BD%BB%D2%D7%… · Web view2020. 12. 11. ·...
Transcript of BD%BB%D2%D7%… · Web view2020. 12. 11. ·...
附件7
广州互联网法院2020年内网智慧审判平台中台化改造建设项目远程执法系统网络安全子项目
采购需求
广州互联网法院
2020-11
第一章 项目基本情况
项目名称:广州互联网法院2020年内网智慧审判平台中台化改造建设项目远程执法系统网络安全子项目
采购方式:公开招标
预算金额:人民币615.2813万元
最高限价:人民币615.2813万元
第二章 采购需求
项目概况项目名称
广州互联网法院2020年内网智慧审判平台中台化改造建设项目远程执法系统网络安全子项目。
项目性质
项目性质:新建项目。
项目建设背景
本项目是抢抓时代发展机遇的大思维推动信息化建设,推动广州互联网法院信息化科技创新,建设智慧法院重点实验室,开展核心技术预先研究、关键技术试验攻关,坚持创新驱动,掌握科技先机,促进新兴信息技术与法院工作深度融合,按照“统筹规划、集约建设、分步实施,自主可控、兼容并蓄,标准规范、平台共享”的建设思路,依据“一套标准、一个平台、一个生态圈”的方式,主动适应互联网发展的大趋势,积极的推动智慧法院的建设。坚持“抓党建带队建促审判”工作思路,借助科技信息化手段积极推进司法管理能力提升、促进审判业务提质增效,促使执行指挥通达迅速,抓住司法体制改革的新机遇,推进法院人员的正规化、专业化、职业化建设,站在构筑国家治理体系现代化大厦的基础上考虑切实解决执行难问题,有效整合社会各界资源,动员社会各主体共同参与对执行工作的管理,实现社会治理共建共治共享,形成和谐稳定的社会环境。
建设实施周期
建设周期12个月内。
建设投资规模
广州互联网法院2020年内网智慧审判平台中台化改造建设项目远程执法系统网络安全子项目立项批复预算:人民币615.2813万元。
信息化现状项目单位职能业务
经摸查互联网法院在司法服务、审判业务、执行指挥和司法管理四个方面共上线12个业务系统,计划建设中的业务系统还有11个,目前业务主线的信息化覆盖比60%左右。大部分已支持业务主线的信息化技术手段不健全或不全面,众多应用系统亟待进行功能整合和一体化支撑融合共享,网上办案多局限于流程信息管理,缺乏对证据等实体信息全流程管理,对法官服务不多,法院内部工作平台和外部服务之间尚未实现高效协同,诉讼服务缺乏统一入口和服务整合,法院专网业务应用和审判支撑系统服务法官辅助办案能力欠缺,移动办公办案、电子档案信息化管理能力亟待提高等各类问题。由于前期业务系统的建设大部分是为满足一类人员或单个部门的单一功能系统,业务系统亟待进行全面的规划梳理和集中整合融合,形成互联网法院一体化对内对外业务支撑和司法服务能力。
本单位信息化总体框架
结合先前建设项目情况,项目分为“六横三纵”总体架构,具体情况如下:
1. 基础设施层:52楼私有云机房及配套设施,以及提供的计算能力、存储资源、网络资源(含办公、监控网络、互联网接入)、安全资源和云桌面服务;租赁政务云资源提供给电子政务网上运行系统使用;针对48~53层共计六层楼的部署一整套包含视频监控、访客系统、信息发布和一卡通系统的综合安防平台;面向公众的诉讼服务中心建设包括不同区域涵盖的不同辅助终端设备;数字法庭建设共计1个标准大法庭、3个二审法庭、25个小法庭以及两个临时法庭。
2. 信息资源层:主要是业务运作沉淀的各类数据资源,同步做好数据治理工作,基于数据资源进行交互诸如1)广州市中院数据上报、上诉案件2)广州知产法院二审上诉3)政法委政法平台数据交换4)最高律师服务对接5)最高人民法院数据上报6)最高人口身份信息查询验证7)与高院审判系统对接8)互联网企业数据接入等各类接口数据服务。
3. 应用支撑层:涵盖业务支撑服务、应用支撑服务和人工智能组件,业务支撑服务包含音视频服务、统一消息管理;应用支撑服务包括微服务、分布式服务、PDF自动盖章、混合云盖章、CA服务、RPA、智能网关等支撑能力;人工智能组件涵盖人脸识别、语音识别/语义识别等。
4. 应用系统层:包括先前建设的系统,不再赘述。
5. 安全保障:先前项目建设按照等保2.0的要求提供系统在内网、互联网部分的安全支撑,涉及网络层、数据层、终端及安全监控等。
6. 运维服务:由专业的外部运维团队提供日常运维支持服务。
7. 标准规范:信息化同步推进业务标准化流程。
信息化覆盖率
广州互联网法院发展规划的司法服务、审判业务、执行指挥和司法管理四大应用领域,经过对各业务主线信息化情况进行调查分析,其信息化覆盖情况分析如下表所示:
各职能应用领域信息化覆盖比率约60%左右,急需深入应用建设和提升应用成效,使应用程序提升真正做到可视化、定量化、可评估、可考核,逐步树立法院信息化品牌形象,提高人民群众的认知度和满意度,提升法官和各级工作人员信息化应用水平,持续推动法院信息化应用程序提升。
信息系统安全等级定级
按照国家标准《网络安全等级保护定级指南》(GA/T1389-2017)有关要求,结合项目实际情况,确定本期项目清单如下:
序号
系统名称
部署网域
等级保护建设级别
1
远程执法系统网络安全
法院内网
三级
项目建设需求内容
广州互联网法院按照“统筹规划、集约建设、分步实施,自主可控、兼容并蓄,标准规范、平台共享”的建设思路,依据“一套标准、一个平台、一个生态圈”的方式,主动适应互联网发展的大趋势,积极的推动智慧法院的建设。本次招标主要涉及其中的内网业务中台软件、内网业务中台网络设备、电子档案机房设施、运行环境网络设备及显示屏、统一数据中心软件、统一数据中台软件、统一数据中心网络设备、统一数据备份中心网络设备、内网网络安全软件及硬件、远程执法系统硬件设备。
网络安全与远程执法的建设内容为:内网网络安全软件及硬件、远程执法系统硬件设备,具体描述如下表:
序号
系统名称
主要建设内容
1
内网网络安全软件及硬件
内网三个业务系统需达到等级保护2.0三级要求,要求整体构建内网网络安全体系,架设防火墙、入侵防御、病毒网关、光闸、数据库审计、漏洞扫描、加密机、网络准入、日志审计、移动接入安全管理、网页防篡改、安全资源池等安全设备,以及提供网络安全现状评估、网络安全体系规划、网络安全技术规范以及网络安全培训。
2
远程执法系统硬件设备
当前以线上、线下开庭方式进行案件审理审查为主,针对干警现场执法、现场取证,缺乏有效调度存储回溯技术与手段,现场执法采集的证据资料多以视频资料、照片资料、录音资料的形式,执法者办公电脑的硬盘存储的空间容量虽然能够满足要求,但视音频资料涉及各类案件,保密性、安全性的要求较高,从而要求视音频证据要备份并统一存储。
远程执行系统对网络视音频证据可采集、可存储、可调阅的资源库,为执法规范化服务的开展提供有利保障。
内网网络安全软件及硬件内网网络安全要求政务云端系统安全要求应用安全要求
对用户身份进行身份鉴别
(1) 提供专用的登陆控制模块对登陆用户进行身份标识和鉴别。
(2) 提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
(3) 提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
对用户进行访问控制
(1) 提供访问控制,依据安全策略控制用户对文件、数据库表等客体的访问;访问控制的覆盖范围包括与资源访问相关的主体、客体及他们之间的操作。
(2) 由授权的系统管理员配置访问控制策略,并严格限制默认账户的访问权限。
安全审计
(1) 提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
(2) 保证无法删除、修改或覆盖审计记录。
(3) 审计记录的内容至少包括事件日期、事件、发起者信息、类型、描述和结果等。
数据安全要求
1、任何个人或单位关键数据(重要、敏感或关键数据)需要通过安全、保密、访问控制等手段,提供个人或单位的隐私保护和数据安全保护。
2、针对重要、敏感或关键数据实行分级加密存储,支持字段级、记录级、文件级加密存储。
3、终端签名证书在硬件模块中的存储和身份认证必须使用国密算法加密;数据传输、语音通话等必须通过国密算法建立SSL VPN通道与后台系统通信。
4、 关键数据应用应记录所有导致访问或更新数据管理系统任何组件的系统、用户事务日志。任何关键数据严禁上网。
内网端系统安全要求构建安全技术体系
对于信息系统而言,要做到内外兼防、纵深防护,实现对信息系统的可信、可控、可管。主要技术保障内容至少包括如下内容:
安全物理环境
保障网络周边安全物理环境和物理设备和线路的持续使用。满足防水防潮防雷防震等相关要求,广州互联网法院机房已满足相关要求,包括:
