1、城市人民法院法庭信息化建设工程项目可行性研究报告XX工程咨询有限公司二零XX年XX月XX项目可行性研究报告建设单位：XX建筑工程有限公司建设地点：XX省XX市编制单位：XX工程咨询有限公司20XX年XX月262可行性研究报告编制单位及编制人员名单项目编制单位：XX工程咨询有限公司资格等级： 级证书编号：（发证机关：中华人民共和国住房和城乡建设部制）编制人员： XXX高级工程师XXX高级工程师XXX高级工程师XXXX有限公司二XX年XX月XX日目 录第1章项目概述11.1项目名称11.2项目建设单位11.3项目背景11.4建设规模11.5投资概算3第2章项目的意义与必要性52.1建设背景52.22、项目依据52.2.1法规政策52.2.2标准和规范62.2.3其他编制依据72.3现有信息系统装备和信息化应用现状72.4目前存在的主要问题和差距72.5项目建议的意义和必要性8第3章现状及需求分析93.1现状分析93.2建设需求分析93.2.1综合布线系统93.2.2网络系统93.2.3网络安全103.2.4信息发布系统103.2.5科技法庭103.2.6诉讼服务中心103.2.7视频监控系统103.2.8智能访客系统113.2.9集中控制中心系统113.2.10公共广播系统113.2.11无纸化办公系统113.2.12信息安全服务113.2.13机房配套工程123.3与政务职能相关的社会问3、题和政务目标分析12第4章本期工程设计方案134.1建设内容134.2建设规模134.3建设方案154.3.1综合布线系统154.3.2网络系统204.3.3网络安全254.3.4信息发布系统584.3.5科技法庭604.3.6诉讼服务中心654.3.7视频监控系统654.3.8智能访客系统774.3.9公共广播系统864.3.10无纸化会议系统924.3.11集中控制中心系统1144.3.12信息安全服务1224.3.13机房配套系统127第5章系统功能及主要经济技术指标1485.1系统功能1485.2主要经济技术指标148第6章建设工期及时间安排1506.1建设工期1506.2时间安排154、0第7章项目单位概述1517.1项目承担单位1517.2项目承担单位职责151第8章投资估算及资金说明1538.1项目总投资估算1538.2资金筹措方式及来源1548.3投资估算的有关说明1548.3.1投资估算说明1548.3.2投资估算依据155第9章效益与评价指标分析1579.1经济效益1579.2社会效益157第1章 项目概述1.1 项目名称 (1)项目名称：XX市秀英区人民法院XX法庭信息化建设项目1.2 项目建设单位(1)项目建设单位：XX市秀英区人民法院；(2)单位地址：海南省XX市秀英区海盛路68号。1.3 项目背景随着海南省司法系统信息化建设的步伐不断推进，各市县法院每天都需5、要大量的图文数据进行交互以协同工作，信息化行业对“实时性”和“准确性”的要求也日益凸现。而XX市秀英区XX法庭主体土建工程同期建设，信息化处于空白阶段；作为新一代的远程通信指挥调度手段，综合信息化系统在各级市县法院中日益普及，应用范围和深度也逐步提高。随着社会的进步、科技的发展，现代化信息化系统的功能越来越强大、技术越来越先进、使用越来越方便，综合利用了现代化音视频技术、数字技术、计算机多媒体技术、网络技术、智能控制技术等，这些高科技的运用为与办公人员迅速、准确、直观地提供、发布和传输各种信息，提高司法系统领导决策的准确性和科学性，从而大大提高办公管理的工作效率。1.4 建设规模本期工程项目建6、设内容包括以下13套系统：(1)综合布线系统：本期项目综合布线分为政务外网，法院内网和语音三套网共同组成，共有126个信息点，71个法院政务外网信息点、27个法院专网信息点、27个语音信息点，1个有线电视信息点；(2)网络系统:本期项目新建XX法庭政务外网、法院政务专网，XX法庭政务外网、法院政务专网分别通过运营商专线上联到秀英区法院政务外网、法院政务专网；(3)网络安全：秀英区人民法院XX法庭网络安全需达到国家信息安全二级等保要求；(4)信息发布系统：主要包括管理平台、播放终端和传输网络三个部分内容；(5)科技法庭：通过科技法庭庭审系统的建设，可以高度集成法庭中各类设备，有效地提升司法审判过7、程的信息化应用，完善并创新法庭记录方式，促进司法公正，满足最高法的庭审系统建设规范；(6)诉讼服务中心：本期项目新建诉讼服务中心，为法院诉讼服务中心的管理提供高效的管理手段；(7)视频监控系统：对XX法庭主楼通道以及庭院重要点位进行视频监控；(8)智能访客系统：建设访客平台，集成人员定位、周界报警、访客管理等多方面的监控管理，确保法院的物理安全；(9)公共广播系统：本期项目新建公共广播系统，主要为满足法院大楼背景音乐、寻呼，消防紧急广播的需求，广播主要设计公共走廊及工作区域部分；(10)无纸化会议系统：通过无纸化会议系统的建设，解决了会议过程资料传送复杂，会议文档打印耗时、浪费，设备繁多操作复8、杂，功能单一，会议效率低下，保密性不强等问题，实现会议前、中、后的一体功能管控与应用，把大量会议文档电子化，把大量会议应用功能界面化，使复杂的会议过程变得非常轻松、高效，同时具有保密性高；(11)集中控制系统：在秀英法院XX法庭建设集中控制中心，包括信息显示屏、视频控制系统、音响扩声系统、业务系统集成接入系统等的建设；(12)信息安全服务：对英法院XX法庭的整体信息系统，进行信息安全风险评估、信息系统定级和测评、安全应急服务、安全培训和咨询服务、制定安全管理制定；(13)机房配套系统：本期项目新建数据中心机房，为提供计算机网络系统安全可靠地运行环境。1.5 投资概算项目总投资：本项目工程总投资9、概算为478.24万元，工程费为412.16万元，工程建设其他费为52.15万元，预备费为13.93万元。表1： 项目总投资统计表序号项目名称金额(万元)占比备注一、工程费412.16 86.18%1、综合布线系统27.65 5.78%1.1、政务外网综合布线4.31 0.90%1.2、政务专网综合布线4.31 0.90%1.3、语音网布线1.11 0.23%1.4、有线电视布线1.09 0.23%1.5、诉讼服务中心布线0.58 0.12%1.6、信息发布系统布线0.55 0.12%1.7、公共广播系统布线5.95 1.24%1.8、科技法庭布线6.40 1.34%1.9、视频监控布线1.610、7 0.35%1.10、智能访客系统以及其他系统布线1.67 0.35%2、网络系统10.08 2.11%2.1、政务外网网络设备5.04 1.05%2.2、政务专网网络设备5.04 1.05%3、网络安全系统42.83 8.96%3.1、政务外网安全设备23.02 4.81%3.2、政务专网安全设备19.82 4.14%4、信息发布系统42.52 8.89%4.1、室内LED显示系统 39.12 8.18%4.2、单屏信息发布系统3.40 0.71%5、科技法庭28.91 6.05%6、诉讼服务中心7.81 1.63%7、视频监控系统21.12 4.42%8、智能访客系统39.62 8.2811、%8.1、人员定位系统25.57 5.35%8.2、周界报警系统2.24 0.47%8.3、出入口智能访客系统11.81 2.47%9、公共广播系统10.47 2.19%10、无纸化会议系统27.97 5.85%11、集中控制中心系统44.46 9.30%11.1、信息显示屏及控制系统23.86 4.99%11.2、音响扩声系统12.60 2.63%11.3、业务集成接入系统8.00 1.67%12、信息安全服务10.50 2.20%13、机房配套系统69.35 14.50%13.1、机房装修部分24.84 5.19%13.2、UPS不间断电源系统13.65 2.85%13.3、机房照明系统712、.38 1.54%13.4、机房防雷接地系统9.42 1.97%13.5、空调系统3.40 0.71%13.6、新风系统3.50 0.73%13.7、气体消防系统2.68 0.56%13.8、机房监控系统4.48 0.94%14、系统集成费28.87 6.04%二、工程建设其他费52.15 10.91%项目建设管理费9.56 2.00%项目建议书编制费2.10 0.44%项目建议书评估费1.41 0.30%可行性研究报告编制费6.10 1.28%可行性研究报告评估费1.99 0.42%勘察设计费20.04 4.19%建设工程监理费6.01 1.26%工程招标代理费4.93 1.03%三、预备费13、13.93 2.91%项目总投资478.24 100.00%第2章 项目的意义与必要性2.1 建设背景随着海南省司法系统信息化建设的步伐不断推进，各市县法院间每天都需要大量的图文数据进行交互以协同工作，信息化行业对“实时性”和“准确性”的要求也日益凸现。秀英区人民法院XX法庭大楼信息化项目完成后, 法院大楼具有高度集中管理的信息化系统运行平台，能为其信息化建设提供良好的基础服务。2.2 项目依据2.2.1 法规政策(1)电子政务保密管理指南的通知（国保发20075号）；(2)信息安全等级保护管理办法（公信安字200743号）；(3)关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2014、07861号）；(4)关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）；(5)最高人民法院关于全面加强人民法院信息化工作的决定(法200714号)；(6)全国法院计算机网络安全保密系统建设指导方案（法办2004317号）；(7)人民法院专网建设技术方案（法200517号）；(8)人民法院信息化建设五年发展规划(20162020)(法201666号) ；(9)人民法院第三个五年改革纲要（2009-2013）(法发200914号)；(10)国务院办公厅关于促进电子政务协调发展的指导意见（国办发201466号）；(11)国务院关于印发促进大数据发展行动纲要的通知（国发215、01550号）；(12)海南省人民政府办公厅关于加强全省电子政务建设的实施意见 （琼府办200728号）；(13)海南省国民经济和社会发展信息化“十三五”规划。2.2.2 标准和规范在本项目设计中应该遵循下列标准规范：(1)法院专网总体设计方案最高人民法院；(2)法院专网应用系统建设方案最高人民法院；(3)科技法庭应用技术要求FYB/T 52003-2016(4)智能建筑设计标准（GB/T503142006）；(5)中国人民共和国公共安全行业标准GA/T75-94；(6)民用建筑电气设计规范（JGJ 162008）；(7)有线电视系统工程技术规范（GB5020094）；(8)电视和声音信号的电16、缆分配系统（GB/T651096）；(9)采暖、通风与空气调节设计规范（GBJ19-87）；(10)信息技术互连国际标准（ISO/IEC11801-95）；(11)厅堂扩声系统设计规范（GB50371-2006）；(12)会议系统电及音频性能要求（GB/T15381-94）；(13)建筑设计防火规范GB50016-2006；(14)电子计算机机房设计规范（GB50174-2008）；(15)计算机场地技术条件（GB2887-2000）；(16)建筑物电子信息系统防雷技术规范（GB50343-2012）；(17) 公共建筑节能设计标准（DBJ15512007）；(18)低压配电设计规范GB50017、54-2011；(19)电子计算机场地技术条件（GB28872000）；(20)综合布线系统工程设计规范（GB/T 50311-2007）；(21)安全防范工程技术规范（GB50348-2004）；(22)入侵报警系统工程设计规范（GB50394-2007）；(23)视频安防监控系统工程设计规范（GB50395-2007）；(24)出入口控制系统工程设计规范（GB50396-2007）；(25)综合布线系统工程验收规范（GB503122007）；(26)建筑电气工程程质量验收规范（GB503032002）；(27)智能建筑工程质量验收规范（GB503392003）；(28) 火灾自动报警系统设18、计规范GB50116-2013；(29)气体灭火系统设计规范（GB50370-2005）；(30)火灾自动报警系统设计规范（GB50116-98）；(31)气体灭火系统施工及验收规范（GB502632007）；(32) 用户提供的建筑平面图。2.2.3 其他编制依据(1)海南省信息化建设项目建议书编写提纲。2.3 现有信息系统装备和信息化应用现状秀英区人民法院XX法庭大楼主体土建工程正在建设，因此XX法庭无任何信息化系统装备和信息化应用。2.4 目前存在的主要问题和差距相对于近几年信息化技术的迅速发展，我省法院信息化建设步伐进步不快，与东部及沿海法院信息化建设成就比有很大的差距，也与我省建设国19、际旅游岛的国家战略部相适应。具体表现在：基础信息网络建设不能够满足迅速发展的业务需求和管理需求，尤其是不能满足审判工作不断发展的需要。在无纸化办公、移动办公、音、视屏及数据传输需求不断提升的情况下，现有基础信息网络已经不能适应发展要求。目前法院信息化基础网络建设不能满足现代化建设发展需求的现状需加快得到改变。同时，信息应用系统的功能和部署也不能完全满足法院业务管理工作不断发展的需要。目前信息系统对审判工作的现代化管理尚不能对案件审判的实体方面进行有效的管理；尚不能对法官进行审判活动提供更加有效的法律支持和监督；尚不能实现司法信息资源的及时交换与利用，与其他政法机关信息资源共享；尚不能为从根本上20、解决审判工作透明度差、效率低的问题和异地法院之间存在的司法差异问题提供有效的解决方案；尚不能为管理者提供审判监督有效的工作手段等等。同时，信息应用系统的建设因为缺乏总体的规划和基础平台的建设，可拓展性和前瞻性不强。2.5 项目建议的意义和必要性法院信息化建设是法院实现“公正与效率”的工作主题，建立科学化管理体系，促进各项工作制度化、规范化的重要举措，是适应办公、办案现代化发展趋势的选择，对于提高法院现代化建设水平具有十分重要的推动作用法院信息化建设，是实现传统管理向智能管理的转变是法院发展的必然趋势，也是提升法院工作层次，提高法院管理水平的重要途径。本期项目基于先进的地理信息技术、位置服务技术21、和无线通讯技术，建设面向法院信息化应用的调度及管理系统，利用当代先进的科学技术，积极推进本院的信息化建设，以达到常规办公无纸化、审判记录无笔化、流程管理自动化、档案管理电子化的工作目标。建议尽快落实定项目建设规划设计，加快完善司法信息化系统的建设，加强项目的组织管理，完善招投标制度，合理安排建设工期，早开工、早运营、早受益。第3章 现状及需求分析3.1 现状分析秀英区人民法院XX法庭大楼位于海南省XX市秀英区秀英大道东侧紧邻规划路，规划用地面积2866.80，地上3层建筑，总建筑面积为：1930.00m2，主要包括审批用房、审批人员工作用房、附属用房、生活用房等，以及配套建设相应的基础设施，包22、括区内道路工程、绿化工程、给排水工程、电气工程等配套工程。秀英区人民法院XX法庭大楼土建主体工程正在建设，机房、网络、综合布线等工程尚处于空白阶段。3.2 建设需求分析3.2.1 综合布线系统建立一整套先进完善的网络布线系统，包括为数据、语音、图像、控制等应用系统提供接入方式、配线和各楼层间、各大楼间网络互连等，既要满足XX法庭办公大楼当前的使用需要，又要考虑将来网络发展的需要，使系统达到配置灵活、易于管理、易于维护、易于扩充的目的。本期期项目综合布线分为政务外网，法院内网和语音三套网共同组成，共有126个信息点，71个法院政务外网信息点、27个法院专网信息点、27个语音信息点。3.2.2 网23、络系统本期项目新建XX法庭政务外网、法院政务专网，XX法庭政务外网、法院政务专网分别通过运营商专线上联到秀英区法院政务外网、法院政务专网。3.2.3 网络安全秀英区人民法院XX法庭网络安全需达到安全等保二级要求。3.2.4 信息发布系统信息发布系统是利用信息发布屏将文字、图片、视频等各类多媒体信息全方位展现出来的一种高清多媒体显示技术。秀英区法院XX法庭需要进行各种不同的信息资讯发布推送，完善的信息发布系统可以让诉讼参与人员、法院内部人员更直观、更容易的获取关注的信息。同时可通过该系统建立了一个文化宣传的平台、司法服务示范的窗口。在立案大厅门口设置信息发布一体机，用于显示法庭排期信息、法庭工作24、状态、案件信息等，信息通过对接数字法庭系统获取。3.2.5 科技法庭通过科技法庭庭审系统的建设，可以高度集成法庭中各类设备，有效地提升司法审判过程的信息化应用，完善并创新法庭记录方式，促进司法公正，满足最高法的庭审系统建设规范。3.2.6 诉讼服务中心本期项目新建的法院智能可视化安全防范系统需要与诉讼服务中心立案大厅、信访接待等相关业务系统进行对接；通过某个案件立案或信访记录即可查询到当时对应的业务办理及接待视频，为法院诉讼服务中心的管理提供高效的管理手段。3.2.7 视频监控系统视频监控系统主要对秀英法院XX法庭主楼通道以及庭院重要部位进行视频监控。3.2.8 智能访客系统依托秀英法院XX法25、庭现有信息通信基础设施和装备，运用现代化信息技术，合理、有效地加强我院建设。建设访客平台，集成人员定位、周界报警、访客管理等多方面的监控管理，确保法院的物理安全。3.2.9 集中控制中心系统依托法院系统现有信息通信基础设施和装备，充分利用先进的技术手段，建成一个可用于法院各类业务的执行集控中心。该系统可以提供满足法院日常工作及各类紧急状况所需要的指挥能力，同时通过该系统的建设建立一套行之有效的指挥管理平台，满足法院其他集控中心和领导个人的指挥管理应用需求，实现执行指挥、单兵执行、执行押解等各项工作流程的一体化管理，并为领导的业务督导、移动执行指挥、应急指挥和决策分析提供技术支持。3.2.10 26、公共广播系统公共广播系统安装需满足办公楼日常的背景音乐播放、信息传播、广播通知、找人等使用功能；在紧急情况下，公共广播可以配合消防广播系统，针对事故发生现场，快速播报紧急疏散语音，提示相关区域的人员迅速逃离现场。3.2.11 无纸化办公系统通过无纸化会议系统的建设，解决了会议过程资料传送复杂，会议文档打印耗时、浪费，设备繁多操作复杂，功能单一，会议效率低下，保密性不强等问题，实现会议前、中、后的一体功能管控与应用，把大量会议文档电子化，把大量会议应用功能界面化，使复杂的会议过程变得非常轻松、高效，同时具有保密性高。3.2.12 信息安全服务信息化系统的安全运行，是信息化建设发挥功效的基础保障，27、是法院工作有序开展的前提。为秀英法院XX法庭的整体信息系统，包括物理环境、网络系统、网络设备、应用系统、安全设备等提供专业的风险评估服务，制定我院安全管理制度、安全应急预案及演练方案，对技术人员进行安全培训；并根据国家、最高人民法院及海南省相关等级保护文件要求及风险评估结果，对我院所有信息系统进行定级和测评，从而保障审判、执行、信访等中心业务工作的安全开展。3.2.13 机房配套工程本期项目新建数据中心机房，为提供计算机网络系统安全可靠地运行环境。3.3 与政务职能相关的社会问题和政务目标分析法院信息化的建设是为能适应信息社会的要求，以提升法院管理的有效性、满足社会及公众对法院公共管理和公共服28、务的需求为目标，运用信息技术、通讯技术、网络技术以及办公自动化技术等现代信息手段，对传统的管理和公共服务进行改革而形成的精简、高效、廉洁、公平的管理运作模式。第4章 本期工程设计方案4.1 建设内容本期工程项目建设内容包括以下系统：1.综合布线系统；2.网络系统；3.网络安全；4.信息发布系统；5.科技法庭；6.诉讼服务中心；7.视频监控系统；8.智能访客系统；9.集中控制中心系统；10.公共广播系统；11.无纸化会议系统；12.信息安全服务；10.机房配套系统。4.2 建设规模秀英区人民法院XX法庭信息化系统建设包括信息发布系统、智能安全防范系统、诉讼法庭、科技法庭、综合布线系统、网络系统、29、网络安全系统、公共广播系统、中心机房工程，共九个系统，应按现代先进技术设计。该项目完成后, 秀英区人民法院XX法庭大楼具有高度集中管理的信息化系统运行平台，能为其信息化建设提供良好的基础服务。本期工程项目建设内容包括以下13套系统：(1)综合布线系统：本期项目综合布线分为政务外网，法院内网和语音三套网共同组成，共有126个信息点，71个法院政务外网信息点、27个法院专网信息点、27个语音信息点，1个有线电视信息点；(2)网络系统:本期项目新建XX法庭政务外网、法院政务专网，XX法庭政务外网、法院政务专网分别通过运营商专线上联到秀英区法院政务外网、法院政务专网；(3)网络安全：秀英区人民法院XX30、法庭网络安全需达到国家信息安全二级等保要求；(4)信息发布系统：主要包括管理平台、播放终端和传输网络三个部分内容；(5)科技法庭：通过科技法庭庭审系统的建设，可以高度集成法庭中各类设备，有效地提升司法审判过程的信息化应用，完善并创新法庭记录方式，促进司法公正，满足最高法的庭审系统建设规范；(6)诉讼服务中心：本期项目新建诉讼服务中心，为法院诉讼服务中心的管理提供高效的管理手段；(7)视频监控系统：对XX法庭主楼通道以及庭院重要点位进行视频监控；(8)智能访客系统：建设访客平台，集成人员定位、周界报警、访客管理等多方面的监控管理，确保法院的物理安全；(9)公共广播系统：本期项目新建公共广播系统，31、主要为满足法院大楼背景音乐、寻呼，消防紧急广播的需求，广播主要设计公共走廊及工作区域部分；(10)无纸化会议系统：通过无纸化会议系统的建设，解决了会议过程资料传送复杂，会议文档打印耗时、浪费，设备繁多操作复杂，功能单一，会议效率低下，保密性不强等问题，实现会议前、中、后的一体功能管控与应用，把大量会议文档电子化，把大量会议应用功能界面化，使复杂的会议过程变得非常轻松、高效，同时具有保密性高；(11)集中控制系统：在秀英法院XX法庭建设集中控制中心，包括信息显示屏、视频控制系统、音响扩声系统、业务系统集成接入系统等的建设；(12)信息安全服务：对英法院XX法庭的整体信息系统，进行信息安全风险评估32、信息系统定级和测评、安全应急服务、安全培训和咨询服务、制定安全管理制定；(13)机房配套系统：本期项目新建数据中心机房，为提供计算机网络系统安全可靠地运行环境。4.3 建设方案4.3.1 综合布线系统4.3.1.1 工程概况秀英区人民法院XX法庭大楼一共3层，总建筑面积为：1925.3m2，大楼建筑高度为12.2m。根据业务需要和使用实际情况，需要建设政务外网，法院内网和语音三套网络系统。本设计为综合布线共计分为政务外网，法院内网和语音三套网共同组成，共有126个信息点，法院政务外网信息点71个（六类线）、法院专网信息点27个（六类线）、语音信息点27个（4芯电话线）。另外在候审大厅布置TV33、有线电视信息点1个。4.3.1.2 需求分析考虑国内外信息技术最新动态和发展趋势，在满足实用性要求的前提下，综合布线系统，必须满足宽带网络、语音、数据、VOD视频点播、计算机管理、办公自动化等需求；布线系统必须配置灵活，易于管理维护，易于扩充。本工程项目的总体目标为：建立一整套先进、完善的通讯、网络布线系统，包括为数据、语音、图像、控制等应用系统提供接入方式、配线和各楼层间、各大楼间网络互连方案，既要满足秀英区人民法院XX法庭办公大楼当前的使用需要，又要考虑将来网络发展的需要，使系统达到配置灵活、易于管理、易于维护、易于扩充的目的。根据秀英区人民法院XX法庭信息化建设项目设计图纸，列出各个的信34、息点（不含备用信息点）分布表：序号房间名称政务外网电话政务专网电视1楼小法庭（48座）422会议室322小法庭（32座）422立案处322候审大厅3221警卫值班室322当事人接待室322调解室322小法庭（24座）3222楼会议室322中法庭（70座）422法官工作室444书记员工作室444庭长办公室111副庭长办公室111会议室222库房111阅览室222法警办公室4443楼干警宿舍1222干警宿舍2222干警宿舍3222干警宿舍4222干警宿舍5222干警宿舍6222干警宿舍7222活动室222合计71272714.3.1.3 综合布线系统设计4.3.1.3.1 法院政务外网系统FD1（35、一楼弱电井），负责汇聚一楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到二楼机房政务外网汇聚交换机。FD2（二楼弱电井），负责汇聚二楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到二楼机房政务外网汇聚交换机。FD3（三楼弱电井），负责汇聚三楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到二楼机房政务外网汇聚交换机。4.3.1.3.2 法院政务专网系统FD1（一楼弱电井），负责汇聚一楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到36、二楼机房政务政务汇聚交换机。FD2（二楼弱电井），负责汇聚二楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到二楼机房政务政务汇聚交换机。FD3（三楼弱电井），负责汇聚三楼所有信息点的接入，整个布线采用六类非屏蔽网线到前段面板，通过布放1条12芯多模光缆连接到二楼机房政务政务汇聚交换机。4.3.1.3.3 大楼语音系统FD1（一楼弱电井），负责汇聚一楼所有信息点的接入，整个布线采用4芯电话线到前段面板，通过布放1条3类100对UTP电缆连接到二楼语音设备。FD2（二楼弱电井），负责汇聚二楼所有信息点的接入，整个布线采用4芯电话线到前段面板，通过布放1条337、类100对UTP电缆连接到二楼语音设备。FD3（三楼弱电井），负责汇聚三楼所有信息点的接入，整个布线采用4芯电话线到前段面板，通过布放1条3类100对UTP电缆连接到二楼语音设备。4.3.1.3.4 其他布线包含有线电视布线、智能安全防范布线、诉讼服务中心布线、公共广播系统布线、科技法庭布线（1个大法庭）4.3.1.4 主要设备参数4.3.1.4.1 6类非屏蔽4对UTP电缆产品介绍：6类4对UTP电缆是6类综合布线系统用高性能8芯四对传输电缆，该电缆满足国际标准TIA/EIA/568-B.2-1的要求，电缆的串扰，回损，阻抗和衰减性能优异，带宽超过250MHz，性能余量充足，充分满足1G以上38、以太网等高带宽应用。提供全面支持宽带接入：ADSL、ISDN、ATM155/622M、Ethernet、Fast Ethernet、Giga Ethernet等。电缆绝缘护套采用高密度聚乙烯，为提高线缆性能，四对导线采用低密度聚乙烯十字芯架隔离。4.3.1.4.2 三类大对数UTP室内语音主干电缆技术质量标准：有效带宽16MHz，满足GB50311-2007GB50312-2007对三类非屏蔽线缆电气特性的要求，要求优于标准规定近端串音、传输延时、延时偏差以及平衡性能参数指标，完全符合ISO/IEC11801、YD/T1019标准。规格：三类平屏蔽双绞线，室内型，芯线规格：24AWG（0.5m39、m）。有25对、50对、100对等芯线规格，带卷轴包装，全彩色标识。