時間:2023-09-25 15:59:32
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇信息技術(shù)安全教育,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
關(guān)鍵詞中小學(xué)信息技術(shù)教育安全教育
1掌握學(xué)情,有的放矢
開學(xué)初,教師應(yīng)該對學(xué)生進(jìn)行一次信息技術(shù)方面的問卷調(diào)查,調(diào)查學(xué)生對于信息技術(shù)及安全知識的認(rèn)知程度。利用開學(xué)初期的一節(jié)課或兩節(jié)課時間與學(xué)生探討:人們利用計算機(jī)能干什么事情?我們?yōu)槭裁匆M(jìn)行信息技術(shù)的學(xué)習(xí)?通過信息技術(shù)這門課程,你想學(xué)習(xí)哪些知識和技能?你認(rèn)為應(yīng)如何上好信息技術(shù)課?對這些問題的探討,使學(xué)生們重新審視無處不在的信息技術(shù),重新認(rèn)識對計算機(jī)及網(wǎng)絡(luò)作用。而后教師可以調(diào)查一下學(xué)生的其他興趣愛好,比如繪畫、寫作、計算、音樂等,并且根據(jù)他們的愛好進(jìn)行信息技術(shù)學(xué)習(xí)分組。俗話說,知已知彼,百戰(zhàn)不殆。只有對學(xué)生先做了解,才能在接下來的教學(xué)過程中有針對性地進(jìn)行信息安全方面的引導(dǎo)和教育。尤其是對于那些在信息安全方面問題比較嚴(yán)重的學(xué)生,可以考慮多方面進(jìn)行干預(yù)和引導(dǎo)。在接下來的教學(xué)過程中,教師除了向?qū)W生教授信息技術(shù)教材的基本內(nèi)容之外,還可以針對不同的興趣小組,結(jié)合信息技術(shù)知識,設(shè)置不同的學(xué)習(xí)內(nèi)容,并安排他們完成相應(yīng)的任務(wù)。比如,對于喜歡繪畫設(shè)計的興趣小組學(xué)生,教師可以根據(jù)其所處的年齡段,向興趣小組學(xué)生介紹相應(yīng)的繪圖軟件操作,并推薦繪圖設(shè)計相關(guān)網(wǎng)站。引導(dǎo)學(xué)生接觸到相關(guān)知識后,教師的教學(xué)指導(dǎo)工作最好能與學(xué)生的興趣點和認(rèn)知點同步,因人而異、因時制宜,指引學(xué)生不斷學(xué)習(xí)和提高。需要說明的是,這里的內(nèi)容不宜太大太多,應(yīng)與學(xué)生的認(rèn)知發(fā)展水平相一致。當(dāng)然,這里對教師的知識結(jié)構(gòu)要求比較高,教師要關(guān)注到班級里每一個興趣小組,甚至每一名學(xué)生的知識發(fā)展情況,有時甚至還需要計算機(jī)學(xué)科教師和興趣小組對應(yīng)的學(xué)科教師聯(lián)合起來進(jìn)行針對性的指導(dǎo),真正做到對癥下藥、因材施教。這樣一路做下來,學(xué)生的時間和精力被有意義的內(nèi)容占用和吸引住了,自然也較少出現(xiàn)沉迷網(wǎng)絡(luò)方面的問題。
2科學(xué)引導(dǎo),綠色上網(wǎng)
在開學(xué)之初,教師還要利用一節(jié)課的時間讓學(xué)生講述身邊聽到或看到的青少年由于沉迷網(wǎng)絡(luò)而受到巨大傷害的真實故事,從而引導(dǎo)他們思考“上網(wǎng)該做些什么,不該做些什么”“怎樣看待網(wǎng)絡(luò)游戲”等問題。教師平時可以收集一些真實的案例作為素材,用一些震撼性的事件或圖片視頻展示給學(xué)生,從而在學(xué)生的腦海里對瀏覽不良網(wǎng)站所造成的巨大危害或網(wǎng)絡(luò)違法犯罪行為所造成的嚴(yán)重后果留下深刻的印象,使他們自覺遠(yuǎn)離網(wǎng)絡(luò)游戲,或其他有損于自己身心健康的網(wǎng)站和網(wǎng)絡(luò)信息。在教學(xué)過程中,教師要積極引導(dǎo)學(xué)生樹立正確的網(wǎng)絡(luò)觀,多向?qū)W生推薦一些專業(yè)的綠色的網(wǎng)站,保證孩子們在網(wǎng)上既獲取了知識,又避免不良信息的毒害和侵蝕。要適時地在學(xué)生中開展網(wǎng)絡(luò)道德教育,構(gòu)建規(guī)范的網(wǎng)絡(luò)倫理;要對學(xué)生多加強(qiáng)網(wǎng)絡(luò)法制教育,防止網(wǎng)絡(luò)犯罪。并且結(jié)合具體的案例進(jìn)行分析說明,讓學(xué)生充分認(rèn)識網(wǎng)絡(luò)世界存在的虛擬性、游戲性和危險性。使學(xué)生知悉,哪些網(wǎng)站是可以上的,哪些是不宜上的;讓學(xué)生明白,在網(wǎng)絡(luò)上,哪些行為是可以做的,哪些行為是禁止的。幫助學(xué)生樹立健康的上網(wǎng)意識,保持對待網(wǎng)絡(luò)的正確心態(tài)。
3家校共管,健康上網(wǎng)
學(xué)生成長的環(huán)境主要有兩個:一是家庭,二是學(xué)校。中小學(xué)生,特別是小學(xué)生,在家的時間還是相對較長的。不同的家庭,對電腦和網(wǎng)絡(luò)的認(rèn)知程度是不一樣的,對信息技術(shù)安全問題的認(rèn)識水平不盡相同,這必定會造成家長對孩子使用電腦的態(tài)度和看法不同。受教育水平高的家長,對計算機(jī)的認(rèn)識比較理性,既不視之為洪水猛獸,又不放任孩子使用電腦。他們會科學(xué)引導(dǎo)孩子接觸電腦,并會根據(jù)孩子的年齡特點和興趣愛好有層次地教孩子一些相關(guān)知識和技能。曾經(jīng)有這樣一個家長,他發(fā)現(xiàn)每次在家利用計算機(jī)工作時,3歲多大的孩子會很專注地在旁邊觀察。時間長了,有一次孩子竟在旁邊提醒他一個操作錯誤。他覺得很驚奇,就問了孩子幾個相關(guān)問題,誰知孩子都回答上來了。從此他就有意識地給孩子傳授一些計算機(jī)高級應(yīng)用以及編程和設(shè)計等知識,后來孩子長大后選擇了計算機(jī)作為自己的終生事業(yè),并且做得有聲有色。這是一個成功的例子,家長對孩子及時正確引導(dǎo),真正體現(xiàn)了“因材施教”的教育思想。家長對孩子上網(wǎng)引導(dǎo)不當(dāng)?shù)那樾沃饕袃煞N:一種是嚴(yán)格禁止型的家長,視計算機(jī)為洪水猛獸,千方百計對孩子進(jìn)行隔離堵截。這樣家庭里生長的孩子,對計算機(jī)的認(rèn)識也大不相同。有的孩子也視計算機(jī)為洪水猛獸,避而遠(yuǎn)之。這樣雖然暫時是安全的,但從學(xué)生長遠(yuǎn)發(fā)展來看,則有因噎廢食、得不償失之嫌。與之相反,有的孩子則有著強(qiáng)烈的好奇心,不讓干的事情偏偏想去探個究竟。結(jié)果在使用電腦和上網(wǎng)的問題上,孩子要么和家長躲貓貓,要么和家長對著干,家長教育簡單粗暴,親子關(guān)系搞得很僵,甚至有些孩子因此叛逆尋短見,釀成家庭悲劇。另一種是放任不管型的家長,尤其以留守兒童家庭居多,父母對孩子上網(wǎng)不聞不問、聽之任之,時間久了,孩子就會沉迷網(wǎng)絡(luò)不能自拔,嚴(yán)重影響身心健康。正像新聞里所描述的孩子那樣,不喜歡他們本應(yīng)熱愛的書本和書包,而是迷戀王者榮耀之類的網(wǎng)絡(luò)游戲。對于以上兩種類型家庭的孩子,教師一方面要加強(qiáng)正面引導(dǎo),讓學(xué)生更多地了解和學(xué)習(xí)計算機(jī)網(wǎng)絡(luò)的強(qiáng)大功能,擴(kuò)展其視野,讓孩子們重新看待信息技術(shù),而不是停留在計算機(jī)就是用來聊天和打游戲的膚淺認(rèn)識上。例如:對于小學(xué)一二年級的學(xué)生,計算機(jī)教師可以用BASIC語言設(shè)計一個10以內(nèi)加減法運(yùn)算的小程序,學(xué)生根據(jù)計算機(jī)屏幕上出現(xiàn)的試題,輸入自己的答案。隨后計算機(jī)自動給出正誤,同時輔以掌聲、鮮花等信息,這樣很容易引起學(xué)生的興趣。告訴學(xué)生,其實這樣的程序他們自己也可以設(shè)計,然后引導(dǎo)學(xué)生嘗試設(shè)計程序解決學(xué)習(xí)或者生活中的小問題,如果教育引導(dǎo)得法,一旦學(xué)生發(fā)現(xiàn)了其中的無窮奧妙,興趣和熱情就會慢慢地專注到信息技術(shù)的積極作用上來。另一方面,教師要加強(qiáng)與家長的溝通合作,讓家長懂得,信息技術(shù)的飛速發(fā)展是大勢所趨,計算機(jī)網(wǎng)絡(luò)的運(yùn)用將會滲透社會生活的方方面面,單純地隔離堵截,就好比逆風(fēng)而行,是非常困難并且不合時宜的;同時,網(wǎng)絡(luò)又是一把雙刃劍,有其利也有其弊,如果運(yùn)用不當(dāng)或者過度沉迷就會對心智尚未發(fā)育健全的青少年身心健康造成嚴(yán)重的危害。因此,對孩子使用電腦既要積極引導(dǎo),不宜一味堵截;又要注意監(jiān)管,不可放任自流。只有學(xué)校與家長達(dá)成共識,加強(qiáng)家校合作,既要科學(xué)引導(dǎo),幫助小孩學(xué)習(xí)和掌握必要的信息技術(shù)知識與技能,又要合理管控,防止小孩瀏覽不良信息或長時間沉迷網(wǎng)絡(luò),才能為小孩營造一個良好的電腦網(wǎng)絡(luò)環(huán)境,并促進(jìn)其養(yǎng)成健康的上網(wǎng)習(xí)慣。
關(guān)鍵詞:信息技術(shù);學(xué)校;安全教育
在實施素質(zhì)教育的今天,學(xué)校安全教育是一項長期、艱巨的任務(wù),傳統(tǒng)的教學(xué)手段很難引起學(xué)生對安全的重視,利用信息技術(shù)開展安全教育,會起到更佳的效果。
一、利用信息技術(shù)開展安全教育,可以對學(xué)生進(jìn)行安全提示教育
學(xué)校是承擔(dān)學(xué)生安全教育的主陣地。學(xué)校做好安全教育工作的重點之一,是在校園內(nèi)營造時時處處安全第一的氛圍。學(xué)校可在校園內(nèi)醒目部位安裝電子屏幕,用電子屏幕對學(xué)生進(jìn)行安全提示教育。根據(jù)學(xué)校所處的地理環(huán)境、實際情況,在不同時節(jié),針對學(xué)生可能發(fā)生的意外在電子屏幕上,經(jīng)常滾動播放安全提示語,提醒學(xué)生應(yīng)注意的安全事項,規(guī)范學(xué)生的行為,這樣既可以在校園內(nèi)營造良好的氛圍,又可以防患于未然,根據(jù)學(xué)校所處的地理環(huán)境,充分利用電子屏幕對學(xué)生進(jìn)行安全警示教育。
二、利用信息技術(shù),幫助學(xué)生了解一些自然災(zāi)害發(fā)生的前兆以及危害
世界上發(fā)生的很多自然災(zāi)害,往往出乎人們的預(yù)料,而且這些自然災(zāi)害給人類帶來巨大的災(zāi)難。但是,在人類長期的生活過程中,人們通過細(xì)心觀察身邊的自然現(xiàn)象,也總結(jié)出了許多自然災(zāi)害發(fā)生的規(guī)律。如,人們經(jīng)過長期的觀察,總結(jié)出的防震諺語:
震前動物有預(yù)兆,群測群防很重要。
牛羊騾馬不進(jìn)廄,豬不吃食狗亂咬。
鴨不下水岸上鬧,雞飛上樹高聲叫。
冰天雪地蛇出洞,大鼠叼著小鼠跑。
兔子豎耳蹦又撞,魚躍水面惶惶跳。
蜜蜂群遷鬧哄哄,鴿子驚飛不回巢。
家家戶戶都觀察,發(fā)現(xiàn)異常快報告。
如果教師僅僅口頭說教或?qū)⑽淖殖尸F(xiàn)給學(xué)生,他們可能對這些地震前的異常現(xiàn)象一笑了之,不能引起他們的重視;讓學(xué)生自己總結(jié)自然災(zāi)害發(fā)生的規(guī)律,又受到時空的局限。這時,用信息技術(shù)就能打破這種局限。在講解地震諺語時,配上動畫或圖片,會增加文字的趣味性、直觀性和可視性,便于學(xué)生理解,也能引起學(xué)生的重視。如汶川地震發(fā)生前,就有數(shù)以萬計的蟾蜍在道路上爬行,場面令人震撼。插播印尼海嘯發(fā)生的視頻,學(xué)生意識到,在海邊地震過后,伴之而來的就是海嘯;同時,幾十米高的海浪瞬間吞噬數(shù)以萬計的生命,在大自然面前,人類是多么渺小,自然災(zāi)害會給人類帶來多么大的危害!這樣,學(xué)生會認(rèn)識到自然災(zāi)害帶來危害的嚴(yán)重程度,在自然災(zāi)害來臨前,做好防范準(zhǔn)備,面對自然災(zāi)害時,就不會掉以輕心。
三、利用信息技術(shù)開展安全教育,可以更好地提高學(xué)生的安全意識
傳統(tǒng)教學(xué)媒體如:黑板、粉筆、掛圖、幻燈、投影的使用,也曾為教學(xué)提供過豐富的素材,然而,這些單一視聽媒體的特點使它們制作起來比較復(fù)雜,部分創(chuàng)作內(nèi)容很難反復(fù)使用,而信息技術(shù)能將文本、聲音、圖形、圖像、動畫、視頻等各種教學(xué)內(nèi)容進(jìn)行組合,把難以用圖片演示的許多抽象和難以理解的內(nèi)容變得生動有趣、把復(fù)雜的事物簡化、把事件發(fā)展的過程反復(fù)再現(xiàn),這些是傳統(tǒng)教學(xué)媒體很難完成的。
四、利用信息技術(shù)對學(xué)生開展安全教育,可以形象直觀地教給他們正確的避險方法和救護(hù)技能
