黄冈市中级法院司法查控系统项目
招标需求
1
项目概述
1.1 项目名称
项目名称:黄冈市中级人民法院司法查控系统项目建设(包含司法查控子系
统、液晶拼接屏子系统、集中控制子系统、会议(含视频会议)音响扩音子系统、
4G单兵子系统、存储容灾备份子系统、户外LED显示子系统)。
1.2 项目概述
黄冈市地处鄂东,作为湖北的东大门,法制建设一直处于湖北省的前沿。黄
冈市中级人民法院下属有黄州区法院、浠水县法院、蕲春县法院、武穴市法院、
黄梅县法院、麻城市法院、红安县法院、罗田县法院、英山县法院、团风县法院、
龙感湖法庭等11个基层法院。黄冈法院为深入贯彻落实中央关于解决执行难问
题的指示精神,建立健全解决执行难问题长效机制,确保生效法律文书得到有效
执行,切实维护公民、法人和其他组织的合法权益,维护法律权威和尊严,推进
社会诚信体系建设,下发文件,明确和细化了政府各职能部门和社
会有关单位参与联动、协助执行的法律义务,成为人民法院执行工作的重要里程
碑。
法院审判结果执行落实困难一直是维护法律尊严的重要瓶颈。“执行难”的
核心是“被执行人财产难查”、“被执行人难”两大难题。根据中央关于解决
执行难问题的指示精神,进一步推动黄冈法院与银行、检察、公安、海关、工商、
国土、税务电信、燃气、水务和出租屋管理等单位间的联系,迫切需要运用信息
化手段来加强法院执行工作的科学管理,构建执行工作管理和执行联动的新机
制。
建设法院执行司法查控系统,正是基于黄冈法院执行工作管理的要求和执行
司法查控的特点,在黄冈法院内部、各协执单位之间开辟常态化的执行信息联络
第 1 页 共 37 页
新渠道,通过技术手段将存款、房产、股权、车辆、证券等分散的被执行人信息
查询节点集中起来,以黄冈法院执行指挥中心为平台,实现对执行人、被执行人
财产的查询与控制管理的集中化、批量化、即时化和电子化,提高执行工作效率。
1.3 建设的目标与任务
1.3.1 建设目标
以高起点、高层次为基本原则,建设黄冈法院与负有协助查控(对被执行人
财产、被执行人的查询与控制)法律义务的各职能单位之间的“执行司法查控系
统”,在全市范围内实现被执行人及财产查控工作的集约化、信息化、网络化,
从而提升执行效率、维护司法权威。
1.3.2 建设内容
黄冈法院执行司法查控系统的建设是在黄冈中院集中全市法院关于被执行
人及其财产的查控要求,通过网络以标准化的数据格式向协助查控单位发送查控
要求,各协助查控单位通过网络以标准化的数据格式反馈协助查控结果。具体建
设内容包括:
建立法院内部、两级法院之间统一的、规范的、信息互享互通平台,实
现查控要求的集中、以及查询请求、审批、流转、盖章网络流转功能。
建立法院与联动单位之间查控信息查询交换平台,制定各单位标准的数
据交互接口,通过专线实现与联动单位沟通联络、信息交流、协调联动
等功能。
在指挥中心新建3*5块55寸液晶拼接显示屏,最小拼缝≤3.5mm,分辨
率不低于1920*1080。
新建会议音响扩音系统包括会议主机、4只无线手持式麦克风及4只桌
面鹅颈式麦克风、2只主扩音音响及8只吸顶式辅助音响、视频会议系
统能与湖北省高级人民法院互联。
第 2 页 共 37 页
集中控制系统,能够通过手持式触摸屏或者操控电脑对整个系统进行控
制,包括对液晶拼接屏的开关机、图像切换、灯光(窗帘可选)控制、
音箱控制、设备电源控制等功能。
存储容灾备份系统可实现对本地重要数据的多重备份,确保遇到突发情
况时不至于数据的丢失,同时可支持异地备份存储,当本地出现断电、
线路问题等意外情况发生时,能够实现异地自动备份。本次存储容量不
低于12TB,采用6块2TB高性能SAS硬盘。
户外LED显示屏系统,采用P10全彩LED屏体,能够满足视频实时转播,
含音视频。
1.4 招标范围及内容
本项目的用户对象为黄冈市中级人民法院,以及全市各类协执单位(同一类
协执单位因可能有多个具体单位,如银行有人民银行和多个商业银行,车辆管理
有不同地区的车辆管理部门,项目本期实现与黄冈市国土资源局、黄冈市房产局
两家协议单位的互联互通。
本项目投标报价包含:司法查控系统及适应性开发、系统运行支撑环境、电
子签章集成、系统的安装、调试、培训、一年维护等费用。要求中标人需根据黄
冈法院的实际需求进行开发及配置。
招标货物内容如下:
(1)在软件方面,目前主要包括以下建设内容:
序号 名称 数量 单位
1.1
司法查控系统 1 套
1.2
法院专网与协执单位专网双向数据同步系统 1 套
1.3
协执单位数据交换接口 2 套
1.4
与审判、执行业务系统的接口 1 套
1.5
与电子签章系统的接口 1 套
1.6
第 3 页 共 37 页
1 套 系统安装、调试、培训等系统
(2)硬件设备包括以下建设内容:
序号 名称 数量 单位
2.1 15 台
2.2 院对接,会议主机1套,4个手持式麦克风,4个鹅1 套
55寸液晶拼接屏单元,高3块*宽5块,含控制软件
(含支架,控制系统)。
会议音响扩音系统,含视频会议系统,能够实现与高
颈式话筒,2只主音箱,8只吸顶式麦克风。
中央集中控制系统,能够通过集中控制系统对大屏软
开关机、图像切换、灯光控制、音箱控制、电源控制2.3 1 套
等。
存储容灾备份系统能够实现12TB容量的备份,且能
够实现异地自动备份。
网络安全设备,含安全物理隔离网闸1台,路由交换
机1台,防火墙3台,WEB应用安全防火墙1台,2.5 1 批
数据库、操作系统软件等一批。
全彩室外大屏,P10全彩屏体约20平方米,含音箱
系统,屏体基础建设,空调通风系统,网络传输系统2.6 1 批
及电源供电系统。
2.4 1 套
第 4 页 共 37 页
2
项目业务需求描述
2.1 业务流程需求
司法查控系统包括司法查询、司法控制两种业务,业务流程大致如下:
(1)各级法院案件承办人(执行法官)需要查控时,通过查控系统提交网
上申请,填写被查控对象的相关信息及需要查控的协执单位,并提交领导审批;
(2)案件承办人所在法院的领导(执行局长)对查控申请进行网上审批(如
需要还可以提交院领导审批),审批通过后提交机要员盖章;
(3)机要员对领导审批通过的查控申请加盖电子签章,并发送给协执单位
(如需要也可以由案件承办人发送);
(4)协执单位接收法院提交给本单位的查控请求,根据查控要求进行内部
处理,然后将查控结果反馈给案件承办人(执行法官);
(5)案件承办人(执行法官)接收浏览协执单位的反馈结果,以便决定下
一步工作;
同时,系统也支持查询申请由各法院提交并上传中院执行指挥中心,由中院
执行指挥中心审查、审核,并由执行指挥中心的机要员签章后发送协作单位。
协作单位和执行指挥中心的数据交互模式包括:
(1)自动模式:通过Webservice服务实现数据的导出、导入。
(2)手工模式:通过系统手工录入或数据导出、导入。
第 5 页 共 37 页
2.2 系统功能需求
法院执行司法查控系统是法院之间、法院与协执单位之间沟通联络、信息传
输的平台,该平台系统功能主要包括被执行人财产的预查询、财产或人员查询申
请、财产或人员控制申请、查询及控制审批、盖章、协执单位处理、协执单位反
馈、查询统计、系统管理等业务功能。
2.2.1 查询申请
(1)预查询:通过被执行人姓名、证件号码在执行中心查控信息库中查询
该被执行人是否存在被查询的财产和控制信息;
(2)根据预查询结果填写查询申请表,并生成相应的协查通知书,并提交
审批;
(3)支持多个被执行人向多个协查单位提起查询;
(4)支持从法院执行信息管理系统中采集被执行人信息;
(5)支持外地法院委托本院进行财产查询;
(6)支持案件移交后无需人工干预自动发起查询申请。
2.2.2 控制申请
(1)预查询:通过被执行人姓名、证件号码在执行中心查控信息库中查询
该被执行人的财产和控制信息;
(2)根据预查询结果填写控制申请表,并生成相应的协查通知书,并提交
审批;
(3)支持被执行人的多种财产向相应的协查单位提起控制;
(4)支持从法院执行信息管理系统中采集被执行人信息;
(5)提起控制申请时,可以导入相关法律文书,也可由系统自动生成,文
书包括:相关裁定、协执、送达回证、电子证件。
第 6 页 共 37 页
2.2.3 查控审批
