第一篇:企业端点防护解决方案-赛门铁克SEP
企业端点安全防护
解决方案
合肥昊邦信息科技有限公司
2013年7月
一、企业防病毒系统现状
现在企业使用了一些单机版本的防病毒软件,由于单机防病毒系统的缺陷:如无法集中管理防病毒工作,客户机配置和防护级别无法统一,无法集中更新病毒代码,管理中人为操作的因素大。在日常防病毒维护中各网络各行其事,分散管理,这样不但加重管理员的管理工作,而且不能实现统一的、集中的管理,易受到各种人为的因素的影响,即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。尤其现在电子邮件是传播病毒的主要途径之一,而还没有针对电子邮件采取防病毒措施。对邮件/附件/JAVA等新病毒的防护无能为力。增加新的用户和管理工作都极为麻烦,而各级单位对计算机的使用和维护水平也不尽相同等等,很难面对当前日益猖獗的数字病毒的威胁。
近年来,随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现,企业原有的防病毒软件部署已经不能满足企业的需要。近几年的混合型病毒大规模传播给企业造成较大的危害,现有的防病毒体系正面临更严峻的安全挑战,主要存在以下几个方面的不足:
1.缺少防病毒中央控管系统。
2.尚未建立完善的安全制度和制定安全培训机制。3.缺乏完善的防病毒信息支持体系。4.不能全方位防护。
二、企业网络防病毒需求分析
随着企业信息化建设的不断深入完善,以及互联网通讯的广泛应用,各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。
一般而言:企业网络Internet区域安全等级最低,是病毒产生及传播的地方;客户端工作区安全等级较高,主要由外来用户、移动办公用户、桌面用户构成,是病毒感染的主要目标,也是病毒进入企业网络的主要载体;核心服务器区安全等级最高,这里有企业的关键服务器,是安全防护体系最终保护的目标。
企业网络病毒防范工作:必须从这三个安全区域(病毒防护的主体)着手,根据他们之间的访问关系施加防护及病毒监控。
具体防护工作的描述:针对核心服务器区,严防来自Internet及移动用户的病毒入侵,保护其中的关键服务器,这是防病毒工作的重点;针对客户端工作区,需要部署客户端防病毒产品严防病毒(尤其是具有混合型威胁特征的混合型病毒)的入侵;针对Internet区域,需部署网关级防病毒产品,严防来自该区域的病毒及病毒攻击;针对邮件系统,需要部署邮件病毒防护系统;另外还需要部署必要的辅助手段,以监测网络异常状况,提前预知病毒事件发生。
某企业目前有8台财务PC终端,服务器有1台财务服务器以及1台ERP服务器。客户需要对这个10个接入点的具备端点防护以及杀毒功能,以便设备不会受病毒和其他风险干扰,保证公司核心业务的正常运行。
三、防毒系统设计架构
为了实现企业的总体目标,遵循企业防病毒系统建立原则提出以下的防病毒技术整体架构。
整体架构包括了全方位的防病毒产品部署及管理。在目前整个网络中,因为拓扑较为简单,接入点较少。防病毒机制应实现集中管理原则,中心机房新部署防病毒服务器1台,作为全网的根服务器,承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作;同时作为全网的防病毒管理控制台,管理控制台管理单位内部所有防病毒产品、所欲的终端,承担所有端点的软件分发、升级和病毒防护策略的分发。实现全网防病毒体系的“集中控制、集中管理”。
在企业防病毒整体架构中,需要部署以下几方面功能组件:
1.防病毒集中管理平台 负责产品自动分发、升级、生成病毒报告等。2.服务器防病毒 负责网络中的所有服务器的病毒防护。3.群件防病毒 负责邮件系统病毒防护
4.客户端防病毒 全面防护各种类型操作系统的客户端的病毒
5.网关防病毒 防护来自Internet的病毒,对从Internet来的流量进行内容过滤
6.防病毒的辅助手段 流量监控工具、入侵检测产品防病毒客户端的产品发现、版本监测、病毒易攻击的漏洞扫描等
四、体系设计思想与实现目标
4.1、体系设计思想
通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验,为企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系,有效抵御各种病毒和混合威胁的攻击。提高企业的病毒防御水平。
根据企业网络系统的现状和系统防毒安全和管理的需要,我们考虑防病毒系统应该遵循以下几条原则:
1.技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品,在各种操作系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。
2.满足需求为第一。针对企业的具体应用情况,建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设,尽量满足各种需求。
3.必须是主动式的,而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因,主要是混合病毒传播的速度和它们的破坏程度;停机时间造成巨大的成本,需要大量的IT资源来清理病毒。对于混合型病毒必须要提供主动式的防御。
4.扩展性和可升级性。可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎,在功能、性能上都在不断采用新的技术,保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式,保证组织机构的防病毒系统在第一时间内得到升级。
5.可管理性。对于企业这样比较大的组织机构,要管理防病毒软件的分发、升级、配置和支持是一个非常难的事,这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具,可以在几个集中的点上对整个网络中的客户端和服务器进行管理,包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。
