时间:2023-06-01 08:52:12
引言:寻求写作上的突破?我们特意为您精选了12篇网络安全总体规划范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
1信息安全现状
1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:
(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;
(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;
(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;
(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;
(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。
1.2当前医院信息安全存在的问题,主要表现在如下的几个方面
(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。
(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。
(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。
(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2医院信息安全总体规划
2.1设计目标、依据及原则
2.1.1设计目标
信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。
2.1.2设计依据
(1)《信息安全等级保护管理办法》;
(2)《信息技术安全技术信息技术安全性评估准则》;
(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;
(4)《电子计算机场地通用规范》。
2.1.3设计原则
医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.2总体信息安全规划方案
2.2.1基础保障体系
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
2.2.2监控审计体系
监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。
2.2.3应急响应体系
应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。
2.2.4灾难备份与恢复体系
为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
3结论
通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。
参考文献
[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).
[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).
引言
所谓税务电子政务是指税务部门运用现代电脑和网络技术,将其承担的税务管理和服务职能转移到网络上进行,同时实现税务部门组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向社会和纳税人提供高效优质、规范透明和全方位的管理与服务。税务电子政务的实施使得税务部门事务变得公开、高效、透明、廉洁和信息共享,与此同时,也使得政务信息系统安全问题更加突出和严重,影响税务电子政务信息系统功能的发挥,甚至对税务部门和纳税人产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。因此,建设税务电子政务信息系统安全的保障体系是发展税务电子政务的关键所在,具有极其重要的意义。
1税务电子政务系统安全体系概述
税务电子政务系统安全体系方面的研究始终是学术界研究重点和税务部门、企业界广泛关注的焦点之一,已经出现了较多的研究成果和实践案例,比如将税务电子政务安全相关标准分成信息安全总体标准、密码算法、密码管理标准、防信息泄漏标准、信息安全产品标准、系统与网路安全标准、信息安全评估标准、信息安全管理标准8个类别;将税务电子政务安全体系划分为“网络安全政策法规、网络安全组织管理、网络安全标准规范、网络安全服务产业、网络安全技术产品和网络安全基础设施”六个组成部分;将税务电子政务安全保障体系划分为安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施6大要素;部分厂商则或者从网络、传输、存储安全以及可靠性、隐秘性、易维护性等角度构建安全体系,或者从物理、网络、主机、应用角度设计;或者从物理隔离、基础平台安全、应用平台安全和安全管理四个方面进行总体考虑。
2如何构建完善的税务电子政务系统安全体系
我们知道,税务电子政务系统安全体系是整个税务电子政务系统安全、有效、高效运行的重要保证,因此安全体系应切合税务电子政务系统实际需求,在保证物理安全和网络安全的基础上,充分保证数据安全和应用系统安全,同时通过安全制度建设和安全教育培训实现安全体系有效实施,以全面保证税务电子政务应用系统中各类信息的采集、处理、管理、传输等安全进行,并满足将来税务电子政务系统安全方面的扩展需求。下面我们将在阐述税务电子政务系统安全体系基本构建原则的基础上,从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训等方面对完善的税务电子政务安全体系进行说明。
(1)构建电子政务系统安全体系的基本原则
参照我国税务电子政务建设指导意见并结合税务电子政务安全体系方面的研究,我认为:构建税务电子政务系统安全体系应当遵循以下原则:
Ÿ1)全面设计、整体部署
2)统一标准,加强管理
Ÿ3)需求主导,重点突出
Ÿ4)灵活配置、动态部署
5)制度建设、安全培训
(2)电子政务系统安全体系之物理安全
物理安全是整个税务电子政务系统安全的前提,用于保证计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。税务电子政务系统安全体系中的物理安全可以分为环境安全、设备安全和媒体安全,涉及到税务电子政务系统应用范围内的各方主体。其中,环境安全是对系统运行环境的安全保护,如区域保护和灾难保护等,具体可以参照国家标准GB50173-93、GB2887-89、GB9361-88等相关要求进行设计;设备安全则主要包括存储、传输或系统运行所用设备的防盗、防毁、防磁、防止线路截获、抗电磁干扰及电源保护等;媒体安全则包括存储媒体本身的安全以及媒体中存储数据安全。
(3)税务电子政务系统安全体系之网络安全
税务电子政务系统安全体系之网络安全主要分为传输网络安全和业务网络安全两类。对于税务电子政务系统相关的传输网络,网络安全主要是保证参与税务电子政务系统各方主体之间的数据传输网络以及公共网络服务的安全可靠运行,从目前税务电子政务建设情况来看,传输网络安全目前需要由网络基础设施提供商或服务商为其安全性提供充分保证。对于税务电子政务系统相关的业务网络,网络安全主要包括控制拨号用户接入、设置防火墙、防范病毒、控制与公网互连、防范黑客入侵以及就网络安全进行严格监控和规范管理等以保护业务网络资源和电子政务应用服务。
