公安部应用系统日志安全监测系统

公安部应用系统日志安全监测系统

项目预公告

1 建设任务

本项目主要包括以下建设任务：

1、设计研发公安部应用系统日志安全监测系统。实现对部级多个重要应用系统日志数据

的采集、存储与分析处理；可以对含有关键字的日志进行预警；能够通过级联功能对省、市

日志安全监测系统的日志采集、运行状态、数据流量等实现集中监管以及跨省查询等业务。

2、完成对应用系统1、应用系统2、应用系统3、应用系统4、应用系统5等主要应用系

统的日志功能改造，便于日志安全监测系统对上述应用系统的日志采集、监测等。

3、建立接口标准规范。根据公安应用系统日志监测的需求，建立应用系统日志监测规范

和接口标准，明确应用系统日志的范围、日志监测系统对应用系统日志的采集、存储和处理

以及日志系统级联等内容。

2 建设原则

2.1

规范化

在系统建设和改造中，必须遵循公安部相关工作意见和规范进行。

2.2

安全性

在公安网络环境下，实现日志安全监测系统的安全存储、授权访问和安全管理。

2.3

可靠性

在底层形成应用系统日志的有效采集和整合，满足对关注对象的准确高效查询和统计分

析。

2.4

高性能

系统查询具有短时响应能力，能够实现先返回先显示，以提高综合性能表现。

2.5

扩展性

系统建设在数据规模、应用整合范围、审计深度等方面需要形成开放的、可扩展架构，

尤其要考虑与省、市系统进行级联。

3 需求分析

对应用系统日志进行有效的采集、存储、分析和审计，获取有价值的信息，建立日志安

全监测系统总体上需要满足：

3.1

系统架构

系统自上而下，依次为应用层，服务层，数据层和采集层。

应用层：提供日志安全监测可以通过界面完成的基础功能，主要包括统计分析、报表管理、关键字以

及用户权限管理等。

服务层：提供Web服务、数据挖掘、系统级联等基础服务。

数据层：主要是提供关系型数据库和全文数据库以及日志安全监测系统自身日志和关键字的数据处理

和管理等。

采集层：采集各应用系统日志信息以及级联监管信息等。

3.2

系统部署

在数据采集层部署PC服务器，全部用于采集抽取各应用系统日志信息。在数据层部署

小型机作为数据库服务器和磁盘阵列，其中小型机作为全文数据库，并向上层应用提供数据

服务；小型机作为原始关系型数据库存储采集来的各应用系统日志信息；原始数据和历史全

文数据存入磁盘阵列中进行备份。在应用层部署应用服务器，通过web服务方式提供各应用

功能。

3.3

功能要求

3.3.1

日志采集与存储

1、日志种类

2、日志采集

3、抽样分析

4、日志的存储

5、日志存留时间

6、日志文件传输

7、日志采集接口

3.3.2

日志查询与统计

1、查询检索要求：本系统的查询、统计和分析可以通过对关系型数据库操作完成，也可通过全文库

实现快速查询和数据挖掘。

本地检索能够人工执行，或以自动任务方式计划执行，并自动生成相关统计，统计数据值能够按预设

的阈值提供提示、通知等预警。

2、查询日志字段

3、一站式查询服务

4、远程分布式查询

5、查询结果分类显示，对于查询结果，要求系统向用户提供分类统计功能。

6、统计功能

3.3.3

系统管理

1、系统登录

2、用户和授权管理

3、系统自身审计。

4、日志核查接口

3.3.4

关键字管理

（略）。

3.3.5

系统级联

实现系统自身的紧耦合级联功能，提供可扩展的级联接口，实现对省、市级日志安全监测系统的监管。

3.3.6

其他功能

1、数据可信性检测

2、分布式处理。支持分布式存储、支持分布式查询、处理；

3、其他功能

支持日志采集、存储和web访问的负载均衡；

支持多任务调度管理；

支持深度数据挖掘。

4、异常访问行为自动检测

监测登录时间异常、监测登录地点异常、监测访问行为异常

5、体用户行为分析

访问意图分析：将用户的访问历史序列化，将访问同一类敏感信息或具有相似行为模式的用户聚合到

一起，发现规律，及时发现异常人员。

3.4

性能要求

主要性能指标包括：

 多线程日志抽取效率：实际网络环境下，每秒采集日志800条以上。

 数据格式化入库效率：单连接条件下，将抽取的关系型数据库日志入库，然后转换成全文检索数

