1、2005年中國網(wǎng)通集團DCN網(wǎng)絡安全建設工程邊界防護安全產品集成部分技術規(guī)范書 中國網(wǎng)絡通信集團公司中國網(wǎng)通（集團）有限公司2006年2月目錄 TOC o 1-2 h z HYPERLINK l _Toc126037791 1總則 PAGEREF _Toc126037791 h 1 HYPERLINK l _Toc126037792 2賣方技術建議書要求 PAGEREF _Toc126037792 h 2 HYPERLINK l _Toc126037793 2.1建議書的要求 PAGEREF _Toc126037793 h 3 HYPERLINK l _Toc126037794 2.2報價書要

2、求 PAGEREF _Toc126037794 h 4 HYPERLINK l _Toc126037795 3工程描述 PAGEREF _Toc126037795 h 5 HYPERLINK l _Toc126037796 3.1項目背景 PAGEREF _Toc126037796 h 6 HYPERLINK l _Toc126037797 3.2工程建設目標與原則 PAGEREF _Toc126037797 h 6 HYPERLINK l _Toc126037798 3.3工程建設范圍 PAGEREF _Toc126037798 h 7 HYPERLINK l _Toc126037799 4

3、網(wǎng)絡現(xiàn)狀 PAGEREF _Toc126037799 h 7 HYPERLINK l _Toc126037800 4.1集團骨干網(wǎng)同各省邊界現(xiàn)狀 PAGEREF _Toc126037800 h 7 HYPERLINK l _Toc126037801 4.2EDC防護試點省份網(wǎng)絡現(xiàn)狀 PAGEREF _Toc126037801 h 8 HYPERLINK l _Toc126037802 5建議方案 PAGEREF _Toc126037802 h 9 HYPERLINK l _Toc126037803 5.1邊界防護防系統(tǒng)部署 PAGEREF _Toc126037803 h 9 HYPERLINK

4、 l _Toc126037804 5.2邊界防護防火墻部署 PAGEREF _Toc126037804 h 9 HYPERLINK l _Toc126037805 5.3邊界防護IDS部署 PAGEREF _Toc126037805 h 9 HYPERLINK l _Toc126037806 5.4EDC防護試點省安全部署 PAGEREF _Toc126037806 h 9 HYPERLINK l _Toc126037807 5.5設備需求統(tǒng)計 PAGEREF _Toc126037807 h 11 HYPERLINK l _Toc126037808 6設備及軟件技術規(guī)范 PAGEREF _To

5、c126037808 h 12 HYPERLINK l _Toc126037809 6.1總體技術要求 PAGEREF _Toc126037809 h 12 HYPERLINK l _Toc126037810 6.2入侵防護（IPS） PAGEREF _Toc126037810 h 13 HYPERLINK l _Toc126037811 6.3漏洞掃描產品 PAGEREF _Toc126037811 h 16 HYPERLINK l _Toc126037812 6.4防DDOS攻擊設備技術要求 PAGEREF _Toc126037812 h 18 HYPERLINK l _Toc126037

6、813 6.5出口路由器 PAGEREF _Toc126037813 h 19 HYPERLINK l _Toc126037814 6.6三層交換機 PAGEREF _Toc126037814 h 22 HYPERLINK l _Toc126037815 7項目管理 PAGEREF _Toc126037815 h 23 HYPERLINK l _Toc126037816 7.1項目開發(fā)方式與策略 PAGEREF _Toc126037816 h 23 HYPERLINK l _Toc126037817 7.2項目風險分析及控制 PAGEREF _Toc126037817 h 24 HYPERLI

7、NK l _Toc126037818 7.3項目實施計劃 PAGEREF _Toc126037818 h 24 HYPERLINK l _Toc126037819 7.4項目實施控制 PAGEREF _Toc126037819 h 24 HYPERLINK l _Toc126037820 7.5項目實施人員的結構 PAGEREF _Toc126037820 h 24 HYPERLINK l _Toc126037821 8各方職責劃分 PAGEREF _Toc126037821 h 24 HYPERLINK l _Toc126037822 8.1賣方的職責 PAGEREF _Toc1260378

8、22 h 25 HYPERLINK l _Toc126037823 8.2總集成商職責 PAGEREF _Toc126037823 h 25 HYPERLINK l _Toc126037824 8.3服務器、存儲、數(shù)據(jù)庫供應商職責 PAGEREF _Toc126037824 h 26 HYPERLINK l _Toc126037825 8.4買方的職責 PAGEREF _Toc126037825 h 27 HYPERLINK l _Toc126037826 9工程實施 PAGEREF _Toc126037826 h 27 HYPERLINK l _Toc126037827 9.1工程實施計劃

9、PAGEREF _Toc126037827 h 27 HYPERLINK l _Toc126037828 9.2安裝和調試 PAGEREF _Toc126037828 h 27 HYPERLINK l _Toc126037829 9.3試運行及驗收 PAGEREF _Toc126037829 h 28 HYPERLINK l _Toc126037830 9.4原廠保修期 PAGEREF _Toc126037830 h 29 HYPERLINK l _Toc126037831 10技術服務和技術培訓 PAGEREF _Toc126037831 h 29 HYPERLINK l _Toc12603

10、7832 10.1技術服務 PAGEREF _Toc126037832 h 29 HYPERLINK l _Toc126037833 10.2技術培訓 PAGEREF _Toc126037833 h 30 HYPERLINK l _Toc126037834 11技術文件 PAGEREF _Toc126037834 h 31 HYPERLINK l _Toc126037835 12其他 PAGEREF _Toc126037835 h 32 總則1.1本文件為中國網(wǎng)絡通信集團公司（以下簡稱買方）“2005年中國網(wǎng)通集團DCN網(wǎng)絡安全建設工程 邊界防護安全產品集成部分”技術規(guī)范書，供集成商(以下簡稱

11、賣方)編寫建議書和報價之用，建議書的內容格式應符合本規(guī)范書的要求。1.2 本文件中的“本項目”是指2005年中國網(wǎng)通集團DCN網(wǎng)絡整合改造項目 安全系統(tǒng)工程；“本單項工程”是指2005年中國網(wǎng)通集團DCN網(wǎng)絡整合改造項目 安全系統(tǒng)工程 邊界防護安全產品集成部分，即本次招標的范圍。1.3 賣方在建議書中，對本規(guī)范書中所提各項要求能否實現(xiàn)與滿足，應逐項予以說明和答復。賣方亦可根據(jù)自己的產品技術性能具體情況，在建議書中提出建議，并附詳細資料和說明。對本規(guī)范書各條目的應答為“滿足”、“不滿足”、“部分滿足”，不得使用“明白”、“理解”等詞語，在答復中，要求明確滿足的程度，并做出具體、詳細的說明。在回答

