前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全运维技术主题范文,仅供参考,欢迎阅读并收藏。
全:全局掌控 灵活侧重
对于日渐复杂的现代IT系统而言,全局化的统一掌控是良好运维管理的基础。锐捷网络综合运维中心解决方案将RG-RIIL、RG-BDS、RG-WMS三大核心组件整合起来统一展现,在一个平台实现完美的全局掌控。既可以整体掌握业务健康水平,完成对网络、安全、网站综合运维展示和监控,呈现信息化建设业绩,又能够从业务视角洞察IT变化。由于各大组件均可独立作为平台运行,方便从不同维度、不同侧重点关注运维业务,灵活地为相关部门提供适合的解决方案。
锐捷综合运维中心随时从健康度、繁忙度、安全度等多维度完整评估业务运行情况,将全网运行的流量、资产的日志,以及来自外网的攻击,通过不同的功能模块进行威胁分析,准确定位业务风险和异常原因。此外,通过一张全网拓扑,全方位数据化呈现当前网络运行状态,让每一点异常变化,都能一览无遗。
安:安全为核 锁定风险
随着IT系统安全管理理论与技术的不断发展,需要企业运维部门从安全的角度去管理整个网络和系统,而传统的网络运维中心在这方面缺少技术支撑。锐捷综合运维中心的推出,将整个IT系统的安全运维,放到了最核心的位置。虽然很多企业此前已经部署了不少安全设备,但往往没有真正地发挥出应有的价值。很大原因就在于缺乏好的工具对安全日志进行充分挖掘与利用。锐捷此次推出的综合运维中心,通过基于大数据技术的安全日志分析平台RG-BDS,可以兼容市场大多数品牌的安全设备、网络设备、服务器、主机系统、中间件等,将巨大的异构安全信息统一收集,结合日志模型库执行标准化编译,经过大数据多样的综合关联分析和机器学习,筛选出对客户真正有价值的安全信息。它帮助客户快速定位网络安全问题,利用工单系统和锐捷安全知识库,快速处理问题并责任到人,让网络安全事件完整闭环,帮助客户实现网络安全极简运营。此外,借助专业的RG-WMS系列网站监控预警平台,运维中心能够7×24小时主动及时地监控网站安全问题,对WEB系统进行深入的漏洞发现,并提供专业的修补意见,降低安全风险,防患于未然。当突发攻击事件时,除了提供及时告警信息,还可以配合锐捷安全设备及时响应与处理。
关键词:动力与环境设备 网络安全 运维成本
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)07-0171-01
1、引言
随着通信行业市场化的演进,各通信运营商都更看重企业效益。网络运维成本重要方面的动力环境设备运维支出,已经成为各级领导关注的重点。如何在保障通信的前提下降低运维成本是摆在动力运维专业人员面前的课题。
2、动力与环境系统面临的尴尬
动力系统为专业设备提供合乎标准的电源,环境系统为各个专业设备提供合适的运行环境,不论是动力系统还是环境系统对整个网络的安全运行都起着至关重要的作用。目前情况下,建设项目设计中,忽略原有电源附负载情况、只建设业务网络,不考虑环境系统或者环境监控系统的情况时有发生。设备数量不断扩张,运维成本却在逐渐紧缩;人员紧张,维护量大,救火式维护仍然存在。
3、寻找网络安全与运维成本的天平
在节能降耗、向网络要效益的今天,在网络不断扩张、人员不断优化的今天,如何把握网络安全与运维成本的平衡,是动力专业关注的重点。
3.1 安全问题与措施
作为通信网络设备动力保障的电源系统安全问题以及作为环境调节的空调系统安全问题来自于系统内和系统外,在工程规划设计建设阶段安全问题考虑是否周详是非常重要;基于安全和成本之间的矛盾需要在规划建设阶段充分考虑找到一个平衡控制点,既要在产品品牌质量、系统备份、安全隐患和维护风险上权衡,又要在前期投资、后期维护成本上权衡。在运行维护阶段发现并改正缺陷(或者说是网络安全问题)的成本是设计阶段的100倍以上影响电源系统和空调系统安全的系统外因素包括:(1)由于工程规划设计的疏忽遗留给系统的缺陷;(2)产品厂家QC保证出现纰漏;(3)国家电力电网可靠稳定性能;(4)雷电气候的干扰;(5)外部气温的高低;(6)机房运行环境的影响等。
在实际运行中电源系统和空调系统在系统内容易出现的会造成后果严重的安全问题可以枚举如下:(1)开关电源出现模块通信不良,导致模块闭锁没有输出。这种安全问题容易发生在综合局机房中,并将造成核心通信设备如掉电的特大事故;(2)由于避雷器件不稳定,出现避雷器烧毁故障,出现明火。(3)电源模块对地短路击穿铁板,引起明火的严重故障,由于控制电路不完善,空开不能及时分断,此类故障对于无人值守的基站来说是重大安全隐患,随时都有可能引起基站火灾。(4)开关电源的性能和参数的设置直接影响到蓄电池的寿命。(5)电池内热部散热不及时导致热失控,此时电池的温度会发生累积,电池温度不断上升,导致电池槽等变形,电池性能下降,寿命缩短。(6)电池体内质量问题导致电池容量不足。(7)电池自然失水、老化也是电池寿命降低的一个主要原因。(8)发电机维护不良,造成停电时无法启动。通过对开关电源参数设置的优化,改善机房温度以及建立科学维护管理模式和有效的发电调度指挥系统和流程,延长蓄电池的使用寿命,尽可能减少基站中断,确保网络的安全稳定,同时也大大节约基站运维成本。
3.2 动力运维成本管控
对于通信机房来说,主要的负载是业务网络设备。动力部门为之配置通信电源、高低压配电柜、电力变压器、柴油发电机组、蓄电池、空调、连接线等,这些设备成本与维护费用可认为是动力运维部门的投入,为业务网络设备提供的电量就是动力维护部门的贡献。动力运维成本是为保障供电所购买的设备成本、安装及及维护费用,产出为千瓦时,因而可以计算出每有效电度成本:
X=C/p
式中:X:每有效电度成本,单位是“元/KWH”,比值越高,产出一度有效电度成本越高;C:成本,包括购买并安装设备的成本、电费、维修费、人员工时费、资源占用费用等;
p:动力部门输出的千瓦时,亦即下游部门的净收益。
多局站每有效电度成本计算方法:
X=ΣCi/Σpi
其中成本C中的电费为缴纳给电力部门的电费,不仅仅包含动力设备输出的千瓦时,还包含损耗。计量时可参考下面的公式:
P1=p+Q
式中:P1:电力公司计量的耗电量,单位为度;p:动力运维部门输出的有效电度,亦即下游部门的净收益,单位为KWH;Q:电能变换设备的损耗+空调耗能+线路损耗+电池自放电损耗+其它损耗。
在p相同的情况下,P1越小,说明动力系统效率越高。由此可以得到动力系统效率指标:η=p/P1×100%
式中,η是动力系统效率。
