南通民政局電子政務內(nèi)外網(wǎng)改造計劃-南通財政局

1、附件4:序號品 名品牌型 號數(shù)量單位1二層交換機華為S3328TP-SI1臺2智能二層可 網(wǎng)管交換機華為S2326TP-EI4臺3隔離卡深圳利普TP-901 SDQf72塊4服務器浪潮NP120D2R(PE2200)1臺5入侵檢測天融缶TopSentry 23041臺6內(nèi)容和行為 審計天融缶TopAudit TA-304-Watch1U機架式，4個10/100BASE-TX 接口，其中 2 個采集口1臺7硬盤西捷160G Sata72塊8網(wǎng)絡(luò)跳線f1.5米超五類72根9機柜2米標準網(wǎng)絡(luò)機柜1臺10服務費200個信息點的測試及標簽1批注：1,報價總價含設(shè)備、設(shè)備安裝調(diào)試以及所有的網(wǎng)絡(luò)改造集成服務

2、費用。2,為保障產(chǎn)品的使用，供應商報價時須提供以上表格中1-6項廠家的3年原廠質(zhì)保承諾函原件及廠家工程師免費上門安裝服務承諾函原件。電子政務內(nèi)外網(wǎng)改造方案1、 改造的目的根據(jù)市保密局、市政府信息網(wǎng)絡(luò)管理中心的要求，積極配合全市行政權(quán)力網(wǎng)上公開透明運行及應用系統(tǒng)的實施，我局擬對原局域網(wǎng)進行改造，實行內(nèi)、 外網(wǎng)分離，確保網(wǎng)絡(luò)運行安全。2、 內(nèi)網(wǎng)組網(wǎng)方案內(nèi)網(wǎng)的組建我們主要從物理層、網(wǎng)絡(luò)層、 系統(tǒng)層和應用層的安全解決方案上實現(xiàn)內(nèi)部安全管理。1 、物理層安全解決方案保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災、 火災等環(huán)境

3、事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。主要包括三個方面：環(huán)境安全、設(shè)備安全、線路安全。為了將不同密級的網(wǎng)絡(luò)隔離開，我們將采用隔離技術(shù)將互聯(lián)網(wǎng)業(yè)務和電子政務網(wǎng)兩個網(wǎng)絡(luò)在物理上隔離，通過網(wǎng)絡(luò)隔離卡的使用，在技術(shù)上做到：1.1 、在物理傳導上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)。1.2 、在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會逸失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清除處理，防止殘留信息串網(wǎng)；對于斷電非逸失性設(shè)備如磁帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲；嚴格限制可移動介質(zhì)的使用范圍

4、及環(huán)境，如軟盤、優(yōu)盤、光盤等。1.3 、物理鏈路的內(nèi)外網(wǎng)改造實施電子政務內(nèi)網(wǎng)需要從網(wǎng)絡(luò)的基礎(chǔ)布線上就進行一個區(qū)分，將電子政務內(nèi)網(wǎng)和外網(wǎng)做到物理隔離。我局早在2003 年在對辦公樓進行改造的同時就考慮到今后幾年網(wǎng)絡(luò)的發(fā)展需要，在大樓內(nèi)部布置了兩套網(wǎng)絡(luò)，這樣為實施內(nèi)網(wǎng)組網(wǎng)提供了基礎(chǔ)的線路保障。我們將在中心機房對內(nèi)網(wǎng)和外網(wǎng)的布線進行分離。原來是把內(nèi)外網(wǎng)布線放置在同一個配線柜中，這樣容易混淆而且不符合內(nèi)外網(wǎng)網(wǎng)絡(luò)布線要界限清晰的要求， 增加機柜分別用作內(nèi)網(wǎng)布線和外網(wǎng)布線，我們把網(wǎng)絡(luò)布線的分離作為內(nèi)網(wǎng)組網(wǎng)方案的基礎(chǔ)。1.4 、客戶端的內(nèi)外網(wǎng)分離我局目前每個相關(guān)人員均有1 臺電腦， 為了保障內(nèi)外網(wǎng)分電腦用，

