淺談稅務(wù)部門大型數(shù)據(jù)中心安全保障體系建設(shè)優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

淺談稅務(wù)部門大型數(shù)據(jù)中心安全保障體系建設(shè)淺談稅務(wù)部門大型數(shù)據(jù)中心安全保障體系建設(shè)優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）內(nèi)容提要：數(shù)據(jù)集中和業(yè)務(wù)整合，是稅務(wù)信息化管理的大趨勢。在數(shù)據(jù)大集中的背景下，如何保障數(shù)據(jù)中心安全、穩(wěn)定、高效的運行，是一個巨大的挑戰(zhàn)。本文以國家稅務(wù)總局廣東數(shù)據(jù)中心為例，分析了目前大型數(shù)據(jù)中心安全建設(shè)和安全保障存在問題，針對四大方面的風(fēng)險點，提出一些關(guān)于安全建設(shè)的解決思路和建設(shè)安全保障體系的一套解決方案。關(guān)鍵詞：安全建設(shè)、安全保障、安全運維、數(shù)據(jù)中心一、意義和目標(biāo)國家稅務(wù)總局提出了稅務(wù)信息一體化建設(shè)的總體建設(shè)規(guī)劃，并在“金稅三期”工程建設(shè)目標(biāo)中明確提出建設(shè)“以省局為主和總局為輔的兩級數(shù)據(jù)處理中心的電子稅務(wù)工程”。根據(jù)總局的規(guī)劃，數(shù)據(jù)與業(yè)務(wù)大集中的建設(shè)模式是未來發(fā)展的重點。在大集中模式下，各省級數(shù)據(jù)中心作為稅務(wù)系統(tǒng)業(yè)務(wù)工作的業(yè)務(wù)處理核心和數(shù)據(jù)存儲核心，是稅務(wù)工作正常開展的重要支撐。數(shù)據(jù)中心安全建設(shè)，不僅要關(guān)注安全漏洞、安全風(fēng)險，更需要保障業(yè)務(wù)系統(tǒng)的持續(xù)運營。在現(xiàn)階段，稅務(wù)部門數(shù)據(jù)中心安全保障建設(shè)的總體目標(biāo)是：從終端源頭對安全事件加以積極防御，加強提高業(yè)務(wù)系統(tǒng)的安全性；在實現(xiàn)信息安全多層次隔離的同時，還要確保信息的安全交換，充分保障數(shù)據(jù)中心信息系統(tǒng)的業(yè)務(wù)可持續(xù)運行。二、現(xiàn)狀分析廣東數(shù)據(jù)中心整個網(wǎng)絡(luò)分為7大區(qū)域，除去屬于廣域網(wǎng)項目的2個區(qū)域外（廣域網(wǎng)不在本文討論范圍），局域網(wǎng)有5個區(qū)域，即核心交換區(qū)、服務(wù)器接入?yún)^(qū)、政務(wù)接入?yún)^(qū)、辦公區(qū)、網(wǎng)絡(luò)運維管理區(qū)?，F(xiàn)有安全措施有：在各區(qū)域的接入交換機(jī)上部署入侵檢測系統(tǒng)，通過入侵檢測系統(tǒng)發(fā)現(xiàn)各個區(qū)域網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象；在安全管理區(qū)也部署了安監(jiān)平臺、日志系統(tǒng)、漏洞掃描和行為審計等系統(tǒng)，對所管理的PC服務(wù)器進(jìn)安全監(jiān)控，增強網(wǎng)絡(luò)安全中的監(jiān)控和審計機(jī)制；同時，各網(wǎng)絡(luò)區(qū)域之間部署多臺防火墻進(jìn)行一定的內(nèi)部安全域的隔離和訪問控制，但因廣東數(shù)據(jù)中心尚未部署生產(chǎn)系統(tǒng)，所部署的防火墻尚未實施完整的安全策略，只是運行在透明網(wǎng)橋模式，存在一定的網(wǎng)絡(luò)安全隱患。從風(fēng)險管控的角度，參照業(yè)界通用的分析方法和國家《信息安全風(fēng)險評估指南》，廣東數(shù)據(jù)中心面臨著邊界安全風(fēng)險、內(nèi)網(wǎng)安全風(fēng)險、應(yīng)用安全風(fēng)險和管理安全風(fēng)險四個層面的風(fēng)險。（一）網(wǎng)絡(luò)邊界風(fēng)險分析網(wǎng)絡(luò)邊界風(fēng)險主要包括四類，一類是國稅數(shù)據(jù)中心網(wǎng)絡(luò)與金三廣域網(wǎng)的邊界；第二類是國稅數(shù)據(jù)中心系統(tǒng)業(yè)務(wù)網(wǎng)與其他政務(wù)相關(guān)單位（如海關(guān)、銀行等）的專網(wǎng)網(wǎng)絡(luò)之間的邊界，第三類是國稅數(shù)據(jù)中心系統(tǒng)對外服務(wù)信息服務(wù)網(wǎng)即公眾服務(wù)網(wǎng)的邊界；第四類是國稅數(shù)據(jù)中心系統(tǒng)內(nèi)部不同安全域之間的邊界。安全風(fēng)險表現(xiàn)在以下方面：1.黑客攻擊，例如來自政務(wù)外網(wǎng)的非法人員可以直接通過網(wǎng)絡(luò)對省國稅數(shù)據(jù)中心服務(wù)器進(jìn)行掃描，一旦發(fā)現(xiàn)漏洞即可實施攻擊，盜取客戶信息，造成客戶流失或私人信息泄漏。2．信息傳輸，以竊取商業(yè)秘密為目的的“網(wǎng)絡(luò)大盜”，利用數(shù)據(jù)集中必由之路的路由器的缺陷，定期采集流經(jīng)指定目的地址的全部數(shù)據(jù)，竊取有價值的商業(yè)情報。3．病毒入侵，當(dāng)前病毒威脅也非常嚴(yán)峻，任何一個子網(wǎng)爆發(fā)蠕蟲病毒，會立刻向其他子網(wǎng)迅速蔓延，這樣會大量占據(jù)正常業(yè)務(wù)所需帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降甚至網(wǎng)絡(luò)通信終斷，嚴(yán)重影響正常業(yè)務(wù)。4．越權(quán)訪問，系統(tǒng)結(jié)構(gòu)復(fù)雜，用戶覆蓋面廣，分布在不同安全等級之間的用戶越權(quán)訪問，如分支部門的某終端用戶越權(quán)進(jìn)入上級單位的數(shù)據(jù)庫，查看其它分支部門的數(shù)據(jù)資源，造成敏感信息流失。（二）計算環(huán)境風(fēng)險分析內(nèi)網(wǎng)安全風(fēng)險主要是廣東數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)中各級單位局域網(wǎng)可能潛在的風(fēng)險。其主要包括以下四個方面：1．主機(jī)系統(tǒng)漏洞，大量不同的終端設(shè)備，其操作系統(tǒng)各有不同，可能會存在不同的安全漏洞，這些安全漏洞隨時構(gòu)成稅務(wù)信息系統(tǒng)的致命威脅。2．服務(wù)器配置不當(dāng)，稅務(wù)系統(tǒng)涉及業(yè)務(wù)復(fù)雜多樣，其對應(yīng)的應(yīng)用服務(wù)也復(fù)雜多樣，對服務(wù)器各項服務(wù)安全配置的失誤會直接造成稅務(wù)相關(guān)信息系統(tǒng)被攻擊。例如用戶在配置SQLServer時沒有對管理添加密碼，黑客就可以通過SQLServer直接輕松滲透到數(shù)據(jù)中心系統(tǒng)網(wǎng)絡(luò)當(dāng)中來截取、修改或刪除數(shù)據(jù)。3．桌面系統(tǒng)漏洞，廣東數(shù)據(jù)中心終端設(shè)備部署較為分散，沒有采取統(tǒng)一管理，這樣極易構(gòu)成內(nèi)部用戶的違規(guī)操作。例如內(nèi)部用戶安裝惡意軟件、修改客戶端IP地址等欺騙行為。4．