时间:2022-10-27 19:05:58
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全总结,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1.1尽快研究出台与三网融合进程相适应的我国广电网络信息安全总体战略规划
按照2010年国务院批复的《推进三网融合的总体方案》要求,2013~2015年为推广阶段,该阶段目标为:“总结推广试点经验,全面推进三网融合;自主创新技术研发和产业化取得突破性进展,掌握一批核心技术,宽带通信网、数字电视网、下一代互联网的网络承载能力进一步提升;网络信息资源、文化内容产品得到充分开发利用,融合业务应用更加普及,适度竞争的网络产业格局基本形成;适应三网融合的体制机制基本建立,相关法律法规基本健全,职责清晰、协调顺畅、决策科学、管理高效的新型监管体系基本形成;网络信息安全和文化安全监管机制不断完善,安全保障能力显著提高。”根据上述阶段目标,总体方案对网络信息安全保障能力提出了明确的要求,为适应三网融合进程,我国广电行业在实现技术突破,完成业务融合等措施的同时,需要从战略的高度统筹考虑网络信息安全保障问题,从机构调整、立法、关键基础设施保护、技术研发、加强教育培训、加强多方合作等角度全面的制定我国广电网络信息安全总体战略规划,分阶段制定网络信息安全总体目标,依据总体目标制定信息安全基本政策及具体措施,并依此来指导未来几年内面临三网融合不断推进形势下的广电网络信息安全保障工作。
1.2尽快建立适合三网融合新形势的广电网络信息安全机制
随着三网融合进程的不断深入,电信、互联网、广电主体业务将相互开放和相互进入,网络承载业务的变化必将对现有广电网络信息安全机制提出严峻的挑战。因此,当前广电行业对节目内容以及传输网络的一些管理方式及监管机制也应因势利导,系统分析及评估当前网络信息安全风险及未来可能产生的变化,并针对这些新的变化调整自身管理方式和监管机制,尽快建立与三网融合进程相适应的新的广电网络信息安全机制。
1.3完善并制定新形势下广电网络信息安全相关法律法规
自三网融合进程启动以来,针对IPTV、网络视频等新媒体内容,我国广电行业已出台了一系列相关的法律法规对其进行监督管理。然而,随着三网融合进程的不断深入,电信、互联网、广电主体业务将不断相互开放和相互进入,广电网络承载业务将不断扩大,网络覆盖方式将涵盖有线、无线、卫星等多种方式,用户终端将从客厅电视扩展到PC、移动终端、手持终端等多种终端,业务运营模式也将多种多样,面对上述不断激增的新的变化,目前我国广电行业的相关法律法规已不能全面系统地保障广电网络的信息安全。因此,完善并制定新形势下广电网络相关法律法规的工作就迫在眉睫。
1.4完善新技术在广电网络应用的安全性及风险评估机制
当前,我国广电运营商在三网融合进程不断推进的形势下,正受到来自电信以及互联网运营商方面巨大的压力,面对这种压力,我国广电运营商在稳固发展自身视频业务的同时,也不断尝试开展新的融合业务,而支撑这些新业务的新技术也被引入到了广电网络中,这些新技术包括物联网技术、移动互联网技术、云计算、大数据技术等。新技术的应用推动了新业务的应用,提升了广电网络的竞争力,然而任何一种新技术的应用必然会带来一定的安全威胁,如云计算的应用可能会对存在云端的用户信息带来一定安全威胁,物联网大量使用无线通信、电子标签和无人值守设备,这使得物联网应用层隐私信息威胁问题会非常突出。而诸如移动互联网、大数据等新技术也同样存在不同的安全威胁。新技术在广电网络的应用是提升广电网络竞争力的必然需求,但如何安全的应用这些新的技术,尽量减少安全风险,这就要求我们尽早的对新技术在广电网络的应用安全性及风险进行系统的评估,建立科学的风险评估机制,分析这些新技术可能在哪些技术环节出现安全威胁,从而针对性的制定网络信息安全对策,进而采取有效的网络信息安全措施。
2三网融合背景下我国广电网络信息安全技术措施建议
2.1推进具有自主知识产权的广电核心技术研发
2013年6月,美国前中情局(CIA)职员爱德华•斯诺登向全世界披露了美国国家安全局一项代号为“棱镜”的秘密项目,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等,他们向美国两大情报机构开放服务器,使美国政府能够轻而易举地监控全球。在我国,以思科为例,思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额,在移动终端操作系统领域,苹果的IOS及Google的Android操作系统更是平分天下。在广电行业,智能电视操作系统及机顶盒也有部分采用Google的Android系统,这都为我国广电网络信息安全埋下了安全隐患。因此,需要研发一批具有自主知识产权的广电网络核心技术、关键技术、共性技术,以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用,从而切实提高我国广播电视领域的自主创新能力和技术装备水平,排除因采用国外技术而可能隐藏的网络信息安全隐患。
2.2推进适应融合网络架构的网络信息安全技术研发
随着三网融合进程的推进,广电网络、电信网络以及互联网三网边界日益模糊,同时,为提高广电网络的承载和覆盖能力,有线、无线和卫星传输网络的互联互通和智能协同覆盖也被提上了日程,此外,基于无线频谱开展无线互联网接入业务的呼声也日益高涨。由此可见,当前的广电网络正在经历着巨大的变革,与互联网、电信网的融合,自身不同传输网络之间的融合,新的移动互联接入网络的需求都使得处于“融合形态”广电网络架构发生了巨大的变化,这种变化相应地也带来了新的安全威胁。因此,如何适应融合形态下的新型广电网络信息安全,推进适应融合网络架构的网络信息安全技术的研发也需要相关研究机构考虑,并加紧相关研究工作的实施。