12、“滿足”后，其后的任何解釋均不能與“滿足”相沖突，若發(fā)生沖突，則視解釋無效。“不滿足”可以詳細解釋。凡采用“詳見”、“參見”方式說明的，應指明參見文檔中的具體的章節(jié)或頁碼。需要做詳細解釋的內容應盡量放在逐條逐項答復中，若內容太多，可放在指明的附件中。1.4 賣方提供的各項設備和系統(tǒng)的特點、性能應完全符合買方指明的標準，并滿足或高于買方指出的要求。在此文件中沒有說明的條款，但相關國際標準化組織的標準(如ISO、IEEE、ITU-T、ETSI、IMTC、IETF等)及我國國家標準、信息產業(yè)部部頒標準已有建議的系統(tǒng)設備性能和功能，均應滿足標準的最新建議要求。賣方供應設備的技術指標及這些設備構成網(wǎng)絡系

13、統(tǒng)的性能應符合本規(guī)范書的要求。賣方應列出所提供設備和系統(tǒng)的規(guī)范，任何與買方技術規(guī)范書相關條款不同的都應指示出來，并詳細說明原因。1.5若賣方的設備包含自己專用標準，也應在建議書中具體說明，并附上相應的詳細技術資料。1.6 本技術規(guī)范書應視為保證網(wǎng)絡運行所需的最低要求，如有遺漏，賣方應予以補充，否則一旦中標，將認為賣方認同遺漏部分并免費提供。1.7買方保留對本技術規(guī)范書的解釋和修改權。買方修改和增補的內容與本技術規(guī)范書具有同等效力。1.8賣方應對所有提供產品的功能和性能負責，應對按照賣方提出的建議建設方案組建的相關系統(tǒng)功能和性能負責。如因賣方配置或建設方案不合理，而造成所提供的產品或采用其提供產

14、品及建議方案建設的安全系統(tǒng)未能滿足本規(guī)范書要求，賣方應負全部責任。1.9本技術規(guī)范書包括DCN邊界防護和試點省份EDC安全防護所需的IPS、漏洞描、出口路由器、交換機等產品技術規(guī)范以及包含防火墻、IDS等產品實施在內的邊界防護和試點省份EDC安全防護工程規(guī)范。1.10賣方應承諾開放必要的產品接口，配合SOC集成商完成監(jiān)控、采集接口的開發(fā)。1.11賣方所提供的硬件設備應保證是最新生產的設備、軟件產品應是最新版的商用版本，并應對此軟、硬件所涉及的專利、知識產權等法律條款承擔義務，買方對此不承擔任何責任。1.12賣方應在建議書中提供系統(tǒng)、設備的詳細配置，并說明相應的計算方法及依據(jù)。1.13賣方在建議

15、書中應說明對供貨時間、供貨質量控制等的具體安排。1.14 賣方在建議書中應說明給買方提供的技術文件、技術支持、技術服務、人員培訓、廠驗等的范圍和程度。1.15賣方應在建議書中列出提供的書面技術資料詳細清單。1.16規(guī)范書有關內容的澄清(1) 賣方對于規(guī)范書的疑問可以通過書面材料與買方聯(lián)系。在規(guī)定的建議書提交最后期限以前，買方將以書面材料給予答復，有關買方答復材料的復印件也將遞交所有得到技術規(guī)范書的賣方。(2) 在技術談判的各個階段，買方將以書面形式要求賣方對有關問題進行進一步的技術澄清，賣方應以書面資料給予正式應答；所有各階段的技術澄清文件都將作為合同附件。賣方技術建議書要求要求賣方在收到本規(guī)

16、范書之后十天內按買方的要求提供三份建議書、一份電子版文檔（要求以中文OFFICE格式）和兩份密封的報價書（中文）。建議書和報價書的要求如下。建議書的要求賣方所提供的建議書需按順序必須含以下章節(jié)的內容（由于內容的不完整性造成的一切后果由賣方負責）：（1）綜述（2）工程技術規(guī)范書點對點應答（3）詳細設計和實施方案要求針對本文檔中的建議方案進行細化或優(yōu)化，除基本的方案建議內容外，還要包括實施方案等內容。要求實施方案面具備可操作性；方案建議包括但不限于以下內容：a.賣方需結合網(wǎng)通集團DCN骨干網(wǎng)絡同省網(wǎng)的連接結構以及各試點省EDC網(wǎng)絡結構等相關情況，針對建議部署方案進行細化。如有優(yōu)化調整或全新方案，需

17、詳細說明調整原因及調整、細化部分的規(guī)模。請賣方根據(jù)買方的功能和技術要求，提供兩套方案。b.關于漏洞掃描系統(tǒng)，如果在省公司到市公司不進行分級部署，實施漏洞掃描時，省市公司之間的網(wǎng)絡帶寬占用應如何計算？廠家對此給出詳細計算說明。c.技術建議方案應當具有完整性，形成一體化的解決方案。應包括產品或系統(tǒng)運維管理所必需的各類軟、硬件，其中針對建議中涉及到的所有服務器、存儲以及第三方軟件，賣方應給出詳細列表以及性能指標的詳細需求和計算依據(jù)。服務器應詳細列出內存（類型、大小）、CPU（頻率、當前個數(shù)、滿配個數(shù)）、硬盤(大小、類型)、顯示器（類型、尺寸），核心服務器應列出TPCC值或EPS值；對于工作站應詳細列

18、出內存（類型、大?。?、CPU（頻率、個數(shù)）、硬盤(大小、類型)、顯示器（類型、尺寸）、顯示卡類型；磁盤陣列應列出相關配件、大小、類型等；局域網(wǎng)交換機應列出端口數(shù)量、速率等。d.邊界防護產品的部署(位置、方式及管控歸屬)方案建議。e.各類安全產品集中管理、策略制定及分發(fā)建議。f.后期邊界防護及EDC安全防護的發(fā)展建議。g.系統(tǒng)的安全性、可靠性解決方案。h.系統(tǒng)組織連接圖(包括網(wǎng)絡和硬件的拓撲圖以及安裝的相應軟件)。i.系統(tǒng)管理。（4）設備配置詳細說明及設備配置詳細清單（與報價表內容格式及項目相同，不含商務價格）。（5）所推薦設備情況(各種技術指標、接口特性、設備特性、設備安裝方式及物理尺寸、供電

