检察院分级保护项目技术方案

目录九设备简要说明一览表3十备品、备件清单10十一规格、技术参数偏离表11十二商务条款偏离表21十三工程实施方案221.前言222.设计依据223.系统定级244.分保系统方案总体设计244.1平安保密建设目标244.2设计原那么与依据254.3系统平安保密防护框架274.4根本防护要求284.5保护要求调整与确定345.分保系统方案详细设计365.1物理平安365.2运行平安465.3信息平安保密605.4平安保密管理795.5产品选型与平安效劳836.残留风险控制946.1方案与标准符合性分析946.2残留风险点与风险躲避措施987.视频接访系统方案设计997.1建设目的997.2建设方案1008.实施方案1038.1工程组织1038.2实施方案106十四有效检测报告110十五质量管理体系认证111十六售后效劳承诺详述1121.工程保修内容及效劳承诺1121.1售后效劳承诺及范围1121.2售后效劳具体内容1141.3售后效劳保障1152.客户培训方案117九设备简要说明一览表招标工程名称：**********************人民检察院分级保护及视频接访系统建设工程招标工程编号：XJTF(GK)2016ZF44序号名称规格、主要技术参数及性能说明供货厂一、分级保护建设清单〔1〕硬件设备Ⅰ平安设备1防火墙PowerV6000-F22001U标准机箱；标配18个10/100/1000MBase-T接口，标配12个SFP插槽；网络吞吐：6.5Gbps；并发连接250万；TCP新建连接：6万/秒；IPSecVPN隧道数：5000条；产品通过保密局检测北京网御星云信息技术2上网行为管理NI3100-XF标准1U机架设备，标配6GE+4SFP网络接口，1T存储容量，含专用操作系统与上网行为管理标准软件，支持Oracle、SQLServer、PGSQL、MySQL数据库审计，提供三年硬件质保效劳，三年软件版本与协议库升级效劳；北京网康科技3漏洞扫描天镜脆弱性扫描与管理系统1U标准机箱；6个10/100/1000M扫描电口〔其中一个口可同时做扫描和管理〕，2个USB接口，单电源500G存储空间;默认一年规那么库漏洞库升级；单个任务包含可扫描100个IP地址，具体IP地址不限，最大并发扫描40个IP地址，最大并发扫描100个线程；最大并发6个任务，监测漏洞数大于9300；产品通过保密局检测启明星辰信息技术4屏蔽机柜标准37U机架式机柜，满足C级标准屏蔽要求，保密局推荐目录中产品，标配:10标个屏蔽接头，5个光纤波导管、1个6孔PDU。3个托盘,2个波导窗(300mm*3O0mm),1个16A滤波器，4个风扇。国产5电磁泄露防护插座XG-002采用了滤波和屏蔽技术，除可以使输出更为稳定外，更可以起到抑制所连接信息设备电源线传导泄漏发射的作用；具备普通电源插座所有的功能；工作稳定、配置灵活；平安可靠、性价比高；隔离度：≥50dB(1500KHz—30MHz)；电压：220V±50Hz；电流：10A北京信果科技6微机视频信息保护系统WLH-2干扰方式：视频信息相关干扰；干扰频率范围：10KHz1300MHz；干扰强度：≤85dBuv；干扰方向：全方位；故障指示：声光报警；可连续工作时间：12小时；功耗：＜15W；北京万里红科技股份74路线路传导干扰器LX-100T干扰器在网线中一对空线对上注入伪随机宽带扫频干扰信号,使之能跟随其他三对网线上的信号并行传输到另一终端，频域保护范围：1MHz—1000MHz；电磁辐射强度：≤80dBuv，>被保护信号3dB；干扰方向：全向。成都立鑫新技术科技8保密会议移动通信干扰器LX-300C有效屏蔽场所内的CDMA、GSM、DCS、PHS、TD-SCDMA、WCDMA、CDMA2000的信号成都立鑫新技术科技9涉密标识PT-9700PC标签打印机1台及4卷36mm色带接口：RS-232C、USB端口(1.1或2.0协议)；TZe标签色带〔mm〕:3.5、6、9、12、18、24、36，HGe标签色带〔mm〕:9、12、18、24、36；打印速度：80mm/s〔HGe标签色带〕；操作系统：WinXP/Vista/Win7；内存：WinXP128MB或更高;WinVista512MB或更高;Win7:1GB(32位)或2GB(64位)或更高；硬盘：70MB可用硬盘空间或更高；显示器：SVGA,HighColor以上级别的显卡；兄弟(中国)商业Ⅱ效劳器设备1效劳器I420-G20机架式效劳器,处理器：配置两颗XeonE5-2609v31.9G15M6C；内存：16GB内存支持内存保护，支持内存镜像、内存热备、内存热插拔，最大可支持1.5TB，支持24个内存插槽；硬盘：配置3块300GB2.5寸10KSAS硬盘.最多支持26个2.5寸SATA/SAS/SSD硬盘〔硬盘不返还〕;RAID：配置1GCacheRAID卡，支持2GB、4GBRAID卡，支持RAID0/1/10/5/6；PCI-E插槽：总共10根PCI-E插槽，7个PCI-E3.0x16插槽，3个PCI-E3.0x8插槽；网卡：提供2口个千兆以太网卡，支持网络唤醒，网络冗余，负载均衡等网络特性；管理：集成BMC支持IPMI2.0标准，支持KVMoverIP等高级管理功能的管理模块；电源：配置冗余电源，支持电源记忆功能；节能：提供对效劳器能耗管理软件的支持，在不影响效劳器使用的前提下，自动利用降频、关核、待机等各种综合能耗管理策略实现效劳器系统能耗的降低，到达节能减排和节约用户本钱的目的。主板管理控制器:主板集成管理控制器，驱动程序和系统文件必须内置，按快捷进入安装向导界面，无需引导盘或驱动盘；可通过网络或串口访问，兼容IPMI行业标准；允许用户独立于操作系统状态之外远程访问、监控、维修、修复和升级效劳器，效劳器系统提供平安加固系统。配置正版SUMA效劳器导航管理软件(含介质)，保证效劳器驱动自动加载和操作系统自动安装功能；售后效劳：提供3年有限质保和3年原厂免费7×24上门效劳曙光信息产业股份〔2〕软件1主机加固平安效劳1、结合高检院CA认证系统，对所有内网计算机进行用户名、密码设置和相关策略设置,bios设置；2、终端非法软硬件清理；3、关闭内网设备的暂不使用的端口和效劳；4、所有内网ip与mac地址及端口绑定设置。等终端及网络设备相关平安效劳。**********************公司2主机监控与审计系统天珣内网平安风险管理与审计系统实现内网主机监控与审计。该平台是一个全方位的主机信息平安风险管理与审计工具，其主要功能包含:内网终端接入管理；非法外联控制；终端威胁管理；桌面管理；移动存储管理；终端审计管理；60个点授权启明星辰信息技术3保密三合一系统北京万里红科技股份三合一〔客户端软件〕安装在内部的涉密计算机上，具有对涉密计算机违规外联实施阻断并报警、涉密U盘读写控制和非涉密移动存储介质禁止接入等功能。三合一〔多功能导入装置〕用于涉密人员向涉密计算机导入外部信息，同时负责涉密U盘的接入使用，既能在物理上切断涉密信息向外传输的渠道，又能实现外部信息平安完整地单向导入，满足涉密网内正常的信息交换需求。三合一〔涉密U盘〕具有统一外观、统一标识、专用接插件和一系列平安保密防护措施的专用移动存储介质，用于存储涉密信息并在涉密计算机之间实现信息交换。4效劳器操作系统Windowsserver2008R2中文标准版5用户简包微软〔3〕其它1屏蔽机柜散力架700*1000*20,10#槽钢制作八钢集团2网线超五类屏蔽网线一舟集团3辅助材料超5类屏蔽水晶头、USB封堵头及其它二、视频接访建设清单1高清摄像头PTC-120输出3G-SDI、DVI-D、Component与CVBS视频，视频格式：1920x1080_60P、59.94P、50P、30P、29.97P、25P。1920x1080_60i、59.94i、50i。