防火墙策略统一调整系统 V2.0

项目背景和目标

项目背景

随着大型企业信息化建设的不断加快,通信网络规模逐渐增大、网络设备的类型及数量持续增长,导致网络结构逐渐复杂、相关路由及访问策略的数量急剧增加。目前网络中存在海量的路由和访问策略,给网络日常管理、以及网络工程变更带来巨大的挑战,网络访问需求转变为工程变更方案可能需反复修改与完善、时间跨度大、工作进展缓慢,且经过人工审核开放的权限无法保证访问权限的精准,缺失的网络访问策略无法满足业务需求、而权限过大的访问策略又会违反网络安全域管理要求,带来安全管理的漏洞,埋下巨大的网络安全隐患。此外,在海量的网络路由和访问策略中,由于工程或历史原因,可能存在不符合网络安全域管理要求的隐藏路径或者权限,极难通过人工方式及时发现与关闭,不但可能导致在部委组织的网络安全检查中被扣分通报,更可能为恶意攻击者实施网络攻击和入侵提供极大的便利。现有运行管理的支撑手段薄弱,无法在保证满足网络安全管理要求的前提下,高效、准确地制定网络安全策略变更方案,且无法发现网络中可能存在的不合规的访问路径。另外一方面,对于企业内部网络设备而言,更深一层分析,大量的信息流交互都是通过各种网络设备端口进行的,企业由于无法对网络设备端口进行统筹的管控,会出现设备端口资源分配混乱、企业端口私人非法接入、异常端口无法及时发现、数据传输安全隐患、突发事件定位维护效率低下等问题,网络设备端口的安全成为企业一项重大安全隐患。

基于上述背景,本产品拟通过对防火墙设备管理、安全域自动识别、全网路径计算、路径自动选择、智能规则库管理、端口安全管控等的,搭建全网智能化网络设备与端口安全管理平台,实现网络安全的精细化、准确化和自动化管理,提升网络安全的防护能力及管理能力,避免由于网络安全风险造成的经济损失和名誉损害,在满足内审和外审安全合规性要求的同时,保障企业支撑网络的安全。

项目目标

为满足企业对网络安全建设的要求和规范,加大对现有网络设备的智能分析和策略审计及端口安全管控,提高网络工程变更流程处理效率,保证高效响应速度和提升企业服务质量。实现有效管控网络设备及相关端口安全管理,提高网络工程变更效率,达到网络安全管理的智能化、精准化和可视化。

  1. 网络设备自动发现

通过“TCP/IP”“MAC地址”“TLL”“网关分析”“端口分析”“snmp”、
NMAP等技术协议,在现有网络设备基础上,自动发现其他端口链接的网络设备。同时向外辐射,一层层延伸,智能探测,智能形成整个网络环境端到端细节连接拓扑图。

  1. 网络设备基本信息监控与管理

能从基础设施层采集网络设备和主机信息,通过系统服务层生成全局物理网络拓扑图,实现网络设备基本信息监控与管理以及设备的自动采集设置;

  1. 设备端口安全管理

通过搭建“智能端口安全策略”对现网设备端口使用情况管理,包括智能分区域自动shutdown,一键shutdown端口,分组分区域自动灵活管理。智能端口分配、智能根据需求自动启动。端口Up->down->up等变动状况实时管控,自动化端口安全、接入管理。

  1. 网络拓扑可视化及快速资产定位

网络拓扑可视化能快速发现多层级的网络设备(交换机、路由器、防火墙),并根据网络的布局现状,生成全局网络拓扑图,且借助设备管理模块的数据关联性,即时查询指定网络设备或主机在全局网络拓扑中的具体位置。

  1. 建立全局网络安全规则库实现工程变更安全管理

结合调研企业内部审批系统变更单和审批单的处理结果进行综合提炼,且对安全管理规范约束的过滤,最终实现生成一套完整通用的全局网络安全规则库,实现工程变更的安全预审批。

  1. 建立业务安全安全域信息管理

安全域信息管理包含业务安全域自身的信息定义管理和划分管理。按照业务要求,生成已明确的各个业务安全域基本信息。

管控范围

本项目的网络管理及需求智能分析评估体系拟覆盖的网络设备管理及端口安全管控范围,包括:

  1. 主流厂商(Cisco、华为、Juniper等)防火墙、路由器和交换机等网络设备智能发现

  2. 业务安全域划分及管理。

  3. 网络设备拓扑智能生成。

  4. 网络工程变更自动化的实现。

  5. 网络设备相关的端口安全管控。

  6. 网络访问优化管理。

系统建设方案

系统功能架构及部署

系统功能架构

应用系统功能层:平台功能管理中心。业务逻辑层:平台业务及策略核心层。数据中心层:管理数据库核心层。平台层:连接中间件、数据库等

平台部署要求

采用旁路部署方式对原有网络不造成影响,产品的故障不影响用户网络的正常运行;无需在被梳理的防火墙上安装任何代理。

系统功能模块

网络防护功能

基础资源展示

清晰的网络设备资产管理:在将平台中管理的设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,管理员可以对网络资产信息进行修改,还可以查看该资产的子模块信息、接口信息以及变更审计历史信息

6948da9e0c759659f6f3709a0036693c

对web站点的实时监控,当发现受监控的web站点不能正常提供服务时,自动重新启动该服务,使其能够正常运行,并将web站点发生问题的时间和处理信息写入日志文件,以供网络管理人员进行分析。

aaf86235941cd4fc4bb3a71642c24351

业务页面安全访问

Cookie隐身

对底层代码封装:

对网站返回内容的底层代码进行封装,将可能被攻击的敏感位置,例如
URL、表单等转化成攻击者难以读懂的内容,并且每次封装的算法互不相同,从而隐藏了攻击的入口,使攻击者无法预测服务器的行为。

Cookie 中有个属性secure,当该属性设置为true时,表示创建的 Cookie
会被以安全的形式向服务器传输,也就是只能在 HTTPS
连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP
连接则不会传递该cookie信息,所以不会被窃取到Cookie
的具体内容。就是只允许在加密的情况下将cookie加在数据包请求头部。

Cookie 传输隐身:

  1. 由服务器写入,保存在本地,传输于HTTP头部

  2. Cookie由三元组【名字name,域名domain,路径path】确定,会出现重名,即cookie不唯一;

  3. Cookie 存在同源策略,仅以domain和path 作为同源限制,不区分端口和协议。Cookie
    的同源策略类似于Web的同源策略(sop),但比其安全性高。Web的同源策略以协议,端口,域名作为同源限制。Web
    同源策略的目的是为了保护用户信息的安全,防止恶意的网站窃取数据。

敏感数据变换

通过一系列复杂算法对用户提交的敏感数据,例如 Post data,cookies
等进行动态变换,将重要信息从明文的形式转化为毫无规律的乱码,从而防止了伪造请求、恶意代码注入、窃听或篡改交易内容等攻击行为。

808843cba307e4a980e42fb5c616baa6

混淆前

48a7e9d4c455874e279d3dc116a91c8e

混淆后

拦截高频访问

提供高频Web攻击IP自动封禁功能,使WAF自动检测并封禁在短时间内进行多次Web攻击的客户端IP;被封禁IP在封禁时间内的请求将被直接拦截,封禁时间过后自动解除封禁。开启防护后,自定义防护策略;也可以一键解除已封禁的客户端IP。

56c83d136dcfb8b70a2de5d0d9da6e8f

双向认证通信

通过对客户端与服务器的动态双向验证,严密检查运行环境、浏览器指纹、疑似攻击行为等因素,防止恶意终端访问。

采用双向认证通信协议实现了双向认证,并设计了一种失步重调机制。改进方案双向认证通信协议在这个协议中使用了直接信任模型,即客户端和服务器端通过注册阶段而建立直接信任关系。为了让Client和Server建立初始信任关系,整个注册过程通过安全信道进行。注册阶段中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。

通过终端指纹采集、业务逻辑感知、操作行为感知以及陷阱异常捕获等技术,可对交易全程感知威胁态势,动态采集非法终端应用、模拟合法操作、逆向破解及终端恶意代码注入等各类终端安全威胁,并对其进行分析判断,将恶意行为拒之门外。

72a8a277b6d38a3aba1ad5112cf7f5ab

验证令牌同步

同步的动态令牌是硬件令牌与服务器端的进行同步的设置,这种同步可以是基于时间的同步,也可以是基于事件的同步,根据同步的类型硬件令牌生成一次性令牌字,同时服务器端也可以认证这个令牌的有效性;异步的动态令牌是硬件令牌通过与服务器完成质询/应答的过程进行认证令牌的。数字证书技术是一种非对称算法实现的一种公钥机制,它可以完成数据的通明加解密和签名验签。

为用户端每一次合法访问分配的一次性“通行证识别码”。用户端每个请求附带的令牌都需要通过服务器端的校验,从而防止违规访问等恶意行为。动态令牌认证是一种基让用户令牌按照时间或使用次数不断变化、每个令牌只能使用一次的技术。认证服务器采用相同的算法计算当前的有效令牌。用户每次使用的令牌都不相同,即使黑客截获了一次令牌,也无法利用这个令牌来仿冒合法用户的身份。

99042d0dd023be51558e761df4daed22

Web攻击防护设置

网站接入Web应用防火墙后,Web应用攻击防护功能默认开启。Web应用攻击防护基于内置的专家经验规则集,自动为网站防御QL注入、XSS跨站,webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。根据实际需求调整Web应用攻击防护的防护模式和策略。

设置需要Web应用攻击防护解码分析的内容格式。

为保证防护效果,Web应用攻击防护默认对请求中所有格式类型的内容进行解码分析。如果发现Web应用攻击防护经常对业务中包含指定格式内容的请求造成误拦截,取消解码对应格式,针对性地降低误杀率。

27b8877659bf1a2afb712d4f5fa4391f

防火墙安全封堵

防火墙封堵,针对防火墙策略进行封堵指定IP和端口;

双栈封堵

基于多线程自动化管理,可并发对多台设备进行远程配置及管理,同时可针对每个IDC出口进行IP地址段白名单过滤及管理,避免误操作;同时只允许/32位地址段封堵策略,针对不同封堵原因进行TAG标记。

4abcd4e3fbddf32048be2802f200f4e6

封堵触发器

配置文件、路由表、arp表、mac地址表,自动分析生成网络设备信息基础数据库,其中包括防火墙网段明细数据库,该数据库包括了接入的防火墙所辖的ip网段、ip网段所属的安全区域,安全区域关联的物理或逻辑端口

