政法平台综合项目关键技术专项方案V

宜春市政法综治平台项目技术方案目录汇总TOC\o"1-4"\h\z\u第一章网络支撑能力分析 在数据及移动互联网方面，中国移动一直把数据及移动互联网作为发展关键之一，并加大了对数据及移动互联网建设投入。经过几年建设，覆盖全国多功效、多层次、高效优异、完整统一公用数据通信网络平台已基础建成，其中包含CMNET和CMWAP。在国际通信能力方面，中国移动作为国际一流通信运行商，含有强大国际通信能力和丰富运行经验，现在已经含有通达世界绝大部分国家和地域国际电路，和世界众多一流移动运行商有广泛合作关系。中国移动建设了国际一流、通达全球通信网络和多种通讯业务承载平台。1.2中国移动传输网1.2.1光缆干线中国移动光缆干线组网方法，实现了统一计划设计、统一调度管理、统一保护恢复、统一维护管理，采取1+1复用段和MS-SPRING（多区段分担保护环路）自愈环状保护方法，组成了一个无级、融合一体长途通信干线网。1.2.2骨干传输网中国移动传送骨干网中首先引入光/电层控制平面，提升网络业务动态智能调度、业务保护恢复和新业务提供能力，然后向着更大颗粒度和分组化智能方向发展，逐步引入ODU交叉和ROADM技术，在此过程中传送层面将逐步完成向着PTN方向升级和改造。在城域汇聚网率先采取支持完全分组能力PTN传送节点，根本打破传统传输网和二层数据网界限，构建融合统一网络。承载网络中现有业务和未来可能出现多种新业务，全部业务全部在同一平台上传送。1.3-20-中国移动TD-SCDMA专线电路业务-20-1.3.1TD-SCDMA专线电路业务TD-SCDMA专线电路业务是基于PTN、SDH、DWDM、OTN/OPN等光纤传输网上业务网络，向用户提供高速数字信号传输业务，能够向用户提供2M、155M、622M、GE、2.5G、10G等多个传输速率全透明电路业务。TD-SCDMA专线电路适适用于速率高、信息量大、实时性强业务传送。TD-SCDMA专线电路业务应用前景宽广，广泛应用于政府、银行、证券、教育、网站、气象等需要高速数据传送行业，适适用于多个局域网之间高速互联，和会议电视等图像业务传送，能够为用户提供带宽独享、高速、全透明数据传输通道。1.3.2TD-SCDMA专线电路业务特点标准统一：设备符合国际标准，使1.5Mbps和2Mbps两大数字体系在STM-1上得到统一，使用国际通用STM-1、STM-4、STM-16等标准接口，配置以太接口，为IP化改造提供了条件；全透明电路：基于物理层全透明传输，为用户提供端到端全透明高速数字信号传输服务，承载话音、视频、IP、ATM等多个业务，用户可依据业务需要任选网络设备及协议；速率多样性：通信速率可依据需要在2Mbps、155Mbps、622Mbps、2.5Gbps、10Gbps等速率中任意选择；带宽独享、传输效率高、质量好、网络时延小、抗干扰能力强、保密性能好；可靠性高：因为传输网大全部采取自愈环网络结构，所以可靠性高、业务恢复时间短、经济性好，很适应该代网络应用发展需求；调配灵活：数字电路网为同时传输网，利用交叉连接技术、电路交换技术，可进行灵活电路调配，快速响应用户需求；完善网管功效：传送网帧结构中安排了丰富开销比特（大约占信号5％），所以使网络OAM能力大大加强；便于维护：底层电路，故障定位、处理简单、业务恢复快。因为现在移动两大关键传送网络SDH网和PTN网全部采取自愈环网络结构，所以可靠性很高、业务恢复时间短、经济性好，十分适应该代传输网发展趋势。采取移动传输电路组建宜春市政法平台网络应用系统完全能够实现业务传输高质量、高可靠性要求。2宜春移动网络介绍2.1宜春移动网络规模概述宜春移动分企业是宜春最大综合信息提供商，拥有最多移动电话网络和用户规模，TD-SCDMA专线电路更是极速发展，包含金融、证券、政府、税务等各个行业。宜春移动网络覆盖全市各个行政村，传输网络发达，能提供综合性网络服务。下面介绍宜春移动在网络安全上优势：楼内实现双通道宜春移动在安全布署上努力争取完美，在10个县市区关键机房基础建设中充足考虑了供电系统、线缆通道安全设计，每个楼内关键机房不仅满足电源通道和线缆通道分开基础要求，而且做到双通道，即有双电源通道、双线缆通道且相互隔离，真正做到万无一失，相比其它运行商，其机房安全考虑更为周到。供电系统配有油机房，存放大量应急汽油，确保供电系统出问题后关键机房长时间不停电运行；全部设备双电源供电，且经过不一样电源通道。2.2宜春移动传输网宜春移动当地传送网以4个400G带宽当地OTN承载网为骨架，建设了3000多个局所，敷设了23000余公里光缆，覆盖了全市九县一区全部村级行政单位，能够提供高质量、高带宽、不一样颗粒、不一样接口业务接入需求。（附图是OTN承载网结构图）丰城电信楼靖安奉新西门营销中心高安锦惠大厦宜丰丰城电信楼靖安奉新西门营销中心高安锦惠大厦宜丰铜鼓万载上高樟树老企业东门贸易广场先锋厂宜春新局宜春枢纽楼OTN北环40*10GOTN南环40*10G城域网OTN南环40*10G万载高安企业大楼新余OLA新余OLA樟树企业大楼城域网OTN北环40*10G宜春枢纽楼宜春新局丰城新大楼三大运行商中，中国移动率先使用OTN+PTN设备组网，县市骨干调度之间组建OTN网、接入层利用PTN设备组网，满足高容量、多类业务接入。业务多重保护=1\*GB3①OLP光导系统和环路建设宜春移动一直致力于推进县到县当地网骨干环光缆双路由建设，截止，已建设当地网光缆累计1500余公里，全部县市全部含有了完全分离第二路由，经过OLP技术（光导系统），实现了主备路由自动切换，大大提升了网络存活能力和业务自愈能力，而其它运行商OLP技术现在只在国家干线系统上使用。下图是OLP设备工作原理。=2\*GB3②宜春移动根本改造县市机房主节点供电电源，现在，各县市全部含有2套以上独立市电和蓄电池开关电源，确保了业务可靠性。=3\*GB3③宜春移动投入大量资源实现主、接入机房远程监控，将其它外原因对业务影响降低到最小。=4\*GB3④利用网络资源丰富、网络平面多特点，将汇聚设备组建成双归属网络，有效实现单节点失效保护。2.3TD-SCDMA专线业务宜春TD-SCDMA专线业务基于移动SDH、MSTP、OTN/PTN等传输网络，提供安全可靠、稳定运行全透明业务，广泛应用于政府、金融、证券、烟草、大中小企业。第二章宜春综治平台组网提议书中国移动宜春分企业05月第二章宜春综治平台组网提议书1项目需求分析1.1项目背景现在，中国社会管理信息化建设尚处于起步阶段。社会管理相关部门“条块分割”、“各自为战”、“反复建设”现象普遍存在。分散管理格局造成各类社会资源得不到有效整合，信息（数据）无法共享共用，社会管理力量无法统一扎口；传统管理手段造成基层负担重、行政效能低，基础性、源头性、苗头性社会问题得不到立即反应和及早防控；落后管理机制使各级领导无法在第一时间快捷掌握全地域整体动态，碰到紧急事件无法快速反应，对重大事件处理无法进行全过程跟踪、监督和管理。宜春市政府政法委计划建设一个面向市、区（县）、镇（街）、村（小区）、片组片格多级综治部门平台，建立网格化责任体系，规范事务处理步骤，创建综治信访维稳中心统一受理、统一分流、统筹指挥、协同参与、整体联动工作格局，形成常态排查、研判正确、智能分流、反应快速、闭合循环、全程监督机制，大幅提升综合管理动态化、长久化治理水平，愈加好地把“强综治、创平安、促发展”各项方法落到实处，打造愈加平安、稳定、友好、文明社会环境，1.2网络接入现实状况政法信息平台数据含有涉秘性，政法委计划采取电子政务外/内网处理市、县、乡联网。宜春电子政务内网网络拓扑：1.3社会信息平台需要处理问题社会信息平台拟采取全市统一平台，节省各县分别建设平台所需大量投资，同时因平台含有涉秘信息，统一平台便于安全可控管理。采取统一平台需处理需要考虑服务器性能、系统架构、负载均衡、网络安全等四个方面问题，和和公安、移动MAS等接口问题。