中國電信吉安分公司CN2承載網(wǎng)安全評估

1、中國電信江西省吉安市 cn2 承載網(wǎng) 安全風險評估報告 中國電信江西省吉安市分公司 二零零九年七月 評估對象：cn2 承載網(wǎng) 評估單位：吉安市電信分公司 評估日期：2009 年 7 月 1 日至 2009 年 7 月 31 日 編號： ctsecjiangxi-jian-03- 200907 企業(yè)秘密 目目 錄錄 1概述2 1.1目的 .2 1.2內(nèi)容及范圍 .2 1.3風險評估方法 .4 1.4評估依據(jù) .5 2資產(chǎn)分析5 2.1cn2 承載網(wǎng).5 2.2ngn、c 網(wǎng)承載網(wǎng).5 3威脅分析7 3.1cn2 承載網(wǎng).8 3.2ngn、c 網(wǎng)承載網(wǎng).8 4脆弱性分析8 5已有安全措施9 6安全

2、風險分析9 7風險處置計劃及整改情況10 8總結(jié)10 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱文檔名稱 中國電信江西省吉安市 cn2 承載網(wǎng)安全風險評估報告 文件編號 編制人王桂英、劉建平 保密級別企業(yè)秘密 修改過程 版本號版本號日期日期負責人負責人概述概述 v1.0 2009 年 7 月 31 日劉建平 v1.2 2009 年 7 月 31 日王桂英 評審過程 版本號版本號日期日期評審者評審者概述概述 分發(fā)范圍 1概述概述 1.1目的目的 為進一步查找吉安分公司網(wǎng)絡安全運營的薄弱環(huán)節(jié)，落實防護措施，消除安全隱患，提 高通信網(wǎng)絡整體安全防護水平，并為國慶 60 周年網(wǎng)絡安全保

3、障工作打好基礎，全面開展 cn2 城域網(wǎng)的網(wǎng)絡安全檢查及評估，通過此次檢查評估，全面掌握網(wǎng)絡安全分級保護、風險 評估、災難備份的基本方法和標準，通過全面落實網(wǎng)絡安全檢查、評估及整改措施，提高吉 安 cn2 承載網(wǎng)的整體安全防護水平。 1.2內(nèi)容及范圍內(nèi)容及范圍 定級對象：cn2 網(wǎng)以及軟交換網(wǎng)絡、c 網(wǎng)的承載網(wǎng)。 一、組網(wǎng)現(xiàn)狀 1、cn2 網(wǎng)絡：吉安 cn2 網(wǎng)絡由 2 臺 p 設備、2 臺 pe 設備和 2 臺延伸交換機組成。2 臺 p 設備為兩臺 gsr12816，布署在大樓數(shù)據(jù)機房，各以一條 2.5g 鏈路至南昌 cn2 匯聚節(jié) 點，一條 2.5g 鏈路至九江 cn2 匯聚節(jié)點，形成 1

4、0g 的本地網(wǎng)出口帶寬，設備之間以 2*2.5g 互聯(lián)。同時兩臺 p 設備各以 2*ge 鏈路與城域網(wǎng)絡兩臺核心路由器互聯(lián)，實現(xiàn)兩個網(wǎng) 絡之間的互聯(lián)。pe 設備為兩臺 gsr12416，分別布署在大樓數(shù)據(jù)機房和河東綜合機房，各以 一條 2.5g 與兩個 p 節(jié)點互聯(lián)，同時各自以一條 ge 鏈路就近與同機房城域網(wǎng) sr 互聯(lián)，實現(xiàn) mpls 的跨域互聯(lián)。2 臺延伸交換機由 zxr10-3906 構(gòu)成，分別以 ge 鏈路與各自同機房的 pe 互聯(lián)，作為 pe 設備的擴展。同時大樓 pe 節(jié)點開通了至傳輸 155m 電路做為 n*64k 大客 戶接入通道。具體網(wǎng)絡拓撲如下。 2. 九江潯陽路 南昌孺

5、子路 a1 a2 s1 s2 2.5g 2.5g2.5g 2.5g 2.5g 2.5g 吉吉安安城城域域網(wǎng)網(wǎng) 2.5g 2.5g w1 w2 gsr1281 6 ne5000e 傳輸 155m 2.5g 2.5g osr7609 osr7609 2、 ngn、c 承載網(wǎng)：軟交換網(wǎng) ce 設備為 2 臺中興 t64g 三層交換機，該設備各 以 1*ge 鏈路就近與同機房的 cn2 網(wǎng) pe 設備互聯(lián)，同時兩 ce 節(jié)點間以 2*ge 捆綁鏈路互聯(lián)。 河東局設有兩臺華為 ne40，作為 c 網(wǎng)承載網(wǎng)的 ce（以下稱 ce1、ce2）節(jié)點，兩 ce 設備與 cn2 網(wǎng)兩 pe 間共有 4 組 2*g

