办公大楼信息安全网络建设方案

《办公大楼信息安全网络建设方案》由会员分享，可在线阅读，更多相关《办公大楼信息安全网络建设方案（20页珍藏版）》请在装配图网上搜索。

1、办公大楼信息安全网络建设方案XXXXXXXX 公司20XX 年 XX 月 XX 日目录一. 概述二. 建设目标三. 设计原则及依据3.1设计原则43.2设计依据5四. 现状分析五. 项目需求分析5.1目标分析75.1.1 建立有效的隔离安全机制 5.1.2 针对全网实现可行的行为分析5.2业务需求分析7六. 总体建设方案6.1建设目标86.2建设内容86.3建设原则96.3.1 先进性原则 6.3.2 高可靠性原则 6.3.3 可扩展性原则 6.3.4 开放兼容性原则 6.4项目建设总体框架设计106.4.1 设计方案综述 七. 项目建设方案7.1建设内容117.2方案详细设计127.2.1

2、网络安全 网络功能优化说明 八. 安全产品介绍8.1防火墙系统178.2入侵检测系统178.3上网行为管理系统17九. 整体网络产品选项十.费用预算清单一. 概述随着信息技术的迅猛发展，利用计算机的高新技术，大大提高了工作效率，提 高了信息化的管理水平。鉴于任何系统都可能因设备故障、系统缺陷、病毒破坏、 人为错误等原因导致网络速度下降甚至系统崩溃，严重影响企业办公活动的正常 开展。信息系统安全建设的目的在于保障重点信息系统的安全，规范信息安全， 完善信息保护机制，提高信息系统的防护能力和应急水平，有效遏制重大网络与 信息安全事件的发生，创造良好的信息系统安全运营环境。二. 建设目标建设一套符合

3、国家政策要求、覆盖全面、重点突出、持续运行的信息安全保 障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全 稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特 性和发展战略，满足企业信息安全要求。本方案的安全措施框架是依据“积极防御、综合防范”的方针，以及“管理 与技术并重”的原则，并结合等级保护基本要求进行设计。技术体系：网络层面：关注安全域划分、访问控制、抗拒绝服务攻击，针对区域边界采 取防火墙进行隔离，并在隔离后的各个安全区域边界执行严格的访问控制，防止 非法访问；利用漏洞管理系统、网络安全审计等网络安全产品，为客户构建严密、 专业的网络安全保障体

4、系。应用层面：WEB应用防火墙能够对WEB应用漏洞进行预先扫描，同时具备对 SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，并结合网页防篡改子系统, 真正达到双重层面的“网页防篡改”效果。数据层面，数据库将被隐藏在安全区域，同时通过专业的安全加固服务对数 据库进行安全评估和配置，对数据库的访问权限进行严格设定，最大限度保证数 据库安全。方案收益：有利于提高信息和信息系统安全建设的整体水平； 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设 协调发展；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务， 有效控制信息安全建设成本；有利于优化信息安全资源

5、的配置，对信息系统分级实施保护，重点保障重要信息 系统的安全；有利于明确信息安全责任，加强信息安全管理； 有利于推动信息安全的发展三. 设计原则及依据3.1设计原则 根据企业的要求和国家有关法规的要求，本系统方案设计遵循性能先进、质量可 靠、经济实用的原则，为实现企业等级保护管理奠定了基础。全面保障： 信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。整体规划，分步实施： 对信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。同步规划、同步建设、同步运行： 安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽 都可能给业务系统带来危害。适度安全：没

6、有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用 性的平衡点。内外并重：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和 访问控制、监控和审计能力。标准化 管理要规范化、标准化，以保证在能源行业庞大而多层次的组织体系中有效的控 制风险。技术与管理并重： 网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视 安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。 3.2设计依据 根据现有情况，本次方案的设计严格按照现行行业的工程建设标准、规范的要求 执行。在后期设计或实施过程中，如国家有新法规、规范颁布，应以新颁布的法

7、 规规范为准。本方案执行下列有关技术标准、规范、规程但不限于以下技术标准、 规范、规程。信息系统通用安全技术要求 (GB/T 20271-2006) 信息系统安全管理要求 (GB/T 20269-2006) 信息系统安全工程管理要求 (GB/T 20282-2006) 信息系统物理安全技术要求 (GB/T 21052-2007) 网络基础安全技术要求 (GB/T 20270-2006) 信息系统通用安全技术要求 (GB/T 20271-2006) 操作系统安全技术要求 (GB/T 20272-2006) 数据库管理系统安全技术要求 (GB/T 20273-2006) 信息安全风险评估规范 (G

