1、1南京奥体中心网络安全隔离投标方案2目 录1 南京奥体中心网络安全隔离需求分析 .31.1 南京奥体中心内部网网络现状 .31.2 南京奥体中心网络的安全风险分析 .31.3 建立统一安全隔离数据交换安全原则 .42 南京奥体中心网络网络安全隔离解决方案 .52.1 南京奥体中心网络内网安全隔离与信息交换设计 .52.2 安全隔离与信息交换平台实施方案 .52.3 近期建议解决方案拓扑图 .62.4 解决方案产品选型 .73 隔离网闸产品方案设计 .83.1 隔离网闸产品概述 .83.2 产品内部架构 .83.3 产品特点 .93.4 产品功能 .103.4.1 系统可靠性 .103.4.2
2、系统可用性 .113.4.3 安全功能 .113.4.4 系统管理 .123.4.5 应用支持 .133.5 伟思 ViGap 系统性能参数 .144 实施方案 .144.1 实施计划 .144.2 具体实施步骤 .155 验收方案 .155.1 设备交货验收 .155.2 现场移交验收 .165.3 试运转验收测试 .166 系统支持与服务方案 .166.1 售后服务 .166.2 培训计划 .1731 南京奥体中心网络安全隔离需求分析1.1 南京奥体中心内部网网络现状南京奥林匹克奥体中心(以下简称奥体中心)网络系统存在 2 个不同信任级别的网络(数据中心和场馆网) ,且相互之间物理隔离,随
3、着网上商城和对外发布网站等业务平台的建立、应用和不断扩展,由于存在内外局域网且两个网络之间目前是物理隔离的状态;为保障业务平台的稳定性、连续性和安全性,同时由于数据交换的需要,内部网络将不再和互联网之间进行纯物理隔离,这时将引入较大的安全隐患。另外随着业务平台的不断发展,也将面临各种安全问题,例如蠕虫病毒爆发、ARP 欺骗、黑客攻击等等。我们将采用一个层次化的、多样性的安全措施来保障业务平台的安全。1.2 南京奥体中心网络的安全风险分析从南京奥体中心的安全风险分析中,我们可以看出,主要的安全风险在于:奥数据中心内外网之间的数据交换,必然带来一定的安全风险,原来在外部网上传播的病毒可能因为数据交
4、换而感染到内部数据中心网服务器群;原来利用互连网发动攻击的黑客、下级场馆的人员疏忽、恶意试探也可能利用外部办公网络的数据交换的连接尝试攻击本单位数据中心网,可以影响到本单位数据中心网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。综合分析网络的攻击的手段,南京奥体中心网络内外部网络的数据交换可能面临的安全风险包括:问题类型 问题 问题描述安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题 架构在其他不稳固基础协议之上的协议,即使本身再完善也会有很多问题。流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,
5、导致发生状况时,系统处理方式不当。协议设计设计错误 协议设计错误,导致系统服务容易失效或招受攻击。软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。4程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作 操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。网络通讯 信息泄密由于未采用加密手段导致通讯内容被侦听,或用户名/口令在网上明文传输,导致窃取用户身份登录。默认值不安全
6、软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下,如匿名登录、访问权限不当等。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统 软件和操作系统的各种补丁程序没有及时修复。系统维护内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。1.3 建立统一安全隔离数据交换安全原则根据对以上安全风险的归纳,南京奥体中心数据中心网和外网之间数据交换最大的特点是复杂程度高,信息点多,安全威胁来自从物理层到应用层多个方面。本方案在制定安全系统设计时所采用的基本策略为:主要以安全隔离信息交换技术和数据摆渡技术为主体,构造
