水库网络安全设备升级投标方案（技术方案）

水库网络安全设备升级投标方案

目录

第一章本项目工作大纲.............................5

1.1.背景介绍..................................5

1.1.1.建设原则.............................5

1.1.2.信息系统等级保护原则.................5

1.1.3.多重深度防御战略原则...............6

1.1.4.管理与技术并重原则.................6

1.1.5.统一规划分步实施原则...............6

1.1.6.风险管理和风险控制原则.............7

1.1.7.安全性与成本、效率之间平衡原则.......7

1.2.建设流程.................................8

1.2.1.前期沟通.............................8

1.2.2.系统调研.............................8

1.2.3.差距分析.............................8

1.2.4.优化方案.............................8

1.2.5.加固实施.............................8

1.3.技术方案...................................9

1.3.1.网络安全风险.......................9

1.3.2.流量泛滥风险.........................9

1.3.3.应用层安全风险.....................10

1.3.4.数据安全风险.......................10

1.4.合理规划及分析...........................12

1

1.4.1.技术需求分析.......................12

1.4.2.管理需求分析.......................13

1.5.项目简要说明............................15

1.5.1.网络架构...........................15

1.5.2.边界互联安全.......................15

1.5.3.服务器区防火墙.....................15

1.5.4.运维审计...........................16

1.5.5.网络监控平台.......................16

1.6.故障响应及售后服务方案...................17

1.6.1.故障处理...........................17

1.6.2.在线支持...........................19

1.6.3.技术培训...........................19

1.6.4.版本升级...........................20

1.6.5.故障诊断...........................20

1.6.6.保修服务...........................20

1.6.7.保驾服务...........................20

1.7.实施方案.................................23

1.7.1.网络架构及拓扑图...................23

1.7.2.边界互联安全风险分析...............24

1.7.3.服务器区防火墙.....................25

1.7.4.运维审计...........................26

1.7.5.安全运营服务.......................27

1.7.6.安全服务...........................28

1.7.7.项目保密要求.......................28

2

1.7.8.网络监控平台.......................29

1.7.9.组织方案...........................30

1.7.10.应急响应流程.......................31

1.7.11.网络维护及故障分析处理.............32

1.7.12.施工要求...........................34

1.8.项目实施计划及进度流程...................36

1.8.1.进货计划...........................36

1.8.2.关键点控制.........................36

1.8.3.项目领导小组......................38

1.8.4.项目支持小组.......................38

1.8.5.项目实施小组.......................40

1.8.6.售后服务...........................41

第二章进度控制方案.............................42

2.1.所有节点并行实施.........................42

2.1.1.项目实施和技术服务本地化...........42

2.1.2.协调线路及时到位以及线路与网络的稳定

连接.......................................42

2.1.3.合理分工，有效协调，保证项目顺利进行42

2.1.4.应急方案和风险管理方案............43

2.2.安全生产及文明施工.......................44

2.2.1.文明施工纲要.......................45

2.2.2.文明施工检查措施...................45

2.2.3.建立安全教育制度...................46

2.2.4.保证文明施工的措施.................46

3

2.2.5.保证施工安全的措施.................46

2.2.6.防火安全措施.......................47

2.2.7.测试计划及竣工验收方案.............48

2.2.8.服务承诺书.........................54

2.3.售后服务..............................55

2.3.1.为加强本工程质保期外维护保养服务...56

2.3.2.工程维护的日常例行工作.............57

2.3.3.合理化建议.........................58

2.3.4.承诺书.............................59

4

第一章本项目工作大纲

1.1.背景介绍

目前，网络安全已经上升到国家安全的层面，对此整个

水利行业积极应对。近日省水利厅发文，水利单位网络须上

等级保护，XX根据自身特点提交了一级等保的申请。宁波市

原水有限公司也按照集团公司的要求，对各水库的网络安全

提出了更高的标准。XX中心机房虽经过几次升级，但由于信

息安全发展的速度较快，原有设备已经跟不上步伐，因此必

须对整个网络设备进行安全升级。

1.1.1.建设原则

将来源于国家政策性要求、机构使命性要求、系统可能

面临的环境和影响以及机构自身的需求相结合作为信息系

统的安全需求，使具有相同安全保护等级的信息系统能够达

到相应等级的基本的保护水平和保护能力。以风险管理为核

心，预防为主，技术手段为支撑，围绕信息和信息系统生命

周期，逐步建立由信息安全策略体系、信息安全组织体系、

信息安全技术体系、信息安全构成的安全保障体系。

1.1.2.信息系统等级保护原则

单位信息保障体系的建设应该遵从国家信息系统等级

保护基本政策，将等级保护的思想融入到信息安全保障体系

5

建设工程中去。

1.1.3.多重深度防御战略原则

所谓深层防御战略就是采用一个多层次的、纵深的安全

措施来保障用户信息及信息系统的安全。在纵深防御战略中，

人、技术和操作是三个主要核心因素，要保障信息及信息系

统的安全，三者缺一不可。

1.1.4.管理与技术并重原则

“三分技术，七分管理”是信息安全管理的公认的常识，

其意义在于指出了信息安全的关键所在：光靠信息安全技术

是很难实现信息安全的目标，加强信息安全管理才是信息安

全的解决之道。

1.1.5.统一规划分步实施原则

信息安全是一个牵涉面极广的系统工程，需要进行整体

的风险评估和安全策略体系设计、安全组织体系设计、安全

技术体系设计以及安全运营体系设计才能从整体上提高信

息安全保障的水平，反之任何一个信息安全保障体系的模块

失效，则会产生所谓的“短板效应”而造成信息安全保障水

平的降低。但是，信息安全保障体系的投入往往不能一步到

位，信息安全建设工作也不能在短期内完成，更难于在业务

系统的运用中推广。因此，信息安全保障体系建设需要遵守

统一规划，分步实施的原则。在规划阶段需要将信息安全保

6

障体系的整体目标、安全需求、安全模型、技术架构、安全

原则等设计出来，以指导信息安全的建设工作，识别出信息

安全需求的紧迫性，并根据信息安全需求紧迫性的顺序规划

信息安全建设的顺序，以实施信息安全建设的分步实施。

1.1.6.风险管理和风险控制原则

风险管理是一种有效的信息安全管理和决策技术。一般

来说，没有绝对的信息安全，也就是信息安全的风险不可能

为零。因此正确的识别风险、合理的管理风险，让信息安全

的风险降低可以接受的水平以内，是信息安全管理的指标体

系。

1.1.7.安全性与成本、效率之间平衡原则

信息安全保障的目标过高，需要的成本将成几何级数的

形式上升，并且可能会影响信息使用的效率，但是信息安全

保障的目标过低，信息安全事件发生的可能性将增大，信息

安全事件造成的损失将可能增多，因此信息安全保障需要将

安全性与成本和效率间进行平衡，以达到信息安全的水平可

以接受，上升成本可以承受，以及对信息使用的效率影响较

小。

7

1.2.建设流程

信息安全建设项目将遵循以下建设流程：

1.2.1.前期沟通

与客户沟通交流过程中，初步了解网络及安全现状，确

认本次安全项目防护需求。

1.2.2.系统调研

根据沟通情况，对现场设备资产、系统、配置策略等

调研信息进行梳理汇总。

1.2.3.差距分析

结合信息安全指导文件(网络等级保护2.0、IS027001)