执行员提起的财产查询、控制及人员布控请求,通过预先定义好的流程提交
给领导审批,具体审批人由系统管理员预先进行授权,审批不通过的请求直接回
退给执行员。
2.2.4 盖章
经过领导审批通过的查控请求经过本院的机要员审核后,在自动生成的协助
查询通知书等相关文书上加盖电子印章,发送给协执单位处理。
2.2.5 反馈
各协执单位收到法院查控请求后,根据实际请求内容进行处理及反馈。协作
单位和执行指挥中心的反馈包括:
(1)自动模式:通过Webservice服务实现查控数据的申请导出、导入反馈。
(2)手工模式:通过手工录入或者数据文件的导出、导入。
2.2.6 统计分析
提供基于法院、当事人、案件的财产查询、财产控制、人员布控的发送、反
馈、超期反馈等分类统计功能。
法院可以对本院及辖区法院的查控情况进行统计,并允许钻取到具体记录,
但不允许查看反馈信息。
2.2.7 警示提醒
对各阶段各角待处理的事项需加强警示提醒功能,一登录查控系统后在主
页面给予警示提醒,二结合网上消息提醒,并加强法院及协执单位各角的交流。
2.1.8 通知公告
提供法院之间、法院与协执单位之间发送网上消息、网上公告功能。
公告由法院端发起,各协执单位端可以浏览网上公告信息。
网上消息可由法院或协执单位工作人员直接发起。
第 7 页 共 37 页
2.2.9系统管理
实现对系统用户部门及用户、协执单位及用户、系统角、用户权限、用户
证书、业务流程、文书模板等进行管理,监控系统运行日志。
2.3 数据交互信息需求
根据最高院下发的《关于建立和完善执行联动机制若干问题的意见》,司法
查控协执单位大致分为:公安、房管、国土、人行、商行、证券、工商、税务等
行业。项目本期实现与商业银行查询、冻结及划拨业务功能。
这些行业协助法院办理业务如下:
(1)公安户籍:查询被执行人户籍信息、下落。
(2)公安车辆:办理被执行人的车辆信息、查封、扣押和转移登记等。
(3)公安出入境:协助限制被执行人出境。
(4)机场布控:协助在机场、铁路等对被执行人布控。
(5)房管部门:
➢ 查询有关房屋权属登记、变更、抵押等情况,协助人民法院及时办理房
屋查封、预查封和轮候查封及转移登记手续。
➢ 被执行人正在办理房屋所有权转移登记等手续的,根据人民法院协助执
行通知书的要求,停止办理相关手续。
➢ 轮候查封的人民法院违法要求协助办理房屋登记手续的,依法不予办
理。
➢ 债权人持生效法律文书申请办理房屋转移登记手续的,依法予以办理。
协助人民法院查询有关工程项目的规划审批情况,向人民法院提供必要
的经批准的规划文件和规划图纸等资料。
➢ 被执行人正在申请办理涉案项目规划审批手续的,根据人民法院协助执
行通知书的要求,停止办理相关手续。
➢ 将房地产、建筑企业不依法履行生效法律文书义务的情况,记入房地产
第 8 页 共 37 页
和建筑市场信用档案,向社会披露有关信息。
(6)国土部门
➢ 及时查询有关土地使用权、探矿权、采矿权及相关权属等登记情况。
➢ 协助人民法院及时办理土地使用权、探矿权、采矿权等的查封、预查封
和轮候查封登记。
➢ 被执行人正在办理土地使用权、采矿权、探矿权等权属变更登记手续的,
根据人民法院协助执行通知书的要求,停止办理相关手续。
➢ 债权人持生效法律文书申请办理土地使用权变更登记的,依法予以办
理。
(7)银行部门
➢ 查询人民币银行结算账户管理系统中被执行人的账户信息。
➢ 将人民法院提供的被执行人不履行法律文书确定义务的情况纳入企业
和个人信用信息基础数据库。
➢ 各商业银行(由银行业监管部门监督)应积极协助人民法院。
➢ 查询被执行人的开户、存款情况,依法及时办理存款的冻结、轮候冻结
和扣划等事宜。
➢ 对被执行人申请贷款进行必要限制的规定,要求金融机构发放贷款时应
当查询企业和个人信用信息基础数据库,并将被执行人履行生效法律文
书确定义务的情况作为审批贷款时的考量因素。
➢ 对拒不履行生效法律文书义务的被执行人,涉及金融债权的,可以采取
不开新户、不发放新贷款、不办理对外支付等制裁措施。
(8)证券部门:查询、冻结、扣划证券和证券交易结算资金。
(9)工商部门
➢ 查询有关企业的设立、变更、注销登记等情况。
➢ 依照有关规定,协助人民法院办理被执行人持有的有限责任公司股权的
冻结、转让登记手续。
第 9 页 共 37 页
➢ 对申请注销登记的企业,严格执行清算制度,防止被执行人转移财产,
逃避执行。
➢ 逐步将不依法履行生效法律文书确定义务的被执行人录入企业信用分
类监管系统。
(10)税务部门
➢ 调查被执行人的财产情况,提供被执行人的纳税情况等相关信息。
➢ 根据人民法院协助执行通知书的要求,提供被执行人的退税账户、退税
金额及退税时间等情况。
➢ 被执行人不缴、少缴税款的,请求法院依照法定清偿顺序追缴税款,并
按照税款预算级次上缴国库。
除业务信息交互外,需提供获取法院法律文书、法官证件的接口,供协执单
位接收备案。
2.4 数据交互方式需求
根据实际需求,法院与协执单位的数据交互需提供自动及手工处理两种模
式。协执单位自动接收(简称“自动处理模式”)或手工下载(简称“手工处理
模式”)查询请求数据,经分析处理后调用反馈接口或手工导入查控系统,将处
理结果批量反馈各司法查询请求法院。
(1)自动处理模式
采取自动处理模式的协执单位,数据交互通过调用Web Service接口来实现,
对于数据交换过程中,请求数据命令、反馈结果等信息采用了XML的方式进行传
输;
(2)手工处理模式
手工处理模式通过司法查控系统的业务功能实现,采取手工处理模式的协执
单位,登录查控系统后系统提供“批量导出”功能,将各法院提起的司法查询请
求批量导出为.xml或.txt格式的文件,手工拷贝至各协执单位业务系统分析处
理后(分析处理部分的由各单位根据实际情况确定具体的实现方式)形成反
第 10 页 共 37 页
馈.xml或.txt文件,通过系统提供的“批量导入”功能上报反馈数据;
2.5 数据同步需求
数据同步系统实现物理隔离的“法院专网”和“协执单位专网”之间数据库
的数据同步。系统包括三个主要功能:系统设置,数据导出,数据导入。
➢ 系统设置:定义需要同步的数据范围,以表为同步的基本单位。
➢ 数据导出:根据用户选定的导出范围和条件,生成更新数据的文件,打
包后下载到客户端。
➢ 数据导入:根据用户选择的数据包,上传后解压,然后将数据导入对应
的表内。
2.6 与审判(执行)业务系统的整合需求
查控系统的案件及查控对象信息来源于审判(执行)业务系统,所以,要实
现全市法院的案件查控要求,必须通过全市各法院业务库或市数据中心库获取案
件及查控对象(当事人或被执行人)的基本信息,开发数据采集工具软件。并由
审判(执行)系统接收各协执单位的反馈信息。主要包括:
(1)查控申请的整合
根据办案需要,需实现对被查控对象全市范围内各协执单位的业务联动,便
于法官一次性向协执单位提起查询或控制申请,避免进入不同的系统带来的操作
不便。
(2)反馈信息查阅的整合
各协执单位对法院发出的查询、控制申请处理反馈后,要求发起人(办案法
官)可直接通过反馈信息页面直接查阅各协执单位完整的反馈结果,避免进入不
同的系统查询反馈结果。
2.7 电子签章集成要求
本项目系统涉及到与电子签章的整合,中标人应负责整合工作,投标报价应
包含项目的整合所需费用。
第 11 页 共 37 页
2.8液晶拼接大屏显示系统
随着信息技术的快速发展,黄冈市中级人民法院执行查控指挥中心对视频图像显示的要
求也越来越高,迫切希望借助目前最先进的大屏幕拼接显示技术,将各种监控系统的计算机
图文信息和视频信号等进行集中显示,构建一个高效便捷的视频信息交流平台,满足自身的
实时调度、会商、决策及信息反馈等需求。
根据指挥中心实际的使用要求和物理环境,计划采用一套3行*5列15块55寸的DID LCD
拼墙系统方案(Digital Intelligence Display,数字专业屏幕显示器),将国际最卓越的高清晰度
数码显示技术、DID LCD拼接技术、多屏图像处理技术、多路信号切换技术、网络技术、集中
控制技术等的应用集合为一体,使整套系统成为一个拥有高亮度、高清晰度、高智能化控制的
液晶大屏幕拼接显示系统。
整套系统的硬件、软件设计上已充分考虑到系统的安全性、可靠性、可维护性和可扩
