第一篇：整改解決方案

征求意見整改情況匯報總結(jié)

醫(yī)院黨的群眾路線教育實踐活動動員大會之后，教育實踐活動就進入了第一環(huán)節(jié)。我院嚴(yán)格按照上級要求堅持醫(yī)療與教育實踐并重，廣泛征求職工對院改進工作作風(fēng)的意見和建議。突出重點、落實責(zé)任、分類指導(dǎo)，做到邊學(xué)邊改，取得較好的效果。醫(yī)院共梳理了8條意見和建議，現(xiàn)針對存在的問題、一、我院以解決的問題如下：

1、領(lǐng)導(dǎo)干部增強創(chuàng)新、多下基層聯(lián)系群眾的問題

經(jīng)過院領(lǐng)導(dǎo)班子決定，醫(yī)院院長、副院長定期到分管科室了解情況，一月不少于2次，同時做好下基層活動記錄，對你發(fā)現(xiàn)的問題能及時解決的現(xiàn)場解決，對不能解決的上報的醫(yī)院進一步商討解決。方案傳達后，院長及各位副院長按時下基層，做好活動記錄，陸續(xù)解決問題20余件。

2、關(guān)心職工身體健康，要求定期體檢的問題

我院去年給予所有女職工進行了乳腺癌和宮頸癌的健康體檢，今年將健康體檢的范圍擴大到全院職工，進行心電圖、彩超、胸透、化驗等多項目的體檢檢查。目前的體檢計劃已經(jīng)列出，計劃5月份至11月份將完成所有職工的體檢檢查工作。

3、各科室之間增強協(xié)調(diào)溝通能力的問題

為進一步加強科室之間的溝通協(xié)調(diào)能力，醫(yī)院要求各科室制定相應(yīng)的實施方案，按照事件處理流程，先期主任、護士長溝通，解決不了的問題上報到主管院長進行協(xié)調(diào)解決。醫(yī)院利用每周五院務(wù)會時

間，要求所有的科主任、護士長參加會議，在會上可以進行直接有效地溝通，方便快捷的解決問題。

4、及時更新醫(yī)療設(shè)備的問題

針對醫(yī)療的快速發(fā)展，醫(yī)療的設(shè)備更新速度也進入快速更替的時代，對于需要設(shè)備更新的科室，由科室提出申請，醫(yī)院進行核查后，確需更換的，醫(yī)院按照資金及科室的需要逐步引進。今年以來按照設(shè)備更新方案，醫(yī)院眼科、核磁分別按照程序進行了設(shè)備的更換，下一步計劃對檢驗科部分老舊設(shè)備進行部分更換。

5、改革效益工資分配方案的問題

醫(yī)院是差額撥款單位，效益工資是根據(jù)醫(yī)院每月的收入進行核算分發(fā)的，進一步改革分配方案，醫(yī)院前期調(diào)研，進一步征求職工的意見，逐步出臺分配方案。根據(jù)職工的意見和建議，提高了醫(yī)護人員的夜班待遇、急診出診待遇，對節(jié)假日出診人員給予一定的加班獎勵。

6、對醫(yī)院人才培養(yǎng)要有長遠計劃的問題

醫(yī)院的發(fā)展就是人才的發(fā)展和醫(yī)療技術(shù)的發(fā)展，只有醫(yī)療技術(shù)發(fā)展了，患者才能得到更好的就醫(yī)，徹底的解決病痛。針對醫(yī)院人才的發(fā)展，醫(yī)教科每年會列出培訓(xùn)計劃，分為三部分，一部分為醫(yī)院內(nèi)部的學(xué)習(xí)培訓(xùn)，每周四是醫(yī)院醫(yī)師的業(yè)務(wù)培訓(xùn)，進行“三基三嚴(yán)”的技術(shù)掌握，同時我院每年會定期送出一批骨干力量到外院進修學(xué)習(xí)先進的醫(yī)療技術(shù)，分為短期培訓(xùn)及長期培訓(xùn)。我院同時與北京友誼醫(yī)院建立對口支援項目，本著“請進來、送出去”的原則，大幅度提高了我院的醫(yī)療技術(shù)診治水平。在今后的工作中，我院會進一步加強人才的培訓(xùn)，掌握先進的醫(yī)療技術(shù)，更好的為百姓的健康服務(wù)。

二、現(xiàn)我院需上級部門協(xié)調(diào)幫助解決的問題如下：

1、要求進一步擴大黨員隊伍的問題

醫(yī)院鼓勵基層中青年積極加入黨組織，黨員的發(fā)展一定按照發(fā)展程序進行，首先個人提交申請，組織考核列入積極分子考核期滿，上報到上級部門審查通過后列為預(yù)備黨員，預(yù)備期滿合格后轉(zhuǎn)為正式黨員。全市黨員發(fā)展計劃中衛(wèi)生系統(tǒng)每年核給基層指標(biāo)只有1名，我院目前職工人數(shù)接近500人，面臨的困難發(fā)展指標(biāo)少，醫(yī)院經(jīng)過爭取，每年醫(yī)院發(fā)展黨員1名。在群眾路線教育實踐活動征求意見環(huán)節(jié)調(diào)查中，針對基層提出的此項問題，黨辦做出了要多發(fā)展黨員的問題說明，并在今后的工作中，積極向上級部門爭取名額，盡可能把培養(yǎng)成熟的黨員吸收進入黨內(nèi)，為醫(yī)院黨組織增加新的血液。

2、引進新畢業(yè)大學(xué)生，形成人才梯隊

隨著醫(yī)療市場的改革，醫(yī)保制度的進一步完善，醫(yī)院面對的事越來的越多的患者，隨著一批老醫(yī)護人員的退休，面對的醫(yī)療壓力也越來越大，雖然近幾年從沿線調(diào)入一批醫(yī)護人員，但遠遠落后與患者的增長，造成醫(yī)療人員超負荷工作，針對這一現(xiàn)象，我院已經(jīng)向市委、市政府匯報，并與人才交流中心、就業(yè)局達成協(xié)議，逐步引進人才。醫(yī)教科列出引進人才計劃，上報到上級主管部門，同時和就業(yè)局溝通，參加就業(yè)局組織的招聘會，多渠道吸引高科技人才。

三、結(jié)合市委梳理的意見和建議方面存在的問題

群眾路線活動開展以來，在市委的指導(dǎo)下，活動按序，有條不紊的進行著，針對市委梳理出的意見和建議結(jié)合我院的實際完成整改如下：

1、關(guān)于貫徹落實中央八項規(guī)定和反對“四風(fēng)”問題

認真落實中央八項規(guī)定和自治區(qū)配套規(guī)定，院領(lǐng)導(dǎo)帶頭執(zhí)行，起到表率作用，利用醫(yī)院電子屏、宣傳欄等積極宣傳八項規(guī)定及市委的十條禁令，制定相應(yīng)的規(guī)章制度，本著“用制度管人，用制度辦事”的原則。堅決執(zhí)行勤儉節(jié)約的光榮傳統(tǒng)，對醫(yī)院的物品使用，有總務(wù)科做好消耗記錄，每月上報一次，嚴(yán)格杜絕鋪張浪費。

2、關(guān)于增強服務(wù)方面

通過開展“我是誰、為了誰、依靠誰”大討論活動，進一步增強職工的為人民服務(wù)意識，教育廣大職工堅定“百姓無小事”的原則，學(xué)會換位思考，對待患者像親人一樣熱情，增強和患者的溝通能力，減少患者的就診流程，減少患者就診等候時間。

3、開展教育實踐活動方面

在教育實踐活動過程中，堅決杜絕走過場，本著主要領(lǐng)導(dǎo)親自上手帶頭下基層的原則，醫(yī)院要求主要分管領(lǐng)導(dǎo)定期下基層，按時參加學(xué)習(xí)教育活動，及時書寫學(xué)習(xí)筆記及下基層活動記錄。在宣傳上多渠道宣傳活動的實際意義，通過增設(shè)意見箱、發(fā)放意見調(diào)查表，面對面座談等形式深入開展活動，切實解決群眾迫切需要解決的問題。

4、食品安全醫(yī)療衛(wèi)生等方面

加強“120”基礎(chǔ)設(shè)施建設(shè)，我院對120醫(yī)護人員進行有計劃定期

培訓(xùn)，同時為了進一步方便進入小區(qū)接受患者，我院新進購入一臺矮架120救護車，解決了目前救護車由于架高無法進入小區(qū)大門的問題，加強對鄉(xiāng)鎮(zhèn)醫(yī)院的醫(yī)療扶持，積極開展對口支援工作，解決了當(dāng)?shù)鼐用窨床〔环奖愕膯栴}。進一步加強醫(yī)院黨建工作和思想建設(shè)，提高黨性修養(yǎng)，不斷提高思想政治素質(zhì)，祝好制度化的學(xué)習(xí)，積極開展談心活動，出臺《醫(yī)德醫(yī)風(fēng)考評實施方案》，增強醫(yī)務(wù)人員責(zé)任意識，狠抓醫(yī)療質(zhì)量，務(wù)實工作切實提高醫(yī)療服務(wù)水平。

5、其他方面

我院積極創(chuàng)建無煙單位，醫(yī)院在顯著位置均貼有禁煙的標(biāo)識，利用宣傳欄宣傳禁煙知識，嚴(yán)格執(zhí)行領(lǐng)導(dǎo)干部帶頭禁煙、醫(yī)務(wù)人員及患者禁煙制度，同時醫(yī)院成立了戒煙門診，幫助需要的患者進一步戒煙。以上是我院在征求意見的基礎(chǔ)上，查找出來的主要問題、原因分析以及今后努力的方向，請市教育實踐活動領(lǐng)導(dǎo)小組進行嚴(yán)格審議，以幫助我們找準(zhǔn)問題和原因，找出工作中的差距，使下一步的整改工作做得更好，確保群眾路線教育實踐活動取得實效。

第二篇：倉庫整改解決方案

一、目的

倉庫整改計劃

為了改善倉庫目前的混亂現(xiàn)狀，提升倉儲管理效率，降低生產(chǎn)成本，使倉儲 管理規(guī)范化；達到物盡其用，貨暢其流，為公司各部門生產(chǎn)工作提供有力保障。

二、目前存在主要問題: :

1、倉庫部門職能、職責(zé)不清，部門崗位職能、職責(zé)不清，分工不明確，責(zé)任不能落實到人； 2、倉庫布局規(guī)劃不太合理，區(qū)域劃分不明確，造成空間利用困難和浪費； 3、物料標(biāo)示不清，沒有規(guī)范的物料標(biāo)識。

4、物料擺放不合理，出現(xiàn)混、亂、雜 ，同種物料放置于幾個地方，找貨難； 沒有實施“先進先出”管理。

5、物料入庫未經(jīng)品質(zhì)檢驗（沒有最重要的進料檢驗），良品、不良品混雜。

6、物料編碼管理不嚴(yán)謹，存在一料多碼和一碼多款物料現(xiàn)象。

7、庫存積壓嚴(yán)重，呆滯物料處理不當(dāng)，增加倉庫管理成本及庫存壓力； 8、倉庫管理系統(tǒng)不完善，沒有明確的倉庫運作流程，倉儲作業(yè)規(guī)范及管理制度不健全。

9、產(chǎn)品資料缺失（沒有 BOM 表，沒有產(chǎn)品物料清單），生產(chǎn)用料發(fā)放缺乏 重要依據(jù)，工作盲目性嚴(yán)重，作業(yè)效率低； 10、ERP 系統(tǒng)形同虛設(shè)，系統(tǒng)數(shù)據(jù)不準(zhǔn)確、不及時，未能發(fā)揮其有效功能，難以為管理提供可靠的決策依據(jù)；物料信息沒能共享，庫存管理信息不流通。

三、主要原因分析：

基于公司目前物料管理現(xiàn)狀，經(jīng)過分析，本人認為根源在于：

1、公司對倉儲部門職能定位不準(zhǔn)確，高層領(lǐng)導(dǎo)重視度不夠。

2、長時期的無序管理。

3、倉庫處于開放式管理狀態(tài) 4、物料進出庫沒有嚴(yán)格的流程和工作紀(jì)律管控，未明訂各項具體作業(yè)流程，在作業(yè)上無從遵循，造成執(zhí)行上的困難； 5、倉庫管理人員倉儲管理知識不足，業(yè)務(wù)能力欠缺； 6、公司營運體系的不完善，受銷售、采購、生產(chǎn)、品質(zhì)等部門的不確定因素影響嚴(yán)重，特別是受生產(chǎn)計劃的影響很大，造成收料、發(fā)料難及料帳整理困難。

四、改善思路：1、明確倉庫的職能、職責(zé)及倉庫管理人員的主要工作職責(zé)及分工：

? 倉庫的主要職能：

① 依據(jù)訂購單點收物料,并按貨倉庫管理制度(作業(yè)指導(dǎo)書)檢查數(shù)量． ② 將 IQC 驗收好的物料按指定位置予以存放． ③ 存放場所的整理、整頓、清掃、清潔、素養(yǎng)符合 5S 要求，防止品質(zhì)發(fā)生變異； ④ 依據(jù)領(lǐng)料相關(guān)單據(jù)配備和發(fā)放物料； ⑤ 料賬出入庫記錄與定期盤存； ⑥ 不良物料及呆廢料的定期申報及處理； ? 倉庫管理人員的主要工作職責(zé)：

① 負責(zé)建立倉庫內(nèi)所有物資的臺帳。

② 按照管理要求擺放整齊、做好標(biāo)識，做到帳、卡、物一致。

③ 做好倉庫庫存控制工作，按照風(fēng)險庫存標(biāo)準(zhǔn)，及時提醒主管領(lǐng)導(dǎo)物料庫存數(shù)量狀態(tài)。

④ 負責(zé)做好倉庫內(nèi)物資保管及防護工作，按規(guī)定手續(xù)做好物料出入庫的收發(fā)工作。

⑤ 與生產(chǎn)協(xié)調(diào)好辦理成品、半成品的入庫工作。

⑥ 與銷售部門協(xié)調(diào)合作，及時辦理好產(chǎn)品的出庫單并及時錄入電腦、上報財務(wù)及生產(chǎn)部門。

⑦ 及時做好退庫產(chǎn)品的記錄并及時向上級主管匯報，以便能及時處置。

⑧ 負責(zé)倉庫管理數(shù)據(jù)系統(tǒng)的維護與更新。

⑨ 月底盤點庫存，做好月報表；做好倉庫現(xiàn)場管理工作。

⑩ 每月及時編制好庫存報表工作，按財務(wù)要求及時做好倉庫內(nèi)物資的成本核算工作。

? 倉管人員分工((暫行))：

倉管員分工明細((暫行))

序號

姓

名

職

位

主要工作1

倉庫文員 主要負責(zé)須由倉庫申購物料的請購、出入庫物料 ERP 系統(tǒng)賬的錄入；賬、物、卡準(zhǔn)確率抽查，協(xié)助零配件倉管員對零配件倉的管理

2

原材料倉倉管員 全面負責(zé)原材料倉、消耗品倉的收、發(fā)、管及原材料倉、消耗品倉的現(xiàn)場管理工作

3

化學(xué)品倉倉管員 全面負責(zé)化學(xué)品倉、半成品倉的收、發(fā)、管及化學(xué)品倉、半成品倉的現(xiàn)場管理工作 4 4

零配件倉倉管員 暫時共同負責(zé)零配件倉的收、發(fā)、管及零配件倉的現(xiàn)場管理工作，后續(xù)對 5

零配件倉倉管員 各自己管轄物料作明確分工

6

包材倉/半成品倉倉管員 全面負責(zé)包材倉、半成品倉的收、發(fā)、管及包材倉、半成品倉的現(xiàn)場管理工 作

7

成品倉倉管員 全面負責(zé)成品倉的收、發(fā)、管及成品倉的現(xiàn)場管理工作，協(xié)助半成品倉管員對半成品倉的管理

2、重新規(guī)劃倉庫區(qū)域，增加部分貨架以增加倉庫使用面積，提高面積利用率。

A、倉庫分類

根據(jù)本公司物料的特性、用途、使用車間，結(jié)合公司對倉庫庫區(qū)規(guī)劃 的總體布局及物流進出順利的原則，將倉庫劃分為：原材料倉、化學(xué)品倉、消耗品倉、零配件倉、包裝材料倉、半成品倉、成品倉。

原材料倉：主要存放鋁錠、鋁型材、鋁圓片、覆底片等；地點為現(xiàn)一樓鋁圓片綜合倉庫。

化學(xué)品倉：主要存放油漆、涂料等各種化學(xué)物料；地點為現(xiàn)化學(xué)品倉。

消耗品倉：主要存放各種辦公消耗品、生產(chǎn)使用消耗品、設(shè)備維修零配件、及水電維修零配件等與生產(chǎn)產(chǎn)品無關(guān)的消耗物料； 地點為現(xiàn)一樓鋁圓片綜合倉庫。

