准入控制论文(精选12篇)
准入控制论文 篇1
0 引言
近20 年来,信息网络技术发展迅速,在各行各业得到了广泛应用,不仅提高了工作效率,而且方便了日常生活,在推动社会进步和国民经济发展等方面发挥着极为重要的作用。但与此同时,也带来了诸多的信息网络安全问题和压力[1,2]。防火墙、防毒墙、流量清洗系统、Web应用防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)等安全防护设备应运而生,在网络边界构筑了一道道安全防线,起到了一定的防御作用。但是,网络安全威胁不仅仅局限于外部攻击,内部不安全因素的危害性更大。内部不安全因素的最大威胁是终端行为不可控、安全状态不达标、网络接入不规范,接入的终端及其行为不可信、不安全,没有从源头上进行安全防控。因此,网络准入技术成为安全研究的热点,并在网络安全中发挥了主动防御的作用,通过阻挡非法终端和违规应用,保证网络的整体防护和完整性,降低网络安全的脆弱性,进而大大减少网络的可攻击面。
然而,在实际应用中,现有的网络准入技术由于商业考虑或技术壁垒,各自有所偏重[3,4]。同时,网络攻击技术不断更新,手段愈加复杂,安全形势对准入技术提出了更高的要求。事实上,综合以往关于网络安全问题的研究,在完善和提升网络准入控制主动防御技术的同时,在其中融入被动防御技术,能够很好地满足整个网络的安全需求,这也是下一代网络准入控制技术要解决的问题[2,5]。
1 主要问题分析
近年来,网络攻击呈现智能化、系统化、综合化的趋势,新的攻击方式不断涌现,下一代网络准入控制技术应重点关注并解决以下几方面的问题。
1.1 终端信息的全面收集
研究表明,大部分组织和单位通常只了解网络中80% 的设备,且这些设备中约50% 都存在安全或配置问题,现代网络中设备、连接、用户、应用和行为的多样性更加剧了这种复杂性。要在多样化的网络环境中保证网络安全,首先要尽可能多地收集终端信息,全面、准确地掌握在网设备和终端的基本配置、运行状况、异常情况等信息,对网络安全问题及早做出准确判断并进行安全响应至关重要。
1.2 终端大数据的互操作
随着网络攻击方式的隐蔽性越来越强,网络安全态势和异常行为的判定愈加需要将诸多安全因素进行关联。利用丰富的终端信息进行大数据构建,并与网络中各类安全平台进行互操作,是安全判定计算和安全趋势响应的基础。
1.3 在防御高级持续性威胁攻击方面发挥作用
高级持续性威胁(Advanced Persistent Threat,APT)具有高度的隐蔽性[5,6],传统的基于特征库的防护手段很难发现其攻击行为,且其具有潜伏性和持续性,威胁巨大。然而,APT攻击并非不可防御,通过对终端漏洞进行控制、对网络中的异常行为进行监视以及与周边安全设备进行互操作,构筑一套纵深防御的安全体系,可有效降低APT攻击的风险。
2 下一代准入关键技术
2.1 终端信息收集技术
早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集不全面。通过主动发现和被动发现技术,可以不依赖客户端即可实现现有网络准入技术的许多功能。
2.1.1 被动发现技术
将端口镜像技术(Mirror或Span)应用于下一代网络准入中,通过捕获网络中进出的所有流量,能够发现流量中的设备信息和各种异常行为,尤其是来自内网的终端信息。
2.1.2 主动发现技术
被动的镜像技术并不能发现设备的所有属性,因此下一代网络准入还需要主动向网络中的周边设备进行查询,以获取更多信息。
1)二、三层网络信息发现。通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)及地址解析协议(Address Resolution Protocol,ARP),监测并获取设备的数据链路层和网络层信息。
2)第四层和高层网络信息发现。将网络连接端扫描软件(Network Mapper,NMap)应用于下一代网络准入控制,用于探测网络层、传输层甚至是应用层的数据。
3)用户、组织结构及高级属性发现。 通过向网络中的认证服务器(包括活动目录(Active Directory,AD)、轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)、远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)等)主动发起查询请求,可获取必要的应用信息,包括用户和设备信息。
4)安全及网络环境数据发现。向网络设备发起查询,包括防火墙、路由器、交换机、VPN等,通过Syslog、SNMP等接口获取终端设备的实时安全数据和网络环境信息。
2.2 终端大数据构建与互操作技术
关于终端大数据的构建,至少应覆盖以下信息。1物理层信息:包括交换机、VLAN、物理端口、802.1x、设备的共享端口和物理位置等信息;2设备信息:包括IP地址、MAC地址、主机名、设备类型(PC、移动设备、打印机、无线路由、其他附加属性等);3操作系统信息:包括操作系统类型、防病毒软件的更新状态、未打补丁的漏洞、开放的服务、内存中的进程等;4应用程序信息:包括应用程序、版本号、注册表信息、文件信息等;5用户信息:包括用户名、用户组、认证状态、Email地址、角色、部门等;6设备行为信息:包括网络策略、恶意行为以及各种即时行为特征等;7状态信息:包括时间、物理位置、属性、变更情况等。
构建的终端大数据的分享应该是双向的,即实现与以下技术手段/ 工具的互操作。1网络设备:包括交换机、路由器、防火墙、VPN、无线AP、打印机等;2网络服务:包括AD域、LDAP、域名系统(Domain Name System,DNS)、DHCP、RADIUS等;3 终端:包括Windows、Mac、Linux/UNIX、移动设备、虚拟设备等;4终端管理技术:包括补丁管理系统、移动设备管理(Mobile Device Management,MDM)等;5终端防护技术:包括防病毒技术、数据防泄露技术、主机IPS、加密产品等;6安全管理平台:包括安全信息和事件管理(Security Information and Event Management,SIEM)、漏洞评估、IDS/IPS、APT防御产品等。
2.3 缓解APT攻击技术
现今的黑客和网络犯罪明显呈现组织化、专业化的趋势,同时具有明确的目标和针对性。通过构建纵深安全防御体系,能够有效降低APT等攻击的风险[4,6]。
2.3.1 通过漏洞控制减少攻击范围
预先减少可能遭受攻击的范围是缓解APT攻击的有效办法,下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统,可实现以下功能:
1)对违规行为进行告警;
2)把违规终端或漏洞终端从网络中隔离;
3)直接修复或通过第三方系统修复网络中的漏洞及错误的安全配置;
4)确保主机防护软件的安装、更新、正确配置以及正常运行。
当网络中出现未知设备时,网络准入控制系统能够对其进行准确定位。另外,通过网络准入控制提高各种设备和系统的安全水平,有助于减少可被攻击的覆盖面,从而降低总体的安全风险。
2.3.2 监测可疑的网络行为
通常,攻击者一旦攻破某台终端,就会利用这台终端进行扩展攻击。通过对终端异常网络行为进行监测(包括监测非正常端口扫描行为和通过非标准端口进行数据通信的行为),能够及时发现各种异常的大流量操作[4],甚至可利用下一代网络准入控制技术设定“虚拟蜜罐”,提供给服务或应用系统来诱捕非授权的网络探测行为。被恶意软件感染的终端往往会主动攻击“虚拟蜜罐”,此时攻击行为将被捕捉,并触发网络准入控制及时响应事件,如记录、报警甚至隔离等。2.3.3 与网络中的安全架构联合起来实现纵深防御
近10 年来,SIEM平台之外的大部分工具和控制手段(如网络运维平台、安全资产管理平台、安全风险管理平台等)都采用了独立的方法或手段对网络安全进行分割,容易造成各自为政的局面。安全管理现状如图1 所示。
通过对终端信息进行大数据构建处理,下一代网络准入控制技术能够将终端信息和网络环境信息分享给网络中的其他设备或安全系统。同时,多平台的互操作性又保证了网络准入控制系统收到来自这些系统的消息后,可以迅速触发相关策略,对威胁进行缓解或阻止。这样,下一代网络准入控制就成为SIEM之外的另一种网络安全中心。网络安全管理蓝图如图2 所示。
通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御。例如,下一代网络准入控制系统和下一代防火墙、Web防火墙、APT防护平台协作,可达到以下效果:
1)终端环境共享:上述安全系统都缺少对网络中终端状况的了解,包括终端身份、终端配置信息和安全状态,而下一代网络准入控制系统则可以共享这些信息;
2)风险控制:在大部分情况下,攻击或数据泄漏可能只会引发报警而得不到有效处理,将风险数据传入到下一代网络准入控制系统,可以直接阻断终端或封闭特殊端口,从而保存入侵证据并控制风险。
3 下一代网络准入技术优势分析
随着移动设备和智能终端的广泛应用,网络边界不断延伸,访问与操作已变得极其复杂,虚拟化、软件定义架构不断打破传统技术的限制。因此,在传统手段下能够得到充分管理的、完全安全的端点正逐渐减少。当内部用户和访客、远程和本地、有线和无线、虚拟和实物、PC和移动端、授权访问和非法访问并存时,利用传统方式控制网络安全的难度和工作量呈几何级增加。
而下一代网络准入控制技术可利用或开发更先进的技术来顺应网络、终端环境的发展,包括提出更具有适应性的技术架构、更具广度的大数据计算、更具开放性的对外接口等,并在APT攻击中起到关键的桥梁作用。现有网络准入控制技术与下一代网络准入控制技术对比见表1 所列。
4 结语
下一代网络准入控制技术应实现实时发现、分类和评估用户、设备以及应用,并匹配入网前和入网后的策略,与其他网络设备、安全设备、管理平台等共享所有入网端点的大数据信息,并为这些设备提供精确的网络环境信息,帮助它们做出判断和反应。同时,从外部源获取有用信息,并依此进行有效防御,如对终端进行网络强制和修复,以及通知其他系统进行防御等。
下一代网络准入控制技术并不是万能的,但其能够提供实时的网络可视化和应对多种新IT风险的控制手段,同时能够保证不对网络架构或已有安全资产构成影响,具有很好的应用前景。
摘要:现有网络准入技术由于商业考虑或技术壁垒,各自有所偏重,不能很好地满足安全形势发展变化的需求。为解决该问题,文章提出在下一代网络准入控制技术中融入被动防御技术,通过分析下一代准入技术应重点关注和解决的问题,深入研究终端信息收集、终端大数据构建与互操作、缓解APT攻击等下一代准入关键技术。结果表明,在下一代网络准入控制技术中融入被动防御技术能够全面地收集网络及终端信息,进而构建纵深安全防御体系。与现有准入技术相比,下一代准入控制技术具有广泛支持第三方平台、风险控制、缓解APT攻击等诸多优势。
关键词:下一代网络准入,终端信息收集,大数据,缓解APT攻击
准入控制论文 篇2
一、单项选择题:
1、深圳机场控制区通行证的主管单位是()。C A、安检站 B、航空护卫站C、机场公安分局 D、监管局
2、安检站、航空护卫站负责控制区通行证的()。D A、证件制发 B、信息采集 C、人员审查 D、现场查验
3、控制区通行证是人员进入机场控制区的()。C A、唯一凭证 B、长期证件 C、有效凭证 D、特种证件
4、控制区通行证是指经过特定程序发给在控制区内()的人员用以证明身份及通行权利的专用证件。B A、旅游 B、工作 C、乘坐飞机 D、购物
