第5章 產品選型及設計
5.1 防火牆選型
5.1.1 防火牆的選擇原則
作為網絡安全中最重要的產品之一,目前國內外市場上有許多品牌的防火牆產品,每個用戶都需要根據自己的需求認真選擇合適的防火牆產品。在防火牆產品的選擇上主要有以下原則:
(1)明確防火牆的保護對象和需要的安全等級。
(2)根據安全級別確定防火牆安全標準。
(3)選用性價比高且能擴展以及安全有保證的防火牆。
(4)能適應不同網絡需求,可根據實際網絡環境靈活的部署。
(5)廠商應能提供良好的售後服務。
結合以上考慮本項目中選擇的是DPtech NS-DPtech FW1000-GS防火牆,該產品是一款技術成熟、應用廣泛的防火牆產品,具有高性能的內核檢測技術,能適應各種網絡環境下的部署。
5.1.2 迪普信防火牆系統應標型號和產品參數
5.1.2.1 防火牆系統產品型號DPtech NS-DPtech FW1000-GS
根據網絡的應用和安全要求,我們在互聯網出口和內部辦公讀者區分別部署兩套防火牆系統,保障內部各個網絡的安全,有效地控制網上網絡攻擊和嗅探,做好安全策略配置和QOS管理。項目上配置DPtech FW1000系列防火牆系統。
DPtech FW1000系列防火牆創新性地採用了“多業務並行處理引擎(MPE)”技術,能夠滿足各種網絡對安全的多層防護、高性能和高可靠性的需求。可以提供安全域劃分、VPN接入、NAT地址轉換和攻擊防護等功能,吞吐量最大可達到萬兆,是業務安全保障的最佳選擇。
FW1000-GS具有高密度接口滿足多ISP的冗餘需求,高擴展性可以降低後續投入成本。具備4個固定Combo千兆接口,2個擴展槽位。適用於大中型網絡出口和數據中心。
產品名稱
產品代碼
產品描述
數量
DPtech FW1000系列防火牆(NS-DPtech FW1000-GS)
FW1000-GS-AC
DPtech FW1000-GS 主機-雙交流電源(4GE/2Slot),交流主機,2個千兆接口,2個擴展槽位
4臺
NSQM22GEF
2端口1000M以太網光接口模塊(SFP,LC)
4個
SFP-GE-SX-MM850-A
光模塊-SFP-GE-多模模塊-(850nm,0.55km,LC)
16塊
5.1.2.2 DPtech NS-DPtech FW1000-GS產品規格
項目
描述
固定接口
4個千兆Combo接口
擴展槽位
2
最大功耗
100W
工作模式
路由模式、透明模式、混合模式
安全特性
支持對Smurf、Land、Tear Drop、Fraggle、Ping of Death、IP Spoofing、WinNuke、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防範
支持郵件過濾、網頁過濾、內容過濾
支持攻擊實時、黑名單、地址綁定、流量告警功能及其日誌
支持安全事件統計和郵件告警功能
VPN功能
支持IPSec VPN、L2TP VPN、GRE VPN、SSL VPN
地址轉換
支持NAT地址轉換
網絡協議
支持DHCP Relay/Server/Client,支持靜態路由、RIP v1/2、OSPF、BGP
配置管理
Web、CLI
5.1.2.3 DPtech NS-DPtech FW1000-GS防火牆系統的功能參數
屬性
說明
運行模式
路由模式
透明模式
混合模式
網絡安全性
AAA服務
RADIUS認證
HWTACACS認證
PKI /CA(X.509格式)認證
域認證
CHAP驗證
PAP驗證
防火牆
包過濾
基礎和擴展的訪問控制列表
基於接口的訪問控制列表
基於時間段的訪問控制列表
動態包過濾
ASPF應用層報文過濾
l 應用層協議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)
l 傳輸層協議:TCP、UDP
抗攻擊特性
Land/Smurf/Fraggle/WinNuke/Ping of Death/Tear Drop/IP Spoofing/ARP欺騙攻擊防範/TCP報文標誌位不合法攻擊防範/超大ICMP報文攻擊防範/
地址/端口掃描的防範
防病毒
DoS/DDoS攻擊防範
CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP Flood等
TCP Proxy 功能
ICMP重定向或不可達報文控制功能
Tracert報文控制功能
帶路由記錄選項IP報文控制功能
靜態和動態黑名單功能
MAC和IP綁定功能
透明防火牆
基於MAC的訪問控制列表
支持802.1q VLAN 透傳
郵件/網頁/應用層過濾
郵件過濾
網頁過濾
應用層過濾
Java Blocking
ActiveX Blocking
SQL注入攻擊防範
安全日誌及統計
用戶行為流日誌
NAT轉換日誌
攻擊實時日誌
黑名單日誌
地址綁定日誌
流量告警日誌
流量統計和分析功能
全局/基於安全域連接數率監控
全局/基於安全域協議報文比例監控
安全事件統計功能
E-MAIL郵件實時告警功能
E-MAIL郵件定期信息發佈功能
NAT
支持多個內部地址映射到同一個公網地址
支持多個內部地址映射到多個公網地址
支持內部地址到公網地址一一映射
支持源地址和目的地址同時轉換
支持外部網絡主機訪問內部服務器
支持內部地址直映射到接口公網IP地址
支持DNS映射功能
可配置支持地址轉換的有效時間
支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TP VPN/GRE VPN/IPSec VPN/SSL VPN/DVPN
網絡互連
局域網協議
Ethernet_II
Ethernet_SNAP
802.1q VLAN
鏈路層協議
PPPoE
網絡協議
IP服務
ARP
域名解析
IP UNNUMBERED
DHCP中繼
DHCP服務器
DHCP客戶端
IP路由
靜態路由
RIP v1/2
OSPF
BGP
路由策略
策略路由
高可靠性
雙機狀態熱備,Active/Active和Active/Passive兩種工作模式,支持負載分擔和業務備份
關鍵部件冗餘設計
接口模塊熱插拔
機箱溫度自動檢測
服務質量保證(QoS)
流量監管
CAR
擁塞管理
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
擁塞避免
WRED
流量整形
GTS
接口速率限制
LR
配置管理
命令行接口
通過Console口進行本地配置
通過Telnet或SSH進行本地或遠程配置
配置命令分級保護,確保未授權用戶無法侵入設備
提供全中文的提示和幫助信息
詳盡的調試信息,幫助診斷網絡故障
提供網絡測試工具,如Tracert、Ping、HWPing命令等,迅速診斷網絡是否正常
用Telnet命令直接登錄並管理其它設備
FTP Server/Client,可以使用FTP下載、上載配置文件和應用程序
支持TFTP上傳下載文件
支持日誌功能
文件系統管理
User-interface配置,提供對登錄用戶多種方式的認證和授權功能
支持標準網管SNMPv3,並且兼容SNMP v2c、SNMP v1
支持NTP時間同步
支持Web方式進行遠程配置管理
支持H3C BIMS系統進行設備管理
支持H3C VPN Manager系統進行VPN業務管理和監控
5.2 SSL VPN選型
5.2.1 VPN系統應標型號和產品參數
SecPath F100-A是H3C公司面向大中型企業用戶開發的新一代專業防火牆設備。支持外部攻擊防範、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能,能夠有效的保證網絡的安全;採用ASPF(Application Specific Packet Filter)應用狀態檢測技術,可對連接狀態過程和異常命令進行檢測;提供多種智能分析和管理手段,支持郵件告警,支持多種日誌,提供網絡管理監控,協助網絡管理員完成網絡的安全管理;支持多種VPN業務,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN和動態VPN等,可以構建多種形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持豐富的QoS特性,提供流量監管、流量整形及多種隊列調度策略。
SecPath F100-A防火牆充分考慮網絡應用對高可靠性的要求,支持雙機狀態熱備,支持Active/Active和Active/Passive兩種工作模式。
5.2.1.1 SSL VPN系統應標型號H3C NS-SecPath F100-A
產品名稱
型號
配置及性能
數量
H3C NS-SecPath F100-A
