信息技术安全教育范文
发布时间:2023-09-24 15:39:36
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇信息技术安全教育范例,将为您的写作提供有力的支持和灵感!
篇1
美国心理学家布鲁纳说:“学习的最好刺激乃是对学习材料的兴趣。”兴趣是孩子学习的基础,是孩子积极主动学习的起点,是获得知识的开始。在教学过程中,我们充分利用多媒体技术把声音、图像、文字、动画、影视等有机地结合起来,创设充满动感和趣味的情境,设计引人入胜的情节,给幼儿一种新鲜的、动态的感官刺激,提高幼儿的关注度,激发其学习兴趣,使其获得正确的安全认知。例如:中班安全活动《小鸭历险记》在课件制作中通过运用多媒体技术将小鸭遇到的各种危险图片进行编辑、组合,配以音响效果,虚拟了小鸭历险的各种自然场景,让幼儿在虚拟的情境中探险,身临其境地根据需要选择工具解决遇到的问题,排除障碍,轻松习得一些简单的自我保护知识。整个活动,幼儿学习兴趣浓厚,活动氛围轻松愉快,教学成效明显。
二、使用多样化的教学手段,变静态为动态
信息技术能将静止的、抽象的内容变成生动形象的音像结合的复合体,将教师难以用语言表达的原理、现象生动而有条理地表现出来,将孩子难以理解的概念、规律直观而又形象地揭示出来,很好地帮助幼儿理解生活中的一些安全隐患。如:把安全教育制作课件,配上优美的音乐、熟悉的卡通人物、动感的画面……运用多媒体技术的特殊功能,将事物重点或细节部分突出放大、慢放画面、循环播放、重要片段反复播放等,从而使幼儿了解事情发生、发展和变化的过程及状态。如:对年幼的孩子来说地震是什么样子、房子怎么会摇摆、倒下,太难想象,演练时他们还会觉得像是玩游戏,而不能认真对待,达不到演练的效果。利用多媒体网络再现地震的画面和不懂自我保护造成的严重后果,让幼儿理解地震对人造成的伤害,从而提高幼儿的认知,使其逐步掌握逃生的方法。
三、捕捉日常瞬间,变无形为有形
有这样一句话:“听过了很快就忘记了,看到了很快就记住了。”因此我们通过手机拍摄捕捉孩子活动的瞬间,变无形为有形,然后让幼儿观看自己活动的情景,帮助其掌握正确的活动方法,提高自我保护能力。如:中班安全教育活动《安安全全玩滑梯》,拍摄了平时幼儿玩滑梯的情景,运用多媒体技术画面的放大、放慢、定格等多种手段,让幼儿通过仔细观察,主动思考、探索、讨论出哪些是正确的玩法,哪些是危险的、不安全的,这样让幼儿真实感知,不但容易理解,而且知识完整、印象深刻,并逐步内化为正确的行为技能,多媒体教技术引入安全教育活动,给活动注入了新的生机和活力。
四、拓宽知识领域,变单一为多样
运用多媒体信息技术,可以搜寻大量为幼儿园安全教育内容服务的网络资料、Flash课件、电视片段等,多渠道向幼儿提供与安全教育内容相关的信息,满足幼儿的好奇心,扩大幼儿的认知范围。如:当幼儿看到电视新闻里小朋友因玩火不慎造成伤害时,都脸色凝重,纷纷议论:“大火好厉害呀,把整个房子都烧了,太可怕了!”“大火把人都烧伤了,该有多疼呀!”看到小朋友在超市追逐玩耍,造成摔伤、夹伤、撞伤等意外伤害时,纷纷指责其行为的不当……运用多媒体让孩子直观地感受到意外的发生就在自己身边,在幼儿理解的基础上,老师进行教育,孩子们很快就能接受,懂得怎样避免伤害,意外发生后该怎么办,自我保护能力也得到提高。
五、解决教育难点,变抽象为具体
篇2
1掌握学情,有的放矢
开学初,教师应该对学生进行一次信息技术方面的问卷调查,调查学生对于信息技术及安全知识的认知程度。利用开学初期的一节课或两节课时间与学生探讨:人们利用计算机能干什么事情?我们为什么要进行信息技术的学习?通过信息技术这门课程,你想学习哪些知识和技能?你认为应如何上好信息技术课?对这些问题的探讨,使学生们重新审视无处不在的信息技术,重新认识对计算机及网络作用。而后教师可以调查一下学生的其他兴趣爱好,比如绘画、写作、计算、音乐等,并且根据他们的爱好进行信息技术学习分组。俗话说,知已知彼,百战不殆。只有对学生先做了解,才能在接下来的教学过程中有针对性地进行信息安全方面的引导和教育。尤其是对于那些在信息安全方面问题比较严重的学生,可以考虑多方面进行干预和引导。在接下来的教学过程中,教师除了向学生教授信息技术教材的基本内容之外,还可以针对不同的兴趣小组,结合信息技术知识,设置不同的学习内容,并安排他们完成相应的任务。比如,对于喜欢绘画设计的兴趣小组学生,教师可以根据其所处的年龄段,向兴趣小组学生介绍相应的绘图软件操作,并推荐绘图设计相关网站。引导学生接触到相关知识后,教师的教学指导工作最好能与学生的兴趣点和认知点同步,因人而异、因时制宜,指引学生不断学习和提高。需要说明的是,这里的内容不宜太大太多,应与学生的认知发展水平相一致。当然,这里对教师的知识结构要求比较高,教师要关注到班级里每一个兴趣小组,甚至每一名学生的知识发展情况,有时甚至还需要计算机学科教师和兴趣小组对应的学科教师联合起来进行针对性的指导,真正做到对症下药、因材施教。这样一路做下来,学生的时间和精力被有意义的内容占用和吸引住了,自然也较少出现沉迷网络方面的问题。
