总工会-常州市总工会智慧工会平台

项目概述项目名称常州市总工会智慧工会平台项目项目建设单位常州市总工会项目建设的必要性和紧迫性项目建设依据文件依据《2006—2020年国家信息化发展战略》《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》《中共江苏省委关于制定江苏省国民经济和社会发展第十三个五年规划的建议》《常州市国民经济和社会发展第十三个五年规划纲要》《中共常州市委关于制定常州市国民经济和社会发展第十三个五年规划的建议》《常州市城市总体规划（2004～2020）》《常州“智慧城市”发展规划》《物联网“十三五”发展规划》《国家电子政务工程建设项目管理暂行办法》（国家发改委〔2007〕55号）执行规范GB/T

1526-1989

信息处理数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定GB/T

8566-1995

信息技术软件生存期过程

GB/T

8567-1988

计算机软件产品开发文件编制指南

GB/T

9385-1988

计算机软件需求编制指南

GB/T

9386-1988

计算机软件测试文件编制规范

GB/T

11457-1995

软件工程术语

GB/T

12504-1990

计算机软件质量保证计划规范

GB/T

14079-1993

软件维护指南

GB/T

14085-1993

信息处理系统计算机系统配置图符号及约定

GB/T

14394-1993

计算机软件可靠性及可维护性管理

GB/T

15853-1995

软件支持环境

GB/T

16260-1996

信息技术软件产品评价

质量特性及其使用指南GB/T

17544-1998

信息技术软件包质量要求和测试

GB/T

9704-1999

国家行政机关公文格式

GB/T

15418-1994

档案分类标引规则信息化应用现状工会组织信息化应用现状加强地方总工会信息化建设是整个工会组织上下实现信息化的重要基础。建设也存在较大差距。一、要依托电子政务基础网络，合理规划工会信息化工作。分利用政府电子政务建设的既有平台和技术成果，合理、节约、有效地构建工会信息化网络。各级工会信息化建设既要与当地政府各部门实现有效沟通，又要确保上下级工会畅通办公。当地政府或上级工会现有网络基础，通过建设二级域名下的子网站，来实现信息化。二、要强化工会职能、服务、办公信息化，健全网络功能。织建设、职工维权、民主管理、教育培训、财务经审、12351件的使用来实现沟通。办公信息化要求工会系统上下级单位、平行级单位实现办公信息化。目前我市工会还缺乏一条单独和安全的信息报送网络，往往通过互联网等形式进行报送，这与当前信息保密工作的要求不符。而且一台机子在多个网络间切换使用的现象也不同程度地存在，考虑到在硬内容、加强工会网站宏观管理等常规工作。三、要高度重视基础数据库建设和专门应用软件的推广使用理工作等重要资料，都需要通过建立专门的基础数据库来确保信息的完整和工作的可持续开且将之成为摆设。

