数字化城管租用云服务项目实施预案

61/61XXXX数字化城管租用云服务项目实施方案目录一、 总体建设原则 2二、 总体建设价格 3三、 总体建设思路 4四、 项目建设目标 6五、 项目技术方案 8六、 技术方案优势 16七、 项目产品介绍 21一．总体建设原则为实现上述目标，在系统的建设中应遵循以下原则：先进性充分考虑当前计算机软硬件技术的新成果，建立一个符合国际标准、开放、高性能、易治理的计算机数字化系统。规范性严格遵循国家的相关技术规范和业务规范的要求，应对平台进行整体规划。科学性符合六合城管局当前业务要求和今后一段时期的进展需要，逐步建立一个具有现代化治理、通讯手段的云计算网络，提高系统科学性。可行性在一定资金资源下，建立一个高水平的、完善可行的信息化系统。安全性通信行业对网络的整体安全性有较高的要求，系统安全建设应同步建设，除了能够在多个层次上实现安全目标，还需要建立完善的安全治理体系。可治理性建立完善的运行治理体系，提供强大的网络治理工具与手段，确保系统性能充分发挥，系统运行可靠、稳定。可扩展性整个系统平台系统采纳开放的结构，符合国际标准，适应技术的进展和变化，充分考虑到XXXX数字化都市治理系统目前业务的需求和今后较长时刻内的业务进展需要，网络采纳高速主干技术，智能化网络治理技术，适应业务系统扩充和技术进展的要求。二．总体建设架构1.统一规划、总体设计注重XXXX信息化建设的分时期性，统一标准、统一规划，结合XXXX作为南京市快速进展中区域的整体优势和治理特色，结合XXXX差不多建立的地理信息资源、网络资源等已有的基础信息优势，综合考虑系统建设的总体要求，全面梳理XXXX都市治理业务流程，建立各职能部门的典型业务模型。在此基础上，从治理、决策、统计、信息交换等四个方面入手，合理规划各部门的计算机应用系统，并依照用户的实际需要，对目标系统进行全面地、系统地总体设计，确保系统满足用户各个时期的建设需要，同时幸免信息孤岛带来的高成本、低效率、难维护。2.分步实施、统一集成在统一规划的基础之上，依照XXXX信息化建设的进展，依照总体建设规划，分期分批分区域进行系统建设，力求积极稳妥、勤俭节约。在统一规划和设计的指导下，先建设系统的基础支撑层次的平台系统，做好系统集成的标准体系建设，为不同时期应用子系统的集成工作提供统一的技术框架。3.有用为主、整合资源XXXX各类信息系统的建设应客观地满足当前和以后一段时刻的进展需要，紧密结合自己的工作内容，有的放矢地开展急需系统的建设，将有限的资金投入到必须的项目建设上，特不是建设XXXX的数字都市治理系统，由于面积广、数据大、人员多、部门多，因此有用和够用是建设该项目应该重点考虑的问题。在XXXX数字化都市治理系统建设过程中，以功能有用为主，充分利用已有的网络基础、业务资源、信息资源、环境资源，采纳选用成熟的软件产品和应用系统相结合的建设方针。4.技术先进、行业领先在系统规划过程中，要充分考虑先进的技术，先进的方法，要采纳符合国际进展潮流的技术，要有前瞻性。另一方面，在系统建设过程中，还要充分把握技术的稳定性和成熟性，使得XXXX都市治理信息化项目，既能够达到国内的领先水平，又能满足都市治理长效治理的应用要求。三．总体建设思路XXXX都市治理局信息化平台本期建设规划于“三个中心”理念，即办公中心、指挥中心、数据中心。办公中心指的是XXXX城管局工作人员的办公地点，办公中心是信息化系统的基础，因为其是数据中心的拥有者，是指挥中心的领导者，因此办公中心要统筹治理数据中心与指挥中心；指挥中心实际是指挥、监控中心，其要紧作用是：1.远程运维、监控数据中心；2.通过大屏调取显示交通部门视频监控；3.创建呼叫中心平台。数据中心即建设的核心，规划将信息化平台部署并托管在电信五星级机房，数据中心的作用是提供对外服务的业务系统以及配套的核心数据库系统、安全系统等，还需要做三个中心访问即流量的疏导。数据中心网络部分建设：数据中心规划设计一台防火墙作为系统接入设备，用于汇聚连接办公中心、指挥中心、手机客户端、公安交通系统以及Internet外网等。接入防火墙下联核心交换机，核心交换机为所有网络数据交换处理的中心，负载“三中心”业务系统大部分数据；核心交换机下为接入交换机，作为都市治理局系统服务器的接入网络服务；在核心交换机上旁挂入侵检测设备，用于对都市治理局系统平台网络进行安全检测，针对潜在的或差不多出现的故障隐患进行告警、分析并提出解决方法；在核心交换机上旁路SSLVPN设备，用于对接入试用XXXX都市治理局的使用者进行身份安全加密认证，保证系统平台安全性；在核心交换机上旁路数据库审计设备，用于对XXXX城管局核心数据库系统进行审计分析，保障核心数据库安全性、稳定性。数据中心底层业务及数据库系统的部分建设：配置应用服务器，用于部署城管局本期规划信息化系统，用于对外提供服务；配置城管通服务器，用于承载配套城管通统业务服务；配置GIS服务器，用于承载地理信息系统数据，其数据库建议部署在服务器本地硬盘；配置数据交换服务器，用于对城管局数据进行交互服务；配置数据库服务器，用于承载本期规划城管局信息化平台业务的数据库信息；配置稳定、高效FCSAN系统，即冗余光纤交换机和光纤存储设备，用于存储数据库系统数据；配置在线爱护设备，备份、同步城管局信息化平台数据库数据和服务器操作系统数据，保证数据库、业务的安全性。系统链路部分建设：配置独立双光纤100M宽带互联网链路，用于数字化城管平台外网访问；配置主备双专线，主专线100M，备用专线10M用于六合数字化城管数据中心到指挥中心的专线访问；配置100M专线用于六合公安视频监控中心与六合城管指挥中心专线访问；配置100M独立双光纤宽带互联网链路，用于指挥中心外网访问；配置12319平台2M语音数字中继线。本期项目建设充分考虑用户实际试用需求，目前XXXX都市治理局信息化系统处于第一期建设时期，系统业务会从零开始逐步上线，因此本期六合数字城管项目建设的重点是信息化基础底层架构的建设，即要紧是针对数据库、数据存储底层的建设（FCSAN架构建设、数据库双机架构等），在不白费投资的同时又保持建设系统的高度的可扩展性（增加服务器、存储容量或者存储等简单方式），以满足XXXX城管局信息化系统以后的快速进展需求。本期项目总体架构及方案以XXXX都市治理局角度考虑，综合考虑目前XXXX都市治理局现状及以后进展，细化设计，保障设计方案项目总体设计方案的科学性、先进性、可行性，所投产品选取目前市场上最先进主流的品牌设备及技术使总体架构方案具有一定的前瞻性。