電子政務為例，如圖2所示，實施層面的「全局頂層三設計」在傳統的可研報告、初步設計基礎上，至少還應包含以下內容：

圖1 電子政務實施層面「全局頂層三設計」的主要內容示意

就像建大樓、地鐵、高速和大橋前必須要有詳細設計圖紙一樣(如圖2)，政府信息化建設項目在開工前也應該完成真正意義的「全局頂層三設計」，並將其作為信息化工程驗收的主要依據和必需文檔。然而現實是目前我國政府信息化建設領域依然嚴重缺乏這一完整環節。多年來，我國各級政府組織實施的政務信息化項目，多數只有某個子系統的規劃設計或初步設計，開工前的詳細設計基本沒有，更沒有「全局頂層三設計」。

圖2 智慧大廈模型

(二)客觀原因

一是盡管信息化建設已經開展二十多年，信息人才仍然缺乏，特別是既懂政府管理業務、服務業務、辦公業務、安全保密業務，又懂技術實現業務與標准提煉的復合型人才更是嚴重缺乏，政府用戶和IT企業均不知如何做全局詳細設計，只能將工作設想寫成項目建議書，加上一些計算機原理與沒有提煉與優化的功能要求組裝成可研報告，再加上一些公司非標準的解決方案與產品介紹寫成初步設計。

二是在現行信息化預算管理中，一直沒有明確的規劃設計費用預算，尤其是規劃詳細設計費用預算，這樣也是導致部分用戶單位無法開展此工作的一個重要原因。於是過去幾年智慧城市工程領域，各大企業打著給政府免費設計的名義，紛紛跑馬圈地，政府官員本著不投入或少投入即取得大政績的想法與各大企業簽訂協議。

三是在技術層面，長期以來我國各類政務信息化系統建設模式多是IT企業基於國外IT企業或開源社區提供的基礎層軟體產品、支撐層常用工具軟體，定製一些技術含量不太高的應用層各類信息應用系統，負責開發企業往往無法真正掌控這些軟體產品的技術細節與設計架構，也就無法形成全局的詳細設計。

(三)主觀因素

一是由於IT公司眾多，市場競爭非常激烈，傳統IT公司往往將屬於詳細設計工作內容作為商業秘密保護，不希望用戶單位開展此項工作、了解詳細內容，以期達到長期控制用戶的目的;同時各類大企業為了佔領更多市場，往往打著各種合作和免費設計的名義，在設計過程中將企業私有的、不成規模、不成體系的解決方案與產品推銷給政府用戶。

二是政府部門嚴重缺乏復合型人才，特別是缺少既懂技術又懂業務的人才，在項目規劃階段、設計階段與建設階段往往容易被企業誤導。

(四)無全局頂層詳細設計的後果

缺乏全局詳細設計的直接後果就是，經過二十多年的建設，各級政府規劃建設了數以十計、百計、千計的大小不等的、獨立的信息系統，在所有城市建成眾多的技術孤島、數據孤島，形成眾多的邏輯棚戶區(如圖3)，各類信息系統以及形成的數據體系無法直接互聯互通、安全交換與共享，無法根據需求以任意維度切片分析利用。

圖3 無全局頂層詳細設計的傳統模式

三、「頂層三設計」是新型智慧城市政務信息化建設的基礎

當前社會已經進入信息社會，雲計算、物聯網、大數據等技術發展趨勢，新型政務信息系統、新型智慧城市、「互聯網+」等發展理念及安全自主可控替代發展要求，面對新型信息化發展的機遇與挑戰，統一標准，特別是業務需求標准、數據格式標准與服務標準是關鍵。國家層面的相關文件如《國家信息化發展戰略綱要》、《國家電子文件管理十三五規劃》、《「十三五」國家信息化規劃》也都對政務標准化、集約化、一體化提出了更高的、具體的要求。政務信息化，尤其在智慧城市中樞管理服務平台體系等建設領域，「頂層三設計」是新型智慧城市建設的基礎。

