内部承包协议(推荐7篇)
甲方:
乙方:
为提高监理工作,切实项目责任、结合莆建质安【2011】103号文《关于对建设工程监理费支付进行统一监管的通知》,经甲、乙双方充分协商,项目监理达成如下条款共同遵守:
1、甲方委派乙方为程监理项目的负责人,负责领导本项目监理机构人员全面履行监理合同约定的所有责任和义务,本项目工程质量及发生安全事故等所引发的经济法律责任。
2本项目监理机构人员的和调整、人员的工资、奖金由项目负责人自己确定,需经公司协调解决的、监理部负责人协商处理。
3、本项目监理费总额为元,履约保证金元;现场监理直接总额比例为,成本为本监理机构履职的,人员工资、奖金等费用等开支。
4、为提高项目负责人履职的责任心,提高管理工作成效,本项目监理工作成效奖金(监理费总额的5%~10%,工程程度和项目情况等确定)项目负责人,项目监理工作成效奖金发放三次,第一次 于工程竣工验收 监理资料归档后十天内发放、第二次50%于工程保修期满后,本项目监理费结清后十天内发放。
5、为提高效益,项目负责人要树立项目成本意识,公司相结合的措施来鼓励节约成本,本项目的成本为 期的成本,的那个项目负责人度通告,节约成本是,节约成本的5% 为奖金项目负责人;当项目项目负责人监理部负责人汇报,要分析原因,超支的成本,超支部分的20%有项目负责人承担;若外界环境发生重大变化、项目负责人可与公司协商,调整项目成本目标值。
6、监理成本的发放,在工程监理资料归档、合同由监理费收到后十天内一次性付清给项目负责人;经甲、乙双方对项目监理实现成本进行,超支监理成本的扣款,工程竣工验收后,经甲、乙双方对项目成本进行确定后,一次性。
7、责任事故的处理,在政府专项检查中,项目受到通报批评,甲方处罚乙方5000元;项目受到通报批评并记入企业不良记录,甲方处罚乙方30000元,【2011】103号《关于对建设工程监理费支付进行统一监管的通知》,支付监理费时被考核一次不合格,所扣的监理
费由项目负责人承担,项目工作成效奖金,考核不合格的,所有的监理费由项目负责人承担,甲方再处罚30000元。
8、甲方:
乙方:
年月
(一) 我国建筑业进入到国际市场中的时间还不长, 因此在工程建设的进程以及相关的制度建设方面还存在着较多不足的地方, 较为显著的就是在海外项目工程会计人员的储备与管理方面存在着不足。先进的国际管理理念并没有为我国建筑企业带来更多的依据与参考, 大部分海外项目的会计管理以及管理层各个相关的机构设置方面仍然存在着片面、传统的现象, 进而困扰了内部控制工作的有效进展。
(二) 在我国的教育领域中, 缺乏专门针对海外项目的会计专业知识, 因此在会计人员的培养与输送方面显然无法满足海外项目管理的需求, 而大部分的会计人员在理论知识和实践经验方面也仅仅局限于我国国内的会计核算, 对于海外项目的核算背景成功的处理经验, 相对较少, 遇到问题是只有单一策划措施及方案。通常除了完成简单的记账、出纳等内部工作及对外银行业务和税收策划等外部工作, 只能简单的参与到海外项目的管理决策中。
(三) 海外工程会计监督体系的建设存在着较大的难度, 在会计风险控制方面也较为薄弱。在海外工程项目中, 由于受到不同因素的影响, 使得其存在着风险高、掌控难度大等特点, 同时由于其作为海外工程项目的特殊性, 对于国际货币汇率、当地国家的政治因素和风俗习惯等都可能会成为造成内部控制风险产生的原因, 而施工企业内部制度的不健全也导致了海外工程项目的会计监督体系的建设与完善困难重重。
(四) 缺乏对海外工程项目运作法律法规的完善。在国际上, 不同的国家有着不同的会计法律法规, 在执行方面也必然存在着较大的差异, 如何使我国企业在海外项目中能够与当地的市场发展和会计法规相适应, 是一个十分困难的问题。
二、加强海外承包公司内部控制的几点思考
(一) 促进我国施工企业财务管理体制的创新, 加强内部会计控制作用的发挥
财务管理体制的创新是满足海外工程项目发展的必然要求, 也是我国建筑企业参与国际经济建设的主要途径。要充分发挥每个海外财务管理单位和部门的优势, 切实履行我国关于集中管理境外财务工作的相关会计制度和要求, 根据海外工程项目的实际情况, 对财务部门进行科学的岗位设置, 并且对不同的岗位职责进行明确。一方面促进会计管理工作的持续开展, 另一方面也有利于促进内部控制作用的发挥, 形成一个自上而下的管理制度, 为内部控制提供基本的制度保障。
(二) 推行全面预算控制制度
针对海外工程项目自身所具有的特点, 应当将内部控制的重点集中在财务控制方面, 而财务管理的核心是包括资金管理、成本控制效益考核、信息化管理、以及税收筹划在内的全面管理活动。因此, 在资金管理方面, 一要加强财务集中控制系统的建设, 通过集团企业内部的ERP系统建设为内部控制的有效实施提供制度保障;二要不断促进我国企业内部管理制度与规范与其所在的海外项目当地的具体会计制度相适应, 通过统一的核算来实现有效的内部控制。在成本控制方面则需要通过对采购和项目的有效管理来实现。税收筹划则主要是根据当地国家政策以及税收政策, 通过与当地的相关人员进行沟通, 从而制定合理的税收筹划政策, 以此来降低施工成本。另外, 要加强效益考核的内部制度的建立与完善, 从根本上促进内部控制制度的不断完善, 才能为全面预算工作的顺利开展提供基本的保障。
(三) 加强对财务人员的集中管理