安全物理环境主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
1、 供配电系统
法院信息系统机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,N+1冗余的自备发电机系统,还有能保证足够时间供电的UPS系统。
2、 防雷接地
为了保证法院信息系统机房的各种设备安全,要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。
3、 温湿控制
为了保证法院信息系统机房的各种设备安全,要求机房配备温湿控制系统来对机房内温湿度进行控制,保障设备安全。
4、 消防报警及自动灭火
为实现火灾自动灭火功能,在法院信息系统机房的各个地方,还应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。
5、 门禁
法院信息系统机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。
6、 保安监控
法院系统保安监控包括:闭路监视系统、通道报警系统和人工监控系统。
安全通信网络
通信网络重点关注的安全问题主要涉及网络架构安全、通信传输安全和通信设备安全等方面,具体包括对网络区域的合理划分、对重要网络区域的可靠隔离、对网络设备性能和网络带宽的有效保障、对通信链路和节点设备的硬件冗余、对数据传输的完整性和保密性保护、对通信设备及通信应用程序的可信验证等;综合前面的分析,信息系统在安全通信网络方面需要采用的安全技术手段包括:
1. 安全域划分:根据业务需求对信息系统网络进行安全域的划分和逻辑隔离,防止将重要区域直接暴露在互联网上,并制订适当的安全策略对不同安全域之间的数据访问进行严格控制。
2. 带宽管理:在互联网边界部署应用流量管理设备或具有相应能力的边界安全设备,对网络应用访问流量进行精细化管理,确保关键应用或重要用户的带宽使用,满足业务高峰期带宽需要。
3. 区域边界隔离:在互联网边界及重要安全域边界部署防火墙设备,设置网络地址转换策略和端口控制策略,避免将重要网络区域直接暴露在互联网上及与其他网络区域直接连通。
4. 异常流量管理与抗拒绝服务攻击:在互联网边界部署异常流量管理和抗拒绝服务攻击设备,准确识别夹杂在复杂网络流量中的各种已知和未知的拒绝服务及分布式拒绝服务攻击流量,并提供实时过滤和清洗,确保网络正常访问流量通畅。
5. VPN:对于法院业务注册用户及移动办公、远程运维人员通过互联网登录到信息系统进行的业务交互操作或远程管理操作,需要采用IPSEC或SSL VPN技术保证重要、敏感信息在传输过程中完整性和保密性。
6. 高可用性:互联网接入链路、局域网骨干核心链路及相关的网络路由交换设备、安全网关设备等均提供硬件冗余,保证网络通信的高可用性。
安全区域边界
区域边界重点关注的安全问题主要是对流入、流出边界的数据流进行有效的控制和监督。这里所说的边界包括法院信息系统内部网络与外部网络之间的边界、内部网络不同安全域之间的边界等。具体措施包括边界防护、访问控制、入侵防范、恶意代码和安全审计、可信验证等。综合前面的分析,信息系统在安全区域边界方面需要采用的安全技术手段包括:
1. 边界安全控制:在互联网边界及内部各个网络区域边界部署具有基于会话状态检测的访问控制功能的防火墙,默认拒绝所有进出通信,对于合法通信明确设置允许规则;启用应用识别和过滤功能,对进出网络的数据流实现基于应用协议和协议指令的访问控制。
2. 网络准入控制:在内部终端网络区域部署网络准入控制设备,对试图接入局域网的终端设备进行合法性认证和健康性检查,防止外部终端或不安全的终端接入网络造成危害。
3. 网络数据防泄漏:在互联网接入边界部署网络数据防泄漏系统,对业务服务器和内部用户终端的网络访问行为和网络传输内容进行记录,防止服务器或终端主动或被动将内部敏感信息数据传输到外部网络。
4. 病毒过滤网关:在互联网出口串联部署病毒过滤网关或在边界防火墙上启用相应功能,对网络数据流中夹带的恶意代码进行检测和清除,并提供病毒库和检测引擎的自动升级更新。
5. 网络审计:在网络内部核心交换机及其他重要网络区域接入交换机上部署网络审计系统,对各类用户的网络访问行为和网络传输内容进行记录,对所发生安全事故的追踪与调查取证提供详实缜密的数据支持。
6. 上网行为管理:在互联网出口或用户终端区域边界部署上网行为管理设备,对内网用户访问互联网的行为进行分析和审计,防止内部员工上班时间违规上网或在网上发表违规言论,同时保存至少6个月的访问日志,以便协助公安调查取证。
7. 日志审计:在法院信息系统网络中所有网络设备和新增的边界安全设备上均开启完整的日志记录功能,对重要的用户行为和重要安全事件进行审计,将审计记录实时发送给日志服务器,便于长期存储保护和分析。
安全计算环境
一般来讲,安全的威胁主要来自于系统的弱点,通用的设备和系统总是存在一定的安全弱点,一旦被利用,很容易成为内部用户或外部非法入侵者进行网络攻击和数据窃取的渠道,因此有必要对法院业务信息系统进行全面安全扫描和评估,发现可能安全隐患,并及时进行安全加固或漏洞修复。同时,法院信息系统网络中运行的法院各类应用,应进行严格的身份鉴别和访问授权管理,每一位用户应根据其业务、职务来分配其授权范围,从而保护应用数据的最小授权。具体措施包括身份鉴别、访问控制、安全审计、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。综合前面的分析,法院业务在计算环境层面存在的安全需求如下:
1. 日志审计:对法院业务的所有服务器操作系统、应用系统和新增的各种安全系统均开启完整的日志记录功能,对重要的用户行为和重要安全事件进行审计,并将审计记录实时发送给集中的日志服务器,便于长期存储保护和分析使用。
2. 网络应用审计:对于法院业务提供的通用HTTP、FTP、SMTP、POP3等网络应用服务,需要使用网络审计系统实现用户行为审计,并将审计记录实时发送给集中的日志服务器,便于长期存储保护和分析。
3. 漏洞扫描:需要采用专业的安全漏洞扫描工具,配合人工服务,定期对法院业务的网络、服务器、重要终端中存在的已知安全漏洞进行扫描和评估,并及时封堵漏洞,做到防患于未然。
4. 网络防病毒:需要在所有服务器、终端系统中部署防病毒软件来保护其免受恶意代码侵害,并部署统一的防病毒系统管理服务器和升级服务器,确保全网具有一致的防病毒策略和最新的病毒查杀能力。
5. 数据传输完整性和保密性:对于法院业务注册用户及移动办公、远程运维人员通过互联网登录到信息系统进行的业务交互操作或远程管理操作,需要采用IPSEC或SSL VPN技术保证重要、敏感信息在网络传输过程中完整性和保密性。
6. 数据存储完整性和保密性:针对存储在不同位置的数据,分别采用磁盘加密、数据库加密、文件加密等手段保证重要数据在存储过程中的完整性和保密性。
7. 服务器双机热备或集群:对于重要的业务服务器、应用服务器、数据库服务器及相应的网络路由设备和边界安全设备,均需要采用双机热备或多机集群的部署方式提供高可用性保障。
安全管理中心
法院信息系统缺少相应的技术手段来对网络内部众多的网络设备、安全设备以及服务器的集中管理,缺乏对于各种安全事件统一进行分析和管理的工具,网络安全管理和运维工作效率低下、工作负担重,需要借助自动化、平台化的技术工具提高管理效率。具体需求包括系统管理、审计管理、安全管理、集中管控等方面。综合前面的分析,法院业务在安全管理中心方面存在的安全需求如下:
1. 集中日志审计:在安全管理区部署一套集中的日志收集和分析系统,负责对来自各网络设备、主机系统、应用系统、安全系统的日志和告警数据进行集中收集、存储,并提供日志分析、统计、查询等功能。
2. 防病毒管理:在安全管理区部署统一的防病毒系统管理服务器和升级服务器,确保全网具有一致的防病毒策略和最新的病毒查杀能力。
3. 集中管控:对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测;对分布在网络的安全设备或安全组件进行管控;应当安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;对网络中发生的各类安全事件进行识别、报警和分析。
构建安全管理体系
根据国家有关网络安全等级保护方面的标准和规范要求,结合法院实际,建立一套切实可行的安全管理体系。
安全管理是安全系统建设的重要部分,是保障安全技术手段发挥正常功效的保障之一,安全管理的根本目的是规范和约束相关的系统运行维护的安全操作,贯彻执行安全策略的各项要求,安全管理的具体表现形式往往为安全管理规范的出台和实施。
为了保障法院信息系统的长期健康运营,需要建立规范的信息安全管理体系。具体需求包括以下部分:
