中国移动通信集团网络设备安全配置规范.doc

1、安盛IBM波斯顿 德勤 共图 汉普 翰威特 科尔尼 科思瑞智 朴智 清雪 亚商人力资源项目综合能力考核职位说明书-市场营销密 级：内部文档编号：项目代号：附件九中国移动通信集团网络设备安全配置规范思科PIX分册版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司质量体系内部审核员工绩效考核工作考核细则消费者定量报告推广策略营销网络运作公司岗位说明书行业调研报告企业文化案例企业竞争力评估能力评估报告薪酬制度公司绩效考核规程目标业务流程优化与管理模式设计报告版本控制版本号日期参与人员更新说明初稿2003-11-15洪顺安、林秀 文档建立，初始化目录第一部分 概述和介绍41概述41.1项目背景

2、41.2项目目标41.3参考资料42适用的软件版本5第二部分 设备的安全机制6第三部分 设备安全配置建议81网管及认证问题81.1访问管理81.1.1telnet服务的配置81.1.2SSH配置91.2帐号和密码管理101.3帐号认证和授权111.3.1AAA认证111.4snmp协议122安全审计133设备IOS升级方法143.1前期准备143.1.1软件的获取143.1.2制定升级计划143.1.3设置FTP服务器153.1.4数据备份153.1.5注意事项163.2升级操作163.2.1升级IOS或装载补丁163.3应急保障措施173.3.1设置防火墙173.3.2PC设置（TFTP服务

3、器设置）173.3.3上传旧的软件173.3.4重启路由器173.3.5恢复配置184特定的安全配置184.1其他特定的安全配置184.1.1禁止未使用或空闲的端口184.1.2banner的设置要求184.1.3源地址路由限制19第一部分 概述和介绍1 概述本文档对中国移动网络思科防火墙pix安全配置标准进行描述，规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分，在规范中针对设备的六大安全规范主题进行描述，除了提供详细的安全配置标准外，同时考虑设备型号和适用网络层次的不同，并对实际配置过程中应注意的问题进行详细描述。1.1 项目背景该项目是为了规范网络设备的安全配置

4、标准，提高中国移动网络设备的安全性而提出的。该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门，涵盖业务网络（GPRS、CMNet、各数据业务系统）、支撑系统（网管、BOSS、OA）等。1.2 项目目标该项目的目标是对中国移动网络中使用的网络思科防火墙pix安全配置标准进行规范，实现规范和指导各省各应用系统网络设备安全配置的作用。1.3 参考资料l CISCO公司提供Improving Security on Cisco Routersl 思科官方网站l 中国IT认证实验室网站 参与该分册编写的人员有：福建移动通信公司：洪顺安、林秀 感谢：泰讯网络给予大力支持。2 适用的软件版本

5、本规范适用的设备版本如下表：设备名称设备型号IOS版本备注Cisco PIX系列防火墙501、506E、515E、506、515、525、535型号CISCO PIX 6.3及以上版本注意：考虑到思科设备的小版本号繁多，并且不易分辨。建议最好从集成商那获取最新的软件版本。第二部分 设备的安全机制该部分内容对思科PIX防火墙自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。目前，防火墙采用的基础技术有两种，一是基于网络层的包过滤防火墙，主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包；二是基于应用层的隔离网络的代理服务器（proxy server）

6、，是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。Ciso PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，出境访问列表，可以有效地控制内、外部各资源的访问。PIX Firewall可连接多个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是

7、全球统一的IP地址。PIX Firewall提供的完全防火墙保护以及IP安全（IPsec）虚拟专网能力特别适合于保护企业总部的边界。其保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确连接时，访问才被允许通过。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护了内部网络不会受到非授权访问的侵袭。另外，PIX Firewall实现了在Int

8、ernet或所有IP网络上的安全保密通信。它集成了VPN的主要功能隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务实现远程访问、远程办公和外部网连接。该产品可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。PIX Firewall是一个可靠的、便于维护的平台，可以提供多种配置、监控和诊断方式。PIX Firewall管理解决方案的范围非常广泛从一个集成化的、基于Web的管

