【正文】 換機作核心設備，保證 網絡核心設備的高性能和高可靠性，提供快速的信息交換與傳輸；每臺服務器配置千兆網卡，以千兆鏈路接到核心交換機上，保證數(shù)據(jù)傳輸和處理的高效可靠；選用高性能千兆防火墻實現(xiàn)核心網絡與外部網絡的高速安全互聯(lián)。同時 配置 IDS 入侵檢查 系統(tǒng)保障系統(tǒng)安全。采用千兆光纖連接應用服務器區(qū)的防火墻與電子政務網、移動 MAS、公安、黨政網等相連，實現(xiàn)社會信息平臺與其他相關具體業(yè)務單位間的高速可靠互聯(lián)。政法部門作為管理部門直接接入核心交換機，實現(xiàn)高速訪問和靈活控制。核心服務器配置根據(jù)海盟公司軟件性能以及相關用戶需求進行配置，核心指標應該達到以下標準：★在網絡穩(wěn)定（帶寬 512K）的環(huán)境下操作性界面單 一操作的系統(tǒng)響應時間小于 3秒，★完全支持 3000 個并發(fā)用戶，正常 500 個用戶并發(fā)訪問★支持年數(shù)據(jù)量為 100 萬記錄數(shù)，100GB 字節(jié)的數(shù)據(jù)量★系統(tǒng) 5X24 小時連續(xù)運行，年故障 3 天，故障修復時間2 小時★系統(tǒng)安全特性、訪問控制到頁面級數(shù)據(jù)庫服務器性能：針對 500 萬左右人口的地級市，此種規(guī)模地市的業(yè)務終端約 5000 左右，并發(fā)連接可達到 20％左右，則并 發(fā)連接為 1000 左右，按照每筆業(yè)務處理響應時間不超過 3秒，同時 每筆業(yè)務訪問數(shù)據(jù) 庫的子交易數(shù)為 10 個，同時考慮預留 30％的冗余， 則業(yè)務部分要求服務器并發(fā)處理能力 TPCC 必須達到：存儲系統(tǒng)：為了保證 SAN 存儲系統(tǒng)的穩(wěn)定性和可靠性，在 SAN 網絡上我們采用了全冗余的架構，并且要求采用最新的 4Gb/s 接口，在存儲方面，需要采用光纖磁盤陣列，要求配置雙控制器冗余，現(xiàn)配置存儲容量 3TB，如果有視頻需求，可擴展 30TB。應用服務器：應用服務器作為政法平臺平臺的應用核心，對處理能力要求非常高，一般情況下，一臺最新款的 4CPU/8G 內存的 PC 服務器可以支撐 300 個左右的并發(fā)，由此可見，針對 500 萬左右人口的地市建議配置 244 臺 PC 服 務器承擔應用服務器，同時應用服務器通過硬件負載均衡器實現(xiàn)負載均衡。設備配置：序號硬件名稱 數(shù)量 單價 合計1千兆防火墻,網絡處理能力 4G,并發(fā)連接≥300 萬,標準配置 6 個 10/100/1000M 自適應電口,4 個 SFP插槽。具有公安部銷售許可證、多核并行安全操作系統(tǒng)證書、軍 B+級證書、自主創(chuàng)新證書、保密局 證書；三年服務1 臺80000 800002千兆入侵防御系統(tǒng)，網絡處理能力 2G, 6 個10/100/1000BaseT 端口，4 個千兆 SFP 模塊插槽；支持 2 路電接口、2 路光接口共 4 路 IPS(內置 2 路電口 Bypass)或 9 路 IDS，具有公安部 銷售許可證，軍用證書，自主創(chuàng)新證書，CVE 兼容性證書，保密局證書；三年服務1 臺110000 1100003日志審計專用千兆多核硬件平臺和安全操作系統(tǒng)，性能指標：事件采集可達到 3000 事務數(shù)/秒（TPS，Transaction per Second），熱插拔硬盤總容量 2TB。支持外接存儲設備 。外 觀：標準 2U 機架100000 100000式；2 個 1 臺 10/100/1000M BaseT 電口（RJ45）（1個管理口，1 個采集口），可以另外擴展到 6 個千兆采集口（電口/光口）（MDG/MDF 模塊）；1 個Console 口，支持 Console 口管理；單電源。不 對審計數(shù)量進行軟件限制?？蓪崿F(xiàn)數(shù)據(jù)庫登錄、日志、驗證，異常情況報警。具有公安部銷售許可證、多核并行安全操作系統(tǒng)證書、軍用證書、保密局 證書4 IBM 機柜(93074RX) 2 個 5000 100005 負載均衡設備：F5 BIGIP1500 1 臺 110000 11000064U 機架式//配置 4 顆 INTEL XEON E74820 八核處理器，主頻為 ，18MB L3 Cache 處理器//INTEL7500 芯片組//64G ECC DDR3 Registered內存，板載 32 個內存插槽，最大可擴展 1TB 內存//3 塊 600GB 15K SAS 硬盤；最大可支持 10 個 硬盤// 高性能 SAS 6Gbps 磁盤控制器,支持 Raid0,1,10，Raid 5 //集成 2 個基于IOAT2/VT/VMDQ 技術的 64 位高性能千兆網卡//5 個 PCIE 擴展插槽//集成顯卡控制器、Slim DVD 光驅、 USB 軟驅//支持 BMC+KVM 遠程管理功能，支持自主產權的管理軟件及備份還原軟件，可實現(xiàn)本地管理、備份還原功能，全面支持Windows 和 Linux 系列操作系統(tǒng)和主流存儲介質4 臺80000 320220 樟樹、萬載試點業(yè)務開展方案根據(jù)政法委部署，樟樹兩鄉(xiāng)鎮(zhèn)、萬 載一個鄉(xiāng)鎮(zhèn)優(yōu)先啟動社會信息管理平臺建設工作，因時間緊，任務重，相關服 務器、網 絡、安全、 軟件需特事特辦優(yōu)先予以考慮建設。