終端加密技術(shù)方案

xxx終端加密技術(shù)方案公司報(bào)告日期：2015-07-28

目錄TOC\o"1-3"1. 背景 41.1. 為什么需要加密 41.2. 終端加密產(chǎn)品簡(jiǎn)介 41.3. xxxIT環(huán)境簡(jiǎn)述 42. 技術(shù)方案 52.1. 產(chǎn)品架構(gòu) 52.2. 服務(wù)器容量估算 62.3. 系統(tǒng)冗余規(guī)劃 72.4. 客戶端部署 82.5. 客戶端初始磁盤加密 92.6. 客戶端移動(dòng)存貯加密 92.7. 與DLP的集成 102.8. 客戶端與服務(wù)器通訊 113. 最終用戶的日常使用場(chǎng)景 123.1. 初始部署和加密 123.2. 預(yù)啟動(dòng)認(rèn)證 133.3. 數(shù)據(jù)恢復(fù)Windows 133.3.1. 臨時(shí)需要解密系統(tǒng) 133.3.2. 密碼忘記的系統(tǒng)登錄 133.3.3. 系統(tǒng)無法正常啟動(dòng) 143.4. 數(shù)據(jù)恢復(fù)Mac 143.4.1. 系統(tǒng)解密需求 143.4.2. 操作系統(tǒng)重新安裝 153.4.3. 密碼忘記或操作系統(tǒng)錯(cuò)誤的恢復(fù) 154. 實(shí)施方案 154.1. 管理側(cè)實(shí)施和小范圍測(cè)試實(shí)施進(jìn)度安排 154.2. 各階段目標(biāo)及交付物 164.2.1. 需求分析及架構(gòu)設(shè)計(jì) 164.2.2. 服務(wù)器實(shí)施階段 174.2.3. 策略部署階段 174.2.4. 系統(tǒng)試點(diǎn)上線階段 174.2.5. 全公司推廣及部署階段 184.3. 項(xiàng)目溝通和管理 184.3.1. 配置管理 184.3.2. 變更控制管理 194.3.3. 項(xiàng)目溝通 194.3.4. 記錄和備忘錄 204.3.5. 報(bào)告 204.3.6. 項(xiàng)目協(xié)調(diào)會(huì)議 204.4. 項(xiàng)目質(zhì)量控制 214.4.1. 質(zhì)量控制標(biāo)準(zhǔn)和方向 214.4.2. 質(zhì)量控制的工作內(nèi)容 215. 方案優(yōu)勢(shì) 225.1. 公司實(shí)力 225.2. 專著安全 235.3. 全面本地化 245.4. 本地化服務(wù)體系方面 255.4.1. 支持中心 265.4.2. 咨詢部 285.4.3. 培訓(xùn)部 295.4.4. 賽門鐵克授權(quán)服務(wù)中心 30