傳統(tǒng)安全教育教學(xué)往往受條件和環(huán)境的限制,教師在向?qū)W生傳授避險的方法和自救技能,采取口頭說教的方法。在說明常見的避險方法,強(qiáng)調(diào)自救的關(guān)鍵環(huán)節(jié)時,較好的做法是利用掛圖來展示各種救護(hù)的不同步驟,學(xué)生很難連貫地完全掌握各個環(huán)節(jié)的要領(lǐng)。教師用信息技術(shù),課前制作動畫,在不同環(huán)境下把發(fā)生溺水的不同情況、不同過程,用動畫的形式表現(xiàn)出來,甚至可以在互聯(lián)網(wǎng)上,搜索相關(guān)素材,充實安全教育的內(nèi)容。如可用動畫的形式展示當(dāng)自己在水中發(fā)生意外時,如何采取正確的方式方法,避免自己發(fā)生溺水事故;當(dāng)他人在水中發(fā)生危險時,如何采取正確、有效的措施施救。這樣,學(xué)生就不會盲目施救,造成群死群傷的溺水事故。運(yùn)用信息技術(shù)可以增強(qiáng)學(xué)生安全教育的內(nèi)容,豐富學(xué)生安全教育的形式。
當(dāng)然,并不是所有的救護(hù)技能都能靠信息技術(shù)來傳授,一些專業(yè)救護(hù)技能需要專業(yè)人員當(dāng)面?zhèn)魇冢踔列枰獙I(yè)人員指導(dǎo)學(xué)生多次實踐才可能掌握技術(shù)要領(lǐng)。因此,在進(jìn)行救護(hù)技能傳授時,教師應(yīng)根據(jù)教學(xué)內(nèi)容、學(xué)生的認(rèn)知能力等實際情況,選擇性地使用信息技術(shù)。
信息技術(shù)在學(xué)生安全教育中的應(yīng)用為安全教育活動提供了新的發(fā)展空間,豐富了安全教育活動的內(nèi)容和形式。教師適時、適度地運(yùn)用多媒體輔助安全教育教學(xué),給學(xué)生提供視覺、聽覺和創(chuàng)新思維體會的空間,才能激發(fā)學(xué)生的學(xué)習(xí)熱情,把枯燥的安全教育活動變得生動、有趣,為學(xué)生安全教育增添無窮的魅力,切實提高學(xué)生的安全意識,在災(zāi)難來臨時,為學(xué)生的安全提供一份保障。
參考文獻(xiàn):
關(guān)鍵詞:信息技術(shù);多媒體;幼兒;安全教育
前蘇聯(lián)教育家蘇霍姆林斯基說:“兒童是用形象、色彩、聲音來思維的”,幼兒認(rèn)識世界的方式是比較直觀的,他們對外部世界的認(rèn)識較多地依賴聲音、色彩和圖像,據(jù)此,我們把信息技術(shù)融入到安全教育活動中,嘗試運(yùn)用多媒體手段,將安全教育的內(nèi)容具體化、形象化、趣味化。讓幼兒安全教育的內(nèi)容添上鮮明的色彩,活動的形象,有趣的情節(jié),兒童化的語言,以孩子樂于接受的形式展現(xiàn)在他們的面前,幫助幼兒掌握安全知識,增強(qiáng)幼兒的安全意識,培養(yǎng)幼兒的自我保護(hù)能力,擴(kuò)展幼兒知識的深度和廣度,從而使讓幼兒園的安全教育更有實效。
信息技術(shù)在幼兒安全教育活動中,具備明顯的優(yōu)勢。
一、信息技術(shù)的感性材料豐富,變枯燥為有趣
教育心理學(xué)研究表明,教育手段的新穎多樣是吸引幼兒注意、激發(fā)學(xué)習(xí)興趣、形成學(xué)習(xí)動機(jī)的條件。幼兒年齡小,新穎、鮮明、具體形象的刺激是引起幼兒無意注意的主要因素,在教學(xué)中充分發(fā)揮信息技術(shù)的圖像直觀、色彩鮮明、動靜結(jié)合、形象生動的特點,巧妙地創(chuàng)設(shè)出與教學(xué)相適應(yīng)的教學(xué)情境,使幼兒在不知不覺中全身心地投入到教學(xué)活動中。這不僅激發(fā)了幼兒的興趣,還極大地增強(qiáng)幼兒的認(rèn)識動力和能力,推動他們主動獲知。多媒體信息技術(shù)作為一種先進(jìn)的教學(xué)手段,將文字、圖像、圖形、聲音、視頻和動畫等多種元素有機(jī)的融為一體,生動形象、富有情趣。實踐證明,把信息技術(shù)融入到安全教育活動中,能夠以貼合幼兒年齡和認(rèn)知特點的形式,有效可以激發(fā)幼兒的學(xué)習(xí)興趣。
二、信息技術(shù)的感知刺激多元,變靜態(tài)為動態(tài)
在我設(shè)計的安全教育活動課件《學(xué)做文明小乘客》中,由汽車“嘟嘟嘟“的配樂拉開活動序幕,加入了汽車行駛畫面,模擬幼兒乘坐公交車的情景。避免和代替了老師單一的口頭表達(dá)和介紹,聲音、圖片、視頻等多媒體元素構(gòu)建的場景,讓孩子身臨其境,從而對后面老師在活動中介紹各類小動物在車上文明或者不文明的行為有很好的鋪墊作用。
在《地震來了怎么辦》這節(jié)安全教育活動中,活動開始讓幼兒先觀看了真實的地震視頻:房屋倒塌、橋梁斷裂、地面凹陷,觸目驚心的視頻畫面讓幼兒對地震所帶來的災(zāi)害有了直觀震撼的初步感受。活動全程,孩子一直非常專注,沉浸在地震來了,我該怎么辦的氣氛里,整個活動充分調(diào)動幼兒的視覺、聽覺等多種感官,使幼兒在具體畫面的刺激下,掌握了安全知識,增強(qiáng)了自我保護(hù)意識,也懂得了碰到困難自己要想辦法解決,擴(kuò)展了幼兒知識的深度和廣度。
三、信息技術(shù)讓活動鏡頭再現(xiàn),變無形為有形
蒙臺梭利說過:“聽過了很快就忘記了,看到了很快就記住了。”幼兒在安全教育活動過程中,往往能對他人的行為可以進(jìn)行頭頭是道的進(jìn)行評價,卻對自身的行為視若無睹。但是,多媒體卻可以突破時空限制的功能將幼兒自己的行為展現(xiàn),引發(fā)幼兒對自身不安全行為的反思與改正。
在安全教育活動《地震來了怎么辦》中的一個教學(xué)重難點就是幼兒在室內(nèi)躲避時,要選擇安全區(qū)域—,即“三角區(qū)“。老師在第一次提問,如果地震來了,你將在哪些地方進(jìn)行躲避的時候,就通過手機(jī)或攝像機(jī)拍攝孩子躲避的過程、位置和方式。捕捉孩子活動的瞬間,變無形為有形,然后讓幼兒觀看自己剛才的情景,運(yùn)用多媒體技術(shù)畫面的放大、放慢、定格等多種手段,讓幼兒通過仔細(xì)觀察,主動思考、探索、討論,幫助其了解自己存在的不適當(dāng)?shù)亩惚芊椒ǎ瑥亩莆照_的方法,提高自我保護(hù)能力。這樣讓幼兒獲得的是真實感知,不但容易理解,而且知識完整、印象深刻,并逐步內(nèi)化為正確的行為技能,多媒體教技術(shù)引入安全教育活動,給活動注入了新的生機(jī)和活力。
四、信息技術(shù)直擊教育難點,變抽象為具體
結(jié)合幼兒的認(rèn)知特點,運(yùn)用多媒體技術(shù)進(jìn)行動態(tài)演示,將安全教學(xué)中的重點和難點形象、生動、具體、直觀地剖析,使抽象難懂的知識變得淺顯易懂,讓幼兒能夠真正理解和學(xué)握。如:在給孩子講解高空拋物的危險時,大部分孩子對其傷害是缺乏已有經(jīng)驗的,因此并沒有意識到高空拋物的嚴(yán)重性。我們?yōu)楹⒆硬シ乓曨l:當(dāng)一個雞蛋分別從高空拋下對下面行人和物體的傷害,或者一個花盆掉下陽臺對下面行人和物體的傷害,讓孩子有更直觀的感受,從而學(xué)會保護(hù)自己和他人,不做危險的事情。
幼兒在游戲時會發(fā)生互相推擠、疊壓等現(xiàn)象。我們用多媒體網(wǎng)絡(luò)讓幼兒觀察人體構(gòu)造的畫面演示各種不當(dāng)做法對身體造成傷害的過程,幼兒認(rèn)真觀看形象的畫面,對同樣的事就會記的更牢更清楚了,從而給孩子警示作用。看了這樣的畫面,孩子們對難以掌握的知識,就能輕而易舉地獲得。突如其來的危險和災(zāi)難是生活中不可避免的,因此掌握初步的自救技能是十分必要的。多媒體教學(xué)獨具的重復(fù)、慢放與特寫功能,能抓住動作的重難點,有助于幼兒理解安全行為,并掌握自救動作與技能。
五、在運(yùn)用信息技術(shù)到安全教育活動的過程中的建議
(一)運(yùn)用多媒體信息技術(shù)豐富教育內(nèi)容,優(yōu)化各類信息來源
信息量大是多媒體信息技術(shù)這一教學(xué)手段的一大優(yōu)勢,在幼兒安全教育上,教師要根據(jù)幼兒的年齡特點和認(rèn)知程度,選取合適的教育內(nèi)容,并通過自己的篩選、整合、創(chuàng)編,不斷優(yōu)化信息來源,發(fā)揮其最大的教育導(dǎo)向功能。
(二)運(yùn)用多媒體技術(shù)創(chuàng)設(shè)教學(xué)情境,提高教師專業(yè)水平
關(guān)鍵詞:教育數(shù)據(jù)中心;安全運(yùn)維;技術(shù)體系
中圖分類號:TP393 文獻(xiàn)標(biāo)志碼:B 文章編號:1673-8454(2016)19-0005-06
一、省級數(shù)據(jù)中心的整體架構(gòu)
近年來,福建省教育管理信息中心從更高層次上將過去以單位建設(shè)和運(yùn)營的傳統(tǒng)信息系統(tǒng)整合成以省級為單位的數(shù)據(jù)中心,形成資源共享、互聯(lián)互通、服務(wù)整合的有機(jī)整體,省級數(shù)據(jù)中心實現(xiàn)虛擬化和動態(tài)管理,為本省提供教育管理信息系統(tǒng)運(yùn)行的云服務(wù)平臺,承載和滿足國家教育管理公共服務(wù)平臺在省級教育行政部門的部署和運(yùn)行,集成和支撐省本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng),服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。
整體設(shè)計架構(gòu)如圖1所示。
隨著教育管理信息系統(tǒng)的建成,各級各類教育部門對信息系統(tǒng)的依賴程度將會越來越高,逐步形成覆蓋各級各類教育的學(xué)生、教師和學(xué)校及資產(chǎn)等方面的海量信息,這對維持教育管理信息系統(tǒng)安全穩(wěn)定運(yùn)行,保障教育管理信息安全提出了更高的要求
二、省級數(shù)據(jù)中心安全防護(hù)的變化
利用云計算技術(shù),省級數(shù)據(jù)中心實現(xiàn)了計算資源、網(wǎng)絡(luò)資源、存儲資源的虛擬化和服務(wù)化,同時數(shù)據(jù)中心的安全威脅和防護(hù)要求也產(chǎn)生了新的變化。云計算帶來的一個最明顯的變化就是計算網(wǎng)絡(luò)的邊界發(fā)生了改變,諸多的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)中心云服務(wù)平臺上,保障數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性和進(jìn)行災(zāi)難恢復(fù)將是一個巨大的挑戰(zhàn),任何一個機(jī)械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制,就很有可能造成整個數(shù)據(jù)中心的崩潰。
1.安全防護(hù)對象擴(kuò)大
安全風(fēng)險并沒有因為虛擬化而消失或規(guī)避。盡管單臺物理服務(wù)器可以劃分成多臺虛擬機(jī)使用,但是每臺虛擬機(jī)上承載的業(yè)務(wù)和服務(wù)和傳統(tǒng)單臺服務(wù)器承載的基本相同,同樣虛擬機(jī)面臨的安全問題跟單臺物理機(jī)也是基本相同的,如對業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、操作系統(tǒng)和應(yīng)用程序的漏洞攻擊等。
數(shù)據(jù)中心需要防護(hù)的對象范圍也擴(kuò)大了。安全防護(hù)需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件,由于 vcenter等本身所處的特殊位置和在整個系統(tǒng)中的重要性,如果漏洞沒能及時修復(fù),這必定會給虛擬化平臺帶來一定的安全風(fēng)險,一旦攻擊者獲得虛擬化平臺的管理權(quán)限,將可以隨意訪問任意一臺虛擬機(jī),服務(wù)器的業(yè)務(wù)數(shù)據(jù)也就沒有任何安全性可言了。
2.威脅擴(kuò)散速度快
在虛擬化環(huán)境中,同一臺物理服務(wù)器上的不同虛擬機(jī)之間的通訊是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決,相鄰虛擬機(jī)之間的流量交換不通過外部的網(wǎng)絡(luò)交換機(jī),此時外部的網(wǎng)絡(luò)安全工具也都無法監(jiān)測到物理服務(wù)器內(nèi)部的流量。其中任何一臺虛擬機(jī)存在安全漏洞被攻擊控制后,攻擊者可通過這臺虛擬機(jī)入侵同一臺服務(wù)器上的其他虛擬機(jī)。
虛擬機(jī)可以根據(jù)實際需求在不同物理機(jī)之間進(jìn)行動態(tài)遷移,這可能會讓一些重要的虛擬機(jī)遷移到不安全的物理機(jī)上,或者一些測試用的虛擬機(jī)與重要的虛擬機(jī)遷移到同一虛擬局域網(wǎng),從而帶來安全風(fēng)險。
3.病毒掃描風(fēng)暴
完成服務(wù)器虛擬化之后,為了保護(hù)虛擬服務(wù)器的安全運(yùn)行,要在每一臺虛擬機(jī)上安裝防病毒等安全軟件,每臺虛擬機(jī)因此要消耗相同的CPU、內(nèi)存等硬件資源,常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源,這樣隨著虛擬機(jī)數(shù)量的增加,后端存儲的負(fù)荷隨之變大從而影響到系統(tǒng)的運(yùn)行速度。
虛擬機(jī)的初衷是綠色環(huán)保,低碳節(jié)能,沒有業(yè)務(wù)運(yùn)行的時候可以關(guān)閉虛機(jī),業(yè)務(wù)恢復(fù)時開啟虛機(jī),但關(guān)閉期間病毒代碼是無法更新的,如果多臺虛擬機(jī)同時開機(jī)更新防病毒軟件的病毒碼,這時網(wǎng)絡(luò)帶寬也有較大影響。如果所有虛擬機(jī)上的防病毒軟件設(shè)置定期掃描或更新,將會引起“防病毒風(fēng)暴”,影響服務(wù)器應(yīng)用程序的正常運(yùn)行。
