S-DCN网络安全(防火墙)部分技术规范v060219

2005年中国网通集团DCN网络安全建设工程防火墙产品部分技术规范书中国网络通信集团公司中国网通（集团）有限公司2006年2月目录TOC\o"1-2"\h\z1 总则 12 卖方技术建议书要求 22.1 建议书的要求 22.2 报价书要求 43 工程描述 53.1 项目背景 53.2 工程建设目标与原则 63.3 工程建设范围 74 网络现状及建议方案 74.1 集团骨干网同各省边界现状 74.2 边界防护防火墙部署 84.3 内蒙古EDC网络现状 84.4 内蒙古EDC防火墙部署 84.5 设备需求统计 95 设备及软件技术规范 95.1 总体技术要求 95.2 防火墙技术要求 106 项目管理 146.1 项目开发方式与策略 146.2 项目风险分析及控制 156.3 项目实施计划 156.4 项目实施控制 156.5 项目实施人员的结构 157 各方职责划分 157.1 卖方的职责 157.2 总集成商职责 167.3 服务器、存储、数据库供应商职责 177.4 买方的职责 188 工程实施 188.1 工程实施计划 188.2 安装和调试 188.3 试运行及验收 198.4 原厂保修期 199 技术服务和技术培训 209.1 技术服务 209.2 技术培训 219.3 技术文件 2210 其他 22总则1.1本文件为中国网络通信集团公司（以下简称买方）“2005年中国网通集团DCN网络安全建设工程防火墙产品部分”技术规范书，供厂商(以下简称卖方)编写建议书和报价之用，建议书的内容格式应符合本规范书的要求。1.2本文件中的“本项目”是指2005年中国网通集团DCN网络整合改造项目安全系统工程；“本单项工程”是指2005年中国网通集团DCN网络整合改造项目安全系统工程防火墙产品部分，即本次招标的范围。1.3卖方在建议书中，对本规范书中所提各项要求能否实现与满足，应逐项予以说明和答复。卖方亦可根据自己的产品技术性能具体情况，在建议书中提出建议，并附详细资料和说明。对本规范书各条目的应答为“满足”、“不满足”、“部分满足”，不得使用“明白”、“理解”等词语，在答复中，要求明确满足的程度，并做出具体、详细的说明。在回答“满足”后，其后的任何解释均不能与“满足”相冲突，若发生冲突，则视解释无效。“不满足”可以详细解释。凡采用“详见”、“参见”方式说明的，应指明参见文档中的具体的章节或页码。需要做详细解释的内容应尽量放在逐条逐项答复中，若内容太多，可放在指明的附件中。1.4卖方提供的各项设备和系统的特点、性能应完全符合买方指明的标准，并满足或高于买方指出的要求。在此文件中没有说明的条款，但相关国际标准化组织的标准(如ISO、IEEE、ITU-T、ETSI、IMTC、IETF等)及我国国家标准、信息产业部部颁标准已有建议的系统设备性能和功能，均应满足标准的最新建议要求。卖方供应设备的技术指标及这些设备构成网络系统的性能应符合本规范书的要求。卖方应列出所提供设备和系统的规范，任何与买方技术规范书相关条款不同的都应指示出来，并详细说明原因。1.5若卖方的设备包含自己专用标准，也应在建议书中具体说明，并附上相应的详细技术资料。1.6本技术规范书应视为保证网络运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标，将认为卖方认同遗漏部分并免费提供。1.7买方保留对本技术规范书的解释和修改权。买方修改和增补的内容与本技术规范书具有同等效力。1.8卖方应对所有提供产品的功能和性能负责，应对按照卖方提出的建议建设方案组建的相关系统功能和性能负责。如因卖方配置或建设方案不合理，而造成所提供的产品或采用其提供产品及建议方案建设的安全系统未能满足本规范书要求，卖方应负全部责任。1.9本技术规范书涉及DCN边界防护和试点省份EDC安全防护所需的防火墙产品。卖方应承诺开放必要的产品接口，配合SOC集成商完成监控、采集接口的开放。1.10卖方所提供的硬件设备应保证是最新生产的设备、软件产品应是最新版的商用版本，并应对此软、硬件所涉及的专利、知识产权等法律条款承担义务，买方对此不承担任何责任。1.11卖方应在建议书中提供系统、设备的详细配置，并说明相应的计算方法及依据。