网御网络审计系统 运维安全管控型方案模板

1、网御网络审计系系统-运维安安全管控型（LA-OS）方案模板北京网御星云信信息技术有限限公司文档修订记录版本号日期修订者修订说明V3.0.0.x2014-088-13李彬创建目 录TOC o 2-3 t 标题 1,1项目概述 PAGEREF _Toc399422156 h 51安全现状分分析 PAGEREF _Toc399422157 h 51.1内部人人员操作的安安全隐患 PAGEREF _Toc399422158 h 51.2第三方方维护人员安安全隐患 PAGEREF _Toc399422159 h 51.3高权限限账号滥用风风险 PAGEREF _Toc399422160 h 61.4系统

2、共共享账号安全全隐患 PAGEREF _Toc399422161 h 61.5违规行行为无法控制制的风险 PAGEREF _Toc399422162 h 62运维安全管管控系统方案案设计 PAGEREF _Toc399422163 h 62.1建设原原则 PAGEREF _Toc399422164 h 62.2总体目目标 PAGEREF _Toc399422165 h 72.3建设思思路 PAGEREF _Toc399422166 h 83运维管控系系统解决方案案 PAGEREF _Toc399422167 h 83.1系统总总体设计 PAGEREF _Toc399422168 h 83.1.

3、1系系统概述 PAGEREF _Toc399422169 h 83.1.2系系统组成 PAGEREF _Toc399422170 h 93.1.3技技术架构 PAGEREF _Toc399422171 h 103.2系统主主要功能 PAGEREF _Toc399422172 h 113.2.1用用户认证与SSSO PAGEREF _Toc399422173 h 113.2.2自自动改密 PAGEREF _Toc399422174 h 123.2.3访访问授权管理理 PAGEREF _Toc399422175 h 123.2.4二二次审批 PAGEREF _Toc399422176 h 133.

4、2.5告告警与阻断 PAGEREF _Toc399422177 h 143.2.6实实时操作过程程监控 PAGEREF _Toc399422178 h 153.2.7历历史回放 PAGEREF _Toc399422179 h 153.2.8审审计报表 PAGEREF _Toc399422180 h 163.2.9审审计存储 PAGEREF _Toc399422181 h 163.3系统功功能特点 PAGEREF _Toc399422182 h 163.3.1运运维协议支持持广 PAGEREF _Toc399422183 h 173.3.2对对用户网络影影响最小 PAGEREF _Toc3994

5、22184 h 173.3.3多多种部署方式式，适应多变变业务场景 PAGEREF _Toc399422185 h 173.3.4友友好的用户交交互体验 PAGEREF _Toc399422186 h 173.4系统部部署 PAGEREF _Toc399422187 h 173.4.1单单台部署 PAGEREF _Toc399422188 h 183.4.2双双机部署 PAGEREF _Toc399422189 h 193.4.3分分布式部署 PAGEREF _Toc399422190 h 204项目实施计计划 PAGEREF _Toc399422191 h 204.1投入技技术力量 PAGE

6、REF _Toc399422192 h 204.1.1项项目人员组织织结构 PAGEREF _Toc399422193 h 214.1.2项项目实施人员员情况 PAGEREF _Toc399422194 h 234.2项目实实施计划 PAGEREF _Toc399422195 h 244.2.1成成立项目小组组 PAGEREF _Toc399422196 h 264.2.2第第一次工程协协调会 PAGEREF _Toc399422197 h 264.2.3设设备交货 PAGEREF _Toc399422198 h 264.2.4到到货验收 PAGEREF _Toc399422199 h 274

7、.2.5施施工准备 PAGEREF _Toc399422200 h 284.2.6第第二次工程协协调会 PAGEREF _Toc399422201 h 284.2.7系系统实施 PAGEREF _Toc399422202 h 284.2.8文文档整理和现现场培训 PAGEREF _Toc399422203 h 294.2.9终终验 PAGEREF _Toc399422204 h 294.2.10技术支持 PAGEREF _Toc399422205 h 294.2.11培训计划 PAGEREF _Toc399422206 h 305项目管理方方案 PAGEREF _Toc399422207 h

8、325.1项目管管理标准 PAGEREF _Toc399422208 h 325.2质量管管理 PAGEREF _Toc399422209 h 325.2.1质质量管理的方方法 PAGEREF _Toc399422210 h 325.2.2不不合格品管理理 PAGEREF _Toc399422211 h 335.2.3质质量统计分析析工具 PAGEREF _Toc399422212 h 335.2.4质质量改进 PAGEREF _Toc399422213 h 335.2.5变变更控制管理理 PAGEREF _Toc399422214 h 345.2.6项项目沟通管理理 PAGEREF _Toc

9、399422215 h 365.2.7项项目成本管理理 PAGEREF _Toc399422216 h 375.2.8项项目风险管理理 PAGEREF _Toc399422217 h 376项目咨询方方案 PAGEREF _Toc399422218 h 406.1.1现现场安装需求求调研 PAGEREF _Toc399422219 h 406.1.2制制定详细的实实施技术方案案 PAGEREF _Toc399422220 h 41项目概述随着XXXX企企业信息化应应用的迅速发发展，企业内内部的各种业业务和经营支支撑系统不断断增加，网络络规模也迅速速扩大。由于于信息系统运运维人员和业业务系统的管

