C)接口配置:千兆路由电口≥16
D)路由协议:支持IPv4/IPv6双协议栈,支持高速IPv4/v6过渡机制,支持IPv4/v6静态路由以及RIP/RIPng、OSPFv1/v2/v3、IS-ISv4/v6、BGP4/BGP4+等动态路由协议;支持IPv6
E)冗余配置:支持电源、交换引擎的冗余配置,关键系统部件无单点故障,支持主备切换无丢包。配置冗余电源及冗余高速风扇;支持设备提供热插拔,在检修时可单独控制,不影响网络设备运行
F)QOS:支持提供IP QoS,支持基于业务的QoS;提供对控制平面的安全控制;防止DOS攻击造成设备死机
G)VPN:支持传统的L2TP和GRE等VPN功能,支持大容量的VPN隧道和并发会话数。支持NAT,实现基于VRF的NAT地址转换功能。可以实现多个VPN的重叠地址的统一地址转换功能,配置NAT功能
H)支持MPLS:支持MPLS TE流量工程,可以实现MPLS VPN骨干网的路径优化和带宽优化,支持MPLS TE FRR快速重路由,可以实现电信级的切换(小于50ms),确保各种关键业务不间断;支持MPLS DS-TE,基于业务的流量工程,确保各种关键业务和多媒体业务的带宽和时延; 支持Ethernet 、HDLC及 PPP over MPLS功能
I)网络管理接口:Console,RJ-45
J) 资证:产品具有工信部入网证
5.2.1.2.6 防火墙
1) 最低配置数量:1台
2) 最低配置性能要求
A) 最大吞吐量:≥400Mbps
B) 端口数量:100BASE-T端口≥4,1000BASE-T端口≥2
C)并发会话数:≥40000
D) 功能要求:支持VPN透传,支持查杀协议HTTP、FTP、SMTP、POP3、MSN、IMAP,支持系统及病毒库升级,支持反垃圾邮件功能
E) 满足YD/T 1132-2001防火墙设备技术要求,具有计算机信息系统专用安全产品销售许可证和国家信息安全认证产品型号证
5.2.1.2.7 网络防病毒系统
1) 针对运行Windows系统的服务器、数据库系统进行网络防病毒监控
2) 连接到专网的各接入点前置服务器的网络病毒防范
3) 要求采用中央集中控制和管理
5.2.2 中级配置方案
中级配置方案是在低级配置方案基础上,通过增加关键服务器系统的双机热备或集群模式,强化了服务器系统的运行稳定性和可靠性。并增加了离线备份系统,加强数据安全保障。此外还提升了磁盘阵列等系统性能指标。
5.2.2.1 适用条件
海区、省级及地市级系统建设的发展阶段
5.2.2.2 性能要求:
5.2.2.2.1 应用服务器:
1) 最低配置数量:2台
2) 最低配置性能要求
A) CPU:4核处理器,主频优于2.13GHz,处理器数量不少于4个
B) 内存:不低于8GB,支持扩展至64GB
C) 硬盘:内置硬盘,容量不低于146G*4,硬盘转速不低于10000rpm
D)网络适配器:整合的双千兆以太网,2 块 10/100/1000Mbps 自适应网卡
E) 冗余组件:冗余电源和冗余风扇
5.2.2.2.2 数据库服务器
1) 最低配置数量:2台,采用1+1热备的方式
2) 最低配置性能要求
F)CPU:4核处理器,主频优于2.13GHz,处理器数量不少于2个
G)内存:不低于8GB,支持扩展至64GB
H)硬盘:内置硬盘,容量不低于146G*4,硬盘转速不低于10000rpm
I)网络适配器:整合的双千兆以太网,2 块 10/100/1000Mbps 自适应网卡
J)冗余组件:冗余电源和冗余风扇
5.2.2.2.3 磁盘阵列
1) 最低配置数量:1台
2) 最低配置性能要求
H)容量:不低于4TB,,最大支持≥12TB
I)单机磁盘数量:≥14 块
J)控制器阵列支持:RAID 0,1,10,5 ,50
K)支持分区、快照、克隆等基本功能
L)集群支持:支持基于Windows 操作系统的双路冗余集群方案
M)支持在线扩容,无须停机
N)冗余组件:配置冗余电源、冗余风扇;冗余控制器,双路全冗余
5.2.2.2.4 交换机
1) 最低配置数量:2台
2)最低配置性能要求
同5.2.1.2.4要求。
5.2.2.2.5 路由器
1) 最低配置数量:1台
2)最低配置性能要求
同5.2.1.2.5要求。
5.2.1.2.6 防火墙
1) 最第配置数量:1台
2) 最低配置性能要求
同5.2.1.2.6要求。
5.2.2.2.7 网络防病毒系统
1) 针对运行Windows系统的服务器、数据库系统进行网络防病毒监控
2) 连接到专网的各接入点前置服务器的网络病毒防范
3) 要求采用中央集中控制和管理
5.2.3高级配置方案
高级配置方案是在中级配置方案基础上,将数据库服务器主机由PC服务器可更换为小型机系统,进一步增强了数据库系统的运行稳定性和负载能力。并将主要的网络设备改造为的双机负载均衡模式,极大地提高了网络交换性能和网络安全保障能力。
