收藏
下载资源

中国农业科学院图书馆项目专用设备投标技术文件.doc

上传人:marr****208 文档编号:132235647 上传时间:2020-05-13 格式:DOC 页数:120 大小:3.94MB
返回 下载 相关 举报
中国农业科学院图书馆项目专用设备投标技术文件.doc_第1页
第1页 / 共120页
中国农业科学院图书馆项目专用设备投标技术文件.doc_第2页
第2页 / 共120页
中国农业科学院图书馆项目专用设备投标技术文件.doc_第3页
第3页 / 共120页
中国农业科学院图书馆项目专用设备投标技术文件.doc_第4页
第4页 / 共120页
中国农业科学院图书馆项目专用设备投标技术文件.doc_第5页
第5页 / 共120页
点击查看更多>>
资源描述

《中国农业科学院图书馆项目专用设备投标技术文件.doc》由会员分享,可在线阅读,更多相关《中国农业科学院图书馆项目专用设备投标技术文件.doc(120页珍藏版)》请在金锄头文库上搜索。

1、 中国农业科学院图书馆项目专用设备(网络安全设备、工作站、计算机终端)采购项目(第3包)招标编号:0722-1161-FE951WJO包 号:第3包技术文件中国电信集团系统集成有限责任公司2011年11月 中国农业科学院图书馆项目专用设备(网络安全设备、工作站、计算机终端)采购项目(第3包)投标书目 录第1章 项目概述51.1 设计目标51.2 设计思路51.3 设计原则51.4 设计依据5第2章 投标产品说明72.1 网神防火墙产品的技术先进性72.1.1 高性能多核硬件平台72.1.2 高效一体化的多核并行操作系统82.1.3 向应用层过滤发展、支持更多应用协议92.1.4 从工具转变为助

2、手92.2 网神防火墙产品的稳定性102.3 网神防火墙产品的可扩展性112.4 网神防火墙产品的可管理性及节能性122.4.1 丰富、安全的管理方式122.4.2 分级权限的安全管理122.4.3 完善的系统升级122.4.4 系统配置的导入导出122.5 启明星辰天清入侵防御系统的技术先进性132.6 启明星辰天清入侵防御系统的稳定性152.7 启明星辰天清入侵防御系统的可扩展性152.8 启明星辰天清入侵防御系统的可管理性及节能性16第3章 系统集成方案173.1 网络安全系统设计方案173.1.1 网络安全系统设计方案的定位173.1.2 需求分析173.1.3 网络安全系统设计方案一

3、183.1.4 网络安全系统设计方案二233.1.5 防火墙部署方式说明243.1.6 防火墙部署策略建议253.1.7 网络安全系统运行管理建议263.2 安全系统集成设计方案273.2.1 防火墙设备端口283.2.2 入侵防御系统端口283.2.3 安全设备支持协议28第4章 项目实施方案304.1 项目实施概述304.2 项目管理304.2.1 项目组织机构304.2.2 项目进度管理374.2.3 合同变更管理374.3 项目质量保证方案394.3.1 项目质量管理394.4 项目实施计划414.4.1 实施准备阶段424.4.2 到货验收阶段434.4.3 系统实施阶段444.5

4、项目验收方案484.5.1 验收条件484.5.2 验收方法484.5.3 验收步骤48第5章 技术培训方案495.1 中国电信系统集成公司培训方案495.1.1 培训概述495.1.2 知识转移效果保证525.2 防火墙培训方案525.2.1 培训责任525.2.2 培训目的525.2.3 培训对象535.2.4 培训计划535.2.5 培训场地545.2.6 培训大纲545.2.7 培训课程555.2.8 培训讲师555.3 入侵防护系统培训方案565.3.1 培训目的565.3.2 施工时的培训565.3.3 施工后的培训57第6章 售后服务方案596.1 中国电信集团系统集成公司技术服