1280x720_60P、59.94P、50P。720x480i、720x576i。镜头分辨率达2百万像素。20倍光学倍率与12倍数位倍率。IRIS采取自动测光调光功能。内建2D与3D数字噪讯处理功能，能够保持视频最正确画质。可拍摄宽度左右达340度、上90度与下30度宽角度拍摄。每秒300度的快速移动，可以迅速到达你需要的拍摄画面。多达128预设拍摄点可设定，不会遗失任何需要的画面。上海洋铭数码科技2高清终端H800-A19英寸1U机架式；体系标准：H.323、SIP；视频标准：H.261、H.263、H.263+、H.264、H.264HighProfile、MPEG-4；音频标准：G.711、G.719、G.722、G.722.1、AnnexC/P、G.728、MPEG-4-ACC、G.729、MP3；网络协议：TCP/IP、Telnet、、FTP、SNMP、DHCP、RTP/RTCP、PPPoe、NTP；其它标准：H.225、H.235、H.239、H.245、H.281等；会议速率：64K-8M；分辨率：1920*1080、1280*720；接口：HDMI、卡侬、RCA、6.35mm、RS232、RS422、双10/100/1000M以太网、USB、RJ11、红外遥控苏州科达科技股份3麦克风TrueVoc300A全向拾音，频率响应：30Hz～20KHz，最高灵敏度：-20dB，信噪比：超过75dB，拾音范围：全向360°，拾音距离：最远可达6m，音频接口：标准卡侬接口，工作电压：DC9V～54V(幻象供电)苏州科达科技股份4录播效劳器KDV2000B-S7寸触摸显示屏,2个1TB硬盘(支持RAID),2个DVD刻录机,支持光盘同步刻录，同步录音录像机，专用硬件设备，具备10/100/1000M自适应以太网接口，采用数字化录像存储，通过网络直接接收终端的数字视音频码流，防止因二次编解码带来的图像和声音损伤，录制后的文件存储在本地硬盘中，码率、编码格式、及分辨率与原接访过程均保持一致。支持1080P、720P、4CIF、CIF、VGA、XGA、SXGA等图像格式的录制，支持128K~8M视频接访码流录制。支持同时录制接访视频图像和物证图像，第二路物证图像可以是电子物证，也可以是静态实物证据。同步录音录像机须与高检院、省院接访业务系统高度整合，视频接访开启/结束时，接访业务系统自动对同步录音录像机进行开始录像/停止录像控制，无需独立控制同步录音录像机。可以通过接访业务软件客户端进行播放，观看录像文件时系统能同步定位至当前电子笔录内容。录制的接访视频文件可以根据需要进行选择刻录，可通过设备的触摸屏一键刻录。能够无缝接入高检院、省院现有接访平台，配合高检院、省院现有接访业务系统开展远程视频接访工作。苏州科达科技股份5手写板及手写笔TL-FRO1001、采用电磁压感技术实现电子数据和纸质数据同步生成2、保存用户原笔迹苏州科达科技股份6电视机LED60EC550A60英寸全高清LED电视，侧光式LED，逐行扫描支持格式：1080p/1080i/720p，3*USB接口、3*HDMI接口、3.5mm音频接入海信集团7操作PC启天M4500i5-4590四核处理器〔主频3.3GHz，6M缓存〕/IntelH81/4GDDRIII1600MHz/500G7200rpmSATA3/集成显卡/主板集成千兆网卡/光驱/6个USB接口〔含2个USB3.0，2个前置USB接口别离放置，互不干预〕/防水抗菌键盘/1000DPI光电鼠标/塔式机箱，体积20L/21.5寸LED宽屏液晶显示器/主板集成系统保护和同传功能；支持多点复原，支持CMOS参数保护；可以对快捷键进行自定义，灵活控制分区或硬盘。提供考试、保护、开放多种使用模式，满足不同需求；IP地址/计算机名可按不同系统独立分配，适合多种教学环境；智能同传，自动判断需传输数据，提高同传效率；智能排序，按需求分配IP地址和计算机名；分组同传，部署不同内容；排程同传，支持无人值守全自动部署；同传后Photoshop、AutoCAD、3DMax、金山毒霸等软件无需重新注册；支持断电和断点续传，提高同传的稳定性；同传速度最高可达4GB/Min/节能：通过中国环境标志产品和能源之星认证，效劳：三年保修全年无休上门效劳，投标产品厂商效劳体系应通过信息技术效劳管理体系ISO/IEC2000认证和CCCS客户联络中心标准体系认证并提供证书复印件信息平安：投标产品生产厂商具备《信息平安效劳资质》平安工程一级、具备ISO/IEC27001信息平安管理体系〔IT根底架构效劳和应用系统维护效劳〕联想集团8实物展示台HZ-V270清晰度：高于900TV线；变焦：整机220倍放大；对焦/白平衡：自动/手动〔对焦〕；图像特技：负片、冻结、旋转、同屏比照、镜像、文本/图像、黑白/彩色；图像存储：支持；USB2.0接口：有(提供接口软件或附件，可供用户计算机程序实时调用展示台上实物摄像图像，并能控制展台物理操作)；RGB输入输出：DB15FLC各2组；RGB输出分辨率：XGA,SXGA,720P16:9；镜头输出像素：320万；音频输入：3.5mm插口3组；音频输出：3.5mm插口1组；麦克风输入：6.3mm插座；视频输入输出：RCA各1组，S-Video输出1组；顶部光源，LED臂灯，2个*1W，CCFL冷光板；亮度调节：支持北京鸿合盛视数字媒体技术9二代身份证读卡器CID7000居民身份证指纹采集器二代证算法通过公安部检测，身份证感应只需1s，即可快速读取身份证信息〔包括文字、照片、指纹〕，支持现场指纹采集比对，独有的光学无畸变指纹成像系统，指纹采集面积大、速度快；专利指纹算法通过公安部检测，可高效采集干、湿、粗糙等手指；识别速度<1s，识别准确率高达99.99%；前置200万高清摄像头，支持90度旋转，范围取景大；平放在桌上即可满足不同角度现场人脸图像、视频的采集需求；具有语音提示功能，可实现远距离使用操作，人机交互更方便；可与所有符合GA/T1011-2012标准系统连接；可提供完整SDK开发包供系统集成商进行二次开发；配合亚略特TrustLink指纹认证云平台，可实现云端指纹认证；人体工学设计，外表抗磨处理，质地巩固、性能稳定，使用寿命高达数百万次；USB/RS232接口可选深圳市亚略特生物识别科技10扫描仪K810A4幅面平板式扫描仪，分辨率：4800dpiX9600dpi，LED光源，色彩：Color：48-bit,24-bitGray：16-bit,8-bitLineart：1-bit，扫描范围：294mmX214mm，USB2.0接口明基电通11打印机LaserJetProCP1025A4幅面彩色激光打印机；采用HPlmageRE+2400技术，分辨率高达600X600dpi；黑白：高达16页/分钟〔A4〕彩色：高达4页/分钟〔A4〕；标配8MBSDRAM，128MB闪存；1个高速USB2.0中国惠普12DVI-I视频线带放大器DVI24+1/M-M双通道成品20米深圳市联连盛科技13DVI转HDMI视频线HDMI/DVI(24+1)双向互转成品20米深圳市联连盛科技143G-SDI视频线75欧BNC线Q9同轴线高清视频线SDI线成品20米定制15VGA转DVI转换器VGA转DVI24+5带电源海能电子(深圳)16VGA视频线ＶＧＡ3+6针对针双环成品20米深圳市联连盛科技17电视机音频线6.5mm接口音频线成品20米深圳市联连盛科技18麦克风音频线卡侬接口音频线成品20米深圳市联连盛科技19机柜SQ551212U网络机柜，整体焊接结构，茶色钢化玻璃门，侧板可拆卸，外表脱脂、磷化、静电喷塑处理一舟集团20摄像机支架VT-688摄像机三脚架，材质：铝合金、ABS树脂，脚架包中山市云腾摄影器材21双拼电视支架AVT1800-60-2A双屏液晶显示器电视机落地移动推车支架32-60寸昆山(NB)泓杰电子22UPSC2KS2KVA1600W延时60分钟24AH电池6只A3电池柜深圳山特电源23交换机S1724G-AC24个10/100/1000Base-TX以太网端口交换机华为技术24辅材电源插座、网线、管材等投标人名称〔加盖公章〕：**********************公司代理〔被授权人〕签字：十备品、备件清单招标工程名称：**********************人民检察院分级保护及视频接访系统建设工程招标工程编号：XJTF(GK)2016ZF44序号备品备件名称规格型号生产厂家单位数量单价合计1水晶头超五类屏蔽RJ-45头一舟集团盒1250.00250.002DVI-I视频线带放大器DVI24+1/M-M双通道成品20米艾德生/深圳根1280.00280.003DVI转HDMI视频线HDMI/DVI(24+1)双向互转成品20米艾德生/深圳根1280.00280.0043G-SDI视频线75欧BNC线Q9同轴线高清视频线SDI线成品20米定制根1600.00600.005电磁泄露防护插座XG-002信果/北京个2250.00500.00投标人名称〔加盖公章〕：**********************公司代理〔被授权人〕签字：十一规格、技术参数偏离表招标工程名称：**********************人民检察院分级保护及视频接访系统建设工程招标工程编号：XJTF(GK)2016ZF44序号招标文件规格条目号招标规格投标规格偏离说明一、分级保护建设清单〔1〕硬件设备Ⅰ平安设备1招标附件第十二章一〔一〕Ⅰ〔1〕1U标准机箱；标配10/100/1000MBase-T接口数量≥12，标配SFP插槽数量≥12；网络吞吐：>6Gbps；并发连接>220万；TCP新建连接：>5万/秒；产品通过保密局检测PowerV6000-F22001U标准机箱；标配18个10/100/1000MBase-T接口，标配12个SFP插槽；网络吞吐：6Gbps；并发连接250万；TCP新建连接：6万/秒；IPSecVPN隧道数：5000条；产品通过保密局检测正偏离21U可上架硬件平台，审计数据的存储空间不得少于1T，接口数不少于4个10/100/1000MBase-TX网络接口，4个SFP插槽；审计事件每秒入库速度≥4000条/秒，日处理审计事件数≥500万条。NI3100-XF标准1U机架设备，标配6GE+4SFP网络接口，1T存储容量，含专用操作系统与上网行为管理标准软件，支持Oracle、SQLServer、PGSQL、MySQL数据库审计，提供三年硬件质保效劳，三年软件版本与协议库升级效劳；正偏离3招标附件第十二章一〔一〕Ⅰ〔2〕1U机架结构6个10/100/1000M电口〔其中一个口可同时做扫描和管理〕，2个USB接口，单电源500G存储空间;默认一年规那么库漏洞库升级；单个任务包含可扫描100个IP地址，具体IP地址不限，最大并发扫描40个IP地址，最大并发扫描100个线程；最大并发6个任务，监测漏洞数大于9300；产品通过保密局检测天镜脆弱性扫描与管理系统1U标准机箱；6个10/100/1000M扫描电口〔其中一个口可同时做扫描和管理〕，2个USB接口，单电源500G存储空间;默认一年规那么库漏洞库升级；单个任务包含可扫描100个IP地址，具体IP地址不限，最大并发扫描40个IP地址，最大并发扫描100个线程；最大并发6个任务，监测漏洞数大于9300；产品通过保密局检测响应4招标附件第十二章一〔一〕Ⅰ〔3〕标准37U机架式机柜，满足C级标准屏蔽要求，标配:10标个屏蔽接头，5个光纤波导管、1个6孔PDU。3个托盘,2个波导窗(300mm*3O0mm),1个16A滤波器，4个风扇。标准37U机架式机柜，满足C级标准屏蔽要求，标配:10标个屏蔽接头，5个光纤波导管、1个6孔PDU。3个托盘,2个波导窗(300mm*3O0mm),1个16A滤波器，4个风扇。响应5招标附件第十二章一〔一〕Ⅰ〔4〕实现涉密信息设备电源与非涉密信息设备电源的隔离，防止电源线代导辐射导致的失泄密风险。配置:电流1OA,4个插孔，隔离度>50dB(1500KHz-30MHz)。XG-002采用了滤波和屏蔽技术，除可以使输出更为稳定外，更可以起到抑制所连接信息设备电源线传导泄漏发射的作用；具备普通电源插座所有的功能；工作稳定、配置灵活；平安可靠、性价比高；隔离度：≥50dB(1500KHz—30MHz)；电压：220V±50Hz；电流：10A响应6招标附件第十二章一〔一〕Ⅰ〔5〕二级电磁干扰器，显示输出设备采取相应的隔离保护措施，防止显示输出内容被非授权获取。配置：干扰频率范围10KHz-1300MHz,干扰强度≤85dBuv。安装位置：临街局部终端。WLH-2干扰方式：视频信息相关干扰；干扰频率范围：10KHz1300MHz；干扰强度：≤85dBuv；干扰方向：全方位；故障指示：声光报警；可连续工作时间：12小时；功耗：＜15W；响应7招标附件第十二章一〔一〕Ⅰ〔6〕机房和各楼层配线间的红信号线与黑信号线不符合BMB5相关要求，线路传输存在电磁泄漏危险。线路传导干扰器是在网线中的一对空线上注入伪随机带宽扫频干扰信号，到达保护信息传输目的。LX-100T干扰器在网线中一对空线对上注入伪随机宽带扫频干扰信号,使之能跟随其他三对网线上的信号并行传输到另一终端，频域保护范围：1MHz—1000MHz；电磁辐射强度：≤80dBuv，>被保护信号3dB；干扰方向：全向。响应8招标附件第十二章一〔一〕Ⅰ〔7〕隔离频段：CDMA(870-880MHz)GSM(930-960MHz)DCS(1805-1850MHz)PHS(1900-1920MHz)3G(2010-2170MHz)屏蔽范围：前向120度扇形，中心最大距离40米，8档可调，边缘最大距离25米。背向3-5米。〔安装位置应离基站200米以上，基站场强-70dbm〕天线形式：采用四路独立系统，内置专业定向天线。LX-300C有效屏蔽场所内的CDMA、GSM、DCS、PHS、TD-SCDMA、WCDMA、CDMA2000的信号响应9招标附件第十二章一〔一〕Ⅰ〔8〕标签打印机及36mm色带PT-9700PC标签打印机1台及4卷36mm色带接口：RS-232C、USB端口(1.1或2.0协议)；TZe标签色带〔mm〕:3.5、6、9、12、18、24、36，HGe标签色带〔mm〕:9、12、18、24、36；打印速度：80mm/s〔HGe标签色带〕；操作系统：WinXP/Vista/Win7；内存：WinXP128MB或更高;WinVista512MB或更高;Win7:1GB(32位)或2GB(64位)或更高；硬盘：70MB可用硬盘空间或更高；显示器：SVGA,HighColor以上级别的显卡；响应Ⅱ效劳器设备1效劳器处理器：2颗E5-2609v2(2.5GHz/4c)/6.4GT/10M；内存：2×8GBECCDDR3内存，提供20个内存插槽；可扩展至640GB内存扩展；硬盘：3×300GB10000转SAS热插拔硬盘，最大支持24块2.5寸SAS/SATA/SSD硬盘；最大支持12个3.5寸SATA/SAS接口硬盘或固态磁盘；RAID功能：支持RAID0、1、5;I/O扩展：3个PCI-E3.0x16、3个PCI-E3.0x8；网络：配置2个千兆以太网口可选升级万兆；电源及外设：1+1冗余电源，低功耗高效率的电源；DVD光驱、机架安装导轨，硬盘故障不返还I420-G20机架式效劳器,处理器：配置两颗XeonE5-2609v31.9G15M6C；内存：16GB内存支持内存保护，支持内存镜像、内存热备、内存热插拔，最大可支持1.5TB，支持24个内存插槽；硬盘：配置3块300GB2.5寸10KSAS硬盘.