信息安全集成设计方案

《信息安全集成设计方案》由会员分享，可在线阅读，更多相关《信息安全集成设计方案（44页珍藏版）》请在装配图网上搜索。

1、成都综合保税区西区信息平安集成系统方案XX科技有限公司2010.12目 录1、项目背景32、需求分析43、系统设计53.1设计依据及设计原则53.2信息平安技术设计83.3信息平安管理设计143.4产品选型161、项目背景2010年10月18日，国务院设立成都高新综合保税区。依据国务院批复，成都高新综合保税区规划面积4.68平方公里，位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型) 和成都出口加工区南区（803区）进行整合扩展而成的。 四川成都出口加工区2000年4月经国务院批准设立，是中国首批出口加工区之一，2009年进出口总额64.2亿

2、美元，2010年17月进出口总额50.75亿美元，增长43%，综合排名全国第5、中西部第1，是全国发展最好的出口加工区之一；成都保税物流中心(B型)于2009年3月通过验收，7月正式封关运行，目前发展状况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利于企业的进一步发展。 为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技术和自动限制技术，构建一个先进、好用、牢靠的保税区海关联网监管系统。信息技术的发展，为

3、海关管理创新供应了手段，实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功能齐全的困难办公环境 ，在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息部门必需对其信息技术设备和服务进行全面的、整体的网络运行监控和平安管理。这其中，既涉及到网络管理，也有平安管理。技术支撑层，充分利用技术手段，建立高效、协同的信息平安管理平台，将网络监控与平安监控有机地结合在一起，留意能够刚好定位故障。技术支撑体系应当包括三个层次：展示层、运维管理层、集中监控层。1）展示层

4、。供应面对信息平安层面和信息平安管理决策层面的展示视角，在信息平安管理界面上实现集中运维的统一管理功能和信息展示与交互功能。2）流程及业务信息平安管理层。在集中信息平安管理模式下实现流程执行和管理限制功能、业务平安管理功能。3）集中限制层。通过监控工具实现对不同服务对象和IT资源的实时监控，包括主机、数据库、中间件、存储备份、网络、平安、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机

5、房至出口加工西区、机场海关等四个重要业务现场实施部署。其详细需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份，故障解除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更好地保障备份的牢靠。系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的须要，要求建设电子口岸电子专网。电子口岸专网也接受“双线热备”方案，原则上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括管理网G（六类系统）、业务网Y（超五类系统）、互联网W（超五类系统）语音网T（水平超五类系

6、统）、备用网络B（超五类系统）共计5个系统（可依据监管要求及功能设置作相应调整）。各网络物理隔离、独立组网，新设机构可依据实际状况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据接受4芯多模室内光缆、语音接受25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网：水平布线接受六类非屏蔽网线，垂直干线接受4芯多模光纤；运行网、互联网、备用网络：水平布线接受超五类非屏蔽网线，垂直干线接受4芯多模光纤；机房：水平布线接受六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业务网可共用一个机柜，

7、互联网、电话、备用网共用一个机柜；机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，电话共用一个机柜。2.2.4综合布线标识说明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。运用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。详细编号说明参见海关相应文件。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国家标准综合布线系统工程设计规范GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内全部企业与管委会之间信息的互通和管理，同时考虑相应的平安管理建设，包括

8、防病毒管理、客户端准入等。园区网为封闭局域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行帮助和指导。2.3机房建设机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的相关要求，面积在90130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以便利管道和设备的安装维护。缆线接受线槽或桥架敷设时，线槽或桥架的高度不宜大于150mm,桥架宜接受网格式桥架。地面工程：地面应平整，必需进行防尘处理，接受防尘涂料时，至

9、少粉刷2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房运用条件的专用独立温湿度调整空调。机房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤部分接受24口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置10KVA UPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：依据详细状况自行设计。机房监控：依据详细状况自行设计。3、系统设计3.1设计依据及设计原则3.1.1、设计依据计算机信息系统平安爱惜等级划分准则（GB17859-1999）信息系统平安等级爱惜基本要求（

10、GB/T 22239-2008）。信息系统平安爱惜等级定级指南（GB/T 22240-2008）信息系统平安等级爱惜实施指南（信安字200710号）信息系统通用平安技术要求（GB/T 20271-2006）信息系统等级爱惜平安设计技术要求（信安秘字2009059号）信息系统平安管理要求（GB/T 20269-2006）信息系统平安工程管理要求（GB/T 20282-2006）信息系统物理平安技术要求（GB/T 21052-2007）网络基础平安技术要求（GB/T 20270-2006）信息系统平安等级爱惜体系框架（GA/T 708-2007）信息系统平安等级爱惜基本模型（GA/T 709-20