四、要重视人才，培养人才，壮大工会信息化建设队伍信息化人才在当今社会任何行业都重要。但当前各级工会组织所面临的干部年龄老化严重，有人员进行培训，开拓视野，使其适应工作的需要；县、区级工会同时要加强对乡（镇）级工会工作人员的培训，把懂行的各种专业人才充实到这支队伍中来，形成一支结构合理、素质良好的工会信息服务队伍。实力的不断增强，信息化建设也将不断完善、不断提高。我市总工会信息化应用现状目前，常州市总工会组织面向职工、会员的服务管理工作绝大部分停留在手工层面，经常出现重复性工作，且各类信息数据缺乏准确性、及时性、完整性，严重影响了工作效率和服务质量。为紧跟全面深化改革的步伐，全面推动工会工作改革创新，提升工会的服务能力，使市级、县区总工会与各级工会组织、职工会员、企业及其他相关部门间实现信息数据即时互通，促进资源共享，提高工作效率，特申请启动常州市总工会信息化建设项目。项目建设必要性现有信息资源利用率不高常州市总工会现有功能比较单一的会员管理平台、商铺发布平台，但随着常州市总工会服务要求的快速发展，信息化水平已显现出明显的劣势，信息资源由于各平台间没有有效的无缝联接，信息资源无法进行资源共享与互动，形成信息孤岛。信息化水平亟需加强随着基层工会人员的不断扩展，需要建设新的系统来支撑基层工会基础信息系统建设的管控、会员的信息化管理、工会内部的电子化办公、工会数据的统计、分析、挖掘等，使得工会的管理工作更加高效、有序、扎实深入。体现现代服务业特征的重要载体项目充分体现了现代服务业的特征。首先，系统的建设将先进的信息技术和其他高新科技技术进一步引入到工会服务办公当中，把我市工会服务的信息化、智能化水平推向新的高度；其次，项目的建设对基层工会提出新的发展要求，基层工会必将引进高素质人才以适应未来的发展形势，这有利于我市工会服务业形成高素质、高智力的人力资源结构。常州智慧城市建设的重要组成内容项目建设是智慧工会的重要组成部分，因此也是智慧城市建设的重要组成部分，是工会公共服务的后台支撑，一个完善、科学的系统可以使我市的工会公共服务水平上一个台阶，从而提升整个城市的服务功能、提升常州工会服务和常州这座城市的知名度和吸引力，为常州经济的发展做出贡献。总体建设规划总体目标及分期目标总体目标围绕“服务发展、服务职工”的目标，打造国内一流的创新、现代、可持续发展的智慧工会，以对外服务为中心，以大数据应用为重点，以公共服务体系建设为先导，构建常州智慧工会大格局。全面提升常州工会管理水平、服务水平，打造职工、会员、管理组织满意的服务中心。提高常州市总工会在全国工会管理工作上的影响力运用云计算、大数据、互联网等技术，建设“互联网+”新生态下的智慧管理服务平台及APP，可作为创新成果面向全国展示；作为“互联网+”新生态下工会管理的探索与实践，形成工会智慧管理服务的标准及规范。开辟工会管理工作新模式，提高工会服务的精准灵动能力为工会智慧管理服务提供智能化手段的支撑；通过管理服务平台及应用，建设工会内部的智慧化办公及服务，通过大数据分析，为工会管理服务工作各环节均提供支撑手段；将管理服务工作由PC端延展到手机端，为工会管理服务工作带来新手段，基于“端”的管理能力加强。分期目标一期目标实现总工会、基层工会、会员之间信息的交流沟通、任务的流程流转及工会信息的公众传播。二期目标实现对工会资源的统一管理及服务，建设“互联网+”下的智慧管理信息化平台，实现数据的挖掘分析及智慧管理。总体建设任务及分期建设内容总体建设任务依靠“互联网+”模式。常州工会积极探索“互联网+工会”的工作模式，加快了推进微信公众号、APP、智慧管理平台等步伐，给工会工作带来新气象。项目总体建设任务如下：建设云化数据中心，租用运营商云计算中心平台建设常州市总工会的智慧管理平台统一入口平台信息管理平台信息服务平台工会职工综合应用平台建设常州工会对外服务的会员服务平台建设数据分析挖掘平台建设对外服务微信公众服务平台与其他信息系统对接接口建设分期建设内容智慧工会平台的建设需要不断的探索及优化，工作量较大，所以需要分阶段建设，平台分两个阶段完成项目的建设及推广。第一阶段（基础应用）：建设常州市总工会的智慧管理平台工会职工综合应用平台建设对外服务微信公众服务平台第二阶段（增强应用）：建设云化数据中心，租用运营商云计算中心平台建设常州市总工会的智慧管理平台统一入口平台信息管理平台信息服务平台建设数据分析挖掘平台与其他信息系统对接接口建设本期项目建设目标与主要建设内容本期项目建设目标建立以市总工会为核心，县、区总工会为桥梁主体，镇（街道）总工会为支撑的网络系统，构建与工会服务体系相适应的自动化信息管理系统。通过该信息化项目建设，使市总工会能够及时、准确、全面地掌握全市各级各类工会组织情况、工会干部情况、工会会员情况以及全市企事业组织和其他社会组织及其职工的基本情况，减少重复性劳动，增强数据信息的准确性和完整性。同时，使市总工会的文件、通知、要求及其他相关信息可以快速地通过网络下发到每一个基层工会的系统中，使工会服务与管理更具人性化。