5、务596.1.1 售后服务原则与目标、本地化服务团队596.1.2 技术服务的范围和程度606.2 防火墙原厂售后服务方案726.2.1 产品服务范围726.2.2 产品服务定义及标准736.2.3 产品首次安装调试736.2.4 产品硬件保修746.2.5 备机服务766.2.6 产品软件升级826.2.7 远程技术支持836.3 入侵防御系统原厂售后服务方案846.3.1 服务内容描述846.3.2 客户服务条款87第7章 技术偏离表105中国电信集团系统集成有限责任公司 -iv- 中国农业科学院图书馆项目专用设备(网络安全设备、工作站、计算机终端)采购项目(第3包)投标书第1章 项目概述

6、1.1 设计目标中国农业科学院新图书馆是开放性、综合性的现代化农业图书馆,具有保存文化遗产、集散农业信息、服务农业科技等多种职能,中文信息保障率达到90%以上,外文信息保障率达到80%以上。将成为全国农业科技文献储藏与信息集散中心,全国农业信息科学研究中心,全国农业信息科技服务中心,全国农业史料珍藏与文化展示中心,以及国际农业科技信息交流中心。本项目将建设中国农业科学院新图书馆网络安全系统,并与现有网络环境进行对接,实现在图书馆内部应用系统与中国农业科学院各单位之间搭建安全性更高的专用安全网络的目标。1.2 设计思路根据本项目的实际要求,网络安全系统的建设需要紧密围绕中国农业科学院新图书馆业务

7、系统的特点,以“划分区域,突出重点;业务为主,加强监管;符合实际、综合防范”的思路进行建设,在建设时要重点考虑本项目网络系统与中国农业科学院现有网络系统的无缝对接,与中国农业科学院各单位之间搭建安全性更高的专用安全网络。1.3 设计原则l 开放性原则:系统符合开放性设计原则,具备优良的可扩展性、可升级性,可以支持开放系统平台,运行于现有的技术标准之上;l 兼容性原则:与现有系统完全兼容,构成一个整体;l 稳定性原则:要保证系统运行的稳定性,使系统运行风险降至最低;l 可管理性原则:可以对系统进行管理和监控;l 经济性原则:在满足所有需求的前提下,选择最合适的设备及管理软件,使系统具有较好的性价

8、比。1.4 设计依据l 信息系统安全管理要求(GB/T20269-2006)l 信息系统安全工程管理要求(GB/T20282-2006) l 网络基础安全技术要求(GB/T20270-2006)第2章 投标产品说明2.1 网神防火墙产品的技术先进性2.1.1 高性能多核硬件平台由于网络安全问题越来越多,近些年网络安全技术得到了快速发展。防火墙作为一种边界访问控制设备,是目前最重要的网络安全设备之一。防火墙技术和产品都得到了巨大的发展。防火墙产品的发展,面临的一个重要问题就是如何在保持足够安全的同时提供尽可能高的速率。目前防火墙产品的技术发展趋势可分为“单核架构”、“ASIC架构”、“NP架构”

9、及“多核架构”几种关键技术,其中多核技术是近年来新出现的处理器技术架构,它一出现,就被认为是解决信息安全产品功能与性能之间矛盾的一大硬件法宝。2008年国内外许多领导厂商,都先后推出了其多核安全产品。多核架构不仅仅是更换为多核CPU处理器,它是融合多项技术突破的一整套体系架构:l 多核CPU处理器,打破了性能对频率的绝对依赖,在同样的空间内实现更多的计算功效;l 高效中断分配机制,使得每个核上的中断次数大大减少,大大提高数据包处理能力,降低对单包的处理时间限制;l 从外部的共享式总线变为内部高速总线和点对点高速总线,如16速PCI-E总线数据处理能力可以达到64Gbps;l 并行多通道的高速内

10、存访问技术,如四通道DDR II 667 MHZ内存接口可以达到21.1Gbps,突破内存访问速率限制;l 多核架构在以上技术上的突破,打破了单核架构下的性能瓶颈,使得其处理性能大幅提高,轻松超越ASIC和NP。同时,多核架构继承了通用CPU架构相对ASIC和NP架构的所有优势:1、软件开发周期短;2、易升级;3、高灵活性。因此,多核架构最能满足安全产品高性能、低功耗、高灵活性、易升级的要求,更能适应安全产品向深层过滤发展、支持更多应用协议的发展趋势。2.1.2 高效一体化的多核并行操作系统有了多核的硬件架构,还必须在全线多核并行操作系统的配合下,才能充分发挥多核的优势。我们可以从下面的分析看

