第一篇:網絡教學論文 網絡教學系統論文大全
網絡教學論文網絡教學系統論文
對教學網絡互動系統的設計構想
摘要:教學網絡互動系統是校園網建設中的一個重要組成部分,是方便教師備課、授課、發布課程信息,學生課后自主學習、獲取課程信息,教師和學生課后交流、答疑、教師批改作業以及實現教學資源共享等教學環節的有效載體,并且可以為以后遠程教育的開展打下基礎。本文將從教學網絡互動系統設計的必要性、系統功能以及系統結構等方面對其進行論述。
關鍵詞:教學網絡 互動系統 功能 結構
近年來隨著全國高校校園網的建立和迅速發展,許多高校開發出了各自的網絡信息平臺,這些平臺在高校管理工作中發揮了重要作用,然而對高校的教學、科研工作的影響尚有待提高。因此,在當前校園網已基本建成的前提下,建設一個教學網絡互動系統,以改善目前的教學工作不失為一個可行的方案。
系統設計的必要性
1.1 當前教學模式過于簡單
目前在大學校園中,教師的傳統教學模式僅是教材文本數字化以及教師課堂講稿的簡單再現,并且表現形式單一,其內容主要是以下兩種方式:
①簡單的電子文本或靜態圖像;
②教師的課堂PowerPoint演示文稿。
1.2 教學資源重復建設且難以共享
由于缺乏有效的交流和共享平臺,教師和學生往往需要獨自建設教學資源,而這些資源有相當一部分具有相似性和通用性,這樣容易造成資源的重復建設和浪費,并且不利于優質資源的共享。
1.3 師生缺乏交流平臺
師生交流的傳統形式往往受到時空的極大限制,效率低下,且大多數高校教師科研工作繁重,與學生直接交流的機會并不多,如果師生能有一個便捷的交流平臺,則該問題將迎刃而解。
1.4 信息傳播方式單一
在傳統的教學模式下,師生之間的信息傳播大多是通過班干部的上傳下達或手機短信等平臺來實現,但這種方式往往是教師對學生的單方向傳播,且效率低下,不利于師生的交流。
系統應具有的功能
教學網絡互動系統是在以計算機網絡為代表的現代媒介上進行教學活動的平臺,其主要特征是:以開放的非線性分布方式為師生提供豐富的教學資源環境,為教師提供了便捷的教學平臺和共享方式,同時為學生的個性發展提供了優化的教育時空,滿足學生的個性化學習需求。因此,該系統應是一個集成平臺,通過此平臺,應當可以進行以下活動:
2.1 自主學習
通過教學網絡互動系統,教師的教學活動和學生的學習活動將不再局限于某一時間,某一地點,而是以其豐富的網上學習資源、良好的交互、快捷的通信方式,為學生個別化學習提供可能。
2.2 資源共享
師生可以通過上傳、下載教學資源,以達到教師與教師、學生與教師、學生與學生到多方位資源共享的目的。
2.3 師生交流
教學網絡互動系統提供了一個學生和教師之間進行交流的平臺。學生可以在線向教師提問,教師通過網絡向學生答疑。由于交流信息的公開,可以避免問題的重復,節約了教學資源;此外,由于網絡的特性,師生不受空間的限制,使其在時間分配上帶來了極大的自由。
2.4 信息公告
在系統中設置有信息公告部分,該部分用于及時向學生傳遞課程信息,如交作業的時間、考試的時間和地點、課程安排的調整等信息。
2.5 在線批閱
通過教學網絡互動系統,學生可及時地將作業上傳,而教師也可以及時進行批閱,及時進行信息反饋,節約師生信息傳遞的時間。
2.6 后臺管理
通過該模塊管理員可對系統及相關信息進行管理。如對學生信息、公告、教學資源等進行添加、刪除、修改,以及相應的權限設置和信息查看,當然,教師也應享有部分管理權限。該模塊保證了網站
能夠及時更新并動態運轉。
系統結構
教學網絡互動系統分為三大模塊:網絡教學模塊、網絡資源模塊、網絡管理模塊。其系統結構如圖1 所示。
3.1 網絡教學模塊
網絡教學模塊包括信息公告、課程學習、作業習題、課后交流等部分。
信息公告是教師發布課程信息、學生獲取課程信息的便捷通道,該部分用于及時向學生傳遞課程信息,如交作業的時間、考試的時間和地點、課程安排的調整等信息。
課程學習是網絡教學模塊的主題,是師生教學的直接表現方式。通過多種教學資源構建起形式多樣的學習方式,提高師生的教學質量。
作業習題是對課程學習的復習和鞏固,具體內容根據課程的不同而有所不同。在構建習題庫時可采用層層遞進的啟發式設計,便于引導學生自主學習。
課后交流是師生及時進行信息交流的重要環節,通過系統提供的交流平臺,可幫助教師和學生進行有效的信息溝通,如教師對學生的學習建議,學生對教學環節的想法等,直接促進教師教學質量和學生學習效果的提升。
3.2 網絡資源模塊
在網絡資源模塊中,多媒體素材按其類型進行組織,主要包括視頻、音頻、文本、圖形等,在此基礎上構建習題庫、課件庫以及其他教學資源,網絡資源庫是基于習題庫、課件庫和其他教學資源的教學資源集合,并直接面向師生的教學活動。網絡資源庫是開放的,并可根據需要再建立其他子庫。
習題庫是學生進行課程復習和鞏固的主要平臺,在習題庫中可按照知識點的難易程度、類型等方式進行分類、排序,以便學生有針對性的復習和鞏固。
課件庫專門用于存放課程資源,學生可方便地進行下載學習,同時也有利于教學資源的共享,避免教師對相似或相通資源的重復建設。
其他是對習題庫、課件庫的補充,用以拓展學生的知識面,有利于他們深入學習。
3.3 網絡管理模塊
網絡管理模塊,包括了系統管理、教學管理和資源管理等三個部分。系統管理負責整個教學網絡互動系統的性能管理、安全管理等;教學管理主要包括學生信息管理、學習管理等,是對網絡教學模塊的管理;資源管理主要包括多媒體素材管理、課件庫管理、習題庫管理以及其他教學資源的管理,同時負責對教學資源的收集、分類和整理,是對網絡資源模塊的管理。其中,系統管理主要由管理員負責完成,資源管理主要由教師和學生負責完成,而教學管理由管理員和教師共
同負責完成。
結束語
當前,很多高校的校園網網絡基礎設施已經建成,并實現了校園網與中國教育科研網的高速聯網。隨著社會的不斷發展,教學模式必須有重大變革,才能滿足社會對人才的需求。而教學網絡互動系統充分實現了以學生為主體、教師為主導的現代教學思想,改變了傳統的教學模式,有利于培養符合21世紀要求的新型人才,因此,教學網絡互動系統必將成為今后教學的一種主要方式!