网络方面，因涉秘需要，系统拟采取接入电子政务网方案，但因为现乡乡通未能接入到乡镇，所以先采取电子政务外网方案。宜春电子政务网只连接到乡镇层面，需建设光纤网络，把村级用户接入政法平台。因涉秘需要，平台不能接入互联网，同时在VLAN划分和访问控制策略上，假如条件含有，可采取MPLS-VPN，在政务外网中建立虚拟专网，把其它无关电子政务网用户严禁访问。同时因社会信息平台信息含有实时性比较强，手机需要登录平台实施上传、接收、签批等，需要把MAS等平台接入系统。1.4需求分析1、建全市统一系统平台，计划先行。政法委站在全市高度拟建设全市统一平台，系统平台建设整体性能需要做以下考虑： ★系统构件化设计，面向对象，可做到灵活扩展★系统采取三层架构体系，充足考虑到以后纵向和横向发展★在网络稳定（带宽512K）环境下操作性界面单一操作系统响应时间小于3秒，★完全支持3000个并发用户，正常500个用户并发访问★支持年数据量为100万统计数，100GB字节数据量★系统5X二十四小时连续运行，年故障<3天，故障修复时间<2小时★系统安全特征、访问控制到页面级★含有较强系统安全性和灾难恢复能力计算机系统可靠性用平均无故障时间（MTTF）来度量可用性分类可用水平每十二个月停机时间容错可用性99．9999<1min极高可用性99．9995min含有故障自动恢复能力可用性99．9953min高可用性99．98.8h商品可用性9943.8h数据安全和保密性现代计算机系统，大多采取TCP/IP作为网络通信协议。众所周知，TCP/IP是以开放性著称，系统之间易于互联和共享信息设计思绪贯穿于系统方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基础安全控制功效，而且实现时还存在很多漏洞。鉴于安全关键性，为确保在政法信息平台中个人身份、署名正当性，电子公文、电子印章有效性，需要分别从网络服务器安全、软件安全、外置硬件安全三个方面进行设计。网络服务器安全方面：购置专门入侵检测系统设备对多种入侵行为进行检测控制；在硬件防火墙上设置对应安全策略杜绝非法访问；购置网络防病毒软件定时对系统进行病毒扫描；对数据资料进行实时备份（当地备份和异地备份），确保数据资料安全；建立严格网络管理规范，从制度上进行约束。软件安全方面：在数据传输过程中采取过程加密方法，不以明文形式进行传输；完善用户权限设置，采取模块、角色、用户分级授权，灵活配置操作人员操作模块，实现细粒度权限控制；完善用户操作日志统计，自动统计每个用户访问系统、修改操作过程，便于安全审计；在外置硬件安全方面：采取第三方安全产品（CA认证和电子签章）进行对接，确保个人身份、电子签章正当性和公文有效性；保留盖章署名、防篡改、分层保护、打印控制、签章过程跟踪功效；保留签章非法追究权利。3、网络覆盖和安全因平台内容涉密，网络安全至关关键，平台前期接入电子政务外网，后期需要接入电子政务内网，系统严禁接入互联网。基于以上考虑，平台到村级用户不能使用VPDN网络，需要使用光纤专网。同时在VLAN划分和访问控制策略上，把其它无关电子政务网用户严禁访问。同时因社会信息平台信息含有实时性比较强，手机需要登录平台实施上传、接收、签批等，需要把MAS等平台接入系统。1.5工程目标此次宜春社会信息管理平台网络工程总体目标就是借助电子政务网络以合理成本建设安全可靠通信网络，为社会信息平台提供优质安全可靠通信保障实现当地域、全社会、各领域、各部门、镇村发生各类不稳定事件，以“人员”要素为基础，以“事件”管理为根本，以业务步骤管理为关键，以维护社会稳定为目标，进行全地域信息整合、分析、排查和管理，将“大调解”、“大信访”、社会治安、维稳综治、应急安全、关键人群、安全生产、社会救助、劳动保障、风险评定、涉法涉诉等包含社会管理各主管部门职能和管理系统，全方面整合在统一管理平台上，进行网络智能化处理、运行和监管。2系统建设提议书2.1设计标准本着统一性、可扩展性、可靠性和高安全性标准对政法网络进行计划，充足实现网络技术优异性、高度安全可靠性、良好开放性、高度灵活兼容性，可扩展性，和实用经济性。统一性以优异、成熟网络通信技术进行组网，在全市范围内建设一个政法专用通讯子网，一个多协议数据网络，并在全部通讯子网接入节点上支持TCP/IP网络协议，支持数包含数据、语音、视频等多个类型业务应用。可扩展性和兼容性（1）含有接入全部业务系统能力，支持各业务系统所要求计算机网络协议，而且含有多个常见网络协议支持，确保在有新业务应用时，能够提供有力支持；（2）能将多个业务集成在同一个网络中，以充足利用信道带宽，在确保现在应用情况下，使网络含有可扩展性，保护用户投资。标准化和开放性；（3）整个网络为一开放式环境，可和其网络互连并实现信息交换和共享；网络协议采取符合ISO及其它标准，如：IEEE、ITUT、ANSI等制订协议，采取遵从国际和国家标准网络设备。可靠性和高安全性（1）利用宜春移动传输环网技术，实现网点冗余保护，提供网络稳定性。确保政法网无中止运行；（2）含有完善网管系统，实现对网络进行端到端监控管理，优化网络流量，提升网络运行安全性，经过日志文件等多个手段，确保网络高效运行。2.2网络处理方案介绍行政村和企业单位直接建设专网接入政法平台，乡镇单位和已经接入电子政务单位，采取MPLS-VPN方法，建立VPN隧道，接入政法平台。整体网络拓扑图2.2.1乡镇和已经接入电子政务网组网方案因政法平台涉密性质，接入电子政务外网乡镇用户采取MPLS-VPN方法，在电子政务网安全政法平台虚拟专网，其它无关用户不受影响。乡镇用户和平台之间采取MPLSVPN技术能够把现有电子政务网络分解成逻辑上隔离网络，这种逻辑上隔离网络用于处理政法平台用户和中心平台独立互连。配置MPLSVPN需要在县、市电子政务关键交换路由上培植数据，乡镇需要配置带VLAN交换机。MPLSVPN和VLAN+ACL对比分析 VLAN是将一组在不一样物理网段上用户在逻辑上划分成一个局域网内，在功效和操作上和传统LAN基础相同，能够提供一定范围内终端系统互联。广播帧限制在一个VLAN中，VLAN之间二层隔离，必需经过IP层才能互通。所以经过VLAN+ACL能够提供一定业务隔离能力。适用范围:VLAN本质上是一个局域网技术，适适用于局域网范围内隔离，不过依靠VLAN本身并不能确保IP业务隔离，必需和ACL配合使用。因为这种方法下，全部业务系统处于一个IP地址空间，相互可见，不是真正隔离，为网络安全留下隐患。MPLSVPN是基于IP层信息及路由隔离，不一样VPN之间IP地址相互独立，VPN中主机感觉不到其它VPN组员存在，从而实现了真正隔离。同时，因为MPLSVPN是基于三层路由隔离，而且利用BGP扩展协议自动扩散VPN组员信息，所以MPLSVPN适适用于广域网，城域网及其它规模比较大网络。可维护性:VLAN方法能够比较简单实现二层隔离，不过为了实现不一样业务系统IP层隔离，必需针对每个VLAN，配置大量ACL条目，而且每个3层节点上，伴随需要隔离业务系统数目(N)增加，配置工作以N(N-1)方法增加。MPLSVPN依靠路由转发实例自动实现隔离，不需要针对每个网段配置进行ACL配置，同时，不一样VLAN+ACL手工配置方法，因为MPLSVPN隔离及路由扩散全部是经过动态路由协议实现，不存在配置N平方问题。在网络规模大时，极大减轻了配置工作量。可扩展性:同ATM/FRVPN一样，VLAN+ACL方法因为存在配置N平方问题，每增加一个新VLAN或是业务系统全部要对以前全部业务系统配置进行修改，存在严重可扩展性。MPLSVPN中增加新节点或VPN时，不影响原有VPN配置，可扩展性极好，实际上，MPLSVPN良好可扩展性是MPLSVPN成为主流骨干网VPN技术关键原因之一。安全性:VLAN方法下，因为VLAN中全部处于同一广播域中，任何人全部能够利用ethernet技术广播特征，经过简单软件工具获取其它主机通信信息，存在严重安全问题，而MPLSVPN基于三层实现，广播报文被自然隔离，不存在上述安全问题。