的要求，匹配系统调研及内网体检报告，进行差距分析并输

出分析报告。

1.2.4.优化方案

根据网络安全差距分析报告，对应输出网络安全整改

加固方案。

1.2.5.加固实施

根据加固方案进行网络安全改造实施，实施完成后

定期进行系统巡检，做到持续加固。

8

1.3.技术方案

1.3.1.网络安全风险

网络安全风险主要如下：

■来自内部和外部可能的网络攻击，如DDOS攻击、利用

系统漏洞进行的各类攻击等等；

■蠕虫病毒入侵，局域网内部病毒等恶意软件的传播，

尤其是维护终端、磁盘介质使用等导致的病毒扩散；

■利用管理和技术漏洞，或者内部资源成为僵尸网络、

木马的被控资源，信息系统资源被用作攻击外部网络的工具

■WEB类应用被挂马，成为木马大范围传播的主要途径；

■由于对信息系统网络进行维护不恰当，而导致的安全

威胁。

1.3.2.流量泛滥风险

随着单位信息系统的普及和完善，一方面例如OA、ERP、

视频会议、VOIP等业务系统纷纷部署上线；另一方面迅雷、

BT、电骡等P2P工具，以及QQLive、PPStream等在线流媒

体软件和土豆、酷六、优酷等电影视频网站也在流行与泛滥。

总之，原有的互联网带宽不堪重负、组织的内部专线网

络也存在明显的带宽滥用问题。IT管理者经常遭受用户网

速慢、系统卡等诸多抱怨。有些组织机构几度扩容带宽，但

很快发现带宽又被占满，网速、带宽效率依然无法有效提升。

9

1.3.3.应用层安全风险

应用层的安全威胁主要来自以下两个方面：

■来自原互联网、内部恶意用户的安全威胁；

■木马病毒的肆意传播，导致网络瘫痪。

1.3.4.数据安全风险

(1)网管数据

网管数据，主要指设备管理层面的数据，其安全威胁主

要如下：

■数据传输过程中被窃取，篡改、破坏；

■越权访问；

■病毒入侵导致丢失；

■其它误操作、系统故障、介质问题等原因导致的数据

丢失、泄漏。

(2)内部业务数据

内部业务数据，主要指信息系统各个业务区域数据，其

安全威胁一方面来自于各个业务的不同要求，另外更主要的

一方面是这些业务数据的存放，具体如下：

■病毒、木马、间谍软件的入侵；

■针对敏感数据的非法篡改、获取；

■数据的存储安全威胁，包括数据存储磁盘管理不善，

数据访问管理不善带来的威胁等。

10

(3)帐号口令

■口令密码明文保存导致失窃；

■弱口令导致的暴力破解；

网络监听明文传输的帐号口令。

l1

1.4.合理规划及分析

1.4.1.技术需求分析

整体系统由WEB应用、网络设备、操作系统、数据库、

中间件等网络元素共同构建，系统承担着数据采集、存储、

分析、展示等功能，依据《信息安全技术信息安全等级保护

基本技术要求》,物理层面、网络层面、系统层面、应用层

面和数据层面面临如下安全威胁：

1.物理层安全：物理层面面临盗窃和破坏、雷击、火

宅、静电、停电等威胁。

2.系统层安全：该层的安全问题来自网络运行的操作系

统。安全性问题表现在两方面：一是操作系统本身的不安全

因素，主要包括身份认证、访问控制、系统漏洞等；二是操

作系统的安全配置存在问题。

3.网络层安全：该层的安全问题主要指网络信息的安

全性，包括网络层身份认证，网络资源的访问控制，数据传

输的保密与完整性、远程接入、域名系统、路由系统的安全，

入侵检测的手段等。

4.应用层安全：该层的安全考虑网络对用户提供服务

所采用的应用软件和数据的安全性，包括：数据库软件、Web

服务、域名系统、交换与路由系统、防火墙及应用网管系统、

业务应用软件以及其它网络服务系统等。

5.数据层风险：数据传输泄露、数据损坏等。

12

因此，有必要通过安全产品与安全服务的方式，发现以

上五个层面存在的安全隐患，比对问题采取相应的加固和处

理措施，满足信息安全等级保护的技术要求。

1.4.2.管理需求分析

系统不仅需要考虑技术防护手段，也需要通过合理的安

全管理规范，避免人为因素导致的系统破坏。依据《信息安

全技术信息安全等级保护基本技术要求》,应制定完善的安

全管理体系，以满足系统的安全管理要求，管理体系应考虑

如下五个方面：

1.安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理

办法和暂行规定。从安全策略主文档中规定的安全各个方面

所应遵守的原则方法和指导性策略引出的具体管理规定、管

理办法和实施办法，是具有可操作性，且必须得到有效推行

和实施的制度。

2.安全管理机构

根据基本要求设置安全管理机构的组织形式和运作方

式，明确岗位职责；

设置安全管理岗位，设立系统管理员、网络管理员、安

全管理员等岗位，根据要求进行人员配备，配备专职安全员；

成立指导和管理信息安全工作的委员会或领导小组，其最高

领导由单位主管领导委任或授权；制定文件明确安全管理机

13

构各个部门和岗位的职责、分工和技能要求。

3.人员安全管理

根据基本要求制定人员录用，离岗、考核、培训几个方

面的规定，并严格执行；规定外部人员访问流程，并严格执

行。

4.系统运维管理

根据基本要求进行信息系统日常运行维护管理，利用管

理制度以及安全管理中心进行，包括：环境管理、资产管理、

介质管理、设备管理、监控管理和安全管理中心、网络安全

管理、系统安全管理、恶意代码防范管理、密码管理、变更

管理、备份与恢复管理、安全事件处置、应急预案管理等，

使系统始终处于相应等级安全状态中。

14

1.5.项目简要说明

1.5.1.网络架构

网络架构规划及设计：把各区域网络做隔离，边界清晰。

访问控制策略：

1、网络功能区分

2、各区域网络隔离；

3、运维分权限，做到合规性操作和运维操作记录可追

溯；

网络冗余：

1、双链路冗余：主干万兆双链路，千兆桌面，保证稳

定的内网网络。

1.5.2.边界互联安全

参考等级保护基本技术要求，结合实际安全保障需要，

本着“适度安全，保护重点”的原则，在原有防护的基础上

建议部署专业的防护设备。本次方案建议在互联网出口区域

部署防毒墙安全防护设备，数据中心区域单独部署网络汇聚，

以部署服务器区域边界防火墙，加强集团骨干网络安全防护

体系。

1.5.3.服务器区防火墙

对服务器出入口区域提供边界访问控制，严格控制进出

该安全区域的访问，明确访问的来源、访问的对象及访问的

15

类型，确保合法访问的正常进行，杜绝非法及越权访问；同

时有效预防、发现、处理异常的网络访问，确保该区域信息

网络正常访问活动。

1.5.4.运维审计

禁止终端对服务器的直连，采用协议代理的方式进行访

问。一切对服务器和网络设备的访问，均需要经过这个运维

审计把关。运维审计可以拦截非法访问和恶意攻击，且对内

部运维人员的误操作和非法操作进行监控，以便事后追责。

简而言之，运维审计就是一种拦截非法访问、恶意攻击

和记录用户操作的安全设备。可以实现：事前预防、事中报

警、事后追责。

1.5.5.网络监控平台

监控网络的运行状态，可以提前发现网络故障节点，并

通过邮件、微信等发送告警信息给运维人员，可以让运维人