安全管理制度
1. 需要参照国际成熟的ISMS实践准则,制定符合国家和行业标准要求,并具有本系统自身特点的安全管理策略、方针、制度和规范,通过文档化的过程进行审核、颁布和变更管理,有效指导和监督信息系统的安全运行;
2. 需要加强安全管理制度的执行力度,定制相应的安全管理流程,并辅以有效追责、奖惩制度,将文档化安全管理和运维制度落到实处,以确保整个网络系统的安全管理处于较高的水平;
3. 需要建立安全应急预案并定期进行演练、审查和更新。
安全管理机构
1. 建立健全安全管理组织机构,专门负责信息系统的安全管理和监督;
2. 需要制定符合系统业务特点的人员安全管理条例;
3. 需要配备具有一定信息安全素养和职业素质的安全管理人员,从录用、离岗、考核、教育等多角度强化人员管理;
4. 需要进行信息系统操作使用人员和运维管理人员的安全意识和安全技能培训,提高数据中心自身的安全管理、运维水平。
安全管理人员
应指定或授权专门的部门或人员负责人员录用。
人员离岗:应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
安全意识教育和培训:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
外部人员访问管理:应保证在外部人员访问受控区域得到授权或审批。
安全建设管理
1. 定级和备案:应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。
2. 安全方案设计:应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
3. 产品采购和使用:应确保网络安全产品采购和使用符合国家的有关规定。
4. 工程实施:应指定或授权专门的部门或人员负责工程实施过程的管理。
5. 测试验收:应进行安全性测试验收。
6. 系统交付:
a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b) 应对负责运行维护的技术人员进行相应的技能培训。
服务供应商选择:
a) 应确保服务供应商的选择符合国家的有关规定;
b) 应与选定的服务供应商签订与安全相关的协议,明确约定相关责任。
安全运维管理
为确保法院信息系统长期稳定、可靠、安全地运行,需要建立专有的对信息系统进行安全运维的组织团队。必要时需要借助专业的第三方安全服务团队,帮助法院信息系统对整个网络安全状况实行动态维护,使信息系统安全保障能力始终保持在较高水平。安全运维服务的主要工作包括安全评估、安全加固、安全监控、安全巡检、应急响应等。
内网网络安全建设内容
内网网络安全建设内容如下:
序号
产品
型号
描述
数量
专网边界区
1
防火墙
防火墙系统
实现对专网边界访问控制功能(与二期设备双机)
1台
2
入侵防御
入侵防御系统
防范专网进出流量中包含的攻击流量(与二期设备双机);
1台
3
病毒过滤网关
过滤网关系统
在网关处主动过滤拦截病毒、木马、间谍软件等恶意软件或代码(双机部署)
2台
内网核心交换区
4
数据库审计
数据库
审计系统
实现各种数据库操作的审计,事后追溯,满足等保要求。
1台
内网应用系统区
5
云安全资源池
云安全
防护平台
实现弹性扩展、差异化按需的安全防护要求,解决云边界下南北向安全防护
1套
6
网页防篡改
网页
防篡改系统
防止黑客、病毒等对网页文件进行非法篡改和破坏
1套
内网安全管理区
7
漏扫
脆弱性扫描
与管理系统
对全网设备的漏洞扫描,提供对相关设备的漏洞处置建议。
1台
外网边界区
8
入侵防御
入侵防御系统
防范互联网进出流量中可能包含的攻击流量
1台
9
病毒过滤网关
过滤网关系统
在网关处主动过滤拦截病毒、木马、间谍软件等恶意软件或代码
1台
10
加密机
IPSEC/SSLVPN
综合安全网关
提供远程业务(如法官通)的加密访问,满足国密加密要求。
1台
核心交换区-外网
11
网络准入
网络准入系统
实现内外网用户,有线无线用户一体化认证,保障接入可信。
1台
外网安全管理区
12
日志审计
日志收集与
分析系统
提供全网设备统一的日志收集监控分析,满足等级保护的统一安全管理要求。
1套
13
终端管理
互联网终端安全管理平台
解决外网终端安全管理问题,对终端行为操作做审计并规范。
1套
安全数据交换区
14
光闸
安全隔离与信息交换系统光闸
在单向传输的基础上,最大限度实现信息的实时传输和可控,利用两个单向光闸实现类似双向光闸的效果,满足最高法要求。
2套
15
移动存储交换系统
移动存储安全交换系统
对内外网移动数据传输做安全检测、病毒查杀等。
5套
16
安全U盘
专用安全U盘
配合移动存储安全交换系统使用,可对数据加密、病毒查杀与数据自毁等。
150个
服务部分
序号
服务名称
服务内容
备注
1
运营安全服务
针对200运营资产用户,提供安全分析的服务工具,并保持各工具的分析模型及特征库的有效升级。同时由专属安全工程师提供安全运维、安全综合研判服务。
安全加固:提供符合等级保护要求的网络、主机、应用系统安全加固服务;
安全管理制度建设:提供符合等级保护要求的安全管理制度集
风险评估服务:提供符合等级保护要求的信息的综合分析和评估
渗透测试服务:提供符合等级保护要求的对主机系统渗透测试服务
2
内网安全服务
验收测评,提供验收测评服务,完成系统的最终验收测评
远程执法系统硬件设备需求背景
广州互联网法院以互联网审判方式集中审理互联网案件为突破,在深度运用互联网信息技术基础上创新互联网审判机制,在最高人民法院指导下构建新型互联网案件诉讼程序和司法规则,推进网络空间治理法治化的法院。
当前以线上、线下开庭方式进行案件审理审查为主,针对干警现场执法、现场取证,缺乏有效调度存储回溯技术与手段,现场执法采集的证据资料多以视频资料、照片资料、录音资料的形式,执法者办公电脑的硬盘存储的空间容量虽然能够满足要求,但视音频资料涉及各类案件,保密性、安全性的要求较高,从而要求视音频证据要备份并统一存储。
由于很多执法场合有移动性、突发性、紧急性等特点,各现场执行者经常遇到的难题就是获取证据难、保留证据难、远程指挥难。建立远程执法系统将把技防、人防、物防更好的结合在一起,提高执法水平,纠正执法偏差;化解廉政风险;强化执法队伍建设,准确考核干部,从而更加有利于执法工作的进一步深入开展。
建设原则
在本次项目设计建设过程中,应严格遵循“先进、实用、经济、可靠、开放”原则,充分考虑系统建设的前瞻性和实用性,在突出系统性价比的同时,着重强调“稳定压倒一切”的设计理念,具有较好的可扩展性和兼容性。
(1)先进性:采用科学的、主流的、符合发展方向的技术、设备和理念,系统集成化、模块化程度高,兼容性强,符合可持续发展战略;
(2)实用性:设计合理、构架简洁、功能完备、切合实际、能有效提高工作效率,满足视音频指挥调度、网络监控、视频会议、数据信息共享等业务需要;
(3)经济性:在充分满足系统功能的前提下,体现高性价比,采用经济实用的技术和设备,充分利用现有的设备和资源,综合考虑系统的建设、升级、联网和维护费用,不盲目投入;
(4)可靠性:采用成熟、稳定、完善和通用的技术设备,系统具有升级能力和技术支持,能够保证全天候不间断长期稳定运行,有完备的技术培训和质量保证体系;
(5)安全性:系统、网络、设备、中心机房和前端设备不受病毒感染、黑客攻击,防雷击、过载、断电和人为破坏,具有高度的安全性和保密性;
(6)扩展性:系统、设备接口具有扩展性和兼容性,系统规模和功能易于扩充,系统软件具有升级功能;
(7)统一性:图像监控系统采用统一和开放控制协议、编解码协议、接口协议、压缩格式、传输协议,提供透明传输通道;
(8)易操作性:提供清晰、简洁的中文操作界面,操作与控制简便、灵活、易学易用,便于管理和维护。
参考依据
序号
文件名称
文件编号
1
《关于执行指挥系统建设的指导意见》的通知
法发〔2014〕99号
2
《最高人民法院关于加强人民法院信息化工作的决定》
2007年颁布
3
《关于人民法院计算机信息网络建设规划》
法发[2002]4号
4
《法院专网总体设计方案》
5
《视频安防监控系统技术要求》
GA/T367-2001
6
《民用闭路监视电视系统工程技术规范》
GB50198-94
7
《计算机信息系统安全》
GA 216.1-1999
8
《国家信息化发展战略(2006~2020 年)》
国信办制订
9
《信息安全技术 应用软件系统安全等级保护通用技术指南》
GA/T 711-2007
10
《有线电视系统工程技术规范》
GB50200-94
11
《大屏幕拼接显示系统的生产和服务》
GB/T 19001-2000
技术要求