同时，VLAN+ACL要求全部主机处于同一地址空间，这本身就为网络攻击者提供了可能，采取MPLSVPN实现隔离，VPN之外用户根本感觉不到VPN存在，更无法攻击VPN内部网络。MPLSVPN在实现了访问安全同时，还能够和现有多种安全技术(如IPSec等)无缝配合，实现数据传输安全。网络稳定性:VLAN组网中，轻易引发广播风暴，造成多种网络问题。这也是VLAN技术无法应用于广域网或其它大型网络原因。MPLSVPN基于3层隔离，而且有明确分级结构，不存在广播风暴问题，适适用于多种大型网络。QOS:VLAN采取802.1p表示业务服务等级，同时经过队列技术支持拥塞管理，不过受ASIC芯片限制，支持队列数及种类有限，支持其它QOS技术极少，对应，在复杂业务应用情况下，QOS支持能力有限。MPLSQOS支持成熟DiffServQOS模型，能够支持流量监控，拥塞管理(队列管理)，拥塞避免，而且能够和其它IP/MPLSQOS技术配合(如专门用于语音等实时业务RTP实时队列，CBWFQ，LFI等)，能够很好确保复杂应用业务QOS。网管实现:VLAN网管实现简单，支持集群管理，易于实现设备级管理，MPLSVPN在设备级管理方面比VLAN复杂，不过能够提供基于VPN拓扑管理，利于网络全局视图及网络计划。所需要增加设备：乡镇单位需要配置2层带VLAN交换机，假如前期没有配置，需要增加。同时需要在县、市电子政务做数据配置。序号硬件名称数量单价累计备注1二层带VLAN交换机3001500450000具体数量需要统计2.2.2行政村、企业单位组网结构图2.2.3方案说明从业务信息化安全和通道安全两方面考虑，同时满足业务带宽需求和业务多样化接入需求，宜春移动为宜春政法采取OTN+PTN+SDH模式组网。OTN网络能提供足够带宽，PTN网络能实现多个端口接入需求。政法平台行政村网络包含10个区县市全部行政村、企业电路，全网采取OTN/PT/SDH组网，整体方案含有良好扩展性、可控性，易于管理、便于维护，且实现了环路冗余备份，具体描述以下：县市各行政村、企业单位链路经过PTN接入县市电子政委内网，PTN成环境保护护，避免单点故障。行政村、企业单位行政村、企业单位经过2M（2M以上）直接接入县电子政务内网。VLAN划分、IP地址分配和ACL控制策略提议政法网IP地址单独全市分配成一个大段，方便在路由器、交换机、防火墙配置访问策略，同时未来切换到内网可不需要重新配置IP地址。同时VLAN划分方面也做统一考虑，在交换机上配置ACL控制策略，严禁政法网段和其它电子政务网络互访，最大程度做好网络安全。防火墙安全策略防火墙上做好严格访问控制策略，屏蔽一切无关端口，屏蔽一切无关协议，攀比一切无关IP地址2.2.4方案特点1、信息安全有保障。经过OTN+PTN+SDH网实现行政村和各县电子政务内网之间两点封闭式通信，第三方无法窃取信息。2、业务可靠性高。全程提供电信级业务通道，主备倒换切换时间小于50ms，用户无感知。双重保护体系，业务自愈能力强。一是利用波道保护技术，在OTN网上实现业务通道保护；二是利用OLP（光线路保护）技术，在县到县之间建设主备两个光缆路由，经过OLP系统实现主备光缆之间自动切换，能够有效预防多点同时中止给网络造成危害。带宽有保障。PTN本身含有GE以上带宽，能够充足保障带宽。5、平滑升级每个网点可依据需要进行平滑升级。网络安全保障系统最大程度考虑了网络安全，在三层交换、防火墙等层面做好严格网络访问策略。专用网络物理隔离互联网全部网点全部是专线网络，物理隔离互联网。线路报价：单条光纤价格（2M）100元/月，接入点直接从行政村接入平台。2.3系统平台处理方案介绍2.3．1.系统拓扑2.3.2方案说明服务器和存放系统是整个系统主干和关键，关键功效是尽可能快速地交换数据。提议系统托管于移动企业IDC机房，在电电力、空调、安全等方面运行商机房条件比较优异。数据库服务器和应用服务器经过光纤交换机选择高端双引擎双电源可扩展三层交换机作关键设备，确保网络关键设备高性能和高可靠性，提供快速信息交换和传输；每台服务器配置千兆网卡，以千兆链路接到关键交换机上，确保数据传输和处理高效可靠；选择高性能千兆防火墙实现关键网络和外部网络高速安全互联。同时配置IDS入侵检验系统保障系统安全。采取千兆光纤连接应用服务器区防火墙和电子政务网、移动MAS、公安、党政网等相连，实现社会信息平台和其它相关具体业务单位间高速可靠互联。政法部门作为管理部门直接接入关键交换机，实现高速访问和灵活控制。关键服务器配置依据海盟企业软件性能和相关用户需求进行配置，关键指标应该达成以下标准：★在网络稳定（带宽512K）环境下操作性界面单一操作系统响应时间小于3秒，★完全支持3000个并发用户，正常500个用户并发访问★支持年数据量为100万统计数，100GB字节数据量★系统5X二十四小时连续运行，年故障<3天，故障修复时间<2小时★系统安全特征、访问控制到页面级数据库服务器性能：针对500万左右人口地级市，此种规模地市业务终端约5000左右，并发连接可达成20％左右，则并发连接为1000左右，根据每笔业务处理响应时间不超出3秒，同时每笔业务访问数据库子交易数为10个，同时考虑预留30％冗余，则业务部分要求服务器并发处理能力TPC-C必需达成：存放系统：为了确保SAN存放系统稳定性和可靠性，在SAN网络上我们采取了全冗余架构，而且要求采取最新4Gb/s接口，在存放方面，需要采取光纤磁盘阵列，要求配置双控制器冗余，现配置存放容量3TB，假如有视频需求，可扩展30TB。应用服务器：应用服务器作为政法平台平台应用关键，对处理能力要求很高，通常情况下，一台最新款4CPU/8G内存PC服务器能够支撑300个左右并发，由此可见，针对500万左右人口地市提议配置2-44台PC服务器负担应用服务器，同时应用服务器经过硬件负载均衡器实现负载均衡。设备配置：序号硬件名称数量单价累计1千兆防火墙,网络处理能力4G,并发连接≥300万,标准配置6个10/100/1000M自适应电口,4个SFP插槽。含有公安部销售许可证、多核并行安全操作系统证书、军B+级证书、自主创新证书、保密局证书；三年服务1台80000800002千兆入侵防御系统，网络处理能力2G,6个10/100/1000Base-T端口，4个千兆SFP模块插槽；支持2路电接口、2路光接口共4路IPS(内置2路电口Bypass)或9路IDS，含有公安部销售许可证，军用证书，自主创新证书，CVE兼容性证书，保密局证书；三年服务1台1100001100003日志审计专用千兆多核硬件平台和安全操作系统，性能指标：事件采集可达成3000事务数/秒（TPS，TransactionperSecond），热插拔硬盘总容量2TB。支持外接存放设备。外观：标准2U机架式；2个1台10/100/1000MBase-T电口（RJ45）（1个管理口，1个采集口），能够另外扩展到6个千兆采集口（电口/光口）（MDG/MDF模块）；1个Console口，支持Console口管理；单电源。不对审计数量进行软件限制。可实现数据库登录、日志、验证，异常情况报警。含有公安部销售许可证、多核并行安全操作系统证书、军用证书、保密局证书1000001000004IBM机柜(93074RX)2个5000100005负载均衡设备：F5BIG-IP-15001台11000011000064U机架式//配置4颗INTELXEONE7-4820八核处理器，主频为2.0GHz，18MBL3Cache处理器//INTEL7500芯片组//64GECCDDR3Registered内存，板载32个内存插槽，最大可扩展1TB内存//3块600GB15KSAS硬盘；最大可支持10个硬盘//高性能SAS6Gbps磁盘控制器,支持Raid0,1,10，Raid5//集成2个基于IOAT2/VT/VMDQ技术64位高性能千兆网卡//5个PCI-E2.0扩展插槽//集成显卡控制器、SlimDVD光驱、USB软驱//支持BMC+KVM远程管理功效，支持自主产权管理软件及备份还原软件，可实现当地管理、备份还原功效，全方面支持Windows和Linux系列操作系统和主流存放介质，可跨网络实现系统备份、还原、克隆离线备份容灾软件//提供三年无偿原厂整机硬件保修//冗余电源4台80000307光纤存放\o"IBM2076-112V7000带12块盘450G2.5FC"IBM