员第一时间去处理网络故障，同时也可以监控应用系统、服

务器等的状态，可以让运维人员在网络和主机运维上面可以

做到提前处理告警，减少网络和系统的故障率。

16

1.6.故障响应及售后服务方案

质保期内如有产品更换，更换产品的质保期相应顺延。

乙方对所提供货物在3年质保期内提供免费维护和包修，其

服务标准不低于产品生产厂家的承诺，质保期内接到用户维

修电话后，不论软硬件问题必须提供免费上门服务，原则上

1小时内到达现场排除故障，故障排除12小时内，逾期提供

应急备用机。所有软件产品质保期内提供免费升级服务。

设立7×24小时技术支撑热线，主要提供故障受理热线

提供专业的技术支撑。

1.6.1.故障处理

(1)业务恢复时限

从故障业务受理，到故障业务恢复≤12小时。

(2)故障处理反馈

从故障业务受理，到故障业务恢复期间，每半小时反馈

一次拍障情况进度，并在在故障处理结束后按需向政府提交

故障处理的书面报告。

(3)信息通告服务

网络承建单位若进行网络调整、割接、线路整改、版本

升级等会影响集团客户业务正常使用的，需通过客户经理提

前3-5个工作日向客户提供信息通告服务，时间应选在非工

作时间。

(4)应急调度措施

17

执行“先抢通后抢修的原则”,在业务快速抢通的情况

下，再调用备件进行故障板件的修复。

日常维护服务概述

服务内容主要包括：网络运行监控服务、业务日常巡检、

技术咨询与支撑、网络运行分析报告、客户端应急演练、售

后服务联席会议等内容。

提供业务日常巡检服务

日常巡检指对业务运行情况开展主动性、预防性的检查，

对涉及的设备告警、性能、运行状态进行检查分析。同时核

对客户的工程技术资料、电路资料、电路参数、维护路由、

终端设备和内部组网等，保持客户资料的准确性和可用性，

对客户端网络资源进行预警。

提供技术咨询与支撑服务

技术咨询与支撑指在业务使用过程中由专业技术专家

向政府提供技术咨询和支撑，及时解决业务使用过程中遇到

的疑难技术问题。

巡检周期

正常巡检每月巡检一次；重大突发情况应政府要求提前

巡检一次。

我公司的技术支持与售后服务原则是：

我公司代表一流品质，高性能、高可用是我们的责任；

我公司代表一流服务，全流程、全方位是我们的义务。

18

我公司承诺：将为本项目提供长期的全方位技术支持服

务、升级和维护。为用户提供完善的培训服务，使客户不仅

能够正确的使用系统，更可以加深对系统的理解，最终达到

能够自行维护系统，能够在系统的基础上进行技术创新。我

公司为用户提供7*24小时的全天侯电话支持及远程协助服

务，同时提供紧急事故现场支持服务，驻场人员即刻响应，

支持人员1小时内到达用户现场时间。

服务内容

1.6.2.在线支持

用户可以通过即时通讯工具与XX有限公司的技术服务

人员进行即时沟通，可以提供公司系列产品信息、数据优化

相关知识、最新软件资料、用户经提出的问题及解答、产品

版本内核升级程序、补丁程序以及其它对用户解决技术问题

有帮助的信息。此外，用户还可通过电子邮件或远程协助的

方式得到XX有限公司售后服务人员全方位的技术支持。

1.6.3.技术培训

为了让用户能够更深刻的理解系统，XX有限公司向用户

提供专业的机房专用设备和机房维护系统服务培训。课程包

括系统相关知识及相关技术原理，通过该培训，用户可以具

备自己自行维护系统运行的能力。

19

1.6.4.版本升级

对本项目中的所涉及的基础系统软件，提供长期技术支

持。可以在线直接升级的，负责下载厂家发布的最新版本，

然后在内网升级。

1.6.5.故障诊断

当系统出现故障时，用户可以通知XX有限公司，我公

司过电话指导、远程调试、上门服务等形式帮助用户诊断故

障并快速解决。

1.6.6.保修服务

系统中的所涉及的软硬件设备都将获得保修服务。在保

修期外，我公司仍将对系统软硬件提供完善的售后服务来保

证用户系统的正常运行，用户需缴纳维修备件成本费。

1.6.7.保驾服务

提供定期/不定期电话及现场寻访，与用户一起共同对

系统进行性能调优、系统诊断，系统日常维护管理方面的交

流或培训，并与用户共同进行阶段性总结、分析，并希望用

户对我公司的支持服务质量提出宝贵意见和建议。

服务渠道方式

公司通过三种渠道向客户提供技术支持与售后服务，电

话、远程诊断以及现场服务。

20

1、电话支持服务

响应方式服务内容及规范

即时响应对于一般技术问题，由第一响应人负责所有问

题的响应及解决，并记载支持服务记录，归档

对于影响到用户业务，需紧急解决的技术问题，

1小时召集支持小组，迅速提出解决方案，提供热线

支持，并记载支持服务记录，归档

对于需根据一定经验和讨论才能提出解决方案

2小时的技术问题，召集支持小组，同时提出替代方

案，提供热线支持，并记载支持服务记录，归

档

备注：

电话支持时段：7×24小时

用户可以根据支持服务协议申请7×24小时的支持，公司将

提供支持服务值班服务热线。

如电话支持仍无法解决问题，将启用另外的服务方式(如远

程诊断、现场支持等)。

2、远程诊断服务

在支持服务中心建立远程诊断服务设备及环境，在征得

用户同意的前提下，远程登录到用户的系统，进行支持服务。

另外，在任何需现场支持服务之前，首先应进行远程诊

21

断，以判明问题所在，这样，可以提高工作效率，减少系统

的非正常时间。

响应方式服务内容及规范

5×8小时标准服务方式

5×12、18、24小时选项服务

7×24小时

备注：

由支持服务响应中心协调并组织相关技术人员组成支持服务

小组，通过远程登录到用户系统环境，进行问题侦测和定位

后，提出解决方案，与用户交流并征得同意后，实施解决；

如果仍不能解决，将根据情况启动现场支持服务。

22

1.7.实施方案

1.7.1.网络架构及拓扑图

网络架构规划及设计：把各区域网络做隔离，边界清晰。

白需水库网终规划拓补图

党政网无线外网

视辩网

网段划分示意：

●行政楼服务器区：vlan10例如192.168.10.0/24

●电厂服务器区：vlan11例如192.168.11.0/24

●监控视频区：vlan20例如192.168.20.0/24

●行政楼办公区：vlan30例如192.168.30.0/24

●电厂办公区：vlan31例如192.168.31.0/24

●电厂工控无线：vlan50例如192.168.50.0/24

访问控制策略：

1、党政网与视频网进行逻辑隔离，通过防火墙连接；

2、禁止视频网访问外网；

23

3、外网维护先登录到安全管理主机，然后通过堡垒机

访问服务器，做到安全的接入内网；

4、运维操作通过堡垒机按不同运维角色和权限，来控

制访问服务器区和视频网，做到合规性操作和运维操作记录

可追溯；

安全防护机制：

1、安全保护：态势感知设备实时对全网设备进行扫描，

保护内网网络。

2、双链路冗余：主干万兆双链路，千兆桌面，保证稳

定的内网网络。

3、容灾备份：实时备份服务器，故障时可一键接管

网络架构设计思路：

●双链路冗余

●万兆环网、千兆桌面终端接入

●网络分区(边界定义)

