四川政法共享-中铁信弘远-系统试运行总结报告

1、四川省政法部门网络设施共建和信息资源共享项目子平台建设项目（第二批）安全建设项目试运行总结报告项目合同编号：FXCD1009260340中铁信弘远（北京）软件科技有限责任公司年 月目录 TOC o 1-3 h z u HYPERLINK l _Toc333147397 第一章 前言 PAGEREF _Toc333147397 h 3 HYPERLINK l _Toc333147398 第二章 项目建设概况及目标 PAGEREF _Toc333147398 h 4 HYPERLINK l _Toc333147399 2.1 项目建设概况 PAGEREF _Toc333147399 h 4 HYP

2、ERLINK l _Toc333147400 2.2 项目建设目标 PAGEREF _Toc333147400 h 5 HYPERLINK l _Toc333147401 第三章 项目建设原则及依据 PAGEREF _Toc333147401 h 7 HYPERLINK l _Toc333147402 3.1 建设原则 PAGEREF _Toc333147402 h 7 HYPERLINK l _Toc333147403 3.2 设计依据 PAGEREF _Toc333147403 h 8 HYPERLINK l _Toc333147404 第四章 试运行工作回顾 PAGEREF _Toc33

3、3147404 h - 10 - HYPERLINK l _Toc333147405 4.1 系统试运行检查内容 PAGEREF _Toc333147405 h - 10 - HYPERLINK l _Toc333147406 4.1.1 设备环境检查 PAGEREF _Toc333147406 h - 10 - HYPERLINK l _Toc333147407 4.1.2 硬件安装检查 PAGEREF _Toc333147407 h - 10 - HYPERLINK l _Toc333147408 4.1.3 电源检查 PAGEREF _Toc333147408 h - 11 - HYPE

4、RLINK l _Toc333147409 4.1.4 设备运行情况检查 PAGEREF _Toc333147409 h - 11 - HYPERLINK l _Toc333147410 4.2 系统试运行期间问题总结 PAGEREF _Toc333147410 h - 12 - HYPERLINK l _Toc333147411 第五章 试运行总结 PAGEREF _Toc333147411 h - 14 - HYPERLINK l _Toc333147412 第六章 后续服务承诺 PAGEREF _Toc333147412 h - 15 -第一章 前言我单位承建的四川省政法部门网络设施共建

5、和信息资源共享项目子平台（第二批）项目，自2010年9月份入场开始施工以来，得到了业主单位、政法系统各部门、监理单位以及其他系统集成友商的大力支持和配合，通过1年多的共同努力，本项目实施的工作已基本完成，并取得了显著成效。在此，对业主单位、政法系统各部门、监理单位、其他系统集成友商表示衷心的感谢！本项目的顺利完成，得益于业主单位各位领导对项目的重视和关怀，得益于双方实施小组和政法系统各部门业务人员艰苦细致而卓有成效的工作付出，得益于监理单位对项目细心把控和耐心指导，得益于总集等友商对项目的大力支持和无私配合，所有参与者把对共建共享平台建设的理解和应用系统的深刻认识，客观的结合起来并应用到整个实

6、施过程当中。在项目实施的过程中，我们也发现还有一些工作需要进一步的去推进与完善，这一方面需要得到业主单位进一步的关注与支持。同时，在项目实施完毕后，我司（中铁信弘远）也将持续提供优良的服务与技术支持，配合业主共同推进政法系统信息化建设进程。第二章 项目建设概况及目标2.1 项目建设概况四川省政法信息资源共享共建，应本着以政法信息网络为依托，以资源整合为核心，以建立面向各政法部门实际工作需要的信息共享为目标，并逐步开展网络和数据的增值应用。在四川省政法各部门原有信息系统的基础上，搭建水平联接省级政法各部门和纵向联接省级到各市（州）级的政法信息共享平台通信子网，建设适合四川省政法各部门应用需求的信

7、息资源共享的应用系统，即政法信息共享平台资源子网。四川省政法信息资源共享共建的总体目标为：“网络共建、互联互通、资源整合、信息共享、业务协同”。项目建设总体任务如下：一是扩展政法信息传输网络。依托运营商本地和长途传输网，建立四川省政法信息传输网，将省至市（州）155M骨干传输网带宽扩展至622M，为政法信息资源共享提供高带宽、高安全的网络承载平台。二是建成政法信息共享平台。建成由数据库、信息查询系统、网站及信息发布系统、电子邮件系统、数据交换系统等基础应用系统组成的全省政法信息共享平台，集中整合共享软、硬件资源，统筹全网安全保密设施建设，实现人口数据等基础信息数据库在省级政法部门之间共享，市级

