第一章 网络安全全问题
计算机和互联网在给整个人类生产和生活带来便利的同时,也同时带来的网络安全的挑战。一般,网络安全的问题细分为如下三个部分:
外部安全
随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于机关和企事业单位,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
内部安全
俗话说”家贼难防”,在最新的调查统计中60%以上的内网用户利用网络处理私人事务或访问不健康网站。对网络的不正当使用,降低了生产率、阻碍电脑网络。同时内部未经授权的员工访问公司核心机密资料,例如机密资料的外泄会给政府公司带来极大的损失。最后,内部机器被病毒感染,会向外部网络发动攻击和发送垃圾电子邮件,这类安全事件也是各个省市公安局网监处的工作重点之一。
内部网络之间、内外网络之间的连接安全
政府部门上下级单位之间及跨部门的网络交流、资料共享,需要保证网络渠道的保密性及数据文件的安全传输。
LanGate 参考电子政务内外网的网络结构、应用现状,结合电子政务网络存在的风险和对安全产品的需求,从项目建设技术的角度,着重从边界防护、内外隔离、权限分级、系统加固、认证授权、集中管理六个方面进行,帮助政府部门解决了以下问题:
· 网络安全认证
· 病毒传播阻断
· 机密信息防泄漏
· 网络边界的防护
· 入侵检测及保护
· 网络资源的统一管理
· 各部门之间的网络连接
第二章 应用需求分析
1. 安徽某政府单位的网络现状分析
建设功能强大和安全可靠的网络化信息管理系统是安徽某政府单位实现全面电子政务的必要手段。如何构建安全可靠的网络系统是本建议书的目的。
安徽某政府单位目前的网络实际状况如下:
安徽某政府单位目前的网络拓扑结构比较简单,内网大概有200台主机,只是简单的把多台PC通过交换机连接,并通过路由器连接10M电信专线,再连接互联网。内网中有OA服务器,邮件服务器等设备。目前有使用3eyes软件方式监控总部网络,效果不理想(带宽资源消耗大,准确度不高)。
大致结构如下:
图1、 目前网络情况
通过目前拓扑可以了解到,目前安徽某政府单位网络存在如下安全隐患:
1、 外网方面
a) 网络安全及病毒防范:在安徽某政府单位网络中,对党政信息平台服务器没有采取保护措施,没有设立党政信息平台和同一网络中的其他电脑的安全访问权限,造成其他电脑(甚至外部电脑)可以通过随意访问或攻击党政信息平台。
b) 党政信息平台服务器保护:在安徽某政府单位网络中没有采用有效的网络安全措施,网络完全暴露,没有采取防火墙实现防护;对网络的病毒及入侵威胁,没有采用任何网关防毒及入侵检测防护设备,防病毒方面只是简单的在客户端信息点上采用了客户端杀毒软件。
2、 内网方面网络的整体规划欠缺规划,存在较大风险。
a) 子网规划及内网防护:没有进行子网的有效规划管理(如:中心区网络将安全级别不同的机器放在同一子网内),子网内部没有设立规范的访问权限和防护体系;
b) 流量管理:目前虽然带宽较大,但仍然有人反映网络连接速度较慢,带宽滥用行为严重,缺乏有效管理。
c) 访问监控审计:没有对内部子网的对外访问及相互间访问进行有效监控;
容易导致内部网络管理混乱、病毒交叉感染、信息泄漏、网络漏洞被利用、带宽分配不合理、内网工作效率低等潜在问题。
2. 网络安全设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。
在设计安徽某政府单位的网络安全系统时,我们将遵循以下原则:
体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而******限度地解决可能存在的安全问题。
全局性、均衡性、综合性设计原则
安全建议书将从安徽某政府单位网络整体建设角度出发,提供一个具有相当高度、可扩展性强的安全解决方案;从安徽某政府单位的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。本建议书将考虑到各种安全措施的使用。
本安全建议书将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全建议书都是不切实际的。建议书同时提供了可操作的分步实施计划。
可行性、可靠性、安全性
作为一个工程项目,可行性是设计安徽某政府单位安全方案的根本,它将直接影响到网络通信平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计安全系统的最终目的。
