時間:2022-10-27 19:05:58
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全總結,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.1盡快研究出臺與三網融合進程相適應的我國廣電網絡信息安全總體戰略規劃
按照2010年國務院批復的《推進三網融合的總體方案》要求,2013~2015年為推廣階段,該階段目標為:“總結推廣試點經驗,全面推進三網融合;自主創新技術研發和產業化取得突破性進展,掌握一批核心技術,寬帶通信網、數字電視網、下一代互聯網的網絡承載能力進一步提升;網絡信息資源、文化內容產品得到充分開發利用,融合業務應用更加普及,適度競爭的網絡產業格局基本形成;適應三網融合的體制機制基本建立,相關法律法規基本健全,職責清晰、協調順暢、決策科學、管理高效的新型監管體系基本形成;網絡信息安全和文化安全監管機制不斷完善,安全保障能力顯著提高。”根據上述階段目標,總體方案對網絡信息安全保障能力提出了明確的要求,為適應三網融合進程,我國廣電行業在實現技術突破,完成業務融合等措施的同時,需要從戰略的高度統籌考慮網絡信息安全保障問題,從機構調整、立法、關鍵基礎設施保護、技術研發、加強教育培訓、加強多方合作等角度全面的制定我國廣電網絡信息安全總體戰略規劃,分階段制定網絡信息安全總體目標,依據總體目標制定信息安全基本政策及具體措施,并依此來指導未來幾年內面臨三網融合不斷推進形勢下的廣電網絡信息安全保障工作。
1.2盡快建立適合三網融合新形勢的廣電網絡信息安全機制
隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將相互開放和相互進入,網絡承載業務的變化必將對現有廣電網絡信息安全機制提出嚴峻的挑戰。因此,當前廣電行業對節目內容以及傳輸網絡的一些管理方式及監管機制也應因勢利導,系統分析及評估當前網絡信息安全風險及未來可能產生的變化,并針對這些新的變化調整自身管理方式和監管機制,盡快建立與三網融合進程相適應的新的廣電網絡信息安全機制。
1.3完善并制定新形勢下廣電網絡信息安全相關法律法規
自三網融合進程啟動以來,針對IPTV、網絡視頻等新媒體內容,我國廣電行業已出臺了一系列相關的法律法規對其進行監督管理。然而,隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將不斷相互開放和相互進入,廣電網絡承載業務將不斷擴大,網絡覆蓋方式將涵蓋有線、無線、衛星等多種方式,用戶終端將從客廳電視擴展到PC、移動終端、手持終端等多種終端,業務運營模式也將多種多樣,面對上述不斷激增的新的變化,目前我國廣電行業的相關法律法規已不能全面系統地保障廣電網絡的信息安全。因此,完善并制定新形勢下廣電網絡相關法律法規的工作就迫在眉睫。
1.4完善新技術在廣電網絡應用的安全性及風險評估機制
當前,我國廣電運營商在三網融合進程不斷推進的形勢下,正受到來自電信以及互聯網運營商方面巨大的壓力,面對這種壓力,我國廣電運營商在穩固發展自身視頻業務的同時,也不斷嘗試開展新的融合業務,而支撐這些新業務的新技術也被引入到了廣電網絡中,這些新技術包括物聯網技術、移動互聯網技術、云計算、大數據技術等。新技術的應用推動了新業務的應用,提升了廣電網絡的競爭力,然而任何一種新技術的應用必然會帶來一定的安全威脅,如云計算的應用可能會對存在云端的用戶信息帶來一定安全威脅,物聯網大量使用無線通信、電子標簽和無人值守設備,這使得物聯網應用層隱私信息威脅問題會非常突出。而諸如移動互聯網、大數據等新技術也同樣存在不同的安全威脅。新技術在廣電網絡的應用是提升廣電網絡競爭力的必然需求,但如何安全的應用這些新的技術,盡量減少安全風險,這就要求我們盡早的對新技術在廣電網絡的應用安全性及風險進行系統的評估,建立科學的風險評估機制,分析這些新技術可能在哪些技術環節出現安全威脅,從而針對性的制定網絡信息安全對策,進而采取有效的網絡信息安全措施。
2三網融合背景下我國廣電網絡信息安全技術措施建議
2.1推進具有自主知識產權的廣電核心技術研發
2013年6月,美國前中情局(CIA)職員愛德華•斯諾登向全世界披露了美國國家安全局一項代號為“棱鏡”的秘密項目,棱鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布什時期起開始實施的絕密電子監聽計劃,該計劃的正式名號為“US-984XN”。美國情報機構可通過直接接觸位于美國的互聯網和科技巨頭的用戶數據,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類:信息電郵,即時消息,視頻,照片,存儲數據,語音聊天,文件傳輸,視頻會議,登錄時間,社交網絡資料的細節。這些巨頭主要包括谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube、思科等,他們向美國兩大情報機構開放服務器,使美國政府能夠輕而易舉地監控全球。在我國,以思科為例,思科參與了中國幾乎所有大型網絡項目的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門的網絡建設,以及中國電信、中國聯通以及我國廣電網絡基礎設施建設。而微軟、Google和蘋果則掌握了中國的PC操作系統份額,在移動終端操作系統領域,蘋果的IOS及Google的Android操作系統更是平分天下。在廣電行業,智能電視操作系統及機頂盒也有部分采用Google的Android系統,這都為我國廣電網絡信息安全埋下了安全隱患。因此,需要研發一批具有自主知識產權的廣電網絡核心技術、關鍵技術、共性技術,以先進的自主技術支撐廣播電視裝備、軟件、系統的自主開發和應用,從而切實提高我國廣播電視領域的自主創新能力和技術裝備水平,排除因采用國外技術而可能隱藏的網絡信息安全隱患。
