云资源池安全建设专项方案.docx
- 文档编号:18177181
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:26
- 大小:298.40KB
云资源池安全建设专项方案.docx
《云资源池安全建设专项方案.docx》由会员分享,可在线阅读,更多相关《云资源池安全建设专项方案.docx(26页珍藏版)》请在冰点文库上搜索。
云资源池安全建设专项方案
XXX云资源池安全建设方案
1.需求分析
等级保护管理规范和技术标准作为增强系统安全防护能力关键政策,是综合性安全系统工程,等级保护制度一样适适用于云环境,在云环境中,各私有云之间和各用户之间边界模糊化,无法划分区域,从而造成无法依据不一样区域面临防护需求制订不一样安全策略,无法满足等保要求。
云和虚拟化安全首先是要处理虚拟环境中网络流调度,其次依据网络流所属安全域,提供不一样检测和防护手段,最终应能满足云环境中弹性扩展对安全管理策略弹性迁移要求。
XXX云资源池对安全需求为:
Ø实现集中采集
依据XXX云资源池网络结构和应用特点,应采取“流量集中采集、安全产品自主分流”方法,避免多头采集带来性能损耗。
Ø实现集中管理和布署
实现对安全产品统一管理。
使得网络安全管理人员能在一个入口上完成不一样安全产品配置、修改和查询,而无须面对多个管理入口,从而有效提升管理效率。
Ø实现虚拟安全域可视化
能够直观展现虚拟安全域网络流连接情况,使得网络安全管理人员能够从不一样层次查看虚拟安全域IP资产情况,资产之间实际流量连接关系拓扑等。
从而有效避免虚拟资产黑箱化风险。
Ø实现虚拟流量入侵检测
能够对虚拟流量中病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为和网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,预防利用虚拟机被作为攻击跳板行为。
Ø实现虚拟流量网络及数据库行为审计
能够对业务环境下网络操作行为和数据库操作行为进行解析、分析、统计、汇报,用来帮助用户事前计划预防,事中实时监视、违规行为响应,事后合规汇报、事故追踪溯源,促进关键资产数据库、服务器等正常运行。
Ø实现虚拟环境下访问控制
能够提供针对租户南北向访问控制,集防火墙、VPN等多个安全技术于一身,同时全方面支持多种路由协议、QoS等功效,为租户网络边界提供了访问控制和远程VPN接入实现数据全程加密访问。
2.设计标准
依据以上对XXX云安全需求分析,XXX云安全资源池建设应遵照以下标准:
Ø多样产品组合,产生协同效应:
单一安全产品是无法满足高等级安全合规要求(比如等保),安全资源池支持多个虚拟安全产品并行运行,不一样种类安全产品组合在一起,产生协同效应,不仅能够产生出新安全价值,而且能够愈加好满足安全合规要求。
Ø高效利用资源,节省运维成本:
安全资源池能够将多个安全产品以虚拟机方法运行在一台硬件设备中,充足发挥了硬件性能,提升了硬件使用效率。
另外,在节省了硬件成本同时,还节省了以往多台硬件消耗机架租金、电力、人力维护等运维成本。
多个安全产品布署在同一台设备中,可节省交换机物理端口资源占用,缩短了产品上线时间。
Ø快速布署实现,即时应急响应:
安全资源池能够从安全市场取得多种安全产品虚机映像,经过虚机映像能够快速创建多种虚拟化安全产品,这个过程最多十几分钟,最快甚至只需要1~2分钟,从而实现了快速布署安全产品。
使得用户在面对安全威胁时,快速以安全产品组织防御体系,帮助用户做到对安全事件立即响应,维护用户利益。
Ø产品平滑升级,保障系统稳定:
安全产品会常常面临特征库或软件版本升级。
有些谨慎用户,期望在保障业务前提下进行升级操作。
如升级中发觉问题,用户期望能快速回退到最近正常状态。
使用安全资源池可开启多个虚拟机分别运行升级前后软件。
如升级后发觉问题,可快速切换。
保障业务稳定运行。
Ø灵活扩展组件,连续提升能力:
安全资源池既支持在单机硬件资源许可条件下,用户经过创建安全产品虚拟机,快速扩展自己安全能力;同时也要支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,经过在资源池中取得硬件资源并创建安全产品线虚拟机方法,近乎无限扩展安全能力。
Ø含有未来扩展到软件定义网络能力:
伴随云平台网络虚拟化技术升级,安全资源池应含有扩展支持SDN能力,能够和SDN网络对接,实现安全资源服务能力业务编排,并统一虚拟安全资源和物理安全资源。
3.整体架构
基于软件定义安全思想,实现了网络安全设备和它们接入模式、布署位置解耦合。
智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。
●安全资源池
由多种物理形态或虚拟形态网络安全设备组成,兼容各家厂商产品。
这些安全设备不再采取单独布署、各自为政工作模式,而是由管理中心统一布署、管理、调度,以实现对应安全功效。
安全资源能够按需取用,支持高扩展性、高弹性,就像一个资源池一样。
●转发层
本方案中转发层实现可依据XXX云资源池实际情况提供两种布署模式,即SDN模式和虚拟导流模式。
实现对IDC资源池虚拟流量牵引。
ØSDN模式:
适适用于云资源池采取SDN技术环境,即软件定义网络(SoftwareDefinedNetwork,SDN)中硬件交换机。
将网络安全设备接入转发层后,经过将流导入或绕过安全设备,即可实现安全设备布署和撤销,采取该模式需要和各云资源池SDN控制器进行联动,经过云资源池控制器对宿主机内部虚拟流量进行牵引或复制。
Ø虚拟导流模式:
适适用于云资源池采取非SDN技术环境,支持Vmware和KVM,经过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源池进行检测和审计,采取该模式需要在每台物理主机上(宿主机)安装虚拟导流器。
●平台管理中心
由侧重于安全方面应用组成,包含用户交互界面,将用户配置或运行中实时产生安全功效需求转化为具体安全资源调度策略下发给转发层给予实现,做到安全防护智能化、自动化、服务化。
提供北向API接口,接收上层综合管理系统管理。
4.安全资源池技术要求
安全产品虚拟化就是使软件和硬件相互分离,把软件从关键安装硬件中分离出来,使得安全产品系统能够直接运行在虚拟环境上,可允很多个安全产品同时运行在一个或N个物理硬件之上,形成安全资源池,对外提供各项安全服务。
以下图所表示:
安全资源池系统架构图
安全资源池管理系统负责安全产品虚机管理、授权管理和系统本身管理。
含有可集成多个虚拟安全产品于一身强大扩展能力,可依据云实际需求动态调整对应虚拟安全产品,而无需经过复杂硬件产品上架过程。
安全资源池关键功效要求以下:
Ø主机管理
支持对主机(宿主机Host)CPU、内存、硬盘资源使用情况进行监控,支持监控主机运行时间,支持远程关机、重启等操作。
Ø虚机管理
支持对虚机(安全产品虚机)创建、删除、开启、关闭、重启、暂停等操作,支持VNC(用于远程控制软件)、串口、HTTP多个对虚机管控方法。
支持虚机实时和二十四小时CPU、内存、磁盘读写监控。
支持虚机自定义设置CPU、内存、硬盘、网卡等资源,支持选择产品映像模板(安全市场中下载)创建对应安全产品虚机实例,实现对应安全功效。
虚机支持32位或64位CPU,支持共享和绑定CPU两种方法,网络接口支持桥、I/O透传和I/O虚拟化三种应用方法。
Ø产品市场
支持安全市场用户端,能够从安全市场源服务器下载多种安全产品映像和产品文档,用于创建虚机实例和配置虚机实例。
安全市场用户端支持下载第三方ISO文件,用于安装第三方产品虚拟机(比如windows、Centoslinux)。
更新安全市场源服务器上内容,无需更新安全资源池系统版本,即可创建更多类型安全产品虚机,满足日益增加安全需求。
Ø授权中心
支持对系统和安全产品虚机授权管理,用户能够导入授权或追加授权。
Ø网络管理
