《SF∕T 0008-2017 全国司法行政信息化总体技术规范(司法).pdf》由会员分享,可在线阅读,更多相关《SF∕T 0008-2017 全国司法行政信息化总体技术规范(司法).pdf(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.240.01 L67 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 00082017 全国司法行政信息化总体技术规范 General technology specification of informatization for administration of justice 2017-03-31 发布 2017-04-01 实施 中华人民共和国司法部 发 布 SF/T 00082017 I 目 次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语、定义和缩略语.1 3.1 术语和定义.1 3.2 缩略语.2 4 总体说明.3 5 基
2、础设施技术要求.3 5.1 数据中心建设要求.3 5.2 指挥中心建设要求.9 5.3 司法行政通信系统建设要求.9 5.4 物联网感知控制技术要求.11 6 信息资源交换要求.11 7 平台技术要求.11 7.1 司法行政网络建设技术要求.11 7.2 司法行政应用支撑平台.11 7.3 指挥中心.12 7.4 公共法律服务平台.12 7.5 大数据应用平台技术规范.12 8 安全技术要求.12 8.1 安全基础设施.12 8.2 信任服务系统.13 8.3 物理安全防护要求.14 8.4 网络安全防护要求.14 8.5 主机安全防护要求.15 8.6 应用安全防护要求.16 8.7 数据安
3、全防护要求.16 8.8 移动办公安全防护要求.17 8.9 隔离交换安全要求.18 8.10 综合安全监管要求.19 9 应用技术总体要求.20 9.1 开发原则.20 9.2 总体技术规范.20 9.3 支撑平台要求.21 SF 00082017 II 9.4 规范性要求.21 9.5 硬件环境要求.22 10 项目管理要求.22 10.1 概述.22 10.2 项目准备阶段.22 10.3 项目审批阶段.22 10.4 项目实施阶段.22 10.5 项目竣工验收.22 11 运维管理要求.22 参考文献.24 SF/T 00082017 III 前 言 本标准依据 GB/T 1.1-20
4、09 给出的规则起草。本标准由司法部信息中心提出并归口。本标准主要起草单位:司法部信息中心、中国电子科技集团公司。SF/T 00082017 1 全国司法行政信息化总体技术规范 1 范围 本标准规定了全国司法行政信息化的总体说明、基础设施技术要求、信息资源交换要求、平台技术要求、安全技术要求、应用技术总体要求、项目管理要求和运维管理要求等。本标准适用于全国司法行政信息化工程的总体设计、建设、管理和应用指导。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25
5、056 信息安全技术 证书认证系统密码及其相关安全技术规范 GB 50019 采暖通风与空调调节设计规范 SF/T 0009 全国司法行政系统指挥中心建设技术规范 SF/T 0011 全国司法行政信息资源交换规范 SF/T 0012 全国司法行政系统网络平台技术规范 SF/T 0013 全国司法行政公共法律服务平台建设技术规范 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。3.1.1 云计算 cloud computing 一种通过网络统一组织和灵活调用各种ICT信息资源,实现大规模计算的信息处理方式。云计算利用分布式计算和虚拟资源管理等技术,通过网络将分散的ICT资
6、源(包括计算与存储、应用运行平台、软件等)集中起来形成共享的资源池,并以动态按需和可度量的方式向用户提供服务。用户可以使用各种形式的终端(如PC、平板电脑、智能手机甚至智能电视等)通过网络获取ICT资源服务。YD/T 5227-2015,定义 2.2.2 3.1.2 云计算服务 cloud computing service 使用定义的接口,借助云计算提供一种或多种资源的能力。3.1.3 资源池 resource pool SF 00082017 2 一组物理资源或一组虚拟资源的集合,可以从池中获取资源,也可将资源回收到池中。资源包括物理机、虚拟机、存储资源、虚拟网络设备、物理网络设备和IP地
