第一篇：整改解決方案

征求意見(jiàn)整改情況匯報(bào)總結(jié)

醫(yī)院黨的群眾路線教育實(shí)踐活動(dòng)動(dòng)員大會(huì)之后，教育實(shí)踐活動(dòng)就進(jìn)入了第一環(huán)節(jié)。我院嚴(yán)格按照上級(jí)要求堅(jiān)持醫(yī)療與教育實(shí)踐并重，廣泛征求職工對(duì)院改進(jìn)工作作風(fēng)的意見(jiàn)和建議。突出重點(diǎn)、落實(shí)責(zé)任、分類指導(dǎo)，做到邊學(xué)邊改，取得較好的效果。醫(yī)院共梳理了8條意見(jiàn)和建議，現(xiàn)針對(duì)存在的問(wèn)題、一、我院以解決的問(wèn)題如下：

1、領(lǐng)導(dǎo)干部增強(qiáng)創(chuàng)新、多下基層聯(lián)系群眾的問(wèn)題

經(jīng)過(guò)院領(lǐng)導(dǎo)班子決定，醫(yī)院院長(zhǎng)、副院長(zhǎng)定期到分管科室了解情況，一月不少于2次，同時(shí)做好下基層活動(dòng)記錄，對(duì)你發(fā)現(xiàn)的問(wèn)題能及時(shí)解決的現(xiàn)場(chǎng)解決，對(duì)不能解決的上報(bào)的醫(yī)院進(jìn)一步商討解決。方案?jìng)鬟_(dá)后，院長(zhǎng)及各位副院長(zhǎng)按時(shí)下基層，做好活動(dòng)記錄，陸續(xù)解決問(wèn)題20余件。

2、關(guān)心職工身體健康，要求定期體檢的問(wèn)題

我院去年給予所有女職工進(jìn)行了乳腺癌和宮頸癌的健康體檢，今年將健康體檢的范圍擴(kuò)大到全院職工，進(jìn)行心電圖、彩超、胸透、化驗(yàn)等多項(xiàng)目的體檢檢查。目前的體檢計(jì)劃已經(jīng)列出，計(jì)劃5月份至11月份將完成所有職工的體檢檢查工作。

3、各科室之間增強(qiáng)協(xié)調(diào)溝通能力的問(wèn)題

為進(jìn)一步加強(qiáng)科室之間的溝通協(xié)調(diào)能力，醫(yī)院要求各科室制定相應(yīng)的實(shí)施方案，按照事件處理流程，先期主任、護(hù)士長(zhǎng)溝通，解決不了的問(wèn)題上報(bào)到主管院長(zhǎng)進(jìn)行協(xié)調(diào)解決。醫(yī)院利用每周五院務(wù)會(huì)時(shí)

間，要求所有的科主任、護(hù)士長(zhǎng)參加會(huì)議，在會(huì)上可以進(jìn)行直接有效地溝通，方便快捷的解決問(wèn)題。

4、及時(shí)更新醫(yī)療設(shè)備的問(wèn)題

針對(duì)醫(yī)療的快速發(fā)展，醫(yī)療的設(shè)備更新速度也進(jìn)入快速更替的時(shí)代，對(duì)于需要設(shè)備更新的科室，由科室提出申請(qǐng)，醫(yī)院進(jìn)行核查后，確需更換的，醫(yī)院按照資金及科室的需要逐步引進(jìn)。今年以來(lái)按照設(shè)備更新方案，醫(yī)院眼科、核磁分別按照程序進(jìn)行了設(shè)備的更換，下一步計(jì)劃對(duì)檢驗(yàn)科部分老舊設(shè)備進(jìn)行部分更換。

5、改革效益工資分配方案的問(wèn)題

醫(yī)院是差額撥款單位，效益工資是根據(jù)醫(yī)院每月的收入進(jìn)行核算分發(fā)的，進(jìn)一步改革分配方案，醫(yī)院前期調(diào)研，進(jìn)一步征求職工的意見(jiàn)，逐步出臺(tái)分配方案。根據(jù)職工的意見(jiàn)和建議，提高了醫(yī)護(hù)人員的夜班待遇、急診出診待遇，對(duì)節(jié)假日出診人員給予一定的加班獎(jiǎng)勵(lì)。

6、對(duì)醫(yī)院人才培養(yǎng)要有長(zhǎng)遠(yuǎn)計(jì)劃的問(wèn)題

醫(yī)院的發(fā)展就是人才的發(fā)展和醫(yī)療技術(shù)的發(fā)展，只有醫(yī)療技術(shù)發(fā)展了，患者才能得到更好的就醫(yī)，徹底的解決病痛。針對(duì)醫(yī)院人才的發(fā)展，醫(yī)教科每年會(huì)列出培訓(xùn)計(jì)劃，分為三部分，一部分為醫(yī)院內(nèi)部的學(xué)習(xí)培訓(xùn)，每周四是醫(yī)院醫(yī)師的業(yè)務(wù)培訓(xùn)，進(jìn)行“三基三嚴(yán)”的技術(shù)掌握，同時(shí)我院每年會(huì)定期送出一批骨干力量到外院進(jìn)修學(xué)習(xí)先進(jìn)的醫(yī)療技術(shù)，分為短期培訓(xùn)及長(zhǎng)期培訓(xùn)。我院同時(shí)與北京友誼醫(yī)院建立對(duì)口支援項(xiàng)目，本著“請(qǐng)進(jìn)來(lái)、送出去”的原則，大幅度提高了我院的醫(yī)療技術(shù)診治水平。在今后的工作中，我院會(huì)進(jìn)一步加強(qiáng)人才的培訓(xùn)，掌握先進(jìn)的醫(yī)療技術(shù)，更好的為百姓的健康服務(wù)。

二、現(xiàn)我院需上級(jí)部門協(xié)調(diào)幫助解決的問(wèn)題如下：

1、要求進(jìn)一步擴(kuò)大黨員隊(duì)伍的問(wèn)題

醫(yī)院鼓勵(lì)基層中青年積極加入黨組織，黨員的發(fā)展一定按照發(fā)展程序進(jìn)行，首先個(gè)人提交申請(qǐng)，組織考核列入積極分子考核期滿，上報(bào)到上級(jí)部門審查通過(guò)后列為預(yù)備黨員，預(yù)備期滿合格后轉(zhuǎn)為正式黨員。全市黨員發(fā)展計(jì)劃中衛(wèi)生系統(tǒng)每年核給基層指標(biāo)只有1名，我院目前職工人數(shù)接近500人，面臨的困難發(fā)展指標(biāo)少，醫(yī)院經(jīng)過(guò)爭(zhēng)取，每年醫(yī)院發(fā)展黨員1名。在群眾路線教育實(shí)踐活動(dòng)征求意見(jiàn)環(huán)節(jié)調(diào)查中，針對(duì)基層提出的此項(xiàng)問(wèn)題，黨辦做出了要多發(fā)展黨員的問(wèn)題說(shuō)明，并在今后的工作中，積極向上級(jí)部門爭(zhēng)取名額，盡可能把培養(yǎng)成熟的黨員吸收進(jìn)入黨內(nèi)，為醫(yī)院黨組織增加新的血液。

2、引進(jìn)新畢業(yè)大學(xué)生，形成人才梯隊(duì)

隨著醫(yī)療市場(chǎng)的改革，醫(yī)保制度的進(jìn)一步完善，醫(yī)院面對(duì)的事越來(lái)的越多的患者，隨著一批老醫(yī)護(hù)人員的退休，面對(duì)的醫(yī)療壓力也越來(lái)越大，雖然近幾年從沿線調(diào)入一批醫(yī)護(hù)人員，但遠(yuǎn)遠(yuǎn)落后與患者的增長(zhǎng)，造成醫(yī)療人員超負(fù)荷工作，針對(duì)這一現(xiàn)象，我院已經(jīng)向市委、市政府匯報(bào)，并與人才交流中心、就業(yè)局達(dá)成協(xié)議，逐步引進(jìn)人才。醫(yī)教科列出引進(jìn)人才計(jì)劃，上報(bào)到上級(jí)主管部門，同時(shí)和就業(yè)局溝通，參加就業(yè)局組織的招聘會(huì)，多渠道吸引高科技人才。

三、結(jié)合市委梳理的意見(jiàn)和建議方面存在的問(wèn)題

群眾路線活動(dòng)開(kāi)展以來(lái)，在市委的指導(dǎo)下，活動(dòng)按序，有條不紊的進(jìn)行著，針對(duì)市委梳理出的意見(jiàn)和建議結(jié)合我院的實(shí)際完成整改如下：

1、關(guān)于貫徹落實(shí)中央八項(xiàng)規(guī)定和反對(duì)“四風(fēng)”問(wèn)題

認(rèn)真落實(shí)中央八項(xiàng)規(guī)定和自治區(qū)配套規(guī)定，院領(lǐng)導(dǎo)帶頭執(zhí)行，起到表率作用，利用醫(yī)院電子屏、宣傳欄等積極宣傳八項(xiàng)規(guī)定及市委的十條禁令，制定相應(yīng)的規(guī)章制度，本著“用制度管人，用制度辦事”的原則。堅(jiān)決執(zhí)行勤儉節(jié)約的光榮傳統(tǒng)，對(duì)醫(yī)院的物品使用，有總務(wù)科做好消耗記錄，每月上報(bào)一次，嚴(yán)格杜絕鋪張浪費(fèi)。

2、關(guān)于增強(qiáng)服務(wù)方面

通過(guò)開(kāi)展“我是誰(shuí)、為了誰(shuí)、依靠誰(shuí)”大討論活動(dòng)，進(jìn)一步增強(qiáng)職工的為人民服務(wù)意識(shí)，教育廣大職工堅(jiān)定“百姓無(wú)小事”的原則，學(xué)會(huì)換位思考，對(duì)待患者像親人一樣熱情，增強(qiáng)和患者的溝通能力，減少患者的就診流程，減少患者就診等候時(shí)間。

3、開(kāi)展教育實(shí)踐活動(dòng)方面

在教育實(shí)踐活動(dòng)過(guò)程中，堅(jiān)決杜絕走過(guò)場(chǎng)，本著主要領(lǐng)導(dǎo)親自上手帶頭下基層的原則，醫(yī)院要求主要分管領(lǐng)導(dǎo)定期下基層，按時(shí)參加學(xué)習(xí)教育活動(dòng)，及時(shí)書(shū)寫學(xué)習(xí)筆記及下基層活動(dòng)記錄。在宣傳上多渠道宣傳活動(dòng)的實(shí)際意義，通過(guò)增設(shè)意見(jiàn)箱、發(fā)放意見(jiàn)調(diào)查表，面對(duì)面座談等形式深入開(kāi)展活動(dòng)，切實(shí)解決群眾迫切需要解決的問(wèn)題。

4、食品安全醫(yī)療衛(wèi)生等方面

加強(qiáng)“120”基礎(chǔ)設(shè)施建設(shè)，我院對(duì)120醫(yī)護(hù)人員進(jìn)行有計(jì)劃定期

培訓(xùn)，同時(shí)為了進(jìn)一步方便進(jìn)入小區(qū)接受患者，我院新進(jìn)購(gòu)入一臺(tái)矮架120救護(hù)車，解決了目前救護(hù)車由于架高無(wú)法進(jìn)入小區(qū)大門的問(wèn)題，加強(qiáng)對(duì)鄉(xiāng)鎮(zhèn)醫(yī)院的醫(yī)療扶持，積極開(kāi)展對(duì)口支援工作，解決了當(dāng)?shù)鼐用窨床〔环奖愕膯?wèn)題。進(jìn)一步加強(qiáng)醫(yī)院黨建工作和思想建設(shè)，提高黨性修養(yǎng)，不斷提高思想政治素質(zhì)，祝好制度化的學(xué)習(xí)，積極開(kāi)展談心活動(dòng)，出臺(tái)《醫(yī)德醫(yī)風(fēng)考評(píng)實(shí)施方案》，增強(qiáng)醫(yī)務(wù)人員責(zé)任意識(shí)，狠抓醫(yī)療質(zhì)量，務(wù)實(shí)工作切實(shí)提高醫(yī)療服務(wù)水平。

5、其他方面

我院積極創(chuàng)建無(wú)煙單位，醫(yī)院在顯著位置均貼有禁煙的標(biāo)識(shí)，利用宣傳欄宣傳禁煙知識(shí)，嚴(yán)格執(zhí)行領(lǐng)導(dǎo)干部帶頭禁煙、醫(yī)務(wù)人員及患者禁煙制度，同時(shí)醫(yī)院成立了戒煙門診，幫助需要的患者進(jìn)一步戒煙。以上是我院在征求意見(jiàn)的基礎(chǔ)上，查找出來(lái)的主要問(wèn)題、原因分析以及今后努力的方向，請(qǐng)市教育實(shí)踐活動(dòng)領(lǐng)導(dǎo)小組進(jìn)行嚴(yán)格審議，以幫助我們找準(zhǔn)問(wèn)題和原因，找出工作中的差距，使下一步的整改工作做得更好，確保群眾路線教育實(shí)踐活動(dòng)取得實(shí)效。

第二篇：倉(cāng)庫(kù)整改解決方案

一、目的

倉(cāng)庫(kù)整改計(jì)劃

為了改善倉(cāng)庫(kù)目前的混亂現(xiàn)狀，提升倉(cāng)儲(chǔ)管理效率，降低生產(chǎn)成本，使倉(cāng)儲(chǔ) 管理規(guī)范化；達(dá)到物盡其用，貨暢其流，為公司各部門生產(chǎn)工作提供有力保障。

二、目前存在主要問(wèn)題: :

1、倉(cāng)庫(kù)部門職能、職責(zé)不清，部門崗位職能、職責(zé)不清，分工不明確，責(zé)任不能落實(shí)到人； 2、倉(cāng)庫(kù)布局規(guī)劃不太合理，區(qū)域劃分不明確，造成空間利用困難和浪費(fèi)； 3、物料標(biāo)示不清，沒(méi)有規(guī)范的物料標(biāo)識(shí)。

4、物料擺放不合理，出現(xiàn)混、亂、雜 ，同種物料放置于幾個(gè)地方，找貨難； 沒(méi)有實(shí)施“先進(jìn)先出”管理。

5、物料入庫(kù)未經(jīng)品質(zhì)檢驗(yàn)（沒(méi)有最重要的進(jìn)料檢驗(yàn)），良品、不良品混雜。

6、物料編碼管理不嚴(yán)謹(jǐn)，存在一料多碼和一碼多款物料現(xiàn)象。

7、庫(kù)存積壓嚴(yán)重，呆滯物料處理不當(dāng)，增加倉(cāng)庫(kù)管理成本及庫(kù)存壓力； 8、倉(cāng)庫(kù)管理系統(tǒng)不完善，沒(méi)有明確的倉(cāng)庫(kù)運(yùn)作流程，倉(cāng)儲(chǔ)作業(yè)規(guī)范及管理制度不健全。

9、產(chǎn)品資料缺失（沒(méi)有 BOM 表，沒(méi)有產(chǎn)品物料清單），生產(chǎn)用料發(fā)放缺乏 重要依據(jù)，工作盲目性嚴(yán)重，作業(yè)效率低； 10、ERP 系統(tǒng)形同虛設(shè)，系統(tǒng)數(shù)據(jù)不準(zhǔn)確、不及時(shí)，未能發(fā)揮其有效功能，難以為管理提供可靠的決策依據(jù)；物料信息沒(méi)能共享，庫(kù)存管理信息不流通。

三、主要原因分析：

基于公司目前物料管理現(xiàn)狀，經(jīng)過(guò)分析，本人認(rèn)為根源在于：

1、公司對(duì)倉(cāng)儲(chǔ)部門職能定位不準(zhǔn)確，高層領(lǐng)導(dǎo)重視度不夠。

2、長(zhǎng)時(shí)期的無(wú)序管理。

3、倉(cāng)庫(kù)處于開(kāi)放式管理狀態(tài) 4、物料進(jìn)出庫(kù)沒(méi)有嚴(yán)格的流程和工作紀(jì)律管控，未明訂各項(xiàng)具體作業(yè)流程，在作業(yè)上無(wú)從遵循，造成執(zhí)行上的困難； 5、倉(cāng)庫(kù)管理人員倉(cāng)儲(chǔ)管理知識(shí)不足，業(yè)務(wù)能力欠缺； 6、公司營(yíng)運(yùn)體系的不完善，受銷售、采購(gòu)、生產(chǎn)、品質(zhì)等部門的不確定因素影響嚴(yán)重，特別是受生產(chǎn)計(jì)劃的影響很大，造成收料、發(fā)料難及料帳整理困難。

四、改善思路：1、明確倉(cāng)庫(kù)的職能、職責(zé)及倉(cāng)庫(kù)管理人員的主要工作職責(zé)及分工：

? 倉(cāng)庫(kù)的主要職能：

① 依據(jù)訂購(gòu)單點(diǎn)收物料,并按貨倉(cāng)庫(kù)管理制度(作業(yè)指導(dǎo)書(shū))檢查數(shù)量． ② 將 IQC 驗(yàn)收好的物料按指定位置予以存放． ③ 存放場(chǎng)所的整理、整頓、清掃、清潔、素養(yǎng)符合 5S 要求，防止品質(zhì)發(fā)生變異； ④ 依據(jù)領(lǐng)料相關(guān)單據(jù)配備和發(fā)放物料； ⑤ 料賬出入庫(kù)記錄與定期盤存； ⑥ 不良物料及呆廢料的定期申報(bào)及處理； ? 倉(cāng)庫(kù)管理人員的主要工作職責(zé)：

① 負(fù)責(zé)建立倉(cāng)庫(kù)內(nèi)所有物資的臺(tái)帳。

② 按照管理要求擺放整齊、做好標(biāo)識(shí)，做到帳、卡、物一致。

③ 做好倉(cāng)庫(kù)庫(kù)存控制工作，按照風(fēng)險(xiǎn)庫(kù)存標(biāo)準(zhǔn)，及時(shí)提醒主管領(lǐng)導(dǎo)物料庫(kù)存數(shù)量狀態(tài)。

④ 負(fù)責(zé)做好倉(cāng)庫(kù)內(nèi)物資保管及防護(hù)工作，按規(guī)定手續(xù)做好物料出入庫(kù)的收發(fā)工作。

⑤ 與生產(chǎn)協(xié)調(diào)好辦理成品、半成品的入庫(kù)工作。

⑥ 與銷售部門協(xié)調(diào)合作，及時(shí)辦理好產(chǎn)品的出庫(kù)單并及時(shí)錄入電腦、上報(bào)財(cái)務(wù)及生產(chǎn)部門。

⑦ 及時(shí)做好退庫(kù)產(chǎn)品的記錄并及時(shí)向上級(jí)主管匯報(bào)，以便能及時(shí)處置。

⑧ 負(fù)責(zé)倉(cāng)庫(kù)管理數(shù)據(jù)系統(tǒng)的維護(hù)與更新。

⑨ 月底盤點(diǎn)庫(kù)存，做好月報(bào)表；做好倉(cāng)庫(kù)現(xiàn)場(chǎng)管理工作。

⑩ 每月及時(shí)編制好庫(kù)存報(bào)表工作，按財(cái)務(wù)要求及時(shí)做好倉(cāng)庫(kù)內(nèi)物資的成本核算工作。

? 倉(cāng)管人員分工((暫行))：

倉(cāng)管員分工明細(xì)((暫行))

序號(hào)

姓

名

職

位

主要工作1

倉(cāng)庫(kù)文員 主要負(fù)責(zé)須由倉(cāng)庫(kù)申購(gòu)物料的請(qǐng)購(gòu)、出入庫(kù)物料 ERP 系統(tǒng)賬的錄入；賬、物、卡準(zhǔn)確率抽查，協(xié)助零配件倉(cāng)管員對(duì)零配件倉(cāng)的管理

2

原材料倉(cāng)倉(cāng)管員 全面負(fù)責(zé)原材料倉(cāng)、消耗品倉(cāng)的收、發(fā)、管及原材料倉(cāng)、消耗品倉(cāng)的現(xiàn)場(chǎng)管理工作

3

化學(xué)品倉(cāng)倉(cāng)管員 全面負(fù)責(zé)化學(xué)品倉(cāng)、半成品倉(cāng)的收、發(fā)、管及化學(xué)品倉(cāng)、半成品倉(cāng)的現(xiàn)場(chǎng)管理工作 4 4

零配件倉(cāng)倉(cāng)管員 暫時(shí)共同負(fù)責(zé)零配件倉(cāng)的收、發(fā)、管及零配件倉(cāng)的現(xiàn)場(chǎng)管理工作，后續(xù)對(duì) 5