7、一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手段的、并可以满足用户多种网络应用信息安全交换的网络安全隔离系统平台。南京奥体中心网络内外网信息交换的安全原则和要求体现在如下几个方面:1、建立统一的安全隔离交换平台,内部南京奥体中心数据中心网络应用服务器通过统一出口实现与外部主机、网络间的可信信息交换,统一管理,执行统一的安全策略,实现内部网信息和外部应用网数据交换的高度可控性。2、隔离平台必须提供完整的安全审计功能,能够详细记录、快速查询内外网间的访问行为及安全事件,数据传输的详细记录。3、内部网通过安全隔离交换平台与外界进行的信息交换必须受到严格的控5制,内部网
8、安全隔离平台可以提供必要的安全手段,如信息的单向访问,防止内网向外部泄漏敏感信息和抵御外网攻击。4、安全隔离平台必须具备较高的网络性能及稳定性、高可用性。5、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定。安全隔离设备具有安全的文件和数据库交换功能,支持视频传输功能,可以支持对 http、ftp 等通用应用层协议的严格分析控制的物理隔离设备或功能。2 南京奥体中心网络网络安全隔离解决方案2.1 南京奥体中心网络内网安全隔离与信息交换设计南京奥体中心的网上商城应用和对外网站需要发布到互联网,数据中心网与外网之间隔离遵循“内外网物理隔断,内外网可控信息交换”的原则,数据中
9、心网不直接接受来自其他网络的数据访问请求。其中主要基于以下安全考虑:即不接收其他网络网数据,使得数据中心网络对外不暴露任何端口和服务,完全隐藏数据中心网络,从而更集中、高效地保护数据中心网的安全;更重要的是该功能阻断了黑客通过木马控制数据中心服务器的通讯途径,保护数据中心核心数据的安全。采用安全隔离网闸为基础的内外网信息交换平台上,应用文件同步、数据库同步和访问等技术实现内外数据交换,保护南京奥体中心数据中心内网的应用服务器和数据库服务器的安全,严格保证南京奥体中心网络数据中心内网数据的机密性、完整性和可用性,这样就以隔离网闸为核心,建立了一整套完整的安全隔离与信息交换平台。2.2 安全隔离与
10、信息交换平台实施方案根据以上设计,其主要实施方式是:1、 在南京奥体中心数据中心交换机与外部核心交换机间部署伟思 ViGap安全隔离与信息交换系统(隔离网闸) ,该网闸的作用就是隔离来自外部网络的访问,以静态化纯数据的形式摆渡交换在内外网之间安全交换数据。2、 所有外部网络的计算机向数据中心网络请求数据时,都将通过统一6入口,即统一数据交换平台进行数据导出,内外网进行数据交换仅允许定义的特定协议和端口,进行特定数据交换。隔离除此之外其它任何外部主机对内网的访问请求。在该隔离环境下,大量攻击行为都被隔离网闸隔离而无法进入南京奥体中心数据中心网。3、 隔离网闸采用多接口设计可以配合负载均衡器实现应
11、用负载,保证业务的高可靠性设计。4、 部署伟思数据交换系统实现内外网文件数据与数据库数据的同步交换,该系统具备强大的安全审计、木马防护、文件签名校验等功能,能够有效保障数据中心网与外网数据安全可靠的交换。2.3 近期建议解决方案拓扑图近期南京奥体中心网络进行初期的业务运行,其用户量在几十数量级,但是考虑到将来的用户数增加较大,为使业务系统将来能够平滑升级和过度,因此,可建议采用单主机、单链路的千兆设备构建安全隔离平台,其初步的整体解决方案如图所示:本方案在南京奥体中心数据中心网络与外网核心交换机间部署隔离网闸,统一实现用户认证、文件安全检查、通讯加密、网络隔离以及文件上传、下载等任务。隔离网闸
12、可采用访问式和同步式两种工作模式,提供内外网数据库、文件7服务器的数据同步功能,也可以提供对网络访问的全面控制和策略管理。隔离网闸负责完全屏蔽数据中心网络,进行协议剥离和纯数据静态摆渡, ,防止各种已知和未知的攻击行为及木马病毒危害。隔离网闸具有应用文件数据交换功能和数据库数据交换功能,实现内外网数据安全可靠的交换,同时具备强大的安全审计、木马防护、文件签名校验等功能,能够有效防止木马、病毒随文件进入数据中心网。隔离网闸支持白名单安全机制工作,即仅允许专用传输程序访问数据中心网的服务器进行文件上传、下载,任何其它应用程序,包括各类病毒、木马程序都被拒绝访问数据中心网服务器,确保数据中心网服务器
13、安全。随着业务的扩展,隔离网闸丰富的网络接口可以直连对外应用服务器配合负载均衡器实现服务器的冗余,保证业务的可持续性和高可靠性。2.4 方案扩展性随着信息化建设的不断推进,未来用户业务量的变化、增加,越来越多的业务系统需要与数据中心的服务器进行数据交换,为了保证业务系统能持续、可靠地提供服务变的尤为重要的,因此安全隔离与信息交换系统的容错性和不间断性显得尤为重要,在原有的基础上增加一台安全隔离设备实现双机热备,从而准确、快速地将原主设备应用切换到备机上继续运行,实现整个业务系统的不间断运行,保证整个业务系统对外服务的正常,为关键业务应用提供强大的保障;扩展可采用叠加方式,不需要改变已有的网络应