7、址等 YD/T 5227-2015,定义 2.1.2 3.1.4 云计算平台 cloud computing platform 云服务商提供的云计算基础设施及其上的服务软件的集合。3.1.5 云计算环境 cloud computing environment 云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。3.1.6 云服务商 cloud service provider 云计算服务的供应方。3.1.7 面向服务的体系结构 Service-Oriented Architecture 是一个组件模型,它面向组织的整体业务要求,将应用程序(或系统)的不同功能单元(服务)通
8、过之间定义良好的接口和契约联系起来,通过服务之间松耦合,实现信息系统的连通和标准化的集成、系统之间的信息的共享、系统之间的逻辑功能复用、跨系统的综合流程、面向不同人员的统一展现等目标,从而实现组织的整体业务管理。3.2 缩略语 下列缩略语适用于本文件。B/S 浏览器/服务器(Browser/Server)C/S 客户机/服务器(Client/Server)CMMI 软件能力成熟度集成模型(Capability Maturity Model Integration)HTTP 超文本传输协议(Hyper Text Transfer Protocol)HTTPS 超文本安全传输协议(Hyper Te
9、xt Transfer Protocol over Secure Socket Layer)HSS 归属用户服务器(Home Subscriber Server)IMS 多媒体系统(IP Multimedia System IP)IP 因特网协议(Internet Protocol)PBX 用户级交换机(Private Branch Exchange)PSTN 公共交换电话网络(Public Switched Telephone Network)SOA 面向服务的体系结构(Service-Oriented Architecture)SSL 安全套接层(Secure Socket Layer)S
10、S 软交换(Software Swtich)SIP 会话初始协议(Session Initial Protocol)UML 统一建模语言或标准建模语言(Unified Modeling Language)UPS 不间断电源(Uninterruptible Power System/Uninterruptible Power Supply)VLAN 虚拟局域网(Virtual Local Area Network)SF/T 00082017 3 XML 可扩展标记语言(eXtensible Markup Language)4 总体说明 全国司法行政信息化技术架构见图1。公共服务公共服务综合执法管
11、理综合执法管理应急指挥应急指挥 业务应用层音视频服务大数据分析平台(云)物联网数据接入平台主机、服务器存储备份云安全设备数据中心基础设施报警传感器摄像头周界报警电子手环北斗终端无人机及管制设备司法行政信息化安全保障体系司法行政信息化运行维护体系司法行政信息化标准规范体系统一通信服务办公服务智能预警服务数据接入、集成、融合数据交换与共享平台音频数据集成平台视频数据集成平台物联网资源池 基础数据资源池 业务数据资源池卫星通信终端通信管制TD-LTE终端感知层生命探测大屏显示系统音视频会议系统网络与基础设施层指挥中心基础设施GIS服务 态势标绘服务智能分析服务数据层物联网感知设备处置控制设备感知与控
12、制数据归集与处理指挥处置与业务应用应用支撑层司法专网政务外网互联网卫星网络无线专网普法网络公共法律服务政务管理政务公开智能化监管安防干警队伍信息管理网络安全设备网络安全设备执行矫治管理音视频指挥调度辅助决策分析.图1 司法行政信息化 3.0 体系架构图 5 基础设施技术要求 5.1 数据中心建设要求 5.1.1 建设范围 全国司法行政数据中心应涵盖部、省两级单位,市级如需建设数据中心,可参照本标准执行。原则上,各数据中心用于承载本级及所辖单位的信息化系统,特殊情况下,经上级单位批准可采用上级单位数据中心。5.1.2 数据中心命名原则 各级司法行政数据中心命名原则如下。SF 00082017 4
