XX數(shù)字化城管租用云服務項目實施方案

XX數(shù)字化城管租用云服務項目實施方案項目實施方案目錄總體建設(shè)原則 總體建設(shè)價格 錯誤!未定義書簽。三、總體建設(shè)思路 四、項目建設(shè)目標 五、項目技術(shù)方案 六、技術(shù)方案優(yōu)勢 16七、項目產(chǎn)品介紹 21總體建設(shè)原則為實現(xiàn)上述目標，在系統(tǒng)的建設(shè)中應遵循下列原則：先進性充分考慮當前計算機軟硬件技術(shù)的新成果，建立一個符合國際標準、開放、高性能、易管理的計算機數(shù)字化系統(tǒng)。規(guī)范性嚴格遵循國家的有關(guān)技術(shù)規(guī)范與業(yè)務規(guī)范的要求，應對平臺進行整體規(guī)劃。科學性符合六合城管局當前業(yè)務要求與今后一段時期的進展需要，逐步建立一個具有現(xiàn)代化管理、通訊手段的云計算網(wǎng)絡，提高系統(tǒng)科學性。可行性在一定資金資源下，建立一個高水平的、完善可行的信息化系統(tǒng)。安全性通信行業(yè)對網(wǎng)絡的整體安全性有較高的要求，系統(tǒng)安全建設(shè)應同步建設(shè)，除了能夠在多個層次上實現(xiàn)安全目標，還需要建立完善的安全管理體系?？晒芾硇越⑼晟频倪\行管理體系，提供強大的網(wǎng)絡管理工具與手段，確保系統(tǒng)性能充分發(fā)揮，系統(tǒng)運行可靠、穩(wěn)固?？蓴U展性整個系統(tǒng)平臺系統(tǒng)使用開放的結(jié)構(gòu)，符合國際標準，習慣技術(shù)的進展與變化,充分考慮到XXXX數(shù)字化城市管理系統(tǒng)當前業(yè)務的需求與今后較長時間內(nèi)的業(yè)務進展需要，網(wǎng)絡使用高速主干技術(shù)，智能化網(wǎng)絡管理技術(shù)，習慣業(yè)務系統(tǒng)擴充與技術(shù)進展的要求?？傮w建設(shè)架構(gòu)I …二服務器1 FCSAN父換機 B1 <1一寬帶鏈路專線鏈路以太網(wǎng)鏈路| 磁盤陣列1-FC鏈路1.統(tǒng)一規(guī)劃、總體設(shè)計注重XXXX信息化建設(shè)的分階段性，統(tǒng)一標準、統(tǒng)一規(guī)劃，結(jié)合XXXX作為南京市快速進展中區(qū)域的整體優(yōu)勢與管理特色，結(jié)合XXXX己經(jīng)建立的地理信息資源、網(wǎng)絡資源等已有的基礎(chǔ)信息優(yōu)勢，綜合考慮系統(tǒng)建設(shè)的總體要求，全面梳理XXXX城市管理業(yè)務流程，建立各職能部門的典型業(yè)務模型。在此基礎(chǔ)上，從管理、決策、統(tǒng)計、信息交換等四個方面入手，合理規(guī)劃各部門的計算機應用系統(tǒng),并根據(jù)用戶的實際需要，對目標系統(tǒng)進行全面地、系統(tǒng)地總體設(shè)計，確保系統(tǒng)滿足用戶各個階段的建設(shè)需要，同時避免信息孤島帶來的高成本、低效率、難保護。分步實施、統(tǒng)一集成在統(tǒng)一規(guī)劃的基礎(chǔ)之上，根據(jù)XXXX信息化建設(shè)的進展，根據(jù)總體建設(shè)規(guī)劃,分期分批分區(qū)域進行系統(tǒng)建設(shè)，力求積極穩(wěn)妥、勤儉節(jié)約。在統(tǒng)一規(guī)劃與設(shè)計的指導下，先建設(shè)系統(tǒng)的基礎(chǔ)支撐層次的平臺系統(tǒng)，做好系統(tǒng)集成的標準體系建設(shè),為不一致階段應用子系統(tǒng)的集成工作提供統(tǒng)一的技術(shù)框架。有用為主、整合資源XXXX各類信息系統(tǒng)的建設(shè)應客觀地滿足當前與未來一段時間的進展需要，緊密結(jié)合自己的工作內(nèi)容，有的放矢地開展急需系統(tǒng)的建設(shè)，將有限的資金投入到務必的項目建設(shè)上，特別是建設(shè)XXXX的數(shù)字城市管理系統(tǒng)，因為面積廣、數(shù)據(jù)大、人員多、部門多，所以有用與夠用是建設(shè)該項目應該重點考慮的問題。在XXXX數(shù)字化城市管理系統(tǒng)建設(shè)過程中，以功能有用為主，充分利用已有的網(wǎng)絡基礎(chǔ)、業(yè)務資源、信息資源、環(huán)境資源，使用選用成熟的軟件產(chǎn)品與應用系統(tǒng)相結(jié)合的建設(shè)方針。技術(shù)先進、行業(yè)領(lǐng)先在系統(tǒng)規(guī)劃過程中，要充分考慮先進的技術(shù)，先進的方法，要使用符合國際進展潮流的技術(shù)，要有前瞻性。另一方面，在系統(tǒng)建設(shè)過程中，還要充分把握技術(shù)的穩(wěn)固性與成熟性，使得XXXX城市管理信息化項目，既能夠達到國內(nèi)的領(lǐng)先水平，又能滿足城市管理長效管理的應用要求。總體建設(shè)思路XXXX城市管理局信息化平臺本期建設(shè)規(guī)劃于“三個中心”理念，即辦公中心、指揮中心、數(shù)據(jù)中心。辦公中心指的是XXXX城管局工作人員的辦公地點，辦公中心是信息化系統(tǒng)的基礎(chǔ)，因為其是數(shù)據(jù)中心的擁有者，是指揮中心的領(lǐng)導者，所以辦公中心要統(tǒng)籌管理數(shù)據(jù)中心與指揮中心；指揮中心實際是指揮、監(jiān)控中心，其要緊作用是：遠程運維、監(jiān)控數(shù)據(jù)中心；通過大屏調(diào)取顯示交通部門視頻監(jiān)控；創(chuàng)建呼叫中心平臺。數(shù)據(jù)中心即建設(shè)的核心，規(guī)劃將信息化平臺部署并托管在電信五星級機房，數(shù)據(jù)中心的作用是提供對外服務的業(yè)務系統(tǒng)與配套的核心數(shù)據(jù)庫系統(tǒng)、安全系統(tǒng)等，還需要做三個中心訪問即流量的疏導。數(shù)據(jù)中心網(wǎng)絡部分建設(shè)：數(shù)據(jù)中心規(guī)劃設(shè)計一臺防火墻作為系統(tǒng)接入設(shè)備，用于匯聚連接辦公中心、指揮中心、手機客戶端、公安交通系統(tǒng)與Internet外網(wǎng)等。接入防火墻下聯(lián)核心交換機，核心交換機為所有網(wǎng)絡數(shù)據(jù)交換處理的中心,負載“三中心”業(yè)務系統(tǒng)大多數(shù)數(shù)據(jù)；核心交換機下為接入交換機，作為城市管理局系統(tǒng)服務器的接入網(wǎng)絡服務；在核心交換機上旁掛入侵檢測設(shè)備，用于對城市管理局系統(tǒng)平臺網(wǎng)絡進行安全檢測，針對潛在的或者已經(jīng)出現(xiàn)的故障隱患進行告警、分析并提出解決方法；在核心交換機上旁路SSLVPN設(shè)備，用于對接入試用XXXX城市管理局的使用者進行身份安全加密認證，保證系統(tǒng)平臺安全性；在核心交換機上旁路數(shù)據(jù)庫審計設(shè)備，用于對XXXX城管局核心數(shù)據(jù)庫系統(tǒng)進行審計分析，保障核心數(shù)據(jù)庫安全性、穩(wěn)固性。數(shù)據(jù)中心底層業(yè)務及數(shù)據(jù)庫系統(tǒng)的部分建設(shè)：配置應用服務器，用于部署城管局本期規(guī)劃信息化系統(tǒng)，用于對外提供服務；配置城管通服務器，用于承載配套城管通統(tǒng)業(yè)務服務；配置GIS服務器，用于承載地理信息系統(tǒng)數(shù)據(jù)，其數(shù)據(jù)庫建議部署在服務器本地硬盤；配置數(shù)據(jù)交換服務器，用于對城管局數(shù)據(jù)進行交互服務；配置數(shù)據(jù)庫服務器，用于承載本期規(guī)劃城管局信息化平臺業(yè)務的數(shù)據(jù)庫信息；配置穩(wěn)固、高效FCSAN系統(tǒng)，即冗余光纖交換機與光纖存儲設(shè)備，用于存儲數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；配置在線保護設(shè)備，備份、同步城管局信息化平臺數(shù)據(jù)庫數(shù)據(jù)與服務器操作系統(tǒng)數(shù)據(jù)，保證數(shù)據(jù)庫、業(yè)務的安全性。系統(tǒng)鏈路部分建設(shè)：配置獨立雙光纖100M寬帶互聯(lián)網(wǎng)鏈路，用于數(shù)字化城管平臺外網(wǎng)訪問；配置主備雙專線，主專線100M,備用專線10M用于六合數(shù)字化城管數(shù)據(jù)中心到指揮中心的專線訪問；配置100M專線用于六合公安視頻監(jiān)控中心與六合城管指揮中心專線訪問；配置100M獨立雙光纖寬帶互聯(lián)網(wǎng)鏈路，用于指揮中心外網(wǎng)訪問；配置12319平臺2M語音數(shù)字中繼線。