14、用结构同时攻击的手段也在不断的更新,应对新的安全风险,只需要在边界安全交换平台两端网络增加安全性扩展设备系统即可,比如:IDS/IPS、防病毒系统、终端安全准入系统、可信文件检测系统等等。2.5 解决方案产品选型根据所需防范的具体安全问题类型、期望达到的安全程度,本方案建议选择相应的安全产品,产品的选型遵从如下标准:1)、成熟性 :保证安全体系本身的可靠和稳定,也是保证网络安全系统平台能够安全可靠运行的基本要素。2)、先进性 :保证安全体系具有较强的适应力、生命力,以便能适应未来一段时期内安全发展的需要。83)、国内自主知识产权,自行生产的网络安全产品。4)、合法性 :安全体系建设中所采用的安
15、全技术及其产品须有国家安全部门或具有等效职能机构认证并颁发有许可证。3 隔离网闸产品方案设计3.1 隔离网闸产品概述伟思网络安全技术有限公司作为我国最早研发并率先推出安全隔离与信息交换系统产品的专业信息安全技术公司之一,其安全隔离与信息交换产品已经广泛应用于近百家各种不同行业/部门的用户系统中,多次在一些国家部委及金融单位总部的重要招标中成功中标或入围,获得了用户的普遍高度好评。伟思信安 ViGap 安全隔离与信息交换系统采用国际先进的 GAP 硬件隔离反射技术,实现了在网络隔离环境下的可控信息交换,并针对传统安全隔离与信息交换系统应用层安全防护薄弱的现状,运用创新技术开发出基于网络隔离安全基
16、础平台下的应用层防护系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等机构的关键业务处理系统与外部不可信网络间信息交换提供了完整的安全隔离与信息交换解决方案。伟思信安 ViGap 安全隔离与信息交换系统率先采用国际领先的基于 ASIC 芯片(大规模集成电路芯片)设计的高速硬件电子隔离开关技术,实现了受保护网络与不可信网络(互联网、专网等外部网络)间的物理断开,并通过摆渡机制在可控环境下实现内外网间应用层数据交换。ASIC 芯片具有不可编程特性而且通讯方式彻底私有,从技术上消除了传统攻击手段对受保护内部网络的威胁,所有交换数据均经过 ViGap 的严格安全检查,置于 ViGap 设
17、备保护之下的内部网络与外部不可信网络在任一时刻内均不存在直接的物理网络连接,从而起到了保护内部网络免遭来自外部已知和未知的网络攻击,实现了安全、可靠的数据交换。3.2 产品内部架构伟思信安安全隔离交换系统的系统结构如下图表所示:9PCI LVDS数 据 流 数 据 流 PCI外 部 安 全 板 内 部 安 全 板 内 部网 络接 口外 部网 络接 口图表 1 安全隔离交换系统的隔离体系结构VIGAP 安全隔离交换系统的所有控制逻辑由硬件实现的,不能被软件修改;安全隔离交换系统在内外安全主板上各设计了一个隔离开关,称反射 GAP。反射GAP 实现内外网络之间的物理断开,但同时能交换数据的目的。反
18、射 GAP 使得内外网中继数据的速率达到物理连通状态的 100,从而消除了因物理断开内外网络而可能造成的通信瓶颈。3.3 产品特点 ViGap 是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。 采用独特的“21”安全体系架构,通过基于 ASIC 芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。 采用高性能和多条流水线设计的 ASIC 芯片为基础建立的全新硬件隔离架构,
19、拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的 GAP 电子开关隔离芯片上采用了含 TRUE LVDS功能强大的 APXII 系列 EP2A70 作为 FPGA 设计硬件基片,该芯片具有 500万门电路以及多路 Giga 位的通道,支持内部高达 1060 个硬件 I/Os 通道,使得电子开关具有高速的数据传输能力和并发处理能力。 充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以10及基于应用协议连接资源保护的 QOS 服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。 采用无协议的“GAP Reflective”,GAP
