XX数字化城管租用云服务项目实施方案

XX数字化城管租用云服务项目实施方案项目实施方案目录总体建设原则 总体建设价格 错误!未定义书签。三、总体建设思路 四、项目建设目标 五、项目技术方案 六、技术方案优势 16七、项目产品介绍 21总体建设原则为实现上述目标，在系统的建设中应遵循下列原则：先进性充分考虑当前计算机软硬件技术的新成果，建立一个符合国际标准、开放、高性能、易管理的计算机数字化系统。规范性严格遵循国家的有关技术规范与业务规范的要求，应对平台进行整体规划。科学性符合六合城管局当前业务要求与今后一段时期的进展需要，逐步建立一个具有现代化管理、通讯手段的云计算网络，提高系统科学性。可行性在一定资金资源下，建立一个高水平的、完善可行的信息化系统。安全性通信行业对网络的整体安全性有较高的要求，系统安全建设应同步建设，除了能够在多个层次上实现安全目标，还需要建立完善的安全管理体系。可管理性建立完善的运行管理体系，提供强大的网络管理工具与手段，确保系统性能充分发挥，系统运行可靠、稳固。可扩展性整个系统平台系统使用开放的结构，符合国际标准，习惯技术的进展与变化,充分考虑到XXXX数字化城市管理系统当前业务的需求与今后较长时间内的业务进展需要，网络使用高速主干技术，智能化网络管理技术，习惯业务系统扩充与技术进展的要求。总体建设架构I …二服务器1 FCSAN父换机 B1 <1一宽带链路专线链路以太网链路| 磁盘阵列1-FC链路1.统一规划、总体设计注重XXXX信息化建设的分阶段性，统一标准、统一规划，结合XXXX作为南京市快速进展中区域的整体优势与管理特色，结合XXXX己经建立的地理信息资源、网络资源等已有的基础信息优势，综合考虑系统建设的总体要求，全面梳理XXXX城市管理业务流程，建立各职能部门的典型业务模型。在此基础上，从管理、决策、统计、信息交换等四个方面入手，合理规划各部门的计算机应用系统,并根据用户的实际需要，对目标系统进行全面地、系统地总体设计，确保系统满足用户各个阶段的建设需要，同时避免信息孤岛带来的高成本、低效率、难保护。分步实施、统一集成在统一规划的基础之上，根据XXXX信息化建设的进展，根据总体建设规划,分期分批分区域进行系统建设，力求积极稳妥、勤俭节约。在统一规划与设计的指导下，先建设系统的基础支撑层次的平台系统，做好系统集成的标准体系建设,为不一致阶段应用子系统的集成工作提供统一的技术框架。有用为主、整合资源XXXX各类信息系统的建设应客观地满足当前与未来一段时间的进展需要，紧密结合自己的工作内容，有的放矢地开展急需系统的建设，将有限的资金投入到务必的项目建设上，特别是建设XXXX的数字城市管理系统，因为面积广、数据大、人员多、部门多，所以有用与够用是建设该项目应该重点考虑的问题。在XXXX数字化城市管理系统建设过程中，以功能有用为主，充分利用已有的网络基础、业务资源、信息资源、环境资源，使用选用成熟的软件产品与应用系统相结合的建设方针。技术先进、行业领先在系统规划过程中，要充分考虑先进的技术，先进的方法，要使用符合国际进展潮流的技术，要有前瞻性。另一方面，在系统建设过程中，还要充分把握技术的稳固性与成熟性，使得XXXX城市管理信息化项目，既能够达到国内的领先水平，又能满足城市管理长效管理的应用要求。总体建设思路XXXX城市管理局信息化平台本期建设规划于“三个中心”理念，即办公中心、指挥中心、数据中心。办公中心指的是XXXX城管局工作人员的办公地点，办公中心是信息化系统的基础，因为其是数据中心的拥有者，是指挥中心的领导者，所以办公中心要统筹管理数据中心与指挥中心；指挥中心实际是指挥、监控中心，其要紧作用是：远程运维、监控数据中心；通过大屏调取显示交通部门视频监控；创建呼叫中心平台。数据中心即建设的核心，规划将信息化平台部署并托管在电信五星级机房，数据中心的作用是提供对外服务的业务系统与配套的核心数据库系统、安全系统等，还需要做三个中心访问即流量的疏导。数据中心网络部分建设：数据中心规划设计一台防火墙作为系统接入设备，用于汇聚连接办公中心、指挥中心、手机客户端、公安交通系统与Internet外网等。接入防火墙下联核心交换机，核心交换机为所有网络数据交换处理的中心,负载“三中心”业务系统大多数数据；核心交换机下为接入交换机，作为城市管理局系统服务器的接入网络服务；在核心交换机上旁挂入侵检测设备，用于对城市管理局系统平台网络进行安全检测，针对潜在的或者已经出现的故障隐患进行告警、分析并提出解决方法；在核心交换机上旁路SSLVPN设备，用于对接入试用XXXX城市管理局的使用者进行身份安全加密认证，保证系统平台安全性；在核心交换机上旁路数据库审计设备，用于对XXXX城管局核心数据库系统进行审计分析，保障核心数据库安全性、稳固性。数据中心底层业务及数据库系统的部分建设：配置应用服务器，用于部署城管局本期规划信息化系统，用于对外提供服务；配置城管通服务器，用于承载配套城管通统业务服务；配置GIS服务器，用于承载地理信息系统数据，其数据库建议部署在服务器本地硬盘；配置数据交换服务器，用于对城管局数据进行交互服务；配置数据库服务器，用于承载本期规划城管局信息化平台业务的数据库信息；配置稳固、高效FCSAN系统，即冗余光纤交换机与光纤存储设备，用于存储数据库系统数据；配置在线保护设备，备份、同步城管局信息化平台数据库数据与服务器操作系统数据，保证数据库、业务的安全性。系统链路部分建设：配置独立双光纤100M宽带互联网链路，用于数字化城管平台外网访问；配置主备双专线，主专线100M,备用专线10M用于六合数字化城管数据中心到指挥中心的专线访问；配置100M专线用于六合公安视频监控中心与六合城管指挥中心专线访问；配置100M独立双光纤宽带互联网链路，用于指挥中心外网访问；配置12319平台2M语音数字中继线。本期项目建设充分考虑用户实际试用需求，当前XXXX城市管理局信息化系统处于第一期建设阶段，系统业务会从零开始逐步上线，所以本期六合数字城管项目建设的重点是信息化基础底层架构的建设，即要紧是针对数据库、数据存储底层的建设（FCSAN架构建设、数据库双机架构等），在不浪费投资的同时又保持建设系统的高度的可扩展性（增加服务器、存储容量或者者存储等简单方式），以满足XXXX城管局信息化系统未来的快速进展需求。本期项目总体架构及方案以XXXX城市管理局角度考虑，综合考虑当前XXXX城市管理局现状及未来进展，细化设计，保障设计方案项目总体设计方案的科学性、先进性、可行性，所投产品选取当前市场上最先进主流的品牌设备及技术使总体架构方案具有一定的前瞻性。