11、07）信息系统平安等级爱惜基本配置（GA/T 710-2007）信息系统平安等级爱惜测评要求（报批稿）信息系统平安等级爱惜测评过程指南（报批稿）信息系统平安管理测评（GA/T 713-2007）操作系统平安技术要求（GB/T 20272-2006）操作系统平安评估准则（GB/T 20008-2005）数据库管理系统平安技术要求（GB/T 20273-2006）数据库管理系统平安评估准则（GB/T 20009-2005）网络端设备隔离部件技术要求（GB/T 20279-2006）网络端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品技术要求（GB/T 20278-20

12、06）网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）网络交换机平安技术要求（GA/T 684-2007）虚拟专用网平安技术要求（GA/T 686-2007）网关平安技术要求（GA/T 681-2007）服务器平安技术要求（GB/T 21028-2007）入侵检测系统技术要求和检测方法（GB/T 20275-2006）计算机网络入侵分级要求（GA/T 700-2007）防火墙平安技术要求（GA/T 683-2007）防火墙技术测评方法（报批稿）信息系统平安等级爱惜防火墙平安配置指南（报批稿）防火墙技术要求和测评方法（GB/T 20281-2006）包过滤防火墙评估准则（GB/T

13、 20010-2005）路由器平安技术要求（GB/T 18018-2007）路由器平安评估准则（GB/T 20011-2005）路由器平安测评要求（GA/T 682-2007）网络交换机平安技术要求（GB/T 21050-2007）交换机平安测评要求（GA/T 685-2007）终端计算机系统平安等级技术要求（GA/T 671-2006）终端计算机系统测评方法（GA/T 671-2006）虚拟专网平安技术要求（GA/T 686-2007）应用软件系统平安等级爱惜通用技术指南（GA/T 711-2007）应用软件系统平安等级爱惜通用测试指南（GA/T 712-2007）网络和终端设备隔离部件测试

14、评价方法（GB/T 20277-2006）网络脆弱性扫描产品测评方法（GB/T 20280-2006）信息平安风险评估规范（GB/T 20984-2007）信息平安事务管理指南（GB/Z 20985-2007）信息平安事务分类分级指南（GB/Z 20986-2007）信息系统灾难复原规范（GB/T 20988-2007）3.1.2、设计原则在技术方案设计中，遵循以下的系统总体设计原则：1、统一规划、分布实施遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。2、开放性、互连性和标准化接受国际、国家标准、协议和接口

15、，能与现有的和将来的系统互连与集成。3、先进性在保证系统的整体性和好用性的前提下，考虑系统的先进性，所接受的技术和设备应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容将来5年以上的需求发展。4、成熟性技术方案中所接受的系统体系结构和技术必需是已经过实践检验，证明是成熟的。5、牢靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、牢靠性产品保证整个系统具有高度的牢靠性、稳定性和容错性。6、平安性建立完善的网络平安体系，保证海关信息中心网络设备的平安运行。7、高性能网络系统、服务器系统和平安系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到

16、扩容和升级的须要，能灵敏便利地适应将来系统可能的变更。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，为将来的系统扩充打下基础，保证需求增加时系统的平滑扩充，保证前期的投资。9、高可管理性整个系统的设计要层次清晰、功能明确，便于性能分析、故障诊断，能实现对系统资源的全面监控和优化配置，对访问的有效监控和审计，保证整个系统具有高度的可管理性。3.2信息平安技术设计3.2.1 机房设计3.2.1.1机房位置的选择 机房设置在综合保税区A区2楼，依据国家机房标准设置，具有防震、防风和防雨等实力。 3.2.1.2机房访问限制 a) 机房出入口应支配专人值守，限制、鉴别和记

17、录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 3.2.1.3防盗窃和防破坏 a) 应将主要设备放置在机房内； b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐藏处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 主机房安装必要的防盗报警设施。 3.2.1.4防雷击 a) 机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置； b) 机房设置沟通电源地线。 3.2.1.5防火 机房应设置灭火设备和火灾自动报警系统。 3.2.1.6防水和防潮 a) 水管安装，不得穿过机房