在本系统的建设中,指挥中心是整个执行指挥调度系统的核心,可以关联对接法院信息管理系统、庭审系统、音视频网络管理服务平台,了解执行任务的相关信息。在执行任务被建立下发之后,执行员通过执行系统以及相关视频监控系统展开执行工作,并通过法院内网与指挥中心进行实时视音频交流,使指挥中心能实时掌握执行任务的实际执行情况和执行进度,及时给与前方执行员或异地法院执行员以指导和监督,保证执行工作的顺利进行
建设内容执法记录平台需求
执法记录平台首先可以实现执法人员无线实时定位。在管理平台中管理员,或相关领导可以和执法人员进行实时视频传输及语音对讲。并通过网络视频监控提高执法人员巡视和执法的时效性。一方面网络实时监控对本单位的巡查工作产生互补作用;另一方面当事故发生后,领导能够及时作出反应,通过大屏可以实时监控前端场景与并可实现与前线执法人员进行通信指挥,并且支持移动警务终端、执法记录仪等设备的接入和管理。
视频融合控制平台需求
通过显示控制系统,指挥中心可方便的将远端的执行仪、现场监控等视频图像显示在大屏显示器上,同时通过视频会议系统与其它单位进行对接联动,并根据实际的业务需要,对图像布局和显示方式进行调节,从而实现在指挥中心大屏对前方执行员的执行任务进行远程视频指挥的功能。
视频融合媒体平台需求
具备融合执法记录仪、视频监控等视频信号能力,使得视频、音频、辅流和数据融合,可接入从会议室到会议室终端等设备,实现沟通协作。并且可以依据需求实现对视频监控前端设备的摄像头的控制,实现了执法记录仪和视频会议系统之间数字化的视频互通,并且实现控制信号和信令的互通。
将指挥中心和执法记录仪进行融合,通过将执法记录仪的视频引入到视频显示画面中,并且实现视频会议和执法记录系统之间的互联,提供监控和应急指挥调度手段,可以第一时间应对突发事件,第一时间将现场情况传送到各个相关部门和人员,并且第一时间进行各个部门之间的协同调度,组织大范围的人员配合进行协同工作。
视频存储平台需求
在视频存储平台建设中,作为移动执法记录仪存储节点,最大可搭配27块900G企业级磁盘,硬盘配置需满足20个执法记录仪180天存储容量。
视频分析平台需求
建设一套基于云计算架构的基础视频结构化分析平台,有效利用目前联网的实时视频及存储录像的视频文件资源,从海量的视频文件中迅速定位播放相关事件的视频,找出有价值的视频信息,缩短视频回放翻查时间,节省人力,使查看所有视频成为日常工作的一部分。同时处理后存储于数据库中的视频信息可以通过技术手段转化为公安工作可用的情报;实现主动监控、自动联网分析等网络功能;全方位拓展视频在警务工作中的应用模式,大幅度提高技术的易用性,实现以执法人员为中心的随时随地的灵活、简单、多样的视频按需服务应用。平台需要提供视频分析、搜索的能力,可通过对视频进行时间和空间上的压缩处理,生成简短的视频片段,便于相关人员进行查阅。通过简短的片段,可以快速显示完整的视频内容,减少查阅视频时间,提高查阅执法视频的效率。
对讲系统需求
语音对讲系统在指挥中心与显示控制系统形成互补,为执行指挥调度系统提供视频通信和音频通信服务。语音对讲系统主要实现了指挥中心的音频采集和音频扩音,将指挥中心工作人员音频采集到执行指挥调度系统中,可用于对远端单兵和车载系统的音频传达,包括一对一对讲、群组对讲和广播,适用于平台客户端与客户端之间、平台客户端与远程终端之间的语音通信和远程指挥。
指挥大厅音频系统需求
中华人民共和国国家标准《厅堂扩声系统设计规范》GB 50371-2006 适用本执行指挥中心堂的相关扩声指标,本指挥中心要求达到一级标准。
项目设备采购需求设计要求
为了保证业务中台的安全、合规、稳定、可靠,保护系统及数据的可用性、机密性和完整性,需专门对业务中台的网络、机房、环境进行规划设计。满足下面要求:
1) 合规性
平台依据标准和行业最佳实践不断完善自身的管理机制,如ISO27001(信息安全管理体系)、ISO22301(业务连续性管理体系)、等级保护测评等,遵从合规管理体系标准开展合规工作,通过自我评估和审计满足合规需求。
2) 网络安全
采用符合最高法《FYB_T_53001-2017_安全隔离与信息交换平台建设要求》规定的单向光闸设备,通过单向文件传输实现不可协议穿透的信息交换。
3) 软件安全
选择应用中间件产品时,本着安全优于效率、开源优于商用、自建优于采购、国产优于国外的甄选标准,建立一套安全稳定有效的中间件平台。
对于目前使用的数据库、缓存、微服务、定时任务、序列化、Offiece、前端模板、自动化等框架,做到可便捷替换为指定安全产品。
4) 内网业务系统安全
业务中台与内网各业务系统有诸多数据交互,为了保证业务系统稳定且数据安全,业务中台提供统一标准的服务开发平台。
做到权限校验、数据隔离、限流、熔断、异常监控。
5) 硬件部署需求
设备采购清单
★实施过程中必须满足用户实际使用需求,必须通过验收测评和等级保护三级。如有遗漏和补充,采购人不追加费用,所有费用包含在投标人总报价中。
项目总采购清单
序号
系统名称
建设内容
数量
单位
备注
1
内网网络安全软件及硬件
内网三个业务系统需达到等级保护2.0三级要求,要求整体构建内网网络安全体系,架设防火墙、入侵防御、病毒网关、光闸、数据库审计、漏洞扫描、加密机、网络准入、日志审计、移动接入安全管理、网页防篡改、安全资源池等安全设备,以及提供网络安全现状评估、网络安全体系规划、网络安全技术规范以及网络安全培训。
1
项
功能需求详见项目建设方案功能需求章节、主要设备技术参数要求
2
远程执法系统硬件设备
当前以线上、线下开庭方式进行案件审理审查为主,针对干警现场执法、现场取证,缺乏有效调度存储回溯技术与手段,现场执法采集的证据资料多以视频资料、照片资料、录音资料的形式,执法者办公电脑的硬盘存储的空间容量虽然能够满足要求,但视音频资料涉及各类案件,保密性、安全性的要求较高,从而要求视音频证据要备份并统一存储。
远程执行系统对网络视音频证据可采集、可存储、可调阅的资源库,为执法规范化服务的开展提供有利保障。
1
项
功能需求详见项目建设方案功能需求章节、主要设备技术参数要求
内网网络安全软件及硬件
序号
名称
产品参数
单位
数量
1
移动存储安全交换系统
15寸触摸屏,完全物理隔离。具备病毒木马扫描/文件格式检测/敏感内容检测功能。
套
5
2
互联网单向导入专用安全U盘
128G容量、安全加密U盘。具备防病毒木马感染、日志审计、数据加密、数据自毁功能。
个
150
3
互联网终端安全管理系统
授权150台互联网终端电脑。含敏感信息监控管理系统软件、管理服务端软件
套
1
4
运营安全服务
针对200运营资产用户,提供安全分析的服务工具,并保持各工具的分析模型及特征库的有效升级。同时由专属安全工程师提供安全运维、安全综合研判服务。
安全加固:提供符合等级保护要求的网络、主机、应用系统安全加固服务;
安全管理制度建设:提供符合等级保护要求的安全管理制度集
风险评估服务:提供符合等级保护要求的信息的综合分析和评估
渗透测试服务:提供符合等级保护要求的对主机系统渗透测试服务
服务期间提供态势感知平台一套,结合威胁情报、UEBA、机器学习、失陷主机检测、大数据关联分析、NTA流量分析、可视化等技术,对全网安全进行可视,帮助用户看清业务、看到威胁、看懂风险,并辅助用户决策。
要求提供至少1名工程师1年驻场服务1、对本单位各IT系统进行安全分析、风险评估和安全监控;2、对本单位突发事件分析处置,并制定有效策略进行防范;3、跟踪和分析各类安全问题和安全事件,支持各系统日常安全工作,引导各系统相关负责人修复安全问题;4、日常巡检服务包括:网络设备、安全设备、服务器等进行现场巡检,检查设备运行状态,检查系统日志,根据检查结果进行预防性维护。
套
1
5
防火墙
配置为6个10/100/1000BASE-T接口和2个SFP接口,1个可插拨的扩展槽标配双电源 ;万兆接口扩展卡:2个SFP+接口;万兆多模光口SFP+模块。(850nm,300m,LC)性能:防火墙吞吐率:8Gbps并发连接数:220万。
台
1
6
入侵防御
10个千兆电口(支持3对Bypass);IDP攻击规则库3年升级许可。(包含应用识别库)性能:整机吞吐率:2Gbps,最大并发连接数:100万。
台
1
7
病毒过滤网关
包括2个可插拨的扩展槽,2个SFP+接口和6个10/100/1000BASE-T接口(默认电口具有1组Bypass),双电源。性能:整机吞吐率≥4Gbps,最大并发连接数≥250W。
台
2
8
光闸
2套的组成是:应用数据安全交换前置系统1台+安全隔离与信息单向光导入系统1台;应用数据安全交换后置系统1台+安全隔离与信息单向光导入系统1台。
套
2
9
数据库审计
包含1个10/100/1000BASE-TX管理口,5个10/100/1000BASE-T电口采集口,至少4个SFP接口;2个可插拔扩展插槽;≥2T存储空间(考虑数据存储安全),配置双电源。性能:审计处理能力≥2Gbps,峰值SQL处理能力≥10000条/秒,日志存储能力≥40亿条。
