成都市安全教育平台网

关键词： 政府网 政府 网络 应用

成都市安全教育平台网（精选8篇）

篇1：成都市安全教育平台网

中国西部地区电视技术年会优秀论文二等奖

河南电视台都市频道现在所使用的索贝新闻制作网自投入使用以来，运转正常，有效的提高了新闻制作效率和质量。由于在建设时受资金限制，所以该网存储系统容量较小且采用的是单环的JBOD硬盘阵列形式。随着时间的推移，这样的存储形式无论从容量上还是从安全性上来讲，都已经无法满足节目制作的需求。因此，对新闻制作网进行扩容和系统安全性增强已成为我们工作的当务之急。

一、都市频道新闻制作网改造前的硬盘阵列情况

都市频道新闻制作网是一个FC+以太网的双网结构，其中有卡工作站7台，无卡工作站10台。其中两台有卡工作站在离服务器300米以外的机房(通过光纤级联实现连接)，单环的JBOD硬盘阵列，一个16口的VIEXL FC交换机，2个带2个千兆模块接口的24口CISCO交换机。系统图如下所示。

1、硬盘阵列安全性考虑

硬盘阵列存储了新闻制作网络系统中所有的素材和成品节目内容，一旦阵列出现问题，轻则导致系统无法使用，严重时会导致存储内容丢失，不但会使制作者浪费大量的时间、人力、物力，还会给工作造成很大的被动局面。所以说硬盘阵列是新闻制作网络系统中最重要的部分，它的安全性有多大是一个新闻制作网络是否能够正常运做的一个重要指标。

目前比较常用的硬盘阵列容错技术是RAID。由于介绍RAID技术的文章较多，在本文中只对其中几种常用形式进行简单介绍。

RAID是由美国加州大学伯克利分校的DA Patterson教授提出的。RAID是Redundant Array of Inexpensive Disks的缩写，简称为“磁盘阵列”。可以把RAID理解成一种使用磁盘驱动器的排列组合方式，构成逻辑上的一个磁盘驱动器。RAID的具体实现可以靠硬件，譬如磁盘阵列柜;也可以靠软件，Windows NT操作系统就提供软件RAID功能。

RAID 0：

这是最简单的RAID模式，其工作原理如图2所示。它没有数据冗余功能，所以不适于数据稳定性敏感的应用。在各个单一RAID形式中它提供了最快的性能，也是造价最低的--只要两块硬盘、一个RAID控制器，不需要额外存储设备就可以了。不会因为要在硬盘上存储同样的数据而浪费空间。RAID0因为其相对低廉的造价和明显的性能提升在主流市场上已经流行起来。其实RAID 0(又称为延展技术)是通过RAID控制器把多个硬盘当成一个容量更大、速度更快的硬盘来使用，所以最后要说明的是任何一个硬盘出问题都可能造成整个阵列的数据丢失。

RAID 1：

RAID 1其实就是镜像技术的实现，其工作原理如图3所示。简单工作原理就是把相同的数据备份存放在两个驱动器，当一个驱动器出现故障，另一个仍然可以维持系统的正常运转。当然恢复故障驱动器也是非常简单的，只要把数据完好的`备份拷贝到正常的硬盘上就可以了。数据冗余换来的是数据的安全。不过RAID 1对于系统的性能提高很小。它的相对低廉的价格和易用的特点使它已经成为RAID控制器的主流之一。

RAID 3：

利用专门奇偶校验实现的延展技术，其工作原理如图4所示。换句话说，就是应用延展技术将数据分布到阵列的各个驱动器上，同时用专门的驱动器存储用于校验的冗余信息。这种形式的优点就是既通过延展技术提高了性能，又利用专门奇偶校验驱动器容纳冗余信息，以保证数据的安全。一般至少需要3块硬盘：两块用于延展，一块做为专门奇偶校验驱动器。不过虽然利用延展技术提高的性能，可以因为奇偶校验在写入数据时又抵消了一部分性能--因为校验信息同时也需要写入校验驱动器。因为需要进行大量的计算，所以需要硬件RAID控制器，软件RAID几乎没有什么实际意义。RAID 3因为延展容量小，所以适于经常处理大文件的应用。

RAID 5：

RAID 5使用延展技术和分布式奇偶校验来实现。它主要针对专门奇偶校验驱动器所带来的瓶颈而产生的解决方案。利用分布式奇偶校验运算法则，把数据和校验数据写在所有的驱动器中。本技术的要旨在于相对于块数据产生校验块(parity blocks)同时存储于阵列当中--解决了专么校验驱动器所带来的瓶颈问题。不过，校验信息是在写入过程中计算出来的，所以对于写入性能仍有影响。当一个硬盘驱动器出现故障，可以从其它的驱动器之中的数据块分离出校验信息从而恢复数据。由于分布式校验本身属性，恢复数据会比其它的形式复杂。RAID 5也可以通过更改延展容量的大小来满足不同应用的需要，另外还需要硬件RAID控制器。RAID 5是目前最流行的RAID应用形式，因为它综合最好的性能、冗余能力、存储能力为一体。当然价格也是不菲的。

RAID 0+1：

复合使用RAID 0是为了提高磁盘性能，使用RAID 1为了提高容错性能。假设有8块硬盘，将它们4个一组分成两个阵列--称为基阵列，每个基阵列用RAID 0模式连接。然后就有了两个延展模式的基阵列。然后将这两个基阵列用RAID 1模式连接--也就是让其中一个基阵列作为另一个的镜像。如果一个延展模式的基阵列中的硬盘出现故障了，那么这个延展阵列也将全部瘫痪。不过另一个延展阵列仍然可以维持系统工作，并且可以利用其来恢复数据。

为了确定到底使用哪一种RAID方式来做容错处理，我们对其中几种RAID方式应用于SCSI硬盘阵列和FC硬盘阵列做了实际测试，测试方式及结果如下：

的有效存储容量只有总硬盘物理容量的一半，而且在实际测试中其读写速度和稳定性都不太理想。RAID3方式损失的存储容量是总硬盘物理容量的1/N(N为系统总硬盘数量)，读写速度和稳定性较好。RAID5方式损失的存储容量与存储数据量的多少成正比，其读写速度和稳定性最好。如果单从这些来看，无疑应选择使用RAID5方式，但RAID5控制器价格远远高于RAID3控制器(EDI RAID3双控制器硬盘塔价格约为10元人民币，而EDI RAID5双控制器硬盘塔价格约为200000元人民币)，从性价比的角度考虑，无需为增加10%的性能而多付出50%的代价。同时，我们还考虑到了RAID控制器的备份问题，采用了双RAID控制器，这样，即使有一个控制器出现问题，另一个控制器就会自动接管所有工作，保证系统的安全运行。综上所述，我们在系统改造方案中选用了RAID3双控制器容错方式。

2、硬盘容量的考虑

系统原有FC硬盘阵列有12块36G的硬盘，总容量为432G，可存储25个小时的节目内容(压缩比为4：1);本地SCSI硬盘阵列为4块18G的硬盘，容量为72G，存储高质量素材对应的低质量(压缩比为30：1)素材。扩容后的FC RAID3硬盘阵列有12块73G的硬盘，总容量为730G，存储41个小时的节目内容;本地SCSI年个硬盘阵列为6块36G的硬盘，做RAID3容错，容量为180G，存储高质量素材对应的低质量素材。

3、FC硬盘阵列做过RAID后，对新闻网服务器CPU资源占用的考虑

FC硬盘阵列做过RAID后，对服务器CPU资源占用很小。因为这种情况下，服务器把整个RAID当成一个逻辑盘进行处理，数据如何在硬盘中分布是由RAID控制器进行处理;而在带区集方式中，需要由操作系统处理数据在硬盘阵列中的分布，增加了操作系统的负担。所以采用RAID方式，使服务器和工作站的负担更轻，减少了它们因系统资源不足而引起死机的机率，从而使系统也更加安全和稳定。

