《河南省监狱系统协同办案平台建设项目采购需求.PDF》由会员分享,可在线阅读,更多相关《河南省监狱系统协同办案平台建设项目采购需求.PDF(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、河南省监狱系统协同办案平台建设项目采购需求1 项目名称:河南省监狱系统协同办案平台建设项目2 项目建设内容及主要设备技术要求2.1 项目建设背景为贯彻落实中央政法委关于严格规范减刑、假释、暂予监外执行切实防止司法腐败的意见关于“推进刑罚执行机关、审批机关、检察机关减刑、假释网上协同办案平台加建设,对执法办案和考核奖惩中的重要事项、重点环节,实行网上录入、信息共享、全程留痕,从制度和技术上确保监督到位”要求,我局决定建设信息化系统办案平台。同时,为了规范全省监狱系统的收押审批流程,我局决定同时部署监管局收押审批管理系统。2.2 项目建设内容本次项目建设内容主要包含两部分。(一)信息化系统办案平台
2、本系统涉及网络安全及其他相关硬件设备系统采购以及与原有业务系统的对接、部分业务软件(全省协同办公系统、收押审批管理系统)接口的优化等。(二)收押审批管理系统收押审批管理系统建设总体目标是,应用信息化手段,实现看守所在线填报罪犯信息、上报法律文书、跟踪审批进度、打印收押投送法律文书和查询统计投送人员信息等功能,实现刑罚执行处收押办公室在线审查罪犯数据和法律文书、收押审批(收押办公室初审、刑罚执行处复审)、收押法律文书电子签章、收押人员分析统计等功能。详细设备清单如下:序号 设备名称 数量 单位 备注一、信息化系统办案平台1 路由器 2 台2 网闸 2 台3 UTM 2 台4 网络、数据库审计 1
3、 台5 前置服务器 2 台6 电脑 1 台7 激光打印机 1 台8 高速双面扫描仪 1 台二、罪犯收押审批管理系统1 罪犯收押审批管理系统 1 套2 服务器 2 台3 历史数据迁移 - - 历史数据迁移2.3 项目建设原则着眼前沿技术、定位适度超前、切合工作实际、预留扩展空间。硬件选型应兼顾先进性、可靠性、可扩展性、兼容性、易维护等特点。软件部分在开发实施过程中应兼顾如下原则:2.4 系统先进开放采用以下系统实现思路和技术来确保系统的先进性: 采用浏览器/服务器开发模式开发,支持大规模数据处理应用。 采用JAVA开发语言和J2EE中间件平台。 采用组件软件开发技术。 专门设计增量数据同步系统,
4、保证监狱及监区的数据共享和数据一致性。采用以下系统实现思路和技术来确保系统的开放性: 系统能够支持各种J2EE平台,可以使用jboss,WebLogic,WebSphere等商业J2EE平台系统。 系统采用标准SQL语句,并对数据存储进行抽象与封装,系统可以同时支持Mysql, MS SQLServer, Oracle数据库,也可以在mysql、MS SQL Server和ORACLE之间简单移植。 提供基于XML的业务数据导出能力,能够对外提供各种数据接口。 采用SOA技术架构的中间件平台技术,对外提供WebService接口,可以方便的支持将来第二代互联网WEB应用服务开发技术标准。 统一
5、系统管理和安全引擎,能够方便的接入基于Kerberos或者CA的大规模身份认证系统中。系统管理数据库设计模型与LDAP模型兼容,可以方便使用LDAP协议将系统集成到统一的用户对象管理数据库中。 可以在数据库级对系统数据进行开放式共享,也可以利用中间件平台的WEB服务接口能力,通过可视化定制数据资源访问接口,以面向业务的XML数据结构对外提供数据查询、更新等访问服务。2.4.1 系统实用可靠采用以下管理手段来确保建成系统的实用性: 采用快速原型法进行用户需求调研(在现有成熟产品的基础上),保证系统能够满足日常管理工作的要求。 充分发挥承建方需求分析人员的行业经验,着重对需求的正确引导,鉴别出最有