參考文獻:
[1]周長安.網絡信息資源系統在教學中的應用.現代情報,2006,7.[2]黃艷娟,陶國芳.對校園網絡教學系統的設計構想.杭州醫學高等專科學校學報,2004,6.[3]黃軍勤,張燁,崔杜武.大學英語網絡教學系統的設計與開發.
第二篇:關于建構主義學習理論與網絡教學系統論文
論文摘要:在計算機技術、網絡技術和多媒體技術飛速發展的背景下,分析了國內外網絡教學系統的現狀,結合認知科學的建構主義學習理論,研究了自主學習、自適應學習與協作學習等三種教學模式,設計了基于建構主義學習理論的網絡教學系統模塊.
論文關鍵詞:網絡;建構主義;自適應;自主
隨著計算機網絡技術的發展,網絡教學系統也層出不窮.基于WWW模式的網絡教學以Internet網為橋梁,縮短了教師和學生在時間和空間上的距離,突破了傳統課堂上面對面教學方式的限制,將課程教學由教室、實驗室延伸到Internet網所覆蓋的任何一個場所的新型教學模式,被認為是遠程教學發展的革命性階段.網絡教學系統實現了學習的自主性,甚至可以控制學習的進程.基于網絡的異步課程傳輸方式可以讓學員和老師在不同的地點、不同的時間進行有效的交流.利用網絡教學系統進行學習是信息技術發展到一定程度的產物,是未來學習方式的趨勢,是社會進步的一個標志.建構主義學習理論作為一種新型的教學理念,為網絡教學的發展提供了堅實的基礎,為網絡教學的發展開拓了良好的前景.
1建構主義學習理論的理解
1.1建構主義學習理論的定義
建構主義的最早可追溯到皮亞杰(JeanPiagett1896—1980),一位著名的心理學家.他認為兒童是在與周圍的環境的相互作用的過程中,逐步建立起關于外部世界的知識,從而使學習者自身認知結構得到發展.這里強調知識不是完全通過教師傳授,而是學習者在一定情景下借助其他人利用自身原有認知結構中的有關經驗去同化和索引當前學習的新知識,從而賦予新知識以某種意義:學生是認識新事物,新知識的主體,要充分發揮他們的首創精神.將知識外化和實現自我反饋,同時也強調“協作學習”對意義建構的關鍵作用.
建構主義學習理論強調以學生為中心,學生是學習的主體,不再是外部刺激的被動接受者.教師轉變為學生主動建構意義的指導者、幫助者和促進者,它徹底摒棄了以教師為中心、學生處于知識的被動接受者的傳統教學模式,形成了以主動創造學習為核心的建構主義學習理論.
1.2傳統教學思想與建構主義學習理論的比較
傳統教學思想對知識態度是客觀主義的,這是傳統教學思想的一個基本前提,主張分析人類行為的關鍵是對外部事件的考察,認為世界是由客觀實體及其特征以及客觀事物之間的關系構成,教學目標就在于幫助學生習得這些事物及其特征,使外部客觀內化為其內在的認知結構.在教師的指導下,通過相同的信息加工活動,全體同學形成相同的認知結構.傳統的教學思想主張知識的還原主義,認為知識可以被“還原”(歸納)為一些簡單的單項知識,并由這些單項知識的組合獲得高層次的知識.建構主義學習理論對知識的態度是非客觀主義的,認為知識并不是對現實的準確表征,它只是一種解釋,一種假設,它并不是問題的最終答案.并且知識并不能精確地概括世界的法則,在具體問題中需要針對具體情境進行再創造.學生以自己已有的經驗為背景,通過自己的方式理解知識.不同的人看到的是事物的不同方面,就算是對同一方面的知識所理解的深度和廣度也不同,而且教科書也只是編者所理解的知識的一種解釋和假設.因此,知識不能灌輸、強加,要靠學生以自己的經驗、信念對新知識分析、檢驗和批判.
2網絡教學系統的發展現狀
近幾年,國內外的現代遠程教學平臺不斷地涌現,從傳統的黑板、投影儀等常規模式的媒體手段,發展到建立在計算機和數字化信息技術基礎上的多媒體教育手段,使教師的授課方式和學生的學習方式發生了質的飛躍.
2.1國內網絡教學系統概況
網絡課件的應用方面.學生通過網上課件進行學習,學習過程中遇到問題通過電子郵件或在線交談的方式獲得老師和同學的幫助;教學行政管理部門把學生的信息存儲在服務器中,學生通過客戶端進行信息的獲取、身份的驗證等;學生通過系統進行網上選課、網上等級考試報名、成績查詢等;網絡資料庫方面.網上存放著各類電子雜志和電子報紙以及其他相關的學習資源,提供各高校圖書館的圖書目錄以及網址等;網絡交流方面.作為一個虛擬論壇,為教師與學生、學生與學生之間進行交流提供一個平臺,學生可以在線和老師自由地討論.
2.2國外網絡教學系統特點
國外網上教學系統,尤其是美國、加拿大、英國、澳大利亞等國的網上教育已相當成熟,不僅在校內或校間進行教學,還可以擴展到國內或國外進行教學資源的共享,具體表現在以下幾個特點:
(1)良好的交互反饋機制.國外的遠程教育站點解決交互問題采用一對一的師生交流、固定的師生聯系、盡可能多的交互技術(電話、傳真、信件、Email、電子聊天室、雙路視頻等),定期的小組學習和會議討論,教師定期對教育站點的訪問,全天提供服務等.
(2)嚴格的質量保證機制.公開選聘教師、崗位責任制、嚴格的考試和考核與檢查、評估制度(教材、教學、考試、教師、科研)等保證了整個教學的質量.
(3)提供豐富的網絡資源.國外的遠程院校教育站點除了提供自己的學習資源外,還和專門的資源庫及其他網校建立廣泛的聯接.
(4)多網校的聯合機制.學校、各級教育部門、廣播和電視、公司、社會團體等各種組織建立聯合機制.
(5)良好的管理和運行機制.國外的網校一般都有很好的管理機制,教育機構、行政機構、公關部門、人力管理、市場運作等分工明確、各司其職,使網絡教學系統的各個環節、各個部門都高效運行,保證教學的效率和效果.