5.2.3.1适用条件
海区级、省级和地市级渔船动态监管信息系统建设的高级阶段
5.2.3.2性能要求
5.2.3.2.1 应用服务器
1) 最低配置数量:2台
2) 最低配置性能要求
A) CPU:4核处理器,主频优于2.13GHz,处理器数量≥6个
B) 内存:不低于16GB,支持扩展至64GB
C) 硬盘:内置硬盘,容量不低于146G*4,硬盘转速≥15000rpm
D) 网络适配器:整合的双千兆以太网,2 块 10/100/1000Mbps 自适应网卡
E) 冗余组件:冗余电源和冗余风扇
3)在条件具备的系统建设单位可采用不低于PC服务器性能指标的Unix、Solaris或Linux小型机
5.2.3.2.2 数据库服务器
1) 最低配置数量:2台,采用1+1热备的方式
2) 最低配置性能要求
A) CPU:4核处理器,主频优于2.13GHz,处理器数量≥4个
B) 内存:不低于8GB,支持扩展至64GB
C) 硬盘:内置硬盘,容量不低于146G*4,硬盘转速≥15000rpm
D) 网络适配器:整合的双千兆以太网,2 块 10/100/1000Mbps 自适应网卡
E) 冗余组件:冗余电源和冗余风扇
5.2.3.2.3 磁盘阵列
1) 最低配置数量:2台
2) 最低配置性能要求
参见5.2.1.2.3
5.2.3.2.4 交换机
1) 最低配置数量:2台
2) 最低配置性能要求
参见5.2.1.2.4要求。
5.2.3.2.5 路由器
1)最低配置数量:2台
2) 最低配置性能要求
参见5.2.1.2.5要求。
5.2.3.2.6 防火墙
1) 最低配置数量:2台
2)最低配置性能要求
参见5.2.1.2.6要求。
5.2.3.2.7 磁带库
1) 最低配置数量:1台
2)最低配置性能要求
A)最大存储容量:≥19600GB
B)压缩后存储容量:≥38400GB
C)持续数据传输率:≥120MB/s
D)压缩后传输率:≥240MB/s
E)接口类型:4Gb Fibre Channel
F)无故障时间:≥1000000小时
G)驱动器数目:≥1个
H)驱动器类型:4Gbps光纤通道磁带驱动器
I)插槽数:≥1
J)存储技术:LTO
K)混合磁带机技术:是
L)支持存储介质:4或3盒式磁带
5.2.3.2.8 网络防病毒系统
1) 针对运行Windows系统的服务器、数据库系统进行网络防病毒监控
2) 连接到专网的各接入点前置服务器的网络病毒防范
3) 要求采用中央集中控制和管理
5.3 组网方式
各级系统间可以采用主用专线的方式进行数据传输或者采用公网宽带组网方案的方式进行数据传输。
租用专线的带宽:海区级和海区级租用专线带宽不低于2M(建议采用4M)、省级和海区级间租用专线带宽不低于2M、省级和地市级租用专线带宽不低于2M。
公网宽带组网方案:各级中心之间采用VPN的方式建立连接,各接入点带宽要求不小于同等级中心的专线带宽要求。
5.4 机房环境
满足国家标准(GB50174-93)电子计算机房设计规范的要求。
5.5 操作系统
操作系统的选择依主机的选择而不同,采用小型机可选用Unix、Solaris或Linux;采用PC服务器一般可选用Windows操作系统。
5.6 数据库系统
数据库系统可以采用Oracle或者SQL Server关系型数据库。数据库系统选型必须满足安全可靠、可扩展、跨平台、易操作;同时应采用分布式的原则,避免负载沉重和单点故障问题,如有条件可选择做双机热备或双机负载均衡。
6.安全保障体系
根据GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》进行渔船动态监管信息系统进行安全等级的评定,并做好相应安全等级的安全保护。
系统安全目标:系统安全建设中,要实施信息安全工程,保证渔船动态监管信息系统网络的信息传输、信息存储是安全的、保密的,确保渔船动态监管信息系统安全、可靠、平稳地运行。
6.1 物理安全
6.1.1 物理访问控制
机房出入应安排专人负责,控制、鉴别和记录进入的人员。
6.1.2 防盗窃和防破坏
本项要求包括:
1) 应将主要设备放置在机房内。
2) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
6.1.3 防雷击
机房建筑应设置避雷装置。
6.1.4 防火
机房应设置灭火设备。
6.1.5 防水和防潮
本项要求包括:
1) 应对穿过机房墙壁和楼板的水管增加必要的保护措施。
2) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
6.1.6 温湿度控制
机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.7 电力供应
应在机房供电线路上配置稳压器、过电压防护和UPS设备。
6.2 网络安全
