1、,或是一台联网手持设备。二、算法体系 算法体系是VPN专用网络的形成的关键,常见的有:摘要算法MD5或SHA1,对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH,公用密钥加密RSA、DSA等。不同类型的VPN根据应用特点在实现上使用对应的算法,有的还可以由用户根据使用现场临时更换。三、认证系统 VPN是一个网络,要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则一样,当你通过一个网络去访问一个网络资源时,你自然希望对方是像你要求的那样是真实的,可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露,这就是认证系统所要解决的问题
2、,是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA 、SecurID、双因素令牌、LDAP、Windows AD、Radius、证书,一个系统中往往包括一种以上几种方式来增加灵活性。四、VPN协议 它规定了VPN产品的特征,主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法,由于VPN强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要,而接口决定了一个VPN产品的适用度。常见的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三节 VPN技术VPN采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。一、
3、隧道技术 VPN的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里,当到达另一端后才被解封。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。在VPN中主要有两种隧道。一种是端到端的隧道,主要实现个人与主机之间的连接,端设备必须完成隧道的建立,对端到端的数据进行加密及解密。另一种是节点到节点的隧道,主要是用于连接不同地点的LAN数据到达LAN边缘VPN设备时被加密并传送到隧道的另一端,在那里被解密并送入相连的LAN。它其实就是边界路由器在起着关键作用,隧道的建立,数据的加密、解密都是在边界路由器里完成的。隧道技术相关的
4、协议分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有PPTP、L2TP和LZF等,第三层隧道协议主要有GRE以及IPSec等。二、加密技术 VPN的加密方法主要是发送者在发送数据之前对要发送的数据进行加密,当数据到达接收者时再由接收者对数据进行解密的处理过程。加密算法的种类包括:对称密钥算法,公共密钥算法等。三、用户身份认证技术 用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时,就会对用户的身份进行鉴定,以确定该用户是否是合法用户以及哪些资源可以被使用。四、访问控制技术 访问控制技术就是确定合法用户对特定资源的访问权限,以实现对信息资源的最大限度的保护。第四节
5、VPN的用途一、远程访问VPN 最适用于用户从离散的地点访问固定的网络资源,如从住所访问办公室内的资源;出差员工从外地旅店存取企业网数据;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入,并加强了数据安全。二、内联网(分支机构联网)VPN 最适用将异地的两个或多个局域网或主机相连形成一个内网,主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来,或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网,显著降
6、低网络建设和运行成本,极大提高了部署和扩展灵活性。三、安全平台 将相同工作性质的,离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网,满足协同工作的要求,如总公司销售部门的LAN与下属单位的销售部门的PC,以及外出销售人员的笔记本之间构成一个安全销售网,共享CRM、文档和IP电话,满足用户动态、业务导向化的组网要求,这是其他方案难以实现的。四、替代专线 内联网VPN的简化版,简单地将两个主机相连实现联机、遥控,或一个主机与一个LAN相连,或替代现有专网的某一条专线成为专网的一部分。五、用户认证 利用VPN用户认证机制和VPN的安全性,强化用户认证的安全,如上网计费系统,认证后的数据
7、传输安全不是重点。六、网络资源访问控制 将VPN用户认证机制和VPN网关对网络访问的调度能力结合起来,根据预定的安全策略给与不同用户不同的资源访问权限,强化网络资源的合理配置和安全性。第三章 VPN在企业中的应运第一节 公司简介杭州芝麻开门信息技术有限公司系专业行业性B2B和B2C平台运营商,公司下设两家分公司,运营两个网站:-和,现在公司主要是和中国制笔协会共同开发中国笔业贸易网-公司汇聚了众多IT界的精英,直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性采购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式,并根据企业的商务活动的实际状况,推出一系列适合于供应商及采购
