【正文】 。它包含所有節(jié)點(diǎn)運(yùn)作狀態(tài)，故障記錄的追蹤與檢查及平?？蓪?duì)各種通訊協(xié)議的測(cè)試。 網(wǎng)絡(luò)管理平臺(tái)和網(wǎng)管工作站 通過(guò)前面的分析，網(wǎng)絡(luò)系統(tǒng)設(shè)備采用了 cisco 的交換機(jī)、路由器和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器，針對(duì)系統(tǒng)的這個(gè)特點(diǎn)，推薦 cisco 公司的最新推出的網(wǎng)管系統(tǒng)CiscoWorks2022。 安全模型（ P2DR 模型）P2DR 方案是一個(gè)超前的安全模型，它是在對(duì)國(guó)際上安全方面可靠的權(quán)威著作進(jìn)行多年研究的基礎(chǔ)上獨(dú)自發(fā)展出來(lái)的。檢測(cè)主要包括 “漏洞檢測(cè) ”和 “入侵檢測(cè) ”兩個(gè)部分 。通過(guò)對(duì)我行網(wǎng)絡(luò)所面臨的安全狀況的分析，可將整個(gè)三峽建行網(wǎng)絡(luò)的安全性在總34 / 58體結(jié)構(gòu)上劃分為四個(gè)級(jí)別：網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和企業(yè)級(jí)安全。網(wǎng)絡(luò)安全的程度必然是動(dòng)態(tài)變化的，所以網(wǎng)絡(luò)安全不可能是一個(gè)靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的影響安全的因素來(lái)制訂整個(gè)網(wǎng)絡(luò)的安全策略對(duì)于系統(tǒng)安全設(shè)計(jì)，一定要充分考慮整個(gè)三峽建行網(wǎng)絡(luò)系統(tǒng)的實(shí)際需求和網(wǎng)絡(luò)現(xiàn)狀，以我行網(wǎng)絡(luò)與外部的連接作為安全設(shè)計(jì)的重點(diǎn)，可通過(guò)以下措施來(lái)從網(wǎng)絡(luò)物理層一直到應(yīng)用層保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全使用。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。因此，可以按照系統(tǒng)的安全性來(lái)劃分 VLAN：可以將總部中的服務(wù)器系統(tǒng)單獨(dú)劃作一個(gè) VLAN，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器等。如從分支機(jī)構(gòu)發(fā)一個(gè)信息到三峽建行時(shí)，這個(gè)信息包就可能被人截取和利用。在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止資料被非法竊取。在網(wǎng)絡(luò)入口處配置 realsecure 。外連網(wǎng)的安全設(shè)計(jì)在連接外部網(wǎng)時(shí)，使用路由器與外網(wǎng)進(jìn)行隔離，在路由器上設(shè)置訪(fǎng)問(wèn)控制列表（ACL） ，屏蔽未經(jīng)允許的訪(fǎng)問(wèn)。能夠?qū)λ芯W(wǎng)絡(luò)訪(fǎng)問(wèn)活動(dòng)和攻擊行為進(jìn)行過(guò)程監(jiān)控、威脅統(tǒng)計(jì)和預(yù)測(cè)。在三峽建行局域網(wǎng)在安全設(shè)計(jì)時(shí)將采取上述兩種劃分 VLAN 的策略來(lái)保證系統(tǒng)的安全性。但是，虛擬網(wǎng)技術(shù)也帶來(lái)了新的問(wèn)題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來(lái)越復(fù)雜，從而成為被攻擊的對(duì)象。三峽建行局域網(wǎng)在空間分布上是城域范圍的，局域網(wǎng)的安全必須認(rèn)真考慮，局域網(wǎng)安全主要有采取 VLAN 劃分以及利用安全軟件對(duì)局域網(wǎng)進(jìn)行掃描。此次網(wǎng)絡(luò)改造我們主要對(duì)網(wǎng)絡(luò)級(jí)安全加以設(shè)計(jì)。在檢測(cè)到安全漏洞和安全事件之后必須及時(shí)做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。P 2DR 模型如圖所示：Policy 策略、Protection 防護(hù)、Detection 檢測(cè)和 Response 響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問(wèn)題。 