零配件倉(cāng)倉(cāng)管員 各自己管轄物料作明確分工

6

包材倉(cāng)/半成品倉(cāng)倉(cāng)管員 全面負(fù)責(zé)包材倉(cāng)、半成品倉(cāng)的收、發(fā)、管及包材倉(cāng)、半成品倉(cāng)的現(xiàn)場(chǎng)管理工 作

7

成品倉(cāng)倉(cāng)管員 全面負(fù)責(zé)成品倉(cāng)的收、發(fā)、管及成品倉(cāng)的現(xiàn)場(chǎng)管理工作，協(xié)助半成品倉(cāng)管員對(duì)半成品倉(cāng)的管理

2、重新規(guī)劃倉(cāng)庫(kù)區(qū)域，增加部分貨架以增加倉(cāng)庫(kù)使用面積，提高面積利用率。

A、倉(cāng)庫(kù)分類

根據(jù)本公司物料的特性、用途、使用車間，結(jié)合公司對(duì)倉(cāng)庫(kù)庫(kù)區(qū)規(guī)劃 的總體布局及物流進(jìn)出順利的原則，將倉(cāng)庫(kù)劃分為：原材料倉(cāng)、化學(xué)品倉(cāng)、消耗品倉(cāng)、零配件倉(cāng)、包裝材料倉(cāng)、半成品倉(cāng)、成品倉(cāng)。

原材料倉(cāng)：主要存放鋁錠、鋁型材、鋁圓片、覆底片等；地點(diǎn)為現(xiàn)一樓鋁圓片綜合倉(cāng)庫(kù)。

化學(xué)品倉(cāng)：主要存放油漆、涂料等各種化學(xué)物料；地點(diǎn)為現(xiàn)化學(xué)品倉(cāng)。

消耗品倉(cāng)：主要存放各種辦公消耗品、生產(chǎn)使用消耗品、設(shè)備維修零配件、及水電維修零配件等與生產(chǎn)產(chǎn)品無(wú)關(guān)的消耗物料； 地點(diǎn)為現(xiàn)一樓鋁圓片綜合倉(cāng)庫(kù)。

零配件倉(cāng)：主要存放與產(chǎn)品相關(guān)的全部零配件，主要包括玻璃蓋、組合蓋、手柄、鍋耳、鑼桿、鑼絲、鑼帽、鉚釘、鋁護(hù)套、鋁尾、蓋珠等；地點(diǎn)為現(xiàn)成品倉(cāng)及半成品倉(cāng)。

包裝材料倉(cāng)：主要存放與產(chǎn)品包裝相關(guān)的全部物料，主要包括紙箱、彩盒、白盒、PE 袋、膠袋、吸塑袋、汽泡袋、吊牌、吊卡、說(shuō)明書(shū)等；地點(diǎn)為現(xiàn)包裝材料倉(cāng)。

半成品倉(cāng)：主要存放生產(chǎn)部作的庫(kù)存半成品及生產(chǎn)部超訂單生產(chǎn)的半成品；地點(diǎn)為新建廠房四樓。

成品倉(cāng)：主要存放完成全部生產(chǎn)工序待出貨的物料。

現(xiàn)玻璃蓋、組合蓋倉(cāng)。

B、倉(cāng)庫(kù)內(nèi)區(qū)域規(guī)劃

根據(jù)公司不同倉(cāng)庫(kù)的作用，原則上各倉(cāng)庫(kù)內(nèi)必須劃出通道、消防區(qū)、辦公區(qū)、物品儲(chǔ)存區(qū)、呆滯物品存放區(qū)、、退貨區(qū)、廢品區(qū)。

原材料倉(cāng)、化學(xué)品倉(cāng)、半成品倉(cāng)在倉(cāng)庫(kù)內(nèi)分別設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、物品儲(chǔ)存區(qū)、呆滯物品存放區(qū)、來(lái)料待檢區(qū)、退貨區(qū)、廢次品存放區(qū)、備料區(qū)；； 零配件倉(cāng)、包裝材料倉(cāng)在倉(cāng)庫(kù)內(nèi)分別設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、來(lái)料待檢區(qū)、退貨區(qū)、物品儲(chǔ)存區(qū)、呆滯物品存放區(qū)、物料暫存區(qū)、廢次品存放區(qū)、備料區(qū)；

成品倉(cāng)內(nèi)設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、物品儲(chǔ)存區(qū)、呆滯物品存放區(qū)、發(fā)貨區(qū)、退貨區(qū)、廢次品存放區(qū)。

C C、各倉(cāng)的進(jìn)倉(cāng)門處，繪制張貼《倉(cāng)庫(kù)平面圖》、《倉(cāng)庫(kù)安全疏散圖》，反映出該倉(cāng)所在的地理位置、周邊環(huán)境、倉(cāng)區(qū)倉(cāng)位、倉(cāng)門各類通道、門、窗、電梯等內(nèi)容。

D D、購(gòu)買部分貨架放置鑼桿、鑼絲、鑼帽、鉚釘?shù)刃〖锲罚瑴p少倉(cāng)庫(kù)使用面積占用，提高面積利用率。3、庫(kù)存物料整理

? 庫(kù)存物料搬移

根據(jù)倉(cāng)庫(kù)劃分，分別將原材料倉(cāng)、化學(xué)品倉(cāng)、消耗品倉(cāng)、零配件倉(cāng)、包裝材料倉(cāng)、半成品倉(cāng)、成品倉(cāng)各倉(cāng)所屬物料搬移至本倉(cāng)庫(kù)內(nèi)劃定區(qū)域，將散布于生產(chǎn)車間、工廠內(nèi)各處的應(yīng)歸倉(cāng)管理的所有物料收歸于各所屬倉(cāng)庫(kù)進(jìn)行統(tǒng)一管理。

? 庫(kù)存物料整理

將各倉(cāng)庫(kù)內(nèi)物料按區(qū)域劃分分類整理，同種物料放置在一個(gè)位置，更換受損包裝、標(biāo)識(shí)；改變找貨難、找不到貨的問(wèn)題。每天倉(cāng)管員在完成收發(fā)貨工作后，利用工作空閑時(shí)間對(duì)倉(cāng)庫(kù)的衛(wèi)生和貨物的堆放進(jìn)行及時(shí)的整理，最終做到：

倉(cāng)庫(kù)管理兩齊：庫(kù)容整齊、堆放整齊倉(cāng)庫(kù)管理三清：數(shù)量、質(zhì)量、規(guī)格 倉(cāng)庫(kù)管理三潔：貨架、物件、地面 倉(cāng)庫(kù)管理三相符：帳、卡、物 倉(cāng)庫(kù)管理四定位：區(qū)、架、層、位 ? 在庫(kù)物料標(biāo)識(shí)管理

建立明確的在庫(kù)物料標(biāo)識(shí)，重新設(shè)計(jì)出 物料標(biāo)示票、半成品標(biāo)示票、成品標(biāo)示票等物料標(biāo)識(shí)，所有在庫(kù)物料必須標(biāo)識(shí)，且標(biāo)識(shí)清楚。（物料標(biāo)示票、半成品標(biāo)示票、成品標(biāo)示票見(jiàn)附件）4、控制物料進(jìn)出庫(kù)管理

要想達(dá)到倉(cāng)庫(kù)管理的整潔、規(guī)范、標(biāo)識(shí)清楚，帳、卡、物一致，在建立嚴(yán)格的物料入出管理制度的同時(shí)，必須對(duì)倉(cāng)庫(kù)進(jìn)行封閉式管理，嚴(yán)肅物料入出倉(cāng)庫(kù)的工作紀(jì)律。

? 物料入庫(kù)管理

①材料的入庫(kù)分為：外購(gòu)材料（包括外購(gòu)原材料、外購(gòu)五金件、外購(gòu)附件及包裝材料等）的入庫(kù)、外協(xié)加工產(chǎn)品的入庫(kù)、半成品的入庫(kù)、產(chǎn)成品入庫(kù)及工裝模具入庫(kù)等。

②外購(gòu)材料入庫(kù)時(shí)需對(duì)照送貨單數(shù)量進(jìn)行驗(yàn)收并填寫來(lái)料檢驗(yàn)單至質(zhì)量管理人員，質(zhì)量管理人員檢驗(yàn)合格后簽字。如合格，倉(cāng)庫(kù)管理員則匯同《采

購(gòu)申購(gòu)單》（包括物料采購(gòu)計(jì)劃）、《送貨單》、《來(lái)料檢驗(yàn)單》填寫《入庫(kù)單》，由采購(gòu)人員簽字后辦理入庫(kù)手續(xù)。如不合格，則拒收，并及時(shí)溝通采購(gòu)人員 辦理退貨手續(xù)，如屬于產(chǎn)品外觀、尺寸等有可能不影響材料使用性能的，由 采購(gòu)人員會(huì)同生產(chǎn)、技術(shù)、質(zhì)量負(fù)責(zé)人進(jìn)行評(píng)審，評(píng)審合格讓步接收，評(píng)審 不合格，則辦理退貨手續(xù)。具體工作流程按《物料收料管理規(guī)定》執(zhí)行。

③公司內(nèi)部生產(chǎn)半成品、成品入庫(kù)則由該車間最后一道工序生產(chǎn)員工（或該部門指定領(lǐng)料或入庫(kù)人員）填寫《半成品入庫(kù)單》、《成品入庫(kù)單》，并由質(zhì)量管理人員簽字確認(rèn)其質(zhì)量，車間主管簽字后至相應(yīng)倉(cāng)庫(kù)辦理入庫(kù)手續(xù)。

④外加工產(chǎn)品入庫(kù)入庫(kù)時(shí)需對(duì)照《送貨單》數(shù)量進(jìn)行驗(yàn)收并填寫《來(lái)料檢驗(yàn)單》至質(zhì)量管理人員，質(zhì)量管理人員檢驗(yàn)合格（全檢或抽檢）后簽字。如合格，倉(cāng)庫(kù)管理員則會(huì)同送貨單及來(lái)料檢驗(yàn)單填寫入庫(kù)單、外協(xié)加工主管人員簽字辦理入庫(kù)手續(xù)，如不合格，則直接退回供應(yīng)商。

⑤物料辦理入庫(kù)手續(xù)后，倉(cāng)管人員需及時(shí)將物料協(xié)調(diào)至相應(yīng)貨位，如需生產(chǎn)人員協(xié)助，可以和相應(yīng)部門主管協(xié)調(diào)，并作好物料標(biāo)識(shí)。

⑥相關(guān)倉(cāng)庫(kù)人員及時(shí)按照入庫(kù)單內(nèi)容匯總至手工帳本、電腦臺(tái)帳，要求數(shù)據(jù)必須準(zhǔn)確。

? 物料領(lǐng)用管理

① 物料的領(lǐng)用必須先由領(lǐng)用人先填寫《物料領(lǐng)用單》，由部門主管簽字后到倉(cāng)庫(kù)進(jìn)行領(lǐng)料，正常生產(chǎn)物料的領(lǐng)料數(shù)量需要在該訂單物料需求計(jì)劃數(shù)量范圍內(nèi)，不允許超領(lǐng)，超領(lǐng)物料需注明原因（如質(zhì)量或者材料質(zhì)量問(wèn)題等等），由生產(chǎn)經(jīng)理簽字后方可到倉(cāng)庫(kù)辦理出庫(kù)手續(xù)。在條件成熟后零配件倉(cāng)、包裝材料倉(cāng)可推行備料制作業(yè)方式。

② 生產(chǎn)輔助用料（如工裝模具、低值易耗品、各類附件等）的領(lǐng)用由 各 部門主管仔細(xì)審核簽字后到倉(cāng)庫(kù)辦理出庫(kù)手續(xù)。

③ 半成品需要發(fā)外協(xié)加工的，要按照半成品入庫(kù)手續(xù)辦理，產(chǎn)品直接 發(fā) 外加工單位的，可由交接人員當(dāng)場(chǎng)進(jìn)行，交接結(jié)束辦理入庫(kù)出庫(kù)手 續(xù)。

④ 產(chǎn)成品的領(lǐng)用則由銷售部相關(guān)人員填寫出庫(kù)單，由主管領(lǐng)導(dǎo)簽字后至倉(cāng)庫(kù)辦理出庫(kù)手續(xù)。具體工作流程按《成品收發(fā)料管理規(guī)定》執(zhí)行。

⑤ 倉(cāng)管人員對(duì)出庫(kù)物資應(yīng)實(shí)行 先進(jìn)先出的原則。

⑥ 倉(cāng)管員核實(shí)出庫(kù)單的物料名稱、型號(hào)規(guī)格、領(lǐng)用數(shù)量、生產(chǎn)批次號(hào)后進(jìn)行發(fā)放，并及時(shí)登記好物料管制卡。

⑦ 倉(cāng)庫(kù)管理人員及時(shí)按照出庫(kù)單內(nèi)容及時(shí)登記至手工帳本、電腦臺(tái)帳，要求數(shù)據(jù)必須準(zhǔn)確。5、庫(kù)存物料盤點(diǎn)

根據(jù)本公司物料的特性和生產(chǎn)管理的實(shí)際情況，建議公司對(duì)庫(kù)存物料建立實(shí)行 賬（ERP 系統(tǒng)賬）、賬（手工臺(tái)賬）、卡（物料卡）、物（在庫(kù)實(shí)物）、票（物料標(biāo)示票）管理制度，實(shí)施 循環(huán)盤點(diǎn)、定期盤點(diǎn)、年終大盤點(diǎn)盤點(diǎn)管理方式，以此來(lái)確保倉(cāng)庫(kù)庫(kù)存準(zhǔn)確率。

? 盤點(diǎn)方式簡(jiǎn)介

循環(huán)盤點(diǎn)：

定義：每天按照總帳上物料進(jìn)行一定數(shù)量不同物料進(jìn)行的清點(diǎn)核對(duì)，可根據(jù)實(shí)際情況確定要盤點(diǎn)的物料。

循環(huán)盤點(diǎn)實(shí)施：

① 確定要盤點(diǎn)的物料種類； ② 可在收發(fā)料完畢后進(jìn)行盤點(diǎn)； ③ 將盤點(diǎn)結(jié)果進(jìn)行記錄（循環(huán)盤點(diǎn)表），上報(bào)主管與物控或財(cái)務(wù)部門；

④ 對(duì)盤點(diǎn)結(jié)果進(jìn)行差異分析，制訂改善措施并落實(shí)責(zé)任人； ⑤ 對(duì)賬目按規(guī)定的程序進(jìn)行調(diào)整。

定期盤點(diǎn)

定義：每月或每季對(duì)倉(cāng)儲(chǔ)物料進(jìn)行的抽盤定期盤點(diǎn)實(shí)施：

① 根據(jù)上月盤存情況、本月實(shí)際生產(chǎn)、倉(cāng)儲(chǔ)情況確定要盤點(diǎn)的物料種類； ② 在財(cái)務(wù)規(guī)定的帳務(wù)截止前 2 天利用晚上時(shí)間進(jìn)行盤存； ③ 第一個(gè)晚上進(jìn)行自盤，第二個(gè)晚上進(jìn)行復(fù)盤； ④ 對(duì)盤點(diǎn)結(jié)果進(jìn)行差異分析，制訂改善措施并落實(shí)責(zé)任人； ⑤ 對(duì)帳目按規(guī)定的程序進(jìn)行調(diào)整； 年終盤點(diǎn)

定義：在每年年末對(duì)全公司所有的物料、設(shè)備、工裝或在規(guī)定價(jià)值以上的物品進(jìn)行的全面、系統(tǒng)的、徹底的盤點(diǎn)，以反映整個(gè)公司的有形資產(chǎn)情況。

盤點(diǎn)實(shí)施：

① 組建盤點(diǎn)領(lǐng)導(dǎo)小組，下設(shè)直接生產(chǎn)用料、設(shè)備工裝其他輔料盤點(diǎn)小組，各小組設(shè)組長(zhǎng)一名，確定初盤人、復(fù)盤人、票據(jù)管理員； ② 由盤點(diǎn)領(lǐng)導(dǎo)小組指定專人制訂盤點(diǎn)方案； ③ 召開(kāi)盤點(diǎn)會(huì)議，對(duì)盤點(diǎn)事項(xiàng)進(jìn)行說(shuō)明； ④ 制訂專人進(jìn)行盤點(diǎn)事項(xiàng)培訓(xùn)（點(diǎn)數(shù)方法、票據(jù)填寫、異常處理等）。

? 庫(kù)存物料盤存

統(tǒng)一對(duì)倉(cāng)庫(kù)所有貨物進(jìn)行全部盤存，在盤存的同時(shí)建立物料標(biāo)識(shí)、確立 庫(kù)位。盤點(diǎn)實(shí)物時(shí)確定實(shí)物數(shù)量、品名、庫(kù)位、盤點(diǎn)人員姓名、盤點(diǎn)日期等，并將實(shí)物存放在指定的庫(kù)存位上，將所有盤點(diǎn)數(shù)據(jù)準(zhǔn)確無(wú)誤的輸入至電腦系 統(tǒng)內(nèi)。

盤點(diǎn)工作完成后，進(jìn)行收發(fā)貨物時(shí)，首先從電腦 ERP 系統(tǒng)中查找相對(duì)應(yīng)的貨物品名、庫(kù)位和庫(kù)存，而后去對(duì)應(yīng)的倉(cāng)庫(kù)，找到相對(duì)應(yīng)實(shí)物的庫(kù)位，按照標(biāo)識(shí)找到相對(duì)的貨物核對(duì)品名后，按照相關(guān)單據(jù)進(jìn)行收發(fā)貨，收發(fā)貨出庫(kù)完畢后，將單據(jù)交相關(guān)人員作賬，電腦賬務(wù)員當(dāng)天必須完成相關(guān)單據(jù)的電腦進(jìn)出庫(kù)操作，確保賬、物一致。

建立循環(huán)盤點(diǎn)流程，確保每天對(duì)收發(fā)貨頻率大以及貴重物品的實(shí)時(shí)盤點(diǎn)，核對(duì)系統(tǒng)帳務(wù)、手工賬、實(shí)物的一致性。每個(gè)月或者每個(gè)季度對(duì)倉(cāng)庫(kù)所有貨 物進(jìn)行一次實(shí)物盤點(diǎn)，確保庫(kù)存的準(zhǔn)確性。每年年終或者年初對(duì)倉(cāng)庫(kù)所有貨 物進(jìn)行一次大盤點(diǎn)，并將實(shí)物盤點(diǎn)數(shù)據(jù)與手工賬、ERP 系統(tǒng)賬進(jìn)行核對(duì)調(diào)整，并出具年終盤點(diǎn)報(bào)表和盤盈盤虧情況分析，確保賬、賬、卡、物的一致。6、對(duì)呆廢料進(jìn)行處理

由于倉(cāng)庫(kù)長(zhǎng)時(shí)期的無(wú)序管理和各相關(guān)部門的工作失誤，各倉(cāng)庫(kù)都有不同程度的呆廢物料，尤其是 包裝材料倉(cāng)的紙箱、彩盒類物料； 要想提升倉(cāng)庫(kù)管

理效率，必須對(duì)在庫(kù)呆廢物料進(jìn)行處理。

? 對(duì)呆廢物料的認(rèn)識(shí)

什么是呆廢料？

所謂呆料即物料存量過(guò)多，耗用量極少，而庫(kù)存周轉(zhuǎn)率極低的物料，這種物料可能偶爾耗用少許，甚至根本就不要?jiǎng)佑谩?/p>

所謂廢料是指報(bào)廢的物料，即經(jīng)過(guò)相當(dāng)使用，本身已殘破不堪或磨損過(guò)甚或已超過(guò)壽命年限，以致失去原有功能而本身并無(wú)利用價(jià)值的物料。

呆廢料處理的目的：

① 物盡其用； ② 減少資金積壓； ③ 節(jié)省人力及費(fèi)用； ④ 節(jié)約倉(cāng)儲(chǔ)空間； 呆料發(fā)生的原因：

① 營(yíng)業(yè)部門 a 市場(chǎng)預(yù)測(cè)欠佳，造成銷售計(jì)劃不準(zhǔn)確，進(jìn)而導(dǎo)致生產(chǎn)計(jì)劃也隨之變更。

b 顧客訂貨不確定，訂單頻繁變更。

c 顧客變更產(chǎn)品型號(hào)規(guī)格，銷售部門傳遞失真訂貨信息。

② 計(jì)劃與生產(chǎn)部門 a 產(chǎn)銷銜接不良，引起生產(chǎn)計(jì)劃頻繁變更，生產(chǎn)計(jì)劃錯(cuò)誤，造成備料錯(cuò)誤。

b 生產(chǎn)線的管理活動(dòng)不良，對(duì)生產(chǎn)線物料的發(fā)放或領(lǐng)取以及退料管理不良，從而造成生產(chǎn)線呆料的發(fā)生。