7d416b4095410f1942689b931651930e

封堵白名单

系统具备分权、分域管理功能,能够对不同客户登录及操作进行隔离,确保封堵操作不会引发误操作风险。

651073b738cebbf38302aa00f58bb906

封堵下发回滚

封堵功能实现自动化、高效策略下发,让用户能够便捷进行IP地址封堵与解封操作;真正实现一点下发全网生效,并依靠程序自动化实现“分钟级”的配置生效。

2b69503f5cef1d565d0729ab49ab1796

封堵操作记录

对所有的封堵操作记录备份,做到有据可查,追踪到实际操作人员,包括对封堵下发设备、封堵参数(包括源IP、源端口、目的IP、目的端口、动作、协议等元素)查询。

cb336d8257a4ef498c55f5579c5b31f7

防火墙策略去重

对防火墙的安全策略进行审查分析,标识出宽松策略、重复策略,交叉策略,包含策略等策略,提示管理员进行整改,减少后续策略下发前策略分析复杂度。

c0a1a0b17bf34214802c60524595493e

黑洞路由

路由封堵,基于黑洞路由方式对指定IP进行封堵。系统支持对单个或批量的封堵操作,封堵下发前可查看系统生成并将执行的指令脚本,同时可实时查看封堵和解封的操作运行状态,并且能够任意追溯封堵操作记录,如封堵、封堵类型、需求来源、封堵原因、操作人、操作时间等。

双栈封堵

基于多线程自动化管理,可并发对多台设备进行远程配置及管理,同时可针对每个IDC出口进行IP地址段白名单过滤及管理,避免误操作;同时只允许/32位地址段封堵策略,针对不同封堵原因进行TAG标记。

封堵触发器

系统支持根据策略场景中预先设置的参数,在封堵中调用场景实现封堵脚本快速自动下发。

封堵白名单

系统具备分权、分域管理功能,能够对不同客户登录及操作进行隔离,确保封堵操作不会引发误操作风险。

封堵下发回滚

封堵功能实现自动化、高效策略下发,让用户能够便捷进行IP地址封堵与解封操作;真正实现一点下发全网生效,并依靠程序自动化实现“分钟级”的配置生效。

封堵操作记录

对所有的封堵操作记录备份,做到有据可查,追踪到实际操作人员,包括对封堵下发设备、封堵参数(包括源IP、源端口、目的IP、目的端口、动作、协议等元素)查询。

路由器IP去重

对防火墙的安全策略进行审查分析,标识出宽松策略、重复策略,交叉策略,包含策略等策略,提示管理员进行整改,减少后续策略下发前策略分析复杂度。

5dc55e79ee5db45198f0e08136cfda76

设备信息管控功能

硬件资产管理

基础设施管理

实现网络设备防火墙、路由器和交换机等的基本信息管理和监控,包括设备查看、采集及定位,至少需要支持设备信息的人工导入设备信息数据。

针对现网各类安全设备进行梳理:安全设备的品牌型号,在网络中所处的节点位置、作用,以及同类设备之间的联动关系,设备自身配置、环境配置。

支持设备管理中所涉及的设备基本信息,如名称、设备IP;

支持设备信息手工创建和批量导入两种方式;

支持防火墙设备添加、删除、修改;

支持设备上线时,手动触发防火墙策略的同步功能;

支持防火墙配置信息的备份和导出功能;

支持设备信息的导出功能;

支持防火墙设备:

  • 华为 华为V500

  • 华为 华为V300

  • H3C H3C-V7

  • H3C H3C-V5

  • 迪普 C006

  • 迪普 C012

  • 迪普 C011

  • 迪普 C008

  • 飞塔 V4

  • 飞塔 V5

  • 中兴 ZX

  • 思科 FWSM

  • 思科 ASA

  • 思科 PIX

  • 思科 PA6.1.4

  • Juniper netscreen

  • Juniper SRX

  • Juniper SSG

  • 山石 山石Version 5.0

  • paloalto PA7.1.8

  • 天融信 天融信_top_3.3

  • 启明星辰 天清汉马

  • 烽火 FR2600

  • 网康 NF-510-10

  • 网神 NSG5000-T3H1

  • 安博通 AG-6000

  • 中新网安 DAS-NGFW480

  • Legendsec NBM3480

负载均衡设备包括:

892765be5f389957c88d804ccebfe2aa

image

自定义安全域

提供自定义安全域之间的互访规则梳理服务,并根据自定义规则对防火墙等设备策略进行合规性审计梳理服务,同时提供策略检查规则的导入、删除、查询和导出服务。

1、选择"网络 > 安全域",进入“安全域”配置页面

2、点击“新建”按钮,弹出<“安全域”配置>对话框

3、指定安全域名称。在<安全域名称>对话框输入需要的名称

4、根据需要,在<描述>文本框中输入描述信息

安全策略域管控

当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该数据流的报文。

转发策略是指控制哪些流量可以经过设备转发的域间安全策略,对域间(除Local域外)转发流量进行安全检查,例如控制哪些Trust域的内网用户可以访问Untrust域的Internet。

本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。

dc740911dd0376835e0d48bfcd5e17d9

设备全线监控

未知端口发现

通过流量分析,及时发现未知端口对外开放,通过解包分析的方式获取它使用的协议以及提供的服务,对于无法准确判断的端口,再用外网扫描的方式进行补充判断。能够针对网络流量的目标地址按照异常流量的特点进行检测,从网络中的流量中检测出异常流量

能够检测网络中常见的DDOS攻击,包括:TCP SYN、ICMP、TCP RST、Fragment、IP
Private、IP NULL、TCP NULL

对于系统未知的其它DDOS攻击,系统能够通过IP地址、端口、应用、TCP Flag、ICMP
TYPE等流量特征等进行定义,并产生Fingerprint(指纹)。系统能够将Fingerprint下发到系统内的所有采集器,并由采集器根据Fingerprint的定义对网络中的异常流量进行分析和检测

能够将从城域网中多个节点进入城域网的针对同一目的地址的DDOS攻击进行统一的关联检测。

流量分析告警

系统能对城域网大的流量进行分析和告警,并能够针对每个设备设置不同的阀值。异常流量告警、ID、告警开始时间、持续时间、严重程度、告警类型、异常流量源IP地址及属地、异常流量目的IP地址及属地、异常流量速率(BPS/PPS)、异常流量经过的路由器端口等多种类型。

系统能设置告警的阀值,包括告警的触发时间、触发门限等,只有满足条件的的异常流量才会产生报警。系统能够针对不同的告警类型和系统监控的不同对象定义不同的阀值

发现异常数据后通过SNMP TRAP、syslog、Email等方式将告警信息通知网管人员。

流量分析工具

系统还提供了实时流量分析工具,以对相关流量设备、实时端口运行状态分析步骤:

  • 选定持续时间

  • 选定分析范围

  • 设定分析区间(即设定分析条件)

  • 设定呈现方式(即输出流量参数)

03fd67932291ccce01e56b7bfc0e9c6d

设备资源池

采集指令库

采集指令库:设置对不同产商、不同设备类型、不同设备平台、不同设备型号的设备信息采集指令,通过对设备下发不同指令包括:ip
get ip parameters 获得ip参数, ip-classification show ip classification
显示ip分类, ippool get ippool info 得到ip地址池信息, ipsec get ipsec
information 得到安全协议的信息等等,完成设备信息资产及数据的收集。

29a908e7cebe07fa7a99a2501dee4e6c

参数配置优化

提供配置设备的SSH模式或Telnet模式优化服务,对设备进行管理,并监控设备端口情况,自动发现其他新设备;

提供自动发现参数配置、自动采集时间、周期、账号密码等的设置管理优化服务。

运维故障定位

提供通过网络设备自动发现详细TOP图优化服务,可快速定位故障点,方便解决故障;

提供设备维护管理优化服务,将设备与机房、机柜信息等进行全面维护;

提供拓扑图和机房相关联优化服务,当设备出现故障时,可一目了然看到是哪个机房的设备有问题,及时处理恢复网络通信。

252c6a9a477a1b5dedcb909187391b91

网络安全架构

网络拓扑管理

提供网络拓扑可视化管理,包含通过配置文件导入或自动采集数据两种方式实现。网络拓扑根据以下提供的文件:(1)
配置文件;(2) ARP表;(3) MAC表;(4) 路由表,来生成全局网络拓扑图。

拓扑补充管理服务

对于某些特殊原因,未能发现的链路,提供在网络节点之间绘制手工连线管理服务,代表节点之间实际存在的链路,并可设置连线的实虚线线型来显示此链路的特殊性。也可以根据实际具体情况,通过手工连线,保证整个拓扑图更加完整。

视图管理服务

提供对拓扑图的节点进行区域、组或网段的管理服务。比如按照不同地区、组或网段将设备划分到不同视图中。同时,对不同视图可分配不同用户的浏览权限。

网络拓扑更新管理服务

1、提供周期更新(可设置更新频率)管理服务;

2、提供即时更新(手工方式)管理服务。

36772760616b45806a636a8dc53ebce5

域间规则库

域间规则库管理包含规则的分类和常规的增加、查询、编辑和删除功能,对黑白名单进行新增、修改删除操作功能。

1、设备域规则库

提供策略合规审查优化服务,内容包含:策略编号、防火墙名称、管理IP地址、所属业务系统、策略详情、策略合规结果、备注。其中,策略详情可查看到策略的源系统名称、源IP地址、源端口、目的系统名称、目的IP地址、目的地址端口、协议、开放端口作用、策略开始时间、策略结束时间等。

9977c62ba7f611a3adeec5edc8ed7262

2、细则数据报表

系统支持规则库进行设定,使其能够满足在梳理网络设备策略和网络工程变更安全审查分析管理时能够实现自动过滤。实现策略的审查和工程变更的安全预审批。

通过事先预定义访问规则库,软件可实现对封堵需求的安全检查,防止在封堵紧张的氛围中导致二次事故的发生

业务梳理及分析功能

工单自动派发

防火墙业务开通
防火墙策略开通查询

支持现网防火墙策略优化管理,提供防火墙策略的采集、解析和展现,展现内容包括源地址、源端口、目标地址、目标端口、协议以及允许/拒绝等策略信息。

支持访问控制策略合规化的审核功能,提供优化建议,策略优化执行及时型和周期性更新。

支持通过关键字段对系统内多台或者全部防火墙设备进行策略查询。

支持可根据系统内的防火墙策略注解信息,任意组合条件对策略进行查询。表。

b02f980c186e326713b09450185e7564

设备快速追踪

1、快速定位网络设备

通过搜索 IP 或 MAC 地址、用户、主机、节点、端口或供应商,可轻松找到连接的设备。

2、映射和监控交换机端口

网络设备识别器是用于帮助监控无线接入点、交换机和端口的错误、性能和容量利用率。

3、管理交换机和交换机端口的容量

始终清楚交换机和端口的使用方式,以及哪些交换机即将达到最大容量。

4、适用于 Palo Alto 和 Cisco Nexus 设备的 Network Insight

通过 Network Insight for Palo Alto 设备,您可以查看哪些设备连接到 Palo Alto
防火墙,为您提供更详细的设备跟踪信息。此外,通过命令行接口 (CLI)
解析发现和采集来自端口的设备数据。通过 CLI 进行设备端口映射可以从 Nexus
2K/5K/7K/9K 设备进行发现和收集。