三、省級數(shù)據(jù)中心安全運(yùn)維技術(shù)體系構(gòu)建
依據(jù)國家等級保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范,以省級教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護(hù)需求為出發(fā)點,根據(jù)云計算虛擬化的特點和風(fēng)險狀況,同時參考傳統(tǒng)“進(jìn)不來,拿不走,看不到,改不了,走不脫”的防御要求,分別從事前監(jiān)控、事中防護(hù)和事后審計三個角度進(jìn)行考慮,采用分區(qū)分域、重點保護(hù)的原則,對數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行分區(qū)分域防控,對承載的國家教育管理公共服務(wù)平臺、本級應(yīng)用系統(tǒng)和重點區(qū)域進(jìn)行重點的安全保障,根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的實際安全威脅,采用適當(dāng)?shù)陌踩U洗胧⒏采w物理、網(wǎng)絡(luò)、主機(jī)、存儲、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護(hù)技術(shù)支撐環(huán)境,提升數(shù)據(jù)中心的抗攻擊能力,維持國家教育管理信息系統(tǒng)穩(wěn)定運(yùn)行,保障教育管理信息安全。
1.物理層
(1)機(jī)房安全
機(jī)房是數(shù)據(jù)中心重要的基礎(chǔ)設(shè)施,服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備等是數(shù)據(jù)中心機(jī)房的核心設(shè)備。這些設(shè)備運(yùn)行所需要的環(huán)境因素,如供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、機(jī)房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機(jī)房重要的物理基礎(chǔ)設(shè)施。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機(jī)房,由服務(wù)器機(jī)房、網(wǎng)絡(luò)機(jī)房、控制室、配電機(jī)房四部分組成,現(xiàn)有數(shù)據(jù)中心使用面積達(dá)115平方米,安裝了機(jī)房智能、供配電、通風(fēng),環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng),滿足機(jī)房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求,符合信息安全等級保護(hù)三級的合規(guī)要求。
(2)資產(chǎn)管理
數(shù)據(jù)中心管理關(guān)鍵在于立足全局,明了擁有的資源,知曉設(shè)備放置在哪里,它們是如何連接到一起的。準(zhǔn)確的資產(chǎn)數(shù)據(jù)是數(shù)據(jù)中心日常運(yùn)維的基礎(chǔ)之一,隨著數(shù)據(jù)中心的設(shè)備數(shù)據(jù)增加,資產(chǎn)信息的準(zhǔn)確性顯得更加重要。對已有的虛擬機(jī)、物理設(shè)備和應(yīng)用系統(tǒng)進(jìn)行標(biāo)記,例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對系統(tǒng)的簡短描述。
2.網(wǎng)絡(luò)層
(1)安全區(qū)域的劃分
為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全,將安全區(qū)域劃分作為安全運(yùn)維技術(shù)體系設(shè)計的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大,支撐的應(yīng)用系統(tǒng)也非常復(fù)雜,因此采用基于安全域的辦法是非常有效的,結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實際情況和特點,以安全保障合理有效為原則,將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個相對獨立的安全區(qū)域,根據(jù)各個安全區(qū)域的功能和特點選擇不同的防護(hù)措施。
省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng),又為自建應(yīng)用系統(tǒng)提供運(yùn)營支撐。根據(jù)安全等級保護(hù)要求完成安全區(qū)域劃分,分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運(yùn)維區(qū)等,同時在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū),結(jié)合各個安全區(qū)域的業(yè)務(wù)特點設(shè)計保護(hù)措施和安全策略,這大大提升了安全防護(hù)的有效性,也體現(xiàn)出重點區(qū)域重點防范的建設(shè)原則。
(2)外網(wǎng)接入?yún)^(qū)
主要實現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點分析和需求分析,對該區(qū)域進(jìn)行邊界的防護(hù),以及對入侵事件的深度檢測及防護(hù),抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護(hù)系統(tǒng)。
A.實現(xiàn)邊界結(jié)構(gòu)安全。數(shù)據(jù)中心有多條ISP鏈路,包括移動、聯(lián)通、電信等。通過互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風(fēng)險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進(jìn)行帶寬分配優(yōu)先,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要業(yè)務(wù),保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。
B.實現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻,一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求;另一方面滿足互聯(lián)網(wǎng)邊界移動、電信、聯(lián)通等線路接入以及對流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細(xì)粒度的訪問控制,并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包,便于管理人員進(jìn)行分析。同時在防火墻配置會話監(jiān)控策略,當(dāng)會話處于非活躍一定時間或會話結(jié)束后,防火墻自動將會話丟棄,訪問來源必須重新建立會話才能繼續(xù)訪問資源。
C.實現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān),采用透明接入方式,在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù),對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾,對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進(jìn)行全面的攔截。截斷了病毒通過網(wǎng)絡(luò)傳播的途徑,凈化了網(wǎng)絡(luò)流量,滿足三級等級保護(hù)中實現(xiàn)邊界惡意代碼防范的要求。
D.實現(xiàn)邊界安全審計。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng),滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查,提供用戶上網(wǎng)行為日志記錄,不合規(guī)上網(wǎng)行為阻斷等功能。
(3)骨干網(wǎng)絡(luò)區(qū)
核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個功能分區(qū),是整個運(yùn)行網(wǎng)數(shù)據(jù)中心的核心,其功能是高速可靠地交換數(shù)據(jù),需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨立的匯聚交換機(jī)去實現(xiàn)。
A.實現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機(jī)配置防火墻板卡和IPS板卡,為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動、實時的防護(hù),監(jiān)測網(wǎng)絡(luò)異常流量,自動對各類攻擊性的流量進(jìn)行實時阻斷,增強(qiáng)數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。
B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能,通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻,為應(yīng)用服務(wù)器區(qū)/數(shù)據(jù)庫服務(wù)器區(qū)/運(yùn)維管理區(qū)邊界提供細(xì)粒度的訪問控制能力,實現(xiàn)基于源/目的地址、通信協(xié)議、請求的服務(wù)等信息的訪問控制,防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源,并且利用防火墻的多個端口,將實現(xiàn)多個區(qū)域的有效隔離。
3.平臺層
云安全技術(shù)多集中在虛擬化安全方面。虛擬化環(huán)境下計算、存儲、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變,帶來了應(yīng)用進(jìn)程間的相互影響更加難以監(jiān)測和跟蹤,數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜,傳統(tǒng)的分區(qū)域防護(hù)界限模糊,對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更為重要等一系列問題,對安全提出了更高的要求。
(1)防火墻
傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看虛擬機(jī)內(nèi)的網(wǎng)絡(luò)通信,因而無法檢測或抑制源于同一主機(jī)上的虛擬機(jī)的攻擊。針對服務(wù)器虛擬化面臨的風(fēng)險,通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護(hù)系統(tǒng),減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對服務(wù)器防火墻策略進(jìn)行集中式管理,阻止拒絕服務(wù)攻擊,實現(xiàn)針對虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離,構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)。
以透明方式在VMware vSphere虛擬機(jī)上實施安全策略,按照最小授權(quán)訪問的原則,細(xì)化訪問控制策略,嚴(yán)格限制訪問虛擬機(jī)宿主機(jī)和虛擬機(jī)的訪問IP 地址、協(xié)議和端口號,保障虛擬機(jī)在動態(tài)環(huán)境中的安全。
(2)防惡意軟件
為了確保虛擬化平臺及虛擬機(jī)的安全運(yùn)行,必須部署必要的安全工具,在虛擬機(jī)上安裝網(wǎng)絡(luò)殺毒軟件和惡意代碼查殺程序,防止虛擬機(jī)遭受病毒及惡意代碼的侵襲,設(shè)置病毒和惡意代碼查殺策略。及時更新病毒庫和惡意代碼庫,保證病毒和惡意代碼及時被清除。
無安全模式以一臺物理機(jī)為管理單位,無需在每個虛擬機(jī)中部署安全防護(hù)程序,集中一臺虛擬安全服務(wù)器中部署運(yùn)行,隨時在線升級和維護(hù),分時掃描各應(yīng)用服務(wù)器虛擬機(jī),對虛擬環(huán)境的性能不會造成顯著影響,從而避免了“防病毒風(fēng)暴”等現(xiàn)象。
(3)補(bǔ)丁程序更新
虛擬化平臺由于自身設(shè)計的缺陷,也存在安全隱患。要保證虛擬機(jī)的安全,必須及時為虛擬機(jī)進(jìn)行漏洞修補(bǔ)和程序升級。即便如此,仍然存在安全隱患,原因在于虛擬機(jī)系統(tǒng)的補(bǔ)丁可能落后于更新,而且承載不同操作系統(tǒng)的虛擬機(jī)可能遲滯不同級別的補(bǔ)丁和更新。所以當(dāng)其他虛擬機(jī)受到保護(hù)時,這些還沒有更新補(bǔ)丁,容易受到安全威脅的機(jī)器就會影響其他虛擬機(jī)的安全。