零配件倉：主要存放與產(chǎn)品相關(guān)的全部零配件，主要包括玻璃蓋、組合蓋、手柄、鍋耳、鑼桿、鑼絲、鑼帽、鉚釘、鋁護套、鋁尾、蓋珠等；地點為現(xiàn)成品倉及半成品倉。

包裝材料倉：主要存放與產(chǎn)品包裝相關(guān)的全部物料，主要包括紙箱、彩盒、白盒、PE 袋、膠袋、吸塑袋、汽泡袋、吊牌、吊卡、說明書等；地點為現(xiàn)包裝材料倉。

半成品倉：主要存放生產(chǎn)部作的庫存半成品及生產(chǎn)部超訂單生產(chǎn)的半成品；地點為新建廠房四樓。

成品倉：主要存放完成全部生產(chǎn)工序待出貨的物料。

現(xiàn)玻璃蓋、組合蓋倉。

B、倉庫內(nèi)區(qū)域規(guī)劃

根據(jù)公司不同倉庫的作用，原則上各倉庫內(nèi)必須劃出通道、消防區(qū)、辦公區(qū)、物品儲存區(qū)、呆滯物品存放區(qū)、、退貨區(qū)、廢品區(qū)。

原材料倉、化學(xué)品倉、半成品倉在倉庫內(nèi)分別設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、物品儲存區(qū)、呆滯物品存放區(qū)、來料待檢區(qū)、退貨區(qū)、廢次品存放區(qū)、備料區(qū)；； 零配件倉、包裝材料倉在倉庫內(nèi)分別設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、來料待檢區(qū)、退貨區(qū)、物品儲存區(qū)、呆滯物品存放區(qū)、物料暫存區(qū)、廢次品存放區(qū)、備料區(qū)；

成品倉內(nèi)設(shè)立規(guī)劃出通道、消防區(qū)、辦公區(qū)、物品儲存區(qū)、呆滯物品存放區(qū)、發(fā)貨區(qū)、退貨區(qū)、廢次品存放區(qū)。

C C、各倉的進倉門處，繪制張貼《倉庫平面圖》、《倉庫安全疏散圖》，反映出該倉所在的地理位置、周邊環(huán)境、倉區(qū)倉位、倉門各類通道、門、窗、電梯等內(nèi)容。

D D、購買部分貨架放置鑼桿、鑼絲、鑼帽、鉚釘?shù)刃〖锲?，減少倉庫使用面積占用，提高面積利用率。3、庫存物料整理

? 庫存物料搬移

根據(jù)倉庫劃分，分別將原材料倉、化學(xué)品倉、消耗品倉、零配件倉、包裝材料倉、半成品倉、成品倉各倉所屬物料搬移至本倉庫內(nèi)劃定區(qū)域，將散布于生產(chǎn)車間、工廠內(nèi)各處的應(yīng)歸倉管理的所有物料收歸于各所屬倉庫進行統(tǒng)一管理。

? 庫存物料整理

將各倉庫內(nèi)物料按區(qū)域劃分分類整理，同種物料放置在一個位置，更換受損包裝、標(biāo)識；改變找貨難、找不到貨的問題。每天倉管員在完成收發(fā)貨工作后，利用工作空閑時間對倉庫的衛(wèi)生和貨物的堆放進行及時的整理，最終做到：

倉庫管理兩齊：庫容整齊、堆放整齊倉庫管理三清：數(shù)量、質(zhì)量、規(guī)格 倉庫管理三潔：貨架、物件、地面 倉庫管理三相符：帳、卡、物 倉庫管理四定位：區(qū)、架、層、位 ? 在庫物料標(biāo)識管理

建立明確的在庫物料標(biāo)識，重新設(shè)計出 物料標(biāo)示票、半成品標(biāo)示票、成品標(biāo)示票等物料標(biāo)識，所有在庫物料必須標(biāo)識，且標(biāo)識清楚。（物料標(biāo)示票、半成品標(biāo)示票、成品標(biāo)示票見附件）4、控制物料進出庫管理

要想達到倉庫管理的整潔、規(guī)范、標(biāo)識清楚，帳、卡、物一致，在建立嚴(yán)格的物料入出管理制度的同時，必須對倉庫進行封閉式管理，嚴(yán)肅物料入出倉庫的工作紀(jì)律。

? 物料入庫管理

①材料的入庫分為：外購材料（包括外購原材料、外購五金件、外購附件及包裝材料等）的入庫、外協(xié)加工產(chǎn)品的入庫、半成品的入庫、產(chǎn)成品入庫及工裝模具入庫等。

②外購材料入庫時需對照送貨單數(shù)量進行驗收并填寫來料檢驗單至質(zhì)量管理人員，質(zhì)量管理人員檢驗合格后簽字。如合格，倉庫管理員則匯同《采

購申購單》（包括物料采購計劃）、《送貨單》、《來料檢驗單》填寫《入庫單》，由采購人員簽字后辦理入庫手續(xù)。如不合格，則拒收，并及時溝通采購人員 辦理退貨手續(xù)，如屬于產(chǎn)品外觀、尺寸等有可能不影響材料使用性能的，由 采購人員會同生產(chǎn)、技術(shù)、質(zhì)量負責(zé)人進行評審，評審合格讓步接收，評審 不合格，則辦理退貨手續(xù)。具體工作流程按《物料收料管理規(guī)定》執(zhí)行。

③公司內(nèi)部生產(chǎn)半成品、成品入庫則由該車間最后一道工序生產(chǎn)員工（或該部門指定領(lǐng)料或入庫人員）填寫《半成品入庫單》、《成品入庫單》，并由質(zhì)量管理人員簽字確認其質(zhì)量，車間主管簽字后至相應(yīng)倉庫辦理入庫手續(xù)。

④外加工產(chǎn)品入庫入庫時需對照《送貨單》數(shù)量進行驗收并填寫《來料檢驗單》至質(zhì)量管理人員，質(zhì)量管理人員檢驗合格（全檢或抽檢）后簽字。如合格，倉庫管理員則會同送貨單及來料檢驗單填寫入庫單、外協(xié)加工主管人員簽字辦理入庫手續(xù)，如不合格，則直接退回供應(yīng)商。

⑤物料辦理入庫手續(xù)后，倉管人員需及時將物料協(xié)調(diào)至相應(yīng)貨位，如需生產(chǎn)人員協(xié)助，可以和相應(yīng)部門主管協(xié)調(diào)，并作好物料標(biāo)識。

⑥相關(guān)倉庫人員及時按照入庫單內(nèi)容匯總至手工帳本、電腦臺帳，要求數(shù)據(jù)必須準(zhǔn)確。

? 物料領(lǐng)用管理

① 物料的領(lǐng)用必須先由領(lǐng)用人先填寫《物料領(lǐng)用單》，由部門主管簽字后到倉庫進行領(lǐng)料，正常生產(chǎn)物料的領(lǐng)料數(shù)量需要在該訂單物料需求計劃數(shù)量范圍內(nèi)，不允許超領(lǐng)，超領(lǐng)物料需注明原因（如質(zhì)量或者材料質(zhì)量問題等等），由生產(chǎn)經(jīng)理簽字后方可到倉庫辦理出庫手續(xù)。在條件成熟后零配件倉、包裝材料倉可推行備料制作業(yè)方式。

② 生產(chǎn)輔助用料（如工裝模具、低值易耗品、各類附件等）的領(lǐng)用由 各 部門主管仔細審核簽字后到倉庫辦理出庫手續(xù)。

③ 半成品需要發(fā)外協(xié)加工的，要按照半成品入庫手續(xù)辦理，產(chǎn)品直接 發(fā) 外加工單位的，可由交接人員當(dāng)場進行，交接結(jié)束辦理入庫出庫手 續(xù)。

④ 產(chǎn)成品的領(lǐng)用則由銷售部相關(guān)人員填寫出庫單，由主管領(lǐng)導(dǎo)簽字后至倉庫辦理出庫手續(xù)。具體工作流程按《成品收發(fā)料管理規(guī)定》執(zhí)行。

⑤ 倉管人員對出庫物資應(yīng)實行 先進先出的原則。

⑥ 倉管員核實出庫單的物料名稱、型號規(guī)格、領(lǐng)用數(shù)量、生產(chǎn)批次號后進行發(fā)放，并及時登記好物料管制卡。

⑦ 倉庫管理人員及時按照出庫單內(nèi)容及時登記至手工帳本、電腦臺帳，要求數(shù)據(jù)必須準(zhǔn)確。5、庫存物料盤點

根據(jù)本公司物料的特性和生產(chǎn)管理的實際情況，建議公司對庫存物料建立實行 賬（ERP 系統(tǒng)賬）、賬（手工臺賬）、卡（物料卡）、物（在庫實物）、票（物料標(biāo)示票）管理制度，實施 循環(huán)盤點、定期盤點、年終大盤點盤點管理方式，以此來確保倉庫庫存準(zhǔn)確率。

? 盤點方式簡介

循環(huán)盤點：

定義：每天按照總帳上物料進行一定數(shù)量不同物料進行的清點核對，可根據(jù)實際情況確定要盤點的物料。

循環(huán)盤點實施：

① 確定要盤點的物料種類； ② 可在收發(fā)料完畢后進行盤點； ③ 將盤點結(jié)果進行記錄（循環(huán)盤點表），上報主管與物控或財務(wù)部門；

④ 對盤點結(jié)果進行差異分析，制訂改善措施并落實責(zé)任人； ⑤ 對賬目按規(guī)定的程序進行調(diào)整。

定期盤點

定義：每月或每季對倉儲物料進行的抽盤定期盤點實施：

① 根據(jù)上月盤存情況、本月實際生產(chǎn)、倉儲情況確定要盤點的物料種類； ② 在財務(wù)規(guī)定的帳務(wù)截止前 2 天利用晚上時間進行盤存； ③ 第一個晚上進行自盤，第二個晚上進行復(fù)盤； ④ 對盤點結(jié)果進行差異分析，制訂改善措施并落實責(zé)任人； ⑤ 對帳目按規(guī)定的程序進行調(diào)整； 年終盤點

定義：在每年年末對全公司所有的物料、設(shè)備、工裝或在規(guī)定價值以上的物品進行的全面、系統(tǒng)的、徹底的盤點，以反映整個公司的有形資產(chǎn)情況。

盤點實施：

① 組建盤點領(lǐng)導(dǎo)小組，下設(shè)直接生產(chǎn)用料、設(shè)備工裝其他輔料盤點小組，各小組設(shè)組長一名，確定初盤人、復(fù)盤人、票據(jù)管理員； ② 由盤點領(lǐng)導(dǎo)小組指定專人制訂盤點方案； ③ 召開盤點會議，對盤點事項進行說明； ④ 制訂專人進行盤點事項培訓(xùn)（點數(shù)方法、票據(jù)填寫、異常處理等）。

? 庫存物料盤存

統(tǒng)一對倉庫所有貨物進行全部盤存，在盤存的同時建立物料標(biāo)識、確立 庫位。盤點實物時確定實物數(shù)量、品名、庫位、盤點人員姓名、盤點日期等，并將實物存放在指定的庫存位上，將所有盤點數(shù)據(jù)準(zhǔn)確無誤的輸入至電腦系 統(tǒng)內(nèi)。

盤點工作完成后，進行收發(fā)貨物時，首先從電腦 ERP 系統(tǒng)中查找相對應(yīng)的貨物品名、庫位和庫存，而后去對應(yīng)的倉庫，找到相對應(yīng)實物的庫位，按照標(biāo)識找到相對的貨物核對品名后，按照相關(guān)單據(jù)進行收發(fā)貨，收發(fā)貨出庫完畢后，將單據(jù)交相關(guān)人員作賬，電腦賬務(wù)員當(dāng)天必須完成相關(guān)單據(jù)的電腦進出庫操作，確保賬、物一致。

建立循環(huán)盤點流程，確保每天對收發(fā)貨頻率大以及貴重物品的實時盤點，核對系統(tǒng)帳務(wù)、手工賬、實物的一致性。每個月或者每個季度對倉庫所有貨 物進行一次實物盤點，確保庫存的準(zhǔn)確性。每年年終或者年初對倉庫所有貨 物進行一次大盤點，并將實物盤點數(shù)據(jù)與手工賬、ERP 系統(tǒng)賬進行核對調(diào)整，并出具年終盤點報表和盤盈盤虧情況分析，確保賬、賬、卡、物的一致。6、對呆廢料進行處理

由于倉庫長時期的無序管理和各相關(guān)部門的工作失誤，各倉庫都有不同程度的呆廢物料，尤其是 包裝材料倉的紙箱、彩盒類物料； 要想提升倉庫管

理效率，必須對在庫呆廢物料進行處理。

? 對呆廢物料的認識

什么是呆廢料？

所謂呆料即物料存量過多，耗用量極少，而庫存周轉(zhuǎn)率極低的物料，這種物料可能偶爾耗用少許，甚至根本就不要動用。

所謂廢料是指報廢的物料，即經(jīng)過相當(dāng)使用，本身已殘破不堪或磨損過甚或已超過壽命年限，以致失去原有功能而本身并無利用價值的物料。

呆廢料處理的目的：

① 物盡其用； ② 減少資金積壓； ③ 節(jié)省人力及費用； ④ 節(jié)約倉儲空間； 呆料發(fā)生的原因：

① 營業(yè)部門 a 市場預(yù)測欠佳，造成銷售計劃不準(zhǔn)確，進而導(dǎo)致生產(chǎn)計劃也隨之變更。

b 顧客訂貨不確定，訂單頻繁變更。

c 顧客變更產(chǎn)品型號規(guī)格，銷售部門傳遞失真訂貨信息。

② 計劃與生產(chǎn)部門 a 產(chǎn)銷銜接不良，引起生產(chǎn)計劃頻繁變更，生產(chǎn)計劃錯誤，造成備料錯誤。

b 生產(chǎn)線的管理活動不良，對生產(chǎn)線物料的發(fā)放或領(lǐng)取以及退料管理不良，從而造成生產(chǎn)線呆料的發(fā)生。

③ 物料控制與倉庫部門 a 材料計劃不當(dāng)，造成呆料的發(fā)生。b 庫存管理不良，存量控制不當(dāng)，呆料也容易產(chǎn)生。

c 帳物不符，也是產(chǎn)生呆料的原因之一。

d 因倉儲設(shè)備不理想或人為疏忽而發(fā)生的災(zāi)害而損及物料。

④ 采購部門 a 物料管理部門請購不當(dāng)，從而造成采購不當(dāng)。

b 下單錯誤。

c 對供應(yīng)商輔導(dǎo)不足，產(chǎn)生供應(yīng)商品質(zhì)、交期、數(shù)量、規(guī)格等不易予以配合而導(dǎo)致發(fā)生呆料的現(xiàn)象。

⑤ 品質(zhì)管理部門 a 進料檢驗疏忽。

b 采取抽樣檢驗，允收的合格品當(dāng)中仍留有不良品。

c 檢驗儀器不夠精良。

如何預(yù)防過多出現(xiàn)呆料？

① 業(yè)務(wù)/ / 銷售部門

a

銷售人員接受的訂貨內(nèi)容應(yīng)確實把握，并把正確而完整的訂貨內(nèi)容傳送到計劃部門。

b 加強預(yù)測，盡量利用定單制定銷售計劃，避免銷售計劃頻繁變更，使用購進的材料失去利用價值而變成倉庫中的呆料。

c 顧客的訂貨應(yīng)確實把握，尤其是特殊訂貨應(yīng)設(shè)法降低顧客變更的機會，否則已經(jīng)準(zhǔn)備的材料尤其是特殊型號和規(guī)格的材料非常容易造成呆料。

② 設(shè)計部門

a 設(shè)計完成后先經(jīng)批量試驗后才可以大批訂購材料。b 加強設(shè)計管理，避免因設(shè)計錯誤而產(chǎn)生大量呆料。c 設(shè)計時要盡量使用標(biāo)準(zhǔn)化的材料。

③ 計劃與生產(chǎn)部門

a 在新舊產(chǎn)品的更替時期要周密安排，以防止舊材料變成呆料。

b 加強與業(yè)務(wù)部門的溝通，增加生產(chǎn)計劃的穩(wěn)定性，對緊急訂單妥善處理；若生產(chǎn)計劃錯誤而造成備料錯誤，一般會產(chǎn)生呆料。

c 生產(chǎn)線加強管理，發(fā)料、退料的管理。

④ 貨倉與物控部門

a 物控部門對存量加以控制，勿使用存量過多。

b 強化倉儲管理，加強賬物的一致性。

c 減少物料的過多采購。

⑤ 質(zhì)量驗收管理部門

a 物料驗收時，進料嚴(yán)格檢驗。

b 加強檢驗儀器的精確化，并同供應(yīng)商協(xié)商確定檢查的標(biāo)準(zhǔn)及方法。

? 對在庫呆廢物料進行處理

針對當(dāng)前大量的庫存呆廢物料，各倉庫在庫存物料整理過程中，將在 庫呆滯物料整理歸類，形成報表上報公司，由公司組織工程、品質(zhì)、采購、財務(wù)、倉庫等部門會審，將可利用物料重新入庫，不良品、停用呆滯物料 折價退回供應(yīng)商或以報廢變賣處理。