10、管理人员掌握握着系统资源源管理的最高高权限，一旦旦操作出现安安全问题将会会给企业带来来巨大的损失失，加强对运运维管理人员员操作行为的的监管与审计计成为信息安安全发展的必必然趋势。在此背景之下，XXXX企业计划针对运维操作和业务管理与审计进行堡垒机项目建设。堡垒机提供了一套多维度的运维操作管控与审计解决方案，使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。安全现状分析内部人员操作的的安全隐患随着XXXX企企业信息化进进程不断深入入，企业的业业务系统变得得日益复杂，由由内部员工违违规操作导致致的安全问题题变得日益

11、突突出起来。防防火墙、防病病毒、入侵检检测系统等常常规的安全产产品可以解决决一部分安全全问题，但对对于内部人员员的违规操作作却无能为力力。根据FBBI和CSII对484家家公司进行的的网络安全专专项调查结果果显示：超过过70%的安安全威胁来自自公司内部，在在损失金额上上，由于内部部人员泄密导导致了60556.5万美美元的损失，是是黑客造成损损失的16倍倍，是病毒造造成损失的112倍。另据据中国国家信信息安全测评评中心调查，信信息安全的现现实威胁也主主要为内部信信息泄露和内内部人员犯罪罪，而非病毒毒和外来黑客客引起第三方维护人员员安全隐患XXXX企业在在发展的过程程中，因为战战略定位和人人力等诸

12、多原原因，越来越越多的会将非非核心业务外外包给设备商商或者其他专专业代维公司司。如何有效效地监控设备备厂商和代维维人员的操作作行为,并进进行严格的审审计是企业面面临的一个关关键问题。严严格的规章制制度只能约束束一部分人的的行为，只有有通过严格的的权限控制和和操作审计才才能确保安全全管理制度的的有效执行。高权限账号滥用用风险因为种种历史遗遗留问题，并并不是所有的的信息系统都都有严格的身身份认证和权权限划分，权权限划分混乱乱，高权限账账号（比如rroot账号号）共用等问问题一直困扰扰着网络管理理人员，高权权限账号往往往掌握着数据据库和业务系系统的命脉，任任何一个操作作都可能导致致数据的修改改和泄露

13、，最最高权限的滥滥用，让运维维安全变得更更加脆弱，也也让责任划分分和威胁追踪踪变得更加困困难。系统共享账号安安全隐患无论是内部运维维人员还是第第三方代维人人员，基于传传统的维护方方式，都是直直接采用系统统账号完成系系统级别的认认证即可进行行维护操作。随随着系统的不不断庞大，运运维人员与系系统账号之间间的交叉关系系越来越复杂杂，一个账号号多个人同时时使用，是多多对一的关系系，账号不具具有唯一性，系系统账号的密密码策略很难难执行，密码修改要要通知所有知知道这个账号号的人，如果有人离离职或部门调调动，密码需需要立即修改改，如果密码泄泄露无法追查查，如果有误操操作或者恶意意操作，无法法追查到责任任人。

14、违规行为无法控控制的风险网络管理员总是是试图定义各各种操作条例例，来规范内内部员工的网网络访问行为为，但是除了了在造成恶性性后果后追查查责任人，没没有更好的方方式来限制员员工的合规操操作。而事后后追查，只能能是亡羊补牢牢，损失已经经造成。运维安全管控系系统方案设计建设原则随着信息技术的的发展，XXXXX已经建建立了比较完完善的信息系系统，具有网网络规模大、用用户数多、系系统全而复杂杂等特点。IIT建设的核核心任务是运运用现代信息息技术为企业业整体发展战战略的实现提提供支撑平台台并起到推动动作用。信息息安全作为IIT建设的组组成部分，核核心任务是综综合运用技术术、管理等手手段，保障企企业IT系统

15、的信信息安全，保保证业务的连连续性。信息息安全是XXXXX正常业业务运营与发发展的基础；是保证网络络品质的基础础；是保障客客户利益的基基础。根据集团的相关关规范的指导导意见，我们们根据对XXXX信息息系统具体需需求的分析，结结合等级保护护安全评估的的要求，在对对XXXX系统统进行安全建建设时，我们们所遵循的根根本原则是：1、业务保障原原则：安全建建设的根本目目标是能够更更好的保障网网络上承载的的业务。在保保证安全的同同时，还要保保障业务的正正常运行和运运行效率。2、结构简化原原则：安全建建设的直接目目的和效果是是要将整个网网络变得更加加安全，简单单的网络结构构便于整个安安全防护体系系的管理、执

16、执行和维护。3、生命周期原原则：安全建建设不仅仅要要考虑静态设设计，还要考考虑不断的变变化；系统应应具备适度的的灵活性和扩扩展性。总体目标本次在XXXXX业务系统建建立运维安全全管理系统，实实现全局的策策略管理、统统一访问Poortal页页面、集中身份认证、统统一授权及认认证请求转发发等功能，对对XXXX业务务系统的系统统资源账号、维维护操作实施施集中管理、访访问认证、集集中授权和操操作审计。通过本次安全运运维管控系统统的建设，最最终达到以下下目标：通过运维安全管管控系统的建建设为XXXX的系统资源运运维人员提供供统一的入口口，支持统一身份认证证手段。在完完成统一认证证后，根据账账号所具有访访

17、问权限发布布、管理、登登录各个主机机、网络设备备、数据库。系统应根据“网网络实名制”原则记录用用户从登录系系统直至退出出的全程访问问、操作日志志，并以方便便、友好的界界面方式提供供对这些记录录的操作审计计功能。系统应具备灵活活的管理和扩扩展能力，系系统扩容时不不会对系统结结构产生较大大影响。系统应具备灵活活的授权管理理功能，可实实现一对一、一一对多、多对对多的用户授授权。建设思路为实现XXXXX公司构建针针对人员帐户户管理层面全全面完善的安安全运维管控控系统需要，在本项项目的实施过过程中，网域域星云将根据据“以用户身份份集中管理的的思路为核心心，建立全局局唯一的权威威身份信息源源，可在一点点集

