《一本大厦会员单位坐席上网行为审计系统购置项目需求说明.docx
- 文档编号:11898591
- 上传时间:2023-06-03
- 格式:DOCX
- 页数:32
- 大小:29.52KB
《一本大厦会员单位坐席上网行为审计系统购置项目需求说明.docx
《《一本大厦会员单位坐席上网行为审计系统购置项目需求说明.docx》由会员分享,可在线阅读,更多相关《《一本大厦会员单位坐席上网行为审计系统购置项目需求说明.docx(32页珍藏版)》请在冰点文库上搜索。
《一本大厦会员单位坐席上网行为审计系统购置项目需求说明
《一本大厦会员单位坐席上网行为审计系统购置项目需求说明书》
一.需求说明
根据公安部的82号令要求,接入互联网的单位必须要记录员工上网行为至少60天。
所以有鉴于以上情况,深油所一本大厦D楼会员单位坐席办公场地,现场建设有独立数据机房,为保证会员企业坐席(600坐席)正常办公上网,需要采购一台行为审计设备。
二.审计系统基本要求
本项目建设需要满足上网安全过滤、上网行为控制、上网流量管理、报告和审计和等四大项功能,具体功能如下所示:
2.1上网安全过滤
管理上网行为的一个重要原因即提升上网安全性,系统应提供多种安全强化能力,主动过滤含有恶意插件、危险脚本、木马、病毒的恶意网站,即使内网终端感染木马、病毒、被黑客控制,系统同样可以识别、封堵并报警。
恶意网站的过滤应该包括多种恶意网站类型内容,例如:
包括间谍软件、傀儡主机、键盘记录网站、钓鱼网站、病毒网站等等。
系统应该包含多种常见类型的恶意网站信息,可主动避免用户访问到这些具有严重网页危险的网站,而不是让用户访问这些网站,再靠本地防病毒软件进行查杀。
恶意网站的出现和消亡都非常快。
因此,要求系统必须能够即时更新最新的恶意网站,并去除已经清理的恶意网站。
这种实时更新的频率应该达到分钟级。
2.2上网行为控制
系统能够识别用户访问网页、P2P下载、聊天、炒股等行为,并能结合对象化的上网策略对用户的上网行为进行灵活的控制。
网站分类控制
提供详细的网站分类控制清单,应至少包括几十种的网站分类,涵盖千万级数量URL库地址。
管理员可方便的基于网站分类进行策略设定。
应包含但不限于以下网站类型:
成人网站、色情网站、病毒钓鱼网站、赌博网站、暴力不道德网站、黑客网站、反动迷信网站、新闻网站、娱乐网站、交友聊天网站等。
可自定义URL
可根据需要通过多种方式自定义URL及分类,如通过URL地址、域名正则表达式、网页关键字、网页特征等信息自定义URL类别。
也可设定白名单、黑名单等。
自定义URL优先于系统缺省网站分类。
网站分类每日更新
网站的分类信息必须具备每日更新,确保网站分类信息准确及时。
网站内容的动态分类
系统可提供对网站内容的动态分类,即对那些无论是未分类的网站还是属于像论坛、博客等快速更新类别的网站,系统应自动根据办公用户访问的每个不同网页的页面内容,自动实时进行网站的动态内容分类。
从而为Web2.0的互联网访问提供有效控制手段。
网络应用管理
系统内置规则库可识别与管理常见的互联网协议和应用,应包含但不限于以下类型:
P2P、即时聊天工具、流媒体、炒股、邮件、代理软件、远程控制、网络游戏、网上银行等。
详细的策略设置
系统可提供基于用户、用户组、IP、IP段以及时间、工作日等多种策略元素进行管理策略设置。
例如:
工作时间段不允许用户浏览与工作无关网站,而在下班时间段或周末则不做控制;不同的用户、用户组实现不同的分时段控制策略等。
多种控制方式
控制动作提供阻止、提示警告、仅监控等多种管理方式,可实现基于访问时间长度、流量份额、文件类型、关键字过滤等多种方式对用户的互联网访问进行管理。
可定制的警告界面
提供可定制、可以灵活调整修改的友好的提示警告界面。
在用户出现违规访问时,将显示警告界面。
2.2互联网流量管理
上网行为管理系统能通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。
在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。
同时,带宽的分配并不是一成不变的。
上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
2.3报告和审计
系统具备报告记录与统计分析功能,可使管理员方便直观的看到当前网络访问的网络流量、风险趋势等总体情况,也能够针对一个或多个用户、用户组、IP网段进行详细统计,对这些统计对象的指定时间段、指定网站类型、指定应用类型的上网行为进行审计。
日志存储
可提供存储6个月以上的报告能力,并可基于现有日志数据进行月、季度、年度等长时间跨度的分析报告。
可提供外置日志存储服务器,系统无法在设备本身内置的存储空间中存储的日志,可以定时、实时同步到外置日志存储服务器,以实现审计日志的海量存储。
选择性日志
为了减少大量无用日志信息,系统应该可具备选择性日志审计功能,可选择只记录特定网站类别访问的记录。
