天融信云安全监控服务白皮书

天融信云安全监控服务天融信云安全监控服务销售白皮书北京天融信公司2012年8月

目录TOC\o"1-4"\h\z\u1 服务背景 41.1 各类网络安全产品的大量使用带来新的工作挑战 41.2 WEB的广泛应用导致针对WEB服务器的攻击日益盛行 51.3 天融信云安全监控服务 62 服务说明 72.1 天融信安全设备远程监控服务 72.1.1 目标客户 72.1.2 产品功能 72.1.2.1 多方位可用性监控 72.1.2.2 策略评估 92.1.2.3 策略监控 102.1.2.4 策略备份 102.1.2.5 智能风险防御 102.1.2.6 设备更新管理 102.1.2.7 备件响应服务 112.1.2.8 内网事件分析 112.1.2.9 外网事件分析 112.1.2.10 日志云存储服务 112.1.3 典型应用 122.2 天融信网站监控防护服务 122.2.1 目标客户 132.2.2 产品功能 132.2.2.1 可用性状态监控 132.2.2.2 敏感字监控 132.2.2.3 网站页面防篡改监控和网页恢复 132.2.2.4 网站遭受攻击后并可能产生影响时，是否被风险隔离 142.2.2.5 实时阻断对WEB服务的各种攻击行为 142.2.2.6 WEB漏洞检测 142.2.2.7 防拒绝服务攻击 152.2.2.8 异常外联事件分析 152.2.2.9 日志云存储服务 152.2.2.10 安全信息通报服务 152.2.3 典型应用 163 服务特点 163.1 更彻底的网站防护及页面防篡改、页面恢复 163.2 强大的WEB网站防护能力 163.3 符合国家信息安全评测的标准和结果 173.4 提供专业的网站防护巡检、评测、加固、应急等持续性服务 173.5 有效提升网络安全设备的防护价值和风险控制能力 173.6 云安全在线监测服务提供全天侯监控和即时预警 173.7 提供安全设备和网站防护的日志存储服务 183.8 以结果为导向的“托管式全方位服务” 183.9 丰富经验和专业技术的保障 183.10 解决实际问题的专家级报告 184 客户收益 19

服务背景各类网络安全产品的大量使用带来新的工作挑战过去的十多年来，网络安全形势一直十分严峻，重大网络安全事故频频发生。随着社会各界对网络安全的重视程度越来越高，很多政企机构都购买部署了各种类型的网络安全设备，如防火墙、IDP、VPN、防病毒网关等来保护自己的信息系统资产。但是随着用户网络规模的扩大和网络安全设备数量的增多，网络管理员又面临新的问题：所有的这些网络安全设备，数量众多，型号多样，功能各异，网络管理员只能对每个产品或每种产品单个管理，缺少统一的管理手段。大量网络安全设备在不同位置的使用导致这些设备的策略管理非常麻烦，比如设备上线前策略的规划和制定是否符合安全需求，策略变动是否是合理的管理行为，策略变化之前是否有备份，等等。网络安全技术日新月异，说一日一变都不为过，而相应的网络安全产品更新也非常之快，大量的网络安全产品更新任务也大大增加了网络管理员工作。工作时间之外的网络安全事件层出不穷，而往往网络安全事件就发生在5X8小时之外，缺少全天侯安全监控人手和工具。由于技术方面缺少专业的网络安全研究团队支撑，大多数管理员很难跟上网络安全技术发展，这导致管理员在发生新的网络攻击和安全事件时缺少足够的应对办法。设备出现问题时可能缺少救急用的对应型号的网络安全设备顶替，而如果每种型号的安全设备都自购备件的话，会导致成本的大大增加和可能的浪费。海量的安全事件和操作日志缺少统一的管理和存储，可能就在安全设备本身上存放，针对这类最有价值的信息资产缺少统一的管理存储分析手段和技术。