最多支持26个2.5寸SATA/SAS/SSD硬盘〔硬盘不返还〕;RAID：配置1GCacheRAID卡，支持2GB、4GBRAID卡，支持RAID0/1/10/5/6；PCI-E插槽：总共10根PCI-E插槽，7个PCI-E3.0x16插槽，3个PCI-E3.0x8插槽；网卡：提供2口个千兆以太网卡，支持网络唤醒，网络冗余，负载均衡等网络特性；管理：集成BMC支持IPMI2.0标准，支持KVMoverIP等高级管理功能的管理模块；电源：配置冗余电源，支持电源记忆功能；节能：提供对效劳器能耗管理软件的支持，在不影响效劳器使用的前提下，自动利用降频、关核、待机等各种综合能耗管理策略实现效劳器系统能耗的降低，到达节能减排和节约用户本钱的目的。主板管理控制器:主板集成管理控制器，驱动程序和系统文件必须内置，按快捷进入安装向导界面，无需引导盘或驱动盘；可通过网络或串口访问，兼容IPMI行业标准；允许用户独立于操作系统状态之外远程访问、监控、维修、修复和升级效劳器，效劳器系统提供平安加固系统。配置正版SUMA效劳器导航管理软件(含介质)，保证效劳器驱动自动加载和操作系统自动安装功能；售后效劳：提供3年有限质保和3年原厂免费7×24上门效劳响应〔2〕软件1主机加固平安效劳1、结合高检院CA认证系统，对所有内网计算机进行用户名、密码设置和相关策略设置,bios设置；2、终端非法软硬件清理；3、关闭内网设备的暂不使用的端口和效劳；4、所有内网ip与mac地址及端口绑定设置。等终端及网络设备相关平安效劳。1、结合高检院CA认证系统，对所有内网计算机进行用户名、密码设置和相关策略设置,bios设置；2、终端非法软硬件清理；3、关闭内网设备的暂不使用的端口和效劳；4、所有内网ip与mac地址及端口绑定设置。等终端及网络设备相关平安效劳。响应2主机监控与审计系统实现主机监控与审计、网络化保密检查、报警信息接收与展示和软再升级发布功能。该平台是一个全方位的信息平安防护和监控工具，其主要功能包含:根据平安策略的设置，在不同层面上对涉密计算机的用户操作等行为进行控制和审计，主要可以同时对主机状态、主机配置信息、账户、进程、效劳、主机连接、打印连接、光盘刻录、非授权接入、共享、补丁、文件和目录等多个功能模块进行监控或审计。当发生违反平安策略的操作行为时，系统将发生违规行为审计日志；可对每一台接入检察机关涉密网络的计算机进行网络化的保密检查；可分为行政区划地图和详细描述对各种违规报警信息进行展示；能够对指定管理范围内的计算机自动安装保密管理平台客户端软件、补丁程序等一切可执行程序和脚本。需含补丁分发功能天珣内网平安风险管理与审计系统实现内网主机监控与审计。该平台是一个全方位的主机信息平安风险管理与审计工具，其主要功能包含:内网终端接入管理；非法外联控制；终端威胁管理；桌面管理；移动存储管理；终端审计管理；60个点授权响应3保密三合一系统三合一〔客户端软件〕客户端软件，对受控主机的信息外泄渠道〔USB、无线、光驱等〕进行封堵，受控主机的USB移动存储介质进行授权认证管理与审计安装在内部的涉密计算机上，具有对涉密计算机违规外联实施阻断并报警、涉密U盘读写控制和非涉密移动存储介质禁止接入等功能。响应三合一〔多功能导入装置〕单向导入设备，对信息进行物理层的单向控制，防止涉密信息在信息传输过程中反向地流入USB移动存储设备用于涉密人员向涉密计算机导入外部信息，同时负责涉密U盘的接入使用，既能在物理上切断涉密信息向外传输的渠道，又能实现外部信息平安完整地单向导入，满足涉密网内正常的信息交换需求。响应三合一〔涉密U盘〕涉密优盘，专用优盘，接口及信息存储不同于普通优盘，可以在涉密设备中进行信息的双向传输。具有统一外观、统一标识、专用接插件和一系列平安保密防护措施的专用移动存储介质，用于存储涉密信息并在涉密计算机之间实现信息交换。响应4效劳器操作系统windowsserver2008R2标准版Windowsserver2008R2中文标准版5用户简包响应〔3〕其它响应1屏蔽机柜散力架700*1000*20,10#槽钢制作700*1000*20,10#槽钢制作响应2网线超五类屏蔽网线超五类屏蔽网线响应3辅助材料超5类屏蔽水晶头、USB封堵头及其它超5类屏蔽水晶头、USB封堵头及其它响应二、视频接访建设清单1第四局部、二-1PTZ摄像机,1080p60,12倍光学变焦,最低照度2Lx,F1.8,信噪比大于55dB,支持正装或倒装装PTC-120输出3G-SDI、DVI-D、Component与CVBS视频，视频格式：1920x1080_60P、59.94P、50P、30P、29.97P、25P。1920x1080_60i、59.94i、50i。1280x720_60P、59.94P、50P。720x480i、720x576i。镜头分辨率达2百万像素。20倍光学倍率与12倍数位倍率。IRIS采取自动测光调光功能。内建2D与3D数字噪讯处理功能，能够保持视频最正确画质。可拍摄宽度左右达340度、上90度与下30度宽角度拍摄。每秒300度的快速移动，可以迅速到达你需要的拍摄画面。多达128预设拍摄点可设定，不会遗失任何需要的画面。正偏离20倍光学变焦2第四局部、二-2高清视频会议终端(8M,超高性能1080p,2个10/100/1000M,DVI输入/输出,19'1U)H800-A19英寸1U机架式；体系标准：H.323、SIP；视频标准：H.261、H.263、H.263+、H.264、H.264HighProfile、MPEG-4；音频标准：G.711、G.719、G.722、G.722.1、AnnexC/P、G.728、MPEG-4-ACC、G.729、MP3；网络协议：TCP/IP、Telnet、、FTP、SNMP、DHCP、RTP/RTCP、PPPoe、NTP；其它标准：H.225、H.235、H.239、H.245、H.281等；会议速率：64K-8M；分辨率：1920*1080、1280*720；接口：HDMI、卡侬、RCA、6.35mm、RS232、RS422、双10/100/1000M以太网、USB、RJ11、红外遥控响应3第四局部、二-3界面话筒,频响30Hz～18000Hz,灵敏度16mv/pa,阻抗200欧姆,信噪比≥74dB,最大声压级128dB,工作电压9V～52VTrueVoc300A全向拾音，频率响应：30Hz～20KHz，最高灵敏度：-20dB，信噪比：超过75dB，拾音范围：全向360°，拾音距离：最远可达6m，音频接口：标准卡侬接口，工作电压：DC9V～54V(幻象供电)响应4第四局部、二-4单路数字同步录音录像机,7寸触摸显示屏,2个1TB硬盘(支持RAID),2个DVD刻录机,支持光盘同步刻录KDV2000B-S7寸触摸显示屏,2个1TB硬盘(支持RAID),2个DVD刻录机,支持光盘同步刻录，同步录音录像机，专用硬件设备，具备10/100/1000M自适应以太网接口，采用数字化录像存储，通过网络直接接收终端的数字视音频码流，防止因二次编解码带来的图像和声音损伤，录制后的文件存储在本地硬盘中，码率、编码格式、及分辨率与原接访过程均保持一致。支持1080P、720P、4CIF、CIF、VGA、XGA、SXGA等图像格式的录制，支持128K~8M视频接访码流录制。支持同时录制接访视频图像和物证图像，第二路物证图像可以是电子物证，也可以是静态实物证据。同步录音录像机须与高检院、省院接访业务系统高度整合，视频接访开启/结束时，接访业务系统自动对同步录音录像机进行开始录像/停止录像控制，无需独立控制同步录音录像机。可以通过接访业务软件客户端进行播放，观看录像文件时系统能同步定位至当前电子笔录内容。录制的接访视频文件可以根据需要进行选择刻录，可通过设备的触摸屏一键刻录。能够无缝接入高检院、省院现有接访平台，配合高检院、省院现有接访业务系统开展远程视频接访工作。