制定《呆廢物料管理規(guī)定》，對呆廢物料形成長期有效的管理機制。7、逐步建立和完善倉儲管理體系

? 庫存管理存在問題的原因

分析庫存表現(xiàn)的缺陷，其產(chǎn)生的原因雖是多方面的，涉及到庫存制度，庫存系統(tǒng)的科學(xué)性，企業(yè)的經(jīng)營模式，管理的效能與執(zhí)行的力度等等。但以下幾方面的問題對其影響是最嚴(yán)重的：

① 沒有一個科學(xué)的管理系統(tǒng)。一旦一個企業(yè)沒有建立一套專門的適合自己情況的庫存系統(tǒng)，沒有對庫存物品進行科學(xué)詳盡的分類，庫存控制策略往往會流于簡單化，大同化。公司目前就是缺乏這樣一套完整的系統(tǒng)，沒有對庫存物品的類型進行科學(xué)的分類，對各種庫存物品只是作籠統(tǒng)的同樣的處理，而且缺乏一套完整的機制來保證能夠快速的取拿所需物品。雖然目前公司所用到的物品種類還不是非常多，但是存放位置沒有一個明確的通用的規(guī)范，倉管很難在短時間內(nèi)取到所需的物品，另外，如果一旦公司換人了，新進員工熟悉這一過程也是需要一個較長的過程。同時缺乏一套完整的缺貨報警機制，控制前的信息搜集工作也沒有做到位，不能維持生產(chǎn)的穩(wěn)定。

② 庫存管理信息不流通。在供應(yīng)的整個系統(tǒng)中，各個環(huán)節(jié)之間的需求預(yù)測、庫存狀況、生產(chǎn)計劃等都是庫存管理的重要數(shù)據(jù)。這些數(shù)據(jù)分布在不同 的相關(guān)環(huán)節(jié)之間，要做到快速有效的保證生產(chǎn)，必須使其實時傳遞。在外部 環(huán)節(jié)，不少供應(yīng)商是不固定的，沒有掌握他們的生產(chǎn)能力、供貨能力以及交 貨的準(zhǔn)時性等。這樣一來在庫存環(huán)節(jié)往往得不到及時準(zhǔn)確地信息。而我公司 在內(nèi)部各個環(huán)節(jié)間聯(lián)系不夠緊密，缺乏信息的流通，每個部門只關(guān)心前后環(huán) 節(jié)的物流等的狀況，沒有一個整體的概念。這就影響庫存策略制定的精確性，造成庫存成本的上升。

③ 不確定因素對庫存的影響。系統(tǒng)運行不穩(wěn)定是組織內(nèi)部缺乏有效的控制機制所致，控制失效是組織管理不穩(wěn)定和不確定的根源。要消除運行中的不確定性需要增加組織的控制，提高系統(tǒng)可靠性。只有系統(tǒng)是可控的，不確定因素對庫存的影響才能降到最低。我公司對不少合作的企業(yè)或者供應(yīng)商的供貨能力，交貨的及時性還不是很了解。對市場的預(yù)估也還缺乏科學(xué)性與準(zhǔn)確性。其實這也是信息處理不當(dāng)?shù)慕Y(jié)果。

? 建立和完善倉儲管理體系

建立和完善倉庫流程；制定倉庫作業(yè)標(biāo)準(zhǔn)，形成作業(yè)指導(dǎo)書，經(jīng)公司主管部門評審，管理者代表審核后，嚴(yán)格要求倉庫員按照標(biāo)準(zhǔn)作業(yè)。建立責(zé)任人制度提高倉管員責(zé)任心；按照分倉類別及工作強度，員工自身能力，對物料的熟悉程度，將倉庫物料責(zé)任到人，同類物料專人管理，主管監(jiān)控；與采購、品質(zhì)協(xié)調(diào)并形成文件，對供應(yīng)商不良品進行嚴(yán)格控制，保證不良品能得以及時退貨并補回良品；逐步提升倉庫工作效率和收發(fā)貨及庫存準(zhǔn)確率 8 8、建立培訓(xùn)機制

以倉庫流程和作業(yè)指導(dǎo)書為基礎(chǔ)，每周對倉庫人員進行專業(yè)知識培訓(xùn)； 從收貨、入庫、領(lǐng)發(fā)料、生產(chǎn)退補料、供應(yīng)商退補貨、成品出庫、呆廢料處理到賬務(wù)處理、盤點執(zhí)行進行全方位系統(tǒng)培訓(xùn)，以提高員工自身專業(yè)水平； 適應(yīng)公司的高速發(fā)展需求。

五、工作計劃：1、計劃目標(biāo)：通過對儲現(xiàn)有資源進行有效的整合，逐步形成規(guī)范化、標(biāo)準(zhǔn)化、程序化、系統(tǒng)化的現(xiàn)代倉儲管理模式，以建立現(xiàn)代倉儲管理體系為最終目標(biāo)，達到倉存物料賬、物、卡一致。2、計劃周期：2012 年 05 月 12 日—2012 年 08 月 31 日 3 3、計劃內(nèi)容：

序號

內(nèi)

容

完成日期1

倉庫部門職能、職責(zé)界定，部門崗位職能、職責(zé)界定

05.12—05.31 2 2

庫區(qū)規(guī)劃，倉庫內(nèi)各區(qū)域布局規(guī)劃 05.12—05.31 3 3

倉儲管理體系及各項管理制度的建立與修訂 05.12—05.31

4

倉儲管理體系及各項管理制度的貫徹執(zhí)行、修訂、監(jiān)督及培訓(xùn) 長效性 5 5

半成品倉、零配件倉、成品倉搬移 06.01—07.31

6

原材料倉、化學(xué)品倉、消耗品倉、零配件倉、包裝材料倉、半成品倉、成品倉整理、標(biāo)識、及倉管員自我盤點

06.01—08.31 7 7

協(xié)調(diào)建立產(chǎn)品 BOM 表和檢討物料代碼編碼規(guī)則 長效性 8 8

庫存物料大盤點 08.01—08.31 9 9

ERP 系統(tǒng)賬目調(diào)整 08.31 10

各項制度的再次修訂與完善，列入常態(tài)化運行 08.01—08.31

倉庫人員倉儲管理知識、管理技能、工作態(tài)度、消防知識培訓(xùn) 長效性

其它與倉庫相關(guān)工作的整改 長效性

4、工作計劃展開

本工作計劃與安排分為三個階段進行，從 2012 年 05 月 12 日至 2012 年 08 月 31 日共約 4 個月。

第一階段：倉儲體系資源整合規(guī)劃階段（2012.05.12 日—2012.05.31 日）

（1 1）工作目的：通過對現(xiàn)行運作體系的調(diào)研、分析，明確倉儲體系資源整合工內(nèi)容。

（2 2）工作內(nèi)容：

a 制定倉庫部門職能、職責(zé)，部門各崗位職能、職責(zé)； b 對倉儲部門工作流程、工作程序、支持表單及運行狀況進行調(diào)研、分析，明確現(xiàn)行倉儲營運體系的優(yōu)勢和缺失，收集、整理所需基礎(chǔ)資料，向公司經(jīng)營層提出《倉庫整改計劃和步驟》方案； c 編制、檢討、修訂倉庫相關(guān)管理規(guī)定。

（3 3）工作方式：采用調(diào)查，與本部門人員、相關(guān)部門主管溝通、討論，收集和整理所需的基礎(chǔ)資料的方法。

（4 4）工作成果：

形成《倉庫整改計劃和步驟》方案形成《倉庫門禁管理制度》討論稿形成《物料收料管理規(guī)定》討論稿形成《物料發(fā)料管理規(guī)定》討論稿 形成《退、換、補料管理規(guī)定》討論稿形成《半成品出入庫管理規(guī)定》討論稿形成《成品出入庫管理規(guī)定》討論稿 形成《倉庫單據(jù)填寫及帳務(wù)管理規(guī)定》討論稿 第二階段：倉存物料整理、整頓階段（2012.06.01 日—2012.07.31 日）

（1 1）工作目的：通過對倉庫進行分類、分區(qū)，對倉存物料進行整理、分類、標(biāo)識、盤存，達到倉區(qū)規(guī)劃有序，倉存物料物品擺放整齊，名稱、規(guī)格型號清晰，數(shù)量準(zhǔn)確的目的。

（2 2）工作內(nèi)容：

a 現(xiàn)場規(guī)劃：根據(jù)倉庫的空間大小，進行倉庫規(guī)劃，將倉庫分區(qū)；充分利用空間； b 倉庫物品資料收集：要求倉庫人員與采購人員互相配合，對倉庫的到貨檢驗、入庫、出庫、調(diào)撥、移庫移位、庫存盤點等各個作業(yè)環(huán)節(jié)的數(shù)據(jù)進行數(shù)據(jù)采集，整理出倉庫物品名稱、規(guī)格型號、數(shù)量、顏色等。

C 倉庫物料搬遷與分散物料收集：根據(jù)倉庫分類，將現(xiàn)有倉存物料搬遷到指倉庫，將分散在車間、通道等處的物料全部收歸相應(yīng)倉庫。

d 倉庫物料整理、整頓：將收歸倉庫的物料進行整理、歸類，制訂出相應(yīng)的編號、品名、帳頁號、標(biāo)識卡，將常用的物品放在倉庫，隨時能取的地方，保證倉庫管理各個作業(yè)環(huán)節(jié)數(shù)據(jù)輸入的效率和準(zhǔn)確性，確保企業(yè)及時準(zhǔn)確地掌握庫存的真實數(shù)據(jù)，合理保持和控制企業(yè)庫存。

e 制定倉庫九月份大盤點計劃。

（3 3）工作方式：本部門人員主導(dǎo)、各相關(guān)部門協(xié)助。

（4 4）工作成果：完成庫區(qū)內(nèi)區(qū)域規(guī)劃、通道劃線。

完成各倉庫的搬遷工作。

完成各倉庫庫存物料的整理、標(biāo)示工作。

完成各倉庫庫存物料的手工賬冊的建立、完善工作形成《消耗品管理規(guī)定》討論稿 形成《化學(xué)品倉庫管理規(guī)定》討論稿 形成《物料搬運、貯存管理規(guī)定》討論稿形成《倉庫盤點管理規(guī)定》討論稿 形成《超儲、呆滯物料管理規(guī)定》討論稿形成《 倉庫績效考核體系》討論稿 第三階段：倉儲管理體系固化階段（2012.08.01 日—2012.08.31 日）

（1 1）工作目的：通過對倉庫前期整改工作的檢討與總結(jié)，進一步修訂和完善倉儲管理運行體系各相關(guān)管理規(guī)定，行成適合新達企業(yè)管理運作的高效倉儲管理體系并固化執(zhí)行。

（2 2）工作內(nèi)容：

a 完善部門組織架構(gòu)圖/人員編制圖； b 修訂和完善倉儲管理運行體系各相關(guān)管理規(guī)定,制訂作業(yè)流程圖； c 建立各倉庫平面圖和各倉庫安全疏散圖； d 導(dǎo)入備料制管理模式； e 組織進行全廠物料大盤點,調(diào)整 ERP 系統(tǒng)賬目； f 其它未盡事宜的改善。

（3 3）工作方式：本部門人員主導(dǎo)、各相關(guān)部門協(xié)助。

（4 4）工作成果：完成部門組織架構(gòu)圖/人員編制 形成《倉庫部門職能和部門崗位責(zé)任書》形成倉儲管理運行體系各相關(guān)管理規(guī)定 完成倉庫平面圖和各倉庫安全疏散圖的繪制和張貼 完成物料大盤點,調(diào)整 ERP 系統(tǒng)賬目，達到賬、物、卡一致形成標(biāo)準(zhǔn)化、規(guī)范化、系統(tǒng)化的倉儲管理運行體系 六、整改資源需求

1、希公司高層領(lǐng)導(dǎo)能加強對倉庫整改工作的重視和給予大力支持； 2、希行政部門能在整改期間滿足倉庫合理的勞動力需求； 3、技術(shù)部完善產(chǎn)品 BOM 表和物料清單的制作，為生產(chǎn)計劃編制、物料采購、倉庫物料配料、發(fā)料、領(lǐng)料提供作業(yè)依據(jù)； 4、采購部門完善物料采購計劃，嚴(yán)格要求供應(yīng)商按我司包裝要求做整改，倉

庫收貨時加強控制； 5、生產(chǎn)部門完善月生產(chǎn)計劃和周生產(chǎn)排期，作業(yè)時嚴(yán)格遵守物料出入庫相關(guān)管理規(guī)定，作好與生產(chǎn)有關(guān)的出入庫物料標(biāo)識； 6、品管部門加強對采購物料和生產(chǎn)線產(chǎn)品物料品質(zhì)的控制，建立來料檢驗制度，對所有物料入庫前進行檢驗，保證入庫產(chǎn)品的品質(zhì)；對倉存物料合格性進行重新判定，協(xié)助倉庫完成倉存物料整理工作； 7、根據(jù)需要購買部分貨架增加倉庫使用面積，提高面積利用率； 8、請相關(guān)人員與開天 ERP 系統(tǒng)公司取得聯(lián)系，共同探討 ERP 系統(tǒng)運用整改、完善方案。

贈送以下方案

XX 有限公司

xx 年新春團拜晚會 ”

xx 年年會活動策劃方案

一、年會籌備小組

總策劃：xx 總執(zhí)行：xx 成 員：xx 科技所有部門成員

二、年會內(nèi)容

◆活動名稱：xx 公司 2015 年新春團拜晚會

◆活動基調(diào)：喜慶、歡快、盛大、隆重

◆活動主題：

以客戶為中心，以奮斗者為本

◆活動目的：對 2014 年公司的工作成績進行總結(jié)，展望公司 2015 年的發(fā)展愿景；同時豐富員工企業(yè)文化生活，激發(fā)員工熱情，增強員工的內(nèi)部凝聚力，增進員工之間的溝通、交流和團隊協(xié)作意識。

◆活動日期：2015 年 2 月 10 日 16：00-20：00

◆活動地點：XXXX 酒店

◆參會人數(shù)：xx 科技 112 人、廠商 30 人，共計 313 人。

◆參會人員：xx 員工、特邀嘉賓

◆活動內(nèi)容：總經(jīng)理致辭、文藝匯演、晚宴（詳細流程安排見附表一）

三、工作分工（詳細分工明細見附表二）

（一）文案組（負責(zé)人：xx）成員 5 名。

◆負責(zé)主持人形象設(shè)計，串詞、祝酒詞起草、審核；

◆總經(jīng)理講話稿起草、審核；（二）會場布置組（負責(zé)人：xx）成員 5 名。

◆負責(zé)設(shè)計、聯(lián)系制作年會舞臺背景墻、橫幅、簽名板及各種材料的打印和制作； ◆負責(zé)鮮花或花籃的采購/租賃；

◆現(xiàn)場攝影、DV 攝像、照相；

◆開場 PPT 制作，年會期間除節(jié)目音樂外所有音樂搜集。

◆負責(zé)與酒店工作人員配合調(diào)試功放、燈光、音響、話筒、投影、電腦，并播放年會現(xiàn)場所有節(jié)目伴奏帶及頒獎音樂和進場 PPT 等； ◆會場安全檢查（消防、電源、設(shè)備等）。

（三）節(jié)目組（負責(zé)人：xx）成員 5 名。、節(jié)目類型：唱歌、舞蹈、小品、話?。ǜ栉鑴。?、魔術(shù)、樂器演奏、戲曲、相聲、時裝秀等。、選取節(jié)目規(guī)則：以抽簽的形式，每個部門可抽取 2 個節(jié)目簽，從中選取一個類型節(jié)目表 演。、節(jié)目質(zhì)量標(biāo)準(zhǔn)：若彩排時達不到質(zhì)量要求，須重新編排直到達到要求為止。、節(jié)目彩排時間：1 月日 日— —2 月日每日選抽兩個部門彩排。

文藝匯演節(jié)目內(nèi)容的要求是“ 以客戶為中心，以奮斗者為本 ”。節(jié)目組負責(zé)人具體工作如下：

◆負責(zé)完成對所有節(jié)目的排練、設(shè)計、篩選及后期的彩排工作；

◆負責(zé)節(jié)目的編排及演出的順序和流程銜接；

◆負責(zé)聯(lián)系租用或購買節(jié)目所需的服裝道具和主持人、演職人員的化妝等；

◆負責(zé)小游戲的提供、抽獎獎項設(shè)置等；

◆負責(zé)安排文藝節(jié)目評委及獎項設(shè)置；

◆負責(zé)確定頒獎人員。

（四）迎賓組/禮儀組（負責(zé)人：陳珍英）成員 5-6 名。

◆年會進場入口處迎接嘉賓，并引領(lǐng)入座；

◆負責(zé)嘉賓、參會人員的簽，并發(fā)放年會禮品（做好登記）；

◆負責(zé)配合抽獎獎品、文藝表演獎品的發(fā)放；

◆負責(zé)年會過程中放禮炮。

（五）后勤組（負責(zé)人：樊美玲、）成員 5 名。

◆負責(zé)活動所需的禮品、獎品、紀(jì)念品、食品及其他年會所需物品的購買、準(zhǔn)備、保管及發(fā)放； ◆負責(zé)與酒店工作人員的溝通、協(xié)調(diào)工作。