18、中管理用用户身份和权权限，从而降降低管理成本本”的思路，在在统一用户身身份的基础上上，实现各个个系统资源的单单点登录、统统一认证、统统一授权、审审计等信息的的集中统一管管理，并提供供与用户现有的数数字证书系统统进行系统集集成的解决方方案，规划合合理、高效的的用户身份管管理流程。本项目建成后，对对于用户来说说，将实现只只需进行一次次登录，就可可以维护不同的主机、网网络设备、数数据库等，并并能方便的来来回切换访问问；对于管理理员来说，将将实现对用户户信息、设备备信息、访问问控制信息等等统一定义和和描述，能确确保信息的一一致性；只需需在运维安全全管控系统进进行统一配置置管理和维护护，降低工作作量和复

19、杂度度。运维管控系统解解决方案系统总体设计系统概述网御网络审计系系统-运维安安全管控型（以以下简称网御御LA-OS），是网域星云云综合内控系系列产品之一一。网御LA-OSS是针对业务务环境下的用用户运维操作作进行控制和和审计的合规规性管控系统统。它通过对对自然人身份份以及资源、资资源账号的集集中管理建立立“自然人账号号资源资源账号号”对应关系，实实现自然人对对资源的统一一授权，同时时，对授权人人员的运维操操作进行记录录、分析、展展现，以帮助助内控工作事事前规划预防防、事中实时时监控、违规行为响响应、事后合合规报告、事事故追踪回放放，加强内部部业务操作行行为监管、避避免核心资产产（服务器、网网络

20、设备、安安全设备等）损损失、保障业业务系统的正正常运营。系统组成网御LA-OSS由WEB模模块、协议代代理模块、行行为审计模块块和应用发布布模块和存储储模块组成。WEB模块为用户提供weeb方式访问问系统的界面面。管理员用用户在界面中中进行运维用用户管理、设设备及帐号管管理、用户授授权管理和运运维审计管理理等管理功能能；运维用户户在界面中进进行资源单点点登录等操作作。协议代理模块实现对主机、数数据库、网络络设备维护过过程中的协议议数据包代理理转发、行为为还原及记录录、高危/违违规行为阻断断等功能。行为审计模块实现对行为操作作的审计功能能，包括实时时高危/违规规行为的告警警、实时监控控、历史数据

21、据检索及报表表统计等功能能。应用发布模块（可可选）安装在Winddows服务务器上，用于于发布非标准准协议或应用用客户端，如如IE、pllsql、ssqlpluus、pcaanywheere等。可可实现对应用用客户端工具具的自动调出出、密码代填填和操作审计计功能。技术架构协议代理模块应用发布模块系统主要功能用户认证与SSSO在信息系统的运运维操作过程程中，经常会会出现多名维维护人员共用用设备（系统统）账号进行行远程访问的的情况，从而而导致出现安安全事件无法法清晰地定位位责任人。网网御LA-OOS为每一个个运维人员创创建唯一的运运维账号（主主账号），运运维账号是获获取目标设备备访问权利的的唯一账

22、号，进进行运维操作作时，所有设设备账号（从从账号）均与与主账号进行行关联，确保保所有运维行行为审计记录录的一致性，从从而准确定位位事故责任人人，弥补传统统网络安全审审计产品无法法准确定位用用户身份的缺缺陷，有效解解决账号共用用问题。网御LA-OSS支持多种身身份认证方式式：本地认证Radius认认证LDAP认证AD域认证等网御LA-OSS系统还支持持SSO功能能，运维人员员一次登陆，即即可访问所有有目标资源，无无需二次输入入用户名、口口令信息。网御LA-OSS部署后，运运维人员可以以通过不同的的方式对目标标对象进行访访问、维护：WEB控件方式式访问，所有有协议均可通通过WEB控控件方式从WWE

23、B直接发发起访问，访访问过程支持持IE（7-11版本）浏览器器；支持通过WEBB直接调用本本地客户端方方式进行访问问；运维人员登录网网御LA-OOS系统时，系系统会根据访访问授权列表表自动展示授授权范围的主主机，避免用用户访问未经经授权主机。自动改密网御LA-OSS支持主机系系统账号的密密码维护托管管功能，系统统支持自动定定期修改Liinux、UUnix、WWindowws、AIXX以及Oraacle、SSqlSerrver、PPostgrreSQL、MMySql的的内置账号密密码。自动密码管理支支持以下功能能：设定密码复杂度度策略；针对不同设备制制定不同改密密计划；设定改密计划的的自动改密周

24、周期；支持随机不同密密码、随机相相同密码、手手工指定密码码等新密码设设定策略；改密结果自动发发送至指定密密码管理员邮邮箱；设定指定的改密密对象，支持持AD域账号号改密；手工下载部分或或全部密码列列表；自动改密结果确确认功能，密密码管理员必必须人工确认认已经下载或或收到密码文文件；否则改改密计划自动动停止执行，确确保改密过程程可靠性；改密结果高强度度加密保护功功能。访问授权管理网御LA-OSS系统通过集集中统一的访访问控制和细细粒度的命令令级授权策略略，确保每个个运维用户拥拥有的权限是是完成任务所所需的最合理理权限。基于向导式的配配置过程；支持基于用户角角色的访问控控制（RBAAC ,Role-