20、隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器 OS 层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。 广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL 等) ,包括支持视频会议、流媒体以及 VPN 等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。 智能化攻击识别与过滤,ViGap 采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,ViGap 提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS 等数十种协议分析模块。3
21、.4 产品功能3.4.1 系统可靠性 双机热备功能ViGap 系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台 ViGap 设备可以建立双机热备机制,并通过虚拟 IP 统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合 ViGap 独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。 系统工作状态检测与报警ViGap 系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统
22、状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。同时,ViGap 系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。113.4.2 系统可用性ViGap 系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,ViGap 系列还设计了最大支持 32 台设备的负载平衡系统来实现高可用性。ViGap 系列的负载平衡系统通过仲裁网络流量方式实现流量在 ViGap 集群中的平均分配,从而将处理性能大幅提升。3.4.3 安全功能 网络隔离功能ViGap 系列具有网络隔离功能,通
23、过基于 ASIC 设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。 数据静态化采用“裸数据”机制,运用协议剥离和重组技术,在网闸内部实现“裸数据”和数据静态化,有效的防止网络上未知攻击。 IDS 入侵检测功能ViGap 系列在设备两端内置了 IDS 入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与 ViGAP 隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 SAT(服务器地址映射)功能ViGap 系列具备完善的 SAT 功能,可信端服务器可通过 SAT 功能将自身的特定服务虚拟映射到
24、 ViGap 系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。 身份认证功能不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的12统一身份认证服务。ViGap 系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的 Radius、PKI 数字证书、SecureID 等多种强身份认证功能。 安全代理服务功能ViGap 系列允许可信端用户以应用代理方式访问不可信网络,ViGap 系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的 NAT
25、方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。 AI 安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap 系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap 系列在 AI 功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化