5、机场控制区按照其职能划分为()保安限制区。B A、6个 B、8个 C、10个 D、12个
6、通行证上的“A”标识符号是指()。A A、航空器活动区 B、航空货物存放区 C、行李分拣区 D、航空器客舱
7、通行证上的“B”标识符号是指()。D A、航空器活动区 B、航空货物存放区 C、行李分拣区 D、航空器客舱
8、通行证上的“C”标识符号是指()。A A、国内航班候机隔离区 B、国际航班候机隔离区 C、国内航班到达隔离区 D、国际航班到达隔离区
9、通行证上的“D”标识符号是指()。B A、国内航班候机隔离区 B、国际航班候机隔离区 C、国内航班到达隔离区 D、国际航班到达隔离区
10、通行证上的“E”标识符号是指()。C A、航空器活动区 B、航空货物存放区 C、行李分拣及设备管廊区 D、航空器客舱
11、通行证上的“F”标识符号是指()。B A、航空器活动区 B、航空货物存放区 C、行李分拣区 D、航空器客舱
12、通行证上的“G”标识符号是指()。C A、国内航班候机隔离区 B、国际航班候机隔离区 C、国内航班到达隔离区 D、国际航班到达隔离区
13、通行证上的“H”标识符号是指()。D A、国内航班候机隔离区 B、国际航班候机隔离区 C、国内航班到达隔离区 D、国际航班到达隔离区
14、通行证上的红色“Y”字母是指()。B A、特别通行 B、引领资格 C、免检资格 D、准驾车型
15、申办通行证必须以()名义进行。C A、个人 B、航空公司 C、单位 D、单位领导
16、首次申办通行证人员,应携带本人()到办证大厅前台通过查验审核。D A、户口簿 B、工作证 C、驾驶证 D、有效身份证件
17、持临时通行证人员进入机场控制区时,应同时出示本人()并自觉接受查验。C A、工作证 B、户口簿 C、有效身份证件 D、驾驶证
18、持临时通行证人员进出控制区时必须由临时通行证上标注的()全程陪同方可使用。B A、单位负责人 B、引领人 C、空防联络人 D、亲属
19、()应全程陪同持临时通行证人员进出控制区,并对持证人在控制区内的行为和安全负责。B A、单位负责人 B、引领人 C、空防联络人 D、亲属 20、航空器活动区内车辆准驾资格由()依法按程序批准后,制证单位加注在通行证上。D A、本单位 B、航空公司 C、机场派出所 D、机场交警大队
21、保荐机构是指经()审查批准,有权签署通行证申请并提出担保推荐意见的单位。B A、民航局 B、公安分局 C、航空公司 D、股份公司
22、申办通行证人员的背景调查由()负责,背景调查资料报公安分局审核。C A、航空公司 B、申办人 C、保荐机构 D、股份公司
23、所有申办通行证的人员都需要()有效的民用航空背景调查。B A、经过 B、通过 C、备案 D、抽查
24、无犯罪记录证明的出具时间应当在背景调查开始前()内。B A、4个月 B、6个月 C、8个月 D、12个月
25、首次申办通行证人员需参加保荐机构或公安分局组织的不少于()的空防安全及通行证知识培训,经公安分局考核合格后方可发放通行证。A A、1学时 B、2学时 C、4学时 D、6学时
26、持证人在控制区范围内必须在外衣胸前明显处佩戴(),自觉接受通行证管理人员的查验和管理。D A、工作证 B、驾驶证 C、身份证 D、通行证
27、持证人在进出机场控制区时须主动出示()并刷卡验证,以配合公安分局、安检站、航空护卫站执勤人员的查验和管理。D A、工作证 B、驾驶证 C、身份证 D、通行证
28、发现通行证遗失时,本人或所属单位应()向发证机关报告,发证机关应当及时通报给证件查验单位。B A、24小时 B、立即 C、12小时 D、空闲时
29、持证人所属保荐机构应当在接到遗失通行证报告后的()内持单位报失证明和报警回执到发证机关报失。B A、1日 B、2日 C、3日 D、5日
30、遗失通行证的()承担由此引发的后果和责任。C A、单位 B、个人 C、单位和个人 D、单位领导
31、遗失长期通行证的,()内不予补办。B A、15日 B、30日 C、45日 D、60日
32、遗失短期通行证或临时通行证的,在原证件有效期内()补办。A A、不予 B、可以 C、立即 D、应该
33、遗失长、短期通行证,须按()方式申请补办。C A、变更 B、续办 C、初办 D、破损
34、所有()进出控制区时应当在门禁处刷卡验证。D A、旅客 B、单位领导 C、游客 D、持通行证人员
35、持证人发生调动、辞职、退休或被辞退、开除等情况,在办理离职手续前,由保荐机构将通行证收回并在()工作日内交还发证机关注销。B A、3个 B、5个 C、7个 D、10个
36、保荐机构在领取续办、变更等情况的新通行证后应在()工作日内将旧证交还发证机关销毁。B A、3个 B、5个 C、7个 D、10个
37、持证人()月内未使用通行证,根据门禁管理系统数据提示,发证机关将暂停该持证人通行证使用权限。B A、2个 B、3个 C、4个 D、6个
38、对违反通行证管理的单位和人员,由()按照规定实施处罚。C A、航空公司 B、申办单位 C、公安分局 D、保荐机构
39、安检、护卫部门执勤人员在查验工作中发现()人员,可先行扣留其证件并及时移交公安分局处理。A A、证件不符或严重违规 B、衣冠不整 C、出言不逊 D、流浪
40、对持证人违规使用通行证的处罚有()。C A、2种 B、4种 C、6种 D、8种
41、对违反通行证管理的单位的处罚有()。B A、2种 B、3种 C、4种 D、5种
43、持证人违反通行证管理有关规定,构成违法犯罪的,依法追究()责任。A A、法律 B、行政 C、单位 D、道德
44、控制区通行证的记分监察工作由()实施。C A、安检员 B、单位领导 C、记分监察员 D、联络员
45、现场记分查处过程中,记分监察员()。D A、开具违规处罚单 B、开具整改通知书 C、当场罚款 D、当场记分并开具记分通知单
46、对人员的记分,记分周期为()个月,总分为20分。C A、6 B、9 C、12 D、15
47、通行证记分从通行证授予门禁系统权限之日起计算。通行证延期的,()到原记分周期结束为止。A A、继续记分 B、重新记分 C、分别记分 D、记分归零
48、持证人由于工作单位或岗位发生变动而需要变更通行证的,原记分值()。C A、归零 B、重新计算 C、继续计算 D、暂停计算
49、记分监察员可以通过现场检查及()等方式查处持证人在控制区内发生的违规行为。B A、录音 B、后台核查 C、工作态度 D、无犯罪记录证明 50、因持证人违规导致通行证被暂停、暂扣、吊销或取消申办资格以及单位违规被处罚造成的一切损失,由()承担。D A、单位领导 B、引领人 C、航空公司 D、违规人和单位
51、通行证记分累计达到5分的,进入蓝色预警,通行证继续有效,持证人须参加()的培训考核。C A、公安分局 B、安检站 C、所属保荐机构 D、空管站
52、通行证记分累计达到10分的,进入黄色预警,暂停通行证使用权限10日,持证人须参加()的培训考核。C A、公安分局 B、安检站 C、所属保荐机构 D、空管站
53、通行证记分累计达到15分,进入橙色预警,暂停通行证使用权限30日,持证人须参加()的培训考核。A A、公安分局 B、安检站 C、所属保荐机构 D、机场公司
54、通行证记分累计达到20分的,进入红色预警,吊销持证人通行证,()内不得再次申办通行证。B A、半年 B、一年 C、二年 D、三年
55、(),持证人第二次通行证记分累计达到20分的,吊销通行证,永久取消持证人申办通行证资格。D A、一年内 B、二年内 C、三年内 D、不限时段
56、违规持证人拒不接受培训考核,逾期()个月的,公安分局空防大队将收回其通行证,6个月内不得再次申办通行证。A A、1 B、2 C、3 D、4
57、持证人有证据证明原记分判罚有误的,可在()个工作日内由持证人所属保荐机构书面向机场股份公司安全管理部门提出复核申请。B A、3 B、5 C、7 D、10
58、申办通行证实行()专办制度。C A、单位领导 B、本人 C、空防安全联络员 D、联系人
59、以下不属于控制区通行证的是()。D A、临时通行证 B、长期通行证 C、短期通行证 D、工作证
60、以下行为正确的是()。B A、超过通行证有效期继续使用 B、在通行证允许通行区域内使用 C、不服从通行证查验人员的查验管理 D、不按规定佩戴通行证
61、以下行为正确的是()。C A、故意损坏通行证 B、将通行证借与他(她)人使用 C、在通行证有效期内使用 D、进入与本单位生产保障无关的航空器
62、以下行为正确的是()。D A、乘坐航班时,利用通行证经工作通道进入控制区 B、遗失通行证未及时报告 C、引领人未全程陪同持临时通行证人员 D、进出控制区按规定查验通行证 63、以下门禁使用正确的是()。A A、多人同时使用门禁通道时,每人逐一在读卡器上验证通过 B、通过门禁通道后未及时锁闭门 C、本人不刷卡验证尾随他人进入门禁通道 D、使用门禁时带未授权人员进入门禁通道
64、以下行为错误的是()。A A、引领人只需将持临时通行证人员带入控制区即可,不需全程陪同 B、持临时通行证人员进入控制区时需同时出示本人有效身份证件接受查验 C、临时通行证遗失后在有效期内不予补办 D、被引领人违反本分值所列条款的,扣罚引领人相应分值
65、以下行为错误的是()。B A、进入控制区主动接受安全检查 B、从非控制区向控制区内传递、抛掷物品 C、进入控制区前主动自查本人衣物和 行李中是否有禁止或限制携带的物品 D、不为他人捎带物品进入控制区
66、在航空器活动区以下行为正确的是()。D A、在限速区超速驾驶 B、酒后驾驶机动车 C、行人、车辆不按规定线路行进 D、车辆停放时,使用安全轮挡或支撑脚
67、在航空器活动区以下行为正确的是()。C A、驾驶车辆从机翼或机身下穿行 B、未经空管许可,人员或车辆进入运行中的跑道、滑行道、联络道 C、驾驶车辆至“停”的标志停车观望 D、车辆不按指定位臵停放,或不按停车地面标示方向停放
68、关于飞行区安全正确的是()。D A、在飞行区内活动未按要求穿着反光警示服装 B、工作人员乱丢杂物、废物,人为造成FOD(机场外来物)C、各种油料、污水、有毒等废物直接排放到机坪上或排水沟 D、及时清理车辆、设备上遗留的FOD 69、以下违反控制区通行证管理规定的行为是()。C A、通过门禁通道后必须及时关闭 B、进入机场控制区,携带的物品必须经过安检 C、多人同时通过门禁的,只需一人刷卡验证 D、进出控制区必须服从查验人员的检查 70、以下违反控制区通行证管理规定的行为是()。B A、遗失通行证必须立即向公安分局空防大队报失 B、在非工作时间或非工作需要情况下,持通行证进入控制区 C、持证人进出控制区以及在控制区内,必须按要求佩戴通行证 D、持证人必须在有效期内、可通行区域内使用通行证
二、多项选择题
1、控制区通行证是发放给在机场从事()人员的。ABD A、航空运输 B、商业经营 C、乘坐航班 D、勤务保障
2、以下属于控制区的是()。ABCD A、航空器客舱 B、航空器活动区 C、航空货物存放区 D、国际航班候机隔离区
3、控制区通行证分为()。ABC A、长期通行证 B、临时通行证 C、短期通行证 D、特别通行证
4、申办通行证人员的背景,应当至少符合以下要求()ABCDEF A、无故意犯罪记录 B、未受过收容教养、强制戒毒、劳动教养 C、近三年未因违反《治安管理处罚法》受过行政拘留 D、未参加过国家禁止的组织及其活动 E、配偶、父母(或直接抚养人)未因危害国家安全罪受过刑事处罚 F、无可能危害民用航空安全的其它情形
