信息安全系統(tǒng)咨詢評估方案設計建議書

實用文檔實用文檔XX集團信息安全咨詢評估服務方案建議書目錄TOC\o"1-5"\h\z需求分析 3\o"CurrentDocument"背景分析 3\o"CurrentDocument"項目目標 4\o"CurrentDocument"需求內容分析 4\o"CurrentDocument"技術風險評估需求分析 4管理風險評估需求分析 5\o"CurrentDocument"時間進度需求 6\o"CurrentDocument"考核要求 6\o"CurrentDocument"服務支撐需求 6\o"CurrentDocument"項目實施方案 6\o"CurrentDocument"技術安全風險評估 6\o"CurrentDocument"資產評估 6操作系統(tǒng)平臺安全評估 8\o"CurrentDocument"網絡安全評估 1 0\o"CurrentDocument"滲透測試 1 2\o"CurrentDocument"管理風險評估 1 6\o"CurrentDocument"安全管理制度審計 1 6\o"CurrentDocument"業(yè)務流程管控安全評估 1 7\o"CurrentDocument"評估工具 1 8\o"CurrentDocument"形成報告 1 9需求分析背景分析XX的信息化建設正在朝著集中化和云化的方向發(fā)展，通過云計算技術的應實現(xiàn)基于云平臺的業(yè)務用把原來分散于各醫(yī)院和分支機構的業(yè)務系統(tǒng)進行整合，實現(xiàn)基于云平臺的業(yè)務系統(tǒng)和數(shù)據集中部署，從而解決了長期存在的大量信息孤島問題，降低珍貴醫(yī)療數(shù)據和商業(yè)數(shù)據的流失風險，也為未來的集團醫(yī)療大數(shù)據分析和精準醫(yī)療服務打系統(tǒng)和數(shù)據集中部署，從而解決了長期存在的大量信息孤島問題，降低珍貴醫(yī)療數(shù)據和商業(yè)數(shù)據的流失風險，也為未來的集團醫(yī)療大數(shù)據分析和精準醫(yī)療服務打下扎實的基礎。下扎實的基礎。從原來分散式的信息孤島到現(xiàn)在的云化集中部署，XX從原來分散式的信息孤島到現(xiàn)在的云化集中部署，XX的信息化環(huán)境正在發(fā)生根本性的變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據生根本性的變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據準確性等諸多的好處。當前， 國內外數(shù)據安全事件層出不窮，網絡信息安全環(huán)境日趨復雜，信息化環(huán)境的變化也同時帶來了新的信息安全風險，總體來說包括以準確性等諸多的好處。當前， 國內外數(shù)據安全事件層出不窮，網絡信息安全環(huán)境日趨復雜，信息化環(huán)境的變化也同時帶來了新的信息安全風險，總體來說包括以下幾個方面：一、實現(xiàn)系統(tǒng)和數(shù)據的集中化部署后，等于把原來分散的信息安全風險下幾個方面：一、實現(xiàn)系統(tǒng)和數(shù)據的集中化部署后，等于把原來分散的信息安全風險也進行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如在原有的信息化環(huán)境下發(fā)生敏感數(shù)據泄漏，其泄漏范圍只限于個別的醫(yī)院或分支機構。而現(xiàn)在一旦發(fā)生數(shù)據泄漏，泄漏范圍會是全集團所也進行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如在原有的信息化環(huán)境下發(fā)生敏感數(shù)據泄漏，其泄漏范圍只限于個別的醫(yī)院或分支機構。而現(xiàn)在一旦發(fā)生數(shù)據泄漏，泄漏范圍會是全集團所有醫(yī)院和分支機構，直接和間接的損失不可同日而語。有醫(yī)院和分支機構，直接和間接的損失不可同日而語。二、云計算是一種顛覆傳統(tǒng)IT□□□□□□□,□□□□□□□,□□敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算二、云計算是一種顛覆傳統(tǒng)IT□□□□□□□,□□□□□□□,□□敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算三、效率來降低成本。這也意味著基于傳統(tǒng)IT架構的信息安全技術和產品往往不能再為云端系統(tǒng)和數(shù)據提供足夠的防護能力。三、效率來降低成本。這也意味著基于傳統(tǒng)IT架構的信息安全技術和產品往往不能再為云端系統(tǒng)和數(shù)據提供足夠的防護能力。