3.3 平衡点的选择
【关键词】广播电台;网络安全;防护技术
随着网络技术的蓬勃发展,广播电台网逐渐发展成为在信息上相通相连的整体型网络。在信息互通的互联网模式下,网络连接的信息安全问题逐渐严重,网络问题不断涌现,影响广播电台的正常运行。因此,需要技术人员对网络安全防护技术深入研究,保证广播电台网络的安全。
一、网络面临的安全问题
网络系统面临的安全问题主要体现在,数据遭受到的非法的窃取、篡改改、删除;另一个就是对计算机网络中设备的攻击,使之絮乱、瘫痪甚至设备得到损坏。
首先,网络结构和设备本身也存在一定的安全隐患。常用的网络拓扑结构是一种混合型的结构,是总线型、集星型等几种拓扑结构综合而来的。在拓扑结构中每个节点使用的网络设施如集线器、路由器、交换机等都存在着不同程度的安全隐患,再加上技术本身的限制条件,网络设备的安全隐患等,这些都为网络安全带来隐患。
其次,操作系统所带来的不安全性。操作系统是建立在计算机硬件结构接口的基础上为用户使用的软件。计算机上的各种应用都需要在操作系统上运行,操作系统为应用软件提供运行平台,一个好测操作系统能够很好的保障软件信息的保密性、完整性和可靠性。而网络系统的安全性与网络当中各计算机主机系统的安全性是密切相关的。操作系统如果存在一些缺陷和漏洞,就容易成为黑客攻击的突破口。因此,操作系统是否安全是计算机网络整体安全的基础。
第三,计算机病毒泛滥。每个人在使用电脑的时候,都会受到病毒的威胁。它可以影响到计算机的性能,也可使计算机系统崩溃,导致数据的丢失。因为它可以借助于计算机自身资源进行恶性复制,严重影响计算机软硬件的正常运行,破坏计算机数据。在目前状况下,特别市一些电子邮件病毒,它不仅可以毁坏邮箱,而且还可以在计算机中安装木马病毒或者破坏程序,导致计算机中的资料泄露丢失等。
第四,黑客对计算机网络的攻击。黑客已经成为危害网络安全的最重要的因素之一。计算机网络中所谓的黑客,就是用自己所学习的计算机方面的知识,专门对计算机网络系统进行破坏,甚至是窃取商业、政治、军事秘密、窃取金钱、转移资金等利用计算机网络犯罪的一类人。即是通过自己编写或者其他的病毒工具检测网络系统中的漏洞,随之进行对网络发动攻击,黑客的这种行为对计算机网络的安全造成了很大的威胁。
二、安全架构
1 硬件安全设备IDC机房的安全措施:①将在IDC机房托管的设备部署在电信的防火墙之下,根据应用要求,将不需要的端口全部封闭。②同时增加了天融信公司生产的TopGate UTM设备,该设备具有防火墙功能,IPS入侵检测和防御功能,Web内容过滤服务,实时的网络入侵检测和阻断功能。帮助用户抵御恶意的或可疑的网络行为。IPS模块是集访问控制、透明、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备,为用户提供完整的立体式网络安全,防护。TopGate UTM的网络入侵检测和阻断功能能够检测已知的DOS、DDOS攻击,以及绝大多数操作系统和应用协议的漏洞,TopGate UTM处理所有的网页内容,阻挡不适当的内容和恶意脚本。
台内安全设备:①台内设备在入口处部署硬件防病毒网关,IPS入侵检测和防御设备,双机防火墙。防病毒网关可以有效针对HTTP,SMTP,POP3,IMAP,FTP等协议的过滤,IPS集访问控制、透明、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备,为内网系统提供完整的立体式网络安全防护。②网站后台管理服务器部署在台内的服务器区安全域中,在服务器区边界部署双机防火墙,IPS入侵检测和防御设备。可以有效针对网站的服务器定制特殊的策略,关闭无需使用的端口。安全域的划分更加增强了服务器区域的安全可靠性,并且也防范了由台内所产生的任何攻击。
2 安全软件①所有服务器均安装正版卡巴斯基服务器版杀毒软件,每天定时更新病毒库,所有服务器保持实时更新官方系统补丁和漏洞,所有服务器还加装360安全卫士,提高针对木马攻击和被挂马的安全性。②对服务器部署了网页防篡改软件,实时自动比对网页的内容有无变化,根据自己独立的网页比对策略,如果发现网页内容被非法篡改,可立即自动恢复成正常页面。既减轻了人员对网页的监控工作量,也最大限度的避免了由于人为因素导致问题被忽略的现象出现。
三、运维服务体系的建立
1加强各项操作准确性,确保整个流程符合规范要求 建立健全的运维服务制度,制定相应的流程,运维管理人员必须根据操作章程进行运维,同时要设定审核制度,主要有:技术上的制度以及相应的流程、设备维修的相关制度、应急的处理手段、问题跟踪制度等,确保运维服务能够有效进行,保证整个体系的规范化以及制度化。
2建立严格的值班制度 首先要制定出一套严格的值班制度,以及惩罚方式,严格要求值班人员做好每天的运维记录,下班之前进行工作总结,以保证巡检到达规范要求。其次要加强对内部人员的培训,保证整个网络运维的质量。
3完善网路运维知识体系 完善网络运维知识库,加强运维知识库的规范性、制度性,一旦出现问题,可以快速进行检查,也可以为今后出现类似情况提供参考。
四、网络系统的日常维护
1强化磁盘的动态管理,提高网络运行速度 一般在网络中制作节目都是由于多部门、多栏目同时进行,造成网络运行十分缓慢。因此,必须加强对这些部门及栏目磁盘空间的管理,提高网络的运行速度。同时,网络系统要设置有动态的磁盘的分配功能,可以有效管理各部门使用磁盘的具体情况,实现动态分配。
2严格执行系统的日志管理 广播电台的网络系统可以通过日志管理来实现。系统一般都会记录用户登陆后的相关操作,例如登录的情况、素材的删除、操作方法、节目的编制方法以及设备的使用情况。网络管理人员通过日常管理功能,将这些无用的记录进行删除。
3对于访问安全的管理设置 为了确保系统的安全,必须严格设置用户认证系统以及访问权限,限定人员对于系统的使用,确保登陆系统人员的合法性,确保网络安全。此软件分为三层结构,一是数据及程序,二是数据控制,三是应用逻辑。此三层结构独立管理,以便有效地控制人员对信息的访问。
五、结束语
网络技术为广播电台提供更加合灵活、强大的功能,对于信息的掌握与处理更加灵活,实现节目通道的任意调配。然而广播制播网仍处于起步阶段,尚未完善,然在缓慢的发展,因此必须加强对广播技术的研究,实现广播电台的持续发展。同时要学会灵活运用网络技术,进而提高广播电台的核心竞争力,为广播电台开拓更广的发展空间。
参考文献:
[1]段文辉.对广播电台局域网信息安全策略的几点思考.新闻天地(下半月刊).2010(06).52.
