时间:2023-09-25 15:59:32
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息技术安全教育,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1掌握学情,有的放矢
开学初,教师应该对学生进行一次信息技术方面的问卷调查,调查学生对于信息技术及安全知识的认知程度。利用开学初期的一节课或两节课时间与学生探讨:人们利用计算机能干什么事情?我们为什么要进行信息技术的学习?通过信息技术这门课程,你想学习哪些知识和技能?你认为应如何上好信息技术课?对这些问题的探讨,使学生们重新审视无处不在的信息技术,重新认识对计算机及网络作用。而后教师可以调查一下学生的其他兴趣爱好,比如绘画、写作、计算、音乐等,并且根据他们的爱好进行信息技术学习分组。俗话说,知已知彼,百战不殆。只有对学生先做了解,才能在接下来的教学过程中有针对性地进行信息安全方面的引导和教育。尤其是对于那些在信息安全方面问题比较严重的学生,可以考虑多方面进行干预和引导。在接下来的教学过程中,教师除了向学生教授信息技术教材的基本内容之外,还可以针对不同的兴趣小组,结合信息技术知识,设置不同的学习内容,并安排他们完成相应的任务。比如,对于喜欢绘画设计的兴趣小组学生,教师可以根据其所处的年龄段,向兴趣小组学生介绍相应的绘图软件操作,并推荐绘图设计相关网站。引导学生接触到相关知识后,教师的教学指导工作最好能与学生的兴趣点和认知点同步,因人而异、因时制宜,指引学生不断学习和提高。需要说明的是,这里的内容不宜太大太多,应与学生的认知发展水平相一致。当然,这里对教师的知识结构要求比较高,教师要关注到班级里每一个兴趣小组,甚至每一名学生的知识发展情况,有时甚至还需要计算机学科教师和兴趣小组对应的学科教师联合起来进行针对性的指导,真正做到对症下药、因材施教。这样一路做下来,学生的时间和精力被有意义的内容占用和吸引住了,自然也较少出现沉迷网络方面的问题。
2科学引导,绿色上网
在开学之初,教师还要利用一节课的时间让学生讲述身边听到或看到的青少年由于沉迷网络而受到巨大伤害的真实故事,从而引导他们思考“上网该做些什么,不该做些什么”“怎样看待网络游戏”等问题。教师平时可以收集一些真实的案例作为素材,用一些震撼性的事件或图片视频展示给学生,从而在学生的脑海里对浏览不良网站所造成的巨大危害或网络违法犯罪行为所造成的严重后果留下深刻的印象,使他们自觉远离网络游戏,或其他有损于自己身心健康的网站和网络信息。在教学过程中,教师要积极引导学生树立正确的网络观,多向学生推荐一些专业的绿色的网站,保证孩子们在网上既获取了知识,又避免不良信息的毒害和侵蚀。要适时地在学生中开展网络道德教育,构建规范的网络伦理;要对学生多加强网络法制教育,防止网络犯罪。并且结合具体的案例进行分析说明,让学生充分认识网络世界存在的虚拟性、游戏性和危险性。使学生知悉,哪些网站是可以上的,哪些是不宜上的;让学生明白,在网络上,哪些行为是可以做的,哪些行为是禁止的。帮助学生树立健康的上网意识,保持对待网络的正确心态。
3家校共管,健康上网
学生成长的环境主要有两个:一是家庭,二是学校。中小学生,特别是小学生,在家的时间还是相对较长的。不同的家庭,对电脑和网络的认知程度是不一样的,对信息技术安全问题的认识水平不尽相同,这必定会造成家长对孩子使用电脑的态度和看法不同。受教育水平高的家长,对计算机的认识比较理性,既不视之为洪水猛兽,又不放任孩子使用电脑。他们会科学引导孩子接触电脑,并会根据孩子的年龄特点和兴趣爱好有层次地教孩子一些相关知识和技能。曾经有这样一个家长,他发现每次在家利用计算机工作时,3岁多大的孩子会很专注地在旁边观察。时间长了,有一次孩子竟在旁边提醒他一个操作错误。他觉得很惊奇,就问了孩子几个相关问题,谁知孩子都回答上来了。从此他就有意识地给孩子传授一些计算机高级应用以及编程和设计等知识,后来孩子长大后选择了计算机作为自己的终生事业,并且做得有声有色。这是一个成功的例子,家长对孩子及时正确引导,真正体现了“因材施教”的教育思想。家长对孩子上网引导不当的情形主要有两种:一种是严格禁止型的家长,视计算机为洪水猛兽,千方百计对孩子进行隔离堵截。这样家庭里生长的孩子,对计算机的认识也大不相同。有的孩子也视计算机为洪水猛兽,避而远之。这样虽然暂时是安全的,但从学生长远发展来看,则有因噎废食、得不偿失之嫌。与之相反,有的孩子则有着强烈的好奇心,不让干的事情偏偏想去探个究竟。结果在使用电脑和上网的问题上,孩子要么和家长躲猫猫,要么和家长对着干,家长教育简单粗暴,亲子关系搞得很僵,甚至有些孩子因此叛逆寻短见,酿成家庭悲剧。另一种是放任不管型的家长,尤其以留守儿童家庭居多,父母对孩子上网不闻不问、听之任之,时间久了,孩子就会沉迷网络不能自拔,严重影响身心健康。正像新闻里所描述的孩子那样,不喜欢他们本应热爱的书本和书包,而是迷恋王者荣耀之类的网络游戏。对于以上两种类型家庭的孩子,教师一方面要加强正面引导,让学生更多地了解和学习计算机网络的强大功能,扩展其视野,让孩子们重新看待信息技术,而不是停留在计算机就是用来聊天和打游戏的肤浅认识上。例如:对于小学一二年级的学生,计算机教师可以用BASIC语言设计一个10以内加减法运算的小程序,学生根据计算机屏幕上出现的试题,输入自己的答案。随后计算机自动给出正误,同时辅以掌声、鲜花等信息,这样很容易引起学生的兴趣。告诉学生,其实这样的程序他们自己也可以设计,然后引导学生尝试设计程序解决学习或者生活中的小问题,如果教育引导得法,一旦学生发现了其中的无穷奥妙,兴趣和热情就会慢慢地专注到信息技术的积极作用上来。另一方面,教师要加强与家长的沟通合作,让家长懂得,信息技术的飞速发展是大势所趋,计算机网络的运用将会渗透社会生活的方方面面,单纯地隔离堵截,就好比逆风而行,是非常困难并且不合时宜的;同时,网络又是一把双刃剑,有其利也有其弊,如果运用不当或者过度沉迷就会对心智尚未发育健全的青少年身心健康造成严重的危害。因此,对孩子使用电脑既要积极引导,不宜一味堵截;又要注意监管,不可放任自流。只有学校与家长达成共识,加强家校合作,既要科学引导,帮助小孩学习和掌握必要的信息技术知识与技能,又要合理管控,防止小孩浏览不良信息或长时间沉迷网络,才能为小孩营造一个良好的电脑网络环境,并促进其养成健康的上网习惯。
关键词:信息技术;学校;安全教育
在实施素质教育的今天,学校安全教育是一项长期、艰巨的任务,传统的教学手段很难引起学生对安全的重视,利用信息技术开展安全教育,会起到更佳的效果。
一、利用信息技术开展安全教育,可以对学生进行安全提示教育
学校是承担学生安全教育的主阵地。学校做好安全教育工作的重点之一,是在校园内营造时时处处安全第一的氛围。学校可在校园内醒目部位安装电子屏幕,用电子屏幕对学生进行安全提示教育。根据学校所处的地理环境、实际情况,在不同时节,针对学生可能发生的意外在电子屏幕上,经常滚动播放安全提示语,提醒学生应注意的安全事项,规范学生的行为,这样既可以在校园内营造良好的氛围,又可以防患于未然,根据学校所处的地理环境,充分利用电子屏幕对学生进行安全警示教育。
二、利用信息技术,帮助学生了解一些自然灾害发生的前兆以及危害
世界上发生的很多自然灾害,往往出乎人们的预料,而且这些自然灾害给人类带来巨大的灾难。但是,在人类长期的生活过程中,人们通过细心观察身边的自然现象,也总结出了许多自然灾害发生的规律。如,人们经过长期的观察,总结出的防震谚语:
震前动物有预兆,群测群防很重要。
牛羊骡马不进厩,猪不吃食狗乱咬。
鸭不下水岸上闹,鸡飞上树高声叫。
冰天雪地蛇出洞,大鼠叼着小鼠跑。
兔子竖耳蹦又撞,鱼跃水面惶惶跳。
蜜蜂群迁闹哄哄,鸽子惊飞不回巢。
家家户户都观察,发现异常快报告。