2.2推進適應融合網絡架構的網絡信息安全技術研發
隨著三網融合進程的推進,廣電網絡、電信網絡以及互聯網三網邊界日益模糊,同時,為提高廣電網絡的承載和覆蓋能力,有線、無線和衛星傳輸網絡的互聯互通和智能協同覆蓋也被提上了日程,此外,基于無線頻譜開展無線互聯網接入業務的呼聲也日益高漲。由此可見,當前的廣電網絡正在經歷著巨大的變革,與互聯網、電信網的融合,自身不同傳輸網絡之間的融合,新的移動互聯接入網絡的需求都使得處于“融合形態”廣電網絡架構發生了巨大的變化,這種變化相應地也帶來了新的安全威脅。因此,如何適應融合形態下的新型廣電網絡信息安全,推進適應融合網絡架構的網絡信息安全技術的研發也需要相關研究機構考慮,并加緊相關研究工作的實施。
2.3推進適應融合業務的網絡信息安全技術研發
網絡的融合,必然帶來的是網絡承載業務的融合,當前廣電網絡承載業務已不僅僅是客廳電視機終端上的視頻業務,點播業務、時移業務也經歷了很長時間的發展,基于移動終端的視頻業務正方興未艾,同時,各種數據業務也正由廣電網絡運營商提供給用戶使用,未來物聯網等新型業務也將由廣電網絡承載并提供給家庭用戶使用。融合業務給廣電網絡帶來了新的機遇,同時也給廣電網絡的信息安全帶來了極大的挑戰,為應對傳統視頻業務而采用的一系列信息安全技術在面臨新的融合業務時已經不足以保障用戶安全的使用和享受這些業務形式。因此,需要推進適應融合業務的網絡信息安全技術研發,真正使用戶放心安全的享受廣電網絡承載的多種融合業務。
2.4推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發
通過之前的研究我們發現,進入21世紀第二個十年后,以云計算、物聯網為代表的新技術正在加快在廣電網絡的應用。然而,新技術在推動廣電網絡的巨大變革的同時,也帶來了新的安全隱患。以云計算為例,2010年3月云計算安全聯盟(CSA)的一份云計算主要威脅的報告中,就提出了云計算目前存在的七大安全威脅,而如果我們沒有及早對這些可能的安全威脅采取相應的安全技術和安全措施,一旦發生安全事故,就極有可能導致整個網絡的癱瘓,導致所有用戶信息的泄露,后果不堪設想。物聯網同樣存在著巨大的安全隱患,如果物聯網出現了被攻擊、數據被篡改等,并致使其出現了與所期望的功能不一致的情況,或者不再發揮應有的功能,那么依賴于物聯網的控制結果將會出現災難性的問題,如工廠停產或出現錯誤的操控結果此外,黑客等惡意攻擊者還有可能通過物聯網來獲取、處理、傳輸的用戶的隱私數據,如果物聯網沒有防范措施則會導致用戶隱私的泄露。因此,我們在推動云計算、物聯網等新技術在廣電網絡應用的同時,務必需要對這些新技術可能產生的安全威脅進行系統的估量,并加緊推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發,從而在享受新技術帶來的“技術紅利”的同時,以技術的手段堵著可能的安全漏洞,真正確保新技術在廣電網絡的安全應用。
3結束語
【關鍵詞】船岸網絡;信息安全;航運企業
0引言
一些航運企業已開始實施“數字化+互聯網”戰略,船舶運營參數及管理量化指標被轉移至信息更加透明的互聯網平臺,船舶所有人可以通過互聯網平臺隨時隨地查看船舶動態。航運企業將船舶全權委托給第三方船舶管理公司管理,并通過互聯網平臺監控船舶動態。這種管理模式帶來一個全新的課題:船岸網絡信息化程度越高,信息系統遭受攻擊導致數據泄露的風險越大。近年來已發生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統。信息泄露會給個人造成損失,而信息系統遭受病毒攻擊則會給航運企業造成巨大損失。因此,信息安全對航運企業而言極為重要。
1船岸網絡管理現狀
船岸網絡技術的發展非常迅速,特別是海上衛星通信服務商提供的海上高速網絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經營人之間的信息交換頻率。海上高速網絡的普及給信息安全帶來更大的隱患。網絡沒有物理界限,任何具有網絡攻防知識并熟悉船舶扁平化網絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息,對船岸網絡實施遠程攻擊。通過對衛星通信服務商IP地址段批量掃描發現:眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網開放了21/80/445/3389等弱口令TCP、UDP端口;供應商為節約成本、方便遠程維護管理,將Cobham、KVHCommBox、Inmarsat、Marlink等產品內建的管理后臺映射到外網;絕大部分船舶沒有配置專業的硬件防火墻,岸基管理人員缺乏專業技能,最終導致船舶網絡安全得不到保障。
要做好船岸網絡安全工作,首先要了解船岸網絡設備運行機制和原理。船舶內網GPS、ECDIS、主機監控系統服務器等多網卡設備既通過串口總線和CANBUS、MODBUS等協議控制舵機、智能電站及壓載水調平系統等設備,又通過網卡和SNMP、NMEA等協議進行網絡通信,從而形成了一個可以網絡遠程控制的船舶物聯網。由于某些船用通信協議存在設計缺陷,例如NMEA0183協議通過明文傳輸,缺乏加密、身份認證和校驗機制,為實施網絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。
2常見的網絡攻擊方式
