石化科学研究院安全方案(简要)
现状 (2)
安全风险 (2)
解决方案 (4)
相关产品 (6)
价格 (22)
标准折扣 (25)
现状
1.Internet出口使用单台运行于AIX操作系统的Check Point Firewall-1 4.1,硬件为RS6000
2.DMZ区部署IDS系统
3.主要服务器上安装授权和审计软件
安全风险
1.边界防火墙:
?单机防火墙容易造成单点故障。一旦防火墙硬件或软件进程出现问题,与外界联络会立即中断,影响业务正常运转。
?Firewall-1 4.1是一个在市场上非常成功的产品,但从它推出以来,安全技术已经有了很大发展,现在Check Point的防火墙版
本已经发展到NG AI,技术更加完善,同时功能也更强。老版
本无法抵御黑客最新的攻击行为。例如,现在黑客逐渐将攻击
目标转向应用,通过企业的开放端口80或443,绕过防火墙的
检查,直接到达目标服务器,盗取信息、安装木马或以其为跳
板攻击企业内部其他服务器。另一个例子,现在企业员工非常
喜欢使用P2P应用,比如QQ或MSN与外部人员聊天,共享
文件。一方面这样做会消耗企业有限的带宽,比如多个人同时
下载视频文件,会占用大量带宽,使企业正常业务受到影响。
另一方面,由于P2P应用可以藏在HTTP流量之中,所以可以
旁路防火墙安全检查(一般会允许Http通过),给黑客以可乘
之机。应用层攻击的例子还有很多,这里不一一列举。所有这
些有害行为,Check Point NG AI 均可以进行防护,因为它可以
检测和防范来自于应用层的攻击。NG AI是一个多层安全网关,可以保护从网络层到应用层的安全。
2.员工出差在外,通过互联网要收发电子邮件或访问内部资源,均通过明文进行,面临信息泄露和会话劫持的风险。
3.IDS系统是一个被动系统,检测到攻击后不能直接采取行动,错失时机;根据攻击特征作出判断,没有特征就无法防范,因此滞后于攻击,对新攻击用户总会遭到损失;误报率高,影响企业业务正常运转。
4.内网重要服务器除了授权审计和防毒外,没有安全防护,容易遭受来自于企业内部的攻击。防毒软件可以保护主机安全,无法
防御网络攻击。如Slammer蠕虫,仅存在于内存中,不写硬盘,防毒软件无法处理。
5.内网中其他部门,没有任何安全措施,无法避免非授权访问和来自于内部的攻击。如果一名员工出差在外使用笔记本电脑访问互联网,可能受到攻击,被种上木马或感染蠕虫。一旦他回到企业内部,连上内部网络,潜伏于他机器上的安全问题会成为企业的安全隐患。例如蠕虫爆发,瞬间会扩散到整个企业,所有机器均会受到影响。
解决方案
1.边界:部署Check Point最新版本防火墙R55,双机实现高可用性和负载均衡,避免单点故障。利用Check Point最新
提供的应用智能技术,实现最高级别的安全防护。R55内置
入侵防范功能,由于基于主动防御技术,可以在一定范围内
防御未知攻击,可以为用户提供更好的保护。
2.移动用户:在其笔记本电脑或PDA上部署VPN-1 SecureClient,一方面让其利用VPN以加密的方式通过互联
网,安全的访问内部资源;另一方面,SecureClient具有中
央管理的个人防火墙功能,可以保护端点免受非授权访问,同时管理员可以控制端点的访问行为;此外SecureClient还
可以为端点分配内网IP地址,从而加强内网资源的安全性,比如规定内网资源只接受来自于内部IP地址的访问。3.服务器群:在服务器群前面部署InterSpect内部安全网关,防范蠕虫传播,避免来自于内部的攻击。
4.部门:(分为几种情况)
?部门1:只有一台服务器需要保护,要求本部门员工才可以访问,同时避免线路窃听。最简单的方式,无需改变网络
结构,可以在此台服务器上直接安装VPN-1 SecureServer。
它是一个单机版防火墙,同时提供VPN功能。本部门其
他机器安装VPN-1 SecureClient,以加密的方式与服务器进
行通信。同时在防火墙上设置策略,控制其他部门访问。
?部门2:无需严格访问控制,但需要避免蠕虫感染和内部攻击。可以将InterSpect透明部署在部门交换机和核心交换机
之间,起到防御作用。
?部门3:需要严格访问控制,指定人员才可以访问相关资源。
可以根据需要在部门网络之前部署单机或双机防火墙
VPN-1 Pro。
5.管理:可以通过业内最好的Check Point Smart管理构架进行集中管理。
相关产品
1.VPN-1 Pro
您面临的挑战:
Internet 可以到达全球任何一个角落,因此它为企业网络延伸到所有职员和主要业务合作伙伴提供了一种灵活的、高成本效益的基础架构。但是,一个企业要想充分利用 Internet,它必须能够确保业务通信的安全性和对企业内部网络资源的保护。除了安全性,公司还要面对可用性、性能和可伸缩性的挑战。为使关键任务应用能够利用虚拟专用网络(VPN)技术,VPN 必须提供可靠的性能和无缝的容错性。总之,一个 VPN 的所有组件必须能够在整个企业安全基础架构内部简单地集成和管理。
我们的解决方案:
Check Point 的 VPN-1? Pro? 是一个紧密集成的软件解决方案,它将市场领先的 FireWall-1? 安全性套件与最先进的 VPN 技术结合起来。作为 Check Point 的安全虚拟网络架构的基础,VPN-1 Pro 可为企业网络、远程和移动用户、分支机构以及业务合作伙伴提供安全的连接,充分满足 Internet、内部网、外部网VPN 的严格要求。VPN-1 Pro 解决方案可以在业界最广泛的开放式平台和安全设备上获得——满足各种规模企业的价格性能比需求。
产品特性:
● 提供与 FireWall-1 的完全集成
● 通过 IPSec、L2TP、SSL 和强大身份认证来保护通信
● 支持集中的、集成的和基于策略的安全管理
● 支持范围广泛的开放式服务器和设备平台
● 通过 SecureXL 提供市场领先的性能
产品优点:
● 确保企业资源和 Internet 通信的最大安全性
● 提供范围广泛的安全远程访问部署选项和用户认证
● 简化安全管理
● 以更卓越的价格性能比提供平台适应性
● 支持高度可伸缩的 VPN 和多千兆的安全性能
VPN-1 解决方案为扩展的企业提供端到端的安全性。
CHECKPOINT 的全面 SecureVPN 解决方案
VPN-1 Pro 是 Check Point SecureVPN 解决方案的基础,这是一个用于远程访问、内部网和外部网 VPN 的最全面的产品与技术集合。Check Point 提供了范围广泛的 VPN 产品,各种组织机构可以从中选择以设计出满足自己需求的最佳配置。
安全性
Check Point VPN-1 Pro 集成了访问控制、认证和加密以确保网络连接的安全性、本地和远程用户的可靠性以及数据通信的私有性和完整性。
FireWall-1 集成以获得最大保护
为了提供有效的企业安全性和高效的管理,VPN 必须包含集成的防火墙功能。为此目的,VPN-1 Pro 包含了市场领先的 FireWall-1,利用 Check Point 的Stateful Inspection 专利技术来保证所有通用 Internet 服务的安全。VPN-1 Pro 支持超过 150 个预定义应用、服务和现成的协议,包括 Web 应用,即时消息发送、对等网络应用、VoIP、Oracle SQL、RealAudio 以及多媒体服务(如H.323)。
灵活的认证
Check Point SecureVPN 解决方案提供了多种认证选项,包括令牌卡、RADIUS 和TACACS/TACACS。此外,VPN-1 的 OpenPKI 确保了 SecureVPN 解决方案与Entrust、Verisign 和 Baltimore Technologies 等厂商提供的主流 PKI 解决方案兼容,这些解决方案使企业能够管理极大规模的 IPSec VPN 部署。Check Point 特有的混合模式认证允许企业在部署 IPSec VPN 时可以利用现有的认证方案,如 Secure ID 令牌。
希望实施“系统外”强大身份认证的企业可以使用 Check Point One-Click 证
书。利用 VPN-1 Pro 中包含的内置认证授权,可以将 X.509 数字证书发布到VPN-1 网关和 VPN-1 SecureClient? 用户。One-Click 证书提供了行业标准的两因素认证,避免了 PKI 的复杂性和昂贵成本。
强大的加密
除了确保网络访问的安全之外,VPN 解决方案还必须保护被传输数据的私密性。通过遵循 IPSec 标准,VPN-1 Pro 可以自动协商通信各方之间可用的最强的加密和数据验证算法。这包括用于数据加密的高级加密标准(AES)和 Triple DES 算法。
SMART 管理
VPN-1 实现被集成到整体企业安全策略中,以获得最大的安全性。Check Point 的安全管理架构(SMART)提供了一个企业范围的单一安全策略,可以对它进行集中管理并自动部署到无限数量的 VPN-1 Pro 网关。
SMART 用户界面