4、硬盘阵列的应急考虑

正因为我们采用了具有容错功能的RAID3技术和双RAID控制器，所以无论是阵列中任何一块硬盘失效还是一个控制器失效，其容错功能都能支持网络系统继续使用，直至更换失效部件，恢复原有工作状态。

三、系统安装及测试

在上述方案的具体实施中，要考虑到不能妨碍新闻节目的正常制作和播出，其工作步骤如下：

1、将网络上所有需要使用的片头、宣传片、字幕模版文件下载进行备份。

2、将网络上所有未编辑完成的节目、素材及未播出的节目下载进行备份。

3、待当日播出的节目制作完成后，提前将第二天一早播出的节目制作出来，以防不测。

4、关闭所有工作站和服务器及网络设备。

5、更换FC硬盘阵列和SCSI硬盘阵列。使用服务器现有系统备份硬盘作为系统硬盘重新配置系统。重新安装网络管理软件。重新注册用户帐号和分配用户空间。对所有工作站进行系统调整。

6、将备份的字幕模版文件恢复，重新上载各类节目素材。

7、使用工作站模拟实际工作状态进行系统性能测试。

另外，在系统升级过程中，如果出现任何无法及时解决的问题，我们都可以将原来的系统盘、FC硬盘阵列和SCSI硬盘阵列恢复到系统中去，将系统恢复到原有的状态，不会影响正常的节目制作。

四、综述

我们根据实际工作中遇到的问题和需求，对新闻制作网络系统的存储系统进行了扩容和升级。运行至今，系统稳定，各项指标也符合要求。

篇2：成都市安全教育平台网

中学生安全教育

一、会安全出行

1、自觉遵守交通法规，养成文明走路、骑车和乘坐安全车辆的好习惯;

2、不闯红灯，不翻越隔离栏，不在公路上追逐打闹，不与机动车争道抢行;

3、不在行走或骑车时看手机、听音乐，不在工地、轨道、高压线等危险区域玩耍;

4、远离拥挤场所，避免拥挤踩踏;

5、不去尚未开发、无安全防护设施的危险区域旅游，不在设有危险标志处停留，不在禁拍处拍照、摄影。

二、会预防溺水

6、不在无成人的监护下游泳戏水;

7、不在无安全防护的江河湖泊、工地水塘等区域游泳、玩耍;

8、不冒险捡拾掉入河道等水域的物品;

9、不在有隐患的水域捕(钓)鱼虾、洗衣物;

10、不在游泳池里嬉戏打闹、恶作剧;

11、发现同伴溺水，立即寻求成人帮助或借助其它物品施救，不盲目下水施救。

三、会正当交往

12、与陌生人交谈要提高警惕;

13、女生学会自我保护，不接受成年男性的邀请亲近;

14、不接受陌生人的钱财、礼物、玩具、食品;

15、不搭乘陌生人的便车，不接受陌生人的邀请同行或做客;

16、不独自到偏僻的地方游玩;

17、慎交网友，不与陌生网友见面。

四、会平安居家

18、不在飘窗上玩耍或攀爬未封闭的阳台护栏;

19、不用湿手或湿布触碰家用电器;

20、不给陌生人开门;

21、不往窗外抛物;

22、规范使用燃气设备并注意开窗通风，发现火情，及时拨打119。

五、会使用网络

23、自觉遵守《全国青少年网络文明公约》，树立网络责任意识、道德意识和网络安全意识;

24、未成年学生不到网吧等营业场所上网;

25、不浏览、不下载、不制作、不传播违法或不良信息，不登陆不健康网站，不玩渲染暴力等不良网络游戏;

26、诚实友好交流，不侮辱欺诈他人;

27、学会辨别不良信息，防范电信、网络诈骗;

28、不沉迷网络和电子游戏。

六、会心理疏解

29、多与家人、同学、亲朋好友沟通、交流，树阳光心态，积极向上;

篇3：内网安全实验平台设计

目前网络安全管理重点放在了防范来自外部网络的威胁与攻击,把网络安全管理产品部署于网络边界或网关处,例如防火墙、IPS、IDS[1,2]等。然而随着计算机网络的飞速发展,内部网络安全问题日益突出,企业内部网络安全威胁更具有危害性。根据国外权威媒体对484 家公司进行的安全专项调查统计显示,超过85%的安全威胁来自公司内部。而我国内网安全现状更令人担忧。据公安部统计,70%的泄密犯罪来自于内部电脑;80%的单位未设立相应的安全管理系统、技术措施和制度[3]。

内网安全管理包括网络准入控制[4,5]、终端健康检查、进程管理、安全策略配置与执行、网络流量监控[6,7]等功能模块。通过用户/终端身份认证和访问权限控制,避免非法用户/终端接入网络;通过终端健康审查,限制存在安全威胁的终端接入网络;通过短信和邮件向用户或管理员发送消息;实时检查终端上运行的黑名单进程,强制终止其运行。

国内相关产品有网盾IPtrust,该系统侧重于管理,网络安全控制和审计功能较弱;北信源VRV内网安全管

理产品[8],该产品只能阻断拨号上网,对宽带上网和无线上网等方式不能阻断。国外安全管理产品有Websense产品,为客户提供Email Security、Web Security和Data Security;Cisco提出了一种网络准入控制方案C-NAC,核心思想是控制终端访问权限,阻止危险终端接入网络或仅获得有限权限[9,10]。

上述内网安全产品功能丰富,技术成熟,但是需要专业的技术人员操作维护且部署较为困难,不适合用作信息安全专业本科生实验平台。

本文实现的内网安全实验平台特点如下:

1)提供图形化管理界面。基于J2EE架构,采用动态树形菜单表示用户、终端的组织结构,一目了然,易于管理,适合作为信息安全专业本科生网络安全实验平台。

2)控制器以旁路方式接入网络,不改变原有网络拓扑结构,可根据控制范围和力度,并联接入任何一级交换机,系统部署灵活方便,适合学生反复、多次进行试验。

3)用户进行网络访问时,平台通过重定向技术向用户推送认证页面,实现无客户端、透明准入。

2 内网安全实验平台关键技术

2.1准入控制技术

早期网络准入控制主要采用ARP技术[11],易于实现。然而客户端安装ARP防火墙可能导致ARP准入控制失效。后来IEEE提出了基于端口访问控制(Port Control Protocol)的802.1x协议,用户需要安装客户端软件,否则无法进行身份认证[12],系统安装和管理较为困难。

本文设计的内网安全实验平台使用基于VLAN的网络准入控制技术。交换机设置两个VLAN,VLAN1 为正常VLAN,VLAN2 为隔离VLAN,接入VLAN1 的终端允许正常接入网络,接入VLAN2的终端需要进行合规检查。终端接入交换机的端口可以在VLAN1和VLAN2之间切换。

控制器并联接入交换机,通过TRUNK口捕获和分析数据包,通过Telnet协议发送VLAN配置协议。如图1所示。

1) 控制器定期读取交换机端口状态信息,若端口由“DOWN”变为“UP”,则将该端口切换到VLAN2,从而阻断终端通过VLAN1接入网络,使终端数据流进入隔离VLAN。

2) 控制器通过TRUNK口捕获交换机端口进/出的终端数据包,分析终端TCP连接过程,将终端重定向至服务器,弹出登陆界面。

3) 控制器将用户/终端登录信息转发给服务器,服务器进行安全策略合规检查,并将检查结果返回给控制器。

4) 控制器根据检查结果执行相应的准入控制操作,例如:允许,隔离,阻断。允许:通过Telnet协议发送VLAN配置命令,将VLAN2切换到VLAN1,即终端端口恢复至正常VLAN;阻断:丢弃终端数据包;隔离:对数据包进行过滤,转发符合隔离要求的数据包。