四、活動費用預(yù)算（具體費用分配由各項目負責(zé)人自行安排）

項

目

基本內(nèi)容

負責(zé)人

費用預(yù)算

年會場地 租金、晚宴、機器租憑費用 XXX ￥ 會場布置 KT 板（簽名板）、背景墻、鮮花、裝飾品等 XXX ￥

服裝、游戲道具 文藝匯演節(jié)目服裝、道具、獎品小游戲道具、獎品 迎賓、主持人服裝、妝容造型等

XXX

￥ 酒水、飲料 文藝匯演過程中所需酒水、飲料、小吃

XXX ￥ 年會禮品 參會人員每人一份的公司年會禮品 ￥ 年會獎品 抽獎獎品 ￥ 其他支出 備用 XXX ￥ 費用合計：￥

五、相關(guān)注意事項

（一）活動前 ◆年會開始前，年會籌備小組成員必須確保每人持有一份“年會流程具體執(zhí)行方案”。

◆在年會開始前 30 分鐘，必須對所有年會所需要用到的設(shè)備進行調(diào)試、檢查。

◆確保年會場地布置，所需物資、參會人員、表演人員全部到位。

（二）活動中 ◆對工作人員進行明確的分工，每項工作都必須責(zé)任到人，保持手機的開通

（統(tǒng)一設(shè)置振動）便于及時聯(lián)絡(luò)。

◆一場活動的順利進行需要各個方面的配合，更需要對現(xiàn)場環(huán)節(jié)的控制及管理。對于演出的催場候場，舞臺上的道具提供，對于整體活動的節(jié)奏的把握都是非常重 要的。

（三）活動后 ◆年會后期的紀(jì)念視頻制作、發(fā)放（由行政人事部部制作 DVD，行政人事部部統(tǒng)一發(fā)放，每人一張）

◆年會照片的收集及保存；

◆年會總結(jié)。

人力資源部部

2014 年 11 月 8 日

附表一：年會基本流程

時

間

項

目

內(nèi)

容

13:00 工作人員 到達酒店 年會節(jié)目表演人員、所需物料（如 KT 板、橫幅、鮮花、禮品、獎品、演出服 裝等）需全部到達酒店

13：00-15:30

場地布置 年會場地入口接待處布置（如簽到處 KT 板擺放、舞臺背景、花籃擺放、迎賓 人員安排、年會禮品擺放等）

酒店工程部人員與負責(zé)場內(nèi)布置的人員配合布置（如背景板放置、拉橫幅、場地擺放、裝飾物品等）

抽獎獎品放置酒店化妝間門口，食品分配后擺放于桌面（共 XX 桌）、放桌牌（人員提前分配）

文藝匯演人員化妝、換裝等 音響調(diào)試，音樂、攝影機、照相機準(zhǔn)備到位 燈光、投影、音響、消防安全等會前準(zhǔn)備情況檢查

15:30-16:00

人員進場 參會人員在入口處簽到后，在迎賓處領(lǐng)取每人一份的新年禮品，進場，對號 入座（提前安排桌號）

《XXXXX》PPT、音樂播放，同時主持人提醒進場秩序及參會注意事項 16:00-16:05 開場舞 開場舞表演 16:05-16:10

年會開始 主持人熱情開場（嘉賓介紹等）

16:10-16:30 總經(jīng)理致辭 16:30-16:35

節(jié)目表演 節(jié)目 1 16:35-16：45 節(jié)目 2 16:45-16:50 節(jié)目 3 16:50-17:05 抽獎 抽獎：三等獎 17:05-17:20 游戲 游戲一 17:20-17:25

節(jié)目表演 節(jié)目 4 17:25-17:35 節(jié)目 5 17:35-17:40 節(jié)目 6 17:40-17:50 抽獎 抽獎：二等獎 17：50-18:10 游戲 游戲二 18:10-18:15

節(jié)目表演 節(jié)目 7 18:15-18:20 節(jié)目 8 18:20-18:25 節(jié)目 9 18:25-18:35 抽獎 抽獎：一等獎 18:35-19:00 評選 節(jié)目表演獎項評選、頒獎 18:35-19:00

晚宴 上菜 19:00-20:00 晚宴聚餐 20:00 人員退場 退場音樂播放，同時主持人提醒退場秩序及相關(guān)注意事項

附表二：年會分工明細表

組別

項

目

內(nèi)容

責(zé)任人

執(zhí)行人

完成時間

文案組

主持

負責(zé)整個年會的流程、時間、氣氛把控

年會文案 主持人形象設(shè)計，串詞、祝酒詞

總經(jīng)理講話稿

進場 PPT、年會全過程所有音樂搜集（節(jié)目音樂收集，小游戲、抽獎等音樂）

會場布置組 設(shè)計 年會場地布置設(shè)計方案

準(zhǔn)備 年會場地氛圍所有物品制作/購買/租賃（鮮花、花籃采購/租賃，舞臺背景墻、橫幅、簽名板、掛飾等）

布置 年會當(dāng)天酒店會場布置

攝影 現(xiàn)場攝影、DV 攝像、照相

技術(shù)支持 燈光、音響、投影、電腦、話筒、舞臺督 導(dǎo)檢查及全程跟蹤（與酒店工作人員配合），年會現(xiàn)場節(jié)目伴奏、音樂播放等

安全檢查 年會開始前會場安全檢查（消防、電源、設(shè)備等）

節(jié)目組 年會方案 年會策劃方案（執(zhí)行版）

節(jié)目編排 年會文藝匯演流程設(shè)計、節(jié)目編排、彩排

評委安排 文藝節(jié)目評委、獎項設(shè)置 頒獎人員安排

物品采購物品租賃 文藝匯演中小游戲獎品、節(jié)目獎品的采購文藝匯演節(jié)目所需服裝、道具的租賃 迎賓人員旗袍租賃

化妝造型

安排年會所需化妝師、造型師

游戲抽獎 小游戲內(nèi)容設(shè)計、獎品設(shè)置

抽獎環(huán)節(jié)內(nèi)容設(shè)計、實施方案及獎品設(shè)置

禮儀組

迎賓禮儀 簽到處迎賓 頒發(fā)獎品禮儀人員 引領(lǐng)嘉賓、領(lǐng)導(dǎo)入座

禮品發(fā)放 參會人員每人一份禮品發(fā)放

配合 放禮炮人員（可安排禮儀人員）

后勤組 活動選址 選址、預(yù)訂、費用申請與結(jié)算

活動宣傳 全體員工動員大會、年會相關(guān)會議組織

過程跟進 年會各小組準(zhǔn)備工作進度檢查

物資保管 年會物資保管（負責(zé)安排運輸、分配）

物品采購 年會所需抽獎獎品的設(shè)置及采購 每人一份的禮品、年會所需食品的采購

桌席分配 晚餐桌席人員分配

注意事

后期制作 年會 DVD 刻碟制作、發(fā)放（每人一張）

年會招聘搜集

會務(wù)管理 年會現(xiàn)場組織、協(xié)調(diào)，現(xiàn)場秩序維護人員

項 催場 年會流程執(zhí)行全程跟蹤（臺前幕后催場）

總結(jié) 年會總結(jié)

部門負責(zé)細表：

電腦城

部門

負責(zé)人

節(jié)目類型

備注

數(shù)碼

蘇蓉門市（A45+CC2）

第二負責(zé)人要協(xié)助安排 蘇蓉門市（E27+F1+D3）

DELL 門市（B7+A11）

數(shù) 1+數(shù) 2

數(shù) 3

A 世界

蘇蓉門市（C2+D5）

DELL 門市（D3）

A1+A2

新世紀(jì)

蘇蓉門市（B02+1-A）

蘇蓉門市（A06+A29）

DELL 門市（A08+D1）

B32+B33

百腦匯

蘇蓉門市（D12+新世紀(jì) A03）

東華

蘇蓉財務(wù)部

置高財務(wù)部

蘇蓉技術(shù)部

置高技術(shù)部

置高渠道、產(chǎn)品部

合計個

第三篇：某等級保護建設(shè)整改解決方案（范文）

X X XX 高校 信息系統(tǒng) 等級保護

整改方案((模板）

I

目錄

一、背景、現(xiàn)狀和必要性 ...................................................................................................................................................-3-（一）背景.......................................................................................................................................................................-

-（二）現(xiàn)狀.......................................................................................................................................................................-

-（三）項目必要性...........................................................................................................................................................-

-二、差距分析.......................................................................................................................................................................-6-（一）技術(shù)差距分析.......................................................................................................................................................-

-（二）管理差距分析.......................................................................................................................................................-

-三、建設(shè)目標(biāo)...........................................................................................................................................................................9（一）業(yè)務(wù)目標(biāo)...................................................................................................................................................................9（二）技術(shù)目標(biāo)...................................................................................................................................................................9 四、建設(shè)方案.........................................................................................................................................................................10（一）建設(shè)原則.................................................................................................................................................................10（二）設(shè)計依據(jù).................................................................................................................................................................11（三）總體建設(shè)內(nèi)容.........................................................................................................................................................12（四）總體框架.................................................................................................................................................................13（五）技術(shù)方案.................................................................................................................................................................15 1、安全技術(shù)體系設(shè)計

.............................................................................................................................................15 2、安全管理中心設(shè)計（云智）

.............................................................................................................................23 3、安全制度建設(shè)

.....................................................................................................................................................30（六）設(shè)備部署說明及關(guān)鍵技術(shù)指標(biāo).............................................................................................................................45 1、防火墻

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................46 2、堡壘機

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................47 3、入侵防御系統(tǒng)(IPS)

...........................................................................................................................................47 a)

部署說明

.............................................................................................................................................................47 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 4、非法接入/外聯(lián)監(jiān)測系統(tǒng)

...................................................................................................................................48 a)

部署說明

.............................................................................................................................................................48 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 5、漏洞掃描系統(tǒng)

.....................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................49 6、數(shù)據(jù)庫審計系統(tǒng)

.................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................50 7、Web 應(yīng)用防火墻

..................................................................................................................................................50

II a)

部署說明

.............................................................................................................................................................50 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................51 8、安全管理平臺

.....................................................................................................................................................51 a)

部署說明

.............................................................................................................................................................51 b)

關(guān)鍵指標(biāo)

................................................................................................................................錯誤!未定義書簽。

一、背景、現(xiàn)狀和必要性

（一）背景 XXX經(jīng)過多年的信息化推進建設(shè)，信息化應(yīng)用水平正不斷提高，信息化建設(shè)成效顯著。為促進XXX信息安全發(fā)展，響應(yīng)國家和上級要求，進一步落實等級保護，夯實等級保護作為國家信息安全國策的成果，XXX計劃參照《計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則》（GB/T17859-1999）

和《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）要求將XXX系統(tǒng)和XXX系統(tǒng)擬定為三級，按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）完成兩個系統(tǒng)三級等保建設(shè)。同時為提高全網(wǎng)安全防護能力，XXX計劃整網(wǎng)參照等保標(biāo)準(zhǔn)建設(shè)。

隨著2017年《網(wǎng)絡(luò)安全法》正式實施，更加需要高校加強自身系統(tǒng)安全建設(shè)，《網(wǎng)絡(luò)安全法》其中 系統(tǒng)的基本情況，按照物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、管理六個層面進行，可根據(jù)實際情況進行修改；同時根據(jù)安全域劃分的結(jié)果，在分析過程中將不同的安全域所面臨的風(fēng)險與需求予以對應(yīng)說明。1、網(wǎng)絡(luò) 現(xiàn)狀

核心交換機分別通過防病毒網(wǎng)關(guān)和防火墻連接通過xx網(wǎng)絡(luò)設(shè)備XX路由器接入政務(wù)外網(wǎng)，通過全員防火墻連接xx管理信息系統(tǒng)2臺XX交換機，通過二級/安管防火墻連接安全管理域和二級系統(tǒng)域。

統(tǒng)一認證服務(wù)器、數(shù)據(jù)庫服務(wù)器和負載均衡通過接入交換機接入到核心交換機ZXX。

XXX通過接入交換機與中環(huán)機房的兩臺XX互聯(lián)，訪問xx個案管理信息系統(tǒng)。網(wǎng)絡(luò)現(xiàn)狀拓撲圖如下所示：

現(xiàn)網(wǎng)總體拓撲圖

XX高校網(wǎng)絡(luò)拓撲圖 2 2、安全防護措施現(xiàn)狀

目前xx校園網(wǎng)采用的安全措施有：

? 網(wǎng)絡(luò)設(shè)備安全防護方面：

網(wǎng)絡(luò)設(shè)備的安全防護是依托機房現(xiàn)有的安全設(shè)備進行安全防護，定期的檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的策略，根據(jù)業(yè)務(wù)系統(tǒng)的需求及時的更新各個策略，對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的訪問使用了復(fù)雜性的加長口令進行安全防護。

? 信息安全設(shè)備部署及使用方面：

中環(huán)機房部署了專門的防火墻設(shè)備和防病毒網(wǎng)關(guān)對邊界網(wǎng)絡(luò)進行安全防護。

? 服務(wù)器的安全防護方面：

服務(wù)器的安全防護主要是依靠機房現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備對服務(wù)器進行安全防護，同時對服務(wù)器統(tǒng)一安裝了防病毒軟件對惡意代碼進行查殺。

? 在應(yīng)用信任措施方面：

xx管理信息系統(tǒng)通過用戶名、口令進行身份鑒別方式，來保證業(yè)務(wù)系統(tǒng)信息的機密性。3、系統(tǒng)軟硬件現(xiàn)狀

xx個案管理信息系統(tǒng)所使用的軟硬件設(shè)備資源情況如下：

序號 類型 內(nèi)容 制造/開發(fā)商 單位(臺套)數(shù)量 一 基礎(chǔ)硬件

（三）項目必要性 為了保障xx管理信息系統(tǒng)的安全持續(xù)運行，落實國家信息安全等級保護標(biāo)準(zhǔn)GB/T25070-2010和GB/T 22239-2008的要求，降低系統(tǒng)面臨的安全風(fēng)險，有必要對xx管

理信息系統(tǒng)進行安全保障體系設(shè)計。

(1)政策法規(guī)要求

XXX公安局、XXX經(jīng)濟和信息化委員會、XXX國家保密局、XXX密碼管理局《關(guān)于印發(fā)XXX開展信息安全等級保護安全建設(shè)整改工作實施方案的通知》（京公網(wǎng)安字[2010]1179號）文件的要求全市各單位加強信息安全等級保護建設(shè)、整改工作。每年，XXX網(wǎng)絡(luò)信息安全協(xié)調(diào)小組發(fā)文要求全市各單位開展信息安全自查工作，并對一些單位進行抽查工作，要求各單位從管理和技術(shù)兩個方面加強信息安全建設(shè)。

(2)xx 管理 信息系統(tǒng)安全保障的需要

xx管理信息系統(tǒng)的數(shù)據(jù)包括xx的個案信息數(shù)據(jù)庫。一旦這些信息泄漏，將會對市xx造成重大影響，因此，迫切需要加強xx管理信息系統(tǒng)的信息安全保障，防范數(shù)據(jù)信息泄漏風(fēng)險。

（四）等級保護工作流程：

系統(tǒng)定級定級備案等級測評 建設(shè)整改安全檢查 圖 1 等級保護工作流程

二、差距分析

（一）技術(shù)差距分析 通過對xx管理信息系統(tǒng)進行等級保護安全整改建設(shè)，達到等級保護三級安全標(biāo)準(zhǔn)，并最終通過等級保護三級測評。

計算環(huán)境的安全主要是物理、主機以及應(yīng)用層面的安全風(fēng)險與需求分析，包括：物理機房安全、身份鑒別、訪問控制、系統(tǒng)審計、入侵防范、惡意代碼防范、軟件容錯、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護、抗抵賴等方面。

根據(jù)XXX自評估結(jié)果，現(xiàn)網(wǎng)如要達到等級保護三級關(guān)于安全計算環(huán)境的要求，還需要改進以下幾點：

物理機房安全：根據(jù)物理機房情況描述，看看是否需要整改。

數(shù)據(jù)庫審計：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都缺少針對數(shù)據(jù)的審計設(shè)備，不能很好的滿足主機安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計設(shè)備。

運維堡壘機：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都未實現(xiàn)管理員對網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時的雙因素認證，計劃通過部署堡壘機來實現(xiàn)。

主機審計：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)主機自身安全策略配置不能符合要求，計劃通過專業(yè)安全服務(wù)實現(xiàn)服務(wù)器整改加固。

