网御网络审计系统LA-OS-方案模版-346

1、矮网御网络审计系疤统-运维安全管氨控型（LA-OS）方案模板佰北京袄网御星云信息技把术有限公司文档修订记录吧版本号艾日期阿修订者袄修订说明搬V3.0.0.靶x柏2014奥-08-13捌李彬瓣创建目 录TOC o 2-3 t 标题 1,1项目概述 PAGEREF _Toc399422156 h 5阿1氨傲安全现状分析拌 PAGEREF _Toc399422157 h 熬5按1.1哎翱内部人员操作的案安全隐患哀 PAGEREF _Toc399422158 h 隘5伴1.2凹爱第三方维护人员芭安全隐患矮 PAGEREF _Toc399422159 h 芭5爸1.3澳隘高权限账号滥用奥风险把 PAGE

2、REF _Toc399422160 h 叭6颁1.4爸皑系统共享账号安佰全隐患艾 PAGEREF _Toc399422161 h 稗6翱1.5笆蔼违规行为无法控靶制的风险背 PAGEREF _Toc399422162 h 袄6暗2百胺运维安全管控系搬统方案设计颁 PAGEREF _Toc399422163 h 奥6翱2.1懊哀建设原则颁 PAGEREF _Toc399422164 h 碍6耙2.2颁昂总体目标奥 PAGEREF _Toc399422165 h 拔7伴2.3疤邦建设思路背 PAGEREF _Toc399422166 h 耙8袄3哀胺运维管控系统解哎决方案坝 PAGEREF _To

3、c399422167 h 俺8凹3.1坝唉系统总体设计邦 PAGEREF _Toc399422168 h 懊8皑3.1.1叭败系统概述哀 PAGEREF _Toc399422169 h 把8靶3.1.2埃碍系统组成扮 PAGEREF _Toc399422170 h 安9爸3.1.3爱拜技术架构凹 PAGEREF _Toc399422171 h 靶10把3.2敖拜系统主要功能背 PAGEREF _Toc399422172 h 凹11拜3.2.1氨鞍用户认证与芭SSO绊 PAGEREF _Toc399422173 h 矮11板3.2.2百颁自动改密坝 PAGEREF _Toc399422174 h

4、 啊12盎3.2.3办挨访问授权管理斑 PAGEREF _Toc399422175 h 阿12皑3.2.4傲笆二次审批敖 PAGEREF _Toc399422176 h 拔13案3.2.5耙昂告警与阻断吧 PAGEREF _Toc399422177 h 搬14安3.2.6澳哎实时操作过程监傲控癌 PAGEREF _Toc399422178 h 胺15把3.2.7坝氨历史回放埃 PAGEREF _Toc399422179 h 柏15暗3.2.8安盎审计报表胺 PAGEREF _Toc399422180 h 巴16摆3.巴2.9跋摆审计存储昂 PAGEREF _Toc399422181 h 肮16

5、按3.3坝稗系统功能特点盎 PAGEREF _Toc399422182 h 安16艾3.3.1芭昂运维协议支持广吧 PAGEREF _Toc399422183 h 办17班3.3.2俺扮对用户网络影响捌最小伴 PAGEREF _Toc399422184 h 巴17摆3.3.3肮扳多种部署方式，败适应多变业务场昂景霸 PAGEREF _Toc399422185 h 暗17吧3.3.4般鞍友好的用户交互鞍体验唉 PAGEREF _Toc399422186 h 啊17巴3.4佰挨系统部署跋 PAGEREF _Toc399422187 h 隘17邦3.4.1班岸单台部署唉 PAGEREF _Toc39

6、9422188 h 扮18捌3.4.2隘扮双机部署笆 PAGEREF _Toc399422189 h 佰19埃3.4.3昂颁分布式部署熬 PAGEREF _Toc399422190 h 啊20班4岸哀项目实施计划哎 PAGEREF _Toc399422191 h 叭20拔4.1拜靶投入技术力量拌 PAGEREF _Toc399422192 h 扮20疤4.1.1岸搬项目人员组织结爸构拜 PAGEREF _Toc399422193 h 挨21笆4.1.2碍啊项目实施人员情拌况隘 PAGEREF _Toc399422194 h 笆23半4.2俺拔项目实施计划爸 PAGEREF _Toc399422

7、195 h 芭24盎4.2.1白啊成立项目小组按 PAGEREF _Toc399422196 h 矮26稗4.2.2吧矮第一次工程协调啊会搬 PAGEREF _Toc399422197 h 板26吧4.2.3芭邦设备交货爸 PAGEREF _Toc399422198 h 瓣26唉4.2.4颁邦到货验收瓣 PAGEREF _Toc399422199 h 俺27办4.2.5鞍扒施工准备瓣 PAGEREF _Toc399422200 h 伴28白4.2.6傲靶第二次工程协调绊会版 PAGEREF _Toc399422201 h 肮28败4.2.7敖稗系统实施办 PAGEREF _Toc3994222

8、02 h 巴28艾4.2.8班颁文档整理和现场扮培训百 PAGEREF _Toc399422203 h 版29阿4.2.9俺按终验佰 PAGEREF _Toc399422204 h 埃29跋4.2.10佰俺技术支持阿 PAGEREF _Toc399422205 h 白29笆4.2.11昂氨培训计划板 PAGEREF _Toc399422206 h 翱30挨5半巴项目管理方案熬 PAGEREF _Toc399422207 h 叭32百5.1敖哀项目管理标准癌 PAGEREF _Toc399422208 h 笆32氨5.2凹败质量管理癌 PAGEREF _Toc399422209 h 氨32扮5.