●监控网络预留

1.7.2.边界互联安全风险分析

网络层是网络入侵者攻击信息系统的渠道和通路，许多

安全问题都集中体现在网络的安全方面。根据数据中心基础

拓扑图的分析，边界互联区作为数据中心网络出口处，没有

严格的访问控制，流量控制，病毒防护，入侵防护等措施，

这样将会给整个数据中心网络及信息系统带来极大的安全

24

风险。

对于边界互联区，可能存在的安全风险包括：

■非法访问：外部用户试图访问内部业务系统所

开放服务之外的信息和服务；

■非法入侵：黑客通过身份假冒、应用层攻击等

方式，穿透访问控制机制，进入外网业务系统内部进

行非法操作；

■恶意攻击：包括各种常规攻击和DoS/DDoS攻击；

■病毒和蠕虫：计算机病毒和网络蠕虫的传播和

爆发，将可能使整个外网系统处于瘫痪状态。

参考等级保护基本技术要求，结合实际安全保障需要，

本着“适度安全，保护重点”的原则，在原有防护的基础上

建议部署专业的防护设备。本次方案建议在互联网出口区域

部署防毒墙安全防护设备，数据中心区域单独部署网络汇聚，

以部署服务器区域边界防火墙，加强集团骨干网络安全防护

体系。

1.7.3.服务器区防火墙

部署目的

对服务器出入口区域提供边界访问控制，严格控制进出

该安全区域的访问，明确访问的来源、访问的对象及访问的

类型，确保合法访问的正常进行，杜绝非法及越权访问；同

时有效预防、发现、处理异常的网络访问，确保该区域信息

25

网络正常访问活动。

部署说明

在内网区的用户与服务器群之间可发挥如下作用：访问

控制、基于应用和用户识别的流量控制、访问行为记录审计

等功能。本次项目中，服务器区防火墙采用HA双机热备的

方式进行部署。

1.7.4.运维审计

部署方式

旁路接入网络，不影响当前网络的结构。

部署目的

禁止终端对服务器的直连，采用协议代理的方式进行访

问。一切对服务器和网络设备的访问，均需要经过这个堡垒

机把关。堡垒机可以拦截非法访问和恶意攻击，且对内部运

维人员的误操作和非法操作进行监控，以便事后追责。

简而言之，堡垒机就是一种拦截非法访问、恶意攻击和记录

用户操作的安全设备。可以实现：事前预防、事中报警、事

后追责。

堡垒机的四大功能：

(1)单点登录解决多路径运维，做到统一监管；

(2)分权限访问解决共享帐号、滥用权限带来的直接

危害；

(3)运维过程中杜绝不透明与高危误操作行为；

26

(4)实现事后审计可查，运维全过程可追溯；

1.7.5.安全运营服务

本次安全服务在网络安全设备整改建设完成后上线服

务，服务介入后，需具备以下能力：系统在统一的安全防护

策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严

重的自然灾害的能力，以及防范计算机病毒和恶意代码危害

的能力；具有检测、发现、报警及记录入侵行为的能力；具

有对安全事件进行响应处置，并能够追踪安全责任的能力；

在系统遭受损害后，具有能够较快恢复正常运行状态的能力；

对于服务保障性要求高的系统，应能快速恢复正常运行状态；

具有对系统资源、用户、安全机制等进行集中管控的能力。

通过本次对XX安全建设整改工作，达到以下4个方面

的目标：

(1)XX系统安全管理水平明显提高；

(2)XX安全防范能力明显增强；

(3)XX系统安全隐患和安全事故明显减少；

(4)有效保障信息化健康发展；

27

宽积

解决后，工程频由

州园广生k

具被障分析报告

F是健是级

基填2-4个

配州磨成

属埚障证

园，国家一醇。以—

加维专及(变时监貌)

信息数则流(举向)

