中铁工程设计咨询集团有限公司网络改造与信息系统资源管理办法.doc

附件三 中铁工程设计咨询集团有限公司网络改造方案 北京华泰天安信息科技有限公司 IT服务事业部 目 录 一、 现状描述………………………………………………3 二、 需求分析………………………………………………3 三、 改造方案设计…………………………………………4 四、 方案技术特点…………………………………………11 五、 实施效果………………………………………………13 一、 现状描述 中铁工程设计咨询集团有限公司（以下简称中铁咨询公司）北京地区目前的网络共有2个分部，其中1个位于朝阳门，另一个位于木樨地。2个节点之间采用华为262 1路由器实现互联。另外公司财务专网连接位于华为262 1的Ethernet接口下。 朝阳门核心机房采用CiscO4006交换机作为核心交换机，有多台Cisc03550交换机级联到该核心交换机，为用户提供接入。 公司整体的Internet接入位于朝阳门核心机房，采用的为网通10M光纤接入模式，使用一台cisco 2600路由器实现此功能。 考虑到安全性，公司的网络配置了一台Cisco PIX 515防火墙及代理服务器，以实现代理访问。 二、 需求分析 中铁咨询公司目前的网络存在以下问题： 2个分部之间的数据网络与财务专网共用一条线路 · 代理服务器应用效果不佳，对用户访问Internet速度造成一定影响 中铁咨询公司目前已经应用的系统 · 电子档案系统 · 梦龙即时通系统 · 病毒防护系统 · Web服务 · Mail服务 中铁咨询公司未来准备增加的应用及有必要增加的应用包括： · 视频会议系统 · 移动用户远程VPN接入 · 环境监控系统 · 网管系统 · 勘测设计一体化系统 · 数据存储应用 用户需求主要分以下几个方面： 1.对网络稳定性的要求：网络运行稳定，可管理、可监控、有日志记录等。 2.对网络安全的要求：保障系统安全，合理部署安全策略，防病毒，防入侵，避免用户不安全的行为等。 3． 对数据安全的要求：数据可存储、可查看、可复制、可恢复。 三、 改造方案设计 综合考虑目前已经实施并使用的网络架构和未来可能部署的应用，我们为用户设计改造方案如下： 1． 网络稳定性： · 分部互联：朝阳门核心机房和木樨地机房之间采用2台Cisco4006交换机以三层交换方式互联，替代原有2台Cisc0 2621路由器互联模式。 · 核心骨干及交换网络：以2台Cisc0 4006交换机为核心，在4006下级部署3550-24或3550-48交换机实现层次化结构，并以部门为单位配置相应的Vlan，将各部门用户划分到对应的Vlan中，可避免病毒扩散和不安全的网络行为。2台4006核心交换机之间启用Ttunk链路保障分部之间的多个部门可以实现互联，Vlan的划分和定义沿用之前的设计。 · Internet接入：以Cisc02600路由器作为整体网络的出口，与Internet实现DDN接入，保障用户实现对Internet的访问。同时利用PIX 515防火墙可以实现NAT的功能，对内部网络的用户也起到了一定的保护作用。 · 地址绑定： 目前以太网已经普遍应用于运营领域，如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性，采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求，绑定是目前普遍宣传和被应用的功能，如常见的端口绑定、MAC绑定、工P绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定，从而实现对以太网用户的管理。 从绑定的实现机制上，可以分为AAA（服务器）有关绑定和AAA无关绑定；从绑定的时机上，可以分为静态绑定和动态绑定。 ■ AAA是用户信息数据库，所以AAA有关绑定以用户信息为核心，认证时设备上传绑定的相关属性（端口、VLAN、MAC、IP等），AAA收到后与本地保存的用户信息匹配，匹配成功则允许用户上网，否则拒绝上网请求。 ■ AAA无关绑定完全由接入设备实现。接入设备（如Lanswitch）上没有用户信息，所以A从无关绑定只能以端口为核心，在端口上可以配置本端口可以接入的MAC（或IP）地址列表，只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。 ■静态绑定是在用户接入网络前静态配置绑定的相关信息，用户接入认证时，匹配这些信息，只有匹配成功才奄邑接入， ■动态绑定的相关信息不是静态配置的，而是接入时才动态保存到接入设备上，接入网络后不允许用户再修改这些信息，一旦修改，则强制用户下线。 ■基于防火墙的IP地址与MAC地址绑定： l 做好整个局域网终端用户计算机的命名，指定工P地 l 统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表 l 将IP地址与MAC地址绑定 l 如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。 ■基于交换机的MAC地址与端口绑定 l 基于交换机的MAC地址与端口绑定可以防止终端用户如果擅自改动本机网卡的MAC地址。若MAC地址被更改，则交换机会认定更改后的MAC地址为非法地址，拒绝提供服务。 · 安全策略：在Cisc02600出口路由器与Cisc04006核心交换机之间部署Cisco PIX515防火墙，实现Web服务器，Mail服务器等服务器的安全，并且可以在PIX防火墙灵活配置访问策略，限制和管理内网用户与工nternet之间的数据交换。同时可在PIX515上通过配置实现相关的日志、审计、授权等操作。 · 服务器防护及访问控制：目前应用服务器放置在了防火墙的DMZ区，配置了内网地址，通过在防火墙的外网口上做静态NAT，来实现内网地址和外网地址之间的一对一转换。这样的设置，在并没有增加多少安全性的前提下，增加了防火墙的负荷和配置的繁琐。因此建议更改为，把应用服务器同样放置在DMZ区域，配置ISP分配给外网地址。并且可以通过设置防火墙实现控制用户上网带宽的分配，以及限制端口的功能。由此可以实现防止用户使用大量占用带宽的P2P软件和在企业中自私架设代理服务器的现象。 · 病毒防护： 由于企业网当中大部分用户都无法实时连接到internet上，因此无法迅速得到微软发布的windows系统更新，造成了企业网当中存在有机器感染蠕虫病毒，造成大范围的网络瘫痪的危险。在不增加管理员工作量的前提下，有效、及时地安装windows操作系统的补丁，我们选择使用一台机器安装SUS服务，放置在能与internet互联的区域，能够实时得到新的补丁更新；企业网中的其他windows客户端只要进行适当的配置，即能够得到及时的补丁更新。 · 网络加速：目前网络加速有多种实现方法，包括高速缓存服务器、CDN(Content Delivery Network，内容发布网络)等。 l 高速缓存服务器的特点是： “一次取来，多次使用”，将网络中大量重复数据的交换最小化，提高网络效率并提高对用户服务的质量，这就是高速缓存技术的基本原理。 高速缓存服务器根据服务模式常分为主动模式和被动模式。主动模式是指根据事先设置的策略预先把要访问站点的内容缓存到本地，用户获得的数据都是已经被缓存的内容，但不一定是原始服务器最新的内容，这种方式类似镜像功能。一些政府机关为了使内外网隔离常采用这种方式，既能访问Internet上的内容，又保证了内部网的安全。千些早期的高速缓存服务器采用主动模式，但随着Internet的高速发展，实时性显得格外重要，所以目前的高速缓存服务器都是采用被动模式。