1.12卖方在建议书中应说明对供货时间、供货质量控制等的具体安排。1.13卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训、厂验等的范围和程度。1.14卖方应在建议书中列出提供的书面技术资料详细清单。1.15规范书有关内容的澄清(1)卖方对于规范书的疑问可以通过书面材料与买方联系。在规定的建议书提交最后期限以前，买方将以书面材料给予答复，有关买方答复材料的复印件也将递交所有得到技术规范书的卖方。(2)在技术谈判的各个阶段，买方将以书面形式要求卖方对有关问题进行进一步的技术澄清，卖方应以书面资料给予正式应答；所有各阶段的技术澄清文件都将作为合同附件。卖方技术建议书要求要求卖方在收到本规范书之后十天内按买方的要求提供三份建议书、一份电子版文档（要求以中文OFFICE格式）和两份密封的报价书（中文）。建议书和报价书的要求如下。建议书的要求卖方所提供的建议书需按顺序必须含以下章节的内容（由于内容的不完整性造成的一切后果由卖方负责）：（1）综述（2）工程技术规范书点对点应答（3）实施方案建议要求针对本文档中的建议方案进行细化或优化，除基本的方案建议内容外，还要包括实施方案等内容。要求实施方案面具备可操作性；方案建议包括但不限于以下内容：a.卖方需结合网通集团DCN骨干网络同省网的连接结构以及内蒙古EDC网络结构等相关情况，针对建议部署方案进行细化、报价。如有优化调整或全新方案，需详细说明调整原因及调整、细化部分的规模。请卖方根据买方的功能和技术要求，提供两套产品配置方案。b.技术建议方案应包括产品或系统运维管理所必需的各类软、硬件，其中针对建议中涉及到的所有服务器、存储以及数据库，卖方应给出详细列表以及性能指标的详细需求和计算依据。服务器应详细列出内存（类型、大小）、CPU（频率、当前个数、满配个数）、硬盘(大小、类型)、显示器（类型、尺寸），核心服务器应列出TPCC值或EPS值；对于工作站应详细列出内存（类型、大小）、CPU（频率、个数）、硬盘(大小、类型)、显示器（类型、尺寸）、显示卡类型；磁盘阵列应列出相关配件、大小、类型等；局域网交换机应列出端口数量、速率等。c.边界防护及EDC防火墙部署(位置、方式及管控归属)方案建议。d.防火墙集中管理及策略制定及分发建议。e.防火墙系统同SOC的接口（配置接口、安全事件的接口、知识库的接口）建议。f.系统的安全性、可靠性解决方案。g.系统组织连接图(包括网络和硬件的拓扑图以及安装的相应软件)。h.系统管理。（4）设备配置详细说明及设备配置详细清单（与报价表内容格式及项目相同，不含商务价格）。（5）所推荐设备情况(各种技术指标、接口特性、设备特性、设备安装方式及物理尺寸、供电方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求)，最好能提供设备相关性能指标的测试记录文档。（6）系统软件和购置的数据库的情况（含功能、性能等指标）。（7）安装设备和材料、备件和工具的数量清单。（8）买卖双方责任及分工界面。（9）工程实施计划a.工程进度表，包括需求分析、供货、安装、调测、验收等工程各环节。b.工程实施和服务人员安排。（10）机房场地及环境准备要求以及在工程实施过程中对买方的其它要求。（11）设备安装要求及建议，抗震加固措施（12）技术文件（13）买方技术人员和业务使用人员培训。（14）验收及测试安排，设备测试、系统测试的方法和环境。（15）技术服务的范围和程度（包括技术服务、支持、保修、软件升级等）。售后服务安排及质量保证措施（16）卖方须详细介绍卖方公司的总体情况(包括人员结构、企业资质等方面)、曾做过的类似项目情况、应用实例以及最终用户评议。（17）对于中国网通集团DCN安全系统发展方向的建议报价书要求（1）报价应按照物理位置分开报价。（2）报价应包括设备（软、硬件）、安装材料、备件、工具、仪表、技术文件及安装调测、培训、技术支持、保修等，并逐条逐项列出。（3）报价应包括设备名称、型号及配置模块、数量等详细内容。（4）报价以人民币为单位，应该报设备到现场（买方指定地点）的价格，运输费单独列出。（5）报价应按目录价、折扣价和折扣率分项列清。