3以建構主義學習理論為基礎構建網絡教學模式
對國內外網絡教學系統的發展現狀分析,雖然功能越來越強,網絡管理越來越規范,但網絡教學形式還是主要以演示性或電子書為主,即直接顯現知識信息,將教師的講義、習題或將整本教科書的內容搬到網上.教學內容也是千篇一律地應用于所有學生,淹沒了學生的個性特點.目前雖也有一些帶有智能的教學系統,但智能性所占比例較小,而且一般也只是體現在判斷題、選擇題上.總體來說,現有的網絡教學在自主性、適應性、交互性等方面還存在著不足.
鑒于以上情況,本文基于建構主義學習理論,提出了三種網絡教學模式:
(1)自主學習模式.為滿足學習者的知識需求,適應學習者的能力,將學習內容按知識為單位進行分布.以章、節為框架搭建平臺,以知識點為核心構建學習模塊,而各個知識點間根據知識的銜接性建立關系,使其成為互為聯系的有機整體.學習者在學習時根據自身的情況在知識點之間進行取舍,有選擇性學習,給學習者以足夠的自主性,體現出了本系統“以學為中心”的特點.
(2)自適應學習模式.學習者在學習新課程時一般都是循序漸進地進行,對知識點把握度不夠,側重點也難以掌握.針對這些問題,系統可以首先自動記錄學習者初次學習課程的情況,然后在學習者進行測試時,系統可以自動提取出錯題所對應的知識點,最后根據學習情況與自測數據自動生成供學習者參考的指導性學習計劃.自適應學習滿足學習者的個性化學習,充分體現了智能性.
(3)協作學習模式傳統的學習模式建立在個人學習基礎之上,學習者之間缺乏交流、溝通與互動,無法達到取人之長、補己之短、共同進步的目的.針對這些問題,可以緊緊圍繞課程主題建立公共討論區與小組討論區,為學習者提供交流、討論的平臺,使學習者之間、學習者與知識傳授者之間實現知識互補,知識資源共享.
4基于建構主義學習理論的網絡教學系統的設計
本系統主要有三大模塊組成:教學模塊、答疑模塊、測評與評價模塊.
4.1教學模塊設計
4.1.1自主學習功能模塊設計傳統的教學模式是以教為中心,課程知識的組織完全按照章、節為單位循序漸近地展開,知識點問缺乏靈活地銜接.為充分體現學習者的自主性,適合各類學習者群體,系統將從以下幾方面進行自主學習功能模塊的設計:
(1)知識點的提煉:首先將課程內容科學地劃分為若干個知識點,并建立知識點庫,再將知識點與所對應的知識內容建成圖文并茂的網頁.
(2)知識點關聯性:對初學者來說,很難把握知識的重點與難點,因此必須確定知識的重點以及知識點間的相關性,在相關知識點間建立鏈接或者索引,使其成為互為聯系的有機整體,以便學習者可以根據自己的學習情況進行跳躍式學習.
(3)課程學習模塊:在提煉出課程的知識點并確立知識點的關聯性后,通過知識點單個錄入或者按標準格式批量導入至知識點庫,系統自動提取課程的各個知識點形成課程學習模塊呈現在學習者面前.此學習模塊對課程設計者要求較高,只有熟練掌握課程知識,并在該知識領域具有一定造詣的學者才能準確地提煉出課程知識點,恰當地確立各知識點間的關聯性.
4.1.2自適應學習模塊設計為滿足各類學習者學習需求,系統可以根據初次學習情況與自測數據自動生成指導性學習計劃,以便于有目的性地進一步展開學習.系統設計如下:
(1)學習者在學習課程之后,系統自動記錄下學習軌跡,對于未展開學習的知識點加以標識.
(2)學習者進行在線測試后,系統除了對所測結果進行評分外,還對所有測試題逐一判斷,出錯題相對應的知識點作為未掌握知識點,對該知識點的前敘知識繼續判斷,直到前敘知識為空或者前敘知識點所對應測試題正確為止.算法流程如圖1所示.
(3)系統將提取學習過程中未展開學習的知識點與測試過程中出錯題相對應的知識點,根據這些知識點自動形成供學習者進一步學習的指導性學習計劃.此學習模式具有很強的針對性,對于不同的學習者將生成不同的指導性學習計劃.
4.1.3協作學習模塊設計為學習者提供一個學習交流的環境,系統設計了兩種協作討論學習的方式:公共討論區、小組討論區.公共討論區與一般學術論壇相似,系統提供老師與學習者共同討論與學習的留言區.小組討論區是按主題進行分塊,系統提供學習者分組功能,發起討論的主題區,供討論的交流區.老師可以根據課程內容提出討論的主題,對學習者進行分組.學習者根據分組情況并進入相關主題進行討論交流,小組內可設組長,由組長對區內討論情況進行組織或管理.
4.2答疑模塊
學習者在學習過程中將會遇到困難,需要提出問題并得到解決.系統根據實際需求設計了兩種答疑方式:人工答疑與自動答疑.人工答疑是一種支持離線交流的互動平臺,學習者可在此平臺上提出學習過程中遇到的問題,老師若在線,可以即時與學習者交流答疑,若不在線,可以在老師登錄時根據提出的問題給出答案.
自動答疑是一個自適應的知識庫系統.系統設計了常見的疑難問題知識庫,當學習者提問后,系統會根據所提的問題到疑難問題知識庫中進行智能搜索(主要采用的技術有中文詞語的切分、全文檢索、語義網絡匹配、關鍵詞索引等),按照檢索內容相關程度的高低,將對該問題的解答呈現給學習者.
4.3測試與評價模塊
4.3.1測試模塊為了解學習者對課程知識的掌握情況,同時為自適應模塊提供測試數據依據,系統提供了測試功能.首先建立試題庫,然后可由人工組卷或者系統自動生成試卷.人工組卷可以在老師掌握了學習者的學習情況后進行人工選擇試題生成試卷,這種方式具有針對性,考試結果更能反應學習者的學習情況;而自動生成試卷是由系統根據學習者選擇的題型、題數等參數自動從試題庫中提取試題生成試卷,此種方式針對性較弱.
4.3.2評價模塊在測試完成后,必須對測試結果進行客觀、公正地評分,評價結果作為學習者學習情況改進提供參考,也為自適應生成指導性學習計劃提供數據保障,同時為教學管理部門進行教學改革提供決策依據.
5結語
基于構建主義學習理論網絡教學系統在一定程度上彌補了現有系統的一些不足,學習者具有較強的自主性,充分體現了“以學為中心”的教學理念,系統的自適應功能具有一定的智能性,體現了系統的個性化學習特征.