被动模式是指有用户请求时高速缓存服务器才代表用户向原始服务器请求数据，并且缓存，供下一个访问的用户使用。这种方式的特点是每当用户发出请求时，高速缓存服务器都去原始服务器比较，如果原始服务器的内容与缓存的内容不一致，就只取更新部分的数据，如果原始服务器的内容没有变化，就不在重取，直接从本地高速缓存服务器中读出并发送给用户。例如一个新闻页面，如果只更新了一条新闻，那么只会从原始服务器取回更新的信息，其他部分则由高速缓存服务器获得，这样就减少了已有数据的重复传输。 高速缓存服务器根据加速对象的不同，又分为正向代理(Forward Proxy)和反向代理(Reverse Proxy)两种模式。加速内部网用户对外部网络资源的访问速度的高速缓存服务器被称之为正向代理。正向代理的高速缓存服务器处于网络中网关的户端，对所有的用户提供缓存服务，这是我们大多数使用的模式。如果高速缓存服务器用于加速Web站点，一般被称之为反向代理或反向加速。反向代理处于服务提供商方，靠近Web服务器一端，用户的请求主要通过高速缓存服务获得。此时的高速缓存服务器类似一台Web服务器，也是TCP 80端口接受耵TP请求。由于高速缓存服务器工／0操作的运行机制与Web服务器不一样，性能要大大高于Web服务器。反向加速可减低Web服务器的负荷，提高Web服务的响应速度，增加网站可通过的流量。 l CDN的全称是Content Delivery Network，即内容分发网络。其目的是通过在现有的Internet中增加一层新的网络架构，将网站的内容发布到最接近用户的网络“边缘”，使用户可以就近取得所需的内容，提高用户访问网站的响应速度。CDN有别于镜像，因为它比镜像更智能，或者可以做这样一个比喻：CDN=更智能的镜像+缓存+流量导流。因而，CDN可以明显提高Internet网络中信息流动的效率。从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等问题，提高用户访问网站的响应速度。 当用户访问已经加入CDN服务的网站时，首先通过DNS重定向技术确定最接近用户的最佳CDN节点，同时将用户的请求指向该节点。当用户的请求到达指定节点时，CDN的服务器（节点上的高速缓存）负责将用户请求的内容提供给用户。具体流程为：用户在自己的浏览器中输入要访问的网站的域名，浏览器向本地DNS请求对该域名的解析，本地DNS将请求发到网站的主DNS，主DNS根据一系列的策略确定当时最适当的CDN节点，并将解析的结果（IP地址）发给用户，用户向给定的CDN点请求相应网站的内容。 根据对用户提供的信息判断，用户网络中使用的可能是高速缓存服务器来实现网络加速的功能。 · 远程用户VPN接入：为考虑未来部分用户移动办公的需求，设计远程用户VPN接入功能，使用Windows自带的SSL加密技术或其他第3方应用程序对传输进行加密，保障用户访问内部系统的安全缝。 · 网络管理：中铁咨询公司目前拥有一套CiscoWork网络管理软件，但并未部署。由于网络经过改造后业务网络的设备主要为Cisco的设备，可以部署CiscoWork网络管理软件，使得网络管理成为可能，可以为用户提供实时的监控，并使网络管理简单化，同时可以为用户提供查询、统计、汇总网络信息等功能，方便对网络整体运行的性能作出恰当的评估。 · 环境监控：可以为用户提供实时监控，红外录像，温度、湿度、前期烟雾监控及告警等功能，为用户提供7*24小时不问断的监控管理，使机房可以做到无人职守、封闭管理。 2.数据安全： 为实现数据的可存储、可查询、可复制、可恢复等需求，我们建议建立ORACLE数据库系统来实现以上诸多功能。 1) 根据对系统的需求分析，本系统数据具有如下特点： · 支持多项服务。 