堡垒机银行行业设计方案
麒麟堡垒机设计方案
堡垒机银行行业
设计方案
麒麟堡垒机系统
修订记录/Change History
文档版本3.4 (2016-07-11)第2页, 共22页
目录
1 文档说明 (5)
1.1方案概述 (5)
1.2银行行业运维操作现状 (5)
2 需求分析 (6)
2.1需求分析 (6)
2.2实施范围 (7)
3 项目目标 (7)
3.1集中帐号管理 (7)
3.2集中身份认证和访问控制 (8)
3.3集中授权管理 (9)
3.4单点登录 (9)
3.5实名运维审计 (9)
4 应用部署规划 (11)
4.1访问流程 (11)
4.2设备组分级 (12)
4.3账户分级 (13)
4.3.1账户分类 (13)
4.3.2主账号分类 (13)
4.3.3 普通用户分组 (13)
4.4认证方式 (14)
4.5密码规则 (14)
4.6目标设备管理 (14)
4.7数据留存策略 (15)
4.8配置备份 (15)
4.9访问策略 (16)
4.10开发环境策略规划 (16)
4.11访问控制 (17)
4.12集中管理规划 (17)
4.13双机部署规划 (19)
文档版本3.4 (2016-07-11)第3页, 共22页
5 物理部署规划 (21)
5.1设备硬件信息 (21)
5.2软件信息 (21)
5.3系统LOGO (21)
5.4地址规划 (22)
5.5部署规划 (22)
文档版本3.4 (2016-07-11)第4页, 共22页
1 文档说明1.1 麒麟开源堡垒机方案概述
随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
1.2 银行行业运维操作现状
一般银行行业都部署有AAA设备,实现了网络帐号统一管理、权限控制、及命令记录功能。
但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:
运维操作方式多样、分散,缺乏有效集中管理;
运维操作缺乏技术手段来约束;
对运维操作行为的审计方式不直观;
共享账号的情况普遍,给访问者定位带来难题。
文档版本3.4 (2016-07-11)第5页, 共22页
2 需求分析2.1 需求分析
为改善银行分行运维审计的现状,落实监管需求,强化运维操作管理,部署一套运维审计平台成为解决这些问题的最优方案。
运维审计平台需要能满足如下功能:
提供集中、有效的运维操作管理;
具备技术手段来实现对运维操作的约束;
提供可视化的运维操作行为的审计方式;
通过审计信息来完善账号的操作管理;
文档版本3.4 (2016-07-11)第6页, 共22页
运维审计记录保存一年以上。
2.2 实施范围
一级分行本部内网网络设备
二级分行内网网络设备
支行内网网络设备
社区银行内网网络设备
自助银行网络设备
基础服务器
其他服务器及设备(按需)
3 项目目标
通过建设统一的运维管理平台,实现对人员、设备、操作的统一管理,及运维管理的白盒透明化,实现认证、权限、审计、口令的集中管理,最终形成一个完整安全的运维环境,有效防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度,能以可监控的方式进行管理落地。
3.1 麒麟开源堡垒机集中帐号管理
?实现对用户帐号的统一管理和维护
在实现集中帐号管理前,每一个新上线应用系统均需要建立一套新的用户帐号管理系
统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建文档版本3.4 (2016-07-11)第7页, 共22页
设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中
帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、
其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供
基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一
性和同步更新。
?解决用户帐号共享问题
主机、数据库、网络设备中存在大量的共享帐号,当发生安全事故时,难于确定帐号
的实际使用者,通过部署内控堡垒主机系统,可以解决共享帐号问题。
?解决帐号锁定问题
用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐
号锁定功能。通过部署内控堡垒主机系统,可以实现用户帐号锁定、一键删除等功能。
3.2 麒麟开源堡垒机集中身份认证和访问控制
?提供集中身份认证服务
实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个
IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。
?实现用户密码管理,满足SOX法案内控管理的要求
多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问,密码
长期不更换,密码重复尝试的次数也没有限制,这些都不能满足SOX法案内控管理的
需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求,无法在
具体执行过程中对用户进行有效监督和检查。内控堡垒主机系统通过建设集中的认证
系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系
统认证的安全性。
?实现对用户的统一接入访问控制功能
部署堡垒主机前,维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散
的特点。而维护人员中很多是代维人员,这些代维人员来自于各集成商或设备供应商,
人员参差不齐,流动性大。由于维护人员对系统拥有过大权限,缺乏对其进行访问控
制和行为审计的手段,存在极大的安全隐患。内控堡垒主机系统统一维护人员访问系
统和设备的入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关IT
系统的安全风险。
文档版本3.4 (2016-07-11)第8页, 共22页
3.3 麒麟开源堡垒机集中授权管理
?实现统一的授权管理
各应用系统分别管理所属的资源,并为本系统的用户分配权限,若没有集中统一的资
源授权管理平台,授权管理任务随着用户数量及应用系统数量的增加越来越重,系统
的安全性也无法得到充分保证。内控堡垒主机系统实现统一的授权管理,对所有被管
应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。
?授权流程化管理
通过内控堡垒主机系统,管理层可容易地对用户权限进行审查,并确保用户的权限中
不能有不兼容职责,用户只能拥有与身份相符的权限,授权也有相应的工作流审批。
3.4 麒麟开源堡垒机单点登录
?单点登录
内控堡垒主机提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无
需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号
的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过
向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时,单点登录可以
实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,
增加对资源的保护,和对用户行为的监控及审计。
?规范操作流程
规范操作人员和第三方代维厂商的操作行为。通过内控堡垒主机系统的部署,所有系
统管理人员,第三方系统维护人员,都必须通过内控堡垒主机系统来实施网络管理和
服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人
员的操作进行审计,以提高维护人员的操作规范性。
内控堡垒主机系统规范了运维操作的工作流程,将管理员从繁琐的密码管理工作中解
放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再需要专门陪同,从