对于海外工程项目来说, 财务管理人员的集中化管理是保证其内部控制有效实施的基本保证, 只有高素质的会计人员才能保证海外承包公司内部控制的有效实施这不仅要求过硬的会计专业知识, 还要有一定的外语水平, 以便在银行, 税务等对外方面沟通便利。对财务人员的集中管理, 包括两方面的管理内容, 一方面是对中方财务人员的有效管理, 实行统一的委派制度。而作为海外工程项目的中方管理人员, 必须要对派出的财务人员实行有效的管理, 在没有特殊要求的情况下, 项目部门不能私自聘请其他的财务人员。另一方面对是外方财务人员的管理, 海外工程项目的财务管理活动中, 应当尽量利用当地的会计人员, 有效的促进财务管理工作的本土化, 才能够有效的规避海外项目的财务及税收方面的风险。
(四) 加强海外项目的风险管理
风险管理是海外工程内部控制中一项重要的内容, 因为海外工程项目的特殊性, 使得其在风险控制工作方面也承担着更大的风险, 根据海外工程项目不同的管理主体, 对政府项目和非政府项目方面有着不同的资金管理重点。通常政府项目要根据合同中对工程预付款进行明确的约定, 非政府工程项目则一般在收到预付款之后才开始进行项目的施工。所以, 财务人员要根据实际情况采取不同的管理策略。同时海外工程项目也会受到国际汇率变动的影响而产生风险隐患, 因此必须要对两国的汇率变动情况有密切的关注, 才能够采取有效的措施, 预防财务风险的产生。
结束语:
在当前建行组行业飞速发展的形势下, 我国建筑企业相应政府“走出去”的号召, 参与国际市场经济的竞争力也不断增强, 越来越多的建筑企业也有着参与世界经济建设的愿望, 但是同时海外工程企业的管理问题一直是一项难以解决的重要问题, 尤其是在内部控制方面, 如何实施有效的策略促进内部控制的不断完善, 是当前亟待解决的首要问题。
摘要:近年来, 随着市场经济的不断发展, 经济全球化趋势也不断增强, 国际间的交流日渐频繁, 为我国国内市场带来更多机遇的同时, 也带来了更严峻的挑战。从建筑市场的发展情况来看, 我国建筑行业的发展空间不断增加, 越来越多的工程项目也深入到海外市场中, 如何对海外承包公司进行有效的控制, 成为了当前建筑企业面临的首要问题。本文就对海外承包公司内部控制的相关问题进行简单的分析。
关键词:海外承包,海外项目,内部控制
参考文献
[1]赵清, 李红, 许刚.企业海外投资风险评价[J].中国商贸, 2012 (14)
[2]刘宗义.印度海外利益保护及其对中国的启示[J].现代国际关系, 2012 (03)
案 情
渠某与展甲是邻居,均系某村的集体经济组织成员。50岁的展甲无儿无女、体弱多病,且配偶在两年前因一场大病而去世,尚有年迈的、但一直卧病在床的75岁老母亲李某和不务正业、常常在外混吃混喝的弟弟展乙。渠某看展甲可怜,平时对展甲也是照顾有加。展甲为了晚年有人照顾,就希望与渠某订立遗赠扶养协议。2008年初,双方便找人起草了一份协议,该协议约定:展甲由渠某扶养,待展甲百年之后由渠某取得展甲6.06亩的家庭承包地经营权。该协议于1月19日在县公证处进行了公证。随后,渠某也是尽心尽力照顾了展甲的日常生活。
5年后,展甲因病医治无效去世。在外的展甲弟弟展乙得知其去世的消息后立马赶回家,与原告渠某因安葬及财产遗留问题发生了纠纷。展乙根据传统观点觉得“肥水不流外人田”,并坚持认为原告渠某不是展甲的继承人,无权获得该土地承包经营权,其土地承包经营权应由自己继承;而渠某认为双方签订的遗赠扶养协议合法有效,且经公证处公证,自己应当取得该协议约定的承包经营权。由于双方无法达成一致,无奈之下,渠某便起诉至法院,请求法院判令由自己继承展甲的6.06亩土地承包经营权。
法庭审理时,原告渠某诉称遗赠扶养协议内容系双方真实意思表示,具备主体合格、内容合法以及形式合法等条件,涉及到的土地承包经营权转让也是不违反法律强制性规定的,且经公证处公证,所以为有效协议。在展甲死亡后当然取得协议约定的土地承包经营权,而展甲的弟弟展乙无正当理由不顾其反对,擅自耕种本应由其经营的6.06亩土地,严重侵犯了其土地承包经营权。而被告展乙则辩称,遗赠扶养协议中关于土地承包经营权的遗赠本身就违反法律规定,原告渠某不可能继承该土地承包经营权,而展甲的承包地应由自己继承。
受诉法院经审理后认为,根据《农村土地承包法》以及最高人民法院《关于审理涉及农村土地承包纠纷案件适用法律问题的解释》的相关规定,以家庭承包方式承包的农村土地承包经营权不发生继承问题,所以该遗赠扶养协议违背相关法律规定,确实无效,原告渠某不能取得该土地的承包经营权。而原告渠某以被告展乙侵犯其土地承包经营权为由,要求被告展乙停止侵害的诉讼请求,无事实和法律依据,不予支持。遂依法判决驳回原告渠某的诉讼请求。
戴勇坚
湖南省律师协会建筑房地产专业委员会主任
上海建纬(长沙)律师事务所主任
《国土资源导刊》法律顾问
律师分析
展甲与渠某订立的遗赠扶养协议受《合同法》调整吗?
《合同法》是调整平等主体的自然人、法人或其他组织之间设立、变更、终止民事权利义务关系的法律规范总称。而根据《合同法》第2条,婚姻、收养、监护等有关身份关系的协议,适用其他法律的规定。所以本案中原告渠某与展甲订立的遗赠扶养协议并不受《合同法》调整。
那么该协议是不是就不受法律调整或保护了呢?当然不是,遗赠扶养协议是我国《继承法》确立的一项法律制度。我国《继承法》第31条规定:“公民可以与扶养人签订遗赠扶养协议。按照协议,扶养人承担该公民生养死葬的义务,享有受遗赠的权利。”本案中,原告渠某与展甲订立的协议,属于遗赠扶养协议,应受《继承法》调整。
农村土地承包经营权能否受遗赠?