11、到一个高效的并行操作系统对于系统性能的影响。衡量一个多核并行系统设计能力的数学模型为著名的Amdahl定律:Amdahl定律:其中三个影响加速比的关键因素是:S表示系统设计中串行执行的比例;n表示多核的处理器个数,H(n)表示系统开销。例如:串行比例3%,32个核,H(n)0,理论最高性能 speedup16.58倍 串行比例30%,32个核,H(n)0,理论最高性能 speedup3.11倍也就是说,如果数据处理流程的算法设计很差,性能相差将5.33倍!例如:串行比例30%,2个核,H(n)0,理论最高性能 speedup1.54倍串行比例30%,2个核,H(n)=40%,实际性能 spee

12、dup0.95倍也就是说,如果多核之间的并行系统开销设计很差,性能可能让多核不如单核!由此可见,在安全并行操作系统中,能否有效降低串行执行比例和降低交互开销决定了能否充分发挥多核的性能,其中的关键在于:合理划分任务、减少核间通信。整个系统任务可以按数据、功能等多个维度划分为若干子任务,分别由不同的核来执行这些子任务。合理的任务分解方案使得不同任务相对独立,既降低了串行执行比例,也减少了核间通信的需求。此外,减少核间通信的技术还包括异步并行、无锁编程等技术。异步并行技术与同步并行技术相对应。后者是同步处理的一般模式,指的是一个核执行任务到某个时刻必须与其它核进行数据交换,然后才能继续进行;前者是

13、对同步处理的优化,数据交换不必严格在某个时刻进行,可以集中进行数据交换,从而减少交互的次数和时间。无锁编程是减少核间通信的另一个思路,通过精心设计的数据结构,两个核可以完全不进行任务同步,同时又能协同进行工作。2.1.3 向应用层过滤发展、支持更多应用协议当前,攻击行为呈现多层次化,已经逐步从传统的Synflood、Udpflood、端口扫描等网络层攻击发展到HTTP Get、CC等应用层拒绝服务攻击,这些新的应用层攻击数据量和连接频率都不高,使用传统的检测手段根本无法检测和抵御。只有对内容进行深度检测和分析,才能发现并有效防御。同时,新的网络应用层出不穷,网络中已经不单单是传统的HTTP、M

14、AIL、FTP等应用协议数据了,网络视频、流媒体、在线游戏、即时通信、P2P下载等应用已经成为了网络中的“绝对主力”。这些新的应用不仅仅占用了大量的网络带宽,造成网络拥塞,更可怕的是迅雷等即时通讯软件协议以及其他应用于互联网的协议已经成为了恶意者实施攻击的承载协议。于是,对这些新的应用协议进行细粒度的控制,并对这些协议进行完全的内容过滤越来越必要。比如,识别并限制P2P占用的带宽、连接数,以限制其对网络资源的过渡占用;对各种应用协议进行深度检测并限制其操作权限,避免其成为黑客攻击的载体。2.1.4 从工具转变为助手当前网络状况下,网络安全问题日益严重,要求网络管理员对内部网络进行严格、精细的管

15、理和限制。而网络结构越来越复杂,网络接入方式越来越灵活,网络内部主机越来越多,新的应用层出不穷,对外提供的服务也越来越丰富,这给网络管理员带来了前所未有的压力。一方面,内部网络不断的有主机或者服务器加入,网络管理员要根据内部主机情况,实时调整策略,对于一个大的网络,要求各个部门通报新增或者离开的主机,根本无法保证实时性,而对于那些经常有临时用户加入或者离开的网络,其工作量对于网络管理员也是无法承受的。另一方面,随着电子政务、网上办公、电子商务等信息化建设,网络中新的服务和应用不断涌现,需要管理员不停的增加安全策略,以开启越来越多的对外应用端口。然而,一些应用会同时使用多个端口,而且这些端口会不

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号