5、首次申办通行证人员须提供以下材料()。ABCD A、保荐机构提供的申请人背景调查材料(包括本人、配偶、父母的无犯罪记录证明)B、申办单位人事部门出具的申请人劳动人事关系证明 C、申请通行证专用表格 D、申请人本人有效身份证件复印件
6、首次申办通行证人员除了需要提交申办材料外,还需()。ABD A、到办证大厅照相 B、参加空防安全知识和证件使用知识的培训考核 C、体检 D、持本人有效身份证件到办证大厅查验身份证件和面见
7、办理临时通行证需提交哪些材料()?ABC A、申请通行证专用表格 B、申办人有效身份证件原件及复印件 C、引领人通行证复印件 D、健康证
8、不予办理通行证的情形有()。ABCD A、申办材料不符合要求 B、背景调查未能通过审核 C、因辞工、辞退等原因到新单位工作,在原单位申办的通行证未注销 D、被列入“黑名单”管控,不适合申办通行证
9、持()通行证人员进入控制区时不需同时出示本人有效身份证件接受检查。AB A、长期 B、短期 C、临时 D、登机牌
10、下列哪些通行证不可以使用()。ABCD A、过了有效期的通行证 B、损坏、磨损无法辨别的通行证 C、涂改、变造、私自换照片的通行证 D、非本人的通行证
11、关于引领人的责任正确的是()。BCD A、引领人仅对被领引人进入安检时落实陪同责任 B、领引人应对被领引人落实全程陪同责任 C、妥善保管临时通行证,防止遗失,严禁转借 D、对被领引人在控制区内的行为及安全负责
12、关于申办通行证人员的培训考核正确的是()。BCD A、可以在领取通行证后再参加培训考核 B、应接受不少于1学时的空防安全知识和证件使用知识培训 C、只有经培训考核合格后才能发放通行证 D、培训工作由保荐机构组织实施,并建立培训档案
13、对违反通行证管理规定的处罚种类有()。ABD A、暂停使用通行证 B、暂扣通行证 C、罚款 D、吊销通行证
14、对个人违反通行证管理规定的处罚种类有()。ABC A、警告 B、通报批评 C、取消个人申办通行证资格 D、罚款
15、持证人使用门禁时应遵守以下规定()。ABC A、多人通过门禁时,须逐一刷卡验证 B、通过门禁通道后须及时关门 C、进出控制区必须按规定刷卡验证 D、使用门禁时带未授权人员进入门禁通道
16、持证人使用通行证应遵守以下规定()。ABC A、进入控制区的持证人及携带的物品必须接受安全检查 B、不得帮旅客携带行李物品进入控制区 C、不得携带违禁物品进入控制区 D、持证人可以进入所有航空器
17、持证人使用通行证应遵守以下规定()。CD A、遇急事可以借用同事通行证临时进入控制区 B、乘坐航班为了方便可以用通行证经工作人员通道进入隔离区候机 C、进出控制区必须服从查验人员的检查 D、进出控制区及在控制区内活动必须按规定佩戴通行证
18、遗失通行证应如何处理()。ABCD A、立即报告空防大队锁卡,防止被冒用 B、所属保荐机构在两个工作日内以书面形式报告空防大队 C、遗失通行证的个人和单位承担由此引发的后果和责任 D、报告遗失后30日内不予补办通行证
19、以下属于补发规定的是()。ABC A、遗失长期通行证的,30日内不予补办 B、遗失短期或临时通行证的,在原证件有效期内不予补办 C、遗失长期通行证,因工作确需进入控制区的,可视情办理临时通行证 D、遗失通行证的,可及时申请补办
20、通行证的保管与回收正确的是()。ABC A、有条件的单位应当统一保管和发放通行证 B、持证人发生调动、辞职、被辞退等情况,保荐机构应收回通行证在514 个工作日内交还发证机关注销 C、逾期通行证由保荐机构收回后5个工作日内交还发证机关销毁 D、持证人退休后可保留通行证作为纪念
21、关于控制区消防安全,错误的是()。ABCD A、非火警情况下,擅自使用、挪用消防设施设备 B、在消防设施设备箱内存放杂物 C、锁闭、封堵应急疏散安全出口 D、在控制区内吸烟
22、关于控制区消防安全,错误的是()。ABCD A、阻挡、遮蔽、移动消防设施设备 B、车辆或其他设施设备停放阻碍应急疏散通道 C、未经管控部门许可,使用超过电源负荷的用电设备 D、私自更改、乱接乱拉强电,私自拆装强电电源,采用接力方式用电
23、关于施工安全,错误的是()。ABCD A、施工人员未取得相应岗位作业资格而从事相关工作 B、施工单位未按要求对动火现场进行保护 C、施工人员在施工区域外随意活动 D、施工单位未按要求落实施工安全防范措施
24、关于内场交通安全,错误的是()。ABC A、酒后驾驶机动车辆 B、在限速区内超速行驶 C、未取得内场车辆或特种车辆驾驶资格而擅自驾驶操作车辆 D、驾驶通行证上标注准驾车型相符的车辆
25、关于内场交通安全,错误的是()。ABCD A、行人、车辆不按规定线路行进 B、未经空管许可,人员或车辆进入运行中的跑道、滑行道、联络道 C、行人、车辆与滑行或被拖行的航空器抢道造成航空器刹车 D、驾驶车辆从机翼或机身下穿行
26、关于内场交通安全,错误的是()。ABD A、驾驶车辆至“停”的标志而未停车观望 B、车辆不按指定位臵停放,或不按停车地面标示方向停放 C、车辆停放时,使用安全轮挡或支撑脚 D、驾驶车辆时使用手机、穿拖鞋、光膀子
27、关于内场交通安全,错误的是()。ABC A、遇有执行任务的警卫车队,不主动减速及避让,与其抢道或紧随尾追,或穿插超越车队 B、无证驾驶机动车辆 C、在滑行的航空器前200米内穿行或航空器后面50米内穿行、尾随 D、车辆按规定配备灭火器
28、关于保障作业安全,错误的是()。ABC A、工作人员不文明操作或野蛮装卸行李物品 B、车辆设备运转时,无具有使用资格的人员值守 C、未经批准,在机坪内从事与保障作业无关活动 D、经过批准,在飞行区内进行不停航施工
29、关于保障作业安全,错误的是()。ABCD A、工作人员乱堆放物品 B、各种危废物在飞行区内随意丢弃或投放在FOD收集桶 C、工作人员乱丢杂物、废物,人 为造成FOD(机场外来物)D、各种油料、污水、有毒害等废物直接排放在机坪上或排水沟里
30、关于保障作业安全,错误的是()。ABD A、车辆、设备上遗留有FOD,未及时清理 B、运输或临时存放的垃圾或废物泄露或溢出造成FOD C、及时清理保障作业中遗留、遗撒在工作现场的FOD D、车辆、航空器漏油污染机坪
31、关于行为规范,错误的是()。ABCD A、在控制区内打闹、追逐、喧嚣等不文明行为 B、饮酒后进入工作岗位 C、未经许可,在控制区内张贴悬挂条幅、标语、广告,发放宣传单 D、蹬踏、坐踏行李设施设备
32、禁止随身携带进入控制区的物品是()。ABCD A、枪支弹药 B、爆炸物品 C、管制刀具 D、刀具
33、禁止随身携带进入控制区的物品是()。ABCD A、打火机 B、火柴 C、烟花爆竹 D、发胶
34、禁止随身携带进入控制区的物品是()。ABCD A、酒精 B、菜刀 C、剪刀 D、农药
35、禁止随身携带进入控制区的物品是()。ABCD A、空子弹壳 B、火机气体 C、扳手 D、铁锤
36、允许限量随身携带进入控制区的物品是()。AD A、一支90毫升的矿泉水 B、一支110毫升的沐浴露 C、5毫升指甲油 D、一袋40毫升液体中药
三、判断题
1、机场控制区是指根据安全需要在机场划定的进出受限制的区域。(√)
2、控制区通行证是用以证明持证人工作身份及通行权利的专用证件。(√)
3、控制区通行证是进出机场控制区的有效凭证。(√)
4、持有通行证人员可以在工作时间进入机场所有区域。(×)
5、机场控制区是旅客乘坐飞机的区域。(×)
6、机场公安分局是通行证的主管部门,负责通行证的人员信息采集、审核、制发、监督管理。(√)
7、机场公安分局空防大队具体负责申办通行证资料的受理、审核和通行证制发工作。(√)
8、安检站、航空护卫站是通行证的查验部门,负责通行证的现场查验工作。(√)
9、控制区按其执行的职能,划分为九个区域。(×)
10、申办通行证人员必须到办证大厅照相(√)
11、申办临时通行证人员可以提交本人照片办理证件(×)
12、通行证的种类包括长期通行证、短期通行证和临时通行证。(√)
13、无背景调查材料或背景调查不符合民用航空要求规定的,不予办理通行证。(√)
14、初次申办通行证必须提供申办人本人及配偶、父母的无犯罪记录证明。(√)
15、无犯罪记录证明的出具时间必须在背景调查开始前1年内。(×)
16、提供虚假身份资料、背景调查资料等,不予办理通行证,并依法追究相关人员及单位的法律责任。(√)
17、境外人员办理通行证时,不需要提供背景调查材料。(×)
18、初次申办通行证人员,必须参加保荐机构及公安分局组织的培训考核。(√)
19、持证人因违规,证件记分达到5分、10分,须参加保荐机构组织的培训考核。(√)
20、持证人因违规,证件记分达到15分,须参加公安分局组织的培训考核。(√)
21、持各种通行证人员进入控制区都必须接受安全检查。(√)
22、持临时通行证人员进入控制区时,应同时出示本人有效身份证件,自觉接受检查。(√)
23、持临时通行证人员进出控制区时,应同时出示本人工作证,自觉接受检查。(×)
24、持临时通行证人员在进出控制区时需要有临时通行证上注明的引领人引领。(√)
25、持临时通行证人员在控制区内活动时,必须由临时通行证上注明的引领人全程陪同。(√)
26、持临时通行证人员在控制区内的行为由引领人负责。(√)
27、持证人使用门禁通道时,应刷卡验证后通过,并及时关闭通道,防止无关人员尾随进入。(√)
28、多人同时通过门禁通道时,必须逐一刷卡验证后通过。(√)
29、持证人离开控制区不必刷卡验证。(×)
30、持通行证人员可以通过旅客通道进出控制区。(×)
31、因工作岗位变动,换发通行证后,原通行证可以不交回发证机关。(×)
32、持证人发生调离、辞职、退休、辞退或开除等情形,必须将通行证上交原所在单位。(√)
33、离职、退休时,可以将通行证作为在机场工作过的纪念品保存。(×)
27、持证人不得将通行证涂污、更改、贴换照片、故意毁损。(√)
34、工作中遇到有紧急情况时,为了不贻误工作,可以借用同事通行证进入控制区。(×)
35、进入机场控制区的持证人及随身携带的物品必须接受安全检查。(√)
36、持证人可在非工作时间利用通行证进入机场控制区。(×)
37、持证人进出控制区及在控制区内活动,都必须按规定佩戴通行证。(√)
38、可以利用通行证从工作人员通道进入候机隔离区乘坐航班。()
39、遗失通行证后应立即报告公安分局空防大队先将通行证锁卡,防止被冒用。(√)
40、遗失通行证后所属单位应在2个工作日内以书面形式报告公安分局空防大队。(√)
41、遗失通行证的人员和单位承担由此引发的后果和责任。(√)
42、遗失长期通行证,一个月内不予补发。因工作需要进入控制区的,可视情办理临时通行证。(√)
43、遗失短期通行证或临时通行证,在原证件有效期内不予补发。(√)
44、对违反通行证管理和使用规定的单位和个人,由公安分局实施处罚。(√)
45、公安分局对在控制区内违反记分管理细则规定的人员实行记分处罚。(√)
46、取消办证资格是对违反通行证管理规定的处罚之一。(√)
47、对违反通行证管理规定的人员罚款是通行证管理规定的处罚之一。(×)
48、持证人在同一记分周期内,由于工作单位发生变化而变更通行证时,已记分值重新计算。(×)
民营银行准入不宜缓行 篇3
几点分歧
徐滇庆强调了和一些观点的几大分歧。分歧之一在于,是否要打破垄断,创造一个公平竞争的金融环境。"有人反对民营银行,要害就在于试图维护国有银行的垄断",徐滇庆说,"为何国有银行改革成效不大,原因并不复杂。只要产权制度、垄断局面不改,无论采取何种措施,都跳不出老框框。"徐滇庆质疑,"国有银行改革的一本经念了十几年,没有多大用,再念几遍,就有用了吗?"