背景為什么需要加密出于工作需要，xxx的員工需要攜帶筆記本出差、回家。若筆記本丟失或被人盜取后，只要拆開筆記本電腦，取出其中的硬盤，掛接到另外的電腦上，即可以拷取筆記本上的所有數(shù)據(jù)。一些高管級(jí)員工電腦上保存了公司的大量機(jī)密數(shù)據(jù)，若是不慎丟失，或是被第三方拷走，會(huì)給公司業(yè)務(wù)帶來很壞影響。為降低敏感數(shù)據(jù)泄露或被盜的風(fēng)險(xiǎn)，xxx計(jì)劃為筆記本電腦、臺(tái)式機(jī)選擇高性能的磁盤加密解決方案。終端加密產(chǎn)品簡(jiǎn)介賽門鐵克的終端加密產(chǎn)品是-SymantecEndpointEncryptionPowerbyPGP，以下簡(jiǎn)稱SEE。它為企業(yè)的臺(tái)式機(jī)、筆記本電腦的所有數(shù)據(jù)（用戶文件、交換文件、系統(tǒng)文件、隱藏文件等）提供了全面的多平臺(tái)、高性能完整磁盤加密，同時(shí)也提供對(duì)移動(dòng)存貯介質(zhì)的文件加密功能。數(shù)據(jù)經(jīng)過加密后，可防止未經(jīng)授權(quán)的訪問，從而為知識(shí)產(chǎn)權(quán)、客戶數(shù)據(jù)、合作伙伴數(shù)據(jù)和企業(yè)品牌提供了強(qiáng)大的安全防護(hù)。xxxIT環(huán)境簡(jiǎn)述xxx目前員工數(shù)超過兩萬，辦公環(huán)境中公司標(biāo)準(zhǔn)操作系統(tǒng)是Windows7。硬件品牌主要以聯(lián)想為主，也有部分Dell。公司要求電腦應(yīng)加入AD域，便于統(tǒng)一管理，但并未做強(qiáng)制控制措施。為提高員工生產(chǎn)效率，便于協(xié)同工作，xxx也向員工提供蘋果電腦，即有筆記本MacbookPro，MacbookAir,也有臺(tái)式機(jī)iMac。對(duì)于Mac平臺(tái)的操作系統(tǒng)沒有強(qiáng)制要求，但最終用戶一般在蘋果公司發(fā)布新的版本更新后，及時(shí)更新操作系統(tǒng)版本。本次針對(duì)終端的數(shù)據(jù)加密，項(xiàng)目計(jì)劃覆蓋五個(gè)城市(杭州、上海、北京、成都、廣州)，3000臺(tái)終端。技術(shù)方案產(chǎn)品架構(gòu)根據(jù)xxx本次項(xiàng)目計(jì)劃管理的終端數(shù)量，并結(jié)合賽門鐵克的自身架構(gòu)特點(diǎn)，建議采用兩級(jí)架構(gòu)，SEE管理服務(wù)器+SEE客戶端，部署獨(dú)立的MSSQLServer數(shù)據(jù)庫。SEE管理服務(wù)器從xxx的AD域同步計(jì)算機(jī)信息，便于客戶端分組和管理員的日常運(yùn)維分工。因?yàn)樾枰芾?000個(gè)客戶端，建議部署兩臺(tái)SEE管理管理器，兩臺(tái)服務(wù)器可以基于WindowsNLB實(shí)現(xiàn)負(fù)載均衡功能。在需要加密的電腦上部署SEE客戶端，SEE客戶端接收管理服務(wù)器的策略管理，在終端實(shí)現(xiàn)本地磁盤加密，也可以對(duì)從終端復(fù)制到外部存貯上的文件進(jìn)行管控。服務(wù)器容量估算本期終端加密項(xiàng)目供需要服務(wù)器三臺(tái)，兩臺(tái)SEE管理服務(wù)器，一臺(tái)后臺(tái)數(shù)據(jù)庫服務(wù)器。SEE管理服務(wù)器軟硬件要求：CPU4核*2內(nèi)存8-16G，硬盤實(shí)際存貯空間100G操作系統(tǒng)Windows2012R264位后臺(tái)數(shù)據(jù)庫服務(wù)器軟硬件要求：CPU4核*2內(nèi)存16G硬盤實(shí)際存貯空間300G（保存半年數(shù)據(jù)）操作系統(tǒng)Windows2012R264位數(shù)據(jù)庫SQLServer2014SP164位服務(wù)器可以部署在物理環(huán)境或虛擬環(huán)境中?；谏鲜鲇布渲?，SEE可以管理8000-10000臺(tái)電腦。系統(tǒng)冗余規(guī)劃為了能向客戶端提供穩(wěn)定和不間斷的服務(wù)能力，服務(wù)器需要考慮負(fù)載均衡和故障冗余能力。本期項(xiàng)目所涉及到管理服務(wù)器側(cè)的各個(gè)組件均可實(shí)現(xiàn)高可用保障。AD域控制器可以通過AD自帶的冗余機(jī)制實(shí)現(xiàn)不間斷服務(wù)。 數(shù)據(jù)庫服務(wù)器可以基于SQLServer自帶的復(fù)制，集群技術(shù)實(shí)現(xiàn)高可用保障。 SEE管理服務(wù)器基于WebService機(jī)制與客戶端進(jìn)行通信，可以通過WindowsNLB服務(wù)器實(shí)現(xiàn)負(fù)載均衡功能?？蛻舳瞬渴饘?duì)于新裝機(jī)，SEE客戶端可以預(yù)先部署在標(biāo)準(zhǔn)映像中。最終用戶拿到電腦時(shí)，SEE客戶端已經(jīng)安裝成功。對(duì)于在用電腦，SEE的客戶端可以通過xxx自研的“桌管軟件”進(jìn)行推送安裝。桌管軟件支持Windows和Mac平臺(tái)，所以本次項(xiàng)目中需要進(jìn)行加密管理的電腦，都可以通過桌管軟件來推送安裝客戶端。SEE的Windows客戶端安裝包基于MSI技術(shù)。管理員可以通過參數(shù)設(shè)定，實(shí)現(xiàn)免干預(yù)的自動(dòng)化后臺(tái)安裝。SEE為最終用戶提供忘記密碼時(shí)的自我密碼恢復(fù)機(jī)制。用戶只需要回答在客戶端安裝過程中預(yù)設(shè)的3個(gè)問題，就能跳過預(yù)啟動(dòng)認(rèn)證界面。進(jìn)行操作系統(tǒng)登錄環(huán)境。