政法平台项目技术实施方案V5.doc

宜春市政法宜春市政法综综治平台治平台项项目技目技术术方案方案 目录汇总 第一章第一章 网网络络支撑能力分析支撑能力分析 5 1 中国移动网络介绍 5 1 1网络规模概述 5 1 2中国移动传输网 6 1 2 1 光缆干线 6 1 2 2 骨干传输网 6 1 3中国移动TD SCDMA专线电路业务 6 1 3 1 TD SCDMA 专线电路业务 6 1 3 2 TD SCDMA 专线电路业务特点 7 2 宜春移动网络介绍 8 2 1 宜春移动网络规模概述 8 2 2 宜春移动传输网 8 2 3 TD SCDMA 专线业务 10 第二章第二章 宜春宜春综综治平台治平台组组网建网建议书议书 12 1 项目需求分析 12 1 1项目背景 12 1 2网络接入现状 12 1 3社会信息平台需要解决的问题 13 1 4需求分析 13 1 5工程目标 15 2 系统建设建议书 16 2 1设计原则 16 2 2网络解决方案介绍 16 2 2 1 行政村 企业单位组网结构图 17 2 2 2 方案说明 17 2 2 3 方案特点 18 2 6 OTN PTN设备及技术介绍 41 2 6 1 PTN 技术及设备介绍 41 2 6 2 OTN 技术及设备介绍 43 第三章第三章 售后服售后服务务 46 1 服务体系 46 1 1组织架构 46 1 2规范制度 47 1 3工器具配备 50 1 4 备品备件 51 2 网络监控 51 2 1概述 51 2 2网络监控措施 52 3 故障处理 53 3 1故障处理措施 53 3 2故障处理流程 54 4 网络巡检 56 4 1汇聚节点设备 56 4 2汇聚节点设备数据收集和性能分析 57 4 3网络业务数据维护 57 4 4接入设备 57 5 售后服务机构及人员 62 6 客户评价体系 63 7 响应服务与承诺 64 7 1技术咨询 64 7 2故障申告受理 65 7 3故障处理 65 7 4系统运行监控 65 7 5网络巡检 66 7 6重要期间保障服务 66 7 7承诺考核指标 66 8 培训服务 66 第四章第四章 工程工程实实施方案施方案 68 1 项目进度安排 68 2 项目实施流程 68 3 施工组织结构 69 4 项目进度保障措施 72 5 资源保障 73 5 1网络资源保障 73 5 2人力资源保障 74 6 质量控制 75 6 1质量控制原则 75 6 1 1 工程管理与质量控制体系 75 6 1 2 施工方法 计划及措施 76 6 2项目实施准备 78 6 2 1 接入环境说明 78 6 2 2 目标管理和标准化管理 79 6 2 3 确保前期勘测质量 79 6 2 4 针对性方案设计 79 6 2 5 确保方案准确性 79 6 2 6 提升工程督导水平 80 6 3 安全及文明施工 80 6 3 1 保障网络的安全 80 6 3 2 安全制度及教育 80 6 3 3 设备安全控制 80 6 3 4 人身安全控制 81 6 3 5 施工安全控制 81 6 3 6 安全责任 81 6 3 7 安全记录 81 6 4施工质量保障 81 6 4 1 严格的过程质量控制 81 6 4 2 配备高素质的工程队伍 82 7 项目验收方案 83 7 1 工程风险控制 83 7 2工程测试验收 83 7 3 工程验收步骤 83 7 4 验收内容 84 7 5 验收参照标准 85 第一章第一章 中国移中国移动动网网络络支撑能力分析支撑能力分析 中国移中国移动动宜春分公司宜春分公司 2012 年年 05 月月 第一章第一章 网网络络支撑能力分析支撑能力分析 1 中国移中国移动动网网络络介介绍绍 1 1 网网络规络规模概述模概述 中国移动集团公司是按国家移动体制改革方案组建的特大型国有通信企业 国 家主体移动企业之一 中国最大的基础网络运营商 最大的综合信息提供商 拥有世 界第一大移动电话网络和客户规模 网络覆盖全国 服务通达世界各地 分支机构遍 布全国 拥有全国性骨干通信网络 在全国范围内经营电信业务 在传输网方面 中国移动目前已建立并拥有了一个以光缆为主 卫星为辅的全 方位 大容量 多手段 高速率 安全可靠的立体通信传输网络 2010 年年底 全国 光缆线路长度达到 300 万公里 SDH DWDM 以及 OTN PTN 技术得到大规模使用 传输速率数十倍提高 中国移动通信已建成一个覆盖范围广 通信质量高 业务品种丰富 服务水平 一流的移动通信网络 网络规模和客户规模列全球第一 截至 2010 年底 网络已经 覆盖全国绝大多数乡镇村 主要交通干线实现连续覆盖 城市内重点地区基本实现 室内覆盖 客户规模达到 5 84 亿 与 184 个国家和地区的 235 个运营公司开通了 GSM 国际漫游业务 与 73 个国家和地区的 51 个运营商开通了 GPRS 国际漫游 国 际短信通达 106 个国家和地区的 214 家运营商 彩信通达 4 个国家和地区的 14 家 运营商 在数据及移动互联网方面 中国移动始终把数据及移动互联网作为发展重点之 一 并加大了对数据及移动互联网建设的投入 经过几年的建设 覆盖全国的多功能 多层次 高效先进 完整统一的公用数据通信网络平台已基本建成 其中包括 CMNET 和 CMWAP 在国际通信能力方面 中国移动作为国际一流的通信运营商 具有强大的国际 