6、e 鏈路互聯(lián)，大樓和河東方向各兩組，其中每組 2*ge 鏈路中一個 ge 走分組域流量，一個走電路域流量。同時 ce1、ce2 之間以 2*ge 鏈路互聯(lián)。 大樓局另設置兩臺華為 ne40，作為大樓方向的軟交換和 c 網(wǎng)承載網(wǎng) ce 設備（以下稱 ce3、ce4） ，該兩 ce 與 cn2 網(wǎng)兩臺 pe 間通過 4*ge 鏈路互聯(lián)，同時 ce3、ce4 之間通過 2*ge 鏈路互聯(lián)。 另，ce1 與 ce3 之間、ce2 與 ce4 之間各以 ge 鏈路互聯(lián)。 兩臺 t64g 下掛業(yè)務有軟交換 shlr、大樓 tg 以及少量 ag 節(jié)點。ce1、ce2 下掛中興 bsc、c 網(wǎng)中興 mgw、北

7、電 bsc 以及與傳輸開通 155m cpos 鏈路接入新干、永豐北電 do 站點。ce3、ce4 下掛華為 umg（綜合網(wǎng)關(guān)局） 。 具體網(wǎng)絡拓撲如下圖： cn2 河東t64g 大樓t64g 2*ge s1 s2 ngn網(wǎng)絡 hdj-ce- 1.cdma hdj-ce- 2.cdma 2*ge 2*ge 2*ge 2*ge 2*ge dl-ce- 4.cdma dl-ce- 3.cdma 2*ge ge ge ge ge ge ge 1.3風險評估方法風險評估方法 說明采取的風險評估方式，步驟、方法等。評估方式包括訪談、查閱文檔、測試等，評 估步驟包括資產(chǎn)識別、脆弱性識別、威脅識別等，方法包

8、括具體的資產(chǎn)、威脅和脆弱性識別 方法，風險分析方法、風險結(jié)果判斷依據(jù)等。 本次評估采取的評估方式有：查閱文檔、咨詢廠家、技術(shù)驗證、測試、人工檢查，維護 骨干集中討論、分析。 評估步驟：首先進行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi)容、收 集相關(guān)信息、開展脆弱性評估、威脅性評估，編寫評估報告和整治計劃。 評估方法有：根據(jù)收集網(wǎng)絡和設備現(xiàn)狀相關(guān)信息，與相關(guān)維護管理規(guī)范和廠家設備技術(shù) 規(guī)范核查，并結(jié)合實際維護工作經(jīng)驗，識別設備威脅和脆弱性。 1.4評估依據(jù)評估依據(jù) 說明本次安全風險評估參考的標準和文檔，如安全防護系列標準等。 2資產(chǎn)分析資產(chǎn)分析 定級對象：cn2 網(wǎng)及軟交換、c 網(wǎng)承載

9、網(wǎng)，重要性分析如下： 2.1cn2 網(wǎng)網(wǎng) cn2 網(wǎng)的識別與選取應符合科學性、合理性，cn2 網(wǎng)資產(chǎn)大致包括設備/主機、數(shù)據(jù)信 息、業(yè)務、文件、人員、物理環(huán)境設施等。 cn2 網(wǎng)資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 1 資產(chǎn)重要性列表 序號 資產(chǎn)名稱資產(chǎn)類型 重要性等級 硬件高 軟件：軟件版本文 件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務高 文檔中 維護人員中 1 大樓兩臺 p 設備 gsr12816；大樓、河東 pe 設 備 gsr12416 網(wǎng)絡拓撲中 硬件中 軟件：軟件版本文 件 中 重要數(shù)據(jù)：路由、 策略 中 提供的服務中 文檔低 維護人員低 2 大樓、延伸交換機 z