6.易用性。在企业这样的大的组织机构中,大部分的使用人员并非计算机专业人员,而且由于业务繁忙,不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用,自动化程度高,最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告,简化使用的复杂度,结合统一的控制台,用户几乎不需要知道有防病毒软件的存在。
4.2、网络拓扑设计如下:
五、产品选型-赛门铁克SEP解决方案
赛门铁克公司推出了其新的防病毒解决方案,称为赛门铁克端点保护(防护)解决方案,其英文名为:Symantec Endpoint Protection(SEP)。在新型的解决方案将多重安全技术集成到单一代理,并由单一控制台进行管理,增强并简化各种类型企业的安全。
在这个简称为SEP的防病毒解决方案中,纳入了主动防护技术,能自动分析应用行为和网络沟通,从而检测并主动拦截威胁。而且Symantec Endpoint Protection是唯一通过单一集成代理、在单一管理控制台注册便可提供基本安全技术(防病毒、反间谍软件、桌面防火墙、入侵防护和设备控制)的产品。使用户可获得单一的解决方案,集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制,并十分易于部署和管理。
5.1、SEP主要功能:
1、增强端点安全
Symantec Endpoint Protection主要是为了确保用户获得真正的集成体验,实现全面、强健的端点防护。该解决方案降低80%以上的内存空间,从而有效利用资源。该方案混合了基于签名的病毒防护与新型主动威胁检测技术,从而有效地应对传统和新型威胁。主要包括以下技术:
2、增强型防病毒和反间谍软件技术
提供优化的实时恶意软件检测,加以拦截并修复。它的主要特征包括性能优化、新型用户界面和来自Veritas的新型深度扫描技术,从而可以发现并移除经常逃避检测的rootkit。
3、新型主动威胁防护
通过利用基于行为的扫描,抵御未知或零日威胁。通过设定检测 所有行为的运算法则,大幅降低了误报的发生。此外,还包括来自Whole Security的独特技术Proactive Threat Scan,能够检测并拦截恶意软件,无需签名便可防止其爆发。根据指定的安全策略,设备控制可帮助用户严格限制设备访问权,包括USB存储、备
份驱动等,从而降低数据丢失的风险。
4、新型网络威胁防护
整合了Generic Exploit Blocking,利用独特的基于漏洞的IPS技术。由于这种IPS技术是嵌入在网络层级,因此可以在恶意软件进入系统之前加以拦截。GEB与传统基于漏洞利用的IPS技术不同之处在于,它可以凭借单一签名拦截所有新型漏洞利用,从而提高检测,加速修复。Sygate同样提供了基于规则的新型防火墙。该防火墙可以进行动态调整port设置,防止威胁扩散,并检测加密和纯文本的网络流量。
5、简化与扩展
随着访问企业资源的用户群体不断扩大,端点保护和安全策略遵从之间结合得更加紧密。Symantec Endpoint Protection支持NAC。通过将NAC和安全性集成到单一的端点代理,赛门铁克可帮助用户更加快速简便地部署Symantec Network Access Control,并极大地提高运行效率,包括单一软件和策略更新、统一报告、以及统一执照和维护等。
通过上述文字,让大家了解了SEP的威力,接下来的图示就是安装好后的管理控制台:
第二篇:电力通信系统雷电防护解决方案
电力通信系统雷电防护解决方案
1前言
当今人类科学技术的发展已进入了高度信息化的发展阶段。信息化建设和高新技术的发展,尤其是电子技术的飞速发展,各种先进的卫星通信、保护监控、计算机系统和测量等电子设备产品更加广泛地应用于我国电力行业中,尤其在电力变电站这样设备高度集中的地方,含有大量的微电子仪器设备,这些设备大大提高了我国电力行业整体的自动化水平,对国计民生有着至关重要的意义。但另一方面,这些微电子仪器设备普遍存在着绝缘强度低,过电压耐受能力差等致命弱点,一旦遭受雷击过压的冲击,轻则造成这些电子系统的运行中断,设备永久性损坏,更重要的是这些系统所承负的那些须实时运行的后续工作的中断和瘫痪,所造成的不可估量的直接与间接的影响和巨大经济损失,尤其是对于电力这类国家重要关键部门,更为重要。
为此,我们认为对关键的系统和设备进行防雷害和过电压保护,不但是必要的,而且是必须实施的。
通过我们为电力通信机房及二次变电系统防范雷害、保障系统安全运行等工作方面所做出的大量艰苦、细致的工作。我们根据贵处防护现场的实际基础环境情况,及进行保护的工艺设备情况的要求,本着“经济、实用、高标准、高起点、高可靠性”的原则,为贵处做出设计方案,供各位领导和专家评审。
2设计说明 2.1项目的提出
根据省广电集团有限公司领导指示,由市供电分公司通信公司提出,对通信机房及电力变电站进行防雷和整改工作。
对通信机房和变电站内设备供电系统进行雷电防护加固对通信改造机房增加防雷型双电源自动切换配电柜对机房接地与变电站接地实施等电位隔离和地线优化等措施增设雷电环境在线监测记录装置对通信机房平面布置图、机柜正面、背面图、机房外部接线图、电源接线图、机房接地图等资料进行编制、存档对机房内线缆、光缆等制作标识进行区分整理通过防雷改造、机房整改确保通信设备和电气设备运行更安全、更可靠,为日后维护工作的顺利、快速、方便奠定基础。2.2设计原则
由于雷电防护是一个综合性系统工程,防雷工程的系统设计、电涌保护器选型、安装、维护对所保护的设备关系重大,对业务正常运行具有非常重要的作用。因此,防雷保护系统设计应具有先进性、可靠性、易维护性和经济合理性。防雷工程设计及防雷器件的选择应遵从以下的原则:(1)客户利益原则
无论防护工程的大小,防护设备数量选用多少都应以用户对安全期望值为原则,以用户需求为宗旨。本着务实,实用有效的思想,以科学严谨的态度,充分考虑用户设备的可扩展性,通过相互间深层次的技术交流和沟通,达到目标的一致性,取得双赢。(2)安全、可靠性原则