据库格式并入库，每秒处理1000条以上。

 全文检索数据库膨胀系数：相同条目日志存储量条件下（纯文本），全文检索数据库的大小不能

大于原关系型数据库大小的150%。

 检索查询时间：5000万条数据条件下，本地数据检索查询返回小于1秒，远程数据检索查询平均

小于5秒，最慢不超过60秒。

3.5

运维日志监测

建立应用系统日志监测系统可以从应用层监控应用系统的访问情况，但对于各设备的运维日志缺乏采

集和分析。本项采用通用日志审计设备实现实时不间断地采集用户网络中的运维日志信息，并将这些信息

汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网

的整体安全运行态势，实现全生命周期的日志管理。

4 项目进度

 第一阶段（项目实施阶段）：合同签订生效后3个月内，完成软件开发和测试工作，完成软硬件

部署、联调、软件功能改进等工作。

 第二阶段（项目验收阶段）：项目实施阶段完成后1个月内，项目初验，通过试运行后，完成验

收等相关工作。

5 项目实施及技术服务要求

5.1

项目的实施要求

5.1.1项目管理

按照项目管理规范和金盾工程项目管理办法，制定项目管理方案，由公安部科技信息化局人员组成项

目工程组，负责项目实施管理。中标单位要严格按照工程规范进行实施，并提供详细的实施方案。依据方

案，组织人员、实施部署、测试验收等。

项目过程接受金盾办及相关监督、财务、审计部门的监督和审计。

5.1.2项目文档

建立全过程文档管理制度，以确保工程质量和项目过程可审计，由中标方和我方共同确定在各个阶段

必须提交的所有文档目录，以及相应的文档模板、文档承办和审查方式。

需要在不同阶段提交以下文档:合同书、培训计划、技术服务方案、项目人员及组织结构图、项目实

施进度表、实施方案、到货验收记录表、系统安装配置文档、用户手册、单点竣工确认书、现场培训回执、

工程日志、工作报告及总结、项目例会记要、试运行报告、运维记录、测试方案、测试报告、验收报告、

项目总结报告等。

所有项目文档统一存档，以备查阅。

5.1.3实施部署

必须严格按照进度安排进行实施部署。提供足够的人员保证，能同时对4省以上单位进行实施，确保

进度。

针对每个省级单位进行部署时，根据实际网络情况，制订实施方案，方案需经我方审核方可执行。

实施过程中，严格遵守机房管理及相关制度，尽量避免网络中断。

5.1.4项目培训

培训方式分为现场培训和集中培训。

现场安全培训由中标方在实施现场进行，包括产品的安装、调试、使用，相关配套软件的安装、使用

及维护培训。培训对象为公安部安全管理员。培训涉及的全部费用由中标方提供。

集中培训在系统初步验收之后进行，集中各部、省分管领导和安全管理员进行日志安全监测分析等的

培训。培训计划、教材、时间、地点、人员由中标方与我方协商确定，培训由中标方负责统一组织。培训

对象为部、省分管领导和安全管理员。

5.2技术服务指标要求

5.2.1质保期技术服务

1、质保期：软硬件安装调试后验收合格之日起累计五年。

2、质保期内提供原厂商免费更换、维修、升级、现场支持、电话支持、安全服务等。

3、提供7×24技术支持服务，2小时响应，4小时到现场，8小时提供备机服务。

4、提供详细的技术服务方案，作为合同一部分，并依照执行。

5.2.2质保期后技术服务

1、提供更换、维修、现场支持、电话支持等服务。

2、提供产品技术咨询、协助排查故障、打补丁等工作。

3、提供7×24技术支持服务，2小时响应，4小时到现场，8小时提供备机服务。

4、质保期后的服务内容、费用需在应答书中说明，作为评标重要指标之一。

6 项目招标方案及投标要求

6.1

投标单位资质要求

1、符合《中华人民共和国政府采购法》第二十二条的规定；

2、符合《财政部关于信息系统建设项目采购有关问题的通知》（财库【2011】59号文）的规定；

3、投标产品不采用进口产品，含有或使用了第三方软件的，必须提供正版软件授权；

4、具有ISO9001质量管理体系认证；

5、具有工信部颁发的计算机信息系统集成三级以上资质；

6、不接受联合体投标。

6.2

投标方应答要求