③ 物料控制與倉(cāng)庫(kù)部門 a 材料計(jì)劃不當(dāng)，造成呆料的發(fā)生。b 庫(kù)存管理不良，存量控制不當(dāng)，呆料也容易產(chǎn)生。

c 帳物不符，也是產(chǎn)生呆料的原因之一。

d 因倉(cāng)儲(chǔ)設(shè)備不理想或人為疏忽而發(fā)生的災(zāi)害而損及物料。

④ 采購(gòu)部門 a 物料管理部門請(qǐng)購(gòu)不當(dāng)，從而造成采購(gòu)不當(dāng)。

b 下單錯(cuò)誤。

c 對(duì)供應(yīng)商輔導(dǎo)不足，產(chǎn)生供應(yīng)商品質(zhì)、交期、數(shù)量、規(guī)格等不易予以配合而導(dǎo)致發(fā)生呆料的現(xiàn)象。

⑤ 品質(zhì)管理部門 a 進(jìn)料檢驗(yàn)疏忽。

b 采取抽樣檢驗(yàn)，允收的合格品當(dāng)中仍留有不良品。

c 檢驗(yàn)儀器不夠精良。

如何預(yù)防過(guò)多出現(xiàn)呆料？

① 業(yè)務(wù)/ / 銷售部門

a

銷售人員接受的訂貨內(nèi)容應(yīng)確實(shí)把握，并把正確而完整的訂貨內(nèi)容傳送到計(jì)劃部門。

b 加強(qiáng)預(yù)測(cè)，盡量利用定單制定銷售計(jì)劃，避免銷售計(jì)劃頻繁變更，使用購(gòu)進(jìn)的材料失去利用價(jià)值而變成倉(cāng)庫(kù)中的呆料。

c 顧客的訂貨應(yīng)確實(shí)把握，尤其是特殊訂貨應(yīng)設(shè)法降低顧客變更的機(jī)會(huì)，否則已經(jīng)準(zhǔn)備的材料尤其是特殊型號(hào)和規(guī)格的材料非常容易造成呆料。

② 設(shè)計(jì)部門

a 設(shè)計(jì)完成后先經(jīng)批量試驗(yàn)后才可以大批訂購(gòu)材料。b 加強(qiáng)設(shè)計(jì)管理，避免因設(shè)計(jì)錯(cuò)誤而產(chǎn)生大量呆料。c 設(shè)計(jì)時(shí)要盡量使用標(biāo)準(zhǔn)化的材料。

③ 計(jì)劃與生產(chǎn)部門

a 在新舊產(chǎn)品的更替時(shí)期要周密安排，以防止舊材料變成呆料。

b 加強(qiáng)與業(yè)務(wù)部門的溝通，增加生產(chǎn)計(jì)劃的穩(wěn)定性，對(duì)緊急訂單妥善處理；若生產(chǎn)計(jì)劃錯(cuò)誤而造成備料錯(cuò)誤，一般會(huì)產(chǎn)生呆料。

c 生產(chǎn)線加強(qiáng)管理，發(fā)料、退料的管理。

④ 貨倉(cāng)與物控部門

a 物控部門對(duì)存量加以控制，勿使用存量過(guò)多。

b 強(qiáng)化倉(cāng)儲(chǔ)管理，加強(qiáng)賬物的一致性。

c 減少物料的過(guò)多采購(gòu)。

⑤ 質(zhì)量驗(yàn)收管理部門

a 物料驗(yàn)收時(shí)，進(jìn)料嚴(yán)格檢驗(yàn)。

b 加強(qiáng)檢驗(yàn)儀器的精確化，并同供應(yīng)商協(xié)商確定檢查的標(biāo)準(zhǔn)及方法。

? 對(duì)在庫(kù)呆廢物料進(jìn)行處理

針對(duì)當(dāng)前大量的庫(kù)存呆廢物料，各倉(cāng)庫(kù)在庫(kù)存物料整理過(guò)程中，將在 庫(kù)呆滯物料整理歸類，形成報(bào)表上報(bào)公司，由公司組織工程、品質(zhì)、采購(gòu)、財(cái)務(wù)、倉(cāng)庫(kù)等部門會(huì)審，將可利用物料重新入庫(kù)，不良品、停用呆滯物料 折價(jià)退回供應(yīng)商或以報(bào)廢變賣處理。

制定《呆廢物料管理規(guī)定》，對(duì)呆廢物料形成長(zhǎng)期有效的管理機(jī)制。7、逐步建立和完善倉(cāng)儲(chǔ)管理體系

? 庫(kù)存管理存在問(wèn)題的原因

分析庫(kù)存表現(xiàn)的缺陷，其產(chǎn)生的原因雖是多方面的，涉及到庫(kù)存制度，庫(kù)存系統(tǒng)的科學(xué)性，企業(yè)的經(jīng)營(yíng)模式，管理的效能與執(zhí)行的力度等等。但以下幾方面的問(wèn)題對(duì)其影響是最嚴(yán)重的：

① 沒(méi)有一個(gè)科學(xué)的管理系統(tǒng)。一旦一個(gè)企業(yè)沒(méi)有建立一套專門的適合自己情況的庫(kù)存系統(tǒng)，沒(méi)有對(duì)庫(kù)存物品進(jìn)行科學(xué)詳盡的分類，庫(kù)存控制策略往往會(huì)流于簡(jiǎn)單化，大同化。公司目前就是缺乏這樣一套完整的系統(tǒng)，沒(méi)有對(duì)庫(kù)存物品的類型進(jìn)行科學(xué)的分類，對(duì)各種庫(kù)存物品只是作籠統(tǒng)的同樣的處理，而且缺乏一套完整的機(jī)制來(lái)保證能夠快速的取拿所需物品。雖然目前公司所用到的物品種類還不是非常多，但是存放位置沒(méi)有一個(gè)明確的通用的規(guī)范，倉(cāng)管很難在短時(shí)間內(nèi)取到所需的物品，另外，如果一旦公司換人了，新進(jìn)員工熟悉這一過(guò)程也是需要一個(gè)較長(zhǎng)的過(guò)程。同時(shí)缺乏一套完整的缺貨報(bào)警機(jī)制，控制前的信息搜集工作也沒(méi)有做到位，不能維持生產(chǎn)的穩(wěn)定。

② 庫(kù)存管理信息不流通。在供應(yīng)的整個(gè)系統(tǒng)中，各個(gè)環(huán)節(jié)之間的需求預(yù)測(cè)、庫(kù)存狀況、生產(chǎn)計(jì)劃等都是庫(kù)存管理的重要數(shù)據(jù)。這些數(shù)據(jù)分布在不同 的相關(guān)環(huán)節(jié)之間，要做到快速有效的保證生產(chǎn)，必須使其實(shí)時(shí)傳遞。在外部 環(huán)節(jié)，不少供應(yīng)商是不固定的，沒(méi)有掌握他們的生產(chǎn)能力、供貨能力以及交 貨的準(zhǔn)時(shí)性等。這樣一來(lái)在庫(kù)存環(huán)節(jié)往往得不到及時(shí)準(zhǔn)確地信息。而我公司 在內(nèi)部各個(gè)環(huán)節(jié)間聯(lián)系不夠緊密，缺乏信息的流通，每個(gè)部門只關(guān)心前后環(huán) 節(jié)的物流等的狀況，沒(méi)有一個(gè)整體的概念。這就影響庫(kù)存策略制定的精確性，造成庫(kù)存成本的上升。

③ 不確定因素對(duì)庫(kù)存的影響。系統(tǒng)運(yùn)行不穩(wěn)定是組織內(nèi)部缺乏有效的控制機(jī)制所致，控制失效是組織管理不穩(wěn)定和不確定的根源。要消除運(yùn)行中的不確定性需要增加組織的控制，提高系統(tǒng)可靠性。只有系統(tǒng)是可控的，不確定因素對(duì)庫(kù)存的影響才能降到最低。我公司對(duì)不少合作的企業(yè)或者供應(yīng)商的供貨能力，交貨的及時(shí)性還不是很了解。對(duì)市場(chǎng)的預(yù)估也還缺乏科學(xué)性與準(zhǔn)確性。其實(shí)這也是信息處理不當(dāng)?shù)慕Y(jié)果。

? 建立和完善倉(cāng)儲(chǔ)管理體系

建立和完善倉(cāng)庫(kù)流程；制定倉(cāng)庫(kù)作業(yè)標(biāo)準(zhǔn)，形成作業(yè)指導(dǎo)書(shū)，經(jīng)公司主管部門評(píng)審，管理者代表審核后，嚴(yán)格要求倉(cāng)庫(kù)員按照標(biāo)準(zhǔn)作業(yè)。建立責(zé)任人制度提高倉(cāng)管員責(zé)任心；按照分倉(cāng)類別及工作強(qiáng)度，員工自身能力，對(duì)物料的熟悉程度，將倉(cāng)庫(kù)物料責(zé)任到人，同類物料專人管理，主管監(jiān)控；與采購(gòu)、品質(zhì)協(xié)調(diào)并形成文件，對(duì)供應(yīng)商不良品進(jìn)行嚴(yán)格控制，保證不良品能得以及時(shí)退貨并補(bǔ)回良品；逐步提升倉(cāng)庫(kù)工作效率和收發(fā)貨及庫(kù)存準(zhǔn)確率 8 8、建立培訓(xùn)機(jī)制

以倉(cāng)庫(kù)流程和作業(yè)指導(dǎo)書(shū)為基礎(chǔ)，每周對(duì)倉(cāng)庫(kù)人員進(jìn)行專業(yè)知識(shí)培訓(xùn)； 從收貨、入庫(kù)、領(lǐng)發(fā)料、生產(chǎn)退補(bǔ)料、供應(yīng)商退補(bǔ)貨、成品出庫(kù)、呆廢料處理到賬務(wù)處理、盤點(diǎn)執(zhí)行進(jìn)行全方位系統(tǒng)培訓(xùn)，以提高員工自身專業(yè)水平； 適應(yīng)公司的高速發(fā)展需求。

五、工作計(jì)劃：1、計(jì)劃目標(biāo)：通過(guò)對(duì)儲(chǔ)現(xiàn)有資源進(jìn)行有效的整合，逐步形成規(guī)范化、標(biāo)準(zhǔn)化、程序化、系統(tǒng)化的現(xiàn)代倉(cāng)儲(chǔ)管理模式，以建立現(xiàn)代倉(cāng)儲(chǔ)管理體系為最終目標(biāo)，達(dá)到倉(cāng)存物料賬、物、卡一致。2、計(jì)劃周期：2012 年 05 月 12 日—2012 年 08 月 31 日 3 3、計(jì)劃內(nèi)容：

序號(hào)

內(nèi)

容

完成日期1

倉(cāng)庫(kù)部門職能、職責(zé)界定，部門崗位職能、職責(zé)界定

05.12—05.31 2 2

庫(kù)區(qū)規(guī)劃，倉(cāng)庫(kù)內(nèi)各區(qū)域布局規(guī)劃 05.12—05.31 3 3

倉(cāng)儲(chǔ)管理體系及各項(xiàng)管理制度的建立與修訂 05.12—05.31

4

倉(cāng)儲(chǔ)管理體系及各項(xiàng)管理制度的貫徹執(zhí)行、修訂、監(jiān)督及培訓(xùn) 長(zhǎng)效性 5 5

半成品倉(cāng)、零配件倉(cāng)、成品倉(cāng)搬移 06.01—07.31

6

原材料倉(cāng)、化學(xué)品倉(cāng)、消耗品倉(cāng)、零配件倉(cāng)、包裝材料倉(cāng)、半成品倉(cāng)、成品倉(cāng)整理、標(biāo)識(shí)、及倉(cāng)管員自我盤點(diǎn)

06.01—08.31 7 7

協(xié)調(diào)建立產(chǎn)品 BOM 表和檢討物料代碼編碼規(guī)則 長(zhǎng)效性 8 8

庫(kù)存物料大盤點(diǎn) 08.01—08.31 9 9

ERP 系統(tǒng)賬目調(diào)整 08.31 10

各項(xiàng)制度的再次修訂與完善，列入常態(tài)化運(yùn)行 08.01—08.31

倉(cāng)庫(kù)人員倉(cāng)儲(chǔ)管理知識(shí)、管理技能、工作態(tài)度、消防知識(shí)培訓(xùn) 長(zhǎng)效性

其它與倉(cāng)庫(kù)相關(guān)工作的整改 長(zhǎng)效性

4、工作計(jì)劃展開(kāi)

本工作計(jì)劃與安排分為三個(gè)階段進(jìn)行，從 2012 年 05 月 12 日至 2012 年 08 月 31 日共約 4 個(gè)月。

第一階段：倉(cāng)儲(chǔ)體系資源整合規(guī)劃階段（2012.05.12 日—2012.05.31 日）

（1 1）工作目的：通過(guò)對(duì)現(xiàn)行運(yùn)作體系的調(diào)研、分析，明確倉(cāng)儲(chǔ)體系資源整合工內(nèi)容。

（2 2）工作內(nèi)容：

a 制定倉(cāng)庫(kù)部門職能、職責(zé)，部門各崗位職能、職責(zé)； b 對(duì)倉(cāng)儲(chǔ)部門工作流程、工作程序、支持表單及運(yùn)行狀況進(jìn)行調(diào)研、分析，明確現(xiàn)行倉(cāng)儲(chǔ)營(yíng)運(yùn)體系的優(yōu)勢(shì)和缺失，收集、整理所需基礎(chǔ)資料，向公司經(jīng)營(yíng)層提出《倉(cāng)庫(kù)整改計(jì)劃和步驟》方案； c 編制、檢討、修訂倉(cāng)庫(kù)相關(guān)管理規(guī)定。

（3 3）工作方式：采用調(diào)查，與本部門人員、相關(guān)部門主管溝通、討論，收集和整理所需的基礎(chǔ)資料的方法。

（4 4）工作成果：

形成《倉(cāng)庫(kù)整改計(jì)劃和步驟》方案形成《倉(cāng)庫(kù)門禁管理制度》討論稿形成《物料收料管理規(guī)定》討論稿形成《物料發(fā)料管理規(guī)定》討論稿 形成《退、換、補(bǔ)料管理規(guī)定》討論稿形成《半成品出入庫(kù)管理規(guī)定》討論稿形成《成品出入庫(kù)管理規(guī)定》討論稿 形成《倉(cāng)庫(kù)單據(jù)填寫及帳務(wù)管理規(guī)定》討論稿 第二階段：倉(cāng)存物料整理、整頓階段（2012.06.01 日—2012.07.31 日）

（1 1）工作目的：通過(guò)對(duì)倉(cāng)庫(kù)進(jìn)行分類、分區(qū)，對(duì)倉(cāng)存物料進(jìn)行整理、分類、標(biāo)識(shí)、盤存，達(dá)到倉(cāng)區(qū)規(guī)劃有序，倉(cāng)存物料物品擺放整齊，名稱、規(guī)格型號(hào)清晰，數(shù)量準(zhǔn)確的目的。

（2 2）工作內(nèi)容：

a 現(xiàn)場(chǎng)規(guī)劃：根據(jù)倉(cāng)庫(kù)的空間大小，進(jìn)行倉(cāng)庫(kù)規(guī)劃，將倉(cāng)庫(kù)分區(qū)；充分利用空間； b 倉(cāng)庫(kù)物品資料收集：要求倉(cāng)庫(kù)人員與采購(gòu)人員互相配合，對(duì)倉(cāng)庫(kù)的到貨檢驗(yàn)、入庫(kù)、出庫(kù)、調(diào)撥、移庫(kù)移位、庫(kù)存盤點(diǎn)等各個(gè)作業(yè)環(huán)節(jié)的數(shù)據(jù)進(jìn)行數(shù)據(jù)采集，整理出倉(cāng)庫(kù)物品名稱、規(guī)格型號(hào)、數(shù)量、顏色等。

C 倉(cāng)庫(kù)物料搬遷與分散物料收集：根據(jù)倉(cāng)庫(kù)分類，將現(xiàn)有倉(cāng)存物料搬遷到指?jìng)}庫(kù)，將分散在車間、通道等處的物料全部收歸相應(yīng)倉(cāng)庫(kù)。

d 倉(cāng)庫(kù)物料整理、整頓：將收歸倉(cāng)庫(kù)的物料進(jìn)行整理、歸類，制訂出相應(yīng)的編號(hào)、品名、帳頁(yè)號(hào)、標(biāo)識(shí)卡，將常用的物品放在倉(cāng)庫(kù)，隨時(shí)能取的地方，保證倉(cāng)庫(kù)管理各個(gè)作業(yè)環(huán)節(jié)數(shù)據(jù)輸入的效率和準(zhǔn)確性，確保企業(yè)及時(shí)準(zhǔn)確地掌握庫(kù)存的真實(shí)數(shù)據(jù)，合理保持和控制企業(yè)庫(kù)存。

e 制定倉(cāng)庫(kù)九月份大盤點(diǎn)計(jì)劃。

（3 3）工作方式：本部門人員主導(dǎo)、各相關(guān)部門協(xié)助。

（4 4）工作成果：完成庫(kù)區(qū)內(nèi)區(qū)域規(guī)劃、通道劃線。

完成各倉(cāng)庫(kù)的搬遷工作。

完成各倉(cāng)庫(kù)庫(kù)存物料的整理、標(biāo)示工作。

完成各倉(cāng)庫(kù)庫(kù)存物料的手工賬冊(cè)的建立、完善工作形成《消耗品管理規(guī)定》討論稿 形成《化學(xué)品倉(cāng)庫(kù)管理規(guī)定》討論稿 形成《物料搬運(yùn)、貯存管理規(guī)定》討論稿形成《倉(cāng)庫(kù)盤點(diǎn)管理規(guī)定》討論稿 形成《超儲(chǔ)、呆滯物料管理規(guī)定》討論稿形成《 倉(cāng)庫(kù)績(jī)效考核體系》討論稿 第三階段：倉(cāng)儲(chǔ)管理體系固化階段（2012.08.01 日—2012.08.31 日）

（1 1）工作目的：通過(guò)對(duì)倉(cāng)庫(kù)前期整改工作的檢討與總結(jié)，進(jìn)一步修訂和完善倉(cāng)儲(chǔ)管理運(yùn)行體系各相關(guān)管理規(guī)定，行成適合新達(dá)企業(yè)管理運(yùn)作的高效倉(cāng)儲(chǔ)管理體系并固化執(zhí)行。

（2 2）工作內(nèi)容：

a 完善部門組織架構(gòu)圖/人員編制圖； b 修訂和完善倉(cāng)儲(chǔ)管理運(yùn)行體系各相關(guān)管理規(guī)定,制訂作業(yè)流程圖； c 建立各倉(cāng)庫(kù)平面圖和各倉(cāng)庫(kù)安全疏散圖； d 導(dǎo)入備料制管理模式； e 組織進(jìn)行全廠物料大盤點(diǎn),調(diào)整 ERP 系統(tǒng)賬目； f 其它未盡事宜的改善。

（3 3）工作方式：本部門人員主導(dǎo)、各相關(guān)部門協(xié)助。

（4 4）工作成果：完成部門組織架構(gòu)圖/人員編制 形成《倉(cāng)庫(kù)部門職能和部門崗位責(zé)任書(shū)》形成倉(cāng)儲(chǔ)管理運(yùn)行體系各相關(guān)管理規(guī)定 完成倉(cāng)庫(kù)平面圖和各倉(cāng)庫(kù)安全疏散圖的繪制和張貼 完成物料大盤點(diǎn),調(diào)整 ERP 系統(tǒng)賬目，達(dá)到賬、物、卡一致形成標(biāo)準(zhǔn)化、規(guī)范化、系統(tǒng)化的倉(cāng)儲(chǔ)管理運(yùn)行體系 六、整改資源需求

1、希公司高層領(lǐng)導(dǎo)能加強(qiáng)對(duì)倉(cāng)庫(kù)整改工作的重視和給予大力支持； 2、希行政部門能在整改期間滿足倉(cāng)庫(kù)合理的勞動(dòng)力需求； 3、技術(shù)部完善產(chǎn)品 BOM 表和物料清單的制作，為生產(chǎn)計(jì)劃編制、物料采購(gòu)、倉(cāng)庫(kù)物料配料、發(fā)料、領(lǐng)料提供作業(yè)依據(jù)； 4、采購(gòu)部門完善物料采購(gòu)計(jì)劃，嚴(yán)格要求供應(yīng)商按我司包裝要求做整改，倉(cāng)