2科学引导,绿色上网
在开学之初,教师还要利用一节课的时间让学生讲述身边听到或看到的青少年由于沉迷网络而受到巨大伤害的真实故事,从而引导他们思考“上网该做些什么,不该做些什么”“怎样看待网络游戏”等问题。教师平时可以收集一些真实的案例作为素材,用一些震撼性的事件或图片视频展示给学生,从而在学生的脑海里对浏览不良网站所造成的巨大危害或网络违法犯罪行为所造成的严重后果留下深刻的印象,使他们自觉远离网络游戏,或其他有损于自己身心健康的网站和网络信息。在教学过程中,教师要积极引导学生树立正确的网络观,多向学生推荐一些专业的绿色的网站,保证孩子们在网上既获取了知识,又避免不良信息的毒害和侵蚀。要适时地在学生中开展网络道德教育,构建规范的网络伦理;要对学生多加强网络法制教育,防止网络犯罪。并且结合具体的案例进行分析说明,让学生充分认识网络世界存在的虚拟性、游戏性和危险性。使学生知悉,哪些网站是可以上的,哪些是不宜上的;让学生明白,在网络上,哪些行为是可以做的,哪些行为是禁止的。帮助学生树立健康的上网意识,保持对待网络的正确心态。
3家校共管,健康上网
篇3
兖矿鲁南化肥厂(以下简称鲁化)作为一个具有四十余年化工生产历史的企业。近年来,生产经营、人员输出、项目建设、改革改制任务繁重,给安全管理带来更大的挑战。面对安全管理的严峻形势,企业充分发挥科技创新优势,积极探索利用信息化手段改进和提升安全教育培训水平,将网络信息技术与企业自身实际情况相结合,构架起符合鲁化自身状况、具有企业特色的安全信息网络平台。通过安全信息网络平台,实施阳光安全教育培训,使全员安全素质和安全意识明显提升,进一步巩固了企业良好的安全发展态势。截至2011年12月31日,累计实现安全生产4169天。
一、安全信息网络平台系统的建立
(一)安全管理办公自动化系统
包括公文管理、公共信息、电子邮件以及其它应用等模块,根据安全生产的需要,在内部网站上专设了安全新闻、基层安全通讯、部门安全动态、安监在线、安全生产分析、安全文件、和谐鲁化、“集思广益”等栏目,实现信息共享、公开透明,提高了员工安全意识,自觉参与安全生产管理。
(二)重大危险源视频监控系统
利用厂内局域网已铺设的主干光纤网络,设置重大危险源监控点10个,关键部位监控点12个,使网络系统与监控系统结合,通过网络实现远端监控,可多人同时监控多个点,即时传输图像,无距离限制,传输图像无损失,图像式感官刺激,激发了员工安全生产热情,各部门领导及相关人员均可利用计算机监控相应地点情况,及时掌握并迅速处理突况。
(三)网上培训、考试与积分系统
创新安全培训管理,开发了网上培训学习系统。针对人员分散、倒班员工不易集中的特点,利用现有网络设立专栏,设立安全考试题库和考核积分系统,使各单位充分了解、掌握企业安全培训信息,更好地组织培训和管理,实现了网上培训与考核。
(四)企业信息系统
在内部网企业安全管理信息,并利用手机短信群发系统,实现企业资料管理、个人资料管理、信息发送管理等,进一步提高了员工安全意识。
二、信息网络平台在安全教育培训上的应用
(一)建立科学的管理制度,保证安全教育培训有效运行
为了使员工广泛、及时、迅速掌握生产单位的安全运行、安全管理、安全隐患排查和治理、设备检修、危化品的监控等情况,实现安全工作动态监控,更好地服务和支持安全生产工作。企业制定和完善了《安全教育管理信息制度》、《兖矿鲁南化肥厂安全教育工作体系》等,要求各生产单位每天9:00将本单位安全生产有关情况的信息在内部网上相关安全管理栏目。厂安全监察处设专人负责信息管理,对有关建议、意见及安全管理方面的需求及时予以答复和服务。
(二)依托办公自动化系统(OA),实现“四全”安全管理
1、建立安监在线,对安全管理过程实施实时跟踪监控
为进一步强化安全管理,我厂自主开发了安监在线软件。“安监在线”栏目设有干部下现场反馈情况、当日单位出勤情况、当日安全活动开展情况、当日外来施工单位情况、当日动火作业基本情况、当日检修项目基本情况、当日安全检查基本情况及安监在线历史查询十个子栏目,通过授权,各处室、分厂将有关信息及时上传到相应栏目,每天更新。全体员工均可了解现场人员、检修、施工等具体情况,使各级管理人员有的放矢地深入现场监督检查,从而发现问题、查找原因、落实责任、制定措施、督促整改、检查验收,通过完善的闭环管理,培养和锻炼了员工良好的安全专业素质。