9、理工具到集中的、基于策略的工具，以及对各种远程监控协议的支持。 Cisco PIX CLI 让用户可以利用现有的PIX CLI技术，方便地进行安装和管理，可以通过多种方式访问，包括控制台端口、远程登陆和CLI。SNMP和系统日志支持 提供远程监控和日志功能，并能够与思科和第三方管理应用集成。PIX Firewall设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而使他们可以方便地配置和监控一台PIX Firewall，而不需要在管理员的计算机上安装任何软件（除了一个标准的Web浏览器以外）。管理员可以利用PIX Firewall所提供的命令行界面（CLI），通过多种方式（包

10、括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIX Firewall进行远程配置、监控和诊断。管理员还可以通过Cisco VPN/安全管理解决方案（VMS）中提供的Cisco安全策略管理器（CSPM）方便地对很多PIX Firewall防火墙进行远程管理。CSPM 3.0是一种可扩展的、下一代的PIX防火墙集中管理解决方案，具有多种功能，包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。第三部分 设备安全配置建议设备安全配置建议是本规范重要的一个部分，该部分将对思科PIX防火墙安全配置的细节进行描述，并对配置适用的网络层次、对设备性能的影响和配置实施的

11、注意点进行详细说明。1 网管及认证问题1.1 访问管理一般而言，维护人员都习惯使用CLI来进行设备配置和日常管理，使用Telnet工具来远程登录设备，并且大部分设备都提供标准的Telnet接口，开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查，但是在此过程，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。同时Telnet并不是一个安全的协议。要求采用SSH协议来取代Telnet进行设备的远程登录，SSH与Telnet一样，提供远程连接登录的手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效

12、地防止窃听、防止使用地址欺骗手段实施的连接尝试。规范的配置文档提供远程登陆SSH开启的方式，和SSH相关属性的设置，如：超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址，对采用AAA的设置见帐号认证和授权部分。1.1.1 telnet服务的配置在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。如果不设置telnet的相关属性，对PIX的配置只能通过CONSOLE进行。要求关闭telnet服务，采用ssh协议，否则必须对telnet进行访问地址限制和强口令

13、认证。【应用网络层次】：在所有层面防火墙设备 【影响】：只有指定的网管网段可以登陆设备，其他地址将被限制【具体配置】：！开启telnet服务：PIX(Config)#telnet 192.168.1.1 255.255.255.0 inside PIX(Config)#telnet 222.20.16.1 255.255.255.0 outside！对telnet访问地址进行限制：PIX(Config)#telnet 10.14.8.50 255.255.255.240PIX(config) #telnet timeout 20！关闭telnet服务：PIX(Config)#no telnet

14、 xxxx xxxx inside1.1.2 SSH配置【应用网络层次】：所有层面防火墙设备 【影响】：需使用支持SSHD 终端登陆，如SecureCRT等【具体配置】：PIX(config)#domain-name PIX(config) #ca generate rsa key 1024 PIX(config) #ca save all !生成RSA密钥对PIX(config) #show ca mypubkey rsa !查看本地生成的公钥PIX(config) #ssh outside_ip_addr 255.255.255.255 outside PIX(config) #ssh t

15、imeout 20!配置限制访问地址可以SSH进来，另设SSH的超时时间为20分钟PIX(config) #username test password testPIX(config) #aaa authenticate ssh console LOCAL!认证方式采用本地方式，也可以用RADIUS/TACACS+进行认证。PIX(config)# sh ssh sessionSession ID Client IP Version Encryption State Username 0 a.b.c.d 1.5 DES 6 test1.2 帐号和密码管理要求应在日常维护过程中周期性地（至少按季

16、度）更改登录密码，甚至登录帐号。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。同样的，密码必须至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含 8 个字符。我们建议用密码生成器软件（如 ）来制造随机密码。要考虑有些设备密码以明文形式存放问题，建议必须启用相关特性

17、，保证密码以加密方式存放在配置文件中。对无法以密文存放的，要加强配置文件的管理。密码设置配置如下：【适用网络层次】：根据需要在所有层次实施。【影响】：增强系统安全性【具体配置】：PIX(config)#enable priv_1evelPIX(config)#disable priv_1evelPIX(config)#enable password pw level priv_1evel encryptedPIX(config)#no enable password level priv_1evelPIX(config)#show enable1.3 帐号认证和授权帐号的认证和授权分为设备本省

