招标项目技术、服务、政府采购合同内容条款及其他商务要求

1.   项目背景

“十三五”以来，随着移动互联新技术的发展以及我国政府职能的不断转变，我国的电子政务进入新的发展阶段，跨地域、跨部门、跨系统的信息共享、业务协同以及智慧政务等成为了各地电子政务的重点建设内容。根据“切实转变政府职能、变革行政管理方式”的要求，以及国家推进新型城镇化的战略的实施，利用信息化建设高效能、法制化、服务型政府无疑已成为各级政府重点采取的措施和行动。

互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。我国是世界上较早开展IPv6试验和应用的国家，在技术研发、网络建设、应用创新方面取得了重要阶段性成果，已具备大规模部署的基础和条件。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，加强统筹谋划，加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

电子政务外网作为我国电子政务网络的重要基础设施，是提高机关工作效率和公共服务水平、推进行政管理体制改革的重要保障。加快建设政务外网，对于贯彻落实新时代中国特色社会主义，增强各级政务部门的执政能力，提高执政水平、构建服务型政府都具有十分重要的意义。同时，政务外网作为深化“放管服”改革、推进“互联网+政务服务”、促进政务信息系统整合共享的重要支撑，需要融合云计算、移动互联网、IPv6等新一代信息技术，构建“云、网、端”一体化的政务外网平台生态，打造扁平化、网状化的政务外网全新架构，有效支撑数据交换、业务应用，力促实现跨地区、跨部门、跨层级信息共享和政务协同。

2.   建设范围

2.1. 市级建设范围

根据国家政务外网所承载的业务和系统服务类型的不同，在逻辑上，将国家政务外网划分为公用网络区（Global）、专用网络区（VPN）和互联网接入区（Internet）三个功能域，分别提供国家政务外网互联互通业务、专用VPN业务和互联网业务。

其中：

1、公用网络区：即采用国家政务外网公用地址（即从CNNIC注册的地址）的网络区域，是国家政务外网的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台；国家政务外网公用网络区仅路由国家政务外网公用地址。

2、专用网络区：是依托国家政务外网基础设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。国家政务外网采用VPN技术将特定业务数据与其他数据安全隔离，用于满足部门特殊需求。该区域主要采用私有地址，在骨干网上采取标签方式进行交换。

3、 互联网接入区： 是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。在互联网接入区，采取了综合的安全防护措施，对互联网接入业务提供安全防护。中央和地方按照统一的安全策略，分级接入互联网，中央政务外网为中央部门单位提供互联网业务服务，采用BGP协议连接互联网服务提供商。各地政务外网自行出口，采取NAT技术，通过静态路由连接本地互联网。原则上，国家政务外网骨干网不提供互联网业务路由。

本次项目建设不涉及到专用网络区域，仅对市级政务外网的公用网络区域与互联网接入区进行建设。

本项目建设包括对内江市电子政务外网核心节点及核心汇聚设备进行升级扩容、新建1个区级汇聚节点设备、新建综合运维平台、新建数字认证系统LRA，完成市本级200余家单位接入认证、新建互联网出口区、新建一套网络安全资源池以满足等保三级要求，以及其它相关配套设施进行升级改造。

2.2. 区县建设要求

本项目仅对内江市级电子政务外网进行升级改造，内江市下属区县按照以下要求进行设计建设。

2.2.1.    区县政务外网改造目标

1、建成支持IPv4/IPv6双栈协议的，“万兆骨干、千兆到单位”电子政务外网。

2、使电子政务外网达到三级等级保护要求。

3、统一区县政务外网出口和互联网出口。

2.2.2.    区县政务外网改造要求

2.2.2.1.            网络架构要求

区县政务外网建设应按网络层次化要求，进行分层建设，各区县仅设置汇聚层和接入层。

2.2.2.2.            设备组网部署要求

各区县出口汇聚设备设置两台出口路由器，新增汇聚路由应具备虚拟化或双机热备能力，以提高网络容易性。

为满足等保三级分区分域防护要求，应在各区县汇聚路由器下设置两台防护墙，采用口子型链接与汇聚路由器互联。新增防火墙应满足对下一代互联网防护要求。

新增两台汇聚交换机用于区县汇聚接入路由器的端口扩展，部署在防护墙下，组网模式如下：

2.2.2.3.            链路带宽要求

各区县汇聚层设备需具备万兆上联至市核心层能力，各委办局等接入单位通过接入网关采用千兆链路上联。汇聚路由器至防火墙，防火墙至汇聚交换机全部采用万兆组网。

各区县汇聚层设备上联至市核心层设备，链路要求进行冗余设计，如采用物理光纤租赁模式，建议采用双链路上线，要求物理光纤不同杆路，不同路由。如采用带宽租赁模式，要求运营商提供链路传输层保护。

2.2.2.4.            支撑系统改造要求

各区县不再新建网管、网络安全防护系统，全部由市集中建设。

3.   基础网络改造方案

3.1. 互联网出口区改造方案

现网的互联网出口流量主要电子政务办H3C SR6608设备与电信运营商互联，互联带宽为500M。

由于出口交换机已服役多年，日渐老化，稳定性与可靠性不能满足电子信息服务中心的需求，同时互联网出口区是满足全市各级政府部门利用互联网的需要，承担各接入单位用户的互联网访问、移动设备VPN拨入、门户网站发布等多种功能,同时也是电子政务外网和互联网互联互通的高风险区域，大部分的安全事件都发生在这个环节。故于本项目设计改造如下：

1、              新增互联核心网出口交换机：本期新增2台互联网核心出口交换机，串联在互联网出口路由器与出口防火墙间，用于整个网络出口安全策略部署、内容缓存和VPN等设备接入，完成各安全系统对流量镜像需求，以分担策略部署和流量镜像等需求对核心路由设备的性能损耗。新增2台互联网核心出口交换机采用虚拟化技术，将两台设备虚拟化为1台，以提高网络安全性。新增互联网核心交换机采用10GE链路分别于互联网防火墙和互联网出口路由器互联。

2、              新增互联网出口路由器：新增2台出口路由器，新增出口路由器用于整个网络的策略部署以及标签分发与终结。新增互联网出口路由器采用虚拟化技术，将两台设备虚拟为1台，以提高网络安全性。新增互联网出口路由器采用10GE链路于核心路由器互联。

3、              新增互联网加速系统：本期网络改造后，将统一全市互联网出口，因出口带宽有限，为满足全市日常办公互联网应用需求，同时提高用户访问速度，本期新增1台互联网缓存系统，将外网热点资源自动缓存在本地，供用户直接从内网下载，即“外网资源内网化”。内容缓存加速系统具备支持IPv6、内置杀毒引擎、云缓存模式、视频信息主动抓取等功能，能够通过智能的算法，判断互联网上的热点资源并自动下载缓存在本地，供用户使用。本期新增1台通过2条10GE链路旁挂在互联网核心交换机上。

4、              新增一台IPv4/IPv6协议网关：2017 年 11 月 26 日，《推进互联网协议第六版（IPv6）规模部署行动计划》指出：IPv6 是互联网演进升级的必然趋势；以协同推进 IPv6 规模部署为主线，以典型应用改造和特色应用创新为主攻方向，实现互联网向 IPv6 演进升级，构建高速、移动、安全、泛在的新一代信息基础设施，为网络强国建设奠定坚实基础。但IPv4到IPv6改造需要内外部条件同时具备的情况下才能完成升级，在此过程中必然会有先后顺序，逐步实现改造，从而平滑过渡到IPv6环境。所以本次新增一台IPv4/IPv6协议网关，实现IPv6与IPv4地址之间的转换，解决外网IPv6地址无法访问未改造完成的政府IPv4网站的问题。

互联网出口区目标网络图如下：

3.2. 电子政务外网PE路由器改造方案

目前省电子政务外网在内江市仅部署一台H3C SR6608设备，该设备通过现有的电信、移动、联通链路上联省政务外网，带宽分别为1G、500M、500M。由于设备购置年限较久远，现网也无备品备件，新购备件价格昂贵，且不能满足对IPv6过渡技术支持。本期新增两台出口路由器采用虚拟化技术，将两台设备虚拟化为1台，以提高网络安全性。虚拟化后保持现有GE链路与省政务外网互联，采用10GE链路下联至本期新增核心交换机，用于承接5个县（市、区）+经开和高新区政务外网的互联需求。目标网络图如下：

3.3. 核心交换区改造方案

核心交换区属于整个网络的核心层，是数据交换、转发的中心枢纽，负责将内江市各区县电子政务外网接入省电子政务外网骨干网络的接入需求，同时负载内江市各区县互联网统一出口的承载需求，新增设备须具备高性能、高可靠性和高扩展能力。本期新增2台高性能万兆模块化路由器，作为政务外网的核心交换设备，负责内江市各区县和市委办局统一接入，并采用设备全冗余、链路全备份结构，使用虚拟化技术，提升带宽，提高冗余度。新增核心路由向下采用10GE链路与本期市本级新增汇聚层设备进行互联，通过GE链路与其他区县互联，向上采用10GE链路与互联网出口路由器互联。通过10GE链路与大数据中心互联。通过10GE与综合业务支撑区互联。目标网络图如下：

3.3.1.    汇聚区改造方案

现有内江电子政务外网，由于现有设备端口有限不能满足各接入单位采用物理光纤至汇聚层设备，大部分通过运营商汇聚后接入H3C S7506设备。本期改造范围仅现有市本级、高新区和经开区的用户接入，其他区县不在本次改造范围内。根据之前调研，本次需满足290家企事业单位的接入需求，按照每个单位1条物理光纤接入计算，大约有290*2=580芯光缆汇聚至内江市电子政务办，对接入光缆，机房内综合布线和节点安全都提出了较高的要求。由于本期项目边界不涉及各市本级各接入企事业单位接入层改造，各企事业单位接入全部采用租用现有运营商光缆进行接入。

为满足解决各单位通过不同运营商接入现状，本期分别设置电信汇聚接入区、移动汇聚接入区、联通汇聚接入区和广电汇聚接入区。各接入区设备由接入运营商按电子政务外网接入要求进行建设不在本次方案内，要求各接入运营商采用物理光缆完成用于至运营商汇聚接入区的接入建设，在通过指定汇聚设备与本次新建核心交换区新增路由器采用10GE互联，详细组网要求见组网图。

本期在市政府8楼中心机房新建一套汇聚接入设备，用于接入市委、市人大重要单位接入以及电子政务办附件企事业单位就近接入使用。本期新增2台汇聚路由器和两台汇聚交换机，新增汇聚路由器向上采用10GE链路与核心交换路由器互联，向下采用10GE链路与本期新增交换机互联。

目标结果图如下：

3.4. 综合业务支撑区设计方案

本期新建综合业务支撑区，新增一台万兆交换机，采用10GE链路与核心路由器互联。新增交换机下挂综合运维平台、安全认证系统、资源访问控制平台、日志审计、数据库审计和全网应用统一认证平台。各平台服务采用GE链路与新增交换机互联。

3.5. 链路设计

3.5.1.   互联网出口

互联网线路出口总带宽不低于4000M,采用多家运营商接入（每家运营商出口带宽至少1000M）进行叠加。接入单位自主确定互联网出口通信运营商和带宽，通信等相关费用按原经费渠道自行解决。

3.5.2.   市级电子政务外网骨干网

核心层设备通过万兆双链路连通汇聚层设备，核心层设备通过万兆双链路连通综合业务支撑区、安全资源池区、互联网统一出口区，保证网络系统的高可靠性、稳定性的7*24*365不间断运行。

市级政务外网网络中心到省政务外网内江落地点互联2条裸光纤，带宽不低于1000M。

3.5.3.   市级电子政务外网网络中心到县（市、区）

市级政务外网网络中心到5个县（市、区）+经开和高新区主备线路各5条，主线路带宽不低于1000M，备线路线路带宽100M至1000M自适应。相关费用由各县（市、区）政府承担。

3.5.4.   市级电子政务外网网络中心到市级单位

网络中心到市级单位由运营商提供链路承载，运营商须提供物理光纤链路，理论宽带值达到1000M，并满足电子政务外网安全。接入单位自主确定互联网出口通信运营商和带宽，通信等相关费用按原经费渠道自行解决。

3.5.5.    市级电子政务外网网络中心到内江市大数据中心

市级政务外网网络中心到内江市大数据中心通过10GE双链路连通。

4.   综合运维平台

随着政务外网工程建设的不断升级，接入用户和网络设备不断增多，网络承载业务更加复杂，对政务外网运维服务能力的要求也越来越高。运维服务的好坏，将是直接关系到政务外网能否发挥预期效益、能否获得持续发展的重要问题。针对外网面临的新的挑战和难题，须构建一套完善的政务外网综合运维管理平台，实现集中监测基础平台和配套设施的运行状态，实时掌控维护过程和服务品质，并对核心维护资源进行有效管控，实现维护效率与品质提升的业务目标。

结合内江市电子政务外网信息化建设的现状和规划，新建一套综合运维平台，实现统一综合IT运维和IT服务管理功能，满足内江电子政务外网日常维护需求。

4.1. 统一综合IT运维设计

4.1.1.    建设背景

随着信息化建设事业的不断发展，信息化系统的建设规模越来越庞大和复杂，并形成了以国家、省级、市级、区县级互联互通的纵向电子政务外网网络架构和各级委办统一接入的横向电子政务外网网络架构，通过横向的接入和纵向的互联，形成了市级庞大的政务外网，并承载了上百个接入单位的业务应用。一旦出现网络故障或出现安全攻击，将对内江整个电子政务外网造成巨大风险，且没有应急替代设备的隐患和风险。因此网络建设的“高速公路”已经为其上的全面信息化应用提供了强有力的保障和支撑。如何保障网络系统的稳健性，保障应用系统的正常运行成为信息部门的一个重要任务。

特别需要提到的是，当前时代政府信息化建设过程中信息安全越来越受到重视，随着安全技术的不断革新，安全运维的挑战已经从建设转向使用，但由于缺乏好的工具对安全日志和流量进行充分挖掘与利用，很难从海量的日志里、流量里获得有用的信息，导致难以掌握全网的安全状态，已部署的安全设备的价值并没有被最大的发挥出来。本项目大数据安全管理模块需要通过对多种设备日志的自动化收集、标准化和关联分析，在做到日志审计的同时，结合流量深度分析，通过大数据关联分析技术降低安全运维人员的时间成本和技术门槛，对网络中存在的安全问题进行态势感知。总体构建 “可发现”、“可协同”、“可预测”、“可度量”的安全网络建设体系。

4.1.2.    建设目标

统一综合运维建设的目标是以市本级政务外网为核心，实现对市本级核心、汇聚、接入等网络设备、安全设备等IT设备的统一监控、性能预警、安全态势感知、故障定位，并对接入单位的边界设备、链路进行统一监测，形成以市本级网络为中心，接入单位边界设备和链路为一体的综合运维平台，以实时保障市本级政务外网与各接入单位互联的网络稳健性，从而保障办公应用的正常开展。

在建设市本级政务外网统一综合运维的基础上，提供可持续灵活扩展的管理架构，未来可联动各区县级外网运维管理平台，区县级外网运行数据可对接上传至市本级综合运维平台中，实现上下级运维数据的统一管理和呈现，形成全市政务外网的分级协同管理，提升整体网络的稳健性和运维管理效率。

4.1.3.    建设内容

建立统一的网络监控中心：

以实现对市本级骨干网络的统一监控管理，实现主流品牌的网络设备的统一监控，能够实时监测设备性能、吞吐量，端口流量、端口丢包率、广播包速率，链路通断等关键信息。并通过统一资源拓扑连接关系图，实时掌握网络及各IT资源的运行状态和链路的连通情况，实现精细化管理。

并通过协议方式自动发现对网络所关联的主机等IT资源进行统一管理，从而以业务的视角，直观了解整体网络及IT资源的运行趋势和风险，快速定位影响业务的故障节点，为管理员做好风险应对提供有效的管理手段。避免因无法把控全局IT业务态势，面临业务风险时无法实现统一快速的风险定位，造成大面积用户无法使用相关应用而影响正常的办公服务。

建立可视化的数据中心：

提供中心机房可视化管理，对机房环境指标的采集与分析，从而实现设备、动力环境、空间能耗、线路、安防设备的全面可视，拓展管理范围，实现数据中心可视、高效管理。

建立分级分权的运维体系：

提供分级管理，能够实现多级分级管理，各级独立部署，可实现从市级到区县级统筹管理。帮助管理者打破行政界线、从业务角度理清分布在各地的IT业务资源，实现数据统合。

建立统一的告警中心：

提供告警管理，按告警类型、告警等级等维度智能分类，对告警信息进行查看、受理、关联分析、诊断和派单。通过移动端、邮件、短信等多种方式使技术人员及时获知异常，快速、及时做出响应。

建立统一的IT运行数据分析：

提供IT设备历史运行数据分析，能够统计分析各类IT资源的历史运行数据，包括历史性能数据、历史告警数据，通过对历史数据的统计和趋势分析，帮助管理人员了解整体IT环境的运行质量，从而为运维持续优化提供数据依据。如网络设备端口指标报表、端口流量趋势报表、流量统计报表、链路统计报表等，为网络运行环境提供有效的风险分析，为网络的优化提供有效的数据支撑。

4.2. IT服务管理设计

4.2.1.    建设背景

随着政务外网的升级改造，市本级政务外网已服务于近200家接入单位近万用户，提供各类IT业务的办理和审批。随着各接入单位对IT业务办理的诉求越来越高，传统IT业务的办理方式已不能适应当前信息化建设的发展。

2018年6月国务院办公厅印发进一步深化“互联网+政务服务”推进各项政务服务“一网、一门、一次”改革实施方案的通知。以提高政务各单位办理各类业务的效率和体验。国家信息中心已率先完成政务外网对外IT服务的转型，实现各接入单位办理IT业务能够“一网通办”，大大的提升了用户的办理体验以及IT业务的受理效率，为各类IT业务的统计和决策提供了有效的支撑。

4.2.2.    建设目标

建立规范化、标准化、制度化、高效化的内江市电子政务外网IT服务管理平台，打破各IT职能部门、各系统间的壁垒，以先进的IT流程服务理念，将分散在各领域的IT业务办理流程有效的整合起来，运用现代信息技术提高IT业务办事效率，提升用户办理体验，最终将IT业务数据开展精细化的分析总结，提升政务外网整体的运行维护水平。

4.2.3.    建设内容

建立统一的IT服务入口：

为各区县及市级接入单位近万用户提供方便、快捷的IT服务入口，能够快捷地进行故障报修、IT业务申请与审批、IT资产管理、分析决策等IT服务的全流程处理，并实现移动应用，以提升用户IT服务便捷性和受理效率。

实现统一的故障管理：

提供故障统一管理，可以对电话、PC、移动端等多种渠道提交故障请求并进行统一跟踪，可以自动识别和分配规则将故障请求自动分派到相应的支持组和人员，以确保快速作出有效响应。能够实时跟踪事件处理进度，并为事件管理提供可量化的目标，保障服务的质量。另外故障管理与统一综合运维平台进行对接集成，将IT基础架构的告警和故障管理紧密联系起来实现闭环管理和数据资产的更新同步，实现IT资产的全生命周期管理。

实现统一的IT服务管理：

提供IT服务管理，传统的IT资源申请都是通过用户填写纸质申请单经过各级主管审批后再执行，通过IT服务服务管理的构建，用户可以将传统的IT请求类服务，如IP地址申请、服务器申请、权限开通、密码重置等业务迁移到电子化平台中，这样既方便各级主管通过PC、移动端等方式进行在线申请提供的工作的便捷性和效率，同时所有的申请、审批均可进行追溯和统计。

实现运维经验的持续积累：

提供运维知识管理，运维服务人员在处理故障的过程中可以将典型的解决方案提交到知识库中，经过审核后形成组织内部的知识进行积累。运维服务人员可以在故障处理过程中参考知识库中已经的解决方案，同时可以将知识库中的解决方案自动同步的故障工单的解决过程中，减少运维服务人员工作量，提升服务效率，提升运维团队故障处理能力。

实现IT资产的全生命周期管理：

提供IT资产全生命周期管理，提供服务管理资产的入库登记、资产信息管理、资产出库、资产报废等资产全生命周期的管控。提供微信端和PC端跨平台使用，将资产信息管理和资产实物管理进行整合，资产入库支持单一资产入库、批量资产入库，以及流程申请入库等途径，资产信息发生变化时可以对资产信息进行修改，可通过变更流程实现对资产的自动更新，以及资产的出库，实现对资产生命周期的统一记录、为IT资产的统计和审计提供有效的支持。

实现移动化运维：

提供移动端管理，移动端的统计数据与为方便用户移动办公时可随时随地了解网上办事大厅服务信息，移动端统计分析直接共享PC端统计分析报表无需单独定制开发，实现PC端和移动端统计分析同步。以更好的为不同的管理者提供IT服务的运营数据，为服务的持续优化提供有效依据。

实现IT运维数据的可视化分析：

提供IT数据分析中心，能够基于IT服务的满意度、办理效率等维度进行分析。同时可根据不同管理者对IT业务数据的需要，自定义分析自己关注的IT服务数据，以减少人工统计工作，增强分析的准确性，了解IT业务流程处理的效率，以及识别服务情况的趋势。发现流程的薄弱环节，为不断优化和改进提供指引，为绩效考核提供基本依据。

5.   网络安全设计方案

5.1. 安全建设需求

内江市电子政务外网安全建设项目遵循“积极防御、综合防范、强化管理、安全第一”以及等级保护三级技术规范的原则，以保障电子政务外网持续、稳定、健壮运行为目标，在已经运行的IT系统中划分安全域、完善电子政务外网网络安全、对应用系统实现安全审计、建立客户端和网络的安全防御系统，做好政务外网与互联网的逻辑隔离、边界防护，并加强政务外网内部资产管理、行为管理和准入控制。提高电子政务外网的安全性。提升电子政务外网业务网络持续运行的保障能力，增加安全性及提高业务网络运营的管理水平，优化网络资源，提供强有力的信息安全保障支持。对内江市电子政务外网的安全保障体系建设，覆盖网络边界、终端数据安全部分的安全建设，满足等级保护第三级的保护要求。