系统即可以为WWW服务提供数据库服务，又可以作为OA系统数据库。不仅节约用户开销，同时又能满足用户的需求。 · 数据种类繁多。系统涉及：WWW服务和OA系统服务。由于本单位部门众多，且各部门都有各自的各种表单及业务数据，数据类型设计文本、语音、视频、图像等，复杂多变。此外系统还要产生上述各种数据对应的相关单据打印及统计报表，打印工作繁多。 · 数据关系复杂。上述各种数据皆以用户基本信息为中心，通过相关业务规则形成复杂的数据关联。 · 数据量大。由于本单位业务量不断的扩大，应用系统增加，势必产生大量的数据和统计信息。 图例： OA服务器 WWW服务器 交换机 数据库服务 2）数据安全保障 a) 双机备份系统 本系统采用双机备份系统。即在两台HP-380上，安装同一个数据库，应用程序对主备数据库实行双写。即同一条数据同时写入两台主备数据库当中。实现数据的备份。同时，通过后台程序，时时检查主备备份的两台数据库数据的同步情况，确保数据同步，保证数据的安全。 同时当主数据库出现故障不可用时，应用系统可以立刻切换到备份数据库上继续运行。可以保证业务的连续性和高可用性. b )对数据的冷备 在实现数据库主备的同时，我们还将采用定期的对数据库数据进行冷备。把数据库里的数据全部导出，形成文件，进行备份和归档。在必要时，可以把数据再重新导入到数据库中。这样即可可以满足对整个单位系统的数据进行同一备份管理的需求。同时保证在两台数据库同时损坏的情况下，做到数据的安全。 c)日常备份 在通常情况下，我们将会对数据库进行常规性备份。即定时采用oracle备份工具rman，对数据库进行增量备份： · 保证数据的完整，不丢失。 · 当出现故障，可以使用备份快速恢复数据库。 · 操作简单，容易管理。 未来的实际网络拓扑图如下所示： 四、方案技术特点 1.网络稳定性： 为用户推荐的改造方案以网络的稳定性为前提，充分考虑到各种应用对网络的影响，使用户业务网络在稳定的基础上发挥最大使用价值。各种相关的设计和措施都以网络的稳定为目标，包括： · 改变2个分部之间的连接方式，实现3层交换 · 交换网络的层次化，改变扁平化带来的问题 · 防火墙及相关策略的部署，杜绝用户的不安全行为 · 网络加速中访问的本地化，减少与工nternet之间的数据交互，降低非法连接和病毒扩散的风险 · 远程用户接入时的数据加密传输 · 网络管理实现用户操作的监控、记录，流量分析，系统性能分析，运行状态报告等 · 环境监控对机房环境的全面监控和管理，为网络系统稳定运行提供基础设施的保障 2.数据安全 Oracle是可缩放、高性能的关系型数据库管理系统(RDBMS)。能够满足大规模分布式计算环境的需要；为满足用户对大型信息系统使用的要求，Oracle提供了丰富的功能，具有良好的性能、可靠性和适应性，并提供了强大的可视化工具对数据库进行管理。其主要特点有： · 真正的客户机／服务器体系结构，与Unix和Windows NT集成。 · 允许集中管理服务器：利用综合的分布式框架集中管理整个企业范围内的服务器；基于Windows的管理界面提供对多个服务器上的远程数据复制、服务器管理、诊断和调整的可视化拖放控制， · 提供企业级的数据复制：为整个企业范围信息的可靠传播提供了内部复制机制，及时、精确地将信息数据传送给用户。 · 供并行的体系结构：通过并行内部数据库功能，大大提高了系统性能和可缩放性，并对超大型数据库提供了更好的支持。 · 与OLE对象紧密集成。 · 丰富的编程接口工具和增强的soL语言(Transact_SQL)：为用户进行程序设计提供了更大的选择余地；Oracle提供了Transact_SQL. DB_Library for C禾口 DB_Library for VisualBasic等专用开发工具，Transact_SQL与工业标准soL语言兼容，并在其基础上加以扩充，更适合事务处理方面的需要；且支持ODBC规范，可以使用ODBC访问Oracle数据库它提供了兼容性和行业标准的数据库存取语言，Oracle语言还支持扩展的存储过程和触发器。 · 图形化用户界面，使系统管理工作更加直观；Oracle的管理体系建立在分布式对象（soL Distr油uted Management Object，SQL-DMO）基础上，形成Oracle的分布式管理框架。 · 网络独立性：Oracle不依赖于任何网络系统，它可以在绝大多数流行的网络系统上运行，包括Microsoft LAN Manager、NovellNetWare. Banyan VINES. DEC Pathworks禾口 Windows NT Server上的网络系统。Oracle客户和服务器应用程序充分支持其他网络协议（如TCP/IP）。 · 多线程体系结构设计，提供更高的系统对用户并发访问的响应速度；在多用户并发访问时，系统在产生较小额外负担的情况下能够进行并行处理，从而减少内存需求，提高系统吞吐量 · 隐含的并发控制能力。Oracle利用动态锁定功能防止用户在查询和更新并发操作时相互发生冲突，动态锁定是隐含的，用户不必操心锁定过程。 · 对WEB技术的支持，使用户能够很容易地将数据库中的数据发布到WEB页面上。 · Oracle数据库系统可以管理大量的数据及其处理 五、实施效果 该方案正常实施后，可以实现如下效果： · 网络稳定性：对网络的事件进行监控、查看、限制、审计、日志等功能，同时可以对病毒、异常行为、网络攻击等对网络系统有沖击的行为进行隔离和控制。 · 数据安全性：实施了ORACLE数据库后，可以对用户的数据进行整体的规划，达到数据的统一管理、统一存储、灵活备份、数据可恢复等。 · 在实现以上2点的同时，用户新增加应用，基本不需要对已有的基础网络架构和ORACLE数据库进行大范围的改动，保障了原有投资的效率最大化，节约了用户成本。 北京华泰天安信息科技有限公司 2006-3-19 IT服务合同附件二 中铁工程设计咨询集团有限公司信息系统资源管理办法 为了保障甲方（中铁工程设计咨询集团有限公司）信息系统在乙方（北京华泰天安信息科技有限公司）运行维护期间稳定、安全、高效的运行，制定该管理办法引导甲方用户正确使用信息系统资源，避免由于个人疏忽或不良使用习惯带来的信息系统隐患，从而杜绝这些隐患可能给信息系统资源带来的损失。 建议甲方应以正式文件的方式向员工发布该管理办法，如果由于员工未遵循该管理办法，造成使用信息系统资源不当而导致信息系统受到威胁和损失的，后果由甲方承担。 一、 信息系统资源定义 信息系统资源包括但不仅限于：机房、用户、权限、网络、应用程序。 二、机房管理 1.甲方有权利和义务指定专人对机房进行管理，与业务无关的人员一概不得进入机房。 2.与业务相关或有必要进入机房的人员，必须经过甲方业务主管人员同意，由甲方人员陪同，并进行签字登记，登记内容包括但不仅限于：进入机房人员姓名、证件号码、工作单位、进入时间、离开时间、进入事由、乙方陪同人员姓名。 3.机房巡检：每日对每个机房进行巡检2次，观察是否有机柜漏电、空调漏水、温度、湿度不适宜、有无烟雾等不适宜设备运行或火灾之类的会造成设备损失的情况发生- 三、用户管理 1.用户的台式PC或笔记本电脑在指定工位后，不能随意更换工作位置（有权限进行移动办公的用户除外），否则将无法连网使用。 2.用户的台式PC或笔记本电脑的相关信息需要进行登记，包括但不仅限于：机器型号、出厂日期、网卡类型、MAC地址。用户不能随意更换台式PC或笔记本电脑的配件，如果更换需要更新登记信息，否则将无法连网使用。 3．建议用户将Administrator帐号更名并设置安全度高的密码， 原则为将Administrator更名为自己容易记忆的名称，密码不低于8位，应采用字母、数字、特殊字符结合的方式设置。