除了需要用戶自行設(shè)定的忘記密碼時(shí)的自助問題和答案設(shè)定需要用戶參與設(shè)定。整個(gè)安裝過程可以不需要最終用戶參與?？蛻舳顺跏即疟P加密 在Windows平臺(tái)上，用戶可以繼續(xù)照常工作。SEE客戶端會(huì)在安裝完畢后，后臺(tái)自動(dòng)開始進(jìn)行磁盤數(shù)據(jù)加密，而不會(huì)影響用戶的工作。即便出現(xiàn)關(guān)機(jī)，休眠情況，也不會(huì)影響磁盤數(shù)據(jù)的完整性。SEE通過內(nèi)部容錯(cuò)機(jī)制，確保在加密過程中，不會(huì)出現(xiàn)數(shù)據(jù)丟失情況。 在Mac平臺(tái)，SEE客戶端需要獲得當(dāng)前用戶的許可，才能激活FileVault功能。這個(gè)過程是受MacOSX和FileVault自身的安全機(jī)制所限。FileVault需要在啟用加密功能時(shí)，指定哪些用戶是可以進(jìn)行解密操作。在FileVault的加密功能被激活后，PersonalRecoveryKey會(huì)被SEE客戶端上傳到SEE管理服務(wù)器。在用戶忘記登錄密碼，或是人員離職時(shí)，管理員可以從SEE管理服務(wù)器查詢密鑰進(jìn)行磁盤解密操作?？蛻舳艘苿?dòng)存貯加密SEE的客戶端有針對(duì)可移動(dòng)介質(zhì)的文件加密功能。SEE管理員，可以設(shè)置對(duì)于拷貝到移動(dòng)介質(zhì)的文件所需要進(jìn)行的操作。SEE客戶端可以自動(dòng)加密新文件，由用戶手動(dòng)加密文件或是基于DLP對(duì)于文件內(nèi)容的檢測(cè)結(jié)果判斷來決定是否加密?？紤]到用戶使用習(xí)慣，節(jié)約員工教育成本，SEE可以設(shè)定檢測(cè)策略，當(dāng)電腦插入U(xiǎn)盤時(shí)，SEE會(huì)自動(dòng)復(fù)制解密程序到U盤（適用于Windows和Mac的兩個(gè)可執(zhí)行程序）。采用自動(dòng)加密策略時(shí)，所有被復(fù)制到U盤上的新文件都會(huì)被SEE客戶端自動(dòng)加密。如果策略設(shè)定，允許用戶自行選擇是否需要加密拷貝到U盤的文件，這就需要用戶手工觸發(fā)加密動(dòng)作。用戶選中文件后右鍵鼠標(biāo)，會(huì)提示加密選項(xiàng)，點(diǎn)擊加密會(huì)要求用戶輸入密碼（只需要在第一次加密文件時(shí)輸入，后續(xù)會(huì)記錄為默認(rèn)密碼）。與DLP的集成僅依靠SEE客戶端，企業(yè)只能強(qiáng)制規(guī)定加密復(fù)制到Ｕ盤的所有文件。采用這樣的要求就會(huì)存在一刀切的情況，一些無關(guān)企業(yè)機(jī)密的非敏感數(shù)據(jù)也會(huì)被硬性加密。如果給與員工一定的自由度，由用戶自行選擇是否需要對(duì)文檔加密。這樣的要求，就需要企業(yè)持續(xù)不斷地開展員工教育工作。使得所有員工對(duì)于企業(yè)規(guī)定的敏感信息都有一致地、清楚地、準(zhǔn)確地了解，并主動(dòng)愿意在日常工作中愿意照此策略執(zhí)行。在實(shí)際操作中，很多企業(yè)的員工出于工作便利的想法或是懶性心理的驅(qū)動(dòng)，不會(huì)主動(dòng)愿意加密被復(fù)制到U盤的文件。因此，賽門鐵克推出了基于內(nèi)容識(shí)別的DataLossPrevetion(簡(jiǎn)稱：DLP)產(chǎn)品。DLP可以按照企業(yè)定義的敏感信息保護(hù)策略，在終端、網(wǎng)絡(luò)、存貯上主動(dòng)監(jiān)控?cái)?shù)據(jù)的流轉(zhuǎn)。在終端上，DLP的客戶端會(huì)實(shí)時(shí)監(jiān)控所有由本地硬盤復(fù)制到Ｕ盤的動(dòng)作，并能識(shí)別，分析文件內(nèi)容與企業(yè)信息保護(hù)策略相匹配。DLP產(chǎn)品可以與SEE的加密功能結(jié)合，連動(dòng)。當(dāng)用戶復(fù)制文件到U盤時(shí)，DLP客戶端檢測(cè)文件是否屬于敏感數(shù)據(jù)。如果屬于敏感數(shù)據(jù)，DLP客戶端會(huì)調(diào)用SEE客戶端自動(dòng)加密該文件。如果不屬于敏感數(shù)據(jù)，則該文件會(huì)被放行，不經(jīng)加密直接拷貝到U盤?？蛻舳伺c服務(wù)器通訊SEE管理服務(wù)器與客戶端之間通信流量，取決于管理員配置的客戶端與服務(wù)器的通訊間隔。客戶端與服務(wù)器一次正常通訊產(chǎn)生的數(shù)據(jù)包在40K字節(jié)左右。以3000臺(tái)終端為例，在一次心跳時(shí)間（一小時(shí)）內(nèi)發(fā)生的實(shí)際流量為40K*3000=120M，每秒服務(wù)器的策略下載流量為120M/(3600s)=33.3Kbyte，需要占用帶寬為266.4Kbps。服務(wù)器和客戶端之間的日志流量，一般客戶端一天（工作時(shí)間）發(fā)生的日志量是20條--200條（視終端記錄的事件發(fā)生頻率而變化），我們以每心跳時(shí)間內(nèi)發(fā)生200條日志這個(gè)極限來計(jì)算。200條日志壓縮后的大小大概在20K左右，每次心跳發(fā)生時(shí)服務(wù)器收到的流量大小為3000用戶*20K=60M，每秒流量為60M/（3600s）=16.8byte，需要占用帶寬為134.4Kbps，對(duì)于現(xiàn)有網(wǎng)絡(luò)帶寬影響很小。最終用戶的日常使用場(chǎng)景初始部署和加密SEE的Windows客戶端安裝包基于MSI技術(shù)。管理員可以通過參數(shù)設(shè)定，實(shí)現(xiàn)免干預(yù)的自動(dòng)化后臺(tái)安裝。在加密過程中用戶可重新或進(jìn)行正常的日常工作，筆記本在離開電源時(shí)會(huì)停止加密。