四.项目建设目标4.1项目总体目标XXXX都市治理局本期项目建设会依据建设部标准，以治理创新为基础，以信息资源治理为核心，以网络中心和数据中心为支撑，以协同应用为主导，以“执政为民”为目的，建成功能完善、高效有用、高度集成，具有国内区县级先进水平的数字化都市治理平台。总体目标包括：1．建立科学合理的都市治理体系，促进“大城管”格局的形成，解决条块协同工作的问题；2．充分共享现有资源，利用信息化手段建立数字化都市治理平台，拓展各种技术手段，促进都市治理体系高效运行；3．建立切实有效的综合评价体系，保障数字城管工作的长效运行。4．建立并优化XXXX数字化城管系统的软硬件运行平台，完成并整合数字化城管系统的各个分子系统；5．在系统运行平台上部署XXXX数字城管系统软件，完成XXXX数字化城管系统的整体实施和集成。6．建设XXXX级监督指挥中心，实现对全区城管部门的考核和督察。7．实现纵向业务贯穿、横向分工协作，把传统都市治理中分散治理转换为集中治理,统一领导、统一决策、指挥、治理、协调和监督的数字化都市治理体系。8．依托现在的XXXX电子政务网络进行建设整合,建立相应数据交换接口，保证各个平台、系统之间的数据共享。9．建设与共享“110”警用监控设备和XXXX数字城管12319服务中心平台；依托XXXX数字化都市治理监督指挥中心，充分发挥公安、规划、建设、交通、环保、工商、水利等相关职能部门的主管作用，建立和完善工作例会、情况通报、联系走访等制度和机制，以制度化形式来明确和规范工作衔接配合，形成都市治理职能设置相交叉的各专业部门之间、各层级之间的良好协同联动关系。4.2项目时期目标本项目为XXXX数字化都市治理系统建设工程，项目建设遵循“统一规划、分步实施”的原则，依照现有条件逐步实施。我们认为XXXX数字化都市治理系统的建设本期建设内容：本期建设内容：本期（即本期项目）在2015年10月底1.数字化都市治理的体制机制建设，确定治理业务流程，组建数字化都市治理监督指挥中心，建立监督评价体系及绩效评价体系；2.本期建设范围内的基础地理数据修测，一期建设范围内的都市部件和地理编码普查工作，确定部件数据的属地与属主；3.数字化都市治理监督指挥中心的场地建设，相关各机构的相应人员、设施配备；4.数字化都市治理系统的有线、无线网络建设；5.数字化都市治理系统相关运行环境、安全体系的建设；6.数字化都市治理系统应用软件系统开发建设，包括九大标准子系统及拓展子系统；7.建设与南京市数字城管系统的接口系统。五.项目技术方案5.1边界访问操纵六合城管信息系统的边界之内包含多个不同网段的出口区域，汇聚层与核心层之间通过交换机进行边界逻辑划分，边界环境较为明朗，但假如没有一个可集中操纵访问请求的措施，也专门容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者能够利用多种入侵手段，如猎取口令、拒绝服务攻击、SYNFlood攻击、IP欺骗攻击等等猎取系统权限，进入系统内部。因此需要对边界部署访问操纵系统，有效地监控内部网和其他网之间的活动，并对数据进行过滤与操纵，保证业务系统的安全。防火墙是解决网络边界安全的重要设备，它要紧工作在网络层之下，通过对协议、地址和服务端口的识不和操纵达到防范入侵的目的，能够有效的防范基于业务端口的攻击。防火墙采纳高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、上网行为治理、抗拒绝服务攻击（Anti-DoS）、内容过滤、AV、入侵防备等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。防火墙可直接通过功能许可激活的方式，获得包括防病毒（AV）、入侵防备（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。六合城管可采纳防火墙技术实现不同网络区域之间的安全访问操纵，有效抵制来自非信任区域的黑客攻击和降低整个网络的安全威胁。本方案推举天清汉马下一代p系列USG防火墙产品，天清汉马USG防火墙采纳了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采纳天清汉马USG防火墙，能够从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护治理而苦恼，天清汉马USG防火墙是低成本、高效率、易治理的理想解决方案。5.2入侵检测系统依照六合城管的网络结构现状，建议在内部网络区域与其他网络区域之间部署天清汉马下一代p系列USG防火墙设备，采纳串联方式部署在网关设备和内部核心交换机之间，通过配置防火墙访问操纵策略实现对整个外网区域的安全防护效果。从当前的网络拓扑结构来看，在不同的区域网络出口，及网络主干链路上，尽管部署了防火墙设备，但防火墙的作用要紧是网络层、传输层的访问操纵，而针对来自非信任网络的网络攻击、入侵等恶意行为无法做到有效检测及阻断。访问操纵系统（如防火墙）能够静态的实施访问操纵策略，防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段（比如，利用内部系统的漏洞等）对系统入侵和内部用户的入侵等是没有方法操纵的。因此系统内需要建设统一的符合国家规定的安全检测机制，实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体安全性。信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的，专门容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者能够利用多种入侵手段，如猎取口令、拒绝服务攻击、SYNFlood攻击、IP欺骗攻击等等猎取系统权限，进入系统内部。因此需要有效地监控内部网和非信任网之间的活动，并对数据进行过滤与操纵，保证内部网络的安全。目前六合城管网络系统缺乏整体的入侵检测手段，如此会导致对信息系统安全状况不了解，无法定位问题源以及进行安全建设效果的评估。因此建议采纳入侵检测系统，在网络系统内部署。