如果教师仅仅口头说教或将文字呈现给学生,他们可能对这些地震前的异常现象一笑了之,不能引起他们的重视;让学生自己总结自然灾害发生的规律,又受到时空的局限。这时,用信息技术就能打破这种局限。在讲解地震谚语时,配上动画或图片,会增加文字的趣味性、直观性和可视性,便于学生理解,也能引起学生的重视。如汶川地震发生前,就有数以万计的蟾蜍在道路上爬行,场面令人震撼。插播印尼海啸发生的视频,学生意识到,在海边地震过后,伴之而来的就是海啸;同时,几十米高的海浪瞬间吞噬数以万计的生命,在大自然面前,人类是多么渺小,自然灾害会给人类带来多么大的危害!这样,学生会认识到自然灾害带来危害的严重程度,在自然灾害来临前,做好防范准备,面对自然灾害时,就不会掉以轻心。
三、利用信息技术开展安全教育,可以更好地提高学生的安全意识
传统教学媒体如:黑板、粉笔、挂图、幻灯、投影的使用,也曾为教学提供过丰富的素材,然而,这些单一视听媒体的特点使它们制作起来比较复杂,部分创作内容很难反复使用,而信息技术能将文本、声音、图形、图像、动画、视频等各种教学内容进行组合,把难以用图片演示的许多抽象和难以理解的内容变得生动有趣、把复杂的事物简化、把事件发展的过程反复再现,这些是传统教学媒体很难完成的。
四、利用信息技术对学生开展安全教育,可以形象直观地教给他们正确的避险方法和救护技能
传统安全教育教学往往受条件和环境的限制,教师在向学生传授避险的方法和自救技能,采取口头说教的方法。在说明常见的避险方法,强调自救的关键环节时,较好的做法是利用挂图来展示各种救护的不同步骤,学生很难连贯地完全掌握各个环节的要领。教师用信息技术,课前制作动画,在不同环境下把发生溺水的不同情况、不同过程,用动画的形式表现出来,甚至可以在互联网上,搜索相关素材,充实安全教育的内容。如可用动画的形式展示当自己在水中发生意外时,如何采取正确的方式方法,避免自己发生溺水事故;当他人在水中发生危险时,如何采取正确、有效的措施施救。这样,学生就不会盲目施救,造成群死群伤的溺水事故。运用信息技术可以增强学生安全教育的内容,丰富学生安全教育的形式。
当然,并不是所有的救护技能都能靠信息技术来传授,一些专业救护技能需要专业人员当面传授,甚至需要专业人员指导学生多次实践才可能掌握技术要领。因此,在进行救护技能传授时,教师应根据教学内容、学生的认知能力等实际情况,选择性地使用信息技术。
信息技术在学生安全教育中的应用为安全教育活动提供了新的发展空间,丰富了安全教育活动的内容和形式。教师适时、适度地运用多媒体辅助安全教育教学,给学生提供视觉、听觉和创新思维体会的空间,才能激发学生的学习热情,把枯燥的安全教育活动变得生动、有趣,为学生安全教育增添无穷的魅力,切实提高学生的安全意识,在灾难来临时,为学生的安全提供一份保障。
参考文献:
关键词:信息技术;多媒体;幼儿;安全教育
前苏联教育家苏霍姆林斯基说:“儿童是用形象、色彩、声音来思维的”,幼儿认识世界的方式是比较直观的,他们对外部世界的认识较多地依赖声音、色彩和图像,据此,我们把信息技术融入到安全教育活动中,尝试运用多媒体手段,将安全教育的内容具体化、形象化、趣味化。让幼儿安全教育的内容添上鲜明的色彩,活动的形象,有趣的情节,儿童化的语言,以孩子乐于接受的形式展现在他们的面前,帮助幼儿掌握安全知识,增强幼儿的安全意识,培养幼儿的自我保护能力,扩展幼儿知识的深度和广度,从而使让幼儿园的安全教育更有实效。
信息技术在幼儿安全教育活动中,具备明显的优势。
一、信息技术的感性材料丰富,变枯燥为有趣
教育心理学研究表明,教育手段的新颖多样是吸引幼儿注意、激发学习兴趣、形成学习动机的条件。幼儿年龄小,新颖、鲜明、具体形象的刺激是引起幼儿无意注意的主要因素,在教学中充分发挥信息技术的图像直观、色彩鲜明、动静结合、形象生动的特点,巧妙地创设出与教学相适应的教学情境,使幼儿在不知不觉中全身心地投入到教学活动中。这不仅激发了幼儿的兴趣,还极大地增强幼儿的认识动力和能力,推动他们主动获知。多媒体信息技术作为一种先进的教学手段,将文字、图像、图形、声音、视频和动画等多种元素有机的融为一体,生动形象、富有情趣。实践证明,把信息技术融入到安全教育活动中,能够以贴合幼儿年龄和认知特点的形式,有效可以激发幼儿的学习兴趣。
二、信息技术的感知刺激多元,变静态为动态
在我设计的安全教育活动课件《学做文明小乘客》中,由汽车“嘟嘟嘟“的配乐拉开活动序幕,加入了汽车行驶画面,模拟幼儿乘坐公交车的情景。避免和代替了老师单一的口头表达和介绍,声音、图片、视频等多媒体元素构建的场景,让孩子身临其境,从而对后面老师在活动中介绍各类小动物在车上文明或者不文明的行为有很好的铺垫作用。
在《地震来了怎么办》这节安全教育活动中,活动开始让幼儿先观看了真实的地震视频:房屋倒塌、桥梁断裂、地面凹陷,触目惊心的视频画面让幼儿对地震所带来的灾害有了直观震撼的初步感受。活动全程,孩子一直非常专注,沉浸在地震来了,我该怎么办的气氛里,整个活动充分调动幼儿的视觉、听觉等多种感官,使幼儿在具体画面的刺激下,掌握了安全知识,增强了自我保护意识,也懂得了碰到困难自己要想办法解决,扩展了幼儿知识的深度和广度。
三、信息技术让活动镜头再现,变无形为有形
蒙台梭利说过:“听过了很快就忘记了,看到了很快就记住了。”幼儿在安全教育活动过程中,往往能对他人的行为可以进行头头是道的进行评价,却对自身的行为视若无睹。但是,多媒体却可以突破时空限制的功能将幼儿自己的行为展现,引发幼儿对自身不安全行为的反思与改正。
在安全教育活动《地震来了怎么办》中的一个教学重难点就是幼儿在室内躲避时,要选择安全区域—,即“三角区“。老师在第一次提问,如果地震来了,你将在哪些地方进行躲避的时候,就通过手机或摄像机拍摄孩子躲避的过程、位置和方式。捕捉孩子活动的瞬间,变无形为有形,然后让幼儿观看自己刚才的情景,运用多媒体技术画面的放大、放慢、定格等多种手段,让幼儿通过仔细观察,主动思考、探索、讨论,帮助其了解自己存在的不适当的躲避方法,从而掌握正确的方法,提高自我保护能力。这样让幼儿获得的是真实感知,不但容易理解,而且知识完整、印象深刻,并逐步内化为正确的行为技能,多媒体教技术引入安全教育活动,给活动注入了新的生机和活力。
四、信息技术直击教育难点,变抽象为具体
结合幼儿的认知特点,运用多媒体技术进行动态演示,将安全教学中的重点和难点形象、生动、具体、直观地剖析,使抽象难懂的知识变得浅显易懂,让幼儿能够真正理解和学握。如:在给孩子讲解高空抛物的危险时,大部分孩子对其伤害是缺乏已有经验的,因此并没有意识到高空抛物的严重性。我们为孩子播放视频:当一个鸡蛋分别从高空抛下对下面行人和物体的伤害,或者一个花盆掉下阳台对下面行人和物体的伤害,让孩子有更直观的感受,从而学会保护自己和他人,不做危险的事情。
幼儿在游戏时会发生互相推挤、叠压等现象。我们用多媒体网络让幼儿观察人体构造的画面演示各种不当做法对身体造成伤害的过程,幼儿认真观看形象的画面,对同样的事就会记的更牢更清楚了,从而给孩子警示作用。看了这样的画面,孩子们对难以掌握的知识,就能轻而易举地获得。突如其来的危险和灾难是生活中不可避免的,因此掌握初步的自救技能是十分必要的。多媒体教学独具的重复、慢放与特写功能,能抓住动作的重难点,有助于幼儿理解安全行为,并掌握自救动作与技能。
五、在运用信息技术到安全教育活动的过程中的建议
(一)运用多媒体信息技术丰富教育内容,优化各类信息来源
信息量大是多媒体信息技术这一教学手段的一大优势,在幼儿安全教育上,教师要根据幼儿的年龄特点和认知程度,选取合适的教育内容,并通过自己的筛选、整合、创编,不断优化信息来源,发挥其最大的教育导向功能。
(二)运用多媒体技术创设教学情境,提高教师专业水平
关键词:教育数据中心;安全运维;技术体系
中图分类号:TP393 文献标志码:B 文章编号:1673-8454(2016)19-0005-06
