项目背景概述.doc

项目背景概述.doc

《项目背景概述.doc》由会员分享，可在线阅读，更多相关《项目背景概述.doc（14页珍藏版）》请在冰点文库上搜索。

1.项目背景概述

1.1为进一步提高佛山市禅城区社区警务信息化建设水平，深入开展“三基”工程建设，需要构建警务室联网接入公安信息通信网，形成“全警采集、全警录入、全警应用、全警共享”的信息化应用格局。

佛山市禅城区社区警务室接入系统包含三街一镇的警务室接入工作，是公安信息通信网边界接入平台的一部分，属于社会企/事业单位接入、党/政/军机关接入、公安驻地外接入三条接入链路中的公安驻地外接入链路。

其业务操作方式属于数据交换和授权访问两类中的授权访问，可以通过不同权限的公安数字身份证书进行交互式的访问公安信息通信网；

1.2本项目采用光纤连接禅城区140个警务室，并与公安信息网互联；

1.3网络采用拨号的方式接入，在公用网络上建立二层网络采用L2TP技术建立VPDN隧道（Tunnel）连接来传输私有网络数据，需提供必要的光纤连接设备；

1.4需采用Usbkey安全设备实现网络的连接，Usbkey需集成拨号软件，需提供Usbkey的配套设备。

且不能与公安数字身份证书冲突。

2.项目服务内容

2.1提供必要的网络连接设备；

2.2需使用10Mbit/s拨号光纤链路，在公用网络上建立二层网络，采用L2TP技术建立VPDN隧道（Tunnel），来连接传输私有网络数据；

2.3光纤链路维护；

2.4提供Ukey网络认证及配套设备终端安全系统，其中配套设备终端安全系统采用租赁的方式并放置在运营商机房；

2.5确保与佛山市公安信息通信网可信边界接入平台互联。

3.VPDN组网技术指标

3.1VPDN是拨号业务的VPN，指利用公共网络的拨号及接入网实现的虚拟专用网，能够充分利用现有的网络资源，提供经济、灵活的联网方式，为客户节省设备、人员和管理所需要的投资，降低用户的费用。

3.2VPDN主要由网络接入服务器（NAS）、用户端设备（CPE）和管理工具组成。

其中NAS由中标人提供，其作用是作为VPDN的接入服务，提供广域网接口，负责连接，并支持各种LAN的协议、安全管理和认证、隧道及相关技术。

3.3本次招标采用基于L2TP协议的VPDN隧道。

在L2TP协议中，规定了3个网络元素，即LAC（L2TPAccessConcentrator），LNS（L2TPNetworkServer）和主局域网的管理域（ManagementDomain）。

LAC与LNS是对等的两个端点，隧道建立在它们之间。

LAC对用户端收到的PPP帧进行封装，通过隧道传送到LNS，由LNS将用户的PPP帧解封并传送到目的主机。

主局域网中的管理域负责地址分配、认证、授权、记费。

L2TP使用两种类型的信息包：

一种是控制信息包，用于建立、维护、清除隧道和呼叫，它使用可靠的控制信道来保证住信息的传送；另一种是数据信息包，由于封装PPP信息帧，在传输过程中发生信息帧的丢失，不会有数据信息包的重传。

从L2TP协议结构中可以看出，PPP帧是在一个不可靠的数据通道中传送的，它首先被L2TP协议头封装，然后再被封装成相应传送网络的协议包进行传送；L2TP控制信息包与数据信息包是封装在同一个数据包中进行传送的，在所有控制信息中都要求有序列号，以保证控制信息在控制信道中的可靠传送。

通过NAS与VPDN网关建立隧道，将警务室的PPP连接连到市公安局的网关上。

4.租用光缆的工程技术要求

4.1*中标人必须确保提供租用的通信光缆是用来传输警务专网的私有网络数据。

4.2中标人必须确保具有能够通达项目所述光纤接入点的管道或者路由资源，以保证本项目能够在规定工期内完成。

如需实施道路开挖的，中标人必须在获得有关部门批准的前提下，遵守相关的施工及管理规章制度，安全施工；同时，中标人须负责向有关部门申报项目的有关手续并承担相应的一切费用，如因施工造成的各种损失及法律责任由中标人承担。

4.3提供的光缆应该以埋地为原则，所有光缆应尽可能的走地下管线，避免存在光缆架空现象。

4.4提供的光缆要求采用G.652的优质单模光纤（衰减系数为A级），工程所使用的所有材料均应有产品合格证、质量保证书，并经采购人、中标人以及监理方共同检查验收，认可后方可使用。

