当前位置：文档库 › 网络安全设备主要性能要求和技术指标要求部分汇总

网络安全设备主要性能要求和技术指标要求部分汇总

1网络安全设备主要性能要求和技术指标要求

1.1防火墙

用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下：

1.2入侵检测系统（IDS）

根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。

（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；

（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套；

1.2.1 产品规格及性能指标要求

（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；

（2）能监控的最大TCP并发连接数不小于120万；

（3）能监控的最大HTTP并发连接数不小于80万；

（4）连续工作时间（平均无故障时间）大于8万小时；

（5）吞吐量不小于2Gbps。

（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。

1.2.2 部署和管理功能要求

(1)传感器应采用预定制的软硬件一体化平台；

(2)入侵检测系统管理软件采用多层体系结构；

(3)组件支持高可用性配置结构，支持事件收集器一级的双机热备；

(4)各组件支持集中式部署和大型分布式部署；

(5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性；

(6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式；

(7)支持以拓扑图形式显示组件之间的连接方式；

(8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别；

(9)支持组件的自动发现；

(10)支持NAT方式下的组件部署；

(11)支持IPv6下一代通信网络协议的部署和检测。

1.2.3 检测能力要求

(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用；

(2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度；

(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力；

(4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。

(5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等；

(6)产品应具备IP碎片重组与TCP流重组功能；

(7)产品应具备抗编码变形逃避的能力；

(8)产品应具备抵抗事件风暴和欺骗识别的能力；

(9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击；

(10)支持网络活动审计功能；

(11)支持主动识别目标主机的操作系统；

(12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连接实现阻断；

(13)传感器具备多端口智能关联和分析技术；以及对非对称路由网络结构的检测能力，使得IDS系统能够适应复杂的高可用性网络。

1.2.4 系统升级能力要求

(1)支持在线升级签名库，在线升级的通讯过程采用加密方式；

(2)支持非在线升级签名库；

(3)如遇突发情况，厂商应提供应急式升级服务；

(4)升级过程中，传感器可以继续工作。

1.2.5 检测策略管理要求

(1)提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户

根据实际情况定制适合企业自身环境的安全策略；

(2)支持对签名库按照多种方式进行分类管理；

(3)每个签名有详尽的中文标注说明；

(4)容易启用/关闭一个或一类的签名；

(5)支持对签名的参数进行调节，以适用不同用户的网络环境；

(6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名；

(7)支持检测策略的导入导出。

1.2.6 攻击响应方式要求

(1)支持显示到控制台；

(2)支持记录到数据库；

(3)支持邮件通知；

(4)支持SNMP trap；

(5)支持syslog响应方式；

(6)支持用户自定义的响应方式；

(7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、Nokia 等）进行联动；

(8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据；

(9)告警事件支持网络管理系统的联动分析管理。

1.2.7 事件的关联和显示要求

(1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭；

(2)支持符合设定条件的一条事件重新命名；

(3)支持将相互关联的一组事件重新命名；

(4)将符合条件的多条事件归并为一条在控制台显示；

(5)支持告警邮件中的事件归并；

(6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件；

(7)支持实时的事件统计功能；

(8)支持设定的条件过滤实时显示的事件；

(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。

1.2.8 事件的存储和管理能力要求

(1)支持的数据库类型包括SQL server等大型关系型数据库；

(2)数据库容量无限制（不考虑硬件限制）；

(3)支持按条件查询提取事件；

(4)支持数据备份；

(5)可显示数据库使用情况；

(6)网络中断的情况下事件可以存储在传感器本地，网络正常后可以回复事件的传送。

1.2.9 报表生成功能要求

(1)支持数据的统计分析、查询和报告生成。

(2)支持深度数据分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分；

(3)提供多种统计模板；

(4)提供多种数据分析模板；

(5)支持生成组件的运行状态统计曲线图；

(6)支持生成以某一时间段为限定条件的事件统计查询报表；

(7)支持生成以某一攻击事件为限定条件的事件统计查询报表；

(8)支持生成以攻击源地址为限定条件的事件统计查询报表；

(9)支持生成以攻击目标地址为限定条件的事件统计查询报表；

(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表；

(11)支持生成以风险级别分类为限定条件的事件统计查询报表；

(12)支持生成以服务分类为限定条件的事件统计查询报表。

1.2.10 用户权限管理

(1)审计员、用户管理员和系统管理员三种用户类型；

(2)支持多管理员同时管理；

(3)支持分级的用户权限设置；

(4)支持管理员权限实时更改

1.2.11 系统的日志和审计功能

(1)有完整的审计日志；

(2)审计日志可以导出；

(3)有详细的组件运行和状态日志；

(4)支持系统日志和审计日志的统计查询；

(5)支持以邮件、snmp trap方式发送系统日志。

1.2.12 入侵检测自身安全指标

(1)应支持使用透明方式进行部署，监听端口支持隐秘模式，无需IP地址和进行网络配置；

(2)各个系统组件之间的通讯应采用加密方式，并采用PKI认证；

(3)IDS系统采用无shell的安全操作系统，除必要通讯端口外无其他端口开放；

(4)支持证书认证机制。

1.2.13 第三方产品集成要求

（1）提供开放数据库的表结构和架构，方便用户使用第三方报表系统生成所需要的报表，或者作进一步的数据分析。

（2）支持Syslog， EMAIL等方式进行报警。

1.3安全网闸

根据系统组建要求，在控制专网、业务内网、业务外网等三网之间通过安全

网闸进行连接，实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处（备调中心），共计7台。

1.3.1 基本要求

(1) 要求为硬件物理隔离，具备硬件物理隔离部件，系统采用“2+1”架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

(2) 采用专用隔离芯片设计，不支持通用通讯协议，不可编程，隔离区包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。

(3) 设备断开内外网网络TCP/IP连接。

(4) 系统带宽：>600Mbps，内部交换带宽>5Gbps。

(5) 接口要求：4个10/100/1000M以太网接口；一个RS232串行控制接口。

(6) 系统性能：并发连接会话数 >20000。

(7) 系统延时：<1ms。

(8) 电源冗余“1+1”。

1.3.2 能力要求

(1)应用支持：全面支持TCP/IP以上应用层协议，包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等，无需二次开发。

(2)文件数据交换方式，交换硬件对外不开放任何服务端口。

(3)以主动查询方式访问内外网的FTP服务器进行文件交换。

(4)访问控制：支持多种方式的访问控制，包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。

(5)WEB保护功能，内置Web ApplicationTM网站保护功能，能够实现以下保护功能：

①对网站目录、文件、动态脚本、WEB service实现访问控制；

②对Cookie实现签名保护；

③对用户输入参数进行过滤；

④对URL串的字符类型、长度、字段等实现过滤；

⑤基于特征库的漏洞扫描；

⑥具有智能的规则学习功能。

(6)上网用户身份认证功能，严格控制上网用户，采用专用VIIE认证客户端浏览网页，用户列表存储在网闸设备上，未经授权的用户和使用普通IE浏览器的用户无法上网。

(7)邮件收发身份认证，严格控制邮件收发，采用专用VIMAIL邮件客户端，对收发邮件的用户实现身份认证，用户列表存储在网闸设备上，未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。