5.2. 网络安全防御体系建设

本项目以电子政务外网信息安全等级保护建设为主线，以让电子政务外网达到安全等级保护第三级要求。借助安全产品、态势感知、安全运营等手段，建立全网的安全防控管理服务体系，从而全面提高电子政务外网用户的工作效率，提升信息化运用水平。

内江市电子政务IPv6网络安全架构设计框架

为应对内江市电子政务外网 IPv6 全面改造及 v4/v6 过渡期间面临的各类安全风险，构建积极的安全防御体系，按照“安全三同步”原则，将安全防护措施贯穿于 IPv6 规划、建设、运行阶段, 并分层实现协议安全、安全设备、业务安全和安全管理，在每个安全层采用多种管控技术手段，实现全流程端到端安全，并且全网安全设备必须适配改造后的IPV6网络，满足用户迁移到IPV6网络后的安全防护需求与合规需求。其中，在关键的IPv6网络安全层面，设计如下：

5.2.1.   网络拓扑示意图

内江市电子政务外网网络建设在经过改造后统拓扑图如下所示：

 

5.2.2.   安全域划分

5.2.2.1.            安全域定义

安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。对信息系统进行安全保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全建设的首要步骤。

对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：

1)      业务和功能特性

l  业务系统逻辑和应用关联性

l  业务系统对外连接：对外业务，支撑，内部管理

2)      安全特性的要求

l  安全要求相似性：可用性、安全性和完整性的要求

l  威胁相似性：威胁来源、威胁方式和强度

l  资产价值相近性：重要与非重要资产分离

3)      扩展和延伸

l  系统扩展：考虑随今后业务的变更带来安全性更高要求，信息安全系统应具有增强到更高级安全保护等级的扩展能力，为今后的扩展打下良好的基础；

l  系统延伸：配套建设本地备份，在具备条件时本地备份系统与主系统应设置于不同的建筑物内，同时接收与主系统相同的输入信息，为系统搬入在本地同城备份点的迁移建设确立良好的基础。

4)      参照现有状况

l  现有网络结构的状况：现有网络结构、地域和机房等

l  参照现有的管理部门职权划分

5.2.2.2.            安全域划分原则

针对各安全域的安全防护参照以下原则：

1)      最小授权原则

安全域间的防护需要按照安全最小授权原则，依据“缺省拒绝”的方式制定防护策略。防护策略在身份鉴别的基础上，只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。

2)      业务相关性原则

安全子域的安全防护要充分考虑该子域的业务特点，在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。

接入域子域之间的业务关联性、互访信任度、数据流量、访问频度等较低，通常情况下没有数据互访的业务需求，因此安全防护策略非常严格，原则上不允许数据互访。

接入域子域与核心域子域的业务关联性、互访信任度、数据流量、访问频度等比较适中，多数情况下表现为终端到业务系统的访问，因此安全防护策略比较严格，通常只允许受限的互访。

核心域子域之间的业务关联性、互访信任度、数据流量、访问频度等比较高，通常情况下业务关系比较紧密，安全防护策略可以较为宽松，通常允许受限的信任互访。

3)      策略最大化原则

需要对核心域和接入域分别制定多项防护策略。核心域防护包括核心域与接入域边界和核心域各子域之间的防护，接入域防护包括接入域内部边界和外部边界的防护，当存在多项不同安全策略时，安全域防护策略包含这些策略的合集，并选取最严格的防护策略，安全域的防护必须遵循策略最大化原则。

5.2.2.3.            安全域划分

针对内江市电子政务外网第三级等级保护安全建设需求，依据网络现状、业务系统的功能和特性、业务系统面临的威胁、业务系统的价值及相关安全防护要求等因素，对网络进行安全域的划分，从而实现按需防护、多层防护的技术理念.

通过逻辑划分安全域以后，整个网络结构更加清晰、简洁，各个部分的安全目标更加清楚，更加利于不同安全技术的策略制定及设计。内江市电子政务外网分为:互联网统一出口域、政务外网上联域、市委办局接入域、区县接入域、综合业务支撑域共五个安全域。

5.2.2.4.            安全资源池控制器设计

电子政务外网业务发展带来愈加强烈的安全需求和更高的安全要求，网络中需要部署的安全设备不断增多、网络系统也日趋复杂，各种不同安全职能设备不断串联至网络中，传统组网如下：

随着安全设备及要求的不断增多，串联式组网，主要存在以下几个方面的不足：

为解决传统政务外网网络安全建设中，安全设备“糖葫芦串”模式部署，导致串接设备增多，单点故障和性能瓶颈、资源利用率下降的问题，可利用SDN控制技术，构建安全资源池，主要功能特点如下：

Ø  网络安全监控设备采用旁挂的部署模式，对上述问题可以很好的解决。通过串行模式部署改为旁挂模式部署，当任何流量需要经过任何安全设备，即按需引流方式可以提升安全设备的利用率。

Ø  增加安全设备直接旁挂即可，在控制器进行手工添加一个新节点，无需考虑更改拓扑，人员配置等问题带来的风险问题,天然避免单点故障,可以解决原网络出口架构的功能伸缩性部署问题。

Ø  业务按需服务：通过集中策略设备实现政务业务按需服务，能够对业务流量进行精细化的识别及状态变化检测，进行流量路径编排，业务按需牵引到对应服务器或者设备上，变向提高链路利用率。安全设备无需处理非相关流量，提升安全设备利用率。实现按需引流、指定流量清洗等。

Ø  流量清洗：集中下发控制策略，对关键业务流量或者危险业务流量下发清洗策略，把指定流量引流至指定安全设备，由安全设备对流量进行清洗后，再采用正常策略转发。

本期新增1台安全资源池管理器，采用10GE链路与出口交换机互联，具体部署位置如下：

5.2.3.   互联网统一出口边界安全

5.2.3.1.            边界防火墙安全设计

根据等级保护第三级技术以及内部网络安全建设要求，边界应当能进行有效的防御体系建设，利用防火墙对内部网络的划分，可实现内部重点网段的隔离，通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之间的唯一安全通道，制定相应的安全规则，可以允许符合条件的数据进入，同时将不符合条件的数据拒之门外，即“法无许可即禁止”。这样就可以阻止非法用户的侵入，保证内部网络的安全。

通过在网络边界部署防火墙设备，并执行安全域划分、访问控制、攻击检测等安全功能，实现L2-L7层的防护，可以达到实时阻断越权访问和恶意连接的安全目的。防火墙不仅内置入侵防御、病毒、URL、应用识别特征库外，还可以利用外部威胁情况，由云端提供病毒云查杀、URL云识别、应用云识别、云沙箱等功能。扩展防火墙特征库，精确定位网络中的威胁，并配合处置中心对已确认的威胁行为进行处置，着重解决了已知威胁，补充传统安全不足、提升已知威胁识别效率，本期在互联网出口布放两台互联网出口防火墙，采用10GE链路互联。

l  边界防火墙部署位置：

在市电子政务外网互联网出口接入边界，部署第二代防火墙系统2台进行安全冗余，从网络层对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。需支持纯 IPv6 环境下、过渡期间 IPv4/IPv6 双栈部署等场景的功能需求。例如，需支持 IPv4/IPv6 双栈协议及过渡时期的常用隧道技术，支持 IPv6 解析，包括基于IPV6的应用识别、病毒检测、入侵防御等。

5.2.3.2.            入侵防御安全设计

入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。全面的安全防护方式、多样的安全管理功能、出色的网络防护性能、深度的IPv6防护能力，为用户构建了高效、智能的安全网络

l  入侵防御系统部署位置

在内江市电子政务外网安全资源池新增一台入侵防御系统IPS, 采用10GE链路旁挂在出口交换机侧，通过安全资源池控制器进行流量引流完成互联网出口边界入侵防护。

5.2.3.3.            上网行为管理安全设计

政务人员通过电子政务外网统一出口互联网后，上网行为审计尤为重要，通过部署支持IPv6行为审计的设备，支持双栈同步处理，支持对HTTPS网页、特殊浏览器、SSL加密邮件的审计，支持移动应用识别，支持路由、桥接、旁路、混合等部署方式。实现以下功能：

（1）内容审计

URL、网络搜索外发文件、邮件微博等内容审计；

（2）实名制上网行为审计

与实名认证系统对接，并实现IPv6会话审计；

（3）上网行为管控

邮件收发管理、邮件附件过滤、不良网站封堵、异常行为告警，同时对内网用户所有的上网行为进行记录，留存相关日志6个月以上，保障网络关键应用和服务的带宽，对网络流量、上网行为进行深入分析与全面的审计。

l  上网行为管理系统部署位置：

在内江市电子政务外网互联网出口核心交换机旁新增一台上网行为管理系统，通过安全资源控制器将流量引流至上网行为管理系统。

5.2.3.4.            安全接入网关安全设计

部署SSL-VPN需要为每一个使用者分配用户帐号和访问密码，这对于管理员而言是一个重复、繁琐的工作，SSL-VPN支持为用户提供一种用户自注册服务，实现了用户按需注册，指定人员审批的用户添加模式。这种方式部署SSL-VPN能够最大化的降低管理员的管理符合，提高产品的部署效率。

安全接入网关部署的位置

1台SSL-VPN以旁路方式部署在核心交换机侧，旨在为远程维护或远程办公提供一条安全加密的通信道路。在信息服务区，通过SSL-VPN技术，对接入用户进行身份识别和数据加密，保证敏感数据在互联网中的加密传输，用户身份通过多因子方式认证，以保证合法授权接入内网.

5.2.4.   综合业务支撑区安全设计

5.2.4.1.            边界防火墙安全设计

根据等级保护第三级技术以及内部网络安全建设要求，边界应当能进行有效的防御体系建设，利用防火墙对内部网络的划分，可实现内部重点网段的隔离，通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之间的唯一安全通道，制定相应的安全规则，可以允许符合条件的数据进入，同时将不符合条件的数据拒之门外，即“法无许可即禁止”。这样就可以阻止非法用户的侵入，保证内部网络的安全。

通过在网络边界部署防火墙设备，并执行安全域划分、访问控制、攻击检测等安全功能，实现L2-L7层的防护，可以达到实时阻断越权访问和恶意连接的安全目的。防火墙不仅内置入侵防御、病毒、URL、应用识别特征库外，还可以利用外部威胁情况，由云端提供病毒云查杀、URL云识别、应用云识别、云沙箱等功能。扩展防火墙特征库，精确定位网络中的威胁，并配合处置中心对已确认的威胁行为进行处置，着重解决了已知威胁，补充传统安全不足、提升已知威胁识别效率。

l  边界防火墙部署位置：

在市电子政务外网综合业务支撑区接入边界，部署第二代防火墙系统1台进行安全防护，从网络层对所有流经防火墙的数据包按照严格的安全规则进行过滤，不仅能进行访问控制，同时也能够进行病毒防护和入侵防护，节省网络资源，使业务运行更加高效。

5.2.4.2.            日志审计系统设计

在综合业务支撑区部署日志审计系统，集中收集计算环境产生的日志信息，集中分析，包括各类业务服务的操作系统和应用系统，数据库服务以及网络设备和安全设备。

l  日志审计系统部署位置

在内江市电子政务外网综合业务支撑区部署日志审计系统，实现日志的集中审计、集中分析。

5.2.4.3.            数据库审计系统安全设计

数据库审计系统能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等，都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级，并记录这些操作的用户名、机器IP地址、操作时间等重要信息。

数据库审计系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸通过使用数据库审计系统，能够加强对核心数据库系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。

l  数据库审计系统部署位置

在综合业务支撑区新增一台数据库审计系统，连接交换机的镜像端口，对网络中针对数据操作进行审计。

5.2.4.4.            态势感知安全设计

通过部署网络态势感知平台建设网络态势感知体系，帮助进行全网安全要素信息的集中获取、海量安全数据集中存储，并在此基础上面向防护对象进行态势感知分析和呈现，包括攻击态势地图，围绕网络中的资产呈现被防护对象的安全态势，安全威胁趋势，全网告警分布，全网漏洞及配置弱点分布以及业务系统的健康态势等，实现全方位态势感知能力，为信息安全的持续提升提供决策支撑。

态势感知平台系统可灵活的对接用户网络中的安全设备或安全子系统，实现各类型多厂商安全监测防护资源的整合，通过现有及待建安全子系统的对接，态势感知系统可覆盖全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息，并在此基础上综合分析呈现，形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析、安全风险态势等在内的多视角全方位的态势感知系统。

态势感知建设思路

本期在核心路由器旁挂态势感知探针，通过对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息，通过加密通道传送到分析平台进行统一处理，实现网络安全态势感知和策略下发。

5.2.5.    安全认证系统

建设内容：

在综合业务支撑区建立统一的政务外网接入认证管理和资源访问管理机制，规范政务外网和互联网资源的访问，增强对接入用户的身份识别和控制能力，实现实名身份认证、网络区域隔离、自动切换网域等功能，满足相关政策要求。该部分主要由安全认证系统、资源访问控制平台两部分组成：

（1）安全认证系统，实现实名认证服务器（WEB认证radius），网络准入与电子政务外网一体化认证的账户统一性检测，对网络认证身份管理，统一管理入网账号。支持本地创建、和第三方身份账号平台对接实现账号同步。支持账号分级分权管理，满足多级行政架构下的管理诉求；

（2）资源访问控制平台，实现入网权限管控服务、资源管理（对网内承载访问域切换的路由器设备下发访问控制配置、0057EB管理、管理员分级分权等）和实名审计（认证用户上下线日志等）。

访问流程

本次项目建设中，内江市级网络平台为保障安全信息安全和符合国家电子政务外网标准《接入政务外网的局域网安全技术规范》（GW0206-2014）合规，设计通过定制化或开发实现政务外网、互联网等不同业务网络的灵活切换功能，保障同时只能访问一个区域（其他区域处于隔离状态），以此保证用户专网专用，隔离非法的业务访问。具体实现预期访问流程效果如下：

（1）电子政务外网用户使用浏览器打开任意网页（比如www.qq.com），如下图浏览器所示；

（2）弹出登录界面，输入用户名+密码，选择安全域（互联网/政务外网），点击登录，如下图示意图：

（3）当选择互联网域时，用户将可以直接访问互联网（这时将与电子政务外网隔离无法访问）；

（4）当需要办公时，点击或输入一个电子政务外网的网址（IP），如内江市网上办公平台时，系统自动识别安全域，弹出切换网域对话框选择界面。用户确认切换到电子政务外网网域过后将可以直接访问电子政务外网相关资源。如下图示意图：

实现目标

通过安全认证和资源访问控制，配合政务网络资源的顺利融合，方案必须实现电子政务外网、互联网等的灵活切换功能，必须通过浏览器，采用网页方式灵活切换，保障同时只能访问一个区域（其他区域处于隔离状态），切换过程要求便捷灵活无感知，并实现用户一次只能访问一个网域，以此保证用户专网专用，隔离非法的业务访问，符合国家电子政务外网标准《接入政务外网的局域网安全技术规范》（GW0206-2014）。实现如下效果：

（1）电子政务外网终端用户可以通过WEB页面进行实名认证，控制业务资源访问，不同人员可赋予不同的业务访问权限；

（2）对电子政务外网中的各个安全域能够识别和管控，在同一时刻入网人员只能访问一个目的安全域，与其他安全域隔离，保证网络单通；

（3）能够使入网用户在各个安全域之间切换进行日常工作，WEB界面能够实现无感知切换，能够手动制定切换方式，仍然保证同一时刻网络访问的单通；

（4）在各委办、单位网络经过NAT之后，可支持能够记录经过NAT之后的URL日志和NAT日志，并实时传递给日志系统进行存档；

（5）用户入网认证完成后，接入用户不能再通过本地WIFI或4G上网卡访问互联网，只能通过电子政务外网实现对业务网络或互联网的访问，实现接入用户安全孤岛功能。

同时，从合规政策层面，通过实名认证后配合软硬件设施实现上网行为审计，满足公安部82号令要求，即用户在网上发表不良言论，出现安全事件必须能够追溯到人，没有落实相关的安全措施出现问题由管理者负责，提供互联网服务单位的管理者必须做好入网的实名认证，和访问互联网的实名审计和日志留存。

5.2.6.   市委办局接入边界安全

根据等级保护第三级技术以及内部网络安全建设要求，边界应当能进行有效的防御体系建设，利用防火墙对内部网络的划分，可实现内部重点网段的隔离，通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之间的唯一安全通道，制定相应的安全规则，可以允许符合条件的数据进入，同时将不符合条件的数据拒之门外，即“法无许可即禁止”。这样就可以阻止非法用户的侵入，保证内部网络的安全。

通过在网络边界部署防火墙设备，并执行安全域划分、访问控制、攻击检测等安全功能，实现L2-L7层的防护，可以达到实时阻断越权访问和恶意连接的安全目的。防火墙不仅内置入侵防御、病毒、URL、应用识别特征库外，还可以利用外部威胁情况，由云端提供病毒云查杀、URL云识别、应用云识别、云沙箱等功能。扩展防火墙特征库，精确定位网络中的威胁，并配合处置中心对已确认的威胁行为进行处置，着重解决了已知威胁，补充传统安全不足、提升已知威胁识别效率。

l  边界防火墙部署位置：

在每个市委办局接入边界，部署第二代防火墙系统2台进行安全冗余，进行访问控制，也能够进行病毒防护和入侵防护，节省网络资源，使业务运行更加高效。

5.3. 安全管理体系建设

5.3.1.   安全管理体系建设必要性

网络与信息都是资产，具有不可或缺的重要价值。无论对企业、国家还是个人，保证其安全性是十分重要的。网络与信息安全工作是内江市电子政务外网运营与发展的基础和核心；是保证网络品质的基础。

网络与信息安全工作无所不在，分散在每一个部门，每一个岗位；同时，网络与信息安全是内江市电子政务外网所有人员共同分担的责任，与每一个人员每一天的日常工作息息相关。所有人员必须统一思想，提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。

安全策略是指导信息系统维护管理工作的基本依据，安全管理和维护管理人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。

安全策略的适用范围是信息系统拥有的、控制和管理的所有信息系统、数据和网络环境，适用内江市电子政务外网信息系统范围内的所有部门。对人员的适用范围包括所有与信息系统的各方面相关联的人员，它适用于全部应用的员工，全部范围内容的维护人员，集成商，软件开发商，产品提供商，顾问，临时工，商务伙伴和使用信息系统的其他第三方。

5.3.2.   安全管理体系框架

内江市电子政务外网安全管理体系应由两部分组成的。一部分是一系列安全策略和技术管理规范（第一、二层），另一部分是实施层面的工作流程（第三、四层）。

安全管理体系总纲（以下简称总纲）位于安全体系的第一层，是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，对内江市电子政务外网各方面的安全工作具有通用性。

安全管理体系的第二层是一系列的管理规定和技术规范，是对总纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。

安全管理体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。同时第四层是做好具体执行的记录。

安全管理体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和闭环管理的原则，通过定期的评估不断修改完善。

安全策略是在内江市电子政务外网内部，指导如何对网络与信息资产进行管理、保护和分配的规则和指示。内江市电子政务外网必须制订并实施统一的网络与信息安全策略，明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。

内江市电子政务外网的安全策略是由安全管理体系三个层面的多个子策略组成的，具有分层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。

5.3.3.   安全管理体系建设内容

内江市电子政务外网安全策略与管理体系应该依据国际国内规范及标准，参考业界的最佳实践ISO 27001，结合内江市电子政务外网的实际情况，制定并描述了网络与信息安全管理必须遵守的基本原则和要求，将安全工作要点归结到以下八个方面：

5.3.3.1.            组织与人员

内江市电子政务外网必须建立单位级别的网络与信息安全常设领导机构，全面负责网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。必须设立专职安全队伍，建立安全事件响应流程和联络人制度。应与外部安全专家和其他相关组织加强沟通与协作。

内江市电子政务外网的所有岗位职责中必须包含安全内容，并尽量实现职责分隔。内江市电子政务外网应实施人员考察制度。内江市电子政务外网的所有员工都应当接受网络与信息安全培训。

第三方访问和外包服务必须受到控制，应事先进行风险评估，分析安全影响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。

5.3.3.2.            网络与信息资产管理

内江市电子政务外网必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”，分配其相应的安全管理职权，并由其承担相应的安全责任。“责任人”可以将具体的工作职责委派给“维护人”，但“责任人”仍必须承担资产安全的最终责任。

根据网络与信息资产的敏感度和重要性，必须对其进行分类和标注，并采取相应的管理措施。

5.3.3.3.            物理与环境安全

内江市电子政务外网的关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根据不同的安全需求等级，内江市电子政务外网应划分不同的安全区域，例如：机房、办公区和第三方接入区。针对不同的安全区域，内江市电子政务外网应采取不同等级的安全防护和访问控制措施，阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定，加强安全区域的保护。

内江市电子政务外网必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵守相应的安全要求。

5.3.3.4.            运行维护安全

内江市电子政务外网应建立网络与信息处理设施的管理和操作的职责及流程，并尽可能地实现职责分离。开发、调测和运行环境应保持相对隔离。

内江市电子政务外网应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批应包含安全内容，并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。

内江市电子政务外网应采取相应技术手段，确保时钟和时间同步。

内江市电子政务外网应建立严格的软件管理制度，及时加载安全补丁，定期进行系统安全漏洞评估，并执行系统加固解决方案。

内江市电子政务外网应当制定备份制度，执行备份策略，并定期演练数据恢复过程。记录操作和故障日志。

内江市电子政务外网必须采取多种控制措施，保护网络设备及其上信息的安全，尤其是网络边界和与公共网络交换的信息。可采取的控制措施如：访问控制技术、加密技术、网管技术、安全设备、安全协议等。

内江市电子政务外网应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。

内江市电子政务外网在与其他组织交换信息和软件时，应遵从相应的法律或合同规定，采取必要的控制措施。

应制定相应的程序和标准，以保护传送过程中的信息和媒介安全，尤其要考虑电子邮件等应用的安全控制需求。内江市电子政务外网还应制定信息发布管理规定。

5.3.3.5.            访问控制

内江市电子政务外网应基于业务和安全需求，制定访问控制策略，并明确用户职责，加强用户访问控制管理。内江市电子政务外网应加强对移动办公和远程办公的管理。

内江市电子政务外网应加强对网络系统、操作系统、应用系统的访问控制，如在内江市电子政务外网网络边界设置合适的接口，采取有效的用户和设备验证机制，控制用户访问，隔离敏感信息。同时应监控对系统的访问和使用，记录并审查事件日志。