6、意义、最有价值的需求,保证最终建成的系统是符合要求的,并且是简单实用的。 在项目时间、人员和预算的限制范围内,以系统实用性为原则,对需求进行优先级析和管理,防止系统过分面面俱到,没有重点,最终失去控制。系统提供以下功能手段来确保系统易于使用: 提供简便、快速的操作方法。通过数据批量录入、缩写录入、树形代码浏览、系统快捷键等多种手段,保证基层的数据录入可以在WEB界面上获得和传统C/S客户端界面上同等、甚至更为快捷的录入速度(支持在WEB界面上进行全键盘的操作)。 提供服刑人员快速检索和选择能力,能够使用编码、姓名、姓名拼音和四角号码来模糊查找一个服刑人员,该技术可以将查询选择速度从十秒级降低到
7、秒级,提高十倍左右。 使用业务处理工作台。能够直观地看到业务处理的结果,逾期未处理业务,并能够批量提交处理结果,对于批量较大的工作,可以一次处理成百上千条记录,能够迅速完成工作;同时还支持部分错误恢复功能,保证正确的数据被提交成功,同时准确报告错误信息。 提供业务提示功能。一旦有业务数据需要处理时,只要登录系统,即可提示待处理的业务;只需点击提示条目,即可直接进入相应的业务处理界面进行操作。业务提示还可以通过短信网关以短信方式提醒。 常用信息的自动填写功能。对于常用批示/意见等信息,系统将自动填写有关信息,从而大大减轻工作人员的录入工作量。 报表功能设计上提供鼠标点击下钻到任一下属单位查看相同
8、报表、或者点击报表数字获得构成数字明细记录的功能,有利于领导进行报表分析。采用以下技术手段和设计思路来确保系统的可靠性: 能够检测多个同时修改同一数据的情况,避免数据的不一致,这在三层结构的网络应用程序中经常遇到。 系统按照最强鲁棒性的思路进行设计,在确保数据一致性的前提下,最大限度地允许对系统内的数据进行修改和删除,关键业务处理可以回滚,可以有效对付经验不足的使用者。2.4.2 模块化组件化设计为了避免重复投资,本系统要求采用模块化、组件化结构,以满足系统未来功能扩充的需要。系统可以采用以下一些技术手段来确保模块化结构: 采用五层逻辑模型设计系统软件结构,每一层在设计上都是高度模块化和可扩展
9、的系统,加强了系统的模块化水平。 应用系统的前台界面设计使用组件化开发技术,将显示逻辑和应用逻辑彻底分开,具备良好的功能调用接口,使得前台界面代码模块之间关系明晰、耦合性低。 中间件平台采用SOA体系结构,核心软件全部封装成为独立服务组件,对外提供高速服务访问,且经过数百个实际系统长达几年的运行考验,能够有效支撑软件的模块化,组件化。2.4.3 系统易于维护为了满足日常管理的需要,系统必须为日常管理提供简便的方法。所提供的系统在维护方面采用如下方法:采用可视化的应用系统建模、开发和维护技术,甚至是系统管理员通过专门培训后,都可以对应用系统进行修改和维护。应用系统的日常管理维护方面,本系统提供了
10、基于WEB界面的系统管理子系统,可对应用系统日常管理的各个方面提供全方位服务,如组织机构管理、权限管理、数据管理等。应用系统和数据的升级维护方面,当应用系统需要升级更新或者数据库中的数据需要进行调整时,如果采用传统的手工运行升级程序的方法,存在两个问题:首先,速度缓慢,可能需要许多时间才能完成系统的更新;其次,由于升级的时间不可能完全同步,可能发生某些节点采用了新数据而另外一些节点则使用老数据而导致数据混乱的情况。为此,需提供应用系统和数据库自动发布系统,每次对系统的更新仅需对总数据中心服务器上的系统进行更新,其他所有服务器的应用程序和数据将自动被更新升级,这就极大地降低了系统升级维护的工作量
11、。操作系统和数据库管理系统的维护,需采用基于Linux系统的服务器,并提供断电保护程序保证系统在断电的情况下也能够正常关机,且系统本身具有良好的稳定性,日常维护工作量少。一旦发生异常情况,只要网络可用,维护人员可通过加密的SSH连接迅速对故障服务器的操作系统或数据库服务器进行远程维护,不需要到达故障现场。这对于提高故障维护的响应速度有极大的帮助。2.4.4 并发操作鲁棒性和数据一致性应达到报表的高度自动化处理和查询、统计分析功能的真正实用,必须保证数据的高度一致性。例如正在放假的罪犯是不可能被关禁闭的,也不可能有亲情电话或者会见记录等,如何保证这些业务逻辑得到满足,是一个必须解决的问题,否则,