四.项目建设目标4.1项目总体目标XXXX城市管理局本期项目建设会根据建设部标准，以管理创新为基础，以信息资源管理为核心，以网络中心与数据中心为支撑，以协同应用为主导，以“执政为民”为目的，建成功能完善、高效有用、高度集成，具有国内区县级先进水平的数字化城市管理平台。总体目标包含：建立科学合理的城市管理体系，促进“大城管”格局的形成，解决条块协同工作的问题；充分共享现有资源，利用信息化手段建立数字化城市管理平台，拓展各类技术手段，促进城市管理体系高效运行；建立切实有效的综合评价体系，保障数字城管工作的长效运行。建立并优化XXXX数字化城管系统的软硬件运行平台，完成并整合数字化城管系统的各个分子系统；在系统运行平台上部署XXXX数字城管系统软件，完成XXXX数字化城管系统的整体实施与集成。建设XXXX级监督指挥中心，实现对全区城管部门的考核与督察。实现纵向业务贯穿、横向分工协作，把传统城市管理中分散管理转换为集中管理，统一领导、统一决策、指挥、管理、协调与监督的数字化城市管理体系。依托现在的XXXX电子政务网络进行建设整合，建立相对应数据交换接口，保证各个平台、系统之间的数据共享。建设与共享“110”警用监控设备与XXXX数字城管12319服务中心平台；依托XXXX数字化城市管理监督指挥中心，充分发挥公安、规划、建设、交通、环保、工商、水利等有关职能部门的主管作用，建立与完善工作例会、情况通报、联系走访等制度与机制，以制度化形式来明确与规范工作衔接配合，形成城市管理职能设置相交叉的各专业部门之间、各层级之间的良好协同联动关系。4.2项目阶段目标本项目为XXXX数字化城市管理系统建设工程，项目建设遵循“统一规划、分步实施”的原则，根据现有条件逐步实施。我们认为XXXX数字化城市管理系统的建设本期建设内容：本期建设内容：本期（即本期项目）在2015年10月底建成数字化城市管理平台，完成各业务系统建设与系统集成。数字化城市管理的体制机制建设，确定管理业务流程，组建数字化城市管理监督指挥中心，建立监督评价体系及绩效评价体系；本期建设范围内的基础地理数据修测，一期建设范围内的城市部件与地理编码普查工作，确定部件数据的属地与属主；数字化城市管理监督指挥中心的场地建设，有关各机构的相对应人员、设施配备；数字化城市管理系统的有线、无线网络建设；数字化城市管理系统有关运行环境、安全体系的建设；数字化城市管理系统应用软件系统开发建设，包含九大标准子系统及拓展子系统；建设与南京市数字城管系统的接口系统。五.项目技术方案5.1边界访问操纵六合城管信息系统的边界之内包含多个不一致网段的出口区域，汇聚层与核心层之间通过交换机进行边界逻辑划分，边界环境较为明朗，但假如没有一个可集中操纵访问请求的措施，也很容易被恶意攻击者或者其它企图人员利用这些边界进行非法入侵。入侵者能够利用多种入侵手段，如获取口令、拒绝服务攻击、SYNFlood攻击、IP欺骗攻击等等获取系统权限，进入系统内部。所以需要对边界部署访问操纵系统，有效地监控内部网与其他网之间的活动，并对数据进行过滤与操纵，保证业务系统的安全。防火墙是解决网络边界安全的重要设备，它要紧工作在网络层之下，通过对协议、地址与服务端口的识别与操纵达到防范入侵的目的，能够有效的防范基于业务端口的攻击。防火墙使用高性能的硬件架构与一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、AV、入侵防御等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。防火墙可直接通过功能许可激活的方式，获得包含防病毒（AV）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）与内网安全功能。六合城管可使用防火墙技术实现不一致网络区域之间的安全访问操纵，有效抵制来自非信任区域的黑客攻击与降低整个网络的安全威胁。本方案推荐天清汉马下一代P系列USG防火墙产品，天清汉马USG防火墙使用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。使用天清汉马USG防火墙，能够从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于保护管理而苦恼，天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。5.2入侵检测系统根据六合城管的网络结构现状，建议在内部网络区域与其他网络区域之间部署天清汉马下一代P系列USG防火墙设备，使用串联方式部署在网关设备与内部核心交换机之冋，通过配置防火墙访问操纵策略实现对整个外网区域的安全防护效果。从当前的网络拓扑结构来看，在不一致的区域网络出口，及网络主干链路上,即使部署了防火墙设备，但防火墙的作用要紧是网络层、传输层的访问操纵，而针对来自非信任网络的网络攻击、入侵等恶意行为无法做到有效检测及阻断。访问操纵系统（如防火墙）能够静态的实施访问操纵策略，防止一些非法的访问等。但对利用合法的访问手段或者其它的攻击手段（比如，利用内部系统的漏洞等）对系统入侵与内部用户的入侵等是没有办法操纵的。所以系统内需要建设统一的符合国家规定的安全检测机制，实现对网络系统进行自动的入侵检测与分析，对非法信息予以过滤，提高系统整体安全性。信息系统的边界之内包含多个局域网与计算资源组件。边界环境是比较复杂的，很容易被恶意攻击者或者其它企图人员利用这些边界进行非法入侵。入侵者能够利用多种入侵手段，如获取口令、拒绝服务攻击、SYNFlood攻击、IP欺骗攻击等等获取系统权限，进入系统内部。所以需要有效地监控内部网与非信任网之冋的活动，并对数据进行过滤与操纵，保证内部网络的安全。当前六合城管网络系统缺乏整体的入侵检测手段，这样会导致对信息系统安全状况不熟悉，无法定位问题源与进行安全建设效果的评估。所以建议使用入侵检测系统，在网络系统内部署。通过入侵检测系统的部署，能够达到三个效果：其一，做到对整个网络区域信息系统安全状况的实施监控与报告；其二，利用入侵检测技术识别威胁来源，并根据威胁调整安全策略；其三，通过入侵检测系统的安全性分析对比，熟悉网络安全建设效果，对之进行评估。入侵检测系统应支持对所有TCP/IP协议的分析，而对在此基础上衍生出的新型应用层协议，支持动态协议插件技术，能够根据实际情况，在协议分析组中即时增加应对新型协议的分析方法，做到对网络数据的全面协议分析。