Check Point 的SmartDashboard? 是一个先进但又简单的用户界面,用于定义和管理完整安全策略的多个元素:防火墙、VPN、网络地址转换、桌面安全和 QoS 策略。
SmartDashboard 帮助用户轻松访问所有需要的信息,从而简化了 VPN 和安全管
理。
One-Click VPNs
利用 One-Click VPNs,可以用单个操作创建大规模的 VPN。通过定义 VPN 分组,企业可以用一个步骤为整个 VPN(如内部网、外部网或远程访问部署)设置安全参数。通过简单地定义一个分组内的所有 VPN-1 端点,可以在所有网关之间或者在网关和远程用户之间自动建立 VPN。当新站点添加到分组时,它们会自动继承适当的属性,并且可以与 VPN 分组中的其他站点立即建立安全的 IPSec 会话。
简单外部网 VPN 部署和管理
外部 VPN 帮助公司连接业务合作伙伴,包括供应商和客户。Check Point 的One-Click Extranets 提供了一个简单的结构和过程来定义和管理外部网 VPN。
One-Click Extranets 帮助合作伙伴轻松建立可信的交换网络对象,并通过一个称为外部网管理界面(EMI)的直观用户界面来构建安全规则。
线速 VPN
随着 VPN 部署规模变得越来越大而且关键任务越来越多,性能成为一个关键的考虑因素。SecureXL 是一个接口、软件模块和行业标准的框架,它帮助 Check Point 合作伙伴和客户构建高成本效益的 VPN-1 解决方案,以满足最严格的性能要求。SecureXL 框架结合 Check Point 对开放系统的执着追求,以尽可能低的成本提供了行业领先的性能。
SecureXL API 提供多千兆性能解决方案
Check Point 的开放式性能架构的关键是 SecureXL API——一个减少第三方硬件或优化软件的密集安全操作的开放式接口。可以从多种构成因素中获得支持SecureXL 的解决方案,包括软件模块、PCI 插槽卡、IPSec 网络接口卡(NIC)以及支持 SecureXL 的带网络处理器的硬盒子产品。利用 SecureXL API 的设备不是将客户局限于一个专有的加速器,而是通过提供多千兆性能级别、多种构成因素和一系列价格点来满足客户需求。
集成的 VPN 服务质量(QoS)
对于性能非常重要以及可能发生 Internet 链路拥挤的 VPN 部署来说,QoS 是必须的。FloodGate-1? 确保了关键任务 VPN-1 信息流的最佳性能,使客户可以将关键业务信息流从专用广域网移植到 Internet 上。
不间断的 VPN
VPN-1 解决方案包括强大的功能,能够使 VPN-1 网关协同工作,不论这些网关是在同一个位置还是在不同位置。Check Point VPN-1 解决方案包括两种技术(ClusterXL? 和 VPN 负载分配),它们带来了无以伦比的性能和容错性。
?ClusterXL 是为通过 VPN 网关的所有信息流提供的一个高可用性和负载均分解决方案。各种类型的信息流通过一个 VPN-1 网关集群分发,随着
集群成员的增加而使性能几乎成线性地增长。如果一个网关变为不可访
问,则所有连接均被无缝地重定向到其他的集群成员。
?VPN 负载分配是为远程访问 VPN 连接提供的一个高可用性和负载均分解决方案。入站的 VPN 连接通过 VPN-1 网关的集群分配。如果网关出现故障,则新的 VPN 连接将自动连接到其他的集群成员。
VPN Manager 是 SmartDashboard 的一部分,它使企业能够用单个步骤定义并部署内部网和外部网,以及远程访问 VPN。
对多远程访问技术的支持
Check Point SecureVPN 技术使企业除了使用 VPN-1 SecureClient 和
SecuRemote? 之外,还可以使用 L2TP 和基于 SSL 的或无客户端的 VPN 来为远程用户提供访问。合作伙伴可以使用标准的 Web 浏览器或者
Microsoft Windows L2TP VPN 客户端连接到 VPN-1 Pro 网关。这使得各种规模的企业拥有了范围更广泛的安全远程访问选项。
保护无线局域网
与传统的“有线”网络相比,无线局域网为企业提供了一种可以减少部署成本的灵活的技术。Check Point 的 SecureVPN 解决方案能够帮助企业
安全地向他们的网络框架添加无线局域网。Check Point 的 VPN-1 Pro 和VPN-1 SecureClient 解决方案提供了集成的防火墙和 VPN,它们通过企
业级别的访问控制、认证和加密保护所有层次(从客户端计算机到无线局域网到企业网络)上的信息。
2.VPN-1 SecureClient
您面临的挑战:
远程访问 VPN 技术的广泛采用和部署很大程度上是由于它们具有巨大的成本优势。但是当企业部署了远程访问 VPN 后,网络安全管理员就面临着连接、保护和管理日益增加的大量客户端系统的众多挑战。首先,远程访问 VPN 客户端需要在任何网络上(包括拨号网络、宽带和无线网络)提供连通性,而且不能增加额外的管理开销。其次,当远程用户尝试通过无防护的 Internet 连接到企业网络时,客户端必须能够保护远程用户机器免受攻击。最后,为了真正实现节约成本的承诺,VPN 客户端软件必须为部署和维护提供简单、透明的管理过程。
我们的解决方案:
VPN-1? SecuRemote? 为远程和本地用户提供了灵活的 VPN 支持。利用 VPN-1 SecuRemote,远程用户可以获得对关键企业资源的安全访问。VPN 客户端可以透明地加密和验证关键数据,使它们免遭窃听和恶意的数据篡改。
VPN-1 SecureCl ient? 为基本的 VPN-1 SecuRemote 功能增加了强大的客户端安全和管理特性。VPN-1 SecureClient 包括一个集中式管理的个人防火墙,以防止对客户端系统的未授权访问,这样能确保入侵者无法侵入现有的 VPN 连接,从而加强整个企业的安全性。
产品特性:
● 安全地将移动用户连接到 VPN-1 Pro 网关
● 支持行业标准 VPN 协议
● 提供了集中式管理的个人防火墙
● 软件分发和维护自动化
产品优点:
● 允许本地和远程用户安全地访问企业网络中的资源
● 允许组织实施最满足它们需求的认证解决方案
● 保护客户端系统免受攻击
● 将桌面帮助支持成本降至最低
VPN-1 SecuRemote 和 VPN-1 SecureClient 实现了最高水平的远程访问 VPN。
VPN-1 SECURECLIENT 和 VPN-1 SECUREMOTE
集中式控制的企业安全集成
VPN-1 SecureClient 和 VPN-1 SecuRemote 可以无缝地与 Check Point 市场领先的 VPN-1 解决方案共同工作。可以轻松地将安全远程访问合并为整体安全策略的一部分。而且因为 VPN-1 客户端直接与 VPN-1 Pro? 建立 VPN 隧道,所以企业安全策略中的所有元素(包括访问控制、用户验证和记录等)均会严格执行。
易于部署的 One-Click VPN
Check Point 的 One-Click 技术将 VPN 的设置和管理简化为一个步骤,使部署远程访问 VPN 变得简单。只需要一个简单的操作就可以创建远程访问 VPN:将所有加入的 VPN-1 SecureClient 和 VPN-1 SecuRemote 用户放置在一个“VPN 社区”。VPN 社区使组织能够为整个远程访问用户组定义安全参数。当新的成员
添加到社区时,他们自动继承适当的属性,并且能够立刻建立到企业 VPN 网关的远程访问连接。
多种模式部署可获得更大灵活性
VPN-1 客户端为所有 Internet 服务提供商(ISP)服务(拨号、线缆调制解调器或数字用户线路(DSL))提供动态和固定 IP 寻址,使它们成为远程电信用户和移动通信工作人员的理想解决方案。此外,两种客户端均可与 ISP 拨号器捆绑,这样,远程用户就无需分别安装两套软件并进行两次验证。VPN-1 SecureClient 和 VPN-1 SecuRemote 保留关于所有 VPN 站点的详细信息,从而实现无缝的用户体验。所有的 VPN 功能(包括密钥协商和数据加密)对用户来说都是完全透明的。VPN-1 SecureClient 和 VPN-1 SecuRemote 都提供使用模式选项:
透明模式
每次用户尝试连接企业网络时,VPN-1 SecureClient 和 VPN-1 SecuRemote 都捕获该请求并自动要求用户进行正确的验证。一旦通过验证,VPN 连接即建立并且所有企业通信将受到保护。
连接模式
通过连接模式,用户可以手工建立和断开 VPN 会话。这一特性是为那些熟悉通过“拨号”模式连接 Internet 的用户而设计的。为了增加灵活性,VPN-1 SecureClient 的 OfficeMode 特性使用户能够从 VPN-1 网关接收 IP 地址,以及 DNS 和 WINS 信息,使他们进行远程连接时就象“在办公室里”一样。