通过入侵检测系统的部署，能够达到三个效果：其一，做到对整个网络区域信息系统安全状况的实施监控与报告；其二，利用入侵检测技术识不威胁来源，并依照威胁调整安全策略；其三，通过入侵检测系统的安全性分析对比，了解网络安全建设效果，对之进行评估。入侵检测系统应支持对所有TCP/IP协议的分析，而对在此基础上衍生出的新型应用层协议，支持动态协议插件技术，能够依照实际情况，在协议分析组中即时增加应对新型协议的分析方法，做到对网络数据的全面协议分析。入侵检测系统需融合基于原理和基于特征的两大类检测机理，在检测机制方面，保证全面性要求。入侵检测系统除了提供对网络具体事件的检测外，还需提供对流量的检测。专门多安全事件往往伴随着网络流量的异常，对流量异常事件的及时发觉和处理，能够有利于扩大治理员的检测范围。有效呈现是入侵检测产品的用户价值体现，入侵检测系统作为风险治理产品，设备本身并不直接给用户带来价值，可不能自动阻断攻击或者是关心用户修补漏洞，所能带来的价值是通过将收集到的信息呈现给用户而实现的。建议部署天阗入侵检测与治理系统，实时抓取分析网络数据，推断是否有违规或者是恶意行为发生并告知网络治理员，协助用户了解网络的内部状况，为用户的网络安全建设提供决策依据。依照六合城管的网络结构现状，建议在网络核心区域部署天阗入侵检测与治理系统，将入侵检测系统引擎旁路连接在网络区域核心交换机上，同时在治理终端安装入侵检测系统操纵台，实现对网络入侵行为的有效检测、呈现以及报表分析等效果。5.3数据库安全审计关于六合城管信息化网络系统来讲，数据库的应用在整个IT系统中起到至关重要的作用，web应用系统提供对不同用户的访问接口，同时服务器区域中其他应用服务器的数据库中储存着极其重要和敏感的信息。一旦发生来自非信任网络的恶意访问或则黑客入侵行为，则数据库中的数据将面临被篡改或者泄露的风险，轻则造成六合城管的经济损失，重则阻碍政府形象甚至社会安全。随着六合城管信息化进程不断深入，业务系统也将变得日益复杂，由内部职员违规操作导致的安全问题会变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品能够解决一部分安全问题，但关于内部人员的违规操作却无能为力。权限划分混乱，高权限账号（比如DBA账号）共用等问题一直困扰着网络治理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用，让数据安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。治理人员总是试图定义各种操作条例，来规范内部职员的访问行为，然而除了在造成恶性后果后追查责任人，没有更好的方式来限制职员的合规操作。我们经常从各种系统日志里面去发觉是否有入侵后留下来的“蛛丝马迹”来推断是否发生过安全事件。然而，系统往往是在经历了大量的操作和变化后，才逐渐变得不安全。另外的情况是，用户通过登录业务服务器来访问数据库等核心资产，单纯的分析业务系统或者数据库系统的日志，都无法对整个访问过程是否存在风险进行推断。从系统变更和应用的角度来看，网络审计日志比系统日志在定位系统安全问题上更可信。围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是IT治理人员和DBA们关注的焦点，解决方案要紧集中在治理和技术两个层面：治理层面：完善现有业务流程制度，明细人员职责和分工，规范内部职员的日常操作，严格监控第三方维护人员的操作。技术层面：除了在业务网络部署相关的信息安全防护产品（如FW、IPS等），还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，对统方行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。只是，审计关键应用程序和数据库不是一项简单工作。特不是数据库系统，服务于各有不同权限的大量用户，支持高事务处理率，还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的差不多要求，还会降低数据库性能并增加治理费用。数据库安全审计系统，需要既能独立审计针对数据库的各种访问行为，又不阻碍数据库的高效稳定运行。具体设计应考虑以下几个方面：有用性:由于业务系统数据在数据库中进行集中存储，故关于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时能够审计数据库返回的错误代码，如此能够在数据库出现关键错误时及时响应，幸免由于数据库故障带来的业务损失；独立性:审计系统应具备统一的策略、集中的审计，适用于不同的设备、操作系统、数据库系统和应用系统的审计要求，并对这些系统不造成阻碍.灵活性:审计系统应提供缺省的审计策略及自定义策略，能够对重要操作、重要表、重要字段进行定义并审计，能够依照用户的业务特点进行策略的编辑。易用性:审计系统应能够基于操作进行分析，能够提供主体标识（即用户）、操作（行为）、客体标识（设备、操作系统、数据库系统、应用系统）的分析和审计报表扩展性:当业务系统进行扩容时，审计系统能够平滑扩容。系统支持向第三方平台提供记录的审计信息。可靠性：审计系统能提供足够的存储空间（1000G以上），满足在线存储至少6个月的要求；审计系统能够保证审计记录的时刻的一致性，幸免错误时刻记录给追踪溯源带来的阻碍。安全性：分权限治理，具有权限治理功能，能够对用户分级，提供不同的操作权限和不同的网络数据操作范围限制，用户只能在其权限内对网络数据进行审计和相关操作，具有自身安全审计功能。本方案推举天玥网络安全审计系统，它基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能，设计中充分贯彻了平台化的思路；由于采纳旁路接入的工作模式，使得天玥系统在实现各种安全功能的同时，对原系统的阻碍降到最低。依照六合城管的网络结构现状，建议在网络系统核心交换机上旁路部署天玥网络安全审计系统，实现针对业务环境下的网络操作行为进行细粒度审计的合规性治理。通过配置SSLVPN网关，将XXXX城管局平台试用用户临时性的需要访问系统内部资源公布到SSLVPN平台上，只为使用者开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对使用者来讲，不需要安装任何客户端软件、通过扫瞄器就能够实现WEB安全接入，对治理员来讲，幸免了治理员大范围客户端的安装和配置问题，提高XXXX城管局系统安全性。