19、方式及耗電量、設備或機架接地要求、重量、溫濕度等環(huán)境要求)，最好能提供設備相關性能指標的測試記錄文檔。（6）系統(tǒng)軟件和購置的第三方軟件的情況（含功能、性能等指標）。（7）安裝設備和材料、備件和工具的數(shù)量清單。（8）買賣雙方責任及分工界面。（9）工程實施計劃a.工程進度表，包括需求分析、供貨、安裝、調測、割接、驗收等工程各環(huán)節(jié)。b.工程實施和服務人員安排。（10）機房場地及環(huán)境準備要求以及在工程實施過程中對買方的其它要求。（11）設備安裝要求及建議，抗震加固措施（12）技術文件（13）買方技術人員和業(yè)務使用人員培訓。（14）驗收及測試安排，設備測試、系統(tǒng)測試的方法和環(huán)境。（15）技術服務的范圍和

20、程度（包括技術服務、支持、保修、軟件升級等）。售后服務安排及質量保證措施（16）賣方須詳細介紹賣方公司的總體情況(包括人員結構、企業(yè)資質等方面)、曾做過的類似項目情況、應用實例以及最終用戶評議。（17）對于中國網(wǎng)通集團DCN安全系統(tǒng)發(fā)展方向的建議報價書要求（1）報價應按照物理位置分開報價。（2）報價應包括設備（軟、硬件）、安裝材料、備件、工具、儀表、技術文件及安裝調測、培訓、技術支持、保修等，并逐條逐項列出。（3）報價應包括設備名稱、型號及配置模塊、數(shù)量等詳細內容。（4）報價以人民幣為單位，應該報設備到現(xiàn)場（買方指定地點）的價格，運輸費單獨列出。（5）報價應按目錄價、折扣價和折扣率分項列清。（

21、6）對于賣方向買方建議采用的業(yè)務和功能，賣方應詳細描述和說明這些業(yè)務和功能并作為可選項提出報價。（7）賣方對本規(guī)范書涉及到的服務器、存儲系統(tǒng)、數(shù)據(jù)庫軟件和微軟產品提出合理的建議配置，并提供詳細的計算依據(jù)。賣方對服務器、存儲系統(tǒng)、數(shù)據(jù)庫軟件和微軟產品單獨進行報價并列出詳細的配置清單供買方獨立采購參考，這部分產品不計入工程總報價。賣方對這部分產品的配置建議和系統(tǒng)集成負有全面責任，賣方須承諾對這部分產品進行集成，并保證整體工程質量。（8）硬件報價要求：硬件部分須報出系統(tǒng)所需的全部設備的價格；（9）軟件報價要求：賣方應提供最新的、成熟的、穩(wěn)定的軟件版本，并注明所提供軟件的版本號，提供詳細的功能清單。（

22、10）軟件報價按以下分類方法:系統(tǒng)軟件報價：包括操作系統(tǒng)（如果硬件平臺采用商用計算機平臺，可包含在硬件報價中）、數(shù)據(jù)庫軟件、工具和組件等。應用軟件：應分為基本功能模塊、可選功能模塊兩個部分。賣方應按模塊提供詳細報價；可選功能模塊指廠家自己定義的可選軟件功能，只計單價不計入合價。（11）賣方應承諾買方在后續(xù)的設備訂貨時，同一類型的軟、硬件設備成交價格至少應不高于本次合同的成交價格。（12）服務報價要求賣方應對下述服務項目進行報價：原廠安裝服務：賣方負責所有設備的安裝。原廠系統(tǒng)調測服務：賣方應負責全部系統(tǒng)調測。（13）培訓賣方就所提供的產品提供原廠技術培訓，分為高級培訓（高級技術人員或管理者）和操

23、作培訓。賣方需就此兩種培訓，列出培訓人員的數(shù)量和費用單價并給出詳細的培訓計劃(包括時間、地點、課程等)。（14）可選報價對于可選軟件、硬件和服務或賣方認為可以推薦給買方選擇的軟件、硬件和服務，可單獨提出其項目和報價，但不計入合價，并提供技術性能及供經濟技術比較所需的資料。工程描述項目背景依據(jù)集團企業(yè)信息化總體規(guī)劃、五統(tǒng)一戰(zhàn)略、上市公司對信息化的需求，集團公司逐漸加大了信息化建設的步伐。根據(jù)集團公司2005年信息化工作的總體目標“確?！?1”項目的完成、提升信息化工作的水平”，中國網(wǎng)通在完成集團門戶二期DCN網(wǎng)絡改造工程之后，啟動了“2005年中國網(wǎng)通集團DCN網(wǎng)絡整合改造項目”，以期為集團企業(yè)

24、信息化系統(tǒng)提供統(tǒng)一、專用、安全、高效、易管理、易維護的多業(yè)務網(wǎng)絡平臺?！?005年中國網(wǎng)通集團DCN網(wǎng)絡整合改造項目”包括網(wǎng)絡系統(tǒng)工程和安全系統(tǒng)工程兩部分，本工程是其中的安全系統(tǒng)工程部分。目前，“2005年中國網(wǎng)通集團DCN網(wǎng)絡整合改造項目網(wǎng)絡系統(tǒng)工程”已經啟動并順利進行，該項目的實施將建成覆蓋全國31省的物理承載網(wǎng)，初步實現(xiàn)DCN骨干網(wǎng)和省網(wǎng)的互通。網(wǎng)絡系統(tǒng)工程的實施為安全系統(tǒng)部署創(chuàng)造了條件，同時也對安全系統(tǒng)工程提出了更加明確的需求。工程建設目標與原則建設目標本工程通過邊界防護的建設，以保護DCN網(wǎng)不同區(qū)域的安全性，防范未授權的訪問，杜絕非法的數(shù)據(jù)包在不同安全區(qū)域之間的傳遞，將攻擊阻擋在安全