台
1
10
漏扫
接口配置:6个千兆电口,2个千兆光口,1个console性能:任务不限制IP数量,并发扫描40个IP地址,并发扫描8个扫描任务。
台
1
11
入侵防御
包括2个扩展槽位; 1个管理口,5个10/100/1000BASE-T接口(支持1组Bypass),4个SFP接口;1个CONSOLE,1TB硬盘;标配冗余电源。性能:整机吞吐率≥8Gbps,最大并发连接数≥120万。
台
1
12
病毒过滤网关
包括2个可插拨的扩展槽,4个SFP接口和6个10/100/1000BASE-T接口(默认电口具有1组Bypass),双电源。性能:整机吞吐率:≥7Gbps,最大并发连接数:≥400万。
台
1
13
加密机
提供远程业务(如法官通)的加密访问,满足国密加密要求。接口配置:6个千兆电口;扩展槽位:1;≥5个IPSEC VPN的客户端许可,≥55个SSL VPN客户端并发许可。性能:整机吞吐率:≥1.5Gbps,并发连接数:≥100万,IPSEC隧道数:≥800,IPSEC吞吐率:≥80Mbps,SSL吞吐率:≥200Mbps。
台
1
14
网络准入
6个1000BASE电口,2个SFP接口,1T存储空间,默认电口具有一组BYPASS接口,冗余2个扩展槽位。性能:同时至少支持300用户在线。
套
1
15
日志审计
16G内存;SSD 系统盘;数据存储容量4T裸容量(RAID);≥6千兆电口,≥1个万兆光口,USB接口(≥2个3.0),冗余电源。性能:日志综合采集处理峰值:5000EPS。支持50日志源授权。
套
1
16
内网网络安全服务
验收测评,提供验收测评服务,完成系统的最终验收测评
套
1
17
云安全资源池
硬件参数:2U,CPU≥2颗;主频≥2.90 GHz,内存≥8*32GB,系统盘:≥128GB,缓存盘≥480GB,数据盘≥2*4TB,标配盘位数≥12,电源:冗余电源,接口:千兆电口≥6个,万兆光口≥6个;配置6个万兆多模模块和6条多模光纤线。性能参数:带宽性能200M情况下,可承载35个安全组件;平台包含下一代防火墙组件,带宽性能2Gbps;网络安全审计组件,带宽性能500Mbps;SSL VPN组件,100个SSL授权;运维审计组件,50个授权;主机杀毒软件:150个服务器授权。提供3年硬件质保及平台维护升级原厂服务。
套
1
18
网页防篡改
网页防篡改保护系统基本包,含软件许可,网页防篡改保护系统;支持windows软件LIC,网页防篡改保护系统,支持linux软件LIC。千兆网络环境下网络吞吐为≥950Mbps;单节点并发连接数支持≥12000;单节点QPS数量为≥5000
套
1
远程执法系统硬件设备
序号
名称
产品参数
单位
数量
1
执法记录仪平台
消息服务模块:1.通讯录功能,支持常用联系人添加,支持搜索人员,搜索部门,支持同步组织架构;2.支持创建群组和业务组功能;3.支持单对单,群组内的消息通信;4.支持短语音、文字、小视频、图片、拍照、文件等即时通信;5.支持消息的分享、收藏、复制、删除等功能、;6.支持权限控制,有权限的人员可以拥有如解散群组等能力;7.支持通知公告功能,服务端可以指定人员、部门分布通知,支持显示已读人员和未读人员信息;8.支持PC端和app端的消息互通;9.支持人员、部门、系统权限等基础功能;10,用户容量为50个PTT语音对讲模块:1.支持单呼,支持群组,业务组呼叫;2.支持新建群组对讲,在对讲过程中不影响文字,图片等聊天;3.支持强拉,强插,多组监听功能,优先打断的功能;4.支持历史语音记录播放;5.支持PC端对讲功能,在pc间、或者pc和移动端的实时语音对讲;6.支持在地图上框选多客户对讲;7.支持在服务器端下发通知公告消息;8,支持50个用户无线图传模块:1.支持移动警务终端、执法记录仪、车载监控、便携无线图传等设备的接入和管理;2.通过4G、WiFi、宽带无线专网等传输方式,将现场视频采集、回传和中心点录像;2.提供视频的浏览、录像的回放等功能;3.支持对视频码率、帧率、音频编码格式的设置;4.支持本地录像、抓拍、告警等操作;5,支持50个前端设备接入。
台
1
2
视频融合控制平台
视频调度控制管理,包括端口许可。提供融合调度台功能,实现视频会场终端融合会议调度,支持会场视频以单屏或多分屏方式预览。支持呼叫带宽配置与管理,控制区域呼叫流量,避免网络拥塞。
套
1
3
视频融合媒体平台
框架协议:H.323、SIP、兼容GB28181视频协议:H.264,H.264HP,H.264SVC,H.263,H.263+音频协议:AAC-LD,G722.1*,G722.1C*,G711a/u,G722,G729A,G729AB,iLBC,Opus双流协议:H.239,BFCP数据会议协议:T.120最大分辨率:1080P30其他协议:H.225,H.235,H.245,H.281,FECC,RFC2833,DTMF,SRTP,TLS,T.140,NTP融合视频监控、视频会议等视频信号,使得视频、音频、辅流和数据融合,无缝协作接入从会议室到会议室终端等设备,实现统一无缝的沟通协作。支持实现云化和弹性部署(16路1080P许可)
台
1
4
手持终端
手持终端(软件)注册许可(20个)
项
1
5
执行指挥终端
显示屏23.8英寸高清显示屏,分辨率1920*1080P
网络接口标准RJ45接口100M/1000Mbps自适应
外扩接口HDMI输出 D输出 USB-C USB3.0 音频输入 音频输出
工作电压AC110-220V
工作温湿度工作湿度:10% ~ 90%;工作温度:-10℃~60℃
高清摄像机1920*1080
桌面话筒,USB接口
支持H.323/SIP协议,支持8M速率IP,支持H.264,操作控制界面,支持5个视频输入\输出;支持Wi-Fi互联、无线数据传输。
台
2
6
指挥大厅音频系统
2个7*3英寸壁挂音柱扬声器,1台四通道数字功放,1台数字音频处理器,4支关节式麦克风
套
1
7
移动执法记录仪
4G移动智能手持终端:,支持前端执法人员现场音视频画面实时回传。
台
20
8
视频存储平台
移动执法记录仪存储节点,满足20个执法记录仪180天存储容量。
台
1
9
视频分析平台
提供视频分析、搜索能力,可通过对视频进行时间和空间上的压缩处理,生成简短的视频片段。通过简短的片段,可以快速显示完整的视频内容,减少查阅视频时间,提高查阅执法视频的效率。
台
1
10
高清解码器
集成解码、中控、混合矩阵、音频处理器于一体。1、智能交互管理中心,满足多场景集中控制、音频处理、视频处理、音视频交互、环境管理、指挥调度、互联互通、系统运维、远程控制等应用;2、全面的8进8出音频矩阵混音功能,支持dante网络音频8进8出传输;24bit/48KHz取样频率,高性能A/D D/A转换器和32-bit浮点 DSP处理器。3、高精度的输入灵敏度调节,共计21档,步长3dB,最大输入增益51dB。4、高效的算法处理:AFC,AEC,ANS,AUTOMIXER,EQ,GATE,AGC等。5、8进8出高清交互矩阵,可热拔插混合架构,支持输入4槽,输出4槽;6、支持最大16个开窗显示,处理能力强,操作简便;7、可以实现画面整屏显示、分屏显示,画面可以自由缩放、移动、漫游,不受物理拼缝限制;8、支持DVI、VGA、CVBS、HDMI、SDI、YPbPr、HDbaseT、4K(DVI)、DP、光纤信号等输入图像的开窗显示;9、支持DVI、CVBS、HDMI、SDI、HDbaseT、光纤信号等输入图像的开窗显示;10、支持输入信号源任意裁剪,支持画面异常校正;11、支持支持4路4K,或8路1080P,或16路720P,或32路D1及以下分辨率同时实时解码,实现执法记录仪画面上显示器12、输入端口EDID可编辑;支持超大分辨率静态底图;支持字符叠加功能;支持特定LED屏幕控制拼接功能;13、丰富的图形处理操作包括:开窗、拼接、漫游、叠加、跨屏、缩放、分割等;14、支持非标信号切黑边处理,图像边缘补偿,支持高分辨率静态底图,无缝实时切换;15、可选配TCP/IP流媒体IPC接入;客户端管理流媒体最多64个活动视频开窗,需配卡;16、支持音/视频独立切换和音/视频绑定切换;17、丰富的接口:支持8通道自定义输入输出的GPIO,电平支持外部输入3.3~24V;USB接口支持录播功能;RS-485支持自动摄像跟踪功能,轻松实现视频会议;RS-232双向串行控制接口,可控制各种支持RS232外围设备等;18、具备32组场景预设和场景保存等多种功能,断电自动保护记忆功能,人性化的操作软件接口;19、支持8个RS232/RS485复用可编程控制串口,其中4个RS485可并联控制接口;20、4个输入和1个输出标准I/O端口;2组relay控制接口;21、支持4个环境控制扩展接口,满足最大接入16个环境智能监测模块,支持温度、亮度、湿度、有害气体等监测;22、支持智能音箱控制功能。