3. 整体网络安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
图2、 多层次安全系统架构
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙安全体系所无法对付的。目前病毒的传播方式主要是邮件传播和Internet传播,其中邮件传播比例高达87%,Internet传播占10%。其他传统的,经由磁盘、网络下载的病毒感染方式的传播率只有3%。即97%的病毒是通过网络传播的。如果能在网关位置对病毒进行拦截,必定能很大程度的保护了企业内部网络的安全。
因此我们建议安徽某政府单位采用立体多层次的安全系统架构。如图2所示,这种多层次的安全体系不仅要求在网络边界设置防火墙,还要设置针对网络病毒等应用层攻击的防护措施。另外需要说明的一点是,关于应用层的防护要放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外,避免了攻击进入企业内部网络后再进行查杀所造成的损失。
LanGate® “亮铠”电子政务安全防护体系是依据中国国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》的要求,并根据电子政务系统的具体情况制定的,目的是主要针对电子政务外网,从安全的角度进行总体的设计规划,通过本项目的建设,重点实现以下的内容:
· 严格控制政务外网内各种访问,确保合法访问的正常进行,杜绝非法及越权访问;
· 有效预防、发现、处理异常的网络访问,确保电子政务外网正常访问活动;
· 能够及时发现网络中存在的安全隐患,便于电子政务外网的网络管理人员能够及时给予加固和消除的处理;
· 能预防、发现、处理计算机病毒;
· 对政务外网的合法用户进行授权,并对发起访问的用户进行身份鉴别,确保电子政务外网重要的信息资产被合法、授权地访问;
· 确保电子政务外网内重要的文件、数据被合法授权地获取或修改;
· 确保电子政务外网内重要地文件、数据能够有效地备份及恢复,提高电子政务外网的可用性;
· 能够对信息系统内所发生的与安全有关的事件记录与审计;
· 合理的安全体系架构和管理措施;
· 实现网络系统安全系统的集中管理;
· 有较强的扩展性。
第三章 网络安全建设的目标
根据上一章的需求分析,从网络安全的技术手段而言,安徽某政府单位的安全系统必须实现从项目建设从技术的角度,将着重从边界防护、系统加固、认证授权、集中管理四个方面进行。
所有网络访问行为能够被记录和审计、非法访问被预警和阻拦(条件允许时实施)、应用系统平台及数据可以被有效备份以抗击灾难风险等几方面的目标。
具体的目标如下:
- 严格控制党政信息平台的访问,确保合法访问的正常进行,杜绝非法及越权访问;
有效预防、发现、处理异常的网络访问,确保OA服务器、电子政务平台系统正常访问活动;
- 能够及时发现网络中存在的安全隐患,便于网络管理人员能够及时给予加固和消除的处理;
- 能预防、发现、处理外网发起的病毒攻击;
- 能够对信息系统内所发生的与安全有关的事件记录与审计;
- 合理的安全体系架构和管理措施;
- 实现网络系统安全系统的集中管理;
- 有较强的扩展性。
第四章 网络安全建议方案
1. 安全体系简介
基于以上的规划和分析,我们建议安徽某政府单位网络安全系统按照系统的实现目的,采用一种高可靠性的安全网关来实现以下系统功能:
l 深度包过滤防火墙(内外双网)
l 网关防病毒
l 入侵检测
l 带宽管理
l 网络行为监控及网络审计
2. 安全方案的设计原则
在进行网络系统安全方案的设计和规划时,应遵循以下原则:
2.1. 需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定相应的规范和措施,确定系统的安全策略。
2.2. 综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
2.3. 易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
2.4. 适应性及灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.5. 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
3. 方案建议内容
3.1. 整体网络安全方案
通过如上的需求分析,我们建议采用如下的整体网络安全方案。网络安全平台的设计由以下部分构成:
l 深度包过滤防火墙系统