V7000

（自带8个光纤接口）硬盘：IBM原装3.5SAS900G*16个1台30308光纤交换机:博科

BR-360-0008

24口2台50000100000911500002.4樟树、万载试点业务开展方案依据政法委布署，樟树两乡镇、万载一个乡镇优先开启社会信息管理平台建设工作，因时间紧，任务重，相关服务器、网络、安全、软件需特事特办优先给予考虑建设。宜春移动拟采取以下应急方案，优先建设樟树、万载社会信息管理平台：调配两台高配置服务器，如有需要，将在两天内完成系统、数据库、IIS等程序安装和调试工作，满足两县市试点平台快速开通和使用。服务器可放置于移动IDC机房，机房在电力、安全、空调、防火防尘方面含有很好条件。网络方面：三各乡镇和所辖行政村用直接经过移动专线接入平台。因是专网，不需要多方配合来完成电子政务MPLSVPN配置等电子政务侧相关工作，同时专用网安全性好，能够快速布署。平台软件安装和培训工作：平台软件可由海盟企业和移动工程师共同配合完成，软件培训工作，移动企业安排专员配合帮助。2.5平台安全策略2.5.1整体安全思绪因为多种安全事件，不管是入侵、蠕虫还是病毒，我们全部能够把整个爆发过程分为三个阶段：发作前、发作中、发作后。安全保障体系建立就是要分别针对这三个阶段采取对应得控制手段，有效地使用正确处理方法，保障信息系统安全性。1、事前安全防护体系：纵深防御，等级化保护对于安全事件发生之前，安全保障体系作用关键是做出安全防护，避免多种安全隐患发生。关键是依据安全等级不一样，把整个网络划分成不一样安全区域，在不一样区域出口处布署访问控制设备，对进出区域数据包进行IP、TCP、应用层检验，判别和访问控制。同时，在网络出口处布署病毒过滤网关，在关键服务器或主机系统上布署防病毒软件，建立全网病毒监控和防护体系。2、事中安全检测和响应体系：实时监测、主动响应防护设备能力并不是绝正确，一旦防护体系被突破，安全保障体系作用关键是对安全事件立即监测出来，并依据预先设置响应方法主动做出反应，立即中止安全事件发生，确保系统不会受到损害。具体说，就是在网络内部布署入侵检测和漏洞扫描系统，实时对网络监控，定时对网络进行扫描，采取和防火墙联动方法或其它主动响应方法，中止入侵连接，保护信息系统。3、事后安全审计体系：事后检验、主动追踪任何安全防护设备全部不可能做到100%有效防护，一旦安全防护设备被突破，怎样能够经过入侵者留下蛛丝马迹发觉攻击过程，分析造成损失，并追究攻击者责任，也是安全防护体系中需要关键考虑步骤。此时，安全保障体系得作用关键是对安全信息进行审计，立即发觉曾经发生安全威胁，对安全事件过程进行追踪，并评定对信息系统造成损失。经过事件追踪，能够立即发觉保障体系中存在防护和检测漏洞，立即进行修补，使整个防护体系处于动态安全平衡之中。2.5.2政法平台安全需求分析我们能够对系统所面临风险从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述：1、物理安全风险 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏；2、链路传输风险分析网络安全不仅是入侵者到内部网上进行攻击、窃取或其它破坏，而且有可能在传输线路上安装窃听装置，窃取网上传输关键数据，再经过部分技术读出数据信息，造成泄密或做部分篡改来破坏数据完整性。以上种种不安全原因全部对网络组成严重安全危胁。所以，对于政法这么带相关键信息传输网络，数据在链路上传输必需加密。并经过数字署名及认证技术来保数据在网上传输真实性、机密性、可靠性及完整性。（软件要求）3、网络安全风险 DOS/DDOS攻击、DNS欺骗攻击，会造成服务器服务中止，影响业务正常运行； 内部用户经过Sniffer等嗅探程序在网络内部抓包，取得系统用户名和口令等关键信息或其它机密数据，进而假冒内部正当身份进行非法登录，窃取内部网关键信息； 内部用户经过扫描软件或取其它用户系统或服务器多种信息，并利用这些信息对整个网络或其它系统进行破坏。 病毒，尤其是蠕虫病毒爆发，将使整个网络处于瘫痪状态。4、系统安全风险现在操作系统或应用系统不管是Windows还是其它任何商用UNIX操作系统和其它厂商开发应用系统，其开发厂商肯定有其后门。而且系统本身肯定存在安全漏洞。这些“后门”或安全漏洞全部将存在重大安全隐患。不过从实际应用上，系统安全程度跟对其进行安全配置及系统应用面有很大关系，操作系统假如没有采取对应安全配置，则其是漏洞百出，掌握通常攻击技术人全部可能入侵得手。假如进行安全配置，比如，填补安全漏洞，关闭部分不常见服务，严禁开放部分不常见而又比较敏感端口等，那么入侵者要成功进行内部网是不轻易，这需要相当高技术水平及相当长时间。5、管理安全风险对于管理风险包含： 内部管理人员或职员把内部网络结构、管理员用户名及口令和系统部分关键信息传输给外人带来信息泄漏风险。 机房重地却被任何人全部能够进进出出，来去自由。存有恶意入侵者便有机会得到入侵条件。 内部不满职员有可能熟悉服务器、小程序、脚本和系统弱点。利用网络开些小玩笑，甚至破坏，如传出至关关键信息、错误地进入数据库、删除数据等等。这些全部将给网络造成极大安全风险。 非法人员进入关键部门或机房，非法取得资料或对设备进行破坏； 职员有意、无意把硬盘中关键信息目录共享，长久暴露在网络邻居上，可能被外部人员轻易偷取或被内部其它职员窃取并传输出去造成泄密，因为缺乏必需访问控制策略。 大量人为原因安全隐患，为破坏着进入系统造成了便利，比如：部分系统管理员密码强度不够，或没有设置密码；密码和帐号名相同或采取帐号名翻转作为密码；采取电话号码作为密码；采取单一字符集作为密码，比如qqqqqq； 密码复杂程度不够；管理是网络中安全得到确保关键组成部分，是预防来自内部网络入侵必需部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等全部可能引发管理安全风险。即除了从技术上下功夫外，还得依靠安全管理来实现。2.5.3项目参考安全标准和技术规范《相关加强信息安全保障工作意见》（中办[]27号文件）《国家信息化领导小组相关中国电子政务建设指导意见》（中办发[]17号）《中国公用计算机互联网国际联网管理措施》，国家保密局，5月ISO/IEC15408（CC）：《信息技术安全评定准则》。该标准历经数年完成，提出了新安全模型，是很多信息安全理论基础。ISO/IEC17799/BS7799-1：《信息安全管理通例》。这是现在世界上最权威信息安全管理操作指南，对信息安全工作含相关键指导意义。ISO/IEC13335，第一部分：《IT安全概念和模型》；第二部分：《IT安全管理和计划制订》；第三部分：《IT安全管理技术》；第四部分：《安全方法选择》；第五部分：《网络安全管理指南》。GB17859：《计算机信息系统安全保护等级划分准则》。这是中国政府颁布信息安全产品等级划分准则。