特性阻抗：100第三方检测：具有中华人民共和国信息产业部的产品检测报告4.3.1.4.3 信息面板规格：86型，有单口和双口两种规格。外观：可视窗设计，双层结构，螺丝不外露，边角柔性设计材料：所有塑料材料符合UL94-V0标准，采用进口PC材料。工艺要求：透明防尘门，防水防尘，可通过外观轻易识别网络点和语音点，可方便的更换的嵌入式彩色标签条。4.3.1.4.4 非屏蔽信息插座模块信息插座模块性能满足并超过TIA/EIA-568-B.2-1要求。免工具8线插座模块，模块的电路板和簧片采用专利的平衡技术，使衰减、回损和近端、远端串40、扰等方面的性能超过六类标准的要求，传输带宽超过250MHz。安装兼容各类面板和快速安装板。模块通过元件级标准测试。 全系列模块有红色、蓝色、绿色、黄色和白色等多种颜色，可以满足政府、金融等部门的网络系统的多网颜色区分需求。4.3.1.4.5 24位非屏蔽数据配线架采用24位模块化设计的数据配线架上，可安装在19寸标准机柜上。信息模块都可以安装在数据配线架上，提供方便的跳线方式，以满足各种应用。4.3.1.4.6 110配线架规格：19”EIA，容量为100回-300回，可接线径0.4-0.6MM；工艺要求：IDC:簧片镀银，卡接可重复次200次；技术质量标准：ISO/IEC11801、性能超过41、超5类要求；接触电阻（不好含体电阻）：正常大气压条件下接触电阻2.5m；绝缘电阻：正常大气压条件下绝缘电阻1000m；抗电强度：DC1000V（AC700C）1分钟无击穿和飞弧现象；阻燃型：UL94V-0；第三方检测：具有中华人民共和国信息产业部的产品检测报告。4.3.1.4.7 标准机柜规格：19”EIA标准机柜，高度为20U、30U、40U、42U等规格。工艺要求：采用优质冷轧钢板，承重立柱2.0mm，其他1.2mm。表面在喷塑前必须进行酸洗、磷化处理和热镀锌处理。按照中国国家标准，外表面达到2级，内表面达到4级。喷塑表面应是亚光，色泽均匀，颜色由业主指定。机柜表面的平整度不应超过1mm/42、m2。机柜表面折角处不能有皱纹、裂纹、毛刺、焊接等痕迹，结合部缝隙不能超过1mm。具有机柜侧面理线空间，在多个相同机柜并排安装时，机柜的结构应便于跳线跨机柜跳接。4.3.2 网络系统秀英区人民法院XX法庭网络分为政务外网、政务专网两部分。法院共有3层楼，楼内无设备间，中心机房设在2楼，本期工程在中心机房部署出口网关、核心交换机和接入交换机。4.3.2.1 设计思路针对秀英区人民法院XX法庭大楼信息网络业务需求，结合当今大型网络建设原则，总结出本次网络建设方案的设计思路：1、网络实现核心-接入二层交换结构整体网络为“核心-接入”二层交换架构，简化网络分层结构，接入层通过光纤连接至现有中心机房。243、网络接入安全接入交换机在整体网络建设中主要用于用户接入，对于接入交换机的设计主要考虑支持高密度的接入、接入总带宽与上行带宽存在收敛比、线速两种模式，同时必须考虑接入的安全性，选用的交换机必须支持防ARP，IP+MAC绑定等安全特性，保证接入安全。3、网络可管理性随着接入交换机的增加，网络的管理量必然会增加，此时选用的接入交换机必须具有可管理性，能支持telnet、WEB等管理方式，方便管理员进行管理。4、合理性能价格比（C/P）系统方案设计中，应该有良好的性能价格比。在能够满足系统需求及一定的可扩充性能的条件下，尽量减少系统的投资，极大地保护原有的投资。4.3.2.2 法院电子政务外网设计444、.3.2.2.1 组网方案秀英区人民法院XX法庭电子政务外网建设方案参考省高院文件对区县法院网络建设的建议，采用“核心+接入”二层网络结构和“千兆骨干，千兆桌面”组网模式。具体网络拓扑图如下：本期工程电子政务外网组网方案网络拓扑如图如下： 图1： 本期电子政务外网组网方案拓扑图1、分区域规划设计从网络架构的合理性及易管理性方面考虑，XX电子政务外网网络应采用分区域的设计，分为“网络出口区”、“核心交换区”、“接入交换区”以及“服务器区”，具体分区方案如上图所示。模块化的区域设计便于后期的管理以及系统的扩展。2、分层架构，全网千兆骨干连接，千兆至桌面 秀英区人民法院XX法庭互联网网络设计应遵照标45、准的“核心接入”二层设计理念。本期新增1台核心交换机和4台接入交换机。核心交换机主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能；并且由于需要用于汇聚各接入交换机，要求设备具有完善的三层功能，在提供高效数据转发的同时，能够提供强大的安全控制功能；接入交换机根据信息点数量，每楼层新增1台，直接面向法院的终端用户，提供信息点接口。同时，新增1台接入交换机负责服务器区服务器的接入。整个网络分层次的结构便于管理，有利于未来网络规模的扩展，同时也方便灵活地设计网络带宽。4.3.2.2.2 设备选型要求2、核心交换设备核心交换机作为网络骨干，整网所有用户都依赖核心进行连接，因此，核心交换46、机必须速度很快且可用性极高。核心层用于承担大楼内各区域的子网互连。核心交换机是整个网络可用性和可靠性的关键，需要进行各关键器件的冗余，同时核心交换机主要承担数据流量的融合和贯通，同时承担各信息点的数据访问，故必须能满足大业务横向流量的性能要求，也要满足纵向业务流量的性能和功能要求。基于以上的基本数据流量模型分析，为保障法院内部数据交互的高速传输，秀英区人民法院XX法庭应部署一台具备全千兆二、三层数据转发能力的三层交换机，该设备首先应具备较高性能，以保障业务专网数据高速转发，同时结合XX法庭的实际情况，该交换机应提供不少于24个千兆电接口。3、接入交换设备直接连接互联网用户，因此建议该设备在具有47、全面管理功能（Console、telnet、web、snmp）的同时，具有较强的安全防护功能，例如ARP病毒防御能力，MAC+IP+端口的绑定功能等等，从而在网络接入层就杜绝一些恶意数据流的传播，并且，为“实现千兆骨干、千兆接入”的建设目的，要求接入交换机必须提供24个或者48个千兆兆接口，不少于2个千兆电口及光口。服务器区域的交换机其功能要求同楼层接入交换机一致，但接口应为全千兆接口。性能有保障：必须能保证接入网的高性能，要满足办公的需求。管理维护方便：管理的好坏会对网络正常的运行造成很大的影响，必须提供好的管理措施方便进行管理。稳定可靠：保证接入法院能够24小时不间断的使用网络，访问办公的48、资源。安全：保证每一个接入点都能安全的接入网络，将安全控制在网络的边缘，提高法院的安全性。各接入点PC采用百兆（千兆）双绞线连接接入层安全智能交换机，移动用户如笔记本、PDA、WIFI手机等可以通过无线网络连接进入有线网。采取这种方式，主要有以下几方面的考虑：入网控制方面通过在接入层部署高性能安全智能交换机，为用户提供完善的入网认证控制功能，并可提供基于IPv6环境入网访问控制功能，以及平滑融入主动安全防御网络环境的特性。同时接入部署无线系统，可以就近提供无线笔记本、PDA、WIFI手机接入，为用户提供有线无线一体化接入方式，随时随地访问办公网路。设备安全性方面接入层采用安全智能的接入交换设备49、，可有效的控制ARP病毒欺骗和扩散、提供完善IP地址控制、非法DHCP服务器控制、以及802.1x入网控制功能，能在很大程度上抑制网络常见的网络攻击和病毒扩散。有效保证学校网络稳定运行，提高网络整体带宽利用率和净化网络环境。安全策略的实施，提高内网安全性互联网交换机的硬件ACL功能应能实现对于二四层数据流的识别，即可以识别IP或者是UDP协议的各个端口来决定是否对报文进行丢弃。XX法庭应使用该功能，对于某些机密的资源，能够设置只允许“某台PC（或者某个网段）”通过特定的IP或者是UDP端口进行访问。从而最大限度的保证法院重要资源的安全。为了防止非法用户的接入，以及私建代理服务器、篡改IP地址的50、现象发生，并避免内网的DDoS攻击，在接入层交换机上应实施IP+MAC+端口的绑定配置。同时，近期ARP病毒泛滥，导致政府单位网络出现大面积频繁掉线的现象，因此要求楼层接入交换机应具备ARP欺骗防御的功能，从而建设好的内网的时时畅通性，减少系统工作量。4.3.2.3 法院政务专网设计4.3.2.3.1 组网方案本期工程法院政务专网网络组网方案拓扑如图如下： 图2： 法院政务专网拓扑图秀英区人民法院XX法庭政务专网建设规划是根据法院自身业务要求，采用“核心+接入”二层网络结构和“千兆骨干，千兆桌面”组网模式。如拓扑图所示，本期工程新增1台核心交换机负责核心交换，新增3台接入交换机，负责各楼层信息51、的的接入。接入交换机通过光纤接入核心交换机，接入交换机通过网线连接到每个信息点。1、分区域规划设计从网络架构的合理性及易管理性方面考虑，秀英区人民法院XX法庭政务专网网络应采用分区域的设计。即根据各应用的功能不同，分为“核心交换区”、“接入交换区”等，如上图所示。模块化的区域设计便于后期的管理以及系统的扩展。2、分层架构，全网千兆骨干连接，千兆至桌面秀英区人民法院XX法庭业务专网网络设计应遵照标准的“核心接入”二层设计理念，核心层设备主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能；在提供高效数据转发的同时，能够提供强大的安全控制功能；接入层交换机则直接面向法院的终端用户，提52、供信息点接口。整个网络分层次的结构便于管理，有利于未来网络规模的扩展，同时也方便灵活地设计网络带宽。4.3.2.3.2 设备选型要求1、核心交换设备核心交换机作为网络骨干，整网所有用户都依赖核心进行连接，因此，核心交换机必须速度很快且可用性极高。核心层用于承担大楼内各区域的子网互连。核心交换机是整个网络可用性和可靠性的关键，需要进行各关键器件的冗余，同时核心交换机主要承担数据流量的融合和贯通，同时承担各信息点的数据访问，故必须能满足大业务横向流量的性能要求，也要满足纵向业务流量的性能和功能要求。基于以上的基本数据流量模型分析，为保障法院内部数据交互的高速传输，秀英区人民法院XX法庭应部署一台具53、备全千兆二、三层数据转发能力的三层交换机，该设备首先应具备较高性能，以保障业务专网数据高速转发，同时结合秀英区人民法院XX法庭的实际情况，该交换机应提供不少于24个千兆电接口。2、接入交换设备直接连接专网用户，因此建议该设备在具有全面管理功能（Console、telnet、web、snmp）的同时，具有较强的安全防护功能，例如ARP病毒防御能力，MAC+IP+端口的绑定功能等等，从而在网络接入层就杜绝一些恶意数据流的传播，并且，为“实现千兆骨干、千兆接入”的建设目的，要求接入交换机至少提供24个千兆电接口。4.3.3 网络安全4.3.3.1 设计思路4.3.3.1.1 设计目标本期工程秀英区人54、民法院XX法庭需达到安全等保二级要求。第二级系统安全保护环境的设计目标是：按照GB 17859-1999对第二级系统的安全保护要求，在第一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力。(1)物理安全（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护）等10个控制点；(2)网络安全（结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护）等7个控制点；(3)主机安全（身份鉴别、安全标记、访问控制、可信路径、安全审计、55、剩余信息保护、入侵防护、恶意代码防范和资源控制）等9个控制点；(4)应用安全（身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制）等11个控制点；(5)数据安全及备份恢复（数据完整性、数据保密性、备份和恢复）等3个控制点。4.3.3.1.2 设计策略第二级系统安全保护环境的设计策略是：遵循GB 17859-1999的4.2中相关要求，以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自56、己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。4.3.3.1.3 需求分析秀英区人民法院XX法庭安全需求可以从管理层、物理层、网络层、系统层、应用层等方面加以分析。在安全管理方面，要考虑政策、法规、制度、管理权限、级别划分、安全域划分、责任认定、安全培训等，制定切实有效的管理制度和运行维护机制；建设支撑安全管理的技术支撑体系；在物理安全方面，要根据实际情况建立相应的安全防护机制；在网络安全方面，要解决互联网与互联网的逻辑隔离；对各个安全域，要防范黑客入侵、身57、份冒充、非法访问；要解决信息在安全域间传输时的完整性、可用性、保密性问题；要解决移动接入用户身份鉴别和安全传输等问题；在系统安全方面，要解决操作系统安全、数据库安全、病毒及恶意代码防范等问题；从应用安全的安全需求进行分析，要实现全网统一的身份鉴别和授权访问机制；要解决重要终端用户敏感信息和数据的完整性、可用性、保密性问题，数据的访问控制等问题。通过上面的分析，已经可以清楚地了解到互联网面临怎样的安全风险和威胁以及对应解决的途径，在此基础上，可以得出如下比较详细的安全需求：1)物理层安全需求：保护各个政府单位电子互联网网络、市级城域网及广域骨干网网络的物理安全，防止电磁信息的泄露、防止设备被盗被58、破坏。2)网络层安全需求：实现电子互联网与互联网安全、可控的逻辑隔离；保护互联网不会因来自互联网拒绝服务攻击而瘫痪；对进出各安全域的信息和数据进行严格的控制，防止对安全域的非法访问；对于各个安全域之间交互的信息和数据，保护其完整性、可用性、保密性，防止在传输过程中被窃取、篡改和破坏；在各个安全域内，能及时发现和响应各种网络攻击与破坏行为。3)系统层安全需求：建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为；使系统内的操作系统能及时升级、安装安全补丁；实现主机操作系统的内核级安全加固，使其由普通商用操作系统提升为安全性较高的系统。应用层安全需求：建59、立统一的网络信任体系，实现强身份认证机制，为工程中涉及网络设备、安全设备、应用系统提供统一的身份认证服务；利用网络信任体系，实现与其他信任体系的交叉认证；对系统、应用、数据库系统进行审计，建立相应的安全审计机制，对引发事件的根源进行责任认定。4)管理层安全需求：制定合理、有效、可行的安全管理制度，将一期工程信息系统的安全管理水准维持在较高的水平。能够及时了解各个安全域的安全现状，以便发现并解决安全问题。4.3.3.2 法院政务外网络安全设计4.3.3.2.1 组网方案秀英区人民法院XX法庭政务外网承载着互联网访问窗口、对公众提供信息化交互等服务。本期电子政务外网安全设计的建设内容包括：新增1台60、防火墙、1套入侵检测系统、1套网络准入系统、1套上网行为管理系统、1套终端安全管理系统。具体安全设备组网方案如下： 图3： 法院政务外网安全拓扑图本期工程新增的FW防火墙、IPS入侵检测系统采用串接方式部署，新增的网络接入系统、上网行为管理系统、终端安全管理系统采用旁挂方式接入核心交换机上。(1)将防火墙部署在数据中心核心层提高数据中心的可靠性。并与分支机构建立IPSec VPN，实现内网办公数据与公网出口数据的分离，保证办公数据的保密性。并对试图进入到办公网内部的攻击进行实时防护，有效保障内部网络安全。(2)IPS入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、61、关联分析等手段，针对木马病毒、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。(3)网络接入系统采用旁路部署，可减少对建设单位现有网络环境的改动，避免造成单点故障，对于那些对网络连续性要求极高的建设单位，其优点是它对客户网络环境和网络性能无任何影响，不会引入新的故障点，方便统一管理。(4)上网行为管理系统采用串接方式能实现对每一种网络应用的精确控制，完整审计所有上网数据。(5)在网络内部部署天擎终端安全管理系统，天擎终端通过控制中心连接到360的升级服务器进行升级、更新等，控制中心具有缓存功能，同样的数据62、文件只会下载一次，可以极大的节省建设单位总出口带宽。天擎终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时，天擎终端可以直接连接360的云查杀系统，进行云查杀。4.3.3.2.2 设备选型要求4.3.3.2.2.1 FW防火墙 (1)应用层转发延迟有效降低防火墙的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术，使得整个数据的处理，包括应用层数据的处理等高级功能，都在数据平面完成，不涉及数据包的拷贝，进程切换等问题，同时数据的处理在整个转发阶段都使用同一个会话，实现数据包在4-7层的高性能转发，有效降低应用层转发延迟。(2)全面完善的路由功能防火墙提供了全63、面、完善的路由功能，不仅支持IPv4静态路由，还支持IPv6静态路由；支持静态多播路由及动态多播路由；支持多种动态路由，如RIP、OSPF、BGP、RIPng、OSPFv3、BGP6。扩大了防火墙工作在路由模式下时的网络适应能力及对IPv6网络的适应能力。(3)精确的多出口ISP路由智能选路ISP路由功能主要为用户提供基于不同运营商的路由出口选择策略。常用环境为用户使用多出口上网，并且多个出口对应着多个运营商。往往跨运营商访问服务的速度会稍慢一些，因此希望如果目的地址是去往电信的，那就将该目的地址添加一条对应的静态路由指向电信出口。但是运营商的地址范围通常过大，如果手工添加静态路由，对用户来说64、会是一件非常麻烦且耗时的工作。ISP路由智能选路功能提供了快速添加运营商路由的方法，同时支持在策略路由中引用ISP路由。用户可以直接选用防火墙预设置的运营商地址信息，或者将运营商的地址范围写成文本文档，导入到防火墙中，为每一个运营商添加一条对应出口的ISP路由即可。(4)支持N元组的安全策略防火墙提供基于状态检测、基于TCP、UDP、ICMP、其他协议的动态包过滤技术，同时能够控制不同安全域之间的数据转发。防火墙的安全策略规则可以实现基于源安全域、目的安全域、源地址、目的地址、地理位置、用户、服务、应用、时间等多种安全属性的组合，将用户感兴趣、需要进行控制的数据流分离出来，同时配合拒绝或允许的65、处理行为，实现对IPv4数据及IPv6数据通讯的管理。防火墙将按顺序对策略规则进行比较，特定性更强的规则必须位于一般性更强的规则前面。例如，如果所有其他与通信相关的设置均相同，则适用于单个应用程序的规则必须位于适用于所有应用程序的规则前面。如果通信不匹配任何规则，则该通信将遭到阻止。因此，用户可以通过配置安全策略严格的制定访问控制规则及访问控制规则的匹配顺序，达到对数据进行控制的目的的同时，也在一定程度在满足了用户对安全策略灵活性的要求。根据安全策略的匹配顺序，让用户网络中进出防火墙的数据实现针对性的控制。(5)支持解密SSL协议并对其数据进行应用层防护防火墙支持对穿过防火墙的SSL协议进行解66、密，并对解密后的数据提供防护过滤，如攻击防护、病毒防护、内容过滤等。同时，对于某些重要数据，不希望防火墙进行解密，防火墙也支持将指定的加密数据进行排除不解密。对SSL协议解密并进行过滤可以防止通过SSL协议加密的攻击行为从防火墙绕过。防火墙解密后的数据在过滤完毕后会再次通过SSL协议加密并发送，保持数据在传输的过程中加密特性不变。(6)多种形式建立VPN隧道/6in4隧道支持多种形式建立VPN隧道，覆盖网关到网关，客户端到网关。用户可以选择通过PPTP/L2TP/GRE/IPSec/SSL协议建立VPN，并支持L2TP/GRE over IPSec。同时，防火墙支持IPv6网络到IPv4网络的67、多种6in4隧道，包括手工隧道、isatap、6to4隧道，保证IPv6网络到IPv4网络的访问。(7)基于应用层的综合攻击防护功能防火墙的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段，将包括SYN Flood、ICMP Flood、UDP Food、IP Food、 ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中，使得用户通过启用并配置攻击防护模块，可以有效的过滤并采取相应的措施阻止非正常报文流入68、用户内网，并对HTTP、DNS、DHCP协议提供应用层防护。另一方面，针对局域网多播广播、IP地址欺骗等也提供了专门的防护。 (8)安全联动配合基于情报的策略实现全网未知威胁拦截防火墙支持与终端安全管理系统、未知威胁监测系统进行联动。实现全网木马专项查杀及未知威胁拦截功能。终端安全管理系统通过收集终端应用程序特征，发送给防火墙进行木马专项查杀及云查杀，拦截木马程序。未知威胁监测系统通过接收互联网威胁情报中心对未知威胁的分析结果并对比用户内网异常行为，将判定为有威胁的异常推送至防火墙，并由防火墙进行阻断。联动功能可以在防火墙生成情报列表，当相同攻击再次进入防火墙时，会直接被情报列表的策略拦截，而69、无需再次检测，大大提高了防火墙应对未知威胁的能力并节省出防火墙更多资源用于承载应用层过滤功能。(9)异常流量监控异常流量监控，实时采集监控对象的流量指标，并以可视化的曲线方式展现给防火墙管理员，帮助管理员定位网络流量异常问题。流量指标包括：TCP、UDP、ICMP和组播（广播）流量。通过长时间对历史数据的学习和计算，异常流量监控功能可以计算出整个网络或单个接口的正常范围基线图，与实际流量对比，即可查看到网络中或单个接口上的异常流量，从而协助管理员管理网络、定位问题。4.3.3.2.2.2 IPS入侵防护系统(1)实时主动的防御能力IPS入侵防御系统以在线的方式部署在客户网络的关键路径上，通过对70、数据流进行2到7层的深度分析，具有能精确、实时地识别和阻断病毒、木马、SQL注入、跨站脚本攻击、DoS/DDoS、扫描等安全威胁，还具有防火墙、文件控制、URL过滤、关键字过滤、P2P、IM等网络滥用流量的识别和限制功能。(2)优异的产品性能和自身安全性IPS入侵防御系统依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。 IPS入侵防御系统采用专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。 (3)高可用71、性IPS入侵防御系统支持失效开放（Fail bypass）机制，当出现软件故障、硬件故障、电源故障时，系统bypass电口自动切换到直通状态以保障网络可用性，避免单点故障，不会成为业务的阻断点。 IPS入侵防御系统的工作模式灵活多样，支持inline主动防御、旁路检测方式，能够快速部署在各种网络环境中。IPS入侵防御系统支持通过链路冗余的双机热备份和负载均衡技术实现设备安全长时间稳定运行。(4)全面的网络安全检测、控制、展示功能IPS入侵防御系统具有DDOS防护（防CC攻击）、漏洞防护、URL过滤、关键词过滤、防病毒、流量管理、应用管控等众多网络安全方面的功能，能够为用户网络提供较为全面的网络72、安全防护功能。IPS入侵防御系统主动式网络入侵防御系统中包含了众多安全措施的报表信息，提供了流量统计和监控、入侵监控、应用排名、AV排名、木马排名、URL过滤排名和关键词过滤等众多报表信息。并且可以对历史日志的事件根据不同等级和类别进行查询。1)在线实时网络攻击监测IPS入侵防御系统的在线实时网络攻击监测功能可依靠入侵攻击事件的威胁程度做分类监控，提供客户实时的警示，以便采取进一步措施，阻挡与防范各类的安全事件。 2)网络入侵攻击事件查询 IPS入侵防御系统对于网络攻击的查询可以按不同攻击类型分为四大类，第一类为应用安全类，包括web关键字过滤，url过滤，文件控制，web邮箱过滤等信息。用户73、可以按时间段、日志类型及日志级别进行日志的查询、删除和导出；第二类为入侵防护类，此类查询是重要攻击事件的查询，可以针对服务器主机或网络攻击种类进行网络攻击事件查询；第三类则为垃圾邮件类，此类查询是防病毒及反垃圾邮件日志信息的查询。包括基于流量的防病毒，基于文件的防病毒，反垃圾邮件等。第四类则为DDOS防护日志，展示DDOS的防护信息。3)在线实时流量监测 IPS入侵防御系统提供在线实时流量监测功能，IPS入侵防御系统提供各种不同的数据包（TCP、UDP、ICMP、IGMP、ARP、IPX）流量变化的情形，用以协助客户观察整个网络流量有无异常状况发生。 4)系统事件查询 对于与IPS入侵防御系统74、系统本身相关的事件，包括远程登陆、设备设定更改等均会被记录起来，以保障系统本身的安全，及追查网络异常的状况。4.3.3.2.2.3 网络接入系统(1)应用准入应用准入是一种网关准入防护技术，目的是防止非法终端访问建设单位核心区域资源，规范终端入网流程，保障入网终端的安全可信，结合终端的安全检查功能，可满足建设单位入网的合规性管理要求； 网络接入系统引擎采用旁路部署，通过监听来发现和评估哪些终端入网是否符合遵从条件，判断哪些终端是否允许安全访问建设单位核心资源，不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略，不符合进行隔离和修复，达到合规入网的管理规范要求，这种方式75、的优点在于无需和交换机进行联动，避免交换机管理的复杂性和终端私拉乱接带来的绕过可能性。此方案部署简单，对环境依赖较小，无风险和故障点，并可提高客户端的部署效率，检测入网终端是否安装天擎客户端，防止天擎的卸载和去化率过高。终端的安全防护的一切要素在于安全监测客户端的存在，如果没有安全客户端等于脱离管理，终端变成裸奔状态，非可信状态。网络接入系统检测入网终端是否安装天擎客户端，达到入网遵从条件，提高客户端部署效率、防止天擎去化率过高，保障入网终端是在安全可控范围内，防止非合规性终端访问建设单位核心资源服务器。网络接入系统来判断是否拦截未安装天擎客户端的终端，达到入网安全性检测，配置安全检查策略可实76、现更加细粒度的入网合规要求。(2)Web Portal认证网络接入系统保护网络核心区域不受外部非法访问的认证技术方案，采用旁路部署，通过监听保护区域的网络数据流，并做连接跟踪，对单位内网数据流进行合法性检测并对非法连接进行阻断和控制，保护核心区域访问的安全。它基于用户核心业务保护概念，对非法访问用户核心资源进行访问限制，确认身份的合法后才能正常访问。(3)802.1x接入认证网络接入系统接入认证是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，可联动入网合规性检查，根据检查结果下发网络访问权限，802.1x认证可提供端口级的强准入认证方案，并支持认证授权、77、安全检查、隔离修复、访问控制 “一站式”的全流程入网准入管理，从而使内部终端接入管理变得安全、可控、透明。(4)终端安全合规检查天擎安全检查策略会检测终端入网安全状态，能快速定位发现入网计算机终端的安全合规状态，并利用其本地防火墙隔离管控技术立即将这个设备与网络上的其它设备隔离起来，只能够访问修复区，同时依照策略进行引导修复。