信息安全集成设计方案(43页).doc

《信息安全集成设计方案(43页).doc》由会员分享，可在线阅读，更多相关《信息安全集成设计方案(43页).doc（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全集成设信息安全集成设计方案计方案成都综合保税区西区成都综合保税区西区信息安全集成系统方案信息安全集成系统方案XX 科技有限公司科技有限公司2010.12-第 3 页目目录录1、项目背景.错误！未定义书签。错误！未定义书签。2、需求分析.错误！未定义书签。错误！未定义书签。3、系统设计.错误！未定义书签。错误！未定义书签。3.1 设计依据及设计原则.错误！未定义书签。错误！未定义书签。3.2 信息安全技术设计.错误！未定义书签。错误！未定义书签。3.3 信息安全管理设计.错误！未定义书签。错误！未定义书签。3.4 产品选型.错误！未定义书签。错误！未定义书签。1、项目背景、项目背景201

2、0 年 10 月 18 日，国务院设立成都高新综合保税区。根据国务院批复，成都高新综合保税区规划面积 4.68 平方公里，位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型)和成都出口加工区南区（803 区）进行整合扩展而成的。四川成都出口加工区 2000 年 4 月经国务院批准设立，是中国首批出口加工区之一，2009 年进出口总额 64.2 亿美元，2010 年 17 月进出口总额 50.75 亿美元，增长 43%，综合排名全国第 5、中西部第 1，是全国发展最好的出口加工区之一；成都保税物流中心(B 型)于 2009 年 3 月通过验收，7

3、 月正式封关运行，目前发展情况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利于企业的进一步发展。为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技术和自动控制技术，构建一个先进、实用、可靠的保税区海关联网监管系统。信息技术的发展，为海关管理创新提供了手段，实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功能齐全的复杂办公环境，在业务协同、

4、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全管理。这其中，既涉及到网络管理，也有安全管理。技术支撑层，充分利用技术手段，建立高效、协同的信息安全管理平台，将网络监控与安全监控有机地结合在一起，注重能够及时定位故障。技术支撑体系应该包括三个层次：展示层、运维管理层、集中监控层。1）展示层。提供面向信息安全层面和信息安全管理决策层面的展示视角，在信息安全管理界面上实现集中运维的统一管理功能和信息展示与交互功能。2）流程及业务信息安全管理层。在集中信息安全管理模式下

5、实现流程执行和管理控制功能、业务安全管理功能。3）集中控制层。通过监控工具实现对不同服务对象和 IT 资源的实时监控，包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析、需求分析2.1 广域网网络链接广域网网络链接2.1.12.1.1 海关业务线路海关业务线路为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中

6、一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更好地保障备份的可靠。系统建设配置包括广域网路由设备，不同的运营网分别租用 4M 以上的宽带线路。2.1.22.1.2 电子口岸专线电子口岸专线为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也采用“双线热备”方案，原则上由部署数据中心负责审批。-第 5 页2.2 综合布线综合布线2.2.12.2.1 分类分类综合布线系统包括管理网 G（六类系统）、业务网 Y（超五类系统）、互联网W（超五类系统）语音网 T（水平超五类系统）、备用网络 B（超五类系统）共计5 个系统（可根

7、据监管要求及功能设置作相应调整）。各网络物理隔离、独立组网，新设机构可根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采用 4 芯多模室内光缆、语音采用 25 芯 5 类大对数电缆及超5 类屏蔽电缆。2.2.22.2.2 网线布线系统网线布线系统管理网：水平布线采用六类非屏蔽网线，垂直干线采用 4 芯多模光纤；运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采用 4 芯多模光纤；机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.32.2.3 机柜的配置机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业

8、务网可共用一个机柜，互联网、电话、备用网共用一个机柜；机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，电话共用一个机柜。2.2.42.2.4 综合布线标识说明综合布线标识说明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国家标准综合布线系统工程设计规范GB50311 的有关规定。2.2.52.2.5 园区网建设园区网建设园区内应建设园区网，以实现区

9、内所有企业与管委会之间信息的互通和管理，同时考虑相应的安全管理建设，包括防病毒管理、客户端准入等。园区网为封闭局域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行协助和指导。2.3 机房建设机房建设机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的相关要求，面积在 90130 平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时，线槽或桥架的高度不宜大于 15

10、0mm,桥架宜采用网格式桥架。地面工程：地面应平整，必须进行防尘处理，采用防尘涂料时，至少粉刷 2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调节空调。机房综合布线：机房的综合布线系统选用进口 6 类非屏蔽系统，配线架全部选用 6 类 24 口快跳式配线架，光纤部分采用 24 口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置 10KVA UPS 设备 2 台，电池能够满足 10KVA 设备支持 30 分钟。消防报警：根据具体情况自行设计。机房监控：根据具体情况自行设计。3、系统设计、系统设计3.