台
1
11
电信SIM卡+流量套餐
SIM卡,移动执法记录仪使用,2400元/年话费,40G流量
套
30
12
显示屏
75寸显示屏,支持4K@60fps显示效果
台
3
13
对讲系统
15套对讲机,包含对讲系统,提供语音对讲功能
套
1
14
时序电源器
八路,须内置电源滤波器,前后具备12V照明接口,前面板带LCD电压显示
台
1
15
设备机柜
42U600*800*1200标准机柜,用于会商室硬件设备放置
个
1
16
平板电脑
内存内存:RAM:256M;ROM:4GWiFi支持;10/100Mbps自适应网络;显示屏支持TFT真彩全视角LCD,1280*800解析度16:9宽屏清晰显示;支持电容屏;色深:18位256K彩色,对比度:≥800:1
台
1
17
电源控制器
通讯传输提供1路总线网络控制接口,通过接口与可编程控制主机通讯;提供1路RS-232接口,可实现通过独立PC机控制,可同时对多台设备实现通信控制;IDCODE可调节网络ID,实现与可编程控制主机RS-485网络通讯;内置光电隔离模块,可保障负载和主机安全可靠;自带自有协议接口及RS-232切换按键;供电可由多媒体控制系统的24VDC或AC100-240V两种供电模式;操作8路独立节点控制接口,每路都有常开,常闭两种接口选择;指示全面,支持POWER电源指示,ID网络连接指示,接收数据指示;能通过机身的轻触按键自由控制;节点走线可实现下走线,侧走线等多种出线方式,美观大方。
台
2
18
布线
智能中控控制线、喇叭线、电源线、灯光、窗帘控制线缆、镀锌铁槽、辅材及其他
项
1
设备招标参数网络安全硬件及软件移动存储安全交换系统
指标项
指标参数
产品架构
▲要求产品为一体化专用硬件架构,≥15寸液晶显示屏,采用触控操作方式,完全物理隔离,硬件上杜绝网络接口、红外、蓝牙、无线等接入方式。
接口
要求具有2个USB接口,光驱接口,SD卡、MS卡等接口。
自动识别U盘类型
自动根据插入的U盘,识别出是内网U盘还是外来U盘。
产品自身安全性
采用多种技术手段确保设备不会被无意或有意地植入木马(包括防止通过外驱启动植入或拆下内置磁盘植入)。
文件安全检查
对交换文件进行安全检查,包括文件类型真实性检查、格式合规性检查、文件夹带检查、病毒木马扫描、敏感信息检查等,并依据检查结果可由用户或管理员控制交换行为。
自动审计
自动记录交换的文件摘要信息。(包括文件名、文件大小、来访人员信息、内部U盘责任人信息、外来U盘硬件信息等)
安全可控交换
文件交换过程完全按照用户的操作进行,病毒木马无法对文件进行操作。技术上不允许对文件进行运行、打开等操作。
防止病毒木马摆渡
产品具有防止病毒木马摆渡的安全机制,确保交换的介质之间不会自动传播病毒木马。
密级匹配
自动根据交换的U盘密级确定交换的方向,确保高密级U盘上的信息不会流向低密级的介质上。
管理功能
产品内置管理控制台,可直接在中间机上登记U盘、查询日志等操作。
软件升级方式
支持离线方式升级中间机软件。
病毒库升级
使用安全的离线病毒库升级方式,升级过程不需要连接任何网络;只有管理员可以进行病毒库升级操作。
多个网间信息交换
要求支持多个内部网络专用U盘之间的信息交换。
日志自动上传
与移动存储介质管理系统配合使用时,U盘在移动存储安全交换系统上使用后,重新接入内网终端,则自动将审计信息上传到服务器中方便查询。
用户许可
使用用户数量无限制。
资质证书
产品具有公安部计算机信息系统安全专用产品销售许可证书。
质保期
至少提供三年质保期,在质保期内免费提供相应技术支持与维护。
兼容性
需承诺能与广州市中级人民法院、广州互联网法院法院办公内网现用的内网终端安全管理系统、移动存储安全交换系统无缝兼容使用。
互联网信息单向导入U盘
指标项
指标参数
统一注册与标识
对“互联网信息单向导入专用优盘”进行统一注册和标识,注册信息包括编号、领用人、所属单位等。能根据标识确定其领用人及所属单位,对专用U盘的发放、领用情况进行统一管理。
支持口令保护
支持口令保护。如启用口令保护,必须输入正确口令才能打开互联网信息单向导入专用优盘,如口令错误次数达到阈值,安全优盘被锁死,必须由管理员解锁后才能继续使用。
双重加密
专用U盘采用硬件加密芯片和高强度软件加密算法对数据进行双重加密存储,具备防止暴力破解、数据恢复等功能。
智能生成密钥
独特的加密密匙智能动态生成技术,防止通过逆向工程或暴力破解手段绕开U盘密码获取数据。
环境识别
“互联网信息单向导入专用优盘”能够识别计算环境,在涉密计算机上不能识别、使用,在安装了移动存储介质管理系统客户端软件的法院内网计算机上只能只读使用,在互联网计算机中可以读写使用。
使用控制
能从互联网计算机向法院内网计算机单向传输信息,不能从法院内网计算机向涉密计算机和互联网计算机传递信息。经过授权的“互联网信息单向导入专用优盘”在法院内网计算机中只读使用;未经授权的上述专用U盘无法在法院内网计算机中使用。
数据自毁功能
专用U盘具有数据自毁功能。启用数据自毁功能后,如果连续输入密码错误次数达到用户预先设定值,则专用优盘将自动销毁数据。数据自毁后,U盘中的数据将无法恢复,确保防止U盘丢失后,数据资料不被非法手段获取。
防止病毒木马自动传播
专用优盘采用专用文件格式及专有操作方式,即使主机中了病毒,病毒也无法感染专用优盘或直接将带毒文件自动写入专用优盘,在原理上避免病毒或木马通过U盘自动传播,从而避免敏感信息通过专用优盘自动外泄的可能。
专有文件存储格式
专用优盘存储数据采用专有的文件格式,与传统文件格式相比性能更高、安全性更好。
安全等级匹配
结合移动存储介质安全管理系统,可实现等级的区分,只有密级匹配的主机才能打开相应U盘。
操作方式
专用优盘的使用习惯和普通U盘一样,专用优盘中存储的各种格式的文件均可直接打开、编辑和存储。
操作日志记录
可记录在U盘中对文件的操作,包括删除、复制、文件名称、文件大小等信息。与内网终端安全管理系统结合时,可上传所有操作日志。
日志自动上传
与内网终端安全管理系统和移动存储管理系统配合使用时,U盘在移动存储安全交接系统上使用后,重新接入内网终端安全管理系统客户端,则自动将审计信息导入到内网终端安全管理系统服务器中方便查询。
容量
▲≥128G
互联网终端安全管理系统
指标项
指标参数
敏感信息监控管理
采用全文检索技术、文件密级智能分析技术和计算机文件系统动态监控技术,实时动态监控互联网计算机违规存储国家秘密文件的行为,及时向监控中心报警,以便保密管理人员随时发现并处理。
1) 敏感内容监控策略:能通过服务端软件设定监控策略并下发到已安装终端管理系统客户端所有或指定范围的计算机。
2) 实时监控:对计算机中违规存储涉密文件的行为进行实时动态监控及报警,报警信息包括:违规计算机配置信息、计算机使用人、所属部门、违规文件名、存储路径、内容摘要等。
3) 违规处理:如发现已装客户端的计算机中违规储存涉密文件,保密管理人员可通过服务端软件对违规计算机采取多种处理措施,包括发送警告、通知删除、远程取证、远程删除等操作。
4) 涉密文件鉴别:系统支持关键词组合、涉密文件模板等多种方式对涉密文件进行鉴别,使用算法模型队文件的涉密程度进行评估,可以通过设定涉密程度阈值灵活决定上报信息,提升涉密文件鉴别的准确度。
5) 索引技术(增量检查):采用文件索引技术与文件系统变化实时监控技术相结合的方式,实现对涉密文件实时发现和增量提交。当新建或修改了某个文件后,系统会迅速捕捉到某个文件的变化,立即对变化的文件进行内容分析并评估其是否涉密,并将违规存储涉密文件的报警信息发送到服务端中心。
6) 智能学习:涉密文件鉴别的智能学习功能。可以根据保密管理人员的鉴别结果,智能学习积累经验并进行自动化的鉴别,减轻保密管理人员的工作量。
7) 支持文件类型:支持doc/docx/xls/xlsx/ppt/pptx/pdf/wps/et/dps等多种类型的文件进行内容搜索,支持的文件类型可扩充。
8) 统计报表:系统通过统计报表、折线图、饼图柱状图等图标形式,为保密管理人员展现违规存储涉密文件行为的分布情况。
9) 地图展示:能基于行政区划地图展示违规报警信息的分布情况,支持全国、省级、地市级三级电子地图。能快速定位违规报警事件发生的地点,违规计算机所属的单位及责任人,报警信息可以通过报警声音、警示图形等形式直观地展示给保密管理人员。
客户端
1)客户端软件要求支持windows xp、win7 、win8、win10 32位和64位等操作系统各版本平台.