4.5中标人应在敷设的光缆中应留有适当的余量用于日后的维护和扩展。

当采购人需要在现有通信点增加新的通信链路时，中标人应优先考虑提供光纤以满足采购人的要求，所产生的费用在本合同单价的基础上加上相关物价指数的调整率进行结算。

4.6中标人必须承诺不得将采购人的任何资料泄露给第三方，中标人还需与采购人签定保密协议书。

5.需求清单

序号

项目名称

设备参考品牌

单位

数量

1

社区警务室光纤初装

条

140

2

140条社区警务室光纤月租费

月

12

3

安全密钥终端安全系统

天融信、网御神州、联想网御

台

1

4

客户端USB密钥

个

146

5

路由器

H3C、华为、中兴

个

1

6.租用光缆的工程技术指标

指标项

技术指标值

标称

工作波长为1310nm

工作范围：

1285~1330nm

衰减常数

在1310nm波长上不大于0.38dB/km

在1550nm波长上不大于0.25dB/km

模场直径

9.3μm±0.5μm（1310nm）

10.5μm±0.8μm（1550nm）

包层直径

125μm±2μm

包层不圆度

不大于1%

截止常数

1100~1280nm（在2米光纤上测得）

总色散系数

在1285~1330nm波长范围内的全部波长上不大于3.5PS/nm·km。

允许张力

工作时：

600N

敷设时：

1500N

允许侧张力

工作时：

300N/10cm

敷设时：

1000N/10cm

允许的弯曲半径

工作时：

光缆外径的10倍

敷设时：

光缆外径的20倍

新敷设光缆盘长

2000+50/-0米

光缆寿命

所有提供给甲方的光缆在正常使用情况下的预测寿命不少于25年

7.终端安全系统技术指标

 指标

指标项

规格要求

设备

基本

要求

专用的硬件和软件保障

*采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；专用的安全操作系统具有自主知识产权；硬件设备可以机架安装。

双操作系统

*采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。

软件模块化设计

软件采用模块化结构设计，可以根据需要组合，可以扩展防病毒、安全审计等其它功能。

硬件模块化设计

硬件采用模块化设计，设备在用户现场就可以进行接口的扩展。

可以提供整体解决方案

解决方案中包括VPDN网关-网关，网关-客户端，客户端-客户端以及安全管理、监控中心；可以提供从SOHO级用户到电信级用户不同系列、不同型号的产品。

端口数量和扩展能力

至少提供4个10/100BASE-T接口，最多可以支持8个百兆接口；具有专门的RJ45终端管理接口。

性能

要求

网络吞吐量

*不少于400Mbps

最大并发连接数

*不少于100万

每秒最大新建连接数

*不少于5万

最大隧道数

*无限制

加解密速度

*不少于96Mbps

灵活的接入方式

*可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式

采用隧道技术

*IPSec、L2TP、PPTP、动态VPN

支持隧道内访问控制

对于隧道内的数据可以根据IP地址、端口、时间等进行访问控制

支持CleanVPN技术

可以清除隧道中的病毒和蠕虫等恶意代码，保证VPN隧道流量的安全、清洁

全面的标准IPSEC协议支持

遵循RFC1829、RFC1828、RFC1851、RFC1852、RFC2085、RFC2401-12等标准协议

支持标准ESP、AH加密认证协议

支持隧道模式、传输模式的协议封装格式

支持IKE标准密钥协商协议

支持主模式、野蛮模式、快速模式多种协商模式

支持证书认证和预共享密钥认识方式

支持DES、3DES、AES等多种对称密钥算法

支持MD5、SHA1等多种完整性验证算法

支持RSA、DH等多种非对称密钥算法

国家密码委员会批准的专用算法（SSF28和SCB2）

可以和采用标准IPSEC和IKE协议的设备建立VPN隧道，例如支持与CISCO、NETSCREEN、CHECKPOINT、WINDOWS等产品互通；支持标准支持IP报文加解密、IP报文完整性认证和数据源认证。