內(nèi)部用戶誤操作，各級用戶對計算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的終端用戶誤操作，也將給稅務(wù)信息系統(tǒng)帶來破壞。例如某些終端用戶在惡意網(wǎng)站上下載或是錯誤使用了某些存儲介質(zhì)，從而導(dǎo)致計算機(jī)感染了病毒或木馬程序，很可能會給整個數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。5．合法用戶的惡意行為，用現(xiàn)成的攻擊程序來實現(xiàn)“黑客”的目的，甚至在不知情的情況下被一些真正的黑客所利用去攻擊內(nèi)部網(wǎng)絡(luò)。（三）應(yīng)用系統(tǒng)風(fēng)險分析應(yīng)用安全風(fēng)險主要是指大型數(shù)據(jù)中心網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)所面臨的各種安全風(fēng)險，包括業(yè)務(wù)應(yīng)用平臺、OA應(yīng)用平臺、Web平臺、郵件系統(tǒng)、FTP服務(wù)器、DNS服務(wù)器等網(wǎng)絡(luò)基本服務(wù)。這些平臺、系統(tǒng)和服務(wù)主要依賴WebServer、FTP服務(wù)、E-mail服務(wù)、瀏覽器等通用軟件，或者依賴商用數(shù)據(jù)庫、中間件等應(yīng)用開發(fā)平臺所開發(fā)的應(yīng)用軟件，主要安全風(fēng)險點有：1．網(wǎng)絡(luò)行為審計，由于計算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計。從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。2．系統(tǒng)風(fēng)險評估管理，網(wǎng)絡(luò)中存在大量的服務(wù)器系統(tǒng)均存在著各種類型的漏洞，對服務(wù)器各項服務(wù)的安全配置顯得尤為重要，如果有一點疏忽也會直接造成信息系統(tǒng)被攻擊。3．WEB頁面防護(hù)，Web應(yīng)用的普及使得在平臺上中存在的Web服務(wù)器很容易成為黑客的攻擊目標(biāo)。被篡改的網(wǎng)頁將給業(yè)務(wù)系統(tǒng)帶來很大的安全隱患，造成信息丟失、泄露等安全事件。需要專業(yè)的主頁防篡改工具有效阻止主頁篡改事件的發(fā)生，維護(hù)Web頁面的安全。4．應(yīng)用安全管理，通過技術(shù)手段對應(yīng)用系統(tǒng)的狀況進(jìn)行全面監(jiān)控，全盤展現(xiàn)業(yè)務(wù)環(huán)境，實施全面主動監(jiān)控，進(jìn)行運行趨勢分析，及時發(fā)現(xiàn)存在的問題。（四）管理安全風(fēng)險分析由于廣東數(shù)據(jù)中心整體建設(shè)網(wǎng)絡(luò)覆蓋面廣，用戶眾多，技術(shù)人員水平不一，對安全設(shè)備與安全措施的使用與管理也存在著一定的風(fēng)險。例如，由于沒有正確地配置安全設(shè)備，導(dǎo)致某一安全區(qū)域內(nèi)的防護(hù)手段失效。同時，對于某一安全區(qū)域內(nèi)發(fā)生突發(fā)的安全事件，現(xiàn)有的安全管理手段很難迅速準(zhǔn)確對這種風(fēng)險進(jìn)行快速響應(yīng)，也無法快速定位威脅來源在哪里，因此也無法及時調(diào)整安全策略來應(yīng)對這樣的安全事件。三、安全保障體系的物理設(shè)計為保證信息資源、服務(wù)資源、信息系統(tǒng)、基礎(chǔ)設(shè)施和安全體系等各要素之間構(gòu)成一個有效的整體，方便信息的交換和共享，廣東數(shù)據(jù)中心在安全產(chǎn)品部署作出統(tǒng)一規(guī)劃，整體部署，基本滿足建立安全體系建設(shè)的硬件要求，詳細(xì)的安全設(shè)備部署位置和作用如下表:部署產(chǎn)品數(shù)量部署位置部署作用異常流量管理系統(tǒng)1套數(shù)據(jù)中心互聯(lián)網(wǎng)邊界最阻斷來自互聯(lián)網(wǎng)的流量型攻擊行為，保護(hù)WEB網(wǎng)站的可用性，保障正常的稅務(wù)業(yè)務(wù)流量。高性能防火墻2數(shù)據(jù)中心區(qū)接入邊界保護(hù)整個數(shù)據(jù)中心服務(wù)器節(jié)點，阻止各類非法應(yīng)用，建議采用多核處理技術(shù)架構(gòu)。安全隔離網(wǎng)閘2政務(wù)網(wǎng)接入邊界保護(hù)數(shù)據(jù)中心核心生產(chǎn)系統(tǒng)。IPS入侵防護(hù)系統(tǒng)2數(shù)據(jù)中心服務(wù)器接入?yún)^(qū)邊界實時監(jiān)控并阻斷針對數(shù)據(jù)中心內(nèi)網(wǎng)服務(wù)器安全域中各業(yè)務(wù)服務(wù)器的入侵行為，專機(jī)專用。AV防病毒網(wǎng)關(guān)2數(shù)據(jù)中心客戶機(jī)辦公區(qū)邊界、數(shù)據(jù)中心區(qū)在邊界集中進(jìn)行病毒過濾，防止病毒侵入或向外擴(kuò)散，與網(wǎng)絡(luò)防病毒組成多層次深度防御。網(wǎng)絡(luò)防病毒1套數(shù)據(jù)中心所有安全域終端、服務(wù)器。抑制來自外部或內(nèi)部的惡意病毒傳播，保持網(wǎng)絡(luò)清潔。與AV防病毒網(wǎng)關(guān)組成多層次深度防御。入侵檢測系統(tǒng)1數(shù)據(jù)中心核心交換機(jī)，并接方式實時監(jiān)測目標(biāo)網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)入侵行為并進(jìn)行報警和審計。SSLVPN網(wǎng)關(guān)1互聯(lián)網(wǎng)邊界防火墻旁路部署提供遠(yuǎn)程安全接入，與PKI/PMI結(jié)合使用漏洞掃描1數(shù)據(jù)中心，網(wǎng)絡(luò)可達(dá)各服務(wù)器即可提供工具對網(wǎng)絡(luò)平臺各類主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等進(jìn)行安全漏洞掃描，及時發(fā)現(xiàn)問題，通過解決方案。WEB防護(hù)網(wǎng)關(guān)1數(shù)據(jù)中心對外信息服務(wù)區(qū)WEB服務(wù)器實時監(jiān)控web網(wǎng)站的正常工作狀況，阻止對網(wǎng)站的各種攻擊行為。網(wǎng)頁防篡改1數(shù)據(jù)中心對外信息服務(wù)區(qū)WEB服務(wù)器實時監(jiān)控web頁面的正常工作狀況，發(fā)現(xiàn)篡改后及時進(jìn)行修復(fù)。應(yīng)用安全監(jiān)控1數(shù)據(jù)中心，網(wǎng)絡(luò)可達(dá)各服務(wù)器即可對應(yīng)用服務(wù)器、系統(tǒng)、數(shù)據(jù)庫進(jìn)行狀態(tài)監(jiān)測和監(jiān)控，實時發(fā)現(xiàn)故障并報警，快速定位故障點，為恢復(fù)環(huán)境提供依據(jù)。網(wǎng)絡(luò)安全審計1數(shù)據(jù)中心核心交換機(jī)，并接方式對省數(shù)據(jù)中心網(wǎng)絡(luò)行為監(jiān)控和審計，及時發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用異常行為。為集中安全管理提供監(jiān)控數(shù)據(jù)。