18、屋顶和活动地板下； b) 实行措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 实行措施防止机房内水蒸气结露和地下积水的转移与渗透。 3.2.1.7防静电 整个机房接受防静电地板设计。 3.2.1.8温湿度限制 机房设置温、湿度自动调整设施，使机房温、湿度的变更在设备运行所允许的范围之内。 3.2.1.9电力供应 a) 应在机房供电线路上配置稳压器和过电压防护设备； b) 应供应了30KVA的UPS，用于短期的备用电力供应，至少满足关键设备在断电状况下的正常运行要求。 3.2.1.10电磁防护 电源线和通信线缆应隔离铺设，避开相互干扰。 3.2.2 网络设计3.2.2.1网络结构设计 接受MS

19、TP的组网方式，A、B、C三区接受MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。其网络结构图如下图所示：图9：网络结构图网络中设备、电路均平安牢靠，关键设备、电路均有冗余备份，并接受先进的容错技术和故障处理技术，保证数据传输的平安牢靠，保证网络可用性达到运用要求。这样设计，得以实现系统网络平安：l 保证关键网络设备的业务处理实力具备冗余空间，满足业务高峰期须要； l 保证接入网络和核心网络的带宽满足业务高峰期须要； l 依据各部门的工作职能、重要性和所涉及信息的重

20、要程度等因素，划分不同的子网或网段，并依据便利管理和限制的原则为各子网、网段支配地址段。 3.2.2.2访问限制 l 在网络边界部署访问限制设备，启用访问限制功能； l 依据会话状态信息为数据流供应明确的允许/拒绝访问的实力，限制粒度为网段级。 l 按用户和系统之间的允许访问规则，确定允许或拒绝用户对受控系统进行资源访问，限制粒度为单个用户； l 限制具有拨号访问权限的用户数量。 3.2.2.3平安审计 l 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； l 审计记录应包括事务的日期和时间、用户、事务类型、事务是否成功及其他与审计相关的信息。3.2.2.4边界完整性检查 能

21、够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。3.2.2.5入侵检测在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设置一台IDS检测引擎，用于对计算机和网络资源的恶意运用行为进行识别和相应处理。其结构如下图所示：检测引擎是一个高性能的专用硬件，运行平安的操作系统，对网络中的全部数据包进行记录和分析。依据规则推断是否有异样事务发生，并刚好报警和响应。同时记录网络中发生的全部事务，以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略

22、配置，系统管理。显示攻击事务的详细信息和解决对策。复原和重放网络中发生的事务。供应工具分析网络运行状况。并可产生图文并茂的报表输出。3.2.2.6网络设备防护 l 对登录网络设备的用户进行身份鉴别； l 对网络设备的管理员登录地址进行限制； l 网络设备用户的标识应唯一； l 身份鉴别信息应具有不易被冒用的特点，口令应有困难度要求并定期更换； l 具有登录失败处理功能，可实行结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； l 当对网络设备进行远程管理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听。 3.2.3 主机平安3.2.3.1身份鉴别 l 应对登录操作系统和数据库系

23、统的用户进行身份标识和鉴别； l 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有困难度要求并定期更换； l 应启用登录失败处理功能，可实行结束会话、限制非法登录次数和自动退出等措施； l 当对服务器进行远程管理时，应实行必要措施，防止鉴别信息在网络传输过程中被窃听； l 应为操作系统和数据库系统的不同用户支配不同的用户名，确保用户名具有唯一性。 3.2.3.2访问限制 l 应启用访问限制功能，依据平安策略限制用户对资源的访问； l 应实现操作系统和数据库系统特权用户的权限分别； l 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； l 应刚好删除多余

24、的、过期的帐户，避开共享帐户的存在。 3.2.3.3平安审计 l 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； l 审计内容应包括重要用户行为、系统资源的异样运用和重要系统叮嘱的运用等系统内重要的平安相关事务； l 审计记录应包括事务的日期、时间、类型、主体标识、客体标识和结果等； l 应爱惜审计记录，避开受到未预期的删除、修改或覆盖等。 3.2.3.4入侵防范 操作系统应遵循最小安装的原则，仅安装须要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁刚好得到更新。 3.2.3.5恶意代码防范 l 应安装防恶意代码软件，并刚好更新防恶意代码软件版本和恶意代码库； l 应支持防

25、恶意代码软件的统一管理。 3.2.3.6资源限制 l 应通过设定终端接入方式、网络地址范围等条件限制终端登录； l 应依据平安策略设置登录终端的操作超时锁定； l 应限制单个用户对系统资源的最大或最小运用限度。 3.2.4 应用平安3.2.4.1身份鉴别 l 应供应专用的登录限制模块对登录用户进行身份标识和鉴别； l 应供应用户身份标识唯一和鉴别信息困难度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； l 应供应登录失败处理功能，可实行结束会话、限制非法登录次数和自动退出等措施； l 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息困难度检查以及登录失败处理功

