【正文】 對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； l 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。 能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。系統(tǒng)設(shè)置一臺IDS檢測引擎，用于對計算機和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理。其結(jié)構(gòu)如下圖所示：檢測引擎是一個高性能的專用硬件，運行安全的操作系統(tǒng)，對網(wǎng)絡(luò)中的所有數(shù)據(jù)包進(jìn)行記錄和分析。根據(jù)規(guī)則判斷是否有異常事件發(fā)生，并及時報警和響應(yīng)。同時記錄網(wǎng)絡(luò)中發(fā)生的所有事件，以便事后重放和分析。管理主機運行于Windows操作系統(tǒng)的圖形化管理軟件。可以查看分析一個或多個檢測引擎，進(jìn)行策略配置，系統(tǒng)管理。顯示攻擊事件的詳細(xì)信息和解決對策?；謴?fù)和重放網(wǎng)絡(luò)中發(fā)生的事件。提供工具分析網(wǎng)絡(luò)運行狀況。并可產(chǎn)生圖文并茂的報表輸出。 l 對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； l 對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； l 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一； l 身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換； l 具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施； l 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。 主機安全 l 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別； l 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換； l 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； l 當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； l 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 l 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問； l 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離； l 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； l 應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 l 審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； l 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； l 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； l 應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。 l 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； l 應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。 l 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； l 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定； l 應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。 應(yīng)用安全 l 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別； l 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用； l 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； l 應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 l 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問； l 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作； l 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限； l 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。 l 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計； l 應(yīng)保證無法刪除、修改或覆蓋審計記錄； l 審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。 