【正文】 對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； l 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。 能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。系統(tǒng)設(shè)置一臺(tái)IDS檢測(cè)引擎，用于對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理。其結(jié)構(gòu)如下圖所示：檢測(cè)引擎是一個(gè)高性能的專用硬件，運(yùn)行安全的操作系統(tǒng)，對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)包進(jìn)行記錄和分析。根據(jù)規(guī)則判斷是否有異常事件發(fā)生，并及時(shí)報(bào)警和響應(yīng)。同時(shí)記錄網(wǎng)絡(luò)中發(fā)生的所有事件，以便事后重放和分析。管理主機(jī)運(yùn)行于Windows操作系統(tǒng)的圖形化管理軟件?？梢圆榭捶治鲆粋€(gè)或多個(gè)檢測(cè)引擎，進(jìn)行策略配置，系統(tǒng)管理。顯示攻擊事件的詳細(xì)信息和解決對(duì)策。恢復(fù)和重放網(wǎng)絡(luò)中發(fā)生的事件。提供工具分析網(wǎng)絡(luò)運(yùn)行狀況。并可產(chǎn)生圖文并茂的報(bào)表輸出。 l 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； l 對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； l 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一； l 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； l 具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施； l 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。 主機(jī)安全 l 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； l 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； l 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； l 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； l 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 l 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問； l 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離； l 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； l 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。 l 審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶； l 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； l 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等； l 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。 l 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)； l 應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。 l 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； l 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定； l 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。 應(yīng)用安全 l 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別； l 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用； l 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； l 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 l 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問； l 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作； l 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限； l 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。 l 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)； l 應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄； l 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。 應(yīng)采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。 l 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證； l 應(yīng)對(duì)通信過程中的敏感信息字段進(jìn)行加密。 