网御网络审计系统运维安全管控型LA OS 方案模版boba.docx

《网御网络审计系统运维安全管控型LA OS 方案模版boba.docx》由会员分享，可在线阅读，更多相关《网御网络审计系统运维安全管控型LA OS 方案模版boba.docx（55页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网御网络审计系系统-运维安安全管控型（LA-OS）方案模板北京网御星云信信息技术有限限公司文档修订记录版本号日期修订者修订说明V3.0.0.x2014-088-13李彬创建目 录项目概述51安全现状分分析51.1内部人人员操作的安安全隐患51.2第三方方维护人员安安全隐患51.3高权限限账号滥用风风险61.4系统共共享账号安全全隐患61.5违规行行为无法控制制的风险62运维安全管管控系统方案案设计62.1建设原原则62.2总体目目标72.3建设思思路83运维管控系系统解决方案案83.1系统总总体设计83.1.1系系统概述83.1.2系系统组成93.1.3技技术架构103.2系统主主要功能113

2、.2.1用用户认证与SSSO113.2.2自自动改密123.2.3访访问授权管理理123.2.4二二次审批133.2.5告告警与阻断143.2.6实实时操作过程程监控153.2.7历历史回放153.2.8审审计报表163.2.9审审计存储163.3系统功功能特点163.3.1运运维协议支持持广173.3.2对对用户网络影影响最小173.3.3多多种部署方式式，适应多变变业务场景173.3.4友友好的用户交交互体验173.4系统部部署173.4.1单单台部署183.4.2双双机部署193.4.3分分布式部署204项目实施计计划204.1投入技技术力量204.1.1项项目人员组织织结构214.1.

3、2项项目实施人员员情况234.2项目实实施计划244.2.1成成立项目小组组264.2.2第第一次工程协协调会264.2.3设设备交货264.2.4到到货验收274.2.5施施工准备284.2.6第第二次工程协协调会284.2.7系系统实施284.2.8文文档整理和现现场培训294.2.9终终验294.2.10技术支持294.2.11培训计划305项目管理方方案325.1项目管管理标准325.2质量管管理325.2.1质质量管理的方方法325.2.2不不合格品管理理335.2.3质质量统计分析析工具335.2.4质质量改进335.2.5变变更控制管理理345.2.6项项目沟通管理理365.2.

4、7项项目成本管理理375.2.8项项目风险管理理376项目咨询方方案406.1.1现现场安装需求求调研406.1.2制制定详细的实实施技术方案案41项目概述随着XXXX企企业信息化应应用的迅速发发展，企业内内部的各种业业务和经营支支撑系统不断断增加，网络络规模也迅速速扩大。由于于信息系统运运维人员和业业务系统的管管理人员掌握握着系统资源源管理的最高高权限，一旦旦操作出现安安全问题将会会给企业带来来巨大的损失失，加强对运运维管理人员员操作行为的的监管与审计计成为信息安安全发展的必必然趋势。在此背景之下，XXXX企业计划针对运维操作和业务管理与审计进行堡垒机项目建设。堡垒机提供了一套多维度的运维操

5、作管控与审计解决方案，使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。1 安全现状分析1.1 内部人员操作的的安全隐患随着XXXX企企业信息化进进程不断深入入，企业的业业务系统变得得日益复杂，由由内部员工违违规操作导致致的安全问题题变得日益突突出起来。防防火墙、防病病毒、入侵检检测系统等常常规的安全产产品可以解决决一部分安全全问题，但对对于内部人员员的违规操作作却无能为力力。根据FBBI和CSII对484家家公司进行的的网络安全专专项调查结果果显示：超过过70%的安安全威胁来自自公司内部，在在损失金额上上，由

6、于内部部人员泄密导导致了60556.5万美美元的损失，是是黑客造成损损失的16倍倍，是病毒造造成损失的112倍。另据据中国国家信信息安全测评评中心调查，信信息安全的现现实威胁也主主要为内部信信息泄露和内内部人员犯罪罪，而非病毒毒和外来黑客客引起1.2 第三方维护人员员安全隐患XXXX企业在在发展的过程程中，因为战战略定位和人人力等诸多原原因，越来越越多的会将非非核心业务外外包给设备商商或者其他专专业代维公司司。如何有效效地监控设备备厂商和代维维人员的操作作行为,并进进行严格的审审计是企业面面临的一个关关键问题。严严格的规章制制度只能约束束一部分人的的行为，只有有通过严格的的权限控制和和操作审计

