政法平台项目技术方案V

《政法平台项目技术方案V》由会员分享，可在线阅读，更多相关《政法平台项目技术方案V（69页珍藏版）》请在装配图网上搜索。

1、宜春市政法综治平台项目技术方案目录汇总第一章 网络支撑能力分析51中国移动网络介绍51.1网络规模概述51.2中国移动传输网61.2.1光缆干线61.2.2骨干传输网61.3中国移动TD-SCDMA专线电路业务61.3.1 TD-SCDMA专线电路业务61.3.2 TD-SCDMA专线电路业务特点72宜春移动网络介绍82.1 宜春移动网络规模概述82.2 宜春移动传输网82.3 TD-SCDMA专线业务10第二章 宜春综治平台组网建议书121项目需求分析121.1项目背景121.2网络接入现状121.3社会信息平台需要解决的问题131.4需求分析131.5工程目标152系统建设建议书162.1

2、设计原则162.2网络解决方案介绍162.2.1行政村、企业单位组网结构图172.2.2方案说明172.2.3方案特点182.6 OTN/PTN设备及技术介绍412.6.1 PTN技术及设备介绍412.6.2 OTN技术及设备介绍43第三章 售后服务461、服务体系461.1组织架构461.2规范制度471.3工器具配备501.4 备品备件512、网络监控512.1概述512.2网络监控措施523、故障处理533.1故障处理措施533.2故障处理流程544.网络巡检564.1汇聚节点设备564.2汇聚节点设备数据收集和性能分析574.3网络业务数据维护574.4接入设备575、售后服务机构及人

3、员626、客户评价体系637、响应服务与承诺647.1技术咨询647.2故障申告受理657.3故障处理657.4系统运行监控657.5网络巡检667.6重要期间保障服务667.7承诺考核指标668、培训服务66第四章 工程实施方案681项目进度安排682、项目实施流程683、施工组织结构694、项目进度保障措施725、资源保障735.1网络资源保障735.2人力资源保障746、质量控制756.1质量控制原则756.1.1 工程管理与质量控制体系756.1.2 施工方法、计划及措施766.2项目实施准备786.2.1接入环境说明786.2.2目标管理和标准化管理796.2.3确保前期勘测质量79

4、6.2.4针对性方案设计796.2.5确保方案准确性796.2.6提升工程督导水平806.3 安全及文明施工806.3.1保障网络的安全806.3.2安全制度及教育806.3.3设备安全控制806.3.4人身安全控制816.3.5施工安全控制816.3.6安全责任816.3.7安全记录816.4施工质量保障816.4.1严格的过程质量控制816.4.2配备高素质的工程队伍827、项目验收方案837.1 工程风险控制837.2工程测试验收837.3 工程验收步骤837.4 验收内容847.5 验收参照标准85第一章 中国移动网络支撑能力分析中国移动宜春分公司2012年05月第一章 网络支撑能力分

5、析1中国移动网络介绍1.1网络规模概述中国移动集团公司是按国家移动体制改革方案组建的特大型国有通信企业、国家主体移动企业之一、中国最大的基础网络运营商、最大的综合信息提供商；拥有世界第一大移动 网络和客户规模，网络覆盖全国，服务通达世界各地，分支机构遍布全国；拥有全国性骨干通信网络，在全国范围内经营电信业务。在传输网方面，中国移动目前已建立并拥有了一个以光缆为主、卫星为辅的全方位、大容量、多手段、高速率、安全可靠的立体通信传输网络。2010年年底，全国光缆线路长度达到300万公里，SDH、DWDM以及OTN/PTN技术得到大规模使用，传输速率数十倍提高。中国移动通信已建成一个覆盖范围广、通信质

6、量高、业务品种丰富、服务水平一流的移动通信网络，网络规模和客户规模列全球第一。截至2010年底，网络已经覆盖全国绝大多数乡镇村，主要交通干线实现连续覆盖，城市内重点地区基本实现室内覆盖，客户规模达到5.84亿，与184个国家和地区的235个运营公司开通了GSM国际漫游业务，与73个国家和地区的51个运营商开通了GPRS国际漫游，国际短信通达106个国家和地区的214家运营商，彩信通达4个国家和地区的14家运营商。在数据及移动互联网方面，中国移动始终把数据及移动互联网作为发展重点之一，并加大了对数据及移动互联网建设的投入。经过几年的建设，覆盖全国的多功能、多层次、高效先进、完整统一的公用数据通信

7、网络平台已基本建成，其中包括CMNET和CMWAP。在国际通信能力方面，中国移动作为国际一流的通信运营商，具有强大的国际通信能力和丰富的运营经验，目前已经具有通达世界绝大部分国家和地区的国际电路，与世界众多一流移动运营商有广泛的合作关系。中国移动建设了国际一流的、通达全球的通信网络以及各种通讯业务承载平台。1.2中国移动传输网1.2.1光缆干线中国移动光缆干线的组网方式，实现了统一的规划设计、统一的调度管理、统一的保护恢复、统一的维护管理，采用1+1的复用段和MS-SPRING（多区段分担保护环路）的自愈环状保护方式，构成了一个无级的、融合一体的长途通信干线网。骨干传输网中国移动传送骨干网中首