庫(kù)收貨時(shí)加強(qiáng)控制； 5、生產(chǎn)部門完善月生產(chǎn)計(jì)劃和周生產(chǎn)排期，作業(yè)時(shí)嚴(yán)格遵守物料出入庫(kù)相關(guān)管理規(guī)定，作好與生產(chǎn)有關(guān)的出入庫(kù)物料標(biāo)識(shí)； 6、品管部門加強(qiáng)對(duì)采購(gòu)物料和生產(chǎn)線產(chǎn)品物料品質(zhì)的控制，建立來(lái)料檢驗(yàn)制度，對(duì)所有物料入庫(kù)前進(jìn)行檢驗(yàn)，保證入庫(kù)產(chǎn)品的品質(zhì)；對(duì)倉(cāng)存物料合格性進(jìn)行重新判定，協(xié)助倉(cāng)庫(kù)完成倉(cāng)存物料整理工作； 7、根據(jù)需要購(gòu)買部分貨架增加倉(cāng)庫(kù)使用面積，提高面積利用率； 8、請(qǐng)相關(guān)人員與開(kāi)天 ERP 系統(tǒng)公司取得聯(lián)系，共同探討 ERP 系統(tǒng)運(yùn)用整改、完善方案。

贈(zèng)送以下方案

XX 有限公司

xx 年新春團(tuán)拜晚會(huì) ”

xx 年年會(huì)活動(dòng)策劃方案

一、年會(huì)籌備小組

總策劃：xx 總執(zhí)行：xx 成 員：xx 科技所有部門成員

二、年會(huì)內(nèi)容

◆活動(dòng)名稱：xx 公司 2015 年新春團(tuán)拜晚會(huì)

◆活動(dòng)基調(diào)：喜慶、歡快、盛大、隆重

◆活動(dòng)主題：

以客戶為中心，以?shī)^斗者為本

◆活動(dòng)目的：對(duì) 2014 年公司的工作成績(jī)進(jìn)行總結(jié)，展望公司 2015 年的發(fā)展愿景；同時(shí)豐富員工企業(yè)文化生活，激發(fā)員工熱情，增強(qiáng)員工的內(nèi)部凝聚力，增進(jìn)員工之間的溝通、交流和團(tuán)隊(duì)協(xié)作意識(shí)。

◆活動(dòng)日期：2015 年 2 月 10 日 16：00-20：00

◆活動(dòng)地點(diǎn)：XXXX 酒店

◆參會(huì)人數(shù)：xx 科技 112 人、廠商 30 人，共計(jì) 313 人。

◆參會(huì)人員：xx 員工、特邀嘉賓

◆活動(dòng)內(nèi)容：總經(jīng)理致辭、文藝匯演、晚宴（詳細(xì)流程安排見(jiàn)附表一）

三、工作分工（詳細(xì)分工明細(xì)見(jiàn)附表二）

（一）文案組（負(fù)責(zé)人：xx）成員 5 名。

◆負(fù)責(zé)主持人形象設(shè)計(jì)，串詞、祝酒詞起草、審核；

◆總經(jīng)理講話稿起草、審核；（二）會(huì)場(chǎng)布置組（負(fù)責(zé)人：xx）成員 5 名。

◆負(fù)責(zé)設(shè)計(jì)、聯(lián)系制作年會(huì)舞臺(tái)背景墻、橫幅、簽名板及各種材料的打印和制作； ◆負(fù)責(zé)鮮花或花籃的采購(gòu)/租賃；

◆現(xiàn)場(chǎng)攝影、DV 攝像、照相；

◆開(kāi)場(chǎng) PPT 制作，年會(huì)期間除節(jié)目音樂(lè)外所有音樂(lè)搜集。

◆負(fù)責(zé)與酒店工作人員配合調(diào)試功放、燈光、音響、話筒、投影、電腦，并播放年會(huì)現(xiàn)場(chǎng)所有節(jié)目伴奏帶及頒獎(jiǎng)音樂(lè)和進(jìn)場(chǎng) PPT 等； ◆會(huì)場(chǎng)安全檢查（消防、電源、設(shè)備等）。

（三）節(jié)目組（負(fù)責(zé)人：xx）成員 5 名。、節(jié)目類型：唱歌、舞蹈、小品、話劇（歌舞劇）、魔術(shù)、樂(lè)器演奏、戲曲、相聲、時(shí)裝秀等。、選取節(jié)目規(guī)則：以抽簽的形式，每個(gè)部門可抽取 2 個(gè)節(jié)目簽，從中選取一個(gè)類型節(jié)目表 演。、節(jié)目質(zhì)量標(biāo)準(zhǔn)：若彩排時(shí)達(dá)不到質(zhì)量要求，須重新編排直到達(dá)到要求為止。、節(jié)目彩排時(shí)間：1 月日 日— —2 月日每日選抽兩個(gè)部門彩排。

文藝匯演節(jié)目?jī)?nèi)容的要求是“ 以客戶為中心，以?shī)^斗者為本 ”。節(jié)目組負(fù)責(zé)人具體工作如下：

◆負(fù)責(zé)完成對(duì)所有節(jié)目的排練、設(shè)計(jì)、篩選及后期的彩排工作；

◆負(fù)責(zé)節(jié)目的編排及演出的順序和流程銜接；

◆負(fù)責(zé)聯(lián)系租用或購(gòu)買節(jié)目所需的服裝道具和主持人、演職人員的化妝等；

◆負(fù)責(zé)小游戲的提供、抽獎(jiǎng)獎(jiǎng)項(xiàng)設(shè)置等；

◆負(fù)責(zé)安排文藝節(jié)目評(píng)委及獎(jiǎng)項(xiàng)設(shè)置；

◆負(fù)責(zé)確定頒獎(jiǎng)人員。

（四）迎賓組/禮儀組（負(fù)責(zé)人：陳珍英）成員 5-6 名。

◆年會(huì)進(jìn)場(chǎng)入口處迎接嘉賓，并引領(lǐng)入座；

◆負(fù)責(zé)嘉賓、參會(huì)人員的簽，并發(fā)放年會(huì)禮品（做好登記）；

◆負(fù)責(zé)配合抽獎(jiǎng)獎(jiǎng)品、文藝表演獎(jiǎng)品的發(fā)放；

◆負(fù)責(zé)年會(huì)過(guò)程中放禮炮。

（五）后勤組（負(fù)責(zé)人：樊美玲、）成員 5 名。

◆負(fù)責(zé)活動(dòng)所需的禮品、獎(jiǎng)品、紀(jì)念品、食品及其他年會(huì)所需物品的購(gòu)買、準(zhǔn)備、保管及發(fā)放； ◆負(fù)責(zé)與酒店工作人員的溝通、協(xié)調(diào)工作。

四、活動(dòng)費(fèi)用預(yù)算（具體費(fèi)用分配由各項(xiàng)目負(fù)責(zé)人自行安排）

項(xiàng)

目

基本內(nèi)容

負(fù)責(zé)人

費(fèi)用預(yù)算

年會(huì)場(chǎng)地 租金、晚宴、機(jī)器租憑費(fèi)用 XXX ￥ 會(huì)場(chǎng)布置 KT 板（簽名板）、背景墻、鮮花、裝飾品等 XXX ￥

服裝、游戲道具 文藝匯演節(jié)目服裝、道具、獎(jiǎng)品小游戲道具、獎(jiǎng)品 迎賓、主持人服裝、妝容造型等

XXX

￥ 酒水、飲料 文藝匯演過(guò)程中所需酒水、飲料、小吃

XXX ￥ 年會(huì)禮品 參會(huì)人員每人一份的公司年會(huì)禮品 ￥ 年會(huì)獎(jiǎng)品 抽獎(jiǎng)獎(jiǎng)品 ￥ 其他支出 備用 XXX ￥ 費(fèi)用合計(jì)：￥

五、相關(guān)注意事項(xiàng)

（一）活動(dòng)前 ◆年會(huì)開(kāi)始前，年會(huì)籌備小組成員必須確保每人持有一份“年會(huì)流程具體執(zhí)行方案”。

◆在年會(huì)開(kāi)始前 30 分鐘，必須對(duì)所有年會(huì)所需要用到的設(shè)備進(jìn)行調(diào)試、檢查。

◆確保年會(huì)場(chǎng)地布置，所需物資、參會(huì)人員、表演人員全部到位。

（二）活動(dòng)中 ◆對(duì)工作人員進(jìn)行明確的分工，每項(xiàng)工作都必須責(zé)任到人，保持手機(jī)的開(kāi)通

（統(tǒng)一設(shè)置振動(dòng)）便于及時(shí)聯(lián)絡(luò)。

◆一場(chǎng)活動(dòng)的順利進(jìn)行需要各個(gè)方面的配合，更需要對(duì)現(xiàn)場(chǎng)環(huán)節(jié)的控制及管理。對(duì)于演出的催場(chǎng)候場(chǎng)，舞臺(tái)上的道具提供，對(duì)于整體活動(dòng)的節(jié)奏的把握都是非常重 要的。

（三）活動(dòng)后 ◆年會(huì)后期的紀(jì)念視頻制作、發(fā)放（由行政人事部部制作 DVD，行政人事部部統(tǒng)一發(fā)放，每人一張）

◆年會(huì)照片的收集及保存；

◆年會(huì)總結(jié)。

人力資源部部

2014 年 11 月 8 日

附表一：年會(huì)基本流程

時(shí)

間

項(xiàng)

目

內(nèi)

容

13:00 工作人員 到達(dá)酒店 年會(huì)節(jié)目表演人員、所需物料（如 KT 板、橫幅、鮮花、禮品、獎(jiǎng)品、演出服 裝等）需全部到達(dá)酒店

13：00-15:30

場(chǎng)地布置 年會(huì)場(chǎng)地入口接待處布置（如簽到處 KT 板擺放、舞臺(tái)背景、花籃擺放、迎賓 人員安排、年會(huì)禮品擺放等）

酒店工程部人員與負(fù)責(zé)場(chǎng)內(nèi)布置的人員配合布置（如背景板放置、拉橫幅、場(chǎng)地?cái)[放、裝飾物品等）

抽獎(jiǎng)獎(jiǎng)品放置酒店化妝間門口，食品分配后擺放于桌面（共 XX 桌）、放桌牌（人員提前分配）

文藝匯演人員化妝、換裝等 音響調(diào)試，音樂(lè)、攝影機(jī)、照相機(jī)準(zhǔn)備到位 燈光、投影、音響、消防安全等會(huì)前準(zhǔn)備情況檢查

15:30-16:00

人員進(jìn)場(chǎng) 參會(huì)人員在入口處簽到后，在迎賓處領(lǐng)取每人一份的新年禮品，進(jìn)場(chǎng)，對(duì)號(hào) 入座（提前安排桌號(hào)）

《XXXXX》PPT、音樂(lè)播放，同時(shí)主持人提醒進(jìn)場(chǎng)秩序及參會(huì)注意事項(xiàng) 16:00-16:05 開(kāi)場(chǎng)舞 開(kāi)場(chǎng)舞表演 16:05-16:10

年會(huì)開(kāi)始 主持人熱情開(kāi)場(chǎng)（嘉賓介紹等）

16:10-16:30 總經(jīng)理致辭 16:30-16:35

節(jié)目表演 節(jié)目 1 16:35-16：45 節(jié)目 2 16:45-16:50 節(jié)目 3 16:50-17:05 抽獎(jiǎng) 抽獎(jiǎng)：三等獎(jiǎng) 17:05-17:20 游戲 游戲一 17:20-17:25

節(jié)目表演 節(jié)目 4 17:25-17:35 節(jié)目 5 17:35-17:40 節(jié)目 6 17:40-17:50 抽獎(jiǎng) 抽獎(jiǎng)：二等獎(jiǎng) 17：50-18:10 游戲 游戲二 18:10-18:15

節(jié)目表演 節(jié)目 7 18:15-18:20 節(jié)目 8 18:20-18:25 節(jié)目 9 18:25-18:35 抽獎(jiǎng) 抽獎(jiǎng)：一等獎(jiǎng) 18:35-19:00 評(píng)選 節(jié)目表演獎(jiǎng)項(xiàng)評(píng)選、頒獎(jiǎng) 18:35-19:00

晚宴 上菜 19:00-20:00 晚宴聚餐 20:00 人員退場(chǎng) 退場(chǎng)音樂(lè)播放，同時(shí)主持人提醒退場(chǎng)秩序及相關(guān)注意事項(xiàng)

附表二：年會(huì)分工明細(xì)表

組別

項(xiàng)

目

內(nèi)容

責(zé)任人

執(zhí)行人

完成時(shí)間

文案組

主持

負(fù)責(zé)整個(gè)年會(huì)的流程、時(shí)間、氣氛把控

年會(huì)文案 主持人形象設(shè)計(jì)，串詞、祝酒詞

總經(jīng)理講話稿

進(jìn)場(chǎng) PPT、年會(huì)全過(guò)程所有音樂(lè)搜集（節(jié)目音樂(lè)收集，小游戲、抽獎(jiǎng)等音樂(lè)）

會(huì)場(chǎng)布置組 設(shè)計(jì) 年會(huì)場(chǎng)地布置設(shè)計(jì)方案

準(zhǔn)備 年會(huì)場(chǎng)地氛圍所有物品制作/購(gòu)買/租賃（鮮花、花籃采購(gòu)/租賃，舞臺(tái)背景墻、橫幅、簽名板、掛飾等）

布置 年會(huì)當(dāng)天酒店會(huì)場(chǎng)布置

攝影 現(xiàn)場(chǎng)攝影、DV 攝像、照相

技術(shù)支持 燈光、音響、投影、電腦、話筒、舞臺(tái)督 導(dǎo)檢查及全程跟蹤（與酒店工作人員配合），年會(huì)現(xiàn)場(chǎng)節(jié)目伴奏、音樂(lè)播放等

安全檢查 年會(huì)開(kāi)始前會(huì)場(chǎng)安全檢查（消防、電源、設(shè)備等）

節(jié)目組 年會(huì)方案 年會(huì)策劃方案（執(zhí)行版）

節(jié)目編排 年會(huì)文藝匯演流程設(shè)計(jì)、節(jié)目編排、彩排

評(píng)委安排 文藝節(jié)目評(píng)委、獎(jiǎng)項(xiàng)設(shè)置 頒獎(jiǎng)人員安排

物品采購(gòu)物品租賃 文藝匯演中小游戲獎(jiǎng)品、節(jié)目獎(jiǎng)品的采購(gòu)文藝匯演節(jié)目所需服裝、道具的租賃 迎賓人員旗袍租賃

化妝造型

安排年會(huì)所需化妝師、造型師

游戲抽獎(jiǎng) 小游戲內(nèi)容設(shè)計(jì)、獎(jiǎng)品設(shè)置

抽獎(jiǎng)環(huán)節(jié)內(nèi)容設(shè)計(jì)、實(shí)施方案及獎(jiǎng)品設(shè)置

禮儀組

迎賓禮儀 簽到處迎賓 頒發(fā)獎(jiǎng)品禮儀人員 引領(lǐng)嘉賓、領(lǐng)導(dǎo)入座

禮品發(fā)放 參會(huì)人員每人一份禮品發(fā)放

配合 放禮炮人員（可安排禮儀人員）

后勤組 活動(dòng)選址 選址、預(yù)訂、費(fèi)用申請(qǐng)與結(jié)算

活動(dòng)宣傳 全體員工動(dòng)員大會(huì)、年會(huì)相關(guān)會(huì)議組織

過(guò)程跟進(jìn) 年會(huì)各小組準(zhǔn)備工作進(jìn)度檢查

物資保管 年會(huì)物資保管（負(fù)責(zé)安排運(yùn)輸、分配）

物品采購(gòu) 年會(huì)所需抽獎(jiǎng)獎(jiǎng)品的設(shè)置及采購(gòu) 每人一份的禮品、年會(huì)所需食品的采購(gòu)

桌席分配 晚餐桌席人員分配

注意事

后期制作 年會(huì) DVD 刻碟制作、發(fā)放（每人一張）

年會(huì)招聘搜集

會(huì)務(wù)管理 年會(huì)現(xiàn)場(chǎng)組織、協(xié)調(diào)，現(xiàn)場(chǎng)秩序維護(hù)人員

項(xiàng) 催場(chǎng) 年會(huì)流程執(zhí)行全程跟蹤（臺(tái)前幕后催場(chǎng)）

總結(jié) 年會(huì)總結(jié)

部門負(fù)責(zé)細(xì)表：

電腦城

部門

負(fù)責(zé)人

節(jié)目類型

備注

數(shù)碼

蘇蓉門市（A45+CC2）

第二負(fù)責(zé)人要協(xié)助安排 蘇蓉門市（E27+F1+D3）

DELL 門市（B7+A11）

數(shù) 1+數(shù) 2

數(shù) 3

A 世界

蘇蓉門市（C2+D5）

DELL 門市（D3）

A1+A2

新世紀(jì)

蘇蓉門市（B02+1-A）

蘇蓉門市（A06+A29）

DELL 門市（A08+D1）

B32+B33

百腦匯

蘇蓉門市（D12+新世紀(jì) A03）

東華

蘇蓉財(cái)務(wù)部

置高財(cái)務(wù)部

蘇蓉技術(shù)部

置高技術(shù)部

置高渠道、產(chǎn)品部

合計(jì)個(gè)

第三篇：某等級(jí)保護(hù)建設(shè)整改解決方案（范文）

X X XX 高校 信息系統(tǒng) 等級(jí)保護(hù)

整改方案((模板）

I

目錄

一、背景、現(xiàn)狀和必要性 ...................................................................................................................................................-3-（一）背景.......................................................................................................................................................................-

-（二）現(xiàn)狀.......................................................................................................................................................................-

-（三）項(xiàng)目必要性...........................................................................................................................................................-

-二、差距分析.......................................................................................................................................................................-6-（一）技術(shù)差距分析.......................................................................................................................................................-

-（二）管理差距分析.......................................................................................................................................................-

-三、建設(shè)目標(biāo)...........................................................................................................................................................................9（一）業(yè)務(wù)目標(biāo)...................................................................................................................................................................9（二）技術(shù)目標(biāo)...................................................................................................................................................................9 四、建設(shè)方案.........................................................................................................................................................................10（一）建設(shè)原則.................................................................................................................................................................10（二）設(shè)計(jì)依據(jù).................................................................................................................................................................11（三）總體建設(shè)內(nèi)容.........................................................................................................................................................12（四）總體框架.................................................................................................................................................................13（五）技術(shù)方案.................................................................................................................................................................15 1、安全技術(shù)體系設(shè)計(jì)

.............................................................................................................................................15 2、安全管理中心設(shè)計(jì)（云智）

.............................................................................................................................23 3、安全制度建設(shè)

.....................................................................................................................................................30（六）設(shè)備部署說(shuō)明及關(guān)鍵技術(shù)指標(biāo).............................................................................................................................45 1、防火墻

.................................................................................................................................................................46 a)

部署說(shuō)明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................46 2、堡壘機(jī)

.................................................................................................................................................................46 a)

部署說(shuō)明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................47 3、入侵防御系統(tǒng)(IPS)

...........................................................................................................................................47 a)

部署說(shuō)明

.............................................................................................................................................................47 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 4、非法接入/外聯(lián)監(jiān)測(cè)系統(tǒng)

...................................................................................................................................48 a)

部署說(shuō)明

.............................................................................................................................................................48 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 5、漏洞掃描系統(tǒng)

.....................................................................................................................................................49 a)

部署說(shuō)明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................49 6、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

.................................................................................................................................................49 a)

部署說(shuō)明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................50 7、Web 應(yīng)用防火墻

..................................................................................................................................................50

II a)

部署說(shuō)明

.............................................................................................................................................................50 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................51 8、安全管理平臺(tái)

.....................................................................................................................................................51 a)

部署說(shuō)明

.............................................................................................................................................................51 b)

關(guān)鍵指標(biāo)

................................................................................................................................錯(cuò)誤!未定義書(shū)簽。

一、背景、現(xiàn)狀和必要性

（一）背景 XXX經(jīng)過(guò)多年的信息化推進(jìn)建設(shè)，信息化應(yīng)用水平正不斷提高，信息化建設(shè)成效顯著。為促進(jìn)XXX信息安全發(fā)展，響應(yīng)國(guó)家和上級(jí)要求，進(jìn)一步落實(shí)等級(jí)保護(hù)，夯實(shí)等級(jí)保護(hù)作為國(guó)家信息安全國(guó)策的成果，XXX計(jì)劃參照《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB/T17859-1999）