而有效提高了运维管理效率。
3.5 麒麟开源堡垒机实名运维审计
?实现集中的日志审计功能
文档版本3.4 (2016-07-11)第9页, 共22页
各应用系统相互独立的日志审计,无法进行综合日志分析,很难通过日志审计发现异
常或违规行为。内控堡垒主机系统提供集中的日志审计,能关联用户的操作行为,对
非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。
辅助审查
通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,
并对日志记录需要定期进行审查,满足内部控制规范中关于日志审计的需求,真正实
现关联到自然人的日志审计。
文档版本3.4 (2016-07-11)第10页, 共22页
文档版本3.4 (2016-07-11)
第11页, 共22页
4
应用部署规划
4.1 麒麟开源堡垒机访问流程
堡垒机接入方式为物理旁路、连接串行方式,堡垒机上线后,为了实现审计功能,要求所有的运维人员的运维操作都必须经过堡垒机跳转,因此,运维人员操作方式会有所改变,从原来的运维终端直接登录管理设备改为从运维终端通过堡垒机跳转登录。
接入堡垒机以后,ssh 、telnet 、rdp 等运维操作改由PC 运维终端先连接到堡垒机,在从堡垒机跳转到业务服务器,https 、http 、数据库等应用协议,改为由PC 运维终端先通过堡垒机连接到应用发布服务器,在应用发布服务器上打开IE 、数据库客户端等连接到业务服务器。
运维人员使用堡垒机方式主要包括WebPortal 方式和工具直接登录方式二种。 WebPortal 方式,用户希望进行运维操作时,需要先使用IE ,在URL 里输入:
https://堡垒机
IP
打开堡垒机界面,输入主帐号用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码后打开WebPortal,在WebPortal中可以列出用户可以登录的所有设备,用户点击设备后面的工具时即可以直接登录到目标系统。
工具直接登录方式,用户通过WEB登录到堡垒机后,在设备管理-列表导出里,点击后面的提交按钮,可以将制作好的Session文件下载,并且导入相应的运维工具中,用户使用时,不需要修改过去的运维习惯,只需要打开运维工具,在运维工具中点击希望登录的设备后,输入堡垒机用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码即可以登录到目标系统。
工具登录方式sessions导入界面如下:
4.2 麒麟开源堡垒机设备组分级
分行设备组采用树状分级至上而下为一级、二级、三级、四级、五级,整体设备组分级图如下:
文档版本3.4 (2016-07-11)第12页, 共22页
4.3 麒麟开源堡垒机账户分级
4.3.1 账户分类
主账号:用于登陆堡垒机,即堡垒机的登陆账号
从账号:用于登陆账号使用,即网络设备及服务器的登陆账号
4.3.2 主账号分类
运维堡垒机设置了五个用户角色:超级管理员、审计管理员、配置管理员、分组管理员、和普通用户,各角色具体权限如下表所示:
用户角色说明
用户权限说明
账号管理:用于添加、删除、编辑主帐号
资产管理:添加、删除、编辑设备和从帐号
系统配置管理:设置堡垒机自身的管理配置,比如监控参数、SYSLOG、服务起停、存储备份、网络配置等
运维审计策略配置:可登录来源IP、时间列表、运行命令黑白名单等
运维操作审计:查看审计运维人员操作过程
设备运维:通过堡垒机主帐号,登录运维设备从帐号进行运维操作
4.3.3 普通用户分组
文档版本3.4 (2016-07-11)第13页, 共22页
4.4 麒麟开源堡垒机认证方式
主账号采用双因素认证的方式,本次主要采用以下方式:
方式一: 实名帐号,密码+硬件令牌动态口令:
方式二: 实名帐号,密码+手机令牌动态口令:
堡垒机上线会自带200个手机令牌(支持安卓和IOS系统)和5个USBKEY硬件令牌,处于方便性考虑,建议优先使用手机令牌,如果遇到特殊情况在使用硬件令牌。
4.5 麒麟开源堡垒机密码规则
?用户必须更改首次登录的初始密码
?用户密码符合复杂度要求(8~32 个字符,含大小写字符,特殊字符和数字)
?用户密码有效期设置为强制90天更改,80天后提醒修改
?用户密码不能包含4个以上连续的相同字符
?用户密码不能和之前设置的5次历史密码相同
?用户密码恶意尝试3次后账户将自动禁用
4.6 麒麟开源堡垒机目标设备管理
1.堡垒机对于设备帐号的管理方式:
堡垒机对于设备帐号的管理方式主要包括托管方式和空用户方式,要求使用空用户方式。
托管方式是指将目标设备上的帐号和密码都录入到堡垒机上,运维人员通过堡垒机登录设备时,由堡垒机代替填写目标设备上的账号和密码,直接登录到系统。
文档版本3.4 (2016-07-11)第14页, 共22页
空用户方式是指不把目标设备的帐号和密码录入到堡垒机,只是在堡垒机上为设备建立一个空用户的从帐号,运维人员通过堡垒机登录设备时,需要自己手工输入目标设备上的帐号和密码才能登录
空用户方式相比托管方式,安全性要高,堡垒机上不需要存贮用户名和密码,但是使用起来较托管方式麻烦。
2.堡垒机支持的设备类型:
堡垒机支持telnet/ftp/sftp/ssh/rdp/vnc/x11协议,只要使用这些协议进行远程登录的系统,都可以使用堡垒机进行管理。
对于一些使用B/S和C/S进行管理的应用,需要使用应用发布服务器,即将C/S安装在应用发布服务器后,当运维人员想登录系统进行操作时,先通过远程桌面连接到应用发布服务器,从应用发布服务器上打开相应B/S或C/S程序连接到系统进行操作。因此,对于应用的支持,如果应用可以安装在2008R2 64位系统上,即可使用。
4.7 麒麟开源堡垒机数据留存策略
1.需要将日志留存策略设置为1年
2.同时需要使用外接存贮进行日志备份。堡垒机可以使用ftp或SFTP的方式将日志外发到外接存贮上,外发方式为增量备份,每天凌晨2点将前一天的审计数据上发到外接存贮上。
3.堡垒机具有FTP/SFTP上传下载文件审计(记录功能)为了不至堡垒机被FTP/SFTP审计文件占光存储,FTP/SFTP上传下载文件记录设置为10M以内,即,只记录10M以内的上传下载文件,10M以上的只记录文件名,不保存文件。
4.如果硬盘已满,将策略设置为覆盖旧文件(当系统空间满了以后,系统会自动删除文件,将系统硬盘留出5%的空间进行记录)
注:堡垒机系统内置2T的存储空间,通常情况下,可以保存25个运维人员一年的操作记录(以每个运维人员一天工作8小时计算),计算公式如下:
系统大约需要留500G做为系统使用,其余1.5T用于存贮审计日志。
每个人使用运维系统一小时平均大约占20M左右的空间,因此 20*8*365*25=1.46T 4.8 麒麟开源堡垒机配置备份
1.配置备份分为手工备份和自动备份二种方式,自动备份可以备份在分行提供的外接存贮服务器上,使用SFTP或FTP协议,手工备份由堡垒机管理员登录到前台,在堡垒机界面上进行配置备份。
2.自动配置备份要求每天备份一次,时间为每天凌晨2点。
文档版本3.4 (2016-07-11)第15页, 共22页
3.手工配置备份要求每周备份一次。
4.9 麒麟开源堡垒机访问策略
由于运维审计设备需要与网络设备、服务器等设备进行交流,因此需要在相关防火墙上开通如下访问策略:
4.10 麒麟开源堡垒机开发环境策略规划
开发环境主要为了保证代码安全,因此开发环境帐号需要做如下策略:
1.采用跳板机方式,即为分行开发人员建立若干Windows服务器做为跳板机,开发人员
登录到跳板机进行开发
2.开发人员登录到跳板机时,不允许使用RDP剪切板、不允许使用RDP磁盘映射
3.如果开发人员还有运维权限,为开发人员建立二个帐号,一个用于运维,一个用于开
发,以避免误操作
4.以保证代码安全,另外应用发布服务器因为涉及对象并不针对代码保护,因此开发人
员不要将代码保存在应用发布服务器上。
5.跳板机上需要安装杀毒软件,以避免病毒传递
文档版本3.4 (2016-07-11)第16页, 共22页
4.11 麒麟开源堡垒机访问控制
堡垒机上线正式运行后,需要屏蔽运维人员直接访问目标设备。访问运维目标设备时,必须通过堡垒机跳转登录,因此,需要对运维人员的访问进行策略限制。
1. 网络设备使用ACS 对运维人员登录的来源IP进行限制,只允许堡垒机和应用发布IP