主要建设内容顶层设计架构云化数据中心建设基于云计算、大数据技术，以会员及工会干部为核心，实现对总工会内外异构数据资源（包括结构化数据、非结构化数据）的集中管理，并为上层“智慧工会”提供数据资源的使用机制和服务能力。“云化数据管理平台”的定位，是通过统一的数据资源平台实现信息资源的整合、共享和充分利用，让数据资源成为工会的核心战略资产。——用数据说话，让治理更科学；数据中心总体建设思路如下：图SEQ图\*ARABIC1建设思路云化数据管理中心平台架构：图SEQ图\*ARABIC2平台架构“云化数据管理平台”依托云基础服务（并行计算，云存储、云监控、云负载等），实现全生命周期的数据质量治理体系，进行数据资源的数据整合与数据处理。数据整合层完成对数据的采集、整理和分类，把各种结构化和非结构化数据整合到数据资源中心，从数据服务视角、数据共享的视角重新定义总工会数据的分类维度和元数据，重构数据关系，实现从封闭数据源到开放数据服务的转化。数据处理层包括通用的数据分析挖掘工具和数据应用两个层面，基于数据分析服务，衍生出事件画像、血缘关系、报表、预警、精准服务、情报分析等多种数据应用。智慧工会综合管理平台统一入口平台：智慧管理平台是总工会职工、基层工会管理人员、工会会员、合作商铺的统一入口平台。信息管理平台：会员入会的管理，基层工会管理、工作流程、信息发布、公告管理、广告管理、支付管理、订单管理、商铺管理（商铺信息、近期加盟、解约）、活动管理等。信息服务平台：会员信息填报及审批；商铺申请、审批及信息发布；子工会信息填报及审批工会职工综合应用平台：通过开放沟通、扁平协作的清晰理念，设计和开发的智慧工会综合管理平台，一改传统人工纸质办公模式，融合工作流（各级工会信息填报与交互、评选与监督、活动内容上传等）知识库、工作协同、日常办公核心功能及工会商城管理于一体。通过便捷易用的移动端，让平台成为工会办公和沟通交流的利器，提升办公效能。包括PC端及手机（IOS及Andriod）。会员服务平台提供对会员商品的服务管理功能。包括：商品展示、商品详情、条件查询、商品评价、地图导航、商品推荐、消息提醒、消息中心、精彩活动、会员圈、分享收藏等。包括PC端及手机（IOS及Andriod）。数据分析挖掘平台提供平台中各使用数据的统计分析挖掘功能，按条件查询出数据的统计报表及各种对比图形，为用户提供直观的数据展示功能。通过多样化图标进行呈现，如：折线图，堆积折线图，区域图，堆积区域图：图SEQ图\*ARABIC3柱形图（纵向），堆积柱形图，条形图（横向），堆积条形图：图SEQ图\*ARABIC4饼图，圆环图。饼图支持两种（半径、面积）南丁格尔玫瑰图模式：图SEQ图\*ARABIC5仪表盘图表：图SEQ图\*ARABIC6微信公众服务平台随着微信用户的迅速增长，以及后续整个移动互联网终端普及和信息获取的流量转移到移动终端，使用微信平台作为渠道和工具是越来越多的政府和企业发展的重要途径之一。工会服务的政策纷繁复杂，假如单纯以文字的形式呈现难免枯燥晦涩。“常州市总工会”微信精心设计，将大部分的信息以案例和图文的形式展现给大家，让用户更加清晰直观地了解相关政策信息。同时，微信的操作便捷，可以让职工更加快捷地搜索到想要的讯息。平台可实现：平台实现政府信息的及时传播，政策的宣传解读，活动通知公告等。针对用户的不同需求，通过技术开发实现查询、申请、登记等多重应用功能。进一步加强与市民的交流互动，惠及民生民意民智、加强政民之间的良性互动，发挥引导舆论导向作用。标准接口建设标准接口建设平台提供大量完备的WebService接口、Java的RMI接口、SDK本地开发接口采用XML格式描述，承载在HTTP/HTTPS协议之上开放的接口标准和规范，支持客户化个性开发及第三方系统集成开放式标准接口对接建设常州市总工会智慧工会信息化平台，整合用户的信息和应用，将分散在各个业务系统的信息和应用以一种可定制的、个性化的界面展现给用户。为会员和工会员工提供一个单一的访问各种信息资源的统一入口。建设的机关事务管理信息化平台具有统一信息接入、单点登录、搜索引擎、协同工作、流程管理、应用整合、个性化配置、应用授权和部署等功能。标准化后端工作台智慧工会平台采取与各系统进行对接，针对个人首页的各个功能频道和栏目进行配置。根据权限识别登录账户，呈现对应内容。标准化系统管理对所有信息系统中的人员进行管理，所有用户进行单点登录，以一个统一的身份进入到在权限范围内的所有信息系统中。实现统一身份验证以及单点登录，同时可以为工会各信息子系统提供统一权威的部门人员信息，消除各系统中人员信息的数据冗余；提供人员、部门信息的统一管理和维护功能，并通过周密的日志管理功能确保系统的稳定运行。1.登录管理所有用户都可以访问登录模块，登录管理模块包括启动、注册向导、登录、注销等模块，信息子系统可以调用身份验证功能。系统通过对用户进行身份验证，根据用户拥有的权限，赋予用户相应的功能。2.部门管理部门管理员可以管理辖内部门信息，可以修改部门信息，增加、删除子部门。