25、區(qū)域環(huán)境之外。保證網(wǎng)絡安全狀況的可知和可控，確保DCN骨干網(wǎng)的安全，同時將省DCN網(wǎng)內部的不安全因素控制在較小的范圍內。通過對試點省、市的數(shù)據(jù)中心的安全部署，以實現(xiàn)試點省、市數(shù)據(jù)中心安全的“可知性”，以便后期逐步完善安全體系。建設原則系統(tǒng)建設實現(xiàn)過程中遵從先進性原則、高可靠性原則、開放性原則、安全性原則、可管理性原則、可擴展性、經濟性的原則。（1）先進性原則：采用先進的、開放的系統(tǒng)結構；采用先進的計算機技術；采用先進的現(xiàn)代管理技術，以保證系統(tǒng)的科學性。（2）高可靠性原則：系統(tǒng)的不間斷運行與服務應達到電信級要求，應具有極高可靠性，并采用容錯的設計確保系統(tǒng)的可靠性穩(wěn)定性。（3）開放性原則：構建在完

26、善的系統(tǒng)平臺基礎上，考慮升級和個性化服務。遵循開放性和標準化基本原則，所選用的硬件設備、軟件等必須遵循相應的國際標準，保證系統(tǒng)具有互操作性和開放性。各系統(tǒng)之間采用優(yōu)化的原則，使各系統(tǒng)之間更好地配合，達到最佳的應用效果。（4）安全性原則：在系統(tǒng)建設時通過安全技術保證網(wǎng)絡的安全性、數(shù)據(jù)的安全性、用戶訪問的安全性，在技術保障的同時，從管理層面加強安全性管理。（5）可管理性原則：采用集中式的管理可以節(jié)約資金、人力的投入，為用戶提供更大的自由發(fā)揮的空間，同時也使管理變得簡單，有利于在出現(xiàn)問題時，能夠用最短的時間檢查出問題并及時解決。（6）可擴展性原則：產品或系統(tǒng)應具有很好的升級能力，以適應科學技術高速發(fā)

27、展的需要。在必要時采用新的技術和設備對整個系統(tǒng)進行升級，滿足應用系統(tǒng)不斷增長的需要。（7）經濟性原則: 采取有效的措施和實施方案合理利用投資、規(guī)避投資風險。工程建設范圍本項目包括對在其他工程中購置百兆/千兆防火墻、百兆/千兆IDS設備以及本項目采購的千兆IPS、出口路由器、三層交換機、防DDOS攻擊設備的總體集成。本項目采購的產品主要解決網(wǎng)通集團DCN骨干網(wǎng)絡同各省主用DCN網(wǎng)絡的邊界防護，以及遼寧、山東、內蒙和天津四個試點省、市的企業(yè)數(shù)據(jù)中心的安全防護。主要建設內容如下。（1）邊界防護：在網(wǎng)通集團DCN骨干網(wǎng)絡同各省主用DCN網(wǎng)絡邊界部署IDS設備。在網(wǎng)通集團DCN骨干網(wǎng)絡同各省（內蒙、南方

28、21省）主用DCN網(wǎng)絡邊界部署防火墻設備。（2）數(shù)據(jù)中心防護：遼寧、山東、天津等三個EDC防護試點省、市企業(yè)數(shù)據(jù)中心部署IDS設備,內蒙古的企業(yè)數(shù)據(jù)中心部署IDS、VPN互訪控制防火墻、業(yè)務出、入口及員工互聯(lián)網(wǎng)訪問出口所需的路由器、交換機、防火墻及防DDOS設備。（3）北京、天津、河北、河南、山東、山西、黑龍江、吉林、遼寧、內蒙古及集團總部各部署1套漏洞掃描系統(tǒng)。網(wǎng)絡現(xiàn)狀集團骨干網(wǎng)同各省邊界現(xiàn)狀網(wǎng)通集團DCN骨干網(wǎng)絡同各省主用DCN網(wǎng)絡連接結構如下：圖4-1DCN骨干網(wǎng)絡同各省主用DCN網(wǎng)絡連接結構目前,DCN骨干網(wǎng)已經開通MPLS VPN，北方10省大部分也已經開通了省內MPLS VPN；除

29、少數(shù)省份外，南方21省大部分省份未開通MPLS VPN。已開通省內MPLS VPN的省份，與集團DCN骨干之間采用VPN跨域互聯(lián)。未開通MPLS的省份，核心路由器作為CE，集團骨干網(wǎng)匯聚層設備作為PE/ASBR實現(xiàn)省DCN網(wǎng)與集團DCN骨干互聯(lián)。EDC防護試點省份網(wǎng)絡現(xiàn)狀遼寧EDC網(wǎng)絡現(xiàn)狀遼寧EDC內部由2臺Extreme BD6816交換機及1臺Cisco2948交換機(匯聚OA系統(tǒng))作為核心交換機，下聯(lián)各業(yè)務系統(tǒng)主機。山東EDC網(wǎng)絡現(xiàn)狀山東EDC內部由2臺Cisco7609交換機及2臺Cisco6509交換機作為EDC核心交換機，下聯(lián)各業(yè)務系統(tǒng)主機。天津EDC網(wǎng)絡現(xiàn)狀天津EDC內部由2臺C

30、isco7609交換機及1臺3com 6012交換機(匯聚各專業(yè)網(wǎng)管系統(tǒng))作為EDC核心交換機，下聯(lián)各業(yè)務系統(tǒng)主機。內蒙古EDC網(wǎng)絡現(xiàn)狀內蒙古現(xiàn)有2個EDC機房，每個EDC核心交換機為2臺華為S8505交換機，2臺S8505交換機雙歸上聯(lián)省核心華為NE80路由器。EDC內部各系統(tǒng)經由匯聚交換機上聯(lián)2臺EDC8505核心交換機。圖4-2內蒙古EDC網(wǎng)絡上聯(lián)現(xiàn)狀建議方案邊界防護防系統(tǒng)部署邊界防護防火墻部署在內蒙和廣東省核心路由器同集團DCN網(wǎng)骨干匯聚設備之間各部署2臺千兆防火墻設備，在南方21?。ǔ龔V東外）省核心路由器同集團DCN網(wǎng)骨干匯聚設備之間各部署2臺百兆防火墻設備。邊界防護IDS部署在遼寧

31、核心路由器同集團DCN網(wǎng)骨干匯聚設備之間部署2臺千兆IPS設備，在北京、天津、河北、河南、山西、山東、黑龍江、吉林、內蒙古和廣東省等十省、市核心路由器同集團DCN網(wǎng)骨干匯聚設備之間各部署2臺千兆IDS設備，在安徽、廣西、海南、湖北、江西、陜西、四川、浙江、重慶等9個業(yè)務量較大的南方省、市省核心路由器同集團DCN網(wǎng)骨干匯聚設備之間各部署2臺百兆IDS設備，在福建、甘肅、貴州、湖南、江蘇、寧夏、青海、上海、西藏、新疆、云南等11個業(yè)務量較小的南方省、市省核心路由器同集團DCN網(wǎng)骨干匯聚設備之間各部署1臺百兆IDS設備。EDC防護試點省安全部署遼寧、山東、天津EDC安全部署結合目前各省DCN網(wǎng)數(shù)據(jù)中