一、省级数据中心的整体架构
近年来,福建省教育管理信息中心从更高层次上将过去以单位建设和运营的传统信息系统整合成以省级为单位的数据中心,形成资源共享、互联互通、服务整合的有机整体,省级数据中心实现虚拟化和动态管理,为本省提供教育管理信息系统运行的云服务平台,承载和满足国家教育管理公共服务平台在省级教育行政部门的部署和运行,集成和支撑省本级各类教育基础数据库和各类教育管理信息系统,服务于所辖区域内教育行政部门和学校的信息化管理业务应用。
整体设计架构如图1所示。
随着教育管理信息系统的建成,各级各类教育部门对信息系统的依赖程度将会越来越高,逐步形成覆盖各级各类教育的学生、教师和学校及资产等方面的海量信息,这对维持教育管理信息系统安全稳定运行,保障教育管理信息安全提出了更高的要求
二、省级数据中心安全防护的变化
利用云计算技术,省级数据中心实现了计算资源、网络资源、存储资源的虚拟化和服务化,同时数据中心的安全威胁和防护要求也产生了新的变化。云计算带来的一个最明显的变化就是计算网络的边界发生了改变,诸多的业务系统运行在数据中心云服务平台上,保障数据中心的业务连续性和进行灾难恢复将是一个巨大的挑战,任何一个机械故障、人为错误、黑客攻击、病毒木马如果得不到有效的控制,就很有可能造成整个数据中心的崩溃。
1.安全防护对象扩大
安全风险并没有因为虚拟化而消失或规避。尽管单台物理服务器可以划分成多台虚拟机使用,但是每台虚拟机上承载的业务和服务和传统单台服务器承载的基本相同,同样虚拟机面临的安全问题跟单台物理机也是基本相同的,如对业务系统的访问安全、不同业务系统之间的安全隔离、操作系统和应用程序的漏洞攻击等。
数据中心需要防护的对象范围也扩大了。安全防护需要考虑以HyPevsor和vcenter为代表的特殊虚拟化软件,由于 vcenter等本身所处的特殊位置和在整个系统中的重要性,如果漏洞没能及时修复,这必定会给虚拟化平台带来一定的安全风险,一旦攻击者获得虚拟化平台的管理权限,将可以随意访问任意一台虚拟机,服务器的业务数据也就没有任何安全性可言了。
2.威胁扩散速度快
在虚拟化环境中,同一台物理服务器上的不同虚拟机之间的通讯是基于服务器内部的虚拟交换网络解决,相邻虚拟机之间的流量交换不通过外部的网络交换机,此时外部的网络安全工具也都无法监测到物理服务器内部的流量。其中任何一台虚拟机存在安全漏洞被攻击控制后,攻击者可通过这台虚拟机入侵同一台服务器上的其他虚拟机。
虚拟机可以根据实际需求在不同物理机之间进行动态迁移,这可能会让一些重要的虚拟机迁移到不安全的物理机上,或者一些测试用的虚拟机与重要的虚拟机迁移到同一虚拟局域网,从而带来安全风险。
3.病毒扫描风暴
完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,要在每一台虚拟机上安装防病毒等安全软件,每台虚拟机因此要消耗相同的CPU、内存等硬件资源,常规防病毒扫描和病毒码更新等也需要占用大量资源,这样随着虚拟机数量的增加,后端存储的负荷随之变大从而影响到系统的运行速度。
虚拟机的初衷是绿色环保,低碳节能,没有业务运行的时候可以关闭虚机,业务恢复时开启虚机,但关闭期间病毒代码是无法更新的,如果多台虚拟机同时开机更新防病毒软件的病毒码,这时网络带宽也有较大影响。如果所有虚拟机上的防病毒软件设置定期扫描或更新,将会引起“防病毒风暴”,影响服务器应用程序的正常运行。
三、省级数据中心安全运维技术体系构建
依据国家等级保护的有关标准和规范,以省级教育数据中心基础环境的安全防护需求为出发点,根据云计算虚拟化的特点和风险状况,同时参考传统“进不来,拿不走,看不到,改不了,走不脱”的防御要求,分别从事前监控、事中防护和事后审计三个角度进行考虑,采用分区分域、重点保护的原则,对数据中心网络和业务应用系统进行分区分域防控,对承载的国家教育管理公共服务平台、本级应用系统和重点区域进行重点的安全保障,根据业务应用系统面临的实际安全威胁,采用适当的安全保障措施,建立覆盖物理、网络、主机、存储、数据库、应用的整体信息安全防护技术支撑环境,提升数据中心的抗攻击能力,维持国家教育管理信息系统稳定运行,保障教育管理信息安全。
1.物理层
(1)机房安全
机房是数据中心重要的基础设施,服务器设备、网络设备和存储设备等是数据中心机房的核心设备。这些设备运行所需要的环境因素,如供电系统、空调系统、消防系统、机房与监控系统是数据中心机房重要的物理基础设施。福建省级教育数据中心前身是省教育厅信息中心机房,由服务器机房、网络机房、控制室、配电机房四部分组成,现有数据中心使用面积达115平方米,安装了机房智能、供配电、通风,环境监测、防雷接地、门禁等子系统,满足机房建设的相关标准和要求,符合信息安全等级保护三级的合规要求。
(2)资产管理
数据中心管理关键在于立足全局,明了拥有的资源,知晓设备放置在哪里,它们是如何连接到一起的。准确的资产数据是数据中心日常运维的基础之一,随着数据中心的设备数据增加,资产信息的准确性显得更加重要。对已有的虚拟机、物理设备和应用系统进行标记,例如业务IP、管理地址、外网映射、对外开放端口、VPN情况、资源情况、域名、相应特殊策略及对系统的简短描述。
2.网络层
(1)安全区域的划分
为保障数据中心整体结构安全,将安全区域划分作为安全运维技术体系设计的首要任务。数据中心的网络构成非常庞大,支撑的应用系统也非常复杂,因此采用基于安全域的办法是非常有效的,结合数据中心的基础环境及业务系统的实际情况和特点,以安全保障合理有效为原则,将信息系统网络划分为多个相对独立的安全区域,根据各个安全区域的功能和特点选择不同的防护措施。
省级教育数据中心既承载着国家教育管理信息系统,又为自建应用系统提供运营支撑。根据安全等级保护要求完成安全区域划分,分别设置外网接入区、骨干网络区、前置服务区、应用服务区、数据库区及运维区等,同时在应用服务区里根据应用对象划分了教育部系统区、厅主要应用区、其他应用区,结合各个安全区域的业务特点设计保护措施和安全策略,这大大提升了安全防护的有效性,也体现出重点区域重点防范的建设原则。
(2)外网接入区
主要实现网络出口及出口的安全管理、带宽管理、负载均衡控制。根据外网接入区的特点分析和需求分析,对该区域进行边界的防护,以及对入侵事件的深度检测及防护,抗拒绝服务攻击以及流量分析构成完善的防护系统。
A.实现边界结构安全。数据中心有多条ISP链路,包括移动、联通、电信等。通过互联网边界部署链路负载均衡设备避免因ISP链路故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题。根据业务的重要次序进行带宽分配优先,保证在网络发生拥堵的时候优先保护重要业务,保证网络各个部分的带宽满足业务高峰期需要。
B.实现边界访问控制。在互联网边界部署边界万兆防火墙,一方面满足数据中心万兆网络环境需求;另一方面满足互联网边界移动、电信、联通等线路接入以及对流经防火墙的数据包提供明确的拒绝或允许通过的能力、提供细粒度的访问控制,并满足网络层面抗攻击能力。防火墙详细记录了转发的访问数据包,便于管理人员进行分析。同时在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。
C.实现边界恶意代码防范。在互联网边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,对网络病毒、蠕虫、混合攻击、端口扫描等各种广义病毒进行全面的拦截。截断了病毒通过网络传播的途径,净化了网络流量,满足三级等级保护中实现边界恶意代码防范的要求。
D.实现边界安全审计。在互联网边界部署上网行为管理系统,满足为单位内部用户提供内网用户上网行为合规性检查,提供用户上网行为日志记录,不合规上网行为阻断等功能。
(3)骨干网络区
