堡壘機(jī)實施方案

1、技 術(shù) 部 分11 投標(biāo)方案11.1 技術(shù)解決方案11.1.1 項目概述中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）是政府部門的重要組成機(jī)構(gòu)，是國家金融行業(yè)的監(jiān)督、管理、指導(dǎo)單位。近年來，金融行業(yè)信息系統(tǒng)隨著銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)發(fā)展而迅速發(fā)展，信息科技已經(jīng)成為銀行業(yè)金融機(jī)構(gòu)實現(xiàn)經(jīng)營戰(zhàn)略和業(yè)務(wù)運營的基礎(chǔ)平臺以及金融創(chuàng)新的重要手段。銀行業(yè)對信息科技的高度依賴，使得信息技術(shù)系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個銀行業(yè)的安全和金融體系的穩(wěn)定。各種權(quán)威的網(wǎng)絡(luò)安全調(diào)查結(jié)果均表明，在可統(tǒng)計的安全事件中，70%以上均與內(nèi)部人員有關(guān)，這其中既包括惡意行為（越權(quán)訪問、惡意破壞、數(shù)據(jù)竊?。?，也包括各種非主觀故意引

2、起的非惡意行為（誤操作、權(quán)限濫用）。由此可見，規(guī)范內(nèi)部人員的訪問行為，特別是核心系統(tǒng)（主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等）的維護(hù)行為已經(jīng)勢在必行。因此，2012年銀監(jiān)會內(nèi)部啟動了系統(tǒng)用戶集中管控系統(tǒng)建設(shè)，通過部署運維用戶集中管控系統(tǒng)，建立運維用戶的集中授權(quán)、監(jiān)控、管理、審計體系，加強(qiáng)信息安全的內(nèi)部控制與管理能力，規(guī)范信息系統(tǒng)運行和操作管理過程，確保銀監(jiān)會信息系統(tǒng)的安全運行。諧潤運維管理審計系統(tǒng)是新一代運維安全審計產(chǎn)品，它能夠?qū)\維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能，實現(xiàn)運維過程的“事前預(yù)防、事中控制、事后審計”，在簡化運維操作的

3、同時，全面解決各種復(fù)雜環(huán)境下的運維安全問題，提升企業(yè)IT運維管理水平。11.1.2 需求分析銀監(jiān)會對運維用戶管控系統(tǒng)的需求如下：1) 管理對象應(yīng)能夠?qū)崿F(xiàn)對銀監(jiān)會現(xiàn)有的服務(wù)器系統(tǒng)（Windows、Unix、Linux）、網(wǎng)絡(luò)設(shè)備（Cisco、華為）、數(shù)據(jù)庫系統(tǒng)（DB2、Oracle 、SqlServer、Mysql）、應(yīng)用系統(tǒng)（WAS、Weblogic）等；2) 應(yīng)能夠?qū)崿F(xiàn)對機(jī)關(guān)內(nèi)部、外圍運維人員的訪問及操作權(quán)限細(xì)粒度授權(quán)，限制用戶違規(guī)訪問、違規(guī)操作的能力；3) 實現(xiàn)全面的運維操作審計能力；4) 實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)設(shè)備的自動改密功能；5) 實現(xiàn)單點登錄，并與CA系統(tǒng)進(jìn)行整合，實現(xiàn)雙因素認(rèn)真；6)

4、 系統(tǒng)部署不應(yīng)影響業(yè)務(wù)系統(tǒng)的穩(wěn)定運行，且不增加運維人員訪問過程的復(fù)雜程度；7) 完善的自我管理功能，設(shè)備自身穩(wěn)定、高效、易于維護(hù)。11.1.3 項目建設(shè)目標(biāo)項目總體目標(biāo)旨在通過對服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、中間件及網(wǎng)絡(luò)設(shè)備、安全設(shè)備等IT基礎(chǔ)設(shè)施的賬號及其密碼進(jìn)行集中控制與管理，通過賬號權(quán)限的嚴(yán)格授權(quán)和管理，實現(xiàn)對設(shè)備的安全訪問和管理行為的審計，達(dá)到IT系統(tǒng)安全生產(chǎn)，并滿足內(nèi)控審計要求的目的。具體目標(biāo)如下：本項目中的用戶集中管控系統(tǒng)包括1套堡壘機(jī)（含1臺堡壘主機(jī)、1臺應(yīng)用托管中心）和1臺日志服務(wù)器，堡壘主機(jī)是運維管理人員進(jìn)行運維操作的統(tǒng)一接入點，用戶集中管控產(chǎn)品需通過開發(fā)升級兼容銀監(jiān)會CA系統(tǒng)頒發(fā)

