滨州住房公积金管理信息系统差距分析整改建议方案.docx
- 文档编号:13382545
- 上传时间:2023-06-13
- 格式:DOCX
- 页数:80
- 大小:34.12KB
滨州住房公积金管理信息系统差距分析整改建议方案.docx
《滨州住房公积金管理信息系统差距分析整改建议方案.docx》由会员分享,可在线阅读,更多相关《滨州住房公积金管理信息系统差距分析整改建议方案.docx(80页珍藏版)》请在冰点文库上搜索。
滨州住房公积金管理信息系统差距分析整改建议方案
滨州市住房公积金管理信息系统差距分析整改建议方案
1信息系统现状
根据住房城乡建设部关于加快建设住房公积金综合服务平台的通知(建金[2016]14号)要求,充分利用“互联网+”技术,加快建设功能齐全、使用便捷、安全高效的住房公积金综合服务平台的网络安全建设,。
2安全需求分析
滨州住房公积金新上综合管理服务系统后,中心购置了部分安全设备对公积金内外网各区域进行了基础安全防护,经过本年度的安全测评发现,中心网络仍然存在安全隐患,急需对中心信息化相关软硬件环境和制度进一步整改完善。
2.1威胁分析
2.1.1外部攻击
外网区的网上服务厅、门户网站与互联网存在直接相连,面向互联网公开发布信息,因此很容易受到黑客的攻击,针对互联网的常见的攻击行为包括:
⏹主页篡改:
攻击者渗透政府网站,利用网络上、系统内的弱点,篡改主页内容,使政府形象蒙受很大损失,并且一些攻击者通过政府网站发布虚假信息,引起社会动荡,因此对于主页篡改应当是比较严重的攻击行为;
⏹拒绝服务攻击:
攻击者利用TCP/IP协议上的弱点,发动拒绝服务攻击(利用大量非正常的访问请求,或者发起大量异常的连接请求,消耗网站服务器、网站网络设备的资源,最终使网络站无法响应正常的访问请求,对于正常访问者来讲感觉就象在拒绝服务一样),使正常用户无法访问政务网络,破坏政府形象,严重地影响了正常政务的开展;
⏹网络假冒:
攻击者发布虚假的政府网站,使访问者误认为是合法的网站,而进行登录和操作,这种攻击行为往往是为何骗走合法用户的身份及口令(比如一些与个人利益相关的业务处理),从而利用其身份和口令进行进一步破坏,其后果是造成正常用户的权益被破坏,破坏政府形象,造成公民的损失;
⏹黑客渗透:
攻击者利用政府网站的弱点(包括操作系统、数据库、服务器硬件、网络设备、安全设备的弱策略等),对网站进行渗透,控制网站,严重的还可能利用网站进一步发起对网络的攻击,造成更严重的破坏。
2.1.2内部破坏
与外部攻击不同,内网区破坏往往由内部合法人员造成,他们具有对内部系统更多的访问权限,因此内部人员的恶意或无意破坏,对信息系统的安全、可靠运行将造成更大的影响,典型的内部破坏行为包括:
⏹内部恶意破坏:
内部人员利用自己的帐号访问网络,对业务系统服务器进行攻击,盗取他人的访问权限,越权访问信息,造成一些敏感性文件的泄露;或者直接删除数据,影响业务系统运行;
⏹内部无意破坏:
一些内部人员由于操作不当,错误使用外设设备存储和拷贝文件,造成蠕虫病毒的传播;;没有及时更新病毒库,没有正确配置安全设备的策略;没有正确配置网络路由,造成路由堵塞;错误删除数据,造成一些重要数据丢失;这些行为都将对政府网站造成影响;
⏹管理缺陷:
对信息系统缺乏良好的管理,或者是有效的监管手段,没有专业的人员进行安全维护;人员安全意识薄弱,没有能力辨别甚至规避自己的危险举动;缺少制度,发现缺少应急响应的能力和手段,发生安全事件后无法及时有效补救等;
⏹技术缺陷:
住房公积金业务平台目前正在建过程中,如果在本阶段没有全面地考虑安全问题,未来将在安全防护技术上存在着极大的缺陷,因缺少专业的安全防护技术将使信息系统运行面临各种安全风险的挑战。
2.2政策驱动
为进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础住房公积金业务平台络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
要实现等级保护,必须要遵循《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)及《信息系统安全等级保护基本要求》(全国信息安全标准化技术委员会),从物理层面、网络层面、系统层面、应用层面和管理层面等角度,并结合具体的安全技术要求和安全管理要求,对住房公积金的公积金业务平台工程安全进行具体的规划、设计和实施,确保住房公积金业务平台安全保护水平。
公积金业务平台是关系国计民生的系统工程,属于国家重要信息系统,因此在建设过程中必须要考虑等级保护建设要求,系统必须达到等保三级全等级的建设标准,因此针对中心系统平台的安全整改迫在眉睫。