来源才能登录网络设备
2.飞塔防火墙采用VTY限制方式,只允许堡垒机和应用发布IP才能访问飞塔防火墙进行
管理运维
3.服务器管理通过防火墙策略限制,只允许堡垒机、应用发布服务器IP才能进行运维管
理
访问策略完成后,运维人员必须通过堡垒机才能进行运维操作。
4.12 麒麟开源堡垒机集中管理规划
1.部署模式:
集中管理服务器共计二台,部署在总部,用于监管和管理各分行堡垒机,二台集中管理服务器采用HA模式,二台之间相互备份,采用VRRP协议,当主用服务器出问题时,从服务器将启动服务IP接替主服务器提供服务。
部署图如下:
2.使用人员
文档版本3.4 (2016-07-11)第17页, 共22页
集中管理服务器使用人员为总行维护和管理人员,总行管理人员通过集中管理服务器可以监控各分行的堡垒机的状态,并且生成各堡垒机的报表,也可以设置堡垒机上的权限。
总行运维人员可以通过集中管理服务器直接到各分行堡垒机上进行运维,不需要再次登录各分行的堡垒机。
3.集中管理服务器主要功能
集中管理服务器可以对分行堡垒机进行集中管理、单点登录、密码策略设置、监控堡垒机状态监控、统一生成各堡垒机的分析报表。
集中管理功能:
●集中管理功能主要是总行管理人员管理各分行堡垒机,主要包括如下功能列表为:
●堡垒机帐号管理:可以在各分行堡垒机上添加、修改、删除主帐号,修改主帐号密
码、锁定和解锁主帐号;
●服务器资源管理:可以在各分行堡垒机上添加、修改、删除服务器及从帐号
●堡垒机权限管理:可以设置各堡垒机上的权限,进行权限绑定、解锁,并且可以设
置权限上的授权列表,比如来源IP、黑白名单名单等
●系统管理:可以对堡垒机的服务、认证模式、网络、证书等配置进行设置,可对堡
垒进行配置备份和恢复
●策略管理:可以设置各堡垒机的主帐号密码策略、监控策略等
●集中权限管理:可以设置集中管理服务器上的用户具有哪些堡垒机上的用户的权限,
经过将各堡垒机上的帐号映射给集中管理服务器上的帐号,集中管理服务器上的帐
号就可以得到堡垒机上的相应权限
单点登录功能:
通过将若干分行堡垒机用户映射给相应的集中管理平台帐号,使用集中管理平台帐号登录时,即可以直接使用已经给予映射的堡垒机帐号权限,运维人员不再需要登录到各台堡垒机上进行操作,实现了堡垒机的单点登录。
密码策略设置:
集中管理平台上可以对堡垒机的主帐号密码进行密码策略设置,并且可以设置分行堡垒机是否可以修改密码策略,本次将设置分行可以对本地堡垒机进行策略修改,本次集中管理服务器上设置的堡垒机密码策略如下:
●用户必须更改首次登录的初始密码
●用户密码符合复杂度要求(8~32 个字符,含大小写字符,特殊字符和数字)
●用户密码有效期设置为强制90天更改,80天后提醒修改
●用户密码不能包含4个以上连续的相同字符
●用户密码不能和之前设置的5次历史密码相同
●用户密码恶意尝试3次后账户将自动禁用
报表功能:
集中管理服务器上可以实现报表打印,报表打印功能只能生成不同堡垒机上的报表,不能生成多个堡垒机的联合报表。报表输出格式包括堡垒机上所有的报表格式。
集中监控:
集中管理服务器还可以监控堡垒机、应用发布服务器当前状态,并且设置阀值,当系统超过阀值时,进行告警,设置阀值如下:
文档版本3.4 (2016-07-11)第18页, 共22页
内存 85%
硬盘 85%
SWAP 70%
SSH并发 600个
RDP并发 500个
或堡垒机、应用发布不能监控
当系统运行时,如果某项指标超过上述阀值将进行告警。
监控告警方式采用邮件方式,需要开通分行堡垒机到邮件服务器的TCP 25端口策略。
4.13 麒麟开源堡垒机双机部署规划
双机部署模式说明:
双机模式中,二台堡垒机一台主机一台备机,二台机器的配置数据和审计录相实时自动同步,二台堡垒机使用VRRP协议监听一个热备份IP,默认情况下,热备份IP在主服务器上,当主服务器出现软、硬件问题时,热备份IP会自动切到从机上,从机接替主机进行服务。
双机模式可以共同使用同一台或多台应用发布服务器。
双机模式逻辑拓朴图如下:
环境要求:
主、从堡垒机需要在同一个网段,共计需要三个IP,主堡垒机管理IP一个、从堡垒机管理IP一个、浮动IP一个,主从之间通过VRRP协议进行监控
文档版本3.4 (2016-07-11)第19页, 共22页
主帐号、主帐号口令、主帐号所有信息、设备信息、从帐号、从帐号口令、权限绑定关系、各种策略为实时同步,即修改一台堡垒机后立即同步到另一台
审计录相每5分钟同步一次
同步模式为主、从双向,即无论配置主服务器、从服务器,都会立即同步到对端
支持延迟同步,即当二台服务器之间网络不通,当网络恢复后,会立即同步网络不通时期的配置数据和审计数据
切换参数:
切换时间:当一台主机出现问题时,切换时间不超过1秒
切换状态:二台主机不支持sessions同步,当发生切换时,所有的连接都会断开,需要重新连接
切换条件:当从机在VRRP中找不到主机时会启动切换、主机重要服务down机时会发生切换
抢占配置:系统默认为抢占模式,即主机下线修理恢复后,上线时会自动将主用抢占回来
堡垒机位置:
为了尽量减少单点故障,因此双机模式堡垒机位置需要尽可能多考虑冗余。
如果灾备机房与主机房之间可以实现同一个VLAN接入,并且两边带宽较高或可以波分带宽,则主堡垒机安装在主机房,从堡垒机安装在灾备机房
如果灾备机房没有安装条件,则从堡垒机与主堡垒机同时安装在主机房,但是必须安装在不同的交换机上。
主从堡垒机进行录相同步时,最多可能占用网络带宽为12M,如果采用灾备机房安装模式,需要考虑堡垒机录相同步占用带宽是否会影响业务,如果录相同步时流量可能影响业务,则需要在交换机接口设置CAR进行限速,前提以堡垒机同步流量不会影响业务为准。
文档版本3.4 (2016-07-11)第20页, 共22页
银行营业网点安防系统解决方案
技术文件 1工程概况 (6) 2需求分析 (6) 3总体解决方案 (6) 3.1总体设计思想 (6) 3.2工程范围 (7) 3.3设计重点 (7) 4设计依据及标准 (7) 5设计原则 (8) 6系统规划方案 (11) 6.1综合布线系统 (11) 6.1.1系统概述 (11) 6.1.2需求分析 (11) 6.1.3系统总体设计 (11) 6.1.4系统设计说明 (12) 6.1.4.1系统架构 (12) 6.1.4.2布点原则 (12) 6.1.4.3安装方式 (12) 6.1.4.4选型原则 (12) 6.1.4.5机房位置 (13) 6.1.4.6系统拓扑图 (13) 6.1.4.7系统组成 (13) 6.1.5系统功能 (15) 6.1.6主要设备技术参数 (15) 6.1.6.1六类非屏蔽模块 (16) 6.1.6.2单口面板 (16) 6.1.6.3双口面板 (16) 6.1.6.4口六类非屏蔽配线架 (16) 6.1.6.5 12口/24口/48口光纤配线架 (17) 6.1.6.6六类非屏蔽跳线 (17)
6.1.6.8六类非屏蔽线缆 (17) 6.1.7主要设备清单 (17) 6.2计算机网络系统 (18) 6.2.1系统概述 (18) 6.2.2需求分析 (18) 6.2.3系统总体设计 (18) 6.2.4系统设计说明 (19) 6.2.5系统功能 (19) 6.2.5.1 VLAN功能 (19) 6.2.5.2 QOS功能 (20) 6.2.5.3广播风暴的抑制 (20) 6.2.5.4 IPv6支持 (20) 6.2.5.5安全防御功能 (21) 6.2.6主要设备技术参数 (22) 6.2.6.1 24口网络交换机 (22) 6.2.6.2路由器 (23) 6.2.6.3负载均衡 (24) 6.3视频监控系统 (29) 6.3.1系统概述 (29) 6.3.2需求分析 (29) 6.3.3系统总体设计 (30) 6.3.4系统设计说明 (30) 6.3.4.1安全监控系统前端设计 (31) 6.3.4.2监控传输系统设计 (32) 6.3.4.3视频存储系统 (32) 6.3.4.4视频显示系统 (33) 6.3.5系统功能 (33) 6.3.5.1系统控制功能 (33)
银行安防系统设计说明
任务四: 分析下图银行的安全需求,并进行银行安防系统的设计。要求提交: 1、需求分析 2、防区划分示意图 3、设备平面布置图 4、系统框图 5、管线路由设计 6、设备清单 7、设计说明 其中,设计说明按照附录的格式完成。 平面布置图 1:150