[关键词]中国电信IMS 网络运维 综合能力 提升对策
中图分类号:TN919.8 文献标识码:A 文章编号:1009-914X(2015)13-0306-01
随着网络融合的深入推进,中国电信未来将拥有庞大复杂的IMS融合网络。当前IMS网络发展机遇与挑战并存,鉴于IMS与传统网络的巨大差异性,中国电信运营商应充分认清当前IMS网络运营问题和挑战,以便有的放矢地加以应对,更好地促进IMS网络运维能力、运营水平的整体提升。
一、中国电信IMS网络运营面临的问题
1.IMS技术层面问题
从IMS技术层面来看,IMS网络彻底IP化内核的技术特征,会增加网络和业务的运营风险与维护难度,给网络运营带来更大挑战。IMS技术对运营挑战主要包括以下方面:第一,IMS网络架构较软交换而言更复杂,运营难度增加。IMS网络涉及多个专业设备,且设备种类更多、网元间接口更复杂,如增加了IMS-SIP Diameter等协议,为故障定位、服务质量保障带来挑战。第二,IMS是基于全IP网内核的网络技术,带来新挑战。IMS网络实现了端到端信令与媒体全面扁平化,即除了媒体流实现扁平化外, 网元间通过域名查找DNS做到端到端无连接状态的信令路由寻址,这种动念寻址链路较传统静态链而言, 更完美, 但也带来互通、安全、维护等风险,对网络方案提出更高的技术要求。第三,IMS网元容量大,接入客户类更多,设备故障对业务影响更大,这就要求故障发现更快,切换更快,但技术、设备代价也更大,因此对网络容灾安仝技术提出更高要求。第四,智能终端风暴的挑战。终端智能化、多元化、个性化趋势加快,各类软硬终端、智能手机层出不穷,由于IMS支持终端漫游,接入方式多样化,如 EV-DO、Wi-Fi、ADSL及PON等,网络接入互通兼容性问题比较突出,故障定位难度加大,若终端通过非信任域IP接入也给核心网络引入一定风险,因此,对网络安全、运维能力提出新要求。第五,端到端的QoS服务能力不足。目前虽有规范,但技术还不够成熟,端到端QoS保证体系不完善,宽带业务和窄带业务在资费模式、业务模式,甚至商业模式上都有所不同,为新型宽带业务的运营带来挑战。
2.IMS网络层面问题
IMS网络运营时,在IMS应用模式、网络业务实现方案、技术规范方面尚待研究和优化; 在运行质量指标、网络互通、业务实现、可靠性、接入维护、 管理能力、支撑系统、维护队伍建设方面带来挑战。日前影响IMS网络运行质量的原因主要包括以下方面:一是IMS技术在网络组织、应用方案、运维功能上还需要通过运营不断验证、优化完善;网络运行质量指标体系有待研究建立与试验,目前部分统计能力还不具备,尤其是端对端的业务质量评估指标,为网络质革优化带来挑战;统一接入及新型智能终端带来新的维护能力需求、方式的挑战。二是网络跨网络、跨机型、跨域、跨平台的互通能力与稳定性有待提升,对网络服务质量带来影响;跨网络体制的融合业务实现方案有待研究优化,对业务开放带来挑战;设备网管系统能力有待规范统一,维护能力有待提升。三是配套支撑系统有待升级改造支持与IMS网络衔接,可能会影响业务受理、开放;维护队伍IMS维护技能与维护经验不足的挑战。
3.IMS安全运营层面问题
IMS安全运营是网络运营的重要基础。目前IMS组网方式、安全机制还不完善,例如,存在较多薄弱安全风险,S-CSCF间缺少容灾倒回能力,S-CSCF负荷均衡机制欠缺,网络中断SIP用户恢复耗时长,且依赖终端重注册,IMS还不具备对业务平台、DNS或关键网元的Bypass功能,用户账号密码存系统没加密,维护手段不足等。因此,需要提出IMS可靠性提升关键技术和运维管理手段措施,形成相关规范和指导方案,这就对运维监控、防瘫、应急维护能力提出更高要求。
二、中国电信IMS网络运维综合能力提升对策
1.IMS网络集约化运营能力的提升策略
目前中国电信IMS网络运营刚开始,急需尽早建立合理、规范的集约化运营体制,提升高效运营能力。具体包括:
(1)加强集约化运维体制的建设。通过有序推进IMS集约化运营试点工作,不断完善相关维护制度、维护方式,明确维护职责和分界面,研究形成测试规范、运行质量指标、日常维护计划、数据配置规范、应急预案等满足常规运营需要。
(2)强化集约化维护管理。对厂商统一网管能力提升,针对设备种类多的问题,需要制定相应网管规范,将配套数通设备、IT设备纳入厂商网管统一管理,同时实现标准化北向接口与综合网管系统的对接;系统性推进配套支撑系统与IMS衔接的改造升级,包括综合网管系统、信令监测系统、10000申诉处理系统、计费系统、业务受理支撑系统等。
(3) 实现IMS网络与业务的统一。针对融合业务实现复杂的问题,要形成统一解决方案、配置方案;鉴于网络互通的复杂性,研究制定规范和指导原则,加强网络联调、业务互通、贯穿测试,在上线前尽量消除主要问题隐患。
(4)增强网络运维技术手段。如针对终端的深度分析管理平台、IP网业务流监测系统、业务质量自动拨测系统及时发现问题,控制影响范同,及早消除故障。
(5)规范集约化故障处理流程。对跨专业、跨网络、跨域、漫游时故障要及时发现、快速定位和应急疏通要求更高,应重视做好日常定时拨测、安全防护、例行维护、应急预案等。
(6)加强维护专家队伍建设,除了熟练掌握IMS等融合核心网络维护技术和经验技巧外,还应提升在IP网络、综合接入、新流程和融合网络业务等方面维护技能和经验。
2.IMS网络安全性与可靠性的提升策略
IMS网络安全性及可靠性的提升,可从组网建设、网络技术、维护管理等方面加以综合考虑。
(1) IMS容灾组网技术方案。组网时应根据IMS安全的薄弱环节,对核心网元的安全等级进行划分,对HSS、S/I/P-CSCF、DNS等重要性最高的A类网元选择Pool或1+1互备等组网方式,支持容灾数据实时或准实时同步;对MGCF、AGCF和大型BAC等B类网元采用双归属或负荷分担方式组网;域内采用有心跳检测的静态链路,当域内网元出现故障时,可快速告警和路由切换;域间通过软交换网、传统长途网做好动态链路失效的迂回保护。