响应5第四局部、二-51、采用电磁压感技术实现电子数据和纸质数据同步生成2、保存用户原笔迹TL-FRO1001、采用电磁压感技术实现电子数据和纸质数据同步生成2、保存用户原笔迹响应6第四局部、二-660英寸1080P全高清LED电视，2×HDMI接口,1×电脑接口+音频输入,1×USB接口,1×分量视频输入端子,音频输入端子LED60EC550A60英寸全高清LED电视，侧光式LED，逐行扫描支持格式：1080p/1080i/720p，3*USB接口、3*HDMI接口、3.5mm音频接入响应7第四局部、二-7i5/4G/500G/16×DVD+/-RW/Broadcom10/100/1000千兆网卡/21寸宽屏/Win7Pro操作系统/键盘鼠标套件启天M4500i5-4590四核处理器〔主频3.3GHz，6M缓存〕/IntelH81/4GDDRIII1600MHz/500G7200rpmSATA3/集成显卡/主板集成千兆网卡/光驱/6个USB接口〔含2个USB3.0，2个前置USB接口别离放置，互不干预〕/防水抗菌键盘/1000DPI光电鼠标/塔式机箱，体积20L/21.5寸LED宽屏液晶显示器/主板集成系统保护和同传功能；支持多点复原，支持CMOS参数保护；可以对快捷键进行自定义，灵活控制分区或硬盘。提供考试、保护、开放多种使用模式，满足不同需求；IP地址/计算机名可按不同系统独立分配，适合多种教学环境；智能同传，自动判断需传输数据，提高同传效率；智能排序，按需求分配IP地址和计算机名；分组同传，部署不同内容；排程同传，支持无人值守全自动部署；同传后Photoshop、AutoCAD、3DMax、金山毒霸等软件无需重新注册；支持断电和断点续传，提高同传的稳定性；同传速度最高可达4GB/Min/节能：通过中国环境标志产品和能源之星认证，效劳：三年保修全年无休上门效劳，投标产品厂商效劳体系应通过信息技术效劳管理体系ISO/IEC2000认证和CCCS客户联络中心标准体系认证并提供证书复印件信息平安：投标产品生产厂商具备《信息平安效劳资质》平安工程一级、具备ISO/IEC27001信息平安管理体系〔IT根底架构效劳和应用系统维护效劳〕响应8第四局部、二-8解像度TV线：800线;变焦：整机220倍放大;对焦/白平衡：自动/手动;RGB输出:DB15，分辨率支持XGA,720P,SXGA,WXGA；视频输出：RCA1组,S-VIDEO1组HZ-V270清晰度：高于900TV线；变焦：整机220倍放大；对焦/白平衡：自动/手动〔对焦〕；图像特技：负片、冻结、旋转、同屏比照、镜像、文本/图像、黑白/彩色；图像存储：支持；USB2.0接口：有(提供接口软件或附件，可供用户计算机程序实时调用展示台上实物摄像图像，并能控制展台物理操作)；RGB输入输出：DB15FLC各2组；RGB输出分辨率：XGA,SXGA,720P16:9；镜头输出像素：320万；音频输入：3.5mm插口3组；音频输出：3.5mm插口1组；麦克风输入：6.3mm插座；视频输入输出：RCA各1组，S-Video输出1组；顶部光源，LED臂灯，2个*1W，CCFL冷光板；亮度调节：支持响应9第四局部、二-9USB/RS232接口可选,TypeB非接触IC卡阅读技术，内嵌的专用平安控制模块〔SAM〕CID7000居民身份证指纹采集器二代证算法通过公安部检测，身份证感应只需1s，即可快速读取身份证信息〔包括文字、照片、指纹〕，支持现场指纹采集比对，独有的光学无畸变指纹成像系统，指纹采集面积大、速度快；专利指纹算法通过公安部检测，可高效采集干、湿、粗糙等手指；识别速度<1s，识别准确率高达99.99%；前置200万高清摄像头，支持90度旋转，范围取景大；平放在桌上即可满足不同角度现场人脸图像、视频的采集需求；具有语音提示功能，可实现远距离使用操作，人机交互更方便；可与所有符合GA/T1011-2012标准系统连接；可提供完整SDK开发包供系统集成商进行二次开发；配合亚略特TrustLink指纹认证云平台，可实现云端指纹认证；人体工学设计，外表抗磨处理，质地巩固、性能稳定，使用寿命高达数百万次；USB/RS232接口可选正偏离居民身份证指纹采集器10第四局部、二-10平板式扫描仪，光学分辨率4800x4800dpi，扫描范围：216x297毫米，接口类型USB2.0K810A4幅面平板式扫描仪，分辨率：4800dpiX9600dpi，LED光源，色彩：Color：48-bit,24-bitGray：16-bit,8-bitLineart：1-bit，扫描范围：294mmX214mm，USB2.0接口响应11第四局部、二-11彩色激光打印机，最大打印幅面:A4，最高分辨率：600x600dpi，黑白打印速度16ppm，彩色打印速度4ppmLaserJetProCP1025A4幅面彩色激光打印机；采用HPlmageRE+2400技术，分辨率高达600X600dpi；黑白：高达16页/分钟〔A4〕彩色：高达4页/分钟〔A4〕；标配8MBSDRAM，128MB闪存；1个高速USB2.0响应12第四局部、二-12接实物展示台、摄像机，20M带放大器DVI24+1/M-M双通道成品20米响应13第四局部、二-1320M，接电视机HDMI/DVI(24+1)双向互转成品20米响应14第四局部、二-1420M，接摄像机75欧BNC线Q9同轴线高清视频线SDI线成品20米响应15第四局部、二-15接实物展示台，有源VGA转DVI24+5带电源响应16第四局部、二-1620M，接实物展示台ＶＧＡ3+6针对针双环成品20米响应17第四局部、二-176.5mm接口，音频线，20M6.5mm接口音频线成品20米响应18第四局部、二-18标准卡侬接口，20M卡侬接口音频线成品20米响应19第四局部、二-1912U高度SQ551212U网络机柜，整体焊接结构，茶色钢化玻璃门，侧板可拆卸，外表脱脂、磷化、静电喷塑处理响应20第四局部、二-20摄像机支架VT-688摄像机三脚架，材质：铝合金、ABS树脂，脚架包响应21第四局部、二-21双拼电视支架AVT1800-60-2A双屏液晶显示器电视机落地移动推车支架32-60寸响应22第四局部、二-222KC2KS2KVA1600W延时60分钟24AH电池6只A3电池柜响应23第四局部、二-2324端口千兆S1724G-AC24个10/100/1000Base-TX以太网端口交换机响应24第四局部、二-24电源插座、网线，管材等电源插座、网线、管材等响应投标人名称〔加盖公章〕：**********************公司代理〔被授权人〕签字：日期：2016年5月25日十二商务条款偏离表招标工程名称：**********************人民检察院分级保护及视频接访系统建设工程招标工程编号：XJTF(GK)2016ZF44序号招标文件条目号招标文件的商务条款投标文件的商务条款说明113响应性文件份数正本一份，副本五份，开标一览表一份完全响应212是否交纳保证金已缴纳壹万元整完全响应319付款方式及币种付款方式及币种完全响应421质量保证质量保证完全响应57相关业绩提供业绩证明完全响应69其他有利资料提供涉密资质完全响应79其他有利资料提供**********************合同案例完全响应投标人名称〔加盖公章〕：**********************公司代理〔被授权人〕签字：日期：2016年5月25日十三工程实施方案1.前言政务电子化的建设水平，已经成为评估各国全球化、信息化程度的重要依据，更是衡量各国政府治理能力、创新能力的核心标准。检查机关是一个国家的重要执法机关，在世界各国权力体系中都处于非常重要的地位，其信息化建设是各国政务电子化的重要组成局部，是一个国家信息化建设水平上下的重要标志。**********************人民检察院对本机关信息化建设高度重视，加强对计算机网络系统及信息化系统的建设。