对于已授权合规终端，如发现运行阶段又不符合安全检查策略，可调用周期检查或定时检查引擎，对该终端的安全状态进行二次检查，期间如发现不合规进行再次隔离，禁止其访问建设单位核心资源，可提供安全检查结果详情和全网安全状态统计等日志报表。在天擎安全检查策略配置中心，管理者可轻松定义78、安全检查策略，确保入网访问的终端是安全可信的，天擎安全检查策略中心提供多种安全检查机制，并不断进行安检库的维护和更新。(5)访客注册申请系统支持访客入网管理，支持访客用户注册申请、访客认证、用户审批流程，经管理员审批或系统自动审批后才能认证入网，审批结果可邮件通知用户。(6)第三方认证源联动系统提供多种认证源认证方式，支持本地用户、AD认证、LDAP认证、Email认证、Http认证适应用户不同网络环境，满足用户实名制认证、集中统一管理的入网需求(7)安全管理与访问控制利用天擎强制合规组件的动态检测技术和安全策略管理，可针对接入用户和终端进行网络访问控制功能。 (8)认证绑定管理支持多种条件绑79、定认证，即用户和终端、交换机、VLAN、交换机端口等进行绑定认证、提高入网安全强度，此绑定机制适应于安装客户端的802.1x认证方式。并可设置用户账号的入网有限期控制和用户在线认证数量限制等。(9)动态在线会话支持认证用户在线状态详情查看，让管理员实时掌握用户接入网络情况，并支持用户违规强制下线和账号锁定功能，确保具有安全隐患的接入终端对网络不造成影响。网络接入系统对用户访问网络资源可使用的时间进行动态计算，实时查看用户在线时长和剩余时间，对用户的入网情况进行跟踪和审计。 (10)用户管理系统除具有和多种第三方认证源联动认证外，还具有本地用户管理库系统，支持账号的有效期管理、可在线用户数量限制80、用户认证后VLAN的动态切换、用户自注册和审批流程、密码重置等管理功能，并支持LDAP/AD服务器的组织架构和用户的导入和更新、用户和组织映射关系导入等。(11)设备例外管理用户网络中存在大量的哑终端设备，如：网络打印机、视频会议系统等设备，并分散在各地，而建设单位网络在透明状态，如何保证这些哑终端接入网络是安全可控的呢？系统提供设备的白名单管理，当添加到白名单的合法设备可以直接接入网络，反之非法设备不允许接入，此方式可适应于多种认证技术方式，如：Portal和802.1X认证方式都可支持。(12)强制隔离用户正常的802.1x认证成功后，如果认证会话没有过期网络会持续可用，产品专有的认证客81、户端可以实时接收认证服务器的控制指令，管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络，确保非正常情况下可对终端入网进行控制和强制隔离处理。(13)主机身份识别系统支持主机快速认证方式，提供开机即入网，认证过程后台执行，在不影响用户日常习惯体验上又达到了安全入网的目的，天擎准入的主机身份主要是根据终端的MID唯一标识符、作为产生主机身份算法的因子，安全强度大于传统的MAC方式认证，可避免用户更改mac地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了快速接入网络的需求，此方案主要适用于没有统一认证源的大型建设单位用户。(14)接入和安检日志报表系统82、支持详尽的接入认证和安全检查日志报表功能，可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计，并可形成报表查询和导出，管理员一目了然，管理员可通过数据全方位的追溯和分析终端接入和安全状态。系统提供对接入认证终端的认证时间、 用户名、 接入计算机名、 IP、 MAC、 组织、 接入交换机、 端口、 认证状态、 用户类型、 认证详情等接入日志信息。安全检查支持计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 详情等安全检查信息，提供可按日志详情、按分组统计、按违规项统计、违规次数统计等多种安全检查统计分析。4.3.3.2.2.4 83、上网行为管理系统(1)网页访问审计与过滤Web是互联网上内容最丰富、访问量最大的应用，然而网页内容良莠不齐，充斥许多反动、暴力、色情以及其它不健康的信息；此外，大量网络应用，如P2P，IM，网络电视、游戏等等，也借助HTTP协议或者80端口，一方面躲避防火墙的封堵，一方面携带病毒、恶意软件，为内网用户带来安全风险，挤占网络带宽。上网行为管理系统通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置，对违反国家法律、危害建设单位安全的内容进行过滤，避免用户有意无意访问包含非法内容的网页，净化网络，减少病毒进入局域网的几率，降低建设单位法律风险，创造文明健康的上网环境。(2)应用控制随着技术的迅84、猛发展，各种互联网应用层出不穷，如即时通讯（IM）、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了建设单位人力资源的严重浪费。(3)带宽管理网络应用层出不穷，对带宽资源的占用也越来越高，特别是以P2P为代表的下载软件，如果不加限制，会严重消耗建设单位的带宽资源，从而影响正常的业务数据的传输。上网行为管理系统支持应用层的带宽分配与流量管理，可以针对用户或部门85、按照时间段，对每一种应用协议进行带宽限制。上网行为管理系统像一台网络协议分析仪，能够识别并统计网络上有哪些类型的数据在传输，哪些应用在运行，哪些协议在使用，哪些服务器的流量占用了主要的带宽资源，哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据，通过预先设定若干个虚拟的带宽通道，将带宽通道与具体的用户或网络应用绑定，从而对其流量进行限制、整形，达到带宽管理的目的。(4)内容审计和过滤通过互联网传递信息已经成为建设单位的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理系统，您可以制定精细化的信息收发监控策略，有效控制信息的传播范围，控制敏感信息的泄露，避免可86、能引起的法律风险。(5)实时监控上网行为管理系统支持管理员实时地监控设备运行健康状况与当前网络活动，可在第一时间内对网络异常进行定位分析。(6)共享接入监控共享接入是指使用NAT等IP映射技术将一个网络出口共享到多个主机。例如使用无线路由器将一条宽带网络共享给多个PC、智能手机或平板电脑连入Internet。上网行为管理系统共享接入模块能够对接入网络的设备做观察、控制，能够检测到一个用户或IP所共享的终端数量，并可以对数量做策略控制，以达到掌控用户终端数量的目的。(7)报警管理中心上网行为管理系统报警管理中心可对系统异常、网络异常、用户互联网违规行为，以及外发内容不合规行为进行统一报警管理，并87、对不同级别的报警事件以声音、指示灯、邮件等不同的方式进行报警，便于管理员第一时间知悉事件并采取措施，降低互联网管理的风险和隐患。(8)查询统计与报表分析对用户网络行为进行记录与分析，是上网行为管理产品必备的重要功能。对日志的存留与分析，既是对国家法律法规的遵从，也是真正管理好建设单位员工上网、有效利用网络资源的需要。针对用户上网行为以及相关内容查询统计，能够对用户的网络活动进行较长时间的回溯与反查，帮助管理员全面了解网络的使用情况，为改进网络管理提供详实准确的依据。(9)用户管理用户是上网行为管理产品最核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决88、定了上网行为管理的效果。上网行为管理系统提供了丰富的用户认证方式以及符合建设单位实际的用户管理能力，很好地满足建设单位对于用户的管理要求。(10)虚拟专用网络（IPSec VPN）虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用网络上建立专用网络的技术。上网行为管理系统支持与NGFW或其他厂商的某些型号VPN以标准IPSec进行互通。上网行为管理系统支持完整的标准IPSec协议定义的VPN功能，并可对VPN隧道的连接方式进行详细灵活的配置，如用户可配置IKE认证方式，是否需要NAT穿透等。4.3.3.2.2.5 终端安全管理系统(1)病毒/木马防护天擎终89、端安全管理系统支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。360云查杀建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。360杀毒具备100亿黑白名单库，而且每天黑白名单库都在以百万级的数量在增长。天擎终端安全管理系统的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的90、依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，360的云查杀优势无法很好的体现，病毒查杀率将降低。(2)补丁管理在建设单位的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进行兼容性测试后才能对91、相应的服务器进行补丁升级操作。天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联，可以根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，在保障建设单位网络带宽的前提下可以有效提升建设单位整体漏洞防护等级。(3)资产管理1)终端发现天擎终端安全管理系统具有强大的终端发现功能，管理员可以通过定义网络IP段分组，对指定的网络分组进行周期性地发现（采用多协议、多机制方式）与统计网络中的终端数量及类型。管理员通过此功能，了解全网终端数量和天擎终端的安装量，为建设单位终端安全管理运维提供有效的参考。2)单点维护天擎终端安全管理系统对单台终端具有全92、面的安全运维管理功能，包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理、终端安全威胁统计和远程运维管理等功能。(4)软件管理天擎终端安全管理系统独有的软件管家功能不但能够统计全网终端的软件部署情况，还可以根据建设单位不同部门进行终端分组，并对不同分组分发不同软件，实现远程部署、远程通知安装等方式。天擎软件管家集软件下载、升级、卸载等功能于一体，为建设单位提供必要的一站式软件管理服务。通过使用软件服务，可以避免来源不明的软件的安装和运行带来的各种风险（如含有恶意代码或者木马程序），又可能合理分配和控制建设单位购买的软件许可证。支持软件的统一93、分组、定时分发，并可实现自动安装应用以及强制卸载应用，帮助管理员按照建设单位规定管理终端用户软件的安装。支持查询全网终端的软件安装情况以及终端进程信息，帮助管理员及时发现违规软件及可疑应用。(5)终端安全运维管控终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等。1)流量管理通过使用天擎终端安全管理系统流量管理模块管理员可以了解各终端的网络流量情况，包括终端的实时网络速度、一段时间内的下载上传流量等，同时支持对终端的上传及下载流量限制进行统一管控，帮助管理员管理网络流量，避免非法应用占用大量带宽，保证建设单位正常业务的平稳运行。2)非法外联非法外联管理94、模块可以针对建设单位中经常遇到的通过3G网卡、随身Wifi等方式使内网电脑可以通过非法途径连接外网导致建设单位核心数据泄漏等问题的出现，天擎非法外联管理模块无论终端使用何种方式连接外网都可以在第一时间对管理员发送告警并隔离非法终端，在最大程度上保障建设单位核心数据安全。3)应用程序安全应用程序安全支持三种策略：针对终端在线作用，针对终端离线作用和针对在线和离线终端作用。应用程序安全支持进程黑白名单，添加进白名单的进程为信任进程，而黑名单中的进程为恶意进程，系统将直接阻断该类进程。另外，还有进程红名单，添加进进程红名单的进程为必须运行进程，可以防止恶意程序对该必备类型进行破坏。4)网络安全网络安95、全防护支持同上三种类型策略，也是通过黑白名单准测来确保网络安全。管理员可以添加某些网络连接的协议类型，IP地址和端口号或者添加URL地址来使它成为黑名单或者白名单，从而保证用户网络安全。5)外设管理外设是PC使用者传输数据的通道，为日常的工作带来了极大的方便，但是，对于终端的安全运维管理同时带来了难题。一方面用户会通过外设将数据传出到建设单位以外，另一面用户会通过外设通道将病毒感染至建设单位内部各个终端。天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性，并支持分配到不同的分组上面。支持硬件准入管理，可帮助管理员对96、终端的USB口、1394、串口、并口、PCMCIA卡等接口进行启用和禁用控制，支持的设备有USB移动存储、非USB移动存储、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板等常用设备进行禁用管理，也支持光盘的读写控制功能。管理员可通过天擎终端安全管理系统对PC终端外设进行强有力的全面管控，杜绝数据外泄和感染病毒的风险。6)桌面安全加固IT管理员管理的PC数量不断增加，PC统一配置逐渐成为管理中的突出问题。如果没有集中管控手段，逐台操作工作量非常大，且PC用户也会擅自变更配置，造成网内PC的基本配置无法统一管理，经常出现诸如账户密码太简单被病毒感染，私自97、代理上网等等一系列问题。桌面安全加固能帮助IT管理员对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查等功能进行细粒度的统一强管控，并支持不同的分组设置不同的策略功能。协助IT管理员做到全网终端统一配置的管控目标，提高IT管理员的运维水平。(6)移动存储介质管理天擎终端安全管理系统，能够实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。移动存储管理解决了用户在安全管控要求下使用移动存储介质，实现数据共享和数据交换98、的迫切需求。移动存储管理支持分组管理，给予不同的移动存储介质相应的授权使用范围和读写权限，同时支持设备状态的追踪与管理。(7)综合安全评估评估中心通过对内网终端的配置脆弱程度、终端数据价值和终端沦陷迹象进行评估，实现对网内终端安全性、核心数据终端以及终端使用痕迹的实时掌握，支持不同分组执行不同任务，以及对任务的优先级进行排序。(8)安全U盘360安全U盘是奇虎360基于多年在USB安全威胁方面的研究的技术成果，通过和国内最好的U盘硬件生产厂商合作开发研制的安全U盘硬件，不但从软件方面解决了木马摆渡、病毒传播、U盘交叉使用和U盘文件使用缺乏审计等方面的安全问题，同时通过定制安全芯片的应用大大提高99、了U盘的安全特性，保证即使U盘丢失也依然可以有效保护U盘内的加密文件，从各个方面减少了因U盘使用而为建设单位内网带来的安全隐患。(9)终端审计随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，天擎终端安全管理系统通过技术手段使各种管理条例落地，增强用户的安全和保密意识，保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，达到合规管理的审计的要求。(10)报表管理1)报表展示天擎终端安全管理系统支持对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、系统危险项100、，安全配置、文件及应用日志、终端事件告警等信息进行报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计与展现，也能按周、月、季、年的时间维度进行趋势分析，同时支持报表的导出及打印，帮助管理员对日常安全防护、安全运维工作进行分析评估。2)大数据存储分析天擎终端安全管理系统可以为大型客户和行业客户提供独有的大数据引擎（BDE）系统，将全网终端日常运维数据汇聚存储分析，并根据客户的行业特点和客户运维管理所需的要求定制报表，为管理员提供更佳有效的终端安全管理运维依据，提高终端安全管理水平。大数据引擎（BDE）与传统终端安全管理系统的数据存储方式比具有存储空间大、报表生成快、内容101、丰富多样等特点。(11)边界联动防御天擎终端安全管理系统可以与360的边界防护设备天眼新一代未知威胁感知系统进行联动，借助360天眼的深度检测能力，结合天擎终端上的精确防御能力，实现对PC终端的攻击防御。天眼新一代未知威胁感知系统在检测出网络攻击行为之后，一方面会采用页面报警、邮件报警的方式对攻击行为进行实时报警，同时，天眼还会将报警信息实时发送给部署在终端之上的天擎终端安全管理系统进行有效联动。天擎在接收到报警信息之后，会及时根据报警信息所提供的文件名称、五元组信息对攻击行为进行及时的隔离与阻断，实现“边界发现、终端防御”的深度发现与防御效果。最后，天擎会将对攻击和文件的阻断与隔离结果实时反102、馈给天眼系统，天眼系统在接收到天擎终端安全与管理系统的反馈结果之后，修改天眼系统的报警信息，加入“处理结果”更新防护规则，同时将本次攻击防御的处理结果分享给网内其它控制中心和终端，以提高全网的安全防护能力，完成对一次攻击及其报警的闭环防御流程。4.3.3.3 法院政务专网安全设计4.3.3.3.1 组网方案本期工程在秀英区人民法院XX法庭政务专网新增1台防火墙、1套入侵检测系统、1套网络准入系统、1套终端安全管理系统，以保障专网的网络安全。具体组网图如下：图4： 法院政务专网安全拓扑图本期工程新增的FW防火墙、IPS入侵检测系统采用串接方式部署，新增的网络接入系统、上网行为管理系统、终端安全管103、理系统采用旁挂方式接入核心交换机上。(1)将防火墙部署在数据中心核心层提高数据中心的可靠性。并与分支机构建立IPSec VPN，实现内网办公数据与公网出口数据的分离，保证办公数据的保密性。并对试图进入到办公网内部的攻击进行实时防护，有效保障内部网络安全。(2)IPS入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对木马病毒、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。(3)网络接入系统采用旁路部署，可减少对建设单位现有网络环境的改动，避免造成单点故障，对104、于那些对网络连续性要求极高的建设单位，其优点是它对客户网络环境和网络性能无任何影响，不会引入新的故障点，方便统一管理。(4)在网络内部部署天擎终端安全管理系统，天擎终端通过控制中心连接到360的升级服务器进行升级、更新等，控制中心具有缓存功能，同样的数据文件只会下载一次，可以极大的节省建设单位总出口带宽。天擎终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时，天擎终端可以直接连接360的云查杀系统，进行云查杀。4.3.3.3.2 设备选型要求4.3.3.3.2.1 FW防火墙 (1)应用层转发延迟有效降低防火墙的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理105、技术，使得整个数据的处理，包括应用层数据的处理等高级功能，都在数据平面完成，不涉及数据包的拷贝，进程切换等问题，同时数据的处理在整个转发阶段都使用同一个会话，实现数据包在4-7层的高性能转发，有效降低应用层转发延迟。(2)全面完善的路由功能防火墙提供了全面、完善的路由功能，不仅支持IPv4静态路由，还支持IPv6静态路由；支持静态多播路由及动态多播路由；支持多种动态路由，如RIP、OSPF、BGP、RIPng、OSPFv3、BGP6。扩大了防火墙工作在路由模式下时的网络适应能力及对IPv6网络的适应能力。(3)精确的多出口ISP路由智能选路ISP路由功能主要为用户提供基于不同运营商的路由出口选106、择策略。常用环境为用户使用多出口上网，并且多个出口对应着多个运营商。往往跨运营商访问服务的速度会稍慢一些，因此希望如果目的地址是去往电信的，那就将该目的地址添加一条对应的静态路由指向电信出口。但是运营商的地址范围通常过大，如果手工添加静态路由，对用户来说会是一件非常麻烦且耗时的工作。ISP路由智能选路功能提供了快速添加运营商路由的方法，同时支持在策略路由中引用ISP路由。用户可以直接选用防火墙预设置的运营商地址信息，或者将运营商的地址范围写成文本文档，导入到防火墙中，为每一个运营商添加一条对应出口的ISP路由即可。(4)支持N元组的安全策略防火墙提供基于状态检测、基于TCP、UDP、ICMP、107、其他协议的动态包过滤技术，同时能够控制不同安全域之间的数据转发。防火墙的安全策略规则可以实现基于源安全域、目的安全域、源地址、目的地址、地理位置、用户、服务、应用、时间等多种安全属性的组合，将用户感兴趣、需要进行控制的数据流分离出来，同时配合拒绝或允许的处理行为，实现对IPv4数据及IPv6数据通讯的管理。防火墙将按顺序对策略规则进行比较，特定性更强的规则必须位于一般性更强的规则前面。例如，如果所有其他与通信相关的设置均相同，则适用于单个应用程序的规则必须位于适用于所有应用程序的规则前面。如果通信不匹配任何规则，则该通信将遭到阻止。因此，用户可以通过配置安全策略严格的制定访问控制规则及访问控制108、规则的匹配顺序，达到对数据进行控制的目的的同时，也在一定程度在满足了用户对安全策略灵活性的要求。根据安全策略的匹配顺序，让用户网络中进出防火墙的数据实现针对性的控制。(5)支持解密SSL协议并对其数据进行应用层防护防火墙支持对穿过防火墙的SSL协议进行解密，并对解密后的数据提供防护过滤，如攻击防护、病毒防护、内容过滤等。同时，对于某些重要数据，不希望防火墙进行解密，防火墙也支持将指定的加密数据进行排除不解密。对SSL协议解密并进行过滤可以防止通过SSL协议加密的攻击行为从防火墙绕过。防火墙解密后的数据在过滤完毕后会再次通过SSL协议加密并发送，保持数据在传输的过程中加密特性不变。(6)多种形式109、建立VPN隧道/6in4隧道支持多种形式建立VPN隧道，覆盖网关到网关，客户端到网关。用户可以选择通过PPTP/L2TP/GRE/IPSec/SSL协议建立VPN，并支持L2TP/GRE over IPSec。同时，防火墙支持IPv6网络到IPv4网络的多种6in4隧道，包括手工隧道、isatap、6to4隧道，保证IPv6网络到IPv4网络的访问。(7)基于应用层的综合攻击防护功能防火墙的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段，将包括SYN Flood、ICMP Flood、UDP Food、I110、P Food、 ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中，使得用户通过启用并配置攻击防护模块，可以有效的过滤并采取相应的措施阻止非正常报文流入用户内网，并对HTTP、DNS、DHCP协议提供应用层防护。另一方面，针对局域网多播广播、IP地址欺骗等也提供了专门的防护。 (8)安全联动配合基于情报的策略实现全网未知威胁拦截防火墙支持与终端安全管理系统、未知威胁监测系统进行联动。实现全网木马专项查杀及未知威胁拦截功能。终端安全管理系统通过收集终端应用程序特征，发送给防火墙进行木马专项查杀及111、云查杀，拦截木马程序。未知威胁监测系统通过接收互联网威胁情报中心对未知威胁的分析结果并对比用户内网异常行为，将判定为有威胁的异常推送至防火墙，并由防火墙进行阻断。联动功能可以在防火墙生成情报列表，当相同攻击再次进入防火墙时，会直接被情报列表的策略拦截，而无需再次检测，大大提高了防火墙应对未知威胁的能力并节省出防火墙更多资源用于承载应用层过滤功能。(9)异常流量监控异常流量监控，实时采集监控对象的流量指标，并以可视化的曲线方式展现给防火墙管理员，帮助管理员定位网络流量异常问题。流量指标包括：TCP、UDP、ICMP和组播（广播）流量。通过长时间对历史数据的学习和计算，异常流量监控功能可以计算出整112、个网络或单个接口的正常范围基线图，与实际流量对比，即可查看到网络中或单个接口上的异常流量，从而协助管理员管理网络、定位问题。4.3.3.3.2.2 IPS入侵防护系统(1)实时主动的防御能力IPS入侵防御系统以在线的方式部署在客户网络的关键路径上，通过对数据流进行2到7层的深度分析，具有能精确、实时地识别和阻断病毒、木马、SQL注入、跨站脚本攻击、DoS/DDoS、扫描等安全威胁，还具有防火墙、文件控制、URL过滤、关键字过滤、P2P、IM等网络滥用流量的识别和限制功能。(2)优异的产品性能和自身安全性IPS入侵防御系统依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有113、线速的分析与处理能力。 IPS入侵防御系统采用专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。 (3)高可用性IPS入侵防御系统支持失效开放（Fail bypass）机制，当出现软件故障、硬件故障、电源故障时，系统bypass电口自动切换到直通状态以保障网络可用性，避免单点故障，不会成为业务的阻断点。 IPS入侵防御系统的工作模式灵活多样，支持inline主动防御、旁路检测方式，能够快速部署在各种网络环境中。IPS入侵防御系统支持通过链路冗余的双机热114、备份和负载均衡技术实现设备安全长时间稳定运行。(4)全面的网络安全检测、控制、展示功能IPS入侵防御系统具有DDOS防护（防CC攻击）、漏洞防护、URL过滤、关键词过滤、防病毒、流量管理、应用管控等众多网络安全方面的功能，能够为用户网络提供较为全面的网络安全防护功能。IPS入侵防御系统主动式网络入侵防御系统中包含了众多安全措施的报表信息，提供了流量统计和监控、入侵监控、应用排名、AV排名、木马排名、URL过滤排名和关键词过滤等众多报表信息。并且可以对历史日志的事件根据不同等级和类别进行查询。1)在线实时网络攻击监测IPS入侵防御系统的在线实时网络攻击监测功能可依靠入侵攻击事件的威胁程度做分类监115、控，提供客户实时的警示，以便采取进一步措施，阻挡与防范各类的安全事件。 2)网络入侵攻击事件查询 IPS入侵防御系统对于网络攻击的查询可以按不同攻击类型分为四大类，第一类为应用安全类，包括web关键字过滤，url过滤，文件控制，web邮箱过滤等信息。用户可以按时间段、日志类型及日志级别进行日志的查询、删除和导出；第二类为入侵防护类，此类查询是重要攻击事件的查询，可以针对服务器主机或网络攻击种类进行网络攻击事件查询；第三类则为垃圾邮件类，此类查询是防病毒及反垃圾邮件日志信息的查询。包括基于流量的防病毒，基于文件的防病毒，反垃圾邮件等。第四类则为DDOS防护日志，展示DDOS的防护信息。3)在线实116、时流量监测 IPS入侵防御系统提供在线实时流量监测功能，IPS入侵防御系统提供各种不同的数据包（TCP、UDP、ICMP、IGMP、ARP、IPX）流量变化的情形，用以协助客户观察整个网络流量有无异常状况发生。 