将Guest帐号禁用。 4.用户应配合信息系统主管部门对用户帐号等信息进行登记，并有义务在更新帐号等信息后向信息系统主管部门通报信息更新。 5.建议用户每季度对帐号密码进行一次更改，并向信息系统主管部门通报信息更新。以避免由于长期使用单一帐号密码造成的密码威胁。 6.用户不宜私自在电脑上建立不经常使用的帐号，给信息系统带来安全隐患。 四、权限管理 1.用户应该严格按照信息系统主管部门审核批准的权限使用信息系统资源。严禁用户私自盜用IP地址、更换工作位置连网，访问未经授权的服务器等越权行为。 2.拥有访问服务器、上网及其他应用程序权限的用户不得将自己的台式机和笔记本借用他人（无权限）。如果需要，借用人（无权限）必须在被借用人（有权限）陪同下使用被借用人的电脑（有权限电脑），不得允许借用人在电脑上做与业务无关的操作。如果因为借用人在电脑上的操作造成信息系统资源受到损坏，被借用人将承担连带责任。 五、网络配置管理 1.由信息系统主管部门为用户分配IP地址、访问权限等网络相关的配置。 2.用户不应该私自更改IP地址、MAC地址、墙插／地插口位置等相关设置，如因为工作需要，应向信息系统主管部门进行通报。由信息系统主管部门进行登记和更新。 六、应用程序管理 1.用户不应该在自己的机器上安装与业务无关的软件或应用程序，不应该访问不熟悉或未注册登记的网站，以避免木马、病毒、黑客程序等威胁信息系统资源的安全。 2.用户如果发现机器中出现不明的应用程序应及时向信息系统主管部门报告，并暂时断开机器的网络连接，待信息系统主管部门确认该程序是否合法后再接入网络。 七、信息系统主管部门工作人员守则 1.信息系统主管部门由于工作的特殊性，有权限接触到所有的信息系统资源。为此，提高信息系统主管部门工作人员的安全意识显得尤为重要。 2.信息系统主管部门工作人员不得违背管理办法以上所述各条款。 3.信息系统主管部门工作人员的工作可能会更改网络拓扑（新接网线、更换网线端口、增加设备、修改网络设备与服务器配置等）时，需要向信息系统主管部门领导汇报，获得允许后方可实施。 八、备注 乙方将保留根据技术更新、市场变化、政策变化等因素与甲方信息系统主管部门协商后，对该管理办法进行增加、删除、修改相关项目的权利。并在增加、删除、修改相关项目后7个工作日内以书面方式提交给甲方信息系统主管部门，由其向甲方全体员工通告。 IT服务合同附件一 中铁工程设计咨询集团有限公司信息系统服务 IT服务可以使客户信息系统稳定、安全、高效的运行，帮助客户提高生产效率，发挥息系统应有的作用。IT服务的目标与实施效果包括以下几方面： · 网络架构的优化与调整 · 安全策略的定制与部署 · 数据的安全存储与恢复 一、 维护范围 乙方（北京华泰天安信息科技有限公司）为甲方（中铁工程设计咨询集团有限公司）提供IT信息系统服务，服务范围包括： 机房：4个（朝阳门办公地点3个，木樨地办公地点1个） 机柜：8个（朝阳门办公地点6个，木樨地办公地点2个） 核心设备：36台（网络设备28台，服务器8台） 二、维护内容 1． 网络系统维护 1）网络设备维护 维护网络设备硬件的正常，为甲方IT信息系统正常运行提供基础设施的保障，包括： a)设备信息分类、统计一对甲方设备信息进行分类、统计 时间周期：维护初期对所有设备进行一次，以后随甲方设备变化及时更新。 形成甲方设备分类、统计信息表 b)设备性能分析一对甲方设备的性能（CPU、MEM利用率等）进行分析 时间周期：对核心设备每月一次 c)设备升级一为甲方设备升级合适的IOS（操作系统镜像） 时间周期：每季度检查一次，对有需要的设备进行升级 2)网络线路维护 护线路的稳定，为甲方IT信息系统正常运行提供线路带宽的保证。 a)线路信息分类、统计一为甲方线路信息进行分类、统计 时间周期：维护初期对所有线路（专线DDN、光纤线路等）进行一次，以后随甲方设备变化及时更新。