乐山公安信息通信网边界接入平台.docx
《乐山公安信息通信网边界接入平台.docx》由会员分享,可在线阅读,更多相关《乐山公安信息通信网边界接入平台.docx(20页珍藏版)》请在冰豆网上搜索。
乐山公安信息通信网边界接入平台
附件:
乐山市移动警务查询、350兆GPS无线
集群边界接入平台
建设技术要求
平台建设要求3..
1、平台建设背景3..
2、平台建设内容3..
3、平台建设的主要功能3..
4、设备设备参数要求一览表4..
5、主要设备功能要求6..
(1)安全数据交换系统6..
(2)集中监控与管理系统9..
(3)视频专用隔离设备1..0
6、项目实施要求1..1
(1)项目实施进度1..1
(2)实施要求1..1
(3)系统验收1..1
(4)技术文档的提交1..1
(5)其它问题1..2.
7、技术服务要求1..2
(1)技术服务要求1..2
(2)培训1..2.
二、投标人资格要求1..3
三、中标人要求1..3
平台建设要求
1、平台建设背景
随着计算机和网络技术在公安及相关行业的广泛应用,随着公安部门对特种行业监管力度的加强,公安部门所需的许多社会信息都要向相关单位采集,如二手机动车信息、旅馆住宿人员信息等。
公安部于2007年制订了《公安信息通信网边界接入平台安全规范》,规范了公安信息通信网的边界接入方式,明确了安全技术要求和安全管理要求,并对符合《公安信息通信网边界接入平台安全规范》的产品进行专门的检测认证。
依据公安部《公安信息通信网边界接入平台安全规范》的规范标准和省厅要求,乐山市公安局在市局信息中心建设边界接入平台,实现外部网络的安全接入和信息的高效交换,在确保公安信息通信网络安全的前提下,为我市开展公安系统的社会信息交换共享和整合应用社会信息资源提供支撑、保障。
2、平台建设内容
按照公安部《关于稳步开展公安信息资源共享服务工作的通知》和公安部信息通信局《关于印发〈公安信息通信网边界接入平台安全规范(试行)》等有关文件精神,乐山市公安局计划建设公安信息通信网边界接入平台,在确保公安信息通信网络安全的前提下,为乐山市开展公安系统的社会信息交换共享和整合应用社会信息资源提供支撑、保障,实现对有关社会企事业单位接入对象与公安信息通信网的安全可控的接入和信息交换。
为公安管理的行业部门、单位(如旅店业、机修、车检、印章管理等)及其他市局已建立的信息采集点提供安全接入。
目前需接入公安网的资源有:
旅店业、印章业数据,OA数据,GIS系统的GPS定
位数据,技防报警数据,城市治安监控图像控制信息等数据。
3、平台建设的主要功能
1)实现社会企事业单位接入对象与公安信息通信网的安全接入。
根据接入对象的性质和接入方式,采用物理隔离的安全通道,构建公安信息网边界安全接入平台,通过多层安全防护技术,实现外部网络与公安信息网的安全接入。
主要提供信道加密、身份认证、设备认证、入侵防范、网络隔离、审计等安全接入功能。
2)实现内外数据的安全实时交换。
根据接入用户对数据交换类接入业务的需求,提供不同类型数据的交换服务功能,实现内外数据的安全实时交换。
主要提供数据库同步交换(包括异构数据库同步交换)、文件数据交换等安全交换功能。
提供对数据交换对象的认证,实现对所交换数据的加密,对所交换的数据全面过滤并实现交换行为可追溯。
3)实现部分社会信息资源库的前置服务。
通过在公安信息网边界接入平台中建立前置服务器。
作为外部终端网络连接的终点,提供给终端用户应用代理、数据暂存等功能服务,为警务综合平台、警用地理信息系统和有关业务系统整合应
用社会信息资源提供基础数据服务。
4)实现对边界接入平台的集中监控和审计管理。
根据接入业务的运行管理要求,提供对平台和业务运行情况的监测、审计和管理。
主要提供运行监控管理、报警管理、设备日志管理、安全审计等运行监管和审计功能。