系統(tǒng)和數(shù)據的集中部署、云計算技術應用都要求建立可靠的信息安全管理機制，改變原有的離散管理模型，從管理規(guī)范和工作流程上實全管理機制，改變原有的離散管理模型，從管理規(guī)范和工作流程上實現(xiàn)與現(xiàn)有集中模式的對接，降低因管理不當導致的信息安全風險。項目目標對XX□□□□□□□□□□□□□□□□□□□□□□□□□□□□,并依據風險評估結果制訂相應的風險管控方案。具體建設內容包括：技術風險評估：1）對現(xiàn)有的信息系統(tǒng)、機房及基礎網絡資產和網絡拓撲、數(shù)據資產、特權賬號資產等進行安全風險評估；2）對核心業(yè)務系統(tǒng)進行 WEB□□□□□□□□□□□□□□□□□□；3）對正在建設的云計算基礎平臺架構及承載的操作系統(tǒng)進行安全風險評估；4）滲透模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，對業(yè)務系統(tǒng)進行授權滲透測試，對目標系統(tǒng)進行深入的探測， 以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、 可能被利用的入侵點以及現(xiàn)網存在的安全隱患。管理風險評估1）采用調查訪談并結合實地考察的形式，對數(shù)據中心和核心系統(tǒng)的安全管理制度進行疏理和安全風險評估；2）對業(yè)務管控制度和流程進行安全風險評估，采用閱讀流程資料和相關人員訪談的形式了解業(yè)務和系統(tǒng)內控制度和實現(xiàn)的業(yè)務流程， 試用流程中涉及的軟件，察看各個業(yè)務控制點是否都得到有效的實施， 各個接口的處理是否妥當，督檢查辦法是否健全；信息安全風險管控方案其于上述風險評估結果， 針對具體的安全漏洞和風險設計管控方案， 包括但不限于安全漏洞加固方案、 信息安全管理規(guī)范優(yōu)化提升方案、 信息安全防護技術解決方案等。1.3需求內容分析技術風險評估需求分析本項目對技術風險評估的內容要求主要是：1、資產評估資產評估對象不僅包括設備設施等物理資產，同時也包括敏感數(shù)據、特權賬號等信息資產，其評估步驟如下：第一步：通過資產識別，對重要資產做潛在價值分析，了解其資產利用、維護和管理現(xiàn)狀，并提交資產清單；第二步：通過對資產的安全屬性分析和風險評估，明確各類資產具備的保護價值和需要的保護層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產，更有效地進行資產管理，更有針對性的進行資產保護，最具策略性的進行新的資產投入。2、操作系統(tǒng)平臺安全評估針對資產清單中重要和核心的操作系統(tǒng)平臺進行安全評估，完整、全面地發(fā)現(xiàn)系統(tǒng)主機的漏洞和安全隱患。3、網絡拓撲、網絡設備安全評估針對資產清單中邊界網絡設備和部分核心網絡設備，結合網絡拓撲架構，析存在的網絡安全隱患。4、應用系統(tǒng)安全評估（滲透測試）：通過模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，對XX□□□□□□□試的目標系統(tǒng)進行深入的探測，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利用的入侵點以及現(xiàn)網存在的安全隱患，并指導進行安全加固。1.3.2管理風險評估需求分析1、安全管理制度審計：通過調研重要和核心資產管理、關鍵業(yè)務及數(shù)據、相關系統(tǒng)的基本信息、有的安全措施等情況，并了解目前XX□□□□□□□□□□□□□制度和策略，分析目前XX□□□□□□□□□□□□□□□□□□□□2、業(yè)務管控安全評估：通過調研業(yè)務系統(tǒng)內控制度和實現(xiàn)的業(yè)務流程，試用流程中涉及的軟件，看各個業(yè)務控制點是否都得到有效的實施，各個接口的處理是否妥當，監(jiān)督檢查辦法是否健全，從而改進內控制度和業(yè)務流程的合理性和數(shù)據流的安全性。1.4時間進度需求項目的時間需按照整體時間要求完成全部工作，并且需提交階段性工作成果。1.5考核要求XX集團將對項目的交付成果和執(zhí)行過程中的質量進行考核，考核結果將作為最終結算的依據。考核辦法將由XX為最終結算的依據。考核辦法將由XX□□□□□□□□□□□□□□□□□1.6服務支撐需求本項目的服務供應方需與XX本項目的服務供應方需與XX□□□□□□□□□□□□□,□□□□□□該項目所有工作。項目團隊采取緊密溝通的方式，分為每周例會定期溝通和重大問題共同討論項目團隊采取緊密溝通的方式，分為每周例會定期溝通和重大問題共同討論的溝通方式。