4.系統(tǒng)層
安全測試與風(fēng)險評估。在部署信息系統(tǒng)前,對承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進(jìn)行安全配置,并在系統(tǒng)正式上線運(yùn)行前進(jìn)行安全測試與風(fēng)險評估,對于發(fā)現(xiàn)的問題整改完成后再行上線,避免應(yīng)用系統(tǒng)帶病運(yùn)行造成后期整改困難。
(1)部署漏洞掃描系統(tǒng)
如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。采用最新的漏洞掃描與檢測技術(shù),包括快速主機(jī)存活掃描技術(shù)、操作系統(tǒng)識別技術(shù)、智能化端口服務(wù)識別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險評估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用,快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間內(nèi)修復(fù)漏洞,最大限度地降低系統(tǒng)安全風(fēng)險,消除安全隱患。
(2)服務(wù)器加固系統(tǒng)
操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進(jìn)行分散,使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力,實現(xiàn)文件強(qiáng)制訪問控制、注冊表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、服務(wù)強(qiáng)制訪問控制、三權(quán)分立的管理、管理員登錄的強(qiáng)身份認(rèn)證、文件完整性監(jiān)測等功能,從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。此外,內(nèi)核加固模塊穩(wěn)定的工作于操作系統(tǒng)下,提升系統(tǒng)的安全等級,為用戶構(gòu)造一個更加安全的操作系統(tǒng)平臺。
5.應(yīng)用層
(1)應(yīng)用服務(wù)區(qū)劃分
應(yīng)用服務(wù)區(qū)主要承載運(yùn)行環(huán)境內(nèi)的應(yīng)用服務(wù)器,包括教育部應(yīng)用的oracle、weblogic等中間件服務(wù)器等。核心區(qū)通過獨立的防火墻設(shè)備接入應(yīng)用服務(wù)區(qū)。
根據(jù)應(yīng)用系統(tǒng)承載不同的應(yīng)用,實現(xiàn)不同的功能,不同的管理模式,不同的應(yīng)用系統(tǒng)劃分為不同的保護(hù)等級,應(yīng)用服務(wù)區(qū)分為教育部應(yīng)用區(qū)(三級)、廳主要應(yīng)用區(qū)(三級)、市縣應(yīng)用區(qū)(二級)。
(2)前置服務(wù)區(qū)
提供Web服務(wù)的服務(wù)器被放置在前置服務(wù)區(qū),主要運(yùn)行網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。在前置服務(wù)器區(qū)邊界部署Web應(yīng)用防火墻,能夠滿足為前置服務(wù)器區(qū)邊界提供強(qiáng)制訪問控制能力以及能夠提供應(yīng)用層針對網(wǎng)站攻擊防護(hù)能力。事前,Web應(yīng)用防火墻提供Web應(yīng)用漏洞掃描功能,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測、阻斷及防護(hù)。事后,針對當(dāng)前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風(fēng)險,維護(hù)網(wǎng)站的公信度。從而更有效地對廳網(wǎng)站進(jìn)行全面的保護(hù),有效降低安全風(fēng)險。通過部署Web應(yīng)用防火墻彌補(bǔ)防火墻、IPS在應(yīng)用層方面薄弱的防護(hù)能力。
6.數(shù)據(jù)層
(1)數(shù)據(jù)庫安全審計
數(shù)據(jù)庫服務(wù)區(qū)承載了運(yùn)行環(huán)境下核心應(yīng)用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務(wù)器。在數(shù)據(jù)庫服務(wù)器區(qū)接入交換機(jī)旁路部署兩臺數(shù)據(jù)庫審計系統(tǒng),通過技術(shù)手段并結(jié)合管理制度,能夠確保數(shù)據(jù)庫服務(wù)器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全;能夠及時發(fā)現(xiàn)非法用戶以及黑客對數(shù)據(jù)庫錯誤操作和非法操作,并進(jìn)行及時阻斷;能夠?qū)?shù)據(jù)庫查詢和修改等操作進(jìn)行記錄,并能提供事后追溯;能夠檢測和分析數(shù)據(jù)庫應(yīng)用系統(tǒng)存在的BUG,并能提供相關(guān)報表信息;對所有數(shù)據(jù)庫操作可實現(xiàn)字段級的細(xì)粒度審計,便于數(shù)據(jù)庫管理。
(2)數(shù)據(jù)傳輸安全
保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面,在外網(wǎng)接入?yún)^(qū)邊界部署IPSECVPN實現(xiàn)在省級數(shù)據(jù)中心與教育部數(shù)據(jù)中心進(jìn)行數(shù)據(jù)傳輸時,通過VPN技術(shù)措施進(jìn)行傳輸加密,實現(xiàn)數(shù)據(jù)通信加密安全;另一方面,在前置服務(wù)器區(qū)部署SSLVPN實現(xiàn)在福建省教育廳數(shù)據(jù)中心服務(wù)器與外部出差、外部辦公人員應(yīng)用終端之間進(jìn)行數(shù)據(jù)傳輸時,通過SSLVPN技術(shù)措施實現(xiàn)數(shù)據(jù)傳輸?shù)募用埽瑢崿F(xiàn)數(shù)據(jù)通信加密安全。
(3)數(shù)據(jù)容災(zāi)備份
備份是用戶保護(hù)計算機(jī)中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實現(xiàn)本地統(tǒng)一備份以及遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔的功能,并且在本地配備重復(fù)數(shù)據(jù)刪除功能,通過重刪后的數(shù)據(jù)進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔,從而降低數(shù)據(jù)的傳輸大小以及對傳輸帶寬的要求。實現(xiàn)省級教育數(shù)據(jù)中心的各類結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地數(shù)據(jù)備份,制定備份策略,備份服務(wù)器將自動進(jìn)行數(shù)據(jù)的增量備份與全備份操作;實現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級容災(zāi),能夠在數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)以及其備份數(shù)據(jù)均產(chǎn)生問題時,通過容災(zāi)機(jī)房實現(xiàn)遠(yuǎn)程歸檔備份的數(shù)據(jù)還原操作;實現(xiàn)教育數(shù)據(jù)中心關(guān)鍵系統(tǒng)的獨立部署以及本地數(shù)據(jù)備份,大大提高系統(tǒng)的數(shù)據(jù)安全性。
7.運(yùn)維層
(1)安全運(yùn)維管理平臺
安全運(yùn)維管理平臺的主要監(jiān)控對象包括各省級教育數(shù)據(jù)中心所轄硬件設(shè)備(網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等)和應(yīng)用系統(tǒng),主要實現(xiàn)的功能包括:資產(chǎn)管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計、信息安全風(fēng)險管理、工單管理、通告管理及多級聯(lián)動等主要功能。
按照教育部安全運(yùn)維管理平臺統(tǒng)一配置規(guī)范、統(tǒng)一接口標(biāo)準(zhǔn)建設(shè)省級安全運(yùn)維管理平臺,一方面負(fù)責(zé)采集分析省級教育數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件的性能指標(biāo),實現(xiàn)省級數(shù)據(jù)中心基礎(chǔ)環(huán)境的業(yè)務(wù)可用性集中監(jiān)測與管理;另一方面收集匯總本級環(huán)境中的安全事件并進(jìn)一步通過關(guān)聯(lián)分析實現(xiàn)對部署在本級的國家教育管理信息系統(tǒng)的整體安全運(yùn)行態(tài)勢進(jìn)行集中監(jiān)控、分析與管理。最終省級安全運(yùn)維管理平臺通過IPSecVPN構(gòu)建的數(shù)據(jù)加密傳輸通道上報業(yè)務(wù)可用性運(yùn)行狀態(tài)、重大信息安全風(fēng)險、重要信息安全事件及信息安全審計分析報告等數(shù)據(jù)信息至中央級安全運(yùn)維管理平臺,實現(xiàn)對全國教育信安全事件的集中監(jiān)測、上報與響應(yīng)。
(2)應(yīng)用安全監(jiān)測與預(yù)警平臺
應(yīng)用安全監(jiān)測與預(yù)警平臺以應(yīng)用系統(tǒng)為對象,對應(yīng)用系統(tǒng)進(jìn)行漏洞監(jiān)測、實時掛馬監(jiān)測、關(guān)鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測、安全告警與安全勢態(tài)跟蹤,實現(xiàn)對應(yīng)用系統(tǒng)的可用性、脆弱性和內(nèi)容安全性進(jìn)行監(jiān)測、預(yù)警。
統(tǒng)一部署的應(yīng)用安全監(jiān)測預(yù)警管理平臺,實現(xiàn)對部署于數(shù)據(jù)中心的國家教育管理信息系統(tǒng)及自建系統(tǒng)進(jìn)行應(yīng)用安全監(jiān)測與管理;并通過本平臺上報國家教育管理信息系統(tǒng)的重大安全風(fēng)險、重要安全事件及應(yīng)用系統(tǒng)安全審計分析報告等數(shù)據(jù)信息。
(3)安全運(yùn)維審計
在運(yùn)維管理區(qū)部署運(yùn)維審計系統(tǒng),邏輯上將人與目標(biāo)設(shè)備分離,建立“人-〉主賬號(堡壘機(jī)用戶賬號)-〉授權(quán)―>從賬號(目標(biāo)設(shè)備賬號)的模式;在這種模式下,基于唯一身份標(biāo)識,通過集中管控安全策略的賬號管理、授權(quán)管理和審計,建立針對維護(hù)人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計管理,實現(xiàn)對各種運(yùn)維加密/非加密、圖形操作協(xié)議的命令級審計。通過細(xì)粒度的安全管控策略,保證服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行,降低人為安全風(fēng)險,避免安全損失。堡壘機(jī)不僅能記錄操作痕跡,還能回放記錄,追溯責(zé)任,定位問題,運(yùn)維審計結(jié)果能以各種報表形式展現(xiàn),滿足不同人員的需求。
四、結(jié)束語
安全運(yùn)維是確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié),也是信息系統(tǒng)生命周期中的一個長期工作。省級教育數(shù)據(jù)中心安全運(yùn)維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺,通過分級和分域進(jìn)行安全管理與保障,實現(xiàn)各個分域子網(wǎng)安全,實現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護(hù),構(gòu)建安全管理中心,提供安全管理、安全監(jiān)控、安全審計、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段,保證數(shù)據(jù)中心計算環(huán)境安全,保證承載的國家教育管理公共服務(wù)平臺和本級各類教育管理信息系統(tǒng)的運(yùn)行,最終形成“安全開放、等級保護(hù)、按需防御”的等級化安全保障體系,服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。
參考文獻(xiàn):
[1]教育部教育管理信息中心.國家教育管理公共服務(wù)平臺省級數(shù)據(jù)中心建設(shè)指南(印發(fā)稿)[Z].2013.