通信能力和丰富的运营经验 目前已经具有通达世界绝大部分国家和地区的国际电 路 与世界众多一流移动运营商有广泛的合作关系 中国移动建设了国际一流的 通 达全球的通信网络以及各种通讯业务承载平台 1 2 中国移中国移动传输动传输网网 1 2 1 光光缆缆干干线线 中国移动光缆干线的组网方式 实现了统一的规划设计 统一的调度管理 统一 的保护恢复 统一的维护管理 采用 1 1 的复用段和 MS SPRING 多区段分担保护 环路 的自愈环状保护方式 构成了一个无级的 融合一体的长途通信干线网 1 2 2 骨干骨干传输传输网网 中国移动传送骨干网中首先引入光 电层控制平面 提高网络业务动态智能调度 业务保护恢复和新业务提供的能力 然后向着更大颗粒度和分组化智能的方向发展 逐步引入 ODU 交叉以及 ROADM 技术 在此过程中传送层面将逐步完成向着 PTN 方向的升级和改造 在城域汇聚网率先采用支持完全分组能力的 PTN 传送节点 彻 底打破传统传输网和二层数据网的界限 构建融合的统一网络 承载网络中现有业 务和将来可能出现的各种新业务 所有业务都在同一平台上传送 1 3中国移中国移动动 TD SCDMA 专线电专线电路路业务业务 1 3 1 TD SCDMA 专线电专线电路路业务业务 TD SCDMA 专线电路业务是基于 PTN SDH DWDM OTN OPN 等光纤传输 网上的业务网络 向客户提供高速数字信号传输的业务 可以向客户提供 2M 155M 622M GE 2 5G 10G 等多种传输速率的全透明电路业务 20 TD SCDMA 专线电路适用于速率高 信息量大 实时性强的业务传送 TD SCDMA 专线电路业务应用前景广阔 广泛应用于政府 银行 证券 教育 网站 气 象等需要高速数据传送的行业 适用于多种局域网之间的高速互联 以及会议电视 等图像业务的传送 能够为客户提供带宽独享的 高速 全透明的数据传输通道 1 3 2 TD SCDMA 专线电专线电路路业务业务特点特点 标准统一 设备符合国际标准 使 1 5Mbps 和 2Mbps 两大数字体系在 STM 1 上得到统一 使用国际通用的 STM 1 STM 4 STM 16 等标准接口 配备以 太接口 为 IP 化改造提供了条件 全透明电路 基于物理层的全透明传输 为客户提供端到端的全透明高速数 字信号传输服务 承载话音 视频 IP ATM 等多种业务 客户可根据业务需 要任选网络设备及协议 速率多样性 通信速率可根据需要在 2Mbps 155Mbps 622Mbps 2 5Gbps 10Gbps 等速率中任意选择 带宽独享 传输效率高 质量好 网络时延小 抗干扰能力强 保密性能好 可靠性高 由于传输网大都采用自愈环的网络结构 因此可靠性高 业务恢 复时间短 经济性好 非常适应现代网络应用的发展需求 调配灵活 数字电路网为同步传输网 利用交叉连接技术 电路交换技术 可 进行灵活的电路调配 快速响应客户的需求 完善的网管功能 传送网帧结构中安排了丰富的开销比特 大约占信号的 5 因而使网络的 OAM 能力大大加强 便于维护 底层电路 故障定位 处理简单 业务恢复快 由于目前移动两大主要传送网络 SDH 网和 PTN 网都采用自愈环的网络结构 因此可靠性很高 业务恢复时间短 经济性好 十分适应现代传输网的发展趋势 采 用移动传输电路组建宜春市政法平台网络应用系统完全可以实现业务传输的高质量 高可靠性要求 2 宜春移宜春移动动网网络络介介绍绍 2 1 宜春移宜春移动动网网络规络规模概述模概述 宜春移动分公司是宜春最大的综合信息提供商 拥有最多的移动电话网络和客 户规模 TD SCDMA 专线电路更是极速发展 涉及金融 证券 政府 税务等各个行 业 宜春移动网络覆盖全市各个行政村 传输网络发达 能提供综合性网络服务 下 面介绍宜春移动 在网络安全上的优势优势 楼内实现双通道 宜春移动在安全部署上力求完美 在 10 个县市区核心机房的基础建设中充分 考虑了供电系统 线缆通道的安全设计 每个楼内核心机房不但满足电源通道和线 缆通道分开的基本要求 而且做到双通道 即有双双电电源通道 双源通道 双线缆线缆通道通道且互相隔离 真正做到万无一失 相比其它运营商 其机房安全考虑更为周到 供电系统 1 配有油机房 存储大量的应急汽油 保证供电系统出问题后核心机房长时间 不断电运行 2 所有设备双电源供电 且通过不同的电源通道 2 2 宜春移宜春移动传输动传输网网 宜春移动本地传送网以 4 个 400G 带宽的本地 OTN 承载网为骨架 建设了 3000 多个局所 敷设了 23000 余公里光缆 覆盖了全市九县一区所有村级行 政单位 能够提供高质量 高带宽 不同颗粒 不同接口的业务接入的需求 附图是 OTN 承载网结构图 宜丰 铜鼓万载上高 樟树老 公司 东门贸易广场 先锋厂 宜春新局 宜春枢纽楼 OTN北北 环环 40 10G OTN南南 环环 40 10G 城域网城域网 OTN 南环南环 40 10G 万载高安公 司大楼 新余 OLA 新余 OLA 樟树公司 大楼 城域网城域网 OTN 北环北环 40 10G 宜春枢纽楼 宜春新局 丰城新 大楼 三大运营商中 中国移动率先使用 OTN PTN 设备组网 县市骨干调度之间 组建 OTN 网 接入层运用 PTN 设备组网 满足高容量 多类业务的接入 业务的多重保护 OLP 