防火墙分析报告
以前对防火墙接触甚少,所了解的也是从系统底层实现角度看的一些分析细节,最近由于工作需要,对防火墙的发展、分类、现状和趋向等方面做了概略的了解,也有一些体会,做个简单的总结。
目录
第一部分,防火墙的基本概念
一.防火墙的分类
二.防火墙的附加功能
第二部分,防火墙实现
一.防火墙功能分析
二.防火墙设计中的一些重点问题
三.防火墙设计的国家标准
第三部分,分析
第四部分,防火墙发展展望
第五部分:目前流行的防火墙
第六部分:三种流行防火墙配置方案分析对比
第七部分:调研感想
第一部分,防火墙的基本概念
首先说明一些文中大量用到的概念:
外网(非受信网络):防火墙外的网络,一般为Internet;
内网(受信网络):防火墙内的网络;
受信主机和非受信主机分别对照内网和外网的主机。
非军事化区(DMZ):为了配置管理方便,内网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。
近来随着网络安全问题日益严重,网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。
以往在没有防火墙时,局域网内部上的每个节点都暴露给Internet上的其它主机,此时局域网的安全性要由每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点。而防火墙是放置在局域网与外部网络之间的一个隔离设备,它可以识别并屏蔽非法请求,有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有节点上,这就简化了局域网安全管理。
防火墙的经典功能,仅仅是以下:
1.作为一个中心“遏制点”,将局域网的安全管理集中起来;
2.屏蔽非法请求,防止跨权限访问(并产生安全报警);
一.防火墙的分类
随后随着技术的发展,防火墙的技术也在不断发展,到今天,防火墙的分类和功能也在不断细化,但总的来说,可以分为以下两大类:
包过滤防火墙、应用级防火墙。
至于和入侵检测系统、分布式探测器融合起来的防火墙(系统),不在本报告讨论范围,其简介见第三部分。
1.包过滤防火墙
又叫网络级防火墙,因为它是工作在网络层。
它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。路由器便是一个“传统”的网络级防火墙。
防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP 连接。
专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等。状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由checkpoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,防火墙事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如ftp的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.应用级防火墙
应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用级网关,它此时也起到一个网关的作用。
应用级防火墙检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和审核。其基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内网。
常用应用级防火墙已有了相应的代理服务软件,如HTTP、SMTP、FTP、Telnet、r系列等等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务(如sock代理)。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现麻烦,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任网络上通过防火墙访问Internet 时,经常会出现延迟和多次登录才能访问外网的问题。
显然可知,应用级防火墙每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络级防火墙。
在现在的防火墙分类中,还有“电路级网关”、“规则过滤防火墙”、“监测型防火墙”等等,但自己认为这些只是以上两大种防火墙中某一种技术上具体实现时的一种说法或者是两种防火墙的融合,故不再单独讨论。如所谓电路级网关是用来监控受信主机与非受信主机间的TCP握手信息来决定该会话(Session)是否合法,是从OSI模型的角度来称呼(会话层),而在TCP/IP模型中,它仍是属于网络层的。又如规则过滤防火墙即前边讨论的加入状态检测功能的包过滤防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,
使所有组织可以放心地在节点间传送数据。
二.防火墙的附加功能
由于防火墙所处的优越位置(内网与外网的分界点),它在实际应用中也往往加入一些其他功能如NAT、VPN、路由管理等功能。
NA T(Network Address Translation)即网络地址转换。即将内网的IP地址或者外网的IP地址转换,一般分为源地址转换Source NA T(SNA T)和目的地址转换Destination NAT (DNAT)。常见的包伪装(Masquerading)就是一个SNA T特例,主要用来将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。端口转发(Port forwarding)、负载分担、以及透明代理,都属于DNAT,主要用于外网主机访问内网主机。
虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密,认证等手段,从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块实现。
路由安全管理典型实现可见checkpoint公司的Fire Wall-1防火墙,它主要指为路由器提供集中管理和访问列表控制。
以上是防火墙的一些附加功能,有些(如NAT)已经成为大多数防火墙的“标准”配置,但我们必须认识到,这些并非防火墙本身必须实现的功能,这对我们分析一个防火墙的市场定位,在有限成本下实现一个防火墙是很重要的。
第二部分,防火墙实现
一.防火墙功能分析
当前防火墙(应该)主要实现如下功能:
1.包过滤
包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。
特别要提到的是状态监测技术,一般是加载一个检测模块,在不影响网络正常工作的前提下,模块在网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判断该通信是否符合安全策略。由于它是在网络层截获数据包的,因此它可以支持多种协议和应用程序,并可以很容易地实现应用的扩充。
目前国内防火墙大多号称已实现了状态检测技术,然而据朋友介绍,这些所谓的“状态检测”防火墙并不是真正的状态检测,因没有接触过此类防火墙,没有太多了解,不能做过多评论。
2.审计和报警机制
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要作出接受、拒绝、丢弃或加密等决定(target)。如果某个访问违反安全规定,审计和报警机制开始起作用,并作记录,报告等等。
审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。
防火墙的审计和报警机制在防火墙体系中是很重要的,只有有了审计和报警,管理人员才可能知道网络是否受到了攻击。另外,防火墙的该功能也有很大的发展空间,如日志的过滤、抽取、简化等等。日志还可以进行统计、分析、(按照特征)存储(在数据库中),稍加扩展便又是一个网络分析与查询模块。
日志由于数据量比较大,主要通过两种方式解决,一种是将日志挂接在内网的一台专门存放日志的日志服务器上;一种是将日志直接存放在防火墙本身的存储器上。日志单独存
放这种方式配置较为麻烦,然而可以存放的日志量可以很大;日志存放在防火墙本身时,无需做额外配置,然而由于防火墙容量一般很有限,所存放的日志量往往较小。目前这两种方案国内(包括国外)都有使用。
3.远程管理
管理界面一般完成对防火墙的配置、管理和监控。
管理界面设计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面:web界面和GUI界面。对于硬件防火墙,一般还有串口配置模块和/或控制台控制界面。管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信(适用GUI界面)。
GUI界面可以设计的比较美观和方便,并且可以自定义协议,也为多数厂商使用。一般使用语言VB、VC,有部分厂家使用Java开发,并把此作为一个卖点(所谓跨平台)。Web界面也有厂商使用,然而由于防火墙因此要增加一个CGI解释部分,减少了防火墙的可靠性(GUI界面只需要一个简单的后台进程就可以),故应用不是太广泛。
部分厂家增加了校验功能,即系统会自动识别用户配置上的错误,防止因配置错误而造成的不安全隐患。
目前国内大部分防火墙厂商均是在管理界面上做文章,反观之管理界面固然很重要,然而它毕竟不是一个防火墙的全部,一个系统功能设计完善的防火墙其管理部分必然容易设计。
4.NAT
网络地址转换似乎已经成了防火墙的“标配”,绝大多数防火墙都加入了该功能。
目前防火墙一般采用双向NA T:SNA T和DNAT。SNAT用于对内部网络地址进行转换,对外部网络隐藏起内部网络的结构,使得对内部的攻击更加困难;并可以节省IP资源,有利于降低成本。DNAT主要实现用于外网主机对内网和DMZ区主机的访问。
5.代理
目前代理主要有如下几种实现方式:
a.透明代理(Transparent proxy)
透明代理实质上属于DNA T的一种,它主要指内网主机需要访问外网主机时,不需要做任何设置,完全意识不到防火墙的存在,而完成内外网的通信。但其基本原理是防火墙截取内网主机与外网通信,由防火墙本身完成与外网主机通信,然后把结果传回给内网主机,在这个过程中,无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。而从外网只能看到防火墙,这就隐藏了内网网络,提高了安全性。
b.传统代理
传统代理工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器。
如前所述,代理能实现较高的安全性,不足之处是响应变慢。
5.MAC与IP地址的绑定
这其实是一个可有可无的功能。
MAC与IP地址绑定起来,主要用于防止受控(不可访问外网)的内部用户通过更换IP 地址访问外网。
因为它实现起来太简单了,内部只需要两个命令就可以实现,所以绝大多数防火墙都提供了该功能。
6.流量控制(带宽管理)和统计分析、流量计费
流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制,基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要
接口的连接。
流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。
7.VPN
VPN在前边已经介绍过。在以往的网络安全产品中VPN是作为一个单独一个产品出现的,现在更多的厂家把两者捆绑到一起,这似乎体现了一种产品整合的趋势。
8.URL级信息过滤
这往往是代理模块的一部分,很多厂家把这个功能单独提取出来,作为一个卖点,但是我们要知道,它实现起来其实是和代理结合在一起的。
URL过滤用来控制内部网络对某些站点的访问,如禁止访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或者其下目录等等。
9.其他特殊功能
这些功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而加上的。
如有时用户要求,如限制同时上网人数;限制使用时间;限制特定使用者才能发送E-mail;限制FTP只能下载文件不能上传文件;阻塞Java、ActiveX控件等,这些依需求不同而定。
有些防火墙更加入了扫毒功能,一般是与防病毒软件搭配。
二.防火墙设计中的一些重点问题
1.方案:硬件?还是软件?