5、的密鑰，以實現(xiàn)管理用戶的雙因素認(rèn)證。實現(xiàn)在SSO（單點登錄）系統(tǒng)總體架構(gòu)下，完成對系統(tǒng)賬號的集中認(rèn)證、集中授權(quán)與集中審計，審計日志集中存儲于獨立的日志服務(wù)器。11.1.4 實施范圍本項目在銀監(jiān)會機(jī)關(guān)（北京）進(jìn)行部署，對100臺本地或外地服務(wù)器和網(wǎng)絡(luò)設(shè)備（每個設(shè)備可能存在錯咯操作系統(tǒng)、數(shù)據(jù)庫和中間件管理用戶）進(jìn)行集中管理，用戶范圍主要為銀監(jiān)會機(jī)關(guān)本地或外地運維用戶。11.1.5 方案設(shè)計原則（1）體系化設(shè)計原則必須分析信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進(jìn)的安全理念，遵照科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險，從而最大限度地避免可能存在的安全問題。（2）可控性原則采取的技術(shù)手段需達(dá)

6、到安全可控的目的，技術(shù)解決方案涉及的工程實施應(yīng)具有可控性。（3）系統(tǒng)性、均衡性、綜合性設(shè)計原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風(fēng)險，采取相應(yīng)的安全措施，根據(jù)風(fēng)險的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。（4）可行性、可靠性原則必須保證在工程實施期間，不會對用戶方的現(xiàn)有網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運轉(zhuǎn)的前提下，提供最優(yōu)安全保障。（5）標(biāo)準(zhǔn)性原則安全系統(tǒng)的設(shè)計、實施以及產(chǎn)品的選擇以相關(guān)國際國家安全管理、安全控制、安全規(guī)程為參考依據(jù)，包括ISO17799、GB/T 20274.1-2006信息系統(tǒng)安全保障評估框架等。（6）投資保護(hù)原則對用戶方已經(jīng)存在

7、的網(wǎng)絡(luò)安全系統(tǒng)設(shè)備進(jìn)行有效的利用，保護(hù)已有投資。（7）最小影響原則方案設(shè)計及實施時，遵循對信息系統(tǒng)影響最小原則，盡可能地采用對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用影響小技術(shù)手段，對現(xiàn)有系統(tǒng)不產(chǎn)生干擾，保護(hù)現(xiàn)有系統(tǒng)。（8）易操作性原則安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。11.1.6 產(chǎn)品選型根據(jù)本項目的實際需求，報價人推薦使用諧潤運維管理審計系統(tǒng)SR-Fort-1000型產(chǎn)品。產(chǎn)品硬件配置清單如下：產(chǎn)品名稱運維管理審計系統(tǒng)SR-Fort-1000應(yīng)用托管中心SR-AppBox-1000外觀大小2U2U滿配最大重量30KG30KG最大功耗500W500WMTBF>=20

8、000小時>=20000小時CPU兩顆INTEL Xeon 3440 2.53GH兩顆INTEL Xeon 3440 2.53GH內(nèi)存16GB16GB存儲空間1TB，支持Raid11TB，支持Raid1電源雙電源冗余雙電源冗余外接存儲支持支持網(wǎng)絡(luò)接口100/1000M*2 RJ45,可擴(kuò)展100/1000M*2 RJ45,可擴(kuò)展最大管理設(shè)備數(shù)量3000臺3000臺實時并發(fā)數(shù)250個圖形會話，1500個字符會話250個圖形會話，1500個字符會話默認(rèn)License數(shù)量1500個1500個協(xié)議支持SSH、Tenet、RDP、VNC、FTP、SFTPhttp、https、MySql、Sql-S

9、erver、Oracle、DB2等網(wǎng)線標(biāo)準(zhǔn)網(wǎng)線2條標(biāo)準(zhǔn)網(wǎng)線2條11.1.7 產(chǎn)品部署諧潤運維管理審計系統(tǒng)支持多種部署方式，在本項目中，考慮到銀監(jiān)會的實際需求，我們將采用旁路部署方式。部署示意圖如下所示：日志服務(wù)器系統(tǒng)備機(jī) 諧潤運維管理審計系統(tǒng)部署示意圖部署時，諧潤運維管理審計系統(tǒng)旁路接入網(wǎng)絡(luò)，只需要1個獨立的IP即可，保證堡壘主機(jī)能夠通過網(wǎng)絡(luò)連接被管理資源提供遠(yuǎn)程運維服務(wù)的端口，應(yīng)用托管中心與堡壘主機(jī)做直連，通過堡壘主機(jī)NAT轉(zhuǎn)換技術(shù)使應(yīng)用托管中心能夠訪問網(wǎng)絡(luò)中的資源。若堡壘主機(jī)和被管理資源之間存在防火墻，則需要在增加或修改防火墻的策略，防火墻的策略增加或修改如下：源地址：堡壘主機(jī)IP，源端口