光导系统和环路建设 宜春移动一直致力于推进县到县本地网骨干环光缆双路由建设 截止 2011 年 已建设本地网光缆共计 1500 余公里 所有县市都具备了完全分离 的第二路由 通过 OLP 技术 光导系统 实现了主备路由的自动切换 大大 提高了网络的存活能力和业务的自愈能力 而其他运营商的 OLP 技术目前 只在国家干线系统上使用 下图是 OLP 设备的工作原理 高安锦 惠大厦 靖安 奉新 丰城电 信楼 西门 营销中心 宜春移动彻底改造县市机房主节点供电电源 目前 各县市都具备 2 套以 上独立市电和蓄电池的开关电源 保证了业务的可靠性 宜春移动投入大量资源实现主 接入机房的远程监控 将其它外因素对业 务的影响减少到最小 利用网络资源丰富 网络平面多的特点 将汇聚设备组建成双归属网络 有效实现单节点失效保护 2 3 TD SCDMA 专线业务专线业务 宜春 TD SCDMA 专线业务基于移动 SDH MSTP OTN PTN 等传输网络 提供 安全可靠 稳定运行的全透明业务 广泛应用于政府 金融 证券 烟草 大中小企业 第二章第二章 宜春宜春综综治平台治平台组组网建网建议书议书 中国移中国移动动宜春分公司宜春分公司 2012 年年 05 月月 第二章第二章 宜春宜春综综治平台治平台组组网建网建议书议书 1 项项目需求分析目需求分析 1 1 项项目背景目背景 目前 我国社会管理信息化建设尚处于起步阶段 社会管理相关部门 条块分割 各自为战 重复建设 的现象普遍存在 分散的管理格局导致各类社会资源得不到 有效整合 信息 数据 无法共享共用 社会管理的力量无法统一扎口 传统的管理手 段导致基层负担重 行政效能低 基础性 源头性 苗头性社会问题得不到及时反应 和及早防控 落后的管理机制使各级领导无法在第一时间快捷掌握全地区整体动态 遇到紧急事件无法快速反应 对重大事件处置无法进行全过程的跟踪 监督和管理 宜春市政府政法委计划建设一个面向市 区 县 镇 街 村 社区 片组片格 多级综治部门的平台 建立网格化责任体系 规范事务处理流程 创建综治信访维稳 中心统一受理 统一分流 统筹指挥 协同参与 整体联动的工作格局 形成常态排 查 研判准确 智能分流 反应快速 闭合循环 全程监督的机制 大幅提升综合管理 动态化 常态化治理水平 更好地把 强综治 创平安 促发展 的各项措施落到实处 打造更加平安 稳定 和谐 文明的社会环境 1 2 网网络络接入接入现现状状 政法信息平台数据具有涉秘性 政法委计划采用电子政务外 内网解决市 县 乡联网 宜春电子政务内网网络拓扑 1 3 社会信息平台需要解决的社会信息平台需要解决的问题问题 社会信息平台拟采用全市统一平台 节省各县分别建设平台所需大量投资 同 时因平台具有涉秘信息 统一平台便于安全可控管理 采用统一平台需解决需要考 虑服务器性能 系统架构 负载均衡 网络安全等四个方面问题 以及与公安 移动 MAS 等接口问题 网络方面 因涉秘需要 系统拟采用接入电子政务 网方案 但因为现乡乡通未 能接入到乡镇 所以先采用电子政务外网方案 宜春电子政务网只连接到乡镇层面 需建设光纤网络 把村级用户接入政法平台 因涉秘需要 平台不能接入互联网 同 时在 VLAN 划分和访问控制策略上 如果条件具备 可采用 MPLS VPN 在政务外 网中建立虚拟专网 把其他无关的电子政务网用户禁止访问 同时因社会信息平台 信息具有实时性比较强 手机需要登录平台实施上传 接收 签批等 需要把 MAS 等平台接入系统 1 4 需求分析需求分析 1 建全市统一系统平台 规划先行 政法委站在全市高度拟建设全市统一平台 系统平台建设整体性能需要做如下 考虑 系统构件化设计 面向对象 可做到灵活扩展 系统采用三层架构体系 充分考虑到以后纵向和横向的发展 在网络稳定 带宽 512K 的环境下操作性界面单一操作的系统响应时间小于 3 秒 完全支持 3000 个并发用户 正常 500 个用户并发访问 支持年数据量为 100 万记录数 100GB 字节的数据量 系统 5X24 小时连续运行 年故障 3 天 故障修复时间 2 小时 系统安全特性 访问控制到页面级 具有较强的系统安全性和灾难恢复能力 计算机系统的可靠性用平均无故障时间 MTTF 来度量 可用性分类可用水平每年停机时间 容错可用性99 9999 1 min 极高可用性99 9995 min 具有故障自动恢复能力的可用性99 9953 min 高可用性99 98 8 h 商品可用性9943 8h 2 数据的安全与保密性 现代计算机系统 大多采用 TCP IP 作为网络通信协议 众所周知 TCP IP 是以开放性著称的 系统之间易于互联和共享信息的设计思路贯穿于系统的方 方面面 对访问控制 用户验证授权 实时和事后审计等安全内容考虑较少 只 实现了基本安全控制功能 而且实现时还存在许多漏洞 鉴于安全的重要性 为确保在政法信息平台中的个人身份 签名的合法性 电子公文 电子印章的有效性 需要分别从网络服务器安全 软件安全 外置硬 件安全三个方面进行设计 网络服务器安全方面 购置专门的入侵检测系统设备对各种入侵行为进行 检测控制 在硬件防火墙上设置相应的安全策略杜绝非法访问 购买网络防病毒 软件定时对系统进行病毒扫描 对数据资料进行实时备份 本地备份和异地备份 确保数据资料的安全 建立严格的网络管理规范 从制度上进行约束 软件安全方面 