NS-SecPath F100-A-AC
H3C SecPath F100-A 主機-交流電源(7FE/1Slot)
1臺
S NS-MIM-SSL-H3
功能模塊-H3C SecPath F1000-A-NSQM2SSL-SSL加密處理模塊
1個
5.2.1.2 NS-SecPath F100-A產品規格
項目
屬性
接口
1個配置口(CON)
1個備份口(AUX)
7 FE
插槽
1個MIM插槽, 可選的接口模塊包括2FE/4FE/NDECII
FLASH
16MB
DDR SDRAM
256MB
外型尺寸(H×W×D)
44×436×330mm
重量
4.5kg
電源模塊
輸入
交流主機:100-240V ;50/60Hz
輸出
電壓:12V
最大功率
54W
平均無故障時間(MTBF)
36年
工作環境溫度
0~45℃
環境相對溼度
10~95%(不結露)
5.2.1.3 SSL VPN NS-SecPath F100-A產品參數
屬性
說明
運行模式
路由模式
透明模式
混合模式
網絡安全性
AAA服務
RADIUS認證
HWTACACS認證
PKI /CA(X.509格式)認證
域認證
CHAP驗證
PAP驗證
防火牆
包過濾
基礎和擴展的訪問控制列表
基於接口的訪問控制列表
基於時間段的訪問控制列表
動態包過濾
ASPF應用層報文過濾
應用層協議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)
傳輸層協議:TCP、UDP
抗攻擊特性
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防範
ARP主動反向查詢
TCP報文標誌位不合法攻擊防範
超大ICMP報文攻擊防範
地址/端口掃描的防範
DoS/DDoS攻擊防範
TCP Proxy功能
ICMP重定向或不可達報文控制功能
Tracert報文控制功能
帶路由記錄選項IP報文控制功能
靜態和動態黑名單功能
MAC和IP綁定功能
透明防火牆
基於MAC的訪問控制列表
支持802.1q VLAN 透傳
郵件/網頁/應用層過濾
郵件過濾
SMTP郵件地址過濾
郵件標題過濾
郵件內容過濾
郵件附件過濾
網頁過濾
HTTP URL過濾
HTTP內容過濾
應用層過濾
Java Blocking
ActiveX Blocking
SQL注入攻擊防範
安全日誌及統計
用戶行為流日誌
NAT轉換日誌
攻擊實時日誌
黑名單日誌
地址綁定日誌
流量告警日誌
流量統計和分析功能
全局/基於安全域連接數率監控
全局/基於安全域協議報文比例監控
安全事件統計功能
E-MAIL郵件實時告警功能
E-MAIL郵件定期信息發佈功能
NAT
支持多個內部地址映射到同一個公網地址
支持多個內部地址映射到多個公網地址
支持內部地址到公網地址一一映射
支持源地址和目的地址同時轉換
支持外部網絡主機訪問內部服務器
支持內部地址直映射到接口公網IP地址
支持DNS映射功能
可配置支持地址轉換的有效時間
支持多種NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TP VPN
支持根據VPN用戶完整用戶名、用戶域名向指定LNS發起連接
支持為VPN用戶分配地址
支持進行LCP重協商和二次CHAP驗證
GRE VPN
SSL VPN
IPSec/IKE
支持AH、ESP協議
支持手工或通過IKE自動建立安全聯盟
ESP支持DES、3DES、AES多種加密算法
支持MD5及SHA-1驗證算法
支持IKE主模式及野蠻模式
支持NAT穿越
支持DPD檢測
DVPN
支持UDP封裝
支持動態IP地址構建VPN
支持加密保護(註冊控制報文,會話控制報文,策略報文)
支持多個DVPN域
支持分支自動建立VPN隧道
支持Server對分支隧道的策略控制
Server對Client的AAA身份認證
Client對Server的身份驗證
網絡互連
局域網協議
Ethernet_II
Ethernet_SNAP
802.1q VLAN
鏈路層協議
PPPoE
網絡協議
IP服務
ARP
域名解析
IP UNNUMBERED
DHCP中繼
DHCP服務器
DHCP客戶端
IP路由
靜態路由
RIP v1/2
OSPF
BGP
路由策略
策略路由
高可靠性
雙機狀態熱備,Active/Active和Active/Backup兩種工作模式,支持負載分擔和業務備份
遠端鏈路狀態監測(L3 monitor)
支持VRRP
關鍵部件冗餘設計
服務質量保證(QoS)
流量監管
CAR
擁塞管理
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
擁塞避免
WRED
流量整形
GTS
接口速率限制
LR
配置管理
命令行接口
通過Console口進行本地配置
通過Telnet或SSH進行本地或遠程配置
配置命令分級保護,確保未授權用戶無法侵入設備
提供全中文的提示和幫助信息
詳盡的調試信息,幫助診斷網絡故障
提供網絡測試工具,如Tracert、Ping、HWPing命令等,迅速診斷網絡是否正常
用Telnet命令直接登錄並管理其它設備
FTP Server/Client,可以使用FTP下載、上載配置文件和應用程序
支持TFTP上傳下載文件
支持日誌功能
文件系統管理
User-interface配置,提供對登錄用戶多種方式的認證和授權功能。
支持標準網管 SNMPv3,並且兼容SNMP v2c、SNMP v1
支持NTP時間同步
支持Web方式進行遠程配置管理
支持H3C BIMS 系統進行設備管理
支持H3C VPN Manager系統進行VPN業務管理和監控
5.3 IPS入侵防護選型
5.3.1 IPS入侵防護系統應標型號和產品參數
H3C SecPath T200入侵防禦系統(Intrusion Prevention System,IPS)是H3C公司開發的業界領先的IPS產品。H3C IPS能精確實時地識別、阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協議異常、網絡釣魚、P2P、IM、網遊等網絡攻擊或網絡濫用,還具有實用的帶寬管理和URL過濾功能,可為用戶網絡提供最全面的深度防禦。
SecPath T200採用H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基於精確狀態的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基於精確狀態的全面檢測,具有極高的入侵檢測精度;同時,FIRST引擎採用了並行檢測技術,軟、硬件可靈活適配,大大提高了入侵檢測的效率。
通過全面的網絡數據包偵測,H3C入侵防禦系統提供應用、網絡架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網絡架構保護能力,H3C的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網絡基礎設施免遭惡意攻擊和防止流量出現異常。H3C的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源,從而確保網路資源的合理配置並保證關鍵業務的性能。
5.3.1.1 IPS入侵防護系統型號H3C NS-SecPath T200-A
產品型號
產品描述
數量
NS-SecPath T200-A
H3C SecPath T200-IPS 主機(4GE電口),含一年特徵庫升級,一年病毒庫升級
1臺
5.3.1.2 H3C NS-SecPath T200-A產品參數
項目
描述
業務接口
三種配置:
(1)4×10/100/1000M以太網電口
(2)4×10/100/1000M以太網電口、2×1000M SFF光口
(3)4×10/100/1000M以太網電口、4×10/100M以太網電口
管理接口
1×10/100M以太網電口
1個配置口(CON)
2個USB口
外型尺寸(W×D×H)
430mm × 480mm × 43.6mm
重量
10 kg
電源輸入
AC
額定電壓範圍:100-240V a.c. ;50/60Hz
額定電流:6~3
RPS
選配
額定功率
300 W
環境溫度
5~40℃
環境溼度
20~80%RH(非凝露)
5.4 防病毒選型
整個反病毒網絡選用本公司經過多年來的不斷開發、完善,屢次在國際專業認證獲得多項殊榮的卡巴斯基反病毒軟件系列產品,為xxx圖書館提供最安全的網絡反病毒解決方案。
KOSS組件
產品描述
系統平臺
管理工具
卡巴斯基管理工具