2.3推进适应融合业务的网络信息安全技术研发
网络的融合,必然带来的是网络承载业务的融合,当前广电网络承载业务已不仅仅是客厅电视机终端上的视频业务,点播业务、时移业务也经历了很长时间的发展,基于移动终端的视频业务正方兴未艾,同时,各种数据业务也正由广电网络运营商提供给用户使用,未来物联网等新型业务也将由广电网络承载并提供给家庭用户使用。融合业务给广电网络带来了新的机遇,同时也给广电网络的信息安全带来了极大的挑战,为应对传统视频业务而采用的一系列信息安全技术在面临新的融合业务时已经不足以保障用户安全的使用和享受这些业务形式。因此,需要推进适应融合业务的网络信息安全技术研发,真正使用户放心安全的享受广电网络承载的多种融合业务。
2.4推进面向云计算、物联网等新技术应用的网络信息安全技术研发
通过之前的研究我们发现,进入21世纪第二个十年后,以云计算、物联网为代表的新技术正在加快在广电网络的应用。然而,新技术在推动广电网络的巨大变革的同时,也带来了新的安全隐患。以云计算为例,2010年3月云计算安全联盟(CSA)的一份云计算主要威胁的报告中,就提出了云计算目前存在的七大安全威胁,而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施,一旦发生安全事故,就极有可能导致整个网络的瘫痪,导致所有用户信息的泄露,后果不堪设想。物联网同样存在着巨大的安全隐患,如果物联网出现了被攻击、数据被篡改等,并致使其出现了与所期望的功能不一致的情况,或者不再发挥应有的功能,那么依赖于物联网的控制结果将会出现灾难性的问题,如工厂停产或出现错误的操控结果此外,黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据,如果物联网没有防范措施则会导致用户隐私的泄露。因此,我们在推动云计算、物联网等新技术在广电网络应用的同时,务必需要对这些新技术可能产生的安全威胁进行系统的估量,并加紧推进面向云计算、物联网等新技术应用的网络信息安全技术研发,从而在享受新技术带来的“技术红利”的同时,以技术的手段堵着可能的安全漏洞,真正确保新技术在广电网络的安全应用。
3结束语
【关键词】船岸网络;信息安全;航运企业
0引言
一些航運企业已开始实施“数字化+互联网”战略,船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台,船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理,并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题:船岸网络信息化程度越高,信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失,而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此,信息安全对航运企业而言极为重要。
1船岸网络管理现状
船岸网络技术的发展非常迅速,特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限,任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息,对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现:众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口;供应商为节约成本、方便远程维护管理,将Cobham、KVHCommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网;绝大部分船舶没有配置专业的硬件防火墙,岸基管理人员缺乏专业技能,最终导致船舶网络安全得不到保障。
要做好船岸网络安全工作,首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备,又通过网卡和SNMP、NMEA等协议进行网络通信,从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷,例如NMEA0183协议通过明文传输,缺乏加密、身份认证和校验机制,为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。
2常见的网络攻击方式
广义上对船岸网络的攻击主要有两类:(1)无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一,攻击者利用0day漏洞进行广撒网式的无差别化攻击,近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。(2)有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标,利用专门开发的绕过技术和工具躲避网络防御机制(如震网病毒事件),实施多步骤攻击,其破坏程度较无目标的攻击更大。
有针对性攻击又分为以下6种类型:
(1)主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流,主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。