(8)IP/MAC地址绑定，支持4096个以上的IP+MAC绑定的客户端访问控制。

(9)支持单/双向通讯控制，支持单、双向可选的访问控制。

(10)日志与审计支持：

系统可存储和审计包含：①系统日志；②管理日志；③网络活动日志；④入侵报警及处理日志；⑤访问控制日志。

1.3.3 安全可靠及管理要求

(1)高可用性：双机热备功能，无需第三方软件支持内置双机热备功能。

(2)基于应用层协议的连接数控制系统可为特定应用层协议预留连接数资源。

(3) 设备故障检测与报警，要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警，包括通讯故障、硬件故障、软件故障。

(4)系统管理：要求集中设备管理系统，支持PKI安全认证、加密方式的远程管理，支持基于角色管理员分级管理。

(5)图形化网络行为监控：管理平台采用图形化的网络行为监控，可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。

(6)操作系统：采用经过安全加固的Linux操作系统。

1.4WEB应用防火墙

1.4.1 基本架构

产品要求为一体化硬件产品，支持串接或旁路方式部署；

接口要求：网络接口10/100/1000M以太网电口不少于2个；管理接口1个。RS232串口1个。

1.4.2HTTP 请求的过滤功能

(1)可以根据HTTP的请求类型（OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT）允许或者禁止。

(2)支持对HTTP协议头的各部分长度进行设置，防止缓冲区溢出攻击。

(3)支持对所请求的URL中所包含的关键字进行过滤。包括编码类型和特殊字符串，比如SQL关键字和用于测试漏洞的构建的表达式等。

(4)支持对所请求的WEB服务器文件后缀名进行过滤。包括.RAR/.ASP/.JPG 等类型，根据需要可定制过滤。

(5)对返回的敏感信息（安装路径、数据库类型及版本等）、错误信息能进行定义和识别，并过滤，避免暴露给恶意攻击者获取到。

(6)能够支持动态和静态网页。

(7)支持HTTP 各种版本，包括HTTP 0.9/1.0/1.1

(8)支持Cookie 安全设置，支持 v0 和v1类型的Cookie 类型，支持对Cookie 加密，支持设置 Cookie 为HTTP only 模式。

(9)支持多种编码格式，包括16进制、十进制、二进制等，对不同编码的报文能进行识别和转换。

(10)识别和限制HTTP 返回码，包括多种HTTP返回码的识别和限制。

(11)可限制使用HTTP 方法，包括客户端使用的 HTTP 数据传输方法（OPTIONS、GET、POST 、PUT、HEAD、DELETE、TRACE、CONNECT）。

1.4.3安全防护功能

(1)网络层防护功能，管理员能根据需求制定网络层的ACL控制，能对TCP

Flood、HTTP Flood 等DOS 攻击进行防护，应检测不仅仅是针对交换机的ARP 欺骗、ARP Flood 攻击，并能进行防护。

(2)Web 服务器防护功能，可以实现对主流的Web服务器漏洞进行防护，例如IIS/Apache/Resin/Weblogic；并实现对主流的脚本语言软件进行防护，例如https://www.wendangku.net/doc/0c14921864.html,/Java/PHP。

(3)Web 应用的防护功能，应具备URL访问控制功能，可对指定的网页进行访问控制，应具备SQL注入攻击防护功能，应具备跨站脚本攻击防护功能。

(4) 应具备盗链防护功能。自动识别盗链行为，并根据配置的动作（包括接受、阻断、转发等）进行响应。

(5)应具备扫描防护功能，应识别扫描行为阻断扫描工具的探测。

(6) 应具备爬虫防护功能，识别爬虫行为并根据需求进行相应的动作（接受、阻止等）。

(7) 应具备CSRF防护功能，应能支持对自选的URL配置防护CSRF攻击。

(8)具备对敏感信息或非法内容设置自定义关键字过滤。

(9) 应具备对网页木马检测和过滤功能。

1.4.4产品管理及审计功能

(1)规则库管理

用户能添加、删除、修改自定义规则。

具有内置的预设模板。

(2) 审计日志

a) 审应包括所有被过滤的事件。

b) 每个事件发生的日期、时间，对方IP 地址，所请求的URL，所匹配的规则。

c) 记录对网页访问次数。

(3) 日志管理功能

应提供对审计事件的清空、备份、查询功能。

(4) 可理解的格式

所有审计事件应包括时间、客户端类型、所请求的资源和参数、访问的方法

等。

(5) 防止审计数据丢失

审计数据应定期备份，并严格控制访问权限。

(6) 用户角色管理功能

系统应具有三种角色，分别为：管理员、审计员和普通用户，分别具有不同用户管理权限。

1.5漏洞扫描产品

部署在业务内网的XX干线及穿黄现地站管理处（备调中心），共计2套。投标人需提供所安装的硬件服务器，其性能不低于本章第六节“服务器主要性能要求和技术指标要求”中的要求。

1.5.1 基本要求

（1）投标人需明确产品架构，并能支持多级架构的灵活部署。

（2）发现网络设备和主机系统的安全漏洞，并提供安全解决建议；对全网网元进行安全配置基准检查。

（3）产品应可灵活调整物理和网络位置，对网络设备进行扫描。扫描结束后生成详细的安全评估报告。

（4）可以并行地检查多个被评估的系统，能够提供扫描策略定制，可以保证扫描的安全性，不影响应用系统和网络业务的正常运行。

（5）产品应界面友好，所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。

（6）产品具有无限IP漏洞扫描能力，并提供相应许可。

1.5.2 产品部署要求

（1）支持多个或多级产品的统一管控。

（2）支持控制中心的多级部署。

（3）支持策略的统一制定和分发，应提供可编辑的策略模板。

（4）支持对全网扫描结果的集中查询、分析。

1.5.3 漏洞扫描能力要求

（1）产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。投标人需给出各类扫描信息的详细列表。

（2）产品应支持对扫描对象安全脆弱性的全面检查，如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。

（3）产品漏洞库应涵盖目前的安全漏洞和攻击特征，漏洞库具备CNCVE、CVE和BUGTRAQ编号。

（4）应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。

（5）支持SNMP等协议的漏洞检测。投标人需提供支持扫描的网络设备厂商IOS列表。

（6）支持主流数据库的检测，应包括但不限于：Oralce、Sybase、SQLServer、DB2等。

（7）支持Windows域环境扫描，可针对目标主机的系统配置缺陷及漏洞进行扫描。

（8）支持多主机、多线程扫描和断点续扫功能。

（9）支持动态的显示扫描结果和实时的查看扫描结果

（10）产品应能提供扫描IP范围的管理功能。

（11）投标人需说明产品授权方式，产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。

1.5.4 报表能力

（1）报告应具有易懂的漏洞描述和详尽的安全修补方案建议，并提供相关的技术站点以供管理员参考。

（2）应可根据角色需求产生灵活的报告格式，支持用户自定义报表和预定义报表；产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息。