整個(gè)安裝過程除了需要用戶自行設(shè)定的忘記密碼時(shí)的自助問題和答案設(shè)定需要用戶參與設(shè)定之外，其它步驟可以不需要最終用戶參與。如果需要忘記密碼后的自我恢復(fù)登錄，在完成軟件部署后，會(huì)彈出問題填寫菜單，用于后日的自我恢復(fù)的問題答案。SEE為最終用戶提供忘記密碼時(shí)的自我密碼恢復(fù)機(jī)制。用戶只需要回答在客戶端安裝過程中預(yù)設(shè)的3個(gè)問題，就能跳過預(yù)啟動(dòng)認(rèn)證界面。進(jìn)行操作系統(tǒng)登錄環(huán)境。Mac平臺(tái)下，用戶根據(jù)SEE安裝向?qū)瓿绍浖惭b。SEE客戶端與服務(wù)器注冊(cè)完畢后，會(huì)自動(dòng)彈出窗口要求輸入用戶和密碼。驗(yàn)證通過后，F(xiàn)ileVault功能即被啟用。預(yù)啟動(dòng)認(rèn)證Windows平臺(tái)在SEE的客戶端安裝程序完成后用戶需要重啟系統(tǒng)，一般第二次重啟后預(yù)啟動(dòng)登新界面將出現(xiàn)。在重啟后的初次登陸時(shí)，SEE沒有記錄用戶名信息記錄，所以需要用戶手工輸入用戶密碼。以后的再次登陸系統(tǒng)會(huì)自動(dòng)記錄登陸名，用戶只需要輸入密碼，無需再次登陸windows系統(tǒng)，軟件自動(dòng)實(shí)現(xiàn)單點(diǎn)登陸。在Mac平臺(tái)上，出于安全考慮，在系統(tǒng)啟用加密功能后，會(huì)取消自動(dòng)登錄功能。用戶需要在系統(tǒng)重啟后每次登錄時(shí)輸入帳號(hào)和口令。數(shù)據(jù)恢復(fù)Windows臨時(shí)需要解密系統(tǒng)方案1:聯(lián)系Helpdesk 用戶通過Helpdesk遠(yuǎn)程聯(lián)系管理員，用戶只需提供機(jī)器名與序號(hào)，無需挑戰(zhàn)響應(yīng)，Helpdesk在驗(yàn)證用戶身份后提供序列號(hào)完成驗(yàn)證操作。方案2:獲得加密管理員幫助 SEE的管理員可以設(shè)定指定的系統(tǒng)帳號(hào)來進(jìn)行解密操作，當(dāng)用戶忘記自己的密碼時(shí)，可以由加密管理員代為登錄。密碼忘記的系統(tǒng)登錄可使用之前用戶自行設(shè)置的問題進(jìn)行恢復(fù) SEE為最終用戶提供忘記密碼時(shí)的自我密碼恢復(fù)機(jī)制。在客戶端安裝過程，需要用戶自行設(shè)定的忘記密碼時(shí)的自助問題和答案。 然后在預(yù)啟動(dòng)登陸界面按F4，然后選中Self-Recover，回答提示問題。用戶只需要回答在客戶端安裝過程中預(yù)設(shè)的3個(gè)問題，就能跳過預(yù)啟動(dòng)認(rèn)證界面。進(jìn)行操作系統(tǒng)登錄環(huán)境?？墒褂眉用芄芾韱T賬戶在本地進(jìn)行登錄可使用helpdesk協(xié)助，用戶只需提供機(jī)器名與序號(hào)，無需挑戰(zhàn)響應(yīng)系統(tǒng)無法正常啟動(dòng)無法進(jìn)入預(yù)啟動(dòng)界面通過USB的WinPE啟動(dòng)系統(tǒng)，然后進(jìn)行預(yù)啟動(dòng)界面恢復(fù)通過USB的WinPE啟動(dòng)系統(tǒng)，然后進(jìn)行MBR修復(fù)預(yù)啟動(dòng)成功，但Windows系統(tǒng)出現(xiàn)問題通過USB的WinPE啟動(dòng)進(jìn)行數(shù)據(jù)解密，再進(jìn)行Windows系統(tǒng)修復(fù)數(shù)據(jù)恢復(fù)Mac系統(tǒng)解密需求用戶可以在操作系統(tǒng)的系統(tǒng)設(shè)置中關(guān)閉Filevault，但SEE客戶端會(huì)將FileVault被關(guān)閉的信息發(fā)送到管理服務(wù)器，同時(shí)SEE客戶端的狀態(tài)變?yōu)椤氨还芾恚谩?。操作系統(tǒng)重新安裝可以進(jìn)入OS情況下，可先備份數(shù)據(jù)，再進(jìn)行重新安裝如果已經(jīng)無法進(jìn)入OS，需要先解密系統(tǒng)，再進(jìn)行數(shù)據(jù)備份與重新安裝，密碼忘記或操作系統(tǒng)錯(cuò)誤的恢復(fù)進(jìn)入recovery模式，提供向helpdesk設(shè)備號(hào)及用戶名，helpdesk提供恢復(fù)密碼字串進(jìn)入recovery模式，使用系統(tǒng)中之前配置恢復(fù)證書實(shí)施方案參與本次項(xiàng)目實(shí)施，除xxx外，有賽門鐵克原廠，賽門鐵克合作伙伴。為提高工作效率，需要三方協(xié)同工作，相互配合完成項(xiàng)目實(shí)施。下面是實(shí)施進(jìn)度安排，以及三方投入人天的計(jì)劃估算。終端加密項(xiàng)目的管理側(cè)實(shí)施和小范圍測(cè)試預(yù)計(jì)需要2周時(shí)間完成。此階段具體人天估算如下：賽門鐵克原廠8天，Symantecpartner7天。后續(xù)大規(guī)模推廣階段，預(yù)測(cè)每工作日推送完成50臺(tái)電腦的SEE客戶端并開始加密作業(yè)，每周可推送250臺(tái)電腦。按照項(xiàng)目范圍推送3000臺(tái)電腦，預(yù)計(jì)需要12周時(shí)間。整個(gè)項(xiàng)目預(yù)計(jì)需要三個(gè)月時(shí)間完成。預(yù)計(jì)的推送失敗率約2%左右，這些推送不成功的電腦需要人工在現(xiàn)場(chǎng)排查處理。管理側(cè)實(shí)施和小范圍測(cè)試實(shí)施進(jìn)度安排根據(jù)本期項(xiàng)目實(shí)施范圍，實(shí)施進(jìn)度安排如下：序列工作內(nèi)容原廠認(rèn)證伙伴1