5.4稳定性的FCSANFC光纤通道按协议层进行分层，各层之间技术相互独立，留有增长空间，同时由被认可的标准化机构进行开发，FC中的流量操纵机制是在信用度系统上的基础上。所谓的信用度(Credit)是指设备同意额外帧的能力。信用度的多少决定了设备接收额外帧能力的大小。假如同意方没有向发送方发出任何的信用度,那么发送方就不能发送任何帧,在信用度的基础上协调帧传送,能够幸免帧的丢失,同时减少了对整个帧序列进行重传的频率。实际上,这种基于信用度的机制建立在终端节点能够提供的缓冲区(TX-Buffer和RX-Buffer)的数目上,这些缓冲区用于存储到来的数据流。对网络的适应性FC采纳基于信用的流量操纵机制，当同意者有足够的缓存同意发信者的数据时，同意者把Credit（信用度）分配给发信者。它依照发送者的请求分配Credit，仅当发送者没有用完它的Credit时，它才能够发送数据。在MAN/WAN中，发送者必须要等待专门长时刻来获得同意者的确认消息（以向网络发送新的数据）。5.5系统数据在线爱护本次项目城管局规划部署2台数据库服务器，互为HA双机热备；另外，还有GIS、应用、城管通、Web、数据交换等6台应用服务器，均为windowsserver2012或Linux主流操作系统。所有数据库服务器以及应用服务器后端部署了一台双控磁盘阵列。为防止服务器和磁盘阵列因物理或逻辑错误而出现数据丢失，保障系统数据安全，用户需部署一台系统数据在线爱护设备，实现对数据、应用、操作系统、磁盘阵列的全面爱护，当服务器出现数据丢失时，能够通过该爱护设备快速地找回丢失数据；当服务器出现系统故障时，能够通过该爱护设备快速地恢复系统，当磁盘阵列出现故障时，可作为应急存储设备为服务器提供服务。同时设备需满足以下功能需求：（1）可针对windows、linux两种不同平台的数据库、操作系统进行实时备份（2）具备数据块级实时复制功能，I/O级数据同步，源端数据一旦发生变化，灾备端能实时同步，可实现秒级RPO指标。（3）提供CDP连续快照数据备份机制。随时手动创建快照或设定策略自动化创建CDP快照，可实现不低1次/分钟的密集数据爱护。（4）提供回滚以及SAN映射等数据验证机制，可在设备上便捷挂载快照实现快照信息的查看、访问、验证，可通过SAN映射秒级恢复历史数据并保证数据可用性。（5）当生产服务器出现故障时，可通过容灾服务器或虚拟机在线接管生产服务器业务，确保应用连续性；当生产服务器修复正常后，能够支持将容灾服务器接管后的新增业务数据恢复到生产服务器。联创信安的CDP一体机基于数据同步复制技术，通过实时同步I/O，实现数据从源端到目标端的持续捕获，同时能够全自或手动创建数据恢复点，以确保数据发生错误时，恢复数据到最新的时刻点。恢复点采纳基于时刻点的快照技术,以块级增量快照的方式记录下数据源卷的变化，产生多个基于时刻点数据影像。当用户需要恢复数据时，只需要找到CDP一体机中相应的恢复点（快照），直接进行恢复，就能够使源端数据恢复到恢复点状态；也能够手动挂载快照到某台计算机上，查看、复制其内容或者将其共享于网络，供其他主机使用、数据验证、灾备演练等。对快照数据的操作可不能阻碍到生产应用系统，同时数据快照能够多次使用，用户能够基于数据快照进行功能测试或数据挖掘，使数据的价值最大化。5.6项目以后进展趋势以后进展在本期的基础上从扩大监管区域范围、拓展系统功能、完善机制体制为主开展。扩充现有治理队伍，使数字化城管能够深入都市的各个角落；完成以后扩展的20平方公里的数据普查工作，拓展建设范围的都市部件和地理编码普查工作；将治理范围扩展至XXXX周边街镇，并建设街镇二级平台，新增部门、街镇的运行环境及网络建设；拓展更多符合都市治理应用需要的应用系统。5.7充足平台扩展性本期六合数字城管项目建设的重点是信息化基础底层架构的建设，即要紧是针对数据库、数据存储底层的建设（FCSAN架构建设、数据库双机架构等），在不白费投资的同时又保持建设系统的高度的可扩展性，系统能够通过增加业务服务器来扩展信息化业务应用对系统平台无阻碍、能够通过给存储在线添加硬盘或者增加存储的方式扩展系统平台存储容量等方式来满足XXXX城管局信息化系统以后的快速进展需求。六.技术方案优势6.1项目架构总体优势1.项目设计方案依照XXXX城管局现状及以后进展趋势了解清晰。中国电信股份有限公司南京分公司在XXXX都市治理区信息化平台项目有方法初期就开始了接触交流，关于用户目前的现状及用户所想要进展的方向有比较深刻的了解，因此总体设计方案关于甲方的时期性进展需求相吻合；2.项目系统架构核心部件冗余化设计。项目系统总体架构设计中对与城管信息系统最核心的（负载较高）设备如核心交换机、接入交换机、数据库服务器等进行了冗余化设计，防止系统平台核心部件单点故障；3.系统架构安全防护考虑完善。项目系统总体架构设计中关于平台安全防护的考虑尤其完善，首先关于试用六合数字化城管信息系统的用户会进行防火墙防护、SSLVPN加密防护、IDS安全攻击检测防护等多重防护，保障系统免受网络攻击的威胁；其次关于信息化系统的核心数据库系统，设计采纳数据库安全审计系统对数据库行为进行审计爱护，保障核心数据库平台的安全性；关于信息系统内操作系统及存储数据，设计采纳系统数据在线爱护设备，保障服务器操作系统及存储数据的安全性，幸免数据丢失；在通讯链路方面，总体设计架构设计指挥中心、数据中心、公安视频中心之间的访问采纳电信百兆专线链路，保障通讯的安全性，其中最为重要的数据中心与指挥中心之间采纳冗余链路设计，幸免单链路故障问题。4.六合数据中心机房环境及维护优势。电信六合数据中心为国家五星级数据中心，其数据中心内的安防、消防、机房辅助环境都达到国家较高标准；六合数据中心还配备了专业的具备多年工作经验的数据中心维护人员，能够在最快时刻内知晓并解决用户系统问题。6.2防火墙产品优势启明星辰天清汉马USG-FW-12600GP具备以下几点优势：完善的防火墙特性——支持基于源IP、目的IP、源端口、目的端口、时刻、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问操纵——支持流量治理、连接数操纵、IP+MAC绑定、用户认证等多样化的应用过滤

——基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能，同时提供JavaApplet、Cookie、Script和Object的内容过滤功能