和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）要求將XXX系統(tǒng)和XXX系統(tǒng)擬定為三級(jí)，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）完成兩個(gè)系統(tǒng)三級(jí)等保建設(shè)。同時(shí)為提高全網(wǎng)安全防護(hù)能力，XXX計(jì)劃整網(wǎng)參照等保標(biāo)準(zhǔn)建設(shè)。

隨著2017年《網(wǎng)絡(luò)安全法》正式實(shí)施，更加需要高校加強(qiáng)自身系統(tǒng)安全建設(shè)，《網(wǎng)絡(luò)安全法》其中 系統(tǒng)的基本情況，按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理六個(gè)層面進(jìn)行，可根據(jù)實(shí)際情況進(jìn)行修改；同時(shí)根據(jù)安全域劃分的結(jié)果，在分析過(guò)程中將不同的安全域所面臨的風(fēng)險(xiǎn)與需求予以對(duì)應(yīng)說(shuō)明。1、網(wǎng)絡(luò) 現(xiàn)狀

核心交換機(jī)分別通過(guò)防病毒網(wǎng)關(guān)和防火墻連接通過(guò)xx網(wǎng)絡(luò)設(shè)備XX路由器接入政務(wù)外網(wǎng)，通過(guò)全員防火墻連接xx管理信息系統(tǒng)2臺(tái)XX交換機(jī)，通過(guò)二級(jí)/安管防火墻連接安全管理域和二級(jí)系統(tǒng)域。

統(tǒng)一認(rèn)證服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和負(fù)載均衡通過(guò)接入交換機(jī)接入到核心交換機(jī)ZXX。

XXX通過(guò)接入交換機(jī)與中環(huán)機(jī)房的兩臺(tái)XX互聯(lián)，訪問(wèn)xx個(gè)案管理信息系統(tǒng)。網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D如下所示：

現(xiàn)網(wǎng)總體拓?fù)鋱D

XX高校網(wǎng)絡(luò)拓?fù)鋱D 2 2、安全防護(hù)措施現(xiàn)狀

目前xx校園網(wǎng)采用的安全措施有：

? 網(wǎng)絡(luò)設(shè)備安全防護(hù)方面：

網(wǎng)絡(luò)設(shè)備的安全防護(hù)是依托機(jī)房現(xiàn)有的安全設(shè)備進(jìn)行安全防護(hù)，定期的檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的策略，根據(jù)業(yè)務(wù)系統(tǒng)的需求及時(shí)的更新各個(gè)策略，對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的訪問(wèn)使用了復(fù)雜性的加長(zhǎng)口令進(jìn)行安全防護(hù)。

? 信息安全設(shè)備部署及使用方面：

中環(huán)機(jī)房部署了專門的防火墻設(shè)備和防病毒網(wǎng)關(guān)對(duì)邊界網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

? 服務(wù)器的安全防護(hù)方面：

服務(wù)器的安全防護(hù)主要是依靠機(jī)房現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備對(duì)服務(wù)器進(jìn)行安全防護(hù)，同時(shí)對(duì)服務(wù)器統(tǒng)一安裝了防病毒軟件對(duì)惡意代碼進(jìn)行查殺。

? 在應(yīng)用信任措施方面：

xx管理信息系統(tǒng)通過(guò)用戶名、口令進(jìn)行身份鑒別方式，來(lái)保證業(yè)務(wù)系統(tǒng)信息的機(jī)密性。3、系統(tǒng)軟硬件現(xiàn)狀

xx個(gè)案管理信息系統(tǒng)所使用的軟硬件設(shè)備資源情況如下：

序號(hào) 類型 內(nèi)容 制造/開(kāi)發(fā)商 單位(臺(tái)套)數(shù)量 一 基礎(chǔ)硬件

（三）項(xiàng)目必要性 為了保障x(chóng)x管理信息系統(tǒng)的安全持續(xù)運(yùn)行，落實(shí)國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)GB/T25070-2010和GB/T 22239-2008的要求，降低系統(tǒng)面臨的安全風(fēng)險(xiǎn)，有必要對(duì)xx管

理信息系統(tǒng)進(jìn)行安全保障體系設(shè)計(jì)。

(1)政策法規(guī)要求

XXX公安局、XXX經(jīng)濟(jì)和信息化委員會(huì)、XXX國(guó)家保密局、XXX密碼管理局《關(guān)于印發(fā)XXX開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作實(shí)施方案的通知》（京公網(wǎng)安字[2010]1179號(hào)）文件的要求全市各單位加強(qiáng)信息安全等級(jí)保護(hù)建設(shè)、整改工作。每年，XXX網(wǎng)絡(luò)信息安全協(xié)調(diào)小組發(fā)文要求全市各單位開(kāi)展信息安全自查工作，并對(duì)一些單位進(jìn)行抽查工作，要求各單位從管理和技術(shù)兩個(gè)方面加強(qiáng)信息安全建設(shè)。

(2)xx 管理 信息系統(tǒng)安全保障的需要

xx管理信息系統(tǒng)的數(shù)據(jù)包括xx的個(gè)案信息數(shù)據(jù)庫(kù)。一旦這些信息泄漏，將會(huì)對(duì)市xx造成重大影響，因此，迫切需要加強(qiáng)xx管理信息系統(tǒng)的信息安全保障，防范數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)。

（四）等級(jí)保護(hù)工作流程：

系統(tǒng)定級(jí)定級(jí)備案等級(jí)測(cè)評(píng) 建設(shè)整改安全檢查 圖 1 等級(jí)保護(hù)工作流程

二、差距分析

（一）技術(shù)差距分析 通過(guò)對(duì)xx管理信息系統(tǒng)進(jìn)行等級(jí)保護(hù)安全整改建設(shè)，達(dá)到等級(jí)保護(hù)三級(jí)安全標(biāo)準(zhǔn)，并最終通過(guò)等級(jí)保護(hù)三級(jí)測(cè)評(píng)。

計(jì)算環(huán)境的安全主要是物理、主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：物理機(jī)房安全、身份鑒別、訪問(wèn)控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全計(jì)算環(huán)境的要求，還需要改進(jìn)以下幾點(diǎn)：

物理機(jī)房安全：根據(jù)物理機(jī)房情況描述，看看是否需要整改。

數(shù)據(jù)庫(kù)審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都缺少針對(duì)數(shù)據(jù)的審計(jì)設(shè)備，不能很好的滿足主機(jī)安全審計(jì)的要求，需要部署專業(yè)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備。

運(yùn)維堡壘機(jī)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都未實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時(shí)的雙因素認(rèn)證，計(jì)劃通過(guò)部署堡壘機(jī)來(lái)實(shí)現(xiàn)。

主機(jī)審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)主機(jī)自身安全策略配置不能符合要求，計(jì)劃通過(guò)專業(yè)安全服務(wù)實(shí)現(xiàn)服務(wù)器整改加固。

主機(jī)病毒防護(hù)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置主機(jī)防病毒系統(tǒng)。

備份與恢復(fù)：現(xiàn)網(wǎng)沒(méi)有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時(shí)現(xiàn)網(wǎng)沒(méi)有實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，本期計(jì)劃部署雙鏈路確保設(shè)備冗余。

另外還需要對(duì)用戶名/口令的復(fù)雜度，訪問(wèn)控制策略，操作系統(tǒng)、WEB和數(shù)據(jù)庫(kù)存在的各種安全漏洞，主機(jī)登陸條件限制、超時(shí)鎖定、用戶可用資源閾值設(shè)置等資源控制策略的合理性和存在的問(wèn)題進(jìn)行一一排查解決。

（二）管理差距分析 從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級(jí)保護(hù)的重點(diǎn)，因此除了技術(shù)措施，XXX還需要運(yùn)用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運(yùn)維管理的相關(guān)管理要求，規(guī)范人員安全管理。

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，安全管理中心是實(shí)現(xiàn)安全管理的有力抓手。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全管理中心的要求，還需要改進(jìn)以下幾點(diǎn)：

現(xiàn)網(wǎng)沒(méi)有一個(gè)能對(duì)整網(wǎng)安全事件、安全威脅進(jìn)行分析響應(yīng)處理的平臺(tái)，本期需要新增統(tǒng)一安全監(jiān)控管理平臺(tái)對(duì)信息系統(tǒng)涉及的設(shè)備使用情況和安全事件、系統(tǒng)健康程度等進(jìn)行識(shí)別，要能進(jìn)行統(tǒng)一的監(jiān)控和展現(xiàn)。通過(guò)對(duì)安全事件的告警，可以發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢(shì)，確保任何安全事件、事故得到及時(shí)的響應(yīng)和處理。

2020-10-11

第 9 頁(yè), 共 52 頁(yè)

三、建設(shè)目標(biāo)

（一）業(yè)務(wù)目標(biāo) 本項(xiàng)目的業(yè)務(wù)目標(biāo)是實(shí)現(xiàn)xx管理信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行，具體為：通過(guò)安全保障措施的建設(shè)，防范業(yè)務(wù)數(shù)據(jù)信息泄漏，保障x(chóng)x管理信息系統(tǒng)安全，以防數(shù)據(jù)泄漏事件發(fā)生。

（二）技術(shù)目標(biāo) 依據(jù)國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全建設(shè)等方面進(jìn)行方案的設(shè)計(jì)，建成能夠有效支撐xx管理信息系統(tǒng)高效運(yùn)行基礎(chǔ)環(huán)境。

(1)網(wǎng)絡(luò)安全

? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署； ? 對(duì)用戶終端接入網(wǎng)絡(luò)的行為進(jìn)行控制，利用網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問(wèn)的資源的管理； ? 針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

(2)主機(jī)安全

? 通過(guò)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能。

(3)應(yīng)用安全

? 通過(guò)對(duì)應(yīng)用系統(tǒng)進(jìn)行安全加固消除風(fēng)險(xiǎn)點(diǎn)，降低被威脅利用的可能；

2020-10-11

第 10 頁(yè), 共 52 頁(yè)

? 加強(qiáng)xx管理信息系統(tǒng)用戶身份認(rèn)證強(qiáng)度，為系統(tǒng)集成數(shù)字證書(shū)登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBKey和口令的雙因子身份認(rèn)證。

(4)安全等級(jí)測(cè)評(píng)

? 開(kāi)展信息系統(tǒng)安全等級(jí)測(cè)評(píng)，驗(yàn)證信息系統(tǒng)建設(shè)完成后是否滿足國(guó)家信息安全等級(jí)保護(hù)要求。

四、建設(shè)方案

（一）建設(shè)原則 結(jié)合XXX的實(shí)際情況，按照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)要求，以“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心四個(gè)方面構(gòu)建安全建設(shè)方案，以滿足等級(jí)保護(hù)三級(jí)系統(tǒng)的相關(guān)要求。

本方案充分結(jié)合x(chóng)x管理信息系統(tǒng)業(yè)務(wù)應(yīng)用流程、網(wǎng)絡(luò)現(xiàn)狀、等級(jí)保護(hù)要求及實(shí)際的安全需求進(jìn)行設(shè)計(jì)，在設(shè)計(jì)過(guò)程中將采取如下原則：

? 綜合防范、整體安全 堅(jiān)持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機(jī)制，實(shí)現(xiàn)整體安全； ? 分域保護(hù)、務(wù)求實(shí)效 將信息資源劃分為計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)方面進(jìn)行安全防護(hù)設(shè)計(jì)，以體現(xiàn)層層遞進(jìn)，逐級(jí)深入的安全防護(hù)理念； ? 同步建設(shè) 安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步，協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息

2020-10-11

第 11 頁(yè), 共 52 頁(yè)

化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過(guò)程中； ? 縱深防御，集中管理 可構(gòu)建一個(gè)從外到內(nèi)、功能互補(bǔ)的縱深防御體系，對(duì)資產(chǎn)、安全事件、風(fēng)險(xiǎn)、訪問(wèn)行為等進(jìn)行集中統(tǒng)一分析與監(jiān)管； ? 等級(jí)保護(hù)策略 安全保障體系設(shè)計(jì)以實(shí)現(xiàn)等級(jí)保護(hù)為基本出發(fā)點(diǎn)進(jìn)行安全防護(hù)體系建設(shè)，并遵照國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行安全防護(hù)措施設(shè)計(jì)。

（二）設(shè)計(jì)依據(jù) (1)國(guó)家等級(jí)保護(hù)政策文件

? 《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)〔2012〕23號(hào)）

? 關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)(公信安[2009]1429號(hào))? 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技[2008]2071號(hào)）

? 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安[2008]736號(hào)）

? 關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)）

? 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安[2007]1360號(hào)）

(2)國(guó)家信息安全標(biāo)準(zhǔn)

? GB/T 25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? GB/T 25070-2010《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 ? GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

2020-10-11

第 12 頁(yè), 共 52 頁(yè)

? GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 ? GB/T21082-2007信息安全技術(shù) 服務(wù)器安全技術(shù)要求 ? GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? GB/T20269-2006信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)管理要求 ? GB/T20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 ? GB/T20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 ? GB/T20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 ? GB/T20273-2006信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 ? GB/T20282-2006信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（三）總體建設(shè)內(nèi)容 根據(jù)xx管理信息系統(tǒng)業(yè)務(wù)安全保障需求，建立有針對(duì)性地安全策略，合理規(guī)劃網(wǎng)絡(luò)安全架構(gòu)，依據(jù)差距分析結(jié)果，進(jìn)行安全整改，實(shí)現(xiàn)關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署；實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問(wèn)的資源的管理；實(shí)現(xiàn)內(nèi)部終端用戶進(jìn)行管理；實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)用戶雙因子強(qiáng)身份認(rèn)證；建立安全管理中心，實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)安全管理。

2020-10-11

第 13 頁(yè), 共 52 頁(yè)

（四）總體框架 為了使xx管理信息系統(tǒng)具有較高的安全防護(hù)能力，滿足等級(jí)保護(hù)要求，本次將按照下圖所示的總體框架進(jìn)行系統(tǒng)安全改造。

2020-10-11

第 14 頁(yè), 共 52 頁(yè)

根據(jù)xx管理信息系統(tǒng)現(xiàn)狀和安全需求，采取如下總體安全策略：

? 基礎(chǔ)安全防御得當(dāng)

依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，和xx管理信息系統(tǒng)網(wǎng)絡(luò)以及系統(tǒng)安全現(xiàn)狀，? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，通過(guò)增加核心交換機(jī)、防火墻、防病毒網(wǎng)關(guān)等設(shè)備實(shí)現(xiàn)冗余部署； ? 通過(guò)部署終端健康檢查和修復(fù)系統(tǒng)對(duì)終端接入的行為進(jìn)行控制，針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

? 部署網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問(wèn)的資源的管理；

? 主機(jī)安全：通過(guò)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能； ? 應(yīng)用安全：將xx管理信息系統(tǒng)整合到現(xiàn)有的統(tǒng)一認(rèn)證管理系統(tǒng)中增加用戶身份認(rèn)證強(qiáng)度，使其通過(guò)數(shù)字證書(shū)登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBkey和口令的雙因子身份認(rèn)證。

? 技術(shù)管理并行

安全技術(shù)以及管理體系需要同時(shí)設(shè)計(jì)并落實(shí)，兩者互為補(bǔ)充互為支撐。落實(shí)組織和人員責(zé)任。

2020-10-11

第 15 頁(yè), 共 52 頁(yè)

（五）技術(shù)方案 1、安全技術(shù)體系設(shè)計(jì) 根據(jù)建設(shè)目標(biāo)，在充分利用現(xiàn)有設(shè)備的情況下，重新規(guī)劃整改后的網(wǎng)絡(luò)拓?fù)鋱D，如下圖所示。

整改后網(wǎng)絡(luò)拓?fù)鋱D 1.1.計(jì)算環(huán)境安全設(shè)計(jì)

1.1.1 終端安全（EAD）

通過(guò)部署2臺(tái)終端健康檢查和修復(fù)系統(tǒng)實(shí)現(xiàn)終端安全的集中統(tǒng)一管理，包括終端補(bǔ)丁的集中下載與分發(fā)、應(yīng)用軟件的集中分發(fā)、禁止非工作軟件或有害軟件的安裝和運(yùn)行等，強(qiáng)化終端安全策略，終端安全管理軟件還可滿足接入和外聯(lián)的可管理要求。對(duì)終端進(jìn)行安全檢查，確保終端符合安全規(guī)范，對(duì)不合規(guī)終端進(jìn)行隔離修復(fù)。對(duì)系統(tǒng)自身安全問(wèn)題及終端安檢問(wèn)題進(jìn)行報(bào)警統(tǒng)計(jì)，具體功能包括：

2020-10-11

第 16 頁(yè), 共 52 頁(yè)

限制非法外聯(lián)。

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端安全基線自動(dòng)檢測(cè)與強(qiáng)制修復(fù)。

能夠監(jiān)控計(jì)算機(jī)終端的操作系統(tǒng)補(bǔ)丁、防病毒軟件、軟件進(jìn)程、登錄口令、注冊(cè)表等方面的運(yùn)行情況。如果計(jì)算機(jī)終端沒(méi)有安裝規(guī)定的操作系統(tǒng)補(bǔ)丁、防病毒軟件的運(yùn)行狀態(tài)和病毒庫(kù)更新?tīng)顟B(tài)不符合要求、沒(méi)有運(yùn)行指定的軟件或運(yùn)行了禁止運(yùn)行的軟件，或者有其它的安全基線不能滿足要求的情況，該計(jì)算機(jī)終端的網(wǎng)絡(luò)訪問(wèn)將被禁止。

移動(dòng)存儲(chǔ)管理。

可以實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證和設(shè)備使用授權(quán)，只有認(rèn)證的移動(dòng)存儲(chǔ)存儲(chǔ)設(shè)備和具有使用權(quán)限的用戶才能使用。對(duì)于認(rèn)證過(guò)的移動(dòng)存儲(chǔ)設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式。可以只認(rèn)證設(shè)備，不對(duì)其中保存數(shù)據(jù)進(jìn)行加密共享；也可以對(duì)認(rèn)證的設(shè)備選擇專用目錄或全盤加密共享，并可以對(duì)移動(dòng)設(shè)備使用全過(guò)程進(jìn)行審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問(wèn)審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

2020-10-11

第 17 頁(yè), 共 52 頁(yè)

1.1.2 漏洞發(fā)現(xiàn)（漏掃）

漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞，通過(guò)合規(guī)性檢測(cè)對(duì)系統(tǒng)中不合適的設(shè)置（如不應(yīng)開(kāi)放的端口）、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；另外基于網(wǎng)絡(luò)的檢測(cè)(Network Scanner)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

1.1.3 數(shù)據(jù)庫(kù)安全審計(jì)

計(jì)劃部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)適用于等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持所有主流關(guān)系型數(shù)據(jù)庫(kù)的安全審計(jì)，采用多核、多線程并行處理及CPU綁定技術(shù)及鏡像流量零拷貝技術(shù)，采用黑盒逆向協(xié)議分析技術(shù)，嚴(yán)格按照數(shù)據(jù)庫(kù)協(xié)議規(guī)律，對(duì)所有數(shù)據(jù)庫(kù)的操作行為進(jìn)行還原，支持請(qǐng)求和返回的全審計(jì)，保證100%還原原始操作的真實(shí)情況，實(shí)現(xiàn)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制，為XXX的核心數(shù)據(jù)庫(kù)提供全方位、細(xì)粒度的保護(hù)功能。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以幫助我們解決目前所面臨的數(shù)據(jù)庫(kù)安全審計(jì)缺失問(wèn)題，避免數(shù)據(jù)被內(nèi)部人員及外部黑客惡意竊取泄露，極大的保護(hù)XXX的核心敏感數(shù)據(jù)的安全，帶來(lái)以下安全價(jià)值：

? 全面記錄數(shù)據(jù)庫(kù)訪問(wèn)行為，識(shí)別越權(quán)操作等違規(guī)行為，并完成追蹤溯源 ? 跟蹤敏感數(shù)據(jù)訪問(wèn)行為軌跡，建立訪問(wèn)行為模型，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏 ? 檢測(cè)數(shù)據(jù)庫(kù)配置弱點(diǎn)、發(fā)現(xiàn)SQL注入等漏洞、提供解決建議 ? 為數(shù)據(jù)庫(kù)安全管理與性能優(yōu)化提供決策依據(jù) ? 提供符合法律法規(guī)的報(bào)告，滿足等級(jí)保護(hù)審計(jì)要求。

2020-10-11

第 18 頁(yè), 共 52 頁(yè)

1.1.4 運(yùn)維堡壘主機(jī)