核心交换区连接数据中心内部各个功能分区,是整个运行网数据中心的核心,其功能是高速可靠地交换数据,需要具备高性能、高可靠。各个功能分区汇聚位置采用独立的汇聚交换机去实现。
A.实现边界访问控制。通过数据中心核心交换机配置防火墙板卡和IPS板卡,为数据中心的网络应用提供主动、实时的防护,监测网络异常流量,自动对各类攻击性的流量进行实时阻断,增强数据中心稳定性、可靠性、安全性。
B.数据中心万兆汇聚防火墙具备虚拟防火墙功能,通过将数据中心万兆汇聚防火墙虚拟成应用服务器区边界防火墙,为应用服务器区/数据库服务器区/运维管理区边界提供细粒度的访问控制能力,实现基于源/目的地址、通信协议、请求的服务等信息的访问控制,防止终端接入区用户非法访问应用服务器区的资源,并且利用防火墙的多个端口,将实现多个区域的有效隔离。
3.平台层
云安全技术多集中在虚拟化安全方面。虚拟化环境下计算、存储、网络结构、服务提供模式等的改变,带来了应用进程间的相互影响更加难以监测和跟踪,数据的隔离与访问控制管理更加复杂,传统的分区域防护界限模糊,对使用者身份、权限和行为的鉴别、控制与审计变得更为重要等一系列问题,对安全提出了更高的要求。
(1)防火墙
传统的网络安全设备无法查看虚拟机内的网络通信,因而无法检测或抑制源于同一主机上的虚拟机的攻击。针对服务器虚拟化面临的风险,通过部署与VMware虚拟化环境底层系统无缝集成的无安全防护系统,减少物理和虚拟服务器的攻击面。使用双向状态防火墙对服务器防火墙策略进行集中式管理,阻止拒绝服务攻击,实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离,构建虚拟化平台的基础架构多层次的综合防护。
以透明方式在VMware vSphere虚拟机上实施安全策略,按照最小授权访问的原则,细化访问控制策略,严格限制访问虚拟机宿主机和虚拟机的访问IP 地址、协议和端口号,保障虚拟机在动态环境中的安全。
(2)防恶意软件
为了确保虚拟化平台及虚拟机的安全运行,必须部署必要的安全工具,在虚拟机上安装网络杀毒软件和恶意代码查杀程序,防止虚拟机遭受病毒及恶意代码的侵袭,设置病毒和恶意代码查杀策略。及时更新病毒库和恶意代码库,保证病毒和恶意代码及时被清除。
无安全模式以一台物理机为管理单位,无需在每个虚拟机中部署安全防护程序,集中一台虚拟安全服务器中部署运行,随时在线升级和维护,分时扫描各应用服务器虚拟机,对虚拟环境的性能不会造成显著影响,从而避免了“防病毒风暴”等现象。
(3)补丁程序更新
虚拟化平台由于自身设计的缺陷,也存在安全隐患。要保证虚拟机的安全,必须及时为虚拟机进行漏洞修补和程序升级。即便如此,仍然存在安全隐患,原因在于虚拟机系统的补丁可能落后于更新,而且承载不同操作系统的虚拟机可能迟滞不同级别的补丁和更新。所以当其他虚拟机受到保护时,这些还没有更新补丁,容易受到安全威胁的机器就会影响其他虚拟机的安全。
4.系统层
安全测试与风险评估。在部署信息系统前,对承载应用系统的数据库、中间件进行安全配置,并在系统正式上线运行前进行安全测试与风险评估,对于发现的问题整改完成后再行上线,避免应用系统带病运行造成后期整改困难。
(1)部署漏洞扫描系统
如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。采用最新的漏洞扫描与检测技术,包括快速主机存活扫描技术、操作系统识别技术、智能化端口服务识别技术、黑客模拟攻击技术、入侵风险评估技术等多种扫描技术的综合应用,快速、高效、准确地发现系统安全隐患并在短时间内修复漏洞,最大限度地降低系统安全风险,消除安全隐患。
(2)服务器加固系统
操作系统核心加固通过对操作系统原有系统管理员的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能,从而达到从根本上保障操作系统安全的目的。此外,内核加固模块稳定的工作于操作系统下,提升系统的安全等级,为用户构造一个更加安全的操作系统平台。
5.应用层
(1)应用服务区划分
应用服务区主要承载运行环境内的应用服务器,包括教育部应用的oracle、weblogic等中间件服务器等。核心区通过独立的防火墙设备接入应用服务区。
根据应用系统承载不同的应用,实现不同的功能,不同的管理模式,不同的应用系统划分为不同的保护等级,应用服务区分为教育部应用区(三级)、厅主要应用区(三级)、市县应用区(二级)。
(2)前置服务区
提供Web服务的服务器被放置在前置服务区,主要运行网站等互联网应用。在前置服务器区边界部署Web应用防火墙,能够满足为前置服务器区边界提供强制访问控制能力以及能够提供应用层针对网站攻击防护能力。事前,Web应用防火墙提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。从而更有效地对厅网站进行全面的保护,有效降低安全风险。通过部署Web应用防火墙弥补防火墙、IPS在应用层方面薄弱的防护能力。
6.数据层
(1)数据库安全审计
数据库服务区承载了运行环境下核心应用系统的核心数据库。目前共3套核心Oraclerac集群服务器。在数据库服务器区接入交换机旁路部署两台数据库审计系统,通过技术手段并结合管理制度,能够确保数据库服务器区的数据库系统的信息安全;能够及时发现非法用户以及黑客对数据库错误操作和非法操作,并进行及时阻断;能够对数据库查询和修改等操作进行记录,并能提供事后追溯;能够检测和分析数据库应用系统存在的BUG,并能提供相关报表信息;对所有数据库操作可实现字段级的细粒度审计,便于数据库管理。
(2)数据传输安全
保障业务数据在传输过程中的完整性与保密性。一方面,在外网接入区边界部署IPSECVPN实现在省级数据中心与教育部数据中心进行数据传输时,通过VPN技术措施进行传输加密,实现数据通信加密安全;另一方面,在前置服务器区部署SSLVPN实现在福建省教育厅数据中心服务器与外部出差、外部办公人员应用终端之间进行数据传输时,通过SSLVPN技术措施实现数据传输的加密,实现数据通信加密安全。
(3)数据容灾备份
备份是用户保护计算机中重要数据信息的最佳方式。通过Symantec Netbackup实现本地统一备份以及远程数据复制归档的功能,并且在本地配备重复数据删除功能,通过重删后的数据进行远程数据复制归档,从而降低数据的传输大小以及对传输带宽的要求。实现省级教育数据中心的各类结构化、非结构化数据的本地数据备份,制定备份策略,备份服务器将自动进行数据的增量备份与全备份操作;实现各类数据的异地归档备份数据级容灾,能够在数据中心生产数据以及其备份数据均产生问题时,通过容灾机房实现远程归档备份的数据还原操作;实现教育数据中心关键系统的独立部署以及本地数据备份,大大提高系统的数据安全性。
7.运维层
(1)安全运维管理平台
安全运维管理平台的主要监控对象包括各省级教育数据中心所辖硬件设备(网络设备、安全设备和服务器等)和应用系统,主要实现的功能包括:资产管理、性能监控、信息安全告警管理、信息安全事件审计、信息安全风险管理、工单管理、通告管理及多级联动等主要功能。
按照教育部安全运维管理平台统一配置规范、统一接口标准建设省级安全运维管理平台,一方面负责采集分析省级教育数据中心网络设备、安全设备、服务器、中间件的性能指标,实现省级数据中心基础环境的业务可用性集中监测与管理;另一方面收集汇总本级环境中的安全事件并进一步通过关联分析实现对部署在本级的国家教育管理信息系统的整体安全运行态势进行集中监控、分析与管理。最终省级安全运维管理平台通过IPSecVPN构建的数据加密传输通道上报业务可用性运行状态、重大信息安全风险、重要信息安全事件及信息安全审计分析报告等数据信息至中央级安全运维管理平台,实现对全国教育信安全事件的集中监测、上报与响应。