展性,存储和处理能力满足远期扩展的要求。
2.8.1设计要求
本次项目建设必须遵循以下几个原则:
1、先进性原则:本次选用的液晶大屏幕显示单元不仅拥有优良的显示特性,如高亮度、
高对比度、高分辨率、宽视角、亮度及彩均匀,而且具备大尺寸、显示质量优异、单位面
积成本低、使用寿命长等特点,充分体现当今显示技术的发展水平,保证该系统具有较高的
先进性。
大屏幕拼接控制系统通过独特的图像拼接处理的技术,所组合的3行×5列的大屏幕能
够长期连续、安全稳定运行,绝不会导致图像损伤或失真。
2、可靠性原则
在系统设计时,关键部位选用了高可靠性设备,对于重要的控制节点采用最先进的高
新技术来保障。整个系统可以实现7×24小时、一年365天连续无故障工作,具有高可靠性、
高稳定性等特点。
3、经济性原则
合理的性价比是系统设计中应当考虑的重要内容。因此,所选用的设备在兼顾良好性
能的基础上也要考虑经济性,除考虑系统总体造价外,还应当考虑系统长期运行维护成本。
液晶拼接系统由于其系统稳定性高,所以整个系统运行期间维护费用很低。
4、可扩充性原则
随着技术的发展和需求的扩大,系统的扩充是必然的,因而在系统设计时充分考虑未
来系统扩充的可行性。拼接显示系统采用模块化设计,不仅可以实现用户的扩容需求,更能
实现前期设备的充分利用,充分保障了用户的前期投入。
第 12 页 共 37 页
5、可维护、管理性原则
从用户使用角度出发,充分考虑到系统设备的安装、配置、操作方便等需求,提供了
强大的系统管理手段,合理配置和调整系统负载、监视系统状态、控制系统稳定运行。
2.8.2系统组成
液晶大屏幕拼接显示墙由一套3(行)×5(列)55″(LED)超窄边液晶显示屏组成,尺
寸特性如下:
单屏大约尺寸:1215.3.0(W)×686.1(H)×118.0(D)(单位mm)
组合尺寸:(686.1mm×3)×(1215.3mm×5)
底座高度:实际高度根据用户现场确定
背后维护空间:建议不低于1000mm,实际空间根据用户现场以及拼墙高度确定。
2.8.3产品功能特性要求
本次要求液晶显示单元,采用超窄边面板,屏幕之间拼缝≤3.5mm。高亮度,500cd/m²,
直下式LED背光源,显示单元亮度更加均匀,无边界暗影现象。工业级设计,使用寿命远高
于普通家用液晶显示单元,可长达60000小时。屏幕内置拼接控制器,可将同源信号实现屏
幕的自拼接。选用的LCD液晶显示单元具有丰富的接口,可接收DVI,VGA,HDMI,YPbPr等各
种信号。支持多种控制方式。
直下式LED背光源,显示单元亮度更加均匀,无边界暗影现象;
物理分辨率高达1920*1080;
极高的显示分辨率,画面细腻,彩丰富;
高清晰度、高亮度、高域;
视角可达178°,趋近于水平;
显示面积大、体积小、重量轻;
更长的显示寿命;
多种选择拼接方式,能适应各种使用场所;
超薄窄边设计;
稳定运行寿命超长,维护成本低,可24小时持续工作;
智能风扇控温,环保静音;
挂架、支架、机柜等多种安装方式供用户选择;
金属外壳,防辐射、防磁场、防强电场干扰;
工作湿度:10%~85%,在恶劣环境下仍能正常使用。
2.8.4物理接口
第 13 页 共 37 页
定义 备注
POWER LED 电源指示灯,红待机,绿工作,橙风扇工作异常
HDMI HDMI输入
DVI-I 此接口为DVI-I输入接口,只有数字信号
DVI-OUT
此接口为DVI-I输出接口,只有数字信号,可选择将HDMI或DVI输入
信号环接输出
VGA模拟信号输入 VGA-I
VGA模拟信号环通输出 VGA-OUT
YPbPr信号输入,BC接口 Y,Pb,Pr
AV信号输入,BC接口 AV-I
AV信号环通输出,BC接口 AV-OUT
USB口,用于软件升级 USB
串口输入 RS232 I
串口环通输出 RS232 OUT
外接遥控器,3.5mm立体声音频座 IR JACK
ID地址编码器。前四位为垂直坐标BCD码,后四位为水平坐标BCD码 ID SW
2.8.5产品技术参数要求
型号 拼接显示器 55寸液晶拼接显示单元
对角线尺寸
(inch)
分辨率 1920x1080
面板技术 S-PVA
背光形式 LED直下式背光源
屏幕活动域 1209.6mm(W)x680.4mm(H)
55"
第 14 页 共 37 页
显示
点距 0.63mm
工作分辨率 1920x1080p(向下兼容)
彩 16.7M
彩饱和度 92%
对比度 3500:1
亮度 500cd/㎡
响应时间(平均) 8ms
视角 178°(水平)/178°(垂直)
寿命 ≥60,000hours
输入接口 VGA×1,DVI×1,Video×1,YPbPr×1,HDMI×1
接口 输出接口 VGA×1,DVI×1,Video×2
控制接口 RJ45 for RS-232(一入二出)
输入电压 AC 100-230V
电源
功耗 250W
物理特性 外形尺寸 约为:1215.3mm(W)x686.1mm(H)x118mm(D)
拼接尺寸 物理拼缝 3.5mm
运行环境
工作温度 0℃--40℃
工作湿度 10%--85%(无凝露)
2.8.6效果图
第 15 页 共 37 页
2.9系统安全防范系统
考虑到本次执行查控系统的安全性、稳定性,因此本次招标配置一台安全物理隔离网闸,
三台安全防火墙及一台WEB服务器防火墙,具体产品要求如下:
2.9.1安全物理隔离网闸
安全网闸应用模块
安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制
多个功能模块,以满足用户的不同需求,主要包括:
文件交换模块:实现不同安全等级网络间文件的安全交换。
数据库同步模块:通过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据
同步更新。
数据库访问模块:保证在内外网隔离的环境下实现各种类型数据库的访问应用。
FTP访问模块:保证在内外网隔离的环境下实现FTP的访问并上传下载数据。
邮件访问模块:保证在内外网隔离的环境下实现安全的邮件收发。
安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资源。
定制模块:支持IPV4和IPV6双协议栈,保证在内外网隔离的同时实现TCP/UDP协议的定制
交换。
SLL通道模块:通过SSL通道模块,能够实现认证、加密、授权。认证保证终端用户访问身
份的合法性、加密保证数据传输的安全性、授权保证终端用户访问业务系统的合法性、加之
网闸固有的协议转换、双通道结构等众多安全特性,最大程度保证高安全域网络的安全性。
Socks代理模块:通过Socks代理模块能够实现Socks4、Socks5等版本的代理,支持本地
用户认证、radius等认证方式。
基于标准TCP/UDP的流媒体应用模块
其它定制用户专有应用模块。
安全网闸功能要求:
访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对
允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
地址绑定
提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC 地址
进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理,支持
IPV4和IPV6双协议。
深度应用层过滤
第 16 页 共 37 页
安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止
外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。
安全隔离与信息交换系统的应用层过滤机制主要针对HTTP、FTP、数据库、邮件及文件交换
等应用,包括SQL过滤、URL过滤、关键字过滤、Cookie过滤、文件类型检查、病毒查杀及
入侵检测等操作。
SQL过滤
网闸可对用户访问的数据库服务器进行SQL语句、数据库名、数据库表操作权限等进行