26、能，并依据平安策略配置相关参数。 3.2.4.2访问限制 l 应供应访问限制功能，依据平安策略限制用户对文件、数据库表等客体的访问； l 访问限制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； l 应由授权主体配置访问限制策略，并严格限制默认帐户的访问权限； l 应授予不同帐户为完成各自担当任务所需的最小权限，并在它们之间形成相互制约的关系。 3.2.4.3平安审计 l 应供应覆盖到每个用户的平安审计功能，对应用系统重要平安事务进行审计； l 应保证无法删除、修改或覆盖审计记录； l 审计记录的内容至少应包括事务日期、时间、发起者信息、类型、描述和结果等。 3.2.4.4通信完整

27、性 应接受校验码技术保证通信过程中数据的完整性。 3.2.4.5通信保密性 l 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； l 应对通信过程中的敏感信息字段进行加密。 3.2.4.6软件容错 l 应供应数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； l 在故障发生时，应用系统应能够接着供应一部分功能，确保能够实施必要的措施。 3.2.4.7资源限制 l 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话； l 应能够对应用系统的最大并发会话连接数进行限制； l 应能够对单个帐户的多重并发会话进行限

28、制。 3.2.5 数据平安及备份复原3.2.5.1数据完整性 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统供应完整的日志功能，对全部的业务数据，进行日志记录，以备后查。3.2.5.2数据保密性 应接受加密或其他爱惜措施实现鉴别信息的存储保密性。系统运用IC卡存储业务数据时，接受了DES加密算法，对关键数据进行加密。3.2.5.3备份和复原 a) 接受了Rose公司供应的、基于共享磁盘阵列的高可用RoseHA解决方案，为用户供应了具有单点故障容错实力的系统平台。 b) 接受MSTP的组网方式，A、B、C三区接受MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现

29、了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。c)制定详细的数据库备份与灾难复原策略，并通过模拟故障对每种可能的状况进行严格测试，保证了数据的高可用性。3.2.6综合布线系统3.2.6.1概述综合布线系统范围主要包括联检大楼、闸口及闸口办公区、查验平台及查验仓库及试验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。3.2.6.2 综合布线系统设计为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载实力，综合布线系统接受六类结构化布线系统，接受星型拓扑结构，主干网络接受千兆以太网络，实现百兆接入、

30、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成，各部分均接受标准的模块化构件，以利于将来的升级、扩展。l 工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座接受双孔面板及相协作的六类信息模块。l 水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统接受六类阻燃双绞线电缆。本系统接受六类双绞线，用于全部的数据点和语音点，实现信息点可完全互换。l 垂直主干子系统垂直主干子系统接受单模光缆，供应全双工传输通道，具有极大的传输带宽和极高的传输质量。l 管理子系统管理

31、子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统）构成，负责楼层内及信息通道的统一管理。主要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜（或机架）等组成。管理子系统将电话模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和管理。系统接受19”标准机柜，高42U，顶部安装有2-4个风扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内全部的信息点符合规定的编号规则和颜色规则，以便利用户的运用。l 主配线间（BD）为实现高牢靠性，本系统将主配线架全部安装在机柜内。l 楼层配线间（FD）在各楼层配线架中，与水平双绞线连接的用户区接受六类配线架，每个信息点完全

32、灵敏用于语音或数据。各配线间设置光纤配线架,用来连接多芯光缆，安装在19”标准机柜内，用于各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。3.2.6.3海关综合布线系统海关网络依据海关总署“五网”独立要求，分别设置管理网、运行网、电子口岸专网、互联网和语音网。海关网络覆盖范围包括：闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络接受三层结构设计，由核心层、汇聚层、接入层组成。核心层设置在海关信息中心机房，汇聚层设置在海关信息中心机房、查验平台机房，接入层设置在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择1台高性能交换机作为系统主交换机

33、。主交换机与系统服务器连接接受1000M 连接。3.3产品选型3.3.1选型原则在本方案的技术选择和设备选型首先是基于对本项目的理解和分析，并特殊考虑到满足将来5到10年的业务发展要求做出的，并遵循以下原则得出的：v 好用性接受成熟、稳定的技术，满足业务的实际要求；v 先进性依据当前业务要求，考虑今后5到10年的业务发展须要，在设计上留有余量；v 牢靠性接受目前国际上商用SAN交换机最先进且成熟牢靠的软硬件技术；选用牢靠性高的产品与技术，充分考虑到在系统出现异样时的应变与容错实力，从而确保整个系统的高牢靠性。v 扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级实力，完全能满足将