7、才才能确保安全全管理制度的的有效执行。1.3 高权限账号滥用用风险因为种种历史遗遗留问题，并并不是所有的的信息系统都都有严格的身身份认证和权权限划分，权权限划分混乱乱，高权限账账号（比如rroot账号号）共用等问问题一直困扰扰着网络管理理人员，高权权限账号往往往掌握着数据据库和业务系系统的命脉，任任何一个操作作都可能导致致数据的修改改和泄露，最最高权限的滥滥用，让运维维安全变得更更加脆弱，也也让责任划分分和威胁追踪踪变得更加困困难。1.4 系统共享账号安安全隐患无论是内部运维维人员还是第第三方代维人人员，基于传传统的维护方方式，都是直直接采用系统统账号完成系系统级别的认认证即可进行行维护操作。

8、随随着系统的不不断庞大，运运维人员与系系统账号之间间的交叉关系系越来越复杂杂，一个账号号多个人同时时使用，是多多对一的关系系，账号不具具有唯一性，系系统账号的密密码策略很难难执行，密码修改要要通知所有知知道这个账号号的人，如果有人离离职或部门调调动，密码需需要立即修改改，如果密码泄泄露无法追查查，如果有误操操作或者恶意意操作，无法法追查到责任任人。1.5 违规行为无法控控制的风险网络管理员总是是试图定义各各种操作条例例，来规范内内部员工的网网络访问行为为，但是除了了在造成恶性性后果后追查查责任人，没没有更好的方方式来限制员员工的合规操操作。而事后后追查，只能能是亡羊补牢牢，损失已经经造成。2

9、运维安全管控系系统方案设计2.1 建设原则随着信息技术的的发展，XXXXX已经建建立了比较完完善的信息系系统，具有网网络规模大、用用户数多、系系统全而复杂杂等特点。IIT建设的核核心任务是运运用现代信息息技术为企业业整体发展战战略的实现提提供支撑平台台并起到推动动作用。信息息安全作为IIT建设的组组成部分，核核心任务是综综合运用技术术、管理等手手段，保障企企业IT系统的信信息安全，保保证业务的连连续性。信息息安全是XXXXX正常业业务运营与发发展的基础；是保证网络络品质的基础础；是保障客客户利益的基基础。根据集团的相关关规范的指导导意见，我们们根据对XXXX信息息系统具体需需求的分析，结结合等

10、级保护护安全评估的的要求，在对对XXXX系统统进行安全建建设时，我们们所遵循的根根本原则是：1、业务保障原原则：安全建建设的根本目目标是能够更更好的保障网网络上承载的的业务。在保保证安全的同同时，还要保保障业务的正正常运行和运运行效率。2、结构简化原原则：安全建建设的直接目目的和效果是是要将整个网网络变得更加加安全，简单单的网络结构构便于整个安安全防护体系系的管理、执执行和维护。3、生命周期原原则：安全建建设不仅仅要要考虑静态设设计，还要考考虑不断的变变化；系统应应具备适度的的灵活性和扩扩展性。2.2 总体目标本次在XXXXX业务系统建建立运维安全全管理系统，实实现全局的策策略管理、统统一访问

11、Poortal页页面、集中身份认证、统统一授权及认认证请求转发发等功能，对对XXXX业务务系统的系统统资源账号、维维护操作实施施集中管理、访访问认证、集集中授权和操操作审计。通过本次安全运运维管控系统统的建设，最最终达到以下下目标：1. 通过运维安全管管控系统的建建设为XXXX的系统资源运运维人员提供供统一的入口口，支持统一身份认证证手段。在完完成统一认证证后，根据账账号所具有访访问权限发布布、管理、登登录各个主机机、网络设备备、数据库。2. 系统应根据“网网络实名制”原则记录用用户从登录系系统直至退出出的全程访问问、操作日志志，并以方便便、友好的界界面方式提供供对这些记录录的操作审计计功能。