一、系统初步设计方案 (一)工程概况及总体设计 1.工程概况 本工程是针对某银行设计一套的入侵报警系统,视频监控系统,门禁管理系统。 2.总体设计 (1)设计依据 GB 10408.1~.9入侵探测器系列标准; GB 12663-2001《防盗报警控制器通用技术条件》; GB 50394-2007《入侵报警系统工程设计规范》; GB 50116-98《火灾自动报警系统设计规范》; GB 50198-94《民用闭路监视系统工程技术规范》; GB 50395-2007《视频安防监控系统工程设计规范》 GB 50396-2007《出入口控制系统工程设计规范》 GB 50343-2004《建筑物电子信息系统防雷技术规范》; GB 50348-2004《安全防范工程技术规范》; (2)系统总体结构和组成 入侵报警系统,视频监控系统,出入口控制系统。 (3)系统的预期效果和作用 性能可靠,操作方便,技术先进。扩展性强,维护方便。 (二)各分系统设计 1.视频监控系统 (1)技术指标 GB50198-94《民用闭路监视电视系统工程技术规范》 GA/T75-94《安全防范工程程序与要求》 GA/T74-94《安全防范系统通用图形符号》 GB7401-87《彩色电视图像质量主观评价方法》 GPT75-94 《防盗报警控制器设计规范》 《中国建筑电气设计规范》 《公安部监控设备安装规范》 (2)前端设备布置
某公司薪酬体系设计方案范文
大朝山有限责任公司薪酬设计方案 北大纵横管理咨询公司
第一章总则 第一条适用范围 本方案适用于大朝山有限责任公司(以下简称公司)除经营层以外的全体员工。 第二条目的 制定本方案的目的在于使员工能够与公司一同分享公司发展所带来的收益,把短期收益、中期收益与长期收益有效结合起来。 第三条原则 薪酬作为分配价值形式之一,遵循按劳分配、效率优先、兼顾公平及可持续发展的原则。 第四条依据 薪酬分配的依据是:贡献、能力和责任。 第五条总体水平 公司根据当期经济效益及可持续发展状况决定工资水平。 第二章薪酬体系 第六条公司员工分成5个职系,分别为管理职系、生产技术职系、财会职系、行政事务职系和专业职系。针对这5个职系,薪酬体系分别采取两种不同类别:与企业年度经营
业绩相关的年薪制;与年度绩效、季度绩效相关的等级工资制。 第七条享受年薪制的员工,其工作特征是以年度为周期对经营工作业绩进行评估并发放相应的薪酬。这部分员工包括管理职系中的经营层。 第八条实行等级工资制的员工是公司内从事例行工作的员工,包括管理职系中的各部长、主任和生产技术职系、财会职系、行政事务职系与专业职系的员工。 第九条特聘人员的薪酬参见工资特区的有关规定。 第十条离退休人员的薪酬按社会保险机构相关规定。 第三章薪酬结构 第十一条公司员工收入包括以下几个组成部分: (一)固定工资,包括基本工资、工龄工资、等级工资; (二)浮动工资,包括绩效工资、年底奖金; (三)附加工资,包括一般福利、生产基地补贴、四项统筹以及企业为员工代交的个人收入所得税。 第十二条固定工资 (一)固定工资 = 基本工资 + 工龄工资 + 等级工资 (二)基本工资:每月600元,是为了保证每一位员工最低生活要求而设立的保底工资。 (三)工龄工资:体现了员工的工作经验和服务年限对于企业的贡献,在大朝山公司内部的工龄工资为20元/年,大
中国工商银行薪酬方案
中国工商银行集团薪酬设计方案
目录 第一章总则 (1) 第二章薪酬结构 (2) 第三章高管人员的薪酬体制 (6) 第四章职能部门的薪酬体制 (7) 第五章市场发展部的薪酬体制 (8) 第六章个人信托部薪酬体制 (9) 第七章投资银行部薪酬体制 (11) 第八章其他业务部门薪酬体制 (12) 第九章其他奖励 (17) 第十章岗贴调整 (17) 第十一章其他 (18) 第十二章附则 (19) 附件一岗位评估分值表 (20) 附件二管理职系岗位等级分布图 (22) 附件三业务职系岗位等级分布图 (23) 附件四研发职系岗位等级分布图 (24) 附件五岗位津贴试算表 (25)
第一章总则 第一条适用范围 凡AB公司(以下简称为AB)的各级从业人员,除人力资源部另行的专案方式处理者外均依本方案实施。 第二条新制度的特点 为适应公司发展的需要,本制度打破原有行政级别工资,员工档案工资实行封存式管理,并按照市场化运作的要求重新制定公司薪酬体系,使员工的薪酬与岗位和业绩紧密结合。 第三条目的 制定本方案的目的在于充分发挥薪酬的作用,对员工为公司付出的劳动和做出的绩效给予合理补偿和激励。即: (一)使薪酬与岗位价值紧密结合; (二)使薪酬与员工业绩紧密结合; (三)使薪酬与公司发展的短期收益、中期收益与长期收益有效结合起来。 第四条原则 薪酬作为分配价值形式之一,遵循按劳分配、效率优先、兼顾公平及可持续发展的原则。 公平性原则:薪酬以体现工资的外部公平、内部公平和个人公平为导向。 竞争性原则:薪酬以提高市场竞争力和对人才的吸引力为导向。 激励性原则:薪酬以增强工资的激励性为导向,通过活性工资和奖金等激励性工资单元的设计激发员工工作积极性。 经济性原则:薪酬水平须与公司的经济效益和承受能力保持一致。 第五条依据 薪酬分配的主要依据是:贡献、能力和责任,并参考太原市社会平均工资水平和行业平均水平。 第六条薪酬体系 根据公司各业务的特点,公司的薪酬体系分为六种不同的薪酬体制:高层管理人员的薪酬体制、职能部门的薪酬体制、市场发展部的薪酬体制、个人信托部的薪酬体制、投资银行部的薪酬体制以及其他业务类部门的薪酬体制等。
银行安防系统项目实施方案
, 银行安防系统项目实施方案
目录 1. 安全防范系统技术解决方案 (1) . 项目背景 (1) . 项目需求 (1) 系统概述 (1) 系统要求 (1) . 设计依据 (2) . 设计原则 (3) 以技术先进和标准化为设计标准 (3) 以成熟性和实用性为主导思想 (3) 开放性 (3) 以安全性为设计要求 (3) . 方案设计 (4) 安防监控系统的组成 (4) 设备选用 (4) 点位设计描述 (5) 报警联动 (8) 系统特点 (8) 系统清单一览表 (9) 主要设备介绍 (12) 2. 项目实施组织方案 (23) . 施工组织、计划 (24) 工程管理流程图 (25) 施工组织部署框图 (26) 施工周期 (26) . 施工组织措施 (27) 实行程序化、标准化、规范化管理 (28) 施工设计图纸及其资料的审核 (30) 智能化弱电系统工程工期保障体系 (31)
. 施工技术方案和措施 (32) 施工准备 (32) 电线电缆敷设施工 (33) 前端设备的安装 (34) 系统的调试和统调 (35) 系统验收 (36) 系统的评估办法 (36) 建立检修维护制度 (36) 智能化弱电工程的质量控制措施 (36) 3. 售后服务方案 (37) 4. 培训方案 (38)
1.安全防范系统技术解决方案 1.1.项目背景 银行位于城市各个角落,它作为社会货币流通的主要场所、国家经济运作的重要环节,以其独特的功能和先进的技术广泛服务于国内的各行业中。针对目前国内对银行的犯罪频繁发生现状,暴力化、智能化的犯罪手段和方式已经层出不穷,全面加强和更新银行安全防范系统已经迫在眉睫。为了遏制和打击犯罪、减少金融风险,银行需要对重要地点和营业场所进行有效和可靠的监控,实现对重要地点和营业场所的音、视频资料进行录像保存,目前,国内大多数银行营业网点都已经形成自己的一套DVR本地视频监控系统,能够解决各个银行网点的安全监控问题,同时部分银行网点内也都有自己的报警系统,并且是与110指挥中心的接警中心相联的。 XXXXXXXXXXXXXX支行位于XXX市XX区,地处繁华商业地带,由两层办公区域组成,所占面积大约800平方米。为提供XXXXXXXXXXXXXX支行的综合保障能力,对潜在的危险进行有效地抑制,本次银行安防系统的设计,严格本着先进性、科学性、稳定性和可靠性的原则,在完成对安装现场的认真勘察和周密的分析研究,和充分考虑施工环境条件及高质量器材选配与性能价格比等诸多因素之后,再结合银行的实际要求,设计出此套技术方案。 1.2.项目需求 1.2.1.系统概述 该XXXX银行安防系统由三大部分组成:一为保安监控系统、二为柜员制系统、三为防盗报警系统。保安监控系统负责对出营业大厅、入口、楼梯、走廊均进行全面安全监控;柜员制系统负责对营业柜台的业务流程进行监控;防盗报警系统负责异常情况发生后的警情提示以及与110系统的沟通。 1.2.2.系统要求 1.2.2.1.保安监控系统 ①能够对营业大厅、主要出入口、楼道进行全面的监控。 ②系统应能每时每刻全面不间断的显示主要要害区域图象,以保证有效的监