34、来5到10年的业务发展要求；3.3.2产品配置清单序号名称规则型号单位数量1数据服务器1.名称:数据服务器台22.技术参数：HP DL580G7 E7520 2P 16GB Svr（配4*146G双端口热插拔硬盘，3年保修现场金牌服务）2应用服务器1.名称:应用服务器台12.技术参数：HP DL388G7 E5506 Entry CN Svr（配内置光驱，2*146G双端口热插拔硬盘，19液晶显示器，3年保修现场金牌服务）3操作系统（服务器） Windows server 2003 coem 企业版1.名称:操作系统（服务器）套32.规格型号： Windows server 2003 coem

35、 企业版4数据库软件 SQL Server2008 工作组版1.名称:数据库软件套22.规格型号：SQL Server2008 工作组版5网络交换机 LS-5120-28P-SI-H31.名称：网络交换机台132.技术参数:LS-5120-28P-SI-H3，配光模块6网络交换机 LS-5500-28C-EI1.名称：网络交换机台202.技术参数:LS-5500-28C-EI，配光模块、堆叠模块、堆叠线7网络交换机 LS-5500-28F-EI-AC1.名称：网络交换机台72.技术参数:LS-5500-28F-EI-AC，配8个光模块8操作系统（客户机） WindowsXPP COEM1.名称

36、:操作系统（客户机）套12.规格型号： WindowsXPP COEM9磁盘阵列1.名称：磁盘阵列台12.规格型号： MSA2300SAG2，含磁盘柜，支持12槽, 配6x300G SAS热拔插硬盘10双机热备份软件1.名称:双机热备份软件套12.规格型号：ROSE FOR WINDOWS 8.5版本11电源防雷器1.名称:电源防雷器个122.型号:ZFDF-2203.参数：标称通流容量：20KA 最大通流量：50KA 残压：200V 响应时间：25ns12接地铜心线 BVR-25mm21.引下线材质、规格、技术要求(引下形式)：BVR-25mm2铜芯线，均压环引至联合接地体m96.82.部位

37、：主龙骨接地线、配电柜接地线13接地铜心线 BVR-50mm21.引下线材质、规格、技术要求(引下形式)：BVR-50mm2铜芯线，均压环引至联合接地体m37.82.部位：主龙骨接地线、配电柜接地线14抗静电地板接地跨线1.名称：抗静电地板接地跨线 BVR6处10815等电位接地铜排1.均压环材质、规格、技术要求:30*3铜排，地板下安装，做等电位均压环米9016防雷器B级 ZGG120-3851.名称、型号：防雷器B级 ZGG120-385组12.电压等级：400V17防雷器C级 ZGG80-3851.名称、型号：防雷器C级 ZGG80-385组42.电压等级：400V18防雷器D级 ZGG

38、40-3851.名称、型号：防雷器C级 ZGG40-385组12.电压等级：400V19输入输出模块1.名称：输入输出模块 JF-M02个12.输出形式：单输出20接线端子箱1.名称：接线端子箱台12.型号：JPH90121感烟探测器1.名称:感烟探测器 JTY-GD/JF-D11只82.其它：符合设计及规范要求22感温探测器1.名称:感温探测器 JTW-BCD/JF-D12只82.其它：符合设计及规范要求23手动报警按扭1.名称:手动报警按扭 J-SAP-M/JF-D13只32.其它：符合设计及规范要求24声光报警装置1.名称:声光报警装置 JBU-VM1372B台32.其它：符合设计及规范

39、要求25报警限制器1.名称:报警限制器 JB-QBZ-JF998X台12.其它：符合设计及规范要求26限制器电源1.名称:限制器电源 24V/10A台12.其它：符合设计及规范要求27气体灭火器1.名称：气体灭火器套42.规格型号： 2*4KG 含箱体CO228自动报警系统装置调试1.名称：自动报警系统装置调试系统12.点数:128点29电源配电柜1.名称：电源配电柜台12.规格型号：1路市电入、1路UPS入、5路市电出、10路UPS出，含三相电源防雷30配电柜1.名称：配电柜台22.规格型号：1路市电入、1路UPS入、5路市电出、15路UPS出，含三相电源防雷31柜式空调 5P1.名称：柜式