(2)应用安全监测与预警平台
应用安全监测与预警平台以应用系统为对象,对应用系统进行漏洞监测、实时挂马监测、关键字监测、可用性监测、事后篡改监测、安全告警与安全势态跟踪,实现对应用系统的可用性、脆弱性和内容安全性进行监测、预警。
统一部署的应用安全监测预警管理平台,实现对部署于数据中心的国家教育管理信息系统及自建系统进行应用安全监测与管理;并通过本平台上报国家教育管理信息系统的重大安全风险、重要安全事件及应用系统安全审计分析报告等数据信息。
(3)安全运维审计
在运维管理区部署运维审计系统,逻辑上将人与目标设备分离,建立“人-〉主账号(堡垒机用户账号)-〉授权―>从账号(目标设备账号)的模式;在这种模式下,基于唯一身份标识,通过集中管控安全策略的账号管理、授权管理和审计,建立针对维护人员的“主账号-〉登录―〉访问操作-〉退出”的全过程完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计。通过细粒度的安全管控策略,保证服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失。堡垒机不仅能记录操作痕迹,还能回放记录,追溯责任,定位问题,运维审计结果能以各种报表形式展现,满足不同人员的需求。
四、结束语
安全运维是确保信息系统正常运行的必要环节,也是信息系统生命周期中的一个长期工作。省级教育数据中心安全运维技术保障体系依托统一身份认证管理平台,通过分级和分域进行安全管理与保障,实现各个分域子网安全,实现基于安全域的安全互联、接入控制与边界安全防护,构建安全管理中心,提供安全管理、安全监控、安全审计、容灾备份、应急响应等安全服务手段,保证数据中心计算环境安全,保证承载的国家教育管理公共服务平台和本级各类教育管理信息系统的运行,最终形成“安全开放、等级保护、按需防御”的等级化安全保障体系,服务于所辖区域内教育行政部门和学校的信息化管理业务应用。
参考文献:
[1]教育部教育管理信息中心.国家教育管理公共服务平台省级数据中心建设指南(印发稿)[Z].2013.
[2]曾德华.省级数据中心建设目标、内容框架与实施管理[J].中国教育信息化,2013(13):8-9.
[3]安宏.国家教育管理信息系统信息安全保障体系建设[J].中国教育信息化,2013(13):16-19.
[4]邓高峰,高四良,李玉龙.服务器虚拟化安全问题分析及防护措施[J].计算机安全,2014(8):30-32.
关键词 攻防角度;敏感信息;输入;安全防护技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0042-01
随着计算机技术和通信技术的飞速发展,大量的信息在计算机当中进行储存和处理,在网络上进行传输和交流,方便人们进行查阅,为人们的日常生产生活提供了诸多便利。但是,也会经常发生信息泄露现象,这严重的影响了人们的隐私,同时还可能会造成重大的损失,所以应该加强对于敏感信息的防护,保障信息的安全性。
1 敏感信息概况
当前,用户的敏感信息,比如:账号和密码,一直以来都是受到网络攻击的目标,现在的网络用户通常情况下更加的关注在网络传输过程中的安全协议以及加密等手段对于这些敏感信息进行相应的防护,从而忽略了相应的物理以及主机方面的信息安全的保护。一般情况下,攻击者能够在相应的敏感信息到达软件或者是浏览器的内部进行加密等处理之前就能够将其截获。信息在计算机网络当中进行传播,其主要的以如下几种形式存在:①储存在永久的介质上。在永久介质上存在的信息,主要的是指以操作系统文件形式或者是以数据库的数据结构形式存储在要硬盘或者是其他类似介质上的信息。②在使用过程中的信息,其主要包含了正在进行运算处理和以显示和打印等形式输出的信息。③正在传输的信息,其传输包含了以各种形式连接的主机与主机、主机和终端以及客户与服务器之间所传送的信息。
2 敏感信息常见的威胁种类和预防措施
1)非法入侵的威胁。计算机在运行的过程中,通常情况下会和互联网相连接,这时就会遭遇到非法入侵,非法入侵主要的就是指通过各种非正常的手段进入到系统当中,并且访问不该访问的相关信息,或者是对于系统的运行造成威胁。非法入侵主要的可以通过过滤方法、方法以及身份验证方法来对其进行防护,其中身份验证是防止非法入侵最常见也是非常有效的方法,并且能够取得很好的效果。
2)越权访问以及传输过程中信息泄露的威胁。越权访问主要的是指一个用户通过合法的途径进入到系统以后,对于超越了自身权限的信息进行访问,去访问那些本来不应该由自己进行访问的信息,这样就可能会对信息造成一定程度上的威胁;而敏感信息在传输的过程当中也会造成信息泄露所带来的威胁。防止越权访问的最基本的方式就是加强对于用户访问权限的管理、控制以及检查,常见的访问控制方法有以下两种:自主访问控制和强制访问控制。而在传输过程中敏感信息泄露大多数情况下会采用传输加密的方式来进行防护,当前主要的加密方式是线路加密。
3)使用过程中信息泄露的威胁。信息在使用的过程中,主要的包含了对于计算机中信息进行各种运算处理和通过显示以及打印等设备对于相关的信息进行输出,其主要的体现在运算处理中的信息在内存中可能会出现被泄露的情况,另外就是显示终端的电磁辐射所造成的泄露以及打印结构所造成的泄露。在进行使用过程中信息泄露防护的过程中,应该实现对一般用户的防范,相应的显示终端以及其他终端是被的电磁辐射等,主要的可以通过屏蔽的方式来防止,而打印结果造成的泄露主要的是通过加强管理来解决。
3 基于攻防角度的敏感信息输入安全防护技术分析
在进行信息输入的过程中,主要的是通过键盘来实现,在信息输入分过程中,也会遭受到信息泄露的威胁,所以应该采取有效的技术进行防范。
1) 安全密码框技术。为了保障敏感信息的安全输入,当前常用的方式是通过控件或者是软件的方式来构成相应的安全密码框,当相应的输入焦点落入到密码框内的时候,启用相应的安全措施,保障键盘记录器能够正常的运行的同时,也记录不到密码框接收到敏感的信息。在内核层常见的防御方式有:禁止扫描0×60端口,在相应的0×60端口处插入干扰的信息,这样键盘记录器就会受到这些信息的干扰,没有办法正确的记录相关的信息;此外还可以修改IDT中断处理层程序的地址,这样就可以有效的绕开后面的键盘记录器。一般来说,在内核层进行防御所达到的效果是比较好的,安全强度比较高,但是其通用性不是很好。在其应用层主要的可以通过加密以及加入干扰信息等方式绕过相应的应用层键盘记录器,这些方式的通用性都比较好,适用于各种类型的键盘以及各种操作系统版本。
2) 虚拟键盘风险防范技术。虚拟键盘是一种通过软件模拟键盘输入的技术,其可以直接的在应用层生成相应的按键信息,其能够很大程度上避开内核层的大部分的威胁,当前已经得到了广泛的应用。但是在使用的过程中还存在很多的威胁,比如:容易被偷窥、可以通过截屏来获取相应的按键信息,并且还可以根据窗口的位置和鼠标点击信息推断出按键内容。主要的可以采取以下的方式进行安全防护,对于偷窥可以利用光学手段进行相应的防护,可以添加相应的防偷窥的材料;对于截屏主要的可以余晖效应将虚拟键盘界面分为若干个部分连续显示,这样计算机使用者可以看到虚拟键盘内容,但是攻击者通过程序截屏所获得的图像是无法进行识别的。对于鼠标记录,可以通过动态变化键盘布局的方法进行防护,也就是在每次启动虚拟键盘的时候,虚拟键盘内各个按键的排布方式不同,这样就能够有效的防止输入信息的泄露。
4 总结
随着科学技术的不断发展,保障敏感信息的安全已经成为当前一个非常重要的问题,对于敏感信息进行防范的过程中,应该采用科学合理的方式,了解到信息泄露的主要原因,有针对的采取各种有效的措施对其进行防范,以此来保障敏感信息的安全。
参考文献
[1]傅建明,伟,李晶雯.敏感信息输入安全技术探究[J].信息网络安全,2013,06(03):152-160.