該項目的辦公時間為5天*8小時/周；值班電話須7天*24小時/周保持通話該項目的辦公時間為5天*8小時/周；值班電話須7天*24小時/周保持通話暢通。交付成果需求本項目在開展過程中需進行日報、周報、月報等相關工作計劃與總結的提交，本項目在開展過程中需進行日報、周報、月報等相關工作計劃與總結的提交，并根據實際工作內容及時提交相應工作成果及報告。項目實施方案2.1技術安全風險評估2.1.1資產評估保護資產免受安全威脅是安全工程實施的根本目標。要做好這項工作，首先保護資產免受安全威脅是安全工程實施的根本目標。要做好這項工作，首先需要詳細了解資產分類與管理的詳細情況。項目名稱資產識別簡要描述□□□□□□,□□□□□□,□□□□□□□□;

達成目標?□□□□□□,□□□□□□,□□□□□□□□;?□□□□□□□□□□□□□;主要內容?□□□□□□,□□□□□□;□□□□□□□□;□□□□□□□□□;實現(xiàn)方式?□□□□□□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□?交流/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作條件1-2□□□□□, 2臺Win2000PC,電源和網絡環(huán)境，客戶人員和資料配合工作結果□□□□□□□□□□□；參加人員□□□□□□,□ XX□□□□□□□□□□,□□□□□□□□在XX□□□□□□□□□□□□下□□□□□□□□□項目名稱風險評估簡要描述□□□□□□□□□□□□□□□□□□□□達成目標?□□□□□□□□□；?□□□□□□□□□□□□□□；主要內容?□□□□□□□□□；?□□□□□□□□□□□；?□□□□□□□□□□□□□；實現(xiàn)方式?□□□□□：□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□?交流

/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作條件2-3人工作環(huán)境， 3臺Win2000PC,電源和網絡環(huán)境，客戶人員和資料配合工作結果?□□□□□□；?□□□□□□□□□□□□；?□□□□□□□□參加人員□□□□□□, □□□□□□□□ XX□□□□□□□□□□□□□□□□□□2.1.2操作系統(tǒng)平臺安全評估工具掃描使用業(yè)界專業(yè)漏洞掃描軟件， 根據已有的安全漏洞知識庫， 模擬黑客的攻擊方法，檢測主機操作系統(tǒng)存在的安全隱患和漏洞。、主要檢測內容：□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□ /□□□□□□□□□□□服務器主機后門檢測服務器主機漏洞檢測服務器主機安全配置審計服務器主機用戶權限審計服務器主機口令審計服務器主機文件系統(tǒng)安全性審計操作系統(tǒng)內核的安全性文件傳輸服務安全性2、掃描策略提供可定制掃描策略的策略編輯器。按照掃描強度，默認的掃描策略模板包提供可定制掃描策略的策略編輯器。按照掃描強度，默認的掃描策略模板包括：高強度掃描中強度掃描低強度掃描按照掃描的漏洞類別，默認的掃描策略模板包括：NetBIOS漏洞掃描Web&CGI漏洞掃描主機信息掃描帳戶掃描端口掃描數(shù)據庫掃描在遠程掃描過程中， 將對遠程掃描的目標按照操作系統(tǒng)類型和業(yè)務應用情況進行分類，采用定制的安全的掃描策略。2.1.2.2人工分析對于主要的操作系統(tǒng)， 安全專家將主要從下面幾個方面來獲取系統(tǒng)的運行信息：賬號；資源；系統(tǒng)；網絡；審核、日志和監(jiān)控；這些信息主要包括：網絡狀況、網絡配置情況、用戶賬號、服務配置情況、安全策略配置情況、文件系統(tǒng)情況、日志配置和紀錄情況等。在技術審計過程中， 安全服務專家將采用多種技術來進行信息收集， 這些技術包括：審計評估工具：開發(fā)了自己的審計評估腳本工具，通過執(zhí)行該工具，就可以獲取系統(tǒng)的運行信息。?常見后門分析工具：通過使用專業(yè)工具，檢查系統(tǒng)是否存在木馬后門

?□□□□□□:□□□□□□□□□□□,□□□□□□□□□□Rootkit等很難被發(fā)現(xiàn)的后門程序收集了系統(tǒng)信息之后， 安全專家將對這些信息進行技術分析， 審計的結果按照評估對象和目標對結果從補丁管理、 最小服務原則、最大安全性原則、用戶管理、口令管理、日志安全管理以及入侵管理七個方面進行歸類處理并評分。評估目標評估內容補丁管理□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□服務原則□□□□□□則□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□入侵管理□□□□□□□□□□□,□□□□□□□□□這7個方面將能夠充分體現(xiàn)系統(tǒng)目前的運行和安全現(xiàn)狀。 通過數(shù)字分數(shù)的形式，并結合資產的重要性， 將能夠很直觀地表現(xiàn)出系統(tǒng)的情況。 并且可以根據其中存在的缺陷，制定相應的解決辦法。2.1.3網絡安全評估網絡拓撲分析對XX集□□□□□□□□□□□□,□□□□□□□□□□□和安全□□以及對提供相應的調整建議。項目名稱□□□□□□