在数据的传输过程中采用过程加密的方式 不以明文的形式 进行传输 完善的用户权限设置 采用模块 角色 用户的分级授权 灵活配置操 作人员的操作模块 实现细粒度的权限控制 完善的用户操作日志记录 自动记 录每个用户访问系统 修改操作的过程 便于安全审计 在外置硬件安全方面 采用第三方的安全产品 CA 认证和电子签章 进行对 接 确保个人身份 电子签章的合法性和公文的有效性 保留盖章签名 防篡改 分层保护 打印控制 签章过程跟踪的功能 保留签章非法追究的权利 3 网络覆盖与安全 因平台内容涉密 网络安全至关重要 平台前期接入电子政务外网 后期需要 接入电子政务内网 系统严禁接入互联网 基于以上考虑 平台到村级用户不能使 用 VPDN 网络 需要使用光纤专网 同时在 VLAN 划分和访问控制策略上 把其他无关的电子政务网用户禁止访问 同时因社会信息平台信息具有实时性比较强 手机需要登录平台实施上传 接收 签 批等 需要把 MAS 等平台接入系统 1 5 工程目工程目标标 本次宜春社会信息管理平台网络工程的总体目标就是借助电子政务网络以合理 的成本建设安全可靠的通信网络 为社会信息平台提供优质安全可靠的通信保障实 现本地区 全社会 各领域 各部门 镇村发生的各类不稳定事件 以 人员 要素为基 础 以 事件 管理为主线 以业务流程管理为重点 以维护社会稳定为目标 进行全 地区的信息整合 分析 排查和管理 将 大调解 大信访 社会治安 维稳综治 应 急安全 重点人群 安全生产 社会救助 劳动保障 风险评估 涉法涉诉等涉及社会 管理的各主管部门职能和管理系统 全面整合在统一的管理平台上 进行网络智能 化的处理 运营和监管 2 系系统统建建设设建建议书议书 2 1 设计设计原原则则 本着统一性 可扩展性 可靠性和高安全性的原则对政法网络进行规划 充分实 现网络的技术先进性 高度的安全可靠性 良好的开放性 高度的灵活兼容性 可扩 展性 以及实用经济性 统一性 以先进 成熟的网络通信技术进行组网 在全市范围内建设一个政法专用通讯 子网 一个多协议的数据网络 并在所有的通讯子网接入节点上支持 TCP IP 网络协 议 支持数包括数据 语音 视频等多种类型的业务应用 可扩展性和兼容性 1 具备接入所有业务系统的能力 支持各业务系统所要求的计算机网络协议 而且具有多种常用网络协议的支持 保证在有新的业务应用时 可以提供有力的支 持 2 能将多种业务集成在同一个网络中 以充分利用信道带宽 在保证目前应用 的情况下 使网络具有可扩展性 保护用户的投资 标准化和开放性 3 整个网络为一开放式环境 可与其网络互连并实现信息的交换与共 享 网络协议采用符合 ISO 及其他标准 如 IEEE ITUT ANSI 等制定的协议 采用 遵从国际和国家标准的网络设备 可靠性和高安全性 1 利用宜春移动传输的环网技术 实现网点冗余保护 提供网络的稳定 性 保证政法网无中断运行 2 具有完善的网管系统 实现对网络进行端到端的监控管理 优化网络流量 提高网络运行的安全性 通过日志文件等多种手段 保证网络的高效运行 2 2 网网络络解决方案介解决方案介绍绍 行政村和企业单位直接建设专网接入政法平台 乡镇单位以及已经接入电子政 务单位 采用 MPLS VPN 方式 建立 VPN 隧道 接入政法平台 整体网络拓扑图 2 2 1 乡镇以及已经接入电子政务网的组网方案 因政法平台涉密性质 接入电子政务外网的乡镇用户采用 MPLS VPN 方式 在 电子政务网安全政法平台虚拟专网 其他无关用户不受影响 乡镇用户与平台之间采用 MPLS VPN 技术可以把现有的电子政务网络分解成 逻辑上隔离的网络 这种逻辑上隔离的网络用于解决政法平台用户与中心平台的独 立互连 配置 MPLS VPN 需要在县 市电子政务核心交换路由上培植数据 乡镇需 要配置带 VLAN 交换机 MPLS VPN 与与 VLAN ACL 的的对对比分析比分析 VLAN 是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内 在 功能和操作上与传统 LAN 基本相同 可以提供一定范围内终端系统的互联 广播帧 限制在一个 VLAN 中 VLAN 之间二层隔离 必须通过 IP 层才能互通 所以通过 VLAN ACL 可以提供一定的业务隔离能力 适用范适用范围围 VLAN 本质上是一种局域网技术 适用于局域网范围内的隔离 但是 依靠 VLAN 本身并不能保证 IP 业务的隔离 必须和 ACL 配合使用 由于这种方式 下 所有业务系统处在一个 IP 地址空间 彼此可见 不是真正的隔离 为网络安全留 下隐患 MPLS VPN 是基于 IP 层信息及路由的隔离 不同 VPN 之间的 IP 地址彼此 独立 VPN 中的主机感觉不到其他 VPN 成员的存在 从而实现了真正的隔离 同时 由于 MPLS VPN 是基于三层的路由隔离 并且利用 BGP 扩展协议自动扩散 VPN 成 员信息 所以 MPLS VPN 适用于广域网 城域网及其他规模比较大的网络 可可维护维护性性 VLAN 方式可以比较简单的实现二层的隔离 但是为了实现不同业 务系统的 IP 层隔离 必须针对每个 VLAN 配置大量的 ACL 条目 并且每个 3 层节 点上 随着需要隔离的业务系统数目 N 的增加 配置工作以 N N 1 方式增加 