8、商进行商业信息交流与沟通的平台,促进并达到让制笔行业的企业利用-得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、及时更换等特点,可以迅速发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、政策法规、技术知识、人才中心等信息数据库,为广大的制笔企业及全球采购商提供了真正实用的电子商务大平台。第二节 公司现有的网络状况首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图3-1所示。图3-1 杭州芝麻开门信息技术有限公司的网络图从图看出总公司和分公司、银行、合作伙伴,分公司和银行、合作伙伴,出差员工或者在家办公人员和总
9、公司、分公司之间,这三种关系的连接都是经过Internet的。总公司是通过Cisco2600系列路由器作为边界网关与外界Internet等公共网相连,并配置放火墙。内部则由两台Cisco Crystal2950系列交换机做为中心交换机把办公大楼、营销中心、FTP服务器、WWW服务器、E-mail服务器、数据库服务器等联系起来。网管站直接和交换机相连,并管理路由器、中心交换机、服务器等。如图3-2所示。图3-2 总部内网丽水分支和杭州分支是通过拨号上网,与总公司联系。它们具体是先经ADSL Modem连到24接口阿尔法AFR-K24路由器(内配置防火墙),再接24接口阿尔法AFS-3026交换机
10、和个人电脑相连。公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内,出差员工不能访问。总部网络内建设WWW、文件共享服务、Exchange、公司ERP系统,总部各部门局域网络实现接入Internet,但没有实现内部网络互联。杭州分支公司:电脑接入Internet,实现了办公网络半自动化。丽水分支公司:电脑接入Internet,实现了办公网络半自动化。第三节 需求分析杭州芝麻开门信息技术有限公司自1996年创建以来,所拥有的客户群已越来越庞大。而作为以网站服务和维护为主的公司,其客户需要频繁地访问公司内部网,访问服务器。从安全性上讲,通过Internet等公共网的连接,势必会
11、带来一些危险:从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。根据公司工程技术人员的深入了解和分析,杭州芝麻开门信息技术有限公司需要一种安全的接入机制来保障通信的安全,并达到以下要求:一、企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户;二、要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务;三、构建VPN的
12、另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽;四、总部通过多条线路连接广域网,保证分点财务核算数据的连接安全,也节约了宽带接入成本;五、支持从各种网络条件下的安全接入;六、通过隧道技术在网络协议的越下层实现更高的数据安全性;七、通过路由器对用户实行统一的管理,对访问权限实行分级管理等要求,实现流量控制、端口镜象等要求,通过路由器的相关防火墙功能实现网络的安全管理;八、出差员工利用公司笔记公共电脑(如机场侯机厅的计算机)也能够较安全地访问公司内部网络资源;九、总部保证内网至少100台电脑接入Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关
13、设备在连到总部网络的同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;十、杭州、丽水分支机构2个办事处电脑接入Internet,同时考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;十一、在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题。第四节 需求总结针对以上的需求,通过VPN的配置可以解决互联问题,另外对VPN加以相应配置可以实现资料传输的安全性问题。以现有技术来说,所谓最优选择其实必须根据远程访
14、问的需求与目标而定。目前主流VPN方案有两种:IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用能力,IPSec/IKE是最适合的解决方案。比较那种传输方法比较好更重要的问题是:那种安全技术最符合远程接入方案的需求,IPSec可以保护任何IP流量,而SSL专注于应用层流量。IPSec适合长期的连接,即宽带、持续和网络层连接要求。SSL 仅适合于个别的,对应用层和资源的连接,而且支持的应用没有IPSec 多。实现外出出差员工通过PPTP拨号连接公司网络完成相关工作。第五节 方案设计一、设备选择 由于VPN的应用受到网管者