12、3. 系统应具备灵活活的管理和扩扩展能力，系系统扩容时不不会对系统结结构产生较大大影响。4. 系统应具备灵活活的授权管理理功能，可实实现一对一、一一对多、多对对多的用户授授权。2.3 建设思路为实现XXXXX公司构建针针对人员帐户户管理层面全全面完善的安安全运维管控控系统需要，在本项项目的实施过过程中，网域域星云将根据据“以用户身份份集中管理的的思路为核心心，建立全局局唯一的权威威身份信息源源，可在一点点集中管理用用户身份和权权限，从而降降低管理成本本”的思路，在在统一用户身身份的基础上上，实现各个个系统资源的单单点登录、统统一认证、统统一授权、审审计等信息的的集中统一管管理，并提供供与用户现

13、有的数数字证书系统统进行系统集集成的解决方方案，规划合合理、高效的的用户身份管管理流程。本项目建成后，对对于用户来说说，将实现只只需进行一次次登录，就可可以维护不同的主机、网网络设备、数数据库等，并并能方便的来来回切换访问问；对于管理理员来说，将将实现对用户户信息、设备备信息、访问问控制信息等等统一定义和和描述，能确确保信息的一一致性；只需需在运维安全全管控系统进进行统一配置置管理和维护护，降低工作作量和复杂度度。3 运维管控系统解解决方案3.1 系统总体设计3.1.1 系统概述网御网络审计系系统-运维安安全管控型（以以下简称网御御LA-OS），是网域星云云综合内控系系列产品之一一。网御LA-

14、OSS是针对业务务环境下的用用户运维操作作进行控制和和审计的合规规性管控系统统。它通过对对自然人身份份以及资源、资资源账号的集集中管理建立立“自然人账号号资源资源账号号”对应关系，实实现自然人对对资源的统一一授权，同时时，对授权人人员的运维操操作进行记录录、分析、展展现，以帮助助内控工作事事前规划预防防、事中实时时监控、违规行为响响应、事后合合规报告、事事故追踪回放放，加强内部部业务操作行行为监管、避避免核心资产产（服务器、网网络设备、安安全设备等）损损失、保障业业务系统的正正常运营。3.1.2 系统组成网御LA-OSS由WEB模模块、协议代代理模块、行行为审计模块块和应用发布布模块和存储储模

15、块组成。l WEB模块为用户提供weeb方式访问问系统的界面面。管理员用用户在界面中中进行运维用用户管理、设设备及帐号管管理、用户授授权管理和运运维审计管理理等管理功能能；运维用户户在界面中进进行资源单点点登录等操作作。l 协议代理模块实现对主机、数数据库、网络络设备维护过过程中的协议议数据包代理理转发、行为为还原及记录录、高危/违违规行为阻断断等功能。l 行为审计模块实现对行为操作作的审计功能能，包括实时时高危/违规规行为的告警警、实时监控控、历史数据据检索及报表表统计等功能能。l 应用发布模块（可可选）安装在Winddows服务务器上，用于于发布非标准准协议或应用用客户端，如如IE、pll

16、sql、ssqlpluus、pcaanywheere等。可可实现对应用用客户端工具具的自动调出出、密码代填填和操作审计计功能。3.1.3 技术架构3.1.3.1. 协议代理模块3.1.3.2. 应用发布模块3.2 系统主要功能3.2.1 用户认证与SSSO在信息系统的运运维操作过程程中，经常会会出现多名维维护人员共用用设备（系统统）账号进行行远程访问的的情况，从而而导致出现安安全事件无法法清晰地定位位责任人。网网御LA-OOS为每一个个运维人员创创建唯一的运运维账号（主主账号），运运维账号是获获取目标设备备访问权利的的唯一账号，进进行运维操作作时，所有设设备账号（从从账号）均与与主账号进行行关

17、联，确保保所有运维行行为审计记录录的一致性，从从而准确定位位事故责任人人，弥补传统统网络安全审审计产品无法法准确定位用用户身份的缺缺陷，有效解解决账号共用用问题。网御LA-OSS支持多种身身份认证方式式： 本地认证 Radius认认证 LDAP认证 AD域认证等网御LA-OSS系统还支持持SSO功能能，运维人员员一次登陆，即即可访问所有有目标资源，无无需二次输入入用户名、口口令信息。网御LA-OSS部署后，运运维人员可以以通过不同的的方式对目标标对象进行访访问、维护： WEB控件方式式访问，所有有协议均可通通过WEB控控件方式从WWEB直接发发起访问，访访问过程支持持IE（7-11版本）浏览器