9、2.1稗岸质量管理的方法背 PAGEREF _Toc399422210 h 皑32隘5.2.2案百不合格品管理半 PAGEREF _Toc399422211 h 佰33皑5.2.3隘癌质量统计分析工罢具熬 PAGEREF _Toc399422212 h 半33盎5.2.4翱安质量改进埃 PAGEREF _Toc399422213 h 巴33伴5.2.5把拜变更控制管理伴 PAGEREF _Toc399422214 h 盎34拔5.2.6班吧项目沟通管理扮 PAGEREF _Toc399422215 h 罢36袄5.2.7叭笆项目成本管理版 PAGEREF _Toc399422216 h 暗37

10、巴5.2.8斑奥项目风险管理懊 PAGEREF _Toc399422217 h 跋37碍6皑败项目咨询方案暗 PAGEREF _Toc399422218 h 罢40哀6.1.1霸耙现场安装需求调隘研绊 PAGEREF _Toc399422219 h 澳40吧6.1.2唉拜制定详细的实施板技术方案绊 PAGEREF _Toc399422220 h 笆41项目概述澳随着罢XXXX爱企业信息化应用唉的迅速发展，企爸业内部的各种业搬务和经营支撑系懊统不断增加，网靶络规模也迅速扩蔼大。由于信息系叭统运维人员和业斑务系统的管理人把员掌握着系统资矮源管理的最高权扒限，一旦操作出爸现安全问题将会把给企业带来巨

11、大扒的损失，加强对鞍运维管理人员操哎作行为的监管与唉审计成为信息安邦全发展的必然趋爱势。傲在此背景之下，矮XXXX拜企业计划针对运芭维操作和业务管吧理与审计进行堡百垒机项目建设。澳堡垒机提供了一岸套多维度的运维哀操作管控与审计昂解决方案，使得摆管理人员可以对霸网络设备、服务伴器、安全设备、摆数据库等资源进叭行集中账号管理碍、细粒度的权限扮管理和访问审计百，帮助企业提升白内部风险控制水捌平。安全现状分析肮内部人员爸操作的安全隐患坝随着阿XXXX耙企业信息化进程拜不断深入，企业昂的业务系统变得昂日益复杂，由内爱部员工违规操作拜导致的安全问题暗变得日益突出起埃来。防火墙、防案病毒、入侵检测安系统等常

12、规的安肮全产品可以解决百一部分安全问题碍，但对于内部人颁员的违规操作却奥无能为力。芭根据FBI和C版SI对484家捌公司进行的网络巴安全专项调查结办果显示：超过7蔼0%的安全威胁盎来自公司内部，肮在损失金额上，凹由于内部人员泄翱密导致了605叭6.5万美元的摆损失，是黑客造般成损失的16倍拌，是病毒造成损白失的12倍。另鞍据中国国家信息艾安全测评中心调皑查，信息安全的捌现实威胁也主要笆为内部信息泄露蔼和内部人员犯罪翱，而非病毒和外敖来黑客引起芭第三方维护人员稗安全隐患板XXXX袄企业在发展的过邦程中，因为战略般定位和人力等诸翱多原因，越来越昂多的会将非核心爸业务外包给设备柏商或者其他专业伴代维

13、公司。如何捌有效地监控设备扳厂商和代维人员蔼的操作行为,并芭进行严格的审计阿是企业面临的一懊个关键问题。严碍格的规章制度只爱能约束一部分人盎的行为，只有通办过严格的权限控疤制和操作审计才俺能确保安全管理奥制度的有效执行埃。办高权限账号滥用跋风险般因为种种历史遗盎留问题，并不是霸所有的信息系统班都有严格的身份阿认证和权限划分颁，权限划分混乱哎，高权限账号（艾比如root账翱号）共用等问题鞍一直困扰着网络肮管理人员，高权隘限账号往往掌握挨着数据库和业务般系统的命脉，任阿何一个操作都可斑能导致数据的修肮改和泄露，最高癌权限的滥用，让柏运维安全变得更八加脆弱，也让责阿任划分和威胁追哎踪变得更加困难盎。

14、唉系统共享账号安袄全隐患哎无论是内部运维傲人员还是第三方败代维人员，基于捌传统的维护方式耙，都是直接采用氨系统账号完成系啊统级别的认证即肮可进行维护操作稗。随着系统的不颁断庞大，运维人八员与系统账号之伴间的交叉关系越柏来越复杂，一个背账号多个人同时蔼使用，是多对一敖的关系，账号不吧具有唯一性，系版统账号的坝密码策略很难执搬行昂，艾密码修改要通知伴所有知道这个摆账号把的人艾，岸如果有人离职或耙部门调动，密码跋需要立即修改霸，疤如果密码泄露无坝法追查扒，瓣如果有误操作或暗者恶意操作，无白法追查到责任人办。笆违规行为无法控颁制的风险吧网络管理员总是昂试图定义各种操霸作条例，来规范皑内部员工的网络矮访

15、问行为，但是澳除了在造成恶性背后果后追查责任癌人，没有更好的拔方式来限制员工百的合规操作。而八事后追查，只能叭是亡羊补牢，损氨失已经造成。跋运维安全管控系疤统吧方案氨设计建设原则碍随着信息技术的瓣发展，癌XXXX背已经建立了比较扒完善的信息系统背，具有网络规模矮大、用户数多、拜系统全而复杂等傲特点。捌IT柏建设的核心任务版是运用现代信息疤技术为企业整体霸发展战略的实现邦提供支撑平台并翱起到推动作用。奥信息安全作为胺IT捌建设的组成部分哀，核心任务是综吧合运用技术、管邦理等手段，保障艾企业笆IT哎系统的信息安全把，保证业务的连胺续性。信息安全板是白XXXX皑正常业务运营与巴发展的基础；是俺保证网

16、络品质的暗基础；是保障客巴户利益的基础。跋根据集团的相关艾规范的指导意见案，我们根据捌对哎XXXX办信息系统具体需懊求的分析，结合罢等级保护安全评班估的要求，在对癌XXXX绊系统进行安全建把设时，我们所遵班循的根本原则是般：八1、业务保障原熬则：阿安全建设的根本半目标是能够更好巴的保障网络上承矮载的业务。在保斑证安全的同时，安还要保障业务的颁正常运行和运行巴效率。搬2、结构简化原安则：傲安全建设的直接唉目的和效果是要矮将整个网络变得胺更加安全，简单佰的网络结构便于瓣整个安全防护体白系的管理、执行皑和维护。氨3、生命周期原昂则：拔安全建设不仅仅肮要考虑静态设计昂，还要考虑不断颁的变化；系统应胺具

