EAD解决方案概述
——维护网络正常秩序,助力企业核心价值
H3C终端准入控制解决方案(EAD,End user Admission Domination)是全球首个推向市场的终端管理解决方案,也是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具,帮助保护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务,减少了日益复杂的网络问题和非法使用对网络用户的牵绊。
5 EAD终端准入控制解决方案
EAD解决方案通过多种身份认证方式确认终端用户的合法性;通过与微软和众多防病毒厂商的配合联动,检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况;通过黑白软件管理,约束终端安装和运行的软件;通过统一接入策略和安全策略管理,控制终端用户的网络访问权限;通过桌面资产管理,进行桌面资产注册和监控、外设管理和软件分发;通过iMC UBA用户行为审计组件,审计终端用户的网络行为;通过iMC智能管理框架基于资源、用户和业务的一体化管理,实现对整个网络的监控和智能联动。从而形成对终端的事前规划、事中监控和事后审计的立体化管理。
EAD解决方案对终端用户的整体控制过程如下图所示:
EAD解决方案组件:
EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。
?智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起、安全
策略的检查以及和安全策略服务器配合进行终端控制。
?联动设备:联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、
为合法用户提供网络服务的作用。根据应用场合的不同,联动设备可以是交换机、路由器、准入网关、VPN或无线设备,分别实现不同认证方式(如802.1X、VPN和Portal等)的终端准入控制。针对多样化的网络,EAD提供了灵活多样的组网方案,联动设备可以根据需要进行灵活部署。
?安全策略服务器:EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与
控制中心,兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
?第三方服务器:是指补丁服务器、病毒服务器等,被部署在隔离区中。当用户通过身份认证但
安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
功能特点:
?支持多种接入方式
?支持:802.1X接入、Portal接入、L2TP/IPsec VPN接入方式;
?适用于:局域网、广域网、无线网络接入、L2TP/IPsec VPN组网;
?支持:接入时段限制、接入区域限制;
?可以部署于由不同厂家设备构成的异构网络环境。
?丰富的身份认证
?支持:用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证;
?支持绑定:MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID;
?支持从LDAP服务器获取用户信息,可以只同步有认证行为的用户信息,从而节省用户的License
费用。
?精确的终端设备识别功能
?支持识别用户设备的类型。该设备是传统的PC、笔记本还是智能手机、平板电脑等移动智能设备。
设备的操作系统、生产厂商、IMEI码等信息,也是识别设备类型时必须要确认的设备属性信息。
?支持识别用户设备的归属。该设备是属于公司所有还是属于员工个人,直接影响企业对设备的管
理。对于个人设备,企业必须遵守相关法律法规,不去触碰设备上的员工私人信息。
?广泛的防病毒厂商配合能力
?可配合病毒厂商:瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、Trend Micro、
安博士、KILL、趋势、趋势企业无忧安全版css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional、Avira AntiVir Personal-Free Antivirus、ClamWin Free Antivirus、Comodo AntiVirus Beta、CA Anti-Virus、F-Secure Internet Security、FortiClient、F-PROT Antivirus for Windows、Virus Chaser、Norman Virus Control、SystemSuite 9 Professional、Vba32 Personal。
?丰富的系统安全状态评估能力
?支持与微软SMS/WSUS配合进行补丁检查和安装;
?支持黑白软件检查;
?支持终端代理检查及非法外联控制;
?支持多网卡检查;
?支持注册表监控;
?支持操作系统弱密码检查;
?支持客户端流量检查。
?丰富的准入控制
?支持基于用户角色、用户接入位置、接入终端类型的接入控制策略下发;
?控制手段:向接入设备下发VLAN、ACL、QoS、限定用户的上下行速率、使用客户端ACL限制
用户的访问权限(控制不受组网限制)、并可以禁止内网用户非法连接外网。
?灵活方便的执行模式
?对待不同身份的用户,定制不同的安全检查和处理模式;
?执行模式包括:监控模式、VIP模式、隔离模式、下线模式和访客模式;
?用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全
策略执行方式。
?全面攻击防御
?EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影