11、1 设计依据及设计原则设计依据及设计原则3.1.13.1.1、设计依据、设计依据-第 7 页计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T 22239-2008）。信息系统安全保护等级定级指南（GB/T 22240-2008）信息系统安全等级保护实施指南（信安字200710 号）信息系统通用安全技术要求（GB/T 20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059 号）信息系统安全管理要求（GB/T 20269-2006）信息系统安全工程管理要求（GB/T 20282-2006）信息系统物理安全技术要求（GB/T

12、 21052-2007）网络基础安全技术要求（GB/T 20270-2006）信息系统安全等级保护体系框架（GA/T 708-2007）信息系统安全等级保护基本模型（GA/T 709-2007）信息系统安全等级保护基本配置（GA/T 710-2007）信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）信息系统安全管理测评（GA/T 713-2007）操作系统安全技术要求（GB/T 20272-2006）操作系统安全评估准则（GB/T 20008-2005）数据库管理系统安全技术要求（GB/T 20273-2006）数据库管理系统安全评估准则（GB/T 20009-

13、2005）网络端设备隔离部件技术要求（GB/T 20279-2006）网络端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品技术要求（GB/T 20278-2006）网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）网络交换机安全技术要求（GA/T 684-2007）虚拟专用网安全技术要求（GA/T 686-2007）网关安全技术要求（GA/T 681-2007）服务器安全技术要求（GB/T 21028-2007）入侵检测系统技术要求和检测方法（GB/T 20275-2006）计算机网络入侵分级要求（GA/T 700-2007）防火墙安全技术要求（GA

14、/T 683-2007）防火墙技术测评方法（报批稿）信息系统安全等级保护防火墙安全配置指南（报批稿）防火墙技术要求和测评方法（GB/T 20281-2006）包过滤防火墙评估准则（GB/T 20010-2005）路由器安全技术要求（GB/T 18018-2007）路由器安全评估准则（GB/T 20011-2005）路由器安全测评要求（GA/T 682-2007）网络交换机安全技术要求（GB/T 21050-2007）交换机安全测评要求（GA/T 685-2007）终端计算机系统安全等级技术要求（GA/T 671-2006）终端计算机系统测评方法（GA/T 671-2006）虚拟专网安全技术要求

15、（GA/T 686-2007）应用软件系统安全等级保护通用技术指南（GA/T 711-2007）应用软件系统安全等级保护通用测试指南（GA/T 712-2007）网络和终端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品测评方法（GB/T 20280-2006）信息安全风险评估规范（GB/T 20984-2007）信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分类分级指南（GB/Z 20986-2007）信息系统灾难恢复规范（GB/T 20988-2007）3.1.23.1.2、设计原则、设计原则在技术方案设计中，遵循以下的系统总体设计原则：1、

16、统一规划、分布实施遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。2、开放性、互连性和标准化采用国际、国家标准、协议和接口，能与现有的和未来的系统互连与集成。-第 9 页3、先进性在保证系统的整体性和实用性的前提下，考虑系统的先进性，所采用的技术和设备应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容未来 5 年以上的需求发展。4、成熟性技术方案中所采用的系统体系结构和技术必须是已经过实践检验，证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系

17、统具有高度的可靠性、稳定性和容错性。6、安全性建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应未来系统可能的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，为未来的系统扩充打下基础，保证需求增加时系统的平滑扩充，保证前期的投资。9、高可管理性整个系统的设计要层次清晰、功能明确，便于性能分析、故障诊断，能实现对系统资源的全面监控和优化配置，对访问的有效监控和审计，保证整个系统具有高度的可管理性。3.