支持以太网接口、桥接口、路由、DNS等常见网络配置管理。
支持对当地提供服务http、https、ssh、ping、mysql、vnc提供访问控制,支持串口管理。
Ø系统管理
系统含有丰富本身配置管理功效,包含A或B双系统开启、补丁管理,支持NTP和手工时间同时。
Ø日志查询
支持对系统日志、虚机日志、操作日志查询,可依据时间、等级、模块等多个条件进行查询。
5.安全资源池安全产品软件要求
安全产品需要布署在安全资源池虚拟平台上,并满足以下需求:
5.1.入侵检测
攻击检测能力
攻击检测基础能力,系统应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层协议分析、超7层应用协议(如:
HTTPTunnel)识别和分析,系统应支持工作在非默认端口下周知服务(如运行在8000端口下WebServer)协议识别和协议分析能力;
系统需要支持以下常见协议解析:
ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、VlanTag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,和之对应事件库完备,需提供截图证实;
设备含有抗逃避检测机制,能够针对分片逃逸攻击、重合逃逸攻击、加入多出或无用字节逃逸攻击进行有效防范,而且能具体说明;
设备含有对为高级连续威胁检测设备联动,而且能提供有效界面截图;
能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等多种攻击行为进行检测,需提供界面截图;
系统首页提供最近二十四小时内网络发生展示界面,包含对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体情况等展示,需提供界面截图;
系统需含有对针对Web系统(包含浏览器、服务器)攻击含有检测能力:
SQL注入(包含多种变形)、XSS(包含存放式XSS、反射式XSS)及其多种语法变形、Webshell、网页挂马、语义变形、编码等环境下正确检测能力,需提供界面截图;
系统需提供对IM(即时消息)通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股,需提供截图;
系统提供攻击特征不应少于3600条有效最新攻击特征,而且依据协议类型、安全类型、流行程度、影响设备等方法做有效分类,需提供截图;
含有协议自识别功效,含有规则用户自定义功效,能够对应用协议进行用户自定义,并提供具体协议分析变量;
系统需提供对事件二次检测能力,即对已生成事件进行二次分析和统计,并依据统计结果进行报警,同时,系统需支持对统计阈值进行设定图形化用户接口,经过该图形化接口,用户能够选择需要统计基础事件并对阈值进行设置和调整;
系统需含有针对以下多个拒绝服务攻击检测能力:
针对特定主机TCP(SYN)FLOOD、针对特定主机TCP(STREAM)FLOOD、针对特定主机UDPFLOOD、针对特定主机ICMPFLOOD;对上述全部攻击检测全部可经过控制界面配置统计时间、报警阈值(投标时需提供加盖原厂商公章产品界面截图);
系统需含有独立专业查毒引擎,独立病毒库,如AV引擎非自研,须出具第三方授权文件或第三方防病毒厂商出具授权许可影印件;
系统需含有独立病毒报警、统计界面,需要提供该界面截图;
需提供病毒库在线升级和网站手工下载界面截图;
系统含有针对IPv6环境下网络数据包捕捉、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,需提供界面截图;
系统含有能够对IPv6实现事件日志采集和分析统计,需提供界面截图;
控制中心和引擎能够经过IPv6协议进行通信
依据黑名单匹配,进行恶意URL检测,需提供界面截图;
提供网关IP-MAC地址绑定功效识别攻击,需提供界面截图;