防雷工程的设计应首先考虑的问题就是科学性、合理性、安全性和可靠性。在防雷工程的设计中防护产品应是成熟可靠的产品。
电力通信设备是电力调度与电网控制的关键设备,对人民生活与生产息息相关,任何时刻的系统故障都有可能给用户带来不可估量的损失,以及相关的社会影响。这就要求系统具有高度的可靠性。如何提高系统可靠性是防雷工程师必须关注的首要问题。因此,防雷产品满足以下要求: a)满足系统正常运行,系统传输无损耗和衰减,不出现“乱套”或“暂乱套”;
b)满足在规定的技术条件下的防感应雷、防浪涌过电压的冲击,且能自动复位; c)防护器件失效或损坏时,产品具有声光报警或遥讯接口、自动脱扣装置; d)防护器件失效或损坏时,可在线热维护(热插拔),故障处理无须停机;(3)先进性原则
采用当今国内、国际上最先进和成熟的工业设计技术,使系统能够最大限度地适应今后技术发展变化和业务发展变化的需要。从国家电力及电力通信发展来看,系统总体设计的先进性原则,主要体现在以下几个方面:
防雷系统的设计考虑电力系统的基础设施及装备特点,对高压输变电网、电力调度控制网和电力通信网开放的体系结构中的强电设备、弱电设备的安全接地系统的兼容性和协调性;防护设计中的梯度性;
采用产品技术应当是有效的,可扩充的,能满足今后日益扩充的需要。(4)实用性原则
本着安全最大化原则,配置防雷保护系统的投入与安全的期望值成正比,投入所带来的经济效益是显著的,能减少每年的运行维护费用、提高和延长设备工作时间、避免雷电灾害或重大事故造成的重大经济损失,为用户的系统设备增值,有效的保护用户的投资,保证整个系统的正常运行;实用性就是能够最大限度地满足用户的需要,从实际应用的角度来看,这个性能更加重要。
(5)开放性,可扩充、可维护性原则
防雷保护技术是不断发展变化的,为了保证用户的投资,所选产品必须满足行业的有关技术标准;符合国家或国际有关标准。这样才能对电力网络的未来发展提供保证。
因为系统雷电防护设计是一项系统工程,那么从系统论的角度上讲,系统结构越合理,系统的各个部份(要素)之间的有机结合就越合理,相互之间的作用就越协调,从而才能使整个系统在总体上达到最佳的运行状态。2.3设计依据
SDJ2-92《变电所设计技术规程》
GB/T15153-1994《远动设备及系统工作条件环境条件及电源》 GB/T13729-1992《远动终端通用技术条件》
GB501269-1992《电气装置安装工程接地装置施工及验收规范》 GB50057-94(2000版)《建筑物防雷设计规范》
GB50343-2004《建筑物电子信息系统防雷技术规范》 GB18802.1-2002《低压配电系统用的电涌保护器》 GB18802.2-2003《电信和信号网络的冲击保护装置》 GA173-2002《计算机信息系统防雷保安器》
GA267-2003《计算机信息系统防雷电电磁脉冲安全保护规程》 IEC1024-1∶1990《建筑防雷》
IE1312-1∶1995《雷电电磁脉冲的防护.通则》
2.4电力通信及变电站建筑物防雷和建筑物电子信息系统防雷分类
依据GB50057-94(2000版)建筑物分类
变电站划为第一类防雷建筑物,建筑物内的电源设备、远动控制设备、通信设备防雷应划为A级防雷保护。
其防护措施应有:直击雷防护、侧击雷防护、雷电浪涌入侵的防护、雷击电磁脉冲的防护和等电位联接的措施。3雷击的分类和危害
防护雷电灾害工作的第一步就是首先应确认雷害侵入所保护系统的各种途径,在这个基础上,依据系统防雷的科学理论和我们丰富的防雷设计安装经验,采取相应的防护措施,进行有针对性的防护,从而达到在雷电入侵时能够保障系统安全运行的目的。
为此,首先对于电力变电站的雷电入侵和危害,我们分别从以下几点进行分析: 3.1电力线是雷电入侵的重要渠道 3.1.1雷电远点袭击电力线
我国电力线输电方式是由发电厂通过升压变压器升压后,输电至低压变压器,经低压变压器的输出给用户。由于我国的电压基本波形是每秒50Hz的正弦波形曲线,在电力线上形成每秒50次的交变磁场。如遇雷害发生时,在雷电未击穿大气时,将呈现出高压电场形式。根据电学基本原理,磁场与电场之间是相互共存可逆变化的,那么,雷击高压电场通过静电吸收原理,向大地方向运动。雷电首先击在电力线上,并从电力线的负载保护地线入地释放,这样就击穿了设备。在高压线上的表现为击穿变压器的绝缘,在变压器低压端与负载的连线上遭雷击,损失的是用电设备。为此,在选择防雷器时,首先考虑远点雷击。3.1.2雷电近点电力线的侵入
所谓雷电近点袭击电力线,实际上是雷电袭击被保护设备所在的建筑物避雷针或金属屋面(区域管制中心主楼为金属屋面),从而引起的雷电电磁脉冲的保护问题。雷电打在建筑物避雷装置上,按照GB50057-94《建筑物防雷设计规范》规定,定义建筑物接闪电能力为波形10′350mS三角波,雷击电流为150KA。避雷针引下线由于线路电感的作用,IEC61312定义最多只能将50%的电流引入大地。也就是说,10′350mS直击雷引下线只能引下50%的电流,余下的电流将通过电力线屏蔽槽、水管、暖气管、金属门窗等与地面有连接的金属物质联合引雷,但也只引下少部分雷电流,余下总电流的25%在大楼流窜至UPS输入输出负载的电源线、局域网线、各类信号线等。结果将击穿UPS输出对地线和输入对地线、终端设备电源对逻辑地线、网口对逻辑地线等。3.1.3错相位雷害
美国空军电磁兼容手册中,描述雷电发生时用肉眼可识别闪电为一组雷击,每次不少于26个雷,它有大小和发生先后的区别,如果一个高能量雷打在一条火线上,而另一个低能量雷打在另一条火线上,线线之间就会产生一个电压差,侵入设备。这种侵害设备的现象,称错相位雷击,又称雷电的二次破坏。
小结:堵死雷电由电力线入侵电子设备,应该从远点雷击、近点雷击和错相位雷击三种雷击现象入手,实施全方位的保护,才能在发生雷击时,实施有效的保护设备。3.2建筑物内感应雷害