[2]曾德華.省級數(shù)據(jù)中心建設(shè)目標(biāo)、內(nèi)容框架與實施管理[J].中國教育信息化,2013(13):8-9.
[3]安宏.國家教育管理信息系統(tǒng)信息安全保障體系建設(shè)[J].中國教育信息化,2013(13):16-19.
[4]鄧高峰,高四良,李玉龍.服務(wù)器虛擬化安全問題分析及防護(hù)措施[J].計算機(jī)安全,2014(8):30-32.
關(guān)鍵詞 攻防角度;敏感信息;輸入;安全防護(hù)技術(shù)
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2013)15-0042-01
隨著計算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展,大量的信息在計算機(jī)當(dāng)中進(jìn)行儲存和處理,在網(wǎng)絡(luò)上進(jìn)行傳輸和交流,方便人們進(jìn)行查閱,為人們的日常生產(chǎn)生活提供了諸多便利。但是,也會經(jīng)常發(fā)生信息泄露現(xiàn)象,這嚴(yán)重的影響了人們的隱私,同時還可能會造成重大的損失,所以應(yīng)該加強(qiáng)對于敏感信息的防護(hù),保障信息的安全性。
1 敏感信息概況
當(dāng)前,用戶的敏感信息,比如:賬號和密碼,一直以來都是受到網(wǎng)絡(luò)攻擊的目標(biāo),現(xiàn)在的網(wǎng)絡(luò)用戶通常情況下更加的關(guān)注在網(wǎng)絡(luò)傳輸過程中的安全協(xié)議以及加密等手段對于這些敏感信息進(jìn)行相應(yīng)的防護(hù),從而忽略了相應(yīng)的物理以及主機(jī)方面的信息安全的保護(hù)。一般情況下,攻擊者能夠在相應(yīng)的敏感信息到達(dá)軟件或者是瀏覽器的內(nèi)部進(jìn)行加密等處理之前就能夠?qū)⑵浣孬@。信息在計算機(jī)網(wǎng)絡(luò)當(dāng)中進(jìn)行傳播,其主要的以如下幾種形式存在:①儲存在永久的介質(zhì)上。在永久介質(zhì)上存在的信息,主要的是指以操作系統(tǒng)文件形式或者是以數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)形式存儲在要硬盤或者是其他類似介質(zhì)上的信息。②在使用過程中的信息,其主要包含了正在進(jìn)行運(yùn)算處理和以顯示和打印等形式輸出的信息。③正在傳輸?shù)男畔ⅲ鋫鬏敯艘愿鞣N形式連接的主機(jī)與主機(jī)、主機(jī)和終端以及客戶與服務(wù)器之間所傳送的信息。
2 敏感信息常見的威脅種類和預(yù)防措施
1)非法入侵的威脅。計算機(jī)在運(yùn)行的過程中,通常情況下會和互聯(lián)網(wǎng)相連接,這時就會遭遇到非法入侵,非法入侵主要的就是指通過各種非正常的手段進(jìn)入到系統(tǒng)當(dāng)中,并且訪問不該訪問的相關(guān)信息,或者是對于系統(tǒng)的運(yùn)行造成威脅。非法入侵主要的可以通過過濾方法、方法以及身份驗證方法來對其進(jìn)行防護(hù),其中身份驗證是防止非法入侵最常見也是非常有效的方法,并且能夠取得很好的效果。
2)越權(quán)訪問以及傳輸過程中信息泄露的威脅。越權(quán)訪問主要的是指一個用戶通過合法的途徑進(jìn)入到系統(tǒng)以后,對于超越了自身權(quán)限的信息進(jìn)行訪問,去訪問那些本來不應(yīng)該由自己進(jìn)行訪問的信息,這樣就可能會對信息造成一定程度上的威脅;而敏感信息在傳輸?shù)倪^程當(dāng)中也會造成信息泄露所帶來的威脅。防止越權(quán)訪問的最基本的方式就是加強(qiáng)對于用戶訪問權(quán)限的管理、控制以及檢查,常見的訪問控制方法有以下兩種:自主訪問控制和強(qiáng)制訪問控制。而在傳輸過程中敏感信息泄露大多數(shù)情況下會采用傳輸加密的方式來進(jìn)行防護(hù),當(dāng)前主要的加密方式是線路加密。
3)使用過程中信息泄露的威脅。信息在使用的過程中,主要的包含了對于計算機(jī)中信息進(jìn)行各種運(yùn)算處理和通過顯示以及打印等設(shè)備對于相關(guān)的信息進(jìn)行輸出,其主要的體現(xiàn)在運(yùn)算處理中的信息在內(nèi)存中可能會出現(xiàn)被泄露的情況,另外就是顯示終端的電磁輻射所造成的泄露以及打印結(jié)構(gòu)所造成的泄露。在進(jìn)行使用過程中信息泄露防護(hù)的過程中,應(yīng)該實現(xiàn)對一般用戶的防范,相應(yīng)的顯示終端以及其他終端是被的電磁輻射等,主要的可以通過屏蔽的方式來防止,而打印結(jié)果造成的泄露主要的是通過加強(qiáng)管理來解決。
3 基于攻防角度的敏感信息輸入安全防護(hù)技術(shù)分析
在進(jìn)行信息輸入的過程中,主要的是通過鍵盤來實現(xiàn),在信息輸入分過程中,也會遭受到信息泄露的威脅,所以應(yīng)該采取有效的技術(shù)進(jìn)行防范。
1) 安全密碼框技術(shù)。為了保障敏感信息的安全輸入,當(dāng)前常用的方式是通過控件或者是軟件的方式來構(gòu)成相應(yīng)的安全密碼框,當(dāng)相應(yīng)的輸入焦點落入到密碼框內(nèi)的時候,啟用相應(yīng)的安全措施,保障鍵盤記錄器能夠正常的運(yùn)行的同時,也記錄不到密碼框接收到敏感的信息。在內(nèi)核層常見的防御方式有:禁止掃描0×60端口,在相應(yīng)的0×60端口處插入干擾的信息,這樣鍵盤記錄器就會受到這些信息的干擾,沒有辦法正確的記錄相關(guān)的信息;此外還可以修改IDT中斷處理層程序的地址,這樣就可以有效的繞開后面的鍵盤記錄器。一般來說,在內(nèi)核層進(jìn)行防御所達(dá)到的效果是比較好的,安全強(qiáng)度比較高,但是其通用性不是很好。在其應(yīng)用層主要的可以通過加密以及加入干擾信息等方式繞過相應(yīng)的應(yīng)用層鍵盤記錄器,這些方式的通用性都比較好,適用于各種類型的鍵盤以及各種操作系統(tǒng)版本。
2) 虛擬鍵盤風(fēng)險防范技術(shù)。虛擬鍵盤是一種通過軟件模擬鍵盤輸入的技術(shù),其可以直接的在應(yīng)用層生成相應(yīng)的按鍵信息,其能夠很大程度上避開內(nèi)核層的大部分的威脅,當(dāng)前已經(jīng)得到了廣泛的應(yīng)用。但是在使用的過程中還存在很多的威脅,比如:容易被偷窺、可以通過截屏來獲取相應(yīng)的按鍵信息,并且還可以根據(jù)窗口的位置和鼠標(biāo)點擊信息推斷出按鍵內(nèi)容。主要的可以采取以下的方式進(jìn)行安全防護(hù),對于偷窺可以利用光學(xué)手段進(jìn)行相應(yīng)的防護(hù),可以添加相應(yīng)的防偷窺的材料;對于截屏主要的可以余暉效應(yīng)將虛擬鍵盤界面分為若干個部分連續(xù)顯示,這樣計算機(jī)使用者可以看到虛擬鍵盤內(nèi)容,但是攻擊者通過程序截屏所獲得的圖像是無法進(jìn)行識別的。對于鼠標(biāo)記錄,可以通過動態(tài)變化鍵盤布局的方法進(jìn)行防護(hù),也就是在每次啟動虛擬鍵盤的時候,虛擬鍵盤內(nèi)各個按鍵的排布方式不同,這樣就能夠有效的防止輸入信息的泄露。
4 總結(jié)
隨著科學(xué)技術(shù)的不斷發(fā)展,保障敏感信息的安全已經(jīng)成為當(dāng)前一個非常重要的問題,對于敏感信息進(jìn)行防范的過程中,應(yīng)該采用科學(xué)合理的方式,了解到信息泄露的主要原因,有針對的采取各種有效的措施對其進(jìn)行防范,以此來保障敏感信息的安全。
參考文獻(xiàn)
[1]傅建明,偉,李晶雯.敏感信息輸入安全技術(shù)探究[J].信息網(wǎng)絡(luò)安全,2013,06(03):152-160.
[2]姜偉,方濱興,田志宏,張宏莉.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J].計算機(jī)學(xué)報,2009,08(04):103-108.
[3]王利濤,郁濱.信息技術(shù)設(shè)備電磁泄漏建模與防護(hù)[J].計算機(jī)工程與設(shè)計,2013,03(01):45-51.