應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。 l 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證； l 應(yīng)對通信過程中的敏感信息字段進(jìn)行加密。 l 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求； l 在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧? l 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話； l 應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制； l 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制。 數(shù)據(jù)安全及備份恢復(fù) 應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。系統(tǒng)提供完整的日志功能，對所有的業(yè)務(wù)數(shù)據(jù)，進(jìn)行日志記錄，以備后查。 應(yīng)采用加密或其他保護(hù)措施實現(xiàn)鑒別信息的存儲保密性。系統(tǒng)使用IC卡存儲業(yè)務(wù)數(shù)據(jù)時，采用了DES加密算法，對關(guān)鍵數(shù)據(jù)進(jìn)行加密。 a) 采用了Rose公司提供的、基于共享磁盤陣列的高可用RoseHA解決方案，為用戶提供了具有單點故障容錯能力的系統(tǒng)平臺。 b) 采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。c)制定詳細(xì)的數(shù)據(jù)庫備份與災(zāi)難恢復(fù)策略，并通過模擬故障對每種可能的情況進(jìn)行嚴(yán)格測試，保證了數(shù)據(jù)的高可用性。綜合布線系統(tǒng)范圍主要包括聯(lián)檢大樓、閘口及閘口辦公區(qū)、查驗平臺及查驗倉庫及實驗樓等。本綜合布線系統(tǒng)涉及海關(guān)、檢驗檢疫和用戶三方的綜合布線系統(tǒng)。 綜合布線系統(tǒng)設(shè)計為保證系統(tǒng)先進(jìn)性、開放性和擴展性，實現(xiàn)語音、多媒體、數(shù)據(jù)等應(yīng)用的承載能力，綜合布線系統(tǒng)采用六類結(jié)構(gòu)化布線系統(tǒng)，采用星型拓?fù)浣Y(jié)構(gòu)，主干網(wǎng)絡(luò)采用千兆以太網(wǎng)絡(luò)，實現(xiàn)百兆接入、千兆上行的物理鏈路。綜合布線系統(tǒng)由工作區(qū)，水平區(qū)，垂直區(qū)，設(shè)備管理及樓群子系統(tǒng)組成，各部分均采用標(biāo)準(zhǔn)的模塊化構(gòu)件，以利于將來的升級、擴展。l 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)由設(shè)在各工作區(qū)的信息插座、跳線（連接信息插座至終端設(shè)備之間的線纜）構(gòu)成。信息插座采用雙孔面板及相配合的六類信息模塊。l 水平干線子系統(tǒng)水平子系統(tǒng)由各大樓內(nèi)樓層配線間至各個工作區(qū)之間的電纜和多模水平光纜構(gòu)成。水平干線子系統(tǒng)采用六類阻燃雙絞線電纜。本系統(tǒng)采用六類雙絞線，用于所有的數(shù)據(jù)點和語音點，實現(xiàn)信息點可完全互換。l 垂直主干子系統(tǒng)垂直主干子系統(tǒng)采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質(zhì)量。l 管理子系統(tǒng)管理子系統(tǒng)由各層分設(shè)的樓層配線系統(tǒng)及主機房中的主配線系統(tǒng)（設(shè)備間子系統(tǒng)）構(gòu)成，負(fù)責(zé)樓層內(nèi)及信息通道的統(tǒng)一管理。主要由跳線面板、跳線管理器、跳線、光纜端接面板、機柜（或機架）等組成。管理子系統(tǒng)將電話模塊、電腦模塊和網(wǎng)絡(luò)模塊安裝在機柜中，對線纜進(jìn)行統(tǒng)一布局和管理。系統(tǒng)采用19”標(biāo)準(zhǔn)機柜，高42U，頂部安裝有24個風(fēng)扇，背后安裝電源線槽，正面安裝玻璃門，后背板和側(cè)板均可拆卸。機柜內(nèi)所有的信息點符合規(guī)定的編號規(guī)則和顏色規(guī)則，以方便用戶的使用。l 主配線間（BD）為實現(xiàn)高可靠性，本系統(tǒng)將主配線架全部安裝在機柜內(nèi)。l 樓層配線間（FD）在各樓層配線架中，與水平雙絞線連接的用戶區(qū)采用六類配線架，每個信息點完全靈活用于語音或數(shù)據(jù)。各配線間設(shè)置光纖配線架,用來連接多芯光纜，安裝在19”標(biāo)準(zhǔn)機柜內(nèi)，用于各種計算機網(wǎng)絡(luò)設(shè)備。通過更換跳線實現(xiàn)與其他網(wǎng)絡(luò)設(shè)備的連接。海關(guān)網(wǎng)絡(luò)按照海關(guān)總署“五網(wǎng)”獨立要求，分別設(shè)置管理網(wǎng)、運行網(wǎng)、電子口岸專網(wǎng)、互聯(lián)網(wǎng)和語音網(wǎng)。海關(guān)網(wǎng)絡(luò)覆蓋范圍包括：閘口及閘口辦公區(qū)、查驗平臺及查驗倉庫及聯(lián)檢大樓海關(guān)辦公場地等。海關(guān)網(wǎng)絡(luò)采用三層結(jié)構(gòu)設(shè)計，由核心層、匯聚層、接入層組成。