1)拨号用户接入问题:
目前,我国税务电子政务系统网络建设并不完善,还存在部分网络环境较差的单位,在使用税务电子政务系统的时候需要通过拨号方式利用公用电话交换网在网络上传输数据。以该种方式传输的数据可能在传输过程中被窃听、被篡改,因此针对由于使用拨号方式传输数据所产生的安全隐患,需要采用拨号用户身份认证等加强对拨号用户的安全验证,对拨号用户实现统一管理,采用加密手段对关键数据加密后进行传输,防止数据泄漏和被非法窃取;严格限制拨号上网用户能访问的系统信息和系统资源,防止非法用户拨号进入电子政务系统所在网络。
2)防火墙设置问题:
在税务电子政务系统运行所在专网和外网之间、不同安全域之间需要根据需要设置防火墙,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤。防火墙设置需要综合考虑电子政务系统所要求的速度、性能、管理、便易性和性价比等各个方面,进行周密设计和总体规划;另外应注意加强安全管理,采取一些必要的措施保证较高的安全性,比如防火墙要安装在不同的介质上,尽量使用不同的服务器提供不同性质的服务,对于重要系统的出口应重点配置防火墙,在实际配置和实施时应该关闭不需要的服务,要经常检查防火墙的日志,发现异常应该及时处理,采取多层防御、冗余防御等多种方法和措施。
3)关于防病毒问题:
在税务电子政务系统中,需要基于业务需求建立多层次病毒防卫体系。无论是B/S还是C/S结构,均需要在税务电子政务系统每一个安装或运行点强调安装反病毒软件,在税务电子政务系统中的业务处理终端和服务器端应同时提供对应的防病毒保护措施。防病毒工作是一个长期的工作,应及时进行防病毒软件或系统的升级、换代工作。另外除了采用各种防病毒产品以外,还应建立和实施完善的综合安全性操作程序,该操作程序应包括各种安全措施,如定期数据备份、关键信息加密保护等。
4)控制与公网互连的问题:
在税务电子政务系统中,数据传输的方式一般包括纸质传输、介质传输和网络传输,因此对于公网传输的情况应加强安全方面的管理和控制。税务电子政务系统要求内外网物理隔离,一般可以采用双穴主机及类似措施,在严格控制与公网互连的前提下,妥善解决公网与专网之间的数据传输问题。
5)关于防止黑客问题:
随着网络规模的扩张和信息技术的飞速发展,黑客技术也不断发展,其攻击的范围和层次也不断扩张。税务电子政务系统作为我国政府信息化的重要项目(比如金税工程、秦税工程等)也有可能成为某些恶意黑客的攻击对象。因此在设计和实施税务电子政务系统安全体系时,应加强采用入侵检测技术防范黑客入侵和侵袭,并在必要的时候采取证据记录、跟踪恢复、强制断开等措施保证业务网络的安全。
6)网络安全管理和监测:
网络安全管理和监测是税务电子政务系统安全设施和安全机制有效发挥作用的重要保证,主要包括安全规范的制定和实施、各类操作用户的安全管理、安全体系的运营监控、应急处理和安全控制等。
(4)税务电子政务系统安全体系之数据安全
税务电子政务系统一般将需要采集、整理、处理、传输、统计、分析等所对应的数据进行安全分级,比如有些系统将数据分为一般数据、重要数据和关键数据三级,有些系统将数据分为自主保护、审计保护、标记保护、结构化保护和验证保护五级等,然后对于不同级别的数据采用不同的安全措施。
根据数据的处理形式不同,安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。
(5)税务电子政务系统安全体系之应用系统安全
税务电子政务系统安全体系之应用系统安全主要包括用户身份认证、访问控制、安全审计及日志、安全技术及应用四个部分。
1)用户身份认证
这里的用户是一个比较宽泛的概念,不仅包括使用税务电子政务系统的政务工作者(人),还包括访问或者使用税务电子政务系统的其他系统或者主机、服务器等(系统、计算机)。
用户身份认证根据税务电子政务系统是否部署认证中心CA可以划分为如下两种情形:当税务电子政务系统中没有部署认证中心CA时,一般采用用户名称、密码、附加验证码的形式进行用户身份认证。只有税务电子政务系统的数据库中保存了该用户的记录,并且该用户具有合法访问当前税务电子政务系统的权限,用户才能够登录当前税务电子政务系统。如果税务电子政务系统部署了认证中心CA,那么一般CA是在全系统部署并发挥作用的,每个税务电子政务系统用户首先向CA申请数字证书并以此作为用户参与税务电子政务系统的合法身份。超级秘书网
用户身份认证一般发生于用户登录税务电子政务系统时或者不同税务电子政务系统之间传递数据时的情况。在用户登录税务电子政务系统时,需要对登录用户持有的数字证书进行认证,以保证只有合法持有有效数字证书的用户才能够登录税务电子政务系统,同时还需要进行安全审计和记录系统安全日志。
2)访问控制
在税务电子政务系统中,需要指定各个应用层次中的每一个用户所能够访问的业务资源和系统资源,也即访问控制和权限分配策略。
这里的权限不但包括用户能否访问的业务范围、业务数据、数据的访问方式、操作类型等,还包括税务电子政务系统相关的系统资源,包括打印、邮件等。
3)安全技术及应用
根据安全级别的划分,可以采用包括数据加密与解密、数据摘要及验证、数字签名及验证、时间戳加盖及验证等在内的安全技术保证系统的安全性、完整性和不可否认性。
(6)税务电子政务系统安全体系之安全制度建设
税务电子政务系统安全体系要真正发挥作用,还需要制定安全制度并严格实施。一般的,安全制度包括人员安全管理、系统文档管理、环境安全管理、设备购置使用、系统开发管理、运营安全管理、应急情况处理等内容。
(7)税务电子政务系统安全体系之安全教育和培训
税务电子政务系统中,用户安全意识及其掌握的安全知识是整个安全体系高效、有效运行和正常维护的重要因素之一,因此在电子政务系统的设计、研发、实施、运维、服务的过程中,应建立完善的安全教育和培训体系,以定期或不定期对电子政务系统涉及的各类用户进行安全相关的教育和培训。
综上所述,建立全方位、多层次的、完善的税务电子政务系统安全体系,应从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育培训六个方面进行全面、细致规划和周密、整体部署。另外,在构建税务电子政务系统安全体系的同时,还需要注意切合税务电子政务系统实际进行设计,安全思路清晰、安全体系全面、安全重点突出等相关问题。
参考文献:
坚持以党的十七大、十七届五中全会精神为指导,认真贯彻全国、全省档案信息化工作会议精神,深入学习实践科学发展观,立足于经济社会发展需求,以科学发展、加快发展、率先发展、和谐发展为主题,大力实施“信息化带动”战略,努力在推进“三网一库”建设上取得新成效,实现档案信息化发展迈上新台阶,为市经济社会又好又快发展发挥档案部门强有力的作用。
二、主要任务
(一)实施一个战略
大力实施“信息化带动”战略。发挥市档案信息化后发优势,应用先进的信息化技术和网络,增强档案服务社会功能,推动和支撑我市工业化、城镇化、农业产业化发展,加快推进全市各单位档案信息化建设与应用,提升档案管理与服务水平,促进我市档案事业健康持续快速发展。
(二)坚持一个核心