……综上所述，可以看出，网络安全设备的维护和管理是否专业直接影响到潜在网络安全风险的高低，如何在现有网络安全设备的基础上，通过收集和整合各类用户关心的安全事件，挖掘用户关注的业务价值，满足用户日益复杂的信息系统实际安全管理需要，对网络管理员维护系统安全提出了重大挑战。WEB的广泛应用导致针对WEB服务器的攻击日益盛行伴随着互联网技术与用户的业务密切结合，电子商务和电子政务用户利用WEB网站来实现其业务流程的趋势日趋明显。但是，商业对手的恶意竞争，国内外各类非法组织的不良企图，离职员工的不满情绪泄愤等等各种原因都越来越导致WEB网站安全问题日益突出：网页篡改：各类黑暗势力的反华宣传，可能篡改有影响力的政企WEB网站网页，这会严重影响单位形象，甚至带来负面政治影响。网站攻击：网站核心资产被入侵，机密信息泄露会严重危害单位业务和竞争力。拒绝服务：为打击竞争对手业务，拒绝服务攻击可能造成客户的大量流失。被动下线：被篡改系统或作为攻击机后，可能导致被监管部门勒令下线整改。法律风险：可能带来大量法律方面的风险，比如成为钓鱼网站传播的媒介，损害访问者的利益（网银、游戏等各类密码）。……针对这两块独特而复杂的网络安全领域，天融信公司集十余年信息安全研发经验和安全服务实践，推出“云安全监控服务”。天融信云安全监控服务“天融信云安全监控服务”为用户提供托管式的“安全设备远程监控服务”和“网站监控防护服务”两大服务内容，针对用户的网络安全设备和网站进行全天侯安全监控、安全告警、攻击阻断，并提供可视化报告和解决方案。“天融信云安全监控中心”是网络时代信息安全防护手段的最新体现，它以云安全运维监控团队为服务核心和发起点，整合公司各技术团队（安全技术团队、攻防实验室团队、公司研发团队、客户本地技术支持团队）和相关安全产品、管理平台资源，为用户提供最实时最实用的网络安全解决方案。“天融信云安全监控中心”存在自适应自学习能力，它融合了并行处理、网格计算、未知攻击行为判断等新兴技术和概念，每一个技术团队、每一个客户服务点，都会在自己的岗位上为用户网络安全监控发挥自己的作用，通过网状的大量安全事件，对网络中的异常行为进行监测研究和趋势判断，获取互联网中各种恶意程序的最新信息，推送到服务器端进行自动分析和处理，再把各类安全事件的解决方案分发到每一个相关客户手中。服务说明天融信安全设备远程监控服务天融信安全设备远程监控服务是天融信安全服务团队依托专业的安全管理系统平台，结合用户对网络安全设备的管理需求，以灵活多样的服务包为主要形式，针对不同的IT环境进行安全监控、安全告警等，并提供可视化报告和统计的一种服务。安全设备监控平台提供了高实时性和全方位的监控和管理服务。通过天融信安全设备监控平台提供的智能向导、强大的管理工具和灵活的监控服务，实现对用户的安全设备和业务服务器进行全面监控和保障，从而提升整个业务网络的安全性和稳定性，大大降低企业的运维安全风险和成本。目标客户安全设备监控服务包主要监控对象：天融信自研的安全网关，包括防火墙、VPN、入侵防御、防病毒网关和UTM。产品功能安全设备监控服务包主要提供以下内容：多方位可用性监控天融信安全设备监控平台是实现安全设备监控服务的核心，它提供了一系列强大的监控和管理功能，通过一个直观、易用的Web界面来展现，对重要对象的可用性进行监测，帮助用户监控以下功能：设备可用性监测、隧道可用性监测、业务服务器可用性监测、业务网络可用性监测、可用性质量综合评分等，实现对用户业务的实时性、持续性、安全性进行保护。多方位可用性监控的主要目的是保障用户安全设备的可用性和稳定性，通过对设备在线情况、CPU内存连接数等性能信息、接口流量信息、隧道连通信息、隧道流量信息进行实时监控和综合统计、分析，从而判断出设备的健康度。通过7*24小时不间断的实时监控和及时报警，第一时间发现安全隐患并通知用户，并提供详细的问题分析和解决建议。定期提供丰富的审计报表，包括每类信息的运行详细和所有设备的运行情况汇总，以饼图、柱图、曲线图和列表等多种形式显示信息，使用用户能够一目了然的获知设备运行信息。