25、Basedd Acceess Coontroll）。管理员员可根据用户户、用户组、访访问主机、目目标系统账号号、访问方式式设置细粒度度访问策略；支持基于时间的的访问控制；支持基于访问者者IP的访问问控制；基于指令（黑白白名单）的访访问控制；除访问授权之外外，网御LA-OOS还支持针针对访问协议议进行深层控控制，比如：限制SSH协议议使用SFTTP限制RDP访问问使用剪贴板板功能限制RDP访问问使用磁盘映映射功能是否启用强制审审批功能（访访问和操作前前必须经过管管理员审批）是否启用备注功功能（访问前前必须先填写写维护内容）二次审批网御LA-OSS支持根据需需求对特殊访访问与操作进进行二次审批批功

26、能，该功功能可以进一一步加强对第第三方人员访访问或关键设设备访问操作作的控制力度度，确保所有有访问操作都都在实时监控控过程中进行行。二次审批功能支支持以下两种种方式：对新建远程访问问会话进行审审批对特殊指令执行行进行审批由于每次访问操操作都需要管管理员进行审审批确认，该该功能也可以以代替部分客客户使用的双双人密码管理理方式。告警与阻断网御LA-OSS系统支持根根据已设定的的访问控制策策略，自动检检测日常运维维过程中发生生的越权访问问、违规操作作等安全事件件，系统能够够根据安全事事件的类型、等等级等条件进进行自动的告告警或阻断处处理。阻断未经授权用用户访问主机机；阻断从异常客户户端、异常时时间段

27、发起的的访问行为；阻断指令黑名单单的操作行为为；阻断方式支持：断开会话、忽忽略指令；告警方式支持：以SYSLLOG、短信信、邮件、SSNMP方式式实时发送告告警信息。实时操作过程监监控对于所有远程访访问目标主机机的会话连接接，网御LA-OOS均可实现现操作过程同同步监视，运运维人员在远远程主机上做做的任何操作作都会同步显显示在审计人人员的监控画画面中。 实时同步显示操操作画面；支持vi、smmit、seetup等字字符菜单操作作同步显示；历史回放网御LA-OSS能够以视频频回放方式，可可根据操作记记录定位回放放或完整重现现维护人员对对远程主机的的整个操作过过程，从而真真正实现对操操作内容的完完

28、全审计。以WEB在线视视频回放方式式重现维护人人员对服务器器的所有操作作过程，无须须在客户端安安装播放客户户端软件；支持从特定操作作指令开始进进行定位回放放；支持倍速/低速速播放、拖动动、暂停、停停止、重新播播放等播放控控制操作；支持空闲时间过过滤；审计报表网御LA-OSS系统拥有强强大的报表功功能，内置能能够满足不用用客户审计需需求的安全审审计报表模板板，支持自动动或手工方式式生成运维审审计报告，便便于管理员全全面分析运维维的合规性。系统内置多种运运行维护报表表模板；支持以htmll、CSV方方式生成并导导出报表；支持管理员自定定义审计报表表；支持以日报、周周报、月报的的方式自动生生成周期性

29、报报表。审计存储网御LA-OSS系统支持自自动化审计数数据存储管理理，管理员可可以对审计数数据进行手工工备份、导出出，也可以设设定自动归档档策略进行自自动归档。手工归档、到处处审计数据；存储空间不足时时自动归档并并删除最早数数据；支持通过自动上上传归档文件件；周期性自动归档档功能；系统功能特点运维协议支持广广网御LA-OSS支持多种运运维访问协议议，能够充分分满足日常运运维需要。字符协议：SSSHv1v22、TELNNET、RLLOGIN、TTN52500（AS4000）图形协议：RDDP、VNCC文件传输协议：数据库访问：OOraclee、MS SSQL Seerver、IIBM DBB2、

30、Sybbase、IIBM Innformiix Dynnamic Serveer、MySSQL、PoostgreeSQL通过应用发布进进行协议扩展展，支持Raadmin、PPcanywwhere、 HTTP/HTTPSS，支持定制制开发其他访访问协议及第第三方客户端端。对用户网络影响响最小物理旁路、逻辑辑串联方式部部署，不必更更改现有的网网络拓扑结构构，同时不需需要在被管理理设备上安装装任何代理程序，对用户户业务和网络络结构影响最最小。多种部署方式，适适应多变业务务场景网御LA-OSS单臂、双臂臂、分布式多多种部署方式式，适应多变变业务场景。友好的用户交互互体验系统的用户界面面具备友好的的用户

31、交互体体验。系统采采用多窗口操操作模式，各各个功能界面面之间可以快快速切换，无无需重复加载载。同时系统支持多多种目标资源源访问方式，包包括页面WEEB访问、页页面调用本地地客户端访问问、命令或图图形菜单访问问和客户端直直连访问，系系统使用界面面友好，能够够最大程度适适应不同用户户的使用习惯惯。系统部署网御LA-OSS采用物理旁旁路方式部署署，不需改变变现有网络结结构，同时不不需要在被管管理设备上安安装任何代理理程序，只需确确保网御LA-OOS和被管资资源以及用户户终端维护区区域网络可达达即可。终端端维护区域用用户通过htttp或htttps方式式登录系统pportall，经过用户户身份认证后后