40、空调台32.规格型号：5P32UPS电源 30KVA1.名称：UPS电源台22.规格类型：30KVA,1小时,输入为三相,输出为三相,含松下电池、电池柜、空开、铜芯电线，9355-30-N-033UPS电源柜 15KVA1.名称：UPS电源柜台12.类型：EDX15KXL31(15KVA、1小时 输入为三相、 输出为单相、含电池及电池柜）34防火墙深信服NGAF台13.3.3产品参数3.3.3.1数据库服务器HP ProLiant DL580 G7基本参数产品类型：企业级纠错产品类别：机架式纠错产品结构：4U纠错处理器CPU类型：Intel 至强7500纠错CPU型号：Xeon E7520纠错

41、CPU频率：1.866GHz纠错智能加速主频：1.866GHz纠错标配CPU数量：4颗纠错最大CPU数量：4颗纠错制程工艺：45nm纠错三级缓存：18MB纠错总线规格：QPI 4.8GT/s纠错CPU核心：四核纠错CPU线程数：八线程纠错主板扩展槽：11个纠错内存内存类型：DDR3纠错内存容量：16GB纠错内存插槽数量：64纠错最大内存容量：2TB纠错存储硬盘接口类型：SAS纠错标配硬盘容量：900GB纠错最大硬盘容量：4TB纠错硬盘描述：3块300GB SAS硬盘纠错内部硬盘架数：最大支持8块SAS/SATA/SSD硬盘纠错热插拔盘位：支持热插拔纠错RAID模式：1个智能阵列 P410i/5

42、12MB FBWC纠错光驱：薄型 SATA DVD ROM纠错网络网络限制器：1GbE NC375i四端口网卡纠错管理及其他系统管理：HP Insight Control 套件 24x7 支持带iLO 高级软件包的 Insight Control（iLO 3）纠错电源性能电源数量：4个纠错电源功率：1200W纠错全新的HP ProLiant DL580 G7服务器适用于大部分应用，是数据密集且须要向上扩展的工作负载的志向平台。HP ProLiant服务器发挥最佳应用程序运行时间和性能为客户带来更多的效益包括：HP ProLiant DL580 G7服务器利用HP ProLiant DL580

43、G7服务器可扩展的4核性能和类似Intel Machine Check Architecture (MCA)复原的耐用平安功能，增进系统牢靠性。与前一代8插槽服务器相比，HP ProLiant DL580 G7为数据密集型应用程序带来3倍于以前的数据库性能。因为接受Intel 7500 系列处理器，该服务器允许向上扩展更多的客户端。HP ProLiant x86服务器带来的卓越性能包括：适用于HP ProLiant DL系列G7服务器的HP Intelligent Power Discovery ，在服务器和第三方设施管理之间建立自动化的能源感知网络，解除过度配置能源容量的问题。通过HP In

44、sight Control供应的Integrated Lights-Out Advanced (iLO 3)，加速远程服务器管理任务作业。iLO 3远程限制面板的执行速度比之前版本快8倍，提高管理员的管理效率。HP Insight Control配备动态用电限制技术后，可以正确监督和限制每台服务器所运用的能源，加强运用数据中心、重新收回过度配置的能源，并增加数据中心3倍的容量。特殊为HP ProLiant而扩展的HP Mission Critical Services，将宕机时间降至最短，并通过增加的应用程序可用性，降低客户必需不断支付的运营成本。3.3.3.2应用服务器ProLiant DL

45、388 G7基本参数产品类别：机架式纠错产品结构：2U纠错处理器CPU类型：Intel 至强5600纠错CPU型号：Xeon E5649纠错CPU频率：2.53GHz纠错智能加速主频：2.93GHz纠错标配CPU数量：1颗纠错最大CPU数量：2颗纠错制程工艺：32nm纠错三级缓存：12MB纠错总线规格：QPI 5.86GT/s纠错CPU核心：六核纠错CPU线程数：12线程纠错主板扩展槽：6纠错内存内存类型：DDR3纠错内存容量：2GB纠错内存描述：PC3-10600R RDIMM DDR3 或 PC3-10600E UDIMM DDR3纠错内存插槽数量：18纠错最大内存容量：192GB纠错存储

46、硬盘接口类型：SATA/SAS纠错标配硬盘容量：标配不供应纠错最大硬盘容量：8TB纠错内部硬盘架数：最大支持8块SFF SATA/SAS硬盘纠错热插拔盘位：支持热插拔纠错RAID模式：P410i限制器纠错网络网络限制器：两个NC382i 双端口千兆网卡纠错管理及其他系统管理：iLO 3纠错电源性能电源功率：460W纠错外观特征产品尺寸：85.9660.7445.4mm纠错产品重量：最大27.2kg纠错适用环境工作温度：10-35纠错工作湿度：10%-90%纠错储存温度：-30-60纠错储存湿度：5%-95%纠错惠普ProLiant DL388 G7(-AA1)机架式服务器一款品质高、价位合理的