响;
?提供ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为;
?支持对非法DHCP请求报文的过滤,从而有效防止DHCP攻击。
?桌面资产管理
?实现:终端资产注册、终端软硬件使用情况、变更情况进行监控;
?支持软件的统一分发;
?支持绿色节能策略;
?支持远程协助、远程桌面;
?可禁止内网外联或对内网外联行为进行审计。
?U盘审计及外设管理
?支持:USB存储设备监控、外设违规使用审计、打印机操作监控;
?支持禁用:USB存储设备、USB非存储设备、光驱、软驱、PCMCIA接口、串口、并口、红外、
蓝牙、1394、Modem、3G上网卡;
?通过融合TRM可信移动介质管理组件对USB移动存储介质(包括U盘、移动硬盘等)注册、授权、
使用控制和监控功能,对USB存储介质实现“拿不走、进不来”的数据泄露防护。
?灵活的客户端部署
?EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自
动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障;
?与H3C设备配合可以支持客户端快速部署功能。用户在认证前也可以访问指定的网络资源,用户
的Web访问会被重定向到指定服务器,供终端用户下载客户端软件,用户安装好客户端并通过认证后可以访问全部网络资源。
?多种层次的高可用性和扩展性
?支持:双机冷备、双机热备、单机故障的逃生方案;
?Portal网关支持网关双机备份,单台Portal网关失效后可以切换到备份Portal网关上,不影响用户
上网;
?支持分级、分布式部署。
?融合、扩展与开放的解决方案
?基于H3C iMC(开放智能管理中枢)SOA架构,EAD解决方案为客户提供了一个扩展、开放的结
构框架;
?融合设备管理、用户管理和业务管理三大纬度;
?广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;
?基于标准、开放的协议架构和规范,易于互联互通;
?EAD服务器支持Windows与Linux操作系统,iNode客户端支持Windows、Mac OS、Linux、Apple
iOS、Android等操作系统。
在无线局域网中的部署方案
无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但灵活方便的网络接入方式同时也为局域网带来了巨大的安全威胁。
无线局域网的安全问题主要体现在访问控制层面,非授权或者非安全的客户一旦接入网络后,将会
直接面对核心服务器,威胁核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访
问控制系统必不可少。在无线网络中,结合使用EAD解决方案,可以有效的满足园区网的无线安全准
入的需求。
H3C EAD解决方案可以在无线局域网环境下,有效的满足客户无线安全准入的需求,其组网图如下:
如图所示,EAD可以配合无线AP和无线控制器,通过认证实现对无线接入用户的终端准入控制。这种组网方案可以防止采用无线接入的人员访问内网时带来的安全隐患,同时也有效的解决了用户有线、无线接入方式的统一安全控制问题。
同时,无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11 a/b/g/n等无线技术标准支持不一致、丢包率较高等问题,而H3C基于Portal技术的无线用户准入控制方案则全面解决了这一问题。其基本流程如下:
用户连接到无线网络后,在访问网络的过程中会被强制要求进行身份认证和安全检查。在整个过程
中,拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满足安全策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户,EAD会根据预定义的策略为其分配对应的网络访问权限,避免了非授权的网络访问现象。
另外,EAD也支持无线方面的中国国家安全标准WAPI认证,使用户在中外无线网络中均可使用同一个用户帐号进行漫游。同时,EAD还支持用户基于SSID的绑定认证,支持基于客户端操作系统类型、SSID、端口组等不同条件的页面推送,充分满足运营商、学校等行业用户的运营收费需求。
工程协调管理工作措施 本节将对工程各标段的协调管理工作进行阐述,主要针对本工程从总体上面临的各种交叉作业施工内容进行分类;解决交叉作业工作的整体思路和原则;工程协调管理工作所面对的各协调单位;重点协调区域、协调方式及措施。 一、交叉施工的内容 每一个装饰工程的施工,除内部各工序工种协调配合外,都需要其它专业工程的协同配合,以确保工程总体效果和施工工期、质量要求,对于上海东方艺术中心这样的大型重点的单位工程,其最终顺利的完成各项施工任务,避免分部工程之间产生冲突、矛盾,必须对各项交叉工程的作业内容及流程有清楚的认识和积极的控制。 (1)在此项工程中涉及的装饰外分部工程有: 外幕墙工程 机电设备安装工程 给排水系统工程 电气照明系统工程 舞台灯光、音响系统工程 供热通风与空调系统工程 综合布线系统工程 消防系统工程 安保系统工程 二、交叉施工的配合原则
1)、尽早满足外围封闭、内部区域分隔条件,以配合室内各系统施工开展。 2)、先系统、后局部,即在同一专业同一系统中,先施工系统干线,后施工局部支线。 3)、同一空间,要采用自上而下的原则。 4)、区分重点和普通区域,先确保重点区域的施工进展,再兼顾普通区域的施工。 5)、进行条块分割,分区分片,实施区域内统一协调,组织分部位分系统的专业施工组。 6)、子系统进行检验和调试,及时的发现并解决问题。 7)、装饰施工内部一般采用先墙面后顶面再地面,先湿作业后干作业,先基层后面层,日常清理及成品保护贯穿始终的做法。 三、交叉施工常规流程图