统一采用报表、图形等多种统计展示方式,建立专门的集中展示功能界面,统一动态展现平台用户、业务、数据、流量、设备状态等系统运行和应用情况。
4、设备设备参数要求一览表
序号
产品名称
描述
数量
1
边界接入平台-专用设备
1.1
安全数据交换系统
安全数据交换系统是一个实现跨网络安全数据交换的专用设备,解决了在数据交换过程中认证、加密、过滤和审计问题,能够显著提高跨网络数据交换的安全强度,实现公安内网与外部网络之间安全数据交换的系统。
产品要与省厅平台兼容
标准机架式机箱,双主机系统。
一个以上千兆咼速以太网络接口,安全加固Linux系统
性能指标:
稳定性运行时间(MTBF):
>50000小时
可实现300Mbps的交换能力,6000个并发会话数据库到数据库父换最大并发数据表》1024
数据影射最大字段数》256
数据库到数据库交换记录数(>100Kb/记录)》2000条/秒
数据文件处理文件数(>100Kb/记录)》1500个/秒
数据文件处理吞吐量》300Mbps
应用层数据交换速度(FTP)》300Mbps并发客户端数量》6000
最大数据文件》10G
任务调度粒度秒级
目录监控触发时间<1秒
最大传输延时<40ms
SYSLOGSNMPV2/V3支持
具体功能要求见本章第5节《主要设备功能要求》
1
1.2
集中监控与管理系统
集中监控与管理系统(简称"集控系统”),能对整个边界接入平台进行安全监控、管理与维护,统计与分析。
集控系统硬件含集中监控审计系统软件和硬件(服务器和监管探针)。
产品要求保证与省厅平台的无缝连接,互联互通。
1
硬件服务器配置如下:
标准机架式机箱,双主机系统。
两个以上千兆网络接口,安全加固Linux
系统。
性能指标:
稳定性运行时间(MTBF):
>50000小时
最大支持业务数量:
》1000;
最大监控并发用户数量:
》5000;
最大审计用户数量:
》20000;
具体功能要求见本章第5节《主要设备功能要求》
1.3
集控探针
机架式机箱,4个以上10M/100M/1000Mbps千兆网络接口,安全加固Linux系统,
MTBF平均无故障时间间隔)>50000小时
支持SYSLOG、议
支持SNMPV2/SNMPv3协议
1
1.4
视频专用隔离设备
产品要求与集控系统冋品牌,与平台无缝兼容,接受集控系统的统一监管;
1
2U机架式、千兆网口X4、专用安全加固Linux系统;视频传输能力:
64路并发(每路》2Mbps)
编码格式:
支持M-JEPGMPEG4H.264
视频分辨率:
支持D1、VGA2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF视音频:
支持视音频同时传输
最大带宽:
》300Mbps
码流类型:
支持MPEC-4视频码流(ES、PS和TS)适用码流:
20Kbps~3Mbps
视频数据包传输延时:
<=35ms
数据包丢失率:
<0.5%。
支持双机热备、支持负载均衡;稳定性:
MTBF平均无故障时间间隔)>50000小时具体功能要求见本章第5节《主要设备功能要求》
2
边界接入平台—网络设备
2.1
防火墙
机架式硬件千兆防火墙,专用硬件平台。
网络处理能力》1.5G,并发连接
数》200万,具备2个SFP光纤接口,标配4个以上10/100/1000M自适应电口。
1
2.2
网闸
机架式,千兆背板硬件架构,系统吞吐量600M内部系统交换带宽2Q
延时<20ms,内/外网模块各包含4个以上10/100/1000M自适应电口
1
2.3
三层网络交换机
24个10/100/1000以太网端口,2个SFP千兆位以太网端口(CombO
1
2.4
两层网络交换机
24个10/100/1000以太网端口