18、器； 支持通过WEBB直接调用本本地客户端方方式进行访问问；运维人员登录网网御LA-OOS系统时，系系统会根据访访问授权列表表自动展示授授权范围的主主机，避免用用户访问未经经授权主机。3.2.2 自动改密网御LA-OSS支持主机系系统账号的密密码维护托管管功能，系统统支持自动定定期修改Liinux、UUnix、WWindowws、AIXX以及Oraacle、SSqlSerrver、PPostgrreSQL、MMySql的的内置账号密密码。自动密码管理支支持以下功能能： 设定密码复杂度度策略； 针对不同设备制制定不同改密密计划； 设定改密计划的的自动改密周周期； 支持随机不同密密码、随机相相同密

19、码、手手工指定密码码等新密码设设定策略； 改密结果自动发发送至指定密密码管理员邮邮箱； 设定指定的改密密对象，支持持AD域账号号改密； 手工下载部分或或全部密码列列表； 自动改密结果确确认功能，密密码管理员必必须人工确认认已经下载或或收到密码文文件；否则改改密计划自动动停止执行，确确保改密过程程可靠性； 改密结果高强度度加密保护功功能。3.2.3 访问授权管理网御LA-OSS系统通过集集中统一的访访问控制和细细粒度的命令令级授权策略略，确保每个个运维用户拥拥有的权限是是完成任务所所需的最合理理权限。 基于向导式的配配置过程； 支持基于用户角角色的访问控控制（RBAAC ,Role-Basedd

20、 Acceess Coontroll）。管理员员可根据用户户、用户组、访访问主机、目目标系统账号号、访问方式式设置细粒度度访问策略； 支持基于时间的的访问控制； 支持基于访问者者IP的访问问控制； 基于指令（黑白白名单）的访访问控制；除访问授权之外外，网御LA-OOS还支持针针对访问协议议进行深层控控制，比如： 限制SSH协议议使用SFTTP 限制RDP访问问使用剪贴板板功能 限制RDP访问问使用磁盘映映射功能 是否启用强制审审批功能（访访问和操作前前必须经过管管理员审批） 是否启用备注功功能（访问前前必须先填写写维护内容）3.2.4 二次审批网御LA-OSS支持根据需需求对特殊访访问与操作进

21、进行二次审批批功能，该功功能可以进一一步加强对第第三方人员访访问或关键设设备访问操作作的控制力度度，确保所有有访问操作都都在实时监控控过程中进行行。二次审批功能支支持以下两种种方式： 对新建远程访问问会话进行审审批 对特殊指令执行行进行审批由于每次访问操操作都需要管管理员进行审审批确认，该该功能也可以以代替部分客客户使用的双双人密码管理理方式。3.2.5 告警与阻断网御LA-OSS系统支持根根据已设定的的访问控制策策略，自动检检测日常运维维过程中发生生的越权访问问、违规操作作等安全事件件，系统能够够根据安全事事件的类型、等等级等条件进进行自动的告告警或阻断处处理。 阻断未经授权用用户访问主机机

22、； 阻断从异常客户户端、异常时时间段发起的的访问行为； 阻断指令黑名单单的操作行为为； 阻断方式支持：断开会话、忽忽略指令； 告警方式支持：以SYSLLOG、短信信、邮件、SSNMP方式式实时发送告告警信息。3.2.6 实时操作过程监监控对于所有远程访访问目标主机机的会话连接接，网御LA-OOS均可实现现操作过程同同步监视，运运维人员在远远程主机上做做的任何操作作都会同步显显示在审计人人员的监控画画面中。 实时同步显示操操作画面； 支持vi、smmit、seetup等字字符菜单操作作同步显示；3.2.7 历史回放网御LA-OSS能够以视频频回放方式，可可根据操作记记录定位回放放或完整重现现维护