47、高信价比2U机架式服务器。这款服务器设置有特殊精彩的内部设计，以Intel 至强5600系列处理器作为核心保障，协作大容量的内存和硬盘存储，增加机身的牢靠性，更有效的助推企业腾飞的进程。惠普 ProLiant DL388 G7(-AA1) 图片惠普ProLiant DL388 G7(-AA1)机架式服务器配置Intel 至强5600系列Xeon E5620型号处理器。这款四核八线程的处理核心接受32nm制程工艺，频率为2.4GHz，通过智能加速主频，使处理器的频率提升到2.666GHz，协作12MB的三级缓存，增加了机体应对高强度工作的牢靠性。惠普ProLiant DL388 G7(-AA1)

48、机架式服务器内置有2GB的DDR3类型内存，智能阵列 P410i/零缓存，充分保障了机体运行的流畅与数据交换的牢靠。惠普ProLiant DL388 G7(-AA1)机架式服务器配置有2个NC382i双端口千兆网卡，并协作iLO 3管理程序，增加机体整体可控程度。惠普ProLiant DL388 G7(-AA1)机架式服务器的主板上最大设计有6个扩展槽，并配置有18个内存插槽和多个硬盘插槽，使最大内存容量可以达到192GB，最大硬盘容量可达8TB，充分保障运转的流畅程度。惠普ProLiant DL388 G7(-AA1)机架式服务器是一款性价比特殊高的2U产品。这款机架式服务器接受Intel

49、至强5600系列Xeon E5620型号处理核心，协作2个NC382i双端口千兆网卡和iLO 3管理程序，充分保障了机体的牢靠性和可控性，更加便于运用者操作。3.3.3.3磁盘阵列HP MSA2300产 品 型 号序 列 号描 述数 量MSA2300双限制器预配置AJ797AHP MSA2324fc双限制器磁盘阵列：双限制器，每个限制器 1 GB缓存；每个限制器有2个4Gb Fibre Channel 端口；支持RAID 0, 1, 3, 5, 6, 10, 50；最大支持64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ795AHP MSA2312fc 双限制器磁盘阵列：每个限制器 1 G

50、B缓存;每个限制器有2个4Gb Fibre Channel 端口；支持RAID 0, 1, 3, 5, 6, 10, 50；最大支持64个主机；带12颗3.5寸硬盘插槽；冗余电源1AJ805AHP MSA2312sa 双限制器磁盘阵列：冗余限制器，带1GB缓存;每个限制器有4个3Gb SAS 接口；支持RAID 0, 1, 3, 5, 6, 10, 50；直连最大支持8个主机，通过SAS BL Switch最大支持到64个主机；带12颗硬盘插槽；冗余电源1AJ807AHP StorageWorks 2324sa 双限制器磁盘阵列：冗余限制器，带1GB缓存；每个限制器有4个3Gb SAS 接口；

51、支持RAID 0, 1, 3, 5, 6, 10, 50；直连最大支持8个主机，通过SAS BL Switch最大支持到64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ800AHP MSA2312i LFF双限制器磁盘阵列：冗余限制器，每个限制器 1 GB缓存;每个限制器有2个1Gb iSCSI端口；支持RAID 0, 1, 3, 5, 6, 10, 50；最大支持32个主机；带12颗硬盘插槽；冗余电源1AJ956AHP MSA2300fc SAN Starter HA Upgrade Kit包括额外一个单独限制器，18端口8Gb SAN Switch，28Gb HBAs，SFP和线缆，可

52、以给AJ954A或AJ955A 升级1磁盘笼及可添加限制器选一个LFF或SFF 磁盘笼，选择一个或两个 FC/SA/iSCSI 限制器磁盘笼AJ949AHP MSA2324 SFF 2.5“磁盘存储机箱2个阵列限制器槽位，带24颗2.5寸硬盘插槽，冗余电源1AJ948AHP MSA2312 LFF 3.5”磁盘存储机箱2个阵列限制器槽位，带12颗3.5寸硬盘插槽，冗余电源1DC磁盘笼AJ950AHP MSA2012 3.5“直流电源存储机箱1AJ951AHP MSA2024 2.5”直流电源存储机箱1限制器AJ798AHP 2300fc 磁盘存储限制器，1 GB缓存;每个限制器有2个4Gb F