用底句

用户侧架特谢音中心

1.7.6.安全服务

提供年度安全专家技术保障服务，具体内容如下：

序服务服务

具体内容

号名称数量

网络安全评估是对网络和业务系统

安全4次/的安全漏洞、安全隐患、安全风险，进行

1

评估年探测、识别、控制、消除的全过程，发现

网络结构存在的安全性问题。

安全12次/每个月安全巡检服务，包括机房设

2

巡检年备、应用系统、网络状态等巡检。

1.7.7.项目保密要求

对服务的过程数据和结果数据严格保密，未经授权不得

泄露给任何单位和个人，不得利用此数据进行任何侵害招标

人的行为，否则招标人有权追究投标方的责任；

28

对涉及客户的检查项目、资料、检查过程和结果以及客

户的知识产权、所有权等其它信息采取保密措施；

在接收客户的检查项目时，应对检查项目加强监管，防

止泄密。信息安全等级保护评测之前必须签订保密协议。所

有检查项目，不经用户同意，不得向与检查无关人员展示；

所有检查过程均对外保密，与检查无关人员未经批准，

不得擅自进入检查现场；

在未经许可的情况下与检查无关的人员不得接触被检

查项目及相关资料，不得参与检查和编制检查报告；

出具的检查报告应为客户保密，未经客户授权，不得将

检查报告转交他人，不得擅自公布检查结果；

当客户要求用电话、图文传真或其它方式传送检查结果

时，应有客户正式的书面委托并证实相关通讯方式可靠后方

可执行；

不得向无关人员泄露任何有关客户资料和检查结果，检

查结果只能通过相关程序及约定的告知方式通知相应业务

单位和个人；

对接触客户检查项目、资料及其它相关信息的人员应履

行为客户保护所有权的义务，不得利用客户的有关知识产权

为己牟利。

1.7.8.网络监控平台

整改：部署网络监控平台

29

目的：监控企业网络的运行状态，可以提前发现网络故

障节点，并通过邮件、微信等发送告警信息给运维人员，可

以让运维人员第一时间去处理网络故障，同时也可以监控应

用系统、服务器等的状态，可以让运维人员在网络和主机运

维上面可以做到提前处理告警，减少网络和系统的故障率。

展示的效果如下图：

整体网络拓扑呈现网络设备状态

1.7.9.组织方案

编制原则

1.严格遵守招标文件中的技术标准、施工进度、质量和

安全管理要求、竣工以及验收等各项要求，根据工程的实际

特点，分清楚轻重缓急，组织安排施工，力争在业主要求的

工程施工工期前完成施工。

2.坚持在实事求是的基础上，力求技术先进、科学合理、

经济适用的原则。在确保工程质量标准的前提下，积极采用

新技术、新工艺、新机具、新材料方法。

30

3.合理安排施工的程序和顺序，做到布局合理，突出重

点，全面展开，平行流水作业、正确选用施工方法，科学组

织，均衡施工。各工序紧密衔接，避免不必要的重复工作，

以保证施工连续均衡有序进行。

4.施工进度安排注意各分项工程间的协调和配合。且加

强与当地相关部门的联系和沟通，以便得到他们的支持和帮

助及时解决施工中遇到的问题。

5.坚持自始而终对施工现场全过程严密监控，以科学的

方法实行动态管理，并按动静结合的原则，精心进行施工场

地规划布置。严格组织、精心管理，文明施工。

6.严格执行国家和行业颁发现行的和招标文件明确的

施工规范及验收标准。

1.7.10.应急响应流程

网站发生异常事件时(如出现非法言论、页面被黑客攻

击篡改等),应急处置技术人员应立即向部门和网站领导汇

报，确认是否通过拔掉网线或逻辑隔离的措施及时断开系统

服务，同时保存异常的网页和对应时间段的日志(涉及安全

设备、网络设备、操作系统、数据库及中间件等),删除或

发布正确内容覆盖的方式，恢复页面正常；

应急处置人员详细登记网页异常时间、异常情况、处置

方式及结果等并保存相关日志或审计记录，并将以上情况报

网站责任人；

31

由网站责任人牵头组织网站技术人员和安全合作伙伴

成立事件调查小组共同追查非法信息来源，调查结果分别报

分管领导；

若事件影响或危害重大，网站责任人同意并经分管领导

批准后，可向公安部门报警。

1.7.11.网络维护及故障分析处理

减少网络故障的关键在于对网络的保养，即网络的维护。

以下从硬件维护和软件维护两

方面阐述一些基本网络维护知识。

释放身上静电

平时身体身上都或有或无带有静电，而静电对于计算机

是致命的，因此在一般拆机箱时都要带防静电手套。

3.螺丝要拧紧

很多硬件都是靠螺丝来固定的，如果硬件没固定好，时

常抖动那么运行时系统会有很大隐患。

(二)软件维护：

软件故障可能是软件本身有问题，也可能是操作方法不

当引起的，也可能是系统出错

造成的，因此，软件同样需要维护

(一)网络安全的审计和跟踪技术：

审计和跟踪这种机制一般情况下并不干涉和直接影响

主业务流程，而是通过对主业务

32

进行记录、检查、监控等来完成以审计、

完整性等要求为主的安全功能。审计和跟踪所包括

的典型技术有：入侵检测系统(IDS)、漏洞扫描系统、安

全审计系统，等等。

(二)运用防火墙技术：