本期項目建設(shè)充分考慮用戶實際試用需求，當前XXXX城市管理局信息化系統(tǒng)處于第一期建設(shè)階段，系統(tǒng)業(yè)務會從零開始逐步上線，所以本期六合數(shù)字城管項目建設(shè)的重點是信息化基礎(chǔ)底層架構(gòu)的建設(shè)，即要緊是針對數(shù)據(jù)庫、數(shù)據(jù)存儲底層的建設(shè)（FCSAN架構(gòu)建設(shè)、數(shù)據(jù)庫雙機架構(gòu)等），在不浪費投資的同時又保持建設(shè)系統(tǒng)的高度的可擴展性（增加服務器、存儲容量或者者存儲等簡單方式），以滿足XXXX城管局信息化系統(tǒng)未來的快速進展需求。本期項目總體架構(gòu)及方案以XXXX城市管理局角度考慮，綜合考慮當前XXXX城市管理局現(xiàn)狀及未來進展，細化設(shè)計，保障設(shè)計方案項目總體設(shè)計方案的科學性、先進性、可行性，所投產(chǎn)品選取當前市場上最先進主流的品牌設(shè)備及技術(shù)使總體架構(gòu)方案具有一定的前瞻性。四.項目建設(shè)目標4.1項目總體目標XXXX城市管理局本期項目建設(shè)會根據(jù)建設(shè)部標準，以管理創(chuàng)新為基礎(chǔ)，以信息資源管理為核心，以網(wǎng)絡中心與數(shù)據(jù)中心為支撐，以協(xié)同應用為主導，以“執(zhí)政為民”為目的，建成功能完善、高效有用、高度集成，具有國內(nèi)區(qū)縣級先進水平的數(shù)字化城市管理平臺?？傮w目標包含：建立科學合理的城市管理體系，促進“大城管”格局的形成，解決條塊協(xié)同工作的問題；充分共享現(xiàn)有資源，利用信息化手段建立數(shù)字化城市管理平臺，拓展各類技術(shù)手段，促進城市管理體系高效運行；建立切實有效的綜合評價體系，保障數(shù)字城管工作的長效運行。建立并優(yōu)化XXXX數(shù)字化城管系統(tǒng)的軟硬件運行平臺，完成并整合數(shù)字化城管系統(tǒng)的各個分子系統(tǒng)；在系統(tǒng)運行平臺上部署XXXX數(shù)字城管系統(tǒng)軟件，完成XXXX數(shù)字化城管系統(tǒng)的整體實施與集成。建設(shè)XXXX級監(jiān)督指揮中心，實現(xiàn)對全區(qū)城管部門的考核與督察。實現(xiàn)縱向業(yè)務貫穿、橫向分工協(xié)作，把傳統(tǒng)城市管理中分散管理轉(zhuǎn)換為集中管理，統(tǒng)一領(lǐng)導、統(tǒng)一決策、指揮、管理、協(xié)調(diào)與監(jiān)督的數(shù)字化城市管理體系。依托現(xiàn)在的XXXX電子政務網(wǎng)絡進行建設(shè)整合，建立相對應數(shù)據(jù)交換接口，保證各個平臺、系統(tǒng)之間的數(shù)據(jù)共享。建設(shè)與共享“110”警用監(jiān)控設(shè)備與XXXX數(shù)字城管12319服務中心平臺；依托XXXX數(shù)字化城市管理監(jiān)督指揮中心，充分發(fā)揮公安、規(guī)劃、建設(shè)、交通、環(huán)保、工商、水利等有關(guān)職能部門的主管作用，建立與完善工作例會、情況通報、聯(lián)系走訪等制度與機制，以制度化形式來明確與規(guī)范工作銜接配合，形成城市管理職能設(shè)置相交叉的各專業(yè)部門之間、各層級之間的良好協(xié)同聯(lián)動關(guān)系。4.2項目階段目標本項目為XXXX數(shù)字化城市管理系統(tǒng)建設(shè)工程，項目建設(shè)遵循“統(tǒng)一規(guī)劃、分步實施”的原則，根據(jù)現(xiàn)有條件逐步實施。我們認為XXXX數(shù)字化城市管理系統(tǒng)的建設(shè)本期建設(shè)內(nèi)容：本期建設(shè)內(nèi)容：本期（即本期項目）在2015年10月底建成數(shù)字化城市管理平臺，完成各業(yè)務系統(tǒng)建設(shè)與系統(tǒng)集成。數(shù)字化城市管理的體制機制建設(shè)，確定管理業(yè)務流程，組建數(shù)字化城市管理監(jiān)督指揮中心，建立監(jiān)督評價體系及績效評價體系；本期建設(shè)范圍內(nèi)的基礎(chǔ)地理數(shù)據(jù)修測，一期建設(shè)范圍內(nèi)的城市部件與地理編碼普查工作，確定部件數(shù)據(jù)的屬地與屬主；數(shù)字化城市管理監(jiān)督指揮中心的場地建設(shè)，有關(guān)各機構(gòu)的相對應人員、設(shè)施配備；數(shù)字化城市管理系統(tǒng)的有線、無線網(wǎng)絡建設(shè)；數(shù)字化城市管理系統(tǒng)有關(guān)運行環(huán)境、安全體系的建設(shè)；數(shù)字化城市管理系統(tǒng)應用軟件系統(tǒng)開發(fā)建設(shè)，包含九大標準子系統(tǒng)及拓展子系統(tǒng)；建設(shè)與南京市數(shù)字城管系統(tǒng)的接口系統(tǒng)。五.項目技術(shù)方案5.1邊界訪問操縱六合城管信息系統(tǒng)的邊界之內(nèi)包含多個不一致網(wǎng)段的出口區(qū)域，匯聚層與核心層之間通過交換機進行邊界邏輯劃分，邊界環(huán)境較為明朗，但假如沒有一個可集中操縱訪問請求的措施，也很容易被惡意攻擊者或者其它企圖人員利用這些邊界進行非法入侵。入侵者能夠利用多種入侵手段，如獲取口令、拒絕服務攻擊、SYNFlood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進入系統(tǒng)內(nèi)部。所以需要對邊界部署訪問操縱系統(tǒng)，有效地監(jiān)控內(nèi)部網(wǎng)與其他網(wǎng)之間的活動，并對數(shù)據(jù)進行過濾與操縱，保證業(yè)務系統(tǒng)的安全。防火墻是解決網(wǎng)絡邊界安全的重要設(shè)備，它要緊工作在網(wǎng)絡層之下，通過對協(xié)議、地址與服務端口的識別與操縱達到防范入侵的目的，能夠有效的防范基于業(yè)務端口的攻擊。防火墻使用高性能的硬件架構(gòu)與一體化的軟件設(shè)計，除了實現(xiàn)了狀態(tài)檢測防火墻功能，還同時支持VPN、上網(wǎng)行為管理、抗拒絕服務攻擊（Anti-DoS）、內(nèi)容過濾、AV、入侵防御等多種安全技術(shù)，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡邊界提供了全面實時的安全防護。防火墻可直接通過功能許可激活的方式，獲得包含防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）與內(nèi)網(wǎng)安全功能。六合城管可使用防火墻技術(shù)實現(xiàn)不一致網(wǎng)絡區(qū)域之間的安全訪問操縱，有效抵制來自非信任區(qū)域的黑客攻擊與降低整個網(wǎng)絡的安全威脅。本方案推薦天清漢馬下一代P系列USG防火墻產(chǎn)品，天清漢馬USG防火墻使用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面。使用天清漢馬USG防火墻，能夠從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因為多個產(chǎn)品難于保護管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。5.2入侵檢測系統(tǒng)根據(jù)六合城管的網(wǎng)絡結(jié)構(gòu)現(xiàn)狀，建議在內(nèi)部網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間部署天清漢馬下一代P系列USG防火墻設(shè)備，使用串聯(lián)方式部署在網(wǎng)關(guān)設(shè)備與內(nèi)部核心交換機之冋，通過配置防火墻訪問操縱策略實現(xiàn)對整個外網(wǎng)區(qū)域的安全防護效果。從當前的網(wǎng)絡拓撲結(jié)構(gòu)來看，在不一致的區(qū)域網(wǎng)絡出口，及網(wǎng)絡主干鏈路上,即使部署了防火墻設(shè)備，但防火墻的作用要緊是網(wǎng)絡層、傳輸層的訪問操縱，而針對來自非信任網(wǎng)絡的網(wǎng)絡攻擊、入侵等惡意行為無法做到有效檢測及阻斷。訪問操縱系統(tǒng)（如防火墻）能夠靜態(tài)的實施訪問操縱策略，防止一些非法的訪問等。但對利用合法的訪問手段或者其它的攻擊手段（比如，利用內(nèi)部系統(tǒng)的漏洞等）對系統(tǒng)入侵與內(nèi)部用戶的入侵等是沒有辦法操縱的。所以系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全檢測機制，實現(xiàn)對網(wǎng)絡系統(tǒng)進行自動的入侵檢測與分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。