雷电击在建筑物避雷针或金属屋面上,由避雷针或金属屋面通过引下线,将雷电流泄放大地,引下线自上而下产生一个变化旋转快速运动磁场,建筑物内的电源线、网络线等相对切割磁力线,产生感应高压并沿线路传输击毁设备。建筑物内感应雷击对微电子设备,特别是通讯设备和电子计算机网络系统的危害最大,据统计资料显示,微电子设备遭雷击损坏,80%以上是由感应雷击引起的。
以变电站为例,避雷针引下线或主钢筋距机房约10米,假设机房为7′7m2。di=75KAdt=10mS
则感应高压U=2′10-7′7′Ln=5571V
由此可知由雷电产生的感应电压无孔不入,它可以危及机房内所有的用电设备,感应雷的能量虽小,但电压较高。所以,对感应雷害的防护,应该是全面的防护。3.3雷电作用下的网络雷害 3.3.1广域网络
一般讲,广域网络通常不遭受直击雷的破坏,1mm2的铜线遭受10KA的雷电袭击,它自身就断了。所以,广域网的雷害主要是感应雷害,击穿方式为线对线和线对机壳(地)。在GA173-1998《计算机信息系统防雷保安器》标准中,广域网保护的最大雷电流为5KA,连接广域网一般有以下几类,一类是DDN专线,一类是ISDN专线,一类是帧中继以及微波通讯方式。对于专线的接收端口,它的耐压应为5倍工作电压,即Vdc25V,传输速率小于等于2M,插入防雷器,使之在雷电作用下,短路保护5KA电流,而端口残压小于25V;
而对于话线备份来说,它的工作电压为48V加93V振铃电压共计175V,插入防雷器,防雷器的启动电压185V,残留电压小于Vdc330V,因为调制解调器的耐压为Vdc330V。保护模式为线对地和线对线,广域网遭受雷击的概率较大,一般在28%左右。3.3.2局域网
在局域网的传输电缆中,常常采用UTP电缆,UTP电缆的4对线中两对线(1-2,3-6线对)一对线接收一线发送,采用RJ45接口方式。既然局域网电缆采用RJ45型是一收一发,那么,就应按两对线进行雷电保护。
我们做过一次试验,在一条连接服务器的网线旁边,约距网线0.5米处,采用雷击发生器对网线0.5米处一条金属线发射雷电流。由小到大,发射电流为10KA,周边磁场污染了网线,瞬间服务器端口、芯片被击穿,这时,示波器记忆感应高压为100V。
在变电站的综合布线中,施工人员为了布线工程的美观漂亮,把很多网线放在墙壁内,没有考虑对UTP电缆的屏蔽处理,一旦建筑物某些钢筋泄放雷击电流都将引起感应高压,从而击毁设备。
另外,对于网络系统,由于雷电引起的电磁脉冲,在机房内产生3Gs(高斯)的变化电磁场,必然引起网卡端口芯片的烧毁。3.3.3综合布线
从防雷角度上考虑,布线一定要明确表示:
a)电源线不要与网络线同槽架设,数据插座与电源插座保持一定距离; b)广域网线缆不要与局域网线缆同槽架设; c)网线与墙壁布置时,有条件应远距离安装; d)屏蔽槽有厚度要求,并要求两点接地.3.4雷电高压反击(又称地电位反击)
雷电袭击建筑物避雷针、金属顶面、女儿墙的避雷带,由引下线将雷电流引入大地,由于大地电阻的存在,雷电电荷不能快速全部的与大地负电荷中和,必然引起局部地电位升高,这种反击电压少则数千伏,多则数万伏,直接烧坏用电器的绝缘部分。
另外一点值得非常注意的是:防雷的概念不仅仅是对雷电灾害的防护,还有由于大型设备起停,切投等引起的电网波动,而产生的浪涌过电压是目前电子系统最大的威胁,其危害的比例绝对高于自然雷击的比例。雷电过电压,浪涌过电压,均归于瞬态过电压(瞬态浪涌电流)的范畴之内。
在通过具体分析了雷害入侵被保护系统的各种途径后,我们得出的结论是:防雷保护设计工作不是简单的避雷设施的安装和堆砌,而是一项要求高、难度大的系统工程,涉及多方面的因素。为此我们的设计指导思想的主旨是,本着“经济、实用、高标准,严要求、高起点、高可靠性”的原则,在遵照执行国际有关标准,国家有关行业标准的基础上,还参考和引入IEC国际电工委员会的有关防雷技术标准要求,以期达到更好的防护效果。4设计具体说明
经过对多个变电站的实地勘察,当前变电站中所采用的防雷措施(外部避雷)是比较可靠的,但是,随着电力网容量的增大,电压等级的提高,综合自动化水平的需求,单靠传统的避雷针、避雷带等外部避雷设施已不足以防护雷电或开关过电压对微电子设备的冲击,进行内部系统的雷击浪涌防护和加装SPD(电涌保护器)是迫切的和必须的。
本设计主要内容为:(1)所有通信机设备线缆整理、打标签、平面图、走线图、设备明细表等设计绘图(2)110KVA变电站:
电源系统雷电浪涌防护、远动信号端口浪涌防护(3)110KVB变电站:
更换电源柜、增加接地铜排、电源系统雷电浪涌防护、串口信号端浪涌防护(4)农电所总站:
接地改造、设置地线铜排、配线箱改造、增加防雷保安单元、电源系统雷电浪涌防护(5)生产综合楼客服中心:
增加直流电源配电柜、接地改造、增设接地铜排(6)220KV变电站:
交流配电系统设计及改造,电源系统雷电浪涌防护、数据线防雷(7)110KV变电站:
电源系统雷电浪涌防护、数据线防雷(8)220KVC变电站:
交直流配电柜的设计制造、接地线的引入、电源系统雷电浪涌防护、串口信号端浪涌防护
(9)110KVD变电站:
增加交流配电柜、引上接地铜排、电源系统雷电浪涌防护、信号端浪涌防护(10)110KVE变电站:
交流电源系统雷电防护、信号端浪涌防护、接地均压环处理.(11)旧供电局:
地线引入、增设接地铜排、电源系统雷电浪涌防护、信号端浪涌防护(12)供电所:
电源系统雷电浪涌防护、信号端浪涌防护(13)供电大厦15楼交换机房:
交流电源系统雷电防护、接地均压环处理(14)供电大厦16楼通信主机房:
地线引入、增设接地铜排、电源系统雷电浪涌防护、信号端浪涌防护 4.1建筑物防雷、二次弱电设备系统防雷及电气安全设计指标 4.1.1电气安全技术指标
(1)供电方式(采用TN或TN-C-S系统)及电网要求
电源电压:380V/220V波动不大于±5%
电源频率:50Hz波动不大于±0.5%
波形失真率:应小于±5%
电压漂移:(N-PE)应小于1V。
第三篇:A市政府网络安全与网站防护解决方案
【说明】(1)这是《中小企业虚拟机解决方案》一书中部分章节的摘抄。该书预计于2009年12月初由《电子工业出版社》出版,敬请期待!