银行安防系统
目录 一、系统概述 二、系统设计要求 三、系统设计原则 四、系统设计依据 五、监控点的分布及器材的选型 六、系统构成图 七、系统主要功能概述 八、系统设备清单及概预算 九、主要推荐器材说明 十、施工计划
一、系统概述: 本系统由三大部分组成:一为保安监控系统、二为柜员制系统、三为防盗报警系统。保安监控系统负责对出营业大厅、入口、电梯、楼梯、走廊均进行全面安全监控。柜员制系统负责对营业柜台的业务流程进行监控。防盗报警系统负责异常情况发生后的警情提示以及与110系统的沟通。 二、系统设计要求: 1、保安监控系统 1.1能够对营业大厅、主要出入口、楼道进行全面的监控。 1.2系统应能每时每刻全面不间断的显示主要要害区域图象,以保 证有效的监控。 1.3系统应能每时每刻全面不间断的录制主要要害区域图象,以便 出现情况后,能帮助分析案情。 1.4系统应操作简单。 1.5对比较重要的场所和房间,应加装报警装置和报警联动装置, 报警能自动启动监控系统,自动打开相应区域的灯光,自动进 入录像模式等,以加强有效的防范功能。 2、防盗报警系统: 封锁区域夜间人员出入时进行自动报警 营业柜台出现紧急情况时手动紧急报警 具有电话联网报警的功能。 3、柜员制系统: 在营业时间内对营业人员点付钞票、钞票的面额、张数以及与客户的交接过程进行实时监控、录像; 画面清晰、自然,并叠加必要的字符和时间; 三、系统设计原则: a、先进性:在投资费用许可的情况下,系统采用当今先进的技术
和设备,一方面能反映系统所具有的先进水平,另一方面又使系统具有强大的发展潜力,以便该系统在尽可能的时间内与社会发展相适应。 b、可靠性:采用成熟的技术产品,在设备选型和系统设计中都尽量提高系统的可靠性与易维护性。 c、安全性:对于安全防范系统,其本身的安全性能不可忽视,系统设计时,必须采取多种手段防止本系统各种形式与途径的非法破坏。 d、可扩充性:系统设计时应充分考虑今后的发展需要,系统应具有预备容量的扩充与升级换代的可能。 e、规范性:由于本系统是一个严格的综合性系统,在系统的设计与施工过程中应参考各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。 四、系统设计依据: a、工业电视系统工程设计规范(GBJ115-87); b、民用闭路监控电视系统工程技术规范(GB50198-94); c、安全防范工程行业标准(GA/T70-94); d、公共安全防范工程程序和要求(GA75-94); e、安全防范系统通用图形符号(GA/T74-94); f、文物系统博物馆安全防范工程设计规范(GB/T1657-96)。 五、监控点、探测点的分布及器材的选型
集团公司薪酬体系设计方案
2019年集团企业薪酬体系设计方案 2019年1月
目录 第一章总则 (1) 第二章岗位工资 (1) 第三章附加工资 (3) 第四章奖金 (7) 第五章年薪制 (8) 第六章岗位效益工资制 (9) 第七章销售提成工资制 (10) 第八章计件工资制 (12) 第九章协议工资制度 (15) 第十章其他 (15) 第十一章附则 (16) 附表一:岗位分类表 (17) 附表二: 岗位工资等级表 (18) 附表三:总经理年薪表 (20) 附表四:营销副总年薪表 (20) 附表五:运作副总、总工年薪表 (20)
第一章总则 第一条薪酬释义: 薪酬是对员工为公司所做出贡献和付出努力的补偿,同时体现工作性质、员工的技能与经验。 第二条适用范围: 公司全体正式员工。 第三条目的: 适应公司组织结构调整的要求,使员工能够与公司共同分享发展所带来的收益,把短期收益、中期收益与长期收益有效结合起来,增强薪酬的激励性,以达到公司吸引人才,留住、激励人才的目的。 第四条基本原则: (一)公平性原则:按劳计酬,以体现外部公平、内部公平和个人公平,在确定员工薪酬时以职位特点、个人能力、工作业绩及行业薪酬水平为依据,同时适当拉开差距。 (二)经济性原则:薪酬水平与整个公司的经营业绩紧密联系,将员工的部分工资随公司的当期效益情况浮动。 (三)激励性原则:薪酬以增强工资的激励性为导向,通过工资晋级和奖金的设置激发员工工作积极性。 (四)竞争性原则:在薪酬相对值调整的同时,薪酬总体水平也有一定幅度的提高,在吸引外部人才方面具有一定的竞争力。 第五条基本薪酬结构: 员工的基本薪酬组成为:岗位工资+附加工资+奖金 第六条薪酬体系: 根据员工的工作性质和特点,公司薪酬体系由年薪制、岗位效益工资制、销售提成工资制、计件工资制及协议工资制五种类型构成。 第二章岗位工资 第七条岗位工资是根据员工的岗位相对价值确定的工资单元。
中国工商银行薪酬设计方案共44页
XX银行集团薪酬设计方案
目录 第一章总则 (1) 第二章薪酬结构 (2) 第三章高管人员的薪酬体制 (9) 第四章职能部门的薪酬体制 (10) 第五章市场发展部的薪酬体制 (11) 第六章个人信托部薪酬体制 (12) 第七章投资银行部薪酬体制 (15) 第八章其他业务部门薪酬体制 (17) 第九章其他奖励 (23) 第十章岗贴调整 (24) 第十一章其他 (25) 第十二章附则 (27) 附件一岗位评估分值表 (28) 附件二管理职系岗位等级分布图 (29) 附件三业务职系岗位等级分布图 (32) 附件四研发职系岗位等级分布图 (34) 附件五岗位津贴试算表 (36)
第一章总则 第一条适用范围 凡AB公司(以下简称为AB)的各级从业人员,除人力资源部另行的专案方式处理者外均依本方案实施。 第二条新制度的特点 为适应公司发展的需要,本制度打破原有行政级别工资,员工档案工资实行封存式管理,并按照市场化运作的要求重新制定公司薪酬体系,使员工的薪酬与岗位和业绩紧密结合。 第三条目的 制定本方案的目的在于充分发挥薪酬的作用,对员工为公司付出的劳动和做出的绩效给予合理补偿和激励。即: (一)使薪酬与岗位价值紧密结合; (二)使薪酬与员工业绩紧密结合; (三)使薪酬与公司发展的短期收益、中期收益与长期收益有效结合起来。 第四条原则 薪酬作为分配价值形式之一,遵循按劳分配、效率优先、兼顾公平及可持续发展的原则。 公平性原则:薪酬以体现工资的外部公平、内部公平和个人公平为导向。 竞争性原则:薪酬以提高市场竞争力和对人才的吸引力为导向。 激励性原则:薪酬以增强工资的激励性为导向,通过活性工资和奖金
银行安防系统项目实施方案
银行安防系统项目实施方案
目录 1. 安全防范系统技术解决方案 (1) 1.1. 项目背景 (1) 1.2. 项目需求 (1) 1.2.1. 系统概述 (1) 1.2.2. 系统要求 (1) 1.3. 设计依据 (2) 1.4. 设计原则 (3) 1.4.1. 以技术先进和标准化为设计标准 (3) 1.4.2. 以成熟性和实用性为主导思想 (3) 1.4.3. 开放性 (3) 1.4.4. 以安全性为设计要求 (3) 1.5. 方案设计 (4) 1.5.1. 安防监控系统的组成 (4) 1.5.2. 设备选用 (4) 1.5.3. 点位设计描述 (5) 1.5.4. 报警联动 (8) 1.5.5. 系统特点 (8) 1.5.6. 系统清单一览表 (9) 1.5.7. 主要设备介绍 (12) 2. 项目实施组织方案 (23) 2.1. 施工组织、计划 (24) 2.1.1. 工程管理流程图 (25) 2.1.2. 施工组织部署框图 (26) 2.1.3. 施工周期 (26) 2.2. 施工组织措施 (27) 2.2.1. 实行程序化、标准化、规范化管理 (28) 2.2.2. 施工设计图纸及其资料的审核 (30) 2.2.3. 智能化弱电系统工程工期保障体系 (31)
2.3. 施工技术方案和措施 (32) 2.3.1. 施工准备 (32) 2.3.2. 电线电缆敷设施工 (33) 2.3.3. 前端设备的安装 (34) 2.3.4. 系统的调试和统调 (35) 2.3.5. 系统验收 (36) 2.3.6. 系统的评估办法 (36) 2.3.7. 建立检修维护制度 (36) 2.3.8. 智能化弱电工程的质量控制措施 (36) 3. 售后服务方案 (37) 4. 培训方案 (38)
银行安防系统设计方案
银行安防系统设计方案 Revised by BLUE on the afternoon of December 12,2020.