以“三网一库”(内部局域网、档案信息网、电子政务网和档案信息资源数据库)建设为核心,大力提升档案信息化水平,增强档案政务服务能力。加快档案信息资源数据库建设,围绕建设档案信息资源数据库,加快推进信息化建设各项工作。不断完善市档案局内部局域网功能,升级改版档案门户网站,完善内网平台,拓展外网平台,建设全市统一的档案信息资源目录系统和共享服务系统。
(三)实现一个突破
努力在档案信息资源整合共享方面实现新突破。加强档案资源的整合与信息共享,实行集约化建设模式,构建全市统一的档案信息网络平台、数据中心、基础数据库和共享平台等基础性、公共性档案信息化平台,建立统一的档案信息资源目录体系和数据共享机制。编制市档案信息资源目录,出台信息资源共享管理办法,明确信息资源共享的种类、条件、期限、来源和责任单位等,制定相关的信息资源共享协调工作程序、管理制度及相应的行政责任追究制度,扩大信息共享范围和信息提供种类,推动全市各机关单位按需及时响应和提供信息共享,大力推行电子政务,以信息技术推动档案服务的数字化、智能化和网络化水平,提高档案管理与服务能力。
三、具体措施
(一)加快档案信息资源体系建设
“十二五”期间初步形成较完整配套的档案信息资源体系。在加快传统档案数字化步伐的同时,加大对新生电子文件规范化的监督、管理与接收,逐步建设可共享的档案目录数据库、纸质档案全文数据库和多媒体档案数据库。加大档案信息资源的整合,一方面加强各档案馆(室)之间的档案信息资源的纵向整合,另一方面加大与其他相关信息系统之间的横向整合,建立电子文件归档及电子档案接收应用系统,推进电子文件归档、接收、保管与利用,加快档案目录中心及档案信息资源数据库的建设。
——2011年市馆完成馆藏档案目录数据库建设(案卷级目录数据库和文件级目录数据库),部分重点档案全文数据库建设,县(区)档案馆及市直和驻市单位档案馆(室)启动目录数据库建设。
——2012年市馆继续加大全文数据库建设、启动多媒体档案数据库建设、探索电子文件归档与在线接收,县(区)档案馆及市直和驻市单位档案馆(室)进一步完善目录数据库建设。
——2013年市馆继续完善全文数据库、多媒体档案数据库,启动电子文件归档与在线接收,县(区)档案馆及市直和驻市单位档案馆(室)继续完善机读目录数据库,完成本单位馆(室)藏档案目录数据库建设。
——2014年市馆完成馆藏重点档案、珍贵档案的全文数据库建设,不断充实多媒体数据库,电子文件归档与在线接收平稳运行,逐步实现全市档案目录资源的有效整合,县(区)档案馆及市直和驻市单位档案馆(室)启动全文数据库建设、电子文件归档与在线接收。
——2015年全市各级档案馆(室)有计划、分重点地开展开放档案的全文数字化工作,进一步整合档案信息资源,实现馆(室)藏档案目录资源的共享,逐步形成全市档案目录和全文信息中心,在全市建立比较完善的档案信息资源数据库。
(二)加快档案信息服务体系建设
“十二五”期间全市档案系统要建立档案信息共享通道和服务平台,拓展档案信息服务社会的渠道方式,强化档案信息的资源共享机制,逐步减少“信息孤岛”,加快档案信息资源的开发利用,创造档案信息的社会效益和经济效益,建立高效、优质、快捷的新型档案服务体系。
一是构建档案信息共享与交换平台,解决因应用系统环境、数据库环境、数据格式、应用系统连接、数据传递不一致等造成的“信息孤岛”问题,实现跨部门的档案信息共享和交换,推动全市档案信息资源有效整合利用。
二是构建一站式档案信息网站服务平台。加快内部局域网、档案信息网、电子政务网建设,实现三网平稳运行;扩大服务范围,创新服务方式,提高网上服务办事能力,增加事项办理中的状态情况查询,提供更多的在线服务项目,提供更多、更方便的表格下载和现行文件、档案资料的在线查询,使网站更新升级常态化;加强档案信息网站服务功能建设,加快县区档案网站建设进程,推进网站管理体制创新,建立档案网站建设、维护长效机制。逐步实现以市局档案信息网站为基础,以市直和驻市单位各档案馆(室)网站为拓展,以县区档案网站为延伸,构建新的一站式档案信息服务平台。
三是根据市委、市政府的要求,继续推进政务信息公开工作。对本单位的政务信息公开内容进行不断的更新和完善,对新增的公开内容进行收集、整理并上传到门户网站,使政务信息公开成为一项长期而规范的工作,打造阳光政府网上服务窗口,促进服务型政府建设。
(三)加快档案信息安全体系建设
“十二五”期间,全市各级档案部门要全面落实杨冬权局长在全国档案安全体系建设工作会议上“必须始终坚持把档案信息安全与档案实体安全放在同等重要位置,通过各种有效措施保证档案信息安全,确保数字档案和电子文件内容真实、长久可读和有效利用”的要求,通过提高认识强化管理,依靠先进技术保障信息安全。全市各级档案部门在加强档案信息化建设的同时,应把档案信息安全放在突出位置,确保管理系统和数据的安全、可靠,防止档案信息失密、泄密和丢失。
必须加强数据库管理,采取脱机备份等有效措施,确保档案数据安全。建立健全信息网络安全机制,加强信息网络安全预警和保障能力。研究和制定市档案信息网络安全总体规划,建立信息网络安全监控、信息网络安全管理和应急响应体系。加强档案网上利用的身份认证和密钥管理,确保档案信息网络传输和利用的安全。所有上网信息的都必须按规定程序和要求进行审查。建设信息网络安全预警系统,使档案信息网络具备主动实时发现的多维协同防护机制和能力。大力推广以数字认证为核心的网络信任体系在电子政务、数字档案等档案信息化中的应用,推进数据异地备份和灾难恢复中心建设,切实抓好电子政务网、档案信息网、内部局域网的安全运行和安全管理工作,确保全市档案信息网络的安全、稳定、高效运行。
(四)加快档案信息化长效机制建设
一是建立档案信息化协同推进工作机制。进一步建立和完善档案信息化工作领导小组的工作机制,增强对全市档案信息化工作的领导,加强市、县(区)两级档案信息化工作的协调和联系,理顺与市信息化管理部门的职能,提高统筹协调和规范管理能力。加强对档案信息化工作的调研和检查指导,推动全市档案信息化平衡发展,形成市县(区)协同发展新局面。
二是建立档案信息化项目建设管理机制。进一步创新我市档案信息化项目建设管理体制和机制,采取集约化的统一建设和管理的模式,建立一套基于科学化、标准化、规范化的项目建设监管体系,规范全市档案信息化项目建设各环节的管理,保证信息化项目建设的质量和投资效益,促进档案信息化项目建设的科学性、规范性,确保全市档案信息化建设按统一规划的要求进行,实现资源整合。
三是建立档案信息化绩效考核评估机制。加快制定完善县区、部门年度档案信息化考核目标体系,加大档案信息化绩效考核力度,将档案信息化建设列入全市各档案馆(室)的年度工作考核内容,进一步规范档案信息化绩效考核评估机制,确保全市档案信息化建设取得成效。
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
杨浦区早在1996年就成立了区教育信息中心,并将其建成了连接各校园网的门户站点,校际共享的教育教学的资料库,教育行政部门管理的网络中心。
全区中小学信息中心网络实现24小时开通,建立了全区中小学电子邮件系统,通知、提示、文件全部网上运行,加快了信息的传递速度,提高了工作效率。分批推进校园网建设,实施“校校通”工程,做到“线路通、资源通、应用通”。
但是,数字化技术的大量应用,也使恶意和非恶意性的侵害和攻击行为发生的可能性大大提高,如何保障信息系统安全、优良的运行,实行高效、及时的管理?同时维护也成为重点考虑的问题。