5、管理远程端口

远程打开和关闭交换机端口,以提高安全性,或者解决问题(如 IP 冲突)。

fcfe689867aaaed8bb60df5899e87103

防火墙放通检测

提供页面展示所有已配置的策略,包括下发者IP,策略配置地址,策略是否放通情况等,另外对出现未放通的策略提供一键重置功能,重置完成之后将策略再次下发并进行验证。

ee8ba85bf711b7d67429b8e25f0f1385

地址组自动化生成

查看现网设备的详细策略信息,能够对现网的防火墙地址组策略明细进行展示,并且能够按照查询条件进行组合查询,也可对地址组明细进行Excel格式导出,完成地址组报表快速生成的自动化。

d6cd790aceedbfe2fb25f31ea4b5a7cb

工单下发与操作回滚

工单申请下发

通过获取策略申请信息,包括源地址、目的地址以及策略协议;根据所述源地址及所述目的地址确定防火墙路径;在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,根据生成的防火墙策略调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。

操作回滚回退

若出现策略下发后设备网络不通或者影响部分防火墙功能情况,在系统下发策略后支持对该策略回滚,记录详细记录下发日志,当管理人员需要回滚的时候能查询到下发时的具体每一步的操作流程。

40a6a70e6bb6c42e450cf3d8a1b839cf

负载均衡工单下发

根据下单的工单信息对相应的负载均衡设备进行工单派发,通过设置IP、端口、安全域等设置相应的放通策略。

595674a710410808fa21b0f91a8c673d

策略审计分析

安全策略治理
  1. 快速识别攻击

快速识别病毒攻击、异常流量以及用户非法行为等重要的安全信息,支持主流的网络安全设施,如防火墙、IDS/IPS、VPNs、以及代理服务器等相关安全设备。

系统持续不断监控和分析安全设备产生的日志。日志中包含了非常有价值的信息,比如利用这些日志可以检测出诸如网络入侵、病毒攻击、反常行为、异常流量等安全威胁,从而有针对性地配置和调整网络整体安全策略。

  1. 防火墙策略版本备份

对指定防火墙策略版本,可进行人工批量备份和立即备份两种方式,验证是否能够正常进行这两种备份方式,实现策略备份的自动化管理。

78370d04fcca23a5cc454f231052b479

  1. 下发工单负载

通过统计下发工单的不同,记录系统当前策略的实时连接数,并从实时连接数中统计相应的数据得出系统当前的负载情况,得出相应的结论告警管理员。

  1. 规则类别明细

通过对规则的类别设置,包括原地址,设备名称,设备类型等,可通过不同的组合条件进行查询操作。

7466c061a119b9693abbe315be504c08

  1. 网段信息治理

通过对不同策略的网段收集,分析出该网段所覆盖的IP区域,并提供相应的解决方案通知管理人员。

233efccb45c0613be50d8205099e0092

  1. 物理地址绑定

支持对设备的物理地址进行绑定查询,包括设备型号,设备所属网段等,统计展示管理员。

2430ff0bc9c74e2360540081e7f178ff

  1. IP放通情况

通过对不同设备的IP状态监测,对异常状态的IP段上报管理人员,并提供相应的解决办法策略。

6853e041f9246ddc295c59d88b5f18b1

  1. 流量治理

通过将对设备流量的统计,将每个设备中通过的上行大小、下行大小进行展示,方便管理人员对异常流量直接处置。

安全稽核能力
  1. 端口稽核

支持目的端口范围过大稽核分析:目的端口为Any或范围过大(端口数量可自定义);

4f2f80ea1fea5fa431a10c92c5a0d75e

  1. 合规性审计

支持合规性审计,自定义安全域之间的互访规则,并根据自定义规则对防火墙策略进行合规性审计。

支持策略检查规则的导入、删除、查询和导出功能。

  1. 地址组自动化审查

查看现网设备的详细策略信息,能够对现网的防火墙地址组策略明细进行展示,并且能够按照查询条件进行组合查询,也可对地址组明细进行Excel格式导出,完成地址组报表快速生成的自动化。

  1. 服务组自动化审查

查看现网设备的详细策略信息,能够对现网的防火墙服务组策略明细进行展示,并且能够按照查询条件进行组合查询,也可对服务组明细进行Excel格式导出,完成服务组报表快速生成的自动化。

34c48d1fe3c7861d2aa716e495000af6

分层管控机制

支持由不同级别的管理人员对工单进行封堵或者回滚操作。

策略新建

支持不同部门对策略工单的新建,部分关键工单需要上一级部门审批过后才能使用,并提供相应的填写模板简化新建工单的流程。

544cfe809e7368763f510fd1d10ac74e

策略审查

由最高权限的管理部门管理所有的策略工单信息,提供所有工单执行状态展示页面,同时提供工单审批建议给到管理人员,方便管理部门人员对上下级策略工单的管控。

策略收发

二级部门支持实时接收上级部门工单派发,显示的工单内容包括处置编号、处置IP、操作目的、需求来源、操作原因、操作人、操作时间、处置状态。

二级部门可对工单进行封堵/解封处置、转单操作、不处置操作,不处置操作需填写不处置原因进行反馈,一级部门实时接收反馈信息。

策略执行

支持不同等级部门的封堵策略执行,上一等级部门能够对下一等级部门进行封堵策略下发操作,并支持对封堵策略测试。同时也支持对下一等级部门的异常策略回滚。

操作告警处置

  1. 敏感信息日志告警

提供用户操作数据文件的行为日志优化服务,对行为日志中的FTP等文件操作命令进行解析,并结合敏感数据文件梳理结果和用户自定义的分析规则,对行为进行分析优化,发现用户违规操作和异常的访问。其中用户自定义分析规则优化包括模式匹配分析规则,基于风险值分析规则,统计分析规则和关联分析规则。

  1. 异常策略信息告警

支持现网防火墙策略异常日志管理,提供防火墙异常日志的采集、解析和展现,展现内容包括源地址、源端口、目标地址、目标端口、协议以及允许/拒绝等策略信息。

  1. 防御服务器信息告警

支持对网络攻击或病毒侵入界面工具日记分析,主机发现和端口扫描,操作系统检测和IDS规避/欺骗,及时告警管理人员。

36bf0443b42b8d87f96e6721b01352b2

  1. 软件日志信息告警

通过审计出现例如黑洞syslog格式向外输出的日志包括:对外发送的有登陆日志、操作日志、cpu/mem信息、
攻击日志、链路信息日志、流量信息。及时告警管理人员

  1. 入侵日志信息告警

支持在日志/IPS 日志处 查看 IPS 日志,4.5 版本 IPS 日志在跨站攻击和 SQL
注入直接显示
相关日志消息,针对其他类型攻击显示的是编号,可以通过点击该编号查看具体信息,及时告警管理人员。

  1. 入侵检测信息告警

支持接入侵检测系统通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应,包括切断网络连接、记录事件和报警等。

信息统计输出

  1. 设备统计报表

支持统计设备信息包括防火墙、路由器、负载均衡数量等进行统计输出,并形成Excel。

e4224c8c5a68650245561f3d47a190ae

  1. 安全域统计

支持对设备的安全域进行统计输出包括起始地址、末端地址、类别等,并支持导出Excel。

da13a0c7021ba98888f7d0476ad41188

  1. 拦截统计

支持对拦截的设备进行统计包括原地址、目的地址、访问时间等,并形成报表,支持导出Excel。

bf1d3bdb9bd2b101cf841542db9a1411

  1. 放通统计

支持对放通的设备进行统计包括原地址、目的地址、访问时间等,并形成报表,支持导出Excel。

4edeecefd2ed25ae9b3f901dce331d4d

  1. 策略触发统计

支持对触发的不同策略进行统计包括重复策略、冲突策略、幽灵策略等,支持导出Excel。

3f021eff7681ef7d85a91e5318d69c35

  1. 策略合规统计

支持策略合规统计的基本信息,包含策略从属的业务系统、合规策略统计总数、非合规策略统计总数、策略名称、策略统计时间、策略统计操作人,并导出Excel。

e2bc92234a3feed0f35c5f892a7e7d9e

  1. 地址组明细统计

支持展示地址组明细功能,可展示业务系统、防火墙名称等内容,并可以根据设备名称和管理IP进行查询。支持导出Excel。

1fa0d63bdbe26fa4150536835f17be66

  1. 端口明细统计

支持展示端口组明细功能,这展示业务系统、防火墙名称、管理IP地址、端口组总数等内容,并可以通过业务系统、设备名称、管理IP地址进行查询。同时系统支持数据的导出。支持导出Excel。

489107e5a5c2b6d11120e4b0d8a991ef

  1. 策略稽核统计

支持策略合规统计的基本信息,包含策略从属的业务系统、合规策略统计总数、非合规策略统计总数、策略名称、策略统计时间、策略统计操作人。支持导出Excel。

837a142e6e846b16c0bd3d00b57c61e3

  1. 迁移统计

支持对不同策略更改变化进行统计包括设备型号、名称、策略数目等,支持导出Excel。

11595880cf38f09e85b71a5a2142fc78

系统管理

支持角色管理,自行添加且对创建信息进行保存记录;

具体账号管理功能,自定义某个账号的权限功能。

登入限制

通过身份证ID绑定mac一对一登入,限制固定网段对系统进行访问。

操作审查

操作审查通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理。

其他功能要求

支持品牌

系统全部支持Cisco、Huawei、H3C品牌如下型号:

  • Cisco(pix525、pix535、ASA5585)

  • Huawei(Eudemon1000E系列、Eudemon8000E系列)

  • H3C(F1000系列、M9000系列)

至以下防火墙品牌:

  • Juniper

  • 飞塔

  • 中兴

  • 烽火

  • 迪普

  • 启明星辰

  • 山石

产品性能

产品性能 系统年可用率不小于99.9%;
系统支持接入管理的防火墙数量(包含虚拟防火墙)不少于50台;
策略合规误报率、漏报率不超过0.5%;

安全高可用性性

高可用性 支持策略数据自动备份恢复机制;
系统支持HA机制;
高安全性 支持对采集的防火墙信息进行加密安全存储;