2.2 可视化管理

随着网络规模的迅速发展,用户终端数目稳步增加,网络安全管理的难度增加。如何将内部网络结构、员工组织关系清晰的刻画出来是内网安全平台易用性设计的关键。传统内网安全实验平台的网络结构、员工组织关系的表现大都采用列表形式,由于结构不明确就加大了管理难度。为了解决这个问题,本文设计的内网安全平台采用动态树的方式对网络结构、员工组织关系进行刻画,管理。树形结构使设备位置一目了然,人事关系层次结构直观明了,大大增加了平台的易用性。

本平台使用Ext JS的Tree组件,并在该组件基础上增加一些额外的功能来实现动态树的异步加载、拖动、排序。树组件包括树形面板Ext.tree.Panel和数据源Ext.data.Tree Store。其中Ext.tree.Panel扩展自Ext.panel.Table面板,设置简单,使用方便。Ext.data.Treestore是Ext.data.Tree接口的实现,它提供了加载节点的便利方法,并把它们按树形的层次结构组织在store中。实现树形结构需要使用数据库表如表1所示。

字段User_Terminal用于标识节点类型,含义如下:

0:所有用户、部门(root节点);1:下线用户;2:下线终端;3:非受控终端;4:上线用户;5:上线终端。

孩子节点与父节点通过(Code,Parent_code)关联,是多对一关系。

3 内网安全实验平台体系结构

内网安全实验平台包括三个层次:客户层、服务层、控制层。如图2所示。

1) 客户层:客户层包括请求接入内网的受控实体,是指安装有内网安全代理的终端设备,如台式机、笔记本、平板电脑和智能手机等。

2) 服务层:服务层是内网安全平台策略定制和管理单元。管理员预先定制安全策略,例如时间段策略、邮件和短信提醒策略、IP/MAC绑定策略、流量控制策略等。服务器依据定制的安全策略,根据控制器传递的用户/终端健康状况检查结果做出相应的管理决策,并将该决策信息传递给控制器。

3) 控制层:控制层是内网安全平台的策略执行单元,决定用户/终端的上网权限。控制器检查用户/终端的身份信息、健康状况并把检测结果传送至服务器;控制器接收服务器传递过来的决策信息,对终端进行安全控制,包括允许、隔离和阻断。

通信协议是服务器、控制器之间进行通信标准接口,包括数据单元格式和功能。协议单元格式如下:

命令码2 个字节,代表服务器和控制器要执行的操作命令。部分命令码含义如下。

00或99:控制器应答服务器请求数据包格式,“00”表示确认,“99”表示“否认”。

05:服务器向控制器发出请求重定向登录页面。

06:服务器向控制器发出请求隔离命令。

07:服务器向控制器发出请求阻断命令。

08:服务器向控制器发出请求允许命令。

11:控制器向服务器发出“IP/MAC/用户”检查结果。

12:服务器向控制器发送“控制”或“不控制”终端命令。

数据字段长度可变,包括命令执行的必要信息。如MAC地址、IP、交换机端口号、隔离区号、用户名等。

该协议单元作为数据部分封装在UDP数据包中。

4 内网安全实验平台工作流程

4.1平台工作流程

内网安全平台工作流程如图3所示。

内网安全平台建立后,用户/终端请求接入网络需要经过注册、接入、隔离、通知、修复主要过程。

注册:控制器向用户推送登录/注册界面。未注册用户和终端进行注册;已注册的用户终端填写身份信息尝试接入网络。

接入:安全接入是内网安全策略的实施点,强制用户终端进行身份认证、阻止不安全终端接入网络、隔离未通过安全策略审查的终端。

隔离:用户请求接入网络,控制器捕捉到请求信息,然后进行安全检查,如IP/MAC绑定、用户/终端绑定、终端端健康状态。对未通过安全策略审查的终端,控制器将交换机端口切换到不存在的VLAN,使终端接入网络失败。

通知:内网安全平台及时向终端或管理员发送管理信息。例如注册成功、审核成功、终端等待审核、ARP洪泛等。通知的方式可以分为主动通知和被动通知。主动通知可以通过电子邮件或手机短信。

修复:被隔离的终端,让其进行修复或注册登记,使其可以安全接入网络。即将合法身份的用户以及满足安全规范的终端接入到网络。

4.2功能模块

内网安全实验平台主要功能模块如图4所示。

内网安全实验平台主要包括用户/终端身份认证,用户/终端/交换机/控制器的添加、编辑和删除,安全策略模块负责安全策略定制,网络监控模块实现网络状态监控功能。管理员可以手动控制终端的网络连接。模块具体功能如:

1) 用户管理:负责添加、编辑、删除用户,对用户的身份进行审核,决定用户的状态,是否启用,是否豁免。

2) 终端管理:管理网段,添加、编辑、删除网段;添加、编辑、删除和移除终端,审核终端身份;配置终端安全策略,例如用户/终端绑定、终端IP/MAC绑定和端口策略设置等。

3) 通信程序:服务器和控制器通过通信程序进行交互。服务器通过通信程序向控制器发送控制命令和配置信息,控制器通过通信程序向服务器发送状态信息和反馈信息。

4) 网络监控:监控交换机端口、IP、MAC、用户名、终端名和上线/下线、登录时间等信息;手动控制终端的连接状态;监控网络的动态事件如终端的上线和下线;统计网络状态信息如控制器名称、控制网段、在线/离线终端、ARP洪泛/欺骗和异常主机等。

4.3 用户/终端准入控制

内网安全平台是面向终端的,通过对终端的管理与控制实现内网安全。用户企图接入网络需要通过终端健康审查和授权。终端健康状态审查对内网安全平台的运行起到至关重要的作用。

首先要检测请求接入终端是否为受控终端,如果不是则正常接入网络,否则需要进行健康检查。管理员也可以通过网络监控手动控制终端是否受控、终端准入策略(允许、隔离、阻断)。终端健康审查流程如图5所示。

5系统测试

5.1平台首页

系统管理界面首页如图6所示。

5.2 短信邮件提醒

经多次实验,该平台能够及时有效的实现短信、邮件提醒功能。管理员可以根据具体场景定制提醒策略。短信提醒功能适用场景:用户等待审核、终端等待审核、验证违规用户提醒、网络运行异常提醒等;邮件提醒功能适用场景:用户等待审核、终端等待审核、ARP洪泛提醒、严重违规用户提醒等。实验结果如图7所示。

5.3 用户/终端准入控制

用户请求接入网络,首先进行身份认证(用户名和

密码),认证三次失败阻断接入网络;认证成功需要进行终端健康审查,例如IP/MAC绑定、是否处在允许上网时间段、用户/终端绑定等安全策略,如果通过审查则允许接入网络,否则阻断接入网络。经实验该平台可以有

效对用户、终端进行身份认证、健康检查,并根据检查结果进行管理控制。

5.4 网络监控

该平台能够实时监控网络状态。管理员通过网络监控页面可以决定终端是否受控、手工修改终端准入策略:允许、隔离、阻断。实验结果如图8所示。

5.5用户、终端可视化管理

本文设计的内网安全管理实验平台对用户和终端管理使用树形结构,层次清晰,易于管理,如图9所示。

如图9 所示根节点“所有用户”的孩子节点“销售部”包含员工xiaoshou1,xiaoshou2,xiaowang ,Bob,员工“xiaoshou2”绑定终端“zry”。管理员可以在该界面上对用户、终端进行管理。

6 结论

本文设计与实现的内网安全管理实验平台易于部署,不需要安装客户端软件,方便维护;控制器以旁路方式接入网络不改变原网络拓结构,对网络运行速度没有影响。该平台经运行检测可以有效地保护内部网络安全,可以用作信息安全专业本科生网络安全实验平台,也可以作为中小型企业内网安全管理工具。

摘要：随着网络的飞速发展,内部网络安全问题日益突出。防火墙、IDS、IPS等网络安全产品重点放在了防范来自外部网络的威胁与攻击。该文设计并实现基于VLAN的内部网络安全实验平台。该平台包括准入控制、用户/终端健康检查、安全策略定制、网络状态监控等功能模块,对终端实施允许、阻断、隔离控制策略。实验结果表明,该平台能够有效安全的管理内部网络,可以作为信息安全专业本科生网络安全实验平台,也可作为小型企业内网安全管理工具。

关键词：网络安全,防火墙,IPS,IDS,准入控制

参考文献

[1]张武超.内网安全管理系统的研究与实现[D].北京:北京邮电大学,2008.

