如上图所示部门间信息共享服务平台是在公安信息通信网边界接入...

1、技术部分部门间信息共享服务平台（下称共享服务平台）是全国公安“金盾工程”二期三大平台建设项目之一，是公安机关对外开展信息共享与信息交换服务工作的重要安全基础设施，是为尽快引进社会信息资源为公安机关所用，推进公安信息资源共享服务，增强公安机关服务社会的能力，是服务经济建设和社会发展的重要体现。一、建设目标和原则（一）建设目标依托公安信息通信网安全边界接入平台，高起点、高标准、高质量地构建我市共享服务平台；建立公安与党政军机关、政法部门、企事业单位之间信息共享长效机制，形成合作、共享、双赢的局面；利用社会信息资源为公安机关维护稳定、打击犯罪、治安防范等工作提供服务；利用公安信息为党政军机关、政法部

2、门、企事业单位提供服务，实现公安信息与社会信息资源的共享和综合利用。（二）建设原则根据公安部关于稳步开展公安信息资源共享服务工作的通知和公安信息通信网边界接入平台建设任务书的要求，按照“统一领导、统一规划、统一标准、统一管理、统一建设”的原则，开展我省共享服务平台建设。1、统一接入渠道、统一接入策略、统一接入平台原则根据公安部规定，党政军机关、政法部门、企事业单位等网络必须通过公安信息通信网边界接入平台与公安网络进行连接，统一信息的出入口，确保公安信息通信网的边界安全。2、统一共享管理、合作双赢原则在积极引进社会信息资源的同时，根据社会管理、公共服务、经济运行、决策支持等重点政务工作的需要，统

3、筹兼顾，分步实施，稳步开展公安信息资源共享服务工作。对外提供公安信息共享服务，需将信息共享内容、范围、方式等书面报省厅，经省厅研究，提交公安部审批后实施。要进一步明确信息提供方和使用方的责任、权利和义务，加强维护管理，保障信息共享安全有序。3、先进、安全、标准、实用、拓展相结合原则平台坚持高起点、高标准、高效能建设，系统设计在满足目前资源共享的前提下，充分考虑未来业务发展的需要，保证系统的安全性、通用性、拓展性和易于维护性。4、安全保密原则为保证信息的安全保密，根据公安部有关规定，公安机关对外提供信息服务不得提供批量数据，需采用查询服务接口和单项、多项查询的方式提供信息的核查比对服务。二、建设

4、任务和内容我市公安共享服务平台建设的主要任务和内容是：（一）基础设施建设在公安网之外建立一个独立的局域网和计算机系统，利用专线与党政军机关、政法部门、企事业单位实现联网，并通过安全边界接入平台与公安信息通信网进行连接。同时，在公安内网建设相应的共享服务平台运行环境，实现双向数据传输交换，满足应用需求。（二）共享服务平台软件建设由省厅组织招标、开发全省统一的共享平台软件，确立和制定相应的数据标准，为全省各级公安机关和省级相关的党政军机关、政法部门、企事业单位等提供信息共享服务。我市公安局与省厅招标确定的公司分别签署合同，并在本局信息中心部署共享服务平台软件，为市属公安机关和市级相关的党政军机关、

5、政法部门、企事业单位等提供信息共享服务。（三）社会信息引入和数据接口建设省厅负责协调省级党政军机关、政法部门、企事业单位统一管理的信息资源引入工作，并针对各部门提供的接口方式，配置相应的接口转换程序。我市公安局负责协调本地党政军机关、政法部门、企事业单位管理的信息资源引入工作，并遵照相关的标准规范，针对相关部门提供的接口方式，配置相应的接口转换程序。民航、银行等建有省级数据库的单位，原则上由省厅负责统一协调，引进相关的数据，并提供各地使用。（四）公安网社会信息库和公安对外查询数据库建设在公安内网资源库中分别建设市社会信息库，并结合警综平台和情报信息综合应用平台等为全市各级公安机关提供信息支持，

6、同时在公安外网分别建立公安对外查询数据库，提供公安简项数据查询的信息服务支持。 （五）管理机制建设结合本地实际情况，逐步建立完善共享数据的维护更新机制、运行管理机制、安全保障机制，以及与党政军机关、政法部门、企事业单位之间的长效合作机制。三、总体框架和技术要求（一）总体架构总体架构如下图所示：6部门间信息共享服务平台框架图边界接入平台边界保护区平台管理子系统边界接入平台安全隔离区 终端用户共享应用服务子系统终端用户公安网门户资源管理日志审计运行监控外网门户复用接口应用服务子系统接口管理服务接口接入接入认证核查接口身份认证权限控制信息查询接入认证接口管理复用接口应用系统前置共享信息通报信息核查其