32、心的安全現(xiàn)狀，首先要實現(xiàn)數(shù)據(jù)中心安全的“可知性”，只有在安全可知的前提下，才能更好的完善安全體系，部署更加完備的安全方案。為實現(xiàn)各試點省安全的“可知”，在遼寧EDC內2臺Extreme BD6816交換機及1臺Cisco2948交換機各側掛1臺千兆IDS設備，在山東EDC內2臺Cisco7609交換機及2臺Cisco6509交換機各側掛1臺千兆IDS設備，在天津EDC內2臺Cisco7609交換機及1臺3com 6012交換機各側掛1臺千兆IDS設備。在后期根據(jù)省DCN網(wǎng)絡承載應用的不同，可以將其分為MSS、BSS和OSS。為了對各系統(tǒng)進行分類流量檢測，建議后期進行如下部署。圖4-3 試點省數(shù)

33、據(jù)中心安全監(jiān)控系統(tǒng)部署后期目標內蒙古EDC安全部署對于內蒙古，考慮到自治區(qū)DCN骨干網(wǎng)為新建網(wǎng)絡，鏈路條件較好，而內蒙古辦公終端數(shù)量相對較少，為了便于對內蒙古網(wǎng)絡安全進行集中管理，建議對內蒙古EDC做比較全面的安全部署。具體內容包括，EDC的入侵檢測、EDC跨域安全互訪控制和出入口集中控制。 圖4-4內蒙古EDC安全防護建議方案如上圖，可在2個EDC的核心交換機（PE設備）上各側掛1臺千兆防火墻和1臺千兆IDS。IDS用以對病毒、蠕蟲等引起的惡意流量進行進行檢測，保證數(shù)據(jù)中心安全狀況的可知，防火墻主要進行跨域（VPN）安全互訪控制。為了對EDC出入口進行集中管理，建議在內蒙兩個EDC分別部署一

34、套業(yè)務系統(tǒng)的Internet出口和Internet入口，出入口邏輯上分開，各建設1臺出口路由器、2臺千兆防火墻，并在業(yè)務入口建設1臺防DDOS攻擊設備。同時，為滿足自治區(qū)辦公人員上網(wǎng)的需求，建議在EDC部署一套員工上網(wǎng)出口，出口配置1臺出口路由器、2臺DMZ三層交換機、2臺千兆防火墻設備。為便于省內辦公人員互聯(lián)網(wǎng)出口統(tǒng)一，建議此出口部署在省核心設備上，設備可安裝在二樞紐EDC內。設備需求統(tǒng)計此部分設備需求為建議方案中邊界防護和EDC防護中所涉及的相關產品的規(guī)模。表5-1 設備規(guī)模統(tǒng)計表序號設備單位數(shù)量本期端口需求部署位置1百兆防火墻臺404個FE南方21?。ǔ龔V東外）每省2臺2千兆防火墻臺14

35、4個GE內蒙、廣東每省邊界部署2臺，內蒙2個EDC VPN互訪4臺、業(yè)務入口2臺、業(yè)務出口2臺、員工互聯(lián)網(wǎng)出口2臺3百兆IDS臺292個FE安徽、廣西、海南、湖北、江西、陜西、四川、浙江、重慶等9省、市省邊界各部署2臺百兆IDS，福建、甘肅、貴州、湖南、江蘇、寧夏、青海、上海、西藏、新疆、云南等11省、市邊界各部署1臺百兆IDS。4千兆IDS臺342個GE北京、天津、河北、河南、山西、山東、黑龍江、吉林、內蒙古和廣東十省、市的邊界各2臺，遼寧EDC 3臺，山東EDC 4臺，天津EDC 3臺，內蒙古EDC 4臺。5千兆IPS臺22GE(光口)遼寧邊界2臺6漏洞掃描器臺11北京、天津、河北、河南、

36、山西、山東、黑龍江、吉林、遼寧、內蒙古、集團各1臺7防DDOS攻擊設備臺1內蒙古EDC業(yè)務入口1臺。8出口路由器臺34個GE，4個FE/臺內蒙古EDC業(yè)務出、入口和員工上網(wǎng)出口個1臺。9三層交換機臺22個GE，8個FE/臺內蒙古EDC內員工上網(wǎng)出口2臺。上表中百兆防火墻、千兆防火墻、百兆IDS、千兆IDS設備以及本工程所需的所有服務器、存儲設備、第三方軟件的采購不在本集成包中，本項目只負責此部分的集成建設。表中千兆IPS、出口路由器、三層交換機、防DDOS攻擊設備的采購和集成由本項目負責。賣方系統(tǒng)及設備詳細技術要求見第5章。設備及軟件技術規(guī)范總體技術要求硬件（1）賣方提供的所有設備必須是最新的

37、商用產品，并保證所提供產品的數(shù)量、質量，特別是接口的兼容性。（2）各種設備應采用功能分擔、分布式多處理機結構。設備支持冗余備份，風扇、電源、接口卡等關鍵部件支持帶電熱插拔，損壞時便于替換或者擴容。（3）設備要選用高質量的元器件，采用專業(yè)的硬件結構（NP、ASIC、經優(yōu)化的X86），生產過程中進行嚴格質量控制，出廠前要經買方人員嚴格測試和檢查，確保設備長期穩(wěn)定、可靠地運行。（4）為滿足后期工程建設需求，本期新增的網(wǎng)絡設備應有良好的功能及端口擴展能力。軟件（1）賣方提供的軟件應包括確保設備正常運行所需的管理、運營、維護等軟件。（2）軟件要求為模塊化結構，保證安全可靠，具有容錯能力。（3）賣方提供的