可扩展性及可维护性

技术先进性要求

系统采用先进成熟的技术,以保证投资的有效性和延续性。

开放性要求

支持多种硬件平台,采用通用软件开发平台,具备良好的开放性和可移植性。采用标准开放平台接口,支持与其它系统的数据交换和共享。

标准化要求

所有各项软件开发工具和系统开发平台符合国家标准、信息产业部标准、企业相关标准、技术规范等的要求。

保护现有投资要求

充分利用现有的软硬件设备,以保护现有投资。

扩展性要求

具备二次开发的能力,产生完备的系统设计报告,以作为系统实施的依据,具有较强的可扩展性。

兼容性要求

满足纵向和横向扩展要求,软件版本易于升级,任何一个模块的维护和更新以及新模块的追加都不影响其他模块,且在升级的过程中不影响系统的性能与正常运行,保证系统可以稳定、平滑过渡。

可维护性要求

产品在规定的条件下和规定的时间内,按规定的程序和方法进行维修时,具有保持或恢复到规定状态的能力。

其它要求

系统设计时应能避免软硬件单点故障影响系统可用性。

软件产品出现BUG时,不应导致已存储的数据丢失或不一致。

软硬件资源

参照用户的软、硬件使用环境和需求规格说明书中的规定,我方系统满足第三方开发的软件的环境(包括服务器环境、客户端环境)要求。

32位服务器的安装

运行所需的最低硬件要求如下:

1 GHz, 32-bit (x86) Pentium双核处理器或同级别的其它处理器

2 GB RAM + 1 GB RAM 变更管理独占

5 GB 硬盘空间

64 位服务器的安装

运行所需的最低硬件要求如下:

2.80 GHz, 64-bit (x64) Xeon® LV 处理器或同级别的其它处理器

2 GB RAM + 1 GB RAM 变更管理独占

5 GB 硬盘空间

数据库所需的硬盘空间取决于要分析和存档日志的设备的个数,以及收集日志文件的频率。以下列出了所需的硬盘空间以及每秒
所收集的相应的防火墙记录数。

安装FWA的系统的内存和磁盘的要求,磁盘和内存大小的要求是基于向FWA发送日志的设备个数,每秒钟的防火墙的日志数以及FWA每天接收日志的日志数。

CPU 要求

每秒超过200个日志,最好安装到专用机器上(其中,不要运行其他耗费资源的软件)

每秒超过500个日志,最好安装到专用机器上,且需要双核处理器。

每秒超过1000个日志,最好安装到专用机器上,且需要四核处理器。

内存要求

系统处理的日志越多,要求的内存也越高。超过5个防火墙的情况,内存最好高于推荐的值。

对于变更管理,需要额外独占1 GB内存。

独立安装

系统的服务器和PostgreSQL数据库可以分别安装在不同的机器上,以取得更好的性能。或者,如果机器的配置不够高,建议独立安装。

长时间保存日志的磁盘空间要求

上述的磁盘空间要求,基本上是按照一个月的基准计算的,如果要保存多个月的数据(归档日志数据),可按照上述要求与月数相乘作为参照要求。

项目实施管理

日程安排

为了便于客户方负责人对项目每个环节的进行跟踪和检查,我方严格按照以下日程安排表执行阶段性任务。

项目阶段 时间 工作内容 成果
需求调研 合同签订完成后1周内 成立项目咨询专家 组,对项目需求进行 详细的调研 系统需求规格说明书
系统设计 需求调研完后1周 在需求调研的基础上对系统架构、安全体 系、功能等进行系统设计 系统设计说明书
系统开发 系统设计完后1周 进行各个子系统的迭 代开发,完成单元测 试 不同迭代版本的可运行系统
系统集成 系统开发后1周 系统集成和对各模块 集成测试 测试报告形成可完整运行的系统
系统初验 所有平台测试完成后1周 项目初验 初验报告
系统试运行 平台初验完成后3个月 1、平台上线试运行 2、系统持续优化 升级版本的可运行系统,并安装部署到用户本地
用户培训 系统试运行期间 对各级用户进行培训 使用说明
项目终验 平台试运行结束后 项目终验 验收报告

团队人员及分工

该项目整个团队设工程师4人,其中1名项目经理和3名现场驻点实施人员),具体实施安排实施工程师和售后部分,整个部分组成整个项目人员具体配备。

项目经理

1名项目经理负责项目的全部实施安排工作。

1、 计划:

a)项目范围、项目质量、项目时间、项目成本的确认。

b)项目过程/活动的标准化、规范化。

c)根据项目范围、质量、时间与成本的综合因素的考虑,进行项目的总体规划与阶段计划。

d)各项计划得到上级领导、客户方及项目组成员认可。

2、 组织:

a)组织项目所需的各项资源。

b)设置项目组中的各种角色,并分配好各角色的责任与权限。

c)定制项目组内外的沟通计划。

d)安排组内需求分析师、客户联系人等角色与客户的沟通与交流。

e)处理项目组与其它项目干系人之间的关系。

f)处理项目组内各角色之间的关系、处理项目组内各成员之间的关系。

g)安排客户培训工作。

3、 领导:

a)保证项目组目标明确且理解一致。

b)创建项目组的开发环境及氛围,在项目范围内保证项目组成员不受项目其它方面的影响。

c)提升项目组士气,加强项目组凝聚力。

d)合理安排项目组各成员的工作,使各成员工作都能达到一定的饱满度。

e)制定项目组需要的招聘或培训人员的计划。

f)定期组织项目组成员进行相关技术培训以及与项目相关的行业培训等。

g)及时发现项目组中出现的问题。

h)及时处理项目组中出现的问题。

4、 控制

a)保证项目在预算成本范围内按规定的质量和进度达到项目目标。

b)在项目生命周期的各个阶段,跟踪、检查项目组成员的工作质量;

c)定期向领导汇报项目工作进度以及项目开发过程中的难题。

d)对项目进行配置管理与规划。

e)控制项目组各成员的工作进度,即时了解项目组成员的工作情况,并能快速的解决项目组成员所碰到的难题。

f)不定期组织项目组成员进行项目以外的短期活动,以培养团队精神。

项目团队成员

该项目安排3名实施工程师驻点实施。

主要职责:

1.负责制定项目实施计划;

2.在项目实施计划的约束下,协调项目组相关资源,完成系统实施相关工作(包括系统安装、用户培训、系统上线、系统试运行等);

3.在项目实施阶段,跟踪、检查实施人员的工作质量;

5.负责协助用户进行“用户确认测试”和编写《确认测试报告》。

6.在项目经理安排和指导下,执行项目用户现场实施任务;

7.参与编写《用户手册》、《操作手册》和相关培训教材;

8.参与进行“用户确认测试”和编写《确认测试报告》。

项目进度计划

里程碑和提交物

里程碑在项目实施中通常设置在阶段任务完成点或关键任务的完成点。

在项目实施计划中设置里程碑,便于以里程碑为监控点,对项目实施从进度、质量、绩效等方面进行更加有效的监控和管理;便于项目组织成员有一个共同的视野,展示项目简明清晰的阶段性目标;便于项目经理与相关人员之间就进度问题进行沟通。

在为项目进度计划设置里程碑时,遵循以下原则:

以项目目标为依据,以可交付成果物为向导,设置里程碑。可交付成果物可以是文档,也可以是可运行的程序。

将实施各阶段的完成点设置成里程碑。如需求规格定稿作为需求分析阶段的完成点,可以定义成为里程碑。

设置的里程碑必须可审查、可测量,有明确的完成标准。只有里程碑通过审查,才能进入到下一个阶段的任务。

综上所述,本项目的里程碑如下表所示:

序号 时间 里程碑描述
1 第20天 应用系统需求分析\设计完成
2 第120天 应用系统编码实现
3 第130天 系统完成测试
4 第140天 用户培训完成
5 第150天 系统上线试运行,完成初验
6 第160天 系统试运行完成

需求分析阶段

任务范围:

本阶段任务范围包括完善、细化需求分析阶段的工作计划;开展需求调研工作;进行需求分析;编写需求分析报告。

实施方法:

通过业务需求调研,确定并定义问题区、用户的需求、项目范围、项目成功标准与企业接收标准。

定义实施范围:确定并定义项目实施的目标、范围和关键的成功要素。

编写需求分析报告:包括业务系统的业务模型、业务流程、业务功能设计等。

业务需求调研:主要采取一对一面谈、团体座谈、发送调研表、调查问卷、查阅需求资料以及召开讨论会等多种方式,从业务层、管理层、决策层多方位的获取需求。

根据需求交流进展情况,采用快速原型法,以直观的方式确认需求。

采用Rational Rose 的“用例(Use
Case)”表述方法定义系统需求,保证需求的完整性、准确性、唯一性、可度量性、可测试性、可追溯性。

在描述中尽量使用企业相关使用人员的业务语言,便于需求的审查和测试。

完成标准:

本阶段任务完成的标准是:正式提交需求分析报告,通过客户和监理方审核,并经过客户确认。

可交付成果:

本阶段的可交付成果是:

系统设计阶段

任务范围:

系统设计阶段将按照面向对象的分析设计方法并结合使用其他软件工程方法,完成各子系统的概要设计。

包括功能设计、数据库结构设计、页面设计、软件实现结构的(面向对象)设计。

实施方法:

本子阶段将对业务流程、控制流程、功能模块和数据结构进行设计,这是承上(需求分析)启下(代码实现)的阶段,这个阶段把业务需求变成技术设计,由业务描述变成技术描述,由业务语言变成技术语言。通常来讲,这个阶段又可以划分为三个主要的步骤,即:业务流程及逻辑设计、控制及表现逻辑设计、功能模块设计、数据结构设计。

业务流程及逻辑设计:使用业务图形按照业务流程的顺序对业务进行归纳、整理,绘制业务流程图。对于其中描述良好和规范的业务需求可同需求分析合并进行,绘制工作将借助绘图工具软件Visio对图形表述进行规范。

功能模块及逻辑设计:抽取最小业务单元,按照按职能域-业务过程-业务活动三层结构分解和表达功能,依据业务流程组织功能层次,绘制功能层次图。把业务流图中以“操作单元”表现的节点看作功能模块,描述其输入、输出、主要处理过程和所涉及到的数据及数据单元。

数据结构设计:对于功能模块设计中所涉及的有关数据及数据单元进行归纳,利用“对象-关系型语言”表示出来,并指明数据之间的一致性或约束性关系。这就是通常所说的数据结构或称为数据字典。这部分工作将采用实体-关系设计工具PowerDesigner来辅助进行。

系统设计说明书审核:项目经理对各应用子系统的系统设计说明书进行审核。审核工作由项目经理、技术总监和专家协同进行。

完成标准:

本阶段任务完成的标准是:正式提交概要设计说明书,通过客户确认。

可交付成果:

本阶段的可交付成果是:《防火墙策略统一调整系统系统设计说明书》。

编码开发阶段

任务范围:

包括对标准化的内部数字内容资源转换加工和管理、数字内容的

深度加工、在线编撰流程管理、知识挖掘和知识数据库开发、网络数据采集和内容提供服务、产品打包和多渠道发布、在线交互服务等编码实现、单元测试;以及项目的安全保障体系的建设。

实施方法:

(一)日创建、日部署

在本项目各应用子系统开发实现阶段,将采用快速原型法与“日创建、日部署”开发方法,每天形成一个版本,并进行部署,在最短的时间内开发出核心业务功能交付用户使用,并在此基础上再与用户交流沟通,对问题做出相应调整。

这种方法的特点如下:

可以在最短时间内开发出子系统核心业务功能交付项目相关人员测试和试用;

进入开发阶段后,每天形成一个版本,以最直观的沟通方式让客户方主管领导看到最终的产品原型;

最大程度避免了产品的实现与系统需求间的分歧;

降低了需求变更的频度;降低了系统实施的风险。

(二)代码走查

代码走查是由一组人通过阅读、讨论和争议对程序进行静态分析的过程。走查小组由组长,2~3名程序设计和测试人员及程序员组成。走查小组在充分阅读待审程序文本、控制流程图及有关要求、规范等文件基础上,召开代码走查会,程序员逐句讲解程序的逻辑,并展开热烈的讨论甚至争议,以揭示错误的关键所在。实践表明,程序

员在讲解过程中能发现许多自己原来没有发现的错误,而讨论和争议则进一步促使了问题的暴露。例如,对某个局部性小问题修改方法的讨论,可能发现与之有牵连的甚至能涉及到模块的功说明、模块间接口和系统总结构的大问题,导致对需求定义的重定义、重设计验证,可以大大改善软件的质量。

(三)单元测试

单元测试集中在检查软件设计的最小单位—模块上,通过测试发现实现该模块的实际功能与定义该模块的功能说明不符合的情况,以及编码的错误。由于模块规模小、功能单一、逻辑简单,测试人员有可能通过模块说明书和源程序,清楚地了解该模块的I/O条件和模块的逻辑结构,采用结构测试(白盒法)的用例,尽可能达到彻底测试,然后辅之以功能测试(黑盒法)的用例,使之对任何合理和不合理的输入都能鉴别和响应。高可靠性的模块是组成可靠系统的坚实基础。将单元测试结果编写成单元测试报告,提交项目经理审核,审核通过后提交项目领导组审批。

(四)系统测试

随着代码的实现和单元测试完成,软件测试人员开始对代码进行系统测试。系统测试以子系统为基本单元进行,其基本测试依据是测试计划和测试方案。根据测试方案中的用例设计按照模块逐一“输入”数据(手工或自动工具),并进行一定的压力测试。主要工作过程是:

运行程序员提交的功能模块代码,输入数据,如实记录运行结果,

填写“测试记录”。对于未通过测试的功能模块,填写测试反馈单,由程序员修改问题代码后再次提交测试。这是一个多次循环反馈的过程。

编制系统测试报告:测试结束后,测试人员编制完整的测试报告,包括测试的对象、测试范围、主要功能、测试环境、测试工具、测试结果汇总,并附完整的测试记录和反馈记录。

完成标准:

本阶段任务完成的标准是:编码完成且通过单元测试、集成测试、系统测试,并通过技术总监与项目经理的审核。

系统详细施工进度计划,详见《施工进度计划甘特图》。

可交付成果:

本阶段的可交付成果是:网站各系统可进行正常运行。

系统初验阶段

任务范围:

本阶段任务范围包括:完成应用系统在测试环境的部署和集成测试后,由客户认定是否满足可进行试运行的基本条件。并完成验收报告。

实施方法:

由供应商通过集成测试,对各应用系统自检合格后,提交初验申

请至用户方审批。

用户方检验应用系统运行情况,看是否符合:

是否满足签字确认的需求分析报告;

是否满足文件要求;

是否可以开始试运行。

验收通过后,由双方共同签署初验报告。

完成标准:

本阶段的完成标准是:系统通过业主初步验收,且可以开始试运行。

可交付成果:

本阶段可交付成果是:系统初验报告。

试运行阶段

任务范围:

本阶段的任务范围是:在用户培训工作的阶段性成果完成后,开始组织系统试运行工作,由项目经理和客户主管领导共同确定试运行范围和试运行策略,并编制试运行计划、组织试运行工作。

实施方法:

(一)试运行实施步骤:

准备应用系统运行需要的真实数据;

组建运行组织和人员准备:

建立由客户主管领导和项目经理组成的试运行领导小组;

确定试运行期间系统管理人员和系统维护人员;

召开试运行参与人员的动员会,统一思想,明确指导思想、工作方针、工作方法和工作计划;

落实其他试运行组织中的各职责人员。

双方共同制定试运行工作计划。工作计划中包括试运行工作相关各方责任、工作日程安排、运行工作制度。

(二)试运行期间各方职责:

试运行工作将由供应商与客户密切配合完成。试运行期间中,各方职责如下:

供应商负责在试运行期间进行应用系统运行记录,对试运行中出现的问题做到及时维护和更新,并完成试运行报告。

在系统试运行阶段,应达到系统连续无重大故障运行1个月,并不断根据试运行报告进行修改完善,在试运行期内如出现重大故障,试运行期从故障排除之日起重新计算,直到系统连续1个月无重大故障为止。

客户系统使用人员负责在试运行期间定期反馈系统存在问题。

完成标准:

本阶段任务完成的标准是:试运行期间系统运行稳定,性能达标,

试运行报告通过客户确认。

可交付成果:

通过试运行验证后的可运行的网站系统。

系统终验阶段

任务范围:

本阶段任务范围包括:试运行结束后,经客户审核通过后,协助组织客户进行系统终验验收。

实施方法:

试运行结束后,由供应商提出验收申请,并协助客户组织项目验收,最终完成项目交付。

(一)验收标准:

是否符合项目合同要求;

是否满足签字确认的需求分析报告;

是否满足文件要求;

是否满足用户培训要求;

是否满足试运行期间的整改要求。

(二)验收组织

试运行工作完成后,项目验收工作由供应商、客户共同组成项

目验收小组对项目进行验收。

验收小组对验收内容,如实施过程文档、用户培训效果、软件运行效果、项目管理等方面进行审查。必要时对项目的主要内容、重要功能和性能组织第三方进行专业测试。

验收完成后,由客户、供应商共同编制验收报告,签署验收意见,完成项目建设成果的交付。

项目验收完成将作为质保期的开始。

完成标准:

本阶段完成标准是:验收通过,且完成项目建设成果的交付。

可交付成果:

本阶段可交付成果是:《防火墙策略统一调整系统项目验收报告》。

项目进度保障措施

在项目开发过程中,策划可行的质量管理活动,然后正确地执行和控制这些活动以保证绝大多数的缺陷可以在开发过程中被发现。在项目里,评审和测试活动是预先策划好的,在执行过程中,根据已定义好的过程来执行这些活动。通过执行这些活动来识别缺陷,然后消除这些缺陷。

本项目质量保证贯穿于整个项目的始终,开展有计划、有组织的活动,不断地改进质量。保证指通过实施计划中的系统质量活动,确保项目实施满足要求所需的所用过程。项目团队的管理人员采取有效措施,监督项目的具体实施结果,判断它们是否符合项目有关的质量标准,并确定消除产生不良结果原因的途径,通过质量控制确保项目质量目标得以完满实现。
通过配置管理控制项目的进化过程,如持续的、变化的变更,为软件系统提供了稳定性,从而保证项目有质量的按规定工期交付。

安装及验收

安装与调试

安装现场环境调查及现场勘察

为确保各工程实施小组到达现场后能够尽快展开工作,保证项目顺利进行,我公司将在实施前10天内对客户设备安装环境进行调查,填写安装环境调查表。同时,我们还将提前向用户单位提交各种主要设备的具体环境要求,在用户单位的积极配合下,确保在现场实施工作开始前完成场地环境准备工作。

现场安装调试

设备到达安装现场后,由我公司技术人员和用户共同清点完毕后,工程实施小组的工程师将开始设备安装调试工作。

项目组将有包括项目经理在内的多名工程师参加项目实施,他们负责现场设备、辅助设备的安装和调试,完成后同时填写项目安装调试报告。

我们在设备安装和调试的同时,将对使用单位的设备操作和维护人员进行现场培训,同时为每个设备及系统提供一套完整的技术资料。

到货验收

在合同设备到达用户指定的地点后,用户与我公司代表将共同开箱验货,依合同要求对全部设备的型号、规格、数量、外型、包装及资料、文件(如装箱单、保修单、随箱介质等)的验收,当出现损坏、数量不全或产品不对等问题时,我公司将负责解决;同时按合同技术部分要求对其产品的性能和配置进行测试检查,并做出测试方案和测试报告,保证所有硬件设备在合同中所规定的地点和环境下,
实现正常运行, 并达到合同要求的性能和产品技术规格中的性能。

安装调试承诺

1、我公司承诺:保证严格按照客户的交货时间和产品质量要求,及时送达客户指定地点,运输过程中所有费用由我公司承担。

2、我公司中标后,将派出有经验的工程技术人员到用户现场进行调研,根据用户要求和实训室实际情况制定安装方案,设备送达学校后按用户确定的方案进行安装调试,直到设备正常使用运行、验收。

3、保证我公司的工程质量符合国家标准、行业标准和用户要求。

4、保证我公司提供产品均为行业正品,质量优良,无假冒伪劣,不以次充好。

5、我公司负责所有设备安装、调试(包括与计算机连接调试),以及所有所需配套设施(如全部设备安全控电箱与保护开关等)的供应、安装、调试(包括所有费用)。

6、在完成安装、调试、检测后,可向用户提供检测报告、技术手册,提供中文版的技术资料(包括操作手册、使用说明、维修保养手册、电路图、安装手册、产品合格证等)。

7、我单位保证本次所投设备均是全新合格设备,响应本次采购项目均为交钥匙项目,所需的一切设备、材料、费用等,全部包含在报价之中,客户无须再追加任何费用。

项目测试验收方案

验收测试是软件开发结束后,用户对软件产品投入实际应用以前进行的最后一次质量检验活动,它要回答开发的软件产品是否符合预期的各项要求,以及用户能否接受的问题。由于它不只是检验软件某个方面的质量,而是要进行全面的质量检验,并且要决定软件是否合格,因此验收测试是一项严格的正式测试活动。需要根据事先制订的计划,进行软件配置评审、功能测试、性能测试等多方面检测。