（3）扫描报告应可对安全的威胁程度分级，并能够形成风险趋势分析报表和主机间风险对比分析报告。

（4）报表具备导出功能，可以导出不同格式的报表，如Excel、Word等。

1.5.5 扫描策略配置

（1）产品要求提供多种缺省扫描策略，并可按照特定的需求，灵活制定目标对象或目标群组，可以同时应用不同扫描策略，并允许自定义扫描策略和扫描参数。

（2）支持单机扫描、分组扫描和全部扫描的设置。

（3）支持自动定时扫描和多种计划扫描任务管理功能，可按照指定的时间、对象自动扫描，并自动生成报告。

1.5.6 升级、管理

（1）系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。

（2）支持分级、分权管理，能够对不同管理员账号或角色灵活分配扫描任务。

（3）支持策略集中分发。

（4）支持用户的操作审计。

1.6防DDoS攻击系统

部署在业务外网的XX干线公司节点，共1套。

1.6.1 设备功能要求

投标人应对能够清洗的所有DDoS攻击提供详细列表，并详细说明对应用的控制手段及实现方式。包含但不限于：支持对欺骗与非欺骗的TCP (SYN，SYN-ACK， ACK， FIN， fragments) 、UDP (random port floods， fragments)、ICMP (unreachable， echo， fragments)、(M)Stream Flood及混合类型攻击的防护。对不能清洗的DDoS攻击提供详细说明，并说明能够提供哪些监视和控制手段。

投标人须给出针对每种攻击的防护要求，例如防护方式是流量限制还是过滤，不对相应的正常用户流量造成影响等。

支持特定应用层攻击产品，提供支持的攻击类型列表，并详述其防护原理。

支持对BGP attacks的攻击防护。

系统支持对MPLS VPN ， GRE Tunnel 等复杂环境提供DDOS保护。

支持按需保护，能为多个用户服务，能同时保护多个用户，而且DDOS防护设备的放置地点灵活，通过动态的方式牵引清洗DDOS流量。设备支持对用户进行分组防护，不同防护群组可以定义不同的防护策略。

支持冗余设计，投标人应详细说明防止设备故障中断的工作方式和原理。冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。

产品须具备多台设备旁路集群部署的能力，支持在大攻击流量发生时手动或自动启动集群，保证整个系统可用性；产品支持基于负载均衡的旁路集群模式，并详述其原理。

整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。投标人需详细说明DDOS防护动态设计原理。

系统设计支持BGP＋三层策略路由、MPLS VPN核心网络应用与GRE Tunnel 注入，支持MPLS转移/VRF注入。在MPLS核心中，可以使用一个独立的VRF将注入流量从清洁中心传回目标。投标人需详细说明原理。

投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理，包括过滤，反欺骗，异常识别，协议分析，速率限制等尽可能多的方式方法。

投标人需明确说明攻击检测和保护的响应时间。

系统应支持远程在线更新，系统能够进行策略库远程升级。

使用独立的10/100/1000Mb/s端口作为其管理端口，此管理端口上联到本地IP网设备，实现流量清洗设备与管理服务器之间的IP连接；

投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型（电口或光口）、数量等。

支持交流供电方式。

1.6.2 设备性能要求

投标人须列出单台流量清洗设备或板卡的处理能力，在GRE隧道封装，802.1q，UDP fragment flooding等情况下的性能指标的影响程度。

投标人须列出在SYN 泛洪，ICMP ping泛洪，UDP泛洪，DNS 请求泛洪，TCP 分段泛洪，UDP 分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包，处理速度定义：各种数据包完成判别后转发性能，每秒能处理数据包的数量)。

投标人须说明单台设备对不同类型攻击的处理能力；

投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。

1.6.3 设备管理要求

设备的安全特性与配置管理方式支持命令行方式以及Web图形化管理软件两种方式，无需安装专门的客户端管理系统；

系统的远程接入支持通过https和SSH 等加密方式实现，保证登陆密码以加密方式在网络中传递；

系统具备统一管理平台，在集群部署时支持对多台设备的集中管理，日志收集，运行状态监控，策略下发；

系统应支持攻击日志和网络攻击统计功能，须具备各类DDoS攻击详细记录的能力。

1.7流量控制系统

要求为独立的物理硬件设备，部署在业务外网XX干线公司，共计1台。

（1）流量洞察

）流量监控

能实时展示设备及链路的每10分钟、每小时、每天、每周及每月的流量走势图；

能实时展示本日或预定时间内各应用/用户流量及用户并发连接数的Top N 排名；

能实时展示本日设备、指定链路和通道的流量走势、各级通道/应用/用户的Top N流量排名；

能实时展示当前在线用户的IP五元组详细信息、上传/下载流量及并发连接数

2）流量查询

支持可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量（2）流量限制

）应用封堵

支持对用户的指定应用进行封堵；

支持对用户去往某（些）服务器的指定应用进行封堵

）流量限速

支持在基于特定时间、VLAN、用户、应用，把上传/下载速率限定在指定范围内；

）流量限额

支持通过一条策略即可实现在预定时间周期为每个用户的应用设定相同的流量限额值；

支持在预定时间周期对从源用户（组）去往目的用户（组）的应用总体流量设定限额值。

）连接控制

支持通过一条策略即可实现对每个用户设置相同的并发连接数和新建连接速度；

支持对从源用户（组）去往目的用户（组）的应用进行总体并发连接数和新

建连接速度控制

（3）流量保障

支持通过设定带宽保证值，可以保证关键应用在任何时刻最少所能获得的带宽资源；

支持带宽预留，使关键应用在任何时刻都独享该专线的全部带宽资源

支持根据用户数量的动态变化，实现基于内网/外网用户的带宽平均分配，保证用户间动态、公平地共享全部带宽资源

（4）流量分析

1）流量统计

支持对指定日期、时间的各应用、用户或通道的上传/下载/总流量及用户数量进行统计；支持递进式查收和多维关联分析

2）流量报告

支持输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠加走势图。

1.8防毒网关

1.8.1 硬件指标要求

（1）设备应支持机架式安装，支持具有双冗余电源。保证自身性能稳定性。

（2）支持复杂网络环境，TRUNK环境支持，保证能够在TRUNK环境下扫描病毒并进行Web管理；双机热备环境支持，保证能够部署在双机热备设备的前后。

（3）支持串行部署模式，对网络中的客户和服务透明，无需重新配置DNS 或重新路由网络数据流。默认提供初始IP管理地址，无需初始化设置。支持添加静态路由，保证能够跨网段对进行管理；

（4）支持10/100/1000M自适应,全双工,半双工模式，和手动模式。支持软硬件故障情况下的BYPASS功能，不能影响正常业务流量。

（5）支持系统的快速自动修复系统，当系统出现故障能够快速还原；自动恢复系统一旦发现硬件损害，将从一个正常的备份分区启动，同时会恢复被损坏的分区。

1.8.2 性能指标要求

SMTP扫描性能:要求 >= 700封/秒。

HTTP吞吐性能:要求 >= 700 Mbps。

用户数支持数量: 要求 >= 2500用户。

1.8.3 管理功能指标

（1）支持加密HTTPS方式进行管理。须具有中文、英文操作管理界面。

（2）支持集中管理（设备集中监控管理与策略统一配置）；支持多台设备集中监控（监控设备运行状态、防护状态、连接状态和系统事件的图形化显示）。

在Web管理界面提供高级诊断工具：Ping/Traceroute/DNS解析/显示系统网络状态/数据包抓包等辅助排查工具。

支持SOC厂商的数据接口；

可以提供相关多项报表。

（3）支持：-手动导入/导出配置。

必须支持分权限管理，可配置多账号并授予不同权限。

根据用户概况制定不同的配置策略，允许用户基于一个或者多个预定义策略进行个性化的界定和配置：支持LDAP用户组、支持树结构/个人LDAP用户/IP 地址/组/源和目的地IP地址等要素识别。