8、先引入光/电层控制平面，提高网络业务动态智能调度、业务保护恢复和新业务提供的能力，然后向着更大颗粒度和分组化智能的方向发展，逐步引入ODU交叉以及ROADM技术，在此过程中传送层面将逐步完成向着PTN方向的升级和改造。在城域汇聚网率先采用支持完全分组能力的PTN传送节点，彻底打破传统传输网和二层数据网的界限，构建融合的统一网络。承载网络中现有业务和将来可能出现的各种新业务，所有业务都在同一平台上传送。1.3-20-中国移动TD-SCDMA专线电路业务1.3.1TD-SCDMA专线电路业务TD-SCDMA专线电路业务是基于PTN、SDH、DWDM、OTN/OPN等光纤传输网上的业务网络，向客户提

9、供高速数字信号传输的业务，可以向客户提供2M、155M、622M、GE、2.5G、10G等多种传输速率的全透明电路业务。TD-SCDMA专线电路适用于速率高、信息量大、实时性强的业务传送。TD-SCDMA专线电路业务应用前景广阔，广泛应用于政府、银行、证券、教育、网站、气象等需要高速数据传送的行业，适用于多种局域网之间的高速互联，以及会议电视等图像业务的传送，能够为客户提供带宽独享的、高速、全透明的数据传输通道。1.3.2 TD-SCDMA专线电路业务特点 标准统一：设备符合国际标准，使1.5Mbps和2Mbps两大数字体系在STM-1上得到统一，使用国际通用的STM-1、STM-4、STM-

10、16等标准接口，配备以太接口，为IP化改造提供了条件； 全透明电路：基于物理层的全透明传输，为客户提供端到端的全透明高速数字信号传输服务，承载话音、视频、IP、ATM等多种业务，客户可根据业务需要任选网络设备及协议； 速率多样性：通信速率可根据需要在2Mbps、155Mbps、622Mbps、2.5Gbps、10Gbps等速率中任意选择； 带宽独享、传输效率高、质量好、网络时延小、抗干扰能力强、保密性能好； 可靠性高：由于传输网大都采用自愈环的网络结构，因此可靠性高、业务恢复时间短、经济性好，非常适应现代网络应用的发展需求； 调配灵活：数字电路网为同步传输网，利用交叉连接技术、电路交换技术，可

11、进行灵活的电路调配，快速响应客户的需求； 完善的网管功能：传送网帧结构中安排了丰富的开销比特（大约占信号的5），因而使网络的OAM能力大大加强； 便于维护：底层电路，故障定位、处理简单、业务恢复快。由于目前移动两大主要传送网络SDH网和PTN网都采用自愈环的网络结构，因此可靠性很高、业务恢复时间短、经济性好，十分适应现代传输网的发展趋势。采用移动传输电路组建宜春市政法平台网络应用系统完全可以实现业务传输的高质量、高可靠性要求。2宜春移动网络介绍2.1宜春移动网络规模概述宜春移动分公司是宜春最大的综合信息提供商，拥有最多的移动 网络和客户规模，TD-SCDMA专线电路更是极速发展，涉及金融、证券

12、、政府、税务等各个行业。宜春移动网络覆盖全市各个行政村，传输网络发达，能提供综合性网络服务。下面介绍宜春移动在网络安全上的优势： 楼内实现双通道宜春移动在安全部署上力求完美，在10个县市区核心机房的基础建设中充分考虑了供电系统、线缆通道的安全设计，每个楼内核心机房不但满足电源通道和线缆通道分开的基本要求，而且做到双通道，即有双电源通道、双线缆通道且互相隔离，真正做到万无一失，相比其它运营商，其机房安全考虑更为周到。 供电系统1、 配有油机房，存储大量的应急汽油，保证供电系统出问题后核心机房长时间不断电运行；2、 所有设备双电源供电，且通过不同的电源通道。2.2宜春移动传输网 宜春移动本地传送网

13、以4个400G带宽的本地OTN承载网为骨架，建设了3000多个局所，敷设了23000余公里光缆，覆盖了全市九县一区所有村级行政单位，能够提供高质量、高带宽、不同颗粒、不同接口的业务接入的需求。（附图是OTN承载网结构图）丰城电信楼靖安奉新西门营销中心高安锦惠大厦宜丰铜鼓万载上高樟树老公司东门贸易广场先锋厂宜春新局宜春枢纽楼OTN北环40*10GOTN南环40*10G城域网OTN 南环40*10G万载高安公司大楼新余OLA新余OLA樟树公司大楼城域网OTN 北环40*10G宜春枢纽楼宜春新局丰城新大楼 三大运营商中，中国移动率先使用OTN+PTN设备组网，县市骨干调度之间组建OTN网、接入层运用

14、PTN设备组网，满足高容量、多类业务的接入。 业务的多重保护OLP光导系统和环路建设宜春移动一直致力于推进县到县本地网骨干环光缆双路由建设，截止2011年，已建设本地网光缆共计1500余公里，所有县市都具备了完全分离的第二路由，通过OLP技术（光导系统），实现了主备路由的自动切换，大大提高了网络的存活能力和业务的自愈能力，而其他运营商的OLP技术目前只在国家干线系统上使用。下图是OLP设备的工作原理。宜春移动彻底改造县市机房主节点供电电源，目前，各县市都具备2套以上独立市电和蓄电池的开关电源，保证了业务的可靠性。宜春移动投入大量资源实现主、接入机房的远程监控，将其它外因素对业务的影响减少到最小