形成甲万亨线路信息统计表 b)线路运行质量分析一对甲方的线路质量（可用率、误码率、丢包率等）进行分析 3)时间周期：每月一次 a)配置、调试维护 设备配置服务 为甲方提供对设备进行配置的服务，实现甲方应用的需求（设备功能和性能支持甲方应用需求）。 时间周期：对甲方设备分类、统计信息表中包括的设备，根据用户的需求随机进行配置。 b)线路调试服务 为甲方提供对线路进行调试的服务，实现甲方应用的需求（带宽足够和网络设备接口适用）。 时间周期：对甲方线路信息表中的线路根据甲方需求随机进行调试。 c)配置文件管理 甲方提供配置文件的管理服务，使甲方及时掌握设备的配置变化，充分把握网络基础设施的状况。 时间周期：每月提交一次最新的设备配置文件及中间更改记录单。 4)甲方用户信息维护 维护甲方用户的信息，包括IP地址、MAC地址、主机名、所属部门、所属VLAN等详细的甲方信息，使得用户的管理更加准确、高效。 时间周期：根据甲方变化随时更新，每月向甲方提交一次最新的甲方用户信息。摊 5)巡检服务 为甲方提供对机房及设备的巡检服务，包括机房巡检，设备配置检查，运行状态检查等。 时间周期：每月一次巡检，并于巡检结束后一周内向甲方提交巡检报告。 6)网络运行分析报告 周期性的为甲方提供网络运行分析，宏观的向甲方提供网络运行状态的说明性文件，包括运行状况分析、流量分析、稳定性分析等。 时间周期：每季度向甲方提交一次运行分析报告。 2.网络安全系统维护 1)系统网络的安全扫描 对整个网络的使用升级到最新事件库的扫描软件进行扫描。根据扫描结果，提交网络系统整体的《安全漏洞报告》。并编写对应的《安全加固方案》，消除安全隐 时间周期：每季度一次 2)防病毒软件的维护 负责防病毒服务器的事件库升级情况的检查，防病毒服务器本身运行情况的检查，防病毒甲方端程序运行状态的检查。汇总系统当中出现病毒的次数、变化、趋势等，为下个月的病毒防治提出指导性建议。 时间周期：每月一次。 3)防火墙的维护 根据业务需要，调整系统中网络防火墙的策略。对防火墙策略进行检查，优化防火墙策略，以满足策略最小化的要求。 时间周期：调整策略根据甲方需求随机更新，优化策略半年一次 4)安全日志的检查 对外网应用服务器和防护墙的安全日志进行检查分析，及时发现存在的安全隐患和问题。 时间周期：每周一次 5)安全方面的应急响应与咨询 针对黑客入侵、病毒爆发而导致的数据丢失，服务中断等情况，提供7*24的现场处理和电话支持。针对一些由安全引起的系统异常情况，则提供工作时间的电或现场解答。 时间周期：7*24全天候 6)信息安全培训服务 有责任对甲方的信息系统使用人员进行一次信息安全方面的培训。内容应涉及到：网络基本知识、病毒的基本防治、日常信息安全行为规范等。 时间周期：半年 3.数据安全维护 1)数据存储服务器硬件系统的维护 在无硬件损坏的情况下，恢复硬件系统（如重作raid等）在存在硬件损坏的情况下，负责与硬件厂商联系，督促其恢复硬件故障 时间周期：实时服务一甲方硬件出现问题时 2)数据库服务器操作系统的维护。 包括数据库的安装、配置、修复等。 时间周期：实时服务一初始建立数据库时 3)数据库的安装和调试 保证数据库系统的可用性。 时间周期：实时服务一初始建立数据库时 4)配合甲方应用程序的安装和调试。 时间周期：一周一次 5)数据库备份和恢复。 提供对于数据库系统中的数据进行备份和恢复的服务。 时间周期： · 数据库备份：一周两次（如需要可由经培训甲方技术人员操作每天一次） · 数据库恢复：实时服务 数据库服务器硬件设备、操作系统的升级 评估数据库对硬件及操作系统的要求是否需要进行升级，如果有升级的必要， 计划及部署升级的相关事宜。 