3.人员管理部门管理员管理辖内人员信息，可以增加、删除和修改人员信息，可以重置人员密码。系统增加或者删除一个人员则相应的增加或者删除一个用户的帐户，每新增一个人员账户，赋予该账户一个初始化密码。4.人员信息查询系统采用目录树的方式展示部门与人员的隶属关系。用户可以在相应的部门列表中查询人员信息，查询条件有：电话号码、房间号、人员姓名、人员姓名首字母等。5.个人首页每个登录用户(不包括访客)都可以修改自己的通用信息如：电话号码，部门名称等，信息条目由系统管理员设置。每个登录用户(不包括访客)都可以修改自己的用户密码。6.信息子系统登录导航当统一用户管理系统需要连接一个新的信息子系统时，需要进行信息子系统的注册。系统管理员可以维护已有信息子系统的信息，包括：子系统的名称，信息系统的简称，是否需要进行数据同步、如果需要同步需要记录信息系统获得同步通知的URL或者Socket约定，是否需要进行单点登录，单点登录的方式以及单点登录时候信息系统的URL。系统管理员可以删除信息子系统，可以从所有人员中选择信息系统的管理员。7.系统维护系统管理员可以管理用户分组，维护组的信息，通过增加新组添加一个新的用户分类方式。系统管理员可以选择和配置系统同步方式，包括实时同步、定时同步。系统有完整的日志记录，包括访问日志和操作日志。系统管理员还可以进行属性配置，包括：系统所有属性项、人员列表中可显示属性、人员信息中可显示属性、可以自己维护的属性、部门列表中可以显示的属性、人员的属性、部门的属性。云中心租用本期项目计划租用运营商云资源服务，包括：数据库云服务器租用、应用云服务器租用及专线租用。安全保障及风险评估安全保障安全保障措施常州市总工会智慧工会平台具有完善的安全保障体系，在充分分析系统安全风险因素的基础上，制定系统安全策略。建立项目平台的安全保障体系，保障平台的安全、高效、可靠运行；针对具体的子系统，从物理、网络、系统、信息和应用等方面保障系统的整体安全。同时也应有良好的安全性，可管理、可监控、保障问题响应及时，可以防止外部攻击及恶意损害系统等行为，减少数据丢失及误操作的带来的影响。物理安全：采取重要系统双机热备等手段，保证系统不因各种自然灾害或物理设备的老化等原因影响系统的正常运行或数据的错误。网络安全：配置防火墙、IPS等设备，防止非法入侵和对网络通信流进行有效的监控，对已知的潜在威胁进行有效的防范，保障网络的正常工作。如果涉及到与不同安全等级的网络互联时，采用网闸（信息交换安全设备）进行隔离。信息传输安全：保密信息在传输过程中采用加密手段，通过密码算法保证数据的安全。信息访问安全：对资源访问规定不同的访问权限，不同用户只可访问经过授权的资源。同时，加强对资源访问的安全审计。能对数据库中的数据，根据规范在指定时间对其有效性、完整性进行校验，并提交报告。信息存储安全：建立容灾和备份机制，保障数据存储安全；采取先进的数据存储和备份技术及设备。部分关键操作数据有备份（1周内），可以回滚；敏感数据（密码、数字证书、数字签名等）以密文方式保存；审计策略：提供系统内完善的审计功能，对重要信息的操作实现完全可追踪。制度安全：制定必要的安全管理制度和措施，如系统维护制度、定期备份制度、各种紧急情况的应急措施等。安全保障设备安全方面加设两台设备：序号设备名称功能描述数量1防火墙提6千兆电口，支持扩展槽（扩展槽支持4光口/4电口）；整机防火墙吞吐量≥12G；应用层吞吐量≥7G；IPS吞吐量≥3.5G；最大并发连接≥250万；每秒新建连接≥100000/S；1台2WEB防火墙（WAF）用于防御以Web应用程序漏洞为目标的攻击，并针对Web服务器进行HTTP/HTTPS流量分析，及针对Web应用访问各方面进行优化，以提高Web或网络协议应用的可用性。性能和安全性，确保Web业务应用安全、快速、可靠的交付。1台3网闸2U机型；内端机4个10/100/1000BASE-T接口，含1个MAN口；外端机4个10/100/1000BASE-T接口含1个HA口；标准配置包括：WEB访问模块、邮件访问模块、FTP访问模块、数据库访问模块、视频监控模块、OPC工业控制模块、自定义应用模块。吞吐率450M1台4入侵防御2U机型；默认包括4个10/100/1000BASE-T接口,最大扩展12个千兆接口，独立的管理接口，双电源。满检IPS吞吐≥3Gbps；并发连接≥180万；支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击；支持WEB站点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析；支持网页防篡改功能（不需要在WEB服务器上装载任何软件）；支持防火墙、NAT、IP/MAC绑定功能；1台5备份软件对数据进行自动监控，连续捕获和备份数据变化,只要数据发生变化，便实时、准确的备份下来。RPO=0，保证数据零丢失；增量机制只备份变化部分，在保障备份数据安全的同时减少备份的工作量。