(2)被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统,用秘密抓取数据的木马程序代替系统部件。
(3)物理攻击。未被授权者在物理上接入网络、系统或设备,以达到修改、收集信息或使网络拒绝访问的目的。
(4)内部攻击。被授权修改信息安全处理系统,或具有直接访问信息安全处理系统权力的内部人员,主动传播非法获取的信息。
(5)边界攻击。网络边界由路由器、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN、DMZ)和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞,攻击者可利用操作系统漏洞,绕过已知安全协议达到攻击的目的。
(6)持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵,通过文档追踪工具进行精准定位,诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。
3船岸网络中易受攻击的系统
船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。
4船舶网络安全配置建议
(1)禁用公网IP,使用URA系统远程管理。
(2)修改系统默认密码并使用高强度密码。
(3)将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。
(4)对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。
(5)通过策略制定公用电脑进程白名单,禁用USB接口。
(6)向船员普及网络安全风险防范知识。
(7)要求设备供应商提供必要的网络安全事件应对措施。
(8)不过度依赖远程网络监控技术,增加现场勘查频率。
5网络攻击事件的处置步骤
(1)风险识别。定义相关人员的岗位和职责,确保在日常管理中能够及时发现可疑风险。
(2)事件预防。制定风险控制流程和应急计划,降低网络风险,防范网络攻击。
(3)事件发现。检查已确认的网络攻击事件,评估损失并制定后续恢复方案。(4)事件恢复。制定计划使系统恢复正常运行。
(5)免疫措施。制定措施避免类似网络攻击事件再次发生。
6网络信息安全团队岗位职责
航运企业应设立信息安全官(CISO)岗位,其职责为:建立船岸网络安全团队并管理成员,牵头制定全面的船舶网络安全应急保护计划(CSP),以持续保障船岸网络安全。团队成员岗位职责如下:
(1)对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控,熟悉Infinity、XchangeBox等通信管理系统的后台设置,监控船岸网络的可疑流量。
(2)对船岸内网信息设备和办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。
(3)定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库,不断完善船岸网络信息事故应急预案。
(4)收集供应商技术文件并集中存储,向设备和服務供应商提交并跟踪审核通导信息类设备保修工单(如KVH、Marlink、GEE、OneNet等)。
(5)跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况,审核通信类费用凭证。
(6)具备防火墙、路由器、入侵检测系统、交换机的丰富知识,MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识,并能熟练使用SQL、CrystalReports提取分析数据。
(7)参与船岸网络的设计开发和信息系统的迭代开发,提出必要的安全策略规范要求。
(8)具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力,并提出改进措施。
7船岸网络信息安全管理目标
船岸网络信息安全问题从根本上说是人的问题,如何在制度上让人遵守规则,如何在技术上减少或避免人为恶意攻击,这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为:针对船岸网络和信息安全需要,构建系统的网络安全技术和信息防护策略及措施,通过制度管理和技术防范来规范员工行为,达到网络和信息资产安全可控的目的,最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家,也包括企业外部的资深律师、会计师、技术专家等。
8经验交流
网络信息安全对于大部分人而言比较陌生。在实践中,大部分航运企业由总裁办(行政事务部)或保密部门负责网络信息安全,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度实施缓慢。因此,建议由公司领导牵头,技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备,以便当船岸网络信息系统被攻击时,能够迅速作出应急反应,尽快恢复网络系统,尽可能挽回损失。此外,在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力,打击隐蔽性较强的涉及船岸网络的职务犯罪。