GA216-1999：《计算机信息系统安全产品部件》GB9387ISO7498：《信息处理系统开放系统互连》GB9361：《计算站场地安全要求》公安部第51号令：《计算机病毒防治管理措施》《中国计算机信息系统安全保护条例》国务院令147号《中国信息网络国际互联网管理暂行要求》国务院令195号《计算机信息系统安全专用产品检测和销售许可证管理措施》公安部令32号《中国保守国家秘密法》《中国保守国家秘密法实施措施》保密局《计算机信息系统保密管理暂行要求》国家保密局国保发[1998]1号《计算机信息系统国际联网管理要求》国家保密局《计算机信息网络国际联网安全保护管理措施》公安部《商用密码管理条例》国务院令273号《中共中央相关加强新形势下保密工作决定》等文件《中国国家标准GB17859-1999》《计算机信息系统安全保护等级划分准则》编制说明2.5.4政法平台安全方案设计依据前面分析，方案将从一下多个方面进行安全设计计算环境安全1、操作系统安全对于操作系统安全防范采取以下策略：尽可能采取安全性较高网络操作系统并进行必需安全配置、关闭部分起不常见却存在安全隐患应用、对部分保留有用户信息及其口令关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；WindowsNT下LMHOST、SAM等）使用权限进行严格限制；加强口令字使用（增加口令复杂程度、不要使用和用户身份相关、轻易猜测信息作为口令），并立即给系统打补丁、系统内部相互调用不对外公开。经过配置操作系统安全扫描系统对操作系统进行安全性扫描，发觉其中存在安全漏洞，并有针对性地进行对网络设备重新配置或升级。2、应用系统安全在应用系统安全上，应用服务器尽可能不要开放部分没有常常见协议及协议端口号。如文件服务、电子邮件服务器等应用系统，能够关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用正当性；并严格限制登录者操作权限，将其完成操作限制在最小范围内。充足利用操作系统和应用系统本身日志功效，对用户所访问信息做统计，为事后审查提供依据。边界安全1、政法平台防火墙布署依据政法系统特点和要求，我们在该网中建立防火墙系统，防火墙布署在平台入口处，T经过严格防护策略，保护系统安全： 防火墙对内网用户必需经授权便能够访问平台获取所需要信息和服务；防火墙能够防范多种网络攻击，能够查找到攻击起源和类型，能够对这些攻击进行反应；对网络访问接入点保护应该对相关组件和网络性能造成尽可能少影响；抗DOS/DDOS攻击：拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多占用共享资源，造成服务器超载或系统资源耗尽，而使其它用户无法享受服务或没有资源可用。防火墙经过控制、检测和报警机制，预防DOS黑客攻击。所以经过防火墙上进行规则设置，要求防火墙在单位时间内接到同一个地址TCP全连接、半连接数量，假如超出这个数量便认为是DOS/DDOS攻击，防火墙在设定时间内就不接收来自于这个地址数据包，从而抵御了DOS/DDOS攻击；预防入侵者扫描：大多数黑客在入侵之前全部是经过对攻击对象进行端口扫描，搜集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户口令弱等信息，然后再展开对应攻击。经过防火墙上设置规则：假如发觉外部有某台计算机在单位时间内和内部某台服务器或主机建立多个连接，便认为是扫描行为，并截断这个连接。从而预防入侵者扫描行为，把入侵行为扼杀在最初阶段；预防源路由攻击：源路由攻击是指黑客抓到数据包后改变数据包中路由选项，把数据包路由到它能够控制一台路由器上，进行路由欺骗或得到该数据包返回信息。经过在防火墙上配置规则，严禁TCP/IP数据包中源路由选项，预防源路由攻击；预防IP碎片攻击：IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包，从而隐藏了该数据包攻击特征。经过在防火墙上设置规则防火墙在进行检验之前必需将IP分片重组为一个IP报文，而且这个报文必需含有一个最小长度以包含必需信息以供检验，从而预防了IP碎片攻击；预防ICMP/IGMP攻击：很多拒绝服务攻击是经过发送大量ICMP数据包、IGMP数据包实现。经过在防火墙上设置规则，严禁ICMP/IGMP数据包经过防火墙，确保系统安全；阻止ActiveX、Java、Javascript等侵入：防火墙能够从HTTP页面剥离ActiveX、JavaApplet等小程序及从Script、PHP和ASP等代码检测出危险代码，也能够过滤用户上载CGI、ASP等程序；其它阻止攻击：经过在防火墙上URL过滤能够预防部分来自于系统漏洞攻击（比如：经过配置规则严禁访问../winnt/system32/cmd.exe?/能够预防WINDOWNT/UNICODE漏洞和其它CGI漏洞攻击：/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/openfile.cfm等）、和部分病毒攻击（比如：严禁default.ida能够预防红色代码攻击）；提供实时监控、审计和告警：经过防火墙提供对网络实时监控，当发觉攻击和危险代码时，防火墙提供告警功效；2、入侵防御系统布署通常经过防火墙进行网络安全防范。从理论上分，防火墙能够说是第一层安全防范手段，通常安装在网络入口来保护来自外部攻击。即使现在部分防火墙增强了对于应用层内容分析功效，不过考虑其因分析、处理应用层内容而造成网络延迟增加，所以从其实际应用角度来说，存在部分不足。网络入侵防御系统因为其以主动模式布署到现有网络中，所以能够在网络入口处防火墙后面布署入侵防御系统实施多种复杂应用层分析工作。关键实现以下功效：状态模式检测（StatefulDetection）很多攻击是试图推翻通讯协议状态。基于多年TCP/IP研究，IDS开发了一个状态检验引擎来分析协议状态，而且预防malformed数据包攻击网络。攻击特征数据库模式检测（Signature-basedDetection）超出3,000条攻击特征数据库，检测和保护针对应用协议和脆弱系统攻击。缓冲区溢出检测（Buffer-overflowDetection）缓冲区溢出是一个黑客常常利用通用技术，比如冲击波攻击就是利用微软RPCDCOM漏洞感染网络上数百万主机。木马/后门检测（Trojan/BackdoorDetection）黑客使用木马和后门程序取得非法授权进入个人计算机或服务器。基于现有木马和后门程序技术，拒绝服务/分布式拒绝服务检测（DoS/DDoSDetection）黑客能够在不需要任何授权情况下发送大量数据包进入网络，这些流量能够是单一数据包或是自动发送分布式拒绝服务攻击工具所产生攻击信号，部分蠕虫也能够发送大量扫描讯号进入网络，IDS利用拒绝服务/分布式拒绝服务检测机制预防这类型全部攻击。访问控制检测（AccessControlDetection）部分会造成敏感信息泄漏网络行为是很危险，IDS利用攻击特征数据库来预防这些行为发生，IDS也提供最大灵活性，让用户能够定制专属政策。此项功效可让用户自行制订网络第三层至第七层防御政策。Web攻击检测（WebAttackDetection）Web服务在全世界被广泛地使用，不过却发觉相当多弱点，利用这些弱点是相当轻易，信息能够经过因特网自由分享，为了预防黑客利用Web服务弱点，IDS有超出500条针对Web弱点政策来保护Web服务器。弱点扫瞄/探测检测（VulnerabilityScan/ProbeDetection）为了得到信息和系统漏洞，黑客会在网络上发送检验数据包来扫描系统，IDS能够检测出这些弱点扫描/探测数据包，并提供最好保护。基于邮件攻击检测（Mail-basedAttackDetection）基于邮件攻击在现在是很一般，比如W32/Mydoom引发全世界几十亿金融损失，IDS提供SMTP过滤功效及病毒数据库以预防病毒侵入邮件服务器。蠕虫检测（WormDetection）网络蠕虫会如此令人讨厌是因为它能够快速繁殖，并所以引发全世界网络异常甚至是瘫痪，IDS能够阻挡蠕虫攻击，保障网络安全和洁净。异常检测（AnomalyDetection）协议异常检测（ProtocolAnomalyDetection）研究和分析因特网协议和标准，通常因特网服务器遵照这些标准提供稳定服务，黑客常常利用破坏这些标准协议方法强迫进入，IDS检测并清除这些异常数据包，保障服务器免遭受这些未知数据包攻击。