（6）对于卖方向买方建议采用的业务和功能，卖方应详细描述和说明这些业务和功能并作为可选项提出报价。（7）卖方对本规范书涉及到的服务器、存储系统、数据库软件和微软产品提出合理的建议配置，并提供详细的计算依据。卖方对服务器、存储系统、数据库软件和微软产品单独进行报价并列出详细的配置清单供买方独立采购参考，这部分产品不计入工程总报价。卖方对这部分产品的配置建议和系统集成负有全面责任，卖方须承诺对这部分产品进行集成，并保证整体工程质量。（8）硬件报价要求：硬件部分须报出系统所需的全部设备的价格；（9）软件报价要求：卖方应提供最新的、成熟的、稳定的软件版本，并注明所提供软件的版本号，提供详细的功能清单。（10）软件报价按以下分类方法:――系统软件报价：包括操作系统（如果硬件平台采用商用计算机平台，可包含在硬件报价中）、数据库软件、工具和组件等。――应用软件：应分为基本功能模块、可选功能模块两个部分。卖方应按模块提供详细报价；可选功能模块指厂家自己定义的可选软件功能，只计单价不计入合价。（11）卖方应承诺买方在后续的设备订货时，同一类型的软、硬件设备成交价格至少应不高于本次合同的成交价格。（12）服务报价要求――卖方应对下述服务项目进行报价：――原厂安装服务：卖方负责所有设备的安装。――原厂系统调测服务：卖方应负责全部系统调测。（13）培训――卖方就所提供的产品提供原厂技术培训，分为高级培训（高级技术人员或管理者）和操作培训。――卖方需就此两种培训，列出培训人员的数量和费用单价并给出详细的培训计划(包括时间、地点、课程等)。（14）可选报价对于可选软件、硬件和服务或卖方认为可以推荐给买方选择的软件、硬件和服务，可单独提出其项目和报价，但不计入合价，并提供技术性能及供经济技术比较所需的资料。工程描述项目背景依据集团企业信息化总体规划、五统一战略、上市公司对信息化的需求，集团公司逐渐加大了信息化建设的步伐。根据集团公司2005年信息化工作的总体目标——“确保“2＋1”项目的完成、提升信息化工作的水平”，中国网通在完成集团门户二期DCN网络改造工程之后，启动了“2005年中国网通集团DCN网络整合改造项目”，以期为集团企业信息化系统提供统一、专用、安全、高效、易管理、易维护的多业务网络平台。“2005年中国网通集团DCN网络整合改造项目”包括网络系统工程和安全系统工程两部分，本工程是其中的安全系统工程部分。目前，“2005年中国网通集团DCN网络整合改造项目网络系统工程”已经启动并顺利进行，该项目的实施将建成覆盖全国31省的物理承载网，初步实现DCN骨干网和省网的互通。网络系统工程的实施为安全系统部署创造了条件，同时也对安全系统工程提出了更加明确的需求。工程建设目标与原则建设目标本工程通过边界防护的建设，以保护DCN网不同区域的安全性，防范未授权的访问，杜绝非法的数据包在不同安全区域之间的传递，将攻击阻挡在安全区域环境之外。保证网络安全状况的可知和可控，确保DCN骨干网的安全，同时将省DCN网内部的不安全因素控制在较小的范围内。通过对试点省、市的数据中心的安全部署，以实现试点省、市数据中心安全的“可知性”，以便后期逐步完善安全体系。建设原则系统建设实现过程中遵从先进性原则、高可靠性原则、开放性原则、安全性原则、可管理性原则、可扩展性、经济性的原则。（1）先进性原则：采用先进的、开放的系统结构；采用先进的计算机技术；采用先进的现代管理技术，以保证系统的科学性。（2）高可靠性原则：系统的不间断运行与服务应达到电信级要求，应具有极高可靠性，并采用容错的设计确保系统的可靠性稳定性。（3）开放性原则：构建在完善的系统平台基础上，考虑升级和个性化服务。遵循开放性和标准化基本原则，所选用的硬件设备、软件等必须遵循相应的国际标准，保证系统具有互操作性和开放性。各系统之间采用优化的原则，使各系统之间更好地配合，达到最佳的应用效果。（4）安全性原则：在系统建设时通过安全技术保证网络的安全性、数据的安全性、用户访问的安全性，在技术保障的同时，从管理层面加强安全性管理。（5）可管理性原则：采用集中式的管理可以节约资金、人力的投入，为用户提供更大的自由发挥的空间，同时也使管理变得简单，有利于在出现问题时，能够用最短的时间检查出问题并及时解决。（6）可扩展性原则：产品或系统应具有很好的升级能力，以适应科学技术高速发展的需要。