13、 一级:司法部数据中心 二级:XX省(区、市)司法行政数据中心 XX省(区、市)监狱管理数据中心(分中心)XX省(区、市)戒毒管理数据中心(分中心)三级:XX市(州)司法行政数据中心 XX监狱数据中心 XX戒毒所数据中心 5.1.3 监狱、戒毒所数据中心机房及环境 基础设施应满足以下要求:a)机房 1)机房环境温度:2125;2)机房相对湿度:40%70%;3)机房洁净度:机房内灰尘粒子应为非导电、非导磁及无腐蚀的粒子;4)楼层净空高度:设备机柜底部至横梁底部之间高度,不小于 3200mm(机房上方需要安装风管或机柜高于 2200mm 时,高度应相应增加);5)机房布线:选择敞开式线架,走线架
14、不设底板和侧板,宽度不小于 400mm,与机柜顶端间距不小于 300mm。b)机柜 1)机柜尺寸 机柜优先选择以下两种规格(高度(h)宽度(w)深度(l):2200mm 600mm 1100mm(空调采用下送风);2200mm 600mm 1100mm(空调采用上送风)。2)机柜排列 统一朝向方式:所有机柜正面朝一面,背面朝相反一面排列;面对面、背靠背方式:相邻两列机构正面板相对或背面板相对。3)走道宽度 机柜正面所在过道间距应不小于 1100mm,机柜背面所在过道间距应不小于 1000mm;机柜侧面与墙之间走道宽度应不小于 1000mm;并排列之间走道宽度应不小于 1500mm。4)机柜散热
15、 机柜散热可采用下送风或上送风方式,具体要求如下:下送风方式:机柜底部采用全开口方式,并具有调节风量的能力;机柜内设备与机柜前、后面板的间距宽度不小于 100mm;多台发热量大的数据设备不可叠放在同一层板上,最下层层板离机柜底部不小于 150mm;上送风方式:采用前后均无柜门的开架式机柜。若出于安全管理需要,机柜应安装柜门时,应安装网格状柜门,且网格等效直径应不小于 10mm,通风面积比例不小于 70%;多台发热量大的数据设备不可叠放在同一层板上。5)机柜电源配置 机柜内应设有对应二组独立电源的接线端子或电源插座,每路接线端子或电源插座应具有分路保护装置,所有电源插座和保护装置应符合国家相应电
16、气安全标准。接线端子或插座数量应满足单机柜安放数据设备数量和配置容量要求。SF/T 00082017 5 c)空调 1)制冷降温实施原则 空调系统冷量与风量、送风与回风、风管与风口设计均应遵从 GB 50019 的规定;空调系统需提供基本制冷量应以数据中心及其它机房内所有设备产生热量,加上新风系统、维护系统及照明系统带来的热量为基础进行计算;机房专用空调设备应优先采用风冷式机组;当需要采用集中冷源式冷冻水机组时,冷冻水系统应避免单点故障,有条件的地方应考虑系统备用。2)通风管道要求 下送风 送风距离小于 15m;架空地板应采用经国家消防安全检测中心认可的不燃材料,且具有良好的防静电、防老化及防
17、龟裂性能;架空地板的承载应大于 2.5kN/m2;架空层以下空间应采取严格的消防保障措施:架空地板下只准通风,严禁它用;严禁布放线缆(消防用线缆除外);架空层下有效净空高度应大于 350mm 且小于 500mm;架空层下的水泥楼面应根据需要铺设不燃材料制造的隔热保温层和保护层,防止楼层水泥面或下层天花板结露;架空层不得与其它任何管孔相通。上送风 机柜排列宜采用面对面、背靠背排列方式;为保证大型机房长距离风管末端的气压符合要求,有条件时还可以在机房上方做静压箱。送风口应密集布置,避免采用长条型风口代替数个分立送风口方式,保证过道上的冷热气流分布均匀。每个送风口应能输出满足对应机柜设备制冷所需最大
18、风量要求,且有能完全调节风量大小的装置;送风口应有能灵活改变气流下射角度的导风装置。d)配电与 UPS 1)交流电源输入与配电系统 高低压市电设备容量和后备油机容量应满足数据中心机房内所有数据设备、空调及其它负荷的用电量;部、省、市及监狱、戒毒所数据中应具备一类市电供电条件,县、区、市级数据中心应具备二类及以上市电供电条件。数据中心的高低压配电房、变压器房、油机房的空间预留应按满足数据中心机房终期发展目标;UPS 系统输入回路应避免单点故障。UPS 系统整流器和静态旁路的输入开关应接在不同的输入端子上。2)UPS 系统输出与配电系统 UPS 系统应直接到设备机柜,全程提供双路独立电源;机房内电
19、源线应与信号线分架敷设,且所有电源线缆应采用符合相关标准要求;UPS 系统应方便扩容。3)电源柜内电源配置 电源柜应有二路三相电源输入,每路有一个输入总开关和一批输出到每个机柜的分路开关,分路开关应采用散热性能好的空气开关,其允许通过的电流则应满足机柜的负荷要求;电源柜应能监测输入电压值、电流值和各输出分路的状态;还应具有现场显示输入总电压、总电流的装置。SF 00082017 6 5.1.4 云计算平台 5.1.4.1 总体要求 IaaS司法行政云计算资源池,它是由计算资源池、存储资源池、网络资源池、电子政务应用程序以及运营管理平台共同组成,其组成框架应符合图2的要求。电子政务应用系统网络资