[2]朱宾.内部网络安全管理系统的研究与实现[D].北京:北京邮电大学,2010.

[3]周阳.内网管理系统关键技术研究与实现[D].哈尔滨:哈尔滨工程大学,2010.

[4]于微伟,卢泽新,康东明,等.关于网络准入控制系统的分析与优化[J].计算机工程与科学,2012,33(8):39-44.

[5]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机应用,2011(1):89-94.

[6]赵英,黄九梅,董小国,等.网络流量监控系统的设计与实现[J].计算机应用,2004(24):32-33.

[7]赵晓峰,徐义东.基于NETFLOW与SNMP的园区网流量监控系统[J].计算机技术与发展,2008,5(18):168-172.

[8]北信源[EB/OL].http://web.vrv.com.cn/.

[9]Di Benedetto M,Maino F,Mishra C,et al.Method and appara-tus for role-based access control:U.S.Patent 8,335,850[P].2012-12-18.

[10]Guevin T F,Thakkar S B,Compton D C,et al.Method AndApparatus For Network Access Control:U.S.Patent Applica-tion 13/413,813[P].2012-03-07.

[11]郭幽燕,杜晔,王杨,等.基于ARP协议的内网访问控制系统[J].计算机工程与科学,2010(1):21-24.

篇4：成都市安全教育平台网

2009年9月15日,以搜狐、激动网等为首的“反盗版联盟”发起了大规模的维权行动,对优酷网等盗版现象严重的网站发起了诉讼。2009年11月16日,优朋普乐就盗版问题将优酷网告上法庭。2010年1月22日,由于盗版酷6网独家视频内容优酷网被其送上法庭;2010年1月27日,搜狐、激动网又对优酷发起了第二轮诉讼……如此大规模密集性的版权官司,在中国的网络视频版权史上也是绝无仅有的。

如此大规模的打击网络视频盗版最终的受益者是谁呢?毫无疑问,最终的受益者就是广告主。对于各大网站的维权行为广告主们也表示赞同和拥护:版权之争促进了正版市场的净化,切实地保护了广告主的利益。

删除无版权影视剧、采购国内热播剧 酷6网建立整套版权体系

2009年11月27日,酷6网与盛大旗下华友世纪成功合并,由此开启了酷6网正版化道路的历程。2009年12月15日,酷6网在上海召开了以“新格局 大梦想”为主题的新闻发布会。会上,酷6网创始人、CEO李善友宣布酷6网在2010年将投入三个亿的资金用于网站的内容建设等,以提高网站内容质量。

同年12月22日,酷6网在北京召开了新闻发布会。李善友在会上宣布了一个大胆的举动,删除无版权国际剧集,并屏蔽网友上传的所有影视剧。与此同时,酷6网联合国内最大门户网站之一的搜狐网各出资500万美元,共计1000万美元建立了国内首个“国际影视版权联合采购基金”,拉开了中国网络视频史上最大规模国际版权采购的序幕。这是继“三个1个亿”颠覆视频格局新战略计划后,酷6网又一次在版权方面大刀阔斧地进行革新。

12月28日,继上海、北京两地分别举办新战略发布会后,酷6网在广州举办了新战略发布会,与众多广告客户高调启动支持正版视频联盟仪式,呼吁广告客户和广告代理公司一起站出来支持中国的正版事业,选择合法的视频网站进行投放。

2010年1月22日,继公开宣布屏蔽网友上传、删除无版权国际影视剧不久后,视频网站酷6网再次宣布全面清理无版权的国产影视剧,同时采购了2010年70%的国产热播剧,而此举的目的就是为了保障广告客户的切身利益。

对酷6网在版权保护的种种举措,业内专家也纷纷发表了自己的看法。DCCI互联网数据中心副主任傅志华表示,酷6网此举为视频行业起到了积极的带头作用,有助于酷6网提升在广告市场的表现。此外,他也表示,现阶段视频网站还需加强版权环境,为广告主提供更大的广告投放信心。互联网实验室总裁刘兴亮也表示佩服酷6网的做法,酷6网2010年的正版化运作将促使行业内正版发展。对于酷6网删除无版权影视剧的做法,刘兴亮坦言,从商业角度来看,酷6网此举存在着风险,流量可能会在短期内下降,但是,随之而来的就是推动正版化的大方向,这个举动值得敬佩,而酷6网此举无疑也为广告主吃了一颗定心丸,想必对广告主切身利益的保障是非常有利的。

走正版化道路,酷6网欲打造广告客户的最安全营销平台

据悉,酷6网目前已经开始删除无版权的国产影视剧,预计4月将全部清理完毕,同时已经签约了2006年到2010年国产电视剧市场流通总量的80%,换而言之,此举意味着酷6网为寻求正版化,在版权采购上投入了巨额资金。

对为何斥资采购版权影视剧一事,酷6网高级副总裁郝志中在接受记者采访时称,酷6网是一个主流的新媒体,一直致力于为广告客户打造安全、可靠的营销平台。为了保障客户的基本权益,酷6网将不惜一切代价走正版化路线,之前的屏蔽手段就是为了将版权问题的风险降到最低,而通过大量的版权影视剧的采购,也是希望使广告客户看到酷6网正版化的决心,相信酷6网在为促进行业正版化不断努力。

此外,对于酷6网而言,除了正版化保障广告客户的利益外,也希望更多的广告主看到酷6网大量优秀的独家热播剧,希望开拓新的营销模式,通过这些正版影视剧带动广告主投放广告的信心。酷6网会进行一系列的主题包装和营销包装,将电视剧内容跟广告销售做打包处理,将推出电视剧场模式,每月推出新剧场,锁定热播剧及经典剧,既提升用户的电视剧观看感受,也满足客户的品牌冠名、特约赞助等广告需求。2009年,酷6网针对特定人群推出了包括“青春剧场”、“家庭剧场”、“男人剧场”等在内的十余个剧场,并获得了品牌广告主的加入,进行了深度的营销合作。

而随着2010年内容形式上的丰富,酷6网将与上百家品牌广告主进行更为深度和广度的合作。业内专家对此也发表了观点,称酷6网此举可谓一举多得,一方面,坚持走正版化影视会得到更多广告主的信赖和支持;另一方面,酷6网此次宣布采购的大量影视剧属于视频分享网站独播,这既满足了网友的观看需求,也为网站在差异化的竞争中创造了优势;同时,酷6网未来还可能对这些版权剧进行二次分销,降低其采购成本,无论从哪方面而言,酷6网都是正版的获利者。

一些广告客户对于酷6网维护正版版权的壮举表示了认可。宝洁公司代表徐欣磊表示,视频网站正版化是唯一出路,酷6网此举将带给他们更多的信心。以上说法也得到了广州本田代表刘子欣的认可。他表示,现在,酷6网最先发起了版权保护的实际行动,无论对行业还是对广告主而言,都将带来标杆性的意义。随着正版概念日益深入人心,广告主会越来越关注广告投放平台是否正版化,更加倾向于在提供正版视频的网站上投放广告,毫无疑问正版化将是未来视频网站发展的唯一出路。