1
5、主要设备功能要求
1)安全数据交换系统
系统功能
1)硬件的双向认证技术采用硬件设备证书对数据交换服务器进行认证,该证书由公安PKI系统颁发。
2)数据机密性和完整性保证对数据进行加密和校验,确保数据的机密性和完整性。
3)深度内容过滤能够事先定义业务的过滤规则,并根据过滤规则对数据进行严格的检查和过滤。
建议采用流杀毒引擎查杀病毒。
4)数据交换行为可追溯能够提供对整个数据交换行为的完整审计,包括数据来源、交换发生时间、数据交换的目标、数据交换的内容、是否得到了授权、是否遵守交换规则、交换行为是否成功、交换结束时间等等。
5)多业务复用系统可以承载十个以上不同的业务,并且每个业务可以单独起停而不影响其他业务。
6)容易部署,应用程序无须修改系统具备“集装箱”式的数据交换功能,不管是代理访问、数据库同步、文件交换还是流媒体传输,都不需要修改原有应用系统就可实现数据交换。
7)管理方便系统采用具有人性化的B/S管理界面,可以在统一界面上起停、监控、统计、查询所有业务。
安全保障功能
1)双向认证功能采用硬件设备证书双向认证内外网数据交换服务器的合法性。
2)专用硬件架构系统硬件内部采用专用硬件架构,硬件设备内部采用特殊的认证机制,保证基于硬件的可信任计算体系。
3)数据加密功能数据交换采用加密传输通道。
4)加固操作系统采用安全加固操作系统,取消所有对外提供服务的包,并加入内核级IDS功能,能够有效抵抗攻击。
5)链路区分功能系统为每个业务建立单独通道进行数据交换,每个通道之间不能互相访问。
6)规则过滤功能系统能够根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段。
7)病毒过滤功能系统集成了流杀毒引擎,对病毒、木马进行查杀。
8)SQL提交阻断功能
系统能够识别数据交换内容中SQL语句,防范SQL提交攻击,保护内网数据库和
应用系统。
9)内容过滤功能系统可根据用户设置的黑名单过滤数据,如果出现则阻断数据交换行为并报警通
知用户。
10)URL过滤功能
系统可根据用户设定的URL过滤规则,对所有请求进行过滤,只允许合法的URL
请求。
11)流量管理
系统能够实时监控业务流量,并根据设置的阀值判断是否超载,如果出现实时报警。
12)故障自恢复功能系统具备故障自恢复功能,防止因网络故障等原因导致的数据丢失。
数据库交换功能
1)数据库交换模式选择
系统能够支持多种同步方式:
触发、奉献、全表同步、断点续传、快照日志和同表双向。
2)异构数据转换功能
系统能够支持异构数据库的数据类型转换(表名、表字段、表字段类型、表主键、
表外部键不同);支持BLOBCLOBLONGTEXTIMAGE等大字段的异构,支持不同字符集的异构。
3)双向交换功能
系统能够支持源与目标的同表双向同步。
4)数据库分发功能
系统能够支持将源数据库中的记录分发到不同的目标库。
5)实时调度和定时调度
系统能够支持实时和定时调度,能够让用户自己设置调度的时间间隔。
6)条件选择
系统可设置过滤条件,进行条件过滤同步。
7)列过滤功能
系统可以选择需要同步的字段,字段值可以定义缺省值,也可以自定义公式对字段值进行换算。
8)业务监控功能
系统能够显示业务的运行状态、当日流量统计、昨日流量统计、当月和上月流量对比等。
9)审计功能
系统能够提供同步成功的审计记录,包括:
业务名,条数、操作、时间、库名、表名;提供同步失败的审计记录,包括:
业务名,失败原因、操作次数、恢复次数、时间、库名、表名。
10)恢复功能
系统能够设置恢复时间,显示需要恢复的数据包和下一次恢复调度时间。
11)故障报警功能系统能够在同步过程发生错误时,监控系统会及时收到报警并重试。
报警可以按要求以多种形式发送,如邮件、短信、声音。