为了推动本机关各项业务系统的正常应用，保障信息的平安、高效使用，对各项业务系统进行平安定级、分级，按照国家分级保护要求进行各系统的建设整改，实现**********************人民检察院系统平安防护体系，保障国家利益不受损害，提高办公效率和执法能力。2014年中共中央办公厅、国务院办公厅印发《关于创新群众工作方法解决信访突出问题的意见》，意见要求“明确不受理越级上访和涉法涉诉信访，要求完善民生热线、视频接访、绿色邮政、信访代理等做法，引导群众更多以书信、、、视频、电子邮件等形式表达诉求。建设**********************检察院视频接访系统，是检查机关落实执法为民理念的重要举措，是开展法制宣传、效劳群众的有效途径。有利于群众就地向上级政府机关反映诉求，减轻劳累奔波之苦；有利于上下级政府机关远程示证，共同研究解决群众诉求的方法；有利于上下级政府机关联合接访，促进息诉罢访。2.设计依据《**********************人民检察院分级保护及视频接访系统建设工程招标文件》《招标文件附件：**********************人民检察院分级保护方案201605》GB/T5271.1-2000信息技术词汇第1局部：根本术语〔eqvISO/IEC2382-1：1993〕GB/T5271.8-2001信息技术词汇第8局部:平安〔idtISO/IEC2382-8:1998〕GB/T5271.9-2001信息技术词汇第9局部：数据通信〔eqvISO/IEC2382-9:1995〕GB9361-1988计算站场地平安要求GB/T9387.2-1995信息处理系统开放系统互联根本参考模型第2局部：平安体系结构〔idtISO7498-2:1989〕GB17859-1999计算机信息系统平安保护等级划分准那么GB/T20272-2006信息平安技术操作系统平安技术要求GB/T20272-2006信息平安技术数据库管理系统平安技术要求BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和平安判据》BMB4-2000《电磁干扰器技术要求和测试方法》BMB5-2000《分级信息设备使用现场的电磁泄漏发射防护要求》BMB16-2004《涉及国家秘密的信息系统平安隔离与信息交换产品技术要求》BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》BMB18-2006《涉及国家秘密的信息系统工程监理标准》BMB19-2006《电磁泄漏发射屏蔽机柜技术要求和测试方法》BMB20-2007《涉及国家秘密的信息系统分级保护管理标准》BMB21-2007《涉及国家秘密的载体销毁与信息消除平安保密要求》BMB23-2007《涉及国家秘密的信息系统分级保护方案指南》《中华人民共和国保守国家秘密法》国家保密局1988年9月5日；《国家信息化领导组关于加强信息平安保障工作的意见》中办27号；《关于加强信息平安保障工作中保密管理假设干意见》中保委[2004]7号；《涉及国家秘密的信息系统分级保护管理方法》国家保密局国保发[2005]16号；《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》〔厅字[2000]58号〕；《涉及国家秘密的计算机信息系统集成资质管理方法》国家保密局〔国保发[2005]5号〕《使用保密管理规定》国办、中办发[2005]29号；《关于加强新技术产品使用保密管理的通知》国家保密局国保发[2006]3号；《保密管理指南》国家保密局国保发[2007]5号；《涉及国家秘密的信息系统审批管理规定》国家保密局国保发[2007]18号。3.系统定级**********************人民检察院涉密信息系统定级依据《涉及国家秘密的信息系统分级保护管理方法》〔国保发【2005】16号〕，结合国家保密局颁发的BMB17-2006标准和要求，**********************人民检察院涉及秘密信息含量相对较高，因此**********************人民检察院涉密信息系统的最高级别为“秘密级”，按照秘密级进行建设。4.分保系统方案总体设计4.1平安保密建设目标**********************人民检察院专网涉密信息系统分级保护工程建设总体目标是在不影响**********************人民检察院涉密计算机正常使用的前提下，实现对**********************人民检察院专网系统的建设。使其平安、可靠、稳定的运行，最终符合国家保密局颁发的BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》中的技术要求，到达BMB20－2007《涉及国家秘密的信息系统分级保护管理标准》的相关管理要求，顺利通过国家保密局的平安测评检查，并投入运行。具体目标如下：1．建设**********************人民检察院专网涉密信息系统平安保障系统，能够满足国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20－2007《涉及国家秘密的信息系统分级保护管理标准》审查平安要素的相关要求；2．根据国家平安保密相关标准和法规，将现有涉密信息系统改造成能承载秘密级涉密信息的涉密信息系统，保证涉密信息系统能够为单位各项秘密级应用系统提供平安支撑效劳；3．依托信息平安保障措施，建立具备信息平安保护能力、隐患发现能力、应急响应能力和信息对抗能力的涉密信息系统，保证涉密信息在生产、管理、存储、处理、传输、归档和销毁全过程中的保密性、完整性以及不可否认性，确保涉密信息系统网络运行平安、应用持续平安；4．建立全面、完整并持续改良的信息平安保障体系，对**********************人民检察院专网涉密信息系统平安运行和应用进行长期指导，并能够切实加强**********************人民检察院专网涉密信息系统的网络平安防护力度，满足内部办公的平安需求，促进**********************人民检察院检查的信息化开展；5．能够抵御业务信息化带来的各种平安保密威胁，具备一定的容错、容灾能力，有效的防止内部人员的成心犯罪，抵御来自内部与外部、针对各种对象的各种方式的攻击，防止因信息系统防护措施不到位而导致的信息泄密；6．通过该工程建设，建立起一支能够满足**********************人民检察院专网涉密信息系统平安管理的人才队伍，提高全体职工对涉密信息系统的平安保密意识。4.2设计原那么与依据4.2.1设计原那么**********************人民检察院专网涉密信息系统的建设，依据国家保密局颁发的BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》中关于秘密级系统在物理平安、运行平安、信息平安保密等几局部的要求，到达BMB20－2007《涉及国家秘密的信息系统分级保护管理标准》的相关管理要求。因此具体建设原那么如下：物理隔离涉密信息系统必须与互联网及其他公共信息网络实行物理隔离；分域分级涉密信息系统应根据信息密级、使用单位行政级别等划分不同的平安域并确定等级，按照相应等级的保护要求进行防护；信息流向控制禁止高密级信息由高等级涉密信息系统或平安域流向低等级涉密信息系统或平安域；最小授权与分权管理涉密信息系统内用户的权限应配置为确保其完成工作所必需的最小权限，网络中账号设置、效劳配置、主机间信任关系配置等应该为网络正常运行所需的最小限度，并使不同用户的权限相互独立、相互制约，防止出现权限过大的用户或账号；技管并重涉密信息系统的搭建是一个复杂的系统工程，它包括产品、过程和人为因素，因此系统的平安保密建设方案，需要在考虑技术解决方案的同时一并考虑新疆维吾尔**********************人民检察院管理等方面的问题，从而充分地保障系统的平安性。