投标方应充分理解投标文件中技术条款等内容的要求，并在此基础上完成项目投标方案的编写，投标

方案应包括以下内容：

1、要求根据公安部的现状，按照技术要求提出合理、有效且切实可行的技术方案、时间

进度、部署计划等，并以附件形式作为合同组成部分。

2、对方案中软硬件的部署和配置要有详细说明，并提供配置清单，包括设备名称、版本

号、配置、数量、单价、总价。

3、投标方的应答书中，要求对本说明书所提出各项要求进行逐条逐项答复、说明和解释，

首先对实现或满足程度明确做出“满足”、“不满足”、“部分满足”等应答，然后做出具体、

详细的说明。

4、安装调试、五年的技术服务、产品的升级服务及培训不得收取费用。

5、应明确对系统的售后服务内容，并以附件形式作为合同组成部分。保证7*24小时提供

服务，在设备出现故障时，2小时内响应，4小时内排出故障，8小时内提供备机，应能提供升

级服务，保证至少每周升级一次，以确保设备、软件的正常使用。

6、提供售后服务方案，提供技术人员常驻甲方工作地点进行系统维护，并以附件形式作

为合同组成部分。

7、提供用户培训计划，包括培训方式、时间、地点、内容等。

8、提供公司的技术支持材料以及经验证明材料。

9、投标方必须能够按照功能要求和期限完成工程并予以书面保证。

10、本项目的所有软件开发产品的知识产权归公安部信息中心所有，在公安网内的软件

部署不受任何限制。

11、投标人必须与公安部签署《保密协议》。

7 项目验收

验收分初验和终验两个阶段，分别由项目责任单位和金盾办组织实施。系统进入试运行

阶段初步验收结束后，系统稳定运行6个月后，由中标方提出书面终验申请，经我方同意后，

组织进行测试和验收。验收不合格的，责其整改，并重新提出验收申请。终验采取会议集中

验收的方式，按《公安部机关金盾工程项目验收办法》及有关规定执行。终验前，应通过金

盾办授权认可的检测机构进行第三方测试，测试费用由项目中标单位承担。

8 项目明细

8.1

设备明细

序号 设备名称 性能指标

4颗Intel 4核CPU，主频2.4GHz以上，32G内存/SAS/HS/300G

硬盘*4/SAS卡 支持RAID0、1、5/冗余电源/4千兆以太网卡/2U1 服务器

机架式服务器/含正版windows 2008 server 64位操作系统。

CPU采用RSIC或EPIC架构；每台CPU≥8C，主频3.0GHz以上；

内存≥32G；SAS硬盘≥300G*4，支持RAID 0/1/5；4块光纤网卡；

1台RW DVD；2块HBA卡。1台磁带机；冗余电源；冗余风扇；支

持热插拔；主机提供5年原厂7x24小时服务，5年硬件保修服务；

支持主流商业UIX系统；须有原厂商授权的技术支持；产品必须

在部、省两级的大型项目中有应用成功案例。

2 服务器

3 存储磁盘阵列

80块300G光纤硬盘，15000转硬盘，高速缓存16G，4个硬盘通

道，单机磁盘数量大于120个，双冗余电源，8个主机通道，支

持多操作系统，支持RAID 0，1，5（raid 3+1），原厂服务5年，

提供介质保留服务

光纤交换机 4

千兆交换机 5

最大支持24个8Gbps/4GbpsFC端口，激活8端口，原厂服务5

年。

24口以上千兆以太网交换机,至少8个光纤端口(含8个多模LC

光纤模块)、8个电口

6 日志审计设备

标准机架设备，双硬件产品（引擎和数据中心），千兆设备，内

部存储2TB，2千兆监听接口，2千兆以太网口，光电组合最大并

发80万，能够采集各种不同厂商的安全设备、网络设备、主机、

操作系统、数据库访问及操作的日志，通过Syslog、SMP Trap、

FTP、OPSEC LEA、ETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service

等协议进行采集。

数据采集模块

统一接口模块,须提供接口标准

数据处理模块

日志安全监测

软件

基础服务模块

可信检测模块

系统级联模块

关键字管理模块

系统管理模块

7

8 数据库软件 关系型数据库

9 数据库软件 全文检索数据库

10 培训费 80人，会议为期3天

11 集成费

12 第三方检测费

13 日志功能改造 5个应用系统日志功能改造