从上面讨论可以看出,现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC 系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD 做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。
2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下:
取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);
限制命令执行权限;
取消IP转发功能;
检查每个分组的接口;
采用随机连接序号;
驻留分组过滤模块;
取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。
以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。
3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。
A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。
这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。
b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详细讨论。
B.对来自外部(和内部)攻击的反应能力
目前常见的来自外部的攻击方式主要有:
a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。
目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。
b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。
IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。
c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。
d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。
e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。
C.透明代理的采用
应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。
4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以继续使用。
目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP 代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:
内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清楚,也没找到相关资料)。
透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。
这个过程如下:
1. 用ARP代理实现路由器和子网的透明连接(网络层)
2. 用路由转发在IP层实现数据包传递(IP层)
3. 用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。
5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构一般都是冗余设计)更让人无法承受。
防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。
国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug 测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。
6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。
总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价:
CheckPoint Firewall-1 4.1 25user 19000.00
CheckPoint Firewall-1 4.1 50user 31000.00
CheckPoint Firewall-1 4.1 100user 51000.00
CheckPoint Firewall-1 4.1 250user 64000.00
CheckPoint Firewall-1 4.1 无限用户131000.00
从用户量上防火墙可以分为:
a.10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M (针对硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?
b.25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。
c.100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。
这个区间的防火墙报价一般在20万以上。这样的中高端防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。
d.数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。
当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功能越多,价格就越贵。如Netscreen的百兆防火墙:
NetScreen-100f(AC Power) -带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000
而在此基础上增加了128位VPN功能的报价则高出5万元:¥317,500
7.研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。
防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX 程序员数量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,
否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。
研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分):
内核模块
防火墙模块(含状态检测模块)
NA T模块
带宽管理模块
通信协议模块
管理模块
图形用户界面模块(或者Web界面模块)
透明代理模块(实质属于NA T模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等)
各应用代理模块(包括URL过滤模块)
VPN模块
流量统计与计费模块
审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块各按20人周计算,防火墙实现总共需要150人周。加上前期10-15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。
8.可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣。
目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。
防火墙的灵活性主要体现在以下几点:
a.易于升级
b.支持大量协议
c.易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)
d.功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。
另外,灵活性一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