事实上,视频网站版权的自救更多是来自广告客户的压力。就在不久前,视频网站的盗版行为终于激起千层浪。以搜狐为首,汇集了百余家版权方的“反盗版联盟”一举将优酷网告上法庭,与优酷一起受到牵连的,还有在其盗版影视上投放广告的可口可乐公司,轰动一时的版权大战由此拉开了帷幕。尽管随后法院判定此案被告可口可乐公司并无连带责任,然而广告主因版权官司受到牵连还尚属国内首例。

此次官司不仅引起广告主的高度紧张,也使视频网站陷入进退两难局面。要想满足网友观看需求的日益提高,视频网站就必须面临不可避免的版权难题,而又不能弃广告主的权益保障而不顾,这使得以优酷为首的视频网站举棋不定。而随着酷6网高调宣扬删除无版权影视剧以来,也似乎让广告主看到了视频网站走入正途的信心。对此,中国广告协会的相关专家特别指出,酷6网的举动对于广告主在视频网站的投放起到转折作用,可以说为同行树立了新的从业标准,至少说明还是有视频网站愿意为了保障广告主的利益舍弃铤而走险。据悉,目前大部分广告客户对视频网站的广告投放都因为可口可乐的连带起诉案而愈发谨慎小心,广告客户对自身品牌形象的保护无形中增加了视频网站保护正版的压力。

篇5：成都市安全教育平台入口【官方】

大学校园安全常识

针对当前普遍存在的大学生财产安全意识薄弱、轻信他人、财物保护观念差的现象，更要加强大学生安全意识教育，提高大学生自我防范意识和能力。安全涉及到每个人的学习及日常生活，包括：人身安全、财产安全、防火安全、生活安全、交通安全等等。

一、注意防火

火灾是威胁人类安全的重要灾害。大学校园里，也是威胁广大师生生命财产安全的重要因素;校园火灾的发生，不仅给许多家庭带来不幸，使大量的社会财富化为灰烬，而且还会严重影响学校教学、科研的正常运行。因此，做好校园消防工作，为更好的保护国有财产和广大师生的生命财产安全，预防和减少火灾事故，特别是遏制恶性火灾事故的发生，具有十分重要的意义。

二、注意防盗

随着经济的不断发展，当代大学生手中的零用钱越来越多，手机、数码相机、等一应俱全。这就使社会上不法分子把目光盯住高校,有的抢劫、盗窃团伙专“吃”高校。一些师生又不按规定保管公、私财物，使犯罪分子作案易于得手。预防和打击校园盗窃是每个在校学生应尽的责任和义务。增强防盗意识，了解校园内盗窃犯罪的基本情况、规律和特点，掌握防盗的基本常识，是做好防盗、保证安全的基础。

1.大学校园中发生的盗窃方式有哪几种?

(1)顺手牵羊：作案分子趁无人或同学不备将放在桌、床等处的钱物信手拈来占为已有。

(2)窗外钓鱼：作案人用竹竿等工具在窗外将室内他人的物品钩走。

(3)翻窗入室：作案人翻越没有牢固防范设施的窗户、气窗等入室行窃。

(4)以推销物品的形式踩点，然后进行偷窃。

(5)以认老乡形式或困难求助为名窃去银行卡或饭卡密码，取走银行的存款或饭卡的钱。

2.基本的防盗方法有哪几种?

(1)贵重物品不用时最好锁在抽屉、柜子(箱子)里或寄存它处。

(2)饭卡要随身携带，不要存太多的钱，丢失后要立即挂失。

(3)注意保管好自己的钥匙，不要轻易借给他人，防止钥匙失控。

(4)最后离开宿舍的同学，要关好窗户锁好门，千万不能怕麻烦。

(5)对形迹可疑的陌生人要提高警惕，留心观察,必要时可打电话给校保卫科。

(6)晚上休息或假期不在宿舍时，一定要关好门窗，不将贵重物品放于靠窗前的桌上。

三、注意防骗

一些大学生虽然文化知识高，但因踏入社会较晚，社会经验不足，缺乏安全防范意识，法制观念淡薄，从而导致一些案件的发生。据统计表明：发生在大学生中上当受骗案件占学生中发生治安案件的75%以上。而这些案件绝大多数是由于大学生自身安全防范意识淡薄，思想麻痹、财物保管不当，轻信他人，交友不慎等发生的案件，有些造成学生的财产损失，有些甚至危及学生的生命安全。

1、针对大学生有哪些常见骗术?

(1)通过上网聊天交友，取得信任后，编造谎言进行诈骗;

(2)假称自己发生意外，利用同学的同情心理伺机进行诈骗;

(3)以恋爱为名进行诈骗;

(4)编造学生在学校受到意外伤害，对学生家长及亲属实施诈骗;

(5)冒充学校工作人员诈骗学生;

(6)利用手机发短信息中奖诈骗。

2、预防诈骗的措施有哪些?

(1)提高防范意识，学会自我保护。学生要积极参加学校组织的法制和安全防范教育活动，多知道、多了解、多掌握一些防范知识，这对于自己有百利而无一害。

(2)在日常生活中，要做到不贪图便宜、不谋取私利;要提高警惕性，不能轻信花言巧语;不要把自己的家庭地址等情况随便告诉陌生人，以免上当受骗;发现可疑人员要及时报告;上当受骗后更要及时报案、大胆揭发，使犯罪分子受到应有的法律制裁。

(3)交友谨慎，避免以感情代替理智。对于熟人或朋友介绍的人，要学会“听其言，查其色，辨其行”。

(4)同学之间要相互沟通、相互帮助。有些同学习惯于把个人之间的交往看作是个人隐私，一旦上当受骗后，无法查处。有些交往关系，在自己认为适合的范围内适当透露或公开，这也是安全的需要。

四、市内交通应注意哪些问题?

市内乘车要自觉遵守交通规则，文明礼貌，带好现金，谨防扒手，避免与人发生纠纷。

步行、骑自行车时，一定要养成朝两边看的习惯，千万不可贸然横冲，需穿过公路时要走斑马线，走天桥，不要图省时而横穿马路。

五、网络问题

(1)自觉遵守计算机网络管理和规定，不玩网络游戏、不浏览色情信息等。

(2)在网上慎交朋友，不要将个人资料外泄，更不要随便答应“网友”外出。

(3)加强体育运动，要合理安排时间，讲究科学用脑。电脑不能代替的是人的情感交流，多在现实生活中与同学和朋友直接交往、聊天。

六、疫病防疫等公共卫生问题等

篇6：成都市教育系统安全工作会记录

成都市教育系统安全工作会记录

时间：2008年2月27日上午9时0分－10时30分

地点：教科所二楼会议室

记录人：张洁

一、聂晓芹书记传达周光荣局长对校园安全工作的要求

1、高度重视，提高认识。把安全工作放在重要位置，各级领导要统一思想，提高认识，防止发生安全事故。

2、强化责任落实。各区（市）县教育行政部门必须在学校的安全工作中履职到位，充分尽到组织、指导、督察的职能。

3、狠抓隐患的排查，加强楼道的管理，配齐有关设备。要加强对“春游”活动的安全预案制定、审批与安全教育、管理工作的落实。

4、加大投入，抓保障落实。学校要落实安全经费，专款专用，做到校园安全，确保安全工作“人防、物防、技防”相结合。

5、加强安全教育。使学生提高法制意识、安全意识和防范意识，使师生提高处置突发事件的能力。

6、提高安全事故的处置效率。

二、教育局分管安全工作的聂晓芹书记在安全工作会议上的讲话要点1、2007年度教育局安全工作总结

⑴肯定成绩，增强信心。

2007年完成了安全工作目标，各级各类学校，没有发生重大的安全事故，教育行政部门在以预防为主的同时，坚持标本兼治，规范化制度化方面迈出了可喜的一步。有以下几个特点：