4)系统事件查询 对于与IPS入侵防御系统系统本身相关的事件，包括远程登陆、设备设定更改等均会被记录起来，以保障系统本身的安全，及追查网络异常的状况。4.3.3.3.2.3 网络接入系统(1)应用准入应用准入是一种网关准入防护技术，目的是防止非法终端访问建设单位核心区域资源，规范终端入网流程，保障入网终端的安全可信，结合终端的安全检查功能，可满足建设单位入网的合规性管理要求； 网络接入117、系统引擎采用旁路部署，通过监听来发现和评估哪些终端入网是否符合遵从条件，判断哪些终端是否允许安全访问建设单位核心资源，不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略，不符合进行隔离和修复，达到合规入网的管理规范要求，这种方式的优点在于无需和交换机进行联动，避免交换机管理的复杂性和终端私拉乱接带来的绕过可能性。此方案部署简单，对环境依赖较小，无风险和故障点，并可提高客户端的部署效率，检测入网终端是否安装天擎客户端，防止天擎的卸载和去化率过高。终端的安全防护的一切要素在于安全监测客户端的存在，如果没有安全客户端等于脱离管理，终端变成裸奔状态，非可信状态。网络接入系统检118、测入网终端是否安装天擎客户端，达到入网遵从条件，提高客户端部署效率、防止天擎去化率过高，保障入网终端是在安全可控范围内，防止非合规性终端访问建设单位核心资源服务器。网络接入系统来判断是否拦截未安装天擎客户端的终端，达到入网安全性检测，配置安全检查策略可实现更加细粒度的入网合规要求。(2)Web Portal认证网络接入系统保护网络核心区域不受外部非法访问的认证技术方案，采用旁路部署，通过监听保护区域的网络数据流，并做连接跟踪，对单位内网数据流进行合法性检测并对非法连接进行阻断和控制，保护核心区域访问的安全。它基于用户核心业务保护概念，对非法访问用户核心资源进行访问限制，确认身份的合法后才能正常119、访问。(3)802.1x接入认证网络接入系统接入认证是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，可联动入网合规性检查，根据检查结果下发网络访问权限，802.1x认证可提供端口级的强准入认证方案，并支持认证授权、安全检查、隔离修复、访问控制 “一站式”的全流程入网准入管理，从而使内部终端接入管理变得安全、可控、透明。(4)终端安全合规检查天擎安全检查策略会检测终端入网安全状态，能快速定位发现入网计算机终端的安全合规状态，并利用其本地防火墙隔离管控技术立即将这个设备与网络上的其它设备隔离起来，只能够访问修复区，同时依照策略进行引导修复。对于已授权合规终端120、，如发现运行阶段又不符合安全检查策略，可调用周期检查或定时检查引擎，对该终端的安全状态进行二次检查，期间如发现不合规进行再次隔离，禁止其访问建设单位核心资源，可提供安全检查结果详情和全网安全状态统计等日志报表。在天擎安全检查策略配置中心，管理者可轻松定义安全检查策略，确保入网访问的终端是安全可信的，天擎安全检查策略中心提供多种安全检查机制，并不断进行安检库的维护和更新。(5)访客注册申请系统支持访客入网管理，支持访客用户注册申请、访客认证、用户审批流程，经管理员审批或系统自动审批后才能认证入网，审批结果可邮件通知用户。(6)第三方认证源联动系统提供多种认证源认证方式，支持本地用户、AD认证、L121、DAP认证、Email认证、Http认证适应用户不同网络环境，满足用户实名制认证、集中统一管理的入网需求(7)安全管理与访问控制利用天擎强制合规组件的动态检测技术和安全策略管理，可针对接入用户和终端进行网络访问控制功能。 (8)认证绑定管理支持多种条件绑定认证，即用户和终端、交换机、VLAN、交换机端口等进行绑定认证、提高入网安全强度，此绑定机制适应于安装客户端的802.1x认证方式。并可设置用户账号的入网有限期控制和用户在线认证数量限制等。(9)动态在线会话支持认证用户在线状态详情查看，让管理员实时掌握用户接入网络情况，并支持用户违规强制下线和账号锁定功能，确保具有安全隐患的接入终端对网络不122、造成影响。网络接入系统对用户访问网络资源可使用的时间进行动态计算，实时查看用户在线时长和剩余时间，对用户的入网情况进行跟踪和审计。 (10)用户管理系统除具有和多种第三方认证源联动认证外，还具有本地用户管理库系统，支持账号的有效期管理、可在线用户数量限制、用户认证后VLAN的动态切换、用户自注册和审批流程、密码重置等管理功能，并支持LDAP/AD服务器的组织架构和用户的导入和更新、用户和组织映射关系导入等。(11)设备例外管理用户网络中存在大量的哑终端设备，如：网络打印机、视频会议系统等设备，并分散在各地，而建设单位网络在透明状态，如何保证这些哑终端接入网络是安全可控的呢？系统提供设备的白名单123、管理，当添加到白名单的合法设备可以直接接入网络，反之非法设备不允许接入，此方式可适应于多种认证技术方式，如：Portal和802.1X认证方式都可支持。(12)强制隔离用户正常的802.1x认证成功后，如果认证会话没有过期网络会持续可用，产品专有的认证客户端可以实时接收认证服务器的控制指令，管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络，确保非正常情况下可对终端入网进行控制和强制隔离处理。(13)主机身份识别系统支持主机快速认证方式，提供开机即入网，认证过程后台执行，在不影响用户日常习惯体验上又达到了安全入网的目的，天擎准入的主机身份主要是根据终端的MID唯一标识符、作为产生124、主机身份算法的因子，安全强度大于传统的MAC方式认证，可避免用户更改mac地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了快速接入网络的需求，此方案主要适用于没有统一认证源的大型建设单位用户。(14)接入和安检日志报表系统支持详尽的接入认证和安全检查日志报表功能，可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计，并可形成报表查询和导出，管理员一目了然，管理员可通过数据全方位的追溯和分析终端接入和安全状态。系统提供对接入认证终端的认证时间、 用户名、 接入计算机名、 IP、 MAC、 组织、 接入交换机、 端口、 认证状态、 用125、户类型、 认证详情等接入日志信息。安全检查支持计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 详情等安全检查信息，提供可按日志详情、按分组统计、按违规项统计、违规次数统计等多种安全检查统计分析。4.3.3.3.2.4 终端安全管理系统(1)病毒/木马防护天擎终端安全管理系统支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。360云查杀建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用126、云端的黑白名单验证的方法，可以最大限度的保护数据安全。360杀毒具备100亿黑白名单库，而且每天黑白名单库都在以百万级的数量在增长。天擎终端安全管理系统的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，360的云查杀优势无法很好的体127、现，病毒查杀率将降低。(2)补丁管理在建设单位的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联，可以根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，在保障建设单位网络带宽的前提下可以有效提升建设单位整体漏洞防护等级。(3)资产管理1)终端发现天擎终端安全管128、理系统具有强大的终端发现功能，管理员可以通过定义网络IP段分组，对指定的网络分组进行周期性地发现（采用多协议、多机制方式）与统计网络中的终端数量及类型。管理员通过此功能，了解全网终端数量和天擎终端的安装量，为建设单位终端安全管理运维提供有效的参考。2)单点维护天擎终端安全管理系统对单台终端具有全面的安全运维管理功能，包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理、终端安全威胁统计和远程运维管理等功能。(4)软件管理天擎终端安全管理系统独有的软件管家功能不但能够统计全网终端的软件部署情况，还可以根据建设单位不同部门进行终端分组，并对不同分129、组分发不同软件，实现远程部署、远程通知安装等方式。天擎软件管家集软件下载、升级、卸载等功能于一体，为建设单位提供必要的一站式软件管理服务。通过使用软件服务，可以避免来源不明的软件的安装和运行带来的各种风险（如含有恶意代码或者木马程序），又可能合理分配和控制建设单位购买的软件许可证。支持软件的统一分组、定时分发，并可实现自动安装应用以及强制卸载应用，帮助管理员按照建设单位规定管理终端用户软件的安装。支持查询全网终端的软件安装情况以及终端进程信息，帮助管理员及时发现违规软件及可疑应用。(5)终端安全运维管控终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等130、。1)流量管理通过使用天擎终端安全管理系统流量管理模块管理员可以了解各终端的网络流量情况，包括终端的实时网络速度、一段时间内的下载上传流量等，同时支持对终端的上传及下载流量限制进行统一管控，帮助管理员管理网络流量，避免非法应用占用大量带宽，保证建设单位正常业务的平稳运行。2)非法外联非法外联管理模块可以针对建设单位中经常遇到的通过3G网卡、随身Wifi等方式使内网电脑可以通过非法途径连接外网导致建设单位核心数据泄漏等问题的出现，天擎非法外联管理模块无论终端使用何种方式连接外网都可以在第一时间对管理员发送告警并隔离非法终端，在最大程度上保障建设单位核心数据安全。3)应用程序安全应用程序安全支持三131、种策略：针对终端在线作用，针对终端离线作用和针对在线和离线终端作用。应用程序安全支持进程黑白名单，添加进白名单的进程为信任进程，而黑名单中的进程为恶意进程，系统将直接阻断该类进程。另外，还有进程红名单，添加进进程红名单的进程为必须运行进程，可以防止恶意程序对该必备类型进行破坏。4)网络安全网络安全防护支持同上三种类型策略，也是通过黑白名单准测来确保网络安全。管理员可以添加某些网络连接的协议类型，IP地址和端口号或者添加URL地址来使它成为黑名单或者白名单，从而保证用户网络安全。5)外设管理外设是PC使用者传输数据的通道，为日常的工作带来了极大的方便，但是，对于终端的安全运维管理同时带来了难题。132、一方面用户会通过外设将数据传出到建设单位以外，另一面用户会通过外设通道将病毒感染至建设单位内部各个终端。天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性，并支持分配到不同的分组上面。支持硬件准入管理，可帮助管理员对终端的USB口、1394、串口、并口、PCMCIA卡等接口进行启用和禁用控制，支持的设备有USB移动存储、非USB移动存储、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板等常用设备进行禁用管理，也支持光盘的读写控制功能。管理员可通过天擎终端安全管理系统对PC终133、端外设进行强有力的全面管控，杜绝数据外泄和感染病毒的风险。6)桌面安全加固IT管理员管理的PC数量不断增加，PC统一配置逐渐成为管理中的突出问题。如果没有集中管控手段，逐台操作工作量非常大，且PC用户也会擅自变更配置，造成网内PC的基本配置无法统一管理，经常出现诸如账户密码太简单被病毒感染，私自代理上网等等一系列问题。桌面安全加固能帮助IT管理员对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查等功能进行细粒度的统一强管控，并支持不同的分组设置不同的策略功能。协助IT管理员做到全网终端统一配置的管控目标，提高IT管理员的运维水平。(6)移动存储介质管理天擎终134、端安全管理系统，能够实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。移动存储管理解决了用户在安全管控要求下使用移动存储介质，实现数据共享和数据交换的迫切需求。移动存储管理支持分组管理，给予不同的移动存储介质相应的授权使用范围和读写权限，同时支持设备状态的追踪与管理。(7)综合安全评估评估中心通过对内网终端的配置脆弱程度、终端数据价值和终端沦陷迹象进行评估，实现对网内终端安全性、核心数据终端以及终端使用痕迹的实时掌握，支持不同分组执行不同任务，以及135、对任务的优先级进行排序。(8)安全U盘360安全U盘是奇虎360基于多年在USB安全威胁方面的研究的技术成果，通过和国内最好的U盘硬件生产厂商合作开发研制的安全U盘硬件，不但从软件方面解决了木马摆渡、病毒传播、U盘交叉使用和U盘文件使用缺乏审计等方面的安全问题，同时通过定制安全芯片的应用大大提高了U盘的安全特性，保证即使U盘丢失也依然可以有效保护U盘内的加密文件，从各个方面减少了因U盘使用而为建设单位内网带来的安全隐患。(9)终端审计随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，天擎终端安全管理系统通过技136、术手段使各种管理条例落地，增强用户的安全和保密意识，保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，达到合规管理的审计的要求。(10)报表管理1)报表展示天擎终端安全管理系统支持对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、系统危险项，安全配置、文件及应用日志、终端事件告警等信息进行报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计与展现，也能按周、月、季、年的时间维度进行趋势分析，同时支持报表的导出及打印，帮助管理员对日常安全防护、安全运维工作进行分析评估。2)大数据存储分析天擎终端安全管理系统可以为大型137、客户和行业客户提供独有的大数据引擎（BDE）系统，将全网终端日常运维数据汇聚存储分析，并根据客户的行业特点和客户运维管理所需的要求定制报表，为管理员提供更佳有效的终端安全管理运维依据，提高终端安全管理水平。大数据引擎（BDE）与传统终端安全管理系统的数据存储方式比具有存储空间大、报表生成快、内容丰富多样等特点。(11)边界联动防御天擎终端安全管理系统可以与360的边界防护设备天眼新一代未知威胁感知系统进行联动，借助360天眼的深度检测能力，结合天擎终端上的精确防御能力，实现对PC终端的攻击防御。天眼新一代未知威胁感知系统在检测出网络攻击行为之后，一方面会采用页面报警、邮件报警的方式对攻击行为进138、行实时报警，同时，天眼还会将报警信息实时发送给部署在终端之上的天擎终端安全管理系统进行有效联动。天擎在接收到报警信息之后，会及时根据报警信息所提供的文件名称、五元组信息对攻击行为进行及时的隔离与阻断，实现“边界发现、终端防御”的深度发现与防御效果。最后，天擎会将对攻击和文件的阻断与隔离结果实时反馈给天眼系统，天眼系统在接收到天擎终端安全与管理系统的反馈结果之后，修改天眼系统的报警信息，加入“处理结果”更新防护规则，同时将本次攻击防御的处理结果分享给网内其它控制中心和终端，以提高全网的安全防护能力，完成对一次攻击及其报警的闭环防御流程。4.3.4 信息发布系统4.3.4.1 系统设计信息发布系统139、是利用信息发布屏将文字、图片、视频等各类多媒体信息全方位展现出来的一种高清多媒体显示技术。它作为一种迅速发展的综合性电子信息技术，能够综合处理文本、图形、图像、音频、视频等多媒体信息，使多种信息建立逻辑连接，集成为一个系统并具有强大的交互性。法院需要进行各种不同的信息资讯发布推送，完善的信息发布系统可以让诉讼参与人员、法院内部人员更直观、更容易的获取关注的信息。同时通过该系统建立了一个文化宣传的平台、司法服务示范的窗口。部署设计：在立案大厅内设置全彩LED显示屏，显示屏10，通过播放终端配合实现庭审公告、法律法规宣传、滚动文字的播放等。安装播放终端来发布内部信息和对外宣传形象等而建立的一套多媒140、体信息发布系统，建立一个文化宣传的平台、品牌示范的窗口。在立案大厅门口设置信息发布一体机，用于显示法庭排期信息、法庭工作状态、案件信息等，信息通过对接数字法庭系统获取。(1)管理平台管理软件安装于信息发布服务器上，具有资源管理、播放设置、终端管理及用户管理等主要功能模块，可对播放内容进行编辑、审核、发布、监控等，对所有信息发布屏进行统一管理和控制。(2)播放终端通过播放终端接收传送过来的多媒体信息，将画面内容展示在各种显示设备上，可提供广电质量的播出效果以及安全稳定的持续播放。(3)传输网络传输网络是管理平台和信息发布屏之间的信息传递桥梁，可以利用已有的网络系统，无需另外搭建专用网络。信息发布141、系统支持WLAN、LAN、Wifi、3G、4G等多种网络传输方式。4.3.4.2 系统功能(1)周期播放：可按月/周设定循环播放，可单独设定周期内每天的播放时段。同时配合定时开关机、时段音量控制，既可进行信息发布又不至于打扰受众休息，引起反感。(2)定时播放：可根据需要自由设定节目播放的具体日期区间与时间段组合。可用于特定提示、常规信息播放等。(3)间隔插播：每隔一段时间固体播放几个节目。(4)独占节目插播：在周期播放、自定义播放方式中，可选独占节目选项，即为设置的时间内只播放该节目，也可由外部人员控制触发，可用于紧急信息广播、温馨提示，常规信息播报等(5)分组播放：不同终端，进行区域分组，每142、组内容可以播放同样的内容，不是组播放不同内容。4.3.5 科技法庭4.3.5.1 系统概述近年来随着我国各项法律制度的不断完善和健全，改变传统庭审模式，实现公正与效率已经成为国内各级法院的工作主题，更是时代发展和进步的必然趋势，实现公正裁判提高法院社会公信度，是审判管理改革的突破，是法院审判工作监督制约机制的一个创新。2008年，最高法发布28号文件人民法院审判法庭信息化建设规范（试行）提出人民法院审判法庭信息化建设的规范，为科技法庭的建设提出了依据；2010年最高法发布33号文件关于庭审活动录音录像的若干规定明确指出人民法院庭审活动需要进行同步录音录像；2011年，最高法发布18号文件人民法143、院审判法庭信息化基本要求进一步规范人民法院审判法庭信息化建设工作，进一步明确科技法庭的建设技术规范。4.3.5.2 建设目标通过在法院建设科技法庭庭审系统，可以高度集成法庭中各类设备，有效地提升司法审判过程的信息化应用，完善并创新法庭记录方式，促进司法公正，满足最高法的庭审系统建设规范。4.3.5.3 设计原则科技法庭的建设涉及到计算机技术、集成控制技术、音响扩声技术、视频显示系统、综合布线系统，是一项体系复杂、集成难度高的系统工程。因此方案设计时以客户需求为根本前提，以先进、成熟的技术，可靠、灵活的应用，技术发展的趋势和良好的性能/价格比为基本依据，在不失先进性、成熟性、可靠性、可扩展性的基144、础上，充分考虑用户的需求，照顾长远利益，最大限度地保护用户投资。(1)先进性采用的系统结构是先进的、开放的体系结构，和系统使用当中的科学性。拥有多项自主知识产权的业界独创技术。三位一体的整体设计完全不同于市面上“光盘刻录机+视频压缩卡式工控机+多媒体中控”与“硬盘录像机+刻录光驱”的方案，突出了系统的整体性和稳定性。(2)灵活性系统支持基于WEB方式的视频网络浏览功能，可供用户方便使用，并能灵活进行系统软件升级，避免对系统产生过大的影响。(2)安全性和保密性既考虑资源充分共享的同时，更加注重信息的保护和隔离，即安全性和保密性。庭审平台采用多种授权模式，可以通过IP授权访问、用户登陆权限限制、视145、频通道授权等多种方式控制人员访问权限，保证庭审的安全性；在庭审时向外发送信息时，信息都是经过加密处理，确保庭审内容的不泄漏。(3)实用性能够最大限度的满足实际工作的要求，把满足用户的业务管理作为第一要素进行考虑，采用集中管理控制的模式。在庭审过程中产生的视音频信号、示证信息、图片信息等进行实时采集编码。对编码后的庭审视频文件自动打包、叠加字幕、数字签名、笔录与视频的同步复合；集中存储、网站自动发布与网络分发，有利于庭审信息加工与统一管理。(4)扩展性系统预留相应的接口以便扩充之用，控制部件（软、硬件）采用模块式结构，可以方便灵活进行扩充，保证未来的适应性；为以后的升级预留空间，系统维护是整个系146、统生命周期中所占比例最大的，要充分考虑结构设计的合理、规范，从而保证对系统的维护可以在短时间内完成。(5)开放性和标准性开放性和标准性是指整个系统及其各个组成部件，在遵循统一的国际标准或工业标准前提下，替换为不同厂商的产品时，对于将来的软硬件升级和改造不会出现无法兼容的情况。该类系统接入到法院的整个系统上，能够很好的和法院系统相兼容，不会形成新的信息孤岛。4.3.5.4 标准型科技法庭设计标准型科技法庭常用于人民法院中等面积的法庭建设，通常中法庭的建设采用标准型科技法庭的设计。4.3.5.4.1 拓扑结构设计图5： 标准型刑庭拓扑结构示意图4.3.5.4.2 设备布局设计简约型法庭的布局和系统147、设备部署如下图所示：图6： 标准型刑庭设备部署示意图根据法庭的实际面积和现场布局对高清数字庭审系统的相关设备进行合理化部署，高清庭审主机、功放机等安放于法庭角落的机柜中。为了有效地对庭审过程中各方人员视频图像信息进行采集，在标准型刑事审判法庭中，可在法官席、公诉席、辩护席、犯罪嫌疑人席、证人/鉴定人/旁听人席对面各设置1台高清数字球机，实现对法庭相关人员进行特写摄像；在法庭面向旁听席的角落中设置1台高清晰数字球机用于对法庭的全景进行视频录像。为了满足旁观席的当庭实况的观看，在法庭面向旁观席的位置安装两台大的液晶显示器或投影仪。为了方便法官和书记员对庭审过程的控制和记录，需要在法官席和书记员席配148、置庭审终端电脑用于法官对庭审过程的控制和资料调阅，同时，在公诉席和辩护席的位置分别配置多台桌面液晶显示器用于显示庭审的实时视频信息和证据信息展示。在法官席、公诉席、辩护席、证人席、犯罪嫌疑人席配备指向性鹅颈话筒，方便庭审过程中案件相关人员及法官宣判时的声音采集；话筒接入高清庭审主机后，支持语音激励，发言人信息可自动与视频信号相关联，实现“谁发言，谁特写画面”的效果。4.3.5.4.3 系统功能介绍(1)能记录整个法庭庭审过程的视音频信息；(2)能进行电子证据、实物证据、视音频证据和远程质证展示和庭审显示，支持特殊证人在作证室发言；(3)能进行法庭庭审信息记录，并实现校对；(4)能进行庭审现场的149、视音频管理，支持法庭画面输出切换，输出到包括法庭内的显示设备和法庭外的显示设备上；支持音量显示；支持视音频编解码；支持音响控制；支持多画面合成；支持对庭审视频的后期编辑、剪裁、加工和制作；(5)能进行庭审管理，包括提供案件基本信息（案号、案由、当事人、承办人、合议庭成员等）和庭审排期信息的维护管理；提供权限划分、身份识别和日志；能对本地庭审画面和远程质证画面的显示和输出进行管理；能对庭审中产生的笔录信息、质证信息和视音频信息进行管理，并输出到案件信息管理系统；(6)能进行远程传输功能；(7)能进行庭审直播、点播等应用服务；(8)能进行庭审过程控制，实现庭审设备的控制、庭审录像和直播控制，支持远150、程控制接管；(9)能对庭审现场的灯光进行分区控制；(10)能对证人进行有效保护，当需要身份保密的证人出庭作证时，通过模糊图像和音频频率调整等方式进行证人视音频处理，有效保护证人身份，保障证人人身财产安全；(11)视频图像带音频音量显示功能，权限仅提供给书记员、控制室和机房技术人员。4.3.6 诉讼服务中心本项目中新建的法院智能可视化安全防范系统需要与诉讼服务中心立案大厅、信访接待等相关业务系统进行对接；通过某个案件立案或信访记录即可查询到当时对应的业务办理及接待视频，为法院诉讼服务中心的管理提供高效的管理手段。建设内容：部署10个监控摄像头在服务窗口，外面放两个信息发布屏，供群众查询信息。具体151、要求如下：(1)与来访信息管理系统的对接，可实现案件信息和音视频信息的关联应用；(2)预留与院内现有办公平台接口，方便实现可以通过网络远程调取相关视频，方便院领导及相关部门负责同志对接访工作进行查看，监督和指导；(3)预留信息发布接口。4.3.7 视频监控系统4.3.7.1 设计思路视频监控系统的设计思路如下：(1)前端设备均采用高清IPC，从而实现高清视频采集，同时为满足前端多种应用场景的不同需求，推荐不同类型、不同功能的IPC。(2)采用具备流直存技术的专业存储设备对视频、图像进行存储，并采用多种技术手段提升存储系统的可靠性和可用性。 (3)部署模块化、集成化的视频综合平台，结合高清显示大152、屏实现视频图像、电子地图、电脑信号的上墙显示、拼接控制等功能。(4)建立统一的综合管理平台，实现对系统的统一管理；同时引入视频质量诊断技术，保障系统稳定运行。(5)充分考虑原有系统利旧，实现新老系统的无缝对接，降低成本，减少资源浪费。系统采用高清视频监控技术，实现视频图像信息的高清采集、高清编码、高清传输、高清存储、高清显示；系统基于IP网络传输技术，提供视频质量诊断等智能分析技术，实现全网调度、管理及智能化应用，为用户提供一套“高清化、网络化、智能化”的视频图像监控系统，满足用户在视频图像业务应用中日益迫切的需求。4.3.7.2 系统架构本期项目采用IPC+NVR分布式存储架构，网络拓扑图如153、下图所示。图7： 视频监控系统架构示意图（IPC+NVR）(1)前端部分前端支持多种类型的摄像机接入，系统可配置高清网络枪机、球机等，前端网络摄像机将采集的模拟信号转换成网络数字信号，按照标准的音视频编码格式及标准的通信协议，可直接接入网络并进行视频图像的传输。(2)传输网络部分前端与接入交换机之间可通过3种方式连接：光纤收发器的点对点光纤接入方式，直接接入交换机方式（距离100米以内），点对多点光纤PON接入方式，将前端信号汇聚至中心的核心交换机。(3)监控中心部分系统在接入交换机处配置NVR对高清视频图像进行存储，解决数据落地问题，另外在监控中心配置用于故障备份的NVR，提高存储可靠性。监154、控中心配置视频综合平台，完成视频的解码、拼接，通过部署LCD大屏用来将视频进行上墙显示等。系统可将模拟摄像机、网络摄像机和数字摄像机都接入到视频综合平台，实现统一的管理平台、统一的切换控制系统和统一的显示系统，实现对整个系统的统一配置和管理。(4)平台部分应用管理平台部署在通用服务器上，可以对视频监控设备和用户进行统一管控，并实现浏览、回放、下载等视频应用。4.3.7.3 前端设计4.3.7.3.1 前端点位分布本期项目新建前端监控点位，如下表统计。序号摄像机名称单位数量部署位置1红外阵列筒型网络摄像机套2适用于大门外等室外场景2红外筒型网络摄像机套8适用于周围停车场3日夜型半球型网络摄像机套155、10适用于走廊等室内场景，每楼层3个摄像机，3层楼共9个，保安室1个。