时间周期：实时服务 7)数据库运行分析报告 周期性的向甲方提供关于数据库运行状况的报告，包括数据库容量变化趋势分析、数据库结构调整需求分析等。 时间周期：每季度一次 三、维护方式 1.乙方向甲方提供多种维护方式，包括但不仅限于： 1）远程维护 乙方通过远程连接的方式维护甲方的系统。 适用范围：系统日常维护，或可以通过远程连接解决的问题。 2）电话技术支持 乙方向甲方技术人员提供电话支持服务。 适用范围：无需乙方工程师去现场，电话技术支持可以解决的问题。 3） 传真或Email方式支持 乙方向甲方提供传真或Email方式的技术支持 适用范围：甲方向乙方咨询相关的技术问题或产品信息等（时间敏感度较低） 响应时间：2个工作日内 4）工程师现场技术支持 乙方工程师去甲方现场处理问题。 适用范围：甲方系统出现故障，必须乙方工程师现场解决或技术交流等需要与甲方人员面对面交流的情况。 响应时间：2个小时内到达甲方工作现场 四、维护指标 1.网络可用率 定义：甲方的网络系统正常运行的百分比（网络可用是指甲方的网络系统未出现重大网络故障，甲方的核心业务未受到严重影响。） 算法：甲方网络系统正常运行时间（单位：小时） ／甲方网络系统在线运行总时间（单位：小时） 目标：排除不可抗力因素的情况，网络的稳定性达到95070。 注：不可抗力包括（但不仅限于）地震等自然灾害、停电等工作基础设施问题、运营商故障等外部环境问题 2.网络安全率 定义：甲方的网络处于安全状态下运行的百分比（网络运行安全是指不受病毒和攻击等事件的侵扰与破坏。） 算法：甲方网络安全运行时间 （单位：小时）／甲方在线运行总时间（单位：小） 目标：排除不可抗力的情况，网络安全率达到90% 注：不可抗力定义同上一条。另外若发生全球、全国或地区性的病毒扩散事件，将从中国互联网应急处理协调中心或相关的官方组织发布的病毒样本及解决办法的时间开始计算网络不安全的时间。 3. 数据安全率 定义：数据处于安全状态的百分比（甲方的数据不发生损坏、丢失等不安全问题。） 算法：可正常使用的数据量 （单位：MB）／存储的总数据量（单位：MB） 目标：数据安全率达到98% 注：不包括硬件问题或非维护原因造成的问题 客户责任 l 甲方通过互联网或者调制解调器，提供乙方认为必要的产品访问权限。相关费用由甲方自行承担。这将在甲方和乙方TAC Service工程师之间建立起一条数据通信链接，以便程师从远程诊断进而解决您所遇到的问题。在必要情况下，您将需要提供当前使用的系统密码，以便进行远程诊断。 l 如果您希望获得北京市区之外现场服务或者本文所介绍的服务范围之外的服务，您需要承担所有的工程时间、差旅费用和个人开支。工程时间将按照当时的时间和资料价格收取费用， 由甲乙双方协商后确定。 l 如果您将本服务所支持的产品转移到某个新的地点，您需要在转移之后的十(10)天内通知乙方。乙方将会在收到您的通知的十(10)天后，为您提供本服务。 l 如果您对产品配置进行了改动，请在改动之后的三(3)天内通知乙方。 l 在乙方提出要求时，您应当向乙方提供您授权与乙方联系的所有人员的名单。 l 您同意采取所有必要的措施来确保您的离职员工不能访问或者使用本服务，这些措施包括（但不仅限于）停用离职员工的设备登录帐号。 l 您只能就向乙方支付了服务费用的产品（合同签定时包括的产品）获得本服务，若出现产品增加或更换的情况，需要甲乙双方协商以书面方式形成补充合同后，由乙方对这些产品提供服务。 l 在乙方提前发出通知和请求之后，您同意为乙方提供足够的信息，证明您的产品有权获得本服务。乙方保留对任何没有萝申相应费用的产品停止提供服务的权力，以及就没有付费的服务收取费用的权力。这些费用可能会按照法律允许的最高价格收取，相关费用还包括（但不仅限于）工程费、差旅费 l 甲方有必要以正式文件形式向员工发布合同附件二，并约束及监督员工遵循附件二中约定的方式正确使用信息系统资源。