系统提供自定义弱口令规则能力,使用户能够灵活定义网络内弱口令条件,需提供界面截图;
威胁展示能力
系统提供威胁实时展示能力,能够将引擎检测到威胁在威胁展示界面进行实时显示,现实内容需全方面丰富,包含:
威胁汉字名称、威胁处理状态、威胁等级、威胁流行程度、威胁源ip、威胁目标ip、威胁发生时间段(今日该威胁第一条发生时间、今日该威协最终一条发生时间)、该威胁今日发生次数、该威协最近十分钟发生次数;
系统需提供威胁在展示界面合并能力,并可依据相同IP合并、目标IP合并、目标IP加目标端口合并等多条件,而且可配置基于IPV6前缀长度,需提供界面截图;
系统可配置过滤条件,可依据MAC过滤和IP过滤关系进行“和”“或”策略配置,需提供界面截图;
系统需要含有在引擎端合并事件能力并提供合并设置界面;在显示端需要提供在显示过程中二次合并能力,方便深入精简报警,系统需要提供不少于5种在显示端进行事件二次合并模板,而且支持在实时事件显示界面中对每条上报事件选择各自二次合并方法,需提供界面截图;
系统需含有入侵定位能力,需提供界面截图;
系统首页需提供以下关键报警及汇总数据:
关键威胁今日发生情况、历史日均发生情况、今日发生事件Top5事件、今日流量曲线、流行情况发生情况、流行次数;
系统需提供设置用户关注事件能力,经过设置,能够明确地将事件设置为需要关注或不需要关注,用户设置结果将替换用户自动分析结果,即:
用户设置为需要关注报警事件,直接在告警界面进行显示,用户设置为不需要关注报警事件,不再在用户事件报警展示界面进行展示;
系统需提供对历史事件进行查询能力,经过历史事件查询功效,用户能够经过制订查询条件对历史告警事件进行查询,同时需提供最少3种默认查询条件模板;
定制事件显示条件模板,经过事件所属协议类型、事件所属安全类型、事件流行程度、事件严重等级、事件影响设备、事件影响系统等条件定义事件过滤模板;
操作系统资产配置和报警自动关联,依据配置目标地址、影响系统和影响设备进行上报事件过滤;
针对达成识别策略事件进行优化处理,包含对日志处理和策略处理;
针对阈值设定,判定是否是新增事件;
多级分布和全局预警
系统支持多级布署,集中管理能力,能够添加组件(包含子控、引擎)提供各个组件(子控、引擎)拓扑图,并在图中动态显示组件之间实时连接状态;
最少支持五级以上布署环境,每单级节点最少支持五十台以上设备同时管理;
系统首页展现本级控制中心和各引擎拓扑图,而且可设定显示或隐藏,需提供界面截图;
系统需支持采取可拖拽拓扑图展示全网设备及管理节点,同时该图还应该对设备和管理节点、管理节点和管理节点之间连接状态进行实时显示;
系统多级分布流量统计,控制中心下直接管理全部引擎总流量速率和分类流量速率,需提供界面截图;
上级节点能够跨级为下级节点发送策略、支持对引擎批量下发策略;下级节点能够将报警日志逐层上报,同时,下级节点也能够设置向上级管理节点上报事件所必需满足条件;
级联环境中,上级针对下发策略锁定,锁定子控部分策略,锁定事件是不许可进行配置、编辑、删除等操作;
上级管理节点能够向下级管理节点自动下发升级包,包含引擎升级包、控制台升级包、事件库升级包,需提供界面截图;
系统需提供全局预警能力,即:
在多级布署环境中,其中一个控制中心监测到某一个攻击以后,能够经过全局预警功效将此攻击事件通告给其它控制中心;
为了提升全局预警预警等级,提升用户对全局预警事件关注度,并能用高亮或报警灯等方法进行提醒;
全局预警需提供手工编辑预警内容能力;
报警事件在显示时将标注源ip地址、目标ip地址是属于内网地址或外网地址;
系统需提供常见内置策略模板,并能够将策略导入、导出、合并,同时支持用户自定义策略,自定义策略时候,能够依据事件名称、协议类型、安全类型等维度进行事件快速查询;
系统支持从威胁发觉到威胁展示、威胁说明、分析帮助、处理过程帮助、处理过程统计、后继续自动处理威胁全过程处理步骤,帮助用户发觉威胁、分析威胁、处理威胁,完成威胁管理工作全步骤闭环,需提供stepbystep界面截图;