例如:
只记录访问成人网站的记录。
详细报告
系统应内置多种报告模板,为管理员和决策者提供不同角度的详细报告,详细报告中应该提供用户名、源IP、用户组、访问网站具体链接、网站类型、字节数、策略执行情况等详细信息,并可基于这些信息进行方便的排序、汇总、检索等功能,并提供柱状图、饼状图、曲线图等详细报告等分析工具。
报告订阅
管理员可收藏任意报告,并可制定计划定时产生和邮件发送报表,到管理员指定的邮箱。
三.审计系统技术要求
3.1性能及配置要求
使用带宽
≥100Mbps
吞吐量
≥1Gbps
网络接口
6个千兆电口
尺寸
1U
并发会话数
》500,000
用户规模
》1200人
硬盘
500G
内存
≥2G
3.2功能要求(深信服,网康)
类别
指标
具体功能要求
部署方式
网关模式
支持网关模式,支持NAT、路由转发、DHCP等功能;
网桥模式
支持网桥模式,以透明方式串接在网络中;
旁路模式
支持旁路模式,无需更改网络配置,实现上网行为审计;
多路桥接
必须支持多路桥接功能,最多可支持四进四出四网桥模式;
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台必须支持以硬件证书验证身份;
告警管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
关闭网管
在网关重启操作中支持关闭网关。
加密连接
必须具有IPSecVPN远程加密访问和连接的模块,并能提供IPSecVPN客户端授权远程接入访问;(提供产品界面截图)
排障工具
提供图形化排障工具,便于管理员排查策略错误等故障;
上网故障排除系统
支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大;
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;
上网行为监控
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
★Web访问质量检测
1、针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级
2、支持以列表形式展示访问质量差的用户名单
3、支持对单用户进行定向web访问质量检测
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA\lotusldap\novelldap\oracle、sqlserver、db2、mysql等数据库等第三方认证;
★双因素认证
必须支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
支持当用户MAC地址变动时,需要重新认证;
★短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;
短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑内容包括文字、颜色风格、图片,且图片支持轮询播放(提供界面证明)
★微信认证
1.支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后台记录用户ID(提供产品界面截图)
2.与第三方微信平台无缝对接,不需要修改第三方微信平台代码。
★二维码认证
支持二维码认证,管理员扫描访客的二维码后对其网络访问授权(提供产品界面截图)
新用户认证
根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则;
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
账户有效期
指定账户支持有效期限制,并支持自动过期;
单点登录
支持AD、POP3、Proxy、PPPOE、H3CIMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作;
可强制指定用户、指定IP段的用户必须使用单点登录;
强制AD认证
指定用户必须用AD域账户登录操作系统,否则禁止上网;
安全组嵌套同步
支持AD安全组嵌套同步;
★LDAP服务器的域对象的策略管理与同步
主要目的是对已有的AC与LDAP服务器结合进行优化,便于客户实现策略管理在AC上进行,用户管理在域上进行,不需同步用户到本地组织结构中即可实现策略管理功能
认证失败
支持为认证失败用户提供基本网络访问权限机制;
认证后页面跳转
认证成功的用户支持页面跳转:
1.跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
3.跳转到该用户上网信息排行页面;
4.跳转到注销页面;
帐户导入