數(shù)據(jù)庫審計2數(shù)據(jù)中心生產(chǎn)區(qū)對以上包含數(shù)據(jù)庫系統(tǒng)區(qū)域的用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全內(nèi)網(wǎng)安全管理1數(shù)據(jù)中心終端及服務(wù)器實現(xiàn)終端安全加固、網(wǎng)絡(luò)接入控制、非法外聯(lián)控制等終端防護(hù)。各服務(wù)器安裝補丁管理模塊進(jìn)行系統(tǒng)補丁分發(fā)。同時應(yīng)能夠與邊界網(wǎng)關(guān)產(chǎn)品進(jìn)行聯(lián)動，組成動態(tài)防御體系。PKI/PMI1安全應(yīng)用支撐服務(wù)區(qū)通過建設(shè)完善的CA系統(tǒng)實現(xiàn)對全網(wǎng)的用戶身份認(rèn)證，同時建設(shè)授權(quán)管理系統(tǒng)，與CA系統(tǒng)一起完成身份認(rèn)證與授權(quán)。安全管理平臺1數(shù)據(jù)中心系統(tǒng)管理區(qū)管理所有安全設(shè)備及部分網(wǎng)絡(luò)設(shè)備；對安全設(shè)備和部分網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理、狀態(tài)監(jiān)控、策略下發(fā)、集中審計。表1安全設(shè)備清單四、安全保障體系的業(yè)務(wù)設(shè)計

不斷完善和規(guī)范安全運維體系，是數(shù)據(jù)中心安全保障體系建設(shè)的業(yè)務(wù)基礎(chǔ)。廣東數(shù)據(jù)中心的安全運維服務(wù)模塊如下：

序號部署環(huán)境系統(tǒng)名稱所需要的運維服務(wù)模塊1稅務(wù)部門大型數(shù)據(jù)中心交換區(qū)業(yè)務(wù)系統(tǒng)安全掃描人工檢查安全加固日志分析補丁管理安全監(jiān)控安全通告應(yīng)急響應(yīng)2生產(chǎn)區(qū)業(yè)務(wù)系統(tǒng)3宏觀決策區(qū)業(yè)務(wù)系統(tǒng)4對外業(yè)務(wù)服務(wù)區(qū)承載的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)滲透測試代碼審計安全掃描人工檢查安全加固日志分析補丁管理安全監(jiān)控安全通告應(yīng)急響應(yīng)表2安全運維體系表（一）安全掃描，通過符合計算機(jī)信息系統(tǒng)安全的國家標(biāo)準(zhǔn)、相關(guān)行業(yè)標(biāo)準(zhǔn)設(shè)計、編寫、制造的安全掃描工具，分析有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測報告，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議。安全掃描過程中嚴(yán)格遵守以下原則：服務(wù)不能影響目標(biāo)系統(tǒng)所承載的業(yè)務(wù)運行；服務(wù)不能嚴(yán)重影響目標(biāo)系統(tǒng)的自身性能；操作時間選擇在系統(tǒng)業(yè)務(wù)量最小，業(yè)務(wù)臨時中斷對外影響最小的時候。（二）人工檢查，網(wǎng)絡(luò)安全管理人員登錄主機(jī)，網(wǎng)絡(luò)設(shè)備，根據(jù)檢查列表對可能存在的安全漏洞進(jìn)行逐項檢查，根據(jù)檢查結(jié)果提供詳細(xì)的漏洞描述和修補方案。人工檢查作為人工實施的安全評估手段可以彌補由于在放火墻策略等安全措施下，安全掃描無法發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患。通過網(wǎng)絡(luò)安全管理人員在主機(jī)、網(wǎng)絡(luò)等設(shè)備上的實際操作，更深程度地發(fā)現(xiàn)系統(tǒng)存在的問題及需要安全增強的脆弱點。（三）安全加固，對現(xiàn)有的各類網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等的安全狀況，進(jìn)行周期性的安全評估、審計、加固等工作，才能夠保障整體安全水平的持續(xù)提高。解決安裝、配置不符合安全需求；使用、維護(hù)不符合安全需求；系統(tǒng)完整性被破壞；被植入木馬程序；帳戶、口令策略問題；安全漏洞沒有及時修補；應(yīng)用服務(wù)和應(yīng)用程序濫用；安全加固服務(wù)手段有：基本安全配置檢測和優(yōu)化；密碼系統(tǒng)安全檢測和增強；賬號、口令策略調(diào)整；系統(tǒng)后門檢測；提供訪問控制策略和工具；增強遠(yuǎn)程維護(hù)的安全性；文件系統(tǒng)完整性審計；增強的系統(tǒng)日志分析；系統(tǒng)升級與補丁安裝；網(wǎng)絡(luò)與服務(wù)加固；文件系統(tǒng)權(quán)限增強；內(nèi)核安全參數(shù)調(diào)整；模擬黑客入侵對系統(tǒng)進(jìn)行滲透測試并予以加固。（四）風(fēng)險規(guī)避，為保證稅務(wù)部門數(shù)據(jù)中心外網(wǎng)業(yè)務(wù)系統(tǒng)的正常運行，加固過程中對終端用戶業(yè)務(wù)系統(tǒng)造成的異常情況降到最低點，對加固對象運行的操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行調(diào)研，制定合理的、復(fù)合系統(tǒng)特性的加固方案，并且加固方案應(yīng)通過可行性論證并得到具體的驗證，實施嚴(yán)格按照加固方案所確定內(nèi)容和步驟進(jìn)行，確保每一個操作步驟都對客戶在線系統(tǒng)沒有損害。另外，為防止在加固過程中出現(xiàn)異常情況對系統(tǒng)造成損害，保證業(yè)務(wù)系統(tǒng)在諸如此類的災(zāi)難發(fā)生后能及時的恢復(fù)與運轉(zhuǎn)，確?？蛻魳I(yè)務(wù)系統(tǒng)的正常運行或異常情況的發(fā)生降到最低點，采用以下幾點規(guī)避措施：1.模擬環(huán)境，客戶所提供的模擬環(huán)境，可以對加固方案進(jìn)行驗證，證明此次加固方案對客戶在線業(yè)務(wù)系統(tǒng)是沒有損害。模擬環(huán)境要求系統(tǒng)環(huán)境（操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)）與在線系統(tǒng)完全一樣，應(yīng)用系統(tǒng)也同在線系統(tǒng)版本相同，數(shù)據(jù)可以是最近一次的全備份；2.系統(tǒng)備份，采用全備份、增量備份、差分備份、文件系統(tǒng)備份等方式，系統(tǒng)備份的數(shù)據(jù)進(jìn)行有效驗證和妥善保管；3.系統(tǒng)恢復(fù)，恢復(fù)總是與一定類型的失效相對應(yīng)的。在系統(tǒng)加固過程中如果出現(xiàn)被加固系統(tǒng)沒有響應(yīng)的情況，安全顧問立即停止加固工作，與客戶配合工作人員一起分析情況，在確定原因后，由客戶或客戶系統(tǒng)提供商對系統(tǒng)進(jìn)行正確恢復(fù)。按照以下的步驟進(jìn)行恢復(fù)：記錄系統(tǒng)故障現(xiàn)象和信息，以備分析；根據(jù)客戶所采用的備份方式進(jìn)行系統(tǒng)恢復(fù)，保證系統(tǒng)最短時間內(nèi)恢復(fù)運行；恢復(fù)完畢后，配合客戶進(jìn)行重新備份并查找系統(tǒng)故障原因并記錄；如果遇到無法解決問題，雙方項目組工作人員共同協(xié)商解決；根據(jù)恢復(fù)類型和環(huán)境的不同，恢復(fù)所需的時間也各不相同。