廣義上對船岸網絡的攻擊主要有兩類:(1)無目標的攻擊。岸基或船舶內網操作系統和第三方軟件漏洞是潛在受攻擊目標之一,攻擊者利用0day漏洞進行廣撒網式的無差別化攻擊,近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網絡攻擊屬于此類。(2)有針對性的攻擊。攻擊者將某船岸信息系統設定為滲透目標,利用專門開發的繞過技術和工具躲避網絡防御機制(如震網病毒事件),實施多步驟攻擊,其破壞程度較無目標的攻擊更大。
有針對性攻擊又分為以下6種類型:
(1)主動攻擊。攻擊者主動攻擊網絡安全防線。主動攻擊的方式為修改或創建錯誤的數據流,主要攻擊形式有假冒、重放、篡改消息和使網絡拒絕服務等。
(2)被動攻擊。攻擊者監視相關信息流以獲得某些信息。被動攻擊基于網絡跟蹤通信鏈路或系統,用秘密抓取數據的木馬程序代替系統部件。
(3)物理攻擊。未被授權者在物理上接入網絡、系統或設備,以達到修改、收集信息或使網絡拒絕訪問的目的。
(4)內部攻擊。被授權修改信息安全處理系統,或具有直接訪問信息安全處理系統權力的內部人員,主動傳播非法獲取的信息。
(5)邊界攻擊。網絡邊界由路由器、防火墻、入侵檢測系統(IDS)、虛擬專用網(VPN、DMZ)和被屏蔽的子網等硬件和軟件組成。硬件的操作系統與其他軟件一樣存在安全漏洞,攻擊者可利用操作系統漏洞,繞過已知安全協議達到攻擊的目的。
(6)持續性威脅。商業間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰略企劃書”為關鍵詞投放電子誘餌,通過文檔追蹤工具進行精準定位,誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統。
3船岸網絡中易受攻擊的系統
船岸網絡中易受攻擊的系統有綜合船橋和電子海圖系統、配載儀和船舶維修保養系統、主機遙控和能效系統、保安限制區域閉路電視監控系統和各重點艙室門禁系統、乘員服務和管理系統、面向船員娛樂的公共網絡系統、船岸網絡通信系統、計算機操作系統及常用軟件等。
4船舶網絡安全配置建議
(1)禁用公網IP,使用URA系統遠程管理。
(2)修改系統默認密碼并使用高強度密碼。
(3)將船岸網絡操作系統和第三方軟件補丁、病毒特征庫升級至最新版本。
(4)對工控網絡、辦公網絡、娛樂網絡實施網絡隔離和訪問控制。
(5)通過策略制定公用電腦進程白名單,禁用USB接口。
(6)向船員普及網絡安全風險防范知識。
(7)要求設備供應商提供必要的網絡安全事件應對措施。
(8)不過度依賴遠程網絡監控技術,增加現場勘查頻率。
5網絡攻擊事件的處置步驟
(1)風險識別。定義相關人員的崗位和職責,確保在日常管理中能夠及時發現可疑風險。
(2)事件預防。制定風險控制流程和應急計劃,降低網絡風險,防范網絡攻擊。
(3)事件發現。檢查已確認的網絡攻擊事件,評估損失并制定后續恢復方案。(4)事件恢復。制定計劃使系統恢復正常運行。
(5)免疫措施。制定措施避免類似網絡攻擊事件再次發生。
6網絡信息安全團隊崗位職責
航運企業應設立信息安全官(CISO)崗位,其職責為:建立船岸網絡安全團隊并管理成員,牽頭制定全面的船舶網絡安全應急保護計劃(CSP),以持續保障船岸網絡安全。團隊成員崗位職責如下:
(1)對船舶VSAT/FBB設備端口映射及防火墻規則進行審核、分發、監控,熟悉Infinity、XchangeBox等通信管理系統的后臺設置,監控船岸網絡的可疑流量。
(2)對船岸內網信息設備和辦公電腦軟硬件及時更新維護,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。
(3)定期優化單船拓撲結構和更新船岸網絡病毒特征庫和漏洞補丁庫,不斷完善船岸網絡信息事故應急預案。
(4)收集供應商技術文件并集中存儲,向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單(如KVH、Marlink、GEE、OneNet等)。
(5)跟蹤記錄新造船FBB、銥星移動通信系統、VSAT和船載物聯網設備安裝調試情況,審核通信類費用憑證。
(6)具備防火墻、路由器、入侵檢測系統、交換機的豐富知識,MacOS、Windows、Linux等3大操作系統及域控、數據庫的基礎知識,并能熟練使用SQL、CrystalReports提取分析數據。
(7)參與船岸網絡的設計開發和信息系統的迭代開發,提出必要的安全策略規范要求。
(8)具備妥善監控并處理網絡安全事件的能力和獨立撰寫網絡安全事件調查報告的能力,并提出改進措施。
7船岸網絡信息安全管理目標
船岸網絡信息安全問題從根本上說是人的問題,如何在制度上讓人遵守規則,如何在技術上減少或避免人為惡意攻擊,這是船岸網絡信息安全組織架構設計的目標。船岸網絡信息安全組織架構設計的總體目標可定義為:針對船岸網絡和信息安全需要,構建系統的網絡安全技術和信息防護策略及措施,通過制度管理和技術防范來規范員工行為,達到網絡和信息資產安全可控的目的,最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監的基本職責是建立船岸網絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業內部的計算機安全專家,也包括企業外部的資深律師、會計師、技術專家等。
8經驗交流
網絡信息安全對于大部分人而言比較陌生。在實踐中,大部分航運企業由總裁辦(行政事務部)或保密部門負責網絡信息安全,而網絡信息安全職能又隸屬話語權不高的IT部門,最終導致企業網絡信息安全工作進展遲滯,制度實施緩慢。因此,建議由公司領導牽頭,技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網絡信息系統進行安全演習并配置網絡信息安全設備,以便當船岸網絡信息系統被攻擊時,能夠迅速作出應急反應,盡快恢復網絡系統,盡可能挽回損失。此外,在員工手冊、船員上船協議中應該賦予航運公司相關職能部門通過技術手段來防止內部威脅的權力,打擊隱蔽性較強的涉及船岸網絡的職務犯罪。