第三篇:網絡論文
網絡之“后”
----云計算
丁娟
(懷化學院計算機系2班 0906402024)
摘要:下一代互聯網關系到我們整個世界的發展,其實一直都想寫一篇關于云計算的論文了,這個名詞老是聽到,云計算概念是由Google提出的,這是一個美麗的網絡應用模式。
關鍵詞:下一代互聯網,云計算。
1、引言
狹義云計算是指IT基礎設施的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的資源;廣義云計算是指服務的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的服務。這種服務可以是IT和軟件、互聯網相關的,也可以是任意其他的服務,它具有超大規模、虛擬化、可靠安全等獨特功效;“云計算”圖書版本也很多,都從理論和實踐上介紹了云計算的特性與功用。
2、云計算為何是網絡之后
云計算可謂是明天互聯網上的網路明星了,說它是網絡之后當之無愧了,它聯系著下一代的互聯網,互聯網飛速發展的熱潮沖擊著整個世界,最簡單的云計算技術在網絡服務中已經隨處可見,例如搜尋引擎、網絡信箱等,使用者只要輸入簡單指令即能得到大量信息。未來如手機、GPS等行動裝置都可以透過云計算技術,發展出更多的應用服務。進一步的云計算不僅只做資料搜尋、分析的功能,未來如分析DNA結構、基因圖定序、解析癌癥細胞等,都可以透過這項技術輕易達成。
3、互聯網的現狀
互聯網是人類智慧的結晶,標志著當代先進生產力的發展,中國政府大力倡導和積極推動互聯網在中國的發展和廣泛應用。隨著互聯網在中國的快速發展與普及,人們的生產、工作、學習和生活方式已經開始并將繼續發生深刻的變化。目前中國已成為世界上互聯網使用人口最多的國家,中國投入大量資金建設互聯網基礎設施。中國政府積極推動下一代互聯網研發。20世紀90年代后期,中國開始下一代互聯網的研發,實施“新一代高可信網絡”等一系列科技重大項目。2001年,中國第一個下一代互聯網地區試驗網(NFCNET)在北京建成。2003年,“中國下一代互聯網示范工程”(CNGI)正式啟動,標志著中國進入下一代互聯網的大規模研發和建設階段,現已建成世界上最大的IPv6示范網絡,試驗網所用的中小容量IPv6路由器技術、真實IPv6源地址認證技術和下一代互聯網過渡技術等處于國際先進水平。中國提出的有關域名國際化、IPv6源地址認證、IPv4-IPv6過渡技術等技術方案,獲得互聯網工程任務組(IETF)的認可,成為互聯網國際標準、協議的組成部分,中國互聯網發展、普及和應用存在區域和城鄉發展不平衡問題。受經濟發展、教育和社會整體信息化水
平等因素的制約,中國互聯網呈現東部發展快、西部發展慢,城市普及率高、鄉村普及率低的特點。正是這樣的互聯網現狀使得云計算的出現。
4、現代互聯網的現狀推動云計算的發展
為了更好的管理好互聯網,人們會依此實現虛擬化并重造互聯網應用,創造出基于服務的業務模式。云計算其實是一種新型的計算模式,能夠把 互聯網資源、數據、應用作為服務通過互聯網提供給用戶;同時,云計算也是一種新的基礎架構管理方法,能夠把大量的、高度虛擬化的資源管理起來,組成一個龐大的資源池,統一提供服務。對于各行業的企業管理而言,云計算意味著互聯網與業務相結合而引發的突破式創新——它能將 互聯網 轉化成生產力,推動商業模式的創新,從而引領企業開拓出一片經營藍海;在不斷增加的復雜系統和網絡應用、以及企業日益講求互聯網 投資回報率和社會責任的新競爭環境下,在不斷變化的商業環境和調整的產業鏈中,云計算能夠為企業發展帶來巨大的商機和競爭優勢。
5、云計算的發展趨勢
云計算是數據中心基礎架構的遷移典范,它的時代已來臨。云計算能夠把各種業務相關的上下游企業及顧客整合到一個基于云的統一應用、信息共享的虛擬化商業平臺上,甚至實現跨行業的信息整合,從而實現外部經營模式的創新、協同業務伙伴共同創造競爭藍海。例如,把銀行、賣場、分銷商以及生產廠商的 ERP 系統整合在云平臺上,以短期信貸的方式提前實現賣場/網店與分銷商/廠商/消費者之間的實時結算,大大縮短分銷商和廠商的資金占用和周轉周期,同時銀行也得到了相應的收益;另外,整合電子商務網站的信用評估系統及銀行特有的信用評級體系,可以加快拓展小額信貸業務。據預測 2011年我國網上銀行交易額將超過 1100萬億元,到 2015年網上銀行交易額將達到 3500萬億元左右,這種支撐跨行業運營的金融服務云平臺將蘊藏著巨大的利益。更多安全解決方案的推出,顯現了云計算模式自身安全有很多需要解決的地方之外,而作為企業級用戶在接受云計算服務的過程中,安全也是最為優先考慮的要素之一,在安全得不到有效解決之前,云計算的應用推廣也將是一個愿景而已。通過安全解決方案提供商近期推出的一系列安全解決方案來看,云計算的安全焦點已經從合規性、電子證據、風險管控這些較為務虛的領域,隨著實際應用的延伸拓展到了具體的安全解決方案領域。
6、云計算的應用
云計算是關于建立數據中心的計算,其數據中心允許供應商創建可擴展的網站和服務,云計算的性質和靈活性也就顯而易見了。云計算需要終端的大馬力來進行數據處理,又需要運轉那些和人們產生交互作用的可擴展性網站。云計算其基本思想是通過云提供的服務簽訂合同,用戶便能對硬件或軟件以最小的投資完成計算任務。這句話在有意傳達一個模糊的信息即用戶并不在意任務完成的地點和方式,用戶所關心的時正確的結果。當他們偶爾遇到大型的高峰負荷時,只有在需要時才會使用服務,并為服務付款。云計算使得科學計算領域的高性能發展,提供給用戶的是計算能力、存儲能力、網絡和其他基本的資源租用,用戶能夠部署和運行任意軟件,包括操作系統和應用程序。用戶不用管理或控制底層的云計算基本設施,但能控制操作系統、存儲、部署的應用。也可以選擇網絡組建(例如防火墻,負荷均衡)。