宜春移動擬采用如下應 急方案， 優(yōu)先建設樟樹、萬 載社會信息管理平臺：1　調配兩臺高配置服務器，如有需要，將在兩天內完成系統(tǒng)、數(shù)據(jù) 庫、IIS 等程序安裝和調試工作，滿足兩縣市試點平臺快速開通和使用。2　服務器可放置于移動 IDC 機房，機房在 電力、安全、空調、防火防塵方面具有較好的條件。3　網絡方面：三各鄉(xiāng)鎮(zhèn)以及所轄行政村用直接通過移動專線接入平臺。因是專網，不需要多方配合來完成電子政務 MPLS VPN 配置等電子政務側相關工作，同時專用網安全性好，可以快速部署。4　平臺軟件安裝和培訓工作：平臺軟件可由海盟公司和移動工程師共同配合完成，軟件培訓工作，移動公司安排專人配合協(xié)助。的，可跨網絡實現(xiàn)系統(tǒng)備份、還原、克隆的離 線備份容災軟件//提供三年免費原廠整機硬件保修//冗余電源7光纖存儲 IBM V7000 （自帶 8 個光纖接口）硬盤：IBM 原裝 SAS 900G * 16 個1 臺320220 3202208 光纖交換機:博科 BR3600008 24 口 2 臺 50000 1000009 1150000 平臺安全策略 整體安全思路由于各種安全事件，無論是入侵、蠕蟲還是病毒，我們都可以把整個爆發(fā)的過程分為三個階段：發(fā)作前、 發(fā)作中、 發(fā)作后。安全保障體系的建立就是要分 別針對這三個階段采取相應得控制手段，有效地使用正確的處理方法，保障信息系統(tǒng)的安全性。 事前安全防護體系：縱深防御，等 級化保護對于安全事件發(fā)生之前，安全保障體系的作用主要是做出安全防護，避免各種安全隱患的發(fā)生。主要是根據(jù)安全等級的不同，把整個網絡劃分成不同的安全區(qū)域，在不同區(qū)域出口處部署訪問控制設備，對進出區(qū)域的數(shù)據(jù)包進行 IP、TCP、應用層的檢查，鑒別 和訪問控制。同時，在網絡出口處部署病毒 過濾網關，在重要服務器或主機系統(tǒng)上部署防病毒軟件，建立全網病毒監(jiān)控和防護體系。事中安全檢測與響應體系：實時監(jiān)測、 積極響應防護設備的能力并不是絕對的，一旦防護體系被突破，安全保障體系的作用主要是對安全事件及時的監(jiān)測出來，并根據(jù)預先設置的響應方式積極的做出反應，及時中斷安全事件的發(fā)生，確保系統(tǒng)不會受到損害。具體的說，就是在網 絡內部部署入侵檢測和漏洞掃描系統(tǒng)，實時對網絡監(jiān)控，定期 對網 絡進行掃描，采用和防火 墻聯(lián)動的方式或其他積極響應方式，中斷入侵連接，保 護信息系統(tǒng)。事后安全審計體系：事后檢查、主 動追蹤任何安全防護設備都不可能做到 100%的有效防護，一旦安全防護設備被突破，如何能夠通過入侵者留下的蛛絲馬跡發(fā)現(xiàn)攻擊的過程，分析造成的損失，并追究攻擊者的責任，也是安全防護 體系中需要重點考慮的環(huán)節(jié)。此時，安全保障體系得作用主要是對安全信息進行審計，及時發(fā)現(xiàn)曾經發(fā)生的安全威脅，對安全事件的過程進行追蹤，并評估對信息系統(tǒng)造成的損失。通 過事件追蹤，可以及時的發(fā)現(xiàn)保障體系中存在的防護和檢測漏洞，及時的進行修補，使整個防護體系處于動態(tài)的安全平衡之中。 政法平臺安全需求分析 我們可以對系統(tǒng)所面臨的風險從物理安全、鏈路安全、網絡安全、系 統(tǒng)安全、應用安全及管理安全進行分類描述： 物理安全風險　 地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅；　 電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失；　 設備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 鏈路傳輸風險分析網絡安全不僅是入侵者到內部網上進行攻擊、竊取或其它破壞，而且有可能在傳輸線路上安裝竊聽裝置，竊取網上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。以上種種不安全因素都對網絡構成嚴重的安全危脅。因此，對于政法這樣帶有重要信息傳輸?shù)木W絡，數(shù)據(jù)在 鏈路上傳輸必須加密。并通過數(shù)字簽名及認證技術來保數(shù)據(jù)在網上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。 （軟件要求）網絡安全風險　 DOS/DDOS 攻擊、DNS 欺騙攻擊，會造成服務器服務的中斷，影響業(yè)務的正常運行；　 內部用戶通過 Sniffer 等嗅探程序在網絡內部抓包， 獲得系統(tǒng)用戶名和口令等關鍵信息或其他機密數(shù)據(jù)，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息；　 內部用戶通過掃描軟件或取其他用戶系統(tǒng)或服務器的各種信息，并利用這些信息對整個網絡或其他系統(tǒng)進行破壞?！?病毒，尤其是蠕蟲病毒爆發(fā)，將使整個網 絡處于癱瘓狀態(tài)。系統(tǒng)安全風險目前的操作系統(tǒng)或應用系統(tǒng)無論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其后門。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關 閉一些不常用的服 務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內部網是不容易，這需要相當高的技術水平及相當長時間。管理安全風險對于管理風險包括：　 內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險?！?機房重地卻被任何人都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件?！?內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。利用網 絡開些小玩笑，甚至破壞，如傳出至關重要的信息、 錯誤 地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網絡造成極大的安全風險?！?非法人員進入重要部門或機房，非法獲得資料或對設備進行破壞；　 員工有意、無意把硬盤中重要信息目錄共享， 長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略?！?大量的人為因素的安全隱患，為破壞著進入系統(tǒng)造成了便利，例如：部分系統(tǒng)管理員密碼強度不夠，或沒有設置密碼；密碼和帳號名相同或者采用帳號名翻轉作為密碼；采用電話號碼作為密碼；采用單一字符集作為密碼，例如 qqqqqq； 密碼的復雜程度不夠；管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現(xiàn)。 項目參考的安全標準和技術規(guī)范? 《關于加強信息安全保障工作的意見》（中辦[2022]27 號文件）? 《國家信息化領導小組關于我國電子政務建設指導意見》（中辦發(fā)[2022]17 號）? 《中國公用計算機互聯(lián)網國際聯(lián)網管理辦法》，國家保密局，2022 年 5 月? ISO/IEC 15408（CC）：《信息技術安全評估準則》。該標準歷經數(shù)年完成，提出了新的安全模型，是很多信息安全理論的基礎。? ISO/IEC 17799/BS77991：《信息安全管理慣例》。這是目前世界上最權威的信息安全管理操作指南，對信息安全工作具有重要指導意義。? ISO/IEC 13335，第一部分：《IT 安全的概念和模型》；第二部分：《IT 安全的管理和計劃制定》；第三部分：《IT 安全管理技術》；第四部分：《安全措施的選擇》；第五部分：《網絡安全管理指南》。? GB17859：《計算機信息系統(tǒng)安全保護等級劃分準則》。這是我國政府頒布的信息安全產品等級劃分準則。? GA2161999 ：《計算機信息系統(tǒng)安全產品部件》? GB9387 ISO7498：《信息處理系統(tǒng)開放系統(tǒng)互連 》? GB 9361：《計算站場地安全要求》? 公安部第 51 號令：《計算機病毒防治管理辦法》? 《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務院令 147 號? 《中華人民共和國信息網絡國際互聯(lián)網管理暫行規(guī)定》國務院令 195 號? 《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》公安部令 32號? 《中華人民共和國保守國家秘密法》? 《中華人民共和國保守國家秘密法實施辦法》保密局? 《計算機信息系統(tǒng)保密管理暫行規(guī)定》國家保密局 國保發(fā)[1998]1 號? 《計算機信息系統(tǒng)國際聯(lián)網管理規(guī)定》國家保密局? 《計算機信息網絡國際聯(lián)網安全保護管理辦法》公安部? 《商用密碼管理條例》國務院令 273 號? 《中共中央關于加強新形勢下保密工作的決定》等文件? 《中華人民共和國國家標準 GB178591999》? 《計算機信息系統(tǒng)安全保護等級