信息系統(tǒng)的邊界之內(nèi)包含多個局域網(wǎng)與計算資源組件。邊界環(huán)境是比較復雜的，很容易被惡意攻擊者或者其它企圖人員利用這些邊界進行非法入侵。入侵者能夠利用多種入侵手段，如獲取口令、拒絕服務攻擊、SYNFlood攻擊、IP欺騙攻擊等等獲取系統(tǒng)權(quán)限，進入系統(tǒng)內(nèi)部。所以需要有效地監(jiān)控內(nèi)部網(wǎng)與非信任網(wǎng)之冋的活動，并對數(shù)據(jù)進行過濾與操縱，保證內(nèi)部網(wǎng)絡的安全。當前六合城管網(wǎng)絡系統(tǒng)缺乏整體的入侵檢測手段，這樣會導致對信息系統(tǒng)安全狀況不熟悉，無法定位問題源與進行安全建設(shè)效果的評估。所以建議使用入侵檢測系統(tǒng)，在網(wǎng)絡系統(tǒng)內(nèi)部署。通過入侵檢測系統(tǒng)的部署，能夠達到三個效果：其一，做到對整個網(wǎng)絡區(qū)域信息系統(tǒng)安全狀況的實施監(jiān)控與報告；其二，利用入侵檢測技術(shù)識別威脅來源，并根據(jù)威脅調(diào)整安全策略；其三，通過入侵檢測系統(tǒng)的安全性分析對比，熟悉網(wǎng)絡安全建設(shè)效果，對之進行評估。入侵檢測系統(tǒng)應支持對所有TCP/IP協(xié)議的分析，而對在此基礎(chǔ)上衍生出的新型應用層協(xié)議，支持動態(tài)協(xié)議插件技術(shù)，能夠根據(jù)實際情況，在協(xié)議分析組中即時增加應對新型協(xié)議的分析方法，做到對網(wǎng)絡數(shù)據(jù)的全面協(xié)議分析。入侵檢測系統(tǒng)需融合基于原理與基于特征的兩大類檢測機理，在檢測機制方面，保證全面性要求。入侵檢測系統(tǒng)除了提供對網(wǎng)絡具體事件的檢測外，還需提供對流量的檢測。很多安全事件往往伴隨著網(wǎng)絡流量的特殊，對流量特殊事件的及時發(fā)現(xiàn)與處理，能夠有利于擴大管理員的檢測范圍。有效表現(xiàn)是入侵檢測產(chǎn)品的用戶價值表達，入侵檢測系統(tǒng)作為風險管理產(chǎn)品，設(shè)備本身并不直接給用戶帶來價值，不可能自動阻斷攻擊或者者是幫助用戶修補漏洞，所能帶來的價值是通過將收集到的信息表現(xiàn)給用戶而實現(xiàn)的。建議部署天聞入侵檢測與管理系統(tǒng)，實時抓取分析網(wǎng)絡數(shù)據(jù)，推斷是否有違規(guī)或者者是惡意行為發(fā)生并告知網(wǎng)絡管理員，協(xié)助用戶熟悉網(wǎng)絡的內(nèi)部狀況，為用戶的網(wǎng)絡安全建設(shè)提供決策根據(jù)。根據(jù)六合城管的網(wǎng)絡結(jié)構(gòu)現(xiàn)狀，建議在網(wǎng)絡核心區(qū)域部署天聞入侵檢測與管理系統(tǒng)，將入侵檢測系統(tǒng)引擎旁路連接在網(wǎng)絡區(qū)域核心交換機上，同時在管理終端安裝入侵檢測系統(tǒng)操縱臺，實現(xiàn)對網(wǎng)絡入侵行為的有效檢測、表現(xiàn)與報表分析等效果。5.3數(shù)據(jù)庫安全審計關(guān)于六合城管信息化網(wǎng)絡系統(tǒng)來說，數(shù)據(jù)庫的應用在整個IT系統(tǒng)中起到至關(guān)重要的作用，web應用系統(tǒng)提供對不一致用戶的訪問接口，同時服務器區(qū)域中其他應用服務器的數(shù)據(jù)庫中儲存著極其重要與敏感的信息。一旦發(fā)生來自非信任網(wǎng)絡的惡意訪問或者則黑客入侵行為，則數(shù)據(jù)庫中的數(shù)據(jù)將面臨被篡改或者者泄露的風險，輕則造成六合城管的經(jīng)濟缺失，重則影響政府形象甚至社會安全。隨著六合城管信息化進程不斷深入，業(yè)務系統(tǒng)也將變得日益復雜，由內(nèi)部員工違規(guī)操作導致的安全問題會變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品能夠解決一部分安全問題，但關(guān)于內(nèi)部人員的違規(guī)操作卻無能為力。權(quán)限劃分混亂，高權(quán)限賬號（比如DBA賬號）共用等問題一直困擾著網(wǎng)絡管理人員，高權(quán)限賬號往往掌握著數(shù)據(jù)庫與業(yè)務系統(tǒng)的命脈，任何一個操作都可能導致數(shù)據(jù)的修改與泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安全變得更加脆弱，也讓責任劃分與威脅追蹤變得更加困難。管理人員總是試圖定義各類操作條例，來規(guī)范內(nèi)部員工的訪問行為，但是除了在造成惡性后果后追查責任人，沒有更好的方式來限制員工的合規(guī)操作。我們經(jīng)常從各類系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的“蛛絲馬跡”來推斷是否發(fā)生過安全事件。但是，系統(tǒng)往往是在經(jīng)歷了大量的操作與變化后，才逐步變得不安全。另外的情況是，用戶通過登錄業(yè)務服務器來訪問數(shù)據(jù)庫等核心資產(chǎn)，單純的分析業(yè)務系統(tǒng)或者者數(shù)據(jù)庫系統(tǒng)的日志，都無法對整個訪問過程是否存在風險進行推斷。從系統(tǒng)變更與應用的角度來看，網(wǎng)絡審計日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。圍繞數(shù)據(jù)庫的業(yè)務系統(tǒng)安全隱患如何得到有效解決，一直以來是IT治理人員與DBA們注重的焦點，解決方案要緊集中在管理與技術(shù)兩個層面：管理層面：完善現(xiàn)有業(yè)務流程制度，明細人員職責與分工，規(guī)范內(nèi)部員工的日常操作，嚴格監(jiān)控第三方保護人員的操作。技術(shù)層面：除了在業(yè)務網(wǎng)絡部署有關(guān)的信息安全防護產(chǎn)品（如FW、IPS等）,還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)品，對關(guān)鍵的數(shù)據(jù)庫操作行為進行審計，對統(tǒng)方行為進行審計，做到違規(guī)行為發(fā)生時及時告警，事故發(fā)生后精確溯源。僅僅，審計關(guān)鍵應用程序與數(shù)據(jù)庫不是一項簡單工作。特別是數(shù)據(jù)庫系統(tǒng)，服務于各有不一致權(quán)限的大量用戶，支持高事務處理率，還務必滿足苛刻的服務水平要求。商業(yè)數(shù)據(jù)庫軟件內(nèi)建的審計能力不能滿足獨立性的基本要求，還會降低數(shù)據(jù)庫性能并增加管理費用。數(shù)據(jù)庫安全審計系統(tǒng)，需要既能獨立審計針對數(shù)據(jù)庫的各類訪問行為，又不影響數(shù)據(jù)庫的高效穩(wěn)固運行。具體設(shè)計應考慮下列幾個方面：＞有用性：因為業(yè)務系統(tǒng)數(shù)據(jù)在數(shù)據(jù)庫中進行集中存儲，故關(guān)于數(shù)據(jù)庫的操作審計需要細化到數(shù)據(jù)庫指令、表名、視圖、字段等，同時能夠?qū)徲嫈?shù)據(jù)庫返回的錯誤代碼，這樣能夠在數(shù)據(jù)庫出現(xiàn)關(guān)鍵錯誤時及時響應，避免因為數(shù)據(jù)庫故障帶來的業(yè)務缺失；＞獨立性：審計系統(tǒng)應具備統(tǒng)一的策略、集中的審計，適用于不一致的設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)與應用系統(tǒng)的審計要求，并對這些系統(tǒng)不造成影響.＞靈活性：審計系統(tǒng)應提供缺省的審計策略及自定義策略，能夠?qū)χ匾僮?、重要表、重要字段進行定義并審計，能夠根據(jù)用戶的業(yè)務特點進行策略的編輯。＞易用性：審計系統(tǒng)應能夠基于操作進行分析，能夠提供主體標識（即用戶）、操作（行為）、客體標識（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)）的分析與審計報表＞擴展性：當業(yè)務系統(tǒng)進行擴容時，審計系統(tǒng)能夠平滑擴容。系統(tǒng)支持向第三方平臺提供記錄的審計信息。＞可靠性：審計系統(tǒng)能提供充足的存儲空間（1000G以上），滿足在線存儲至少6個月的要求；審計系統(tǒng)能夠保證審計記錄的時間的一致性，避免錯誤時間記錄給追蹤溯源帶來的影響。＞安全性：分權(quán)限管理，具有權(quán)限管理功能，能夠?qū)τ脩舴旨?，提供不一致的操作?quán)限與不一致的網(wǎng)絡數(shù)據(jù)操作范圍限制，用戶只能在其權(quán)限內(nèi)對網(wǎng)絡數(shù)據(jù)進行審計與有關(guān)操作，具有自身安全審計功能。