4.3.7.3.2 前端结构设计系统网络高清摄像机，通过其全新的硬件平台和最优的编码算法，提供高效的处理能力和丰富的功能应用，旨在给用户提供更优质的图像效果、更丰富的监控价值、更便捷的操作管理和更完善的维护体系。前端摄像机选型应根据不同应用场景的不同监控需求，选择不同类型或者不同组合的摄像机，室内可以选择半球型摄像机，美观大方，室外可以依据固定枪机与球机搭配使用、交叉互动原则，以保证监控空间内的全覆盖、无盲区，同时根据实际需要配置前端基础配套设备如防雷器、设备箱等以及视频传输设备。4.3.7.3.3 适用场景设计以综合办公楼156、为例，应用场景可分为大门口/楼梯/周界、周围、保安室等。(1)大门口该场景夜间光照条件差，需要监控是否有破坏性事件发生，看清可疑人员脸部特征；推荐使用200万像素H.265红外阵列筒型网络摄像机，安装方式为壁装。(2)公共区域该场景监控范围较广且夜间基本无光照，需要监控是否有破坏性事件发生，看清可疑人员脸部特征；推荐使用200万像素H.265红外网络高清球机对大范围监控区域进行监控，安装方式为柱杆装。(3)走廊该场景是室内重点关注区域，且注重美观度及隐蔽性，夜间光线差，需要监控具体活动细节，看清可疑人员脸部特征，；推荐使用200万像素H.265日夜型半球型网络摄像机对大范围监控区域进行监控，安157、装方式为壁装。(4)保安室该场景是室内重点关注区域，且注重美观度及隐蔽性，夜间光线差，需要监控具体活动细节，看清可疑人员脸部特征；推荐使用200万像素H.265日夜型半球型网络摄像机，安装方式为吸顶装。4.3.7.3.4 前端配套设施(1)支架及立杆监控点根据现场实际情况，可采用立杆安装、抱箍安装、壁挂安装以及吊杆安装等方式。其中抱箍、壁挂支架以及吊杆支架有成套产品，根据现场选择符合要求的产品即可。室内摄像机的安装固定，根据摄像机型号和现场情况可采用壁装、吊装及角装等多种形式的安装支架，安装高度不低于2.5m。安装在室外的摄像机，当可借助建筑物附着安装时，选用相应的安装支架来安装；若无合适的建158、筑物供附着安装，则需要选用视频监控专用立杆，安装高度应不低于3.5m。(2)室外机箱室外摄像机的供电、信号等需要在室外进行汇集，需用专用的防水箱进行端接。端接箱内部安装架的设计充分考虑设备的安装位置，同时具有防雨、防尘、防高温、防盗等功能。不便于在立杆上部安装设备箱的，在地面设置设备机柜，其设计按照相关的规范标准执行，同时应具有防尘、防雨、防破坏等功能。(3)补光设备在摄像监控中，为了使夜间得到正常的监控图像，可选择采用一定的补光措施。补光灯的光源通常有LED、金卤灯、高压钠、白炽灯、氙气灯（HID）等。(4)防雷接地对前端供电和控制部分，需要采取有效的避雷接地措施，充分保障前端的稳定性和可靠159、性，前端监控的防雷接地主要从以下三个方面进行。击雷防护：在直击雷非防护区的每个视频监控点均配置预放电避雷针，安装于监控点立杆顶部。供电设施的雷击电磁脉冲防护：电源防雷系统主要是防止雷电波通过电源对前端设备造成危害。均压等电位连接：等电位连接是将正常不带电（或不带信息）的、未接地或未良好接地的设备金属外壳、电缆的金属外皮、金属构架、金属管线与接地系统作电气连接，防止在这此物件上由于感应雷电高压或接地装置上雷电入地高电位的传递造成对设备内部绝缘、电缆芯线的反击。(5)线缆前端网络摄像机采用网线的方式接入，对于近距离传输（100米以内），直接通过网线连接到接入交换机；对于远距离传输，通过网线先接入光160、纤收发器或者ONU设备。当使用防雷设备时，需要先接入防雷设备，再接入传输或交换设备。4.3.7.4 传输网络设计4.3.7.4.1 设计思路与要求4.3.7.4.1.1 设计思路视频监控系统网络的建网思路需要做一个整体规划，应考虑如下几个方面：(1)采用新一代、主流网络技术来设计监控网络，新一代网络技术往往能提供更高的性能，而且有更长的产品生命周期，便于维护。传统的设计方法是按核心层、汇聚层、接入层分级设计，但是随着网络管理技术的进步和发展，网络设计向扁平型方向发展，采用核心、接入层设计。(2)监控网络需要按照模块化、结构化的原则设计，便于今后扩容和升级。(3)针对网络的安全隐患，系统应通过多161、种安全措施保障系统的安全。4.3.7.4.1.2 设计要求(1)网络传输协议要求系统网络层应支持 IP 协议，传输层应支持TCP 和UDP 协议。 (2)媒体传输协议要求视音频流在基于IP的网络上传输时应支持RTP/RTCP协议；视音频流的数据封装格式应符合标准要求。(3)信息传输延迟时间当信息（包括视音频信息、控制信息及报警信息等）经由 IP 网络传输时，端到端的信息延迟时间（包括发送端信息采集、编码、网络传输、信息接收端解码、显示等过程所经历的时间）应满足要求：前端设备与信号直接接入的监控中心相应设备间端到端的信息延迟时间应不大于2s；前端设备与用户终端设备间端到端的信息延迟时间应不大于4162、s。(4)网络传输带宽联网系统网络带宽设计应能满足前端设备接入监控中心、监控中心互联、用户终端接入监控中心的带宽要求，并留有余量。(5)网络传输质量联网系统 IP 网络的传输质量（如传输时延、包丢失率、包误差率、虚假包率等）应符合如下要求：网络时延上限值为 400ms；时延抖动上限值为 50ms；丢包率上限值为110-3；包误差率上限值为110-4。4.3.7.4.2 有线网络规划设计4.3.7.4.2.1 网络结构设计监控传输网络系统主要作用是接入各类监控资源，为中心管理平台的各项应用提供基础保障，能够更好的服务于各类用户。网络结构如下图所示： 图8： 传输网络结构示意图(1)核心层核心层主163、要设备是核心交换机，作为整个网络的大脑，核心交换机需具备高可靠性及高稳定性的要求，一般均采用模块化框式交换机，在可靠性配置上需具备双电源、双引擎的要求，在稳定性配置上需选择合适的背板带宽及处理能力较高的板卡，对特殊行业还可采用双核心交换机部署方式。(2)接入层前端视频资源接入前端网络采用独立的IP地址网段，完成对前端多只监控设备的互联。前端视频资源通过IP传输网络接入监控中心或者数据机房进行汇聚。对于传输距离小于100 米的情况下可采用超五类或者六类双绞线就近直接接入交换机；对于传输距离大于100米的情况下，可采用一对光纤收发器实现点对点接入或者采用PON实现点对多点接入。用户接入对于用户端接164、入交换机部分，需要增加相应的用户接入交换机，提供用户上网服务。监控中心部署接入交换机，通过千兆光纤链路接入到传输网络中，保证设备及客户端的正常使用。4.3.7.4.2.2 VLAN规划VLAN就是虚拟局域网，随着视频专网中用户和终端设备大规模接入，网络广播的流量呈几何级数量增多，通过VLAN技术，把一定规模的用户和终端归纳到一个广播域当中，从而限制视频专网的广播流量，提高带宽利用率。每一个VLAN在数据转发时，可以二层和三层方式实现数据转发 ，二层VLAN 技术能将一组用户归纳到一个广播域当中，从而限制广播流量，提高带宽利用率。三层VLAN 是基于IP协议，一组用户归纳到一个网段内，通过网关与165、别的组进行交换。在网络用户VLAN规划方面，一般可根据视频用户、前端设备、后台设备等所属的部门，以及具体的网络应用权限来划分。在具体VLAN规划中，应合理规划每一个VLAN中实际用户数量。一般规划VLAN资源参考如下几个做法：1）VLAN1在所有设备上不启用三层接口地址，不使用VLAN1承载实际业务或者作为网管VLAN。2）全网每台设备的网管VLAN可以使用同一个，方便设备预配置与日常管理。3）一般建议按照每个区域进行VLAN资源的划分，所有IPC使用的VLAN均遵从所在区域的VLAN规划。4）尽管在不同的汇聚设备上使用相同的VLAN并不冲突，但是不允许这样的做法，会对后期的维护和故障的排除造166、成很大的困难。5）如果建设网络所使用的设备不能直接在端口上配置互联用的IP地址，需要绑定相应的VLAN的话，还需要单独划分出来一大段VLAN资源用于设备互联，强烈建议全网设备互联用VLAN按照链路去划分，每条链路使用一个互联VLAN。注：交换机中标记VLAN的数据长度是12位，所以VLAN取值范围是04095，通常0和4095是系统保留，1通常是交换机的默认VLAN号。4.3.7.4.2.3 网络IP地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键，要充分考虑到地址空间的合理使用，保证实现最佳的网络地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网167、络组织及路由有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响。因此在对网络IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。IP地址规划原则：1）唯一性一个IP网络中不能有两个主机采用相同的IP地址；这就需要选择一个足够大的IP地址范围，不但能够满足现有的需要，同时能够满足未来网络的扩展。两个不同网络互联时应避免使用同一网段IP地址，以免造成IP地址冲突。2）简单性地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项。3）连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；IP地址分配既要考虑到168、扩充，又要能做到连续。4）可扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。5）灵活性地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。4.3.7.4.2.4 路由总体规划路由分为静态路由和动态路由，根据项目实际情况进行选择。静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。动态路由是网络中的路由器之间相互通信169、，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。动态路由适用于网络规模大、网络拓扑复杂的网络，其中最常用的动态路由是OSPF（Open Shortest Path First开放式最短路径优先）协议。4.3.7.4.2.5 网络传输带宽要求 考虑到网络传输过程及其它应用的开销，链路的可用带宽理论值为链路带宽的80%左右，为保障视频图像的高质量传输，带宽使用时建议采用轻载设计，轻载带宽上限控制在链路带宽的50%以内。1）核心层交换机到接入交换机的网络采用光模块来传输，带宽需达到千兆以上，原有带宽未达到要求的，增加带宽；2）传输设备如光纤收发器到接入交换机之间的170、带宽建议达到百兆；3）传输设备如光纤收发器之间的传输带宽建议达到百兆；4）结合项目实际需求，网络带宽规划可做相应调整。4.3.7.4.2.6 网络可靠性设计网络的可靠性是为了保证视频在传输过程中，重要环节在出现设备损坏或失败时，还能够保证正常传输。网络可靠性主要可从传输链路可靠性、网络设备可靠性两个方面进行设计。1）传输链路可靠性传输链路的可靠性一般通过链路聚合技术来进行保障。链路聚合设计增加了网络的复杂性，但是提高了网络的可靠性，使关键线路上实现了冗余功能。除此之外，链路聚合还可以实现负载均衡。2）网络设备可靠性网络设备的可靠性主要通过关键部件冗余备份、设备冗余备份、传输告警抑制和快速链路故171、障检测来进行保障。关键部件冗余备份是指网络设备提供主控、电源等关键部件的1+1冗余备份；另外系统各单板及电源、风扇模块均具有热插拔功能。这些设计使得设备或网络出现严重异常时，系统能够快速地恢复和作出反应，从而提高系统的平均无故障运行时间，尽可能地降低不可靠因素对正常业务的影响。设备冗余备份是指通过双机虚拟化或虚拟路由器冗余协议等方式实现网络设备的冗余备份。一旦出现设备不可用的情况，可提供动态的故障转移机制，允许网络系统继续正常工作。传输告警抑制是指对告警进行过滤和抑制，避免网络频繁振荡，因为当接口启动快速检测功能后，告警信息上报速度加快，会引起接口的物理层状态频繁在Up和Down之间切换。快速172、链路故障检测是一套全网统一的检测机制，用于快速检测、监控网络中链路或者IP路由的转发连通状况。4.3.7.4.2.7 网络安全性设计网络安全性方面是保护网络系统中的软件、硬件及数据信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务的不中断。网络安全性设计主要有结构安全、访问控制、安全审计、边界完整性检查、入侵防范和网络设备防护这几方面的内容。4.3.7.4.2.8 网络管理规划网络管理主要是从网络监控管理、应急操作管理和日常维护管理三个方面对网络管理规划进行简要说明：1）网络监控管理网络系统监控主要是通过网管系统统一进行信息采集和事件呈现，配合网络系统进行实施。2173、）应急操作管理应急操作管理主要是通过固定的操作流程，通过对故障设备进行主备切换、脱网隔离和旁路等方式快速恢复网络系统的连通性。3）日常维护管理日常维护管理主要包括故障诊断、配置和设备操作等内容，指导网络运维人员的日常维护管理工作。4.3.7.5 监控中心设计监控中心系统架构图如下所示： 图9： 监控中心系统架构图监控中心是整个视频监控系统的核心，实现视频图像资源的汇聚，并对视频图像资源进行统一管理和调度。其中，存储设备实现视频图像资源的存储及调用；视频综合平台完成视频解码上墙和图像的拼接控制，服务器支撑综合管理平台，并通过网络键盘进行视频切换和控制，通过高清大屏对高清视频进行精彩展现。4.3.174、8 智能访客系统4.3.8.1 人员定位系统人员定位系统（RTLS或RTLS无线定位系统）是采用ACTIVE RFID 技术的区域实时定位系统。该RTLS无线定位系统定位系统能够及时、准确的将各个区域人员及设备的动态情况反映到中心监控计算机系统，使管理人员能够随时掌握布控区域人员、设备的分布状况和每个受控对象的运动轨迹，以便于进行更加合理的调度管理。当有突发事件时，管理人员也可根据该RTLS无线定位系统区域定位系统所提供的数据、图形，迅速了解有关人员的位置情况，及时采取相应的控制措施，提高安全和应急工作的效率。人员定位系统是集安全控制、人员考勤、跟踪定位、日常管理等一体的综合性运用系统。也是国175、内技术最先进、运行最稳定、设计最专业化的区域实时定位系统。这一科技成果的实现，将为企事业单位和机要单位的安全生产和日常管理上台阶以及事故急救带来了新的契机。4.3.8.1.1 法院人员定位系统需求分析人民法院在审理案件期间，涉案人员经常出入、聚集法院内。在审理、调解案件过程中，涉案双方及家属因情绪失控，发生斗殴事件，甚至殴打法院工作人员，导致人员受伤案件屡屡发生，及时发现事件发生地点，避免事态的扩大化是重中之重法院人员定位设计要求此系统按照法院场所设计，独立运行。法院场所需设计临时卡式标签及长期卡式。临时卡式标签由临时来访人员使用，长期卡式标签由法院工作人员使用。人员定位系统主要在法院场所的办176、公区域实现全覆盖定位。法院人员系统应该具备的功能对法院工作人员及来访人员的跟踪及定位功能，主要实现如下功能：1.对法院工作人员及临时来访人员实时跟踪及定位：实时监控法院特定区域内工作人员及临时来访人员的实时位置，准确定位到人员所在楼层、房间等；在电子地图上显示相关位置，信息包括、楼层、房间等2.报警功能：标签按键报警：在发生紧急事件的情况下，法院工作人员主动按下报警按钮，立刻发出报警信号；消失报警：标签消失有多种因素（如电池没电或被破坏、标签越过信号覆盖区域等），可以设置指定标签的消失报警条件和报警级别，如该标签消失了，将会触发相应的报警；电池低电报警：可以在系统中设置电量最低界限，一旦标签电177、量低于这个界限将会发出报警信息；其他报警：报警语音提示：报警触发时，会自动发出语音提示，提醒监控人员及时处理。报警画面：当报警发出时，监控画面会自动弹出报警画面，画面信息包括人员的名字、及所在的详细的区域、房间信息等。3.可视化终端平台，界面是全中文，可根据法院需求修改及定制。4.3.8.1.2 人员定位系统设计方案4.3.8.1.2.1 人员定位系统基础架构图法院场所定位定位系统主要由以下五部分构成：（1）人员定位标签：包括临时人员使用标签，法院工作人员佩戴的长期标签。定位标签对外不间断广播定位数据。（2）天线定位器：接收人员定位标签广播出来的数据，将数据通过网络平台转发给定位引擎。同时定位178、基站还可进行数据、语音、视频、定位等多种业务的融合，多种应用使用同一平台传输，互相不受干扰和影响。（3）数据采集阅读器：接收由天线定位器传回的数据，通过场强定位等算法，计算标签所处位置。并将位置信息，传送给定位管理系统。（4）定位管理系统：用于接收数据采集阅读器传来的位置信息，并将标签位置显示在平面图上。同时定位管理系统还可用于对标签的管理、标签的追踪、告警等。（5）集成第三方系统：可将定位管理系统所收到的定位数据，与法院场所现有的视频监控系统、广播系统等系统进行整合，从而实现更加丰富的功能。4.3.8.1.2.2 室内人员定位设计主要用于法院室内房间、走廊、楼梯、电梯等区域的人员定位，可对房179、间或室内大区域的人员标签进行实时监控，根据各个无线路由节点扫描到标签的衰减值，并利用多点定位的计算方式，可判断法院工作人员处于的实时位置。无线路由节点读取到标签信息后，会通过无线方式传输给数据采集器，实现RFID无线通讯。4.3.8.2 周界报警系统周界报警系统是目前法院安全防范系统的一个重要组成部分，是实现整个建筑群现代化的安全技术防范与科学管理的一项重要措施和必要手段。它利用现代电子技术设备，通过使用先进的技术，为法院营造一个安全、良好、有序的工作环境。4.3.8.2.1 法院周界报警系统需求分析为了防止外部非法授权的人员通过法院围墙进入到法院，必须要有一套专门的安全设备与管理系统，来帮助180、法院值班人员及时发现可疑情况，防止出现重大的事故。法院的周界报警对于法院的日常管理和维护就显得格外重要。4.3.8.2.2 法院周界报警系统设计方案系统总体设计图根据法院外围墙平面图及实际现场考察，我们共设计了XX个周界防区。红外对射探测器采用国内知名品牌。探测器间通过总线接入中控室，中心采用一台总线制报警主机。本次方案设计中，采用通过系统控制键盘方式进行布、撤防操作，如果系统发生报警，相应防区号码会在键盘的液晶显示器上显示出来，并且配有声光报警，从而，使值班人员快速响应，以最短的时间到达现场。同样考虑到提高系统的先进性和易操作性，报警系统应具备电脑管理软件，操作者可以方便地通过电子地图来进行181、快速布、撤防，和及时、直观地发现报警地点。另外，报警信息通过继电器联动输出模块和电视监控系统实现联动4.3.8.2.3 系统功能介绍报警管理平台可以图形化方式显示应急报警设备分布、设备报警状态等信息。对应急报警系统中的紧急报警按钮、红外栅栏、红外幕帘等前端报警设备触发报警在C/S客户端上实时动态显示报警事件，显示等级分为高、中、低三个级别，并可以通过界面直接联动实时视频和录像，显示内容可按未处理报警、确认报警、误报报警、取消报警、当天报警和所有报警等几类进行选择显示。在C/S客户端接收到报警信息时，将联动报警点位所在区域附近的摄像机，并在C/S客户端上及电视墙上实时显示现场画面1， 报警处理对182、于应急警报系统前端报警设备触发报警上来的报警，需要对其进行报警处理，报警处理分为直接确认处理、描述确认处理、误报确认处理、取消报警处理等，并可对处理结果进行详细查看。平台支持对报警信息过滤，避免大量重复报警信息；对各类报警事件设置优先级管理功能，可提前设置报警分发规则、报警联动规则、报警处置预案等信息。当收到一个新的报警信息时，将在软件界面上方以走马灯形式显示，并具有TTS语音报警功能。2 ，布防撤防在预览列表树选择某一报警通道后右键可对其进行布防或撤防操作，撤防后将不再上报报警事件。同时可以选择一个或多个报警通道对其进行临时撤防操作，撤防时间支持199小时。 3，报警联动 具备多种报警联动策183、略，联动方式有：客户端联动（吸毒人员信息显示、报警视频图像、报警信息显示、电子地图定位、应急预案提示）、报警联动抓图（配置报警点关联的视频进行抓图）、电视墙联动（报警视频图像、报警信息显示）、声光报警提示、云台联动、报警视频录像、报警事件语音播报、EMAIL通知、短信发送等方式。4， 报警查询支持在CS客户端上对报警信息按报警等级、报警状态和报警时间进行报警查询，并在查询结果中直接回放录像。能够对查询到的报警信息进行导出操作，可导出本页的报警信息或所有的报警信息。5， 警情管理在系统客户端中可对警情信息做添加、修改、处理、提交、发布、作废等操作，可按警情的发现方式、发生警情的时间段、以及创建人184、等方式进行警情信息搜索。客户端支持在预览或回放界面进行抓图操作，图片可直接和选中的警情信息进行关联，当紧急录像时自动将录像直接和选中的警情信息进行关联。警情信息关联的录像和图片可下载到本地，且警情可按区域分类统计，并提供图形化分析4.3.8.3 门禁访客管理系统4.3.8.3.1 人员通道子系统人员通道子系统能够对受控区域进行有效管控，所有进出受控区域的人员均需经过认证后方可通行，可以有效防止未授权人员随意进入受控区域，提升内部安全系数。此外，该系统可有效控制人员通行秩序，使得出入口通行井然有序，方便人员出入管理。4.3.8.3.1.1 系统架构人员通道子系统由人员通道闸机、门禁控制主机、系统185、工作站和发卡机等组成。根据出入口通道管理需要，选用网络型门禁控制主机，通过TCP/IP通讯方式进行与上层管理层通讯方式，支持联机或脱机独立运行，并可联动附近视频监控设备进行抓拍存储，门禁控制主机接入综合管理平台可实现设备资源、人员权限与配置的统一管理。人员通道闸机人行通道闸机阻拦体受控制系统驱动，人员身份验证通过后，阻拦体自动打开，延时后闭合。闸机可辅以身份证读卡器、IC卡读卡器、二维码读卡器等配件，认证方式和逻辑灵活多样。进出人员抓拍示意图管理工作站和发卡机管理工作站主要用于对出入口控制操作进行记录，供出入口控制管理人员进行数据查询和管理。发卡器是对卡进行读写操作的工具，可以进行读卡、写卡、186、授权、格式化等操作。4.3.8.3.1.2 系统功能系统能够支持IC卡、身份证、二维码多种识别方式，对权限进行识别，对权限合格人员放行通过。具备紧急逃生功能，在发生紧急情况如火灾时，人员通道能够自动打开放行，不会阻碍人员的紧急疏散。（注：需要与火灾报警系统对接）上下班高峰期，为了保证人员快速通过，人员通道可保持常开，避免发生拥挤、滞留事件。支持回收访客临时卡，访客拜访结束后，可以直接将临时卡塞入到人员通道闸机中，完成访客流程，而无需人员回收，减少人力成本。可以将人员通道闸机系统和梯控系统进行结合，可以按相同楼层权限的人分配到同一部电梯，将分配的电梯号码通过通道闸机的显示屏显示出来，最大化利用电187、梯资源。系统支持将人员通道闸机身份认证记录关联为考勤记录，自动完成考勤任务。4.3.8.3.2 智能访客系统在法院的日常运营中会有大量的访客来访，之前的访客流程是由安保人员手动登记，被访者来登记处接待来访者。该流程有很大的弊端：4.3.8.3.2.1 系统架构无纸化智能访客系统利用提前预约，严格登记，权限控制来实现法院对访客的管理。无纸化智能访客系统流程图访客提供身份证，安保人员在访客一体机上刷身份证，同时在人证比对机拍摄一张访客照片，进行人证比对，比对成功后，发一张访客卡给访客；访客临时卡中拥有被访者授予他的权限，门禁权限使得来访者只能达到指定等待区域，被访者无需去访客登记区域接待来访者。访188、客结束后来访者通过离开人员通道，访客临时卡会被没收或者失效。4.3.8.3.2.2 系统功能访客人工登记访客到达法院后让操作人员帮其进行访客登记，可通过身份证或者访客ID进行访客登记，操作人员会根据情况对其进行身份证扫描和访客抓拍，登记成功后会发送临时访客卡，临时访客卡有IC卡和二维码两种形式。登记规则来访者可以通过身份证和访客ID来进行访客登记，至于是采用身份证还是访客ID或者是身份证+访客ID来进行登记则由法院自行设定。访客人工登记流程访客权限控制访客临时卡被赋予门禁权限：访客临时卡中拥有被访者赋予其的门禁权限，该权限一般为来访者从访客登记处到指定等待区域所需通过的门禁和门口机权限。访客离189、开访客拜访结束，会通过特定的人员通道，如果访客使用IC卡则该人员通道会没收IC卡并让访客通过，如果访客使用二维码则刷二维码通过该人员通道后，二维码权限清空，无法再次使用。访客离开流程4.3.9 公共广播系统4.3.9.1 系统概述对本期广播系统设计，主要为满足法院大楼背景音乐、寻呼，消防紧急广播的需求，广播主要设计公共走廊及工作区域部分。4.3.9.2 需求分析办公楼的IP网络公共广播系统是办公楼整个弱电系统中的子系统，IP网络公共广播系统设计安装用于办公楼日常的背景音乐播放、信息传播、广播通知、找人等使用功能；在紧急情况下，公共广播可以配合消防广播系统，针对事故发生现场，快速播报紧急疏散语音190、，提示相关区域的人员迅速逃离现场。IP网络公共广播系统设计满足以下几大功能需求；(1)信息传播：利用背景音乐广播，传播办公楼的政策信息、新闻信息等；(2)休闲娱乐：利用公共广播系统播放轻松背景音乐、减少环境噪音，丰富日常生活；(3)紧急广播：紧急事故情况发生时，能及时播放紧急广播信息，快速起到紧急疏散;(4)人员，引导人员疏散方向.4.3.9.3 设计原则从投资合理、外观美观、设计规范的思想出发，日常广播和紧急广播二个系统的设计，在功能上互相独立，在设备及器材上有机结合。根据规范要求，紧急广播的控制具有最高优先权，并采用智能的联动和自动火灾报警广播方案。4.3.9.4 系统设计4.3.9.4.191、1 设计分析根据办公楼对广播系统的使用需求，结合办公楼的建筑分布情况，广播系统采用基于网络模式进行传输和控制的IP网络广播系统，通过网络的传输，而且保证了办公楼广播音频质量。稳定可靠的网络广播直接取决于网络服务器及网络适配器软硬件结合的完好性能。 IP网络广播系统是由IP网络广播控制中心、IP网络适配器、音频工作站等组成。系统服务器采用高速的双CPU处理（32位MCU16位DSP），数字功放，延时短（0.1s）音质好（20-16KHZ），支持各种音频格式的数据网络传送（MP3 、MP2、AAC、WAV），完善的网络适应能力，同时支持度套音频音源输入的实时编码，系统具有：IP地址自动获得（DHC192、P）、直接跨网关及核心路由交换机的功能、支持互联网广播，网络流量自适应功能，同时系统升级可实现消防联动，网络供电（POE）功能。其高效稳定的运作系统，满足了现代办公楼打造信息化、网络化、数字化办公楼广播系统需求；只需在办公楼网覆盖的地方，接入IP网络设配器即可管理广播区域：数字IP网络广播系统采用当今世界广泛使用的TCP/IP网络技术，将音频信号以IP包协议形式在局域网和广域网上进行传送，彻底解决了传统广播系统存在的音质不佳，维护管理复杂，互动性能差等问题。该系统设备使用简单，安装扩展方便只需将数字广播终端接入计算机网络即可构成功能强大的数字化广播系统。功能方面：可独立控制每个区域播放不同的声193、音。