18、2 信息安全技术设计信息安全技术设计3.2.13.2.1 机房设计机房设计3.2.1.1 机房位置的选择机房设置在综合保税区A区2楼，按照国家机房标准设置，具有防震、防风和防雨等能力。3.2.1.2 机房访问控制a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。3.2.1.33.2.1.3 防盗窃和防破坏a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房安装必要的防盗报警

19、设施。3.2.1.43.2.1.4 防雷击a)机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置；b)机房设置交流电源地线。3.2.1.53.2.1.5 防火机房应设置灭火设备和火灾自动报警系统。3.2.1.63.2.1.6 防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)采取措施防止机房内水蒸气结露和地下积水的转移与渗透。3.2.1.73.2.1.7 防静电整个机房采用防静电地板设计。3.2.1.83.2.1.8 温湿度控制机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。3.2.1.93.2

20、.1.9 电力供应a)应在机房供电线路上配置稳压器和过电压防护设备；-第 11 页b)应提供了30KVA的UPS，用于短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。3.2.1.103.2.1.10 电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。3.2.23.2.2 网络设计网络设计3.2.2.13.2.2.1 网络结构设计采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。其网络结构图如下图所示：图图 9

21、9：网络结构图：网络结构图网络中设备、电路均安全可靠，关键设备、电路均有冗余备份，并采用先进的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用性达到使用要求。这样设计，得以实现系统网络安全：保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；保证接入网络和核心网络的带宽满足业务高峰期需要；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。3.2.2.23.2.2.2 访问控制在网络边界部署访问控制设备，启用访问控制功能；根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段

22、级。按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；限制具有拨号访问权限的用户数量。3.2.2.33.2.2.3 安全审计对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。3.2.2.43.2.2.4 边界完整性检查能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。3.2.2.53.2.2.5 入侵检测在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统

23、设置一台IDS检测引擎，用于对计算机和网络资源的恶意使用行为进行识别和相应处理。其结构如下图所示：检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有数据包进行记录和分析。根据规则判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。3.2.2.63.2.2.6 网络设备防护对登录网络设备的用户进行身份鉴别；对网络设备的

24、管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。3.2.33.2.3 主机安全主机安全3.2.3.13.2.3.1 身份鉴别-第 13 页应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务

25、器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。3.2.3.23.2.3.2 访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问；应实现操作系统和数据库系统特权用户的权限分离；应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。3.2.3.33.2.3.3 安全审计审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应

26、包括事件的日期、时间、类型、主体标识、客体标识和结果等；应保护审计记录，避免受到未预期的删除、修改或覆盖等。3.2.3.43.2.3.4 入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。3.2.3.53.2.3.5 恶意代码防范应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；应支持防恶意代码软件的统一管理。3.2.3.63.2.3.6 资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定；应限制单个用户对系统资源的最大或最小使用限度。3.2.43.2.4 应

27、用安全应用安全3.2.4.13.2.4.1 身份鉴别应提供专用的登录控制模块对登录用户进行身份标识和鉴别；应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。3.2.4.23.2.4.2 访问控制应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访

28、问控制策略，并严格限制默认帐户的访问权限；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。3.2.4.33.2.4.3 安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；应保证无法删除、修改或覆盖审计记录；审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。3.2.4.43.2.4.4 通信完整性应采用校验码技术保证通信过程中数据的完整性。-第 15 页3.2.4.53.2.4.5 通信保密性在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应对通信过程中的敏感信息字段进行加密。3.2.4.63.2.

29、4.6 软件容错应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。3.2.4.73.2.4.7 资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；应能够对应用系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。3.2.53.2.5 数据安全及备份恢复数据安全及备份恢复3.2.5.13.2.5.1 数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统提供完整的日志功能，对所有的业务数据，进行日志

30、记录，以备后查。3.2.5.23.2.5.2 数据保密性应采用加密或其他保护措施实现鉴别信息的存储保密性。系统使用IC卡存储业务数据时，采用了DES加密算法，对关键数据进行加密。3.2.5.33.2.5.3 备份和恢复a)采用了Rose公司提供的、基于共享磁盘阵列的高可用RoseHA解决方案，为用户提供了具有单点故障容错能力的系统平台。b)采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。c)制定详细的数据库备份与灾难恢复策略

31、，并通过模拟故障对每种可能的情况进行严格测试，保证了数据的高可用性。3.2.63.2.6 综合布线系统综合布线系统3.2.6.1 概述综合布线系统范围主要包括联检大楼、闸口及闸口办公区、查验平台及查验仓库及实验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。3.2.6.2 综合布线系统设计为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载能力，综合布线系统采用六类结构化布线系统，采用星型拓扑结构，主干网络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成，各部分均采用标准的模块化构件，以利于将来的