本方案推薦天明網(wǎng)絡安全審計系統(tǒng)，它基于“IP數(shù)據(jù)俘獲一應用層數(shù)據(jù)分析一審計與響應”實現(xiàn)各項功能，設(shè)計中充分貫徹了平臺化的思路；因為使用旁路接入的工作模式，使得天陰系統(tǒng)在實現(xiàn)各類安全功能的同時，對原系統(tǒng)的影響降到最低。根據(jù)六合城管的網(wǎng)絡結(jié)構(gòu)現(xiàn)狀，建議在網(wǎng)絡系統(tǒng)核心交換機上旁路部署天陰網(wǎng)絡安全審計系統(tǒng)，實現(xiàn)針對業(yè)務環(huán)境下的網(wǎng)絡操作行為進行細粒度審計的合規(guī)性管理。通過配置SSLVPN網(wǎng)關(guān)，將XXXX城管局平臺試用用戶臨時性的需要訪問系統(tǒng)內(nèi)部資源公布到SSLVPN平臺上，只為使用者開放某些系統(tǒng)的訪問權(quán)限，利用SSL的多種加密與認證方式保障使用的安全。對使用者來說，不需要安裝任何客戶端軟件、通過瀏覽器就能夠?qū)崿F(xiàn)WEB安全接入，對管理員來說，避免了管理員大范圍客戶端的安裝與配置問題，提高XXXX城管局系統(tǒng)安全性。5.4穩(wěn)固性的FCSANFC光纖通道按協(xié)議層進行分層，各層之間技術(shù)相互獨立，留有增長空間，同時由被認可的標準化機構(gòu)進行開發(fā)，F(xiàn)C中的流量操縱機制是在信用度系統(tǒng)上的基礎(chǔ)上。信用度（Credit）是指設(shè)備同意額外幀的能力。信用度的多少決定了設(shè)備接收額外幀能力的大小。假如同意方?jīng)]有向發(fā)送方發(fā)出任何的信用度，那么發(fā)送方就不能發(fā)送任何幀，在信用度的基礎(chǔ)上協(xié)調(diào)幀傳送，能夠避免幀的丟失，同時減少了對整個幀序列進行重傳的頻率。實際上，這種基于信用度的機制建立在終端節(jié)點能夠提供的緩沖區(qū)（TX-Buffer與RX-Buffer）的數(shù)目上，這些緩沖區(qū)用于存儲到來的數(shù)據(jù)流。對網(wǎng)絡的習慣性FC使用基于信用的流量操縱機制，當同意者有充足的緩存同意發(fā)信者的數(shù)據(jù)時，同意者把Credit（信用度）分配給發(fā)信者。它根據(jù)發(fā)送者的請求分配Credit,僅當發(fā)送者沒有用完它的Credit時，它才能夠發(fā)送數(shù)據(jù)。在MAN/WAN中，發(fā)送者務必要等待很長時間來獲得同意者的確認消息（以向網(wǎng)絡發(fā)送新的數(shù)據(jù)）。5.5系統(tǒng)數(shù)據(jù)在線保護本次項目城管局規(guī)劃部署2臺數(shù)據(jù)庫服務器，互為HA雙機熱備；另外，還有GIS、應用、城管通、Web、數(shù)據(jù)交換等6臺應用服務器，均為windowsserver2012或者Linux主流操作系統(tǒng)。所有數(shù)據(jù)庫服務器與應用服務器后端部署了一臺雙控磁盤陣列。為防止服務器與磁盤陣列因物理或者邏輯錯誤而出現(xiàn)數(shù)據(jù)丟失，保障系統(tǒng)數(shù)據(jù)安全，用戶需部署一臺系統(tǒng)數(shù)據(jù)在線保護設(shè)備，實現(xiàn)對數(shù)據(jù)、應用、操作系統(tǒng)、磁盤陣列的全面保護，當服務器出現(xiàn)數(shù)據(jù)丟失時，能夠通過該保護設(shè)備快速地找回丟失數(shù)據(jù)；當服務器出現(xiàn)系統(tǒng)故障時，能夠通過該保護設(shè)備快速地恢復系統(tǒng)，當磁盤陣列出現(xiàn)故障時，可作為應急存儲設(shè)備為服務器提供服務。同時設(shè)備需滿足下列功能需求：（1） 可針對windows.Linux兩種不一致平臺的數(shù)據(jù)庫、操作系統(tǒng)進行實時備份（2） 具備數(shù)據(jù)塊級實時復制功能，I/O級數(shù)據(jù)同步，源端數(shù)據(jù)一旦發(fā)生變化，災備端能實時同步，可實現(xiàn)秒級RPO指標。（3） 提供CDP連續(xù)快照數(shù)據(jù)備份機制。隨時手動創(chuàng)建快照或者設(shè)定策略自動化創(chuàng)建CDP快照，可實現(xiàn)不低1次/分鐘的密集數(shù)據(jù)保護。（4） 提供回滾與SAN映射等數(shù)據(jù)驗證機制，可在設(shè)備上便利掛載快照實現(xiàn)快照信息的查看、訪問、驗證，可通過SAN映射秒級恢復歷史數(shù)據(jù)并保證數(shù)據(jù)可用性。（5）當生產(chǎn)服務器出現(xiàn)故障時，可通過容災服務器或者虛擬機在線接管生產(chǎn)服務器業(yè)務，確保應用連續(xù)性；當生產(chǎn)服務器修復正常后，能夠支持將容災服務器接管后的新增業(yè)務數(shù)據(jù)恢復到生產(chǎn)服務器。聯(lián)創(chuàng)信安的CDP—體機基于數(shù)據(jù)同步復制技術(shù)，通過實時同步I/O,實現(xiàn)數(shù)據(jù)從源端到目標端的持續(xù)捕獲，同時能夠全自或者手動創(chuàng)建數(shù)據(jù)恢復點，以確保數(shù)據(jù)發(fā)生錯誤時，恢復數(shù)據(jù)到最新的時間點。恢復點使用基于時間點的快照技術(shù)，以塊級增量快照的方式記錄下數(shù)據(jù)源卷的變化，產(chǎn)生多個基于時間點數(shù)據(jù)影像。當用戶需要恢復數(shù)據(jù)時，只需要找到CDP一體機中相對應的恢復點（快照），直接進行恢復，就能夠使源端數(shù)據(jù)恢復到恢復點狀態(tài)；也能夠手動掛載快照到某臺計算機上，查看、復制其內(nèi)容或者者將其共享于網(wǎng)絡，供其他主機使用、數(shù)據(jù)驗證、災備演練等。對快照數(shù)據(jù)的操作不可能影響到生產(chǎn)應用系統(tǒng)，同時數(shù)據(jù)快照能夠多次使用，用戶能夠基于數(shù)據(jù)快照進行功能測試或者數(shù)據(jù)挖掘，使數(shù)據(jù)的價值最大化。5.6項目未來進展趨勢未來進展在本期的基礎(chǔ)上從擴大監(jiān)管區(qū)域范圍、拓展系統(tǒng)功能、完善機制體制為主開展。擴充現(xiàn)有管理隊伍，使數(shù)字化城管能夠深入城市的各個角落；完成未來擴展的20平方公里的數(shù)據(jù)普查工作，拓展建設(shè)范圍的城市部件與地理編碼普查工作；將管理范圍擴展至XXXX周邊街鎮(zhèn)，并建設(shè)街鎮(zhèn)二級平臺，新增部門、街鎮(zhèn)的運行環(huán)境及網(wǎng)絡建設(shè)；拓展更多符合城市管理應用需要的應用系統(tǒng)。5.7充足平臺擴展性本期六合數(shù)字城管項目建設(shè)的重點是信息化基礎(chǔ)底層架構(gòu)的建設(shè)，即要緊是針對數(shù)據(jù)庫、數(shù)據(jù)存儲底層的建設(shè)（FCSAN架構(gòu)建設(shè)、數(shù)據(jù)庫雙機架構(gòu)等），在不浪費投資的同時又保持建設(shè)系統(tǒng)的高度的可擴展性，系統(tǒng)能夠通過增加業(yè)務服務器來擴展信息化業(yè)務應用對系統(tǒng)平臺無影響、能夠通過給存儲在線添加硬盤或者者增加存儲的方式擴展系統(tǒng)平臺存儲容量等方式來滿足XXXX城管局信息化系統(tǒng)未來的快速進展需求。六.技術(shù)方案優(yōu)勢6.1項目架構(gòu)總體優(yōu)勢項目設(shè)計方案根據(jù)XXXX城管局現(xiàn)狀及未來進展趨勢熟悉清晰。中國電信股份有限公司南京分公司在XXXX城市管理區(qū)信息化平臺項目有辦法初期就開始了接觸交流，關(guān)于用戶當前的現(xiàn)狀及用戶所想要進展的方向有比較深刻的熟悉，所以總體設(shè)計方案關(guān)于甲方的階段性進展需求相吻合；項目系統(tǒng)架構(gòu)核心部件冗余化設(shè)計。項目系統(tǒng)總體架構(gòu)設(shè)計中對與城管信息系統(tǒng)最核心的（負載較高）設(shè)備如核心交換機、接入交換機、數(shù)據(jù)庫服務器等進行了冗余化設(shè)計，防止系統(tǒng)平臺核心部件單點故障；系統(tǒng)架構(gòu)安全防護考慮完善。