5.3.3.6.            开发与维护

新系统的开发，包括网络基础设施，必须遵循系统安全生命周期管理流程。在开发新系统之前，应确认安全需求。在设计中应采用合适的控制措施、审计跟踪记录和活动日志，包括输入数据、内部处理和输出数据的验证。应用系统不应在程序或进程中固化账户和口令，系统应具备对口令猜测的防范机制和监控手段。

内江市电子政务外网应通过风险评估来确定加密策略，基于统一的标准和程序建立加密管理规范。

在系统开发及维护过程中，应严格执行系统开发流程管理，包括对开发、测试和生产环境的变更控制，以保证系统软硬件和数据的安全。

5.3.3.7.            安全事件响应与业务连续性

内江市电子政务外网必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针，建立安全事件响应流程和奖惩机制。如有必要，应尽快收集相关证据。

内江市电子政务外网应实施业务连续性管理，通过分析安全事件对业务系统的影响，制定并实施应急方案，并定期更新、维护和测试。

5.3.3.8.            安全审计

网络与信息系统的设计、操作、使用和管理必须遵从国家法律及政策制度相关管理条例的安全要求。

安全审计应遵循独立原则建立安全监管及检查制度，定期检查网络与信息系统安全，检验安全政策和技术规范的执行情况，并对未达到安全要求的责任单位进行处罚，加强对内江市电子政务外网各单位的安全监管力度。应采取有效的控制措施保护网络与信息系统及审计工具，使安全审计的效果最大化，影响最小化。

5.3.3.9.            结合等保的安全管理体系文档

编号	题目	概述
1	信息安全管理体系总纲	建立信息安全工作的总体方针、政策性文件和安全策略文件，明确机构安全工作的总体目标、范围、方针、原则、责任和信息系统的安全策略等。
管理规定
组织与人员
2	安全组织体系及职责	规定内江市电子政务外网各级安全组织机构的职责和工作。
3	安全岗位人员管理制度	依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的安全审查。
4	员工安全管理制度	员工在录用、调动、离职过程中的信息安全管理，提出对信息安全培训及教育、奖励和考核的要求。
5	第三方人员安全管理制度	对第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方公司和外包服务公司签署安全责任协议，明确其安全责任。
6	培训及教育管理制度	内江市电子政务外网各层面信息安全培训的要求和主要内容。
物理环境
7	通信机房管理制度	严密规范中心机房内各计算机信息系统的操作管理，明确机房管理人员的工作职责，更好的保障网络应用系统的安全。
8	终端安全管理办法	规范终端的配置和使用，降低由于个人对终端的使用不当而给内江市电子政务外网造成的风险，提高内江市电子政务外网终端标准化程度。
运行维护
9	安全体系建设管理制度	建设完整安全体系，实现从设计、实施、修改和维护生命周期的安全体系自身保障。
10	安全风险评估管理办法	信息安全体系的建设和维护，要通过及时获知和评价信息安全的现状，通过对于安全现状的评估，实施信息安全建设工作，减少和降低信息安全风险，提高信息安全保障水平。
11	安全预警管理办法	对安全威胁提前预警，及时将国内外安全信息通知内江市电子政务外网各级信息安全管理人员及员工，确保能够及时采取应对措施，以此降低内江市电子政务外网的信息安全风险。
12	安全补丁管理办法	按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程进行补丁安全管理。
13	安全策略管理制度	规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障。
14	病毒防护管理办法	提升内江市电子政务外网病毒整体防护能力，降低并防范病毒对于内江市电子政务外网业务造成的影响。
15	数据备份管理制度	保障系统数据的安全，减少因人为或其他外在因素导致数据丢失造成的损失。
16	配置变更管理制度	严格控制和审批任何变更行为。
17	技术资料安全管理制度	加强内江市电子政务外网关于技术资料的安全管理能力。
访问控制
18	账号和口令及权限管理办法	用户账号和权限管理，按照最小特权原则为用户分配权限，避免出现共用账号的情况。
19	远程操作接入管理办法	制定相应的策略、程序和标准来控制远程接入行为。
20	网络互联安全管理办法	基于业务应用的访问策略和要求，采取适当措施，从技术和管理两方面控制网络互联。
21	安全监控及审计管理制度	部署网络层面、系统层面和应用层面的安全审计和安全监控技术措施，保障业务系统的安全运行。
业务保障
22	应急预案管理制度	制定各业务系统的应急方案，及时发现、报告、处理和记录。
23	安全事件管理办法	加强内江市电子政务外网信息安全事件的管理，规范安全事件的响应和操作流程。
安全审计
24	检查及考核管理制度	建立安全检查制度和安全处罚制度，对违反规章制度的部门和人员按照规定进行处罚。
技术规范
1	网络安全管理技术规范	规范针对网络设备、网络结构以及网络各类安全控制的操作，确保安全配置和过程控制的安全有效。
2	应用系统安全技术规范	规范应用系统在开发过程中，安全功能设定过程中的安全。
3	操作系统安全技术规范	规范操作系统的安全配置，降低被攻击的风险。
4	数据安全技术规范	规范数据存储和传输过程中的安全控制。
5	网络设备配置规范	规范网络设备系统的安全配置，降低被攻击风险。
6	安全设备配置规范	规范安全设备系统的安全配置，提升安全设备的安全防护有效性。
7	应急响应安全技术规范	规范应急响应计划的内容、应急响应流程、职责等相关应急响应准备。
管理流程
1	安全补丁管理流程	配合《安全补丁管理办法》共同使用。
2	安全策略管理流程	配合《安全策略管理办法》共同使用。
3	安全配置变更管理流程	配合《安全配置变更管理办法》共同使用。
4	安全事件处理流程	配合《安全应急响应管理办法》共同使用。
5	安全体系建设流程	配合《安全体系建设管理办法》共同使用。
6	第三方人员访问申请审批流程	配合《第三方人员安全管理办法》共同使用。
7	终端安全处理流程	配合《终端安全管理办法》共同使用。
8	应急响应流程	配合《安全应急响应管理办法》共同使用。
9	帐号安全管理流程	配合《账号和口令及权限管理办法》共同使用。

 

6.   IP地址规划方案

IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响，因此合理的IP地址分配是网络设计的重要目标之一。IP地址规划原则如下：

1)   唯一性：一个IP网络中不能有两个主机采用相同的IP地址。

2)   连续性：简化路由选择，充分利用地址空间，最大限度地实现地址连续性，并兼顾今后网络发展，便于业务管理。连续地址在层次结构网络中易于进行路由汇聚，大大缩减路由表，提高路由算法的效率。充分利用CIDR（无类域间路由）技术，减少路由表大小，加快路由收敛速度，同时减少网络中传播的路由公告信息，降低网络中用于传播路由信息的开销，避免局部网络故障引起整个网络上的路由算法进行再计算，提高网络的总体性能。

3)   可扩展性：充分考虑网络未来发展的需求，坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量，在网络规模扩大时能保证地址空间汇总所需的连续性。

4)   标准化和灵活性：充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术，合理、高效、充分地使用IP地址空间。

5)   层次性：IP地址划分的层次性应体现出网络结构的层次性。

6)   可管理性：为便于网络设备的统一管理，分配一段独立的IP地址段做网络互连地址和loopback地址。

6.1. IP地址规划

电子政务外网IP地址规划包括网络系统地址（用于组网互联）和用户业务地址两大类。网络系统地址由以下几种地址构成：loopback管理地址、设备互联地址、设备管理地址；用户业务地址主要用于承载数据网的各类业务如接入的各委办局用户VPN业务。

IP地址分配工作要点如下：

1)   合理分配路由器、交换机的Loopback地址和管理地址；

2)   合理分配广域网链路互连地址：包括核心层和汇聚层广域互联链路、接入和汇聚互联链路地址；

3)   合理分配广域和局域互连地址（PE和CE的链路地址），根据VPN划分的数量来确定，链路的数量基本和每个PE上连接VPN的数量一致。PE和CE的链路地址应根据VPN统一规划，每个VPN一段地址，方便管理；

4)   为了节省广域网网络带宽和节点处理资源，网络IP地址的分配须有效控制，把IP地址的分配和路由的规划一起考虑，便于地址更有效的汇聚；

5)   以路由协议的拓扑结构为IP地址规划参考的第一要素，即：按照协议的区域划分来规划IP地址段，保证在每个区域内的互联IP地址都可以聚合；

6)   网管地址统一规划，便于VPN地址的管理；管理地址使用国家政务外网管理中心分配的100地址段进行部署。

7)   充分考虑IP地址的预留问题，以保证网络的可扩充性。

6.2. IP地址分配方案

Loopback地址:

网络设备的Loopback地址在组网中起着比较重要的作用，动态路由协议及MPLS协议等都要用到，主要包括以下情况：

1)      设备的Loopback地址，是保证内部路由协议的正常运行的重要条件，是建立iBGP会话的主要参数。选择Loopback地址作为iBGP会话建立的基础，对于会话的稳定性能够提供很好的支持。

2)      设备的Loopback地址是MPLS协议分发标签的重要参照地址。

对于各个组网设备的Loopback地址的分配和管理，应当采取统一的专有地址空间。通过为所有的设备分配一个专有的地址空间，能够更为有效地进行组网设备的路由配置和管理，以及方便今后的运行维护和故障定位。Loopback地址考虑使用国家政务外网管理中心分配的100地址段进行部署，为节省IP地址资源，采用32位掩码。

设备互联地址：

组网设备之间互联链路的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个设备之间的连接。这部分地址空间的分配建议如下方式：

1)      尽可能以层次化方式分配地址；

2)      由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而减少组网设备路由表的表项规模，以降低对交换机的要求，并保证交换机的处理效率。

3)      提供足够的预留空间，以满足今后新增链路的需要。

采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种层次化结构尽量不会被打破。这就需要在初期分配的时候，考虑到将来可能进行的网络扩容，做到提前地址预留。

6.3. IPv6地址规划

6.3.1.    规划关键因素

l  参考当前网络设计

IPv6地址规划尽量与当前IPv4网络设计吻合，降低风险，也可以将原IPv4 VLAN信息、子网信息，物理位置信息在IPv6子网ID中体现。

l  合理的层次化设计

层次化设计可以提高路由聚合性和可管理性，但层次越多，地址利用率越低。

l  IPv6子网长度必须为64

否则将破坏一些IPv6特性。（RFC4291和RFC5375规定）。

l  使用ULA地址的注意事项

ULA主要用于站点内部使用，类似IPv4的私网地址，使用知名前缀fc00::/7，基本分配单元为/48-prefix，详见RFC4193。企业不需要访问Internet时可以使用。

l  路由聚合

采用层次化设计，提高聚合性，需要访问Internet的企业推荐仅使用GUA（全球单播地址），站点（Site）分配地址时，优先使用低位bit，提高聚合性。

l  扩展性

考虑业务类型增加和用户数增长，合理预留地址空间。

l  安全性

控制敏感路由发布（用于管理和互联等地址），网络隔离（如使用ACL控制）。

6.3.2.    用户地址选择

考虑到统一地址规划，提高可管理性，建议使用GUA，需要在边界路由器对这些路由进行过滤。

l  设备互联地址选择

仅应用于两个设备之间的链路（Point-to-Point Link）； 使用/64-prefix，RFC4291、RFC5375 、RFC3627等多个RFC均作为推荐首选

l  局域网前缀长度选择（Prefix Length）

推荐使用/64前缀长度。

l  管理地址

使用loopback /128前缀长度。

6.3.3.    IPv6地址分配

主机地址可使用四种方法进行配置

1. 静态配置—类似于IPv4，主机地址、掩码、域名系统（DNS）服务器和缺省网关址通过人工方式定义。
2. 无状态地址自动配置（SLAAC）（RFC 2462）。
3. 无状态DHCPv6—主机使用SLAAC获取地址前缀和默认网关，通过DHCPv6来获取其它参数，如DNS服务器、TFTP服务器、WINS等。
4. 基于状态的DHCPv6—主机使用DHCP获取IPv6地址（RFC 3315）。主机与DHCPv6服务器不在相同网络时，需要在网关处部署DHCPv6 Relay。此方式为企业常用部署方式。

主机IPv6地址配置方式取决于从路由器获得的RA所携带的标记，推荐使用基于状态的DHCPv6为企业分配地址。

7.   路由部署方案

7.1. 整网路由方案

整网路由协议部署如图所示：

电子政务外网骨干网络包括核心层及汇聚层规划为单一的AS域，整个AS内的设备运行OSPF动态路由协议。

骨干网络部署MPLS VPN，市发改委等政府部门以及其它外联单位等用户均通过CE-PE方式和骨干互联；

Internet访问采用默认路由方式，由互联网出口向网内发布默认路由；办公园区及委办局用户通过EBGP、静态路由或者二层接入等方式与PE对接；外联单位通过CE和汇聚PE进行对接，相互之间配置静态路由或者EBGP; 电子政务外网通过跨域VPN和上级政务外网互联。

7.2. IGP协议部署

在电子政务外网中可以部署的IGP路由协议有OSPF和ISIS两种。ISIS比较适合于大型单区域IGP网络，如运营商网络及包括省市县骨干节点比较多的广域网等场景；而OSPF区域划分以接口为单位，具有路由收敛快，支持的应用场景更加丰富，路由计算更加精确，维护简单等优点，同时由于实现的复杂性，比较适合中小型IGP网络。在电子政务外网路由方案中，网络节点相对不是很多，建议采用OSPF协议。

OSPF作为一种链路状态路由协议其计算路由的依据是LSA（链路状态宣告报文）数据库，在LSA数据库中对于不同OSPF设备发送来的LSA，必须使用Router-id进行区分，因此选择一个稳定的Router-id是OSPF网络设计的首要工作。Router-ID建议采用Loopback接口IP地址。

在分配完Router-id后，还需要规划OSPF核心区域，建议电子政务外网核心层及汇聚层作为OSPF的Area 0。其它需要接入核心区的单位部署为不同的OSPF Area1,2，…,，N。为了便于管理，在本方案中建议将接入单位规划到不同的AS， 与核心/汇聚层通过静态路由或EBGP互通。

7.3. BGP协议部署

因为电子政务外网内PE数量较少，可以不需要部署RR反射器，但PE之间需要建立Full Mesh全连接。随着电子政务外网规模的扩展，当三层节点规模很大时，考虑部署RR路由反射器来简化配置及运维的复杂度。设备之间的IBGP邻居关系如下图所示, 为保持拓扑简洁，只标出了其中一个RR的邻居关系，另外一个RR的IBGP部署完全相同。同级的RR之间也要有IBGP邻居关系。

电子政务外网核心层与接入的用户单位及出口防火墙部署不同的AS，需要运行EBGP协议。

7.4. 管理路由和业务路由部署

管理路由：

电子政务外网核心层及汇聚层的三层设备选取loopback作为管理接口，在OSPF中宣告即可；电子政务外网的二层设备，建议单独创建一个管理地址，通过接入的三层网关宣告到OSPF中。

业务路由：

电子政务外网PE设备与用户设备对接，需要在PE上将用户网段路由直接宣告到BGP中，如果IP地址规划得当，PE接入的用户网段可以先在本地做路由聚合，然后宣告到BGP中。另外，电子政务外网中会承载多种VPN业务，需要将各业务路由在不同的VPN下宣告。具体VPN的规划参考下一章MPLS VPN设计方案。

7.5. 用户接入路由方案

根据用户网络的不同，建议选择EBGP或者静态路由方式，如果用户网络的CE设备为三层设备，并作为MCE通过单链路接入到PE设备，并且用户网段规划便于聚合，为了简化配置，可以选择静态路由方式；如果MCE双归接入到PE设备，存在链路故障的动态检测问题，可以选择EBGP路由方式。

EBGP对接方式：

- 用户MCE设备，与城域边界PE建立EBGP邻居对接；

- 用户内网部署OSPF/ISIS等IGP动态协议，MCE将委办局IGP路由引入到EBGP向电子政务外网发布，引导城域用户访问用户内网；

- MCE向用户内网发布OSPF默认路由，引导内网用户访问城域流量。

- 适用于大中型规模的用户网络接入，在用户内网需要部署动态路由协议，如数据中心网络，区政府园区网，区直单位网络等。

静态路由对接方式：

- 用户MCE设备，与城域边界PE采用静态路由对接；

- 边界PE设备配置静态路由指向MCE，同时引入到MP-BGP向电子政务外网发布，引导城域用户访问用户网络；

- 用户网络内部部署二层网络，MCE为三层网关，部署静态默认路由指向边界PE设备，引导内网用户访问城域流量。

- 适用于网络管理区及外联单位等单链路的网络接入。

8.   全网应用统一认证中心设计方案

应用数字认证中心是以国家、省电子政务外网数字认证中心为基础，针对实际的行政区划以及特定业务对象，建设的数字认证中心，为本地业务系统提供统一身份认证和单点登陆等。能通过软证书（APP扫码登录）、用户名密码等多模式身份鉴别，实现基于统一身份认证服务的全网统一认证和单点登录。

8.1. 身份认证网关

身份认证网关支持主路和旁路两种工作模式，这样能更好的满足用户复杂的应用接入环境和安全应用需求，在应用安全和应用效率的侧重点上用户可以自由的选择。

8.1.1. 系统组成

Ø  主路工作模式

主路模式下用户的业务访问都必须经过身份认证网关，用户只有通过身份认证网关后才可以访问到后台的业务应用，这是一种业务应用安全需求至上的0应用模式，主路模式的优点在于更强的访问控制和应用网络的地址结构保护。这种模式的组件主要分为三个部分：

网关服务端：负责用户的集中身份认证和通信链路保护以及鉴权访问控制。

网关客户端：部署在用户客户端上，构建客户端与网关服务端的认证桥梁。

应用端接口：解决应用访问的二次认证和应用信息传递的开发接口，如果用户不关注二次认证和信息传递，则不需要。

Ø  旁路工作模式

旁路模式下身份认证网关只负责用户的身份认证，用户一旦通过身份认证后其与业务的通信交互则与网关无关，这是一种应用效率至上的应用模式，旁路模式的优点在于更高效的集中身份认证效率，对应用访问的瓶颈影响最小，这种模式的组件主要分为四个部分：

网关服务端：负责用户的集中身份认证和鉴权信息传递。

客户端API：C/S架构应用下的认证请求发起。

应用端接口：负责转发客户端的认证请求到网关服务端。

8.1.2. 功能设计

8.1.2.1.            身份认证

(一) 数字证书认证

系统支持PKI/CA数字证书认证方式，对PKI全面支持，包括以下方面：

1)      用户数字证书完整性验证

验证证书基本信息，包括有效期、信任域、证书状态。

2)      CRL更新

系统支持动态更新CRL，并支持WEB站点下载、LDAP服务器下载、及手工导入三种更新模式。

3)      支持OCSP证书验证方式

系统支持OCSP协议进行证书状态验证。

4)      支持标准的证书载体

支持PKCS#12标准证书和各种具备标准CSP的硬件KEY。

5)      支持证书链

支持由多级CA颁发的证书。

6)      支持单、双向认证选择

系统不仅支持使用证书对服务器身份进行认证，也支持使用证书对客户端身份进行认证。可以通过配置为单向、非强制双向、双向三种认证方式，设置用户是否需要提交证书。

7)      支持多信任域认证

同时支持多个证书颁发机构颁发的证书。

8)      兼容多家厂商证书

系统基于开放标准开发，支持多种证书，包括国内所有区域CA。

(二) 终端设备认证

系统能够对接入客户端设备特征进行认证，只有认证的设备才能成功接入。

系统采用硬件特征码标识接入终端设备，硬件特征码包括： MAC地址和硬盘序列号。如果开启了硬件注册功能，则用户在访问网关时，需提交个人的硬件信息，由管理员审核通过后方可登录网关。

网关的主机绑定功能，强制用户只能从指定主机接入网关才能够成功。接入主机的高可信度提高了应用访问的安全性，同时，在确认该主机安全的情况下，也绝对防止了非法用户盗用用户帐号后从其他主机访问网关的非法行为。

(三) 用户名口令认证

系统可以通过四川省电子政务外网数字证书中心获取用户账号信息完成用户认证操作,同时增加验证码机制防止恶意登录。

8.1.2.2.            鉴权和访问控制

(一) 应用访问控制

网关支持访问控制模板设置，管理员可以通过配置策略模板，授权用户对应用系统的访问，应用入门级控制可以配置以下几种策略：

（1）  全局默认策略控制

当应用没有配置具体的访问控制策略时，网关通过全局默认策略进行访问控制，全局默认策略的优先级最低。

（2）  根据用户认证方式控制

可以根据用户认证等级策略控制用户对应用的访问权限。认证等级分为口令认证、数字证书认证、口令+数字证书认证。

（3）  根据数字证书DN规则控制

管理员可以根据用户数字证书，设置DN项规则策略，限制某个或某一群组用户对应用的访问。系统采用黑、白名单的形式设置策略，DN规则配置灵活，支持通配符。

（4）  根据时间段规则控制

管理员可以根据时间段规则策略控制某一时间段内，允许访问应用或者禁止访问应用

（5）  根据IP地址规则控制

管理员可以根据IP地址规则策略控制某一IP地址或某一IP区间段允许访问应用或者禁止访问应用。

（6）  根据用户名控制

管理员可以根据用户名策略控制某一用户允许或者禁止访问应用

(二) 三方权限源支持

网关支持从四川省电子政务外网数字证书中心中获取应用入门级或细粒度访问控制权限。其业务流程为：用户通过身份认证网关的认证，网关连接UMS或PMS查询该用户在应用中的全局权限设定，再配合网关自身的访问控制策略模板统一的进行鉴权和访问控制。

8.1.2.3.            通信链路保护

网关支持用户到网关的通信链路加密自定义，用户可以创建多个加密通信链路来分别保护不同的应用服务，也可以使用同一个加密通信链路来保护多个应用服务。同时，在应用效率需求至上的应用场景条件下，用户可以自行选择通信链路是否需要加密保护，这样可以极大的提高应用访问的效率。

