第一篇:整改解决方案
征求意见整改情况汇报总结
医院党的群众路线教育实践活动动员大会之后,教育实践活动就进入了第一环节。我院严格按照上级要求坚持医疗与教育实践并重,广泛征求职工对院改进工作作风的意见和建议。突出重点、落实责任、分类指导,做到边学边改,取得较好的效果。医院共梳理了8条意见和建议,现针对存在的问题、一、我院以解决的问题如下:
1、领导干部增强创新、多下基层联系群众的问题
经过院领导班子决定,医院院长、副院长定期到分管科室了解情况,一月不少于2次,同时做好下基层活动记录,对你发现的问题能及时解决的现场解决,对不能解决的上报的医院进一步商讨解决。方案传达后,院长及各位副院长按时下基层,做好活动记录,陆续解决问题20余件。
2、关心职工身体健康,要求定期体检的问题
我院去年给予所有女职工进行了乳腺癌和宫颈癌的健康体检,今年将健康体检的范围扩大到全院职工,进行心电图、彩超、胸透、化验等多项目的体检检查。目前的体检计划已经列出,计划5月份至11月份将完成所有职工的体检检查工作。
3、各科室之间增强协调沟通能力的问题
为进一步加强科室之间的沟通协调能力,医院要求各科室制定相应的实施方案,按照事件处理流程,先期主任、护士长沟通,解决不了的问题上报到主管院长进行协调解决。医院利用每周五院务会时
间,要求所有的科主任、护士长参加会议,在会上可以进行直接有效地沟通,方便快捷的解决问题。
4、及时更新医疗设备的问题
针对医疗的快速发展,医疗的设备更新速度也进入快速更替的时代,对于需要设备更新的科室,由科室提出申请,医院进行核查后,确需更换的,医院按照资金及科室的需要逐步引进。今年以来按照设备更新方案,医院眼科、核磁分别按照程序进行了设备的更换,下一步计划对检验科部分老旧设备进行部分更换。
5、改革效益工资分配方案的问题
医院是差额拨款单位,效益工资是根据医院每月的收入进行核算分发的,进一步改革分配方案,医院前期调研,进一步征求职工的意见,逐步出台分配方案。根据职工的意见和建议,提高了医护人员的夜班待遇、急诊出诊待遇,对节假日出诊人员给予一定的加班奖励。
6、对医院人才培养要有长远计划的问题
医院的发展就是人才的发展和医疗技术的发展,只有医疗技术发展了,患者才能得到更好的就医,彻底的解决病痛。针对医院人才的发展,医教科每年会列出培训计划,分为三部分,一部分为医院内部的学习培训,每周四是医院医师的业务培训,进行“三基三严”的技术掌握,同时我院每年会定期送出一批骨干力量到外院进修学习先进的医疗技术,分为短期培训及长期培训。我院同时与北京友谊医院建立对口支援项目,本着“请进来、送出去”的原则,大幅度提高了我院的医疗技术诊治水平。在今后的工作中,我院会进一步加强人才的培训,掌握先进的医疗技术,更好的为百姓的健康服务。
二、现我院需上级部门协调帮助解决的问题如下:
1、要求进一步扩大党员队伍的问题
医院鼓励基层中青年积极加入党组织,党员的发展一定按照发展程序进行,首先个人提交申请,组织考核列入积极分子考核期满,上报到上级部门审查通过后列为预备党员,预备期满合格后转为正式党员。全市党员发展计划中卫生系统每年核给基层指标只有1名,我院目前职工人数接近500人,面临的困难发展指标少,医院经过争取,每年医院发展党员1名。在群众路线教育实践活动征求意见环节调查中,针对基层提出的此项问题,党办做出了要多发展党员的问题说明,并在今后的工作中,积极向上级部门争取名额,尽可能把培养成熟的党员吸收进入党内,为医院党组织增加新的血液。
2、引进新毕业大学生,形成人才梯队
随着医疗市场的改革,医保制度的进一步完善,医院面对的事越来的越多的患者,随着一批老医护人员的退休,面对的医疗压力也越来越大,虽然近几年从沿线调入一批医护人员,但远远落后与患者的增长,造成医疗人员超负荷工作,针对这一现象,我院已经向市委、市政府汇报,并与人才交流中心、就业局达成协议,逐步引进人才。医教科列出引进人才计划,上报到上级主管部门,同时和就业局沟通,参加就业局组织的招聘会,多渠道吸引高科技人才。
三、结合市委梳理的意见和建议方面存在的问题
群众路线活动开展以来,在市委的指导下,活动按序,有条不紊的进行着,针对市委梳理出的意见和建议结合我院的实际完成整改如下:
1、关于贯彻落实中央八项规定和反对“四风”问题
认真落实中央八项规定和自治区配套规定,院领导带头执行,起到表率作用,利用医院电子屏、宣传栏等积极宣传八项规定及市委的十条禁令,制定相应的规章制度,本着“用制度管人,用制度办事”的原则。坚决执行勤俭节约的光荣传统,对医院的物品使用,有总务科做好消耗记录,每月上报一次,严格杜绝铺张浪费。
2、关于增强服务方面
通过开展“我是谁、为了谁、依靠谁”大讨论活动,进一步增强职工的为人民服务意识,教育广大职工坚定“百姓无小事”的原则,学会换位思考,对待患者像亲人一样热情,增强和患者的沟通能力,减少患者的就诊流程,减少患者就诊等候时间。
3、开展教育实践活动方面
在教育实践活动过程中,坚决杜绝走过场,本着主要领导亲自上手带头下基层的原则,医院要求主要分管领导定期下基层,按时参加学习教育活动,及时书写学习笔记及下基层活动记录。在宣传上多渠道宣传活动的实际意义,通过增设意见箱、发放意见调查表,面对面座谈等形式深入开展活动,切实解决群众迫切需要解决的问题。
4、食品安全医疗卫生等方面
加强“120”基础设施建设,我院对120医护人员进行有计划定期
培训,同时为了进一步方便进入小区接受患者,我院新进购入一台矮架120救护车,解决了目前救护车由于架高无法进入小区大门的问题,加强对乡镇医院的医疗扶持,积极开展对口支援工作,解决了当地居民看病不方便的问题。进一步加强医院党建工作和思想建设,提高党性修养,不断提高思想政治素质,祝好制度化的学习,积极开展谈心活动,出台《医德医风考评实施方案》,增强医务人员责任意识,狠抓医疗质量,务实工作切实提高医疗服务水平。
5、其他方面
我院积极创建无烟单位,医院在显著位置均贴有禁烟的标识,利用宣传栏宣传禁烟知识,严格执行领导干部带头禁烟、医务人员及患者禁烟制度,同时医院成立了戒烟门诊,帮助需要的患者进一步戒烟。以上是我院在征求意见的基础上,查找出来的主要问题、原因分析以及今后努力的方向,请市教育实践活动领导小组进行严格审议,以帮助我们找准问题和原因,找出工作中的差距,使下一步的整改工作做得更好,确保群众路线教育实践活动取得实效。
第二篇:仓库整改解决方案
一、目的
仓库整改计划
为了改善仓库目前的混乱现状,提升仓储管理效率,降低生产成本,使仓储 管理规范化;达到物尽其用,货畅其流,为公司各部门生产工作提供有力保障。
二、目前存在主要问题: :
1、仓库部门职能、职责不清,部门岗位职能、职责不清,分工不明确,责任不能落实到人; 2、仓库布局规划不太合理,区域划分不明确,造成空间利用困难和浪费; 3、物料标示不清,没有规范的物料标识。
4、物料摆放不合理,出现混、乱、杂 ,同种物料放置于几个地方,找货难; 没有实施“先进先出”管理。
5、物料入库未经品质检验(没有最重要的进料检验),良品、不良品混杂。
6、物料编码管理不严谨,存在一料多码和一码多款物料现象。
7、库存积压严重,呆滞物料处理不当,增加仓库管理成本及库存压力; 8、仓库管理系统不完善,没有明确的仓库运作流程,仓储作业规范及管理制度不健全。
9、产品资料缺失(没有 BOM 表,没有产品物料清单),生产用料发放缺乏 重要依据,工作盲目性严重,作业效率低; 10、ERP 系统形同虚设,系统数据不准确、不及时,未能发挥其有效功能,难以为管理提供可靠的决策依据;物料信息没能共享,库存管理信息不流通。
三、主要原因分析:
基于公司目前物料管理现状,经过分析,本人认为根源在于:
1、公司对仓储部门职能定位不准确,高层领导重视度不够。
2、长时期的无序管理。
3、仓库处于开放式管理状态 4、物料进出库没有严格的流程和工作纪律管控,未明订各项具体作业流程,在作业上无从遵循,造成执行上的困难; 5、仓库管理人员仓储管理知识不足,业务能力欠缺; 6、公司营运体系的不完善,受销售、采购、生产、品质等部门的不确定因素影响严重,特别是受生产计划的影响很大,造成收料、发料难及料帐整理困难。
四、改善思路:1、明确仓库的职能、职责及仓库管理人员的主要工作职责及分工:
⑪ 仓库的主要职能:
① 依据订购单点收物料,并按货仓库管理制度(作业指导书)检查数量. ② 将 IQC 验收好的物料按指定位置予以存放. ③ 存放场所的整理、整顿、清扫、清洁、素养符合 5S 要求,防止品质发生变异; ④ 依据领料相关单据配备和发放物料; ⑤ 料账出入库记录与定期盘存; ⑥ 不良物料及呆废料的定期申报及处理; ⑫ 仓库管理人员的主要工作职责:
① 负责建立仓库内所有物资的台帐。
② 按照管理要求摆放整齐、做好标识,做到帐、卡、物一致。
③ 做好仓库库存控制工作,按照风险库存标准,及时提醒主管领导物料库存数量状态。
④ 负责做好仓库内物资保管及防护工作,按规定手续做好物料出入库的收发工作。
⑤ 与生产协调好办理成品、半成品的入库工作。
⑥ 与销售部门协调合作,及时办理好产品的出库单并及时录入电脑、上报财务及生产部门。
⑦ 及时做好退库产品的记录并及时向上级主管汇报,以便能及时处置。
⑧ 负责仓库管理数据系统的维护与更新。
⑨ 月底盘点库存,做好月报表;做好仓库现场管理工作。
⑩ 每月及时编制好库存报表工作,按财务要求及时做好仓库内物资的成本核算工作。
⑬ 仓管人员分工((暂行)):
仓管员分工明细((暂行))
序号
姓
名
职
位
主要工作1
仓库文员 主要负责须由仓库申购物料的请购、出入库物料 ERP 系统账的录入;账、物、卡准确率抽查,协助零配件仓管员对零配件仓的管理
2
原材料仓仓管员 全面负责原材料仓、消耗品仓的收、发、管及原材料仓、消耗品仓的现场管理工作
3
化学品仓仓管员 全面负责化学品仓、半成品仓的收、发、管及化学品仓、半成品仓的现场管理工作 4 4
零配件仓仓管员 暂时共同负责零配件仓的收、发、管及零配件仓的现场管理工作,后续对 5
零配件仓仓管员 各自己管辖物料作明确分工
6
包材仓/半成品仓仓管员 全面负责包材仓、半成品仓的收、发、管及包材仓、半成品仓的现场管理工 作
7
成品仓仓管员 全面负责成品仓的收、发、管及成品仓的现场管理工作,协助半成品仓管员对半成品仓的管理