三.防火墙设计的国家标准
在我国,防火墙作为一种信息安全产品,其进入市场并不是随意的,有相关的国家标准,也有相应的认证中心。
在我国1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》中规定:
国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。(第十二章第16条规定)
随后公安部1997年颁布了《计算机信息系统安全专用产品检测和销售许可证管理办法》规定:
第三条中华人民共和国境内的安全专用产品进入市场销售, 实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。
第四条安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。
第五条公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构(以下简称检测机构)的审批工作。
第十七条已取得销售许可证的安全专用产品, 生产者应当在固定位置标明“销售许可”标记。
任何单位和个人不得销售无“销售许可”标记的安全专用产品。
国家于1999年通过了关于放火墙的相关国家标准:
GB/T 17900-1999 网络代理服务器的安全技术要求
GB/T 18018-1999 路由器安全技术要求
GB/T 18019-1999 信息技术包过滤防火墙安全技术要求
GB/T 18020-1999 信息技术应用级防火墙安全技术要求
公安部专门成立了一个机构:公安部计算机信息系统安全产品质量监督检验中心(位于上海)来完成相关安全产品的检验工作。并且从2000年9月起执行上面的三个新的国家标准。
这个检测是强制的,必须通过这个检测,才能够进入市场。
另外又有中国国家信息安全测评认证中心的测评,据称这个机构的认证:“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品或系统安全质量的最高认可。目前看到的一些国内大的防火墙厂商的防火墙产品都通过了这个认证。但它不是强制认证(如著名的checkpoint就没有这个认证)。
如果想进入国防行业,还要通过中国人民解放军信息安全测评认证中心的“军用信息安全产品认证证书”,拿到解放军总参谋部的“国防通信网设备器材进网许可证”。
另外还有国家保密局的推荐等等,这些纯粹就是部门瞎搞了。
其他还有国外的认证如美国国际计算机安全协会(ICSA)认证和欧洲ITSEC E3认证等。第三部分,分析
在前面讨论了防火墙实现上的一些问题,从当前市场可以看出,防火墙行业的竞争已经非常激烈,且大多(对国内厂商来说)集中在中小型企业网用户这个有限的用户群。而且不断有厂家涌入这个市场。
从97年公安部监测中心建立起来以后,我们可以从每年通过认证的产品数量可以看出:
其中标称防火墙的(不包括所谓
产品总数安全产品其实起到防火墙功能的)98年15 4
99年103 28
2000年219 48
2001年129种(至8月)33
从数字可以看出,从98年到2001年,网络安全产品每年在不断迅速增加,防火墙也在不断增加,且防火墙占网络安全产品总数均略超过1/4。国内市场上的防火墙种类目前已经超过100种(这些不包括没有通过检测私自出售的产品)。从对以上这一百多种防火墙的大部分(有一部分资料无法获得)分析以后,发现一个很奇怪的现象,没有多少防火墙针对办公室级市场。如netscreen干脆就没有把针对这个市场的netscreen 5送检。
第四部分,防火墙发展展望
如下是一些防火墙的技术展望。
1.多级过滤技术
所谓多级过滤技术,是指防火墙一般采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。
多级过滤技术其实就是现在防火墙已经广泛使用的技术:包过滤、应用网关。之所以把他提出来是因为这个提法比较科学,在分层上非常清楚,而且从这个概念出发,又有很多内容可以扩展。
2.网络安全产品的系统化
现在有一种提法,叫做建立“以防火墙为核心的网络安全体系”,主要是随着目前网络安全产品的不断推出和防火墙在实际使用中表现出越来越大的局限性而提出的。
一般情况下,内外网交界的位置由于非常关键,为了降低网络传输延迟,只有不得不置于这个位置的设备如防火墙才会放置在这里(一般必需的还有病毒检测设备等等),其他设备如IDS只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止(在这点上我理解为其实IDS 是一个策略不断变化的动态的“智能”防火墙,而防火墙本身是一个策略安全级最低的静态设备,这里所说的IDS是指NIDS,而非基于主机的)。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。
在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
目前主要有两种解决办法。一种是直接把IDS、病毒检测部分直接“做”到防火墙中,使防火墙具有(简单的)IDS和病毒检测设备的功能。另一种是各个产品分立,但是通过某种通讯方式形成一个整体,即相关检测系统专职某一类安全事件的检测,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。第一种方法似乎前途不明确,因为IDS本身也是一个非常复杂的系统,且不说能不能“做”到防火墙里边去,即使成为防火墙的一部分,这样一个防火墙的效率也很难说。第二种方法在实现起来困难一些,而且很明显的是:IDS、病毒检测设备必须置于防火墙之外,如果置于防火墙之内,就起不到相应效果了。这样一来,IDS等设备本身的安全性又不得不成为研究的一个重点。
3.管理的通用化
这一点其实主要是针对国内防火墙而言的。
国外的防火墙这一点已经非常成熟,一般防火墙都不是作为一个特殊网络产品来管理,而是纳入通用网络设备管理体系。
国内则相差很远,往往是防火墙就是防火墙,管理起来需要单独管理,乃至单独培训。不过国内也已经有所改观,正在向网络化、通用化发展,据称亿阳信通出品一种防火墙和VPN的结合产物就支持远程通用管理。
3.专用化和小型化
这是自己的一点想法,一个原因是基于上边讨论的微小型防火墙(姑且这么称呼),一个原因是来自个别地方提出的一个新概念:网络二极管(即单向防火墙),这个由于相关资料很少,无法作出更详细的讨论。
第五部分:目前流行的防火墙
国外,zonealarm,outpost,comodo
国内:天网
eTrust Personal Firewall (ZoneAlarm) v5.5.114官方简体中文版的世界第一的防火墙
双宿主机网关(Dual Homed Gateway)
屏蔽主机网关(Screened Host Gateway)
屏蔽子网(Screened Subnet)
第六部分:三种流行防火墙配置方案分析对比
1、双宿主机网关(Dual Homed Gateway)
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图1)。
2、屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
3、屏蔽子网(Screened Subnet)
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图4),两个路由器一个控制Intranet 数据流,另一个控制Internet 数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
第七部分:调研感想
最近,利用了星期六日的时间在夫子庙一带进行了一项关于薪金的调查,调查内容包
括姓名、年龄、职业岗位、就业、薪金。总调查人数近40 人,实际成功人数为16 人,
总结了一下调查困难的原因有以下几点:
一、没有学生证,身份不明。大部分人不相信是学生在完成作业,而是以为什么商业
性的活动,登记了会被骚扰,也就不愿意被采访。
二、调查内容涉及隐私。
调查的有薪金问题,大部分收入并不高的人不愿意透露自己的薪金多少,收入高的人却有一种以此为傲,反倒更加配合。