（4）具备隔离区功能，支持隔离区空间管理：可以实时显示隔离区的剩余空间；隔离区内容处理：可以观察隔离区的内容，以及可供选择的处理方式：删除和恢复、重定向邮件、扫描恶意软件项目，发送可疑或者未知项目至熊猫、下载这些内容和将他们从移出隔离区。

（5）实时显示网卡流量，活动连接，已建连接，连接成功率，CPU占用率等系统负载情况。

以曲线、饼图等多种方示显示病毒、垃圾邮件和内容过滤的查杀拦截情况，同时可以根据协议、任意时间段、恶意程序类型等进行分类查询。根据不同的检索条件，实时显示前十名用户以及前十名病毒列表。

（6）支持恶意软件定义文件，防恶意软件引擎，垃圾邮件定义文件，反垃

圾邮件引擎和Web 过滤的版本在线增量式升级，并且提供每日自动更新。支持离线病毒库更新。支持内核版本在线升级，手动本地升级，始终保持最新软件系统。

（7）用户可以自行编辑警告，支持中文和英文。可以设置警告发送的频率。支持Syslog和SNMP日志发送，同时支持(MIB-II版本)。

（8）能够自动生成多种病毒报告，卖方应详细说明提供设备所支持的病毒报告的种类。

（9）可以随时保存或恢复设备的网络设置和保护设置。

可以导入、导出下列列表：

1）反垃圾邮件白名单；

2）反垃圾邮件黑名单；

3）网络过滤URL白名单；

4）网页过滤URL黑名单；

5）网页过滤排除的用户列表。

1.8.4 病毒处理能力指标

（1）能够检测病毒，蠕虫，木马，间谍软件等威肋和恶意软件，卖方应当详细说明设备支持的检测种类。

（2）须至少支持（但不仅限于）以下常用Internet协议的监测:包括HTTP、FTP、SMTP、POP3等。

（3）须支持非标准端口扫描；

（4）提供防网络钓鱼保护，卖方应当详细说明设备对防钓鱼软件监测防护的实现过程以及技术细节。

（5）具有发式扫描技术，可以检测到隐藏在可执行文件中的未知病毒，保证潜在的危险内容被过滤掉。

（6）支持对常见协议（SMTP、POP3、IMAP、NNTP、HTTP和FTP等）内容过滤，能够阻止危险文件进入网络，减低带宽资源的占用。卖方应当详细说明内容过滤的检查项目。

1.8.5 其他威胁处理能力指标

（1）保证能够如下提供针对邮件内容的过滤规则：

支持对邮件主题、邮件正文和邮件附件名称的内容进行过滤，例如：能否检测出邮件主体内容包含“法轮功”的邮件，并且能够进行删除、报告或重定向处理；

（2）反垃圾邮件功能

能够分析SMTP/POP3/IMAP协议收发的邮件，判定邮件是垃圾邮件，疑似垃圾邮件或正常邮件，可以在屏蔽垃圾邮件。

（3）网页内容过滤，监控和阻断Web 页面的访问，将访问的Web网站自动划分为不同类型，例如：色情、购物、犯罪、武器和交通等。可自定义黑白名单。支持用户排除。显示中文警告页面，同时支持对警告页面进行编辑。

（4）即时通讯软件管理，至少支持（但不仅限于）监控并阻断如下即时通讯软件的连接：MSN Messenger、ICQ/AQL、Skype、IRC等，卖方应当详细说明支持监控管理的软件种类。

（5）P2P下载软件管理：至少支持（但不仅限于）监控并阻断如下P2P下载软件的使用：eDonkey、Bit Torrent等。卖方应当详细说明支持监控管理的软件种类。

1.8.6 高可用性与稳定性指标

（1）具有内置负载均衡功能，在对大量数据进行扫描时必须具备足够的扩展能力同时提升高可用性，内置负载均衡功能可配置为手动和自动模式，可适用于各种网络环境。

（2）支持快速自动修复系统；自动恢复系统一旦发现硬件损害，比如说硬盘或者是主引导记录出现损坏，它将从一个正常的备份分区启动，同时会恢复被损坏的分区。

1.9防病毒系统

1.9.1 基本要求

招标技术要求

第二部分招标内容及要求 1.工程概况 2.招标内容淮北市中泰广场项目空调末端设备采购。 3.设备名称、规格型号、数量，具体内容如下：风机盘管及新风机组汇总表所提供的服务包括货物的供货、运输、指导安装、技术及售后服务等。上述设备型号供参考，投标人可根据技术参数的要求，选择等于或优于本文件要求的产品投标。

4.技术要求 ①完整性：投标人所提供的设备应能满足空调系统等完整性的要求。需要招标人自行解决的设备、附件应在投标文件中列出，否则系统正常运行所缺的设备及附件，均视为免费及时提供。 ②适应性：投标人所提供的设备应能保证在使用地的自然环境、气候条件、公用设施等情况下全天候正常运行。 ③投标人所提供的设备必须是成套的、全新的、功能全的单元，并且必须是代表制造商最高水平的设计，同时应是先进的、工艺精良和高质量的产品。 ④所供设备按国产优质产品标准选用，满足通用性、体积小、互换性好，操作方便等要求。设备的通用性为“设备与使用的系统工程间衔接部件具有通用性，正常使用情况下易磨损或损坏部件应为市场通用的标准配件，如该设备不具备前述情况，在投标文件的货物性能详细说明中应载明”。 ⑤技术标准：符合国家和专业部门相关标准和规范。 ⑥末端设备详细技术要求空调末端主要评价其内部及其配套的主要部件选配情况、技术参数、性能等指标。该部分的调试等工作由投标人负责。 1、关于风机盘管的基本技术要求盘管供水温度7℃，回水温度12℃，盘管工作压力1.6兆帕。性能参数：各风机盘管均要求提供最近一次国家有关部门测试报告。性能差异：各投标单位用表格将招标要求与实际性能一一列出，有差异的应另附性能差异表。 2、空调机组（含新风机组）的基本技术要求 1）形式：组合式空调机组应考虑可分段制造和运输，在现场根据紧固件连接各功能段，实现最终的功能。另外各投标人需考虑对招标文件中所有组合式空调机组现场拼装并就位的费用。 2）使用年限和使用条件连续工作时间：全年工作**（由投标人填写）天，每天连续工作**（由投标