l 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求； l 在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧? l 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話； l 應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制； l 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。 數(shù)據(jù)安全及備份恢復(fù) 應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。系統(tǒng)提供完整的日志功能，對(duì)所有的業(yè)務(wù)數(shù)據(jù)，進(jìn)行日志記錄，以備后查。 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性。系統(tǒng)使用IC卡存儲(chǔ)業(yè)務(wù)數(shù)據(jù)時(shí)，采用了DES加密算法，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密。 a) 采用了Rose公司提供的、基于共享磁盤陣列的高可用RoseHA解決方案，為用戶提供了具有單點(diǎn)故障容錯(cuò)能力的系統(tǒng)平臺(tái)。 b) 采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國(guó)電信MSTP網(wǎng)絡(luò)，實(shí)現(xiàn)了A、B、C三個(gè)區(qū)的互聯(lián)通訊、三個(gè)區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。c)制定詳細(xì)的數(shù)據(jù)庫(kù)備份與災(zāi)難恢復(fù)策略，并通過模擬故障對(duì)每種可能的情況進(jìn)行嚴(yán)格測(cè)試，保證了數(shù)據(jù)的高可用性。綜合布線系統(tǒng)范圍主要包括聯(lián)檢大樓、閘口及閘口辦公區(qū)、查驗(yàn)平臺(tái)及查驗(yàn)倉(cāng)庫(kù)及實(shí)驗(yàn)樓等。本綜合布線系統(tǒng)涉及海關(guān)、檢驗(yàn)檢疫和用戶三方的綜合布線系統(tǒng)。 綜合布線系統(tǒng)設(shè)計(jì)為保證系統(tǒng)先進(jìn)性、開放性和擴(kuò)展性，實(shí)現(xiàn)語(yǔ)音、多媒體、數(shù)據(jù)等應(yīng)用的承載能力，綜合布線系統(tǒng)采用六類結(jié)構(gòu)化布線系統(tǒng)，采用星型拓?fù)浣Y(jié)構(gòu)，主干網(wǎng)絡(luò)采用千兆以太網(wǎng)絡(luò)，實(shí)現(xiàn)百兆接入、千兆上行的物理鏈路。綜合布線系統(tǒng)由工作區(qū)，水平區(qū)，垂直區(qū)，設(shè)備管理及樓群子系統(tǒng)組成，各部分均采用標(biāo)準(zhǔn)的模塊化構(gòu)件，以利于將來的升級(jí)、擴(kuò)展。l 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)由設(shè)在各工作區(qū)的信息插座、跳線（連接信息插座至終端設(shè)備之間的線纜）構(gòu)成。信息插座采用雙孔面板及相配合的六類信息模塊。l 水平干線子系統(tǒng)水平子系統(tǒng)由各大樓內(nèi)樓層配線間至各個(gè)工作區(qū)之間的電纜和多模水平光纜構(gòu)成。水平干線子系統(tǒng)采用六類阻燃雙絞線電纜。本系統(tǒng)采用六類雙絞線，用于所有的數(shù)據(jù)點(diǎn)和語(yǔ)音點(diǎn)，實(shí)現(xiàn)信息點(diǎn)可完全互換。l 垂直主干子系統(tǒng)垂直主干子系統(tǒng)采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質(zhì)量。l 管理子系統(tǒng)管理子系統(tǒng)由各層分設(shè)的樓層配線系統(tǒng)及主機(jī)房中的主配線系統(tǒng)（設(shè)備間子系統(tǒng)）構(gòu)成，負(fù)責(zé)樓層內(nèi)及信息通道的統(tǒng)一管理。主要由跳線面板、跳線管理器、跳線、光纜端接面板、機(jī)柜（或機(jī)架）等組成。管理子系統(tǒng)將電話模塊、電腦模塊和網(wǎng)絡(luò)模塊安裝在機(jī)柜中，對(duì)線纜進(jìn)行統(tǒng)一布局和管理。系統(tǒng)采用19”標(biāo)準(zhǔn)機(jī)柜，高42U，頂部安裝有24個(gè)風(fēng)扇，背后安裝電源線槽，正面安裝玻璃門，后背板和側(cè)板均可拆卸。機(jī)柜內(nèi)所有的信息點(diǎn)符合規(guī)定的編號(hào)規(guī)則和顏色規(guī)則，以方便用戶的使用。l 主配線間（BD）為實(shí)現(xiàn)高可靠性，本系統(tǒng)將主配線架全部安裝在機(jī)柜內(nèi)。l 樓層配線間（FD）在各樓層配線架中，與水平雙絞線連接的用戶區(qū)采用六類配線架，每個(gè)信息點(diǎn)完全靈活用于語(yǔ)音或數(shù)據(jù)。各配線間設(shè)置光纖配線架,用來連接多芯光纜，安裝在19”標(biāo)準(zhǔn)機(jī)柜內(nèi)，用于各種計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備。通過更換跳線實(shí)現(xiàn)與其他網(wǎng)絡(luò)設(shè)備的連接。海關(guān)網(wǎng)絡(luò)按照海關(guān)總署“五網(wǎng)”獨(dú)立要求，分別設(shè)置管理網(wǎng)、運(yùn)行網(wǎng)、電子口岸專網(wǎng)、互聯(lián)網(wǎng)和語(yǔ)音網(wǎng)。海關(guān)網(wǎng)絡(luò)覆蓋范圍包括：閘口及閘口辦公區(qū)、查驗(yàn)平臺(tái)及查驗(yàn)倉(cāng)庫(kù)及聯(lián)檢大樓海關(guān)辦公場(chǎng)地等。海關(guān)網(wǎng)絡(luò)采用三層結(jié)構(gòu)設(shè)計(jì)，由核心層、匯聚層、接入層組成。核心層設(shè)置在海關(guān)信息中心機(jī)房，匯聚層設(shè)置在海關(guān)信息中心機(jī)房、查驗(yàn)平臺(tái)機(jī)房，接入層設(shè)置在卡口。