灵活的隧道建立方式

支持网状、树状、星状VPDN部署；支持隧道接力、嵌套、路由等

支持全动态IP地址间建立VPN隧道

通过集中的VPN策略管理和DDNS技术解决动态IP之间自动建立VPN隧道。

支持DDNS部署模式

方便在全动态IP地址的网络中建立IPSEC隧道；也可以实现在全动态IP的网络中对设备进行远程管理。

支持最新的NAT穿越（NATT）协议

NAT与IPSec协议在原理上存在矛盾，VPDN产品要支持最新的NAT协议标准，也支持双向NAT穿越，具有非常好的网络适应性。

支持隧道路由技术

网关的配置方法与路由器类似，减少网络管理员对于部署VPN网络的学习和熟悉过程；

通过隧道路由规则的配置，可以完成VPDN数据流在VPN网关之间的灵活转发，从而可以实现星型网络拓扑，并解决双向NAT穿越问题；

通过动态隧道路由协议的配置，可以实现整个VPDN网络的自适应部署，VPN网络拓扑的自动学习、自动寻径；

通过基于策略的隧道路由配置，可以实现VPDN网关的冗余备份和负载均衡。

支持标准的PKI体系

支持标准X.509V3格式数字证书；

支持DER、PEM、PKCS12等多种证书编码格式；

支持通过LDAP等标准协议向第三方CA进行在线认证；

支持CRL列表文件的导入和通过HTTP自动下载CRL列表；

支持生成PKCS10格式的证书请求；

支持采用第三方CA证书进行隧道协商认证。

支持灵活的移动用户接入策略

支持基于用户名＋口令的接入认证机制；

支持基于数字证书的接入认证机制；

支持基于证书＋口令的双因子认证机制；

支持RADIUS/TACACS+/LDAP标准用户认证协议；

支持USBKEY、动态口令卡等强身份认证机制；

支持基于服务的移动用户的访问授权；

支持基于时间的移动用户访问控制；

支持获取远端内网内部DNS和WINS服务器

支持自动或人工从远端内网获取私有地址的功能

支持移动用户的硬件特征码绑定机制。

支持纯密、明密结合、端点检查等多种应用模式

VPN客户端支持无线、DHCP、802.1x、ADSL、PSTN、CDMA、GPRS、CABLE、小区宽带等各种接入方式

支持客户端日志管理和状态监测

支持客户端系统的自动统一部署

支持隧道数据压缩

支持多种操作系统

支持PPTP、L2TP接入

完善的路由功能

支持静态和动态路由，动态路由至少包括：

RIP和OSPF动态路由协议；静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由；

高可用性

支持双机热备功能，包括主备模式（A/S），主主模式（A/A）；

采用IPSEC碎包机制：

采用预分片技术，再对分片后的报文进行隧道封装，提高系统性能

隧道探测功能：

在隧道协商过程中，不停的探测隧道状态；当隧道建立成功后，VPN会每隔一定的时间间隔探测隧道状态，在对探测过程中没有正常响应的情况下，VPN会停掉本方的隧道，并每隔一定的间隔试图去重建，一旦对方VPN或网络恢复正常，隧道就能够马上自动重新建立。

采用证书压缩机制：

IKE在使用证书方式进行第一阶段协商的时候，由于协商报文载荷较大，有时候会引起IP报文分片，而整个链路中中间设备对于分片报文的处理可能不一致，这样就会导致IKE的协商失败。

为了避免这些问题，使用证书压缩机制，避免IP报文分片隧道交换和隧道嵌套

支持链路备份功能，可以在用户的多条网络出口之间进行自动的负载和切换

DHCP功能

支持DHCPSERVER/CLIENT/RELAY功能

强大的抗攻击能力

*支持OPSEC或TOPSEC等类似联动协议，能够与主流入侵检测产品进行联动；

*可以识别并阻断以下攻击行为：

防非法报文攻击：

land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof；

防统计型报文攻击：

Synflood、Icmpflood、Udpflood、Portscan、ipsweep；

*端口阻断：

可以根据数据包的来源和数据包的特征进行阻断设置；

告警能力

支持告警信息分类、分级；当发生安全事件的时候支持以邮件、SNMP、控制台等方式告警。

管理功能

可以提供多种方式的管理界面，包括GUI、WEBUI、CONSOLE、SSH、TELNET等；

远程集中监控管理功能：

支持远程集中管理监控功能，在同一个管理平台下能够对所管理网络中所有的VPN设备、证书、隧道、策略、状态等进行管理和监控，提供远程升级和配置变更方法，非常方便用户对设备软件版本和配置变更的管理；

支持统一的证书管理

支持全网状态监控与全网日志审计

支持客户端自动部署

支持管理中心双机热备

支持多级管理中心

支持SNMP的v1、v2、v2c、v3等不同版本，并与当前通用的网络管理平台兼容，如HPOpenview等；

可以提供简单方便的配置备份与恢复机制，并且可以恢复到出厂设置。

完善的日志审计功能

日志分级、分类；系统要能够提供多种日志存储方式，可以缓存在设备本地，也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出；具有完善的日志收集、传输、存储、分析、报告等解决方案。