主機病毒防護：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)缺少主機防病毒的相關(guān)安全策略，需要配置主機防病毒系統(tǒng)。

備份與恢復(fù)：現(xiàn)網(wǎng)沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時現(xiàn)網(wǎng)沒有實現(xiàn)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，本期計劃部署雙鏈路確保設(shè)備冗余。

另外還需要對用戶名/口令的復(fù)雜度，訪問控制策略，操作系統(tǒng)、WEB和數(shù)據(jù)庫存在的各種安全漏洞，主機登陸條件限制、超時鎖定、用戶可用資源閾值設(shè)置等資源控制策略的合理性和存在的問題進行一一排查解決。

（二）管理差距分析 從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級保護的重點，因此除了技術(shù)措施，XXX還需要運用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運維管理的相關(guān)管理要求，規(guī)范人員安全管理。

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，安全管理中心是實現(xiàn)安全管理的有力抓手。

根據(jù)XXX自評估結(jié)果，現(xiàn)網(wǎng)如要達到等級保護三級關(guān)于安全管理中心的要求，還需要改進以下幾點：

現(xiàn)網(wǎng)沒有一個能對整網(wǎng)安全事件、安全威脅進行分析響應(yīng)處理的平臺，本期需要新增統(tǒng)一安全監(jiān)控管理平臺對信息系統(tǒng)涉及的設(shè)備使用情況和安全事件、系統(tǒng)健康程度等進行識別，要能進行統(tǒng)一的監(jiān)控和展現(xiàn)。通過對安全事件的告警，可以發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時的響應(yīng)和處理。

2020-10-11

第 9 頁, 共 52 頁

三、建設(shè)目標(biāo)

（一）業(yè)務(wù)目標(biāo) 本項目的業(yè)務(wù)目標(biāo)是實現(xiàn)xx管理信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運行，具體為：通過安全保障措施的建設(shè)，防范業(yè)務(wù)數(shù)據(jù)信息泄漏，保障xx管理信息系統(tǒng)安全，以防數(shù)據(jù)泄漏事件發(fā)生。

（二）技術(shù)目標(biāo) 依據(jù)國家信息安全等級保護三級標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全建設(shè)等方面進行方案的設(shè)計，建成能夠有效支撐xx管理信息系統(tǒng)高效運行基礎(chǔ)環(huán)境。

(1)網(wǎng)絡(luò)安全

? 根據(jù)信息系統(tǒng)等級保護標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署； ? 對用戶終端接入網(wǎng)絡(luò)的行為進行控制，利用網(wǎng)絡(luò)實名接入網(wǎng)關(guān)和實名接入控制系統(tǒng)，實現(xiàn)對用戶接入網(wǎng)絡(luò)的認證和能夠訪問的資源的管理； ? 針對內(nèi)部終端用戶進行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。

(2)主機安全

? 通過對操作系統(tǒng)、數(shù)據(jù)庫和中間件等進行安全加固，消除存在的漏洞，降低被威脅利用的可能。

(3)應(yīng)用安全

? 通過對應(yīng)用系統(tǒng)進行安全加固消除風(fēng)險點，降低被威脅利用的可能；

2020-10-11

第 10 頁, 共 52 頁

? 加強xx管理信息系統(tǒng)用戶身份認證強度，為系統(tǒng)集成數(shù)字證書登錄，實現(xiàn)對系統(tǒng)用戶基于USBKey和口令的雙因子身份認證。

(4)安全等級測評

? 開展信息系統(tǒng)安全等級測評，驗證信息系統(tǒng)建設(shè)完成后是否滿足國家信息安全等級保護要求。

四、建設(shè)方案

（一）建設(shè)原則 結(jié)合XXX的實際情況，按照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全等級保護基本要求》等相關(guān)標(biāo)準(zhǔn)要求，以“一個中心、三重防護”為核心指導(dǎo)思想，從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心四個方面構(gòu)建安全建設(shè)方案，以滿足等級保護三級系統(tǒng)的相關(guān)要求。

本方案充分結(jié)合xx管理信息系統(tǒng)業(yè)務(wù)應(yīng)用流程、網(wǎng)絡(luò)現(xiàn)狀、等級保護要求及實際的安全需求進行設(shè)計，在設(shè)計過程中將采取如下原則：

? 綜合防范、整體安全 堅持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機制，實現(xiàn)整體安全； ? 分域保護、務(wù)求實效 將信息資源劃分為計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個方面進行安全防護設(shè)計，以體現(xiàn)層層遞進，逐級深入的安全防護理念； ? 同步建設(shè) 安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步，協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息

2020-10-11

第 11 頁, 共 52 頁

化建設(shè)的規(guī)劃、建設(shè)、運行和維護的全過程中； ? 縱深防御，集中管理 可構(gòu)建一個從外到內(nèi)、功能互補的縱深防御體系，對資產(chǎn)、安全事件、風(fēng)險、訪問行為等進行集中統(tǒng)一分析與監(jiān)管； ? 等級保護策略 安全保障體系設(shè)計以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè)，并遵照國家《信息系統(tǒng)安全等級保護基本要求》進行安全防護措施設(shè)計。

（二）設(shè)計依據(jù) (1)國家等級保護政策文件

? 《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）

? 關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見(公信安[2009]1429號)? 關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技[2008]2071號）

? 公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安[2008]736號）

? 關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安[2007]861號）

? 信息安全等級保護備案實施細則（公信安[2007]1360號）

(2)國家信息安全標(biāo)準(zhǔn)

? GB/T 25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》 ? GB/T 25070-2010《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 ? GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》

2020-10-11

第 12 頁, 共 52 頁

? GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》 ? GB/T21082-2007信息安全技術(shù) 服務(wù)器安全技術(shù)要求 ? GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》 ? GB/T20269-2006信息安全技術(shù) 信息系統(tǒng)安全等級保護管理要求 ? GB/T20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 ? GB/T20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 ? GB/T20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 ? GB/T20273-2006信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 ? GB/T20282-2006信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（三）總體建設(shè)內(nèi)容 根據(jù)xx管理信息系統(tǒng)業(yè)務(wù)安全保障需求，建立有針對性地安全策略，合理規(guī)劃網(wǎng)絡(luò)安全架構(gòu)，依據(jù)差距分析結(jié)果，進行安全整改，實現(xiàn)關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署；實現(xiàn)對用戶接入網(wǎng)絡(luò)的認證和能夠訪問的資源的管理；實現(xiàn)內(nèi)部終端用戶進行管理；實現(xiàn)對xx管理信息系統(tǒng)用戶雙因子強身份認證；建立安全管理中心，實現(xiàn)對xx管理信息系統(tǒng)安全管理。

2020-10-11

第 13 頁, 共 52 頁

（四）總體框架 為了使xx管理信息系統(tǒng)具有較高的安全防護能力，滿足等級保護要求，本次將按照下圖所示的總體框架進行系統(tǒng)安全改造。

2020-10-11

第 14 頁, 共 52 頁

根據(jù)xx管理信息系統(tǒng)現(xiàn)狀和安全需求，采取如下總體安全策略：

? 基礎(chǔ)安全防御得當(dāng)

依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》，和xx管理信息系統(tǒng)網(wǎng)絡(luò)以及系統(tǒng)安全現(xiàn)狀，? 根據(jù)信息系統(tǒng)等級保護標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，通過增加核心交換機、防火墻、防病毒網(wǎng)關(guān)等設(shè)備實現(xiàn)冗余部署； ? 通過部署終端健康檢查和修復(fù)系統(tǒng)對終端接入的行為進行控制，針對內(nèi)部終端用戶進行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。

? 部署網(wǎng)絡(luò)實名接入網(wǎng)關(guān)和實名接入控制系統(tǒng)，實現(xiàn)對用戶接入網(wǎng)絡(luò)的認證和能夠訪問的資源的管理；

? 主機安全：通過對操作系統(tǒng)、數(shù)據(jù)庫和中間件等進行安全加固，消除存在的漏洞，降低被威脅利用的可能； ? 應(yīng)用安全：將xx管理信息系統(tǒng)整合到現(xiàn)有的統(tǒng)一認證管理系統(tǒng)中增加用戶身份認證強度，使其通過數(shù)字證書登錄，實現(xiàn)對系統(tǒng)用戶基于USBkey和口令的雙因子身份認證。

? 技術(shù)管理并行

安全技術(shù)以及管理體系需要同時設(shè)計并落實，兩者互為補充互為支撐。落實組織和人員責(zé)任。

2020-10-11

第 15 頁, 共 52 頁

（五）技術(shù)方案 1、安全技術(shù)體系設(shè)計 根據(jù)建設(shè)目標(biāo)，在充分利用現(xiàn)有設(shè)備的情況下，重新規(guī)劃整改后的網(wǎng)絡(luò)拓撲圖，如下圖所示。

整改后網(wǎng)絡(luò)拓撲圖 1.1.計算環(huán)境安全設(shè)計

1.1.1 終端安全（EAD）

通過部署2臺終端健康檢查和修復(fù)系統(tǒng)實現(xiàn)終端安全的集中統(tǒng)一管理，包括終端補丁的集中下載與分發(fā)、應(yīng)用軟件的集中分發(fā)、禁止非工作軟件或有害軟件的安裝和運行等，強化終端安全策略，終端安全管理軟件還可滿足接入和外聯(lián)的可管理要求。對終端進行安全檢查，確保終端符合安全規(guī)范，對不合規(guī)終端進行隔離修復(fù)。對系統(tǒng)自身安全問題及終端安檢問題進行報警統(tǒng)計，具體功能包括：

2020-10-11

第 16 頁, 共 52 頁

限制非法外聯(lián)。

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號連接，VPN連接等。

終端安全基線自動檢測與強制修復(fù)。

能夠監(jiān)控計算機終端的操作系統(tǒng)補丁、防病毒軟件、軟件進程、登錄口令、注冊表等方面的運行情況。如果計算機終端沒有安裝規(guī)定的操作系統(tǒng)補丁、防病毒軟件的運行狀態(tài)和病毒庫更新狀態(tài)不符合要求、沒有運行指定的軟件或運行了禁止運行的軟件，或者有其它的安全基線不能滿足要求的情況，該計算機終端的網(wǎng)絡(luò)訪問將被禁止。

移動存儲管理。

可以實現(xiàn)移動存儲設(shè)備的認證和設(shè)備使用授權(quán)，只有認證的移動存儲存儲設(shè)備和具有使用權(quán)限的用戶才能使用。對于認證過的移動存儲設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式?？梢灾徽J證設(shè)備，不對其中保存數(shù)據(jù)進行加密共享；也可以對認證的設(shè)備選擇專用目錄或全盤加密共享，并可以對移動設(shè)備使用全過程進行審計，方便在發(fā)生意外時進行查證。

終端審計。

包括“文件操作審計與控制”，“打印審計與控制”，“網(wǎng)站訪問審計與控制”，“異常路由審計”和“終端Windows登錄審計”。所審計的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對涉及終端用戶的個人隱私信息，保證在達到合規(guī)管理的審計要求的前提下，保護終端用戶個人私隱。

2020-10-11

第 17 頁, 共 52 頁

1.1.2 漏洞發(fā)現(xiàn)（漏掃）

漏洞掃描就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞，通過合規(guī)性檢測對系統(tǒng)中不合適的設(shè)置（如不應(yīng)開放的端口）、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查；另外基于網(wǎng)絡(luò)的檢測(Network Scanner)，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

1.1.3 數(shù)據(jù)庫安全審計

計劃部署數(shù)據(jù)庫審計系統(tǒng)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。

數(shù)據(jù)庫審計系統(tǒng)適用于等級保護標(biāo)準(zhǔn)和規(guī)范。數(shù)據(jù)庫審計系統(tǒng)支持所有主流關(guān)系型數(shù)據(jù)庫的安全審計，采用多核、多線程并行處理及CPU綁定技術(shù)及鏡像流量零拷貝技術(shù)，采用黑盒逆向協(xié)議分析技術(shù)，嚴(yán)格按照數(shù)據(jù)庫協(xié)議規(guī)律，對所有數(shù)據(jù)庫的操作行為進行還原，支持請求和返回的全審計，保證100%還原原始操作的真實情況，實現(xiàn)細粒度審計、精準(zhǔn)化行為回溯、全方位風(fēng)險控制，為XXX的核心數(shù)據(jù)庫提供全方位、細粒度的保護功能。數(shù)據(jù)庫審計系統(tǒng)可以幫助我們解決目前所面臨的數(shù)據(jù)庫安全審計缺失問題，避免數(shù)據(jù)被內(nèi)部人員及外部黑客惡意竊取泄露，極大的保護XXX的核心敏感數(shù)據(jù)的安全，帶來以下安全價值：

? 全面記錄數(shù)據(jù)庫訪問行為，識別越權(quán)操作等違規(guī)行為，并完成追蹤溯源 ? 跟蹤敏感數(shù)據(jù)訪問行為軌跡，建立訪問行為模型，及時發(fā)現(xiàn)敏感數(shù)據(jù)泄漏 ? 檢測數(shù)據(jù)庫配置弱點、發(fā)現(xiàn)SQL注入等漏洞、提供解決建議 ? 為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù) ? 提供符合法律法規(guī)的報告，滿足等級保護審計要求。

2020-10-11

第 18 頁, 共 52 頁

1.1.4 運維堡壘主機

計劃部署運維堡壘主機，堡壘機可為XXX提供全面的運維管理體系和運維能力，支持資產(chǎn)管理、用戶管理、雙因子認證、命令阻斷、訪問控制、自動改密、審計等功能，能夠有效的保障運維過程的安全。在協(xié)議方面，堡壘機全面支持SSH/TELNET/RDP（遠程桌面）/FTP/SFTP/VNC，并可通過應(yīng)用中心技術(shù)擴展支持VMware/XEN等虛擬機管理、oracle等數(shù)據(jù)庫管理、HTTP/HTTPS、小型機管理等。

1.2.區(qū)域邊界安全保護設(shè)計

通過深入了解系統(tǒng)業(yè)務(wù)特點和系統(tǒng)功能要求，并在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上，結(jié)合國家等級保護政策和標(biāo)準(zhǔn)要求，對信息系統(tǒng)的安全區(qū)域保護目標(biāo)進行如下設(shè)計。

1.2.1 邊界隔離與訪問控制（NGFW）

在本方案中，XX 系統(tǒng)分布在網(wǎng)絡(luò)出口邊界、數(shù)據(jù)中心區(qū)邊界、網(wǎng)絡(luò)管理區(qū)，所以每個邊界也部署防火墻，并且通過配置防火墻的安全策略，實現(xiàn)各區(qū)域邊界的隔離與細粒度的訪問控制。防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護整個網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。

通過對全網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行分析，確定需要進行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實現(xiàn)各個安全域間的網(wǎng)絡(luò)訪問

2020-10-11

第 19 頁, 共 52 頁

控制。

部署圖如下：

1.2.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)（IPS）

入侵防御產(chǎn)品是一種對網(wǎng)絡(luò)深層威脅行為（尤其是那些防火墻所不能防御的威脅行為）進行抵御的安全產(chǎn)品，通常以串行方式透明接入網(wǎng)絡(luò)。和其他安全產(chǎn)品不同的是，入侵防御產(chǎn)品的主要防御對象是網(wǎng)絡(luò)上TCP/IP的四層以上的實時惡意數(shù)據(jù)流（四層以下的攻擊可以由其他安全產(chǎn)品如防火墻等防御）。在本方案中入侵防御系統(tǒng)主要保護那些對外提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全。在現(xiàn)有網(wǎng)絡(luò)中部署入侵檢測與防御系統(tǒng)可以對訪問xx管理信息系統(tǒng)進行實時監(jiān)測，并進行入侵行為跟蹤分析。

部署圖如下：

1.2.3 網(wǎng)絡(luò)惡意代碼防范（WAF）

瀏覽器都能解釋和執(zhí)行來自 Web 服務(wù)器的嵌入到 Web 頁面下載部分的腳本（用 JavaScript、JScript、VBScript 等腳本語言創(chuàng)建）。當(dāng)攻擊者向用戶提交的動態(tài)表單輸入惡意代碼時，就會產(chǎn)生跨站點腳本(XSS)攻擊或是SQL注入。Web應(yīng)用防火墻主要針對Web服務(wù)器進行第7層流量分析，防護以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對Web應(yīng)用訪問進行各方面優(yōu)化，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。同時，內(nèi)部辦公用戶也會通過互聯(lián)網(wǎng)對外進行訪問，Internet網(wǎng)絡(luò)區(qū)域的安全風(fēng)險級別最高，所以對于對外訪問和信息獲取等操作都應(yīng)進行實時的惡意代碼檢測和事后的清除修復(fù)工作。

對于惡意代碼的防范應(yīng)達到如下要求：

2020-10-11

第 20 頁, 共 52 頁

? 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進行檢測和清除； ? 應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新； ? 應(yīng)支持惡意代碼防范的統(tǒng)一管理。