MPLS VPN 依靠路由转发实例自动实现隔离 不需要针对每个网段配置进行 ACL 配置 同 时 不同 VLAN ACL 的手工配置方式 由于 MPLS VPN 的隔离及路由扩散都是通 过动态路由协议实现 不存在配置 N 平方问题 在网络规模大时 极大的减轻了配 置工作量 可可扩扩展性展性 同 ATM FR VPN 一样 VLAN ACL 方式由于存在配置 N 平方问 题 每增加一个新的 VLAN 或是业务系统都要对以前所有业务系统的配置进行修改 存在严重的可扩展性 MPLS VPN 中增加新的节点或 VPN 时 不影响原有的 VPN 配置 可扩展性极好 实际上 MPLS VPN 良好的可扩展性是 MPLS VPN 成为主流 骨干网 VPN 技术的重要原因之一 安全性安全性 VLAN 方式下 由于 VLAN 中所有处在同一广播域中 任何人都可以 利用 ethernet 技术的广播特性 通过简单的软件工具获取其他主机的通信信息 存在 严重的安全问题 而 MPLS VPN 基于三层实现 广播报文被自然隔离 不存在上述 安全问题 同时 VLAN ACL 要求所有主机处在同一地址空间 这本身就为网络攻 击者提供了可能 采用 MPLS VPN 实现隔离 VPN 之外的用户根本感觉不到 VPN 的存在 更无法攻击 VPN 内部的网络 MPLS VPN 在实现了访问安全的同时 还可 以和现有的各种安全技术 如 IPSec 等 无缝配合 实现数据传输安全 网网络稳络稳定性定性 VLAN 组网中 容易引起广播风暴 导致各种网络问题 这也是 VLAN 技术无法应用于广域网或其他大型网络的原因 MPLS VPN 基于 3 层隔离 并且有明确的分级结构 不存在广播风暴问题 适用于各种大型的网络 QOS VLAN 采用 802 1p 表示业务的服务等级 同时通过队列技术支持拥塞管 理 但是受 ASIC 芯片的限制 支持的队列数及种类有限 支持的其他的 QOS 技术 很少 相应的 在复杂的业务应用情况下 QOS 支持能力有限 MPLS QOS 支持成熟 的 DiffServ QOS 模型 可以支持流量监控 拥塞管理 队列管理 拥塞避免 并且可 以和其他 IP MPLS QOS 技术配合 如专门用于语音等实时业务的 RTP 实时队列 CBWFQ LFI 等 可以很好的保证复杂应用的业务 QOS 网管网管实现实现 VLAN 的网管实现简单 支持集群管理 易于实现设备级的管理 MPLS VPN 在设备级管理方面比 VLAN 复杂 但是可以提供基于 VPN 拓扑的管理 利于网络的全局视图及网络规划 所需要增加的设备 乡镇单位需要配置 2 层带 VLAN 的交换机 如果前期没有配置 需要增加 同 时需要在县 市电子政务做数据配置 2 2 2 行政村 企行政村 企业单业单位位组组网网结结构构图图 2 2 3 方案方案说说明明 从业务的信息化安全和通道安全两方面考虑 同时满足业务的带宽需求和业务 多样化的接入需求 宜春移动为宜春政法采用 OTN PTN SDH 模式组网 OTN 网络 能提供足够的带宽 PTN 网络能实现多种端口的接入需求 政法平台行政村网络包括 10 个区县市所有行政村 企业电路 全网采用 OTN PT SDH 组网 整体方案具有良好的扩展性 可控性 易于管理 便于维护 且 实现了环路冗余备份 具体描述如下 序序 号号 硬件名称硬件名称数量数量 单单价价合合计计备备注注 1二二层带层带 VLAN 交交换换机机300 1500450000具体数量具体数量 需要需要统计统计 1 县市 各行政村 企业单位链路通过 PTN 接入县市电子政委内网 PTN 成环保护 避免单点故障 2 行政村 企业单位 行政村 企业单位通过 2M 2M 以上 直接接入县电子政务内网 3 VLAN 划分 IP 地址分配和 ACL 控制策略 建议政法网 IP 地址单独全市分配成一个大段 方便在路由器 交换机 防火 墙配置访问策略 同时将来切换到内网可不需要重新配置 IP 地址 同时 VLAN 划分方面也做统一考虑 在交换机上配置 ACL 控制策略 禁止政法网 段与其他电子政务网络互访 最大限度做好网络安全 4 防火墙安全策略 防火墙上做好严格的访问控制策略 屏蔽一切无关端口 屏蔽一切无关协议 攀比一切无关 IP 地址 2 2 4 方案特点方案特点 1 信息安全有保障 通过 OTN PTN SDH 网实现行政村和各县电子政务内网之间两点封闭式 通信 第三方无法窃取信息 2 业务可靠性高 全程提供电信级业务通道 主备倒换切换时间小于 50ms 用户无感知 5 双重保护体系 业务自愈能力强 一是利用波道保护技术 在 OTN 网上实现业务的通道保护 二是利用 OLP 光 线路保护 技术 在县到县之间建设主备两个光缆路由 通过 OLP 系统实现主备 光缆之间的自动切换 能够有效防止多点同时中断给网络造成的危害 6 带宽有保障 PTN 本身具有 GE 以上带宽 可以充分保障带宽 5 平滑升级 每个网点可根据需要进行平滑升级 7 网络安全保障 系统最大限度的考虑了网络安全 在三层交换 防火墙等层面做好严格的网 络访问策略 8 专用网络物理隔离互联网 所有网点都是专线网络 物理隔离互联网 线路报价 单单条光条光纤纤价格 价格 2M 100 元元 月 接入点直接从行政村接入平台 月 接入点直接从行政村接入平台 2 3 系统平台解决方案介绍 