以某航运企业为例,2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组,针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行《船舶网络信息安全实施指南(征求意见稿)》和相关配套制度,如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA授权机构颁发数字证书(解决SHA256数据加密问题)、某开源局域网远程管理软件以及等级保护一体机硬件部署(解决病毒库、补丁库离线升级问题)等项目进行技术验证,为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。
随着世界互联网技术在全球经济、文化等领域的飞速发展,计算机网络技术已经得到了广泛的应用,网络以其实用性、高效性、便捷性深入渗透到各行各业中并逐渐改善行业的产业结构、经营模式、管理方式。近年来,网络信息化已经应用到广播电视台的制作、播出、传播、发射等各个环节,使广播电视台的节目质量、管理效率、影响范围向新的高度迈进。但网络开放性的特点使信息安全面临较多的安全隐患,如何防止因网络信息安全风险导致播出中断、数据泄露、财务损失等严重后果成为了广播电视台面临的新难题。为了提高廣播电视行业对网络信息安全风险的认识,本文构建了广播电视网络信息安全风险指标体系,并运用系统动力学建立风险的因果关系图,分析各个风险之间的相关关系。
袁爱军从企业所面临的网络信息安全问题出发,提出了操作系统安全风险、管理安全风险、应用安全风险及网络结构安全风险四个主要风险,并对风险因素进行全面、系统的分析[1]。李兰瑛等结合某校园网络系统的特点识别相关风险并运用灰色评估法在风险评价方面的优势建立信息系统风险多层灰色评估模型,分析了网络信息系统的风险灰色综合评估过程[2]。袁亮首先详细分析了信息安全的概念和特点,结合企业控制信息安全所面临的问题包括安全问题、管理问题和成本问题提出风险管理对策和建议[3]。吉岚等详细研究了各高校信息安全风险的特点以及高校网络安全技术的应用效果,提出了通过系统的运用网络安全技术保障高校网络信息安全的措施,最后以赤峰学院为例加以验证[4]。
通过对广播电视网络信息安全风险研究成果进行梳理,发现学者们更倾向于对某一个风险阶段或者单一风险因素进行研究,忽略了网络信息安全的系统性以及风险因素的交叉关联性。梳理学者在系统动力学理论、网络信息安全管理的研究成果,结合开化县广播电视台网络信息安全现状归纳出研究较为集中和具有代表性的广播电视网络信息安全风险因素,并发挥了系统动力学在风险演化方面的优势。最终形成集“网络攻击风险”、“技术安全风险”、“管理风险”、“外部环境风险”的“广播电视网络信息安全风险因素系统”,然后建立风险因素系统动力学因果关系图,识别出了风险之间的相关性,为后续广播电视网络信息安全风险的研究奠定了基础。
1开化广播电视台网络信息现状
开化广播电视台目前共有4个自办节目,其中三套电视节目,分别是图文频道、国家公园频道、综合频道,一套广播节目为动听早班车电台。开化广播电视台逐步建立网络化、信息化系统,到目前为止已基本实现全台网络化管理。开化广播电视网络信息系统分为三类,第一类是外网系统,例如以开化新闻网为代表的门户网站;第二类是与广播电视政务及监测监控等相关的专用业务系统,例如广播电视办公网、广播电视发射台信号监听监测网、广播电视监测网等;第三类是制作业务系统,例如广播电视制播网。
2广播电视网络信息安全风险评价指标体系的分析与构建
2.1广播电视网络信息安全风险的识别依据
本文基于国内外学者对网络信息安全风险指标研究的基础上,结合广播电视台网络信息安全现状,筛选出对广播电视网络信息安全影响较大的风险因素,并设置风险产生的后果包括数据损坏、播出中断、敏感数据泄露、财务损失和名誉损失。通过邀请5位专家(开化广播电视台3位,网络风险领域专家2位)对风险因素与产生的后果关联度进行评价,最终筛选出与风险后果高度关联的12个风险因素。
2.2广播电视网络信息安全的特征和风险构建原则
2.2.1广播电视网络信息安全的特征
①完整性。指广播电视网络网络信息在传输、交换、存储和处理过程保持完整的特性,即保持网络信息原样性,网络信息可以正常的生成,保障广播电视节目的播出。
②保密性。指网络信息在没有授权的情况下不泄露给第三方或给其特供可以利用的信息的过程,即完全避免有用信息泄漏给非授权个人或实体,有用的网络信息只能被已授权的个人或实体使用。
③可用性。网络信息的可用性是指网络信息可以被已授权的个人或实体访问和使用,在网络系统正常运营时能够储存可用信息,当网络系统遭受攻击或病毒入侵时能够快速恢复可用信息并再次使用的特征。
④可审查性。指广播电视网络信息交互过程中,可以确认信息参与者的身份,以及参与者所提供的信息的真实同一性,并将信息存储并记录,使信息有相关的记录可以查询。
⑤可控性。网络信息可控性是指在广播电视网络系统中任何信息的生成、传播、输出和具体内容可以在一定范围内被管理控制的特性。
2.2.2广播电视网络信息安全风险指标体系构建原则
广播电视网络信息安全风险指标体系的构建不要遵循。广播电视网络信息安全风险指标的构建基于以下原则:
①科学性原则。风险指标体系的构建要客观真实的反映出广播电视网络信息系统的实际情况,风险指标的选取必须要有正确性、全面性和可靠性,尽量防止人为因素的倾向性,从而建立科学合理的风险指标体系。
②系统性原则。广播电视网络信息安全风险不是每个单一风险的简单叠加,选取风险指标时需考虑风险之间的相互关联性和传递性。风险指标要包含广播电视网络信息安全所涉及的各个方面,不仅要有影响到广播电视播出安全的直接风险因素,还要有从侧面导致播出隐患的间接风险因素。因此,要合理构造广播电视网络信息安全风险指标体系层次结构,层次之间每层上层指标都要有相应的下层指标与其相对应。