比如，雲計算技術就要求數據的集中(物理或邏輯集中，實際更重要的是邏輯集中)和數據格式統一標准。

物聯網技術同樣要求標準的統一：對狹義物聯網而言，需要統一各類儀器儀表及各類感測器通信介面標准與屬性代碼授證中心統一標准以便於數據交互、集中共享;對廣義的物聯網而言，需要統一各類IT硬體設備、各類數據記錄格式(關系型與非關系型)與記錄的ID與標識標准，以便數據交換、集中與共享。

大數據、智慧城市、自主可控要求同樣需要統一的標准。要將政府既有的幾十、幾百、幾千個共性與個性政務管理與服務類信息應用系統分別形成的數據，必須按統一標准實現各類信息系統的互聯互通，按照統一標准進行數據的清洗、匯總、整合與升級，以便政府各級領導及工作人員以各維度切片分析、鑽取、分析等大數據應用，才能真正達到提升政府決策的科學化、管理的精準化、服務的高效和便捷化，實現簡政放權，變成「智慧」的政府，提升公眾獲得感的目標。

而要實現統一的數據服務格式標准，只有統一各領域業務管理與服務需求規范，才能形成統一的業務架構與技術架構，統一的技術實施方案、統一的元數據及數據格式規范，開展全局性的「頂層三設計」是實現這一目標的有效途徑，尤其是在智慧城市中樞管理與服務平台體系方面，亟需通過「頂層三設計」，才能真正推進智慧城市和政務信息化建設的標准化、集約化、一體化。

金鵬信息安全可控新型智慧城市研究中心，與國家信息中心、國家行政學院、北京大學、國家標准委等合作，致力於安全可控新型智慧城市的研究、規劃、設計及建設工作，為新型智慧城市建設提供深度支撐和服務。

中心主任任錦華：原中共中央對外聯絡部信息辦副主任、國家信息中心智慧城市發展研究中心特聘研究員、北京大學數字中國研究院信息社會治理創新研究中心主任、國標委全國政府大廳標准化工作組委員。
金鵬信息智慧城市頂層設計

I. 如何實現網路安全措施

網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
（一）保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：
（1）全面規劃網路平台的安全策略。
（2）制定網路安全的管理措施。
（3）使用防火牆。
（4）盡可能記錄網路上的一切活動。
（5）注意對網路設備的物理保護。
（6）檢驗網路平台系統的脆弱性。
（7）建立可靠的識別和鑒別機制。
（二）保護應用安全。
保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
（三）保護系統安全。
保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：
（1）在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。
（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。
（3）建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。
（一）加密技術。
加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。
（1）對稱加密。
對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
（2）非對稱加密。
非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。
（二）認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
（1）數字簽名。
數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來，發送方從報文文本中生成一個散列值，並用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然後，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；如果這兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。
（2）數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。
（三）電子商務的安全協議。
除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
（1）安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時，雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息，客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
（2）安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標准。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。
在這里著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體，還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：
（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；
（2)安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
（3)跟機房值班人員搞好關系，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

J. 頂層設計方案包括哪些內容

《07-王紫傑商業頂層設計全集（大量課程》網路網盤資源免費下載

鏈接:https://pan..com/s/1AhKlL05TcSBR24Wvaxspyg

07-王紫傑商業頂層設計全集（大量課程|王紫傑|D王紫傑_電子書|C王紫傑-音頻錄音|B王紫傑_總裁班錄音|A王紫傑_視頻講座|A10王紫傑_總裁網路營銷 5DVD.rar|A09王紫傑_微商系統視頻 5DVD.rar|A08王紫傑《戰略頂層設計金融峰會》現場培訓視頻 5DVD.rar|A07王紫傑《戰略頂層設計》5DVD.rar|A06王紫傑（第十屆）萬企共贏大講堂戰略頂層設計 20DVD.rar|A05王紫傑_萬企商學院VIP（全套教程） 52DVD.rar|A04王紫傑_互聯網最佳商業模式 9DVD.rar|A03王紫傑_互聯網印鈔機 6DVD.rar|A02王紫傑_互聯網成交風暴SRO 5DVD.rar