8、及以下通过省级平台实现共享，提高政法部门整体工作效率和实战能力。三是建成政法指挥调度体系。建立由“天网”视频监控图像传输及共享、政法高清视频、政法专网VOIP语音电话系统等组成的政法系统指挥调度系统，实现司法押解、警卫路线、审判现场、重点人物等图像跟踪监控，实现远程业务培训、双向会议、案件会诊、嫌疑人辨识、物证图像鉴别等多画面同时传输，满足处置突发事件和特殊工作需要，改善政法部门特别是边远地区的勤务保障条件和应急通信能力，满足政法部门间大量业务通话交流需求和安全保密，节省大量人力物力和差旅、电话等费用。四是实现政法部门网上业务协同应用。建立业务协同共享平台，推进目录体系和交换体系建设，建立业务

9、协同资源管理中心和运行监控中心。接入业务应用系统，逐步实现违法犯罪人员网上“大闭环”协同管理等。2.2 项目建设目标 本项目建设目标如下：在6个省级部门部署边界安全产品；在政法信息共享平台（即：中心）部署边界安全产品、防病毒软件、安全审计等系统，保护政法信息平台中心网络在政法信息共享平台（即：中心）部署CA，在6个省级部门部署LRA遵照等级保护的相关规范和要求，满足客户实际需求，采用等级化、体系化和可信保障相结合的方法，建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。本次项目分别从安全监管、物理安全、终端安全、接入安全、数据安全、中心平台安全和CA认证几个方面考虑，通过一系列的安

10、全措施建设满足四川省政法信息资源共享平台的安全需求。总体安全架构如下图所示： 第三章 项目建设原则及依据3.1 建设原则根据四川省政法部门网络设施共建和信息资源共享项目子平台的实际情况和计算机网络技术的发展现状，在建设实施时，主要遵循以下原则：1、可靠性系统提供的技术设备要保证能在成都地区天气环境下，全天候24小时连续工作，运行稳定可靠。系统要适应成都地区温湿度要求以及电网波动大、电磁信号环境复杂、处于雷击高发区等特点，采取必要技术手段，确保系统设备安全正常运行。2、扩展性系统设计应遵循扩展性原则，整体信息化系统应具有较强的扩充、升级兼容能力，以满足网络业务高速发展的需要。3、兼容性1）系统应

11、采用模块化结构，兼容性要强、扩展性好、安装方便、维护简单；2）系统集成时，数据的接入和输出要确保能在统一平台下各子系统灵活、同步的接入；3）系统应与其他需要联动的子系统兼容。4、开放性系统配置应遵循开放性原则，各系统应提供符合国际标准的软件、硬件、操作系统和数据库管理系统等诸多方面的接口与工具使系统具备良好的灵活性、兼容性和可移植性。5、经济性系统配置具有较高的性能价格比。在满足功能要求的前提下，应当考虑经济性，并充分考虑系统的运行维护成本。6、安全性系统应具有较高的抗干扰、防病毒、防止非法闯入能力，具有自我诊断、及时报警及错误恢复机制，软件及网络应具有相应的加密技术，以保障系统的安全。7、先

12、进性和高可用性系统配置及系统集成应具有合理的先进性和高可用性。3.2 设计依据在本次项目建设过程中，我方将严格遵循以下各类标准与文件和国家标准：信息安全等级保护管理办法公通字2006年16号GB/T28872000 电子计算机场地通用规范GB/5271.1-2000 第一部分：基本术语GB/5271.8-2001 第八部分：安全GB/5271.9-2001 第九部分：数据通信GB/9361-1988 计算站场地安全要求GB/T9387.2-1995 安全体系结构GB/T18336-2001 信息技术安全性评估准则GB50174-2008 电子信息系统机房设计规范ISO/IEC17799:200

13、0 信息安全管理业务规范GB 17859-1999 计算机信息系统安全保护等级划分准则GB_T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB_T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求IATF 3.0 信息保障技术框架GB/T 18336： 信息技术安全性评估准则 第3部

14、分：安全保证要求GB_T 20984-2007 信息安全技术 信息安全风险评估规范 通过对四川省政法部门网络设施共建和信息资源共享项目子平台进行分析，了解实际现状和具体需求，结合四川省政法部门网络设施共建和信息资源共享项目子平台自身的情况，参照信息安全等级保护管理办法公通字2006年16号的解决需要，并以此作为实施的依据和标准。PAGE 16 -第四章 试运行工作回顾 4.1 系统试运行检查内容4.1.1 设备环境检查设备应放置在专门的网络机房中，机房的温湿度、清洁、卫生等环境因素应符合计算机网络机房的要求。设备的清洁是保证设备稳定、安全、长时间不发生故障运行的基本要求。检查目的：保证设备风扇

15、运行正常，设备清洁符合中心平台机房的要求。保证机房温度、湿度、灰尘等符合中心平台设备的要求。检查方法：观察设备风扇是否正常转动，是否出现不协调的噪音，设备外壳、风扇出风处是否有积尘，将观察结果记录到设备记录清单中，并将有积尘的设备统一列出通知设备管理员及机房管理员进行清洁。查看机房中的温湿度计及机房环境监控设备相关指标。检查内容：机房温度机房适度UPS供电设备线缆机房灰尘设备接地机柜接地4.1.2 硬件安装检查设备应放置在机柜中，并且固定好，所有螺丝全部拧紧，但不要扭伤螺纹和螺帽。设备上没有板卡的插槽应装有配套的挡板或挡片，保持设备内的通风、散热、避免灰尘进入设备，造成设备运行异常。检查目的：