以某航運企業為例,2018年初由公司領導牽頭與某船級社聯合成立了船岸網絡信息安全專項課題組,針對公司船岸網絡的特殊性制定了一套通用船舶網絡安全管理體系,并在超大型集裝箱船試行《船舶網絡信息安全實施指南(征求意見稿)》和相關配套制度,如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等。此外,還對試點船舶就域控服務器(解決內網信息審計問題)、KMS激活服務器(解決操作系統、辦公軟件授權問題)、自建CA授權機構頒發數字證書(解決SHA256數據加密問題)、某開源局域網遠程管理軟件以及等級保護一體機硬件部署(解決病毒庫、補丁庫離線升級問題)等項目進行技術驗證,為下一步推廣應用船岸網絡信息安全課題研究成果奠定了良好基礎。
隨著世界互聯網技術在全球經濟、文化等領域的飛速發展,計算機網絡技術已經得到了廣泛的應用,網絡以其實用性、高效性、便捷性深入滲透到各行各業中并逐漸改善行業的產業結構、經營模式、管理方式。近年來,網絡信息化已經應用到廣播電視臺的制作、播出、傳播、發射等各個環節,使廣播電視臺的節目質量、管理效率、影響范圍向新的高度邁進。但網絡開放性的特點使信息安全面臨較多的安全隱患,如何防止因網絡信息安全風險導致播出中斷、數據泄露、財務損失等嚴重后果成為了廣播電視臺面臨的新難題。為了提高廣播電視行業對網絡信息安全風險的認識,本文構建了廣播電視網絡信息安全風險指標體系,并運用系統動力學建立風險的因果關系圖,分析各個風險之間的相關關系。
袁愛軍從企業所面臨的網絡信息安全問題出發,提出了操作系統安全風險、管理安全風險、應用安全風險及網絡結構安全風險四個主要風險,并對風險因素進行全面、系統的分析[1]。李蘭瑛等結合某校園網絡系統的特點識別相關風險并運用灰色評估法在風險評價方面的優勢建立信息系統風險多層灰色評估模型,分析了網絡信息系統的風險灰色綜合評估過程[2]。袁亮首先詳細分析了信息安全的概念和特點,結合企業控制信息安全所面臨的問題包括安全問題、管理問題和成本問題提出風險管理對策和建議[3]。吉嵐等詳細研究了各高校信息安全風險的特點以及高校網絡安全技術的應用效果,提出了通過系統的運用網絡安全技術保障高校網絡信息安全的措施,最后以赤峰學院為例加以驗證[4]。
通過對廣播電視網絡信息安全風險研究成果進行梳理,發現學者們更傾向于對某一個風險階段或者單一風險因素進行研究,忽略了網絡信息安全的系統性以及風險因素的交叉關聯性。梳理學者在系統動力學理論、網絡信息安全管理的研究成果,結合開化縣廣播電視臺網絡信息安全現狀歸納出研究較為集中和具有代表性的廣播電視網絡信息安全風險因素,并發揮了系統動力學在風險演化方面的優勢。最終形成集“網絡攻擊風險”、“技術安全風險”、“管理風險”、“外部環境風險”的“廣播電視網絡信息安全風險因素系統”,然后建立風險因素系統動力學因果關系圖,識別出了風險之間的相關性,為后續廣播電視網絡信息安全風險的研究奠定了基礎。
1開化廣播電視臺網絡信息現狀
開化廣播電視臺目前共有4個自辦節目,其中三套電視節目,分別是圖文頻道、國家公園頻道、綜合頻道,一套廣播節目為動聽早班車電臺。開化廣播電視臺逐步建立網絡化、信息化系統,到目前為止已基本實現全臺網絡化管理。開化廣播電視網絡信息系統分為三類,第一類是外網系統,例如以開化新聞網為代表的門戶網站;第二類是與廣播電視政務及監測監控等相關的專用業務系統,例如廣播電視辦公網、廣播電視發射臺信號監聽監測網、廣播電視監測網等;第三類是制作業務系統,例如廣播電視制播網。
2廣播電視網絡信息安全風險評價指標體系的分析與構建
2.1廣播電視網絡信息安全風險的識別依據
本文基于國內外學者對網絡信息安全風險指標研究的基礎上,結合廣播電視臺網絡信息安全現狀,篩選出對廣播電視網絡信息安全影響較大的風險因素,并設置風險產生的后果包括數據損壞、播出中斷、敏感數據泄露、財務損失和名譽損失。通過邀請5位專家(開化廣播電視臺3位,網絡風險領域專家2位)對風險因素與產生的后果關聯度進行評價,最終篩選出與風險后果高度關聯的12個風險因素。
2.2廣播電視網絡信息安全的特征和風險構建原則
2.2.1廣播電視網絡信息安全的特征
①完整性。指廣播電視網絡網絡信息在傳輸、交換、存儲和處理過程保持完整的特性,即保持網絡信息原樣性,網絡信息可以正常的生成,保障廣播電視節目的播出。
②保密性。指網絡信息在沒有授權的情況下不泄露給第三方或給其特供可以利用的信息的過程,即完全避免有用信息泄漏給非授權個人或實體,有用的網絡信息只能被已授權的個人或實體使用。
③可用性。網絡信息的可用性是指網絡信息可以被已授權的個人或實體訪問和使用,在網絡系統正常運營時能夠儲存可用信息,當網絡系統遭受攻擊或病毒入侵時能夠快速恢復可用信息并再次使用的特征。
④可審查性。指廣播電視網絡信息交互過程中,可以確認信息參與者的身份,以及參與者所提供的信息的真實同一性,并將信息存儲并記錄,使信息有相關的記錄可以查詢。
⑤可控性。網絡信息可控性是指在廣播電視網絡系統中任何信息的生成、傳播、輸出和具體內容可以在一定范圍內被管理控制的特性。
2.2.2廣播電視網絡信息安全風險指標體系構建原則
廣播電視網絡信息安全風險指標體系的構建不要遵循。廣播電視網絡信息安全風險指標的構建基于以下原則:
①科學性原則。風險指標體系的構建要客觀真實的反映出廣播電視網絡信息系統的實際情況,風險指標的選取必須要有正確性、全面性和可靠性,盡量防止人為因素的傾向性,從而建立科學合理的風險指標體系。
②系統性原則。廣播電視網絡信息安全風險不是每個單一風險的簡單疊加,選取風險指標時需考慮風險之間的相互關聯性和傳遞性。風險指標要包含廣播電視網絡信息安全所涉及的各個方面,不僅要有影響到廣播電視播出安全的直接風險因素,還要有從側面導致播出隱患的間接風險因素。因此,要合理構造廣播電視網絡信息安全風險指標體系層次結構,層次之間每層上層指標都要有相應的下層指標與其相對應。
②實用性原則。所選風險指標要有可操作性,應與廣播電視網絡信息安全密切相關,并能夠正確反映廣播電視臺在網絡化建設過程中所遇到的問題和不足。
2.3廣播電視網絡信息安全風險指標體系的構建內容
本文依據廣播電視網絡信息安全的特點構建風險指標體系,擬將廣播電視網絡信息安全風險指標體系分為三級指標層。一級指標層為廣播電視網絡信息安全總體風險組成,二級指標層分別由網絡攻擊風險、技術安全風險、管理風險、外部環境風險構成,三級指標層由影響各二級指標的風險因素組成,如表2所示。
2.3.1網絡風險
主要是由黑客進行網絡攻擊和網絡病毒傳播帶來的風險,由于廣播電視影響范圍廣、傳播速度快的特點容易成為黑客組織攻擊的目標,目前黑客不僅僅是個人行為,而是已經形成組織嚴密的黑色產業。一旦廣播電視網絡受到黑客攻擊或病毒入侵會導致播出中斷、網絡信息泄露、篡改播出內容等嚴重后果,甚至會造成不良的社會影響。
2.3.2技術安全風險
開化廣播電視臺目前計算機所用的操作系統大部分比較落后,沒有及時更換最新系統,使系統漏洞增加,加大了網絡攻擊風險發生的可能性。同時系統的硬件配置僅僅以滿足當前需要為主要目標,未考慮與其他系統的兼容性,硬件配置良莠不齊,不能滿足網絡系統整體的安全防范能力。此外,部分設備存在老化現象,系統內的核心設備、數據存儲設備等不能完成備份,可能會導致設備故障從而影響廣播電視臺節目的安全播出。因此技術安全風險由系統漏洞、硬件配置低和設備故障因素組成。
2.3.3管理風險
管理風險是由人員素質、管理不規范、操作流程不完善和應急預案缺陷帶來的風險。目前廣播電視臺缺乏有效的管理體系和管理部門,不能規范的管理網絡系統中各安全控制組件,沒有及時更新網絡化管理操作流程,人員缺少網絡安全意識,安全防護水平較低不能有效的保護網絡信息安全,沒有建立完善的應急預案,當風險發生時不能快速降低風險損失,這些因素都會加大管理風險發生的概率。
2.3.4外部環境風險
外部環境風險是由自然災害、人為破壞和系統規模膨脹帶來的風險。自然災害如雷電、供水、火災、地震等發生后會破壞網絡設施從引發風險。人為破壞包括對網絡設施的損毀、對網絡信息系統的惡意攻擊等行為,系統規模膨脹是指隨著廣播電視網絡化進程的發展,網絡規模不斷擴大,各個系統之間節點互聯互通、一旦關鍵節點出故障會影響到整個網絡系統的運行,發生播出故障的幾率不斷加大。
3基于系統動力學的廣播電視網絡信息安全風險模型
3.1系統動力學理論
系統動力學是一門分析研究信息反饋系統的學科,也是基于系統論、信息論和控制論來認識系統問題并解決系統問題的綜合性學科[5]。系統動力學中,通過因果反饋關系建立各級風險指標之間的關系,識別出可能引發不同風險的相同風險因素以及所造成的風險后果,有利于管理者制定理想的風險管理流程,并直觀的了解風險的演化過程和控制情況。并且根據廣播電視臺網絡化的發展情況可以在系統動力學模型中增加新的風險因素,不斷優化風險管理模型。
3.2廣播電視網絡信息安全風險因果反饋圖
應用系統動力學軟件Vensim建立廣播電視網絡信息安全風險因果反饋模型,如圖1所示。廣播電視網絡信息安全風險類型主要為網絡攻擊風險、技術安全風險、管理風險和外部環境風險。通過圖1可以直觀的發現引發多項風險的因素主要有以下五種:一是人員素質,廣播電視臺人員素質的提高,不僅有效的提高管理效率,也可以提升人員對于網絡信息安全的認識,從而降低管理風險的可能。二是管理不規范,形成系統的管理體系并建立相關網絡信息安全部門,統一管理網絡軟硬件設施和網絡信息安全防護可以有效的降低管理風險和技術安全風險。三是網絡攻擊和網絡病毒,提高網絡安全防護等級,確實防止網絡風險和技術安全風險的發生。第四是自然災害和人為破壞,提高相應的預防措施可防止因設備故障導致播出中斷事故的發生。第五是系統漏洞,完善廣播電視臺計算機操作系統,對系統不斷調整和升級,從而減少網絡攻擊和網絡病毒等網絡風險和技術安全風險。
運用系統動力學風險因果反饋圖模型,加強對人員素質、管理不規范、網絡攻擊和網絡病毒、自然災害和人為破壞、系統漏洞這五種主要風險點進行有效控制和防范,就會增強廣播電視臺對網絡風險、技術安全風險、管理風險和外部環境風險的管理控制,從而增強單位防控風險的能力。
4研究結論
本文在研究網絡信息安全的概念、理論等的基礎上,結合廣播電視網絡信息安全現狀建立了廣播電視網絡信息安全風險指標體系,總結分析了養老社區項目社會效益評價常用方法,取得如下研究成果:
①在網絡信息安全風險研究的基礎上篩選出對廣播電視網絡信息安全影響較大的風險因素,并系統地建立了廣播電視網絡信息安全風險指標體系,主要由網絡風險、管理風險、技術安全風險和外部環境風險以及相應三級風險構成。
②利用系統動力學在風險演化和管理方面的優勢,構建廣播電視網絡信息安全風險因果反饋模型,分析了風險因素之間的相關關系,提出需對人員素質、管理不規范、網絡攻擊和網絡病毒、自然災害和人為破壞、系統漏洞這五種風險因素重點防控。
③目前用于廣播電視網絡信息安全風險研究較少,本文只建立了風險指標體系,仍需要對風險演化方面做進一步深入研究。
參考文獻:
[1]袁愛軍.國內企業網絡信息安全風險分析[J].中國石油和化工標準與質量,2011,31(10):279.