VPN-1 SecureClient 保护终端用户系统免遭攻击和滥用。
通用连接
即使防火墙或 NAT 设备驻留在 VPN 用户和企业 VPN 网关之间,VPN-1 SecureClient 和 VPN-1 SecuRemote 也能帮助用户从任何地方连接到企业网络。
适合客户需求的灵活验证
除了 IPSec 标准本身支持的预共享机密级和 X.509 数字证书之外,Check
Point 独特的混合模式认证使得企业可以实施其它的用户认证技术。这些技术包括 SecurID 令牌、基于 RADIUS 的解决方案以及更多。希望实施“现成的”强大身份认证的企业可以使用 Check Point One-Click 证书。利用 VPN-1 解决方案包含的内部证书权限,X.509 数字证书可以签发到 VPN-1 SecureClient 用户和 VPN-1 网关。One-Click 证书为用户提供了行业标准的二因素认证,而不需要复杂和昂贵的 PKI 系统。
远程访问的高可用性
Check Point 的 VPN Load Distribution 特性是一个用于远程访问 VPN 连接的高可用性和负载均分解决方案。入站的 VPN 连接可以通过 VPN-1 网关的集群分配。如果一个网关出现故障,则新的 VPN 连接将自动连接到其他的集群成员。
VPN-1 SECURECLIENT 高级特性
VPN-1 SecureClient 是一个增强的应用程序,它提供 VPN-1 SecuRemote 的所有功能,并添加了用于客户端安全性和软件管理的额外特性。
个人防火墙功能
VPN-1 SecureClient 为远程访问用户提供了完善的安全性。利用与市场领先的FireWall-1? 相同的 Stateful Inspection 专利技术,VPN-1 SecureClient 防火墙策略提供了基于来源、目的地以及客户端系统收发的网络信息流类型的访问控制。它可以为用户或用户组定义安全规则,使具有不同类型远程访问 VPN 用户(例如,销售人员和 IT 工作人员)的企业,可以根据用户的不同需要来定制客户端安全策略。这些策略不仅可以保护客户端机器上的数据免遭未授权的访问,而且可以消除这些用户易受共享网络上同类用户攻击的弱点。未授权的访问企图既可以在本地记录,也可以作为告警发送到管理站。
安全配置校验
VPN-1 SecureClient 加强了企业的安全性,因为它确保了客户端系统不能绕开企业安全策略进行配置。利用安全配置校验(SCV),管理员可以指定 SCV 校验——定义安全地配置客户端系统的一组条件,例如个人防火墙策略的正确操作。这些安全性校验会定期执行,确保只有安全配置的系统可以连接到企业 VPN。除了已经预定义的校验之外,安全管理员还可以定义定制的校验。例如,可以编写一个 SCV 校验来确保 VPN-1 SecureClient 用户运行的是杀毒软件的最新版本。
VPN-1 SecureClient 执行集中式管理个人防火墙策略。
简化的软件分发和管理
VPN-1 SecureClient 包含了一些特性来简化客户端软件的初始分发和以后的维护。这些特性显著降低了与 VPN 有关的终端用户支持成本,并通过确保客户端软件的安装总是一致的和最新的来提高整体安全性。利用 VPN-1 SecureClient 打包工具,安全管理员可以为他们的 VPN-1 SecureClient 用户创建定制的、自解压的安装软件包。
所有的 VPN-1 SecureClient 选项都可以预先配置,无需终端用户配置任何设置。一旦用户(利用 Web 下载、电子邮件或者物理介质分发)获得了软件包,他或她只需简单地运行可执行文件并重启机器即可。在初始安装完成之后,VPN-1 SecureClient 自动从驻留在 VPN-1 Pro 网关上的 VPN-1 SecureClient Policy Server 下载并更新安全策略。客户端机器上的策略更新是透明的。包括安全策略在内的所有组件都会进行定期检查,如果不是最新版本,则进行自动更新。
VPN-1 SecureClient 保证只有具有安全系统的用户才能进行连接。
移动设备的安全性
为了获取方便的企业访问而部署移动设备的公司,需要可靠的安全性来保护驻留在这些设备上的企业数据,并防止它们变成侵入更大的企业网络的后门。“Secured by Check Point” 的移动设备经过认证,可以与 VPN-1 SecureClient 和 VPN-1 SecuRemote 结合,以提供集中式管理的集成 VPN 和个人防火墙功能。
诊断工具
为了帮助管理员对客户端连接和安全问题进行故障诊断,VPN-1 SecureClient 包含了客户端日志浏览器、桌面策略浏览器和连接状态浏览器。这些工具能够提供关于远程访问客户端系统和连接的当前状态,以及任何未授权访问尝试的重要信息。
3.InterSpect
Check Point公司的InterSpect是一个内部安全网关,它能够阻止蠕虫病毒的传播,也能阻止来自内网中的攻击,并且能够提供网络分段技术。基于Check Point公司安全技术,如INSPECT、状态监测(Stateful Inspection)和应用智能(Application Intelligence TM), InterSpect是专为内部网络安全而生产的设备。选择InterSpect,组织机构能够使用全面内部安全解决方案来保护自己的内部网络。
InterSpect设计灵活,应用到当前的网络环境中不需要改变现有的网络部署,并有适合内部安全的管理界面。
特性
智能蠕虫防御器
智能蠕虫防御器通过应用Check Point公司的状态监测(Stateful Inspection)和应用智能(Application Intelligence)技术提供强有力的内网蠕虫防御。InterSpect安装在受保护的网络之间,通过检测网络通道防止蠕虫病毒在相互连接的网络设备间传播,并且能阻塞危险的网络流量。
网络区域分段
InterSpect将网络分为若干个管理员定义的安全区域,以防止区域间未授权的访问。这样可以防止内网中的用户或受感染的计算机访问没有授权的信息和系统。网络区域分段也防止子网内的病毒攻击。
隔离
InterSpect能够识别疑似或受感染的计算机,并把这些计算机隔离开来以防止网络内的其他计算机受到感染。
在安全补丁发布期间,InterSpect允许对计算机进行隔离。这样网络管理员在确认、安装、测试安全补丁时能够减少网络受感染的危险。
当终端计算机因为受到感染而被隔离时,该用户可以通过定制的动态网页获知自己的计算机被感染了,这样用户知道为什么他们不能访问自己的资源了。这样的提示避免了用户花大量的时间来查找不能访问的原因,也使得网络管理员尽早地意识到发生的问题,减少用户宕机的时间。
局域网协议保护
InterSpect为多种类型的协议提供全面的保护,如微软的MS RPC、CIFS、MS SQL和DCOM,其他一些局域网协议如Sun RPC、DCE RPC和HTTP。InterSpect使用INSPECT技术为安全领域提供了最适用的安全检测性能。随着
INSPECT的不断升级换代,InterSpect的用户使得自己的内部网络架构在攻击和威胁常见的今天依然保持安全。
预先攻击保护
对于可预见或不可预见的攻击,InterSpect提供了预先和动态的保护,在攻击被确认以前保护好组织内部网络安全。InterSpect包括专为内部网络安全而定制的一个智能防御版本。通过使用状态检测(Stateful Inspect)和应用智能(Application Intelligence)技术该版本的智能防御允许管理员配置、管理和升级所有网络和应用程序的防御系统。
传统防火墙的应用层保护
InterSpect为传统防火墙提供了附加的安全保护。为了与传统的边界防火墙无缝连接,InterSpect在不改变当前网络架构的情况下增加了应用智能(Application Intelligence)。为了保证与非标准应用程序的连接,可以定义例外列表(Exception List)来覆盖智能防御保护(SmartDefense protections)
适合内部安全的管理
通过专为内网安全设计的管理界面使得管理InterSpect变得非常的简单。这种管理界面为配置和规则管理提供了强有力的功能和使用方便性。
通常网络层的(network-level)防火墙配置安全规则标准是拒绝所有流量除非单独标明哪些允许通过。这对内部的部署来说是相当复杂的。但对于InterSpect来说,安全分段就像把InterSpect部署到网络并定义网络安全区域一样简单。InterSpect马上开始检测网络通道并截获一些恶意的网络信息。网络管理员可以用易于使用的分段管理界面来阻隔一些特殊的通讯方式和配置内部安全区域。
性能
InterSpect是一个能满足内网安全性能要求的设备装置。InterSpect基于安全平台(SecurePlatform)、Check Point公司的固化安全操作系统。为了确保更高性能,InterSpect还包括了Check Point公司获得专利的SecureXL安全加速技术。