（五）日志分析，根據(jù)實際的安全要求，廣東數(shù)據(jù)中心將針對關(guān)鍵服務(wù)器、防火墻、路由器、交換機(jī)、應(yīng)用軟件、中間件產(chǎn)品等產(chǎn)品實行日志審計服務(wù)。廣東數(shù)據(jù)中心的網(wǎng)絡(luò)安全管理人員從應(yīng)用系統(tǒng)各結(jié)點獲得日志文件，采取人工+工具的分析分析方法，形成日志分析報告。該報告與定期評估結(jié)果、定期策略分析結(jié)果進(jìn)行綜合分析，找到當(dāng)前的系統(tǒng)及網(wǎng)絡(luò)設(shè)備中存在的問題和隱患，并給各部門提供專業(yè)的整改方案。日志分析服務(wù)遵循以下流程：1.日志服務(wù)器搭建。建立日志服務(wù)器，將路由器、交換機(jī)通過syslog協(xié)議，將Windows系統(tǒng)的日志通過eventlog的方式集中轉(zhuǎn)存到日志服務(wù)器上；2.分析日志。根據(jù)設(shè)備的具體情況，分析關(guān)鍵服務(wù)器、防火墻、路由器、交換機(jī)等設(shè)備的日志,采取人工加工具的審計分析方法對日志信息進(jìn)行綜合分析,找到當(dāng)前的系統(tǒng)及網(wǎng)絡(luò)設(shè)備中存在的隱患和被攻擊痕跡；3.生成報告。根據(jù)以上評估，生成具體的日志分析報告，廣東數(shù)據(jù)中心專家將會人工結(jié)合用戶網(wǎng)絡(luò)的構(gòu)成及業(yè)務(wù)流程等，為客戶量身定制出專業(yè)又極具可讀性的報告，并會針對報告中的各項問題，為客戶提供修補建議，使發(fā)現(xiàn)的問題能盡可能早的得到解決，避免引起更大范圍的影響和損失；4.其它支持。得到網(wǎng)絡(luò)安全管理人員提交的日志審計報告后，可以根據(jù)報告的內(nèi)容對系統(tǒng)進(jìn)行檢查和修補，在此過程中的各級主管部門的領(lǐng)導(dǎo)積極配合。數(shù)據(jù)中心日志分析服務(wù)的內(nèi)容主要包括：類型內(nèi)容方式網(wǎng)絡(luò)層網(wǎng)絡(luò)設(shè)備日志工具、手工主機(jī)層通用的windows和Unix系統(tǒng)日志，包括：應(yīng)用程序日志、系統(tǒng)日志、安全日志等。工具、手工應(yīng)用Web系統(tǒng)，包括：IIS、Apache；數(shù)據(jù)庫等工具、手工表3數(shù)據(jù)中心日志分析服務(wù)內(nèi)容表（六）補丁管理，伴隨著應(yīng)用軟件大小的不斷膨脹，潛在的BUG也不斷增加，只有時刻對出現(xiàn)的漏洞及時做出反應(yīng)才能夠有效地保護(hù)系統(tǒng)的有效性、保密性和完整性。廣東數(shù)據(jù)中心有專門的崗責(zé)人員負(fù)責(zé)補丁的部署和管理。（七）安全監(jiān)控，廣東數(shù)據(jù)中心安全監(jiān)控服務(wù)覆蓋網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用和中間件的安全和性能監(jiān)控，具體內(nèi)容如下：類型內(nèi)容監(jiān)控方式網(wǎng)絡(luò)層H3C路由器SNMP主機(jī)層Windows2000/XP/2003、Solaris、AIX、HP-UX、RedhatLinuxSNMP/專用數(shù)據(jù)收集代理數(shù)據(jù)庫Oracle、MSSQLServer、MysqlSNMP/專用數(shù)據(jù)收集代理應(yīng)用中間件WebLogic、WebSphere、Jboss/Tomcat、Apache、IISSNMP/專用數(shù)據(jù)收集代理表4安全監(jiān)控配置表（八）安全通告，對于網(wǎng)絡(luò)安全管理人員，特別是復(fù)雜網(wǎng)絡(luò)的管理人員，由于時間和工作關(guān)系，通常會遇到無法及時分類相關(guān)的安全報告，使得網(wǎng)絡(luò)中總或多或少的存在被忽視的安全漏洞。注重對最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，安全通告將以郵件、、巡檢等方式，將安全技術(shù)和安全信息及時傳送給各地市級稅務(wù)系統(tǒng)部門的信息中心。內(nèi)容包括：緊急安全事件通告；業(yè)界最新動態(tài)；國際、國內(nèi)以及行業(yè)安全政策及法律法規(guī)；廣東數(shù)據(jù)中心最新信息化建設(shè)動態(tài)；各種信息系統(tǒng)的漏洞信息；安全產(chǎn)品評測信息等。（九）應(yīng)急響應(yīng)，當(dāng)安全威脅事件發(fā)生后迅速采取的措施和行動，其目的是最快速恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和降低安全威脅事件帶來的嚴(yán)重性影響。應(yīng)急響應(yīng)將對網(wǎng)絡(luò)入侵、拒絕服務(wù)攻擊、大規(guī)模病毒爆發(fā)、主機(jī)或網(wǎng)絡(luò)異常事件等緊急安全問題提供強有力保障，控制事態(tài)發(fā)展；保護(hù)或恢復(fù)服務(wù)主機(jī)、網(wǎng)絡(luò)服務(wù)的正常工作；并且針對事件分析，找出應(yīng)用系統(tǒng)的安全漏洞，根據(jù)出現(xiàn)的問題及時調(diào)整安全策略，根據(jù)現(xiàn)場保留情況盡可能對入侵者進(jìn)行追查，確保在以后的維護(hù)中正確解決問題。緊急響應(yīng)服務(wù)種類包括入侵調(diào)查、異常響應(yīng)、緊急事件。應(yīng)急響應(yīng)的具體流程是：1、記錄系統(tǒng)安全事件，記錄事件的每一環(huán)節(jié)，包括事件的時間、地點。要打印拷貝、記錄拷貝時間、記錄對話內(nèi)容，并盡可能采用自動化的記錄方法；2、系統(tǒng)安全事件核實與判斷：(1)核實系統(tǒng)安全事件真實性；(2)判斷系統(tǒng)安全事件類型和范圍；(3)判斷系統(tǒng)安全事件危害性；(4)確定事件的威脅級別；3、系統(tǒng)安全事件現(xiàn)場處理方案選擇：(1)克制態(tài)度；(2)緊急消除；(3)緊急恢復(fù)；(4)切換；(5)監(jiān)視；(6)跟蹤；(7)查證輔助代碼開發(fā)；(8)報警；(9)權(quán)力機(jī)關(guān)的反擊；4、系統(tǒng)安全事件處理服務(wù)和過程，系統(tǒng)安全事件處理過程本身需要工具，需要專門處理安全事件的服務(wù)和過程。這些過程包括：拷貝過程、監(jiān)視過程、跟蹤過程、報警過程、通報過程、對話過程、消除過程、恢復(fù)過程和其它過程等；5、系統(tǒng)安全事件后處理，包括事件后消除、彌補系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、服務(wù)和過程。附件3網(wǎng)絡(luò)信息安全保障體系建設(shè)方案目錄網(wǎng)絡(luò)信息安全保障體系建設(shè)方案 11、建立完善安全管理體系 11.1成立安全保障機(jī)構(gòu) 12、可靠性保證 22.1操作系統(tǒng)的安全 32.2系統(tǒng)架構(gòu)的安全 32.3設(shè)備安全 42.4網(wǎng)絡(luò)安全 42.5物理安全 52.6網(wǎng)絡(luò)設(shè)備安全加固 52.7網(wǎng)絡(luò)安全邊界保護(hù) 62.8拒絕服務(wù)攻擊防范 62.9信源安全/組播路由安全 7網(wǎng)絡(luò)信息安全保障體系建設(shè)方案1、建立完善安全管理體系1.1成立安全保障機(jī)構(gòu)山東聯(lián)通以及萊蕪聯(lián)通均成立以總經(jīng)理為首的安全管理委員會，以及分管副總經(jīng)理為組長的網(wǎng)絡(luò)運行維護(hù)部、電視寬帶支撐中心、網(wǎng)絡(luò)維護(hù)中心等相關(guān)部門為成員的互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急小組，負(fù)責(zé)全省網(wǎng)絡(luò)信息安全的總體管理工作.