入侵检测系统需融合基于原理与基于特征的两大类检测机理，在检测机制方面，保证全面性要求。入侵检测系统除了提供对网络具体事件的检测外，还需提供对流量的检测。很多安全事件往往伴随着网络流量的特殊，对流量特殊事件的及时发现与处理，能够有利于扩大管理员的检测范围。有效表现是入侵检测产品的用户价值表达，入侵检测系统作为风险管理产品，设备本身并不直接给用户带来价值，不可能自动阻断攻击或者者是帮助用户修补漏洞，所能带来的价值是通过将收集到的信息表现给用户而实现的。建议部署天闻入侵检测与管理系统，实时抓取分析网络数据，推断是否有违规或者者是恶意行为发生并告知网络管理员，协助用户熟悉网络的内部状况，为用户的网络安全建设提供决策根据。根据六合城管的网络结构现状，建议在网络核心区域部署天闻入侵检测与管理系统，将入侵检测系统引擎旁路连接在网络区域核心交换机上，同时在管理终端安装入侵检测系统操纵台，实现对网络入侵行为的有效检测、表现与报表分析等效果。5.3数据库安全审计关于六合城管信息化网络系统来说，数据库的应用在整个IT系统中起到至关重要的作用，web应用系统提供对不一致用户的访问接口，同时服务器区域中其他应用服务器的数据库中储存着极其重要与敏感的信息。一旦发生来自非信任网络的恶意访问或者则黑客入侵行为，则数据库中的数据将面临被篡改或者者泄露的风险，轻则造成六合城管的经济缺失，重则影响政府形象甚至社会安全。随着六合城管信息化进程不断深入，业务系统也将变得日益复杂，由内部员工违规操作导致的安全问题会变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品能够解决一部分安全问题，但关于内部人员的违规操作却无能为力。权限划分混乱，高权限账号（比如DBA账号）共用等问题一直困扰着网络管理人员，高权限账号往往掌握着数据库与业务系统的命脉，任何一个操作都可能导致数据的修改与泄露，最高权限的滥用，让数据安全变得更加脆弱，也让责任划分与威胁追踪变得更加困难。管理人员总是试图定义各类操作条例，来规范内部员工的访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。我们经常从各类系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来推断是否发生过安全事件。但是，系统往往是在经历了大量的操作与变化后，才逐步变得不安全。另外的情况是，用户通过登录业务服务器来访问数据库等核心资产，单纯的分析业务系统或者者数据库系统的日志，都无法对整个访问过程是否存在风险进行推断。从系统变更与应用的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员与DBA们注重的焦点，解决方案要紧集中在管理与技术两个层面：管理层面：完善现有业务流程制度，明细人员职责与分工，规范内部员工的日常操作，严格监控第三方保护人员的操作。技术层面：除了在业务网络部署有关的信息安全防护产品（如FW、IPS等）,还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，对统方行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。仅仅，审计关键应用程序与数据库不是一项简单工作。特别是数据库系统，服务于各有不一致权限的大量用户，支持高事务处理率，还务必满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求，还会降低数据库性能并增加管理费用。数据库安全审计系统，需要既能独立审计针对数据库的各类访问行为，又不影响数据库的高效稳固运行。具体设计应考虑下列几个方面：＞有用性：因为业务系统数据在数据库中进行集中存储，故关于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码，这样能够在数据库出现关键错误时及时响应，避免因为数据库故障带来的业务缺失；＞独立性：审计系统应具备统一的策略、集中的审计，适用于不一致的设备、操作系统、数据库系统与应用系统的审计要求，并对这些系统不造成影响.＞灵活性：审计系统应提供缺省的审计策略及自定义策略，能够对重要操作、重要表、重要字段进行定义并审计，能够根据用户的业务特点进行策略的编辑。＞易用性：审计系统应能够基于操作进行分析，能够提供主体标识（即用户）、操作（行为）、客体标识（设备、操作系统、数据库系统、应用系统）的分析与审计报表＞扩展性：当业务系统进行扩容时，审计系统能够平滑扩容。系统支持向第三方平台提供记录的审计信息。＞可靠性：审计系统能提供充足的存储空间（1000G以上），满足在线存储至少6个月的要求；审计系统能够保证审计记录的时间的一致性，避免错误时间记录给追踪溯源带来的影响。＞安全性：分权限管理，具有权限管理功能，能够对用户分级，提供不一致的操作权限与不一致的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计与有关操作，具有自身安全审计功能。本方案推荐天明网络安全审计系统，它基于“IP数据俘获一应用层数据分析一审计与响应”实现各项功能，设计中充分贯彻了平台化的思路；因为使用旁路接入的工作模式，使得天阴系统在实现各类安全功能的同时，对原系统的影响降到最低。根据六合城管的网络结构现状，建议在网络系统核心交换机上旁路部署天阴网络安全审计系统，实现针对业务环境下的网络操作行为进行细粒度审计的合规性管理。通过配置SSLVPN网关，将XXXX城管局平台试用用户临时性的需要访问系统内部资源公布到SSLVPN平台上，只为使用者开放某些系统的访问权限，利用SSL的多种加密与认证方式保障使用的安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就能够实现WEB安全接入，对管理员来说，避免了管理员大范围客户端的安装与配置问题，提高XXXX城管局系统安全性。5.4稳固性的FCSANFC光纤通道按协议层进行分层，各层之间技术相互独立，留有增长空间，同时由被认可的标准化机构进行开发，FC中的流量操纵机制是在信用度系统上的基础上。信用度（Credit）是指设备同意额外帧的能力。信用度的多少决定了设备接收额外帧能力的大小。假如同意方没有向发送方发出任何的信用度，那么发送方就不能发送任何帧，在信用度的基础上协调帧传送，能够避免帧的丢失，同时减少了对整个帧序列进行重传的频率。