[2]姜伟,方滨兴,田志宏,张宏莉.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,08(04):103-108.
[3]王利涛,郁滨.信息技术设备电磁泄漏建模与防护[J].计算机工程与设计,2013,03(01):45-51.
随着电子政务和各种社会化便民网络工程的建设完成,各政府部门和社会管理服务系统希望通过安全的信息系统建设,提高了办事效率,增加了办公的透明度,加强了监管力度。因此,各种网上便民应用要求相关部门的业务网与互联网实现信息交换,同时业务部门之间的网上办公系统要求相关业务网也要实现信息交换。在这些网络安全需求中,安全隔离与信息交换系统(以下简称“安全隔离网闸”)得到了广泛应用。
安全隔离网闸市场已经开始进入高速增长期。安全隔离网闸的高安全性已经逐渐地被政府网络管理者所认可,从安全隔离网闸现在在公安专网与其外联网络(如印章制作中心网络、旅店监管网络等),税务专网与互联网、工商专网与互联网等政府部门网络中的广泛应用就可以得到印证,并且数十台以上的集中采购项目已经是经常可见的。除了政府应用外,军队、金融、电力等行业也认识到了安全隔离网闸的安全价值,在重要的网络隔离中采购安全隔离网闸来实现高安全的数据交换。
安全隔离网闸需求量的迅速增长是以产品成熟为前提的!国家相关部门对安全隔离网闸最基本的技术要求有两点:一点是硬件架构为“2+1”结构,即由两个拥有独立操作系统的主机系统和一个专有的隔离交换模块组成;另一点是对流经的数据处理方式,对数据包全部在应用层进行重组、深度内容检测之后在网间进行信息“摆渡”。这两点技术要求已经在主流厂商的安全隔离网闸上得到了严格的执行。
但是,各安全隔离网闸厂商研发的重点都只是集中在对“摆渡”数据的深度检测实现和提高处理性能上了,笔者在进行广泛地调研后认识到安全隔离网闸的技术发展忽视了其作为网关级安全设备应该进一步具有适应性、可管理性以及自身安全性。以下笔者将从客户应用需求的角度,展望安全隔离网闸下一步的几个最新发展动向。
多网接入安全隔离需求
现在,交警、电业局、自来水公司等单位在通过银行实现相关费用代收时一般要与多家银行进行网络连接。安全隔离网闸在这样的网络中部署时使客户出现了困扰,原因在于现有各厂商的安全隔离网闸部署时每个主机系统只能连接一个网络,那么在不能将各家银行网络连接到同一个交换设备上的安全要求下,一般的解决方式只能是有几家银行接入就部署几台安全隔离网闸。这样的解决方案很明显是过于浪费的!
以交警网络与银行网络连接为例,我们仔细分析发现各银行网络相对于交警内网都是相同安全级别的网络。在各银行网络在实现无法互访和分别能与交警内网进行数据交换的前提下,是可以通过一台安全隔离网闸与交警内网相连接的。这就要求安全隔离网闸满足主机系统有多个网络连接接口,从而实现每一主机系统可以同时连接多个相同安全级别的网络,并且每个网络接口之间在系统内部固化实现无法互访。也就要求安全隔离网闸成为多网接入安全隔离平台(如图一所示)。
集中管理需求
防火墙从最初作为独立的安全设备部署在网络中,到现在可以通过集中管理控制平台来实现对多台防火墙的统一协同安全防护和设备状态监控等管理。安全隔离网闸作为与防火墙相类似的网关级安全设备,其管理上也必然有相类似的管理技术发展脉络。
当前,市场上的安全隔离网闸还无法实现集中管理功能,但由于安全隔离网闸的规模性部署增多和对管理人员技能要求更高,所以用户对安全隔离网闸的集中管理功能的需求已经相当迫切。
集中式安全管理系统,要以统一的策略和集成的平台对受控网络进行安全配置和管理。集中管理员能通过集中管理中心可以对全局网络中的安全隔离网闸完成集中、统一的配置、管理和系统监视工作。
集中管理模式对于拥有多台安全隔离网闸的网络的安全管理尤为重要。它一方面提高了网络安全规则的一致性,增进网络的安全性,另一方面也为管理员提供了方便的配置和诊断工具,使管理员可以腾出更多精力的关注更高级的安全管理工作。
操作系统抗攻击需求
用户对安全隔离网闸操作系统抗攻击的需求越来越迫切。安全隔离网闸作为网关级网络安全设备,并且对所有的应用协议都是在应用层采取的方式进行处理,从而导致安全隔离网闸的并发连接数都是不高的,如百兆平台一般并发连接数不超过一万个,这个数量级与防火墙的少则几十万和多则上百万相比实在太少了。因此,如果在相连网络中有主机感染网络病毒或者蓄意发起DDOS攻击时,就会导致安全隔离网闸无法响应正常的连接请求,由此出现的网络故障时有发生。
安全隔离网闸的操作系统内置独立的入侵检测功能和抗DDOS攻击功能将成为必需。其入侵检测功能要与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码,并且支持攻击特征码分类,可根据大类进行特征码选择。攻击的特征库应包括扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击,可以检测到网络中的绝大多数入侵行为,可以实时设置阻断规则,将入侵及时阻断。
市场需求是产品技术发展的指挥棒,用户的迫切需求需要具有研发实力和市场远见的安全隔离网闸厂商来完成。
技术发展需要
安全隔离与信息交换系统(以下简称“网闸”)的三项关键技术是:硬件隔离,信息摆渡,应用层的细粒度检查。
网闸作为对网络保护程度接近于物理隔离的安全产品,首先要在硬件上实现物理隔离。因此,网闸的硬件架构上就要是“2+1”,即有两个主机模块和一个隔离交换模块。现在除了个别厂商采用两个主机模块直接连接之外,大部分厂商都是采用“2+1”的架构,只是各自的交换模块设计方式不同。现在国内网闸业内的交换模块设计主要有三类实现方式:专有隔离交换硬件、与主机模块相同的主机和数据存储模块。基于要在硬件上实现物理隔离的原则,就要求三个模块的系统必须互相独立,并且通过隔离交换模块控制开关的切换确保两个主机系统任何时刻不直接相连。
网闸支持的应用通常包括数据库的同步和访问、文件交换、邮件交换和访问、HTTP访问、FTP访问等等。对于各种应用的控制强度和在应用层的检查力度是检验各厂商产品的安全防护能力的验金石。
用户安全需要
现在我国各级政府的网络建设重心已经由最初的面子工程转变成为各级政府电子政务提供基础应用平台。政府的网络基础建设已经基本完成,如网上报税、网上工商、政府办公大厅等网络应用已经开始全面展开,大大地方便了公民或企业办事。这些应用都要求各政府单位的业务网与国际互联网直接或者间接的进行连接,同时各政府单位又担心安全和保密问题。网闸基于其自身的高安全性,因此是解决此问题的最佳选择。网闸以自身的安全隔离特性和极高的检测机制保证了其保护的网络主机和网络不会被入侵。在高安全需求的网络环境下,网闸正在全面取代防火墙。
联想网御通过多年防火墙的研发积蓄了丰富的硬件设计、访问控制、主机安全防护、数据深层次检查等安全产品研发经验。很多安全技术就已经成功移植到网闸上,例如多机负载均衡技术的移植,使联想网御网闸最大支持32节点群集,无需任何第三方负载均衡软硬件支持。