2 3 1 系统拓扑 2 3 2 方案说明 服务器和存储系统是整个系统的主干与核心 主要功能是尽可能快速地交换数据 建议系统托管于移动公司 IDC 机房 在电电力 空调 安全等方面运营商机房条件 比较优异 数据库服务器和应用服务器通过光纤交换机选用高端双引擎双电源可扩展的三 层交换机作核心设备 保证网络核心设备的高性能和高可靠性 提供快速的信息交 换与传输 每台服务器配置千兆网卡 以千兆链路接到核心交换机上 保证数据传输 和处理的高效可靠 选用高性能千兆防火墙实现核心网络与外部网络的高速安全互 联 同时配置 IDS 入侵检查系统保障系统安全 采用千兆光纤连接应用服务器区的防火墙与电子政务网 移动 MAS 公安 党政 网等相连 实现社会信息平台与其他相关具体业务单位间的高速可靠互联 政法部门作为管理部门直接接入核心交换机 实现高速访问和灵活控制 核心服务器配置根据海盟公司软件性能以及相关用户需求进行配置 核心指标 应该达到以下标准 在网络稳定 带宽 512K 的环境下操作性界面单一操作的系统响应时间小于 3 秒 完全支持 3000 个并发用户 正常 500 个用户并发访问 支持年数据量为 100 万记录数 100GB 字节的数据量 系统 5X24 小时连续运行 年故障 3 天 故障修复时间 2 小时 系统安全特性 访问控制到页面级 数据数据库库服服务务器性能 器性能 针对 500 万左右人口的地级市 此种规模地市的业务终端约 5000 左右 并发连 接可达到 20 左右 则并发连接为 1000 左右 按照每笔业务处理响应时间不超过 3 秒 同时每笔业务访问数据库的子交易数为 10 个 同时考虑预留 30 的冗余 则业 务部分要求服务器并发处理能力 TPC C 必须达到 存存储储系系统统 为了保证 SAN 存储系统的稳定性和可靠性 在 SAN 网络上我们采用了全冗余 的架构 并且要求采用最新的 4Gb s 接口 在存储方面 需要采用光纤磁盘阵列 要 求配置双控制器冗余 现配置存储容量 3TB 如果有视频需求 可扩展 30TB 应应用服用服务务器 器 应用服务器作为政法平台平台的应用核心 对处理能力要求非常高 一般情况下 一台最新款的 4CPU 8G 内存的 PC 服务器可以支撑 300 个左右的并发 由此可见 针对 500 万左右人口的地市建议配置 2 44 台 PC 服务器承担应用服务器 同时应用 服务器通过硬件负载均衡器实现负载均衡 设备配置 序序 号号 硬件名称硬件名称数量数量 单单价价合合计计 1 千兆防火墙 网络处理能力 4G 并发连接 300 万 标 准配置 6 个 10 100 1000M 自适应电口 4 个 SFP 插槽 具有公安部销售许可证 多核并行安全操作 系统证书 军 B 级证书 自主创新证书 保密局证 书 三年服务 1 台 8000080000 2 千兆入侵防御系统 网络处理能力 2G 6 个 10 100 1000Base T 端口 4 个千兆 SFP 模块插槽 支持 2 路电接口 2 路光接口共 4 路 IPS 内置 2 路 电口 Bypass 或 9 路 IDS 具有公安部销售许可证 军用证书 自主创新证书 CVE 兼容性证书 保密 局证书 三年服务 1 台 110000110000 日志审计专用千兆多核硬件平台和安全操作系统 性能指标 事件采集可达到 3000 事务数 秒 TPS Transaction per Second 热插拔硬盘总容 量 2TB 支持外接存储设备 外观 标准 2U 机架 100000100000 式 2 个 1 台 10 100 1000M Base T 电口 RJ45 1 个管理口 1 个采集口 可以另外扩展到 6 个千 兆采集口 电口 光口 MDG MDF 模块 1 个 Console 口 支持 Console 口管理 单电源 不对审 计数量进行软件限制 可实现数据库登录 日志 验证 异常情况报警 具有公安部销售许可证 多 核并行安全操作系统证书 军用证书 保密局证书 4IBM 机柜 93074RX 2 个500010000 5负载均衡设备 F5 BIG IP 1500 1 台 110000110000 6 4U 机架式 配置 4 颗 INTEL XEON E7 4820 八核 处理器 主频为 2 0GHz 18MB L3 Cache 处理器 INTEL7500 芯片组 64G ECC DDR3 Registered 内存 板载 32 个内存插槽 最大可扩展 1TB 内存 3 块 600GB 15K SAS 硬盘 最大可支持 10 个 硬 盘 高性能 SAS 6Gbps 磁盘控制器 支持 Raid0 1 10 Raid 5 集成 2 个基于 IOAT2 VT VMDQ 技术的 64 位高性能千兆网卡 5 个 PCI E 2 0 扩展插槽 集成显卡控制器 Slim DVD 光驱 USB 软驱 支持 BMC KVM 远程管理 功能 支持自主产权的管理软件及备份还原软件 可实现本地管理 备份还原功能 全面支持 Windows 和 Linux 系列操作系统和主流存储介质 4 台 80000320000 2 4 樟树 万载试点业务开展方案 根据政法委部署 樟树两乡镇 万载一个乡镇优先启动社会信息管理平台建设 工作 因时间紧 任务重 相关服务器 网络 安全 软件需特事特办优先予以考虑建 设 