流量异常检测（TrafficAnomalyDetection）当网络被攻击时，网络流量异常增加是很正常，依据多年网络攻击事件处理经验，IDS建立了最好规则，并将此统计分析方法整合进IDS，提供最好检测和防御。扫瞄/探测检测（Scan/ProbeDetection）主机计数是黑客了解网络拓朴和主机状态一个方法，主机/端口扫瞄是黑客决定下一步攻击方法关键原因，IDS会在黑客试图扫描时即检测并加以防御，隐藏黑客想要取得信息并保障整个网络安全。洪流检测（FloodingDetection）网络洪流攻击会造成服务器和网络设备很多无须要负荷，有时这些攻击能够造成关键路由器死机，使得网络系统完全瘫痪，IDS能够检测并阻挡这类攻击事件，保护服务器及网络系统。拒绝服务/分布式拒绝服务检测（DoS/DDoSDetection）拒绝服务/分布式拒绝服务攻击是网络管理员噩梦，IDS能分析网络流量来检测和阻挡拒绝服务/分布式拒绝服务攻击。其它领域检测（OtherDetectionScopes）IDS提供网络应用层检测技术控制多个网络行为：实时聊天程序（InstantMessenger）IDS是一个网络第七层设备，能够检测出网络第七层应用层不一样行为，比如QQ、MSN聊天、QQ、MSN文件传输、QQ、MSN电视会议等，它们不以一些特定端口提供服务，通常防火墙无法做管理控制，IDS能够针对不一样行为分别做出不一样处理。分开制订安全政策，使得IT经理能有效地管理她们安全策略。流媒体和在线下载程序（P2P）P2P流媒体和在线下载程序会严重消耗网络带宽，并造成网络速度变慢，经过使用P2P在线下载程序也可能对外泄漏内部机密信息，IDS是一个网络第七层设备，能够轻易检测出迅雷、网际快车等多种P2P在线下载程序和PPStream、QQLive等流媒体应用程序，IT经理能有效地经过IDS管理她们安全策略。网页邮件/论坛（WebMail/Post）利用网页邮件服务器和论坛发出机密信息是很轻易，经过IDS，IT经理能够轻松并有效地管理这类行为。日志审计系统日志安全审计系统作为一个统一日志监控和审计平台，能够实时不间断地将企业和组织中来自不一样厂商安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统日志、警报等信息聚集到审计中心，实现全网综合安全审计。假如用户网络中关键网络和业务系统无法产生日志，能够经过布署硬件探测器方法主动侦测网络中协议通讯，并转化为日志，聚集到审计中心。审计日志类型审计日志内容Windows操作系统账户登录日志账户管理日志目录服务访问日志审核登录日志对象访问日志审核策略更改日志特权使用日志具体跟踪日志审核系统日志文件操作日志：指定目录下文件/子目录修改、删除日志操作系统性能日志*NIX操作系统（Solaris、HP-UX、Linux、AIX等）账户登录注销日志服务启停日志帐户管理日志su日志MODEM活动日志FTP会话Web访问日志防火墙、VPN（网神、天融信、启明星辰、联想网御、东软、H3C、Cisco、Juniper、CheckPoint、Array等）安全规则日志：IDS阻断日志连接阻断日志连接经过日志NAT日志代理日志IDS日志VPN日志用户认证日志内容过滤日志病毒过滤日志设备状态日志HA日志设备性能日志交换机/路由器（Cisco、华为、H3C、神州数码等）操作日志设备故障日志设备性能日志设备状态日志：比如端口开关，设备开启和停止，等等负载均衡、流控设备（F5等）操作日志设备状态日志系统日志入侵检测系统、入侵防御系统（网神、天融信、启明星辰、联想网御、H3C等）入侵告警日志系统规则库升级日志系统登录注销系统启停防病毒系统、防病毒网关（网神、McAfee、Norton、金山、江民、瑞星等）病毒日志攻击日志病毒扫描日志漏洞扫描日志防病毒系统配置变更日志病毒库升级日志系统启停系统登录注销WEB服务器（MSIIS、Apache、Tomcat等）系统日志错误日志访问日志数据库系统（SQLServer、DB2、Informix、Sybase等）系统日志访问操作日志错误日志中间件系统（WebLogic、IBMWebSphere等）系统日志错误日志访问日志应用系统安全账户锁定日志登录失败日志连接阻断日志登录尝试日志QQ使用日志MSN使用日志常见网络病毒常见网络游戏常见P2P下载日志远程登录FTP登录和注销日志Telnet登录和注销日志通用日志Syslog日志Snmptrap日志Netflow日志备份系统现在比较实用数据备份方法可分为当地备份异地保留、远程磁带库和光盘库、远程关键数据+定时备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。（1）当地备份异地保留是指按一定时间间隔（如一天）将系统某一时刻数据备份到磁带、磁盘、光盘等介质上，然后立即地传输到远离运行中心、安全地方保留起来。（2）远程磁带库、光盘库是指经过网络将数据传送到远离生产中心磁带库或光盘库系统。本方法要求在生产系统和磁带库或光盘库系统之间建立通信线路。（3）远程关键数据+定时备份本方法定时备份全部数据，同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。（4）远程数据库复制在和生产系统相分离备份系统上建立生产系统上关键数据库一个镜像拷贝，经过通信线路将生产系统数据库日志传送到备份系统，使备份系统数据库和生产系统数据库数据改变保持同时。（5）网络数据镜像是指对生产系统数据库数据和关键数据和目标文件进行监控和跟踪，并将对这些数据及目标文件操作日志经过网络实时传送到备份系统，备份系统则依据操作日志对磁盘中数据进行更新，以确保生产系统和备份系统数据同时。（6）远程镜像磁盘利用高速光纤通信线路和特殊磁盘控制技术将镜像磁盘安放到远离生产系统地方，镜像磁盘数据和主磁盘数据以实时同时或实时异步方法保持一致。磁盘镜像可备份全部类型数据。在本方案中，我们提议用户使用网络数据镜像备份方法，建立备份服务器，对平台服务器数据定时进行备份。安全管理规范1、工作人员个人安全行为规范严禁和好友、亲戚共享帐号和密码；严禁对系统中密码文件运行密码检验工具；严禁运行网络监听工具；严禁攻击她人帐号；严禁影响系统中服务；严禁滥用系统资源；严禁滥用电子邮件；严禁未经许可而检验她人文件；严禁随意下载、安装、使用未经检验过软件；2、密码安全规范 用户名和密码组合定义了系统中用户身份，采取安全密码策略是预防非法访问系统最关键手段。密码内容要将数字、大写字母、小写字母、标点符号混合起来；要易于记忆（不用写下来）；要易于输入（不易被偷看到）。不能选择：亲戚、好友、同事、单位等名字，生日、车牌号、电话号码；字典上现有词汇；一串相同数字或字母；显著键盘颁序列；全部上面情况逆序或前后加一个数字。密码使用规范不要将密码写下来，不要经过电子邮件传输；不要使用缺设置密码；不要将密码告诉她人；假如系统密码泄漏了，立即更改；不要共享超级用户口令，使用用户组或合适工具如su；假如可能，不一样平台上用户口令要一致。假如用户只需要记住一个口令就会选择质量较高密码；全部系统集成商在施工期间设置缺密码在系统投入使用之前全部要删除；密码要以加密形式保留，加密算法强度要高；在输入时密码不能显示出来，“*”最好也不要显示；一个用户不能（从密码文件中）读取其它用户（加密）密码；不能在软件中放入明文形式口令。假如可能，在软件中也不要存放加密后密码。要指定密码最短使用期、最长使用期、最短长度；要指定所许可口令内容。系统要依据这些规则检验口令内容，符合要求才接收；除了系统管理员外，通常见户不能改变其它用户口令；假如需要特殊用户口令（比如说UNIX下Oracle），要严禁经过该用户进行交互式登录；假如可能，强制用户在第一次登录后改变口令；在要求较高情况下能够使用强度更高认证机制；假如可能话，能够使用自己密码生成器帮助用户选择口令；要定时（每七天一次）运行密码检验器来查找强度太弱口令。