17、备适度的灵活罢性和扩展性。总体目标扳本次在艾XXXX瓣业务系统建立版运维安全奥管理系统，实现板全局的策略管理哀、统一访问Po奥rtal页面搬、集中安身份敖认证、统一授权绊及认证请求转发氨等功能，岸对艾XXXX巴业务系统的系统爱资源暗账号、维护操作爱实施集中管理、俺访问认证、集中扳授权和操作审计跋。伴通过本次盎安全运维管控系哀统哎的建设，最终达邦到以下目标：靶通过颁运维安全管控系澳统的建设颁为颁XXXX艾的隘系统资源运维人败员奥提供统一的入口瓣，支持肮统一疤身份认证手段懊。在完成统一认摆证后，根据账号俺所具有访问权限巴发布、管理、登捌录各个扮主机、网络设备啊、数据库胺。艾系统岸应暗根据瓣“哀网络

18、爱实名制般”败原则记录用户从哎登袄录系统直至退出白的全程访问、操版作日志，并芭以方便、友好的拜界面方式提供对颁这些记录的操作颁审计功能。扒系统应具备灵活蔼的管理和扩展能傲力，系统扩容时摆不会对系统结构熬产生较大影响。背系统应具备灵活半的授权管理功能稗，可实现一对一版、一对多、多对翱多的用户授权。建设思路斑为实现哎XXXX霸公司构建针对人巴员帐户管理层面版全面完善的吧安全运维管控系背统绊需要，捌在本项目的实施癌过程中，摆网域星云挨将根据矮“捌以用户身份集中啊管理的思路为核拌心，建立全局唯扒一的权威身份信叭息源，可在一点般集中管理用户身矮份和权限，从而柏降低管理成本爸”罢的思路，在统一般用户身份的

19、基础板上，实现各个跋系统资源懊的单点登录、统俺一认证、统一授奥权、审计等信息唉的集中统一管理佰，并提供与俺用户把现有的数字证书矮系统进行系统集绊成的解决方案，背规划合理、高效败的用户身份管理矮流程。耙本项目建成后，吧对于用户来说，巴将实现只需进行啊一次登录，就可扒以背维护般不同的坝主机、网络设备叭、数据库等皑，并能方便的来霸回切换访问；对隘于管理员来说，百将实现对用户信扳息、胺设备八信息、访问控制矮信息等统一定义半和描述，能确保拌信息的一致性；般只需在鞍运维安全管控隘系统进行统一配颁置管理和维护巴，降低工作量和百复杂度。伴运维管控按系统澳解决跋方案系统总体设计系统概述案网御网络审计系肮统-运维

20、安全管背控型（以下简称巴网御背LA-O版S）靶，是鞍网域星云案综合内控系列产百品之一。啊网御办LA-OS扮是针对业务环境斑下的用户运维操凹作进行控制和审隘计的合规性管控癌系统。它通过对哀自然人身份以及鞍资源、资源账号扳的集中管理建立安“哀自然人账号俺奥资源埃罢资源账号翱”靶对应关系，实现疤自然人对资源的盎统一授权，同时背，对授权人员的百运维操作进行记案录、分析、展现唉，以帮助内控工班作事前规划预防瓣、事中实时监控翱、傲违规行为响应、凹事后合规报告、斑事故追踪回放，败加强内部业务操胺作行为监管、避懊免核心资产（服叭务器、网络设备背、安全设备八等）损失、保障癌业务系统的正常哎运营。系统组成叭网御拌

21、LA-OS罢由WEB模块、般协议代理模块、凹行为审计模块和唉应用发布模块和唉存储模块组成。WEB模块懊为用户提供we罢b方式访问系统白的界面。管理员败用户在界面中进霸行运维用户管理巴、设备及帐号管胺理、用户授权管跋理和运维审计管笆理等管理功能；袄运维用户在界面熬中进行资源单点昂登录等操作。协议代理模块暗实现对主机、数靶据库、网络设备瓣维护过程中的协哎议数据包代理转敖发、行为还原及暗记录、高危/违巴规行为阻断等功叭能。行为审计模块柏实现对行为操作盎的审计功能，包隘括实时高危/违阿规行为的告警、拔实时监控、历史鞍数据检索及报表肮统计等功能。岸应用发布模块（瓣可选）霸安装在Wind懊ows澳服务器上

22、，用于吧发布非标准协议伴或俺应用客户端白，如IE、pl白sql、sql颁plus、pc癌anywher笆e等。可实现对败应用客户端工具摆的自动调出、密拜码代填和操作审氨计功能。技术架构协议代理模块应用发布模块系统主要功能澳用户蔼认证与SSO瓣在信息系统的运拜维操作过程中，颁经常会出现多名败维护人员共用设白备（系统）账号柏进行远程访问的敖情况，从而导致罢出现安全事件无傲法清晰地定位责芭任人。邦网御白LA-OS半为每一个运维人瓣员创建唯一的运疤维账号（主账号翱），运维账号是坝获取目标设备访拔问权利的唯一账按号，进行运维操凹作时，所有设备熬账号（从账号）班均与主账号进行矮关联，确保所有隘运维行为审计

23、记坝录的一致性，从哎而准确定位事故拌责任人，弥补传案统网络安全审计百产品无法准确定班位用户身份的缺澳陷，有效解决账澳号共用问题。按网御扮LA-OS佰支持多种身份认扮证方式：本地认证巴Radius认蔼证LDAP认证AD域认证等凹网御肮LA-OS哎系统还支持SS绊O功能，运维人凹员一次登陆，即蔼可访问所有目标罢资源，无需二次板输入用户名、口拌令信息。隘网御百LA-OS版部署后，运维人唉员可以通过不同板的方式对目标对盎象进行访问、维邦护：昂WEB控件方式扮访问，所有协议熬均可通过WEB氨控件瓣方式从WEB直挨接发起访问，访袄问过程支持IE邦（7-11捌版本）拜浏览器；靶支持通过WEB捌直接调用本地客

24、板户端方式进行访敖问；坝运维人员登录巴网御岸LA-OS唉系统时，系统会霸根据访问授权列扳表自动展示授权吧范围的主机，避盎免用户访问未经敖授权主机。自动改密绊网御吧LA-OS摆支持主机系统账岸号的密码维护托傲管功能，系统支邦持自动定期修改百Linux、U氨nix、Win版dows、AI斑X以及Orac版le、SqlS敖erver、P百ostgreS阿QL、MySq凹l凹的内置扒账号密码。案自动密码管理支罢持以下功能：阿设定密码复杂度安策略；般针对不同设备制隘定不同改密计划把；把设定改密计划的佰自动改密周期；霸支持随机不同密俺码、随机相同密俺码、手工指定密敖码等新密码设定啊策略；般改密结果自动发鞍

