时间:2023-09-15 17:32:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全保障专项方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
14部门联手提速“宽带中国”
5月17日,工信部、国家发展改革委等14个部门联合发文实施“宽带中国”2014专项行动,将通过深入推进光纤到户、推动基础电信企业加快TD-LTE网络建设进度、提高农村普及水平等措施,完成“宽带中国”2014专项行动目标。
根据《关于实施“宽带中国”2014专项行动的意见》,今年我国将创建“宽带中国”示范城市(城市群),推动具有良好宽带基础的地区,探索有地方特色的宽带发展模式,引领带动全国宽带发展。
此外,今年我国将以LTE发展为契机,组织实施“中国LTEv6工程”(支持IPv6的LTE网络部署与应用工程),打通终端、网络、应用端到端关键环节,推动典型移动互联网应用IPv6改造,加快移动互联网IPv6商用化进程。
【部委】
我国将出台网络安全审查制度
5月22日,国家互联网信息办公室宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。
这项制度规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,对不符合安全要求的产品和服务,将不得在中国境内使用。
【部委】
国家气象局牵手阿里云深挖大数据
5月27日,国家气象局公共气象服务中心与阿里云达成战略合作,共同挖掘气象大数据的深层价值。积累60多年的海量气象数据将通过阿里云计算平台,变成可实时分析应用的“活数据”。这是国家部委首次采用民营科技公司提供的云计算和大数据服务。
据悉,本次与阿里云合作准备深度挖掘利用的数据达到PB量级(1PB=1024TB,1TB=1024GB),主要包括:60多年来的历史气象数据;全国2万多个观测站、卫星、雷达监测的气象观测数据,包括降水、温度、风力风向、地面结冰、太阳辐射、酸雨、空气能见度等30余种要素;短期、中期、长期的精细化气象预报数据品;通过国际交换获取的全球气象观测、预报数据。
【地方】
北京:召开第十八届中国国际软件博览会
5月29日,由工业和信息化部、国家发展和改革委员会、科学技术部、国家外国专家局、北京市人民政府指导的第十八届中国国际软件博览会在北京展览馆隆重开幕。
本届软博会以“软件引领信息消费,助力经济转型升级”为主题,通过专题论坛、展览展示、信息、产用对接、商务洽谈等形式,展示了我国软件企业近年来的创新成果和软件产业在促进信息消费、改善百姓生活、推动产业升级等方面的突出成效。
中国国际软件博览会是我国软件和信息技术服务业领域规模最大、持续时间最长、影响最为广泛的国际性软件行业盛会,自1997年以来已举办十七届。
【地方】
河南:出台宽带网络基础设施建设奖励资金管理办法
5月26日,河南省财政厅、河南省通信管理局联合印发《河南省宽带网络基础设施建设奖励资金管理办法》,决定2013-2017年,每年安排财政专项资金1000万元,对省级基础电信运营公司推进宽带网络基础设施建设投资支撑能力及开展信息服务应用创新给予奖励。
办法规定,奖励资金由省财政厅和省通信管理局按照职责分工共同管理。每年2月底前,省通信管理局会同省财政厅组成考核小组,抽调相关专家,对上年度省各基础电信企业宽带网络基础设施建设情况进行考核,根据考核结果拟定资金奖励方案,按程序公示后拨付。省财政厅、省通信管理局组织对奖励资金进行监督和绩效评价。
【地方】
贵州:成立大数据产业发展领导小组
近日,为加快推进贵州省大数据产业发展,贵州省人民政府决定成立贵州省大数据产业发展领导小组。 该领导小组由贵州省省长陈敏尔任组长。贵州省省委常委、省委政法委书记、副省长、贵安新区党工委书记秦如培任常务副组长。贵州省省委常委、贵阳市委书记陈刚以及副省长王江平任副组长,贵州省省直各部门负责人、地市州相关负责人为成员。
目前,贵州省已出台《关于加快大数据产业发展应用若干政策的意见》和《贵州省大数据产业发展应用规划纲要(2014―2020年)》等文件,对贵州省大数据产业发展进行了部署。
【地方】
山西:印发促进信息消费实施方案
为贯彻落实国家关于促进信息消费扩大内需的意见,日前,山西省人民政府办公厅印发了《山西省促进信息消费实施方案》。
《方案》提出,要以山西省转型综改试验区建设为统领和切入点,加强信息基础设施建设,加快信息产业优化升级,大力丰富信息消费内容,提高信息网络安全保障能力,建立促进信息消费持续稳定增长的长效机制,推动面向生产、生活和管理的信息消费快速健康增长,促进转型跨越发展。到2015年,山西省信息消费规模力争达到1000亿元,年均增长20%以上。
【行业】
中国广电网络公司有望成第四大运营商
关键词: 网络工程; 网络安全与管理; 知识结构; 课程体系
中图分类号:G642 文献标志码:A 文章编号:1006-8228(2013)10-62-02
0 引言
网络工程专业从1998年教育部批准开设以来,发展十分迅速。截止2012年,全国已有329所高等学校设置了网络工程专业,其中重点院校超过50所。经过十多年的发展,网络工程从原来计算机专业的一个专业方向发展成为全国性的大专业。2011年教育部将网络工程专业列入高等学校本科专业基本目录,标志着网络工程专业已经成为一个稳定发展的基本本科专业[1]。
网络工程专业在快速发展的同时,也面临着一些普遍性的困难与问题。比如:网络工程专业与计算机科学与技术、软件工程、信息安全等其他信息类专业的差异区分不够明显,办学特色不够鲜明。因此,有必要从专业方向和课程体系建设入手,结合自身办学优势,制定特色鲜明的网络工程专业人才培养方案。这样,才能培养出合格的网络工程专业人才。
笔者所在学院2012年获批了中央支持地方高校发展专项资金,重点建设“网络与信息安全”实验室,改善网络工程专业的实践教学条件。网络工程系以此为契机,结合已有的信息安全师资优势,凝练出网络安全与管理方向,并开展相应的专业课程体系改革。本文以此为背景,探讨网络工程专业网络安全与管理方向的人才培养方案。
1 网络安全与管理方向人才培养要求
与其他信息类专业类似,网络工程专业网络安全与管理方向的人才培养要求从素质和能力两方面入手。
1.1 基本素质
网络工程专业人才要求具备的基本素质包括思想政治素质、人文素质、职业道德素质、专业素质、心理素质和身体素质等[2]。
思想政治素质要求政治立场坚定,热爱祖国,增强社会责任感,树立崇高理想,培养高尚情操,养成正确的人生观和价值观。人文素质要求具有深厚的文化底蕴,高雅的文化气质,良好的人际交往能力和团队合作精神。职业道德素质要求遵纪守法,遵守社会公德,坚持职业道德的底线,具备实事求是,坚持真理的品格,具有爱岗敬业的精神,一丝不苟的作风,以及服务社会的意识。专业素质要求掌握科学的思维方式和研究方法,养成良好的学习习惯和工作风格,具备较好的创新思维和踏实严谨的实干精神。心理素质和身体素质要求具有健康的体魄,乐观向上的心态,坚忍不拔的毅力和身体力行的风格。
1.2 基本能力
网络工程专业人才要求具备的基本能力包括学习能力、分析解决问题的能力、阅读写作能力、协同工作能力、专业适应能力、创新能力[2]。
学习能力是指自学能力,即知识和技术的获取能力、理解能力与应用能力。分析解决问题的能力是指通过专业调研、理论分析、设计开发、仿真实验等方法解决网络工程领域实际问题的能力。阅读写作能力是指专业技术文档的阅读能力与写作能力。协同工作能力包括专业表达能力、问题沟通能力、协作能力、组织管理能力。专业适应能力是指在学习网络工程专业知识和技术的基础上,能够从事并适应相关领域的研究、开发与管理工作,并能适应网络工程专业技术和市场不断发展变化的能力。创新能力包括创新思维能力和创新实践能力。
1.3 专业能力
网络安全与管理专业方向的人才培养除了满足网络工程专业人才培养基本要求外,还需要注重培养两方面的专业能力:网络系统安全保障能力和网络管理维护能力[3]。网络系统安全保障能力是指熟悉信息安全基本理论和常见网络安全技术的工作原理,掌握主流网络安全产品的安装、配置和使用方法,能初步设计开发网络安全产品。网络管理维护能力是指熟悉常见网络设备与系统的工作原理,掌握网络管理的主流模型、系统功能、以及各类管理技术与方法,能初步管理和维护网络与信息系统。
2 网络安全与管理方向专业课程体系
2.1 知识结构
网络工程专业网络安全与管理专业方向人才要求具备的知识可分为三大类:公共基础知识、专业基础知识、专业知识。
公共基础知识相对固定,具体知识包括政治理论知识、人文社科知识、自然科学知识。其中,政治理论知识包括基本原理、中国近现代史纲要、思想和中国特色社会主义理论。人文社科知识包括大学英语、大学生心理健康、思想道德修养与法律基础、社会和职业素养、军事理论、体育。自然科学知识包括高等数学、线性代数、概率论与数理统计、大学物理、大学物理实验。
专业基础知识根据网络工程专业人才的专业能力要求制定,具体包括电子技术基础、计算技术基础、计算机系统基础。其中,电子技术基础包括数字电路、模拟电路和电路基础,技术技术基础包括数据结构、离散数学、程序设计、算法分析与设计,计算机系统基础包括计算机组成原理、操作系统、数据库原理、软件工程。
专业知识相对灵活,通常根据所在院校的专业特色和办学条件制定,具体包括专业核心知识、专业方向知识、专业实践环节[1]。下面重点讨论这部分内容。
2.2 课程体系
依据上述知识结构,结合笔者所在学院的师资力量、办学条件和专业特色,制定了网络工程专业网络安全与管理方向的专业课程体系,如图1所示。由于公共基础课程基本固定不变,在此不再列出。
2.3 专业方向课程知识点
网络工程专业网络安全与管理方向可分为网络安全和网络管理两个分支。其中,网络安全分支课程包括信息安全基础[4]、网络安全技术[5]、网络攻防技术,每门课程的主要知识点如表1所示。网络管理分支课程包括网络管理[6]、网络性能测试与分析、网络故障诊断与排除,每门课程的主要知识点如表1所示。
3 结束语
本文以笔者所在学院的网络工程专业建设为背景,分析了网络工程专业人才培养的基本要求。在此基础上,说明了网络安全与管理专业方向人才培养的专业能力要求,进而得出与之相适应的知识体系结构和课程体系内容。最后重点介绍了网络安全与管理专业方向主要课程的知识单元与相应的知识点。接下来的工作是将该课程体系落实到网络工程专业培养方案中,并在具体实施过程中发现问题,解决问题,分段调整,逐步完善。希望本文所作的研究与探讨能给兄弟院校的网络工程专业建设提供有价值的参考。
参考文献:
[1] 教育部高等学校计算机科学与技术教学指导委员会.高等学校网络工程专业规范[M].高等教育出版社,2012.