服务人员通过拓扑图等多种方式，实现对设备、隧道等进行各种管理和监控，图形化的添加设备和安全域，建立设备间的隧道，实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VRC监控功能。通过天融信安全监控平台能够最全面的了解整个网络，包括：设备的可用性、接口流量、版本、许可证、配置信息、路由信息和日志等；全网拓扑、设备性能排行、设备接口流量排行；隧道协商状态、隧道流量趋势、隧道传输细节、VRC用户信息、虚拟路由信息；全网攻击事件、病毒信息、木马信息、应用分布流量等。策略评估安全策略评估功服务由天融信安全顾问团队负责，基于监控平台定期对防火墙、入侵防御、防病毒等设备的安全策略进行合规性和安全性的监测与评估，提供专业的评估报告。主要针对入侵、网络攻击、拒绝服务（DoS）攻击，以及蠕虫、网络病毒、特洛伊木马、间谍件和广告件等做出策略评估，并给出改进建议，进一步的提高设备的使用价值。长期的防火墙策略管理以及复杂的防火墙部署过程中，防火墙规则集可能会比较凌乱，随着时间的发展，这些规则集可能与安全策略脱轨，同时也有可能产生没有用或策略漏洞的规则，天融信安全设备监控平台可以实现远程对设备的安全策略进行评估，帮助用户实现设备策略的安全防护：静态策略评估：通过静态检查设备配置文件的方式，结合天融信和用户工程经验，识别出配置文件中有风险的规则，给出改进建议。包括管理类配置、接口类配置、网络类配置、ACL类配置、高可用性类配置等方面；设备安全自检策略：通过检查设备的时间是否同步，管理员密码强度等方面来提高设备的安全性；策略安全综合评分：根据策略安全性的各项检查项，进行综合评分。策略优化：检查设备是否配置了不安全的外部访问策略，提供天融信的安全配置建议，检查策略冲突情况；根据实际访问情况，评估策略的使用情况，给出优化建议。策略监控安全设备的策略一旦发生变化，则安全监控中心会告警，通知客户进行确认并记录策略变更。实现设备配置的版本管理，监控设备配置是否被修改，被修改的风险等级判断，并提供不同策略版本之间的比较功能。策略备份策略定期备份：针对有需要的用户，定期自动进行网络安全设备策略的备份，以防止管理员策略变更后缺少备份。智能风险防御当被保护的对象遭受攻击时，监控中心根据风险的特性，自动生成安全设备防护策略规则，让安全设备主动进行风险防护或对管理员提供优化规则建议。设备更新管理更新管理能确保用户使用的设备操作系统版本、病毒库版本、攻击识别库版本等为最新版本，保证用户网络能够对最近发生的安全威胁进行实时、有效的防御。安全设备监控平台提供了定期监测设备相关的更新信息，给出更新建议。也可以事先配置好设备自动升级和软件自动分发功能，在有新的规则库和系统软件发布时，第一时间更新到用户的设备上，执行更新操作，实现了版本检测、升级管理和软件分发、License管理、设备系统软件管理、设备客户端软件管理、CRL管理、签名库管理（管理设备各类签名库，有攻击检测规则库、应用识别库、URL库、病毒库等）等，有效保护用户的资产安全防护有效性和安全防护的实时性。同时支持设备升级计划任务形式，在业务空闲时进行设备的批量自动升级，保证用户业务本身不受影响。备件响应服务主要包括天融信系列网关产品，服务期限外的设备故障替换、设备应急处理、现场支持等。内网事件分析深度分析设备收取的内网安全事件或异常行为，帮助用户净化内部网络，维护内网安全合规性。对持续出现违反安全规则的，作出重点报告。外网事件分析深度分析设备抓到的外网攻击行为，协助用户提高安全配置，对重点攻击IP进行隔断或调查。日志云存储服务帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。