53、ibre Channel 端口;最大支持64个主机1AJ808AHP 2300sa G2 Modular Smart Array Controller带1GB缓存;每个限制器有4个3Gb SAS 接口；支持RAID 0, 1, 3, 5, 6, 10, 50；直连最大支持8个主机，通过SAS BL Switch最大支持到64个主机1AJ803AHP MSA2300i Modular Smart Array Controller1 GB缓存；每个限制器有2个1Gb iSCSI端口，最大支持32个主机；1随着信息化时代的到来，信息的数量化让我们应对起来手忙脚乱，人们迫切的须要大容量的存储设备来存放

54、这些信息，其中磁盘阵列就是这个家族中很重要的一员，它利用数组方式来作磁盘组，协作数据分散排列的设计，提升数据的平安性。惠普StorageWorks MSA2300FC(AJ798A)惠普StorageWorks MSA2300FC(AJ798A)磁盘阵列接受2U机架结构，阵列容量为16TB。内置三种硬盘接口，分别为SAS、SATAII和SCSI，可满足日常须要。RAID的接受为存储系统(或者服务器的内置存储)带来巨大利益，其中提高传输速率和供应容错功能是最大的优点。另一方面由于同时运用多个磁盘，提高了传输速率。惠普StorageWorks MSA2300FC(AJ798A)磁盘阵列支持的RAI

55、D形式为0, 1, 3, 5, 6, 10, 50。惠普StorageWorks MSA2300FC(AJ798A)磁盘阵列支持Microsoft Windows Server 2008 IA32, x64, IA64 (Standard, Enterprise, Datacenter)，Microsoft Windows 2003 and 2003 R2 IA32, x64, IA64和Red Hat Linux (32/64)等多种操作系统。惠普StorageWorks MSA2300FC(AJ798A)磁盘阵列具有很高的稳定性，它平均无故障时间可以达到小时。3.3.3.4骨干网交换机S5

56、120-28P-SIH3C S5120-SI系列以太网交换机是H3C技术有限公司自主开发的全千兆二层以太网交换机，广泛应用于企业网和园区网的接入层。供应灵敏的全千兆以太网端口的接入密度、丰富的业务特性、统一的集群配置，为用户供应高性能、低成本、可网管的千兆到桌面的解决方案。H3C S5120-SI系列以太网交换机目前包含如下型号：l S5120-20P-SI：16个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太网端口；l S5120-28P-SI：24个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太网端口；l S5

57、120-52P-SI：48个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太网端口。l 灵敏的千兆接入和集群管理H3C S5120-SI系列全千兆以太网交换机供应灵敏的16/24/48个10/100/1000M自适应电口接入；并且支持非复用的SFP插槽，充分考虑用户的带宽升级的实际状况，既可以支持千兆光模块，也可以支持百兆光模块，爱惜用户投资。H3C S5120-SI系列硬件支持最大104Gbps交换容量，保证全部端口二层线速交换。H3C S5120-SI系列交换机接受专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。

58、具有即插即用、单一IP管理。同时大大降低系统扩展的成本，爱惜了用户投资。l 全面的接入平安策略H3C S5120-SI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中慢慢盛行的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺瞒报文干脆丢弃。同时支持IP Source Check特性，防止包括MAC欺瞒、IP欺瞒、MAC/IP欺瞒在内的非法地址仿冒，以及大量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一样性。H3C S5

59、120-SI系列交换机支持端口平安特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。H3C S5120-SI系列交换机供应802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能，和CAMS服务器协作还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和限制，最大程度的削减非法用户对网络平安的危害。l 增加的网络管理和

60、维护的易用性H3C S5120-SI系列交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMP v1/v2/v3，可支持Open View等通用网管平台，以及iMC智能管理中心。支持CLI叮嘱行，Web网管，TELNET，HGMP集群管理，使设备管理更便利。并且支持SSH2.0等加密方式，使得管理更加平安。H3C S5120-SI系列交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持特性S5120-28P-SI外形尺寸（长宽高）（单位：mm）44016043.6重量3kg管理端口1个Console口业务端口描述24个10/100/1000

61、 Base-T以太网端口，4个1000Base-X SFP千兆以太网端口交换容量（全双工）56Gbps包转发率（整机）42Mpps端口聚合支持LACP链路聚合端口支持IEEE 802.3x流控（全双工）支持基于端口速率百分比的风暴抑制支持基于端口速率百分比、pps和bps的风暴抑制VLAN支持基于端口的VLAN（4K个）DHCP支持DHCP Client支持DHCP Snooping支持DHCP Snooping Option82组播支持IGMP Snoopingv1/v2/v3支持组播VLAN生成树支持STP/RSTP/MSTP协议ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、