12)统计功能系统能够提供针对每个业务的流量、同步条数、运行时间、调度次数、故障次数、恢复次数的统计信息。
代理功能
代理模式选择功能
系统能够支持代理HTTPHTTPSFTP、TCPSOCKE、POP3SMTP等多种访问协议,同时支持各种数据库的客户端代理(如ORACLEMSSQLServer等)。
文件交换功能
1)模式选择功能
系统可以选择文件或者文件夹的交换模式,可以选择实时或者定时交换;文件和文件夹的双向同步等等。
2)杀毒和文件过滤功能
系统能够支持对所有文件(包括压缩文件)杀毒,支持对文件进行格式过滤。
3)冲突策略选择功能
系统具有灵活的文件交换冲突选项,支持重名策略,覆盖、放弃、重命名(加以时间后缀)。
管理功能
1)内网配置、自动部署
系统采用HTTPS实现远程管理,系统能够配置信息自动摆渡至外网,不需要管理员
内网、外网两地配置。
2)运行监控功能
系统能够对所配置的业务进行单个业务的启动、停止管理。
3)系统自测功能系统能够根据用户的业务配置提供自测试功能,验证该业务是否可用。
4)设备状态监控
系统能够实时监控内外网交换服务器的设备状态。
5)业务状态监控系统能够实时监控某个业务当前状态。
6)统计功能
系统能够通过曲线图或者柱状图统计过去任一段时间内所交换数据流量或者交换次数。
7)集群与负载均衡功能
系统具备数据交换的容错功能,包括数据库源端容错和对于多台网闸并联方式的支持;同时系统能够与负载均衡器集成,从而实现硬件级集群功能。
8)日志功能
系统能够支持日志服务器功能,将日志信息以标准格式(SYSLOG格式)导出给集控
系统或其他第三人存储备份,并结合集控系统对系统日志进行分析。
2)集中监控与管理系统
注册管理功能
1)根据公安部安全规范要求能够提供边界接入不同层次(接入终端、平台、链路、业务、使用单位等)的信息注册和管理功能。
包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记;对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行详细登记。
2)要求集中集控与管理系统能够实现和四川省厅平台兼容,能够实现无缝连接,能够监管数据的及时上报,满足公安部安全规范针对边界接入平台部、省、市三级互联的要求。
网络配置与监控
1)提供对接入终端的注册信息、设备信息、用户信息、安全状况、网络连接情况、业务应用情况的查询统计。
2)能够实时看到各种业务当前的运行状态(正常、异常)和当前日流量、总流量等。
3)能够根据链路、根据业务归属单位、根据业务操作方式、根据接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重要信息。
4)能够在链路拓扑图上实时监控各种设备当前运行状况。
5)能够按需生产网络流量信息的报表,如果流量超过事先设置的阀值则报警给管理员。
6)能够提供用户行为监控,对用户的登录状态、操作行为、访问资源进行监控并提供查询统计。
设备日志监控
1)采用syslog服务搜集边界接入平台内各个服务器、前置机和网络设备(如三层交换机,路由器,防火墙,VPN网关、网闸等)的日志信息。
2)对安全数据交换系统、可信边界安全网关设备进行专门的审计。
并且对专有设备的syslog信息的内容部分作了更进一步的扩容,实现根据对syslog内容解析获得这些专有设备业务配置信息、业务审计信息、业务报警信息和实时业务状态信息等。
报警管理功能
1)能够通过被动采集(SYSLO奥SNMPv2v3)设备日志和网管信息和主动安全策略
(PING或TELENET来判断设备是否故障,一旦故障则启动报警。
2)能够通过采集安全数据交换系统和可信边界安全网关向集控系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息,一旦故障则启动报警。