部署模式
为支持各种部署,InterSpect 可以按三种在线操作模式(网桥、交换机和路由器模式)工作。监听功能适用于所有的模式。
4
. 管理
您面临的挑战:
各种组织(例如您的公司)在保护其分布式网络时面临日益增长的挑战。随着您的网络规模的增长,在整个网络上不断对多个执行点实行和维护最新的安全策略变成一项日益复杂和耗时的任务。对于您这样的安全管理员来说,分别管理每个防火墙或 VPN 网关不是一个合理使用时间的好办法,更重要的是,这将给您的网络安全带来风险。
我们的解决方案:
Check Point SmartCenter? 解决方案是集中配置、管理和监控多个 VPN-1? 和 FireWall-1? 执行点的强大工具。利用 Check Point 革新的安全管理体系结构(SMART ),SmartCenter 解决方案提供了一个独特的三层体系结构,包括一个集成的、直观的 GUI ,该 GUI 能够从单个控制台定义综合安全策略的所有元素。高级的 One-Click 技术能够自动将策略分发到所有执行点,使您能够在所有安全执行点上轻松维护最新的安全策略。这些能力提供了前所未有的可升缩性和易用性,从而降低了管理开销并增强了您的网络安全。
产品特性:
● 集中定义 VPN 、防火墙、QoS 和 Web 访问策略
● 自动分发策略和软件
● 安全策略的可视化管理
产品优点:
● 综合的,一站式安全管理
● 更好的控制、更高的网络安全性和增强的易用性
● 在部署之前进行安全策略验证,以获得更好的网络安全性
SmartCenter 解决方案使管理员能够从单个位置管理大量的 VPN-1 和
FireWall-1 执行点。
SMARTCENTER 解决方案概述
Check Point 通过 SmartCenter 和SmartCenter Pro? 提供了各种级别的管理功能性,提供了集成的和高成本效益的解决方案,使您能够在单个管理控制台实现最高级别的控制和安全性。
SmartCenter 是 Check Point 企业管理解决方案中的旗舰产品,它由一个“操纵板”和一个管理服务器组成,前者使管理员能够集中定义 VPN、防火墙、QoS 和Web 访问策略,后者用于存储和分发这些不同的策略。
SmartCenter Pro 提供 SmartCenter 的所有功能,以及:
● 网络安全的可视化管理
● 超大规模管理
● 集中管理、分发和列出软件清单的能力
● 实时安全和 VPN 性能监控
● 与基于 LDAP 的目录的强大集成
● 所有管理操作的容错
可伸缩的集中式管理
SmartCenter 和 SmartCenter Pro 都是由用户界面和管理服务器组成,能够使管理员集中管理大量的 VPN-1 和 FireWall-1 执行点。
SmartDashboard? 是一个先进而又简单易用的用户界面,用于定义和管理安全策略的多种元素:防火墙、VPN、网络地址转换、QoS、Web 访问以及VPN 客户端安全性。为了有效创建策略和安全管理,所有对象定义(用户、主机、网络、服务等)在所有元素中都是共享的。
SmartCenter Server 是存储和分发使用 SmartDashboard 定义的安全策略的管理服务器。它也可以为任意数量的执行点存储通用 Check Point 数据库,包括网络对象定义、用户定义和日志文件。
SmartDashboard 是一个单独的图形用户界面,用来定义和管理企业的安
全策略的多种元素。
综合的安全管理
基于策略的 VPN/防火墙管理
SmartCenter 和 SmartCenter Pro 使管理员能够对大量的 VPN-1 和
FireWall-1 执行点进行集中管理并部署单个策略。一旦定义了一个策略,它就能自动分发到所有的位置。这极大地提高了管理效率并增强了安全性,因为所有的安全执行点上的安全策略总是最新的。
自动 NAT 配置
SmartCenter 为管理员提供了自动生成 NAT 规则的能力,从而在节约了管理时间的同时增强了安全连通性。
集成的客户端安全性
Check Point VPN-1 SecureClient? 为远程访问的 VPN 用户提供了一个基于 Check Point 获得专利的 Stateful Inspection 技术的个人防火墙。个人防火墙的策略可以根据来源、目的地以及客户端系统接收或发送的网络信息流类型,在 Desktop Security 选项卡中的 SmartDashboard 内定义。可以根据用户或用户组来定制规则,这使企业可以对远程用户系统实行更细致的控制。
粒度用户授权以及认证管理
随着基于 Web 的应用程序日益广泛地使用,用户认证和授权的集中式管理成为一个迫切的要求。SmartCenter 管理集中并简化了企业 Web 应用程序的用户管理。管理员可以使用 SmartDashboard 中的 Web Access 选项卡,轻松地定义用于在基于 Web 的应用程序环境中,进行用户认证、授权和审核的 Web 访问策略。
简单的 VPN 管理
One-Click VPN 部署
SmartDashboard 使管理员能够在单个操作中创建大规模的 VPN。使用VPN Manager,管理员能够定义 VPN 分组,并且只需一个步骤就能为整个VPN(如内部网、外部网和远程访问部署)设置安全参数。通过将所有 VPN-1 网关分到一个分组,可以在所有网关之间或者在远程用户和网关之间使用VPN。当一个新站点或用户添加到分组时,它们会自动继承适当的属性,并且可以与 VPN 分组中的其他站点立即建立安全的 IPSec 会话。SmartCenter 支持许多网络拓扑结构,包括全网格拓扑、星型拓扑、中心拓扑和轮辐拓扑以及它们相互结合的产物。这使得企业能够将它们昂贵的帧中继连接简单而高成本效益地移植到 Internet VPN。
VPN Manager 使管理员能够在单个操作中创建 VPN。
系统外集成的、强大的身份认证
Check Point 管理解决方案包含内置认证授权,它使企业能够在 IPSec VPN 中使用 X.509 数字证书来鉴别参与者。One-Click 证书自动发布到所有用于站点到站点 VPN 通信的 Check Point 管理和执行点,这使企业不需要再单独部署用于强大身份认证的 PKI 产品。
粒度远程用户 VPN 管理
VPN-1 SecureClient Packaging Tool 使得安全管理员能够为他们的VPN-1 SecureClient 用户创建自定义的和自解压缩的安装包。此外,管理员可以指定安全配置校验(SCV)检查,SVC 是定义安全地配置客户端系统的一组条件,例如防病毒软件的当前版本或个人防火墙策略的正确操作。这一功能强大的工具能够确保客户端软件安装始终是一致的和最新的,从而简化远程用户管理并提高总体安全性。
关于发布2018版《石油化工工程建设设计概算编制办法》和《石油化工工程建设费用定额》的通知 中国石化建[2018]207号 各企事业单位、股份公司各分(子)公司: 现发布2018版《石油化工工程建设设计概算编制办法》和《石油化工工程建设费用定额》,自发布之日起施行,由工程部负责解释。原2007版概算编制办法和工程建设费用定额废止。 概算编制办法是编制石油化工设计概算的依据,各单位要严格执行。工程建设费用定额是编制设计概算和工程建设费用管理的依据。 2018版《石油化工工程建设设计概算编制办法》和《石油化工工程建设费用定额》另行印发。 中国石油化工集团公司 2018年5月27日 中国石油化工集团公司办公厅2018年5月28日印发
石油化工工程建设费用定额 1 总则 1.1 为适应能源化工工程建设投资管理体制改革、项目管理模式多元化,强化工程建设环保、安全、质量、节能减排、风险评价及费用动态管理,合理确定工程建设投资,提高投资效益,制定本定额。 1.2 本定额适用于能源化工新建、改扩建工程设计概算文件编制,包括炼油、石油化工、煤化工、天然气化工等项目。 1.3 本定额费用项目划分和设置依照《石油化工工程建设设计概算编制办法》的规定。 1.4 为能源化工项目配套建设的热电站(或动力站)、铁路、码头等工程,除相关行业有特殊规定外,统一执行本定额。 1.5 本定额所列各项费用计算均不含增值税。