典型应用天融信网站监控防护服务天融信网站防护服务是天融信经过多年行业深厚技术积累和应用实践经验，凭借历经奥运、亚运、世博、两会等大型活动安全保障的考验，以及在多个网站防护项目上的经验积累，为客户网站提供：一、网站页面是否被篡改和被恢复监测；二、网站是否可用性状态监控；三、网站安全是否符合国家评测机构相关规定；四、网站遭受攻击后并可能产生影响时，是否被安全阻断和隔离；五、及时的安全应急及安全信息通报服务。天融信网站防护服务通过远程安全检测和实时监控，可以实时将源站保护起来，既能保证其内容不会被黑客篡改，又能将各种攻击影响降到最低，同时保障网站信息的正确性、政务服务的可用性和信息反馈的畅通性。天融信网站防护服务为了达到对网站进行持续防护的目的，我们还将为客户提供后续的网站扫描、风险评估及加固、应急处理，网站安全评测，网站安全通告服务，第一时间向客户预警并帮助客户处理可能发生的网站安全风险事件。目标客户政务网站、教育网站、行业企业网站，电子商务网站、金融网站等客户。产品功能可用性状态监控对客户的网站系统进行7X24小时监控，当客户的网站不能访问或者访问异常，向客户及时报警。敏感字监控监测网站页面中是否存在反动、色情等敏感信息，一旦发现及时向客户预警，提醒客户采取应对措施。网站页面防篡改监控和网页恢复采用独特专业技术，不需要在WEB服务器上装载任何软件，一旦发现网页被篡改就及时恢复，同时通过页面告警、声音、邮件、短信的方式通知在线监测人员及用户，进行保护性防护。采用了一种快速监测方法，70%~80%的网页篡改行为都能在1s内被发现。特点：支持在线监控和离线监控；支持日志、禁止、恢复动作；支持根路径、非根路径分别设置检测时间间隔；支持轻度、深度两种级别检测策略。网站遭受攻击后并可能产生影响时，是否被风险隔离采用天融信独特的技术，当发现网页两次或以上被篡改又被恢复时，根据用户的权限设置，可以实现网站和互联网络的物理隔离，实现网站的彻底安全性，减少风险的扩大性，有效控制风险的蔓延，等处理完毕后，可自动进行恢复。实时阻断对WEB服务的各种攻击行为天融信网站防护系列实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击等功能，不但保障了网页不会被篡改，而且还可以保障网站可以被安全、高效的访问，对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。WEB漏洞检测对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。防拒绝服务攻击全面防御SYNflood、ICMPflood、UDPflood、DNSFlood，DHCPflood、CC等几十种DOS/DDOS攻击行为异常外联事件分析对网站流出的异常流量和行为进行分析，防止网站成为攻击跳板或钓鱼网站。日志云存储服务日志云存储服务：帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。安全信息通报服务 提供最新安全资讯，使客户实时掌握最新的安全动态，同时当发现与网站系统相关的紧急安全漏洞或事件，将第一时间通知。安全通告的方式有短信、电话、电子邮件。典型应用服务特点更彻底的网站防护及页面防篡改、页面恢复监控中心一旦发现网站页面被篡改，可即时进行自动恢复，并通报用户。发生两次以上的篡改，根据用户定义，可以自动进行网络隔离以提供更彻底的安全保障，避免事件造成更大的影响。强大的WEB网站防护能力强大的WEB网站防御平台和知识库，全面的网站漏洞自扫描监测功能，强大的防火墙联动阻断功能。符合国家信息安全评测的标准和结果服务过程、服务手段、服务平台、服务团队、服务输出等，符合国家相关安全监管要求，相关成果可作为单位信息安全评测的参考依据和原始素材。