徐滇庆认为,金融市场对外开放而对内不开放,是严重的不对称,完全违背金融一体化的原理。
他介绍,从世界经验看,民营银行资金占银行资金的比例平均达到85%以上。凡是发达国家,或者经济状况较好的国家,都是民营银行占主体;而凡是国有银行占主体的国家,绝大部分是贫穷落后或者专制的国家地区。
分歧之二在于,是通过市场还是政府来主导金融改革。徐滇庆认为,应当坚决反对政府主导下的民营银行改革。一旦金融改革主导权到了利益集团手中,无论什么政策都会走样。"徐认为,"从某种意义上讲,让金融改革的对象来主持金融改革,其结果肯定是南辕北辙,令人哭笑不得。
分歧之三在于,是否主张马上进行金融改革的制度创新。
针对王自力"民营银行准入目前应当缓行"的论点,徐滇庆认为,虽然目前全面开放民营银行时机还不成熟,但是并不意味着有关民营银行的研究、试点就可以放松。"如果不马上动手,就可能贻误战机,造成被动局面"。他强调,金融改革制度创新刻不容缓。
分歧之四在于,是否相信民间金融的活力和民营经济的创造力。"如果戴着有色眼镜,就难免把开放民营银行当成洪水猛兽。"徐滇庆强调,在全面开放民营银行之前,要努力推动金融改革制度创新,特别是民营银行准入、监管、退出法规的研究。
并不是一开放民营银行就会天下大乱、洪水猛兽,关键在于是否能做到有法可依、有例可循。
不过双方都认为民营银行是历史发展潮流,迟早要开放,双方也都认为目前并不具备大规模开放民营银行的条件。徐滇庆强调,他们充分认识到金融改革的重要性,认识到维护金融稳定的重要性,主张首先从制度创新入手,争取金融改革做到"有法可依、有例可循"。"我们认为金融改革是一个长期、渐进的过程,可能好几年才能达到全面开放金融领域的结果,绝对不能从一个极端走向另一个极端。"
他说:"现在有人说焦点是改建还是重建,我们认为,改建、重建不是一个矛盾体,而是一个统一体。能改建的就改建,不能改建的就重建,一切实事求是、因地制宜"。
五件大事
徐滇庆认为,要保证金融改革的顺利进行,必须抓紧五件大事来做。
第一,建立新的金融法规,包括准入、监管、退出法规;第二,在学术研究单位和金融主管部门的指导下,在有效范围内进行民营银行的试点;第三,尽快建立存款保险制度;第四,完善金融审计制度;第五,抓紧金融人才的培训和民营银行负责人的挑选。
徐滇庆认为,要完成这些任务,如果从现在开始着手,估计要3年左右,也就是说,3年之内,民营银行不应该出现太多。3年之后,是否全面开放民营银行,要到时再说。他认为,倘若5年之内能够核准100家民营银行,就很不错了,"绝对不能头脑发热,以搞运动的方式来搞金融改革。"
几点说明
针对几种说法,徐滇庆进行了澄清。
"把金融体系推倒重来的说法纯粹是胡说八道,金融是心脏,一天都不能没有银行,怎么能推倒重来呢?"
"有人说新建3000家银行,市场淘汰2700家,剩下300家。这更是无稽之谈。"徐滇庆说,"这本身是违反渐进改革的模式,我们再三强调,要警惕俄罗斯式的‘休克疗法‘。"
徐滇庆还强调,要警惕"运动式"的做法,一夜之间全面放开。比如20世纪90年代初,俄罗斯的金融业突然全面放开,几天之内俄罗斯就出现了几万家银行,导致一些金融投机分子进行大量金融诈骗。"如果是那样的话,我们很有可能和王自力站在一起,反对那些不合格的投机分子混水摸鱼。"
准入控制论文 篇4
1 网络准入控制技术介绍
1.1 EAPOL与EAPOU准入控制技术
EAP是Extensible Authentication Protocol的缩写, EAP最初是用作为PPP的扩展认证协议, 使PPP的认证更具安全性。EAP与802.1x的结合就是EAPOL (EAP Over LAN) , 或者称为EAP over 802.1x。EAPOL最初使用来进行局域网内身份认证的工具, 随着2000年爆发的蠕虫病毒, 其便开始用作电脑安全状态的认证, 即在进行身份认证的同时, 对终端电脑的安全状态进行检测。
EAPOU是Cisco NAC技术的第一个实现版本, 最早是在2003年在Cisco的路由器上实现, 后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络的接入层进行准入控制, 而EAPOU通过在网络的汇聚层或核心层进行准入控制, 不仅可以确保终端计算机上的网络安全, 而且可以有效地对当前系统的安全状态进行识别。EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时, 汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内, 在EAP认证的内容中, 身份认证其实并不重要, 重要的是安全状态认证。如果安全状态不符合企业策略, 汇聚层EAPOU设备将从策略服务器上下载ACL, 限制不安全的客户端的网络访问, 并对其进行修复。
1.2 两种网络准入控制技术的对比
EAPOL主要实现的是对网络接入层的准入控制, 由于802.1x协议被网络厂商广泛支持, 所以EAPOL是支持范围最广的网络准入技术, 因为控制点接入交换机, 最接近终端电脑, 可以对不符合策略的电脑做到最严格的准入控制, 但正因为这样, 使得EAPOL的配置管理也较为复杂, 特别是在规模较大的网络中部署起来就更为困难。如图1所示。
EAPOU对网络的准入控制主要集中在其核心层和汇聚层, 只要在汇聚层或核心层进行部署控制, 即能做到对终端的全面控制, 因为控制点在汇聚层, 而不是接入层, 离终端越远, 控制力越弱。如果终端不受管理, 即使其不符合安全策略, 它只是不能访问汇聚层以后的网络, 而可以照常访问其所在的接入层的网络, 所以控制强制性不如EAPOL。但与EAPOL相比, EAPOU对网络接入设备的要求较低, 主要原因为:EAPOU准入控制的覆盖面积较大, 且在汇聚层或核心层的设备大都少于接入层设备, 所以部署起来要相对容易些。如图2所示。
2 EAPOU网络准入控制技术的应用
2.1 选择依据
在大中型网络中, 一般存在网络接入层设备多、设备厂商多、部分设备不支持802.1x及HUB接入、VPN接入、Wirelesss接入等情况, 若采用802.1x部署方式会导致配置管理复杂、部署难度大、802.1x准入的动态VLAN切换影响网络性能、无法做到全网终端的准入控制等问题, 因此不建议采用EAPOL部署方式。EAPOU网络准入控制技术应用的选择依据便是其自身的技术原理。当网络准入控制在运行时, 需要由网络接入设备发出控制消息并向主机设备申请委托书, 随后, AAA (验证、授权、记账) 服务器的信任代理便同入网计算机的信任代理建立起较为安全的EAP (身份验证) 对话。对话开始后, 入网计算机的信任代理便开始对AAA服务器进行入网核查。最后, 经由信任代理与相关网络设备传递的委托书便可以经由控制服务器接收后进行相应的认证与授权。
2.2 EAPOU准入控制技术的部署方案及应用成效
以cisco公司的网络准入控制产品作为技术实现的主要设备, 展开企业网络准入技术方案的部署, 具体步骤如下:
(1) 准入控制网络设备的运行。运行包括交换机、安全设备、路由器和无线接入点等准入控制设备, 并通过相应软件将其功能增强后集成到网络控制平台中;
(2) 执行基于RADIUS (远程接入协议) 的AAA服务器, 利用cisco公司的ACS (自动控制系统) 确定网络接入权限的相关决策点;
(3) 可信代理的部署。利用cisco公司研发的CTA (IDE的技术规范族) 通过多种方式部署可信代理, 即使CTA作为独立代理, 直接从cisco公司分发, 与此同时, 进行思科安全自动活动软件 (cisco securityagent) 的分发;
(4) 安全代理的部署。将思科安全自动活动软件接入入网计算机, 使其防止蠕虫和计算机病毒, 进而为NAC提供热修复与操作系统补丁的相关信息;
(5) 利用Cisco Works VMS对CSA认证进行批量部署, 并利用Cisco security MARs实现NAC与其他安全设备的管理部署。
此套EAPOU准入控制技术部署方案的实施有效增强的企业网络系统的安全性, 通过对核心层与汇聚层网络安全状态的准入控制, 提高了企业网络系统的抗病毒能力与抗干扰能力, 从整体上保护了企业信息安全。
图3为EAPOU网络准入控制部署框架, 其中左半部分为内网示意图, 右半部分为外网示意图。由图可知, 内网CAS (查询网站) 部署设计的模式为外带真是网关模式, 由于核心交换机和汇聚交换机的连接方式为路由连接, 且系统终端与CAS之间的连接为三层连接, 因此, 在进行部署时, 需要分别在核心交换机与汇聚交换机上做出相应的策略路由认证, 使系统将认证VLAN的流量导入CAS中的非信任接口。而外网CAS的部署模式主要以OOB REAL-IP GW为主, 且由于在部署过程中, 其终端同CAS之间的连接为二层连接, 因此, 不需要系统进行策略路由认证。
3 结论
本文以EAPOU网络准入控制技术作为研究对象, 通过对比其与EAPOL的相关特点, 对EAPOU准入控制技术的部署方案进行了详细研究。可见, 未来加强对EAPOU网络准入控制技术的研究与应用力度, 对于和谐、安全网络环境的建设具有重要的历史作用和现实意义。
摘要:本文对基于网络的EAPOL和EAPOU准入控制技术进行了介绍, 并对这两种网络准入控制技术进行了对比, 给出了在大中型网络中EAPOU网络准入控制技术的应用选择依据。就EAPOU网络准入控制技术的应用, 提出了详细的应用部署方案, 并对应用成效进行了阐述。
关键词:EAPOU,EAPOL,网络准入控制技术
参考文献
[1]常润梅, 孟利青.企业终端准入控制与数据防泄密安全应用[J].电信工程技术与标准化, 2013, 03 (12) :76-80.
[2]李琰.企业网络终端准入控制解决方案[J].数字技术与应用, 2013, 06 (09) :15.
准入制度 篇5
第一章 总
则
第一条 为加强农产品质量安全监督管理,维护公众健康和生命安全,根据《中华人民共和国农产品质量安全法》、《国务院关于加强食品等产品安全监督管理的特别规定》等有关法律、法规的规定,结合本省实际,制定本办法。
第二条 本市行政区域内的批发市场、农贸市场等各类市场和超市、配送中心等各类市场主体销售农产品的经营活动,应当遵守本办法。
第三条 本办法所称农产品,是指来源于农业的初级产品,即在农业活动中获得的植物、动物、微生物及其产品。
本办法所称农产品市场准入,是指按照法律、法规、规章的规定,对经认证的无公害农产品、绿色食品、有机农产品和符合国家质量安全标准要求的农产品准予销售,对未经认证或者经检测不符合国家质量安全标准的农产品禁止销售的管理制度。
第四条 县级以上人民政府统一领导、协调本行政区域内的农产品市场准入工作,建立健全农产品市场准入制度并推进其实施。
第五条 县级以上人民政府农业行政主管部门负责本行政区域内的农产品市场准入的监督管理工作。
县级以上人民政府工商、卫生、质监、商务等有关部门按照各自职责,做好农产品市场准入的相关工作。
第六条 农产品市场准入,按照统一规划,分步实施,逐步推进,不断完善的原则,分品种、分阶段、分步骤进行。在市社区内的批发市场、超市和配送中心销售的蔬菜、果品及其他农产品,实行市场准入,具体准入品种由社区的市人民政府根据当地实际规定。
第二章 包装标识与检测
第七条 按照国家和自治区规定应当包装或者附加标识的农产品,经包装或者附加标识后方可上市销售。
第八条 包装上市的农产品,应当在包装上标注或者附加标识,标明品名、产地、生产者或者销售者名称、生产日期。有分级标准或者使用添加剂的,还应当标明产品质量等级或者添加剂名称。
不能包装的农产品,应当采取附加标签、标识牌、标识带、说明书等形式标明农产品的品名、生产地、生产者或者销售者名称等内容。
第九条 销售获得无公害农产品、绿色食品、有机农产品等质量标志使用权的农产品,应当标注相应标志和发证机构。
第十条 符合下列条件之一的农产品,可以免检进入市场销售:
(一)在认证有效期内的无公害农产品、绿色食品、有机农产品,凭认证标识;
(二)经法定检测机构检验符合国家质量安全标准的同一批农产品,凭有效的合格证明;
(三)与农产品销售市场签订销售合同的无公害农产品认定产地生产的农产品,凭产地证明和销售合同;
(四)农产品批发市场送销的农产品,凭市场主办单位出具的产地证明和检测报告;
(五)其他符合质量安全标准的农产品,凭县级农业行政主管部门或者乡镇政府、村委会、农民专业合作经济组织等出具的产地证明和检测报告;
第十一条 批发市场、农贸市场、超市、配送中心应当设立或者委托农产品质量安全检测机构,对进入市场销售的农产品质量安全状况进行抽查检测并公示检测结果,发现不符合国家质量安全标准的农产品,不得允许进入该市场销售,也不得转销其他市场或者其他经营者,并依法向农业行政主管部门报告。农产品检测证书、检测结果在经营场所的显著位置公示。
第十二条 批发市场和农贸市场的销售者、超市、配送中心必须建立农产品进货检查验收制度,审验供货商的经营资格,验明产品的合格证明和产品标识,并建立进货台账和销售台账,如实记录产品品种、规格、数量、流向等内容。进货台账和销售台账保存期限不得少于两年。销售者应当向供货商按产品生产批次,索要符合法定条件的检验机构出具的检验报告或者由供货商签字或者盖章的检验报告复印件;不能提供检验报告或者检验报告复印件的农产品或者经查验不符合农产品质量安全标准的农产品,不得销售。