2 工程建设费用定额 2.1 进口设备材料价格及从属费 2.1.1 进口设备材料价格 (1)费用内容 系指进口设备、材料货价,一般分为离岸价(F.O.B.)和到岸价(C.I.F.)。 (2)编制方法 进口设备材料价格=外币金额(F.O.B.)×人民币外汇牌价(中间价) 进口设备材料价格=外币金额(C.I.F.) ×人民币外汇牌价(中间价) 到岸价(C.I.F.)=离岸价(F.O.B.)+国(境)外运输费+国(境)外运输保险费 2.1.2 从属费 (1)费用内容 进口设备、材料从属费包括国(境)外运输费、国(境)外运输保险费、关税、外贸手续费、银行财务费。 本定额国(境)外运输费一般指海运费,国(境)外运输保险费一般指海运保险费。 (2)编制方法 ①海运费 海运费=离岸价(F.O.B.)×海运费费率 平均海运费费率:4% ②海运保险费 海运保险费=进口设备材料价格(F.O.B.)×(1+海运费费率)×海运保险费费率/(1-海运保险费费率) 海运保险费费率:1‰ ③关税 关税=[进口设备材料价格(F.O.B.)+国(境)外运输费+国(境)外运输保险费]×关税税率(或综合关税税率) 关税=进口设备材料价格(C.I.F.)×关税税率(或综合关税税率) 关税税率原则采用《中华人民共和国进出口税则》及国务院关税税则委员会、海关总署最新规定的税率,参考综合关税税率为8%。 ④外贸手续费 外贸手续费=进口设备材料价格(C.I.F.) ×外贸手续费费率
xx公司网络安全解决方案1第3页 业三级网络结构,VPN设置如下图所示: 每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN 设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的: 网络传输数据保护:由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输; 网络隔离保护:与INTERNET进行隔离,控制内网与INTERNET的相互访问; 集中统一管理,提高网络安全性; 降低成本(设备成本和维护成本); 其中,在各级中心网络的VPN设备设置如下图: 由一台VPN管理机对CA、中心VPN设备、分支机构VPN 设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ 口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。 下级单位的VPN设备放置如下图所示: 从上图可知,下属机构的VPN设备放置于内部网络与路由
器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,从而降低企业的成本。 由于网络安全不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。 (二)访问控制 由于xx广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求: 1)控制外部合法用户对内部网络的网络访问; 2)控制外部合法用户对服务器的访问;
安全电子邮件解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子邮件起到越来越重要的作用。 然而,电子邮件作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子邮件方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子邮件带来很多安全隐患: 用户名和口令的弱点:传统的邮件系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。 信息的机密性:邮件内容包括很多商业或政府机密,必需保证邮件内容的机密性。然而,传统的邮件系统是以明文的方式在网络上进行流通,很容易被不怀好意的人非法窃听,造成损失;而且邮件是以明文的方式存放在邮件服务器中的,邮件管理员可以查看所有的邮件,根本没有任何对邮件机密性的保护。 信息的完整性:由于传统的邮件发送模式,使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改,使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。 信息的不可抵赖性:由于传统的邮件工作模式(用户名+口令、明文传输等),对邮件没有任何的保护措施,使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性,同时双方都可以否认对邮件的发送和接受,很难在出现事故的时候追查某一方的责任。 针对普通邮件存在的安全隐患,北京天威诚信电子商务服务有限公司(iTruschina)推出了基于PKI (Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供邮件证书服务,为电子邮件用户发放数字证书,邮件用户使用数字证书发送加密和签名邮件,来保证用户邮
徐州恒祥建筑安装工程有限公司 江苏中宇光伏科技有限公司倒班员工宿舍项目 安 全 文 明 施 工 措 施 编制人:杨令松 审核人:丁琪 审批人:杨友际
一、安全施工管理目标 我公司在该项目的施工过程中将通过有效的安全施工措施来确保本工程的施工在安全施工方面达到如下安全施工目标: 1、安全文明施工要求:承包方工作及作业现场各项安全文明施工措施必须符合《三一大道沿线环境综合整治绿化改造工程施工》的相关要求,遵守安全文明施工及现场管理的规定和制度。 2、无重大施工安全事故发生; 3、无交通死亡事故; 4、无重大行车事故; 5、无等级火警事故; 6、负伤率控制在5%以内。 二、指导思想 安全生产同质量、效益一样是创优工程不可缺少的重要环节,是关系到职工人身和国家财产不受损失的大事。在施工过程中认真贯彻“安全第一,预防为主”的方针,坚持做到管生产必须管安全。加强职工安全生产教育,使每一位生产者都能熟悉安全生产知识,并在施工中切实执行,杜绝一切不安全因素,保证劳动者的安全与健康,确保本工程施工安全。 三、安全生产体系 建立安全生产管理网络,落实安全生产责任制,完善安全管理体系。项目经理部设专职安全检查工程师,作业班组设兼职安全员,做到分工明确,责任到人,本项目的安全管理体系及安全生产教育体系如下:
安全管理体系
安全教育体系 四、安全生产责任制 建立安全生产管理网络,落实生产责任制,完善安全体系。项目经理部设专职安全检查工程师,作业班组设专职安全员,做到分工明确,责任到人,本项目的安全管理体系如下图。
安全管理体系 五、安全技术检查制度 建立定期和不定期的现场安全检查制度 1、定期检查: 1.1我公司质安部每周一次定期安全检查; 1.2项目经理部质安组每周一次安全检查; 1.3作业组每周一次安全检查; 1.4安全巡查组每日值班。 1.5每次检查都必须做好记录,发现事故隐患要有专人负责解决,把事故消灭在萌芽的状态。 2、不定期检查: 我公司项目管理部及项目经理组均对关键部位的施工安全措施实施突击检查,并将检查结果做好记录,督促落实有关责任人实施纠正措施。
石化行业工控安全解决方案 龙国东
威努特—工控安全专家石油石化中工业信息化网络的应用 石油和化工企业的信息化分为 三层结构: 第一层以PCS(Process Control System,过程控制系统)为代表 的生产过程基础自动化层。; 第二层以MES(Manufacturing Execution System,制造执行 系统)为代表的生产过程运行优 化层; 第三层以ERP(Enterprise Resource Planning,企业资源 计划)为代表的生产过程经营优 化层。
威努特—工控安全专家工业信息化网络面临的挑战
威努特—工控安全专家石油石化行业工控网络的安全问题与风险 A生产控制网络缺乏自身全面的安全性设计 我国石油石化行业生产控制系统安全防护滞后于系统的建设速度,生产控制系统缺乏自身的 安全性设计。在信息安全意识、策略、机制、法规标准等方面都存在不少问题。 B工控网络存在一定的脆弱性 (1)已建项目主要软硬件多为进口,可能存有后门 (2)油气开采、管道储运广泛使用无线通信,易被野外搭线监听、窃密和干扰 (3)部分网络借用公共电信网络和互联网组网,增加了网络接入风险 C工控网络面临着现实和潜在的威胁 现实威胁:U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手段 潜在威胁:攻击石油石化行业工控系统技术门槛越来越低,易被信息战攻击 D工控网络安全防护体系尚未形成 (1)关键资产底数不清楚 (2)严重漏洞难以及时处理,系统软件补丁管理困难,难以应对APT攻击
威努特—工控安全专家 石油石化行业生产控制系统信息安全主要目标 可用性 完整性 保密性 123 保护工控系统免受病毒等恶意代码的侵袭。 避免工控系统遭受人为恶意或者无意的违规操作。 防范外部、内部的网络攻击。在不利条件下维护生产系统功能。 安全事件发生后能迅速定位找出问题根源。
附件3 2015年度(第二十五届)全国石油石化企业管理现代化创新优秀著作获奖目录 特别奖:2部 1.《中国石油组织史资料》 中国石油天然气集团公司 石油工业出版社有限公司 周吉平单昆基刘志华王志刚张卫国金华 徐新福任一村张昌寰白广田 2.《大脚印——大庆油田勘探开发历程揭秘》 中国石油大庆油田公司 宫柯巢华庆袁庆峰王思钧周望高富 徐志良李国昌王允良王俊魁 一等奖:4部 3.《石油工业投资项目后评价系列丛书》 中国石油天然气股份有限公司 石油工业出版社有限公司 李华启何江川杨继钢田景惠梁鹏杨震 — 1 —