提供专业的网站防护巡检、评测、加固、应急等持续性服务为客户提供完整的延续性的安全保障服务，包含安全评估服务、安全加固服务、安全巡检服务、安全应急服务、安全在线监测服务、符合法规的安全测评服务等。有效提升网络安全设备的防护价值和风险控制能力由于大量的安全设备的部署和使用，对这些设备的安全维护和管理是否专业就直接影响到了整个信息系统的安全性。如何在现有安全设备的基础上，通过收集和整合用户关心的安全事件、挖掘用户的业务关注价值、以满足日益复杂的信息系统安全管理需要，这对网络管理员维护系统安全提出了重大挑战。天融信云安全监控中心从专业的角度，能帮助用户有效提高安全设备的防护价值和风险控制能力。云安全在线监测服务提供全天侯监控和即时预警为用户提供7X24，7X8,5X8小时的在线监控防护，为用户解决8小时之外的安全事件，使用户高枕无忧。全天候在线监控中心，可实现客户的信息安全管理从被动防御到事前防范、事中监控与即时阻断、事后取证与总结完善的完整信息安全防护流程。发现重大安全问题及时向客户进行预警，预警的方式有电子邮件、短信、电话等方式。协助客户及时解决自有安全设备的可用问题、以及网站安全问题。提供安全设备和网站防护的日志存储服务提供全面的日志收存查和深度分析，并使组织满足等保、分保等政策法规、标准规定的一体化解决方案。以结果为导向的“托管式全方位服务”用户往往并不太关心整个安全防护的过程和细节，而是关心安全防护的结果，天融信的远程云安全监控中心通过远程监测的方式，让用户不用担心和处理安全风险的事件过程，只确认时间和结果就可以，从根本上有效的帮助用户保障业务和网站信息的正确性、政务服务的可用性和信息反馈的畅通性。丰富经验和专业技术的保障作为中国信息安全行业领导企业，天融信历经十六年的安全行业市场考验与技术积累，天融信目前拥有包括政府、军队、金融、能源、电信、教育等众多行业的数万家客户，以及大量历经奥运、亚运、世博、两会等大型活动安全保障的考验，以及在多个网站防护项目上的经验积累，成就了天融信采用远程的“安全设备远程监控服务”方式，保障用户的安全。解决实际问题的专家级报告在交付给客户的定期检测安全报告中，内容包括设备cpu、内存、连接数、接口流量、HA状态等状态变化情况。通过统计趋势预见可能的安全风险，如设备本身的性能风险、带宽风险，恶意访问行为风险。另外也将发现的网站存在web应用程序漏洞、网页挂马现象、病毒和后门等情况，进行详细准确的描述，并且天融信安全专家还会在报告中提出专家级的风险处置方案和漏洞修复建议。客户可以根据报告内容进行网站安全处理。最后也将在报告中将统计周期中发现的网页篡改企图次数，恢复的次数向客户汇报。客户收益维护形象：维护客户WEB网站业务公众形象与声誉，增强客户对自身网站保护的信心；控制风险：有效提升安全设备的防护价值和风险控制能力；杜绝隐患：检验网络安全设备和WEB网站的安全性，针对发现的安全隐患获得有效处理方案；有据可查：对日志信息进行云存储和备份，使安全事件完整保存下来，可作为安全评测或调查取证的原始依据。符合法规：监控服务进行的相关防护体系、服务成果，可作为国家相关安全监管、评测的参考依据和原始素材。降低成本：最大限度的降低企事业网站安全运营成本，提高企业信息业务发展安全竞争力；了解态势：客户可以及时了解自身系统安全态势，降低安全风险，轻松保障自身业务的可持续性。附录资料：不需要的可以自行删除预应力锚索桩板墙施工工法一、前言在山岭陡峭、地形复杂、山高谷深的地区，高等级公路通过的地段造成大量的高填深挖，高桥及隧道处处可见。在山谷深、地面横坡陡峭的地段，路基难于填筑，旱桥跨越在经济和技术上造成较大的浪费，同时也给路基稳定及桥梁的桥桩、墩柱带来隐患。采用新型高挡墙跨越不仅开挖面小，也可消耗废方，起到安全、经济和环保的作用。