三、调查对象选择的问题。刚开始选择的对象是路上的游客,大部分人形色匆匆,赶着去观赏景点,没有时间驻足倾听,后来选择了坐在休息区休息的人们,看起来相对穿着得体者并且健谈的人,才采访成功了。四、男性相对比女性好调查。男性首先心里安全感就比女性强一点,男性也比女性的收入相对高点,比较大方,比较健谈,当采访者是女性,女性比较不容易相信采访的人,不愿意被采访。从这次采访虽然有困难,但到最后总算的成功的,我也从中得到经验:采访必须眼耳口手并用,眼睛要看,要观察,看那些人是有时间的,那些人是大方的,那些人是健谈的,比较有可能接受采访的;耳朵要听,听被采访者的陈述,说的内容,用心去听,从中得到你想要的内容;口要问,问出自己想要的东西,当被访者所述内容偏离主题是必须巧妙的把被访者往主题上引导;手要记,好记性不如烂笔头,只有记下来的东西才是自己的东西,记下来了才方便日后的整理分析。
居民生活满意度调查报告分析 作品名称:居民生活满意度调查报告分析 所在学院:西安财经学院统计学院 班级:统计1301,1302,1303 班作者: 指导老师: 时间:2014年8月
引言 随着中国改革开放与人们日益提高的生活水平,人们的生活方面发生了巨大的变化,对此的看法和满意度也是不同的。同时,生活在不同环境的人对生活方式的改变与生活满意度也是不同的。因此,本文通过实地调查问卷的方式收集数据,然后进行数据整合,数据分析,并结合相关学术理论,着实了解随着生活水平的提高,人们对于新的生活方式的反应与满意度是如何的,这样有利于为国家进一步的发展和为人民服务提供更加有利的和有针对性的意见和建议。
目录
(一)调查背景 改革开放三十多年来,我国的经济发展速度和质量是有目共睹的,甚至经济最为发达的美国都感受到了中国经济为其带来的巨大压力,这说明,我国正在向着实现社会现代化经济建设的最终目标大步前进。但是在最近几年国民幸福指数调查中发现,国民的幸福感指数和经济发展速度没有成正比,正在急剧的下降。这一调查结果的出现,引起了学术界的广泛关注和深思。居民对生活的满意度决定了我国的发展程度。现如今,随着改革开放,我国居民生活日益舒适,然而,我国城镇居民对生活的满意度却有所下降,本文针对这一问题,进行了深度的调查分析。 (二)调查目的 当前我国经济上的发展使人们的整体生活水平有了很大提高,为了了解人们对此的反应如何,是否满意或适应当前的生活方式变化,故在假期做了这份问卷调查并进行分析,以便为国家进一步发展和为人民服务提供更加有利和有针对性的意见和建议。 (三)调查对象 西安市、大同市、固原市、内江市、商洛市、怀化市、葫芦岛市等
场地调研报告P P T Last revision on 21 December 2020
目录 一、场地概况 1、总体区位 2、周边环境 3、使用人群及人流分析 (1)主要人群分析 (2)不同人群在不同时间活动频率分析 ( 3 ) 交通流线分析 二、场地内部因素分析 1、场地入口 2、场地用地构成 (1)构成要素(2)停车空间分析 3、建筑物 (1)建筑概况(2)地形处理 (3)建筑构造及朝向 (4)辅助设施 (5)缺陷 4、景观空间分析 (1)建筑外围景观 (2)建筑内部庭院 三、综合分析 四、对场地设计的认识 一、场地概况 1.总体区位 场地位于华中科 技大学校园内,附近 区域可以大致划分为 运动休闲区,教学区 和学生生活区,所选 场地---西十二教学楼 位于教学区内,比邻 运动休闲区。场地沿东西向展开,占地面积约23920平方米(以西十二教学楼周围道路为界作为所选场地界限)。 2、周边环境 场地周边建筑有 院系教学楼和一些小 工厂,稍远处有图书馆
和宿舍楼。北面有运动 场,东边有休闲的广场。 其中,宿舍楼、操场、 图书馆的使用人群是 全校师生,人流量较大, 而印刷厂和院系楼,人流量较小。从周边场地的使用功能来分析,可将场地周边大致划分为闹区和静区。 3、使用人群及人流分析 (1)主要人群分析 使用人群主要分为三 类: 学生:来到场地的学 生一般集中在上下课高峰 期,平常的时间点会有零 零散散来自习的同学。主 要的活动是上课、自习,也有少部分在周围绿地休憩。 工作人员:包括老师、清洁工等 外来人员:场地的外来人员包括了在学校闲晃和旅游的人员以及家住学校的教职工家属,以及附近居民。 (2)不同人群在不同时间活动频率分析 考虑到校园生活特色,有时间波动,故分时段分批次进行了观察统计。分别选取工作日和周末两个不同日期,在一天的不同时段对场地活动人群进行观察与统计,根据统计结果画出如下示意图(因上下课高峰人数无法计量,此处数字仅表示各时段的大体数量关系。下午及晚上与上午类似,分上课高峰期及上课途中两个阶段,下图只列出早上的数据)。 从示意图中可以看出,工作日人流量主要集中在上下课高峰期,其余时间段分别有零零散散去自习的人,以及在旁边绿地工作及休闲的人。 我们观察到,早上第一波上课高峰,人流主要来自于寝室和操场方向;第二波上课高峰主要来自寝室和操场方向以及西五教学楼和图书馆方向。下午也分两波上课高峰,情况同上午类似。晚上主要为自习的同学,活动比较自由。 人数统计情况示意 人数统计折线示意图 篇二:校园场地设计调研报告 调研报告 目录 一、场地概况 1、总体区位 2、历史变迁 3、周边环境 4、人流分析 5、路径分析 二、场地内部因素分析 1、场地入口
心得体会:如何写出高质量的调研报告 调研的目的全在于运用,一篇高质量、有分量的调研报告,对认识、分析和解决问题有着重要的参考作用,将直接影响到相关的决策和施策行为。因此,广大党员干部应聚焦体现高质量的各项要求,锚准具体撰写过程中的关键点,努力写出让群众认可、让领导认同的优质调研报告,做到语当其时、策当其用,行之有方、用之有效,切实解决问题,体现调研价值。 高质量调研报告必须“十个有” 文无定法。如何为高质量调研报告“画像”呢?能“画”得出、“画”得准吗?套用一句名言:一般的调研报告各有各的问题,但高质量的调研报告却都有相似之处。也就是说,大部分高质量的调研报告都有着比较一致的特点,这些元素正是高质量调研报告“炼”成的重要方向。具体来说,就是在围绕精准性、深入性、价值性、前瞻性、可读性等方面,努力做到“十个有”。
有提炼还要有提升。调研的关键是获取“第一手”素材,以便掌握最全面、最客观的信息,但调研报告却不应是简单的素材堆砌和信息整理,而要进行精准的提炼和提升。“千淘万漉虽辛苦,吹尽黄沙始到金”。对调研了解到的问题情况、经验做法、意见建议等,一方面应进行去粗取精、去伪存真的筛选,另一方面还应进行由散到聚、由表及里的归纳提炼,以确保在重要信息不失真、不遗漏的情况下,实现重点突出、内容清晰、一目了然的效果。同时,还应围绕调研的方向,对素材所反映的问题、做法、不足等情况,在“主题”层面进行聚焦提升,直抵问题的症结、做法的特色、不足的内因,而不能浮在表面、蜻蜓点水、流于一般。比如,就“辖区内网格数量多、种类多、成效却不明显”的基础素材,在“网格化治理”和“网格化党建”这两个不同主题的调研中,其侧重点是不同的。前者应重点从功能角度来研判量与质的关系,后者应重点从党建资源配置角度分析其发挥作用的路径,方向不同,其提炼和提升的角度自然不同。 有论据还要有论证。调研的重点是广泛搜集相关实例、数字,以便体现主题、反映问题,但调研报告不应为了迎合需要而“定向”选用,而要开展深入的分析和论证。论据是死的,论证则是变死为活的过程。对调研得到的例证和数据,一方面应对诸多繁杂的内容进行科学“取舍”,选用其中最具典型、最能说明问题、最能体现价值的
员工满意度调查分析报告(7月份) 总体调查情况:总分:97分; 本次调查共发出《员工满意度调查表》130份,共收回125份。有效答卷为115份。在本次调查中,对公司的整体评价感到很满意的有:13 人,满意的有:27人,一般的有:49人,合计89人,占被调查人数的80%;对公司整体评价不满意的有21人,占被调查人数的20%。 以上数据所得,绝大多数员工都比较满意公司的各项工作,员工满意度达80%,基本上达到公司各部门的目标值,但仍有部分工作需要改善, 具体详见调查内容数据分析。 六、调查问卷的解释: 问卷主要涉及 5 方面内容: 1、对工作回报的满意度:包括薪资福利及精神和物质回报两个板块; 2、对工作背景的满意度:包括公司文化、管理制度及体系、工作环境及工作匹配四大模块; 3、对工作群体的满意度:包括工作方法和工作氛围、后勤服务两大板块; 4、对公司经营的满意度:产品质量一个板块; 5、员工的合理化建议:要求员工对其工作、生活中遇到的各种问题畅所欲言。 七、调查问卷答卷汇总、分析与总结: (一)汇总: 1、对工作回报的满意度 1)薪酬福利:“薪酬福利”这一模块包含有工资水平、工资分配方案、绩效管理、薪酬福利: 员工福利、报酬及奖金的公平性等5个方面,参加此项作答的有110人。通过对此项满意度问题的综合汇总我们发现, 没有员工是非常满意公司目前的薪酬福利的,在答卷 中表示 “满意”的员工只有14人,仅占总作答人数的12%;有52人员工的则选择了“一般”,占总人数的47%;还有41名员工则表示对公司目前的薪酬体系“不满意”,占总人数的37%;剩下4名员工则表示为“极不满意”,占总人数的4%。具体分布情况如下图所示: 制造部: 物控部: 总 体 满 意 度 25% 44%