10、：any，目標(biāo)地址：被管理資源IP，目標(biāo)端口：提供運維服務(wù)的監(jiān)聽端口。如堡壘主機(jī)需要連接被管理的Linux服務(wù)器，Linux服務(wù)提提供ssh運維服務(wù)，則需要在防火墻上增加或修改策略如下：源地址：堡壘主機(jī)IP，源端口：any，目標(biāo)地址：被管理資源IP，目標(biāo)端口：22。維護(hù)人員只要登錄運維管理系統(tǒng)即可訪問到所有服務(wù)器，無須進(jìn)行二次登錄。若運維人員與運維管理系統(tǒng)之間存在防火墻，則防火墻需要開放如下端口：22（ssh、telnet協(xié)議代理模塊），443（堡壘主機(jī)提供web服務(wù)），3389（rdp協(xié)議代理模塊）等。有關(guān)實施時防火墻開放策略，詳見“11.2.6”節(jié)內(nèi)容中的實施環(huán)境調(diào)研。日志服務(wù)器旁路接入網(wǎng)

11、絡(luò)，并開發(fā)SMB共享服務(wù)，為堡壘主機(jī)提供日志存儲服務(wù)，堡壘主機(jī)通過頁面配置，將數(shù)據(jù)文件存儲至日志服務(wù)器。系統(tǒng)備機(jī)始終處于冷備狀態(tài)，在堡壘主機(jī)實施完成之后，將所有配置導(dǎo)入系統(tǒng)備機(jī)，保證系統(tǒng)備機(jī)上的主賬號、被管理資源與主賬號權(quán)限與堡壘主機(jī)一致，以便隨時更換。11.2 項目實施方案11.2.1 項目保密條款我公司同原廠上海諧潤網(wǎng)絡(luò)信息技術(shù)有限公司承諾，在中標(biāo)后項目簽署合同前分別以單位和個人與招標(biāo)方簽署保密協(xié)議或保密承諾書。11.2.2 項目文檔原廠諧潤科技在項目工程實施完成時將系統(tǒng)的全部有關(guān)技術(shù)文檔、圖標(biāo)資料及測試、驗收報告等文檔匯集成冊交付銀監(jiān)會，包括但不限于以下文檔：Ø 項目投標(biāo)文件&

12、#216; 項目工程實施方案Ø 項目工程管理及實施計劃書Ø 產(chǎn)品安裝實施報告Ø 系統(tǒng)測試報告Ø 項目完工總結(jié)報告Ø 培訓(xùn)手冊Ø 運維用戶使用手冊Ø 系統(tǒng)技術(shù)維護(hù)手冊Ø 系統(tǒng)應(yīng)急處理預(yù)案Ø 其他所有項目實施過程中產(chǎn)生的文檔11.2.3 項目組織架構(gòu)為確保本項目的順利實施，原廠商諧潤科技將指派擁有豐富項目經(jīng)驗的技術(shù)人員擔(dān)任我方項目經(jīng)理，負(fù)責(zé)項目實施的全面工作，收集有關(guān)熱線電話支持、現(xiàn)場服務(wù)、用戶技術(shù)人員反應(yīng)等有關(guān)服務(wù)信息。在服務(wù)實施過程中，將嚴(yán)格按照服務(wù)計劃，全權(quán)負(fù)責(zé)服務(wù)的管理與監(jiān)督。定時向用戶項目負(fù)責(zé)人匯報

13、情況，在處理突發(fā)事件和項目變更時，要及時調(diào)整人員和計劃以保證服務(wù)地正常進(jìn)行；在項目實施受阻時，及時申請增加人員和技術(shù)力量，確保項目實施的順利進(jìn)行；此外，項目經(jīng)理要監(jiān)督服務(wù)的質(zhì)量，以確保整個維護(hù)服務(wù)順利、高質(zhì)量的完成。諧潤科技將根據(jù)項目實際要求組建專門的銀監(jiān)會用戶集中管控系統(tǒng)項目小組，遴選原廠商資深項目經(jīng)理和工程技術(shù)人員，為銀監(jiān)會用戶集中管控系統(tǒng)項目提供最優(yōu)質(zhì)的服務(wù)，保證嚴(yán)格按照合同約定，完成該項目的實施、培訓(xùn)及售后服務(wù)工作。原廠諧潤科技為了保證項目實施的順利進(jìn)行，會提供合理可行的系統(tǒng)實施方案，合理安排人員，以保證實施進(jìn)度計劃。原廠諧潤科技項目組織架構(gòu)如下：項目經(jīng)理：負(fù)責(zé)整個項目的進(jìn)度控制、協(xié)調(diào)