在必要时采用新的技术和设备对整个系统进行升级，满足应用系统不断增长的需要。（7）经济性原则:采取有效的措施和实施方案合理利用投资、规避投资风险。工程建设范围本项目采购的产品主要解决网通集团DCN骨干网络同各省主用DCN网络的边界防护，以及辽宁、山东、内蒙和天津四个试点省、市的企业数据中心的安全防护。主要建设内容如下。（1）边界防护：在网通集团DCN骨干网络同各省（内蒙、南方21省）主用DCN网络边界部署防火墙设备。（2）数据中心防护：内蒙古企业数据中心部署防火墙设备。网络现状及建议方案集团骨干网同各省边界现状网通集团DCN骨干网络同各省主用DCN网络连接结构如下：图4-1DCN骨干网络同各省主用DCN网络连接结构目前,DCN骨干网已经开通MPLSVPN，北方10省大部分也已经开通了省内MPLSVPN；除少数省份外，南方21省大部分省份未开通MPLSVPN。已开通省内MPLSVPN的省份，与集团DCN骨干之间采用VPN跨域互联。未开通MPLS的省份，核心路由器作为CE，集团骨干网汇聚层设备作为PE/ASBR实现省DCN网与集团DCN骨干互联。边界防护防火墙部署在内蒙和广东省核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆防火墙设备，在南方21省（除广东外）省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆防火墙设备。内蒙古EDC网络现状内蒙古现有2个EDC机房，每个EDC核心交换机为2台华为S8505交换机，2台S8505交换机双归上联省核心华为NE80路由器。EDC内部各系统经由汇聚交换机上联2台EDC8505核心交换机。图4-2内蒙古EDC网络上联现状内蒙古EDC防火墙部署对于内蒙古EDC主要进行跨域（VPN）安全互访控制和出入口集中控制。EDC跨域安全控制，采用如下图所示方案。在2个EDC的核心交换机（PE设备）上侧挂防火墙，通过防火墙进行VRF-VRF转换的方式来实现跨VPN互访。为了对EDC出入口进行集中管理，建议在内蒙两个EDC分别部署一套业务系统的Internet出口和Internet入口，出入口逻辑上分开。同时，为满足自治区办公人员上网的需求，建议在EDC部署一套员工上网出口。图4-3内蒙古EDC安全防护建议方案设备需求统计此部分设备需求为建议方案中边界防护和EDC防护中所涉及的防火墙产品的规模。序号设备单位数量本期端口需求备注1百兆防火墙台404个FE南方21省（除广东外）每省2台2千兆防火墙台144个GE内蒙、广东每省边界部署2台，内蒙2个EDCVPN互访4台、业务入口2台、业务出口2台、员工互联网出口2台卖方系统及设备详细技术要求见第5章。设备及软件技术规范总体技术要求硬件（1）卖方提供的所有设备必须是最新的商用产品，并保证所提供产品的数量、质量，特别是接口的兼容性。（2）各种设备应采用功能分担、分布式多处理机结构。主要模块冗余度为（1+1），易于扩容和维护。（3）设备要选用高质量的元器件，采用专业的硬件结构（NP、ASIC、经优化的X86），生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备长期稳定、可靠地运行。软件（1）卖方提供的软件应包括确保设备正常运行所需的管理、运营、维护等软件。（2）软件要求为模块化结构，保证安全可靠，具有容错能力。（3）卖方提供的软件应为最新商用版本，且不同时期软件版本应能兼容。同时要保证网络安全可靠及扩容和版本升级方便。（4）卖方应针对买方采购的设备为买方SOC系统提供完备的原厂产品知识库及更新服务。（5）卖方在建议书中应详细列出所提供的软件清单和说明。（5）卖方需提供防火墙集中分级管理和配置软件。安装材料建议书中应包含各系统的安装材料清单。设备中应包含用于连接各种设备和硬件的室内线缆，如有错漏，由卖方无偿补足。消耗品卖方提供的设备应配有至少满足三年维护期使用的消耗品。维护工具仪器和备品备件（1）卖方应提供专用的维护工具和设备，提出建议和报价。（2）卖方应提供正常维护使用的备品备件及消耗材料，并提供清单。（3）卖方提供的设备应保证在至少五年内，不论提供的设备是否还生产，买方均可得到备件。