——基于黑名单、白名单、邮件主题、附件名称、邮件大小和SMTP命令的邮件过滤功能安全丰富的VPN使组网变得简单——

多VPN支持：GRE、IPSec、L2TP、SSLVPN——丰富的应用：专用的VPN客户端、USBKEY、动态口令卡、图形认证码——灵活的部署：Hub-Spoken、Full-Mesh、DVPN/网关—网关的SSLVPN完善的P2P、IM、流媒体、网络游戏和股票软件操纵能力——P2P操纵：对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速——IM操纵：基于黑白名单的IM登录操纵、文件传输阻止；支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype——流媒体操纵：对流媒体应用进行阻断或限速，支持Kamunppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸点网络电视、猫扑播霸等——网络游戏操纵：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断——

股票软件操纵：对常用股票软件如同花顺、大参考、大智慧等的阻断强大的日志报表功能——记录内容丰富：可对防火墙日志、带宽使用日志、Wwb访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录——日志快速查询：可对IP地址、端口、时刻、危险程度、日志内容关键字等进行查询——报表贴近需求：依照用户具体需求，定制报表内容、定制报表名称、定制企业LOGO，并可形成多种格式的报表文件方便的集中治理功能——通过集中治理与数据分析中心实现对多台设备的统一治理、实时监控、集中升级和拓扑展示可软件升级支持UTM——采纳高性能的硬件配置，具备向UTM升级的硬件基础设施保证——经授权后可软件升级，设备无需下线、无需返厂直接升级为UTM——升级后具备完整UTM功能，相关功能特征库授权后可实时在线更新6.3入侵检测系统产品优势启明星辰天阗NT3000-LT-SRP产品具备以下几点优势：●全面检测——全面信息收集：天阗IDS支持多级、分布式部署，实现策略统一下发，信息集中收集。——全面协议分析：天阗IDS支持协议自识不与协议插件技术，可准确识不特不规端口的协议和新型协议。——全面检测机制：天阗IDS支持基于特征和基于原理的两种检测方式，在保障检测精度的基础上，扩大了检测可识不的范围。——全面事件分析：启明星辰有一套业界最规范的后继服务支撑体系，确保对新型事件的快速准确响应。——全面检测范围：天阗IDS提供网络入侵事件、网络违规事件、流量异常事件等多种异常检测。——全面检测性能：天阗IDS采纳最短时刻优先算法，确保了产品在网络数据高负载情况下的检测效率。

●有效呈现——精确报警信息：天阗IDS结合了环境指纹技术，在发觉有攻击行为后，与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独呈现，减少用户的分析操作消耗。——详尽信息呈现：天阗IDS的报警信息除了事件的双方地址、协议等信息外，还包括了对事件的具体描述、漏洞信息、修补建议、阻碍系统等，能够将最细致的事件信息呈现给用户。——威胁地址定位：天阗IDS提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下，能够将设备拓扑与地理拓扑相结合，使得治理员能够直观而迅速的推断威胁所在。——丰富报表展现：天阗IDS提供基于时刻、地址、事件等多重参数信息的分析报表，结合历史分析数据，可清晰展现安全建设进展趋势，协助考量网络安全建设水平。6.4数据库安全审计设备优势启明星辰天玥GE1000E审计引擎具备以下几点优势：深层监测●

强大的协议解析能力：天玥审计系统融合了语义检测技术和特征检测技术，实现三到七层的协议分析，特不是在数据库SQL语句的语义解析领域处于国内领先地位。系统通过对审计事件、会话信息、会话数据的完整记录和回放，方便治理员进行全局治理。●

全面的协议覆盖能力：天玥审计系统提供了对不同类不数据库系统的审计，支持包括，Oracle、DB2、Sybase、Informix、SQLServer、Teradata、MySQL、PostgreSQL、Cache等多个版本的数据库系统，能够实现绑定变量、SQL命令和字段级的审计；针对运维操作审计，支持包括，Telnet、FTP、Rlogin、X11、Radius等协议，能够实现命令级和过程级的内容审计；针对OA操作审计，支持包括Netbios、SMTP、POP3、HTTP等协议，能够实现URL、邮件内容的审计。●

多码环境的适应能力：天玥审计系统具备识不多种编码的能力，支持包括ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等编码格式，幸免因编码格式不同而导致审计记录出现乱码的情况，保证了审计记录的可读性。●

灵活的规则定义能力：天玥审计系统预置了业界最全面的审计规则集，涵盖了用户常用的网络操作行为。同时为用户提供了便捷的规则自定义功能，能够依照时刻、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合，制定符合用户自身业务环境的审计规则。●

高速的事件入库能力：天玥审计系统采纳了固化硬件架构设计，超大容量数据存储空间，优化的数据存储引擎，在审计策略全部开启环境下，审计事件每秒入库速率达到万条以上，达到国内最高水平，从而幸免用户在事后追踪溯源过程中，出现审计事件漏报的问题。精确溯源●

独特的端口认证功能：系统提供了USB硬件令牌、静态口令、Radius三种认证方式，实现网络TCP端口访问的强制认证，用户可灵活选择。实现对自然人的绑定，当自然人在进行网络操作时，其真实身份与其网络行为进行关联，从而实现对自然人的追踪和稽查。●高效的源头跟踪能力：系统能够针对用户网络环境中出现的指定帐号（比如Root、DBA）、指定应用程序（比如SQLPLUS、PL/SQL），进行随时触发、随时跟踪，减少审计事件过多带来的治理负担。●及时多样的响应方式：系统提供了多种响应方式，支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMPTrap、邮件发送等技术手段，并可与第三方治理平台进行联动（如SOC平台、4A平台等），关心用户实时掌握审计信息。●