*网络功能

*拨号认证功能

*Usbkey支持标准的PPPOE拨号程序绑定，能实现即插即自动拨号，第一步通过PPPOE拨号认证通过建立VPDN隧道连接公安专网，第二步通过拨号认证接入公安信息通信网。

*资质

要求

商用密码定点生产单位证书

*国家密码管理局颁发的《国家商用密码定点生产单位证书》

商用密码产品型号证书

*国家密码管理局颁发的《国家商用密码产品型号证书》

安全操作系统软件著作权证书

*专用安全操作系统的软件著作权证书

软件著作权登记证

*计算机软件著作权登记证

8.其它设备参数要求

设备名称

技术指标值

USB安全密钥

终端用户的VPN客户端采用USBKEY的实现方式，在KEY上集成了PPoE拨号软件、VPN客户端软件和、用户数字证书信息

路由器

支持VPDN，主机自带2个千兆电口，4个SIC槽位，2个MIM槽位，2个ESM，1个VCPM，2个VPM，含路由器管理软件

9.140个警务室地点

派出所

序号

居、村委

地址

澜石

1

办事处居委

普澜路8号

2

黎冲村委会

黎冲向前村西便街21号

3

石头村委

石头市场侧

4

石梁村委

石梁大道

5

湾华村委

湾华大宗祠1号

6

奇槎村委

奇槎中心中路

7

鄱阳村委

鄱阳大道33号

8

深村

深村工业大道1号

9

里水村委

汾江南路里水村委会

10

绿景居委会

绿景一路18号首层

11

惠景居委会

惠景二街17号地下

12

季华居委会

影荫路22号3座首层

13

福华居委会

华远东路35号

14

玫瑰居委会

玫瑰大街1号

15

金澜居委会

深宁路12号惠雅苑南面1楼

16

平远居委会

华远西路华翠苑市场二楼

17

金子苑居委会

季华五路金源街4号

18

丽银居委会

丽日华庭23座101

19

环湖居委会

环湖花园百合雅苑B座首层

20

湖景居委会

湖景路18号62铺二楼

21

怡景居委会

新明二路5号1幢8号铺

22

丽豪居委会

丽日豪庭二期门口

23

鸿翔居委会

鸿翔北一街8号101

南庄

24

紫南村委

紫南村委会

25

紫洞村委

紫洞村委会

26

湖涌村委

湖涌村委会

27

城区村委

城区办事处

28

罗南村委

罗南村委会

29

南庄村委

南庄村委会

30

溶洲村委

溶洲村治保会内

31

堤田村委

堤田村治保会内

32

罗格村委

罗格村治保会内

33

上元村委

上元村委会

34

东村村委

东村村委会

35

贺丰村委

贺丰村委会

36

河滘村委

河滘村委会

37

杏头村委

杏头村委会

38

梧村村委

梧村村委会

39

吉利村委

吉利村委会

40

龙津村委

龙津村委会

41

醒群村尾

醒群村委会

石湾

42

榴苑社区

禅城区榴苑四街15号

43

和平社区

禅城区跃进路150号

44

忠信社区

禅城区凤凰路21号

45

三友社区

禅城区三友中路30号地下

46

红卫社区

禅城区红卫岗132号之二

47

莲峰社区

禅城区工农新村9座12号

48

劳动社区

禅城区江滨路60号

49

番村村委

番村桂阳大道

50

塘头村委

塘头村委会一楼大楼

51

河宕村委

河宕村河西大街17号侧村委会内

52

沙岗村委

沙岗旧路村委会内

永安

53

培德

培德里20号

54

高基

汾江中路5号

55

快子

松风路43号首层

56

升平

汾宁路22号

57

妈庙

燎原路67号

58

同安

汾左街50号

59

永安

吉之岛后门

60

庆宁

庆宁路59号2楼

61

市东

建华街2号

62

文东

文沙东二街十一号

63

文南

文沙南五巷20号

64

文北

文沙路24号2楼

65

红棉

丝绸大街6号

66

白燕

红棉苑14座楼下

67

郊边

郊边治保会（郊边安禄里一巷2号之三）

68

东升

东升大街

69

东城

敦厚村委会

70

扶西

扶西村委会

71

敦厚

敦厚朝阳里180号

72

福禄

福禄路登云里5号

73

沙塘

沙塘坊13号

74

东园

东园53号102

75

大观

76

上沙

上沙中街11号1楼