网关在通信链路保护上能很好的支持国产SM1/2算法。

8.1.2.4.            应用支撑

(一) 支持的应用协议和类型

(1)     基于TCP/UDP的任意协议

网关支持IPv4/IPv6双栈协议，支持多种基于TCP/UDP 的web或Client/Server结构的应用系统。管理员只需通过简单的管理接口在服务器上定义需要支持的应用，及配置好服务器使用的端口。

网关也支持多种使用动态端口的应用协议，比如FTP, TFTP, Oracle, SQL server等。这些特性使得网关能够最大程度的满足用户的应用需求。

(2)     灵活安全的应用服务定义

在网关中，定义一个服务需要指定服务所在的地址，端口，服务类型，应用访问控制规则(Application Access Control Rule)，关联的客户端应用程序，是否隐藏服务，服务应用到的角色等。

在地址的定义方式上，管理员有三种选择：完整的域名、IP地址或者主机名@IP地址。这三种地址指定方式可以满足多数应用的需求。

在网关的服务定义中可以添加多个端口。这种方式满足了那些在一台服务器上配置多个应用服务的应用需求，同时也可以部分的解决使用动态端口的应用系统的需要。

对于多台服务器提供同一个服务的情况，管理员其实希望只让用户看到其中的一个服务器即可，不必了解具体有多少服务器在同时提供服务。针对这种要求，网关为每一个服务提供了一个开关。根据这个开关的设置，网关就知道该给用户显示哪个服务，而把其他的作为备份的服务器隐藏起来。

(二) 应用接入

(1)      应用改造和信息传递

网关在完成相应的身份认证后，需要把结果、用户的基本信息传送给后台的应用系统，应用系统基于该信息作相应的访问控制以及进行相应的业务审计。

网关支持传递给应用系统的信息包括以下内容：

用户身份信息：用户身份信息主要包括数字证书编码、主题、有效期、证书序列号、颁发者DN等数字证书基本项。

用户权限信息：权限信息主要是指网关从四川省电子政务外网数字证书中心获取的用户属性及权限信息。

客户端信息：客户端信息包括客户端IP等。

其他信息：网关还可以向应用系统传递认证方式、用户属性等信息。

(2)      口令代填

对于不能改造的应用系统，网关提供客户端客户端控件和服务端filter来实现口令代填，系统支持采用客户端控件技术捕获应用系统登录窗口，完成应用系统登录。

(三) 受保护应用的发布

(1) 在网关内置门户上发布

网关内置一个简单的应用发布portal，管理员在定义应用接入的相关设定完毕后，这些应用标识就会显示在网关内置portal上，用户访问网关portal直接点击应用标识来完成应用访问，这种发布方式非常适合于用户网络环境没有集中portal的情况。

用户访问流程为：

(2) 在用户业务集中门户上发布

用户网络环境中有集中的应用门户portal，且不希望应用认证网关后改变原有的应用访问习惯，这是较大型用户环境中经常会遇到的情况。支持“网关地址+应用标识+资源”的发布方式，可以按此格式将应用地址发布到用户门户portal中去，不改变原有的用户访问方式和使用习惯。

用户访问流程为：

(3) 客户端发布

管理员在定义应用接入的相关设定完毕后，这些应用标识就会显示在网关客户端应用列表中，用户登录网关客户端后即可看到能访问的应用。

(四) 单点登录

系统支持多个应用系统之间的单点登录，即一次登录，多次使用。用户通过网关认证后，系统认证平台通过安全Cookie机制维护该用户的会话信息，用户登录应用系统时，无需再次认证。极大的简化了用户登录应用系统的步骤，使应用更加流畅。

在多台网关并行的应用环境下，如果一个用户拥有访问所有应用系统的权限，那么该用户只需要访问一台网关后面的一个应用即可实现全网关后应用的单点登录。

(五) 系统管理

(1)      三员管理

系统内设系统管理员、安全管理员、审计管理员。系统管理员负责对软件环境日常运行的管理和维护，以及对系统的备份和恢复操作系统管理员负责执行系统的数据库备份策略和软件系统备份策略；安全管理员负责网关业务配置、应用管理、授权管理等管理操作；审计管理员负责对系统日志查询、归档等管理操作。

(2)      状态监控

l 系统运行状态监控

系统支持通过图形界面实时对当前运行状态进行监控，便于系统的维护和问题定位。主要监控以下几个方面：

硬件状态：包括CPU使用情况、内存使用情况、硬盘使用情况

网络状态：各网络接口的网络流量统计，包括接收量和发送量的详细统计。

l 业务状态监控

系统支持对当前业务状态进行监控，便于了解当前网关的使用情况。主要监控以下几个方面：

客户端连接数：实时监控和统计客户端连接情况。记录包括用户信息、客户端IP、当前正在访问的应用等信息。同时，安全管理员具有踢出在线用户功能。

应用访问量：可以统计和记录当前接入应用的累计访问总量。

(3)      日志审计

l 本地存储

网关支持本地存储日志，并且支持以TOP N的方式展现出来，从而方便管理员了解网关的使用情况。 通过TOP N信息，管理员可以知道哪些用户接入的时间最多、哪些用户登录次数最多、哪些用户利用网关传递的数据最大、哪些应用被使用得最多等信息。

日志本地存储的条数是有限制的，最大支持存储20000条。

l 标准SYSLOG审计

网关支持实时地通过标准Syslog协议把数据传递到外部的日志服务，便于对信息系统的Log进行统一的管理。

l 日志发送

系统支持发送日志信息到四川省电子政务外网数字证书中心。

 

SYSLOG服务器：系统支持将日志以SYSLOG形式发送到指定服务器

FTP服务器：可配置根据一定频率将过期日志自动备份至外部FTP服务器

(4)      系统管理配置

系统支持串口管理、WEB管理两种方式。串口管理采用命令行管理模式，管理员通过串口线登录到网关系统，通过命令行交互界面执行相关的命令。WEB管理是指管理员通过浏览器登录到网关系统，通过管理界面进行相关配置工作。通过WEB方式管理项目主要包括以下方面：

l 应用管理

管理员通过应用管理可以注册、修改、删除应用。

l 网络管理

管理员通过网络管理可以修改网关的IP地址、服务端口等信息。

l 网络诊断管理

网关管理界面支持ping、Traceroute、Telnet命令对网络进行诊断。

l 证书管理

证书管理包括站点证书管理、根证书管理、管理员证书管理。

站点证书管理：可以申请、更换服务器站点证书。支持PKCS10证书申请、PKCS12证书导入、导出。

根证书管理：可以导入多个不同的证书颁发机构证书。

管理员证书管理：可以指定管理员证书。

l 系统命令

管理员可以通过WEB管理界面执行系统服务启停、关机、重启等系统命令。

l 系统备份和恢复

系统支持备份恢复功能，可以快速恢复系统的正常工作。当系统运行环境遭到破坏时，可以通过备份数据，快速的进行恢复，将损失程度降到最低。备份数据包括系统配置数据及系统业务数据。配置策略包括即时备份和手动备份两种策略。即时备份指当运行环境发生改变的情况下（如修改了系统的相关配置），进行即时的系统备份。手动备份策略为管理员通过管理平台备份功能把当前运行良好的环境进行备份，可以将备份文件下载到本地；可以通过配置上传恢复功能将相同当前运行环境恢复到某一备份配置。

备份与恢复功能主要包括系统的出厂设置、系统的备份、系统的恢复、系统升级等功能。

恢复出厂设置：将系统恢复安装好后的初始状态，网络配置恢复到一个默认的状态，添加的硬件设备恢复到默认状态。

系统配置备份：在应用服务运行期间的操作保存起来，应用服务在出现问题时可以使用恢复功能返回到备份时的状态。

系统备份恢复：在应用服务运行期间出现了问题，可以使用恢复功能来根据备份包恢复备份时的状态

系统功能升级：系统更改或扩展的程序升级到当前系统环境中。

用户通过执行系统提供的相关脚本命令，来修改系统的配置文件并保存。再根据判断是否是执行系统备份操作，如果用户是要执行备份操作，则直接调用系统内部的备份操作模块；如果用户不是执行备份操作（可能是产品出厂设置，系统恢复，系统升级操作），则关闭应用服务并重启机器，当系统重启之后，首先再到配置文件中获得用户先前执行的操作，根据用户不同的操作执行不同的模块功能。

(六) 高可用性

(1)     集群设定

网关支持集群设定，加入集群的网关会自动同步配置和业务session信息，这其中包括用户认证信息和数据缓存等。

(2)     双网冗余

网关支持桥模式的配置部署方式，可以很好的适应有双网冗余灾备考虑的用户网络环境

(3)     双机热备

网关内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态，当备机发现工作机停止工作时，通过自己的双机功能将主机的服务切换到备机，由备机继续提供服务。当主机恢复正常后，服务自动切回到主机。

双机热备功能用于解决安全认证网关的单点故障问题，对后台受保护的应用系统提供更可靠的安全认证等服务。

双机热备的网关不仅同步配置信息，还包括业务日志信息。

(4)     负载均衡

由于网关支持自身集群设定，故在与第三方负载均衡设备的配合下能有效实现业务无间断，即假设集群内有一台设备宕机了也不会出现要求已连接用户进行二次重新认证的情况。

(七) 三方属性源、权限源和审计平台的支持

本项目数字认证中心须与四川省电子政务外网数字证书中心对接、联动。

8.2. 
LRA系统

LRA系统是以国家电子政务外网CA系统、省级RA系统为基础，针对实际的行政区划以及特定业务对象，建设的本地RA系统，为本行政区域或本业务对象内的人员提供数字证书注册、审批服务，从而保证本行政区域或本业务对象范围内电子政务外网人员证书的就近、快速注册与发放。

RA系统主要是CA系统为用户提供服务的网络窗口，为用户提供证书申请、下载、注销、更新等各项业务的服务。作为CA系统面向用户服务最直接的一个业务窗口，通过RA系统来实现用户身份的真实性鉴别、接受用户证书的注册申请和将数字证书发放给用户。同时完成对用户基本信息的管理和维护。

LRA系统作为RA系统的本地化业务拓展单元，在授权机构范围内，独立实现RA系统关于证书管理的全部业务功能。

8.2.1. 功能设计

8.2.1.1.            用户管理

用户管理是以“用户为核心”的管理思想的具体实现，从用户信息的维护角度入手，把证书当作用户的身份标识来进行维护，从而实现证书业务的开展。具体的业务功能如下：

(1)      添加用户

添加用户功能主要指的是在系统中增加用户信息，用户信息主要包括用户的自然属性和社会属性，用户的自然属性主要包括：姓名、年龄、性别，社会属性等，主要包括单位，部门，职务，职称，级别，岗位等。

在添加用户信息完成后，可以直接基于用户管理树来实现用户数字证书的申请、注销、更新等操作。

(2)      更新用户信息

管理员审核证书申请点提交的用户属性信息修改请求，也可以代用户修改用户属性信息。

修改后的用户属性信息单独由用户信息管理系统通过用户信息发布系统进行发布。

(3)      审核用户管理操作

根据应用场合的要求，需要对注册用户、批量注册用户、注销用户、更新用户操作进行审核，以判断所提供的用户信息及操作本身的正确性和合法性。审核工作由LRA 审核员完成。

(4)      查询

系统提供基于用户社会属性、基本属性、证书信息等多个查询条件的查询功能，可以方便的定位需要查询的内容，并且支持多种报表的生成、打印操作。

8.2.1.2.            证书服务功能

证书的管理主要围绕证书的发放为核心，涉及证书从生命周期开始到生命周期结束的各个环节，对应于证书的申请、审核、下载、更新、注销等各个具体的流程。

(1)      证书申请

管理员可以帮助用户方便、安全、快捷的进行证书申请。管理员根据需要为用户颁发的数字证书的种类选择相应的证书模版，按照页面的提示管理员为用户输入相应的信息，进行信息的提交，如果申请通过审核，系统将返回下载证书所需的凭证。

(2)      证书申请审核

为了保证用户数字证书申请的严肃性、正确性，用户提交的证书申请只有经过审核之后才会被签发，系统管理员根据系统指定的审核策略对录入的证书申请信息的有效性进行确认，审核通过后向运营CA系统提出证书申请的请求并返回下载证书所需要的凭证。

该功能模块支持多种证书申请信息查询方式，支持以证书信息、个人基本信息、企业基本信息等查询手段，通过多种查询手段方便审核人员快速的定位相应的证书申请，进行有优先级、快速的证书申请审核。

证书的审核方式支持自动和手动两种安全方式。

(3)      证书下载

证书申请通过审核之后，用户可以通过下载凭证安全的下载证书。系统提供基于WEB的下载方式，支持多种加密算法和密钥长度，支持文件、智能卡、USB-KEY等多种存储介质。

(4)      证书更新

系统提供证书更新功能，用户可以根据需要对正在使用中的证书进行有效期的更改，证书更新成功后，用户可以下载新的证书。目前系统提供两种证书更新的方式，即在线证书更新、离线证书更新方式。其中在线证书更新状态指的是用户自助登录管理中心的网页，按照提示自助的更新数字证书；离线的方式指的是用户向管理员提出申请，由管理员为用户完成证书的更新，为用户制作新的数字证书。其中在线更新的时候，为了管理的严格，需要管理员手动审核通过后才用户才可以更新相应的数字证书。

为了方便管理员的操作，系统提供以证书信息、个人基本信息、企业基本信息都基本的查询手段，通过多种查询手段的复合使用，系统管理员可以简洁、快速的定位到需要更新的数字证书，方便的对该证书信息实施更新申请。

(5)      证书更新审核

管理员对用户提出的证书更新申请进行确认，审核通过后方可进行证书更新操作。

为了方便管理员的操作，系统提供以证书信息、个人基本信息、企业基本信息都基本的查询手段，通过多种查询手段的复合使用，系统管理员可以简洁、快速的定位到更新申请，方便的对该更新申请实施审核。

(6)      证书查询

系统提供证书查询功能，用户可以通过查询条件查询出符合条件的证书信息。

为了方便管理员的操作，系统提供以证书信息、个人基本信息、企业基本信息都基本的查询手段，通过多种查询手段的复合使用，系统管理员可以简洁、快速的定位到需要更新的数字证书。

系统的设计充分体现了“以客户为中心”的思路，在实施证书查询的过程中，可以以用户信息为索引，查询出该用户申请过的所有证书，包括正在使用的、已经注销的所有证书，通过以人员信息为索引，快速查询出该用户所有的证书查询方式，可以有效的提高证书的管理效率。

(7)      证书下载凭证更新

对一些申请成功但是没有下载的证书，LRA可以为用户重新生成下载凭证，用户使用新的下载凭证进行证书下载。

(8)      证书下载凭证更新审核

管理员对用户提出的下载凭证更新申请进行确认，审核通过后方可进行下载凭证更新操作。

(9)      证书注销

用户可以对一些不再使用的证书进行注销操作，注销后的证书不可恢复。

(10)    证书注销审核

管理员对用户提出的证书注销请求进行确认，审核通过后方可进行证书注销操作。

(11)    证书冻结

用户可以对一些短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。被冻结的证书可以通过解冻操作恢复使用。

(12)    证书冻结审核

管理员对用户提出的证书冻结请求进行确认，审核通过后方可进行证书冻结操作。

(13)    证书解冻

证书解冻操作是相对于证书冻结操作的，此操作将冻结的证书解冻，使得证书可以重新使用。

(14)    证书解冻审核

管理员对用户提出的证书解冻请求进行确认，审核通过后方可进行证书解冻操作。

(15)    批量申请和制证

在证书实际的发放过程中，可以以个人为单位进行证书的申请、发放，同时为了管理的方便或是为了减轻证书申请的工作量，需要以一个组织为单位进行证书的集中申请。LRA系统提供证书的批量申请和制证功能，即用户按照LRA系统所要求的证书批量申请文件格式组织好相应的证书申请文件，统一提交给LRA系统，LRA系统在完成相应的审核后，生成统一的证书下载凭证，通过该凭证，用户可以统一或是分批的下载相应的数字证书。批量申请和制证功能的支持可以满足对证书的特殊管理需求，可以有效的减轻管理的工作量。

证书的批量申请和制证支持管理员手动审核和系统的自动审核两种模式。

8.2.1.3.            审计管理

只有具有审计管理角色的管理员才能进行审计管理操作，系统中的审计业务和其他业务员实现严格的分权管理，审计业务的管理员和其他业务管理员分别由不同的人员担任，以数字证书作为身份的标识，审计管理员是在LRA人事管理员授权的时候独立于其他管理员产生，通过对审计管理员的产生、日常行使职权的严格管理，可以保证整个系统审计管理的严密性，从而加强整个系统的安全性。审计业务管理主要包括查询业务日志和统计证书。

（1）    查询业务日志

系统支持查询业务日志功能，提供丰富的查询条件与简单易用的查询界面，支持多条件复合查询，查询结果支持按业务操作时间排序。

（2）    证书统计

系统支持证书统计功能，提供丰富的统计条件与简单易用的统计界面，支持多条件复合统计。

8.2.1.4.            查询模式

(1)     申请点证书查询

可以根据各种条件对下级申请点发放数字证书进行查询和统计。

(2)     证书基本信息查询

证书基本信息查询可对证书序列号、证书主题、证书状态、证书有效期等信息进行查询。

(3)     证书附加信息查询

证书附加信息查询可对证书所相对应的用户信息如用户名、电子邮件地址、电话、地址等进行查询。

(4)     用户信息的查询

系统提供基于用户社会属性、基本属性、证书信息等多个查询条件的查询功能，可以方便的定位需要查询的内容，并且支持多种报表的生成、打印操作。

(5)     证书模板信息查询

每个证书模板均可根据其自定义的扩展项进行证书信息查询。

(6)     分段查询支持海量数据

在系统策略中可以设定查询结果的分页返回条数，查询结果可进行分页显示。这样，可以支持海量数据的查询，减轻系统的负担。

8.2.2. 安全性设计

8.2.2.1.            认证环节的安全性

各LRA系统的管理员在登录LRA系统进行相关业务操作时必须使用USB key介质，以证书认证方式进行相关身份检验，而且需要经过RA系统的授权，以保证只有授权人员才能进行相关业务操作。

8.2.2.2.            信息加密传输的安全性

LRA系统与RA系统之间采用了SSL双向认证的连接方式，LRA系统与RA系统之间所有信息均通过加密通道进行，确保关键信息在传输过程中的保密性。

8.2.2.3.            LRA系统本身的安全性

LRA系统采用硬件化模式进行设计，采用专用的操作系统设计，可以有效的保证整个平台的安全性、可靠性，杜绝相应的网络攻击。

8.2.3. LRA系统管理设计

LRA系统的建设、日常运行要收到RA系统、CA系统的管理，本章主要描述和RA系统、CA系统针对LRA系统如何进行有效的管理。

8.2.3.1.            RA系统针对LRA系统的管理

RA系统针对LRA系统有着完备的管理功能，主要体现在如下几个方面：

8.2.3.1.1. 组织机构与LRA系统相匹配

针对国家电子政务外网电子身份认证体系中所部署的非组织机构版RA系统进行升级，升级为机构版RA系统，以增加对组织机构的支持。

在机构版RA系统中，数据的管理可以按照本地行政区划、组织构成，进行实际的组织机构划分，在RA系统中，可以按照本地的组织机构构建出一棵机构树，各个机构对应于相应的LRA系统，各个LRA数据的在RA系统中管理相对独立，通过机构树的模式保证了业务分担的准确性和针对性，有效的减轻了管理的复杂度，也增加了管理的清晰度。

8.2.3.1.2. 基于LRA系统的独立人事管理员授权

为减少RA系统管理人员的工作负担，并确保每一个下属LRA系统都能对应其专门的责任人员，因此针对每一个LRA系统都由RA系统管理人员指定专门的人事管理人员。人事管理人员负责本LRA系统授权机构范围内的业务操作员指派、授权，并可进行本授权机构范围内子机构LRA系统授权以及子机构LRA人事管理人员的指派与授权，从而实现本授权机构内相关业务的完全本地化独立完成，真正实现RA系统的业务分担。

以上原理的具体示意如此：

整个部署模式以省级RA系统为核心，分层次的构建起本行政区域的LRA体系系统，同本行政区域内的组织机构一一对应，最大限度的分担RA系统的业务内容，从而实现电子认证系统最大限度的业务范围延伸。

8.2.3.1.3. 基于LRA系统的独立业务运作模式

每一个LRA系统都是一个独立的本地化业务受理点，在RA系统中针对LRA进行授权后，对应机构的证书相关注册、审核、注销等业务操作都可在授权LRA中本地进行，确保业务运作的独立性。

8.2.3.1.4. CA系统针对LRA系统的管理

CA系统针对LRA系统的管理主要体现在管理制度和技术手段两个方面：

(1)     管理制度

在该环节，要求各个省级RA中心在建设下级LRA系统的时候，要按照国家信息中心的要求进行相应的报备，同时省级RA中心要和国家信息中心签署相应的协议，承担后续LRA系统的管理工作，承担后续LRA系统管理不善所引发的后果。

(2)     技术手段

国家信息中心的CA系统中需要增加一类特殊的证书模版，该模版作为各地LRA系统服务器证书模版来使用，该模版主要是在某些地方，例如扩展域中增加一些标识，表明该证书代表LRA节点的身份，该模版证书只能在国家信息中心的RA系统中颁发。

各地LRA系统在建设的时候，需要上报国家信息中心，国家信息中心在回复建设意见的同时，同时会为该节点生成服务器证书，该服务器证书由LRA服务器生产厂商导入到该节点的LRA服务器中。

该LRA系统在与本地区的RA系统进行通讯时，RA系统需要验证该LRA系统的证书，需要检查该证书扩展域中的信息是否符合要求，其代表的用户地域是否与其在RA系统中设定的相同。通过该种方式，来针对LRA系统的部署进行有效的控制。

8.3. 数字签名服务器

8.3.1. 系统组成

数字签名服务器由数字签名服务器+服务器接口和数字签名客户端软件组成,支持IPv4/IPv6双栈协议。

数字签名服务器产品组成：

l 数字签名服务器：

用户业务系统调用数字签名服务器接口执行业务，数字签名服务器中内置服务器证书、签名证书、验证签名证书的根证书，提供完整的签名、信封签、验服务，并提供获取证书信息接口，获取证书信息，供应用系统使用。