[2] 姜腊林,王静,徐蔚鸿.网络工程专业物联网方向课程改革研究[J].计算机教育,2011.19:48-50
[3] 曹介南,蔡志平,朱培栋等.网络工程专业与计算机专业差异化教学研究[J].计算机教育,2010.23:139-142
[4] 教育部信息安全类专业教学指导委员会.信息安全类专业指导性专业规范[M].高等教育出版社,2010.
关键词:档案;管理;安全;策略
在我国档案管理体系中,存在着档案资源基数大、管理层次复杂等国情特点,而在档案管理工作中,档案的安全制度及要求也存在着零散、片面的情况,因此,完善档案安全保障体系的建设已经成为档案管理者当下必须进行的重要规划。加快建设覆盖人民群众的档案资源体系,对档案安全保障体系的构建问题进行深入分析及总结,进一步提升档案部门的档案安全保障能力,具有重要的现实意义。
1安全防范“三位一体”
1.1坚持根本抓人防
档案安全的首道防线就是人防,安全管控关键在人。
(1)筑牢思想防线。牢固树立“安全第一、预防为主”的思想意识,市委、市政府高度重视档案安全工作,市委书记和市长分别到市档案局(馆)检查调研,要求我们充分认识做好档案安全工作的重要性和紧迫性。市委分管领导就档案馆库建设、数字档案馆(室)建设等重大安全问题多次到现场进行指导,并帮助破解难题。
(2)构建机构防线。成立了全市档案安全工作领导小组,各级党委、政府承担档案安全工作的领导责任,各级档案部门承担行政区域内档案安全工作的监管职责,各部门各单位承担本部门本单位档案安全职责,强化内设机构,提高相关人员档案安全技能和水平,把安全工作落实到岗、到人。
(3)健全制度防线。建立健全各项档案安全保密制度,用制度管人,靠制度办事。近年来,市“两办”出台《关于加强和改进新形势下全市档案工作的通知》,为做好新形势下档案安全工作提供了重要遵循,为政府机构改革过程中档案安全工作提供安全防护。
1.2夯实基础抓物防
建设符合档案安全保管要求的档案馆室,是保障档案安全的重要基础。
(1)加强档案馆库建设。在全市各级党委、政府的关心支持下,市、县(区)6个国家综合档案馆100%建成新馆,市本级16500m2新馆计划明年上半年投入使用。
(2)加强基层档案馆室建设。为切实改善基层档案保管保密的硬件条件,市档案局每年组织基层档案馆室保管条件安全检查,对存在安全隐患的保管场所及时督促整改,确保安全达标。
1.3注重创新抓技防
充分利用现代科技手段加强“技术保险”,提高档案信息安全系数。
(1)加强网络安全。网络的开放性对档案信息的安全性构成严重威胁,为避免病毒、黑客行为造成的安全问题,市档案局将局域网与互联网进行了物理隔离,政务网与互联网进行了逻辑隔离。
(2)加强数据安全。为打造安全的数字存储环境,建立独立机房,安装监控系统,加强对信息系统、计算机和载体的安全保密管理,严防文件、档案在传输过程中失泄密。
(3)加强登记利用安全。实行电子登记,从查阅登记到归还进行全程跟踪记录,严格审核查阅手续,确保档案利用的绝对安全。对档案进行开放鉴定、扫描加工、抢救保护等工作,引进新技术,探索建立了安全高效的区域档案信息共享模式,在提供快捷方便地查阅利用的同时,确保档案安全。
2安全监管“三维覆盖”
2.1馆内安全与馆外安全并轨
馆内安全注重建章立制,建立健全档案安全各项规章制度,包括档案收集制度、n案开放鉴定制度、档案利用查阅制度、档案库房管理制度、病变档案的分析控制及抢救方案、档案保密制度等,严格执行各项安全制度,做好安全防范措施及日常安全管理。馆外安全注重安全监管,全市各级档案部门将档案安全体系建设纳入本地综合考核体系之中,签订档案安全工作责任状。通过电子文件中心等馆室一体化平台对全市进馆单位进行在线全面监管,实时掌握各进馆单位的档案数据情况。加强对社会中介机构的监管,多次组织开展全市档案数字化外包工作检查。
2.2实体安全与信息安全并重
(1)严把人员关。制定档案数字化的安全保管和保密工作制度,严格做到档案进出及各个工作流程的登记确认,做好每份档案流向的书面台账。设置档案数字化项目的管理员、保密员、监理员,对数字化加工人员要求核实身份信息,参加专业技术和安全保密培训,并签订保密协议书。
(2)严把监管关。在数字化加工场所配置监控系统,健全安全措施,便于实时监管。确保工作环境的网络是独立封闭、具备安全等级的网络。在档案出库领用、预处理、数字化处理、质量检查、装卷归还、数字档案信息备份移交等环节加强监管,发现问题及时解决,防止各类档案安全事故的发生。
(3)严把数据关。近年来,馆藏档案数字化成果达到三个100%要求,即:条目查询利用100%正确;原件挂接率100%准确;扫描件质量100%满足利用要求。工作现场全部存储设备进行妥善处理,严禁档案原件及档案信息私自复印复制、传阅与外借。
2.3线上安全与线下安全并行
(1)把平台建设在市政府政务网上,并在政务网上又专门建设了共享平台VPN虚拟专网,通过加密、认证、封装等技术使专网变成了一条安全通道;
(2)对所有文件在传输前和通讯过程中均进行加密处理,即使平台系统设备被盗,也无法提取文件信息;
(3)所有文件的打印和出证均需与专用密钥相结合,形成登录人员“行为”跟踪记录,确保掌握文件信息流向;
作为山西首家商用密码产品生产定点单位及省内首家信息安全综合提供商,山西中网始终坚持走专业化发展的道路,“以技术为先导,以服务为保证”,为中国信息化的安全保障做出了自己的贡献,并得到了用户和业界的认可。
――获奖感言
山西中网信息产业有限公司(以下简称山西中网),成立于2002年4月6日,位于太原高新技术产业开发区高新动力港。山西中网是一家集信息安全综合服务(包括信息安全产品的研发和生产)、信息系统集成、IT运维管理、计算机网络应用为一身的高新技术企业及双软企业。山西中网是山西首家商用密码产品生产定点单位及省内首家信息安全综合提供商。山西中网拥有覆盖全省乃至全国的渠道体系。山西中网拥有国内一流的信息安全产品和安全服务体系,其网络安全技术及研发水平在国内保持领先。
山西中网下设四大事业部:项目发展事业部、产品发展事业部、运维发展事业部、市场运营事业部,主要从事涉及国家秘密的计算机信息系统集成项目、含密类的信息安全产品的研发,为用户提供全方位的网络IT运维服务,同时拥有专业的团队进行市场推广及销售渠道的建立。
山西中网始终坚持走专业化发展的道路,“以技术为先导,以服务为保证”,与国内众多知名企业建立了良好的合作伙伴关系,形成了相互合作、共同发展的坚实基础。山西中网一直秉承以“诚信为本”的经营原则,与客户建立了融洽、互信的合作基础,树立了良好的企业形象。
山西中网拥有一支优秀的研发及市场营销团队, 汇聚了国内一流的信息安全行业人才,多年来一直从事网络和信息安全技术方向的研究开发,对网络协议和安全技术有着深入的了解和研究。同时山西中网于2011年发起并成立了山西信息安全研究院,并与山西各大科研院所建立起产、学、研合作模式,增强了公司的资源整合能力和科研力量。
山西中网拥有多项具有自主知识产权的核心产品――含密类的信息安全产品“中网网络安全审计系统”、行业定制的信息安全产品“中网互联网敏感信息检查平台”及“中网IT安全运维管理系统”、“中网网络运维监测平台”、“中网计量管理检定测试校准系统”、“中网Web内容管理系统”等。
山西中网拥有员工110人,包括:软件开发团队33人、软件测试团队18人、 项目实施团队20人、销售团队11人、服务团队20人、管理团队8人。
山西中网主要资质及荣誉:2010年获得“涉及国家秘密的计算机信息系统集成”资质,2010年获得“山西省安全防范工程设计施工备案证明”,2010年获得“商用密码产品销售许可证”,2010年获得“商用密码产品生产定点单位”资质,2010年获得太原国家高新技术产业开发区评选的“快速成长科技企业”称号,2011年获得太原国家高新技术产业开发区评选的“优秀企业”称号,2011年获得科技部“科技型中小企业技术创新基金”支持, 2011年设计执行的系统集成项目获得山西省经济和信息化委员会评选的“计算机信息系统集成典型解决方案”称号,2011年研发的信息安全产品被山西省经济和信息化委员会认定为省级第一批重点信息化研发专项,2011年获得“建筑智能化工程专业承包”资质,2011年通过ISO27000信息安全管理体系认证,2011年发起成立山西信息安全研究院。
[关键词]校园网络;安全分析;防范措施
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0355-02
引言
校园网是高校教育信息化的重要基础设施,在高校的教学、科研、管理和生活服务中起着越来越重要的作用。高等院校在不断扩大校园建设、加强办学条件的同时,为适应现代教育的发展和要求,也逐步开始自身校园网的建设和应用。与此对应,校园网的安全面临着巨大的挑战,如何管理好校园网,保障校园网安全、稳定的运行,是各院校校园网管理人员必须认真面对的问题。
1 校园网络安全的现状分析
1.1 采用开放的网络环境
由于教学和科研的特点决定了校园网络环境应该是开放的,管理也是较为宽松的。在企业网环境中可以限制Web浏览站点和用户的网络流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难再校园网内部实施。面对这种开放的网络环境,安全管理的难度很大,面临的挑战也很突出,在所有的局域网中校园网所面对的环境最为复杂。
1.2 存在操作系统或软件漏洞
由于校内终端用户对计算机认知能力存在差异,有些用户不知如何为系统更新安全补丁,有些则是没有随时更新补丁的习惯,造成校园内大部分计算机系统都存在不同程度的安全漏洞,而目前网络上的很多新型病毒和攻击手段大部分都是针对操作系统漏洞攻击并传染的;另外校内师生在网上随意下载的软件中可能携带隐藏的木马、后门等恶意代码,导致系统运行缓慢,这些软件也可能被攻击者所利用。
1.3 拥有活跃的用户群体
校园网用户的主体是高校学生,这个年轻群体的上网行为相当活跃,由之带来的网络风险也十分严峻。一方面若学生浏览不良网站、下载经过伪装的恶意软件等网络行为都可能将木马、蠕虫、病毒等程序带人校园网,并且大多数学生不懂如何防范病毒和处理病毒,校园网一旦受到安全威胁,能很快地在校园网内蔓延,并且大面积出现相同的症状,严重时会造成校园网的瘫痪。另一方面学生对网络新技术具有强烈的好奇心,为了满足好奇心而勇于尝试在网上学到的各种攻击技术,对网络设备、业务系统进行攻击,给校园网的安全工作增加了难度。
1.4 网络外部的入侵、攻击等恶意破坏行为
校园网与互联网相连,在享受方便快捷的同时,也面临着遭遇攻击的风险。借助网络上泛滥的“傻瓜式”的攻击软件,外网非法用户即使不具备任何计算机技术也可对校园网进行肆无忌惮的攻击。例如通过注入漏洞检测工具对WEB服务器进行数据库注入式攻击,造成学院网站主页被篡改、数据被破坏等恶果。
1.5 校园网中的计算机系统管理比较复杂
校园网中的计算机系统的购置和管理情况非常复杂。学生宿舍中的电脑一般是学生自己花钱购买、自己维护。院系各个单位或者是统一采购,有技术人员负责维护或者是教师自助购买、没有专人维护。在这种情况下,要求所有的端系统实施统一的安全策略(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产安全管理和设备安全管理,出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板,变成攻击实验床也无人察觉。