威胁响应能力
支持以下报警响应方法:
计入日志、页面报警、发送邮件、发送SNMPTrap信息、发送SYSLOG信息、发送RST阻断报文、防火墙联动、全局预警、提取原始报文;
在检测到攻击事件以后,系统需提供向多个不一样SYSLOG服务器发送报警信息能力;
系统需提供防火墙联动能力,支持防火墙最少需要包含:
天清FW
系统需支持在检测到攻击事件以后捕捉攻击原始报文能力,所捕捉攻击原始报文需保留成标准cap格式,能够经过snifferpro、whirshark、ethereal打开。
报表功效
系统需提供完善报表系统所提供报表模板不应少于50个,能辅助用户分析一段时间内威胁;
系统需提供事件名称+目标地址+源地址;事件名称+源地址+目标地址三维交叉报表,能辅助用户快速定位问题;
系统需提供完善报表系统,支持面向安全结论分析报表;报表需支持以下格式:
HTML、PDF、EXCEL、WORD,所生成报表能够自动发送到多个邮箱,能辅助用户查阅;
报表需支持手动立即实施、周期性自动实施两种实施方法;
配置布署能力
系统提供依据用户组织结构定义“组织/部门”能力,而且“组织/部门”之间能够嵌套,“组织/部门”能够经过:
IP、IP段、引擎(加网口)、子控进行定义;
能够针对组织来查看历史事件和生成报表;
支持分用户虚拟管里能力,系统能够创建多个用户,每个用户能够和特定引擎绑定,当此用户登录到系统以后,只能看到该引擎上报事件,并仅能对该引擎进行配置;
系统需支持虚拟引擎功效,支持根据抓包口、IP地址、IP地址范围、VLAN、MAC地址配置虚拟引擎,不一样虚拟引擎能够采取不一样事件集,需提供界面截图;
提供系统升级、特征库升级能力,支持在线和离线升级功效;支持经过HTTP代理服务器进行在线升级;
5.2.网络审计
数据库审计
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache数据库审计
支持对Oracle数据库状态自动监控,可监控会话数、连接进程、CPU和内存占用率等信息。
支持国产数据库人大金仓、达梦、南大通用、神通数据库审计。
需提供截图证实。
支持对针对数据库XSS攻击、SQL注入攻击行为进行审计。
需提供截图证实。
提供对数据库返回码知识库和实时说明,帮助管理员快速对返回码进行识别。
需提供截图证实。
支持数据库账号登陆成功、失败审计。
支持对数据库绑定变量方法访问审计
支持对超长SQL语句审计
支持Select操作返回行数和返回内容审计
支持访问数据库源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败审计;
支持数据库操作类、表、视图、索引、触发器、存放过程、游标、事物等多种对象SQL操作审计。
支持数据库存放过程自动获取及内容审计。
网络协议审计
支持Telnet协议审计,能够审计用户名、操作命令、命令响应时间、返回码等;
支持对FTP协议审计,能够审计用户名、命令、文件、命令响应时间、返回码等
支持审计网络邻居用户名、读写操作、文件名等
支持审计NFS协议用户名、文件名等
支持审计Radius协议认证用户MAC、认证用户名、认证IP、NAS服务器IP
支持IP-MAC绑定改变情况审计
数据库异常行为智能审计
支持自动建立数据库操作行为基线
数据库操作行为基线包含数据库账号、操作类型、频率等行为特征
对超出数据库操作行为基线操作可自动识别,并立即告警
审计策略支持
系统应自带不少于100个缺省审计规则库,方便用户选择使用。
用户可自定义审计策略,审计策略支持时间、源IP、目标IP、协议、端口、登陆账号、命令作为响应条件
数据库审计策略支持数据库用户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表示式方法)
审计策略支持字段名称和字段值作为分项响应条件(非正则表示式方法)
响应方法
支持统计审计日志
支持对违规行为实时阻断
界面告警
Syslog告警