大型体育场馆运营管理情况调研报告 为深化体育管理体制改革,积极探索新时期体育场馆运营管理的规律,破解大型体育场馆运营管理的难题,使体育场馆为建设公共服务体系和发展体育产业发挥更大作用。现对XX州开展大型体育场馆运营管理调研的情况报告如下: 一、大型体育场馆的基本情况 XX体育场位于蒙自市天马路,建于XX年,占地面积73503平方米,建筑面积18737平方米,能容纳观众3万人,有标准足球场和田径场各1块,配有160m2旋转彩屏和电子显示装置,以及灯光音响设备,体育场四周有商铺约3000平方米。XX年全年接待健身人数8万余人,全年接待室外广场健身人数达12万人,对外开放场地面积1XX平方米,全年365天对外开放,每周对外开放时间90小时,全年经营收入154.5万元,支出合计132.2万元,上缴税金合计4.1万元。 XX体育馆位于蒙自市朝阳路,建于XX年,占地面积6332平方米,建筑面积12453.8平方米,有固定座位5197个,活动座位624个,有贵宾室、运动员裁判员休息室、新闻发布室等配套服务用房及设施,馆内设音响视频系统、演出灯光等,可举行篮球、排球、体操等多项体育赛事,同时也可
承接各类文艺演出、商业会展等。XX年体育馆全年接待健身人数达10万余人,全年接待室外健身人数达12万人,对外开放场地面积6000 平方米,全年365天对外开放,每周对外开放时间90小时,全年收入合计76万元,支出合计73.5万元,上缴税金合计2.3万元。 XX州民族体育馆位于个旧市金湖东路,建于1997年。为便于管理,XX州人民政府于1997年9月批准成立XX州民族体育馆,为正科级自收自支事业单位,核定人员编制10人。目前XX州民族体育馆主要运营管理的场馆有四馆一场,即体育馆、网球馆、体操馆、游泳馆、体育场。 体育馆有固定座位3338个,其中活动座位270个,有配套比赛和大型活动的会议室、办公室、运动员和裁判员休息室,馆内设音视频系统装置,配有文艺演出的基本灯光。馆外四周有面向大众开放的健身房、体育用品经营部、休闲娱乐茶庄、汽车美容等多种经营场所。 网球馆建于XX年,由6块标准的塑胶场地和一幢三层楼的配套服务功能房组成。配套用房一楼设有休闲厅、淋浴室。二楼、三楼设有对外营业的豪华标准间18间。四楼有面向社会开放的乒乓球室。网球馆既作为XX州网球项目的训练场地,同时大量的时间对社会有偿开放。 体操馆建于XX年,在建盖时就着眼于面向市场。总层平方1940.74高为三层,一二层已面向社会出租,经营面积
质量分析报告样板 一、本月生产质量情况简介 (略) 二、产品审核情况 1.各单位质量水平可用下表表示,具体数值略 缺陷界定: A:影响客户人身、财产安全的性能缺陷; B:影响产品性能及客户正常使用,但对其人身财产、安全影响不大的缺陷; C:影响产品外观,对产品性能无影响的缺陷; 各单位质量水平 项目单位A级缺陷 总次数D A B级缺陷 总次数D B C级缺陷 总次数D C 样品数n 质量水平U 标准质量水平U S 车间 车间 车间 车间 件库 库 说明:U=(10D A+5D B+1D C)/n 2.各单位产品质量指数低于90%的零件清单用下表表示,具体数值略 单位序 号 零件号平均QKZ值(%)主要缺陷项目主要缺陷数量备注 XX车间 1 磕碰伤15 2 磕碰伤8 3 磕碰伤28 4 XX尺寸小 5 5 XX尺寸大 3 ..... XX车间 1 XX尺寸大 3 2 磕碰伤 3 3 磕碰伤 5 4 磕碰伤7 5 XX尺寸短 1 …. XX车间1 粗糙度次于XX 5 2 粗糙度次于XX 5 3 粗糙度次于XX 5 4 粗糙度次于XX 6 5 2 (5) XXX车间1 粗糙度次于XX 8 2 磕碰伤 3
3 粗糙度次于XX 2 XX尺寸大23 4 磕碰伤 … 3.各单位质量水平趋势图 各单位产品质量合格数据可用于下表表示,具体数字略 各单位产品质量合格数据 单位 金工车间电机车间驱动车间编码器车间零件库备注 月份 1月 2月 3月 4月 5月 6月 7月 8月 根据各单位质量数据表,做出各单位质量水平趋势图(略) 三、磕碰伤情况 各单位磕碰伤的产品数据可用下表表示,具体数值略 各单位磕碰伤的产品数据 单位 金工车间电机车间驱动车间编码器车间零件库备注 月份 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 根据各单位磕碰伤的产品数据,做出趋势图(略)。 四、废品统计分析 1.全厂废品金额元,责任废品金额元,责任废品率%,各单位具体数据可用下表表示,具 体数值略。 各单位废品数据表 序号主要项目废品金额累计频次累计百分比(%) 1 金工车间
xx医院患者满意度、知晓率调查分析为了提升我院的医疗服务品质,改进我院的各项服务工作,更能贴近患者的 需求,护理部结合当前工作实际,实事求是定期进行“患者对医院护理服务质量 满意度”的调查。现将一季度住院病人满意度调查进行汇总分析如下: 一、调查目的 掌握来我院就医患者对医院护理服务的看法、意见和建议,了解护理管理存在 的问题。 二、调查对象及一般情况 调查对象:在医院就医的患者及其家属(主要是住院患者)。一般情况:这 部分人大多数对医院的各服务机构的接触面广,可调查性强。 三、调查方式 调查方式:问卷调查和访谈相结合。患者住院期间,由护理部深入病房,与家 属或患者面对面的沟通、交流,对住院或即将出院的患者或其家属请求配合填写 调查表,说明填写方法和目的,被调查人匿名填写,不识字的可由陪人代写,并 现场统一收回。此问卷调查每份20项,本季度共发放住院患者问卷调查表330 份,收回330份,所答项目100%有效,据调查结果统计,本季度住院患者平均 满意度为90%,知晓率为94%。 四、调查时间 xx年1月1日—xx年3月31日 五、调查内容 主要调查了解患者的就医感受,涉及医院环境、卫生状况、医护人员的服务 情况以及患者对医院的意见和建议等方面。
图1 xx年1季度住院患者满意度与知晓率对比 表2 xx年各科室1季度满意度调查明细表
图表2 xx年各科室1季度满意度调查明细表 一、存在问题: 1、对个别护士的服务态度和语言不满意。 2、对住院期间护士巡视病房,观察病情频率不满意。 3、不清楚自己的护理等级。 4、对护士讲解的有关检查的注意事项不太理解。 5、对护士讲解的康复和健康指导相关知识不太理解。 6、入院宣教内容不详细,个别病人称不知主管医生、主管护士。 二、原因分析: 1、护理人员主动服务意识不强,是影响护理服务的主要因素。部分护士不安心本职工作,对护理工作缺乏热情,主动服务意识不强,影响护理质量的提高。 2、别科室未合理排班,造成护理操作不及时,如呼叫响时换药不及时,患者离院后更换床铺不及时;基础护理如患者的生活护理及心理护理不到位,是患者对护理工作产生不满意的重要因素。
目录 一、场地概况 1、总体区位 2、周边环境 3、使用人群及人流分析 (1)主要人群分析 (2)不同人群在不同时间活动频率分析 ( 3 ) 交通流线分析 二、场地内部因素分析 1、场地入口 2、场地用地构成 (1)构成要素(2)停车空间分析 3、建筑物 (1)建筑概况(2)地形处理 (3)建筑构造及朝向 (4)辅助设施 (5)缺陷 4、景观空间分析 (1)建筑外围景观 (2)建筑内部庭院 三、综合分析 四、对场地设计的认识 一、场地概况 1.总体区位 场地位于华中科 技大学校园内,附近 区域可以大致划分为 运动休闲区,教学区 和学生生活区,所选 场地---西十二教学楼 位于教学区内,比邻 运动休闲区。场地沿东西向展开,占地面积约23920平方米(以西十二教学楼周围道路为界作为所选场地界限)。 2、周边环境 场地周边建筑有 院系教学楼和一些小 工厂,稍远处有图书馆 和宿舍楼。北面有运动 场,东边有休闲的广场。 其中,宿舍楼、操场、 图书馆的使用人群是