隨著電子政務(wù)和各種社會化便民網(wǎng)絡(luò)工程的建設(shè)完成,各政府部門和社會管理服務(wù)系統(tǒng)希望通過安全的信息系統(tǒng)建設(shè),提高了辦事效率,增加了辦公的透明度,加強(qiáng)了監(jiān)管力度。因此,各種網(wǎng)上便民應(yīng)用要求相關(guān)部門的業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)實現(xiàn)信息交換,同時業(yè)務(wù)部門之間的網(wǎng)上辦公系統(tǒng)要求相關(guān)業(yè)務(wù)網(wǎng)也要實現(xiàn)信息交換。在這些網(wǎng)絡(luò)安全需求中,安全隔離與信息交換系統(tǒng)(以下簡稱“安全隔離網(wǎng)閘”)得到了廣泛應(yīng)用。
安全隔離網(wǎng)閘市場已經(jīng)開始進(jìn)入高速增長期。安全隔離網(wǎng)閘的高安全性已經(jīng)逐漸地被政府網(wǎng)絡(luò)管理者所認(rèn)可,從安全隔離網(wǎng)閘現(xiàn)在在公安專網(wǎng)與其外聯(lián)網(wǎng)絡(luò)(如印章制作中心網(wǎng)絡(luò)、旅店監(jiān)管網(wǎng)絡(luò)等),稅務(wù)專網(wǎng)與互聯(lián)網(wǎng)、工商專網(wǎng)與互聯(lián)網(wǎng)等政府部門網(wǎng)絡(luò)中的廣泛應(yīng)用就可以得到印證,并且數(shù)十臺以上的集中采購項目已經(jīng)是經(jīng)常可見的。除了政府應(yīng)用外,軍隊、金融、電力等行業(yè)也認(rèn)識到了安全隔離網(wǎng)閘的安全價值,在重要的網(wǎng)絡(luò)隔離中采購安全隔離網(wǎng)閘來實現(xiàn)高安全的數(shù)據(jù)交換。
安全隔離網(wǎng)閘需求量的迅速增長是以產(chǎn)品成熟為前提的!國家相關(guān)部門對安全隔離網(wǎng)閘最基本的技術(shù)要求有兩點:一點是硬件架構(gòu)為“2+1”結(jié)構(gòu),即由兩個擁有獨立操作系統(tǒng)的主機(jī)系統(tǒng)和一個專有的隔離交換模塊組成;另一點是對流經(jīng)的數(shù)據(jù)處理方式,對數(shù)據(jù)包全部在應(yīng)用層進(jìn)行重組、深度內(nèi)容檢測之后在網(wǎng)間進(jìn)行信息“擺渡”。這兩點技術(shù)要求已經(jīng)在主流廠商的安全隔離網(wǎng)閘上得到了嚴(yán)格的執(zhí)行。
但是,各安全隔離網(wǎng)閘廠商研發(fā)的重點都只是集中在對“擺渡”數(shù)據(jù)的深度檢測實現(xiàn)和提高處理性能上了,筆者在進(jìn)行廣泛地調(diào)研后認(rèn)識到安全隔離網(wǎng)閘的技術(shù)發(fā)展忽視了其作為網(wǎng)關(guān)級安全設(shè)備應(yīng)該進(jìn)一步具有適應(yīng)性、可管理性以及自身安全性。以下筆者將從客戶應(yīng)用需求的角度,展望安全隔離網(wǎng)閘下一步的幾個最新發(fā)展動向。
多網(wǎng)接入安全隔離需求
現(xiàn)在,交警、電業(yè)局、自來水公司等單位在通過銀行實現(xiàn)相關(guān)費(fèi)用代收時一般要與多家銀行進(jìn)行網(wǎng)絡(luò)連接。安全隔離網(wǎng)閘在這樣的網(wǎng)絡(luò)中部署時使客戶出現(xiàn)了困擾,原因在于現(xiàn)有各廠商的安全隔離網(wǎng)閘部署時每個主機(jī)系統(tǒng)只能連接一個網(wǎng)絡(luò),那么在不能將各家銀行網(wǎng)絡(luò)連接到同一個交換設(shè)備上的安全要求下,一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離網(wǎng)閘。這樣的解決方案很明顯是過于浪費(fèi)的!
以交警網(wǎng)絡(luò)與銀行網(wǎng)絡(luò)連接為例,我們仔細(xì)分析發(fā)現(xiàn)各銀行網(wǎng)絡(luò)相對于交警內(nèi)網(wǎng)都是相同安全級別的網(wǎng)絡(luò)。在各銀行網(wǎng)絡(luò)在實現(xiàn)無法互訪和分別能與交警內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交換的前提下,是可以通過一臺安全隔離網(wǎng)閘與交警內(nèi)網(wǎng)相連接的。這就要求安全隔離網(wǎng)閘滿足主機(jī)系統(tǒng)有多個網(wǎng)絡(luò)連接接口,從而實現(xiàn)每一主機(jī)系統(tǒng)可以同時連接多個相同安全級別的網(wǎng)絡(luò),并且每個網(wǎng)絡(luò)接口之間在系統(tǒng)內(nèi)部固化實現(xiàn)無法互訪。也就要求安全隔離網(wǎng)閘成為多網(wǎng)接入安全隔離平臺(如圖一所示)。
集中管理需求
防火墻從最初作為獨立的安全設(shè)備部署在網(wǎng)絡(luò)中,到現(xiàn)在可以通過集中管理控制平臺來實現(xiàn)對多臺防火墻的統(tǒng)一協(xié)同安全防護(hù)和設(shè)備狀態(tài)監(jiān)控等管理。安全隔離網(wǎng)閘作為與防火墻相類似的網(wǎng)關(guān)級安全設(shè)備,其管理上也必然有相類似的管理技術(shù)發(fā)展脈絡(luò)。
當(dāng)前,市場上的安全隔離網(wǎng)閘還無法實現(xiàn)集中管理功能,但由于安全隔離網(wǎng)閘的規(guī)模性部署增多和對管理人員技能要求更高,所以用戶對安全隔離網(wǎng)閘的集中管理功能的需求已經(jīng)相當(dāng)迫切。
集中式安全管理系統(tǒng),要以統(tǒng)一的策略和集成的平臺對受控網(wǎng)絡(luò)進(jìn)行安全配置和管理。集中管理員能通過集中管理中心可以對全局網(wǎng)絡(luò)中的安全隔離網(wǎng)閘完成集中、統(tǒng)一的配置、管理和系統(tǒng)監(jiān)視工作。
集中管理模式對于擁有多臺安全隔離網(wǎng)閘的網(wǎng)絡(luò)的安全管理尤為重要。它一方面提高了網(wǎng)絡(luò)安全規(guī)則的一致性,增進(jìn)網(wǎng)絡(luò)的安全性,另一方面也為管理員提供了方便的配置和診斷工具,使管理員可以騰出更多精力的關(guān)注更高級的安全管理工作。
操作系統(tǒng)抗攻擊需求
用戶對安全隔離網(wǎng)閘操作系統(tǒng)抗攻擊的需求越來越迫切。安全隔離網(wǎng)閘作為網(wǎng)關(guān)級網(wǎng)絡(luò)安全設(shè)備,并且對所有的應(yīng)用協(xié)議都是在應(yīng)用層采取的方式進(jìn)行處理,從而導(dǎo)致安全隔離網(wǎng)閘的并發(fā)連接數(shù)都是不高的,如百兆平臺一般并發(fā)連接數(shù)不超過一萬個,這個數(shù)量級與防火墻的少則幾十萬和多則上百萬相比實在太少了。因此,如果在相連網(wǎng)絡(luò)中有主機(jī)感染網(wǎng)絡(luò)病毒或者蓄意發(fā)起DDOS攻擊時,就會導(dǎo)致安全隔離網(wǎng)閘無法響應(yīng)正常的連接請求,由此出現(xiàn)的網(wǎng)絡(luò)故障時有發(fā)生。
安全隔離網(wǎng)閘的操作系統(tǒng)內(nèi)置獨立的入侵檢測功能和抗DDOS攻擊功能將成為必需。其入侵檢測功能要與系統(tǒng)緊密集成,包括包解碼、規(guī)則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機(jī)制和自動響應(yīng)技術(shù),可選擇配置不同的攻擊特征碼,并且支持攻擊特征碼分類,可根據(jù)大類進(jìn)行特征碼選擇。攻擊的特征庫應(yīng)包括掃描攻擊、SMTP攻擊、HTTP攻擊、FTP攻擊等多類攻擊,可以檢測到網(wǎng)絡(luò)中的絕大多數(shù)入侵行為,可以實時設(shè)置阻斷規(guī)則,將入侵及時阻斷。
市場需求是產(chǎn)品技術(shù)發(fā)展的指揮棒,用戶的迫切需求需要具有研發(fā)實力和市場遠(yuǎn)見的安全隔離網(wǎng)閘廠商來完成。
技術(shù)發(fā)展需要
安全隔離與信息交換系統(tǒng)(以下簡稱“網(wǎng)閘”)的三項關(guān)鍵技術(shù)是:硬件隔離,信息擺渡,應(yīng)用層的細(xì)粒度檢查。
網(wǎng)閘作為對網(wǎng)絡(luò)保護(hù)程度接近于物理隔離的安全產(chǎn)品,首先要在硬件上實現(xiàn)物理隔離。因此,網(wǎng)閘的硬件架構(gòu)上就要是“2+1”,即有兩個主機(jī)模塊和一個隔離交換模塊。現(xiàn)在除了個別廠商采用兩個主機(jī)模塊直接連接之外,大部分廠商都是采用“2+1”的架構(gòu),只是各自的交換模塊設(shè)計方式不同。現(xiàn)在國內(nèi)網(wǎng)閘業(yè)內(nèi)的交換模塊設(shè)計主要有三類實現(xiàn)方式:專有隔離交換硬件、與主機(jī)模塊相同的主機(jī)和數(shù)據(jù)存儲模塊。基于要在硬件上實現(xiàn)物理隔離的原則,就要求三個模塊的系統(tǒng)必須互相獨立,并且通過隔離交換模塊控制開關(guān)的切換確保兩個主機(jī)系統(tǒng)任何時刻不直接相連。
網(wǎng)閘支持的應(yīng)用通常包括數(shù)據(jù)庫的同步和訪問、文件交換、郵件交換和訪問、HTTP訪問、FTP訪問等等。對于各種應(yīng)用的控制強(qiáng)度和在應(yīng)用層的檢查力度是檢驗各廠商產(chǎn)品的安全防護(hù)能力的驗金石。
用戶安全需要
現(xiàn)在我國各級政府的網(wǎng)絡(luò)建設(shè)重心已經(jīng)由最初的面子工程轉(zhuǎn)變成為各級政府電子政務(wù)提供基礎(chǔ)應(yīng)用平臺。政府的網(wǎng)絡(luò)基礎(chǔ)建設(shè)已經(jīng)基本完成,如網(wǎng)上報稅、網(wǎng)上工商、政府辦公大廳等網(wǎng)絡(luò)應(yīng)用已經(jīng)開始全面展開,大大地方便了公民或企業(yè)辦事。這些應(yīng)用都要求各政府單位的業(yè)務(wù)網(wǎng)與國際互聯(lián)網(wǎng)直接或者間接的進(jìn)行連接,同時各政府單位又擔(dān)心安全和保密問題。網(wǎng)閘基于其自身的高安全性,因此是解決此問題的最佳選擇。網(wǎng)閘以自身的安全隔離特性和極高的檢測機(jī)制保證了其保護(hù)的網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)不會被入侵。在高安全需求的網(wǎng)絡(luò)環(huán)境下,網(wǎng)閘正在全面取代防火墻。
聯(lián)想網(wǎng)御通過多年防火墻的研發(fā)積蓄了豐富的硬件設(shè)計、訪問控制、主機(jī)安全防護(hù)、數(shù)據(jù)深層次檢查等安全產(chǎn)品研發(fā)經(jīng)驗。很多安全技術(shù)就已經(jīng)成功移植到網(wǎng)閘上,例如多機(jī)負(fù)載均衡技術(shù)的移植,使聯(lián)想網(wǎng)御網(wǎng)閘最大支持32節(jié)點群集,無需任何第三方負(fù)載均衡軟硬件支持。
經(jīng)過多年的高速增長,聯(lián)想網(wǎng)御積累了雄厚的資金,從而保障了網(wǎng)御產(chǎn)品擁有相當(dāng)數(shù)量的、穩(wěn)定的、高素質(zhì)的研發(fā)人員,使聯(lián)想網(wǎng)御的網(wǎng)閘技術(shù)能夠傲視群雄,不斷開拓新的市場。同時還有遍布全國的服務(wù)體系,可以全方位的7×24小時的支持,保證了用戶的利益和安全。