2、实施安全生产分析
创新安全理念,坚持“每周一三五安全分析制度”。积极发动全厂各单位创新安全思维,以生产现场存在的问题或现象为切入点,收集安全管理上存在的问题,进而分析原因,提出见解或解决办法,在厂内部网上相互交流学习。通过案例式剖析,一方面对出现的问题从全局角度进行综合分析,提出整改措施并进行跟踪,避免“头疼医头、脚疼医脚”;另一方面正面引导挖掘安全管理过程中的亮点,给其他单位以借鉴。通过安全分析,为全厂员工提供了一个学习、思考、借鉴的平台,从而达到减少和控制危害、事故,更好地促进了安全生产工作。
3、及时反映基层安全动态。
企业内部网设有安全新闻、基层安全通讯和部门安全动态等安全氛围营造版块,由党务工作处和各基层单位根据总厂和各单位实际安全生产情况天天更新内容。为鼓励安全信息的,成立安全教育培训通讯员网络,定期授课,布置安全生产宣传重点,并对各单位安全教育培训情况实施奖惩考核。引导安全教育培训通讯员及时捕捉基层安全生产点滴,弘扬安全生产主旋律,宣传基层安全管理亮点和先进事迹,同时及时反馈基层关于安全生产的意见和建议。
(三)依托重大危险源视频监控系统,对关键部位、关键设备实施不间断全程监控
重大危险源管理是化工企业安全管理的关键环节。我厂根据厂内重大危险源分布情况,购置网络数字多媒体信息系统,在厂区各重大危险源分别安装了网络数字化一体球,实施24小时录像监控。通过重大危险源视频监控系统,生产调度管理人员可以实时查看各重大危险源的运行状态和相关记录数据,及时发现设备的不正常状态,为迅速准确采取相应措施、防止事故发生起到了重要作用。
(四)依托网上培训教育系统,提高员工自主安全学习意识
为加强员工的安全教育培训,我们建立了网上培训、考试与积分系统。该系统设有教育培训计划、实施、评价体系。我厂定期按安全培训计划在内部网安全培训信息系统中公布安全学习通知和有关的学习内容。管理人员和员工可以自主选择学习时间,也可通过授权异地远程登陆内部网进行在线学习、在线考试。建立网上员工学习档案,实施积分制管理,并对培训效果按季度、半年、全年进行评价。这套系统不但使员工能够及时学习掌握安全生产方面的相关知识,也使安全学习有了更大的主动权,提高了员工学习的自觉性和主动性。
(五)依托安全信息网络系统,实现安全管理全员联动
安全信息网络系统包括网上信息系统和手机短信群发系统。利用网上信息系统,及时公布安全文件制度信息。通过内部网安全管理和安全文件等版块,一方面及时上传企业内部各种安全生产文件、安全专项检查信息、安全工作总结、安全工作计划等,使全体员工迅速了解安全生产形势。另一方面,根据安全检查通报情况,及时整改现场存在的问题,消除事故隐患,保证安全生产。
利用手机短信群发系统,提高全员安全生产意识。每天给厂领导、中层管理人员、安监人员、班组长分层次当日安全生产情况短消息,使干部员工及时掌握安全生产动态信息。针对下雪、降温、雷雨等特殊天气,及时启动应急预案,利用手机群发短信在一分钟内即可将信息传递到每个员工。
三、实施效果和基本经验
(一)提高安全管理效率,降低管理成本
企业利用安全网络信息平台,把安全教育培训资源有效整合,利用网络信息手段进行沟通的比例显著提高,比如在安全会议、文件传达、部门讨论、问题跟踪反馈等方面,全部通过在企业内部网安全信息网络平台上进行传递,工作效率明显提高。经过授权,通过计算机在任何地方、任何时间,只要上网,都能及时地查询到企业安全管理信息,实现了网络学习,使随时随地培训成为可能。同时,大量节约了纸张、复印、电话、传真等费用,系统应用为每个员工带来了工作便利,也使企业安全管理成本明显降低。
(二)为提高员工安全素质提供了新途径
传统的安全教育培训,采用讲课和自学等枯燥、被动安全教育培训模式,而这种模式的培训效率和成本显然不能很好地适应现代安全管理的需求。应用安全信息网络平台进行公开、引导式安全教育培训,克服了厂内不同单位、不同部门、不同员工之间的沟通和管理障碍,使普通员工可以与管理者直接交流。网上学习培训系统在应用过程中实现了教育功能与现代管理观念的传递,培训与考试过程更加公开透明,促进了员工的自主学习意识,促进企业人员素质整体提升。
篇4