[2]李蘭瑛,李曉蕓.一種基于層次模型的網絡信息安全風險灰色評估方法[J].科學技術與工程,2010,10(02):540-545.
[3]袁亮.網絡時代下企業信息安全風險和控制[J].中國管理信息化,2015,18(17):72-73.
[4]吉嵐,辛欣.高校網絡信息安全風險分析及對策探討——以赤峰學院為例[J].赤峰學院學報(自然科學版),2016,32(20):200-202.
論文摘要:網絡上的動態網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態網站開發經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
近年來,在市委、市政府的領導下,全市教育系統按照教育部的總體部署,大力推進教育信息化建設,堅持用信息化推進教育改革、用信息化提升教育質量、用信息化促進教育均衡發展,大力改善信息化硬件設施,強化信息技術應用,狠抓網絡信息安全,教育信息化取得了良好的成效。總結近年來我市教育信息化工作,明確當前和今后一個時期教育信息化的根本目標、基本思路和工作重點,加快我市教育信息化的發展,是時展的必然要求。
一、過去幾年重慶教育信息化工作取得的成績
(一)教育信息化基礎設施建設初具規模
近年來,通過“農村中小學遠程教育工程”“區縣教育城域網建設工程”等一系列重大工程建設,初步形成了重慶市教育網絡體系。各區縣已建設教育城域網絡,同時以衛星接收和互聯網寬帶互為補充實現了農村邊遠學校和教學點網絡接入。目前,全市50%普通中小學、90%中職學校、所有高校建設了“校園網”。全市建成多媒體教室6.5萬間,計算機網絡教室8千余間。高校計算機生機比達到6:1、中職學校達到8:1、中小學達到13:1。特別是2009年以來,投入5億多元,為全市中小學教師配備了14.6萬臺筆記本電腦,配備率達76%。
(二)教學數字資源開發和應用不斷加強
建立了重慶市基礎教育資源庫、“重慶市中小學數字圖書館”、重慶大學城資源共享平臺。在渝高校建設了近2萬節網絡課程、300余門國家及市級數字精品課程,數字文獻資源規模和質量明顯提升。堅持以需求和運用為導向,不斷運用信息技術促進教育理念、教學方式和學習方式變革,推進信息技術與教育教學深度融合,信息技術對質量提升的作用越來越大。
(三)信息化促進教育均衡卓有成效
近年來,我們始終把信息技術作為推動城鄉教育一體化發展的重要手段,不斷改善農村學校、薄弱學校信息化設施設備條件,加強優質教育數字資源開發供給,推動偏遠薄弱學校共享優質教育資源,有效促進了教育均衡發展。從2014年起,我們又將信息化建設納入義務教育學校 “全面改薄”工程。同時,各地積極組織數字教育資源應用觀摩課、優質課,開展網絡備課、網絡教研,著力發揮優質教育資源的輻射帶動作用。
(四)教育管理信息化水平明顯提升
重慶按照A級數據中心標準,啟動了市級教育數據中心建設,完成了中小學生學籍信息管理系統建設、教師數據采集、學生資助、學校資產和校舍管理等系統部署,具備了網上轉學、招生、辦證等業務管理功能。在全國率先全面實現了中高考網上報名、網上填報志愿、網上評卷和網上錄取。建成了重慶教育門戶網站、OA辦公系統、視頻會議系統等管理信息系統,與區縣、高校、委直屬單位實現了互聯互通。各區縣和學校積極推進“數字校園”建設,結合實際建設應用管理系統,促進管理水平提高。
(五)師生信息技術素養逐步提高
通過“國培”“市培”等師資培訓項目,強化信息技術培訓,先后培訓中小學教師45萬人次。把信息技術素養作為教師的基本要求,納入崗位職責和考核評價,并在職稱評聘、賽課等方面強化導向。同時,各級各類學校開設了信息技術課程,組織開展學生信息技術創新與實踐、中小學生電腦制作等競賽活動,不少學校還積極探索網上布置作業、在線互動答疑,鼓勵學生使用網絡自主學習,促進了學生學習方式的轉變。
(六)信息化建設應用機制不斷創新
近年來,一些區縣和學校在推進教育信息化工作中,務實進取,開拓創新,探索出一批切實可行的經驗和模式。
在管理體制方面,重慶醫科大學、重慶科技學院等學校,成立了信息處或信息管理中心,負責統籌學校信息化建設。
在建設模式方面,忠縣采用融資租賃模式,一次性完成所有學校的“數字化校園”建設;重慶城市管理職業學院采取以自身為主,以企業贊助、資源互換為輔的融資模式,解決信息化建設中資金不足問題。
在資源共建共享方面,建設了重慶大學城資源共享網絡平臺,實現了教學資源、科研資源、就業信息等共享。同時,各區縣、學校以學會、協會、聯盟等為平臺,積極加強資源共建共享。
在信息技術與教學融合方面,沙坪壩區利用云計算等信息技術,推進區域基礎教育資源與教學的深度融合;重慶大學利用開源網絡教學服務平臺,與慕課平臺相結合,開展網絡授課、在線答疑、師生互動等,促進了教育質量的提升。