關(guān)鍵詞:信息安全技術(shù);知識點;教學(xué)實踐;計算機(jī)科學(xué)與技術(shù);網(wǎng)絡(luò)工程;軟件工程
中圖分類號:G64 文獻(xiàn)標(biāo)識碼:B
1引言
計算機(jī)網(wǎng)絡(luò)和通信的融合是促進(jìn)信息化社會發(fā)展的最活躍的因素之一。計算機(jī)與信息技術(shù)的發(fā)展為其他高新技術(shù)產(chǎn)業(yè)的發(fā)展起到十分重要的帶動和示范作用。計算機(jī)與信息技術(shù)的發(fā)展和應(yīng)用離不開信息的安全,信息安全是構(gòu)建整個社會信息化的根本保證。只有實現(xiàn)了信息的安全,才能確保電子政務(wù)、電子商務(wù)、網(wǎng)絡(luò)科研、網(wǎng)絡(luò)銀行、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行、真正造福于人類。
目前,國際上不少大學(xué)開設(shè)了信息安全學(xué)科專業(yè)或者信息安全相關(guān)課程[1~3],國內(nèi)則已有幾十所高校開辦有信息安全本科專業(yè),為國家和社會培養(yǎng)了一批掌握信息安全理論與技術(shù)的專門人才,這些信息安全專業(yè)畢業(yè)生的數(shù)量與社會的需求仍存在較大差距。另一方面,國家對于開設(shè)信息安全專業(yè)有許多規(guī)定和要求,并不是什么學(xué)校都可以開辦該專業(yè)的。此外,幾乎所有高校均舉辦有計算機(jī)科學(xué)與技術(shù)專業(yè)或者網(wǎng)絡(luò)工程專業(yè)或者軟件工程專業(yè)或者其他相近專業(yè),而且在實際工作中,無論是過去、現(xiàn)在還是將來,許多計算機(jī)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)信息系統(tǒng)、軟件系統(tǒng)都是由計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程和軟件工程專業(yè)的畢業(yè)生設(shè)計、開發(fā)的。我們知道,只有從系統(tǒng)設(shè)計伊始就考慮信息安全需求與信息安全技術(shù)運(yùn)用,才有可能使得開發(fā)出的信息系統(tǒng)是穩(wěn)定可靠和安全實用的。因此,探討計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科信息安全技術(shù)知識點及其教學(xué)方法,培養(yǎng)學(xué)生的信息安全意識,訓(xùn)練學(xué)生運(yùn)用所學(xué)的信息安全技術(shù)知識去設(shè)計、開發(fā)安全可靠的計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫應(yīng)用系統(tǒng)等,是這些專業(yè)本科教學(xué)改革與實踐的一項重要的現(xiàn)實任務(wù)。
2各專業(yè)本科教學(xué)的信息安全技術(shù)知識點
結(jié)合信息安全學(xué)科發(fā)展趨勢[4],我們認(rèn)為計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程等專業(yè)的本科生,應(yīng)當(dāng)學(xué)習(xí)如下信息安全技術(shù)知識點并逐步加以運(yùn)用。
(1) 信息安全基本概念
信息安全研究范疇,信息安全系統(tǒng),信息安全體系結(jié)構(gòu),信息安全模型,信息安全管理、信息安全標(biāo)準(zhǔn)與法規(guī)。
(2) 計算機(jī)設(shè)備與芯片安全
(3) 密碼技術(shù)
DES對稱密碼,RSA公鑰密碼,ECC橢圓曲線密碼,量子密碼,密鑰管理與密鑰恢復(fù)技術(shù),公鑰基礎(chǔ)設(shè)施PKI,基于口令、智能卡和生物信息的身份認(rèn)證機(jī)制,基于私鑰和公鑰密碼體制的信息認(rèn)證技術(shù),Kerberos認(rèn)證系統(tǒng)與X.509標(biāo)準(zhǔn);安全單向HASH算法,數(shù)字簽名技術(shù)與標(biāo)準(zhǔn);信息隱藏與數(shù)字水印技術(shù)。
(4) 數(shù)據(jù)庫安全
數(shù)據(jù)庫加解密技術(shù),數(shù)據(jù)庫系統(tǒng)訪問控制技術(shù)。
(5) 操作系統(tǒng)安全
操作系統(tǒng)安全機(jī)制,Windows操作系統(tǒng)安全,Unix操作系統(tǒng)安全,Linux操作系統(tǒng)安全,Solaris操作系統(tǒng)安全。
(6) 計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全
計算機(jī)病毒及其防治技術(shù),網(wǎng)絡(luò)協(xié)議TCP/IP、HTTP的安全,電子郵件系統(tǒng)安全,網(wǎng)絡(luò)互連設(shè)備安全,安全電子商務(wù)協(xié)議,入侵檢測技術(shù)。
(7) 應(yīng)用程序安全與可信軟件技術(shù)
應(yīng)用程序安全,軟件可靠性,軟件質(zhì)量預(yù)測,可信軟件測試,可信軟件開發(fā)與維護(hù)控制。
3各專業(yè)本科信息安全技術(shù)知識教學(xué)實施方法
在計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科教學(xué)計劃中,獨立地開設(shè)六、七門課程來講授前述所列的信息安全技術(shù)知識點,將占用較多學(xué)時,顯然是不現(xiàn)實的;而且如果這樣做的話,這三個專業(yè)幾乎演變成信息安全專業(yè)了。我們認(rèn)為,計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科信息安全技術(shù)知識的教學(xué)既要有一定的寬度和深度以最大程度地獲得更好的教學(xué)效果,又要體現(xiàn)出與信息安全專業(yè)本科教學(xué)的區(qū)別。
在計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科實施信息安全技術(shù)知識點的教學(xué),一種做法是單獨開設(shè)一門“信息安全技術(shù)”課程,將前述知識點集中講授。這樣做的優(yōu)點是,通過該課程的學(xué)習(xí),學(xué)生們可以在短時間內(nèi)對信息安全技術(shù)知識獲得整體的了解與認(rèn)識。但是,前述所列的信息安全技術(shù)知識點與計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)其他課程的內(nèi)容聯(lián)系十分緊密,真正理解這些知識點并加以運(yùn)用需要學(xué)生具有相關(guān)的專業(yè)課程背景知識(例如,理解關(guān)系數(shù)據(jù)庫加密的特征與過程必須具有關(guān)系數(shù)據(jù)庫理論與技術(shù)方面的知識)。因此,如果在開設(shè)相關(guān)專業(yè)課程之后再獨立開設(shè)“信息安全技術(shù)”課程,那么由于課時安排受限的關(guān)系以及授課教師專長有所不同,在授課過程中將信息安全技術(shù)各知識點與學(xué)科專業(yè)其他課程聯(lián)系以及將信息安全技術(shù)知識應(yīng)用于實際問題的設(shè)計與求解的闡述可能就不夠深入;另一方面,如果在低年級就開設(shè)“信息安全技術(shù)”課程,那么學(xué)生們由于缺乏學(xué)科專業(yè)知識的支撐,一時半會難以理解授課內(nèi)容。
為了解決上述矛盾,我們建議的實施方法是,首先聘請在計算機(jī)與信息安全學(xué)科具有較高學(xué)術(shù)造詣和豐富教學(xué)實踐經(jīng)驗的教授在大學(xué)低年級為學(xué)生開設(shè)“信息安全講座”,以使得學(xué)生們對信息安全技術(shù)有一個概括性的認(rèn)識;然后,融合信息安全技術(shù)知識的傳授貫穿于計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科教學(xué)的全過程,將有關(guān)信息安全技術(shù)知識點的講授有機(jī)地集成到相關(guān)專業(yè)課程的教學(xué)實踐過程中,如下表所示。
在計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科相關(guān)課程實施我們提出的這種信息安全技術(shù)知識教學(xué)方法對專業(yè)課程任課教師來說既是必要的又是可行的,例如“數(shù)據(jù)庫系統(tǒng)”課程的任課教師除了具備堅實的數(shù)據(jù)庫系統(tǒng)理論和技術(shù)知識之外,也應(yīng)當(dāng)比較熟悉數(shù)據(jù)庫加解密和數(shù)據(jù)庫系統(tǒng)訪問控制技術(shù)(這些其實也是數(shù)據(jù)庫系統(tǒng)課程的一部分內(nèi)容),這樣講授如何將數(shù)據(jù)庫安全技術(shù)知識應(yīng)用到數(shù)據(jù)庫應(yīng)用系統(tǒng)的設(shè)計與開發(fā)中就是一件很自然的事情。
4結(jié)束語
進(jìn)入21世紀(jì)以來,高等院校除了開辦信息安全本科專業(yè)批量培養(yǎng)信息安全技術(shù)專門人才之外,在計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程等信息類專業(yè)本科教學(xué)中講述信息安全技術(shù)知識也已經(jīng)成為共識,雖然各校講授信息安全技術(shù)知識點內(nèi)容的多少、深淺以及側(cè)重點有所不同,實施教學(xué)方法也各有秋千。
我們提出的計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科信息安全技術(shù)知識點及其教學(xué)方法已在廣西大學(xué)實施多年,取得了良好的效果,具體表現(xiàn)為這些專業(yè)不少學(xué)生的本科畢業(yè)設(shè)計課題就是信息安全技術(shù)方面的、畢業(yè)受聘的工作崗位是直接從事信息安全技術(shù)開發(fā)與維護(hù)工作,也有相當(dāng)?shù)谋究飘厴I(yè)生考上了信息安全技術(shù)專業(yè)方向的研究生。
本文結(jié)合信息安全學(xué)科發(fā)展趨勢和自身的教學(xué)實踐,探討了計算機(jī)科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、軟件工程專業(yè)本科的信息安全技術(shù)知識點以及教學(xué)實施方法,期望它能起到拋磚引玉的作用。
參考文獻(xiàn)
[1] Erik Hjelmas, Pstephen D. Wolthusen. Full-spectrum information security education: integrating B.Sc., M.Sc., and Ph.D. programs. Proceedings of the 3rd annual conference on information security curriculum development, New York: ACM Press, 2006:5-12.
[2] Matt Bishop. Education in information security. IEEE Concurrency, 2000,8(4):4-8.