答案是否定的。原因如下:首先,根据《农业部关于发布审理涉及农村土地承包纠纷案件适用法律问题的若干规定(征求意见稿)的通知》第34条规定:“家庭承包的,家庭成员之一死亡的,不发生土地承包经营权继承问题,承包地由家庭其他成员继续承包经营;家庭成员全部死亡,该土地承包经营权消灭;但承包地为林地的除外。”因此,若家庭成员死亡,还有其他成员的,则“继续”承包经营地,而不是作为死亡人的遗产发生继承,这样有利于稳定农村土地承包关系。所以本案中,对于展甲的土地承包经营权,不能发生继承,因为它并不是被继承人的遗产。那么对于渠某要求继承该家庭土地承包经营权这一主张,法律是不予支持的。
其次,根据《农村土地承包法》第31条规定,承包人应得的承包收益,依照《继承法》的规定继承。林地承包的承包人死亡,其继承人可以在承包期内继续承包。第50条规定,土地承包经营权通过招标、拍卖、公开协商等方式取得的,该承包人死亡,其应得的承包收益,依照继承法的规定继承;在承包期内,其继承人可以继续承包。由此得知,只有林地承包经营权以及通过招标、拍卖、公开协商等方式取得的土地承包经营权在承包期内才可以继续承包;而且对于承包人死亡的,只有承包人的继承人才可以继续承包。所以回到本案中,原告渠某并不是展甲的继承人,是继承人以外的扶养人,连继承人资格都不具备,更无所谓“继续承包”这一说法了。
甲方:杭州赢天下建筑工程有限公司杭政储出(2009)15#地块商品住宅二标项目部 乙方:童福军(身份证号码:***914)因工程施工需要,经甲、乙双方共同协商达成一致意见,由乙方负责承包甲方分包的杭政储出(2009)15#地块二标劳务分包工程中的 架子工程,并由乙方负责组建施工班组进行施工。为明确双方责任和权益,顺利完成施工任务特订立本协议,具体内容如下:
一、工程名称:杭政储出(2009)15#地块商品住宅二标工程
二、工程地点:杭州市拱墅区方家塘南,化工路西
三、承包范围:
乙方承包的架子工工程内容包括:
1、外墙脚手架、上料平台、各个工种操作棚、防坠棚、砼输送泵架子等的搭拆;三宝四口、五临边及临时架子和临时围护设施等等的搭拆;挑架钢筋预埋槽钢的安装拆除;上料平台和挑架螺杆拉接件、外架拉接点(加工除外)的预埋;各类安全网、防坠网、横幅和标志牌的张挂和拆除;脚手片铺设和拆除;外架钢管油漆涂刷;地下室、基坑围护、通道、楼梯墙板钢筋架等的搭拆。
2、图纸会审及联系单变更相关的架子工程施工。
3、架子工所用工具、铁钉、铁丝等辅料及安全帽、劳动安全防护用品均由乙方自备。注:外架必须严格按专项方案要求搭设施工。
四、承包形式:
本架子工工程以包清工形式承包。
五、承包价格按以下条款计算:
1、每平方建筑面积承包单价为:1)±0.000以下地下室 6.50 元/㎡;2)±0.000以上主体工程 13.00 元/㎡(本承包协议所定之单价为闭口价)。
2、建筑面积核算依据:按施工图和现行浙江省预算定额计算建筑面积(注:层高超过6m的投影部位建筑面积按双倍计算;网球场计算建筑面积)。
3、承包总价款计算:建筑面积×单价。本工程暂定建筑面积为:地下室25000㎡;主体建筑75000㎡。本钢筋工程暂定价款为:
4、承包范围以外的临时工作,双方以临时用工单(点工)形式结算,点工工资标准
为100元/每工
六、工期要求:
1、月 至年
2、在施工过程中,乙方必须按总包方项目部制定的施工进度计划组织施工。
3、如因乙方原因造成工期延误,甲方有权对乙方处以每天元的经济处罚,同-1-
时乙方应承担由此给甲方以及总包方造成的一切经济损失。
4、如因乙方管理不善,导致施工进度、工程质量、安全生产、文明施工、成本控制
等无法满足甲方的要求时,乙方应按甲方的要求中途退场。乙方应承担由此给甲
方以及总包方造成的一切损失。
七、履约保证金的约定:
1、乙方需在合同签订当日按暂定工程价款的 5 %向甲方提供履约保证金,保证金
金额为:5万 元(注:其中工程质量履约保证金 5 %;工期履约保证金 1 %;
安全生产文明施工履约保证金 1 %;材料节约履约保证金 1 %)。
2、保证金的退还:结构工程验收合格后,工期符合本承包协议要求,在施工过程中,乙方无不良行为,对整个工程的安全文明双标化评比无影响,甲方返还乙方保证
金的60%;剩余保证金在工程主体验收后60天后退还。
八、工程款的支付:
1、每月按不高于实际完成工程量的支付民工生活费(工资),在次月的20~25日发放(生活费标准:普工:元/每出勤日,技工:/每出勤日,班
组长:100元/每出勤日)。
2、工程过程中遇农忙前(6月份)、学生秋季开学前(8月份)支付至实际完成工程
量结算价的75%(注:用于支付民工的当月生活费和部分累计待结算部分工资)。
3、工程在春节前未完工的,付至已实际完成工程量结算价的80%,春节前支付。(注:
必须先支付民工待结算部分工资,余款由承包人进行再分配)
4、完成全部所承包工程并验收合格时付至实际完成工程量结算总价(以下简称结算
总价)的 85%,工程主体验收合格后 60 天内付至结算总价的 95%。结算总
价的 5% 做为质量保修金,竣工验收合格 1 年后付清。(注:必须先支付民工待
结算部分工资,余款由承包人进行再分配)
注:
1、实际完成工程量结算价=完成工程量*协议单价-考核应扣款
2、实际完成工程量结算总价=完成工程量*协议单价-考核应扣款+考核奖金
九、质量要求:
1、乙方必须按照专项施工方案要求和现行施工规范、标准进行施工。乙方达不到
要求的,甲方有权拒付工程款,且质量履约保证金全额没收。
2、乙方必须确保工程质量达到有关部门的一次性验收合格。如出现不合格,乙方
应按甲方要求无条件修补或返工,人工费和材料费由乙方自负;如出现分部工
程的单项不合格,除由乙方负责维修及承担费用外,甲方还要对乙方进行按该
单项总价的1~3%罚款;
3、凡收到业主、监理或总包方发的质量整改通知单,甲方对乙方每次罚款 200元,并责令立即整改,若多次出现同一问题的整改通知单,加倍处罚。
4、拆除架子时严禁向下抛钢管或扣件,如有发生甲方将对乙方处以每次500元的罚款,并责令立即整改。若再次出现同一问题,将加倍处罚。
5、由于乙方质量原因造成的返工,所发生的一切均由乙方负责。
十、安全生产、文明施工要求:
1、乙方必须严格按照杭州市安全文明双标化工地的要求组织施工,争创杭州市安全
文明双标化工程。
2、乙方及其班组内民工必须严格执行项目部的各项管理制度,自觉维护安全生产、社会治安秩序,并服从甲方及总包方管理人员的管理;如有屡教不改或无理取闹的人员,甲方管理人员有权对其进行辞退并作出处罚,情节严重者送交当地派出
所处理。
3、乙方必须高度重视安全生产管理工作,严格按照国家颁发的安全生产操作规程施
工,积极组织民工参加各项安全培训教育;如发生因违反安全生产操作规程而造
成的安全事故,乙方自行承担全部责任。
4、甲方以及总包方有权对民工违反安全生产、文明施工管理制度的事件按甲方以及
总包方有关管理制度对乙方进行经济处罚。
5.乙方必须做好落手清工作,做到工完料清,工完场清,垃圾归类,机具及时清洁。
十一、民工管理要求:
1、乙方应严格按总包方《工程项目劳务分包管理制度》的规定开展劳务管理工作,做好民工进场前的登记注册、三级安全培训教育,如实做好上岗民工的考勤,加强民工施舍的卫生管理以及社会治安管理,配合甲方做好民工工资的发放(详
见《工程项目劳务分包管理制度》)。主要内容如下:
① 民工登记注册要求:
——民工应身体健康,年龄、性别符合所从事岗位的要求;
——持有本人身份证、暂住证。无身份证者一律不得进入工地。无暂住证的由甲方