(2)IMS快速旁路Bypass应急恢复技术。针对A类网元瘫痪,研究试验DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass机制和维护规范,使得网元瘫痪后业务不受影响或影响最小,另外还应提升维护人员网络防瘫、应急恢复能力和维护水平。
(3)IP安全防护与漏洞封堵。针对业务开放与IP化系统的安全漏洞问题,应通过安全扫描等手段,发现和封堵系统漏洞,服务端口最小化;在网络边缘层配置防火墙功能阻隔非信任区域的风险。
(4)用户信息安全加密技术。账号密码等用户关键信息录入、传送、存储、维护全流程采用加密算法进行加密。
总之,IMS网络作为未来统一核心网络,其运营质量问题将关系整个电信网络、业务运营的质量,应引起足够重视,并充分研究IMS网络运营的关键问题,提出解决对策,实现IMS网络规范、高效、安全的运营目标。
参考文献
关键词:安全;电子政务外网平台;电子政务外网云平台;保障体系;传统架构;云计算
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)11-0-03
0 引 言
随着电子政务外网的发展,各省市电子政务外网平台的建设均已成熟,多数省市电子政务外网平台建设之初采用的是物理机传统架构部署方式。随着信息技术的发展,云计算技术应运而生,电子政务云平台的建设风生水起。然而无论是传统架构还是在云计算环境下,电子政务外网平台面临的风险越来越多,本文就这两种架构下电子政务外网平台的安全如何建设进行分析,提出相应的解决方案。
1 建设方案
电子政务外网平台的安全建设应根据业务应用特点及平台架构层特性,应用入侵检测、入侵防御、防病毒网关、数据加密、身份认证、安全存储等安全技术,构建面向应用的纵深安全防御体系。电子政务外网平台安全建设可从分析确定定级对象及安全等级、构建安全保障体系、明确安全边界、安全技术保障、安全运维保障、安全制度保障、云计算环境下电子政务外网平台安全保障几方面考虑。
1.1 分析确定定级对象及安全等级
信息系统安全等级共分为五级,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)》,结合国家相关行业标准规范,分析确定定级对象及安全等级。本文以构建信息系统安全等级第三级标准安全建设进行探讨。
1.2 构建安全保障体系
电子政务外网平台安全保障可从安全技术保障、安全运维保障、安全制度保障三个方面着手考虑,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级基本要求(GB/T 22239-2008)》进行建设。物理机传统架构下的电子政务外网平台安全保障体系架构如图1所示。
1.3 明确安全边界
1.3.1 安全边界划分原则
安全边界划分原则[1]如下所示:
(1)以保障电子政务外网平台信息系统的业务、管理、控制数据处理活动、数据流的安全为根本出发点,保障平台安全;
(2)每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等;
(3)根据“信息安全等保”要求,网络规划时避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
(4)根据《国家电子政务外网跨网数据安全交换技术要求与实施指南》,部署数据安全交换隔离系统,保障数据交换安全;
(5)对接入边界进行安全防护。
1.3.2 安全边界划分
电子政务外网平台可划分为DMZ区、内部数据中心、互联网出口区、安全及运维管理区、边界接入区五大区域。电子政务外网安全边界划分图如图2所示。
(1)DMZ区
DMZ区部署面向互联网的业务系统,包括门户网站、邮件服务等,应根据实际需求部署相应的安全策略。
(2)内部数据中心
内部数据中心区部署协同办公等内部应用系统,可根据实际需求分为多个逻辑区域,如办公业务区、测试区等,应根据实际需求部署相应安全策略。
(3)互联网出口区
互联网出口区为电子政务外网平台互联网接入边界,与运营商网络直连。该区域直接面向互联网出口区域,易被不法分子利用网络存在的漏洞和安全缺陷对系统硬件、软件进行攻击,可在该区部署相应的防火墙策略,并结合入侵防御、安全审计等技术提供立体的、全面的、有效的安全防护,允许合法用户通过互联网访问电子政务外网。
(4)安全及运维管理区
提供安全管理运维服务,保障电子政务外网平台的安全。提供统一网络管控运维服务,保障整网设备及业务系统信息正常运行。
(5)边界接入区
根据国家相关规范,对专网、企事业接入单位或其它系统接入电子政务外网时,应在访问边界部署防火墙、入侵防御系统,与“政务云”实现物理逻辑隔离,进行安全防护。
1.4 安全技术保障
采用传统架构的电子政务外网平台技术安全保障可从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行考虑,可通过部署相应产品或配置服务进行安全保障。
1.4.1 物理安全
物理安全主要涉及环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等。具体包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。该部分主要体现为机房及弱电的建设标准、规范,技术环节应符合相关等级保护要求。
1.4.2 网络安全
网络安全主要包括网络结构、网络边界以及网络设备自身安全等,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面,关键安全技术保障措施如下所示:
(1)划分安全域,根据各安全域安全建设需求采用相应的安全策略。
(2)通过合理部署IPS、防火墙对网络进行边界隔离和访问控制,并实现对网络攻击的实时监测,即时中断、调整或隔离一些不正常或具有伤害性的网络行为。