1.3.通信網(wǎng)絡(luò)安全保護設(shè)計

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T 25070-2010，和市xx網(wǎng)絡(luò)現(xiàn)狀，應(yīng)從鏈路冗余設(shè)計、通信網(wǎng)絡(luò)安全審計及網(wǎng)絡(luò)可信接入方面進行展開設(shè)計。

1.3.1 鏈路冗余設(shè)計（IRF）

擬通過部署1臺H3C S9800交換機，改變核心網(wǎng)絡(luò)結(jié)構(gòu)，與原有的H3C S9800做冗余備份，以滿足等級保護三級標(biāo)準(zhǔn)針對網(wǎng)絡(luò)安全的要求。

部署圖如下：

交換機部署位置圖 1.3.2 網(wǎng)絡(luò)行為安全審計（數(shù)據(jù)庫審計）

為滿足等級保護要求中對三級系統(tǒng)通信網(wǎng)絡(luò)安全審計要求，需在網(wǎng)絡(luò)中建立基于網(wǎng)絡(luò)的安全審計措施，以實現(xiàn)通信網(wǎng)絡(luò)安全審計的防護要求。

在網(wǎng)絡(luò)中應(yīng)部署數(shù)據(jù)庫審計系統(tǒng)，可以通過網(wǎng)絡(luò)端口鏡像的方式抓取進、出區(qū)域邊界數(shù)據(jù)包，基于數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等應(yīng)用訪問行為，確定行為符合安全策略，并以收集的記錄信息作為追蹤違規(guī)事件、界定安全責(zé)任的主要依據(jù)。部署圖如下：

2020-10-11

第 21 頁, 共 52 頁

綜合審計部署圖 1.3.3 網(wǎng)絡(luò)實名準(zhǔn)入系統(tǒng)（EAD）

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T 25070-2010，對于三級系統(tǒng)需建立網(wǎng)絡(luò)接入認證機制，可采用由密碼技術(shù)支持的可信網(wǎng)絡(luò)連接機制，通過對連接到網(wǎng)絡(luò)的設(shè)備進行可信檢驗，確保接入網(wǎng)絡(luò)的設(shè)備真實可信，防止設(shè)備的非法接入。

為保證 xx 管理信息系統(tǒng)對接入用戶實行全生命周期的數(shù)字身份管理，有效管理用戶的訪問憑證和接入權(quán)限，記錄用戶的網(wǎng)絡(luò)訪問行為，在發(fā)生信息安全事件時，能將責(zé)任追溯到人，本項目將沿用終端準(zhǔn)入 EAD 系統(tǒng)，從而實現(xiàn)網(wǎng)絡(luò)可信接入和用戶的身份級別，需求功能包括：

終端準(zhǔn)入功能

利用終端管理系統(tǒng)與交換機配合，如采用802.1x共同完成網(wǎng)絡(luò)準(zhǔn)入控制。

限制非法外聯(lián)。

2020-10-11

第 22 頁, 共 52 頁

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號連接，VPN連接等。

終端審計。

包括“文件操作審計與控制”，“打印審計與控制”，“網(wǎng)站訪問審計與控制”，“異常路由審計”和“終端Windows登錄審計”。所審計的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對涉及終端用戶的個人隱私信息，保證在達到合規(guī)管理的審計要求的前提下，保護終端用戶個人私隱。

1.3.4 網(wǎng)絡(luò)設(shè)備保護（堡壘機）

對于網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施資產(chǎn)的管理，包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和數(shù)據(jù)庫等，均需要通過堡壘機實現(xiàn)對重要業(yè)務(wù)資產(chǎn)操作的認證、授權(quán)和操作記錄審計的要求，同時降低運維人員的管理成本，提高運維效率，通過運維堡壘主機的方式進行集中管理、協(xié)議代理和身份授權(quán)分離的安全操作。

資源集中管理：集中的資源訪問入口、集中帳號管理、集中授權(quán)管理、集中認證管理、集中審計管理等等。

協(xié)議代理：為了對字符終端、圖形終端操作行為進行審計和監(jiān)控，堡壘主機對各種字符終端和圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的操作支持和審計，例如Telnet、SSH、FTP、Windows平臺的RDP遠程桌面協(xié)議，Linux/Unix平臺的X Window圖形終端訪問協(xié)議等。

當(dāng)運維機通過堡壘主機訪問服務(wù)器時，首先由堡壘主機模擬成遠程訪問的服務(wù)端，接受運維機的連接和通訊，并對其進行協(xié)議的還原、解析、記錄，最終獲得運維機的操作行為，之后堡壘主機模擬運維機與真正的目標(biāo)服務(wù)器建立通訊并轉(zhuǎn)發(fā)運維機發(fā)送

2020-10-11

第 23 頁, 共 52 頁的指令信息，從而實現(xiàn)對各種維護協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主機會記錄各種指令信息，并根據(jù)策略對通信過程進行控制，如發(fā)現(xiàn)違規(guī)操作，則不進行代理轉(zhuǎn)發(fā)，并由堡壘主機反饋禁止執(zhí)行的回顯提示。

身份授權(quán)分離：在堡壘主機上建立主帳號體系，用于身份認證，原各IT系統(tǒng)上的系統(tǒng)帳號僅用于系統(tǒng)授權(quán)，這樣可以有效增強身份認證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號管理混亂問題，為認證、授權(quán)、審計提供可靠的保障。

2、安全管理中心設(shè)計（云智）

建立安全管理中心，形成具備基本功能的安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對管理中心內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)信息安全事件的預(yù)警、響應(yīng)和安全管理能力。具體來說應(yīng)該實現(xiàn)以下功能：

1.安全信息采集 Xx系統(tǒng)所有的網(wǎng)絡(luò)設(shè)備（交換機、路由器等）、安全設(shè)備（防火墻、入侵檢測、統(tǒng)一數(shù)字身份管理系統(tǒng)、安全審計設(shè)備等）和重要業(yè)務(wù)系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫、中間件等）的安全事件信息。

2.安全信息分析 對匯集的安全事件信息進行綜合的關(guān)聯(lián)分析，從海量的信息中挖掘、發(fā)現(xiàn)可能的安全事件并且產(chǎn)生安全預(yù)警。

3.信息安全管理 實現(xiàn)統(tǒng)一的安全事件、安全策略、安全風(fēng)險和信息安全支撐系統(tǒng)的管理，實現(xiàn)安全運維流程的自動化管理，滿足管理中心對安全事件及時有效響應(yīng)處置的需求。

4.可視化展示

2020-10-11

第 24 頁, 共 52 頁

實現(xiàn)整體安全態(tài)勢的多維度、多視角的展示，實現(xiàn)系統(tǒng)運行和安全監(jiān)測的全景化和在線化。

2.1.建設(shè)目標(biāo)

安全管理中心的建設(shè)目標(biāo)是為了支撐安全運行體系的建設(shè)和流轉(zhuǎn)，從而提升安全防護能力、隱患發(fā)現(xiàn)能力、監(jiān)控預(yù)警能力以及響應(yīng)恢復(fù)能力，以保障市xx信息系統(tǒng)的安全可靠，實現(xiàn)安全運行工作的“可感知”、“可管理”、“可測量”、“可展示”。

“可感知”目標(biāo)：安全管理中心具備對各類安全資產(chǎn)的脆弱性和海量安全事件的采集、分析、處理報告能力，可以按需展現(xiàn)全網(wǎng)安全資產(chǎn)的脆弱性分布狀況和高危風(fēng)險事件分布狀況，可集中管理各類安全資產(chǎn)的配置基線，能夠智能化分析安全事件對業(yè)務(wù)系統(tǒng)可能產(chǎn)生的實際影響和危害，“實現(xiàn)被動安全智能化”目標(biāo)。

“可管理”目標(biāo)：初步實現(xiàn)集中化的安全風(fēng)險、安全事件、安全預(yù)警和安全策略、安全合規(guī)性和績效考核管理，實現(xiàn)安全運維流程的自動化管理，滿足市xx對安全事件及時有效響應(yīng)處置的需求。

“可測量”目標(biāo)：安全管理中心具備針對各類信息安全管理標(biāo)準(zhǔn)或要求的符合性測量檢查能力，提供針對諸如信息安全管理體系標(biāo)準(zhǔn)要求、等級化保護要求、信息安全專項工作要求的符合性檢查功能，支持通過技術(shù)手段實現(xiàn)符合性檢查工作的自動調(diào)度、自動執(zhí)行、自動核查、自動報告功能。

“可展示”目標(biāo)：實現(xiàn)整體安全態(tài)勢的多維度、多視角的展示，實現(xiàn)系統(tǒng)運行和安全監(jiān)測的全景化和在線化。針對市xx決策層、管理層和執(zhí)行層等不同角色提供不同展現(xiàn)視圖，可以向PC、移動終端上推送當(dāng)前各業(yè)務(wù)系統(tǒng)、各地區(qū)、各單位風(fēng)險管理狀態(tài)和趨勢。

2020-10-11

第 25 頁, 共 52 頁

2.2.總體結(jié)構(gòu)

綜合管理平臺門戶作為整個安全管理中心統(tǒng)一人機界面接口，采用Web應(yīng)用架構(gòu)，支持各功能模塊的信息展示和系統(tǒng)配置管理。針對不同用戶角色的特點，提供不同視角（決策層、管理層、執(zhí)行層）的展現(xiàn)內(nèi)容。

安全管理中心規(guī)劃的應(yīng)用服務(wù)層提供六大應(yīng)用服務(wù)，分別是：脆弱性和安全風(fēng)險管理、安全事件管理、安全預(yù)警管理、安全策略管理、安全符合性管理和安全績效考核，提供的服務(wù)通過門戶層進行展現(xiàn)。

數(shù)據(jù)感知層主要規(guī)劃兩大功能，分別是數(shù)據(jù)采集和數(shù)據(jù)分析處理。

數(shù)據(jù)采集主要負責(zé)與安全支撐系統(tǒng)數(shù)據(jù)交互以及搜集其他設(shè)備的數(shù)據(jù)。其采用的技術(shù)方式包括：Web Serivce、SYSLOG和SNMP trap等接口和協(xié)議。

數(shù)據(jù)處理主要負責(zé)對采集到的原始數(shù)據(jù)進行標(biāo)準(zhǔn)化、歸并及關(guān)聯(lián)分析等詳細的分析處理。可以根據(jù)資產(chǎn)信息、脆弱性信息校正安全信息的真實性，同時也可以根據(jù)攻擊過程描述的縱向關(guān)聯(lián)策略確認一系列安全信息發(fā)生的后果，提取出需要處理的安全事件。

外部接口層承擔(dān)安全運營中心與XX系統(tǒng)之間的數(shù)據(jù)交互，比如從資產(chǎn)系統(tǒng)中抽取資產(chǎn)相關(guān)的信息。

安全管理中心安全支撐層是由6個大系統(tǒng)構(gòu)成，主要為平臺提供數(shù)據(jù)及部分功能實現(xiàn)。支撐系統(tǒng)具體如下：

? 業(yè)務(wù)系統(tǒng) ? 安全設(shè)備 ? 操作系統(tǒng)

2020-10-11

第 26 頁, 共 52 頁

? 中間件 ? 數(shù)據(jù)庫 ? 網(wǎng)絡(luò)設(shè)備

平臺架構(gòu)采用組件化的分層設(shè)計理念，融和工作流組件、業(yè)務(wù)規(guī)則引擎、通用報表組件、數(shù)據(jù)查詢組件、GIS組件等對信息安全運行管理業(yè)務(wù)加以支撐和服務(wù)；平臺架構(gòu)滿足五年以上的技術(shù)和業(yè)務(wù)發(fā)展等適應(yīng)性要求。

2.3.功能模塊

2.3.1 數(shù)據(jù) 采集

數(shù)據(jù)采集是運行監(jiān)控功能的核心模塊，接收來自安全事件監(jiān)控中心的事件，支持資產(chǎn)信息、配置信息、IT事件日志以及安全支撐系統(tǒng)的數(shù)據(jù)采集，實現(xiàn)數(shù)據(jù)識別、數(shù)據(jù)解析、數(shù)據(jù)聚并和數(shù)據(jù)保存等處理。

2.3.2 日志 分析

針對業(yè)務(wù)系統(tǒng)所涉及到的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備運行日志進行采集和安全分析。

2.3.3 運行狀態(tài)監(jiān)控

運行狀態(tài)監(jiān)控主要包含主機、網(wǎng)絡(luò)、安全設(shè)備、數(shù)據(jù)庫、中間件及關(guān)鍵應(yīng)用系統(tǒng)的運行監(jiān)控。同時，以關(guān)鍵業(yè)務(wù)為中心，通過圖形化的業(yè)務(wù)建模工具，根據(jù)實際環(huán)境，定義個性化的業(yè)務(wù)運行評估模型，從業(yè)務(wù)角度對被監(jiān)測資源進行關(guān)聯(lián)、重組，建立真實表達業(yè)務(wù)內(nèi)部關(guān)系的影響模型圖，實現(xiàn)快速搭建業(yè)務(wù)卡片視圖，準(zhǔn)確判斷業(yè)務(wù)健康度、繁忙度、業(yè)務(wù)層級視圖和業(yè)務(wù)告警等內(nèi)容。

2020-10-11

第 27 頁, 共 52 頁

1.主機運行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的主流操作系統(tǒng)監(jiān)控運行性能。通過對主機監(jiān)控，實現(xiàn)對主機的故障告警，同時監(jiān)控主機的健康狀態(tài)與運行性能指標(biāo)。覆蓋主機操作系統(tǒng)類型包括：Windows服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)等。

2.網(wǎng)絡(luò)和安全設(shè)備運行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運行狀態(tài)，通過對設(shè)備健康狀態(tài)與運行性能監(jiān)控，實現(xiàn)對網(wǎng)絡(luò)延時、異常事件、連接失敗等網(wǎng)絡(luò)指標(biāo)進行查看，結(jié)合安全設(shè)備的故障告警，及時發(fā)現(xiàn)性能隱患，能夠監(jiān)控的設(shè)備類型包括交換機、路由器、入侵檢測等。

3.數(shù)據(jù)庫運行狀態(tài)監(jiān)控

系統(tǒng)能夠采集數(shù)據(jù)庫監(jiān)控運行性能，收集數(shù)據(jù)庫的響應(yīng)時間、當(dāng)前總用戶數(shù)、當(dāng)前活躍用戶數(shù)等各性能指標(biāo)的變化趨勢，進行分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。要求支持的數(shù)據(jù)庫系統(tǒng)類型包括：

Oracle、SQL Server、MYSQL等。

4.中間件運行狀態(tài)監(jiān)控

系統(tǒng)能夠采集中間件監(jiān)控運行性能，針對中間件的可用性、響應(yīng)延遲等狀態(tài)信息進行分析，監(jiān)控各項性能指標(biāo)變化分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。能夠支持中間件系統(tǒng)類型，包括：IBM Websphere、Weblogic、Apache Tomcat、Microsoft IIS等。

5.應(yīng)用系統(tǒng)運行狀態(tài)監(jiān)控

通過和應(yīng)用系統(tǒng)的對接接口，實現(xiàn)應(yīng)用系統(tǒng)運行狀態(tài)的監(jiān)控和展示。

2020-10-11

第 28 頁, 共 52 頁

2.3.4 預(yù)警管理

預(yù)警管理包括但不限于IT態(tài)勢分析和展現(xiàn)、預(yù)警通告等功能。

? 態(tài)勢分析：實現(xiàn)對采集信息及分析結(jié)果進行匯集和抽??；對IT事件及風(fēng)險等事態(tài)發(fā)展和后果進行模擬分析，能夠多維度綜合展示。

? 預(yù)警通告：能夠把IT態(tài)勢分析的處理結(jié)果進行預(yù)警通告并展示。

? 預(yù)警管理系統(tǒng)收集和分析歷史數(shù)據(jù)，全面展現(xiàn)一段時期內(nèi)IT態(tài)勢和風(fēng)險管理的情況。

? 為信息安全風(fēng)險管理的規(guī)劃提供數(shù)據(jù)支撐。

預(yù)警模塊中心從系統(tǒng)管理模塊得到資產(chǎn)的基本信息，從脆弱性管理模塊獲取資產(chǎn)的脆弱性信息，從事件監(jiān)控模塊獲取發(fā)生的事件。得到上述這些原始信息后，本模塊進行綜合風(fēng)險分析。綜合風(fēng)險分析是分析整個企業(yè)面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程。能夠根據(jù)各監(jiān)控點的資產(chǎn)信息、脆弱性統(tǒng)計信息以及威脅分布信息，為每一個資產(chǎn)定量地計算出相應(yīng)的風(fēng)險等級，同時根據(jù)業(yè)務(wù)邏輯，分析此風(fēng)險對其他系統(tǒng)的影響，計算出業(yè)務(wù)系統(tǒng)或區(qū)域的整體風(fēng)險等級。

2.3.5 策略管理

網(wǎng)絡(luò)的整體性要求需要有統(tǒng)一策略和基于工作流程的管理。通過為全網(wǎng)管理人員提供統(tǒng)一的策略，指導(dǎo)各級管理機構(gòu)因地制宜的做好策略的部署工作，有利于在全網(wǎng)形成防范的合力，提高全網(wǎng)的整體防御能力，同時通過策略和配置管理平臺的建設(shè)可以進一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風(fēng)險問題。

策略管理系統(tǒng)包括但不限于事件關(guān)聯(lián)分析規(guī)則管理、資產(chǎn)安全配置策略符合性檢

2020-10-11

第 29 頁, 共 52 頁

查和安全策略庫管理功能。

? 事件關(guān)聯(lián)分析規(guī)則管理：能實現(xiàn)安全事件關(guān)聯(lián)分析規(guī)則的自定義、導(dǎo)入、更新、展示、查詢、修改和歸檔等功能。

? 資產(chǎn)安全配置策略符合性檢查：能實現(xiàn)對資產(chǎn)安全配置策略合規(guī)性比對和檢查；提供符合性檢查結(jié)果的展示、查詢、歸檔和策略導(dǎo)出功能；提供修正建議和策略下發(fā)功能。

? 安全策...