7、云計算的不足目前、云計算的分工還不過細致、廠商合作也還不夠廣泛,因此需要如何完善服務、擴大合作領域,同時加強監管,重視安全性的問題,通過互聯網的運營模式,為用戶提供高質量、有保障的云計算服務。隨著云計算的不斷發展,安全性問題成為企業高端、金融機構和政府IT部門的核心和關鍵性任務,云計算服務提供商需在信息安全方面增加投入,保證用戶商業信息。同時,云服務提供商業和用戶也需要明確保密責任,完善細化賠償條款,避免分歧。為了以后互聯網的發展應該做到以下幾點:
7.1、應該建立云計算技術聯盟。目前國內從事云計算的技術研究機構、學和研究機構發展很快。但多是各自做各自的,相互之間缺乏開放的標準,無法在技術、數據和服務上達到互聯互通、相互協調并形成合力,作為未來技術的戰略性法杖趨勢,我們應該從國家的層面,有效的促進和推動我國云計算的發展,提供相應的云計算技術聯盟,集中各方面的技術力量和資源,形成合力,加大云計算技術的研發,推動開源技術和開放標準,推動相關技術和服務的互聯互通。
7.2、發展開源云計算技術,提升服務能力。從國際趨勢來看,數據中心將成為云計算只要運營機構,目前國內的業務發展還不完善,產品和服務質量同質化嚴重,能源利用率低,運營成本過高,此外,隨著網絡游戲,web網絡的迅速發展,企業對服務的需求越來越大了,對數據中心資源和服務水平的要求更高,另外,統一平臺管理還有利于雨霧的擴展,能更大的加入到云計算的管理平臺上,進行統一的管理和部署。
7.3、發展云安全,創造安全的互聯網環境。云安全是未來互聯網安全的一種發展趨勢,也是云計算模式中一種比較活躍的領域。網絡木馬的數量的增長,使得傳統的代碼技術面臨嚴峻的挑戰。傳統的互聯網安全技術需要用戶對其升級病毒木馬,并將其保存在自己的計算機上,需要消耗一定的互聯網帶寬和系統資源。而通過云安全平臺將為用戶和安全廠商通過互聯網緊密相連,組成一個龐大的木馬軟件檢測和查殺網絡,每個用戶都為“云安全”疾患貢獻一份力量,同時分享其他所以用戶的安全成果。
8、結論
最后希望云計算成為明日互聯網上那顆璀璨的星星,永久的發光發亮。互聯網的明天將會更加的精彩
參考文獻
[1] 謝希仁.計算機網絡教程[M].第二版,北京:人民郵電出版社,2006:191—197。
[2]百度文庫,關于下一代互聯網的未來和云計算。
第四篇:網絡論文
論計算機網絡的安全性設計
摘要
我在一家證券公司信息技術部分工作,我公司在9798年建成了與各公司總部及營業網點的企業網絡,并已先后在企業網絡上建設了交易系統、辦公系統,并開通了互聯網應用。因將對安全要求不同、安全可信度不同的各種應用運行在同一網絡上,給黑客的攻擊、病毒的蔓延打開了方便之門,給我公司的網絡安全造成了很大的威脅。作為信息技術中心部門經理及項目負責人,我在資金投入不足的前提下,充分利用現有條件及成熟技術,對公司網絡進行了全面細致的規劃,使改造后的網絡安全級別大大提高。本文將介紹我在網絡安全性和保密性方面采取的一此方法和策略,主要包括網絡安全隔離、網絡邊界安全控制、交叉病毒防治、集中網絡安全管理等,同時分析了因投入資金有限,我公司網絡目前仍存在的一些問題或不足,并提出了一些改進辦法。正文
我在一家證券公司工作,公司在98年就建成了與各公司總部及營業網點的企業網絡,隨著公司業務的不斷拓展,公司先后建設了集中報盤系統、網上交易系統、OA、財務系統、總部監控系統等等,為了保證各業務正常開展,特別是為了確保證券交易業務的實時高效,公司已于2002年已經將中心至各營業部的通訊鏈路由初建時的主鏈路64K的DDN作為備鏈路33.3KPSTN,擴建成主鏈路2M光纜作為主鏈路和256K的DDN作為備鏈路,實現了通訊線路及關鍵網絡設備的冗余,較好地保證了公司業務的需要。并且隨著網上交易系統的建設和網上辦公的需要,公司企業網與互聯網之間建起了橋梁。改造前,應用系統在用戶認證及加密傳輸方面采取了相應措施。如集中交易在進行身份確認后信息采用了Blowfish 128位加密技術,網上交易運用了對稱加密和非對稱加密相結合的方法進行身從好為人師證和數據傳輸加密,但公司辦公系統、交易系統、互聯網應用之間沒有進行安全隔離,只在互聯網入口安裝軟件防火墻,給黑客的攻擊、病毒的蔓延打開了方便之門。
作為公司信息技術中心運保部經理,系統安全一直是困擾著我的話題,特別是隨著公司集中報盤系統、網上交易系統的建設,以及風外辦公需要,網絡安全系統的建設更顯得猶為迫切。但公司考慮到目前證券市場疲軟,競爭十分激烈,公司暫時不打算投入較大資金來建設安全系統。作為部門經理及項目負責人,我在投入較少資金的前提下,在公司可以容忍的風險級別和可以接受的成本之間作為取舍,充分利用現有的條件及成熟的技術,對公司網絡進行了全面細致的規劃,并且最大限度地發揮管理功效,盡可能全方位地提高公司網絡安全水平。在網絡安全性和保密性方面,我采用了以下技術和策略:1.將企業網劃分成交易網、辦公網、互聯網應用網,進行網絡隔離。2.在網絡邊界采取防火墻、存取控制、并口隔離等技術進行安全控制。3.運用多版本的防病毒軟件對系統交叉殺毒。4.制定公司網絡安全管理辦法,進行網絡安全集中管理。
一.網絡安全隔離
為了達到網絡互相不受影響,最好的辦法是將網絡進行隔離,網絡隔離分為物理隔離 邏輯隔離,我主要是從系統的重要程度即安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問或有控制的進行訪問。針對我公司的網絡系統的應用特點把公司證券交易系統、業務公司系統之間進行邏輯分離,劃分成交易子網和辦公子網,將互聯網應用與公司企業網之間進行物理隔離,形成獨立的互聯網應用子網。公司中心與各營業部之間建有兩套網絡,中心路由器是兩臺CISCO7206,營業部是兩臺CISCO2612,一條通訊鏈路是聯通2M光纜,一條是電信256K DDN,改造前兩套鏈路一主一備,為了充分利用網絡資源實現兩條鏈路的均衡負載和線路故障的無縫切換,子網的的劃分采用VLAN技術,并將中心端和營業商的路由器分別采用兩組虛擬地址的HSRP技術,一組地址對應交易子網,一組地址對應辦公網絡,形成兩個邏輯上獨立的網絡。改造后原來一機兩用(需要同時訪問兩個網絡信息)的工作站采用雙硬盤網絡隔離卡的方法,在確保隔離的前提下實現雙網數據安全交換。