(2)以本方案为蓝本的方案:《A市政府网络安全与网站防护解决方案》参加华硕服务器第四届IT硬件平台搭建大赛获得三等奖。概述
根据CNCERT/CC(国家互联网应急中心)的2月份发布的统计报告,2009年1月1日至31日,我国大陆地区被篡改网站的数量为3792个,较2008年12月的1693个增长了124%,其中代号为“ 如果上面的数据,表达不了网站被攻击的严重性,那么,CNCERT/CC的2008年7月份的统计报告很说明问题,大约平均每5个政府网站,就有一个网站被黑!而且,近年来,网站被篡改的数目仍然以每年2~3倍的速度在不断递增。 根据这些材料可以知道,网站被篡改、被攻击的数量是非常大的,并且递增的数目也是比较快的。A市政府网站,在近期被黑客篡改页面的情况多有发生,即影响了政府形象,也给广大市民带来不便。怎样对政府网站进行安全防护,是市政府信息中心所面临的首要任务。 同时,政府现在有300多台计算机上网,虽然有网通、电信宽带接入互联网,但由于各种问题,终端上网速度很多,每天网络中断两、三次,只能重新启动交换机、路由器才能重新上网,但过几个小时,问题会再次出现,单位网络办公的环境也需要改造。 信息中心要求,在不改变现有网站的维护方式的前提下,对网站进行安全防护,防止网站再次被黑;在不改变现有上网设置的情况下,改变整个网络的上网环境、避免再次出现整个网络瘫痪。经过实地考察,并与信息中心沟通,决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003,对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5,配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡;另一台服务器采用华硕TS700-E4,配置16GB内存、1个4核Intel处理器、6块SAS硬盘(其中5块硬盘做RAID5、1块硬盘备用)、集成双千兆网卡、双电源。政府网络现状与用户需求 A市信息中心是正科级全额拨款事业单位,挂靠A市政府办公室,负责全市信息化建设的规划、指导和组织工作,主要承担全市电子政务的建设和管理工作。目前,A市信息中心的内网上接市委、市政府,下联市直80多个部门、10多个乡镇、经济技术开发区。 为方便市领导上互联网的需要,信息中心还向网通、电信各申请了20M互联网带宽,通过双WAN口路由器,实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作,每个部门都建立了自己的局域网,全市办公内网的微机保有量约2000台以上,A市的信息化应用水平在石家庄市各县市区中一直名列前茅。 目前,A市政府信息化应用水平较高,有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统,这些系统分别运行在机房的多台服务器上。这些服务器,有的是一些品牌机服务器,有些是组装的服务器,配置比较低、没有提供数据的冗余与备份功能,从长远角度来看,存在安全隐患。 从今年开始,政府网站被黑客篡改首页多次,并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后,只能通过备份恢复,有的黑客向网页中嵌入广告代码,信息中心人员只能一个一个网页检查、然后删除这些广告代码,给政府网站对外宣传带来了负面影响,也给信息中心人员的管理人员带来了压力。 同时,随着近几年来,网上办公的兴起,政府楼内接入网络的计算机越来越多,另外,随着职工使用计算机水平的提高,管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏,占用了网络带宽,导致上网越来越慢。在每天上网高峰的时期(上午10点半左右、下午3点左右),网络缓慢的几近打不开网页,只能通过重新启动交换机、双WAN口路由器的方式,恢复网络连接。 另外,当每次大规模的病毒爆发时,例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒,都会导致整个网络瘫痪。 市政府信息中心对外面临政府网站被黑客攻击、修改页面,对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力,可以说,整个网络安全状态已经到了不得不改的情况。 政府信息中心的需求主要包括以下几个方面: ü 保护政府网站不被黑客入侵。 ü 解决局域网上网速度慢的问题。 ü 解决整个网络经常感染木马、病毒的问题。 ü 减轻信息中心人员负担。方案设计 在方案设计之前,需要详细的了解现有网络的状况。经过信息中心人员进行介绍,并经过实际考察,画出A市政府现有网络的拓扑图,如图1所示。 图1 A市政府网络拓扑 A市政府各有20M光纤分别接电信、网通(现联通)访问Internet,这两条光纤通过“光纤收发器”转成RJ45网线,接在一个双WAN口的路由器上,用做代理服务器。该双WAN口路由器LAN口接到三层交换机上,三层交换机划分了多个VLAN,每个楼层属于一个VLAN,并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上,直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址(192.168.1.8),Internet上的用户通过政府网站域名访问,政府内的人员都是直接使用IP地址192.168.1.8访问政府网站,信息中心工作人员是使用19 2.168.1.8来访问与维护网站、更新网站内容。 3.1 网站频繁被黑的原因与解决对策 经过分析,发现网站频繁被黑的原因可能如下: ü 操作系统漏洞:网站服务器的操作系统是Windows 2000 Server,虽然现在Windows Server 2008已经发布,Windows Server 2003应用也很成熟,但由于各种原因,服务器操作系统一直没有升级,另外,也没有及时的更新各种补丁。 ü 数据库漏洞:数据库使用的是SQL Server 2000,同样,也没有打补丁。 ü 网站代码漏洞:政府网站,是由信息中心的人员,在2001年左右,在网上下载的代码的基础上,修改成的。由于开始的时候,网站被攻击的事情很少发生,所以,信息中心的人员忽视了这方面的情况。这些网站代码中,存在SQL Server注入漏洞、文件上传漏洞、Shell漏洞等,而后台管理密码也是比较简单。 针对网站被黑的原因后,首先提出如下的解决方法: ü 及时更新操作系统补丁与数据库的补丁。 ü 升级操作系统与数据库:由于Microsoft已经不对Windows 2000与SQL Server提供支持,建议将将Windows 2000 Server升级到Windows Server 2003,将SQL Server 2000升级到SQL Server 2005。 ü 修改网站代码,避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。 虽然知道需要修改网站代码防止网站被黑,但实际上,政府网站已经使用多年,短期内对政府网站做大的修改不容易实现,只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点,决定采用如下的技术措施: 将政府网站分成两个相同的站点,一个站点用于对外发布,供市民、网民通过Internet浏览、查看内容,另一个网站专门用于信息中心人员维护,该网站只能通过内网访问,这两个网站使用同一个数据库。