可通过断电灾难测试，在主机写入数据的过程中断电，备份机应该具有和主机断电前一样的数据。

可按任意操作步数或时间点进行数据快速恢复，回到数据库的任何状态，从而能够找回误删或者损坏前的数据。在恢复的过程中不但保证了数据的完整性，而且能保证事件的完整性。1台安全设备具体参数要求如下：防火墙序号技术指标技术规格要求硬件接口提供6千兆电口，支持扩展槽（扩展槽支持4光口/4电口）；性能规格整机防火墙吞吐量≥12G；应用层吞吐量≥7G；IPS吞吐量≥3.5G；最大并发连接≥250万；每秒新建连接≥100000/S；传统攻击防护支持安全区域的DDOS攻击防护，包括SYN、UDP、ICMP、DNS等Flood攻击防护；支持TCP端口、UDP端口和主机Host的扫描防护；支持对TearDrop、LAND、WinNuke、Fraggle和PingOfDeath等攻击的防护；支持基于源和目的IP的会话数限制；链路负载均衡支持多出口链路接入网络，支持带宽比例和链路优先级方式的负载技术；集成移动、联通、电信、教育网地址库，支持智能选路；流量管理可对迅雷P2P下载、腾讯视频等应用进行带宽的限制，对金蝶EAS、用友U8等业务应用进行带宽保障；支持基于每用户的流量控制访问控制可评估每条策略的风险系数，对策略允许的高风险应用提供拦截比（拦截此应用的用户数量占比），支持一键阻断高风险应用（投标时提供截图并加盖原厂公章）可在单条安全策略中调用病毒防护、入侵防御、URL过滤、文件过滤、数据内容过滤等全部安全功能；用户识别支持IP/MAC地址与身份绑定，支持三层网络的MAC识别用户；支持web方式的认证和与LDAP\AD\POP3\SMTP\RADIUS方式的联动认证；支持与PPPOE\AD\各种数据库格式\锐捷SAM\H3CCAMS等认证系统的透明识别；应用识别为每个应用提供威胁等级，便于威胁直观可视（投标时提供截图并加盖原厂公章）支持基于端口、IP、Http-get/post/connect/host/referer/user-agent等参数自定义HTTP应用，支持设置自定义应用的安全属性及风险级别；主动防御可以支持与外部智能系统协同，利用外部智能系统的威胁情报实时检测本地的攻击事件，并可基于异常行为分析检测本地已失陷主机，对于告警的可疑失陷主机提供确定性指数（反映主机失陷的可疑度）和威胁性指数（反映主机造成的危害程度）信息防泄漏支持对不少于300种常用应用传输文件的类型进行过滤，文件类型识别数量不少于100种，文件类型识别基于文件特征（非扩展名）（投标时提供截图并加盖原厂公章）；支持上传和下载双方向的数据内容过滤能力；支持对SSL加密数据进行内容过滤；WEB防火墙（WAF）项目技术要求整机吞吐量吞吐量≥5Gbps,并发连接数≥1,000,000,每秒新建连接数≥16万,标配4个千兆电口，2个千兆光口，含2个高速USB2.0接口，1个RJ45串口部署方式支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。内容安全支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；DDoS攻击防护支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护；入侵防护功能入侵防护漏洞规则特征库数量在4000条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web应用安全防护支持HTTP1.0/1.1，HTTPS协议的安全威胁检测；支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；（投标时提供截图证明并加盖原厂公章）具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（投标时提供截图证明并加盖原厂公章）支持对被防护网站是否被挂黑链进行检测；支持CC攻击防护；终端安全防护支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；具备独立的僵尸网络特征库，恶意软件识别特征总数在50万条以上；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测病毒防护支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；内置病毒特征数量超过100万；支持对常见压缩文件格式的检测，如zip，rar，7z等；支持杀毒文件类型自定义；网页篡改防护支持在服务器上安装防篡改插件；支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；安全可视化支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引；提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；网闸分类特性/功能详细描述产品架构系统基本架构“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。安全体系结构控制台管理系统部署于内端机上，采用专有协议对设备进行管理，无法通过外端机直接连接到隔离系统。只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理包括ssh后台管理。可避免内外端机由于被黑客从通讯口入侵，导致隔离网闸被黑客完全控制的现象。安全操作系统采用TopOS安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭。操作系统基于Linux内核设计开发，全面加固强化安全防护能力；采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性；不采用通用的指令库和函数库，只提供有限的内部调试用指令函数；内置IDS特征库，集成抗DDOS和病毒查杀功能，可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁，保证网闸系统自身的安全。硬件要求硬件架构硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。