20、源池计算资源池存储资源池负载均衡IP资源路由/交换NAT/Firewall虚拟机物理机分布式存储存储系统运营管理平台 图2 司法行政云计算资源池的组成 云计算资源池应符合下列要求:a)云计算资源池应采用分布式架构、模块化设计,在架构及功能方面应具备良好的系统可扩展能力,使得系统在为用户提供服务的过程中能实现平滑扩展,持续运行;b)云计算资源池安全应具备访问安全、主机安全、虚拟环境 安全、数据安全、网络安全以及数据传输安全等防护手段;c)云计算资源池底层的虚拟化软件应具备与不同厂商的服务器、网络、存储等硬件设备兼容的能力;d)云计算资源池采用的软硬件应便于安装、升级,并具有友好的用户管理界面;e
21、)云计算资源池应根据用户需求,以不同服务模板的形式为不同类型的用户提供差异化服务。f)云计算资源池应具备系统运营、资源申请、资源调整、资源释放、资源部署及资源交付等流程的良好稳定性。g)云计算资源池设备应本着性能稳定、安全可靠、技术先进、低能耗、兼容性好、经济合理、扩展性强等原则进行配置,近期建设规模与远期发展规划应协调一致。h)云计算资源池中关键设备应具备高可靠性,重要部件负载分担、关键部件热备份,具有故障时自动倒换功能。5.1.4.2 云计算管理平台 SF/T 00082017 7 云管理平台应进行整体规划与统一建设。云管理平台应采用开放架构、接口协议及开发平台,提供统一的能力调用。云管理
22、平台设计应为用户提供不中断的、可用的服务。云管理平台软硬件架构应充分考虑系统运行的安全策略和机制,应采用多种安全技术手段,为系统提供完善的安全技术保障。应符合下列要求:a)系统应支持网络容灾保护,组网方案中的关键业务部件不应存在单点故障;b)系统在存在备份点的设备发生故障短时间(小于切换时间)内无法恢复时应能够快速切换,切换后应保证数据完整和一致以及保证7X24h不间断运行;c)系统应有良好的备份和恢复策略,系统数据和业务数据可在线备份和恢复,恢复的数据应保持其完整性和一致性;d)系统应具备自动或手动恢复措施,应保证在发生错误时能够快速地恢复正常运行;e)系统发生影响业务的故障时系统恢复时间应
23、小于4h;f)应支持常用的数据备份介质,包括但不限于硬盘、磁带机等;g)主备倒换、系统参数配置错误、服务重启不应导致数据丢失或重复;h)应支持话单、数据库、配置文件、告警和日志等数据的定期自动/手动备份。5.1.4.3 云计算安全要求 云计算资源池应支持安全域划分,应采用模块化设计方法,划分为不同的功能区和安全域,同一安全域内应具备统一有效的安全保护措施,控制安全事件和安全风险的传播的手段。应支持资源池内不同功能区域之间相互安全通讯的需求。云计算资源池安全应具备访问安全、主机安全、虚拟环境安全、数据安全、网络安全以及数据传输安全等防护手段。a)访问安全 1)云计算资源池应部署接入终端和用户进行
24、身份认证和访问控制、授权管理及安全审计等多种访问安全策略。2)云计算资源池应对登录操作系统、数据库系统和应用系统的用户进行身份标识和鉴别,应严格限制匿名用户的访问权限;对 管理系统本身的操作进行分权、分级管理。b)主机安全 云计算资源池内主机应具备对外界人侵、恶意代码的告警、监控和防护功能。资源池应对主机的CPU、硬盘、内存、网络等 资源使用情况进行有效的监控,应支持资源利用率超阈值的实时报警。c)虚拟环境安全 云计算资源池应保证虚拟化环境的安全,包括虚拟化软件安全、虚拟机之间的隔离、网络虚拟化安全及存储虚拟化安全等,应符合下列规定:1)具备对虚拟机的补丁更新、安全加固。针对虚拟机的恶意攻击的
25、安全防护,虚拟主机防护系统应支持与跨域认证系统的集成,并进行统一的策略下发与集成。2)虚拟机之间应具备安全隔离手段,不同虚拟机之间可实现网络逻辑隔离和资源隔离、虚拟机之间互通应符合安全策略。d)数据安全 云计算资源池应采用加密技术,实现系统数据、业务数据在存储、迁移和销毁过程中安全防护。云计算资源池应具备对重要数据的备份和恢复功能。对于同一节点内数据,支持在线热迁移,实现基础的高可用性(HA);对于不同节点内数据,可通过数据镜像、数据快照以及第三方工具 实现异地灾备切换,保持业务连续运行。e)网络安全 SF 00082017 8 云计算资源池网络应部署IDS/IPS,应具备针对DOS/DDoS