計(jì)劃部署運(yùn)維堡壘主機(jī)，堡壘機(jī)可為XXX提供全面的運(yùn)維管理體系和運(yùn)維能力，支持資產(chǎn)管理、用戶管理、雙因子認(rèn)證、命令阻斷、訪問(wèn)控制、自動(dòng)改密、審計(jì)等功能，能夠有效的保障運(yùn)維過(guò)程的安全。在協(xié)議方面，堡壘機(jī)全面支持SSH/TELNET/RDP（遠(yuǎn)程桌面）/FTP/SFTP/VNC，并可通過(guò)應(yīng)用中心技術(shù)擴(kuò)展支持VMware/XEN等虛擬機(jī)管理、oracle等數(shù)據(jù)庫(kù)管理、HTTP/HTTPS、小型機(jī)管理等。

1.2.區(qū)域邊界安全保護(hù)設(shè)計(jì)

通過(guò)深入了解系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)功能要求，并在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上，結(jié)合國(guó)家等級(jí)保護(hù)政策和標(biāo)準(zhǔn)要求，對(duì)信息系統(tǒng)的安全區(qū)域保護(hù)目標(biāo)進(jìn)行如下設(shè)計(jì)。

1.2.1 邊界隔離與訪問(wèn)控制（NGFW）

在本方案中，XX 系統(tǒng)分布在網(wǎng)絡(luò)出口邊界、數(shù)據(jù)中心區(qū)邊界、網(wǎng)絡(luò)管理區(qū)，所以每個(gè)邊界也部署防火墻，并且通過(guò)配置防火墻的安全策略，實(shí)現(xiàn)各區(qū)域邊界的隔離與細(xì)粒度的訪問(wèn)控制。防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問(wèn)隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來(lái)自其它網(wǎng)絡(luò)的入侵者。

通過(guò)對(duì)全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問(wèn)控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問(wèn)控制系統(tǒng)，解決邊界安全問(wèn)題、實(shí)現(xiàn)各個(gè)安全域間的網(wǎng)絡(luò)訪問(wèn)

2020-10-11

第 19 頁(yè), 共 52 頁(yè)

控制。

部署圖如下：

1.2.2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IPS）

入侵防御產(chǎn)品是一種對(duì)網(wǎng)絡(luò)深層威脅行為（尤其是那些防火墻所不能防御的威脅行為）進(jìn)行抵御的安全產(chǎn)品，通常以串行方式透明接入網(wǎng)絡(luò)。和其他安全產(chǎn)品不同的是，入侵防御產(chǎn)品的主要防御對(duì)象是網(wǎng)絡(luò)上TCP/IP的四層以上的實(shí)時(shí)惡意數(shù)據(jù)流（四層以下的攻擊可以由其他安全產(chǎn)品如防火墻等防御）。在本方案中入侵防御系統(tǒng)主要保護(hù)那些對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全。在現(xiàn)有網(wǎng)絡(luò)中部署入侵檢測(cè)與防御系統(tǒng)可以對(duì)訪問(wèn)xx管理信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并進(jìn)行入侵行為跟蹤分析。

部署圖如下：

1.2.3 網(wǎng)絡(luò)惡意代碼防范（WAF）

瀏覽器都能解釋和執(zhí)行來(lái)自 Web 服務(wù)器的嵌入到 Web 頁(yè)面下載部分的腳本（用 JavaScript、JScript、VBScript 等腳本語(yǔ)言創(chuàng)建）。當(dāng)攻擊者向用戶提交的動(dòng)態(tài)表單輸入惡意代碼時(shí)，就會(huì)產(chǎn)生跨站點(diǎn)腳本(XSS)攻擊或是SQL注入。Web應(yīng)用防火墻主要針對(duì)Web服務(wù)器進(jìn)行第7層流量分析，防護(hù)以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對(duì)Web應(yīng)用訪問(wèn)進(jìn)行各方面優(yōu)化，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。同時(shí)，內(nèi)部辦公用戶也會(huì)通過(guò)互聯(lián)網(wǎng)對(duì)外進(jìn)行訪問(wèn)，Internet網(wǎng)絡(luò)區(qū)域的安全風(fēng)險(xiǎn)級(jí)別最高，所以對(duì)于對(duì)外訪問(wèn)和信息獲取等操作都應(yīng)進(jìn)行實(shí)時(shí)的惡意代碼檢測(cè)和事后的清除修復(fù)工作。

對(duì)于惡意代碼的防范應(yīng)達(dá)到如下要求：

2020-10-11

第 20 頁(yè), 共 52 頁(yè)

? 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測(cè)和清除； ? 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新； ? 應(yīng)支持惡意代碼防范的統(tǒng)一管理。

1.3.通信網(wǎng)絡(luò)安全保護(hù)設(shè)計(jì)

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，和市xx網(wǎng)絡(luò)現(xiàn)狀，應(yīng)從鏈路冗余設(shè)計(jì)、通信網(wǎng)絡(luò)安全審計(jì)及網(wǎng)絡(luò)可信接入方面進(jìn)行展開(kāi)設(shè)計(jì)。

1.3.1 鏈路冗余設(shè)計(jì)（IRF）

擬通過(guò)部署1臺(tái)H3C S9800交換機(jī)，改變核心網(wǎng)絡(luò)結(jié)構(gòu)，與原有的H3C S9800做冗余備份，以滿足等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)針對(duì)網(wǎng)絡(luò)安全的要求。

部署圖如下：

交換機(jī)部署位置圖 1.3.2 網(wǎng)絡(luò)行為安全審計(jì)（數(shù)據(jù)庫(kù)審計(jì)）

為滿足等級(jí)保護(hù)要求中對(duì)三級(jí)系統(tǒng)通信網(wǎng)絡(luò)安全審計(jì)要求，需在網(wǎng)絡(luò)中建立基于網(wǎng)絡(luò)的安全審計(jì)措施，以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全審計(jì)的防護(hù)要求。

在網(wǎng)絡(luò)中應(yīng)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，可以通過(guò)網(wǎng)絡(luò)端口鏡像的方式抓取進(jìn)、出區(qū)域邊界數(shù)據(jù)包，基于數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等應(yīng)用訪問(wèn)行為，確定行為符合安全策略，并以收集的記錄信息作為追蹤違規(guī)事件、界定安全責(zé)任的主要依據(jù)。部署圖如下：

2020-10-11

第 21 頁(yè), 共 52 頁(yè)

綜合審計(jì)部署圖 1.3.3 網(wǎng)絡(luò)實(shí)名準(zhǔn)入系統(tǒng)（EAD）

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，對(duì)于三級(jí)系統(tǒng)需建立網(wǎng)絡(luò)接入認(rèn)證機(jī)制，可采用由密碼技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過(guò)對(duì)連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

為保證 xx 管理信息系統(tǒng)對(duì)接入用戶實(shí)行全生命周期的數(shù)字身份管理，有效管理用戶的訪問(wèn)憑證和接入權(quán)限，記錄用戶的網(wǎng)絡(luò)訪問(wèn)行為，在發(fā)生信息安全事件時(shí)，能將責(zé)任追溯到人，本項(xiàng)目將沿用終端準(zhǔn)入 EAD 系統(tǒng)，從而實(shí)現(xiàn)網(wǎng)絡(luò)可信接入和用戶的身份級(jí)別，需求功能包括：

終端準(zhǔn)入功能

利用終端管理系統(tǒng)與交換機(jī)配合，如采用802.1x共同完成網(wǎng)絡(luò)準(zhǔn)入控制。

限制非法外聯(lián)。

2020-10-11

第 22 頁(yè), 共 52 頁(yè)

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問(wèn)審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

1.3.4 網(wǎng)絡(luò)設(shè)備保護(hù)（堡壘機(jī)）

對(duì)于網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施資產(chǎn)的管理，包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和數(shù)據(jù)庫(kù)等，均需要通過(guò)堡壘機(jī)實(shí)現(xiàn)對(duì)重要業(yè)務(wù)資產(chǎn)操作的認(rèn)證、授權(quán)和操作記錄審計(jì)的要求，同時(shí)降低運(yùn)維人員的管理成本，提高運(yùn)維效率，通過(guò)運(yùn)維堡壘主機(jī)的方式進(jìn)行集中管理、協(xié)議代理和身份授權(quán)分離的安全操作。

資源集中管理：集中的資源訪問(wèn)入口、集中帳號(hào)管理、集中授權(quán)管理、集中認(rèn)證管理、集中審計(jì)管理等等。

協(xié)議代理：為了對(duì)字符終端、圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，堡壘主機(jī)對(duì)各種字符終端和圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的操作支持和審計(jì)，例如Telnet、SSH、FTP、Windows平臺(tái)的RDP遠(yuǎn)程桌面協(xié)議，Linux/Unix平臺(tái)的X Window圖形終端訪問(wèn)協(xié)議等。

當(dāng)運(yùn)維機(jī)通過(guò)堡壘主機(jī)訪問(wèn)服務(wù)器時(shí)，首先由堡壘主機(jī)模擬成遠(yuǎn)程訪問(wèn)的服務(wù)端，接受運(yùn)維機(jī)的連接和通訊，并對(duì)其進(jìn)行協(xié)議的還原、解析、記錄，最終獲得運(yùn)維機(jī)的操作行為，之后堡壘主機(jī)模擬運(yùn)維機(jī)與真正的目標(biāo)服務(wù)器建立通訊并轉(zhuǎn)發(fā)運(yùn)維機(jī)發(fā)送

2020-10-11

第 23 頁(yè), 共 52 頁(yè)的指令信息，從而實(shí)現(xiàn)對(duì)各種維護(hù)協(xié)議的代理轉(zhuǎn)發(fā)過(guò)程。在通訊過(guò)程中，堡壘主機(jī)會(huì)記錄各種指令信息，并根據(jù)策略對(duì)通信過(guò)程進(jìn)行控制，如發(fā)現(xiàn)違規(guī)操作，則不進(jìn)行代理轉(zhuǎn)發(fā)，并由堡壘主機(jī)反饋禁止執(zhí)行的回顯提示。

身份授權(quán)分離：在堡壘主機(jī)上建立主帳號(hào)體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號(hào)僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號(hào)管理混亂問(wèn)題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。

2、安全管理中心設(shè)計(jì)（云智）

建立安全管理中心，形成具備基本功能的安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)管理中心內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)信息安全事件的預(yù)警、響應(yīng)和安全管理能力。具體來(lái)說(shuō)應(yīng)該實(shí)現(xiàn)以下功能：

1.安全信息采集 Xx系統(tǒng)所有的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（防火墻、入侵檢測(cè)、統(tǒng)一數(shù)字身份管理系統(tǒng)、安全審計(jì)設(shè)備等）和重要業(yè)務(wù)系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等）的安全事件信息。

2.安全信息分析 對(duì)匯集的安全事件信息進(jìn)行綜合的關(guān)聯(lián)分析，從海量的信息中挖掘、發(fā)現(xiàn)可能的安全事件并且產(chǎn)生安全預(yù)警。

3.信息安全管理 實(shí)現(xiàn)統(tǒng)一的安全事件、安全策略、安全風(fēng)險(xiǎn)和信息安全支撐系統(tǒng)的管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足管理中心對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

4.可視化展示

2020-10-11

第 24 頁(yè), 共 52 頁(yè)

實(shí)現(xiàn)整體安全態(tài)勢(shì)的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測(cè)的全景化和在線化。

2.1.建設(shè)目標(biāo)

安全管理中心的建設(shè)目標(biāo)是為了支撐安全運(yùn)行體系的建設(shè)和流轉(zhuǎn)，從而提升安全防護(hù)能力、隱患發(fā)現(xiàn)能力、監(jiān)控預(yù)警能力以及響應(yīng)恢復(fù)能力，以保障市xx信息系統(tǒng)的安全可靠，實(shí)現(xiàn)安全運(yùn)行工作的“可感知”、“可管理”、“可測(cè)量”、“可展示”。

“可感知”目標(biāo)：安全管理中心具備對(duì)各類安全資產(chǎn)的脆弱性和海量安全事件的采集、分析、處理報(bào)告能力，可以按需展現(xiàn)全網(wǎng)安全資產(chǎn)的脆弱性分布狀況和高危風(fēng)險(xiǎn)事件分布狀況，可集中管理各類安全資產(chǎn)的配置基線，能夠智能化分析安全事件對(duì)業(yè)務(wù)系統(tǒng)可能產(chǎn)生的實(shí)際影響和危害，“實(shí)現(xiàn)被動(dòng)安全智能化”目標(biāo)。

“可管理”目標(biāo)：初步實(shí)現(xiàn)集中化的安全風(fēng)險(xiǎn)、安全事件、安全預(yù)警和安全策略、安全合規(guī)性和績(jī)效考核管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足市xx對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

“可測(cè)量”目標(biāo)：安全管理中心具備針對(duì)各類信息安全管理標(biāo)準(zhǔn)或要求的符合性測(cè)量檢查能力，提供針對(duì)諸如信息安全管理體系標(biāo)準(zhǔn)要求、等級(jí)化保護(hù)要求、信息安全專項(xiàng)工作要求的符合性檢查功能，支持通過(guò)技術(shù)手段實(shí)現(xiàn)符合性檢查工作的自動(dòng)調(diào)度、自動(dòng)執(zhí)行、自動(dòng)核查、自動(dòng)報(bào)告功能。

“可展示”目標(biāo)：實(shí)現(xiàn)整體安全態(tài)勢(shì)的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測(cè)的全景化和在線化。針對(duì)市xx決策層、管理層和執(zhí)行層等不同角色提供不同展現(xiàn)視圖，可以向PC、移動(dòng)終端上推送當(dāng)前各業(yè)務(wù)系統(tǒng)、各地區(qū)、各單位風(fēng)險(xiǎn)管理狀態(tài)和趨勢(shì)。

2020-10-11

第 25 頁(yè), 共 52 頁(yè)

2.2.總體結(jié)構(gòu)

綜合管理平臺(tái)門戶作為整個(gè)安全管理中心統(tǒng)一人機(jī)界面接口，采用Web應(yīng)用架構(gòu)，支持各功能模塊的信息展示和系統(tǒng)配置管理。針對(duì)不同用戶角色的特點(diǎn)，提供不同視角（決策層、管理層、執(zhí)行層）的展現(xiàn)內(nèi)容。

安全管理中心規(guī)劃的應(yīng)用服務(wù)層提供六大應(yīng)用服務(wù)，分別是：脆弱性和安全風(fēng)險(xiǎn)管理、安全事件管理、安全預(yù)警管理、安全策略管理、安全符合性管理和安全績(jī)效考核，提供的服務(wù)通過(guò)門戶層進(jìn)行展現(xiàn)。

數(shù)據(jù)感知層主要規(guī)劃兩大功能，分別是數(shù)據(jù)采集和數(shù)據(jù)分析處理。

數(shù)據(jù)采集主要負(fù)責(zé)與安全支撐系統(tǒng)數(shù)據(jù)交互以及搜集其他設(shè)備的數(shù)據(jù)。其采用的技術(shù)方式包括：Web Serivce、SYSLOG和SNMP trap等接口和協(xié)議。

數(shù)據(jù)處理主要負(fù)責(zé)對(duì)采集到的原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、歸并及關(guān)聯(lián)分析等詳細(xì)的分析處理。可以根據(jù)資產(chǎn)信息、脆弱性信息校正安全信息的真實(shí)性，同時(shí)也可以根據(jù)攻擊過(guò)程描述的縱向關(guān)聯(lián)策略確認(rèn)一系列安全信息發(fā)生的后果，提取出需要處理的安全事件。

外部接口層承擔(dān)安全運(yùn)營(yíng)中心與XX系統(tǒng)之間的數(shù)據(jù)交互，比如從資產(chǎn)系統(tǒng)中抽取資產(chǎn)相關(guān)的信息。

安全管理中心安全支撐層是由6個(gè)大系統(tǒng)構(gòu)成，主要為平臺(tái)提供數(shù)據(jù)及部分功能實(shí)現(xiàn)。支撐系統(tǒng)具體如下：

? 業(yè)務(wù)系統(tǒng) ? 安全設(shè)備 ? 操作系統(tǒng)

2020-10-11

第 26 頁(yè), 共 52 頁(yè)

? 中間件 ? 數(shù)據(jù)庫(kù) ? 網(wǎng)絡(luò)設(shè)備

平臺(tái)架構(gòu)采用組件化的分層設(shè)計(jì)理念，融和工作流組件、業(yè)務(wù)規(guī)則引擎、通用報(bào)表組件、數(shù)據(jù)查詢組件、GIS組件等對(duì)信息安全運(yùn)行管理業(yè)務(wù)加以支撐和服務(wù)；平臺(tái)架構(gòu)滿足五年以上的技術(shù)和業(yè)務(wù)發(fā)展等適應(yīng)性要求。

2.3.功能模塊

2.3.1 數(shù)據(jù) 采集

數(shù)據(jù)采集是運(yùn)行監(jiān)控功能的核心模塊，接收來(lái)自安全事件監(jiān)控中心的事件，支持資產(chǎn)信息、配置信息、IT事件日志以及安全支撐系統(tǒng)的數(shù)據(jù)采集，實(shí)現(xiàn)數(shù)據(jù)識(shí)別、數(shù)據(jù)解析、數(shù)據(jù)聚并和數(shù)據(jù)保存等處理。

2.3.2 日志 分析

針對(duì)業(yè)務(wù)系統(tǒng)所涉及到的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備運(yùn)行日志進(jìn)行采集和安全分析。

2.3.3 運(yùn)行狀態(tài)監(jiān)控

運(yùn)行狀態(tài)監(jiān)控主要包含主機(jī)、網(wǎng)絡(luò)、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件及關(guān)鍵應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控。同時(shí)，以關(guān)鍵業(yè)務(wù)為中心，通過(guò)圖形化的業(yè)務(wù)建模工具，根據(jù)實(shí)際環(huán)境，定義個(gè)性化的業(yè)務(wù)運(yùn)行評(píng)估模型，從業(yè)務(wù)角度對(duì)被監(jiān)測(cè)資源進(jìn)行關(guān)聯(lián)、重組，建立真實(shí)表達(dá)業(yè)務(wù)內(nèi)部關(guān)系的影響模型圖，實(shí)現(xiàn)快速搭建業(yè)務(wù)卡片視圖，準(zhǔn)確判斷業(yè)務(wù)健康度、繁忙度、業(yè)務(wù)層級(jí)視圖和業(yè)務(wù)告警等內(nèi)容。

2020-10-11

第 27 頁(yè), 共 52 頁(yè)

1.主機(jī)運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的主流操作系統(tǒng)監(jiān)控運(yùn)行性能。通過(guò)對(duì)主機(jī)監(jiān)控，實(shí)現(xiàn)對(duì)主機(jī)的故障告警，同時(shí)監(jiān)控主機(jī)的健康狀態(tài)與運(yùn)行性能指標(biāo)。覆蓋主機(jī)操作系統(tǒng)類型包括：Windows服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)等。

2.網(wǎng)絡(luò)和安全設(shè)備運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運(yùn)行狀態(tài)，通過(guò)對(duì)設(shè)備健康狀態(tài)與運(yùn)行性能監(jiān)控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)延時(shí)、異常事件、連接失敗等網(wǎng)絡(luò)指標(biāo)進(jìn)行查看，結(jié)合安全設(shè)備的故障告警，及時(shí)發(fā)現(xiàn)性能隱患，能夠監(jiān)控的設(shè)備類型包括交換機(jī)、路由器、入侵檢測(cè)等。

3.數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集數(shù)據(jù)庫(kù)監(jiān)控運(yùn)行性能，收集數(shù)據(jù)庫(kù)的響應(yīng)時(shí)間、當(dāng)前總用戶數(shù)、當(dāng)前活躍用戶數(shù)等各性能指標(biāo)的變化趨勢(shì)，進(jìn)行分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。要求支持的數(shù)據(jù)庫(kù)系統(tǒng)類型包括：

Oracle、SQL Server、MYSQL等。

4.中間件運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集中間件監(jiān)控運(yùn)行性能，針對(duì)中間件的可用性、響應(yīng)延遲等狀態(tài)信息進(jìn)行分析，監(jiān)控各項(xiàng)性能指標(biāo)變化分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。能夠支持中間件系統(tǒng)類型，包括：IBM Websphere、Weblogic、Apache Tomcat、Microsoft IIS等。

5.應(yīng)用系統(tǒng)運(yùn)行狀態(tài)監(jiān)控

通過(guò)和應(yīng)用系統(tǒng)的對(duì)接接口，實(shí)現(xiàn)應(yīng)用系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控和展示。

2020-10-11

第 28 頁(yè), 共 52 頁(yè)