不仅能够完全实现传统广播系统的基本功能，如定时任务、分区播放等基本要求，而且还具备音频自由点播等功能；传输方面：音频传输距离无限延伸，轻松实现远程广播，满足广域网广播、声音也能清晰流畅，犹如现场亲听。非传统模拟广播系统所企及，具有绝对优势。4.3.9.4.2 点位明细表根据XX法庭对广播系统的总体需求。建设点位如下表所示：表2：序号广播分区室内壁挂音箱11F区域1422F区域1233F区域10总计364.3.9.4.3 系统配置主控室：办公楼广播主控室安装在主控室，配置有主服务器，音源设备，IP寻呼话筒,消防联动设备,监听音箱及其他周边设备；主控室负责整套系统的运行配置，对整个办公楼广播进194、行集中控制，可实现采播、寻呼喊话、消防联动功能。各分区设置：根据要求按楼层分区，每个区域配置IP网络终端适配器根据不同区域选配不同的音箱进行扩声。4.3.9.4.4 扬声器配置作为广播系统的主体之一，扬声器在广播系统中占了很大的部分，对扬声器的选择就显得十分重要。扬声器的选型与点位原则上应视环境选用不同规格的广播扬声器。在设计办公楼广播时，要实地考察办公楼现场建筑情况，结合办公楼使用环境进行设计，本次办公楼广播设计扬声器要点如下：扬声器选型：走道设计采用天花喇叭采用吸顶喇叭，室外采用草地音箱；扬声器分区：扬声器点位涉及到广播系统的分区，分区是为了便于管理。原则上凡是需要区别对待的地方，都应分割195、成不同的区，以满足日常广播的管理要求。分区的模式一般也有多种：功率分区将同一功放的输出信号进行多个分支。功率分区一般应用于分区多、分区功率较小、对分区管理功能要求不太高的场合。信号分区每个分区都是相应的不同信号源。采用信号分区形式，广播扬声器的分区功率大小不受限制、分区较灵活，扩展性能也好。一般应用与对分区管理功能比较高的场合。有些特殊的场合也会将以上两种分区方式结合起来应用。区别与传统模拟广播系统的物理分区，现代的数字化广播系统采用逻辑分区，分区更灵活，可灵活变动。4.3.9.4.5 系统功能1、广播系统基本功能1)背景音乐播放：办公楼的公共广播主要作用是信息发布及定时任务的播放，满足办公楼196、正常运行。公共广播系统通过主控设备的集中控制，实现音乐的自动定时开启和关闭播放，可通过系统服务器预先编程音乐节目自动播放程序，由服务器自动运行，同时具有随时插播、随时暂停、停止；公共广播系统配置有CD播放器、卡座播放器，服务器内置播放器，满足办公楼不同时段播放不同节目的需求；2)语言广播：广播可通过寻呼话筒对办公楼各个区域内播放通知、呼叫，插播语音信息。语音广播时可采用停止背景音乐，也可选择暂停背景音乐播放和手动插播等方式进行语言广播，语言广播可针对内容选择不同区域进行广播，单个区域或多个区域同时进行；3)紧急广播：公共广播系统具有接驳消防系统功能，通过预先接驳消防控制系统，在出现紧急事故时，197、受控于消防控制系统控制信号，通过分析消防控制信号，系统服务器自动分析事故现场区域，自动停止相对应区域的背景音乐播放，启动紧急疏散信号，并在相邻区域播放疏散通知，有效引导人员疏散，必要事可以使用人工广播进行紧急疏散，保证办公楼出现紧急情况时能有效及时的疏散人员；4)自动播放功能：可按用户设置的时间表通过本系统每周或全年自动播放背景音乐其它用户特定的教育需求语音提示。如遇突发事件自动对全区或分区告警广播。5)多套节目同时播放：IP网络系统配套有CD播放器、调谐器、音乐节目库,满足办公楼开展节目等音乐播放，并可实现在不同的区域同时播放不同的内容；6)节目采集播放： 用户可通过计算机、话筒、卡座、VC198、D/CD/MP3等音源编辑输入到系统服务器。通过系统服务器软件进行实时采集播放，通过软件采集把节目播放到前端各个区域音箱；7)独立编程功能：可按星期或日期编程输入播放时间表，系统自动运行。大屏幕中文彩色显示窗，一目了然。系统所有工作状态均直观的显示； 8)分区监听功能：系统可随时监听各区域播放内容；9)语音实时采播：监控消防监控室IP广播节目实时采播功能，能够将来自其他音源的节目实时采集压缩存储到服务器，并可同时转播到指定的网络广播适配器终端。采播源可以是其他商用或自用电台、录音机、卡座、CD播放器、MP3播放器、麦克风等，可用于广播通知、网上讲话，电台转播等；10)自动休眠功能：系统不进行任199、何广播时，终端服务器处于关闭状态，喇叭听不到任何噪音（传统广播时刻处于待机状态，噪音无法避免），既保证了你的工作环境的清净，又大大提高了设备及喇叭的使用寿命。当有广播信号进入终端服务器时，自动解除休眠进行广播；11)简便的操作：IP网络广播系统结合鼠标键盘操作，不仅显示直观，操作更为方便人性化，超大触摸屏，可实时显示当前系统工作状态，良好的人机对话功能，初学者无需专业培训亦可轻松掌握，易学易懂易操作；12)系统零维护：IP网络广播在物理上与网络共用，所以并不在网络维护之外增加额外的维护工作；在应用上，系统可设置独立网段与计算机分隔，各网络广播适配器嵌入式系统程序固化，不会受到病毒感染，系统整体200、高稳定可靠零维护；2、广播系统软件使用功能软件控制每个区域节目播放，可以采用手动播放、定时播放、CD播放器、调谐器、卡座节目插播等功能；通过消防智能接口联动消防系统，在紧急情况系统自动停止背景音乐播放，启动紧急广播；具有分组管理功能，可以独立控制到每个区域；具有建立节目库，满足办公楼节目播放；具有软件监听每个区域的播放情况；具有定时播放功能，设定每天、每周、每月自动播放程序，具有应急播放程序备用；软件服务器登录采用密码登录管理，并区分管理员与操作员登录密码，管理员具有最高系统设置权限，确保服务器系统安全。3、广播系统功能特点1)传输数字化IP网络广播采用独有的CD质量的数据文件格式，将音源转换201、为数据文件传送到网络适配器。全程数字化传输避免了传统音频广播的信号衰减与噪音，提供高保真音质的声音；2)终端个性化IP网络广播基于IP数据网络，每个网络广播适配器都可以有独立的IP地址，可以拥有完全个性化的节目；3)前端网络化IP网络广播将前端音源扩展到整个网络，节目定时播放都可以通过网络远程操，。网络化的管理，还可以对不同的用户设置不同的权限；4)播放自动化IP网络广播能够实现自动化播放，并为各个节目指定播放时间，服务器将自动进行播放，并且播放内容与对象范围可以任意指定；5)操作人性化IP广播为提供了人性化的图形菜单界面、人性化的操作，轻松简便，专一实用，提高了使用的效率；6)应用信息化IP202、广播有很多信息化的设计，可以在广播过程实现录音、变速、列表循环播放等语音功能；还可以实现定时设置，实现广播自动播放；并能够远程编排、维护、管理等；7)工程简单化IP网络广播工程简单，对于现在有局域网设每一个IP广播点，只需要增加网络广播适配器安装即可，如果没有搭建网络，数据网络的工程量也相对简单，只需要铺设网线即可，一旦建设，广播系统与计算机网络系统可以共用，减少多网重复建设；8)系统零维护IP网络广播在物理上与网络共用，所以并不在网维护之外增加额外的维护工作。在应用上，系统可设置独立网段与计算机系统分隔，各网络广播适配器嵌入式系统程序固化，不会受到病毒感染。系统整体稳定可靠，基本没有维护工作203、。4.3.10 无纸化会议系统4.3.10.1 系统概况随业务的不断发展，建设单位内外召开的会议越来越频繁，会议材料的印制装订阻碍了效率的提高，会议材料的回收由于保密需要往往不能重复利用，造成了较大的资源浪费，同时也给保密工作造成了很大压力。近年来，社会科技水平的快速提高，新型无纸化会议系统现已成为绿色发展的迫切需要。4.3.10.2 需求分析目前，各级组织召开的诸多会议上，通常都是将会议材料和文件发给每个参会者，与会者人手一份，这就需要复印大量的会议材料，耗费大量的纸张；同时，与会者为了传达会议精神，又把上级部门的会议材料和文件复印后下发基层各级单位，如此反复，往往举行一次会议，向下级部门传204、达会议内容和精神，也需要印制大量的会议材料和文件，耗费大量的物力和人力资源。综合来说目前会议文件用纸有如下几个特点：1. 用纸量大。由于开幕式、大会报告、小组讨论（出简报）、大会发言、决议、闭幕式等程序，每次开会都产生许多文件资料。 2. 用纸浪费。印有议程、出席人员等的一些会议文件，在会后无实际作用，无故增加了用纸量。而且开会过程中分发的各种会议材料，大都单面印刷，人手一份，这些资料的印刷会消耗大量的纸张，而生产纸张的代价，是大量来自原始森林的木材、甚至上百年的老树被砍伐。 3. 文件回收问题。会后许多与会者将文件丢弃在会场，带走文件的同志也不知事后如何处理。文件回收问题得不到很好的解决。 205、4. 保密隐患问题。由于机关内部在文件清退、销毁环节存在一定疏忽，会议上下发的保密文件资料，在会议结束后没有及时回收，使得纸质文件成为泄密的最大通道。这些问题，是前进中的问题、发展中的问题，必须高度重视，采取有效措施切实加以解决。网动无纸化会议系统的出现，有效解决了传统纸张会议中所遇到的问题。 无纸化会议系统提供考勤管理、会议议程、会议投票、分组讨论、资料查阅等多种功能，为政府单位以及企业提供一个极为实用的会议平台。通过这个平台，各部门单位可进行实时的会商和有效的信息沟通；改变了传统会议模式的效率低、操作复杂、形式单一、资源浪费、保密隐患等问题。实现新型会议的全程无纸化概念。本方案将重点描述平206、无纸化会议系统的应用模式，为无纸化会议探索先进而便捷的应用模式，探索新途径。4.3.10.3 设计原则(1)实用性和先进性采用先进成熟的技术，满足举行各类型会议和活动的使用要求，并兼顾其它相关的管理要求，使系统在相当一段时期内保持技术的先进性，并能适应未来发展的需要。采用先进的系统架构体系、软硬件和通讯技术设备，做到配置和技术应用的先进。(2)安全可靠性保证系统安全稳定运行，音频系统设备必须具有高可靠性。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的中央控制系统技术提供较强的管理机制、控制手段等技术措施，以提高整个系统的安全可靠性。(3)互连性具备与多种影音、控制、会议系统及计算机系统互207、连互通的特性，同时具备跨系统平板交互性，确保该系统作用可以充分发挥。(4)系统的扩展性系统软件和硬件方面均具备较好的扩充性，软件方面能够支持多种操作系统的使用。硬件方面支持以后便捷的进行功能扩展或设备级联，支持标准线缆或通讯设备的使用。(5)管理便捷性系统支持多会议管理，预设，真正做到了提高工作效率。4.3.10.4 系统设计4.3.10.4.1 系统架构图10： 无纸化会议系统网络拓扑图根据会议室的布局，在会议室每个座位设计1台触控无纸化智能桌面（自带多媒体会议终端主机），同时设计一台无纸化控制主机，作为系统的管理和控制中心，无纸化会议终端通过网络与无纸化控制主机连接，组成一套完整的智能交互208、式无纸化会议系统，触控无纸化智能桌面采用了15.6英寸多点电容触摸液晶屏。无纸化终端采用分体式设计，由触控显示屏、升降器、无纸化终端组成，方便后期维护和升级更新。系统配置了视频编码器，用于无纸化会议系统与外部视频设备的对接，实现视频信号的互联互通。4.3.10.4.2 系统选型根据用户的使用需求，本次会议室设计一套无纸化会议系统，根据会议室的布局，在会议室每个座位设计1台无纸化超薄15.6英寸电容液晶屏一体升降器，智能可调45度，自带多媒体终端主机；同时设计一台无纸化控制主机，作为系统的管理和控制中心，无纸化会议终端通过网络与无纸化控制主机连接，组成一套完整的智能交互式无纸化会议系统。触控无纸209、化智能桌面采用了15.6英寸多点电容触摸液晶屏，分辨率达到19201080dpi，屏幕视角为IPS全视角液晶屏，显示效果清晰亮丽。清新显示会议文档，10点触控电容屏设计，触控操作灵敏度非常高，操作方便。超薄设计，铝合金磨砂超薄一体外壳，表面处理为喷砂阳极氧化，宽屏无边框设计，彰显产品高端、尊贵，满足会议室高标准要求。无纸化终端采用分体式设计，由触控显示屏、升降器、无纸化终端组成，方便后期维护和升级更新。系统配置了视频编码器，用于无纸化会议系统与外部视频设备的对接，实现视频信号的互联互通。本次会议室具体设计如下：全数字会议控制主机1台（无纸化会议系统管控中心）无纸化智能桌面液晶屏一体升降器16台210、（每个座位席设计1台，用于无纸化会议显示、会议操作；自带有多媒体会议终端主机，用于处理无纸化系统的各项功能）；无纸化流媒体服务器1台（用于无纸化会议视频输入/输出）。4.3.10.4.3 系统功能4.3.10.4.3.1 会前准备 用户登录1.控制界面支持WEB访问，远程登录后提供用户名密码便能准备会议资料等，会议操作人员在单位办公室变可以完成会前工作准备，无需到会议室操作。2.l支持多管理人员，不同的管理人员登录只能管理设置自己的操作界面，管理人员之间互相不干扰。3.l支持远程登录与本地登录两种模式，远程登录的电脑与控制主机必须在同一网络内。 功能模块1.系统功能模块有：会议议程、议题管理、211、会议纪要、投票设置、会议交流、集中控制、人员安排等功能模块。2.功能模块支持根据会议需要进行选择，无纸化终端自动匹配。 新增会议1.根据会议情况，选择本次会议需要的功能模块，不需要的功能模块在终端显示界面中自动隐藏。2.设置会议主题、主持人、秘书、开会时间与预期结束时间、会议地点，此会议信息在终端首页界面同步显示。 会议预置1.系统支持会议预置功能，用户可以提前设置好会议信息与需要的议题文件等，入会后一键启动。2.支持预设多次会议信息，为每次会议设置不同的参会人员、会议资料等。3.支持默认会议设置，每次开会人员不变的情况下变可以直接启动默认会议。4.控制界面支持统一开启会议终端，与统一关闭所有212、会议终端，会议终端也支持单独开启与单独关闭。 人员设置1.支持一对一设置、支持人员信息批量导入。2.支持对人员权限设置，权限有、文件权限、主席功能、广播权限、导出权限、免签功能、表决权限。3.支持主席功能，主席有控制会议进程一切权力，启动签到、启动投票，启动议题、启动投票、信号切换、结束会议等控制功能。4.主席功能随人动，没有固定的主席机位置，参会人员坐那台终端，那台终端变是主席机。5.广播权限设置，具备了广播权限的参会人员或者是终端，才能把终端画面同屏到其他会议终端与大屏幕；反之，不能同屏自己画面出去。 议题管理1.设置本次会议议题，支持议题显示顺序排序功能，支持设置N个会议议题。2.支持会213、议议题权限设置，有权限查看的会议终端变会显示会议议题与议题下面的所有文件，没有权限查看的会议终端会自动屏蔽此议题在本终端的显示。 议题文件1.会议文件按议题管理，议题下面是会议文件。2.支持批量上传会议文件，上次的会议文件支持排序功能，会议终端按序号从小到大按设定顺序显示。3.会议文件格式不限，包括WORD、EXCEL、PPT、PDF、CAD等，同时支持音频格式MP3/WMA，支持图片格式JPG/JPEG/BMP/GIF/PNG上传。4.上传的会议文件系统不需要进行二次转换，及到所有会议终端不更改文件格式。5.支持动态PPT文件播放并同步到其他会议终端与大屏幕。 视频上传1.服务器支持视频上传214、功能，视频上传保持到服务器支持会议中视频点播，视频格式不受限制，支持常规视频文件格式；2.支持视频直播，视频直播流支持RTSP/RTMP格式，会中与会人员可观看在线视频。 投票设置3.设置表决与投票内容。4.设置投票方式如：实名制、匿名投票，支持打分投票，支持自定义投票，支持选择性投票。5.根据会议进程，主席机控制投票表决启动，等主席机启动投票后所有会议终端自动进入投票表决界面。 系统通知1.支持后台统一发送通知到所有会议终端。2.支持后台点对点发送通知。3.支持前端会议终端发送消息到后台。4.3.10.4.3.2 会中功能 进入系统1.终端显示内容有：会议主题、参会人员名称、会议时间、会议地215、点、主持人。2.一键触控进入会议。3.点击进入会议自动完成会议签到。 终端界面1.功能模块支持：会议议程、会议资料、会议纪要、临时文件、电子白板、会议交流、会议服务等。2.终端功能模块是根据会议需要显示，如果本次会议不需要其他功能模块，终端变会自动屏蔽显示；模块具备可选择性。 文件分发1.终端支持按议题顺序显示，同时支持议题下会议文件按议题显示。2.活动状态议题颜色成黄色背景显示。3.支持各种办公文件格式。4.支持PPT动态播放。5.支持在线编辑文件并原文件保存。 画面自由交互1.支持会议文件原文件方式打开；支持文件在线编辑，原文件保存，支持任何会议文件发起屏幕广播功能，文件包括视频文件。2.216、屏幕广播支持权限设定，具备权限的会议终端按照会议进程发起屏幕广播，广播的屏幕画面同步到其他会议终端与大屏幕同步显示。3.支持一键式广播模式，方便快捷、易用。4.支持任何会议终端一键同屏（本地终端通过按键一键同步画面到其他会议终端与大屏幕或只同屏到大屏幕显示）5.支持任何会议终端播放的视频文件同步到其他会议终端与大屏幕或只同屏到大屏幕显示。6.支持在同步画面共享时其它所有会议终端包括大屏幕同步显示文档的放大缩小等显示特性，保证触控屏的触控功能。7.异步浏览，任何有权限的会议终端支持一键切换（本地终端可以通过按键一键切换远端同步画面与本地终端画面）完成信号的自由交互功能。8.跟踪主讲：处在异步浏览217、状态的会议终端支持一键同步到主讲此时的任何文件与视频画面并保持一致。9.支持PC机WINDOW操作界面并实时广播到其它会议终端与同屏到大屏幕或只同屏到大屏幕显示。10.支持动态PPT文件播放并同步到其他会议终端与大屏幕。11.会议终端支持外置U盘内任何格式文件一键广播到其他会议终端与大屏幕。12.支持会议终端在同步的时候编辑会议文件并与其他会议终端同步显示。 信号互联互通（需要流媒体服务器设备）1.系统采用纯网络组网。2.支持任何一台会议终端画面到大屏幕显示。3.支持大屏幕显示画图同步到会议终端同步显示。4.支持矩阵输出画面到会议终端同步显示。5.支持远程视频画面、摄像头画面、笔记本画面、台式218、机画面同步到所有会议终端。 文件批注1.系统支持原文件批注与标准功能。2.支持OFFICE文件批注功能，并原文件保存；支持在批注过程中同步画面到其他会议终端；支持批注后随意翻页，并保存批注信息。3.系统支持交互式标注功能，当汇报人员发起同屏画面后，其他参会人员同步观看同步画面，支持对发起屏幕标注功能；使汇报人开始修正会议文件。 控制功能1.具有主持权限的参会者会议终端会有控制功能模块。2.主持功能具备发起签到、议题管理、投票管理、信号管理、结束会议等控制权限。3.主席具备启动签到、系统自动签到、统一重置签到功能。4.主席具备启动议题功能；根据会议进程开启议题并自动分发文件到会议终端。5.主席根219、据会议进程启动投票表决，系统自动记录并上传到控制主机保存。6.主席具备控制会场信号管理功能，主席可以结束同屏画面，选择信号同步源，支持把任何会议终端画面广播到其他会议终端，或者只到大屏幕。7.主席具备强制同屏模式，当启动强制模式后其他会议终端只能观看唯一画面。8.主席具备切换外部信号同步到所有会议终端与大屏幕；外部信号包括矩阵输出信号、远程视频信号、笔记本信号等各种信号源。9.主席机具备结束会议、关闭系统功能。 电子白板1.支持个人使用与交互使用。2.支持更换画笔粗细、画笔颜色、文字字号等。3.支持多人同时共享在同一白板上书画。4.所以图像都保存为矢量图，所有比划步骤都支持单步撤消。 交流提示220、1.支持单选、多选收件人。2.支持发送、接收信息的实时显示。3.支持消息回复、公告发布。4.支持所有信息的记录存档。 会议服务1.支持常规服务内容，一键触控，系统自动发送到后台管理人员。2.支持自定义服务内容。4.3.10.4.3.3 会后归档 会议归档1.可选需要保存的内容，包括签到信息、投票信息、会议信息、批注文件等；2.可保存为文件夹目录3.可保存为压缩包 会议资料上传1.批注过的会议文件自动上传到服务器。2.服务器以参会人员姓名自动创建会议文件。3.会议文件按树状保存。4.服务器自动创建会议主题文件夹，下一级是会议文件，此文件为原文件、同级别是参会议人员文件夹，其中保存参会人员批注的的221、会议文件。 参会人员批注文件存档1.批注过的会议文件自动上传。2.服务器也参会人员姓名自动创建会议文件。 保存签到信息1.服务器自动保存签收显示以图片显示。2.服务器自动统计签到结果并保证。3.服务器保存参会人员签收时间。 保存投票表决1.服务器自动保存投票以图片显示。2.服务器自动统计表决结果并保证。3.保存内容有会议主题、关于什么的表决、表决情况。 端口服务器与终端连接1.结束会议：服务器自动与终端连接。2.其他会议主持没有权查看本次会议所有情况。3.终端自动清空本次会议所有信息。 自动清空会议资料1.服务器自动清空终端会议资料。2.终端自动清空本机所有会议资料。3.支持手动清空会议资料。222、4.支持断网后自动清空终端会议资料。5.服务器自动保存。4.3.11 集中控制中心系统信息化集控（执行指挥）中心由中心大厅、设备控制间组成，中心大厅分展示区、操作区、指挥观摩区三个区域，集控中心大厅面积原则上按照：中级法院不小于150平方米，基层法院不小于60平方米进行设计。展示区根据墙面大小配置大屏显示系统。为保证系统建设成效及合理性，显示屏采用P1.25全彩小间距LED显示屏。中级法院显示屏显示面积按照30设计，基层法院按照15设计，其中基层前沿到第一排工作台的距离不少于3米，中级法院的大屏前沿到第一排工作台的距离不少于4米。操作区根据应用系统的多少设置操作工位,基层法院按照8个工位设计，223、中级法院按照12个工位设计。操作工位位置设置应便于观察大屏显示内容为宜。指挥观摩区设置指挥席、观摩席。中级法院集控中心指挥席不少于12席，基层法院集控分中心指挥席不少于8席。指挥席每个席位均配备会议话筒，中间主席位配置移动大屏控制终端。市中院集控中心观摩席不少于20席，基层法院集控分中心观摩席不少于10席。设备间一般设置在显示屏后，长度与显示屏相当，宽度不少于2m，配置独立空调和排风系统。设备间空调、排风等基础设施及中心的装修工程不在本项目建设范围。4.3.11.1 信息展示屏设计根据法院集控中心实际业务需求，拼接显示屏主要显示执行前端回传的实时视频、执行前端设备所在位置信息等。采用LCD全彩224、屏建设信息展示屏，根据业务工作需求，划分多个信息展示区，如庭审直播、视频会议、执行指挥、远程接访等。LCD全彩屏显示方案效果图如下：LCD全彩屏显示方案效果图(1)大屏幕拼接显示系统支持VGA、DVI、HDMI、BNC、SDI、YPbPr、超高清及IP源多种信号源采集，可配备DVI双链路采集卡，最大可支持4088*408815HZ超高分辨率接入，并能显示包括1080P(1920X1080)及以下分辨率的视频信号和计算机信号。此外，通过分辨率叠加，大屏幕上能够显示超高分辨率的计算机图形。高清显示示意图(2)大屏幕拼接显示系统可将实时的监控图像及视频信号显示到屏幕上，实现画面拼接、全屏显示等功能。225、 拼接显示示意图(3)大屏幕拼接显示系统不仅支持每块屏单独显示一个画面，而且内置矩阵功能，可将单个信号源开多个窗口同时显示。 分屏显示示意图(4)单屏支持四画面分割显示，可实现超大信号源的接入。 画面分割显示示意图(5)大屏幕拼接显示系统可将任意画面组合显示，无固定组合模式，实现多种显示效果，满足用户的各类显示需求。 任意组合显示示意图(6)每个输出窗口可通过缩放或移动信号源窗口，实现用户的多屏拼接、任意开窗和漫游需求。 漫游示意图(7)用户可根据需要将显示的画面任意拉伸缩放，拉伸缩放之后的图像不会失真或损伤。 拉伸示意图(8)大屏幕拼接显示系统可通过远程网络连接的方式，将远端电脑的操作界面投226、射到显示墙上。例如，可应用于客户端操作演示等场景。网络抓屏示意图(9)图像拼接完整。业内最早推广1.7mm拼缝LCD屏幕，本方案在充分考虑设备伸缩特性的前提下，组合屏物理拼接间隙不大于3.4mm。 极致拼接示意图(10)多屏控制器无需额外添加解码器设备，即可实现网络信号解码上墙任意显示，解码分辨率支持D1、720P、1080P及500W，且支持本地录像文件回放上墙。4.3.11.2 音响扩声系统设计根据国家厅堂扩声系统设计的声学特性指标标准，会议室扩声系统的音响效果应能符合以上GYJ125厅堂扩声系统设计的声学特性指标中的语言扩声一级标准演讲时应能达到语言清晰、无失真、声压余量充分、声场分布均227、匀、无声反馈啸叫，声像定位正确。根据厅堂扩声系统设计的声学特性指标，在空场稳态准峰值状态下的最大声压级a.室内语言扩声系统一级标准要达90dB，b.室内语言和音乐扩声系统一级标准要达95dB；我们的系统按照a标准来进行设计。扩声系统的主要目的是清楚地传送会议时的语言信息，兼顾多媒体播放的高质量音乐扩声。开会时，要求将清晰可懂的语音内容传输给听者。在这场合声音的清晰可懂远比音质更重要，因此在系统设计方面我们将解决语言清晰度和可懂度作为语言扩声的首要原则。整个系统追求频域宽、频响特性平直、失真小。集控管理中心的容积、混响时间决定于建筑结构以及所采用的装潢材料。适当减少原建筑的混响时间，提高信噪比，228、减少声反射现象，校正长时间、长延迟和高声压级的特定反射声。根据会集控管理中心的容积，我们估计总的混响时间最好控制在0.70.8s范围内。而其他工作需由扩声系统来完成。综合音响扩声系统的配置，结合集控管理中心对音响扩声系统的使用需求，整个音响扩声系统设计可实现以下使用功能：采用多编组调音台，多路编组输出，解决会议室开展远程视频会议时远程音频与本地音频信号分组输出，设计多种工作模式，例如会议讨论模式，影音模式、节目模式等，可根据不同的需要快速调节话筒前级处理器，满足不同模式的音响扩音。可根据现场的环境、位置摆放、音箱摆放、会议的类型等进行预先设置和实时调节，系统可以与集中控制系统对接，通过集中控制229、系统进行管理。根据会议类型设置压限效果，防止信号输出过大，带来过大的音频电流，烧坏音箱。根据会议类型设置噪音门效果，滤波多余的噪音输入音响设备，产生噪音，影响音响扩声效果。音箱采用一对一定阻传输方式，音箱与功放阻抗匹配，采用全频宽频音箱，还原出最佳的音质效果。语音对讲系统是集中控制、指挥调度系统对于突发事件进行协调处理、信息分析、决策以及指令下达的重要工具，实现集控中心与执行现场的直接交流，成为最有效的信息发布，协调指挥的手段之一。为了保障系统拥有良好的音频效果，建议在系统设计中建设回声抑制、啸叫抑制等音频处理设备，并对集控中心的装修环境进行声学设计，保障语音对讲系统能够得到清晰、明净的声学效230、果。回声抑制处理可以保障系统在进、行对讲的过程中避免产生回声啸叫，避免远端音频反复被语音对讲系统采集，保障音频体验效果。4.3.11.3 业务系统集成接入设计法院集中控制中心涉及到的外部数据分为两方面，一方面是视频图像数据，一方面是视频业务数据。视频图像数据依靠海南省法院非结构化平台与各音视频系统/设备对接获取，视频业务数据依靠视频业务信息融合平台与各音视频系统对接获取。法院的业务信息，包括科技法庭业务信息等。集中控制中心提供一套统一的业务信息接入接口，供各类能够提供业务信息的系统对接，如科技法庭管理系统等，由接入方系统主动调用信息接入接口向集中控制中心系统报送业务信息。对接完成后，由集中控制231、中心将业务信息与视频信息相融合，即可在业务应用的角度对法院音视频进行调度。