12、系统所产生的报表势必不准确,从而失去了自动处理的意义。为此,系统必须提供较高的并发操作鲁棒性,允许在发生错误输入的情况下删除或者修改错误的数据,但仍然保证数据的一致性。数据的一致性和并发操作的鲁棒性这两者是矛盾而统一的,一般而言,如果单纯使用“锁”的机制,虽然可以在一定程度上保证数据的一致性(但是仍然无法完全解决一致性问题,以下会有说明),但是较高并发度的操作鲁棒性就难以得到保证,例如:如果用一个“在监状态锁”锁住一个罪犯的在监状态,当其放假时不允许对其进行禁闭等业务,那么当民警发现该罪犯以前发生过的某条禁闭数据录入错误而需要对之调整时就不可能执行任何操作,只能在该罪犯放假结束后才有可能执行。
13、而且,共用一个锁的不同业务数据录入由于职能的划分,往往可能在多个系统用户处分别录入,而他们之间可能无法协调为严格按照实际事件发生的顺序先后地录入数据,这样单纯的锁机制就无法正常地起到作用。因此单纯的锁机制会使得操作并发性受到极大地影响,甚至无法正常地使用系统。为此,基于“中间件平台”,提供了独特的解决方案来保证全局数据的一致性;并可在保证数据一致性的前提下提供最大限度的录入并发性,无须关心数据必须按照实际发生的顺序录入这一限制。2.4.5 敏感数据存储的加密本系统中的许多数据都是必须加密存储的,以避免系统管理员随意接触到相关的业务数据,例如:罪犯的姓名、相片、信息员等等,这些信息需加密传输的,
14、并发展出了一整套基于数据加密的数据存储和检索算法,可以有效避免数据库,或者文件系统被打开后,可以随意看到敏感信息。对于重要的数据,系统将进行软件加密的方式进行存储和管理,同时根据需求在软件加密的基础上尽可能的提供基于软硬件结合的加密方式。对于数据库中的信息,系统可以根据需要,对一些敏感字段信息进行加密,以防信息泄露。对于文件系统中的附件,可以考虑全部加密。在客户端访问的时候再临时解密。加密方式可以考虑3DES加密,或者其它与CA棒相结合的非对称加密方式。2.5技术参数要求2.5.1 信息化系统办案平台总体技术要求2.5.1.1 总体要求2.5.1.1.1 总体架构设计信息化系统办案平台要求包括
15、:路由接入区、边界保护区、安全隔离区、应用服务区等四个部分,部署时要求根据实际的业务不同,可对区域再进行微调。整个系统采用电子政务外网线路建设,路由器连接地址由电子政务外网管理单位分配。网络采用电子政务外网专用网络的MPLSVPN技术,建设两条VPN隧道,分别为JXJS-DATA,JXJS-VIDEO。两条隧道功能分别为减刑假释数据流和减刑假释远程法庭音视频流。隧道末端的各个单位依然采用各自的地址,采用路由策略和安全规则,允许授权的合法用户访问。高院、高检、公安和监狱局采用前置机的方式进行数据交互。比如:高院将生成的数据导出到高院的前置机,监狱局将生成的数据导出到监狱局的前置机,双方都从对方的
16、前置机上取得数据。2.5.1.1.2 安全区域划分根据网络安全管理规定,对信息化网络要求实行划分安全区域管理,不同的安全区域应采用不同的安全策略,不同安全域之间应部署相应的安全设备,实行不同安全域信息的互访。1、路由接入区该区域实现监狱局与高法、高检、公安厅实现专用网络连接。采用普通的千兆路由器,支持MPLSVPN功能。该区域主要安全功能为:实现路由访问控制,将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。2、应用服务区该区域主要处理各单位内部各类与应用相关的操作,是各个单位对外信息发布、信息采集和数据交换的中间区域。该区域主要安全功能为:作为外部终端网络连接的终点,实