网络安全风险分析4

网络安全风险分析瞄准网络存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述： 1、物理安全风险分析我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：地震、水灾、火灾等环境事故造成整个系统毁灭电源故障造成设备断电以至操作系统引导失败或数据库信息丢失电磁辐射可能造成数据信息被窃取或偷阅不能保证几个不同机密程度网络的物理隔离 2、网络安全风险分析内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。 3、系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。 4、应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。 4.1 公开服务器应用电信省中心负责全省的汇接、网络管理、业务管理和信息服务，所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器，如果没有采取一些访问控制，恶意入侵者就可能利用这些公开服务器存在的安全漏洞（开放的其它协议、端口号等）控制这些服务器，甚至利用公开服务器网络作桥梁入侵到内部局域网，盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的，完成计费、认证等功能，他们的安全性应得到100%的保证。 4.2 病毒传播网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

设备基础工程招标范围及技术要求

索特三坐标设备基础工程招标范围及技术要求一、工程概况 1、工程名称：索特龙门三坐标设备基础工程 2、工程地点：常熟三一产业园一号车间 3、建设单位：索特传动设备有限公司二、招标范围 1、尺寸见地基图纸，按图纸要求施工三、技术要求 1、索特龙门三坐标设备基础，开挖基础之前参考“1、2号厂房地勘报告”，并确定承重能力，需要注意地下管线及排水设施保护。 2、所用预埋件、预埋角钢规格按图纸要求制作。 3、设备基础二次灌浆必须使用无收缩专用灌浆料，地基加固项目施工方自行参考勘探数据实施。 4、基础混泥土全部采用C30 S6抗渗商品混凝土，基础底板压密注浆施工应该按照国家规范施工；基础底板钢筋采用Φ16@150，墙板钢筋采用Φ12@150（详见图纸要求），其他细部钢筋构按规范要求设置。 5、投标人需自行编制工程量清单，报价时需充分考量现场所有不确定因素，建设单位不接受任何情况增加的工程量和工期的索赔；：业主清单仅作参考，施工方应自行根据图纸结合现场实地测算，总价包干。 6、施工所用钢材必须采用国内主流钢厂（宝钢、武钢、莱钢、鞍钢、马钢、沙钢、苏钢、永钢、唐钢、首钢、济钢）国标钢材，以上为商标或厂家简称，优先商标，投标时必须在报价书中注明厂家； 7、甲方未确定品牌的，乙方必须在报价书上明确所报品牌，且所报品牌必须是市场上中等以上的品牌产品，若报价中未明确品牌，甲方在施工过程中将以上等品牌要求施工，且不计差价费用； 8、施工前所有施工材料，需送样品经甲方负责人确认签字后才能进场使用，擅自采用视不合格品处理，且甲方有权对其行为进行相应处罚； 9、每道施工工序必须请甲方负责人进行确认，特别是基槽、钢筋、预埋件等需要隐蔽的工序必须请甲方负责人进行签字确认方可进入下道工序施工，如未经确认且擅自进入下道工序视投工减料行为处理，且甲方有权对其行为进行相应处罚；

网络安全设备主要性能要求和技术指标要求部分汇总

1网络安全设备主要性能要求和技术指标要求 1.1防火墙用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下： 1.2入侵检测系统（IDS）根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套； 1.2.1 产品规格及性能指标要求（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；（2）能监控的最大TCP并发连接数不小于120万；（3）能监控的最大HTTP并发连接数不小于80万；（4）连续工作时间（平均无故障时间）大于8万小时；（5）吞吐量不小于2Gbps。（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持NAT方式下的组件部署； (11)支持IPv6下一代通信网络协议的部署和检测。 1.2.3 检测能力要求

网络安全操作规程

网络安全操作规程 1.目的为加强公司计算机设备及网络，系统数据，研发数据，源代码，信息安全的管理，确保计算机及公司网络系统正常可靠地运行，保证各部门日常工作的顺利开展，特制定计算机网络及信息安全管理规程。 2.范围适用于本公司各部门的计算机，网络设备，办公设备（以下简称IT设备）和数据，信息安全的管理。 3.职责 3.1公司内IT设备维护，系统管理，信息安全管理，网络管理由IT部门统一安排执行管理。 3.2使用者对分配给其使用的IT设备安全和完整性负责，部门负责人对本部门IT设备的安全和完整性负责。部门负责人对部门网络及信息安全负责。 3.3各个部门配合本规定的实施。 4.操作规程 4.1 计算机与网络管理程序 4.1.1 IT设备的领用、采购，回收，维修，更换流程（1）各部门新增招聘计划时，必须提前15天到行政部备案，如果库存的IT设备无法满足申请部门的需求或者库存无货时，就转采购申请。需采购的IT设备必须经IT人员确认配置后方可交由采购部采购。采购回来的设备由物资部交由仓库管理员签收后入库。（2）新入职人员必须接受计算机网络及信息安全管理规程培训，培训合格后才可以申请IT设备。（3）库存IT设备的申领申请人填写IT需求申请表，经IT人员确认核实相关配置。在库存有货的情况下由申请人经各级领导逐级审批，凭审批后的申请表到仓库领取。库存无货转采购流程。（4）回收后的IT设备数据处理为保障公司信息数据安全，对于需要归还的IT设备，使用部门归还前自行备份IT设备数据，归还前清空数据。需归还的设备由归还人员填写归还申请表经IT人员检测配置无误后，由归还人员将IT设备搬到仓库指定地点。由仓库管理员清点入库签收。（5）IT设备的维修IT设备的报修由申请人直接向IT人员提出，不产生费用且过保的维修事项由IT人员直接维修，对于保修期内的设备由采购人员联系供应商维修。经评估对于可能产生费用且过保的设备维修，由申请人填写IT设备需求申请表，经逐级审批后，方可由IT人员联系供应商进行维修。（6）IT设备的更换必须由当事人提出书面申请（IT需求申请表），经IT人员对原有IT 设备配置检查记录后，由申请人凭（经各级领导逐级审批后的）申请表到仓库管理员处领取更换。原有IT设备回收按照第4.1.1（4）执行。（7）离职员工离职前必须到IT人员处登记，由IT人员对其IT设备配置完整性进行检查，注销个人账户信息等，经确认IT设备完好无损，账户信息完全注销后方可办理其他离职手续。如有it设备损坏的情形将根据实际情况进行登记，由财务人员进行扣款处理后方可办理离职手续。离职员工的IT设备回收按照第4.1.1（4）执行。（8）计算机设备调换必须到it人员处登记信息。IT设备调换前双方自行备份并清空数据。IT人员做好IT资产变更信息。

网络安全重大风险排查总结报告

网络安全重大风险排查总结报告高度重视网络与信息安全工作，确立了“网络与信息安全无小事”的思想理念，专门召开会议部署此项工作，全局迅速行动，开展了严格细致的拉网式自查，保障了各项工作的顺利开展。主要做法是: 一、计算机涉密信息管理情况。我局加强组织领导，强化宣传教育，落实工作责任，加强日常监督检查，将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理，采取专人保管、涉密文件单独存放，严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件，形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了内、外网物理隔离，并按照有关规定落实了保密措施，到目前为止，未发生一起计算机失密、泄密事故。其他非涉密计算机(含笔记本电脑)及网络使用，也严格按照局计算机保密信息系统管理办法落实了有关措施，确保了机关信息安全。二、计算机和网络安全情况。一是网络安全方面。我局严格计算机内、外网分离制度，全局仅有几个科室因工作需要保留外网，其余计算机职能上内网，对于能够上外网的计算机实行专人专管和上网登记制度，并且坚决杜绝计算机磁介质内网外混用的做法，明确了网络安全责任，强化了网络安全工作。二是日常管理方面切实抓好外网、网站和应用软件“五层管理”，确保“涉密计算机不上网，上网计算机不涉密”，严格按照保密要求处理光盘、硬盘、U盘、移动硬

盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全，包括防雷、防火、防盗和电源连接等。二是网络安全，包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等。三是应用安全，包括网站、邮件系统、资源库管理、软件管理等。三、硬件设备使用合理，软件设置规范，设备运行状况良好。我局每台终端机都安装了防病毒软件，系统相关设备的应用一直采取规范化管理，硬件设备的使用符合国家相关产品质量安全规定，单位硬件的运行环境符合要求，打印机配件、色带架等基本使用设备原装产品。防雷地线正常，对于有问题的防雷插座已进行更换，防雷设备运行基本稳定，没有出现过雷击事故。网站系统安全有效，暂未出现任何安全隐患。我局网络系统的组成结构及其配置合理，并符合有关的安全规定。网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的，自安装以来运转基本正常。四、严格管理、规范设备维护。我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育，就网络安全及系统安全的有关知识进行了培训，提高员工计算机技能。同时在全局开展网络安全知识宣传，使全体人员意识到了，计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下，计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面，专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记，并及时处理。对外来维护人员，要求有相关人员陪同，并对其身份和处理情况进行

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

网络安全风险评估报告(线路)

XXXXXX工程安全风险评估报告 Ⅰ.评估说明一．通信网络安全风险评估概述：为了加强网络安全管理，对于通信网络安全建设我们应当坚持光缆网络工程项目与通信网络安全保障设施同步建设，并与主体工程同步进行验收和投入运行；光缆网络工程的具体施工作业在制定技术方案时必须落实网络安全防护和技术保障措施；光缆网络工程施工作业必须严格执行工程建设标准强制性条文，满足网络安全要求等等基本原则。通信网络安全风险评估为建设项目安全验收提供科学依据，对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施及后期整改建议。二．通信网络安全风险评估技术标准依据： 1.YD/T 1742-2008 《接入网安全防护要求》 2.YD/T 1743-2008 《接入网安全防护检测要求》 3.YD/T 1744-2008 《传送网安全防护要求》 4.YD/T 1745-2008 《传送网安全防护检测要求》

三．通信网络安全风险评估目的、容及围： 1.评估目的与容 1）通信网络安全风险评估的目的通信网络安全风险评估是按照《通信网络安全防护管理方法》（工信部令第11号）第六条的要求，落实网络安全保障设施与主体工程同步建设、同步验收、同步投入使用及网络信息安全考核相关要求，在落实工程建设网络安全“三同步”工作时，按照下发的实施细则，确保网络安全“三同步”相关要求落到实处。为建设项目安全验收提供科学依据，对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施，以利于提高建设项目本质安全程度，满足安全生产要求。 2）通信网络安全风险评估容检查建设项目中安全设施是否已与主体工程同时设计、同时施工、同时交付生产和使用；评价建设项目及与之配套的安全设施是否符合国家、行业有关安全生产的法规、规定和技术标准；从整体上评价建设项目的运行状态和安全管理是否正常、安全、可靠。 2.评估围根据本项目（线路部分）服务合同书的规定容，经与建设单位商定：对通信施工当中的光缆线路防强电、光缆线路防雷、光缆线路防机械损伤、光缆线路防潮、光缆线路防鼠害、防飞禽等的安全风险评估。

自动化招标技术要求

郴电国际宜章分公司太平里、天塘、四矿35KV 变电站综合自动化系统及通讯系统电气设备采购招标文件（技术部分）二〇一〇年九月

第1 章总则 1.1变电站概况此次招标变电站设备计划安装于太平里、天塘、四矿3 座35KV变电站，概况如下：太平里变电站，主变为两卷变两台，容量4000KVA，3 回35KV线路，16 回10KV 线路，2台电容器，1 台10KV母联，所用变2 台；天塘变电站，主变为两卷变两台，容量4000KVA，3 回35KV线路，16回10KV线路，2台电容器，1 台10KV母联，所用变2 台；四矿变电站，主变为两卷变两台，容量6300KVA，3回35KV线路，18 回6.3KV 线路，2台电容器，1 台6.3KV 母联，所用变2 台。变电站按“无人值班” （少人值守）原则设计，采用计算机监控系统。投标单位要仔细阅读本文件及设计单位提供的保护配置图、主接线图，供货设备不能低于设计单位要求，如果改变应征得业主及设计单位同意。 1.2标准与工艺 1.2.1招标文件中采用的技术标准名称和编写代号：机构名称缩写中华人民共和国国家标准GB 中华人民共和国电力行业标准DL 国际电工委员会IEC 国际标准化组织IS0 原水电部标准SD 卖方采用的标准应不低于中华人民共和国国家标准及电力行业标准和原水电部标准。国外合作厂家采用的标准应不低于上表所列的国际标准或相关所在国的国家标准。 1.2.2选用的标准，应是在招标书发出前已颁布的最新版本，若标准之间出现矛盾时，以较高要求为准。本招标文件中的技术标准及要求，与国标及有关部标不一致的，以较高的技术要求为准。 1.2.3若投标单位采用上述以外的标准时，须在投标文件中说明，并征得买方同意后方能使用。

常见网络安全设备

Web应用防火墙（WAF）为什么需要WAF？ WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。什么是WAF？ WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面，在用户请求到达Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。与传统防火墙的区别 WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。入侵检测系统（IDS）什么是IDS？ IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；这些位置通常是：服务器区域的交换机上； Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据。主要任务主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；

设备招标技术要求

以下所有设备在满足技术要求的同时必须满足“设备采购的总体要求” “设备采购的总体要求” 1、设备的功能要求（1）要求本设备采用的微机应用软件成熟可靠，具有安全良好的自我诊断与自我恢复功能；并能在设备出现故障时使操作者明确故障的原因，同时指导操作者排除故障；（（（（（（（能要求，还包括电源插座、与外部的连接线以及其他附属连接设备等。（9）提供的产品必须是经过省、市级以上计量局计量的产品。 2、设备可靠性、可操作性、可维护性要求投标方必须在投标文件中详细说明所投设备的可靠性、可操作性、可维护性情况。（1）要求有严谨、科学的人机工程设计，安全有效的保证整机的可靠性、稳定性；采用全中文操作界面，有帮助文件；（2）要求设计先进、技术成熟可靠、设备占地面积小、测试精度高；