1.6 安全专项资金投入少和技术人员缺乏
大多数高职院校将经费主要投入到校园网络的规模建设上,往往对保证网络安全的软硬件设备不够重视,未能架构起行之有效的网络安全体系。
网络安全是当今较前沿的计算机技术,需要较强的实践能力和丰富的现场经验。高校一般没有设置专门的网络安全技术人员,现有的网络管理人员多只具备组网管理技术,却缺乏处理网络安全风险的技术与经验,难以应付复杂多变的网络安全问题。
2 校园网络安全防护解决方案设计及对策
2.1 网络安全设备的使用
2.1.1 防火墙
网络防火墙是指设置在计算机网络之间的一道隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护网络用户的安全。为了胜任安全防护的重任,防火墙自身具有非常强的抗攻击能力和免疫力,网络之间的所有网络数据包都必须经过防火墙过滤,只有符合相应安全策略的数据包才可以通过防火墙。
基于以上特性,防火墙一般部署在内网与外网之间,在网络边界处充当一个检查点,以此作为安全保障体系的第一道防线,防御黑客攻击。从性能方面考虑,首选硬件防火墙,由于硬件防火墙的硬件和软件都单独进行设计,由专用网络芯片处理数据包,同时采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且其对软硬件有特殊要求,因此拥有高吞吐量、安全与速度兼顾的优点。但是选购硬件防火墙时需要注意的是,尽管许多网络防火墙都号称是硬件防火墙,并且硬件连同软件一起销售,但并没有自己独立的操作系统,只是基于x86计算机架构和开放的Linux/UNIX操作系统,以及一套自己开发的网络防火墙软件,其从根本意义上讲,仍然是软件防火墙。
在校园网入口处部署防火墙并不能发现和防止校园网内部针对核心服务器发起的攻击,因此若条件允许,还可以建立多级防火墙来进一步保护校内的应用服务器群和数据库服务器群。
2.1.2 入侵防御系统
随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,传统的防火墙只能对三层或四层进行检查,不能检测应用层的内容,因此单纯通过部署防火墙已经无法满足校园网的安全需要。入侵防御系统(IPS)的设计基于一种全新的思想和体系架构,工作于串联方式,采用ASIC等硬件设计技术实现网络数据流的捕获,检测引擎综合特征检测、异常检测、DoS/DDoS检测、缓冲区溢出检测等多种手段,并使用硬件加速技术进行深层数据包分析处理,能高效、准确的检测和防御已知或未知的攻击,并实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了以往IDS只能检测不能防御入侵的局限性,提供了一个较完整的入侵防护解决方案。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施,而绝大多数IDS系统都是被动的,不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防御系统IPS则倾向于提供主动防御,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS之所以能够实现实时检查和阻止入侵,在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用二层至七层的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。
IPS常常以串联方式部署在出口处,抵御来自外网的入侵威胁。若来自校园网内部的入侵风险也较高,可以在靠近服务器群的位置处布置IPS,以增强校园网整体入侵防御的能力。
根据我们的使用经验,IPS最好分阶段、有步骤地部署实施。
第1阶段:检测,但不防御。
IPS以串联方式工作,只进行检测,不阻断数据流,但它会将不符合协议的数据包丢弃,确保通过的数据包都是合乎规范的,是插入和规避类攻击无从得手。在这个阶段IPS的主要任务是适应环境,在保护校园网络和应用的同时不会产生新的麻烦,同时也是管理员熟悉并了解IPS检测机制的一个过程。
第2阶段:检测,并有选择地防御。
当串联方式被证明合适后,管理员就可以根据报警日志确定入侵检测策略的有效性,先选择一些最严重的报警,确保没有误报,然后对该类型的特征实施阻断相应。在此阶段,IPS检测攻击检测共计并有选择的防御,只将有明显危害的攻击流阻断。
第3阶段:检测,并全面防御。
在确认了IPS的有效性并且安全策略经过不断的调整优化之后,管理员就可以为所有入侵特征设置响应方式,从而使IPS进入全面的防御工作模式,一旦发现有害数据包就将其丢弃并阻断随后的数据流。
2.2 构建全方位的漏洞与病毒防护体系
2.2.1 架设微软更新服务器
校园网内绝大多数电脑都是使用了微软的操作系统,而目前网络上相当比例的恶意攻击都是在利用操作系统的设计缺陷展开的,这些缺陷或错误可以被不法者或电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,进而会威胁到整个校园网的安全。因此及时更新操作系统的漏洞补丁,已成为提高系统安全性的主要手段。
通常系统自带的Windows Update功能都是自动连接到MicrosoftUpdate来下载更新补丁,但是在校园网环境下,会带来以下问题:
(1)校园网客户端数量众多,更新操作会占用学校较多的出口带宽资源。
(2)部分电脑存在平时不接入互联网的情况,无法及时获取最新的漏洞补丁。
(3)部分使用者不重视补丁程序的重要性,即使出现更新提示,也不主动更新。
基于以上原因,有必要在校内建设专用的微软更新服务器。目前微软提供免费的补丁分发方案WSUS(Windows Server Update Services),在Windows Server 2003平台下需要安装WSUS 3.0 sp2来添加该项功能,在Windows Server 2008和Windows Server 2012平台下,已经内置了WSus组件功能。该方案支持微软公司全部产品的更新,包含Windows、Office、SQL Server等内容。通过WSUS这个内部网络中的Windows升级服务,所有Windows更新都集中下载到内部网的WSUS服务器中,而校园网中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源,避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。此外,还能通过制订相应更新策略来控制客户端的更新方式,以此达到强制更新的目的。
通常情况是在校园网环境中部署一台WSUS服务器,当网络规模很大且一台WSUS服务器无法满足需求时,可以使用多台服务器进行补丁分发工作。整个部署分服务器端和客户端。服务器端配置不难,但需按照校园网内安装的微软产品数量预留足够的硬盘空间,此外还需做好补丁的审批策略。客户端有两种部署方式,一种是域环境下的组策略方式进行统一自动部署,另一种是非域环境下修改该机注册表或组策略。
2.2.2 建立网络防病毒体系
由于计算机病毒形式及传播途径的多样化,校园网的防病毒工作再也不能是简单的、单台计算机病毒的检测及清除,而是需要建立多层次的、立体的网络病毒防护体系。确保各终端计算机安装网络版防病毒软件的客户端,并及时更新病毒库;制定详细的反病毒策略,定期对网络服务器及工作站进行扫描监测;通过管理端设置和维护全校整体病毒防护策略,并对网络病毒情况进行及时的监控与报告。
在选择网络防病毒解决方案时可以考虑以下一些因素:
(1)拥有多种安装平台的客户端。除了能提供最常见windows平台,还能提供Mac、Linux等平台,能提供32位及64位平台。只有提供各种平台的客户端安装程序,才能在校园网中做到真正意义上的全方位防护。
(2)拥有便捷的部署方式。针对校园内各种不同用途的计算机,能给出多种简便的部署方式,并且安装好后零配置,用户无需关心后续操作。
(3)功能强大的管理控制端。管理控制端必须拥有强大的集中式管理功能,能发现所管理客户端存在的安全风险,能自动下发统一制定的安全策略,当发现大规模病毒爆发,能及时给出警告。针对日常的管理,拥有详细的报表及日志功能。
(4)技术上拥有领先功能。如智能型扫描引擎能在计算机空闲时工作;针对目前主流的虚拟环境,能防止在虚拟环境中同时扫描和更新。
(5)是否还附带了其他便于管理的功能。有些产品除了提供防病毒、反间谍软件、桌面防火墙、网络准入控制等功能,还提供了软、硬件资产管理和软件分发功能,该功能对学校来说,能极大的帮助管理员减轻相应的工作量。
3 结束语
校园网是一个复杂的综合性系统工程,严格来说,绝对安全的校园网是不存在的。而完善的网络安全策略是校园网网络安全的前提,从计算机技术方面对网络设备以及服务器进行合理的设置可以杜绝大多数的不安全因素,但是校园网内部的安全事件时有发生,期望通过硬件或是软件一劳永逸的解决校园网安全及管理问题是不现实的。在目前,唯有综合运用防火墙、杀毒软件等多项措施,互相配合,从管理上规范校园网的使用,才能实现一个安全的校园网络环境,使其可靠、高效地为广大师生服务。
参考文献
[1]刘远生,辛一,计算机网络安全(第2版)[J],清华大学出版社,2009
[2]马宜兴,网络安全与病毒防范(第5版)[J],上海交通大学出版社,2011
[3]周世杰,陈伟,罗绪成,计算机系统与网络安全技术[J],高等教育出版社,2011
目前,全国高校中的信息化建设发展迅速,横向发展越来越全面,纵向发展越来越深入。信息化建设对高校的教育发展具有革命性影响,已经成为促进高校教育改革创新和提高教育质量的推动力,是高校教育发展的创新前沿。大学的教学、科研和管理的正常运作几乎完全依赖于信息系统的稳定可靠运行,信息系统中的安全体系成为至关重要的部分。因此,高校需要一套完整严密的安全体系来保障信息化建设。
二、现状与问题
随着高校信息化建设的推进,大学信息化建设规模越来越大,软硬件设备配备完整,运行保障的基础技术手段基本具备。拥有了网络系统管理和应用技术支持的专业人员,在安全上采用了防火墙、防病毒等常规的安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力。但随着信息系统的发展,不管从业务功能还是数据方面都在不断的发生变化,但信息安全体系的不断完善与整改往往因得不到重视而滞后。所以就会存在以下主要问题:信息化建设领导机构及信息安全机构设置不够正规化、专一化。在之前,大多数高校中,信息安全机构不受重视、不够专一。认为信息安全部分的进程,不用单独成为信息化建设时平行推进的一条线,在信息化建设时对能考虑到的安全问题做决策,过程中未考虑到的问题,随后再去做分析。这样的结果往往使得安全部分的建设跟信息化建设脱节,如果步伐相差较大,安全系统体系最终不能到达预期的结果。防护系统过于单一。网络与信息安全事件分类不明确,出现不同问题预处理方式不明确,导致不能全面的做到预防备案。对信息系统没有主动去测试、筛选、扫描等主动检测、监测与查找,而是等待不同的安全问题出现后再去找相应的解决方案。保障措施不完善。后续处理应及时,抑制不安全影响进一步扩大。