采用深度包过滤防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过内网的防火墙进行保护。
l 网关防毒系统
过滤从网络外部发起的病毒,阻止病毒的入侵。
l 入侵检测系统
入侵检测设备系统,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。
l 网络行为监控系统
对网络内的上网行为进行规范,并监控上网行为,过滤网页访问,限制上网聊天行为,阻止不正当文件的下载。
l 带宽控制系统
使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
总体安全结构如图:
图3、网络安全规划图
本建议书推荐采用LanGate®”亮铠”UTM多功能防火墙产品方案。
LanGate® UTM统一安全网关能完全满足本方案的全部安全需求。LanGate® UTM安全网关是在专用安全平台上集成了防火墙、VPN、入侵检测、网络行为监控、防病毒网关、垃圾邮件过滤、带宽管理等功能于一身的新一代全面安全防护系统。
4. LanGate® “亮铠”UTM产品介绍
4.1. 产品概括
LanGate “亮铠”是基于专用芯片的硬件产品,在网络边界处提供了实时的保护。基于 LanGate OS,LanGate 能够在不显著影响网络性能情况下检测有害的病毒、蠕虫及其他基于内容的安全威胁的产品,并且提供了高性价比、方便的和强有力的解决方案来检测、阻止攻击,防止不正常使用和改善关键网络应用的服务。能够在不降低网络运行性能的前提下优化网络通讯资源。
模块化、可扩展、整合式LanGate网络安全模块化安全平台为企业和分散型企业提供多种服务安全保护,以防御入侵。LanGate可全面防御毁灭性病毒、蠕虫病毒和肆虐的攻击。此平台由一个基本单元和两种模块(应用模块和性能模块)组成。应用模块添加功能,例如ClamAV或卡巴斯基病毒及垃圾邮件过滤。性能模块提供网络容量扩展。这一全面分层、整合安全服务的方法提供了坚实的单一网络边缘防御,以对抗网络威胁。总是最新、总是最安全模块化架构可使新的安全服务在新威胁及服务出现时进行安装,而无需进行重大投入式升级。轻松安装、轻松升级LanGate简化了网络拓扑结构,降低了与从多个供应商处找寻、安装和维护多种安全服务相关的成本。
l 复杂的威胁
安全游戏的规则已经改变。随着当今企业所面临的攻击正在变得越来越复杂以及具有更惊人的破坏性- 针对单一线程攻击的简单补丁已显不足。新式企业攻击使用极端复杂和狡滑的混合式威胁,例如Sobig.F和myDoom。原有的规则已不适用。
l 整合式解决方案:上下文检查
我们有必要采用整合式安全解决方案以确保企业不受恶劣网络环境的侵犯。LanGate全面上下文检查在单一设备中整合几种安全解决方案,并将此整合体安装于网络的边缘上,可降低病毒、蠕虫病毒和其它入侵对企业造成破坏的风险。LanGate整合式安全平台产品线在单一设备中提供了垃圾邮件过滤、病毒过滤、网址过滤、防火墙和虚拟专用网等。将这些服务整合入单一平台中以提供安全保证,可极大降低维护和管理不同解决方案的成本。
l 轻松安装和管理
LanGate将多种服务整合入单一平台中,通过整合的接口提供安装和管理安全服务。LanGate开发了直觉式图形用户界面,整合了网络行为监控、病毒过滤、垃圾邮件过滤、防火墙、VPN、带宽管理和其它服务的设置。
l LanGate®系列
LanGate®共有三个系列共10款产品。这10款产品采用统一平台,是综合安全网关系列产品:
4.2.主要功能
4.2.1. 基于网络的防病毒
互联网是一个连接全球丰富资源的大网络,它让成千上万亿的线上用户运用廉价(或免费)的资料,交换彼此的想法、直接而实时的沟通。随着互联网应用的飞速发展,用户对网络信息的依赖性也倍速增长,网络病毒也伴随着网络的发展而迅速增长,互联网的技术支持需求随之成为企业 IT 部门最主要的业务负担。
为了保障互联网的畅通和安全,为网络全方位安全而设计基于网络的 LanGate 系列无疑是 IT 人员的******帮手。LanGate 是网关级的安全设备,它不同于单纯的防病毒产品。LanGate 在网关上做 HTTP、SMTP、POP 和 IMAP的病毒扫描,并且可以通过策略控制流经不同网络方向的病毒扫描或阻断,其应用的灵活性和安全性将消除用户不必要的顾虑。
4.2.2. 基于用户策略的安全管理
整个网络安全服务策略可以基于用户进行管理,相比传统的基于 IP的管理方式,提供了更大的灵活性。
4.2.3. 防火墙功能