提供Java接口和C接口，用户可根据业务系统选用其中一种，部署、调用简单。

l 数字签名客户端软件

数字签名客户端软件能独立提供数字签名、数字信封及证书增值服务，提供相关接口供客户端程序调用。

客户端程序支持标准CSP协议，支持标准软证书、硬证书试用，有ActiveX控件开发包、Jar包、DLL链接库等多种方式，供用户选择。

以上两类接口设计完善，支持浏览器、应用服务器、通用客户端的调用。

8.3.2. 功能设计

8.3.2.1.            数字签名

制作数字签名，支持数据原文、文件制作数字签名，签名结构符合PKCS#7标准，同时也提供符合XML结构的数字签名格式。可以灵活的指定数据签名包中是否携带证书和原文。

验证数字签名，支持验证标准的PKCS#7签名结果，验证签名过程中，对制作签名证书进行完整验证，包括信任域、有效期、证书状态。

对于大文件、大数据的签名和加密系统均支持。

8.3.2.2.            数字信封

制作数字信封，支持数据原文、文件制作数字信封，信封结构符合PKCS#7标准。

验证数字信封，支持验证标准的PKCS#7信封结果，验证信封过程中，对制作信封的证书进行完整验证，包括信任域、有效期、证书状态。

8.3.2.3.            原始内容的获取

系统提供获取签名、加密数据包中原始内容的功能。

8.3.2.4.            CRL获取

系统支持灵活的证书黑名单获取方式，可以根据配置，定时的获取黑名单信息。目前主要支持LDAP、WEB、FTP等常见的方式。

8.3.2.5.            证书信息获取

数字证书作为用户身份标识，其中可以记载很多用户信息，如姓名、联系方式、工作单位、职务等等，也可以在CA机构定义扩展信息。

签名服务器和签名客户端提供获取证书信息接口，获取相关信息，供应用系统使用，充分发挥证书的作用。

8.3.2.6.            交叉验证

数字签名服务器支持标准X509格式证书，同时支持配置多家信任CA签发的根证书，可支持验证多家机构的标准PKCS#7签名和信封。

8.3.2.7.            数据编码

签名服务器和签名客户端提供接口，对数据进行Base64编码转换服务，也可将Base64解码转换成原文能。

8.3.2.8.            数据摘要

签名服务器和签名客户端提供接口，对数据提取摘要信息，默认算法为SHA-1，业务系统可以使用获取的摘要进行相应的业务操作。

8.3.2.9.            双机热备

服务器提供双机热备功能，两台服务器通过心跳线联接，互相验证对方状态，保证系统安全可靠运行。

8.3.3. 配置功能

8.3.3.1.            服务器管理

签名、验签服务是基于J2EE标准的WEB服务，它可布置于任何标准的应用服务器上，服务器管理就是针对内置的应用服务器进行配置及管理。

服务器管理包括服务器端口设置、站点证书申请、站点证书配置和服务器信任根证配置。

服务器端口配置功能是配置服务器的通讯端口。客户端访问服务器有两种通信类型，分别为明文通信和加密通信，通过配置不同的端口来实现。

站点证书申请功能根据管理员的要求生成站点证书的申请书。

站点证书配置功能提供在用站点证书的信息显示和新证书的导入、删除功能。

服务器信任根证配置功能配置的信任根证书是与管理员证书相对应的，在管理员登录服务器管理时要建立双向SSL连接，这里配置管理员证书的根证书以验证管理员的身份。

8.3.3.2.            签名服务管理

签名服务管理提供签名根证书配置、证书申请连接配置、签名证书申请、签名证书配置、签名算法配置和邮件提醒相关配置等功能。

签名根证书配置项，在做签名时需要将现有的签名证书的根证书导入进来。该配置的主要目的是验证导入的签名证书由指定根证书签发；

证书申请连接配置项，配置证书申请参数，为自动化申请证书时所用；

签名证书申请项，系统通过本申请生成密钥对并封装申请证书的申请书；

签名证书配置项，提供签名证书的显示和导入；

签名算法配置项，签名算法是加密算法和摘要算法的组合，目前支持的加密算法为RSA，摘要算法支持三种，SHA1，MD5 和MD2。如果签名请求中设置了摘要算法，就用签名请求中的算法；

邮件提醒相关配置项，提供接收方公钥证书的配置，当给对方发送数字信封的时候，在这里需要将对方的公钥证书配置进来，用来对发送的数据进行加密，接收方对接收到的加密信息用该公钥证书对应的私钥进行解密；

8.3.3.3.            日志管理

日志管理包括配置系统日志和查询系统日志。配置系统日志包括设置日志文件的大小，日志文件数量，产生日志种类；当某种日志的数量超出日志数量设定的值，将会依次循环覆盖；有必要时请用户注意另行备份。

系统产生日志种类有四种:

管理员日志： 如果设置产生管理员日志,当管理员通过控制台操作服务器的配置信息时,在管理的操作过程中,服务器会记录管理员的相关操作信息.

业务日志：如果设置为产生业务日志，则当进行认证服务时，会记录当前的认证相关信息

调试日志：如果设置为产生调试日志，则当进行各类服务时，会记录整个服务流程的相关信息。

错误日志：如果设置为产生错误日志，则当进行各类服务时如果出现错误，则会记录下错误相关信息。

查询系统日志提供对日志的浏览和下载功能，以方便管理员对日志信息的操作管理。

8.3.3.4.            管理员管理

管理员管理是主要实现对管理员证书的管理，拥有一张由信任根证颁发的管理员证书，才可以实现对签发、验签系统的管理。考虑到系统的高安全性，系统将管理员角色分为超级管理员和普通管理员。

系统管理员和超级管理员是一个角色。

普通管理员：由超级管理员来设置，并对其进行授权，它能登录到管理台操作其已被授权的操作。

8.3.3.5.            设备管理

设备管理提供网络配置、服务启停、系统信息和系统时间等功能。

网络配置主要查看网络接口、IP地址、子网掩码和默认网关信息。

服务启停主要有三项功能：重启服务、重启机器和关闭机器。

系统信息主要显示服务器的CPU、内存的大小、硬盘的大小等信息。

系统时间主要是显示当前系统的时间，并且可以修改系统时间。

8.3.4. 数据管理

数据管理提供系统备份、系统升级、出厂设置和升级历史等功能。

系统备份分为数据备份操作和数据恢复操作。数据备份系统将以当前状态生成备份文件；选择备份文件系统将恢复到备份时状态。

系统升级主要是提供系统自升级功能。

出厂设置提供恢复到系统出厂时状态。

升级历史主要提供对于系统历史信息的查询和下载。

8.4. 时间戳服务器（TSA）

可信时间戳服务系统基于国家权威时间源和数字签名技术，为业务系统提供精确可信的时间戳，保证处理数据在某一时间（之前）的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。

时间戳系统的建设为所属的业务系统提供可信的时间基准服务，可以有力的促进电子签名在相关业务中的推广。

8.4.1.    系统组成

时间戳系统包括如下几个部分：可信时间源、时间戳服务器。

l 可信时间源

可信时间源作为TSA的时间来源，TSA系统中的所有部件的时间都应以这个可信时间源为标准，尤其在颁发的时间戳中填写的时间应严格以可信时间源为基准。

l 时间戳服务器

该系统主要负责接收时间戳申请、验证申请合法性以及产生和颁发时间戳，最后将时间戳存储到数据库中。该系统签发的时间戳格式符合UTC时间的规定，精度应至少精确到秒。时间戳服务申请消息格式符合RFC3161的规定，时间戳的产生和颁发过程完全符合安全的要求。

8.4.2.    功能设计

1)      时间戳服务业务功能

时间戳签发服务系统是TSA的核心部分，负责时间戳的签发。功能如下：

l 验证时间戳请求；

l 通过时间获取接口获取标准时间；

l 签发时间戳；

2)      时间戳服务管理功能

时间戳服务管理功能主要包括时间戳服务器的各项管理工作，包括：

l 时间戳服务管理；

l 管理员管理；

l 日志管理；

l 系统配置管理；

l 证书管理等。

8.5. 目录服务系统

目录服务系统（LDAP），主要负责数字证书和黑名单的存储和发布，并根据策略将相关信息发布到对应的下级目录服务节点上，是整个数字证书认证系统建设的基础支撑性部件,支持IPv4/IPv6双栈协议。

目录服务系统主要由六个部分组成：

LDAP-Server：目录服务器软件。用来存储目录信息，并响应LDAP的访问请求。

Slurpd-Server:镜像复制服务器软件。实现主目录服务器信息到从目录服务器中信息的复制。

Admin-Server：目录服务器管理程序，使目录管理员可以很容易地对目录服务器进行配置、维护和管理。

LDAP SDK:基于LDAP V3 协议的访问LDAP Server的应用开发接口。

LDAP-Client：访问目录服务器的通用客户端，用户使用图形用户界面访问目录服务器中的信息。

Admin-Console：目录服务器管理程序客户端软件，允许目录管理员对目录服务器进行远程配置、维护和管理。

9.   机房改造方案 

9.1. 概述

本设计为内江市电子政务外网互联网协议第六版（IPv6）升级改造项目机房建设部分。本设计涉及机房的装修、门禁、动环监控、电源系统改造、空调与新风排风系统、消防及火灾报警系统等方面的设计。

9.1.1.    设计范围

本项目只负责改造机房的装修、门禁、动环监控、电源系统改造、空调与新风排风系统、消防及火灾报警系统等，对于机房承重提使用需求，机房的承重核实及改造由建设单位另行负责。本期设备部分（非电池）部分承重需求是8kN/m2，电池部分需求是10kN/m2。本期工程不包含市电引入的设计，市电的引入采用现有方式。

9.1.2.    工程概况

改造机房位于内江市人民政府8楼，机房及电池室面积约为48平方米。

9.2. 配电系统

9.2.1.    市电引入

市电引入采用原有市电引入系统，输入容量为400A/380V。

9.3. 机房电源系统

9.3.1.    UPS系统

9.3.1.1.            UPS系统配置

本项目拟在机房内新建2台20KVA机架式UPS（并机运行），安装在一体化精密配电柜内，2组65AH后备蓄电池。配置详见图纸。

9.3.1.2.            UPS产品要求

1)      UPS应具备RS232或RS485/422S标准通信接口，并提供与通信接口配套使用的通信线缆和各种告警信号输出端子；

2)      遥测：三相/单相输入电压、直流输入电压、三相/单相输入电流、三相/单相输出电压及电流、输出频率、标示蓄电池电压，标示蓄电池温度；

3)      遥信：同步/不同步状态、UPS/旁路供电、蓄电池放电电压低、市电故障、UPS故障；

4)      电池组智能管理功能：UPS应具有定期对电池组进行自动浮充、均充转换，电池组自动温度补偿及电池组放电记录功能；

5)      输出短路保护：输出负载超过UPS额定负载时，应发出声光告警；超出过载能力时，应转旁路供电；

6)      输出过载保护：输出负载超过UPS额定负载时，应发出声光告警；超出过载能力时，应转旁路供电；

7)      过温度保护：UPS机内运行温度过高时，发出声光告警并自动转为旁路供电；

8)      电池电压低保护：当UPS在电池逆变工作方式时，电池电压降至保护点时发出声光告警，停止供电；

9)      输出过欠压保护：UPS输出电压超过设定过、欠电压值时，发出声光告警并转为旁路供电；

10)  抗雷击浪涌能力：UPS输出电压超过防雷装置，能承受模拟雷击电压波形10/700μs，幅值为5kV的冲击5次，模拟雷击电流波形8/20μs，幅值为20kA的冲击5次，每次冲击间隔为1min，设备仍能正常工作；

11)  中文显示运行状态、操作程序、测量值、故障检修资料、图片资料等。

9.3.2.    接地系统

依据《通信局（站）防雷与接地工程设计规范》GB50689-2011的要求，本项目所新建设备采用联合接地方式，电源设备保护接地（包括屏蔽接地和建筑物防雷接地）共同合用一个接地体的联合接地方式。大楼的钢筋地下主体及其接地网作为主接地体。

机房内的走线架、吊挂铁件、设备机壳、大楼内的金属管道、金属门窗等外露导电体均应与等电位网连接。

 

表一 本期工程电源主要设备明细表

序号	名称	配置说明	单位	数量
1	机架式UPS一体化配电柜	1、 尺寸规格600*1200*2000mm配电柜； 2、 将市电输入、防雷、市电输出配电、UPS电源、UPS输出配电、监控显示集成在一个机柜内； 3、 监控显示： 1） 在机柜门板上具有LCD触摸显示屏； 2） 具备一体化配电系统图显示功能； 3） 可查看市电输入、防雷、市电输出配电、UPS电源、蓄电池、UPS输出配电（PDU）的各种状态，可以精确的显示每个功能单元的状态，以及各配电支路开关的电压、电流等信息。 4） 具备实时告警功能，以及告警管理功能。 5） 具备蓄电池维护功能。 6） 具备日志、报表输出功能。 7） 系统具有密码保护功能，在登录、设置、操作、维护时有密码权限。	架	1
2	机架式UPS主机	20kVA；UPS电源采用高频模块化UPS电源，可直接并联，在线扩容，功率模块、监控模块、旁路模块及控制模块都支持在线热插拔，内置维修旁路，全正面维护；	台	2
3	设备机柜	1200×600×2000mm，每个机柜配置2个防雷PDU	架	9
4	封闭组件	1、 通道为密闭冷通道，通道尺寸规格为1200mm。2、 通道两端采用推拉门，推拉门采用透明钢化玻璃。3、 推拉门要求配置门禁管理系统，支持指纹、刷卡、密码三合一门禁管理。4、 顶部集成有一体化上走线线槽，线槽宽度不少于200mm，强弱电分开布线，线槽与机柜风格统一。5、 通道顶部采用透明翻转天窗，翻转天窗应能支持自动或手动开启，可与消防系统进行联能，当发生火灾时，翻转天窗能自动打开。6、 通道内的两侧配有LED照明灯，具备自动感应功能，在推拉打开或有人进入时LED灯自动开启照明。7、 机柜底部与顶部配有气流封板，以防止冷、热气流混合。	套	1
5	理线器		个	9
6	梯式走线架	600mm宽，双层， 含安装附件	米	37
7	尾纤槽	120mmm，含安装附件	米	11
8	接地排	24孔	块	2
9	等电位地网	30*3mm紫铜排	米	45
10	电力电缆	ZA-RVV 4*50mm²	米	100
11	电力电缆	ZA-RVV 1*120mm²	米	50
12	电力电缆	ZA-RVV 1*50mm²	米	110
13	电力电缆	ZA-RVV 1*35mm²	米	200
14	电力电缆	ZA-RVV 3*6mm²	米	150
15	铜鼻子		项	1
16	设备底座	高300mm设备底座，具体尺寸以静电地板高度为准	个	13
17	蓄电池底座		个	4
18	辅材		项	1

 

9.4. 消防及火灾报警系统

消防系统建设采用包工包料“交钥匙”方式进行，消防系统所涉及的设备和材料均由集成单位提供、安装和调试；集成单位须确保消防主管部门验收并通过。

主机房和电池室设置无管网七氟丙烷气体灭火系统进行保护。主机房为一个防火分区，设置1个70L气瓶。电池室为一个防火分区，设置1个40L气瓶。主机房设置2个泄压口，宽*高（mm）尺寸为400*300，其底面距离楼板高度不小于3000mm。供配电间设置1个泄压口，宽*高（mm）尺寸为300*300，其底面距离楼板高度不小于3000mm。

根据<<规范>>3.3.5的规定:通讯机房和电子有线电视机房等防护区，灭火浓度宜采用8%.计算公式：W=K.，其中，K=1W:药剂量V:保护区体积S=0.1269+0.000513*20(℃)=0.13716（m³/kg）C1=8%机房气体灭火设备配置如下:W=1••

序号	保护区	面积m2	层高m	体积m3	设计浓度%	喷放时间S	灭火剂设计量kg	单瓶储存量kg	储瓶数	泄压口面积m2	泄压口型号
1	设备机房	32.87	3.5	115.05	8	8	73	73	70L*1	0.039	1个400*300
2	电池室	14.2	3.5	49.7	8	8	31.5	31.5	40L*1	0.017	1个300*300

 

火灾报警系统方案

机房新增1套火灾报警系统。在各区域新增感温探测器、烟感探测器等设备；在中央机房门口设置火灾报警控制器/气体灭火控制器，控制器与大楼火灾报警系统联动。

火灾报警系统为一级负荷，需采用双路供电（UPS和市电切换保障）。

9.5. 机房空调、新风排风系统

9.5.1.    项目需求

机房内中央机房服务器机柜9架，按用电负荷3.5kW/架考虑。

考虑到机房总热负荷以及结合机房建设可靠性、经济节能性、模块化等要求，采用2台20KW行间空调，以提高机房有效空间利用率。

9.5.2.    建设方案

空调、新风、排风系统采用包工包料“交钥匙”方式进行，空调电源引入电力电缆由本次工程提供，其他部分（包括空调室内机、室外机、冷媒管、排水管、空调底座和支架、封闭金属槽、冷媒管支架、内外机互联电缆等有关设备、材料）均由集成单位提供、安装和调试。

一、空调

冷负荷计算：

1. 设备散热量

冷通道内服务器机柜9架，按用电负荷3.5kW/架、需要系数为0.8，负荷耗电量N=9×3.5×0.8=25.2kW，因此，IT设备散热量Q=0.82×N=0.82×25.2= 20.67kW，电源设备散热量约2kW,合计总散热量约23kW。

2. 设备所需制冷量计算：

    Qj=Q×n×A×(1+b)=23×1.15×1.05×(1+0.05)= 30kW

其中: n--新风负荷系数，取1.15

A--安全系数，取1.05

b--冷量附加值，取0.05

由此，冷通道内配置2台行间空调，每台制冷量20kW。封闭式运行，冷热通道隔离。

空调室外机安装在外墙区域。空调冷凝水排至外机井内排水管。各空调底座、室外机支架均应满足8度抗震设防要求，且应做好接地工作。

防静电地板下除水浸传感器、空调冷媒管、消防设备和接地线外，不安装其它设备。

二、新风、排风系统

本次工程为供配电间与中央机房设置一套风量为400CMH新风系统，贴顶安装，主机房和电池室各设置一处出风口。

风量计算依据：根据《新风换气次数参考表》，取机房内新风换气次数P=3次/H，设备机房面积为32.87m²，层高3.5m，则新风量Q=P×32.87×3.5=345CMH。

新风系统室外机安装在供配电间墙壁外侧，具体位置可根据现场安装实际情况调整高度。

新风系统与消防联动，发生火灾时，应自动关断新风系统。

施工时应安排好工序，注意成品保护，避免损坏已安装好的设备。

9.6. 动力环境监控系统

本机房环境监控系统机由包括动力监控、环境监控等系统组成，配置一台嵌入式动环主机设备，负责各系统的实时监控和数据处理，并对其进行统一监控与管理。

机房环境监控内容包括以下部分：配电柜监测子系统、UPS监测子系统、精密空调监控子系统、漏水检测子系统、温湿度监测子系统、新风监测子系统、消防监测子系统等。

1.配电柜子系统监控内容

设计监测所有市电输入配电屏、UPS输出配电屏、交流列头柜等。实时监测配电柜进线电源的三相电压、三相电流、三相电能等参数。

2.UPS子系统监控内容

模拟量:输入相电压，输出相电压，旁路相电压，输入相电流，输出相电流，旁路相电流，电池电压，电池电流，输出频率，系统负载，电池充电程度，电池后备时间等。

数字量:输入电压越限，输出电压越限，输出频率越限，过载，电池工作模式，旁路工作模式，系统报警，整流器报警，逆变器报警，系统关机，旁路电压超限等。

3.空调子系统监控内容

1）监测量：回风温度、回风湿度、回风温度上限、回风湿度上限、回风温度下限、回风湿度下限、温度设定值、湿度设定值、空调运行状态、压缩机运行时间、加热百分比、制冷百分比、加热器运行状态、制冷器运行状态、除湿器运行状态、加湿器运行状态、温湿度变化曲线图、压缩机高压报警、压缩机低压报警、空调漏水报警、温湿度过高报警、温湿度过低报警、加湿器故障报警、主风扇过载报警、加湿器缺水报警、滤网堵塞报警等。

2）控制量：空调的温、湿度的远程设定等。空调的所有监测与控制部份的具体情况可依据空调厂家提供的通讯协议略有变化。

4.机房漏水系统监控内容

1）漏水子系统监控对象 ：机房内空调附近，沿空调四周分布进行监测。

2）漏水子系统监控内容：实时检测并记录漏水报警变化情况。

5.新风机子系统监控内容：实时监测新风机的开关机运行状态、过滤网堵塞状态。

6.消防子系统监控内容：实时监测机房内的消防火警信号。

其余需要接入动环监控系统的监控量。

9.7. 机房装修

本工程机房与供配电间的场地装修，在充分考虑网络系统、空调系统、UPS系统等设备的安全性、先进性的前提下，达到美观、大方的风格。机房的室内装饰基本格调要与总体的装饰格调一致；在材料选择方面，要以自然材质为主，充分考虑环保因素；机房装饰用材应选用气密性好、不起尘、易清洁、变形小，具有防火、防潮性能。

机房基础装修系统主要有墙面、地面、防火隔墙三大部分组成，2个区域均不设置天花板，详见设计图。施工完成后，墙面和顶面的基层的漆面无凹陷、颗粒、裂缝和不平整现象，事前对顶面墙面找平，找平后再用腻子膏做基层。

墙面、顶面的乳胶漆要求使用无味漆，三遍成活。在工程完成3个月后机房空气中的甲醛含量不能高于国家相关标准，不能有特别明显的异味。照明采用LED不锈钢无炫光灯盘配LED灯管，主机房、辅助区区域照度不小于500Lx,一般办公区不小于300Lx；所有门均采用防火门，需出示消防检测部门出示的检验报告，门的外型、颜色由比选方指定；建议保温材料防火等级不小于B1级。