4.3.12 信息安全服务对我院的信息系统进行专业的风险评估，包括物理环境、网络系统、网络设备、应用系统、安全设备等方面；根据国家、最高人民法院及海南省相关等级保护文件要求及风险评估结果，对我院所有信息系统进行定级和测评；提供安全应急服务，包括制定制定安全应急预案及演练等；对技术人员进行安全培训，提供安全咨询服务；制定我院安全管理制度；从而保障审判、执行、信访等中心业务工作的安全开展。1. 信息安全风险评估2. 信息系统定级和测评3. 安全应急服务4. 安全培训和咨询服务5. 制定安全管理制度4.3.12.1 信息安全风232、险评估全面、准确的了解我院的信息网络和系统的安全现状，发现系统的安全问题及其可能的危害，出具评估报告，为系统最终安全需求的提出提供依据。包括物理环境、网络系统、网络设备、应用系统、安全设备等方面的风险评估。1、对法院信息系统所在物理环境中心机房、设备间、工作间等进行安全风险评估，物理安全防护策略评估。2、针对网络系统的完整性、保密性和可用性风险进行评估，至少包括如下内容：a)进行漏洞检测，边界完整性风险评估和授权访问控制策略评估；b)进行信息输入输出策略风险评估；c)进行安全域边界访问控制风险评估；d)进行网络边界完整性风险评估；e)交换机安全风险评估，进行网络VLAN与ACL策略评估，网络接233、入控制风险评估，网络违规外联风险评估，交换机漏洞检测；f)服务器安全风险评估,进行服务器安全防护策略评估，服务器漏洞检测，特种木马检测，操作系统安全配置检测；g)用户终端安全风险评估，进行用户终端安全防护策略评估，电磁泄漏发射防护风险评估，终端漏洞检测，特种木马检测，操作系统安全配置检测；h)打印机安全风险评估，进行打印机漏洞检测；i)介质安全风险评估，进行介质管控策略安全评估；j)存储设备安全风险评估，进行存储配置策略评估；k)网络设备漏洞扫描，进行网络设备漏洞扫描，发现漏洞和风险项；l)网络设备渗透测试，通过应用系统渗透测试。3、针对应用系统完整性、保密性和可用性风险进行评估，至少包括以下234、内容：a)业务数据安全风险评估，对用户授权访问控制策略进行安全性评估；b)应用程序安全风险评估，进行应用程序安全功能测试，应用程序代码安全审计，应用程序渗透测试和网页挂马检测，对应用程序进行安全性评估；c)中间件安全风险评估，进行中间件漏洞检测，对中间件安全策略配置进行评估；d)数据库安全风险评估，进行数据库漏洞检测，评估数据库安全配置策略；e)操作系统安全风险评估，进行操作系统漏洞检测和恶意代码检测，评估操作系统安全配置策略；f)应用系统漏洞扫描，进行应用系统漏洞扫描，发现漏洞和风险项；g)应用系统渗透测试，通过应用系统渗透测试。4、针对网络设备的完整性、保密性和可用性风险进行评估，至少包括235、以下内容：a)交换机安全风险评估，进行网络VLAN与ACL策略评估，网络接入控制风险评估，网络违规外联风险评估，交换机漏洞检测 b)服务器安全风险评估，进行服务器安全防护策略评估，服务器漏洞检测，特种木马检测，操作系统安全配置检测c)用户终端安全风险评估，进行用户终端安全防护策略评估，电磁泄漏发射防护风险评估，终端漏洞检测，特种木马检测，操作系统安全配置检测d)打印机安全风险评估，进行打印机漏洞检测e)介质安全风险评估，进行介质管控策略安全评估f)存储设备安全风险评估，进行存储配置策略评估g)网络设备漏洞扫描，进行网络设备漏洞扫描，发现漏洞和风险项h)网络设备渗透测试，通过应用系统渗透测试5、236、对安全设备所面临的威胁、存在的弱点、造成的影响从可用性、保密性、完整性进行风险评估,包括以下内容：a)防火墙安全风险评估，对防火墙安全配置进行风险评估；b)入侵检测风险评估，入侵行为发掘分析风险测评，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象从而对入侵防护系统进行风险评估；c)入侵防护风险评估,监视网络数据流通，对入侵防护系统安全配置进行风险评估；d)防毒墙风险评估根据防毒墙读写、过滤策略，防毒墙版本以及病毒特征库对防毒墙进行风险评估；e)数据库审计风险评估，对数据库审计策略进行评估；f)网络审计风险评估，对网络审计设施进行安全配置风险评估；g)漏洞扫描风险评估，漏洞扫描结果分析237、，漏洞扫描安全策略评估；h)病毒防护风险评估，对杀毒软件监控识别、病毒扫描和清除、自动升级病毒库、主动防御等方面进行风险评估；i)恶意代码防护风险评估，对恶意代码传播告警，恶意代码特征库升级控制，恶意代码传播事件处置进行风险评估；j)准入系统风险评估，对准入系统配置评估，访问控制权限、网络接入管理评估；k)屏蔽机房风险评估，屏蔽效能有效期检查；l)屏蔽机柜，屏蔽机柜部署范围评估。4.3.12.2 信息系统定级和测评按照信息系统安全等级保护相关文件要求，对全院所有信息系统进行定级并测评，出具测评报告，提出整改措施。4.3.12.3 安全应急服务包括安全应急预案及演练根据应急事件级别制定应急响应预238、案，分为总体预案和针对某个核心系统的专项预案，为应急响应人员进行系统恢复操作提供快速明确的指导。应急响应预案应该明确、简洁，易于在紧急情况下执行，并使用检查列表；应获得应急响应责任者的评审，并在组织内达成一致，建立起处理突发性信息安全事件，提高对突发事件的反应迅速的应急工作机制。制定应急预案后，应当至少组织一次应急演练，以检验应急响应预案的有效性，同时使相关人员了解运行维护预案的目标和内容，熟悉应急响应的操作规程。同时根据演练的效果，对应急响应预案进行完善。应急演练不能影响法院日常业务的正常运行。如网络系统的安全应急预案及演练至少应包括如下内容：a)病毒防护应急预案及演练，制定病毒大规模发生时239、的应急预案，并进行相应的应急响应演练；b)网络入侵应急预案及演练，制定网络中断应急预案，并进行网络遭到黑客入侵的应急响应演练；c)拒绝服务攻击应急预案，制定网络遭到拒绝服务攻击时的应急预案d)网络中断应急预案，制定网络中断应急预案；4.3.12.4 安全培训和咨询服务根据信息系统安全需求，进行信息安全知识、应急响应培训，并组织相关信息安全管理、技术人员参加，使应急处置相关人员明确其在应急响应过程中的责任范围、接口关系，明确应急处置的操作规范和操作流程。应急响应预案应作为培训的主要内容。提供安全咨询服务。4.3.12.5 制定安全管理制度安全管理是安全系统建设成败的关键，仅仅依靠技术上的安全手段240、，但没有相应的管理措施作为保障，是不能保证安全系统的正常运作的，因此必须制定和实施统一的、覆盖全系统的安全管理制度，从管理和技术的双重角度对信息系统的安全进行管理。根据需求修订完善安全规章制度，协助法院信息管理部门建立法院信息系统运行维护等各方面的安全管理组织机构、安全保密管理制度、安全技术管理制度及安全培训管理制度。4.3.13 机房配套系统4.3.13.1 系统概述秀英区人民法院XX法庭机房拟建于XX法庭大楼二楼，主机房规划面积为38 m。机房采用封闭冷通道系统，设置2个网络机柜，8个服务器。建设总体原则:以确保电子信息系统安全、稳定、可靠地运行为基础，力求技术先进，经济合理，安全适用，节241、能环保。采用目前最先进的机房建设技术，适地用材，以求良好的性价比。4.3.13.2 建设内容按照电子信息系统机房设计规范(GB50174-2008)中C级标准建设，实现机房无人值守。通过机房环境集中监控系统实现实现机房可靠的科学管理。中心机房承担着整个秀英区人民法院XX法庭大楼的信息系统的传输、控制、网管、集中监控等功能，其安全、正常运行直接关系到整个XX法庭业务的正常运行。本期工程建设一个高安全、高可用、高稳定、绿色节能又兼顾美观实用的中心机房，为秀英区人民法院XX法庭核心业务提供稳定可靠的环境。工程主要内容包括：1）机房基础装修；2）UPS不间断电源系统；3）防雷接地系统；4）精密空调系统242、；5）新风系统6）气体消防系统；7）机房监控系统；8）气体消防系统。4.3.13.3 设计原则在设计过程中应充分考虑IT技术发展趋势和海南省电子政务业务发展需要，按照国家有关标准和规范进行设计。遵循以下设计原则：1.可靠性为保证提供连续不间断的机房环境服务，机房区必须具有高可靠性。2.适用性建筑的空间布局、各子系统的选择及容量规划应满足未来IT系统实际使用需求，避免浪费或规划不足，同时，需要满足目前机房运营管理流程。3.经济性各系统设计应考虑先进性与实用性相结合，采用成熟的国际先进技术，在满足功能需求和可靠性要求的前提下，尽量节省总体建设投资、降低长期运营成本。4.先进性（节能、环保和高效）采243、用切实有效的措施来保证节能、环保的要求，力求安全、可靠，节能、环保。5.可扩展性及易维护性各子系统应具有一定的可持续发展的能力，为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。4.3.13.4 机房设计方案4.3.13.4.1 机房装修4.3.13.4.1.1 装修原则（1）机房装修应考虑防水、防火、防盗和防鼠、防电磁干扰；（2）机房装修材料的选择必须考虑防水、防火、防尘、防静电、环保等因素。所有材料的防火等级都应选为A级或B1级；（3）机房的墙面装饰材料应采用防潮、防火、不起尘、易清洁且性能好的环保材料，不产生眩光。各功能区之间采用防火玻璃隔断墙；（4）244、机房的地面应平整、耐磨、质地硬、不易起尘；（5）防静电地板的倾斜度必须保证每米不高于2毫米。防静电地板的板厚公差应在0.2mm/m以内；常温常湿下地板绝缘电阻应大于100k，小于100M；防静电地板的均匀荷载应不小于12500N/，集中荷载应大于5000N；（6）机房内顶棚应选用不起尘铝合金微孔吸音板，顶棚下沿与防静电地板上沿的垂直净距离宜2700mm；（7）机房内所有管道都应进行防锈处理，选质量好的热镀锌管材；所有交流电源线都应用铁皮线槽、钢管或金属软管保护；（8）机房应设有完善的接地系统，要求接地电阻小于1欧；（9）结合建筑特点和设备的布置平面，统一考虑空调气流组织问题，提高空调系统效率，245、避免因楼层间产生较大温差（大7）而结露，应在机房地面采取相应的保温措施；（10）机房设单独出入口，机房的外门宜向走道开启，采用甲级钢质防火门，门洞宽度不宜小于1.5米，门洞高度不小于2.3米；（11）因机房常年需要空调，故机房不设窗。4.3.13.4.1.2 机房平面布置（1）机柜排列方式本期项目新增的网络/服务器机柜全部采用单面摆放。 （2）走道宽度机柜正面所在过道间距不小于1.1米，机柜背面所在过道间距不小于1米；机柜侧面与墙之间走道宽度不小于0.6米。备注：当需要在机柜侧面维修测试时，机柜与机柜、机柜与墙之间的距离不应小于1.2m。4.3.13.4.1.3 地面施工内容计算机网络系统和服246、务器等设备内集中了大量的集成电路，这些器件对静电特别敏感，环境中的静电放电可使敏感器件损坏，进而影响设备的工作甚至损坏设备。根据电子信息系统机房设计规范(附条文说明)（GB 50174-2008）等标准规范，计算机机房内需要具有完善的防静电手段，因此地面施工考虑防静电地板。4.3.13.4.1.4 墙面施工内容墙面装饰：墙面进行高级抹灰，达到墙面平整，减少积灰面。面刷高级亚光浅色乳胶漆，色调淡雅柔和，避免产生炫光，同时易于清洁，不起尘。4.3.13.4.1.5 门窗要求（1）机房的所有窗户全部密封；（2）机房设单独出入口，机房的外门宜向走道开启；（3）其他区域的门由大楼土建工程统一考虑。4.3247、.13.4.1.6 走线架安装原则（1）当电力电缆和控制电缆较少时,可同一电缆桥架安装,但中间要用隔板将电力电缆和控制电缆隔开敷设；（2）电缆桥架水平敷设时，桥架之间的连接头应尽量设置在跨距的1/4左右处,水平走向的电缆每隔2米左右固定一下，垂直走向的电缆每隔1.5米左右固定一下；（3）电缆桥架装置应有可靠接地。如利用桥架作为接地干线，应将每层桥架的端部用16mm2软铜线联接（并联）起来，与总接地干线相通，长距离的电缆桥架每隔30-50米接地一次；（4）电缆桥架装置除需屏蔽装保护罩外，在室外安装时环境对于电缆桥架有影响，应在其顶层加装保护罩，防止日晒雨淋，对如需焊接安装时，焊件四周的焊缝厚度不248、得小于母材的厚度，焊口必须防腐处理；（5）电缆桥架装置除需屏蔽装保护罩外，在室外安装时环境对于电缆桥架有影响，应在其顶层加装保护罩，防止日晒雨淋，对如需焊接安装时，焊件四周的焊缝厚度不得小于母材的厚度，焊口必须防腐处理；（6）选择电缆桥架宽度时应留有一定的备用空位，以便为今后增添电缆使用；（7）槽式大跨距电缆桥架由室外进入建筑物内时,桥架向外的坡度不得小于1/100；（8）电缆桥架与用电设备交越时,其间的净距不小于0.5m；（9）两组电缆桥架在同一高度平行敷设时,其间净距不小于0.6m；（10）在吊顶内设置时,槽盖开启面应保持80毫米的垂直净空,线槽截面利用率不应超过50%；（11）布放在线槽249、的缆线可以不绑扎,槽内缆线应顺直,槽内缆线应顺直,尽量不交叉,缆线不应溢出线槽,在缆线进出线槽部位,转弯处应绑扎固定。垂直线槽布放缆线应每间隔1.5米固定在缆线支架上；（12）在水平、垂直桥架和垂直线槽中敷设线时,应对缆线进行绑扎。4对线电缆以24根为束,25对或以上主干线电缆、光缆及其它信号电缆应根据缆线的类型、缆径、缆线芯数分束绑扎。绑扎间距不宜大于1.5米,扣间距应均匀,松紧适度；（13）桥架水平敷设时,支撑间距一般为1.5-3m,垂直敷设时固定在建筑物构体上的间距宜小于2m；（14）桥架系统应具有可靠的电气连接并接地（只对金属桥架）；（15）墙上敷设的综合布线电缆、光缆及管线与其它管线250、的间距应符合建筑与建筑群综合布线工程系统设计规范GB/T50311-2000第11.0.2 条的规定。4.3.13.4.1.7 照明要求（1）机房内设置一般照明、应急照明（由UPS供电）、消防疏散照明、安全出口标志灯。设置单独照明配电箱，照明配电箱总电源从市电配电箱引入，照明系统由照明配电箱供电。各机房内另外设置照明控制开关；（2）机房内配套疏散照明灯和安全出口标志灯；（3）照明灯具应选用节能灯具；（4）照明设备选用铝合金、不锈钢反射弧罩灯盘。机房内安装的照明装置应使整个机房的照度均匀分布；（5）光管采用冷色温（5300k）荧光管，与灯盘相配效果柔和的，无眩光；（6）吊顶内的照明管线必须穿镀锌251、钢管明敷；（7）所有灯盘采用防火安全型电子镇流器，由于电子镇流器输出端为高频电压，既避免一般单相荧光管产生的交流频闪效应，也可避免普通镇流器起动时跳闪的现象；（8）照明灯具本体采用0.5mm高强度钢板；（9）机房照度不小于500Lx；应急照明照度不小于50Lx；机房疏散照明灯照度不小于5Lx；安全出口标志灯照度不小于0.5Lx。4.3.13.4.2 UPS不间断电源系统4.3.13.4.2.1 新建UPS输入输出柜（1）确定UPS配电柜后端机柜的设备容量（2）计算主机房有功计算负荷Pjs（Pjs=K*P）（3）计算UPS配电柜的无功计算负荷（Qjs=Pjs*tan，其中，tan取0.75）（4252、）计算UPS配电柜的视在计算负荷（Sjs= ）（5）计算UPS配电柜的计算电流（Ijs ）（6）确定UPS配电柜的型号计算可得，本期UPS输入柜配置要满足以下要求：额定输入电压（V）：380；输入端子：3P 250A*2个（旁路一个）；输出端子：3P 100A*5个，3P 50A*8个，1P 32A*10个。4.3.13.4.2.2 新建UPS电源主机（1）UPS电源作用UPS交流供电系统由市电和备用油机组成。市电作为主用电源，油机作为备用电源。当市电正常时，市电经UPS整流和逆变后给通信设备供电，此时蓄电池组处于浮充状态。当市电中断后（油机尚不及启动），蓄电池组通过逆变器给通信设备供电，此时253、蓄电池组处于放电状态。然后油机启动，油机发电经UPS整流和逆变后给通信设备供电，此时蓄电池组重新处于浮充状态。当市电恢复后柴油发电机停止供电，仍由市电供电，蓄电池组又回到浮充状态。当整流器或者逆变器发生故障时，经过UPS内部的静态开关自动转到故障旁路上，由市电直接给通信设备供电，此时蓄电池组处于开路状态。（2）UPS容量计算本期项目网络/服务器机柜按照3KW估算，一共10个机柜，有功功率为30KW，无功功率为22.5kvar，计算出视在功率37.5KVA，预留20%容量，计算可得46.875KVAUPS电源主机，建议配置1套50KVA UPS主机。4.3.13.4.2.3 新建UPS电池组（1254、）确定计算前所需技术参数1)UPS容量为50KVA；2)UPS外接电池标称电压直流240V；3)电池放电效率约为0.95；4)UPS电池逆变效率0.98；5)电池备用时间xh；6)UPS功率因数cos=0.8。（2）计算电池最大放电电流I=STcos/Ku；其中：SUPS的容量；电池逆变效率；K电池放电效率；U外接电池标称电压；T后备时间（放电2个小时）；Cos功率因数。（3）选用电池规格本期项目选用100AH-12V电池。（4）计算电池组数根据电池最大放电电流I= 179.02A，电池为100AH-12V，代入下面公式得到N=I/200A=179.02A/100=2取N=2，故需要2组电池并255、联。（5）确定每一组电池的数量由于UPS电源标称直流电压为240V，电池电压为12V，代入式得到N=U/12=240/12=20每一组蓄电池中采用20个100AH-12V电池串联，共2组并联。4.3.13.4.3 防雷接地系统4.3.13.4.3.1 防雷接地概述防雷接地系统是机房工程的重要组成部分，它不仅直接影响机房电子设备的通信质量和机房电源系统的正常运行，还起到保护人身安全和设备安全的作用。机房内通信系统、设备和装置的接地系统所包含的所有电气连接和器件包括建筑物的基础地和外设接地系统的接地体（地网）、接地引入线、接地汇集线、接地线，及与地网相连的电缆屏蔽层、与地相连的设备外壳或裸露金属部256、分、建筑物钢筋、构架在内的复杂系统及各类管线进行等电位连接，组成联合接地系统。联合接地系统示意如下： 图11： 联合接地系统示意图浪涌保护器（Surge Protective Devices 简称SPD）目前广泛用于各类通信、数据系统对各种雷电电流、操作过电压等进行保护的器件。SPD 可以分为：（1）开关型（间隙型）SPD（ Switching type SPD）安装在一般建筑物外, 用于电源系统的SPD，开关型SPD 由放电间隙、石墨等材料组成，或者由间隙和限压型器件组合的SPD。（2）限压型SPD Voltage limiting type SPD安装在防雷区建筑物内的SPD，可疏导8/2257、0s 的模拟雷电冲击电流。限压型SPD一般由氧化锌压敏电阻（MOV）或半导体放电管（SAD）等元器件组成，在通信局（站）推荐使用限压型SPD。另外由MOV 与滤波器、半导体放电管（SAD）与MOV 等电路可以组成混合SPD。机房内接地系统结构如下： 图12： 机房内接地系统结构系统设计四级防雷保护，大楼低压配电总屏采用一级保护、UPS 系统交流输入配电柜和高压直流系统交流输入配电柜采用二级保护、UPS 输出配电柜采用三级保护，各设备机柜(如服务器机柜)的小配电箱内采用交流精细保护。在UPS 系统交流输入配电柜和高压直流系统交流输入配电柜内安装第二级并联型电源电涌保护器（SPD），SPD 的通流258、量为80KA，最大放电电流：Imax=80kA。在UPS 二级配电柜内安装并联型电源电涌保护器（SPD），SPD 的通流量40KA，最大放电电流：Imax=40kA。在各设备机柜(如服务器机柜)的小配电箱内需配备并联型电源电涌保护器（SPD），SPD 的通流量为510KA。4.3.13.4.3.2 静电防护地板安装为减少静电对主机房设备产生危害，在距离300mm处敷设防静电地板，地板尺寸采用600mm*600mm*30mm全钢防静电地板。4.3.13.4.3.3 过电压防护过电压防护又称为浪涌保护，防止雷电击中供电线路，在机房线路上形成直击雷过电压，或因为雷击在线路和设备附近形成感应雷过电压，259、需要在机房配电线路上配置多级避雷器，采用三级防雷保护，如下图所示。 图13： 避雷器安装示意图（1）电源一级防雷保护在机房UPS配电间中的进线配电柜内，安装三相B级电源防雷器，进行电源第一级防雷保护，主要作用是泄放掉电源线路上大部分的雷电流，并联安装于主断路器的出线侧。（2）电源二级防雷保护在UPS前端安装二级防雷器，机房内UPS电源前端，安装三相C级电源防雷器，作为电源系统的第二级防雷保护，主要作用是限制电源线路上的过电压。备注：如果UPS产品本身都带有避雷器，可以不用在UPS处增设C级电源避雷器。（3）电源三级防雷保护在机柜上采用带有D级避雷器的PDU插座，作为机柜设备的电源末级防护，其作260、用是当发生能量大的雷击时，感应雷电流在经过B级、C级防雷器的泄放后，其残压仍然可能高于设备的最高耐压值，仍有可能使设备击穿，故在插座钱安装D级避雷。备注：如果PDU插座本身带有D级避雷器，可以不用再增设避雷器。4.3.13.4.3.4 机房接地机房接地示意图，如下图所示。 图14： 机房接地示意图（1）供电电源接地如上图所示，主机房的机柜、机架电源接地PE线采用6mm2铜导线连接，然后再连接到UPS配电间的配电柜的PE端子上，配电间的总接地采用16mm2铜导线连接到配电间的3号等电位联结箱的接地端子上，空调电源接地采用16mm2铜导线连接到主机房的1号等电位联结箱上。（2）等电位联结如上图所示261、，将主机房的机柜、机架、空调等设备的外壳采用6mm2铜导线连接到等电位联结网格上，并同时将各设备的PE线也连接到网格上，构成设备的等电位连接网格。将主机房中的其他附属设施，如金属桥架、金属管道、金属线管、建筑物金属构件以及防静电地板等附件采用6mm2铜导线连接到等电位网格上。（3）机房总接地从1号等电位联结箱引出一根16mm2的铜导线，采用穿钢管敷设，引出外墙连接到大楼墙柱钢筋上，使机房的接地达到国家标准的要求。 图15： 等电位连接示意图 图16： 等电位连接方式4.3.13.4.4 精密空调系统4.3.13.4.4.1 精密空调概述机房空气调节的主要目的是为机房中的设备提供一个温度和湿度相262、对恒定、稳定可靠的工作环境，并少量补充新风，保持数据中心为正压。因此，通过空气调节为机房设备创造一个可靠、稳定运行的工作环境便显得尤为重要。同时，本着合理利用和节约能源和资源，保护环境，保护质量和安全的原则，营造一个良好舒适的工作环境，对系统效率的充分发挥也是同等重要的。据相关数据显示，我国有超过一半的机房曾因为空调制冷问题出现过宕机现象。除了因制冷系统问题影响数据中心整体可用性外，耗电量大的问题也一直困扰着人们。在机房中，除了必不可少的IT负载，空调制冷设备的耗电量位列首席,浪费了大量电力。信息化已经到了买得起但用不起的地步。由此可见机柜散热问题已经成为数据中心建设时必须考虑的问题，当一个机263、柜全部装满之后，不能很好散热，服务器等系统的稳定性就得不到保证，为了实现散热就只有加大空调的制冷能力。研究发现，空调制冷设备的电力消耗最高峰时能达到整个数据中心电力消耗的2/3，这些无谓的消耗也加剧了电力供应的紧张。但加大制冷并没有从根本上解决问题，研究发现有些数据中心，空调温度调得很低，但散热的效果并不好。4.3.13.4.4.2 机房环境(1)负荷组成电子信息设备和其它设备的散热量应按产品的技术数据进行计算。2)机房空调系统夏季的冷负荷应包括下列内容：机房内设备的散热；建筑围护结构的传热；通过外窗进入的太阳辐射热；人体散热；照明装置散热；新风负荷。伴随各种散试湿过程产生的潜热。2)空调系统264、湿负荷应包括下列内容：人体散湿、新风负荷。(2)空调制冷量计算机房的得热量主要来自两个方面：1)机房内的服务器、交换机、计算机、其他有源电信设备、照明灯具、辅助设施及工作人员所产生的热量。通信设备散热量应以其运行功率为基数（在未知其实际运行功率的情况下，宜以安装功率为基数）乘以设备的散热系数来计算，散热系数应根据其类型和性质取值。2)室内的计算机、照明灯具、辅助设施及工作人员所产生的热量；由机房外部进入的热（建筑维护结构），如：从墙壁、屋顶、隔断和地面传入机房的热量；透过玻璃窗进入的太阳辐射热量；从窗户及门的缝隙渗入的风而侵入的热量；空调补充新风带进来的热量等。 拟新建机房规划功耗3KW，IT265、机柜10架，103=30KW，设备总功耗30KW。机房设备等效热量30*0.8=24KW，设备满装后机房得热量估算见下表：得热量估算表序号机房位置机房设备围护结构传热(KW)开关门进热(KW)维护人员产热(KW)照明及其它产热(KW)得热量合计(KW)备注等效热量(KW)1新建机房24310.51.530满装根据以上得知机房得热量为30kW。即需要实际配置的空调总功率约为30kW。4.3.13.4.5 新风系统根据规范要求，计算机房的新风量必须满足下列要求：1)不小于专用空调总风量的5%；2)满足机房的室内外静压差(10Pa)；3)满足人均新风量不小于40 m3/小时。按机房总风量7000 m266、3/小时考虑，5%的风量为350 m3/小时，市场上的新风机品牌和种类较多，因此选用风量1000m3/h的全热交换新风机组1台。新风管根据现场情况采取顶贴梁敷设，根据规范要求，机房须保持微正压，机房排风需经过余压阀排至室外，机房区安装有余压阀，当室内正压过高时室内空气经余压阀排出室外。进、排风口距离要求：1)进风口应直接设置在室外空气较清洁的地点，应尽量设在排风口的上风侧且应低于排风口；2)进、排风口的底部距室外地坪不宜小于2m，当进风口设在绿化地带时，不宜小于1m；3)事故排风的排风口不应布置在人员经常停留或经常通行的地点。4.3.13.4.6 气体消防系统4.3.13.4.6.1 消防系统267、概述消防系统是由灭火剂贮存装置在规定时间内向防护区喷射灭火剂，使防护区内达到设计所要求的灭火浓度，并能保护一定的浸渍时间，以达到扑灭火灾，而不再复燃效果的灭火系统。这种灭火系统的特点是防护区内任何位置均能形成足够的、均匀的灭火剂浓度，并足以扑灭火灾。（1）系统组成消防系统由灭火剂贮存容器、容器阀、管道、喷头、操作系统及附属装置等组成。（2）工作原理系统的启动方式有手动式和自动式两种，并且可以动转换。其原理是：当防护区发生火灾，火灾探测器首先感觉到火灾的存在，向消防控制中心发出火灾信号，控制中心发出火灾报警。此时，有关人员可视火灾情况适当处理。如果人可以将火扑灭，就将灭火系统切断，待火灾处理后再268、使系统恢复正常状态；若防护区无人或者人工不能将火扑灭，人员赶快撤离防护区。在火灾报警器延时约30s后，自动打开启动气瓶，瓶中高压N2或CO2气体将灭火剂贮存容器及相应的选择阀打开，灭火剂释放到着火防护区实施灭火。消防控制中心在发出火灾报警的同时，使联动装置动作，关闭开口，停止空调，确保灭火。（3）七氟丙烷灭火系统本期项目新建机房项目采用七氟丙烷全套灭火系统装置。七氟丙烷气体灭火系统是以“洁净气体”七氟丙烷*（HFC-227ea）作为灭火剂的灭火系统。灭火剂特点是无色、无味、清洁、低毒、不导电，电绝缘性好，灭火后无污渍，能很快散逸，灭火效率高，灭火迅速，对大气臭氧层无破坏作用，在灭火浓度为10%269、以下，对人体基本无害。可在常温下低压液化储存，对单一保护空间而言灭火剂用量少，储存容器占地面积小，灭火剂储存安全性好，在灭火剂中，其洁净性最好，目前被公认为是替代卤代烷灭火剂的理想产品。