3)能够通过采集各种设备发送给集控系统的异常事件信息来判断是否出现安全事件,如病毒、木马被发现,未授权访问请求被接受等,一旦事件发生则启动报警。
4)能够支持报警信息对外发送功能,包括短信报警和邮件报警等,对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置。
安全审计功能
1)能够提供用户行为审计,即用户信息、用户访问的资源、访问的时间等信息。
2)能够提供业务应用审计,即业务应用系统信息、数据传输流量、传输时间、传输具体内容等等。
3)能够提供设备运行审计:
即设备的启停时间、次数、流入流出流量、设备资源使用状况、设备是否在线、服务是否正常等等。
4)能够提供异常行为审计:
即异常发生时间、业务信息、设备信息、异常具体内容等等。
系统设置
系统设备功能包括系统参数设置、系统报警查询、级联上报、系统模板配置、用户密码修改等功能项。
3)视频专用隔离设备
1)访问控制:
视频专用隔离设备应能够实现访问控制,包括:
视频服务器IP地址限制、客户端IP地址范围限制、访问授权和拒绝。
2)服务器认证:
视频专用隔离设备必须能对提供视频服务的服务器的合法性进行认
证,保证非法的外部视频服务器不能接入使用单位内网。
认证方式为基于USM的设
备认证。
3)网关过滤和控制功能。
具有:
内核级智能状态检测和深层次网络过滤;内嵌式入侵
检测功能,抵御内、外网络洪水攻击及端口扫描攻击;网络硬件MAC地址与IP地
址绑定及多网段访问控制;网络主机或制定地址段分组访问控制;网络过滤及控制策略的优先级选择控制。
4)网络地址转换功能。
具有:
源地址转换;目的地址转换;虚拟服务器和静态负载均衡。
5)应用层过滤功能。
具有:
视频信号数据过滤;过滤所有非视频数据;主流防病毒系统的流杀毒引擎实时杀毒;系统管理功能;清晰直观的图像化配置管理控制台;完善的日志管理控制台,提供详尽的网络访问日志、管理审计日志、内容过滤日志、病毒检测日志、系统运行日志查询及图形统计功能和扫描攻击声音报警功能。
6)IP认证和优先级功能。
具有:
认证客户端合法IP地址,通过用户名/口令获取授权、根据IP优先级分组、优先级分配视频带宽等功能。
7)审计:
视频专用隔离设备安全功能应至少能对下列可审计事件生成一个审计记录:
审计功能的启动和关闭;任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响的客体的标识;任何修改、破坏审计记录的尝试;所有对视频专用隔离设备规则复盖的客体(内部或外部网络上的主机)执行操作的请求,以及受影响客体的标识;修改安全属性的所有尝试,以及修改后安全属性的新值;所有使用安全功能中鉴别数据管理机制的请求;所有访问鉴别数据请求,以及访问请求的目标;任何对鉴别机制的使用;所有使用标识机制的尝试;所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值;对于每一个审计记录,视频专用隔离设备安全功能应至少记录以下信息:
事件发生的日期和时间,事件的类型,主体身份和成功或失败的事件。
8)视频专用隔离设备应具备较好的兼容性,需支持动态端口协商机制,以满足“全球眼”(“宽世界”)类视频接入的需要。
9)视频专用隔离设备应能兼容市场上多数主流视频系统,包括:
南望、天视、先进视
讯、互信互通、博康、华为3C0(包括H3C3000系统和H3Civs8000系统)、广东博路、浙江海康、大华和上海贝尔。
6、项目实施要求
1)
项目实施进度
1)
2)
中标人负责实施边界接入平台系统范围内的安装、调试和培训工作。
中标人应提交详细周密的项目实施计划文档。