38、軟件應為最新商用版本，且不同時期軟件版本應能兼容。同時要保證網(wǎng)絡安全可靠及擴容和版本升級方便。（4）賣方應針對買方采購的設備為買方SOC系統(tǒng)提供完備的原廠產品知識庫及更新服務。（6）賣方在建議書中應詳細列出所提供的軟件清單和說明。安裝材料建議書中應包含各系統(tǒng)的安裝材料清單。設備中應包含用于連接各種設備和硬件的室內線纜，如有錯漏，由賣方無償補足。消耗品賣方提供的設備應配有至少滿足三年維護期使用的消耗品。維護工具儀器和備品備件（1）賣方應提供專用的維護工具和設備，提出建議和報價。（2）賣方應提供正常維護使用的備品備件及消耗材料，并提供清單。（3）賣方提供的設備應保證在至少五年內，不論提供的設備是否

39、還生產，買方均可得到備件。入侵防護（IPS）體系結構與硬件指標（1）產品應為硬件產品。（2）支持千兆以太網(wǎng)光接口，千兆以太網(wǎng)接口數(shù)量不小于4個。請詳細描述。（3）開啟過濾時的吞吐量不小于1Gbps。（4）最大并發(fā)會話數(shù)不小于100萬。（5）應用多種過濾條件下延遲不大于800微秒。（6）硬件探測引擎的平均無故障時間不低于8萬小時。（7）漏報率1%，誤報率1%，賣方需明確設備的檢測處理率。（8）應支持IPS和IDS兩種模式，且兩種模式可并行工作。（9）產品工作在IPS模式應具備bypass功能，要有防止檢測引擎故障造成網(wǎng)絡不可用的機制，故障切換時間小于1秒。請詳細描述。（10）產品應支持雙機部署的

40、HA和負載均衡。（11）支持IPv6隧道通信的識別。（12）產品應支持非對稱路由網(wǎng)絡結構，請詳細說明對非對稱路由的支持原理。（13）產品應提供大型關系型數(shù)據(jù)庫接口以適應大規(guī)模部署及二次開發(fā)。檢測能力（1）支持啟發(fā)式上下文分析。（2）支持常見協(xié)議的分析，請?zhí)峁┲С值膮f(xié)議列表。（3）支持流量狀態(tài)分析。（4）支持用戶定義流量特征。（5）支持TCP重組、IP重組、RFC一致性檢查、統(tǒng)一編碼等抗IDS/IPS躲避技術。（6）支持異常流量監(jiān)控、協(xié)議異常監(jiān)控、二層流量監(jiān)控等分析特性。（7）支持攻擊數(shù)據(jù)的搜集，可防止DOS/DDOS攻擊、防止端口/主機掃描等攻擊。（8）支持漏洞攻擊攔截、慢速掃描檢測等入侵檢測

41、技術。（9）賣方需明確產品支持的攻擊特征簽名數(shù)量。（10）支持對即時通信和點對點通信的檢測和審計。（11）支持事件的過濾和合并。（12）賣方需說明產品對于跨產品、跨探測器的事件關聯(lián)分析的支持能力，支持對不同類型事件、不同探測器檢測到的事件以及其他第三方安全產品產生的安全事件綜合關聯(lián)分析。請詳細描述進行事件關聯(lián)分析的原理和效果，并給出支持的第三方安全產品的列表。（13）支持圖形化的用戶自定義攻擊簽名界面和向導。響應能力（1）支持應用程序預處理。（2）支持主動的、基于策略的響應措施：如會話終結、流量記錄、執(zhí)行用戶定義程序等。（3）支持對網(wǎng)絡中的會話連接進行監(jiān)控，能夠記錄必要的會話內容并回放。如FT

42、P、Telnet、Http等會話。（4）支持與其他安全設備聯(lián)動，請詳細說明聯(lián)動的方式和支持的品牌清單。（5）應支持對于交換機、路由設備中的流量統(tǒng)計數(shù)據(jù)的分析，并可識別、跟蹤偽造源地址的攻擊來源。（6）支持多種方式的報警，必須包括但不限于郵件、控制臺聲音報警、SNMP Trap、Syslog、腳本以及用戶自定義等告警方式。（7）賣方需提供IPS架構中不同層次功能模塊間響應時間的可信參考值。管理功能（1）支持集中管理和策略編制、分發(fā)。（2）策略編輯器應支持靈活的過濾規(guī)則，應能批量選取特征簽名和定制特征簽名的響應方式。（3）支持帶寬管理、拓撲圖形化管理等管理功能。（4）支持管理用戶分級分權定制。（5

43、）能夠與其他網(wǎng)管軟件或安全管理軟件集成。請列出支持的安全管理軟件和網(wǎng)管軟件。日志、報表功能（1）支持本地磁盤、syslog服務器、遠端服務器等多種日志保存方式。（2）有完整的審計日志,審計日志可以導出，可進行統(tǒng)計分析。（3）應支持報告、報表的柱狀圖、餅圖、表格等顯示方式，導出報告方式應至少包括文本、PDF以及HTML格式。報表可定時生成。（4）報告內容應包括摘要性質的圖表和詳細的事件描述。（5）產品支持中文，包括界面、幫助信息、特征描述、解決方法、報表等內容。（6）支持用戶自定義報表和預定義報表。升級更新（1）支持遠程和本地升級服務器的更新。（2）支持自動和用戶自行下載的安全弱點修補。（3）特

44、征庫和檢測引擎應支持手動、自動的更新方式。（4）更新的攻擊特征應可按照一定規(guī)則自動應用，無需管理員手動在檢測策略中添加或調整。漏洞掃描產品基本要求：（1）產品應為軟件產品，賣方需明確產品架構，并能支持多級架構的靈活部署。（2）發(fā)現(xiàn)網(wǎng)絡和主機系統(tǒng)的安全漏洞，并提供安全解決建議；對全網(wǎng)進行安全配置檢查。（3）支持從不同的網(wǎng)絡位置對網(wǎng)絡設備進行掃描。掃描結束后生成詳細的安全評估報告。（4）可以并行地檢查多個被評估的系統(tǒng)，不能影響業(yè)務的正常運行。（5）產品應界面友好，所有的圖形界面、報警信息、報表與文檔、技術資料要求均為簡體中文。產品部署要求（1）支持多個或多級產品的統(tǒng)一管控。（2）支持控制中心的多級

45、部署。（3）支持策略的統(tǒng)一制定和分發(fā)，應提供可編輯的策略模板。（4）支持對全網(wǎng)掃描結果的集中查詢、分析。漏洞掃描能力要求（1）產品掃描信息應包括主機信息、用戶信息、服務信息、漏洞信息等內容。賣方需給出各類掃描信息的詳細列表。（2）產品應支持對掃描對象安全脆弱性的全面檢查，如安全補丁、口令、服務配置等。請詳細描述針對主機和網(wǎng)絡的掃描類別及項目。（3）產品漏洞庫應涵蓋目前的安全漏洞和攻擊特征，漏洞庫具備CNCVE、CVE和BUGTRAQ編號。（4）應可對Windows系列、Linux、AIX、HPUX、IRIX、BSD等目標主機的系統(tǒng)進行掃描。（5）支持網(wǎng)絡協(xié)議SNMP的漏洞檢測。賣方需提供支持掃