负责代为办理,费用由民工本人自理。
——甲方负责为注册民工拍摄数码照片,复印身份证和暂住证。设立虹膜考勤的项
目部需办理虹膜注册。
——民工与甲方签订劳动合同并签署同意参加乙方承包班组的承诺书。
② 三级安全培训教育:
——新进入工地或变更工作岗位的民工必须接受总包方公司、总包方项目部和乙
方班组的三级安全生产教育培训。
③ 民工考勤:
——乙方(或经乙方授权委托的班组长)负责将每天本班组的考勤记录并上报甲
方。
——设立IC卡(或虹膜)考勤的,考勤以IC卡(或虹膜)考勤记录为准,民工
上、下班时必须进行IC卡(或虹膜)考勤。
④ 民工宿舍管理:
——乙方班组所住宿舍的管理工作由乙方及其授权的宿舍长负责管理。乙方应将
其授权的宿舍长名单报总包方项目劳务管理负责人处备案,并接受甲方项目
负责人以及总包方项目劳务管理负责人的统一管理。
——住宿舍民工必须严格遵守总包方的《民工宿舍管理制度》,宿舍内、外应保
持整洁,严禁私拉电线,严禁使用电炉、煤气灶等大功率电器。
——乙方应加强对住宿舍民工的管理,若在宿舍内发生偷盗、打架斗殴以及消防、安全事故,乙方承担全部责任,并承担由此给甲方以及总包方造成的一切损
失。
——民工宿舍按每间每月50度免费使用,超出部份由所在班组当月生活费中扣
除,项目部每月定时进行抄表(每千瓦时收费为电力局电价),每间标准入住
率为5人,增加及减少入住率用电量作相应调整。
⑤ 民工工资发放:
——民工工资的发放额度根据乙方班组所完成工程量情况确定,乙方承诺将确保
所承包班组的工效,班组每月工资总额(月生活费+月待结算工资)控制在总包方核定的班组月实际完成工程量价款的85 %内。
——乙方负责编制民工工资表,工资表中应填写民工出勤工日、本月待结算工资、累计待结算工资以及本月实发工资。
——民工工资表由甲方项目负责人以及总包方劳务管理负责人进行审核,经总包
方项目经理批准后生效。
——民工工资由甲方负责组织甲方、总包方项目部和乙方共同进行发放,民工工资必须发放到本人。
2、甲方以及总包方有权就乙方违反《工程项目劳务分包管理制度》的事件,根据
甲方以及总包方的有关管理制度对乙方作出必要的经济处罚
3、对民工的管理,本协议另附总承包方项目部相关管理内容,具体见附表。
十二、材料控制:
乙方在施工过程中应厉行节约,杜绝材料浪费。实行限额领料制度(即按施工计划、施工部位、工程量进行领料),要按照施工部位进行领料,并履行签字手续。施工人员应做到落手清,每天作业完成后,剩余材料必须堆放到指定位置,不得乱仍、乱放。如有发现材料浪费情况,按以下方式处理:
1、乙方必须节约材料,杜绝浪费现象发生。实行限额领料制度(即按施工计划、施
工部位、工程量进行领料),要按照施工计划进行领料并履行签字手续。
2、施工过程中,材料应按要求分规格、品种在指定位置整齐堆放。如未按甲方要求
乱堆乱放,所产生的二次搬运及材料损坏、失窃等等由此产生的一切损失、费用均由乙方承担,并作出200-500元的处罚。
3、达不到质量要求返工重做的部位,其人工费、材料费均由乙方承担。
十三、本承包协议生效后,乙方派驻为现场班组长,由其负责乙方班组日常管理工作。
乙方委任的班组长必须每个工作日在工地现场,协助甲方人员抓质量、抓进度、抓安全、抓文明施工,因故外出需向甲方项目负责人或总包方施工负责人(或经理)请假,请假时间超过1天的,乙方应另行指定代理班组长。若班组长无故缺席或无指定代理班组长的,甲方将对乙方处以每天300.元的经济处罚。
十四、双方职责及违约责任:
1、甲方负责做好对乙方的各项安全及技术交底。
2、甲方负责代办暂住、劳务等证件,其费用由乙方承担。
3、因乙方原因造成施工质量达不到质量要求,而返工重做的,其人工费、材料费均由乙方承担。
4、乙方必须配合甲方建立建筑施工现场务工人员管理三本台帐,即《杭州市建筑施
工现场务工人员情况登记表》、《杭州市建筑施工人员考勤表》、《杭州市建筑施工现场务工人员工资发放表》;三本台帐必须真实、齐全,并要求民工本人签字,在发放工资前上报项目部。
十五、如有下列行为之一者,甲方有权单方面终止合同,且乙方于三日内无条件退场,由此造成的一切损失由乙方负责。
1、将此工程再转包或再次分包
2、施工过程中,若乙方在质量、进度、成本控制、安全文明施工等方面,不能达到施工质量验收规范和本协议书有关条款的要求,经甲方提出整改后,逾期不能有效改正的。
十六、其它
本承包协议中的单价包含1.5%的劳务管理费。甲方向乙方支付的总金额(包括民工工资在内)为工程结算价的98.5%,其余1.5%为劳务管理费由甲方负责代扣代缴。
十七、本协议有效期
自双方签字后起,至工程竣工后止。
十八、本协议一式肆份,甲方执叁份,乙方执壹份。未尽事项,由双方协商解决。
甲方:(盖章)乙方(签字):
甲方代表(签字):附身份证复印件
乙方:xxx (以下简称乙方)
甲方承包的简阳市精华小区(2#~10#楼)工程,因施工需要,甲、乙双方本着平等、自愿的原则,将该工程的基础(挖运土方、回填土方、浇砼、桩基)分项承包给乙方,特签订以下劳务承包协议,按实作工程量收方计算。
一、乙方承包工程内容、单价:
1、桩:挖土、运土、支模、浇护壁砼、浇桩砼/m。
2、条基:挖土、运土/m3,场地内转不外运元m3,浇砼元/m3。
3、回填土(夯实):元/m3。
4、除大型机具外,其它所有机具由乙方自理。
5、达不到质量和安全要求,扣总价。
二、施工质量要求:
乙方在组织施工作业时,必须严格按照甲方的技术交底及施工验收规范进行,必须达到设计和规范要求。若乙方施工操作失误造成的质量问题,乙方应无条件返工,直到符合规范及质量要求,并承担由此带来的一切损失和费用。
三、施工安全:
1、乙方人员入场时,必须佩戴安全帽,桩基施工拴安全带,穿指挥部发的衣服,接受甲方的三级安全教育和项目规章制度及安全技术交底的学习。乙方每周至少组织班组的操作工和工作人员进行一次安全教育学习。在施工操作时,乙方必须严格执行甲方的安全技术交底和施工操作规程,不违章施工,爱护各种安全设施,未经甲方专职安全员允许,禁止动用一切安全设施。
2、乙方在施工过程中因严重违规操作所造成的工伤及伤亡事故,因
此而产生的一切经济费用,由乙方负主要责任。
3、乙方在施工作业中一般的安全事故、医疗费用在3000元以内的由乙方自负,超过3000元的由甲方上报保险公司处理(除去保险公司的`赔付费用后,剩余部分甲方承担60%,乙方承担40%的费用)。
四、施工管理:
1、土方的挖运、堆放严格按甲方要求和施工图要求挖运堆放,运出土方严格按环卫要求,违者后果自负与甲方无关。
2、清基、护壁严格按规范和图纸尺寸要求,违者一切损失由乙方负全部责任。
3、浇筑砼严格按照甲方指定的配合比,冲洗干净基层上的杂物,严格按照技术交底操作,违者一次罚款500~1000元,并承担所有经济损失和责任。
4、班组会未准时参加者(10分钟未到场者)罚款100元/次,不参加者罚款500元/次,情节严重解除合同。
5、工地上严禁打架、斗殴,违者双方均处以20xx~5000元/次不等的罚款,情节严重的移交当地治安队处理。严禁在工地内打牌赌博,喝酒后上班者罚款200~500元/次。
6、乙方工人上岗操作时,未戴安全帽者,处以20元/次的罚款,桩下作业未拴安全带者处以30元/次的罚款。未穿指挥部发的衣服处以10元/次的罚款。
五、费用支付:
每月按完成工程量的70%支付,其余则在基础验收后1月内付清全部工程款(工程单价款内已包括工人劳保福利)。
六、本协议一式两份,甲乙双方各执一份,签字、盖章即生效。