个旧至冷墩二级公路预应力锚索桩板墙工程是采用40米高预应力锚索桩板墙进行边坡治理的项目，稳定了高填方路基，减少了陡坡旱桥，预应力锚索结构由于其合理的受力机理以及在软弱岩体中能更有效的发挥土体承载力而提供了较大锚固力，通过施工经总结形成本工法。二、工法特点1.采用MG-50A型潜孔冲击钻跟套管无水干钻，能有效的预防塌孔，保证水泥浆与孔壁岩体的粘结强度。2.锚索材料选用低松弛环氧喷涂无粘结钢绞线（ASTMT416-88a标准270级，强度Rby=1860Kpa，松弛率为3.5%，Φj=15.24mm），配套OVM15型锚具，钢绞线强度高，性能好，可以在张拉结束后有效的进行放张或补偿张拉且弥补了钢绞线在特殊环境下中长久防腐的问题。3.该体系能主动提供抗滑力，有效的控制岩体的位移，在锚索的锚固范围内产生亚应力带，从而从根本上改善岩体的力学性能。4.根据现场实际地质情况，大吨位锚索主要锚于碎石土、亚粘土中，鉴于土体破碎，抗剪强度低，在锚索结构上，通过对拉力型锚索与分散压缩型锚索工作性能的比较，采用分散压缩型锚索结构有突出优点。拉力型锚索与分散压缩型锚索工作性能的比较见表1。表1拉力型锚索与分散压缩型锚索工作性能的比较项目拉力型锚索分散压缩型锚索岩体—水泥浆体间的粘结摩阻应力分布状况沿锚固体长度分布极不均匀，应力集中严重，易发生渐进性破坏沿锚固长度分布较均匀岩体—水泥浆体间的粘结摩阻应力值总拉力大，粘结摩阻应力值大总拉力可分散成几个较小的压力，粘结摩阻应力值显著减小粘结摩阻强度灌浆体受拉不会引起水泥浆体横向扩张而增大粘结摩阻强度灌浆体受压产生横向扩张而使粘结摩阻强度增大锚索承载力锚固长度超过一定值后，承载力增长极其微弱锚索承载力随锚固段长度增加而增加耐久性灌浆体受拉，易开裂，防腐性差灌浆体受压，不易开裂，预应力筋外有油脂、PVC涂层及水泥浆体多层防腐，耐久性好三、适用范围本工法适用于公路、铁路、水利、城市建设等相关领域的浅、中、深层土石混合滑坡、土滑坡、岩石滑坡的防治工程。四、工艺原理穿过边坡滑动面的预应力锚索，外端固定于抗滑桩上，另一端锚固在稳定整体岩体土石混合体中。锚索的预应力使不稳定岩体处于较高围压的三向应力状态，岩体强度和变形比在单轴压力及低围压条件下好的多，结构面处于压紧状态，使结构面对岩体变形消极影响减弱，显著提高了岩体的整体性，锚索的锚固力直接改变了滑动面上的应力状态和滑动稳定条件。五、施工工艺（一）施工工艺流程（见图1）锚索预应力施作、桩位监测锚索预应力施作、桩位监测回填土压密、桩位监测坡面整修桩位定位放样工作平台搭设挖孔、浇桩、放板回填土压密至一定高度、桩位监测桩上锚孔造孔、制索桩上锚孔钻孔、制索锚索安装、注浆锚索安装、注浆锚索预紧锚索预应力施作、桩位监测回填土到位、桩上锚索张拉锁定封锚图1预应力锚索桩板墙施工工艺流程（二）施工要点1.桩板墙施工（1）桩基施工时，应准确核对平面位置，结合地形做好桩区地面截、排水及防渗工作。（2）桩基采用挖孔桩施工，施工方法主要有：碎石土开挖用洋镐和钢钎；软、风化岩石用风镐，；灰岩、板岩人工用钢钎硬凿；有地下水用7.5KW，20—40米扬程的浅水泵抽水人工凿后，整体板岩和弧石用静态爆破进行凿除。提升采用人工辘轳和电动葫芦。挖孔及支撑护壁连续作业，护壁1米为一节，采用孔内现浇，一天后拆模，严格按隔桩开挖的方法进行。（3）挖孔到位后，清理孔底，重新进行桩位放样，复查准确后开始绑轧钢筋。在绑扎过程中若发现钢筋笼位置偏差，应及时将其调整准确。（4）钢筋的焊接和绑扎应严格按照技术规范要求进行。绑扎成型经检验合格后，转入下道工序——模板安装。（5）由于桩板墙结构的特殊性，采用标准化的组合钢模。模板支架与脚手架分离，避免引起模板变形。在混凝土浇筑之前，用同一种脱模剂涂刷模板，且不得污染钢筋。安装完毕后，对其平面位置、顶部标高、节点联系及纵横向稳定性进行检查。浇筑时发现模板有超过允许变形值的可能时，及时纠正。（6）桩板墙桩长均大于10米，为防止离析，利用串桶倾卸，且在中途设置一至两道减速装置。