四、施工协调配合原则 本工程各标段的工程量大,工期紧,材料品种较多,质量要求高,现场作业队伍多,因此在施工现场的协调联系工作繁重,内外部相互间的沟通、联系、协调工作极其重要,现场协调联系工作质量高低,渠道通畅,直接影响工程是否能顺利进展,因此必须采取切实的协调措施保障配合施工工作,尽可能避免现场工作发生混乱,影响施工工期,工程质量。在施工总体协调上明确以下思路及原则: (1)施工计划汇总共享制: 工程开工前各单位将施工计划制订好,交总监理工程师汇总调整各分部分项工作进度,汇编成一个详细的总计划,并反馈到各单位严格执行,各单位每周制订周计划并互相通报协调流水施工步骤,交叉作一互相促进。 (2)实行严格的施工进度配合的奖罚制: 施工进度配合中必须奖罚分明,才能鼓励先进,处罚落后,使工程在相对高效快捷的氛围中进行。 (3)实行专人专职负责制: 在项目施工中指定专人负责与各方的联系,沟通工作,及时反映,汇总问题,同时制定处理办法,及时反馈给相关方,并作好书面记录,提高协调效率和质量。 五、协调工作的具体对象及主要措施 (1)与设计单位间的工作协调: 如果中标,我公司将立即与设计院联系,进一步了解设计意图及工程要求,
华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网;
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题 很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ? 基于安全准入技术的入网规范管理产品 ? 基于非法外联接入的入网规范管理系统 ? 基于可信域认证的内网管理系统 ? 计算机终端接入内外网的身份认证系统 ? 软件及硬件单独或相互联动的多重管理方式 接入 身份验证 合法 安全合规性检查 合规 分配权限入网 是 是拒绝接入否修复 否
中控水泥行业自动控制整体解决方案 一、关于中控 中控科技集团有限公司(浙大中控)是中国领先的自动化信息化技术、产品与解决方案供应商,业务涉及工厂自动化、公用工程信息化、装备自动化等领域。 浙江中控技术有限公司是中控科技集团有限公司的核心成员企业,致力于工厂自动化业务领域控制系统的研究开发、生产制造、市场营销及工程服务。浙大中控已经服务于全球超过3000家用户,有近4000套控制系统稳定高效的运行在各个工业行业,涉及化工、石化、冶金、电力、建材、食品、造纸等多个领域,用户遍及国内30个省市、自治区及东南亚、西亚、非洲等地。 在水泥行业,浙大中控有着完善的解决方案、丰富的工程实施经验和一支具有资深行业背景的专家队伍。客户广泛分布于浙江、江西、安徽、湖南、河南、山西、四川等省份,包括安徽海螺集团在内的国内数十家水泥企业均已采用浙大中控提供的控制系统和解决方案实现了对水泥生产过程的控制。 浙大中控期待着为更多的水泥生产企业提供优质的产品、完善的服务,最终为更多的水泥生产企业提高经济效益与社会效益。 二、水泥行业简介 水泥企业作为大规模生产的制造企业,是建材行业的三大支柱之一。我国是水泥生产大国,最近几年连续呈现出供需两旺的高速增长势头,为国民经济持续、快速发展做出了重要贡献。 水泥产品按用途主要分为通用水泥、专用水泥、特性水泥,其中通用水泥主要包括以下六种:普通硅酸盐水泥、硅酸盐水泥、矿渣硅酸盐水泥、火山灰质硅酸盐水泥、粉煤灰硅酸盐水泥和复合硅酸盐水泥。 三、水泥生产工艺简述 水泥生产工艺的主要过程是原料破碎粉磨后制成生料,然后再把生料送入到高温窑炉中用燃料将其煅烧成熟料,最后将熟料与适量石膏混合磨细制成水泥,需要经过矿山开采、原料破碎、黏土烘干、生料粉磨、熟料煅烧、熟料冷却、水泥粉磨及成品包装等多道工序。
2012年度企业自助服务终端设备 需求说明书 中国建设银行股份有限公司四川省分行
目录 第一节设备功能需求 (1) 一、系统整体架构 (1) 二、业务功能说明 (2) 第二节设备配置需求 (6) 一、硬件配置说明 (6) 二、软件配置说明 (12) 第三节设备运维需求 (13) 一、保修期限 (13) 二、设备运维说明 (13) 附件:企业自助服务终端设备软件接口需求 (14)
第一节设备功能需求 一、系统整体架构 图1 企业自助服务系统整体架构图 企业自助服务系统由后台管理系统和企业自助服务终端设备两部分构成。其中,企业自助服务终端设备(以下称“设备”即指“企业自助服务终端设备”)由以下几部分组成:
1.Web应用程序(由设备供应商提供) 2.Web应用层ocx控件(由设备供应商提供) 3.无线射频卡读卡API(由设备供应商提供) 4.磁条读卡器读卡API(由设备供应商提供) 5.纸槽控制API(由设备供应商提供) 6.设备监控API(由设备供应商提供) 7.密码键盘输入接口API(由设备供应商提供) 8.相关加解密功能模块(由设备供应商提供) 以上部件的调用顺序如下图所示: WEB应用打印机API WEB页面 1、调用监控API 3、反馈设备状态 2、获取状态图2 企业自助服务系统各部件调用顺序图 二、业务功能说明 1.客户信息管理功能 (1)客户身份识别:可采用“ID卡+密码”、“磁条卡+密码”、
“IC卡+密码”、“账号+密码”等方式登录企业自助服务终端设备。 (2)流程控制:企业自助服务终端设备能根据接口要求,按客户所使用的卡类型,自动调用相应读卡器;能够根据指令实现读卡器的开关;能够根据指令对密码键盘进行加密模式和数字键盘模式切换;能够支持打印机刷卡启动功能,即在刷卡时便让打印机从睡眠状态启动等。 (3)其他说明:能够满足我行后期对身份识别方式的拓展及其他相关改造。 2.回单管理功能 (1)服务管理功能:客户通过企业自助服务终端设备查询打印回单,对于未打印回单可实现一键打印操作,也可根据需要进行有选择打印,并允许客户对已打印回单进行补制。 (2)流程控制:发起打印任务后,能够自动分配打印纸槽;完成打印操作后,能够及时反馈打印成功、失败信息;由于打印机缺纸或卡纸、故障或其他设备异常情况无法打印回单时,能够自动取消打印任务;对于整个打印过程发生的故障,能够及时返回错误类型。 3.账页管理功能 (1)服务管理功能:客户通过企业自助服务终端设备查询打印账页,对于未打印账页可实现一键打印操作,也可根据需要进行有选择打印,并可进行账页的补制。 (2)流程控制:发起打印任务后,能够自动分配打印纸槽;完成打印操作后,能够及时反馈打印成功、失败信息;由于打印机缺纸