在促進城鄉教育均衡發展方面,萬州區開展“教育云課堂”的數字化教學試點,打破優質教育資源的時空限制;大足、璧山等開創了“城鄉聯體課堂”教學模式,將主課堂教師上課的音頻、視頻傳輸到聯網學校,實現了城鄉學校同步上課,共享優質教育資源。
在教育信息化管理和服務方面,重慶郵電大學綜合利用手機報、APP手機軟件、微信機器人等新媒體手段,深度貼近師生,提供便捷資訊、新生服務、陽光招生。
二、明確任務,抓住重點,加快全市教育信息化建設
日前,經市政府同意,市教委等九部門聯合制發了《關于加快推進教育信息化的意見》,明確了我市教育信息化的基本思路、目標任務和工作重點。我們推進教育信息化的基本思路可以概括為“四個著眼于、四個堅持”。
“四個著眼于”,就是著眼于未來經濟社會發展需要,著眼于全面深化教育綜合改革和教育的科學發展,著眼于促進教育均衡公平和提高人才培養質量,著眼于人的終身學習和學習型社會的構建。
“四個堅持”就是堅持面向未來,努力為每名學生和學習者提供個性化學習、終身學習的信息化環境和服務;堅持應用導向,推進信息技術與教育教學的深度融合,促進教育變革和質量提升;堅持統籌規劃,做好教育信息化頂層設計,分類、分步、分層推進實施;堅持開放共享,構建跨區域、跨行業的教育信息化合作推進新機制,推動信息資源的整合共享。
我市教育信息化建設的總目標是:到2020年,建成與重慶教育現代化、長江上游科教中心和西部人才高地戰略目標相適應的教育信息化服務體系,為重慶教育的改革發展和質量提升提供保障。為此,要抓好以下六項重點工作。
(一)加快“三通工程”建設
“三通兩平臺”是“十二五”期間教育信息化的核心目標和標志工程。“三通”就是“寬帶網絡校校通”“優質資源班班通”“網絡學習空間人人通”。
一是加快“寬帶網絡校校通”建設。此項工作的難點是偏遠農村中小學。近期,重慶市“寬帶中國”行動明確提出了“實現集中連片特困地區行政村互聯網覆蓋達到100%”的目標。我們要抓好這個機遇,依托“寬帶中國”行動,盡快解決偏遠農村學校網絡“最后1公里”的問題。到2015年,全市所有中小學和職業學校要按照要求接入寬帶網絡,40%以上的高校校園網要建成IPV6網絡平臺。
二是加快“優質資源班班通”建設。要將“班班通”與農村薄弱學校改造工程結合起來,加快農村地區學校多媒體教室終端建設,配備基本設施設備,到2015年,60%以上的中小學和中職學校要實現“優質資源班班通”。同時,要配齊相應的教師和專業技術人員,確保盡快使用、發揮效益。
三是穩步推進“網絡學習空間人人通”。我們要積極研究如何利用網絡學習空間,促進教學方式與學習方式的變革。要鼓勵教師先開通網絡空間,搭建在線學習、教研互動平臺,引導學生、家長參與進來,逐步擴大使用率和覆蓋面。
“三通”工程是近幾年教育信息化工作的重中之重,任務艱巨、時間緊迫。當前我們正大力深化教育綜合改革,也要堅持用改革的辦法來創新“三通工程”建設機制。教育部副部長杜占元在2014年3月的講話中指出:要加快構建“政府政策支持、企業參與建設、學校持續使用”的機制,推進“寬帶網絡校校通”;加快構建“基礎性資源靠政策、個性化資源靠市場”和“企業競爭提供、政府評估準入、學校自主選擇”的機制,推進“優質資源班班通”;加快構建“政府規劃引導、企業建設運營、學校購買服務”的機制,推進“網絡學習空間人人通”。這為我們勾畫了“三通工程”的路徑圖,提供了操作指南,我們要按此思路,創新體制機制,加快推進“三通工程”。
(二)加快教育資源服務平臺建設
一是必要的硬件設施建設。按照“一級應用、二級建設、三級互通”思路,重點建市級教育資源公共服務平臺。一方面,一些區縣和學校已經建設的資源服務平臺,要繼續建好用好。另一方面,我們不要求每個區縣都建立自己的平臺,但要與市級平臺對接來利用市級平臺承載自己的優質教育資源。
二是資源的建設。平臺搭建好了,解決了路和車的問題,如何備足貨,保證有豐富的資源共享使用,這不僅是平臺建設題中應有之義,也是決定平臺建設水平高低的關鍵。我們近期將制定市級教育資源建設規劃,按照“政府引導、多方參與、共建共享”的基本思路,統籌建設全市數字教育資源。主要是抓好兩個板塊的資源建設,一是基礎性教育資源,二是特色、個性化優質教育資源。基礎性教育資源建設,要充分利用企業,特別是主流的教材出版企業,按照符合新課標的義務教育階段的課程系統開發配套的教育資源。同時,積極拓展資源來源渠道,不斷豐富教育資源,逐步建成全市“數字教育資源超市”。在建設基礎性教育資源的基礎上,要加強個性化、特色、優質資源建設。教育部今年啟動了“一師一優課”活動,我們要抓好落實,并以此為契機,創造一批、匯聚一批個性化的優質資源。市教委將啟動建設市級統籌的高校大規模公開在線課程平臺。各高校要把本校優質資源都拿到這個平臺上來,實現校際優質資源共建共享。要深化教學改革,積極探索,促進學生跨校課程互選、學分互認。
(三)加快教育管理公共服務平臺建設