宜春移动拟采用如下应急方案 优先建设樟树 万载社会信息管理平台 1 调配两台高配置服务器 如有需要 将在两天内完成系统 数据库 IIS 等程 序安装和调试工作 满足两县市试点平台快速开通和使用 2 服务器可放置于移动 IDC 机房 机房在电力 安全 空调 防火防尘方面具 有较好的条件 3 网络方面 三各乡镇以及所辖行政村用直接通过移动专线接入平台 因是专 网 不需要多方配合来完成电子政务 MPLS VPN 配置等电子政务侧相 关工作 同时专用网安全性好 可以快速部署 4 平台软件安装和培训工作 平台软件可由海盟公司和移动工程师共同配合完 成 软件培训工作 移动公司安排专人配合协助 的 可跨网络实现系统备份 还原 克隆的离线备 份容灾软件 提供三年免费原厂整机硬件保修 冗 余电源 7 光纤存储 IBM V7000 自带 8 个光纤接口 硬盘 IBM 原装 3 5 SAS 900G 16 个 1 台 320000320000 8光纤交换机 博科 BR 360 0008 24 口2 台 50000100000 91150000 2 5 平台安全策略平台安全策略 2 5 1 整体安全思路整体安全思路 由于各种安全事件 无论是入侵 蠕虫还是病毒 我们都可以把整个爆发的过 程分为三个阶段 发作前 发作中 发作后 安全保障体系的建立就是要分别针对这 三个阶段采取相应得控制手段 有效地使用正确的处理方法 保障信息系统的安全 性 1 事前安全防护体系 纵深防御 等级化保护 对于安全事件发生之前 安全保障体系的作用主要是做出安全防护 避免各种 安全隐患的发生 主要是根据安全等级的不同 把整个网络划分成不同的安全区域 在不同区域出口处部署访问控制设备 对进出区域的数据包进行 IP TCP 应用层的 检查 鉴别和访问控制 同时 在网络出口处部署病毒过滤网关 在重要服务器或主 机系统上部署防病毒软件 建立全网病毒监控和防护体系 2 事中安全检测与响应体系 实时监测 积极响应 防护设备的能力并不是绝对的 一旦防护体系被突破 安全保障体系的作用主 要是对安全事件及时的监测出来 并根据预先设置的响应方式积极的做出反应 及 时中断安全事件的发生 确保系统不会受到损害 具体的说 就是在网络内部部署入 侵检测和漏洞扫描系统 实时对网络监控 定期对网络进行扫描 采用和防火墙联动 的方式或其他积极响应方式 中断入侵连接 保护信息系统 3 事后安全审计体系 事后检查 主动追踪 任何安全防护设备都不可能做到 100 的有效防护 一旦安全防护设备被突破 如何能够通过入侵者留下的蛛丝马迹发现攻击的过程 分析造成的损失 并追究攻 击者的责任 也是安全防护体系中需要重点考虑的环节 此时 安全保障体系得作用 主要是对安全信息进行审计 及时发现曾经发生的安全威胁 对安全事件的过程进 行追踪 并评估对信息系统造成的损失 通过事件追踪 可以及时的发现保障体系中 存在的防护和检测漏洞 及时的进行修补 使整个防护体系处于动态的安全平衡之 中 2 5 2 政法平台安全需求分析政法平台安全需求分析 我们可以对系统所面临的风险从物理安全 链路安全 网络安全 系统安全 应 用安全及管理安全进行分类描述 1 物理安全风险 地震 水灾 火灾等环境事故造成整个系统毁灭 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失 设备被盗 被毁造成数据丢失或信息泄漏 2 链路传输风险分析 网络安全不仅是入侵者到内部网上进行攻击 窃取或其它破坏 而且有可能在 传输线路上安装窃听装置 窃取网上传输的重要数据 再通过一些技术读出数据信 息 造成泄密或者做一些篡改来破坏数据的完整性 以上种种不安全因素都对网络 构成严重的安全危胁 因此 对于政法这样带有重要信息传输的网络 数据在链路上 传输必须加密 并通过数字签名及认证技术来保数据在网上传输的真实性 机密性 可靠性及完整性 软件要求 3 网络安全风险 DOS DDOS 攻击 DNS 欺骗攻击 会造成服务器服务的中断 影响业务的正常 运行 内部用户通过 Sniffer 等嗅探程序在网络内部抓包 获得系统用户名和口令等关 键信息或其他机密数据 进而假冒内部合法身份进行非法登录 窃取内部网重要信 息 内部用户通过扫描软件或取其他用户系统或服务器的各种信息 并利用这些信 息对整个网络或其他系统进行破坏 病毒 尤其是蠕虫病毒爆发 将使整个网络处于瘫痪状态 4 系统安全风险 目前的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系 统以及其它厂商开发的应用系统 其开发厂商必然有其后门 而且系统本身必定存 在安全漏洞 这些 后门 或安全漏洞都将存在重大安全隐患 但是从实际应用上 系 统的安全程度跟对其进行安全配置及系统的应用面有很大关系 操作系统如果没有 采用相应的安全配置 则其是漏洞百出 掌握一般攻击技术的人都可能入侵得手 如 果进行安全配置 比如 填补安全漏洞 关闭一些不常用的服务 禁止开放一些不常 用而又比较敏感的端口等 那么入侵者要成功进行内部网是不容易 这需要相当高 的技术水平及相当长时间 5 管理安全风险 对于管理风险包括 内部管理人员或员工把内部网络结构 管理员用户名及口令以及系统的一些重 要信息传播给外人带来信息泄漏风险 机房重地却被任何人都可以进进出出 来去自由 存有恶意的入侵者便有机会得 