(3)部署防DDoS攻击设备,及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量通过。
(4)可在互联网出口处部署链路负载均衡设备,加强网络数据处理能力、提高网络的灵活性和可用性。
(5)采用上网行为管理、流量控制等设备,对网络流量进行实时监控管理,实现员工对终端计算机的管理和控制,规范员工上网行为,提高工作效率,实现流量控制和带宽管理,优化网络。
(6)对关键设备采用冗余设计,并在重要网段配置ACL策略以保障带宽优先级。
(7)采用安全审计技术,按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。
1.4.3 主机、应用安全
主机安全主要包括访问控制、安全审计、剩余信息保护、恶意代码防护等几个方面。应用安全主要包括身份鉴别、访问控制、安全审计、抗抵赖性等几方面,关键安全技术保障措施如下所示:
(1)恶意代码可直接利用操作系统或应用程序的漏洞进行传播,可部署恶意代码监测、病毒防护系统及漏洞扫描等系统,通过主动防御可有效阻止病毒的传播,及时发现网络、主机、应用及数据库漏洞并修复,保障电子政务外网平台安全。
(2)利用身份认证技术及访问控制策略等技术保障主机应用安全,不允许非预期客户访问。
(3)运用审计技术保障主机应用安全,实时收集和监控信息系统状态、安全事件、网络活动,以便进行集中报警、记录、分析、处理。
(4)采用应用负载均衡技术、操作系统用户登录等技术实现资源的优化控制。
(5)可部署Web应用防火墙、网页防篡改等系统,做到事前主动防御,智能分析、屏蔽或阻断对目录中的网页、电子文档、图片、数据库等类型文件的非法篡改和破坏,保障系统业务的正常运营,全方位保护Web应用安全。
1.4.4 数据安全
数据安全主要包括数据的保密性、完整性及备份和恢复,关键安全技术保障措施如下所示:
(1)可对不同类型业务数据进行物理上或逻辑上隔离,并建设数据交换与隔离系统以保障不同安全等级的网络间的数据交换安全。
(2)采用双因素认证进行数据访问控制,不允许非预期客户访问,对违规操作实时审计报警。
(3)采用VPN、数据加密、消息数据签名、摘要等技术对数据传输进行加密,防止越权访问机密信息或恶意篡改。
(4)采用数据库冗余部署,防范数据丢失风险,为业务系统稳定运行提供保障,可考虑建设同城或异地容灾。
(5)部署数据库审计设备可在不影响被保护数据库性能的情况下,对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,为数据库系统的安全运行提供了有力保障。
1.5 安全运维保障
安全运维保障可通过安全管理平台,建立与安全工作相配套的集中管理手段,提供统一展现、统一告警、统一运维流程处理等服务,可使管理人员快速准确的掌握网络整体运行状况,整体反映电子政务外网平台安全问题,体现安全投资的价值,提高安全运维管理水平。安全运维管理平台需考虑与安全各专项系统、网管系统和运管系统之间以及上下级系统之间的接口。
1.6 安全制度保障
面对形形的安全解决方案,“三分技术、七分管理”。若仅有安全技术防护,而无严格的安全管理相配合,则难以保障网络系统的运行安全。系统必须有严密的安全管理体制来保证系统安全。安全制度保障可从安全管理组织、安全管理制度、安全管理手段等方面考虑,建立完善的应急体制。
1.7 云计算环境下电子政务外网平台的安全保障
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。随着时代的发展,云计算技术已变成信息系统主流基础架构支撑。由于云计算平台重要支撑技术是采用虚拟化实现资源的逻辑抽象和统一表示,因此在云计算环境下进行电子政务外网云平台安全保障体系建设,仅仅采用传统的安全技术是不够的,除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障,运维安全保障,安全制度保障需求之外,还应考虑虚拟化带来的新的安全风险。云计算环境下电子政务外网云平台安全保障体系如图3所示。
1.8 虚拟化安全
当前,云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题,主要涉及的安全包括虚拟机逃逸防范、虚拟机通信风险、虚拟机管理平台安全等方面。可采取如下安全保障措施[2]:
(1)将可信计算技术与虚拟化技术相结合,构建可信的虚拟化平台,形成完整的信任链;
(2)可建设分级访问控制机制,根据分层分级原则制定访问控制策略,实现对平台中所有虚拟机的监控管理,为数据的安全使用和访问建立一道屏障;
(3)可通过虚拟防火墙、虚拟IPS、虚拟防病毒软件或虚拟安全网关等技术实现虚拟机间的安全隔离。
2 SDS安全保障技术简介
软件定义安全(Software Defined Security,SDS)是从软件定义网络(Software Defined Network,SDN)延伸而来,将安全资源进行池化,通过软件进行统一调度,以完成相应的安全功能,实现灵活的安全防护。简单来说,传统的安全设备是单一防护软件架构在一台硬件设备之上,通常串接或旁挂于网络中,不仅将网络结构复杂化,对不同厂家的安全设备进行统一管理的复杂度也较高,需单独的物理安装空间。而SDS可以将其看作一个软件,灵活调配安全设备资源,实现灵活的网络安全防护框架,方便调整。
3 结 语
在大数据时代下,SDS是顺应时展趋势、简化安全管理的诉求,但由于SDS应用尚未完全成熟,仍需经过实践的检验。
参考文献
关键词:高校计算机;网络运维;发展趋势