实际上，这种基于信用度的机制建立在终端节点能够提供的缓冲区（TX-Buffer与RX-Buffer）的数目上，这些缓冲区用于存储到来的数据流。对网络的习惯性FC使用基于信用的流量操纵机制，当同意者有充足的缓存同意发信者的数据时，同意者把Credit（信用度）分配给发信者。它根据发送者的请求分配Credit,仅当发送者没有用完它的Credit时，它才能够发送数据。在MAN/WAN中，发送者务必要等待很长时间来获得同意者的确认消息（以向网络发送新的数据）。5.5系统数据在线保护本次项目城管局规划部署2台数据库服务器，互为HA双机热备；另外，还有GIS、应用、城管通、Web、数据交换等6台应用服务器，均为windowsserver2012或者Linux主流操作系统。所有数据库服务器与应用服务器后端部署了一台双控磁盘阵列。为防止服务器与磁盘阵列因物理或者逻辑错误而出现数据丢失，保障系统数据安全，用户需部署一台系统数据在线保护设备，实现对数据、应用、操作系统、磁盘阵列的全面保护，当服务器出现数据丢失时，能够通过该保护设备快速地找回丢失数据；当服务器出现系统故障时，能够通过该保护设备快速地恢复系统，当磁盘阵列出现故障时，可作为应急存储设备为服务器提供服务。同时设备需满足下列功能需求：（1） 可针对windows.Linux两种不一致平台的数据库、操作系统进行实时备份（2） 具备数据块级实时复制功能，I/O级数据同步，源端数据一旦发生变化，灾备端能实时同步，可实现秒级RPO指标。（3） 提供CDP连续快照数据备份机制。随时手动创建快照或者设定策略自动化创建CDP快照，可实现不低1次/分钟的密集数据保护。（4） 提供回滚与SAN映射等数据验证机制，可在设备上便利挂载快照实现快照信息的查看、访问、验证，可通过SAN映射秒级恢复历史数据并保证数据可用性。（5）当生产服务器出现故障时，可通过容灾服务器或者虚拟机在线接管生产服务器业务，确保应用连续性；当生产服务器修复正常后，能够支持将容灾服务器接管后的新增业务数据恢复到生产服务器。联创信安的CDP—体机基于数据同步复制技术，通过实时同步I/O,实现数据从源端到目标端的持续捕获，同时能够全自或者手动创建数据恢复点，以确保数据发生错误时，恢复数据到最新的时间点。恢复点使用基于时间点的快照技术，以块级增量快照的方式记录下数据源卷的变化，产生多个基于时间点数据影像。当用户需要恢复数据时，只需要找到CDP一体机中相对应的恢复点（快照），直接进行恢复，就能够使源端数据恢复到恢复点状态；也能够手动挂载快照到某台计算机上，查看、复制其内容或者者将其共享于网络，供其他主机使用、数据验证、灾备演练等。对快照数据的操作不可能影响到生产应用系统，同时数据快照能够多次使用，用户能够基于数据快照进行功能测试或者数据挖掘，使数据的价值最大化。5.6项目未来进展趋势未来进展在本期的基础上从扩大监管区域范围、拓展系统功能、完善机制体制为主开展。扩充现有管理队伍，使数字化城管能够深入城市的各个角落；完成未来扩展的20平方公里的数据普查工作，拓展建设范围的城市部件与地理编码普查工作；将管理范围扩展至XXXX周边街镇，并建设街镇二级平台，新增部门、街镇的运行环境及网络建设；拓展更多符合城市管理应用需要的应用系统。5.7充足平台扩展性本期六合数字城管项目建设的重点是信息化基础底层架构的建设，即要紧是针对数据库、数据存储底层的建设（FCSAN架构建设、数据库双机架构等），在不浪费投资的同时又保持建设系统的高度的可扩展性，系统能够通过增加业务服务器来扩展信息化业务应用对系统平台无影响、能够通过给存储在线添加硬盘或者者增加存储的方式扩展系统平台存储容量等方式来满足XXXX城管局信息化系统未来的快速进展需求。六.技术方案优势6.1项目架构总体优势项目设计方案根据XXXX城管局现状及未来进展趋势熟悉清晰。中国电信股份有限公司南京分公司在XXXX城市管理区信息化平台项目有办法初期就开始了接触交流，关于用户当前的现状及用户所想要进展的方向有比较深刻的熟悉，所以总体设计方案关于甲方的阶段性进展需求相吻合；项目系统架构核心部件冗余化设计。项目系统总体架构设计中对与城管信息系统最核心的（负载较高）设备如核心交换机、接入交换机、数据库服务器等进行了冗余化设计，防止系统平台核心部件单点故障；系统架构安全防护考虑完善。项目系统总体架构设计中关于平台安全防护的考虑特别完善，首先关于试用六合数字化城管信息系统的用户会进行防火墙防护、SSLVPN加密防护、IDS安全攻击检测防护等多重防护，保障系统免受网络攻击的威胁；其次关于信息化系统的核心数据库系统，设计使用数据库安全审计系统对数据库行为进行审计保护，保障核心数据库平台的安全性；关于信息系统内操作系统及存储数据，设计使用系统数据在线保护设备，保障服务器操作系统及存储数据的安全性，避免数据丢失；在通讯链路方面，总体设计架构设计指挥中心、数据中心、公安视频中心之间的访问使用电信百兆专线链路，保障通讯的安全性，其中最为重要的数据中心与指挥中心之冋使用冗余链路设计，避免单链路故障问题。六合数据中心机房环境及保护优势。电信六合数据中心为国家五星级数据中心，其数据中心内的安防、消防、机房辅助环境都达到国家较高标准；六合数据中心还配备了专业的具备多年工作经验的数据中心保护人员，能够在最快时间内知晓并解决用户系统问题。6.2防火墙产品优势启明星辰天清汉马USG-FW-12600GP具备下列几点优势：完善的防火墙特性一一支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问操纵一一支持流量管理、连接数操纵、IP+MAC绑定、用户认证等多样化的应用过滤一一基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能，同时提供JavaApplet>Cookie>Script与Object的内容过滤功能一一基于黑名单、白名单、邮件主题、附件名称、邮件大小与SMTP命令的邮件过滤功能安全丰富的VPN使组网变得简单——多VPN支持：GRE、IPSec>L2TP、SSLVPN一一丰富的应用：专用的VPN客户端、USBKEY、动态口令卡、图形认证码一灵活的部署：Hub-Spoken、Full-Mesh、DVPN/网关一网关的SSLVPN完善的P2P、IM、流媒体、网络游戏与股票软件操纵能力 