防火墙是目前最为流行、使用最广泛的一种网络安全技

术，它的核心思想是在不安全的网络环境中构造一个相对安

全的子网环境。防火墙的最大优势就在于可以对两个网络之

间的访问策略进行控制，限制被保护的网络与互联网络之间，

或者与其他网络之间进行的信息存取、传递操作。

(三)数据加密技术：

数据加密技术就是对信息进行重新编码，从而隐藏信息

内容，使非法用户无法获取信息的真实内容的一种技术手段。

数据加密技术是为提高信息系统及数据的安全性和保密性，

防止秘密数据被外部破析所采用的主要手段之一。

(四)网络病毒的防范：

在网络环境下，病毒传播扩散快，仅用单机防病毒产品

已经很难彻底清除网络病毒，必须有适合于局域网的全方位

防病毒产品。学校、政府机关、企事业单位等网络一般是内

部局域网，就需要一个基于服务器操作系统平台的防病毒软

件和针对各种桌面操作系统的防病毒软件。

(五)提高网络工作人员的素质，强化网络安全责任：

33

为了强化网络安全的责任，还有一项重要任务——提高

网络工作人员的管理素质。要结合数据、软件、硬件等网

络系统各方面对工作人员进行安全教育，提高责任心。

1.7.12.施工要求

1、总要求：

1、应满足国家现行规范要求。供应商所有用于本项目

的材料必须符合国家、行业质量标准要求，并提供出厂合格

证和质量检测报告。所有材料应当符合环保部门的标准要求，

并提供证明材料。如因供应商使用材料造成人身伤害，由供

应商负全部责任。

2、供应商须按照国家标准技术规范以及具体的维修需

求和设计文件执行。

2、施工组织要求

1、承包方须在建设单位组织完成设计会审并得到修正

施工图后的三个工作日内组织安排施工人员到现场复勘。在

复勘完成后向建设单位提交书面的复勘报告。

2、承包方应向建设单位提交详细的施工组织计划，施

工计划以一周为单位，每周五前向建设单位上报工程进度和

下周工程计划。

3、服务要求

1、承包方应及时协助招标方办理与施工相关的报建手

续。

34

2、承包方应积极配合建设单位，做好与建设单位合作

的其它单位的协调工作。

3、承包方应及时提供单项目施工组织方案、进度报表，

接受监理，确保按期完成工程。

4、承包方应妥善保管和使用发包方提供的用于本合同

工程的设备和材料，未经许可不得挪作他用。

5、施工现场整洁卫生及环境要求：承包方应保证施工

现场整洁，符合有关规定，保护环境，承担因违反有关规定

造成的损失和扣减。

35

1.8.项目实施计划及进度流程

1.8.1.进货计划

1、签订合同后1日内：公司商务与本次项目中涉及的

产品生产厂家取得联系，对产品的订货流程、商务条件、

生产周期、到货周期等做详细的沟通与了解。

2、签订合同后2日内：公司商务与本项目技术人员进

行充分沟通，按照技术人员与客户共同商定的安装实施计划

及厂家的库存、生产周期、到货周期等因素综合考虑，制定

出具体的进货计划表，并提交给客户审阅。

3、进货计划审批完后两天内：订货合同等商务环节。

4、进货计划审批完后3日内：完成所有设备的打款和

到货等商务环节。

5、进货计划审批完后5日内：完成软件产品测试安装

版本到货的所有相关商务环节。

6、进货计划审批完后15日内：完成软件产品所有设备

的到货情况。

1.8.2.关键点控制

确保产品进货渠道的正规性：为了保障产品进货渠道的

正规性，要求所有产品都要与产品生产厂家济宁地区负责人

取得直接联系，产品直接从厂家下单或从厂家指定的渠道下

单。

36

确保产品进货的正确性：为了保障产品进货的正确性，

要求所有产品订单均需要经过该项目实施工程师及项目经

理共同签字确认后才能生效实施，产品经订货商务、项目实

施工程师及项目经理三道关口确保订货产品在品牌、型号、

参数、性能上与投标文件上的产品保持一致。

确保产品到货的及时性：为了确保产品到货的及时性，

首先严格按照经审批的进货计划表组织进货打款，其次要在

订货合同中与厂家约定具体明确的物流、到货时间等要素，

并约定处罚措施，最后，要求厂家选择正规的物流公司并提

供物流单号，由公司安排专人全程督促，及时反馈信息，确

保产品及时到货。

确保产品进货时间上的合理性：为了确保产品进货时间

上的合理性，我们在制定进货计划前，要求项目实施工程师

对客户现场做实地考察，并与客户做深入的交流；同时要求

项目进货商务与产品厂家就产品的生产周期、到货周期、安

装实施周期做详细的交流与确认；项目经理与客户就实施环

境、时间段安排等要素进行确认，综合上述信息后，在时间

的先后顺序上统筹安排，制定出切实可行的进货计划表，确

保进货时间上的合理性。

安装实施计划

1、签订合同后，公司成立专门的项目小组，分别对项

目的整理协调、安装实施、订货商务等环节各司其职。

37

用户方工程项目组

项目领导小组其

线

他

路

设

提

项备

供

目厂

商

经商

理

项目支持小组项目实施小组

实

实

技客研产备实

施施

供

术品施

户发件*=**=*

小

小

应

负经支支中小

组