17、现应用级身份认证、访问控制、应用代理、数据暂存等功能。防止对专网的非法访问和信息泄露。对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马保护功能,防止病毒传播和非法控制。3、安全隔离区该区域实现协同办案平台与应用服务区的安全隔离和信息交换。该区域主要安全功能为:实现协同办案平台与应用服务区的安全网络隔离,根据安全策略,对出入内网的数据分别进行协议剥离、格式检查和过滤,实现协同专网和应用服务区之间的安全数据交换,保障内网的安全。4、边界保护区该区域主要实现对接入平台的边界保护。该区域主要安全功能为:实现身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。通过综合审计
18、技术实现对数据行为追溯和分析。2.5.1.1.3 数据接口本安全保障系统是为减刑假释网上协同办案平台服务的,届时,需配合法院、检察院完成关数据对接工作。2.5.1.2 设备参数部分加项为重要指标要求,投标产品须满足或优于加项,不满足有可能导致谈判文件被拒绝。2.5.1.2.1 路由器功能及技术指标 技术指标要求产品性能 包转发率15Mpps主机接口数 主机支持最少4GE(combo)+2SFP接口,SIC槽位4个,HMIM槽位2,并提供样品图片支持板卡种类 支持通道化E1、非化E1、异步串口、同异步串口、3/4G全制式扩展板卡等广域网接口扩展,并提供板卡实物图电源 支持(1+1)冗余内置模块化
19、电源安全性 PPPOE Client&Server,PORTAL,802.1xLocal认证,RBAC、Radius,TacacsASPF,ACL,FILTER、连接数限制IKE,IPSecADVPNL2TP,NAT/NAPT,PKI,RSA,SSH v1.5/2.0, URPF,GRE支持ARP防攻击MPLS 协议:LDP、Static LSPL3VPN:跨域MPLSVPN(Option1/2/3)、嵌套MPLSVPN、分层PE(HoPE)、CE双归属、MCE、多角色主机等L2VPN: Martini、Kompella、CCC和SVC方式MPLS TE、RSVP TE单台配置 主机一台,冗余
20、交流电源,千兆接口8个2.5.1.2.2 网闸功能及技术指标 技术指标要求系统基本架构 要求提供设备为三机架构:内端机、外端机、仲裁机。要求提供第三方检测报告;内外端机为TCP/IP网络协议的终点,阻断TCP/IP协议的直接贯通;内外端机之间采用专用硬件和专用协议进行连接,不可编程。网闸以软硬件结合的方式,有效地隔断内外网络间直接的连接,防止信息无限制交换;性能指标 网络吞吐量:1000Mbps系统整体时延:5ms主机接口 内网4个10/100/1000M RJ45接口(含一个管理口),1个串口,2个USB口,2个扩展槽,最多可扩展至12个千兆接口;外网4个10/100/1000M RJ45接
21、口(含一个HA口),1个串口,2个USB口,2个扩展槽,最多可扩展至12个千兆接口;安全体系结构 仲裁审计系统部署于内端机上,通用协议无法通过外端机直接连接到仲裁系统;只能通过内端机上的管理口对网闸进行配置,外端机上禁止配置管理(提供产品管理口照片)文件传输功能 提供安全的文件传输功能,支持FTP、NFS、SAMBA等文件传输协议支持对传输文件的类型过滤非后缀对FTP传输协议的指令进行过滤(提供界面截图)对FTP传输文件的关键字进行过滤(提供界面截图)数据库访问功能 提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE、MYSQL等)数据库系统的安全访问;支持用户查询、修改、添加、
22、删除等操作;支持全表复制、增量更新、全表更新等;支持各种实例访问;数据库同步功能 基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQL、ORACLE、DB2、SYBASE、MYSQL等)的单、双向数据交换;无需修改数据库表结构,不涉及到代码修改及二次开发;同步粒度可以达到表内具体字段;支持多种增量同步方式,可分别定义增加、删除、修改的传输方式;*支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业(提供产品界面截图);支持数据一对一、一对多、多对多的单向或双向交换和同步;支持实时交换或定时同步的策略定义;可靠性要求 多机热备,可实现多台设