易于扩展的分析条件：系统提供了多达20余种的查询条件，条件之间可任意组合，支持与、或、非逻辑运算规则，系统还提供特有的审计取证功能，简化了分析条件的操作，减少了维护工作量，促进了用户内审经验的传递。●

多种维度的合规报告：系统提供60余种报告模板，用户也能够依照自身业务特点生成自定义报表，报表格式包括HTML、EXCEL、CSV、PDF、Word等，提供从宏观数据到微观事件的决策依据。6.5SSLVPN产品优势深信服VPN3050具备以下几点优势：1.安全性。SSLVPN的一个显著特点确实是客户端的易用性，客户端事先并不需要安装任何程序，只要在IE扫瞄器中输入M5450-S对应的公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。依照接入用户的分布，本方案建议远程用户采纳以下四种登录方式，分不是用户名密码方式，USBkey方式，动态短信码方式及硬件特征码认证。2.可治理性。SINFORSSLVPN安全网关能够为治理员访问也提供和一般用户相同的安全保障手段。依照企业内部的治理形式，深信服将设备治理员分为超级治理员和受限治理员，受限治理员只能治理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色，不能关于不在所辖组的用户进行治理和维护。6.6存储协议的优势在存储环境中，发出的块I／0请求的大小一般介于4K到64K之间。以8K的块I／0请求为例，FC的帧大小是2K。因此8K的块I/O请求必须被分成多个小的段，以适应不同的传输帧大小。在FC中，分段和重组操作是在网卡中实现的，因此减轻了主机CPU的负担。因此FCSAN环境保障了XXXX城管局信息化系统稳定性。6.7系统数据在线爱护设不优势联创信安CDP容灾一体机作为新一代数据爱护产品，具有以下产品优势：1）实时备份瞬间恢复：采纳实时备份瞬间恢复；一分钟找回丢失数据；3分钟修复数据错乱；5分钟重建瘫痪主机。2）先进的备份恢复技术：I/O颗粒级实时备份（RPO趋近于0）；瞬间恢复机制（RTO不再是难题）；支持多种传输协议：TCP/IP、FC；数据一致性确认技术；多点自动快照，历史数据轻松猎取；快照副本数量不受限制；瞬间恢复，数据立即可用；开放式架构，支持异构存储；易于维护，简单的图型化治理。3）全面立体防灾：全面爱护数据、应用、系统、存储；轻松应对物理和逻辑故障和灾难；支持众多历史数据副本保留；随时实现：数据恢复、灾备演练、数据验证等操作；支持P2P、P2V、V2V、SANBOOT多种系统重建方式。4）智能的容灾一体化：采纳Console图型化集中治理，所有操作都在Console完成，交互体验更友好；备份恢复大部分操作在后台全自动完成。5）产品亮点：全面爱护应用系统；快速恢复业务运行。七.项目产品介绍7.1XXXXNF5280M4能特性高效智能，弹性扩展，为全新应用优化全新智能计算加速技术，依照顾用需求智能调节，进行优化。采纳最新的内存技术，更高密度、更大容量为企业虚拟化和业务处理提供更好的性能。最新的硬盘接口技术，消除存储瓶颈，大幅提升存储性能。可提供灵活、弹性的I/O功能，支持XXXXFLOM技术，实现极速网络I/O，用户依照顾用的网络带宽需求，进行自由扩展，实现网络性能飞跃。在2U机箱狭小空间内可提供6个标准高速PCI-E3.0扩展槽和1个专用PCI-E扩展槽，支持多达4个全长全高卡，满足高端客户对系统功能和性能的需求。绿色节能，安全可靠，为全新数据中心优化XXXX最新优化的系统环境动态感知和调控技术，可通过精确设置在系统内部的多个温度传感器，实时传递服务器内部温度信息，并对设备内的热插拔冗余风扇动态调节，配合先进的风冷系统实现最佳工作环境，保障系统稳定运行。采纳业内最优的元器件，配合高效电源设计，可比其他方案节能多达20%。XXXX供货治理技术可关心用户对系统功耗，进行精确的实时监测和操纵，进一步提高整体IT架构的能效表现。同时支持最新可信加密技术，爱护客户数据安全。易维护，易治理，提高工作效率内嵌服务器智能治理芯片，可实现完整的IPMI2.0远程系统监控、远程KVM、虚拟媒体等各种治理功能。可支持内嵌大容量闪存，内载XXXX睿捷服务器治理套件v5.2版，可极大简化用户的设备部署、治理和维护工作。为简化数据中心环境下的设备治理，将推出XXXX外置式可视化治理模块，配合XXXX光路诊断功能，治理人员可快速确定需维护的设备，大大减小治理员的工作压力，提供工作效率。应用举例对性能有专门高要求的大型政府、企业的数据库及核心业务软件；对内存和磁盘扩展、网络I/O能力有专门高要求的各种网络服务器；追求超高性能的高性能集群，如渲染作业、制造业CAD、CAE等。7.2XXXXAS520G随着数据存储容量的不断增加，高昂的存储设备成本成为用户的重要IT支出，而网络存储产品凭借其高性能、高可靠、大容量、低成本、操作简便等优势得到了用户越来越多的青睐。AS520G是XXXX存储自主开发，拥有自主知识产权的双控存储产品。该产品集合了目前主流的存储技术优点，冗余的部件模块化设计，满足主流客户对数据存储的需求，是一款性能强劲、功能丰富、高可靠的网络存储产品，是用户数据统一存储、集中治理的良好选择。尤其适合数据库、数据块视频、web服务等应用。产品优势：完全自主研发：拥有自主知识产权的双控存储产品优秀的架构：标准19"工业机架（3U），双热插拔电源、双风扇，各部件均采纳冗余模块化设计强劲的性能：冗余双操纵器（可热插拔），每操纵器标配1颗存储专用处理器；支持主机通道聚合，且不限制主机接入数量；至少提供高速缓存16GB，系统最大缓存96GB，支持缓存爱护功能；支持后端磁盘通道扩展，能够提供6个24GbSAS扩展接口，最大能够扩展18个JBOD。灵活的RAID级不：支持RAID0、1、5、6、10、50、60良好的兼容性：硬件需通过主流服务器厂商的兼容性测试，支持windows/linux等主流操作系统；支持在线动态RAID组扩展和动态逻辑卷扩展；便捷的治理方式：支持CLI/WEB治理方式，中文治理界面；支持邮件报警机制，方便治理员及时监控设备运行状态7.3联创信安SDOP4100计算机应用的不断普及和深入引发数据爆炸性增长和IT治理复杂度不断提升。