10、xr10-3906 網(wǎng)絡拓撲低 2.2ngn、c 網(wǎng)承載網(wǎng)網(wǎng)承載網(wǎng) ngn、c 網(wǎng)承載網(wǎng)的識別與選取應符合科學性、合理性，ngn、c 網(wǎng)承載網(wǎng)資產(chǎn)大致包 括設備/主機、數(shù)據(jù)信息、業(yè)務、文件、人員、物理環(huán)境設施等。 ngn、c 網(wǎng)承載網(wǎng)資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 1 資產(chǎn)重要性列表 序號 資產(chǎn)名稱資產(chǎn)類型 重要性等級 硬件高 軟件：軟件版本文 件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務高 文檔中 維護人員中 1 大樓、河東軟交換 ce 設備 t64g;河東 c 網(wǎng) ce1、ce2 設備和大樓 ce3、ce4 設備 網(wǎng)絡拓撲中 3威脅分析威脅分析 cn2 承載網(wǎng)以及 n

11、gn、c 網(wǎng)承載網(wǎng)的威脅根據(jù)來源可分為技術(shù)威脅、環(huán)境威脅和人為 威脅。環(huán)境威脅包括自然界不可抗的威脅和其它物理威脅。根據(jù)威脅的動機，人為威脅又可 分為惡意和非惡意兩種。cn2 承載網(wǎng)以及 ngn、c 網(wǎng)承載網(wǎng)的威脅分析如下： 1）非惡意人為威脅：維護人員的操作不當，從而影響到設備的正常運行。為了防止該 現(xiàn)象發(fā)生，在設備升級、業(yè)務割接前應準備好詳細的升級和割接方案，一旦升級、割接失敗 則立即啟用回退方案；嚴格落實局數(shù)據(jù)修改規(guī)范，落實雙人制度：1 人操作，1 人檢查，防 止誤操作。嚴格控制操作人員權(quán)限，不具備操作技能的人員不給于權(quán)限。 2）惡意人為威脅：人為的惡意攻擊、導致設備癱瘓。為了防止此類現(xiàn)

12、象發(fā)生，已在設 備上設置帳號密碼，采用賬號專人專用的原則分配權(quán)限，同時啟用防護策略封堵一些常見的 病毒端口，嚴格落實設備數(shù)據(jù)配置規(guī)范，關(guān)閉不必要的服務，通過訪問控制列表精細控制不 同應用類型的訪問設備的源地址及其訪問權(quán)限。同時做好機房的“四防”工作。 2、技術(shù)威脅 設備硬件問題和軟件 bug 造成設備性能下降，影響網(wǎng)絡運行，為防止該類現(xiàn)象發(fā)生， 需采用 cn2 綜合網(wǎng)管平臺對設備和網(wǎng)絡運行情況進行監(jiān)控，同時要求各設備廠家維護人員 定期對設備進行巡檢，廠家發(fā)現(xiàn)軟、硬件的 bug 和隱患應及時告知局方，并采取有效措施 予以規(guī)避和解決。 3、環(huán)境威脅 1）自然界不可抗的威脅：ip 承載網(wǎng)業(yè)務控制層面

13、以上的設備均防止在機房，遇雷擊的 可能性極小，抗震能力也較強； 2）其他物理威脅：機房環(huán)境溫度造成設備出現(xiàn)異常，需利用動環(huán)監(jiān)控系統(tǒng)，實時監(jiān)控 機房環(huán)境溫度，嚴格控制好通信機房的環(huán)境溫濕度；此外，利用 ip 綜合網(wǎng)管的告警平臺， 對設備溫度進行實時告警，發(fā)現(xiàn)異常，立即進行處理。 3.1cn2 網(wǎng)網(wǎng) 1、大樓 p 節(jié)點和 pe 節(jié)點、延伸交換機： 1） 、自然界不可抗力的威脅：cn2 網(wǎng)兩臺 p 節(jié)點 gsr12816 設備放置在吉安大樓通信樞 紐樓，該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準安裝 了多級防雷設施，機房抗震、防雷、防洪等性能都較強，受自然界不可抗力的威脅

14、較低。 2） 、其他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān) 威脅。但是，該設備所在機房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，但是設備是直 接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地震、爆炸等自然或認為災害， 很容易引起設備滑動、塌陷，導致重大通信故障，因此定義威脅等級為“中”級。 3） 、惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡 劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時有發(fā)生，而目前該 設備除自身配置上采取了一些防范措施外，沒有其他任何有效防范手段，因而我們認為其受 惡意和非惡意人為威脅的可能