一、網絡邊界安全控制
網絡安全的需求一方面要保護網絡不受破壞,另一方面要確保網絡服務的可用性。將網絡進行隔離后,為了能夠滿足網絡內的授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間采取了不同的存取策略。
(1)互聯網與交易子網之間:為了保證網上交易業務的順利進行,互聯網與交易子網之間建有通訊鏈路,為了保證交易網不受互聯網影響,在互聯網與事心的專線之間安裝了NETSCREEN委托防火墻,并進行了以下控制:a)只允許股民訪問網上交易相應地址的相應端口。B)只允許信息技術中心的維護地址PING、TELNET委托機和路由器。C)只允許行情發送機向行情主站上傳行情的端口。D)其它服務及端口全部禁止。并且在互聯網和交易網之間還采用了SSL并口隔離,進一步保證了交易網的安全。
(2)辦公子網與互聯網之間:采用東大NETEYE硬件防火墻,并進行了以下控制:a)允許中心上網的地址訪問互聯網的任何地址和任何端口。B)允許股民訪問網上交易備份地址8002端口。C)允許短信息訪問公司郵件110、25端口,訪問電信SP的8001端口。D)其它的都禁止。
三、病毒防治
網絡病毒往往令人防不勝防,盡管對網絡進行網絡隔離,但網絡資源互防以及人為原因,病毒防治依然不可掉以輕心。因此,采用適當的措施防治病毒,是進一步提高網絡安全的重要手段。我分別在不同子網上部署了能夠統一分發、集中管理的熊貓衛士網絡病毒軟件,同時購置單機版kv3000和瑞星防病毒軟件進行交叉殺毒;限制共享目錄及讀寫權限的使用;限制網上軟件的下載和禁用盜版軟件;軟盤數據和郵件先查毒后使用等等。
四.集中網絡安全管理
網絡安全的保障不能僅僅依靠安全設備,更重要的是要制定一個全方位的安全策略,在 全網范圍內實現統一集中的安全管理。在網絡安全改造完成后,我制訂了公司網絡安全管理辦法,主要措施如下:1)多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核。2)任期有限原則,技術人員不定期地輪崗。3)職責分離原則,非本崗人員不得掌握用戶、密碼等關鍵信息。4)營業進行網絡改造方案必須經過中心網絡安全小組審批后方可實施。5)跨網互防須綁定IP及MAC地址,增加互防機器時須經過中心批準并進行存取控制設置后方可運行。6)及時升級系統軟件補丁,關閉不用的服務和端口等等。
保障網絡安全性與網絡服務效率永遠是一對矛盾。在計算機應用日益廣泛的今天,要想網絡系統安全可靠,勢必會增加許多控制措施和安全設備,從而會或多或少的影響使用效率和使用方便性。如,我在互聯網和交易網之間設置了防火墻的前提下再進行了SSL并口隔離后,網上交易股民訪問交易網的并發人數達到一定量時就會出現延時現象,為了保證股民交易及時快捷,我只好采用增加通訊機的辦法來消除交易延時問題。
在進行網絡改造后,我公司的網絡安全級別大大提高。但我知道安全永遠只是一個相對概念,隨著計算機技術不斷進步,有關網絡安全的討論也將是一個無休無止的話題。審視改造后的網絡系統,我認為盡管我們在internet的入口處部署了防火墻,有效阻檔了來自外部的攻擊,并且將網絡分成三個子網減少了各系統之間的影響,但在公司內部的防問控制以及入侵檢測等方面仍顯不足,如果將來公司投資允許,我將在以下幾方面加強:
1. 在中心與營業部之間建立防火墻,通過訪問控制防止通過內網的非法入侵。
2. 中心與營業部之間的通訊,采用通過IP層加密構建證券公司虛擬專用網(VPN),保 證證券公司總部與各營業部之間信息傳輸的機密性。
3.建立由入侵監測系統、網絡掃描系統、系統掃描系統、信息審計系統、集中身份識別系統等構成的安全控制中心,作為公司網絡監控預警系統。
論計算機網絡的安全性設計 摘要
在計算機與網絡技術飛速發展的今天,醫院信息系統的建設已經成為醫院現代化管理的重要標志,同時也是醫院管理水平的一種體現。尤其是醫療保險制度的改革,與醫院信息系統形成了相互促進的態勢,我國很多醫院都建立了自己的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很高的要求。本文通過一個醫院信息系統項目,闡述了醫院計算機網絡的安全性設計方面的一些具體措施,并就保障網絡的安全性與提高網絡服務效率之間的關系,談了自己的一點體會。正文
我于2001年4月至2003年10月參加了某醫院的醫院信息系統的建設工作,在項目中,我擔任了系統分析與系統設計工作。醫院信息系統是指利用計算機軟硬件技術、網絡通訊技術等現代化手段,對醫院及其屬各部門對人流、物流、財流進行綜合管理,對在醫療活動各階段產生的數據進行采集、存貯、處理、提取、傳輸、匯總、加工生成各種信息,從而為醫院的整體運行提供全面的、自動化的管理及各種服務的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很好的要求,在該項目的系統設計階段,我們就將網絡系統的安全性作為一個重要的部分考慮在內。由于該信息系統是建立在一個物理上與公眾網完全隔離的局域網基礎上的,所以我們并沒有過多地考慮防御來自外部入侵者的威脅方面的安全問題,我們認為該系統的安全核心—是保證信息系統的正常運行,二是保證數據的安全,也就是說該醫院網絡信息系統的安全可以分為信息系統安全和數據安全。下面就我們在這兩方面所采取的措施加以論述。信息系統安全
信息系統安全涉及網絡安全、服務器組的安全、供電安全、病毒防范等。
1.網絡安全
對于醫院的業務局域網,威脅網絡安全的主要因素有:網絡設計缺陷、網絡設備損壞、非法訪問等。經過充分調研,認真分析,結合該醫院的實際情況,我們設計了一個主干為三層路由千兆交換以太網的網絡方案。