防火墙技术要求配置需求（1）卖方应说明产品的软、硬件及版本。（2）设备使用自有开发的安全操作系统。百兆防火墙接口及性能 （1）百兆防火墙要求至少支持6个10/100M口。卖方应说明设备支持的接口类型、各种接口最大数量。（2）百兆防火墙应支持大于等于40万TCP/UDP等连接的并发连接数，最大并发连接下端口应支持线速，整机处理能力大于等于350Mbps。（3）百兆防火墙每秒建立连接要求大于等于9K。（4）设备在配置双向NAT、全线速的情况下，1518字节数据包转发延迟不大于40us。（5）百兆防火墙设备应该支持4千条以上的策略。（6）节点失效的会话切换倒换时延<1秒。（7）百兆防火墙支持VLAN数量大于等于30个。千兆防火墙接口及性能（1）千兆防火墙须支持FE/GE接口，要求支持扩展到6个以上GE口。卖方应说明设备支持的接口类型、各种接口最大数量。（2）千兆防火墙应支持大于等于60万TCP/UDP等连接的并发连接数，最大并发连接下端口应支持线速，整机处理能力大于等于2Gbps。（3）千兆防火墙每秒建立连接大于等于1.5万。（4）设备在配置双向NAT、全线速的情况下，1518字节数据包转发延迟不大于40us。（5）千兆防火墙设备应该支持1.5万条以上的策略。（6）节点失效的会话切换倒换时延<1秒。（7）千兆防火墙支持VLAN数量大于等于100个。（8）支持双机热备的高可用性方案。双机热备要能支持上下是交换机或者路由器（不能是简单HUB形式），支持多种组网形式，确保可靠性。卖方应详细说明主系统设备出现故障时备份设备如何接管及负载均衡的工作方式和原理。（9）卖方需提供百兆、千兆防火墙丢包率和延时的可信测试数据。（10）产品需支持虚拟防火墙，并可针对每个虚拟防火墙设置安全策略。卖方须提供产品可支持的虚拟防火墙个数。VPN及加密（1）防火墙需要支持必要的VPN功能，支持GRE、IPSEC、L2TP等常用VPN特性。（2）支持基于硬件的加密。（3）并发VPN通道百兆不小于1500，千兆不小于5000。（4）支持手动密匙、IKE、PKI(X.509)。（5）支持DES(56-bit)&三倍DES(168bit)加密,厂商需详细说明3DES能力。（6）支持完全正向保密(DH群组)Perfectforwardsecrecy(DHGroups)。（7）支持防止回复攻击(Preventreplayattack)。（8）支持远程接入VPN(RemoteaccessVPN)。（9）支持站点间VPN(Site-to-siteVPN)。（10）支持集中星型VPN网络拓扑。检测防御（1）支持同步攻击检测。（2）支持ICMPflood检测。（3）支持UDPflood泛滥检测。（4）支持检测死ping(Pingofdeath)。（5）支持检测IP欺骗(IPspoofing)。（6）支持检测端口扫描(Portscan)。（7）支持检测陆地攻击(Landattack)。（8）支持检测撕毁攻击(Teardropattack)。（9）支持过滤IP源路由选项(FilterIPsourcerouteoption)。（10）支持检测IP地址扫描攻击(IPaddresssweepattack)。（11）支持检测WinNukeattack攻击。（12）支持阻止ActiveX、Java、Cookies、Javascript侵入。（13）默认分组拒绝(Defaultpacketdeny)。（14）支持防Dos&DDoS攻击。（15）支持网络病毒攻击检查和阻断。（16）支持基于策略配置的内容过滤，能够针对新的攻击方法及时升级防护手段。访问控制（1）包过滤规则：应易于理解，易于编辑修改。（2）包过滤支持对IP包中ICMP、TCP、UDP头信息的智能过滤。（3）支持FTP过滤、基于MS-RPC,SUN-RPC的应用服务过滤、基于UDP的应用服务过滤、动态包过滤等。（4）支持基于状态信息的智能过滤，无须进行上下文交换以及数据复制。（5）对传输层提供代理的支持。（6）支持FTP文件类型过滤。（7）支持应用层高级代理功能（HTTP、POP3）。（8）支持NAT。卖方应针对所推荐产品说明NAT转换能力及对资源占用情况。（9）对用户和应用应完全透明，所有的用户和服务器上现存的应用程序都不需要修改。（10）卖方需详细说明产品对于OSPF、BGP、RIP等协议的支持程度（路由条数）。