①安全工作得到了普遍重视，认识到位。落实了一岗双责，学校的主体责任和部门的联动也得到了落实。

②学校安全工作基础得到了较大改善。

③突出安全工作长效机制的建立，狠抓安全教育。

④注重对学生进行假期安全教育，通过抓细节，使师生的安全意识有所提高。⑵安全工作存在的薄弱环节。

①面对安全隐患,部分学校领导还存在侥幸和麻痹大意心理。

②安全的基础工作还要进一步夯实。

③安全教育还要强化。

④队伍的建设和寄宿制学校的安全管理还要引起高度重视。

2、2008年安全工作建议

⑴总体目标

杜绝重大的安全事故，减少一般安全事故的发生。

⑵具体工作要求

①落实一岗双责。一把手是安全工作的第一责任人，其他业务分管领导除了要分管好业务工作，还要分管好安全工作。

②强化安全工作的两个重点。一是加强学校安全工作制度的建设，提高学校安全管理水平。二就是要继续地抓好安全教育，提高防范意识，要思考与落实安全教育如何进课堂专题。

③落实“三环节”的安全工作管理。一是全面排查整治隐患；二是狠抓安全工作检查与督促；三是严格安全责任追究。

⑶对做好学校安全工作的几点建议

①探索安全工作的规律。

②安全工作要真抓实干。安全工作要检查与督促，通过检查，来督促安全工作的改进。

③安全教育不能流于形式，针对学生成长发育规律，根据不同阶段的心理状况，把安全教育融入教育教学工作中，形成一种自觉的行为。也要对老师、家长进行安全培训。

④安全管理应加强部门联动，安全管理部门要学会“喊、干、督”。

三、教育局办公室周继平主任对2008年学校安全工作部署要求

一、常规工作

常规的学校安全工作已印发了《2008年学校安全工作要点》，突出两条：

1、各学校要对安全工作重视及健全组织。

2、一再强调抓学校安全工作的基本规范和程序，包括安全工作的信息报送。

二、今年部分热点问题

1、今年是迎奥运年，学生集体活动增多，安全工作都要摆在第一位。

2、随着天气的转暖，以及今年对校方责任险的实施，“春游”活动开展的安全预案的制定、安全教育不能放松，安全管理责任要落实。

3、本市气候可能会在短时内回温较快，导致传染病的暴发，预防传染病及食品安全，也是学校春季安全工作的重点。

今年的两会及奥运等特殊时段，对本系统的维稳工作提出了很高的要求。务必请领导工作会议专题研究一次安全工作，一定要有记录，并且要对这项工作进行部署。学生安全纲要进课堂这项工作将会纳入今年签署的安全责任书内作为主要内容进行考核。

二○○八年三月四日

区教育局安全工作会议纪实:安全防范常态化 警钟长鸣保平安

4月25日下午,洪山区教育局在二楼大礼堂召开了全区教育系统的校园安全工作会。会议由局办公室主任姜国雄同志主持，教育局党委朱德平书记、梁桂芳副局长、高作旭副局长、陈国安副局长、金龙副局长、胡明礼督学及机关各处室负责人、中小学（幼儿园）党政负责人、二级单位领导出席并参加了会议。

会上，教育局安保科科长朱时栋同志将开学以来的校园安全大检查活动情况向与会人员作了反馈，并就检查中存在的突出问题进行了强调，要求各单位要加强隐患的排查与防范，做好处理突发事件的应急预案，对于安全保卫、卫生、防疫、用电安全、交通安全等方面工作，要警钟长鸣，切实履行职责，严格按要求、按制度做好工作。朱科长强调指出安全工作拖不得、等不得，更不能心存侥幸，一定要集中力量、克服困难，杜绝安全责任事故的发生。

之后，教育局副局长高作旭同志简要通报了4月中旬以来在云南省发生的几起学生意外伤害事件，传达了省教育厅专项会议精神，并作了《努力打造平安校园，办人民放心的教育》主题讲话。他要求各单位立即行动起来，加大力度落实各项安保措施，经常性地开展校园安全大检查，大力深化校园周边环境的综合治理工作，积极构建“四动”（即快速启动、全员发动、上下互动、部门联动）校园安全快速反应体系，充分发挥“四防”（即人防、技防、物防、联防）校园安全工作机制的作用，进一步落实校园保安职责，加强门卫管理，严把校园“入门关”，强化安全工作全员管理、全方位管理、全过程管理意识，及时化解校园内部矛盾，特别是加强对精神病患者等重点人员的摸排与监控力度，建立健全安全应急预案，加大安全教育宣传力度，努力提升学生自我防范意识，强化学生安全防范、逃生疏散技能的演练。

篇7：成都市安全教育平台网

2012年3月26日是我国第十七个“全国中小学生安全教育日”，今年活动的主题是“普及安全知识，提高避险能力”。目的在提高学校安全教育能力，建立健全学校安全防范机制，形成“人人讲安全、事事为安全、时时想安全、处处要安全”的良好氛围。

一、活动主题：普及安全知识，提高避险能力，共建和谐校园

二、活动目的：认真贯彻开展全国“2012年中小学安全教育日”活动的文件精神，通过开

展“安全教育周”的活动，进一步强化学校安全教育工作，帮助学生树立安全意识、掌握安全知识、提高自我保护能力和应急避险能力。

三、活动时间：3月26日——4月1日

四、活动内容与形式：

在全校师生中切实开展“六个一”专题教育活动。

1、一年一度安全责任书签订：全校教职工例会期间。

2、一条安全教育标语：“普及安全知识，提高避险能力”将悬挂在校门口。

3、一次安全教育主题录像观摩：本周二 “读书读报课”时间观看两大主题的安全专题教育电视影片，每次时间大约20分钟（主题之一《道路交通安全》，主题二《游泳安全》）。

4、一场“安全隐患人人查”活动：周五班会课，由各班级组织同学们找出家庭及学校的安全隐患，并填写《安全隐患报告单》于周五之前交德育处。

5、一次安全大检查 ：本周内，学校将组织人员对全校进行了一次安全大检查。为此，有请各年级、班级应在本周内先进行自我检查，发现问题及时报告，以便及时解决。

6、一次应急疏散演练：按照学校安全疏散路线，开展一次全校学生的安全应急疏散演练活动。（5月11日下午14：00）

篇8：内网安全管理平台研究与实践

近十年来, 全国各级政府大投入、高强度推进政府信息化建设, 形成了网络高度发达、应用覆盖全面、基层应用活跃的可喜局面。政府内网已经成为政府部门工作得以正常开展的重要依托, 成为实施行政管理、服务社会不可或缺的重要支撑。

伴随着网络应用的普及, 政府网的信息与网络安全问题也逐步显现。政府网联网计算机“一机两用”、设备违规外联、违规网站开设、不良信息传播、涉密信息上网、黑客行为、网络游戏等违规行为时有发生, 各种问题层出不穷, 严重威胁信息安全, 也对网络的正常使用产生很大影响。

1. 现状分析

政府内网安全问题不断突显, 安全隐患频出的主要原因:

一是在信息化建设中注重针对外部入侵等的安全防范, 忽视了内部人员违规使用政府网带来的安全问题。从政府部门内部情况看, 因违规而引起的安全隐患要远大于外部入侵带来的威胁。

二是安全管理没有真正做到全程全网, 大多数安全问题由省级部门直接处理, 市、县两级处于消极等待状态。事实上, 绝大多数安全问题是由县级以下造成的。

三是缺少技术建设, 各级政府部门在管理信息与网络安全时缺少得心应手的工具, 信息不灵, 上下不能协调。尤其在县级政府部门, 由于人员紧张, 难以落实专职安全管理员, 由于没有信息系统对安全情况进行监控和提醒, 安全管理工作难以落实。