23、人员对对远程主机的的整个操作过过程，从而真真正实现对操操作内容的完完全审计。 以WEB在线视视频回放方式式重现维护人人员对服务器器的所有操作作过程，无须须在客户端安安装播放客户户端软件； 支持从特定操作作指令开始进进行定位回放放； 支持倍速/低速速播放、拖动动、暂停、停停止、重新播播放等播放控控制操作； 支持空闲时间过过滤；3.2.8 审计报表网御LA-OSS系统拥有强强大的报表功功能，内置能能够满足不用用客户审计需需求的安全审审计报表模板板，支持自动动或手工方式式生成运维审审计报告，便便于管理员全全面分析运维维的合规性。 系统内置多种运运行维护报表表模板； 支持以htmll、CSV方方式生成

24、并导导出报表； 支持管理员自定定义审计报表表； 支持以日报、周周报、月报的的方式自动生生成周期性报报表。3.2.9 审计存储网御LA-OSS系统支持自自动化审计数数据存储管理理，管理员可可以对审计数数据进行手工工备份、导出出，也可以设设定自动归档档策略进行自自动归档。 手工归档、到处处审计数据； 存储空间不足时时自动归档并并删除最早数数据； 支持通过FTPP、SFTPP自动上传归归档文件； 周期性自动归档档功能；3.3 系统功能特点3.3.1 运维协议支持广广网御LA-OSS支持多种运运维访问协议议，能够充分分满足日常运运维需要。 字符协议：SSSHv1v22、TELNNET、RLLOGIN、

25、TTN52500（AS4000） 图形协议：RDDP、VNCC 文件传输协议：FTP、SSFTP 数据库访问：OOraclee、MS SSQL Seerver、IIBM DBB2、Sybbase、IIBM Innformiix Dynnamic Serveer、MySSQL、PoostgreeSQL通过应用发布进进行协议扩展展，支持Raadmin、PPcanywwhere、 HTTP/HTTPSS，支持定制制开发其他访访问协议及第第三方客户端端。3.3.2 对用户网络影响响最小物理旁路、逻辑辑串联方式部部署，不必更更改现有的网网络拓扑结构构，同时不需需要在被管理理设备上安装装任何代理程序，对用

26、户户业务和网络络结构影响最最小。3.3.3 多种部署方式，适适应多变业务务场景网御LA-OSS单臂、双臂臂、分布式多多种部署方式式，适应多变变业务场景。3.3.4 友好的用户交互互体验系统的用户界面面具备友好的的用户交互体体验。系统采采用多窗口操操作模式，各各个功能界面面之间可以快快速切换，无无需重复加载载。同时系统支持多多种目标资源源访问方式，包包括页面WEEB访问、页页面调用本地地客户端访问问、命令或图图形菜单访问问和客户端直直连访问，系系统使用界面面友好，能够够最大程度适适应不同用户户的使用习惯惯。3.4 系统部署网御LA-OSS采用物理旁旁路方式部署署，不需改变变现有网络结结构，同时不

27、不需要在被管管理设备上安安装任何代理理程序，只需确确保网御LA-OOS和被管资资源以及用户户终端维护区区域网络可达达即可。终端端维护区域用用户通过htttp或htttps方式式登录系统pportall，经过用户户身份认证后后，通过资源源列表单点登登录至被管目目标资源。根据XXXX环环境，部署方方式可分为单单臂和双臂部部署方式以及及分布式部署署。3.4.1 单台部署图3.4.1 单台部署如图所示，网御御LA-OSS在部署时只只需要为其分分配一个独立立IP地址即即可，无需对对网络拓扑结结构进行任何何调整。一般般而言，网御御LA-OSS部署在服务务器所在网段段，同时网御御LA-OSS的IP地址址通过

28、网络设设备发布到外外部网络中供供运维人员访访问。部署网御LAA-OS后，内内部服务器的的维护端口只只需开放给运运维审计系统统，无需再让让运维人员直直接访问。对对运维人员，只只需开放网御御LA-OSS的访问端口口，从而进一一步加强内部部服务器的安安全性。3.4.2 双机部署图3.4.2 双机部署如图所示，网御御LA-OSS支持HA双双机热备部署署，以避免单单点故障隐患患，最大程度度满足运维的的可靠性和连连续性。HAA双机热备部部署由两个节节点组成，分分为主机节点和备机节点，主备之之间通过心跳跳线进行主备备状态监测和和数据实时同同步，主机节节点一旦断开开，备机节点点会立刻启动动，无需人工工干预，从