一個動態的、操作靈活的管理工具,它可以集中管理企業網絡中所使用的卡巴斯基實驗室出品的產品程序。它能夠適用於各種規模和複雜度的網絡。該工具能夠集中管理包含數萬節點,遠程網絡用戶和筆記本計算機用戶的動態網絡
Windows 2000 Service Pack 或更高、Windows XP Service Pack 1 或更高、Windows 2003 Server、Windows 2008 Server Windows NT4 Service Pack 6a、Microsoft Management Console 1.2 或更高、Windows Vista
工作站保護
卡巴斯基反病毒
Windows工作站
為企業網絡中的所有工作站提供集中的保護,同時將保護從本地網絡延伸至遠程網絡和筆記本計算機用戶。該解決方案針對當前所有類型的網絡攻擊(包括病毒、間諜軟件、黑客攻擊和垃圾郵件)都提供了完全的保護
Microsoft Windows Vista、Microsoft Windows Vista x64、Microsoft Windows 2000 Professional (Service Pack 4 或更高)、Microsoft Windows XP Home Edition、Microsoft Windows XP Professional (Service Pack 1 或更高)、Microsoft Windows XP Professional x64 Edition、Microsoft Windows 98(SE)、Microsoft Windows ME、Microsoft Windows NT Workstation 4.0 (Service Pack 6a)
卡巴斯基反病毒
Linux工作站
為保護工作站而設計的二合一解決方案。第一個模塊―實時保護模塊,與操作系統緊密結合,實時檢測發生改變的文件(包括新文件或修改的文件),從而在儘可能不增加負載的情況下為系統提供實時保護。第二個模塊―手動掃描模塊,可通過手動或按計劃來掃描文件系統,可移動存儲設備以及獨立文件
32位: Red Hat Linux 9.0、Red Hat Fedora Core 5、Red Hat Enterprise Linux Advanced Server 4 UPD3、SuSE Linux Enterprise Server 9.0 SP3、Novell Linux Desktop 9、SuSE Linux Professional 10.1、Mandriva2006、Debian GNU/Linux version 3.1 R2、FreeBSD version 4.11、FreeBSD version 5.4、FreeBSD version 6.1
64位: Red Hat Enterprise Linux Advanced Server 4 UPD3、 Red Hat Fedora Core 5、SuSE Linux Professional 10.1、SLES 9 SP
服務器保護
卡巴斯基反病毒
Windows服務器
為Windows文件服務器(包括最新的64位操作系統)上的數據提供有效的文件保護。該解決方案可以保證高可靠性並且適合於負載較大的服務器。
Microsoft Windows 2000 Server/Advanced Server Service Pack 4 或包含所有更新的更高版本、Microsoft Windows NT Server 4.0 Service Pack 6a.、Microsoft Windows Server 2003、Windows 2008 Server
卡巴斯基反病毒
Novell Netware
為運行於 Novell NetWare操作系統上的文件服務器提供反病毒保護而研發的一款產品
Novell NetWare 5.x, 6.0, 6.5
卡巴斯基反病毒
Linux文件服務器
為保護文件服務器而設計的二合一解決方案。第一個模塊―實時保護模塊,與操作系統緊密結合,實時檢測發生改變的文件(包括新文件或修改的文件),從而在儘可能不增加服務器負載的情況下為系統提供實時保護。第二個模塊―手動掃描模塊,可通過手動或按計劃來掃描文件系統,可移動存儲設備以及獨立文件。
32位:
Red Hat Linux 9.0、Red Hat Fedora Core 5、Red Hat Enterprise Linux Advanced Server 4 UPD3、SuSE Linux Enterprise Server 9.0 SP3、Novell Linux Desktop 9、SuSE Linux Professional 10.1、Mandriva2006、Debian GNU/Linux version 3.1 R2、FreeBSD version 4.11、FreeBSD version 5.4、FreeBSD version 6.1
卡巴斯基反病毒
UNIX服務器
為運行於 UNIX操作系統上的文件服務器提供反病毒保護而研發的一款產品
5.5 UPS不間斷電源選型
5.5.1 UPS容量和型號的選擇
設備容量依據系統的容量和後續擴容的需要確認山特3C3-60KS兩套
5.5.2 UPS容量的計算
對以上系統,採用集中供電的方式進行供電, 同時負載容量較大,所以建議採用3C3-60KVA機器多臺並機的方式進行供電。同時考慮負載啟動時的衝擊和一定的餘量,建議首次選取:並機2套
5.5.3 UPS的選擇
山特城堡系列產品是具有高效率、高性能的雙轉換純在線,3相輸入,3相輸出的UPS產品。輸入部份具有輸入功率因素修正 ( PFC,Power Factor Correction ) 功能。機器有維護旁路開關,同時產品本身噪音低、可靠度高、故障率低、壽命長及成本低等優點,如散熱風扇具備轉速控制,可以依照負載大小與環境溫度做轉速控制,就是考慮風扇噪音與壽命,增加產品可靠度的設計。同時如N+X的冗餘解決方案,也是提高可靠度的最佳方法之一。
山特城堡系列並聯冗餘能有效解決所有電源問題的最佳架構設計。該架構能夠有效阻隔異常電源對負載的衝擊,同時還能保證輸出電源的穩定、可靠,讓負載安全的運行。採用數字化控制技術,實現並聯擴容和並聯冗餘的功能,為用戶提供電源規劃的彈性和更安全的保障。
5.5.4 電池型號和容量的選擇
5.5.4.1 電池品牌型號的選取
電池是UPS系統中非常重要的一個組成部分。本著為客戶提供一個高可靠的供電系統的理念,我們向客戶推薦使用閥控式鉛酸蓄電池。
5.5.4.2 電池容量的確認
從可靠性考慮, 我們推薦高品質大廠品牌電池, 客戶需要半小時後備時間,根據已以上每個系統的容量和查電池恆功率放電錶可得:
UPS電源:每臺3C3-60KVA使用1組12V/120AH電池,總共結64節12V/120AH鉛酸電池。
5.5.5 系統配置清單及參數
5.5.5.1 配置清單
項目
數量
描 述
UPS電源系統
3C3-60KS
2臺
UPS電源
並機卡和並機線
2套
並機使用
12V/120AH鉛酸電池
64顆
提供30分鐘後備時間
C32電池櫃
2臺
每臺可裝32節 12V/120AH電池
電池直流開關
1個
維護和安全需要
WEBPOWER卡
1
集中監控和遠程監控
5.5.5.2 3C3技術參數
型號
3C3-60KS/-ISO
額定容量
60KVA / 48KW
輸出波形
正弦波
轉換時間
零中斷
輸入
電壓範圍
209~456 Vac 三相四線&接地
旁路電壓變動範圍
380 Vac±15%
頻率範圍
50 Hz ± 5%
輸入功因
>0.95
輸入電流
165Amp (Max)(滿載,最小輸入電壓時)
輸出
電壓
380Vac / 220 Vac (3ф4W)
功率因數
0.8
電壓穩定度
± 1%
滿載電壓精度
1%
非市電同步頻率穩定度
± 0.2%
電流峰值係數
3 : 1
不平衡負載
100% (可接不平衡負載)
相位響應
平衡負載<1度, 非平衡負載<2度
頻率
與輸入同步 (市電模式) 當市電頻率超出47.5~52.5Hz範圍時,輸出頻率為50Hz ± 0.2%
50Hz ± 0.2% (電池模式)
系統效率
Line mode:
>92 %
Bat mode:
>92%
並聯冗餘功能
具有完善的並機和容餘功能 (最多可8臺並機)
直流開機
單機可直流開機
自動重開機
市電恢復時自動重開機
旁路保護
當UPS故障、超載或電池用盡時可自動轉化為旁路輸出
過溫保護
除溫控開關外,還有風扇轉速偵測,進行整機溫升保護
輸出短路保護
具有輸出短路保護功能
超載能力
125%維持10分鐘後輸出轉為旁路; 150%以上維持30秒後輸出轉為旁路
通訊介面
標準RS-232接口:1個
標準RS-485接口:2個