網(wǎng)管工作站設(shè)計(jì)由于網(wǎng)管工作站將實(shí)時(shí)處理網(wǎng)絡(luò)設(shè)備上傳的運(yùn)行參數(shù)，因此必須具備大內(nèi)存、高性能 CPU 和良好圖形顯示功能。? 用戶(hù)記帳管理: 建立統(tǒng)一的記帳系統(tǒng),對(duì)網(wǎng)絡(luò)資源的使用采取收費(fèi)記帳的方法,對(duì)不同的資源訪(fǎng)問(wèn)制定不同的收費(fèi)標(biāo)準(zhǔn)和算法。為了提高系統(tǒng)的分級(jí)安全性,設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)，便于管理和故障處理，監(jiān)控的實(shí)時(shí)性。這些都屬于流量增長(zhǎng)最快的應(yīng)用系統(tǒng)，流量大、隨機(jī)性強(qiáng)，流向可能是任意方向的，其中多媒體業(yè)務(wù)是面向非連接的，對(duì)時(shí)延非常敏感。在一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，應(yīng)該保證對(duì)于不同的應(yīng)用數(shù)據(jù)根據(jù)其具體要求提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時(shí)優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。 ● 網(wǎng)點(diǎn)廣域網(wǎng)鏈路備份 大的網(wǎng)點(diǎn)采用 CISCO 2600 路由器通過(guò) 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)，小的網(wǎng)點(diǎn)采用異步 MODEM 通過(guò) 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時(shí)利用 PSTN 鏈路作為備份線(xiàn)路。三峽建行局域網(wǎng)與外網(wǎng)連接圖如下：26 / 58 可靠性設(shè)計(jì)三峽建行網(wǎng)絡(luò)可靠性包括網(wǎng)絡(luò)設(shè)備備份和鏈路備份（包括電話(huà)撥號(hào)） 。在 Catalyst 2924 劃分VLAN 將管理網(wǎng)和營(yíng)業(yè)網(wǎng)隔離開(kāi)。 PFC2 15 WSX6KS2MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 amp。組網(wǎng)模型如下圖： 20 / 58 網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu) 設(shè)計(jì) 網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示： 局域網(wǎng)改造 局域網(wǎng)改造方案設(shè)備選擇在三峽建行網(wǎng)絡(luò)中心，增加一臺(tái)高性能的交換機(jī) Cisco Catalyst 6509，同時(shí)在 Cisco Catalyst 5505 增加千兆模塊和 RSM 路由模塊，通過(guò)兩條千兆鏈路連接起來(lái)，利用 Gigabit EtherFast 技術(shù)既相互備份，又負(fù)載均衡。 ● 保護(hù)現(xiàn)有投資保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。２、在條件允許的情況下，在三峽建行城域網(wǎng)內(nèi)能夠?qū)崿F(xiàn) IP 電話(huà)和視頻服務(wù)。在不影響關(guān)鍵業(yè)務(wù)運(yùn)行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理員可以定義、監(jiān)控并評(píng)估網(wǎng)絡(luò)連接性、安全性和性能策略，并進(jìn)行網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)。通過(guò)網(wǎng)絡(luò)改造實(shí)現(xiàn)全行核心業(yè)務(wù)的網(wǎng)段按照總行最近下發(fā)的〈〈關(guān)于調(diào)查 IP 地址使用情況及征集對(duì) IP 地址修訂建議的意見(jiàn)的通知 〉 〉的要求整合，外連業(yè)務(wù)網(wǎng)絡(luò)將采用新的接入方式，引進(jìn)統(tǒng)一的中間業(yè)務(wù)平臺(tái)和網(wǎng)絡(luò)連接平臺(tái)。