25、送至指定密码管伴理员邮箱；白设定指定的改密哎对象，支持AD扒域账号改密；扒手工下载部分或拌全部密码列表；哎自动改密结果确办认功能，密码管耙理员必须人工确拜认已经下载或收霸到密码文件；否扒则改密计划自动笆停止执行，确保阿改密过程可靠性阿；爸改密结果高强度肮加密保护功能斑。访问授权管理敖网御皑LA-OS胺系统通过集中统吧一的访问控制和碍细粒度的命令级版授权策略，确保把每个运维用户拥凹有的权限是完成邦任务所需的最合傲理权限。巴基于向导式的配笆置过程；矮支持基于用户角扒色的访问控制（氨RBAC 岸,爱Role-Ba哎sed Acc扳ess Con爸trol稗）。管理员可根拔据用户、用户组斑、访问主机、

26、目班标系统账号、访巴问方式设置细粒霸度访问策略；唉支持基于时间的八访问控制；半支持基于访问者罢IP的访问控制蔼；巴基于指令（黑白瓣名单）的访问控巴制；爱除访问授权之外扮，把网御安LA-OS般还支持针对访问半协议进行深层控按制，比如：翱限制SSH协议耙使用SFTP扒限制RDP访问罢使用剪贴板功能皑限制RDP访问扳使用磁盘映射功绊能胺是否启用强制审翱批功能（访问和扳操作前必须经过办管理员审批）俺是否启用备注功把能（访问前必须捌先填写维护内容蔼）二次审批板网御昂LA-O哀S耙支持根据需求对办特殊访问与操作傲进行二次审批功奥能，该功能可以碍进一步加强对第懊三方人员访问或耙关键设备访问操败作的控制力度，

27、矮确保所有访问操矮作都在实时监控柏过程中进行。碍二次审批功能支凹持以下两种方式半：罢对新建远程访问稗会话进行审批稗对特殊指令执行懊进行审批胺由于每次访问操蔼作都需要管理员懊进行审批确认，案该功能也可以代吧替部分客户使用百的双人密码管理靶方式。告警与阻断办网御芭LA-OS摆系统支持根据已暗设定的访问控制板策略，自动检测哀日常运维过程中百发生的越权访问俺、违规操作等安啊全事件，系统能办够根据安全事件澳的类型、等级等澳条件进行自动的霸告警或阻断处理胺。八阻断未经授权用按户访问主机；皑阻断从异常客户稗端、异常时间段败发起的访问行为盎；埃阻断指令黑名单扮的操作行为；搬阻断方式支持：盎断开会话、忽略蔼指令

28、；鞍告警方式支持：澳以SYSLOG耙、短信、邮件、奥SNMP皑方式实时发送告澳警信息爱。版实时操作过程监昂控扳对于所有远程访绊问目标主机的会瓣话连接，吧网御案LA-OS暗均可实现操作过俺程同步监视，运耙维肮人员在远程主机矮上做的任何操作隘都会同步显示在吧审计人员的监控拜画面中。艾 隘实时同步显示操敖作画面；按支持翱vi、smit阿、setup等罢字符菜单操作同疤步显示爱；历史回放袄网御唉LA-OS傲能够以视频回放芭方式，可根据操胺作记录定位回放艾或完整重现维护疤人员对远程主机稗的整个操作过程坝，从而真正实现癌对操作内容的完笆全审计。捌以WEB在线视芭频回放方式重现耙维护人员对服务碍器的所有操作

29、过阿程，无须在客户扒端安装播放客户搬端软件跋；扳支持从特定操作稗指令开始进行定霸位回放；佰支持倍速/低速耙播放、拖动、暂氨停、停止、重新版播放等播放控制搬操作；澳支持空闲时间过俺滤；审计报表半网御扒LA-OS败系统拥有强大的凹报表功能，内置八能够满足不用客傲户审计需求的安俺全审计报表模板拌，支持自动或手扒工方式生成运维肮审计报告，便于笆管理员全面分析拌运维的合规性。懊系统内置多种运扮行维护报表模板斑；碍支持版以html、C啊SV方式生成并熬导出报表八；疤支持鞍管理员自定义审瓣计报表啊；败支持胺以日报、周报、柏月报的方式自动捌生成周期性报表佰。审计存储伴网御皑LA-OS皑系统支持自动化八审计数据

30、存储管叭理，管理员可以阿对审计数据进行哎手工备份、导出傲，也可以设定自瓣动归档策略进行巴自动归档。把手工归档、到处按审计数据；百存储空间不足时岸自动归档并删除把最早数据；邦支持通过FTP百、SFTP自动背上传归档文件；翱周期性自动归档瓣功能；系统功能特点运维协议支持广懊网御唉LA-OS颁支持多种运维访把问协议，能够充扳分满足凹日常运维需要。八字符协议：SS奥Hv1v2、T败ELNET、R败LOGIN、T盎N5250（A邦S400）斑图形协议：RD蔼P、VNC唉文件传输协议：扳FTP、SFT斑P巴数据库访问：O扒racle、M霸S SQL S翱erver、I疤BM DB2、坝Sybase、皑IB

31、M Inf胺ormix D懊ynamic 扮Server、翱MySQL、P稗ostgreS扮QL拔通过应用发布进邦行协议扩展，支疤持Radmin肮、Pcanyw摆here、 H傲TTP/HTT拌PS，支持定制拜开发其他访问协扒议及第三方客户埃端。氨对用户网络影响笆最小疤物理旁路、逻辑鞍串联方式部署，搬不必更改现有的伴网络拓扑结构，版同时不需要在捌被管理设备上安扳装任何扒代理百程序扒，对用户业务和盎网络结构影响最盎小。疤多种部署方式，伴适应多变业务场扒景颁网御昂LA-OS挨单臂、双臂、笆分布式多种安部署方式，适应笆多变业务场景。摆友好的用户交互鞍体验氨系统拌的用户界面具备笆友好的用户交互笆体验。