14、原廠工作人員與銀監(jiān)會工作人員進(jìn)行協(xié)同工作，保證整個項目順利完成。研發(fā)經(jīng)理：負(fù)責(zé)整個項目中開發(fā)需求確認(rèn)，開發(fā)進(jìn)度，保證開發(fā)工作順利進(jìn)行，并按照客戶要求完成開發(fā)任務(wù)（含測試工程師）。 調(diào)研工程師：負(fù)責(zé)項目實施前資產(chǎn)調(diào)查、用戶角色確認(rèn)、網(wǎng)絡(luò)環(huán)境調(diào)查、實施環(huán)境調(diào)研，參與設(shè)備實施方案的制定。實施工程師：負(fù)責(zé)項目設(shè)備接入客戶網(wǎng)絡(luò)，保證設(shè)備連通性，并進(jìn)行資產(chǎn)錄入、角色權(quán)限劃分等工作。培訓(xùn)講師：負(fù)責(zé)對客戶進(jìn)行相關(guān)知識培訓(xùn)，讓客戶能夠獨立使用設(shè)備，并能處理簡單故障，保證知識轉(zhuǎn)移順利完成。巡檢工程師：在項目實施完成后，負(fù)責(zé)對設(shè)備的使用情況進(jìn)行跟蹤，反饋客戶的使用情況及軟硬件健康情況，并按照客戶的要求提交相應(yīng)的報告

15、。售后支持：負(fù)責(zé)對巡檢工程師反饋的信息進(jìn)行匯總，并根據(jù)反饋對客戶進(jìn)行技術(shù)支持。銀監(jiān)會運維用戶集中管控系統(tǒng)項目組諧潤主要成員名單如下：項目負(fù)責(zé)人（項目經(jīng)理）姓名年齡職稱專業(yè)相關(guān)資質(zhì)相關(guān)工作年限張彬28軟件工程項目經(jīng)理6年計劃用于本項目的工作人員姓名年齡職稱專業(yè)相關(guān)資質(zhì)相關(guān)工作年限施杰33應(yīng)用數(shù)學(xué)高級程序員8年武欣32應(yīng)用數(shù)學(xué)高級程序員8年鄭偉亮31計算機(jī)工程培訓(xùn)講師8年許愛明28計算機(jī)應(yīng)用原廠資深工程師4年周超25計算機(jī)科學(xué)技術(shù)原廠資深工程師3年陸磊26通信工程原廠資深工程師3年石波24計算機(jī)軟件開發(fā)原廠工程師2年11.2.4 項目實施計劃/工作內(nèi)容開始時間結(jié)束時間實施單位備注準(zhǔn)備階段發(fā)貨及發(fā)貨

16、確認(rèn)7月2日7月12日諧潤科技、銀監(jiān)會按照合同要求供貨確認(rèn)環(huán)境7月12日7月16日諧潤科技現(xiàn)場調(diào)研集成開發(fā)7月2日7月31日諧潤科技集成開發(fā)與實施工作；同步進(jìn)行實施階段設(shè)備上架8月1日8月2日諧潤科技數(shù)據(jù)錄入8月3日8月10日諧潤科技訪問規(guī)則設(shè)置8月13日8月15日諧潤科技、銀監(jiān)會現(xiàn)場培訓(xùn)8月16日8月17日諧潤科技、銀監(jiān)會提供相關(guān)項目文檔系統(tǒng)聯(lián)調(diào)測試8月16日8月20日諧潤科技、銀監(jiān)會解決部署中存在的問題驗收項目初驗8月28日8月30日銀監(jiān)會、諧潤科技完成項目驗收試運行9月1日12月1日諧潤科技、銀監(jiān)會跟蹤設(shè)備運行狀況終驗12月2日12月5日銀監(jiān)會、諧潤科技完成項目驗收11.2.5 項目實施