三、高校信息安全体系的设计与应用
1.信息化建设领导机构及信息安全机构设置。(1)学校成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。(2)数字校园建设中心作为学校信息化建设的主管部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时数字校园建设中心协助相关主管部门完成突发事件的技术处理。(3)成立校园网管理委员会,职责为负责领导、监督和协调校园网的建设和运行;负责对校园网建设、使用和运行中的重大问题和政策性问题进行决策。信息化领导小组由主管信息化校领导和有关职能部门负责人组成。整合网络中心、技术中心和电教中心成立数字校园建设中心,数字校园建设中心在教育信息化领导小组的领导下负责学校的信息化建设。(4)单独成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。2.完整的信息安全架构。信息安全工作是一项常抓不懈的长期工作,首都师范大学在努力做好当下相关工作的同时,分别在安全技术和管理规范上做了相应的规划。学校根据目前信息安全的现状,申报信息安全建设专项,计划通过采购数据中心防火墙、漏洞扫描系统、负载均衡等安全防护设备工相关工具,对数据中心进行整体安全加固,提升数据中心安全防护能力,切实提高系统的安全风险抵御能力,降低网络应用系统所面临安全风险威胁,保证网络应用系统安全、稳定的运行,使网络信息系统在符合国家信息安全防护相应级别的安全要求。以首都师范大学数据中心安全规划架构为例:第一层安全防护:即传统防火墙+IPS,并且对内部的应用进行详细控制,对校园网开放应用需要对开开放的端口,例如真把HTTP的80端口开放出来,其余的应和数据库等就不会出现在校园网当中,并通过IPS对于蠕虫、syn等攻击行为进行防护。第二层安全防护:由于传统的防火墙无法对于80端口的web应用进行防护,所以需要专门的web应用防火墙进行80端口的web应用的防护;在数据中心与核心交换机之间一般都使用万兆链路,web应用防火墙不能像传统防火墙能够去支持万兆接口,只能够通过策略路由的方式将所有的80端口流量全部匹配至web应用防火墙内,其余的流量还照样能够走万兆流量,一般在测试的过程中web流量基本维持在300M-500M之间,或者也可以采用反向的方式旁路在数据中心交换机上。第三层安全防护:虚拟化安全防护,在数据中心层面都提倡大二层结构,为了是最大化降低应用之间的访问延迟,所以在虚拟化网络设计当中就沿用二层设计,但由于一台物理机器上承载多台虚拟机,所以在2层交换上都是在虚拟交换机上进行,也就是说在相同虚拟机上同网段段的数据交互在网卡层面就完成,那相互之间的安全就需要依靠虚拟化安全防护来完成。第四层安全防护:数据库安全防护,这部分防护主要是在应用服务器与数据库服务器之间,监视数据库活动、防止未被授权的数据库访问、SQL注入权限或角色升级、对敏感数据的非法访问。第五层安全检测:通过漏洞扫描设备解决系统本身的漏洞和安全隐患,在拓扑中只要网络可达便可对所有的设备进行检查。该项目正在逐步推进过程中,计划于明年年底前建设完成并交付使用,通过该项目的实施,各安全设备的运行防护能够保障首都师范大学数据中心的信息安全,实现数据中心信息和网络的安全。同时,还申报并计划学校信息安全等级保护测评和整改项目,该项目启动后,将对学校重点的信息系统进行等级保护测评并针对相应的测评结果对相应问题进行有针对性的改造;对于学校整个信息安全体系及信息安全管理制度进行统一的梳理,从制度和管理上对于信息安全进行全面的保障。3.对网络与信息安全事件进行分类分级:《信息安全事件分类分级指南》(1)网络与信息安全事件分类。网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:①网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。②设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。③灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。④信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。(2)网络与信息安全分级。网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:I级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;II级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出数字校园建设中心控制能力,需学校各部门协同处置的安全事件;III级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,数字校园建设中心可自行处理的安全事件;IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。4.做好预防措施,安全漏洞检查与发现问题及时整改。依照上面指定的《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施。建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。特殊时期,根据要求和部署组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。主动检测与查找信息安全存在的漏洞风险,并根据安全154信息系统工程│2017.6.20ACADEMICRESEARCH学术研究漏洞的危险程度对问题采取以下方式进行处理:一是将存在安全隐患的网站进行短期关停,并限期封堵安全漏洞;二是对于涉及范围比较广,师生员工关注比较高的网站(如学校主页)加强安全检查和监控,并上报办公会,启动改版计划;三是对于建设较早且安全隐患较多二级部门网站进行永久性关停,并责令相关单位以新的安全标准建设新网站。对存在安全漏洞进行整改,对学校的安全风险进行全面排查,把信息安全事件扼杀在萌芽状体。以免在信息安全方面没有造成不良的影响,造成损失。5.完备的处理流程(1)预案启动。发生校园网络与信息安全事件后,数字校园建设中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。(2)应急响应①应急响应机制。III级或IV级突发事件响应:数字校园建设中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。II级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。I级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。②应急处理方式。根据网络与信息安全事件分类采取不同应急处置方式。对于网络攻击事件,查找网络攻击的源头,寻找对用内部的服务器等设备,关闭内部相关设备与外部的网络连接。抓包并分析网络攻击的来源信息。对造成的信息破坏进行修复,利用备份系统进行恢复。基于攻击的类型可以采取以下解决办法:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。外部入侵:找出攻击的源头,评估分析对网络系统和数据系统造成的伤害。如果是试图入侵被防火墙直接拦截的,对入侵数据进行分析,分析其欲攻击的IP和端口。对服务器的端口进行监察或关闭。对该IP地址进行限制访问。如果已经对系统造成损害,需要立即断开与外网的连接,以免造成更为严重的伤害。内部入侵:定位内部的入侵相关信息,信息包含入侵的用户,所在办公室位置,入侵的IP地址和端口。对于入侵成功的,应立即关闭内网交换设备。设备故障事件:定位造成故障事件的设备,评估事件的严重程度,对于非持久化存储的设备或可暂时停运的设备,使用备用设备替换。迅速联系IT部门,对设备故障做维护与报备。保证相关的校园网络系统的正常运转。灾害性事件:此类事件多指自然灾害事件,根据灾害的程度,在保证人身安全的情况下,对设备以及数据进行紧急保护。信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息人。其它不确定安全事件:根据提前制定的安全事件处理原则,根据实时情况灵活多变进行处理。对于未知的处理办法,对信息安全部门进行咨询求助。③后续处理。对攻击事件先进行以上的事件处理之后,应及时的采取措施,防止攻击事件造成的危害进一步的增强。对于具有潜伏性的、长久性的病毒攻击,要实时的进行隔离和防护。对攻击事件抑制以后,追其根源,分析事件的动机和途径。解决并清除此危机,制定对此类攻击处理的成熟方案。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。④记录上报。对于发生的安全事件,要认真做记录与统计。将记录结果向校园安全部门领导及时汇报,及时分析网络系统日志,将重要日志信息做永久存储处理。⑤结束响应。不断完善网络安全整体方案,加强技术管理,确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。6.保障措施。校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。(1)队伍保障。加强对安全队伍工作人员的安全技术培训,增强安全队伍对日常操作的安全程度,面对突发安全事件能紧急处理。对于日常维护能做到防患于未然。(2)技术保障。拒绝采用盗版办公软件,特别是安全维护相关的软件,比如防火墙、杀毒软件等,应安装正版使用。拥有健全的安全防护体系与安全技术,对防护系统进行多方位、多层次的设计。确保安全系统的稳定与可靠。(3)资金保障。信息安全部门要积极的对安全的升级与维护项目进行申报,对于申报资金要落到安全系统建设实处。学校领导与财务部门,要大力支持安全部门的专项资金申请审批工作。将安全系统预算纳入到每年的财政预算中。(4)安全培训和演练。聘请专业的安全公司人员对部门人员进行培训与教学,在理论培训的同时,进行安全事件的软件模拟或真实模拟演练。
四、结语
高校信息化管理水平是衡量高校办学水平的重要尺度,信息化管理过程中的安全是重中之重。随着高等教育的迅速发展, 办学规模不断扩大, 教学管理越来越复杂化, 高校的信息系统管理工作面临着严峻挑战。伴随着高校信息化进程的不断推进,新的信息安全隐患不断涌现,信息风险也不断加大,建立一套高效、集成的信息安全保障体系势在必行。利用技术措施加强信息安全防护,保证管理信息系统正常运行,这样才能满足教学管理的需要。
作者:刘海龙 安寅杰 单位:首都师范大学数字校园建设中心
参考文献
[1]吴晓瞻.高校安全协同办公信息系统的设计与实现[D].浙江:浙江工业大学,2016.