在全球经济一体化的形势下,我国对人才的需求不断地增加,教育事业的发展备受关注。在这种情况下,我国一直致力于加快应试教育向素质教育模式的转型,大力推广素质教育改革的发展,以提高我国教育事业的发展水平,使其能够在日益激烈的市场竞争中占有一席之地。中职教育是素质教育改革中的重要组成部分,必须予以高度重视,不容忽视。在中职教育中信息安全技术课程是较为重要的一门学科,受到教育学者们的广泛关注。为提高中职学校信息安全技术教育水平,则必须转变传统的教学模式,明确中职学校信息安全技术教育的目标,树立全新的教学观念,采用多样化的教学手段,以为学生创造良好的学习环境,充分发挥学生的学习积极性。
1 中职学校信息安全技术教育的相关内容
中职学校信息安全技术教育中的重点内容是计算机教学,力求培养计算机信息安全方面的优秀人才。学习此方向的学生未来主要是从事于一些获取信息,处理信息和有效应用信息等方面的工作,为此必须提高学生的信息安全意识,提升学生的理论知识水平,提高学生的操作能力。根据信息安全技术岗位的职业特点来实施具有针对性的教学,建立健全的中职学校信息安全技术教育体系,重视对学生创新能力的培养,以提高中职学校信息安全技术教育质量。
2 现阶段我国中职学校信息安全技术教育中存在的问题
现阶段,在我国中职学校西悉尼安全技术教育中仍然存在着一定的问题,还有待于进一步完善和结局。其问题主要在于教师并未意识到加强学生实训学习能力的重要性,未能实现素质教育改革的目标,难以提高学生的实践能力。在信息安全技术教学过程中,实训环节较为薄弱,教师只重视对学生理论知识的传授,而忽视了对学生学习技能的培养。另外,中职学校信息安全技术教育中所选择的教材并不合适,在教材中并未突出职业性的特点,缺乏对学生职业方面的讲解,未能提高学生的职业意识,以致于学生日后难以适应社会工作状况。教师团队的素质也有待于进一步提升,教师未能严格要求自己,没有发挥教师的榜样作用。新时期下,我国所制定的信息安全技术教育考核体系已经无法满足当下社会对中职教育的要求,其必须突破传统评价方式的束缚,丰富教学评价方式,以促进信息安全技术教育稳定而长远的发展。
3 提高我国中职学校信息安全技术教育水平的有效措施
(1)重视对学生实践能力的培养,开展高效率的实训教学活动
中职学校不同于其他普通高中院校,其具有一定的职业性,是一种以职业为基础,重视技能的教学。在中职学校的教学过程中教师应当积极开展实训课程,不可只在乎学生对理论知识的理解状况,应当将理论知识作为基础教学,将实训课程作为能力提升内容,以使学生能够将所学的理论知识灵活地应用于实际生活中,培养学生实践能力。理论知识固然重要,但是实训技能更符合中职教育的目标。首先,教师应当适当的调整信息安全技术教育中理论教学和实训课程的比例,应当适当的加大实训课程的次数,所占比例不可低于百分之四十。另外,教师要全面了解学生的学习状况,掌握学生的性格特点,并据此说来制定合适的实训课程教学计划,针对信息安全技术的课程内容来安排教学进度,并列出实训课程一览表。其次,为给学生创造良好的信息安全技术学习条件,学校应当提供信息安全技术教学实训基地,加强对实训课程的管理。计算机信息技术不断地改进,相关软件和硬件都在升级,更新换代的速度十分快,因而学校的实训基地中应当完善计算机设备,优化计算机资源配置,采用先进的计算机软件和硬件设备,以为学生提供良好的实训环境,提高学生的实训学习效率。
(2)选择合适的教材,壮大教师团队
为了保障中职学校信息安全技术的教学质量,教师应当选择合适的教材来进行教学,教材的选择十分重要,其是教师制定教学计划和教学内容的重要依据,是学生获得知识的最佳渠道,为此所选择的教材一定要符合标准要求。在选择教材的时候,一定要选择能够体现出职业技术的内容,既要包括职业基本理论和基本要求的内容,还应当涵盖职业技能等内容。在选择信息安全技术教材的时候要确保其具有综合性和实用性。另外,教师还可以自主进行教材编写工作,根据实际情况来完善教材体系。教师应当以信息安全技术课程的(下转第83页)(上接第81页)特点为依据,结合自己的教学经验来编撰合适的教材,以提高信息安全技术教学水平。
教师是教学过程中的主导者,虽然素质教育改革后更强调的是学生的主动性,但是并未忽视教师的辅导作用,教师的素质也将对教学质量产生一定的影响。为此,必须加强对信息安全技术课程教师的培训和教育,以壮大教师团队,提高教师的整体素质。计算机信息技术发展迅速,无论是人们的生活活动,或是社会的生产活动,都已经开始广泛应用计算机信息技术,而作为人才培养的先导,教师更应当掌握良好的计算机技能,可让教师前往实际部门工作中体验,以培养教师的动手操作能力,让教师在授课的时候能够结合自己的经验来阐述教学内容,从而加深学生对教材内容的理解。
(3)建立健全的教学考核方式