而发布到Internet上的网站,其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库,而用于内网维护的网站,其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外,在双WAN口路由器与三层交换机之间,增加一级代理服务器,采用ISA Server做软件防火墙与代理服务器,用ISA Server的“签名”等功能,通过过滤关键字的功能,防止文件上传漏洞、Shell漏洞等。 3.2 内网速度慢的原因与解决方法 对于局域网内,计算机速度慢、网络速度慢、经常感染病毒等问题,简单来说,如果升级计算机的配置、增加出口带宽的速度,是可以解决问题。但是,这些都是不现实的,另外,这也不是解决问题的根本方法,即使用这种方法解决了现在的问题,但过段时间,同样的问题仍然会继续。在用户现场,经过进一步分析、调查与判断,得到如下的结果: (1)内存不足导致运行缓慢。 大多数的计算机内存都比较小,主要是256MB内存。而杀毒软件,大多数用户使用的是“瑞星”,不可否认,瑞星杀毒软件占的资源比较大,在现在主流操作系统是Windows XP SP2的情况下,安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件,与常用的办公软件,例如Office、WPS后,系统内存占用的资源已经到了170多MB,在打开网页时,由于现在网页中图片、广告很大,IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存,当主机内存不够的情况下,会使用硬盘空间作为交换分区(虚拟内存),这样就造成了计算机速度变慢。 (2)病毒占用系统资源。 许多计算机没有打“补丁”,在浏览一些网页时,感染了木马或蠕虫病毒,有的计算机感染了ARP病毒,所以在计算机启动的时候,这些木马或蠕虫,试图通过网络感染给其他计算机、或者试图连接广告站点,占用了系统资源,这是计算机启动慢、反应慢的最主要原因。 (3)带宽被占拖慢网速。 单位提供4MB带宽,本来是为单位上网(浏览网页)、收发邮件等正常办公使用,但近一两年来,许多用户使用计算机“水平”越来越高,一些员工在工作时间看在线视频,或者玩游戏,使用讯雷或BT下载电影,占用了大量的网络带宽,而双WAN口路由器没有流量监控与流量控制功能。经过实际测试,在看“新华网”的在线视频时,单一视频流就会占用800KB以上的带宽,理论上讲,只要单位中有20个人看新华网的在线视频,就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。 对上述这些情况,可以通过打补丁、更新杀毒软件等方法解决,主要内容如下: (1)使用微软免费产品WSUS 使用Microsoft提供的专门用于企业用户的升级服务器-WSUS,统一为网络中的计算机“打”补丁。采用WSUS,将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁,即提高了更新补丁的速度,又节省了出口带宽。例如,Windows XP SP3补丁大约300MB,如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级,以100台工作站为例计算,需要下载300MB×100=30GB,而采用W SUS,只需要WSUS从Microsoft升级服务器下载300MB补丁,其他工作站直接从WSUS即可获得补丁。 (2)使用ISA Server禁止无序下载、限制每台计算机的并发连接数量 在双WAN口路由器与三层交换机之间,增加ISA Server防火墙与代理服务器,使用ISA Server,禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频,并限制每个计算机的并发连接数量。 (3)采用占用资源较小的杀毒软件 网络版杀毒软件太贵,可以购买支持局域网升级的杀毒软件,例如以前的金山毒霸、江民,现在的NOD32、卡巴斯基。考虑到客户端计算机配置比较低,可以选择占用资源比较低的NOD32。这样,改进后的网络拓扑如图2所示。 图2 配置防火墙与升级服务器 3.3 最终方案 在确定了网站防防护、内网安全与改造方案后,对这两个方案进行综合考虑,同时,考虑到原来的网站与OA服务器,已经使用多年,也到了升级的时候,而WSUS与NOD32服务器占用的资源并不是很多,单独放置在新买的服务器中,对服务器的资源是一种浪费。经过多方面分析,我们推荐如下的综合解决方案: (1)购置一台高配置的、具有磁盘冗余的服务器,采用虚拟化技术,在一台服务器上实现两台虚拟机,其中一台虚拟机放置政府网站与OA网站,另一台虚拟机放置WSUS升级服务器与NOD32服务器。 (2)配置一台多网卡的、安全稳定的服务器,添加在双WAN口路由器与三层交换机之间,安装ISA Server 2006软件,做防火墙与代理服务器。 (3)修改双WAN口路由器的LAN端口地址,改为192.168.200.1,而原来的192.168.250.1用在新的ISA Server服务器接三层交换机的网卡上,ISA Server服务器接双WAN口路由器的网卡设置IP地址192.168.200.2/24。在双WAN口路由器上,设置TCP协议80端口转发给192.168.200.2,再由ISA Server转发到政府网站服务器192.168.1.8。 (4)网络中的所有工作站,配置使用局域网内的WSUS服务器进行补丁的升级,统一卸载以前的杀毒软件,改为统一使用NOD32,并指定从信息中心NOD32服务器进行升级。 (5)在ISA Server上发布政府网站,并对网站进行保护。 (6)迁移网站到虚拟机1中,并将网站分成用于Internet发布的外网网站、用于内网管理的网站。 在方案实施中将详细介绍每一个细节。如图3所示,这是网络最终的拓扑。 图3 A市政府网络安全改造方案拓扑图 3.4 方案特色 由于选择了高配置的华硕服务器,以及使用VMware ESX Server虚拟化产品,以后再需要其他服务器时,不需要再购置新的硬件,只需要在VMware ESX Server中创建新的虚拟机即可以满足应用。在本次方案中,配置的华硕TS-700高配置服务器,可以同时运行8~16台虚拟机,足可以满足现在以及将来一段时间的需求。同时,在采用虚拟化技术后,减少了服务器的购置需求,并减少了服务器在以后运行中的耗电,近一步降低了产品的使用费用,符合绿色环保、节能的需求。方案实施 在硬件、软件到位后,开始对A市政府网络进行改造,在改造的过程中,会中断网络,为了不影响大家工作,建议在休息时间,例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试,大约需要1天的时间。方案的实施步骤如下: 6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙 在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版,并接在双WAN口路由器与三层交换机之间,相当于在整个网络中,增加一个“软件”防火墙,然后修改配置双WAN口路由器的配置,并转发TCP的80端口到ISA Server,再由ISA Server转发到政府网站服务器。