第十三条 饭店、餐馆和学校食堂、幼儿园食堂、机关食堂、送餐中心等集体配餐、用餐单位应当建立并执行进货检查验收制度,建立健全索票索证制度,不得采购检测不合格或者来路不明的农产品。
第十四条 农产品生产企业应当对其生产的农产品的质量负责,发现其生产的农产品存在安全隐患,可能对人体健康或者生命安全造成损害的,应当向社会公布有关信息,通知销售者停止销售,告知消费者停止使用,主动召回农产品,并向农业行政主管部门报告。
销售者发现其销售的农产品存在安全隐患,可能对人体健康和生命安全造成损害的,应当立即停止销售该农产品,通知生产企业或者供货商,向工商行政管理部门报告,并及时采取退回供货商或者销毁、无害化处理等有效措施。
第三章 保障体系建设
第十五条 县级以上人民政府农业行政主管部门应当根据本地实际,不断完善农产品质量安全检验检测体系、农产品质量安全监管体系,健全各项管理制度。
第十六条 批发市场、农贸市场等各类市场和超市、配送中心等各类市场主体应当建立健全农产品进货检查验收、质量抽检、问题农产品主动召回、不合格农产品清退、保存购销台账和质量追溯等制度,配备农产品质量安全监督员。
县级以上人民政府农业、工商等监督管理部门应当加强对农产品质量安全监督管理人员的业务培训。
第十七条 农产品生产企业、农民专业合作经济组织应当建立农产品生产档案,完整记录农业投入品使用、病虫害防治等情况。
第十八条 鼓励农产品生产企业、农民专业合作经济组织制定、实施严格的企业内控标准,开展农产品产地认定和农产品质量认证工作,生产高标准的优质农产品。
第四章 监督检查
第十九条 县级以上人民政府农业行政主管部门应当对实行市场准入的农产品进行质量安全监督抽查。省人民政府农业行政主管部门应当及时发布监督抽查结果。
第二十条 县级以上人民政府农业行政主管部门在农产品质量安全监督检查中,可以对生产、销售的农产品进行现场检查,调查了解农产品质量安全的有关情况,查阅、复制与农产品质量安全有关的记录和其他资料;对经检测不符合质量安全标准的农产品,依法查封、扣押,监督进行无害化处理或者集中销毁。
第二十一条 县级以上人民政府农业、工商等监督管理部门在监督检查或者市场抽查检测中发现不符合质量安全标准的农产品时,应当及时查明责任人,依法予以处理或者提出处理建议。
第五章 法律责任
第二十二条 县级以上人民政府农业、工商等有关监督管理部门及其工作人员不依法履行监督职责,或者玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第二十三条 违反本办法第七条、第八条、第九条规定,销售的农产品未按照规定包装或者未附加标识的,由县级以上人民政府农业行政主管部门责令限期改正;逾期不改正的,可以处二千元以下罚款。
第二十四条 违反本办法第十一条规定,批发市场、农贸市场、超市、配送中心未按规定进行抽查检测和公示检测结果的,由县级以上人民政府农业行政主管部门责令改正;逾期不改正的,可以处二千元以上二万元以下罚款。
第二十五条 违反本办法第十三条规定,采购检测不合格或者来路不明的农产品的,由县级以上人民政府卫生行政主管部门责令限期改正;逾期不改正的,可以处二千元以下罚款。
第二十六条 违反本办法第十四条规定的,由县级以上人民政府农业、工商、卫生、质监、商务等监督管理部门依据各自职责,责令生产企业召回产品,销售者停止销售,对生产企业并处货值金额三倍的罚款,对销售者并处一千元以上五万元以下罚款;造成严重后果的,由原发证部门吊销许可证照。
第二十七条 违反本办法第十六条第一款规定的,由县级以上人民政府农业或者工商行政管理部门责令限期改正;逾期不改正的,可以处五百元以上一万元以下罚款。
教师聘用必须坚守准入门槛 篇6
当强势者与弱势者发生争执或冲突时,国人的同情心总是习惯性地如潮水般地涌向弱势的一方,而忽视了对事件真相的追问。任何事情往往都有看得见的一面与看不见的一面。在这次有关代课老师媒体事件中,大多数公众只看到三位老师“弱势”的一面,却忽略了对他们的言行动机的追问。从目前报道的事实来看,整个事件的起因其实非常简单,无非就是三位老师招调考试没考好,于是在教师中和网络平台上散布煽动性言论。为了维持社会的稳定,当地教育主管部门就在生态园约了这三位情绪失控的老师做思想工作,而在三位老师看来,则等于变相的“软禁”,于是发短信向报社求助。
对于三位老师因不能人编而带来的心理焦虑和心理压力,我深表同情。虽然日本小说家村上春树曾说过:“在一道坚固的高墙与一个撞破在墙上的鸡蛋之间,我永远会站在鸡蛋一边。”然而,同情归同情,却也不能不说,在这次事件中,这三位老师所扮演的绝非仅仅只是处于弱势的无辜者的角色。
如果这三位老师考得比较好,我想,他们将心态平和地去迎接新的一年的到来,绝对不会去到处散布那些煽动性的言论了。由此可见,他们散布这些言论的动机其实很简单,无非就是想通过舆论的压力,逼迫政府就范,想不通过招调考试这道门槛直接人编。当然,也不排除他们只是为了发泄一下自己因在考试上的失败而郁积的负面情绪。
三位老师的心情我们可以理解,但对于他们的做法却实在不敢恭维。任何职业,尤其是那些对技术或知识的要求比较高的职业,必须设定相应的准入门槛,否则,该职业的从业水准和职业道德就没法维持,真正受害的人将是广大的公众。就教师这一行业来说,如果准入门槛太低,或缺乏优胜劣汰的机制,则无异于押上了整个国家或民族的未来。教育是一件事关全体公民的公共利益的大事,如果让部分素质较差的人混入了教师队伍,或者为了满足少数群体的利益诉求而毫无原则地降低准人的门槛,对受益的那少部分人来说,无疑是“公正”的,可对于大多数公民而言,却是最大的不公正。
撇开“约谈”还是“软禁”的争议,此次事件的焦点其实就在于是否应该设置代课老师的准入门槛,应该怎样设置这个门槛,以及现行准入门槛的设置是否合理的问题。如上述,设置并坚守代课老师的准入门槛是绝对必要的。如果三位老师对现行的准入门槛的设置有什么不满,或觉得在某些地方有必要进行改进,完全可以通过正式的和合法的渠道向相关部门提出一些具有可操作性的建设性意见,这些部门未必不会考虑他们的意见。
此外,因考试不利,想通过公共的言论平台的方式发泄自己的负面情绪,也未必不可以,但这种言论毕竟是一个发生在公共空间的事件,故必须遵循在公共空间发言的“游戏规则”,即所有言论必须建立在合理、合法的基础上,要摆事实,讲道理,依靠事实与逻辑的力量服人,而不是一味的情绪发泄,甚至散布无根据的谣言或无理取闹。
准入控制论文 篇7
1 部署所需相关技术
基于身份认证的准入控制是一种对局域网访问安全性的解决方法,由于学校采用的是域控制的管理,因此本部署设计主要包含了802.1X、AAA、PKI、域控制等技术的综合应用。
1.1 802.1X技术
802.1X技术旨在用认证方式解决并提供基于端口的访问控制,它主要有3部分组成:请求者、认证者、认证服务器。
请求者:请求访问网络的设备即客户端。
认证者:网络登录点设备。
认证服务器:对请求者执行认证的设备。
请求者与认证者之间运行的EAP协议,在以太网上的EAP称作为EAPOL,它是一种802.1X中的协议且承载了EAP协议,而EAP数据包内包含的是具体的认证信息。EAP提供了一种认证手段,它的常用类型包括:EAP-MD5、EAP-TLS、PEAP等。
1.2 AAA技术
AAA技术在网络准入控制中的起到了重要的作用,为了验证请求者的合法性,这个认证的任务是有认证服务器完成的,而认证服务器一般是AAA服务器,主要用来指导管理员以统一的方式设置三个独立的安全功能。AAA服务主要是指:认证、授权、审计。
认证:负责在用户访问网络或网络服务以前,对用户进行认证。
授权:为远程访问控制提供网络服务,包括一次性授权,或者基于每个用户账户列表或用户组为每个服务进行授权。
审计:主要是对记录用户对各种网络服务的使用情况提供计费、查账、报告。
1.3 PKI技术
PKI是一系列基于公钥密码学之上,用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。该技术中的核心就是数字证书,它是由一个可信的CA颁发的,包含用户信息、用户公钥信息、以及身份验证机构数字签名数据。它可以认证持有者真实的身份。每一个申请者CA会给每一个用户分配一个唯一的名称并签发一个包含用户名称和公钥的证书。
2 部署设计的思路与解决方法
基于身份的准入控制部署是建立在802.1X、AAA、PKI技术之上的,结合该高校的网络拓扑以及实际的管理要求,部署前必须满足以下几个要求:
第一,该部署是基于802.1X技术的应用,那么要求硬件和软件设备能够支持802.1X,由于学校里的交换机都是思科2960系列的,完全支持802.1X技术,客户端系统都为Windows XP,默认带有802.1X客户端,其也支持该技术。
第二,为了能够将请求者的认证信息得以认证,部署中需架设AAA服务器,结合校园网的交换机都是思科设备,于是部署中使用了ACS作为AAA服务器。
第三,在802.1X技术中用来验证的身份信息都被封装在EAP中,而EAP的认证方式有多种,本部署采用PEAP的认证方式,而PEAP又涉及到服务器证书的认证,于是采用Windows 2003自带的证书服务进行搭建,由它来进行数字证书的申请颁发等过程。
综上所述,部署所需的硬件和软件条件已经满足,图1是在该高校拓扑图上进行简化后的部署设计图。
该部署设计最终达到的效果是:终端用户开机后只要通过输入域账户密码便能接入校园网,且又提供账户和机器的安全与合法性。
为了达到最终效果,以下是技术上的难点及解决方法:
第一,由于已加入域的用户必须在登录的时候能够访问域服务器才能够登录进系统,然而,默认情况下端口的状态是处于未授权状态的,端口是只接收EAP相关的控制帧,对于数据平面的数据是不允许通过的,这就导致了客户机无法连接到域而无法进入系统。因此如何使得用户能够一次性登录到域是十分关键的,而采用基于机器账号与域账户认证相结合的方法来解决此问题。
第二,由于用于认证账户的主要是ACS服务器和域服务器,前者掌管的是网络接入所使用的合法性,后者是用于针对接入的用户在域中的合法性,因此如何使得2个数据库合2为1双方使用一个数据库是要解决的问题,而ACS可以通过本地映射外部数据库的方式解决此问题。
第三,由于采用的是PEAP的方法进行身份验证,此方法又是基于证书的。因此如何部署证书服务器以及受信任的根证书的颁发是个繁琐的过程,通过域的组策略使用自动的证书颁发可以解决该问题。
第四,由于涉及到机器认证以及域账户的认证过程,因此在VLAN的规划中也必须考虑到的是机器认证后和所对应的用户认证后的VLAN授权问题以及DHCP服务器、域控制器、数字证书颁发机构的VLAN规划。具体规划如表1。
下面介绍该部署是如何对计算机账户和用户账户进行认证和授权的:
当加入域的计算机开机至欢迎界面后,由于交换机使用了802.1X的基于端口访问的认证,默认端口处于未授权状态,因此通过EAP与ACS进行机器账户的认证。
机器账户认证通过后,交换机将该端口授权打开,同时ACS服务器将该端口授权到与域服务器同一VLAN 110中,并且DHCP服务器会自动分配一个VLAN 110的IP地址,此时便能与域服务器通信了,然后使用域的用户名和密码登陆,用户账户通过了域服务器认证后进入系统,此时机器账户将自动注销,端口又处于未授权状态,此时计算机再次通过在PEAP的认证方式下将域用户名和密码进行认证,认证通过后由ACS服务器根据预先定义好的授权策略授权该计算机至VLAN 10中及自动获得该VLAN的IP地址从而接入校园网,用户账户具体验证过程如图2。
整个认证过程中,所有与ACS服务器通信的密码都是在客户机与服务器在PEAP方法所建立的TLS通道中进行验证的,因此整个验证过程十分安全的,保障了机器和用户账户的安全性,并且可以针对不同的用户名通过ACS实现动态VLAN的效果。
3 部署设计的测试结果与分析
通过在交换机上开启802.1X技术以及客户端XP系统开启802.1X身份验证后,计算机登录后在AAA服务器上的日志信息如图3。
图3中的日志中一共包含了3个过程:
框1的这个过程是开机至欢迎界面,计算机名字为jsj的机器账户由交换机将认证信息传递至认证服务器,并且通过了机器认证的合法性,当前处于机器账户运行下。
框2的这个过程是用户通过输入域的账户和密码登录后进入了XP系统,于是自动将机器账户注销,且XP系统的网络连接要求进行用户账户的认证,用户名为jsj的账户通过了验证后,所以当前运行状态为jsj用户账户。
框3的这个过程是当用户账户注销后,此时再次进入欢迎界面而交换机的端口由于用户账户注销后又是处于非授权状态要求进行802.1X认证,于是计算机再次将机器账号通过交换机传送到认证服务器进行认证通过后又处于计算机账户为jsj的状态下。
4 结论
基于身份的校园准入控制部署设计通过实际的应用后发现大大地降低了因为非法计算机和用户的接入而导致的局域网攻击,有效地保护了校园局域网的安全,该部署针对企业网的部署规划也有一定的参考价值。
摘要:随着网络技术的迅速发展,高校的校园网的安全性受到了严重的威胁。多数的局域网攻击都来自于校园网内部非法计算机与人员的接入,因此如何有效地进行准入控制的部署成为了解决内部攻击的首要任务。该部署设计以上海师范大学天华学院为背景,通过将域控制、802.1X、AAA等技术相结合的方式对计算机、用户的身份进行有效地认证,最终达到杜绝非法接入从而保护内网的安全。
关键词:身份认证,网络安全,802.1X,数字证书,AAA
参考文献
[1]童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网络安全技术与应用,2011(1).