18、的认证和授权和AAA服务器的认证和授权两个部分。这主要介绍AAA服务器的设置。1.3.1 AAA认证思科PIX防火墙支持RADIUS或TACACS的AAA（认证、授权、计费）客户端功能，通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。建议采用集中认证和授权模式，通过AAA服务器还可以弥补设备本省对执行权限管理的不足。在AAA认证设置上，最好选用支持对用户操作内容日志功能的AAA服务器软件，这样可以加强对用户行为的控制。【适用网络层次】：根据需要在所有层次实施。【影响】：增强系统安全性，需要相应的Server服务器，增加投资【具体配置】：！The next entry will de

19、pend on whether TACACS+ or RADIUS is used.PIX(Config)#tacacs-server (inside) host 171.68.118.101 cisco timeout 5PIX(Config)#radius-server (inside) host 171.68.118.101 cisco timeout 10！We are concerned about hosts on our inside network！accessing a particular outside host.PIX(Config)#aaa authenticatio

20、n any outbound 171.68.118.0 255.255.255.0 9.9.9.11 255.255.255.255 tacacs+|radius！Or, we could be less granular and authenticate!- all outbound FTP, HTTP, Telnet traffic with the following.PIX(Config)#aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radiusPIX(Config)#aaa authe

21、ntication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radiusPIX(Config)#aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius！We also decide to send accounting records for！successful authentications to our TACACS+ or RADIUS server.PIX(Config)#aaa accounting any

22、outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius1.4 snmp协议Snmp协议是目前数据网管理中普遍使用的协议，但snmp协议本身也存在安全问题。需要合理配置snmp协议的相关属性，才能让snmp协议更好的为日常维护管理服务。如不需要，不建议对PIX使用SNMP。PIX Firewall通过简单网络管理协议（SNMP）支持网络监控。SNMP界面允许通过传统网络管理系统监控PIX Firewall。PIX Firewall只支持SNMP GET命令，此命令只允许执行只读接入。SNMP Firewall和Memeory Pool MI

23、B增加了用于识别PIX Firewall状态的其它信息的陷阱数量。【适用网络层次】：根据需要在所有层次实施。【影响】：增加系统可管理的方式，方便故障的监控处理【具体配置】：！查看snmp的配置状态和snmp的版本信息PIX(Config)#show run！关闭snmp服务，并删除snmp的默认配置PIX(Config)# no snmp-server community public RoPIX(Config)# no snmp-server enable trapsPIX(Config)# no snmp-server system-shutdownPIX(Config)# no snmp

24、-server trap-anthRouter(Config)# no snmp-server！设置snmp RO的口令，定期更改SNMP Community（至少半年一次）PIX(Config)# snmp-server community MoreHardPublic Ro ！开启snmp trap功能PIX(Config)#snmp-serv enable trapsPIX(Config)#snmp-server host 10.0.0.1 traps version 3 auth readO！对snmp进行访问限制PIX(Config)# access-list 10 permit 1

25、92.168.0.1 PIX(Config)# access-list 10 deny anyPIX(Config)# snmp-server community MoreHardPublic Ro 10在条件许可的条件下，建议转用SNMPv3。SNMP version 3已经商用。它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道安全的机制。2 安全审计为了实现对设备安全的管理，要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式。AAA login

26、g可以记录拨号连接信息、用户登陆信息、退出信息、http访问信息、权限变动信息、命令执行信息和其他时间。建议在这增加AAA log配置信息，注意本地日志对设备会有影响。【适用网络层次】：根据需要在所有层次实施。【影响】：注意本地日志对设备会有影响，建议设置时获取支撑单位技术支持。【具体配置】：PIX(Config)#logging on ！日志服务器的IP地址PIX(Config)#logging a.b.c.d ！facility标识, RFC3164 规定的本地设备标识为 local0 - local7 PIX(Config)#logging facility local1 ！日志记录级别

27、，可用?查看详细内容PIX(Config)#logging trap errors ！日志记录的时间戳设置，可根据需要具体配置 PIX(Config)#service timestamps log datetime localtime！日志检测PIX(Config)#sh logging！syslog日志级别PIX(Config)#syslog facility 20.7！在位于网管工作站上的日志服务器上记录所有事件日志PIX(Config)#syslog host 10.14.8.503 设备IOS升级方法设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。为了确保IOS升级的顺