接口配置内网4个10/100/1000MRJ45接口，1个串口，2个USB口外网4个10/100/1000MRJ45接口，1个串口，2个USB口性能指标网络吞吐量：450Mbps系统整体时延：<5毫秒所有协议通道并发连接数：35000电源标配单电源功能要求安全上网功能支持WEB访问，支持HTTP协议应用的各种指令控制。支持HTTPS网络传输，并且可在该加密通道中分解出正常HTTPS网络应用，保障传输。同时可以屏蔽自由门等各类加密翻墙软件的传输。内容过滤：关键字过滤。脚本过滤：javascript、Applet、ActiveX等。其他过滤策略：文件类型、页面提交方式等。支持情景模式，能够控制用户上网以及服务器对外提供服务的具体时间。代理、透明和路由工作模式下均支持HTTP和HTTPS协议内部命令及命令参数控制策略。安全邮件功能提供安全的邮件访问，支持POP3、SMTP协议。支持邮件主机地址过滤、附件过滤。支持发件地址、收件地址过滤。支持内容过滤包括URL和关键字。支持情景模式，能够设置指定时间段允许进行邮件信息交换。代理、透明和路由工作模式下均支持POP3和SMTP协议内部命令及命令参数控制策略。文件传输功能支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。支持内容过滤。支持情景模式，能够设置时间段允许文件传输。代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。文件同步功能支持Samba、FTP、HTTP等多种通信协议。提供专用文件同步客户端提供安全的文件同步功能。支持手动文件同步和自动文件同步。支持文件内容过滤包括URL和关键字。支持文件类型黑白名单传输控制。支持windows平台和linux平台。同步传输方向可控，双向或单向。支持一对多或多对一文件同步。支持目录内子目录同步，至多支持32级目录。支持中文文件名或目录同步。支持文件变动实时同步、定时同步、系统资源空闲智能同步等多种同步方式。支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。支持文件同步容错策略和告警策略，同步出错能够自动重传并能够设置重传次数，出现异常同步状况能够终止同步弹出告警提示并记录日志。数据库访问功能提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。支持SQL语句控制。支持情景模式，能够设定特定时间允许访问数据库。代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。数据库同步功能基于专用客户端与网闸安全连接方式，提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。支持同构、异构数据库之间的同步，同步可具体设置到字段级别。支持全表复制，支持多种增量同步方式，可分别定义增加、删除、修改的传输方式。支持二进制普通文件、图片、文本文件及BLOB大字段同步。支持数据一对一、一对多、多对多的单向或双向交换和同步。支持数据库实时同步或定时同步的策略定义。数据库同步传输不使用通用数据库服务端口例如1433、1521、3306等，保障数据库同步传输的安全性。支持灵活的数据冲突检测机制，当同步的数据记录发成冲突时，可以灵活处理出现冲突的数据记录。数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失。无需修改数据库表结构，不涉及到代码修改及二次开发。视频监控兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等，通过内置多媒体应用处理模块，提供高效率的视频信息交换。能够支持基于动态端口传输的流媒体视频应用。采用复杂对称多处理（RSMP）技术，成倍提升处理能力，使网闸能够满足高并发、高质量、多路视频数据交换要求。根据策略配置可以控制视频数据的单向传输。对接入点身份进行审查，对未通过审查的对象一律丢弃。保证视频数据交换的安全可控。支持情景模式，能够设置视频监控允许传输的时间。OPC工控应用支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。支持同步、异步监测数据的传输，只需要绑定固定的一个起始端口即可满足动态的数据端口的数据传输。支持TRPROXY功能，可拦阻任何不符合OPC标准格式的DCE/RPC访问，通过OPC基金会的测试套件OPC协议测试。支持情景模式，能够设置OPC工控应用允许通信的时间。自定义功能支持自定义的TCP、UDP协议的数据隔离交换，以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容，支持16进制数据格式的定制。用户自定义应用无需对自定义协议软件进行二次修改开发。提供二次开发，可以根据需求开发新的专用协议处理过滤功能。支持情景模式，能够控制自定义应用的访问时间。代理、透明和路由工作模式下均支持用户自定义应用的应用层数据控制功能。管理配置管理采用C/S架构专有协议管理，网闸管理口无IP地址，管理主机也不必设置IP即可搜索到设备，管理设备，支持设备集中管理。双重密码验证，用户需要同时输入管理密码设备密码才能登录到设备上并进行规则配置等操作。采取系统策略配置管理员与日志管理员角色分立的权限分配模式，用户只能维护操作本类基础管理角色的功能与操作，权限各不交叉。支持多用户权限分配制度，确保合法用户只能做指定的操作。管理端通过独立的管理口与网闸相连，不允许采用内外端机上的数据通讯口进行管理。设备管理端提供系统状态查看，可以实时的了解到设备的CPU、内存以及系统网络数据吞吐量，管理者可设定状态监测的更新频率，支持策略规则模板的导入、导出。日志审计支持对所有访问进行日志记录，包括系统事件、成功事件、报警事件。提供对日志信息的浏览、查询、删除、下载等多种操作支持本地日志存储，也可以将日志外发到单独的syslog日志服务器上，支持图形化日志统计可以生成html格式的日志报表文件。其他功能支持代理模式、透明代理、路由模式三种工作模式，管理员可依据实际网络状况进行相应的部署，以满足各种网络环境状况。支持SNMP协议，可与标准网管平台无缝兼容。支持SYSLOG协议。支持OSPF动态路由穿透。内置IDS特征库，支持抗DDOS攻击功能。所有功能模块均支持基于源地址、目的地址、源端口、目的端口、通讯协议的访问控制功能。