1.1終端環(huán)境調(diào)研

0.51.2原有系統(tǒng)使用規(guī)則策略情況調(diào)研0.51.3具體實(shí)施步驟及文檔提交12

2.1服務(wù)器部署

13

3.1策略測(cè)試調(diào)優(yōu)以及部署

213.2終端agent測(cè)試推送

24

4.1Pilot機(jī)器部署10臺(tái)134.2Pilot終端功能測(cè)試

1

15對(duì)我司駐場(chǎng)工程師進(jìn)行操作培訓(xùn)

1

各階段目標(biāo)及交付物需求分析及架構(gòu)設(shè)計(jì)本階段目標(biāo)主要是進(jìn)行實(shí)施前調(diào)研，整理相關(guān)系統(tǒng)需求，并完成系統(tǒng)實(shí)施詳細(xì)實(shí)施方案。?《終端加密管理系統(tǒng)需求分析報(bào)告》?《終端加密管理實(shí)施詳細(xì)實(shí)施方案》服務(wù)器實(shí)施階段本階段目標(biāo)主要是完成終端加密管理系統(tǒng)所有服務(wù)器的安裝、部署、配置工作，并形成相關(guān)報(bào)告。? 《終端加密管理系統(tǒng)安裝手冊(cè)》? 《終端加密管理系統(tǒng)安裝報(bào)告》策略部署階段根據(jù)前期需求報(bào)告進(jìn)行策略設(shè)計(jì)、測(cè)試和部署，并根據(jù)實(shí)際部署情況形成策略部署手冊(cè)，便于后期推廣。? 《終端加密管理系統(tǒng)策略設(shè)計(jì)》? 《終端加密管理系統(tǒng)策略部署手冊(cè)》系統(tǒng)試點(diǎn)上線階段系統(tǒng)上線階段主要進(jìn)行系統(tǒng)日常運(yùn)維、配置優(yōu)化、策略優(yōu)化等工作，并完成相關(guān)文檔編寫。? 《終端加密管理系統(tǒng)運(yùn)維手冊(cè)》? 《終端加密管理系統(tǒng)災(zāi)難恢復(fù)手冊(cè)》全公司推廣及部署階段根據(jù)試點(diǎn)情況推廣部署前完成相關(guān)文檔工作，并在推廣部署階段進(jìn)行郵件、電話等方式技術(shù)支持；? 《終端加密管理系統(tǒng)推廣安裝手冊(cè)及故障知識(shí)庫》項(xiàng)目溝通和管理基于多年國(guó)內(nèi)和國(guó)際大型安全工程的實(shí)施經(jīng)驗(yàn)，結(jié)合國(guó)際先進(jìn)項(xiàng)目管理體系理論，賽門鐵克建立起一整套完備的項(xiàng)目管理體系、規(guī)范、流程、方法論，以及相應(yīng)的和質(zhì)量保證措施體系。質(zhì)量管理的關(guān)鍵在于完備的質(zhì)量保證計(jì)劃和實(shí)施。在項(xiàng)目實(shí)施前，能夠預(yù)見到管理過程中可能出現(xiàn)的風(fēng)險(xiǎn)，并且通過溝通、審核、規(guī)定等予以避免或消除。保證每個(gè)階段都能夠按照預(yù)先定義的需求和成果輸出得到圓滿的完成。消除實(shí)施工程中可能出現(xiàn)的偏差、歧義、隨意理解、失去跟蹤等。根據(jù)項(xiàng)目的具體需要，本項(xiàng)目中采取以下措施保證過程和輸出的質(zhì)量：配置管理、變更管理、溝通管理、報(bào)告和日志制度、項(xiàng)目協(xié)調(diào)會(huì)議等。配置管理在項(xiàng)目進(jìn)程中，在項(xiàng)目經(jīng)理的指導(dǎo)下，支持服務(wù)組將維護(hù)項(xiàng)目相關(guān)的各種合同、規(guī)定、聲明、備忘錄、其它用戶輸入、規(guī)范、方法論、工具軟硬件版本和型號(hào)、以及各種輸出的基線（Baseline）。保證項(xiàng)目各服務(wù)內(nèi)容中所用到的知識(shí)基礎(chǔ)和工具等都是一致的和最新的。所有文檔的版本修改和更新將在配置管理的版本控制和變更控制之下。所有產(chǎn)品的軟件版本和硬件型號(hào)也將得到全程配置管理的有效控制。變更控制管理不受控制的項(xiàng)目變更，包括目標(biāo)變更、范圍變更、人員變更、環(huán)境變更、文檔修改等等是對(duì)項(xiàng)目質(zhì)量的重大威脅。但是，期望實(shí)施過程中不出現(xiàn)變更也是不現(xiàn)實(shí)的?？陀^上，項(xiàng)目可能需要隨時(shí)修改自己的計(jì)劃、調(diào)整資源分配等以適應(yīng)項(xiàng)目的最新情況。變更控制的關(guān)鍵在于使得變更的出現(xiàn)和接受被置于項(xiàng)目雙方的嚴(yán)格管理中。