主要步骤如下: (1)安装32位的Windows Server 2003企业版,在安装的过程中,将硬盘划分为3个分区。分区按照2:3:2的比例。安装系统后,安装驱动程序。 (2)配置双WAN口路由器,将LAN口的IP地址由192.168.250.1修改为192.168.200.1/24,并转发TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的静态路由,指向192.168.200.2。 (3)将服务器接入网络,其中一块网卡接到双WAN口路由器的LAN口(代替原来接三层交换机的端口),设置这块网卡的名称为“Internet”,设置IP地址为192.168.200.2/28,网关地址为192.168.200.1。设置另一块的地址为192.168.250.1/24(不设置网关地址),将这块网卡连接到三层交换机原来接双WAN口路由器的端口,命名这块网卡为LAN。配置好后,使用ping命令,检查网络的连接是否正确,无误之后,在命令提示符下键入如下的命令,以增加到192.168.0.0~192.168.63.0/24的路由: route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2 (4)安装ISA Server 2006,并将ISA Server 2006安装在第2分区。安装完成后,配置ISA Server 2006,其内网地址是192.168.0.0~192.168.63.0/ 24、192.168.250.0/ 24、192.168.200.0/24网段。 (5)配置ISA Server 2006,允许“内网”访问“外网”,此时,局域网内的计算机应该可以访问外网。 有关这些操作的详细步骤,在我的博客中已经介绍过,不再一一介绍,如有兴趣,请参见我博客中的其他文章: 用ISA Server 2006做VPN服务器 使用ISA Server发布服务器 安全连接Internet-让ISA Server 2006做为企业中的只有经过身份认证的才允许上网!-----------ISA Se 关于WSUS服务器的几个问题 公司的网络为何如此缓慢 使用ISA Server保护内部的web服务器 企业网络电视台解决方案 曾几何时企业拥有自己的电视台是少数大型企业的专利,而在网络技术无限发达的今天帮助企业建立自己的电视台是沈阳仁业网络公司的使命,通过完善的技术和低成本的价格轻易帮助企业圆梦。拥有自己的电视台可以帮助企业提高形象,增加企业的信任度,让客户更方便的了解企业。企业可以通过电视台全球直播:产品或服务真人解说、客户咨询解答、产品解说、客户服务、人才招聘、内部通告、在线会议、培训、渠道招商会、企业形象广告…… 这些视频直播活动对提高企业的形象有着很大的帮助,客户也可以通过这种方式更好的了解企业。然而现在由于软硬件价格都比较高,所以怎么样在有限的经费内打造更好的直播效果就成为企业关注的方向。 首先要明确一点视频直播要基于p2p技术才能更好的支持更多的用户在线收看,而不会受到用户数的限制影响收看范围。为什么要提出这个问题因为现在很多用户已经应用视频会议系统做一些课程、会议小范围直播的工作,当然这种方式由于受到网络和用户范围的限制使得居民不能很方便的在家中或办公室中有网络的地方看到,另外的弊端就是客户会发现采用视频会议或远程视频直接访问这种方式价格会很难承受。在这种情况下沈阳仁业网络技术有限公司的流媒体直播系统就应运而生,极大的降低了需要投入的软硬件价格,并且很好的解决了内外网海量用户的观看问题,并能实现直播视频清晰度的完美展现。 事实上,仁业流媒体直播系统不仅可以进行单台或多台摄像机现场直播还可以对现有的视频宣传片进行轮播,并可以在现场直播时在开始、结束、中间休息时加入已经做好的视频短片,使整个直播过程更丰富多彩。 当然,只拥有直播系统可能无法满足到用户对于网络直播的需求,特别是在在线访谈和活动类的节目里经常需要一些画面、镜头的切换,以及将对话的内容的字幕,在不想花费巨资购入设备的情况下,我们给予您一个新的选择:在使用P2P直播系统的基础上增加一套切换台,本系统使直播视频上出现字幕、台标、飞幕、实时场景切换,达到专业广播级现场直播标准,真正为您提供全方位的智能解决方案。 仁业企业电视台系统由采集平台、直播服务端软件、切换台(多台摄像机配置)、流媒体编码器、流媒体服务端软件、播放器或播放页面组成。运行系统需要硬件包括摄像机或摄像头音频输入设备、电脑、服务器。 技术核心: P2P流媒体直播是最新发展起来的一种网络流媒体广播方式,它利用P2P的原理来建立播放网络,从而达到节省服务端带宽消耗、减轻服务端处理压力的目的。采用该技术可以使得单一服务器就能轻松负荷起成千上万的用户同时在线观看节目。而不管在线用户是多少,服务端的带宽消耗都是基本一样的,那就是提供作为P2P传播的种子所需要的几个流的带宽。 智能流技术是针对软件、设备和数据传输速度上的差别,用户以不同带宽浏览音视频内容。当客户端发出请求,它将其带宽容量传给服务器,媒体服务器根据客户带宽将智能流文件相应部分传送给用户。以此方式,用户可看到最可能的优质传输,媒体服务器根据所得带宽自动切换。 系统应用特点与优势: 系统支持包括视频、音频等多种信息的网络直播; 在现有网络状况下,可有效支持大规模用户的并发访问需求,解决大规模的直播应用,并具有极好的扩展性; 可同时支持任意多路信号的直播; 安全可靠,充分满足7X24小时的直播需要; 同时支持直播和录播; 支持收看权限的管理,支持直播流的加密保护,非法用户即使直接截获视频流也无法正常观看; 可对用户的直播及服务器的工作状态进行精确统计; 可以记录日志,对直播收视率、访问用户情况等进行独立或组合统计; 针对不同带宽用户对直播信号进行多码流压缩编码,可对不同带宽用户分发不同码流的直播流; 提供多样化的直播插入功能,包括定时插入图片文字信息、游动字幕等。 企业安全防护方案 公司为进一步加强安全管理,建立安全管理长效机制,促进企业安全生产,特制定本方案。 一、指导思想和基本原则 (一)指导思想 1.坚持安全管理的科学发展观。以科学发展观统领全局,坚持“安全第一、预防为主、综合治理”的方针,以保障职工生命安全为基本出发点,以杜绝重特大事故为目标,倡导安全文化,落实安全责任,加大安全投入。 2.实现安全管理的“四化”。构建覆盖全公司、责任到人、职能到位的安全生产监管网络,形成各司其职、相互联动、综合监管的工作格局,使安全工作实现“四化”:规范化、科学化、精细化、长效化。 (二)基本原则 1.以人为本。充分调动全员的积极性,把提高安全管理水平,努力为一线工人提供良好的工作环境作为安全管理的出发点和落脚点,切实解决安全管理的难点问题。 2.责任明确。安全管理工作是一个系统工程,需要各职能部门、各子公司、工区共同进行管理,因此要做到职责分工明确,各履其职,各负其责,防止推诿扯皮。 3.强化监督,重视绩效考核。网格化管理是开放的管理系统,需要强化对各公司、各工区等责任单位的监督。网格化管理是有机的管理系统,细化考核内容,量化考核标准,具体奖惩措施,建立安全管理工作综合考评机制,为网格化安全管理提供制度保障。 