P2P操纵：对Emule>BitTorrent>Maze>Kazaa等进行阻断、限速一一IM操纵：基于黑白名单的IM登录操纵、文件传输阻止；支持主流IM软件如QQ、MSN、雅虎通、Gtalk>Skype一一流媒体操纵：对流媒体应用进行阻断或者限速，支持Kamunppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸点网络电视、猫扑播霸等一一网络游戏操纵：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断股票软件操纵：对常用股票软件如同花顺、大参考、大智慧等的阻断强大的日志报表功能——记录内容丰富：可对防火墙日志、带宽使用日志、Wwb访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录——日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询——报表贴近需求：根据用户具体需求，定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件方便的集中管理功能——通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级与拓扑展示可软件升级支持UTM——使用高性能的硬件配置，具备向UTM升级的硬件基础设施保证——经授权后可软件升级，设备无需下线、无需返厂直接升级为UTM——升级后具备完整UTM功能，有关功能特征库授权后可实时在线更新6.3入侵检测系统产品优势启明星辰天園NT3000-LT-SRP产品具备下列几点优势：•全面检测一一全面信息收集：天園IDS支持多级、分布式部署，实现策略统一下发，信息集中收集。一一全面协议分析：天園IDS支持协议自识别与协议插件技术，可准确识别非常规端口的协议与新型协议。一一全面检测机制：天園IDS支持基于特征与基于原理的两种检测方式，在保障检测精度的基础上，扩大了检测可识别的范围。一一全面事件分析：启明星辰有一套业界最规范的后继服务支撑体系，确保对新型事件的快速准确响应。一一全面检测范围：天阑IDS提供网络入侵事件、网络违规事件、流量特殊事件等多种特殊检测。—全面检测性能：天ISIDS使用最短时间优先算法，确保了产品在网络数据高负载情况下的检测效率。•有效表现——精确报警信息：天闻IDS结合了环境指纹技术，在发现有攻击行为后，与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独表现，减少用户的分析操作消耗。——详尽信息表现：天闻IDS的报警信息除了事件的双方地址、协议等信息外，还包含了对事件的具体描述、漏洞信息、修补建议、影响系统等，能够将最细致的事件信息表现给用户。——威胁地址定位：天闻IDS提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下，能够将设备拓扑与地理拓扑相结合，使得管理员能够直观而迅速的推断威胁所在。—丰富报表展现：天園IDS提供基于时间、地址、事件等多重参数信息的分析报表，结合历史分析数据，可清晰展现安全建设进展趋势，协助考量网络安全建设水平。6.4数据库安全审计设备优势启明星辰天明GE1000E审计引擎具备下列几点优势：深层监测•强大的协议解析能力：天刃审计系统融合了语义检测技术与特征检测技术，实现三到七层的协议分析，特别是在数据库SQL语句的语义解析领域处于国内领先地位。系统通过对审计事件、会话信息、会话数据的完整记录与回放，方便管理员进行全局管理。•多码环境的习惯能力：天为审计系统具备识别多种编码的能力，支持包含ASCII.Unicode.UTF-8、UTFT6、GB2312、EBCDIC等编码格式,避免因编码格式不一致而导致审计记录出现乱码的情况，保证了审计记录的可读性。•灵活的规则定义能力：天明审计系统预置了业界最全面的审计规则集，涵盖了用户常用的网络操作行为。同时为用户提供了便利的规则自定义功能，能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合，制定符合用户自身业务环境的审计规则。高速的事件入库能力：天阴审计系统使用了固化硬件架构设计，超大容量数据存储空间，优化的数据存储引撃，在审计策略全部开启环境下，审计事件每秒入库速率达到万条以上，达到国内最高水平，从而避免用户在事后追踪溯源过程中，出现审计事件漏报的问题。精确溯源特殊的端口认证功能：系统提供了USB硬件令牌、静态口令、Radius三种认证方式，实现网络TCP端口访问的强制认证，用户可灵活选择。实现对自然人的绑定，当自然人在进行网络操作时，其真实身份与其网络行为进行关联，从而实现对自然人的追踪与稽查。•高效的源头跟踪能力：系统能够针对用户网络环境中出现的指定帐号（比如Root、DBA）、指定应用程序（比如SQLPLUS、PL/SQL）,进行随时触发、随时跟踪，减少审计事件过多带来的管理负担。•及时多样的响应方式：系统提供了多种响应方式，支持包含记录、忽略、定级、界面告警、RST阻断、Syslog、SNMPTrap、邮件发送等技术手段，并可与第三方管理平台进行联动（如SOC平台、4A平台等），帮助用户实时掌握审计信息。易于扩展的分析条件：系统提供了多达20余种的查询条件，条件之间可任意组合，支持与、或者、非逻辑运算规则，系统还提供特有的审计取证功能,简化了分析条件的操作，减少了保护工作量，促进了用户内审经验的传递。多种维度的合规报告：系统提供60余种报告模板，用户也能够根据自身业务特点生成自定义报表，报表格式包含HTML、EXCEL、CSV、PDF.Word等,提供从宏观数据到微观事件的决策根据。6.5SSLVPN产品优势深信服VPN3050具备下列几点优势：1.安全性。SSLVPN的一个显著特点就是客户端的易用性，客户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S对应的公网IP地址（在动态IP环境下访问WebAgent或者动态域名）即可进行安全访问接入。根据接入用户的分布，本方案建议远程用户使用下列四种登录方式，分别是用户名密码方式,USBkey方式，动态短信码方式及硬件特征码认证。2.可管理性。SINFORSSLVPN安全网关能够为管理员访问也提供与普通用户相同的安全保障手段。根据企业内部的管理形式，深信服将设备管理员分为超级管理员与受限管理员，受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色，不能关于不在所辖组的用户进行管理与保护。