29、而而实现业务的的不间断运行。3.4.3 分布式部署图3.4.3 分布式部署署如图所示，网御御LA-OSS支持分布式式部署，把网网域网络审计计系统切换至至Proxyy模式部署在在各个运维通通道点，网域域网络审计系系统部署在上上层中心交换换网络中。对对用户网络进进行全面监控控，形成区域域运维通道，以以避免因数据据来源多样复复杂而造成的的审计遗漏，同同时各Prooxy实时传传输审计日志志到中心审计计服务器，最最大程度满足足运维数据的的完整性和可可靠性。4 项目实施计划4.1 投入技术力量4.1.1 项目人员组织结结构图4.1.1 项目人员组组织机构图4.1.1.1. 指导管理小组由双方负责人组组成，

30、负责本本次施工项目目的指导、管管理、高级协协调。网域星星云安排项目目经验丰富的的项目经理及及实施人员。如如果小组成员员确实需要更更换，会和某某某用户的人人员提前协调调，同意后再再进行更换。4.1.1.2. 施工小组成员本次项目实施拟拟派实施人员员包括拟担任职务姓名从业资格从业年限相关经验4.1.1.3. 某某用户配合人人员对某某用户项目目负责人负责责，配合施工工工作，协调调施工所需的的工作环境。4.1.1.4. 工程实施各方责责任某某用户职责：u 对工程实施方案案进行审定；u 组织、协调工程程实施阶段的的有关工作；u 按照培训计划，参参加培训；u 完成工程实施的的各项准备工工作；u 配合网域星

31、云施施工人员做好好工程实施方方案；u 负责辖内产品的的到货验收；u 配合网域星云进进行安装、调调试；u 负责系统试运行行；u 组织进行工程验验收。网域星云职责：u 配合某某用户完完成项目前期期准备工作；u 制定具体工程实实施方案；u 提供场地环境要要求供某某用用户准备相应应的实施环境境；u 完成备货和发货货；u 配合华某某用户户对设备点验验和开箱验货货；u 负责设备的安装装、调试，培培训及技术支支持；u 配合对某某用户户完成联调工工作；u 对某某用户相关关技术人员进进行现场技术术培训；u 保证工程质量能能够通过验收收；u 对涉密资料保密密的责任；u 对项目的实施质质量负责；u 承担项目中网络络

32、相关上架、实实施、测试等等工作。u 配合某某用户完完成项目前期期准备工作。4.1.2 项目实施人员情情况姓名年龄身份证号码毕业学校专业学位职称 职务现所在机构或部部门服务时间拟在本项目中担担任职务主要经历日期担任何职备注其联系方式如下下表：分工姓名职务职责联系电话指导管理小组项目经理商务协调施工小组成员4.2 项目实施计划我们承诺在合同同签订后100个工作日内按某某用户户要求在用户户指定的地点点交货，并提提前5个日历天将将到货时间告告知某某用户户。在验收过程中，因因交付货物的的部分或全部部不符合本合合同约定的数数量、质量标标准，外观变变形或损坏等等情形，将按按某某用户要求求更换、补齐齐，确保所

33、交交付的货物完完好无损。否否则某某用户户可以拒绝接接受该货物或或解除本合同同，由此造成成的损失由网网域星云赔偿偿。假定项目实施开开始的时间为为T，时间单位：日历天，整整个项目工程程进展如下：项目序号项目内容投用时间完成时间1方案调整与合同同签订：完成成投标文件修修改，确定项项目订购的硬硬件设备和软软件。T+1T+12成立项目小组：确定最终的的项目组成员员，并以书面面形式正式通通知某某用户户。T+1T+13设备交货与到货货验收：我方方能够在100个工作日内为某某用户指提供货物，按按照合同的软软、硬件清单单签收到货的的设备。T+10T+124制定详细施工技技术方案：对对项目最终确确定的总体方方案作

34、实施的的各种方案设设计。同时做做详细的业务务需求调研、分析。T+10T+225施工准备（包括括第二次工程程协调会）：项目工程施施工前，网域域星云公司项项目组将进行行一些必要的的准备工作。T+3T+256实施方案安装测测试：按照合合同要求、技技术方案和工工程安装实施施计划，完成成项目合同内内设备的安装装调试工作T+15T+407系统技术培训和和相关手册的的编写T+15T+1008项目验收：根据据项目合同要要求，对系统统进行验收。T+3T+1039服务：系统终验验完成第二日日起满三年，乙乙方的服务质质量符合合同同要求，双方方签署服务报报告3年4.2.1 成立项目小组确定双方项目负负责人，确定定技术