2、重新规划仓库区域,增加部分货架以增加仓库使用面积,提高面积利用率。
A、仓库分类
根据本公司物料的特性、用途、使用车间,结合公司对仓库库区规划 的总体布局及物流进出顺利的原则,将仓库划分为:原材料仓、化学品仓、消耗品仓、零配件仓、包装材料仓、半成品仓、成品仓。
原材料仓:主要存放铝锭、铝型材、铝圆片、覆底片等;地点为现一楼铝圆片综合仓库。
化学品仓:主要存放油漆、涂料等各种化学物料;地点为现化学品仓。
消耗品仓:主要存放各种办公消耗品、生产使用消耗品、设备维修零配件、及水电维修零配件等与生产产品无关的消耗物料; 地点为现一楼铝圆片综合仓库。
零配件仓:主要存放与产品相关的全部零配件,主要包括玻璃盖、组合盖、手柄、锅耳、锣杆、锣丝、锣帽、铆钉、铝护套、铝尾、盖珠等;地点为现成品仓及半成品仓。
包装材料仓:主要存放与产品包装相关的全部物料,主要包括纸箱、彩盒、白盒、PE 袋、胶袋、吸塑袋、汽泡袋、吊牌、吊卡、说明书等;地点为现包装材料仓。
半成品仓:主要存放生产部作的库存半成品及生产部超订单生产的半成品;地点为新建厂房四楼。
成品仓:主要存放完成全部生产工序待出货的物料。
现玻璃盖、组合盖仓。
B、仓库内区域规划
根据公司不同仓库的作用,原则上各仓库内必须划出通道、消防区、办公区、物品储存区、呆滞物品存放区、、退货区、废品区。
原材料仓、化学品仓、半成品仓在仓库内分别设立规划出通道、消防区、办公区、物品储存区、呆滞物品存放区、来料待检区、退货区、废次品存放区、备料区;; 零配件仓、包装材料仓在仓库内分别设立规划出通道、消防区、办公区、来料待检区、退货区、物品储存区、呆滞物品存放区、物料暂存区、废次品存放区、备料区;
成品仓内设立规划出通道、消防区、办公区、物品储存区、呆滞物品存放区、发货区、退货区、废次品存放区。
C C、各仓的进仓门处,绘制张贴《仓库平面图》、《仓库安全疏散图》,反映出该仓所在的地理位置、周边环境、仓区仓位、仓门各类通道、门、窗、电梯等内容。
D D、购买部分货架放置锣杆、锣丝、锣帽、铆钉等小件物品,减少仓库使用面积占用,提高面积利用率。3、库存物料整理
⑪ 库存物料搬移
根据仓库划分,分别将原材料仓、化学品仓、消耗品仓、零配件仓、包装材料仓、半成品仓、成品仓各仓所属物料搬移至本仓库内划定区域,将散布于生产车间、工厂内各处的应归仓管理的所有物料收归于各所属仓库进行统一管理。
⑫ 库存物料整理
将各仓库内物料按区域划分分类整理,同种物料放置在一个位置,更换受损包装、标识;改变找货难、找不到货的问题。每天仓管员在完成收发货工作后,利用工作空闲时间对仓库的卫生和货物的堆放进行及时的整理,最终做到:
仓库管理两齐:库容整齐、堆放整齐仓库管理三清:数量、质量、规格 仓库管理三洁:货架、物件、地面 仓库管理三相符:帐、卡、物 仓库管理四定位:区、架、层、位 ⑬ 在库物料标识管理
建立明确的在库物料标识,重新设计出 物料标示票、半成品标示票、成品标示票等物料标识,所有在库物料必须标识,且标识清楚。(物料标示票、半成品标示票、成品标示票见附件)4、控制物料进出库管理
要想达到仓库管理的整洁、规范、标识清楚,帐、卡、物一致,在建立严格的物料入出管理制度的同时,必须对仓库进行封闭式管理,严肃物料入出仓库的工作纪律。
⑪ 物料入库管理
①材料的入库分为:外购材料(包括外购原材料、外购五金件、外购附件及包装材料等)的入库、外协加工产品的入库、半成品的入库、产成品入库及工装模具入库等。
②外购材料入库时需对照送货单数量进行验收并填写来料检验单至质量管理人员,质量管理人员检验合格后签字。如合格,仓库管理员则汇同《采
购申购单》(包括物料采购计划)、《送货单》、《来料检验单》填写《入库单》,由采购人员签字后办理入库手续。如不合格,则拒收,并及时沟通采购人员 办理退货手续,如属于产品外观、尺寸等有可能不影响材料使用性能的,由 采购人员会同生产、技术、质量负责人进行评审,评审合格让步接收,评审 不合格,则办理退货手续。具体工作流程按《物料收料管理规定》执行。
③公司内部生产半成品、成品入库则由该车间最后一道工序生产员工(或该部门指定领料或入库人员)填写《半成品入库单》、《成品入库单》,并由质量管理人员签字确认其质量,车间主管签字后至相应仓库办理入库手续。
④外加工产品入库入库时需对照《送货单》数量进行验收并填写《来料检验单》至质量管理人员,质量管理人员检验合格(全检或抽检)后签字。如合格,仓库管理员则会同送货单及来料检验单填写入库单、外协加工主管人员签字办理入库手续,如不合格,则直接退回供应商。
⑤物料办理入库手续后,仓管人员需及时将物料协调至相应货位,如需生产人员协助,可以和相应部门主管协调,并作好物料标识。
⑥相关仓库人员及时按照入库单内容汇总至手工帐本、电脑台帐,要求数据必须准确。
⑫ 物料领用管理
① 物料的领用必须先由领用人先填写《物料领用单》,由部门主管签字后到仓库进行领料,正常生产物料的领料数量需要在该订单物料需求计划数量范围内,不允许超领,超领物料需注明原因(如质量或者材料质量问题等等),由生产经理签字后方可到仓库办理出库手续。在条件成熟后零配件仓、包装材料仓可推行备料制作业方式。
② 生产辅助用料(如工装模具、低值易耗品、各类附件等)的领用由 各 部门主管仔细审核签字后到仓库办理出库手续。
③ 半成品需要发外协加工的,要按照半成品入库手续办理,产品直接 发 外加工单位的,可由交接人员当场进行,交接结束办理入库出库手 续。
④ 产成品的领用则由销售部相关人员填写出库单,由主管领导签字后至仓库办理出库手续。具体工作流程按《成品收发料管理规定》执行。
⑤ 仓管人员对出库物资应实行 先进先出的原则。
⑥ 仓管员核实出库单的物料名称、型号规格、领用数量、生产批次号后进行发放,并及时登记好物料管制卡。
⑦ 仓库管理人员及时按照出库单内容及时登记至手工帐本、电脑台帐,要求数据必须准确。5、库存物料盘点
根据本公司物料的特性和生产管理的实际情况,建议公司对库存物料建立实行 账(ERP 系统账)、账(手工台账)、卡(物料卡)、物(在库实物)、票(物料标示票)管理制度,实施 循环盘点、定期盘点、年终大盘点盘点管理方式,以此来确保仓库库存准确率。
⑪ 盘点方式简介
循环盘点:
定义:每天按照总帐上物料进行一定数量不同物料进行的清点核对,可根据实际情况确定要盘点的物料。
循环盘点实施:
① 确定要盘点的物料种类; ② 可在收发料完毕后进行盘点; ③ 将盘点结果进行记录(循环盘点表),上报主管与物控或财务部门;
④ 对盘点结果进行差异分析,制订改善措施并落实责任人; ⑤ 对账目按规定的程序进行调整。
定期盘点
定义:每月或每季对仓储物料进行的抽盘定期盘点实施:
① 根据上月盘存情况、本月实际生产、仓储情况确定要盘点的物料种类; ② 在财务规定的帐务截止前 2 天利用晚上时间进行盘存; ③ 第一个晚上进行自盘,第二个晚上进行复盘; ④ 对盘点结果进行差异分析,制订改善措施并落实责任人; ⑤ 对帐目按规定的程序进行调整; 年终盘点
定义:在每年年末对全公司所有的物料、设备、工装或在规定价值以上的物品进行的全面、系统的、彻底的盘点,以反映整个公司的有形资产情况。
盘点实施:
① 组建盘点领导小组,下设直接生产用料、设备工装其他辅料盘点小组,各小组设组长一名,确定初盘人、复盘人、票据管理员; ② 由盘点领导小组指定专人制订盘点方案; ③ 召开盘点会议,对盘点事项进行说明; ④ 制订专人进行盘点事项培训(点数方法、票据填写、异常处理等)。
⑫ 库存物料盘存
统一对仓库所有货物进行全部盘存,在盘存的同时建立物料标识、确立 库位。盘点实物时确定实物数量、品名、库位、盘点人员姓名、盘点日期等,并将实物存放在指定的库存位上,将所有盘点数据准确无误的输入至电脑系 统内。
盘点工作完成后,进行收发货物时,首先从电脑 ERP 系统中查找相对应的货物品名、库位和库存,而后去对应的仓库,找到相对应实物的库位,按照标识找到相对的货物核对品名后,按照相关单据进行收发货,收发货出库完毕后,将单据交相关人员作账,电脑账务员当天必须完成相关单据的电脑进出库操作,确保账、物一致。
建立循环盘点流程,确保每天对收发货频率大以及贵重物品的实时盘点,核对系统帐务、手工账、实物的一致性。每个月或者每个季度对仓库所有货 物进行一次实物盘点,确保库存的准确性。每年年终或者年初对仓库所有货 物进行一次大盘点,并将实物盘点数据与手工账、ERP 系统账进行核对调整,并出具年终盘点报表和盘盈盘亏情况分析,确保账、账、卡、物的一致。6、对呆废料进行处理
由于仓库长时期的无序管理和各相关部门的工作失误,各仓库都有不同程度的呆废物料,尤其是 包装材料仓的纸箱、彩盒类物料; 要想提升仓库管
理效率,必须对在库呆废物料进行处理。
⑪ 对呆废物料的认识
什么是呆废料?
所谓呆料即物料存量过多,耗用量极少,而库存周转率极低的物料,这种物料可能偶尔耗用少许,甚至根本就不要动用。
所谓废料是指报废的物料,即经过相当使用,本身已残破不堪或磨损过甚或已超过寿命年限,以致失去原有功能而本身并无利用价值的物料。
呆废料处理的目的:
① 物尽其用; ② 减少资金积压; ③ 节省人力及费用; ④ 节约仓储空间; 呆料发生的原因:
① 营业部门 a 市场预测欠佳,造成销售计划不准确,进而导致生产计划也随之变更。
b 顾客订货不确定,订单频繁变更。
c 顾客变更产品型号规格,销售部门传递失真订货信息。
② 计划与生产部门 a 产销衔接不良,引起生产计划频繁变更,生产计划错误,造成备料错误。
b 生产线的管理活动不良,对生产线物料的发放或领取以及退料管理不良,从而造成生产线呆料的发生。
③ 物料控制与仓库部门 a 材料计划不当,造成呆料的发生。b 库存管理不良,存量控制不当,呆料也容易产生。
c 帐物不符,也是产生呆料的原因之一。
d 因仓储设备不理想或人为疏忽而发生的灾害而损及物料。
④ 采购部门 a 物料管理部门请购不当,从而造成采购不当。
b 下单错误。
c 对供应商辅导不足,产生供应商品质、交期、数量、规格等不易予以配合而导致发生呆料的现象。
⑤ 品质管理部门 a 进料检验疏忽。
b 采取抽样检验,允收的合格品当中仍留有不良品。
c 检验仪器不够精良。
如何预防过多出现呆料?