施工完成后，墙面和顶面的基层的漆面无凹陷、颗粒、裂缝和不平整现象。

1.地面、顶棚

机房的静电地板高度为300mm；无边框钢制防静电地板规格为600*600*35，集中载荷为2950N，均部载荷12500N/m2，滚动载荷2255N/m2，极限载荷8850N/m2，地板重量12.5正负0.5kg/PC；地板背面有防伪钢制六角杯；钢板由鞍钢或者宝钢生产，上钢板采用SPCC冷轧钢板，厚度大于1.0，下钢板采用SPCC冷轧拉伸钢板，厚度大于0.9；表面贴面为合资美亚超耐磨贴面，厚度1.2；贴面为A级防火材料。

四壁装饰应采用不起尘、不易积灰、易于清洁的材料；中央机房与供配电间的顶棚与地面应采取防水、防尘处理。防水卷材、四周防水高度为200mm，砂浆面层自流平找平后防尘漆、三遍成活、净味型。

2、墙面

根据机房实际面积，考虑功能方面、管理方面以及气体灭火等方面的因素，对平面进行了适当的隔断分割，隔断具有一定的隔音、防火、隔热、隔音和减少尘埃附着的性能。不同气体灭火分区之间的隔断达到《气体灭火系统设计规范》（GB 50370）以及建筑规范中规定的维护结构承压和耐火极限要求。机房内玻璃隔断采用12mm厚防火钢化玻璃隔断、各机房消防灭火区域围护结构采用砖砌防火隔墙。

不同消防分区隔断处均采用砖砌体并做防水、防尘处理，每个管线穿墙需预留孔洞并在安装完成后封堵严密。整个围护结构应达到高气密性、高保温性、高防水防火的功效。

轻钢龙骨主件：沿顶龙骨、沿地龙骨、加强龙骨、竖向龙骨、横向龙骨。

轻钢骨架配件：支撑卡、卡托、角托、连接件、固定件、护墙龙骨和压条等附件。

填充隔声材料：离心玻璃棉（50mm、32K），石膏板厚度：12mm

首先安装沿顶龙骨和沿地龙骨、竖龙骨分档、安装竖龙骨，再安装纸面石膏板、墙体内电管、电盒和电箱设备，最后安装墙体内离心棉，与另一侧纸面石膏板同时进行安装填入。

3.吊顶

中央机房、供配电间2个区域均不设置吊顶。本期工程需要对顶棚进行基层处理，做防静电与防尘处理。

4.门窗

2个区域的门要求与墙协调，均采用甲级防火门。设备搬运通道门体高度不小于2200mm，满足设备进出需要。主机房和电池室的门必须设置为防火外开门，疏散口设有醒目的紧急出口标记，便于人员疏散。

5.其他要求

按照B级机房的标准，装饰材料选择不燃材料（燃烧性能等级为A级）及难燃材料（燃烧性能等级为B1级）；隐蔽工程的木作均涂刷防火涂料，满足消防的要求。在围护结构六面体上面所有孔洞在施工前必须封闭；空调及新排风的外墙风口位置必须装防护网，以防止鼠类进入机房及配电间。

装修部分详见施工图。

9.8. 门禁系统

本期工程在机房出入口设置1套门禁系统，包括1台双门控制器、4台读卡器、2套电池锁等，具有包括但不限于以下功能：

1、 无需连接电脑，可脱机进行系统设置（增删卡、密码修改、开锁时间）；

2、 同时支持三种开门方式：刷卡开门、密码开门、刷卡加密码开门；

3、 安全性能好，采用防砸工程塑料外壳，具有防撬报警和门磁报警功能；

4、 三色高亮度LED以及蜂鸣器声音指示，易于操作；

5、 存储1000个用户信息；可外加接一个读卡头；

6、 读卡感应时间小于0.1秒，读卡距离：10 - 20CM；

7、 有数据断电保护功能，断电数据永不丢失；

8、 配备出门按钮、门磁等输入接口，以及门铃接口；

9、 电锁接口采用继电器输出，常开或常闭输出方式可选。

10.          系统割接方案

 

为了迁移能按时顺利进行，并且在迁移后能够保证网络及业务系统正常运行，我们制定了一系列简单明了的工作表，帮助各点迁移实施人员确定各种迁移工作中要执行的工作是否完成。避免工作失误，避免造成迁移工作的延误。

10.1.        迁移风险评估及应对措施

在详细勘察调研的基础上需要对整个迁移过程可能面对的风险情况做出分析并制定详细的应对措施从而把风险的影响降到最低。基于我方多年的网络迁移、系统迁移经验，我方把迁移过程中可能面临的风险归纳为以下几个方面：

操作失误风险：在迁移过程中，操作人员往往处于高度紧张的状态，心理素质欠缺的操作人员在一些突然情况下有可能出现操作失误的可能性，因此我们要最大限度的规避这种失误风险，主要的应对措施就是在迁移实施前做出详细的操作脚本，细化到每一个步骤的配置脚本，以及不断优化各个步骤的操作顺序，最后要提前分析本次操作可能面临的各种风险情况，对每一个风险制定相应的应对操作措施，也要细化到每一个步骤的配置脚本，这样操作人员在迁移实施过程中基本可以用复制和粘贴来完成本次迁移操作。这样就最大限度的对操作人员的各种操作进行程序化限定，从而把个人主观因素带来的风险降到最低。

窗口时间控制风险：内江市电子政务外网覆盖了整个内江市委办接入，涉及网络业务种类众多，对于网络的实时性要求也不一样，有的实时性重要业务要求网络在任何时间段都不能中断，因此对于这类业务在迁移过程要制定无缝平滑迁移方案，有的业务只在白天运行，因此可以在深夜的一段时间进行断网迁移操作，但必须制定明确的窗口时间，即网络可以中断的起始时间点。因此在迁移操作过程中要严格控制每个步骤的操作时间确保整个迁移过程在窗口时间内完成，同时需要制定回退控制时间点，即在迁移过程中必须明确每个阶段的回退时间点，一旦发生故障，在相应的窗口时间内无法排除，则在回退控制时间点到来之前必须进行回退操作。这样做的目的就是严格控制窗口时间，防止在窗口时间内无法完成迁移实施操作从而影响到客户业务系统的正常运行。

设备风险：即在迁移过程中新增设备或者板卡在上线过程中发现故障，无法使用，从而影响整个迁移操作的进程，甚至影响到客户的业务系统运行。为了防止这种情况的发生，最好在迁移过程中准备相应设备的备件，以便在设备发生突发故障时，可以立即进行替换，保证迁移工作正常进行。

稳定状态破坏风险：一个网络系统在经过长时间的磨合同时相对稳定运行之后会进入一个稳定状态，这种状态看似稳定和谐，但同时存在一定的潜在风险。即当这种稳定状态突然被打破时，系统可能在短时间内会进入一个不稳定活跃期，在这个阶段，系统可能会出现一些异常的问题。举个例子，我们在迁移过程中将原有线路中断，连接新设备进行链路开通时发现无法开通，此时如果再将链路连接回原有设备，突然发现原有链路又开通不了，这就是一个典型的系统稳定状态被打破后出现的异常情况，此时往往可以通过开闭端口、重新插拔线缆、删除接口原有配置重新配置等简单操作解决异常故障。如果一个没有这种经验的操作人员在面对这种情况时往往会手足无措，甚至影响到整个迁移进程。因此在本项目中，我方对于系统迁移这部分重要工作均配备具有丰富迁移、迁移经验的网络专家进行操作，确保在出现这种异常情况时可以做到从容应对。

10.2.        迁移准备工作

在进行迁移实施工作之前，需要进行相关准备工作，主要有以下几个方面：

布放线缆：按照迁移设计方案提前布放相关线缆，并进行测试然后贴好标签。

设备信息采集：在迁移操作之前采集最新的设备信息，包括软件版本，硬件信息、内存状态、接口状态、流量情况、路由情况、配置脚本等。

设备预配置：在迁移操作之前，可以将不影响现有状态的配置命令进行提前配置，将迁移过程中的命令配置量降到最低。

网络设备配置备份：在迁移操作之前，对相关设备配置数据进行备份，一旦发生突发情况，便于进行业务恢复。

迁移演练：与客户协商在迁移前做一次迁移预演练，在具备环境的条件，制定迁移演练方案，迁移实施前对迁移工作提前预演练。

10.3.        阶段性测试

阶段性测试有两个层面的含义；第一个层面指的是将一个节点的迁移实施工作分为几个阶段（如各区县网络迁移工作可分为10天完成，每天即为1个阶段），在每个阶段完成后进行相应的测试。第二个层面指的是将当天的迁移实施工作也分为几个阶段，在当天的每个阶段完成后进行相应的测试工作。

10.4.        全局测试

全局测试是指某节点的整体迁移工作全部完成后进行的测试工作。主要包括新的网络系统指标测试（如链路连通性测试、链路质量测试、路由测试等）以及所有相关业务系统的业务测试，确保所有业务系统在接入新的网络系统后保持正常稳定的运行。

11.          人员培训方案

人员培训是整个项目成败的关键。

针对不同层次的用户，需制定相应的培训计划，形成明确的人员培训执行计划，即《培训项目计划书》。《培训项目计划书》是人员培训的管理文件。

对技术人员、操作人员按基础操作层、初级管理层实施分级、分批次培训。

11.1.        培训目标

为了确保项目建设工作的顺利进行和项目实施后的稳定运行，由中标供应商组织进行统一培训，通过对建设单位工作人员进行相应的专业技术和应用技术培训，达到提高工作效率。

11.2.        培训要求

培训教员需具有丰富的相同课程教学经验，且所有的培训教员采用中文授课。

培训人员：信息化领导、各科室负责人、系统管理员、基层工作人员、外部单位及工作人员。

12.          项目验收方案

项目验收按照《四川省政府采购项目需求论证和履约验收管理办法》组织实施。

12.1.        验收目的

为使项目建设按照标准要求进行，确保项目竣工后达到有关要求和标准，并能正常投入运行，必须进行项目验收。

12.2.        验收条件

所有建设项目按照合同要求全部建成，并满足使用要求；

1)      各个分项工程全部验收合格；

2)      防雷、防火等已通过相关主管部门或第三方评估机构检测备案；

3)      完成IPv6应用测试，并提供报告；

4)      软件已置于配置管理之下；

5)      各种技术文档和验收资料完备，符合合同要求；

6)      系统建设和数据处理符合信息安全的要求，涉密信息系统需提供主管部门验收的合格证书；

7)      采购产品符合知识产权相关政策法规的要求；

8)      各种设备经加电试运行，状态正常；

9)      经过监理方、相关主管部门和项目业主同意；

10)  合同或合同附件规定的其他验收条件。

12.3.        验收方法

1)      登记法

对项目中所有硬件、软件一一登记，特别是硬件使用手册、软件使用手册各种技术文档等一定要登记造册，不可遗漏，并妥善保管。对项目建设中根据实际进展情况双方同意后修订的合同条款、协调发展建设中的问题进行登记。

2)      对照法

对照检查项目各项建设内容的结果是否与合同条款及工程施工方案一致。

3)      操作法

这是项目建设最主要的验收方法。首先，最项目系统硬件一一实际加电操作，验证是否与硬件提供的技术性能相一致；其次，运行项目软件系统，检验其管理硬件及应用软件的实际能力是否与合同规定的一致；第三，运行应用软件，实际操作，处理业务，检查是否与合同规定的一致，达到了预期的目的。

4)      测试法

对能使用检测仪器进行检测的设备，实施应当一一进行实际测试，检查是否和设备、实施的规格、性能要求相一致。

12.4.        验收依据

1)      项目合同书。

2)      国标、行业标准和相关政策法规国家标准。

3)      市政府信息化项目建设管理有关规定。

4)      政府采购有关规定。

12.5.        验收步骤

1)      需求分析

 建设单位会同监理单位，针对项目验收，组织人员进行验收需求分析。

2)      编写验收方案（计划书）

 在对项目进行深入的需求分析的基础上编写验收方案（计划书），并提交“项目推进工作小组”审定。

3)      成立项目验收小组

实施测试验收工作时，应当成立项目验收小组，具体负责验收事宜。

4)      项目验收的实施

严格按照验收方案对项目应用软件、网络集成效果、系统文档资料等进行全面的测试和验收。

5)      提交验收报告

项目验收完毕，对项目系统设计、建设质量、设备治疗、软件运行情况等做出全面的评价，得出结论性意见，对不合格的项目不予验收，对存在的问题提出具体的解决意见。

12.6.        验收程序

1)      初验

申请：项目竣工后经测试和试运行合格，中标单位根据合同、招标书、计划任务书，检查、总结项目完成情况后向监理、业主提出初验申请。

方式：项目业主组织监理和中标单位进行初验。

提供材料：初验申请书、完工报告、项目总结、一级要求的验收评审资料。

2)      终验

申请：初验合格后，建设单位报经相关主管部门同意后，组织终验。

方式：成立验收小组进行验收，验收小组一般7-15人，主要由项目推进工作小组有关人员、部分信息化专家组成。验收时参照相关验收内容及标准进行，验收后提交验收报告。

提供材料：验收申请、项目建设总结性评价报告（组织与实施协调）、项目实施报告（技术、项目管理、质量控制）、相关文档资料（含硬件配置文件）。

12.7.        验收结论

1)      验收结果

验收结果分为：验收合格、需要复议和验收不合格三种。

符合信息化项目建设标准、系统运行安全可靠、任务按期保质完成、经费使用合理的，视为验收合格。

由于提供材料不详难以判断，或目标任务完成不足80%而又难以确定其原因等导致验收结论争议较大的，视为需要复议。

项目凡具有下列情况之一的，按验收不合格处理：未按项目考核指标或合同要求达到所预定的主要技术指标的；所提供材料不齐全或不真实的；项目的内容、目标或技术路线等已进行了较大调整，但未曾得到相关单位认可的；实施过程中出现重大问题，尚未解决和作出说明，或项目实施过程及结果等存在纠纷尚未解决的；没有对系统或设备进行试运行，或者运行不合格；项目经费使用情况审计发现问题的；违犯法律、法规的其他行为.

2)      项目验收结论的处理

初验合格的，按程序进入终验环节；终验结论为验收合格的，即日进入项目服务期。

初验结论需要复议的，中标单位在三个月内补充有关材料或者进行相关说明，经建设单位审核无误后，按程序进入终验环节。

初验、终验结论为验收不合格的，建设单位以书面形式通知中标单位，限期整改，整改后试运行合格的，重新组织验收。

13.          购买服务绩效评价方案

本项目采用购买服务的方式进行建设，将遵照《关于推进政府购买服务第三方绩效评价工作的指导意见》（财综〔2018〕42号）开展绩效评价、年度考核等工作。具体运维服务质量评价建下表，根据项目实际情况，经与供应商磋商，可做适当调整。

13.1.        绩效评价组织

建设单位组织本单位人员和技术专家进行评价。

13.2.        绩效评价时间

每年组织评级一次，一般为当年服务期满后15个工作日内完成评价。

13.3.        绩效评价指标

绩效评价主要从基本任务、技术能力、运维团队管理、文档规范性等4个方面进行考核，并实施加扣分机制。详见下表：

 

项目名称		评价时间
考核内容	考核标准	考核积分说明	分值	得分	说明 （选填项）
基本任务	IPv6应用	IPv6应用畅通运行，得10分；反之，不得分。	10
	网络安全运行	网络安全符合当前国家政策要求，网络安全事件得到及时处理，未因网络安全事件，收到市外有关单位通报，得10分；反之，不得分。	10
	用户评价	对本项目用户及接入单位进行调研评价（评价内容另行规定），评价分满分得5分；评价分每降低10分，扣1分，扣完为止。	5
	工作计划	建立了运维制度，制定了科学、可行的运维具体方案、年度工作计划、演练方案等，并遵照执行，得5分；每缺一项扣1分，扣完为止。	5
	是否完成应急演练	完成应急演练，并形成相应报告，得5分；反之，不得分。	5
	是否开展攻防演练	开展攻防演练，并出具报告得5分；反之，不得分。	5
技术能力	完成各项工作任务	按时完成合同约定、运维方案要求的各项工作任务，得5分；每缺一项扣1分，扣完为止。	5
	故障解决率	解决率达到100%，得5分；每降低5%，扣1分，扣完为止。故障解决率=解决故障数量/故障总数量*100%	5
	故障响应（解决）时间	每次故障响应（解决）时间达到要求，得5分；每有一次故障响应（解决）超时，扣1分。	5
	为建设单位运维人员开展2次集中培训	每减少一次，扣5分，扣完为止。	5
运维团队管理	运维团队是否完整	为本项目配备项目经理、驻场工程师、远程技术专家团队、文档管理员等，得5分；仅配备项目经理、驻场工程师，得3分；无驻场工程师，扣5分。	5
	运维团队是否稳定	项目经理、驻场人员无故变更，扣5分；其他情况变更，扣3分。	5
	驻场人员遵守工作纪律，按时上下班。	每无故迟到早退一次，扣1分，扣完为止。	5
	运维团队服务态度是否端正	根据实际表现评分	5
	熟悉系统、了解业务	根据实际表现评分	10
文档规范性	运维事件是否都有记录	完整记录运维事件，得5分；没缺失一项扣1分，扣完为止。	5
	运维文档、巡检记录等资料是否规范	没有细微偏差情形的得5分；有一项细微偏差扣0.5分，直至该项分值扣完为止。	5
加分项	是否能提出建设性的意见建议		5
	重大保障活动表现突出		5
扣分项	运维中出现重大失误		-5
	重大保障活动表现逊色		-5
	发生重大网络安全事件		-10
分数总计
评价人员签字	年  月  日