1组n

链2组

责理持持心

工程实施岗位职责：

1.8.3.项目领导小组

负责整个项目执行过程中进行重大事项的协调；

负责工程实施过程中的公司内部运作关系的协调工作；

负责组织人力、物力对技术难点进行攻关；

负责工程项目实施过程和效果的整体监控；

负责听取项目经理对工程实施进度的汇报，并提出指导

性的建议。

1.8.4.项目支持小组

项目实施管理，对整体的工程质量、技术问题负责；

38

对项目交付用户满意度负责；

协助完成工程技术规划，施工中对工程实施小组进行技

术支持；

工程完工时监控完成所有工程文档的归档。

项目经理：

负责工程项目整体管理工作。包括筹建工程项目组、进

行工程项目策划、工程计划组织、工程成本管理、项目资源

管理、工程进度控制、工程质量控制、重大问题处理，项目

进展汇报、组织协调项目组以及用户和公司内部相关部门工

作等。

技术负责人：

协助项目经理进行工程项目管理工作，负责本项目的技

术方案、技术质量和技术支持工作。包括：合同技术方案分

析、数据采集报告、工程安装数据配置规范、验收/割接、

方案制作及审核、用户需求答复与技术问题澄清、工程技术

重大问题处理、用户维护培训教材制作、工程软件质量检查

等，是该工程项目的技术第一责任人，保证工程的顺利实施

和项目目标的实现，向项目组提供良好的工程技术服务。

客户经理：

负责整个项目执行过程中日常商务接口

负责与用户领导层进行重大事项的协调；

负责工程项目实施过程和效果的整体监控；

39

负责听取项目经理对工程实施进度的汇报，并对项目交

付用户满意度负责。

厂商研发、产品支持：

负责解决网络产品硬件及软件平台特性在网络应用方

面的问题；

负责网络产品硬件、软件、应用方面用户需求答复与技

术问题澄清。

厂商供应链：

负责项目运作过程中的备货、货物运输、项目货物验货

及实施过程中的货物问题处理。

厂商备件中心：

项目中紧急货物问题的受理及跟踪

1.8.5.项目实施小组

负责设备到货后的验货确认工作；

负责网络设备的安装调试及系统联调、系统业务割接工

作；

负责定期向项目经理通过工程日报、周报等方式汇报工

程进展情况；

负责工程现场的用户培训工作；

负责按照IS09000和ITIL规范记录和整理施工过程中

的技术文档和相关资料；

40

1.8.6.售后服务

合同签订后10日内我司将所有设备运输到使用方，运

输、税费等相关费用由我司负担，最长30天内完成项目整

体实施完成。

售后服务小组由我方售后服务部工程师和各分支服务

机构人员共同组成，负责工程终验后对用户的支持和维护。

为保证整个工程支持和维护的平滑过渡，售后服务小组在工

程实施期间和试运行期间即开始与工程实施小组一起对系

统提供支持和维护，熟悉网络相关情况，保证在工程终验后

能够为用户提供高质量的支持和维护服务。

41

第二章进度控制方案

2.1.所有节点并行实施

为了保证进度，我公司专门为本项目设计了高度并行的

实施计划。针对本项目，我公司将为本项目设置多个实施小

组，实施小组由总部技术专家、市级实施小组、计划单列县

区实施小组三级实施服务团队构成，由总部节点统一指挥协

调，从而大大的减少了施工时间。

2.1.1.项目实施和技术服务本地化

为了加快工程进度，提高对本项目的服务质量，我公司

充分发挥我公司本地化优势，真正为用户提供快速、有效的

本地化服务。

2.1.2.协调线路及时到位以及线路与网络的稳定连接

根据大量的工程经验，在一个大型网络项目中，线路到

位的及时性，线路与路由器设备的互操作性，往往是一个项

目能够按期完工的关键。

我公司郑重承诺，若有幸在本项目中标，将竭尽全力协

调相关部门，保证线路及时到位。

2.1.3.合理分工，有效协调，保证项目顺利进行

结合大量集成和项目实施经验，我公司可以为本项目做

出合理的分工，协调相关厂商，保证项目按期高质量的完成。

42

在本项目中，为了保证进度，划分多个实施小组，项目

实施小组严格按照施工方案进行施工，对于意外情况，将同

时汇报各自的项目经理，由项目管理小组裁决。

2.1.4.应急方案和风险管理方案

本项目时间短、涉及众多业内高端设备的特点，决定了

本项目实施中会面临种种风险，包括设备到货风险、众多节

点施工风险、设备故障风险等等。

为了保证系统的准时上线，积极督促设备原厂家按时到

货；如果出现设备不能及时到货，我公司将与客户协商，可

以提供备机，保证系统准时上线。同时制定了周密的应急方

案，可以保证在发生紧急问题的情况下，能保证用户系统准

时上线和正常运行。

43

2.2.安全生产及文明施工

安全管理组织计划

在本工程施工过程中，项目将严格执行二级交底和教育制度，

即项目总工、项目安全负责人向施工组长和部门负责人交底，

施工组长、部门负责人和施工班组交底。

安全防护措施

安全防护范围分为现场施工用电安全防护、施工人员安全防

护、现场防火措施等。

1.现场安全用电

1)现场施工用电原则执行一机、一闸、一漏电保护的‘三级’