杨浦区教育信息系统是教育行业内发展快、基础架构完善的网络,承载着整个区的网络教育以及教职员的研究项目的任务。由于网络系统比较出名,容易招致黑客的恶意攻击。
每当攻击导致网络出现故障时,学生将无法完成自己的课堂作业,教职人员无法进行自己的研究项目,行政管理人员则无法完成日常的管理任务。攻击也会给网络小组造成极大的麻烦,此外,学校还必须投入数十万元的资金用于恢复网络。
如何寻求新的解决方案给网络安全再上一道门。那么,什么样的门才能实现这个功能呢?防火墙的目标是用于网络访问控制,对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力。
另外,对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡。而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。IDS只能是被动的报警,有时候还有相当大的漏报和误报现象发生。
最终,IPS(入侵防护系统)吸引了信息中心同事们的注意。他们发现,IPS不仅具有IDS的预警功能,而且,还可以在报警的同时,截获恶意的数据包,实现主动防御。
通过对防火墙、IDS以及IPS等安全工具的优劣势进行比较分析,杨浦区教育信息中心的技术人员都觉得IPS是最佳的选择,于是,他们决定引进IPS系统。
通过多家公司的产品测试,最后决定购买McAfee的设备。McAfee具有全面的安全产品,如防病毒、病毒网关、入侵防护以及安全风险管理。目前主要是解决网络安全事情,特别是蠕虫和非法攻击。经过严格的测试和对比,最后决定选择McAfee Intrushield 2600。
McAfee Intmshield 2600可同时以In-Line的方式防护四条链路,做到对网络入侵攻击的实时阻断。提供一对千兆端口和三对百兆快速以太网端口,吞吐量高达600Mb/s,不仅满足了杨浦区教育信息中心的现有网络需求,并且为信息中心网络今后的扩展提供了很大空间。
同时,可以根据杨浦区教育城局域的需求,在McAfee Intrushield2600上针对VLAN和CIDR设定虚拟IPS,以做到更进一步的细致防护,确保整个杨浦区教育城域网网络的安全。
在安全系统中,将McAfee Intrushield 2600的一对检测防护端口以In-Line的方式串接在核心交换机和链路负载均衡设备Radware LinkProof之间,以做到实时的阻断整个杨浦区教育城域网内网对外网及外网对内网的入侵攻击。
一对检测防护端口同样以In-Line的方式串接在核心交换机和电信MPLSVPN接入之间,以做到实时的阻断内部网络中各学校对信息中心应用服务器群的入侵攻击,有效的保护信息中心的安全。
MsAfee IntruShield能够通过先进的签名检测、异常检测以及DoS攻击检测来预防各种各样的攻击,其先进的功能也使杨浦区教育信息中心的工作人员受益匪浅。自从部署了McAfee IntruShield以后,杨浦区教育城域网被攻击的次数显著降低了。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通过电子邮件进行传播,那么加油IC卡系统是如何对整个防病毒系统进行集中管理,如何在网关处就将带病毒的电子邮件扫除门外?
中国石化加油IC卡系统是中国石化集团公司与银行合作开展的跨系统、跨地区的特大型IC卡应用项目。
IC卡系统通过以现代支付工具IC卡取代传统的现金、油票等结算,实现加油款的电子支付和交易数据的自动采集,在各级石油公司和加油站建设零售业务管理信息系统,以高科技的经营管理和服务提高工作效率、降低经营成本,使企业在市场竞争中处于有利的地位。
项目的建设不仅为开展油品电子商务业务奠定基础,也有利于逐步以加油卡这一现代金融工具替代传统的现金、油票结算,同时采用银企合作方式建设通用加油卡系统,也为国有商业银行开辟了新的业务领域和新的服务市场。由于中国石化加油IC卡系统需要完成各种交易信息的传送和处理,因此,确保系统的安全可靠至关重要。
全方位保护系统
为了全面实现“中国石化加油Ic卡防病毒管理系统”的目标,最大限度地防范病毒危害,在建立“中国石化加油IC卡防病毒管理系统”时,针对网络构造和应用环境的实际情况,采用McAfee Active Virus Defense(AVD)和McAfee安全网关解决方案。
建立全方位的、统一完整的加油IC卡防病毒系统,从桌面客户端、服务器、群件以及网关上进行全方位、多层次的整体防护,并通过McAfee AVD的核心产品ePolicy Orchestrator(ePO)对整个防病毒系统进行集中管理,分级控制,确保保护整个企业网络远离各种病毒攻击。
针对桌面客户端的防病毒产品VirusScan,VirusScan支持多种操作系统,从而能够对最广大的用户群提供支持,同时集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。
针对服务器的防病毒产品NetShield,NetShield支持Novell、Win NT、Win2000S和NetApp等多种操作系统,能够从一个直观的控制台保护整个企业的文件、应用程序和群件服务器,方便地从本地服务器或工作站监测、配置和执行远程服务。
分别专门针对Lotus Domino和Microsoft Exchange群件环境的防病毒产品GroupShield for Domino和GroupShield for Exchange。
传统的反病毒产品并不能对专有数据库内部以及群件环境中使用的通信进行扫 描,但群件服务器级的病毒防护功能对于企业防止病毒的扩散是十分重要的。应用了McAfee高级扫描技术的GroupShield能够有效防止病毒在信息传递过程中发作,在病毒扩散到网络其他部分时有效地将其查杀。
VirusScan防范多威胁
VirusScan Enterprise 8.Oi使得用户和管理员能够从容应对最常见的潜在恶意软件程序,包括蠕虫、间谍软件以及广告软件。
VirusScan Enterprise 8.Oi扩展了对新类型恶意代码的检测功能,这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够预防约200多种最具危险性的潜在恶意程序,用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。
网关拦截病毒
电子邮件已经成为计算机病毒传播的主要媒介,据统计,80%的病毒通过电子邮件进行传播。
如果能够在网关处就开始对电子邮件进行扫描,在病毒进入网络之前就将其截住,从而将对关键业务系统可能造成的危害减到最低。
McAfee安全网关全面集成了软硬件技术的防病毒硬件设备。利用McAfee安全网关,企业用户能够对出入网络的电子邮件、HTTP数据与FTP数据进行扫描以搜寻病毒信号。一旦侦探到病毒信号,能够将其清除、阻止或隔离该信息或数据。
中国石化加油IC卡系统是中国石化集团公司的重要系统,整个系统的稳定性直接影响着业务的发展。自从利用McAfee构建起全面防病毒系统后,整个系统运行稳定,实现了全方位的病毒防护,确保了整个系统免遭病毒的攻击和危害,保障了业务的顺利发展。
SOC建设剑指金融安全
刘 岩
安全管理已经被业界所认可,那么如何将这些管理上的制度和规范落实,将这些安全管理目标真正用技术手段加以控制?