我們采用具有三層路由功能的兩臺核心交換機NORTEL PASSORT 8600、兩臺具有三層路由功能的NORTEL ACCLAR 1150交換機和千兆級光纖組成網絡主干,邊沿交換機為BAYSTACK450。本方案我們采用SMLT(Split Multi-Link Trunking)+VRRP(Virtual Router Redundancy Protocol)技術。NORTEL公司MLT(Multi-Link Trunking)是一種允許多條物理鏈路模擬成一條邏輯鏈路的取合鏈路虛擬為一條邏輯上的傳輸線路進行數據傳輸,進而可以成倍地提高兩個交換機之間(或交換機與服務器之間)的數據傳輸帶寬,同時提供了傳輸鏈路的冗余備份。當構成虛擬傳輸鏈路的幾條物理鏈路有一條由于端口或傳輸介質本身失效時,不會影響數據的正常傳輸,所受到的影響僅僅是虛擬鏈路的傳輸帶寬。SMLT,分離的多鏈路取作主干,同MLT相比,SMLT在構成上,不再是兩個交換機之間。SMLT的一端是一個支持MLT的交換機,而另一端則是由兩個交換機通過IST(Inter Switch Trunk,是連接兩臺聚合交換機以實現信息共享,使兩臺聚合交換機能作為一臺邏輯交換機運轉的點對點鏈路)形成的一個邏輯上的交換機。MLT交換機會別與這兩上SMLT交換機連接,因此,SMLT在增加帶寬的同時,可以提供最高級別的可靠性—交換機級別的可靠性。兩個SMLT交換機不論是端口失效還是端口模板失效,甚至是交換機失效都不會影響數據的正常傳輸,避免了單點失效對網絡正常連通帶來的影響。同時,傳輸負載由兩個交換機來均衡完成,可以大幅度提高網絡主干的傳輸性能。SMLT體系結構由SMLT Aggregation Switch、IST(Inter Switch Trunk)和SMLT Client構成,其結構圖如下:
在沒有使用SMLT的情況下啟動虛擬路由冗余協議(VRRP),通常只有主交換機進行數據包的轉發,如果主交換機出了故障,備用交換機什么樣自動頂替主交換機,完成數據包的轉發工具;使用SMLT,使得VRRP的性能得到擴展,除了主交換機進行數據包的轉發外,備用交換機也進行數據包的轉發,主交換機和備用交換機互為備份并互相偵聽,這樣即可以實現流量的負載均衡,也可以實現故障恢復,避免單點失效。為了避免邊沿交換機出現單點換效,我們采用了堆疊技術,把若干臺BAYSTACK450用堆疊電纜堆疊起來,在堆疊的某些交換機上加裝光纖模塊,由這些光纖端口捆綁成一條邏輯鏈路上聯到網絡主干,這樣就算堆疊的某些交換機上損壞了,整個堆疊還可以正常工作。特別地,門診收款處和門診藥房是醫院的窗口單位,為了避免由于門診樓交換機堆疊中的某臺交換機出現了故障而導致門診收款系統和門診發藥系統癱瘓,我們把門診收款工作站和門診發藥站發散地接到堆疊中的七臺交換機。
在防止非法訪問方面,我們采用了密碼管理、權限設置、虛擬子網(VLAN)的劃分等措施。
2.服務器組的安全
服務器是全院計算機網絡的大腦和神經中樞,保證服務器可靠長期有效的運行是網絡信息系統安全的一個特別重要的問題。
由于本方案中的應用程序是采用安全性較高的三層體系統結構,所以服務器組包括域控制器、應用服務器和數據庫服務器。
域控制我們采用了兩臺穩定性較好的IBM xserials 230服務器,一臺做主域控制器,另一臺做備份域控制器,這樣即可以實現登陸驗證的負載均衡,又可以避免域控制器的單點失效問題。
應用服務器部分我們采用了六臺HP 380G3服務器和一臺F5 BIG-IP5000控制器。BIG-IP控制器是針對企業本網站或數據中心的一種產品。它能夠提供高可用性和智能負載平衡功能。六臺HP380G3服務器可以通過F5 BIG-IP5000控制器連接到核心交換機PASSPORT 8600,F5 BIG-IP5000控制器可以持續監視六臺HP 380G3服務器,以確保服務器運行正常,然后再自動將輸入的服務請求路由到六臺中可用性最高的服務器。這樣接,只要有一臺HP380G3服務器不出現故障,中間層應用程序便可以正常運行。這樣設計即可以實現中間層應用程序的負載均衡,同時在F5 BIG-IP5000控制器不出現故障的前提下,又避免了應用服務器的單點失效問題。
數據庫服務器部分我們采用了一臺穩定性較高、存儲性能較好的HP DL760 G2服務器、一臺HP DL580 G2服務器和一臺HP MSA1000光纖磁盤陣列柜。兩臺服務器分別通過光纖通道連接到磁盤陣列柜,組成存儲局域網(SAN)。本方案采用了微軟的群集技術,實現了Active/Passive雙機熱備份模式,HP DL760 G2做主數據庫服務器,HP DL580 G2做備份數據庫服務器,在主服務器發生故障的情況下,備份服務器將自動在30秒內將所有服務接管過來,從而保證了數據庫服務器的正常運行。在磁盤陣列柜,我們安裝了5塊146G的scsi服務器硬盤,其中4塊硬盤做RAID5,一塊硬盤做Hot spare,這樣可以保證陣列柜在兩塊硬盤發生故障時,系統還可以正常運行。
3.供電安全
由于醫院許多大型診療議器設備啟動時有瞬間高壓、高磁場等,會對計算機產生影響因此我們要求院方做到中心機房的電源專線專供,同時采用功率足夠大的ups.4.病毒防范
我們通過設置VLAN和要求院方安裝網絡版殺毒軟件來防范病毒。數據安全
我們采用數據備份來保證數據安全。
本方案我們采用冗余備份策略。1.利用Vertias Backup Exec 9.1軟件將數據備份到磁帶庫中。Veritas Backup Exec能為跨網絡的服務器和工作站提供快速可靠的備份和恢復能力。我們利用Veritas Backup Exec的作業管理功能設置備份定時任務,每天進行一次數據庫數據完全備份,每三個月進行一次系統的災難備份。災難備份能在數據庫服務器崩潰時,避免重裝系統,利用最新的數據備份使系統盡快憂愁到運行狀態。2.利用MS SQL SERVER 2000自身的備份功能,每天定時自動地進行一次數據完全備份,備份數據存放到另一臺數據備份服務器HP ML570中,同時在HP ML570中設置一定時任務,對每天的備份數據進行一次完整性檢查,這樣可以保證備份數據是完整、可用的。