23、备应用分流、互相冗余的应用模式;网口冗余,使一端机多网口冗余,可实现链路备份冗余或负载均衡的工作模式;审计要求 SNMP支持,支持SNMP协议,可与标准网管平台无缝兼容;SYSLOG支持,支持SYSLOG协议,可与标准日志服务器平台无缝兼容,可实时发送网闸运行状态;管理配置功能 管理和审计采用B/S结构(提供界面截图);为保证网闸安全性,管理端和审计端需独立与管理口连接使用,禁止使用内端机或外端机上的通讯口对网闸进行配置管理,禁止在外端机上具有管理接口;接口配置 内端机配置千兆电口6个(含一个管理口),外端机配置千兆电口6个(含一个HA口)产品资质 要求具备中国公安部颁发的计算机信息系统安全专
24、用产品 销售许可证三级证书厂家具备通讯行业质量管理体系认证证书(TL9000证书)厂家具备(国家级)网络安全应急服务支撑单位证书授权 提供原厂商针对本项目的产品授权书2.5.1.2.3 UTM功能及技术指标 技术指标要求设备基本要求产品 1U机箱,最大配置为12个接口 配置8个10/100/1000BASE-T接口和4个SFP插槽,双电源;软件设备采用自主知识产权的专用安全操作系统;支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择(提供截图),不得在WEB维护界面中设置系统切换选项;系统具有良好的可扩展性,本次产品包含病毒防御、入侵防御、应用识别、WEB分类库过滤、APT防
25、御、IPSEC VPN;性能要求 性能防火墙吞吐率不低于3Gbps,最大并发连接数不低160W,防病毒吞吐率不低600Mbps,IPS吞吐率不低800Mbps,IPSEC加解密吞吐率不低120Mbps,IPSECVPN隧道数不低3000,SSL吞吐率不低350Mbps,SSL并发用户数不低2000;功能要求网络要求支持入站智能DNS功能及服务器负载均衡功能,为更合理的实现流量负载分担,需提供不少于10种的负载均衡算法; 至少支持8路ADSL拨号接入,可对各ADSL链路之间通过WCMP与ECMP方式进行路由均衡(提供截图);支持ISP路由,至少内置8个不同运营商的地址库,并可进行升级;状态检测支
26、持多元组的访问控制规则,至少支持基于源MAC、源端口、目的端口、时间、域名、URL等多个元素进行访问控制;支持对单条访问控制策略进行最大并发连接数和长连接的限制支持WEB界面显示每条策略的命中数,能够在WEB界面显示每条策略所引用资源(地址、区域、时间、服务、域名等)的对象信息;具有智能访问控制策略功能,通过对会话连接的监控和学习,快速生成访问控制策略支持在WEB界面上开启策略冲突检测功能,在出现策略冲突时,能够在WEB界面进行警告(提供截图与专利证明)IP/MAC绑定具有IP/MAC绑定功能,保证IP地址唯一性;支持手动绑定和自动探测两种方式进行IP/MAC绑定;同时,支持免客户端的跨路由设
27、备IP/MAC绑定;支持IP/MAC绑定关系导入导出;为防止用户私接无线路由器、随身WIFI等设备产生安全隐患,防火墙需支持防共享接入功能,能够有效识别、报警并阻断局域网网络共享行为(提供截图与相关专利证明)流量管理支持基于访问控制策略的一体化带宽管理模式,并且支持基于IP/用户自由竞争策略、独享策略、访问控制独享策略等多种带宽策略类型;能够实现基于用户、用户组到指定域名的访问进行流量控制支持基于DSCP优先级、COS优先级重标识;DDOS抗拒绝攻击服务支持防ARP欺骗与防路由欺骗功能;支持检测并阻止攻击者对受保护网络的探测行为,如 Portscan,Ipsweep和Tcp_sscan等;支持