這是“兩平臺”中的另一平臺。一方面,要按照教育部統一要求,以“兩級建設、五級應用”架構,加快完善基礎教育學籍管理系統和中職教育學籍管理等系統的建設,做到與學生一生一號、學校一校一碼。另一方面,還要對系統數據進行整理、加工,二次開發、深度應用,推進教育改革。在當今大數據時代,還要善于運用大數據技術,利用管理系統的數據資源,實現相關數據資源的整合與集成,為教育決策提供及時準確的數據支撐。
(四)建設全市統一的教育寬帶網
教育信息化必須有高速互連的網絡基礎作支撐。各區縣、學校要繼續完善現有的城域網、校園網,并推動有線網絡與無線網絡有機銜接,提高無線網絡覆蓋面。市教委將以市政府正在推進的國家級互聯網骨干直聯點為契機,在現有高校骨干網和區縣教育城域網的基礎上,建設全市統一的教育寬帶網,各區縣的教育城域網、教育數據資源中心、高校校園網,都要接入統一的寬帶網,形成覆蓋我市高等教育、職業教育、基礎教育和其他教育機構的教育城域網,實現全市教育部門、各級各類學校網絡互聯互通,免費、高速、安全訪問。計劃2015年完成教育寬帶網主干節點高速互聯,2016年所有區縣教育城域網均要實現高速互聯。希望各區縣、學校在規劃建設本地、本校的教育網絡時,要依據全市的總體規劃,在平臺、技術、標準等方面統一,避免重復建設、資源浪費。
(五)加強教育信息化隊伍建設
教育信息化發展水平,取決于信息技術的應用水平,而信息技術的應用水平,取決于教師信息技術素養。必須把教師信息技術培訓放在突出位置。通過國培、市培、區縣培訓和校本培訓多個層次,采取線上與線下相結合、專項培訓與融合培訓相結合的方式,實現信息技術培訓提檔升級,進一步增強教師教育信息意識,提高教師應用信息技術的能力。要加強信息化專業技術隊伍建設,配足配齊信息化專業技術人員,保證信息化基礎設施的正常運行和信息化技術的有效推廣。教育管理者也要自覺提高信息化素養,帶頭應用,提高信息化背景下工作水平和管理能力。各高校要加強教育信息化人才培養,為提高教育信息化水平提供人才支撐。
(六) 深入開展教育信息化試點工作
2012年,教育部在我市批復了32個教育信息化國家試點單位。我們將組織專家開展中期評估。各試點單位要認真總結試點工作經驗,爭取在全市乃至西部地區推廣。2015年我們將啟動市級教育信息化試點工作,推選一批市級試點單位,在各級各類教學應用、區域整體推進、機制創新等方面進行探索、積累經驗。各區縣、學校要加強改革創新、先行先試,為推進全市教育信息化積累經驗。市教委將兌現獎補政策,對試點效果好的予以經費獎勵。
三、統籌協調,強化保障,確保教育信息化順利推進
(一)進一步強化工作統籌
教育信息化是一項涉及面很廣的系統工程,需要加強統籌。市教委已成立教育信息化領導小組,設立了教育信息化推進辦公室,以從組織管理方面解決信息化工作的統籌問題。要統籌考慮城鄉學校、普職教育的實際,根據財力情況、分清輕重緩急,統一規劃項目庫和建設進度計劃,分步實施、有序推進。要建立跨部門的協同推進教育信息化的機制。近年來,相關市級部門從項目、資金、技術、人員培訓等方面,為教育信息化建設提供了積極的支持。區縣教育部門也要向政府匯報,爭取本地相關部門的支持,協同推進教育信息化建設。
(二)進一步強化應用導向
應用導向是教育信息化建設必須始終堅持的首要原則。目前,我市教育信息化硬件條件已有一定基礎,今后,要在繼續加大投入、加強硬件建設的同時,將工作重心轉移到到應用上來,將著力點放到利用現有條件推動教育教學改革、提高教育質量、促進教育公平上,放到提高教育管理水平和治理能力上。要進一步探索信息技術應用的有效實現形式,促進教育方式和學習方式的變革。一定要避免重硬件、輕資源,重建設、輕應用的問題。要注意防止平時不使用、來了客人“秀一下”的現象,防止絕大多數教師不使用、幾個尖子“撐門面”的現象,防止其他環節不使用、簡單地在課堂放幾幅圖片幾段視頻“造氣氛”的現象。學校要積極探索強化應用的工作機制,轉變教學和教研活動組織管理方式,建立相應的制度規范,來鼓勵、引導、要求、督促教師運用信息技術,促進教師普遍用、經常用,備課用、上課用、布置作業用、師生交流用,推進信息技術與教育教學的深度融合。
(三)進一步強化經費保障
今后五年,中央和市級將在“改薄工程”中安排6億元左右,用于全市薄弱學校教育信息化建設;下一步,我們還將設立教育信息化工作專項經費,“以獎代補”,對信息化工作推進有成效的區縣和學校予以經費支持。各區縣也要把教育信息化建設經費列入本級教育經費預算,增加教育信息化投入,不要出現“擠出效應”,保障學校信息化基礎設施、人才隊伍和公共服務體系建設,以及購買教育信息化服務和運行維護的經常性支出。同時,區縣和學校要加強創新,積極探索教育信息化建設多種模式,用好市場機制推進教育信息化建設,多渠道籌措經費。需要強調的是,教育信息化投入要突出資源建設、人員培訓、推進應用等“軟”環境,不要簡單地理解為開展新一輪大規模的硬件建設。
(四)進一步強化信息化安全管理