▲2)要求支持≥150点终端计算机的安装使用。
3)支持基本信息的注册及修改。
4)要求支持策略的接收。
5)要求支持U盘的密码修改、格式化等操作。
防火墙(双机)
指标项
技术要求
系统性能
★防火墙吞吐率≥8Gbps并发连接数≥220万
硬件配置
★配置为6个10/100/1000BASE-T接口和1个SFP插槽,2个可插拨的扩展槽 标配双电源 ;万兆接口扩展卡:2个SFPplus插槽;万兆多模光口SFP+模块(850nm,300m,LC)
工作模式
支持路由、交换、虚拟线、Listening、混合工作模式。
路由交换
支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由。
链路聚合
支持链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。
访问控制
▲支持一体化安全策略配置,通过一条策略实现五元组、源MAC、域名、地理区域、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、WAF、URL过滤、邮件安全、数据过滤、文件过滤、审计、APT等功能配置,简化用户管理。(提供截图证明)
URL分类过滤
支持超过80类、1000万的URL地址分类库,可针对网站类别实施管控,杜绝非法、违规网站的访问行为。
文件过滤
内置文件过滤引擎,支持HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤。
内容过滤
内置内容过滤功能,可对FTP上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等信令以及邮件发件人、收件人、主题、内容、附件等进行过滤。
黑名单
支持将五元组、源MAC、地址范围、应用、用户等加入静态黑名单,可与URL过滤、病毒过滤、防代理功能进行联动实现动态黑名单封锁,支持静态和动态黑名单命中统计和监控。
防代理
内置防代理功能,阻断网络用户通过代理主机进行攻击、共享上网等行为。
连接控制
支持连接控制和监控,可对源/目的地理对象、应用制定连接限制策略,可展示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息。
WEB攻击防护
支持独立的WAF防护模块,WAF防护特征总数在1000条以上,支持针对地址、应用设置WAF白名单,支持攻击规则搜索以及自定义。
未知威胁
支持行为分析,及时发现异常行为并告警,同时能够与APT进行联动,实现协同防御。
DDOS防御
支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护。
支持DNS FLOOD防护,能对DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒、DNS格式等攻击提供DNS REPLY源认证、源限速、目的限速、域名限速等综合防护手段;
支持NTP流量检测清洗,能对NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击进行检测并提供基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略。(提供截图证明)
IPSEC VPN
支持IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法,支持对隧道内网络流量进行监控展示;
升级维护
支持主、备双系统以及多个系统版本文件并存,系统版本数量不少于5个。
审计
支持独立审计策略,可对URL地址、网页标题、网页内容、邮件行为、邮件内容、FTP上传/下载行为及文件内容进行审计。
提供完善的审计数据查询功能,可对用户访问网站、邮件收发、论坛微博、FTP、TELNET等上网行为以及用户上网流量时长等内容进行查询。
日志
支持日志本地存储,可对不同类型日志设置存储空间,支持日志外发至多个服务器,可设置日志传输协议、时间类型、日志语言、是否合并及加密传输等参数。
设备状态
支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计,展示设备CPU、内存、硬盘实时利用率及其历史走势图。
流量统计
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数。
产品资质
具备《国家信息安全测评信息技术产品安全测评证书》。
具备国家密码管理局商用密码检测中心颁发的防火墙《密码检测证书》。(提供资料证明)
具备《国家信息安全测评自主原创产品测评证书》。
具备《计算机信息系统安全专用产品销售许可证》。
兼容性
必须与现有单机防火墙做双机
入侵防御(双机)
指标项
技术要求
系统性能
★整机吞吐率≥2Gbps,最大并发连接数≥100万
硬件配置
★1U机箱,10个千兆电口(支持3对Bypass);IDP攻击规则库3年升级许可(包含应用识别库)
系统冷备
▲支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择(提供截图证明),不得在WEB维护界面中设置系统切换选项。
部署环境
要求支持直连、路由、IPS监听及混合模式接入。
多端口链路聚合,支持11种负载均衡算法。
要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络,能够在该网络环境中检测出攻击事件。
流量采集
支持流量采集功能,支持在设备界面对服务器地址、端口、以及采样百分比进行设置。
支持流量采集策略设置,对流量采集的方向、时间、源IP地址、目的IP地址、源端口、目的端口进行设置。
攻击规则库
要求攻击规则库单独分开,可支持手动、自动、以及离线升级。
入侵防御引擎
系统应具备:融合模式匹配、协议分析、异常检测、会话关联分析,逃逸等多种技术,准确识别入侵攻击行为,为用户提供2~7层深度入侵防御。
要求支持丢弃报文、记录日志、禁止连接、TCP reset结束TCP会话等多种响应动作。
要求支持黑名单,将攻击源加入黑名单,一段时间内禁止访问。
攻击取证
要求支持攻击报文取证功能,检测到攻击事件后将原始报文完整记录下来,作为电子证据。
攻击特征库
应涵盖广泛的攻击特征库、能够针对5900+种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御。
自定义规则
支持自定义规则,并且自定义规则库可以导入导出。
流量异常检测及报警
支持对设备接口流量的阀值进行设置及报警。
支持对协议组的流量阀值和连接数进行设置及报警,协议组类型包括P2P类、即时通讯类、标准协议类、移动应用类、http应用类、工控互联网类等。
日志管理
系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。(提供截图证明)
系统支持攻击检测日志中可以直观的展示攻击事件中的攻击特征编码。
告警系统
系统应提供全方位的包含管理、系统、策略、安全、流量等告警。
系统应提供邮件、声音、snmp多形式的告警方式。
系统管理
系统支持web、命令行等多形式灵活安全策略配置。
支持SNMP 的v1 、v2 、v2c 、v3版本。
监控
应支持设备机箱温度监视以及报警,可以自定义温度阀值。
支持攻击统计展示,包括检测报文总数、发现攻击报文总数、以及攻击总数与检测总数百分比。
支持实时基于主机、区域的攻击与被攻击的统计显示,在监控信息中直观显示IP地址所处国家。并支持自定义地址薄导入功能。(提供截图证明)
支持查看当前连接信息,如当前连接正在建立,正在握手还是已经拆除、当前连接所使用的协议、连接的源/目的地址和端口号、该连接是否应用源 NAT/目的 NAT 策略、 该连接建立过程中源地址发送的数据报文个数、目的地址发送的数据报文的个数等信息。
产品资质
产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品检测证书》。(EAL3+级)
产品具有IPV6 Ready Phase-2金牌认证。
产品具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》。(提供资料证明)
产品具有CVE Compatibility Certificate。
病毒过滤网关
指标项
技术要求
系统性能
★整机吞吐率≥4Gbps,最大并发连接数≥250W。
硬件配置
★2U机箱,最大配置为24个接口, 默认包括2个可插拨的扩展槽,2个SFP插槽和6个10/100/1000BASE-T接口(默认电口具有1组Bypass),双电源。
系统要求
设备必须为专业的防病毒网关产品,非防火墙/下一代防火墙、UTM、IPS等具有防病毒功能模块的产品
病毒检测过滤功能
▲支持双库双引擎,可选择使用不同的病毒库,可根据不同的被检测协议采用快速病毒检测引擎或深度病毒检测引擎。(提供截图证明)
支持对HTTP、FTP、POP3、 SMTP、IMAP等常用协议进行病毒检测与过滤。
支持TCP粘合技术,提升病毒检测效率。
病毒引擎具备自动化的数据解压缩能力,无需手动配置,且至少具备15层的数据解压缩能力。
支持IPv4和IPv6双栈协议的病毒扫描与检测过滤。
支持智能检测应用协议的病毒行为,采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描。
病毒库
要求病毒网关默认加载的流行病毒库总数大于600万,可本地化完成病毒地检测过滤与处理,无需发送到云端检测。
要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级。
具有手机病毒特征库。(提供截图证明)
内容过滤
支持对邮件内容的过滤,至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等。
可自定义禁止传输的文件类型。
支持基于IP地址黑白名单、邮件地址黑白名单的垃圾邮件过滤。
网络适应性
支持完全透明部署,即插即用,与客户端IP以及MAC地址、端口、认证方式等无关;当网络环境发生变化时,无需再调配病毒网关策略与配置,既可降低实施成本又可降低使用成本。
支持多接口可旁路的病毒监听检测模式,可并行监听检测多条链路、多个网段内的病毒传输行为。
支持多链路防护,可利用同一台病毒过滤网关实现多链路多区域的病毒防护,增强企业网络安全性并节省企业的防护成本。
设备维护与管理
支持中文、英文web管理界面。
支持管理主机地址限制。
具有双系统,且系统支持多核。
设备自身具有在线技术支持功能,便于外部人员远程进行设备维护管理,并且支持远程连接状态查看和手段断开。
提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成图形化统计报表。
具有针对FTP流量的病毒检测过滤日志,且过滤日志能定位到具体的文件名,方便管理处理携带病毒的文件。
支持即时报表和定时报表,报表可在线查看也可导出word文档。