核心層設(shè)置在海關(guān)信息中心機房，匯聚層設(shè)置在海關(guān)信息中心機房、查驗平臺機房，接入層設(shè)置在卡口。海關(guān)網(wǎng)絡(luò)應(yīng)與成都海關(guān)的網(wǎng)絡(luò)無縫地實現(xiàn)互聯(lián)互通。在海關(guān)網(wǎng)絡(luò)核心層選擇1臺高性能交換機作為系統(tǒng)主交換機。主交換機與系統(tǒng)服務(wù)器連接采用1000M 連接。在本方案的技術(shù)選擇和設(shè)備選型首先是基于對本項目的理解和分析，并特別考慮到滿足未來5到10年的業(yè)務(wù)發(fā)展要求做出的，并遵循以下原則得出的：v 實用性采用成熟、穩(wěn)定的技術(shù)，滿足業(yè)務(wù)的實際要求；v 先進(jìn)性根據(jù)當(dāng)前業(yè)務(wù)要求，考慮今后5到10年的業(yè)務(wù)發(fā)展需要，在設(shè)計上留有余量；v 可靠性采用目前國際上商用SAN交換機最先進(jìn)且成熟可靠的軟硬件技術(shù)；選用可靠性高的產(chǎn)品與技術(shù)，充分考慮到在系統(tǒng)出現(xiàn)異常時的應(yīng)變與容錯能力，從而確保整個系統(tǒng)的高可靠性。v 擴展性在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列和處理性能等各方面具有良好的擴充，升級能力，完全能滿足未來5到10年的業(yè)務(wù)發(fā)展要求；序號名稱規(guī)則型號單位數(shù)量1數(shù)據(jù)服務(wù)器:數(shù)據(jù)服務(wù)器臺2：HP DL580G7 E7520 2P 16GB Svr（配4*146G雙端口熱插拔硬盤，3年保修現(xiàn)場金牌服務(wù)）2應(yīng)用服務(wù)器:應(yīng)用服務(wù)器臺1：HP DL388G7 E5506 Entry CN Svr（配內(nèi)置光驅(qū)，2*146G雙端口熱插拔硬盤，19液晶顯示器，3年保修現(xiàn)場金牌服務(wù)）3操作系統(tǒng)（服務(wù)器） Windows server 2003 coem 企業(yè)版:操作系統(tǒng)（服務(wù)器）套3： Windows server 2003 coem 企業(yè)版4數(shù)據(jù)庫軟件 SQL Server2008 工作組版:數(shù)據(jù)庫軟件套2：SQL Server2008 工作組版5網(wǎng)絡(luò)交換機 LS512028PSIH3：網(wǎng)絡(luò)交換機臺13:LS512028PSIH3，配光模塊6網(wǎng)絡(luò)交換機 LS550028CEI：網(wǎng)絡(luò)交換機臺20:LS550028CEI，配光模塊、堆疊模塊、堆疊線7網(wǎng)絡(luò)交換機 LS550028FEIAC：網(wǎng)絡(luò)交換機臺7:LS550028FEIAC，配8個光模塊8操作系統(tǒng)（客戶機） WindowsXPP COEM:操作系統(tǒng)（客戶機）套1： WindowsXPP COEM9磁盤陣列：磁盤陣列臺1： MSA2300SAG2，含磁盤柜，支持12槽, 配6x300G SAS熱拔插硬盤10雙機熱備份軟件:雙機熱備份軟件套1：ROSE FOR WINDOWS 11電源防雷器:電源防雷器個12:ZFDF220：標(biāo)稱通流容量：≥20KA 最大通流量：≥50KA 殘壓：200V 響應(yīng)時間：25ns12接地銅心線 BVR25mm規(guī)格、技術(shù)要求(引下形式)：BVR25mm2銅芯線，均壓環(huán)引至聯(lián)合接地體m：主龍骨接地線、配電柜接地線13接地銅心線 BVR50mm規(guī)格、技術(shù)要求(引下形式)：BVR50mm2銅芯線，均壓環(huán)引至聯(lián)合接地體m：主龍骨接地線、配電柜接地線14抗靜電地板接地跨線：抗靜電地板接地跨線 BVR6處10815等電位接地銅排、規(guī)格、技術(shù)要求:30*3銅排，地板下安裝，做等電位均壓環(huán)米9016防雷器B級 ZGG12038型號：防雷器B級 ZGG120385組1：400V17防雷器C級 ZGG8038型號：防雷器C級 ZGG80385組4：400V18防雷器D級 ZGG4038型號：防雷器C級 ZGG40385組1：400V19輸入輸出模塊：輸入輸出模塊 JFM02個1：單輸出20接線端子箱：接線端子箱臺1：JPH90121感煙探測器:感煙探測器 JTYGD/JFD11只8：符合設(shè)計及規(guī)范要求22感溫探測器:感溫探測器 JTWBCD/JFD12只8：符合設(shè)計及規(guī)范要求23手動報警按扭:手動報警按扭 JSAPM/JFD13只3：符合設(shè)計及規(guī)范要求24聲光報警裝置:聲光報警裝置 JBUVM1372B臺3：符合設(shè)計及規(guī)范要求25報警控制器:報警控制器 JBQBZJF998X臺1：符合設(shè)計及規(guī)范要求26控制器電源:控制器電源 24V/10A臺1：符合設(shè)計及規(guī)范要求27氣體滅火器：氣體滅火器套4： 2*4KG 含箱體CO228自動報警系統(tǒng)裝置調(diào)試：自動報警系統(tǒng)裝置調(diào)試系統(tǒng)1:≤128點29電源配電柜：電源配電柜臺1：1路市電入、1路UPS入、5路市電出、10路UPS出，含三相電源防雷30配電柜：配電柜臺2：1路市電入、1路UPS入、5路市電出、15路UPS出，含三相電源防雷31柜式空調(diào) 5P：柜式空調(diào)臺3：5P32UPS電源 30KVA：UPS電源臺2：30KVA,1小時,輸入為三相,輸出為三相,含松下電池、電池柜、空開、銅芯電線，935530N033UPS電源