15、。利用网络资源丰富、网络平面多的特点，将汇聚设备组建成双归属网络，有效实现单节点失效保护。2.3 TD-SCDMA专线业务宜春TD-SCDMA专线业务基于移动SDH、MSTP、OTN/PTN等传输网络，提供安全可靠、稳定运行的全透明业务，广泛应用于政府、金融、证券、烟草、大中小企业。第二章 宜春综治平台组网建议书中国移动宜春分公司2012年05月第二章 宜春综治平台组网建议书1项目需求分析1.1项目背景目前，我国社会管理信息化建设尚处于起步阶段。社会管理相关部门“条块分割”、“各自为战”、“重复建设”的现象普遍存在。分散的管理格局导致各类社会资源得不到有效整合，信息（数据）无法共享共用，社会管

16、理的力量无法统一扎口；传统的管理手段导致基层负担重、行政效能低，基础性、源头性、苗头性社会问题得不到及时反应和及早防控；落后的管理机制使各级领导无法在第一时间快捷掌握全地区整体动态，遇到紧急事件无法快速反应，对重大事件处置无法进行全过程的跟踪、监督和管理。宜春市政府政法委计划建设一个面向市、区（县）、镇（街）、村（社区）、片组片格多级综治部门的平台，建立网格化责任体系，规范事务处理流程，创建综治信访维稳中心统一受理、统一分流、统筹指挥、协同参与、整体联动的工作格局，形成常态排查、研判准确、智能分流、反应快速、闭合循环、全程监督的机制，大幅提升综合管理动态化、常态化治理水平，更好地把“强综治、创

17、平安、促发展”的各项措施落到实处，打造更加平安、稳定、和谐、文明的社会环境，1.2网络接入现状政法信息平台数据具有涉秘性，政法委计划采用电子政务外/内网解决市、县、乡联网。宜春电子政务内网网络拓扑：1.3社会信息平台需要解决的问题社会信息平台拟采用全市统一平台，节省各县分别建设平台所需大量投资，同时因平台具有涉秘信息，统一平台便于安全可控管理。采用统一平台需解决需要考虑服务器性能、系统架构、负载均衡、网络安全等四个方面问题，以及与公安、移动MAS等接口问题。网络方面，因涉秘需要，系统拟采用接入电子政务 网方案，但因为现乡乡通未能接入到乡镇，所以先采用电子政务外网方案。宜春电子政务网只连接到乡镇

18、层面，需建设光纤网络，把村级用户接入政法平台。因涉秘需要，平台不能接入互联网，同时在VLAN划分和访问控制策略上，如果条件具备，可采用MPLS-VPN，在政务外网中建立虚拟专网，把其他无关的电子政务网用户禁止访问。同时因社会信息平台信息具有实时性比较强， 需要登录平台实施上传、接收、签批等，需要把MAS等平台接入系统。1.4需求分析1、建全市统一系统平台，规划先行。 政法委站在全市高度拟建设全市统一平台，系统平台建设整体性能需要做如下考虑：o系统构件化设计，面向对象，可做到灵活扩展系统采用三层架构体系，充分考虑到以后纵向和横向的发展在网络稳定（带宽512K）的环境下操作性界面单一操作的系统响应

19、时间小于3秒，完全支持3000个并发用户，正常500个用户并发访问支持年数据量为100万记录数，100GB字节的数据量系统5X24小时连续运行，年故障3天，故障修复时间2小时系统安全特性、访问控制到页面级具有较强的系统安全性和灾难恢复能力计算机系统的可靠性用平均无故障时间（MTTF）来度量可用性分类可用水平每年停机时间容错可用性999999 1 min极高可用性999995 min具有故障自动恢复能力的可用性999953 min高可用性9998.8 h商品可用性9943.8h2、 数据的安全与保密性现代计算机系统，大多采用TCP/IP作为网络通信协议。众所周知，TCP/IP是以开放性著称的，系

20、统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，而且实现时还存在许多漏洞。鉴于安全的重要性，为确保在政法信息平台中的个人身份、签名的合法性，电子公文、电子印章的有效性，需要分别从网络服务器安全、软件安全、外置硬件安全三个方面进行设计。网络服务器安全方面：购置专门的入侵检测系统设备对各种入侵行为进行检测控制；在硬件防火墙上设置相应的安全策略杜绝非法访问；购买网络防病毒软件定时对系统进行病毒扫描；对数据资料进行实时备份（本地备份和异地备份），确保数据资料的安全；建立严格的网络管理规范，从制度上进行约束。软

21、件安全方面：在数据的传输过程中采用过程加密的方式，不以明文的形式进行传输；完善的用户权限设置，采用模块、角色、用户的分级授权，灵活配置操作人员的操作模块，实现细粒度的权限控制；完善的用户操作日志记录，自动记录每个用户访问系统、修改操作的过程，便于安全审计； 在外置硬件安全方面：采用第三方的安全产品（CA认证和电子签章）进行对接，确保个人身份、电子签章的合法性和公文的有效性；保留盖章签名、防篡改、分层保护、打印控制、签章过程跟踪的功能；保留签章非法追究的权利。3、网络覆盖与安全因平台内容涉密，网络安全至关重要，平台前期接入电子政务外网，后期需要接入电子政务内网，系统严禁接入互联网。基于以上考虑，