77

佛平北

柏丽花园17号2座204房

78

佛平

南桂西路柏丽花园8座首层

79

城北

城北市场侧

祖庙

80

兰桂

麒麟社41号

81

恩光

营前街1号

82

莺岗

生街15号

83

钻石

建新路103号2座B1

84

山紫

西平里24号侧

85

建设　

建设一街16号

86

福贤

石巷44号

87

燎东

市东下路18号三座地下

88

塔坡

塔坡横街9号楼下

89

纪岗

纪岗街69号

90

普东

省元巷32号

91

普南

新风路3号

92

普西

普君西路26号A座2楼

93

忠义

新风路44号2座102

94

北江

忠义路91号

95

后街

香兰新村9号

96

圣堂

圣堂五巷21号

97

铁军

城门四街11号

98

花园

花园一街88号

99

垂虹

垂虹四街17号首层

100

卫国

榕亭里11号202

101

旭日

南北二路二座首层

102

同华

市同济路66号地下

103

保安

后龙西街5号

104

南浦

南浦村13座地下

105

同济

同华东四街4号

106

体育

乐园北街1号二楼

107

永红社区

金澜北路3号

108

朝安东社区

南桂西路27号

109

永新社区

永新南沙村

110

朝东社区

朝东下石大街

111

镇安社区

镇安治保会

112

简村社区

张槎简村新牌坊侧

113

唐园

唐园东三街21号首层

114

同福

同福西二街24号之一

张槎

115

东鄱社区

东鄱小学路3号

116

张槎社区

张槎村委侧

117

古灶社区

张槎一路华丽宾馆路口

118

大江社区

张槎大江市场对面

119

白坭社区

张槎白坭大道

120

大沙社区

张槎大沙村委会

121

青柯社区

青柯西亦村委会对面

122

海口社区

海口93号

123

弼塘社区

弼塘文化站旁边

124

莲塘社区

张槎莲丰一路11号

125

大富社区

大富村委会右侧

126

上朗社区

上朗大街一巷一号

127

下朗社区

张槎下朗大道2号

128

村头社区

张槎四路

129

村尾社区

张槎村尾市场后面

130

纯阳社区

张槎圩岗路6号2号铺

131

江湾

弼塘东一街2号

132

金沙

金沙二街1号1楼首层

133

石紫

石紫一巷

134

马岗

江湾二路青柯街16号之一一座楼下

135

东便

轻工三路南八街1座侧

136

清海清水桥

清水桥社区星光之家旁

备注：

余下4个警务室根据采购人要求地点安装

10.技术参考方案：

10.1根据佛山市禅城区社区警务室的现状，在佛山市禅城区社区警务室内建设统一的网络接入系统。

为了降低投资，在佛山市公安局统一建设边界接入中心，禅城区所有警务室先连接到佛山市局边界接入中心，然后再通过千兆光纤或裸纤，与禅城公安网进行互联。

如下图所示，佛山市禅城区及其下属各分局警务室内的终端连入公安专网时，均需要通过市局边界接入中心，进行统一的身份验证。

10.2对于社区警务室的终端，由于警务室的环境比较复杂，电脑并不能完全保证由民警专用，因此在本方案中采用了多种的身份认证方式。

本项目采用的逻辑结构如下：

10.2.1.对登陆终端的警员进行身份认证，保证只有合法UKEY的警员才能连接公安信息通信网；

10.2.2.通过USBKEY对于警务专网拨号认证客户端的集成，插入USBKEY时自动启动警务专网客户端；

10.2.3.通过警务专网网络并经过终端安全系统的双重认证，才能接入公安信息通信网，同时终端安全系统作为网关建立链接，对IP数据包进行加密，保证数据传输过程中的安全；

10.2.4.对于集中监控部分，本方案中采用了为佛山市局统一建设一套集中监控和管理系统，同时监控佛山市禅城区各边界接入的方式，在有效节约成本的同时，满足了可信边界接入平台对于集中监控的要求。

10.3连接组网详细设计

10.3.1.根据公安警务室接入业务需求，结合相关接入安全规范，警务室组网接入可以分为两部分建设：

警务室的网络接入联网部分和边界接入安全平台系统部分。

整个警务室连接组网拓扑示意图如下：

其中，终端安全系统作为LNS放置在运营商机房，边界接入安全平台由佛山市公安局投入建设。