8、B/T 20984-2007) 信息安全事件管理指南 (GB/T 20985-2007) 信息安全事件分类分级指南 (GB/Z 20986-2007) 信息系统灾难恢复规范 (GB/T 20988-2007)四. 现状分析区域划分有待改善按照公安部相关指导规定“三重防护、一个中心”的安全保护环境思路（即：安 全计算环境、安全区域边界、安全通信网络，以及安全管理中心）应该对部分两 个核心数据区进行整合并按照信息系统进行归类管理。区域防护能力较弱 当前网络没有严格划分区域，因此，不能严格对各区域采取相应的安全防护措施， 尤其是对于运行应用服务系统的两个核心数据区域没有任何安全防护，无法给各 应用服

9、务系统的安全运行提供保障。不能对进出网络的入侵行为进行监测防范 企业内部无法对进出网的入侵行为进行监测防范，包含恶意代码、黑客攻击等， 安全防护工作非常被动，主动防御、宏观安全监控更无从谈起。网络单点故障点较多 需要在关键节点增加冗余部署，减少单点故障导致的网络安全事故。不能防止DDOS攻击来自互联网的DDOS攻击会挤占出带宽，影响业务系统的使用，对内部主机或者 虚拟机发起的应用型攻击，例如对DHCP服务器请求攻击、对DNS服务器发起查询 攻击，使得DHCP服务器、DNS服务器不能响应正常请求，导致服务器瘫痪，业务 中断。网络单点故障点较多 需要在关键节点增加冗余部署，减少单点故障导致的网络安

10、全事故。 随着企业信息化的逐步深入，系统逐渐增多，包括应用服务器、数据库服务器等， 而这些系统由于管理及防护不到位，目前面临着较严重的安全威胁：不能有效抵御应用层的攻击 在整个网络架构体系中，应用系统区域没有部署安全防护设备，因此，针对该区 域的一些违规或攻击行为，将无法监控及处置。五. 项目需求分析5.1目标分析5.1.1建立有效的隔离安全机制根据本身特定网络安全要求，进行合理的安全域划分和分区域安全防护设计 实施，通过一定的技术手段，对区域内和区域间的流量行为进行逻辑隔离和防护， 对恶意代码和黑客入侵进行阻隔，保护网域间的安全。5.1.2针对全网实现可行的行为分析通过此次建设的系统，对全网

11、流行为进行全方位、多视角、细粒度的实时监 测、统计分析、查询、追溯、可视化分析展示等。有效管理和发现流量的异常波 动行为，并能及时发出预警机制。5.2业务需求分析基于以上的现状分析来看，企业网络防护体系建设项目建设，满足自身的安 全需求，从以下方面进行分析：序号安全威胁分析安全需求分析需求实现方式1没有根据流 量特性对网 络的安全区 域进行划分， 以及网络优 化根据互联网、内网的业务逻辑， 流量特性和安全需求，对网络进 行安全域划分，对不同安全域实 施不同的安全技术控制措施和安 全管理策略；特定网络安全要求，进行 合理的安全域划分和分 区域安全防护设计、实 施。2不能对进出 网络的攻击 行为进

12、行防 范实现互联网、专网的安全、可控 的逻辑隔离；在互联网的安全区域边 界分别部署防火墙系统 等安全设备进有效防护 和边界隔离。3不能对进出 网络的入侵 行为进行监 测和阻断。实现网络内部入侵行为的检测和 阻断；对网路内敏感信息传输互 联网的有效检测。在内网核心服务器区部 署入侵检测系统,对整网 流量进行检测与攻击行 为进行阻断。4不能防止DDOS攻击实现对来自互联网DDOS的防护， 对内部服务器应用进行有效防护在互联网出处部署入侵防御系统，有效防护DDOS攻击5应用系 统的相关操 作缺乏有效 监控和审计对系统、应用、数据库系统 进行审计，建立相应的安全审计 机制，对引发事件的根源进行责 任认

13、定在外网互联网出口 部署上网行为管理系统， 结合系统本身的审计对 业务操作进行严格审计。六.总体建设方案企业信息安全网络项目建设，是一项基础性系统工程，必须依据相关国家、 部门的要求和规定，根据当前网络现状，并结合其面临的安全威胁及安全需求， 进行信息安全技术保障体系的建设，做到有理有据、切行实际的策略。该项目的 建设需要经过详细的设计和规划，在建设过程中需要各职能部门的合作和共同推 进，系统提供符合企业相关要求的安全的网络环境。6.1建设目标依据信息安全有关政策和标准，通过组织开展信息安全安全管理制度整改和 技术措施整改，落实制度的各项要求，通过本方案的建设实施，进一步提高信息 系统符合性要