正如ISO 17799国际标准所强调的,“信息安全是管理的过程,而不能仅仅考虑技术因素。”随着信息技术的发展,金融领域的科技工作重点已经由网络建设、数据大集中、安全基础设施建设,发展到安全管理的阶段。
那么如何才能更加体系化、流程化、平台化的进行信息安全管理系统的建设呢?
从BS7799谈起
由英国标准协会(BSI)在1999年首次提出的BS7799安全管理标准,2000年正式成为ISO/IEC 17799,并于2005年发展为最新版本ISO/IEC 27001。
该标准通过11个大类的安全目标和安全控制,构建了信息安全管理系统的框架,为各机构进行信息安全管理工作提供基础的依据。
七分管理,三分技术,管理和技术在金融领域的安全工作中是密不可分的,管理需要以强大的技术手段作为依托,技术的实施需要以管理目标作为依据。
近年来,国内的各大银行均在加强安全策略和规范的建设,如人民银行早在2003年牵头编制了《银行和相关金融服务信息安全管理规范》,而交通银行也正在制定信息安全总体规划,并制定相应的规范。
国外的同行业机构已经将7799的认证工作确实的落实到具体的安全技术体系之上,例如英国的SmileBank,其网上银行最早获得了英国BSI的7799 ISMS认证,并以此认证工作为契机为网银的客户提供强有力的安全保障。
如何将安全管理上的目标真正用技术手段做到控制呢?SOC(Seevturity Op-eration Center)就是在这样的大环境之下顺理成章出现并不断发展,它是从单一的技术手段向管理过渡的重要里程碑。
四个中心,五个模块
启明星辰提出的SOC解决方案,其体系架构如图1所示,由“四个中心、五个功能模块”组成:
“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心;
“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。常用的关键系统功能:
脆弱性管理
通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
综合分析与预警
综合分析与预警是安全运营中心的核心模块,依据资产管理和脆弱性管理中心进行综合的事件协同关联分析,并基于资产(CIA属性+价值)进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。
响应管理
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。
网络安全响应模块负责根据预定义好的安全策略规则,及时工作指令,调动有关资源做出响应。实现人机接口,通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMP Trap、邮件和短信。
安全策略管理
网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力。
同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
安全知识管理
安全信息管理是安全信息的WEB系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。
实现在安全管理中心WEB门户提供统一界面以安全WEB的形式最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。
SOC架起安全桥梁
SOC是安全管理工作的重要工具之一。机构资产的梳理、防火墙的配置、入侵检测系统的事件分析、甚至整个信息系统的脆弱性和威胁分析,这些都不能做到整体的安全管理。因为管理者不可能过多的关注某些细节,安全管理需要对整体的安全现状和态势进行宏观地把握,并果断 有效的传达旨意,采取措施。所以SOC的首要价值是通过技术的实现手段加强对安全管理的关注。应该关注的问题有:
衔接宏观与微观
金融机构的安全建设提出了更多管理层面的问题,需要对多种资源的整合管理更加重视。目前企业的安全运行管理普遍现象是,不同类安全产品分别有其自身的管理控制台,网络与主机设备由网管系统管理。特别对于金融行业而言,需要有效地整合各系统,对事件的数据格式、分级进行标准化,从全局上对整个网络安全事件进行分析。
解决人员依赖性
企业需要解决人力严重不足的问题,降低对人员技术水平、经验以及责任心的依赖,把人员所造成的安全风险降到最低。考虑到事件优先级判断与参与人员的技术水平和经验相关,很难有客观的分析和判断,需要建立一套完整的事件采集、统计、判断和处理机制。
关注业务风险
对于技术型的人员来说,往往采用技术型语言来描述问题。这种情况下,容易与领导和非技术部门人员产生沟通和交流的问题。因此需要将技术型问题上升到管理型的问题,风险数字化,损失数据化。
合规性
BS 7799作为系统的安全管理标准,在国际金融界广为使用。所谓7分管理、3分技术。管理和技术一直很难整合起来,管理不仅是制度,还需要有一种系统来实现管理的目的。SOC将安全管理需求与安全技术解决方案的整合,将管理和日常技术工作融合在一起。
有效显示
第一时间发现病毒或者入侵事件源头和发展趋势,通过图形化显示,直观了解全网的情况。
SOC能够把问题显示出来,能够量化。每天发现了多少次,解决了多少次,从而了解到网络安全的真实现状。
通过监控大屏幕的显示可以将整个网络管理的现状和态势展示出来,机构领导者可以直观的在监控中心了解宏观安全,并指挥各地的安全工作的落实。
例如,交通管理指挥中心人员不需要亲自前往各个拥堵的路段,他们只需要通过各种手段采集交通信息作汇总和,统一的指挥调度。安全管理工作也同样需要这样的机制进行全局的管控。
有效提炼,实施预警
SOC系统可以从海量的安全事件报警中得出有价值的信息,及时采取报警措施。
有效投资
安全风险是无限的,而安全投资是有限的。应该利用有限的安全投资解决无限的安全风险(安全投资ROI=减少的安全损失/安全投入)。
与安全域划分相结合
安全域的划分和赋值是金融行业网络安全建设的重要环节。启明星辰的泰合SOC解决方案的另一大特点,也是安全建设非常有价值的功能之一,是可以部署基于安全域的SOC平台,从而实现多层次可定制的安全域管理,基于域的细粒度风险计算和监控能力,并且以安全域的思想进行风险管理。
安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用资源管理中的安全域管理的核心功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。
中国的信息安全起步和发展都处于世界前列,特别是在金融领域,2000年以来信息安全的技术和管理层面都已经作了大量的工作。但是行业科技人员和管理者还需要继续脚踏实地的落实信息安全管理工作,从而切实地为我们的金融客户提供高可靠、高质量的服务,使金融机构稳步健康地发展。
双认证护航远程安全
满 欣
由于RSA SecurlD认证器上每隔60秒转换一次6位数的无穷尽无重复口令多么高明的黑客都无法在如此短的时间内猜测出如此复杂的口令。
中国大地财产保险股份有限公司(简称大地财险)由包括中国再保险(集团)公司在内的10家境内外投资人共同发起设立,总部设在上海,目前全国有15家分公司。
为了建设一个高起点和高标准的信息化系统,大地财险与IBM公司合作,引进国际先进的保险理念和信息技术,初步建立起公司的信息技术基础平台。
基于VPN的种种优势以及最大化保险人的工作效率,大地财险的许多业务资源访问已经开始通过VPN实现,具备合法身份的工作人员可以利用VPN访问公司的核心资源。
VPN是把双刃剑?