全校师生,人流量较大, 而印刷厂和院系楼,人流量较小。从周边场地的使用功能来分析,可将场地周边大致划分为闹区和静区。 3、使用人群及人流分析 (1)主要人群分析 使用人群主要分为三 类: 学生:来到场地的学 生一般集中在上下课高峰 期,平常的时间点会有零 零散散来自习的同学。主 要的活动是上课、自习,也有少部分在周围绿地休憩。 工作人员:包括老师、清洁工等 外来人员:场地的外来人员包括了在学校闲晃和旅游的人员以及家住学校的教职工家属,以及附近居民。 (2)不同人群在不同时间活动频率分析 考虑到校园生活特色,有时间波动,故分时段分批次进行了观察统计。分别选取工作日和周末两个不同日期,在一天的不同时段对场地活动人群进行观察与统计,根据统计结果画出如下示意图(因上下课高峰人数无 法计量,此处数字仅表示各时段的大体数量关系。下午及晚上与上午类似,分上课高峰期及上课途中两个阶段,下图只列出早上的数据)。 从示意图中可以看出,工作日人流量主要集中在上下课高峰期,其余时间段分别有零零散散去自习的人,以及在旁边绿地工作及休闲的人。 我们观察到,早上第一波上课高峰,人流主要来自于寝室和操场方向;第二波上课高峰主要来自寝室和操场方向以及西五教学楼和图书馆方向。下午也分两波上课高峰,情况同上午类似。晚上主要为自习的同学,活 动比较自由。 人数统计情况示意 人数统计折线示意图 篇二:校园场地设计调研报告 调研报告 目录 一、场地概况 1、总体区位 2、历史变迁 3、周边环境 4、人流分析 5、路径分析 二、场地内部因素分析 1、场地入口 2、场地用地构成 3、空间序列 4、阴影关系 三、尺度与人群行为分析 1、视线与人群行为分析 2、高宽比、围合感与人群行为分析 四、场地人群及活动分析 1、主要人群分析 2、不同人群在不同时间活动频率分析 五、综合分析六、问题总结 写在前面的话:
临渭区2017----2018学年度第一学期期末教学质量调研分析报告 铁路自立中学语文学科 2017——2018学年度年第一学期学生期末检测已经落下帷幕,我校圆满地完成了此次任务。区教育局对一至六年级语文、数学、英语、科学学科进行了调考,这种“纸笔测试”更好的发挥“指挥棒”的作用,使之真正体现新课程理念,与课程改革相适应,达到以测导教、以测促教的功能。测试后的质量分析如同一面明镜,不仅显示了测试中学生知识掌握应用的情况,还反射出教师在教学中的得与失,更让我们更为清醒地认识到——一份耕耘,换来一份欣喜的收获;一份付出,换来一份真诚的回报。现对我校的语文学科成绩做如下分析汇报: 一、试题命制情况分析 (一)命题内容 本次考试的试卷由区教研室统一命题。纵观整个试卷,本学期期末测试卷是一份精心设计有价值的试卷,命题思路较好体现了《新课程标准》的新理念和目标体系。具有以下特点: 1、内容丰富,结构宽阔 试卷是以《新课程标准》所规定的教学内容为依据,注意题型的多样性,能够对学生的素质进行全面评价。同时根据整套语文教材的知识、能力和情感发展总体结构进行设计的,比较全面地考查了学生的学习情况,在注重考查学生的基础知识和基本能力的同时,适当考查了教学过程,能较好地反映出学生的实际知识的掌握情况。
2、重视积累,提高素质 语文知识讲究的是积累,从试卷的编制上看,细节多,基础知识面广,试题所包含的知识点比较全面,题中涵盖了拼音、汉字、词语、句子、段落、篇章等多方面的考察。并且题目多样,评分项目详细、合理。既注重对基础知识的考察,又注重对学生能力的培养、归纳,能较全面的检查学生对本学期所学知识的掌握情况。 (二)题型特点 1、落实基础。试卷内容分为四个板块:一是写字;二是基础知识;三是阅读;四是作文。这些内容充分体现出语文学科的特点,着重考察学生的识字、写字、阅读、写作能力,理解、运用词句、语言的能力和灵活思维的能力。对基础知识考查的重视体现有两个方面:一是基础知识部分所占分值比较大。基础分值所占比例从低段到高段做到了依次递减,反映出不同年段的不同要求,遵循学生年龄特点和学习规律。二是基础知识部分的题目形式简单直接,多为看拼音填空,辨字组词,选择读音,填写成语,按照课文内容填空等题型,便于考查学生对本学期基础知识掌握情况。 2、培养能力。本次考试重点考查了学生的四大能力,一是对一些较难生字的识记能力。二是灵活运用词句的能力,考积累,也考运用。三是边阅读边思考的能力。每个年级的试卷中都有课外阅读题,所设计的阅读题目一般能直接从短文中找到答案,需要学生逐字逐句阅读短文,也是考查了学生的阅读习惯。四是写作能力的考查。 3、立足教材。本次一至六年级语文试题以教材为主,试题中的字词检测,都是课后生字表中的生字,也是教材大纲要求学生必须掌握的生字。
客户满意度调研报告
————————————————————————————————作者:————————————————————————————————日期:
关于长沙市大中型超市客户满意度调研报告 学校:娄底职业技术学院 系部:财经贸易系 姓名:吴绸玉 时间:2013年10月9日
目录 一、概要 (3) 二、正文 (3) (一)、引言 (4) (二)、调查情况介绍 (4) (三)、影响客户满意CS测评 (5) 三、结论 (5) 四、建议 (6) 五、附件 (6)
一、概要 为了加强与顾客的沟通,了解长沙市具有代表性的性的三大超市是否能满足客户的需要并对客户满意度进行信息调查回馈,以解决顾客遇到的问题,努力满足顾客的需要,并在此基础上持续改进,从而提升客户对超市的满意度,完善更好的公共设施,提高我市的消费水平。 这次我们的调研是采用了在每个网点发放问卷调查,女性占的比例比男性要多百分之十左右。调查主要内容有企业的形象、购物环境、购物的便利性、品种、质量、价格、服务等各方面进行调查。以长沙市选取具有代表性的三大超市做调查,它们分别是家乐福、沃尔玛、新一佳作为调研对象,采取抽样调研方式进行,为了样本具有代表性,我们在每一个网点发放50份问卷,共150份。 通过调研了解消费者在选择在哪个超市消费的特点,我们可以知道他们对超市的满意程度。也能知道超市所存在的问题,能更好的改进,提高超市的企业形象,产品的质量,服务。 二、正文 (一)、引言 生活水平在不断的提高,消费者对选择超市购物时,都会对超市环境、服务、产品质量、产品价格、企业的形象、产品的品种多样性进行评价,才会选择在哪里购物。因此,我们进行了一次在均有代表性的超市进行一次的抽样的问卷调查,其主要的目的是了解消费者满意度。
教学质量调研报告 教师要转变教育观念,要遵循学生认知规律和教育教学规律,下面是小编为大家收集的教学质量调研报告,欢迎大家参考借鉴。 为了贯彻20**年《东西湖区政府工作报告》提出的"深化教育制度改革,大力实施素质教育,切实提高教学水平,促进义务教育均衡优质发展"的有关精神,全面落实《教育部义务教育学校管理标准(试行)》,以促进义务教育优质均衡发展为抓手,以创新学校管理机制为动力,以提高教育教学质量为目标,满足人民群众对优质教育的需求,实现从"学有所教"到"学有优教"的转变,全面推进我区义务教育段教育教学质量的稳步提升。 一、调研的工作目标 通过调研,将了解我区小学、初中两个学段的基本情况,总结被调研学校的教育教学质量提升的经验、方法,查找教育教学过程中存在的问题,共同研究解决问题的方法,改进学校管理措施,促进教育教学常规管理科学化、规范化、精细化,全面提升我区义务教育段教育教学质量。 通过调研,寻找激励教师主动发展的途径和方法,营造浓厚的研究氛围,深钻教材、精选教法、因材施教,不断总结经验、不断反思不足、不断改革创新,寻求破解我区义务教育段教育教学质量提升瓶颈的方法和策略。 二、调研的基本情况 1. 选取样本学校。
本次调研,为了使样本校抽样具有代表性,调研工作小组在全区小学、初中两个学段中选取了具有代表性的12所学校进行调研,其中小学7所,初中5所。 2. 调研主要内容。 这次调研,主要是围绕我区义务教育段的教育教学质量问题,对学校的教育教学管理、课堂教学有效性及教育资源的利用等问题进行调研,具体涉及"办学行为","学校特色","教学改革","教学质量","队伍建设","学校机制"等六大方面。 3. 调研具体形式。 根据区教育局要求,调研活动采取"实地巡查—问卷调查—随机听课—干群访谈"等形式进行,并设计了学生问卷调查单(问卷项目8项)、教师访谈问题单(访谈问题15个)、中层干部访谈问题单(访谈问题12个)、校级干部访谈问题单(访谈问题13个)。在本次调研活动中,调研小组全体成员,随机听课53节,学生问卷调查240余人次,教师一对一访谈80余人次,中层干部一对一访谈60余人次,校级干部一对一访谈60余人次。 三、特色与亮点 通过这次调研活动,从整体上看,在方略项目的引领下,在全区的共同努力下,学校教育教学重过程、重实效、重改革、重创新,区教育局关于"提升教育教学质量工程"的文件精神得到了较好的贯彻落实,全区不少学校在"坚持和落实质量形成过程的管理"、"重视学科建设,加强校本教研"、"立足课堂,全面推进课堂教学改革"、"打