甲方: 乙方:
一、国有企业内部承包的概述
企业承包经营管理模式,是改革开放之初,制度更新、市场搞活时期下的历史产物,该模式具有强烈的时代色彩。承包曾是我国改革开放历史上最成功的管理创新,不论是农村土地承包,还是企业管理承包、内部承包,都曾在市场经济发展中发挥了重要的作用,也由于其承包业务的特点,国家也先后出台了关于承包管理方面的规章制度,规范承包业务的开展。
内部承包作为一种内部经营方式,实际上是限定承包者为企业内部职工,为明确公司与员工权利义务关系而进行的新的分工。国有企业内部承包有如下几个特点,一是国有企业内部承包是具有天然的不对等性。即承包人是国有企业的内部成员,双方存在上下级间行政隶属上的管理关系。二是承包人产生于企业内部。承包人是与发包人有劳动合同关系的内部职工,承包人大多为承包业务的实际管理人。三是承包人接受发包人的日常管理。自主经营一定程度上受到限制,合同的内容系约定企业与员工之间的权利义务,承包方还要接受发包方的行政管理,遵守其规章制度,比如安全生产、劳动保险等方面的管理;四是承包人承包经营的资产为企业所有。承包人独立核算,自负盈亏;五是发包人极易发生以包代管的情况。内部承包容易产生的管理缺位、管理弱化、管理失控的情况。企业内部承包是国有企业在进行转换经营方式的过程中的一种尝试,由于内部承包从一定程度上能够解决企业所有权与经营权相分离,责、权、利相统一的问题,达到提高企业职工积极性、主动性,提高生产经营效率和效益的目的,因而受到许多国有企业的青睐。而随着社会主义市场经济体系的逐渐完善,《公司法》等法律法规的出台,公司制成为现代企业制度的主流,承包作为企业管理的补充模式,依然在国有企业管理中普遍存在,内部承包在现代企业制度下的管理应用中也面临新的法律风险。
二、国有企业内部承包的重点法律风险问题研究
1.发包人行政干预影响承包业务的开展,极易产生合同纠纷
承包人与发包人与生俱来的不对等特征,内部承包常常受到企业内部行政管理的干预,发包人出于对企业经营管理、安全生产、职工诉求等因素,不能完全按照承包合同实施管理,习惯性的以行政命令管理、干预已经发包的业务。如某建材厂白灰窑承包案,1984年6月1日,与职工关某签订《烧窑承包合同》,建材厂白灰窑由关某建设,该烧窑承包合同中未就履行期限、合同的终止及违约责任进行约定。合同履行到1984年9月24日,建材厂新换厂长,单方终止合同,并拆除白灰窑,为此双方产生纠纷。
这种以习惯性的行政命令管理方式干预承包业务的情况,实际上是一种违约行为,势必会给承包人带来经营困难,极有可能产生经济损失,随着承包人法律意识的加强,通过诉讼维护自身权益,发包人受到不必要的经济损失。(1)
2.国有企业内部资源行政化配置易造成国有资产流失
国有企业内部承包,实际上是将企业内部资源的再配置,一般没有通过公开招标进行,而且由于国有企业内部职工的行政层级的影响,原承包单位的负责人获得承包人资格相对具有优势,发包人也乐于挑选服从管理的负责人作为承包人。实行企业内部承包往往强调承包人的自主经营,使职能部门的作用和专业管理有所削弱,客观上放松了上级对下级必要的指导、控制和监督,某些规章制度受到冲击,国有资产流失的情况也屡见不鲜。如承包人出现重大违约时,发包人没有及时提出异议,造成对承包人违约的默认,合同履行出现重大变更而不采取应对措施,发包人放弃行使合同权利,对承包人履行义务的情况不予监督管理或监督管理不及时,非常容易产生合同纠纷。
3.承包人以企业的名义从事法律行为产生不可控的风险
企业内部承包合同不可能改变各生产经营单位的属性,不可能改变企业民事主体的法律地位。一方面,企业各生产经营单位的负责人作为企业工作人员,在承包期间的经营活动属于执行企业职务行为,由此产生的民事责任由其所属的企业承担。另一方面,由于企业内部各生产经营单位为企业下辖的生产单位,无营业执照,不具有诉讼主体资格。因此在承包经营模式下,承包人往往以发包人的名义对外开展经营活动,创设债权债务关系。
因公司与承包人之间的合同关系属于公司内部关系,公司与债权人之间的债权债务关系属于公司外部关系。作为一般法律原则,公司仍应对自己债务负责。根据合同相对性原理,第三方不作为合同的当事人不直接受合同的约束。换言之,在对外关系中,债权人有权直接追究发包公司的民事责任。
如某公司与其职工刘某签订《物流分公司承包经营合同》,合同期限为2014年6月26日至2015年12月25日。承包费为承包期内承包人每月上缴该公司5万元,同时承包人承担134名职工工资及福利待遇费用。在合同的履行过程中,在原承包经营合同没有约定情况下,承包人刘某为了方便经营管理,以发包人名义注册办理了“某公司物流有限公司”的国有独资有限公司营业执照,法定代表人为刘某,注册资本伍佰万元,B公司没有实际出资,没有建立财务账册,该公司没有外聘其他人员。新公司注册后,双方没有签署补充协议,没有明确约定发包人、承包人、新注册国有独资物流有限公司及与发包公司签订劳动合同却为新注册物流有限公司工作的的134名职工(后为110人)四方主体的法律关系。
在上述案例中,发包公司与承包人设立新公司、新公司出资及新公司债权债务等方方面面脱不开关系。虽然在对内关系中,发包公司在对外承担责任之后,有权向承包人追偿,但实践中造成的诉累、耗费的时间以及追偿不能的风险是可以想见的。为了避免上述情况的发生,发包公司可在承包经营合同中要求承包人预先提供一定的充分有效的担保(包括但不限于风险保证金、押金)。
4.企业难以摆脱承包人经营失败的后果
发包方在与承包经营者以企业名义订立承包合同时,无一例外都约定企业实行自主经营,自负盈亏,承包期间的一切债务与发包方无关,有的合同明确约定债务由经营者个人负担。但在实践中,承包业务出现大额亏损无力承担的时候,承包人偿付能力有限,承包保证金或者抵押财产不足以弥补亏损,最终往往是企业承担损失。如化工企业的环境污染侵权,矿山企业的地质灾害侵权产生的赔偿责任,赔偿责任可能是发生在承包经营期间,也可能发生在承包经营期后,特别是在发生巨额赔偿之后,承包方根本无力承担。在不对等的内部承包经营中,承包业务经营困难时往往出现个人受益、企业买单的情况,尤其是在承包人不能履约时,承包人对企业依赖心里造成承包业务履行困难,不排除在企业承包经营者中,有违背职业道德恶意经营,严重损害国家、集体和企业利益,谋取个人非法利益的人。发包人的利益得不到基本保障,甚至有可能扩大损失。
国有企业通过内部承包加强管理提高效率,兼顾增加利润或者减少亏损,承包人追求个人利益最大化,两者的目标并不完全一致。承包合同的履行过程中,发包人疏于管理,针对承包人的违约发包人不重视追责,而发包人违约,承包人则能从企业获取利益补偿,对发包人实则不利。因此在业务发包之初应细致严格的分析好承包经营的可行性,在发包时设定合理的经营指标,明确权利义务关系,同时严格监控承包业务的运行状况,设定终止承包合同的风险红线,使承包业务在可控范围内执行。
5.企业内部承包经营产生争议有不被法院受理的风险
由于国有企业内部承包的双方不是平等关系,因此发生纠纷提起诉讼时能否被法院受理一直存在争议。最高人民法院《关于加强经济审判工作的通知》第2条第2项指出:“企业内部的承包纠纷,大部分应由企业或其上级主管机关调处,极少数违反法律,必须由人民法院受理的,人民法院应予受理。”由于该通知没有明确受理与不受理的界限,人民法院在接到企业内部承包经营合同纠纷案件时,对于是否立案没有明确法律依据,因此在很长一段时间内,司法实践一般倾向于不予受理。这给国有企业内部承包争议的解决带来了很大的困难,甚至有长期解决不能的风险。