为了提高中职学校信息安全技术教学的有效性,教师应当建立健全的教学考核方式,采用现代化的教学评价方式。在教学考核中教师应当重视对学生综合能力的考核,将笔试考核的方式转化为实际操作考察。因而,可以将中职学校信息安全技术教学的考试模式分为两个部分,一个部分是对学生理论知识的考察,另一个部分则是让学生上机操作,将实习也作为评估学生的一个重要内容。另外,教师还应当鼓励学生去参加计算机信息技术全国性考试,考取与之相关的职业资格证书,并且将其作为评定学生的标准之一。
4 结束语
篇5
中图分类号:TP393 文献标志码:B 文章编号:1673-8454(2016)19-0005-06
一、省级数据中心的整体架构
近年来,福建省教育管理信息中心从更高层次上将过去以单位建设和运营的传统信息系统整合成以省级为单位的数据中心,形成资源共享、互联互通、服务整合的有机整体,省级数据中心实现虚拟化和动态管理,为本省提供教育管理信息系统运行的云服务平台,承载和满足国家教育管理公共服务平台在省级教育行政部门的部署和运行,集成和支撑省本级各类教育基础数据库和各类教育管理信息系统,服务于所辖区域内教育行政部门和学校的信息化管理业务应用。
整体设计架构如图1所示。
随着教育管理信息系统的建成,各级各类教育部门对信息系统的依赖程度将会越来越高,逐步形成覆盖各级各类教育的学生、教师和学校及资产等方面的海量信息,这对维持教育管理信息系统安全稳定运行,保障教育管理信息安全提出了更高的要求
二、省级数据中心安全防护的变化
利用云计算技术,省级数据中心实现了计算资源、网络资源、存储资源的虚拟化和服务化,同时数据中心的安全威胁和防护要求也产生了新的变化。云计算带来的一个最明显的变化就是计算网络的边界发生了改变,诸多的业务系统运行在数据中心云服务平台上,保障数据中心的业务连续性和进行灾难恢复将是一个巨大的挑战,任何一个机械故障、人为错误、黑客攻击、病毒木马如果得不到有效的控制,就很有可能造成整个数据中心的崩溃。
1.安全防护对象扩大
安全风险并没有因为虚拟化而消失或规避。尽管单台物理服务器可以划分成多台虚拟机使用,但是每台虚拟机上承载的业务和服务和传统单台服务器承载的基本相同,同样虚拟机面临的安全问题跟单台物理机也是基本相同的,如对业务系统的访问安全、不同业务系统之间的安全隔离、操作系统和应用程序的漏洞攻击等。
数据中心需要防护的对象范围也扩大了。安全防护需要考虑以HyPevsor和vcenter为代表的特殊虚拟化软件,由于 vcenter等本身所处的特殊位置和在整个系统中的重要性,如果漏洞没能及时修复,这必定会给虚拟化平台带来一定的安全风险,一旦攻击者获得虚拟化平台的管理权限,将可以随意访问任意一台虚拟机,服务器的业务数据也就没有任何安全性可言了。
2.威胁扩散速度快
在虚拟化环境中,同一台物理服务器上的不同虚拟机之间的通讯是基于服务器内部的虚拟交换网络解决,相邻虚拟机之间的流量交换不通过外部的网络交换机,此时外部的网络安全工具也都无法监测到物理服务器内部的流量。其中任何一台虚拟机存在安全漏洞被攻击控制后,攻击者可通过这台虚拟机入侵同一台服务器上的其他虚拟机。
虚拟机可以根据实际需求在不同物理机之间进行动态迁移,这可能会让一些重要的虚拟机迁移到不安全的物理机上,或者一些测试用的虚拟机与重要的虚拟机迁移到同一虚拟局域网,从而带来安全风险。
3.病毒扫描风暴
完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,要在每一台虚拟机上安装防病毒等安全软件,每台虚拟机因此要消耗相同的CPU、内存等硬件资源,常规防病毒扫描和病毒码更新等也需要占用大量资源,这样随着虚拟机数量的增加,后端存储的负荷随之变大从而影响到系统的运行速度。
虚拟机的初衷是绿色环保,低碳节能,没有业务运行的时候可以关闭虚机,业务恢复时开启虚机,但关闭期间病毒代码是无法更新的,如果多台虚拟机同时开机更新防病毒软件的病毒码,这时网络带宽也有较大影响。如果所有虚拟机上的防病毒软件设置定期扫描或更新,将会引起“防病毒风暴”,影响服务器应用程序的正常运行。
三、省级数据中心安全运维技术体系构建
依据国家等级保护的有关标准和规范,以省级教育数据中心基础环境的安全防护需求为出发点,根据云计算虚拟化的特点和风险状况,同时参考传统“进不来,拿不走,看不到,改不了,走不脱”的防御要求,分别从事前监控、事中防护和事后审计三个角度进行考虑,采用分区分域、重点保护的原则,对数据中心网络和业务应用系统进行分区分域防控,对承载的国家教育管理公共服务平台、本级应用系统和重点区域进行重点的安全保障,根据业务应用系统面临的实际安全威胁,采用适当的安全保障措施,建立覆盖物理、网络、主机、存储、数据库、应用的整体信息安全防护技术支撑环境,提升数据中心的抗攻击能力,维持国家教育管理信息系统稳定运行,保障教育管理信息安全。