（11）支持P2P流量阻断。（12）支持IP带宽分配，支持基于策略的流量控制。（13）支持IP连接数限制。（14）支持对源和目的地址会话数量的限制。（15）支持基于时间的访问控制。（16）支持基于用户的访问控制。安全特性（1）支持转发和跟踪ICMP协议（ICMP代理）。（2）支持提供入侵实时警告。（3）提供实时入侵防范。（4）识别/记录/防止企图进行IP地址欺骗。认证（1）支持RADIUS、口令方式、数字证书等认证。（2）卖方应说明设备符合的相应的国际标准认证协议，以及与其他CA产品兼容互通性。管理功能（1）易于安装和管理。提供友好的图形化用户接口（GUI），支持通过策略集中管理多个防火墙。（2）支持SNMPV1/2监视和配置。（3）支持标准MIB接口。（4）本地管理。（5）基于TELNET、HTTP的远程管理。（6）支持带宽管理。（7）支持容错技术（故障恢复，双电源备份等）。（8）支持热补丁技术，不中断业务修补软件BUG，支持在线更新软件版本。（9）卖方需说明产品是否支持中文界面。（10）产品应支持分级、分权管理和策略集中分发。记录和报表功能（1）支持日志信息管理和存储方法。（2）支持自动日志扫描。（3）提供自动报表、日志报告书写器。（4）具备警告通知机制：在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括E－mail等。（5）支持简要报表（按照用户ID或IP地址）。（6）支持实时统计。相关认证（1）产品要求取得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》、中国国家信息安全产品测评认证中心的《国家信息安全认证产品型号证书》，并提供证明文件。（2）对于国内产品要求是具有自主知识版权，具有国家版权局《计算机软件著作权登记证书》。卖方需提供推荐设备的详细产品技术参数和白皮书，该文档具有法力效应。项目管理项目开发方式与策略（1）卖方要详细介绍本次项目开发所采用的方式、策略、技术理论、适用的条件和范围，所选用的开发方式所带来的好处。（2）卖方应借鉴国外软件的先进开发技术，借鉴其他厂商的项目管理经验，应考虑与中国网通的技术人员，业务人员的充分合作。项目风险分析及控制卖方应对项目的风险要有详细的分析，无论是环境因素、人力因素还是物质因素的原因，都应有先期预见性，要有可靠的控制手段加以防范，将风险所造成的影响降到最低点。项目实施计划项目实施计划对整个工程进行阶段划分，卖方应说明每个阶段的任务、工作过程、方法，明确各阶段的职责划分、工作内容和形式、进度时间限制。项目实施控制（1）每个工作过程应对照计划执行、检查监督，阶段结束前必需按照预定的计划对阶段成果进行审核，才能转入下一个阶段。（2）根据本技术规范书的进度要求，提供签约后最快的交货、安装、开通时间表。（3）卖方在技术建议书中提供具体工程实施方案，对施工组织和工期安排等事宜作出切实可行的建议。（4）卖方应有专职人员负责规范的落实，负责选择或开发项目管理所需的各种工具并跟踪检查项目进度的落实。（5）卖方应有专职人员负责软件版本控制、工作区管理、软件处理配置和软件生成管理。（6）卖方应有专职人员负责软件质量的控制。项目实施人员的结构卖方应详细列出项目管理队伍的组织结构、人员的配备、岗位的设置、管理的职能、权力、责任和义务。各方职责划分卖方的职责（1）提供本规范书所要求的软硬件设备。（2）提供安装材料（要求开列清单）。（3）提供系统专用工具和维护必须的仪器和仪表。（4）提供消耗品和备件。（5）提供所有设备的技术说明书和随机软件（含软件许可证）。（6）提供安装资料和图纸，开发文档和维护手册。（7）提供详细的项目管理及工程实施方案。利用自己的工程经验，主动协助买方的工程管理人员安排工程计划，划分阶段性的工程界面，定时提交工程进度情况报告、参加工程协调会。（8）负责设备和系统软件的安装、调试，并提供安装报告。（9）负责所提供设备、系统与其它相关设备及系统的连接、调试工作。（10）在初验前提供完整的现场资料、完整的测试建议。（11）进行维护人员的培训。（12）进行系统的优化。（13）提供现场服务和长期技术支持服务。（14）为买方提供相关软件、补丁、升级服务。