山東聯(lián)通以及萊蕪聯(lián)通兩個層面都建立了完善的內(nèi)部安全保障工作制度和互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，通過管理考核機(jī)制,嚴(yán)格執(zhí)行網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn),接受管理部門的監(jiān)督檢查.同時針對三網(wǎng)融合對網(wǎng)絡(luò)信息安全的特殊要求,已將IPTV等寬帶增值業(yè)務(wù)的安全保障工作納入到統(tǒng)一的制度、考核及應(yīng)急預(yù)案當(dāng)中。內(nèi)容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術(shù)保障體系，域名信息登記管理制度IP地址溯源和上網(wǎng)日志留存等.并將根據(jù)國家規(guī)范要求，對三網(wǎng)融合下防黑客攻擊、防信息篡改、防節(jié)目插播、防網(wǎng)絡(luò)癱瘓技術(shù)方案進(jìn)行建立和完善.2、可靠性保證IPTV是電信級業(yè)務(wù)，對承載網(wǎng)可靠性有很高的要求。可靠性分為設(shè)備級別的可靠性和網(wǎng)絡(luò)級別的可靠性。（1)設(shè)備級可靠性核心設(shè)備需要99.999％的高可靠性，對關(guān)鍵網(wǎng)絡(luò)節(jié)點，需要采用雙機(jī)冗余備份。此外還需要支持不間斷電源系統(tǒng)(含電池、油機(jī)系統(tǒng))以保證核心設(shè)備24小時無間斷運行。（2）網(wǎng)絡(luò)級可靠性關(guān)鍵節(jié)點采用冗余備份和雙鏈路備份以提供高可靠性.網(wǎng)絡(luò)可靠性包括以下幾方面:接入層：接入層交換機(jī)主要利用STP/RSTP協(xié)議在OSI二層實現(xiàn)網(wǎng)絡(luò)收斂自愈。匯聚層:在OSI第三層上使用雙機(jī)VRRP備份保護(hù)機(jī)制，使用BFD、EthernetOAM、MPlSOAM來對鏈路故障進(jìn)行探測，然后通過使用快速路由協(xié)議收斂來完成鏈路快速切換。核心層：在P設(shè)備（Core設(shè)備和CR設(shè)備)上建立全連接LDPoverTE。TE的數(shù)量在200以下。組播業(yè)務(wù)保護(hù)：主要基于IS-IS協(xié)議對組播業(yè)務(wù)采取快速收斂保護(hù)，對組播分發(fā)進(jìn)行冗余保護(hù)和負(fù)載分擔(dān).2。1操作系統(tǒng)的安全在操作系統(tǒng)級別上，其安全需求主要表現(xiàn)在防止非法用戶入侵、防病毒、防止數(shù)據(jù)丟失等。防止非法用戶入侵:系統(tǒng)設(shè)置防火墻，將所有需要保護(hù)的主機(jī)設(shè)置在防火墻內(nèi)部，物理上防止惡意用戶發(fā)起的非法攻擊和侵入。為業(yè)務(wù)管理人員建立起身份識別的機(jī)制，不同級別的業(yè)務(wù)管理人員，擁有不同級別的對象和數(shù)據(jù)訪問權(quán)限。防病毒：部署防病毒軟件，及時更新系統(tǒng)補丁。數(shù)據(jù)安全：建立數(shù)據(jù)安全傳輸體系，系統(tǒng)具備完善的日志功能,登記所有對系統(tǒng)的訪問記錄。建立安全的數(shù)據(jù)備份策略,有效地保障系統(tǒng)數(shù)據(jù)的安全性.2。2系統(tǒng)架構(gòu)的安全I(xiàn)PTV運營管理平臺具備雙機(jī)熱備份功能，業(yè)務(wù)處理機(jī)、EPG服務(wù)器、接口機(jī)都支持主備功能.存儲系統(tǒng)能夠支持磁盤RAID模式,利用RAID5技術(shù)防止硬盤出現(xiàn)故障時數(shù)據(jù)的安全。支持HA（HighAvailability）模式，實現(xiàn)系統(tǒng)的熱備份，在主用系統(tǒng)故障時能夠自動切換到備用系統(tǒng)，可提供流媒體服務(wù)器多種單元的冗余備份。支持用戶通過手工備份功能。并且備份數(shù)據(jù)可保存到外部設(shè)備中。同時,設(shè)備可通過分布式部署，保證系統(tǒng)的安全。EPG服務(wù)器、VDN調(diào)度單元、網(wǎng)管均支持分布式處理.2.3設(shè)備安全核心系統(tǒng)（服務(wù)器硬件、系統(tǒng)軟件、應(yīng)用軟件)能在常溫下每周7×24小時連續(xù)不間斷工作，穩(wěn)定性高,故障率低,系統(tǒng)可用率大于99。9％。具備油機(jī)不間斷供電系統(tǒng)，以保證設(shè)備運行不受市電中斷的影響。服務(wù)器平均無故障時間（MTBF)大于5,000小時，小型機(jī)平均無故障時間（MTBF）大于10,000小時，所有主機(jī)硬件三年內(nèi)故障修復(fù)時間不超過30個小時。2.4網(wǎng)絡(luò)安全I(xiàn)PTV業(yè)務(wù)承載網(wǎng)絡(luò)直接與internet等網(wǎng)絡(luò)互聯(lián)，作為IP網(wǎng)絡(luò)也面臨各種網(wǎng)絡(luò)安全風(fēng)險，包括網(wǎng)絡(luò)設(shè)備入侵、拒絕服務(wù)攻擊、路由欺騙、QOS服務(wù)破壞以及對網(wǎng)絡(luò)管理、控制協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊等，故IPTV承載網(wǎng)絡(luò)的安全建設(shè)實現(xiàn)方式應(yīng)包括物理安全、網(wǎng)絡(luò)設(shè)備的安全加固、網(wǎng)絡(luò)邊界安全訪問控制等內(nèi)容。2.5物理安全包括IPTV承載網(wǎng)絡(luò)通信線路、物理設(shè)備的安全及機(jī)房的安全。網(wǎng)絡(luò)物理層的安全主要體現(xiàn)在通信線路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份和容災(zāi)能力,不間斷電源保障等。2.6網(wǎng)絡(luò)設(shè)備安全加固作為IP承載網(wǎng)，首先必須加強對網(wǎng)絡(luò)設(shè)備的安全配置,即對網(wǎng)絡(luò)設(shè)備的安全加固,主要包括口令管理、服務(wù)管理、交互式訪問控制等措施。口令的安全管理,所有網(wǎng)絡(luò)設(shè)備的口令需要滿足一定的復(fù)雜性要求;對設(shè)備口令在本地的存儲，應(yīng)采用系統(tǒng)支持的強加密方式；在口令的配置策略上，所有網(wǎng)絡(luò)設(shè)備口令不得相同，口令必須定時更新等；在口令的安全管理上,為了適應(yīng)網(wǎng)絡(luò)設(shè)備的規(guī)?；?，必須實施相應(yīng)的用戶授權(quán)及集中認(rèn)證單點登錄等機(jī)制,不得存在測試賬戶、口令現(xiàn)象。服務(wù)管理,在網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)服務(wù)配置方面，必須遵循最小化服務(wù)原則,關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的所有服務(wù)，避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在的安全漏洞增加網(wǎng)絡(luò)的安全風(fēng)險。