三、国有企业内部承包经营法律风险的防控建议
尽管“内部承包”丰富了企业管理模式,对国有企业相对僵化的管理体制带来一些灵活性,但承包模式也存在短期行为与长期发展的矛盾、公司利益与个人利益的矛盾、灵活机制和规范管理的矛盾,如果不重视制度约束和法律风险防范,看似公私兼顾的“承包制”反而会给企业的可持续发展埋下祸根。
1.科学决策集体决策,合规开展承包业务
一是制定详实可行的承包方案,合理确定承包指标,尽可能使承包基数做到科学合理,并实时监控业务开展情况,确保承包业务的可执行性;二是集体决策,坚持公开、公正、公平的选择承包人,防止暗箱操作、利益输送;三是完善承包制管控制度体系,建立企业的自我约束机制,合理确定合规管理和自主经营的“平衡点”;四是杜绝以包代管,合理设计职能部门的管理切入点,按照承包业务特点分类指导;五是要区别承包单位的不同情况,确定具体承包形式和期限;六是严格用印制度,在承包经营期间,发包方和承包方应共同管理承包业务印章,完善用印审批、登记、备案制度,防止发生失控现象。
2.严格合同履行管理,承包结束必须签订终止协议
市场经济是法治经济,是契约经济。承包经营合同是法律文书,具有法律效力。违反承包合同约定,发包人要承担法律后果。有的管理者依法治企法律意识相对滞后,对发包人的经营管理行为经常过分干涉或不行使合同权利,放弃监管,放任承包人不受约束履行承包合同。体现为发包人合同权利行使失度或维权意识不足,导致发包人合法权益无法有效维护,也不能很好达到承包经营目的。解决办法在于增强发包人法律意识,发包人内部专人负责承包事宜,细化承包合同条款,并明确内部管理责任,依法承包,依法履行承包经营合同。
无论发包人还是承包人提出原承包合同没有约定或者约定不明的新请求时,或承包合同履行时发生变化,双方又达成新的共识后,应及时签订补充协议,明确双方的权利、义务、责任内容。承包经营合同终止时,无论是双方达成一致提前终止,还是承包经营合同履行完毕而终止,还是因为其他原因终止,都要签署承包终止协议书,明确合同履行情况和责任承担内容。如履行完毕而有纠纷没有解决,双方立场差异较大,矛盾无法调和,承包人拒绝签署终止协议书,发包人要及时采取诉讼方式解决。要积极作“原告”,主动维权,要有承包人不是“伙伴”就是“对手”的思想准备。不能被内部人好说话、自己的职工好管理所蒙蔽,更不要采取“拖”的策略,发包人与承包人双方的纠纷或矛盾早晚需要解决,实践证明,早解决比晚解决对发包人更有利。
3.加强内控管理,落实责任追究制度
在现行体制下,企业领导可以通过行政管理手段约束承包人,承包人不尽合理的诉求往往可以得到控制。企业领导人员更换后交接不完善,导致对承包人履行义务的情况监督管理不够,或放弃行使合同权利,使发包人利益在事后很难维护,这种情况现实中法律风险极大。
内控制度的建立和有效运行,是国有企业控制风险的基础。对于内部承包这种管理模式,要制订专门的制度予以规范。在非正常的承包业务损失认定和责任追究上,严格落实责任追究制度,对相关的责任人严肃处理,惩戒、震慑非法、恶意、不道德的承包行为。
4.积极推动内部承包、生产经营责任状多种管理模式,避免落入合同漩涡
“生产经营责任状”与“承包经营合同”法律风险的最大的区别,就是经营管理权下放的方式不一样,则其产生纠纷的裁决方式不一样。采用“承包经营合同”方式,发包人与承包人近乎一种“平等”的合同主体关系,而我国现行的民法、合同法等法律体系调整的均是平等主体之间的法律关系,承包经营类的纠纷在民事诉讼中法院可能会依法受理、裁决。采用“生产经营责任状”形式进行经营管理,发包人把所属单位的“经营管理权”在一定期限内部分或少部分交给签状人,由签状人在所属单位严格管理下,完成生产经营各项指标,获取绩效工资或绩效奖金。所属单位与签状人是管理与被管理的关系,是一种不平等的主体关系,因“生产经营责任状”履行产生纠纷引起的民事诉讼,法院很难立案审理。(2)
所属单位的发包与承包,实质上发包人不是获得承包人的资金与技术,更多的是调动职工积极性,增加效益减少亏损。而通过签订“生产经营责任状”形式一样能达到前述目的。实际上“生产经营责任状”内容可以很多,很丰富,签状人双方的权利、义务、责任内容约定的可以很充分,能够包含全部的“合同”内容。达到或没有达到生产经营指标,绩效工资或绩效奖金奖罚可达到几千元到几十万元,签状人职工一方,可以是一人、一个班组、一个车间或一个分厂。这都是企业的经营自主权,只要不违反法律的禁止性规定就可以执行,可以避免诉讼风险。
5.推进现代企业制度建设,推行混合所有制
对于产品业务相对独立、资产界限清晰、职工安置合理的承包业务,推行混合所有制改革,实现企业资产重组和结构调整,可以避免内部承包产生的法律风险失控、企业投入不足等弊端,建立混合所有制,也是目前企业改革的主流和方向。国有企业内部承包业务,是风险内控的重点,也是诉讼纠纷频发的环节,加大承包经营等业务的管理力度,以实现发包人承包人双赢为目的,在实践中开辟出新的承包经营管控模式,最大限度避免风险,实现依法依规运营,确保企业科学发展、健康发展。
6.在企业内部承包经营的基础上探索内部租赁经营道路
由于企业内部承包经营是特定时期的历史产物,放在当下的大环境中,无论在实体法律适用上还是诉讼解决中都存在依据不足的现象。因此,国有企业可在内部承包经营的现有理论和实践基础上探索内部租赁经营。
内部租赁经营,顾名思义,即以租赁为基础的法律关系,以企业内部职工为承租人,然后根据实际需要添加经营方面的条款,可以实现与内部承包经营相同的目的。该种经营模式与内部承包经营相比,法律关系相对简单,有明确的法律及司法解释依据,在约定不全面时,可以通过法律规定厘清双方权利义务关系,产生争议后通过诉讼解决也不存在障碍,因此能够有效保护国有企业资产利益。
综上,为达到减亏、扭亏、盈利之目的,推进灵活有效的管理模式,在国有企业实行企业所有权与经营权分离的内部承包经营,应注重从合同签订、内部管理、责任追究、制度建设等方面防控法律风险,同时应积极探索其他经营模式。
注释
1《中华人民共和国民法通则》第八十八条:合同的当事人应当按照合同的约定,全部履行自己的义务。《中华人民共和国合同法》第六十条:当事人应当按照约定全面履行自己的义务。
关键词:802.1x协议;Radius服务器;认证;网络安全;接入控制
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30651-02
Application Discuss of 802.1x Protocol Used in Intranet
LI Dian-ju
(School of Software Engineering,South China University of Technology,Guangzhou,China)