②实用性原则。所选风险指标要有可操作性,应与广播电视网络信息安全密切相关,并能够正确反映广播电视台在网络化建设过程中所遇到的问题和不足。
2.3广播电视网络信息安全风险指标体系的构建内容
本文依据广播电视网络信息安全的特点构建风险指标体系,拟将广播电视网络信息安全风险指标体系分为三级指标层。一级指标层为广播电视网络信息安全总体风险组成,二级指标层分别由网络攻击风险、技术安全风险、管理风险、外部环境风险构成,三级指标层由影响各二级指标的风险因素组成,如表2所示。
2.3.1網络风险
主要是由黑客进行网络攻击和网络病毒传播带来的风险,由于广播电视影响范围广、传播速度快的特点容易成为黑客组织攻击的目标,目前黑客不仅仅是个人行为,而是已经形成组织严密的黑色产业。一旦广播电视网络受到黑客攻击或病毒入侵会导致播出中断、网络信息泄露、篡改播出内容等严重后果,甚至会造成不良的社会影响。
2.3.2技术安全风险
开化广播电视台目前计算机所用的操作系统大部分比较落后,没有及时更换最新系统,使系统漏洞增加,加大了网络攻击风险发生的可能性。同时系统的硬件配置仅仅以满足当前需要为主要目标,未考虑与其他系统的兼容性,硬件配置良莠不齐,不能满足网络系统整体的安全防范能力。此外,部分设备存在老化现象,系统内的核心设备、数据存储设备等不能完成备份,可能会导致设备故障从而影响广播电视台节目的安全播出。因此技术安全风险由系统漏洞、硬件配置低和设备故障因素组成。
2.3.3管理风险
管理风险是由人员素质、管理不规范、操作流程不完善和应急预案缺陷带来的风险。目前广播电视台缺乏有效的管理体系和管理部门,不能规范的管理网络系统中各安全控制组件,没有及时更新网络化管理操作流程,人员缺少网络安全意识,安全防护水平较低不能有效的保护网络信息安全,没有建立完善的应急预案,当风险发生时不能快速降低风险损失,这些因素都会加大管理风险发生的概率。
2.3.4外部环境风险
外部环境风险是由自然灾害、人为破坏和系统规模膨胀带来的风险。自然灾害如雷电、供水、火灾、地震等发生后会破坏网络设施从引发风险。人为破坏包括对网络设施的损毁、对网络信息系统的恶意攻击等行为,系统规模膨胀是指随着广播电视网络化进程的发展,网络规模不断扩大,各个系统之间节点互联互通、一旦关键节点出故障会影响到整个网络系统的运行,发生播出故障的几率不断加大。
3基于系统动力学的广播电视网络信息安全风险模型
3.1系统动力学理论
系统动力学是一门分析研究信息反馈系统的学科,也是基于系统论、信息论和控制论来认识系统问题并解决系统问题的综合性学科[5]。系统动力学中,通过因果反馈关系建立各级风险指标之间的关系,识别出可能引发不同风险的相同风险因素以及所造成的风险后果,有利于管理者制定理想的风险管理流程,并直观的了解风险的演化过程和控制情况。并且根据广播电视台网络化的发展情况可以在系统动力学模型中增加新的风险因素,不断优化风险管理模型。
3.2广播电视网络信息安全风险因果反馈图
应用系统动力学软件Vensim建立广播电视网络信息安全风险因果反馈模型,如图1所示。广播电视网络信息安全风险类型主要为网络攻击风险、技术安全风险、管理风险和外部环境风险。通过图1可以直观的发现引发多项风险的因素主要有以下五种:一是人员素质,广播电视台人员素质的提高,不仅有效的提高管理效率,也可以提升人员对于网络信息安全的认识,从而降低管理风险的可能。二是管理不规范,形成系统的管理体系并建立相关网络信息安全部门,统一管理网络软硬件设施和网络信息安全防护可以有效的降低管理风险和技术安全风险。三是网络攻击和网络病毒,提高网络安全防护等级,确实防止网络风险和技术安全风险的发生。第四是自然灾害和人为破坏,提高相应的预防措施可防止因设备故障导致播出中断事故的发生。第五是系统漏洞,完善广播电视台计算机操作系统,对系统不断调整和升级,从而减少网络攻击和网络病毒等网络风险和技术安全风险。
运用系统动力学风险因果反馈图模型,加强对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种主要风险点进行有效控制和防范,就会增强广播电视台对网络风险、技术安全风险、管理风险和外部环境风险的管理控制,从而增强单位防控风险的能力。
4研究结论
本文在研究网络信息安全的概念、理论等的基础上,结合广播电视网络信息安全现状建立了广播电视网络信息安全风险指标体系,总结分析了养老社区项目社会效益评价常用方法,取得如下研究成果:
①在网络信息安全风险研究的基础上筛选出对广播电视网络信息安全影响较大的风险因素,并系统地建立了广播电视网络信息安全风险指标体系,主要由网络风险、管理风险、技术安全风险和外部环境风险以及相应三级风险构成。
②利用系统动力学在风险演化和管理方面的优势,构建广播电视网络信息安全风险因果反馈模型,分析了风险因素之间的相关关系,提出需对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种风险因素重点防控。
③目前用于广播电视网络信息安全风险研究较少,本文只建立了风险指标体系,仍需要对风险演化方面做进一步深入研究。
参考文献:
[1]袁爱军.国内企业网络信息安全风险分析[J].中国石油和化工标准与质量,2011,31(10):279.
[2]李兰瑛,李晓芸.一种基于层次模型的网络信息安全风险灰色评估方法[J].科学技术与工程,2010,10(02):540-545.
[3]袁亮.网络时代下企业信息安全风险和控制[J].中国管理信息化,2015,18(17):72-73.
[4]吉岚,辛欣.高校网络信息安全风险分析及对策探讨——以赤峰学院为例[J].赤峰学院学报(自然科学版),2016,32(20):200-202.