項目系統(tǒng)總體架構(gòu)設(shè)計中關(guān)于平臺安全防護的考慮特別完善，首先關(guān)于試用六合數(shù)字化城管信息系統(tǒng)的用戶會進行防火墻防護、SSLVPN加密防護、IDS安全攻擊檢測防護等多重防護，保障系統(tǒng)免受網(wǎng)絡攻擊的威脅；其次關(guān)于信息化系統(tǒng)的核心數(shù)據(jù)庫系統(tǒng)，設(shè)計使用數(shù)據(jù)庫安全審計系統(tǒng)對數(shù)據(jù)庫行為進行審計保護，保障核心數(shù)據(jù)庫平臺的安全性；關(guān)于信息系統(tǒng)內(nèi)操作系統(tǒng)及存儲數(shù)據(jù)，設(shè)計使用系統(tǒng)數(shù)據(jù)在線保護設(shè)備，保障服務器操作系統(tǒng)及存儲數(shù)據(jù)的安全性，避免數(shù)據(jù)丟失；在通訊鏈路方面，總體設(shè)計架構(gòu)設(shè)計指揮中心、數(shù)據(jù)中心、公安視頻中心之間的訪問使用電信百兆專線鏈路，保障通訊的安全性，其中最為重要的數(shù)據(jù)中心與指揮中心之冋使用冗余鏈路設(shè)計，避免單鏈路故障問題。六合數(shù)據(jù)中心機房環(huán)境及保護優(yōu)勢。電信六合數(shù)據(jù)中心為國家五星級數(shù)據(jù)中心，其數(shù)據(jù)中心內(nèi)的安防、消防、機房輔助環(huán)境都達到國家較高標準；六合數(shù)據(jù)中心還配備了專業(yè)的具備多年工作經(jīng)驗的數(shù)據(jù)中心保護人員，能夠在最快時間內(nèi)知曉并解決用戶系統(tǒng)問題。6.2防火墻產(chǎn)品優(yōu)勢啟明星辰天清漢馬USG-FW-12600GP具備下列幾點優(yōu)勢：完善的防火墻特性一一支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問操縱一一支持流量管理、連接數(shù)操縱、IP+MAC綁定、用戶認證等多樣化的應用過濾一一基于屏蔽列表、免屏蔽列表、關(guān)鍵字技術(shù)的Web過濾功能，同時提供JavaApplet>Cookie>Script與Object的內(nèi)容過濾功能一一基于黑名單、白名單、郵件主題、附件名稱、郵件大小與SMTP命令的郵件過濾功能安全豐富的VPN使組網(wǎng)變得簡單——多VPN支持：GRE、IPSec>L2TP、SSLVPN一一豐富的應用：專用的VPN客戶端、USBKEY、動態(tài)口令卡、圖形認證碼一靈活的部署：Hub-Spoken、Full-Mesh、DVPN/網(wǎng)關(guān)一網(wǎng)關(guān)的SSLVPN完善的P2P、IM、流媒體、網(wǎng)絡游戲與股票軟件操縱能力 P2P操縱：對Emule>BitTorrent>Maze>Kazaa等進行阻斷、限速一一IM操縱：基于黑白名單的IM登錄操縱、文件傳輸阻止；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk>Skype一一流媒體操縱：對流媒體應用進行阻斷或者限速，支持Kamunppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸點網(wǎng)絡電視、貓撲播霸等一一網(wǎng)絡游戲操縱：對常見網(wǎng)絡游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷股票軟件操縱：對常用股票軟件如同花順、大參考、大智慧等的阻斷強大的日志報表功能——記錄內(nèi)容豐富：可對防火墻日志、帶寬使用日志、Wwb訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄——日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進行查詢——報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報表名稱、定制企業(yè)LOGO,并可形成多種格式的報表文件方便的集中管理功能——通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級與拓撲展示可軟件升級支持UTM——使用高性能的硬件配置，具備向UTM升級的硬件基礎(chǔ)設(shè)施保證——經(jīng)授權(quán)后可軟件升級，設(shè)備無需下線、無需返廠直接升級為UTM——升級后具備完整UTM功能，有關(guān)功能特征庫授權(quán)后可實時在線更新6.3入侵檢測系統(tǒng)產(chǎn)品優(yōu)勢啟明星辰天園NT3000-LT-SRP產(chǎn)品具備下列幾點優(yōu)勢：?全面檢測一一全面信息收集：天園IDS支持多級、分布式部署，實現(xiàn)策略統(tǒng)一下發(fā)，信息集中收集。一一全面協(xié)議分析：天園IDS支持協(xié)議自識別與協(xié)議插件技術(shù)，可準確識別非常規(guī)端口的協(xié)議與新型協(xié)議。一一全面檢測機制：天園IDS支持基于特征與基于原理的兩種檢測方式，在保障檢測精度的基礎(chǔ)上，擴大了檢測可識別的范圍。一一全面事件分析：啟明星辰有一套業(yè)界最規(guī)范的后繼服務支撐體系，確保對新型事件的快速準確響應。一一全面檢測范圍：天闌IDS提供網(wǎng)絡入侵事件、網(wǎng)絡違規(guī)事件、流量特殊事件等多種特殊檢測?！鏅z測性能：天ISIDS使用最短時間優(yōu)先算法，確保了產(chǎn)品在網(wǎng)絡數(shù)據(jù)高負載情況下的檢測效率。?有效表現(xiàn)——精確報警信息：天聞IDS結(jié)合了環(huán)境指紋技術(shù)，在發(fā)現(xiàn)有攻擊行為后，與存儲的環(huán)境信息進行二次匹配，將那些能夠確信為“有用”的報警信息單獨表現(xiàn)，減少用戶的分析操作消耗?！敱M信息表現(xiàn)：天聞IDS的報警信息除了事件的雙方地址、協(xié)議等信息外，還包含了對事件的具體描述、漏洞信息、修補建議、影響系統(tǒng)等，能夠?qū)⒆罴氈碌氖录畔⒈憩F(xiàn)給用戶?！{地址定位：天聞IDS提供與實際地理拓撲相結(jié)合的報警顯示方式。在大規(guī)模部署的情況下，能夠?qū)⒃O(shè)備拓撲與地理拓撲相結(jié)合，使得管理員能夠直觀而迅速的推斷威脅所在?！S富報表展現(xiàn)：天園IDS提供基于時間、地址、事件等多重參數(shù)信息的分析報表，結(jié)合歷史分析數(shù)據(jù)，可清晰展現(xiàn)安全建設(shè)進展趨勢，協(xié)助考量網(wǎng)絡安全建設(shè)水平。6.4數(shù)據(jù)庫安全審計設(shè)備優(yōu)勢啟明星辰天明GE1000E審計引擎具備下列幾點優(yōu)勢：深層監(jiān)測?強大的協(xié)議解析能力：天刃審計系統(tǒng)融合了語義檢測技術(shù)與特征檢測技術(shù)，實現(xiàn)三到七層的協(xié)議分析，特別是在數(shù)據(jù)庫SQL語句的語義解析領(lǐng)域處于國內(nèi)領(lǐng)先地位。系統(tǒng)通過對審計事件、會話信息、會話數(shù)據(jù)的完整記錄與回放，方便管理員進行全局管理。?多碼環(huán)境的習慣能力：天為審計系統(tǒng)具備識別多種編碼的能力，支持包含ASCII.Unicode.UTF-8、UTFT6、GB2312、EBCDIC等編碼格式,避免因編碼格式不一致而導致審計記錄出現(xiàn)亂碼的情況，保證了審計記錄的可讀性。?靈活的規(guī)則定義能力：天明審計系統(tǒng)預置了業(yè)界最全面的審計規(guī)則集，涵蓋了用戶常用的網(wǎng)絡操作行為。同時為用戶提供了便利的規(guī)則自定義功能，能夠根據(jù)時間、IP、端口、協(xié)議、帳號、操作命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段名、字段值、返回值等多種條件的規(guī)則組合，制定符合用戶自身業(yè)務環(huán)境的審計規(guī)則。高速的事件入庫能力：天陰審計系統(tǒng)使用了固化硬件架構(gòu)設(shè)計，超大容量數(shù)據(jù)存儲空間，優(yōu)化的數(shù)據(jù)存儲引撃，在審計策略全部開啟環(huán)境下，審計事件每秒入庫速率達到萬條以上，達到國內(nèi)最高水平，從而避免用戶在事后追蹤溯源過程中，出現(xiàn)審計事件漏報的問題。精確溯源特殊的端口認證功能：系統(tǒng)提供了USB硬件令牌、靜態(tài)口令、Radius三種認證方式，實現(xiàn)網(wǎng)絡TCP端口訪問的強制認證，用戶可靈活選擇。實現(xiàn)對自然人的綁定，當自然人在進行網(wǎng)絡操作時，其真實身份與其網(wǎng)絡行為進行關(guān)聯(lián)，從而實現(xiàn)對自然人的追蹤與稽查。?高效的源頭跟蹤能力：系統(tǒng)能夠針對用戶網(wǎng)絡環(huán)境中出現(xiàn)的指定帳號（比如Root、DBA）、指定應用程序（比如SQLPLUS、PL/SQL）,進行隨時觸發(fā)、隨時跟蹤，減少審計事件過多帶來的管理負擔。?及時多樣的響應方式：系統(tǒng)提供了多種響應方式，支持包含記錄、忽略、定級、界面告警、RST阻斷、Syslog、SNMPTrap、郵件發(fā)送等技術(shù)手段，并可與第三方管理平臺進行聯(lián)動（如SOC平臺、4A平臺等），幫助用戶實時掌握審計信息。