28、利进行，要求从以下几个细节进行考虑。各设备的详细升级流程见各设备分册。3.1 前期准备3.1.1 软件的获取思科公司在官方网站上提供最新的PIX软件版本和对应的升级包，但必须有对应的登陆帐户的CCO帐号。在在升级前，首先确认要升级的软件是否通过集团公司的入网许可，并且与厂家确认你所要升级设备的硬件满足升级IOS的要求， 考虑到思科设备的小版本号繁多，并且不易分辨，最好从集成商那获取最新的IOS软件。3.1.2 制定升级计划与设备支撑单位一起制定详细的升级计划，充分考虑实施升级和补丁装载时系统重启对业务的影响，充分考虑网络结构的双机或双链路结构对业务的保护，最大限度减少业务中断时间。如果防火墙只

29、配有单台，建议安排现场升级或必须有具备技术能力的现场配合人员；并在条件许可的情况下，有备用防火墙在现场。若设备配有双防火墙，可以远程执行，但也应安排一般的现场人员提供必要的配合。3.1.3 设置FTP服务器使用FTP方式，需要在设备上作好相应配置，如下：【适用网络层次】：根据需要在所有层次实施。【影响】：比TFTP方式更具安全性【具体配置】：PIX(Config)#ip ftp username xxxxxxxPIX(Config)#ip ftp password xxxxxxx3.1.4 数据备份为确保升级过程的可恢复性，对原IOS和配置数据有必要进行完全备份。要求在备份前确认备份介质的可用

30、性和可靠性，并在备份完升级前进行验证。【适用网络层次】：根据需要在所有层次实施。【影响】：保障当系统升级故障时可恢复【具体配置】：！显示首先显示IOS文件的文件名，确定是否需要升级IOS：PIX(Config)#show ver ！拷贝系统文件到TFTP Server或者ftp server：PIX(Config)#copy flash tftp (拷贝到tftp server)或者PIX(Config)#copy flash ftp (拷贝到ftp server)！拷贝配置文件到TFTP Server或者FTP Ssever中：PIX(Config)#write net或者PIX(Confi

31、g)#copy running-config ftp (当前运行的存储在RAM中的配置)PIX(Config)#copy startup-config ftp （存储在NVRAM中的配置）！考虑到FLASH空间的限制，在无法装下两个IOS软件时，应将原有的IOS软件删除。删除命令如下：PIX(Config)# erase flashErase flash deviceconfirm y3.1.5 注意事项升级PIX的IOS时，最好能使用串口接到PIX的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和PIX的以太网口在一个网段上。

32、3.2 升级操作3.2.1 升级IOS或装载补丁按下列步骤进行思科pix防火墙的IOS装载：【适用网络层次】：根据需要在所有层次实施。【影响】：存在升级失败的可能性，需做好恢复准备【具体配置】：！拷贝系统文件到Flash memory：PIX(Config)#copy tftp flash！把配置文件从网络服务器拷贝到PIX NVRAM。PIX(Config)#copy tftp running-config （拷贝到RAM中）PIX(Config)#copy tftp startup-config （拷贝到NVRAM中）或者PIX(Config)#copy ftp running-confi

33、g （拷贝到RAM中）PIX(Config)#copy ftp startup-config （拷贝到NVRAM中）！重新启动PIX软件装载结束，用“reload”命令重新启动PIX即可。PIX(Config)# reload3.3 应急保障措施描述升级中出现问题时，如何实施应急保障和恢复，并提供对应的命令。在升级遇到问题时，由于已经删除了旧的操作系统，设备没有操作系统，重启后，进入ROMMON状态，此时，可以用tftpdnld方式导入旧的软件，将计算机串口和路由器Console口相连，计算机网口与路由器以太口（一定要与第一个以太口）相连。操作步骤如下：3.3.1 设置防火墙【实施命令】：mo