3基于等保三级的差距分析
3.1、内外网网络全局
测试项
现状要求
现状描述
严重程度
边界完整性检查
应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
未部署准入控制等软硬件,不能对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
2
应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
未部署准出控制等软硬件,不能对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
2
入侵防范
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
可以记录攻击源IP、攻击类型、攻击目的、攻击时间,但不能提供报警功能;
4
3.2、NGFW4000防火墙
测试项
现状要求
现状描述
严重程度
安全审计
应能够根据记录数据进行分析,并生成审计报表;
天融信NGFW4000防火墙不能对数据进行分析,生成报表;
2
网络设备防护
应对网络设备的管理员登录地址进行限制;
天融信NGFW4000防火墙未对管理员登录地址进行限制,只有管理员知道账号密码;
2
主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
天融信NGFW4000防火墙通过账号密码登录,无两种或两种以上组合的鉴别技术来进行身份鉴别;
4
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
天融信NGFW4000防火墙密码只有小写字母,无复杂度要求,长度为7位,无定期更换。
5
3.3、路由器
测试项
现状要求
现状描述
严重程度
安全审计
应能够根据记录数据进行分析,并生成审计报表;
无第三方审计,不能生成审计报表;
3
3.4、交换机
测试项
现状要求
现状描述
严重程度
安全审计
应能够根据记录数据进行分析,并生成审计报表;
华为S7706核心交换机无法进行数据分析,不能生成审计报表;
4
3.5、服务器
测试项
现状要求
现状描述
严重程度
身份鉴别
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
INDOWS2008R2的用户身份标识唯一,按照应用系统特点创建;启用密码复杂性要求;密码最小长度值0字符;密码最长使用期限42天;
4
应启用登录失败处理功能,可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施;
服务器没有启用登录失败处理功能,没有采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施;
5
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;
没有采用两种或两种以上的组合鉴别技术对服务器的管理用户进行身份鉴别
2
访问控制
应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
WINDOWS2008R2系统的默认系统账户Adminnistrators的默认账户名没有被修改,也没有限制WINDOWS2008R2操作系统默认账户的访问权限;已禁用Guest账户;
2
应对重要信息资源设置敏感标记;
服务器的WINDOWS2008R2系统没有对重要信息资源设置敏感标记;
4
应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
服务器的WINDOWS2008R2系统没有配置针对有敏感标记重要信息资源的安全策略;
3
安全审计
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
操作系统只开启了审核成功登录事件与审核成功帐户登录事件,失败审核未开启,其他审核都未开启。
5
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
系统未开启审核记录。
2
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
系统未开启审核记录。
2
应能够根据记录数据进行分析,并生成审计报表;
系统未开启审核记录。
4
应保护审计进程,避免受到未预期的中断;
系统未开启审核记录。
3
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
系统未开启审核记录。
5