22、平台到村级用户不能使用VPDN网络，需要使用光纤专网。同时在VLAN划分和访问控制策略上，把其他无关的电子政务网用户禁止访问。同时因社会信息平台信息具有实时性比较强， 需要登录平台实施上传、接收、签批等，需要把MAS等平台接入系统。1.5工程目标本次宜春社会信息管理平台网络工程的总体目标就是借助电子政务网络以合理的成本建设安全可靠的通信网络，为社会信息平台提供优质安全可靠的通信保障实现本地区、全社会、各领域、各部门、镇村发生的各类不稳定事件，以“人员”要素为基础，以“事件”管理为主线，以业务流程管理为重点，以维护社会稳定为目标，进行全地区的信息整合、分析、排查和管理，将“大调解”、“大信访”、

23、社会治安、维稳综治、应急安全、重点人群、安全生产、社会救助、劳动保障、风险评估、涉法涉诉等涉及社会管理的各主管部门职能和管理系统，全面整合在统一的管理平台上，进行网络智能化的处理、运营和监管。2系统建设建议书2.1设计原则本着统一性、可扩展性、可靠性和高安全性的原则对政法网络进行规划，充分实现网络的技术先进性、高度的安全可靠性、良好的开放性、高度的灵活兼容性，可扩展性，以及实用经济性。w 统一性以先进、成熟的网络通信技术进行组网，在全市范围内建设一个政法专用通讯子网，一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP网络协议，支持数包括数据、语音、视频等多种类型的业务应用。w

24、可扩展性和兼容性（1）具备接入所有业务系统的能力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持；（2）能将多种业务集成在同一个网络中，以充分利用信道带宽，在保证目前应用的情况下，使网络具有可扩展性，保护用户的投资。标准化和开放性；（3）整个网络为一开放式环境，可与其网络互连并实现信息的交换与共享；网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。w 可靠性和高安全性（1）利用宜春移动传输的环网技术，实现网点冗余保护，提供网络的稳定性。保证政法网无中断运行；（2）具

25、有完善的网管系统，实现对网络进行端到端的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。2.2网络解决方案介绍行政村和企业单位直接建设专网接入政法平台，乡镇单位以及已经接入电子政务单位，采用MPLS-VPN方式，建立VPN隧道，接入政法平台。整体网络拓扑图2.2.1 乡镇以及已经接入电子政务网的组网方案 因政法平台涉密性质，接入电子政务外网的乡镇用户采用MPLS-VPN方式，在电子政务网安全政法平台虚拟专网，其他无关用户不受影响。乡镇用户与平台之间采用MPLS VPN技术可以把现有的电子政务网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络用于解决政法平

26、台用户与中心平台的独立互连。配置MPLS VPN需要在县、市电子政务核心交换路由上培植数据，乡镇需要配置带VLAN交换机。MPLS VPN与VLAN+ACL的对比分析VLAN是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。广播帧限制在一个VLAN中，VLAN之间二层隔离，必须通过IP层才能互通。所以通过VLAN + ACL可以提供一定的业务隔离能力。适用范围: VLAN本质上是一种局域网技术，适用于局域网范围内的隔离，但是依靠VLAN本身并不能保证IP业务的隔离，必须和ACL配合使用。由于这种方式下，所有业务系统

27、处在一个IP地址空间，彼此可见，不是真正的隔离，为网络安全留下隐患。MPLS VPN是基于IP层信息及路由的隔离，不同VPN之间的IP地址彼此独立，VPN中的主机感觉不到其他VPN成员的存在，从而实现了真正的隔离。同时，由于MPLS VPN是基于三层的路由隔离，并且利用BGP扩展协议自动扩散VPN成员信息，所以MPLS VPN适用于广域网，城域网及其他规模比较大的网络。可维护性: VLAN 方式可以比较简单的实现二层的隔离，但是为了实现不同业务系统的IP层隔离，必须针对每个VLAN，配置大量的ACL条目，并且每个3层节点上，随着需要隔离的业务系统数目(N)的增加，配置工作以N(N-1)方式增加

28、。MPLS VPN依靠路由转发实例自动实现隔离，不需要针对每个网段配置进行ACL配置，同时，不同VLAN+ ACL的手工配置方式，由于MPLS VPN的隔离及路由扩散都是通过动态路由协议实现，不存在配置N平方问题。在网络规模大时，极大的减轻了配置工作量。可扩展性: 同ATM/FR VPN一样，VLAN + ACL方式由于存在配置N平方问题，每增加一个新的VLAN或是业务系统都要对以前所有业务系统的配置进行修改，存在严重的可扩展性。MPLS VPN中增加新的节点或VPN时，不影响原有的VPN配置，可扩展性极好，实际上，MPLS VPN良好的可扩展性是MPLS VPN成为主流骨干网VPN技术的重要

29、原因之一。安全性: VLAN方式下，由于VLAN中所有处在同一广播域中，任何人都可以利用ethernet技术的广播特性，通过简单的软件工具获取其他主机的通信信息，存在严重的安全问题，而MPLS VPN基于三层实现，广播报文被自然隔离，不存在上述安全问题。同时，VLAN+ACL要求所有主机处在同一地址空间，这本身就为网络攻击者提供了可能，采用MPLS VPN实现隔离，VPN之外的用户根本感觉不到VPN的存在，更无法攻击VPN内部的网络。MPLS VPN在实现了访问安全的同时，还可以和现有的各种安全技术(如IPSec等)无缝配合，实现数据传输安全。网络稳定性: VLAN组网中，容易引起广播风暴，导