① 业务/ / 销售部门
a
销售人员接受的订货内容应确实把握,并把正确而完整的订货内容传送到计划部门。
b 加强预测,尽量利用定单制定销售计划,避免销售计划频繁变更,使用购进的材料失去利用价值而变成仓库中的呆料。
c 顾客的订货应确实把握,尤其是特殊订货应设法降低顾客变更的机会,否则已经准备的材料尤其是特殊型号和规格的材料非常容易造成呆料。
② 设计部门
a 设计完成后先经批量试验后才可以大批订购材料。b 加强设计管理,避免因设计错误而产生大量呆料。c 设计时要尽量使用标准化的材料。
③ 计划与生产部门
a 在新旧产品的更替时期要周密安排,以防止旧材料变成呆料。
b 加强与业务部门的沟通,增加生产计划的稳定性,对紧急订单妥善处理;若生产计划错误而造成备料错误,一般会产生呆料。
c 生产线加强管理,发料、退料的管理。
④ 货仓与物控部门
a 物控部门对存量加以控制,勿使用存量过多。
b 强化仓储管理,加强账物的一致性。
c 减少物料的过多采购。
⑤ 质量验收管理部门
a 物料验收时,进料严格检验。
b 加强检验仪器的精确化,并同供应商协商确定检查的标准及方法。
⑫ 对在库呆废物料进行处理
针对当前大量的库存呆废物料,各仓库在库存物料整理过程中,将在 库呆滞物料整理归类,形成报表上报公司,由公司组织工程、品质、采购、财务、仓库等部门会审,将可利用物料重新入库,不良品、停用呆滞物料 折价退回供应商或以报废变卖处理。
制定《呆废物料管理规定》,对呆废物料形成长期有效的管理机制。7、逐步建立和完善仓储管理体系
⑪ 库存管理存在问题的原因
分析库存表现的缺陷,其产生的原因虽是多方面的,涉及到库存制度,库存系统的科学性,企业的经营模式,管理的效能与执行的力度等等。但以下几方面的问题对其影响是最严重的:
① 没有一个科学的管理系统。一旦一个企业没有建立一套专门的适合自己情况的库存系统,没有对库存物品进行科学详尽的分类,库存控制策略往往会流于简单化,大同化。公司目前就是缺乏这样一套完整的系统,没有对库存物品的类型进行科学的分类,对各种库存物品只是作笼统的同样的处理,而且缺乏一套完整的机制来保证能够快速的取拿所需物品。虽然目前公司所用到的物品种类还不是非常多,但是存放位置没有一个明确的通用的规范,仓管很难在短时间内取到所需的物品,另外,如果一旦公司换人了,新进员工熟悉这一过程也是需要一个较长的过程。同时缺乏一套完整的缺货报警机制,控制前的信息搜集工作也没有做到位,不能维持生产的稳定。
② 库存管理信息不流通。在供应的整个系统中,各个环节之间的需求预测、库存状况、生产计划等都是库存管理的重要数据。这些数据分布在不同 的相关环节之间,要做到快速有效的保证生产,必须使其实时传递。在外部 环节,不少供应商是不固定的,没有掌握他们的生产能力、供货能力以及交 货的准时性等。这样一来在库存环节往往得不到及时准确地信息。而我公司 在内部各个环节间联系不够紧密,缺乏信息的流通,每个部门只关心前后环 节的物流等的状况,没有一个整体的概念。这就影响库存策略制定的精确性,造成库存成本的上升。
③ 不确定因素对库存的影响。系统运行不稳定是组织内部缺乏有效的控制机制所致,控制失效是组织管理不稳定和不确定的根源。要消除运行中的不确定性需要增加组织的控制,提高系统可靠性。只有系统是可控的,不确定因素对库存的影响才能降到最低。我公司对不少合作的企业或者供应商的供货能力,交货的及时性还不是很了解。对市场的预估也还缺乏科学性与准确性。其实这也是信息处理不当的结果。
⑫ 建立和完善仓储管理体系
建立和完善仓库流程;制定仓库作业标准,形成作业指导书,经公司主管部门评审,管理者代表审核后,严格要求仓库员按照标准作业。建立责任人制度提高仓管员责任心;按照分仓类别及工作强度,员工自身能力,对物料的熟悉程度,将仓库物料责任到人,同类物料专人管理,主管监控;与采购、品质协调并形成文件,对供应商不良品进行严格控制,保证不良品能得以及时退货并补回良品;逐步提升仓库工作效率和收发货及库存准确率 8 8、建立培训机制
以仓库流程和作业指导书为基础,每周对仓库人员进行专业知识培训; 从收货、入库、领发料、生产退补料、供应商退补货、成品出库、呆废料处理到账务处理、盘点执行进行全方位系统培训,以提高员工自身专业水平; 适应公司的高速发展需求。
五、工作计划:1、计划目标:通过对储现有资源进行有效的整合,逐步形成规范化、标准化、程序化、系统化的现代仓储管理模式,以建立现代仓储管理体系为最终目标,达到仓存物料账、物、卡一致。2、计划周期:2012 年 05 月 12 日—2012 年 08 月 31 日 3 3、计划内容:
序号
内
容
完成日期1
仓库部门职能、职责界定,部门岗位职能、职责界定
05.12—05.31 2 2
库区规划,仓库内各区域布局规划 05.12—05.31 3 3
仓储管理体系及各项管理制度的建立与修订 05.12—05.31
4
仓储管理体系及各项管理制度的贯彻执行、修订、监督及培训 长效性 5 5
半成品仓、零配件仓、成品仓搬移 06.01—07.31
6
原材料仓、化学品仓、消耗品仓、零配件仓、包装材料仓、半成品仓、成品仓整理、标识、及仓管员自我盘点
06.01—08.31 7 7
协调建立产品 BOM 表和检讨物料代码编码规则 长效性 8 8
库存物料大盘点 08.01—08.31 9 9
ERP 系统账目调整 08.31 10
各项制度的再次修订与完善,列入常态化运行 08.01—08.31
仓库人员仓储管理知识、管理技能、工作态度、消防知识培训 长效性
其它与仓库相关工作的整改 长效性
4、工作计划展开
本工作计划与安排分为三个阶段进行,从 2012 年 05 月 12 日至 2012 年 08 月 31 日共约 4 个月。
第一阶段:仓储体系资源整合规划阶段(2012.05.12 日—2012.05.31 日)
(1 1)工作目的:通过对现行运作体系的调研、分析,明确仓储体系资源整合工内容。
(2 2)工作内容:
a 制定仓库部门职能、职责,部门各岗位职能、职责; b 对仓储部门工作流程、工作程序、支持表单及运行状况进行调研、分析,明确现行仓储营运体系的优势和缺失,收集、整理所需基础资料,向公司经营层提出《仓库整改计划和步骤》方案; c 编制、检讨、修订仓库相关管理规定。
(3 3)工作方式:采用调查,与本部门人员、相关部门主管沟通、讨论,收集和整理所需的基础资料的方法。
(4 4)工作成果:
形成《仓库整改计划和步骤》方案形成《仓库门禁管理制度》讨论稿形成《物料收料管理规定》讨论稿形成《物料发料管理规定》讨论稿 形成《退、换、补料管理规定》讨论稿形成《半成品出入库管理规定》讨论稿形成《成品出入库管理规定》讨论稿 形成《仓库单据填写及帐务管理规定》讨论稿 第二阶段:仓存物料整理、整顿阶段(2012.06.01 日—2012.07.31 日)
(1 1)工作目的:通过对仓库进行分类、分区,对仓存物料进行整理、分类、标识、盘存,达到仓区规划有序,仓存物料物品摆放整齐,名称、规格型号清晰,数量准确的目的。
(2 2)工作内容:
a 现场规划:根据仓库的空间大小,进行仓库规划,将仓库分区;充分利用空间; b 仓库物品资料收集:要求仓库人员与采购人员互相配合,对仓库的到货检验、入库、出库、调拨、移库移位、库存盘点等各个作业环节的数据进行数据采集,整理出仓库物品名称、规格型号、数量、颜色等。
C 仓库物料搬迁与分散物料收集:根据仓库分类,将现有仓存物料搬迁到指仓库,将分散在车间、通道等处的物料全部收归相应仓库。
d 仓库物料整理、整顿:将收归仓库的物料进行整理、归类,制订出相应的编号、品名、帐页号、标识卡,将常用的物品放在仓库,随时能取的地方,保证仓库管理各个作业环节数据输入的效率和准确性,确保企业及时准确地掌握库存的真实数据,合理保持和控制企业库存。
e 制定仓库九月份大盘点计划。
(3 3)工作方式:本部门人员主导、各相关部门协助。
(4 4)工作成果:完成库区内区域规划、通道划线。
完成各仓库的搬迁工作。
完成各仓库库存物料的整理、标示工作。
完成各仓库库存物料的手工账册的建立、完善工作形成《消耗品管理规定》讨论稿 形成《化学品仓库管理规定》讨论稿 形成《物料搬运、贮存管理规定》讨论稿形成《仓库盘点管理规定》讨论稿 形成《超储、呆滞物料管理规定》讨论稿形成《 仓库绩效考核体系》讨论稿 第三阶段:仓储管理体系固化阶段(2012.08.01 日—2012.08.31 日)
(1 1)工作目的:通过对仓库前期整改工作的检讨与总结,进一步修订和完善仓储管理运行体系各相关管理规定,行成适合新达企业管理运作的高效仓储管理体系并固化执行。
(2 2)工作内容:
a 完善部门组织架构图/人员编制图; b 修订和完善仓储管理运行体系各相关管理规定,制订作业流程图; c 建立各仓库平面图和各仓库安全疏散图; d 导入备料制管理模式; e 组织进行全厂物料大盘点,调整 ERP 系统账目; f 其它未尽事宜的改善。
(3 3)工作方式:本部门人员主导、各相关部门协助。
(4 4)工作成果:完成部门组织架构图/人员编制 形成《仓库部门职能和部门岗位责任书》形成仓储管理运行体系各相关管理规定 完成仓库平面图和各仓库安全疏散图的绘制和张贴 完成物料大盘点,调整 ERP 系统账目,达到账、物、卡一致形成标准化、规范化、系统化的仓储管理运行体系 六、整改资源需求
1、希公司高层领导能加强对仓库整改工作的重视和给予大力支持; 2、希行政部门能在整改期间满足仓库合理的劳动力需求; 3、技术部完善产品 BOM 表和物料清单的制作,为生产计划编制、物料采购、仓库物料配料、发料、领料提供作业依据; 4、采购部门完善物料采购计划,严格要求供应商按我司包装要求做整改,仓
库收货时加强控制; 5、生产部门完善月生产计划和周生产排期,作业时严格遵守物料出入库相关管理规定,作好与生产有关的出入库物料标识; 6、品管部门加强对采购物料和生产线产品物料品质的控制,建立来料检验制度,对所有物料入库前进行检验,保证入库产品的品质;对仓存物料合格性进行重新判定,协助仓库完成仓存物料整理工作; 7、根据需要购买部分货架增加仓库使用面积,提高面积利用率; 8、请相关人员与开天 ERP 系统公司取得联系,共同探讨 ERP 系统运用整改、完善方案。
赠送以下方案
XX 有限公司
xx 年新春团拜晚会 ”
xx 年年会活动策划方案
一、年会筹备小组
总策划:xx 总执行:xx 成 员:xx 科技所有部门成员
二、年会内容
◆活动名称:xx 公司 2015 年新春团拜晚会
◆活动基调:喜庆、欢快、盛大、隆重
◆活动主题:
以客户为中心,以奋斗者为本
◆活动目的:对 2014 年公司的工作成绩进行总结,展望公司 2015 年的发展愿景;同时丰富员工企业文化生活,激发员工热情,增强员工的内部凝聚力,增进员工之间的沟通、交流和团队协作意识。
◆活动日期:2015 年 2 月 10 日 16:00-20:00
◆活动地点:XXXX 酒店
◆参会人数:xx 科技 112 人、厂商 30 人,共计 313 人。
◆参会人员:xx 员工、特邀嘉宾
◆活动内容:总经理致辞、文艺汇演、晚宴(详细流程安排见附表一)
三、工作分工(详细分工明细见附表二)
(一)文案组(负责人:xx)成员 5 名。
◆负责主持人形象设计,串词、祝酒词起草、审核;
◆总经理讲话稿起草、审核;(二)会场布置组(负责人:xx)成员 5 名。
◆负责设计、联系制作年会舞台背景墙、横幅、签名板及各种材料的打印和制作; ◆负责鲜花或花篮的采购/租赁;
◆现场摄影、DV 摄像、照相;
◆开场 PPT 制作,年会期间除节目音乐外所有音乐搜集。
◆负责与酒店工作人员配合调试功放、灯光、音响、话筒、投影、电脑,并播放年会现场所有节目伴奏带及颁奖音乐和进场 PPT 等; ◆会场安全检查(消防、电源、设备等)。
(三)节目组(负责人:xx)成员 5 名。、节目类型:唱歌、舞蹈、小品、话剧(歌舞剧)、魔术、乐器演奏、戏曲、相声、时装秀等。、选取节目规则:以抽签的形式,每个部门可抽取 2 个节目签,从中选取一个类型节目表 演。、节目质量标准:若彩排时达不到质量要求,须重新编排直到达到要求为止。、节目彩排时间:1 月日 日— —2 月日每日选抽两个部门彩排。
文艺汇演节目内容的要求是“ 以客户为中心,以奋斗者为本 ”。节目组负责人具体工作如下:
◆负责完成对所有节目的排练、设计、筛选及后期的彩排工作;
◆负责节目的编排及演出的顺序和流程衔接;
◆负责联系租用或购买节目所需的服装道具和主持人、演职人员的化妆等;
◆负责小游戏的提供、抽奖奖项设置等;
◆负责安排文艺节目评委及奖项设置;
◆负责确定颁奖人员。
(四)迎宾组/礼仪组(负责人:陈珍英)成员 5-6 名。
◆年会进场入口处迎接嘉宾,并引领入座;
◆负责嘉宾、参会人员的签,并发放年会礼品(做好登记);
◆负责配合抽奖奖品、文艺表演奖品的发放;
◆负责年会过程中放礼炮。
(五)后勤组(负责人:樊美玲、)成员 5 名。
◆负责活动所需的礼品、奖品、纪念品、食品及其他年会所需物品的购买、准备、保管及发放; ◆负责与酒店工作人员的沟通、协调工作。
四、活动费用预算(具体费用分配由各项目负责人自行安排)
项
目
基本内容
负责人
费用预算
年会场地 租金、晚宴、机器租凭费用 XXX ¥ 会场布置 KT 板(签名板)、背景墙、鲜花、装饰品等 XXX ¥
服装、游戏道具 文艺汇演节目服装、道具、奖品小游戏道具、奖品 迎宾、主持人服装、妆容造型等
XXX
¥ 酒水、饮料 文艺汇演过程中所需酒水、饮料、小吃
XXX ¥ 年会礼品 参会人员每人一份的公司年会礼品 ¥ 年会奖品 抽奖奖品 ¥ 其他支出 备用 XXX ¥ 费用合计:¥
五、相关注意事项
(一)活动前 ◆年会开始前,年会筹备小组成员必须确保每人持有一份“年会流程具体执行方案”。
◆在年会开始前 30 分钟,必须对所有年会所需要用到的设备进行调试、检查。
◆确保年会场地布置,所需物资、参会人员、表演人员全部到位。
(二)活动中 ◆对工作人员进行明确的分工,每项工作都必须责任到人,保持手机的开通
(统一设置振动)便于及时联络。
◆一场活动的顺利进行需要各个方面的配合,更需要对现场环节的控制及管理。对于演出的催场候场,舞台上的道具提供,对于整体活动的节奏的把握都是非常重 要的。
(三)活动后 ◆年会后期的纪念视频制作、发放(由行政人事部部制作 DVD,行政人事部部统一发放,每人一张)
◆年会照片的收集及保存;
◆年会总结。
人力资源部部
2014 年 11 月 8 日
附表一:年会基本流程
时
间
项
目
内
容
13:00 工作人员 到达酒店 年会节目表演人员、所需物料(如 KT 板、横幅、鲜花、礼品、奖品、演出服 装等)需全部到达酒店
13:00-15:30
场地布置 年会场地入口接待处布置(如签到处 KT 板摆放、舞台背景、花篮摆放、迎宾 人员安排、年会礼品摆放等)
酒店工程部人员与负责场内布置的人员配合布置(如背景板放置、拉横幅、场地摆放、装饰物品等)
抽奖奖品放置酒店化妆间门口,食品分配后摆放于桌面(共 XX 桌)、放桌牌(人员提前分配)
文艺汇演人员化妆、换装等 音响调试,音乐、摄影机、照相机准备到位 灯光、投影、音响、消防安全等会前准备情况检查
15:30-16:00
人员进场 参会人员在入口处签到后,在迎宾处领取每人一份的新年礼品,进场,对号 入座(提前安排桌号)
《XXXXX》PPT、音乐播放,同时主持人提醒进场秩序及参会注意事项 16:00-16:05 开场舞 开场舞表演 16:05-16:10
年会开始 主持人热情开场(嘉宾介绍等)
16:10-16:30 总经理致辞 16:30-16:35
节目表演 节目 1 16:35-16:45 节目 2 16:45-16:50 节目 3 16:50-17:05 抽奖 抽奖:三等奖 17:05-17:20 游戏 游戏一 17:20-17:25
节目表演 节目 4 17:25-17:35 节目 5 17:35-17:40 节目 6 17:40-17:50 抽奖 抽奖:二等奖 17:50-18:10 游戏 游戏二 18:10-18:15
节目表演 节目 7 18:15-18:20 节目 8 18:20-18:25 节目 9 18:25-18:35 抽奖 抽奖:一等奖 18:35-19:00 评选 节目表演奖项评选、颁奖 18:35-19:00
晚宴 上菜 19:00-20:00 晚宴聚餐 20:00 人员退场 退场音乐播放,同时主持人提醒退场秩序及相关注意事项
附表二:年会分工明细表
组别
项
目
内容
责任人
执行人
完成时间
文案组
主持
负责整个年会的流程、时间、气氛把控
年会文案 主持人形象设计,串词、祝酒词
总经理讲话稿
进场 PPT、年会全过程所有音乐搜集(节目音乐收集,小游戏、抽奖等音乐)
会场布置组 设计 年会场地布置设计方案
准备 年会场地氛围所有物品制作/购买/租赁(鲜花、花篮采购/租赁,舞台背景墙、横幅、签名板、挂饰等)
布置 年会当天酒店会场布置
摄影 现场摄影、DV 摄像、照相
技术支持 灯光、音响、投影、电脑、话筒、舞台督 导检查及全程跟踪(与酒店工作人员配合),年会现场节目伴奏、音乐播放等