黑白名单过滤,禁止用户针对数据库进行违规操作;
URL/域名过滤
网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访
问暴力、情、反动的主页或站点中的特定目录或文件。
黑/白名单关键字过滤
网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短
句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过
网闸传递。
COOKIE过滤
网闸可对COOKIE进行过滤。通过对COOKIE进行过滤,可以防止敏感信息的泄漏。同时
还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传
输二进制文件可能带来的病毒和敏感信息泄露等问题。
病毒及恶意代码检查
系统可内嵌杀病毒引擎,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问
模块防病毒功能。对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒
及Java/JavaScript/ActiveX等恶意代码,支持本地升级及远程升级。
入侵检测
可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描
类攻击等多种攻击类型进行实时检测并记录日志。
高安全的文件交换
安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自
对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转
发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网
闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
内置的数据库同步模块
第 17 页 共 37 页
安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,
所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用
户网络中部署专用服务器,对用户数据库不作任何改变。该模块支持Oracle和Sql Server
等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。在高速运行的基础上解
决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作
的需要。
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP
的网络服务端口,避免网络安全漏洞。
融合加密、认证、授权多安全技术于一身
网神网闸通过专用SSL通道客户端拨入,拨入链路通过SSL协议进行加密,认证通过后,
结合拨入终端应有的权限,对拨入用户进行授权,即为此终端用户应具有的访问权限,通过
授权防止方法用户的非法访问。认证保证终端用户访问身份的合法性、加密保证数据传输的
安全性、授权保证终端用户访问业务系统的合法性、加之网闸固有的协议转换、双通道结构
等众多安全特性,最大程度保证高安全域网络的安全性。
高可用设计
安全隔离与信息交换系统遵循高可用性设计,支持网络口、HA多种高可用实现模式,
最多支持32台设备进行负载均衡,全面解决设备故障与链路故障造成的业务中断,保证系
统7X24小时不间断服务。
轻松的管理维护
安全隔离与信息交换系统配备专门的管理端口,通过数字证书认证与管理信息的加密传
输实现网闸设备的集中管理。系统采用全中文的Web方式进行远程网络管理,支持通过IPV4
或者IPV6协议对网闸进行管理,界面友好,操作方便。系统管理员和审计员实现分权管理,
使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。
安全隔离与信息交换系统能够通过集中监管实现对多台网闸的实时监控,通过图形化的显示
界面实时显示各监控对象的运行情况,同时可结合用户自身的维护情况可自定义告警策略,
并通过多种告警方式通知系统管理人员,方便管理人员对设备的运行维护。
传输方向控制
安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可
信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可
控。在特殊应用环境中可实现数据的单向传送,以避免信息的泄漏。
协议分析能力
系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、FS、DS等多种应用层协议,可对
常见协议的命令和参数进行分析和过滤。
应用数据以“原始”的形态在内外主机模块中传递,数据包经过预处理、安全决策、RFC校
第 18 页 共 37 页
验、协议分析、数据提取、格式化等多个处理模块的检查,充分保证了交换信息内容的安全。
完善的安全审计
安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用
户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日
志、应用层内容检查日志等)。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。
日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog日志存储,可实现日志的
分级发送。
安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。主要方
式如下:
控制台方式:通过管理控制台可以实时监控日志告警信息。
Syslog:以Syslog方式向管理工作站发送告警信息。
:通过向管理员指定的帐号发送来发送报警信息。
强大的抗攻击能力
安全隔离与信息交换系统具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系
统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。
多样化的身份认证
安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证、
U-Key认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证以及多方式结合的双
因子认证。
本地认证
系统内置认证数据库提供本地的用户名、口令认证,支持HTTP/HTTPS方式实现认证信
息的获取。
U-Key认证
提供随机U-key,存储私钥以及数字证书,利用U-Key内置的公钥算法或根证书实现对
用户身份的认证;
数字证书认证
网闸支持数字证书认证,允许客户端通过HTTP连接向服务器发送访问请求。网闸可导
入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合
法性,还可依据用户身份属性判断其是否具有适当的访问权限。
RADIUS远程访问认证及LDAP认证
网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用
户访问。
双因子认证
网闸支持用户/密码+U-Key方式、用户/密码+数字证书方式的双因子认证,认证强度更
第 19 页 共 37 页
高,安全性更强;
负载均衡解决方案(附加要求)
安全隔离与信息交换系统支持负载均衡解决方案。网闸集可实现动态管理和维护,根
据实际响应时间制定优先响应策略,从而提高系统总体性能、优化流量管理、提高集性能,
保证系统正常运行的高可用性和高可靠性。如果访问量超出了网闸的响应能力,只需增加服
务器数目即可实现系统的平滑升级,无需第三方软件支持。
安全网闸设备参数要求:
功能指标要求