大地财险的运营越来越依赖企业的核心力系统和数据,在通过VPN提高工作效率的同时,也看到了潜在的安全风险。
毕竟,VPN所应用的通信隧道,需要通过公共网络并且必须向各种各样的用户打开自己的“网络之门”。如果是正确的人存取了正确的信息,就等于你找到了一种功能无与伦比的商务工具。但是,当VPN的远程存取权落入错误的掌握之下时,就无疑是一场大灾难。
如何为企业的VPN访问建立一个更加安全的环境,成为大地财险完善VPN服务的一个关键因素。
VPN网络安全认证主要有以下几种形式:密码属于一种最弱的安全形式,密码公认的优点在于易于部署应用并且费用非常低廉。但是,密码非常容易被猜中、被窃取或者受到其他的破坏。
双因素认证必须提供两种形式的认证内容。这就象是一部银行的自动取款机(ATM),用户既需要知道身份(卡)号码,还需要拥有认证设备(令牌或者智能卡)。
随着互联网交易数量的增长,将数字证书作为一种认证形式变得更加广泛。数字证书可以帮助识别用户,因为它要求使用具有唯一性的数字信用证明。
使用智能卡的安全等级最强。这不仅在于使用智能卡得到了双因素认证保护,而且还因为双密钥可以在智能卡上生成并储存。
生物认证利用的是某个用户所拥有的唯一生物特征。利用这种技术需要掌握某些生物数据,例如:指纹、视网膜扫描以及声波纹等等。
最终,大地财险决定采用双因素认证来保障其VPN网络的安全登录。
虚拟专用网络(VPN)正迅速成为远程存取应用中最普及的一种方法。通过建立在复杂交织的公共网络中的一个专用通信隧道,VPN可以使用户充分利用互联网的强大功能,不仅大大节省了用户远程存取应用的费用,而且还进一步提高了工作效率。
但是,作为个人专用并不一定意味着一个虚拟的个人网络具备应有的安全性,这是由于VPN经常采用的保护手段仅限于一种门槛偏低的密码屏障。
大地财险通过对业界知名安全厂商所提供解决方案的对比,最终采用了RSA SecurID和Web Express认证解决方案。
同步令牌双认证
目前,大地财险仅仅为其符合资格的保险人配备了RSA SecurID令牌。RSA SecurID时间同步令牌提供功能强大的双因素认证,这种技术要求用户提供他们知道的口令和他们拥有的硬件令牌。
这些令牌被设计成一种易于操作使用并且便于携带的小件产品,用来替代口令这种可以被轻松猜中或破解的安全性能偏弱的认证形式。
双因素用户认证系统能够代替基本的密码安全机制,有效抵御非法入侵,使宝贵的网络资源获得完善的保护,免受意外造成的破坏及恶意入侵。
一、过去几年重庆教育信息化工作取得的成绩
(一)教育信息化基础设施建设初具规模
近年来,通过“农村中小学远程教育工程”“区县教育城域网建设工程”等一系列重大工程建设,初步形成了重庆市教育网络体系。各区县已建设教育城域网络,同时以卫星接收和互联网宽带互为补充实现了农村边远学校和教学点网络接入。目前,全市50%普通中小学、90%中职学校、所有高校建设了“校园网”。全市建成多媒体教室6.5万间,计算机网络教室8千余间。高校计算机生机比达到6:1、中职学校达到8:1、中小学达到13:1。特别是2009年以来,投入5亿多元,为全市中小学教师配备了14.6万台笔记本电脑,配备率达76%。
(二)教学数字资源开发和应用不断加强
建立了重庆市基础教育资源库、“重庆市中小学数字图书馆”、重庆大学城资源共享平台。在渝高校建设了近2万节网络课程、300余门国家及市级数字精品课程,数字文献资源规模和质量明显提升。坚持以需求和运用为导向,不断运用信息技术促进教育理念、教学方式和学习方式变革,推进信息技术与教育教学深度融合,信息技术对质量提升的作用越来越大。
(三)信息化促进教育均衡卓有成效
近年来,我们始终把信息技术作为推动城乡教育一体化发展的重要手段,不断改善农村学校、薄弱学校信息化设施设备条件,加强优质教育数字资源开发供给,推动偏远薄弱学校共享优质教育资源,有效促进了教育均衡发展。从2014年起,我们又将信息化建设纳入义务教育学校 “全面改薄”工程。同时,各地积极组织数字教育资源应用观摩课、优质课,开展网络备课、网络教研,着力发挥优质教育资源的辐射带动作用。
(四)教育管理信息化水平明显提升
重庆按照A级数据中心标准,启动了市级教育数据中心建设,完成了中小学生学籍信息管理系统建设、教师数据采集、学生资助、学校资产和校舍管理等系统部署,具备了网上转学、招生、办证等业务管理功能。在全国率先全面实现了中高考网上报名、网上填报志愿、网上评卷和网上录取。建成了重庆教育门户网站、OA办公系统、视频会议系统等管理信息系统,与区县、高校、委直属单位实现了互联互通。各区县和学校积极推进“数字校园”建设,结合实际建设应用管理系统,促进管理水平提高。
(五)师生信息技术素养逐步提高
通过“国培”“市培”等师资培训项目,强化信息技术培训,先后培训中小学教师45万人次。把信息技术素养作为教师的基本要求,纳入岗位职责和考核评价,并在职称评聘、赛课等方面强化导向。同时,各级各类学校开设了信息技术课程,组织开展学生信息技术创新与实践、中小学生电脑制作等竞赛活动,不少学校还积极探索网上布置作业、在线互动答疑,鼓励学生使用网络自主学习,促进了学生学习方式的转变。
(六)信息化建设应用机制不断创新
近年来,一些区县和学校在推进教育信息化工作中,务实进取,开拓创新,探索出一批切实可行的经验和模式。