经过多年的高速增长,联想网御积累了雄厚的资金,从而保障了网御产品拥有相当数量的、稳定的、高素质的研发人员,使联想网御的网闸技术能够傲视群雄,不断开拓新的市场。同时还有遍布全国的服务体系,可以全方位的7×24小时的支持,保证了用户的利益和安全。
关键词:信息安全技术;知识点;教学实践;计算机科学与技术;网络工程;软件工程
中图分类号:G64 文献标识码:B
1引言
计算机网络和通信的融合是促进信息化社会发展的最活跃的因素之一。计算机与信息技术的发展为其他高新技术产业的发展起到十分重要的带动和示范作用。计算机与信息技术的发展和应用离不开信息的安全,信息安全是构建整个社会信息化的根本保证。只有实现了信息的安全,才能确保电子政务、电子商务、网络科研、网络银行、远程教育、远程医疗等计算机网络信息系统的正常运行、真正造福于人类。
目前,国际上不少大学开设了信息安全学科专业或者信息安全相关课程[1~3],国内则已有几十所高校开办有信息安全本科专业,为国家和社会培养了一批掌握信息安全理论与技术的专门人才,这些信息安全专业毕业生的数量与社会的需求仍存在较大差距。另一方面,国家对于开设信息安全专业有许多规定和要求,并不是什么学校都可以开办该专业的。此外,几乎所有高校均举办有计算机科学与技术专业或者网络工程专业或者软件工程专业或者其他相近专业,而且在实际工作中,无论是过去、现在还是将来,许多计算机应用系统、网络信息系统、软件系统都是由计算机科学与技术、网络工程和软件工程专业的毕业生设计、开发的。我们知道,只有从系统设计伊始就考虑信息安全需求与信息安全技术运用,才有可能使得开发出的信息系统是稳定可靠和安全实用的。因此,探讨计算机科学与技术、网络工程、软件工程专业本科信息安全技术知识点及其教学方法,培养学生的信息安全意识,训练学生运用所学的信息安全技术知识去设计、开发安全可靠的计算机网络信息系统、软件系统和数据库应用系统等,是这些专业本科教学改革与实践的一项重要的现实任务。
2各专业本科教学的信息安全技术知识点
结合信息安全学科发展趋势[4],我们认为计算机科学与技术、网络工程、软件工程等专业的本科生,应当学习如下信息安全技术知识点并逐步加以运用。
(1) 信息安全基本概念
信息安全研究范畴,信息安全系统,信息安全体系结构,信息安全模型,信息安全管理、信息安全标准与法规。
(2) 计算机设备与芯片安全
(3) 密码技术
DES对称密码,RSA公钥密码,ECC椭圆曲线密码,量子密码,密钥管理与密钥恢复技术,公钥基础设施PKI,基于口令、智能卡和生物信息的身份认证机制,基于私钥和公钥密码体制的信息认证技术,Kerberos认证系统与X.509标准;安全单向HASH算法,数字签名技术与标准;信息隐藏与数字水印技术。
(4) 数据库安全
数据库加解密技术,数据库系统访问控制技术。
(5) 操作系统安全
操作系统安全机制,Windows操作系统安全,Unix操作系统安全,Linux操作系统安全,Solaris操作系统安全。
(6) 计算机网络系统安全
计算机病毒及其防治技术,网络协议TCP/IP、HTTP的安全,电子邮件系统安全,网络互连设备安全,安全电子商务协议,入侵检测技术。
(7) 应用程序安全与可信软件技术
应用程序安全,软件可靠性,软件质量预测,可信软件测试,可信软件开发与维护控制。
3各专业本科信息安全技术知识教学实施方法
在计算机科学与技术、网络工程、软件工程专业本科教学计划中,独立地开设六、七门课程来讲授前述所列的信息安全技术知识点,将占用较多学时,显然是不现实的;而且如果这样做的话,这三个专业几乎演变成信息安全专业了。我们认为,计算机科学与技术、网络工程、软件工程专业本科信息安全技术知识的教学既要有一定的宽度和深度以最大程度地获得更好的教学效果,又要体现出与信息安全专业本科教学的区别。
在计算机科学与技术、网络工程、软件工程专业本科实施信息安全技术知识点的教学,一种做法是单独开设一门“信息安全技术”课程,将前述知识点集中讲授。这样做的优点是,通过该课程的学习,学生们可以在短时间内对信息安全技术知识获得整体的了解与认识。但是,前述所列的信息安全技术知识点与计算机科学与技术、网络工程、软件工程专业其他课程的内容联系十分紧密,真正理解这些知识点并加以运用需要学生具有相关的专业课程背景知识(例如,理解关系数据库加密的特征与过程必须具有关系数据库理论与技术方面的知识)。因此,如果在开设相关专业课程之后再独立开设“信息安全技术”课程,那么由于课时安排受限的关系以及授课教师专长有所不同,在授课过程中将信息安全技术各知识点与学科专业其他课程联系以及将信息安全技术知识应用于实际问题的设计与求解的阐述可能就不够深入;另一方面,如果在低年级就开设“信息安全技术”课程,那么学生们由于缺乏学科专业知识的支撑,一时半会难以理解授课内容。
为了解决上述矛盾,我们建议的实施方法是,首先聘请在计算机与信息安全学科具有较高学术造诣和丰富教学实践经验的教授在大学低年级为学生开设“信息安全讲座”,以使得学生们对信息安全技术有一个概括性的认识;然后,融合信息安全技术知识的传授贯穿于计算机科学与技术、网络工程、软件工程专业本科教学的全过程,将有关信息安全技术知识点的讲授有机地集成到相关专业课程的教学实践过程中,如下表所示。
在计算机科学与技术、网络工程、软件工程专业本科相关课程实施我们提出的这种信息安全技术知识教学方法对专业课程任课教师来说既是必要的又是可行的,例如“数据库系统”课程的任课教师除了具备坚实的数据库系统理论和技术知识之外,也应当比较熟悉数据库加解密和数据库系统访问控制技术(这些其实也是数据库系统课程的一部分内容),这样讲授如何将数据库安全技术知识应用到数据库应用系统的设计与开发中就是一件很自然的事情。
4结束语
进入21世纪以来,高等院校除了开办信息安全本科专业批量培养信息安全技术专门人才之外,在计算机科学与技术、网络工程、软件工程等信息类专业本科教学中讲述信息安全技术知识也已经成为共识,虽然各校讲授信息安全技术知识点内容的多少、深浅以及侧重点有所不同,实施教学方法也各有秋千。
我们提出的计算机科学与技术、网络工程、软件工程专业本科信息安全技术知识点及其教学方法已在广西大学实施多年,取得了良好的效果,具体表现为这些专业不少学生的本科毕业设计课题就是信息安全技术方面的、毕业受聘的工作岗位是直接从事信息安全技术开发与维护工作,也有相当的本科毕业生考上了信息安全技术专业方向的研究生。
本文结合信息安全学科发展趋势和自身的教学实践,探讨了计算机科学与技术、网络工程、软件工程专业本科的信息安全技术知识点以及教学实施方法,期望它能起到抛砖引玉的作用。
参考文献
[1] Erik Hjelmas, Pstephen D. Wolthusen. Full-spectrum information security education: integrating B.Sc., M.Sc., and Ph.D. programs. Proceedings of the 3rd annual conference on information security curriculum development, New York: ACM Press, 2006:5-12.