32、，通过资源源列表单点登登录至被管目目标资源。根据XXXX环环境，部署方方式可分为单单臂和双臂部部署方式以及及分布式部署署。单台部署图3.4.1 单台部署如图所示，网御御LA-OSS在部署时只只需要为其分分配一个独立立IP地址即即可，无需对对网络拓扑结结构进行任何何调整。一般般而言，网御御LA-OSS部署在服务务器所在网段段，同时网御御LA-OSS的IP地址址通过网络设设备发布到外外部网络中供供运维人员访访问。部署网御LAA-OS后，内内部服务器的的维护端口只只需开放给运运维审计系统统，无需再让让运维人员直直接访问。对对运维人员，只只需开放网御御LA-OSS的访问端口口，从而进一一步加强内部部服

33、务器的安安全性。双机部署图3.4.2 双机部署如图所示，网御御LA-OSS支持HA双双机热备部署署，以避免单单点故障隐患患，最大程度度满足运维的的可靠性和连连续性。HAA双机热备部部署由两个节节点组成，分分为主机节点和备机节点，主备之之间通过心跳跳线进行主备备状态监测和和数据实时同同步，主机节节点一旦断开开，备机节点点会立刻启动动，无需人工工干预，从而而实现业务的的不间断运行。分布式部署图3.4.3 分布式部署署如图所示，网御御LA-OSS支持分布式式部署，把网网域网络审计计系统切换至至Proxyy模式部署在在各个运维通通道点，网域域网络审计系系统部署在上上层中心交换换网络中。对对用户网络进进

34、行全面监控控，形成区域域运维通道，以以避免因数据据来源多样复复杂而造成的的审计遗漏，同同时各Prooxy实时传传输审计日志志到中心审计计服务器，最最大程度满足足运维数据的的完整性和可可靠性。项目实施计划投入技术力量项目人员组织结结构图4.1.1 项目人员组组织机构图指导管理小组由双方负责人组组成，负责本本次施工项目目的指导、管管理、高级协协调。网域星星云安排项目目经验丰富的的项目经理及及实施人员。如如果小组成员员确实需要更更换，会和某某某用户的人人员提前协调调，同意后再再进行更换。施工小组成员本次项目实施拟拟派实施人员员包括拟担任职务姓名从业资格从业年限相关经验某某用户配合人人员对某某用户项目

35、目负责人负责责，配合施工工工作，协调调施工所需的的工作环境。工程实施各方责责任某某用户职责：对工程实施方案案进行审定；组织、协调工程程实施阶段的的有关工作；按照培训计划，参参加培训；完成工程实施的的各项准备工工作；配合网域星云施施工人员做好好工程实施方方案；负责辖内产品的的到货验收；配合网域星云进进行安装、调调试；负责系统试运行行；组织进行工程验验收。网域星云职责：配合某某用户完完成项目前期期准备工作；制定具体工程实实施方案；提供场地环境要要求供某某用用户准备相应应的实施环境境；完成备货和发货货；配合华某某用户户对设备点验验和开箱验货货；负责设备的安装装、调试，培培训及技术支支持；配合对某某用

36、户户完成联调工工作；对某某用户相关关技术人员进进行现场技术术培训；保证工程质量能能够通过验收收；对涉密资料保密密的责任；对项目的实施质质量负责；承担项目中网络络相关上架、实实施、测试等等工作。配合某某用户完完成项目前期期准备工作。项目实施人员情情况姓名年龄身份证号码毕业学校专业学位职称 职务现所在机构或部部门服务时间拟在本项目中担担任职务主要经历日期担任何职备注其联系方式如下下表：分工姓名职务职责联系电话指导管理小组项目经理商务协调施工小组成员项目实施计划我们承诺在合同同签订后100个工作日内按某某用户户要求在用户户指定的地点点交货，并提提前5个日历天将将到货时间告告知某某用户户。在验收过程中

37、，因因交付货物的的部分或全部部不符合本合合同约定的数数量、质量标标准，外观变变形或损坏等等情形，将按按某某用户要求求更换、补齐齐，确保所交交付的货物完完好无损。否否则某某用户户可以拒绝接接受该货物或或解除本合同同，由此造成成的损失由网网域星云赔偿偿。假定项目实施开开始的时间为为T，时间单位：日历天，整整个项目工程程进展如下：项目序号项目内容投用时间完成时间1方案调整与合同同签订：完成成投标文件修修改，确定项项目订购的硬硬件设备和软软件。T+1T+12成立项目小组：确定最终的的项目组成员员，并以书面面形式正式通通知某某用户户。T+1T+13设备交货与到货货验收：我方方能够在100个工作日内为某某

38、用户指提供货物，按按照合同的软软、硬件清单单签收到货的的设备。T+10T+124制定详细施工技技术方案：对对项目最终确确定的总体方方案作实施的的各种方案设设计。同时做做详细的业务务需求调研、分析。T+10T+225施工准备（包括括第二次工程程协调会）：项目工程施施工前，网域域星云公司项项目组将进行行一些必要的的准备工作。T+3T+256实施方案安装测测试：按照合合同要求、技技术方案和工工程安装实施施计划，完成成项目合同内内设备的安装装调试工作T+15T+407系统技术培训和和相关手册的的编写T+15T+1008项目验收：根据据项目合同要要求，对系统统进行验收。T+3T+1039服务：系统终验验