系统性原那么整个系统的平安设计依据长远打算，考虑到科学技术的开展、攻防技术的进步、系统配置的变化都可能产生新的平安配置变化，因此平安设备需要在整个生命期内得到平安支持，确保系统抗风险水平不会降低。整体性原那么涉密信息系统平安保密的强度取决于系统中最薄弱的环节，系统需要采用技术和管理相结合的整体性平安保密措施。动态性原那么随着网络脆弱性的改变和威胁攻击技术的开展，系统需要及时地、不断地改良和完善涉密信息系统的平安保密措施，及时地进行技术和设备的升级换代，且不造成原有设备的浪费。功能可扩充性原那么涉密信息系统选配的平安产品需要随着计算机技术的开展而不断的扩充。由于信息平安技术在不断开展，因此需要保证产品具备可升级性和可扩充性。实用原那么在建设系统时需要充分考虑保护和利用现有信息资源，整合已有的各类资源，以需求为根底，以考虑开展的需要为依据，确定系统的建设步骤和规模。技术先进成熟原那么在系统设计过程中，需要充分依照国家的标准、标准和要求，借鉴国内外目前所流行的主流信息平安体系结构和平安运行体系，吸取国内外各种信息系统的建设经验，采用成熟的网络设计模式和最新的组网技术，选择先进可靠的平安设备、计算机设备、网络设备、软件产品，使涉密信息系统保持适度的先进性和长期的稳定性。平安设备选型原那么按照规定，平安设备在选型上应选择经过国家保密主管部门认可的平安产品，平安产品必须选用具有研发、生产与销售资质的正规厂商的产品，因为这样可以在以后的运行过程中得到比拟完善的效劳并进一步得到国家主管部门的认可。新疆维吾尔自治区**********************人民检察院专网涉密信息系统在设计上充分地考虑了以上的原那么，又有针对性地采取了相关的平安措施和设备，采取了系统的防护措施，加强了系统管理力度，对保密平安措施的应用作了充分的整体考虑和系统设计，以最大限度地保障系统平安和涉密信息平安。4.2.2设计依据**********************人民检察院涉密信息系统建设依据参照以下相关标准作为系统设计依据：1、法规和文件《中华人民共和国保守国家秘密法》〔1989年5月1日实施〕《中华人民共和国保守国家秘密法实施方法》〔1990年5月25日国家保密局令第1号发布〕《国家信息化领导小组关于加强信息平安保障工作的意见》〔中办发[2003]27号〕《关于信息平安等级保护工作的实施意见》〔公通字[2004]66号〕《中共中央保密委员会办公室、国家保密局关于保密要害部门、部位保密管理规定》〔中办厅字[2005]1号〕《关于开展全国重要信息系统平安等级保护定级工作的通知》〔公信安[2007]861号〕《涉及国家秘密的信息系统分级保护管理方法》〔国保发[2005]16号〕《关于开展涉密信息系统分级保护工作的通知》〔国保发[2006]9号〕《涉及国家秘密的信息系统审批管理规定》〔国保发[2007]18号〕《涉及国家秘密的计算机信息系统集成资质管理方法》〔国保发[2005]〕《信息平安等级保护管理方法》〔公通字[2007]43号〕2、标准标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》BMB18-2006《涉及国家秘密的信息系统工程监理标准》BMB20-2007《涉及国家秘密的信息系统分级保护管理标准》BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》4.3系统平安保密防护框架根据BMB17-2006和BMB20-2007的具体规定，在满足物理隔离与违规外联监控、边界防护与控制、密级标识与密码保护、用户身份鉴别与访问控制、电磁泄漏发射防护、平安保密产品选择、平安保密管理机构、平安保密管理制度和平安保密管理人员等BMB22-2007中规定的根本测评项的根底上，依据“标准定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的指导思想，从物理平安、运行平安、信息平安保密、平安保密管理、产品选型与平安效劳等方面，设计系统的平安保密防护框架，如图下所示。4.4根本防护要求4.4.1物理平安为了保护网络设备、设施、介质和信息免遭自然灾害、环境事故以及认为物理操作失误或错误，及各种以物理手段进行违法犯罪行为导致的破坏、丧失，自治区检察院检察专网需要具备环境平安、设备平安和介质平安等功能。〔1〕环境平安涉密信息系统所在的环境，应配备电磁防护技术措施，同时也得注意防火，防水及防自然灾害。涉密信息系统所在的环境应有一定的警戒范围，管制技术手段。涉密信息系统所在的环境还应有完备的支持性设施〔例如电、供水、排污、加热/通风和空调〕来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。〔2〕设备平安涉密信息系统应注意设备的平安，设备可能会受到环境因素〔如火灾、洪水、电磁干扰〕、未授权访问、供电异常、设备故障等方面的威胁，使组织面临资产损失、损坏、敏感信息泄露或商业活动中断的风险，因此，设备平安应考虑设备安置、供电、电缆、设备维护、办公场所外的设备及设备处置与再利用方面的平安控制。〔3〕介质平安介质是涉密信息的载体，因此涉密信息系统应注意介质的平安。介质的发放、使用、回收及销毁都必须有完整的管理体系。4.4.2运行平安为保障涉密信息系统信息的平安保密，涉密信息系统需要在现有根底上完善备份与恢复、应急响应、运行管理等功能。4.4.3信息平安保密为了保证信息的保密性、完整性、可控性、可用性和抗抵赖性，涉密信息系统需要采用多种平安保密技术，如身份鉴别、访问控制、信息加密、电磁泄露防护、信息完整性校验、平安审计、平安保密性检测、入侵监控、操作系统平安保护、数据库平安保护、三合一系统等。〔1〕物理隔离随着网络应用的普及深入,网络入侵和攻击日益猖獗,网络平安遭受到严重威胁,为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击,确保国家秘密信息的平安,党和国家屡次强调要求涉密计算机及信息系统要与互联网等公共信息网实行物理隔离,国家保密局2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。〔2〕密级标识接入涉密网络的计算机、存储介质及计算机网络产品或设备在使用前,应在设备的醒目处标明密级，粘贴密级标识,并备案登记造册。应用系统密级标识必须明确，数据库相应涉密字段必须进行密级标识。〔3〕身份鉴别涉密计算机的使用必须经过严格的身份认证，确保专机专用。为此可以涉密信息系统将采用身份鉴别技术，使用者在登录计算机系统时必须输入长度超过10位复杂度三种字符以上的密码，在登录涉密应用系统时必须插入专用的IC卡并输入密码经过身份认证，只有认证通过前方可进入应用系统。〔4〕访问控制访问控制技术是要确定合法用户对计算机系统资源所享有的权限，以防止非法用户的入侵和合法用户使用非权限内资源。实施访问控制是维护计算机平安运行、保护系统信息的重要技术手段。它包括网络的访问控制技术、主机的访问控制技术、微型机的访问控制技术和文件的访问控制技术。访问控制可以起到如下作用：保护存储在计算机中信息的保密性，维护机器内信息的完整性，减少计算机病毒感染时机等。〔5〕密码保护信息保密是涉密信息系统平安保密的重要内容，也是涉密信息系统保密的核心。信息在网络上流转时，为了防止被恶意篡改或是被第三方截获造成损失，需要在流转过程中采取密码保护措施。**********************检察院与上级乌鲁木齐市检察院之间链路已部署使用加密机进行加密。〔6〕电磁泄漏发射防护计算机主机及其附属电子设备如视频显示终端、打印机及各种线缆等在工作时不可防止地会产生电磁辐射，这些辐射中携带有计算机正在处理的信息。