7、他单位服务接口接入核查接口社会部门共享库服务接入应用系统数据填报数据同步数据交换外网共享服务引擎内网共享服务引擎业务数据库共享文件夹文件交换社会信息库共享文件公安信息资源库数据同步子系统公安简项数据库党政军机关、企事业等单位网络信息共享服务区公安网应用区外部获取数据（缓存）数据同步子系统共享查询记录如上图所示，部门间信息共享服务平台是在公安信息通信网边界接入平台的基础上建立的,主要包括公安应用区和信息共享服务区。公安内网应用区主要功能是整合引进的社会信息，建立社会信息库,为警综平台、情报信息综合应用平台和有关业务应用系统提供数据支持，并为全省公安机关提供信息服务。社会信息库的数据主要包括党政军

8、机关、政法部门、企事业单位等相关信息。社会信息数据的引入流程是：党政军机关、政法部门、企事业单位的网络通过专线联网方式与公安信息通信网边界接入平台连接，采用数据库抽取、数据文件交换等方式，将相关社会信息采集到边界接入平台内暂存，然后通过边界接入平台的数据交换功能将社会信息传输交换到公安网内，经数据清洗、标准化转化、整合后纳入社会信息库。公安外网信息共享服务区部署在公安信息通信网边界接入平台的中间区域，主要功能是建立公安对外查询数据库，为党政军机关、政法部门、企事业单位提供公安信息服务。公安对外查询数据库的数据主要是经公安部审定的部分公安业务应用系统的简项数据。对外信息资源共享服务的流程是：通过

9、边界接入平台的数据传输交换功能，将公安内网资源库的相关数据同步到对外查询数据库，然后以服务接口、门户网站等方式，直接或者通过前置共享器经边界接入平台与外单位的专线网络连接，对外提供信息的单项、多项查询服务。外部单位也可以部署专用前置共享器以提高安全性。（二）主要组成部分和功能1、公安内网门户和数据库（1）公安内网社会信息共享服务门户网站。该门户与省市警综平台和情报信息综合应用平台门户衔接，按照需求，为公安信息通信网内用户提供统一的应用访问入口，实现查询、统计、管理等功能。（2）公安内网社会信息库。在公安网内，省厅建立全省统一的社会信息库，为全省警综平台、情报信息综合应用平台和相关业务系统提供信

10、息服务；各市局按照全省统一的数据标准，建设各市的社会信息库，为各市局本地化应用提供信息服务，同时将信息上传到省厅，为全省社会信息库提供数据。为保证社会信息的安全，从社会部门获取的信息只暂存在公安外网功能区内，及时同步传输交换到公安内网后将其暂存数据进行删除。2、公安外网门户和数据库（1）公安外网信息共享服务门户。该门户主要为党政军机关、政法部门、企事业单位等提供统一的终端用户访问入口，包括信息查询、数据交换、相关动态、交流沟通和公告信息，以及特行场所、物品等信息采集的栏目和功能。（2）公安对外查询数据库。依据公安部的有关规定，省厅和各市公安局在公安网外建立公安简项共享数据库，为党政军机关、政法

11、部门、企事业单位等提供信息查询服务。3、公安内外网数据同步子系统根据公安部有关规定和公安机关、党政军机关、政法部门、社会企事业单位需求，将公安外网的社会数据同步传输交换到公安内网的社会信息库，并将公安内网资源库的数据同步传输交换到公安外网对外查询数据库。4、共享服务引擎基于服务总线技术，连接共享服务平台的数据交换、数据整合、服务接口、应用门户和管理中心等主要组件，实现内外网数据交换、整合，提供动态、实时的信息共享服务。5、应用服务子系统主要基于应用服务接口调用方式向党政军机关、政法部门、企事业单位的应用系统提供查询访问接口，并提供连线查询，向内网用户提供服务接口,实现对于无法进入公安内网存储的