46、描的網(wǎng)絡設備廠商IOS列表。（6）支持主流數(shù)據(jù)庫的檢測，應包括：Oralce、Sybase、SQLServer、DB2等。（7）支持Windows域環(huán)境掃描，可針對目標主機的系統(tǒng)配置缺陷及漏洞進行掃描。（8）支持多主機、多線程掃描和斷點續(xù)掃功能。（9）支持動態(tài)的顯示掃描結果和實時的查看掃描結果（10）產品應能提供掃描IP范圍的管理功能。（11）賣方需說明產品授權方式，產品是否需要與網(wǎng)卡等硬件綁定或需要原廠提供KEY的管理。報表能力（1）報告應具有易懂的漏洞描述和詳盡的安全修補方案建議，并提供相關的技術站點以供管理員參考。（2）應可根據(jù)角色需求產生靈活的報告格式，支持用戶自定義報表和預定義報表。

47、（3）掃描報告應可對安全的威脅程度分級，并能夠形成風險趨勢分析報表和主機間風險對比分析報告。（4）報表具備導出功能，可以導出不同格式的報表，如Excel、Word等。掃描策略配置：（1）產品要求提供多種缺省掃描策略，并可按照特定的需求，靈活制定目標對象或目標群組，可以同時應用不同掃描策略，并允許自定義掃描策略和掃描參數(shù)。（2）支持單機掃描、分組掃描和全部掃描的設置。（3）支持全自動定時掃描和多種計劃掃描任務功能，可按照指定的時間、對象自動掃描，并自動生成報告。升級、管理（1）系統(tǒng)應支持自動和人工遠程升級。升級內容應包括最新的漏洞庫和系統(tǒng)自身的補丁程序。（2）支持分級、分權管理，能夠對不同管理員

48、賬號或角色靈活分配掃描任務。（3）支持策略集中分發(fā)。（4）支持用戶的操作審計。相關認證（1）必須具備中華人民共和國公安部的計算機信息系統(tǒng)安全專用產品銷售許可證，中國國家信息安全評測認證中心的國家信息安全認證產品型號證書，并提供證明。（2）產品要求取得CVE（Common Vulnerabilities and Exposures，世界漏洞披露組織）正式的兼容認證 （Certificate of CVE Compatiblity），并提供證明、文件或者在CVE網(wǎng)站可以查閱到。防DDOS攻擊設備技術要求性能指標（1）提供不少于3個千兆以太網(wǎng)端口。（2）并發(fā)連接數(shù)不小于200萬。（3）延遲10微秒。

49、（4）攻擊防護性能：平均900M/BPS的DOS，DDOS攻擊流量下保證100%的連接成功率。（5）請?zhí)峁┊a品在遭受各類DDoS攻擊情況下新建連接成功率、已有連接保持率的測試數(shù)據(jù)。（6）請?zhí)峁┰跀?shù)據(jù)包大小分別為64字節(jié)、512字節(jié)和1518字節(jié)的流量下產品的吞吐量、延遲數(shù)據(jù)。功能需求（1）可實時顯示設備狀態(tài)信息（CPU、內存、流量、連接狀態(tài)）。（2）支持攻擊檢測和防護參數(shù)的調整。（3）產品須支持通過“串聯(lián)”或“并聯(lián)”兩種方式靈活接入網(wǎng)絡；產品能夠適應不同的網(wǎng)絡環(huán)境，支持RIPv2，OSPF，BGPv4協(xié)議，支持全冗余的VRRP網(wǎng)絡，支持VLAN。（4）產品須具備多臺設備集群部署的能力，支持在大

50、攻擊流量發(fā)生時手動或自動啟動集群，保證整個系統(tǒng)可用性；。（5）可防護SYN FLOOD、ACK FLOOD、ICMP flood、UDP Flood/UDP DNS Query Flood、(M)Stream Flood和ICMP Flood、HTTP Get Flood全連接攻擊及其變種。（6）使用智能攻擊流量識別的技術進行防護，而不基于特定規(guī)則的方式，即當發(fā)生未知攻擊，無需專門的撰寫規(guī)則即可對這些攻擊進行防護。（7）支持攻擊流量的統(tǒng)計、排序。（8）支持Web頁面的統(tǒng)計數(shù)據(jù)顯示。（9）支持WEB和超級終端管理。（10）支持用戶分級、分權管理。（11）支持Web方式在線升級。（12）提供完整的

51、系統(tǒng)運行日志，支持事件日志、流量日志和配置日志。（13）提供日志的本地存儲、排序和查詢功能。（14）支持標準的Syslog日志，支持Syslog日志加密傳輸。（15）支持多種報告和告警方式。（16）支持統(tǒng)一的策略、分發(fā)管理。賣方需提供推薦設備的詳細功能及性能指標。出口路由器路由器技術協(xié)議本工程要求采用多協(xié)議路由器，至少支持以下技術協(xié)議：（1） 用戶協(xié)議：IP、OSI CLNS、ATM、Frame Relay（2） 廣域網(wǎng)協(xié)議： HDLC、PPP、Frame Relay、ATM（3） 路徑協(xié)議：OSPF、BGP、IS-IS、PIM 、MPLS（4） 路由器管理/安全協(xié)議： SNMP Telnet

52、 Remote Access Username/Password for remote Access Security Control Access Lists (Routing) Debug Commands Syslog Event Logging Performance Tuning業(yè)務功能（1） 支持千兆以太網(wǎng)、快速以太網(wǎng)、E1/CE1、SDH(STM-1、STM-4)、ATM、DDN、Frame Relay連接，速率范圍主要在2Mbps、100Mbps 、155Mbps、622Mbps、1000Mbps。（2） 支持服務質量保證。（3） 良好的隊列管理和擁塞管理功能。（4）請賣方明確