5、同時充分利用現(xiàn)有資源，我們將在局內(nèi)部計算機網(wǎng)絡(luò)進行物理隔離改造，實現(xiàn)辦公網(wǎng)絡(luò)（內(nèi)網(wǎng) ）與國際互聯(lián)網(wǎng)（外網(wǎng)）物理隔離。我們擬在終端計算機上使用由深圳利普公司自行設(shè)計、生產(chǎn)的 TIPTOP 網(wǎng)絡(luò)安全隔離卡。每臺計算機增加一個硬盤，兩個硬盤分別連接內(nèi)網(wǎng)和外網(wǎng)，即可使一臺計算機虛擬成兩臺相對獨立的計算機。使用TP-901 SDQf 隔離卡，通過界面切換， 在內(nèi)外網(wǎng)之間實施有效的物理隔離，確保內(nèi)網(wǎng)數(shù)據(jù)安全，同時方便連接國際互聯(lián)網(wǎng)。2 、 網(wǎng)絡(luò)層安全解決方案2.1 網(wǎng)絡(luò)的 ip 規(guī)劃在內(nèi)網(wǎng)中我們將對客戶端進行相應的限制，首先實施MAC 地址與 IP 地址綁定； 其次把整個網(wǎng)絡(luò)按照部門來劃分不同的VLAN

6、， 實現(xiàn)內(nèi)部計算機各部門間的相對獨立，信息相對安全。2.2 邊緣防火墻電子政務內(nèi)網(wǎng)是一個由多級政府網(wǎng)絡(luò)組成的三級網(wǎng)絡(luò)體系結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域，因此我們將在電子政務內(nèi)網(wǎng)接入口安裝天融信防火墻，在電子政務外網(wǎng)使用一臺華為防火墻（現(xiàn)有設(shè)備），對單位電子政務的接入電腦實施一些必要的安全、防控策略。2.3 入侵檢測的使用為了保障網(wǎng)絡(luò)的安全，為網(wǎng)絡(luò)提供實時的入侵檢測及采取相應的防護手段，發(fā)現(xiàn)違規(guī)訪問、阻斷網(wǎng)絡(luò)連接、內(nèi)部越權(quán)訪問等行為，發(fā)現(xiàn)更為隱蔽的攻擊，保障內(nèi)網(wǎng)安全的運行。我局將在電子政務內(nèi)網(wǎng)中使用天融信的入侵檢測系統(tǒng)設(shè)備，杜絕從電子政務內(nèi)網(wǎng)中發(fā)起的網(wǎng)絡(luò)入侵和攻擊。2.4 內(nèi)

7、容和行為審計系統(tǒng)的使用我局將在網(wǎng)絡(luò)中部署內(nèi)容和行為審計系統(tǒng)，在不影響網(wǎng)絡(luò)性能的前提下，借助于內(nèi)容和行為審計系統(tǒng)所具有即時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力來實現(xiàn)以下目標：? 對用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容進行審計（如工作人員是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、 是否通過網(wǎng)絡(luò)泄漏了機密信息等等）? 實現(xiàn)網(wǎng)絡(luò)傳輸信息的保密存儲? 實現(xiàn)網(wǎng)絡(luò)行為后期取證。? 對網(wǎng)絡(luò)潛在威脅者予以威懾。3、系統(tǒng)層安全解決方案通過系統(tǒng)軟件和辦公軟件正版化的實施對系統(tǒng)層安全的主要兩個部分：操作系統(tǒng)安全技術(shù)以及數(shù)據(jù)庫安全技術(shù)的采用提供保障。 對于服務器和工作站采用正 版服