由于钢筋密度大，用4台插入式振动器同时进行捣固，浇筑层厚度15cm左右。浇筑混凝土，必须一次性全桩浇成，否则视为断桩。当浇筑至预留锚孔处时，仔细振捣，以保证锚孔处的强度。在混凝土浇筑期间，设专人检查支架、模板、钢筋和预埋件等稳固情况，发现松动、变形、移位时及时处理。专人填写混凝土浇筑记录。（7）挡土板为钢筋混凝土矩形板，预制时两侧留有吊装孔，同时作为泄水孔。挡土板采用直接搭接桩身的形式，桩、板连接的缝隙不用处理，若缝隙过大可采用沥青麻絮填塞。挡土板采用平面堆放，受力面朝上（受力面按设计图纸标识），其堆积高度不宜超过5块，板块间用木块等支垫，并置于设计支点位置，运输过程要轻搬轻放。安装时，应竖向起吊，用手牵引，防止与桩相撞，将挡土板正确就位，同时应做好防排水设施及填筑墙被填料，挡土板顶面不齐时，可用砂浆或现浇混凝土调整。2.桩后回填桩板墙段路基填土严格按照公路工程技术规范和设计标准施工，在填料选材和路基填筑工程中加强了试验工作，从长远考虑，在填土与桩板之间填一层50cm厚的碎石深水层，从而使渗入填土路基中的雨水从挡板泄水孔排出，以保证锚索长久不受雨水的侵蚀，从而保证路基的工程质量。3.预应力锚索施工（1）施工准备将预应力的造孔设备、注浆设备、张拉设备调至工作面附近，待工作面完成后，马上吊运至工作面，所有施工材料均应由出厂证明、合格证，钢绞线应检测合格，做好施工场地的排水工作，材料、机械的防雨、防水工作，水、电等在前期施工中已接到位，稍做处理即可满足施工要求。（2）回填土、压密至一定高度。填土高度按锚索张拉控制程序施工。随时进行桩位监测。（3）钻孔钻孔是预应力锚索施工中控制工期的关键工序，为提高钻孔效率和保证钻孔质量，采用MG-50A潜孔冲击钻机。该钻机所配钻杆是统一规格，按锚索设计长度将钻机所需钻杆摆放整齐，钻杆用完孔深也恰好到位，由于钻杆长度均有±5mm的误差，要求实际钻孔深度超出设计孔深0.5m左右。为防止恶化边坡岩体的工程地质条件和降低孔壁的粘结性，严禁开水钻进。钻进过程中应对每个孔的地层变化，钻进状态（钻进、钻压）地下水及一些特殊情况做好现场记录，如遇地层松散、破碎时应用跟套管钻进技术，以使钻孔完整不坍。如遇坍孔或地下水丰富时，应立即停钻，进行固壁灌浆处理（灌浆压力0.2～0.4Mpa），待水泥浆凝固后，再重新扫孔钻进。钻孔到位后，用高压风（风压大于0.4Mpa）将孔内的岩粉清干净，然后，用预先做好的探孔装置，进行深孔，若探孔时轻松将探孔器送入孔底，钻孔深度符合设计要求，经验收同意后即可转入下道工序——锚索安装。（4）锚索制作锚索制作工艺流程编束通知单下料、清洗安装承载体、挤压P锚编束安装支撑环安装注浆管验收库存穿束在预先平整好的下料场地上（场地要求宽4m、长40m左右）按下料长度进行下料，每根绞线长度误差控制在10cm左右。下料长度计算L下=∑Li+Lf+Lw式中L下——下料长度Li——各分段锚固长度Lf——锚索自由段长度Lw——锚索工作段长度下料要求用砂轮切割机切割好以后，钢绞线一端剥除PE15cm，对剥除部分绞线除污洗净，下好料以后，按要求设置承压板、支撑环，支撑环每1m放1个，用GYJ60A型挤压机对剥除部分挤压上P锚。索体要求绑扎牢固，绞线应平行顺直。对不同位置处的承载体相应的绞线外露端做出临时和永久性标记。灌浆管绑扎在锚索体上，灌浆管头部距孔底5～10cm，灌浆管使用前，要检查有无破裂、堵赛。绑扎好的锚索顶部要安装导向帽，以方便穿索。锚索制好后应将承压板、P锚外部涂上防腐油漆。检查合格后的锚索标识好以后分区存放，同时做好防雨、防晒工作。（5）锚索安装向锚索孔安索前，要核对锚索编号是否与孔号一致，确认无误后，即可将锚索用人工抬至工作面，用人工将锚索平顺穿入锚孔，当外露部分满足工作长度时即到位，停止穿索。锚索往孔内穿时，索体必须平顺，不得扭绞，同时应避免损伤PE管及支撑环脱落。