1.物理层
(1)机房安全
机房是数据中心重要的基础设施,服务器设备、网络设备和存储设备等是数据中心机房的核心设备。这些设备运行所需要的环境因素,如供电系统、空调系统、消防系统、机房与监控系统是数据中心机房重要的物理基础设施。福建省级教育数据中心前身是省教育厅信息中心机房,由服务器机房、网络机房、控制室、配电机房四部分组成,现有数据中心使用面积达115平方米,安装了机房智能、供配电、通风,环境监测、防雷接地、门禁等子系统,满足机房建设的相关标准和要求,符合信息安全等级保护三级的合规要求。
(2)资产管理
数据中心管理关键在于立足全局,明了拥有的资源,知晓设备放置在哪里,它们是如何连接到一起的。准确的资产数据是数据中心日常运维的基础之一,随着数据中心的设备数据增加,资产信息的准确性显得更加重要。对已有的虚拟机、物理设备和应用系统进行标记,例如业务IP、管理地址、外网映射、对外开放端口、VPN情况、资源情况、域名、相应特殊策略及对系统的简短描述。
2.网络层
(1)安全区域的划分
为保障数据中心整体结构安全,将安全区域划分作为安全运维技术体系设计的首要任务。数据中心的网络构成非常庞大,支撑的应用系统也非常复杂,因此采用基于安全域的办法是非常有效的,结合数据中心的基础环境及业务系统的实际情况和特点,以安全保障合理有效为原则,将信息系统网络划分为多个相对独立的安全区域,根据各个安全区域的功能和特点选择不同的防护措施。
省级教育数据中心既承载着国家教育管理信息系统,又为自建应用系统提供运营支撑。根据安全等级保护要求完成安全区域划分,分别设置外网接入区、骨干网络区、前置服务区、应用服务区、数据库区及运维区等,同时在应用服务区里根据应用对象划分了教育部系统区、厅主要应用区、其他应用区,结合各个安全区域的业务特点设计保护措施和安全策略,这大大提升了安全防护的有效性,也体现出重点区域重点防范的建设原则。
(2)外网接入区
主要实现网络出口及出口的安全管理、带宽管理、负载均衡控制。根据外网接入区的特点分析和需求分析,对该区域进行边界的防护,以及对入侵事件的深度检测及防护,抗拒绝服务攻击以及流量分析构成完善的防护系统。
A.实现边界结构安全。数据中心有多条ISP链路,包括移动、联通、电信等。通过互联网边界部署链路负载均衡设备避免因ISP链路故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题。根据业务的重要次序进行带宽分配优先,保证在网络发生拥堵的时候优先保护重要业务,保证网络各个部分的带宽满足业务高峰期需要。
B.实现边界访问控制。在互联网边界部署边界万兆防火墙,一方面满足数据中心万兆网络环境需求;另一方面满足互联网边界移动、电信、联通等线路接入以及对流经防火墙的数据包提供明确的拒绝或允许通过的能力、提供细粒度的访问控制,并满足网络层面抗攻击能力。防火墙详细记录了转发的访问数据包,便于管理人员进行分析。同时在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。
C.实现边界恶意代码防范。在互联网边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,对网络病毒、蠕虫、混合攻击、端口扫描等各种广义病毒进行全面的拦截。截断了病毒通过网络传播的途径,净化了网络流量,满足三级等级保护中实现边界恶意代码防范的要求。
D.实现边界安全审计。在互联网边界部署上网行为管理系统,满足为单位内部用户提供内网用户上网行为合规性检查,提供用户上网行为日志记录,不合规上网行为阻断等功能。
(3)骨干网络区
核心交换区连接数据中心内部各个功能分区,是整个运行网数据中心的核心,其功能是高速可靠地交换数据,需要具备高性能、高可靠。各个功能分区汇聚位置采用独立的汇聚交换机去实现。
A.实现边界访问控制。通过数据中心核心交换机配置防火墙板卡和IPS板卡,为数据中心的网络应用提供主动、实时的防护,监测网络异常流量,自动对各类攻击性的流量进行实时阻断,增强数据中心稳定性、可靠性、安全性。
B.数据中心万兆汇聚防火墙具备虚拟防火墙功能,通过将数据中心万兆汇聚防火墙虚拟成应用服务器区边界防火墙,为应用服务器区/数据库服务器区/运维管理区边界提供细粒度的访问控制能力,实现基于源/目的地址、通信协议、请求的服务等信息的访问控制,防止终端接入区用户非法访问应用服务器区的资源,并且利用防火墙的多个端口,将实现多个区域的有效隔离。
3.平台层