安全检查 年会开始前会场安全检查(消防、电源、设备等)
节目组 年会方案 年会策划方案(执行版)
节目编排 年会文艺汇演流程设计、节目编排、彩排
评委安排 文艺节目评委、奖项设置 颁奖人员安排
物品采购物品租赁 文艺汇演中小游戏奖品、节目奖品的采购文艺汇演节目所需服装、道具的租赁 迎宾人员旗袍租赁
化妆造型
安排年会所需化妆师、造型师
游戏抽奖 小游戏内容设计、奖品设置
抽奖环节内容设计、实施方案及奖品设置
礼仪组
迎宾礼仪 签到处迎宾 颁发奖品礼仪人员 引领嘉宾、领导入座
礼品发放 参会人员每人一份礼品发放
配合 放礼炮人员(可安排礼仪人员)
后勤组 活动选址 选址、预订、费用申请与结算
活动宣传 全体员工动员大会、年会相关会议组织
过程跟进 年会各小组准备工作进度检查
物资保管 年会物资保管(负责安排运输、分配)
物品采购 年会所需抽奖奖品的设置及采购 每人一份的礼品、年会所需食品的采购
桌席分配 晚餐桌席人员分配
注意事
后期制作 年会 DVD 刻碟制作、发放(每人一张)
年会招聘搜集
会务管理 年会现场组织、协调,现场秩序维护人员
项 催场 年会流程执行全程跟踪(台前幕后催场)
总结 年会总结
部门负责细表:
电脑城
部门
负责人
节目类型
备注
数码
苏蓉门市(A45+CC2)
第二负责人要协助安排 苏蓉门市(E27+F1+D3)
DELL 门市(B7+A11)
数 1+数 2
数 3
A 世界
苏蓉门市(C2+D5)
DELL 门市(D3)
A1+A2
新世纪
苏蓉门市(B02+1-A)
苏蓉门市(A06+A29)
DELL 门市(A08+D1)
B32+B33
百脑汇
苏蓉门市(D12+新世纪 A03)
东华
苏蓉财务部
置高财务部
苏蓉技术部
置高技术部
置高渠道、产品部
合计个
第三篇:某等级保护建设整改解决方案(范文)
X X XX 高校 信息系统 等级保护
整改方案((模板)
I
目录
一、背景、现状和必要性 ...................................................................................................................................................-3-(一)背景.......................................................................................................................................................................-
-(二)现状.......................................................................................................................................................................-
-(三)项目必要性...........................................................................................................................................................-
-二、差距分析.......................................................................................................................................................................-6-(一)技术差距分析.......................................................................................................................................................-
-(二)管理差距分析.......................................................................................................................................................-
-三、建设目标...........................................................................................................................................................................9(一)业务目标...................................................................................................................................................................9(二)技术目标...................................................................................................................................................................9 四、建设方案.........................................................................................................................................................................10(一)建设原则.................................................................................................................................................................10(二)设计依据.................................................................................................................................................................11(三)总体建设内容.........................................................................................................................................................12(四)总体框架.................................................................................................................................................................13(五)技术方案.................................................................................................................................................................15 1、安全技术体系设计
.............................................................................................................................................15 2、安全管理中心设计(云智)
.............................................................................................................................23 3、安全制度建设
.....................................................................................................................................................30(六)设备部署说明及关键技术指标.............................................................................................................................45 1、防火墙
.................................................................................................................................................................46 a)
部署说明
.............................................................................................................................................................46 b)
关键指标
.............................................................................................................................................................46 2、堡垒机
.................................................................................................................................................................46 a)
部署说明
.............................................................................................................................................................46 b)
关键指标
.............................................................................................................................................................47 3、入侵防御系统(IPS)
...........................................................................................................................................47 a)
部署说明
.............................................................................................................................................................47 b)
关键指标
.............................................................................................................................................................48 4、非法接入/外联监测系统
...................................................................................................................................48 a)
部署说明
.............................................................................................................................................................48 b)
关键指标
.............................................................................................................................................................48 5、漏洞扫描系统
.....................................................................................................................................................49 a)
部署说明
.............................................................................................................................................................49 b)
关键指标
.............................................................................................................................................................49 6、数据库审计系统
.................................................................................................................................................49 a)
部署说明
.............................................................................................................................................................49 b)
关键指标
.............................................................................................................................................................50 7、Web 应用防火墙
..................................................................................................................................................50