13.4.        评价结果应用

服务质量评价80分及以上为合格，建设单位按照合同约定全额支付当年服务费；若服务质量评价低于80分，每降低5分，当年服务费扣减5%。

14.          设备技术参数及数量要求：

本项目核心产品：核心路由器、核心交换机，态势感知系统和统一综合IT运维功能模块。

基础网络

序号	产品名称	参数配置	单位	数量
一、外网骨干区域
1	核心路由器	1、采用全分布式转发处理架构，引擎、交换网板、业务板卡完全物理分离，业务板采用载板+子卡设计 ，单主控故障不能影响业务转发。 2、主控插槽≥2个，独立交换插槽≥2个，整机全尺寸业务插槽≥8个（不含路由引擎、交换网板、业务子卡插槽）.业务子槽位≥16个。 3、设备的关键部件、主控模块、交换模块、风扇槽位、电源模块均有硬件冗余备份，热拔插更换故障模块时备用主控、交换、风扇、电源模块正常运行。 4、★系统采用无阻塞交换，整机交换容量≥60Tbps，转发性能≥18000Mpps。支持所有业务端口满配时对IP包的线速转发，支持虚拟化技术或热备技术。 5、★具备与认证系统配合实现电子政务外网、互联网等的灵活切换功能，保障同时只能访问一个区域（其他区域处于隔离状态）、切换过程要求便捷灵活无感知。 6、需要支持OSPFv3、ISISv6、BGP4+、VRRP6等IPv6的路由技术，支持MPLS、MPLS VPN、VPLS等。 7、本期新购设备配置、双主控，满配交换网板端口，端口需求为配置万兆光口≥12个，千兆光口≥24个，万兆单模光模块≥10个，万兆多模光模块≥2个，GE光模块≥12个,本期要求所配置端口均匀分布在两个以上业务槽内，单槽业务处理能力单向≥100G，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。 8、配置虚拟化或热备技术软件功能授权。	台	2
2	上联PE路由器	1、采用全分布式转发处理架构，引擎、交换网板、业务板卡完全物理分离，业务板采用载板+子卡设计 ，单主控故障不能影响业务转发。 2、主控插槽≥2个，独立交换插槽≥2个，整机全尺寸业务插槽≥4个（不含路由引擎、交换网板、业务子卡插槽）.业务子槽位≥8个。 3、设备的关键部件、主控模块、交换模块、风扇槽位、电源模块均有硬件冗余备份，热拔插更换故障模块时备用主控、交换、风扇、电源模块正常运行。 4、★系统采用无阻塞交换，整机交换容量≥60Tbps，转发性能≥10000Mpps 。支持所有业务端口满配时对IP包的线速转发，支持虚拟化技术或热备技术。 5、具备热备切换过程不丢包。 6、需要支持OSPFv3、ISISv6、BGP4+、VRRP6等IPv6的路由技术，支持MPLS、MPLS VPN、VPLS等。 7、本期新购设备配置、双主控，满配交换网板端口，端口需求为千兆光口≥16个，万兆SFP+光口≥12个；万兆单模光模块≥4个，万兆多模光模块≥2个，GE光模块≥12个,本期要求所配置端口均匀分布在两个业务槽内，单槽业务处理能力单向≥100G，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。 8、配置虚拟化或热备技术软件功能授权。	台	2
二、内江市单位接入区
1	边界路由器	1、采用全分布式转发处理架构，引擎、交换网板、业务板卡完全物理分离，业务板采用载板+子卡设计 ，单主控故障不能影响业务转发。 2、主控插槽≥2个，独立交换插槽≥2个，整机全尺寸业务插槽≥4个（不含路由引擎、交换网板、业务子卡插槽）.业务子槽位≥8个。 3、设备的关键部件、主控模块、交换模块、风扇槽位、电源模块均有硬件冗余备份，热拔插更换故障模块时备用主控、交换、风扇、电源模块正常运行。 4、★系统采用无阻塞交换，整机交换容量≥60Tbps，转发性能≥10000Mpps。支持所有业务端口满配时对IP包的线速转发，支持虚拟化技术或热备技术。 5、★具备与认证系统配合实现电子政务外网、互联网等的灵活切换功能，保障同时只能访问一个区域（其他区域处于隔离状态）、切换过程要求便捷灵活无感知。 6、需要支持OSPFv3、ISISv6、BGP4+、VRRP6等IPv6的路由技术，支持MPLS、MPLS VPN、VPLS等。 7、本期新购设备配置、双主控，满配交换网板端口，端口需求为配置，万兆SFP+光口≥8个，万兆单模光模块≥4个，万兆多模光模块≥2个，本期要求所配置端口均匀分布在两个业务槽内，单槽业务处理能力单向≥100G，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。 8、配置虚拟化或热备技术软件功能授权。	台	2
2	汇聚交换机	1、采用全分布式转发处理架构，主控引擎插槽≥2个，业务插槽≥6个，支持N+M冗余，风扇个数≥2个。 2、★交换容量≥80Tbps，包转发率≥22000Mpps。 3、支持横向虚拟化技术，将多台设备虚拟为一台设备，配置虚拟化技术软件功能授权。 4、支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议。 5、单台配置2个引擎、2个电源，单台配置≥24个千兆光口、≥4个万兆光口；配置千兆单模光模块≥20个，万兆多模光模块≥4个，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。	台	2
3	单位接入网关	1、路由端口≥2个GE光口，扩展槽位数≥4个，整机千兆端口配置≥8个，千兆光模块≥2个。 2、配置冗余电源，支持热插拔。 3、★包转发率≥25Mpps。 4、支持并配置静态路由、动态路由、策略路由。 5、支持静态路由、RIP(V1/V2)、OSPF等多种路由协议，支持DHCP Relay 、DHCP Server，支持NAT。 6、要求能够配合资源访问控制平台实现基于策略组的安全域切换功能，实现同时只能访问一个安全域，域间切换均要求通过Web界面选择操作。	台	10
三、互联网统一出口区
1	边界路由器	1、采用全分布式转发处理架构，引擎、交换网板、业务板卡完全物理分离，业务板采用载板+子卡设计 ，单主控故障不能影响业务转发。 2、主控插槽≥2个，独立交换插槽≥2个，整机全尺寸业务插槽≥4个（不含路由引擎、交换网板、业务子卡插槽）.业务子槽位≥8个。 3、设备的关键部件、主控模块、交换模块、风扇槽位、电源模块均有硬件冗余备份，热拔插更换故障模块时备用主控、交换、风扇、电源模块正常运行。 4、★系统采用无阻塞交换，整机交换容量≥60Tbps，转发性能≥10000Mpps。支持所有业务端口满配时对IP包的线速转发，支持虚拟化技术或热备技术。 5、需要支持OSPFv3、ISISv6、BGP4+、VRRP6等IPv6的路由技术，支持MPLS、MPLS VPN、VPLS等。 6、本期新购设备配置、双主控，满配交换网板端口，端口需求为，万兆SFP+光口≥10个；千兆光口≥8个；万兆光模块单模≥6个，万兆光模块多模≥2个，千兆光模块≥8个，本期要求所配置端口均匀分布在两个业务槽内，单槽业务处理能力单向≥100G，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。 7、配置虚拟化或热备技术软件功能授权。	台	2
2	核心交换机	1、采用ClOS架构、独立交换网板，独立引擎槽位数≥2个，独立业务槽数≥8个，独立交换网板插槽数≥4个，风扇框数≥2个。 2、★交换容量≥200Tbps，包转发性能≥48000Mpps。 3、支持IPv6静态路由、RIPng、OSPF v3、BGP4+ 等路由协议。 4、整机MAC地址表项≥500K，ARP表项≥150K。 5、支持基础安全保护策略。 6、需具备配多端口流量镜像功能，配合安全设备完成全网安全策略部署。 7、单台实际配置2个引擎、4个交换网板、4个电源，单台配置千兆光口≥8个、万兆光口≥16个，配置万兆单模光模≥14个万兆多模光模块≥2个，千兆单模光模块≥6个，千兆多模光模块≥2个，采用虚拟化或热备技术占用设备端口或所需配套材料不包含在以上业务端口配置内，由供应商提供。	台	2
3	互联网链路加速系统	1、配置千兆电口≥2个，可扩展万兆槽位≥2个，万兆端口模块≥2个，磁盘槽位数≥6个，磁盘存储空间≥12TB SATA，系统存储SSD空间≥150GB，运行内存≥16GB，配置1+1冗余电源，支持≥15000用户并发热点数据缓存。 2、CPU主频≥1.7GHz,≥6核6线程。 3、支持视频缓存加速功能。 4、支持手机客户端的APP下载缓存加速功能。 5、支持缓存加速功能的数据统计，可统计出服务流量、访问的分布地图统计、加速效果统计、访问日志统计、出网占比统计。 6、配置≥3年的特征库升级使用许可授权，含正版操作系统授权。	台	1
4	安全资源池管理器	1、模块化双电源备份，支持电源热插拔。 2、计算节点采用模块化设计，支持≥4个模块化计算节点。 3、配置2个主机节点,3个计算节点，≥8核处理器，≥32GB DDR4内存，≥2个千兆网络光接口（含光模块），≥2个万兆网络光接口（含光模块）。 4、可以通过旁挂核心，实现互联网出口引流的效果；可以实现网络安全设备跨品牌负载均衡部署。 5、支持业务流可定制安全设备路径转发。 6、支持基于流量的自动bypass。 7、支持利旧安全设备，支持旁挂设备跨品牌主备部署，兼容第三方品牌安全设备。	台	1
四、综合业务支撑区
1	接入交换机	1、配置千兆电口≥28个，配置千兆光口≥4个，配置万兆光口≥4个，端口扩展插槽≥2个（除配置端口），配置2块模块化电源，配置万兆光模块≥2个，配置GE光模块≥4个。 2、★交换容量≥580Gbps，包转发率≥200Mpps。 3、MAC地址≥60K。 4、支持软件定义网络SDN。	台	1
2	资源访问控制平台	1、支持对接入用户实现授权并且对于代理上网的行为，可以做到识别和禁止，配置10000个用户管控及日志审计软件授权。 2、资源管控系统支持安全域增删的自助申请和修改，支持个人账户的自助申请、修改。 3、能够使入网用户在各个安全域之间切换进行日常工作，WEB界面能够实现无感知切换，能够手动制定切换方式，仍然保证同一时刻网络访问的单通。 4、在各单位网络经过NAT之后，通过设备仍然能够记录经过NAT之后的URL日志和NAT日志，并实时传递给日志系统进行存档。 5、用户入网认证完成后，接入用户不能再通过本地WIFI或4G上网卡访问互联网，只能通过电子政务外网实现对业务网络或互联网的访问，实现接入用户安全孤岛功能。 6、★对电子政务外网中的各个安全域能够识别和管控，在同一时刻入网人员只能访问一个目的安全域，与其他安全域隔离，保证网络单通。	套	1
3	安全认证系统	1、支持和配置802.1x和WEB portal认证有线和无线用户的用户名密码认证和USB-KEY CA证书认证功能。 2、支持与第三方Radius联动，将认证信息转发给第三方Radius服务器进行认证，即实现统一身份源。 3、支持集群部署，保障系统可靠性。 4、配置10000人的并发授权。	套	1

14.1.        综合运维平台

序号	产品名称	参数配置	单位	数量
1	▲统一综合IT运维功能模块	（一）整体要求 1、系统应采用B/S架构，可部署在安全可控操作系统上； 2、支持分布式部署，可实现负载分担；可为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理，整体平台UI风格一致； 3、系统可实现对主流品牌的交换机、路由器、防火墙、服务器、虚拟机等IT资源的统一监控告警，形成安全运维一体化的统一综合IT运维平台； 4、系统应对主流品牌网络设备进行监控，包含但不限于设备性能、吞吐量，端口流量、端口丢包率、广播包速率，链路通断等； 5、能够通过API接口实现对VMware 、Hyper-V、Citrix、H3C CAS、华为、KVM等主流虚拟化资源的监控，提供虚拟机漂移告警； 6、能够通过SNMP、SMI-S等多种方式支持对主流品牌存储设备的监控；实现存储故障告警和统计分析； 7、能够自动计算生成拓扑图，并将安全事件在拓扑图中进行统一告警呈现，对拓扑中的告警设备高亮显示，并将拓扑图中的设备告警详情轮询排列在拓扑图中，方便管理员通过大屏进行直观的查看； 8、可自定义业务所关联的关键IT资源，包括服务器、网络等资源，以业务管理视角实现对业务监控管理； 9、系统内置多纬度多视角报表模版，可以按照设定的周期自动将报表通过邮件、系统信息等多种方式发送给指定运维人员； 10、监控要求：结合当前IT资源规模及未来发展需要，网络设备监控数量≥500，服务器数量≥50个，虚拟机主机监控数量≥200个，机房可视化机柜数量≥50个。 （二）门户管理 1、系统可自定义多种展示首页，可根据不同角色账号分别自定义多个门户展示内容，并可调整每个窗体的大小和位置，以便于大屏展示； 2、可将第三方系统portal展示页集成到展示首页进行统一呈现。 （三）巡检管理 1、提供设备自动巡检功能，巡检内容包括服务器、网络设备等所有管理对象； 2、能够对巡检结果出现异常的指标进行标识，并形成巡检报告。 （四）配置管理 1、具备对主流厂家网络设备的配置备份管理功能，实现自动获取可管理设备的配置信息，同时进行备份操作； 2、当配置发生变化时可产生配置变更告警。 （五）IP地址管理 1、提供IP地址管理基准表操作日志，记录基准表的操作信息，提供子网容量、使用率、规划率的计算； 2、在IP地址产生异常时，可对网段使用率、非法占用、未登记、接口变更等情况产生告警。 （六）分级管理 能够实现市级与各区县下级运维数据的联动，各区县运维平台可独立使用，同时将区县运维平台中的重要资产信息、关键告警统计，KPI统计、拓扑视图等按需上传至市级运维管理平台中进行统一分析和呈现。 （七）告警管理 1、可分析告警产生时刻与告警资源相关联的设备情况； 2、与即时通讯（含3年通讯服务费）对接，将告警信息通过即时通讯发送到相关运维人员。 （八）定制化要求 1、能够与IT服务管理功能模块进行对接，定制开发以实现数据的联动，能够自动将监测平台中定位的故障或安全事件等信息同步到IT服务管理平台中进行闭环管理，并实现对IT资产的有效联动，以及SLA的统一管理等需求。 2、能定制开发实现中心机房的可视化管理，按照真实机房IT设备布局，与各品牌各类型IT设备进行数据对接，并可逐层查看机柜内的设备信息，实现机柜空间容量、机房物理线路的可视化，对机房中各项IT数据进行统一呈现和分析。	套	1
2	IT服务管理功能模块	（一）整体要求 1、系统采用B/S架构，可以显示用户最近提报工单、常用的热点知识等内容； 2、内置图像化流程设计引擎，流程设计可通过图形化拖拽的方式实现定制，方便我单位快速、高效的进行业务流程的编排和发布； 3、表单引擎内置常见表单组件，可直接拖拽表单图标进行表单设计，方便我单位简单、高效的制定流程表单信息； 4、可通过图形化拖拽的方式选择数据库中的任意关键字段做为分析纬度，并可设置多层的分析路径，将分析的结果以图形化方式进行展示； 5、系统中任意表格视图或用户自定义配置的表格视图均支持配置导出功能，可将当前表格显示字段或全部字段导出到Excel，包括文本、多行文本、富文本、数字、日期等字段类型； 6、业务流程办理完毕，可提供处置日报，查看今天、昨天、最近一周系统为用户自动办理的业务； 7、应支持通过移动端的方式按月进行报表推送，形成微信月报，月报的内容可以进行个性化定制，满足不同场合的业务总结需求； 8、能够与统一身份系统对接实现单点登陆，与统一综合IT运维平台联动，将统一综合IT运维平台中发现的IT故障自动生成故障工单，并自动分派给相关的运维人员进行闭环管理。 （二）故障管理 1、能够统一进行故障的闭环管理，可对记录故障的申请时间、申请人、申请原因，上传故障图片等内容，方便管理员更好的鉴定和处置故障； 2、具备故障模版，对于用户经常填报的故障可以形成故障模版，当选择对应的故障模版后，类似故障的描述信息可以自动填充，提高用户故障的提交效率； 3、故障工单显示能够以卡片和列表等方式进行呈现，方便不同管理人员对故障工单进识别处理和统计分析。可对故障工单进行评论，方便内部工程师对事件进行协同处理，提升团队的协作能力。 （三）IT服务门户管理 1、系统提供IT办事门户首页轮播图设置，轮播图设置内部包括轮播图高度、轮播图数量、轮播图播放间隔、轮播图播放顺序、轮播图搜索框显示设置等参数，以更加丰富的对外展示相关IT服务信息； 2、提供智能化的服务推送，可以在后台按照规则配置服务事项推送； 3、IT服务业务以卡片的方式进行呈现，每个服务卡片会显示服务名称、服务图标、服务办理次数、服务分类信息，不同用户可以直接在卡片上进行服务收藏； 4、系统应在服务单详情上显示流程图，可以在流程图上显示当前服务办理的节点，可以整体查看整个流程的全貌； 5、支持通过Excel方式来设置打印模板，导入系统后可以预览打印效果，最终形成打印模板，在服务单处理过程中可以根据模板打印出服务单。 （四）流程管理 1、业务流程资产智能化规则引擎，用户可自定义服务单处理规则，满足不同业务服务单处理条件时，可自动触发相应执行操作，如系统自动分派、自动受理、自动审批等操作； 2、可根据用户实际业务办理的需要，重构业务全生命周期流程，并适配到系统中，提供持续的优化服务。 （五）知识库管理 1、可多维度、分领域对知识库进行管理，提供对知识的创建、评审、发布等，提高我单位信息部门运维知识的有效管理； 2、用户可根据知识验证的有效性对相关知识经验进行点赞评价，在工单引入、知识查看时优先为用户推送对应类别的热点知识。 （六）资产关联管理 1、支持资产的出库、入库、调配等功能，实现对资产的全生命周期管理；可自定义资产字段、类别等信息； 2、提供资产的二维码、条形码形成和打印功能，当我单位IT资产被录入后可自动形成二维码和条形码，并通过标签打印机直接对二维码和条形码进行打印； 3、配置项信息可输出打印，可自定义输出表格并提供打印，满足纸质单归档的需求，具备对配置项变更的历史审计信息的记录和查询。 （七）服务时效管理 1、提供SLA响应时间、解决时间、自动转交时间的设置功能，可在工单执行过程中显示剩余时间和超时时间； 2、支持SLA与故障、IT服务等流程的关联，并识别、跟踪流程的执行效果； 3、可针对不同类别的事件、请求设置不同的服务级别，满足差异化服务的需求。并可设置提前发送超时提醒，当超时时可以自动转派和升级给其他角色或人员。 （八）微信端管理 1、提供基于微信平台的移动端功能，用户可通过微信端登录系统进行服务的提交、查询等操作。运维人员可以通过微信端登陆系统进行工单的受理、转交、解决等操作。 2、为提升用户在移动端的使用体验，PC端流程表单、统计分析与移动端自动转换，转换效果符合移动端操作习惯，无需进行代码开发，降低移动端匹配周期。 （九）定制化要求 能够与统一综合IT运维功能模块对接，通过定制开发等手段以实现在故障或IT服务处置结束后，可将相关联的IT设备的管理信息、配置信息等进行自动同步更新，从而实现IT设备数据的一致性。	套	1

14.2.        网络安全

序号	产品名称	参数配置	单位	数量
1	IPV6防火墙	（一）性能主要指标 扩展插槽≥2个，10/100/1000M自适应电口≥6个，万兆SFP+光接口≥4个（单台配置4个多模万兆光模块）。★网络处理能力≥18G，并发连接≥350万，每秒新建链接数≥25万。配置至少三年下一代防火墙全安全功能模块升级更新服务，包括：应用特征库/URL网址过滤/AV防病毒/IPS入侵防御/威胁情报。 (二)主要功能需求 1、支持静态路由、OSPFv2/v3、策略路由和多播路由等;支持0-day、APT及未知威胁攻击防护。 2、可将应用、威胁、分类、源地址、目的地址等信息关联分析。 3、支持统计失陷数量及风险等级状态，支持查看失陷时间、威胁类别、情报来源、威胁情况、失陷主机IP等。 4、支持威胁情报的安全策略驱动；实现数据关联分析、智能协同响应。 5、支持源目的地址、应用信息智能选路；支持基于权重的路由负载均衡。 6、支持威胁溯源分析，可发现高级威胁APT攻击；支持数据关联分析。 7、提供关联的威胁事件日志。 8、支持下一代IPv6网络业务安全防护。	台	7
2	上网行为管理系统	（一）性能主要指标 标配1个管理口和1个HA口，4个扩展槽；≥4个千兆电接口，≥4个千兆光接口，≥2个万兆光接口，≥1T硬盘，≥4个万兆光模块。★最大并发连接数不低于350万，最大新建连接数不低于8万/秒。 (二)主要功能需求 1、可集中呈现上网行为风险等级和状态。 2、能够支持IPv6环境下的应用识别管控、带宽管理、网址访问审计与管控、生成分析报表等功能。 3、支持并发连接数限制，可以每个人的并发/新建连接数量进行控制。 4、可针对即时通讯APP账号制定策略，对聊天、登录及登出的行为进行记录与控制；能够对即时通讯文件传输行为进行审计，并且能够对传输的文件进行备份留存；支持对即时通讯聊天内容进行审计。	套	1
3	日志审计综合平台	（一）性能主要指标 冗余电源，千兆电口≥4个， 存储容量≥8T，硬盘≥2块, RAID卡≥1个，远程管理接口≥1个，扩展接口≥4个。★性能：事件采集≥40000EPS，事件处理≥10000EPS，授权节点≥200个。 (二)主要功能需求 1、包含资产管理、日志采集、日志归一化、日志存储、日志查询、实时分析、关联分析、关联告警、统计报表功能，授权节点≥12个。 2、产品为B/S模式，无需安装客户端，对浏览器具有良好兼容性，使用IE浏览器访问管理中心，浏览器端无需安装Java运行环境。 3、采集对象：支持对各类网络设备（路由器，交换机）、安全设备（包括防火墙，VPN，IDS，IPS，防病毒网关，网闸，防DDOS攻击，Web应用防火墙）、安全系统（Symantec、瑞星、江民、微软ISA、Windows防火墙）、主机操作系统（包括Windows,Solaris, Linux, AIX, HP-UX,UNIX,AS400）、各种数据库（Oracle、Sqlserver、Mysql、DB2、Sybase、Informix）、各种应用系统（邮件，Web，FTP，Telnet），网管系统告警日志、终端管理系统（或是内网管理系统、桌面管理系统）告警日志，网络综合审计系统告警日志，上网行为审计系统日志，以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。 4、采集方式：支持通过syslog、snmp trap、netflow、netscreem、jdbc、odbc、opensec lea、agent代理、wmi等多种方式完成各种日志的收集功能。 5、具备日志收集后进行字段和安全等级的归一化处理能力。 6、支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并，条件可以多种组合；支持对指定设备发送的日志进行归并，其他设备发送的将不进行归并；支持对事件个数深度和事件时间深度进行归并。 7、支持事件挖掘能力，具备对日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。	套	1
4	入侵防御系统	（一）性能主要指标 ★IPS吞吐≥5000M，每秒新建连接数≥9万，并发链接≥300万。配置冗余电源；标配1个HA电口及1个管理口（非业务口），扩展槽≥2个；配置≥2个万兆SFP+接口，配置3年IPS特征库升级服务。 (二)主要功能需求 1、支持透明、路由、混合多种工作模式，支持静态、策略路由、OSPF、BGP4等动态路由，支持端口聚合，支持通过web方式调用设备命令行窗口功能，无需登录串口就可对设备进行命令行操作。 2、支持基于安全策略、地址对象/地址组/地址池/权重地址、自定义服务对象/服务组、时间对象/时间组的隔离。 3、支持本地认证、Radius认证、Tacacs+认证、CA 认证、LDAP/AD 认证。 4、具备识别多种社交软件和应用得能力，但不仅限于以下几种，如微信、新浪微博、网易新闻、网络游戏、流媒体等。	套	1
5	数据库审计	（一）性能主要指标 10/100/1000M电口≥6个，≥2个扩展插槽，内置≥4T硬盘，支持Raid1；≥6个DB审计授权数量。★事件处理≥15000条/秒。 (二)主要功能需求 1、产品满足对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报，可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管。 2、支持B/S、C/S应用系统三层架构http应用审计，可提取包括应用系统的应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC等身份信息，精确定位到人，并可获取XML返回结果。 3、在无需重启被审计数据库的情况下，支持对MS SQLSserver 加密协议的审计，可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息。 4、支持Syslog方式向外发送审计日志，支持处理基于消息队列的报警信号。	套	1
6	安全接入VPN（国密）	（一）性能主要指标 ★SSLVPN加密速度≥300Mbps，SSLVPN并发用户数≥4000，SSLVPN每秒新建用户数≥200，提供不少于1000个并发授权。≥6个千兆电口，≥2个千兆光口。 (二)主要功能需求 1、支持网关模式、单臂模式、双机模式、集群模式的部署,标配硬件加密卡。 2、产品应支持国家商用密码算法包括：SM1,SM2,SM3,SM4算法。 3、支持终端使用包括IE6、7、8、10、11， Windows EDGE，Google Chrome，Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用。 4、支持Mac系统主流浏览器，如Chrome、Firefox等最新版，免安装浏览器插件登陆SSL VPN。 5、能够实现登陆SSL VPN的账号和应用系统账号绑定，加强身份认证，防止登录SSL VPN后冒用其他人员的应用程序账号。 6、支持防中间人攻击，检测到中间人攻击后，立即断开被攻击的连接，并告警。 7、支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件。 8、产品可提供基于HTTPS驱动病毒查杀工具，可对于windows系统终端进行HTTPS拦截监听的驱动病毒的扫描查杀。 9、产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制。 10、设备内部必须支持自建CA中心，便于数字证书认证平台搭建，单台VPN设备可扩展同时支持4套以上CA根证书。	套	1
7	▲态势感知系统	（一）性能主要指标 1、分析平台：GE管理电口≥4，USB3.0接口≥2个，冗余电源；存储≥24TB（具体容量以满足系统运行为准）。系统软件含三年威胁情报更新授权。 2、态势感知探针：GE流量监听电口≥2个， 10GE流量监听光口≥2个，GE管理电口≥4个，USB3.0接口≥2个，存储≥2TB，含系统软件，含三年产品标准维保服务。 3、终端防护授权：提供对终端进行监测、采集多类安全数据，支持对威胁进行安全响应的协同工作以及防病毒、补丁功能，含三年升级服务，提供≥50个授权。 (二)主要功能需求 1、支持常见协议识别并还原网络流量，用于取证分析、威胁发现。 2、支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为等行为描述。 3、具备原始告警数据包留存：告警相关的原始数据包能够本地留存，用于威胁事件的取证、分析。 4、能够对告警进行深层次分析，分析内容包含：基本信息、主机详情、威胁情报详情等。 5、支持和安全设备联动实现IP阻断。 6、具备WEB攻击检测技术，检测类型包含SQL注入、跨站脚本攻击、文件写入、文件下载、文件上传、文件读取、弱口令、权限许可和访问控制、命令执行、敏感信息/重要文件泄露、跨站请求伪造、后门程序、非法授权访问/权限绕过、代码执行等等，告警事件能标记主机攻陷状态是否失陷。 7、流量日志应包含异常报文、域名解析、文件传输、邮件行为、Web访问、登录动作、FTP控制通道、LDAP行为、SSL加密协商等流量行为日志。	套	1