2.3.4 預(yù)警管理

預(yù)警管理包括但不限于IT態(tài)勢(shì)分析和展現(xiàn)、預(yù)警通告等功能。

? 態(tài)勢(shì)分析：實(shí)現(xiàn)對(duì)采集信息及分析結(jié)果進(jìn)行匯集和抽取；對(duì)IT事件及風(fēng)險(xiǎn)等事態(tài)發(fā)展和后果進(jìn)行模擬分析，能夠多維度綜合展示。

? 預(yù)警通告：能夠把IT態(tài)勢(shì)分析的處理結(jié)果進(jìn)行預(yù)警通告并展示。

? 預(yù)警管理系統(tǒng)收集和分析歷史數(shù)據(jù)，全面展現(xiàn)一段時(shí)期內(nèi)IT態(tài)勢(shì)和風(fēng)險(xiǎn)管理的情況。

? 為信息安全風(fēng)險(xiǎn)管理的規(guī)劃提供數(shù)據(jù)支撐。

預(yù)警模塊中心從系統(tǒng)管理模塊得到資產(chǎn)的基本信息，從脆弱性管理模塊獲取資產(chǎn)的脆弱性信息，從事件監(jiān)控模塊獲取發(fā)生的事件。得到上述這些原始信息后，本模塊進(jìn)行綜合風(fēng)險(xiǎn)分析。綜合風(fēng)險(xiǎn)分析是分析整個(gè)企業(yè)面臨的威脅和確保這些威脅所帶來(lái)的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程。能夠根據(jù)各監(jiān)控點(diǎn)的資產(chǎn)信息、脆弱性統(tǒng)計(jì)信息以及威脅分布信息，為每一個(gè)資產(chǎn)定量地計(jì)算出相應(yīng)的風(fēng)險(xiǎn)等級(jí)，同時(shí)根據(jù)業(yè)務(wù)邏輯，分析此風(fēng)險(xiǎn)對(duì)其他系統(tǒng)的影響，計(jì)算出業(yè)務(wù)系統(tǒng)或區(qū)域的整體風(fēng)險(xiǎn)等級(jí)。

2.3.5 策略管理

網(wǎng)絡(luò)的整體性要求需要有統(tǒng)一策略和基于工作流程的管理。通過(guò)為全網(wǎng)管理人員提供統(tǒng)一的策略，指導(dǎo)各級(jí)管理機(jī)構(gòu)因地制宜的做好策略的部署工作，有利于在全網(wǎng)形成防范的合力，提高全網(wǎng)的整體防御能力，同時(shí)通過(guò)策略和配置管理平臺(tái)的建設(shè)可以進(jìn)一步完善整個(gè)IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項(xiàng)安全工作的開(kāi)展提供行動(dòng)指南，有效解決目前因缺乏口令、認(rèn)證、訪問(wèn)控制等方面策略而帶來(lái)到安全風(fēng)險(xiǎn)問(wèn)題。

策略管理系統(tǒng)包括但不限于事件關(guān)聯(lián)分析規(guī)則管理、資產(chǎn)安全配置策略符合性檢

2020-10-11

第 29 頁(yè), 共 52 頁(yè)

查和安全策略庫(kù)管理功能。

? 事件關(guān)聯(lián)分析規(guī)則管理：能實(shí)現(xiàn)安全事件關(guān)聯(lián)分析規(guī)則的自定義、導(dǎo)入、更新、展示、查詢、修改和歸檔等功能。

? 資產(chǎn)安全配置策略符合性檢查：能實(shí)現(xiàn)對(duì)資產(chǎn)安全配置策略合規(guī)性比對(duì)和檢查；提供符合性檢查結(jié)果的展示、查詢、歸檔和策略導(dǎo)出功能；提供修正建議和策略下發(fā)功能。

? 安全策...

第四篇：常見(jiàn)終端問(wèn)題解決方案和整改方法

問(wèn)題一：猜測(cè)出遠(yuǎn)程可登錄的SMB/Samba用戶名口令

弱密碼示例：

掃描原理：通過(guò)SMB協(xié)議，匹配弱密碼字典庫(kù)，對(duì)終端用戶和口令，進(jìn)行掃描。產(chǎn)生原因：終端存在SMB自建共享或者開(kāi)啟SMB默認(rèn)共享導(dǎo)致，同時(shí)系統(tǒng)用戶存在弱口令。驗(yàn)證方法：

（1）使用命令net use ipipc$ password /u:username進(jìn)行弱密碼登錄嘗試，若登錄成功，則該賬號(hào)一定存在。

（2）該賬號(hào)可能在“計(jì)算機(jī)管理”中不存在，因?yàn)樵撡~號(hào)可能為克隆賬號(hào)、隱藏賬號(hào)或者某程序產(chǎn)生的賬號(hào)。

（3）也存在計(jì)算機(jī)已經(jīng)中毒的可能。《注釋》

判斷計(jì)算機(jī)是否存在隱藏賬號(hào)的方法：

1.打開(kāi)注冊(cè)表編輯器，展開(kāi)HKEY_LOCAL_MACHINESAMSAM，修改SAM權(quán)限 為administrator完全控制。

2.按F5刷新注冊(cè)表，展開(kāi)HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames，對(duì)比用戶列表和計(jì)算機(jī)管理中的用戶列表是否相同，如果存在多余的，則為隱藏賬號(hào)。加固方法： ? 殺毒

? 使用net use ipipc$ /del，進(jìn)行刪除

? 如果可以關(guān)閉Server服務(wù)，建議關(guān)閉Server服務(wù) ? 更改計(jì)算機(jī)系統(tǒng)用戶密碼，設(shè)置足夠密碼強(qiáng)度的口令 ? 關(guān)閉自建共享

問(wèn)題二：SMB漏洞問(wèn)題

漏洞示例：

利用SMB會(huì)話可以獲取遠(yuǎn)程共享列表 主機(jī)SID信息可通過(guò)SMB遠(yuǎn)程獲取 利用主機(jī)SID可以獲取本地用戶名列表

掃描原理：通過(guò)SMB服務(wù)（主要端口為135.445）對(duì)被掃描系統(tǒng)，進(jìn)行信息獲取 產(chǎn)生原因：終端存在SMB自建共享或者開(kāi)啟SMB默認(rèn)共享導(dǎo)致。加固方法：

? 如果可以關(guān)閉Server服務(wù)，建議關(guān)閉Server服務(wù) ? 修改本地安全策略，如：

? 利用SMB會(huì)話可以獲取遠(yuǎn)程共享列表–啟用“不允許匿名列舉SAM帳號(hào)和共享”

? 主機(jī)SID信息可通過(guò)SMB遠(yuǎn)程獲取 –更改“對(duì)匿名連接的額外限制”為“沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)”

? ? ? ? ? ? ? ? 利用主機(jī)SID可以獲取本地用戶名列表–啟用“允許匿名 SID/名稱轉(zhuǎn)換”

通過(guò)防火墻過(guò)濾端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，過(guò)濾方法如下：

進(jìn)入“控制面板->系統(tǒng)和安全->windows 防火墻->左側(cè)高級(jí)設(shè)置”，打開(kāi)“高級(jí)安全防火墻”，右鍵“入站規(guī)則”->新建規(guī)則。

進(jìn)入“規(guī)則類型”頁(yè)面，選擇“要?jiǎng)?chuàng)建的規(guī)則類型”為“端口”，點(diǎn)擊“下一步”。進(jìn)入“協(xié)議和端口”頁(yè)面，選擇“TCP規(guī)則”，并在“特定本地端口”中輸入要屏蔽的端口（如：135、139、445、1025），點(diǎn)擊“下一步”。進(jìn)入“操作”頁(yè)面，選擇“阻止鏈接”，點(diǎn)擊“下一步”。進(jìn)入“配置文件”頁(yè)面，選中“域、專用、公用”，點(diǎn)擊“下一步”。進(jìn)入“名稱”頁(yè)面，輸入一個(gè)名稱，如“網(wǎng)絡(luò)端口屏蔽”

問(wèn)題三：自建共享的問(wèn)題

漏洞示例：

存在可寫共享目錄 存在可訪問(wèn)的共享目錄

猜測(cè)出遠(yuǎn)程可登錄的SMB/Samba用戶名口令

產(chǎn)生原因：終端用戶自建了共享，且共享目錄的權(quán)限為可訪問(wèn)、可寫 加固方法：

? 關(guān)閉自建共享

? 更改共享文件的權(quán)限，取消everyone權(quán)限

問(wèn)題四：SNMP口令問(wèn)題

漏洞示例：

SNMP服務(wù)存在可讀口令 SNMP服務(wù)存在可寫口令

產(chǎn)生原理：通過(guò)UDP 161 端口獲取被測(cè)系統(tǒng)信息。同時(shí)所謂可讀，可寫是針對(duì)RO權(quán)限和RW權(quán)限所對(duì)應(yīng)的，因?yàn)镾NMP代理服務(wù)可能存在默認(rèn)口令。如果您沒(méi)有修改這些默認(rèn)口令或者口令為弱口令，遠(yuǎn)程攻擊者就可以通過(guò)SNMP代理獲取系統(tǒng)的很多細(xì)節(jié)信息。相關(guān)服務(wù)：

? SNMP Service：使簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)請(qǐng)求能在此計(jì)算機(jī)上被處理。如果此服務(wù)停止，計(jì)算機(jī)將不能處理SNMP 請(qǐng)求。如果此服務(wù)被禁用，所有明確依賴它的服務(wù)都將不能啟動(dòng)。SNMP Trap：接收本地或遠(yuǎn)程簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)代理程序生成的陷阱消息并將消息轉(zhuǎn)發(fā)到此計(jì)算機(jī)上運(yùn)行的SNMP 管理程序。如果此服務(wù)被停用，此計(jì)算機(jī)上基于SNMP 的程序?qū)⒉粫?huì)接收SNMP trap 消息。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無(wú)法啟動(dòng)。加固方法：

如非必須，建議關(guān)閉SNMP ? ? ? ? ? XP關(guān)閉方法：控制面板-?“添加或刪除程序”-?“添加/刪除Windows組件”-?“管理和監(jiān)視工具”，雙擊打開(kāi)，取消“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議.Windows 7關(guān)閉方法：控制面板-?“添加或刪除程序”-?“打開(kāi)或關(guān)閉winows功能”，取消“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議.如為必須，請(qǐng)修改SNMP的“團(tuán)體名稱”

打開(kāi)“服務(wù)”?選擇“SNMP server”?右鍵“安全”-?添加團(tuán)體名稱 修改端口號(hào)或者防火墻屏蔽

問(wèn)題五：FTP相關(guān)漏洞問(wèn)題

漏洞示例：

? 猜測(cè)出遠(yuǎn)程FTP服務(wù)存在可登錄的用戶名口令 ? 遠(yuǎn)程FTP服務(wù)器根目錄匿名可寫

產(chǎn)生原理：使用TCP 21號(hào)端口，進(jìn)行FTP相關(guān)漏洞的掃描 加固方法：

? 如果FTP為非必須，建議關(guān)閉FTP服務(wù) ? 如果FTP為業(yè)務(wù)需要，建議修改ftp 若口令

? Linux 下有兩種弱密碼，一個(gè)是ftp, 一個(gè)是anouymous帳號(hào)，對(duì)于anouymous帳號(hào)弱密碼，通過(guò)關(guān)閉默認(rèn)帳號(hào)來(lái)實(shí)現(xiàn)。對(duì)于ftp帳號(hào)，由于此時(shí)ftp帳號(hào)是系統(tǒng)帳號(hào)，故需要通過(guò)passwd為ftp 設(shè)置密碼

? 由于在windows下，ftp帳號(hào)使用的是系統(tǒng)帳號(hào)，因此windows下ftp帳號(hào)的弱密碼，也就是系統(tǒng)帳號(hào)的弱密碼。

? 針對(duì)漏洞“遠(yuǎn)程FTP服務(wù)器根目錄匿名可寫”，使用命令chown root ~ftp &&chmod 0555 ~ftp進(jìn)行加固

問(wèn)題六：Integard Home和Pro HTTP請(qǐng)求遠(yuǎn)程棧溢出漏洞

? 當(dāng)前沒(méi)有解決方案，可能是誤報(bào)，一直在和總部溝通中，尚未找到解決方案。

問(wèn)題七：遠(yuǎn)程協(xié)議相關(guān)漏洞

產(chǎn)生原因：利用TCP 3389端口對(duì)終端進(jìn)行掃描，發(fā)現(xiàn)遠(yuǎn)程協(xié)議相關(guān)漏洞。加固方法：

? ? ? ? 針對(duì)不同漏洞，下載不同補(bǔ)丁

如果遠(yuǎn)程協(xié)議服務(wù)不需要，建議關(guān)閉遠(yuǎn)程桌面協(xié)議 通過(guò)防火墻過(guò)濾3389端口 更改3389端口為一不常見(jiàn)端口

第五篇：IPv6網(wǎng)絡(luò)演進(jìn)整改解決方案

****網(wǎng)絡(luò)IPv6演進(jìn)方案

江蘇****網(wǎng)絡(luò)技術(shù)有限公司

2018年3月13日

網(wǎng)絡(luò)安全加固方案

目錄 2 概述..........................................................................................................................................3 1.1 2.1 項(xiàng)目背景概述.........................................................................................................................3 IPV6網(wǎng)絡(luò)演進(jìn).........................................................................................................................5

IPv6發(fā)展初期階段.........................................................................................................5 IPv6與IPv4共存階段....................................................................................................5 IPv6主導(dǎo)階段.................................................................................................................5 IPv6演進(jìn)模式.................................................................................................................6 IPv6業(yè)務(wù)支持.................................................................................................................6 IPv6可管理性.................................................................................................................6 針對(duì)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行建設(shè).....................................................................................6 需求分析..................................................................................................................................3 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 3 3.1 3.2 3.3 ? ? 3.3.2 ? 3.3.3 3.3.4 3.3.5 需要考慮的問(wèn)題.....................................................................................................................5

解決方案..................................................................................................................................7

網(wǎng)絡(luò)建設(shè)總體要求.................................................................................................................7 交通電子政務(wù)網(wǎng)絡(luò)劃分.........................................................................................................7 方案說(shuō)明.................................................................................................................................8

組網(wǎng)思路.........................................................................................................................8 IPv6用戶的接入方式.....................................................................................................8 業(yè)務(wù)實(shí)現(xiàn)分析.................................................................................................................8 廣域網(wǎng)IPv6組網(wǎng)............................................................................................................9 企業(yè)分支節(jié)點(diǎn)接入.........................................................................................................9 IPv6地址規(guī)劃.................................................................................................................9 IPv6路由規(guī)劃...............................................................................................................10 基于真實(shí)IPv6源地址的用戶標(biāo)識(shí)和認(rèn)證服務(wù)...........................................................12 3.3.1 / 14

網(wǎng)絡(luò)安全加固方案 概述

1.1 項(xiàng)目背景概述

Internet的成功與發(fā)展促進(jìn)了IP網(wǎng)絡(luò)的發(fā)展，不過(guò)IPv4地址已然耗盡，下一代互聯(lián)網(wǎng)使用IPv6技術(shù)已成為互聯(lián)網(wǎng)發(fā)展的必然趨勢(shì)。2011年2月3日，全球互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(IANA)正式宣布已無(wú)新的IPv4地址分配。而隨著物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新型應(yīng)用的快速發(fā)展，將會(huì)需求大量的地址資源，這勢(shì)必會(huì)對(duì)我國(guó)互聯(lián)網(wǎng)持續(xù)穩(wěn)定的發(fā)展產(chǎn)生影響，因此解決IPv4地址短缺的問(wèn)題迫在眉睫。

從技術(shù)本質(zhì)上講，解決IPv4地址短缺，可以采用兩種不同的技術(shù)路線，一種是多級(jí)NAT(如NAT444)技術(shù)，另一種是IPv6技術(shù)，這兩種技術(shù)是完全對(duì)立的。從長(zhǎng)遠(yuǎn)來(lái)看，NAT技術(shù)并不能從根本上解決地址短缺的問(wèn)題，而且會(huì)增加網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性。

2017年11月26日，中辦、國(guó)辦聯(lián)合印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署的行動(dòng)計(jì)劃》（以下簡(jiǎn)稱《計(jì)劃》）。從該《計(jì)劃》可以看到，政府橫向要求政府機(jī)構(gòu)、中央媒體、中央企業(yè)網(wǎng)站完成IPv6的升級(jí)改造，縱向從終端、網(wǎng)絡(luò)到典型應(yīng)用整個(gè)垂直行業(yè)要求支持IPv6的演進(jìn)。這充分反映了國(guó)家戰(zhàn)略和政府在此次IPv6規(guī)模部署行動(dòng)的決心。

為了滿足****區(qū)交通運(yùn)輸管理局未來(lái)的網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)需要，減少新業(yè)務(wù)與應(yīng)用的IT成本，以及物聯(lián)網(wǎng)及大數(shù)據(jù)在交通業(yè)務(wù)方面的應(yīng)用需求。IPv6網(wǎng)絡(luò)的部署及演進(jìn)已是必然趨勢(shì)，需提前做好相應(yīng)的技術(shù)規(guī)劃，未雨綢繆。需求分析

目前，在****區(qū)交通系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)中，部分業(yè)務(wù)系統(tǒng)是通過(guò)IPV4 NAT技術(shù)實(shí)現(xiàn)交通局和下轄單位網(wǎng)絡(luò)的互聯(lián)互通，與互聯(lián)網(wǎng)業(yè)務(wù)的訪問(wèn)也是通過(guò)NAT技術(shù)實(shí)現(xiàn)。拓?fù)渚W(wǎng)絡(luò)如下圖： / 14

網(wǎng)絡(luò)安全加固方案

圖2-1****系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

NAT技術(shù)的使用，雖然能解決IPv4地址的緊缺和網(wǎng)絡(luò)自治區(qū)域間的互聯(lián)互通，但也為網(wǎng)絡(luò)的使用帶來(lái)消極影響；NAT是一種救急措施而非最終解決方案。

NAT網(wǎng)絡(luò)的弊端如下：

? 破壞的IP 的端到端模型，增加網(wǎng)絡(luò)復(fù)雜性，提高網(wǎng)絡(luò)運(yùn)維成本 ? 地址和端口轉(zhuǎn)換需要額外處理，影響網(wǎng)絡(luò)性能，降低流媒體業(yè)務(wù)質(zhì)量

? 保存連接狀態(tài)，存在單點(diǎn)失效問(wèn)題，降低了網(wǎng)絡(luò)的可靠性 ? 面臨非NAT友好應(yīng)用問(wèn)題，某些新業(yè)務(wù)需升級(jí)NAT設(shè)備

由于IPv4與IPv6協(xié)議的不兼容，引入IPv6技術(shù)關(guān)鍵在于即要保證原有IPv4業(yè)務(wù)的應(yīng)用，同時(shí)又要考慮通過(guò)IPv6引入減輕IPv4地址不足所面臨的壓力。因此產(chǎn)生了大量的IPv6演進(jìn)方案，包括雙棧技術(shù)、NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE等多種解決方案。具體采用哪種解決方案，需要結(jié)合****區(qū)交通局網(wǎng)絡(luò)信息系統(tǒng)的現(xiàn)有情況及今后的業(yè)務(wù)場(chǎng)景需求，選擇對(duì)應(yīng)的IPv6演進(jìn)策略。沒(méi)有任何一個(gè)技術(shù)可以解決所有問(wèn)題，需要具體問(wèn)題具體分析。

未來(lái)網(wǎng)絡(luò)的最終模型必然是單棧IPv6網(wǎng)絡(luò)已成為業(yè)界共識(shí)，因此在選擇IPv6演進(jìn)方案時(shí)，更多的需要考慮所選擇的技術(shù)架構(gòu)是需要符合未來(lái)的發(fā)展趨勢(shì)，同時(shí)也可以避免多次升級(jí)所帶來(lái)的各種問(wèn)題。受限于應(yīng)用系統(tǒng)或終端局限等問(wèn)題，不能在短時(shí)間內(nèi)大規(guī)模升級(jí)到IPv6，且大量業(yè)務(wù)仍是基于IPv4的業(yè)務(wù)應(yīng)用，因此在未來(lái)一段時(shí)間內(nèi)，網(wǎng)絡(luò)中主要的應(yīng)用還是基于IPv4的。為加快IPv6的演進(jìn)，需要加快引進(jìn)IPv6業(yè)務(wù)的進(jìn)度。

目前，****局網(wǎng)絡(luò)在IPv6部署演進(jìn)中主要會(huì)面臨三大挑戰(zhàn)：業(yè)務(wù)、終端與網(wǎng)絡(luò)邊緣。