XXXXXXXXXXXXXXXXXX监控报警系统 技 术 方 案 四川XXXXXXXXXXX有限责任公司
2014-8-18 目录 第一章安全防范系统技术解决方案 (1) 一、项目背景 (1) 二、项目需求 (1) 、系统概述 (1) 、系统要求 (2) 三、设计依据 (2) 四、设计原则 (3) 、以技术先进和标准化为设计标准 (3) 、以成熟性和实用性为主导思想 (3) 、开放性 (4) 、以安全性为设计要求 (4) 五、方案设计 (4) 、安防监控系统的组成 (4) 、设备选用 (5) 、点位设计描述 (5) 、报警联动 (10) 、系统特点 (10) 、系统清单一览表 (11) 、主要设备介绍 (14)
第二章项目实施组织方案 (27) 一、施工组织、计划 (27) 、工程管理流程图 (29) 、施工组织部署框图 (30) 、施工周期 (31) 二、施工组织措施 (32) 、实行程序化、标准化、规范化管理 (33) 、施工设计图纸及其资料的审核 (36) 、智能化弱电系统工程工期保障体系 (36) 三、施工技术方案和措施 (38) 、施工准备 (38) 、电线电缆敷设施工 (39) 、前端设备的安装 (40) 、系统的调试和统调 (41) 、系统验收 (42) 、系统的评估办法 (42) 、建立检修维护制度 (42) 、智能化弱电工程的质量控制措施 (43) 第三章售后服务方案 (44) 第四章培训方案 (45)
某公司薪酬体系设计方案
xxxx有限公司
薪酬体系设计方案起草部门:人力资源2019.1.5
第一章总则 1 第五章奖金 7 *** 第七章年薪制 12 . 第十一章高级人才协议工资制 18 --- 第十 二章工勤人员市场工资制 19 . 第十 三章薪酬调整 20********* 第十四章其他规定 22 . *** 标准岗位薪酬(技术薪酬)固定比例、浮动比例参照表 32 ............................................................. 10:技术职系的岗位与薪档对应表 35******** 11:生产操作职系的岗位与薪档对应表 36 ******** 附件 12:工勤人员薪酬基数表 37 . *** ** 第二章薪酬总额 2 ******** 第三章固定工资 3 第四章绩效工资 6 第六章附加工资 10 第八章岗位绩效工资制 14****** 第九章技术绩效工资制 15****** 第十章销售绩效工资制 17 ****** 附件 公司职系划分表 26 ******* 附件 管理职系职级系统 27 ******** 附件 支持服务职系职级系统 28 附件 技术职系职级系统 29 ******** 附件 营销职系职级系统 30 - 附件 生产操作职系职级系统 31 *** 附件 附件 管理职系的岗位与薪档对应表 33 ******** 附件 支持服务职系的岗位与薪档对应表 34 . *** 附件 附件
第一章总则. 第一条适用范围********* 凡XXX有限公司(以下简称公司)所有员工, 除公司另行的专案方式处理外均依本方案实施. ******** 第二条目的... 制定本方案的目的在于: 建立适应企业市场化运作的价值分配体系,使个人创造价值和团队价值有效结合,共享公司发展所带来的收益; 保持关键部门、关键岗位薪酬水平的稳定性,使员工收入与公司、部门及个人业绩分层挂钩,激发员工活力,提高公司的竞争力; 建立吸引人才和留住人才的机制,提高员工归属感,重塑企业价 值观念,最终推进公司整体发展战略的实现. --- 第三条依据和基本原则---- 薪酬分配的依据是:岗位价值、能力和业绩贡献, 并参考青岛市 社会平均工资水平和行业平均水平. --- 薪酬作为分配价值形式之一, 遵循按劳分配、效率优先、兼顾公 平及可持续发展的原则. . 薪酬确定:薪酬的确定原则上主要考虑员工承担某一职位所需 具备的条件及其在工作中所表现出来的能力. 依靠科学的价值评价, 对各职种、职系人员的任职角色、绩效进行客观公正的评价, 给贡献
银行安防系统设计方案完整版
银行安防系统设计方案 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
XXXXXXXXXXXXXXXXXX监控报警系统 技 术 方 案 四川XXXXXXXXXXX有限责任公司 2014-8-18 目录 第一章安全防范系统技术解决方案 (1) 一、项目背景 (1) 二、项目需求 (1)
、系统概述 (1) 、系统要求 (2) 三、设计依据 (2) 四、设计原则 (3) 、以技术先进和标准化为设计标准 (3) 、以成熟性和实用性为主导思想 (3) 、开放性 (4) 、以安全性为设计要求 (4) 五、方案设计 (4) 、安防监控系统的组成 (4) 、设备选用 (5) 、点位设计描述 (5) 、报警联动 (10) 、系统特点 (10) 、系统清单一览表 (11) 、主要设备介绍 (14) 第二章项目实施组织方案 (27) 一、施工组织、计划 (27) 、工程管理流程图 (29) 、施工组织部署框图 (30) 、施工周期 (31) 二、施工组织措施 (32)
、实行程序化、标准化、规范化管理 (33) 、施工设计图纸及其资料的审核 (36) 、智能化弱电系统工程工期保障体系 (36) 三、施工技术方案和措施 (38) 、施工准备 (38) 、电线电缆敷设施工 (39) 、前端设备的安装 (40) 、系统的调试和统调 (41) 、系统验收 (42) 、系统的评估办法 (42) 、建立检修维护制度 (42) 、智能化弱电工程的质量控制措施 (43) 第三章售后服务方案 (44) 第四章培训方案 (45)
XX薪酬体系设计方案
薪酬体系设计方案 2015年版
XX薪酬体系设计方案 第一部分设计思路 1、明确公司薪酬战略定位:将人员队伍的薪酬收入控制在市场中上水平,保证公司现有人员队伍的稳定,充分调动员工的工作热情,并且形成一定的外部吸引力。 2、调整薪酬挂钩原则,建立基于岗位价值、人力资源价值、工作业绩的价值分配体系,使员工收入水平向岗位价值、人员素质、工作贡献方向倾斜。 3、建立职位等级制度,开辟员工横向发展跑道,满足在职位晋升机会不足的情况下员工个体发展的需求。 4、调整薪酬体系中固定收入与浮动收入的比例,在设计上保证员工收入水平较大涨幅,但增加员工浮动收入的比例,增强薪酬的激励效应,促进公司薪酬制度与市场接轨。 5、引入多元化的激励模式,充分利用薪酬杠杆调节,充分调动员工潜能与工作热情。 6、完善公司福利制度,调整福利制度的灵活性,建立在适度集中的基础上自助式福利体系,满足员工多元化的需要,将福利制度引导到增强员工归属感和忠诚度、促进其个人成长的道路上来。 7、依据企业组织变革、中期经营效益以及市场薪资行情的变化
等因素适时对薪酬体系进行调整,保持薪酬体系的动态涨跌,促使公司薪酬制度逐步实现市场化、企业化。 第二部分设计内容 薪酬定位: 根据公司寻求发展战略目标要求,考虑到公司目前规模较小、资金等客观现实,公司总体收入水平定位于市场中上游水平(50P—75P)。 薪酬设计原则: 1、竞争性原则:整体收入水平位居市场行情中上游水平,具有较强的外部竞争力。 2、公平性原则:制定严密的薪资区分标准,并形成规范制度,避免人为因素主导薪资区分。 3、激励性原则:依据岗位性质合理调整薪酬结构,加大变动收入比例,提高薪酬制度的激励效应。 4、业绩导向原则:员工收入水平要全面跟业绩挂钩,高低水平凭业绩说话,严格执行“按贡献分配”。 5、充分差距原则:员工收入水平要全面拉开差距,对于不同重要性以及不同业绩表现的员工要严格区分。 6、人性化原则:奖金、福利等元素要充分考虑员工多元化需要,尽量避免一刀切,体现“以人为本”的特点。 7、动态性原则:公司整体薪酬结构以及薪酬水平要根据企业经营效益、薪资市场行情、宏观经济因素变化等因素适时调整,能动的
市商业银行薪酬管理办法
市商业银行薪酬管理办法 第一章总则 (1) 第二章工资总额 (2) 第三章薪酬体系 (2) 第四章薪酬结构 (3) 第五章年薪制 (6) 第六章岗位绩效工资制 (6) 第七章提成工资制 (7) 第八章工资调整 (11) 第九章工资特区 (11) 第十章其它奖项 (12) 第十一章附则 (13) 附件一市商业银行商行岗位等级分布图 (15) 附件二岗位薪级工资标准表 (16) 附件三岗位浮动工资试算表 (17)