30、致各种网络问题。这也是VLAN技术无法应用于广域网或其他大型网络的原因。MPLS VPN基于3层隔离，并且有明确的分级结构，不存在广播风暴问题，适用于各种大型的网络。QOS: VLAN采用802.1p表示业务的服务等级，同时通过队列技术支持拥塞管理，但是受ASIC芯片的限制，支持的队列数及种类有限，支持的其他的QOS技术很少，相应的，在复杂的业务应用情况下，QOS支持能力有限。MPLS QOS支持成熟的DiffServ QOS模型，可以支持流量监控，拥塞管理(队列管理)，拥塞避免，并且可以和其他IP/MPLS QOS技术配合(如专门用于语音等实时业务的RTP实时队列，CBWFQ，LFI等)，可

31、以很好的保证复杂应用的业务QOS。网管实现: VLAN的网管实现简单，支持集群管理，易于实现设备级的管理，MPLS VPN在设备级管理方面比VLAN复杂，但是可以提供基于VPN拓扑的管理，利于网络的全局视图及网络规划。所需要增加的设备：乡镇单位需要配置2层带VLAN的交换机，如果前期没有配置，需要增加。同时需要在县、市电子政务做数据配置。序号硬件名称数量单价合计备注1二层带VLAN交换机3001500450000具体数量需要统计2.2.2行政村、企业单位组网结构图2.2.3方案说明 从业务的信息化安全和通道安全两方面考虑，同时满足业务的带宽需求和业务多样化的接入需求，宜春移动为宜春政法采用OT

32、N+PTN+SDH模式组网。OTN网络能提供足够的带宽，PTN网络能实现多种端口的接入需求。政法平台行政村网络包括10个区县市所有行政村、企业电路，全网采用OTN/PT/SDH组网，整体方案具有良好的扩展性、可控性，易于管理、便于维护，且实现了环路冗余备份，具体描述如下：1、 县市各行政村、企业单位链路通过PTN接入县市电子政委内网，PTN成环保护，避免单点故障。2、 行政村、企业单位行政村、企业单位通过2M（2M以上）直接接入县电子政务内网。3、 VLAN划分、IP地址分配和ACL控制策略建议政法网IP地址单独全市分配成一个大段，方便在路由器、交换机、防火墙配置访问策略，同时将来切换到内网可

33、不需要重新配置IP地址。同时VLAN划分方面也做统一考虑，在交换机上配置ACL控制策略，禁止政法网段与其他电子政务网络互访，最大限度做好网络安全。4、 防火墙安全策略防火墙上做好严格的访问控制策略，屏蔽一切无关端口，屏蔽一切无关协议，攀比一切无关IP地址2.2.4方案特点1、信息安全有保障。通过OTN+PTN+SDH网实现行政村和各县电子政务内网之间两点封闭式通信，第三方无法窃取信息。2、业务可靠性高。全程提供电信级业务通道，主备倒换切换时间小于50ms，用户无感知。5、 双重保护体系，业务自愈能力强。一是利用波道保护技术，在OTN网上实现业务的通道保护；二是利用OLP（光线路保护）技术，在县

34、到县之间建设主备两个光缆路由，通过OLP系统实现主备光缆之间的自动切换，能够有效防止多点同时中断给网络造成的危害。6、 带宽有保障。PTN本身具有GE以上带宽，可以充分保障带宽。5、平滑升级 每个网点可根据需要进行平滑升级。7、 网络安全保障系统最大限度的考虑了网络安全，在三层交换、防火墙等层面做好严格的网络访问策略。8、 专用网络物理隔离互联网所有网点都是专线网络，物理隔离互联网。 线路报价： 单条光纤价格（2M）100元/月，接入点直接从行政村接入平台。2.3 系统平台解决方案介绍2.31. 系统拓扑2.3.2 方案说明服务器和存储系统是整个系统的主干与核心，主要功能是尽可能快速地交换数据

35、。建议系统托管于移动公司IDC机房，在电电力、空调、安全等方面运营商机房条件比较优异。数据库服务器和应用服务器通过光纤交换机选用高端双引擎双电源可扩展的三层交换机作核心设备，保证网络核心设备的高性能和高可靠性，提供快速的信息交换与传输；每台服务器配置千兆网卡，以千兆链路接到核心交换机上，保证数据传输和处理的高效可靠；选用高性能千兆防火墙实现核心网络与外部网络的高速安全互联。同时配置IDS入侵检查系统保障系统安全。采用千兆光纤连接应用服务器区的防火墙与电子政务网、移动MAS、公安、党政网等相连，实现社会信息平台与其他相关具体业务单位间的高速可靠互联。政法部门作为管理部门直接接入核心交换机，实现高