6.6存储协议的优势在存储环境中，发出的块I/O请求的大小通常介于4K到64K之间。以8K的块I/0请求为例，FC的帧大小是2K。所以8K的块I/O请求务必被分成多个小的段，以习惯不一致的传输帧大小。在FC中，分段与重组操作是在网卡中实现的，所以减轻了主机CPU的负担。所以FCSAN环境保障了XXXX城管局信息化系统稳固性。6.7系统数据在线保护设别优势联创信安CDP容灾一体机作为新一代数据保护产品，具有下列产品优势：1） 实时备份瞬间恢复：使用实时备份瞬间恢复；一分钟找回丢失数据；3分钟修复数据错乱；5分钟重建瘫痪主机。2） 先进的备份恢复技术：I/O颗粒级实时备份（RPO趋近于0）；瞬间恢复机制（RT0不再是难题）；支持多种传输协议：TCP/IP、FC；数据一致性确认技术；多点自动快照，历史数据轻松获取；快照副本数量不受限制；瞬间恢复，数据立即可用；开放式架构，支持异构存储；易于保护，简单的图型化管理。3） 全面立体防灾：全面保护数据、应用、系统、存储；轻松应对物理与逻辑故障与灾难；支持众多历史数据副本保留；随时实现：数据恢复、灾备演练、数据验证等操作；支持P2P、P2V、V2V、SANBOOT多种系统重建方式。4） 智能的容灾一体化：使用Console图型化集中管理,所有操作都在Console完成，交互体验更友好；备份恢复大多数操作在后台全自动完成。5）产品亮点：全面保护应用系统；快速恢复业务运行。七.项目产品介绍7.1XXXXNF5280M4能特性高效智能，弹性扩展，为全新应用优化全新智能计算加速技术，根据应用需求智能调节，进行优化。使用最新的内存技术，更高密度、更大容量为企业虚拟化与业务处理提供更好的性能。最新的硬盘接口技术，消除存储瓶颈，大幅提升存储性能。可提供灵活、弹性的I/O功能，支持XXXXFLOM技术，实现极速网络I/O,用户根据应用的网络带宽需求，进行自由扩展，实现网络性能飞跃。在2U机箱狭小空间内可提供6个标准高速PCI-E3.0扩展槽与1个专用PCI-E扩展槽，支持多达4个全长全高卡，满足高端客户对系统功能与性能的需求。绿色节能，安全可靠，为全新数据中心优化XXXX最新优化的系统环境动态感知与调控技术，可通过精确设置在系统内部的多个温度传感器，实时传递服务器内部温度信息，并对设备内的热插拔冗余风扇动态调节，配合先进的风冷系统实现最佳工作环境，保障系统稳固运行。使用业内最优的元器件，配合高效电源设计，可比其他方案节能多达20%oXXXX供货管理技术可帮助用户对系统功耗，进行精确的实时监测与操纵，进一步提高整体IT架构的能效表现。同时支持最新可信加密技术，保护客户数据安全。易保护，易管理，提高工作效率内嵌服务器智能管理芯片，可实现完整的IPMI2.0远程系统监控、远程KVM、虚拟媒体等各类管理功能。可支持内嵌大容量闪存，内载XXXX睿捷服务器管理套件V5.2版，可极大简化用户的设备部署、管理与保护工作。为简化数据中心环境下的设备管理，将推出XXXX外置式可视化管理模块，配合XXXX光路诊断功能，管理人员可快速确定需保护的设备，大大减小管理员的工作压力，提供工作效率。应用举例对性能有很高要求的大型政府、企业的数据库及核心业务软件：对内存与磁盘扩展、网络I/O能力有很高要求的各类网络服务器；追求超高性能的高性能集群，如渲染作业、制造业CAD、CAE等。7.2XXXXAS520G随着数据存储容量的不断增加，高昂的存储设备成本成为用户的重要IT支出，而网絡存储产品凭借其高性能、高可靠、大容量、低成本、操作简便等优势得到了用户越来越多的青睐。AS520G是XXXX存储自主开发，拥有自主知识产权的双控存储产品"该产品集合了当前主流的存储技术优点，冗余的部件模块化设计，满足主流客户对数据存储的需求，是一款性能强劲、功能丰富、高可靠的网络存储产品，是用户数据统一存储、集中管理的良好选择。特别适合数据库、数据块视频、web服务等应用。产品优势：完全自主研发：拥有自主知识产权的双控存储产品优秀的架构：标准19”工业机架（3U）,双热插拔电源、双风扇，各部件均使用冗余模块化设计强劲的性能：冗余双操纵器（可热插拔），每操纵器标配1颗存储专用处理器；支持主机通道聚合，且不限制主机接入数量；至少提供高速缓存16GB,系统最大缓存96GB,支持缓存保护功能；支持后端磁盘通道扩展，能够提供6个24GbSAS扩展接口，最大能够扩展18个JBODo灵活的RAID级别：支持RAID。、1、5^6、10、50、60良好的兼容性：硬件需通过主流服务器厂商的兼容性测试，支持windows/linux等主流操作系统；支持在线动态RAID组扩展与动态逻辑卷扩展；便利的管理方式：支持CL1/WEB管理方式，中文管理界面；支持邮件报警机制，方便管理员及时监控设备运行状态7.3联创信安SD0P4100计算机应用的不断普及与深入引发数据爆炸性增长与IT管理复杂度不断提升。业务不间断运营己成为衡量企业整体服务能力的重要指标。实现这个指标面临系统，数据，应用三方面安全挑战，传统的双机或者备份解决方案无法同时实现上述三方面需求；同时，更快的恢复速度，更细的恢复粒度与更低的成木也是企业注重的重点，企业急需一体化综合信息保护平台！联创信安实时备份与快速恢复系统（SD0P4100）正是迎合市场需求，着眼于系统与数据的快速恢复与最小数据丢失，致力于业务的不间断运营，为企业量身定制的一体化综合信息保护平台。联创信安实时备份与快速恢复系统（SD0P4100）不但涵盖了各类系统灾难保护（包含人为故障、病毒、软件故障、硬件故障等灾难），而且能够针对不一致应用，数据库提供全面的数据保护，在出现突发意外业务中断时提供快速的业务恢复（RTO指标）并将数据丢失（RPO指标）降至最低，有效地保障了企业系统数据的安全性与业务的连续性。