15、的欢迎,因此技术也不断演进。一般常见的VPN协定有PPTP、IPSec、SSL等。其中PPTP为微软支持的协定,设定较方便,但保全性不够;IPSec公认是最安全的协定,但是设定和配置复杂,一般的用户不容易操作;SSL则需在服务器端进行介面转换,并不是所有的应用程序都可支持。在实际操作上,VPN的架设还面临其他的问题:例如当互联网联机掉线时,再安全的VPN也没有作用;中国由于IP资源有限,因此VPN联机必须基于双方为动态IP的基础上建立;由于幅员广大,网管人员要跑遍各个分公司的成本太高,VPN的设定最好简单清楚,略有网络知识者即可完成;每个ISP的IP分派方式都不同,IPSec并不一定都能穿透。
16、现在市场上的VPN产品繁多,而且功能各不相同,本着遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则,同时对杭州芝麻开门信息技术有限公司的需求分析,在选择VPN连接设备上推荐市场上思科公司的Cisco2600系列VPN防火墙路由器产品。Cisco2600系列VPN防火墙路由器产品支持 IPSec VPN连接,提供适用于各办公室,事业伙伴及远程使用者使用的安全便利的网络加密方式,包括3DES, DES, 以及AH/ESP加密方式。 VPN 功能提供了各分支点间或大多数远程使用者采VPN方式,将资料自动加密解密的通讯方式,支持Gateway To Gateway ,Client To
17、Gateway与Group VPNs 等模式。具备PPTP服务器功能,具备联机状态显示,可以满足在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络,相对来说PPTP要比IPSec易配制,对移动办公用户比较适合。Cisco2600系列VPN防火墙路由器产品内建进阶型防火墙功能,能够阻绝大多数的网络攻击行为, 使用了SPI封包主动侦测检验技术(Stateful Packet Inspection),封包检验型防火墙主要运作在网络层,执行对每个连接的动态检验,也拥有应用程序的警示功能,让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结, 预设自动侦测并阻挡。Cisc
18、o2600亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及Routing 路由模式,使网络环境架构更为弹性,易于规划管理。总部网络通过光纤连接外网,连接路由器交换机选择三层千兆交换机,三层千兆交换机之间用光纤连接,以满足内部网络 VLAN的划分,同时考虑到今后公司的发展,信息点扩充的需要。二、设计原则 VPN的设计包含以下原则:安全性VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网
19、扩展到合作伙伴和客户,对安全性提出了更高的要求。具体的有隧道与加密、数据验证、用户身份验证、防火墙与攻击检测。网络优化构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QOS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。一般地,二层和三层的QOS具有以下功能:流分类:根据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后
20、才可以在不同的数据流上实施不同的QOS策略。流分类是实现带宽管理以及其他QOS功能的基础。ACL就是流分类的手段之一。流量整形与监管:流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败的同时进行重
21、传而引起更严重的资源紧张,进而提高网络的总体流量。VPN管理 VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。可以将一些次要的网络管理任务交给服务提供商去完成,企业自己就可完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时,还要确保公司数据资源的完整性。扩展性: VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。经济
22、性:保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。可靠性:VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故VPN可靠而稳定地运行是VPN管理必需考虑的问题。VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QOS管理等内容。第六节 实施过程一、网络结构企业通过Internet数据传输平台,实施加密的VPN实现接入的方法有多种,针对杭州芝麻开门信息技术有限公司的网络现状,我们采用IPSec VPN和PPTP VPN相结合的方法。总公司以一条光纤联机(ISP分配的固定IP地址),而分公司以用光纤或ADSL联机均可(公网动态IP),作为联机的基础。总公司选择
