韶关市公安信息网边界接入平台系统建设和检测项目建设方案一、项目概述本项目为市公安边界接入平台，包括：一是构建市级边界接入平台。按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求，建设边界接入平台的集中监控和审计系统。 二、项目内容根据接入对象不同，边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。三、技术要求3.1基本技术要求1) 平台建设方案要完全符合公安部颁发的公安信息通信网边界接入安全规范要求；2) 平台安全体系满足三重防护体系和两个基础设施的安全要求；3) 平台集中监控与审计系统支持部/省/市三级接入平台体系；4) 平台的关键设备：可信边界安全网关、数据交换系统、集中监管与审计系统通过公安部指定的公安部等级评估保护中心的权威检测，并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其他产品也应是获得公安部销售许可的产品。3.2功能要求1) 投标人必须严格按照公安部关于安全接入平台建设的有关文件公安信息通信网边界接入平台安全规范的边界接入平台要求实施项目建设，并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。2) 平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务（社会企事业单位接入、党政军机关接入、公安驻地外接入）完整功能的平台，外部网络接入业务上，需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。3) 可信边界安全网关实现用户身份认证，与公安PKI/PMI系统同一厂商，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性；4) 可信边界安全网关实现设备认证，依据设备注册登记信息对通过专线、VPDN拨号等各种线路方式接入的终端设备进行认证，保证接入设备的合法性；5) 可信边界安全网关可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问；6) 可信边界安全网关基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的；7) 可信边界安全网关实现传输保护，与客户端之间使用SSL协议对通信过程进行加密和完整性保护，保证数据传输的安全性；8) 数据交换系统可实现不同类型文件、数据库间的同步和交换，如Oracle 数据库、SQL Server数据库、DB2、SYBASE等，能够设置一对多数据同步,多对多数据同步，支持全表双向同步.支持数据库增删改同步。9) 数据交换系统业务扩展性强，接入新的前置业务时，只需在数据交换系统上作适当的配置即可实现新业务的数据交换，且不需要增加投资。源目标数据库表结构一致情况下自动快速匹配，减少配置难度。10) 数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。内容检查必须能够根据预先定义的规则进行内容过滤检查； 病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库；格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。11) 数据交换系统应支持多业务复用：必须支持多业务接入后,各业务之间不冲突,单独启停其他业务不会影响正常业务.底层通道独立.12) 数据交换行为可回溯：数据交换行为可追溯包括:数据来源,交换时间,是否授权,交换内容,交换成功等.13) 数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,支持不同操作系统下的文件同步,传输文件大小无限制.14) 数据交换必须支持单向的授权访问功能；支持TCP/UDP协议代理,同时也用该支持常见协议代理,代理需做授权认证.15) 集中监管与审计系统提供接入平台注册管理功能，包含平台信息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。16) 集中监管与审计系统提供流量监测，能够监测整个平台以及平台内部各个链路和业务的流量信息。17) 集中监管与审计系统提供在线用户统计分析，用户行为审计，业务应用审计，设备安全审计，异常行为审计，系统备份恢复功能，日志收集和导出功能和集中管理等功能。18) 平台信息统计分析能够对平台本身进行相关信息统计和分析，包括设备运行状况，负载情况。19) 实现与公安信息网络运行管理系统对接。内置集成级联上报功能。3.3安全要求3.3.1系统安全要求1) 提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上各种应用的正常运行，防止对公安专网信息资源进行非授权访问和操作，防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。2) 用户身份认证：能与公安PKI/PMI体系无缝集成，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。整个平台须与公安PKI/PMI无缝集成，使平台接入终端在通过边界接入平台安全认证后可使用PKI/PMI系统的数字身份证书访问公安信息网资源。3) 设备认证：能依据设备注册登记信息对通过专线、ADSL拨号、3G无线等各种线路方式接入的终端设备进行认证，实现设备唯一性认证，防止非法设备接入。