SD0P4100基于同步数据复制技术，实现对I/O的连续捕捉，以确保数据发生错误时，数据恢复到最新的时间点。同时，使用基于时间点的快照技术(CDP),以块级增量快照的方式记录下数据复制卷的变化，产生多个基于时间点数据影像(全自动实现历史快照副本精确到分钟级)当用户需要恢复数据时，只需要找到SDOP中相对应的数据快照，进行简单的恢复操作，就能够将某时刻数据瞬间恢复;假如某一快照临时需使用时，也能够使用挂载功能快速的查看及打开使用。对快照数据的操作不可能影响到数据复制卷的数据，同时数据快照能够多次使用，用户能够基于数据快照进行功能测试或者数据挖掘，使数据的价值最大化。在系统故障时，能够通过SDOP智能的远程引导功能(SANBOOT),在短短的几分钟内恢复主机的运营，保证了业务不间断工作，实现理想的RTO及RPO。邮件服务器 OASQLserver100/1000mb/slP网络财务系统貝貝M邮件服务器 OASQLserver100/1000mb/slP网络财务系统貝貝M^genM^agenO^agenOoracleERP。mirror^现系统镜像-通过ip/FC网络实时获取数据-块级数据茨取，支持任何数据库系统-不改変任何现有系统结构❷快照-自动产生多个历史影像副本，数据无限瞬间恢复历史数据©CDP功能数据恢复可精确到分钟技术特点：1.提供对Windows/Linux操作系统平台的应用数据保护;提供Oracle/Sybase/DB，SQL/Exchange等应用的持续数据保护；灵活的保护策略，实现定时、自动或者手动快照保护，确保数据的安全性与系统的连续性提供智能agent,确保快照数据的逻辑一致性；多种数据恢复方式，支持P2V、P2P、V2V直接恢复，不需要第三方工具协助恢复，实现随时的恢复演练；支持备份存储空间在线添加扩容，实现存储空间的动态分配与无缝扩容；支持SANBOOT系统重建，可基于FC实现系统快速引导重建，达到近HA功能；支持存储设备在线保护，当存储故障后可通过备份副本分钟内接管存储为前端应用提供服务，达到近HA功能；先进、高效的RAID技术确保备份数据的安全可靠；7.4大唐保镖HL-5708大唐保镖HL-5708KVM切换器内附标准型机架安装套件，另提供单人简易安装套件（选购型），以满足不一致安装需求。它整合了17寸LCD显示器与KVM操纵端于单一抽拉式机体中，LCD屏幕可展开至115度，以提供舒适的检视角度，而且每台服务器的视讯设定会自动调整至萤幕显示的最佳状态。它支持自动扫描功能，可监控用户所选择的服务器设备。大唐保镖HL-5708支持热插拔，无需将KVM关闭即可直接增加或者移除服务器。它体积小巧，上盖与底部设计仅占用少于1U机架空间，有效节约机柜空间，是机柜标准操纵设备。它支持两层密码安全机制，只有被授权的用户能够检视及操纵电脑，最多可同意4个用户及一个管理者，且每个皆有独立的数据文件。7.5XXXXFS5800产品特性及优势：1.4个10Gbps/20Gbps堆叠（ISL）端口：出厂含有缺省被激活的4个10Gb可堆叠的端口，客户能够非中断的升级ISL端口在一个或者多个交换机升级到20Gb,最大限度的降低成本20个8Gb设备端口：在1U的尺寸中增加了4个连接设备的端口，每个交换机可扩展到20个8Gb设备端口（总共24个端口），且向后兼容4Gb与2Gb的设备与光学配件强大的堆叠管理：利用EnterpriseFabricSuite,用户能够管理5000系列产品的堆叠就像一个设备一样，加载微码、应用安全配置变化、与操纵用户与SimpleNetworkManagementProtocol（SNMP）的管理,最高能够到达6台交换机同时管理。迅速可靠的性能：提供无争议的、全双工的带宽，每个交换机544Gbps总带宽可提高投资利用率。可更换的双电源选项与无中断的微码激活，确保空前的一致性用户体验。完备的兼容性：与其它的XXXXFS系列交换机全面兼容，也兼容习惯FC-SW-2的其它厂商交换机。能够与其它所有的要紧存储、服务器、应用与基础架构的厂商互操作。强大与直观的软件：QuickTools™内置的Java®webapplet关于设备的发现、设备管理、zoning与fabric管理。QuickTools包含一个配置向导与高级的拖拽zoning,这种行业直观的配置方法。EnterpriseFabricSuiteEnterpriseFabricSuite捆绑了Fabric跟踪，性能观测，端口阀值预警等高级企业功能，，堆叠管理与mPort™能够挪动的端口激活集成到一个单独的站点许可。消除了用户因为SAN增长而不断购买、保护交换机而持续增长的花费。SANdoctor全面的诊断工具，关于Fabric中的问题能够发现并处理，并能进行介质数字诊断、fabric跟踪路由与fabricpingoFabricSecurity通过了RADIUS认证、SecureShell(SSH),SecureSocketLayer(SSL)加密认证。设备连接安全使用FibreChannelSecurityProtocol(FC-SP),DHCHAP,andFC-GS-4CT.为用户提供了全面的安全、保护功能。7.6H3CS5800-32CS5800-32C/32C-PWR灵活的端口扩展能力随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能与万兆端口扩展能力。H3CS58系列机箱式交换机支持业内最高的万兆端口密度，单台设备能够按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还能够提供灵活的千兆接入端口，能够提供16个千兆光接口或者者电接口扩展模块，单台设备能够按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或者中小网络核心关于光电混合配置的要求。智能弹性架构H3CS5800/S5820X系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构与可用性方面具有强大的优势，要紧表达在四个方面：*扩展性：IRF技术同意交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。*可靠性：通过专利的路由热备份技术，在整个IRF组内实现操纵平面与数据平面所有信息的冗余备份与无冋断的三层转发，极大的增强了IRF组的可靠性与高性能，同时消除了单点故障，避免了业务中断。*分布性：通过度布式链路聚合技术，实现多条上行链路的负载分担与互为备份，从而提高整个网络架构的冗余性与链路资源的利用率。*可用性：通过标准的万兆以太网接口实现智能弹性架构，能够根据需求分配业务带宽与系统连接带宽，合理分配本地流量与上行流量；不但能够实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。强大的缓存能力针关于数据中心大流量数据无堵塞传输的要求，H3CS58系列能够提供强大的缓存能力，同时支持先进的缓存调度机制能够保证设备缓存能力有效利用的最大化。灵活的风道方向选择为了更好的配合数据中心的风道设计，S5800/S5820X系列交换机部分款型为用户提供了更灵活的风道方案，在实现前后风道的同时，用户还能够通过选择不一致的风扇框来实现不一致的风向(从前往后或者者从后往前)。