36、速访问和灵活控制。核心服务器配置根据海盟公司软件性能以及相关用户需求进行配置，核心指标应该达到以下标准：在网络稳定（带宽512K）的环境下操作性界面单一操作的系统响应时间小于3秒，完全支持3000个并发用户，正常500个用户并发访问支持年数据量为100万记录数，100GB字节的数据量系统5X24小时连续运行，年故障3天，故障修复时间2小时系统安全特性、访问控制到页面级数据库服务器性能：针对500万左右人口的地级市，此种规模地市的业务终端约5000左右，并发连接可达到20左右，则并发连接为1000左右，按照每笔业务处理响应时间不超过3秒，同时每笔业务访问数据库的子交易数为10个，同时考虑预留30

37、的冗余，则业务部分要求服务器并发处理能力TPC-C必须达到：存储系统：为了保证SAN存储系统的稳定性和可靠性，在SAN网络上我们采用了全冗余的架构，并且要求采用最新的4Gb/s接口，在存储方面，需要采用光纤磁盘阵列，要求配置双控制器冗余，现配置存储容量3TB，如果有视频需求，可扩展30TB。应用服务器：应用服务器作为政法平台平台的应用核心，对处理能力要求非常高，一般情况下，一台最新款的4CPU/8G内存的PC服务器可以支撑300个左右的并发，由此可见，针对500万左右人口的地市建议配置2-44台PC服务器承担应用服务器，同时应用服务器通过硬件负载均衡器实现负载均衡。设备配置：序号硬件名称数量单

38、价合计1千兆防火墙,网络处理能力4G,并发连接300万,标准配置6个10/100/1000M自适应电口,4个SFP插槽。具有公安部销售许可证、多核并行安全操作系统证书、军B+级证书、自主创新证书、保密局证书；三年服务1台80000800002千兆入侵防御系统，网络处理能力2G, 6个10/100/1000Base-T端口，4个千兆SFP模块插槽；支持2路电接口、2路光接口共4路IPS(内置2路电口Bypass)或9路IDS，具有公安部销售许可证，军用证书，自主创新证书，CVE兼容性证书，保密局证书；三年服务1台1100001100003日志审计专用千兆多核硬件平台和安全操作系统，性能指标：事件

39、采集可达到3000事务数/秒（TPS，Transaction per Second），热插拔硬盘总容量2TB。支持外接存储设备。外观：标准2U机架式；2个1台10/100/1000M Base-T电口（RJ45）（1个管理口，1个采集口），可以另外扩展到6个千兆采集口（电口/光口）（MDG/MDF模块）；1个Console口，支持Console口管理；单电源。不对审计数量进行软件限制。可实现数据库登录、日志、验证，异常情况报警。具有公安部销售许可证、多核并行安全操作系统证书、军用证书、保密局证书1000001000004IBM 机柜(93074RX) 2个5000100005负载均衡设备：F5

40、 BIG-IP-1500 1台11000011000064U机架式/配置4颗INTEL XEON E7-4820八核处理器，主频为2.0GHz，18MB L3 Cache处理器/INTEL7500芯片组/64G ECC DDR3 Registered内存，板载32个内存插槽，最大可扩展1TB内存/3块600GB 15K SAS硬盘；最大可支持10个 硬盘/ 高性能SAS 6Gbps磁盘控制器,支持 Raid0,1,10，Raid 5 /集成2个基于IOAT2/VT/VMDQ技术的64位高性能千兆网卡/5个PCI-E 2.0扩展插槽/集成显卡控制器、Slim DVD光驱、USB软驱/支持BMC+

41、KVM远程管理功能，支持自主产权的管理软件及备份还原软件，可实现本地管理、备份还原功能，全面支持Windows和Linux系列操作系统和主流存储介质的，可跨网络实现系统备份、还原、克隆的离线备份容灾软件/提供三年免费原厂整机硬件保修/冗余电源4台800003200007光纤存储 IBMV7000（自带8个光纤接口）硬盘：IBM原装3.5 SAS 900G * 16个1台3200003200008光纤交换机:博科BR-360-000824口2台50000100000911500002.4 樟树、万载试点业务开展方案根据政法委部署，樟树两乡镇、万载一个乡镇优先启动社会信息管理平台建设工作，因时间紧

42、，任务重，相关服务器、网络、安全、软件需特事特办优先予以考虑建设。宜春移动拟采用如下应急方案，优先建设樟树、万载社会信息管理平台：1、 调配两台高配置服务器，如有需要，将在两天内完成系统、数据库、IIS等程序安装和调试工作，满足两县市试点平台快速开通和使用。2、 服务器可放置于移动IDC机房，机房在电力、安全、空调、防火防尘方面具有较好的条件。3、 网络方面：三各乡镇以及所辖行政村用直接通过移动专线接入平台。因是专网，不需要多方配合来完成电子政务MPLS VPN配置等电子政务侧相关工作，同时专用网安全性好，可以快速部署。4、 平台软件安装和培训工作：平台软件可由海盟公司和移动工程师共同配合完成

43、，软件培训工作，移动公司安排专人配合协助。2.5 平台安全策略2.5.1 整体安全思路由于各种安全事件，无论是入侵、蠕虫还是病毒，我们都可以把整个爆发的过程分为三个阶段：发作前、发作中、发作后。安全保障体系的建立就是要分别针对这三个阶段采取相应得控制手段，有效地使用正确的处理方法，保障信息系统的安全性。1、 事前安全防护体系：纵深防御，等级化保护对于安全事件发生之前，安全保障体系的作用主要是做出安全防护，避免各种安全隐患的发生。主要是根据安全等级的不同，把整个网络划分成不同的安全区域，在不同区域出口处部署访问控制设备，对进出区域的数据包进行IP、TCP、应用层的检查，鉴别和访问控制。同时，在网