该产品是以化学灭火为主，即通过惰化火焰中的活性自由基，实现断链灭火。4.3.13.4.6.2 七氟丙烷气体容量计算防区的体积（容积）*海拔修正系数*设计浓度/七氟丙烷x（环境温度）时的过热蒸气比容*（100-设计浓度）得出涉及用量 。1、主机房、UPS室七氟丙烷气体容量计算过程防区的体积（容积）*海拔修正系数*设计浓度/七氟丙烷x（环境温度）时的过热蒸气比容*（100-设计浓度）得出涉及用量 。机房面积为38平270、方，净高为2.7米，机房体积为102.6m3。正常环境温度为25，设计浓度为8.3，海拔修正系数为1 那么计算公式如下：(1)七氟丙烷25时的过热蒸气比容s，按下式计算： S=K1+K2T=0.1269+0.00051325= 0.140 m3/Kg(2)防护区灭火设计用量或惰化设计用量按下式计算： W=K*V*C/S(100-C)=1.0102.68.30/(0.140(100-8.30)=26.17Kg 得出用量为66.33kg，本期七氟丙烷容量配置70kg。4.3.13.4.7 动力环境监控系统通过机房综合监控系统的建设，实现“集中监控、集中维护、统一管理”的维护管理模式，对各个机房进行271、集中实时监控和报警管理，将机房内IT设备、UPS电源、智能空调、配电系统、温湿度监测、漏水监测、消防监测、防雷监测、新风设备、视频监控等集中在一个统一平台上实现集中监控以及各种对外报警方式，并结合机房管理制度，对所有的信息、报警事件进行记录，可通过报表管理程序进行查询、确认、排序、打印等操作，为机房提供一个稳定、安全的机房安全保障。实现全方位对信息机房的监控，同时配合综合运营管理平台，按照标准的运营服务体系，及时的、有效的对机房进行维护，确保整体营运平台正常运行。本期工程将配电电源系统、UPS电源、精密空调、环境参数整合在一起，由统一的平台进行监测各个设备的运行状态，若出现设备故障时及时通过配272、置的短信机、电话机、邮件等方式进行报警通知管理员，及时作出应急处理。利用的管理平台进行各个设备运行状态的数据查询、统计并存档处理。监控系统主要包括三个部分构成：监控装置、传输通道、监控中心。如图一为监控网络拓扑图，采用专网链路接入监控网可以做到全部联网。1、系统功能机房监控系统主要包含有以下部分：空调监控、UPS后备电源监控、配电柜参数监控，漏水监视、温湿度监测、电子邮件报警、短信报警、声光报警、网络报警客户端显示等。1)监控主机配电系统监控配电电量监测配电开关监测配电列头柜监测配电UPS监控空调监控系统2)机房环境系统监测温湿度监测漏水监测监控中心集中监控软件多种报警方式2、系统特点1、客户273、端浏览方便2、策略配置灵活3、数据查询和统计人性化4、报警响应快速5、支持多种网络结构6、用户权限管理方便实用7、安全性高、稳定性强，带自检自愈功能8、拥有手机远端监视功能9、系统扩展功能强大，二次开发接口齐全 10、绿色节能，功耗低3、系统平台1)运行环境运行于Windows2003操作系统上，支持RS232、RS485、RS422、TCP/IP、XML等多种接口和协议。数据库接口完全开放，支持和第三方网管平台对接。2)系统全中文界面3)权限管理；4)数据管理；5)系统稳定、安全；6)报警管理；7)远程管理；8)报表管理；9)在线维护；10)可扩充性。4、机房安防系统1）视频监控系统构成系统274、主要由三部分组成:前端网络高清摄像机、NVR。2）视频前端监控点摄像点根据具体监控点的位置和功能选择,根据机房实地情况，中心机房设备机柜通道处放置200万红外高清半球摄像机。 3）视频监控服务器配置NRV进行存储（30天），用户可通过局域网上任一台计算机登录到服务器系统，对图像进行监视、查询、录像回放等。4）门禁系统机房采用一体化门禁系统，机房内为了控制无关人员进入和对机房出入进行记录，应该安装门禁装置。设计了机房的IC卡门禁系统，配合电控锁，对机房进行门禁控制。第5章 系统功能及主要经济技术指标5.1 系统功能(1)审判管理网络化适应审判流程管理的需要，利用诉讼管理系统，对每一起案件，从立案275、审理、结案、评查、执行、归档、统计等各个环节都在网上运行，通过程序设定和对应输入审判要素的规定，实现对案件的全过程监督、全方位管理，实现外网和内网的有机结合。(2)庭审活动科技化不断提升对审判法庭的科技含量，充分优化和整合信息网络资源，依托数字化监控体系和现成的网络基础，建成科技审判法庭，实现真正意义上的 “网上法庭”。科技审判法庭是一个集计算机网络技术、数字化音视频技术、多媒体图像技术、自动控制技术和数据库技术为一体的综合性应用平台，构建成一个功能完善、操作便捷、可视性好，能适合各类证据举证的庭审证据展示系统。它能够进一步拓展科技在审判工作中的应用范围，使审判工作的各个环节纳入计算机网络化276、管理，形成一个畅通的信息环流，构成了法院各类资源齐全、充分共享的应用平台。(3)机关办公无纸化推行“网上办公”，充分利用网络空间，积极发展电子政务，取消纸质文件的内部发放。各种材料的起草、签发、印制和政务信息以及下发通知、安排任务全部在网上运作、公布，全面实现办公无纸化，这样在很大程度上，能够节约办公经费，降低办公成本。5.2 主要经济技术指标XX市秀英区人民法院XX法庭大楼信息化建设项目经济技术指标分析如下表所示：费用构成投资比例名称费用(万元)以总费用为100%以设备费用为100%设备费312.98 78.47%100.00%安装工程费31.30 7.85%10.00%其它费用34.75 277、8.71%11.10%预备费19.85 4.98%6.34%合计398.87 100.00%127.44%本期秀英区人民法院XX法庭大楼信息化建设项目完成投入使用后，可以提高秀英区人民法院XX法庭业务效率、转变工作方式、增强处置突发事件能力、解放基层警力、提高工作精度和准度，提高司法行政工作服务经济社会发展能力和水平具有十分重要的意义。无论是从所产生的经济效益或是社会效益上来看，本工程是合理的。第6章 建设工期及时间安排6.1 建设工期本期工程，涉及面广，实施难度较高。综合考虑实际业务需要、项目管理能力和项目风险控制等各种因素，本项目建设周期预计为10个月。根据本期工程建设任务，综合考虑项目立278、项、规划及可行性研究、招投标、系统定制、实施等因素制定项目计划。6.2 时间安排本期工程大致可以划分为立项可研、规划设计、设计开发、推广应用、总结验收五个阶段，各个阶段交叉进行，每个阶段的结束时间是本阶段的里程碑，但不是下一阶段的开始时间(一般会提前)，工作可回溯，可迭代。本期工程如同时进行建设，需考虑统一施工协调。因此实际建设中，建议建设条件成熟一个，启动一个，分批分步建设。第7章 项目单位概述7.1 项目承担单位项目承担单位：XX市秀英区人民法院。7.2 项目承担单位职责XX市秀英区人民法院是国家审判机关，依法行使审判权，对XX市秀英区人民代表大会和XX市秀英区人民代表大会常务委员会负责并279、报告工作。其主要职责是：（一）依法审判法律规定由XX市秀英区人民法院管辖的刑事、民商事、行政等一审案件。（二）依法审判由上级法院指定管辖和交办的刑事、民商事、行政等案件。（三）受理不服本院生效裁判的各类申诉和再审申请，对其中确有错误的，提起再审。（四）依法审判由人民检察院按照审判监督程序提出的抗诉案件。（五）执行本院已发生法律效力的判决、裁定以及法律规定应当由基层人民法院执行的其他生效法律文书和外省市区法院协助执行和委托执行的案件。（六）对法律、法规、规章等草案提出意见；针对案件审理中发现的问题提出司法建议；负责对司法工作中有关问题的专题调查和研究。（七）负责并抓好本院干警的思想政治教育、业务280、培训；按权限管理法官、执行员、书记员、司法警察和司法行政人员。（八）依照规定协同区编委、组织人事部门管理本院的机构、人员编制工作和干部考核、培养、使用工作。（九）负责本院的司法行政工作，依法管理本院的有关经费和物资装备。（十）在审判工作中宣传法制，教育公民自觉遵守宪法、法律；参与社会治安综合治理。（十一）负责本院的监察工作。（十二）承办其他应由本院负责的工作。第8章 投资估算及资金说明8.1 项目总投资估算项目总投资：本项目工程总投资概算为478.24万元，工程费为412.16万元，工程建设其他费为52.15万元，预备费为13.93万元。表3： 项目总投资统计表序号项目名称金额(万元)占比备注281、一、工程费412.16 86.18%1、综合布线系统27.65 5.78%1.1、政务外网综合布线4.31 0.90%1.2、政务专网综合布线4.31 0.90%1.3、语音网布线1.11 0.23%1.4、有线电视布线1.09 0.23%1.5、诉讼服务中心布线0.58 0.12%1.6、信息发布系统布线0.55 0.12%1.7、公共广播系统布线5.95 1.24%1.8、科技法庭布线6.40 1.34%1.9、视频监控布线1.67 0.35%1.10、智能访客系统以及其他系统布线1.67 0.35%2、网络系统10.08 2.11%2.1、政务外网网络设备5.04 1.05%2.2、政务282、专网网络设备5.04 1.05%3、网络安全系统42.83 8.96%3.1、政务外网安全设备23.02 4.81%3.2、政务专网安全设备19.82 4.14%4、信息发布系统42.52 8.89%4.1、室内LED显示系统 39.12 8.18%4.2、单屏信息发布系统3.40 0.71%5、科技法庭28.91 6.05%6、诉讼服务中心7.81 1.63%7、视频监控系统21.12 4.42%8、智能访客系统39.62 8.28%8.1、人员定位系统25.57 5.35%8.2、周界报警系统2.24 0.47%8.3、出入口智能访客系统11.81 2.47%9、公共广播系统10.47 2283、.19%10、无纸化会议系统27.97 5.85%11、集中控制中心系统44.46 9.30%11.1、信息显示屏及控制系统23.86 4.99%11.2、音响扩声系统12.60 2.63%11.3、业务集成接入系统8.00 1.67%12、信息安全服务10.50 2.20%13、机房配套系统69.35 14.50%13.1、机房装修部分24.84 5.19%13.2、UPS不间断电源系统13.65 2.85%13.3、机房照明系统7.38 1.54%13.4、机房防雷接地系统9.42 1.97%13.5、空调系统3.40 0.71%13.6、新风系统3.50 0.73%13.7、气体消防系统284、2.68 0.56%13.8、机房监控系统4.48 0.94%14、系统集成费28.87 6.04%二、工程建设其他费52.15 10.91%项目建设管理费9.56 2.00%项目建议书编制费2.10 0.44%项目建议书评估费1.41 0.30%可行性研究报告编制费6.10 1.28%可行性研究报告评估费1.99 0.42%勘察设计费20.04 4.19%建设工程监理费6.01 1.26%工程招标代理费4.93 1.03%三、预备费13.93 2.91%项目总投资478.24 100.00%8.2 资金筹措方式及来源(1) 资金筹措方式：建设单位筹集资金；(2) 资金来源：XX市财政资金。8285、.3 投资估算的有关说明8.3.1 投资估算说明本项目投资估算根据国家发展改革委、建设部发布的建设项目经济评价方法与参数（第三版），参照海南省内及国内类似工程的费用水平，并考虑物价水平对本项目的影响等因素而编制。相关的费率取定遵循如下原则：1)本项目总投资为工程建设费、工程建设其他费和预备费用之和。工程建设费包括硬件设备费和软件及服务费；工程建设其他费包括建设单位管理费、工程监理费、工程设计费、可研编制费、可研评审费等。2)硬件设备费：根据对同行业主流成熟产品市场询价，并适当考虑政府采购的优惠。3)软件及服务费：根据对同行业主流成熟产品市场询价，并适当考虑政府采购的优惠。4)软件开发费：按照设286、计、开发、测试的人月数估算；造价按1.5万/人月估算。5)项目建设管理费：根据财建2016504号计列。6)建设工程监理费：根据发改价格2007670号中工程监理费取费要求计算。7)勘察设计费：根据计价格200210号文件中工程设计费取费要求计算，计列初步设计费用。8) 预备费按工程建设费与工程建设其他费之和的3%估列。8.3.2 投资估算依据1） 国家发改委2007年第55号令国家电子政务工程建设项目管理暂行办法。2）财建2002394号关于印发基本建设财务管理规定的通知。3） 计价格19991283号关于印发建设项目前期工作咨询收费暂行规定的通知。4）计价格200210号勘察设计费取费依据287、“工程勘察设计收费管理规定。5）发改价格2007670号建设工程监理与相关服务收费管理规定。6）发改高技20082071号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知。7）计价格20021980号招标代理服务收费管理暂行办法。8）中国软件行业协会软件工程定额标准。9）工程勘查设计收费标准国家发展改革委和建设部联合发布。10）关于涉密计算机、通信和办公自动化设备定点维修维护管理的规定。11）信息系统工程造价指导。12）相关设备、系统厂家报价。第9章 效益与评价指标分析9.1 经济效益随着信息时代的到来，计算机多媒体技术的迅猛发展，网络技术的普遍应用，大到世界各行业特定政府机关、国家288、政法机关或大型调度中心的建立，小到各工矿建设单位会议、技术报告及讲座的进行，对现代视讯展示、数码电声处理、自动化电器处理等组成的多媒体声光像系统的渴望越来越强烈，而传统的模拟电子技术很难满足人们在这方面的要求。本期项目的建设首先带动信息产业的发展。全面推进秀英区人民法院XX法庭信息化建设工作，加快法院信息化建设步伐，实现法院信息化系统的跨越式发展，提高人民政府工作效率，提升对社会公众的服务能力和水平。另外，本期项目的建设对法院工作在思维模式转变和信息化认识提高方面具有重要的意义。对法院办案提高科技和信息化水平；对于基层、工作、办案、都很需要；对于信息技术，要用好、用活、用到关键上，提高服务人民289、质量起到积极的作用。9.2 社会效益随着信息技术，特别是网络技术的高速发展，信息化成为省内外普遍关注的一个焦点。对法院信息化的建设是为能适应信息社会的要求，以提升法院管理的有效性、满足社会及公众对法院公共管理和公共服务的需求为目标，运用信息技术、通讯技术、网络技术以及办公自动化技术等现代信息手段，对传统的管理和公共服务进行改革而形成的精简、高效、廉洁、公平的管理运作模式。附件：项目总投资估算表序号产品名称参数参考品牌单位数量单价小计一、工程费4121595.32 1、综合布线系统276477.00 1.1、政务外网综合布线43108.00 1六类RJ45非屏蔽模块六类非屏蔽模块 大唐电信个71290、35.00 2485.00 2单口面板单口面板大唐电信个718.00 568.00 3接线底盒86底盒雄塑个715.00 355.00 4六类非屏蔽网络跳线六类非屏蔽RJ45-RJ45跳线（3米）大唐电信条7145.00 3195.00 5面板标签面板标签定制个711.00 71.00 6电缆标签电缆标签定制张711.00 71.00 7六类非屏蔽双绞线六类非屏蔽双绞线大唐电信箱6850.00 5100.00 8配线架24口6类非屏蔽配线架大唐电信条21265.00 2530.00 9理线架理线架大唐电信块2122.00 244.00 10六类非屏蔽网络跳线RJ45-RJ45跳线（1米）大唐电291、信条7159.00 4189.00 1112芯多模光缆大唐电信米162012.00 19440.00 12PVC管2020雄塑米16203.00 4860.00 1.2、政务专网综合布线43108.00 13六类RJ45非屏蔽模块六类非屏蔽模块 大唐电信个7135.00 2485.00 14单口面板单口面板大唐电信个718.00 568.00 15接线底盒86底盒雄塑个715.00 355.00 16六类非屏蔽网络跳线六类非屏蔽RJ45-RJ45跳线（3米）大唐电信条7145.00 3195.00 17面板标签面板标签定制个711.00 71.00 18电缆标签电缆标签定制张711.00 71292、.00 19六类非屏蔽双绞线六类非屏蔽双绞线大唐电信箱6850.00 5100.00 20配线架24口6类非屏蔽配线架大唐电信条21265.00 2530.00 21理线架理线架大唐电信块2122.00 244.00 22六类非屏蔽网络跳线RJ45-RJ45跳线（1米）大唐电信条7159.00 4189.00 2312芯多模光缆大唐电信米162012.00 19440.00 24PVC管2020雄塑米16203.00 4860.00 1.3、语音网布线11119.00 25RJ11语音插座模块RJ11语音插座模块大唐电信个2714.00 378.00 26单口面板单口面板大唐电信个278.00293、 216.00 27接线底盒86底盒大唐电信个275.00 135.00 28面板标签定制定制张271.00 27.00 29电缆标签定制定制张271.00 27.00 304芯电话线4芯电话线大唐电信米16205.00 8100.00 31电缆100对大唐电信米2055.00 1100.00 32110式100回配线架110式100回配线架大唐电信条2392.00 784.00 33理线盘理线盘大唐电信块2122.00 244.00 34配线架标签配线架标签定制条427.00 108.00 1.4、有线电视布线10938.00 35电视终端插座I86TV，电视终端插座国产个141.00 41294、.00 36底盒86型，底盒国产个141.00 41.00 37总分配放大器4735，总分配放大器杰士美个18500.00 8500.00 3875欧姆匹配终端75欧姆匹配终端国产个16.00 6.00 39室内有线电视箱400*500*180mm（定制）定制个1850.00 850.00 40同轴电缆SYWV75-7广东粤道米5019.00 950.00 41同轴电缆SYWV75-5广东粤道米505.00 250.00 42PVC管20雄塑米1003.00 300.00 1.5、诉讼服务中心布线5810.00 43强电插座5孔国产套1230.00 360.00 44电源线RVV2*4广东粤道295、个3006.00 1800.00 45超五类非屏蔽双绞线超五类非屏蔽双绞线大唐电信米3002.50 750.00 46PVC管20雄塑米3003.00 900.00 47设备安装辅材耗材及各式配件等国产批12000.00 2000.00 1.6、信息发布系统布线5500.00 48电源箱电源箱定制个1400.00 400.00 49超5类4对UTP电缆(305米/箱)超5类4对UTP电缆(305米/箱)大唐电信箱2650.00 1300.00 50信号线RVV2*1.0粤道米6003.00 1800.00 51辅材辅材国产批12000.00 2000.00 1.7、公共广播系统布线59478.296、00 523.5（耳机插头）-双6.35话筒插头T-A1.8，1.8米ITC/3a/listen条142.00 42.00 53三极电源插头T-B1.8，1.8米ITC/3a/listen条142.00 42.00 54超五类8芯网线1.8米ITC/3a/listen条142.00 42.00 55水晶头RJ45屏蔽水晶头国产盒152.00 52.00 56屏蔽超五类网线超五类非屏蔽网线大唐电信箱2650.00 1300.00 57广播专用音箱线（主线）RVVP2*2.5国产米10007.00 7000.00 58广播专用音箱线（支线）RVVP2*1.5国产米80005.00 40000.00297、 59PVC2020雄塑米28003.00 8400.00 60辅助线材含安装装配件、电源插排、插座等国产批12600.00 2600.00 1.8、科技法庭布线64000.00 61RGBHV线缆RGBHV线缆定制米40023.00 9200.00 62麦克风话筒线RVVP2*0.75广东粤道米40011.00 4400.00 63音箱金银线音箱金银线广东粤道米20011.00 2200.00 64数字高清视频线HD-SDI 75-5高清线广东粤道米40023.00 9200.00 65摄像机电源线RVV2*0.75广东粤道米4005.00 2000.00 66电源线RVV3*2.5广东粤道298、米4008.00 3200.00 67网络线六类双绞线大唐电信箱4850.00 3400.00 68HDMI线缆HDMI线缆广东粤道米40026.00 10400.00 69音频线RVVP4*0.75广东粤道米4008.00 3200.00 70摄像机控制线RVVP2*1.0广东粤道米4006.00 2400.00 71接插件含网络、视频、音频、电源接口插座配制批42700.00 10800.00 72PVC管20雄塑米12003.00 3600.00 1.9、视频监控布线16708.00 7312芯多模光缆大唐电信米80012.00 9600.00 74PVC管2020雄塑米8003.00 299、2400.00 75光电转换器大唐电信套41000.00 4000.00 76六类非屏蔽网络跳线RJ45-RJ45跳线（1米）大唐电信条1259.00 708.00 1.10、智能访客系统以及其他系统布线16708.00 7612芯多模光缆大唐电信米80012.00 9600.00 77PVC管2020雄塑米8003.00 2400.00 78光电转换器大唐电信套41000.00 4000.00 79六类非屏蔽网络跳线RJ45-RJ45跳线（1米）大唐电信条1259.00 708.00 2、网络系统100800.00 2.1、政务外网网络设备50400.00 80汇聚交换机应用层级:三层盒式交300、换机；传输模式：支持双绞线、光纤传输介质；支持网络标准：支持IPV4、IPV6等三层网络标准协议，支持RIP、RIGNG；支持IRF2智能弹性架构；支持缓存调度机制；具备大表项能力；端口数量：52个；接口描述：48个10/100/1000M以太网电接口，其中2对Combo口+2个1G/10G以太网光接口；扩展槽情况：1个；管理方式：标准的SNMP管理协议，支持Console/AUX Modem/Telnet/SSH2.0 命令行配置；其它：具有360Gbps的交换容量和132Mpps的包转发率；双电源；保修情况：默认三年保修。华三/华为/锐捷台136000.00 36000.00 81接入交换301、机应用层级:二层盒式交换机；传输模式：支持双绞线、光纤传输介质；支持网络标准：支持IPV4、IPV6等二层网络标准协议,支持RIP；24口10/100/1000M自适应电口交换机，4个SFP光口华三/华为/锐捷台34800.00 14400.00 2.2、政务专网网络设备50400.00 82汇聚交换机应用层级:三层盒式交换机；传输模式：支持双绞线、光纤传输介质；支持网络标准：支持IPV4、IPV6等三层网络标准协议，支持RIP、RIGNG；支持IRF2智能弹性架构；支持缓存调度机制；具备大表项能力；端口数量：52个；接口描述：48个10/100/1000M以太网电接口，其中2对Combo口+302、2个1G/10G以太网光接口；扩展槽情况：1个；管理方式：标准的SNMP管理协议，支持Console/AUX Modem/Telnet/SSH2.0 命令行配置；其它：具有360Gbps的交换容量和132Mpps的包转发率；双电源；保修情况：默认三年保修。华三/华为/锐捷台136000.00 36000.00 83接入交换机应用层级:二层盒式交换机；传输模式：支持双绞线、光纤传输介质；支持网络标准：支持IPV4、IPV6等二层网络标准协议,支持RIP；24口10/100/1000M自适应电口交换机，4个SFP光口华三/华为/锐捷台34800.00 14400.00 3、网络安全系统428300303、.00 3.1、政务外网安全设备230150.00 84FW防火墙多核AMP+架构，网络处理能力4G，并发连接180万，每秒新建连接6万/秒，1U机箱，单电源，标准配置6个10/100/1000M自适应电口，另有1个扩展板卡插槽,1个Console口， 含3年硬件维修服务3年病毒防护模块与特征库升级服务360网神/绿盟/深信服台133900.00 33900.00 85IPS入侵防护系统吞吐200M，1U机箱，单电源；4个10/100/1000M自适应电口（其中1个管理口、1个HA口、2个业务接口）；内置1路电口Bypass；含3年硬件维修、3年IPS特征库升级服务360网神/绿盟/深信服台1304、43000.00 43000.00 86网络接入系统包括硬件平台，600Mbps吞吐量，仅支持1000终端以下环境。1个串口，6个千兆以太网电口，1TB SATA硬盘，单电源，1U机箱。含3年标准维保服务。准入模块授权，包含：应用准入打点功能、802.1x认证客户端功能、合规检查功能、隔离修复、动态VLAN切换、配合相关策略实现网络访问控制、相关客户端交互配置等功能，并与服务器通信，接收控制中心管理所需入网策略配置和上报入网数据等信息。360网神/绿盟/深信服台176250.00 76250.00 87上网行为管理系统1U硬件，标配6个千兆电接口（其中含1个管理接口和1个HA接口），提供1个扩305、展插槽，128G SSD硬盘，单交流电源。最大并发连接数为50万，最大新建连接数为20000个/秒；含3年硬件质保服务，3年软件版本与协议库升级。360网神/绿盟/深信服台132000.00 32000.00 88终端安全管理系统终端审计功能：统计软件运行的活动状态、外设使用日志、开关机日志、系统帐号日志、文件操作日志、文件打印日志、邮件日志等功能。防病毒功能：支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能。补丁管理功能：支持对全网终端系统漏洞发现、补丁智能修复、强制修复等、蓝屏修复、补丁分发流量控制、客户端P2P补丁分发加速等功能。306、运维管控功能:支持对终端上传下载速度与流量进行管控；支持对各种外接设备进行外联控制，并根据违规外联发生时内外网连接状态分别设置违规处理措施；支持终端进程的黑白红名单设置；支持网址黑白名单策略；支持对终端各种外设、接口设置使用权限；支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查进行管控策略配置。客户端系统默认支持Windows XP/VISTA/WIN7/WIN8/WIN10，含3年服务；含终端安全管理系统硬件服务器1台。360网神/绿盟/深信服套145000.00 45000.00 3.2、政务专网安全设备198150.00 89FW防火墙多核AMP+架构，网络处理能力4G，并发连接180万，每秒新建连接6万/秒，1U机箱，单电源，标准配置6个10/100/1000M自适应电口，另有1个扩展板卡插槽,1个Console口， 含3年硬件维修服务3年病毒防护模块与特征库升级服务360网神/绿盟/深信服台133900.00 33900.0