本項(xiàng)目中由專門的質(zhì)量保證工程師負(fù)責(zé)全程監(jiān)管項(xiàng)目中隨時(shí)可能出現(xiàn)的變更情況，保證不同層次的變更能夠得到相應(yīng)的、適當(dāng)?shù)奶幚?，所有重要的修改都?jīng)過項(xiàng)目雙方的認(rèn)真討論和確認(rèn)。在確認(rèn)接受變更的情況下，項(xiàng)目雙方可能需要重新審定工期、資源、目標(biāo)、甚至商務(wù)等相關(guān)條文，并且通過配置管理保證所有人員和基線相關(guān)條目都得到了更新。項(xiàng)目溝通在本項(xiàng)目中，將采用正式項(xiàng)目溝通程序和日常溝通相結(jié)合的方式，來保證參與項(xiàng)目的各方能夠保持對(duì)項(xiàng)目的了解和支持。這些管理和溝通措施將對(duì)項(xiàng)目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。正式的項(xiàng)目溝通包括項(xiàng)目啟動(dòng)會(huì)議、階段評(píng)審會(huì)議、項(xiàng)目協(xié)調(diào)會(huì)議、驗(yàn)收會(huì)議等，這些溝通通常提供書面的會(huì)議紀(jì)要共雙方簽字作為記錄。日常溝通的主要渠道包括：非正式會(huì)議Walkthrough、電話、電子郵件、傳真等。記錄和備忘錄鼓勵(lì)項(xiàng)目參加各方在項(xiàng)目進(jìn)行過程中隨時(shí)對(duì)相關(guān)問題進(jìn)行溝通，所有重要的、有主題的日常溝通活動(dòng)都應(yīng)留下記錄或形成備忘錄。通常，這些記錄或備忘錄需要雙方的簽字以作為備案。賽門鐵克項(xiàng)目經(jīng)理有責(zé)任將項(xiàng)目中出現(xiàn)重大變更、重要事件、進(jìn)展、以及其它與項(xiàng)目密切相關(guān)的內(nèi)容進(jìn)行記錄，從項(xiàng)目啟動(dòng)到項(xiàng)目終驗(yàn)，最終形成完整的項(xiàng)目日志。報(bào)告各種類型的報(bào)告是項(xiàng)目各方互相溝通的最正式的渠道和證據(jù)。報(bào)告包括一些通常不可缺少的報(bào)告以及其它雙方認(rèn)為必要的報(bào)告。通常必備的項(xiàng)目報(bào)告包括：? 項(xiàng)目計(jì)劃和進(jìn)展報(bào)告? 項(xiàng)目總結(jié)報(bào)告? 以及在各個(gè)階段輸出的項(xiàng)目成果文本等；項(xiàng)目協(xié)調(diào)會(huì)議會(huì)議是項(xiàng)目管理活動(dòng)的重要形式，是項(xiàng)目各方進(jìn)行正式溝通的渠道。雙方應(yīng)該在每個(gè)階段的開始、結(jié)束召開項(xiàng)目協(xié)調(diào)會(huì)議，以便就項(xiàng)目中遇到的問題進(jìn)行溝通，作出及時(shí)修正和調(diào)整。重要的項(xiàng)目協(xié)調(diào)會(huì)議都有正式的備忘錄予以紀(jì)錄和確認(rèn)。項(xiàng)目質(zhì)量控制質(zhì)量控制標(biāo)準(zhǔn)和方向 標(biāo)準(zhǔn)：質(zhì)量控制小組將以合同內(nèi)容為標(biāo)準(zhǔn)，站在公正的立場(chǎng)上，檢查、監(jiān)督、審核項(xiàng)目組的工作情況。方向：? 文檔控制。? 項(xiàng)目進(jìn)度控制。? 服務(wù)流程完整性控制。? 服務(wù)請(qǐng)求響應(yīng)時(shí)間和質(zhì)量控制。質(zhì)量控制的工作內(nèi)容根據(jù)賽門鐵克專業(yè)服務(wù)規(guī)范和合同要求。質(zhì)量控制小組將在項(xiàng)目開始前制定該項(xiàng)目的質(zhì)量控制標(biāo)準(zhǔn)，標(biāo)準(zhǔn)涉及質(zhì)量控制的幾個(gè)方向。由于項(xiàng)目時(shí)間長(zhǎng)，地域分布廣，質(zhì)量控制小組還應(yīng)預(yù)先考慮諸多困難因素，并書面提交項(xiàng)目經(jīng)理，以保證項(xiàng)目順利進(jìn)行。在項(xiàng)目中，需要將首次增強(qiáng)服務(wù)及定期審計(jì)服務(wù)的工作結(jié)果以文檔形式提交，文檔的格式、內(nèi)容需要符合企業(yè)的要求和賽門鐵克內(nèi)部規(guī)范，質(zhì)量控制將從這個(gè)角度對(duì)項(xiàng)目全程的文檔進(jìn)行控制。在項(xiàng)目啟動(dòng)階段，項(xiàng)目組應(yīng)將整個(gè)項(xiàng)目實(shí)施計(jì)劃交與質(zhì)量小組進(jìn)行備案。