LanGate 系列产品防火墙都是基于状态检测技术的,保护你的计算机网络免遭来自 Internet 的攻击。防火墙通过仔细地设置接口,提供了安全控制策略,甚至在复杂的情况下仍可做详细的控制。
LanGate 防火墙的特性包括以下几点:
l 状态检测防火墙
l 多个 WAN 连接提供负载均衡和连接备份
l 静态 NAT 和动态 NAT
l 可将整个内部网络分成安全隔离的子网
l 基于用户的内部子网的权限策略
l 深度包检测屏蔽 P2P
l VOIP、视频会议的支持
l IP/MAC 地址绑定
4.2.4. VPN功能
LanGate产品系列工业标准的VPN在两个LanGate保护的网络或LanGate与支持IPSec、PPTP或L2TP的第 VPN 保护的网络之间建立加密流量传输隧道。
LanGate VPN 的特性包括以下几点:
l 支持 IPSec 安全隧道模式
l 支持基于策略的 VPN 通信
l 硬件加速加密 IPSec、DES、3DES
l X509 证书和PSK论证
l 集成 CA
l HMAC MD5 或 HMAC SHA认证和数据完整性
l 自动 IKE 和手工密钥交换
l SSH IPSEC 客户端软件, 支持动态地址访问,支持 IKE
l 通过第三方操作系统支持的 PPTP 建立 VPN 连接
l 通过第三方操作系统支持的 L2TP建立 VPN 连接
l 支持NAT穿越
l IPSec 和 PPTP
l 支持无线连接
l 星状结构
4.2.5. 内容过滤审计功能
LanGate 的内容过滤不同于传统的基于主机系统结构内容处理产品,LanGate设备内是网关级的内容过滤,是基于专用芯片硬件技术实现的。LanGate 专用芯片内容处理器包括功能强大的特征扫描引擎,能使很大范围类型的内容与成千上万种关键词或其它模式的特征相匹配。具有根据关键字、URL或脚本语言等不同类型内容的过滤,还提供了免屏蔽列表和组合关键词过滤的功能。同时,LanGate 还能对邮件、聊天工具进行过滤,并能按国家有关法规要求进行内容记录审计。
4.2.6. 入侵检测防御功能
LanGate 网络入侵检测防御系统(IDP)是一种实时网络入侵检测传感器,它能对外界各种可疑的网络活动进行识别及采取行动。IDS使用攻击特征库来识别超过 3000 多种的攻击并进行有效拦截。为通知系统管理员有攻击,IDP将此攻击及一切可疑流量记录到攻击日志中,并根据设置发送报警邮件。
4.2.7. 垃圾邮件过滤防毒功能
包括:
l 对 SMTP服务器的 IP进行黑白名单的识别
l 垃圾邮件指纹识别
l 实时黑名单技术
l 对所有的邮件信息病毒扫描
4.2.8. 带宽控制(QoS)
为网络管理者提供了监测和管理网络带宽的手段,可以按照用户的需求对带宽进行控制,以防止带宽资源的不正常消耗,从而使网络在不同的应用中合理分配带宽,保证重要服务的正常运行。带宽管理可自定义优先级,确保对于流量要求苛刻的企业,******限度的满足网络管理的需求。
4.2.9. 系统报表和系统自动警告
系统内置 28 种报表,对网络安全进行全方位的实时统计;用户可以自定义阀值,所有超过阀值的事件将自动通知管理管理人员,通知方式有 Email 及短信方式。
4.2.10. 多链路双向负载均衡
提供了Outbound流量和Inbound流量的多链路负载均衡,支持自动检测和屏蔽故障多出口链路,同时还支持多种静态和动态算法智能均衡多个ISP链路的流量。 对于特有的链路负载均衡算法方案也支持;支持多链路动态冗余,流量比率和智能切换;支持基于每条链路限制流量大小;支持多种DNS解析和规划方式,适合各种用户网络环境;支持防火墙负载均衡。
产品优势
l 提供完整的网络保护
l 保持网络性能的基础下,消除病毒和蠕虫的威胁。
l 基于专用的硬件体系,提供了高性能和高可靠性。
l 用户策略提供了灵活的网络分段和策略控制能力。
l VLAN(802.1q)支持提供了HA高可用端口,保证零中断服务。
l 强大的系统报表和系统自动警告功能。
l 多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面。
l LanGate中心服务器提供了24*7的不间断自动更新。
第五章 工程实施及售后服务
1. 工程实施
系统项目实施任务如下:
l 网络架构及原有网络安全产品调整
l 新增产品到货验收;
l 施工环境准备;
l 设备安装调试;
l 提交验收文档资料,建立客户档案;
l 客户现场培训;
l 验收
2. 响应机构
2.1.客户服务中心
客户服务中心负责接受所有客户电话、传真和电子邮件的服务申请,每周7*24小时接受电话服务请求,在最短的时间内作出响应,为客户提供技术支持。并对客户所有申诉的问题进行处理、归档、监视和完成情况跟踪。