關(guān)鍵詞:網(wǎng)絡(luò)設(shè)備;SSID;AP;無線網(wǎng)絡(luò)控制器;VLAN
一無線網(wǎng)絡(luò)技術(shù)簡介
無線網(wǎng)絡(luò)的飛速發(fā)展給人們的工作和生活帶來了極大的便利。(一)靈活以及廉價。(二)沒線纜約束。
二無線網(wǎng)絡(luò)安全隱患分析
非授權(quán)的用戶若獲得了無線網(wǎng)絡(luò)的訪問權(quán)限,將會破壞系統(tǒng)數(shù)據(jù),消耗網(wǎng)絡(luò)帶寬,降低網(wǎng)絡(luò)的性能。
三無線網(wǎng)絡(luò)安全措施分析
(一)轉(zhuǎn)向企業(yè)級加密用戶們使用PSK模式進(jìn)行登錄,對每一個用戶和會話都是唯一的。(二)確保物理上的安全性一定要保證你的接入點AP遠(yuǎn)離公眾可以接觸的地方,最起碼應(yīng)該將其掛到墻上或天花板上。(三)裝入侵檢測和入侵防御系統(tǒng)這兩種系統(tǒng)通常靠一個軟件來工作,并且使用戶的無線網(wǎng)卡來嗅探無線信號并查找問題。(四)構(gòu)建無線使用策略正如需要其它網(wǎng)絡(luò)設(shè)備的使用指南一樣,你也應(yīng)當(dāng)有一套針對無線訪問的使用策略。
四東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案
學(xué)校對無線網(wǎng)絡(luò)的需求特征分析上,安全因素被放在了首位。(一)校園無線網(wǎng)絡(luò)安全問題的提出在當(dāng)今使用中,大多數(shù)校園的無線局域網(wǎng)主要是依靠WEP方式對數(shù)據(jù)進(jìn)行加密。其次,如果AP不做任何安全設(shè)定,則任何一個符合Wi-Fi的網(wǎng)卡都可以接入網(wǎng)絡(luò)。另外,黑客還可能會使用MAC欺騙技術(shù)入侵網(wǎng)絡(luò)。下面根據(jù)東莞市某職業(yè)院校無線網(wǎng)絡(luò)應(yīng)用的需求和要達(dá)到的目標(biāo),整體規(guī)劃設(shè)計出一套適用于東莞市某職業(yè)院校的無線安全應(yīng)用方案。(二)東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案概述該解決方案采用了WPA安全架構(gòu)的設(shè)計,還應(yīng)用了基于英特爾架構(gòu)的無線網(wǎng)絡(luò)控制器和支持多SSID的AP。(三)東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案實施下面以東莞市某職業(yè)院校的校園無線網(wǎng)項目為例,詳細(xì)地闡述應(yīng)用方案。(1)無線網(wǎng)絡(luò)呈現(xiàn)的問題分析與應(yīng)用解決方案由于存在不同地點的校區(qū),學(xué)校的教職員工不得不在不同的校區(qū)來回,同時教學(xué)場所也經(jīng)常在各校區(qū)之間變換,這讓校園網(wǎng)絡(luò)出現(xiàn)了難題:①如何讓校園網(wǎng)絡(luò)覆蓋兩個不同位置的校區(qū)?②如何提供無縫的網(wǎng)絡(luò)連接?③如何保證網(wǎng)絡(luò)安全通暢?④如何提高教學(xué)和學(xué)習(xí)效率?針對學(xué)校面臨的以上難題,對無線網(wǎng)絡(luò)應(yīng)用方案確定如下:⑤無線網(wǎng)絡(luò)信號覆蓋兩個不同的校區(qū)。⑥提供無縫的網(wǎng)絡(luò)漫游。⑦保障無線網(wǎng)絡(luò)安全性。⑧提供不同的接入認(rèn)證方式。(2)無線網(wǎng)絡(luò)技術(shù)應(yīng)用方案的確定為了構(gòu)建一個統(tǒng)一的、易接入的、穩(wěn)定安全的校園無線網(wǎng)絡(luò)環(huán)境,現(xiàn)決定采用以下解決方案:①全面采用筆記本電腦作為無線終端。②采用符合802.11標(biāo)準(zhǔn)的產(chǎn)品,架構(gòu)采用WPA標(biāo)準(zhǔn)。③采用具有多SSID和VLAN特性的AP進(jìn)行基礎(chǔ)覆蓋。④采用無線網(wǎng)絡(luò)接入控制器。⑤采用無線網(wǎng)絡(luò)管理系統(tǒng)。(3)無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用的實施該方案使得整個校園無線網(wǎng)絡(luò)具有高度可擴(kuò)展性和可升級性,提出了校園無線網(wǎng)絡(luò)的整體應(yīng)用方案。如圖4.1所示:在無線網(wǎng)絡(luò)方案中,各無線覆蓋區(qū)域的AP就近接到接入層交換機(jī)上。因為存在校內(nèi)教師、學(xué)生和校外來訪用戶等不同的無線用戶群,出于不同用戶群對安全性、易用性要求不同的考慮,采取802.1x和WEB認(rèn)證相結(jié)合的方式來提供用戶身份認(rèn)證。為了區(qū)分這兩種接入方式并將其分別關(guān)聯(lián)到一個對應(yīng)的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①對于在校內(nèi)的學(xué)生和教師用戶,將采用符合WPA安全架構(gòu)的802.1x標(biāo)準(zhǔn)認(rèn)證的接入方式,通過的用戶將獲得一個唯一的主密鑰,通過該主密鑰客戶端和負(fù)責(zé)接入的AP將根據(jù)TKIP方法動態(tài)生成唯一的加密密鑰。在校園有線網(wǎng)L3分布層交換機(jī)上配置VLAN的子接口,利用該子接口作為這個SSID所代表的VLAN的網(wǎng)關(guān),對其進(jìn)行路由轉(zhuǎn)發(fā),從而使通過認(rèn)證的內(nèi)部用戶訪問整個網(wǎng)絡(luò),但是由于對無線通信進(jìn)行了動態(tài)加密,保證了校園的敏感數(shù)據(jù)在空中傳輸?shù)陌踩"趯τ谟肳EB方式認(rèn)證的校外來訪用戶,連接上無線接入點后,可以通過AC設(shè)備的DHCP服務(wù)或企業(yè)的專用DHCP服務(wù)器獲得IP地址、網(wǎng)關(guān)和DNS信息,無須安裝客戶端軟件,直接利用瀏覽器就可以通過充當(dāng)RNC設(shè)備進(jìn)行WEB方式認(rèn)證,認(rèn)證通過后就可以接入到Internet。為保證整個園區(qū)網(wǎng)絡(luò)的安全性,對于該SSID接入的用戶必須以無線網(wǎng)絡(luò)控制器(RNC)作為其網(wǎng)關(guān)設(shè)備,L3分布層交換機(jī)無須對該SSID所代表的VLAN進(jìn)行路由轉(zhuǎn)發(fā)。如果這些用戶需要訪問校園內(nèi)部網(wǎng)絡(luò),可以通過在這一無線網(wǎng)絡(luò)控制器(RNC)設(shè)備上啟用用戶級的策略路由來實現(xiàn)。(四)校園無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案總結(jié)(1)安全性高這套無線局域網(wǎng)系統(tǒng)支持符合WPA安全架構(gòu)的802.1x認(rèn)證方式,借助TKIP技術(shù)動態(tài)生成的數(shù)據(jù)加密密鑰使空中無線數(shù)據(jù)通信如同在一條加密隧道中傳輸,保證了信息傳輸?shù)母甙踩浴#?)支持多SSID和VLAN劃分CiscoAironet1200系列AP支持多SSID,每個都可以映射到有線網(wǎng)絡(luò)的一個VLAN,將符合802.1q標(biāo)準(zhǔn)的VLAN延伸到無線網(wǎng)絡(luò)上。(3)利用策略路由進(jìn)行訪問控制在方案中,將校園無線用戶分成兩類,一是教師用戶,一是學(xué)生用戶。為了讓學(xué)生能通過網(wǎng)絡(luò)與其它院校的師生進(jìn)行交流,但同時又不想Internet上的垃圾信息和不良網(wǎng)站干擾學(xué)生的生活,那么可以設(shè)置學(xué)生用戶的下一跳路由到CERNET,而教師用戶的下一跳則是路由到Internet出口,從而實現(xiàn)了不同無線用戶群體的訪問需求。(4)流量控制保證用戶帶寬通過RNC的流量控制功能將不同用戶的帶寬按不同需要進(jìn)行管理,保證某些重要用戶的帶寬暢通,有效防止了帶寬過量占用的拒絕服務(wù)攻擊。(5)AP管理和用戶管理通過RNC的AP管理功能,可以把其所連的AP作為一個網(wǎng)絡(luò)單元進(jìn)行管理,結(jié)合網(wǎng)管系統(tǒng)還可以將RNC作為SNMP(簡單網(wǎng)絡(luò)管理協(xié)議),對這些AP進(jìn)行管理。無線網(wǎng)絡(luò)管理員可以通過“Web3.教學(xué)管理制度與考核制度教學(xué)管理工作由院校雙方共同承擔(dān),遵照共同制定的人才培養(yǎng)方案和教學(xué)計劃開展教學(xué),學(xué)徒制工作小組定期巡視現(xiàn)場教學(xué),了解教學(xué)基本情況,收集意見和建議。考核制度上實行理論課程考核、專業(yè)核心課程考核和畢業(yè)考核。理論課程的教學(xué)主要在學(xué)校完成,由學(xué)校組織筆試+實踐考核;專業(yè)核心課程主要在合作醫(yī)院完成,由現(xiàn)代學(xué)徒制工作小組組織臨床實踐+技能考核;畢業(yè)考核采用綜合專業(yè)理論筆試+專業(yè)核心能力鑒定+病案報告考核,由現(xiàn)代學(xué)徒制工作小組組織實施。學(xué)生只有通過以上考核才能獲取康復(fù)治療技術(shù)專業(yè)專科畢業(yè)證。4.現(xiàn)代學(xué)徒制實施存在的問題現(xiàn)代學(xué)徒制教育是高職院校發(fā)展的基本趨勢,是推動我國職業(yè)教育發(fā)展的有力武器,但目前我國現(xiàn)代學(xué)徒制成功應(yīng)用到衛(wèi)生職業(yè)教育的模式還很少,離醫(yī)教結(jié)合、工學(xué)交替模式還有很大的差距,主要表現(xiàn)在以下幾個問題:(1)法律體制不健全。合理、完善、有效的職業(yè)教育法律法規(guī)是保障學(xué)徒制推行的基本前提,衛(wèi)計委和教育行政部門應(yīng)當(dāng)充分發(fā)揮宏觀調(diào)控和管理功能,修訂和完善相關(guān)法律法規(guī),在政策、經(jīng)費(fèi)上給予充足的保障,充分調(diào)動醫(yī)院、衛(wèi)生行業(yè)的積極性,使醫(yī)院在人才培養(yǎng)意識上具有社會責(zé)任感和使命感。(2)行業(yè)學(xué)會支持力度不夠。行業(yè)協(xié)會應(yīng)對職業(yè)教育充分發(fā)揮其引導(dǎo)和管理作用,一方面積極鼓勵醫(yī)院參與到職業(yè)教育中來,在科研、繼續(xù)教育、職稱晉升等方面給予醫(yī)院兼職教師相關(guān)優(yōu)惠政策。另一方面在人才培養(yǎng)規(guī)格上引導(dǎo)學(xué)校和醫(yī)院結(jié)合康復(fù)治療師的崗位需求與國際標(biāo)準(zhǔn)接軌,不斷更新修訂康復(fù)治療技術(shù)專業(yè)標(biāo)準(zhǔn)、教學(xué)內(nèi)容和執(zhí)業(yè)資格考試標(biāo)準(zhǔn)。(3)雙導(dǎo)師師資力量薄弱。學(xué)校導(dǎo)師應(yīng)定期到醫(yī)院臨床實踐予以相關(guān)的考核和激勵機(jī)制,提高學(xué)校導(dǎo)師實踐教學(xué)能力;醫(yī)院導(dǎo)師應(yīng)有計劃的進(jìn)行職業(yè)教育教學(xué)理念的學(xué)習(xí)、教學(xué)方法執(zhí)教能力的培訓(xùn),使其具備先進(jìn)的職業(yè)教育教學(xué)理念和教育教學(xué)方法。現(xiàn)代學(xué)徒制能讓康復(fù)治療技術(shù)專業(yè)實現(xiàn)符合現(xiàn)代職業(yè)教育理念的產(chǎn)教融合,是目前所提倡的工學(xué)結(jié)合教學(xué)模式的載體和有效實現(xiàn)形式,更是當(dāng)前發(fā)達(dá)國家職業(yè)教育的主導(dǎo)模式。高等院校和相關(guān)醫(yī)院深度合作、雙導(dǎo)師聯(lián)合傳授技能,符合行業(yè)發(fā)展規(guī)律,有利于加速衛(wèi)生事業(yè)的發(fā)展、服務(wù)當(dāng)?shù)貐^(qū)域經(jīng)濟(jì)轉(zhuǎn)型升級。
參考文獻(xiàn)
[1]趙蕾.現(xiàn)代學(xué)徒制對高職高專院校人才培養(yǎng)模式的影響及應(yīng)用研究[J].職業(yè)教育,2015(9):37.
[2]關(guān)晶,石偉平.西方現(xiàn)代學(xué)徒制的特征及啟示[J].職業(yè)技術(shù)教育,2011(31)32:77-79.