26、攻击的告警、监控和防护功能,应对网络运行状况、网络流量、用户行为等进行日志记录,应对网络设备的安全进行审计。f)数据传输安全 业务和管理数据传输应采用成熟可靠的安全加密技术。加密手段应支持SSL、SSH、IPSec等方式。g)云管理平台安全 云管理平台的架构应充分考虑系统整体运行的安全策略和机制,应采用多种安全技术手段,为系统提供完善的安全保障。并符合下列规定:1)宜配置独立的高性能防火墙、Web应用防火墙等设备;2)应部署IDS/IPS、防DDoS攻击、异常流量检测、异常流量清洗、防病毒等安全防护功能;3)应具备自动或手动恢复措施,保证发生故障时能够快速恢复正常运行。5.1.5 计算资源池
27、计算资源池应根据不同业务需求及现网运行数据进行资源模型抽象,实现对CPU、内存、硬盘和网络等的配置与优化。计算资源根据资源提供方式应包括虚拟化计算资源、物理计算资源、分布式计算资源,应满足以下要求:a)虚拟化计算资源应基于x x86服务器部署主流虚拟化技术,以虚拟机方式提供计算能力,以集群方式部署,按集群扩展;b)物理计算资源应基于x x86服务器,直接以物理整机方式提供计算能力,主要满足部分资源要求较高的数据库和大型业务模块部署需求;c)分布式计算资源应基于x x86服务器部署分布式计算技术,主要满足大规模数据存储与处理需求,按集群部署和扩展。d)虚拟化计算资源池应以集群为单位部署,同一集群
28、内的虚拟机间宜支持负载均衡、在线迁移、故障切换等。虚拟化计算资源池在同一集群内宜部署同品牌CPU的服务器、同类型虚拟化软件。计算资源池应根据业务需求提供主流Windows、Linux等多种发行版本的预置操作系统。计算资源池应对能耗进行有效的监控和管理,通过远程管理提高运维管理效率。5.1.6 存储资源池 存储资源池设计应采用分布式并行计算、分层集中管理方式。存储资源池应支持对象存储或文件存储方式,对不同的存储方式应提供灵活、可配置的存储控制策略以及访问控制策略。存储资源池应对能耗进行有效的监控和管理。单机架存储容量设置应根据存储设备密度、功耗及机房承重能力确定。5.1.7 网络资源池 云计算资
29、源池网络应采用层次化、模块化设计,其网络可分为四层,包括出口路由层、核心层、汇聚层及接入层。出口路由层应配置出口路由器实现与外部网络的连接,对云计算资源池内网和外网路由信息进行转换和维护。核心层应连接汇聚层各汇聚交换机,形成云计算资源池的网络核心,可部署负载均衡、防火墙、流量管理等功能设备。汇聚层应配置汇聚交换机实现向下汇聚接人层各集群/存储节点的接入交换机,向上与核心交换机互联。部分流量管理、安全等功能设备可部署在该层。接入层应通过接入交换机接人各集群/存储节点的各种服务器设备、存储设备等,采用二层以太网交换机设备。接入层交换机应支持链路捆绑功能。云计算资源池建设规模较小时,云计算资源池网络
30、的核心层、汇聚层可合设;规模较大时,可分设核心层、汇聚层。云计算资源池网络架构中,相邻层次两两之间的拓扑结构应无单点故障。汇聚交换机和接入交换机的数量配比、接入交换机连接的计算集群服务器和存储节点的数量应合理确定。SF/T 00082017 9 5.1.8 数据中心管理系统 各司法行政部门的数据中心均需要配套建设集成化、可视化的数据中心管理系统,管理系统至少满足以下要求:a)对网络设备、服务器、数据库、中间件进行集中监控和管理,支持集中的故障告警管理和历史监控数据记录和统计分析;b)对网络设备、安全设备、业务系统的告警信息、报表信息、公告信息、工作规范信息等进行集中展现;c)对数据中心空调、电
31、力等环境系统进行实时监控并进行预警分析;d)建立有效的资产配置管理,实现对硬件、软件、文档、合同、服务商等资产的规范管理,并纳入单位内部资产管理系统统一管理。5.1.9 数据容灾备份中心 司法行政数据灾备中心包括异地灾备中心和同城灾备中心,应满足以下要求:a)司法行政数据灾备中心宜在异地建设,灾备中心应与数据中心距离大于 300KM。不具备异地建设条件的,应建同城数据灾备中心。b)灾难恢复预案制定原则 灾难恢复预案应包含灾难恢复的整个过程,以及灾难恢复所需的尽可能全面的数据和资料;预案应运用易于理解的语言和图表,并适合在紧急情况下使用;预案应采用清晰的结构对资源进行清楚的描述,工作内容和步骤应