12、外部数据资源的直接访问。6、平台管理子系统主要负责整个平台的后台管理，包括查询模型管理、资源服务管理、服务调度控制、数据库运行监控管理、用户管理、系统审计、安全监控等运行管理功能。7、数据服务接口公安与党政军机关、政法部门、企事业单位之间的数据服务接口主要包括三种：一是直接访问数据库的数据接口。二是以数据文件方式提供文件服务接口。系统以http/https、ftp方式，实现共享数据的下载和上传。三是以webservice标准提供的数据查询服务接口。公安信息对外服务主要采取第三种接口方式，即对方提供单项、多项的查询项，并与公安对外查询数据库数据完全匹配后，方可反馈简项数据，特殊情况下的批量比对要

13、在共享平台内完成。公安机关所掌握的信息原则不得提供信息数据复制。（三）平台软件遵循的标准规范要求平台软件必须符合国家和公安部制定的相关标准与规范,主要包括：金盾工程总体方案设计地市级公安综合信息系统总体方案设计公安信息系统应用支撑平台总体方案设计共享数据项集项目标准web页面设计规范公安信息化标准汇编信息类别代码 公安综合信息系统数据规范采用pki pmi技术的公安应用系统安全建设技术指导书公安部请求服务系统技术规范公安应用服务描述规范公安部请求服务系统技术规范应用接口规范（四）安全要求1、终端安全加固接入平台的终端需安装正版的操作系统，并及时进行补丁升级和漏洞扫描；安装正版的杀毒软件并及时升

14、级病毒库；采取高强度的密码安全措施等。2、终端注册和认证接入平台的终端设备信息以及终端使用人、单位信息需在边界接入平台上进行注册，保证终端设备专机专用。注册的信息包含终端设备的硬件特征信息及软件信息，以确定终端设备的唯一性。并且，依据注册信息，边界接入平台对终端设备进行认证。3、链路安全党政军机关、企事业单位需通过专线方式与公安信息通信网边界接入平台连接，需要建设完善党政军机关链路。新增网络链路安全设备，要求与原有的链路设备相匹配，并负责安全链路的集成与施工。4、网络安全充分利用边界接入平台中的防火墙、入侵检测、网闸等设备功能，强化网络安全监护。5、用户身份认证根据注册信息为接入平台的用户制发

15、数字证书，并建立严格的证书管理制度。经终端设备认证、身份证书认证后与可信边界安全网关建立链路通道，实现对部门间共享平台数据共享区域的访问。6、访问控制采用严格的角色、权限机制，限定登录用户的操作范围。通过身份认证的接入终端只能访问接入平台内的指定设备、指定应用、并且只能进行允许的操作。未通过身份认证的接入终端无法进入接入平台访问。7、数据加密传输为保证数据传输过程的安全性，应采用双层加密方式实现，即在传输之前先对要传输的数据进行加密，传输过程中的数据再由底层协议加密，保证数据的安全性。8、安全审计要建立完善的日志系统，对连接到本平台的终端ip地址、机器码、序列号、连接时间、持续时间、操作行为、

16、访问资源等信息做详细的记录，如发现异常需进行报警处理。（五）硬件设计要求平台运行环境应遵循j2ee架构，对外主要提供页面（html）和接口（web service）服务。系统架构主要包括数据库服务器、应用服务器、web服务器、交换服务器、存储阵列等。各地应结合现有硬件资源配备公安内网的设备，同时结合对外信息服务的用户需求购置相应的硬件。与党政机关和企事业单位的联接是两条不同的链路，服务器设备不能共用。（六）硬件招标参数序号名称配置单位数量1应用服务器标准机架式服务器；台3处理器：数量4颗,主频2.4ghz，每颗8核心；内存：64gb ddr3内存；硬盘：3块300g sas热插拔硬盘；raid

17、卡：支持raid0、1、5等；i/o插槽：至少4个pci-e2.0插槽；网络：3个千兆网卡；电源及外设：热插拔冗余电源，冗余散热风扇；dvd-rw光驱；含机架式套件及配套线缆；服务：提供原厂三年免费质保服务函；7*24小时上门服务；并承诺故障硬盘不返还证明，要求保修期内原厂工程师上门维修。出厂预装正版suse linux enterprise server操作系统软件,带正版光盘介质。2应用服务器标准机架式服务器；台11处理器：数量2颗,主频2.4ghz，每颗8核心；内存：32gb ddr3内存；硬盘：3块300g sas热插拔硬盘；raid卡：支持raid0、1、5等；i/o插槽：至少4个p