支持双机热备及多机热备功能，备机不需要二次配置支持配置自动学习功能。支持IP/MAC地址绑定，可实现基于IP与MAC绑定的客户端访问控制。入侵防御功能项详细要求平台要求采用多核硬件平台。接口2U机型；默认包括4个10/100/1000BASE-T接口,最大扩展12个千兆接口，独立的管理接口，双电源。性能满检IPS吞吐≥3Gbps并发连接≥180万。新建连接≥3.5万/秒接入模式要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。部署环境要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件。要求支持IPv6、IPv6overIPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件。入侵防御功能要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件。支持丢弃报文、记录日志、禁止连接、TCPreset等多种响应动作要求支持自定义攻击检测规则。支持黑名单，将攻击源加入黑名单，一段时间内禁止访问。支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据。DDOS防御功能支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。支持DHCPflood、DNSFlood、CC攻击防御。支持主机并发连接数和半连接数的限制。支持flood阀值自学习功能，学习时间可设置。增值功能支持WEB站点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析。支持网页防篡改功能（不需要在WEB服务器上装载任何软件）。支持防火墙、NAT、IP/MAC绑定功能。支持双击热备。支持硬件电口、光口bypass。日志和报表支持日志本地数据库存储，设备断电日志不丢失。支持生成日报、周报、月报。这次报表定时自动发送。联动要求与项目中防火墙同一品牌,策略联动,以及集中管理管理支持B/S或C/S管理模式，可实现多级部署支持系统资源监视，支持设备温度监视支持实时查看网络流量/攻击状况支持规则库手动、自动更新数据备份要求功能项详细要求实时备份对数据进行自动监控，连续捕获和备份数据变化,只要数据发生变化，便实时、准确的备份下来。RPO=0，保证数据零丢失；增量机制只备份变化部分，在保障备份数据安全的同时减少备份的工作量。断电容灾可通过断电灾难测试，在主机写入数据的过程中断电，备份机应该具有和主机断电前一样的数据。数据任意时间点回退可按任意操作步数或时间点进行数据快速恢复，回到数据库的任何状态，从而能够找回误删或者损坏前的数据。在恢复的过程中不但保证了数据的完整性，而且能保证事件的完整性。回退占用空间少插入10000条int型的数据，回退数据不能超过12M。集中备份可以将多个服务器的数据集中备份到一台服务器上。异地备份可以在局域网或者广域网内的任一机器上，对装有数据机器上的数据进行备份，实现异地灾备。支持结构化/非结构化数据实时备份系统要能对结构化数据库和非结构化数据同时进行实时备份。自动接管在主数据服务器宕机以后，备份机接管主站的IP和机器名继续对外服务，RTO~0,保证业务不中断。同时支持单机及双机集群的接管。接管过程中不需要任何人工干预，必须是生产机完全宕机的整机接管，不能是卷挂载方式。环境支持适用主流windows、linux、unix环境下主流数据库，支持主流的双机集群环境，与应用软件无关，无需对数据库中的应用做任何修改。与数据中表的结构无关，且无任何限制。对数据备份完整：如TABLES（表）、DIAGRAMS（关系图）、VIEWS（视图）、USERS（用户）、ROLES、RULES等均能自动备份。支持windows平台上的至少ORACLE、MSSQLSERVER、DB2、SYBASE、MYSQL、人大金仓、神州通用等多种数据库的环境，支持主流LINUX、主流UNIX上至少ORACLE、sybase、DB2、mysql、人大金仓、神州通用等环境。本异地容灾同一软件可实现“局域网热备”及“远程容灾备份”。错峰机制可以选择支持错峰机制，即在系统负荷极大时可以暂停备份以免系统瘫痪，当系统负荷下降时备份暂停期间的数据，并重新开始实时备份。易用性要求纯中文安装以及使用界面，安装、设置简单，并可对多台备份服务器做集中管理。实施过程不需要重启服务器以及任何服务和应用。数据准确启动或连接中断后重连时，自动校验主从站数据，保证数据的准确性和可用性。高保密性软件需采用C/S架构非web界面，可有效的防止SQL注入，提高管理的安全性。数据备份采用自主开发的特殊动态压缩加密传输方式，保证数据在传输过程中的安全。硬件适应性对备份机基本无要求，只要有网络功能以及存储计算能力，即使是普通PC也可对服务器进行备份。风险评估本项目是一项复杂的系统工程，涉及面广、政策性强、实施周期长、不确定因素多，任何环节的疏忽或处理不当都有可能给整个工程的建设和运行带来不成功的风险。项目建设、应用中，我们将在组织、体制、机制等方面采取多项措施，规避风险，保证项目的成功实施和应用。加强领导和管理—规避管理风险信息化项目的成败历来有“领导重视是关键，技术管理三七开”的经典理论。无数实践证明这一理论的正确性。项目是一项技术复杂的、涉及面广的系统工程，不仅涉及到技术实现的方法和手段，而且涉及到项目实施期间各种资源的管理与调配。为了能有效的进行资源控制、进度控制和质量控制，确保项目顺利实施，我们将紧紧依靠市经信委、发改委、财政局和信息中心的指导和帮助，建立职责明确、决策有效、执行有力的项目领导小组和实施小组等机构，从组织管理方面对项目实施严格、规范和有效的控制。同时，我们将引入咨询监理公司，对项目方案设计、采购招标、工程实施、试运行至竣工验收的全过程进行咨询和监理服务，对项目质量、进度、投资、变更等进行控制，对合同、文档等进行管理，协调建设方和承建方的关系，能够最佳地将建设方、承建方、监理方的管理人员、技术人员有机地结合到项目的建设中，规范项目建设过程，保证建设质量，达到预定目标，从而有效地规避项目的管理风险。机制创新—规避系统实施和运行失败风险基础信息的更新、维护保障，是保证智慧工会综合数据中心数据库的正确性、完整性和时效性，以及保证项目应用、推广、可持续并不断取得成效的关键之一。