17、質(zhì)量控制在本項目實施過程中，原廠諧潤科技將采取以下措施保證項目實施過程的質(zhì)量：1) 建立完整的實施團(tuán)隊，團(tuán)隊內(nèi)部有明確的分工，通過專業(yè)化的手段來提高公司的工作質(zhì)量及技術(shù)水平；2) 派遣具備豐富經(jīng)驗的專業(yè)的工程實施人員，嚴(yán)格按照操作流程和技術(shù)要求進(jìn)行施工；3) 保證良好的溝通機(jī)制，在實施過程中，項目經(jīng)理將定期向銀監(jiān)會項目組提供實施進(jìn)度記錄匯報，讓用戶單位清楚整個項目的施工計劃及施工進(jìn)度情況。4) 執(zhí)行科學(xué)的項目管理制度，從施工開始到施工結(jié)束驗收的整個過程，我們均有相應(yīng)的配套記錄表格，方便項目組對實施過程進(jìn)行跟蹤、監(jiān)督；便于后期用戶方進(jìn)行系統(tǒng)維護(hù)及管理。同時，所有的記錄表格均錄入計算機(jī)進(jìn)行電子化管

18、理。5) 針對本項目，在工程施工前，由項目主管組織有關(guān)人員（業(yè)務(wù)員、技術(shù)指導(dǎo)、工程實施負(fù)責(zé)人、工程實施小組、質(zhì)量監(jiān)控小組及售后服務(wù)小組等）召開工程準(zhǔn)備會議，介紹工程設(shè)計方案及有關(guān)的情況，布置各項工作，討論可預(yù)見的技術(shù)細(xì)節(jié)、實施方法和實施進(jìn)度等。6) 在整個工程項目的實施過程中，有質(zhì)量監(jiān)督小組負(fù)責(zé)對整個項目的實施質(zhì)量進(jìn)行監(jiān)督，從而保證整個工程的質(zhì)量（包括進(jìn)貨設(shè)備的質(zhì)量保證和工程實施的質(zhì)量保證）。11.2.6 項目實施過程介紹l 階段一：項目準(zhǔn)備階段項目準(zhǔn)備階段會對整個項目的實施方案進(jìn)行可行性研究和討論，并進(jìn)行實施環(huán)境調(diào)研、設(shè)備供貨、二次開發(fā)接口調(diào)研及開發(fā)工作等。實施環(huán)境調(diào)研在項目開始實施之前，需

19、要銀監(jiān)會的技術(shù)人員配合原廠諧潤科技的實施人員對實施的環(huán)境進(jìn)行檢查，確認(rèn)是否具備項目實施條件。序號安裝條件條件參數(shù)是否符合條件備注機(jī)房的相對濕度和溫度標(biāo)準(zhǔn)相對濕度：5%至95%溫度：0至+55攝氏度是 否 機(jī)架空間占機(jī)架空間為2U 650×435×89mm（長、寬、高）是 否 電源參數(shù)220V/50HZ,3.0A(最大),500W(最大)，國標(biāo)電源插座。是 否 日志服務(wù)器硬件要求：2顆Intel Xeon E5620 CPU 2.4GHz主頻；內(nèi)存：12GB內(nèi)存；硬盤：3*2TGB SAS硬盤；RAID卡：集成Smart Array P410i陣列卡；網(wǎng)卡4*千兆網(wǎng)卡；光驅(qū)：

20、DVD；電源及風(fēng)扇：460W熱插拔冗余電源。是 否 IP地址分配諧潤運維管理審計系統(tǒng)與日志服務(wù)器各分配一個IP，確保運維人員與諧潤運維管理審計系統(tǒng)、管理員與諧潤運維管理審計系統(tǒng)、諧潤運維管理審計系統(tǒng)與目標(biāo)設(shè)備能夠正常通訊是 否 交換機(jī)端口分配建議分配1個端口給諧潤運維管理審計系統(tǒng)，諧潤運維管理審計系統(tǒng)與應(yīng)用托管中心可以通過交叉線（或普通網(wǎng)線）直連，做NAT；日志服務(wù)器分配一個IP地址。是 否 端口開放如果普通運維人員和諧潤運維管理審計系統(tǒng)之間有防火墻，注意防火墻開通這3個端口：TCP 22：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，用于普通運維人員與諧潤運維管理審計系統(tǒng)之間的正常通訊；TCP 443

21、：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，用于普通運維人員登錄諧潤運維管理審計系統(tǒng)的頁面；TCP 3389：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，用于普通運維人員與諧潤運維管理審計系統(tǒng)之間的正常通訊。是 否 如果管理用戶和諧潤運維管理審計系統(tǒng)之間有防火墻，注意防火墻開通這2個端口：TCP 443：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，用于管理用戶登錄諧潤運維管理審計系統(tǒng)的頁面；TCP 3333：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，管理用戶實時監(jiān)控會話；是 否 如果諧潤運維管理審計系統(tǒng)和遠(yuǎn)程設(shè)備之間有防火墻，注意防火墻開通這4個TCP端口：TCP 22：遠(yuǎn)程設(shè)備開放的監(jiān)聽端口，用于提供運維管理服務(wù)；TC