14 / 58 外連網(wǎng)存在的問(wèn)題● 外連網(wǎng)缺乏統(tǒng)一的平臺(tái)，其廣域網(wǎng)地址不符合總行新的 Ip 地址分配規(guī)范，也需要做調(diào)整?！瘛〕鞘芯C合網(wǎng)（含清算 A 卡網(wǎng)）與總行采用的是 64K X25 線(xiàn)路，已經(jīng)無(wú)法承載新的業(yè)務(wù)●　一些網(wǎng)點(diǎn)由于業(yè)務(wù)量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點(diǎn)反映通信故障率比較高●　目前網(wǎng)點(diǎn)采用的串口通信協(xié)議 Slip，在新主機(jī)上支持不好，給主機(jī)安全運(yùn)行帶來(lái)隱患。● 黑客攻擊隱患 缺乏對(duì)黑客攻擊進(jìn)行防止、檢測(cè)和響應(yīng)的一整套防黑措施和相應(yīng)的安全體系，沒(méi)有明確的安全指導(dǎo)思想和安全模型，不能夠?qū)Π踩录M(jìn)行全過(guò)程監(jiān)控和作出相應(yīng)的響應(yīng)行動(dòng)，無(wú)法對(duì)整個(gè)安全系統(tǒng)進(jìn)行準(zhǔn)確有效的安全評(píng)估。主要包括以下幾個(gè)方面： ● 可靠性安全隱患由于某些網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件存在質(zhì)量問(wèn)題或缺陷，導(dǎo)致網(wǎng)絡(luò)在運(yùn)行過(guò)程中存在可靠性安全隱患。除少數(shù)應(yīng)用系統(tǒng)外，大多數(shù)應(yīng)用系統(tǒng)都向下推廣到縣支行一級(jí)，轄區(qū)內(nèi)管理網(wǎng)（企業(yè)網(wǎng)）用計(jì)算機(jī)大約 300 余臺(tái)，IP 地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。三峽建行企業(yè)網(wǎng)與總行連接采用的是中元公司提供的中元幀中繼，帶寬 64K。Catalyst 5505 還配有兩個(gè) 24 口 100M 以太網(wǎng)接口模塊、其中連接兩臺(tái) 2924 交換機(jī)，并通過(guò) 2924 上的 100M FX 與乙辦以及丁辦相連。通過(guò)自架光纖與三峽建行辦公樓、甲路10 樓（老機(jī)房） 、乙辦以及丙辦連接構(gòu)成目前的三峽建行城域網(wǎng)，如圖所示：5 / 58如圖，三峽建行局域網(wǎng)的中心交換機(jī)為一臺(tái) Cisco Catalyst 5505，配有 1 個(gè)2 口 100M FX 光纖接口模塊，通過(guò)多模光纖與 318 和甲路機(jī)房的 1924C 連接。 三峽建行廣域網(wǎng)現(xiàn)狀三峽建行的廣域網(wǎng)線(xiàn)路普遍采用的低速通信鏈路，其中城市綜合網(wǎng)是主要租用中國(guó)電信的 DDN，前臺(tái)網(wǎng)點(diǎn)通過(guò)串口通信協(xié)議，直接連到三峽建行網(wǎng)絡(luò)中心的設(shè)備，部分縣行營(yíng)業(yè)部由于原來(lái)與清算共用線(xiàn)路還是采用的，利用路由器連接到三峽建行網(wǎng)絡(luò)中心，以上租用的線(xiàn)路帶寬都只有9600bps；清算 A 卡網(wǎng)絡(luò)由于縣支行已經(jīng)改為直連，可以說(shuō)向下已經(jīng)沒(méi)有單獨(dú)的線(xiàn)路，三峽建行清算 A 卡（含外幣卡）系統(tǒng)與總行和上海連接采用的是 64k （復(fù)用） ；三峽建行企業(yè)內(nèi)部網(wǎng)已經(jīng)與全轄所有二級(jí)機(jī)構(gòu)開(kāi)通連接，城區(qū)除乙辦和丙路辦、營(yíng)業(yè)部等少數(shù)是通過(guò)三峽建行自架的光纖上的以太網(wǎng)外，其余均租用電信的 DDN，縣支行大都采用的是 ，帶寬只有9600bps，以路由器方式接入。各系統(tǒng)應(yīng)用關(guān)系如下圖所示： 管理網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前正在管理網(wǎng)（企業(yè)網(wǎng)）使用的主要是基于 LOTUS/NOTES 平臺(tái)上開(kāi)發(fā)的應(yīng)用，現(xiàn)在在三峽建行轄區(qū)范圍內(nèi)管理網(wǎng)上運(yùn)行應(yīng)用系統(tǒng)主要包括：電子郵件系統(tǒng)、信息網(wǎng)站、人力資源、信貸信息管理、移民資金管理、辦公自動(dòng)化系統(tǒng)、國(guó)際結(jié)算系統(tǒng)等。但從總體整體上分析，三峽建行現(xiàn)有網(wǎng)絡(luò)中仍然存在著一些安全隱患。 ● 病毒入侵安全隱患一些應(yīng)用系統(tǒng)，特別是基于 WINDOWS 平臺(tái)的應(yīng)用系統(tǒng)，沒(méi)有安裝一些防計(jì)算機(jī)病毒的軟件，給計(jì)算機(jī)的安全造成了一定的隱患。 營(yíng)業(yè)網(wǎng)存在的問(wèn)題：●　目前前臺(tái)網(wǎng)點(diǎn)使用的 IP 地址不符合總行規(guī)范，必須加以調(diào)整?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）目前還沒(méi)有必要鏈路的備份措施。這次網(wǎng)絡(luò)改造中需要增加三峽建行網(wǎng)絡(luò)中心需要增加一臺(tái)高檔交換機(jī)，并增加配置 Catalyst 5505 相應(yīng)的第三層交換模塊。 網(wǎng)絡(luò)管理的需求具有網(wǎng)絡(luò)管理基本功能，提供設(shè)備管理、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓?fù)浒l(fā)現(xiàn)等。 語(yǔ)音、視頻應(yīng)用的需求１、在三峽建行一級(jí)安裝有能與與總行通話(huà)的 IP 電話(huà) 20 門(mén)，并能夠參加總行舉行的視頻會(huì)議?！?技術(shù)先進(jìn)性以先進(jìn)、成熟的網(wǎng)絡(luò)通訊技術(shù)進(jìn)行方案設(shè)計(jì)及實(shí)施，相關(guān)的技術(shù)均要符合國(guó)際標(biāo)準(zhǔn)。按照以上方式進(jìn)行組網(wǎng)，層次比較清晰，便于方案實(shí)施， 。三峽建行網(wǎng)絡(luò)中心局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D三峽建行網(wǎng)絡(luò)中心網(wǎng)絡(luò)拓?fù)鋱D如下：22 / 58網(wǎng)絡(luò)中心交換機(jī)設(shè)備配置表設(shè)備配置表如下：序號(hào) 產(chǎn)品號(hào) 產(chǎn)品名稱(chēng) 數(shù)量Catalyst 65091 WSC6509 Catalyst 6509 Chassis 1 2 WSCAC1300W Catalyst 6000 1300W AC Power Supply 13 WSCAC1300W/2 Catalyst Second 6000 1300W AC Power Supply 14 WSX6KS2MSFC2 Catalyst 6500 Supervisor Engine2, 2GE, plus MSFC2 amp。 設(shè)備選型：縣級(jí)支行局域網(wǎng)進(jìn)行改造，配置一臺(tái) Catalyst 2924 交換機(jī)，通過(guò)選用的 CISCO 2600 系列路由器分別與三峽建行相連。 外網(wǎng)的連接為了實(shí)現(xiàn)三峽建行和外網(wǎng)（主要是開(kāi)展的中間業(yè)務(wù)）的連接，通過(guò)將運(yùn)行中間業(yè)務(wù)的前置機(jī)和路由器之間放置一臺(tái) PIX 防火墻進(jìn)行物理隔離，配置一臺(tái)CISCO 3661，配置多口同步模塊，通過(guò) DDN 與證券營(yíng)業(yè)部相連，同時(shí)提供網(wǎng)上查詢(xún)等業(yè)務(wù)。廣域網(wǎng)線(xiàn)路備份 ● 支行廣域網(wǎng)鏈路備份支行選用 CISCO 2600 路由器通過(guò) 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)，同時(shí)利用 PSTN 鏈路作為備份線(xiàn)路。 面向應(yīng)用的網(wǎng)絡(luò)服務(wù) 業(yè)務(wù)分類(lèi)和數(shù)據(jù)特點(diǎn)的分析： 不同的應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)服務(wù)的要求不同。綜合類(lèi)業(yè)務(wù)系統(tǒng)包括訪(fǎng)問(wèn)行內(nèi)信息網(wǎng)站、Inter 瀏覽以及 IP 電話(huà)、視頻會(huì)議、網(wǎng)上培訓(xùn)多媒體增值業(yè)務(wù)等。對(duì)于諸多網(wǎng)絡(luò)硬件設(shè)備和網(wǎng)絡(luò)應(yīng)用，只有對(duì)網(wǎng)絡(luò)進(jìn)行有效地組織和管理,才能夠充分利用網(wǎng)絡(luò)軟硬件資源，發(fā)揮其效力，為系統(tǒng)應(yīng)用提供良好的網(wǎng)絡(luò)運(yùn)行平臺(tái)。31 / 58? 