14、求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能 地消除或降低信息系统的安全风险，使信息系统安全管理水平明显提高，安全防 范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维 护国家安全、社会秩序和公共利益。6.2建设内容企业信息安全网络项目主要包含以下内容：防火墙，上网行为管理系统，入侵检测系统，以及其他网络设备6.3建设原则6.3.1先进性原则安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的 安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公 认的领先产品。6.3.2高可靠性原则安全稳定的网络是信息化发展的基础，其稳定性至关重

15、要；网络安全设备由 于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可 靠性因素。6.3.3可扩展性原则企业网络在不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵 活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好 的支持。6.3.4开放兼容性原则企业网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产 品，从而有效的保护投资。6.4项目建设总体框架设计6.4.1设计方案综述6.4.1.1统一规划实施为了保证各项管理系统和应用系统的集成与开发的合理性、先进性及可扩充 性，系统建设必须以需求为导向，统一规划、分期实施、稳步推进。6.4.1

16、.2统一标准保障安全统一安全标准、统一网络体系、统一交换标准，保障系统互通与安全。要求 系统必须遵循国际标准，具有可共享性、可扩充性、可管理性和较高的安全性。 因而要正确处理发展与安全的关系，重视网络与信息安全，逐步形成网络与信息 的安全保障体系，综合平衡成本和效益，加快制定并贯彻执行统一的技术规范。对于信息安全保障体系而言，保障的对象是动态的，随着企业的需求改变而 变化，信息化的发展更是日新月异，管理体系安全是为了落实安全保障中所防护目标所需采取的具体管理措施，包括建立 信息安全组织架构，明确各岗位的角色和职责，并加强对内部人员和外部人员的 安全管理工作，建立合乎等保要求并适合医院本身的管理

17、体系。技术体系技术体系是整个安全技术保障体系中的技术防护手段，技术体系是以一个中 心，三重防护的思想，按照区域划分，对OSI多个层级多维度多层次的全方位防 护。技术体系主要组成为“一个中心、三重防护”的思路，一个中心是指一体化 的安全信息管理平台，三重防护是指安全计算环境防护、安全区域边界防护、安 全通信网络防护。七. 项目建设方案7.1建设内容鉴于企业安全环境现状，本次主要考虑建设应用系统区域边界安全防护措施 对网络建立初步的防护体系，完成基本的风险监测、安全审计、及时发现威胁、 统一身份认证、边界安全接入等手段，对现有的互联网网络访问进行优化等，初 步实现互联网的网络优化，可防护、可监测、

18、可审计的目标。建设内容如下：安全设备：1、防火墙系统；2、入侵检测系统；3、上网行为管理系统；企业整改后效果图如下：internet翫火堆上网行为首奥挫心层万兆按入光纤按入千兆接入有线终端，无线门禁.监控都 逋过接入忌的交换机或者血交换 机进疔网洛逹接矚I汇聚层交换机接入层三楼，國楼机展接入POE交换机7.2方案详细设计7.2.1网络安全7.2.1.1防火墙系统对网络所划分的区域进行网络访问隔离与控制，控制哪些用户能够连入内部 网络，那些用户能够通过哪种方式登录到服务器并获取网络资源，控制准许用户 入网的时间和准许访问哪些工作站入网，以及该区域所允许访问的协议端口等， 网络的访问权限控制是针对

19、网络非法操作所提出的一种安全保护措施。同时开启 防病毒、防入侵功能，对应用层威胁进行有效防御。在外联边界部署防火墙，对边界的访问进行访问控制。合规性要求】解决方案名 称控制 类控制 点指标名称措施名 称改进动 作改进对 象边界访问控 制综合安全防 护网络 安全访问 控制a应在网络边界 部署访问控制 设备，启用访问 控制功能；米购和 部署访 问控制 设备采购部 署访问控 制系统边界访问控 制综合安全防 护网络 安全访问 控制b应能根据会话 状态信息为数 据流提供明确 的允许/拒绝访 问的能力，控制 粒度为端级；HT| rTym 亠 LU配置端访问 控制配置访 问控制 设备访问控 制系统边界访问控