32、具体每项工作应有明确的责任人;预案应尽可能满足灾难发生时进行恢复的实际需要,并保持与实际系统和人员组织的同步更新;灾备恢复预案应与其他应急预案体系有机结合。c)灾备系统建设要求 可通过基于主机、网络、存储等各个层面的成熟先进技术,实现业务数据的安全可靠性,保证业务的连续性;应采用模块化方式设计,具备扩展能力和伸缩性。5.2 指挥中心建设要求 指挥中心建设应满足SF/T 0009的要求。5.3 司法行政通信系统建设要求 5.3.1 有线通信系统建设的技术要求 基于全国司法行政系统的网络平台,利用IP网络承载有线通信系统业务,实现司法部到省(区、市),地(市、州)(监狱、戒毒所),县(市、区),乡
33、镇(街道)有线通信系统互联互通,应满足以下要求:a)有线软交换机通信系统接入方式 有线软交换机(SS)需通过IP网络接入到司法行政系统,有线软交换机支持SIP协议的终端和中继设备通过IP网络接入。SIP设备IP地址采用统一规范的全国行政纵向业务系统IP地址。SF 00082017 10 b)有线程控交换机通信系统接入方式 有线程控交换机(PBX)通过中继网关转换后应能够接入到司法行政系统。c)有线通信网与公网的互联互通 有线软交换机(SS)通过SIP中继网关,要实现SIP协议与公网(PSTN)互联,要实现与市话、手机的互联互通。有线程控交换机(PBX)通过中继网关实现No.7信令与公网(PSN
34、T)互联,要实现与市话、手机的互联互通。d)有线通信系统的网络带宽要求 采用不同的语音编码技术,网络带宽要求见表1:表1 不同的语音编码技术,网络带宽要求 编码器 网络带宽需求 备注 G.711 环回延时120ms,带宽需求90.4kbps 单路呼叫 G.729a 环回延时150ms,带宽需求34.4kbps 单路呼叫 G.723.1 环回延时200ms,带宽需求22.9kbps 单路呼叫 5.3.2 无线通信系统建设的技术要求 多种体制下的无线通信系统应能够互联互通,包括窄带无线通信系统和宽带无线通信系统。基于全国司法行政网络,能够实现部、省(区、市),地(市、州)(监狱、戒毒所)无线通信系
35、统的互联互通,应满足以下要求:a)无线通信系统的接入方式 无线通信系统的各个网络设备之间均需采用IP网络接入司法行政系统网络。无线通信系统的核心网通过网间接口实现部、省(区、市),地(市、州)(监狱、戒毒所)无线系统的互联互通。b)有线通信系统的网络带宽要求 有线通信系统的网络带宽要求见表2。表2 有线通信系统的网络带宽 编码器 网络带宽需求 窄带系统 延时10ms,抖动10ms 带宽32kbps/呼叫,组呼建立延时500ms 宽带系统 延时50ms,抖动10ms 带宽大于100Mbps,组呼建立延时500ms 5.3.3 有线和无线通信系统互联互通的技术要求 有线和无线通信系统互联互通应满足
36、以下技术要求:a)号码统一编址要求 有线通信系统和无线通信系统均采用统一号码段编址,可支持同一号多接入的方式,即同一个号码支持接入到有线通信系统和无线通信系统。b)互联互通要求 有线通信系统终端之间应实现不基于网关方式的互联互通,互通的路数和方式不受技术体制的限制。c)业务融合要求 SF/T 00082017 11 采用类IMS交换控制系统,实现有线和无线通信系统的业务级融合。d)接入方式要求 1)使用统一的用户归属服务器 HSS,统一编制有线用户、无线用户、无线群组、IP 用户;2)有线终端和无线终端接入到同一个交换系统,实现有线用户和无线用户的互联互通;3)对于无线和有线系统的相同业务如会
37、议、优先级呼叫、视频调度等功能,实现完全融合。e)号码编址方式约定 有线通信号码编址方式按照SF/T 0012中有线通信号码编制的要求。5.4 物联网感知控制技术要求 在监狱、戒毒等重点场所应部署周界安防系统、视频监控系统、手机侦测管控系统,宜部署能够探测和反制低空飞行目标的系统。基层单位警员应配发执行任务时保护自身安全的设备,重点监狱服刑人员、戒毒人员、社区矫正人员应佩戴防拆定位设备,用于在任何位置、全天候对相关人员进行位置等信息采集和监控。监狱、戒毒、社区矫正等基层单位应配发支持多种通信方式的多模通信终端。在监狱、戒毒所等重点场所的主要出入口、会见室、访客区出入口、厂房出入口宜采用太赫兹等
38、先进技术的安检设备,应确保对人体无伤害,可检测非金属违禁品如陶瓷刀、毒品粉末、手机、烟、酒等。单次检测时间宜小于3秒。可采用虚拟现实和增强现实等新兴技术装备应用到监狱、戒毒和社区矫正等司法行政业务。6 信息资源交换要求 信息资源交换应满足SF/T 0011的要求。7 平台技术要求 7.1 司法行政网络建设技术要求 系统网络设计应满足SF/T 0012的要求。7.2 司法行政应用支撑平台 应面向司法行政信息化软硬件系统提供基础的数据管理和应用服务支撑,是承接底层网络通信、基础设施与上层业务应用之间的重要纽带,是司法行政信息化体系架构的重要技术支撑。司法行政应用支撑平台,需提供物联网数据接入、公共