由于網(wǎng)絡(luò)邊緣設(shè)備涉及到相對(duì)復(fù)雜的網(wǎng)絡(luò)路由管理、安全、業(yè)務(wù)感知等功能，且會(huì)存在一定數(shù)量現(xiàn)網(wǎng)設(shè)備不具備軟件升級(jí)支持IPv6的能力，會(huì)面臨替換的問(wèn)題，但相對(duì)來(lái)講，在三大挑戰(zhàn)中這是最容易解決的。/ 14

網(wǎng)絡(luò)安全加固方案

對(duì)于終端和業(yè)務(wù)部分而言，終端因涉及到規(guī)模龐大、應(yīng)用軟件種類多、總體成本高等原因，是IPv6網(wǎng)絡(luò)演進(jìn)的主要困難。沒(méi)有創(chuàng)新的應(yīng)用也就難以為IPv6特色業(yè)務(wù)的開(kāi)發(fā)和規(guī)模提供有效平臺(tái)，整個(gè)IPv6演進(jìn)就難以進(jìn)入良性循環(huán)。

2.1 IPv6網(wǎng)絡(luò)演進(jìn)

當(dāng)前大量的網(wǎng)絡(luò)是IPv4網(wǎng)絡(luò)，隨著IPv6的部署，很長(zhǎng)一段時(shí)間是IPv4與IPv6共存的過(guò)渡階段。通常將IPv6的部署劃分為以下個(gè)階段：

圖2-2 IPv6的部署方案

2.1.1 IPv6發(fā)展初期階段

在IPv6網(wǎng)絡(luò)部署初期，IPv6站點(diǎn)的規(guī)模不大，因此在IPv4網(wǎng)絡(luò)中形成了一個(gè)個(gè)“IPv6孤島”。業(yè)務(wù)應(yīng)用上以原有的IPv4應(yīng)用為主，需要保證IPv6站點(diǎn)與IPv4網(wǎng)絡(luò)之間的通信，以及IPv6站點(diǎn)之間的互連。

2.1.2 IPv6與IPv4共存階段

隨著IPv6網(wǎng)絡(luò)規(guī)模的擴(kuò)大，純IPv6網(wǎng)絡(luò)與純IPv4網(wǎng)絡(luò)并存。基于IPv6的傳統(tǒng)業(yè)務(wù)逐漸開(kāi)始大量部署，需要保證IPv6與IPv4之間的通信。

2.1.3 IPv6主導(dǎo)階段

純IPv6網(wǎng)絡(luò)最終形成，原有的IPv4網(wǎng)絡(luò)大部分升級(jí)為IPv6，只剩下少數(shù)的IPv4站點(diǎn)成為“IPv4孤島”。此時(shí)適用于IPv6的各種新型業(yè)務(wù)開(kāi)始成為主流業(yè)務(wù)。

2.2 需要考慮的問(wèn)題

在****區(qū)交通系統(tǒng)部署IPv6之前，我們首先要考慮部署的總體方針和策略： / 14

網(wǎng)絡(luò)安全加固方案

2.2.1 IPv6演進(jìn)模式

在交通網(wǎng)中部署IPv6可以有全雙棧模式和隧道模式。全雙棧模式組網(wǎng)是最理想的方案，不必為不同類型的用戶單獨(dú)部署網(wǎng)絡(luò)配置，開(kāi)銷小，管理簡(jiǎn)單、IPv4和IPv6的邏輯界面清晰。隧道模式屬于過(guò)渡技術(shù)，不是最終的理想方案；隧道兩端點(diǎn)設(shè)備需要花費(fèi)額外的系統(tǒng)開(kāi)銷。

2.2.2 IPv6業(yè)務(wù)支持

如：IPv6的過(guò)渡技術(shù)有手工隧道方式，自動(dòng)隧道方式，有基于MPLS VPN技術(shù)的6PE方式，有基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的NAT-PT等等，IPv6的單播路由協(xié)議有OSPFv3,ISISv6,BGP4+等等，IPv6的組播路由協(xié)議有PIM-SM,PIM-SSM等等。

2.2.3 IPv6可管理性

在本次網(wǎng)絡(luò)建設(shè)后，應(yīng)充分考慮網(wǎng)絡(luò)部署IPv6的可管理及可維護(hù)性，要能夠滿足日常業(yè)務(wù)的需要和網(wǎng)絡(luò)安全管理方面的需求。

2.2.4 針對(duì)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行建設(shè)

主干網(wǎng)絡(luò)設(shè)備可以考慮直接擴(kuò)容為全雙棧模式，適當(dāng)兼顧只支持IPv4協(xié)議棧的終端；并可根據(jù)交通局業(yè)務(wù)的的實(shí)際情況，可以先建設(shè)部分雙棧網(wǎng)絡(luò)，其他部分采用隧道模式允許用戶IPv6業(yè)務(wù)，逐步將不支持IPv6的設(shè)備進(jìn)行換代升級(jí)。

綜上所述，本次部署IPv6網(wǎng)絡(luò)的時(shí)候，建議有條件的網(wǎng)絡(luò)中采用全雙棧部署，完成本次駐地網(wǎng)的大部分改造，其次根據(jù)現(xiàn)有交通網(wǎng)內(nèi)的實(shí)際業(yè)務(wù)應(yīng)用情況，采用部分過(guò)渡技術(shù)，在不影響現(xiàn)有IPv4網(wǎng)絡(luò)主要業(yè)務(wù)的條件下，使得交通專網(wǎng)中需要部署IPv6網(wǎng)絡(luò)的地方能夠通過(guò)隧道技術(shù)，接入業(yè)務(wù)服務(wù)區(qū)域或CERNET2。/ 14

網(wǎng)絡(luò)安全加固方案 解決方案

3.1 網(wǎng)絡(luò)建設(shè)總體要求

1、安全保密性

嚴(yán)格遵循國(guó)家安全保密法規(guī)，從技術(shù)、管理角度，加強(qiáng)網(wǎng)絡(luò)和信息的安全防范，確保涉密信息安全，實(shí)現(xiàn)與非專網(wǎng)業(yè)務(wù)——如因特網(wǎng)業(yè)務(wù)的嚴(yán)格邏輯隔離，保障三級(jí)縱向?qū)＞W(wǎng)的安全。

2、業(yè)務(wù)承載靈活性

在保證網(wǎng)絡(luò)及信息安全保密的同時(shí)，還需兼顧業(yè)務(wù)承載、系統(tǒng)架構(gòu)和數(shù)據(jù)交換實(shí)際需要，按照“強(qiáng)化業(yè)務(wù)網(wǎng)”的思路開(kāi)展網(wǎng)絡(luò)及應(yīng)用系統(tǒng)建設(shè)。

3、提高資源利用率

按照統(tǒng)籌規(guī)劃、統(tǒng)一布署、分步實(shí)施的原則，從全局出發(fā)，打破部門界限，實(shí)現(xiàn)三級(jí)交通運(yùn)輸系統(tǒng)各部門的互聯(lián)互通和資源共享，使交通系統(tǒng)已有的各類信息資源發(fā)揮出最大效益，避免重復(fù)建設(shè)，杜絕資源浪費(fèi)。

3.2 交通電子政務(wù)網(wǎng)絡(luò)劃分

根據(jù)省政府關(guān)于電子政務(wù)建設(shè)的有關(guān)要求，全省交通電子政務(wù)網(wǎng)絡(luò)分為電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)。

****電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

從上圖可以看出，交通電子政務(wù)網(wǎng)絡(luò)邏輯上分為兩套網(wǎng)絡(luò)，即電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)，物理上分為三套網(wǎng)絡(luò)，即涉密網(wǎng)、交通業(yè)務(wù)專網(wǎng)和外網(wǎng)。

電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)須物理隔離，交通行業(yè)業(yè)務(wù)專網(wǎng)和交通行業(yè)外網(wǎng)之間應(yīng)采用安全等級(jí)較高設(shè)備（如防火墻、網(wǎng)閘）進(jìn)行隔離，提高網(wǎng)絡(luò)之間的安全性。/ 14

網(wǎng)絡(luò)安全加固方案

3.3 方案說(shuō)明

由于現(xiàn)有網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)且具備相當(dāng)?shù)挠脩粢?guī)模，如果對(duì)全網(wǎng)設(shè)備進(jìn)行升級(jí)將面臨投資較大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等一系列的問(wèn)題。

針對(duì)這種情況，建議采用升級(jí)現(xiàn)有IPv4網(wǎng)絡(luò)的方案。

3.3.1 組網(wǎng)思路

在現(xiàn)有IPv4網(wǎng)絡(luò)下分散著若干IPv6/IPv4雙棧主機(jī)，為使這些主機(jī)接入到IPv6網(wǎng)絡(luò)當(dāng)中且對(duì)現(xiàn)網(wǎng)的原有應(yīng)用的影響最小，可首先將交通網(wǎng)絡(luò)的核心設(shè)備（核心交換機(jī)）升級(jí)為雙棧，網(wǎng)絡(luò)的其他部分保持不變。核心設(shè)備完成升級(jí)后，可分別提供至IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的出口；IPv6/IPv4雙棧主機(jī)可以采用ISATAP隧道的方式直接接入核心交換機(jī)。對(duì)于原有的IPv4用戶不造成任何影響，同時(shí)實(shí)現(xiàn)了IPv6用戶的接入（如下圖）。核心設(shè)備應(yīng)考慮節(jié)點(diǎn)冗余，因此建議逐步完成對(duì)所有核心設(shè)備的升級(jí)。

? IPv6用戶的接入方式

在節(jié)點(diǎn)1下，由于網(wǎng)絡(luò)中匯聚層依然是原有的IPv4交換機(jī)，接入層是原有的IPv4交換機(jī)或L2交換機(jī)，為完成IPv6用戶到核心交換機(jī)的連接，可采用ISATAP隧道的方式。

在節(jié)點(diǎn)2和節(jié)點(diǎn)3下，用戶通過(guò)雙棧方式或IPv6 over IPv4隧道方式完成連接。

? 業(yè)務(wù)實(shí)現(xiàn)分析

通過(guò)升級(jí)，原有的IPv4網(wǎng)絡(luò)下的IPv4用戶的業(yè)務(wù)不受影響。新增的IPv6/IPv4雙棧用戶可以正常訪問(wèn)IPv6網(wǎng)絡(luò)和IPv6業(yè)務(wù)以及IPv4網(wǎng)絡(luò)和IPv4業(yè)務(wù)。

在IPv6建設(shè)初期，IPv6業(yè)務(wù)資源相對(duì)較少，因此需要考慮純IPv6用戶對(duì)于現(xiàn)有IPv4業(yè)務(wù)資源的訪問(wèn)。同時(shí)，IPv4用戶也會(huì)有訪問(wèn)IPv6業(yè)務(wù)資源的需求。為實(shí)現(xiàn)這兩種可能的業(yè)務(wù)互訪的需求，需要考慮如何放置NAT-PT設(shè)備。/ 14

網(wǎng)絡(luò)安全加固方案

3.3.2 廣域網(wǎng)IPv6組網(wǎng)

廣域網(wǎng)組網(wǎng)側(cè)重于“IPv6孤島”之間跨越廣域網(wǎng)的連接，如，交通局總部與下轄單位、下轄段位之間通過(guò)IPv6連接等網(wǎng)絡(luò)情況，都可適用。

? 企業(yè)分支節(jié)點(diǎn)接入

若新建部分IPv6分支，為了實(shí)現(xiàn)與分支節(jié)點(diǎn)的IPv6連接，可將分支機(jī)構(gòu)作為匯聚節(jié)點(diǎn)的路由器設(shè)備升級(jí)為雙棧。這樣，原有的IPv4分支與交通局的連接保持不變，新建的IPv6分支節(jié)點(diǎn)出口設(shè)備采用雙棧路由器，可接入到交通局的雙棧設(shè)備上。

根據(jù)實(shí)際組網(wǎng)需要，分支與交通局之間可運(yùn)行OSPFv3路由協(xié)議。

3.3.3 IPv6地址規(guī)劃

IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用的方便有效的管理網(wǎng)絡(luò)的問(wèn)題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。按照最新的IPv6 RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，協(xié)議并沒(méi)有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請(qǐng)到的IPv6地址空間為/32的地址。

IPv6的地址使用方式有兩類，一類是普通網(wǎng)絡(luò)申請(qǐng)使用的IP地址，這類地址完全遵從前綴+接口標(biāo)識(shí)符的IP地址表示方法；另外一類就是取消接口標(biāo)識(shí)符的方法，只使用前綴來(lái)表示IP地址。

IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，IPv6地址規(guī)劃目前尚沒(méi)有主流的規(guī)則，具體的IP地址分配通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，可以遵循一些分配原則： / 14

網(wǎng)絡(luò)安全加固方案

? 地址資源應(yīng)全網(wǎng)統(tǒng)一分配

? 地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡(jiǎn)化路由表 ? IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的發(fā)展要求 ? 充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。

IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。IPv6的地址規(guī)劃時(shí)考慮三大類地址：

1、公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。

2、網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址。

根據(jù)IETF IPv6工作組的建議IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。

3、用戶終端的業(yè)務(wù)地址。

此外由于目前網(wǎng)絡(luò)設(shè)備的IPv6 MIB信息的獲取和OSPFv3中ROUTER ID等均要求即使是一個(gè)純IPv6網(wǎng)絡(luò)也必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地址。所以一個(gè)純IPv6網(wǎng)絡(luò)也必須規(guī)劃IPv4地址（僅需要網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址）。

3.3.4 IPv6路由規(guī)劃

路由協(xié)議分為域內(nèi)路由協(xié)議和域間路由協(xié)議，目前主要的路由協(xié)議都增加了對(duì)IPv6的支持功能。從路由協(xié)議的應(yīng)用范圍來(lái)看，OSPFv3、RIPng和IS-ISv6適用10 / 14

網(wǎng)絡(luò)安全加固方案

于自治域內(nèi)部路由，為內(nèi)部網(wǎng)關(guān)協(xié)議；BGP4+用來(lái)在自治域之間交換網(wǎng)絡(luò)可達(dá)信息，是外部網(wǎng)關(guān)協(xié)議。? 域內(nèi)路由協(xié)議選擇

支持IPv6的內(nèi)部網(wǎng)關(guān)協(xié)議有：RIPng、OSPFv3、IS-ISv6協(xié)議。從路由協(xié)議標(biāo)準(zhǔn)化進(jìn)程看，RIPng和OSPFv3協(xié)議已較為成熟，支持IPv6的IS-IS協(xié)議標(biāo)準(zhǔn)草案也已經(jīng)過(guò)多次討論修改，標(biāo)準(zhǔn)正在形成之中，而且IS-ISv6已經(jīng)在主流廠家的相關(guān)設(shè)備得到支持。從協(xié)議的應(yīng)用范圍的角度，RIPng協(xié)議適用于小規(guī)模的網(wǎng)絡(luò)，而OSPF和IS-IS協(xié)議可用于較大規(guī)模的網(wǎng)絡(luò)。

對(duì)于大規(guī)模的IP網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，內(nèi)部路由協(xié)議（IGP）必須使用鏈路狀態(tài)路由協(xié)議，只能在OSPF與IS-IS之間進(jìn)行選擇，下面對(duì)兩種路由協(xié)議進(jìn)行簡(jiǎn)單的對(duì)比。

目前在IPv4網(wǎng)絡(luò)中大量使用的OSPF路由協(xié)議版本號(hào)為OSPFv2，能夠支持IPv6路由信息的OSPF版本稱為OSPFv3，能夠支持IPv6路由信息交換的ISIS路由協(xié)議稱為IS-ISv6。OSPFv3：

OSPFv3與OSPFv2相比，雖然在機(jī)制和選路算法并沒(méi)有本質(zhì)的改變，但新增了一些OSPFv2不具備的功能。OSPFv3只能用來(lái)交換IPv6路由信息，ISISv6可以同時(shí)交換IPv4路由信息和IPv6路由信息。

OSPF是基于IP層的協(xié)議，OSPF v3是為IPv6開(kāi)發(fā)的一套鏈路狀態(tài)路由協(xié)議。大體與支持IPv4的OSPF v2版本相似。對(duì)比OSPF v2，在OSPF v3中有以下區(qū)別： / 14

網(wǎng)絡(luò)安全加固方案

雖然OSPFv3是為IPv6設(shè)計(jì)的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一個(gè)IPv6的地址。所以即使運(yùn)行OSPF v3也需要為路由器分配IPv4地址。

協(xié)議的運(yùn)行是按照每一條鏈路（Per-link）進(jìn)行的，而不是按照每個(gè)子網(wǎng)進(jìn)行的（per-subnet）；

把地址域從OSPF包和一些LSA數(shù)據(jù)包中去除掉，使得成為網(wǎng)絡(luò)層協(xié)議獨(dú)立的路由協(xié)議：

與OSPFv2不同，IPv6的地址不再出現(xiàn)在OSPF包中，而是會(huì)在鏈路狀態(tài)更新數(shù)據(jù)包中作為L(zhǎng)SA的負(fù)載出現(xiàn)；

Router-LSA和Network-LSA也不再包含網(wǎng)絡(luò)地址，而只是簡(jiǎn)單的表示拓?fù)湫畔ⅲ?鄰居路由器的識(shí)別將一直使用Router ID，而不是像OSPFv2一樣在某些使用端口會(huì)將端口地址作為標(biāo)識(shí)。

Link-Local地址可以作為OSPF的轉(zhuǎn)發(fā)地址。除了Virtual link必須使用Global unicast地址或者使用Site-local地址。

去掉了認(rèn)證信息。在OSPF v3中不再有認(rèn)證方面的信息。如果需要加密，可以使用IPv6中定義的IP Authentication Header來(lái)實(shí)現(xiàn)。

3.3.5 基于真實(shí)IPv6源地址的用戶標(biāo)識(shí)和認(rèn)證服務(wù)

基于真實(shí)IPv6源地址的用戶標(biāo)識(shí)和認(rèn)證服務(wù)即保證用戶的IPv6地址的使用必須是經(jīng)過(guò)授權(quán)的，具體應(yīng)用與場(chǎng)景相關(guān)，可分為路由轉(zhuǎn)發(fā)流量和本地接入流量的源地址驗(yàn)證。

1、路由轉(zhuǎn)發(fā)流量： / 14

網(wǎng)絡(luò)安全加固方案

交通局網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)，可采用OSPFv3或ISIS等，ISIS可以通過(guò)MD5加密，OSPF可以使用IPSEC加密，保證IPv6路由來(lái)源的可靠性，然后通過(guò)URPF或ACL來(lái)檢查報(bào)文的源地址是否來(lái)源于正確的端口。

2、本地接入流量：

此環(huán)境下和接入層組網(wǎng)、地址分配方式、接入設(shè)備密切相關(guān)。接入層典型的組網(wǎng)由客戶端（主機(jī)Host）、接入設(shè)備（NAS）、AAA服務(wù)器組成。地址分配包括無(wú)狀態(tài)地址分配（ND，以及擴(kuò)展的SEND、Privacy Extensions）、有狀態(tài)地址分配（DHCP）、手工配置等，采用有狀態(tài)分配地址，組網(wǎng)中要加入DHCP服務(wù)器。接入設(shè)備NAS有路由器、交換機(jī)、AC/AP等，對(duì)應(yīng)的接入鏈路層包括ADSL、Ethernet、WiFi等，其上都可以直接承載IPv6數(shù)據(jù)報(bào)文。如果二層本身就可以隔離或加密，則部署較簡(jiǎn)單，只需要在認(rèn)證環(huán)節(jié)確保安全、然后將二層信息與IPv6地址進(jìn)行綁定即可，否則需要考慮后續(xù)的每報(bào)文的安全性處理。

接入認(rèn)證協(xié)議有802.1x、PPPoE、PORTAL、802.11i、WAPI等，可以將MAC地址、端口與IPv6地址綁定，無(wú)線協(xié)議是共享端口的，可以將IPv6地址與二層傳輸密鑰綁定。綁定的過(guò)程，視地址分配方式而不同，手工配置只能靜態(tài)綁定，ND/DHCP則可以動(dòng)態(tài)綁定。對(duì)于ND協(xié)議，其安全性需要提高，可以采用類似ARP的方案來(lái)補(bǔ)充：ND源抑制功能、ND防IP報(bào)文攻擊功能、ND的主動(dòng)確認(rèn)、源MAC地址固定的ND攻擊檢測(cè)、ND報(bào)文源MAC一致性檢查、ND報(bào)文限速、授權(quán)ND、ND Detection、ND Proxy等。/ 14