對于必須開啟的網(wǎng)絡(luò)服務(wù)，必須通過訪問控制列表等手段限制遠(yuǎn)程主機(jī)地址。在邊緣路由器應(yīng)當(dāng)關(guān)閉某些會引起網(wǎng)絡(luò)安全風(fēng)險的協(xié)議或服務(wù)，如ARP代理、CISCO的CDP協(xié)議等?？刂平换ナ皆L問，網(wǎng)絡(luò)設(shè)備的交互式訪問包括本地的控制臺訪問及遠(yuǎn)程的VTY終端訪問等。網(wǎng)絡(luò)設(shè)備的交互式訪問安全措施包括:加強本地控制臺的物理安全性，限制遠(yuǎn)程VTY終端的IP地址;控制banner信息，不得泄露任何相關(guān)信息;遠(yuǎn)程登錄必須通過加密方式,禁止反向telnet等.2。7網(wǎng)絡(luò)安全邊界保護(hù)網(wǎng)絡(luò)安全邊界保護(hù)的主要手段是通過防火墻或路由器對不同網(wǎng)絡(luò)系統(tǒng)之間實施相應(yīng)的安全訪問控制策略，在保證業(yè)務(wù)正常訪問的前提下從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)系統(tǒng)的安全性.IPTV承載網(wǎng)絡(luò)邊界保護(hù)措施主要包括以下兩點:通過路由過濾或ACL的方式隱藏IPTV承載網(wǎng)路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址，減少來自Internet或其它不可信網(wǎng)絡(luò)的安全風(fēng)險。在IPTV承載網(wǎng)絡(luò)邊緣路由器與其它不可信網(wǎng)絡(luò)出口過濾所有的不需要的網(wǎng)絡(luò)管理、控制協(xié)議，包括HSRP、SNMP等。2。8拒絕服務(wù)攻擊防范拒絕服務(wù)攻擊對IPTV承載網(wǎng)絡(luò)的主要影響有：占用IPTV承載網(wǎng)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)性能的下降；消耗網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)設(shè)備或系統(tǒng)無法正常提供服務(wù)等。建議IPTV承載網(wǎng)絡(luò)采取以下措施實現(xiàn)拒絕服務(wù)攻擊的防范：實現(xiàn)網(wǎng)絡(luò)的源IP地址過濾，在IPTV承載網(wǎng)接入路由器對其進(jìn)行源IP地址的檢查。關(guān)閉網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)可能被利用進(jìn)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)服務(wù)端口及其它網(wǎng)絡(luò)功能,如echo、chargen服務(wù)，網(wǎng)絡(luò)設(shè)備的子網(wǎng)直接廣播功能等。通過建立網(wǎng)絡(luò)安全管理系統(tǒng)平臺實現(xiàn)對拒絕服務(wù)攻擊的分析、預(yù)警功能，從全局的角度實現(xiàn)對拒絕服務(wù)攻擊的監(jiān)測，做到早發(fā)現(xiàn)、早隔離。下圖給出了IPTV承載網(wǎng)安全建設(shè)實現(xiàn)方式圖.2。9信源安全/組播路由安全盡管組播技術(shù)具備開展新業(yè)務(wù)的許多優(yōu)勢,并且協(xié)議日趨完善，但開展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播源安全和組播流量擴(kuò)散安全性的問題.組播源管理:在組播流進(jìn)入骨干網(wǎng)絡(luò)前,組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分合法和非法媒體服務(wù)器,可以在RP上對組播源的合法性進(jìn)行檢查,如果發(fā)現(xiàn)來自未經(jīng)授權(quán)的組播源的注冊報文，可以拒絕接收發(fā)送過來的單播注冊報文,因此下游用戶就可以避免接收到非法的組播節(jié)目。為防止非法用戶將組播源接入到組播網(wǎng)絡(luò)中，可以在邊緣設(shè)備上配置組播源組過濾策略，只有屬于合法范圍的組播源的數(shù)據(jù)才進(jìn)行處理。這樣既可以對組播報文的組地址進(jìn)行過濾，也可以對組播報文的源組地址進(jìn)行過濾。組播流量擴(kuò)散安全性：在標(biāo)準(zhǔn)的組播中，接收者可以加入任意的組播組，也就是說，組播樹的分枝是不可控的,信源不了解組播樹的范圍與方向，安全性較低.為了實現(xiàn)對一些重要信息的保護(hù),需要控制其擴(kuò)散范圍，靜態(tài)組播樹方案就是為了滿足此需求而提出的.靜態(tài)組播樹將組播樹事先配置，控制組播樹的范圍與方向，不接收其他動態(tài)的組播成員的加入，這樣能使組播信源的報文在規(guī)定的范圍內(nèi)擴(kuò)散。在網(wǎng)絡(luò)中,組播節(jié)目可能只需要一定直徑范圍內(nèi)的用戶接收，可以在路由器上對轉(zhuǎn)發(fā)的組播報文的TTL數(shù)進(jìn)行檢查，只對大于所配置的TTL閾值的組播報文進(jìn)行轉(zhuǎn)發(fā),因此可以限制組播報文擴(kuò)散到未經(jīng)授權(quán)的范圍。組播用戶的管理：原有標(biāo)準(zhǔn)的組播協(xié)議沒有考慮用戶管理的問題,但從目前組播應(yīng)用的情況來看，在很多的組播業(yè)務(wù)運營中，組播用戶的管理仍未得到很好的解決。在IPTV業(yè)務(wù)中，直播業(yè)務(wù)作為十分重要的業(yè)務(wù)，對用戶進(jìn)行控制管理是必不可少的.對組播用戶的管理就是對經(jīng)過授權(quán)的組播用戶控制其對組播業(yè)務(wù)的接入，控制用戶哪些組播頻道可以觀看，哪些頻道不可以觀看。通過在DSLAM/LAN交換機(jī)用戶側(cè)對組播組進(jìn)行控制，防止惡意用戶的非法組播流攻擊網(wǎng)絡(luò)。質(zhì)量及安全保障體系單位對項目的質(zhì)量、安全、環(huán)境管理制度及保證體系的認(rèn)證情況。（一）質(zhì)量管理體系我公司具有嚴(yán)格的工作程序和管理體系.公司的產(chǎn)品為巖土工程勘察、巖土工程施工、各類地基與基礎(chǔ)施工、水文地質(zhì)、地質(zhì)災(zāi)害防治、工程測量、工程物探、土工試驗、科研開發(fā)和技術(shù)咨詢等。其特點為產(chǎn)品的固定性、產(chǎn)品的多樣性、產(chǎn)品的生產(chǎn)協(xié)調(diào)性和經(jīng)濟(jì)要求等。公司圍繞上述產(chǎn)品特點通過識別過程和因素建立質(zhì)量/環(huán)境/職業(yè)健康安全管理體系。為搞好該項工程的勘察工作，確?？辈熨|(zhì)量，根據(jù)我公司質(zhì)量保證體系制訂如下措施：全面實行項目化管理：嚴(yán)格按照質(zhì)量體系的要求運作,按照合同、勘查任務(wù)書及規(guī)范要求，編制詳細(xì)的勘查實施大綱，明確每一道工序的質(zhì)量計劃、質(zhì)量目標(biāo)和質(zhì)量責(zé)任。實行施工監(jiān)察制度:首先必須保證第一手資料的真實準(zhǔn)確。為此成立質(zhì)檢組，由項目經(jīng)理、技術(shù)負(fù)責(zé)人全面負(fù)責(zé)，質(zhì)檢員分工負(fù)責(zé)各組的質(zhì)量監(jiān)控工作。質(zhì)檢人員必須常駐工地，隨時跟蹤檢查質(zhì)量目標(biāo)完成情況，發(fā)現(xiàn)問題及時報告、及時整改，質(zhì)量監(jiān)控工作貫穿于項目施工全過程。