四是没有形成高效的安全管理机制。由于技术建设不到位, 管理人员不到位, 安全管理机制的运作没有依托, 形不成发现、警示、处置、反馈、考核“一条龙”工作模式。

五是对安全管理模式缺乏研究。发生问题后只是简单地通报, 试图以高压方式遏制违规事件的发生, 忽视了引发违规事件因素的复杂性。

针对上述问题, 我们认为, 在进一步加强信息与网络安全教育的同时, 必须采取切实有效的措施, 提高安全管理能力和水平。为此, 我们可以通过建设覆盖省、市、县三级的政府内网安全管理技术体系, 以此为依托, 建立全程全网“发现、警示、处置、反馈、考核”五位一体的管理模式, 实现安全管理工作的信息化、网络化。

2. 技术思路

国家信息化领导小组《关于加强信息安全保障工作的意见》 (中办、国办发2003年27号文) 中提出, 加强信息安全保障工作, 必须遵循以下原则:立足国情, 以我为主, 坚持管理与技术并重;正确处理安全与发展的关系, 以安全保发展, 从发展中求安全;统筹规划, 突出重点, 强化基础性工作;明确国家、企业、个人的责任和义务, 充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。

按照国家27号文件精神, 坚持管理与技术并重的原则, 立足于政府内网安全管理工作的实际需求, 充分运用安全技术手段, 对政府内网内的安全事件进行集中统一发现、统一监测, 并以上下多级级联平台为载体, 建立监测、预警、通报、整改、报告的工作机制。安全管理平台是一个融业务管理 (规范、组织、服务、培训) 、工作流程和应急响应 (预警、查处、通报、报告) 与安全技术应用 (监测、发现、处置) 为一体的统一管理平台。

安全管理平台采用DRP动态可适应的安全管理模型, 如图1。该模型是指Detection (检测) 、Response (响应) 和Protection (防护) 。我们认为完整的动态安全体系是在动态的检测机制 (如边界检测、涉密信息检测等) 下, 对发现的问题及时进行响应, 以此来推动安全防护工作 (如操作系统访问控制、防火墙、加密等) , 形成一个完备的、闭环的动态自适应安全体系。

3. 技术实现

3.1 安全管理平台总体情况

安全管理平台是安全监测技术和预警、通报、查处、报告等管理流程相结合的, 融安全规范、安全服务、组织机构、应急响应为一体的, 统一高效的安全管理平台。

安全管理平台对整个网络中安全事件、安全状况的全过程监测, 实现信息与网络安全的全程全网、集中管理;运用自动化、智能化分析比对技术, 第一时间发现政府网上的安全问题;建立监测、预警、通报、查处、报告的管理流程, 督促相关人员及时消除安全隐患;通过安全管理平台多级级联的机制, 达到管理责任和管理权力的匹配, 形成省厅、地市、区县齐抓共管格局, 实现信息与网络安全共享, 共同应对信息与网络安全挑战;建立各种突发事件的应急响应预案, 设定专门技术支持单位与人员, 通过安全管理平台全省级联布局, 对发生重大紧急安全事件情况触发应急响应, 即时通知, 多方联动, 相互配合, 减少损失;利用该平台宣传信息安全政策和知识, 提供安全服务, 增强全员安全防范意识, 实现全员参与安全防范, 规范政府工作人员使用网络的行为, 变“被动防御、被动管理”为“主动防御, 主动管理”, 保障政府网的安全可靠运行。

省、市、县三级安全管理平台级联架构, 如图2所示。

3.2 安全管理平台主要功能

安全管理平台主要包含注册管理、安全监测、安全预警、安全通报、安全服务、安全管理、决策统计、违规阻断、平台配置等功能模块。安全管理平台还包含边界检查管理系统、敏感信息监测系统和网站注册检查系统、移动存储介质注册管理系统四个子系统。

安全管理平台及各子系统的建立可以实现以下功能:

(1) 实现对政府内网安全的有效管理。进一步完善组织保障、日常巡检、安全预警、安全通报、违规查处、应急响应等安全工作机制, 明确政府内网安全管理工作流程。

(2) 实现对政府内网内计算机设备统一安全管理。按照积极防御、综合防范、突出重点的方针, 对政府内网进行全程全网实时有效地安全监控, 事前对安全事件进行预警预测, 为查处政府内网上各类违规行为工作提供依据。

(3) 实现政府部门全员参与安全防范。为各部门各单位提供安全信息的良好平台, 利用该平台及时公布信息与网络安全的有关信息, 宣传信息安全政策和知识, 增强安全防范意识。

(4) 实现指导、督促、检查全省各地建立健全信息与网络安全防范工作。落实“三方责任”, 实现信息与网络安全共享, 共同应对信息与网络安全挑战, 确保政府内网安全稳定。

(5) 实现对突发安全事件的监测、预警、通报、查处和报告管理流程。通过有效的实时监测, 及时发现政府内网上的安全事件, 根据统一的策略, 逐级预警, 自动通报。明确各级职责, 及时查处, 逐级上报审核。

(6) 实现安全管理的可控、可管。对存在严重违规行为并影响信息与网络安全的事件, 可实施对设备的即时阻断, 保障政府内网信息与网络安全。

(7) 实现对政府内网计算机敏感信息检查。按照制定的文件格式策略进行自动化、网络化检查, 及时发现政府内网计算机上的敏感信息, 准确定位相关单位、部门、使用人等, 确保政府重要敏感信息的安全。

(8) 实现对政府内网网站的登记、注册管理。加强对政府内网政府内网站的技术监测、审计能力, 从源头上解决政府内网上出现的违规网站和违规内容问题。

(9) 实现对政府内网边界安全的技术监测及注册管理, 杜绝在政府内网中私设子网以及与其他网络非法相连。

(10) 实现对网内病毒的监测预警。提高对病毒事件早预防、早发现、早报警的能力。

(11) 实现对移动存储设备信息的安全管理及对使用存储介质的控制, 杜绝外来存储介质非法进入政府内网, 防止政府内网中文件和内部信息及数据通过存储介质泄漏与失窃。

(12) 实现对省内各级政府部门详细、量化的网络安全工作考核依据及方法。衡量各级政府部门在信息与网络安全日常巡检、违规查处、应急响应等工作。

3.3 安全管理平台及子系统主要技术特点

3.3.1 安全管理平台

安全管理平台采用B/S与C/S相结合的结构设计, 由以下四个部分组成:信息源单元、分析处理单元、数据库单元、人机交互单元。分析处理单元与信息源单元中的客户端构成C/S架构, 收集客户端上报的各种安全信息, 并进行联合分析与比对校验, 生成网络安全、系统安全、运行安全等三大类安全检测结果。

安全管理平台架构图, 如图3所示。

(1) 信息源单元由漏洞扫描工具、网络版杀毒软件、病毒预警系统、网站扫描工具、政府内网管理系统及新增监测手段等组成。信息源单元是整个安全管理平台对信息与网络安全状况的采集点, 实现安全管理平台所需数据的采集和对网络安全的控制。安全管理平台的可扩充架构设计, 使得其信息源单元的内容可以随着政府内网中网络安全系统的不断建设而扩充。

(2) 分析处理单元整合信息源单元采集的数据, 结合后端各个数据逻辑分析部件对数据的整合处理、阈值判断、分析校验过程, 实现政府内网安全信息及网站、敏感信息、边界分布状况等的识别提取, 依照设定的管理策略对相应违规事件产生安全预警、安全通报, 并对需要进行阻断的计算机设备通过一机两用系统实施阻断。

分析处理单元的输出数据进入平台数据库, 通过网页形式详细展现, 对于安全预警和安全通报等需相关人员及时做出处置响应的事件, 则通过短信、邮件及声光报警装置, 第一时间多渠道通知相关人员, 及时做好网络安全紧急事件查处工作。