32、升级、扩展。工作区子系统工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座采用双孔面板及相配合的六类信息模块。水平干线子系统水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采用六类阻燃双绞线电缆。本系统采用六类双绞线，用于所有的数据点和语音点，实现信息点可完全互换。垂直主干子系统垂直主干子系统垂直主干子系统采用单模光缆，提供全双工传输通道，具有极大的传输带宽和极高的传输质量。管理子系统管理子系统-第 17 页管理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统）构成，负责

33、楼层内及信息通道的统一管理。主要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜（或机架）等组成。管理子系统将电话模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和管理。系统采用 19”标准机柜，高 42U，顶部安装有 2-4 个风扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内所有的信息点符合规定的编号规则和颜色规则，以方便用户的使用。主配线间（主配线间（BDBD）为实现高可靠性，本系统将主配线架全部安装在机柜内。楼层配线间（楼层配线间（FDFD）在各楼层配线架中，与水平双绞线连接的用户区采用六类配线架，每个信息点完全灵活用于语音或数据。各配线间设置光纤配线架,用来

34、连接多芯光缆，安装在 19”标准机柜内，用于各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。3.2.6.3 海关综合布线系统海关网络按照海关总署“五网”独立要求，分别设置管理网、运行网、电子口岸专网、互联网和语音网。海关网络覆盖范围包括：闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络采用三层结构设计，由核心层、汇聚层、接入层组成。核心层设置在海关信息中心机房，汇聚层设置在海关信息中心机房、查验平台机房，接入层设置在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择 1 台高性能交换机作为系统主交换机。主交换机与系统服务器连接采用 1000

35、M 连接。3.3 产品选型产品选型3.3.13.3.1 选型原则选型原则在本方案的技术选择和设备选型首先是基于对本项目的理解和分析，并特别考虑到满足未来5到10年的业务发展要求做出的，并遵循以下原则得出的：实用性采用成熟、稳定的技术，满足业务的实际要求；先进性根据当前业务要求，考虑今后5到10年的业务发展需要，在设计上留有余量；可靠性采用目前国际上商用SAN交换机最先进且成熟可靠的软硬件技术；选用可靠性高的产品与技术，充分考虑到在系统出现异常时的应变与容错能力，从而确保整个系统的高可靠性。扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级能力，完全能满足未来5到10年的业务发展要

36、求；3.3.23.3.2 产品配置清单产品配置清单序号序号名称名称规则型号规则型号单位单位数量数量1数据服务器1.名称:数据服务器台22.技术参数：HP DL580G7 E7520 2P 16GB Svr（配 4*146G 双端口热插拔硬盘，3 年保修现场金牌服务）2应用服务器1.名称:应用服务器台12.技术参数：HP DL388G7 E5506 Entry CNSvr（配内置光驱，2*146G 双端口热插拔硬盘，19液晶显示器，3 年保修现场金牌服务）3操作系统（服务器）Windows server 2003coem 企业版1.名称:操作系统（服务器）套32.规格型号：Windows ser

37、ver 2003 coem企业版4数据库软件 SQLServer2008 工作组版1.名称:数据库软件套22.规格型号：SQL Server2008 工作组版5网络交换机LS-5120-28P-SI-H31.名称：网络交换机台132.技术参数:LS-5120-28P-SI-H3，配光模块-第 19 页6网络交换机LS-5500-28C-EI1.名称：网络交换机台202.技术参数:LS-5500-28C-EI，配光模块、堆叠模块、堆叠线7网络交换机LS-5500-28F-EI-AC1.名称：网络交换机台72.技术参数:LS-5500-28F-EI-AC，配 8 个光模块8操作系统（客户机）Win

38、dowsXPP COEM1.名称:操作系统（客户机）套12.规格型号：WindowsXPP COEM9磁盘阵列1.名称：磁盘阵列台12.规格型号：MSA2300SAG2，含磁盘柜，支持 12 槽,配 6x300G SAS 热拔插硬盘10双机热备份软件1.名称:双机热备份软件套12.规格型号：ROSEFOR WINDOWS 8.5 版本11电源防雷器1.名称:电源防雷器个122.型号:ZFDF-2203.参数：标称通流容量：20KA最大通流量：50KA残压：200V响应时间：25ns12接地铜心线BVR-25mm21.引下线材质、规格、技术要求(引下形式)：BVR-25mm2 铜芯线，均压环引至