交通信号控制优化服务解决方案 1概述 交通信号控制优化服务是借助专业团队对交通信号控制方面进行挖掘,以更加有效地缓解目前由于机动车数量过快增长而造成路网交通运行压力增大,道路硬件资源增长严重失衡这一问题。具体服务内容包括: ?对交通信号控制理论及相关技术进行总结,规范信号优化工作流程,落实责任,建立统一化与个性化相结合的交通信号管理模式,保证交通信号合理运行,满足各种条件下道路交通参与者的通行需要。 ?通过对相关路口进行周期性调查,及时发现存在不足并予以改善、跟踪,从而不断提高其运行水平。 ?通过路口排查和调研,对有条件进行协调控制的路口设计协调控制方案,降低协调控制路口的行车延误,提高交叉口服务能力。 ?以周报、月报和专项分析报告总结归纳工作开展情况及完成效果,有计划性的回检评价历史优化路口,提炼可取之处及考虑不周的地方,对未来将有可能发生变化的交叉口或路段有一定预测性。 2服务内容 2.1交通信号管理基础工作 (1)交通信号控制理论及相关技术总结 交通信号控制理论及相关技术的总结包括对交通信号控制相关理论的总结和对现今主流信号控制模式及方法的总结2部分内容。 ?对交通信号控制相关理论的总结 包括对信号控制涉及的相关参数的总结、对通过能力的总结及对信号路口对车流停滞作用的总结3部分内容。 ?对现今主流信号控制模式及方法的总结 包括对单点信号控制模式与方法的总结、对交通信号子区划分的模式与方法的总结、对主干道交通信号协调控制模式与方法的总结、对同类型交通信号路口协调控制模式与方法的总结、对长距离交通信号协调控制模式与方法的总结以及
对区域协调控制模式与方法的总结六大类涵盖点、线、面三个层次的信号控制与协调方法的相关技术理论的总结。 在对交通信号控制相关理论的总结基础上,根据各地市信号路口特点,重点对适用该地信号控制特点的信号控制模式及方法进行总结。 ?单点信号控制 主要包括单点定时信号控制、单点感应信号控制和单点自适应信号控制三种方式。针对信号控制路口常用的单点信号控制方法有Webster等方法。 ?交通信号子区划分 主要基于距离原则、车流特征原则、周期原则的子区划分原则及其相关的关联度判断方法、合理周期范围判断方法的划分方法总结。 ?主干道交通信号协调控制 主要包括单向绿波协调控制、对称双向绿波协调控制、非对称双向绿波协调控制的方法。针对不同地市信号控制路口不同的流量特征可选用相对应的主干道信号协调控制方法。 ?同类型交通信号路口协调控制 主要针对信号路口饱和度同类型及其基础上的潮汐特征同类型进行交通信号路口同类型的判定分析,归纳与其相对应的信号控制适用方法。 ?长距离交通信号协调 主要对相邻路口间距离较长的信号路口及交通信号路口数较多的整体距离较长的协调控制方法进行研究,针对长距离交通信号协调的分类归纳相对应的协调模式及方法。 ?区域协调控制 交通区域协调控制是二维上的控制,它通过将绿波协调控制的路口利用组合叠加的方式,对各信号控制路口的信号周期、绿信比以及路口间的相位差进行优化,以减小延误、提高路网通行效率的信号控制方法。当前交通信号区域协调控制的方法主要可以分为结合调控的协调方法、基于延误的协调方法和基于绿波带优化的协调方法。 通过全面深入的了解信号控制的基础理论及信号控制主流模式及技术方法,掌握前沿技术,归纳出适用性强的主流核心技术规范,为交通信号控制优化提供
EAD解决方案概述 ——维护网络正常秩序,助力企业核心价值 H3C终端准入控制解决方案(EAD,End user Admission Domination)是全球首个推向市场的终端管理解决方案,也是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具,帮助保护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务,减少了日益复杂的网络问题和非法使用对网络用 户的牵绊。5 EAD终端准入控制解决方案
EAD解决方案通过多种身份认证方式确认终端用户的合法性;通过与微软和众多防病毒厂商的配合联动,检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况;通过黑白软件管理,约束终端安装和运行的软件;通过统一接入策略和安全策略管理,控制终端用户的网络访问权限;通过桌面资产管理,进行桌面资产注册和监控、外设管理和软件分发;通过iMC UBA用户行为审计组件,审计终端用户的网络行为;通过iMC智能管理框架基于资源、用户和业务的一体化管理,实现对整个网络的监控和智能联动。从而形成对终端的事前规划、事中监 控和事后审计的立体化管理。 EAD解决方案对终端用户的整体控制过程如下图所示: EAD解决方案组件: EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。 ?智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证 的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。 ?联动设备:联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离 不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,联动设备可 以是交换机、路由器、准入网关、VPN或无线设备,分别实现不同认证方式(如 802.1X、VPN和Portal等)的终端准入控制。针对多样化的网络,EAD提供了灵活 多样的组网方案,联动设备可以根据需要进行灵活部署。 ?安全策略服务器:EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