53、產品對NetFlow或類似功能的支持情況。（5）除了以上業(yè)務功能外，賣方在建議書中要詳細列出可供用戶選用的其它業(yè)務項目。（6）賣方應對本節(jié)各項功能的實現(xiàn)方法給以說明。接口賣方需對下述接口的滿足程度作詳細說明。（1） SDH幀方式接口。路由器應能提供POS接口，接口速率以STM-1、STM-4為主，應至少能提供光接口，光接口應滿足ITU-T G.957建議，接口協(xié)議可采用ITU-T X.85(IP over SDH using LAPS)、PPP over SONET/SDH(RFC1662、RFC2615)等。賣方應說明可支持的接口協(xié)議，若建議采用廠家專用協(xié)議，需給出詳細的技術說明。POS接口

54、應支持APS自動線路切換功能，賣方應詳細解釋其切換過程和方式。（2）賣方應列出設備可提供的其他接口類型。（3）賣方應給出各種接口詳細的技術規(guī)格和各種指標說明,并說明各種接口上支持的協(xié)議和可實現(xiàn)的業(yè)務特點。（4）賣方提供的路由器應能提供STM-1 POS、STM-4 POS和Gigabit Ethernet幾種高速接口，并支持在這些高速接口上的多條鏈路負載分擔能力，另外還要求在這些高速接口上支持多條相同metric的IGP路由之間的負載分擔和快速切換能力。（5）賣方應說明上述各種接口是否支持端口捆綁。（6）賣方應提供上述高速接口對傳輸系統(tǒng)(SDH)相應傳輸指標的要求。設備主要性能參數(shù)賣方應就以下

55、性能參數(shù)提出滿足情況或具體數(shù)值(說明數(shù)值來源)。(1) 路由器轉發(fā)能力應可達線速，各種端口的經過ACL等控制后實際吞吐速率不應低于線速的100%。(2) 路由器交換容量應在20Gbps以上，轉發(fā)能力應在10Mpps以上。(3) 在鏈路利用率不超過70%的情況下，路由器交換延時不應超過100微秒。(4) 詳細描述路由器的處理結構、背板結構及最大吞吐能力。(5) 描述路由器的最大負載能力(最大可容納模塊數(shù)、端口數(shù)及端口速率)。(6) 賣方應提供路由器的下列IP包處理性能指標：IP包丟失率、IP包錯包率、IP包處理時延，并說明上述指標所基于的具體條件(負載、包大小、帶寬等)。(7) 描述路由器各種接

56、口的最大利用率。(8) 賣方應提供其設備的路由表容量和路由查詢能力。(9) 系統(tǒng)的無故障工作時間（MTBF）大于10000 小時。MPLS支持（1）要求賣方設備支持MPLS。支持在單一設備開通MPLS VPN的PE、PE-ASBR功能，支持三種跨域VPN實現(xiàn)方式。（2）設備應支持L3 MPLS VPN(RFC 2547bits)、L2 MPLS VPN,支持VLAN，L2TP，F(xiàn)R，ATM到MPLS VPN的映射。支持MPLS VPN地址重疊。支持MPLS QoS服務質量保證。（3）設備虛擬路由轉發(fā)表（VRF）不小于1K。（4）設備支持MPLS TE，支持MPLS TE實施后的每鏈路/每節(jié)點快

57、速重路由以及路徑保護，單條標記交換路徑進行鏈路保護的速度應在1秒以內。Ipv6支持要求賣方說明設備對于Ipv6及其過渡技術的支持程度。互操作性（1） 賣方應詳細說明與其它廠家產品的互連、互通程度和能力。（2） 賣方應說明其各種設備端口，包括POS端口、千兆以太網(wǎng)端口、ATM端口、FR端口等，與其它設備的互通能力與保證。（3） 賣方應說明其設備支持的各種協(xié)議與其它設備的互通能力與保證。管理要求(1) 設備應至少支持SNMP網(wǎng)管協(xié)議與RMON II，可與網(wǎng)管中心配合完成故障管理、配置管理、性能管理和安全管理。賣方應說明其設備所支持的MIB以及從其設備各種接口上可得到的管理信息內容。(2) 賣方應列

58、明設備的安全措施。時鐘同步賣方應提出其設備的時鐘同步方式、是否可接受外時鐘同步、設備內部自備時鐘的精度指標。環(huán)境要求 設備要在下列環(huán)境下能夠保證長期正常工作： 環(huán)境溫度：5 35 相對濕度：30 80電源要求 設備應能在下列供電變化范圍內正常工作： 直流： 40V 57V；交流：220V 10，50Hz 5。三層交換機滿足以下局域網(wǎng)標準：（1） IEEE 802.3：以太網(wǎng)標準（包括802.3ab/802.3u/802.3z等）。（2） IEEE 802.1d：介質存取控制橋標準。（3） IEEE 802.1q：虛擬網(wǎng)標準。（4） IEEE 802.1p：優(yōu)先級。（5） 組播協(xié)議支持及流量優(yōu)化

59、功能。（6） 賣方應說明設備所能支持的其它標準。體系結構和能力（1） 無阻塞交換結構。（2） 背板帶寬：大于等于8Gbps。（3） 包轉發(fā)能力：大于等于5Mpps。技術參數(shù)及性能指標賣方應說明設備的下述指標，并說明所需的具體條件。（1） 交換機的端口容量。（2） 各種端口的buffer容量。（3） 每端口支持的MAC地址數(shù)和整機支持的MAC地址數(shù)。（4） 各端口對全雙工、半雙工的支持能力。（5） 內部交換能力、數(shù)據(jù)轉發(fā)速率。（6） 交換機的傳輸時延。（7） 交換機的流量控制方式。物理接口具備接口速率：10/100 BASET,1000 BASE-T/LX/SX系統(tǒng)可靠性系統(tǒng)的無故障工作時間（M

60、TBF）大于10000 小時。管理規(guī)程（1） RFC 1157：簡單網(wǎng)絡管理協(xié)議（SNMP）；（2） RFC 1213：SNMP MIBII；（3） RMON/RMON II?；ゲ僮餍跃邆渑c其它廠家產品互連互通能力。環(huán)境要求（1） 設備要在下列環(huán)境下能夠保證長期正常工作： 環(huán)境溫度：5 35相對濕度：30 80（2） 設備要在下列環(huán)境下能夠保證短期正常工作： 環(huán)境溫度：0 40相對濕度：20 90電源要求 設備應能在下列供電變化范圍內正常工作： 直流： 40V 57V；交流：220V 10，50Hz 5項目管理項目開發(fā)方式與策略（1）賣方要詳細介紹本次項目開發(fā)所采用的方式、策略、技術理論、適用