44、络出口处部署病毒过滤网关，在重要服务器或主机系统上部署防病毒软件，建立全网病毒监控和防护体系。2、事中安全检测与响应体系：实时监测、积极响应防护设备的能力并不是绝对的，一旦防护体系被突破，安全保障体系的作用主要是对安全事件及时的监测出来，并根据预先设置的响应方式积极的做出反应，及时中断安全事件的发生，确保系统不会受到损害。具体的说，就是在网络内部部署入侵检测和漏洞扫描系统，实时对网络监控，定期对网络进行扫描，采用和防火墙联动的方式或其他积极响应方式，中断入侵连接，保护信息系统。3、事后安全审计体系：事后检查、主动追踪任何安全防护设备都不可能做到100%的有效防护，一旦安全防护设备被突破，如何能

45、够通过入侵者留下的蛛丝马迹发现攻击的过程，分析造成的损失，并追究攻击者的责任，也是安全防护体系中需要重点考虑的环节。此时，安全保障体系得作用主要是对安全信息进行审计，及时发现曾经发生的安全威胁，对安全事件的过程进行追踪，并评估对信息系统造成的损失。通过事件追踪，可以及时的发现保障体系中存在的防护和检测漏洞，及时的进行修补，使整个防护体系处于动态的安全平衡之中。2.5.2 政法平台安全需求分析我们可以对系统所面临的风险从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述：1、 物理安全风险l地震、水灾、火灾等环境事故造成整个系统毁灭；l电源故障造成设备断电以至操作系统引导失败

46、或数据库信息丢失；l设备被盗、被毁造成数据丢失或信息泄漏；2、 链路传输风险分析网络安全不仅是入侵者到内部网上进行攻击、窃取或其它破坏，而且有可能在传输线路上安装窃听装置，窃取网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性。以上种种不安全因素都对网络构成严重的安全危胁。因此，对于政法这样带有重要信息传输的网络，数据在链路上传输必须加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。（软件要求）3、网络安全风险lDOS/DDOS攻击、DNS欺骗攻击，会造成服务器服务的中断，影响业务的正常运行；l内部用户通过Sniffer等嗅

47、探程序在网络内部抓包，获得系统用户名和口令等关键信息或其他机密数据，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；l内部用户通过扫描软件或取其他用户系统或服务器的各种信息，并利用这些信息对整个网络或其他系统进行破坏。l病毒，尤其是蠕虫病毒爆发，将使整个网络处于瘫痪状态。4、系统安全风险目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其后门。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安

48、全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。5、管理安全风险对于管理风险包括：u内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。u机房重地却被任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。u内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏，如传出至关重要的信息、错误地进入数据库、删除数据等等

49、。这些都将给网络造成极大的安全风险。u非法人员进入重要部门或机房，非法获得资料或对设备进行破坏；u员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。u大量的人为因素的安全隐患，为破坏着进入系统造成了便利，例如：部分系统管理员密码强度不够，或没有设置密码；密码和帐号名相同或者采用帐号名翻转作为密码；采用 号码作为密码；采用单一字符集作为密码，例如qqqqqq；密码的复杂程度不够；管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏

50、可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 项目参考的安全标准和技术规范l 关于加强信息安全保障工作的意见（中办200327号文件）l 国家信息化领导小组关于我国电子政务建设指导意见（中办发200217号）l 中国公用计算机互联网国际联网管理办法，国家保密局，2002年5月l ISO/IEC 15408（CC）：信息技术安全评估准则。该标准历经数年完成，提出了新的安全模型，是很多信息安全理论的基础。l ISO/IEC 17799/BS7799-1：信息安全管理惯例。这是目前世界上最权威的信息安全管理操作指南，对信息安全工作具有重要指导意义。l ISO/

51、IEC 13335，第一部分：IT安全的概念和模型；第二部分：IT安全的管理和计划制定；第三部分：IT安全管理技术；第四部分：安全措施的选择；第五部分：网络安全管理指南。l GB17859：计算机信息系统安全保护等级划分准则。这是我国政府颁布的信息安全产品等级划分准则。l GA216-1999 ：计算机信息系统安全产品部件l GB9387 ISO7498：信息处理系统开放系统互连l GB 9361：计算站场地安全要求l 公安部第51号令：计算机病毒防治管理办法l 中华人民共和国计算机信息系统安全保护条例国务院令147号l 中华人民共和国信息网络国际互联网管理暂行规定国务院令195号l 计算机信

52、息系统安全专用产品检测和销售许可证管理办法公安部令32号l 中华人民共和国保守国家秘密法l 中华人民共和国保守国家秘密法实施办法保密局l 计算机信息系统保密管理暂行规定国家保密局 国保发19981号l 计算机信息系统国际联网管理规定国家保密局l 计算机信息网络国际联网安全保护管理办法公安部l 商用密码管理条例国务院令273号l 中共中央关于加强新形势下保密工作的决定等文件l 中华人民共和国国家标准GB17859-1999l 计算机信息系统安全保护等级划分准则编制说明 2.5.4政法平台安全方案设计 根据前面分析，方案将从一下几个方面进行安全设计计算环境安全 1、操作系统安全 对于操作系统的安全