剩余信息保护
应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
服务器的WINDOWS2008R2操作系统没有配置不显示登录用户名等安全配置,用户鉴别信息所在的存储空间在被释放或分配给其他用户前没有得到完全清除;
5
应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;
服务器的WINDOWS2008R2操作系统没有启用关机清除虚拟内存页面文件等安全配置,其文件、数据库记录等资源所在的存储空间在被释放或重新分配前没有得到完全清除;
2
3.6、oracle数据库
测试项
现状要求
现状描述
严重程度
身份鉴别
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
登录oracle数据库的用户是sys,登录口令长度较为简单,口令没有定期更换;
4
安全审计
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
Oracle数据库默认的审计内容没有包括del.ins等重要系统命令的使用,且无第三方数据库日志审计系统。
4
应能够根据记录数据进行分析,并生成审计报表;
无OracleAuditVault日志审计工具;也无第三方审计系统,无法生成报表。
资源控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录;
在oracle数据库中没有设定终端接入方式和登录地址范围限制;
应根据安全策略设置登录终端的操作超时锁定;
采用oracle默认设置,没有登录终端的操作超时限制;
4
应限制单个用户对系统资源的最大或最小使用限度;
没有限制单个用户对oracle数据库系统资源的最大和最小使用限度;
3
4基于等保三级的安全整改方案设计
4.1内网网络全局
4.1.1网络准入设备
在内网区部署一台网络准入控制设备,能够对非授权设备私自联到内部网络的行为和内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
4.1.2防火墙
更换原有内网天融信防火墙,防火墙已运行接近十年,功能和稳定性都已无法满足中心现阶段网络安全要求,鉴于中心系统特点,在新购置防火墙中配置IPS模块,使得当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时能够提供报警。
为防止电脑感染僵尸病毒被远程控制,带来安全和法律风险,配置的防火墙应具备僵尸主机检测功能,并具备独立僵尸主机特征库。
4.1.3日志审计
在中心内网区域部署日志审计设备一台,应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
4.2外网网络全局
根据等级保护三级安全防护要求,提供如下安全整改措施:
4.2.1网闸
现有网闸为低端产品,端口数量和性能已经无法满足中心综合服务平台上线后的业务需求,现购置一台高端网闸,将原有网闸用于12329平台接入使用。
4.2.2云防护服务
随着综合服务平台的上线,中心外网安全等级要求迅速提升,业务连续性与数据安全性必须得到保障,业务中断与数据丢失都是不可接受的,外网安全成为中心信息化工作的重中之重,中心自有安全设备仅能实现被动的网络攻击防护,防护能力依赖安全设备策略库与数据库对攻击行为的覆盖程度,为保障中心网络与信息资源的安全,实现网络安全7*24小时主动防御,建议部署云防护服务,在中心网络入口之外建立一道防护盾,由国内顶级安全团队为中心外网业务提供实时防护服务。
4.3技术整改
4.3.1远程接入平台
现阶段中心系统维护存在外网远程直连的情况,存在重大安全隐患,作为准金融平台,必须严格保证内网与外网的物理隔离,为满足中心远程维护需求,保证中心网络及数据安全,急需搭建基于网闸隔离技术与虚拟透传技术的远程接入平台,通过安全加密网络进行远程访问,访问过程只传输操作行为数据,无业务数据传输。
4.3.2专业安全服务
中心综合服务平台及网厅急需上线,迫切需要根据新的网络架构和访问需求制定新的安全策略,单纯网络安全设备厂家只针对自己的设备进行安装调试,网络整体安全策略制定是一项非常复杂的工作,对架构师水平要求极高,现需购买专业安全架构服务,严格按照等保要求制定合理安全策略,并进行网络结构改造,完善网络安全管理规范,保障中心网络安全,避免数据泄露、病毒和来自网络内外部的攻击。
5整改方案预算分析
序号
项目名称
配置参数
数量
1
网络准入控制系统
一.资质要求
提供著作权登记证书、公安部计算机信息系统安全产品销售许可证、军用信息安全产品认证证书、微软WHQL兼容性认证。