（15）卖方应对整个系统负责，保证所有的硬件、系统软件、应用软件的联通及功能，满足本单项工程对系统的规范、功能要求，达到系统设计的总体目标。（16）卖方有责任解决软、硬件设备安装、调测出现的问题，并作为系统产生任何问题时的第一响应方。（14）在买方指导下，配合总集成商完成2005年中国网通集团DCN网络安全建设工程的集成工作，完成各系统相关接口开发及工程交接文档的编制。总集成商职责（1）本项目总集成商由SOC集成单项工程集成商承担，主要负责2005年中国网通集团DCN网络安全建设工程的总体协调。（2）总体负责项目的实施、全网联调测试和开通，负责制定、掌控边界防护安全产品集成单项工程、SOC产品集成单项工程、终端实施单项工程的项目进度，确保项目按时完成，并确保实施质量符合买方要求。（3）作为本项目的第一响应方，全方面负责工程的实施，协调组织各方对工程各系统的故障、实施障碍进行定位，并解决工程实施中出现的各类问题。（4）负责提出对所有负责系统实施工作的其他集成商和供货商的要求。（5）负责组织制定总体方案，确定调研方案、建设方案、实施方案等，负责全网的互通性、安全性。（6）负责提出、组织确定网通安全管理系统统一模板、运维流程、策略和构架等文档。必须确保所制定的统一模板、流程、策略文档等能够满足买方的总体要求。（7）负责协调所有负责实施工作的集成商与供货商之间的关系，做好互相之间的配合工作，协调解决实施过程中遇到的问题；总集成商作为项目的总协调方应在各方无法达成一致意见的情况下对项目的进一步实施方案进行统一安排，其集成商与供货商应服从上述安排；总集成商的上述安排应及时向买方进行通报；总集成商应对其确定的实施方案承担相应责任；如果实施该方案导致买方遭受损失或者被证明不可行，总集成商应承担相应违约责任。（8）对于实施过程中遇到的问题，总集成商负责组织项目其它顾问方共同讨论，收集各方建议并确定最终的解决方案，并由总集成商与买方项目组负责人进行沟通，买方不直接与负责项目实施工作的其他集成商和供货商进行沟通，负责项目实施工作的其他集成商和供货商也不得仅代表所属实施商与买方进行沟通。（9）对于各方案的制定、问题的解决，必须充分听取项目其他集成商和供货商的建议，不得在未经充分讨论的基础上擅自做出决定。（10）组织集成商和供货商对实施过程中买方提出的客户化需求进行审核、评测，并组织集成商和供货商进行必要的开发。（11）总集成商派出的项目小组人员为项目组全职人员，在项目实施期间，不可参加任何其它项目，除不可抗力或买方要求外，不得更换。服务器、存储、数据库供应商职责（1）负责提供2005年中国网通集团DCN网络安全建设工程各系统所需的硬件平台（包括服务器、存储/备份设备等）。（2）负责提供2005年中国网通集团DCN网络安全建设工程各系统所需的数据库软件。（3）提供硬件平台运行所需的相关软件产品（如操作系统、集群管理软件、备份软件等）（4）负责硬件环境（包括服务器、存储/备份设备及硬件平台运行所需的相关软件等）的安装、测试。（5）负责数据库软件的安装、测试。（6）提供软、硬件产品培训和服务。（7）在实施过程中，配合项目总集成商与各部分集成商与服务器、存储、数据库相关的工作。买方的职责（1）领导层对项目作全力支持，在不同的实施阶段，指派相关资质的业务人员、技术人员配合实施工作。（2）在集团公司建立专职项目组，协助推行统一模板，协调推动各省项目实施，统一业务流程，推动各省准备及整理DCN网络安全项目相关基本资料的工作。（3）按相关合同附件的要求,提供相关场地和设备的准备条件。（4）提供广域网所需的传输电路。（5）协调整个DCN网络安全项目实施过程中各相关厂家的关系，对实施过程中出现的重大问题做出决定。（6）提供整个DCN网络安全项目的技术要求和功能需求，监督项目实施的全过程，负责组织系统的验收、测试，并组织技术成果移交。工程实施工程实施计划（1）卖方应提交详细的工程组织及实施计划；并且提交从合同签订之日起的周工作进度安排。（2）本单项工程要求在2006年6月底前投入运行，卖方根据这个工程要求列出详细的工程实施计划表。（3）由于卖方原因造成的工期延误，由卖方赔偿买方的损失。安装和调试（1）卖方负责工程中购置的百兆/千兆防火墙设备的安装、调试。