尤其是显示器，由于显示的信息是给人阅读的，不加任何保密措施，所以其产生的辐射是最容易泄漏。使用专门的接收设备将这些电磁辐射信号接收，并经过处理，就可复原出原信息，因此涉密信息系统必须要有严格的电磁泄漏发射防护措施。〔7〕信息完整性校验完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丧失的特性。完整性是一种面向信息的平安性，它要求保持信息的原样不被篡改，即信息的正确生成和正确存储与传输。完整性与保密性不同，保密性要求信息不被泄露给未授权的访问者，而完整性那么要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有：设备故障、误码(传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码)、人为攻击、计算机病毒等。信息完整性通常在应用系统设计开发阶段完成，主要技术手段为通过哈希函数，通过数学运算形成信息摘要来进行验证。〔8〕系统平安性能检测利用系统漏洞进行恶意攻击，利用木马盗取数据，利用病毒破坏系统及数据，利用恶意代码传播木马及病毒等，这些都是严重危害网络运行平安的行为，因此系统的平安性能检测是重要的一个环节。〔9〕信息输入输出和导入导出管控涉密信息的输入输出和导入导出是涉密信息系统信息平安管理的重点，如果不能严格控制信息的输入输出和导入导出，在用户使用各种介质进行操作时将存在较大失泄密风险。涉密信息系统已通过在终端部署“三合一”系统控制了数据输入输出和导入导出。〔10〕平安审计与监控平安审计是针对信息系统中关键应用的危险性访问事件及防抵赖的审计。平安审计员通过平安审计信息分析、审查可能的危险性操作，起到事前防范、事中控制、事后可追查的作用。〔11〕应用系统平安应用系统是涉密信息运行及操作、存储的平台，大多应用系统开发时间较早，在平安保密、三员分配及保密审计方面已不能满足保密要求，必须对现无法满足保密要求的应用系统进行重新定制或者升级开发。〔12〕操作系统平安操作系统是根本的业务支撑平台，系统漏洞、木马程序、病毒程序等造成操作系统被他人控制或是崩溃，都将给整个网络的平安保密构成极大威胁。〔13〕数据库平安数据库的平安是一个综合的平安问题，它涉及到操作系统的平安，用户身份认证以及数据库自身的平安隐患与配置平安等。〔14〕边界防护与控制边界平安是指各平安域互通引起的平安问题，有入侵、病毒与攻击等。自治区检察院涉密信息系统尚未划分平安域。由于自治区检察院分为两处办公区域，因此各划为一个平安域，平安域边界采用防火墙、IDS等平安设备进行边界防护，其中将主楼效劳器划为主楼重要效劳平安域，并增加一台防火墙进行平安域边界控制，反贪楼效劳器划分为反贪楼重要效劳平安域。各网络边界采用防火墙进行边界防护和相关信息审计的同时，结合网络入侵检测系统对边界危险性平安事件进行检测和预警。4.4.4平安保密管理涉密信息系统需加强平安保密管理，设置平安保密管理机构，制定严格的平安保密管理制度，采用适当的平安保密管理技术，将涉密信息系统中的各种平安保密产品进行集成，并加强对涉密人员的管理。4.4.5VLAN划分平安域的划分主要以保护信息资产平安和数据平安为目的，将有限的人力、财力和物力投入到重点区域的保护中，突出重点，提高网络平安保障的整体水平，依据的原那么和方法如下：处理信息的密级：按照系统中处理不同密级信息的局部划分为不同的平安域；功能区：将应用效劳区、平安管理区、工作区等划分为不同的平安域；行政级别：可将涉密信息系统内属于不同行政级别的局部划分为不同的平安域；信息交换需求：根据系统建设使用单位的组织结构，将不同信息交换需求的用户终端划分在不同的平安域；其他因素：地域分布、业务类型等。平安域是由系统内相同平安策略的主体和客体组成的集合，在划分时根据系统重要性、信息密级、平安策略划分为不同等级平安域，应优先考虑平安域的信息平安保密性，综合考虑结构简化原那么和纵深防御原那么进行设计。根据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》中“根据信息密级、系统重要性和平安策略划分不同”进行平安域划分。在具体划分**********************人民检察院专网涉密信息系统平安域时，有以下两方面具体需要：1)**********************人民检察院专网平安域之间的边界应划清楚确，平安域与平安域之间的所有数据通信都应平安可控。a)需要根据按照信息系统所处理信息的密级进行平安域划分；b)需要将**********************人民检察院专网涉密信息系统的平安管理设备划分为独立的平安域；c)需要将**********************人民检察院专网涉密信息系统的效劳器按所在应用系统最高等级进行划分，划分为工作秘密级应用效劳域、秘密级应用效劳域和秘密级应用效劳域；d)需要明确**********************人民检察院专网涉密信息系统的终端计算机与终端计算机之间的边界，禁止终端计算机之间直接访问。e)需要明确**********************人民检察院专网涉密信息系统终端计算机与效劳器之间的边界，禁止非授权终端越权访问效劳器资源。f)需为**********************人民检察院检查内部办公划分独立平安工作域。2)**********************人民检察院专网涉密信息系统不同等级的平安域间通信，应禁止高密级信息由高等级平安域流向低等级平安域。序号保护等级VLAN范围边界主要功能主要信息资源和应用系统与其它平安域的信息交换控制要求1秘密级平安管理主机主机审计、防病毒、身份认证管理系统、补丁分发系统、电子文档管理系统、平安管理平台、漏洞扫描系统、终端管理系统以及各平安设备管理控制台。管理平安域所管理的各个客户端的VLAN组成集合对全网的网络和平安产品进行策略配置、密钥分发和管理。平安系统产生信息资源防火墙的端口控制和交换机的VLAN访问控制列表，网络接入控制2应用效劳秘密级应用系统应用效劳器与其所对应的业务数据流向部门的VLAN组成集合应用系统系统提供公文传送应用系统秘密级资源防火墙的端口控制、VLAN访问控制列表、网络接入控制〔用户+口令+USBkey〕3用户终端秘密级终端各个部门秘密级VLAN终端访问应用系统秘密级资源访问秘密级信息资源防火墙的端口控制、交换机的VLAN访问控制列表、网络接入控制〔用户+口令+USBkey〕4视频会议视频会议系统视频会议设备三级视频会议访问非密级信息资源防火墙的端口控制、交换机的VLAN访问控制根据对涉密信息系统的现状分析，在综合考虑处理信息的密级、行政级别、功能区，信息交换需求及地域分布的根底上，由于**********************检察院在同一个可控区域里，因此共划为一个平安域，平安域边界采用防火墙、IDS等平安设备进行边界防护，将机房中效劳器划为重要效劳平安区域。在平安域内部根据重要性、区域分布及业务情况划分VLAN，不同VLAN之间设置严格的访问控制策略。4.5保护要求调整与确定根据对**********************人民检察院专网涉密信息系统脆弱性分析和风险分析的结果，并依据相关法规进行涉密信息系统的平安保密建设，将策略、管理、技术信息平安三要素融入了涉密信息系统的物理平安、运行平安、信息平安保密措施、平安管理四个平安层面上。本次建设从物理平安、运行平安、信息平安保密措施、平安管理及平安细化层面上分析并解决问题，以满足信息保密要求。随着应用开展和环境的变化，**********************人民检察院将定期对涉密网络进行风险评估，根据风险和威胁的变化，及时调整和改良防护要求。使新的防护策略能够不断适应涉密信息系统的开展需求。4.5.1原有系统拓扑4.5.2改造后系统拓扑4.5.3总体策略总体的平安策略是按