云安全技术多集中在虚拟化安全方面。虚拟化环境下计算、存储、网络结构、服务提供模式等的改变,带来了应用进程间的相互影响更加难以监测和跟踪,数据的隔离与访问控制管理更加复杂,传统的分区域防护界限模糊,对使用者身份、权限和行为的鉴别、控制与审计变得更为重要等一系列问题,对安全提出了更高的要求。
(1)防火墙
传统的网络安全设备无法查看虚拟机内的网络通信,因而无法检测或抑制源于同一主机上的虚拟机的攻击。针对服务器虚拟化面临的风险,通过部署与VMware虚拟化环境底层系统无缝集成的无安全防护系统,减少物理和虚拟服务器的攻击面。使用双向状态防火墙对服务器防火墙策略进行集中式管理,阻止拒绝服务攻击,实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离,构建虚拟化平台的基础架构多层次的综合防护。
以透明方式在VMware vSphere虚拟机上实施安全策略,按照最小授权访问的原则,细化访问控制策略,严格限制访问虚拟机宿主机和虚拟机的访问IP 地址、协议和端口号,保障虚拟机在动态环境中的安全。
(2)防恶意软件
为了确保虚拟化平台及虚拟机的安全运行,必须部署必要的安全工具,在虚拟机上安装网络杀毒软件和恶意代码查杀程序,防止虚拟机遭受病毒及恶意代码的侵袭,设置病毒和恶意代码查杀策略。及时更新病毒库和恶意代码库,保证病毒和恶意代码及时被清除。
无安全模式以一台物理机为管理单位,无需在每个虚拟机中部署安全防护程序,集中一台虚拟安全服务器中部署运行,随时在线升级和维护,分时扫描各应用服务器虚拟机,对虚拟环境的性能不会造成显著影响,从而避免了“防病毒风暴”等现象。
(3)补丁程序更新
虚拟化平台由于自身设计的缺陷,也存在安全隐患。要保证虚拟机的安全,必须及时为虚拟机进行漏洞修补和程序升级。即便如此,仍然存在安全隐患,原因在于虚拟机系统的补丁可能落后于更新,而且承载不同操作系统的虚拟机可能迟滞不同级别的补丁和更新。所以当其他虚拟机受到保护时,这些还没有更新补丁,容易受到安全威胁的机器就会影响其他虚拟机的安全。
4.系统层
安全测试与风险评估。在部署信息系统前,对承载应用系统的数据库、中间件进行安全配置,并在系统正式上线运行前进行安全测试与风险评估,对于发现的问题整改完成后再行上线,避免应用系统带病运行造成后期整改困难。
(1)部署漏洞扫描系统
如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。采用最新的漏洞扫描与检测技术,包括快速主机存活扫描技术、操作系统识别技术、智能化端口服务识别技术、黑客模拟攻击技术、入侵风险评估技术等多种扫描技术的综合应用,快速、高效、准确地发现系统安全隐患并在短时间内修复漏洞,最大限度地降低系统安全风险,消除安全隐患。
(2)服务器加固系统
操作系统核心加固通过对操作系统原有系统管理员的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能,从而达到从根本上保障操作系统安全的目的。此外,内核加固模块稳定的工作于操作系统下,提升系统的安全等级,为用户构造一个更加安全的操作系统平台。
5.应用层
(1)应用服务区划分
应用服务区主要承载运行环境内的应用服务器,包括教育部应用的oracle、weblogic等中间件服务器等。核心区通过独立的防火墙设备接入应用服务区。
根据应用系统承载不同的应用,实现不同的功能,不同的管理模式,不同的应用系统划分为不同的保护等级,应用服务区分为教育部应用区(三级)、厅主要应用区(三级)、市县应用区(二级)。
(2)前置服务区
提供Web服务的服务器被放置在前置服务区,主要运行网站等互联网应用。在前置服务器区边界部署Web应用防火墙,能够满足为前置服务器区边界提供强制访问控制能力以及能够提供应用层针对网站攻击防护能力。事前,Web应用防火墙提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。从而更有效地对厅网站进行全面的保护,有效降低安全风险。通过部署Web应用防火墙弥补防火墙、IPS在应用层方面薄弱的防护能力。
6.数据层
(1)数据库安全审计
数据库服务区承载了运行环境下核心应用系统的核心数据库。目前共3套核心Oraclerac集群服务器。在数据库服务器区接入交换机旁路部署两台数据库审计系统,通过技术手段并结合管理制度,能够确保数据库服务器区的数据库系统的信息安全;能够及时发现非法用户以及黑客对数据库错误操作和非法操作,并进行及时阻断;能够对数据库查询和修改等操作进行记录,并能提供事后追溯;能够检测和分析数据库应用系统存在的BUG,并能提供相关报表信息;对所有数据库操作可实现字段级的细粒度审计,便于数据库管理。