★内网:≥6个10/100/1000Base-T端口,2个SFP接口,1个Console口,2个USB口; 外
网:6个10/100/1000Base-T端口,2个SFP接口,1个Console口,2个USB口,带液晶显
示屏显示管理地址、CPU和内存的使用率等信息
★系统吞吐量:≥800Mbps;内部交换带宽:10Gbps
★内、外网分别具有独立的HA口,实现双机热备及负载均衡;内、外网分别具有独立的管
理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理
★采用基于linux内核的多核并行安全操作系统SecOS2,支持软硬件多核技术;支持双系
统冗余架构,★可通过WEB、console口进行主备系统切换,当主系统发生故障可切换至备
系统进行工作
★提供基于https的图形化安全管理,支持用户名/口令、数字证书、U-KEY等多种认证管
理方式;
支持用户名/密码+U-KEY、用户名/密码+数字证书多种双因子认证方式;
★支持带内管理,可通过业务口进行网闸管理工作;用户可自行选择是否启用带内管理功能;
支持管理员登录失败锁定次数、锁定时间和超时时间的设定
★支持配置管理,能够对单独模块及全部模块配置进行配置导入导出
具有系统补丁管理功能
支持设备诊断信息导出
支持许可证下载,方便维护管理
支持TP网络时间同步
提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等
提供设备运行状态检测、系统资源监控
支持默认路由、静态路由及基于源地址的策略路由功能
★支持IP/MAC地址绑定和自动探测支持对网络接口模式进行设定(支持网闸同一侧网络接
口桥模式设定或bonding设定)、MTU修改,进行灵活部署
支持默认路由、静态路由及基于源地址的策略路由功能。
公安部销售许可证(三级)
国家保密局涉密信息系统产品检测证书
★国家信息安全测评信息技术产品安全测评证书(千兆)EAL3+
第 20 页 共 37 页
★参与《军用网络安全隔离交换产品通用要求》标准编制,要求提供证明文件
★基于国产CPU的高性能安全隔离网关立项证书
国家应用安全联盟会员
2.9.2安全防火墙
产品描述
应用层转发延迟有效降低
防火墙采用单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术,使得整个数
据的处理,包括应用层数据的处理、入侵防护等高级功能,都在数据平面完成,不涉及数据
包的拷贝,进程切换等问题,同时数据的处理在整个转发阶段都使用同一个会话,实现数据
包在4-7层的高性能转发,有效降低应用层转发延迟。
独立的管理口实现与业务口分离
提供了MGT管理口,让用户的管理数据与业务数据分离,在业务数据量过大的情况下,
不会影响对防火墙的正常管理。同时,单独的管理口使用户可以严格限制连入管理防火墙的
方式,保障更加安全的管理防火墙。
管理员权限三权分立
第 21 页 共 37 页
防火墙针对管理员的角建立三权分立的管理员帐号机制,将超级用户特权集进行划分,
分别授予配置管理员、安全管理员和审计管理员。实现配置管理、安全管理和审计管理功能
的同时,也保证管理员权限的隔离。防止因为管理员权限过大所引起的安全风险,也保证已
经配置完成的访问控制策略不会出现未授权的修改,及出现未授权修改时可以保留相关审计
信息。
安全隔离的虚拟系统
防火墙支持通过虚拟系统功能,将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙
系统,每一个虚拟系统都可以为用户提供定制化的安全防护功能,并可配备独立的管理员账
号。在用户网络不断扩展时,通过虚拟系统功能不仅能有效降低用户网络的复杂度,还能提
高网络的灵活性。当这些相互隔离并独立运行的虚拟防火墙系统需要通讯时,可以通过防火
墙提供的虚拟接口实现,而不需要通过物理链路将它们进行连接。
IPv6核心功能保障6to4安全访问
防火墙支持IPv6路由、IPv6安全及AT64、DS64、6in4隧道等IPv6核心功能。不
仅支持全IPv6环境,同时,还支持IPv6环境通过隧道方式访问IPv4资源,IPv6环境下的
攻击防护、入侵防护、用户认证等安全功能。另一方面,得益于网神完全自主研发的AMP
+
架构与第三代SecOS操作系统的支撑,防火墙在IPv6性能上媲美IPv4性能。
高可用性功能支持多种网络环境
防火墙支持路由模式的HA和桥模式的HA。
路由模式,采用SGRP路由冗余备份协议,实现双主的路由负载均衡和主备的路由冗余备份
两种模式。在一台防火墙出现问题时,另外一台可以及时接管路由转发工作,向用户提供透
明的切换,提高网络服务质量。
透明模式下,支持通过STP和PVST的生成树协议完成桥模式的HA冗余备份和快速切换。
+
智能DS优化域名访问
防火墙支持智能DS功能,可以判断用户来自内网还是来自电信、联通等运营商,并
以此为依据返回最优的IP地址,实现内网用户通过服务器内网IP地址访问服务,电信用户
通过电信公网IP地址访问服务,联通用户通过联通公网IP地址访问服务。
地理位置识别(国内+国际)
防火墙增加了地理位置识别功能,用户可以将地理位置作为配置安全策略的一个属性。
通过地址位置识别用户可以了解到不同地区当前的网络使用情况,查看基于地理位置的流量
趋势等,从而针对不同的地理位置来调整防火墙策略,为用户的安全策略管理提供一个新的
第 22 页 共 37 页
控制角度。
全面完善的路由功能
防火墙提供了全面、完善的路由功能,不仅支持IPv4静态路由,还支持IPv6静态路由;
支持静态多播路由及动态多播路由;支持多种动态路由,如RIP、OSPF、BGP、RIPng、OSPFv3、
BGP6。扩大了防火墙工作在路由模式下时的网络适应能力及对IPv6网络的适应能力。
精确的多出口ISP路由智能选路
ISP路由功能主要为用户提供基于不同运营商的路由出口选择策略。常用环境为用户使
用多出口上网,并且多个出口对应着多个运营商。往往跨运营商访问服务的速度会稍慢一些,
因此我们希望如果目的地址是去往电信的,那我们就将该目的地址添加一条对应的静态路由
指向电信出口。但是运营商的地址范围通常过大,如果手工添加静态路由,对用户来说会是
一件非常麻烦且耗时的工作。
ISP路由智能选路功能提供了快速添加运营商路由的方法,同时支持在策略路由中引用
ISP路由。用户可以直接选用防火墙预设置的运营商地址信息,或者将运营商的地址范围写
成文本文档,导入到网神SecGate 3600防火墙SG系列中,为每一个运营商添加一条对应
出口的ISP路由即可。
对称路由保证来回路径一致
防火墙提供对称路由功能。用户可以通过启用接口的对称路由功能,实现用户从哪里进
来访问的数据,从哪里再返回出去。例如:用户内网对外提供一个http服务,同时用户申请
了联通和电信两个出口。当联通的用户从联通出口进来访问http服务时,对称路由功能可以
让服务器返回给用户的应答数据也从联通出口出去。当电信的用户从电信出口进来访问http
服务时,对称路由功能可以让服务器返回给用户的应答数据也从电信出口出去。保证数据来
回路径的一致性。
高适应性的路由负载均衡算法
防火墙支持在多出口的环境中根据用户实际需求,匹配多种方式的负载均衡,包括备份、
轮询、源地址哈希、源地址目的地址哈希、目的地址哈希、源地址轮询、最有链路带宽负载、
最优链路带宽备份、随机、流量均衡、时延负载、跳数负载十二种。可以实现基于权重的路
由负载、基于延迟的路由负载、基于会话的路由负载、基于流量的路由负载,满足用户各种
场景。
支持元组的安全策略
防火墙的安全策略功能是防火墙的核心功能。提供基于状态检测、基于TCP、UDP、
第 23 页 共 37 页
ICMP、其他协议的动态包过滤技术,同时能够控制不同安全域之间的数据转发。网神SecGate
3600防火墙SG系列的安全策略规则可以实现基于源安全域、目的安全域、源地址、目的
地址、地理位置、用户、服务、应用、时间等多种安全属性的组合,将用户感兴趣、需要进
行控制的数据流分离出来,同时配合拒绝或允许的处理行为,实现对IPv4数据及IPv6数据
通讯的管理。
支持解密SSL协议并对其数据进行应用层防护