[2]陈莹.校园网安全问题及防范策略[J].信息安全与技术,2011(7).
[3](美)Cisco公司.信达工作室译.Cisco IOS网络安全[M].北京:人民邮电出版社,2001.
[4]齐铁.高校内网信息安全研究[J].赤峰学院学报:自然科学版,2011(4).
[5]钟永全.高校网络安全初探[J].计算机光盘软件与应用,2011(11).
[6](美)Eric Vyncke.LAN Switch Security[M].cisicopress.com,2010.
[7]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009(7).
准入控制论文 篇8
随着网络环境愈发复杂,国家对铁路信息系统的安全级别提高到了《信息安全等级保护》的范畴,这就意味着铁路信息系统需要进一步提高安全等级。为此,铁路部门非常重视各种信息系统的安全建设。
现有铁路各信息系统中一般都部署了防病毒、补丁分发等安全措施,起到了一定的网络安全防护作用。但随着网络的发展,这些单个、相对静态的防护措施如何能够进一步的增强和扩展,如何能够有效的结合在一起提高系统安全性,达到国家对铁路系统的安全要求,这就是需要探讨的网络安全准入控制系统。
1 网络安全准入控制技术概述
网络安全准入控制的核心概念是从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器和网络设备,以及第三方防病毒、系统补丁等服务器,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。
现今,思科、赛门铁克、H3C等厂家已有成熟的网络安全准入控制系统,可以支持常见的准入控制、安全管理、防病毒、补丁分发、ACL(访问控制列表)下发、防ARP攻击、U盘外设管理等功能。其可以实现对整个系统的接入控制、可视化和动态的管理,增强系统的高安全。
2 铁路系统应用方案
对于铁路各信息系统应用网络安全准入控制系统,只需增加安全策略服务器、认证服务器,并结合已有的防病毒、补丁分发、网络设备等,即可进行无缝、有效的整合,形成一套联动的系统,实现准入控制等强大的功能。
2.1 铁路信息系统现状
铁路行业各信息系统的网络构架以典型的E1环形网络为主,网络接入节点为车站,核心节点一般为铁路局。铁路信息系统具备常用的防病毒和漏洞补丁等安全设备,可以起到对网内固定的计算机、服务器等设备进行病毒防护和补丁升级,但对于系统中是否有其他终端接入,接入的终端设备是否合法,合法用户终端系统是否安全等并未做更进一步的控制。
2.2 网络安全准入控制实现方式
网络安全准入控制系统以既有系统网络为基础,在网络核心交换机处设置隔离区,增加安全策略和认证服务器,并利旧补丁分发和防病毒服务器。隔离区中服务器与既有服务器群采用不同VLAN子网隔离开来。在既有车站路由器开启802.1x通用认证协议。
2.2.1 系统构成。(1)安全策略服务器及安全代理客户端。(2)认证服务器。(3)防病毒、补丁分发服务器。(4)网络设备。
2.2.2 系统要求。用户终端计算机必须安装准入控制系统客户
端软件,在接入网络前首先要进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。在接入路由器或交换机中要部署802.1x认证,结合认证服务器进行联动,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。安全策略服务器中配置用户的服务策略、接入策略、安全策略,用户进行802.1x认证时,由安全策略服务器验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由安全策略服务器确定用户的ACL、VLAN以及病毒监控策略等。防病毒、漏洞补丁服务器部署于隔离区。
2.2.3 流程说明。(1)用户上网前必须首先进行身份认证,确认是
合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报安全策略服务器。(2)安全策略服务器检测补丁安装、病毒库版本等是否合格。(3)安全策略服务器通知接入设备,将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。(4)安全客户端通知用户进行补丁和病毒库的升级操作。(5)用户升级完成后,可重新进行安全认证。(6)如果用户补丁升级不成功,用户仍然无法访问其他网络资源,可进行相应检测。(7)用户可以正常访问其他授权(ACL、VLAN)的网络资源。
2.3 实施效果
(1)由于接入节点路由器或交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访(前提是车站交换机支持802.1x,如果是在路由器实现802.1x则无法控制车站内的终端之间互访)。(2)合法用户接入网络后,其访问权限受路由器或交换机中的ACL控制。特定的服务器只能由被授权的用户访问。(3)合法用户接入网络后,其互访权限受路由器控制,实现对终端接入网络访问控制。(4)用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。(5)通过使用网络准入系统客户端软件,可对用户的终端使用行为进行严格管理,比如禁止U盘、禁止光驱等。
3 网络安全准入控制系统优势
(1)系统整合后将安全防范由静态转向动态方式,对于所有网络接入用户可实现接入控制和监控,及时发现非法接入情况,对整个系统实现“透明可视”,降低了系统风险。(2)系统整合后将以往部署的防病毒、补丁分发功能进一步的功能扩大,可实现对于既有系统正常用户进行“体检”,发现其安全缺陷,而进一步的进行修复,更加智能化,同时带来的是更高的安全性。(3)该系统可以无缝的直接整合在既有系统中,具备一定的兼容和适用性。(4)整合现有防病毒、补丁分发、终端操作系统管理维护等功能,进行集中、统一管理和维护,减少维护管理工作量。
4 结束语
网络安全准入控制系统旨在整合现有资源,全面、可靠的保证系统安全性和可靠性。在铁路信息系统应用,可以以较少的投入实现高安全性、可视化和动态防护的功能。同时,对于铁路各信息系统之间的访问控制,则可以新增或利旧既有的防火墙、网闸来实现安全隔离访问,进一步完善系统间的安全性。
随着国家铁路信息化安全建设的推进,网络安全准入控制系统以其全面、高效、安全的特点,必将在行业内得到应用和推广。
参考文献
[1]H3C EAD终端准入控制解决方案[Z].2010,3.
[2]思科NAC网络准入控制白皮书[Z].2008,4.
准入控制论文 篇9
2010年,我校成为首批全国20所“思科校企合作岗前实训基地”建设院校之一和广东省高职类院校两所入选院校之一。思科岗前实训基地投资近600万元,于2012年建设完毕且已正常投入教学使用。思科校企合作岗前实训基地由“思科网真空中课堂”和“思科网络技术实训室”两部分组成,思科校企合作岗前实训基地不仅要服务本校师生和认证考试,同时要与时俱进,服务兄弟院校的师资培训,承担服务社会的责任,扩展社会培训的职能,把基地建成服务师生的基地、省内师资培训的基地及社会服务和社会培训的基地等。该文主要从怎样结合思科校企合作岗前培训基地的良好硬件来整合出完备的实训方案。
2 NAC网络准入控制简介
思科NAC网络准入控制是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、手机、服务器、PDA)接入网络,而不允许其它设备接入。
3 部署拓扑图及说明
如图1所示,思科推荐的NAC网络准入控制解决方案,Manage-pc不能与CAS处于同一网段,须经过三层路由来间接控制。接入PC一旦接入交换机SW2950,该交换机即利用SNMP发出TRAP信息给CAM,告诉CAM那个端口PC的MAC地址,CAM也通过SNMP的写操作通知交换机将该PC划分到Untrust的Vlan。当接入PC一旦想要上网,在上网之前,接入PC通过Untrust Vlan发送流量经过CAS,CAS就给接入PC安装一个软件,该软件审核接入PC的补丁,病毒之类,通过后,CAS告诉CAM该接入PC安全。CAM利用SNMP信息的写操作告诉交换机SW2950,让交换机将接入PC的接入的接口从Untrust转为Trust。
4 NAC网络准入控制部署及具体实现关键步骤
4.1 CAM的初始化配置
安装完Linux系统后,重启后选择安装选项1-cca manager安装直到结束,就可以用web登录https://10.10.30.100/admin,用默认账号名为root,之后就可以进行配置了。在配置过程中需要加载许可证书(可以购买或者思科网申请一个使用licence),选择选项Install License即可,有的license是不能做out-of-band的,即web页面上没有OOB Management的选项。
4.2 CAS的初始化配置
安装完Linux系统后,重启后选择安装选项2-cca server安装直到结束,重启后用用默认账号名为root就可以进行配置了,主要配置有指定按入管理vlan 100、Eth1—和eth0一样的ip地址和网关、vlan id、passthrough和management vlan tagging都选择no。
4.3 CAM关联CAS
(1)各自导出证书,具体实现为:Cam—Administration→CCA Manager→SSL→X509 Certificate→选中→export。Cas—Administration→SSL→X509 Certificate→选中→export
(2)互相导入证书,具体实现为:Cam—Administration→CCA Manager→SSL→Trusted Certificate Authorities→浏览→加载对方的证书→import。Cas—Administration→SSL→Trusted Certificate Authorities→浏览→加载对方的证书→import
(3)Cam→Device Management→CCA Services→New Server→Server IP Address,将Server IP Addres设为CAS IP,Server Location处填写CAS name,Server Type:Out-of-Band Virtual Gateway→Add Cleam Access Server
(4)Cam→CCA Services→List of Servers→Manage,看是否管理成功。
4.4 管理CAS
(1)CAM→Device Management→CCA Server→点击添加的cas上的manage→network→IP(命令行上CAS已经配好)→DHCP→DHCP Passthrough(如果在交换机SW3560已经做好vlan 101的dhcp,则默认passthrough)→Advanced→Managed Subnet→IP Address:10.10.31.250(是trust的dhcp网段中的一个没被使用的ip)→Subnet Mask:255.255.255.0→vlan(untrust vlan)→Add Managed Subnet
(2)在SW2950上做SNMP的配置如下:
Snmp-server community RO ro
Snmp-server community RW rw
Snmp-server enable traps snmp linkdown linkup
Snmp-server enable traps mac-notification
Snmp-server host 10.1.30.10 rack_02_sw1(该IP为CAM的接口地址)
4.5 添加交换机
(1)OOB Management→Devices→Devices→New→Device Profile:rack_02_sw1→Device Group:Device Group→Default Port Pro-file→保持默认→IP Address:10.10.30.20(rack_02_sw1的管理IP)
(2)OOB Management→Devices→Devices→List→Ports→Profile→调用指定的Port_Profile(仅在接入pc的接口上调用)→Update→Advanted→Save
(3)查看交换机rack_02_sw1的接口,会被推送一些配置为:snmp trap mac-notification added。
4.6 测试
在rack_02_sw1接上PC先确保地址可以自动获取地址,获取后如果需要正常的接入internet,则会需要键入创建的角色的用户名和密码,通过认证后接入PC的交换机的接口则收到推送过来的Trust Vlan的配置,即Vlan 301这时的Vlan和IP都匹配正确,就可以正常上网了,就表明NAC网络准入控制部署成功了。
5 结束语
虽然大多数机构都使用3A机制来验证用户,给合法用户分配网络访问的权限,但是这些对验证用户终端设备的安全状况几乎起不到任何作用,而NAC网络准入控制使用的是网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而可以让病毒、木马、蠕虫及间谍软件等新兴安全威胁损害网络安全性大大降低,大大提高了网络的安全性,网络的可用性。
本文给出了基于高职学校思科校企合作岗前实训基地建设过程当中的一些实际部署和实现方案,对高职学校建设网络安全实验室具有一定的实际意义,能更好的指导岗前实训基地的建设和实现。
摘要:该文从广东科学技术职业学院思科岗前实训基地实际建设入手,介绍思科岗前实训基地NAC网络准入控制的部署及实现,并从实际应用提出一个完整思科岗前实训基地NAC网络准入控制建设方案。为构建可信的网络环境,应对身份认证及权限控制等安全问题,基于CISCO NAC技术在实际建设中实现了完备、高性能及高安全的网络准入控制系统。
关键词:网络准入控制,岗前实训基地,NAC
参考文献
[1]Denise Helfrich,Paul Forbes.Cisco Network Admission Control[M].America:Cisco Press,2006.