39、完成第二日日起满三年，乙乙方的服务质质量符合合同同要求，双方方签署服务报报告3年成立项目小组确定双方项目负负责人，确定定技术工程小小组成员，确确定技术工程程小组成员的的工作内容和和联系接口。第一次工程协调调会本次工程协调会会建议在网域域星云项目组组成立后召开开，参加人员员包括用户相相关人员和网网域星云项目目组成员。会会议内容主要要包括：各方项目组人员员介绍，确定定各自负责人人和联系人；各方对当前的有有关情况进行行介绍和通报报，并提出对对其它方的要要求和建议；协商确定最终的的工程实施进进度表；协商确定工程前前期调研内容容和方式；就下一步的工作作进行通报和和沟通等。设备交货交货时间：合同同签订后1

40、00个工作日内。交货地点：某某某用户指定地地点。交货承诺：网域星云将在合合同规定的交交货期内将货货物运抵指定定地点，负责责办理货物的的运输及运输输保险事宜，有有关包装费、运运费、保险费费、商检费、搬搬运费等费用用由网域星云云承担。网域星云派专人人将所提供合合同中全部货货物运至指定定地点，视为为货物的交货货时间，接收收方出具设设备到货验收收单。网域星云将货物物及合同规定定的相关文件件送达项目现现场。网域星云供货时时提供设备的的序列号列表表清单以便与与生产厂商核核对。网域星云保证提提供的设备为为网域星云生产产的、全新的的、完整的未未开封的、未未使用过的，并并且保证其性性能和质量与与合同规定相相符。

41、确保提提供的技术资资料是完整的的、清晰的和和准确的，且且符合合同有有关规定。当设备发生非人人为因素严重重故障时，网网域星云免费费在7日内将将补充或者更更换的货物运运抵发生故障障的货物所在在地，由此产产生的一切相相关费用由网网域星云负担担。到货验收设备到货时，所所有外包装箱箱箱体无严重重破损或变形形，封条应完完整无缺，型型号正确，数数量齐全，设设备全新。记记录货物的型型号、数量、序序列号，无误误后签署设设备到货点验验单。验货程序网域星云公司将将在合同规定定的交货期内内提供所有产产品，在某某某用户用户指指定的安装地地点进行产品品交付。所有硬件设备具具备原制造厂厂商的铭牌、标标志、所有设设备得到制造

42、造商认证，符符合制造商公公布的质量标标准，所有硬硬件设备通过过合法渠道进进口。凡出现现的任何涉及及非法进口设设备的纠纷，均均由网域星云云承担全部法法律责任。所有系统软件具具有原制造厂厂商的授权证证或许可证，具具有功能、性性能参数和适适用手册。本本系统中出现现的任何涉及及版权纠纷，均均由网域星云云承担全部法法律责任。开箱检验货物运抵本合同同确定的交货货地点后，按按照用户要求求， 由用户户和网域星云云公司根据合合同的规定及及网域星云公司司提交的发货货证明对全部部设备的型号号、规格、数数量、外型、包包装及资料、功能性能参数、使用手册等进行开箱检查验收。查验的内容包括货物包装、外观、数量等进行检查确认

43、，如有异议应当场提出；如无异议，参与验货的双方应签署设备到货点验单一式3份（采购人、用户、网域星云公司各保留1份），即为货物正式交付。如有缺货、错货、损坏、数量不全、型号不正确、设备非全新等现象。施工准备网域星云设备安安装工程师到到来之前，某某某用户应确确保机房和其其他安装场地地配备符合货货物安装要求求的设施。工程施工前，网网域星云公司司将进行一些些必要的准备备工作，其中中某些工作需需要某某用户户用户给予密密切配合，包包括：设备到货的确认认。现场安装条件的的确认，如电电源、机架、电电缆线等。其他可能影响现现场施工问题题的确认。在本阶段，网域域星云公司将向某某用户户用户负责人人发出书面确确认函，

44、提出出需要确认内内容，并由用用户方给予书书面确认。根根据书面确认认结果，如果果施工条件具具备，由用户户方和我方协协商确定现场场施工的具体体时间。第二次工程协调调会本次工程协调会会建议在我方方完成工程程整体设计方方案后进行行，参加人员员可包括用户户相关人员和和所有项目组组成员。会议议内容主要包包括：各方对当前的有有关情况进行行介绍和通报报，并提出对对其他方的要要求和建议。对技术方案进行行沟通和确认认。对施工前各项准准备情况进行行沟通，初步步确定施工的的实际日期。各方就下一步的的工作进行通通报和沟通等等。系统实施系统安装、调测测的主要目标标是使整个系系统能够可操操作、所有设设备能够接通通并正常运转

45、转、所有软件件能够在相应应平台上正常常运行。在双双方确认施工工时间后，网网域星云公司司实施工程师师将按时到达达安装节点，进进行现场施工工和调测工作作。项目经理理及相关施工工工程师负责责安装调试各各系统的软件件系统，保证证在规定周期期内完成所有有调测与单项项验收。在安安装调试过程程中网域星云云的技术人员员应说明安装装步骤和应该该注意的事项项，安装、调调试过程应进进行详细记录录。安装完成成后，给用户户出具完整的的安装报告。在在安装、调试试过程中造成成的系统损坏，一一切责任由网网域星云承担担。系统安装装完成后，某某某用户没有有异议，安安装验收单签签字确认。文档整理和现场场培训安装、调试完成成后，网域

46、星星云工程实施施人员会整理理相关文档，包包括设备相关关的各种资料料、配置文档档等。整理完成后组织织现场培训。详细情情况见培训计计划。终验终验时，某某用用户将对设备备进行验收，网域星云做好验收工作。最终出具的验收报告，包括系统验收合格证明、设备详细清单、所购设备的原厂证明，该证明含所购设备序列号，最终用户等信息双方签字盖章后有效。 技术支持在质保期内，网网域星云公司司为某某用户户免费提供55 x24小小时的技术支支持服务以及及相关的技术术咨询。当系系统出现问题题时，某某用用户的技术人人员可以通过过电话、传真真、E-maail、信函函以及网站等等方式得到客客户化的支持持。项目名称主要内容服务价值全