二.技术要求
(一)设备基本要求:
提供软硬件一体化设备,设备可支持500用户。
设备自带linux操作系统和数据库,不允许使用windows平台。
系统为全中文管理界面,采用基于B/S架构的管理模式,以下描述功能均在一套系统管理后台中配置实现。
(二)拓扑发现
提供网络拓扑发现功能,自动发现接入网络的所有网络设备、主机、桌面PC、其他IP设备之间的二层连接关系,保证入网的PC、笔记本接入网络时能被及时发现。
实现对发现过的网络信息,根据子网掩码进行网段自动汇总,并对网段中IP占用情况进行图形化展示(需要提供系统截图)。
(三)终端接入管理
1、入网场景
实现终端设备通过交换机、路由器、HUB等接入网络时进行入网控制,可根据网络设备、用户、部门、网段、IP地址灵活配置接入管控策略。
2、入网控制方式
实现基于802.1X、端口镜像方式、策略路由方式等方式的入网控制;需要兼容主流网络设备,至少需要支持:
思科、华为、华三、锐捷等品牌。
3、入网终端发现识别
即时发现接入网络的各类终端,信息包含:
接入设备IP、接入设备MAC、接入的交换机端口、使用设备的用户。
能够准确的自动识别常见的设备类型并可以生成易于管理的树形结构设备列表。
PC终端支持WindowsXP/7/8/10,MacOSX、Ubuntu桌面系统、IOS、Android(需要提供客户端运行截图)。
移动终端支持手机、平板等移动终端设备WEB认证准入,可控制IP访问范围。
即时发现网络中常见的IoT设备,需要至少支持:
打印机、网络摄像头、IP电话,同时能够根据终端行为进行设备自动分组(需要提供系统截图)。
4、入网引导
对未安装客户端的计算机进行自动重定向式引导,提醒并帮助用户自助安装,页面重定向支持HTTP协议和HTTPS协议。
重定向引导页面内容可定制化,包括:
LOGO,文字,背景图片,标题等(需要提供系统截图)。
支持对内部指定的免检设备通过IP或MAC地址进行入网放行操作。
5、入网身份验证
支持微软AD域帐号、LDAP帐号、X.509证书、内置账号等进行准入身份验证,要求使用自主研发的认证服务器,不采用第三方。
6、入网检查
对已经安装客户端的计算机进行入网安全检查,包括接入身份的合法性,接入的硬件信息包括MAC地址、主机硬件标识等;检查入网计算机的安全设置(包括补丁检查、注册表检查、软件配置检查、Guest账户检查、弱口令账户检查、共享目录检查等),防病毒软件的安装与更新信息,支持现有防病毒客户端的入网检查;对检查过程中存在安全漏洞和没有安装指定软件的计算机隔离出网络,并提供修复区,引导用户自助修复。
7、入网权限控制
能够根据用户、部门和设备设置接入网络访问权限;能够自动判断网络打印机、网络摄像头、IP电话等IoT设备,并对这些设备进行自动入网授权,入网权限按照设备类型分配,实现权限最小化。
实现IoT设备仿冒检测,发现仿冒行为,立即隔离出网络(提供系统截图)。
(四)桌面管理
1、远程协助
远程协助必须经过终端用户同意后,管理员才可以上到终端用户系统界面,支持文件传输;终端用户可主动请求管理员远程协助;支持对管理员的远程会话审计/录像审计功能。
2、软件分发/卸载
软件分发支持带宽优化及控制、支持各种格式安装包,支持Multicast方式的分发以节约带宽;支持常见软件的静默卸载。
(五)补丁管理
1、补丁下载
支持微软WSUS补丁服务器,同时也支持独立的补丁服务器,能够自动从微软网站下载补丁,或者通过拷贝方式将补丁导入到补丁服务器;支持云补丁部署,快速检查终端补丁安装情况,不依赖于Windowsupdate。
2、补丁分发
支持分级分发;支持补丁分发对带宽、对业务终端性能的影响;要求补丁分发时,可以指定分发的开始时间、结束时间;对补丁分发带宽占用进行优化:
支持补丁分发时意外中断后的断点续传。
3、补丁安装
支持客户端自动检测并自动从服务器下载补丁安装,支持补丁分发时意外中断后的断点续传;支持蓝屏修复;能自动统计终端补丁程序安装率,并提供补丁分发报表;分别从补丁,或终端角度查看、统计补丁安装情况。
(六)移动介质管理
可对普通移动存储介质的使用进行管控,包括禁用、使用审计等管理;提供注册U盘管理;支持对移动存储介质进行安全性质加密。
(七)终端行为管控
非法外联控制
实现对非授权外连方式的审计和控制,包括USB大容量硬盘、GPRS无线上网卡、CDMA无线上网卡、红外、蓝牙、光驱、软驱、双网卡等。
可以设置审计或者禁止使用这些外连方式。
审计信息包括何时、哪台终端、哪个用户、使用什么外连方式、开始使用时间、结束时间、是否被阻止。
提供售后服务:
包含≧3年原厂服务,≧3年软硬件质保。
1
2
日志审计系统