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
近年来,在市委、市政府的领导下,全市教育系统按照教育部的总体部署,大力推进教育信息化建设,坚持用信息化推进教育改革、用信息化提升教育质量、用信息化促进教育均衡发展,大力改善信息化硬件设施,强化信息技术应用,狠抓网络信息安全,教育信息化取得了良好的成效。总结近年来我市教育信息化工作,明确当前和今后一个时期教育信息化的根本目标、基本思路和工作重点,加快我市教育信息化的发展,是时展的必然要求。
一、过去几年重庆教育信息化工作取得的成绩
(一)教育信息化基础设施建设初具规模
近年来,通过“农村中小学远程教育工程”“区县教育城域网建设工程”等一系列重大工程建设,初步形成了重庆市教育网络体系。各区县已建设教育城域网络,同时以卫星接收和互联网宽带互为补充实现了农村边远学校和教学点网络接入。目前,全市50%普通中小学、90%中职学校、所有高校建设了“校园网”。全市建成多媒体教室6.5万间,计算机网络教室8千余间。高校计算机生机比达到6:1、中职学校达到8:1、中小学达到13:1。特别是2009年以来,投入5亿多元,为全市中小学教师配备了14.6万台笔记本电脑,配备率达76%。
(二)教学数字资源开发和应用不断加强
建立了重庆市基础教育资源库、“重庆市中小学数字图书馆”、重庆大学城资源共享平台。在渝高校建设了近2万节网络课程、300余门国家及市级数字精品课程,数字文献资源规模和质量明显提升。坚持以需求和运用为导向,不断运用信息技术促进教育理念、教学方式和学习方式变革,推进信息技术与教育教学深度融合,信息技术对质量提升的作用越来越大。
(三)信息化促进教育均衡卓有成效
近年来,我们始终把信息技术作为推动城乡教育一体化发展的重要手段,不断改善农村学校、薄弱学校信息化设施设备条件,加强优质教育数字资源开发供给,推动偏远薄弱学校共享优质教育资源,有效促进了教育均衡发展。从2014年起,我们又将信息化建设纳入义务教育学校 “全面改薄”工程。同时,各地积极组织数字教育资源应用观摩课、优质课,开展网络备课、网络教研,着力发挥优质教育资源的辐射带动作用。
(四)教育管理信息化水平明显提升
重庆按照A级数据中心标准,启动了市级教育数据中心建设,完成了中小学生学籍信息管理系统建设、教师数据采集、学生资助、学校资产和校舍管理等系统部署,具备了网上转学、招生、办证等业务管理功能。在全国率先全面实现了中高考网上报名、网上填报志愿、网上评卷和网上录取。建成了重庆教育门户网站、OA办公系统、视频会议系统等管理信息系统,与区县、高校、委直属单位实现了互联互通。各区县和学校积极推进“数字校园”建设,结合实际建设应用管理系统,促进管理水平提高。
(五)师生信息技术素养逐步提高
通过“国培”“市培”等师资培训项目,强化信息技术培训,先后培训中小学教师45万人次。把信息技术素养作为教师的基本要求,纳入岗位职责和考核评价,并在职称评聘、赛课等方面强化导向。同时,各级各类学校开设了信息技术课程,组织开展学生信息技术创新与实践、中小学生电脑制作等竞赛活动,不少学校还积极探索网上布置作业、在线互动答疑,鼓励学生使用网络自主学习,促进了学生学习方式的转变。
(六)信息化建设应用机制不断创新
近年来,一些区县和学校在推进教育信息化工作中,务实进取,开拓创新,探索出一批切实可行的经验和模式。
在管理体制方面,重庆医科大学、重庆科技学院等学校,成立了信息处或信息管理中心,负责统筹学校信息化建设。
在建设模式方面,忠县采用融资租赁模式,一次性完成所有学校的“数字化校园”建设;重庆城市管理职业学院采取以自身为主,以企业赞助、资源互换为辅的融资模式,解决信息化建设中资金不足问题。
在资源共建共享方面,建设了重庆大学城资源共享网络平台,实现了教学资源、科研资源、就业信息等共享。同时,各区县、学校以学会、协会、联盟等为平台,积极加强资源共建共享。
在信息技术与教学融合方面,沙坪坝区利用云计算等信息技术,推进区域基础教育资源与教学的深度融合;重庆大学利用开源网络教学服务平台,与慕课平台相结合,开展网络授课、在线答疑、师生互动等,促进了教育质量的提升。
在促进城乡教育均衡发展方面,万州区开展“教育云课堂”的数字化教学试点,打破优质教育资源的时空限制;大足、璧山等开创了“城乡联体课堂”教学模式,将主课堂教师上课的音频、视频传输到联网学校,实现了城乡学校同步上课,共享优质教育资源。
在教育信息化管理和服务方面,重庆邮电大学综合利用手机报、APP手机软件、微信机器人等新媒体手段,深度贴近师生,提供便捷资讯、新生服务、阳光招生。
二、明确任务,抓住重点,加快全市教育信息化建设