安丰春孔令峰洪保民方兴君 4.《卓越全球化与本地化》 中国石油海外勘探开发公司战略发展部 陆如泉李晓锋赵林肖岚定明明鲁燕 王恒亮宋磊周默马宝玲 5.《液化天然气接收站生产管理实践》 中海福建天然气有限责任公司 王海伟黎晖王建国林晓东陈彬葛鹏 王强 6.《石油石化物资供应管理》 中国石化物资装备部 蒋振盈张志庆唐永合王玉台杨冬楼剑常 石英李志浩 二等奖:9部 7.《成品油零售增值服务管理》 中国石油广东销售公司加管处 王廷伟 8.《理念到行动有多远——企业多元激励机制的创新与实践》 中国石油长庆油田公司第三采油厂 郑明科 — 2 —
9.《能源金融》 民生银行 陈德胜邓艳李洪侠张国梁 10.《中亚压气站EPC项目管理方法研究与应用》 中国石油工程建设公司 吴文峰周旭荣姚海盛徐宝德刘德沈天厚 张文林秦丰高高建时丁贤风 11.《昆仑银行产融结合探索》 昆仑银行股份有限公司 赵奎 12.《陆上油气田勘探开发安全环保程序管理》 中国石油长庆油田公司安全环保监督部 黄应红朱国君刘琴卢连鑫杜岩王伟 王宏庆赵捍卫吕明红陈博 13.《石油钻井关联交易长效管理机制研究》 中国石油勘探开发研究院廊坊分院造价中心 黄伟和 14.《书记谈心100法》 中国海洋石油报社有限公司 石油工业出版社有限公司 鲜玉萍张宗鹭杨彬姜啸啸徐宏李若冰 张闻天安力 — 3 —
石油化工工程建设标准管理办法 中国石化建标[2003]119号 第一章总则 第一条为了加强石油化工工程建设标准化工作,促进石油化工工业技术进步,充分发挥标准在石油化工工程建设中的作用,根据《中华人民共和国标准化法》、《中华人民共和国标准化法实施条例》和国家标准化有关规定并结合石油化工行业的实际情况,制定本办法。 第二条石油化工工程建设标准化的任务是接受国家有关部门的委托,承担国家标准、行业标准的制定和修订(含局部修订)并承担相应的管理工作,组织并监督标准的实施,指导制定企业标准和推动企业开展标准化工作。 第三条受国家有关部门委托,石油化工行业工程建设标准的制(修)订和管理工作由中国石油化工集团公司(以下简称石化集团)负责,工程建设管理部为石油化工工程建设标准化归口管理部门。 第四条石油化工工程建设标准化工作坚持与时俱进、改革创新的精神,努力推动工程建设标准的科学化、系列化,建立完善的标准体系。 第五条石油化工工程建设标准包括以下几方面的内容: 1.石油化工工程建设的勘察、设计、施工及验收技术要求; 2.石油化工工程建设的技术管理、技术术语、符号、代号、图例、试验方法、制图方法、信息编码等的技术要求;
3.石油化工工程建设的质量检测、检验评定、安全、卫生、检验试验的技术要求; 4.石油化工工程建设的节能降耗、综合利用、环境保护和劳动保护等的技术要求。 石油化工工程建设标准分为强制性标准和推荐性标准,可以用标准、规范、规程、规定、导则、试验方法、技术条件等形式发布,具有同等效力。 第六条中国石化工程建设标准的著作权和版权(含纸质和电子光盘)均属石化集团所有。未经许可,任何部门、企事业单位、社团和个人不得擅自出版、翻版、复制、汇编和发行。 保护的内容为石油化工行业标准和石化集团企业标准的各阶段的成果,包括征求意见稿、送审稿、报批稿和正式发布本(含纸质和电子光盘版),以及标准的解释、宣贯和培训材料和声像制品。 第七条在石油化工工程建设标准化工作中,应结合我国石油化工工业的实际,及时收集、认真研究并积极采用国际标准和国外先进标准。 第二章标准的管理 第八条石油化工工程建设标准的管理工作由石化集团工程建设管理部负责,其主要职责为: 1.贯彻标准化工作的法律、法规、方针、政策,并制定石化集团实施的具体办法; 2.标准制(修)订项目立项审批、申报,标准制(修)订计划的制定、申报和下达; 3.接受国家有关部门的委托,承担国家标准和石油化工行业标准的制(修)订(或局部修订)任务,
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
中国石油企业协会发布 2011年度全国石油石化企业管理现代化创新优秀成果、优秀论文、优秀著 作奖 中国石油新闻中心 [ 2011-09-19 09:04 ] 中国石油企业协会(以下简称石油企协)行业部级2011年度全国石油石化企业管理现代化创新优秀成果、优秀论文、优秀著作评审(以下简称“三评”)工作结束,现正式发布。 石油企协自石油工业部时期就组织开展的“三评”到2011年已分别进行了24届、16届和21届。经“三评”专家评审委员会审定的2011年度“三评”各项奖项,全面反映了石油石化企业为贯彻落实科学发展观、加快转变经济发展方式和实现综合性国际能源公司发展目标,在管理创新理论和实践方面取得的最新成就。 石油企协2011年共收到全国石油石化企事业单位申报优秀成果234项,评出获奖优秀成果141项,获奖率为60.25%;共收到申报优秀论文516篇,评出获奖优秀论文304篇,获奖率为58.91%; 共收到申报优秀著作22部,评出获奖优秀著作12部,获奖率为54.54%。其获奖数量和质量较2010年度相比又有了进一步增加和提高,尤其是涌现了一批创新性、实用性、效益性都十分突出的成果,充分反映了石油石化企业管理现代化及软实力建设的创新能力和水平。 全国石油石化企业管理现代化创新优秀成果获奖目录
一等奖:24项 1. 以资金管理平台为基础的全面集中、统一规范的资金管理体系 中国石油天然气股份有限公司财务部 周明春马晓峰杨旭方红伟尹国平袁宏林杜亚怀马保华刘亚静刘岩付俊华钟玉兰2. 大型石油公司战略规划管理体系构建与实施 中国海洋石油总公司计划部 吴振芳陈伟杰黄少伟单联文杜志发杨晓滨鲍春莉管清友 3.以拓展国际高端市场为目标的技术创新能力建设 中国石油长城钻探工程公司 张凤山刘乃震胡欣峰杜君王英君卢毓周高远文查金才郑宇樊晓萍毕玉荣李朝新4.创建国际一流地球物理技术服务公司的战略客户管理 中国石油东方地球物理公司 郑华生曾庆平刘聚祥马永琴聂建鄂吴海斌陈炳文史政军张雷翟东燕宋宝国 5.大型石油公司科技专家评价体系的构建与实施 中国海洋石油总公司人力资源部 傅成玉吕波李凡荣唐代治陈和志胡宗玉蒋凯杨宏滨王守君付玉娥王志君田华6.大型炼化企业生产装置岗位操作规程全面优化管理 中国石油兰州石化公司 玄昌伟李家民王福善苏海潮郭健张宏生吴育爱曹达杨浩然赖桂兰麻毅进张瑛7.能源企业跨国经营战略管理体系构建与实践 中国石油海外勘探开发公司 薄启亮张品先王仲才郑炯陆如泉裴国平赵林朱颖超肖岚周默李申张鑫
模板安全方案 一、编制依据 XXXA2区XX楼依据下列文件资料编制而成: 1、工程施工图纸 2、《建筑施工扣件式钢管脚手架安全技术规范》JGJ30-2001 3、《建筑施工安全检查标准》JGJ59-99 4、《砼结构工程施工质量验收规范》(GB50204-2002) 5、《建筑工程施工质量验收统一标准》(GB50300-2001) 6、天元集团总公司《模板工程管理规定》 7、各级政府行政部门颁布的法律法规规定,总公司匠安全生产文件。 二、工程概况 XX2区XX楼工程位于聚才路与临西九路交汇处,建筑面积23000m2,框架结构主体三层,内墙采用混合砂浆抹灰。 根据工程特点和编制依据,本工程柱模板采用定型大钢模板或木胶合板施工,基础模板采用组合式钢模,梁底模板采用木模,侧模采用多层板,现浇板模板采用木胶合板,支撑采用木楞满铺和满堂钢管脚手架。 模板与支撑检查 (一)模板
1)材料要求 (1)模板 ○1、木模:木模及支撑系统不得选用脆性,严重扭曲和受潮容易变形的木材。木模用于底模时厚度为40mm-50mm,用于加固用的木楞必须刨平刨直,尺寸一致木楞的截面尺寸为50×100mm。 ○2、组合式钢模板采用的钢模板表面平整,板面洁净,尺寸规格为一类钢模板。连接件、拉结片强度符合国家标准规定,无变形翘曲,缺边掉楞等缺陷。 ○3、胶合板:胶合板采用表面施加热压薄膜的“十三层”胶合板,强度符合要求,表面光滑洁净,无变形。胶合板使用在板面部位用在梁底及梁侧面。 ④定型模板要求表面平整、洁净,尺寸规格、强度符合国家标准规定。 (2)支撑 ○1、钢管符合现行国家标准规定,表面光滑平直,无裂缝、结疤、分层错位、硬弯、毛刺等缺陷,表面涂2遍防锈漆。 ○2、扣件采用可锻铸铁制作的扣件,材质符合规定,不得有裂缝变形。 ○3选用的隔离剂应具有以下特点: a、可用于金属模板,并有除锈、防锈性能,又可用于木模,可渗入木模一定深度,并提高木材防腐性能。 b、拆模后不影响砼表面的粘结力,有利于提高抹灰质量。 c、耐雨水冲刷可用于雨季施工,砼强度达到 1.2N/mm 2 后拆模,即不会 发生隔离剂粘模现象。 2)模板支设