26、作用。 内容及格式检测功能ViGap 系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP 文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。 规则库后置伟思 ViGap 将规则库后置在网闸的内网可信端一侧,通过芯片级的隔离部件和“裸数据”摆渡机制的保护,使得放置于 GAP 产品的受保护网络端(即后端)的规则库具有严格的在外部网络端不可修改特性,保护规则库的安全。3.4.4 系统管理 轻松管理ViGap 系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任13何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规
27、则指定的所在位置。 良好的用户界面ViGap 系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等) ,以便进行有效的策略创建和安全管理。 丰富的日志及审计ViGap 系列管理平台能够监控并记录 ViGap 系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。3.4.5 应用支持 安全上网ViGap 系列支持用户安全上网应用,可根据身份认证、IPMAC 绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。 数据库应用ViGap 系列全面支持各种
28、类型的数据库应用,支持 Oracle、MS SQL、MySQL、Sybase 等主流的数据库的 SQL 查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。 网络应用ViGap 系列支持各类 TCP/IP 以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP 等等。支持用户自定义开发的特殊应用协议。支持网闸访问的单向、双向自定义。同时,针对用户特殊需求ViGap 系列提供 API 应用开发接口。 即插即用14网闸设备的应用,不会改变现有网络拓扑结构,不改变原有网络和业务系统,网闸的应用,对原有网络无需
29、做大的改动。3.5 伟思 ViGap 系统性能参数伟思 ViGap 提供千兆安全隔离与交换系统,其主要性能指标如下: 内外各包含 5 个千兆电口和 4 个光口 网络吞吐量性能:=800Mbps 隔离硬件芯片数据交换速率:5Gbps 系统时延:小于 1ms 并发连接数:=100000 平均无故障运行时间:60000 小时 用户数支持:无限制4 实施方案4.1 实施计划为确保本次奥体中心数据网闸项目采购项目的顺利实施,珠海伟思信息技术有限公司制定了详细的项目实施计划。整个项目实施过程分为四个阶段,各阶段跨度包含项目实施前勘查,项目中标后的供货,项目实施部署、实施完成后的试运行。阶段一:项目实施前的
30、现场勘查,我公司项目实施勘查自项目投标前就已开始,项目经理直接参加用户单位的现场勘查,进行现场环境调查与用户环境调研,了解用户需求,便于中标后组织项目实施方案。阶段二:中标后产品供货过程中,我公司组建项目实施团队,将参照前期用户环境勘查结果结合具体用户需求制定详细的现场施工组织方案,并制定详细的实施计划明细表,并在项目开始实施之前制定切实可用的风险回退预案。阶段三:项目实施阶段,公司项目实施团队在本阶段根据项目实施计划参照风险回退预案进行项目实施。实施过程严格按照用户单位需求进行,如遇任何可能出现的不可知因素,将第一时间与用户单位沟通解决。本阶段所有现场实施工作均按日进行记录并将在整个项目结束
31、后提交项目施工日志。 阶段四:项目试运行阶段,项目实施结束后进入试运行阶段,试运行阶段中,我公司将每周拍专业工程师赴用户现场进行运行情况监测,实时发现解决试运行15过程中出现的各种问题,本阶段将就发现的问题进行集中整改,如用户单位本阶段提出进一步需求,将经于用户协商一致后解决。同时本阶段我公司将联合厂商组织人员对用户进行集中培训,培训时间、地点、内容等将与用户协商后确定。4.2 具体实施步骤现状: 数据中心与信息发布网之间的安全隔离与信息交换系统接入网络中需求: 按照方案的要求部署安全隔离与信息交换设备到现有网络中协助:要求: 在实施过程中不能影响用户正常的网络使用实施时间:实施步骤: 1、按
32、照方案要求配置现有安全隔离与信息交换设备2、安全隔离与信息交换上架,并与非工作时间进行接线3、检查配置,根据网络实际环境进行配置调整4、测试配置,记录成文。5 验收方案5.1 设备交货验收我公司按合同要求在规定的时间内完成产品交货、进场和产品初验。验收测试要求:设备出货前,将依据合同清单,对设备,品种,数量进行核对后,运送到合同规定的地点,并出具设备送货单 。对于出厂设备,卖方售后项目工程师和销售人员将严格按合同检查施工双方共同核准的设备数量,保证到达买方的设备完全正确。买方可派员参加出货检查,对检查的软、硬件设备,将按合同清单为准,和买方一道完成设备清点,并共同填写设备送货单 。出货检查后,