支持从本地导入和扫描导入,支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息;
支持从外部LDAP服务器导入账户及分组信息;
组织结构
用户分组支持树形结构,支持父组、子组、组内套组等;
用户状态查询
支持用户登录时间、注销时间、在线时长的查询;
自动注销
支持自动注销指定时间内无流量的已认证用户;
冻结用户
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
★用户密码强度
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码必须包括数字或字母或特殊字符;(提供产品界面截图)
无线管理
★有线无线统一的管理界面
统一界面,能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态。
(所有项提供产品界面截图)
★内置无线控制器功能,直接管理AP
1.支持配置开放式,WPA-PSK/WPA2-PSK(个人)、WPA/WPA2(企业)三种接入方式。
2.对接入点支持配置工作模式、视频参数、负载均衡。
3.支持入侵检测、Dos攻击防御,射频智能调整。
4.支持多种日志,接入点日志,系统日志,安全日志,用户认证日志。
5.支持实时显示接入点故障,并提供诊断工具下载。
(所有项提供产品界面截图)
★基于SSID的策略
支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。
(所有项提供产品界面截图)
终端管理
★系统识别
支持识别终端操作系统版本、系统补丁安装情况;(必须提供自主知识产权证明,加盖厂商公章);
文件识别
支持识别终端硬盘指定目录下的文件情况;
★进程识别
支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供自主知识产权证明,加盖厂商公章);
注册表识别
支持识别终端系统注册表中指定的表项和键值;
自定义识别
支持终端调用管理员指定脚本/程序以满足个性化检查要求;
终端准入
支持win764位操作系统,支持在旁路模式部署下准入生效;
支持禁止不满足终端检查要求的用户访问互联网;
应用管理
★应用识别规则库
1、支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类;
2、支持给每个应用自定义标签;
3、支持根据标签选择一类应用做控制;
4、支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;
5、支持给每一种应用列上图标,易于客户了解应用的特征。
(提供产品界面截图)
★应用控制
1、设备内置应用识别规则库,支持超过4600条应用规则数,支持超过2100种以上的应用,650种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;(提供产品界面截图)
2、支持根据应用的特征智能识别新更新的应用;
3、支持根据IP、端口、协议等自定义应用规则;
4、支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
★应用细分控制
1.能够对新浪微博、腾讯微博、网易微博等进行细分控制,如:
登录、浏览、发微博、上传附件等。
2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制,如:
登录、浏览、发帖回帖、上传附件等。
3.能够对天涯论坛、猫扑社区、XX贴吧等论坛类应用做细分控制,如:
登录、浏览、发帖回帖、上传附件等。
4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制,如:
登录、上传、下载等。
(提供产品界面截图)
★移动应用的细分控制
支持对移动应用的细分权限控制,微信:
微信网页版、微信传文件、微信朋友圈、微信游戏。
移动QQ:
QQ传文件、QQ视频语音等。
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
QQ白名单
支持基于用户组、终端类型、位置、SSID的QQ白名单功能。
代理控制
1、不允许使用外部HTTP代理;
2、不允许使用外部Sock4/5代理;
3、不允许在HTTP,SSL一些的标准端口上使用其他协议;(比如在80端口上传输非HTTP协议数据,在443端口上传输非HTTPS协议数据等)
★共享接入管理(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.支持自定义配置终端数量和冻结时间。
2.支持“仅统计电脑”和“统计所有终端”两种模式。
3.支持可选“冻结IP”还是“冻结用户名”。
4.支持添加信任列表
5.支持显示以IP或用户名的维度统计一段时间内的趋势图。