036 IBM 石油石化解决方案集 石油化工产品的配送与销售是石油产业链中的重要一环,物流与分销网络的稳定性直接影响到石油销售状况。为了打造高效、稳定的物流和销售体系,IBM 在智慧的油田解决方案中部署了配送与销售模块,以保证物流配送和销售的顺畅运行。 配送业务解决方案 主要解决方案 作为企业未来利润的主要来源之一,物流管理对于大型一体化经营的炼化企业从需求预测及计划准确度、配送专业化程度、储运设施布局、自动化与信息化、库存管理、协同配送几个方面提出了更高的要求。IBM 在销售业务中的物流配送环节提供的整体解决方案,可以帮助客户利用国际最佳实践和理论,对销售体制和业务流程进行改进,采用先进自动化和计算机优化手段,合理安排物流,提高库存和销售预测准确性,降低成本,提高客户服务水平,提高企业利润。IBM 配送 配送与销售 解决方案主要涵盖:? 一次配送系统 通过优化油品的采购、销售、交换与库存等主要业务,实现一次配送总体效益的最大化。在需求预测方面,利用先进的统计方法,通过历史数据和协同预测数据来预测油品的需求;在分销计划方面,设定生产装置能力约束,对油品来源、油品分销所有油品与进料的合理库存进行优化;? 二次配送系统 配送调度总中心根据经济区域、油库布局、资源流向、加油站布局,建立多个成品油配送调运分中心,采集加油站罐存、加油站销售量、油库罐存、最终客户配送订单、特殊急用配送订单、第三方运输公司车辆信息。通过二次配送优化系 统确定大区/省公司最合理的优化加油站/最终客户(特殊急用)配送计划,使加油站销售量与库存量、运输车辆与运输线路、运输量达到最优组合,从而实现主动配送,以最经济的方式,确保加油站适时地收到油品;? 油库管理系统 实时监控罐存情况包括温度、压力和液位,以及安全监测和存量历史跟踪。对油库的业务活动进行管理, 包括人员管理、设备管理、计量管理、作业管理、质量管理、帐务管理和报表统计。同时协同制定炼油厂成品油出厂计划并统一安排运油计划;
石油化工工程建设项目 临时用电方案 编制人: 审核人: 批准人: xxx石化建筑安装工程有限公司
目录 一、编制依据 (2) 二、工程概况 (2) 三、临时用电布置、设计 (2) 四、负荷计算 (3) 五、配电系统图 (3) 六、配电装置设计 (4) 七、接地、防雷设计 (7) 八、主要施工方法 (8) 九、安全用电与电气防火措施及现场急救 (14) 十、临时电平面布置图(见附页) (19) 十一、消防安全责任人网络图 (20) 一、编制依据 1.《施工现场临时用电安全技术规范》(JGJ46-2005) 2.《建设工程施工现场供用电安全规范》(GB50194-93) 3. 建设单位提供的有关资料 4. 工程施工组织设计提供的用电设备情况及施工进度计划 5. 职业安全健康手册(第2006版) 二、工程概况 1.施工现场地形、地貌、地址及工程位置 施工现场位于XXX区内,东侧为XXX区,南侧为XXX,西侧为预
留空地,北侧为XXX。本工程所处地势平坦,地形已被初平,自然条件良好。施工用电由甲方提供。 2.施工内容 本项目施工内容主要包括相关配套道路、管线、管架等土建及安装工程施工。 三、临时用电布置、设计 因本工程施工现场过大,沿施工现场设置供电线路存在困难,故办公及生活区用电及部分工程施工采用甲方提供电源,其他工程用电采用发电机供电。 该临时用电工程主电源由大项目乙烯区变压器接出,并空架至所需位置,线路采用系统三相五线制。考虑到夏季办公及生活用电及安装工程施工时的用电高峰值,因此主电缆采用100 mm2的电缆,架设至总电源箱。各支线架设采用50mm2电缆至各处分配电箱,现场临时办公室内照明用电采用220V。 电缆敷设时,主线采用五芯电缆,动力采用四芯电缆,照明金属外壳采用三芯电缆。 根据施工平面布置图,并结合现场情况确定了总电源箱和分电源箱的位置。 四、负荷计算 主要用电施工设备参数表
电子商务安全解决 方案
电子商务信息安全解决方案 ■文档编号V10 ■密级内部■版本编号V10.2 ■日期 -07-31 信息安全技术有限有限公司 7月
第一章前言 1.1概念 电子商务一般是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务是利用微电脑技术和网络通讯技术进行的商务活动。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同,给出了许多不同的定义。 首先将电子商务划分为广义和狭义的电子商务。广义的电子商务定义为,使用各种电子工具从事商务或活动;狭义电子商务定义为,主要利用Internet从事商务或活动。无论是广义的还是狭义的电子商务的概念,电子商务都涵盖了两个方面:一是离不开互联网这个平台,没有了网络,就称不上为电子商务;二是经过互联网完成的是一种商务活动。
狭义上讲,电子商务(Electronic Commerce,简称EC)是指:经过使用互联网等电子工具(这些工具包括电报、电话、广播、电视、传真、计算机、计算机网络、移动通信等)在全球范围内进行的商务贸易活动。是以计算机网络为基础所进行的各种商务活动,包括商品和服务的提供者、广告商、消费者、中介商等有关各方行为的总和。人们一般理解的电子商务是指狭义上的电子商务。 广义上讲,电子商务一词源自于Electronic Business,就是经过电子手段进行的商业事务活动。经过使用互联网等电子工具,使公司内部、供应商、客户和合作伙伴之间,利用电子业务共享信息,实现企业间业务流程的电子化,配合企业内部的电子化生产管理系统,提高企业的生产、库存、流通和资金等各个环节的效率。 联合国国际贸易程序简化工作组对电子商务的定义是:采用电子形式开展商务活动,它包括在供应商、客户、政府及其它参与方之间经过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。 电子商务是利用计算机技术、网络技术和远程通信技术,实现电子化、数字化和网络化,商务化的整个商务过程。
-------------前言-------------- 随着计算机技术的迅速发展,邮件网络信息的安全问题的解决十分的重要。邮件服务器关系着人们信息交流的隐私安全。目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个邮件服务器防止邮件攻击将不可缺少。所以如何保证邮件服务器的安全解决方案是当前的关键。 Internet是一个开放系统,透明度极高,既不安全,又不可信,使邮件服务器存在许多安全问题。如何保证数据传输的安全性和收发邮件人身份的真实性就成为推广解决的关键问题。邮件服务器的解决方案主要通过了解其性能、安全配置技巧、自身安全功能机等方面。采取一种预防、阻止邮件服务器出现坏的信息,从而使邮件服务器有一个简单实用的解决方案。
浅析邮件服务器安全解决方案 【摘要】该文论述和分析了邮件服务器自身安全功能及其安全方面的解决方案。在安全解决方面,重点介绍了Sendmail软件。通过对邮件服务器性能和安全配置技巧的论述,了解邮件服务器的工作原理。对动态中继验证控制,采取更先进的Sendmail进行处理。总结出邮件服务器的主要性能和安全解决方案,既保证数据安全,又提高邮件服务器的信息传输能力。从而使邮件服务器能够公平、合理、安全的在互联网上运行。 【关键词】邮件服务器;安全性;Sendmail软件;动态中继验证
XXXXXX 网络安全解决方案
、系统的开发背景 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性、互连性、共享性程度的扩大,特别是高校中计算机网络得到广泛的应用,无论是科研和教学中都离不开它,WEB艮务、数据库服务、电子邮件服务等涉及秘密材料,由于开放性的要求,In ternet 与内部网没有完全物理隔离,因此在操作系统和服务系统不能完全保证没有安全隐患和漏洞的情况下,难以保证内部系统的安全,同时内部网用户也可能涉及违反网络安全的事件,缺乏有效身份认证是内部管理的主要问题。 无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。 黑客的威胁见诸报道的已经屡见不鲜,在整个网络中任何一个环节出现问题,都有可能造成整个系统处于不安全的状态,而保证每个主机都处于高度安全是不可能的,现有的操作系统和服务系统都发现过漏洞,特别是人为因素造成的管理问题更难以避免。 1. 1网络安全的具体需求 在整个网络中,最主要的是保证关键数据库和专门服务器的安全。保证内部 服务集群的安全性是最基本的,也是最重要的需求。系统的主要需求指标有: 管理安全性: 完善的网络访问控制列表,禁止非授权用户非法访问数据。为防止黑 客获得某个主机的控制权后造成安全漏洞。不应该简单采用主机信 任。
保密性: 为了防止黑客等的非法破解,通信应该提供保密性,防止恶意的网络监听, 由于采用系统总体加密,因此无需担心内部的口令字等关键信息的泄漏。 兼容性: 对于现有的各种操作系统和服务系统应该兼容,避免升级等复杂问题和新的 缺陷的引入。 透明性: 解决方案应对用户提供透明的安全网络管理,除要求客户端使用专用的安全 网络服务组件和USB钥匙外,不应该要求用户提供应用层的额外修改,这 将是一项复杂的工作。 1. 2安全策略的原则: 充分比较安全策略的安全性与方便性。 通常,网络的方便性会因安全措施而降低。例如增加了用户身份验证的措施,用户就不得不在获得网络服务之前先输入用户名和口令,从方便性角度看,这就比 直接获得网络服务方便性差。 充分比较网络的安全性与性能。 安全措施的完成必然要消耗一定的网络资源。或是占用主机CPU和内 存,或者是占用网络带宽,或者是增加信息处理的过程。所有这些都可以导致整体性能降低。 充分比较网络的安全性与成本。 采用网络安全措施本身会增加建网的成本,包括进行安全方面的系统设计和实施的费用,购买硬件和软件的费用,管理和维护的费用等。