35、工程小小组成员，确确定技术工程程小组成员的的工作内容和和联系接口。4.2.2 第一次工程协调调会本次工程协调会会建议在网域域星云项目组组成立后召开开，参加人员员包括用户相相关人员和网网域星云项目目组成员。会会议内容主要要包括： 各方项目组人员员介绍，确定定各自负责人人和联系人； 各方对当前的有有关情况进行行介绍和通报报，并提出对对其它方的要要求和建议； 协商确定最终的的工程实施进进度表； 协商确定工程前前期调研内容容和方式； 就下一步的工作作进行通报和和沟通等。4.2.3 设备交货交货时间：合同同签订后100个工作日内。交货地点：某某某用户指定地地点。交货承诺： 网域星云将在合合同规定的交交货

36、期内将货货物运抵指定定地点，负责责办理货物的的运输及运输输保险事宜，有有关包装费、运运费、保险费费、商检费、搬搬运费等费用用由网域星云云承担。 网域星云派专人人将所提供合合同中全部货货物运至指定定地点，视为为货物的交货货时间，接收收方出具设设备到货验收收单。 网域星云将货物物及合同规定定的相关文件件送达项目现现场。 网域星云供货时时提供设备的的序列号列表表清单以便与与生产厂商核核对。 网域星云保证提提供的设备为为网域星云生产产的、全新的的、完整的未未开封的、未未使用过的，并并且保证其性性能和质量与与合同规定相相符。确保提提供的技术资资料是完整的的、清晰的和和准确的，且且符合合同有有关规定。 当

37、设备发生非人人为因素严重重故障时，网网域星云免费费在7日内将将补充或者更更换的货物运运抵发生故障障的货物所在在地，由此产产生的一切相相关费用由网网域星云负担担。4.2.4 到货验收设备到货时，所所有外包装箱箱箱体无严重重破损或变形形，封条应完完整无缺，型型号正确，数数量齐全，设设备全新。记记录货物的型型号、数量、序序列号，无误误后签署设设备到货点验验单。验货程序网域星云公司将将在合同规定定的交货期内内提供所有产产品，在某某某用户用户指指定的安装地地点进行产品品交付。1) 所有硬件设备具具备原制造厂厂商的铭牌、标标志、所有设设备得到制造造商认证，符符合制造商公公布的质量标标准，所有硬硬件设备通过

38、过合法渠道进进口。凡出现现的任何涉及及非法进口设设备的纠纷，均均由网域星云云承担全部法法律责任。2) 所有系统软件具具有原制造厂厂商的授权证证或许可证，具具有功能、性性能参数和适适用手册。本本系统中出现现的任何涉及及版权纠纷，均均由网域星云云承担全部法法律责任。开箱检验货物运抵本合同同确定的交货货地点后，按按照用户要求求， 由用户户和网域星云云公司根据合合同的规定及及网域星云公司司提交的发货货证明对全部部设备的型号号、规格、数数量、外型、包包装及资料、功能性能参数、使用手册等进行开箱检查验收。查验的内容包括货物包装、外观、数量等进行检查确认，如有异议应当场提出；如无异议，参与验货的双方应签署设

39、备到货点验单一式3份（采购人、用户、网域星云公司各保留1份），即为货物正式交付。如有缺货、错货、损坏、数量不全、型号不正确、设备非全新等现象。4.2.5 施工准备网域星云设备安安装工程师到到来之前，某某某用户应确确保机房和其其他安装场地地配备符合货货物安装要求求的设施。工程施工前，网网域星云公司司将进行一些些必要的准备备工作，其中中某些工作需需要某某用户户用户给予密密切配合，包包括： 设备到货的确认认。 现场安装条件的的确认，如电电源、机架、电电缆线等。 其他可能影响现现场施工问题题的确认。在本阶段，网域域星云公司将向某某用户户用户负责人人发出书面确确认函，提出出需要确认内内容，并由用用户方给