附件四:薪酬发放流程 0 第一章总则 第一条目的 制定本方案的目的在于充分发挥薪酬的作用,对员工为企业付出的劳动和做出的业绩给予合理的回报和激励。即: (一)使薪酬与岗位价值紧密结合; (二)使薪酬与员工业绩紧密结合; (三)使薪酬与企业的发展有效结合起来。 第二条适用范围 凡市商业银行市商业银行(以下简称市商业银行商行)的各级从业人员,除人力资源部另行的专案方式处理者外均依本方案实施。 第三条原则 薪酬作为分配价值形式之一,遵循按劳分配、效率优先、兼顾公平及可持续发展的原则: 公平性原则:薪酬以体现工资的外部公平、内部公平和个人公平为导向。 竞争性原则:薪酬以提高市场竞争力和对人才的吸引力为导向。在薪酬结构 调整的同时,根据市场薪资水平的调查,对于市场水平差距较大的岗位薪酬水平有一定幅度的提高,使市商业银行商行的薪酬水平具有一定的市场竞争力。 激励性原则:薪酬以增强工资的激励性为导向,通过动态工资和奖金等激励性工资单元的设计激发员工工作积极性;另外,开放不同薪酬通道,使不同岗位的员工有同等的晋级机会。 经济性原则:薪酬水平须与企业的经济效益和承受能力保持一致。人力成本的增长幅度应低于总利润的增长幅度,同时应低于劳动生产率的增长速度。用适当工资成本的增加引发员工创造更多的经济增加值,保障出资者的利益,实现可持续发展。 第四条依据 薪酬分配的主要依据是:岗位价值、个人能力素质和业绩贡献,并参考市商业银行市社会平均工资水平和金融行业平均水平、劳动力市场的供求状况、生活费用与物价水
银行安防系统施工组织设计
四、安防系统 1、项目背景 为提供秦皇岛银行廊坊分行的综合保障能力,对潜在的危险进行有效地抑制,根据国家规范在重点部位建设安防系统。 2、项目需求 2.1、安防区域 储蓄柜员窗口、敞开式柜台、营业厅、VIP室、ATM间、自助银行、ATM机、监控室、要害通道、顾客活动区、储蓄所门前 2.2、硬盘录像机要求 1)、后端录像机采用嵌入式硬盘录像机,必须考虑现有总行设备,能够今后和总行进行联网。 2)、嵌入式操作系统,模块化设计,预留升级扩展接口 3)、MPEG-4以上数宁压缩方式;25帧/秒:系统存储量支持单路资料保存3个月以上(按照400M小时,每天10小时计算,保存时间3个月)4)、4)、支持高速硬盘(7200转),大容量硬盘(250G以上)。硬盘配置必须便于将来扩容。 5)、支持网络远程管理,支持TCP/IP协议,配置远程分控管理软件。 6)、备份方式支持热插拔移动硬榅USB盐或者CD-R/RW。 2.3、监听系统 所有监控点都具有现场监听录音功能,监听及录音回放必须清晰、准确、完整
2.4、UPS备用电源 用以保证整套监控系统、报警主机在市电屮断后可以正常工作(科士达3K/12T) 2.5、报警设备 在现金柜台、主要通道、其他重点区域、出入口安装入侵探测设备和若干紧急求助报警按钮。 3、设计依据 1)《安防工程程序与要求》GA/75-94 2)《安仝防范系统通用图形符号》GA/T74-94 3)《软件工程国家标准》GTB856 4)《光纤分布式数据接口(FDI)高建局域网标准 5)《建筑电气安装工程质量检验评定标准》GBJ303-88 6)《安仝防范工程程序与要求》GA/T75-94 7)《安全防范系统通用图形符号》GA/T74-94 8)《工业企业通讯接地设计规范》GBJ97-85 9)《中国电气装置安装工程施工及验收规范》GBJ232-8210) 10)《智能建筑弱电工程设计施工图集》GBJT-471 11)《CATV行业标准》GY/T121-95 银行监控系统设计要求 4、设计遵循原则 4.1、以技术先进和标准化为设计标准 系统应充分遵循现有的国际通行设计规范。在设计和实施时,最大限
银行安防系统设计方案
安全防范系统设计方 案 天津市xxxxxx信息科技有限公司 2008年6月
目录 第一章安全防范系统技术解决方案 (4) 1、项目背景 (4) 2、项目需求 (4) 2.1、安防区域 (4) 2.2、硬盘录像机要求 (4) 2.3、监听系统 (5) 2.4、UPS备用电源 (5) 2.5、报警设备 (5) 3、设计依据 (5) 4、设计遵循原则 (6) 4.1、以技术先进和标准化为设计标准 (6) 4.2、以成熟性和实用性为主导思想 (7) 4.3、开放性 (7) 4.4、以安全性为设计要求 (7) 5、方案设计 (8) 5.1、安防监控系统的组成 (8) 5.2、设备选用 (10) 5.2.1摄像机选用 (10) 5.2.2、镜头选用 (10) 5.2.3、硬盘录像选用 (10) 5.3、点位设计 (11) 5.3.1现金储蓄柜台 (11) 5.3.2营业大厅 (12) 5.3.3 ATM机及自助银行 (12) 5.3.3前门 (13) 5.3.4监控机房 (13) 5.3.5、敞开式柜台、VIP接待室室、 (14) 5.3.6、客户活动区域、要害通道 (14) 5.3.7、点位设计一览表 (16) 5.4、同步方式、供电及接地 (17) 5.5、供电系统描述 (18) 5.6、报警 (18) 5.7、系统原理图 (19) 5.9、设备清单一览表 (21) 5.10、主要设备介绍 (22) 5.10.1、海康DS-8000HC系列硬盘录像机 (22) 5.10.2、SONY高清晰度彩色摄像机SSC-E/453P (27) 5.10.3、超宽动态彩转黑摄像机SSC-DC593P (30) 5.10.4、索尼防暴半球摄像机 SSC-CD77VP (31)
我国工商银行薪酬管理知识方案
我国工商银行薪酬管理知识方案
中国工商银行集团薪酬设计方案
目录 第一章总则 (1) 第二章薪酬结构 (2) 第三章高管人员的薪酬体制 (10) 第四章职能部门的薪酬体制 (10) 第五章市场发展部的薪酬体制 (12) 第六章个人信托部薪酬体制 (13) 第七章投资银行部薪酬体制 (17) 第八章其它业务部门薪酬体制 (19) 第九章其它奖励 (25) 第十章岗贴调整 (27) 第十一章其它 (28) 第十二章附则 (30) 附件一岗位评估分值表 (31)
附件二管理职系岗位等级分布图 (33) 附件三业务职系岗位等级分布图 (35) 附件四研发职系岗位等级分布图 (38) 附件五岗位津贴试算表 (40)
第一章总则 第一条适用范围 凡AB公司(以下简称为AB)的各级从业人员,除人力资源部另行的专案方式处理者外均依本方案实施。 第二条新制度的特点 为适应公司发展的需要,本制度打破原有行政级别工资,员工档案工资实行封存式管理,并按照市场化运作的要求重新制定公司薪酬体系,使员工的薪酬与岗位和业绩紧密结合。 第三条目的 制定本方案的目的在于充分发挥薪酬的作用,对员工为公司付出的劳动和做出的绩效给予合理补偿和激励。即: (一)使薪酬与岗位价值紧密结合; (二)使薪酬与员工业绩紧密结合; (三)使薪酬与公司发展的短期收益、中期收益与长期收益有效结合起来。 第四条原则 薪酬作为分配价值形式之一,遵循按劳分配、效率优先、兼顾公平及可持续发展的原则。 公平性原则:薪酬以体现工资的外部公平、内部公平和个人公平为导向。 竞争性原则:薪酬以提高市场竞争力和对人才的吸引力为导向。
某银行安防系统电气施工图设计方案
某银行安防系统电气施工图设计方案 第一章安防系统工程概况 1.设计背景 为了遏制和打击犯罪、减少金融风险,银行需要对重要地点和营业场所进行有效和可靠的监控,实现对重要地点和营业场所的音、视频资料进行录像保存。 目前,电视监控虽实现了由模拟到数字的技术提升,但使用管理方式并未发生质的变化,仍然停留在单点式管理阶段,其弊端表现在以下几个方面:一是监控由营业网点自行管理,由于人员素质及管理精力不足等原因,设备出现故障不能及时发现;二是网点分布广,查阅调用录像不方便;三是报警后不能自动及时上传图像资料,重点在事后查证;四是录像资料的调阅在就可直接办理,基层网点有关人员可以删除信息资料,甚至可以借所谓的"客观原因"停用录像;五是由于基层机构人力限制和岗位轮换等原因,掌握监控设施管理流程和技术的人员增多,增大了监控设施运行风险。 基于这些客观因素的存在,如何运用业已成熟的信息技术,把封闭和零散的单套系统通过网络联接成高效的监控系统,从根本上解决单点式管理的弊端,实现全辖电视监控网络化,使监控质量和效率真正得到提升,成为银行安全技术防范工作的一个重点。