支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理与取证。
当出现病毒突然爆发状况时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP报警等方式。
支持将不同类型的日志加密发送到多个Syslog远程日志服务器。
支持配置文件的备份、下载、恢复与上传,可导出配置文件进行存档,也可定时自动上传到指定服务器进行存档。
产品资质
▲提供公安部颁发的计算机信息系统安全专用产品(网关防病毒类产品)销售许可证(增强级)。(提供资料证明)
病毒过滤网关IPv6 Ready2资质认证证书。
国家版权局-计算机软件著作权登记证书。
光闸(应用数据安全交换前后置系统)
指标项
技术要求
系统架构
标准1U机架式设备
采用经过裁剪与安全加固的Linux操作系统
与后(前)置机配套使用
基础性能
▲吞吐率≥5Gbps,系统延时≤10ms;并发数≥40万;
大文件传输速度≥1.2Gbps
小文件传输速度(10KB)≥200个/s,单个文件≥20G;
数据库记录传输速度≥5000条/s,交换并发表≥2048个;
接口
接口:6千电口,2个万兆光口;1串口,2USB口;标配单电源,可选冗余电源
具备接口聚合功能
具备双机热备功能
安全功能
能够对提请交换的应用和设备进行真实性认证,禁止未认证应用和设备上线
支持对系统服务的访问控制功能
支持通过手动或特定时间自动清理缓存中的各文件碎片、修复文件系统错误
系统内置恢复引擎实现故障的事后恢复,恢复进程与当前数据集成交换进程保持独立
数据交换过程出现业务故障时报警
应用功能
支持本地FTP、本地SMB、远程FTP、SFTP、SMB、NFS服务
文件同步方式:具备剪切和复制模式同步,支持定时同步、实时同步,支持一对多、多对一同步(提供公安部计算机信息系统安全产品质量监督检验中心检测报告扫描件或影印件证明材料)
文件同步安全:支持在FTP同步方式和SMB同步方式下文件的恶意代码检查功能,能够将包含恶意代码的文件进行隔离,通过设置黑名单能够对同步的文件名和文件内容关键字过滤,通过设置黑白名单对具有特定后缀的文件进行过滤,对文件特征进行过滤,支持TXT、pdf、xls、xlsx、doc、docx、ppt、pptx、wps、dps、et格式文件(提供公安部计算机信息系统安全产品质量监督检验中心检测报告扫描件或影印件证明材料)
支持对图片的文字进行识别和过滤
支持断点重传功能
支持ORACLE、Sql server、sybase、mysql及国产数据库(武汉达梦、人大金仓KINGBASE、神舟通用OSCAR) 等主流数据库间的数据交换,支持全表同步、增量同步模式,支持数据库定时同步、实时同步,支持一对一、一对多、多对一数据库表同步;支持数据库自定义字段同步和自增字段的同步,用户可自定义需要同步的字段
数据库同步容错(数据库服务中断恢复后同步正常);支持Orac1e、Sq1Server、Sybase、Mysq1及达梦DM等主流数据库的条件同步和外键同步;支持数据库条件同步(提供公安部计算机信息系统安全产品质量监督检验中心检测报告扫描件或影印件证明材料)
支持混合数据同步;采用分布式数据队列技术,能够将数据传输队列分配到不同硬盘进行存储;支持同步阻塞和异步传输两种数据交换方式;
支持数据加密,数据存储非明文能够配置数据交付优先级,并对数据交付优先级进行控制;可查询数据交换状态和日志信息,日志信息有登录日志信息、和队列配置操作信息支持数据对账功能,提供与业务系统间的自动对账功能。
授权用户仅可通过产品的ftp客户端方可访问不同ftp资源,卸载或关闭ftp安全客户端后,用户无法访问ftp资源
ftp客户端与ftp服务器之间采用加密访问
设备管理
采用B/S结构或串口管理, GUI图形管理界面,采用HTTPS协议连接管理设备
采用三权分立管理
智能自动匹配功能,能对结构不同的表可以进行自动比对和映射
支持显示所有接口信息,并能显示连接状态
支持常用网管命令,如ping、telnet、trace route、arp等
支持链路自动侦测功能,能对数据库同步、文件同步、请求服务的链路状态进行侦测
支持设备系统升级
支持设备配置备份和恢复
日志审计
能针对所有任务进行统计,并能根据时间、任务名、表名、ip等关键字进行筛选
能对数据库同步日志进行详细记录,包括同步成功,同步失败,可根据主键、时间、表名、业务名、任务名等关键字进行筛选
支持通过SYSLOG、SNMP方式输出
产品资质
公安部计算机信息系统专用产品销售许可证增强级
具有国家版权局颁发的计算机软件著作权登记证书
设备制造厂商拥有ISO9001:2015质量管理体系认证证书(网络信息安全隔离产品类)
设备制造厂商拥有27001:2013信息安全管理体系认证(网络信息安全隔离产品类)
设备制造厂商拥有高新企业证书,软件企业证书、中国保密协会会员资质证书;
光闸(安全隔离与信息单向光导入系统)
指标项
技术要求
软硬件架构
隔离架构
系统采用2+1架构设计,包括内端机、外端机和独立的无反馈光纤硬件隔离信息导入区,采用经裁剪安全加固的Linux操作系统。
独立隔离部件
隔离区的数据通道采用单向无反馈光通信系统,仅提供单向不发送光纤模块,无双向数据传输通道,在物理链路层杜绝信息的反向传输。
断开内外网连接
设备断开内外网络TCP/IP直接访问连接
硬件结构
2U标准机架式硬件设备
可视化管理
提供1个设备状态显示液晶面板
性能参数
网络接口
12个千兆自适应电口,4个万兆SFP+光口,2个Console串口,4个USB接口;液晶屏,双机热备;可选冗余电源;
系统延时
<0.5ms
并发数
≥20万
系统吞吐量
▲≥4Gbps
数据差错率
<1Bit/1TBit
不间断运行 MTBF
系统稳定的不间断运行时间>20000小时
安全功能
协议剥离
所有协议进行剥离,还原应用层裸数据,形成完整的格式文件,非连续的网络数据片段;内外网主机实现基于连接终止的代理,传递文件,杜绝协议直接穿透设备。
原始数据传输
外主机向内主机传输数据必须是原始文件数据,不携带任何协议信息。
通道设置
检查内端和外端是否能正常通信,只需配置内端通道接口即可
静态路由
适用访问默认网关无法到达的网络,使得两个相邻的不同子网间能进行通讯。
防毒功能
系统内置防病毒功能,对进行摆渡交换的数据文件进行病毒查杀,保证数据安全。
可信接入认证
支持对单向传输客户端进行可信接入认证,认证过程:单向传输客户端向认证服务器发送认证信息(应用程序ID和客户端HASHID),然后向安全隔离与信息交换系统发起传输请求,安全隔离与信息交换系统对请求客户端的提交信息向认证服务器进行校验,校验通过则允许正常通信,否则断开通信连接提供功能截图并加盖原厂公章。
鉴权认证功能
支持对文件传输客户端和数据库传输客户端进行鉴权认证,支持针对不同的传输任务开启鉴权认证控制功能。数据传输时将会先判断任务是否已鉴权完成,鉴权成功的才可以正常执行数据传输,提供功能截图并加盖原厂公章。
FTP强制访问控制
支持通过源地址、目的地址、端口等多种元素的访问控制,对访问的客户端和FTP服务器进行身份认证和资源管理,通过相应控制规则对访问资源的文件级的细粒度进行管理,提供功能截图并加盖原厂公章。
数据库系统配置
支持数据库同步模式从原生模式(默认)转成Client模式。提供同步锁功能,支持双单向设备组成双向数据交换,并保持数据一致性;可获取目标数据库同一主键数据记录的锁定权,再执行对源数据库的数据进行更新操作,然后由数据库同步程序完成数据同步和解锁操作,提供功能截图并加盖原厂公章。
文件单向同步
支持本地FTP服务、远程FTP服务、本地SMB服务、远程SMB服务、NFS服务、光盘塔服务、client服务、认证同步服务等,实现目录下特定文件的单向导入,支持多目录同步、定时/周期同步、目录访问安全控制等功能。
数据库单向同步
支持Oracle、SQLServer、MySQL、DB2、SYBase、DM、OSCAR、KINGBaseES等数据库类型,支持对以上数据库插入、删除和更新等操作的监控,并对操作产生的表记录内容进行单向传输,提供功能截图并加盖原厂公章。
邮件单向同步
实现邮件单向同步,支持虚拟邮件服务功能。
内容及格式检测功能
支持黑白名单功能,对所传输数据进行文件名及后缀、签名验证、内容过滤及文件特征格式检查功能,对管理员指定格式的文件或指定内容关键字的文件等具有安全过滤功能,阻止敏感的信息外泄或伪造文件的入侵,提供功能截图并加盖原厂公章。
IP&MAC绑定
支持IP&MAC绑定功能,能够防止客户端IP更改、非法接入等。
管理功能
日志和报警
提供的日志和警报功能,可以监视和解决对内部网络以及设备本身的连接和破坏安全的问题,也可以通过管理控制台状态选项卡对整个系统进行常规的状态监视。
登录管理
根据用户的需求,设置会话超时、登录可尝试次数、封锁IP时间,远程管理主机、上传根证书、证书认证。
系统状态
用于查看系统状态、接口状态、系统信息。
系统时间
对系统时间进行调整,在时间修改后,日志与审计显示时间,也将按照修改后的时间显示
设备信息分管
在双单项的环境下适配跨网交换统一管控平台的业务审核下发
系统管理
简单易用的图形化GUI管理接口,为保证设备安全可靠。管理端须采用基于SSL数字证书的加密认证手段对管理通讯链路进行加密保护。清除系统运行中发生的故障和错误,维护人员可以对系统进行必要的修改与完善。
热备负载均衡
具备支持双机热备/负载均衡功能。支持多台隔离设备的集群功能,保证隔离交换功能的高可用性。
系统备份/恢复,系统升级
根据用户的需求,可以备份系统配置以及还原系统配置。对系统固件和系统内核进行升级,只需上传升级包,然后重启系统,即可升级成功。
二次开发功能
提供方便的二次开发接口,支持定制文件特征、数字签名校验等安全过滤选项。
兼容性
兼容扩展
为实现应用数据安全交换前置系统与安全隔离与信息单向导入系统无缝对接,须与数据安全交换系统为同一品牌
数据库审计
指标项
详细要求
系统性能
★审计处理能力≥2Gbps,峰值SQL处理能力≥10000条/秒,日志存储能力≥40亿条。
硬件配置
▲包含1个10/100/1000BASE-TX管理口,5个10/100/1000BASE-T电口采集口,至少4个SFP接口;2个可插拔扩展插槽;≥2T存储空间,配置双电源。
数据库类型
支持Oracle、SQLServer、MySQL、DB2、Sybase、Informix、PostgreSQL、Teradata、HANA、Hive、Hbase、ES(elaticsearch)、Redis、浪
![大学英语四级词汇zs.zjsru.edu.cn/Upload/OfficFile/default2016-07-09/e3c472e2-0a4c-456a... · business ['biznis]n. 交易 ;工商企业 ,商店 ;职业 ,工作 ,任务 ;事务](https://static.fdocuments.nl/doc/165x107/60c23de923d6744983557397/eecezszjsrueducnuploadofficfiledefault2016-07-09e3c472e2-0a4c-456a.jpg)