省厅安全管理平台的分析处理单元包含下级平台级联接口, 级联数据处理部件可接收各个地市级平台分析处理单元上报的安全通报信息, 以实现严重违规行为、事件的全省级行政通报。同时, 级联数据处理部件还负责下级平台所管辖的设备安全状况基础统计信息、安全监测统计数据、安全预警统计数据的收集保存。

(3) 数据库单元是安全管理平台的数据仓库, 用于保存系统产生的数据及系统工作所依赖的各项策略配置信息。

(4) 人机交互单元包含四个部分:平台网站、短信网关、邮件系统和声光报警装置。

平台网站是人机交互单元的主要部分, 承载安全管理平台要求的各个功能模块与子系统的数据显示与配置操作功能。平台网站以开放式网页形式提供服务, 任何接入政府内网的计算机均可以直接通过浏览器连接站点进行访问, 查看安全管理平台提供的开放数据, 实现全员参与安全防范, 让政府部门所有工作人员成为信息网络安全的主体;同时设置管理员权限, 安全管理平台管理人员可通过特权账号加密码方式登录平台网站, 进行系统各个模块的配置操作。短信网关、邮件系统及声光报警装置作为报警等系统重要即时信息的输出接口, 用于通知相关人员在第一时间做出响应。

3.3.2 边界检查管理系统

边界检查管理系统主要通过对政府内网边界安全检查和管理, 以注册过程建立合法边界白名单, 并依靠技术手段自动实现政府内网边界的检查, 及时发现存在的非法网络边界, 防止外来计算机、网络等通过非法手段接入政府内网, 发现政府内网内擅自设立网中网, 实现对违规行为的阻断及证据提取, 方便查找相关责任人以及后续处理, 确保政府内网的安全。

1) 边界注册

网络中增加新的边界时, 需要根据边界管理的相关规定先提出注册申请, 待注册申请通过管理员审核之后, 新的边界才允许合法运行使用, 进入边界白名单。

2) 边界监测

后台管理平台, 对系统安全策略进行配置, 设定边界监测相关信息参数。系统支持自动策略生成, 可以自动生成默认的合法主机列表, 根据拟定的执行安全策略, 过滤合法主机列表, 快速自动实现非法主机列表的生成, 降低管理员的工作量。

3) 管理处置

根据边界列表与白名单信息, 检测出非法边界信息。一旦探测到非法边界接入情况, 则在需求规定时间内根据设定的安全策略信息, 对违规接入提出警告, 生成预警或通报信息, 并实施阻断。限时整改后, 重新进行边界审核, 同时做出报告。

3.3.3 敏感信息监测系统

敏感信息监测系统用于监测、检查政府内网内计算机上所存放的敏感信息。非涉密计算机上非法存放敏感信息会对信息安全产生极大的隐患。敏感信息检测系统根据安全管理人员设定的策略实现计算机存放敏感信息状况的自动化、网络化、动态化检查, 及时发现违规行为并提取证据, 第一时间责令整改。

1) 参数设定

后台安全策略进行敏感信息相关参数的设定。不同计算机可以采取不同的监测策略, 指定不同的敏感信息检测内容。

2) 动态监测

系统能够根据下发安全策略的内容, 自动检测政府内网计算机上含有敏感信息的文件。实现对本地政府内网计算机上敏感信息网络化检查, 不需逐台检查。采用动态的监测方针, 实时检测敏感信息。

3) 管理处置

根据敏感信息列表, 检测出敏感信息内容。一旦检测到违规情况, 则根据设定的处置策略, 对违规接入提出警告, 生成预警或通报信息, 并实施阻断。限时整改后, 做出报告。

3.3.4 网站注册检查系统

网站注册管理系统通过注册管理过程产生网站白名单, 依托后台的技术监测及审计手段有效搜索、定位、统计政府内网网站, 及时发现非法网站及违规内容网站, 从源头上查处政府内网上出现的违规网站, 维护政府内网的严肃性。

1) 网站注册

实现对政府内网网站的登记、注册管理。政府内网的各种应用系统建立的所有网站都需要登记并进行审核。注册时要求提供网站的类型、IP地址、端口号、路径、内容说明、负责人姓名、联系电话、所属部门等详细信息。

网站注册申请必须经上级管理人员审核之后, 相应功能才允许合法使用。通过审核的网站则进入网站白名单列表, 没有通过上级管理员注册审核的, 则属于非法网站。

2) 后台设定

在后台对网站检查的安全策略进行参数信息设定, 设定网站监测的相关信息。系统支持自动策略生成, 可以自动生成默认的合法网站列表, 根据拟定的执行安全策略, 降低管理员的工作量。

3) 管理处置

根据网站列表以及网站白名单列表, 来筛选违规网站。对于未注册的网站, 则根据既定的安全策略加以处置, 在需求规定时间内, 予以警告、通报, 直至阻断。扫描审核白名单网站列表, 一旦产生违规行为, 则根据审批管理办法对责任人进行查处, 对查处结果进行登记、存档, 整改后重新进行注册申请。

根据一系列的日志报告集合, 对各类网站开设、访问等情况进行统计分析, 统计辖区政府内网中Web服务器数量、网站数量、经过审批网站数量等。

3.3.5 移动存储介质注册管理系统

移动存储介质注册管理系统是利用信息保密、访问控制、审计等技术手段, 对政府内网移动存储设备实施安全保护的软件系统, 使内部涉密信息不能被移动存储设备非法流失, 用技术的手段, 实现移动存储设备信息安全管理。

通过对政府内网所有计算机的USB端口进行管理, 从而实现对使用存储介质的控制, 杜绝外来存储介质非法进入政府内网;通过存储介质接入管理和行为日志的审计实现对存储介质使用行为的检查, 防止政府内网中文件和内部信息及数据通过存储介质泄漏与失窃。

1) 注册

移动存储介质接入管理计算机, 管理人员通过系统平台, 对设备存储区进行数据重整, 分区划分。

在注册过程中, 获取设备相关识别信息作为识别码, 将其存储到数据库系统中, 作为已注册移动存储介质识别的标记。

完成注册后, 需要将注册过程中的操作行为与注册信息等等一系列信息进行日志实时记录, 然后整理上报, 方便进行审计工作。

2) 介质接入认证

移动存储介质接入政府内网计算机, 首先需要判别该介质是否经过注册, 是否是政府内网移动介质。

如果是政府内网介质, 则允许其在政府内网计算机使用, 可以进行数据操作, 认证成功后, 将其所有操作行为等信息进行实时记录上报, 在设备断开时, 也进行日志上报。

如果不是政府内网介质, 无法在数据库中寻找到其识别信息, 则政府内网计算机需要对其进行组织操作, 包括进制USB端口等等。然后对其信息进行日志上报, 产生预警、通报等, 对该发生事件作出及时整改, 作出报告。

3) 数据写入控管

在通过认证的移动存储介质进行数据写入拷贝操作时, 需要进行控制。

要对写入文件进行涉密检查, 利用敏感信息检查功能, 对当前文件信息进行监测。

如果是涉密信息, 则需要对其进行加密操作, 同时只能写入介质加密数据区, 不能写入公开区。对其操作行为等信息, 需要进行日志上报。

如果不是涉密, 则允许选择写入公开区与加密区, 如果写入加密区, 则需要对数据进行加密操作, 写入公开区, 则进行明文写入, 无需加密。对其操作行为等信息, 同样需要日志上报。

4. 结束语

安全管理平台实现了安全管理的信息化、网络化, 并建立全程全网“发现、警示、处置、反馈、考核”五位一体的管理模式, 实现对信息与网络安全工作的日常化、常态化、长效化管理, 并在实际工作中取得了良好的成效。