18、ci-e2.0插槽；网络：3个千兆网卡；电源及外设：热插拔冗余电源，冗余散热风扇；dvd-rw光驱；含机架式套件及配套线缆；服务：提供原厂三年免费质保服务函；7*24小时上门服务；并承诺故障硬盘不返还证明，要求保修期内原厂工程师上门维修。出厂预装正版suse linux enterprise server操作系统软件,带正版光盘介质。3数据库服务器标准机架式服务器；台3处理器：数量2颗,主频2.6ghz，每颗6核心；内存：16gb ddr3内存；硬盘：6块600g sas热插拔硬盘；raid卡：支持raid0、1、5等；i/o插槽：至少4个pci-e2.0插槽；网络：2个千兆网卡；电源及外设：

19、热插拔冗余电源，冗余散热风扇；dvd-rw光驱；含机架式套件及配套线缆；服务：提供原厂三年免费质保服务函；7*24小时上门服务；并承诺故障硬盘不返还证明，要求保修期内原厂工程师上门维修。出厂预装正版suse linux enterprise server操作系统软件,带正版光盘介质。4内存条在现有浪潮nf8560服务器上增加原厂4gb ecc registered ddr3条405硬盘在现有曙光s6210ie磁盘阵列，扩充原厂1tb热插拔sata硬盘，按要求移植现有数据及在线应用系统移植。块86防火墙设备基本要求：多核处理器架构，网络处理能力6g，并发连接300万，标准2u机箱，单电源，标配1

20、0个ge口，2个电口的模块。1个管理口、1个ha接口、1个console口，2个扩展槽（可另配接口模块）；机箱电源要求：标准2u机箱，配置冗余电源；mtbf，不少于80000小时。每秒最大新建连接数，新建连接速率40,000/秒，vpn隧道数，支持可扩展vpn隧道数5000条；网络接入方式：要求投标产品支持路由、透明以及混合接入模式，满足复杂应用环境的接入需求；访问控制能力：支持基于源ip地址、目的ip地址、源区域、目的区域、vlan、mac、时间、用户、网址、vpn隧道等多种方式进行访问控制；支持连接限制功能，可以根据源地址、目的地址、生效时间来限制新建连接、并发连接，；支持url重定向功能

21、，可以将目的地址和端口重定向到制定地址和端口，；支持sip/h.323/h.323网/ftp/sql.net/mms/rtsp/tftp等动态协议，可按接口、ip进行ip/mac对探测，支持单、双向静态地址绑定，防止arp攻击，支持p2p应用控制、im应用控制。用户认证：支持基于客户端的用户认证和基于web的无客户端方式的用户认证，支持第三方用户认证；网络地址转换能力：可以支持源、目的地址/端口转换、双向地址转换；支持一对一，一对多，多对一地址转换方式。网络适应能力：支持多纯透明子桥；支持接口联动，当防火墙的一个接口故障后，会同时断掉其关联的另一个接口，增加网络的稳定性。支持802.1d生成树

22、，能进行802.1d的生成树协商；支持与交换机的trunk接口对接，要求投标产品支持dhcp server、dhcp client和dhcp中继功能；带宽管理，支持带宽限制功能，可以按用户优先级、保证带宽、最大带宽等条件进行限制；支持对p2p应用软件的流量控制。路由功能：要求投标产品支持静态路由、rip、ospf、策略路由等路由特性；策略路由支持路由负载均衡功能。支持组播功能。链路备份功能：支持多路由负载均衡，最大可支持16条链路负载；支持基于应用（arp/ping/tcp/http)的链路探测；高可用性要求：支持双机热备功能，包括主备模式(a/s)，主主模式(a/a)；支持vrrp协议，支持

23、桥模式ha功能。抗攻击能力：可根据接口选择开启并阻断以下攻击行为：syn flood、icmp flood、udp flood、 tcp scan、 udp scan、 ping sweep、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等攻击病毒防御能力：具备独立蠕虫过滤功能，对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper，novarg

24、, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截预警机制：当产生安全事件的时候支持以邮件、声音、日志记录等方式告警；可自动检测网段内ip地址冲突，并报警；支持开放服务探测功能；要求支持与第三方ids设备进行联动；系统管理能力：支持超级管理员/策略管理员/配置管理员/审计管理员三权分立管理；支持多种管理方式，包括远程拨号、web方式、本地console、远程ssh、telnet等；可通过同品牌管理件实现远程集中监控和管理，提供远程升级和配置修改、策略集中下发；支持snmp 的v1 、v2 、v3 版本；管理员身份认证支持key方式认证和证书认证；日志审