32、系统采用哎多窗口操作模式翱，各个功能界面安之间可以快速切拜换，无需重复加半载。安同时系统胺支持多种目标资氨源访问方式，包坝括页面WEB访靶问、页面调用本爱地客户端访问、巴命令或图形菜单哎访问和客户端直伴连访问，系统使把用界面友好，能半够最大程度适应皑不同用户的使用白习惯颁。系统部署拌网御靶LA-OS搬采用物理旁路方斑式部署，不需改白变现有网络结构背，同时不需要在拌被管理设备上安翱装任何凹代理奥程序澳，只需确保暗网御半LA-OS疤和被管资源以及把用户终端维护区矮域网络可达即可凹。终端维护区域鞍用户通过htt笆p或https芭方式登录系统p昂ortal，经稗过用户身份认证隘后，通过资源列扒表单点登

33、录至被傲管目标资源。笆根据巴XXXX按环境，部署方式艾可分为单臂和双扒臂部署方式芭以及分布式部署案。单台部署疤图3.4.1 霸单台部署案如图所示，案网御按LA-OS暗在部署时只需要败为其分配一个独癌立IP地址即可班，无需对网络拓邦扑结构进行任何唉调整。一般而言盎，办网御凹LA-OS罢部署在服务器所白在网段，同时澳网御鞍LA-OS佰的IP地址通过版网络设备发布到扮外部网络中供运班维人员访问。八巴部署芭网御袄LA-OS拌后，内部服务器皑的维护端口只需拔开放给运维审计皑系统，无需再让哎运维人员直接访埃问。对运维人员背，只需开放阿网御板LA-OS拔的访问端口，从爸而进一步加强内耙部服务器的安全笆性。双

34、机部署鞍图3.4.2 靶双机部署拔如图所示，爱网御按LA-OS翱支持HA双机热按备部署，以避免靶单点故障隐患，霸最大程度满足运澳维的可靠性和连爱续性。HA双机板热备部署由两个肮节点组成，氨分为隘主机埃节点凹和备机安节点肮，主备之间通过背心跳线进行主备翱状态监测和数据翱实时同步，主机罢节点一旦断开，昂备机节点会立刻般启动，无需人工岸干预，颁从而实现业务的澳不埃间断案运行芭。分布式部署疤图3.4.3 盎分布式部署懊如图所示，霸网御啊LA-OS阿支持分布式部署摆，把俺网域网络审计系凹统胺切换至Prox熬y模式部署在各疤个运维通道点，板网域网络审计系岸统癌部署在上层中心罢交换网络中。对霸用户网络进行全

35、盎面监控，形成区柏域运维通道，以埃避免因数据来源案多样复杂而造成扳的审计遗漏，同爱时各Proxy扒实时传输审计日背志到中心审计服般务器，最大程度哎满足运维数据的霸完整性和可靠性安。项目实施计划投入技术力量捌项目人员组织结氨构佰图4.1.1 爸项目人员组织机埃构图指导管理小组啊由双方负责人组蔼成，负责本次施捌工项目的指导、般管理、高级协调阿。翱网域星云啊安排项目经验丰八富的项目经理及凹实施人员。如果翱小组成员确实需按要更换，会和凹某某用户爱的人员提前协调扳，同意后再进行昂更换。施工小组成员矮本次项目实施拟半派实施人员包括伴拟担任职务吧姓名摆从业资格疤从业年限阿相关经验熬某某用户癌配合人员伴对邦某

36、某用户鞍项目负责人负责哎，配合施工工作氨，协调施工所需把的工作环境。扳工程实施各方责挨任某某用户职责：哎对工程实施方案凹进行审定；暗组织、协调工程凹实施阶段的有关绊工作；办按照培训计划，凹参加培训；搬完成工程实施的啊各项准备工作；扒配合埃网域星云拜施工人员做好工扒程实施方案；扳负责辖内产品的氨到货验收；扮配合安网域星云办进行安装、调试岸；版负责系统试运行疤；扒组织进行工程验坝收。网域星云职责：唉配合罢某某用户敖完成项目前期准唉备工作；暗制定具体工程实笆施方案；疤提供场地环境要氨求供奥某某用户鞍准备相应的实施耙环境；扒完成备货和发货背；叭配合华败某某用户埃对设备点验和开埃箱验货；隘负责设备的安装

37、癌、调试，培训及吧技术支持；哀配合对熬某某用户澳完成联调工作；按对稗某某用户翱相关技术人员进傲行现场技术培训扮；埃保证工程质量能拜够通过验收；办对涉密资料保密扒的责任；扮对项目的实施质巴量负责百；岸承担项目中网络靶相关上架、实施背、测试等工作。案配合隘某某用户败完成项目前期准懊备工作。搬项目实施人员情盎况翱姓名办年龄败身份证号码耙毕业学校柏专业办学位暗职称翱 胺职务凹现所在机构或部翱门跋服务时间吧拟在本项目中担敖任职务按主要经历坝日期皑担任何职拜备注氨其联系方式如下瓣表：芭分工案姓名碍职务绊职责懊联系电话疤指导管理小组肮项目经理氨商务协调败施工小组成员项目实施计划捌我们承诺在合同艾签订后罢10

38、拜个胺工作日柏内按埃某某用户澳要求在用户指定稗的地点交货，并埃提前翱5芭个日历天将到货伴时间告知按某某用户凹。鞍在验收过程中，办因交付货物的部暗分或全部不符合埃本合同约定的数碍量、质量标准，啊外观变形或损坏敖等情形，将按哀某某用户安要求更换、补齐艾，确保所交付的挨货物完好无损。矮否则伴某某用户胺可以拒绝接受该靶货物或解除本合百同，由此造成的袄损失由奥网域星云翱赔偿。暗假定项目实施开爱始的时间为澳T坝，肮时间单位：日历昂天，八整个项目工程进挨展如下：罢项目序号阿项目内容碍投用时间背完成时间罢1鞍方案调整与合同疤签订：完成投标拔文件修改，确定拔项目订购的硬件稗设备和软件。捌T+霸1按T+唉1败2隘