2)
实施要求
依据公安部信息工程建设项目有关管理办法,由乐山市公安局与中标人组成项目工作组,负责项目实施和管理,定期召开座谈会。
项目实施过程中的重大问题向有关领导部门进行汇报。
中标人要严格按照信息工程建设规范进行项目管理,各阶段都应提交相应的计划、设计,并经项目工作组认可后进行下阶段工作,并应确保人力、物力的定量投入,定期向项目组提交项目进展情况报告。
项目实施中,应确保业务正常开展。
项目完成后,确保各业务平台顺利迁移。
使乐山市公安局公安信息通信网边界接入平台项目建成样板工程。
(3)系统验收
系统实施验收的内容包括:
系统安装调试及系统运行的验收。
在各阶段实施的过程中,中标人应定期以书面形式向采购人汇报工程实施情况,采购人有权对实施对象进行抽查,并将结果留存作为验收依据。
该系统实施过程中,中标人应与采购人结合分阶段反复进行单元测试、集成测试和系统测试。
测试工作完成后,采购人将进行初步验收并试运行1个月。
对于试运行期间发现的系统缺陷,中标人就在双人约定时间内完善克服。
试运行结束后,采购人将根据实施人案组织相关专家进行系统综合验收。
4)技术文档的提交
作为系统实施的一部分,中标人需编制提交三类文档供招标代理机构使用和参考,以保证整个系统的资料完整。
1、技术类文档
1)设计方案类文档:
总体设计方案、项目实施方案等文档。
2)平台系统使用手册:
平台系统使用手册、平台系统操作手册。
3)平台系统维护手册。
4)其它需要提供的技术文档。
2、计划类文档
这类文档由执行合同开始后的各阶段工作计划组成。
1)培训计划:
按投标书中的培训要求做出培训方案,编写、印制教材,制定培训时间及人员安排。
2)项目实施计划:
人员配置情况(提供相关证书)、到达现场时间计划、各阶段工作内容及时间。
3)测试计划:
单元测试、集成测试、业务应用测试的内容、依据、工具、方法及人员安排。
3、测试验收类文档
1)测试方案:
单元测试、集成测试、业务应用测试的方法与指标。
2)测试报告:
单元测试、集成测试、业务应用测试的测试结果报告。
3)验收方案:
整体平台系统验收包括验收方式、方法、指标。
4)验收报告:
验收结果报告包括验收时间、参与人员、验收目的、验收结果。
5)其它问题
产品的专利权。
中标人应保证所提供的产品不存在任何权利上的瑕疵,其产品的销售
和使用不侵犯第三人的合法权益。
如果有任何第三人提出指控,中标人必须与第三人交涉,并承担发生的一切法律责任和费用。
7、技术服务要求
1)技术服务要求
中标人必须提供技术后援支持,为今后系统中主要设备和系统软件提供长期的技术支持,技术支持的方式至少包括:
电话技术服务、现场技术服务、定期巡查服务、技术升级服务等。
中标人提供产品运行服务的质保期(免费服务)为36个月,自系统验收合格之日计算。
期间如有功能修改、完善、优化、升级,应免费进行。
提供三年7X24小时服务、每季度一
次巡检的售后服务,并提供完备的文档资料。
在接到用户通知后反应时间不多于1小时,修复时间不多于24小时,特殊情况在24小时内无法恢复的,提供使系统正常运行的方案。
中标人提供书面的技术服务承诺,明确售后服务的服务方式、范围、内容以及免费服务期后系统软件每年的服务费用。
(2)培训
培训内容涉及多个产品的应用,每种培训课程都要求提供全面培训,内容涉及概念、配置、维护、调优等,保证投标人所提供的系统能够正常、安全地运行。
1)在系统验收合格一个月内,中标人应完成所有培训任务;
2)培训内容:
安全数据交换系统、集中监控与管理系统、可信边界安全网关等平台核心产品的应用、维护,常见故障排除等;以及其它网络通用产品的日常维护。
3)培训对象:
系统管理员及业务操作人员;
4)培训费用:
授课资料、环境搭建费用,由中标人出资。
升级会员 