日前,经市政府同意,市教委等九部门联合制发了《关于加快推进教育信息化的意见》,明确了我市教育信息化的基本思路、目标任务和工作重点。我们推进教育信息化的基本思路可以概括为“四个着眼于、四个坚持”。
“四个着眼于”,就是着眼于未来经济社会发展需要,着眼于全面深化教育综合改革和教育的科学发展,着眼于促进教育均衡公平和提高人才培养质量,着眼于人的终身学习和学习型社会的构建。
“四个坚持”就是坚持面向未来,努力为每名学生和学习者提供个性化学习、终身学习的信息化环境和服务;坚持应用导向,推进信息技术与教育教学的深度融合,促进教育变革和质量提升;坚持统筹规划,做好教育信息化顶层设计,分类、分步、分层推进实施;坚持开放共享,构建跨区域、跨行业的教育信息化合作推进新机制,推动信息资源的整合共享。
我市教育信息化建设的总目标是:到2020年,建成与重庆教育现代化、长江上游科教中心和西部人才高地战略目标相适应的教育信息化服务体系,为重庆教育的改革发展和质量提升提供保障。为此,要抓好以下六项重点工作。
(一)加快“三通工程”建设
“三通两平台”是“十二五”期间教育信息化的核心目标和标志工程。“三通”就是“宽带网络校校通”“优质资源班班通”“网络学习空间人人通”。
一是加快“宽带网络校校通”建设。此项工作的难点是偏远农村中小学。近期,重庆市“宽带中国”行动明确提出了“实现集中连片特困地区行政村互联网覆盖达到100%”的目标。我们要抓好这个机遇,依托“宽带中国”行动,尽快解决偏远农村学校网络“最后1公里”的问题。到2015年,全市所有中小学和职业学校要按照要求接入宽带网络,40%以上的高校校园网要建成IPV6网络平台。
二是加快“优质资源班班通”建设。要将“班班通”与农村薄弱学校改造工程结合起来,加快农村地区学校多媒体教室终端建设,配备基本设施设备,到2015年,60%以上的中小学和中职学校要实现“优质资源班班通”。同时,要配齐相应的教师和专业技术人员,确保尽快使用、发挥效益。
三是稳步推进“网络学习空间人人通”。我们要积极研究如何利用网络学习空间,促进教学方式与学习方式的变革。要鼓励教师先开通网络空间,搭建在线学习、教研互动平台,引导学生、家长参与进来,逐步扩大使用率和覆盖面。
“三通”工程是近几年教育信息化工作的重中之重,任务艰巨、时间紧迫。当前我们正大力深化教育综合改革,也要坚持用改革的办法来创新“三通工程”建设机制。教育部副部长杜占元在2014年3月的讲话中指出:要加快构建“政府政策支持、企业参与建设、学校持续使用”的机制,推进“宽带网络校校通”;加快构建“基础性资源靠政策、个性化资源靠市场”和“企业竞争提供、政府评估准入、学校自主选择”的机制,推进“优质资源班班通”;加快构建“政府规划引导、企业建设运营、学校购买服务”的机制,推进“网络学习空间人人通”。这为我们勾画了“三通工程”的路径图,提供了操作指南,我们要按此思路,创新体制机制,加快推进“三通工程”。
(二)加快教育资源服务平台建设
一是必要的硬件设施建设。按照“一级应用、二级建设、三级互通”思路,重点建市级教育资源公共服务平台。一方面,一些区县和学校已经建设的资源服务平台,要继续建好用好。另一方面,我们不要求每个区县都建立自己的平台,但要与市级平台对接来利用市级平台承载自己的优质教育资源。
二是资源的建设。平台搭建好了,解决了路和车的问题,如何备足货,保证有丰富的资源共享使用,这不仅是平台建设题中应有之义,也是决定平台建设水平高低的关键。我们近期将制定市级教育资源建设规划,按照“政府引导、多方参与、共建共享”的基本思路,统筹建设全市数字教育资源。主要是抓好两个板块的资源建设,一是基础性教育资源,二是特色、个性化优质教育资源。基础性教育资源建设,要充分利用企业,特别是主流的教材出版企业,按照符合新课标的义务教育阶段的课程系统开发配套的教育资源。同时,积极拓展资源来源渠道,不断丰富教育资源,逐步建成全市“数字教育资源超市”。在建设基础性教育资源的基础上,要加强个性化、特色、优质资源建设。教育部今年启动了“一师一优课”活动,我们要抓好落实,并以此为契机,创造一批、汇聚一批个性化的优质资源。市教委将启动建设市级统筹的高校大规模公开在线课程平台。各高校要把本校优质资源都拿到这个平台上来,实现校际优质资源共建共享。要深化教学改革,积极探索,促进学生跨校课程互选、学分互认。
(三)加快教育管理公共服务平台建设
这是“两平台”中的另一平台。一方面,要按照教育部统一要求,以“两级建设、五级应用”架构,加快完善基础教育学籍管理系统和中职教育学籍管理等系统的建设,做到与学生一生一号、学校一校一码。另一方面,还要对系统数据进行整理、加工,二次开发、深度应用,推进教育改革。在当今大数据时代,还要善于运用大数据技术,利用管理系统的数据资源,实现相关数据资源的整合与集成,为教育决策提供及时准确的数据支撑。