39、成立项目小组：唉确定最终的项目安组成员，并以书按面形式正式通知阿某某用户摆。案T+俺1佰T+扳1暗3搬设备交货与到货白验收：我方能够袄在矮10熬个跋工作日氨内扒为肮某某用户鞍指笆提供货物傲，按照合同的软板、硬件清单签收暗到货的设备。瓣T+稗10懊T+白12澳4艾制定详细施工技皑术方案：对项目案最终确定的总体傲方案作实施的各俺种方案设计。袄同时做详细的业挨务需求翱调研、案分析。懊T+1巴0昂T+百22按5背施工准备（包括盎第二次工程协调背会）：项目工程埃施工前，碍网域星云百公司项目组将进笆行一些必要的准袄备工作。罢T+板3跋T+翱25把6熬实施方案安装测颁试：按照合同要八求、技术方案和暗工程安装

40、实施计胺划，完成项目合袄同内设备的安装巴调试工作版T+澳15芭T+氨40隘7氨系统拌技术培训和相关癌手册的编写坝T+盎15霸T+艾100班8唉项目验收：根据案项目合同要求，案对系统进行验收艾。霸T+稗3癌T+澳103案9摆服务：系统终验斑完成第二日起满霸三年，乙方的服阿务质量符合合同翱要求，双方签署笆服务报告板3白年成立项目小组岸确定双方项目负案责人，确定技术把工程小组成员，般确定技术工程小柏组成员的工作内隘容和联系接口笆。版第一次工程协调班会奥本次工程协调会办建议在碍网域星云昂项目组成立后召版开，参加人员包癌括用户相关人员奥和伴网域星云盎项目组成员。会癌议内容主要包括半：阿各方项目组人员爸介

41、绍，确定各自版负责人和联系人澳；唉各方对当前的有半关情况进行介绍皑和通报，并提出芭对其它方的要求班和建议；暗协商确定最终的败工程实施进度表蔼；翱协商确定工程前阿期调研内容和方懊式；肮就下一步的工作盎进行通报和沟通办等。设备交货哀交货时间：合同胺签订后鞍10哀个斑工作日把内。胺交货地点：耙某某用户碍指定地点。交货承诺：埃网域星云白将在合同规定的叭交货期内将货物霸运抵指定地点，搬负责办理货物的败运输及运输保险叭事宜，有关包装扒费、运费、保险邦费、商检费、搬澳运费等费用由懊网域星云耙承担。拌网域星云般派专人将所提供鞍合同中全部货物拜运至指定地点，摆视为货物的交货盎时间，接收方出鞍具设备到货验碍收单。

42、八网域星云碍将货物及合同规挨定的相关文件送拌达项目现场。按网域星云盎供货时提供设备爱的序列号列表清疤单以便与生产厂啊商核对。澳网域星云佰保证提供的设备氨为爸网域星云拜生产的、全新的岸、完整的未开封矮的、未使用过的把，并且保证其性叭能和质量与合同捌规定相符。确保隘提供的技术资料爱是完整的、清晰板的和准确的，且靶符合合同有关规靶定。胺当跋设备翱发生非人为因素摆严重故障时，肮网域星云版免费在7日内将吧补充或者更换的芭货物运抵发生故败障的货物所在地跋，由此产生的一澳切相关费用由岸网域星云霸负担。到货验收邦设备到货时，所板有外包装箱箱体搬无严重破损或变拌形，封条应完整哎无缺，型号正确巴，数量齐全，设傲备

43、全新。记录货昂物的型号、数量瓣、序列号，无误邦后签署设备到伴货点验单。验货程序白网域星云安公司将在合同规唉定的交货期内提瓣供所有产品，在耙某某用户蔼用户指定的安装扳地点进行产品交摆付。安所有硬件设备具扮备原制造厂商的班铭牌、标志、所懊有设备得到制造巴商认证，符合制百造商公布的质量哀标准，所有硬件稗设备通过合法渠拔道进口。凡出现拔的任何涉及非法皑进口设备的纠纷佰，均由版网域星云柏承担全部法律责案任。捌所有系统软件具傲有原制造厂商的般授权证或许可证八，具有功能、性白能参数和适用手坝册。本系统中出岸现的任何涉及版懊权纠纷，均由盎网域星云碍承担全部法律责柏任。开箱检验奥货物运抵本合同霸确定的交货地点柏

44、后，按照用户要耙求， 由用户和昂网域星云挨公司根据合同的爱规定及把网域星云挨公司提交的发货半证明对全部设备坝的型号、规格、跋数量、外型、包捌装及资料、傲功能性能参数、把使用手册等扳进行开箱检查验隘收奥。按查验的内容包括隘货物包装、外观绊、数量等进行检斑查确认，如有异般议应当场提出；败如无异议，参与扳验货的双方应签按署设备到货点埃验单一式3份拔（采购人、用户胺、白网域星云吧公司各保留1份俺），即为货物正办式交付。如有缺扮货、错货、损坏凹、数量不全、型瓣号不正确、设备板非全新等现象。施工准备爸网域星云坝设备安装工程师把到来之前，癌某某用户伴应确保机房和其昂他安装场地配备拜符合货物安装要鞍求的设施。

45、背工程施工前，跋网域星云敖公司百将进行一些必要颁的准备工作，其懊中某些工作需要白某某用户叭用户给予密切配伴合，包括：埃设备到货的确认案。敖现场安装条件的傲确认，如电源、半机架、电缆线等昂。霸其他可能影响现拔场施工问题的确靶认。佰在本阶段，绊网域星云安公司唉将向叭某某用户瓣用户负责人发出傲书面确认函，提稗出需要确认内容敖，并由用户方给隘予书面确认。根挨据书面确认结果氨，如果施工条件伴具备，由用户方背和我方协商确定傲现场施工的具体罢时间。皑第二次工程协调巴会爸本次工程协调会昂建议在我方完成昂工程整体设计澳方案后进行，班参加人员可包括拌用户相关人员和隘所有项目组成员吧。会议内容主要半包括：摆各方对当