准入控制论文 篇10
所谓外部终端就是非移动集团公司内部的自有终端统称为外部终端。此类终端有以下特性:
1) 集中分布在集团分公司的某些楼层。
2) 长期驻场完成业务软件开发和调试工作。
3) 短期驻场完成业务软件开发和调试工作。
4) 临时驻场完成业务软件开发和调试工作。
5) 这些终端均由驻场人员自行带进移动集团各分公司, 基本上为笔记本电脑。
6) 操作系统版本、类型不统一。
7) 防病毒软件安装与否无法控制, 防病毒软件版本无法控制。
8) 终端自身的安全状态无法检查和控制。
9) 终端访问集团分公司内部核心资源时, 无法保证数据不外泄。
鉴于此, 我认为必须建立一套有效的管理机制和流程, 除了行政上的管理手段以外, 特别是在外部终端的准入控制方面需要加强。
建立外部终端安全准入控制系统的意义在于:解决外部大批量的计算机安全管理问题。具体来说, 这些问题包括:
1) 实现对网络内部所有的计算机接入网络进行准入控制, 防止外来电脑或者不符合安全规定的外部电脑接入内部网络中;
2) 实时、动态掌握网络整体安全状况, 建立实时安全评估体系, 掌握外部各种终端接入设备的安全运行状况, 为领导决策、部署安全工作任务提供支持, 为维护人员的提供管理维护便利;
3) 建立防泄密体系, 强化存储设备管理, 对公司内部资料进行保护, 防止各种渠道外传, 对U盘、软盘、光盘等存储设备进行管理;
4) 建立桌面电脑的接入前的安全基线和接入后的强制安全加固措施, 对数量众多, 最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系, 以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;
5) 确保集团内部的计算机使用制度得到落实, 例如:拨号上网, 使用外部邮箱, 访问非法网站, 聊天工具, P2P软件的使用等;
准入控制的终极意义:确保身份合法、安全状态健康的终端方可接入网络访问被授权的网络资源。
1.1 准入控制的模型
在详细介绍准入控制技术之前, 可以先看一下一个普通旅客的登机过程, 如上图所示, 登机由以下流程构成:
1) 注册登记——购买机票的过程。
2) 身份检查——校验机票、身份证以及行李的合法性。
3) 安全隔离——如出现不合法的身份和违禁携带的物品, 则进行隔离处理。
4) 安全修复——把违禁物品从行李中剥离出来。
5) 进入登机口——根据登机牌的指示, 从正确的登机口进入登机区域。
6) 登入正确的飞机——根据登机牌的指示, 登入正确的飞机。
为了更好的理解准入控制技术, 我们可以把以上6个步骤所在的区域划分一下:
1) 在没有购买机票之前, 旅客所活动的区域称为访客区域。
2) 在购买了机票之后, 换了登机牌, 进行安全检查的过程所在的区域, 称为修复区域。
3) 在通过了安全检查以后, 进入的活动区域, 称为工作区域。
【访客区】:一般情况下, 定义访客区的网络资源是可以被任何用户的终端访问的, 如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。
【修复区】:修复区网络资源是用来修复安全漏洞的, 如补丁服务器、防病毒服务器、软件安装包服务器等, 不符合组织安全策略要求的终端被限制在修复区中, 强制它们进行安全修复。
【工作区】:工作区即是合法用户通过认证、检查并成功进入网络后, 规定用户可以访问的网络资源, 如:文件服务器、邮件服务器、其它应用系统等。
准入控制可以很好的跟旅客登机模型进行匹配, 部署准入控制系统后, 会改变了电脑终端接入网络的行为模式。一般来说, 外部终端接入网络需要:
1) 注册登记, 外部终端要访问网络资源之前, 需要在网络上注册登记 (用户账户登记、终端ID注册等) , 取得接入网络的权限。
2) 接入检查, 终端在接入网络时, 准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
3) 安全隔离, 如果在接入检查时, 发现终端不符合安全规定, 需要对终端进行隔离或拒绝其访问网络资源, 例如:发现是外来终端则拒绝接入或进入“访客区”网段, 或者是内部不符合安全规定的终端, 则让其进入“修复区”。
4) 安全通知, 对被隔离的终端进行通知, 告知其被隔离的原因。
5) 安全修复, 自动引导被隔离的终端, 让其修复安全设置或者进行注册登记, 使得其可以正常访问网络资源。
一个完整的网络准入控制系统, 应该必须包括以上五个方面的内容, 缺少其中一个或者两个方面的内容, 就不是完善的解决方案, 会给准入控制系统的部署和推广带来问题。
1.2 准入控制技术的工作原理
经过1.1章节对准入控制的模型有了初步了解之后, 我们明白借助准入控制技术来管理外部终端是非常有意义的。针对目前多种准入控制技术, 如何选择适合我们环境的准入控制方式呢?在做选择之前, 首先我们了解一下各类准入控制技术的工作原理。
1.2.1802.1X准入控制技术
802.1x协议是基于Clie nt/Se rve r的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前, 802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前, 802.1x只允许EAPoL (基于局域网的扩展认证协议) 数据通过设备连接的交换机端口;认证通过以后, 正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE (端口访问实体) 。在访问控制流程中, 端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息, 对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口, 物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问, 受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果, 控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户设备的访问。
1.2.2802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议, 不需要到达三层, 对设备的整体性能要求不高, 可以有效降低建网成本;借用了在RAS系统中常用的EAP (扩展认证协议) , 可以提供良好的扩展性和适应性, 实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能, 从而可以实现业务与认证的分离, 由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制, 业务报文直接承载在正常的二层报文上通过可控端口进行交换, 通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本, 并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.2.3802.1x工作过程
1) 当用户有上网需求时打开802.1X客户端程序, 输入已经申请、登记过的用户名和口令, 发起连接请求。此时, 客户端程序将发出请求认证的报文给交换机, 开始启动一次认证过程。2) 交换机收到请求认证的数据帧后, 将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3) 客户端程序响应交换机发出的请求, 将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4) 认证服务器收到交换机转发上来的用户名信息后, 将该信息与数据库中的用户名表相比对, 找到该用户名对应的口令信息, 用随机生成的一个加密字对它进行加密处理, 同时也将此加密字传送给交换机, 由交换机传给客户端程序。5) 客户端程序收到由交换机传来的加密字后, 用该加密字对口令部分进行加密处理 (此种加密算法通常是不可逆的) , 并通过交换机传给认证服务器。6) 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比, 如果相同, 则认为该用户为合法用户, 反馈认证通过的消息, 并向交换机发出打开端口的指令, 允许用户的业务流通过端口访问网络。否则, 反馈认证失败的消息, 并保持交换机端口的关闭状态, 只允许认证信息数据通过而不允许业务数据通过。
1.2.4EAPOU准入控制技术
目前主流和成熟的网络准入控制技术要有EAPOL (Extensible Authe ntication ProtocolOve rLAN, 或者称为EAP Ove r LAN或EAP ove r 802.1x) 技术和EAPOU (Exte ns ible Authe ntication Protocol Ove rUDP, 或者称为EAP Ove rUDP或EOU) 技术。EAPOL是在网络的接入层进行准入控制, 而EAPOU是在网络的汇聚层或核心层进行准入控制。
EAPOU是EAPOL网络准入控制技术的有益补充, 可有效解决因接入层设备不支持802.1X情况下的设备投入、网络改造及维护问题, 具有很高的灵活性和可靠性。
基于EAPOU网络准入控制应用场景中的需要专用EAPOU设备。一般部署在网络中的汇聚层或核心层, 与汇聚层或核心层的交换路由设备连接。EAPOU设备的工作原理是, 汇聚层或核心层设备启用策略路由, 可以将接入网络中的指定范围内的网络访问都路由到EAPOU设备, 当EAPOU设备接收到终端设备发来的数据包时, EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内, 在EAP认证的内容中, 除了身份认证外, 还要进行终端设备的安全状态认证。EAPOU设备根据源IP地址对应的设备的网络准入控制状态来决定是允许、拒绝还是重定向。对于经过验证之后允许接入的数据包, 其下行的数据包则从正常的路由汇聚层或核心层设备走, 不再经过EAPOU设备。EAPOU设备的认证的流程如下:
1) 没有安装了准入客户端代理:如果没有安装, 则按照无代理 (nah, agentless host) 主机处理。其中, 被设置为例外 (nah-excpe tion) 的主机可以允许访问网络;其余的通过ACL限制其访问网络资源, 同时对该地址的Web访问进行重定向, 重定向到管理员指定的页面, 以便提醒、安装LeagView客户端代理;
2) 已经安装了准入客户端代理:如果已经安装了准入客户端代理, 则EAPOU设备对该客户端发起基于EoU (EAPoverUDP) 协议的认证, 将客户端的EAP包转发到准入控制策略管理服务器中的Radius服务器, 由Radius服务器对接入的客户端进行身份验证和安全策略校验;如果身份验证不通过或安全策略校验不通过, 准入控制策略管理服务器则下发ACL到EAPOU设备对其网络访问进行限制, 同时也可以通过对Web访问重定向进行提醒和协助修复;如果身份验证通过并且安全策略符合, 则下发ACL允许其访问网络资源。
1.3 准入控制技术的选择
通过对802.1x?和EAPOU的工作原理的分析, 同时结合目前外部办公人员的网络环境, 选择EAPOU的准入控制技术是比较合适的。原因如下:
1) 接入层交换机型号较老, 存在部分交换机不支持802.1X协议和需要升级或更换交换机。2) 采用802.1X会带来比较繁重的施工量。3) 系统可靠性方面的考虑, 如关键组件故障会导致接入层的终端准入校验失败, 影响面较大。4) 系统实施完毕后, 维护工作量较大。5) 不能解决私接HUB, 无线路由器和AP的准入控制问题。
2 准入控制技术的对比和总结
通过第1章的详细介绍, 下面我针对该2种技术做以详细的对比:
3 总结
根据以上的论述, 我认为选择EAPOU的技术来建立对外部终端的准入控制管理体系是非常有价值, 主要体现在以下几个方面:
1) 可以分批分阶段, 根据VLAN进行建设;2) 可以快速部署, 能立竿见影;3) 易维护, 易管理, 易排错;4) 对网络环境及配置变更最小;5) 能有效解决外部终端接入的随意性;6) 能有效解决外部终端对内部资源访问的不能灵活控制的局面;7) 能有效解决不安装客户端的终端对内部资源访问的灵活授权问题;8) 能全面增强信息系统的安全性;9) 具有可实施、可管理、可推广的特点。
摘要:本文主要阐述如何利用准入控制技术有效的安全管理长期 (短期临时) 的驻场外包人员。主要论证基于802.1X、EAPOVERUDP二种准入控制技术中哪一种或多种技术能适应移动运营商驻场外包人员的环境。最终选用基于旁路部署准入控制网关的方式来解决外部终端的准入控制问题。
关键词:准入控制,外部终端
参考文献
[1]RFC3580-IEEE802.1X Remote Authentication Dial In User Servic.