访问控制：能对用户访问公安信息通信网进行细粒度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设备，并且只能进行允许的操作，非授权的访问应被阻断。4) 配置安全：单向UTC，外网服务器不提供任何服务端口,不接受任何服务请求,所有服务请求由内网信任服务器发起.5) 安全信任链：内外网服务器与安全隔离网闸联动,通过证书建立信任关系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。3.3.2通信安全需求1) 保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数据完整性验证等。2) 数据通道保护：基于角色、权限分配、设置细粒度访问控制策略，能达到非法用户不能访问，合法用户不能越权访问的目的。在客户端和可信边界安全网关之间建立高强度的安全加密通道，能保证数据传输的机密性、完整性，防止公安敏感信息在传输过程中被泄露或被篡改。3) 链路认证：能对应用访问链路进行认证，防止非法链路接入。网络安全需求。3.3.3网络安全需求1) 需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施，并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道，确保链路安全。2) 网络安全防护：需实现通过探针等对接入的行为进行分析，防止非法和恶意的入侵行为；防病毒服务器对接入流量进行扫描，阻止病毒、恶意代码对公安信息通信网的渗透，为边界接入平台提供病毒防范功能。四、设备清单本次招标采购的软硬件货物具体清单：表1-1货物清单序号设备名称数量单位性能指标1数据交换系统2套详见以下表1-22集中监控与管理系统1台详见以下表1-33集控探针2台详见以下表1-44可信边界安全网关2台详见以下表1-55CA身份认证服务器1台详见以下表1-66安全隔离与信息交换系统2台详见以下表1-77防火墙2台详见以下表1-88IDS入侵检测系统1台详见以下表1-99二层交换机2台 详见以下表1-1010路由器1台 详见以下表1-1111三层交换机2台 详见以下表1-1212服务器4台 详见以下表1-1313机柜2套 详见以下表1-1414三层交换机1台 详见以下表1-15五、软硬件技术指标要求5.1数据交换系统表1-2数据交换系统指标项详细要求规格主机包括两台主机，分别部署在两个网络之间，连接两个网络中应用服务器传输数据，主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换I/O设备网络每台设备具备2个千兆高速以太网网络接口，可扩展至最多4个其他操作系统使用安全加固的TopOS安全Linux操作系统数据交换数据库同步支持SQLServer、Oracle、Sybase、DB2等的单、双向数据交换；无需修改数据库表结构，不涉及代码修改；可同时发送和接收多个数据库中多个表；支持多种增量方式；可分别定义增加、删除、修改的数据传输；根据指定字段值进行条件传输；支持大字段数据同步交换；支持异构数据库安全传输；数据传输高度可靠，采用文件落地缓存确认机制进行保证。文件同步支持多种文件传输方式：专用客户端、FTP、Samba、NFS；高可靠文件传输，文件完整性校验；文件内容识别检查过滤；文件传输加密。流数据交换支持包括网络音频、视频、流媒体在内的多种协议数据传输交换：如FTP、TNS、POP3、SMTP等。日志收集收集平台系统内部各网络设备、应用服务器的运行日志，并同步到内部监管系统，用于平台系统日志分析。数据传输方向控制可根据实际应用需求配置应用传输方向，可根据管理员配置实现单向或双向的数据传输交换。数据传输以静态数据格式方式传输，也可根据需要落地到主机上形成静态文件进行交换。内容过滤、格式检查、病毒查杀可对交换的数据内容进行检查过滤，识别敏感关键字符；对于数据库记录中的大字段内容可在还原后进行处理；对交换的数据库数据内容可根据用户定义进行格式匹配检查，防止数据被恶意篡改；内嵌病毒查杀引擎，可对不同平台下的病毒进行查杀。业务、应用控制系统可根据管理员配置单独启停数据交换服务；也可根据管理员定义单独启停任何一个独立的应用。用户认证对系统管理员、普通用户分层次进行管理认证。系统审计对用户、管理员的所有操作均进行审计记录，并对非授权、越权访问进行记录。系统管理使用基于HTTPS的安全加密协议进行管理；可指定管理终端主机。性能及其它要求1、稳定性运行时间(MTBF)：50000小时2、可实现520Mbps的交换能力，10000个并发会话 ；数据库到数据库交换最大并发数据表1024；3、数据影射最大字段数256；4、数据库到数据库交换记录数（100Kb/记录）1000条/秒；5、数据文件处理文件数（100Kb/记录）800个/秒；数据文件处理吞吐量200Mbps；6、应用层数据交换速度（FTP）200 Mbps；7、并发客户端数量3000；最大数据文件10G；8、任务调度粒度为秒级；9、目录监控触发时间1秒；最大传输延时50ms10、支持SYSLOG、SNMP V2/V3； 11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。5.2集中监控与管理系统表1-3集中监控与管理系统指标项详细要求规格主机标准机架式机箱，1U设备I/O设备网络2个千兆网络接口，可扩展至最多4个其他操作系统使用安全加固的TopOS安全Linux操作系统终端认证对终端用户身份进行认证，只允许合法用户进入平台系统内部提交或采集数据授权对终端用户进行授权，允许访问指定的应用服务器；对数据交换服务器授权，允许在指定服务器之间交换应用数据。平台审计对平台内部所有设备的操作进行审