Abstract:IEEE 802 LAN has made great success because of its relative simple design,and it has been used in the corporations widely,but it also has the hidden trouble which can not be ignored. For example,the client can access to the resource of the Intranet only by linking to the net but without authentication. The demand of the network security is growing as the network technology widely used and popularized. IEEE 802.1x protocol is the technique to solve the problem of client authentication by means of network access layer, and this has been identified with the industry as a standard. This article will discuss the 802.1x protocol's working principle and the application in the Intranet. Also, real cases will be presented.
Key words:802.1x protocol; Radius server;authenticate;network security;access control
1 技术背景
在IEEE 802所定义的局域网环境中,只要存在物理的连接口,未经授权的客户端设备就可以直接或通过连接到局域网的设备进入局域网络,应用网络内的服务,访问网络内部数据。随着局域网技术的广泛应用,在很多网络环境中,通常不希望未经授权的设备或用户连接到网络,使用网络提供的资源和服务。特别是在运营网络中的应用,对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。
2 IEEE 802.1x协议
IEEE 802.1x称为基于端口的访问控制协议(Port based network access control protocol),该协议在利用IEEE 802 LAN的优势基础上提供了对连接到局域网的设备或用户进行认证和授权的一种手段,连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。通过此方式的认证,能够在LAN这种多点访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备上连接LAN的物理端口,或者是在IEEE 802.11无线LAN环境中定义的工作站和访问点。
2.1802.1x体系结构
IEEE 802.1x协议的体系结构包括三个重要的组成部分:Supplicant客户端、Authenticator System认证系统、Authentication Server认证服务器。图 1描述了三者之间的关系以及相互之间的通信。
(1)客户端系统一般指用户终端系统,该终端系统通常需要安装一个客户端软件,网络设备厂家通常提供的802.1x客户端(或如Windows XP自带的802.1x客户端),用户通过启动这个客户端软件发起802.1x协议的认证过程。为了支持基于端口的接入控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over LAN)协议,802.1x客户端系统与认证系统通过EAPOL协议交换信息。
图1 IEEE 802.1x认证体系结构
(2)认证系统通常指那些支持802.1x协议的网络设备,如支持802.1x协议的交换机,支持802.1x协议的网络设备对应不同的用户端口(可以是物理端口,也可以是用户设备的MAC地址)有两个逻辑端口:受控(Controlled Port)端口和不受控端口(Uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终能够发出或接受认证。受控端口只有在认证通过的状态下才可打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,用户无法访问认证系统提供的服务。图 1中认证系统的受控端口处于未认证状态,因此客户端无法访问认证系统提供的服务,这样保证了控制信息和业务信息的分离。
PAE是端口访问实体(Port Access Entity),如图1所示分为客户端PAE和认证系统PAE:
(1)客户端PAE:位于客户端,主要负责响应来自认证系统建立信任关系的请求。
(2)认证系统PAE:位于认证系统,负责与客户端的通信,把从客户端收到的信息传送给认证服务器以完成认证。
认证系统的PAE通过不受控端口与客户端PAE进行通信,二者之间运行EAPOL协议。认证系统的PAE与认证服务器之间运行RADIUS(Remote Authentication Dial In User Service)协议。
认证系统和认证服务器之间的通信可以通过网络进行,也可以使用其他的通信通道。例如当认证系统和认证服务器集成在一起时,两个实体之间的通信就可以不采用RADIUS协议。
2.2端口受控方式
802.1x交换机一般支持以下两种端口受控方式:
(1)基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
(2)基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
认证服务器通常为RADIUS服务器,如Windows 2000/2003的ICA服务就可以实现Radius服务器,认证服务器存储有关用户的信息,例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量将接受上述参数的监管。
3 RADIUS认证技术
RADIUS的全称为(Remote Access Dail-In User Service),它是对远程拨号用户访问进行认证的一种协议,是在RADIUS Server和RADIUS Client之间实现AAA框架(Authentication,Authorization and Accounting:认证、授权和计费)的协议标准。认证即辨别用户是谁的过程,通常该过程通过输入有效的用户名和密码实现;授权是指对完成认证过程的用户授予相应权限,解决他能做什么的问题,在一些身份认证的实现中,认证和授权是统一在一起的;计费(Accounting)则是统计用户做过什么的过程,包括用户使用的时间和费用,可通过用户占用系统的时间、接收和发送的信息量来衡量。
RADIUS采用Client/Server模型,在交换机上运行的是Client端,负责将用户信息传送到指定的RADIUS服务器上,并根据服务器返回的结果进行相应的处理。RADIUS服务器包括两种类型:授权认证服务器和计费服务器。授权认证服务器(RADIUS Authentication Server)负责接受用户的连接请求、验证用户身份,并返回给客户需要的相关配置信息。一个授权认证服务器也可以作为RADIUS客户的代理,将其连接到另一个授权认证服务器。计费服务器(RADIUS Accounting Server)负责接受用户计费开始请求和计费结束请求,并实现计费功能。
4 接入控制
客户端设备的接入控制是在运用802.1x基于端口的访问控制协议的基础上扩展了该协议,实现了基于用户MAC地址的访问控制,可以对设备一个端口上的多个接入用户分别进行认证和管理,提供对用户接入的灵活控制,同时能够与动态主机配置协议中继代理(DHCP Relay)相结合,为RADIUS服务器提供用户的IP地址。