易于擴展的分析條件：系統(tǒng)提供了多達20余種的查詢條件，條件之間可任意組合，支持與、或者、非邏輯運算規(guī)則，系統(tǒng)還提供特有的審計取證功能,簡化了分析條件的操作，減少了保護工作量，促進了用戶內(nèi)審經(jīng)驗的傳遞。多種維度的合規(guī)報告：系統(tǒng)提供60余種報告模板，用戶也能夠根據(jù)自身業(yè)務特點生成自定義報表，報表格式包含HTML、EXCEL、CSV、PDF.Word等,提供從宏觀數(shù)據(jù)到微觀事件的決策根據(jù)。6.5SSLVPN產(chǎn)品優(yōu)勢深信服VPN3050具備下列幾點優(yōu)勢：1.安全性。SSLVPN的一個顯著特點就是客戶端的易用性，客戶端事先并不需要安裝任何程序，只要在IE瀏覽器中輸入M5450-S對應的公網(wǎng)IP地址（在動態(tài)IP環(huán)境下訪問WebAgent或者動態(tài)域名）即可進行安全訪問接入。根據(jù)接入用戶的分布，本方案建議遠程用戶使用下列四種登錄方式，分別是用戶名密碼方式,USBkey方式，動態(tài)短信碼方式及硬件特征碼認證。2.可管理性。SINFORSSLVPN安全網(wǎng)關(guān)能夠為管理員訪問也提供與普通用戶相同的安全保障手段。根據(jù)企業(yè)內(nèi)部的管理形式，深信服將設(shè)備管理員分為超級管理員與受限管理員，受限管理員只能管理所轄組的用戶、用戶組、所在組的硬件特征碼、關(guān)聯(lián)所在組的角色，不能關(guān)于不在所轄組的用戶進行管理與保護。6.6存儲協(xié)議的優(yōu)勢在存儲環(huán)境中，發(fā)出的塊I/O請求的大小通常介于4K到64K之間。以8K的塊I/0請求為例，F(xiàn)C的幀大小是2K。所以8K的塊I/O請求務必被分成多個小的段，以習慣不一致的傳輸幀大小。在FC中，分段與重組操作是在網(wǎng)卡中實現(xiàn)的，所以減輕了主機CPU的負擔。所以FCSAN環(huán)境保障了XXXX城管局信息化系統(tǒng)穩(wěn)固性。6.7系統(tǒng)數(shù)據(jù)在線保護設(shè)別優(yōu)勢聯(lián)創(chuàng)信安CDP容災一體機作為新一代數(shù)據(jù)保護產(chǎn)品，具有下列產(chǎn)品優(yōu)勢：1） 實時備份瞬間恢復：使用實時備份瞬間恢復；一分鐘找回丟失數(shù)據(jù)；3分鐘修復數(shù)據(jù)錯亂；5分鐘重建癱瘓主機。2） 先進的備份恢復技術(shù)：I/O顆粒級實時備份（RPO趨近于0）；瞬間恢復機制（RT0不再是難題）；支持多種傳輸協(xié)議：TCP/IP、FC；數(shù)據(jù)一致性確認技術(shù)；多點自動快照，歷史數(shù)據(jù)輕松獲?。豢煺崭北緮?shù)量不受限制；瞬間恢復，數(shù)據(jù)立即可用；開放式架構(gòu)，支持異構(gòu)存儲；易于保護，簡單的圖型化管理。3） 全面立體防災：全面保護數(shù)據(jù)、應用、系統(tǒng)、存儲；輕松應對物理與邏輯故障與災難；支持眾多歷史數(shù)據(jù)副本保留；隨時實現(xiàn)：數(shù)據(jù)恢復、災備演練、數(shù)據(jù)驗證等操作；支持P2P、P2V、V2V、SANBOOT多種系統(tǒng)重建方式。4） 智能的容災一體化：使用Console圖型化集中管理,所有操作都在Console完成，交互體驗更友好；備份恢復大多數(shù)操作在后臺全自動完成。5）產(chǎn)品亮點：全面保護應用系統(tǒng)；快速恢復業(yè)務運行。七.項目產(chǎn)品介紹7.1XXXXNF5280M4能特性高效智能，彈性擴展，為全新應用優(yōu)化全新智能計算加速技術(shù)，根據(jù)應用需求智能調(diào)節(jié)，進行優(yōu)化。使用最新的內(nèi)存技術(shù)，更高密度、更大容量為企業(yè)虛擬化與業(yè)務處理提供更好的性能。最新的硬盤接口技術(shù)，消除存儲瓶頸，大幅提升存儲性能?？商峁╈`活、彈性的I/O功能，支持XXXXFLOM技術(shù)，實現(xiàn)極速網(wǎng)絡I/O,用戶根據(jù)應用的網(wǎng)絡帶寬需求，進行自由擴展，實現(xiàn)網(wǎng)絡性能飛躍。在2U機箱狹小空間內(nèi)可提供6個標準高速PCI-E3.0擴展槽與1個專用PCI-E擴展槽，支持多達4個全長全高卡，滿足高端客戶對系統(tǒng)功能與性能的需求。綠色節(jié)能，安全可靠，為全新數(shù)據(jù)中心優(yōu)化XXXX最新優(yōu)化的系統(tǒng)環(huán)境動態(tài)感知與調(diào)控技術(shù)，可通過精確設(shè)置在系統(tǒng)內(nèi)部的多個溫度傳感器，實時傳遞服務器內(nèi)部溫度信息，并對設(shè)備內(nèi)的熱插拔冗余風扇動態(tài)調(diào)節(jié)，配合先進的風冷系統(tǒng)實現(xiàn)最佳工作環(huán)境，保障系統(tǒng)穩(wěn)固運行。使用業(yè)內(nèi)最優(yōu)的元器件，配合高效電源設(shè)計，可比其他方案節(jié)能多達20%oXXXX供貨管理技術(shù)可幫助用戶對系統(tǒng)功耗，進行精確的實時監(jiān)測與操縱，進一步提高整體IT架構(gòu)的能效表現(xiàn)。同時支持最新可信加密技術(shù)，保護客戶數(shù)據(jù)安全。易保護，易管理，提高工作效率內(nèi)嵌服務器智能管理芯片，可實現(xiàn)完整的IPMI2.0遠程系統(tǒng)監(jiān)控、遠程KVM、虛擬媒體等各類管理功能。可支持內(nèi)嵌大容量閃存，內(nèi)載XXXX睿捷服務器管理套件V5.2版，可極大簡化用戶的設(shè)備部署、管理與保護工作。為簡化數(shù)據(jù)中心環(huán)境下的設(shè)備管理，將推出XXXX外置式可視化管理模塊，配合XXXX光路診斷功能，管理人員可快速確定需保護的設(shè)備，大大減小管理員的工作壓力，提供工作效率。應用舉例對性能有很高要求的大型政府、企業(yè)的數(shù)據(jù)庫及核心業(yè)務軟件：對內(nèi)存與磁盤擴展、網(wǎng)絡I/O能力有很高要求的各類網(wǎng)絡服務器；追求超高性能的高性能集群，如渲染作業(yè)、制造業(yè)CAD、CAE等。7.2XXXXAS520G隨著數(shù)據(jù)存儲容量的不斷增加，高昂的存儲設(shè)備成本成為用戶的重要IT支出，而網(wǎng)絡存儲產(chǎn)品憑借其高性能、高可靠、大容量、低成本、操作簡便等優(yōu)勢得到了用戶越來越多的青睞。AS520G是XXXX存儲自主開發(fā)，擁有自主知識產(chǎn)權(quán)的雙控存儲產(chǎn)品"該產(chǎn)品集合了當前主流的存儲技術(shù)優(yōu)點，冗余的部件模塊化設(shè)計，滿足主流客戶對數(shù)據(jù)存儲的需求，是一款性能強勁、功能豐富、高可靠的網(wǎng)絡存儲產(chǎn)品，是用戶數(shù)據(jù)統(tǒng)一存儲、集中管理的良好選擇。特別適合數(shù)據(jù)庫、數(shù)據(jù)塊視頻、web服務等應用。產(chǎn)品優(yōu)勢：完全自主研發(fā)：擁有自主知識產(chǎn)權(quán)的雙控存儲產(chǎn)品優(yōu)秀的架構(gòu)：標準19”工業(yè)機架（3U）,雙熱插拔電源、雙風扇，各部件均使用冗余模塊化設(shè)計強勁的性能：冗余雙操縱器（可熱插拔），每操縱器標配1顆存儲專用處理器；支持主機通道聚合，且不限制主機接入數(shù)量；至少提供高速緩存16GB,系統(tǒng)最大緩存96GB,支持緩存保護功能；支持后端磁盤通道擴展，能夠提供6個24GbSAS擴展接口，最大能夠擴展18個JBODo靈活的RAID級別：支持RAID。、1、5^6、10、50、60良好的兼容性：硬件需通過主流服務器廠商的兼容性測試，支持windows/linux等主流操作系統(tǒng)；支持在線動態(tài)RAID組擴展與動態(tài)邏輯卷擴展；便利的管理方式：支持CL1/WEB管理方式，中文管理界面；支持郵件報警機制，方便管理員及時監(jiān)控設(shè)備運行狀態(tài)7.3聯(lián)創(chuàng)信安SD0P4100計算機應用的不斷普及與深入引發(fā)數(shù)據(jù)爆炸性增長與IT管理復雜度不斷提升。業(yè)務不間斷運營己成為衡量企業(yè)整體服務能力的重要指標。實現(xiàn)這個指標面臨系統(tǒng)，數(shù)據(jù)，應用三方面安全挑戰(zhàn)，傳統(tǒng)的雙機或者備份解決方案無法同時實現(xiàn)上述三方面需求；同時，更快的恢復速度，更細的恢復粒度與更低的成木也是企業(yè)注重的重點，企業(yè)急需一體化綜合信息保護平臺！聯(lián)創(chuàng)信安實時備份與快速恢復系統(tǒng)（SD0P4100）正是迎合市場需求，著眼于系統(tǒng)與數(shù)據(jù)的快速恢復與最小數(shù)據(jù)丟失，致力于業(yè)務的不間斷運營，為企業(yè)量身定制的一體化綜合信息保護平臺。聯(lián)創(chuàng)信安實時備份與快速恢復系統(tǒng)（SD0P4100）不但涵蓋了各類系統(tǒng)災難保護（包含人為故障、病毒、軟件故障、硬件故障等災難），而且能夠針對不一致應用，數(shù)據(jù)庫提供全面的數(shù)據(jù)保護，在出現(xiàn)突發(fā)意外業(yè)務中斷時提供快速的業(yè)務恢復（RTO指標）并將數(shù)據(jù)丟失（RPO指標）降至最低，有效地保障了企業(yè)系統(tǒng)數(shù)據(jù)的安全性與業(yè)務的連續(xù)性。