6.支持例外排除功能:
如冻结条件是2.指定例外条件1台PC,2个终端。
当PC或终端数超过例外条件才会被判定为共享。
(提供产品界面截图)
7.支持在数据中心报表中可查询通过共享上网的IP、用户,并能导出报表;(提供产品界面截图)
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
★URL智能识别
必须支持未知网页的自动识别与分类(提供产品界面截图);
必须支持根据用户输入的关键字、url、自动分类未知网页;
★SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等(必须提供自主知识产权证明,加盖厂商公章);
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
关键字过滤
过滤同时匹配三个以上关键字的搜索行为;
过滤同时匹配三个以上关键字的网页访问行为;
网页过滤
支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为;
支持在放行URL时,自动放行主域名的子链接中被禁止的网站,保证网页显示完整;
发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为;
必须支持允许用户浏览帖子但不准发帖功能;
★SSL发帖管理
必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为;
网页附件管理
支持根据文件类型限制http、FTP方式上传、下载行为;
文件管理
外发文件告警
支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理措施;
支持根据外发文件类型、关键字等条件的过滤告警,
扩展名识别
支持基于外发文件的扩展名识别外发文件类型;
无扩展名识别
必须能识别删除扩展名的外发文件类型并报警
改扩展名识别
必须能识别篡改扩展名的外发文件类型并报警
压缩识别
必须能解压压缩文件后再识别内含真实文件类型并报警;
加密识别
必须能识别加密文件外发行为并报警;
邮件管理
邮件地址过滤
支持根据源地址和目的地址过滤外发邮件;
邮件附件过滤
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;(提供产品界面截图);
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
必须支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
邮件延迟审计
支持延迟外发问题邮件,人工审核后再外发的邮件处理机制;
支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、抄送人数等条件设置延迟审计的邮件;
支持当检测到有邮件被延迟审计时,系统自动发送一封通知发送到管理员邮箱;
SSL邮件管理
必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为;
加密Webmail管理
必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为,比如gmail;
★加密SMTP邮件过滤
支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤;(提供实际测试效果图)
★加密SMTP、POP3邮件审计
支持对加密HTTPS、POP3-SSL、POP3、IMAP、IMAP-TLS、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。
(提供实际测试效果图)
上网权限管理
上网时长控制
支持统计和控制用户终端每天上网时间,并支持排除应用或特殊端口后的灵活流量统计方法;
时间配额
支持对单个用户/用户组设置一天内总上网时长;
并发连接控制
支持限制指定用户最大并发连接数;
上网时间提醒
用户指定应用上网时长超过预设阈值后,网关自动提醒该用户;
上网流速提醒
用户指定应用上网流速超过预设阈值后,网关自动提醒该用户;
策略复用
上网策略对象与用户无关联,同一条上网策略可复用、重用;
策略有效期
必须支持上网策略对象的自动过期功能;
排除IP
不控制、不监控目标为排除IP的上网行为;
排除域名
不控制、不监控目标为排除域名的上网行为;
★上网策略适用多种对象
(包括上网权限、上网审计、上网安全等上网策略)
上网策略适用对象,适用于以下对象和应用类型
一、用户
1、本地组,2、安全组,3、域用户(ou和用户),4、域属性,5、源IP
二、位置
三、适用终端
四、URL类型控制能够针对:
网上购物、成人内容、求职招聘、宗教、在线影音及下载、游戏资讯、网上聊天、个人网站及博客、色情、赌博、非法药物、风水命理、娱乐场所、汽车、餐饮、钓鱼及恶意网站、网上银行、在线支付等各种URL类型做识别和分类,同时所有URL类型都支持区分“网站浏览”、“文件上传”、“其他上传”、“HTTPS”等细分行为并分别做权限控制。
(提供产品界面截图)
流量控制
带宽管理
必须支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流量;
支持根据百分比或数值设置通道带宽,并支持设置各通道的优先级;
★多线路技术
网关必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术(必须提供自主知识产权证明,加盖厂商公章);
★虚拟多线路
必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;(提供产品界面截图)
父子通道
必须支持流量父子通道技术,且至少支持三级父子通道;
★流控通道实时可视化
能够实时看到各级流控通道的状态:
包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,启用状态等。
(提供产品界面截图)
应用流控
支持基于应用类型、网站类型和文件类型划分与分配带宽;
★动态流控
支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率;
空闲值可自定义(提供产品界面截图)
★P2P智能流控
支持通过抑制P2P的下行流量,来减缓P2P的上行流量,从而解决网络出口在做流控后仍然压力较大的问题;
单IP限制
支持限制单个IP的最大上行和下行带宽;
用户带宽分配
支持平均分配、自由竞争等方式实现用户间带宽分配;
★Wan-lan流控
支持把每一个外网IP作为通道内的用户,使得通道的用户间公平分配带宽,以及单用户最高带宽属性对外网IP有效;
时间控制
支持基于时间段的带宽划分与分配策略;
目标IP流控
支持基于访问行为的目标IP/IP组实现带宽划分与分配;
流量配额
支持对单个用户/用户组设置日流量、月流量配额功能;
★流控策略适用多种对象
流控策略适用对象,适用于以下对象:
一、用户
1、本地组,2、安全组,3、域用户(ou和用户),4、域属性,5、源IP
二、位置
三、适用终端
四、文件类型:
电影、音乐、图片、压缩文件、应用程序等
五、URL类型:
新闻门户、网上购物、在线影音及下载、非法及不良、网上聊天、软件下载等(提供产品界面截图)
上网安全管理
★上网安全桌面
支持在默认桌面上虚拟出一个新的桌面,在虚拟桌面中上网,在推出安全桌面后,一切还原到干净的默认桌面,防止PC和内网中毒;
支持通过设置安全桌面和默认桌面网络访问权限,实现互联网和内网的内外网隔离;
支持通过设置安全桌面访问默认桌面目录文件访问权限,防止被动泄密;(提供产品界面截图)
恶意网址过滤
内置恶意网址库,支持对用户访问的URL进行恶意网址匹配和过滤;
★移动终端管理(非法Wi-Fi热点管控)
设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型;
支持管理员配置热点信任列表;
支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;
支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;
支持以图表方式显示移动终端接入趋势;
(提供产品界面截图)
★协议异常行为
必须能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量,防止内网感染(提供产品界面截图);
★危险插件管理
必须能识别网页中的插件,并过滤含有恶意插件的网页(必须提供自主知识产权证明,加盖厂商公章);
★危险脚本管理
必须能识别执行脚本的网页,并过滤脚本中隐藏木马等程序的网页;(必须提供自主知识产权证明,加盖厂商公章);
防范端口扫描
必须能识别并封堵端口扫描行为;
防范DOS攻击
必须能识别并封堵来自于内网或外网的DOS攻击;
防ARP欺骗
必须能防范三层网络环境中的ARP欺骗问题;
★病毒查杀
设备必须内置业界知名杀毒引擎;
必须支持HTTP下载、FTP下载、POP3、SMTP杀毒;
支持对HTTP、FTP等下载中启用文件类型杀毒;
病毒库支持通过服务器或本地加载病毒库方式定期升级;
防火墙
必须具有防火墙功能模块;
上网行为审计
网站审计
支持记录全部或者指定类别URL、网页标题等信息;
网页审计
必须能审计记录网页正文内容;
必须支持只记录含有指定关键字的网页正文内容;
必须支持记录SSL加密网页的内容;
审计分权限
支持对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大厦 会员单位 坐席 上网 行为 审计 系统 购置 项目 需求 说明