7.7H3CS3600v2-28TP-EI丰富的IPv4与IPv6三层功能1I3CS3600V2系列交换机硬件支持IPv4/IPv6双栈与IPv6overIPv4隧道(包含手工Tunnel,6to4Tunnel,ISATAPTunneLauto-Tunnel),三层线速转发。既能够用于纯IPv4或者IPv6网络，也能够用于IPv4到IPv6共存的网络,组网方式灵活，充分满足当前园区网从IPv4向IPv6过渡的需求。支持丰富的IPv6路由协议,包含RIPng、0SPFv3、ISISv6、BGP4+forIPv6o支持IPv6的邻居发现协议(NeighborDiscoveryProtocol,NDP),管理邻居节点的交互。支持PMTU发现(PathMTUDiscovery)机制，能够找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并得到最佳的吞吐量。智能弹性架构H3CS3600V2系列交换机支持IRF2(第二代智能弹性架构)技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户能够将这多台设备看成一台单一设备进行管理与使用。IRF能够为用户带来下列好处：*简化管理IRF架构形成之后，能够连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统与系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置与管理。*简化业务IRF形成的逻辑设备中运行的各类操纵协议也是作为单一设备统一运行的，比如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，能够替代原有的生成树协议，这样就能够省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。*弹性扩展能够按照用户需求实现弹性扩展，保证用户投资。同时新增的设备加入或者离开IRF架构时能够实现“热插拔”，不影响其他设备的正常运行。*高可靠IRF的高可靠性表达在链路，设备与协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统与上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备构成,一旦Master设备故障，系统会迅速自动选举新的Master,以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。*高性能关于交换机来说，性能与端口密度的提升会受到硬件结构的限制。而IRF系统的性能与端口密度是IRF内部所有设备性能与端口数量的总与。所以,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。增强的以太网供电功能(PoE+)H3CS3600V2系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型能够提供每端口最大30W的输出功率，能够为802.lln的无线接入点，可视IP电话，与更多的终端设备提供以太网供电能力。7.8启明星辰天清汉马USG-FW-12600GP：ffSVVVWVW天清汉马USG防火墙要紧由两部分构成：USG防火墙设备与天清集中管理与数据分析中心。USG防火墙设备：即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动与网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。天清集中管理与数据分析中心：要紧功能分为集中管理功能与数据分析功能，集中管理是对USG防火墙设备的集中管理、统一监控与升级中心，通过它能够集中配置、监控与管理所管辖的多台USG防火墙设备，并按照一定的规则组织成层次结构，方便管理员关于整网USG防火墙设备的监控保护工作；数据分析中心是USG防火墙设备海量信息的后台处理中心。要紧完成USG防火墙设备日志与流量信息的存储、分析、审计与处理功能。防火墙作为网关类产品，毕竟什么样的软件结构更有利于提升整体性能？那么首先需要明白什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的全面分析与试验验证，得出网关类产品性能消耗50%来自于模式匹配，25%来自于协议重组、25%来自于报文重组的结论。消耗系统资源25%消耗系统资源25%消耗系统资源25%消耗系统资源5。％网关分析处理引擎性能消耗分析如何融合分析处理引擎，合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。基于研究数据，启明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。马上防火墙、VPN、内容过滤与流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。天清汉马USG防火墙本着安全高效原则，使用“检测与操纵相分离，引擎特征相统一”的一体化设计思想：人机界面、报文接收模块、报文处理模块、报文发送模块与支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行2-3层过滤，VPN负责接入操纵；其次模块匹配引擎与行为分析引擎分别根据统一特征库与行为知识库进行匹配查找；最后，关于合法报文直接交由报文发送模块进行报文转发，关于非法报文，送交相对应的处理引擎进行处理。整个过程的日志信息与数据流量信息送集中管理与数据分析中心监控与备案，管理中心负责整体的配置与调整。7.9启明星辰天闻NT3000-LT-SRP天阑入侵检测与管理系统是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品，该产品关于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为与网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）等威胁具有高精度的检测能力，同时，该产品中的流量模块关于网络流量的特殊情况具有非