破除行业不合理准入壁垒 篇11
2011年国内外经济形势复杂多变,党中央、国务院审时度势,积极应对,坚持以科学发展观为主体,以加快转变发展方式为主线,中国国民经济总体呈现出增长较快,民生改善的良好态势。这一年虽然民营经济发展遇到了较大的困难和挑战,但依然显示出蓬勃生机和强劲的活力。
民营经济在“稳增长、调结构、保民生”方面发挥了重要作用
在“稳增长”方面,民营经济发展规模不断增长,投资和出口增幅较快。从数量规模看,截至2011年9月份的统计,全国登记注册的私营企业已超过900万家,全国注册登记的私营企业注册资金总额25万亿,各地工商户超过3600万户,注册资金总额超过1.5万亿;从投资看,截至2011年10月,民营经济城镇固定资产投资14.2万亿,占全国的58.9%;从数额看,截至2011年11月,民营企业出口总额超过5700亿美元,同比增长33.3%,占全国三分之一。
在“调结构”方面,民营经济在产业分布、区域发展上的结构更趋合理,民营企业自身更加注重转型升级。在产业分布上,截至2011年9月,第三产业的私营企业超过65万户,占比近70%,注册资金超过16万亿元,占比达三分之二;在区域发展上,2011年9月相较2010年底,中部地区私营企业户数增长幅度达13.1%,注册资金增长27.6%,西部地区户数增长13.8%,注册资金增长35.4%,均快于东部地区;在组织结构上,公司制企业发展迅速,截至2011年9月,私营有限责任公司和股份有限公司分别超过780万家和2.6万多家,各自增长12%和27.7%,增长率显著高于独资企业与合伙企业。2011年4月,我国民营上市公司数量首次突破1000家,延续了近两年来民营公司上市的强劲势头,在组织结构日趋优化的同时,越来越多的民营企业把科技创新作为企业发展的重要组成技术。
在保民生方面,民营企业在稳定和扩大就业岗位的同时主动参与创新社会管理,积极履行社会责任,并通过参与经贸活动推动地区经济发展和人民生活改善。
在吸纳就业上,民营经济中仅私营企业2011年前9个月就提供新增就业岗位八百多万个,按个体户新增户数计算,以创业带动就业两百多万人。民营经济特别是中小企业的快速发展已经成为吸纳社会就业,增加城乡居民工资性收入,不断改善人民生活的重要来源。
在履行社会责任上,越来越多的民营企业自觉践行“以利兼顾,以义为先”的理念,积极投身光彩事业和感恩行动。据统计,在“光彩事业新疆行”活动中,民营企业在新疆新增投资总额1200多亿元;在“感恩行动”中,13.2万家民营企业积极参与,受助对象30.6万人,资助金额和物质总计75.7亿元,招工扶贫60万人,惠民项目到位资金90亿元。
在发展企业的同时许多民营企业坚持以人为本,关爱员工,建立工资增长机制,努力构建和谐劳动关系,在加强和创新社会管理中,发挥了积极的作用。
在推动地区经济发展上,近两年来,在珠三角、海西经济区、青海、安徽、贵州,全国工商联积极搭建平台,通过一系列经贸活动累计组织民营企业投资总额超过3.5万亿元。也就是说2010—2011年民营企业在区域发展当中投资总额超过3.5万亿元,业已成为发达地区加速经济腾飞,人民实现全面小康,欠发达地区不断发展壮大县域经济,夯实经济基础,改善人民生活的重要推动力量。
民营经济尤其是中小企业
发展机遇与挑战并存
当前,世界经济格局发生深刻的复杂变化,国际金融危机继续蔓延,国内经济运行出现不少新情况、新变化的情况下,经济下行压力明显增大,民营经济特别是中小企业量大面广,势单力薄,经不起危机的冲击,在发展中遇到了不断的挑战,突出表现为“两高两难”:生产经营成本高,税费过高,融资难,招工难。最主要的问题是生产经营成本高,很多中小企业,特别是制造业小型、微型企业应对能源、原材料、劳动力、土地、租金、汇率的变动等生产要素成本上升的消化能力弱,生产经营处于微利或无利状态,有的甚至难以为继。
税费过高。有些企业涉税额度高,有些小型、微型企业交纳金额超过净利润。税制设置不合理,存在重复征税现象,征税项目过多,征收随意性大。
融资难。商业银行虽然也做了很多努力和尝试,但仍然不足,从贷款投向上看,依然主要是投放给大中型企业,专门服务小型、微型企业的村镇银行和小额贷款公司、小型金融机构发展不足,民营融资成本普遍偏高。
招工难。小型、微型企业职工招不进,留不住,聘请竞争型人才小城市比大城市难,招收普通工人,东南沿海比西部地区难。这种用工的结构性矛盾将会在较长时期内仍然存在。
综合分析,民营经济当前遇到的突出困难与我国经济发展阶段和民营企业自身素质密切相关。目前我国正处在经济结构深度调整,发展方式转变的攻坚阶段,一些产生盲目扩展和无序发展,大量淘汰落后产能将是国家长期采取的政策导向,这必将给那些自主创新能力弱,处于产业链低端,管理水平不高,粗放式经营,产品缺乏竞争力,信息不灵等,尤其是以简单加工为主的小微企业来说,带来的生存压力是很大的。
尽管如此,现阶段,在我国努力促进经济平稳较快发展,大力发展战略性新兴产业,现代服务业,不断扩大国内需求,加快城镇化建设的背景下,民营经济尤其是中小企业的发展面临新一轮的重大机遇。
一是中小企业发展环境进一步改善。2009年“中小企业二十九条”通过减免税费,改善金融服务等扶持政策,促使中小企业发展环境优化。2010年初,“民间投资三十六条”为民间资本进入重点行业和领域带来了新的契机。针对当前中小企业发展遇到的突出困难和问题,国务院前一段阶段还专门出台了支持中小企业特别是小型、微型企业的金融、财税等九项政策措施,工信部编制了《十二五中小企業成长规划》。
今年将组织开展“中小企业服务年”活动,以支持创新型、劳动密集型特别是小型、微型企业为重点,进一步出台扶持中小企业、小型、微型企业发展的一揽子工作意见,更好完善落实扶持政策,加强引导,改进服务,促进中小企业发展环境不断优化。
最近召开的中央经济工作会议和中央金融工作会议强调,要加强发展民营经济,支持中小企业发展,这一系列措施表明了党中央、国务院坚定中小企业的发展,重点抓好实体经济的决心和信心,为中小企业发展营造了良好的政策环境。以制造业和服务业为主体的中小企业作为实体经济的重要基础,即将迎来大有作为的机遇。
“十二五”时期,我国将加快推进产业结构的优化调整,大力发展先进制造业,加快发展现代农业和现代服务业,进一步加大知识产权保护力度,推进自主创新旗帜的形成,稳步推进城镇化建设,大力实施区域经济发展战略,这都为中小企业高效配置各种生产要素资源,有效增强核心竞争力提供了重要的机遇。
二是国际市场环境孕育着新的机遇。世界范围新技术革命的兴起,各种新兴主导产业的出现,将创造大量的发展机会,有条件的民营企业通过技术创新,商业模式的创新,有可能发展成为行业领先的“小巨人”和跨国企业集团公司。尤其欧洲、东盟、东北亚、西亚等国家和地区,更加关注中国优质企业,提供更多的优惠政策吸引中国企业的投资,也可能减少投资的成本,为民营企业充分利用两个市场,两种资源来发展自己提供了重要的机遇。最近由全国工商联发起成立的“中国民营经济国际合作商会”将在中国民营经济“走出去”方面发挥基础作用。
nlc202309030728
发展中小企业是社会主义初级阶段
基本国情的必然要求
在我国经济社会发展中,中小企业发挥着不可替代的作用,是社会主义现代化建设的重要战略任务。
一是现在中小企业不是发展太多,而是远远不够,尤其当前我们要把保生存,谋发展作为帮扶中小企业的重要着力点。对中小企业,特别是小型、微型企业实行普惠的税收政策。一方面建议把帮助企业渡过难关作为紧要任务,将小型、微利企業所得税减半征收作为一项长期的政策,设定灵活的年纳税所得额门槛,进一步提高小型、微型企业的增值税、营业税的起征点,实行大、中、小、微型企业社会保险费率差异化政策,严格落实国家取消253项涉及行政事业型收费的要求,全面清理不合理的收费项目。另一方面把引导企业转型升级作为重要的任务,把减税作为调整结构,转方式中的积极作用,鼓励中小企业依靠新技术提高核心竞争力。
二是对缓解中小企业融资难,融资贵的问题,给予有力的政策倾斜。首先要让中小企业融到资金,生存下来,继续鼓励商业银行积极开发适合中小企业需求的多种金融产品,拓宽抵押品的范围。改革银行对中小企业的考核方式,将贷款发放数量,企业户数都纳入考核范围,允许符合条件的民间资本作为发起人,设立村镇银行,防范金融风险的前提下,放宽小额贷款公司转制调整,创新发展社区银行、科技银行,融资租赁公司等,专门面向小型、微型企业的金融机构。关键是要让中小企业以合理的价格用得起资金,要不断创造条件,推动小型金融机构降低贷款利率,创建小型、微型企业征信机制,整合分散在工商、税务、银行、海关等部门的企业信用记录,加强信用管理,规避信用风险,加快建立银行与担保公司风险共担机制,进一步提高担保公司资金放大倍数。
三是不断扩大民间投资,发展实体经济,努力实现稳增长、调结构的宏观经济目标。必须引导民间资本合理投向实体经济,应加大对“民间投资三十六条”的贯彻落实力度,加快制定配套政策,加强“民间投资三十六条”贯彻落实情况的监督检查,针对当前突出的问题,深化投资体制改革,降低一部分垄断行业以及战略性新兴产业的市场准入门槛,明确国有资本和民间资本进入领域和功能定位,破除不合理的准入壁垒,坚持国民共进的理念,利用市场机制和混合所有制形式促进国有资本和民间资本的相互融合。
四是为民营企业积极稳妥“走出去”创造有利条件,加强法律制订力度,加快海外投资企业总体规划,支持相关领域的海外并购,坚持政府指导,社会为主,市场运作的原则,组织全方位的“走出去”公共信息网,进一步扩大支持经济技术合作和国际市场开拓的财政资金规模,探索建立境外投资损失准备金制度以及海外税收减免制度,大力支持社会资金设立专门的境外投资风险基金和投资基金,建立海外投资监督机制。
五是切实发挥全国工商联的作用,2008年颁发的《国务院关于加强改进新形势下工商联工作的意见》明确提出,要配合发展中国特色商会组织,目前体现统战性、经济性、民间性有机统一的工商联各类商会已经超过4万多家,在服务中小企业,特别是小型、微型企业方面具有独特的优势,当前要把发挥工商联作用作为中小企业保生存,谋发展的重要措施,充分利用商会熟悉行业,贴近企业的优势,引导商会在帮扶企业困难,转型升级,集群发展方面下工夫,更好地发挥商会作用,必须进一步完善法律体系,深化商会法律体制改革,加大商会扶持力度,努力为商会营造公平、规范的发展环境。
(本文是全哲洙在“2011—2012年中国民营经济发展形势分析会上的讲话,有删节)
准入管制还是行为监管 篇12
我们知道:放宽行业准入并不等于放弃行业监管。可以认为:行业准入和行业监管分别对应了企业招收员工时的各种考查和员工入职后的各种纪律约束及绩效考核。作为私人部门的企业,可以采用类似行业准入的办法设置门槛,招收符合自己企业要求的员工,但作为公共部门的政府则要从全社会公平的目的出发,尽量减少行业准入的设置。企业除了采用入职测试和评估的方式选择员工,还会对员工入职后的表现加以约束和考核;政府尽管在尽可能地减少行业准入设置,但对执业行为的监管则是一点也不能含糊的。正因为如此,一方面政府依照《行政许可法》的要求谨慎地设置行政许可,另一方面也会依照《行政强制法》的要求对不符合法律规定的职业行为采取强制措施,这两者是相互补充,不可或缺的。
其实,许可也好,强制也好,都属于强制,只是一个是在事前强制——不允许做相关的任何事情; 一个是在事后强制——做了不对的事情要接受强制处分。笔者认为:在行业从业人员素质普遍不如人意的情况下,如果采用事后强制的方式,耗费的监管人力会是海量的,可能的不良从业行为给社会带来的负面影响也会非常巨大。因此,事前的强制,适当的行业准入还是很有必要的。
政府采取行业准入的宽严程度还和企业对员工的管治意愿和能力有关。政府的管制和监管是为了不使从业人员危害社会和损害客户利益,如果企业能够管制好自己的员工,那么也同样能够达到这些目的。事实上,一些有品牌的房地产中介企业也在加大对员工管治的力度,从员工招聘标准到员工行为规范都有很高的要求,这当然就相应减少了政府监管的工作量。
而且,企业对员工的入职筛选和对工作行为的约束同样也是互补的——如果在员工入职时能够提高标准,并辅以高水平的入职培训,以后在工作中对员工的管理就会相应轻松很多。