22、P 80：遠(yuǎn)程設(shè)備開放的監(jiān)聽端口，用于提供web管理服務(wù)；TCP 443：遠(yuǎn)程設(shè)備開放的監(jiān)聽端口，用于提供web管理服務(wù)；TCP 3389：遠(yuǎn)程設(shè)備開放的監(jiān)聽端口，用于提供運維管理服務(wù)；是 否 如果諧潤運維管理審計系統(tǒng)和網(wǎng)管系統(tǒng)之間有防火墻，注意防火墻開通這1個UDP端口：UDP 161：諧潤運維管理審計系統(tǒng)開放的監(jiān)聽端口，用于網(wǎng)管系統(tǒng)采集諧潤運維管理審計系統(tǒng)的狀態(tài)信息；是 否 如果諧潤運維管理審計系統(tǒng)和日志服務(wù)器之間有防火墻，注意防火墻開通這1個UDP端口：UDP 514：日志服務(wù)器開放的監(jiān)聽端口，用于接受諧潤運維管理審計系統(tǒng)發(fā)送的syslog日志信息；是 否 如果諧潤運維管理審計系統(tǒng)和時間

23、服務(wù)器之間有防火墻，注意防火墻開通這1個UDP端口：UDP 123：時間服務(wù)器開放的監(jiān)聽端口，用于提供時間同步服務(wù)；是 否 管理對象帳號調(diào)研根據(jù)合同要求，在安裝調(diào)試過程中，銀監(jiān)會項目組成員需提供按照以下表格格式的附件：包括主帳號調(diào)研表、主機(jī)帳號調(diào)研表、應(yīng)用調(diào)研表；運維人員調(diào)研表（樣表）登錄名Email用戶狀態(tài)姓名部門/公司截止日期Xxxabc1王杰0設(shè)備調(diào)研表（樣表）主機(jī)名主機(jī)地址操作系統(tǒng)網(wǎng)絡(luò)協(xié)議服務(wù)端口主機(jī)賬戶名主機(jī)賬戶密碼賬戶密碼同步host1Windows Server 2003RDP3389administrator1234560host2G

24、eneral LinuxFTP21administrator1234561其他應(yīng)用調(diào)研表（樣表）主機(jī)名主機(jī)IP主機(jī)端口主機(jī)帳號密碼應(yīng)用類型應(yīng)用名稱應(yīng)用主機(jī)113389administrator123456mysqlfront11_mysqlfront應(yīng)用主機(jī)2223389administrator123456IE12_mysqlfront到貨及加電驗收根據(jù)合同要求，需要對送達(dá)現(xiàn)場的產(chǎn)品進(jìn)行到貨驗收，保證送達(dá)產(chǎn)品符合合同要求。產(chǎn)品在接收后，保持外包裝的完整性。在原廠商的工程師到達(dá)現(xiàn)場后，共同進(jìn)行產(chǎn)品的到貨驗收。設(shè)備到貨驗收標(biāo)準(zhǔn)如下：Ø 開

25、箱前，檢查產(chǎn)品外包裝是否良好;Ø 開箱檢查產(chǎn)品外觀是否良好;Ø 產(chǎn)品型號是否正確;Ø 產(chǎn)品數(shù)量是否正確;Ø 產(chǎn)品配件是否齊全;Ø 產(chǎn)品版本是否正確。二次開發(fā)為保證項目實施進(jìn)度能夠按計劃完成，原廠商諧潤科技將在合同簽訂后先對CA認(rèn)證接口進(jìn)行調(diào)研，調(diào)研完成后立即開始認(rèn)證接口的開發(fā)工作。原廠商諧潤科技將根據(jù)銀監(jiān)會的實際需求，對CA認(rèn)證中心接口進(jìn)行兼容性開發(fā)，以嚴(yán)謹(jǐn)、務(wù)實的態(tài)度進(jìn)行開發(fā)工作，保證與銀監(jiān)會的CA認(rèn)證中心對接順利完成。同用戶CA中心對接的認(rèn)證功能開發(fā)、測試工作預(yù)計在合同簽訂3周內(nèi)完成。l 階段二：項目實施階段在項目實施過程中，安裝調(diào)試工作的