6.2.1 结构安全
本项要求包括:
1) 应保证关键网络设备的业务处理能力满足基本业务需要。
2) 应保证接入网络和核心网络的带宽满足基本业务需要。
3) 应绘制与当前运行情况相符的网络拓扑结构图。
6.2.2 访问控制
本项要求包括
1) 应在网络边界部署访问控制设备,启用访问控制功能。
2) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入。
3) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
6.2.3 网络设备防护
本项要求包括:
1) 应对登录网络设备的用户进行身份鉴别。
2) 应具有登录失败处理功能,可采取结束会话,限制非法登录次数和当网络登录连接超时自动退出等措施。
3) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
6.3 应用安全
6.3.1 身份鉴别
本项要求包括:
1) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。
2) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
3) 应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。
6.3.2 访问控制
本项要求包括:
1) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问。
2) 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
6.3.3 通信完整性
应采用约定通信会话方式的方法保证通信过程中数据的完整性。
6.3.4 软件容错
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
6.4 数据安全及备份恢复
数据库应设置预定的备份策略进行本地备份,有条件的可做异地备份。
严格按照用户级别来授权用户对数据和资料的访问。
关键数据的修改记录应记录详细的操作日志,以备追查。
数据的传输与关键敏感的数据的存放需进行一定的加密处理。
6.4.1 数据完整性
应能够检测到重要用户数据在传输过程中完整性受到破坏。
6.4.2 备份和恢复
应能够对重要信息进行备份和恢复。
6.5 管理要求
6.5.1 安全管理制度
6.5.1.1 管理制度
应建立日常管理活动中常用的安全管理制度。
6.5.1.2 制定和发布
本项要求包括:
1) 应指定或授权专门的人员负责安全管理制度的制定;
2) 应将安全管理制度以某种方式发布到相关人员手中。
6.5.2 安全管理机构
6.5.2.1 岗位设置
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
6.5.2.2 人员配备
应配备一定数量的系统管理员、网络管理员、安全管理员等。
6.5.2.3 授权和审批
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
6.5.2.4 沟通和合作
应加强与兄弟单位、水上相关行业、电信公司的合作与沟通。
6.5.3 人员安全管理
6.5.3.1 人员录用
本项要求包括:
1) 应指定或授权专门的部门或人员负责人员录用。
2) 应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识。
6.5.3.2 人员离岗
本项要求包括:
1) 应立即终止由于各种原因离岗员工的所有访问权限。
2) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
6.5.3.3 安全意识教育和培训
本项要求包括:
1) 应对各类人员进行安全意识教育和岗位技能培训。
2) 应告知人员相关的安全责任和惩戒措施。
6.5.3.4 外部人员访问管理
应确保在外部人员访问受控区域前得到授权或审批。
6.5.4 系统建设管理
6.5.4.1 系统定级
本项要求包括
1) 应明确信息系统的边界和安全保护等级。
2) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由。
3) 应确保信息系统的定级结果经过相关部门的批准。
6.5.4.2 安全方案设计
本项要求包括:
1) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
2) 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案。
3) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。