II a)
部署说明
.............................................................................................................................................................50 b)
关键指标
.............................................................................................................................................................51 8、安全管理平台
.....................................................................................................................................................51 a)
部署说明
.............................................................................................................................................................51 b)
关键指标
................................................................................................................................错误!未定义书签。
一、背景、现状和必要性
(一)背景 XXX经过多年的信息化推进建设,信息化应用水平正不断提高,信息化建设成效显著。为促进XXX信息安全发展,响应国家和上级要求,进一步落实等级保护,夯实等级保护作为国家信息安全国策的成果,XXX计划参照《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
和《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)要求将XXX系统和XXX系统拟定为三级,按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)完成两个系统三级等保建设。同时为提高全网安全防护能力,XXX计划整网参照等保标准建设。
随着2017年《网络安全法》正式实施,更加需要高校加强自身系统安全建设,《网络安全法》其中 系统的基本情况,按照物理、网络、主机、应用、数据、管理六个层面进行,可根据实际情况进行修改;同时根据安全域划分的结果,在分析过程中将不同的安全域所面临的风险与需求予以对应说明。1、网络 现状
核心交换机分别通过防病毒网关和防火墙连接通过xx网络设备XX路由器接入政务外网,通过全员防火墙连接xx管理信息系统2台XX交换机,通过二级/安管防火墙连接安全管理域和二级系统域。
统一认证服务器、数据库服务器和负载均衡通过接入交换机接入到核心交换机ZXX。
XXX通过接入交换机与中环机房的两台XX互联,访问xx个案管理信息系统。网络现状拓扑图如下所示:
现网总体拓扑图
XX高校网络拓扑图 2 2、安全防护措施现状
目前xx校园网采用的安全措施有:
网络设备安全防护方面:
网络设备的安全防护是依托机房现有的安全设备进行安全防护,定期的检查网络设备和安全设备的策略,根据业务系统的需求及时的更新各个策略,对网络设备和安全设备的访问使用了复杂性的加长口令进行安全防护。
信息安全设备部署及使用方面:
中环机房部署了专门的防火墙设备和防病毒网关对边界网络进行安全防护。
服务器的安全防护方面:
服务器的安全防护主要是依靠机房现有的网络安全设备对服务器进行安全防护,同时对服务器统一安装了防病毒软件对恶意代码进行查杀。
在应用信任措施方面:
xx管理信息系统通过用户名、口令进行身份鉴别方式,来保证业务系统信息的机密性。3、系统软硬件现状
xx个案管理信息系统所使用的软硬件设备资源情况如下:
序号 类型 内容 制造/开发商 单位(台套)数量 一 基础硬件
(三)项目必要性 为了保障xx管理信息系统的安全持续运行,落实国家信息安全等级保护标准GB/T25070-2010和GB/T 22239-2008的要求,降低系统面临的安全风险,有必要对xx管
理信息系统进行安全保障体系设计。
(1)政策法规要求
XXX公安局、XXX经济和信息化委员会、XXX国家保密局、XXX密码管理局《关于印发XXX开展信息安全等级保护安全建设整改工作实施方案的通知》(京公网安字[2010]1179号)文件的要求全市各单位加强信息安全等级保护建设、整改工作。每年,XXX网络信息安全协调小组发文要求全市各单位开展信息安全自查工作,并对一些单位进行抽查工作,要求各单位从管理和技术两个方面加强信息安全建设。
(2)xx 管理 信息系统安全保障的需要
xx管理信息系统的数据包括xx的个案信息数据库。一旦这些信息泄漏,将会对市xx造成重大影响,因此,迫切需要加强xx管理信息系统的信息安全保障,防范数据信息泄漏风险。
(四)等级保护工作流程:
系统定级定级备案等级测评 建设整改安全检查 图 1 等级保护工作流程
二、差距分析
(一)技术差距分析 通过对xx管理信息系统进行等级保护安全整改建设,达到等级保护三级安全标准,并最终通过等级保护三级测评。
计算环境的安全主要是物理、主机以及应用层面的安全风险与需求分析,包括:物理机房安全、身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
根据XXX自评估结果,现网如要达到等级保护三级关于安全计算环境的要求,还需要改进以下几点:
物理机房安全:根据物理机房情况描述,看看是否需要整改。
数据库审计:现网XXX系统和XXX系统都缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒机:现网XXX系统和XXX系统都未实现管理员对网络设备和服务器管理时的双因素认证,计划通过部署堡垒机来实现。
主机审计:现网XXX系统和XXX系统主机自身安全策略配置不能符合要求,计划通过专业安全服务实现服务器整改加固。
主机病毒防护:现网XXX系统和XXX系统缺少主机防病毒的相关安全策略,需要配置主机防病毒系统。
备份与恢复:现网没有完善的数据备份与恢复方案,需要制定相关策略。同时现网没有实现对关键网络设备的冗余,本期计划部署双链路确保设备冗余。
另外还需要对用户名/口令的复杂度,访问控制策略,操作系统、WEB和数据库存在的各种安全漏洞,主机登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略的合理性和存在的问题进行一一排查解决。
(二)管理差距分析 从等保思想出发,技术虽然重要,但人才是安全等级保护的重点,因此除了技术措施,XXX还需要运用现代安全管理原理、方法和手段,从技术上、组织上和管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生。需要优化安全管理组织,完善安全管理制度,制定信息系统建设和安全运维管理的相关管理要求,规范人员安全管理。
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,安全管理中心是实现安全管理的有力抓手。
根据XXX自评估结果,现网如要达到等级保护三级关于安全管理中心的要求,还需要改进以下几点:
现网没有一个能对整网安全事件、安全威胁进行分析响应处理的平台,本期需要新增统一安全监控管理平台对信息系统涉及的设备使用情况和安全事件、系统健康程度等进行识别,要能进行统一的监控和展现。通过对安全事件的告警,可以发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。
2020-10-11
第 9 页, 共 52 页
三、建设目标
(一)业务目标 本项目的业务目标是实现xx管理信息系统的安全、持续、稳定运行,具体为:通过安全保障措施的建设,防范业务数据信息泄漏,保障xx管理信息系统安全,以防数据泄漏事件发生。
(二)技术目标 依据国家信息安全等级保护三级标准,从网络安全、主机安全、应用安全建设等方面进行方案的设计,建成能够有效支撑xx管理信息系统高效运行基础环境。
(1)网络安全
根据信息系统等级保护标准中有关结构安全的要求,关键核心设备、防火墙、防病毒网关等设备采用冗余方式部署; 对用户终端接入网络的行为进行控制,利用网络实名接入网关和实名接入控制系统,实现对用户接入网络的认证和能够访问的资源的管理; 针对内部终端用户进行管理,内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
(2)主机安全
通过对操作系统、数据库和中间件等进行安全加固,消除存在的漏洞,降低被威胁利用的可能。
(3)应用安全
通过对应用系统进行安全加固消除风险点,降低被威胁利用的可能;
2020-10-11
第 10 页, 共 52 页
加强xx管理信息系统用户身份认证强度,为系统集成数字证书登录,实现对系统用户基于USBKey和口令的双因子身份认证。
(4)安全等级测评
开展信息系统安全等级测评,验证信息系统建设完成后是否满足国家信息安全等级保护要求。
四、建设方案
(一)建设原则 结合XXX的实际情况,按照《信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求》等相关标准要求,以“一个中心、三重防护”为核心指导思想,从安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个方面构建安全建设方案,以满足等级保护三级系统的相关要求。
本方案充分结合xx管理信息系统业务应用流程、网络现状、等级保护要求及实际的安全需求进行设计,在设计过程中将采取如下原则:
综合防范、整体安全 坚持管理与技术并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全; 分域保护、务求实效 将信息资源划分为计算环境、区域边界、通信网络三个方面进行安全防护设计,以体现层层递进,逐级深入的安全防护理念; 同步建设 安全保障体系规划与系统建设同步,协调发展,将安全保障体系建设融入到信息
2020-10-11
第 11 页, 共 52 页
化建设的规划、建设、运行和维护的全过程中; 纵深防御,集中管理 可构建一个从外到内、功能互补的纵深防御体系,对资产、安全事件、风险、访问行为等进行集中统一分析与监管; 等级保护策略 安全保障体系设计以实现等级保护为基本出发点进行安全防护体系建设,并遵照国家《信息系统安全等级保护基本要求》进行安全防护措施设计。
(二)设计依据 (1)国家等级保护政策文件
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
公安机关信息安全等级保护检查工作规范(公信安[2008]736号)
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
信息安全等级保护备案实施细则(公信安[2007]1360号)
(2)国家信息安全标准
GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》 GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
2020-10-11
第 12 页, 共 52 页
GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》 GB/T21082-2007信息安全技术 服务器安全技术要求 GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 GB/T20269-2006信息安全技术 信息系统安全等级保护管理要求 GB/T20271-2006信息安全技术 信息系统通用安全技术要求 GB/T20270-2006信息安全技术 网络基础安全技术要求 GB/T20272-2006信息安全技术 操作系统安全技术要求 GB/T20273-2006信息安全技术 数据库管理系统安全技术要求 GB/T20282-2006信息安全技术 信息系统安全工程管理要求(三)总体建设内容 根据xx管理信息系统业务安全保障需求,建立有针对性地安全策略,合理规划网络安全架构,依据差距分析结果,进行安全整改,实现关键核心设备、防火墙、防病毒网关等设备采用冗余方式部署;实现对用户接入网络的认证和能够访问的资源的管理;实现内部终端用户进行管理;实现对xx管理信息系统用户双因子强身份认证;建立安全管理中心,实现对xx管理信息系统安全管理。
2020-10-11
第 13 页, 共 52 页
(四)总体框架 为了使xx管理信息系统具有较高的安全防护能力,满足等级保护要求,本次将按照下图所示的总体框架进行系统安全改造。
2020-10-11
第 14 页, 共 52 页
根据xx管理信息系统现状和安全需求,采取如下总体安全策略:
基础安全防御得当
依据GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》,和xx管理信息系统网络以及系统安全现状, 根据信息系统等级保护标准中有关结构安全的要求,通过增加核心交换机、防火墙、防病毒网关等设备实现冗余部署; 通过部署终端健康检查和修复系统对终端接入的行为进行控制,针对内部终端用户进行管理,内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
部署网络实名接入网关和实名接入控制系统,实现对用户接入网络的认证和能够访问的资源的管理;
主机安全:通过对操作系统、数据库和中间件等进行安全加固,消除存在的漏洞,降低被威胁利用的可能; 应用安全:将xx管理信息系统整合到现有的统一认证管理系统中增加用户身份认证强度,使其通过数字证书登录,实现对系统用户基于USBkey和口令的双因子身份认证。
技术管理并行
安全技术以及管理体系需要同时设计并落实,两者互为补充互为支撑。落实组织和人员责任。
2020-10-11
第 15 页, 共 52 页
(五)技术方案 1、安全技术体系设计 根据建设目标,在充分利用现有设备的情况下,重新规划整改后的网络拓扑图,如下图所示。
整改后网络拓扑图 1.1.计算环境安全设计
1.1.1 终端安全(EAD)
通过部署2台终端健康检查和修复系统实现终端安全的集中统一管理,包括终端补丁的集中下载与分发、应用软件的集中分发、禁止非工作软件或有害软件的安装和运行等,强化终端安全策略,终端安全管理软件还可满足接入和外联的可管理要求。对终端进行安全检查,确保终端符合安全规范,对不合规终端进行隔离修复。对系统自身安全问题及终端安检问题进行报警统计,具体功能包括:
2020-10-11
第 16 页, 共 52 页
限制非法外联。
应设定只有与终端管理系统通讯的网卡才能发送和接收数据除,禁止其他任何网卡发送和接收数据,包括多网卡、拨号连接,VPN连接等。
终端安全基线自动检测与强制修复。
能够监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果计算机终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的安全基线不能满足要求的情况,该计算机终端的网络访问将被禁止。
移动存储管理。
可以实现移动存储设备的认证和设备使用授权,只有认证的移动存储存储设备和具有使用权限的用户才能使用。对于认证过的移动存储设备,可以根据防泄密控制要求的高低,可以选择多种数据保存和共享授权方式。可以只认证设备,不对其中保存数据进行加密共享;也可以对认证的设备选择专用目录或全盘加密共享,并可以对移动设备使用全过程进行审计,方便在发生意外时进行查证。
终端审计。
包括“文件操作审计与控制”,“打印审计与控制”,“网站访问审计与控制”,“异常路由审计”和“终端Windows登录审计”。所审计的内容尽量只与内网安全合规相关的信息,不对涉及终端用户的个人隐私信息,保证在达到合规管理的审计要求的前提下,保护终端用户个人私隐。
2020-10-11
第 17 页, 共 52 页
1.1.2 漏洞发现(漏扫)
漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞,通过合规性检测对系统中不合适的设置(如不应开放的端口)、脆弱的口令以及其他同安全规则相抵触的对象进行检查;另外基于网络的检测(Network Scanner),通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。
1.1.3 数据库安全审计
计划部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
数据库审计系统适用于等级保护标准和规范。数据库审计系统支持所有主流关系型数据库的安全审计,采用多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术,采用黑盒逆向协议分析技术,严格按照数据库协议规律,对所有数据库的操作行为进行还原,支持请求和返回的全审计,保证100%还原原始操作的真实情况,实现细粒度审计、精准化行为回溯、全方位风险控制,为XXX的核心数据库提供全方位、细粒度的保护功能。数据库审计系统可以帮助我们解决目前所面临的数据库安全审计缺失问题,避免数据被内部人员及外部黑客恶意窃取泄露,极大的保护XXX的核心敏感数据的安全,带来以下安全价值:
全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源 跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据泄漏 检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议 为数据库安全管理与性能优化提供决策依据 提供符合法律法规的报告,满足等级保护审计要求。
2020-10-11
第 18 页, 共 52 页
1.1.4 运维堡垒主机
计划部署运维堡垒主机,堡垒机可为XXX提供全面的运维管理体系和运维能力,支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能,能够有效的保障运维过程的安全。在协议方面,堡垒机全面支持SSH/TELNET/RDP(远程桌面)/FTP/SFTP/VNC,并可通过应用中心技术扩展支持VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、小型机管理等。
1.2.区域边界安全保护设计
通过深入了解系统业务特点和系统功能要求,并在充分利用现有网络设施的基础上,结合国家等级保护政策和标准要求,对信息系统的安全区域保护目标进行如下设计。
1.2.1 边界隔离与访问控制(NGFW)
在本方案中,XX 系统分布在网络出口边界、数据中心区边界、网络管理区,所以每个边界也部署防火墙,并且通过配置防火墙的安全策略,实现各区域边界的隔离与细粒度的访问控制。防火墙是部署在不同网络安全域之间的一系列部件的组合。它是信息的唯一出入口,能根据安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离,以保护整个网络抵御来自其它网络的入侵者。
通过对全网网络拓扑结构进行分析,确定需要进行访问控制的网络边界位置,并使用防火墙等边界访问控制系统,解决边界安全问题、实现各个安全域间的网络访问
2020-10-11
第 19 页, 共 52 页
控制。
部署图如下:
1.2.2 网络入侵检测系统(IPS)
入侵防御产品是一种对网络深层威胁行为(尤其是那些防火墙所不能防御的威胁行为)进行抵御的安全产品,通常以串行方式透明接入网络。和其他安全产品不同的是,入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流(四层以下的攻击可以由其他安全产品如防火墙等防御)。在本方案中入侵防御系统主要保护那些对外提供服务的业务系统的安全。在现有网络中部署入侵检测与防御系统可以对访问xx管理信息系统进行实时监测,并进行入侵行为跟踪分析。
部署图如下:
1.2.3 网络恶意代码防范(WAF)
浏览器都能解释和执行来自 Web 服务器的嵌入到 Web 页面下载部分的脚本(用 JavaScript、JScript、VBScript 等脚本语言创建)。当攻击者向用户提交的动态表单输入恶意代码时,就会产生跨站点脚本(XSS)攻击或是SQL注入。Web应用防火墙主要针对Web服务器进行第7层流量分析,防护以Web应用程序漏洞为目标的攻击,并针对Web应用访问进行各方面优化,以提高Web或网络协议应用的可用性、性能和安全性,确保业务应用能够快速、安全、可靠地交付。同时,内部办公用户也会通过互联网对外进行访问,Internet网络区域的安全风险级别最高,所以对于对外访问和信息获取等操作都应进行实时的恶意代码检测和事后的清除修复工作。
对于恶意代码的防范应达到如下要求:
2020-10-11
第 20 页, 共 52 页
应在网络边界及核心业务网段处对恶意代码进行检测和清除; 应维护恶意代码库的升级和检测系统的更新; 应支持恶意代码防范的统一管理。
1.3.通信网络安全保护设计
根据《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 25070-2010,和市xx网络现状,应从链路冗余设计、通信网络安全审计及网络可信接入方面进行展开设计。
1.3.1 链路冗余设计(IRF)
拟通过部署1台H3C S9800交换机,改变核心网络结构,与原有的H3C S9800做冗余备份,以满足等级保护三级标准针对网络安全的要求。
部署图如下:
交换机部署位置图 1.3.2 网络行为安全审计(数据库审计)
为满足等级保护要求中对三级系统通信网络安全审计要求,需在网络中建立基于网络的安全审计措施,以实现通信网络安全审计的防护要求。
在网络中应部署数据库审计系统,可以通过网络端口镜像的方式抓取进、出区域边界数据包,基于数据包的源地址、目的地址、传输层协议、请求的服务等应用访问行为,确定行为符合安全策略,并以收集的记录信息作为追踪违规事件、界定安全责任的主要依据。部署图如下:
2020-10-11
第 21 页, 共 52 页
综合审计部署图 1.3.3 网络实名准入系统(EAD)
根据《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 25070-2010,对于三级系统需建立网络接入认证机制,可采用由密码技术支持的可信网络连接机制,通过对连接到网络的设备进行可信检验,确保接入网络的设备真实可信,防止设备的非法接入。
为保证 xx 管理信息系统对接入用户实行全生命周期的数字身份管理,有效管理用户的访问凭证和接入权限,记录用户的网络访问行为,在发生信息安全事件时,能将责任追溯到人,本项目将沿用终端准入 EAD 系统,从而实现网络可信接入和用户的身份级别,需求功能包括:
终端准入功能
利用终端管理系统与交换机配合,如采用802.1x共同完成网络准入控制。
限制非法外联。
2020-10-11
第 22 页, 共 52 页
应设定只有与终端管理系统通讯的网卡才能发送和接收数据除,禁止其他任何网卡发送和接收数据,包括多网卡、拨号连接,VPN连接等。
终端审计。
包括“文件操作审计与控制”,“打印审计与控制”,“网站访问审计与控制”,“异常路由审计”和“终端Windows登录审计”。所审计的内容尽量只与内网安全合规相关的信息,不对涉及终端用户的个人隐私信息,保证在达到合规管理的审计要求的前提下,保护终端用户个人私隐。
1.3.4 网络设备保护(堡垒机)
对于网络中的基础设施资产的管理,包括:网络设备、安全设备、服务器和数据库等,均需要通过堡垒机实现对重要业务资产操作的认证、授权和操作记录审计的要求,同时降低运维人员的管理成本,提高运维效率,通过运维堡垒主机的方式进行集中管理、协议代理和身份授权分离的安全操作。
资源集中管理:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。
协议代理:为了对字符终端、图形终端操作行为进行审计和监控,堡垒主机对各种字符终端和图形终端使用的协议进行代理,实现多平台的操作支持和审计,例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议,Linux/Unix平台的X Window图形终端访问协议等。
当运维机通过堡垒主机访问服务器时,首先由堡垒主机模拟成远程访问的服务端,接受运维机的连接和通讯,并对其进行协议的还原、解析、记录,最终获得运维机的操作行为,之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送
2020-10-11
第 23 页, 共 52 页的指令信息,从而实现对各种维护协议的代理转发过程。在通讯过程中,堡垒主机会记录各种指令信息,并根据策略对通信过程进行控制,如发现违规操作,则不进行代理转发,并由堡垒主机反馈禁止执行的回显提示。
身份授权分离:在堡垒主机上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠的保障。
2、安全管理中心设计(云智)
建立安全管理中心,形成具备基本功能的安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对管理中心内部网络和重要业务系统信息安全事件的预警、响应和安全管理能力。具体来说应该实现以下功能:
1.安全信息采集 Xx系统所有的网络设备(交换机、路由器等)、安全设备(防火墙、入侵检测、统一数字身份管理系统、安全审计设备等)和重要业务系统(操作系统、数据库、中间件等)的安全事件信息。
2.安全信息分析 对汇集的安全事件信息进行综合的关联分析,从海量的信息中挖掘、发现可能的安全事件并且产生安全预警。
3.信息安全管理 实现统一的安全事件、安全策略、安全风险和信息安全支撑系统的管理,实现安全运维流程的自动化管理,满足管理中心对安全事件及时有效响应处置的需求。
4.可视化展示
2020-10-11
第 24 页, 共 52 页
实现整体安全态势的多维度、多视角的展示,实现系统运行和安全监测的全景化和在线化。
2.1.建设目标
安全管理中心的建设目标是为了支撑安全运行体系的建设和流转,从而提升安全防护能力、隐患发现能力、监控预警能力以及响应恢复能力,以保障市xx信息系统的安全可靠,实现安全运行工作的“可感知”、“可管理”、“可测量”、“可展示”。
“可感知”目标:安全管理中心具备对各类安全资产的脆弱性和海量安全事件的采集、分析、处理报告能力,可以按需展现全网安全资产的脆弱性分布状况和高危风险事件分布状况,可集中管理各类安全资产的配置基线,能够智能化分析安全事件对业务系统可能产生的实际影响和危害,“实现被动安全智能化”目标。
“可管理”目标:初步实现集中化的安全风险、安全事件、安全预警和安全策略、安全合规性和绩效考核管理,实现安全运维流程的自动化管理,满足市xx对安全事件及时有效响应处置的需求。
“可测量”目标:安全管理中心具备针对各类信息安全管理标准或要求的符合性测量检查能力,提供针对诸如信息安全管理体系标准要求、等级化保护要求、信息安全专项工作要求的符合性检查功能,支持通过技术手段实现符合性检查工作的自动调度、自动执行、自动核查、自动报告功能。
“可展示”目标:实现整体安全态势的多维度、多视角的展示,实现系统运行和安全监测的全景化和在线化。针对市xx决策层、管理层和执行层等不同角色提供不同展现视图,可以向PC、移动终端上推送当前各业务系统、各地区、各单位风险管理状态和趋势。
2020-10-11
第 25 页, 共 52 页
2.2.总体结构
综合管理平台门户作为整个安全管理中心统一人机界面接口,采用Web应用架构,支持各功能模块的信息展示和系统配置管理。针对不同用户角色的特点,提供不同视角(决策层、管理层、执行层)的展现内容。
安全管理中心规划的应用服务层提供六大应用服务,分别是:脆弱性和安全风险管理、安全事件管理、安全预警管理、安全策略管理、安全符合性管理和安全绩效考核,提供的服务通过门户层进行展现。
数据感知层主要规划两大功能,分别是数据采集和数据分析处理。
数据采集主要负责与安全支撑系统数据交互以及搜集其他设备的数据。其采用的技术方式包括:Web Serivce、SYSLOG和SNMP trap等接口和协议。
数据处理主要负责对采集到的原始数据进行标准化、归并及关联分析等详细的分析处理。可以根据资产信息、脆弱性信息校正安全信息的真实性,同时也可以根据攻击过程描述的纵向关联策略确认一系列安全信息发生的后果,提取出需要处理的安全事件。
外部接口层承担安全运营中心与XX系统之间的数据交互,比如从资产系统中抽取资产相关的信息。
安全管理中心安全支撑层是由6个大系统构成,主要为平台提供数据及部分功能实现。支撑系统具体如下:
业务系统 安全设备 操作系统
2020-10-11
第 26 页, 共 52 页
中间件 数据库 网络设备
平台架构采用组件化的分层设计理念,融和工作流组件、业务规则引擎、通用报表组件、数据查询组件、GIS组件等对信息安全运行管理业务加以支撑和服务;平台架构满足五年以上的技术和业务发展等适应性要求。
2.3.功能模块
2.3.1 数据 采集
数据采集是运行监控功能的核心模块,接收来自安全事件监控中心的事件,支持资产信息、配置信息、IT事件日志以及安全支撑系统的数据采集,实现数据识别、数据解析、数据聚并和数据保存等处理。
2.3.2 日志 分析
针对业务系统所涉及到的操作系统和网络设备运行日志进行采集和安全分析。
2.3.3 运行状态监控
运行状态监控主要包含主机、网络、安全设备、数据库、中间件及关键应用系统的运行监控。同时,以关键业务为中心,通过图形化的业务建模工具,根据实际环境,定义个性化的业务运行评估模型,从业务角度对被监测资源进行关联、重组,建立真实表达业务内部关系的影响模型图,实现快速搭建业务卡片视图,准确判断业务健康度、繁忙度、业务层级视图和业务告警等内容。
2020-10-11
第 27 页, 共 52 页
1.主机运行状态监控
系统能够采集现有的主流操作系统监控运行性能。通过对主机监控,实现对主机的故障告警,同时监控主机的健康状态与运行性能指标。覆盖主机操作系统类型包括:Windows服务器系统、Linux服务器系统、IBM AIX服务器系统、HP UNIX服务器系统等。
2.网络和安全设备运行状态监控
系统能够采集现有的网络设备和安全设备的运行状态,通过对设备健康状态与运行性能监控,实现对网络延时、异常事件、连接失败等网络指标进行查看,结合安全设备的故障告警,及时发现性能隐患,能够监控的设备类型包括交换机、路由器、入侵检测等。
3.数据库运行状态监控
系统能够采集数据库监控运行性能,收集数据库的响应时间、当前总用户数、当前活跃用户数等各性能指标的变化趋势,进行分析,为优化资源配置提供数据支撑。要求支持的数据库系统类型包括:
Oracle、SQL Server、MYSQL等。
4.中间件运行状态监控
系统能够采集中间件监控运行性能,针对中间件的可用性、响应延迟等状态信息进行分析,监控各项性能指标变化分析,为优化资源配置提供数据支撑。能够支持中间件系统类型,包括:IBM Websphere、Weblogic、Apache Tomcat、Microsoft IIS等。
5.应用系统运行状态监控
通过和应用系统的对接接口,实现应用系统运行状态的监控和展示。
2020-10-11
第 28 页, 共 52 页
2.3.4 预警管理
预警管理包括但不限于IT态势分析和展现、预警通告等功能。
态势分析:实现对采集信息及分析结果进行汇集和抽取;对IT事件及风险等事态发展和后果进行模拟分析,能够多维度综合展示。
预警通告:能够把IT态势分析的处理结果进行预警通告并展示。
预警管理系统收集和分析历史数据,全面展现一段时期内IT态势和风险管理的情况。
为信息安全风险管理的规划提供数据支撑。
预警模块中心从系统管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从事件监控模块获取发生的事件。得到上述这些原始信息后,本模块进行综合风险分析。综合风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体风险等级。
2.3.5 策略管理
网络的整体性要求需要有统一策略和基于工作流程的管理。通过为全网管理人员提供统一的策略,指导各级管理机构因地制宜的做好策略的部署工作,有利于在全网形成防范的合力,提高全网的整体防御能力,同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
策略管理系统包括但不限于事件关联分析规则管理、资产安全配置策略符合性检
2020-10-11
第 29 页, 共 52 页
查和安全策略库管理功能。
事件关联分析规则管理:能实现安全事件关联分析规则的自定义、导入、更新、展示、查询、修改和归档等功能。
资产安全配置策略符合性检查:能实现对资产安全配置策略合规性比对和检查;提供符合性检查结果的展示、查询、归档和策略导出功能;提供修正建议和策略下发功能。
安全策...