3、系统管理规范单位要决定由谁来负责修改系统管理策略，在什么地方能够修改；单位要决定由谁来负责授予其它工作人员访问和使用系统权力，谁拥有超级用户特权；单位要决定系统管理员权力和责任；单位要决定工作人员是否能够拥有对自己计算机超级用户权限；系统管理员要确保系统可用性，秘密信息仅能被正当授权用户访问，不被未授权用户修改。对于超级用户来说，目前目录不能放入搜索路径中。4、物理安全规范确定负责数据销毁人员；对于关键资源存放场所，确定进入人员及要求；全部设备放置齐整并给予标识，包含责任人员；全部布线齐整并给予标识。5、用户访问控制规范全部用户全部要经过授权；用户有在自己环境里设置对象特权权力；严禁用户删除在共享目录下其它用户文件；能够经过制订策略控制用户对于系统中全部对象访问；用户不能检验授予其它用户访问控制权限；要能够提供强制性访问控制6、登录策略基础标准：用最少时间、最小权限来完成其工作；仅给经过授权用户保留帐号；用户名和组结构应该在整个单位内部是统一（字母数目、组成）；不要使用guest用户，假如要用，应该有很强安全限制；用户和组要由系统管理员进行管理，不能由用户自己管理；不能设置多人共用帐号；用户名和密码不能在同一次通信中传输；当一个工作人员离开岗位后，其帐号要立即删除；15分钟空闲后系统应该加锁，并由密码保护；用户应用程序及其系统配置只能由用户本人可写，而且不能被她人读取；对于用户违反安全策略选择要立即通知；假如一个用户帐号（超级用户除外）在较段时间内连续登录失败（比如说一小时内有20次），临时严禁此帐号，并通知用户；当用户登录后要显示这些信息： 1通知用户潜在对系统滥用； 2上一次成功和失败登录时间和地点仅在需要时候才许可登录功效（比如说在周一到周五工作时间）严禁使用超级用户帐号直接登录，尤其是当有多人同时管理一个系统时。要能够对用户帐号设置过期时间。每个用户要由名称或数字进行标识，并隶属于一个组；假如必需存在公用帐号，其工作环境要加以严格限制；在拨号服务器上，应该：1三次不成功地登录后就断开电话连接；2要能够指定在什么时间、什么端口是能够使用每个用户在系统中应该只有一个帐号用户创建文件掩码不能使文件对全部用户是可读/写；目前目录不能包含在系统搜索路径之中；用户登录输入错误用户名或密码时，系统应该显示相同提醒信息。系统不能提供正当帐号信息；假如用户输入了错误用户名/密码，要等候1秒钟后再次提醒登录；假如第二次失败，就等候2秒钟；下一次就等候3秒钟。这么能够预防攻击者采取自动登录程序；系统管理用户组组员要由管理部门来授权；要能够指定一个用户同时能够登录数目。7、安全确定规范要对系统定时做审计；系统管理员负责新服务器安装和设置，然后要由负责安全工作人员根据规范对其进行审计。假如因为系统等方面原因，无法达成所要求规范，必需在审计汇报中明确指出。8、审计规范要保护用户审计日志和程序，只有负责安全工作人员才能访问；日志中不能包含密码；系统管理员行为（如UNIX中su）要做日志；失败用户登录要做日志，并给出提醒；关键事件要进行自动报警；要能够基于一个主体或客体做审计；审计日志中统计最少要包含用户名（或其id）,日期和时间，登录地点，事件描述；假如可能话，日志要保留在只读介质上。除了在当地保留以外，日志还要传输到安全日志服务器上，日志服务器不提供其它服务。不要将日志保留于共享文件系统中；要建立全网统一时钟服务器，全部服务器要同时自己时钟，以确保审计日志中时间戳有效性。9、服务可靠性规范数据备份恢复规范要定时进行备份，关键信息要进行脱机备份；备份要妥善保管。陈旧备份要销毁，不能直接扔掉；对于每个系统或每组系统，要有成文备份策略，包含： 什么时间，用什么方法（完全、增量）进行备份，保留介质，保留期限； 备份频率，负责监视、检验正确备份操作人员； 确定索引要保留期限，保留地点，和怎样从档案中删除；要有成文恢复策略，包含： 负责监视、检验正确恢复操作人员； 对于使用工具和恢复操作要在具体描述； 还要统计预期恢复时间；要定时测试恢复策略更改系统管理（安全或升级软硬件）规范只有系统管理员能够安装或升级软件，通常工作人员不能在关键计算机上安装软件；要根据厂商安装指令进行安装；在每一个服务器上要保留系统更改日志，具体描述对系统所做更改。提议最少要创建一个文本文件，包含日期、管理员名称、更改文件、更改原因等；安装操作系统要同时安装全部推荐补丁，以后要不停安装补丁；在安装过程中，在要机器上贴上包含下列信息标签：机器名、生产商、型号、IP地址、MAC地址、网络接线方法、正式使用日期、安全求援电话（集成商或生成商）；只用从原始发行商那里获取软件补丁才。从公网上下载补丁要经过严格完整性检验（如用MD5）以后才可应用。假如可能话，补丁要经过一个星期测试以后才能应用到正常工作机器上。2.6整体工作界面以立即间节点整体项目工作能够分为四块：软件采购：由市政法委完成。硬件采购：由政法团体、软件厂家和移动企业共同确定参数和型号，在确定型号后由移动企业负责采购。网络计划：由政府信息办和移动企业负责，包含IP地址划分、VLAN划分、访问控制策略、防火墙策略、入侵防御策略、网路拓扑。MPLSVPN：网络计划和配置有信息办完成。2.6OTN/PTN设备及技术介绍2.6.1PTN技术及设备介绍（1）PTN产生背景目前网络正在朝着多网融合方向演进、业务也在朝着IP化方向转化，以太网技术、IP/MPLS技术、MSTP技术在面对这些需求时全部有些捉衿见肘。以太网技术造价低廉，接入方法简单，但以太网在电信级保护、多业务承载、OAM、网络管理等方面存在较显著缺点，无法满足电信级网络管理要求。IP/MPLS在电信级保护、OAM、网络扩展性、成本等方面存在较显著缺点，无法应用在网络接入和汇聚层。MSTP出现最初就是为了处理IP业务在传送网承载问题，遗憾是这种改善不根本，采取刚性管道承载分组业务，汇聚比受限，不支持统计复用功效。在这种情况下，PTN技术逐步浮出水面，它吸收了前辈们教训，结合三网优点以分组作为传送单位，继承了MSTP理念，承载电信级以太网业务为主，兼容TDM、ATM和FC等业务综合传送技术。PTN技术特点1、面向连接,统计复用提升了带宽利用率，实时计算电路流量，在确保自己带宽所需带宽前提下，可释放部分空闲带宽，以提供给其它有需求业务使用。而当该电路有需求时也能占用其它电路释放出来带宽。在极限情况下，大家全部满负荷跑，则仅使用自己标准带宽。2、电信级OAM＆保护含有SDHLikeOAM，包含告警、性能、配置管理功效，端到端网络监控故障检测：连接丢失（CC）、服务层失效（AIS)、远端缺点指示（RDI)、前向缺点指示（FDI）等；性能检测：丢包率（LM）、时延、时延抖动（DM）；维护功效：环回（LBK）含有SDHlike保护特征Wrapping环网保护、Steering环网保护；线性1+1单向、1:1双向；依据隧道类型选择不一样保护策略支持层次化嵌套保护加载控制平面实现复杂组网下业务保护和恢复；3、多业务统一承载TDMtoPWE3：支持透传模式和净荷提取模式。在透传模式下，不感知TDM业务结构，将TDM业务视作速率恒定比特流，以字节为单位进行TDM业务透传；对于净荷提取模式感知TDM业务帧结构/定帧方法/时隙信息等，将TDM净荷取出后再次序装入分组报文净荷传送ATMtoPWE3：支持单/多信元封装，多信元封装会增加网络时延，需要结合网络环境和业务要求综合考虑。EthernettoPWE3：支持无控制字方法和有控制字传送方法4、完善时钟处理方案采取G.8261和1588协议，支持分组频率同时和相位同时，支持Ethernet同时网和SDH同时网之间时钟同时功效，处理复杂组网下时钟传送问题，能够替换GPS时钟实现时钟同时功效。