1、专用1U硬件设备,配置4GB内存,2TB企业级硬盘,配置单电源,标配网口6个电口,1个RJ45,2USB2.0口。
内置50个主机审计许可证书,可用存储量2TB,6个千兆电口,接口可扩展;
2、支持获取各种主流网络及数据库访问行为,支持Syslog、WMI、OPSECLea、SNMPtrap和LogBase专用协议等协议事件日志,支持通过Http、Https、FTP、SFTP、SMB等协议获取各类文件型日志,支持基于SQL/XML标准内容获取;
3、系统支持对IP对象的自动发现功能;对自动发现的设备可以转资产或删除。
系统满足设备的信息采集要求,主要包括安全设备、操作系统(Linux、Windows、Windowserver、Uinx等)、数据库(Oracle、MySQL、SQLServer等)、应用系统(Apache、Tomcat、IIS、weblogic等)、网络设备(主流的路由器、交换机、负载均衡等网络设备等,如Cisco、华为、juniper等)。
4、支持对日志格式进行标准化操作时,将不破坏原始日志内容,能够从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段。
5、系统的标准化策略具备良好的可扩展性,可通过配置文件或界面实现管理功能。
6、★为保障产品的软件稳定性,要求厂商具备CMMI5证书
提供售后服务:
包含≧3年原厂服务,≧3年软硬件质保。
1
3
防火墙
1、性能指标:
三层吞吐量10Gbps,应用层吞吐量2Gbps;并发连接数220W,新建连接数12W;SSLVPN最大并发接入数1000,SSL最大加密流量300Mbps;IPSecVPN推荐接入隧道数1000,IPSecVPN加密速度300Mbps;2、硬件指标:
2U;SATA1T存储;双电源;标配6个千6电口+4个千兆光口,1个串口(RJ45),2个USB2.0;
3、访问控制策略支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
4、支持根据国家/地区来进行地域访问控制;(需提供相关功能截图证明)
5、入侵防护漏洞规则特征库数量在4000条以上,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案;(需提供截图证明并加盖厂商公章)
6、支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供相关功能截图证明)
7、支持对网站黑链进行检测;(需提供相关功能截图证明)
8、支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(需提供相关功能截图证明)
9、支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示,实时监测和展示最新的攻击威胁信息;(需提供相关功能截图证明)
10、支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;(提供威胁报告并加盖厂商公章)
11、资质:
产品应具备计算机信息系统安全专用产品销售许可证;要求厂商为公安部第二代防火墙(GA/T1177-2014)标准的制定单位之一;
提供售后服务:
包含≧3年原厂服务,≧3年软硬件质保。
1
4
网闸
1、采用专有硬件平台,2U标准机架式,千兆背板,多核并行架构(提供多核CPU工作截图及测试),双电源。
2、硬件配置:
外网主机:
标配6个10/100/1000MBASE-T独立数据通讯口(非管理口、HA口和MAN口),4个SFP光口(全部含模块),单独提供1个RJ-45管理口,2个USB标记安全认证口(支持硬件UKey钥匙加密);
内网主机:
标配6个10/100/1000MBASE-T独立数据通讯口(非管理口、HA口和MAN口),4个SFP光口(全部含模块),单独提供1个RJ-45管理口,2个USB标记安全认证口(支持硬件UKey钥匙加密);
整机至少配置8个千兆SFP光口和12个独立千兆电口(提供网闸接口面板的实物高清照片);设备前面板配置LED液晶显示屏,可直接显示设备型号、系统版本号、系统运行时间、CPU占用率、内存和闪存剩余空间等硬件信息。
3、系统延时<2ns,最小开关切换时间<1ns,背板带宽≥20G,数据摆渡吞吐量≥8Gbps,并发连接数≥150万。
4、采用“2+1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 滨州 住房公积金 管理信息系统 差距 分析 整改 建议 方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)