（3）要求选用的微机性能优越、配置可靠，操作使用时能够迅速完成运算；（4）要求节省能源，维护和使用成本低，力求免维护，外形美观大方；（5）要求安全性高，必须为全新制造，使用寿命在10年以上，外购机电产品必须是先进、可靠的标准化系列产品；（6）电气相关产品必须有CCC认证。 3、设备主要部件的工艺、材料要求投标方必须在投标文件中详细说明设备的制造工艺、选用材料情况。 3.1 （1 （2 （3 （4 3.2 （1 （2 （3 （4 （5 4 （1）必须包含提供设备在使用和维修过程中所需要的全部辅助设备和设备维修工具；（2）必须说明设备中使用的各种润滑脂、润滑油的牌号（包括可以代替的牌号）以及生产厂家或代理销售商以及其销售情况；（3）必须说明使用的软件的名称与版本，必须永久免费提供软件的升级最新版；（4）必须提供整套详细的计算机程序（包括客户使用程序、修改程序、编写程序和编译程序等）；（5）设计时，必须考虑与系统其他接口，供货商必须全权无条件负责设备的安装、调试。

信息安全管理制度-网络安全设备配置规范1.doc

信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？

1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试） 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为：

?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255） ?保留地址（224.0.0.0）

网络安全风险评估报告范文

网络安全风险评估报告范文【IT168 评论】组织不必花费太多时间评估网络安全情况，以了解自身业务安全。因为无论组织的规模多大，在这种环境下都面临着巨大的风险。但是，知道风险有多大吗? 关注中小企业网络 ___多年来一直针对大型企业进行网络攻击，这导致许多中小企业认为他们在某种程度上是免疫的。但是情况并非如此。其实中小企业面临着更大的风险，因为黑客知道许多公司缺乏安全基础设施来抵御攻击。根据调研机构的调查，目前43%的网络攻击是针对中小企业的。尽管如此，只有14%的中小企业将其网络风险、漏洞和攻击的能力评估为“高效”。最可怕的是，有60%的小企业在网络攻击发生后的六个月内被迫关闭。换句话说，如果是一家财富500强公司或美国的家族企业，网络威胁并不能造成这么大的损失，并且这些公司将会制定计划来保护自己免遭代价昂贵的攻击。

以下是一些可帮助评估组织的整体风险水平的提示： 1.识别威胁在评估风险时，第一步是识别威胁。每个组织都面临着自己的一系列独特威胁，但一些最常见的威胁包括： ●恶意软件和勒索软件攻击 ●未经授权的访问 ●授权用户滥用信息 ●无意的人为错误 ●由于备份流程不佳导致数据丢失 ●数据泄漏识别面临的威胁将使组织能够了解薄弱环节，并制定应急计划。

2.利用评估工具组织不必独自去做任何事情。根据目前正在使用的解决方案和系统，市场上有许多评估工具和测试可以帮助组织了解正在发生的事情。微软安全评估和规划工具包就是一个例子。组织会看到“解决方案加速器”，它们基本上是基于场景的指南，可帮助IT专业人员处理与其当前基础设施相关的风险和威胁。利用评估工具可以帮助组织在相当混乱和分散的环境中找到清晰的信息。 3.确定风险等级了解组织面临的威胁是一回事，但某些威胁比其他威胁更危险。为了描绘出威胁的精确图像，重要的是要指定风险级别。低影响风险对组织的未来影响微乎其微或不存在。中等影响风险具有破坏性，但可以通过正确的步骤恢复。高影响的风险是巨大的，可能会对组织产生永久性的影响。

招投标技术标准和要求专用部分

第九章技术标准和要求专用部分

技术标准和要求专用部分 1. 现场条件和周围环境 1.1现场的具体地理位置如下：东至：西至：南至：北至： 1.3 施工现场临时供水管径：满足施工要求。施工现场临时供电容量（变压器输出功率）：满足施工要求。 1.4 招标人提供的现场条件和周围环境的其他资料和信息数据如下（也可以附表的形式表现）：图纸状态：图纸已具备；现场状态：具备开工条件。 2. 承包（招标）范围 2.1. 本招标工程承包人自行施工的工程范围：注释：此处主要描述项目承包范围。应由造价咨询公司或工程预算部予以体现，且要描述的与图纸描述的一致，保证工程的完整性。为将来竣工结算时少给建设单位留下罗乱 5、工期要求 5.1. 定额工期 5.1. 本招标工程的定额工期为日历天。 5.2. 要求工期 5.2.1 对于本招标工程，招标人要求的工期（含区段工期）如下：日历天注释：此处应与定额工期相等，若招标人实在想抓紧工期，可以0.7*定额工期。但这样做的弊端是相应的措施费应予以增加，且1.0-0.7间，越靠近0.7，措施费增加越多，详见2010版工期定额 5.3. 计划开工和计划竣工日期 5.3.1 本招标工程计划开工日期：年月日 6. 质量要求 6.2.1 招标人对本招标工程质量方面的特殊要求如下：无

7. 安全文明施工措施及要求 7.2 本招标工程关于安全文明施工措施的具体要求及措施项目内容如下（也可以附表的形式表现）：本招标工程关于安全防护、文明施工措施的具体要求及措施项目内容如下：建筑工程安全防护、文明施工措施费用是按照国家现行的建筑施工安全、施工现场环境与卫生标准和有关规定及《北京市建设工程施工现场安全防护、场容卫生、环境保护及保卫消防标准》和《北京市建设工程施工现场生活区设置和管理标准》，购置和更新施工安全防护用具及设施、改善安全生产条件和作业环境所需要的费用。为贯彻《建筑工程安全防护、文明施工措施费用及使用管理规定》京建施 [2005]802号”的要求，施工组织设计中应当包括安全防护、文明施工具体措施。投标人根据本招标文件中关于安全防护、文明施工措施要求及措施项目内容，依据现行标准规范，结合工程特点、工程场地、周围环境、工期进度和作业环境要求，在施工组织设计文件中制定相应的安全防护、文明施工的具体措施。投标总价中应当包括安全防护、文明施工措施费,投标人将安全防护、文明施工措施费在措施项目清单中单独列项。若措施项目清单中列项未全投标人可自行补充,安全防护、文明施工措施费不得低于[2005]802号及京造定[2009]4号文规定的费率。投标人必须响应上述要求，在其投标文件中制定具体措施，并将落实有关措施必须发生的费用计入投标价格中，不允许以任何理由不报价，上述费用不得作为让利因素参与竞标。 8. 适用规范 8.1.3 适用于本招标工程的主要设计和施工验收规范名录如下：混凝土结构工程施工及验收规范等国家及北京市其它现行规范、规程、标准、规定方法的技术标准和在合同履行过程中新颁布的此类文件均对本工程适用。 8.2.1 适用于本招标工程的特殊技术规范如下：无 9. 技术要求 9.1.1适用于本招标工程的特殊技术要求如下：无 9.2.2 本招标工程施工现场所用砼或砂浆的供应方式为预拌砼 9.2.3 样品的具体要求： /

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

网络安全重大风险排查总结报告

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。根据县委办关于开展网络信息安全考核的通知精神，我镇积极组织落实，对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查，对我镇的网络信息安全建设进行了深刻的剖析，现将自查情况报告如下: 一、成立领导小组为进一步加强网络信息系统安全管理工作，我镇成立了网络信息工作领导小组，由镇长任组长，分管副书记任常务副组长，下设办公室，做到分工明确，责任具体到人，确保网络信息安全工作顺利实施。二、我镇网络安全现状我镇的政府信息化建设，经过不断发展，逐渐由原来的小型局域网发展成为目前的互联互通网络。目前我镇共有电脑29台，采用防火墙对网络进行保护，均安装了杀毒软件对全镇计算机进行病毒防治。三、我镇网络安全管理对我镇内网产生的数据信息进行严格、规范管理，并及时存档备份。此外，我镇在全镇范围内组织相关计算机安全技术培训，并开展有针对性的“网络信息安全”教育及演练，积极参加其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我镇政府信息网络正常运行。