SD0P4100基于同步數(shù)據(jù)復制技術(shù)，實現(xiàn)對I/O的連續(xù)捕捉，以確保數(shù)據(jù)發(fā)生錯誤時，數(shù)據(jù)恢復到最新的時間點。同時，使用基于時間點的快照技術(shù)(CDP),以塊級增量快照的方式記錄下數(shù)據(jù)復制卷的變化，產(chǎn)生多個基于時間點數(shù)據(jù)影像(全自動實現(xiàn)歷史快照副本精確到分鐘級)當用戶需要恢復數(shù)據(jù)時，只需要找到SDOP中相對應的數(shù)據(jù)快照，進行簡單的恢復操作，就能夠?qū)⒛硶r刻數(shù)據(jù)瞬間恢復;假如某一快照臨時需使用時，也能夠使用掛載功能快速的查看及打開使用。對快照數(shù)據(jù)的操作不可能影響到數(shù)據(jù)復制卷的數(shù)據(jù)，同時數(shù)據(jù)快照能夠多次使用，用戶能夠基于數(shù)據(jù)快照進行功能測試或者數(shù)據(jù)挖掘，使數(shù)據(jù)的價值最大化。在系統(tǒng)故障時，能夠通過SDOP智能的遠程引導功能(SANBOOT),在短短的幾分鐘內(nèi)恢復主機的運營，保證了業(yè)務不間斷工作，實現(xiàn)理想的RTO及RPO。郵件服務器 OASQLserver100/1000mb/slP網(wǎng)絡財務系統(tǒng)貝貝M郵件服務器 OASQLserver100/1000mb/slP網(wǎng)絡財務系統(tǒng)貝貝M^genM^agenO^agenOoracleERP。mirror^現(xiàn)系統(tǒng)鏡像-通過ip/FC網(wǎng)絡實時獲取數(shù)據(jù)-塊級數(shù)據(jù)茨取，支持任何數(shù)據(jù)庫系統(tǒng)-不改変任何現(xiàn)有系統(tǒng)結(jié)構(gòu)?快照-自動產(chǎn)生多個歷史影像副本，數(shù)據(jù)無限瞬間恢復歷史數(shù)據(jù)?CDP功能數(shù)據(jù)恢復可精確到分鐘技術(shù)特點：1.提供對Windows/Linux操作系統(tǒng)平臺的應用數(shù)據(jù)保護;提供Oracle/Sybase/DB，SQL/Exchange等應用的持續(xù)數(shù)據(jù)保護；靈活的保護策略，實現(xiàn)定時、自動或者手動快照保護，確保數(shù)據(jù)的安全性與系統(tǒng)的連續(xù)性提供智能agent,確?？煺諗?shù)據(jù)的邏輯一致性；多種數(shù)據(jù)恢復方式，支持P2V、P2P、V2V直接恢復，不需要第三方工具協(xié)助恢復，實現(xiàn)隨時的恢復演練；支持備份存儲空間在線添加擴容，實現(xiàn)存儲空間的動態(tài)分配與無縫擴容；支持SANBOOT系統(tǒng)重建，可基于FC實現(xiàn)系統(tǒng)快速引導重建，達到近HA功能；支持存儲設(shè)備在線保護，當存儲故障后可通過備份副本分鐘內(nèi)接管存儲為前端應用提供服務，達到近HA功能；先進、高效的RAID技術(shù)確保備份數(shù)據(jù)的安全可靠；7.4大唐保鏢HL-5708大唐保鏢HL-5708KVM切換器內(nèi)附標準型機架安裝套件，另提供單人簡易安裝套件（選購型），以滿足不一致安裝需求。它整合了17寸LCD顯示器與KVM操縱端于單一抽拉式機體中，LCD屏幕可展開至115度，以提供舒適的檢視角度，而且每臺服務器的視訊設(shè)定會自動調(diào)整至螢幕顯示的最佳狀態(tài)。它支持自動掃描功能，可監(jiān)控用戶所選擇的服務器設(shè)備。大唐保鏢HL-5708支持熱插拔，無需將KVM關(guān)閉即可直接增加或者移除服務器。它體積小巧，上蓋與底部設(shè)計僅占用少于1U機架空間，有效節(jié)約機柜空間，是機柜標準操縱設(shè)備。它支持兩層密碼安全機制，只有被授權(quán)的用戶能夠檢視及操縱電腦，最多可同意4個用戶及一個管理者，且每個皆有獨立的數(shù)據(jù)文件。7.5XXXXFS5800產(chǎn)品特性及優(yōu)勢：1.4個10Gbps/20Gbps堆疊（ISL）端口：出廠含有缺省被激活的4個10Gb可堆疊的端口，客戶能夠非中斷的升級ISL端口在一個或者多個交換機升級到20Gb,最大限度的降低成本20個8Gb設(shè)備端口：在1U的尺寸中增加了4個連接設(shè)備的端口，每個交換機可擴展到20個8Gb設(shè)備端口（總共24個端口），且向后兼容4Gb與2Gb的設(shè)備與光學配件強大的堆疊管理：利用EnterpriseFabricSuite,用戶能夠管理5000系列產(chǎn)品的堆疊就像一個設(shè)備一樣，加載微碼、應用安全配置變化、與操縱用戶與SimpleNetworkManagementProtocol（SNMP）的管理,最高能夠到達6臺交換機同時管理。迅速可靠的性能：提供無爭議的、全雙工的帶寬，每個交換機544Gbps總帶寬可提高投資利用率?？筛鼡Q的雙電源選項與無中斷的微碼激活，確保空前的一致性用戶體驗。完備的兼容性：與其它的XXXXFS系列交換機全面兼容，也兼容習慣FC-SW-2的其它廠商交換機。能夠與其它所有的要緊存儲、服務器、應用與基礎(chǔ)架構(gòu)的廠商互操作。強大與直觀的軟件：QuickTools?內(nèi)置的Java?webapplet關(guān)于設(shè)備的發(fā)現(xiàn)、設(shè)備管理、zoning與fabric管理。QuickTools包含一個配置向?qū)c高級的拖拽zoning,這種行業(yè)直觀的配置方法。EnterpriseFabricSuiteEnterpriseFabricSuite捆綁了Fabric跟蹤，性能觀測，端口閥值預警等高級企業(yè)功能，，堆疊管理與mPort?能夠挪動的端口激活集成到一個單獨的站點許可。消除了用戶因為SAN增長而不斷購買、保護交換機而持續(xù)增長的花費。SANdoctor全面的診斷工具，關(guān)于Fabric中的問題能夠發(fā)現(xiàn)并處理，并能進行介質(zhì)數(shù)字診斷、fabric跟蹤路由與fabricpingoFabricSecurity通過了RADIUS認證、SecureShell(SSH),SecureSocketLayer(SSL)加密認證。設(shè)備連接安全使用FibreChannelSecurityProtocol(FC-SP),DHCHAP,andFC-GS-4CT.為用戶提供了全面的安全、保護功能。7.6H3CS5800-32CS5800-32C/32C-PWR靈活的端口擴展能力隨著用戶端帶寬不斷提高，服務器萬兆網(wǎng)卡的應用越來越廣泛，交換機需要提供更高的轉(zhuǎn)發(fā)性能與萬兆端口擴展能力。H3CS58系列機箱式交換機支持業(yè)內(nèi)最高的萬兆端口密度，單臺設(shè)備能夠按需擴展至最多24個全線速轉(zhuǎn)發(fā)的萬兆端口。此外，該系列產(chǎn)品還能夠提供靈活的千兆接入端口，能夠提供16個千兆光接口或者者電接口擴展模塊，單臺設(shè)備能夠按需擴展至最多84個全線速轉(zhuǎn)發(fā)的千兆端口，滿足大型網(wǎng)絡匯聚或者中小網(wǎng)絡核心關(guān)于光電混合配置的要求。智能彈性架構(gòu)H3CS5800/S5820X系列交換機支持IRF2（第二代智能彈性架構(gòu)）技術(shù)，在擴展性、可靠性、整體架構(gòu)與可用性方面具有強大的優(yōu)勢，要緊表達在四個方面：*擴展性：IRF技術(shù)同意交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。*可靠性：通過專利的路由熱備份技術(shù)，在整個IRF組內(nèi)實現(xiàn)操縱平面與數(shù)據(jù)平面所有信息的冗余備份與無冋斷的三層轉(zhuǎn)發(fā)，極大的增強了IRF組的可靠性與高性能，同時消除了單點故障，避免了業(yè)務中斷。*分布性：通過度布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔與互為備份，從而提高整個網(wǎng)絡架構(gòu)的冗余性與鏈路資源的利用率。*可用性：通過標準的萬兆以太網(wǎng)接口實現(xiàn)智能彈性架構(gòu)，能夠根據(jù)需求分配業(yè)務帶寬與系統(tǒng)連接帶寬，合理分配本地流量與上行流量；不但能夠?qū)崿F(xiàn)機架內(nèi)、跨機架，甚至跨區(qū)域的遠距離智能彈性架構(gòu)。