23、Cisco2600机型,连接四条光纤(ADSL可选,ADSL可连接同一网络营运商来做备援服务,以避免单一营运商掉线的风险及不同运营商网络之间的互连);分公司也可采用Cisco2600,各地分支机构可以选择不同网络营运商的线路。VPN联机采用IPSec协定,以保障联机的安全。网管人员只要将设备寄到分支机构,并提供总公司VPN通道IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络,相对来说PPTP要比IPSec易配制,对移动办公用户比较适合。总部100信息点接入,选用Cisco2600,内置300条ipsec
24、,100条pptp。杭州分支: 40-50信息点接入,选用Cisco2600,内置50条ipsec。丽水分支: 20信息点接入,选用Cisco2600,内置50条ipsec。二、VPN相关组件的安装首先要正确观念,VPN服务器并不是独立成体的,此组件只是在远程用户访问过程中起到了中转角色,如果对方的用户名和密码正确及为其开出一个直线通道。其实建立一台VPN服务器很简单,只要短短几步即可完成。服务器端VPN的建立 步骤一、依次打开开始-程序-管理工具,在路由和远程访问窗口中单击操作按钮,并在弹出的菜单中选择配置并启用路由和远程访问,载入创建一个新服务器的向导,选择“自定义配置”(使用者可以根据自
25、己的需求进行选择性配置,建议主机内安有双网卡的用户可以选择虚拟专用网络VPN访问NAT)。 步骤二、右击右边树形目录里的本地服务器名,选择属性并切换到IP选项卡,在这里按提示诼步填入相关IP地址及内容,这样一个简单的VPN服务端建立完成了。客户VPN的建立 网络客户连接服务器也非常简单,打开我的电脑选中控制面板中的网络连接,在其内选择网络和internet连接新建网络连接,创建一个新的连接到一个商业网络(VPN)这样就可以连接到服务端了,在弹出的下一步对话框中输入网络用户名(这里随意命名)接下来输入用户名和密码(为了使用方便点击保存密码并发送到桌面快捷方式),客户端由此产生了。 三、IPSec
26、 VPN的配置IPSec的实现 IPSec实现的VPN有四个配置部分:为IPSec做准备为IPSec做准备涉及到详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证,确定有关IPSec对等体的详细信息,确定我们所需要的IPSec的特性,并且确认现有的访问控制列表允许IPSec数据流的通过。步骤一:根据对等体的数量与位置在IPSec对等体之间确定一个IKE策略。步骤二:确定IPSec策略,包括IPSec对等体的详细信息,就如IP地址以及IPSec变换集和模式。步骤三:用show命令来检查当前的配置。步骤四:确认在诶有加密前网络能够正常使用,用“ping”命令并在加密前运行测试数据流来排除
27、基本的路由故障。步骤五:确认在边界路由器和防火墙中已经有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。配置IKE配置IKE涉及到启用IKE(IKE和isakmp是同义词),创建IKE策略,验证我们的配置。 用”isakmp enable”命令来启用或者关闭IKE; 用“isakmp policy”命令创建IKE策略; 用“isakmp key”命令和相关命令来配置预共享密钥; 用“show isakmp policy”命令来验证IKE的配置。配置IPSecIPSec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。 用access
28、list命令来配置加密用访问控制列表; 用crypto ipsec transform。Set命令配置变换集; (任选)用crypto ipsec securityassociation lifetime命令来配置全局性的 IPSec安全关联的生存期; 用crypto map命令来配置加密图; 用interface命令和crypto map map.Name interface应用到接口上; 用各种可用的show命令来验证IPSec的配置。测试和验证IPSec使用“show”、“debug”和相关的命令来测试和验证IPSec加密工作是否正常,并且用来排除故障。路由器端的配置 本部分的配置主要是
29、针对路由器IPSec的配置,对于路由器中开头部分已简略。路由器之间的地址分配如表3-1所示。表3-1 地址分配图总部分支机构(杭州)分支机构(丽水)内部网段网号172.22.1.0172.22.2.0172.22.3.0互联网段网号168.1.1.0167.1.1.0166.1.1.0路由器内部端口IP地址172.22.1.100172.22.2.100172.22.3.100路由器Internet端口IP地址168.1.1.1167.1.1.1166.1.1.1路由器串口IP地址202.96.1.1202.96.1.2202.96.1.3隧道端口地址192.168.1.1192.168.1.