科学技术和信息技术的飞跃发展,是大数据时代下社会最为突出的发展变化。大数据时代下高校对计算机网络进行了较为广泛的应用,校园网络的全覆盖推动了学生学习、教师教学、学校日常管理工作效率的提高。计算机网络作为现阶段高校全体成员广泛运用的手段,是现代化教育事业背景下高校现代化教学和管理工作发展的基本条件之一。随着高校计算机网络在高校教育教学、日常管理中地位的日益提高,高校领导层和相关技术人员也越来越重视计算机网络运维的工作。高校计算机网络运维是保障校园网行之有效、正常运营的后盾和支持力量,是影响高校计算机网络运行发展效果的主导因素。针对现阶段高校计算机网络运行中存在的问题,技术人员应当进行全面的分析和处理,及时提出针对性解决策略。本文将探究加强高校计算机网络运维的具体策略并分析高校计算机网络运维事业的发展趋势,以期推进高校计算机网络更加平稳、安全、高效、科学的运行和发展。
1现阶段我国高校校园网络运维的基本情况
我国当前的计算机网络运维旨在实现高效信息化教育教学和日常管理。就目前我国高校校园网络建设的情况来看,我国高等学校计算机网络的普及情况较为良好。经过一段时间的发展,高校校园网络建设已经初具成效,取得了一定的进步成果。与此同时,高校对于计算机网络资源的需求日益旺盛。然而我国现阶段高校计算机网络运维仍然存在不完善、不科学的部分,不适应高校校园网的发展需要。校园网规模较大、管理较为复杂,为了提升校园计算机网络性能和运营效果,高校计算机网络运维工作面临着较为严峻的工作形式和承担着较大的工作压力。现阶段我国校园网络以传统的三层网络架构为主,这一结构的突出缺陷在于,伴随着我国高校学院、实验室等局域网络的发展和数量的增加,高校校园网的网络拓扑结构会更加的复杂,因而导致高校校园网络预备管理工作存在障碍,复杂、繁多的网络环路以及网络风暴等会对高校教学工作、日常管理工作造成严重的影响,阻碍日常管理工作和教学工作的顺利进行。传统网络架构下校园网络安全管理工作难度较大。校园无线网为校园内学生、教育工作者创造了使用无线网的便利条件。现阶段高校计算机网络管理人员面临着复杂的工作情况和较高的工作要求。当前计算机网络结构给计算机网络运维造成了较为明显的障碍,技术人员对校园网络用户访问的控制、认证管理缺失。许多高校计算机网络管理只能发挥保持计算机网络正常通信运营的功能,不能对校园网用户的入网行为进行管理控制。综上所述,当前我国高校计算机网络运维中存在较为突出的问题。要求相关技术人员尽快简化网络结构,加强对用户上网认证和访问的管控工作,针对网络安全,应当尽快建立科学、高效的网络安全管理体系。
2高校计算机网络运维中常见的故障问题与解决方式
(1)硬件故障及其处理方法计算机设备、硬件、线路故障是高校计算机网络运维中常见的故障问题,硬件故障直接导致了互联网的工作终端。解决这类问题,需要运维人员仔细地观察设备指示灯和检验线路是否存在接触不良,还要考虑到设备运行温度的因素,有些设备会因为温度过高而停止工作,这时设备的指示灯显示正常但却不能发挥作用,可以通过断电后重启的方式解决故障问题。(2)不正确的防火墙设置防火墙设置不正确将会给高校计算机网络运维造成安全隐患,运维人员需要根据防火墙的设置规则进行调整,看是否存在被禁止网络模块和正常程序应用,结合防火墙日志记录,分析和找出不能上网的问题所在。(3)网络风暴网络风暴产生的原因较多,网卡损坏、网络设备、病毒、网络环路连接失当都是造成网络风暴的原因。由于造成网络风暴的影响因素较多,网络风暴也有不同的类型,运维人员在解决网络风暴问题时需要根据具体的类型和影响因素选择最科学的手段和方法。
3加强高校计算机网络维护的具体策略
现阶段我国高校计算机网络维护的规模和范围不断地扩大,运维工作复杂程度、难度也在不断地提高。如何在保证计算机网络功能正常的同时优化计算机网络运维工作是现阶段运维工作人员工作的重难点。相较于其他单位的网络信息中心,高校在计算机网络运维中投入的资金较少,缺少配套的人力资源和设备技术。现阶段高校计算机网络运维人员的综合素质、专业能力都有待增强,在网络技术、设备的更新上存在缺陷,这也是造成现阶段高校计算机网络运维效果不佳、效率不高的重要原因,上述问题都要求我国高校尽快创新和调整计算机网络维护的工作策略。(1)调整底层网络架构将传统三层网络架构转变为二层网络架构,坚持以汇聚和接入层压缩为核心。传统三层网络架构中的DPHC、汇聚的路由等调整到核心层,在网络架构的核心层应当配置路由和完善IP,进一步完善DNS地址下发业务、网关等,核心与接入交换机应当部署好流量控制、放环路设置等安全策略,还需要对网络设备进行全部监管,精准管控,校园内各局域网、系统、线缆、安全设备等需要进行清晰的标识和进行合理、规范的部署。(2)做好相关系统认证为了更好检测网络流量状态和把握网络运营的基本情况,以及做好对用户接入网络、认证等相关的管理控制,运维人员需要部署相关系统的关联认证,其中包括SAM计费系统、RITL网关系统等等,做好关联系统认证,更好的预防非法接入和进行监管控制,致力于运维效率和效果的提升。(3)健全和完善相应的规章制度为了更好对高校各部门、学院的信息系统、终端接入设备进行管理和控制,学校应当及安全相关的规章制度,私建网络、个人终端设备此等需要信息中心批准和工作人员的协助,方能与校园网络进行连接,高校应当加强对信息中心部门工作运维人员综合素质的培养,积极组织培训和进修活动,积极聘请外部专业高技术人才进行培训。
关键词:区域卫生平台;信息安全;设计
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0076-02
一、引言
根据区域卫生信息平台的应用安全需要,整个平台的网络架构应由区域卫生信息平台统一负责设计和规范。相关的接入设备设置标准和运维要求应由区域卫生信息平台统一制定管理规范要求。各接入单位和运维单位应依据区域卫生信息平台统一制定的管理规范要求,对各自所使用和管理的各类设备、应用系统、运维工具制定相应的使用、管理规范确保整个系统的安全运行。
二、网络安全
网络系统安全也是网络系统稳定的根本性保障,无法保障系统安全的网络是无法实现网络系统的稳定性的,然而,根据公安部的统计,网络系统的安全事件,有70%是由内部的使用者造成的,因此,一个能够轻松使用内部网络系统的用户,其有意或无意造成的网络安全影响会比一个外部的黑客造成的影响还要大。