SNMPtrap告警
短信告警
邮件告警
日志查询统计
支持按时间、等级、源\目标IP、源\目标MAC、协议名、源\目标端口为条件进行查询
支持查询、统计条件模板编辑和应用
支持多个查询、统计任务同时进行
数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件
支持按自定义关键字作为查询和统计条件
支持查询统计条件之间和、或、非逻辑组合
提供缺省报表模板库,供用户选择使用。
支持依据自定义关键字自动生成报表
支持按天天、每七天、每个月、时刻生成报表
支持生成CSV、Word、PDF、xls、HTML格式报表导出
支持邮件方法定时自动发送报表
5.3.安全域流量审计
本身管理
提供管理员权限设置和分权管理,提供三权分立功效,系统能够对使用人员操作进行审计统计,能够由审计员进行查询,含有本身安全审计功效
管理员登陆支持静态口令认证,支持密码复杂性管理,比如大小写、数字、特殊字符、长度等
提供审计数据管理功效,能够实现对审计日志、审计汇报自动备份
提供系统升级功效,能够经过升级包方法实现升级
提供审计策略和配置导入导出
基础功效要求
能够采集流经交换机、路由器全流量镜像网络流
能够将流量转化成服务器、设备间业务互联关系事件
互联关系事件中能够提供业务互联发生时应用层协议名称
提供设置业务互联事件发生时统计原始会话内容功效
能够将相同源设备、目标设备间业务互联事件归并成一条事件
提供管理员对业务互联事件黑白确定功效
提供确定后黑名名单信息展示和导出功效
提供全网设备间业务互联关系实时监控拓扑图功效
提供私自接入网络设备发觉功效
提供内部和境外发生互联事件监控功效
提供黑白灰名单事件报表功效
系统设备互联监控
系统应含有对内部服务器和境外设备互联自动发觉能力。
系统能区分互联时方向,即能够区分是内部服务器向外连接还是外部设备向用户内部服务器连接。
内部服务器能够自动定位到设备名称、IP、所属业务系统、所属安全域。
境外设备能够自动定位到国家和所属企业。
未知设备发觉
应含有对未经审批或私自违规接入网络设备自动发觉能力
新发觉设备能够自动识别IP地址和MAC地址。
能够列出未知设备每次连入网络具体情况。
内部设备间互联拓扑展示
应含有将内部服务器或设备间互联情况适用拓扑图形式进行自动展示。
应含有自动区分服务器或设备所属安全域或业务系统
应含有根据域、子域、设备不一样层次对互联情况进行拓扑展示,并能在不一样层次间进行下钻和后退。
能够使用不一样颜色线条将正当和非法链接进行区分
能够在拓扑图上统计并显示域间、子域间、设备间互联频次
互联事件归并处理
应含有将海量互联事件根据“源IP+目标IP+目标端口”方法进行归并和统计,方便管理员查看互联事件
防火墙策略审计
支持防火墙策略导入;防火墙冗余安全策略分析;防火墙安全策略收敛分析;防火墙策略命中频次分析;防火墙潜在冲突策略分析;并提供防火墙策略分析报表;
内部傀儡设备挖掘
应支持对设备连接频次进行统计和排名,方便挖掘内部傀儡设备
应含有对设备连入、连出频次进行统计和排名,方便识别业务正常和违规,同时为挖掘内部傀儡设备提供数据
实时响应
应支持对互联事件全流量抓包功效。
应支持对互联事件过滤功效。
布署和管理
采取B/S管理方法,全汉字管理和使用界面
无需在被监控范围内系统上安装任何代理
5.4.安全网关
IPSECVPN
支持IPSECVPN隧道内访问控制,对隧道内已经有数据进行访问控制;
支持隧道入口流量管控,能够经过地址、端口、协议等维度管控进入隧道流量
支持透明、路由、混合等网络步骤接入
支持AES128/256、DES、3DES等多个加密算法,支持DH1、DH2、DH5、RSA1024等非对称加密算法,支持AH和ESP封装模式和MD5、SHA1、SHA2_256/384/512等通用摘
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 资源 安全 建设 专项 方案