网络准入控制解决方案 ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡: 基础架构生成shaping infrastructure ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。 观测obsevation ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。 评估与管理evaluation & management ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。 方案特色及优势 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设
公司简介 亚太线缆(AsiaPacificCabl e)是一家致力于:网络综合布线、计算机电缆、屏蔽控制电缆、光纤光缆、电力电缆、通讯产品等研发、生产、销售的科技公司,并提供系统解决方案的公司,是全球知名品牌,总部位于北美,通过其运营子公司在亚太地区从事通讯电缆、电力电缆及漆包线等产品的制造与分销,营运范围主要分布于新加坡、泰国、澳大利亚和中国大陆。 其客户群包括:政府机关、国家电网、系统集成商、通信运营商和跨国企业,服务亚太地区电力基础设施,光电通信设施等为用户提供完善的产品和服务。凭借着“科技至上、品质至上,团队至上,服务至上”的理念,成为全球电 缆通讯行业的领先品牌,并拥有实力雄厚的产品设计研发团队,系统方案解决团队,供应链管理团队以及市场营销团队。 亚太线缆为用户搭建稳定可靠的基础构架,帮助企业对未来市场的掌控,协助他们成功。为促进世界经济互补性,改善世界经济贸易逆差的壁垒,鼓励货物流通、服务、资本、技术的融合。致力于为全球经济信息化搭建平等互利的平台,为现代智慧城市,互联网带宽的提升与推进提供助力。
公司的目标 追求品质可靠 追求技术领先 追求管理高效 追求服务更好 ● 自动化技术广泛用于工业、农业、军事、科学研究、交通运输、商业、医疗、服务和家庭等方面。采用自动化技术不仅可以把人从繁重的体力劳动、部分脑力劳动以及恶劣、危险的工作环境中解放出来,而且能扩展人的器官功能,极大地提高劳动生产率,增强人类认识世界和改造世界的能力。 ● 自动化是专门从事智能自动控制、数字化、网络化控制器及传感器的研发、生产、销售的高科技公司,其众多的功能模块、完善的嵌入式解决方案可以最大程度地满足众多用户的个性化需求。公司的产品拥有多种系列的产品来满足客户的需求。 ● 自动化系统中的大型成套设备,又称自动化装置。是指机器或装置在无人干预的情况下按规定的程序或指令自动进行操作或控制的过程。因此,自动化是工业、农业、国防和科学技术现代化的重要条件和显著标志。。 亚太布线— 设备自动化解决方案
ITEM NO.: BALCO-COMM-IP008 Complied by: 编写: Checked by: 初审: Revised by: 审核: Approved by: 批准:
目录 Contents 1.编制目的 Compile Purpose 2.调试范围 Scope of commissioning 3.调试前必须具备的条件 Conditions of commissioning 4.调试步骤 Process of commissioning 5.注意事项 Precautions
1.编制目的Compile Purpose 为了指导和规范系统及设备的调试工作,检验系统的性能,发现并消除可 能存在的缺陷,检查热工联锁、保护和信号装置,确保其动作可靠。使系统及设 备能够安全正常投入运行,制定本方案。 This commissioning procedure is compiled to guide and standardize the practice of testing and adjusting to facilitate proofing of system performance, finding and repairing of possible defects, thus ensuring that the equipment and system can be brought into operation safely and smoothly. 2.调试范围Scope of commissioning 2.1协调控制系统是大型火力发电机组的主要控制系统,它将锅炉和汽轮发电机 作为一个整体考虑来进行控制,协调锅炉控制系统与汽轮机控制系统的工作,以 消除锅炉和汽轮机在动态特性方面的差异,使机组既能够适应电网负荷变化的需 要,又能够保证机组的安全稳定经济运行。机炉协调控制系统直接作用的控制对 象是锅炉主控制系统和汽轮机主控制系统,然后再由这两个主控系统分别控制各 自的子控制系统如锅炉燃烧控制子系统、锅炉给水控制子系统和汽轮机电液调节 子控制系统等。 