第四篇:常见终端问题解决方案和整改方法
问题一:猜测出远程可登录的SMB/Samba用户名口令
弱密码示例:
扫描原理:通过SMB协议,匹配弱密码字典库,对终端用户和口令,进行扫描。产生原因:终端存在SMB自建共享或者开启SMB默认共享导致,同时系统用户存在弱口令。验证方法:
(1)使用命令net use ipipc$ password /u:username进行弱密码登录尝试,若登录成功,则该账号一定存在。
(2)该账号可能在“计算机管理”中不存在,因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。
(3)也存在计算机已经中毒的可能。《注释》
判断计算机是否存在隐藏账号的方法:
1.打开注册表编辑器,展开HKEY_LOCAL_MACHINESAMSAM,修改SAM权限 为administrator完全控制。
2.按F5刷新注册表,展开HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames,对比用户列表和计算机管理中的用户列表是否相同,如果存在多余的,则为隐藏账号。加固方法: • 杀毒
• 使用net use ipipc$ /del,进行删除
• 如果可以关闭Server服务,建议关闭Server服务 • 更改计算机系统用户密码,设置足够密码强度的口令 • 关闭自建共享
问题二:SMB漏洞问题
漏洞示例:
利用SMB会话可以获取远程共享列表 主机SID信息可通过SMB远程获取 利用主机SID可以获取本地用户名列表
扫描原理:通过SMB服务(主要端口为135.445)对被扫描系统,进行信息获取 产生原因:终端存在SMB自建共享或者开启SMB默认共享导致。加固方法:
• 如果可以关闭Server服务,建议关闭Server服务 • 修改本地安全策略,如:
• 利用SMB会话可以获取远程共享列表–启用“不允许匿名列举SAM帐号和共享”
• 主机SID信息可通过SMB远程获取 –更改“对匿名连接的额外限制”为“没有显式匿名权限就无法访问”
• • • • • • • • 利用主机SID可以获取本地用户名列表–启用“允许匿名 SID/名称转换”
通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP,过滤方法如下:
进入“控制面板->系统和安全->windows 防火墙->左侧高级设置”,打开“高级安全防火墙”,右键“入站规则”->新建规则。
进入“规则类型”页面,选择“要创建的规则类型”为“端口”,点击“下一步”。进入“协议和端口”页面,选择“TCP规则”,并在“特定本地端口”中输入要屏蔽的端口(如:135、139、445、1025),点击“下一步”。进入“操作”页面,选择“阻止链接”,点击“下一步”。进入“配置文件”页面,选中“域、专用、公用”,点击“下一步”。进入“名称”页面,输入一个名称,如“网络端口屏蔽”
问题三:自建共享的问题
漏洞示例:
存在可写共享目录 存在可访问的共享目录
猜测出远程可登录的SMB/Samba用户名口令
产生原因:终端用户自建了共享,且共享目录的权限为可访问、可写 加固方法:
• 关闭自建共享
• 更改共享文件的权限,取消everyone权限
问题四:SNMP口令问题
漏洞示例:
SNMP服务存在可读口令 SNMP服务存在可写口令
产生原理:通过UDP 161 端口获取被测系统信息。同时所谓可读,可写是针对RO权限和RW权限所对应的,因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令,远程攻击者就可以通过SNMP代理获取系统的很多细节信息。相关服务:
• SNMP Service:使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止,计算机将不能处理SNMP 请求。如果此服务被禁用,所有明确依赖它的服务都将不能启动。SNMP Trap:接收本地或远程简单网络管理协议(SNMP)代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用,此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用,任何依赖它的服务将无法启动。加固方法:
如非必须,建议关闭SNMP • • • • • XP关闭方法:控制面板-“添加或删除程序”-“添加/删除Windows组件”-“管理和监视工具”,双击打开,取消“简单网络管理协议.Windows 7关闭方法:控制面板-“添加或删除程序”-“打开或关闭winows功能”,取消“简单网络管理协议.如为必须,请修改SNMP的“团体名称”
打开“服务”选择“SNMP server”右键“安全”-添加团体名称 修改端口号或者防火墙屏蔽
问题五:FTP相关漏洞问题
漏洞示例:
• 猜测出远程FTP服务存在可登录的用户名口令 • 远程FTP服务器根目录匿名可写
产生原理:使用TCP 21号端口,进行FTP相关漏洞的扫描 加固方法:
• 如果FTP为非必须,建议关闭FTP服务 • 如果FTP为业务需要,建议修改ftp 若口令
• Linux 下有两种弱密码,一个是ftp, 一个是anouymous帐号,对于anouymous帐号弱密码,通过关闭默认帐号来实现。对于ftp帐号,由于此时ftp帐号是系统帐号,故需要通过passwd为ftp 设置密码
• 由于在windows下,ftp帐号使用的是系统帐号,因此windows下ftp帐号的弱密码,也就是系统帐号的弱密码。
• 针对漏洞“远程FTP服务器根目录匿名可写”,使用命令chown root ~ftp &&chmod 0555 ~ftp进行加固
问题六:Integard Home和Pro HTTP请求远程栈溢出漏洞
• 当前没有解决方案,可能是误报,一直在和总部沟通中,尚未找到解决方案。
问题七:远程协议相关漏洞
产生原因:利用TCP 3389端口对终端进行扫描,发现远程协议相关漏洞。加固方法:
• • • • 针对不同漏洞,下载不同补丁
如果远程协议服务不需要,建议关闭远程桌面协议 通过防火墙过滤3389端口 更改3389端口为一不常见端口
第五篇:IPv6网络演进整改解决方案
****网络IPv6演进方案
江苏****网络技术有限公司
2018年3月13日
网络安全加固方案
目录 2 概述..........................................................................................................................................3 1.1 2.1 项目背景概述.........................................................................................................................3 IPV6网络演进.........................................................................................................................5
IPv6发展初期阶段.........................................................................................................5 IPv6与IPv4共存阶段....................................................................................................5 IPv6主导阶段.................................................................................................................5 IPv6演进模式.................................................................................................................6 IPv6业务支持.................................................................................................................6 IPv6可管理性.................................................................................................................6 针对不同的网络环境进行建设.....................................................................................6 需求分析..................................................................................................................................3 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 3 3.1 3.2 3.3 3.3.2 3.3.3 3.3.4 3.3.5 需要考虑的问题.....................................................................................................................5
解决方案..................................................................................................................................7
网络建设总体要求.................................................................................................................7 交通电子政务网络划分.........................................................................................................7 方案说明.................................................................................................................................8
组网思路.........................................................................................................................8 IPv6用户的接入方式.....................................................................................................8 业务实现分析.................................................................................................................8 广域网IPv6组网............................................................................................................9 企业分支节点接入.........................................................................................................9 IPv6地址规划.................................................................................................................9 IPv6路由规划...............................................................................................................10 基于真实IPv6源地址的用户标识和认证服务...........................................................12 3.3.1 / 14
网络安全加固方案 概述
1.1 项目背景概述
Internet的成功与发展促进了IP网络的发展,不过IPv4地址已然耗尽,下一代互联网使用IPv6技术已成为互联网发展的必然趋势。2011年2月3日,全球互联网数字分配机构(IANA)正式宣布已无新的IPv4地址分配。而随着物联网、移动互联网等新型应用的快速发展,将会需求大量的地址资源,这势必会对我国互联网持续稳定的发展产生影响,因此解决IPv4地址短缺的问题迫在眉睫。
从技术本质上讲,解决IPv4地址短缺,可以采用两种不同的技术路线,一种是多级NAT(如NAT444)技术,另一种是IPv6技术,这两种技术是完全对立的。从长远来看,NAT技术并不能从根本上解决地址短缺的问题,而且会增加网络结构的复杂性。
2017年11月26日,中办、国办联合印发了《推进互联网协议第六版(IPv6)规模部署的行动计划》(以下简称《计划》)。从该《计划》可以看到,政府横向要求政府机构、中央媒体、中央企业网站完成IPv6的升级改造,纵向从终端、网络到典型应用整个垂直行业要求支持IPv6的演进。这充分反映了国家战略和政府在此次IPv6规模部署行动的决心。
为了满足****区交通运输管理局未来的网络信息系统的建设需要,减少新业务与应用的IT成本,以及物联网及大数据在交通业务方面的应用需求。IPv6网络的部署及演进已是必然趋势,需提前做好相应的技术规划,未雨绸缪。需求分析