海關(guān)網(wǎng)絡(luò)應(yīng)與成都海關(guān)的網(wǎng)絡(luò)無縫地實(shí)現(xiàn)互聯(lián)互通。在海關(guān)網(wǎng)絡(luò)核心層選擇1臺(tái)高性能交換機(jī)作為系統(tǒng)主交換機(jī)。主交換機(jī)與系統(tǒng)服務(wù)器連接采用1000M 連接。在本方案的技術(shù)選擇和設(shè)備選型首先是基于對(duì)本項(xiàng)目的理解和分析，并特別考慮到滿足未來5到10年的業(yè)務(wù)發(fā)展要求做出的，并遵循以下原則得出的：v 實(shí)用性采用成熟、穩(wěn)定的技術(shù)，滿足業(yè)務(wù)的實(shí)際要求；v 先進(jìn)性根據(jù)當(dāng)前業(yè)務(wù)要求，考慮今后5到10年的業(yè)務(wù)發(fā)展需要，在設(shè)計(jì)上留有余量；v 可靠性采用目前國(guó)際上商用SAN交換機(jī)最先進(jìn)且成熟可靠的軟硬件技術(shù)；選用可靠性高的產(chǎn)品與技術(shù)，充分考慮到在系統(tǒng)出現(xiàn)異常時(shí)的應(yīng)變與容錯(cuò)能力，從而確保整個(gè)系統(tǒng)的高可靠性。v 擴(kuò)展性在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列和處理性能等各方面具有良好的擴(kuò)充，升級(jí)能力，完全能滿足未來5到10年的業(yè)務(wù)發(fā)展要求；序號(hào)名稱規(guī)則型號(hào)單位數(shù)量1數(shù)據(jù)服務(wù)器:數(shù)據(jù)服務(wù)器臺(tái)2：HP DL580G7 E7520 2P 16GB Svr（配4*146G雙端口熱插拔硬盤，3年保修現(xiàn)場(chǎng)金牌服務(wù)）2應(yīng)用服務(wù)器:應(yīng)用服務(wù)器臺(tái)1：HP DL388G7 E5506 Entry CN Svr（配內(nèi)置光驅(qū)，2*146G雙端口熱插拔硬盤，19液晶顯示器，3年保修現(xiàn)場(chǎng)金牌服務(wù)）3操作系統(tǒng)（服務(wù)器） Windows server 2003 coem 企業(yè)版:操作系統(tǒng)（服務(wù)器）套3： Windows server 2003 coem 企業(yè)版4數(shù)據(jù)庫(kù)軟件 SQL Server2008 工作組版:數(shù)據(jù)庫(kù)軟件套2：SQL Server2008 工作組版5網(wǎng)絡(luò)交換機(jī) LS512028PSIH3：網(wǎng)絡(luò)交換機(jī)臺(tái)13:LS512028PSIH3，配光模塊6網(wǎng)絡(luò)交換機(jī) LS550028CEI：網(wǎng)絡(luò)交換機(jī)臺(tái)20:LS550028CEI，配光模塊、堆疊模塊、堆疊線7網(wǎng)絡(luò)交換機(jī) LS550028FEIAC：網(wǎng)絡(luò)交換機(jī)臺(tái)7:LS550028FEIAC，配8個(gè)光模塊8操作系統(tǒng)（客戶機(jī)） WindowsXPP COEM:操作系統(tǒng)（客戶機(jī)）套1： WindowsXPP COEM9磁盤陣列：磁盤陣列臺(tái)1： MSA2300SAG2，含磁盤柜，支持12槽, 配6x300G SAS熱拔插硬盤10雙機(jī)熱備份軟件:雙機(jī)熱備份軟件套1：ROSE FOR WINDOWS 11電源防雷器:電源防雷器個(gè)12:ZFDF220：標(biāo)稱通流容量：≥20KA 最大通流量：≥50KA 殘壓：200V 響應(yīng)時(shí)間：25ns12接地銅心線 BVR25mm規(guī)格、技術(shù)要求(引下形式)：BVR25mm2銅芯線，均壓環(huán)引至聯(lián)合接地體m：主龍骨接地線、配電柜接地線13接地銅心線 BVR50mm規(guī)格、技術(shù)要求(引下形式)：BVR50mm2銅芯線，均壓環(huán)引至聯(lián)合接地體m：主龍骨接地線、配電柜接地線14抗靜電地板接地跨線：抗靜電地板接地跨線 BVR6處10815等電位接地銅排、規(guī)格、技術(shù)要求:30*3銅排，地板下安裝，做等電位均壓環(huán)米9016防雷器B級(jí) ZGG12038型號(hào)：防雷器B級(jí) ZGG120385組1：400V17防雷器C級(jí) ZGG8038型號(hào)：防雷器C級(jí) ZGG80385組4：400V18防雷器D級(jí) ZGG4038型號(hào)：防雷器C級(jí) ZGG40385組1：400V19輸入輸出模塊：輸入輸出模塊 JFM02個(gè)1：?jiǎn)屋敵?0接線端子箱：接線端子箱臺(tái)1：JPH90121感煙探測(cè)器:感煙探測(cè)器 JTYGD/JFD11只8：符合設(shè)計(jì)及規(guī)范要求22感溫探測(cè)器:感溫探測(cè)器 JTWBCD/JFD12只8：符合設(shè)計(jì)及規(guī)范要求23手動(dòng)報(bào)警按扭:手動(dòng)報(bào)警按扭 JSAPM/JFD13只3：符合設(shè)計(jì)及規(guī)范要求24聲光報(bào)警裝置:聲光報(bào)警裝置 JBUVM1372B臺(tái)3：符合設(shè)計(jì)及規(guī)范要求25報(bào)警控制器:報(bào)警控制器 JBQBZJF998X臺(tái)1：符合設(shè)計(jì)及規(guī)范要求26控制器電源:控制器電源 24V/10A臺(tái)1：符合設(shè)計(jì)及規(guī)范要求27氣體滅火器：氣體滅火器套4： 2*4KG 含箱體CO228自動(dòng)報(bào)警系統(tǒng)裝置調(diào)試：自動(dòng)報(bào)警系統(tǒng)裝置調(diào)試系統(tǒng)1:≤128點(diǎn)29電源配電柜：電源配電柜臺(tái)1：1路市電入、1路UPS入、5路市電出、10路UPS出，含三相電源防雷30配電柜：配電柜臺(tái)2：1路市電入、1路UPS入、5路市電出、15路UPS出，含三相電源防雷31柜式空調(diào) 5P：柜式空調(diào)臺(tái)3：5P32UPS電源 30KVA：UPS電源臺(tái)2：30KVA,1小時(shí),輸入為三相,輸出為三相,含松下電池、電池柜、空開、銅芯電線，935530N033UPS電源