15、性比較大，定義威脅等級為“中”級。 4） 、其他威脅：低。 2、河東 pe 節(jié)點、延伸交換機： 1） 自然界不可抗力的威脅：河東 pe 設備放置在吉安大樓通信樞紐樓，該樓為框架混 泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準安裝了多級防雷設施，機 房抗震、防雷、防洪等性能都較強，受自然界不可抗力的威脅較低。 2） 其他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān) 威脅。 3）惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡 劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時有發(fā)生，而目前該 設備除自身配置上采取了一些防

16、范措施外，沒有其他任何有效防范手段，因而我們認為其受 惡意和非惡意人為威脅的可能性比較大，定義威脅等級為“中”級。 4） 其他威脅：低。 cn2 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 4 威脅可能性列表 序號 資產(chǎn)名稱面臨威脅類型 威脅可能性等級 自然界不可抗的威脅 （環(huán)境威脅） 低 其它物理威脅（環(huán)境威 脅） 中 惡意人為威脅中 非惡意人為威脅中 1 大樓兩臺 p 設備 gsr12816 和大樓 pe 設備 其它威脅低 自然界不可抗的威脅 （環(huán)境威脅） 低 其它物理威脅（環(huán)境威 脅） 低 惡意人為威脅中 非惡意人為威脅中 2 河東 pe 設備、兩臺延伸交換機 其它威

17、脅低 3.2ngn、c 網(wǎng)承載網(wǎng)網(wǎng)承載網(wǎng) 1、大樓 ngn ce 設備、c 網(wǎng) ce3 設備： 1） 、自然界不可抗力的威脅：上述設備放置在吉安大樓通信樞紐樓，該樓為框架混泥土 結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準安裝了多級防雷設施，機房抗 震、防雷、防洪等性能都較強，受自然界不可抗力的威脅較低。 2） 、其他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān) 威脅。但是，該設備所在機房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，但是設備是直 接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地震、爆炸等自然或認為災害， 很容易引起設備滑動、塌陷，導致重大通

18、信故障，因此定義威脅等級為“中”級。 3） 、惡意和非惡意人為威脅：該設備運行 vpn 私網(wǎng)內(nèi)，受外網(wǎng)攻擊、破環(huán)的可能性較 小，同時由于目前設備的邏輯操作權(quán)限限制在省 noc 和集團 noc 層面，本地網(wǎng)沒有相關(guān)操 作權(quán)限，相對來說可操作的人員少，受人為威脅的可能性較小。 4） 、其他威脅：低。 2、河東軟交換、c 網(wǎng) ce 設備、大樓 c 網(wǎng) ce4 設備： 1） 自然界不可抗力的威脅：河東 pe 設備放置在吉安大樓通信樞紐樓，該樓為框架混 泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準安裝了多級防雷設施，機 房抗震、防雷、防洪等性能都較強，受自然界不可抗力的威脅較低。 2） 其

19、他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān) 威脅。 3）惡意和非惡意人為威脅：該設備運行 vpn 私網(wǎng)內(nèi)，受外網(wǎng)攻擊、破環(huán)的可能性較小， 同時由于目前設備的邏輯操作權(quán)限限制在省 noc 和集團 noc 層面，本地網(wǎng)沒有相關(guān)操作權(quán) 限，相對來說可操作的人員少，受人為威脅的可能性較小。 4） 其他威脅：低。 ngn、c 網(wǎng)承載網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 4 威脅可能性列表 序號 資產(chǎn)名稱面臨威脅類型 威脅可能性等級 自然界不可抗的威脅 （環(huán)境威脅） 低 其它物理威脅（環(huán)境威 脅） 中 惡意人為威脅低 非惡意人為威脅低 1 大樓 ngn

20、 ce 設備、c 網(wǎng) ce3 設備 其它威脅低 2 河東軟交換、c 網(wǎng) ce 設備、大樓 c 網(wǎng) ce4 設備 自然界不可抗的威脅 （環(huán)境威脅） 低 其它物理威脅（環(huán)境威 脅） 低 惡意人為威脅低 非惡意人為威脅低 其它威脅低 4脆弱性分析脆弱性分析 cn2 網(wǎng)的脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面，技術(shù)脆弱性又可分為網(wǎng)絡、設 備/主機、物理環(huán)境等方面的脆弱性。脆弱性識別對象應以資產(chǎn)為核心。1、cn2 網(wǎng)的脆弱性 分析如下： 序號 資產(chǎn)名稱面臨威脅類型 威脅可能性等級 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 設備（含軟件版本、重 要數(shù)據(jù)）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱

21、性）中 1 大樓兩臺 p 設備 gsr12816 和大樓 pe 設 備 管理脆弱性低 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 設備（含軟件版本、重 要數(shù)據(jù)）（技術(shù)脆弱性） 中 物理環(huán)境（技術(shù)脆弱性）中 2 河東 pe 設備、兩臺延伸交換機 管理脆弱性低 2、軟交換、c 網(wǎng)承載網(wǎng)脆弱性分析： 序號 資產(chǎn)名稱面臨威脅類型 威脅可能性等級 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 設備（含軟件版本、重 要數(shù)據(jù)）（技術(shù)脆弱性） 中 物理環(huán)境（技術(shù)脆弱性）中 1 大樓 ngn ce 設備 管理脆弱性低 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 設備（含軟件版本、重

22、要數(shù)據(jù)）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 2 河東 c 網(wǎng) ce2 設備、大樓 c 網(wǎng) ce4 設 備 管理脆弱性低 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 設備（含軟件版本、重 要數(shù)據(jù)）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）中 3 c 網(wǎng) ce3 設備 管理脆弱性低 業(yè)務/應用（技術(shù)脆弱 性） 低 網(wǎng)絡（技術(shù)脆弱性）低 4 c 網(wǎng) ce1 設備和軟交換 ce2 設備（含軟件版本、重 要數(shù)據(jù)）（技術(shù)脆弱性） 中 物理環(huán)境（技術(shù)脆弱性）低 管理脆弱性低 詳細脆弱性分析見如下cn2 網(wǎng)脆弱性分析 5已有安全措施已有安全措施 （1）制度建設：已建立機房出入管理制度、機房

23、環(huán)境管理制度、機房信息保密制度、 機房交接班制度、機房十不準等制度，并上墻。建立了機房管理規(guī)范，如設施管理規(guī)范、維 護作業(yè)規(guī)范、環(huán)境管理規(guī)范等，并組織學習和落實， （2）所有機房已開展了機房標準化整治工作，并建設了動環(huán)監(jiān)控、煙感系統(tǒng)，目前實 行市縣二級監(jiān)控。 （3）市公司網(wǎng)維中心每月定期開展維護基礎管理，包括機房現(xiàn)場管理、資料管理、作 業(yè)計劃、電子值班、電子機歷本、備品備件的管理的檢查，夯實維護基礎管理工作。 （4）6 月份開展了端局機房動環(huán)監(jiān)控系統(tǒng)的全面檢查工作，對存在的問題整擬定計劃進 行整改。 （5）落實維護作業(yè)計劃和機房巡檢制度，每月定期進行設備配置數(shù)據(jù)備份，進行設備 表面和風扇過濾網(wǎng)

24、的清潔工作，實時更新設備健康檔案和網(wǎng)絡維護相關(guān)資料。 (6) 去年 11 月份開展了軟交換承載網(wǎng)優(yōu)化改造工作，實現(xiàn)了城域網(wǎng) asbr 設備與 cn2 網(wǎng) pe 設備的雙設備雙互聯(lián)、ce 設備與 cn2 網(wǎng) pe 設備的雙節(jié)點雙互聯(lián)、優(yōu)化了路由等；今 年 6 月份開展了 cn2 網(wǎng)路由調(diào)整專項整治工作，消除同路由光纜傳輸、重要鏈路裸纖傳輸 隱患，提高鏈路傳輸可靠性。 6安全風險分析安全風險分析 經(jīng)過詳細、全面的分析和評估，目前我市 cn2 網(wǎng)存在的安全風險主要有： 1） 吉安市 82 局數(shù)據(jù)機房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，其中 d01 機 房設備(cn2 網(wǎng)兩臺 p 設備、pe1、ngn ce1、延伸交換機、c 網(wǎng) ce3 設備)是直接坐落在地 板上，未安裝底座，存在滑動、塌陷的隱患，遇地震、爆炸等自然或認為災害，很容易引起 設備滑動、塌陷，導致重大通信故障。此風險短期內(nèi)可接受，但從長遠來看，是一個較大的 隱患，需要整治。 2） 吉安市 82 局數(shù)據(jù)機房重要設備較多，且對溫度覺敏感，目前全部采用普通的獨立 式空調(diào)，環(huán)境溫濕度控制效果差，常導致機房內(nèi)設備溫度過高告警。此風險短期內(nèi)通過加強 機房環(huán)境監(jiān)控，適時做好空調(diào)