As a major control system of large thermal power generating unit, coordinated control system (CCS) treats the boiler and turbine-generator as a whole, harmonizes the effect of boiler and turbine control systems, and compensates the difference in boiler and turbine-generator dynamic characteristics, thereby meeting changing demand of the Grid and also ensuring safe and economic operation of the unit. The CCS exerts influence directly upon the main control system of boiler and that of turbine, then these two systems exert influence respectively on their own subsystems such as boiler combustion control, boiler feed water, turbine digital electro-hydraulic control (DEH). 2.2 印度BALCO扩建4 x300 MW燃煤电站工程协调系统有如下几种控制方式:BALCO EXPANSION PROJECT 4×300 MW THERMAL POWER PLANT CCS has following control modes: 手动方式 Manual mode 机跟随控制方式(TF) Turbine follow control mode 炉跟随控制方式(BF) Boiler follow control mode 机炉协调控制方式 Coordinated boiler-turbine control mode
北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点: 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能; 2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性; 3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中; 4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份; 5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成: 1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。 2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起 认证,实现正常工作区、访客隔离区、安全修复区的自动切换。 3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。 4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
天水工业园区 污水处理厂自控系统 技 术 方 案 北京华联电子科技发展有限公司 2014年9月29
天水工业园区污水厂自控系统方案及相关技术说明一、系统概述: 天水工业园区污水处理厂的自控系统由PLC站与监控操作站控制管理系统组成的自控系统和仪表检测系统两大部分组成。前者遵循“集中管理、分散控制、资源共享”的原则;后者遵循“工艺必需、先进实用、维护简便”的原则。 为了满足武威工业园区污水处理厂工程实现上述要求,必须保证控制系统的先进性和可靠性,才能保证本厂设备的安全、正常、可靠运行。 本方案本着质量可靠、技术先进、性价比高的原则,结合我公司在实施其它类似项目中的设计、实施和组织的成功经验,充分考虑技术进步和系统的扩展,采用分层分布式控制技术,发挥智能控制单元的优势,降低并分散系统的故障率,保证系统较高的可靠性、经济性和扩展性,从而实现对各现场控制设备的操作、控制、监视和数据通讯。 1.1 系统基本要求 工控通讯网络为光纤冗余环型工业以太网,通讯波特率≥100Mbps,系统自适应恢复时间<300ms,通讯距离(无中继器)≥1Km,网络介质要求使用可直埋的光缆, 在出现故障时, 可在线增加或删除任意一个节点, 都不会影响到其他设备的运行和通讯。本系统采用先进的监控操作站控制系统,即系统采用全开放式、关系型、面向对象系统结构,支持不同计算厂家的硬件在同一网络中运行,并支持实时多任务,多用户的操作系统。 主要用于污水厂的生产控制、运行操作、监视管理。控制系统不仅有可靠的硬件设备,还应有功能强大,运行可靠,界面友好的系统软件、应用软件、编程软件和控制软件。 1.2系统可靠性的要求 控制系统在严格的工业环境下能够长期、稳定地运行。系统组件的设计符合真正的工业等级,满足国内、国际的安全标准。并且易配置、易接线、易维护、
1、自助服务终端系统概况 1.1主要业务功能及应用场景 独立的、无人值守的自助服务终端设备可以不受时间及空间的限制,为用户提供新颖多样的自助服务项目,实现真正意义上的24小时连续服务,促进业务发展,大大降低营运成本,增加营业收入,提高经济效益,改善服务质量和服务形象,增强市场竞争力。 通过自助服务终端,可以提供以下主要自助服务功能 1.2业务特点及安全风险、需求 1)位置分散,无人值守,难于管理及维护 根据本期的建设需求,很多自助终端将被放置到独立的社区、校园、商业及企事业单位,其物理位置分散,并且绝大多数处于无人值守及维护的场所环境,针对上述特性,需要特别关注自助终端的以下风险及需求: a)在无人值守的情况下,终端很容易被人为破坏及盗取,因此需要加强对 上述终端的物理硬件安全防护措施,如加固的保护外壳、视频监控等; b)由于此类终端被破坏及盗取的可能性较高,需特别加强对终端上重要数 据的加密及保护,如终端被破坏并盗走硬盘; c)由于此类终端通常位置分散,一旦出现故障,通常没有现场的处理及响