防火墙支持对穿过防火墙的SSL协议进行解密,并对解密后的数据提供防护过滤,如攻
击防护、入侵检测、病毒防护、内容过滤等。同时,对于某些重要数据,不希望防火墙进行
解密,防火墙也应支持将指定的加密数据进行排除不解密。对SSL协议解密并进行过滤可以
防止通过SSL协议加密的攻击行为从防火墙绕过。
防火墙解密后的数据在过滤完毕后会再次通过SSL协议加密并发送,保持数据在传输的过程
中加密特性不变。
多种形式建立VP隧道/6in4隧道
防火墙支持多种形式建立VP隧道,覆盖网关到网关,客户端到网关。用户可以选择
通过PPTP/L2TP/GRE/IPSec/SSL协议建立VP,并支持L2TP/GRE over IPSec。
同时,防火墙支持IPv6网络到IPv4网络的多种6in4隧道,包括手工隧道、isatap、6to4隧
道,保证IPv6网络到IPv4网络的访问。
基于应用层的综合攻击防护功能
防火墙的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP地址扫描攻
击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段,将包括SY Flood、
ICMP Flood、UDP Food、IP Food、 ping of death、Teardrop、IP选项、TCP异常、Smurf、
Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中,使得用户通过启用并配置攻
击防护模块,可以有效的过滤并采取相应的措施阻止非正常报文流入用户内网,并对HTTP、
DS、DHCP协议提供应用层防护。另一方面,针对局域网多播广播、IP地址欺骗等也提供
了专门的防护。
由于常见的攻击方式掺杂了大量的组合式洪攻击,攻击者实际上是在消耗被攻击者的性
能资源,因此防火墙强大的性能支撑,也保证了在大量攻击消耗防火墙性能的时候,防火墙
不会成为用户网络中的瓶颈,给予了SecGate 3600防火墙SG系列攻击防护模块和其他模
块坚实的性能基础。
安全联动配合动态策略实现全网威胁拦截
第 24 页 共 37 页
防火墙支持与奇虎360公司的天擎系统、威胁情报系统进行联动。实现全网木马专项查
杀及未知威胁拦截功能。天擎系统通过收集终端应用程序特征,发送给防火墙进行木马专项
查杀及云查杀,拦截木马程序。威胁情报系统通过互联网未知威胁分析,将分析出的威胁数
据反馈给防火墙,由防火墙进行阻断。联动功能可以在防火墙生成动态策略,当相同攻击再
次进入防火墙时,会直接被动态策略拦截,而无需再次检测,大大提高了防火墙的效率并节
省出防火墙更多资源用于承载高级功能。
更加灵活、精准的入侵防御功能
防火墙,基于第三代SecOS操作系统,依托先进的多核全并行处理技术,大幅提高了
IPS的处理性能,能够轻松应对多样的混合型攻击。超过3000种的特征库可以检测并防范
针对HTTP、FTP、SMTP、IMAP、POP3、TELET、DS、RPC、MSSQL、ORACLE、
TP、ETBOIS、TFTP等多种协议的攻击,以保障网络的安全。完善的日志系统及监控
系统提供了基于不同维度的入侵事件记录分析,方便管理员掌握当前网络中的攻击信息,及
时做出正确的管理决策。同时,网神通过专业的特征库团队,分析和跟踪常用基础软件的漏
洞,以及常用应用系统的漏洞利用机理,定期生成攻击特征库下发到防火墙,保证IPS在防
范已知漏洞的基础上,也能对新出现的漏洞进行防范,确保了入侵防御功能的有效性。IPS
功能中针对每种攻击特征设定的精细执行动作,极大的提高了入侵防御策略的自由度和灵活
性,并且最大程度的降低了误识别率,从而有效避免了因配置导致的单点故障。
采用全新先进的多维动态特征异常检测引擎
防火墙采用全新先进的多维动态特征异常检测引擎,抛弃原有的异常行为特征码静态表
达的方式,将异常行为、恶意行为特征码通过多维度提炼,动态进行表达,使得特征表达更
加全面、精准、有效,极大提高了防火墙入侵防御系统的命中质量,解决了传统设备检测命
中率高,但是误报率同样高的问题。
搭载奇虎360QVM引擎的病毒检测功能
防火墙病毒检测功能,可对HTTP、FTP、SMTP、POP3、IMAP,五种协议进行检测,
搭载奇虎360 QVM引擎,无需频繁升级特征库,就能免疫90%以上的加壳和变种病毒。支
持查杀引擎,扩充病毒库至20亿,查杀速度是传统引擎10倍以上。能动态形成本地
文件黑白名单,并支持用户自定义。
多种认证方式下的web认证防护策略
防火墙的用户认证主要被设计用于增强从内网访问外网时的控制。用户认证功能对用户
的访问采用多层控制,通过对用户组的访问地址来源根据源安全域、目的安全域、源地址、
第 25 页 共 37 页
目的地址,匹配决定是否进行需要认证,如需认证根据认证服务器反馈的结果,进而来决定
是否允许用户的访问。
为了认证的安全,认证模式支持http,https,默认设置为关闭。为了用户使用方便,支
持认证页面端口的自定义和同一用户单个客户端登陆和多个客户端同时登陆情景设置,以及
证书设置,超时设置等。
基于用户行为的策略管控
用户网络已经搭建了成熟的认证体系,并且业务账号如邮件账号、FTP服务器访问账号
等都与用户认证的账号统一时,防火墙可以提供基于用户行为的策略管控,在认证用户通过
认证之后,防火墙会记录用户通过认证时的IP地址与用户名信息。勾选基于策略用户管控
功能,在SMTP、POP3、IMAP、FTP协议数据经过防火墙时,防火墙会查看用户是否为认
证过的用户,如果已认证,则检查用户名与用户认证时的用户名是否相同,防止越权、异常
访问的发生。
支持自定义新建、并发的会话限制功能
会话限制是防火墙基于安全域来限制并发及新建连接数的功能。目前最常见的两个应用
场景为:
限制P2P流量的并发连接数。通过限制单个IP的连接数上限,让使用P2P下载的用户
在达到阈值时也不会对其它用户造成影响。
限制来自外网或者内网的高新建高并发的攻击行为,保护连接表不被DoS攻击填满。
会话限制规则主要从安全域及IP地址上对连接数进行限制。安全域上限制的方向有三种类
型,分别为双向、出域、入域。IP地址上可以针对网段中的每一个IP设置并发和新建,也
可以对网段内的所有IP设置总计的并发和新建。配置会话限制功能之后,用户可以在会话
限制统计菜单看到命中规则的统计信息。按安全域的三个方向分为双向统计、出域统计、入
域统计。
动态QoS流量分配
动态QoS由带宽管理功能实现,可配置带宽限制策略。策略类型包括共享型和独享型,
用户优先级分为高、中、低,服务类型包括了应用层的多种协议。
用户优先级可选高、中、低三级。在用户都满足保证带宽情况下,高优先级用户将抢占中、
低优先级用户带宽,中优先级用户将抢占低优先级用户带宽。当网络中存在空闲带宽时,防
火墙会根据当前网络带宽分配情况,自动将空闲带宽分配给重要业务,保证重要业务的正常
访问。
第 26 页 共 37 页
基于内容过滤、URL过滤、网络行为的行为管控
防火墙提供内容过滤、URL过滤、网络行为管理功能,从而实现对用户的网络行为进
行管控。行为管控策略不仅支持精确到IP地址,更可精确到用户。
网络行为管理功能支持对HTTP、SMTP、POP3、IMAP、FTP、TELET协议的关键命
令、关键字内容进行管理,支持SMTP、POP3、IMAP邮件协议发件人、收件人的地址黑白
名单设置。
异常流量监控
异常流量监控,实时采集监控对象的流量指标,并以可视化的曲线方式展现给防火墙管
理员,帮助管理员定位网络流量异常问题。流量指标包括:TCP、UDP、ICMP和组播(广
播)流量。
通过长时间对历史数据的学习和计算,异常流量监控功能可以计算出整个网络或单个接
口的正常范围基线图,与实际流量对比,即可查看到网络中或单个接口上的异常流量,从而
协助管理员管理网络、定位问题。
全方位状态信息展示
防火墙为用户提供了全面的实时的状态信息展示,包括网络接口状态、接口信息状态、
系统信息状态、资源状态、并发连接数、入侵防御状态、应用流量排行榜。第一时间为管理
员修改防火墙配置策略,了解防火墙运行状态,掌握网络当前态势提供实时报告。更加人性