四、网络安全存在的不足及整改措施目前，我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱。二是病毒监控能力有待提高。三是对移动存储介质的使用管理还不够规范。四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。针对目前我镇网络安全方面存在的不足，提出以下几点整改意见: 1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训，强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识，做到早发现，早报告、早处理。 2、加强我镇干部职工在计算机技术、网络技术方面的学习，不断提高干部计算机技术水平。 3、进一步加强对各部门移动存储介质的管理，要求个人移动存储介质与部门移动存储介质分开，部门移动存储介质作为保存部门重要工作材料和内部办公使用，不得将个人移动存储介质与部门移动存储介质混用。 4、加强设备维护，及时更换和维护好故障设备，以免出现重大安全隐患，为我镇网络的稳定运行提供硬件保障。五、对信息安全检查工作的意见和建议随着信息化水平不断提高，人们对网络信息依赖也越来越大，保障网络与信息安全，维护国家安全和社会稳定，已经成为信息化发展中迫切需要解决的问题，由于我镇网络信息方面专业人才不足，对信息安全技术了解还

变配电设备招投标技术要求

变配电室设备技术要求

修订记录 1 高低压配电柜 1.1使用环境条件： 1.1.1 环境温度：-10℃— +40℃ 1.1.2 相对湿度：日平均值≤95%，月平均值≤90% 1.1.3 环境条件：户，无明显尘埃和腐蚀性气体1.1.4 抗地震能力：7级烈度 1.2防护等级：IP4X。 1.3货物壳体表面处理和颜色：

计算机灰（或由需求部门确定），并且由生产厂具备的自动喷塑生产流水线进行表面喷塑，以保证表面涂覆的可靠质量。 1.4标准的适用和执行： (1)GB3906-2006《3~35KV户交流高压开关设备》 (2)DL404-2007《户交流高压开关柜订货技术条件》 (3)GB311.1-2012和GB311.2~311.6-2012《高电压试验技术》 (4)GB863《交流高压电器在长期工作时的发热》 (5)SD201《交流高压隔离开关的技术条件》 (6)SD318-89《高压开关柜闭锁装置技术条件》 (7)GB2706《交流高压电器动热稳定试验方法》 (8)DL403-2000《10~35户高压真空断路器订货技术条件》 (9)SDJ5-85《高压配电装置设计技术规程》 (10)GB763《交流高压电器在长时间工作时的发热》 (11)GB7251.1-2013 《低压成套开关设备和控制设备》 (12)GB762-2002 《电气设备额定电流》 (13)IEC157-1 《低压开关设备及控制设备》 (14)IEC229-1A 《短路保护并列设备》

(15)IEC60439 《低压成套开关设备和控制设备》 (16)GB4942.4-93 《低压电气外壳防护等级》 (17)GB/T24274-2009 《低压抽出式成套开关设备》 (18)GB1208-2006 《电流互感器》 (19)IEC-185 《电流互感器》 (20)GB3983.1-89 《低电压并联电容器》 (21)GB91667-88 《低压成套开关设备基本试验方法》 (22)GB50150-2016 《电气装置安装工程电缆线路施工及验收标准》 (23)GB50171-2012 《电气装置安装工程盘柜及二次回路接线施工及验收规》 (24)GB50303-2015 《建筑电气工程施工质量验收规》 1.5 铭牌：每台开关柜、每段母线桥均应配备铭牌，铭牌要铆固固定在明显易见的外壳表面上。铭牌上标记的容：（1）产品名称、型号规格（2）制造厂商名称和商标（3）制造年、月和出厂日期

空调招标技术要求

空调招标技术要求 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

附件1：技术标准与要求 1.技术规范 1.1.适用于本工程的国家、地方或行业规范除非合同文件另有约定，本工程适用国家现行规范、规程和标准，以及本市或行业规范、规程和标准。包括设计图纸和其他设计文件中的有关文字说明，新技术、新工艺和新材料相应使用说明或操作说明等内容，以及国外同类标准的内容等。构成合同文件的任何内容与国家现行规范、规程和标准之间出现矛盾，乙方应书面要求甲方予以澄清，除非甲方有特别指令，乙方应按照其中要求最严格的标准执行。材料、施工工艺和本工程都应依照本技术标准和要求以及国家现行规范、规程和标准的最新版本执行。 1.2.适用于本工程的特殊技术规范如下： 2. 2.1.设计参数及优化设计 2.1.1.设备需满足设计图纸相关设计参数要求：。 2.1.2.乙方应根据甲方提供的图纸资料、技术要求及有关规范和规定，对本项目空调系统进行二次设计、选用适当的型号，以确保符合甲方的使用要求。并提

供满足招标文件和施工图纸所要求的空调设备表、用电负荷表、主要设备材料表等施工设计资料。 2.1. 3.本空调系统为冷、暖系统，夏季制冷、冬季供暖。乙方应根据平面图、制冷量要求并结合各自产品的特点进行系统深化设计。 2.2.安装、调试及试运行 2.2.1.乙方应按甲方通知的日期到现场进行安装、调试。合同签订后乙方的项目代表，负责协调乙方在工程全过程的各项工作，如图纸确认、包装、发运、现场安装、调试验收等。 2.2.2.合同签订后15日内,结合施工图、精装修图设计进行中央空调系统深化设计，并将深化设计图纸报工程主体设计院审批确认，并汇入设计院图纸，作为设计的一部分，图纸须盖有设计院图签。 2.2. 3.安装开始前，所有有关图纸及技术协议必须提供完整，并经甲方确认。机组的安装应严格按批准的图纸进行施工。如有疑问或变更，须经甲方同意。 2.2.4.安装工程的安全技术、环境保护等应按国家及扬州江都市有关现行规定及甲方、监理的要求执行。乙方须服从甲方、监理等有关方面的指挥监督。 2.2.5.安装过程中应严格执行安全保护及消防安全的有关规定。充分考虑到施工及使用人员的安全因素，预防各种意外事故发生。应避免出现尖锐顶角、毛刺、开口等问题。材料应具有阻燃性能、低烟无毒。 2.2.6.安装所使用的各种主要材料、设备、成品或半成品应有出厂合格证或质量鉴定文件；如为进口产品，还应提供报关、清关资料和商检证明文件、原产地证明。 2.2.7.安装前应做好开箱检验的各种准备工作，通知甲方、监理参加，并做好 2.2.8.乙方应负责在现场对设备进行调试和试运行，以检验其设计制作操作性和功能等方面的情况。 2.2.9.系统安装完毕，应在甲方工程师、监理的监督下进行试运行前的测试，以证明其可以进行试运行。 2.3.验收 2.3.1.最终验收将在系统安装调试完毕后，按国家标准及招标文件要求或双方经协商认可的标准进行。应交由权威主管部门进行检验，甲方、监理单位等将参加检验。