目前,在****区交通系统的网络信息系统中,部分业务系统是通过IPV4 NAT技术实现交通局和下辖单位网络的互联互通,与互联网业务的访问也是通过NAT技术实现。拓扑网络如下图: / 14
网络安全加固方案
图2-1****系统网络拓扑图
NAT技术的使用,虽然能解决IPv4地址的紧缺和网络自治区域间的互联互通,但也为网络的使用带来消极影响;NAT是一种救急措施而非最终解决方案。
NAT网络的弊端如下:
破坏的IP 的端到端模型,增加网络复杂性,提高网络运维成本 地址和端口转换需要额外处理,影响网络性能,降低流媒体业务质量
保存连接状态,存在单点失效问题,降低了网络的可靠性 面临非NAT友好应用问题,某些新业务需升级NAT设备
由于IPv4与IPv6协议的不兼容,引入IPv6技术关键在于即要保证原有IPv4业务的应用,同时又要考虑通过IPv6引入减轻IPv4地址不足所面临的压力。因此产生了大量的IPv6演进方案,包括双栈技术、NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE等多种解决方案。具体采用哪种解决方案,需要结合****区交通局网络信息系统的现有情况及今后的业务场景需求,选择对应的IPv6演进策略。没有任何一个技术可以解决所有问题,需要具体问题具体分析。
未来网络的最终模型必然是单栈IPv6网络已成为业界共识,因此在选择IPv6演进方案时,更多的需要考虑所选择的技术架构是需要符合未来的发展趋势,同时也可以避免多次升级所带来的各种问题。受限于应用系统或终端局限等问题,不能在短时间内大规模升级到IPv6,且大量业务仍是基于IPv4的业务应用,因此在未来一段时间内,网络中主要的应用还是基于IPv4的。为加快IPv6的演进,需要加快引进IPv6业务的进度。
目前,****局网络在IPv6部署演进中主要会面临三大挑战:业务、终端与网络边缘。
由于网络边缘设备涉及到相对复杂的网络路由管理、安全、业务感知等功能,且会存在一定数量现网设备不具备软件升级支持IPv6的能力,会面临替换的问题,但相对来讲,在三大挑战中这是最容易解决的。/ 14
网络安全加固方案
对于终端和业务部分而言,终端因涉及到规模庞大、应用软件种类多、总体成本高等原因,是IPv6网络演进的主要困难。没有创新的应用也就难以为IPv6特色业务的开发和规模提供有效平台,整个IPv6演进就难以进入良性循环。
2.1 IPv6网络演进
当前大量的网络是IPv4网络,随着IPv6的部署,很长一段时间是IPv4与IPv6共存的过渡阶段。通常将IPv6的部署划分为以下个阶段:
图2-2 IPv6的部署方案
2.1.1 IPv6发展初期阶段
在IPv6网络部署初期,IPv6站点的规模不大,因此在IPv4网络中形成了一个个“IPv6孤岛”。业务应用上以原有的IPv4应用为主,需要保证IPv6站点与IPv4网络之间的通信,以及IPv6站点之间的互连。
2.1.2 IPv6与IPv4共存阶段
随着IPv6网络规模的扩大,纯IPv6网络与纯IPv4网络并存。基于IPv6的传统业务逐渐开始大量部署,需要保证IPv6与IPv4之间的通信。
2.1.3 IPv6主导阶段
纯IPv6网络最终形成,原有的IPv4网络大部分升级为IPv6,只剩下少数的IPv4站点成为“IPv4孤岛”。此时适用于IPv6的各种新型业务开始成为主流业务。
2.2 需要考虑的问题
在****区交通系统部署IPv6之前,我们首先要考虑部署的总体方针和策略: / 14
网络安全加固方案
2.2.1 IPv6演进模式
在交通网中部署IPv6可以有全双栈模式和隧道模式。全双栈模式组网是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。
2.2.2 IPv6业务支持
如:IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLS VPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM等等。
2.2.3 IPv6可管理性
在本次网络建设后,应充分考虑网络部署IPv6的可管理及可维护性,要能够满足日常业务的需要和网络安全管理方面的需求。
2.2.4 针对不同的网络环境进行建设
主干网络设备可以考虑直接扩容为全双栈模式,适当兼顾只支持IPv4协议栈的终端;并可根据交通局业务的的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户IPv6业务,逐步将不支持IPv6的设备进行换代升级。
综上所述,本次部署IPv6网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有交通网内的实际业务应用情况,采用部分过渡技术,在不影响现有IPv4网络主要业务的条件下,使得交通专网中需要部署IPv6网络的地方能够通过隧道技术,接入业务服务区域或CERNET2。/ 14
网络安全加固方案 解决方案
3.1 网络建设总体要求
1、安全保密性
严格遵循国家安全保密法规,从技术、管理角度,加强网络和信息的安全防范,确保涉密信息安全,实现与非专网业务——如因特网业务的严格逻辑隔离,保障三级纵向专网的安全。
2、业务承载灵活性
在保证网络及信息安全保密的同时,还需兼顾业务承载、系统架构和数据交换实际需要,按照“强化业务网”的思路开展网络及应用系统建设。
3、提高资源利用率
按照统筹规划、统一布署、分步实施的原则,从全局出发,打破部门界限,实现三级交通运输系统各部门的互联互通和资源共享,使交通系统已有的各类信息资源发挥出最大效益,避免重复建设,杜绝资源浪费。
3.2 交通电子政务网络划分
根据省政府关于电子政务建设的有关要求,全省交通电子政务网络分为电子政务内网和电子政务外网。
****电子政务网络结构示意图
从上图可以看出,交通电子政务网络逻辑上分为两套网络,即电子政务内网和电子政务外网,物理上分为三套网络,即涉密网、交通业务专网和外网。
电子政务内网与电子政务外网须物理隔离,交通行业业务专网和交通行业外网之间应采用安全等级较高设备(如防火墙、网闸)进行隔离,提高网络之间的安全性。/ 14
网络安全加固方案
3.3 方案说明
由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。
针对这种情况,建议采用升级现有IPv4网络的方案。
3.3.1 组网思路
在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小,可首先将交通网络的核心设备(核心交换机)升级为双栈,网络的其他部分保持不变。核心设备完成升级后,可分别提供至IPv4网络和IPv6网络的出口;IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响,同时实现了IPv6用户的接入(如下图)。核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。
IPv6用户的接入方式
在节点1下,由于网络中汇聚层依然是原有的IPv4交换机,接入层是原有的IPv4交换机或L2交换机,为完成IPv6用户到核心交换机的连接,可采用ISATAP隧道的方式。
在节点2和节点3下,用户通过双栈方式或IPv6 over IPv4隧道方式完成连接。
业务实现分析
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6用户对于现有IPv4业务资源的访问。同时,IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。/ 14
网络安全加固方案
3.3.2 广域网IPv6组网
广域网组网侧重于“IPv6孤岛”之间跨越广域网的连接,如,交通局总部与下辖单位、下辖段位之间通过IPv6连接等网络情况,都可适用。
企业分支节点接入
若新建部分IPv6分支,为了实现与分支节点的IPv6连接,可将分支机构作为汇聚节点的路由器设备升级为双栈。这样,原有的IPv4分支与交通局的连接保持不变,新建的IPv6分支节点出口设备采用双栈路由器,可接入到交通局的双栈设备上。
根据实际组网需要,分支与交通局之间可运行OSPFv3路由协议。
3.3.3 IPv6地址规划
IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址完全遵从前缀+接口标识符的IP地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示IP地址。
IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的IP地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则: / 14
网络安全加固方案
地址资源应全网统一分配
地址划分应有层次性,便于网络互联,简化路由表 IP地址的规划与划分应该考虑到网络的发展要求 充分合理利用已申请的地址空间,提高地址的利用效率。
IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。IPv6的地址规划时考虑三大类地址:
1、公共服务器地址,如DNS,EMAIL,FTP等。
2、网络设备互联地址和网络设备的LOOPBACK地址。
根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。
3、用户终端的业务地址。
此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址(仅需要网络设备互联地址和网络设备的LOOPBACK地址)。
3.3.4 IPv6路由规划
路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看,OSPFv3、RIPng和IS-ISv6适用10 / 14
网络安全加固方案
于自治域内部路由,为内部网关协议;BGP4+用来在自治域之间交换网络可达信息,是外部网关协议。 域内路由协议选择
支持IPv6的内部网关协议有:RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看,RIPng和OSPFv3协议已较为成熟,支持IPv6的IS-IS协议标准草案也已经过多次讨论修改,标准正在形成之中,而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度,RIPng协议适用于小规模的网络,而OSPF和IS-IS协议可用于较大规模的网络。
对于大规模的IP网络,为了保证网络的可靠性和可扩展性,内部路由协议(IGP)必须使用链路状态路由协议,只能在OSPF与IS-IS之间进行选择,下面对两种路由协议进行简单的对比。
目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2,能够支持IPv6路由信息的OSPF版本称为OSPFv3,能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3:
OSPFv3与OSPFv2相比,虽然在机制和选路算法并没有本质的改变,但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息,ISISv6可以同时交换IPv4路由信息和IPv6路由信息。
OSPF是基于IP层的协议,OSPF v3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPF v2版本相似。对比OSPF v2,在OSPF v3中有以下区别: / 14
网络安全加固方案
虽然OSPFv3是为IPv6设计的,但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式,而不是指定一个IPv6的地址。所以即使运行OSPF v3也需要为路由器分配IPv4地址。
协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行的(per-subnet);
把地址域从OSPF包和一些LSA数据包中去除掉,使得成为网络层协议独立的路由协议:
与OSPFv2不同,IPv6的地址不再出现在OSPF包中,而是会在链路状态更新数据包中作为LSA的负载出现;
Router-LSA和Network-LSA也不再包含网络地址,而只是简单的表示拓扑信息; 邻居路由器的识别将一直使用Router ID,而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。
Link-Local地址可以作为OSPF的转发地址。除了Virtual link必须使用Global unicast地址或者使用Site-local地址。
去掉了认证信息。在OSPF v3中不再有认证方面的信息。如果需要加密,可以使用IPv6中定义的IP Authentication Header来实现。
3.3.5 基于真实IPv6源地址的用户标识和认证服务
基于真实IPv6源地址的用户标识和认证服务即保证用户的IPv6地址的使用必须是经过授权的,具体应用与场景相关,可分为路由转发流量和本地接入流量的源地址验证。
1、路由转发流量: / 14
网络安全加固方案
交通局网络内转发,可采用OSPFv3或ISIS等,ISIS可以通过MD5加密,OSPF可以使用IPSEC加密,保证IPv6路由来源的可靠性,然后通过URPF或ACL来检查报文的源地址是否来源于正确的端口。
2、本地接入流量:
此环境下和接入层组网、地址分配方式、接入设备密切相关。接入层典型的组网由客户端(主机Host)、接入设备(NAS)、AAA服务器组成。地址分配包括无状态地址分配(ND,以及扩展的SEND、Privacy Extensions)、有状态地址分配(DHCP)、手工配置等,采用有状态分配地址,组网中要加入DHCP服务器。接入设备NAS有路由器、交换机、AC/AP等,对应的接入链路层包括ADSL、Ethernet、WiFi等,其上都可以直接承载IPv6数据报文。如果二层本身就可以隔离或加密,则部署较简单,只需要在认证环节确保安全、然后将二层信息与IPv6地址进行绑定即可,否则需要考虑后续的每报文的安全性处理。
接入认证协议有802.1x、PPPoE、PORTAL、802.11i、WAPI等,可以将MAC地址、端口与IPv6地址绑定,无线协议是共享端口的,可以将IPv6地址与二层传输密钥绑定。绑定的过程,视地址分配方式而不同,手工配置只能静态绑定,ND/DHCP则可以动态绑定。对于ND协议,其安全性需要提高,可以采用类似ARP的方案来补充:ND源抑制功能、ND防IP报文攻击功能、ND的主动确认、源MAC地址固定的ND攻击检测、ND报文源MAC一致性检查、ND报文限速、授权ND、ND Detection、ND Proxy等。/ 14
点击咨询 