项目需求和技术方案要求
1建设背景
山东警务云安全，依据《山东公安警务云计算建设总体方案》和《山东大数据警务云计算安全技术白皮书》，结合国家信息安全等级保护制度、公安部《公安信息化“十三五”规划重点任务_公安信息化安全保障体系_建设内容及要求》等进行统筹建设。

在我省已建公安信息系统和安全防护措施的基础上，构建安全数据分析和安全资源服务系统，将分散在各地的安全数据进行汇总，打通各安全系统间壁垒，将现有安全资源进行整来，建设一套统一资源标准、统一应用分析、统一防范管理的“三统一”一体化安全管控体系。

根据公安部相关安全要求，为防止信息泄漏等违规问题发生，确保数据和信息安全，进一步加强全省公安信息化应用系统日志审计工作，开展全省一体化安全数据分析，省厅下发了《关于上传公安信息化应用系统日志数据的通知》（鲁公信通传〔2017〕39号），要求各地上传公安信息化应用系统日志数据，同时建议采用主动抓取应用流量的方式分析应用日志。

目前，济南市警务云平台已经部署了包括防火墙在内的多种访问控制类、检测类、审计类安全设备和安全系统，对各类防护对象及安全问题进行针对性防护。

然而，针对济南市局重要应用系统的操作行为，仍然缺少有效的审计监督手段。

因此，本次拟采购综合安全审计系统，实现市局重要信息系统的日志全面、准确审计，以及关键网络节点流安全信息采集。

2建设目标
通过对济南市局重要信息系统访问情况进行监听、记录、分析，实现对用户操作行为的全面监视、违规报警、统计分析、事故追溯。

通过对网络关键节点流量包头信息的采集、分析，实现对业务流互访关系、网络连接情况的梳理，建立正常流量模型，当网内发生大规模蠕虫病毒、木马反向连接、拒绝服务工具等异
常流量时进行预警。

同时，为全省公安安全一体化数据分析提供数据来源，实现山东公安警务云安全态势感知、预警分析。

3建设依据及原则
3.1 方案设计参考依据
《山东公安警务云计算建设总体方案》
《山东大数据警务云计算安全技术白皮书》
《公安信息通信网运行服务管理规定》
《关于上传公安信息化应用系统日志数据的通知》（鲁公信通传〔2017〕39号）《公安信息系统应用日志安全审计平台规范》
3.2 方案设计原则
⏹行业合规性原则：符合国家、行业相关审计技术法规的要求，能满足行业
法规检查、检测要求，如信息安全等级保护制度等。

⏹功能全面性原则：产品应具有成熟的市场经验，功能应符合公安部建设“公
安信息系统应用日志安全审计平台”收集、转发日志及日志格式的要求，同时符合山东省公安厅建设安全数据分析和安全资源服务系统的日志采集、转发、分析要求。

⏹节约性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑，整
体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。

⏹适应性和可扩展性原则：所采取的措施必须能随着网络性能、应用变革、网
络扩展的变化而变化，要具备灵活的可扩充性和可升级性，以适应将来网络规模的发展。

⏹业务符合性原则：产品所提供的应用日志格式、应用日志内容、应用日志报
告等，必须符合公安部规范和实际工作特性、工作过程。

可管理性原则：产品必须具备良好的可管理性，易操作性，便于日常运营和技术管理。

4方案设计说明
基于市局网络拓扑情况，计划在市局数据中心、交警支队部署3套综合安全审计系统，数据中心2套，交警支队1套，实现对相应区域内的应用审计日志、流量包头安全信息的采集。

可以采取多采集引擎单中心，采集引擎中心一体化两种部署模式。

多采集引擎单中心方式，具体部署说明如下：
1、2台万兆审计引擎部署于济南市局数据中心核心交换机处，在该节点对济南
市局重要信息系统访问流量进行监听、记录、分析，实现对市局重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

2、1台万兆审计引擎部署于济南交警支队核心交换机处，对交警支队重要信息
系统访问流量进行监听、记录、分析，实现对交警重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

3、在济南市局数据中心处部署1台统一分析中心，对3台审计引擎进行集中管
理，并对采集到的审计日志进行集中存储和分析。

采用引擎、分析中心分离的方式，独立硬件设备各司其职，提高审计引擎工作效率、审计准确度，降低丢包风险。

市交警支队市局各单位
市局数据中心核心
市局数据中心接入
警务云数据中心
采集引擎中心一体化部署方式，具体部署说明如下：
1、2台万兆综合安全审计系统部署于济南市局数据中心核心交换机处，在该
节点对济南市局重要信息系统访问流量进行监听、记录、分析，实现对市局重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

2、1台万兆综合安全审计系统部署于济南交警支队核心交换机处，对交警
支队重要信息系统访问流量进行监听、记录、分析，实现对交警重要应
用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

3、 在数据中心选择其中一套作为统一分析中心，对3台综合安全审计系统
进行集中管理。

警务云数据中心
市局数据中心核心市交警支队
综合安全
审计系统
（万兆）
市局数据中心接入
综合安全
审计系统
（万兆）
5综合安全审计
评标方法和评分细则
一、评标方法
本次评标采用综合评分法，将依据投标人投标文件对其资信、业绩、投标产品质量、服务、技术方案、价格等各项因素进行评价，综合评选出最佳投标方案。

每一投标人的最终得分为所有评委评分的算术平均值。

高得分的投标人为中标人。

得分相同的，报价较低的一方为中标人。

得分且投标报价相同的，技术指标较优的一方为中标人。