2.建筑概况 一层室内总面积为992.12m2,有现金出纳柜台16个,四处捆钞机,五处自动点钞机,一层主要包括营业大堂、办公区、两个库房、一处储藏室、保安室、值班室、变压器房和发电机房。 二层室内总面积为670 m2,主要由一个金库、贵宾银行、办公室和储藏室。 3.设计目标 系统的设计目标是要根据银行的要求,对于重点部位如金库、现金交易区和捆钞机等进行实时的监控,监控工作人员和客户的活动并记录 活动情况,能够回放录像并能够清晰的显示柜员和客户的面部特征,同 时实现入侵报警功能,在发生报警时能够进行视频复核。 第二章设计依据和设计要求1.设计依据 1)《银行营业场所风险等级和防护级别的规定》 GA/38-2004 2)《安全防范工程技术规范》GB/T 50348-2004 3)《防盗报警控制器材通用技术条件》GB/12663-2001 4)《电视监控系统工程设计规范》 GB/T 50348-2004 5)《安防工程程序与要求》 GA/75-94 6)《彩色电视图像质量主观评价方法》 GB7401-87 7)《安全防范系统通用图形符号》 GA/T74-94 8)《软件工程国家标准》 GTB856 9)《银行营业场所安装工程质量检验评定标准》 GA/T16676-97 10)《建筑电气安装工程质量检验评定标准》 GBJ303-88 11)《智能建筑设计标准》 GB/T 50314-2000
银行安防系统 (1)
目录 一、系统概述 二、系统设计要求 三、系统设计原则 四、系统设计依据 五、监控点的分布及器材的选型 六、系统构成图 七、系统主要功能概述 八、系统设备清单及概预算 九、主要推荐器材说明 十、施工计划
一、系统概述: 本系统由三大部分组成:一为保安监控系统、二为柜员制系统、三为防盗报警系统。保安监控系统负责对出营业大厅、入口、电梯、楼梯、走廊均进行全面安全监控。柜员制系统负责对营业柜台的业务流程进行监控。防盗报警系统负责异常情况发生后的警情提示以及与110系统的 沟通。 二、系统设计要求: 1、保安监控系统 1.1能够对营业大厅、主要出入口、楼道进行全面的监控。 1.2系统应能每时每刻全面不间断的显示主要要害区域图象,以保 证有效的监控。 1.3系统应能每时每刻全面不间断的录制主要要害区域图象,以便 出现情况后,能帮助分析案情。 1.4系统应操作简单。 1.5对比较重要的场所和房间,应加装报警装置和报警联动装置, 报警能自动启动监控系统,自动打开相应区域的灯光,自动进 入录像模式等,以加强有效的防范功能。 2、防盗报警系统: 封锁区域夜间人员出入时进行自动报警 营业柜台出现紧急情况时手动紧急报警 具有电话联网报警的功能。 3、柜员制系统: 在营业时间内对营业人员点付钞票、钞票的面额、张数以及与客 户的交接过程进行实时监控、录像; 画面清晰、自然,并叠加必要的字符和时间; 三、系统设计原则: a、先进性:在投资费用许可的情况下,系统采用当今先进的技术和设备,一方面能反映系统所具有的先进水平,另一方面又使系统具有强大的发展潜力,以便该系统在尽可能的时间内与社会发展相适应。 b、可靠性:采用成熟的技术产品,在设备选型和系统设计中都尽
银行业智能安防综合系统解决方案
... .. 银行业智能安防综合系统 解 决 方 案 桂林长海发展有限责任公司 2014年6月
版本更新 (本标准方案更新周期:一个月) 注:定期更新内容包括技术方案及其附件。
目录 一、概述 (1) 二、设计依据及原则 (2) 2.1设计依据 (2) 2.2设计原则 (2) 三、整体解决方案 (4) 3.1总体结构 (4) 3.2描述 (4) 3.3智能安防综合平台 (5) 3.3.1 平台功能 (5) 3.3.1.1 前端协转接入 (5) 3.3.1.2 基础功能 (5) 3.3.1.3 智能功能 (12) 3.3.1.4 业务流程 (15) 3.3.1.5 系统管理 (17) 3.3.2 平台特点 (22) 3.3.2.1 一流的硬件设备、先进的技术架构、稳定的系统平台 (22) 3.3.2.2 产品兼容性强、开放性广 (23) 3.4前端建设 (23) 3.4.1 对已建系统的改造 (23) 3.4.2 营业厅前端建设 (24) 3.4.2.1 营业柜台 (24) 3.4.2.2 营业大厅 (24) 3.4.3 自助网点前端建设 (24) 3.4.3.1 自助银行 (24) 3.4.3.2 ATM (24) 3.4.4 金库前端建设 (25) 3.5监控中心 (25)
3.5.1 显示系统 (26) 3.5.2 控制系统 (29) 3.5.3 指挥系统 (30) 3.5.4 配套系统 (31) 3.6传输网络 (32) 四、售后服务与培训 (33) 4.1售后服务 (33) 4.2培训 (33)
一、概述 银行业作为当今社会货币的主要流通场所、国家经济运作的重要环节,以其不可替代的功能广泛服务于国内各行各业,具有重要设施繁多、出入人员复杂、管理涉及领域广等特点,其业务涉及大量的现金、有价证券及贵重物品,属于一级风险单位。 随着经济的繁荣发展,针对银行业的犯罪活动日趋上升,犯罪手段和方式也逐渐“暴力化、多样化、高科技化”,给银行业的日常安全防范和制止犯罪工作带来了日益严峻的考验,并造成恶劣的社会影响。 各级银行机构也一直非常重视银行安防工作,采用技防+人防的全方位防护,确保银行体系的安全。政府监管部门对银行机构安防系统联网、预警态度的逐步明晰。而技术推动方面,当前安防业向“集成化、高清化、立体化、智能化、网络化”方向发展,新的技术、产品和针对银行现有监控系统不足的解决方案不断推出,两者相结合将推动银行安防行业持续、健康的发展。 根据银行行业的实际应用需求,我公司成立了专业的团队,通过完善设计并多次实践后,推出“银行业智能综合监管系统”。
银行监控解决方案
XXXX银行 闭路电视监控系统 设计方案 广州市捷威思发展有限公司 2004年08月
目录 一、系统概述 (3) 二、系统设计目标 (4) 三、系统设计原则、依据 (5) 3.1 设计原则 (5) 3.2 设计依据 (5) 四、总体设计 (6) 4.1 系统需求分析 (6) 4.2 系统设计概述 (7) 4.3 设计功能描述 (13) 4.4 总体设计方案 (14) 4.5 系统结构原理图 (15) 五、系统选型和配置说明 (16) 六、系统防雷设计 (21) 七、系统供电与控制室要求 (22)
一、系统概述 银行属于国家的重点安全防范单位。作为当今社会货币的主要流通场所、国家经济运作的重要环节,以其独特的功能和先进的技术广泛服务于国内各行各业中,但其财富集中、流动性强的特点,也使之成为某些极端犯罪分子恶意侵害目标,因此提高银行系统的科学管理和安全防范能力尤为重要。 在计算机技术和网络通信技术不断发展的今天,犯罪分子作案的手段越来越呈现高科技化、高智能化趋势。针对银行的刑事案件明显呈上升趋势,恶性案件屡屡发生,内都作案、内外联合作案等日益增多。传统的单一模式的模拟电视监控系统,无论是从监视手段、还是录象手段上来看已经远远落后于现代商业银行的安全保卫要求。从技术角度来看,新一代的基于数字处理的数字硬盘录像监控系统,已经在技术上全面领先于传统的模拟监控技术。这促使银行电视监控系统向智能化、网络化、数字化、多样化方向进行发展,给传统的视频监控领域带来全新的运作模式。 银行监控系统主要分为三大类:柜员制柜台、ATM等自助设备、保安型监控等对象。主要要求是:能够对监控点视频、音频进行采集、硬盘录像存储 (存储时间有具体要求),并且要具有远程联网通讯功能。 二、系统设计目标 在进行闭路监控系统设计的时候,依照贵单位对该系统的基本需求,本着架构合理、安全可靠、产品主流、低成本、低维护量作为出发点,并依此为贵单位提供先进、安全、可靠、高效的系统解决方案。 架构合理:就是要采用先进合理的技术来架构系统,使整个系统安全平稳的运行,并具备未来良好的扩展条件。 稳定性和安全性:这是贵单位最关心的问题,只有稳定运行的系统,才能确保贵公司闭路监控系统平稳运行。系统的技术先进性是系统高性能的保证和基础,同时可有效地减少使用人员和系统维护人员的麻烦。良好的可扩展性则是为了用户