46、前的有傲关情况进行介绍稗和通报，并提出扒对其他方的要求昂和建议。芭对技术方案进行凹沟通和确认。背对施工前各项准白备情况进行沟通安，初步确定施工办的实际日期。按各方就下一步的坝工作进行通报和胺沟通等。系统实施胺系统唉安装、调测的主艾要目标是使整个瓣系统胺能够可操作、所邦有设备能够接通板并正常运转、所癌有软件能够在相扳应平台上正常运斑行。在双方确认颁施工时间后，绊网域星云白公司暗实施工程师将按案时到达安装节点班，进行现场施工巴和调测工作。项挨目经理及相关施败工工程师负责安岸装调试各系统的把软件系统，保证艾在规定周期内完氨成所有调测与单啊项验收。背在安装调试过程板中颁网域星云熬的技术人员应说版明安装

47、步骤和应跋该注意的事项，八安装、调试过程把应进行详细记录败。安装完成后，芭给用户出具完整哎的安装报告。在霸安装、调试过程岸中造成的颁系统氨损坏，一切责任凹由搬网域星云安承担。系统安装扒完成后，罢某某用户半没有异议，安半装验收单签字叭确认。鞍文档整理和现场背培训澳安装、调试完成半后，半网域星云耙工程实施人员会翱整理相关文档，岸包括傲设备相关的各种袄资料、配置文档艾等把。胺整理完成后组织碍现场靶培训八。详细情况见把培训计划凹。终验哀终验时，把某某用户板将对设备进行验艾收，板网域星云唉做好验收工作。跋最终出具的验收版报告，包括系叭统验收合格证明稗、设备详细败清单、所购设佰备的原厂证明败，该证明含所斑

48、购设备序列号，稗最终用户等信息斑双方签字盖章后敖有效。芭 技术支持爸在质保期内，坝网域星云矮公司为翱某某用户昂免费提供5 x叭24小时的技术扒支持服务以及相盎关的技术咨询。伴当系统出现问题埃时，哎某某用户版的技术人员可以埃通过电话、传真袄、E-mail爱、信函以及网站拌等方式得到客户矮化的支持。肮项目名称扮主要内容板服务价值按全面解决用户使肮用过程中遇到的笆问题，更好为班某某用户办提供保障。邦服务方式摆5x24吧小时技术支持服俺务，电子邮件技罢术支持、信息快矮递、定期巡检、哀应急响应、重大瓣问题现场支持稗支持时间捌工作日癌9:00岸17:30安其余时间捌支持电话扳电话：敖010-827碍790

49、88岸；袄800-810扮-6038肮手机热线：八1391180懊2208爱传真颁010-827斑79000按，昂 捌传真收件人：服笆务支持部盎网站支持搬www.ven邦ustech.稗斑邮件支持耙support邦venust敖摆.cn胺信函支持案邮编：板100193芭北京市海淀区东啊北旺西路扳8坝号中关村软件园拔21芭号楼昂网域星云板大厦扒网域星云爱公司服务支持部霸 爸收搬服务内容鞍产品技术问答：靶产品使用、产品伴问题处理等，包把括软件故障及硬澳件故障。拌服务结果半反馈并解决用户暗问题。支持方式：安联系对象：扒网域星云百技术服务中心傲电话支持：板010-827傲79088埃网站支持： HYP

50、ERLINK 叭http:/稗www.ven耙ustech.坝芭Email背支持； HYPERLINK mailto:support 捌support肮venust哀板.cn伴现场支持：遇到昂突发事件和重大唉技术问题，我们蔼的技术支持工程暗师将赶往现场提捌供服务。培训计划安装培训鞍在安装调试进行奥时，芭网域星云叭公司的实施工程爱师将对客户进行胺现场培训，包括暗投标产品的基本袄配置、上线注意般事宜、产品基本败维护事宜等内容百。翱培训对象：用户熬跟随实施的相关懊人员。按培训目的：现场拜安装调试培训，笆讲解产品的结构扒、安装步骤、调暗试方法和系统配爸置等。碍培训师资：阿网域星云熬实施工程师。埃培训日

51、期：现场般安装时。叭培训人数：不限阿。伴培训地点：安装板现场。现场培训靶产品应用与实践凹培训，培训内容翱包括：啊产品埃应用特点，故障霸识别与处理，以吧及遇到问题的解拔决方法以及相关翱管理规定。系统靶运行维护培训工笆作在产品试运行板期间内完成。澳培训对象：用户拔的管理人员、技啊术人员。癌培训目的：熟悉版系统的使用、维版护。氨培训师资：斑网域星云靶培训讲师。靶培训日期：待定拜。哀培训天数：1天肮。白培训人数：5人疤。熬培训地点：背某某用户靶。跋培训资料：专为肮某某用户稗编写的定制教材按。拌培训内容和安排跋如下：瓣时间矮课程名称叭课程内容矮授课人袄目的白上午挨9:00-12爱:00胺功能和特性笆常见

52、问题处理唉日常维护艾网域星云办培训讲师盎通过此课程的学按习，使培训人员扒独立掌握扳产品半的使用、日常维百护、故障排除方邦法等技术，保障罢系统正常运行。爱下午把14:00-1白7:00叭安装配置啊日常使用凹现场操作癌问题讨论翱网域星云澳培训讲师艾通过此课程的学按习，使培训人员澳独立掌握办产品鞍的安装配置，以半及日常使用技巧敖，使培训人员能靶够更好的理解和翱掌握系统的配置懊、维护等内容。项目管理方案项目管理标准傲为了保证整个安矮全项目实施的质扒量和进度，本项俺目将主要参考并阿遵循一些国际最版新的相关信息安班全工程标准和最挨新的研究成果，跋如：澳SSE-CMM敖信息安全工程能霸力成熟模型。拌IATF

53、信息系艾统安全工程（I办SSE）过程模百型。质量管理挨本项目设置质量搬审核小组管理项埃目工程实施的质肮量。质量审核员案主要职责是对实伴施的项目工程质癌量进行监督、审百核、改进、跟踪哀等一系列的质量拌活动。质量管理的方法胺网域星云绊公司的质量管理拜方法依据摆“肮PDCA循环扳”案管理法，即八邦P-PIAN策奥划、D-DO实案施、C-CHE拔CK检查、A-矮ACTION处耙置。见下图所示埃。扮PDCA循环模芭型佰质量审核小组在案项目的准备阶段邦制定质量计划和扒确定质量目标，板在项目的每个阶安段末尾都要对本板阶段进行质量审凹核，审核本阶段俺所产生的所有文挨档记录。所有的扮不合格项都要限按期整改，直到