（3）常见PTN设备介绍ZXCTN6100为业界可商用最紧凑接入层PTN产品，仅1U高，适适用于基站接入场景；ZXCTN6200为业界最紧凑10GEPTN设备，3U高，既可作为小规模网络中汇聚边缘设备，也可在大规模网络或全业务场景中作为高端接入层设备，满足发达地域对10G接入环需求。ZXCTN9008为业界交换容量最大PTN设备，交换容量达成双向1.6T，全方面满足全业务落地需求2.6.2OTN技术及设备介绍宜春移动OTN网采取中兴企业新型ZXMPM820设备进行组网。（1）ZXMPM820设备产品定位ZXMPM820是为适应未来传送网建设需要而推出全新产品，采取全新监控系统框架和OTN架构设计，可实现动态光层连接和灵活电层调度,并含有高集成度、高可靠性和集GMPLS智能控制平面等特点；是新一代城域/当地波分网络处理方案和智能化波分产品处理方案关键产品。（2）ZXMPM820技术特点控制板采取SNP1+1保护实现保护电路采取ROADM技术实现电交叉支持ASON功效支持ASON功效，包含波长级SPC业务建立、重路由和保护、自动发觉，大大提升了网络生存能力；OADM系统可平滑升级保护方法全方面、可靠、灵活支持电源板、主控板、电交叉板、子架级联1+1备份功效；支持基于光层通道1+1保护、复用段1+1保护、环网通道共享保护、环网复用段共享保护及通道1:n保护功效；支持基于电层波长级通道1+1保护、波长级通道共享保护、子波长级1+1保护、子波长级通道共享保护和子波长1:n保护功效；（基于集中式交叉）集中式交叉确保业务无损切换支持基于ODUk集中式交叉，两块交叉板组成1+1保护系统，当一块交叉板失效时业务能够在50ms内恢复，假如人工切换交叉板则可确保业务无损。第三章售后服务中国移动宜春分企业04月第三章售后服务针对此次宜春政法平台项目，宜春移动将成立专题工作组和售后支持关键团体，组织经验丰富业务、技术、管理和IT教授，对系统运行维护需求进行深入、细致分析研究。宜春移动针对集团用户电路制订了具体系统运行维护方案，在中国移动完整、高效支持服务体系架构支持下，以江西移动为关键，整合相关设备厂家维护资源，建立当地化售后支持体系。1、服务体系1.1组织架构江西移动作为省内最大通信运行商已建立了一套覆盖全省四级用户支持服务体系（见下图），经过高水平、高素质专业技术支持队伍，为集团用户提供完善售后支持服务。中国移动自起在集团、省、市、县各级单位成立了专职机构，专门负责集团用户全业务售前、售中、售后各项支撑工作。截止目前，江西移动在省市县各级分企业均成立了集团用户全业务专职支撑部门，全省累计专职人员800余人。另加上全省20余家专业IT代维企业，为集团用户全业务支撑工作提供了有力人员保障。江西移动依据全业务特点，现已在全省均建立了省、地市和县三级垂直网络支撑体系。针对用户维护需求，能够做到“一点接入，全网服务”，在最短时间内，响应和处理用户各类网络需求和故障排除。1.2规范制度江西移动自上而下建立了完善集团用户全业务支撑步骤，关键包含以下内容：集团用户网络服务支撑方案集团用户网络服务维护支撑技能要求集团用户网络服务职责分工和标准化步骤集团用户网络分级服务（SLA）规范集团用户专线网络管理措施数据通信接入设备代维管理措施集团用户服务标准集客网络资源管理措施集客业务网络巡检措施集客业务投诉处理步骤各项制度步骤对集团用户全业务业务开通、业务更改、故障处理、投诉处理、IT代维、业务巡检、用户服务等方面步骤制度进行了严格规范，并固化在企业内部IT支撑系统中，在日常工作中严格实施，严格考评。网络质量指标专线类别质量指标内容测试方法标准TD-SCDMA专线2M通道ES2小时内误码秒数02M通道SES2小时内严重误码秒数02M通道误码率2小时内传输中误码/所传输总码数≤2e-9155M及以上通道ES2小时内误码秒数0155M及以上通道SES2小时内严重误码秒数0155M及以上通道误码率2小时内传输中误码/所传输总码数≤1e-91.3工器具配置充足合理工器具配置是项目实施进度有效保障，也是提升服务质量关键一环。集团用户专线业务恢复时限要求较高，为了满足售后维护要求，江西移动计划配置充足、适宜车辆、设备、仪器仪表。各市企业设备配置以下表：序号名称数量1工程车62E1测试仪103线路测试仪104网络测试仪105便携电脑106网络分析仪57光缆熔接机108光时域反射仪（OTDR）59光功率表10各县企业设备配置以下表：序号名称数量1工程车42E1测试仪33线路测试仪34网络测试仪35便携电脑36网络分析仪27光缆熔接机38光时域反射仪（OTDR）29光功率表21.4备品备件江西移动不仅对本身运行网络建有完善备品备件库及调度步骤，针对集团用户使用移动设备，也建有覆盖全省设备备品备件库，从而提升故障响应速度、缩短故障历时。具体情况以下：1、根据用户要求服务品质贮备备件，确保对签约用户服务质量；2、在南昌建立省级备品备件库，负责省直单位前端设备备件供给；在各地市建立市级备品备件库，负责市区前端设备备件供给；在各县建立县级备品备件库，负责县区前端设备备件供给；3、备品备件标准上根据覆盖区域安装设备5%配置；4、依据一段时间内安装设备类别、数量，各类型设备故障发生率对备品备件库进行合适调整；5、和相关前端设备代理商建立备件合作。2、网络监控2.1概述现在，江西移动拥有优异完善网管中心和监控中心，网管中心和监控中心全部设有专门技术人员组进行7×二十四小时值班，能够实现对江西移动承载电路、业务平台、前端设备进行7×二十四小时全天候监控，能够立即发觉线路或设备出现一切故障。江西移动网管中心全部装有优异监测系统，并设有丰富经验专业人员组进行值班，能够很好地判定出故常所属范围，做到正确定位和立即故障派单。对于部分不明故障实施设备/线路同时出发处理标准。现在江西移动在全省各市县全部设有专门线路及设备维护队伍，能够立即响应并处理网管派出故障。我对故障处理实施“不分时段、不分天气、不分区域范围”方法，以上述故障应急处理标准进行处理，真正做到又快又准。2.2网络监控方法在网络监控方面，除提供日常7×二十四小时监控外，江西移动含有综合网管监控能力，能够实现承载电路、视频监控平台、前端设备集中监控，任一地方、任一设备故障告警，对应网络调度工单可在自动派送到末端维护人员。深入提升集团大用户故障响应速度、缩短故障历时。同时针对重大事件和突发事件制订网络应急通信保障预案并定时演练。向用户提供专业化、标准化、多元化服务，提供连续、高效、快捷服务，构建优质服务品牌。综合网管系统示意图以下：3、故障处理3.1故障处理方法江西移动承诺定时提供政法信息网网络运维汇报、设备巡检汇报、故障汇报、教授咨询、故障优先处理及信息通报。在网络监控方面，除提供日常7×二十四小时监控外，江西移动含有综合网管监控能力，能够实现电路、视频监控平台、前端设备集中监控，任一地方、任一设备故障告警，对应网络调度工单可自动末端维护人员，深入提升故障响应速度、缩短故障历时。同时针对重大事件和突发事件制订网络应急通信保障预案并定时演练，向宜春政法提供专业化、标准化、多元化服务，提供连续、高效、快捷服务，构建优质服务品牌。在确定告警为有效告警时，应该根据有效告警处理步骤进行处理。首优异行告警分析，依据告警影响范围判定告警等级，是否需要上报，对于引发大面积业务中止告警还需要进行业务抢通处理；其次再根据原因查找、排除告警处理规范进行告警处理；告警处理完成，要和业务部门进行业务确定，在确定业务已恢复正常后，此次告警处理结束。3.2故障处理步骤江西移动针对网络维护和故障处理方面制订了完善制度和步骤，经过7×二十四小时监控，江西移动在1小时内响应用户故障，并提供7×二十四小时一站式故障申告受理服务和技术业务咨询服务，包含：一站式业务受理、一站故障申告、一站技术支持，服务申告、技术支持、网络运行汇报、满意度调查等一系列步骤闭环管理。用户可拨打用户经理、网络服务经理、热线电话等方法报障。针对于集团用户，江西移动将对租用光缆进行定时巡检，统计网络及设备运维情况。用户如有需要，江西移动可提供巡检表。