39、联合接地体m96.82.部位：主龙骨接地线、配电柜接地线13接地铜心线BVR-50mm21.引下线材质、规格、技术要求(引下形式)：BVR-50mm2 铜芯线，均压环引至联合接地体m37.82.部位：主龙骨接地线、配电柜接地线14抗静电地板接地跨线1.名称：抗静电地板接地跨线 BVR6处10815等电位接地铜排1.均压环材质、规格、技术要求:30*3 铜排，地板下安装，做等电位均压环米9016防雷器 B 级ZGG120-3851.名称、型号：防雷器 B 级 ZGG120-385组12.电压等级：400V17防雷器 C 级ZGG80-3851.名称、型号：防雷器 C 级 ZGG80-385组42

40、.电压等级：400V18防雷器 D 级ZGG40-3851.名称、型号：防雷器 C 级 ZGG40-385组12.电压等级：400V19输入输出模块1.名称：输入输出模块JF-M02个12.输出形式：单输出20接线端子箱1.名称：接线端子箱台12.型号：JPH90121感烟探测器1.名称:感烟探测器 JTY-GD/JF-D11只82.其它：符合设计及规范要求22感温探测器1.名称:感温探测器 JTW-BCD/JF-D12只82.其它：符合设计及规范要求23手动报警按扭1.名称:手动报警按扭 J-SAP-M/JF-D13只32.其它：符合设计及规范要求24声光报警装置1.名称:声光报警装置 JB

41、U-VM1372B台32.其它：符合设计及规范要求25报警控制器1.名称:报警控制器 JB-QBZ-JF998X台12.其它：符合设计及规范要求26控制器电源1.名称:控制器电源 24V/10A台12.其它：符合设计及规范要求27气体灭火器1.名称：气体灭火器套42.规格型号：2*4KG 含箱体 CO228自动报警系统装置调试1.名称：自动报警系统装置调试系统12.点数:128 点29电源配电柜1.名称：电源配电柜台12.规格型号：1 路市电入、1 路 UPS 入、5路市电出、10 路 UPS 出，含三相电源防雷30配电柜1.名称：配电柜台22.规格型号：1 路市电入、1 路 UPS 入、5路

42、市电出、15 路 UPS 出，含三相电源防雷31柜式空调 5P1.名称：柜式空调台32.规格型号：5P32UPS 电源 30KVA1.名称：UPS 电源台22.规格类型：30KVA,1 小时,输入为三相,输出为三相,含松下电池、电池柜、空开、铜芯电线，9355-30-N-033UPS 电源柜 15KVA1.名称：UPS 电源柜台12.类型：EDX15KXL31(15KVA、1 小时 输入为三相、输出为单相、含电池及电池柜）34防火墙深信服NGAF台13.3.33.3.3 产品参数产品参数3.3.3.13.3.3.1 数据库服务器数据库服务器 HPHP ProLiantProLiant DLDL

43、5 58080 G7G7基本参数基本参数产品类型：企业级产品类别：机架式产品结构：4U处理器处理器CPU 类型：Intel 至强 7500CPU 型号：Xeon E7520CPU 频率：1.866GHz智能加速主频：1.866GHz标配 CPU 数量：4 颗最大 CPU 数量：4 颗制程工艺：45nm-第 21 页三级缓存：18MB总线规格：QPI 4.8GT/sCPU 核心：四核CPU 线程数：八线程主板主板扩展槽：11 个内存内存内存类型：DDR3内存容量：16GB内存插槽数量：64最大内存容量：2TB存储存储硬盘接口类型：SAS标配硬盘容量：900GB最大硬盘容量：4TB硬盘描述：3 块

44、 300GB SAS 硬盘内部硬盘架数：最大支持 8 块 SAS/SATA/SSD 硬盘热插拔盘位：支持热插拔RAID 模式：1 个智能阵列 P410i/512MB FBWC光驱：薄型 SATA DVD ROM网络网络网络控制器：1GbE NC375i 四端口网卡管理及其管理及其他他系统管理：HP Insight Control 套件 24x7 支持带 iLO 高级软件包的 Insight Control（iLO 3）电源性能电源性能电源数量：4 个电源功率：1200W全新的HP ProLiant DL580 G7服务器适用于大部分应用，是数据密集且需要向上扩展的工作负载的理想平台。HP Pr