第四篇：常見終端問題解決方案和整改方法

問題一：猜測出遠程可登錄的SMB/Samba用戶名口令

弱密碼示例：

掃描原理：通過SMB協(xié)議，匹配弱密碼字典庫，對終端用戶和口令，進行掃描。產(chǎn)生原因：終端存在SMB自建共享或者開啟SMB默認共享導(dǎo)致，同時系統(tǒng)用戶存在弱口令。驗證方法：

（1）使用命令net use ipipc$ password /u:username進行弱密碼登錄嘗試，若登錄成功，則該賬號一定存在。

（2）該賬號可能在“計算機管理”中不存在，因為該賬號可能為克隆賬號、隱藏賬號或者某程序產(chǎn)生的賬號。

（3）也存在計算機已經(jīng)中毒的可能?！蹲⑨尅?/p>

判斷計算機是否存在隱藏賬號的方法：

1.打開注冊表編輯器，展開HKEY_LOCAL_MACHINESAMSAM，修改SAM權(quán)限 為administrator完全控制。

2.按F5刷新注冊表，展開HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames，對比用戶列表和計算機管理中的用戶列表是否相同，如果存在多余的，則為隱藏賬號。加固方法： ? 殺毒

? 使用net use ipipc$ /del，進行刪除

? 如果可以關(guān)閉Server服務(wù)，建議關(guān)閉Server服務(wù) ? 更改計算機系統(tǒng)用戶密碼，設(shè)置足夠密碼強度的口令 ? 關(guān)閉自建共享

問題二：SMB漏洞問題

漏洞示例：

利用SMB會話可以獲取遠程共享列表 主機SID信息可通過SMB遠程獲取 利用主機SID可以獲取本地用戶名列表

掃描原理：通過SMB服務(wù)（主要端口為135.445）對被掃描系統(tǒng)，進行信息獲取 產(chǎn)生原因：終端存在SMB自建共享或者開啟SMB默認共享導(dǎo)致。加固方法：

? 如果可以關(guān)閉Server服務(wù)，建議關(guān)閉Server服務(wù) ? 修改本地安全策略，如：

? 利用SMB會話可以獲取遠程共享列表–啟用“不允許匿名列舉SAM帳號和共享”

? 主機SID信息可通過SMB遠程獲取 –更改“對匿名連接的額外限制”為“沒有顯式匿名權(quán)限就無法訪問”

? ? ? ? ? ? ? ? 利用主機SID可以獲取本地用戶名列表–啟用“允許匿名 SID/名稱轉(zhuǎn)換”

通過防火墻過濾端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，過濾方法如下：

進入“控制面板->系統(tǒng)和安全->windows 防火墻->左側(cè)高級設(shè)置”，打開“高級安全防火墻”，右鍵“入站規(guī)則”->新建規(guī)則。

進入“規(guī)則類型”頁面，選擇“要創(chuàng)建的規(guī)則類型”為“端口”，點擊“下一步”。進入“協(xié)議和端口”頁面，選擇“TCP規(guī)則”，并在“特定本地端口”中輸入要屏蔽的端口（如：135、139、445、1025），點擊“下一步”。進入“操作”頁面，選擇“阻止鏈接”，點擊“下一步”。進入“配置文件”頁面，選中“域、專用、公用”，點擊“下一步”。進入“名稱”頁面，輸入一個名稱，如“網(wǎng)絡(luò)端口屏蔽”

問題三：自建共享的問題

漏洞示例：

存在可寫共享目錄 存在可訪問的共享目錄

猜測出遠程可登錄的SMB/Samba用戶名口令

產(chǎn)生原因：終端用戶自建了共享，且共享目錄的權(quán)限為可訪問、可寫 加固方法：

? 關(guān)閉自建共享

? 更改共享文件的權(quán)限，取消everyone權(quán)限

問題四：SNMP口令問題

漏洞示例：

SNMP服務(wù)存在可讀口令 SNMP服務(wù)存在可寫口令

產(chǎn)生原理：通過UDP 161 端口獲取被測系統(tǒng)信息。同時所謂可讀，可寫是針對RO權(quán)限和RW權(quán)限所對應(yīng)的，因為SNMP代理服務(wù)可能存在默認口令。如果您沒有修改這些默認口令或者口令為弱口令，遠程攻擊者就可以通過SNMP代理獲取系統(tǒng)的很多細節(jié)信息。相關(guān)服務(wù)：

? SNMP Service：使簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)請求能在此計算機上被處理。如果此服務(wù)停止，計算機將不能處理SNMP 請求。如果此服務(wù)被禁用，所有明確依賴它的服務(wù)都將不能啟動。SNMP Trap：接收本地或遠程簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)代理程序生成的陷阱消息并將消息轉(zhuǎn)發(fā)到此計算機上運行的SNMP 管理程序。如果此服務(wù)被停用，此計算機上基于SNMP 的程序?qū)⒉粫邮誗NMP trap 消息。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。加固方法：

如非必須，建議關(guān)閉SNMP ? ? ? ? ? XP關(guān)閉方法：控制面板-?“添加或刪除程序”-?“添加/刪除Windows組件”-?“管理和監(jiān)視工具”，雙擊打開，取消“簡單網(wǎng)絡(luò)管理協(xié)議.Windows 7關(guān)閉方法：控制面板-?“添加或刪除程序”-?“打開或關(guān)閉winows功能”，取消“簡單網(wǎng)絡(luò)管理協(xié)議.如為必須，請修改SNMP的“團體名稱”

打開“服務(wù)”?選擇“SNMP server”?右鍵“安全”-?添加團體名稱 修改端口號或者防火墻屏蔽

問題五：FTP相關(guān)漏洞問題

漏洞示例：

? 猜測出遠程FTP服務(wù)存在可登錄的用戶名口令 ? 遠程FTP服務(wù)器根目錄匿名可寫

產(chǎn)生原理：使用TCP 21號端口，進行FTP相關(guān)漏洞的掃描 加固方法：

? 如果FTP為非必須，建議關(guān)閉FTP服務(wù) ? 如果FTP為業(yè)務(wù)需要，建議修改ftp 若口令

? Linux 下有兩種弱密碼，一個是ftp, 一個是anouymous帳號，對于anouymous帳號弱密碼，通過關(guān)閉默認帳號來實現(xiàn)。對于ftp帳號，由于此時ftp帳號是系統(tǒng)帳號，故需要通過passwd為ftp 設(shè)置密碼

? 由于在windows下，ftp帳號使用的是系統(tǒng)帳號，因此windows下ftp帳號的弱密碼，也就是系統(tǒng)帳號的弱密碼。

? 針對漏洞“遠程FTP服務(wù)器根目錄匿名可寫”，使用命令chown root ~ftp &&chmod 0555 ~ftp進行加固

問題六：Integard Home和Pro HTTP請求遠程棧溢出漏洞

? 當(dāng)前沒有解決方案，可能是誤報，一直在和總部溝通中，尚未找到解決方案。

問題七：遠程協(xié)議相關(guān)漏洞

產(chǎn)生原因：利用TCP 3389端口對終端進行掃描，發(fā)現(xiàn)遠程協(xié)議相關(guān)漏洞。加固方法：

? ? ? ? 針對不同漏洞，下載不同補丁

如果遠程協(xié)議服務(wù)不需要，建議關(guān)閉遠程桌面協(xié)議 通過防火墻過濾3389端口 更改3389端口為一不常見端口

第五篇：IPv6網(wǎng)絡(luò)演進整改解決方案

****網(wǎng)絡(luò)IPv6演進方案

江蘇****網(wǎng)絡(luò)技術(shù)有限公司

2018年3月13日

網(wǎng)絡(luò)安全加固方案

目錄 2 概述..........................................................................................................................................3 1.1 2.1 項目背景概述.........................................................................................................................3 IPV6網(wǎng)絡(luò)演進.........................................................................................................................5

IPv6發(fā)展初期階段.........................................................................................................5 IPv6與IPv4共存階段....................................................................................................5 IPv6主導(dǎo)階段.................................................................................................................5 IPv6演進模式.................................................................................................................6 IPv6業(yè)務(wù)支持.................................................................................................................6 IPv6可管理性.................................................................................................................6 針對不同的網(wǎng)絡(luò)環(huán)境進行建設(shè).....................................................................................6 需求分析..................................................................................................................................3 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 3 3.1 3.2 3.3 ? ? 3.3.2 ? 3.3.3 3.3.4 3.3.5 需要考慮的問題.....................................................................................................................5

解決方案..................................................................................................................................7

網(wǎng)絡(luò)建設(shè)總體要求.................................................................................................................7 交通電子政務(wù)網(wǎng)絡(luò)劃分.........................................................................................................7 方案說明.................................................................................................................................8

組網(wǎng)思路.........................................................................................................................8 IPv6用戶的接入方式.....................................................................................................8 業(yè)務(wù)實現(xiàn)分析.................................................................................................................8 廣域網(wǎng)IPv6組網(wǎng)............................................................................................................9 企業(yè)分支節(jié)點接入.........................................................................................................9 IPv6地址規(guī)劃.................................................................................................................9 IPv6路由規(guī)劃...............................................................................................................10 基于真實IPv6源地址的用戶標(biāo)識和認證服務(wù)...........................................................12 3.3.1 / 14

網(wǎng)絡(luò)安全加固方案 概述

1.1 項目背景概述

Internet的成功與發(fā)展促進了IP網(wǎng)絡(luò)的發(fā)展，不過IPv4地址已然耗盡，下一代互聯(lián)網(wǎng)使用IPv6技術(shù)已成為互聯(lián)網(wǎng)發(fā)展的必然趨勢。2011年2月3日，全球互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(IANA)正式宣布已無新的IPv4地址分配。而隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型應(yīng)用的快速發(fā)展，將會需求大量的地址資源，這勢必會對我國互聯(lián)網(wǎng)持續(xù)穩(wěn)定的發(fā)展產(chǎn)生影響，因此解決IPv4地址短缺的問題迫在眉睫。

從技術(shù)本質(zhì)上講，解決IPv4地址短缺，可以采用兩種不同的技術(shù)路線，一種是多級NAT(如NAT444)技術(shù)，另一種是IPv6技術(shù)，這兩種技術(shù)是完全對立的。從長遠來看，NAT技術(shù)并不能從根本上解決地址短缺的問題，而且會增加網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性。

2017年11月26日，中辦、國辦聯(lián)合印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署的行動計劃》（以下簡稱《計劃》）。從該《計劃》可以看到，政府橫向要求政府機構(gòu)、中央媒體、中央企業(yè)網(wǎng)站完成IPv6的升級改造，縱向從終端、網(wǎng)絡(luò)到典型應(yīng)用整個垂直行業(yè)要求支持IPv6的演進。這充分反映了國家戰(zhàn)略和政府在此次IPv6規(guī)模部署行動的決心。

為了滿足****區(qū)交通運輸管理局未來的網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)需要，減少新業(yè)務(wù)與應(yīng)用的IT成本，以及物聯(lián)網(wǎng)及大數(shù)據(jù)在交通業(yè)務(wù)方面的應(yīng)用需求。IPv6網(wǎng)絡(luò)的部署及演進已是必然趨勢，需提前做好相應(yīng)的技術(shù)規(guī)劃，未雨綢繆。需求分析

目前，在****區(qū)交通系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)中，部分業(yè)務(wù)系統(tǒng)是通過IPV4 NAT技術(shù)實現(xiàn)交通局和下轄單位網(wǎng)絡(luò)的互聯(lián)互通，與互聯(lián)網(wǎng)業(yè)務(wù)的訪問也是通過NAT技術(shù)實現(xiàn)。拓撲網(wǎng)絡(luò)如下圖： / 14

網(wǎng)絡(luò)安全加固方案

圖2-1****系統(tǒng)網(wǎng)絡(luò)拓撲圖

NAT技術(shù)的使用，雖然能解決IPv4地址的緊缺和網(wǎng)絡(luò)自治區(qū)域間的互聯(lián)互通，但也為網(wǎng)絡(luò)的使用帶來消極影響；NAT是一種救急措施而非最終解決方案。

NAT網(wǎng)絡(luò)的弊端如下：

? 破壞的IP 的端到端模型，增加網(wǎng)絡(luò)復(fù)雜性，提高網(wǎng)絡(luò)運維成本 ? 地址和端口轉(zhuǎn)換需要額外處理，影響網(wǎng)絡(luò)性能，降低流媒體業(yè)務(wù)質(zhì)量

? 保存連接狀態(tài)，存在單點失效問題，降低了網(wǎng)絡(luò)的可靠性 ? 面臨非NAT友好應(yīng)用問題，某些新業(yè)務(wù)需升級NAT設(shè)備

由于IPv4與IPv6協(xié)議的不兼容，引入IPv6技術(shù)關(guān)鍵在于即要保證原有IPv4業(yè)務(wù)的應(yīng)用，同時又要考慮通過IPv6引入減輕IPv4地址不足所面臨的壓力。因此產(chǎn)生了大量的IPv6演進方案，包括雙棧技術(shù)、NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE等多種解決方案。具體采用哪種解決方案，需要結(jié)合****區(qū)交通局網(wǎng)絡(luò)信息系統(tǒng)的現(xiàn)有情況及今后的業(yè)務(wù)場景需求，選擇對應(yīng)的IPv6演進策略。沒有任何一個技術(shù)可以解決所有問題，需要具體問題具體分析。

未來網(wǎng)絡(luò)的最終模型必然是單棧IPv6網(wǎng)絡(luò)已成為業(yè)界共識，因此在選擇IPv6演進方案時，更多的需要考慮所選擇的技術(shù)架構(gòu)是需要符合未來的發(fā)展趨勢，同時也可以避免多次升級所帶來的各種問題。受限于應(yīng)用系統(tǒng)或終端局限等問題，不能在短時間內(nèi)大規(guī)模升級到IPv6，且大量業(yè)務(wù)仍是基于IPv4的業(yè)務(wù)應(yīng)用，因此在未來一段時間內(nèi)，網(wǎng)絡(luò)中主要的應(yīng)用還是基于IPv4的。為加快IPv6的演進，需要加快引進IPv6業(yè)務(wù)的進度。

目前，****局網(wǎng)絡(luò)在IPv6部署演進中主要會面臨三大挑戰(zhàn)：業(yè)務(wù)、終端與網(wǎng)絡(luò)邊緣。

由于網(wǎng)絡(luò)邊緣設(shè)備涉及到相對復(fù)雜的網(wǎng)絡(luò)路由管理、安全、業(yè)務(wù)感知等功能，且會存在一定數(shù)量現(xiàn)網(wǎng)設(shè)備不具備軟件升級支持IPv6的能力，會面臨替換的問題，但相對來講，在三大挑戰(zhàn)中這是最容易解決的。/ 14

網(wǎng)絡(luò)安全加固方案

對于終端和業(yè)務(wù)部分而言，終端因涉及到規(guī)模龐大、應(yīng)用軟件種類多、總體成本高等原因，是IPv6網(wǎng)絡(luò)演進的主要困難。沒有創(chuàng)新的應(yīng)用也就難以為IPv6特色業(yè)務(wù)的開發(fā)和規(guī)模提供有效平臺，整個IPv6演進就難以進入良性循環(huán)。

2.1 IPv6網(wǎng)絡(luò)演進

當(dāng)前大量的網(wǎng)絡(luò)是IPv4網(wǎng)絡(luò)，隨著IPv6的部署，很長一段時間是IPv4與IPv6共存的過渡階段。通常將IPv6的部署劃分為以下個階段：

圖2-2 IPv6的部署方案

2.1.1 IPv6發(fā)展初期階段

在IPv6網(wǎng)絡(luò)部署初期，IPv6站點的規(guī)模不大，因此在IPv4網(wǎng)絡(luò)中形成了一個個“IPv6孤島”。業(yè)務(wù)應(yīng)用上以原有的IPv4應(yīng)用為主，需要保證IPv6站點與IPv4網(wǎng)絡(luò)之間的通信，以及IPv6站點之間的互連。