目前,网络系统中蠕虫病毒、扫描攻击、DDOS等攻击越来越普遍,而这些攻击将直接导致网络系统瘫痪和中断,给医院的正常业务开展造成非常严重的影响。例如:单台主机在进行扫描攻击的时候,可以瞬间将门诊收费的主干网络设备的系统资源占满,造成门诊收费等系统无法正常通信,严重时还将造成全网主干系统数据传输缓慢或中断。因此,病毒是目前比较严重的问题,尤其是网络病毒和网络攻击型病毒,防范十分困难。
(一)网络接入方案。规范所涉及的网络建设涉及到市区两级网络的规范联接、协调管理等内容,所以在网络接入方案规范要求方面,将相关内容拆分成以下两部分。
(二)区县网络接入方案。区县网络接入方案应由区县卫生信息平台根据本区域网络建设的实际情况进行方案选择,可提供的建议主要有三种:
1.利用VPN相关技术依托Internet网络构建区域卫生信息专网。
2.基于本区域的政务专网构建卫生信息专网。
3.自行建设本区域的卫生信息专网。
由于各种网络接入方案在安全技术和管理权限上存在较大的差异,因此各区域网络建设单位可根据各自所选用的网络接入技术方案,制定符合自身需要的网络安全管理规范。
(三)市级网络接入方案。市级网络接入方案主要针对对象有两类:(1)各区县卫生信息平台;(2)市级所属各医疗卫生单位。市级网络接入方案的制定应根据市级区域卫生信息平台相关建设要求,结合各类接入单位的实际网络建设情况、业务状况、安全要求进行规划建设。同时各区县卫生信息平台和市级所属各医疗卫生单位,应依照市级网络接入方案的相关要求,配合市级卫生信息网络建设对自身应用网络进行改造。
(四)前置设备管理。前置设备指部署在区域卫生信息平台之外,各接入单位本地的各类设备,主要包括前置服务器设备(服务器)、网络接入设备(交换机)、网络安全设备(防火墙)。前置服务器设备(服务器)的管理配置权限均有中心负责,各接入单位有权使用该设备,并在该设备上部署同中心进行数据交换所需要的各类应用功能(部署前需要向中心相关管理人员进行说明)。网络接入设备(交换机)、网络安全设备(防火墙)的管理配置权限存在以下两种状况:网络接入设备和网络安全设备被置于中心可见范围内,且相关的设置依照中心原定技术方案进行配置。在此情况下由中心负责对上述设备的管理,由接入单位配合中心进行维护;由于接入单位自身网络建设要求,网络接入设备和网络安全设备被置于中心不可见范围内。在此情况下上述设备的管理和维护则由接入单位自行按照中心相关要求进行。
三、应用安全
(一)CA数字签名集成。出于对整个区域卫生信息平台的应用安全考虑,要求接入单位在各自的数据上传接口中依照区域卫生信息平台所提供的相关技术资料,将数字签名功能集成进文档注册功能中。前置设备在接收文档注册申请时,首先会验证文档签名。签名通过后还会验证XML结构和部分信息是否符合接口描述要求,如通过后返回机构文档注册程序成功标志表明此文档顺利提交,否则返回失败及失败原因,接入机构文档注册程序接收到错误信息后,根据错误信息代码及描述,对文档或数据重新处理后再次提交,直到成功。
(二)数据安全。区域卫生信息平台应该统一负责整个系统的数据安全,依据此要求结合各类信息的实际存储位置、管理负责单位的差异,规范将数据管理工作拆分成前置端数据管理和中心端数据管理两大部分。
(三)前置端数据管理。前置端数据管理工作主要由区域卫生信息平台的日常运维人员负责,并由接入单位相关责任人提供相应的配合。主要应实现以下工作内容:对前置设备中的各类数据,制定全备份和增量备份相结合的备份策略,确保数据存储的安全性;对前置设备中的数据库定时进行数据索引重整、数据库日志截断,确保数据库运行的稳定高效;对前置设备中的各类应用日志进行定期清理;对前置设备的存储空间进行监测,并定期进行历史数据清理。
(四)中心端数据管理。中心端数据管理工作主要由数据中心相关管理单位负责,主要应实现以下工作内容:制定中心端数据的备份策略(包括物理备份和逻辑备份),并根据用户要求进行相应的数据恢复演练工作;监测中心端数据存储空间和日志空间的使用情况,在监测结果超出警戒阀值的状况下,将相关信息反馈给用户管理部门,确保相关问题能在第一时间被发现并被及时解决监测中心端相应设备的运行状况(CPU、内存等),并定时将监测结果反馈给用户管理部门。避免由于各类硬件设备问题或设备资源不足,而导致的系统故障、数据丢失状况的发生。
四、结论
本通过对区域卫生平台的信息安全的探索、研究和应用,提高平台的安全水平,和资源的综合利用,促进信息数据的完整性,培养实践创新人才具有积极的作用。实践表明,该设计对其区域卫生平台的设计具有一定的参考价值。
参考文献:
[1]蔡小芳,张永胜.在Web服务安全中XML加密与签名的应用[J].计算机安全,2006,7
[2]胡隽.构建区域卫生信息网进一步整合各级医院信息资源[J].社区医学杂志,2010,5
终端成为重要攻击目标,安全防护不容忽视。在由云计算、大数据、移动互联网重构的IT环境中,大量信息数据被放置到云端,传统的防火墙边界已经不复存在,因此有人认为终端安全已经无关紧要。然而对于多数企业来说,PC、手机、平板电脑等终端设备仍然是企业数据存放和周转的重要节点,如果终端安全无法得到保障,这些数据也将面临严重的威胁。
亚信安全产品经理何莉表示:“从网络安全防护实践来看,针对终端的安全攻击对企业的整体业务和数据安全造成了很大威胁。网络攻击者不仅可以通过入侵终端设备来窃取机密的企业信息,还有可能以终端设备作为‘跳板’发动APT攻击,将定制化的恶意软件散播到企业网络之中,伺机执行破坏网络、窃取数据等高威胁的行动。”
提升终端安全防护能力和联动防御成为重心之一。要提升终端安全防护能力,就必须不断改进安全防御技术,以组成更高效、更坚不可摧的防御体系。此外,随着终端安全威胁的复杂化,企业最好能够综合使用多种技术,而不是单个技术来化解威胁,这就要求企业将不同安全产品功能与信息进行整合,这样有利于对安全威胁情势进行全面准确地洞察,实现安全威胁的联动防御。