效率管理：效率管理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來(lái)網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。網(wǎng)管平臺(tái)設(shè)計(jì)將原有網(wǎng)管軟件 CWSI 進(jìn)行升級(jí)，采用 Cisco 公司提供的最新CiscoWorks2022 的廣域網(wǎng)套件，用于對(duì)網(wǎng)點(diǎn)網(wǎng)絡(luò)設(shè)備進(jìn)行管理，局域網(wǎng)套件，用于對(duì)三峽建行局域網(wǎng)進(jìn)行管理。它的指導(dǎo)思想比傳統(tǒng)安全方案有突破性提高。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。網(wǎng)絡(luò)級(jí)安全是指在網(wǎng)絡(luò)的下三層(物理層、鏈路層、網(wǎng)絡(luò)層)采取各種安全三峽建行網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)網(wǎng)絡(luò)級(jí)安全系統(tǒng)級(jí)安全應(yīng)用級(jí)安全企業(yè)級(jí)安全安全管理制度 審計(jì)病毒防范 加密數(shù)字簽名身份認(rèn)證安全漏洞檢測(cè) 安全監(jiān)控訪(fǎng)問(wèn)控制VLAN 劃分VPN數(shù)據(jù)包過(guò)濾安全級(jí)別安全手段35 / 58措施來(lái)保障整個(gè)三峽建行網(wǎng)絡(luò)的安全，包括數(shù)據(jù)包過(guò)濾、VPN 虛擬私有網(wǎng)、VLAN 的劃分、訪(fǎng)問(wèn)控制、身份認(rèn)證、數(shù)據(jù)包加密傳輸、安全審計(jì)、安全監(jiān)控和安全漏洞檢測(cè)等應(yīng)用級(jí)安全是指通過(guò)利用三峽建行網(wǎng)絡(luò)中各大應(yīng)用系統(tǒng)（如綜合業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、企業(yè)網(wǎng)系統(tǒng)等等）和大型關(guān)系型數(shù)據(jù)庫(kù)自身的安全機(jī)制，在應(yīng)用層保證對(duì)三峽建行網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)的信息訪(fǎng)問(wèn)合法性；系統(tǒng)級(jí)安全主要是通過(guò)對(duì)操作系統(tǒng)(UNIX、NT)的安全設(shè)置，防止利用操作系統(tǒng)的安全漏洞對(duì)整個(gè)三峽建行網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級(jí)安全主要是從三峽建行范圍內(nèi)的安全管理和計(jì)算機(jī)病毒防范兩方面來(lái)保障整個(gè)我行網(wǎng)絡(luò)的安全。 局域網(wǎng)安全設(shè)計(jì)由于局域網(wǎng)中采用廣播方式，因此，若在某個(gè)廣播域中可以偵聽(tīng)到所有的信息包，黑客就可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞都會(huì)暴露在36 / 58黑客面前。通過(guò)虛擬網(wǎng)設(shè)置的訪(fǎng)問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪(fǎng)問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。也可以按照機(jī)構(gòu)的設(shè)置來(lái)劃分 VLAN， VLAN 之內(nèi)的連接采用交換技術(shù)實(shí)現(xiàn)，VLAN 與 VLAN 之間采用策略路由來(lái)控制數(shù)據(jù)傳輸。因此在廣域網(wǎng)上發(fā)送和接收信息時(shí)要保證：除了發(fā)送方和接收方外，其它人是不可知悉的（隱私性） ；傳送過(guò)程中不被篡改（真實(shí)性） ；發(fā)送方能確信接收方不是假冒的（非偽裝性） ；發(fā)送方不能否認(rèn)自己的發(fā)送行為（非否認(rèn)） 。因?yàn)閮?nèi)部廣域網(wǎng)中安全弱點(diǎn)主要來(lái)自于網(wǎng)絡(luò)互聯(lián)設(shè)備和網(wǎng)絡(luò)傳輸設(shè)備的安全漏洞，故采用 ISS inter scanner 漏洞掃描工具從網(wǎng)絡(luò)層對(duì)整個(gè)內(nèi)部廣域網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評(píng)估，從而采取措施修復(fù)安全漏洞，加強(qiáng)安全管理、設(shè)備管理、軟件管理等