[2]黄文雯.办公业务安全保障系统的设计与实现[A].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司:2016电力行业信息化年会论文集,2016,(4):10-23.
[3]姚亚玲.高校网络教学管理系统的设计与实现[D].吉林:吉林大学,2016.
[4]黄宏杰,陈永清.现代校园网信息安全化的研究[J].计算机时代,2016,(12):46-48+52.
[5]徐豪.高校网络安全管理问题与对策研究[J].数字技术与应用,2016,(09):200-201.
加快建设工业互联网。制定和实施工业互联网发展指导意见,绘制工业互联网发展路线图。加快建设低时延、高可靠、广覆盖的工业互联网基础设施,开发面向信息物理系统研发应用的智能控制系统、工业软件和相关工具。推进物联网关键技术研发和应用示范,培育智能检测、全产业链追溯等工业互联网新模式。发展基于互联网的个性化定制、众包设计、云制造等新型制造模式,推动形成基于消费需求动态感知的研发、生产、销售和服务组织方式。发挥互联网企业的优势,引导其加快和制造企业密切融合,建立优势互补、合作共赢的开放型产业生态体系。
大力发展智能制造。面向国民经济重点行业领域,发展智能制造单元、智能生产线、高档数控机床和工业机器人,提高重大成套设备及生产线系统集成水平。结合汽车、装备、电子信息、航空航天、纺织服装等行业特点,发展大规模个性化定制、云制造、智能物流管理。推进重点行业智能制造应用示范,鼓励有条件的企业分类开展智能车间、智能工厂、智能企业试点。进一步完善政策环境、健全服务体系、强化产业支撑、建立创新机制,逐步培育形成智能制造生态系统。
着力培育新型工业组织。引导制造企业革新理念,加快向互联网生产方式转型,建立以用户为中心、平台化服务、社会化参与、开放共享的新型组织模式。建设面向制造业的众创空间,为用户深度参与产品研发设计、生产制造、经营管理、销售服务等全生命周期提供低成本、便利化、全要素、开放式的网络空间和资源共享空间。鼓励引导制造企业积极应用移动电子商务、在线定制、线上到线下(O2O)等新型业务模式。鼓励发展虚拟企业,支持企业通过互联网形成专业化分工、协同制造和产业链竞争等新型组织。
推动制造业服务化转型。引导和支持制造企业围绕拓展产品功能、提升交易效率、增强集成能力、满足深层需求等,向服务环节延伸产业链条,发展在线监控、全生命周期管理、总集成总承包、融资租赁、供应链金融等新业务。大力发展面向制造业的信息技术服务业,加快提高方案设计和综合集成能力。支持融资租赁产品和服务创新,推广大型制造设备、生产线等融资租赁服务。发展壮大第三方物流、节能环保服务、检验检测认证、电子商务、服务外包、专业金融、培训教育等生产业,创新业务协作流程,提高产业链整体效率。
完善国家制造业创新体系。围绕制造业创新发展的重大共性需求,采取政府与社会资本合作、产学研用产业创新战略联盟等新机制、新模式,建设一批面向区域或全国的制造业创新中心,构建以企业为主体的产学研用协同创新网络。支持建设重点行业领域制造业工程数据中心、科学研究和试验重大设施、智能制造创新设计应用中心,促进科技基础条件平台开放共享。着力突破信息产业核心技术瓶颈,加快集成电路、高端通用芯片、基础软件等核心关键技术创新。
增强网络安全保障能力。建立健全信息安全审查制度,加强供应链安全保护,对关键信息基础设施使用的重要技术产品和服务开展安全审查,提高产品和服务安全可控性。加强能源、电力、核设施、航空航天、先进制造、油气管网等重要领域工业控制系统,以及物联网应用和关键装备的信息安全检查、监管和测评,针对大型工控系统加强连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理等。加大自主知识产权工控系统的研发和产业化支持力度,结合重大科技专项等的实施,发展国产工控芯片、工控操作系统、系统集成技术以及安全防护技术。
一、20XX年全区主要维护指标完成情况和通信能力
1.光缆维护指标完成情况: 全区光缆一级干线发生全阻障碍3次,障碍历时446分钟,光纤可用率%,同比提高%;二级干线光缆发生全阻障碍4次、障碍历时898分钟,系统障碍1次、障碍历时400分钟,光缆畅通率%,同比提高%。
本地网光缆全年共发生全阻障碍7次、障碍历时1574分钟、畅通率%,与去年同比(8次,2857分钟、畅通率%)畅通率提高%。
一级干线卫星电路畅通率达到%;
干线微波未发生阻断;
本地网微波阻断时间分钟/每月每百业务波道公里,在指标要求之内。
2.本地网线路指标完成情况:本地网市话线路合格率:86%
用户障碍申告率:%,同比降低%。
百门障碍历时:分钟,同比降低分钟。
修复及时率:%。
3、 服务指标: 端到端电路开通及时率为100%,端到端电路故障修复及时率为100%, 端到端电路故障申告率为 %;互联网网络时延及丢包达标率 %、%;传输电路可用率%。
4、主要通信能力
二、XX年完成的主要运行维护工作任务
(一)确保网络安全畅通
XX年全区光缆干线在西部开发造成的光缆线路沿线公路施工、基础建设力度逐年加大的情况下,坚持落实“三盯”制度,通过建立《干线光缆维护动态周报制度》、加强gps光缆巡检系统的管理和监控中心各项制度和流程的建立实施等,对通信故障的预见、故障抢修时间的压缩和响应速度都有所提高,一、二级干线障碍次数均比去年有大幅度下降:次数减少50%,历时减少68%。全力做好带电割接,今年一级干线光缆线路带电割接13次、二级干线光缆线路带电割接26次、无人站带电割接8次,共占全部割接的%,带电割接中断电路总时长571分钟。全疆共计整治一、二级光缆线路12次,22个中继段,通过一系列施工确保了线路的基础质量和传输质量,在线路安全预防方面达到了显著的效果。
XX年5-6月在全疆各本地网开展了一次防瘫痪、防阻断交换设备维护工作专项检查,落实维护规程执行情况;检查设备运行状态。各级运维部门自查工作层层落实,对存在的安全隐患及时整改,检查工作取得了良好的效果。
根据上半年设备故障统计,XX年8月召开全区机房环境治理电视电话会议,9月下旬组织进行了全区机房环境检查。各本地网对机房多年积累的环境问题进行了比较彻底地清理,改善了设备运行环境,取得了预期效果。
进行了全区三线交越和搭挂的摸查整治工作,全区三线交越共计87446处、搭挂共计3133处、搭挂长度公里,区公司统一组织购买“三线”交越保护套管38万米,费用228万元。
(二)做好市场支撑、落实业务响应工作:
今年重点落实大客户资料调查和电路保障工作。建立了全区集团大客户故障一站受理体系;整理出大客户电路资料1479家,并着手细化、完善;制定了大客户资料动态管理流程,在全区运维信息系统中开辟业务响应专栏,每月定期将中元公司、建行等大客户故障明细表在网上;建立了各地州市分公司针对本地故障现象进行详细的故障原因分析制度。针对部分金融大客户电路开放在同一个155m的情况,完成了这些电路在省内干线层面上优化调整。
积极压缩大客户障碍次数。我区6—7月份出现大客户电路障碍次数偏高现象,其中乌鲁木齐本地网障碍次数占总数的50%,运维部重点对乌市电信分公司每月故障原因进行分析,分清可控因素和不可控因素,指导分公司针对可控因素采取有效措施,使后续几个月本地网障碍有所减少。
做好对市场前端的支撑,协助区公司市场部与新疆额尔齐斯河流域开发工程建设管理局500水库管理处签定乌市水管处至500水库管理处的光纤(一对)租用协议,并紧急协调建设了准东电信局-500水库管理处的公里光缆线路。配合大客户部门进行军区、兵团通信情况调查和合作协议谈判。
(三)做好专业化维护工作
一、新组建了数据技术支援中心,完成了宽带数据支撑系统整合、工商局联网、全疆vpdn等项目;组织实施省ip骨干网路由双备份、中继提速、整合等网优工作;进行全疆专业组巡,对大客户部门进行技术支撑。通过实时流量监控系统,发现并解决和田、阿勒泰等地州因为蠕虫病毒导致的ip网络速度不稳定的问题。成立了互联网安全中心,实现区内从省公司到本地网上下连动的网络安全保障流程;自行二次研发完成互联网全疆流量监控系统、ip网络质量监控系统,实现了实时监控,减少了本地网手工测试工作量;建立了模拟机房,可通过internet为地州维护人员提供设备操作训练环境。机房现有各种设备四十多台,基本可满足现场和远程培训需要。
整合区网管中心,将原来由区公司负责的乌鲁木齐二枢纽网管中心移交到了乌鲁木齐市分公司,建立多专业集中化综合网管。