到入侵的条件 内部不满的员工有的可能熟悉服务器 小程序 脚本和系统的弱点 利用网络开 些小玩笑 甚至破坏 如传出至关重要的信息 错误地进入数据库 删除数据等等 这些都将给网络造成极大的安全风险 非法人员进入重要部门或机房 非法获得资料或对设备进行破坏 员工有意 无意把硬盘中重要信息目录共享 长期暴露在网络邻居上 可能被外 部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密 因为缺少必要的访问 控制策略 大量的人为因素的安全隐患 为破坏着进入系统造成了便利 例如 部分系统管理员密码强度不够 或没有设置密码 密码和帐号名相同或者采用帐号名翻转作为密码 采用电话号码作为密码 采用单一字符集作为密码 例如 qqqqqq 密码的复杂程度不够 管理是网络中安全得到保证的重要组成部分 是防止来自内部网络入侵必须的部分 责权不明 管理混乱 安全管理制度不健全及缺乏可操作性等都可能引起管理安全 的风险 即除了从技术上下功夫外 还得依靠安全管理来实现 2 5 3 项目参考的安全标准和技术规范 关于加强信息安全保障工作的意见 中办 2003 27 号文件 国家信息化领导小组关于我国电子政务建设指导意见 中办发 2002 17 号 中国公用计算机互联网国际联网管理办法 国家保密局 2002 年 5 月 ISO IEC 15408 CC 信息技术安全评估准则 该标准历经数年完成 提出 了新的安全模型 是很多信息安全理论的基础 ISO IEC 17799 BS7799 1 信息安全管理惯例 这是目前世界上最权威的 信息安全管理操作指南 对信息安全工作具有重要指导意义 ISO IEC 13335 第一部分 IT 安全的概念和模型 第二部分 IT 安全的管 理和计划制定 第三部分 IT 安全管理技术 第四部分 安全措施的选择 第五部分 网络安全管理指南 GB17859 计算机信息系统安全保护等级划分准则 这是我国政府颁布的 信息安全产品等级划分准则 GA216 1999 计算机信息系统安全产品部件 GB9387 ISO7498 信息处理系统开放系统互连 GB 9361 计算站场地安全要求 公安部第 51 号令 计算机病毒防治管理办法 中华人民共和国计算机信息系统安全保护条例 国务院令 147 号 中华人民共和国信息网络国际互联网管理暂行规定 国务院令 195 号 计算机信息系统安全专用产品检测和销售许可证管理办法 公安部令 32 号 中华人民共和国保守国家秘密法 中华人民共和国保守国家秘密法实施办法 保密局 计算机信息系统保密管理暂行规定 国家保密局 国保发 1998 1 号 计算机信息系统国际联网管理规定 国家保密局 计算机信息网络国际联网安全保护管理办法 公安部 商用密码管理条例 国务院令 273 号 中共中央关于加强新形势下保密工作的决定 等文件 中华人民共和国国家标准 GB17859 1999 计算机信息系统安全保护等级划分准则 编制说明 2 5 4 政法平台安全方案政法平台安全方案设计设计 根据前面分析 方案将从一下几个方面进行安全设计 2 5 4 1 计计算算环环境安全境安全 1 操作系统安全 对于操作系统的安全防范采取如下策略 尽量采用安全性较高的网络操作系统 并进行必要的安全配置 关闭一些起不常用却存在安全隐患的应用 对一些保存有 用户信息及其口令的关键文件 如 UNIX 下 rhost etc host passwd shadow group 等 Windows NT 下的 LMHOST SAM 等 使用权限进行严格限制 加强口令字的使 用 增加口令复杂程度 不要使用与用户身份有关的 容易猜测的信息作为口令 并 及时给系统打补丁 系统内部的相互调用不对外公开 通过配备操作系统安全扫描系统对操作系统进行安全性扫描 发现其中存在的安全 漏洞 并有针对性地进行对网络设备重新配置或升级 2 应用系统安全 在应用系统安全上 应用服务器尽量不要开放一些没有经常用的协议及协议端 口号 如文件服务 电子邮件服务器等应用系统 可以关闭服务器上如 HTTP FTP TELNET RLOGIN 等服务 还有就是加强登录身份认证 确保用户使 用的合法性 并严格限制登录者的操作权限 将其完成的操作限制在最小的范围内 充分利用操作系统和应用系统本身的日志功能 对用户所访问的信息做记录 为事 后审查提供依据 2 5 4 2 边边界安全界安全 1 政法平台防火墙的部署 根据政法系统的特点与要求 我们在该网中建立防火墙系统 防火墙部署在平台 入口处 T 通过严格的防护策略 保护系统安全 防火墙对内网用户必须经授权便能够访问平台获取所需要的信息和服务 防火墙可以防范各种网络攻击 能够查找到攻击的来源和类型 能够对这些攻 击进行反应 对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少 的影响 抗 DOS DDOS 攻击 拒绝服务攻击 DOS 分布式拒绝服务攻击 DDOS 就是 攻击者过多的占用共享资源 导致服务器超载或系统资源耗尽 而使其他用户无法 享有服务或没有资源可用 防火墙通过控制 检测与报警机制 防止 DOS 黑客攻击 所以通过防火墙上进行规则设置 规定防火墙在单位时间内接到同一个地址的 TCP 全连接 半连接的数量 如果超出这个数量便认为是 DOS DDOS 攻击 防火墙