39、数据管理、应用服务支撑、数据交换与共享、数据分析与融合,以及音视频数据集成等功能。a)物联网数据接入,应为司法行政各领域物联网系统提供数据接入、交换、整合服务以及可共享的物联网资源池;b)公共数据管理,应提供司法行政信息化架构中统一的信息整合功能,包括基础数据和业务数据资源池、以及数据管理平台软件,需为各业务应用系统提供一致的公共数据的存储、访问和交换,需为实现司法行政软件一体化提供重要支撑;c)应用服务支撑,应以服务和组件的方式为上层业务应用提供统一的服务支撑,实现各类业务基础数据、地图数据、业务信息、应用的共享交互;SF 00082017 12 d)需集成通信信息系统提供统一的通信服务,需
40、实现司法行政信息化体系中的有线、无线、卫星等多样形式和多种制式通信设备的语音、视频、数据互联互通,实现司法行政信息化体系中的GPS、北斗、GLONASS、GALILEO 等多种定位设备的位置信息采集、交换和短数据通讯,同时需实现为各类业务应用系统提供稳定可靠、接口简单的通信信息服务功能。;e)数据交换与共享,应为各类业务应用系统提供统一的数据传输、交换和共享等服务;f)数据分析与融合,大数据分析应提供司法行政行业公共数据的通用大数据分析服务,并为各类业务应用系统提供大数据分析和展示的组件和服务,综合管理数据库存放经数据汇聚、清洗、治理、融合之后形成的专题库数据。g)音视频数据集成,应实现司法行
41、政信息化体系中的音视频资源统一集成、管理和共享,方便系统间共享和调用。7.3 指挥中心 指挥中心应满足SF/T 0009的要求。7.4 公共法律服务平台 公共法律服务平台要求应满足SF/T 0013的要求。7.5 大数据应用平台技术规范 司法行政信息化建设宜充分利用大数据技术解决实际问题,可在数据充分汇集融合的基础上,适时研发司法行政业务综合分析系统、法律服务行业信用大数据平台、监狱业务综合分析预测、戒毒业务综合分析、公共服务质量评估等大数据应用建设,为领导决策提供依据,推动司法行政工作创新,提升司法行政服务经济社会的能力。8 安全技术要求 8.1 安全基础设施 应在司法行政业务网建设安全基础
42、设施,包括电子认证基础设施和密钥管理基础设施,应满足以下要求:a)电子认证基础设施 对于已建设CA的司法行政单位,应按照“全网统一根证书、统一密码算法、统一数字格式”的要求,可逐步升级改造成为合规的电子认证中心。升级过渡期间,现有的数字证书认证系统通过交叉认证的方式实现不同算法数字证书的互信互认,具体要求如下:1)司法部建设司法行政业务网全网根 CA;2)采用 RSA 公钥密码算法的数字证书认证系统,应升级为 SM2 椭圆曲线密码算法,重新由司法部根 CA 签发机构证书,并统一数字证书格式;3)已采用 SM2 椭圆曲线密码算法的数字证书认证系统,需由根 CA 签发机构证书,并统一数字证书格式;
43、4)新建数字证书认证系统的司法厅(局),应新建本级电子认证中心,由司法部根 CA 签发机构证书,形成全网统一的电子认证基础设施;5)电子认证基础设施应采用国家密码管理局规定的SM2椭圆曲线密码算法,产品需符合GB/T 25056 相关要求。b)密钥管理基础设施 SF/T 00082017 13 司法行政业务网密钥管理基础设施采用单级结构,负责非对称密钥的全生命周期管理,为电子认证基础设施提供高效可靠的密钥和密码管理服务。对于新建电子认证基础设施的司法行政单位,同步建设密钥管理基础设施,实现非对称密钥管理服务功能,并可根据实际业务需要按需实现对称密钥管理、密码设备管理、密码合规性管理、密码应用有
44、效性管理等功能。已建设的各级司法行政单位密钥管理系统和数字认证系统,在现有密钥管理系统的基础上,通过对现有密钥管理系统进行改造,实现所需具备的各项非对称密钥管理服务功能,改造过程中,需保证电子认证系统业务的连续性。密钥管理基础设施应包括如下核心系统:非对称密钥管理系统;对称密钥管理系统;密码设备管理系统;密码合规性管理系统;密码应用有效性管理系统。8.2 信任服务系统 各级司法行政单位可按需建设信任服务系统,为用户访问各级业务应用及网络提供信任服务,实现各级司法行政单位身份认证应用系统的信任传递,实现一次认证、全网单点登录,其逻辑结构如图3所示。图3 信任服务系统逻辑结构 信任服务系统应具有如