33、卖方将对检测、验收的所有设备,包括硬件、软件将列出详细的设备检测情况一览表,并提交正式打印的记录材料设备验收报告 。165.2 现场移交验收系统安装及测试时,卖方将组织项目实施工程小组。小组成员由施工双方共同确定,以卖方为主,买方参与,协调为辅,工程实施小组将专人负责,对每天安装及测试的内容将有详细的工作文档记录。在开始工程实施前后,卖方将提供:工程实施计划、工程进度安排、工程进展状况、工程问题报告、工程解决方案等工程资料提交买方工程负责人员,直到工程移交为止。工程开始移交测试时,工程实施人员将提供:工程测试方法报告、测试结果报告、测试指标结果报告、工程测试竣工报告等给用户方项目负责人审查。移
34、交测试移交测试将由我方将与用户方双方共同拟定测试内容、测试指标、测试结果说明、测试仪器及方法等内容报告给双方项目负责人和监理单位审查通过。(1)移交测试合格双方移交测试结果经买方审查,若其中有未达到要求之项目,施工双方按合同条款检查,按双方商定的结果做下一步的解决办法。(2)网络系统开通设备由我方或原厂商工程实施小组安装实施完毕后、在开通之前,工程小组将进行开通前准备工作。包括用户设置、网络配置、操作注意事项等。开通时需要双方提供行政上的支持。包括召集相关单位技术人员配合工作,传输通道管理技术人员协同实施问题。对于产品质量问题,由我方与原厂商全面负责,出现问题立即加以解决。5.3 试运转验收测
35、试试运转期间,我方工程人员将观察记录安全隔离与信息交换系统设备各项功能运转情况。6 系统支持与服务方案6.1 售后服务我们提供的售后服务内容主要包括以下几个方面:电话支持提供专用售后服务技术电话,为用户进行有关产品使用的电话答疑和操作指导等。我们的技术支持电话为:(0756)3391616技术部17提供免费电话支持服务:400-881-8180E-mail 支持提供E-mail支持,解答用户有关安全产品使用疑问的电子邮件。伟思公司的技术支持E-mail为:S网站支持在公司网站上发布有关产品的信息,如FAQ、产品使用交流BBS、支持信息等对客户进行知识服务。用户和代理商可随时浏览网站,查看有关内
36、容或进行在线交流等。伟思公司的网址为:。现场支持伟思公司承诺对贵单位安全工程的快速反应能力。在确认需要现场支持后,按照故障级别,会采取不同级别的现场技术支持。产品更新服务伟思公司将在网上及时发布最新的升级程序。可以通过网上更新的方式进行升级。产品的升级服务当产品有版本的升级时,伟思承诺在第一时间将有关升级情况公布在公司的网页上;提供升级介质和升级培训服务。6.2 培训计划贵单位的网络管理人员和业务工作人员的培训是本次安全建设项目的重要组成部分,是实现业务网络安全、提高安全系统效率的重要保证。为此,我们为贵单位制定了如下的培训计划,对技术人员进行必要的培训,确保技术人员自己能对安全产品进行日常的
37、维护。培训目的本次培训的主要目的是让贵单位的技术人员可以系统地了解 ViGap 隔离网闸的架构、实现原理、策略设定及管理方式。达到能够熟练安装、调试及维护安全产品,可以处理一般常见问题的目的。培训对象18培训的对象主要分为贵单位的安全管理人员、技术人员,另外,参加培训的人员还会有相关的代理商、集成商的技术人员等。培训内容根据本次安全建设所涉及到的安全产品,及培训对象的不同,准备的培训课程如下表:课程名称 培训讲师 培训时间 培训地点网络基础知识培训 资深网络安全工程师网络安全基础知识培训资深网络安全工程师安全管理培训 资深网络安全工程师隔离网闸技术培训 资深网络安全工程师2 天具体的培训内容可
38、以根据贵单位的实际情况进行灵活的调整。伟思公司在培训前会准备好相应的培训教材,包括产品技术培训教材和相应的 PPT 文档等,培训讲师由伟思公司和相关厂商的资深技术人员担任,培训地点将与贵单位协商后确定。培训方法本次培训力求体现简单、实用的特点,针对不同的培训对象,选派不同的培训教员,采用不同的培训方法。网络安全管理人员能够在培训后了解一般的安全知识,掌握网络安全基础理论知识,熟悉隔离网闸产品的安装、维护,能解决一般的常见问题,具备安全管理的能力。具体方法如下:步骤 1:培训教师详细讲解培训内容中的重点、难点。步骤 2:用户对培训中存在的问题进行提问,并由培训教师进行解答。步骤 3:培训教师在具体环境上进行产品演示步骤 4:用户自己在具体环境上进行实践。