8、務器版本的操作系統(tǒng)4、應用層安全解決方案根據(jù)電子政務專用網(wǎng)絡(luò)的業(yè)務和服務，我們將通過服務器認證技術(shù)和防病毒技術(shù)等來保障網(wǎng)絡(luò)系統(tǒng)在應用層的安全4.1網(wǎng)絡(luò)版防病毒軟件我們已經(jīng)在內(nèi)網(wǎng)中使用趨勢網(wǎng)絡(luò)版殺毒軟件， 建立起內(nèi)網(wǎng)升級服務器，定期自 動對服務器版本進行升級，客戶端實現(xiàn)自動升級。防止一些來自于內(nèi)部網(wǎng)絡(luò)的病 毒對系統(tǒng)早成的威脅。三、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖曲通民政局內(nèi)網(wǎng)網(wǎng)絡(luò)拓樸匡二點支按機 二底土恢機二值寞錢帆二U突黑機五、軟件硬件配置表序號品名品牌型號數(shù)量備注1路由器1中心提供2防火墻1原有3二層交換機華為S3328TP-SI1采購4智能二層可 網(wǎng)管交換機華為S2326TP-EI4采購5服務器浪潮NP12

9、0D2R(PE2200)1臺6隔離卡深圳利普TP-901 SDQf （可隨意定義是否出 現(xiàn)開機選擇回向，可設(shè)置電源冷啟 動；切換方便，界向美觀；適用于 所有WINDOWS系列操作系統(tǒng)等 主流操作系統(tǒng)；作為可選功能，可 以提供特定情況下內(nèi)外硬盤數(shù)據(jù) 通訊的功能。）72采購7硬盤西捷160G Sata72采購8防病毒軟件趨勢趨勢網(wǎng)絡(luò)版1采購9入侵檢測大融缶TopSentry 23041采購10內(nèi)容和行為 審計天融缶TopAudit TA-304-Watch1U 機架式，4 個 10/100BASE-TX接口，其中2個采集口1采購附主要產(chǎn)品參數(shù)：1、天融信 TopAudit TA-304-Watch

10、功能描述支持多種應用協(xié)議的Web瀏覽（HTTP）:能完全截獲、記錄、回放、歸檔被監(jiān)測網(wǎng)絡(luò)中所有監(jiān)控、還原和審計用戶瀏覽的 WEB內(nèi)容。電子郵件（POPa SMTP、WEB MAIL ）:能完全截獲、記錄、回放、歸 檔被監(jiān)測網(wǎng)絡(luò)中所有用戶收發(fā)的電子郵件。文件下載（FTP）:能記錄、查詢訪問 FTP服務器的用戶名、口令，回放用 戶在服務器上的操作過程、還原用戶傳輸?shù)臄?shù)據(jù)。即時聊天（MSN、QQ等）：能完全記錄用戶登錄時間、離開時間，用戶 登錄IP地址、目的IP地址，聊天時使用的用戶名；還可以監(jiān)視用戶聊天 頻率、還原用戶聊天內(nèi)容。流媒體（MMS、RTSP）:能記錄用戶訪問的流媒體地址，訪問開始時間、

11、 結(jié)束時間，訪問流媒體名稱及簡介。遠程登錄（TELNET ）:能記錄和查詢訪問服務器上 TELNET的用戶名和 口令字；能記錄和回放用戶在服務器上的操作過程。強大的流量監(jiān)控與統(tǒng)計功能對重要IP進行流量監(jiān)測，并繪制出直觀的流量曲線圖，有效發(fā)現(xiàn)網(wǎng)上出 現(xiàn)的異常流量。支持對歷史流量統(tǒng)計分析。強大的報表與統(tǒng)計功 能支持多種條件的統(tǒng)計分析。完善的報表功能：提供多種專業(yè)化報表和分析圖表。支持多種審計方式實時監(jiān)控：對網(wǎng)絡(luò)中各種應用進行實時監(jiān)控分析。行為監(jiān)控：可以完全記錄、回放用戶的網(wǎng)絡(luò)行為。內(nèi)容查看審計：支持網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的完全還原，后期可以進行內(nèi)容審計、 取證。關(guān)鍵詞審計：根據(jù)設(shè)定的關(guān)鍵詞，自動快速的進行全

