公安信息网边界接入平台系统建设和检测项目建设方案—-毕业论文设计

韶关市公安信息网边界接入平台系统建设和检测项目
建设方案
一、项目概述
本项目为市公安边界接入平台，包括：
一是构建市级边界接入平台。

按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。

二是建设边界接入平台监控和管理系统。

按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求，建设边界接入平台的集中监控和审计系统。

二、项目内容
根据接入对象不同，边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。

三、技术要求
3.1基本技术要求
1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界
接入安全规范》要求；
2)平台安全体系满足三重防护体系和两个基础设施的安全要求；
3)平台集中监控与审计系统支持部/省/市三级接入平台体系；
4)平台的关键设备：可信边界安全网关、数据交换系统、集中监
管与审计系统通过公安部指定的公安部等级评估保护中心的权
威检测，并经公安部同意在全国公安信息通信网边界接入平台
建设中广泛使用。

边界接入平台其他产品也应是获得公安部销
售许可的产品。

3.2功能要求
1)投标人必须严格按照公安部关于安全接入平台建设的有关文件
《公安信息通信网边界接入平台安全规范》的边界接入平台要
求实施项目建设，并负责将所有设备按照公安部对边界接入平
台的建设要求进行项目集成。

2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业
务（社会企事业单位接入、党政军机关接入、公安驻地外接入）
完整功能的平台，外部网络接入业务上，需覆盖包括社会企事
业单位接入、党政军机关接入和公安驻外地接入等各种业务的
安全接入。

3)可信边界安全网关实现用户身份认证，与公安PKI/PMI系统同
一厂商，支持证书链认证，支持证书撤销列表（CRL）下载、验
证，保证接入用户身份的合法性；
4)可信边界安全网关实现设备认证，依据设备注册登记信息对通
过专线、VPDN拨号等各种线路方式接入的终端设备进行认证，保证接入设备的合法性；
5)可信边界安全网关可以根据边界接入的需要，设置角色，指定
相应的资源访问权限，防止非授权访问和越权访问；
6)可信边界安全网关基于角色、权限分配，设置细粒度访问控制
策略，达到非法用户不能访问，合法用户不能越权访问的目的；
7)可信边界安全网关实现传输保护，与客户端之间使用SSL协议
对通信过程进行加密和完整性保护，保证数据传输的安全性；
8)数据交换系统可实现不同类型文件、数据库间的同步和交换，
如Oracle 数据库、SQL Server数据库、DB2、SYBASE等，能够设置一对多数据同步,多对多数据同步，支持全表双向同步.
支持数据库增删改同步。

9)数据交换系统业务扩展性强，接入新的前置业务时，只需在数
据交换系统上作适当的配置即可实现新业务的数据交换，且不需要增加投资。

源目标数据库表结构一致情况下自动快速匹配，减少配置难度。

10)数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检
查。

内容检查必须能够根据预先定义的规则进行内容过滤检查；
病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库；格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、
不依赖扩展名文件格式检查。

11)数据交换系统应支持多业务复用：必须支持多业务接入后,各业
务之间不冲突,单独启停其他业务不会影响正常业务.底层通道独立.
12)数据交换行为可回溯：数据交换行为可追溯包括:数据来源,交
换时间,是否授权,交换内容,交换成功等.
13)数据交换的文件交换支持单向双向文件同步,支持各种常见文
件类型,支持不同操作系统下的文件同步,传输文件大小无限制.
14)数据交换必须支持单向的授权访问功能；支持TCP/UDP协议代
理,同时也用该支持常见协议代理,代理需做授权认证.
15)集中监管与审计系统提供接入平台注册管理功能，包含平台信
息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。