要以强烈的创新意识，采取卓有成效的管理措施，保证系统建设和应用的有效推进。主要采取的措施有：1、依托经信委等政务、企业信息化管理部门，以及“智慧工会”建设形成的体制和机制，协调好各部门、各单位之间的关系，实现信息共享。2、制订系统建设、维护、应用的人员保证制度，形成工作网络；建立信息更新维护的长效机制，对信息更新、接收、审核等环节和责任单位要加强考核，定期督促、检查、通报和考评，奖优罚劣。3、对不同的社会服务信息企业，要探索新的商业模式，充分调动企业的积极性，制订信息保障协议，实现互利共赢。4、加强对系统建设和应用必要性和重要性的宣传，统一认识，形成合力。5、做好信息更新、维护保障的技术培训工作。采用成熟而先进的新技术—规避技术风险在项目整个执行过程中，技术保障尤其是应用软件的研制，是本项目能否顺利完成和是否具有先进水平的重要制约因素。一是项目所使用的标准与国家、省的标准一致，使系统具有标准性、规范性，这样才能实现与国家、省、区域内各智慧工会，以及我市有关部门联网，真正达到资源共享的目的。二是要以强烈的创新意识，在进行消化吸收和集成创新的同时，大胆采用成熟而先进的新技术，使本项目具有新的特点和亮点，在全省乃至全国的同类项目建设中争创一流。三是加强技术交流，借鉴同类城市和系统的方案和经验，向国内相对做得成熟的城市取经。四是通过政府采购的招标平台，选择有技术能力、运营能力、并有有类似的多个成功案例的公司，特别是能够把技术能力和行业经验结合得成熟的公司，并应适当考虑建设单位的理念及技术先进性。五是加强系统集成和方案的研究，统筹考虑技术集成、信息集成、应用集成、资源集成等四个方面，做好方案设计、软件开发、系统架构、咨询监理、人员培训、服务支持等工作，尤其要严把方案设计关。方案制订前要经过充分的现状调查（包括国内外、兄弟城市和本市）和需求分析，选择成熟的技术方案，规避技术风险，保证项目实施的成功率。项目组织结构和人员培训领导组织机构项目是一项信息系统建设工程。为保证工程建设的顺利实施，应建立以市领导牵头、由发改委、经信委、工商、手机运营商等部门组成的的智慧工会项目建设领导小组，全面负责平台项目的组织领导，下设以工会领导为主任的项目建设领导小组办公室，负责项目建设、管理和运行维护。各成员单位机构明确职责，分工负责，完成各自的工作任务。建设机构建设机构是常州市总工会，具体承担职责如下：严格管理本项目的建设全过程；负责本项目的日常运行；负责本项目的资金保障。运行维护机构本项目涉及面广、社会影响大，运行维护工作责任重大。总工会组建专门队伍负责项目建设和管理。系统基础设施（包括硬件和部分系统软件、支撑软件）的日常维护由软件开发单位负责，软件通过验收后的三年内的日常维护由开发公司负责，三年后的日常维护由总工会与开发公司另行签订合同。在系统投入运行的过程中，建设方要组织运维责任方，对系统的运行状况、技术指标、问题等进行检测和汇总，对应用的运行效率进行评估，并针对出现的问题进行持续改进，保证系统的高效、可靠运行。培训培训对于任何一个系统是否成功使用至关重要。通过培训，可以使各级相关人员，对软件系统有充分了解，熟悉系统的设计和操作方式，掌握系统的工作流程和操作方法。培训对象根据业务范围，可以从以下两个方面划分培训对象：运行环境培训对象和应用环境培训对象。在运行环境培训对象中，主要包括，系统维护的专业技术人员；从应用环境培训对象上可以划分管理层和操作层两个层次：管理层：用户的领导层，该部分人员主要负责整个用户单位的运行管理，对系统的应用负有重要责任，对系统改进、扩展和完善提供建设性意见。操作层：用户的业务人员，要求熟练使用应用系统中的各项功能。培训内容培训内容除了应用软件系统本身的功能操作外，还涉及计算机应用技术方面与本项目有关的各个技术领域和有关新产品。一是为用户培训系统的维护人员，使客户在日常工作中能简单、轻松的对本系统作必要的维护和管理。二是对系统的一般用户进行培训，使用户能熟练使用本系统。对用户培训主要有以下工作：培训计划的制定、培训教材的撰写、培训的实施与效果检查。培训时间根据实际情况，与用户进行充分的沟通协商后，确定培训内容、培训对象、培训地点、实施时间等工作。以下是可供参考的阶段培训策略：1、在项目实施方案、系统运行环境完全确定前，针对项目的特点，为用户提供基础性、概念性、策略性的培训，一般需1-2天。2、在系统安装调试后，对系统管理和维护人员进行详细的培训。针对一些专项技术领域进行专项培训，一般需3-5天。3、在系统试运行期间，进入系统试运行期间，对用户进行具体的操作培训，一般需1天（每个用户群）。运行维护自终验通过之日起，进入系统维护期。在维护期内，软件开发单位应向业主方提供系统维护服务（包括微信内容的美工设计服务）。在本项目建设中，应严格履行下述维护义务：1、“智慧工会平台”需求分析，到详细设计、软件编程、软件测试、软件培训、系统试运行、系统维护，我公司为用户自始至终提供全方位的服务。2、工程维护期自终验通过之日起算，提供三年免费质保维护。3、在维护期内，软件开发单位始终需通过电话服务、远程服务和现场服务向业主方提供快速、高效的维护服务。4、软件开发单位应向业主提供2名本地工程师负责本系统运维工作，并提供7*24小时服务热线。所提供的系统出现问题时（包括硬件和软件），一般故障排除时间不超过1小时，重大故障排除时间不超过4小时。5、在运行维护的三年内，软件开发单位向业主提供满足要求的微信公众平台的全面运营，包括：专业团队的策划、美工设计、专业人员的内容编辑。项目实施进度根据项目特点、工程量、筹资方式以及组织管理能力、项目工作进展等情况，按照国家、省、市相关工作要求，依托总工会信息化现有水平，确定本工程规划和建设，分两期实施。一期工程建设周期为2016年8月—2016年10月。二期工程建设周期为2016年12月—2017年6月建设进度请见下表：序号时间安排具体工作12016年8-10月项目计划书报送、审核，并按照信息化主管部门要求继续办理相关手续同时启动项目一期工程建设22016年10-12月完成项目立项手续，落实资金，政府采购计划申报，应用系统和监理的招标、投标和评标；并与中标公司签订合同。同时启动项目二期工程建设32017年1-4月技术方案深化设计，进行软件开发，协调基层工会及商铺参与42017年5月-6月应用系统分阶段测试、试运行、正常运行52017年6月项目验收62017年6月及后续工作保证项目正常运行和维护投资匡算和资金来源我们本着经济性、实用性的原则，制订本项目的预算和软、硬件设备配置方案。资