锚索安装工作结束后即可进行灌浆工作。（6）注浆注浆采用3SNS系列注浆泵，搅拌采用灰浆搅拌机进行。浆液要搅拌均匀，随绞随用，并在初凝前用完。严防石块等杂物混入浆液。注浆材料为纯水泥浆，水泥选用普通硅酸盐525＃，水灰比为0.38，外加10%UEA-Z型复合膨胀剂和0.6%的高效早强减水剂。浆体强度不小于40MPa，注浆压力大于0.3MPa。边注浆边缓慢抽拔注浆管，保证注浆管口处于浆液面一下。并保证浆体密实、饱和，达到设计浆体强度。待孔口溢出清晰的浆体即可停止注浆。注浆过程中要做好相关记录，并做好试验块。（7）锚索的张拉待锚孔注浆体强度达到设计要求后，（按上述配合比施工一般七天就可达到40MPa以上）根据回填土的高程（一般高于相应锚孔4米）和监理工程师书面通知即可进行张拉。张拉前须对张拉机具进行配套标定，计算出千斤顶受力与油压的线性方程，用于张拉油压与张拉力的控制。安装锚板前，要用棉纱擦净锚板内的泥沙油污。钢绞线穿入锚板的顺序，力求与钢绞线束绑扎的顺序一致，防止交叉缠绕。张拉前，钢绞线外包的PE护管用锯条割掉（注意不要伤着钢绞线），不得用火烧钢绞线，剥除PE后要清除防腐油脂。锚索张拉应根据填土情况、锚孔数分次分级进行。张拉方式用小千斤顶对每个承载体按由内向外的顺序对称进行张拉，第一级观测时间需稳定10分钟外，其余每一级需稳定2—5分钟，分别记录每一级钢绞线的预应力施作情况。张拉过程中必须进行桩位监测和锚索应力的测试工作。张拉结束后，将锚板外的钢绞线处理好，不能松散，以备再进行张拉。为防止外锚头的长期暴露，每次结束后应作相应的防护。每级张拉的稳定时间必须保证，张拉时以张拉油压为主，伸长值进行校核。当出现异常情况时，必须停止作业进行检查，查明原因后方可继续进行作业。预应力施作时，对每一次控制应力Nji应进行如下施作方式：①对每一孔锚索的每一次Nji的施作均应按承载体由内向外的顺序进行。且每一次的施作Nji针对每一个承载体上的钢绞线又须按两步来完成：（设控制应力为Nji）测量、记录持续2min第一步：00.1Nji0.25Nji0.5Nji（测量记录后不顶压锁定）每根锚索的每一个承载体上的钢绞线采用小千斤顶按第一步的步骤对称张拉结束后进行第二步的操作。测量、记录持续2min测量、记录第二步：00.5Nji0.75Nji1.0Nji不顶压锁定稳压3min②当填土到位时，预应力最终控制应力的施作按①中第一步、第二步完成后对每根钢绞线进行顶压锁定。（8）再回填、压密、造孔预应力施作后再进行回填、压密工作（同时要进行桩位的监测），至一定的高度后，再造桩上上部锚索孔，如此循环5、6、7的工作。（9）张拉锁定、封锚按以上工序循环进行到回填土填满到位后，对桩上所有锚索进行张拉锁定，每次张拉需对桩位进行监测。预应力张拉完成后，用手提砂轮机切除多余钢绞线，外留长度20cm。最后桩上保护罩，填充好油脂进行封锚，封锚后保持桩面整洁美观。4.轴力监测桩、锚支挡体系的受力涉及到两个方面，一是桩自身提供的抗力，一是锚索提供的抗力。两者应有一个合适的力度，锚索受力过大则设计安全性降低，桩身受力过大同样对桩的安全性也构成影响。我国《土层锚杆设计与施工规范》中规定，对预应力锚索轴力的永久观测数量应不少于5%，同时规定对应力损失超过10%最终控制应力时应进行补偿，而大于最终控制应力15%时应进行应力放松。要确切知道预应力施加后锚索轴力的实际大小以便进行相应的处理，就须对锚索轴力进行监测。锚索轴力的监测方法：锚索轴力施加之前选择具有代表性的锚孔，在选定的锚孔处装上特殊的传感器元件，然后装上锚具，通过预应力的施作和观测，即可测出不同时期锚索轴力的变化情况，从而进行有关的处理，轴力读数时应与填土的情况以及桩身位移情况相对应进行观测。由于桩上锚具采用特殊OVM产品，故传感器元件应与之相配套，个冷公路预应力锚索桩板