47、面解决用户使使用过程中遇遇到的问题，更更好为某某用用户提供保障障。服务方式5x24小时技技术支持服务务，电子邮件件技术支持、信信息快递、定定期巡检、应应急响应、重重大问题现场场支持支持时间工作日9:0017:300其余时间支持电话电话：010-827799088；800-8810-60038手机热线：1339118002208传真010-8277790000， 传真收件人人：服务支持持部网站支持邮件支持supportt信函支持邮编：1001193北京市海淀区东东北旺西路88号中关村软软件园21号楼网域星云云大厦网域星云公司服服务支持部 收服务内容产品技术问答：产品使用、产产品问题处理理等，包括

48、软软件故障及硬硬件故障。服务结果反馈并解决用户户问题。支持方式：联系对象：网域域星云技术服服务中心电话支持：0110-8277790888网站支持： HYPERLINK Email支持持； HYPERLINK mailto:support suppportn现场支持：遇到到突发事件和和重大技术问问题，我们的的技术支持工工程师将赶往往现场提供服服务。培训计划安装培训在安装调试进行行时，网域星星云公司的实实施工程师将将对客户进行行现场培训，包包括投标产品品的基本配置置、上线注意意事宜、产品品基本维护事事宜等内容。培训对象：用户户跟随实施的的相关人员。培训目的：现场场安装调试培培训，讲解产产品的结构

49、、安安装步骤、调调试方法和系系统配置等。培训师资：网域域星云实施工工程师。培训日期：现场场安装时。培训人数：不限限。培训地点：安装装现场。现场培训产品应用与实践践培训，培训训内容包括：产品应用特点点，故障识别别与处理，以以及遇到问题题的解决方法法以及相关管管理规定。系系统运行维护护培训工作在在产品试运行行期间内完成成。培训对象：用户户的管理人员员、技术人员员。培训目的：熟悉悉系统的使用用、维护。培训师资：网域域星云培训讲讲师。培训日期：待定定。培训天数：1天天。培训人数：5人人。培训地点：某某某用户。培训资料：专为为某某用户编写写的定制教材材。培训内容和安排排如下：时间课程名称课程内容授课人目

50、的上午9:00-122:00功能和特性常见问题处理日常维护网域星云培训讲讲师通过此课程的学学习，使培训训人员独立掌掌握产品的使用、日日常维护、故故障排除方法法等技术，保保障系统正常常运行。下午14:00-117:00安装配置日常使用现场操作问题讨论网域星云培训讲讲师通过此课程的学学习，使培训训人员独立掌掌握产品的安装配配置，以及日日常使用技巧巧，使培训人人员能够更好好的理解和掌掌握系统的配配置、维护等等内容。项目管理方案项目管理标准为了保证整个安安全项目实施施的质量和进进度，本项目目将主要参考考并遵循一些些国际最新的的相关信息安安全工程标准准和最新的研研究成果，如如：SSE-CMMM信息安全工

51、工程能力成熟熟模型。IATF信息系系统安全工程程（ISSEE）过程模型型。质量管理本项目设置质量量审核小组管管理项目工程程实施的质量量。质量审核核员主要职责责是对实施的的项目工程质质量进行监督督、审核、改改进、跟踪等等一系列的质质量活动。质量管理的方法法网域星云公司的的质量管理方方法依据“PDCA循循环”管理法，即即P-PIIAN策划、DD-DO实施施、C-CHHECK检查查、A-ACCTION处处置。见下图图所示。PDCA循环模模型质量审核小组在在项目的准备备阶段制定质质量计划和确确定质量目标标，在项目的的每个阶段末末尾都要对本本阶段进行质质量审核，审审核本阶段所所产生的所有有文档记录。所所

52、有的不合格格项都要限期期整改，直到到全部达标才才能放行。不合格品管理现场实施遇到的的产品问题由由项目经理以以e-maiil方式和书书面方式反馈馈给厂商的相相关人员。厂厂商提出解决决方案，提交交给项目经理理，项目经理理审核该解决决方案，如果果判断方案不不可接收，则则发回厂商继继续改进；如如果方案可接接收，项目经经理付诸实施施并填写相关关记录。质量统计分析工工具正确使用统计方方法，确保统统计分析数据据的科学、准准确、真实。对对于项目关键键阶段完成的的质量情况采采用调查表法法。对于项目目总体的完成成质量统计，采采用排列图分分析法或控制制图分析法、直直方图分析法法、趋势分析析法、因果分分析法等。质量改

53、进质量改进的管理理质量审核小组负负责对纠正措措施和预防措措施的管理，对对项目质量改改进过程实施施进行控制、跟跟踪和评价。质质量审核小组组和项目经理理共同负责纠纠正措施和预预防措施的策策划、制定等等活动，项目目经理负责对对项目的纠正正和预防措施施进行监督实实施。质量审审核组长负责责对纠正措施施和预防措施施的策划、制制定、记录、跟跟踪及验证的的结果进行审审批。预防措施质量审核小组将将针对已产生生的不合格采采取适当的纠纠正措施，以以消除产生不不合格原因，防防止不合格的的再发生。纠纠正措施应与与遇到问题的的影响程度相相适应。 在项目质量审核核过程中出现现的不合格，质质量审核员填填写项目实实施质量审核核