簡要描述□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□的建議。達成目標□□□□□□□□□□□,□□□□□□□□□□□□□□□□?□□□□□□?□□□□□□主要內容??□□□□□□□□□□□□□□□□□□□□□?□□□□□□□□□□□□?□□□□□□□□□?信息收集實現(xiàn)方式??調查分析交流?現(xiàn)場查看工作條件1-2人工作環(huán)境， 2臺WindowsPC,電源和網絡環(huán)境，客戶人□□□□□□工作結果□□□□□□□□參加人員評估小組， XX□□□□□□□□□□□□□□□□□□□□理人員網絡設備安全評估對網絡設備（路由、交換、防火墻等）的安全評估，是對網絡設備的功能、設置、管理、環(huán)境、弱點、漏洞等進行全面的評估。1、評估條件評估前需要明確以下內容：□□□□□□;□□□□□□□□□□□□□□□□□ IP地址；□□□□□□□□□□□□□□□□□□□□□□ IP和鄰近設備）;2、評估內容

查看網絡設備的配置、環(huán)境、和運行情況。至少包括以下幾個方面：□□□□□□□□□□□□;□□□□□□□□□□□;對網絡設備實施攻擊測驗，以測驗網絡設備的真實安全性。這需要最謹慎從事；3、評估結果提供策略變更建議提供日志管理建議提供審計服務2.1.4滲透測試2.1.4.1測試流程XX□□□□□□□□□□XX□□□□□□□□□□行滲透性測試：制定實施方案客戶確認信息收集分析內部計劃制定客戶確認客戶確認取得權限、提升權限取得權限、提升權限生成報告生成報告滲透性測試步驟與流程圖1、內部計劃制定、二次確認根據XX□□□□□□□□□,□□□□□□□□□□□□□□□□□□□活情況、網絡拓撲情況以及掃描得到的服務開放情況、 漏洞情況制定內部的詳細實施計劃。具體包括每個地址下一步可能采用的測試手段， 詳細時間安排。并將□□□□□□□□□□□□□□□ XX□□□□□□□2、取得權限、提升權限通過初步的信息收集分析， 存在兩種可能性， 一種是目標系統(tǒng)存在重大的安全弱點，測試可以直接控制目標系統(tǒng)；另一種是目標系統(tǒng)沒有重大的安全弱點，但是可以獲得普通用戶權限， 這時可以通過該普通用戶權限進一步收集目標系統(tǒng)信息。 接下來盡最大努力取得超級用戶權限、 收集目標主機資料信息， 尋求本地權限提升的機會。 這樣不停地進行信息收集分析、 權限提升的結果形成了整個的滲透性測試過程。2.1.4.2測試內容和方法1、測試內容通過采用適當測試手段， 發(fā)現(xiàn)測試目標在系統(tǒng)認證及授權、 代碼審查、 被信任系統(tǒng)的測試、文件接口模塊、應急流程測試、信息安全、報警響應等方面存在的安全漏洞， 并現(xiàn)場演示再現(xiàn)利用該漏洞可能造成的損失， 并提供避免或防范此類威脅、風險或漏洞的具體改進或加固措施。2、測試方法滲透測試的方法比較多，主要包括端口掃描，漏洞掃描，拓撲發(fā)現(xiàn)，口令破解，本地或遠程溢出以及腳本測試等方法。 這些方法有的有工具， 有的需要手工操作，和具體的操作人員習慣管理比較大。□□□,□□□□□□□□□□□□□□□□□□□ XX集團同意后，具體的滲透性測試過程將按照以下滲透性測試技術流程圖進行。實施計劃確認信息收集、分析T是.—.一二:存在遠程控制弱點一是去也制系統(tǒng).否否 2 :存在遠程普通弱點』j是信息收集、分析""否—否—:二獲取本地普通權限，j是本地信息收集、分析亍否…本地權限提升「控.一■■■■■----制系統(tǒng).j是 、信息收集、分析卜 j二生成報告滲透性測試技術流程圖信息的收集和分析伴隨著每一個滲透性測試步驟， 每一個步驟又有三個組成部分：操作、響應和結果分析。（1）網絡信息搜集信息收集是每一步滲透攻擊的前提， 通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率， 同時可以有效地降低攻擊測試對系統(tǒng)正常運行造成地不利影響。□□□□□□□□ PingSweep、DNSSweep、DNSzonetransfer、操作系統(tǒng)指紋判別、應用判別、賬號掃描、配置判別等。信息收集常用的工具包括商業(yè)網絡安全漏洞掃描軟件 （如，天鏡等），免費安全檢測工具（如，NMAP、NESSUS等）。操作系統(tǒng)內置的許多功能（如 ,TELNET、NSLOOKUP、IE等）也可以作為信