強大的緩存能力針關(guān)于數(shù)據(jù)中心大流量數(shù)據(jù)無堵塞傳輸?shù)囊螅琀3CS58系列能夠提供強大的緩存能力，同時支持先進的緩存調(diào)度機制能夠保證設(shè)備緩存能力有效利用的最大化。靈活的風道方向選擇為了更好的配合數(shù)據(jù)中心的風道設(shè)計，S5800/S5820X系列交換機部分款型為用戶提供了更靈活的風道方案，在實現(xiàn)前后風道的同時，用戶還能夠通過選擇不一致的風扇框來實現(xiàn)不一致的風向(從前往后或者者從后往前)。7.7H3CS3600v2-28TP-EI豐富的IPv4與IPv6三層功能1I3CS3600V2系列交換機硬件支持IPv4/IPv6雙棧與IPv6overIPv4隧道(包含手工Tunnel,6to4Tunnel,ISATAPTunneLauto-Tunnel),三層線速轉(zhuǎn)發(fā)。既能夠用于純IPv4或者IPv6網(wǎng)絡，也能夠用于IPv4到IPv6共存的網(wǎng)絡,組網(wǎng)方式靈活，充分滿足當前園區(qū)網(wǎng)從IPv4向IPv6過渡的需求。支持豐富的IPv6路由協(xié)議,包含RIPng、0SPFv3、ISISv6、BGP4+forIPv6o支持IPv6的鄰居發(fā)現(xiàn)協(xié)議(NeighborDiscoveryProtocol,NDP),管理鄰居節(jié)點的交互。支持PMTU發(fā)現(xiàn)(PathMTUDiscovery)機制，能夠找到從源端到目的端的路徑上一個合適的MTU值，以便有效地利用網(wǎng)絡資源并得到最佳的吞吐量。智能彈性架構(gòu)H3CS3600V2系列交換機支持IRF2(第二代智能彈性架構(gòu))技術(shù)，就是把多臺物理設(shè)備互相連接起來，使其虛擬為一臺邏輯設(shè)備，也就是說，用戶能夠?qū)⑦@多臺設(shè)備看成一臺單一設(shè)備進行管理與使用。IRF能夠為用戶帶來下列好處：*簡化管理IRF架構(gòu)形成之后，能夠連接到任何一臺設(shè)備的任何一個端口就以登錄統(tǒng)一的邏輯設(shè)備，通過對單臺設(shè)備的配置達到管理整個智能彈性系統(tǒng)與系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺成員設(shè)備上分別對它們進行配置與管理。*簡化業(yè)務IRF形成的邏輯設(shè)備中運行的各類操縱協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，比如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算，而隨著跨設(shè)備鏈路聚合技術(shù)的應用，能夠替代原有的生成樹協(xié)議，這樣就能夠省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡運行，縮短了網(wǎng)絡動蕩時的收斂時間。*彈性擴展能夠按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。同時新增的設(shè)備加入或者離開IRF架構(gòu)時能夠?qū)崿F(xiàn)“熱插拔”，不影響其他設(shè)備的正常運行。*高可靠IRF的高可靠性表達在鏈路，設(shè)備與協(xié)議三個方面。成員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)與上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺成員設(shè)備構(gòu)成,一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master,以保證通過系統(tǒng)的業(yè)務不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實現(xiàn)1：N的協(xié)議可靠性。*高性能關(guān)于交換機來說，性能與端口密度的提升會受到硬件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能與端口密度是IRF內(nèi)部所有設(shè)備性能與端口數(shù)量的總與。所以,IRF技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。增強的以太網(wǎng)供電功能(PoE+)H3CS3600V2系列交換機支持增強的以太網(wǎng)供電功能(PoE+),PoE供電款型能夠提供每端口最大30W的輸出功率，能夠為802.lln的無線接入點，可視IP電話，與更多的終端設(shè)備提供以太網(wǎng)供電能力。7.8啟明星辰天清漢馬USG-FW-12600GP：ffSVVVWVW天清漢馬USG防火墻要緊由兩部分構(gòu)成：USG防火墻設(shè)備與天清集中管理與數(shù)據(jù)分析中心。USG防火墻設(shè)備：即部署在網(wǎng)絡出口，融合多種安全能力，針對惡意攻擊、非法活動與網(wǎng)絡資源濫用等威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。天清集中管理與數(shù)據(jù)分析中心：要緊功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控與升級中心，通過它能夠集中配置、監(jiān)控與管理所管轄的多臺USG防火墻設(shè)備，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員關(guān)于整網(wǎng)USG防火墻設(shè)備的監(jiān)控保護工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺處理中心。要緊完成USG防火墻設(shè)備日志與流量信息的存儲、分析、審計與處理功能。防火墻作為網(wǎng)關(guān)類產(chǎn)品，畢竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要明白什么是性能消耗的關(guān)鍵業(yè)務單元。啟明星辰通過對網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的全面分析與試驗驗證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50%來自于模式匹配，25%來自于協(xié)議重組、25%來自于報文重組的結(jié)論。消耗系統(tǒng)資源25%消耗系統(tǒng)資源25%消耗系統(tǒng)資源25%消耗系統(tǒng)資源5。％網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計首要考慮的問題?；谘芯繑?shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計上引入了一體化的設(shè)計理念。馬上防火墻、VPN、內(nèi)容過濾與流量管理等各項功能的分析處理引擎進行一體化設(shè)計，以達到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則，使用“檢測與操縱相分離，引擎特征相統(tǒng)一”的一體化設(shè)計思想：人機界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊與支撐庫。網(wǎng)絡報文首先通過報文接收模塊進行預處理后進入報文處理模塊，在報文處理模塊，防火墻進行2-3層過濾，VPN負責接入操縱；其次模塊匹配引擎與行為分析引擎分別根據(jù)統(tǒng)一特征庫與行為知識庫進行匹配查找；最后，關(guān)于合法報文直接交由報文發(fā)送模塊進行報文轉(zhuǎn)發(fā)，關(guān)于非法報文，送交相對應的處理引擎進行處理。整個過程的日志信息與數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控與備案，管理中心負責整體的配置與調(diào)整。7.9啟明星辰天聞NT3000-LT-SRP天闌入侵檢測與管理系統(tǒng)是啟明星辰自主原創(chuàng)并擁有完全自主知識產(chǎn)權(quán)的威脅檢測、分析與管理產(chǎn)品，該產(chǎn)品關(guān)于病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為與網(wǎng)絡資源濫用行為（如P2P上傳/下載、網(wǎng)絡游戲、視頻/音頻、網(wǎng)絡炒股）等威脅具有高精度的檢測能力，同時，該產(chǎn)品中的流量模塊關(guān)于網(wǎng)絡流量的特殊情況具有非