12、文檢索，匹配成功的 內(nèi)容將以醒目字體顏色顯示。流量監(jiān)控：通過流量監(jiān)控，有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。報表統(tǒng)計：通過統(tǒng)計分析，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的危險。支持多種報警響應方 式郵件報警阻斷TOPSEC聯(lián)動靈活全面的審計策略采集策略關(guān)鍵詞策略 流量監(jiān)控策略 報警響應策略 統(tǒng)計分析策略強大的資源監(jiān)控和日 志功能支持系統(tǒng)資源的實時監(jiān)控。提供完整的操作日志、系統(tǒng)日志記錄 ，可以進行方便的查看、導人導出。支持多種編碼、壓縮格式支持多種編碼方式：Base64 Quoted-Printable、UTF-7、UTF-8。支持多種壓縮格式：Zip、Rar、Arj、Gz等，可支持多達十四層的壓縮。高速、完整、海量信息 處理

13、能力零拷貝高速抓包。分布式數(shù)據(jù)采集、數(shù)據(jù)處理。強大的包重組和流重組能力，可以監(jiān)控各種基于協(xié)議碎片的逃避檢測行 為。增強的自身安全性基于SSL協(xié)議的加密數(shù)據(jù)傳輸。各軟硬件模塊間的身份認證。審計引擎不對外開放端口。分權(quán)、分級、分角色的用戶管理。系統(tǒng)日志審計功能。旁路方式接入網(wǎng)絡(luò)使用交換機鏡像口、共享式 HUB接入網(wǎng)絡(luò)，不影響網(wǎng)絡(luò)部署方式、不影 響網(wǎng)絡(luò)性能。即插即用，安裝非常簡單。強大便捷的部署、管理方式分布式部署，集中式管理。提供功能強大的串口管理功能。友好易用的界面，易于上手使用。提供詳細的幫助，極大地減輕了管理員的負擔。72、TP-901SDQ網(wǎng)絡(luò)安全隔離卡：性能參數(shù)獨有的智能芯片控制快速切換

14、功能，切換速度較一般隔離卡快一倍以上；切換過程中能夠保留用戶工作狀態(tài)和現(xiàn)場（編輯文檔、軟件、網(wǎng)頁等）；切換過程中自憑密碼切換網(wǎng)絡(luò)；憑密碼管理設(shè)置；支持進程保護動清空內(nèi)存中的殘留信息，確保信息不被泄露；用戶可自定義開機提示畫面，并可隨意定義是否出現(xiàn)開機提示畫面；不需要額外配件可支持IDE、 SATA 兩種不同接口的硬盤；支持 PCI 通訊控制；支持省電模式，待機后可正常激活；網(wǎng)絡(luò)及硬盤控制使用同一個芯片通道控制，確保硬盤和網(wǎng)絡(luò)狀態(tài)同步切換；內(nèi)置驅(qū)動程序，即插即用；物理介質(zhì)接口采用 RJ45,具有內(nèi)外網(wǎng)口顏色區(qū)分，具備內(nèi)外網(wǎng)絡(luò)狀態(tài)指示燈；可設(shè)置重啟/關(guān)閉計算機方式控制網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)換支持DOS、 WINDOWS 9X/ME/2000/XP/VISTA 、 LINUX 等主流操作系統(tǒng)；狀態(tài)切換時能對光盤、軟盤、USB 盤進行檢測，可禁用USB 接口，對BIOS、 CMOS 防改寫；內(nèi)外網(wǎng)切換時可以設(shè)置轉(zhuǎn)換密碼，加強保密性；斷電時隔離卡自動斷開網(wǎng)絡(luò)連接；適用于單/雙布線網(wǎng)絡(luò)；適用