實行工程質(zhì)量一票否決制：對沒按計劃書有關(guān)規(guī)定和要求施工的，堅決返工，并給予當(dāng)事人經(jīng)濟(jì)處罰。及時向業(yè)主委派的現(xiàn)場工程師匯報施工情況，協(xié)商處理出現(xiàn)的問題。嚴(yán)格資料驗收簽字程序:資料交接必須手續(xù)完善，嚴(yán)把驗收簽字關(guān)。各道工序必須有質(zhì)檢員、項目工程師驗收簽字，經(jīng)技術(shù)負(fù)責(zé)人簽署質(zhì)量評定合格意見后才能進(jìn)入下道工序。認(rèn)真做好資料的匯總、分析和評價：在準(zhǔn)確搜集野外測繪、物探、鉆探資料的基礎(chǔ)上，擬訂內(nèi)業(yè)資料整理計劃,采用專業(yè)軟件進(jìn)行數(shù)據(jù)處理和匯總分析，使資料圖件美觀、數(shù)據(jù)準(zhǔn)確。由技術(shù)負(fù)責(zé)人進(jìn)行資料的綜合分析和評價，由技術(shù)顧問進(jìn)行技術(shù)把關(guān),最后聘請專家組對勘查報告進(jìn)行評審，確保成果資料結(jié)論正確、評價科學(xué)、建議合理，滿足業(yè)主的要求.為此，還需：①全體作業(yè)人員必須牢固樹立“質(zhì)量就是生命"的觀念，全面貫徹質(zhì)量方針，嚴(yán)格實行質(zhì)量工作責(zé)任制和終身負(fù)責(zé)制.充分利用鄰近已有勘察資料,認(rèn)真吃透設(shè)計意圖,對工程地質(zhì)復(fù)雜地段、特殊地段進(jìn)行重點勘察，提出評價及處理方案,滿足設(shè)計提出的要求。②認(rèn)真貫徹實施ISO9001系列標(biāo)準(zhǔn)的有關(guān)內(nèi)容，做好勘查、施工過程控制和質(zhì)量記錄，努力提高勘查、施工工程質(zhì)量，為設(shè)計提供合格產(chǎn)品。做到事前指導(dǎo)、中間檢查、事后驗收，嚴(yán)格按國家有關(guān)強制性規(guī)范條文、施工作業(yè)任務(wù)書、質(zhì)量管理系列標(biāo)準(zhǔn)程序施工，確保野外工作質(zhì)量.同時加強審核檢查工作，保證每道工序的產(chǎn)品質(zhì)量滿足要求，不允許不合格產(chǎn)品進(jìn)入下道工序。③對軟土采用回旋薄壁取土器采樣，對于中細(xì)、粉砂采用原狀取砂器采樣，以正確評價各土層的物理力學(xué)指標(biāo)。④嚴(yán)格執(zhí)行《建筑邊坡工程技術(shù)規(guī)范》（GB50330—2002）《崩塌、滑坡、泥石流監(jiān)測規(guī)范》DZ/T0221—2006）等一系列與本工程有關(guān)的技術(shù)規(guī)范、規(guī)程和標(biāo)準(zhǔn).施工質(zhì)量要求達(dá)到優(yōu)良標(biāo)準(zhǔn)。設(shè)立現(xiàn)場項目部,工程技術(shù)負(fù)責(zé)人和審核人駐守現(xiàn)場，及時解決野外工作中存在的問題.樹立野外作業(yè)和第一手資料是控制產(chǎn)品質(zhì)量重要環(huán)節(jié)的思想，做到原始資料記錄清晰、準(zhǔn)確、詳細(xì)，且必須由專人記錄，工程技術(shù)負(fù)責(zé)人現(xiàn)場編錄、檢查驗收。⑤嚴(yán)格執(zhí)行質(zhì)保體系中有關(guān)質(zhì)量控制標(biāo)準(zhǔn)，半成品和成品資料須達(dá)到優(yōu)良，方能提交。接受設(shè)計單位、監(jiān)理單位在勘察全過程中的隨時檢查及監(jiān)督，及時按要求進(jìn)行改進(jìn)。（二）質(zhì)量保證措施項目部及崗位責(zé)任制我公司在施工質(zhì)量管理方面積累了豐富的技術(shù)及管理經(jīng)驗。本次勘察、施工我公司將成立專門的項目組織機(jī)構(gòu)，配備足夠的管理、技術(shù)和施工人員，滿足本次施工工程質(zhì)量要求。首先做好施工前的準(zhǔn)備工作，制定切實可行的管理制度及安全高效的技術(shù)方案，以保證本工程勘察順利實施。設(shè)立的項目部中各成員建立崗位責(zé)任制:項目負(fù)責(zé)人：由我公司高級工程師擔(dān)任，經(jīng)驗豐富，負(fù)責(zé)與工程各方協(xié)調(diào)、溝通，并對最終成果報告進(jìn)行審定,確保本工程的質(zhì)量目標(biāo)實現(xiàn)。項目技術(shù)負(fù)責(zé)人：負(fù)責(zé)本工程施工過程的技術(shù)指導(dǎo)及質(zhì)量控制，就本工程有關(guān)技術(shù)事務(wù)與業(yè)主、設(shè)計和監(jiān)理進(jìn)行協(xié)商,負(fù)責(zé)落實技術(shù)質(zhì)量管理措施和標(biāo)準(zhǔn)；處理重大技術(shù)問題和工程質(zhì)量事故，負(fù)責(zé)對技術(shù)方案和最終成果報告的復(fù)審。專業(yè)負(fù)責(zé)人：負(fù)責(zé)本工程現(xiàn)場施工指導(dǎo)、協(xié)調(diào)工作,負(fù)責(zé)本工程施工質(zhì)量的監(jiān)督、落實。審核人:對本專業(yè)技術(shù)質(zhì)量進(jìn)行指導(dǎo)和監(jiān)督，負(fù)責(zé)組織技術(shù)交底,對專業(yè)項目的質(zhì)量負(fù)直接管理責(zé)任，負(fù)責(zé)對技術(shù)方案和最終成果報告的審核.技術(shù)人員：負(fù)責(zé)現(xiàn)場技術(shù)指導(dǎo)和技術(shù)方案的落實，對專業(yè)的質(zhì)量進(jìn)行監(jiān)督和控制。并在施工中進(jìn)行指導(dǎo)和監(jiān)督。質(zhì)量負(fù)責(zé):負(fù)責(zé)專業(yè)工序各個環(huán)節(jié)的的質(zhì)量監(jiān)督、檢查和驗收工作。技術(shù)部接到《施工任務(wù)委托書》和（或）《工程任務(wù)書》后，按顧客要求、工期要求和施工項目的等級、規(guī)模成立項目組，安排項目負(fù)責(zé)人、技術(shù)負(fù)責(zé)人。工程部接到項目負(fù)責(zé)人發(fā)送的《工程施工任務(wù)單》及《施工綱要》后,安排施工負(fù)責(zé)人，并配備足夠的施工人員。準(zhǔn)備工作①設(shè)備、儀器的準(zhǔn)備工程部根據(jù)《施工綱要》、《施工任務(wù)書》中對本工程的技術(shù)要求及工程量配置足夠性能完好的設(shè)備儀器及材料。儀器設(shè)備進(jìn)場前操作人員必須對擬使用的機(jī)械設(shè)備和儀器進(jìn)行檢查、測試,對有故障或性能安全不穩(wěn)定的儀器設(shè)備及時維修或更換,保證設(shè)備的完好和測試準(zhǔn)確度.②技術(shù)方案的準(zhǔn)備本項目工程施工工作實施前，先要根據(jù)本工程的施工任務(wù)、目的和要求以及要達(dá)到預(yù)期的質(zhì)量目標(biāo)編制施工綱要。項目負(fù)責(zé)人根據(jù)項目的實際情況，中、小型項目編制《施工任務(wù)書》或《施工技術(shù)要求》先交審核人審核，再交主任工程師審批后執(zhí)行。大型重點項目按作業(yè)指導(dǎo)書《施工綱要編制要求》組織編制《施工綱要》或《施工方案》，先交審核人審核，主任工程師復(fù)審,再交總工程師審批后執(zhí)行。項目負(fù)責(zé)人在編制施工綱要過程中，應(yīng)根據(jù)本工程的特點和重點,找出每工序及每一施工階段質(zhì)量管理關(guān)鍵點，提出該項目的特殊過程和該過程質(zhì)量保證措施，對質(zhì)量計劃會審重點為施工工作量和方法是否能滿足施工要求，施工過程中的質(zhì)量保證措施是否可行，能否保證質(zhì)量目標(biāo)的實現(xiàn)。