[2] Matt Bishop. Education in information security. IEEE Concurrency, 2000,8(4):4-8.
关键词:网络设备;SSID;AP;无线网络控制器;VLAN
一无线网络技术简介
无线网络的飞速发展给人们的工作和生活带来了极大的便利。(一)灵活以及廉价。(二)没线缆约束。
二无线网络安全隐患分析
非授权的用户若获得了无线网络的访问权限,将会破坏系统数据,消耗网络带宽,降低网络的性能。
三无线网络安全措施分析
(一)转向企业级加密用户们使用PSK模式进行登录,对每一个用户和会话都是唯一的。(二)确保物理上的安全性一定要保证你的接入点AP远离公众可以接触的地方,最起码应该将其挂到墙上或天花板上。(三)装入侵检测和入侵防御系统这两种系统通常靠一个软件来工作,并且使用户的无线网卡来嗅探无线信号并查找问题。(四)构建无线使用策略正如需要其它网络设备的使用指南一样,你也应当有一套针对无线访问的使用策略。
四东莞市某职业院校无线网络安全技术应用方案
学校对无线网络的需求特征分析上,安全因素被放在了首位。(一)校园无线网络安全问题的提出在当今使用中,大多数校园的无线局域网主要是依靠WEP方式对数据进行加密。其次,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以接入网络。另外,黑客还可能会使用MAC欺骗技术入侵网络。下面根据东莞市某职业院校无线网络应用的需求和要达到的目标,整体规划设计出一套适用于东莞市某职业院校的无线安全应用方案。(二)东莞市某职业院校无线网络安全技术应用方案概述该解决方案采用了WPA安全架构的设计,还应用了基于英特尔架构的无线网络控制器和支持多SSID的AP。(三)东莞市某职业院校无线网络安全技术应用方案实施下面以东莞市某职业院校的校园无线网项目为例,详细地阐述应用方案。(1)无线网络呈现的问题分析与应用解决方案由于存在不同地点的校区,学校的教职员工不得不在不同的校区来回,同时教学场所也经常在各校区之间变换,这让校园网络出现了难题:①如何让校园网络覆盖两个不同位置的校区?②如何提供无缝的网络连接?③如何保证网络安全通畅?④如何提高教学和学习效率?针对学校面临的以上难题,对无线网络应用方案确定如下:⑤无线网络信号覆盖两个不同的校区。⑥提供无缝的网络漫游。⑦保障无线网络安全性。⑧提供不同的接入认证方式。(2)无线网络技术应用方案的确定为了构建一个统一的、易接入的、稳定安全的校园无线网络环境,现决定采用以下解决方案:①全面采用笔记本电脑作为无线终端。②采用符合802.11标准的产品,架构采用WPA标准。③采用具有多SSID和VLAN特性的AP进行基础覆盖。④采用无线网络接入控制器。⑤采用无线网络管理系统。(3)无线网络安全技术应用的实施该方案使得整个校园无线网络具有高度可扩展性和可升级性,提出了校园无线网络的整体应用方案。如图4.1所示:在无线网络方案中,各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①对于在校内的学生和教师用户,将采用符合WPA安全架构的802.1x标准认证的接入方式,通过的用户将获得一个唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成唯一的加密密钥。在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发,从而使通过认证的内部用户访问整个网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全。②对于用WEB方式认证的校外来访用户,连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直接利用浏览器就可以通过充当RNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以无线网络控制器(RNC)作为其网关设备,L3分布层交换机无须对该SSID所代表的VLAN进行路由转发。如果这些用户需要访问校园内部网络,可以通过在这一无线网络控制器(RNC)设备上启用用户级的策略路由来实现。(四)校园无线网络安全技术应用方案总结(1)安全性高这套无线局域网系统支持符合WPA安全架构的802.1x认证方式,借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。(2)支持多SSID和VLAN划分CiscoAironet1200系列AP支持多SSID,每个都可以映射到有线网络的一个VLAN,将符合802.1q标准的VLAN延伸到无线网络上。(3)利用策略路由进行访问控制在方案中,将校园无线用户分成两类,一是教师用户,一是学生用户。为了让学生能通过网络与其它院校的师生进行交流,但同时又不想Internet上的垃圾信息和不良网站干扰学生的生活,那么可以设置学生用户的下一跳路由到CERNET,而教师用户的下一跳则是路由到Internet出口,从而实现了不同无线用户群体的访问需求。(4)流量控制保证用户带宽通过RNC的流量控制功能将不同用户的带宽按不同需要进行管理,保证某些重要用户的带宽畅通,有效防止了带宽过量占用的拒绝服务攻击。(5)AP管理和用户管理通过RNC的AP管理功能,可以把其所连的AP作为一个网络单元进行管理,结合网管系统还可以将RNC作为SNMP(简单网络管理协议),对这些AP进行管理。无线网络管理员可以通过“Web3.教学管理制度与考核制度教学管理工作由院校双方共同承担,遵照共同制定的人才培养方案和教学计划开展教学,学徒制工作小组定期巡视现场教学,了解教学基本情况,收集意见和建议。考核制度上实行理论课程考核、专业核心课程考核和毕业考核。理论课程的教学主要在学校完成,由学校组织笔试+实践考核;专业核心课程主要在合作医院完成,由现代学徒制工作小组组织临床实践+技能考核;毕业考核采用综合专业理论笔试+专业核心能力鉴定+病案报告考核,由现代学徒制工作小组组织实施。学生只有通过以上考核才能获取康复治疗技术专业专科毕业证。4.现代学徒制实施存在的问题现代学徒制教育是高职院校发展的基本趋势,是推动我国职业教育发展的有力武器,但目前我国现代学徒制成功应用到卫生职业教育的模式还很少,离医教结合、工学交替模式还有很大的差距,主要表现在以下几个问题:(1)法律体制不健全。合理、完善、有效的职业教育法律法规是保障学徒制推行的基本前提,卫计委和教育行政部门应当充分发挥宏观调控和管理功能,修订和完善相关法律法规,在政策、经费上给予充足的保障,充分调动医院、卫生行业的积极性,使医院在人才培养意识上具有社会责任感和使命感。(2)行业学会支持力度不够。行业协会应对职业教育充分发挥其引导和管理作用,一方面积极鼓励医院参与到职业教育中来,在科研、继续教育、职称晋升等方面给予医院兼职教师相关优惠政策。另一方面在人才培养规格上引导学校和医院结合康复治疗师的岗位需求与国际标准接轨,不断更新修订康复治疗技术专业标准、教学内容和执业资格考试标准。(3)双导师师资力量薄弱。学校导师应定期到医院临床实践予以相关的考核和激励机制,提高学校导师实践教学能力;医院导师应有计划的进行职业教育教学理念的学习、教学方法执教能力的培训,使其具备先进的职业教育教学理念和教育教学方法。现代学徒制能让康复治疗技术专业实现符合现代职业教育理念的产教融合,是目前所提倡的工学结合教学模式的载体和有效实现形式,更是当前发达国家职业教育的主导模式。高等院校和相关医院深度合作、双导师联合传授技能,符合行业发展规律,有利于加速卫生事业的发展、服务当地区域经济转型升级。
参考文献
[1]赵蕾.现代学徒制对高职高专院校人才培养模式的影响及应用研究[J].职业教育,2015(9):37.
[2]关晶,石伟平.西方现代学徒制的特征及启示[J].职业技术教育,2011(31)32:77-79.
购物车(0)