化和智能化的状态展示同时大大提供了状态信息的易用性。
安全防火墙设备参数要求:
功能描述
★配置6个10/100/1000M自适应电口,1个扩展板卡插槽,2个USB接口,1个Console口,
液晶屏
★整机吞吐率≥20G;并发连接数≥250万; 每秒新建连接数≥18万/秒。
802.3ad方式支持3种负载算法:根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP
端口组合(要求提供截图并加盖原厂公章)
支持使用命令对策略路由默认优先级进行调整(要求提供截图并加盖原厂公章)
支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离,以及各个虚系统防护策略的
可定制化(要求提供截图并加盖原厂公章),无数量限制
支持对应用层Flood攻击进行五种处理动作:警告、阻断、普通防护、增强防护及授权服务
器防护
支持双系统备份,且在系统切换中可实现配置的自动迁移
第 27 页 共 37 页
★可通过终端管理系统系统搜集分析用户终端产生流量的元组信息、终端进程信息及应用
的MD5信息等,统一传递至防火墙后再提交安全云中心,之后一方面由云中心对应用进行检
测识别,记录相关信息;另一方面扫描检测存在的已知或未知的病毒、0day漏洞、未知恶
意代码和APT攻击等信息。然后将所有信息传递至防火墙,动态生成对应的应用管控策略或
木马查杀策略(要求提供截图并加盖原厂公章)
★支持针对FTP、SMTP、POP3、IMAP协议防弱口令扫描功能,可以帮助用户记录或者拦截网
络中猜测FTP用户名密码,邮件用户名密码的行为。并支持生成动态策略,下发给防火墙,
再次受到相同攻击时,用户可以选择禁止还是允许口令猜测的行为(要求提供截图并加盖原
厂公章)
公安部计算机信息系统安全专业产品销售许可证(3级);
国家信息安全产品认证产品证书千兆(3级);
★多核并行SecOS操作系统软件著作权登记证书
★高性能IPv6防火墙系统计算机软件著作权登记证书
★高性能一体化智能安全处理引擎计算机软件著作权登记证书
国家信息安全测评信息技术产品安全测评证书(EAL3+级)
★“信息安全等级保护关键技术国家工程实验室”参建单位
★互联网安全研发中心和OWASP组织的应用安全联盟连续两年会员资格,并提供连续两年会
员编号和相关资质证明
WEB应用防火墙设备参数要求:
功能指标要求
第 28 页 共 37 页
★至少具备6个10/100/1000自适应电口,1个Console口,2个USB口
★至少2Gbps吞吐量,Web安全保护站点≥16个
★硬件具备液晶面板实时显示,实时统计系统CPU、内存、硬盘、并发连接数等信息,以及
系统时间,采用具有自主知识产权的SecOS操作系统,需要提供多核并行操作系统证书
★集成漏洞扫描模块,针对网站安全进行漏洞扫描,需具备SQL注入、XSS跨站脚本、信息
泄露等安全评估(提供相应截图并加盖原厂公章)
★与独立的一体化扫描器实时进行联动,根据扫描器发送的相关信息自动生成防护规则
★支持网站流量自动学习,无需人工干预,可以学习到网站域名、端口等详细信息并自动配
置
应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻
击、参数篡改攻击、缓冲区溢出攻击、弱口令攻击
支持HTTPS卸载和加壳 :即客户端到服务器端可以任意选择HTTPS和HTTP,强化应用层安
全
可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注入攻击;可以防御防盗链攻击、爬
虫防护,应能控制网络扫描行为;可以识别和阻断跨站脚本(XSS)注入式攻击
★能根据攻击状态进行学习,形成动态阻断列表,能根据阻断状态,动态建模(提供相应截
图并加盖原厂公章)
★应支持windows、liunx、IBM AIX三种以上操作系统的网页防篡改(提供相应截图并加盖
原厂公章),应支持网页防篡改客户端与Web应用防火墙进行实时联动,支持连线/断线状
态下的篡改检测(请提供相应截图并加盖原厂公章证明)
★支持云部署模式(提供截图),可以对互联网DS解析流量过滤;支持旁路部署模式(提
供截图),可以对镜像流量进行分析并监控告警
★支持双系统,支持系统回滚,避免单一系统故障而影响正常业务(需要提供截图)
★计算机信息系统安全专用产品销售许可证(Web应用防火墙)和(网页防篡改)两个
★计算机软件著作权登记证书(Web应用防火墙)和(网页防篡改)两个
信息技术产品安全测评证书
提供《国家保密局涉密系统集成甲级资质》;
★中国通信企业协会通信网络安全服务能力评定证书(风险评估乙级);
★中国通信企业协会通信网络安全服务能力评定证书(安全集成与设计乙级);
第 29 页 共 37 页
2.10数据存储容灾备份系统
一、建设意义
随着计算机的普及和信息技术的进步,特别是计算机网络的飞速发展,信息安全的重要
性日趋明显。但是作为信息安全的一个重要内容数据备份的重要性却往往被人们所忽视。只
要发生数据传输、数据存储和数据交换,就有可能产生系统失效、数据丢失或遭到破坏。如
果没有采取数据备份和数据恢复手段与措施,就会导致数据丢失或损毁,给数据中心造成的
损失是无法弥补与估量的。
黄冈市中级人民法院原有数据中心存储备份系统容量已经无法满足本次执行查核系统
的数据备份。因此需另行建设一套容量不低于12T的存储备份系统。
二、常规存储面临的灾难事故风险
1、存储介质风险:,包括存储和服务器硬盘,设备老化,影响数据安全,发生概率较
高。
2、应用服务器风险:服务器硬件故障,影响应用业务间断,发生概率比较高。
3、逻辑错误风险:受人为误操作,病毒,升级等因素。影响数据和应用,发生概率非
常高。
4、 机房环境风险:机房断点,异常电压,灰尘,气温等,影响数据和应用。
5、自然灾害风险:地震、火灾、动乱等发生将是彻底灾难事故。影响数据和应用。
如果不能对风险采取有效治理,一旦数据由于上述某种原因丢失,就有可能造成整个执
行查核系统的瘫痪、数据丢失,最终导致执行查核系统形成虚建。
三、法院存储系统现状
黄冈市中级人民法院地处湖北之东,下设10个基层法院1个基础法庭。随着“数字法
院”的建设发展,执行查核业务应用系统的新建,使原有数据中心机房建设的存储备份系统
已无法满足执行查核系统的基础应用数据及日常查核数据建设要求。
备份数据的主要类型:
1、日常材料的扫描件;
2、应用服务器操作系统;
3、服务器业务运行产生的文件;
4、应用模块产生的业务数据,数据库等;
由于各种环境因素和升级问题,法院系统可能会出现故障。随着硬件使用逐渐老化,应
用程序故障等其他问题,会导致系统时常停顿。保障这些业务系统不间断运行,需要构建一
套能够及时恢复故障设备,应用高可用性保障系统。
四、方案设计要求
(1)异地容灾:
第 30 页 共 37 页
方案设计需考虑备份的数据往往会因为非人为操作错误外的其他因素所影响而导致毁
坏,如地震、火灾、丢失等。因此必须在不同的地点建立备份系统。
(2)关键性能指标:
关键服务器(RPO、RTO)接近5分钟,部分设备为1-2小时。
市中级人民法院到县法院(含龙感湖法庭)为10MB/S的带宽下,与各执行核查单位则
通过互联网传输,全部增量数据1小时内完成。
后期中院与各县级人民法院白天需要传输业务数据,增量数据同步夜间完成。
(3) 性价比:
节省备份存储空间,备份主机,双机服务器,双机软件授权,操作系统授权,应用程序
授权成本。一台设备提供多台台设备数据实时备份,可多台设备双机接管功能,性价比非常
高。
(4)适应性:
方案设计不需要增加配置任何外部设备,和修改任何网络环境,方案适应性非常强,不
需要对现有环境配置。
产品简单、易用能大幅度减轻管理人员工作量,节约人力及资源成本。
五、方案总体介绍
目前所有产品只能解决一种容灾。数腾应用与数据持续保护平台CDAP是创新革命性产
品,采用“应用虚拟化迁移技术”。同时具备CDP (Continuous Data Protection )持续
数据保护 和 CAP(Continuous Application Protection)持续应用保护一体化的产品。数