在管理体制方面,重庆医科大学、重庆科技学院等学校,成立了信息处或信息管理中心,负责统筹学校信息化建设。
在建设模式方面,忠县采用融资租赁模式,一次性完成所有学校的“数字化校园”建设;重庆城市管理职业学院采取以自身为主,以企业赞助、资源互换为辅的融资模式,解决信息化建设中资金不足问题。
在资源共建共享方面,建设了重庆大学城资源共享网络平台,实现了教学资源、科研资源、就业信息等共享。同时,各区县、学校以学会、协会、联盟等为平台,积极加强资源共建共享。
在信息技术与教学融合方面,沙坪坝区利用云计算等信息技术,推进区域基础教育资源与教学的深度融合;重庆大学利用开源网络教学服务平台,与慕课平台相结合,开展网络授课、在线答疑、师生互动等,促进了教育质量的提升。
在促进城乡教育均衡发展方面,万州区开展“教育云课堂”的数字化教学试点,打破优质教育资源的时空限制;大足、璧山等开创了“城乡联体课堂”教学模式,将主课堂教师上课的音频、视频传输到联网学校,实现了城乡学校同步上课,共享优质教育资源。
在教育信息化管理和服务方面,重庆邮电大学综合利用手机报、APP手机软件、微信机器人等新媒体手段,深度贴近师生,提供便捷资讯、新生服务、阳光招生。
二、明确任务,抓住重点,加快全市教育信息化建设
日前,经市政府同意,市教委等九部门联合制发了《关于加快推进教育信息化的意见》,明确了我市教育信息化的基本思路、目标任务和工作重点。我们推进教育信息化的基本思路可以概括为“四个着眼于、四个坚持”。
“四个着眼于”,就是着眼于未来经济社会发展需要,着眼于全面深化教育综合改革和教育的科学发展,着眼于促进教育均衡公平和提高人才培养质量,着眼于人的终身学习和学习型社会的构建。
“四个坚持”就是坚持面向未来,努力为每名学生和学习者提供个性化学习、终身学习的信息化环境和服务;坚持应用导向,推进信息技术与教育教学的深度融合,促进教育变革和质量提升;坚持统筹规划,做好教育信息化顶层设计,分类、分步、分层推进实施;坚持开放共享,构建跨区域、跨行业的教育信息化合作推进新机制,推动信息资源的整合共享。
我市教育信息化建设的总目标是:到2020年,建成与重庆教育现代化、长江上游科教中心和西部人才高地战略目标相适应的教育信息化服务体系,为重庆教育的改革发展和质量提升提供保障。为此,要抓好以下六项重点工作。
(一)加快“三通工程”建设
“三通两平台”是“十二五”期间教育信息化的核心目标和标志工程。“三通”就是“宽带网络校校通”“优质资源班班通”“网络学习空间人人通”。
一是加快“宽带网络校校通”建设。此项工作的难点是偏远农村中小学。近期,重庆市“宽带中国”行动明确提出了“实现集中连片特困地区行政村互联网覆盖达到100%”的目标。我们要抓好这个机遇,依托“宽带中国”行动,尽快解决偏远农村学校网络“最后1公里”的问题。到2015年,全市所有中小学和职业学校要按照要求接入宽带网络,40%以上的高校校园网要建成IPV6网络平台。
二是加快“优质资源班班通”建设。要将“班班通”与农村薄弱学校改造工程结合起来,加快农村地区学校多媒体教室终端建设,配备基本设施设备,到2015年,60%以上的中小学和中职学校要实现“优质资源班班通”。同时,要配齐相应的教师和专业技术人员,确保尽快使用、发挥效益。
三是稳步推进“网络学习空间人人通”。我们要积极研究如何利用网络学习空间,促进教学方式与学习方式的变革。要鼓励教师先开通网络空间,搭建在线学习、教研互动平台,引导学生、家长参与进来,逐步扩大使用率和覆盖面。
“三通”工程是近几年教育信息化工作的重中之重,任务艰巨、时间紧迫。当前我们正大力深化教育综合改革,也要坚持用改革的办法来创新“三通工程”建设机制。教育部副部长杜占元在2014年3月的讲话中指出:要加快构建“政府政策支持、企业参与建设、学校持续使用”的机制,推进“宽带网络校校通”;加快构建“基础性资源靠政策、个性化资源靠市场”和“企业竞争提供、政府评估准入、学校自主选择”的机制,推进“优质资源班班通”;加快构建“政府规划引导、企业建设运营、学校购买服务”的机制,推进“网络学习空间人人通”。这为我们勾画了“三通工程”的路径图,提供了操作指南,我们要按此思路,创新体制机制,加快推进“三通工程”。
(二)加快教育资源服务平台建设
一是必要的硬件设施建设。按照“一级应用、二级建设、三级互通”思路,重点建市级教育资源公共服务平台。一方面,一些区县和学校已经建设的资源服务平台,要继续建好用好。另一方面,我们不要求每个区县都建立自己的平台,但要与市级平台对接来利用市级平台承载自己的优质教育资源。
二是资源的建设。平台搭建好了,解决了路和车的问题,如何备足货,保证有丰富的资源共享使用,这不仅是平台建设题中应有之义,也是决定平台建设水平高低的关键。我们近期将制定市级教育资源建设规划,按照“政府引导、多方参与、共建共享”的基本思路,统筹建设全市数字教育资源。主要是抓好两个板块的资源建设,一是基础性教育资源,二是特色、个性化优质教育资源。基础性教育资源建设,要充分利用企业,特别是主流的教材出版企业,按照符合新课标的义务教育阶段的课程系统开发配套的教育资源。同时,积极拓展资源来源渠道,不断丰富教育资源,逐步建成全市“数字教育资源超市”。在建设基础性教育资源的基础上,要加强个性化、特色、优质资源建设。教育部今年启动了“一师一优课”活动,我们要抓好落实,并以此为契机,创造一批、汇聚一批个性化的优质资源。市教委将启动建设市级统筹的高校大规模公开在线课程平台。各高校要把本校优质资源都拿到这个平台上来,实现校际优质资源共建共享。要深化教学改革,积极探索,促进学生跨校课程互选、学分互认。