質(zhì)量控制小組將嚴(yán)格按照實(shí)施計(jì)劃對(duì)項(xiàng)目進(jìn)度進(jìn)行監(jiān)督和提醒，分析和發(fā)現(xiàn)阻礙項(xiàng)目按計(jì)劃進(jìn)展的不利因素，并提交項(xiàng)目經(jīng)理協(xié)調(diào)解決。質(zhì)量控制小組將根據(jù)實(shí)施方案中規(guī)定的服務(wù)流程，對(duì)項(xiàng)目實(shí)施過程監(jiān)控，收集客戶反饋意見，確保服務(wù)流程的完整性。驗(yàn)收階段，項(xiàng)目組應(yīng)將項(xiàng)目驗(yàn)收計(jì)劃和驗(yàn)收?qǐng)?bào)告樣本提交質(zhì)量控制小組。質(zhì)量控制部門應(yīng)根據(jù)驗(yàn)收計(jì)劃和驗(yàn)收?qǐng)?bào)告樣本檢查驗(yàn)收工作，收集客戶意見，保證項(xiàng)目驗(yàn)收順利進(jìn)行。在日常維護(hù)階段，質(zhì)量控制小組監(jiān)督日常維護(hù)小組對(duì)客戶服務(wù)請(qǐng)求的響應(yīng)是否及時(shí)，問題解決的質(zhì)量，定期收集客戶意見和對(duì)服務(wù)的方式的改善建議。方案優(yōu)勢(shì)公司實(shí)力Symantec公司是全球第三大獨(dú)立軟件公司，而且是全球最大的信息安全軟件和服務(wù)提供商。賽門鐵克在40多個(gè)國(guó)家和地區(qū)設(shè)有分支機(jī)構(gòu)，共有員工20000多人，賽門鐵克在全球擁有很多安全操作中心和安全響應(yīng)實(shí)驗(yàn)室，可以24x7全天候提供信息安全專業(yè)知識(shí)。賽門鐵克還在全球設(shè)立了超過25個(gè)支持中心，可以幫助個(gè)人和企業(yè)滿足其安全性和可用性需求。賽門鐵克公司是全球唯一的既提供安全技術(shù)產(chǎn)品又提供安全運(yùn)維服務(wù)的領(lǐng)導(dǎo)廠商和服務(wù)商。專著安全1、Symantec部署于全球的智能網(wǎng)絡(luò)：在180個(gè)國(guó)家擁有4萬個(gè)注冊(cè)傳感器已部署賽門鐵克防病毒產(chǎn)品的1.2億個(gè)客戶端、服務(wù)器和網(wǎng)關(guān)系統(tǒng)安全漏洞數(shù)據(jù)庫包含25,000多個(gè)漏洞賽門鐵克全球探測(cè)網(wǎng)絡(luò)通過跟蹤200萬個(gè)誘騙帳戶——占電子郵件總量的30%賽門鐵克全球覆蓋2、全球五家安全運(yùn)營(yíng)中心，提供1000多企業(yè)客戶的安全運(yùn)維服務(wù)；3、11家賽門鐵克研究中心，賽門鐵克產(chǎn)品為全球3.7億臺(tái)計(jì)算機(jī)或電子郵件用戶提供保護(hù)，并于99%的財(cái)富500強(qiáng)建立合作關(guān)系。如下圖所示：同時(shí)，賽門鐵克利用全球智能網(wǎng)絡(luò)收集到的真實(shí)數(shù)據(jù)，并經(jīng)過實(shí)踐經(jīng)驗(yàn)證實(shí)，然后定期發(fā)布《互聯(lián)網(wǎng)安全威脅報(bào)告》，是互聯(lián)網(wǎng)威脅活動(dòng)和安全趨勢(shì)的詳細(xì)報(bào)告，也是針對(duì)當(dāng)前互聯(lián)網(wǎng)安全前景提供全面分析的唯一公開性報(bào)告。全面本地化賽門鐵克為了滿足國(guó)內(nèi)客戶需求，已經(jīng)完成全面實(shí)現(xiàn)本地化，包括產(chǎn)品、服務(wù)、威脅收集和應(yīng)急響應(yīng)本地化工作。1）產(chǎn)品本地化：賽門鐵克北京研發(fā)中心的研發(fā)人員總數(shù)從250人擴(kuò)充到1000人，同時(shí)在成都成立了新的研發(fā)中心，也將達(dá)到1000人規(guī)模。2）服務(wù)本地化：賽門鐵克已經(jīng)在北京、上海、廣州和成都建立了全球同步的企業(yè)客戶支持中心，主要負(fù)責(zé)向在中國(guó)地區(qū)使用賽門鐵克產(chǎn)品的企業(yè)客戶提供產(chǎn)品技術(shù)支持和安全事件響應(yīng)；同時(shí)，賽門鐵克公司在全國(guó)范圍內(nèi)（除西藏外）建立授權(quán)服務(wù)中心，通過接受賽門鐵克公司的培訓(xùn)及認(rèn)證，共同為企業(yè)用戶提供安全產(chǎn)品支持與服務(wù)。3）威脅收集和應(yīng)急響應(yīng)本地化賽門鐵克與國(guó)家應(yīng)急響應(yīng)中心合作，已經(jīng)在國(guó)內(nèi)初步建立了探測(cè)網(wǎng)絡(luò)，收集安全威脅，