30、2192.168.1.3总部端路由器和两分支端路由器配置分别如下:总部与杭州分支间的配置,其简图如图3-3所示。图3-3 总部与杭州分支的网络简图总部路由器配置当前路由器提示,视图依次输入的配置命令,/后为简单说明。crypto isakmp policy 1/配置IKE策略1authentication pre-share/IKE1的验证方法设为pre-sharegroup2;1024-bit Diffie-Hellman/加密算法未设置则取默认值:DEScrypto isakmp key test123 address 202.96.1.2/设置pre-share的密钥为test123,此
31、值两端需一致crypto ipsec transform-set VPNtag ah-md5-hmac asp-des/设置AH散列算法为md5,!ESP加密算法为DEScrypto map VPNdemo 10 ipsec- isakmp/定义crypto mapset peer 202.96.1.2/设置隧道对端IP地址set transform-set VPNtag/设置隧道AH及ESPmatch address 101!interface Tunnel0/定义隧道接口ip address 192.168.1.1 255.255.255.0/隧道端口IP地址no ip directed-
32、broadcasttunnel source 202.96.1.1/隧道源端IP地址tunnel destination 202.96.1.2/隧道目的端IP地址crypto map VPNdemo/应用VPNdemo于此端口interface Serial 0/0ip address 202.96.1.1 255.255.255.252/串口Internet IP地址no ip directed-broadcastcrypto map VPNdemo/应用VPNdemo于此串口!Interface Ethernet0/1Ip address 168.1.1.1 255.255.255.0/外
33、部端口IP地址no ip directed-broadcastInterface Ethernet0/0Ip address172.22.1.100 255.255.255.0/内部端口IP地址no ip directed-broadcast!Ip classlessIp route 0.0.0.0 0.0.0.0 202.196.1.2/默认路由Ip route 172.22.1.100 255.255.255.0/到内网静态路由(经过隧道)Access.list101 permit gre host 202.96.1.1 host 202.96.1.2/定义存取列表杭州分支的路由器配置cr
34、ypto isakmp policy 1/配置IKE策略1authentication pre-share/IKE1的验证方法设为pre-sharegroup2;1024-bit Diffie-Hellman/加密算法未设置则取默认值:DEScrypto isakmp key test123 address 202.96.1.1/设置pre-share的密钥为test123,此值两端需一致crypto ipsec transform-set VPNtag ah-md5-hmac asp-des/设置AH散列算法为md5,!ESP加密算法为DEScrypto map VPNdemo 10 ips
35、ec- isakmp/定义crypto mapset peer 202.96.1.1/设置隧道对端IP地址set transform-set VPNtag/设置隧道AH及ESPmatch address 101!interface Tunnel0/定义隧道接口ip address 192.168.1.2 255.2z104000 施工质量控制2z104010 掌握施工质量保证体系的建立和运行2z104011 施工质量保证体系的建立2z104012 施工质量保证体系的运行2z104020 掌握施工质量的预控方法2z104021 施工质量计划预控2z104022 施工准备状态预控2z104023
36、施工生产要素预控2z104030 掌握施工过程质量控制的主要途径和方法2z104031 施工质量检验检查2z104032 施工质量检测试验2z104033 隐蔽工程施工验收2z104034 施工技术复核2z104035 施工计量管理2z104036 施工例会和质量控制活动2z104037 施工质量不合格的处理2z104040 掌握施工质量的验收方法2z104041 施工质量验收的依据2z104042 施工过程的质量验收2z104043 工程质量竣工验收与备案2z104050 掌握施工质量事故的处理方法2z104051 施工质量事故的分类2z104052 施工质量事故的处理2z104060 熟悉