(四)建设全市统一的教育宽带网
教育信息化必须有高速互连的网络基础作支撑。各区县、学校要继续完善现有的城域网、校园网,并推动有线网络与无线网络有机衔接,提高无线网络覆盖面。市教委将以市政府正在推进的国家级互联网骨干直联点为契机,在现有高校骨干网和区县教育城域网的基础上,建设全市统一的教育宽带网,各区县的教育城域网、教育数据资源中心、高校校园网,都要接入统一的宽带网,形成覆盖我市高等教育、职业教育、基础教育和其他教育机构的教育城域网,实现全市教育部门、各级各类学校网络互联互通,免费、高速、安全访问。计划2015年完成教育宽带网主干节点高速互联,2016年所有区县教育城域网均要实现高速互联。希望各区县、学校在规划建设本地、本校的教育网络时,要依据全市的总体规划,在平台、技术、标准等方面统一,避免重复建设、资源浪费。
(五)加强教育信息化队伍建设
教育信息化发展水平,取决于信息技术的应用水平,而信息技术的应用水平,取决于教师信息技术素养。必须把教师信息技术培训放在突出位置。通过国培、市培、区县培训和校本培训多个层次,采取线上与线下相结合、专项培训与融合培训相结合的方式,实现信息技术培训提档升级,进一步增强教师教育信息意识,提高教师应用信息技术的能力。要加强信息化专业技术队伍建设,配足配齐信息化专业技术人员,保证信息化基础设施的正常运行和信息化技术的有效推广。教育管理者也要自觉提高信息化素养,带头应用,提高信息化背景下工作水平和管理能力。各高校要加强教育信息化人才培养,为提高教育信息化水平提供人才支撑。
(六) 深入开展教育信息化试点工作
2012年,教育部在我市批复了32个教育信息化国家试点单位。我们将组织专家开展中期评估。各试点单位要认真总结试点工作经验,争取在全市乃至西部地区推广。2015年我们将启动市级教育信息化试点工作,推选一批市级试点单位,在各级各类教学应用、区域整体推进、机制创新等方面进行探索、积累经验。各区县、学校要加强改革创新、先行先试,为推进全市教育信息化积累经验。市教委将兑现奖补政策,对试点效果好的予以经费奖励。
三、统筹协调,强化保障,确保教育信息化顺利推进
(一)进一步强化工作统筹
教育信息化是一项涉及面很广的系统工程,需要加强统筹。市教委已成立教育信息化领导小组,设立了教育信息化推进办公室,以从组织管理方面解决信息化工作的统筹问题。要统筹考虑城乡学校、普职教育的实际,根据财力情况、分清轻重缓急,统一规划项目库和建设进度计划,分步实施、有序推进。要建立跨部门的协同推进教育信息化的机制。近年来,相关市级部门从项目、资金、技术、人员培训等方面,为教育信息化建设提供了积极的支持。区县教育部门也要向政府汇报,争取本地相关部门的支持,协同推进教育信息化建设。
(二)进一步强化应用导向
应用导向是教育信息化建设必须始终坚持的首要原则。目前,我市教育信息化硬件条件已有一定基础,今后,要在继续加大投入、加强硬件建设的同时,将工作重心转移到到应用上来,将着力点放到利用现有条件推动教育教学改革、提高教育质量、促进教育公平上,放到提高教育管理水平和治理能力上。要进一步探索信息技术应用的有效实现形式,促进教育方式和学习方式的变革。一定要避免重硬件、轻资源,重建设、轻应用的问题。要注意防止平时不使用、来了客人“秀一下”的现象,防止绝大多数教师不使用、几个尖子“撑门面”的现象,防止其他环节不使用、简单地在课堂放几幅图片几段视频“造气氛”的现象。学校要积极探索强化应用的工作机制,转变教学和教研活动组织管理方式,建立相应的制度规范,来鼓励、引导、要求、督促教师运用信息技术,促进教师普遍用、经常用,备课用、上课用、布置作业用、师生交流用,推进信息技术与教育教学的深度融合。
(三)进一步强化经费保障
今后五年,中央和市级将在“改薄工程”中安排6亿元左右,用于全市薄弱学校教育信息化建设;下一步,我们还将设立教育信息化工作专项经费,“以奖代补”,对信息化工作推进有成效的区县和学校予以经费支持。各区县也要把教育信息化建设经费列入本级教育经费预算,增加教育信息化投入,不要出现“挤出效应”,保障学校信息化基础设施、人才队伍和公共服务体系建设,以及购买教育信息化服务和运行维护的经常性支出。同时,区县和学校要加强创新,积极探索教育信息化建设多种模式,用好市场机制推进教育信息化建设,多渠道筹措经费。需要强调的是,教育信息化投入要突出资源建设、人员培训、推进应用等“软”环境,不要简单地理解为开展新一轮大规模的硬件建设。
(四)进一步强化信息化安全管理