54、全隘部达标才能放行奥。不合格品管理佰现场实施遇到的昂产品问题由项目爱经理以e-ma靶il方式和书面肮方式反馈给厂商霸的相关人员。厂爱商提出解决方案捌，提交给项目经半理，项目经理审敖核该解决方案，扳如果判断方案不啊可接收，则发回颁厂商继续改进；氨如果方案可接收邦，项目经理付诸哎实施并填写相关拜记录。芭质量统计分析工扳具哀正确使用统计方啊法，确保统计分巴析数据的科学、叭准确、真实。对疤于项目关键阶段唉完成的质量情况柏采用调查表法。斑对于项目总体的袄完成质量统计，邦采用排列图分析碍法或控制图分析拔法、直方图分析般法、趋势分析法版、因果分析法等袄。质量改进质量改进的管理颁质量审核小组负扮责对纠正措施和

55、吧预防措施的管理罢，对项目质量改矮进过程实施进行扮控制、跟踪和评白价。质量审核小败组和项目经理共伴同负责纠正措施翱和预防措施的策百划、制定等活动稗，项目经理负责按对项目的纠正和哎预防措施进行监哎督实施。质量审澳核组长负责对纠奥正措施和预防措拜施的策划、制定稗、记录、跟踪及罢验证的结果进行八审批。预防措施邦质量审核小组将翱针对已产生的不胺合格采取适当的矮纠正措施，以消安除产生不合格原澳因，防止不合格安的再发生。纠正扳措施应与遇到问扒题的影响程度相瓣适应。 奥在项目质量审核隘过程中出现的不啊合格，质量审核埃员填写项目实扒施质量审核报告靶，反馈给项目懊经理，项目经理班对质量审核员提靶出的不合格项进扳

56、行签字确认，质盎量审核员同项目啊经理共同策划、袄确定需采取的纠邦正措施，加以记八录，并有项目经吧理填写项目实哎施质量审核纠正安预防措施，项霸目经理加以实施把。佰质量审核组长应癌对实施措施的情班况和效果进行跟颁踪验证，相应结拜果记入项目实瓣施质量审核纠正俺预防措施，当绊验证的纠正措施疤结果不能满足预办期的要求时，应隘会同项目经理重把新策划实施新的俺纠正措施，并再癌次验证，直到结挨果满足预期要求扳。纠正措施昂在项目质量审核埃中，针对可能发疤生的不合格情况吧采取预防措施，暗以消除潜在不合艾格原因情况的发凹生。采取的预防隘措施应与潜在问白题的影响程度相白适应。疤质量审核小组应拔会同项目经理针艾对潜在不

57、合格的绊情况，策划、确癌定需要采取的预蔼防措施，加以记隘录，并由项目经绊理填写项目实把施质量审纠正预翱防措施，项目爸经理加以实施。笆质量审核小组应拔对预防措施的情岸况和效果进行跟扳踪验证，相应结扳果记入项目实凹施质量审纠正预斑防措施，当验板证的预防措施结盎果不能满足预期啊的要求时，应会败同项目经理重新哎策划实施新的预傲防措施，并再次稗验证，这到结果奥满足预期要求。懊实施的预防措施跋和有关质量信息昂，由质量审核小澳组进行质量审核背。变更控制管理挨不受控制的项目啊变更，包括目标瓣变更，范围变更拔，人员变更，环吧境变化，文档修案改等等是对整个鞍项目质量的重大疤威胁。白在项目实施过程隘中，将以实施方八

58、案的维护为核心霸，对实施方案及扮其衍生文档进行罢正规的变更控制搬管理。啊本项目中由专门搬的碍项目监理小组班负责全程监管项啊目中随时可能出挨现的变更情况，巴保证不同层次的白变更能够得到相岸应的、适当的处胺理，所有重要的扳修改都经过项目隘双方的认真讨论败和确认。在确认挨接受变更的情况爸下，项目双方可拔能需要重新审定邦工期、资源、目艾标、甚至商务等摆相关条文，并扳要百保证所有拜相关颁人员和相关条目按都得到了更新。奥项目变更管理程吧序如下所示：跋项目变更管理程摆序巴变更申请人填写唉项目变更单绊的癌“皑变更申请爸”班，说明变更原因凹、变更内容，并颁提交给相应的项袄目小组组长；安项目小组组长将袄项目变更单

59、斑提交给项目监理佰小组组长；氨项目监理小组组搬长通过与项目领爱导小组的沟通，笆最终双方签字确扳定是否允许变更百；扮项目监理小组组隘长将评估双方最扒终的意见通知相皑应项目小组组长鞍，由该项目小组翱组长执行相应操八作。项目沟通管理搬本次项目矮的成功完成，氨需要昂某某用户摆和哀网域星云哀公司双方的协同按合作。因此，在昂项目实施过程中百，根据项目进展跋的实际情况，巴某某用户啊和袄网域星云氨公司双方需要进败行挨相应的哀沟通。暗在本项目中，将霸采用正式项目沟啊通程序和日常沟哎通相结合的方式吧，来保证参与项把目的各方能够保盎持对项目的了解扒和支持。这些管邦理和沟通措施将懊对项目过程的质拔量和结果的质量靶具有

60、重要的作用按。岸正式的项目沟通吧包括项目启动会啊议、项目协调会坝议、验收会议等扳，这些沟通通常斑提供书面的会议凹纪要共双方签字凹作为记录肮；瓣日常沟通的主要阿渠道包括：非正鞍式会议、电话、叭电子邮件、传真肮等。昂所有重要的、有跋主题的沟通活动按都应留下记录或岸形成备忘录。通唉常，这些记录或爱备忘录需要双方氨的签字以作为备扒案。项目协调沟佰通管理程序如下皑：扒根据项目进展实斑际需要，各项目板小组与相应岸某某用户哎负责人进行项目霸协调沟通活动；半各项目小组组长唉记录协调沟通内哎容，创建项目拔协调沟通备忘录吧；稗各项目小组组长拌与相应袄某某用户柏负责人签字确认版项目协调沟通跋备忘录；氨在项目实施过程