应人员,因此对此类终端必须要有远程的集中管理及维护方式,可以从 远端集中对终端进行日常管理维护甚至是故障恢复。 2)接入方式多样,网络接入及数据传输的安全性 自助服务终端将被广泛部署在移动自有营业厅及外部的社区、校园、商业及企事业单位等处所,涉及到多种不同的网络接入方式,如营业厅(Lan专线)、社区、校园、商业(ADSL)等,必须考虑终端网络接入的安全性及数据传输过程的保密性,包括: a)防止终端被其它设备冒用,接入业务平台及企业内部网络(如用笔记本 冒充自助服务终端访问业务系统及企业内部网络),因此需考虑必要的终 端认证及网络准入控制机制,确保只有该自助服务终端可以连入网络并 访问后台服务器; b)自助服务终端在进行业务访问及数据传输时,需要通过加密确保数据传 输的保密性,特别是针对外部ADSL接入,必须通过VPN方式接入,以 确保数据在传输的过程中不被非法监听及窃取; 3)功能需求明确,软硬件应实现标准化配置及管理 自助服务终端的业务功能需求明确,其软硬件配置全部为标准化配置,因此,在此基础上,可以较好的实现针对上述终端的标准化维护及管理,确保系统的运行质量、提高系统维护效率及管理水平。 4)应用环境固定,操作可预期,可以实现较为严格的系统安全防护措施 目前,自助终端及相关业务应用仍承载在通用的操作系统环境之上(windows操作系统),因此,仍然存在着感染病毒、被攻击入侵、恶意篡改的风险及可能性。 但由于自助服务终端的特殊性,其一般情况下只需要开放给用户特定的界面及限定的操作权限,应用环境相对标准及固定,且用户操作是完全可以预期的(通常情况下,也不允许用户执行多余及非指定操作),因此,可以对系统进行更为严格的安全防护及锁定,防止自助服务终端感染病毒或者被恶意攻击篡改。
终端准入实施中常用的几种身份认证方案 发布时间:2009年02月16日 文/李瑞峰 终端准入控制是从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过用户端、准入控制组件、网络设备(交换机、路由器、防火墙、无线)以及第三方软件(杀毒软件、补丁服务器)的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,有效加强用户终端的主动防御能力,为网络管理人员提供有效、易用的管理工具和手段。终端准入控制的一个典型特点是它与用户的业务紧密联系,不同的组网、不同的业务,对应的实施方案往往会有较大差别,选择合适的身份认证方案是其中的重要内容。本文以H3C EAD解决方案为例,谈谈在实施过程中对于身份认证方案选择的一些经验。 EAD解决方案支持的身份认证方式有802.1x、Portal、L2TP三种。L2TP多用于终端用户在internet 上远程接入用户网络的场景中,在内网中应用较少。802.1x一般用于用户接入层交换机全是H3C交换机的场景中,采用iMC下发两次ACL(隔离ACL、安全ACL)方案。还有一种比较常见的场景是用户的组网中接入层交换机品牌比较杂,这时就要根据用户实际的组网业务需求进行选择。下面主要针对第三种场景提供推荐的实施方案。 Portal认证方案 这种场景下最常用的方式是增加一台Portal认证设备做Portal EAD,如下图所示。 此Portal设备可以侧挂在核心交换机旁,在核心交换机上使用策略路由将需认证的用户流量策略路由到Portal设备上进行EAD认证,不认证的终端用户流量直接发给出口路由器。由于是通过策略路由及采
内网综合管理和准入控制解决方案 简介 随着网络信息化建设不断深入发展,重要机关单位均部署了内部局域网(简称内网),以实现资源共享,从而进一步提高工作效率。内网已经成为了单位内部工作交流、信息数据传递的主要渠道,成为工作环境中不可或缺的的一部分。因此,使内网保持在安全、可靠的环境下运行,辅助机关单位规范管理各类业务,从内部源头方面提高重要信息的保护力度,已经成为内网安全管理中的焦点问题。 内网综合管理和准入控制方案,是针对内网和计算机终端综合安全防护的安全管理解决方案,由网络准入授权管理系统解决方案和终端信息安全综合管理系统解决方案构成。 网络准入授权管理系统是一套基于先进的第三代准入控制技术的硬件网络准入控制系统,为您解决网络的合规性要求,达到“违规不入网,入网必合规”的管理规范。终端信息安全管理系统采用底层驱动、Hook等技术以及分布式部署方式,通过完善的控制、监控和审计策略,对终端设备的各项操作,USB移动介质的操作管理进行必要的安全防护,并提供详细的审计日志,从而提供一个全网严密可控的安全防护体系。 风险分析 ☆接入用户与设备的实名制 ☆人机对应管理 ☆快速发现隐患及智能修复 ☆网络结构复杂、设备兼容问题 ☆内网角色安全域控问题 ☆安全日志审计问题 ☆终端安全管理问题 ☆终端行文审计及告警处理 产品设计目标
内网综合管理系统实现目标 ☆全网风险管理与控制 ☆实名接入控制 ☆多方式安全监测 ☆智能化补丁修复 ☆审计 产品功能模块构成 内网综合管理系统技术架构 内网综合管理系统终端入网流程
内网综合管理系统特点及优势 ☆采用双实名制,解决入网人员与设备的合法性问题 ☆多样化的身份认证方式,解决人员的实名制认证问题 ☆综合入网控制,检查引擎及规范执行审计,有效解决网络安全规范落实问题☆提供用户与终端“人机对应”的责任管理 ☆制定特色的安全检查规范库,符合行业特点 ☆“一键式”智能安全修复技术,大幅降低工作量 ☆保持定期更新的安全引擎规则库,提供持续性服务 ☆集成多种入网强制管理技术,具备良好的兼容性 ☆基于角色的动态权限管理,解决内网部署及访问控制问题 ☆灵活的特殊规则处理,确保内网建设快速推进 ☆来宾访客管理,保护企业内网资源 ☆单点与网络集中管理相结合,解决分散式管理的弊端 ☆实名制日志审计报表,可实现内网实施监控 ☆实时的告警响应,随时掌握网络边界的安全动态