接入控制提供3种身份验证方式:PAP,CHAP和EAP-MD5方式,根据业务运营的不同需求,可以使用其中任何一种身份验证方式实现接入控制的认证过过程, 目前最广泛使用的是EAP-MD5,下面是使用EAP-MD5方式进行身份认证过程。
如图 2所示,首先用户终端向交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后由交换机发送ACCESS-REQUEST到RADIUS 服务器,RADIUS服务器生成challenge信息,并将ACCESS-CHALLENGE报文发送给交换机。接下来,交换机向用户终端发送EAP-REQUEST/CHALLENGE报文通知用户使用EAP-MD5方式验证身份,终端返回EAP-RESPONSE/MD5-CHALLENGE报文作为响应。交换机将来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文封装到ACCESS REQUEST报文中,并发送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,则返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。
图2 使用EAP-MD5方式进行身份验证的过程
5 与不支持802.1x的设备的兼容
802.1x协议在2001年才正式公布的协议,而企业实体在此之前早就投入了大量资源建设内部网,对于从一个没有认证的系统过渡到认证系统,最理想的状态是希望能够平滑的进行过渡。由于802.1x协议是一个比较新的协议,如果应用在原有的旧网络中,则可能存在与不支持802.1x协议的设备的兼容性问题。
如果客户端支持802.1x协议,而网络设备不支持(也就是没有认证系统),则客户端是不会收到认证系统响应的EAP-Request/Identity报文。在802.1x认证发起阶段,客户端首先发送EAPOL-Start报文到802.1x协议组申请的组播MAC地址,以查询网络上可以处理802.1x的设备(即认证系统),由于网络中没有设备充当认证系统,所以客户端是得不到响应的。因此客户端在发起多次连接请求无响应后,自动认为已经通过认证。
如果客户端不支持802.1x协议,而网络中存在802.1x协议的认证系统,则客户端是不会响应认证系统发送的EAP-Request/Identity报文,因此端口会始终处于未认证状态。在这种情况下,客户端只能安装802.1x客户端系统软件参预认证,或通过未受控端口访问某些通过设置可以访问的服务。
6 应用实例
802.1x提供了一个用户身份认证的实现方案,为了实现此方案,交换机除了配置802.1x相关命令外,还需要在交换机上配置AAA方案,选择使用RADIUS或本地认证方案,以配合802.1x完成用户身份认证:
图3 802.1x应用配置示意图
802.1x客户端用户通过域名与交换机上配置的ISP域相关联。
配置ISP域使用的AAA方案,包括本地认证方案和RADIUS方案,实际应用时可以使用以下三种方案。
(1)采用RADIUS方案,通过远端的RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在交换机上进行RADIUS客户端的相关设置。适合大规模的企业内部网,在RADIUS服务上集中设置和修改用户信息,方便快捷。
(2)采用本地认证,则需要在交换机上手动添加认证的用户名和密码,当用户使用和交换机中记录相同的用户名和密码,启动802.1x客户端软件进行认证时,就可以通过认证。此种方案适合中小规模企业内务网,用户数量不多的情况。缺点是用户信息需要直接通过CLI直接记录在交换机上,维护更换带相对麻烦。
(3)先采用RADIUS方案,通过RADIUS服务器进行认证,如果RADIUS服务器无效,则使用本地认证。这是一种灵活的方案,设置交换机本地用户可以方便维护人员的测试工作。
下面的设置例子实现上述第三种方案,在华为S3026C交换机测试通过,假定已经设置好交换机IP地址等基本信息,远端RADIUS服务器IP为172.16.16.250,使用缺省端口号。
// 开启全局802.1x特性。
[Quidway] dot1x
// 设置接入控制方式(该命令可以不配置,在缺省情况下就是基于MAC地址的)。
[Quidway] dot1x port-method macbased
// 设置使用EAPmd5-challenge中继认证方式
[Quidway] dot1x authentication-method eap
// 创建RADIUS方案radius1并进入其视图。
[Quidway] radius scheme radius1
// 设置主认证/计费RADIUS服务器的IP地址。
[Quidway-radius-radius1] primary authentication 172.16.16.250
// 设置系统与认证RADIUS服务器交互报文时的加密密码。
[Quidway-radius-radius1] key authentication huawei
// 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
// 创建域abc.net并进入其视图。
[Quidway]domain default enable abc.net
// 指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[Quidway-isp-abc.net] scheme radius-scheme radius1 local
[Quidway-isp-abc.net] quit
// 配置域abc.net为缺省用户域。
[Quidway]domain default enable abc.net
// 添加本地接入用户、密码和服务类型。
[Quidway]local-user user1
[Quidway-luser-user1] password simple user1
[Quidway-luser-user1] service-type lan-access
//重复添加本用户……。
7 小结
802.1x协议很好解决了客户端设备接入网络的认证问题,既保留IEEE802LAN方便易用又解决接入认证的安全问题,得到业界一致支持,现在支持802.1协议成为交换机标准功能。随着企业团体对网络安全的重视和投入,对网络管理控制的需求提高,802.1x必将逐步成为主流的网络认证方式。
参考文献:
[1]IEEE's "802.1x - Port Based Network Access Control"URL:http://www.ieee802.org/1/pages/802.1x.html.
[2]李艇.网络安全基础教程[M].北京大学出版社,2006年1月.
[3]王迎春,谢琳.网络安全体系结构[M].人民邮电出版社,2005年6月.
[4]张志,魏永红,刘录增,刘昊昀.802.1X认证技术的应用[M].地理与地理信息科学,2006,22,2.
【内部承包协议】推荐阅读:
监理内部承包协议06-19
班组内部承包协议10-20
内部施工承包协议书06-20
建筑工程内部承包协议 new05-31
土建工程内部承包协议书12-08
土石方工程内部承包合同协议书06-26
建设劳务工程施工内部承包协议书07-13
内部施工承包合同01-27
企业内部承包经营合同09-19
内部项目承包承诺书10-05