(三)加快教育管理公共服务平台建设
这是“两平台”中的另一平台。一方面,要按照教育部统一要求,以“两级建设、五级应用”架构,加快完善基础教育学籍管理系统和中职教育学籍管理等系统的建设,做到与学生一生一号、学校一校一码。另一方面,还要对系统数据进行整理、加工,二次开发、深度应用,推进教育改革。在当今大数据时代,还要善于运用大数据技术,利用管理系统的数据资源,实现相关数据资源的整合与集成,为教育决策提供及时准确的数据支撑。
(四)建设全市统一的教育宽带网
教育信息化必须有高速互连的网络基础作支撑。各区县、学校要继续完善现有的城域网、校园网,并推动有线网络与无线网络有机衔接,提高无线网络覆盖面。市教委将以市政府正在推进的国家级互联网骨干直联点为契机,在现有高校骨干网和区县教育城域网的基础上,建设全市统一的教育宽带网,各区县的教育城域网、教育数据资源中心、高校校园网,都要接入统一的宽带网,形成覆盖我市高等教育、职业教育、基础教育和其他教育机构的教育城域网,实现全市教育部门、各级各类学校网络互联互通,免费、高速、安全访问。计划2015年完成教育宽带网主干节点高速互联,2016年所有区县教育城域网均要实现高速互联。希望各区县、学校在规划建设本地、本校的教育网络时,要依据全市的总体规划,在平台、技术、标准等方面统一,避免重复建设、资源浪费。
(五)加强教育信息化队伍建设
教育信息化发展水平,取决于信息技术的应用水平,而信息技术的应用水平,取决于教师信息技术素养。必须把教师信息技术培训放在突出位置。通过国培、市培、区县培训和校本培训多个层次,采取线上与线下相结合、专项培训与融合培训相结合的方式,实现信息技术培训提档升级,进一步增强教师教育信息意识,提高教师应用信息技术的能力。要加强信息化专业技术队伍建设,配足配齐信息化专业技术人员,保证信息化基础设施的正常运行和信息化技术的有效推广。教育管理者也要自觉提高信息化素养,带头应用,提高信息化背景下工作水平和管理能力。各高校要加强教育信息化人才培养,为提高教育信息化水平提供人才支撑。
(六) 深入开展教育信息化试点工作
2012年,教育部在我市批复了32个教育信息化国家试点单位。我们将组织专家开展中期评估。各试点单位要认真总结试点工作经验,争取在全市乃至西部地区推广。2015年我们将启动市级教育信息化试点工作,推选一批市级试点单位,在各级各类教学应用、区域整体推进、机制创新等方面进行探索、积累经验。各区县、学校要加强改革创新、先行先试,为推进全市教育信息化积累经验。市教委将兑现奖补政策,对试点效果好的予以经费奖励。
三、统筹协调,强化保障,确保教育信息化顺利推进
(一)进一步强化工作统筹
教育信息化是一项涉及面很广的系统工程,需要加强统筹。市教委已成立教育信息化领导小组,设立了教育信息化推进办公室,以从组织管理方面解决信息化工作的统筹问题。要统筹考虑城乡学校、普职教育的实际,根据财力情况、分清轻重缓急,统一规划项目库和建设进度计划,分步实施、有序推进。要建立跨部门的协同推进教育信息化的机制。近年来,相关市级部门从项目、资金、技术、人员培训等方面,为教育信息化建设提供了积极的支持。区县教育部门也要向政府汇报,争取本地相关部门的支持,协同推进教育信息化建设。
(二)进一步强化应用导向
应用导向是教育信息化建设必须始终坚持的首要原则。目前,我市教育信息化硬件条件已有一定基础,今后,要在继续加大投入、加强硬件建设的同时,将工作重心转移到到应用上来,将着力点放到利用现有条件推动教育教学改革、提高教育质量、促进教育公平上,放到提高教育管理水平和治理能力上。要进一步探索信息技术应用的有效实现形式,促进教育方式和学习方式的变革。一定要避免重硬件、轻资源,重建设、轻应用的问题。要注意防止平时不使用、来了客人“秀一下”的现象,防止绝大多数教师不使用、几个尖子“撑门面”的现象,防止其他环节不使用、简单地在课堂放几幅图片几段视频“造气氛”的现象。学校要积极探索强化应用的工作机制,转变教学和教研活动组织管理方式,建立相应的制度规范,来鼓励、引导、要求、督促教师运用信息技术,促进教师普遍用、经常用,备课用、上课用、布置作业用、师生交流用,推进信息技术与教育教学的深度融合。
(三)进一步强化经费保障
今后五年,中央和市级将在“改薄工程”中安排6亿元左右,用于全市薄弱学校教育信息化建设;下一步,我们还将设立教育信息化工作专项经费,“以奖代补”,对信息化工作推进有成效的区县和学校予以经费支持。各区县也要把教育信息化建设经费列入本级教育经费预算,增加教育信息化投入,不要出现“挤出效应”,保障学校信息化基础设施、人才队伍和公共服务体系建设,以及购买教育信息化服务和运行维护的经常性支出。同时,区县和学校要加强创新,积极探索教育信息化建设多种模式,用好市场机制推进教育信息化建设,多渠道筹措经费。需要强调的是,教育信息化投入要突出资源建设、人员培训、推进应用等“软”环境,不要简单地理解为开展新一轮大规模的硬件建设。