软件验收测试分为三部分:文档代码一致性审核、软件配置审核和可执行程序测试,其顺序可分为:文档审核、源代码审核、配置脚本审核、测试程序、平台API测试、集成测试、验收测试等。文档代码一致性审核、软件配置审核是软件部署和实施全面验收测试的基础,由各应用软件验收责任人检查它们的完整性;由于工程开发的各软件运行环境均基于审计管理系统、审计实施系统平台,最终的集成测试、验收测试由德华工贸员工、验收专家所有参与验收工作的人员一起完成。

验收流程

在验收阶段,平台系统所有应用系统将按照用户和我公司都认可的《系统需求分析》,组织验收小组,进行功能和性能的验收测试。从系统的实用性、稳定性、可维护性、灵活性、可操作性、和安全性及系统文档、代码、规范及注释说明等方面组织全面验收。验收测试安排分为系统初验和系统终验。

系统初验

经过系统内部试运行,我公司对内部试运行期间发现的问题改正后,提出系统初验书面申请。验收标准将按照“需求说明书”和双方认可的有关系统设计文档所提的要求进行。

用户在收到我公司验收申请后,尽快组织系统初验。初验前我公司提供全部的工程文档和安装测试报告,并提供初验测试文档,在用户认可后进行初验测试,初验通过后,系统进入正式试运行期。我公司应解决试运行期间所反映出的问题,若系统达不到合同规定要求,试运行期将继续顺延,直到系统完善,但试运行期最长不得超过三个月。

系统试运行

初验合格后,经用户同意,系统进入试运行阶段,试运行周期不超过三个月。在试运行期间,我公司按用户要求提供培训和技术支持,保证用户能够正确理解和使用系统;我公司对试运行中出现的任何问题及用户提出的修改意见将及时做出响应,并提交解决方案,在用户确认后实施。试运行期间如出现重大故障,则试运行期从故障排除之日起重新计算。

系统终验标准

正式试运行期结束后,如系统无功能缺陷,能够正常运行,在具备终验条件下进行系统终验,由我公司提出终验书面申请,用户在收到我公司验收申请后,尽快组织系统终验。成立项目全面验收小组,由用户、我公司以及外部专家等组成,对项目进行全面验收。系统终验前,我公司提交终验测试标准和终验测试计划,内容包括:测试对象及应达到的测试指标、测试方法和测试条件、测试资料和数据,并以图表说明每一测试对象或过程的功能输入输出测试进度。

系统终验内容

1)系统实用性:项目验收最关键的指标,检查系统是否符合当前业务的需要,特别是业务流的整体性和数据流的一致性,并前瞻性提供未来业务接口。
2) 系统稳定性:硬件环境的稳定性、软件运行异常处理和正常运行情况。
3)系统可维护性:含网络系统管理与维护、服务器系统平台管理与维护、操作系统管理与维护、应用系统软件管理与维护、数据库管理与维护以及数据库备份、应用系统备份,灾难事件处理与解决实施方案等。
4)系统文档:验收文档是否齐全、规范、准确、详细,主要的文档包括:需求分析报告,框架设计报告,数据库物理及逻辑设计报告,详细设计报告,编码规范及技术选型报告,测试报告,系统部署和发布报告,集成方案,软件用户使用手册,系统维护方案和操作文档等。
5)代码规范及注释说明:程序代码编写是否规范;注释说明或代码文档是否详细全面;接口定义是否符合局信息系统规划一致性的要求。
6)系统灵活性:系统是否方便客户进行维护;系统是否在先进性的基础上具备未来升级和可扩充性;是否利于系统平台迁移和部署等。
7) 系统可操作性:界面是否友好性;是否实现傻瓜化操作和智能化数据检索功能。
8)系统安全性:是否有完善的安全机制保证系统的安全性,如软件方面的安全防范(加密措施、相关认证、数据库安全防范),硬件方面(防火墙、物理隔离和逻辑隔离)的安全设置。
9) 其他验收标准:其他的与本系统相关的验收标准。

系统终验过程

  1. 我公司按照项目验收计划完成验收准备工作

  2. 用户代表运行验收测试用例集,记录运行结果

  3. 如果发现没有通过的验收测试用例,则我公司立即解决问题

  4. 用户主持项目验收会

  5. 我公司向用户报告项目实施结果

  6. 用户代表向用户报告试运行结果

用户评议项目实施和试运行结果,起草和审定项目验收报告。经客户确认系统终验通过后,双方签署终验证书。

人员培训方案

培训目标

让系统使用用户尽快掌握软件系统的操作方法和规范流程,保障系统移交后的合理使用、维护和正常运转。减少系统故障率,提高系统运行效率,保障系统的可靠运行,并使参加培训的学员能够达到独立使用和基本维护的能力。

培训对象

操作人员、系统管理人员。

培训方式

培训采用用户现场培训和集中培训两种方式,用户现场培训是在软件安装调试过程中进行的软件操作培训,集中培训为集中为最终用户和客户的维护人员进行讲座形式的培训和模拟使用。

培训计划

我方安排的培训课程将包含大量的系统知识和使用、维护常识等,使参加培训的学员能够达到独立使用和基本维护的能力。

  1. 培训说明
  • 培训期间为学员免费提供相应的培训资料和实习机会;

  • 所提供的所有的培训材料、教材都以中文编写;

  • 提供纸质和电子教材;

  • 培训教师为我方资深技术人员,对系统操作、业务知识、常见故障排除等方面经验丰富;

  • 上课具体时间08:30-12:00;14:00-18:00中午休息2个小时;

我们承诺在每次培训前提前10天向用户提供详细的培训大纲,并征得用户的同意。

我公司依据ITSS信息技术服务标准、ISO20000国际标准和ITIL最佳实践,建立了一套规范化的服务体系。服务体系以位于公司总部客服中心的服务台为核心,通过分布于分公司/办事处的客户服务队伍,在全国范围内为公司的行业客户(政府、教育、企业、医疗
等)提供高效卓越的技术支持和服务保障。

服务方式

包括电话服务、远程协助、现场服务、邮件服务、短信服务。

一线服务支撑

以服务台为中心,包括客服中心、呼叫中心、备件响应中心、分公司/办事处客户服务部。其中,服务台是公司运维服务受理的统一接口,配置有7*24小时服务热线和服务专用邮箱。

二线服务支撑

由来自于公司系统工程中心和研发中心技术专家组成,为一线服务支撑提供技术保障。

服务工具

包括管理工具、监控工具和专业工具。其中,管理工具主要是对运维服务的流程进行规范化管理,包括SLA管理、事件管理、问题管理、变更管理等。知识库和备件库也是服务工具中的重要组成部分。

我公司客户服务中心的技术与售后服务的主要力量在技术支持部。
我单位的支持模式确保用户和合作伙伴能够获得全天候每周7天,每天24小时(7*24)的技术支持。

我公司承诺在服务期内对学校提出的所有修改需求完全响应。

接到故障告知后,迅速响应用户请求并能及时给出实质性的故障响应、技术支持,1小时之内响应。

对本次产品提供终身免费质保承诺和上门服务。

目前,该中心目前已经具有多名资深的技术工程师,具备一定规模的故障模拟实验室,对于客户的复杂技术问题,通过技术支持网络从公司的技术支持体系中得到有效的技术支持。

客户服务公约(售前、售中)

※ 向客户提供完善详尽的工程项目的技术文档。

※ 向客户提供技术服务,包括初、中、高级的技术培训。

※ 向客户提供系统软硬件的安装、功能调试等服务。

※ 提供长期的技术咨询和应用系统支持。对于客户的问题,提供客户满意的答复。


可以接受客户的委托,为客户开发所需的系统功能,并负责系统安装,测试,开通业务及开通后的技术支持。

※ 为客户提供售后技术支持,每周7天,每天24小时的热线服务。

※ 建立客户意见反馈渠道,对客户意见有处理,有解决,并通报用户。

※ 采取多种方式,争取我们和客户共同提高技术水平。

技术支持方式(售后)

(1)、电话,传真,电子邮件:

在一般情况下,用户通过电话、电子邮件和传真等方式,将所有遇到的问题报告给技术支持中心。技术支持中心将当天给予答复。

(2)、在线专家帮助系统:

我们提供WEB方式的在线支持帮助系统,通过公司在线连接可以进入我单位网络系统并从中得到产品和技术的最新信息。

(3)、远程支持:

一般的技术问题,技术支持工程师将通过网络立即给予解决。

(4)、现场服务:

遇到突发事件和重大技术问题,技术支持工程师将赶往现场提供服务。

(5)、定期培训:

技术支持工程师参照系统问题情况, 组织针对性培训.
逐步提高客户技术力量,客户所有的要求都将被记录、备案,并且问题解决的全过程均有"客户问题跟踪单",以便保证服务质量。

验收方法遵循合同文件技术指标,严格按照国家相关规定执行。

技术支持及售后服务

服务流程和相关机构

我公司秉承客户至上的宗旨,向客户提供优质的技术支持服务。

技术支持服务流程如下:

主要服务内容

我方提供如下四种服务内容:

维护服务 工作内容描述
技术支持 电话技术支持、WEB支持、远程技术支持、现场技术支持
系统更新升级 应用平台系统的版本管理及软件补丁服务
日常系统维护 日常维护
系统故障解决 解决系统的包括一般故障、严重故障、灾难性故障等故障现象,保障系统的稳定运行。
  1. 设备平台系统维护(设备故障、巡检服务、重要通讯保障服务)

  2. 对系统运行情况进行定期检查

  3. 技术咨询

  4. 应急方案设计与预演服务

  5. 向客户提供《系统运行分析报告》

针对系统故障,我方提供如下的技术支持:

故障类型 区域范围 支持方式 响应要求 修复时间
一级故障 全国 现场 小于2工作小时 小于6小时
二级故障 全国 现场 小于2工作小时 小于6工作小时
三级故障 全国 电话响应或现场支持 小于4工作小时 小于12工作小时
四级故障 全国 电话响应或现场支持 小于4工作小时 小于12工作小时

技术支持

系统维护支持

系统割接上线后,用户的使用过程或多或少会有碰到一些问题,要建立专门的收集与反馈问题机制,由专人对问题集中审核分类,分类之后再确定其优先处理顺序,以提高后端支撑人员解决问题的效率,遇到需要其它系统配合的相关事宜也要能够及时得到协调处理。通过几次的并行可以获得现场组织、协调,缺陷处理、控制,外系统的协调、配合的经验和教训。

  1. 上线初期:

要加强总体管控,明确各组的职责,定义出并行需要的各种角色,细化问题处理的流程。并在并行前加强培训指导。并行期间由我公司、客户核心人员成立联合现场业务指导小组,并提供远程问题解答,必要时到现场巡回。