(2)数据传输安全
保障业务数据在传输过程中的完整性与保密性。一方面,在外网接入区边界部署IPSECVPN实现在省级数据中心与教育部数据中心进行数据传输时,通过VPN技术措施进行传输加密,实现数据通信加密安全;另一方面,在前置服务器区部署SSLVPN实现在福建省教育厅数据中心服务器与外部出差、外部办公人员应用终端之间进行数据传输时,通过SSLVPN技术措施实现数据传输的加密,实现数据通信加密安全。
(3)数据容灾备份
备份是用户保护计算机中重要数据信息的最佳方式。通过Symantec Netbackup实现本地统一备份以及远程数据复制归档的功能,并且在本地配备重复数据删除功能,通过重删后的数据进行远程数据复制归档,从而降低数据的传输大小以及对传输带宽的要求。实现省级教育数据中心的各类结构化、非结构化数据的本地数据备份,制定备份策略,备份服务器将自动进行数据的增量备份与全备份操作;实现各类数据的异地归档备份数据级容灾,能够在数据中心生产数据以及其备份数据均产生问题时,通过容灾机房实现远程归档备份的数据还原操作;实现教育数据中心关键系统的独立部署以及本地数据备份,大大提高系统的数据安全性。
7.运维层
(1)安全运维管理平台
安全运维管理平台的主要监控对象包括各省级教育数据中心所辖硬件设备(网络设备、安全设备和服务器等)和应用系统,主要实现的功能包括:资产管理、性能监控、信息安全告警管理、信息安全事件审计、信息安全风险管理、工单管理、通告管理及多级联动等主要功能。
按照教育部安全运维管理平台统一配置规范、统一接口标准建设省级安全运维管理平台,一方面负责采集分析省级教育数据中心网络设备、安全设备、服务器、中间件的性能指标,实现省级数据中心基础环境的业务可用性集中监测与管理;另一方面收集汇总本级环境中的安全事件并进一步通过关联分析实现对部署在本级的国家教育管理信息系统的整体安全运行态势进行集中监控、分析与管理。最终省级安全运维管理平台通过IPSecVPN构建的数据加密传输通道上报业务可用性运行状态、重大信息安全风险、重要信息安全事件及信息安全审计分析报告等数据信息至中央级安全运维管理平台,实现对全国教育信安全事件的集中监测、上报与响应。
(2)应用安全监测与预警平台
应用安全监测与预警平台以应用系统为对象,对应用系统进行漏洞监测、实时挂马监测、关键字监测、可用性监测、事后篡改监测、安全告警与安全势态跟踪,实现对应用系统的可用性、脆弱性和内容安全性进行监测、预警。
统一部署的应用安全监测预警管理平台,实现对部署于数据中心的国家教育管理信息系统及自建系统进行应用安全监测与管理;并通过本平台上报国家教育管理信息系统的重大安全风险、重要安全事件及应用系统安全审计分析报告等数据信息。
(3)安全运维审计
在运维管理区部署运维审计系统,逻辑上将人与目标设备分离,建立“人-〉主账号(堡垒机用户账号)-〉授权―>从账号(目标设备账号)的模式;在这种模式下,基于唯一身份标识,通过集中管控安全策略的账号管理、授权管理和审计,建立针对维护人员的“主账号-〉登录―〉访问操作-〉退出”的全过程完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计。通过细粒度的安全管控策略,保证服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失。堡垒机不仅能记录操作痕迹,还能回放记录,追溯责任,定位问题,运维审计结果能以各种报表形式展现,满足不同人员的需求。
四、结束语
安全运维是确保信息系统正常运行的必要环节,也是信息系统生命周期中的一个长期工作。省级教育数据中心安全运维技术保障体系依托统一身份认证管理平台,通过分级和分域进行安全管理与保障,实现各个分域子网安全,实现基于安全域的安全互联、接入控制与边界安全防护,构建安全管理中心,提供安全管理、安全监控、安全审计、容灾备份、应急响应等安全服务手段,保证数据中心计算环境安全,保证承载的国家教育管理公共服务平台和本级各类教育管理信息系统的运行,最终形成“安全开放、等级保护、按需防御”的等级化安全保障体系,服务于所辖区域内教育行政部门和学校的信息化管理业务应用。
参考文献:
[1]教育部教育管理信息中心.国家教育管理公共服务平台省级数据中心建设指南(印发稿)[Z].2013.
[2]曾德华.省级数据中心建设目标、内容框架与实施管理[J].中国教育信息化,2013(13):8-9.
[3]安宏.国家教育管理信息系统信息安全保障体系建设[J].中国教育信息化,2013(13):16-19.