phs支援中心进入了全面参与网络组巡、优化和工程建设的时期,全员深入南北疆累计达到853人(次)。对全疆15个地州市的phs网络进行了组巡,每周定期对网管数据进行分析、上报。对喀什、和田、巴州、阿克苏4地州的县局进行前期的网络规划,并先后赴五家渠等15个县局进行开局工作。建立了的phs模拟机房,通过在模拟机房给设备加电、修改参数、开局等工作提高了维护水平和工作效率。交换技术支援中心今年共计受理故障申告150件,其中赴现场解决69件。通过本地网集中监控终端对各地州市的s12设备进行软件数据检查并解决发现的问题。负责处理了全疆《pcdm管线录入系统》、《本地网集中监控系统》、《本地网网管系统》和《全疆资源管理系统(非管线部分)》的安装、维护、升级、调优工作。承担了新疆本地电话网集中监控管理系统等八项工程的建设单位。同时在工作中穿插或专门组织了部分现场培训,使地州分公司维护力量不断加强。传输设备技术支援中心完成全区技术现场支援99次,调拨备用机盘200余块、返修249块;参与了奎屯枢纽楼、克拉玛依机房整治、库尔勒机房搬迁等割接工作;参加全疆二级干线45个无人站传输设备辅助通道测试,配合厂家完成了华为、nec、时钟同步网设备的组巡。此外,完成了全疆20跳本地网微波设备的更新、vsat数据扩容和全疆23座本地网微波铁塔的更换工作。成立各专业虚拟维护专家组,开展了专业有奖论文活动。
(四)运维专项重点工作
1.网络优化在省内传输干线层面上,为提高重要大客户电路安全可靠性,进行了240×2m出租电路的调整。截止目前,重要出租用户电路均已调整到具有自愈环保护功能的dwdm系统上。配合省内pdh设备退网工作实施,将开放在pdh系统上的电路进行了调整。配合省内数据网优化方案实施,进行了数据155m、电路的开放及调整工作。在中秋、十一等节日期间,临时增开省级、省内交换电路100×2m疏缓了节日期间通话量骤增现象。数据专业实施了省ip骨干网路由双备份。在吐鲁番、克州、和田、塔城、博乐、阿勒泰新增第二条中继,至此,全疆每个出口路由器均具备两条路由。组织协调ip骨干网中继的提速,在三月份新增两条155m出疆中继,使得中继总和达到900m,在11月份,将出疆中继提升到,另900m作备份中继。组织实施ip骨干网整合,将ip网络由三层网络转变为两层网络。交换专业从200x年9月开始,针对准直联信令网相连接的网元上实施了七号信令准直联网负荷分担工作,改变了原七号信令准直联网负荷分担不均的现象。全疆七号信令监测系统建成运行,监测了所用互联互通信令链路,为互联互通相关工作的开展提供了依据。完成了dc1长途交换机、hstp交换机版本升至chb12、17908业务由原专用平台割接至省内智能平台。配合建设部完成了交换网三期网改、全疆六个地州市分公司新疆关口局及省内第二套智能平台等建设项目的立项、技术方案确定及招标等工作。
2. 通信机房安全整治通信机房安全整治的主要工作是机房内三线分离、门窗封堵、机房布局调整等内容,从今年3月份开始分批实施。为保证在运行设备机房大规模施工安全,项目小组积极组织做好前期准备工作,先易后难;严格防尘措施、严审设计方案、严把电源割接,对机房整体环境进行了彻底整治。目前第一批整治的通信枢纽楼机房中,奎屯分公司已完成全部机房整治工作验收,昌吉、克拉玛依、伊犁工程量已完成大半。第二批喀什已通过设计会审,吐鲁番、阿克苏正在设计查勘阶段,年底可基本完成全部工作量。区公司于11月在奎屯分公司召开了通信机房整治现场会,在全区全面推广。整治后,实现了三线分离,消除了安全隐患,对机房的布局进行了调整,为机房无人职守、实施综合化集中维护打下了基础。
天津最新公布的一项调查显示,超过20%初中生内心秘密不愿意告诉任何人。该项由天津社会科学院社会学所与相关机构联合进行的调查显示,内心的秘密不愿意告诉任何人的小学中年级学生为8.6%,小学高年级为16.4%,初中生高达21.3%;心情不好时没有人安慰的小学中年级学生为3.2%,小学高年级为5.3%,初中生为11.7%。
316所
日前,四川省财政厅与省通信管理局印发《四川省农村中小学免费通宽带试点方案(2014-2015年)》。《方案》明确,截至2015年底,四川省将免费为316所农村地区未通宽带中小学校接入光纤宽带,惠及2.9万农村中小学师生。此次试点涵盖马边县、广元市昭化区等10个试点县(区)的316所农村地区中小学,占试点地区学校总数的40%。
2 次
近日,《北京市教委等部门关于建立北京市中小学校舍安全保障长效机制的意见》意见明确:建立校舍安全年检制度。在日常巡视检查的基础上,对中小学校舍和建筑设施设备,每年至少进行两次安全检查。进一步提高本市中小学校舍防震减灾能力。建立健全中小学校舍安全预警联动机制,加强灾害预警信息化建设,及时向学校灾害预警信息,妥善做好师生应急避险和转移安置。对存在重大安全隐患、影响安全使用的校舍,要及时安全预警。
“放心中考吧,爸已经帮你拿到加分了。”
近日,浙江浦江县公布了《浦江县无偿献血优惠政策实施意见》,《意见》最大的亮点是,荣获国家级无偿献血奉献金奖、银奖、铜奖的献血者(金、银、铜奖获奖者献血总量分别达到8000、6000、4000毫升)的个人,其直系子女参加中考的,分别给予3分(金奖者)、2分(银奖者)、1分(铜奖者)的中考加分。
“以前我以为陪他上一段时间学,他就能像普通孩子一样,现在看来情况不是很乐观。课堂上,我如果不拽着他,他还是会到处跑。”
自然界里,雄企鹅为了孵化后代,60多天不能进食。于是人们用“企鹅爸爸”的称呼,来赞美父爱的伟大。在武汉,就有这么一位“企鹅爸爸”,为了患有重度多动症的儿子能和正常孩子―样,他把儿子送进了普通学校,自己则放弃了工作,与儿子成为形影不离的“同桌”。
“我儿子这个班81个人,其他9个班也差不多。”
河南省郑州市区一所小学一年级某家长表示,教室里满满当当地摆了8排桌子,每排10人,最后一排桌子几乎都已经靠着后墙,教室的后门也根本没办法打开。尽管这样,教室里也只能摆80张桌子,这就意味着还有一位学生没有座位。从2007年起,河南就提出要消除大班额,七年过去了,大班额仍未能消肿。
“外面一直都是雾霾,不能出去活动,一直都在座位上坐着很不舒服,做一做抻拉,改变一下姿势,感觉很好。”
由于北京出现雾霾天气,为了减少户外活动对学生身体造成的影响,学校取消了户外活动体育课,而特别为小学生编排了室内形体健身操,让孩子们在室内也能够得到运动和锻炼。对于此举,小学生胡婉琳如上表示。
天津市各学校将配备智能报警装置
为了更好地保障校园安全,天津市各中小学幼儿园将在校园警务室内安装与所在区县公安局110指挥中心相连的一键式智能报警装置。
天津市教委、市公安局要求,区县教育局、公安局要对辖区内学校幼儿园的一键式报警装置至少每月测试一次,并保证畅通、有效;学校幼儿园一键式报警装置的使用、测试、保养要建立台账,学校幼儿园安全负责人签字备查;学校幼儿园保安要熟练使用一键式报警装置,报警后按照预案进行前期处置。
新学期开学第一周将设为安全教育周
从2014年秋季学期始,上海把每学期开学第一周设为中小学“安全教育周”,开展“六个一”安全教育活动,强化学校安全管理。
“六个一”安全教育活动的内容为:学校要开展一次安全教育,组织一次应急疏散演练,开展一次识险避险、自救互救知识技能学习训练;学生要自主学习一门网络安全课程,查找一次学校或家庭安全隐患并提出改进建议,完成一份安全教育作业。通过这些教育活动,让学生学会识别、规避身边的安全隐患。
中小学教师资格考试将改为国考
福建省教育厅近日下发《关于开展中小学教师资格考试改革试点的通知》(简称《通知》)。《通知》规定,从2015年开始,福建省开始中小学教师资格考试改革试点,中小学教师资格考试将改为国考;资格证申请不再有师范生和非师范生之分――师范类毕业生也须参加考试,才能取得教师资格证。此前,非师范人员申请教师资格证,只要通过省级“两学”(心理学和教育学),即可申请。
重庆将适时取消中考联招
近日,重庆市教委正在根据全国考试招生制度改革总体方案和配套改革意见,结合重庆实际,研究制定重庆考试改革方案。方案包括:完善义务教育免试就近入学制度,严禁小升初考试,推行学区制和九年一贯对口招生;适时取消中考联招;直属普通高中指标到校办法;推行文化知识+专业技能的高职考试招生改革,加大市属高校连片贫困区县定向招生专项和全科教师专项招生力度等。
严禁公办中小学参与所谓的“占坑班”