  1. 现场支持:

上线后项目组与客户技术人员将派人前往重点部门进行现场指导。

电话热线支持

上线后,系统进入维护期,操作人员在操作过程出错并影响运行的问题可以直接拨打报障电话。

在系统上线的初期建议项目组成立联合电话热线小组,负责业务指导以及问题分解。这样不仅可以使系统上线初期问题得到快速的处理,也使系统能够平滑过渡到维护期。

我公司设立7×24小时的值班响应电话,并安排有经验的工程师接受申告。当设备出现故障时,客户通过我公司指定的值班响应电话进行报障。

远程技术支持

对于通过电话指导不能解决的故障,我公司在征得客户同意后,通过远程接入手段,登录到故障设备,进行故障诊断,查找故障出现的原因,指导现场维护人员处理故障。要求:

远程技术支援的设备由我公司提供,我公司保证该设备具备安全管理功能,能防止非法登陆以保证设备和交换网络安全。

我公司服务人员在远程登录客户设备前,必须提前向客户申请,并征得客户人员书面、电子邮件或传真方式的同意。

我公司服务人员登录到故障设备,通过诊断,分析故障产生的原因,制定故障解决技术方案后,并将技术方案通过电话、邮件或传真等方式通知客户,经客户批准后,才能进行故障解决方案的具体实施。

在远程登录过程中,我公司技术人员通过远程登录手段向设备发送的任何指令、报告回显必须形成命令日志文件;故障处理完毕或告一段落,应形成故障处理报告,同命令日志文件一同发送给客户。

现场技术支持

对于通过电话支持和远程支持都不能解决的设备故障,我公司将迅速提供现场支持服务,安排经验丰富的技术支持工程师赴现场分析故障原因,制定故障解决方案,并最终排除故障。

我公司服务人员在进行现场支持服务前将作好以下准备:查阅客户用户档案,了解用户设备运行情况及设备以往所发生过的问题及处理办法;准备技术服务工具、技术服务资料、交通工具、必要的备板备件及软件。

我公司服务人员抵达客户用户现场,首先提交《技术服务申请》给用户负责人签字确认,了解设备运行情况,核实故障现象,并根据故障现象对设备进行故障分析、测试、诊断,并制定业务恢复和故障解决技术方案,
我公司须保证优先实施业务恢复,在恢复业务的前提下,再进行彻底的故障修复。技术方案经客户批准后,由客户的技术人员具体实施方案;或在客户允许下,由我公司服务人员进行具体实施。

如果确定为设备硬件故障,我公司需免费提供设备硬件为客户进行更换。如果是软件故障,我公司需免费为客户修复软件故障;如果无法修复,我公司需免费提供重新安装服务。

我公司服务人员在处理故障时不能影响到设备的正常运行,并应有客户用户维护人员在场协同处理;在必须进行系统重装或系统启动等较大操作时,须经客户用户维护主管部门批准方可实施。若因我公司服务人员误操作或擅自行事等主观原因给客户带来损失的,客户有权向我公司提出索赔。

我公司服务人员在处理故障后,要向客户维护人员解释故障原因和解决方法,以及在日常维护中的预防措施。

我公司服务人员在处理故障时,要认真填写《故障处理报告》,并在离开现场前交客户客户主管部门存档,同时加入我公司的用户故障处理数据库。

电子邮件支持

割接上线后客户将提供统一服务邮箱给各业务部门,各部门在发现系统问题后可以通过发邮件的方式将问题反馈到报障人员处。由报障人员负责收集问题,并进入报障流程。

WEB支持

割接上线后客户将提供WEB给各业务部门,各部门在发现系统问题后统一汇总并提并到WEB平台上。由报障人员负责收集问题,并进入报障流程。

问题收集与反馈

同时在割接上线后,业务操作人员遇到紧急问题通过WEB方式计时方馈,对非紧急问题各班组对收集问题进行过滤和初步分析,填写问题报告单提交项目组。项目组定期形成问题解决情况的报表反馈。

上线后值班安排

为保证割接后系统运行故障及时响应,上线后要安排人员进行主设备应用环境监控。

系统更新升级

系统的更新升级分成两个部分:维护期间的设备平台部分维护(变更、升级新增)和应用平台部分的修改升级工作。

版本管理和软件补丁服务

软件补丁服务包含预防式补丁服务和响应式补丁服务。

预防式补丁服务。我公司在已知设备软、硬件缺陷可能导致潜在问题的情况下,通过配置管理或巡检等方式对客户设备进行增补软件分析并提出版本升级建议。由客户进行相关业务、客户影响分析后确认进行。

响应式补丁服务。当设备出现故障后,双方工程师共同对故障进行分析并确认是软件缺陷所导致的故障,我公司提供针对该软件缺陷的软件补丁程序。

我公司技术支持工程师在设备维护及设备巡检过程中发现软件存在故障隐患时,经客户同意,我公司提供软件补丁程序。

我公司需保证提供的升级版本和软件补丁的合法性。

我公司现场进行版本升级和补丁输入的技术支持工程师必须持有相关的资格证书。

我公司输入补丁应严格按照客户的工程割接流程和规范进行。

在输入补丁过程前,我公司应协助客户制定应急方案,做好测试及系统备份,尽量减少设备中断时间,确保系统的安全性。

在输入补丁过程中,如果需要更换设备的硬件部件,则替换部件应由我公司提供,我公司应保证替换部件为不低于原部件功能和性能的全新部件,并不再收取硬件费用,替换部件的所有权归客户,替换下来的硬件所有权属于我公司。

在输入补丁过程后,双方工程师需对设备和系统进行严格测试,测试通过后,我公司技术支持工程师方可离开现场。

应用平台系统的修改升级

在相关技术规范书要求范围内,完成系统相关业务的需求修改升级。系统相关技术规范书要求范围外,具体进度和费用双方根据具体情况协商。

日常系统维护

日常维护

日常维护的主要内容包括:

  • 系统环境检查

    • 文件系统空间检查

    • 相关数据库表空间检查

    • 网络检查

  • 应用系统检查

    • 系统进程检查

    • 配置检查

    • 日志检查

  • 系统数据检查

    • 数据量检查

    • 配置数据检查

设备巡检服务

我公司为客户的设备进行定期的现场检查,及时发现设备运行中出现的隐患,通过系统调整等手段,减少设备发生故障的概率,保证设备稳定、高效运行。

我公司每年至少提供两次设备现场巡检服务,对客户设备进行细致全面监视和检查,检查的内容包括软件、硬件检查,电源、告警及设备运行环境的检查等。

为保证巡检效果,有效发现并解决IT系统常见的隐性互操作性问题。客户将建立联合巡检(多厂商共同参加)的制度,客户须在设备巡检前15个工作日告知我公司,设备巡检过程中客户工程师全程参与,并且配合我公司技术支持工程师完成此项工作。

我公司完成现场设备巡检后需配合客户工程师填写设备巡检记录表。

我公司在设备巡检完成后三个工作日内提交设备巡检报告(报告模版由我公司提供),客户可以根据需要要求我公司增加或修改设备巡检内容。

我公司为客户建立设备维修档案,并根据设备运行情况向客户提供设备升级、改造、更换的建议和方案。在设备巡检过程中我公司可以对客户工程师进行现场培训。

重要通讯保障服务

重要通讯保障期间,客户根据需要向我公司提出重要通讯保障服务请求,我公司必须在收到请求后规定时间内与客户共同制定重要通讯保障期间的设备保障方案。

重要通讯保障期间包括汛期、重大节假日、国家军事、政治活动期间等。在重点通讯保障期间,如有必要,我公司需指定技术支持工程师到现场完成通讯保障服务,此服务按照现场服务标准,我公司不再另行收取费用。具体购买此类服务的日期和时间数量以客户最终购买为准。

设备平台系统维护

对系统的相关设备平台,包括硬件设备、系统软件和第三方软件等,会同相关设备厂商工程师,进行变更、升级新增等的变动配合或安装调试,保证系统平台处于正常工作状态。

对系统运行情况进行定期检查

维护工程师定期对系统进行例行检查、包括对系统资源的检查维护、系统性能的检查优化用户系统及数据的备份情况检查,并提交服务报告,必要时提供技术专家支持。

应急方案设计与预演服务

应急恢复方案设计与预演的目的在于确保设备发生故障或面对意外灾难时,相关服务能在最短时间内得以恢复以使正常的业务运营继续进行,将损失降低到最小限度。

我公司需与客户一起了解客户业务需求和服务质量要求,确定应急恢复计划的范围与目标,设计提供应急恢复方案,以保证客户业务的持续性和可用性。我公司和客户双方需共同讨论以完成应急恢复方案设计。

应急恢复方案设计完成后,我公司和客户双方应共同参与,完成应急方案的测试预演,以确定其是否满足业务需要和达到设定的恢复目标。

我公司应负责对客户维护人员进行应急方案操作培训以确保需要时可以立即启动。

技术咨询

提供完整的技术咨询和业务咨询服务,为用户提供主设备、网络、数据库、软件开发以及各种新技术的咨询和各方面的业务咨询。

提供《系统运行分析报告》

我方将定期或不定期向用户提交《系统运行分析报告》,以书面的形式,向用户汇报系统运行情况,可实现双方充分的沟通交流。

系统故障解决

我公司根据客户申告的故障级别,采取必要的服务措施,尽快修复故障,恢复设备正常运行。我公司可通过电话指导、远程登陆或现场服务等方式进行故障修复,并保证满足双方约定的服务等级中相应故障级别的处理时限。

根据故障的大小、紧急程度和故障发生的情况等因素,故障级别由低到高分为三级故障、二级故障和一级故障。当故障没有在规定时限内恢复或解决时,故障级别将自动升级(如双方协商一致认为没有必要,也可不做升级处理):

一级故障(重大故障):指设备在运行中出现系统瘫痪或服务中断,导致设备的基本功能不能实现或全面退化的故障;其他造成业务中断1个小时以上或导致关键业务数据丢失的故障。

二级故障(主要故障):指设备在运行中出现的直接影响业务、并导致系统性能或业务部分退化的故障;设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险,并可能导致设备的基本功能不能实现或全面退化,如冗余设备单侧故障、监控终端故障等;系统设备或操作系统故障,造成业务中断但不满1小时的,如系统复位等。

三级故障(次要故障):指设备在运行中出现的,影响系统功能和性能,但关键业务不受影响的故障。

四级故障(次要故障):遇到系统操作疑难或者系统出现不正常状态。

下表是故障支持方式以及相应时间要求

故障类型 区域范围 支持方式 响应要求 修复时间
一级故障 全国 现场 小于2工作小时 小于6小时
二级故障 全国 现场 小于2工作小时 小于6工作小时
三级故障 全国 电话响应或现场支持 小于4工作小时 小于12工作小时
四级故障 全国 电话响应或现场支持 小于4工作小时 小于12工作小时