34、nitoraddr 192.168.1.1(路由器的ip地址)monitorserv 192.168.1.2（tftp服务器的IP地址）monitorfile pix601.bin（上传文件的名称）3.3.2 PC设置（TFTP服务器设置）TFTP服务器的IP地址属性设置如下：ip地址 192.168.1.2 掩码 255.255.255.0 网关 192.168.1.1（是路由器的ip地址）3.3.3 上传旧的软件【实施命令】：monitor reload3.3.4 重启路由器【实施命令】：monitorreset3.3.5 恢复配置正常进入路由器后，把配置文件从网络服务器拷贝到路由器NVR

35、AM【实施命令】：PIX#copy tftp startup-config PIX#copy tftp running-config4 特定的安全配置4.1 其他特定的安全配置4.1.1 禁止未使用或空闲的端口【适用网络层次】：所有设备【影响】：增加系统安全性【具体配置】：！对端口interface eth 3端口进行shutdownPIX(Config)# interface eth3PIX(Config-if)# shutdown4.1.2 banner的设置要求对远程登陆的banner的设置要求必须包含非授权用户禁止登录的字样。【适用网络层次】：所有层次的思科PIX防火墙【影响】：增加系

36、统的可管理性【注意事项】：在所有设备上实施该配置，内容不包括与设备特征有关的信息，如层次、IP地址、类型、归属网络、管理员等。【具体配置】：！登录思科PIX，管理员权限下：PIX(Config)#banner login“xxxxxxxxxxxxxxxxxxx”4.1.3 源地址路由限制单播反向路径发送（Unicast Reverse Path Forwarding，单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。【注意事项】：在获取支

37、撑单位的技术确认后实施【影响】：增加系统负载【具体配置】：！Implements Unicast RPF IP spoofing protection.PIX(Config)#ip verify reverse-path interface int_namePIX(Config)#no ip verify reverse-path interface int_namePIX(Config)#clear ip verify reverse-path interface int_namePIX(Config)#clear ip verifyPIX(Config)#show ip verify re

38、verse-path interface int_name 本套资料内容包罗国内外几十家著名咨询公司为数百个国内高成长性企业、行业标杆企业所做的管理咨询项目的全部项目资料，IBM、凯捷、普华永道、毕博、波士顿、海问、科尔尼、罗兰贝格、和君创业、埃森哲、太和、安达信、尚道、德勤、朴智、华彩咨询、亚商、华盈恒信、九略、共图、北大纵横、新华信、正略筠策、仁达方略、博思智联、捷盟、柏明顿、美世、翰威特、零点、远卓、麦肯锡、它将直接帮您拥有最权威、最前沿、最有价值、最全面的管理工具，极大的、迅速的提升您的职业视野、能力与您的职业含金量，您的职位、薪酬必将大幅度的提升！长沙卷烟_BPR&ERP项目_R03

39、 组织职能调整.doc长沙卷烟_BPR&ERP项目_产品设计.doc长沙卷烟_BPR&ERP项目_品牌规划市场调研程序文件.doc长沙卷烟_BPR&ERP项目_售后服务.doc长沙卷烟_BPR&ERP项目_小结 .doc长沙卷烟_BPR&ERP项目_市场分析及意向合同预测.doc长沙卷烟_BPR&ERP项目_成品烟入库.doc长沙卷烟_BPR&ERP项目_文档说明.doc长沙卷烟_BPR&ERP项目_生产计划编制流程.doc长沙卷烟_BPR&ERP项目_目标业务流程设计2.doc长沙卷烟_BPR&ERP项目_目标流程设计阶段联合小组工作方法.doc长沙卷烟_BPR&ERP项目_管理诊断报告(修

40、订).doc长沙卷烟_BPR&ERP项目_管理诊断报告(最终报告).doc长沙卷烟_BPR&ERP项目_组织职能调整（最终报告） v2.doc长沙卷烟_BPR&ERP项目_综述.doc长沙卷烟_BPR&ERP项目_车间作业管理流程.doc长沙卷烟_BPR&ERP项目_配套措施设计之一：计划.doc长沙卷烟_BPR&ERP项目_配套措施设计之三：制度.doc长沙卷烟_BPR&ERP项目_配套措施设计之二：岗位职能与绩效.doc长沙卷烟_BPR&ERP项目_配套措施设计之五：IT.doc长沙卷烟_BPR&ERP项目_配套措施设计之四：报表.doc长沙卷烟_BPR&ERP项目_采购接收、到料、检验、