16、保持设备在运行时不会松动，保证设备不会因为环境原因导致异常运行。检查方法：观察设备安装及设备挡尘板安装情况，必要时可以人为晃动设备。如发现设备螺丝松动则通知机房管理员加紧松动的螺丝；发现设备缺少挡尘板则通知设备管理员及机房管理员协商相应的防尘措施。检查内容：设备固定设备电缆设备机柜设备挡板4.1.3 电源检查设备电源线的健康状况是设备稳定、长时运行的基本保证，电源线固定应牢固，避免被碰掉导致断电的情况发生。同时，要求注明电源线所接设备，避免人为误插拔。检查目的：保证设备电源线固定、接触良好，电源线、电源插头温度正常。检查方法：观察设备电源线连接及电源线注明情况，用手握电源线及摸电源插头绝缘处，

17、温度是否异常。出现设备电源线连接松动、电源线未注明及电源线温度异常的情况，及时补充标签。检查内容：UPS供电设备电源设备风扇PDU插座4.1.4 设备运行情况检查检查目的：设备配置的正确性及及时修正是整个系统正确、稳定运行的关键。及时查看设备运行情况有利于维护人员及时掌握设备运行期间的软硬件运行情况，及时发现问题及隐患，保障系统稳定运行检查方法：登陆到设备系统，使用相关命令查看设备运行情况。使用查看版本命令，显示IOS的版本、设备持续运行的时间、最近一次重启动的原因、设备主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名，以及设备从何处启动等信息。并且核对相关安全策略是否正确运行，保

18、障整个内网系统的安全与稳定运行。登陆到设备监控服务器，查看相应报警信息；登录到设备查看相关日志，详细阅读日志内容，查看是否有相关告警信息或设备异常信息。检查内容：硬件接口双机热备安全策略网络流量监控日志采集设备监控CA系统软硬件监控服务器日志审核告警信息反馈4.2 系统试运行期间问题总结1、部门至核心平台访问出现中断故障问题描述：2011年4月26日，司法厅用户访问共享平台时断时续，经过与总集至司法厅机房实地排查，发现边界接入防火墙上OSPF路由学习有抖动，造成部门至核心平台的路由访问出现中断。从而使得司法厅用户访问出现时断时续。故障排查：发现出现抖动的路由条目主要存在于核心平台核心防火墙上，

19、经过命令排查，发现核心防火墙路由发布有抖动现象，重新发布路由即可解决问题。故障解决：2010年4月27日，经过调整配置，所有部门边界接入防火墙路由条目学习正常。与迪普工程师到司法厅实地测试后，司法厅至共享平台网络访问正常。问题解决。2、USBkey拨除后页面不关闭的隐患问题描述：2011年5月4日，筹备组发现用户使用USBkey访问综合查询平台时，通过CA认证后，拔下USBkey时，如果用户不关闭访问页面，用户依旧可以访问综合查询，存在安全隐患。故障排查：与中科信和CA厂商工程师沟通后，有以下两种解决办法：一、在应用程序上增加清除连接时效性机制，每隔一定时间去检测USBkey的存在，来验证用户

20、。二、在USBkey驱动上进行改造，在USBkey被拔掉后强制关闭用户当前浏览器。两种方式都可以实现用户的有效及安全访问。故障解决：经过与筹备组、中科信、CA厂商交流后，向唐处长汇报相应问题和解决方式，根据唐处长的建议：由CA厂商经行驱动改造，中科信方配合，改造后当用户拔掉USBkey时，CA驱动会向服务器反馈一个异常报告，由应用程序服务器中断当前连接或返回异常页面，保证访问的安全性。驱动于2011年5月20日升级改造完毕，经过测试后问题解决。3、应用域服务器无法访问问题描述：我司接到监理方与总集通知，共享平台用户无法访问应用域服务器，相关应用无法进行访问。故障排查：我司配合防火墙厂商工程师与

21、总集就应用域服务器无法访问防火墙问题进行驻场排查，在进行抓包分析后，发现应用域内存在大量的广播包，导致正常访问数据无法到达应用域内服务器，配合总集进行应用域服务器网络接入的排查，发现存在环路，将成环线路拔下后，再次抓包分析，交换机工作正常，继续配合相关人员监控应用域交换机。故障解决：一、配合防火墙厂商工程师与总集就应用域服务器无法访问防火墙问题进行驻场排查，经过本周测试与排查，初步判断故障原因为应用域服务器交换机广播风暴造成，将造成环路的网线拔出后，故障消除；二、禁止无关人员去碰触设备及线缆。三、加强机房监控与防范，禁止无关人员进入机房，需要进入机房的人员，需在相关人员的监督下进行相关操作。第五章 试运行总结四川省政法部门网络设施共建和信息资源共享项目自2010年12月16日试