20、 制综合安全防 护网络 安全访问 控制c应对讲出网络 的信息内容进 行过滤，实现对 应用层HTTP、 FTP、 TELNET、 SMTP、 POP3 等 协议命令级的 控制；配置协 议过滤配置访 问控制 设备访问控 制系统边界访问控 制综合安全防 护网络 安全访问 控制d应在会话处于 非活跃定时 间或会话结束 后终止网络连 接；配置会 话中止 功能配置访 问控制 设备访问控 制系统访问控制应限制网络最 e大流量数及网络连接数；配置最 大流量 与连接 数配置访 问控制 设备访问控制系统边界访问控制网络综合安全防安全 护边界访问控制网络综合安全防安全 护边界访问控制网络综合安全防安全 护访问控制访

21、问控制访问控制重要网段应采 f取技术手段防止地址欺骗；应按用户和系 统之间的允许 访问规则，决定 允许或拒绝用 户对受控系统 进行资源访问， 控制粒度为单 个用户；应限制具有拨 h号访问权限的用户数量。配置防 地址欺 骗配置访 问控制 设备访问控制系统配置用 户访问 控制配置限 制拨号 访问权 限配置访 问控制 设备配置访 问控制 设备访问控制系统访问控制系统7.2.1.2防病毒模块（防火墙模块）国家制度中，对网络安全和主机安全都明确提出了“恶意代码防范”要求， 并且主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。网关级的病毒过滤，能够有效防范基于网络传输的病毒，防止病毒通过网络

22、 跨网段传播，本项目中采用带防病毒模块的防火墙产品实现【合规性要求】解决方案名 称控制 类控制 点指标名称措施名 称改进动作改进对 象网关防病毒 综合安全防 护网络 安全结构 安全a应在网络边 界处对恶意 代码进行检 测和清除；网关防 病毒设 备采购 与部署采购部署 并配置防 病毒功能网关防 病毒设 备网关防病毒 综合安全防 护应用 安全恶意 代码 防范b应维护恶意 代码库的升 级和检测系 统的更新。网关防 病毒代 码库与 引擎更 新安全产品 配置网关防 病毒新 系统7.2.1.3上网行为管理系统在互联网出口网关防火墙下部署上网行为管理系统，对互联网终端的上网行为 和流量管控起到控制作用。以应

23、用为基础，以优先级为条件，辅以连接数、连接速率以及传输方向进行带 宽管理策略设置。合理的策略设置能够使当前的网络为更多的网络用户和应用服 务，并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱 乐或其它非业务应用对网络的占用，保证关键业务和正常业务的畅通。网络应用 能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。合规性要求】:指标类 别指标要求改进行 为改进对象措施描述网络安 全应通过访问控制列 表对系统资源实现 允许或拒绝用户访 问，控制粒度至少 为用户组。采购部 署并配 置访问 控制功 能访问控制 系统通过在网络边界部署上 网行为管理系统并针对 用户组、用户、IP

24、地址、 子网进行访问控制配置， 限制其对资源的访问网络安 全应能根据会话状态 信息为数据流提供 明确的允许/拒绝 访问的能力，控制 粒度为网段级。配置状 态检测 访问控 制访问控制 系统通过在网络边界部署上 网行为管理系统并配置 状态检测功能，针对子网 或者网段对动态会话协 议进行检测和控制，网络安 全应在会话处于非活 跃定时间或会话 结束后终止网络连 接；配置访 问控制 设备访问控制 系统通过在网络边界部署上 网行为管理系统并配置 会话超时功能，当会话超 时即结束会话7.2.1.4入侵检测系统能够实时发现网络攻击企图、攻击行为的入侵检测类产品。通过网络数据监 听及多样的告警机制帮助用户及时发

25、现安全威胁事件的发生并采取相应措施。采 用先进的协议分析和入侵检测引擎，通过硬件驱动优化，能够快速处理网络数据， 准确发现各种攻击行为，识别安全威胁和风险，具有较高的入侵检出率和较低的误报率。该系统符合等级保护、分级保护等国家及行业标准，适用于各种需要对网络威胁进行实时监控、监管以及合规的场合。解决方案名称控制类控制点指标名称措施名称改进动作改进对象入侵检测网络安全入侵防范a应在网络边界处监视以下攻 击行为：端扫描攻击、木 马后门、蠕虫、拒绝服务攻 击、缓冲溢出攻击、邮件服 务器攻击、SQL注入攻击、 CGI访问攻击、IIS服务器攻 击、P2P、IM、网络游戏以及 其他违规行为网络入检测范设备