26、主要內(nèi)容包括：諧潤運維管理審計系統(tǒng)IP配置、應(yīng)用托管中心綁定互聯(lián)配置、日志服務(wù)器的安裝配置等。在本項目實施過程中，諧潤運維管理審計系統(tǒng)的安裝調(diào)試工作主要由原廠諧潤科技實施小組完成。上架及初始網(wǎng)絡(luò)配置到貨驗收完成后，按照產(chǎn)品安裝要求，將產(chǎn)品安裝至機(jī)架，并連接電源進(jìn)行設(shè)備加電驗收并簽署到貨驗收報告。加電驗收標(biāo)準(zhǔn)如下：Ø 設(shè)備加電是否運行正常；Ø 設(shè)備指示燈是否正常；Ø 設(shè)備配置是否達(dá)到說明書要求。本項目相關(guān)設(shè)備的IP配置如下：堡壘主機(jī)：Eth0：192.168.xx.xx/24 GW: 192.168.xx.xxEth1：/24應(yīng)用托管中心：ETH1：1

27、.1.1.2/24 GW:日志服務(wù)器：網(wǎng)卡1：192.168.xx.xxx/24 GW: 192.168.xx.xxx數(shù)據(jù)錄入在此過程中，諧潤科技實施工程師將整理、核實準(zhǔn)備階段的運維人員、設(shè)備資產(chǎn)、應(yīng)用的調(diào)研結(jié)果，并將調(diào)研結(jié)果相關(guān)數(shù)據(jù)導(dǎo)入至運維審計系統(tǒng)中。訪問規(guī)則設(shè)置在此過程中，諧潤科技實施工程師將與用戶項目組成員一起，為每個運維用戶、用戶組建立訪問授權(quán)和操作授權(quán)規(guī)則。訪問和操作授權(quán)按照“最小權(quán)限”原則創(chuàng)建，訪問規(guī)則建立完成后，由銀監(jiān)會項目組人員向所有相關(guān)運維人員以書面方式通知，讓運維人員測試帳號有效性。現(xiàn)場培訓(xùn)運維審計系統(tǒng)安裝、調(diào)試完成后，諧潤科技產(chǎn)品培訓(xùn)講師對銀監(jiān)會的技術(shù)人員

28、進(jìn)行現(xiàn)場技術(shù)轉(zhuǎn)移，向銀監(jiān)會人員介紹運維審計系統(tǒng)的原理、功能、日常維護(hù)和使用應(yīng)該注意的事項，使銀監(jiān)會技術(shù)人員能夠盡快地熟悉設(shè)備的功能和使用。聯(lián)調(diào)測試培訓(xùn)工作完成后，進(jìn)入項目聯(lián)調(diào)測試階段，在此過程中，由銀監(jiān)會組織各運維人員對運維審計功能進(jìn)行試用，測試系統(tǒng)與各節(jié)點設(shè)備的訪問情況，以確保系統(tǒng)能夠穩(wěn)定正常的運行并且能對運維操作進(jìn)行審計。完成測試后且所有功能達(dá)到項目要求之后，在銀監(jiān)會的統(tǒng)一安排下，要求日常運維的員工、第三方運維人員必須使用諧潤運維管理審計系統(tǒng)進(jìn)行日常維護(hù)工作，實現(xiàn)賬號實名制，責(zé)任歸屬劃分明確等管理目標(biāo)。在堡壘主機(jī)配置完成之后，將配置導(dǎo)出為文件，并將該文件導(dǎo)入系統(tǒng)備機(jī)，保證系統(tǒng)備機(jī)的主賬號、

29、被管理資源、主賬號權(quán)限與堡壘主機(jī)一致，能夠做到隨時切換，以備不時之需。11.2.7 項目培訓(xùn)計劃原廠商諧潤科技應(yīng)招標(biāo)單位的時間、地點及人員要求，組織該系統(tǒng)的培訓(xùn)工作。培訓(xùn)目的：通過安全審計相關(guān)法規(guī)及標(biāo)準(zhǔn)、運維審計行為審計等培訓(xùn)使用戶了解安全審計的理論知識，熟練操作諧潤運維管理審計系統(tǒng)以及對諧潤運維管理審計系統(tǒng)常見故障的排除。培訓(xùn)時間：2天培訓(xùn)地點：用戶指定培訓(xùn)學(xué)員人數(shù)：不限培訓(xùn)講師：原廠具有五年以上項目經(jīng)驗的資深工程師擔(dān)任培訓(xùn)組織方式：現(xiàn)場講課及實驗練習(xí)培訓(xùn)內(nèi)容及計劃：時間培訓(xùn)類別具體內(nèi)容D1：9:00-11:30諧潤運維管理審計系統(tǒng)審計原理培訓(xùn)諧潤運維管理審計系統(tǒng)審計系統(tǒng)原理、構(gòu)成和功能；D