针对近日网络上流传的北京市2015年“小升初”占坑班等入学方式,北京市教委回应称,中小学须严格按区县制定的计划、划定的片区,并通过全市统一的服务系统招生,严禁公办中小学举办或参与民办学校举办的与招生入学挂钩的“占坑班”。
据透露,2014年,北京市小学和初中入学首次全部采用网上统一服务系统,全程记录每一位学生的入学途径和方式。取消“共建”,并严控特长生招生,实行九年一贯对口招生,就近入学比例明显提高。
[关键词] 纺织行业供应链管理电子商务
电子商务的发展从其服务功能上看经历了四个阶段。最早的点对点连接网络EDI,不能够提供社区化交互交流,并且EDI 的标准非常复杂,建立和运行费用高昂。第二阶段称为基本电子商务系统。企业自建电子商务网站来信息,少数可以有交易功能。第三阶段是电子商务社区,通过第三方将各交易伙伴聚集到一个公共社区,社区的买方和卖方如果供给和需求相互匹配,就有可能产生交易。第四阶段是合作型商务阶段,是在第三阶段基础上,增加交易之前、交易期间和交易之后的其他商业过程的支持。
一、纺织行业中推进电子商务的必要性
当前,我国纺织工业已进入新的发展阶段,对产品结构结构进行战略性调整,加速纺织工业增长方式的根本性转变、提高国际竞争力是当前纺织工业发展的重要任务。而完成这一重要任务有必要在纺织行业中推进电子商务。
在“2005首届中国国际纺织服装物流与电子商务峰会”上(2005年9月20日,中国无锡),中国电子商务协会会长宋玲在致词中说,长期以来,纺织服装行业被认为是劳动密集型的传统产业,依靠资源优势、劳动力成本优势吸引国际目光。在进入21世纪和加入WTO以来,仅靠原有优势已经不能满足现代贸易流程中的压缩成本,以及利润最大化的需求,推进电子商务是贯彻科学发展观的客观要求,也是应对经济全球化挑战、把握发展主动权、提高国际竞争力的必然选择。
二、纺织行业中推进电子商务应遵循的原则
电了商务是指对整个贸易活动实现电子化。广义地讲,电了商务是一种现代商业方法,这种方法通过改善产品和服务质量、提高服务传递速度,满足政府组织、厂商和用户降低成本的需求。狭义来讲,电子商务指运用INTERNET进行商品交易。
电了商务的特点:电子商务具有低成本、全球性、可扩展性、便捷性、交易性、自由性和开放性等传统交易所不具备的优点,它突彼了地理范围上的限制和时间上的差距仪,使得世界各地的商业资源借助于网络的优势得到允分的利用,大大捉高了绞济效益和社会效益。
纺织行业在推进电子商务过程中,应该遵循一定的原则来进行。
1.系统性原则。电子商务是纺织企业信息化系统的有机组成部分,因此在推进电子商务过程中应按照系统的原则实施,制定实施方案,确定目标、内容、方式、计划和进度。
2.协同性原则。推进电子商务要做好与企业各项信息技术的协同工作,充分利用纺织企业信息化资源,如与ERP、MIS、CAD、CAPP、CAM等系统的协同,只有与这样,才能发挥企业诸多信息系统的整体优势。
3.共享性原则。推进电子商务的目的在于提高企业的整体效益,快速经营决策,提高竞争能力。而这一切取决于企信息资源的协调应用,也就是信息资源共享。
三、电子商务在纺织行业中的作用
纺织供应链成员包括:原料供应商、成品制造商、产品销售商及链上各成员企业,供应链运行状况决定着链上各成员企业的利益。我国学者王越认为电子商务面向企业整个供应链管理,并带来了供应链的变革,使企业降低交易成本、缩短订货周期、改善信息管理和提高决策水平,从质量、成本和响应速度三方面改进企业经营,增强企业竞争能力。
因此,纺织行业中推进电子商务,打造电子商务供应链管理模式,为企业创建了一条畅通于客户、企业内部和供应商之间的信息流。
1.方便信息。企业形象宣传、新产品推出、供求信息、人才招聘信息及技术引进信息等等,在很大程度上克服了传统信息传播的不足。网上信息传播量大、表现方式丰富、费用低廉、信息更新方便,为纺织企业信息交流,产品交易创造了高效率。
2.提高营运绩效。生产纺织产品所需要的原料数量大,配件种类多,涉及的行业广;推进电子商务,不仅能使纺织供应链各个节点成员企业降低交易成本,而且还可以缩短需求响应时间、市场变化时间、反馈延迟时间,甚至实现实时供应和零库存,提高运营质量和效率。
3.提高客户管理质量。纺织企业要全面实现电子商务还受到环境的限制,如:电子商务法律保障问题、网络安全问题,网上信誉问题,专业人才问题等等,但通过电子商务系统提高客户管理质量却是一件可能的事情,应用电子商务系统,可以便捷地查询获悉有关服务需求,缩短对客户服务的响应时间,改善与客户间的关系,吸引更多的客户加入到供应链中。
4.提高物流配送效率。物流过程是企业采购、生产制造、流通等环节中必不可少的部分,物流配送的电子商务解决方案可以构筑起畅通的物流配送网络化通道,全方位统筹配送任务,帮助高效率的实现物流管理过程,有效集成并处理与物流有关的信息资源和数据,提高物流的实时性和可跟踪性。
四、纺织行业中发展电子商务存在的问题
1.对电子商务认识不够,观念落后。我们有些企业决策者没有充分认识到知识经济时代抢占网络信息虚拟市场的必要性和紧迫性,甚至有些企业管理者根本不了解电子商务,把电子商务等同于电子交易,这些错误认识和落后的观念影响了纺织企业电子商务的健康发展。
2.管理水平较低。纺织企业应用电子商务的重要前提是企业具备相应的管理水平。目前,我国大多数纺织企业信息化程度较低,企业资源的配置、权力的行使等主观随意性较大,有效的科学管理机制不健全,这种管理模式已成为电子商务发展的桎梏。
3.电子商务人才匮乏,资金投入不足。企业实施电子商务,必须要有电子商务和网络营销知识的人才作为保证;另外,企业实施电子商务,需要大量资金投入,以满足人力资源、硬件设施的资金投入需求,这些问题已成为制约纺织行业电子商务发展的主要因素。
4.电子商务的外部环境不健全。当前,我国纺织行业推进电子商务的外部环境还不健全,主要表现在:
(1)基础设施条件。我国由于经济实力和技术方面的原因等,网络的基础设施建设滞后,商业信息化基础设施还不完善,不能满足电子商务的要求。
(2)物流配送与金融服务。电子商务是通过信息化网络技术,建立在企业的信息流、物流、资金流循环链上的商务运营系统。当前我国的网上收支、物流配送等配套服务系统还不完善,存有服务的安全性问题,影响了电子商务的发展。
(3)网络安全。消费者权益保护安全保障是电子商务的重要环节。由于技术和人为等因素的影响,我国网络和计算机系统的安全性较差, 消费者的隐私权难以保障,病毒、虚假网站、黑客攻击等现象屡见不鲜;因此,网络安全问题制约着电子商务的正常运行和发展。
(4)法律体系建设。目前,我国在电子商务法律法规建设方面严重滞后,还没有统一的电子商务法律制度,有效的电子商务法制环境尚未形成,不能满足电子商务发展的法律需要,影响了电子商务的健康发展。
(5)政府行为。我国纺织规模的急剧膨胀,使得纺织企业很难得到各级政府的信息化技术改造专项贴息资金的资助;有时,纺织企业的投资贷款也受到金融政策的限制,纺织企业只能依靠自己的积累投资。
五、结语
《国务院办公厅关于加快电子商务发展若干意见》([2005]2号文)第十八条指出:“支持中小企业电子商务应用。提高中小企业对电子商务重要性的认识,扶持服务中小企业的第三方电子商务服务平台建设,解决中小企业在投资、人才等方面存在的问题,促进中小企业应用电子商务,提高商务效率,降低交易成本,推进中小企业信息化。”由此可见,推行实施电子商务的重要性所在。
电子商务是企业现代化、信息化的方向,是企业经营的全新发展模式,不具备信息竞争能力的企业,就无法在未来的市场竞争中占有优势。因此,应当充分认识发展电子商务的意义,在纺织行业中积极推进电子商务,积极采用先进的信息技术手段,发展电子商务,加速纺织工业增长方式的根本性转变,提高国际竞争力。
参考文献:
[1]彭欣:第三方平台的电子商务分析.中国管理信息化2006. 6,6:44~46
[2]纺织信息周刊,2005.9.26,总276期,第36 期:7
[3]戴小波:电子商务平台的构建及应用,电脑与电信,2006.5,5:67~69
上海交通职业技术学院是一所以培养综合交通物流技能型人才为主的独立设置的公办普通高等职业院校。通过调研上海交通职业技术学院电子政务建设现状,发现大家对电子政务平台提高校内办公效率的作用表示了一致的肯定。
1.1电子政务建设工作机构设置情况