標準AS-400接口:1個
PPVIS 接口:1個
lntelligent Slot插槽:1個
軟件監控
可免費從山特網站上下載Winpower2000或Winpower2003監控軟件或 選購Webpower智能監控卡,實現智能化管理或實現集中、遠程監控
操作環境
工作溫度
0℃~40℃
儲存溫度
-25℃~55℃
工作溼度
20%~90%
海拔高度
海拔高度1000米以下(超出1000米需遞減額度輸出)
噪音
55dB
面板顯示
LCD 液晶顯示: 顯示運行各項參數(可自行設定)
簡潔的中文顯示及操作方式
抗電磁、射頻干擾
IEC61000-4-2(ESD):抗靜電能力 Level 4 IEC61000-4-3(RS):抗輻射干擾能力 Level 3
EMC標準
IEC61000-4-4(EFT):抗電源脈衝干擾能力 Level 4 IEC61000-4-5(Surge):防雷擊/突波能力 Level 4
IEC62040-2 對UPS的EMC輸出的要求(>25A)
電池參數
電池標配
12V × 32只 串聯
額定電壓
384Vdc
搭配發電機
可搭配發電機使用
外觀尺寸(W×D×H)mm
673 × 835 × 1550
重量 (淨重) kgs
270
450
第6章 項目管理實施方案
6.1 項目管理
6.1.1 項目質量管理
為有效實施本次採購的網絡安全產品,應確保在項目管理建立總的質量目標,並層層分解到本次涉及到項目的每一個人員,目標的建立應滿足下列要求:
(1)質量總目標應與方針保持一致,各級分目標應確保總目標的達成;
(2)質量目標應具體的可測量的;
(3)質量目標應包括產品的要求及滿足產品要求所需的內容;
(4)質量目標應有挑戰性,但同時必須是經過努力可以達成的。
6.1.2 項目風險管理
項目風險識別
本次採購單位信息網安全項目在實施信息安全建設過程中,涉及到人員、部門較多,環境複雜,具有以下一些風險存在:
l 環境複雜:操作系統多、應用系統複雜
Ø 操作系統的使用情況
Ø 網絡設備使用情況
Ø 管理規範、策略的指導情況
Ø
Ø
Ø
l 客戶配合程度:特別是各個地市單位、其他部門等
l 用戶的計算機使用水平
l 項目實施人員的穩定性
l 項目週期性的會議舉行需要領導參加
項目風險規避
為了更好的完成採購單位信息網系統的建設,至少需要對以上明確的風險進行消除。即為配合條件。
6.1.3 設備採購管理
按照項目管理方法規定採購作業的控制要求和內容,確保提供適價、適時、適質、適量的原材料,並最終滿足安全質量要求。
設備供應質量控制的流程
l 對設備出廠進行評審和測試;
l 制定設備到貨計劃;
l 對設備進行測試驗收;
l 提交設備登記表。
6.1.4 用戶方需配合條件
成立項目組,最好的情況下項目組成員在一個辦公場地工作,便於溝通與交流,保證項目的正常實施。
提供現今網絡、應用系統、主機、機房、UPS、佈線工程、管理規範制度等從網絡建設之初到現在網絡情況的一切與信息有關的文檔(除涉及到機密的信息,需要用文檔說明並簽名)。
本次實施涉及到的設備廠商、系統集成公司、用戶等,需要各個公司以及用戶都能夠提供一名人員與本次項目接頭並不在變更直到本次項目建設完成驗收。並在本次項目實施之前與其協商。
6.2 項目實施方案
6.2.1 項目實施計劃
6.2.1.1 項目實施整體流程
6.2.1.2 工具準備
在設備安裝部署過程中,將根據項目需要準備對應的軟件程序以及輔助工具。
軟件程序: mssql 2000數據庫軟件、ssh遠程連接軟件、各個廠家安全軟件;
輔助工具: 螺絲刀、標準機架螺絲、螺帽、標籤線、光纖跳線、剪線鉗、油筆。
6.2.1.3 標籤規範
本次產品部署中主要使用網線標籤,網線標籤統一使用白色朔料標籤條,網線兩端標記對端的連接設備應用的名稱。
6.2.1.4 文檔管理
我公司的文檔主要包括了產品記錄類、溝通類兩方面的項目文檔
產品記錄類:(在產品部署期間輸出)
《產品到貨確認單》
《產品上架部署記錄單》
《產品單元測試文檔》
《產品聯機測試文檔》
溝通類(在項目過程中產品)
對項目各方面元素的定義文檔
會議記錄、工作周(月)記等管理類文檔
6.2.2 質量控制
為有效實施本次採購的網絡安全產品,應確保在項目管理建立總的質量目標,並層層分解到本次涉及到項目的每一個人員,目標的建立應滿足下列要求:
(1)質量總目標應與方針保持一致,各級分目標應確保總目標的達成;
(2)質量目標應是具體的可測量的;
(3)質量目標應包括產品的要求及滿足產品要求所需的內容;
(4)質量目標應有挑戰性,但同時必須是經過努力可以達成的。
6.2.2.1 質量計劃
在計劃階段需要採取步驟確保項目是完全按用戶要求提供的交付物。每一個交付物的質量標準將被明確定義,用來制訂質量保障計劃。在質量計劃中必須考慮抽查和定稿的流程,抽查的活動必須依據技術方案嚴格定義並記錄成文檔。因而進行的質量計劃活動必須同技術計劃集成在一起。在質量計劃過程中,質量保證經理必須以獨立的身份參與項目活動,以確保產品的質量。
以下為質量管理過程中的主要行為,它是具體的質量計劃制定和執行的依據,在項目實施過程中根據項目情況制定詳細的計劃。
質量計劃主要的行為包括:
l 項目提交物的定義和進度安排
l 合約條款的回顧審查
l 提交項和檢查點的回顧審查
l 系統測試
l 錯誤管理和跟蹤
在執行質量計劃的主要任務過程中,我們有以下各項內容。
文檔規範:
l 設計規範
技術回顧審查程序:
l 文檔的回顧審查過程
l 各個檢查點的回顧審查
l 系統規格書的回顧審查
l 系統設計和詳細設計的回顧審查
缺陷管理程序:
l 缺陷跟蹤系統
l 缺陷狀態
l 缺陷識別
l 缺陷確認
l 缺陷緊急級別
l 缺陷分配
l 缺陷解決
l 測試和完成
l 缺陷跟蹤和監控
6.2.2.2 管理控制
管理控制涉及項目活動的所有方面,控制活動以項目指導委員會會議、項目保證小組會議和其他的項目會議方式來進行。會議類型包括:
項目啟動會議 – 提供一個項目的良好開端,以確保如參照、目標、承諾、調整、計劃和組織等詞彙被清楚的定義、公佈、理解並達成一致。
進度會議 – 這是一個常規會議。在會議中,項目經理和監理工程師將彙報項目當前狀況,並提供一個契機,讓項目指導委員會解決那些項目經理和監理工程師無法解決的項目問題。會議召開的頻度由雙方決定。
最後階段的評估 – 它在每個實施階段的收尾部分進行。
結案會議 – 這是項目指導委員會的最後一個會議,用來確認並接受新的系統,並正式宣佈相關的開發階段結束。
關鍵點檢查 – 這是一個定時進行的會議。項目經理和監理工程師檢查相關交付物,確認項目的技術問題,並按需要採取相應的措施。
6.2.2.3 交付控制
質量和技術控制主要針對特定階段提交的交付物,而不是針對整個階段的產品結果。目的是為了在開發階段儘可能早的確認並改正錯誤。它通常採用下面的控制機制:
質量抽查 - 每一次質量抽查,是指技術、質量保證及用戶的相關人員對交付物進行檢查,確定它已經完成、符合對它的描述、符合質量標準和相關的用戶需求。
變更控制 – 一個變更是指與一個或多個交付物相關的並且事先未知的需求改變。它需要被記錄並應採取適當措施加以控制以防變化擴大化。
系統配置管理 – 軟件配置管理提供一個正式的機制用來對交付物進行標記和歸檔,跟蹤開發狀態及它們之間的關係。
缺陷管理 – 缺陷是指已被認為正式通過後的交付物發現技術上的異常問題。它需要被記錄及改正以保持交付產品的完整性。
風險管理 – 這個控制機制用來識別、評估、監控項目風險,使項目風險對項目的破壞程度降到最小。
6.2.3 風險管理
項目管理的實施中,風險管理是一個關鍵方面。風險管理實施的好壞與否,將直接影響到整個項目實施的順利實施。以下給出了風險管理應注意的幾個方面和相關因素,並給出項目風險的決策分析。
6.2.3.1 需求風險分析
行業業務不規範,各個地方有不同的業務處理方法。
用戶沒有介入或介入不夠。
隨著該系統建設的過程,新的業務不斷出現。
6.2.3.2 技術風險
對技術難度認識不足。
所採用技術太先進,不成熟,或尚未形成標準。
6.2.3.3 管理分析
用戶領導支持力度不夠
溝通機制不健全,沒有項目交流方式的約定。
項目章程與機構無法約束重要問題。
需求變化沒有記錄和控制,對需求變化後果估計不足。
項目未按計劃執行和控制。
不定因素過多,難以計劃。
人員調度不當。
任務分配不合理。
職責機制不當、職責不清。
隊伍風氣和士氣不好。
人力計劃不足。
激勵機制執行不當。
長期疲勞工作。
人員不穩定。
個人生活因素對工作的影響。
項目負責人個人品格和素質問題。
6.2.4 進度管理
在合同簽訂1個月內在xxx市xxx圖書館內完成所有設備的安裝、調試、試運行工作,保障系統正式運行。根據項目建設內容制定更為細化的項目開發實施計劃,保障按期完成建設內容。項目階段建設內容的完成以採購方驗收合格為準;