安全解决方案(总4页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。 1.理念与方法论 理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论,它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求,基于不同的理念与方法论会得到大相径庭的安全解决方案。 良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。 2.需求获取 客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前,不可能得到切合实际的解决方案。 在需求分析过程中,会采用多种需求分析方法。比如,BDH方法,就是从业务、分布、层次等三个方向进行分解,同时考虑业务分解后的各要素之间的内在联系,力求完整而准确地获取客户的安全需求。 3.安全措施 安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础,全面、清晰地把握客户安全需求之外,还要对可用的各种安全措施(产品与服务)的特点有准确的了解和把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。 4.安全实现 安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。 在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。二、解决方案指导思路 三观安全包括:微观安全、宏观安全和中观安全。 三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层,体现为安全部件,即安全产品和规范化的安全服务;中间的运营层,体现为对于安全产品的集成管理和各种安全任务的流程管理;顶层的决策层,包括决策支持、残余风险确认,以及顶尖上的“使命”。 任何安全系统、安全项目、安全工作都要在三个层次体现和实现:都要上传到决策层,以确保决策层的支持和指导,并且能够保证对于机构真正使命的支撑和达成;都要下达到实现层,以确保所有问题都落实得非常具体,达成安全要求;而且还要通过运营层,协调、控制、反馈、管理实现层的安全要素,已达成决策层的安全使命和决策。 从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程. 事实上,同一安全要素可能同时包括了微观、中观、宏观三个层次的内容。例如安全策略中,执行流程是微观的内容,规范是中观的内容,而安全策略的基本方针则是宏观的内容。 三、电信运营商网络安全需求分析 目前影响电信运营商的主要安全事件主要表现为: 全网爆发性的蠕虫和病毒 对于全网的拒绝服务攻击
我国现代金融机构的风险管理与内部控制
我国石油石化企业安全管理模式的探讨
张德全
【摘要】:随着我国加入 WTO 和市场经济体制的逐步完善,石油石化企业的上市与重组,我 国石油石化企业的生产经营环境发生了很大变化,对我国石油石化企业的安全管理水平提出 了更高的要求。另一方面随着全球石油行业和国内相关大型企业在现代安全管理方面的不断 发展及进步,必须将我国石油石化的管理状况摆在国内和世界行业的平台基础上进行对比分 析,从而为借鉴国内外的成功经验和方法,促进我国石油石化的安全生产管理不断发展和提高, 使我国石油石化的安全管理水平再上一个台阶。为此,对我国石油石化企业的安全管理模式 进行探讨。主要通过研究分析国内外大型企业的安全管理模式。即以“管理为中心”的企业安 全管理模式和以“人为中心”的企业安全管理模式。以鞍钢“0123”管理模式、扬子石化公司的 “0457”管理模式、抚顺西露天矿的“三化五结合”模式等为代表的以“管理为中心”的企业安全 管理模式基于“一切事故原因来源于管理缺陷”的认识而建立,以马鞍山钢铁公司的“三不伤 害”活动(不伤害自己,不伤害他人,不被他人伤害)、上海浦东钢铁公司的“安全人”管理模式、 长城特殊钢厂的“人基严”模式(人为中心,基本功、基层工作、基层建设,严字当头,从严治厂) 和晋城矿务局“4321”模式等都是以人为中心的管理模式的体现,其基本内涵是把管理的核心 对象集中于生产作业人员。即,安全管理应该建立研究人的心理、生理素质基础上;以纠正人 的不安全行为、控制人的误操作作为安全管理目标。同时对国外如杜邦以“零”为目标模式、 德国和美国的安全管理模式、国际劳工局专家“安全检查模式”等企业安全管理模式及方法进 行研究,分析对比国内外目前的安全管理模式,结合我国石油石化企业安全管理现状和一段时 期以来在安全管理方面的成功经验,查找我国石油石化企业和国外同行业安全管理方面存在 的差距,根据现代安全科学理论对企业安全生产命题进行全方位、多角度,高层次、宏观、中 观与微观相结合研究和分析,提出了针对石油石化大型企业的实用管理模式和方法,设计了石 油石化安全管理体系,包括 HSE 管理体系-科学管理模式;预防与预警机制-预防型管理模式; 目标管理模式-定量化管理 模式和企业安全文化模式。同时研究分析了国际国内安全管理模 式的发展趋势,对 21 世纪企业安全管理的要求提出了展望,对国家提出了建设性的意见,这些 安全管理模式和建议也可以供其它企业参考使用。 【关键词】:石油石化企业 安全管理 模式探讨 【学位授予单位】:中国地质大学(北京) 【学位级别】:硕士 【学位授予年份】:2005 【分类号】:X937 【DOI】:CNKI:CDMD:2.2005.072030
页脚内容
石油化工重大工程项目管理模式的创新 中国石化能够得到较快发展,其中一个重要原因就是在大型石油化工项目建设上认真探索重大建设项目管理模式的创新,将国外先进的项目管理理论与中国石油化工工程建设实践相结合,创立了适用于中国石油化工重大工程项目管理的新的建设管理模式,即“IPMT+EPC+工程监理”项目管理模式。IPMT是Integrated Project Management Team 的缩写,直译为项目一体化管理组;EPC (Engineering Procurement Construction)是指设计、采购、施工工程总承包。通过这种新的项目管理模式,达到优化工程组织,确保安全,提高工程质量,减少投资费用,加快工程进度,有力推动石油化工重大工程建设项目实现又好又快的建设和投产。 中外石化工程项目管理模式分析 炼油和乙烯等石化工程建设项目是高投入、高风险的项目。资金、技术高度密集,技术复杂、涉及专业多、关联范畴广、集成程度高、质量要求高、工程投资大、建造周期长。工程建设项目管理水平的高低,将直接决定投资效益,决定建设项目的成败,决定石化企业的持续有效发展。少投入、多产出、快建设、高质量、保投产始终是工程项目建设中必须要解决好的重大命题。 工程项目管理模式是工程建设项目管理的核心问题,它是实施HSE、质量、进度、费用和合同执行等方面有效控制和管理的基础。目前我国石油化工行业工程项目管理模式主要有国外通用的
(PMC+EPC)管理模式和国内传统的业主自营管理模式。 1.发达国家石化工程建设项目通行项目管理模式。目前,国外特别是西方国家的大型石化工程建设大多采用(PMC+EPC)管理模式。PMC(Project Management Contractor)是指项目管理承包。PMC是由业主通过合同聘请管理承包商作为业主的代表,对工程进行全面管理。对工程的整体规划、项目定义、工程招标、选择EPC承包商、工程监理、投料试车、考核验收等进行全面管理,并对设计、采购、施工过程的EPC承包商进行协调管理。EPC工程承包商按照与业主的合同约定,全面执行工程设计、采购、施工及试运行服务等工作。 PMC项目管理主要具有三方面特征:一是实现专业化的工程建设项目管理。业主聘请著名工程公司承担项目管理,承包方保证有丰富项目管理经验的专业人员参与项目管理;二是合同承包金额多采用“成本加酬金”的形式,形成承包商与业主共同承担风险的机制;三是对履约信用具有高度的依赖性。该管理模式的优点是提供专业化管理,与业主共担工程风险,为业主分担绝大部分的项目管理工作。但从目前我国石化重大工程项目工程建设实践来看,(PMC+EPC)管理模式比较适合于发达国家市场机制完善、合同管理系统完备的工程建设环境。而在我国目前的客观形势下,该管理模式照搬到国内则暴露出不少问题。一是PMC采用的是“成本加酬金”的合同方式,导致PMC 承包公司及其执行人员普遍存在拖延进度的倾向,合同执行时间越长,成本越高,PMC承包公司赚钱越多;二是PMC承包的成本费用高(特别是国外承包商人工成本高);三是对各种合同履约信用的依