息收集的有效工具。（2）端口掃描□□□□□□□ TCP/UDP□□□□,□□□□□□□□□□□□□□□,這是所有滲透性測試的基礎。 通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結合安全工程師的經驗可以確定其可能存在以及被利用的安全弱點， 為進行深層次的滲透提供依據。（3）遠程溢出這是當前出現(xiàn)的頻率最高、 威脅最嚴重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網絡知識的入侵者就可以在很短的時間內利用現(xiàn)成的工具實現(xiàn)遠程溢出攻擊。對于在防火墻內的系統(tǒng)存在同樣的風險， 只要對跨接防火墻內外的一臺主機攻擊成功，那么通過這臺主機對防火墻內的主機進行攻擊就易如反掌。（4）口令猜測口令猜測也是一種出現(xiàn)概率很高的風險， 幾乎不需要任何攻擊工具， 利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面： 首先是對用戶名的猜測， 其次是對密碼的猜測。（5）本地溢出所謂本地溢出是指在擁有了一個普通用戶的賬號之后， 通過一段特殊的指令代碼獲得管理員權限的方法。 使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導致本地溢出的一個關鍵條件是設置不當?shù)拿艽a策略。多年的實踐證明，在經過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊， 就能獲取不進行主動安全防御的系統(tǒng)的控制管理權限。（6）腳本測試□□□□□□□ Web□□□□□□ □□□□□□□□□, □□□□□□□當前Web系統(tǒng)尤其存在動態(tài)內容的 Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關弱點輕則可以獲取系統(tǒng)其他目錄的訪問權限， 重則將有可能取得系統(tǒng)的控制權限。因此對于含有動態(tài)頁面的Web得系統(tǒng)的控制權限。因此對于含有動態(tài)頁面的Web系統(tǒng)，□□□□□□□□□□的一個環(huán)節(jié)。的一個環(huán)節(jié)。2.1.4.3風險控制措施本次項目，為了保證滲透性測試不對XX集團AGIS□□□□□□□□□□□本次項目，為了保證滲透性測試不對XX集團AGIS□□□□□□□□□□□影響，建議本次滲透性測試采取以下方式進行風險控制。1、工具選擇為防止造成真正的攻擊，本次滲透性測試項目，會嚴格選擇測試工具，杜絕為防止造成真正的攻擊，本次滲透性測試項目，會嚴格選擇測試工具，杜絕因工具選擇不當造成的將病毒和木馬植入的情況發(fā)生。2、時間選擇為減輕滲透性測試對XX□□□□□□□□□□,□□□□□□□□□,建為減輕滲透性測試對議在晚上業(yè)務不繁忙時進行。3、策略選擇為防止?jié)B透性測試造成XX為防止?jié)B透性測試造成XX□□□□□□□□□□□□,□□□□□□□□中不使用含有拒絕服務的測試策略。4、有效溝通本次項目，建議：在工程實施過程中，確定不同階段的測試人員以及客戶方本次項目，建議：在工程實施過程中，確定不同階段的測試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過程中保持合理溝通。評估團隊的高級安全專家在客戶可控的范圍內，完成對目標系統(tǒng)的滲透測試工作，并做出詳細的記錄，最終形成《滲透測試報告》。報告對滲透測試過程中發(fā)現(xiàn)的脆弱性進行細致的分析、描述脆弱性對整個系統(tǒng)造成的潛在危害以及基本評估團隊的高級安全專家在客戶可控的范圍內，完成對目標系統(tǒng)的滲透測試工作，并做出詳細的記錄，最終形成《滲透測試報告》。報告對滲透測試過程中發(fā)現(xiàn)的脆弱性進行細致的分析、描述脆弱性對整個系統(tǒng)造成的潛在危害以及基本的修補建議等等。2.2管理風險評估安全管理制度審計項目名稱□□□□□□□□簡要描述□□□□□□□□□□□□□□,□□□□□□□

達成目標?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;主要內容?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□;□□□□□□□□,□□□□□□□□;□□□□□□□□□□;□□□□□□□□□□;實現(xiàn)方式?收集/□□□□□□□□□□□□□□□□□□□□□□□□□□?評審/□□□□□