业务不间断运营已成为衡量企业整体服务能力的重要指标。实现这一指标面临系统，数据，应用三方面安全挑战，传统的双机或备份解决方案无法同时实现上述三方面需求；同时，更快的恢复速度，更细的恢复粒度和更低的成本也是企业关注的重点，企业急需一体化综合信息爱护平台！联创信安实时备份与快速恢复系统（SDOP4100）正是迎合市场需求，着眼于系统和数据的快速恢复和最小数据丢失，致力于业务的不间断运营，为企业量身定制的一体化综合信息爱护平台。联创信安实时备份与快速恢复系统（SDOP4100）不仅涵盖了各类系统灾难爱护（包括人为故障、病毒、软件故障、硬件故障等灾难），而且能够针对不同应用，数据库提供全面的数据爱护，在出现突发意外业务中断时提供快速的业务恢复（RTO指标）并将数据丢失（RPO指标）降至最低，有效地保障了企业系统数据的安全性和业务的连续性。SDOP4100基于同步数据复制技术，实现对I/O的连续捕捉，以确保数据发生错误时，数据恢复到最新的时刻点。同时，采纳基于时刻点的快照技术（CDP）,以块级增量快照的方式记录下数据复制卷的变化，产生多个基于时刻点数据影像（全自动实现历史快照副本精确到分钟级）当用户需要恢复数据时，只需要找到SDOP中相应的数据快照，进行简单的恢复操作，就能够将某时刻数据瞬间恢复；假如某一快照临时需使用时，也能够使用挂载功能快速的查看及打开使用。对快照数据的操作可不能阻碍到数据复制卷的数据，同时数据快照能够多次使用，用户能够基于数据快照进行功能测试或数据挖掘，使数据的价值最大化。在系统故障时，能够通过SDOP智能的远程引导功能（SANBOOT），在短短的几分钟内恢复主机的运营，保证了业务不间断工作，实现理想的RTO及RPO。技术特点：提供对Windows/Linux操作系统平台的应用数据爱护；提供Oracle/Sybase/DB2/SQL/Exchange等应用的持续数据爱护；灵活的爱护策略，实现定时、自动或手动快照爱护，确保数据的安全性和系统的连续性提供智能agent，确保快照数据的逻辑一致性；多种数据恢复方式，支持P2V、P2P、V2V直接恢复，不需要第三方工具协助恢复，实现随时的恢复演练；支持备份存储空间在线添加扩容，实现存储空间的动态分配和无缝扩容；支持SANBOOT系统重建，可基于FC实现系统快速引导重建，达到近HA功能；支持存储设备在线爱护，当存储故障后可通过备份副本分钟内接管存储为前端应用提供服务，达到近HA功能；先进、高效的RAID技术确保备份数据的安全可靠；7.4大唐保镖HL-5708大唐保镖HL-5708KVM切换器内附标准型机架安装套件，另提供单人简易安装套件(选购型)，以满足不同安装需求。它整合了17寸LCD显示器与KVM操纵端于单一抽拉式机体中，LCD屏幕可展开至115度，以提供舒适的检视角度，而且每台服务器的视讯设定会自动调整至萤幕显示的最佳状态。它支持自动扫描功能，可监控用户所选择的服务器设备。大唐保镖HL-5708支持热插拔，无需将KVM关闭即可直接增加或移除服务器。它体积小巧，上盖与底部设计仅占用少于1U机架空间，有效节约机柜空间，是机柜标准操纵设备。它支持两层密码安全机制，只有被授权的用户能够检视及操纵电脑，最多可同意4个用户及一个治理者，且每个皆有独立的数据文件。7.5XXXXFS5800产品特性及优势：1.4个10Gbps/20Gbps堆叠(ISL)端口：出厂含有缺省被激活的4个10Gb可堆叠的端口，客户能够非中断的升级ISL端口在一个或多个交换机升级到20Gb，最大限度的降低成本2.20个8Gb设备端口：在1U的尺寸中增加了4个连接设备的端口，每个交换机可扩展到20个8Gb设备端口（总共24个端口），且向后兼容4Gb和2Gb的设备和光学配件3.强大的堆叠治理：利用EnterpriseFabricSuite,用户能够治理5000系列产品的堆叠就像一个设备一样，加载微码、应用安全配置变化、和操纵用户以及SimpleNetworkManagementProtocol(SNMP)的治理，最高能够到达6台交换机同时治理。4.迅速可靠的性能：提供无争议的、全双工的带宽，每个交换机544Gbps总带宽可提高投资利用率。可更换的双电源选项和无中断的微码激活，确保空前的一致性用户体验。5.完备的兼容性：与其它的XXXXFS系列交换机全面兼容，也兼容适应FC-SW-2的其它厂商交换机。能够和其它所有的要紧存储、服务器、应用和基础架构的厂商互操作。强大和直观的软件：1.QuickTools™内置的Java®webapplet关于设备的发觉、设备治理、zoning和fabric治理。QuickTools包括一个配置向导和高级的拖拽zoning，这种行业直观的配置方法。2.EnterpriseFabricSuiteEnterpriseFabricSuite捆绑了Fabric跟踪，性能观测，端口阀值预警等高级企业功能，,堆叠治理和mPort™能够挪动的端口激活集成到一个单独的站点许可。消除了用户由于SAN增长而不断购买、维护交换机而持续增长的花费。3.SANdoctor全面的诊断工具，关于Fabric中的问题能够发觉并处理，并能进行介质数字诊断、fabric跟踪路由和fabricping。4.FabricSecurity通过了RADIUS认证、SecureShell(SSH),SecureSocketLayer(SSL)加密认证。设备连接安全使用FibreChannelSecurityProtocol(FC-SP),DHCHAP,andFC-GS-4CT.为用户提供了全面的安全、爱护功能。7.6H3CS5800-32C灵活的端口扩展能力随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能和万兆端口扩展能力。H3CS58系列机箱式交换机支持业内最高的万兆端口密度，单台设备能够按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还能够提供灵活的千兆接入端口，能够提供16个千兆光接口或者电接口扩展模块，单台设备能够按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或中小网络核心关于光电混合配置的要求。