54、报告，反反馈给项目经经理，项目经经理对质量审审核员提出的的不合格项进进行签字确认认，质量审核核员同项目经经理共同策划划、确定需采采取的纠正措措施，加以记记录，并有项项目经理填写写项目实施施质量审核纠纠正预防措施施，项目经经理加以实施施。质量审核组长应应对实施措施施的情况和效效果进行跟踪踪验证，相应应结果记入项项目实施质量量审核纠正预预防措施，当当验证的纠正正措施结果不不能满足预期期的要求时，应应会同项目经经理重新策划划实施新的纠纠正措施，并并再次验证，直直到结果满足足预期要求。纠正措施在项目质量审核核中，针对可可能发生的不不合格情况采采取预防措施施，以消除潜潜在不合格原原因情况的发发生。采取的

55、的预防措施应应与潜在问题题的影响程度度相适应。质量审核小组应应会同项目经经理针对潜在在不合格的情情况，策划、确确定需要采取取的预防措施施，加以记录录，并由项目目经理填写项项目实施质量量审纠正预防防措施，项项目经理加以以实施。质量审核小组应应对预防措施施的情况和效效果进行跟踪踪验证，相应应结果记入项项目实施质量量审纠正预防防措施，当当验证的预防防措施结果不不能满足预期期的要求时，应应会同项目经经理重新策划划实施新的预预防措施，并并再次验证，这这到结果满足足预期要求。实实施的预防措措施和有关质质量信息，由由质量审核小小组进行质量量审核。变更控制管理不受控制的项目目变更，包括括目标变更，范范围变更，

56、人人员变更，环环境变化，文文档修改等等等是对整个项项目质量的重重大威胁。在项目实施过程程中，将以实实施方案的维维护为核心，对对实施方案及及其衍生文档档进行正规的的变更控制管管理。本项目中由专门门的项目监理理小组负责全全程监管项目目中随时可能能出现的变更更情况，保证证不同层次的的变更能够得得到相应的、适适当的处理，所所有重要的修修改都经过项项目双方的认认真讨论和确确认。在确认认接受变更的的情况下，项项目双方可能能需要重新审审定工期、资资源、目标、甚甚至商务等相相关条文，并并要保证所有相关关人员和相关关条目都得到到了更新。项目变更管理程程序如下所示示：项目变更管理程程序变更申请人填写写项目变更更单

57、的“变更申请”，说明变更更原因、变更更内容，并提提交给相应的的项目小组组组长；项目小组组长将将项目变更更单提交给给项目监理小小组组长；项目监理小组组组长通过与项项目领导小组组的沟通，最最终双方签字字确定是否允允许变更；项目监理小组组组长将评估双双方最终的意意见通知相应应项目小组组组长，由该项项目小组组长长执行相应操操作。项目沟通管理本次项目的成功功完成，需要要某某用户和网域星云公司司双方的协同同合作。因此此，在项目实实施过程中，根根据项目进展展的实际情况况，某某用户户和网域星云公司司双方需要进进行相应的沟通。在本项目中，将将采用正式项项目沟通程序序和日常沟通通相结合的方方式，来保证证参与项目的

58、的各方能够保保持对项目的的了解和支持持。这些管理理和沟通措施施将对项目过过程的质量和和结果的质量量具有重要的的作用。正式的项目沟通通包括项目启启动会议、项项目协调会议议、验收会议议等，这些沟沟通通常提供供书面的会议议纪要共双方方签字作为记记录；日常沟通的的主要渠道包包括：非正式式会议、电话话、电子邮件件、传真等。所有重要的、有有主题的沟通通活动都应留留下记录或形形成备忘录。通通常，这些记记录或备忘录录需要双方的的签字以作为为备案。项目目协调沟通管管理程序如下下：根据项目进展实实际需要，各各项目小组与与相应某某用用户负责人进进行项目协调调沟通活动；各项目小组组长长记录协调沟沟通内容，创创建项目协

59、协调沟通备忘忘录；各项目小组组长长与相应某某某用户负责人人签字确认项项目协调沟通通备忘录；在项目实施过程程中，各项目目小组组长将将电子版本的的项目协调调沟通备忘录录加密后提提交给项目经经理；项目经理每周汇汇总一次各项项目小组的项项目协调沟通通备忘录，加加密后提交给给项目领导小小组；各项目小组完成成本项目小组组的全部工作作后，将已经经获得某某用用户相关负责责人签字确认认的纸介质版版本的项目目协调沟通备备忘录提交交给项目执行行小组组长。项目成本管理建立施工项目成成本控制系统统要实行目标责任任成本管理，重点抓四个个环节：划分责任中心,明确成本管管理责任。制定责任成本目目标。责任成本执行过过程控制。责

60、任成本业绩考考核。这四个环节相互互联系，构成一个有有机的成本控控制系统。施工项目成本的的动态控制施工项目成本本计划执行中中的控制环节节包括：施工项目计计划成本责任任制的落实，施工项目成成本计划执行行情况的检查查与协调，施工项目成成本核算等。在项目施工中，建立核算体体系，各核算算人员均应承承担成本核算算责任。完善项目施工的的承包责任制制，制定出一系系列规章制度度，有章可循。制定详细的的核算图表，以便于操作作。项目组要签订项项目承包合同同。根据工程编编号建立成本本台帐，逐月汇总，使成本支出出一目了然。做好信息反馈工工作，核算员在当当月底向项目目经理或队长长书面汇报成成本执行情况况，为决策者提提供可