14.3.        双栈协议过渡设备

序号	产品名称	参数配置	单位	数量
1	IPv4/Ipv6协议网关	（一）性能主要指标 ★1、吞吐量≥20Gbps，并发连接数≥10,000,000 ，4层新建连接数CPS≥400,000 ，7层新建连接数RPS≥150,000。 2、硬盘≥480GB，提供≥4个千兆电口，≥4个千兆光口，≥2个万兆光口。 （二）主要功能需求 1、单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能； 2、支持三明治架构，对防火墙、IPS、行为管理等网络设备进行流量负载均衡和故障切换，使以上网络设备获得Active-Active运行的能力； 3、支持源IP、Cookie（插入/被动/改写）、HTTP-Header、SSL Session ID等多种会话保持机制； 4、支持节点智能恢复，当节点出现故障时，负载均衡能自动重启服务器上的相关进程或重启服务器，使其恢复正常状态并继续提供服务；如无法使其恢复正常，则将其从节点池中移除，保证业务正常访问； 5、支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况； 6、支持面向服务器健康度的弹性调控机制； 7、iPv6支持双栈模式，支持NAT46、NAT64、NAT66等协议转换； 8、支持双机热备部署方式，可自动同步配置并提供连接会话的镜像功能，实现无缝故障切换。	套	1

14.4.        统一认证系统

序号	产品名称	参数配置	单位	数量
1	LRA系统	1、软硬件一体机，产品同时支持国产密码算法SM2和国际密码算法RSA； 2、RA系统主要是CA系统为用户提供服务的网络窗口，为用户提供证书申请、下载、注销、更新等各项业务的服务，作为CA系统面向用户服务最直接的一个业务窗口，通过RA系统来实现用户身份的真实性鉴别、接受用户证书的注册申请和将数字证书发放给用户，同时完成对用户基本信息的管理和维护； 3、LRA系统能够与省厅RA系统无缝连接，为用户提供证书申请，下载等功能； 4、LRA系统作为RA系统的本地化业务拓展单元，在授权机构范围内，独立实现RA系统关于证书管理的全部业务功能； 5、LRA系统申请和制作的数字证书，能够发布到省厅LDAP目录服务系统中； 6、LRA系统的业务功能包括：RSA算法和SM2算法的证书申请、证书审核、证书更新、证书下载、证书查询、证书注销、证书冻结、证书解冻、批量证书申请和制作等； 7、LRA系统须与身份认证网关、数字签名服务器、时间戳服务器等各组件具有良好的兼容性。	套	1
2	身份认证网关	1、产品同时支持国产密码算法SM2和国际密码算法RSA； 2、支持主路和旁路两种工作模式，更好的满足用户的应用接入环境和安全应用需求，在应用安全和应用效率上用户可以自由的选择； 3、客户端到网关之间的通信链路可以依据用户对安全和性能效率的需求选择是否加密； 4、支持标准X509v3证书标准，支持多级证书验证，支持单双向认证选择，支持标准OCSP协议验证证书状态，支持连接LDAP服务器动态更新CRL，支持连接WEB服务器更新CRL； 5、支持多种应用类型：支持基于TCP和UDP协议的B/S架构的应用环境以及普通的C/S应用环境； 6、单点登录：系统支持多个应用系统之间的单点登录，即一次登录，多次使用，支持跨域或并联场景下的单点登录，用户在使用不同安全域的业务系统时实现一次认证，多次使用； 7、信息传递：网关完成身份认证后，需要把结果、用户的基本信息传送给后台的应用系统； 8、兼容主流的操作系统，支持windows、linux、国产中标麒麟等主流操作系统，支持IE、火狐等主流浏览器； 9、完善的监控审计：记录用户的访问过程，可按日期、用户、应用、IP等信息对日志进行查询，方便事后对用户的操作行为追溯、回放； 10、支持对系统硬件资源使用率的实时监控：支持液晶屏显示CPU利用率、IP地址和设备型号，通过图形界面方式动态实时监测系统CPU资源、存储空间、系统内存的使用情况以及各网络接口的网络流量监测； 11、支持对系统业务状态监控:支持对当前业务状态进行监控，实时监控和统计客户端连接情况，记录包括用户信息、客户端IP、当前正在访问的应用等信息，可以统计和记录当前接入应用的累计访问总量； 12、日志审计：支持本地存储日志；支持实时地通过标准Syslog协议把数据传递到外部的日志服务，便于对信息系统的Log进行统一的管理；支持发送日志信息到审计服务器； 13、高可用性：系统支持双机热备功能，支持与第三方负载均衡设备的无缝结合； 14、须与数字签名服务器、LRA系统、时间戳服务器等各组件具有良好兼容性； 15、用户认证速度≥2000次/秒； 16、满足GM/T 0039-2015《密码模块安全检测要求》安全等级第二级； 17、支持FIDO技术； 18、可硬件利旧，授权升级。	套	2
3	数字签名系统	1、产品同时支持国产密码算法SM2和国际密码算法RSA； 2、产品需支持RSA、SHA-1、MD2、MD5等算法； 3、产品需支持符合X509v3标准格式的数字证书； 4、产品需可以制作数字签名，支持数据原文制作数字签名，签名结构符合PKCS#7标准； 5、产品需可以验证数字签名，支持验证标准的PKCS#7签名结果，验证签名过程中，对制作签名证书进行完整验证，包括信任域、有效期、证书状态； 6、提供PKCS#1/ PKCS#7 Attach/ PKCS#7等多种格式的数字签名和验证功能； 7、提供数字信封加密功能； 8、产品可以配置记录日志的类型譬如业务日志、管理员日志、Debug日志、错误日志，并可以根据需求开启或关闭； 9、签名验证性能≥2000次/秒；支持液晶屏显示CPU利用率、IP地址和设备型号； 10、产品的错误和故障日志必须完整保留，并可以进行下载； 11、产品应支持双机热备和负载均衡的部署模式； 12、客户端支持windows、linux、国产中标麒麟等主流操作系统，支持IE、火狐等主流浏览器； 13、数字签名服务器需与身份认证网关、LRA系统、时间戳服务器等各组件具有良好的兼容性； 14、产品支持针对大数据量的数字签名方法。	套	2
4	时间戳系统	1、产品同时支持国产密码算法SM2和国际密码算法RSA； 2、支持windows、linux、国产中标麒麟等主流操作系统，支持IE、火狐等主流浏览器； 3、提供时间戳的签发及验证功能：接收来自应用系统的时间戳签发请求；验证时间戳请求的有效性；将签发的时间戳返回应用系统； 4、提供接口获取标准时间：从国家授时中心及标准时间源获取时间，可以签发符合RFC3161和RFC2630结构的时间戳标准； 5、提供时间同步机制：基于NTP协议，从指定时间源设备获取标准时间并同步； 6、提供应用系统调用时间戳服务器的二次开发接口，包括建立时间戳请求接口、请求时间戳接口、验证时间戳有效性接口、时间戳数据解析接口、数字摘要生成接口等； 7、支持RSA、SM2、SM3等算法，RSA加密位数不低于2048位，SM2加密算法不低于256位； 8、审计日志支持报送到Syslog服务器方； 9、提供C++和JAVA两套接口API； 10、产品须与身份认证网关、LRA系统、数字签名服务器等各组件具有良好的兼容性； 11、支持液晶屏显示CPU利用率、IP地址和设备型号。	套	1
5	时间源系统	1、产品可以同时使用北斗、GPS和GLONASS三种卫星定时接收机、及来自外部的时间同步信号作为系统时间的参考源输入，并能够对各种时间源进行智能的主备时间源切换，从而满足用户的多手段要求，设备内置高稳恒温晶体钟（可选配铷原子钟），采用各系统间时差处理模型等专利技术、先进的钟控处理算法，有效地提高系统的NTP授时精度； 2、支持协议包括NTP/SNTP V1.0，V2.0，V3.0，V4.0，SNMP，UDP，Telnet，IP，TCP； 3、产品支持WINDOWS9X/NT/2000/XP/2003/vista、LINUX、UNIX、SUN SOLARIS、IBM AIX、HP-UX等操作系统及支持NTP协议的路由器、交换机、智能控制器等网络设备； 4、NTP授时精度1-10ms； 5、产品提供NTP网口，≥2个10/100m相互独立的网口； 6、产品支持双机相互备份，自动切换，并可做到客户端备份功能等 7、内置恒温晶振，自守时精度：7*10-12(0.02μS/min)； 8、支持单星授时模式，适用于收星效果不佳的情况，有屋顶和贴窗天线可供选择 9、支持我国自主的北斗卫星导航系统，还可同时支持GPS/BD/GLONASS三系统定时； 10、支持复位能力，装置具有自复位能力，在因干扰造成装置程序出错时，能自动恢复正常工作； 11、同步终端容量：≥5000个；NTP请求量：≥1000次／秒输出； 12、无故障时间≥80000小时。	套	1
备注：统一身份认证系统必须与省电子政务外网身份认证中心对接，对接所需费用由中标供应商自行承担。

14.5.         机房改造

序号	产品名称	参数配置	单位	数量
一、电源改造
1	机架式UPS一体化配电柜	1、 尺寸规格600*1200*2000mm配电柜； 2、 将市电输入、防雷、市电输出配电、UPS电源、UPS输出配电、监控显示集成在一个机柜内； 3、 监控显示： 1） 在机柜门板上具有LCD触摸显示屏； 2） 具备一体化配电系统图显示功能； 3） 可查看市电输入、防雷、市电输出配电、UPS电源、蓄电池、UPS输出配电（PDU）的各种状态，可以精确的显示每个功能单元的状态，以及各配电支路开关的电压、电流等信息。 4） 具备实时告警功能，以及告警管理功能。 5） 具备蓄电池维护功能。 6） 具备日志、报表输出功能。 7） 系统具有密码保护功能，在登录、设置、操作、维护时有密码权限。	架	1
2	机架式UPS主机	20kVA；UPS电源采用高频模块化UPS电源，可直接并联，在线扩容，功率模块、监控模块、旁路模块及控制模块都支持在线热插拔，内置维修旁路，全正面维护；	台	2
3	UPS蓄电池组	12V，65AH;每组16只	组	2
4	设备机柜	1200×600×2000mm，每个机柜配置2个防雷PDU（≥12国标孔）;2路电源引入。	架	9
5	封闭组件	1、 通道为密闭冷通道，通道尺寸规格为1200mm。2、 通道两端采用推拉门，推拉门采用透明钢化玻璃。3、 推拉门要求配置门禁管理系统，支持指纹、刷卡、密码三合一门禁管理。4、 顶部集成有一体化上走线线槽，线槽宽度不少于200mm，强弱电分开布线，线槽与机柜风格统一。5、 通道顶部采用透明翻转天窗，翻转天窗应能支持自动或手动开启，可与消防系统进行联能，当发生火灾时，翻转天窗能自动打开。6、 通道内的两侧配有LED照明灯，具备自动感应功能，在推拉打开或有人进入时LED灯自动开启照明。7、 机柜底部与顶部配有气流封板，以防止冷、热气流混合。	套	1
6	理线器		个	9
7	梯式走线架	600mm宽，双层， 含安装附件	米	37
8	尾纤槽	120mmm，含安装附件	米	11
9	接地排	24孔	块	2
10	等电位地网	30*3mm紫铜排	米	45
11	电力电缆	ZA-RVV 4×50mm²	米	100
12	电力电缆	ZA-RVV 1*120mm²	米	50
13	电力电缆	ZA-RVV 1*50mm²	米	110
14	电力电缆	ZA-RVV 1*35mm²	米	200
15	电力电缆	ZA-RVV 3*6mm²	米	150
16	铜鼻子		项	1
17	设备底座	高300mm设备底座，具体尺寸以静电地板高度为准	个	13
18	蓄电池底座		个	4
19	辅材		项	1
二、空调、新风
1	20kW行间空调	支持变频，总冷量20kW，变频，EER≥3.0，含室内/室外机组、管路、控制电缆，含封闭冷通道及其管理模块	台	2
2	空调室内机底座	400mm高，8度抗震，钢制底座	个	2
3	室外机支架	400mm高，8度抗震，钢制底座，配套精密空调室外机	个	2
4	柜式新排风一体机	1）标配初效、中效过滤器，灭菌除尘除异味。 2）大屏幕液晶控制器，具有RS485通讯接口，过滤堵塞报警等功能。 3）新风风量400立方/H，噪音：42dB(A)； 排风风量1300立方/H，优质风机，噪音：51dB(A)。 4）含新排风防火阀各一套，新排风风口及防雨百叶窗各一套，消防联动控制器1个，动环控制器1个。 5）含新排风风管及保温棉等辅材。	台	1
5	其他材料	钢制槽道、线缆套管、手动阀、电磁阀、过墙孔、楼板孔、孔洞防火封堵、标签、扎带等	项	1
三、消防、火灾报警
1	40L柜式灭火装置	含储瓶、启动装置、压力信号器、喷头、连接管路、柜体	个	2
1	70L柜式灭火装置	含储瓶、启动装置、压力信号器、喷头、连接管路、柜体	个	2
2	HFC-227ea药剂	HFC-227ea	公斤	105
3	柜式灭火装置底座	300mm高，8度抗震，钢制底座	个	2
4	防毒面具	40min	套	4
5	灭火器	5kg/二氧化碳灭火器	个	4
6	泄压口	400*300mm，无电源型	个	2
7	泄压口	300*300mm，无电源型	个	1
8	控制器	火灾报警控制器/气体灭火控制器、4区、联动型	台	1
9	联动电源		台	1
10	输入/输出模块		个	2
11	短路隔离模块		个	2
12	烟感探测器(含底座）	点型	个	7
13	感温探测器(含底座）	点型、A1	个	7
14	声光报警器		个	2
15	放气指示灯		个	2
16	紧急启停按钮		个	2
17	火灾警报扬声器		个	2
18	电缆	控制电缆、电源电缆	批	1
19	管材	镀锌铁线管、金属软管	批	1
20	其他材料	接线盒、接头等	项	1
21	水浸探测器	含报警主机、漏水检查线缆、引出线缆、电源等。	套	2
四、装修
1	拆除	机房原有顶、地面、门窗装修及设备等设施拆除，并清运废弃物；2个8平米窗户石膏板封堵；墙面开门、开孔	项	1
2	地面防水	设备机房与电池室，防水卷材、四周防水高度为200mm	㎡	48
3	地面防尘处理	砂浆面层自流平找平后防尘漆、三遍成活、净味型	㎡	48
4	无边钢制防静电地板	1、600*600*35 集中载荷2950N,均部载荷12500N/m2,滚动载荷2255N，极限载荷8850N，地板重量12.5正负0.5kg/PC； 2、地板背面有防伪钢制六角杯； 3、上钢板采用SPCC冷轧钢板，厚度≥1.0mm；下钢板采用SPCC冷轧拉伸钢板，厚度≥0.9mm； 4、表面贴面为合资美亚超耐磨贴面，厚度≥1.2； 5、贴面为A级防火材料。	㎡	48
5	墙面、顶棚基层处理	梁、墙面石膏、腻子找平	㎡	170
6	墙面、顶棚防静电漆	墙面、梁三遍成活	㎡	17
7	拉丝不锈钢踢脚线	10cm,厚度不小于1.0mm	米	35
8	防火玻璃隔墙	12mm钢化防火玻璃，含基础及固定装置	㎡	6
9	玻璃隔断基层处理	40*40角钢、80*80方管、密度板等	米	6
10	轻钢龙骨内隔墙	双层石膏板（厚度12mm）+木工板+轻钢龙骨+隔音处理（离心玻璃棉：50mm、32K）	㎡	26
11	钢制防火单门	900*2200，甲级防火，需出示消防部门检验批报告	樘	1
12	防火玻璃门	900*2000，甲级防火，需出示消防部门检验批报告，	樘	1
13	LED不锈钢无炫光灯盘	600*600mm LED灯盘，含灯管及安装附件，吊挂安装，含配套金属软线管	套	6
14	LED不锈钢无炫光防爆灯盘	600*600mm LED防爆灯盘，含灯管及安装附件，吊挂安装，含配套金属软线管	套	3
15	开关面板	四联单控	套	2
16	五孔插座	阻燃型5孔 10A	个	6
17	照明线路	ZA-RVV 2*2.5mm2	米	300
18	墙插线路	ZA-RVV 1*4mm2	米	300
19	接地线	ZA-RVV 1*4mm2	米	100
20	保护管	紧定管 JDG25	米	300
21	墙面开槽及恢复		米	80
22	标识标牌	地面标识、消防标识、面板标识、机柜标识等	项	1
23	辅材		项	1
五、动环
1	动环	嵌入式监控屏，安装在机柜内，含全部测量量监控单元、传感器线缆及全套配件（主要实现电压、电流、温度、湿度、视频等监控）	台	1
六、门禁系统
1	双门控制器	门禁控制器的主要作用是储存卡号、控制权限信息及给出相应的输出控制信号。	台	1
2	读卡器	支持CPU卡识别，配置国密CPU卡≥5张，提供加密算法，具备自行制卡功能。	套	4
3	电磁锁	单门，接受控制器得控制信号，实现门的开关控制	套	2
4	电源		个	1
5	管线	信号线、电源线以及线管	批	1
七、综合布线
1	尾纤	LC-SC，12芯束状尾纤，长15m	条	4
2	尾纤	LC-SC，12芯束状尾纤，长25m	条	4
3	标签	含线路标识、业务标识。	项	1
4	网线	六类非屏蔽网线（每箱305米）	箱	1
5	水晶头		批	1
6	ODF架	96芯，标准19英寸，壁挂式 包含配件：熔接盘8：尾纤保护管8根，光缆固定扣16套，螺丝，理线扣	个	1
7	防鼠虫处理		项	1
注：消防、接地实施完成后，须通过第三方防雷检测和消防检测，并出具相关报告。

 

15.          商务要求（强制性要求）

15.1.        交货时间

双栈协议过渡设备于合同签订后10个自然日内，其余产品于合同签订后60个自然日内完成集成，并交付使用。

15.2.        交货地点

内江市市中区新华路20号8楼（市电子政务办公室）。

15.3.        产品要求

所投产品均应为国产化产品，具备自主知识产权。

所投软硬件设备所有功能均需同时支持IPv4和IPv6。

所投产品须完全兼容。

15.4.        实施要求

中标供应商应制定详细的项目实施计划、人员安全保障计划，完成设备到货、集成、安装、调试、试运行等，并自行承担安全文明施工相关责任。本项目所有设备应包含正常运行所需的相关连接配件，采购人不另行支付任何费用。

15.5.        报价要求

投标报价为全包价，以人民币为结算单位，包括本项目所有设备及零配件的购置和安装、运输保险、装卸、验收、质保期售后服务、全额含税发票、合同实施过程中应预见和不可预见费用、伴随的服务及各种税费、资金利息等全部费用。

 

15.6.        质量保证及售后服务

本项目是政府购买服务，服务期为3年，自项目终验合格之日起算，服务期满后，将本项目的所有权移交采购人。3年服务期内，中标供应商应提供免费的售后服务和原厂质保，并提供以下服务（包含但不限于）：

（1）建立运维制度，制定运维具体工作方案、年度运维计划、应急演练方案和攻防演练方案，协助制定应急预案。

（2）对项目相关设备进行日常维护、定期巡检、性能测试、故障排查等服务，并出具运维服务月报和年报。对项目相关设备配置进行备份、恢复和升级、维修，做好备件管理。

（3）开展用户培训，编制用户手册，操作说明，提供现场和远程技术指导。

（4）建立应急处置机制，当出现重大网络安全事件时，能及时上报并处置，每年开展一次应急演练。

（5）进行一次攻防演练，能通过产品或技术手段对常见的已知或未知恶意代码进行攻击和防御进行攻防演练测试并出具报告。能实时发现并处理网络安全事件，提供给采购人做出处置依据。

（6）遭遇重大攻击或重要时期提供24小时不间断扫描保障和随时出具报告，必要时提供现场保障。

（7）若产品发生故障，中标供应商驻场人员保证提供7×24小时服务，非工作时间保证2小时内提供现场技术支持。

（8）同一设备、同一质量问题连续两次维修仍无法正常使用，无条件免费更换同品牌、同型号新设备。

（9）移交的资产、设施、设备应保证其功能正常使用、无任何债务负担、达到双方约定的全部交付标准。

（10）为快速响应现场服务保障，中标供应商应至少投入2名专业技术过硬、能及时处理各种软硬件故障的驻场工程师。驻场工程师应严格按照国家法定工作时间到采购方指定地点（驻场地点：内江市电子政务办公室）开展驻场服务,并服从采购方工作安排。

15.7.        付款方式

项目终验合格后，即日进入服务期，按照财政支付程序支付合同总价款的20%；第一年服务期满后绩效评价合格，按照财政支付程序支付合同总价款的30%；第二年服务期满后绩效评价合格，按照财政支付程序支付合同总价款的30%；第三年服务期满后绩效评价合格，项目建设内容正常运行、项目所有权及相关资料完全移交建设单位后，按照财政支付程序支付合同总价款的20%。考核不合格的，采购方根据不合格指标扣减相应服务费用。

 

注意： 1.  对供应商和投标产品的资格、资质性及其他具有类似效力的要求，应当在第四章规定，不能在本章规定。如存在这样的要求的，应当以第四章规定的为准，本章的要求不能作为资格性条件要求评审。（本章未作规定的按第一章采购项目要求执行）。