53、防范采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制；加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。 2、应用系统安全在应用系统安全

54、上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性；并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。2.5.4.2边界安全 1、政法平台防火墙的部署根据政法系统的特点与要求，我们在该网中建立防火墙系统，防火墙部署在平台入口处，T通过严格的防护策略，保护系统安全：l防火墙对内网用户必须经授权便能够访问平台获取所需要的信息和服务；防火墙

55、可以防范各种网络攻击，能够查找到攻击的来源和类型，能够对这些攻击进行反应；对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的影响；抗DOS/DDOS攻击：拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DOS/DDOS攻击；防

56、止入侵者的扫描：大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，并截断这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段；防止源路由攻击：源路由攻击是指黑客抓到数据包后改变数据包中的路由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击；防止IP碎片攻击：IP碎片攻

57、击是指黑客把一个攻击数据包分成多个数据据包，从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，从而防止了IP碎片攻击；防止ICMP/IGMP攻击：许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则，禁止ICMP/IGMP数据包的通过防火墙，保证系统的安全；阻止ActiveX、Java、Javascript等侵入：防火墙能够从HTTP页面剥离ActiveX、JavaApplet等小程序及从Script、PHP和ASP等代码检测出危险的代码，也

58、能够过滤用户上载的CGI、ASP等程序；其他阻止的攻击：通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击（例如：通过配置规则禁止访问./winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 的UNICODE漏洞以及其他CGI漏洞攻击：/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm等）、和一些病毒的攻击（例如：禁止default.ida可以防止红色代码的攻击）；提供实时监控、审计和告警：通过防火墙提供对网络的实时监控，当发现攻击和危险代码时，

59、防火墙提供告警功能；2、入侵防御系统的部署通常通过防火墙进行网络安全防范。从理论上分，防火墙可以说是第一层安全防范手段，通常安装在网络入口来保护来自外部的攻击。虽然目前一些防火墙增强了对于应用层内容分析的功能，但是考虑其因分析、处理应用层内容而导致的网络延迟的增加，因此从其实际应用角度来说，存在一些局限性。网络入侵防御系统由于其以主动模式部署到现有网络中，因此可以在网络入口处防火墙后面部署入侵防御系统执行各种复杂的应用层分析工作。主要实现以下功能：l 状态模式检测（Stateful Detection）许多的攻击是试图推翻通讯协议状态。基于多年TCP/IP的研究，IDS开发了一个状态检查引擎来

60、分析协议状态，并且防止malformed数据包攻击网络。 l 攻击特征数据库模式检测（Signature-based Detection） 超过3,000条的攻击特征数据库，检测与保护针对应用协议和脆弱系统的攻击。 n 缓冲区溢出检测（Buffer-overflow Detection） n 缓冲区溢出是一种黑客经常利用的通用技术，例如冲击波攻击就是利用微软的RPC DCOM漏洞感染网络上数百万的主机。木马/后门检测（Trojan/Backdoor Detection） n 黑客使用木马和后门程序取得非法授权进入个人计算机或服务器。基于现有的木马和后门程序的技术，n 拒绝服务/分布式拒绝服务检

61、测（DoS/DDoS Detection） 黑客可以在不需要任何授权的情况下发送大量的数据包进入网络，这些流量可以是单一数据包或是自动发送分布式拒绝服务攻击的工具所产生的攻击信号，一些蠕虫也可以发送大量的扫描讯号进入网络，IDS利用拒绝服务/分布式拒绝服务检测机制防止此类型的所有攻击。 n 访问控制检测（Access Control Detection） 一些会造成敏感信息泄漏的网络行为是非常危险的，IDS利用攻击特征数据库来防止这些行为的发生，IDS也提供最大的灵活性，让客户可以定制专属的政策。此项功能可让客户自行制定网络第三层至第七层的防御政策。 n Web攻击检测（Web Attack

62、Detection） Web服务在全世界被广泛地使用，但是却发现相当多的弱点，利用这些弱点是相当容易的，信息可以通过因特网自由分享，为了防止黑客利用Web服务的弱点，IDS有超过500条针对Web弱点的政策来保护Web服务器。n 弱点扫瞄/探测检测（Vulnerability Scan/Probe Detection） 为了得到信息和系统的漏洞，黑客会在网络上发送检查数据包来扫描系统，IDS可以检测出这些弱点扫描/探测的数据包，并提供最好的保护。 n 基于邮件的攻击检测（Mail-based Attack Detection） 基于邮件的攻击在现在是很普通的，例如W32/Mydoom引起全世界几十亿的金融损失，IDS提供SMTP过滤功能及病毒数据库以防止病毒侵入邮件服务器。 n 蠕虫检测（Worm Detection） 网络蠕虫会如此的令人讨厌是因为它能够迅速的繁殖，并因此引起全世界网络的异常甚至是瘫痪，IDS能够阻挡蠕虫的攻击，保障网络的安全与干净。 l 异常检测（Anomaly Detection） n 协议异常检测（Protocol Anomaly Detection） 研究与分析因特网的协议和标准，一般的因特网服务器遵循这些标准提供稳定的服务，黑客经常利用破坏这些标准