6.2.5 問題管理
在項目中,任何不能達成一致的觀點均為爭議,爭議應立即向項目的上級單位呈報,並報項目辦公室。爭議應由可以協調爭議各方的機構加以裁決,並對裁決承擔責任。爭議裁決人由項目辦公室和實施經理選擇。
爭議的最高仲裁機構為項目協調委員會。
如項目協調委員會仍不能達成一致意見,則遵循,誰決策,誰承擔決策失誤給對方和項目帶來的損失之原則。
6.3 項目安裝調試計劃
6.3.1 設備安裝調試總體方案
我方將派遣資深工程師負責安全設備現場安裝調試與用戶指導等工作,以達到項目建設要求。在參與產品安裝調試工作中,我方人員將根據買方的安排和要求,協助買方完成整個項目的實施工作。我方將提供有關安裝調測時使用的所有工具、設備。另外調試前我方將派遣多名資深工程師對買方的實際環境進行調查研究,並制定完整的調試計劃和安裝規劃,在調試前我方將所有的調試計劃和安裝計劃提交買方確認,包括設備調試的內容、項目、指標、方法和進度,並提供相應的儀器和工具。對買方的技術人員提出的問題,我方將由現場實施工程師現場解答,或撥打800-810-5119免費技術服務熱線由總部售後服務中心工程師進行解答。我方在安裝調試過程中將總結多個文檔,所有調試過程都進行詳細記錄,系統調試結束後,由我方人員簽字後交給買方驗收。
我方將承擔實施過程中採購設備的安裝、調試、路由、策略和IP地址設置等工作,以及試運行和驗收等工作;我方將向買方或買方指定集成商提供與實施過程相關的所有技術文檔,並在買方或買方指定集成商的組織下參與現場實施工作。
在實施前我方將對買方機房實際情況進行調研,在工程實施過程中嚴格按照買方機房實際情況和總體進度要求安排施工。
在系統進入試運行後,我方在未經買方許可情況下,將不會擅自對任何設備、軟件的配置進行更改。我方所有的施工人員都受過良好的保密培訓,並具備很強的保密意識,我方將與買方簽訂保密協議,所有買方的網絡結構、設備配置將為保密協議規定保密內容,不會透露給第三方。
6.3.2 項目實施控制
任何工程項目的成功必定都具有良好的管理。為了保證對xxxxxx圖書館計算機信息系統信息網網絡安全建設、安全設備的實施和測試過程中的任何實施疑問,我們將在本次項目中採用與相關設備製造商、集成商一起來擔當實施和服務的重任,並在實施和服務的過程中受到用戶的監督。在安全項目中我們將邀請xxxxxx圖書館計算機信息系統信息網有關人員和我們組成項目管理組。針對本次網絡安全設備項目,我們將項目管理組分三個層次:
1、項目領導小組(由用戶有關負責人和華三公司、杭州迪普公司、監理公司有關負責人組成,負責戰略指導);
2、項目經理(負責統籌安排);
3、技術人員(負責執行)
各小組職責及構成為:
項目領導小組
領導小組為工程實施的最高決策機構,由用戶方和有關領導組成。其主要職責為:
1、批准本次安全產品實施總體方案,確保總體目標的實現;
2、決定本次建設項目重大問題的決策;
3、對本次安全項目的總體推進。
項目經理
項目經理具體安排整個項目的實施,他對項目領導小組負責。項目經理由項目負責人組成,其主要職責為:
1、項目統籌(項目定義、主體計劃、項目任務);
2、項目資源估計(人力、設備、技術、制訂量度標準、分配任務);
3、管理及監察(跟進項目進度、協助解決問題);
4、資源管理及調度(包括環境、設備、人員、費用、技術)、溝通及彙報(向項目領導小組彙報,與項目小組組長及三級網項目代表人員進行溝通)。
用戶代表
本系統的最終用戶,建議實行首席代表負責制。用戶代表的主要職責為:
1、配合實施單位,分析、確定應用安全需求;
2、負責網絡安全項目系統的試運行、驗收等。
其中用戶代表為總髮言人,其職責為:
1、協調內部關係和需求;
2、監督工程實施進度、質量;
3、為項目實施人員提供基本工作條件。
由於採購單位信息網網絡安全是一個龐大的複雜的項目,我們將這個項目分解為很多子項目來實施。
工程小組
由我公司派遣工程技術人員組成,負責整個網絡安全產品所涉及到的策略設計、安裝和調試,並根據用戶需求,作進一步的技術調研和系統擴展性方案。
質檢小組
由我公司工程技術人員以及用戶人員組成,負責本次安全項目的測試工作。質檢小組的人員完全獨立於工程小組。
物控小組
主要由我公司安排的物控人員組成,協調安排供貨安裝日程,與用戶、相關集成商的聯絡等事宜。
培訓小組
主要由我公司安全專家組成,負責技術培訓計劃的實施等事宜。
文檔小組
由我公司和用戶各出一人組成,主要職責負責在項目過程中的有關技術文件、資料、安裝、測試、驗收報告文檔的整理和彙編,在整個項目完成後所有文檔交付工作。
應急響應小組
由我公司派遣工程技術人員組成,主要解決在整個項目中出現重大事件問題,以及在項目完工後對整個工程提供7*24小時的安全響應工作。主要是應對突發事件的處理。
6.3.3 項目任務分解
序號
任務
內容描述
1
現場網絡環境確認
對各個安裝各個網絡安全系統現場環境進行確認和調查分析
2
制訂工程安裝實施計劃
確定各個網絡安全系統各項工程安裝工作的詳細時間安排
3
設備到貨測試
到指定的地點雙方對合同中的硬件進行測試
4
合同中安全設備簽收
按照合同的軟硬件清單簽收到貨的網絡安全產品
5
免費技術培訓
按照合同要求與招標文件對用戶以及有關的技術人員進行相應的技術培訓和安裝維護培訓,包括現場培訓和專業培訓以及集中培訓
6
合同中網絡安全產品的安裝
按照合同要求、人員安排和工程安裝實施計劃,完成合同內產品的安裝調試工作
7
單項測試
針對各個安全產品的性能檢查是否滿足實際應用環境
8
總體調試測試
安裝完成後,對整個設備及系統在實際環境中的運行整體調試測試
9
初步驗收
根據合同要求和其他需求,對其進行驗收
10
試運行
在初步驗收後投入試運行
11
正式運行
文檔交付並投入正常運行
12
緊急響應
在整個項目過程中和運行後出現故障進行響應服務
6.4 項目設備驗收方案
6.4.1 設備驗收要求
我方根據招標文件要求在供貨時提交設備(包括備機)的出廠證明、合格證書、質量檢驗報告、3C認證證書,如有進口產品需提供海關報關單複印件等資料,由招標人組織對設備進行抽驗,如發現其中有設備不合格,則整批退換。
設備驗收要求對各個單項產品的測試和系統聯機測試,均達到標書要求的功能、性能要求和產品技術規格中的性能,並在實現本項目建設目標和功能,整個系統試運行後進行。
我方負責在項目驗收時將系統的全部有關產品說明書、原廠家安裝手冊、與原廠家簽約的有關三年保修和技術支持的文件副本、相關技術文件、資料、及安裝、驗收報告等文檔彙集成冊交付設備使用單位和監理單位。
6.4.2 設備開箱
6.4.2.1 設備交付
在合同簽訂1個月內在xxx市xxx圖書館內完成所有設備的安裝、調試、試運行工作,保障系統正式運行。
另外將由我公司的資深服務工程師為執行負責人、本項目客戶經理為協助人,負責與用戶進行設備交付、安裝調試及驗收工作。如用戶未進行設備安裝規劃,則設備到貨前我公司可協助用戶依據其組織結構、規章制度、應用程序等要求,做出合理的、可行的系統和設備安裝規劃。
6.4.2.2 出廠驗收
設備出廠前的檢驗合格證由設備廠商提供。
到貨驗收
n 交貨地點要求
我方將設備、產品運送到指定地點,其運送的所有費用由我方承擔。
n 交貨地點
設備運抵現場後,我方將會同有關人員、廠家工程師對產品進行檢查,確定產品的型號、數量與合同規定是否一致,確認無誤,我方將提交完整的交驗產品的序列號登記表,同時將序列號備檔,以保證售後服務得到保障。
所有設備、器材在開箱時必須完好,無破損。配置與裝箱單相符。數量、質量及性能不低於合同要求。
拆箱後,應對其全部產品、零件、配件、用戶許可證書、資料、介質造冊登記,並與裝箱單對比,如有出入應立即書面記錄,由供貨商解決,如影響安裝則按合同有關條款處理。登記冊作為驗收文檔之一。
n 附設備進場表
項目名稱:計算機信息系統安全設備、UPS設備及相關集成項目
項目編號:SZCG2008010231
序號
設備名稱
設備型號
生產廠家
序列號
數量
開箱情況
1
□配件齊全□外觀無損壞
2
□配件齊全□外觀無損壞
3
□配件齊全□外觀無損壞
4
□配件齊全□外觀無損壞
5
□配件齊全□外觀無損壞
6
□配件齊全□外觀無損壞
7
□配件齊全□外觀無損壞
8
□配件齊全□外觀無損壞
9
□配件齊全□外觀無損壞
10
□配件齊全□外觀無損壞
11
□配件齊全□外觀無損壞
承建方: 監理方: 用戶代表: 日期:
n 附設備開箱清點表
項目名稱:計算機信息系統安全設備、UPS設備及相關集成項目
項目編號:SZCG2008010231
共 頁第 頁
序號
配置、附件、資料
設備型號
系列編號
技術指標
數量
承建方: 監理方: 用戶代表: 日期:
備註:以上表格僅供參考!