学院信息化建设的工作机构设在信息中心,由该部门负责学院电子政务的重大建设、决策和发展方向,并设1名分管副校长指导该部门的日常工作和电子政务建设。为加强学院电子政务建设协调力度,由信息中心牵头,定期联合各有关部门召开电子政务建设研讨会,共同推进学院的电子政务建设。信息中心在电子政务建设中起组织、规划、建设、协调作用,对项目建立科学规范的管理和评估机制,凡电子政务建设中的遇重大事项须报院务委员会研究决定,目前学院主要负责电子政务建设的教师有3名。
1.2电子政务软硬件建设情况
学院以千兆光纤为主干,各办公室信息点平均交换速率达到10/100Mbps,有95.1%的教职员工配有台式电脑,可以在办公室直接登录校园内网或公网;其中又有54.7%的教师配有笔记本电脑,可以在任何场所方便的使用。学院电子政务平台及校园网采用的出口链路分别是中国电信网和教科网,出口流量为60M。主校区办公室和学生公寓楼均搭建了网络服务器、交换机,光纤互联的信息点共计达到500余个。学院电子政务平台除了财务管理系统、固定资产管理系统、图书管理系统、人事管理系统外,还主要有:①教育电子政务系统(Edoasoft):2010年10月学院教育电子政务系统正式投入使用。该系统包含包括办公与事务处理、公文与信息交换、信息与管理、数据管理与分析等功能;②数字化校园网应用系统:2009年1月学院校园网应用系统正式上线运行。该系统包含行政管理、办公自动化、教学管理、学生管理、系统管理等电子政务功能模块;③学院电子政务信息平台:2001年4月上海交通职业技术学院网站正式对外运行,2013年4月学院信息公开网站正式上线使用。
1.3电子政务平台提高日常办公效率
上海交通职业技术学院虽然只是一所高职高专院校,但在努力实现学校的信息化建设跨越式发展这一目标上做出了成绩,取得了一些阶段性成果。学院电子政务系统经过发展,教职员工的日常办公方式在内容和形式上都发生了很大变化,无纸化办公形式正随着电子政务工作的推广日渐形成。教师可足不出户,在任何地点通过登录校园网应用系统,快速了解学院相关安排信息,即使在外出差也能够链入网上信息系统及时了解信息。学院信息公开网站的各类公告和新闻通知可以方便师生进行实时的查询,电子政务平台提高校园日常办公效率的作用正得到师生们的普遍认同。
1.4电子政务平台各子系统尚不能统一登录
学院电子政务平台中各子系统的开发大多是在各个时期,由各部门分散建设的。各自为政,独断独行,设计不规范、要求不统一、互不兼容的现象较为普遍。学院目前使用的教育电子政务系统、数字化校园应用系统、数字图书管理系统、财务管理系统、人事管理系统之间缺乏统一的单点登入平台,各子系统登入的用户名、密码尚不统一,不能进行互联互通,更难以实现资源共享、数据信息交换的目标。想要全面实现电子政务各系统间数据共享、相互协同,必然要集成现有校内各种应用系统,因此建立一个能实现各子系统间互联互通统一门户登入的支撑平台十分必要。
1.5电子政务建设资金短缺与建设人才缺失
资金短缺困扰着学院的电子政务建设。学院作为一所行业类高职院校,在电子政务平台各项软硬件建设的资金保障上不能与教育系统下属的各类院校以及国家级示范性高职院校同日而语,国家、省(市)教育部门对高等职业教育院校的资金投入相比普通本科院校要少得多。作为一所普通行业类高职院校,学院目前只有通过自身筹措来解决电子政务建设过程中急需的资金问题。由于电子政务平台在建设中硬件设备的购置,软件系统的开发,包括专业人员队伍的组建等一系列的工程所需要的费用是一笔不小的数目,资金短缺成为学院电子政务建设过程中一个急待解决的现实问题。由于资金短缺引发人才缺失,也阻碍了学院对电子政务的发展。沪交职院的教职员工在福利待遇、工资奖金方面远不及本科大学,因此造成了学院在人才的引进方面难以吸引到计算机类高端人才,目前学院在电子政务建设上配以的专业人员仅3人。受限于资金、编制等方面的因素,电子政务建设的人才队伍组建工作难以提到议事日程上来。
1.6电子政务建设中网络安全正经受着网络病毒的考验
每当与同事谈及信息安全之类的话题时,网络风暴、病毒攻击等的词语便会随之而出,某人的电脑无法正常上网,某人的网上密码被篡改,某人的网盘资源被盗取,这些案例发生足以说明网上信息极易受到病毒攻击,遭到破坏。保障网络安全是电子政务建设过程中一个必须要面对的现实问题。个人损失令人痛心,但毕竟有限,如果院校的重要信息特别是信息外泄,那后果不堪设想。
2高职院校电子政务的发展对策
2.1建立电子政务系统的整合与发展架构
依据教育部办公厅关于教育电子政务建设的指导意见和上海市教育信息化十二五发展规划的文件精神,高职院校在进行电子政务系统整合与发展时,应遵循统筹规划、标准规范的原则,统一技术标准与接口规范,建立一站式的电子政务登入平台,为全校电子政务各子系统提供基础共享数据库,支持公文与信息交换、行政管理、教学管理、信息等功能。电子政务系统在高职院校的发展架构一般应包括:电子政务一站式登入平台、电子政务管理中心子平台、电子政务教学资源中心子平台、电子政务服务中心子平台。
2.1.1电子政务一站式登入平台
是将各业务子平台系统登入口整合到统一的办公平台中来,实现多系统之间的单点登录(SSO)。一站式登入平台也是一个数据交换的大平台,在这一平台上可以使电子政务各业务子平台不再是一个个孤立的系统,通过建立统一的数据交换共享标准,搭建数据交换和共享的统一平台来实现集中的数据交换与处理。
2.1.2电子政务管理中心平台
一般包括教育电子政务系统、行政管理系统、教学管理系统,以及人事管理系统、学生事务管理系统、财务管理系统、固定资产管理系统等。(1)教育电子政务系统。主要实现将公文与信息流转、办公与事务处理、电子签章、信息与管理、数据管理与分析、档案管理等功能,将日常办公、事务处理与认证、数据查询与管理等功能模块集成,提供完整的信息化处理解决方案。(2)行政管理系统。主要实现行政办公管理、党务管理、团务管理、工会管理等功能。为院校领导及教职员工员提供日常工作中的诸如作息时间表、工作安排、会议记录、待办事宜等行政类相关事务的管理,及时了解校内外的各项活动、大事,进行协调工作时间和工作安排。(3)教学管理系统。主要实现教务管理,智能排课,选课管理,考务管理,成绩处理,成绩查询,实践教学、教学质量监控与评估等功能。使教学管理工作自动化、标准化、制度化化,从而达到提高教学管理效率的目的。通过基于统一标准的基础架构平台实现公文与信息交换、行政管理、教务管理、人事管理、学生事务管理、财务管理、固定资产管理等电子政务管理功能,各院校可以并通过科学合理的管理规范和先进通用的技术规范对现有的信息资源进行整合和集成,构建安全、可靠、可扩展和易维护的电子政务管理中心平台。
2.1.3电子政务教学资源中心平台
一般包括教学资源库管理模块、网络教学模块、精品课程模块、模拟实训模块、数字图书馆模块等。通过建立公共教学资源库和专业教学资源库,包括精品课程、网络课程、多媒体课件、案例与试题库等,实现所有教学资源的集中管理及资源共享,并可通过远程互动式的网络教学环境,培养学生自主学习的能力。通过仿真模拟技术,融合多媒体技术、计算机智能化技术,使教育资源向多样化方向发展,令课堂教学变得更加直观生动和简捷易懂。通过利用数字技术,处理和存储各种图书资料,方便师生使用互联网在任何时间、地点登录校园数字图书馆检索与查阅数字图书资源。
2.1.4电子政务服务中心平台
一般包括电子邮件服务系统、设备借用与报修系统、学生个人档案系统、实习就业追踪系统、学院信息公开网站等。在面向学校师生员工提供办公、学习、就业、生活等全方位服务的同时,同时也作为学院信息的大平台,起着对外宣传、教育、服务等作用。通过电子政务服务中心平台来促进学校信息化工作的建设,为大家提供便利的网上服务大平台。
2.2探寻多种筹资渠道加快电子政务建设步伐
由于高职院校的经费大多来源于地方财政和主管单位的投入,因此它们给学院投放的建设资金并不乐观,在这种环境下寻求多种融资方式才是学院突破资金瓶颈的有效方式。学院可以向上级教育部门申请电子政务建设年度财务规划,根据规划将建设资金纳入到年度财政预算,并按项目投入专项建设费用,专款专用,形成有效的可持续的资金。除此之外还可以通过如将部分食堂、后勤保障类服务项目外包给有资质的企业,以此来改变学院只投入,不收益的运行模式。通过开拓与企业的合作,邀请企业参与校园投资、建设,以校企合作的方式来实现优势互补。学院还可以通过转化科研成果,以此筹措更多的建设资金来推进电子政务建设。
2.3建立健全的电子政务安全保障体系