41、入库流程.doc长沙卷烟_BPR&ERP项目_长烟BPR最终报告简化本0703.doc长沙卷烟_BPR&ERP项目_长烟BPR项目制度设计_程序文件.doc部门业务现状调查表.doc部门描述-人力资源总部.doc部门描述-企管总部.doc部门描述-党群工作总部.doc部门描述-办公室.doc部门描述-建设事业总部.doc部门描述-总工程师室.doc部门描述-技术委员会.doc部门描述-监察审计部.doc部门描述-监查审计部.doc部门描述-财务总部.doc部门描述-资源开发总部.doc部门描述-资源开发总部汇总 (1).doc部门描述-运营事业总部.doc部门描述人力资源总部封面.doc部门描

42、述企管总部封面.doc部门描述党群工作总部封面.doc部门描述办公室封面.doc部门描述建设事业总部封面.doc部门描述总工程师室封面.doc部门描述技术委员会封面.doc部门描述监察审计部封面.doc部门描述示例.doc部门描述财务总部封面.doc部门描述资源开发总部封面.doc部门描述运营事业总部封面.doc采购业务.doc金属材料_上海乾通.doc金属材料_上海金云.doc金属材料_洛阳麦柯达.doc金蝶k3系统8.8版评测(NEW).doc销售手册.doc长期资产业务.doc长沙卷烟_BPR&ERP项目_附件 .doc长烟流程现状问题分析cjx.doc长烟项目各部门调研问卷.doc附件

43、01-08 商务卷.doc附件A 方案建议书A.doc集团架构.税务设计.doc项目建议书（北京汉普提供）.doc项目总体计划.doc项目报告综述ver2.0.doc高层战略研讨总结.doc高管层考核表.doc资料B：职位说明书问卷.doc资料D：职位说明书样本-人力资源主管.doc资料M：管理者手册.doc资料N：绩效管理手册.doc资源总部IT技术调研(答卷).doc资源总部岗位职责（上交）.doc资源总部部门描述.doc科尔尼中国电信加强产品组合营销工作指导意见2003.11.doc科尔尼中国电信烟台本地网市场信息调查.doc科尔尼中国电信青岛本地网市场信息调查.doc科尔尼中国银行CR

44、M Questions_CN.doc科尔尼中国银行TOCforBOC_EN.doc第五部分亚华乳业整体管理现状调研分析.doc第六部分亚华乳业未来五年发展战略 .doc第四部分 国内和湖南地区乳品市场需求分析.doc筹资业务.doc管理工程部通讯录.doc组织审核.doc组织结构参考资料 市场普遍操作.doc组织结构审计问卷结果总结.doc编制会计报表.doc网络财务9.0安装指南.doc翰威特-顺德华润涂料人力资源项目咨询方案.doc翰威特提供的沟通方案.doc汉普-长沙卷烟厂业务流程重组与ERP实施项目-目标流程设计阶段绩效组工作方法007.doc汉普-长沙卷烟厂业务流程重组和ERP实施项

45、目-工作的范围、目标和方法008.doc流程与组织结构 副总经理角色确定.doc流程说明示例.doc朴智河南铁通朴智管理咨询河南铁通培训制度.doc朴智河南铁通网络运行维护部部门职能说明书.doc朴智河南铁通职能说明书-数据业务部部门.doc朴智河南铁通计费中心部门职能说明书.doc朴智河南铁通计量中心部门职能说明书.doc朴智河南铁通财务部-部门-职能说明书.doc朴智河南铁通财务部职能说明书.doc朴智河南铁通部门职能说明书-事业发展部.doc朴智河南铁通部门职能说明书-交换维护中心.doc朴智河南铁通部门职能说明书-人力资源部.doc朴智河南铁通部门职能说明书-党群部.doc朴智河南铁通部门职能说明书-办公室.doc朴智河南铁通部门职能说明书-市场营销部.doc朴智河南铁通部门职能说明书-数据维护中心.doc朴智河南铁通部门职能说明书-网建部.doc朴智河南铁通部门职能说明书-网运部.doc朴智河南铁通部门职能说明书-营收中心.doc朴智河南铁通部门职能说明书-铁道业务部.doc朴智河南铁通部门职能说明书.doc朴智深圳报业人力资源方案00晶报岗位设置与统计.doc朴