26、采购部署采购部署网络入侵检测设备入侵检测网络安全入侵防范b当检测到攻击行为时，记录 攻击源IP、攻击类型、攻击 目的、攻击时间，在发生严 重入侵事件时应提供报警。网络入侵检测防范设备配置安全产品配置网络入侵检测设备入侵检测网络安全边界完整性检查b应能够对非授权设备私自联 到内部网络的行为进行检 杳，准确定出位置，并对其 进行有效阻断网络入侵检测防范设备配置与交换 机配合, 开启非 法内联 配置网络入侵检测 设备、交 换机入侵检测主机安全入侵防范a应能够检测到对重要服务器 进行入侵的行为，能够记录 入侵的源IP、攻击的类型、 攻击的目的、攻击的时间， 并在发生严重入侵事件时提 供报警；网络入侵检

27、测防范设备配置安全产品配置网络入侵检测设备7.2.2网络功能优化说明网络设计上要求高带宽、高可靠性、高可扩展性。 此次设计遵循网络拓朴结构层次化的总体设计，网络拓朴结构主要由核心层，汇 聚层，接入层组成。提供各种网络控制，具体是：一、构建多个虚拟网络 企业的网络按部门被虚拟成多个虚拟网络，并可根据需求增加新的虚拟网 络。不同的虚拟网络之间是不可以直接访问的，一个虚拟网络必须经过中心交换 机才可以访问其他虚拟网络的电脑。二、网络资源访问控制，根据需要开通相应的访问权限。三、上网行为管理优化上网行为，提高上网安全。网络整体设计的优点主要有：(1) 可扩展性，网络可模块化增长而不会遇到问题；(2)

28、简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使故障排 除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；(3) 设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络不会对 其他层次造成影响，无需改变整个环境；(4) 可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。(5) 大大提高了网络的安全性。 考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，而且考虑到用 户实际需求，需要部署冗余链路，在一条上行链路断开的时候，流量能切换到另 外一条上行链路转发，还能合理利用网络带宽。此时可以在网络中部署MSTP解决 环路问题。MSTP可阻塞二层网络中的冗余

29、链路，将网络修剪成树状，达到消除环 路的目的，同时实现可靠性及流量的负载分担。核心交换层是网络的核心交换节点，它将多个楼层连接起来，进行数据高速转发。 用户数据通过汇聚层上行到核心层，通过核心网获取所需业务。八. 安全产品介绍 8.1防火墙系统8.2入侵检测系统8.3上网行为管理系统主要功能：1、精细应用识别，管控您的网络DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵 等精细化控制，支持对市面主流30余种IM聊天工具进行识别并控制能够识别用 户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警对开心网、QQ 农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识

30、别并控制支持30余种 主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制。2、专业网页分类，健康您的网络国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创 建文明健康上网环境，高达4000万条全球规模最大的中文URL数据库，全面覆 盖中文地区站点，确保分类准确无遗3、终端用户准入，规范您的网络30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患 支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线 视频软件基于应用或用户对流量进行管理，对指定类型的流量进行限速

31、，避免占用过 多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络查看上线用户的网络使用时间与流量信息，及时发现异常用户 全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网 络娱乐等所有互联网活动对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络可对用户的私接设备数量、设备类型进行实时监控，可设置达到一定数量私接时进行封堵、对封堵时间可进行设置一目了然的私接原因描述九. 整体网络产品选项 网络点位情况说明：（主要两大区域，办公楼和厂房区域） 4楼监控10无线ap 7 （poe交换机）1台24 口 P0E交换机 门禁 1 有线

32、46 （接入层交换机） 1台 48口普通交换机3楼监控7无线ap 8 （poe交换机）1台24 口 POE交换机有线 88 （接入层交换机） 2台48口普通交换机 2楼监控8无线5 （poe交换机）1台24 口 POE交换机 有线96 门禁2 （接入层交换机） 3台48口普通交换机 1楼监控21无线ap 6 （poe交换机）2台24 口 POE交换机 有线62门禁8（接入层交换机）2台48 QPOE交换机厂房区域（只用POE交换机）：监控停车场 4 型材厂房区域 29 库房区域 11 粗锂厂房区域 41共计：85（4台24 口 POE交换机）无线ap型材厂房 3 库房区域 6 粗锂厂房区域 6 共计：15（1台24 口 POE交换机）产品参数说明：1、防火墙2、上网行为管理系统3、入侵检测系统4、AC控制器5、核心交换机 （2台核心交换机，支持万兆，核心交换机之间，以及核心和汇聚交换机之间均通过万兆连接）6、汇聚交换机 （2台汇聚交换机，支持万兆）7、接入交换机 （48口普通交换机）8、POE交换机9、万兆光纤模块，万兆光纤线十.费用预算清单