X X医院总务科满意度调查分析报告 为进一步提高XX医院工作效率,提升总务科服务水平,2016年8月质管办对我院就总务科工作进行了满意度问卷调查。此次调查采用不记名问卷方式进行,对总务保障工作的服务态度、服务能力、服务及时性等方面进行调查,共发放问卷60份,收回有效问卷52份,问卷有效回收率为86.7%。 一、满意度调查结果 本次总务科满意度调查项目共有15项,分项调查数据如下: (1)、总务科整体工作满意度 (2)、总务科日常用品的供应工作满意度 (3)、后勤水电维修的及时性的满意度 (4)、后勤水电维修的质量满意度 (5)、后勤水电维修工作人员服务态度满意度 (6)、总务科物资下送的及时性满意度 (7)、总务科物资下送工作人员服务态度满意度
(8)、医院的保洁工作满意度 (9)、医院保洁人员的工作服务态度满意度 (10)、保洁人员卫生打扫及时性满意度 (11)、食堂服务人员的服务态度满意度 (12)、食堂饭菜质量满意度 (13)、食堂饭菜种类满意度 (14)、食品卫生状况满意度 (15)、洗衣房工作人员被服收送、洗涤工作满意度 通过对上述图标的分析,被调查人对总务科工作满意程度如下:
二、调查内容数据分析 通过上表可见,临床科室对于总务科后勤保障各项工作满意度较上月有明显提高,满意度大于70%的有六项,分别是: (1)、总务科物资下送工作人员服务态度 (2)、总务科日常用品的供应情况 (3)、后勤水电维修的及时性 (4)、后勤水电维修的质量 (5)后勤水电维修工作人员服务态度 (6)总务科物资下送的及时性 由此表可以看出,总务科下送工作开展情况良好,本月总务科物资下送工作人员服务态度满意度上升到83%,较7月份满意度提升了17%,这与总务科不断完善下送服务密不可分,总务科通过持续改进下送理念,改变原有下送工作模式,在神经内、外实行了全物资的下送,体现了更好的为临床服务的理念,下一步总务科应将全物资下送工作在全院进一步开展,从而更好的为临床提供便利。 本次调查满意度较高的除了下送服务外,还有后勤水电维修的及时性、后勤水电维修工作人员服务态度及后勤水电维修的质量,满意度较7月份增幅大都在20%左右,这与总务科持续改进的人性化服务理念的有很大关系,通过不断提高维修维修水平、改进服务态度,从而能够快速、
2018年客户满意度调查分析报告 一、调查目的 1.确定影响满意度的关键因素,测定当前的顾客满意水平; 2.了解客户的想法,发掘客户的潜在需求; 3.测定企业的优势竞争力和劣势,发现提升服务质量的机会,并寻 找有效的改进方案,制定新的改进措施; 4.增加企业与客户的交流,减少抱怨和顾客流失,创造良好的口碑, 提升客户满意度和忠诚度。 二、测评流程 三、调查对象 按2014-2016年度业务量由高至低排序,将累计业务量达到总业务量80%以上的客户作为调查对象。 四、调查方式 以EMAIL或邮寄问卷调查为主,佐以电话催收问卷,回收方式为
传真、邮寄或EMAIL。 五、抽样方案 调查可以自行制定计划逐月灵活安排,但年底前必须覆盖业务量80%以上的客户。 六、调查内容 七、评价标准 标度方法(利克特量表- 5分制[表3])
1.回收的调查表中评价遗漏一项的按“一般”记3分,遗漏2项以 上评分的调查表按无效卷不予统计; 2.本次评价参照经验对调查项按不同重要性权重加权计算以获得满 意度指数; 3.公司对满意客户的认定标准为“≥70”(满意度指数计算结果换算 为百分制 )。 八、结果分析 1.问卷有效性判定
2.满意度定性分析 按上表有效数据统计出总体的满意程比例,令客户感到满意的只有63%,还有较大改善空间。 各项调查的满意度比例
3.满意度分析 3.1整体满意度分析 此次调查的4份有效问卷中,4家客户满意度≥70分,为满意客
户,综合满意度为78.4分。 客户满意率为78.4%,未达到公司85%的目标。 3.2 满意度分类对比 12类调查项目间满意度差异比较大,与竞争对手的综合比较、产品价格的满意度均值最低; 从表中可以看出有的客户对公司的某些业务存在不满但对公司的总体评价较高及后续合作意愿较强,因此需重视这类客户的不满和建议,以免失去该部分客户。 3.3 与竞争对手的比较分析 从客户回馈的信息看,多数客户认为公司与竞争对手的差异较大,因此公司需要努力针对客户投诉内容进行改进,对满意度一般的领域进行优化,挖掘客户的其他需求,力求创新。 调查表中不能体现公司与竞争对手差异,除非存在其他信息收集渠道,否则应加入调查项,以便客户能提供更详细的改进意见。
XXX地块场地环境初步调查报告 (评审稿) 广西诺世泰环保科技有限公司 二〇一八年七月
XXX地块场地环境初步调查报告项目编号:2017-041(HP)项 目负责: 编写: 审核: 审定: 总工程师: 总经理: XXX有限公司 2017年5月
目录 摘要 (i) 1前言 (1) 2概述 (2) 2.1调查目的和原则 (2) 2.1.1...................................................................................... 调查目的2 2.1.2...................................................................................... 调查原则2 2.2调查依据 (3) 2.2.1...................................................................................... 相关法律法规3 2.2.2...................................................................................... 相关技术规范和导则 3 2.2. 3...................................................................................... 评价标准和文件3 2.3............................................................................................... 工作内容及工作路线 4 2.3.1...................................................................................... 工作内容4
XXX地块场地环境初步调查报告(评审稿) 广西诺世泰环保科技有限公司 二〇一八年七月
XXX地块场地环境初步调查报告项目编号:2017-041(HP) 项目负责: 编写: 审核: 审定: 总工程师: 总经理: XXX有限公司 2017年5月
目录 摘要 (i) 1前言 (1) 2概述 (2) 2.1调查目的和原则 (2) 2.1.1调查目的 (2) 2.1.2调查原则 (2) 2.2调查依据 (3) 2.2.1相关法律法规 (3) 2.2.2相关技术规范和导则 (3) 2.2.3评价标准和文件 (3) 2.3工作内容及工作路线 (4) 2.3.1工作内容 (4) 2.3.2技术路线 (5) 3场地概况 (6) 3.1区域环境状况 (6) 3.1.1自然地理 (6) 3.1.2气候气象 (6) 3.1.3地形地貌 (6) 3.1.4水文水资源 (6) 3.2场地描述 (6) 3.2.1场地地理位置 (6) 3.2.2场地周边河流 (7) 3.2.3工程地质条件 (7) 3.3场地用地情况 (10) 3.3.1场地现状 (10) 3.3.2场地历史 (12) 3.3.3场地利用规划 (14) 3.4相邻场地用地情况 (15) 3.4.1相邻场地现状 (15) 3.4.2相邻场地历史 (18) 3.5场地及周边污染源识别 (20) 3.6场地周边敏感目标 (20) 4现场采样和实验室分析 (22) 4.1布点原则 (22) 4.2现场采样布点 (22) 4.3土壤采样 (23) 4.4地下水采样 (24) 4.5实验室分析 (25)
4.6质量保证和质量控制 (30) 5结果和评价 (31) 5.1场地地质和水文地质条件 (31) 5.1.1场地浅部地层分布特征 (31) 5.1.2场地水文地质条件特征 (32) 5.2质控数据审核 (33) 5.3评估标准 (35) 5.4土壤样品检测结果和评估 (37) 5.5地下水样品检测结果和评估 (38) 6结论和建议 (41) 6.1 结论 (41) 6.2 建议 (42) 6.3 不确定性说明 (42) 附件1 现场访谈记录表 (43) 附件2 地下水监测井成井结构图 (45) 附件3 土壤采样记录表 (47) 附件4 洗井记录 (49) 附件5 样品流转单 (50) 附件6 检测报告及相关资质 (51)