腾应用与数据持续保护平台CDAP是“轻量化容灾”方案,不改变任何架构,设备即插即用,
易部署。以满足用户对可靠性、可用性、易管理性和经济性的需求。该方案不会影响法院现
有应用的性能。
我们按照中心应用、数据双保障;市、县法院本地备份;异地备份架构介绍应用容灾及
数据保障解决方案。实现道孚县人民法院系统异地容灾备份的建设。
(1)总体方案设计与拓扑图
第 31 页 共 37 页
(2)县法院本地备份
根据需求,黄冈市中级人民法院可在本地使用实时备份软件进行本地备份。也可将各县
法院应用系统数据和操作系统准实时备份到中院本地服务器,同时也可将中院的执行查核系
统数据备份至县级存储备份系统中。
方案解决问题
1.本地分钟级准实时备份,最大减少数据丢失概率;
2.本地备份解决本地数据快速恢复需求,每次恢复数据和系统不需要从市中心恢复数
据;
3.备份文件采用虚拟化VMDK兼容格式,数据恢复和数据迁移;
4.支持非结构化数据、数据库、操作系统、一次性完整备份,快速恢复,恢复即可用;
(3)县级法院到市级中院数据异地容灾
第 32 页 共 37 页
黄冈中院本地存储备份异地容灾,带宽仅有10Mbps宽带相连,且白天需要传输业务数
据,将法院的重要数据备份至本地系统每天晚20时将数据同步至数据中心。采用备份软件
中BLOCK数据同步复制模块,将本地实时备份数据增量字节级变化量复制到中院容灾中心。
(4) 设备配置清单
硬件设备 数量 描述
★ 设备具有国家版权局计算机软件著作权证书
★ 2U 19’’标准机架式规格,本次要求不低于12TB存储容量,
每设备至少提供12磁盘槽位,同时支持SAS/SATA硬盘,最高
支持不低于124块硬盘
数据备份存储一
体机 1台
(含软件)
★ 内置硬件RAID校验处理,可实现RAID0/1/3/5/6等配置
★ 配置不低于8GB DDR3缓存,最高可达384GB缓存扩展
★ 一体化备份恢复设备,无需分别购买备份服务器、备份软件、
磁带库/磁带机等其他组件
★ 同时支持windows、linux实时备份及快照、CDP等备份
★ 具备实时复制功能,I/O级数据同步,源端数据一旦发生变
化,备份端能实时同步,可实现秒级IPO指标。
★ 提供快照、CDP连续快照数据备份机制。最随时手动创建快
第 33 页 共 37 页
照或设定策略自动化创建CDP快照,可实现不低10分钟/次的
密集数据保护。快照创建时间不超过10秒。
★ 支持不低于1024个增量快照。
★ 提供回滚以及SA映射等数据验证机制,可在设备上便捷挂
载快照实现快照信息的查看、访问、验证;支持异地备份存储
功能;
★ 高速数据恢复,可通过SA映射秒级恢复历史数据并保证数
据可用性。提供极高的RTO指标,可在10秒钟以内恢复全盘数
据。
★ 提供SA映射、网络拷贝、离线光盘远程读取等多种数据恢
复方式,确保业务高可用,数据恢复的便捷性、完整性。
★ 同时支持iSCSI SA;AS和FC SA;AS设备可作为应急存
储设备,为SA网络中任意主机分配存储空间使用。
★ 全中文图形界面,轻松配置管理。提供原厂项目授权书和三
年原厂7*24小时现场服务承诺函
六、产品特点
(1) 产品技术原理
“应用与数据持续保护平台CDAP”采用CDP技术和应用“应用虚拟化迁移技术”。“应
用与数据持续保护平台CDAP”CDP技术是采用时间间隔为秒到分钟或系统遵循性能自适应自
动调整间隔,而非毫秒级。实现卷实时复制。备份原理如下:
磁盘卷做CDP镜像,就类似在系统之外对数据系统做一个RAID1的保护;
镜像目标存储是虚拟磁盘文件;
数腾容灾平台对虚拟磁盘定时快照,最大支持256个快照;
容灾平台可以将数据和应用恢复到任何一个快照点。
CDP镜像过程已经实现“应用虚拟化”过程,将应用系统虚拟化可启动虚拟机文件,当
物理机出现故障,可以快速配置虚拟机启动接管应用。
容灾代理程序可以判断源设备主机心态状态,可以通过报警信息提醒,启动虚拟化平台
虚拟化主机。虚拟化平台主机是实时和原设备保持一致性同步。实时备份过程已经将源系统
硬件抽象化,备份系统与硬件无关。 出现故障能在5-15分钟内完全启动源系统主机,接管
原设备所有应用。
(2)基于I/O底层CDP - 实时数据保护
基于秒级颗粒的历史快照恢复功能,可使数据轻松回到故障前的几秒;
实时备份,无备份窗口,不消耗服务器主机资源。
第 34 页 共 37 页
基于字节级变化量复制,是传统备份2-10倍备份和恢复速度。
采用虚拟磁盘格式存储,对卷中实际空间数据,镜像并不复制空闲空间。
(3)支持持续应用保护(CAP)-保护业务不间断
一台容灾平台设备可以最多接管25台服务器应用保护需求。
采用虚拟机来接管容灾备份,容灾平台实现与硬件设备无关。
产品部署架构简单,容灾平台即插即用,无需改变设备和网络环境。
不仅支持服务硬件容错,还能够对应用逻辑错误实现应用回滚。
(4)恢复立即可用 - 快速恢复故障设备
一次性完整的恢复系统、应用及数据,无需重新安装和配置应用;
容灾平台中的虚拟磁盘通过V2P恢复模式,数据恢复后立即可用。
操作系统,应用程序,中间件,数据库,一次性完整备份。
(5)兼容性和完整性 - 保障数据完整性
秒级颗粒度的快照备份,保证数据完整性,一致性,恢复数据更准确;
不限制服务器存储器品牌和型号是否匹配;
支持业务广泛,Windows、Linux;Oracle、SQL Server、Exchange等。
支持一对多的异地容灾,不影响生产应用系统性能;
支持物理服务器容灾,同时支持虚拟化平台容灾(支持所有虚拟化平台)
无需对生产架构进行更改,成本低;
(6)即时演练 - 保证备份准确可用
备份演练已不再是一个难题,无需第三套设备和环境,即刻演练;
虚拟磁盘文件通过虚拟机挂载启动即可对比系统、应用、数据是否有效;
快速有效的演练确保备份数据的一致性。
(7)虚拟化迁移工具
新业务应用很多采用集虚拟化,例如刀片服务器虚拟化方案。但是从历史服务器迁移
到虚拟化设备是一个很大挑战。数腾提供一个高效的迁移工具,可以实现各种虚拟化迁移功
能。
2.11单兵执行系统(缺失)
第 35 页 共 37 页
3、
项目技术要求
(1)技术方案设计
投标人应根据业务需求、功能需求以及协执单位反馈要求等提出全市法院司
法查控总体解决方案。对法院端、协执单位端系统的业务架构、技术架构、部署
架构、系统功能、运行环境等进行全面设计。
(2)流程可定义
鉴于全市法院内部管理模式的特点,系统应提供流程重定义机制适应不同法
院内部查询申请、控制申请的审批流程;
(3)安全性要求
系统必须支持集成电子签章,以确保应用系统的安全。同时,统计分析时可
以对本院及辖区法院的查控情况进行统计,并可钻取到具体记录,但不允许查看
反馈信息。
(4)技术架构要求:系统应采用J2EE技术架构。
(5)运行环境要求
①客户端:IE7.0或以上;操作系统和环境主要使用 Microsoft Windows
2000/XP/7中文版操作系统;要求兼容Firefox等开源项目浏览器。
②服务器操作系统: Windows Server 2003或以上、Linux或Unix系统;
③WEB应用服务器:须支持Weblogic、Websphere,Tomcat等应用服务器中
间件。
(6)性能要求:系统应该满足100用户并发操作时,响应时间小于关于3秒。
(7)全市查控业务联动要求
实现全市法院用户以统一的界面进行查控业务的提起和浏览反馈结果。
(8)与审判业务系统整合要求
实现与审判执行业务系统的整合,共享案件及被执行人等相关信息,并可通
过审判执行业务系统发起查控申请、查阅反馈结果信息,方便用户使用。
第 36 页 共 37 页
(9)数据交互规范需求
需制定并提供与各协执单位间数据交互规范,便于数据的交互对接。
(10)产品成熟度要求
投标人提供的司法查控系统应具有一定的成熟度。
第 37 页 共 37 页
本文发布于:2023-05-22 13:02:16,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/falv/fa/78/94361.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