16)集中监管与审计系统提供流量监测，能够监测整个平台以及平
台内部各个链路和业务的流量信息。

17)集中监管与审计系统提供在线用户统计分析，用户行为审计，
业务应用审计，设备安全审计，异常行为审计，系统备份恢复功能，日志收集和导出功能和集中管理等功能。

18)平台信息统计分析能够对平台本身进行相关信息统计和分析，
包括设备运行状况，负载情况。

19)实现与公安信息网络运行管理系统对接。

内置集成级联上报功
能。

3.3安全要求
3.3.1系统安全要求
1)提供有效手段保障网络通信基础设施、网络上的各种系统以及
系统上各种应用的正常运行，防止对公安专网信息资源进行非
授权访问和操作，防止通过外网对公安专网的各种攻击行为。

包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。

2)用户身份认证：能与公安PKI/PMI体系无缝集成，支持证书链
认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身
份的合法性。

整个平台须与公安PKI/PMI无缝集成，使平台接
入终端在通过边界接入平台安全认证后可使用PKI/PMI系统的
数字身份证书访问公安信息网资源。

3)设备认证：能依据设备注册登记信息对通过专线、ADSL拨号、
3G无线等各种线路方式接入的终端设备进行认证，实现设备唯
一性认证，防止非法设备接入。

访问控制：能对用户访问公安
信息通信网进行细粒度访问控制。

通过身份认证的接入终端只
能访问接入平台内的指定设备，并且只能进行允许的操作，非
授权的访问应被阻断。

4)配置安全：单向UTC，外网服务器不提供任何服务端口,不接受
任何服务请求,所有服务请求由内网信任服务器发起.
5)安全信任链：内外网服务器与安全隔离网闸联动,通过证书建立
信任关系,在数据交换唯一通道形成一条安全信任链.增加系统
健壮性。

3.3.2通信安全需求
1)保障用户在接入公安专网过程中的身份的鉴别、数据传输中的
保密性、数据完整性验证等。

2)数据通道保护：基于角色、权限分配、设置细粒度访问控制策
略，能达到非法用户不能访问，合法用户不能越权访问的目的。

在客户端和可信边界安全网关之间建立高强度的安全加密通
道，能保证数据传输的机密性、完整性，防止公安敏感信息在
传输过程中被泄露或被篡改。

3)链路认证：能对应用访问链路进行认证，防止非法链路接入。

网络安全需求。

3.3.3网络安全需求
1)需实现包括社会企事业单位接入、党政军机关接入、移动警务
办公接入等在内的各类业务从链路安全、网络安全、主机安全、
应用安全等层面的安全措施，并将社会企事业单位接入与其他
接入链路从物理链路上隔离建立安全通道，确保链路安全。

2)网络安全防护：需实现通过探针等对接入的行为进行分析，防
止非法和恶意的入侵行为；防病毒服务器对接入流量进行扫描，
阻止病毒、恶意代码对公安信息通信网的渗透，为边界接入平
台提供病毒防范功能。

四、设备清单
本次招标采购的软硬件货物具体清单：
表1-1货物清单
五、软硬件技术指标要求
5.1数据交换系统
表1-2数据交换系统
5.2集中监控与管理系统
表1-3集中监控与管理系统
5.3集控探针
表1-4集控探针
5.4可信边界安全网关
表1-5可信边界安全网关
5.5 CA身份认证服务器
表1-6 CA身份认证服务器
5.6安全隔离与信息交换系统
表1-7 安全隔离与信息交换系统
5.7防火墙
表1-8 防火墙
5.8 IDS 入侵检测系统
表
1-9 IDS 入侵检测系统
5.9二层交换机
表1-10 二层交换机
5.10路由器
表1-11 路由器
5.11三层交换机
表1-12 三层交换机
5.12服务器
表1-13 服务器
5.13机柜
表1-14机柜
5.14三层交换机
表1-15机柜
注：以上加“★”的技术参数指标必须满足，否则作无效投标处理。

六、项目要求
公安信息网边界接入平台建成后，须经公安部授权的安全测评机构进行安全检测合格后方可正式入网运行。

（检测费用由中标方承担，并包含在本次招标总报价当中，采购方不再另行支付任何费用。

）
七、工期要求
合同签订后三十个工作日内完工，并提供详细的完工时间表。

八、付款方式
签订合同后付30%，项目验收合格后先付65%，余款在验收合格后12个月付清。