同時(shí)在中國(guó)成立安全響應(yīng)中心，提高對(duì)國(guó)內(nèi)流行的安全威脅的響應(yīng)速度。本地化服務(wù)體系方面賽門鐵克公司在中國(guó)已經(jīng)有10多年的專業(yè)服務(wù)歷史，為眾多大型客戶提供優(yōu)質(zhì)服務(wù)。服務(wù)的全國(guó)性客戶目前包括：中國(guó)人民銀行、中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行、華夏銀行、招商銀行、中國(guó)人民保險(xiǎn)公司、平安保險(xiǎn)公司、太平洋保險(xiǎn)公司、中國(guó)人壽保險(xiǎn)公司、中國(guó)移動(dòng)集團(tuán)、中國(guó)網(wǎng)通集團(tuán)、中國(guó)電信集團(tuán)、中國(guó)聯(lián)通集團(tuán)、中國(guó)石油天然氣總公司、中國(guó)石油化工總公司、中國(guó)海洋石油總公司等在全國(guó)擁有三級(jí)以上分支機(jī)構(gòu)的單位。賽門鐵克公司有一整套成熟的、合理的、有效的服務(wù)體系，并投入了巨大的人員和資金在全球構(gòu)建了服務(wù)后端支撐系統(tǒng)。支持中心Symantec在北京、上海、廣州和成都建立了全球同步的企業(yè)客戶支持中心，主要負(fù)責(zé)向在中國(guó)地區(qū)使用賽門鐵克產(chǎn)品的企業(yè)客戶提供產(chǎn)品技術(shù)支持和應(yīng)急響應(yīng)。主要服務(wù)內(nèi)容（參考附件技術(shù)支持服務(wù)）:電話支持通過電話支持，您能夠就任何問題聯(lián)系當(dāng)?shù)氐腟ymantec技術(shù)服務(wù)中心?；局С蛛娫捴С謺r(shí)間: 周一至周五9:00~18:00中國(guó)區(qū)技術(shù)支持熱線電話: 800-810-9771,800-810-3992電子郵件支持您也可以通過電子郵件的方式,獲得Symantec技術(shù)支持。Sym