45、下功能要求:SF 00082017 14 a)资源信息管理服务功能。对具有共性属性的资源进行管理,对所管理的资源进行发布,并根据各单位实际业务需要对跨区域使用的资源进行共享,为集中部署、分层部署应用系统提供资源高效共享利用和统一有序管理提供服务支撑;b)身份认证应用服务功能。使各级司法行政单位可采用数字证书实现对用户合法身份的验证,当用户访问本域外的应用系统时,无需再次进行身份认证;c)授权管理服务功能。针对司法行政单位集中部署、分层部署的业务应用系统,根据实际情况灵活选择集中授权或委托授权来对用户访问应用系统进行授权,授权结果可反馈到相应的业务应用系统;d)责任认定服务功能,收集各类资源的主
46、体对客体的访问记录,可对采集的数据进行分析和关联、重塑行为轨迹;e)可信时间服务功能,为司法行政业务网提供统一标准的基准时间服务,为网络设备、安全设备、服务器、业务应用等提供时间同步服务;f)电子签名服务、电子印章管理服务等。为各级司法行政单位建设的OA系统和公文系统等提供电子签名、电子印章管理和验证服务。8.3 物理安全防护要求 物理环境安全应满足以下要求:a)机房选址 机房和办公场地应选择具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。b)机房管理 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,应在重要区域前设置交付或安装等
47、过渡区域;重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。c)机房环境 房间装修应使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。机房安装防雷和接地线,设置防雷保安器;机房设置火灾自动消防系统。配备空调系统,以保持房间恒湿、恒温的工作环境;应对关键设备和磁介质实施电磁屏蔽。d)电力供应 应在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应;应设置冗余或并行的电力电缆线路为计算机系统供电。8.4 网络安全防护要求 网络安全应满足如下方面的防护要求:a)网络结构安全
48、应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN;保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离的应单独划分区域;应采用技术手段保证重要业务不受网络拥堵影响,可通过网络设备流量控制等实现。b)网络设备防护 应对信息系统的网络设备进行一系列的加固;应通过堡垒机可实现采用两种或两种以上的身份鉴别措施要求;应具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;应启用SSH等安全方式,加密管理数据,防止被网络窃听。c)边界访问控制 SF/T 00082017 15 应在网络边界部署防火墙系统产品
49、;应针对网络内部各区域之间的访问,采用防火墙及VLAN划分进行控制;应在核心交换机上设置访问控制列表策略,禁止终端用户对安全管理区的直接访问;应在重要网段及设备进行IP与MAC地址绑定;应采用认证网关结合信任服务对访问应用系统提供访问控制和身份鉴别。d)网络设备防护 应具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。e)边界入侵检测 在各区域边界应旁路部署入侵检测设备对访问状态进行检测,对通信协议和应用协议进行检测,对内容进行深度的检测。应定期升级入侵检测设备的特征库。f)边界安全审计 应部署网络审计系统,对网络边界的用户访问行为进行监控管理及安全
50、事件取证;应保证审计数据的存放安全,避免非授权修改、删除审计记录,定期生成审计报表;应对网络设备、安全设备进行集中审计,部署日志审计系统,定期分析汇总收集的日志,对网络中的安全态势予以分析;应同时通过综合安全监管平台对网络中的安全设备进行集中管理。g)恶意代码防范 应部署防病毒网关,对夹杂在网络数据中的各类网络病毒进行过滤;应定期升级防病毒网关的特征库。8.5 主机安全防护要求 主机安全防护应满足以下要求:a)身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性;应采用两种或者两种以上的身份鉴别措施;应启用登录失败处理功能;若采用远程桌面方式,应通过堡垒机进行运