五年级数学调研质量分析报告 Analysis report on the quality of fifth grade mathematics resea rch 汇报人:JinTai College
五年级数学调研质量分析报告 前言:报告是按照上级部署或工作计划,每完成一项任务,一般都要向上级写报告,反映工作中的基本情况、工作中取得的经验教训、存在的问题以及今后工作设想等,以取得上级领导部门的指导。本文档根据申请报告内容要求展开说明,具有实践指 导意义,便于学习和使用,本文档下载后内容可按需编辑修改及打印。 一、试卷的基本特点及命题思想 本次调研考试命题是以新课标理念为指导,以“重视学 习过程,促进学生发展”为基调,从概念、计算、操作、探索、运用等几方面对学生的双基、思维、问题解决的能力及综合学习能力进行了考查。小学数学的基础知识、基本技能和基本的数学思想方法是学生进一步学习所必需的最基本内容,因此我们充分考虑了立足“双基”,注重学科内在联系和知识的综合应用,力求体现数学思想方法以及能力、素质和潜能的考查,在试卷中增加了一些开放性题目和探索性内容,以考查学生解决问题的灵活性、创新性和实践性。 1、面向全体注重基础知识和基本技能的考查 今年小学五年级数学试卷全卷满分100分,考试时间90 分钟,整卷设计五个大题,其中填空题12道(24分),选择 题6道(6分),计算题19道(28分),操作探索题3道
(12分),解决问题6道(30分)。试题覆盖了四大板块的 知识内容:各部分的权重分别是数与数的计算38%,量的计量 和几何初步知识17%,代数及统计初步15%,解决问题30%。 试题又较好地体现了层次性:其中基础题占70%,综合题占20%,提高题占10%。试卷力求避免局限于考查学生能否记住 尽可能多的概念、公式和法则,注意了结合实际背景及解决问题的过程,对概念、公式和法则等的掌握情况进行评价,更多地关注对知识本身意义的理解,以及在理解的基础上灵活运用的评价,侧重于在考查中引导学生经历解决实际问题的过程,体验数学与生活实际的联系及运用数学知识解决实际问题的方法。 2、重视与实际生活的联系加强动手操作能力的考察 全卷设置了若干个具有现实生活背景的实际问题,分值 占38分,这些试题贴近学生的实际生活,体现了数学与生活 的联系,在考查中引导学生经历解决实际问题的过程,体验运用数学知识解决实际问题的情感。作为知识运用的一个方面,试卷设计了“观察分析、认真实践”这一题型,题目形象、 直观,强调过程与方法,在考查基础知识,基本技能的同时,考查了思维能力,推理能力,空间观念及综合运用数学知识解决实际问题的能力;力求起到引导教师和学生注重实践的作用。
质量调查报告4篇 调查背景: 老师就与大学生息息相关的学生证质量问题,让所教学生进行调查,以提高学生运用所学知识的能力和增强学生从身边发现问题、调查分析问题和解决问题的敏感性。 我们小组就学生证质量问题进行了问题研讨、调查问卷设计、数据统计分析等工作,问题研讨主要对问题进行分析与拓展形成调查目的与内容框架;调查问卷设计主要是针对调查目的和调查内容框架进行细化,编排题目内容、题目顺序;数据统计分析主要是针对调查结果进行整理与分析,其主要运用的是excel分析工具。 最后,根据调查分析结果提出我们自己形成的意见与建议,形成调查报告。 调查方法: 网络调查 开始时间:xx-4-8 结束时间:xx-4-15 样本总数:105 份 原始数据来源: 数据与分析: 1、性别:[单选题] 选项小计比例 男48 45.71%
女57 54.29% 本题有效填写人次105 由于性别在学生证的使用过程中的影响不同,女性要比男性在使用过程更加懂得爱惜,所以对性别进行统计对数据的正确性是有必要的。 分析:从上面这两张数据表的对比中我们可以看出女生的学生证的损毁程度明显的低于男性的学生证的损毁程度。从而,可以得出性别对学生证质量的要求是不一样的,男性的要求高于女性。 2、您是几年级的学生:[单选题] 选项小计比例 大一8 7.62% 大二22 20.95% 大三56 53.33% 大四11 10.48% 研究生8 7.62% 本题有效填写人次105 由于学生证的使用时间对学生证的损毁程度具有明显的决定性作用,所以对学生证的使用时间进行分析是非常必要的。 上表很显然学历比例不均衡,但我们对各个年级又做了数据统计分析,以使数据更加具有可比性,更加具有说服力。 分析:从以上数据表可以看出大三大四学生的学生证损毁程度比较大的明显高于大一大二学生的,从中可以得出学生证使用时间对学
质量调研报告4篇 本文是关于质量调研报告4篇,仅供参考,希望对您有所帮助,感谢阅读。 新形势下,作为地方审计机关,如何紧密围绕科学发展主题,紧密围绕加快经济发展方式主线,紧密围绕“xx”规划确定的各项任务目标,紧密围绕县委、县政府工作中心。发挥审计职能,营造和谐氛围,服务地方经济建设,是个值得共同探讨的课题。在此,本人谈谈自己的粗浅看法。 一、影响地方审计质量的原因 所谓审计质量就是指审计工作过程及其结果的优劣程度。虽然,地方审计发挥了审计的职能作用,近年来取得了明显的成果;但是,毋庸讳言,质量还有待于进一步改进与提高。从主客意识和客观环境两方面来分析,影响地方审计质量的原因主要有: 1、法制法规体系的健全滞后 目前,我们国家的审计法规体系尚不够健全,不能完全适应市场经济发展形势的需求。综观审计工作外部环境,许多不确定的因素和不规范的行为依然存在,无形之中这就增加了社会经济生活的复杂性。而从从某种意义上讲,经济法律法规不可能涵盖经济生活的全部,即使有所涵盖,也有部分法律法规存在着前瞻性和可操作性不强的缺陷。这种法制体系在不断健全的过程中,其来及弥补的疏漏一定程度影响了地方审计的质量。 2、审计管理体制的人为牵制 审计机关,其性质所决定必须独立于被审单位及受权人等。可以说,独立性是审计结果客观公正的前提条件。《审计法》规定,我国审计机关实行在总理和地方主要负责人领导下的行政管理体制,接受地方政府和上级审计机关双重领导。在这种管理体制下,地方审计机关是地方政府的一个职能部门,其经费和人事关系隶属于地方政府,必须接受地方政府的领导。但与此同时,法律又要求审计机关对地方政府及其职能部门的财政、财务收支进行监督。这种监督从体制上有所欠缺,审计机关也不具备完成任务所必须的职能上和组织上的独立性,从而产生审计风险,影响审计质量。如在办案中,上级领导打招呼说情。办案人员左右为
场地调研报告范文精选 调研报告的核心是实事求是地反映和分析客观事实。调研报告主要包括两个部分:一是调查,二是研究。以下是小编整理的场地调研报告,欢迎阅读! 场地调研报告 区位: 南京奥体中心规划所在区域位于南京主城区西部,外秦淮河和长江水域之间。 该区域是未来南京市的城市副中心,将建成拥有70万人口的居住中心、商业中心、体育中心和文化中心。南京奥体中心的选址,带动和提高河西新区的开发建设。在原规划设计中,南京奥体中心位于水西门大街西延线和集庆门大街西
延线之间的狭长形地带(即目前的金盛装饰城以南区域),该地区距南京老城区约8公里,为南京市外来人口聚集地区,在此地建设奥体中心不仅拆迁的费用较高,而且周边环境整治工作难度较大,对城市发展的拉动作用并不明显。为了拉开南京河西新城区发展框架,为日后城市发展腾出空间,使南京市的中心商务区(cbD)第一次跳出明城墙,实现跨越式发展,奥体中心选址南移2.5公里,即现址,此项决策对新世纪南京城市发展产生了深远的影响。 奥体内部区域功能组成:奥体中心总占地面积1345亩,总建筑面积约40 万平米。主要建筑为“四场馆一中心”,其中包括体育场(含训练场)、体育馆、游 泳馆、网球中心、体育科技中心。 总平面图: 附近交通及联系: 奥体中心周边交通便利,临近地铁一号线,且南京在建
的地铁线路依然经过奥体中心,加之周边多条便利的公交路线,也因此扩大了奥体中心的辐 射范围,联系着周边众多的区域,增加了人流数量,成为了该区域的主体。 道路铺地 奥体中心在场地处理手法上,主要利用硬质铺地如鹅卵石铺地、混凝土铺地等,而软质铺地则采用了草地等,对室外场地进行划分。将人行流向进行了一定的区分及引导。此外奥体中心还在场地中植入了大量的绿色植被,对中心进行了充分的绿化装饰。 基督教圣训堂 正在建设中的南京基督教圣训堂位于南京河西新区奥 体中心,东邻南京市妇女儿童活动中心,南邻金陵图书馆,是一座占地20.72亩,拥有5000个座位的大教堂。教堂建好后还将设立英文崇拜聚会厅和韩语崇拜聚会厅。这座教堂的建成对于南京的福音事工意义重大。目前圣训堂的整体建设和外部装修已经完,目前正在筹集资金进行最后的内部装