除了强化对安全威胁的治理,将不同终端安全产品进行融合,还能显著降低企业的安全运维难度。很多企业部署了多种终端安全产品来应对不同威胁,这样虽然可以提高安全防护能力的覆盖范围,但是不同产品有着不同的技术架构和管理方式,会大大增加安全运维的难度,还有可能产生产品兼容性题。如果能够实现融合管理,将显著提升安全运维的效率,减少安全防御的漏洞。
对于终端安全的防护,亚信安全有终端安全管控系统和防毒墙网络版OfficeScan两款产品。其中,亚信安全终端安全管控系统以安全管控为核心、以运维管控为重点,可帮助企业打造全方位终端安全管理体系;亚信安全防毒墙网络版OfficeScan则以防范具体网络安全威胁为重心,具备针对未来而设计的弹性架构,可以提供恶意软件防护、数据保护、邮件安全等安全防护功能。
关键词:现代学徒制;课程体系;校企合作;信息安全
在现代学徒制试点工作开展的过程中,校企双方需要共同开展专业建设,其重点在于企业能够深入参与到专业学生培养的全生命周期中。课程体系是一个专业的核心,现代学徒制的专业课程体系建设就需要校企双方来共同开发。在信息安全领域中,企业适合高职学生就业的岗位主要集中在网络安全服务、安全运维等领域。因此,高职信息安全与管理专业的课程体系就需要围绕着这些岗位,由校企双方来共同开发。
一、高职信息安全专业课程现状
传统的高职信息安全与管理专业中,虽然其人才培养方案和课程体系的建设也是由专业带头人及骨干教师经过调研企业岗位之后得出的,但是由于是学院教师单方面来构建的课程体系。因此,在传统的高职信息安全专业课程体系中会出现以下问题:(一)学科体系氛围较浓。由于传统的高职信息安全专业课程体系是由专业教师单方面完成的,在课程体系中难免会出现学科体系的影子。随着专业的持续开办,虽然专业带头人对人才培养方案进行了多轮修改,但是其中学科体系的氛围还是会比较浓。例如,在传统的专业课程体系中,会体现C语言、计算机组成原理等课程。这些课程很明显带有传统学科体系下注重抽象理论知识学习的身影,因此还是不太适合于高职学生的学习。(二)课程体系不能完全体现出岗位需求。随着时代的不断发展与进步,许多新兴的事物出现在人们面前,在专业课程体系中也会出现许多新知识、新技能。例如,在课程体系中增加了云计算方面的课程,并且加强了计算机网络设备调试等方面的课程。虽然,这是为了让学生能够拓展自身的视野,提升了学生的专业技术技能,在今后的就业竞争中处于优势地位。但是,这样的安排不但没有突出网络安全服务于网络安全运维等信息安全领域的岗位群技能需求,而且还占用了大量的课程时间,影响了网络安全专业课程的课时安排。因此,这样的课程体系不能完全体现出专业特色与岗位需求,不能完全达到企业对口岗位的技术技能需求。
二、现代学徒制信息安全与管理专业课程体系建设
为了能够更好地满足信息安全领域的企业相关岗位的技术技能需求,让专业课程体系能够更加突出专业岗位技能培养,这就需要校企双方共同制定专业课程体系。建立现代学徒制试点专业的专业课程体系,需要校企双方从分析岗位技能需求入手,共同开发专业教学标准,形成专业课程标准。(一)信息安全与管理专业典型工作任务职业能力分析。通过对企业的调研与交流,明确了信息安全与管理专业的培养目标为:培养与我国社会主义现代化建设要求相适应,德、智、体、美全面发展,面向网络与信息安全企业,在网络与信息安全领域的技术服务和技术管理岗位,能够从事渗透测试、网络安全风险评估、网络安全工程集成等职业岗位群工作,具备网络安全相关法律法规及专业标准、渗透测试技术、网络安全应急响应与取证技术、网络安全工程规划设计与实施等专业知识和技能,具备良好的职业素养和解决实际问题的能力,具备较强的沟通、团队协作和组织协调能力的高素质技术技能人才。因此,该专业学生毕业后主要在网络与信息安全企业从事网络安全渗透测试、网络安全服务、网络安全工程的设计与实施以及信息安全产品的销售等工作。在岗位的确定上,我们首先将企业的岗位群划分为:初始岗位群和发展岗位群。在初始岗位群中包含:专业技术岗位和销售管理岗位。具体的岗位划分如图1所示。确定了该专业的岗位群后,校企双方要针对岗位群确定典型岗位工作任务,从八个岗位中,我们确定了30个典型工作任务,再分别对每个典型工作任务进行深入分析,确定出相应的110条职业能力,如表1所示。(二)信息安全与管理专业课程体系的建立。根据对信息安全与管理专业典型工作任务和职业能力分析的结果,我们对职业能力进行归纳,从而设计出该专业的课程体系结构。该专业的课程体系结构突出了校企合作办学的特色,凸显现代学徒制人才培养模式的特点。课程体系结构共分为五大部分,包括:公共基础课程、职业技术课程、学徒岗位课程、技能训练课程以及职业拓展过程,如图2。在课程体系结构中,公共基础课程由学院负责课程标准的制定及课程授课;职业技术课程涉及该专业的职业能力中的核心部分,因此由校企双方共同制定课程标准,授课地点为校内,教学方式为教学做一体,由校企双导师团队共同承担课程教学;技术技能训练课程为职业技术课程的延伸,对职业技术课程中涉及的职业能力进行强化训练,因此该课程授课地点为校内,教学方式为实践教学,由校企双导师团队共同承担课程教学;学徒岗位课程是整个课程体系中的关键部分,授课地点为企业,教学方式为企业岗位实践,由校企双导师团队共同承担课程教学;职业拓展课程是学徒岗位课程的延伸,课程以各企业的实际发展方向和工作岗位特点来选择,教学方式为企业岗位实践,由校企双导师团队承担课程教学。(三)信息安全与管理专业课程标准的制定。确定好专业的课程体系结构之后,校企双方要共同制定每一门课程的课程标准。课程标准中包含课程的基本信息、课程定位、课程设计思路、课程目标、课程内容和要求、实施要求及建议等六个部分。在基本信息中,要讲课程的名称、类型、学分等基本信息填写齐全;在课程定位中,主要讲课程与工作岗位典型工作任务相对应,并确定每门课程所包含的职业能力;在课程目标中,将课程的总体目标、具体目标描述清楚;在课程内容和要求中,将课程内容、学习目标、主要内容及参考学时标识清楚,为今后的教学工作打好基础;在实施要求及建议中,对师资、考核、教材等方面做了详细的要求,对具体教学过程也做了相关的建议。
三、总结