30、1：14:00-16:30諧潤運維管理審計系統(tǒng)操作技能培訓(xùn)諧潤運維管理審計系統(tǒng)基本操作技能的培訓(xùn)；D2：9:00-11:30諧潤運維管理審計系統(tǒng)產(chǎn)品安裝培訓(xùn)諧潤運維管理審計系統(tǒng)系統(tǒng)部件的配置、調(diào)整和維護(hù)；D2：14:00-16:30諧潤運維管理審計系統(tǒng)產(chǎn)品維護(hù)培訓(xùn)諧潤運維管理審計系統(tǒng)系統(tǒng)常見故障的處理或排除；11.2.8 項目驗收l 階段一：項目初驗在完成設(shè)備的安裝調(diào)試工作系統(tǒng)穩(wěn)定運行一周后，由諧潤科技提前十日提出項目初驗申請，項目雙方將組織項目初驗工作，由銀監(jiān)會配合諧潤科技公司完成初驗文檔的簽署工作。在初驗結(jié)束后，用戶必須提供2份能證明產(chǎn)品功能和性能滿足要求、可正常運轉(zhuǎn)的所有測量數(shù)據(jù)和資料；

31、我方將積極配合用戶做好測量數(shù)據(jù)和資料的準(zhǔn)備工作。初驗合格后，開具有最終用戶與乙方雙方簽字蓋章的設(shè)備安裝調(diào)試初步驗收合格單，視為初驗通過。l 階段二：試運行階段設(shè)備安裝調(diào)試完成并通過初驗后，進(jìn)入為期不超過3個月的連續(xù)試運行。如果由于廠商的原因使系統(tǒng)在3個月內(nèi)達(dá)不到規(guī)范指標(biāo)要求，則在修復(fù)產(chǎn)品問題之后由雙方等共同確定再一次連續(xù)試運行開始日期。在試運行期間，原廠諧潤科技承諾任何故障或問題都能在收到故障通知后3小時內(nèi)（節(jié)、假日也不例外）被修復(fù)和解決，并給出詳細(xì)修復(fù)細(xì)節(jié)報告。所有試運行期間設(shè)備的修改和軟件變化都應(yīng)在試運行結(jié)束后寫入操作手冊和維護(hù)手冊中。l 階段三：系統(tǒng)終驗三個月的試運行期滿之后，如試運行期

32、間設(shè)備穩(wěn)定運行，產(chǎn)品各項功能、指標(biāo)均滿足項目要求，由原廠諧潤科技提出終驗申請，經(jīng)用戶方同意后開展終驗工作。系統(tǒng)最終驗收合格的條件必須至少滿足以下三個要求：1) 已提供了合同的全部產(chǎn)品和資料；2) 試運行時間滿足合同要求；3) 性能測試和試運行時出現(xiàn)的問題已被解決。項目終驗由項目組和原廠商發(fā)起項目終驗啟動會，確定項目終驗組成員，項目終驗按照銀監(jiān)會提供的驗收表格進(jìn)行驗收測試。項目終驗完成后，由諧潤科技向銀監(jiān)會提供銀監(jiān)會集中管控系統(tǒng)項目終驗報告及所有在項目實施過程中產(chǎn)生的文檔，包括但不限于：Ø 產(chǎn)品加電驗收報告Ø 產(chǎn)品安裝實施報告Ø 系統(tǒng)測試報告Ø 項目完工總結(jié)報告Ø 培訓(xùn)手冊Ø 運維用戶使用手冊Ø 系統(tǒng)技術(shù)維護(hù)手冊Ø 系統(tǒng)應(yīng)急處理預(yù)案Ø 兼容性開發(fā)工作日志Ø 項目最終驗收報告Ø 其他所有項目實施過程中產(chǎn)生的文檔11.3 售后服務(wù)根據(jù)招標(biāo)要求，系統(tǒng)安裝調(diào)試完畢后進(jìn)行一個月試運行，試運行期結(jié)束后進(jìn)行系統(tǒng)驗收，驗收合格后進(jìn)入系統(tǒng)質(zhì)量保證期，自雙方代表在系統(tǒng)驗收單上簽字之日起計算，用戶集中管控系統(tǒng)質(zhì)保有效期為三年，日志服務(wù)器質(zhì)保有效期為五年。在保修期內(nèi)，原廠商諧潤科技按用戶需求免費安裝、設(shè)置、遷移設(shè)備，并有能力提供保修期內(nèi)的技術(shù)支持，不收取額外費用。售后服務(wù)內(nèi)容包括但不限于以