综合管廊自动化控制系统解决方案 一、系统概述 城市地下管线是指城市范围内供水、排水、燃气、热力、电力、通信、广 播电视、工业等管线及其附属设施,是保障城市运行的重要基础设施和“生命线”。近年来,随着城市快速发展,地下管线建设规模不足、管理水平不高等 问题凸现,一些城市相继发生大雨内涝、管线泄漏爆炸、路面塌陷等事件,严 重影响了人民群众生命财产安全和城市运行秩序。全国仅媒体报道的地下管线 事故平均每天高达5.6起,每年由于路面开挖造成的直接经济损失高达2000 亿元。 传统的城市地下管线各自为政地敷设在道路的浅层空间内,因管线增容扩 容不但造成了“拉链路”现象,而且导致了管线事故频发,极大地影响了城市 的安全运行。目前,我国城镇化进程十分迅速。为提升管线建设水平,保障市 政管线的安全运行,有必要采用新的管线敷设方式-综合管廊。 综合管廊工程是指在城市道路下面建造一个市政共用隧道,将电力、通信、供水、燃气等多种市政管线集中在一体,实行“统一规划、统一建设、统一管理”,以做到地下空间的综合利用和资源的共享。 综合管廊自动化控制系统是城市基础设施建设发展的新方向,是城市地下 空间开发的重要形式之一。它作为一种集约化、可持续性的管线敷设方式,通 过合理利用城市用地,综合确定城市工程管线在城市地上、地下空间位置,避 免工程管线之间及其相关建筑物相互干扰,为各管线工程的规划管理提供了依
据。将城市基础设施控制整合于一个系统,便于进行集中实时监控、管理、检修、日常维护等,提高了城市管理效率,减少了人力、财力、物力的巨大浪费,促进城市不断向着现代化、智能化方向发展。 二、系统组成 三、自动控制系统 自动控制系统以实现现场无人值守为目标,分为控制中心集中监控管理和 现场控制站。控制中心主要设备:中央监控服务器、中控操作站,数据库服务器、DLP组合式背投、HTR应急电话广播调度系统等。 四、管廊电话广播调度系统
自助服务终端项目 可行性研究报告 xxx实业发展公司
第一章概论 一、项目概况 (一)项目名称 自助服务终端项目 我国金融自助服务终端经历了3个阶段的铺垫,已经进入快速发展阶段,生活节奏加快、新技术应用、离行式网点发展、银行卡数量不断增加等多方面因素共同推动我国ATM市场规模不断扩大。ATM保有量不断上升,排名前两位的厂商已占据一半以上市场份额,“南有广电运通、北有恒银金融”的市场格局进一步稳固,国产品牌占据绝大部分市场份额。未来,金融自助服务终端将呈现多功能化发展趋势,保有量在2024年预计突破160万台。 (二)项目选址 某某工业园区 场址应靠近交通运输主干道,具备便利的交通条件,有利于原料和产成品的运输,同时,通讯便捷有利于及时反馈产品市场信息。 (三)项目用地规模 项目总用地面积58135.72平方米(折合约87.16亩)。 (四)项目用地控制指标
该工程规划建筑系数67.16%,建筑容积率1.48,建设区域绿化覆盖率6.16%,固定资产投资强度193.53万元/亩。 (五)土建工程指标 项目净用地面积58135.72平方米,建筑物基底占地面积39043.95平 方米,总建筑面积86040.87平方米,其中:规划建设主体工程63996.39 平方米,项目规划绿化面积5299.73平方米。 (六)设备选型方案 项目计划购置设备共计183台(套),设备购置费7096.80万元。 (七)节能分析 1、项目年用电量840754.88千瓦时,折合103.33吨标准煤。 2、项目年总用水量44018.58立方米,折合3.76吨标准煤。 3、“自助服务终端项目投资建设项目”,年用电量840754.88千瓦时,年总用水量44018.58立方米,项目年综合总耗能量(当量值)107.09吨标准煤/年。达产年综合节能量43.74吨标准煤/年,项目总节能率25.06%, 能源利用效果良好。 (八)环境保护 项目符合某某工业园区发展规划,符合某某工业园区产业结构调整规 划和国家的产业发展政策;对产生的各类污染物都采取了切实可行的治理 措施,严格控制在国家规定的排放标准内,项目建设不会对区域生态环境 产生明显的影响。
总承包协调管理方案 本工程采用总承包管理。本工程总承包管理的特点是工程体量大,工期紧,质量目标较高,涉及到的专业较多,工艺复杂,部分专业需要进行二次设计,必须搞好各专业间的协调管理。 实施工程的总承包管理,必须要以全面履行业主合同和向业主交付满意工程为目的,坚持“服务”、“公正”、“科学”、“统一”、“控制”、“协调”、“监督”的原则,才能搞好总承包管理。 (一)总包单位对工程质量、进度、安全、文明施工的管理 一、质量管理 1、在施工过程中,施工人员对照规范、标准进行自检、互检,填写《工程质量班组自检互检表》。专职质检员进行巡检,发现问题及时向施工人员提出,并督促处理。要取到预防的作用。 2、进场物资由经过评审合格的物资供应商提供,物资供应商要提供质量证明书,对各项材料如钢材、砂、石、混凝土、防水材料、砌体材料等要进行进一步的检验复试。 3、须隐蔽的工程,在班组自检合格的基础上,质检员检查认可之后,请业主代表和监理检查认可,并会签隐蔽工程检查记录,方可转放下道工序施工。 4、定期检查质量。项目经理部每半月一次工程质量检查,由项目经理组织,各专业技术负责人、质检员、施工班组长及监理等参加。对于检查中发现的质量问题,项目部下发整改通知单,有关班组按“三定”原则及时进行整改。同时,项目部对每次检查进行总结,并做好质量记录。 二、进度管理 1、各施工段采取流水作业组织施工。 2、及时组织施工图纸会审交底,事先及时地解决施工图纸中的技术问题。 3、组织施工队伍对各分部分项工程进行技术、质量交底,避免返工。 4、事先编制总进度计划,找出关键工序和关键线路,并加强对其实际施工中的控制,如出现超拖工期现象,及时加以调整,保证能抢回工期。在确保总工期的