保护措施。其电箱设门、设锁、编号、注明负责人；

2)照明使用单相220V工作电压，室内指明主线使用单芯

2.5mm铜芯线，分线使用1.5mm铜芯线；

3)机器设备必须执行工作接地和重复接地保护措施；

4)现场施工人员必须经过培训，考核合格后方可上岗。

2.施工人员安全防护

1)进场施工人员，必须经过安全培训教育，考核合格方可上

岗；

2)施工人员必须遵守现场纪律和国家法令、法规、规定的要

求，必须服从项目经理部的综合管理；

3)施工人员进入施工现场必须佩带工作牌；

4)施工人员高空作业禁止赤脚、穿拖鞋施工；

44

5)施工人员不得任意拆除现场一切安全防护设施，如工

作需要，必须经项目负责人同意方可；

6)施工人员工作前不许饮酒，进入施工现场不准嬉笑打

闹；

7)施工人员应立足本职工作，不得擅自动用不属于本职工作

范围内的设备。

2.2.1.文明施工纲要

文明施工是我公司企业形象最直接的反映，是确保工程

质量和施工安全是重要措施。为搞好现场文明施工和管理创

建文明施工现场及清洁卫生的环境，实现工地标准化、现场

化，确保施工现场文明、卫生、安全。

2.2.2.文明施工检查措施

1.检查时间：项目管理小组每天对施工现场作一次全面

的文明施工材料检查。

2.检查内容：施工现场的文明施工执行情况。

3.检查依据：按文明施工管理条例及细则。

4.检查方法：项目管理小组及公司文明施工检查团应定期对

项目进行检查。除此之外，还应不定期地进行抽检，每次抽

检应针对上一次检查出的不足之处作重点检查，检查是否认

真地做了相应的整改，对屡次整改不合格的，应当进行相应

的惩戒。检查采用评分的方法，实行百分制记分。每次检查

45

应认真作好记录，指出其不足之处，并限期责任人整改合格，

后期应落实整改的情况。

2.2.3.建立安全教育制度

坚持每月一次宣传国家有关安全生产的方针、政策、法

规等，组织职工学习安全工作规程和安全施工管理规定。公

司对新进工人及技术人员等进行安全生产文明施工的一级

教育，工地和班组分别对新进工人进行二、三级安全教育。

三级教育都须经过抽问或考试合格认可后才准许进入现场

上岗工作。

2.2.4.保证文明施工的措施

按照总包划定的地块搭设各项临时设施，安装机具和堆

放材料，各种材料堆放整齐。

现场工具库内外整洁，合理摆放，余料和容器及时收回。现

场垃圾及时清理，集中处理。

干活脚下清，活完料净，工完场清。

施工人员佩戴施工证，在向操作人员进行质量、安全、进度

交底的同时，还须向操作人员明确文明施工的要求，严禁野

蛮施工。

2.2.5.保证施工安全的措施

进入工地须向警卫出示“出入证”,未带出入证及衣冠

不整者不得入内。“出入证”严禁转借他人使用。

46

严禁携带违禁品，易燃易爆品进入地盘。

谢绝未经邀请的单位、个人到本地盘参观，与本工程无关车

辆不准停放在地盘内。环境卫生：每周五下午，工作人员打

扫现场，要保持卫生，施工现场材料合理堆放，保证场内整

洁.办公室要经常打扫，不得随地丢杂物，并定期消毒处理。

保持排水沟畅通，生活区无积水。爱护施工场地布置的安全

标志和安全设施，共同保护现场环境。

2.2.6.防火安全措施

安全通道外不能堆放杂物，如发生火灾可以及时疏散。

场内要控制使用明火，不在指定地以外的场所吸烟，不

能乱丢烟头，否则罚款。

在易燃、易爆区周围动用明火，必须办理动火工作申请

表。

每日一次对工人进行防火教育，对油料煤气等易燃品要

贴上标签。

现场应由有关单位和安装单位共同制定“动火”制度，

设立专门监护人员，每日公布动火场所动火人员的动态牌，

特别在工程进入装饰期时应严格监视现场动火情况。

现场设备和材料的包装物等易燃物品应由施工班组随

时清理，非安装的丢弃易燃物应及时清除。

施工用电源电缆线有专人保养检查接线，临时用配电箱

要经常检查，漏电开关要起作用，防止电缆线过热引起火灾

47

事故发生。

2.2.7.测试计划及竣工验收方案

(一)需求分析

组织人员对项目进行验收需求分析，针对项目验收，配

备2名有经验的工程师和一名行业专家来组成项目团队，负

责具体工作。

(二)编写验收方案(计划书)

在对项目进行深入的需求分析的基础上编写验收方案

(计划书),提交信息办、业主单位审定。

(三)成立项目验收小组

实施测试验收工作时，应当成立项目验收小组，具体负

责验收事宜。

(四)项目验收的实施

严格按照验收方案对项目应用软件、网络集成效果、系

统文档资料等进行全面的测试和验收。

(五)提交验收报告

项目验收完毕，对项目系统设计、建设质量、设备质量、

软件运行情况等做出全面的评价，得出结论性意见，对不合

格的项目不予验收，对遗留问题提出具体的解决意见。

(六)召开项目验收评审会

召开由验收委员会全体成员参加的项目验收评审会，全

面细致地审核项目验收小组所提交的验收报告，给出最终的

48

验收意见，形成验收评审报告提交市信息办和项目业主存档。

验收程序

(一)初验

1、申请：项目竣工后经测试和试运行合格，施工单位

根据合同、招标书、计划任务书，检查、总结项目完成情况

后向业主提出初验申请。

2、方式：项目业主组织监理和施工单位进行初验。

3、施工单位提供材料：初验申请书、完工报告、项目

总结，以及要求的验收评审资料。

(二)终验

1、申请：初验合格后，项目业主根据合同、招标书、

任务书，检查、总结项目组织实施和完成情况后向市信息办

提出验收申请。

2、经过审核，材料齐全则由信息办组织验收。

验收工作由市信息办和项目业主、监理等单位和专家组

成验收小组进行验收。验收工作分为两个步骤：验收小组验

收和验收委员会评审，由验收小组共同确定验收时间、评审

时间及其它安排。

(1)验收小组验收

验收小组一般由5—8人组成，成员由信息办和项目业

主的管理人员、监理单位专业技术人员共同组成。验收时参

照相关验收内容及标准进行，验收后必须提交验收报告。

49

(2)验收委员会评审验收委员会一般由8-15人组成，

成员由验收小组及信息办、项目业主和监理单位组织的领导、

专家等组成。验收委员会评审一般采取会议评议方式进行，

听取验收总结报告说明、验收小组验收结果及意见，通过评

审后提交验收评审报告。

(3)项目业主提供材料：验收申请、项目建设总结性

评价报告(组织与实施协调)、项目实施报告(技术、项目

管理、质量控制)、相关文档资料、验收安排计划、验收小

组及委员会名单、验收计划书(由监理单位负责)

3、验收签字

经过验收、评审形成的验收报告和评审报告，验收委员

会成员签字。

验收依据

作为项目验收的依据，一般选用项目合同书、国标、行

业标准和相关政策法规、国际惯例等。

(一)项目合同书

签定的项目有关合同

(二)国家标准

硬件、软件、布线、安全等

(三)信息化工程项目管理办法

验收内容和标准

根据具体项目实际制定，由项目监理单位负责编写，项

50

目业主审定。项目验收标准是判断项目成果是否达到要求的

依据，因而应具有科学性和权威性，只有制定科学的标准，

才能有效地验收项目结果。验收内容一般包括测试(复核)、

资料评审、质量鉴定三部分。