（2）卖方负责提供工程施工设计和相关安装所需的资料，并负责指导买方人员掌握和使用这些技术资料。（3）安装调测时使用的工具、设备由卖方提供。双方应协商制定工程进度表，卖方负责按工程进度表进行施工。（4）设备调试由卖方负责，并提出设备调试的内容、项目、指标和方法，并提供相应的仪器和工具，卖方有责任对买方的技术人员提出的问题做出解答。调试应进行详细记录，系统调试结束后，由卖方技术人员签字后交给买方验收。（5）系统测试的条款应与技术规范一致。基于以上要求，卖方应提供测试条件，方法和过程的草案，谈判以后，最终测试文件由双方共同拟定。试运行及验收（1）卖方负责将设备运抵安装现场后，买方将与卖方共同开箱验收，如卖方届时不派人来，则验收结果应以买方和当地商检人员的验收报告为最终验收结果。验收时发现短缺、破损，买方有权要求卖方立即补发和负责更换。（2）卖方应该对应用软件的测试提供详细的测试方案及测试文档，最后由双方共同确定可以实际指导测试的方案。卖方应配合买方组织的验收人员对所提供的安装在用户（买方）处的应用软件进行测试，并向用户（买方）提供系统测试结果和测试报告。卖方的测试应采用双方共同认可的测试手段和预先制订的测试方法及测试范围，所有在测试中发现的问题均由卖方负责解决。（3）试运行期为六个月。试运行期间，买方将根据试运行情况做出详细的试运行记录和合格证明。（4）在试运行期间，设备关键部件出现故障时，只整机更换，不进行部件维修。系统恢复后重新计算试运行时间。（5）试运行结束后，买方根据系统试运行的情况做出综合评价，待确认所有测试项目合格后，方可进行系统的最终验收。（6）在试运行期间，由于设备质量等造成某些指标达不到要求，允许卖方更换或进行修复，但试运行期顺延，在全部达到要求时，双方签署最终验收文件。原厂保修期本工程所要求的设备保修期为系统终验后2年，保修期内卖方提供除消耗品以外所有设备的原厂保修服务。在保修期内，如果系统发生故障，卖方要调查故障原因，修复或更换整个或部分有缺陷的设备，直至满足最终验收指标和性能的要求。保修期内卖方负责免费更换、升级软、硬件。技术服务和技术培训技术服务售后服务要求（1）卖方应提供完善的原厂服务。（2）卖方应具有原厂商的最高销售代理及服务授权资格。（3）卖方说明在中国的工程技术维护队伍和机构情况，服务模式。（4）卖方有责任在保证安全和质量的前提下提供技术服务，包括：技术咨询、技术资料、设备技术说明书、使用说明书、维护说明书等。（5）在设备安装和系统调测期间，卖方应对买方技术人员进行现场培训。（6）卖方应根据合同规定将要安装和调试资料提前半个月单独发往安装现场，资料应一式两份。（7）卖方应提供实用齐全的全套随机技术资料，包括：维护命令手册、测试手册、设备说明书、硬件工作原理、软件资料。提供全套技术文件三套。设备开通后，如发生软件升级及设备升级、扩展等有关情况，卖方应向买方提供必要的技术资料。对上述资料，卖方应能提供光盘(CD-ROM)。（8）卖方在设备投产后，如对系统软件有所改进，增加新功能以及适应ITU－T新建议所做修改的最新版本，均应免费提供买方使用。（9）对于目前为止ITU－T尚未形成最终建议的规范，卖方应在ITU－T发表一定时期内免费修改及更新软件版本和必要的系统设备硬件。（10）在网络和设备扩容及软件升级时，卖方应派技术人员到场指导。（11）卖方应对其在中国的售后服务、技术支持方面的情况做出说明。在中国有无技术支持中心，地点设在何处，能否提供7x24小时全天候技术服务专线供系统维护使用；（12）免费提供技术咨询、新产品信息、技术动态以及系统扩建计划。保修服务要求保修期内，卖方要提供所承诺的相关服务、支持，包括但不限于以下内容：（1）--卖方对于所投设备的技术服务，包括安装、调试、检验、保修和技术支持等，均应由设备制造商或其在中国大陆的分支机构直接提供，此要求在保修期内均有效。对所投设备提供终生维修和维护。（2）卖方所投设备制造商应在国内有常设技术支持机构，并有长期、稳定、专业化、高素质的技术支持队伍。（3）卖方所投设备制造商在国内应有常设备件仓库，并保证其所投设备在服务期内有充足、快捷的备件供应。（4）保修期内的一般性故障，卖方应在接到通知后的2小时内响应，以确定坏损件情况，就排除故障或更换坏损件的设备做出决定并立即书面通知买方。卖方应在接到通知