2.2.技术中心
技术中心有经过各厂家专业认证的工程师,并有先进的实验室,以支持客户服务中心进行技术支持及服务,包括故障诊断、性能分析、系统升级等。
2.3.技术支持
在全面工程实施前,我方成立并运行工程实施技术支持小组,全面负责在整个工程实施期间的技术支持工作。技术支持小组的主要职责:
l 对系统工程实施阶段发生的任何技术问题提供7X24小时的响应;
l 对技术问题的响应周期在1小时之内;
l 如果需要,将在24小时内提供现场支持;
l 对实施阶段中实施人员反馈的问题进行整理归纳,及时通过有效渠道如邮件列表等方式传送到实施第一线的技术人员;
l 在工程结束阶段负责对遇到的技术问题进行整理和报告。
技术支持中心的具体组成和运行方式将在以下文字中做相应说明。
3. 服务方式
3.1.热线支持
热线服务利用现代通讯手段提供远程咨询、技术协助服务,其通讯手段主要有热线电话、传真、E-mail、WWW等。
在工程项目中热线服务作为******手段或方式,用户系统出现无法处理故障时,首先拨通我公司客户服务中心服务热线,当工程师受理用户的热线时要求用户能够提供以下信息:
l 用户单位、身份和联系方式
l 产品名称和版本号
l 您计算机连接的其它硬件或外部设备
l 操作系统类型和版本号
l 如果网络可用的话,提供网络的类型和版本
l 您使用的应用软件类型
l 再现问题的特定步骤
我公司客户服务中心将根据用户系统的故障类型和级别,为用户提供如下几种主要故障处理方式。
一级故障:
现有网络或设备不能正常工作,对最终用户的业务运作有严重影响。
处理方法:接到电话请求后,客户服务中心应在一个小时内给出答复,同时热线服务人员不得主动挂断电话(也就是说,只有用户方的技术人员要求挂断电话才可以中断技术指导工作),直到问题得到解决或解答为止。对不能立即解决的问题在下述三种情形下,可暂时中断电话,但技术人员必须立即予以记录、呈报、跟踪或派专人前往现场。
用户需要对故障予以进一步诊断而暂时中断通话,随后热线技术服务人员必须主动电话联系,以便确定原因、排除故障或进一步热线帮助。
l 用户通过咨询已将故障排除,服务人员可暂时中断电话。但中断后十二小时内需再主动确认一次。
l 热线服务无法解决,热线通知用户何时、何人、何种交通方式派人到现场。
二级故障:
系统性能严重下降,或服务器性能明显下降,使最终用户业务运作受到较严重的影响。
处理方法同一级故障。
三级故障:
系统的操作性能受损或性能下降,或服务器部分性能下降,但大部分业务可运作。
处理方法:接到服务请求后,应在24小时内指导用户判断故障,并指导故障恢复。
四级故障:
需要在配置方面作调整,或重新设置等,对业务运作几乎没有影响。
处理方法:接到服务请求后,应在24小时内答复,热线服务人员首先指导网管参数的优化或调整。在用户许可的情况下,可直接予以远程调整。
3.2.现场支持
热线服务无法解决的故障,无论集成商、厂家均需1小时内做出响应。一般而言,我公司现场工程师在严重故障无法通过远程诊断,并超过限时的情况下,将在数小时内抵达现场。
4. 投诉渠道
当用户发现我公司的售后服务的工程师在技术支持时出现下列情况时可向我公司客户服务中心的主管投诉。
l 在技术支持中有违规行为,不遵守用户机房的规章制度或从事工作之外的其它活动;
l 未按客户服务中心向用户提供的服务标准进行服务;
l 出现未征求用户同意进行一些可能影响用户生产环境的行为;
l 服务态度恶劣;
l 该工程师没有此项技术的服务能力;
l 用户提出新的要求并由我公司同意后,未能履行服务的。
5. 用户培训服务
5.1.培训方式
为了在尽可能短的时间内让用户******限度地熟悉应用软件系统,我们将提供全面细致的培训。
培训的对象一般是项目单位的信息系统管理人员和相关的业务人员。培训的目的是掌握本项目应用系统的管理和使用方法,可独立解决本项目应用系统一般的技术问题,并可为应用系统的使用者提供日常技术支持。
5.2.培训内容及安排
根据系统的规划及方案的结构,针对用户的业务范围,我们制订了下面培训及培训计划:
1. 系统管理人员培训
这部分培训针对系统管理员,使其掌握本项目应用系统的管理和使用方法、支撑平台的管理和配置、可独立解决本项目应用系统一般的技术问题。包括:
l 安全系统相关设备及软件的操作
l 日志管理、权限管理、系统维护等的管理工作
l 日常的管理和维护
2. 系统操作人员培训
这部分培训本系统的操作人员,使其掌握本项目应用系统的使用方法,能够解决本系统一般的应用问题。