2.1.2 IPv6與IPv4共存階段

隨著IPv6網(wǎng)絡(luò)規(guī)模的擴大，純IPv6網(wǎng)絡(luò)與純IPv4網(wǎng)絡(luò)并存?；贗Pv6的傳統(tǒng)業(yè)務(wù)逐漸開始大量部署，需要保證IPv6與IPv4之間的通信。

2.1.3 IPv6主導(dǎo)階段

純IPv6網(wǎng)絡(luò)最終形成，原有的IPv4網(wǎng)絡(luò)大部分升級為IPv6，只剩下少數(shù)的IPv4站點成為“IPv4孤島”。此時適用于IPv6的各種新型業(yè)務(wù)開始成為主流業(yè)務(wù)。

2.2 需要考慮的問題

在****區(qū)交通系統(tǒng)部署IPv6之前，我們首先要考慮部署的總體方針和策略： / 14

網(wǎng)絡(luò)安全加固方案

2.2.1 IPv6演進模式

在交通網(wǎng)中部署IPv6可以有全雙棧模式和隧道模式。全雙棧模式組網(wǎng)是最理想的方案，不必為不同類型的用戶單獨部署網(wǎng)絡(luò)配置，開銷小，管理簡單、IPv4和IPv6的邏輯界面清晰。隧道模式屬于過渡技術(shù)，不是最終的理想方案；隧道兩端點設(shè)備需要花費額外的系統(tǒng)開銷。

2.2.2 IPv6業(yè)務(wù)支持

如：IPv6的過渡技術(shù)有手工隧道方式，自動隧道方式，有基于MPLS VPN技術(shù)的6PE方式，有基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的NAT-PT等等，IPv6的單播路由協(xié)議有OSPFv3,ISISv6,BGP4+等等，IPv6的組播路由協(xié)議有PIM-SM,PIM-SSM等等。

2.2.3 IPv6可管理性

在本次網(wǎng)絡(luò)建設(shè)后，應(yīng)充分考慮網(wǎng)絡(luò)部署IPv6的可管理及可維護性，要能夠滿足日常業(yè)務(wù)的需要和網(wǎng)絡(luò)安全管理方面的需求。

2.2.4 針對不同的網(wǎng)絡(luò)環(huán)境進行建設(shè)

主干網(wǎng)絡(luò)設(shè)備可以考慮直接擴容為全雙棧模式，適當(dāng)兼顧只支持IPv4協(xié)議棧的終端；并可根據(jù)交通局業(yè)務(wù)的的實際情況，可以先建設(shè)部分雙棧網(wǎng)絡(luò)，其他部分采用隧道模式允許用戶IPv6業(yè)務(wù)，逐步將不支持IPv6的設(shè)備進行換代升級。

綜上所述，本次部署IPv6網(wǎng)絡(luò)的時候，建議有條件的網(wǎng)絡(luò)中采用全雙棧部署，完成本次駐地網(wǎng)的大部分改造，其次根據(jù)現(xiàn)有交通網(wǎng)內(nèi)的實際業(yè)務(wù)應(yīng)用情況，采用部分過渡技術(shù)，在不影響現(xiàn)有IPv4網(wǎng)絡(luò)主要業(yè)務(wù)的條件下，使得交通專網(wǎng)中需要部署IPv6網(wǎng)絡(luò)的地方能夠通過隧道技術(shù)，接入業(yè)務(wù)服務(wù)區(qū)域或CERNET2。/ 14

網(wǎng)絡(luò)安全加固方案 解決方案

3.1 網(wǎng)絡(luò)建設(shè)總體要求

1、安全保密性

嚴(yán)格遵循國家安全保密法規(guī)，從技術(shù)、管理角度，加強網(wǎng)絡(luò)和信息的安全防范，確保涉密信息安全，實現(xiàn)與非專網(wǎng)業(yè)務(wù)——如因特網(wǎng)業(yè)務(wù)的嚴(yán)格邏輯隔離，保障三級縱向?qū)＞W(wǎng)的安全。

2、業(yè)務(wù)承載靈活性

在保證網(wǎng)絡(luò)及信息安全保密的同時，還需兼顧業(yè)務(wù)承載、系統(tǒng)架構(gòu)和數(shù)據(jù)交換實際需要，按照“強化業(yè)務(wù)網(wǎng)”的思路開展網(wǎng)絡(luò)及應(yīng)用系統(tǒng)建設(shè)。

3、提高資源利用率

按照統(tǒng)籌規(guī)劃、統(tǒng)一布署、分步實施的原則，從全局出發(fā)，打破部門界限，實現(xiàn)三級交通運輸系統(tǒng)各部門的互聯(lián)互通和資源共享，使交通系統(tǒng)已有的各類信息資源發(fā)揮出最大效益，避免重復(fù)建設(shè)，杜絕資源浪費。

3.2 交通電子政務(wù)網(wǎng)絡(luò)劃分

根據(jù)省政府關(guān)于電子政務(wù)建設(shè)的有關(guān)要求，全省交通電子政務(wù)網(wǎng)絡(luò)分為電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)。

****電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

從上圖可以看出，交通電子政務(wù)網(wǎng)絡(luò)邏輯上分為兩套網(wǎng)絡(luò)，即電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)，物理上分為三套網(wǎng)絡(luò)，即涉密網(wǎng)、交通業(yè)務(wù)專網(wǎng)和外網(wǎng)。

電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)須物理隔離，交通行業(yè)業(yè)務(wù)專網(wǎng)和交通行業(yè)外網(wǎng)之間應(yīng)采用安全等級較高設(shè)備（如防火墻、網(wǎng)閘）進行隔離，提高網(wǎng)絡(luò)之間的安全性。/ 14

網(wǎng)絡(luò)安全加固方案

3.3 方案說明

由于現(xiàn)有網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)且具備相當(dāng)?shù)挠脩粢?guī)模，如果對全網(wǎng)設(shè)備進行升級將面臨投資較大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等一系列的問題。

針對這種情況，建議采用升級現(xiàn)有IPv4網(wǎng)絡(luò)的方案。

3.3.1 組網(wǎng)思路

在現(xiàn)有IPv4網(wǎng)絡(luò)下分散著若干IPv6/IPv4雙棧主機，為使這些主機接入到IPv6網(wǎng)絡(luò)當(dāng)中且對現(xiàn)網(wǎng)的原有應(yīng)用的影響最小，可首先將交通網(wǎng)絡(luò)的核心設(shè)備（核心交換機）升級為雙棧，網(wǎng)絡(luò)的其他部分保持不變。核心設(shè)備完成升級后，可分別提供至IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的出口；IPv6/IPv4雙棧主機可以采用ISATAP隧道的方式直接接入核心交換機。對于原有的IPv4用戶不造成任何影響，同時實現(xiàn)了IPv6用戶的接入（如下圖）。核心設(shè)備應(yīng)考慮節(jié)點冗余，因此建議逐步完成對所有核心設(shè)備的升級。

? IPv6用戶的接入方式

在節(jié)點1下，由于網(wǎng)絡(luò)中匯聚層依然是原有的IPv4交換機，接入層是原有的IPv4交換機或L2交換機，為完成IPv6用戶到核心交換機的連接，可采用ISATAP隧道的方式。

在節(jié)點2和節(jié)點3下，用戶通過雙棧方式或IPv6 over IPv4隧道方式完成連接。

? 業(yè)務(wù)實現(xiàn)分析

通過升級，原有的IPv4網(wǎng)絡(luò)下的IPv4用戶的業(yè)務(wù)不受影響。新增的IPv6/IPv4雙棧用戶可以正常訪問IPv6網(wǎng)絡(luò)和IPv6業(yè)務(wù)以及IPv4網(wǎng)絡(luò)和IPv4業(yè)務(wù)。

在IPv6建設(shè)初期，IPv6業(yè)務(wù)資源相對較少，因此需要考慮純IPv6用戶對于現(xiàn)有IPv4業(yè)務(wù)資源的訪問。同時，IPv4用戶也會有訪問IPv6業(yè)務(wù)資源的需求。為實現(xiàn)這兩種可能的業(yè)務(wù)互訪的需求，需要考慮如何放置NAT-PT設(shè)備。/ 14

網(wǎng)絡(luò)安全加固方案

3.3.2 廣域網(wǎng)IPv6組網(wǎng)

廣域網(wǎng)組網(wǎng)側(cè)重于“IPv6孤島”之間跨越廣域網(wǎng)的連接，如，交通局總部與下轄單位、下轄段位之間通過IPv6連接等網(wǎng)絡(luò)情況，都可適用。

? 企業(yè)分支節(jié)點接入

若新建部分IPv6分支，為了實現(xiàn)與分支節(jié)點的IPv6連接，可將分支機構(gòu)作為匯聚節(jié)點的路由器設(shè)備升級為雙棧。這樣，原有的IPv4分支與交通局的連接保持不變，新建的IPv6分支節(jié)點出口設(shè)備采用雙棧路由器，可接入到交通局的雙棧設(shè)備上。

根據(jù)實際組網(wǎng)需要，分支與交通局之間可運行OSPFv3路由協(xié)議。

3.3.3 IPv6地址規(guī)劃

IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用的方便有效的管理網(wǎng)絡(luò)的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。按照最新的IPv6 RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。

IPv6的地址使用方式有兩類，一類是普通網(wǎng)絡(luò)申請使用的IP地址，這類地址完全遵從前綴+接口標(biāo)識符的IP地址表示方法；另外一類就是取消接口標(biāo)識符的方法，只使用前綴來表示IP地址。

IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，IPv6地址規(guī)劃目前尚沒有主流的規(guī)則，具體的IP地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，可以遵循一些分配原則： / 14

網(wǎng)絡(luò)安全加固方案

? 地址資源應(yīng)全網(wǎng)統(tǒng)一分配

? 地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡化路由表 ? IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的發(fā)展要求 ? 充分合理利用已申請的地址空間，提高地址的利用效率。

IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。IPv6的地址規(guī)劃時考慮三大類地址：

1、公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。

2、網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址。

根據(jù)IETF IPv6工作組的建議IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。

3、用戶終端的業(yè)務(wù)地址。

此外由于目前網(wǎng)絡(luò)設(shè)備的IPv6 MIB信息的獲取和OSPFv3中ROUTER ID等均要求即使是一個純IPv6網(wǎng)絡(luò)也必須要求每個網(wǎng)絡(luò)設(shè)備擁有IPv4地址。所以一個純IPv6網(wǎng)絡(luò)也必須規(guī)劃IPv4地址（僅需要網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址）。

3.3.4 IPv6路由規(guī)劃

路由協(xié)議分為域內(nèi)路由協(xié)議和域間路由協(xié)議，目前主要的路由協(xié)議都增加了對IPv6的支持功能。從路由協(xié)議的應(yīng)用范圍來看，OSPFv3、RIPng和IS-ISv6適用10 / 14

網(wǎng)絡(luò)安全加固方案

于自治域內(nèi)部路由，為內(nèi)部網(wǎng)關(guān)協(xié)議；BGP4+用來在自治域之間交換網(wǎng)絡(luò)可達信息，是外部網(wǎng)關(guān)協(xié)議。? 域內(nèi)路由協(xié)議選擇

支持IPv6的內(nèi)部網(wǎng)關(guān)協(xié)議有：RIPng、OSPFv3、IS-ISv6協(xié)議。從路由協(xié)議標(biāo)準(zhǔn)化進程看，RIPng和OSPFv3協(xié)議已較為成熟，支持IPv6的IS-IS協(xié)議標(biāo)準(zhǔn)草案也已經(jīng)過多次討論修改，標(biāo)準(zhǔn)正在形成之中，而且IS-ISv6已經(jīng)在主流廠家的相關(guān)設(shè)備得到支持。從協(xié)議的應(yīng)用范圍的角度，RIPng協(xié)議適用于小規(guī)模的網(wǎng)絡(luò)，而OSPF和IS-IS協(xié)議可用于較大規(guī)模的網(wǎng)絡(luò)。

對于大規(guī)模的IP網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的可靠性和可擴展性，內(nèi)部路由協(xié)議（IGP）必須使用鏈路狀態(tài)路由協(xié)議，只能在OSPF與IS-IS之間進行選擇，下面對兩種路由協(xié)議進行簡單的對比。

目前在IPv4網(wǎng)絡(luò)中大量使用的OSPF路由協(xié)議版本號為OSPFv2，能夠支持IPv6路由信息的OSPF版本稱為OSPFv3，能夠支持IPv6路由信息交換的ISIS路由協(xié)議稱為IS-ISv6。OSPFv3：

OSPFv3與OSPFv2相比，雖然在機制和選路算法并沒有本質(zhì)的改變，但新增了一些OSPFv2不具備的功能。OSPFv3只能用來交換IPv6路由信息，ISISv6可以同時交換IPv4路由信息和IPv6路由信息。

OSPF是基于IP層的協(xié)議，OSPF v3是為IPv6開發(fā)的一套鏈路狀態(tài)路由協(xié)議。大體與支持IPv4的OSPF v2版本相似。對比OSPF v2，在OSPF v3中有以下區(qū)別： / 14

網(wǎng)絡(luò)安全加固方案

雖然OSPFv3是為IPv6設(shè)計的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一個IPv6的地址。所以即使運行OSPF v3也需要為路由器分配IPv4地址。

協(xié)議的運行是按照每一條鏈路（Per-link）進行的，而不是按照每個子網(wǎng)進行的（per-subnet）；

把地址域從OSPF包和一些LSA數(shù)據(jù)包中去除掉，使得成為網(wǎng)絡(luò)層協(xié)議獨立的路由協(xié)議：

與OSPFv2不同，IPv6的地址不再出現(xiàn)在OSPF包中，而是會在鏈路狀態(tài)更新數(shù)據(jù)包中作為LSA的負載出現(xiàn)；

Router-LSA和Network-LSA也不再包含網(wǎng)絡(luò)地址，而只是簡單的表示拓撲信息； 鄰居路由器的識別將一直使用Router ID，而不是像OSPFv2一樣在某些使用端口會將端口地址作為標(biāo)識。

Link-Local地址可以作為OSPF的轉(zhuǎn)發(fā)地址。除了Virtual link必須使用Global unicast地址或者使用Site-local地址。

去掉了認證信息。在OSPF v3中不再有認證方面的信息。如果需要加密，可以使用IPv6中定義的IP Authentication Header來實現(xiàn)。

3.3.5 基于真實IPv6源地址的用戶標(biāo)識和認證服務(wù)

基于真實IPv6源地址的用戶標(biāo)識和認證服務(wù)即保證用戶的IPv6地址的使用必須是經(jīng)過授權(quán)的，具體應(yīng)用與場景相關(guān)，可分為路由轉(zhuǎn)發(fā)流量和本地接入流量的源地址驗證。

1、路由轉(zhuǎn)發(fā)流量： / 14

網(wǎng)絡(luò)安全加固方案

交通局網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)，可采用OSPFv3或ISIS等，ISIS可以通過MD5加密，OSPF可以使用IPSEC加密，保證IPv6路由來源的可靠性，然后通過URPF或ACL來檢查報文的源地址是否來源于正確的端口。

2、本地接入流量：

此環(huán)境下和接入層組網(wǎng)、地址分配方式、接入設(shè)備密切相關(guān)。接入層典型的組網(wǎng)由客戶端（主機Host）、接入設(shè)備（NAS）、AAA服務(wù)器組成。地址分配包括無狀態(tài)地址分配（ND，以及擴展的SEND、Privacy Extensions）、有狀態(tài)地址分配（DHCP）、手工配置等，采用有狀態(tài)分配地址，組網(wǎng)中要加入DHCP服務(wù)器。接入設(shè)備NAS有路由器、交換機、AC/AP等，對應(yīng)的接入鏈路層包括ADSL、Ethernet、WiFi等，其上都可以直接承載IPv6數(shù)據(jù)報文。如果二層本身就可以隔離或加密，則部署較簡單，只需要在認證環(huán)節(jié)確保安全、然后將二層信息與IPv6地址進行綁定即可，否則需要考慮后續(xù)的每報文的安全性處理。

接入認證協(xié)議有802.1x、PPPoE、PORTAL、802.11i、WAPI等，可以將MAC地址、端口與IPv6地址綁定，無線協(xié)議是共享端口的，可以將IPv6地址與二層傳輸密鑰綁定。綁定的過程，視地址分配方式而不同，手工配置只能靜態(tài)綁定，ND/DHCP則可以動態(tài)綁定。對于ND協(xié)議，其安全性需要提高，可以采用類似ARP的方案來補充：ND源抑制功能、ND防IP報文攻擊功能、ND的主動確認、源MAC地址固定的ND攻擊檢測、ND報文源MAC一致性檢查、ND報文限速、授權(quán)ND、ND Detection、ND Proxy等。/ 14