6.4.3 系統測試
6.4.3.1 系統測試要求
由客戶對到貨設備進行抽驗安裝,按照設備要求的基本功能逐一進行測試。
1、單項測試:單項產品安裝完成後,我公司進行產品自身性能的測試。設備通電測試應單臺進行,所有設備通電自檢正常後,才能相互聯結。
2、網絡聯機測試:網絡系統安裝完成後,由我公司和設備使用單位對所有采購的產品進行聯網運行,並進行相應的聯機測試。
3、設備運行正常,聯機測試通過。
4、如商檢或設備測試中發現設備性能指標或功能上不符合標書及合同時,將被看作性能不合格,設備使用單位有權拒收並要求賠償。
5、測試過程必須在用戶的參與下進行,測試的過程和結果詳細記錄,經各方簽字後作為驗收的文件之一。
6.4.3.2 通電測試
我方工程師與客戶技術人員、監理公司人員、廠家工程師將對設備進行通電測試,以檢查設備的通電狀態是否正常。一般情況下網絡設備在正常通電後,設備電源指示燈會有規律的閃爍,正常啟動後會變成綠色。所有設備的通電記錄,將提交用戶方的網管工程師簽字確認。
n 設備通電
1. 將AC電源線的一端連接到交換機背板的電源接口上。
2. 將AC電源線的另一端連接到AC電源插座上。
6.4.3.3 單機測試
在此以防火牆為例。
在通電後進行完防火牆初步設置以後,可以通過防火牆自帶操作系統來進行一些簡單的防火牆工作狀態顯示及性能測試。
第一步:檢查系統工作狀態(包括系統的電源、風扇、內存大小、防火牆的軟件版本等);
第二步:檢查模塊、端口工作狀態(包括引擎及帶分佈路由的I/O接口模塊);
第三步:檢查配置文件、備份文件,根據客戶需求配置安全策略;
第四步:用PING命令進行端口通斷測試,檢測丟包率等參數。
所有設備必須通過性能測試,並根據各個子系統測試標準進行現場測試,提供完整的測試報告。
測試設備:防火牆系統(參考)
測試項目
測試狀態及命令
測試結果
設備外包裝及配件
包裝齊全無丟失
設備外觀檢查
全新無劃痕
加電
風扇工作正常
指示燈正常(SYS、OPR燈亮)
通過CONSOLE口進行配置
檢查系統狀態
檢查系統版本
檢查模塊INTERFACE狀態
檢查防火牆啟動配置
PING TEST
ping 制定IP
備註:以上表格僅供參考!
6.4.3.4 聯機測試
各安全子系統經安裝、調整測試完成後,進入系統初驗。
為了充分保障用戶的利益,我公司將嚴格按照ISO 9000標準中的《系統集成測試作業指導書》來實施設備聯機測試工作,具體內容如下:
1.前期測試有兩個類型,各項目組根據不同的測試任務,側重面可以不同。
A、單機系統測試
根據單機性能標準對單機設備進行系統測試。在完成單機系統安裝後,由用戶協同系統組完成測試工作,並填寫《單機系統測試報告單》
B、軟件系統測試
根據軟件產品性能標準與公司規定的參數配置,結合應用軟件進行系統測試,在應用軟件安裝完成後,由項目組進行測試、軟件組配合。
2.工程質量檢查
技術部按合同技術指標在工程實施(一般由客戶負責)完成後,對工程實施質量進行檢查。內容包括:安裝標準、配置標準、交接手續、文檔資料等。
3. 系統測試流程(聯調)
4. 業務測試、技術測試
4.1 項目實施小組制定業務測試、技術測試計劃
測試計劃主要內容為:測試時間、人員、設備和測試環境的建立、測試記錄、測試數據等。技術部經理批准後執行。
4.2 業務測試
根據用戶需求,由項目實施小組相關人員在模擬網點上進行測試。
4.3 技術測試
項目實施小組測試組按照網絡技術方案,在連通網絡後進行測試。
5.測試後應經過用戶確認
測試中問題應在終驗前修正,並再次進行業務測試和技術測試。
6. 測試問題記錄要求
問題描述正確、錯誤過程記錄完整、錯誤出現操作步驟記錄準確。
7. 測試問題判別有如下幾類
a.可重複性錯誤;
b.不可重複性錯誤;
c.死機性錯誤;
d.系統數據被破壞性錯誤;
e.影響運行錯誤;
f.導致測試工作停頓性錯誤;
g.需求錯誤;
h.應用軟件錯誤;
i.設備故障性錯誤;
j.系統故障性錯誤等;
8. 測試問題記錄原則
a.一類錯誤
錯誤導致系統運行停止、網點無法做業務、數據錯誤或混亂;
b.二類錯誤
錯誤出現後,系統運行正常,其他網點運行正常,與之無關的業務點數據正確。
9. 測試報告
測試完成後,項目組編寫測試報告,由項目負責人和用戶簽字確認。
10. 測試反饋和處理
a.立即要修改的問題
死機性錯誤、系統數據被破壞性錯誤、影響其他網點運行的錯誤、導致測試工作停頓性錯誤;
b.可緩期修改的問題
需求錯誤、打印錯誤;
c.最後改正的錯誤
幫助提示等文字錯誤、菜單術語錯誤、安裝錯誤等。
11. 測試報告
a. 項目組每一項測試完成後,由項目負責人審核測試報告。
b. 主機測試應按供應廠商測試標準進行,測試報告依供方格式記錄。
c. 系統業務測試和技術測試應按規定的內容進行並形成報告。
12. 不合格項控制
依據測試標準,對測試記錄的不合格項,應及時處理,糾正後再次進行測試。
6.4.4 系統驗收
6.4.4.1 系統初驗
當我方按照網絡安全集成方案的要求完成網絡安全系統的安裝調試之後,我方網絡工程師將與客戶方技術人員、監理公司人員、廠家工程師對調試運行結果予以確認,共同確定一個系統驗收方案和文檔,然後進行系統試運行,以檢驗系統的穩定性。
當系統運行穩定後,我公司將向客戶方技術人員、監理公司人員申報網絡安全系統的初步驗收安排。網絡安全系統初步驗收將檢查以下內容:
(1)、檢查網絡安全系統是否按照合同要求完成全部預定的內容;
(2)、檢查網絡安全系統按照配置方案達到了預定的功能和性能;
(3)、現場操作測試,檢查系統運行的狀況,包括網絡安全系統的功能和性能,網絡運行速度,網絡運行的可靠性等。
(4)、檢查網絡安全系統安裝的工藝質量,外觀的美觀性,牢固性,穩定性等。
系統初驗所需文檔請參見以後的系統初驗詳細文檔。
6.4.4.2 最終驗收
在合同簽訂1個月內在xxx市xxx圖書館內完成所有設備的安裝、調試、試運行工作,保障系統正式運行。根據項目建設內容制定更為細化的項目開發實施計劃,保障按期完成建設內容。項目階段建設內容的完成以採購方驗收合格為準。
6.4.5 項目驗收文檔
為確保採購單位信息網安全項目的質量,保證客戶的利益,在工程竣工後以紙質和電子文檔方式提供所有設備完整的安裝說明及配置參數文檔和故障恢復方案,為今後的進一步的工程管理和維護提供詳盡的資料。另外根據本次項目要求我們還將提供以下項目文件,特別是各個測試驗收報告:
序號
名稱
備註
1
產品裝箱單
2
網絡環境調查單
3
開工報告
4
安裝調試驗收單
5
產品單項測試表
6
產品聯機測試表
7
節點驗收單
8
備機服務確認單
9
服務過程記錄單
10
項目試運行驗收單
11
項目施工日誌
12
項目經理施工日誌
13
突發事件分析報告
14
表格中的內容根據實際驗收條款來調整。
第7章 技術支持與售後服務
7.1 華三廠家售後服務承諾
7.1.1 熱線支持
華三公司為項目的代理商提供完善熱線支持:
免費800熱線號碼:800-8100504
服務時間:每週7天,每天24小時
7.1.2 基本技術支持
華三公司為最終用戶提供了多層次的基本技術支持保證,最大限度的保護用戶利益:
設備的現場安裝調試,將由華三公司本地技術支持部門及華三指定代理商技術人員全力配合用戶、系統集成商,根據用戶的設備配置工作要求和步驟,共同承擔對其設備的安裝調試工作。華三公司將為項目系統集成商以及最終用戶提供充分的技術培訓,使其充分掌握華三產品的技術特點及安裝調試、維護技能,以便以最快速度響應用戶需求。
華三公司企業網絡產品技術支持中心作為華三本地技術支持部門及指定代理商、項目系統集成商及最終用戶技術人員的技術支持後援,在第一層次支持遇到問題時,將提供必要的電話支持、遠程配置等方式予以支持,如果問題仍不能解決,可協商提供現場解決。
華三公司北京研發中心作為企業網絡產品研發部門,將作為華三技術支持部門及指定代理商、項目系統集成商及最終用戶最終技術支持後援。
7.1.3 售後服務
華三公司為綜合網項目供應和安裝的網絡設備提供三個月的保換期和為期一年的免費保修期,時間從驗收合格之日起計算;如需進一步的維保,可簽署相關協議。
在保修期內由於華三設備本身質量原因,而非用戶人為造成的任何損傷和損壞,華三公司負責免費修理或更換,方式是通過華三公司當地的的備件庫進行維修或更換。
華三公司在各地設有常駐用戶服務機構,處理所有維修服務,提供7*24小時服務;在接到報修通知後 2 小時內響應;對於位於市區內的故障現場,在 7 小時內趕到現場;對於位於郊縣的故障現場,在 14 小時內趕到現場;特殊地區不超過 48 小時趕到,直至故障消除,恢復正常運行為止。
7.2 防病毒廠家售後服務承諾
服務、技術、反病毒產品的關係。反病毒產品是構建反病毒體系的必要條件,反病毒技術決定反病毒產品能力的核心和基礎,反病毒服務提供反病毒體系的保障和反病毒產品的補充。
在三者的關係中,反病毒技術的優劣是反病毒服務質量的關鍵。對於反病毒軟件來說,其核心是病毒的檢測能力和清除能力,兩者缺一不可。如果一個反病毒軟件檢測能力不好,或即使能檢測出來但無法通過反病毒程序乾淨清除,就會造成用戶為清除病毒工作疲於應付,特別是在病毒爆發的情況下,反病毒服務的成本支出會大大增加,構建的反病毒體系在病毒爆發時就變得不堪一擊。Kaspersky反病毒軟件得益於其優秀得掃描引擎性能,被全球眾多反病毒廠商、防火牆廠商、郵件服務器開發商集成到其產品中,使其具有反病毒的功能。在清除病毒方面,只須更新病毒庫而無須更新掃描引擎,就可清除病毒,大大減輕企業反病毒管理人員的工作負擔。得益於其強大的病毒清除能力,出現新病毒無須通過分發病毒清除工具,只需執行手動掃描就可完全清除病毒(包括被感染的系統進程),使管理員可把更多精力放在反病毒管理和反病毒體系的正常運作上。
從反病毒服務來說,大致可分為反病毒廠商的基本服務、日常服務和緊急事件響應三部分。反病毒廠商的基本服務包括病毒庫的更新頻率、通訊方式的7×24小時技術支持、新病毒信息的發佈等等;日常服務包括反病毒技術和知識的培訓、反病毒產品的安裝實施、反病毒策略的制定、病毒預警通知、電話和電子郵件支持、上門服務等等;緊急事件響應包括上門服務、新病毒上報、分析影響範圍、確定感染現象、採取有效的控制措施、尋求解決方案和事件處理報告等等。
反病毒服務的作用體現在如下幾個方面:
1. 安全產品本身的價值要靠服務體現,如病毒庫的更新等,沒有後續服務的安全產品是過時的產品。
2. 病毒出現的不確定性和反病毒的滯後性。
3. 病毒製作技術不斷變化,除反病毒廠商跟進外,也需要服務商的專業技術服務支持
4. 不存在可有效攔截任何未知病毒的技術和反病毒軟件,用已知技術防範未知病毒先天不足,需要通過服務保證反病毒體系的正常運作。
5. 病毒事件的處理涉及專業反病毒知識,必要時須通過網絡設備的訪問控制策略防範病毒侵入和擴散
6. 反病毒安全涉及多個方面,包括反病毒管理制度、系統加固、關閉不必要的網絡協議和端口、安全操作意識等等。
7.2.1 反病毒安全管理策略
1. 首先,在病毒可能的入侵點(網關、郵件服務器、文件服務器、工作站)安裝反病毒軟件,攔截和控制病毒的傳播渠道。
2. 反病毒軟件必須經常更新,保持在最新的反病毒狀態。
3. 打開郵件時不要直接雙擊附件,更不要雙擊可運行程序,特別是看起來象圖片或其他格式的電子郵件附件。正確處理方法是雙擊郵件,先保存附件,如果反病毒軟件沒有病毒報告,再嘗試打開附件查看。注意有誘惑力的電子郵件,大部分可能都是病毒郵件。
4. 及時安裝操作系統和應用程序補丁,防止通過操作系統或應用程序漏洞傳播的病毒。
5. 不要訪問不可信站點,造成木馬等惡意程序感染計算機
6. 設置不要隱藏文件的擴展名,便於及時發現病毒修改了文件擴展名。
7. 不要隨意執行通過網絡聊天軟件傳送的可執行文件。
7.2.2 完善的反病毒服務體系
完善的產品服務
企業配備了先進的計算機反病毒產品,需要一個完善的服務體系來確保該系統的正常工作,並不斷通過升級、更新使系統效能得到充分的發揮,才能確保企業的反病毒體系真正起到杜絕病毒進入內部網絡的作用。
選擇一個有豐富反病毒服務經驗、瞭解最新反病毒狀況、可及時獲得使用反病毒產品使用中出現的問題解決方案、熟悉新病毒出現時的應急處理並能提供有效解決辦法的專業反病毒服務商,並與之建立長期有效的服務關係,能從新產品新技術的採用、軟件產品的升級換代、病毒事件的應急處理等多方面、全方位為企業提供全面反病毒技術支持,對保證企業的網絡系統的病毒安全防護就顯得非常重要。卡巴斯基是目前國內適合上述服務的領先公司之一,能夠為企業提供完善的反病毒產品服務。
完善的安全管理服務
根據對目前國內外計算機病毒的發展現狀和危害程度的分析,業界公認正確使用和快速反應成是病毒防範體系的重要內容,卡巴斯基將完善的計算機系統安全防範理念和長期積累的實踐經驗應用於企業的計算機反病毒體系,協助用戶建立完善的反病毒安全管理體系。
及時的培訓支持服務
病毒安全產品不同於一般的軟件產品,在互聯網迅速發展的今天,時時刻刻都有最新的電腦病毒出現並藉助互聯網迅速傳播,一個惡意病毒在20分鐘內可到達世界上任一角落,即使與互聯網沒有連接的網絡,也存在被病毒侵入的風險。只要企業內部網絡中有一臺機器被感染,就可在這個內部網絡中形成爆發的態勢。因此病毒知識、軟件使用、安全理念、防範措施、應急事件響應、病毒事件的處理等多方面的內容需要不斷更新和提高,卡巴斯基將為xxx市xxx圖書館防提供完善及時的培訓支持服務,以幫助xxx市xxx圖書館防的系統管理人員和使用者更好地掌握上述知識和技能。
7.2.3 快速響應的服務中心網絡
從多年反病毒服務中,北京卡巴斯基瞭解到,很多反病毒產品用戶缺乏專業的反病毒知識,也不可能通過幾次培訓就能達到反病毒專業水平,另外用戶也沒有足夠的精力跟蹤反病毒的動態,無法獨立解決每一次的病毒事件。特別是緊急情況下,用戶迫切需要專業的反病毒上門服務,以解決燃眉之急,如果依靠反病毒廠商千里迢迢趕赴現場,可能給用戶帶來巨大的損失。因此,北京卡巴斯基根據多年反病毒服務的經驗,在全國通過建立各地授權服務中心,直接提供本地化的專業反病毒服務。在這個專業化的服務體系中,北京卡巴斯基負責各地服務中心技術服務人員的專業認證培訓,達到要求後給服務中心授權。得到授權的服務中心提供所在省市範圍內所有Kaspersky用戶的維護和上門服務,以保證反病毒的快速響應。目前我們已在上海、杭州、廣州、南京、石家莊、成都、瀋陽、大連、濟南、長春、鄭州、烏魯木齊、西安、南通等地建立了服務中心,其他省市的服務中心正在籌建中。各省市服務中心可自建各地市Kaspersky反病毒二級服務中心,並經過培訓獲得北京卡巴斯基的認證。