45、oLiant服务器发挥最佳应用程序运行时间和性能为客户带来更多的效益包括：HP ProLiant DL580 G7 服务器利用HP ProLiant DL580 G7服务器可扩展的4核性能和类似Intel MachineCheck Architecture(MCA)复原的耐用安全功能，增进系统可靠性。与前一代8插槽服务器相比，HP ProLiant DL580 G7为数据密集型应用程序带来3倍于以前的数据库性能。因为采用Intel 7500 系列处理器，该服务器允许向上扩展更多的客户端。HP ProLiant x86服务器带来的卓越性能包括：适用于HP ProLiant DL系列G7服务器的H

46、P Intelligent Power Discovery，在服务器和第三方设施管理之间建立自动化的能源感知网络，排除过度配置能源容量的问题。通过HP Insight Control提供的Integrated Lights-Out Advanced(iLO 3)，加速远程服务器管理任务作业。iLO 3远程控制面板的执行速度比之前版本快8倍，提高管理员的管理效率。HP Insight Control配备动态用电控制技术后，可以正确监督和控制每台服务器所使用的能源，加强使用数据中心、重新收回过度配置的能源，并增加数据中心3倍的容量。特别为 HP ProLiant 而扩展的 HP Mission C

47、ritical Services，将宕机时间降至最短，并通过增强的应用程序可用性，降低客户必需不断支付的运营成本。3.3.3.23.3.3.2 应用服务器应用服务器 ProLiantProLiant DL388DL388 G7G7基本参数基本参数产品类别：机架式产品结构：2U处理器处理器CPU 类型：Intel 至强 5600CPU 型号：Xeon E5649CPU 频率：2.53GHz智能加速主频：2.93GHz标配 CPU 数量：1 颗最大 CPU 数量：2 颗制程工艺：32nm三级缓存：12MB总线规格：QPI 5.86GT/sCPU 核心：六核CPU 线程数：12 线程主板主板扩展槽：

48、6内存内存内存类型：DDR3内存容量：2GB内存描述：PC3-10600R RDIMM DDR3 或 PC3-10600E UDIMM DDR3内存插槽数量：18最大内存容量：192GB-第 23 页存储存储硬盘接口类型：SATA/SAS标配硬盘容量：标配不提供最大硬盘容量：8TB内部硬盘架数：最大支持 8 块 SFF SATA/SAS 硬盘热插拔盘位：支持热插拔RAID 模式：P410i 控制器网络网络网络控制器：两个 NC382i 双端口千兆网卡管理及其他管理及其他系统管理：iLO 3电源性能电源性能电源功率：460W外观特征外观特征产品尺寸：85.9660.7445.4mm产品重量：最大

49、 27.2kg适用环境适用环境工作温度：10-35工作湿度：10%-90%储存温度：-30-60储存湿度：5%-95%惠普 ProLiant DL388 G7(-AA1)机架式服务器一款品质高、价位合理的高信价比 2U 机架式服务器。这款服务器设置有非常出色的内部设计，以 Intel 至强5600 系列处理器作为核心保障，配合大容量的内存和硬盘存储，增加机身的可靠性，更有效的助推企业腾飞的进程。惠普 ProLiant DL388 G7(-AA1)图片惠普ProLiant DL388 G7(-AA1)机架式服务器配置Intel 至强5600系列XeonE5620 型号处理器。这款四核八线程的处理

50、核心采用 32nm 制程工艺，频率为2.4GHz，通过智能加速主频，使处理器的频率提升到 2.666GHz，配合 12MB 的三级缓存，增加了机体应对高强度工作的可靠性。惠普 ProLiant DL388 G7(-AA1)机架式服务器内置有 2GB 的 DDR3 类型内存，智能阵列 P410i/零缓存，充分保障了机体运行的流畅与数据交换的可靠。惠普 ProLiant DL388 G7(-AA1)机架式服务器配置有 2 个 NC382i 双端口千兆网卡，并配合 iLO 3 管理程序，增加机体整体可控程度。惠普 ProLiant DL388 G7(-AA1)机架式服务器的主板上最大设计有 6 个扩