智能弹性架构H3CS5800/S5820X系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，要紧体现在四个方面：*扩展性：IRF技术同意交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP治理，同步升级的优点，同时大大降低系统扩展的成本。*可靠性：通过专利的路由热备份技术，在整个IRF组内实现操纵平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，幸免了业务中断。*分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。*可用性：通过标准的万兆以太网接口实现智能弹性架构，能够依照需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅能够实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。强大的缓存能力针关于数据中心大流量数据无堵塞传输的要求，H3CS58系列能够提供强大的缓存能力，同时支持先进的缓存调度机制能够保证设备缓存能力有效利用的最大化。灵活的风道方向选择为了更好的配合数据中心的风道设计，S5800/S5820X系列交换机部分款型为用户提供了更灵活的风道方案，在实现前后风道的同时，用户还能够通过选择不同的风扇框来实现不同的风向（从前往后或者从后往前）。7.7H3CS3600v2-28TP-EI丰富的IPv4和IPv6三层功能H3CS3600V2系列交换机硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道（包括手工Tunnel，6to4Tunnel，ISATAPTunnel，auto-Tunnel），三层线速转发。既能够用于纯IPv4或IPv6网络，也能够用于IPv4到IPv6共存的网络，组网方式灵活，充分满足当前园区网从IPv4向IPv6过渡的需求。支持丰富的IPv6路由协议，包括RIPng、OSPFv3、ISISv6、BGP4+forIPv6。支持IPv6的邻居发觉协议（NeighborDiscoveryProtocol，NDP），治理邻居节点的交互。支持PMTU发觉（PathMTUDiscovery）机制，能够找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并得到最佳的吞吐量。智能弹性架构H3CS3600V2系列交换机支持IRF2（第二代智能弹性架构）技术，确实是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也确实是讲，用户能够将这多台设备看成一台单一设备进行治理和使用。IRF能够为用户带来以下好处：*简化治理IRF架构形成之后，能够连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到治理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分不对它们进行配置和治理。*简化业务IRF形成的逻辑设备中运行的各种操纵协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，能够替代原有的生成树协议，如此就能够省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时刻。*弹性扩展能够按照用户需求实现弹性扩展，保证用户投资。同时新增的设备加入或离开IRF架构时能够实现“热插拔”，不阻碍其他设备的正常运行。*高可靠IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，如此通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。*高性能关于交换机来讲，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。增强的以太网供电功能（PoE+）H3CS3600V2系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型能够提供每端口最大30W的输出功率，能够为802.11n的无线接入点，可视IP电话，以及更多的终端设备提供以太网供电能力。7.8启明星辰天清汉马USG-FW-12600GP天清汉马USG防火墙要紧由两部分组成：USG防火墙设备和天清集中治理与数据分析中心。USG防火墙设备：即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动和网络资源滥用等威胁，实现精确防控的高可靠、高性能、易治理的网关安全设备。天清集中治理与数据分析中心：要紧功能分为集中治理功能与数据分析功能，集中治理是对USG防火墙设备的集中治理、统一监控和升级中心，通过它能够集中配置、监控和治理所管辖的多台USG防火墙设备，并按照一定的规则组织成层次结构，方便治理员关于整网USG防火墙设备的监控维护工作；数据分析中心是USG防火墙设备海量信息的后台处理中心。要紧完成USG防火墙设备日志和流量信息的存储、分析、审计和处理功能。防火墙作为网关类产品，究竟什么样的软件结构更有利于提升整体性能？那么首先需要明白什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗50％来自于模式匹配，25％来自于协议重组、25％来自于报文重组的结论。网关分析处理引擎性能消耗分析如何融合分析处理引擎，合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。基于研究数据，启明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。立即防火墙、VPN、内容过滤和流量治理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。天清汉马USG防火墙本着安全高效原则，采纳“检测与操纵相分离，引擎特征相统一”的一体化设计思想：人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行2－3层过滤，VPN负责接入操