辅助故障定位服务

当故障涉及多方设备,客户无法进行准确故障定位情况下,我公司需提供技术支持,辅助客户进行准确的故障定位。

辅助故障定位服务技术支持的手段包括但不限于:电话技术支持服务,远程支持、现场服务。

客服中心联系方式

建立7×24小时热线电话支持,安排值班维护人员专门接听客户的电话。

服务承诺

  1. 在设备安装调试时所需的工程资料由我公司提供,同时我公司将在保证安全和质量的前提下提供技术服务,包括:技术咨询、技术资料、设备技术说明书、使用说明书、维护说明书等。

  2. 在系统安装和调试期间,我公司的技术人员将对企业派出的技术人员进行现场技术培训与指导,确保企业技术人员掌握相关的技术能力。

  3. 我公司根据合同规定将要安装和调试资料提前单独发往安装现场。

  4. 我公司在设备投产后提供软件补丁的分发与安装。对由于我公司的原因造成系统的硬件不适合使用,由我公司负责对硬件进行升级,相关费用由我公司负责。

  5. 在保修期内,我公司如为适应信息产业部及ITU-T等国际标准化组织所做的软件的修改,将及时免费提供给企业使用,并免费提供相应的技术文件。

  6. 我公司承诺各类新增的二次开发需求在用户正式提交需求后的一周之内给予书面回复,回复包含应对需求的解决方案、对现有系统的影响分析、开发所需工时等内容、计划开发、上线时间等内容,回复提交客户经客户确认之后,以跟客户确认的时间进行开发工作。按照跟客户确认的完成时间提交工作成果,用户确认后,再行上线试运行。

  7. 在系统设备试运行期间,根据需要我公司可以派技术人员到现场指导维护工作。

  8. 保修期内在系统发生故障的情况下,如有必要,我公司将在12小时内赶赴现场予以相应的技术支持。

  9. 设备保修期内我公司负责免费更换软、硬件。

  10. 在网络和设备扩容及软件升级时,我公司将派技术人员到现场指导。

公司介绍及组织架构

公司简介

爱加密(ijiami.cn)是全球专业的移动信息安全综合服务提供商,专注于移动应用安全、安全大数据及物联网安全,坚持以用户需求为导向、持续不断的创新,致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。爱加密的愿景是通过革新性安全方案和7X24小时全天候的专业服务保护更加智能世界的安全,打造和谐、强大、高度安全的万物互联生态环境。

爱加密获得了多项专业资质和荣誉,主导并参与多项国家标准和行业规范的制定,可提供满足合规要求的、基于企业移动信息安全的一体化综合解决方案。爱加密拥有移动安全咨询、移动安全培训、移动安全检测、移动安全加固、移动安全感知、移动安全管理等产品体系,可为用户提供基于企业移动信息安全的一体化综合解决方案。这些解决方案贯穿了应用设计评估、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期。

目前,爱加密行业用户遍及银行、证券、保险等金融行业(手机银行、移动支付、直销银行等)、运营商、政府、电商、能源、大中型企业、移动社交、移动办公、手机视频、手机游戏(强、弱联网游戏)等行业,覆盖亚洲和北美等主要市场。爱加密现拥有近50万注册企业及开发者用户,为100多万款APP提供安全服务,累计覆盖9亿移动终端。

爱加密是北京智游网安科技有限公司的核心品牌。北京智游网安科技有限公司成立于2013年,目前拥有员工400多人。公司总部位于北京,研发及运营中心位于深圳,同时在广州、上海、福州、贵阳、成都、西安、郑州、沈阳等地设立了分公司/服务机构

发展历程

2013-至今:

2013年

12月推出so文件加密保护服务

11月推出金融、游戏行业定制保护方案

8月爱加密云服务平台正式上线

8月获得2000万A轮融资

1月公司正式成立

2014年

11月推出iOS应用加密,成为全球首家Android/iOS全平台支持的平台

9月成为中国互联网反网络病毒联盟成员

8月推出协议通道加固技术

7月发布SDK加固技术

6月推出云服务API接口

5月漏洞分析平台2.0上线

4月实现安卓平台兼容性99%以上

2015年

10月获得国家高新技术企业认定

8月推出了应用高强度压缩服务

7月推出了应用云更新服务

5月推出H5应用加密

4月推出新一代密钥白盒技术

4月推出协议加密,首创自动化完成协议安全保护技术

3月竞品分析上线,竞品动态一手掌握

2016年

12月发布智能家居安全解决方案

12月成为国家信息安全漏洞库三级技术支撑单位

10月发布物联网安全防护解决方案

9月完成八大服务中心建设,可辐射支持近30个省市的客户需求

8月保护APP数量达到80万款,覆盖8亿终端

6月推出了多应用融合服务

4月发布全新一代VMP双重虚拟机指令集保护技术

3月行业客户数量突破1000,主要覆盖金融、运营商、游戏行业

2017年

8月行业用户数量突破2000,覆盖金融、政企、运营商、IoT、互联网和游戏六大行业

5月再度入选2017上半年中国网络安全企业30强

5月发布车联网安全防护解决方案

5月发起“应用安全+”理念,提倡打造的应用安全闭环新生态

4月发布威胁态势感知平台

3月成为国内首家支持Android 8.0的移动安全服务提供商

3月推出移动安全运营中心(MSOC平台)

3月成为商用密码产品生产定点单位

未来

继续引领技术革新,构建以物联网和安全威胁大数据为核心的生态体系3.0,让智能世界更安全。

组织架构

组织架构示意图 (图1)

组织架构示意图 (图2)

职能部门说明

董事会(总裁办)

由总裁和公司股东构成,只在公司有重大决策时,由总裁提议或由董事会多数提出建立。否则不成立。

董事会职能

1、领导企业的经营活动,领导员工共同实现预算和利润指标
2、保证企业能提供符合标准的服务及相应产品
3、向董事会提出经营预算和费用预算
4、收集客户的反映,指导研究市场需求,不断调整企业的经营方向,使企业不断得到发展
5、塑造企业形象
6、决定广告基调,指导广告战略
7、代表企业对外开展公关活动
8、按既定模式管理企业
9、建立和完善企业的工作程序和规章制度
10、向董事会提出组织系统表,人员编制和工资总额计划
11、决定企业部门以下人员的任免和奖惩
12、定期向董事会提出营业状况和财务状况报告并接受质询
13、保证企业的安全
14、保证企业的运作合法性
15、发现并消除企业的安全隐患,为大规模的改造向董事会提出预算外开支计划
16、保证员工和客人在企业内的安全

总经理

1、主持公司的生产经营管理工作,组织实施董事会决议
2、组织实施公司年度经营计划和投资方案
3、拟订公司内部管理机构设置方案
4、制定公司的具体规章
5、拟订公司的基本管理制度
6、提请聘任或者解聘公司部门经理、财务负责人
7、聘任或者解聘除应由董事会聘任或者解聘以外的负责管理人员
8、公司章程和董事会授予的其他职权

财核部

会计

1、财务处理、税务、工商事务处理、应付款、信用调查、信用判断、控制、财务报表。

2、处理公司员工的社保医保事项及协助行政部发放员工工资。

出纳

1、收款、付款、报销

2、监督预算、监督线路评估、合同经济条款审查、折旧、报损、报失,检查合同执行情况,监督资金计划的执行;

行政部

招聘专员

1、人员招聘:安排面试、背景调查、考核、上岗、离职等手续。

2、整理、建立、管理公司档案、人事档案。

3、公司内部各项管理政策、制度的编制、下发,并跟踪与修正;

仓储后勤

1、材料、设备、物品的收、发、存,公司所有固定资产的定期盘存,管理物品帐,项目剩余材料,申请大宗项目订货;

2、公司所需物品采购;签订大宗项目订货合同等;

企划部

策划

1、参与公司营销目标战略研究,企业品牌的发展定位、目标规划和实施,承担企业中长远的形象规划和实施。

2、负责组织设计公司的工作流程与管理模式;

企宣

  1. 与营销部门共同确定企业的营销战略。编制企业广告战略,编制广告营销策划方案。

  2. 与广告公司协作,开展企业新产品推广、市场开拓、广告创意制作、广告发布、产品促销等市场营销策划活动。配合营销部门开展营销策划、推广工作。

  3. 组织产品包装设计工作。

营销部

市场部

公共关系部

1、销售促进

2、公共关系

3、市场预测

4、产品开发创意

5、市场调查

客户服务部

1、客户咨询

2、客户回访

销售部

1、发展客户

2、销售产品

3、回收货款

4、客户管理

技术支持部

网络管理

负责公司的网络安全,电脑维修。

美工

1、根据市场部的需求,制作promotion以及公司产品包装类产品;
2、负责公司形象、产品外观等的设计;
3、根据结构工程师提供的三维图进行渲染处理,完成新产品初期的外观定型;
4、拍摄公司产品,并制作相应的宣传海报,协助公司网站页面的维护;
5、负责公司对外活动的策划(展会等),以及公司内部活动的组织。

研发测试

1、负责对企划部、市场部等部门提交的研发项目进行执行实施。

2、自动测试机台的调试、维护;按照新产品的规格建立标准工站;
3、制定出测试标准并送给客户确认;
4、负责产线测试工站的建立及验证;
5、负责测试标准的发行 ;
6、负责解决产线异常,不良品分析;

公司荣誉资质

  • 信息技术产品安全测评证书EAL3

  • 信息安全等级保护安全建设服务资质

  • 通信网络安全服务能力 风险评估一级

  • (CNNVD)三级技术支撑单位

  • 供应商资质认证合格证书

  • SHCERT网络安全应急服务支撑单位证书

  • ISO27001 中文

  • ISO20000中文

  • ISO9001质量管理体系认证证书

  • CCRC信息系统安全集成二级

  • CCRC信息安全风险评估一级

  • CCRC软件安全开发二级

  • 株洲网监技术支持单位

  • 中国反网络病毒联盟成员

  • 中关村高新企业证书

  • 智游软件产品证书

  • 软件产品证书 北京软件和信息服务业协会

  • 威胁感知 软件产品登记证书

  • 商用密码产品生产定点单位

  • 软件企业证书 北京软件和信息服务业协会

  • 软件企业证书 中国软件企业评估

  • 年度优秀技术支持单位-国家计算机病毒中心

  • 护网行动

  • 国家高新技术企业证书

  • 软件产品证书

  • CMMI证书

  • AAA荣誉证书

1赞

服务器资源由ZeptoVM赞助

Partners Wiki IRC