28、拒绝服务攻击防御,如SYN Cookie,Winnuke,Land,Smurf 和TCP RST等;并且通过智能策略联动机制对攻击行为进行动态阻断;应用识别 支持加密流量识别,如HTTPS流量、BT加密流量、迅雷加密流量、网络视频加密流量、Skype加密流量等等;应用内容访问控制支持HTTP、FTP、Telnet、SMTP、POP3、IMAP等协议进行Banner替换;信息泄露防护支持对文件名与至少50种文件类型过滤,包括可执行文件.ms-executable,office文件.ms-office-2003-wps、音频文件.mp3、.avi、.mp4,镜像文件.gho等等类型的文件;防病毒采
29、用国际、国内知名品牌病毒库,病毒库提供商应通过VB100认证;厂商防病毒技术或防病毒产品的病毒检测率大于98%(需提供第三方权威测评机构的病毒检测率报告);入侵防御具备WEB攻击防护能力,支持SQL注入攻击防护、XSS攻击防护,对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP、JSP等;未知威胁检测不依赖于攻击、恶意代码等特征库进行检测,通过沙箱技术对于未知漏洞攻击(0day/1day漏洞)、木马、病毒具有检测能力;可以发现包括远程线程序、自删除(主体进程镜像被删除)等各种恶意行为;支持规则库自学习,对于检测到的未知威胁,能够在网关中自动
30、生成动态阻断规则;网页篡改防护支持受保护WEB服务器的各类网页文件的不可修改,全面保护网站的静态网页和动态网页以及各类文件信息;网页篡改防护系统支持服务器系统进程监控,同时支持系统进程黑白名单设置功能,提供进程黑白名单设置,有效防止恶意进程对网站的非法操作(提供截图);在多台WEB服务器集群部署的环境下,支持对服务器性能实时监控功能,包括:内存、CPU占用率等。支持对服务器实时信息监控,包括:实时进程,服务信息,系统日志;应用加速系统为避免TCP协议缺陷引起的网络拥塞、传输速率低的问题,要求支持非对称式部署的传输协议优化技术(单边加速),提升用户访问互联网应用服务的速度(提供截图);通过TCP
31、传输丢包优化技术,对于跨运营商(如电信网通间、国内海外间)等高延迟高丢包环境,显著提升访问速度(提供截图);安全运维管理系统安全 支持系统管理员能够通过“用户名口令图形认证码”方式认证进行登录管理;健康体检支持从流量分析(设备物理资源、设备运行、网络流量、设备安全状况、应用、用户行为等)、策略分析(策略冗余检测、合规性检测)、漏洞分析(设备自身漏洞情况)三个角度,对设备健康情况进行“一键式健康体检评分”,并生成详细的健康体检报告;(提供截图)产品资质具有国家密码管理局颁发的防火墙产品密码检测证书,证书中必须显示“送检产品为防火墙”字样提供原厂商针对本项目的产品授权书厂家具备(国家级)网络安全应
32、急服务支撑单位证书2.5.1.2.4 网络、数据库审计功能及技术指标 技术指标要求硬件要求 设备形态 要求采用专用硬件平台和专用操作系统,标准机架式独立硬件(非Windows平台)接口与性能4个10/100/1000BASE-T采集口;存储空间500G吞吐率200Mbps;要求含数据库审计软件模块审计能力 审计关联 支持网络环境主动扫描,可自动对审计环境范围内包括IP地址、MAC地址、表名、计算机名、数据库名、程序名等在内的资源信息进行提取;(提供截图)支持对单个事件、多个类型不同事件进行交叉关联分析;支持实名审计,支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示,可显示在线用户的PPPoE账号和AD域用户信息,在线用户信息包括但不限于:用户帐户名称、MAC地址、上线时间等;(提供自主研发专利证明)网络审计 支持对HTTP协议进行审计,审计内容包括:访问域,URL引用页、URL分类、HTTP类别、请求文件、请求参数、访问行为 发布内容、请求结果、网页类别、浏览器、服务器、Cookie、返回长度、代理客户端IP、代理上网、HTTP响应时间、操作系统类型、原始客户端IP、MAC地址、提交参数等;支持330种以上国内常见应用协议行为的自动识别与审计记录;
黑公网安备:91230400333293403D