40、予书书面确认。根根据书面确认认结果，如果果施工条件具具备，由用户户方和我方协协商确定现场场施工的具体体时间。4.2.6 第二次工程协调调会本次工程协调会会建议在我方方完成工程程整体设计方方案后进行行，参加人员员可包括用户户相关人员和和所有项目组组成员。会议议内容主要包包括： 各方对当前的有有关情况进行行介绍和通报报，并提出对对其他方的要要求和建议。 对技术方案进行行沟通和确认认。 对施工前各项准准备情况进行行沟通，初步步确定施工的的实际日期。 各方就下一步的的工作进行通通报和沟通等等。4.2.7 系统实施系统安装、调测测的主要目标标是使整个系系统能够可操操作、所有设设备能够接通通并正常运转转、

41、所有软件件能够在相应应平台上正常常运行。在双双方确认施工工时间后，网网域星云公司司实施工程师师将按时到达达安装节点，进进行现场施工工和调测工作作。项目经理理及相关施工工工程师负责责安装调试各各系统的软件件系统，保证证在规定周期期内完成所有有调测与单项项验收。在安安装调试过程程中网域星云云的技术人员员应说明安装装步骤和应该该注意的事项项，安装、调调试过程应进进行详细记录录。安装完成成后，给用户户出具完整的的安装报告。在在安装、调试试过程中造成成的系统损坏，一一切责任由网网域星云承担担。系统安装装完成后，某某某用户没有有异议，安安装验收单签签字确认。4.2.8 文档整理和现场场培训安装、调试完成成

42、后，网域星星云工程实施施人员会整理理相关文档，包包括设备相关关的各种资料料、配置文档档等。整理完成后组织织现场培训。详细情情况见培训计计划。4.2.9 终验终验时，某某用用户将对设备备进行验收，网域星云做好验收工作。最终出具的验收报告，包括系统验收合格证明、设备详细清单、所购设备的原厂证明，该证明含所购设备序列号，最终用户等信息双方签字盖章后有效。 4.2.10 技术支持在质保期内，网网域星云公司司为某某用户户免费提供55 x24小小时的技术支支持服务以及及相关的技术术咨询。当系系统出现问题题时，某某用用户的技术人人员可以通过过电话、传真真、E-maail、信函函以及网站等等方式得到客客户化的

43、支持持。项目名称主要内容服务价值全面解决用户使使用过程中遇遇到的问题，更更好为某某用用户提供保障障。服务方式5x24小时技技术支持服务务，电子邮件件技术支持、信信息快递、定定期巡检、应应急响应、重重大问题现场场支持支持时间工作日9:00-17:300其余时间支持电话电话：010-827799088；800-8810-60038手机热线：1339118002208传真010-8277790000， 传真收件人人：服务支持持部网站支持邮件支持supportt信函支持邮编：1001193北京市海淀区东东北旺西路88号中关村软软件园21号楼网域星云云大厦网域星云公司服服务支持部 收服务内容产品技术问答

44、：产品使用、产产品问题处理理等，包括软软件故障及硬硬件故障。服务结果反馈并解决用户户问题。支持方式：联系对象：网域域星云技术服服务中心电话支持：0110-8277790888网站支持：htttp:/nEmail支持持；suppportn现场支持：遇到到突发事件和和重大技术问问题，我们的的技术支持工工程师将赶往往现场提供服服务。4.2.11 培训计划4.2.11.1. 安装培训在安装调试进行行时，网域星星云公司的实实施工程师将将对客户进行行现场培训，包包括投标产品品的基本配置置、上线注意意事宜、产品品基本维护事事宜等内容。培训对象：用户户跟随实施的的相关人员。培训目的：现场场安装调试培培训，讲解产产品的结构、安安装步骤、调调试方法和系系统配置等。培训师资：网域域星云实施工工程师。培训日期：现场场安装时。培训人数：不限限。培训地点：安装装现场。4.2.11.2. 现场培训产品应用与实践践培训，培训训内容包括：产品应用特点点，故障识别别与处理，以以及遇到问题题的解决方法法以及相关管管理规定。系系统运行维护护培训工作在在产品试运行行期间内完成成。培训对象：用户户的管理人员员、技术人员员。培训目的：熟悉悉系统的使用用、维护。培训师资：网域域星云培训讲讲师。培训日期：待定定。培训天数：1天天。培训人数：5人人。培训地点：某某某用户。培训资