同時施工綱要報業(yè)主或其代表審批后實施.同時，主任工程師或?qū)徍巳嗽趯徟┕ぞV要后向項目組主要成員進(jìn)行技術(shù)交底。項目負(fù)責(zé)人將《施工綱要》或《施工任務(wù)書》等及時交給有關(guān)作業(yè)人員，項目負(fù)責(zé)人在項目正式開工前召開開工準(zhǔn)備會（此會可以與工程例會合并進(jìn)行)向項目全體人員進(jìn)行技術(shù)/質(zhì)量/環(huán)境/安全交底,進(jìn)行必要的環(huán)境/職業(yè)健康安全意識教育，并保留交底記錄，讓每位參與本工程施工的工程技術(shù)人員、施工作業(yè)人員做到每一工序目的明確。（三)施工過程質(zhì)量控制（1)野外施工過程質(zhì)量控制措施①鉆探質(zhì)量控制首先施工位置按施工布置圖坐標(biāo)由測量隊用全站儀進(jìn)行測放，經(jīng)校核無誤并經(jīng)業(yè)主或其代表確認(rèn)無誤后,方可吊入合適的機(jī)械設(shè)備,并按有關(guān)要求進(jìn)行安裝,并嚴(yán)格按鉆探操作進(jìn)行施工。按照《施工綱要》或《施工任務(wù)書》要求，施工人員應(yīng)根據(jù)場地地層選擇合適的鉆探方法及鉆具，嚴(yán)格控制回次進(jìn)尺,保證巖芯采取率滿足規(guī)范要求，并將巖芯按要求裝箱和填寫巖芯標(biāo)示牌，終孔前呈報工程技術(shù)負(fù)責(zé)并經(jīng)呈報監(jiān)理驗收合格后，方可移位.每個勘探孔的工作內(nèi)容均以任務(wù)書技術(shù)要求為準(zhǔn)，情況有變及時與技術(shù)負(fù)責(zé)人聯(lián)系。鉆探過程中嚴(yán)格執(zhí)行鉆探技術(shù)要求：采用回轉(zhuǎn)鉆進(jìn)。在巖石中鉆進(jìn)時，使用金剛石鉆頭或鎢碳合金鉆頭.勘探技術(shù)鉆孔的鉆探采用泥漿護(hù)壁進(jìn)行鉆進(jìn)，水文鉆孔采用清水鉆進(jìn)，套管護(hù)壁。土層及基巖風(fēng)化帶及斷層破碎帶采用干鉆。覆蓋層和全、強風(fēng)化層采用跟管鉆進(jìn)、套管護(hù)壁。斷層破碎帶采用雙管單動巖芯管鉆探。鉆探過程中，機(jī)組必須滿足現(xiàn)場技術(shù)負(fù)責(zé)及業(yè)主或監(jiān)理工程師對鉆探工作的特殊要求，如巖芯采取率,單個回次進(jìn)尺等。②鉆具規(guī)格：本次鉆探，將根據(jù)鉆探深度和地層類型選擇鉆探設(shè)備。普通地層，采用130mm外徑的套管，泥漿（或清水)護(hù)壁，鉆探傾斜度不超過2％:松散易碎的地層，采用套管護(hù)壁鉆進(jìn)，以保證鉆探和取樣的質(zhì)量：巖石地層，采用91mm外徑。③巖芯采取率：從巖芯管內(nèi)獲取巖芯時，鉆具不得提吊過高,以防巖芯掉出后層次混亂或摔斷巖芯.下鉆時,必須清理巖芯管內(nèi)的殘存巖芯以及下鉆時孔壁刮帶至孔底的巖(土），以免造成下回次巖芯誤記。及時查清孔內(nèi)脫落或殘留的巖芯數(shù)量，以此推算巖芯的實際層位和長度，準(zhǔn)確計算巖芯采取率(RQD）。不易取出巖芯的地層,保留巖粉或破碎樣品。鉆取的巖芯按先后順序在巖芯箱中擺放、排列整齊，按回次填寫巖芯簽,寫明回次編號、巖芯名稱和取樣深度，放在相應(yīng)的巖芯位置,保證巖芯鑒別與描述的準(zhǔn)確；巖芯采取率是保證鉆探工作質(zhì)量的一項重要指標(biāo)，為保證巖芯采取率,鉆探時將采取如下措施：Ⅰ粘性土、土狀強風(fēng)化巖不小于90%；砂土≥65％；破碎帶、塊狀強風(fēng)化巖、中等風(fēng)化巖≥65%、微風(fēng)化巖≥80%。Ⅱ鉆具配套齊全，根據(jù)不同的地層選擇適用鉆具及鉆探工藝.必要時，對取芯困難的地層及需重點查明的部位,采用雙管單動工藝.Ⅲ每個鉆探回次進(jìn)尺不超過2m，同時也不超過巖芯管的長度。Ⅳ根據(jù)地層情況控制泥漿的循環(huán)、調(diào)整泥漿比重，正確選擇泥漿在孔底取芯處的循環(huán)方式。④現(xiàn)場日志和現(xiàn)場鉆孔記錄Ⅰ現(xiàn)場日志:為了綜合分析鉆探情況,提高施工管理水平，技術(shù)負(fù)責(zé)須每天認(rèn)真填寫野外施工日志，其內(nèi)容包括:施工日期、技術(shù)人員動態(tài)、施鉆人員動態(tài)、鉆孔機(jī)械狀況、材料配備和使用情況、生產(chǎn)進(jìn)度(含完成工作量、鉆孔深度、標(biāo)準(zhǔn)貫入試驗擊數(shù)、取巖、土、水樣個數(shù)等)和其它問題。技術(shù)負(fù)責(zé)填寫好的工程日志交審核人檢查簽名認(rèn)可，該工程完工后,所有工程日志要立卷、歸檔。Ⅱ鉆孔記錄：回次芯樣必須按順序排列裝箱編號。鉆機(jī)班長必須按每回次進(jìn)尺記錄，填寫鉆探班報表，記錄內(nèi)容如下：回次進(jìn)尺的起始深度、回次厚度、收芯長度、累積孔深、取土樣號、取土深度、初始水位、穩(wěn)定水位、原位測試的深度和細(xì)節(jié)、RQD百分比、裂隙指數(shù)、完整巖芯采取率,每個地層的基本地質(zhì)描述等。Ⅲ巖芯編錄和描述:所有巖芯和樣品描述均按相關(guān)規(guī)范執(zhí)行。⑤終孔驗收和封孔：鉆孔達(dá)到預(yù)定深度后,由技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)及業(yè)主或監(jiān)理核實孔深，終孔深度誤差不超過20cm。驗收后，各方代表簽字認(rèn)可后方可終孔。終孔后,所有沒有安裝任何設(shè)施的鉆孔進(jìn)行封孔。⑥取樣工作質(zhì)量保證措施對于不同的巖土層，其取樣工具、方法等按《巖土工程勘察規(guī)范》（GB50021-2001)的相關(guān)取樣要求、規(guī)定執(zhí)行。①取土樣：根據(jù)地層特征、取樣深度、設(shè)備條件和試驗項目的不同，合理選擇取土器類型.取土器下入前，技術(shù)負(fù)責(zé)應(yīng)嚴(yán)格檢查密封球閥或活閥是否失靈，出水孔是否暢通，土樣筒與半合管是否吻合及有無變形等。取土器由孔內(nèi)提出后,應(yīng)用專用工具擰卸，嚴(yán)禁用管鉗，以免夾壞取土器,使土樣變形擾動。打入深度一般不大于30cm，壓入長度不大于取土器的長度。②取巖樣:應(yīng)保證不同巖性及不同風(fēng)化程度的巖石均有樣品,并滿足相關(guān)試驗數(shù)據(jù)的統(tǒng)計要求。取巖樣時，一般用有內(nèi)層包裝的濕紙包好，再用塑料透明膠布纏住,用標(biāo)簽注明巖樣的名稱、長度。采取的巖樣尺寸應(yīng)滿足試塊加工的要求。③樣品封裝：土樣筒取出后，必須立即用干棉紗擦凈，不得進(jìn)水和松開,用刀將土樣兩端削平并蓋上土樣蓋，土樣妥善密封(封蠟），防止?jié)穸茸兓?，并避免暴曬，貼好標(biāo)簽,標(biāo)明上下，放入土樣箱內(nèi),及時送往試驗室。④地下水樣：地下水樣應(yīng)經(jīng)不同的地貌單元和含水層中采取.取水容器事先要清洗干凈，取樣前應(yīng)用試樣的水對水樣瓶反復(fù)沖洗三次。采取水樣時應(yīng)將水樣瓶沉入水中預(yù)定深度緩慢將水注入瓶內(nèi)，嚴(yán)防雜物混入，水面與瓶口要留1cm左右的空隙.按勘察技術(shù)要求分析項目取水樣，水樣采取后,要立即用蠟或火漆封口，貼好水樣標(biāo)簽及時送試驗室。⑤巖芯和樣品的拍攝：每個鉆孔的巖芯在施工完畢之后，都用數(shù)碼相機(jī)對巖芯進(jìn)行現(xiàn)場拍攝，以便電腦存儲.拍攝之前對巖芯加濕，相片中整合巖芯的有關(guān)信息，方便讀取，照片中巖芯和樣品應(yīng)占滿整個圖面，不可出現(xiàn)缺漏。⑥樣品、巖芯的存儲和運輸：所有樣品和巖芯將包裝好再以人力進(jìn)行搬運，運輸土樣宜采用平衡而顛簸較小的車輛，避免強烈震動和急劇溫