二、工作目标 1.深入开展安全管理,努力提高安全管理水平,构建“横向到边,纵向到底,纵横交错,全面覆盖,分级管理,层层履责,网格到底,责任到人”的网格化管理机制,推动我公司安全管理工作上台阶。 2.建立工区、作业面为网格终端的监管平台,形成分级分格监管、责任明确、定位准确、高效运转的网格化监管体系,实现层层监管、事实监控,确保日常监管不留盲区、隐患排查不留死角、应急救援及时有效,遏制较大事故,杜绝重特大事故,实现安全生产形式的明显好转。 三、工作内容 1.建立“三分六定”管理体系。三分为:“分级建格,分区包片,分类指导。”六定为:“领导定点,全员定则,监管定位,排查定时,培训定期,奖惩定量。” 2.明确职责。明确网格管理第一责任人,明确职责,落实责任。责任人要严格按照岗位 责任制,明确安全监管工作职责,做好检查和监管。 3.建立岗位责任制。在现有岗位责任制的基础上,建立适合推行“三分六定”网格化管理的岗位责任制。 4.宣传到位,广造声势。要充分利用培训班、座谈会、宣传栏等形式,多渠道、多形式加强宣传,营造浓厚的舆论氛围,提高知晓率、支持度、参与率。 四、工作要求 1.精心组织,务求实效。各公司要按照《实施方案》、《实施细则》确定的工作目标、工作内容和工作职责认真开展工作,一个网格一个网格落实责任、一个网格一个网格开展巡查、一个网格一个网格进行规范、一个网格一个网格强化监管,网格到底、责任到人,务求实效。 2.健全机制,加强督查。建立安全管理网格化管理制约机制,定期组织网格化管理督查活动,形成以督查为标准的安全管理工作评估考核机制,推动安全管理网格化管理的规范运行。 3.严格责任,明确奖惩。公司要将网格化管理的目标、任务、内容、职责下达到每一位监管人员,加强督查指导,层层抓落实。建立责任追究和奖励机制,对工作不力、消极应付的公司及监管人员要予以惩处。对在实施网格化管理中取得显著成绩的单位和个人予以表彰和奖励。 4.注重时效,快速反应。围绕提高处置效率这一环节,明确责任分工,增强责任意识,强化效能监管,切实解决推诿扯皮、敷衍塞责、效率低下等状况。 5.善于总结,不断提高。网格化管理是一种新型的管理模式,没有太多的经验可借鉴。每一位网格化管理的参与者都要通过自身不断实践、思考、总结,不断地改进和创新工作方法,以与时俱进的工作精神,把安全工作网格化管理工作推到新的高度。 五、实施步骤 1.网格化定责阶段。按照健全安全生产网格化监管体系,合理划分网格,对事故隐患、重大危险源、突出问题进行细致排查登记,建立台帐和档案,确定网格、各个责任区、各类人员的安全生产职责和措施。成立机构,落实人员。 2.网格化立制阶段。建立三分六定网格化安全生产监管信息平台,建立安全管理数据库。制定上下级网格,统计网格,网格内部的运行规则、程序、制度和应急监控措施,确保网格有序运行。 3.网格化运行阶段。全面启动“三分六定”网格化管理,发现和解决在推广过程中出现的各类问题,保证网格化管理的有效运行。 4.网格化考评阶段对“三分六定”网格化管理进行季度性检查,年终考核验收,总结经验,表彰先进。 六、实施细则 (一)宏观管理三分 “三分”是指分级建格、分区包片、分类指导。 1.分级建格 子公司为一级大网格,区为二级中网格,作业面或掌子面为三级小网格,公司指导各级网格。一级大网格由各公司执行董事、经理和安全管理副总、安全科长组成。中网格则由工区长、安全员、各后勤人员及非生产班组的岗位工人组成。小网格由采矿、探矿、掘进作业面(或掌子面)班组长组成。网格之间相互依存,弥漏补缺。 2.分区包片 在网格中明确责任区、明确责任人、实施包片负责。 各公司执行董事为一级大网格负责人,是本公司安全生产第一责任人;区长为二级中网格负责人,是所在工区安全生产第一责任人,对本工区的安全生产负总责;班组长为三级小网格负责人,是所在作业面或掌子面的责任者。各级责任区内管理部门、管理人员要对所在责任区的主要责任者高度负责,发挥好职能,服务于责任区。各责任区的责任人要充分调动、利用好各方面力量确保安全生产。责任区责任者也可细化网格内责任区,包片到人,各负其责,层层抓安全,责任分工明确,一级对一级负责,层层深入,形成更具特色的安全管理氛围。 3.分类指导 明确安全防范工作的重点,分类指导。受各种因素的影响和作用,安全管理的重点也在不时地发生变化,不安全因素也在随时发生改变。这就需要各职能部门或专业性较高的管理人员分类指导,分类指导使之职能部门或专业性较高的管理人员更为充分地发挥专长,有利地防止人员蛮干,违章指挥、违章作业的发生。各分片负责人对本片的隐患排查、安全检查、隐患处理要明确责任,明确防范工作重点。 (二)具体实施“六定” “六定”是指领导定点、全员定责、监管定位、排查定时、培训定期、奖惩定量。 1.领导定点 公司领导小组成员要经常到一级大网格各子公司挂点指导,检查安全生产情况。 执行董事、经理、副经理要经常到二级中网格工区挂点指导、检查,要了解情况,帮助解决具体不安全问题。 各区长、安全员到小网格班组挂点指导、检查,亲自组织生产活动,解决具体不安全问题。 如上级网格组成人数不能满足下级网格挂点需要,上级网格必须派机关其他职能人员参与网格管理。 2.全员定责 所有网格管理参与者严格实行“一岗双责”,将安全生产责任落实到管理和生产过程的每一个环节,岗位和个人。层层签订责任书,明晰责任主体,分解责任指标,建立健全企业安全生产责任制。 建立安全责任制,让明确自己的职责并严格履行其职责和义务,高度树立安全生产的思想。签定联保责任书,系统之间、工区之间、班组之间、班组成员之间相互监督帮扶,形成抓安全人人有责的安全生产环境。 3.监管定位 对每个区域、每个掌子面明确安全生产责任,实施有效监管。横向与纵向的区域划分结合定员、定位、上至公司,下至作业面层层有监管,层层有负责人。责任到人、分工明确、包干到位,做到管理无盲区,监管清晰明了。 4.排查定时 公司每周组织一次安全抽查,由领导小组临时抽取检查子公司的工区。一级网格每天检查一次二级网格,二级网格时时检查三级网格。 公司安全部对重点部位,重要时段的事故隐患,在加强日常监管的基础上,定时排查,限时整改。对于可能产生意外的工段,必须在发现后立即向上级领导汇报并处理,最迟不得超过6小时,确保不发生意外事件;对一般可能存在危险的工区必须于发现后48小时内处理,并通过负责人验收;对情况复杂一时难以立即修复的工区,在采取安全措施后经研究讨论确定方案,一般在10天内予以解决。 5.培训定期 对于一级网格责任人员,公司领导小组委托安全部定期培训并通报一周安全情况。对二级网格和三级网格的责任人员,定期定岗进行专业培训,确保持证上岗。 子公司要制定培训计划,完善三级教育培训制度,理论与现场教育相结合的教育模式,进行专业轮训。每半年通过书面与实践相结合的考核方法来完善、检验培训效果。 6.奖惩定量 由领导小组或上级网格每月组织一次考评工作,每季度进行一次评分。考核内容主要是: 网格化管理建设情况;网格化管理执行情况;是否发生安全事故。 考核成绩按优秀、良好、合格、不合格划分为四个等次。90分及以上为优秀,80—89分为优良,70—79分为良好,60—69分为合格,60以下为不合格。 把每月考核情况纳入安全生产管理目标奖惩内容,奖惩资金从各子公司风险保证金支取。第四篇:企业电视台解决方案
第五篇:企业安全防护方案
点击咨询 