XXXXXXXXXXX技术方案1项目需求为建立统一、开放、竞争、有序的现代市场体系,进一步规范市公共资源交易活动,加快建立和完善与市场经济相适应的交易机制,从源头上预防和治理腐败,根据市委、市政府工作要求,现建设市公共资源交易中心(以下简称“中心”)业务及电子监察系统。随着业务范围的拓展和工作要求的提高,在以手工为主的运作和管理模式下,人手紧张等一系列矛盾将更加突出。原来各自以业务条线为管理的模式,无法实现全面的信息掌控,各级领导无法根据相关数据、信息实现科学的决策,因此迫切需要一套电子化的信息管理系统来解决目前的问题,构筑一个更加公正高效、更加规范有序、更加综合开放的招投标市场,全面提升中心服务、监督和管理水平。为更大限度地激活市场要素、整合资源,加强市场监管、降低交易成本,最大限度地在市场操作中体现公开、公平、公正,从源头上预防和治理腐败。市委、市政府创新管理手段、实现统一监管,建立市公共资源统一交易平台集中进行各类招投标活动,负责行使对全市招标投标工作的具体实施,行政监督和管理职能。2项目总体需求3系统设计纲要4系统平台设计5网络级安全解决方案网络安全是整个安全解决方案的关键,从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。5.1隔离与访问控制5.1.1严格的管理制度可制定的制度《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。5・1・2划分虚拟子网(VLAN)内部网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。5.1.3防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。FortiGate产品从网络层到应用层都实现了自由控制。5.2通信保密数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式。5.2.1链路层加密对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。5.2.2网络层加密鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准。由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据...
VIP