37、施工依据和质量控制概念2z104061 施工依据2z104062 质量控制的概念2z104070 熟悉工程质量的政府监督2z104071 政府监督的职能2z104072 政府监督的实施2z104080 了解企业质量管理体系的建立和运行2z104081 质量管理八项原则2z104082 质量管理体系文件的构成2z104083 质量管理体系的建立与运行2z104084 质量管理体系的认证和监督2z105000 建设工程职业健康安全与环境管理2z105010 掌握建设工程职业健康安全与环境管理的目的、任务和特点2z105011 建设工程职业健康安全与环境管理的目的和任务2z105012 建设工程职业
38、健康安全与环境管理的特点2z105013 职业健康安全管理体系与环境管理体系的基本框架2z105020 掌握建设工程施工安全控制的特点、要求和方法2z105021 施工安全控制的特点2z105022 施工安全控制的程序和基本要求2z105023 施工安全技术措施计划及其实施2z105024 施工安全检查2z105030 掌握建设工程职业健康安全事故的分类和处理2z105031 建设工程职业健康安全事故的分类2z105032 建设工程职业健康安全事故的处理2z105040 掌握文明施工和环境保护的要求2z105041 文明施工的要求2z105042 施工现场环境保护的措施2z106000 施工合
39、同管理2z106010 掌握施工合同的主要内容2z106011 施工承包合同的主要内容2z106012 专业工程分包合同的主要内容2z106013 劳务分包合同的主要内容2z106020 掌握施工合同的履约管理2z106021 施工合同跟踪与控制2z106022 施工合同变更管理2z106023 施工合同信息管理2z106030 掌握施工合同索赔管理2z106031 索赔的概念、分类2z106032 施工合同索赔的依据和证据2z106033 索赔程序2z106040 熟悉施工任务委托的主要模式2z106041 平行发包2z106042 施工总承包2z106043 施工总承包管理2z106050
40、 熟悉按计价方式分类的施工合同类型及选择2z106051 总价合同2z106052 单价合同2z106053 成本加酬金合同2z106060 了解与施工合同相关的其他合同2z106061 工程监理合同的主要内容2z106062 物资采购合同的主要内容2z107000 建设工程项目信息管理2z107010 熟悉建设工程项目信息管理的含义、目的和任务2z107011 建设工程项目信息管理的含义和目的2z107012 建设工程项目信息管理的任务2z107020 了解建设工程项目信息的分类和信息编码的方法2z107021 建设工程项目信息的分类2z107022 建设工程项目信息编码的方法2z10703
41、0 了解工程管理信息化的内涵和意义2z107031 工程管理信息化的内涵2z107032 工程管理信息化的意义建设工程法规及相关知识科目考试大纲2z200000 建设工程法规及相关知识2z201000 建设工程法律制度2z201010 掌握建造师的基本条件、执业范围和执业要求2z201011 建造师基本条件2z201012 建造师执业范围2z201013 建造师执业要求2z201020 掌握民事法律与工程建设相关的基本知识2z201021 民事法律关系的构成要素2z201022 民事法律关系的产生、变更与终止2z201023 民事法律行为的成立要件2z201024 代理制度的基本内容2z201
42、025 财产权的基本内容2z201026 诉讼时效的有关规定2z201030 掌握建筑法关于施工许可的主要内容2z201031 施工许可制度2z201032 申请领取施工许可证的条件2z201033 施工许可证的颁发和管理2z201034 未领取施工许可证擅自开工的法律责任2z201040 掌握建筑法关于建筑工程发承包的主要内容2z201041 承揽工程的有关规定2z201042 分包工程的有关规定2z201043 工程发包与承包法律责任的规定2z201050 掌握建筑法关于建设工程监理的主要内容2z201051 建设工程监理的依据和内容2z201052 对建设工程监理单位的限制性规定2z201053 建设工程监理单位的法律责任2z201060 掌握招标投标法关于招标的主要规定2z201061 招标投标的基本原则2z201062 建设工程项目招标范围和规模标准的规定2z201063 招标程序2z201064 招标人的法律责任2z201070 掌握招标投标法关于投标的主要规定2z201071 投标