此外,北京卡巴斯基還通過上班時間工作電話、電子郵件技術支持,並提供全天24小時移動電話的技術支持服務。在各地服務中心遇到無法處理的事件時,可隨時聯絡北京卡巴斯基提供技術指導和現場服務。這樣,通過組建全國的一級和二級服務中心,實現專業反病毒的快速反應,給廣大Kaspersky用戶提供優質高效的反病毒專業服務。
7.2.4 服務內容
A. Kaspersky提供7X24X365的電子郵件與電話支持;
B. 免費提供一年反病毒軟件版本升級及技術服務;
C. 技術支持響應時間保證:
ü 對提交的可疑文件(包括新病毒),卡巴斯基科技公司在接到可疑文件的24小時內給予答覆。
ü 緊急情況下,如果可疑病毒開始在系統內大量擴散,卡巴斯基會在收到可疑程序後的一小時內向xxx市xxx圖書館防提供緊急應對方法。
ü 在接到xxx市xxx圖書館防提出的問題後,卡巴斯基將跟據問題的種類和緊急程度以及先後順序,保證在規定時間內向xxx市xxx圖書館防作出響應和提供相應的支持。問題種類和響應級別參照下表。
嚴重性
定義
反應時間
問題解決時間
A
最高級
Critical
軟件死鎖、沒有反應。
病毒爆發、大量擴散。
30分鐘
1個工作天
B
緊急
Urgent
系統主要功能無法執行。
系統性能突然嚴重降低。
4小時
2個工作天
C
重要
Important
系統出現錯誤,不過有變通方法可以暫時運作。
系統出現細微錯誤,不影響日常正常作業。
一般性的產品使用問題。
1個工作天
3個工作天
D
普通
Normal
索取產品更新(非電子數據方式)。
索取一般信息。
1個工作天
3 – 5個工作天
注:以上解決問題的時間,是基於用戶的良好配合
D. 反病毒軟件的更新:
在服務期內,為xxx市xxx圖書館防提供免費的病毒庫更新服務和產品升級信息。至於是否升級產品,由xxx市xxx圖書館防提出要求。
E. 免費緊急事件響應:
發生緊急事件(病毒爆發)時xxx市xxx圖書館防應立即通知北京卡巴斯基,北京卡巴斯基應瞭解病毒爆發狀況,如病毒爆發地點、病毒感染現象等確定參與緊急事件響應技術人員和響應方式。
如果出現的緊急情況需要現場支持,北京卡巴斯基將提供現場支持服務,響應時間參照響應條例並加上路途所需時間。
對於出現的緊急情況,北京卡巴斯基科技公司將以最有效的方式處理出現的問題,並不限於xxx市xxx圖書館防所使用的產品,確保將損失降低到最低程度。
F. 通過通訊方式提供技術服務
在服務期間內,北京卡巴斯基承諾免費xxx市xxx圖書館防提供計算機病毒防治技術諮詢服務。服務方式可通過電話、電子郵件、傳真等。
地址:北京市朝陽區廣渠門外大街8號優士閣505(郵編:100022)
電話:010-58612570
傳真:010-58612576
(24小時技術支持): 022-66211266
7.3 UPS廠家售後服務承諾
7.3.1 三年保修、全國聯保
客戶自購買日起,所購買之山特全系列UPS及從山特公司購買的蓄電池(用在山特長延時UPS上),均享有三年免費的維修服務。
為了用戶能及時、方便獲得售後服務,山特UPS實行全國聯保。且無論在何處購買,均可就近得到維修和其他服務支持。遍佈全國的服務網點,包括:1個客服中心、8個客服部、30個服務站,其服務網點遍佈全國25個省、市、自治區。每個服務網點都擁有15人以上具有實踐經驗及專業技術的服務工程師,並具有充足的維修備件。以統一的服務形象,為用戶提供全方位服務。
7.3.2 小時免費服務熱線
山特開通了800免付費熱線電話 8008303938,方便用戶對山特服務、產品、技術、業務等問題進行諮詢。
用戶可隨時撥通山特熱線,24小時×365天全天候為您提供服務,解決客戶在UPS選購、使用維護等過程中遇到的所有問題。
7.3.3 網上技術服務支持
山特提供中英文網站服務(http://www.santak.com.cn),提供產品資訊、售後服務、監控軟件等信息,您可以在山特網站上尋找所需要的資訊。
山特提供專家信箱服務([email protected]),由專家及時為您在UPS使用過程中排憂解難。
山特提供免費軟件升級服務及相關技術資料,並提供相應的技術支持。完成智能監控及網絡管理功能。
7.3.4 保修期內提供免費上門維修服務
保修期內提供免費上門維修服務,專指容量在6KVA(含)以上UPS。
6KVA(含)以上機器發生故障時,只要您和山特公司取得聯繫,工程師2小時響應到現場免費服務、配件損壞後免費更換服務及備件應急頂用免費服務,享受山特快捷準確的專業服務。不可抗力的因素除外,如飛機延誤、自然災害等。
現場服務結束後,由山特專業服務人員提供電話回訪服務,瞭解機器修復後的運行狀況及解答客戶的疑問,並及時反饋客戶意見和建議,提升服務品質,提高客戶滿意度。
7.3.5 終生維護保養服務
購買山特UPS和從山特公司購買的蓄電池(用在山特長延時UPS上)均可享有三年保修服務。超過保修期的UPS,客戶仍可享受山特公司完善的續保售後服務體系。
凡為山特UPS用戶,從購買之初,至產品使用週期的結束,均可享受山特提供的各種服務項目。
7.3.6 售後服務承諾書
第8章 項目培訓方案
8.1 項目培訓方案
為了保證項目順利實施和本項目所採購的安全設備的運行和維護,華三公司、杭州迪普公司將為本項目提供相關培訓,使客戶方技術人員等通過培訓可以對本次採購的安全設備進行維護和管理。
8.1.1 培訓計劃表
使客戶方技術人員掌握產品、系統的安裝調試等基本日常操作,對系統故障具備基本的分析判斷能力和處理能力。
l 瞭解網絡安全技術知識;
l 熟悉網絡安全產品的配置、管理等;
l 瞭解計算機網絡安全目的和安全技術、法律法規;
l 能夠獨立配置網絡安全設備的安全策略等;
l 對網絡安全設備在測試階段、演練階段、正式比賽階段的維護和管理;
l 能夠獨立維護網絡安全設備並排除常見疑難問題;
l 安全事情應急響應;
8.1.2 培訓講師
現場實施工程師、廠家認證工程師、邀請第三方安全評測專家。獲得CISP網絡工程師、TCSP安全工程師相關的認證。
8.1.3 培訓範圍
培訓範圍為本項目中的網絡安全管理員培訓和使用部門的培訓, 3人不少於1周時間免費原廠認證培訓。
8.1.4 培訓內容
1、信息安全理論:信息安全保障體系、信息安全模型、信息安全測評認證;
2、信息安全技術:密碼技術、網絡與通信安全、防火牆、入侵防禦技術、VPN、PKI/CA、UNIX安全管理、Windows安全管理、數據庫安全管理、惡意代碼、安全編程;
3、安全工程及管理:安全管理體系、風險評估、安全工程、應急響應、災難備份和恢復、安全攻防、物理安全。
4、廠家安全產品技術培訓:
1、防火牆系統安裝、配置、測試與維護
2、SSL VPN系統安裝、配置、測試與維護
3、入侵防護系統安裝、配置與維護
4、防病毒系統安裝、配置與維護
8.1.5 培訓達到的效果
為了保證系統穩定運行,提高系統使用效率,需要對客戶技術人員提供全方位的培訓。通過培訓,使用戶對該系統和網絡有充分了解,熟悉系統的設計原理和工作方式,掌握系統的工作流程和操作方法,協助用戶建立一支技術過硬、業務精通的應用及維護隊伍。
能夠熟練掌握本項目中各個廠家提供安全技術知識和產品的維護、故障處理等。