25、计能力：日志可分级、分类收集查看；系统要能够提供多种日志存储方式，可以缓存在设备本地，也可以使用远程syslog的方式收集；可通过自有品牌管理软件对日志进行收集、分析，并能提供详尽日志统计报表。系统监控功能，支持防火墙系统的实时监控，可以显示cpu及内存的运行状态，支持实时连接状态监控，支持ip冲突监控，支持web界面导出调试信息功能vpn功能要求：防火墙支持ipsec vpn功能，并可以提供vpn客户端软件，可建立网关-网关、网关-客户端、客户端-客户端的加密隧道；ipsec vpn部署方式支持基于策略的vpn和路由的vpn；支持ssl vpn功能；支持pptp、 l2tp方式的vpn；与其

26、它品牌ipsec vpn设备可以进行互联、互通。加密算法要求：要求提供高强度的加密算法，加密算法符合国家国密办要求；可支持使用国密办认证的硬件加密卡提供的专用加密算法。 vpn认证方式：支持基于证书的认证；支持ldap证书管理台17防火墙设备配置要求:*1u高度设备，防火墙必须采用多核处理器硬件架构,*8个千兆电口,扩展槽数量2个,产品性能:*最大并发连接数200万,*每秒新建连接数20k,*吞吐量（1518字节）6gbps,*吞吐量（64字节）500mbps,*ipsec vpn性能400mbps基本功能:*包过滤、应用状态检测防火墙,*支持ipsec vpn、ssl vpn，内置硬件加密芯

27、片，无需单独付费购买license,支持多条链路的路由负载均衡,支持ftp、http、smtp、rtsp、h323协议簇的状态报文过滤，支持基于源ip、目的ip、mac、用户、域名、服务、应用、时间段安全策略设置。,支持专业的协议库，可对各种p2p协议进行基于用户的细粒度管理和控制，如迅雷、bt、emule、pplive、qqlive等,支持专业的协议库，对各种网络应用的审计，可按时间、用户行为、源ip、目的ip进行审计,支持专业的url库，基于内容分类的url访问控制，内置url过滤特征库100万条以上，支持web访问的黑、白名单设置,支持对ipmac地址自动探测和唯一性检查,支持syslo

28、g、nat转换、攻击防范、黑名单、地址绑定等日志,支持流量监控日志,支持二进制格式日志、支持用户行为流日志防火墙必须支持一对一、地址池等nat方式,必须支持必须支持多种应用协议，如ftp、h323、ras、rtsp、sip、icmp、dns、pptp、nbt的nat alg功能,支持策略nat alg功能,支持策略nat功能支持应用层过滤，必须支持java blocking、activex 过滤，支持ftp协议深度检测，支持ftp命令字过滤，支持url过滤,*支持静态路由、rip v1/2、ospf、bgp、策略路由等部署模式:支持二层模式（透明模式）、三层模式（路由和nat模式）和混合模式配

29、套管理:*友好的web图形界面配置，支持ssh、telnet、console命令行模式配置必须支持网管软件统一网管，支持snmpv1、snmpv2c、snmpv3台18网络数据交换系统核心功能：套1文件交换功能：支持主动访问、身份鉴别等多种安全模式；支持多种文件传输协议，包括可定制的非标准通讯协议；支持内容过滤、断点续传及优先级策略设置。数据库交换功能：支持多种常用主流数据库之间的交换；支持从文件到数据库的双向交换模式。审计和管理功能：基于b/s架构，支持细粒度日志审计；支持图形化操作，使用方便。性能：硬件最大传输速率：600 mb并发处理流程：512数据库到数据库交换最大并发表：128数据映

30、射最大字段数：256数据库同步交换记录数（100kb/记录）：1000条/分最大数据文件：10g文件交换速度（ftp）：400mb/s任务调度粒度：秒级目录监控/ftp目录监控触发时间：1秒与原有数据网络数据交换系统相兼容。9网闸1、2u标准机架式；2、内外网至少配置10/100/1000mbps以太网络接口6个，可扩展至最多14个网络接口，其中8个为sfp光纤网络接口，3、系统延时5纳秒，内部交换带宽4g，网络吞吐量800mbps，系统并发连接数30000。4、提供液晶面板，实时显示设备运行各项状态指标；5、采用2+1架构和专用硬件隔离技术，属完全自主开发且不可从外部编程控制；保证信任网络和非信任网络之间链路层的断开，彻底阻断tcp/ip协议以及其他网络协议；系统内部将关键隔离硬件设备进行隐藏，对外不