通過數據備份,能使醫院在破壞數據的災難事件中造成的損失降到最低。
計算機網絡安全是一個系統工程,除了采用保障網絡安全的技術外,還要加強安全教育和制度管理,因此我們強烈要求院方重視對各級計算機操作人員進行計算機網絡安全的教育,并制定較為完善的計算機網絡管理制度,如嚴禁非操作人員使用電腦;計算機中心指定專職系統管理員掌握服務器密碼,每次更新或升級計算機軟件必須有兩人同時在場,并做好記錄等。
在整個項目方案中,我們用于保障計算機網絡系統安全的措施主要是設備的冗余、鏈路的冗余。采用冗余的措施,除了可以避免單點失效問題,還可以增加網絡帶寬和實現業務流量的負載均衡。因此保障計算機網絡的安全性不僅可以保證網絡服務的持續不中斷,還可以更好地提高網絡服務效率。
在整個項目完成至今一年,從系統運行的情況來看,整個方案是合理的,高可靠性的,院方也感到滿意。當然,方案中也有不足的地方,如F5 BIG-IP5000控制器存在單點失效問題;隨著院方的網上掛號等業務的開展,本方案中沒有考慮到內網與公眾網相連的安全措施等。
長春經濟技術開發區的網絡安全建設
一、系統安全目標
保證電子政務內部網絡、外部網絡的信息傳輸、信息存儲是安全的、保密的,確保電子政務網絡系統安全、可靠、平穩地運行,我們要實現如下系統安全目標:
1.建成開發區完整的網絡安全體系,并建立一套可行的網絡安全與網絡管理策略; 2.采用防火墻系統對開發區電子政務內、外網絡進行安全訪問控制;
3.通過網絡監控系統,全面監視和跟蹤進、出網絡的所有訪問行為,發現不安全的操作和黑客攻擊行為,及時告警和拒絕;
4.建設網絡定期安全掃描系統,檢測網絡安全漏洞,及時了解和掌握計算機當前或近期使用情況,減少被黑客利用的不安全因素;
5.建立病毒防范體系,防止網絡系統被病毒的侵害;
6.通過 CA 認證和 PKI 數據加密技術進行用戶身份識別,為電子政務系統提供安全保障;
7.對內、外網絡的信息發布平臺 WEB 進行保護,防止網站網頁被非法人員篡改,為領導決策提供安全的文件傳輸服務;
8.利用安全評估系統進行系統審計、敏感信息檢查,確保電子政務信息的安全;
9.進行重要數據庫系統的冗余備份,以備不測或災難時快速恢復網絡系統。
二、實施方案
1、物理安全體系
物理安全是整個系統安全的前提,是保護設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞的過程。具體實施方案包括機房、通訊線路、物理隔離卡、設備和電源的安全措施。
(1)機房環境安全
接地系統:對政務中心所在的開發大廈內所有計算機和各種地線系統采用統一的防雷處理,即建筑物內共地系統,保證設備安全,并能防止電磁信息泄漏。
防雷措施:開發區在樓頂安裝了避雷設施,即在主機房外部安裝了接閃器、引下線和接地裝置,吸引雷電流,并為泄放提供了一條低阻值通道。機房內部采取屏蔽、合理布線、過電壓保護等技術措施,以此達到防雷的目的。另外,還采取相應的防盜、防靜電、防火、防水等措施。
(2)通信線路安全
主要是對電源線和信號線采取加裝性能良好的濾波器功能,減小阻抗和導線間的交叉耦合,阻止傳導發射。對機房水管、暖氣管、金屬門采用各種電磁屏蔽措施,阻止輻射發生。
3、物理隔離卡
物理隔離卡系統從安全的角度出發,提供了一種安全的用戶訪問機制,終端用戶可以在多網物理隔離的條件下安全自由地訪問其中任意一個網絡。為如何解決開發區管委會領導班子、機關處室、企事業、駐區單位等既要接入電子政務內網又要接入電子政務外網的實際需求提供了一套經濟、高效、安全的解決方案。根據開發區各部門接入的政務網絡類別和數量,選擇雙網線隔離卡來實現相關功能設計。
4.設備、電源安全
主要是加強對網絡系統硬件設備的使用管理,強調堅持做好硬件設備(如交換機、路由器、主機、顯示器等)的日常維護和保養工作,定期檢查供電系統的各種保護裝置及地線是否正常。電源系統電壓的波動、浪涌電流和突然斷電等意外情況的發生可能引起計算機系統存儲信息的丟失、存儲設備的損壞等情況的發生,必須依照國家的相關標準配備。
2、防火墻
將防火墻部署在路由器與受保護的內部網絡之間,作為數據包進/出的唯一通道。過濾進、出網絡的數據,管理進、出網絡的訪問行為,封堵某些禁止的業務,記錄通過防火墻的信息內容和活動,對網絡攻擊進行檢測和告警。同時,通過設置 DMZ(Demilitarized Zone)實現政府對外網站及信箱與外部暢通的訪問。它具體適用范圍包括:長春經濟技術開發區電子政務門戶網站的出入口處;長春經濟技術開發區管委會下屬各部門的電子政務辦公網與電子政務公共網的連接處;長春經濟技術開發區電子政務系統的資源中心、數據中心、管理中心、CA中心的邊緣。
在電子政務門戶網站的出、入口處,資源數據中心與電子政務連接處,各配置兩臺千兆防火墻,并對防火墻作雙機熱備、負載均衡。防火墻組位于電子政務網核心路由器和與 INTERNET 連接的前級路由器設備之間,該組防火墻一方面實現電子政務辦公網訪問門戶網站,另一方面實現 INTERNET 用戶訪問門戶網站,同時實現電子政務公眾服務網與電子政務辦公網的隔離。即 INTERNET 用戶可以通過防火墻訪問門戶網站,但是卻不能訪問電子政務辦公網。
同時考慮到穩定可靠性的問題,對防火墻作雙機熱備。確保當主防火墻被宕機后,能在最短時間內啟動從防火墻,不影響網絡的正常運轉和安全。為確保門戶網站的服務器群高效、穩定工作,應對服務器群實現負載均衡。負載均衡一般用于提高服務器的整體處理能力,并提高可靠性,可用性,可維護性,最終目的是加快服務器的響應速度,從而防火墻位于資源數據中心與核心交換機之間,實現電子政務外網與提供其辦公應用服務器區隔離。考慮到二者之間的服務量、訪問量很大,防火墻負擔過重,會出現瓶頸問題,因此,需要對防火墻作負載均衡,以此來增加網絡安全性,降低或消除瓶頸,增強防火墻甚至整個網絡的可用性。
電子政務網絡管理中心及數據容災備份中心分別配置一臺千兆防火墻設備,不使用雙機備份。綜上所述,我們在開發區電子政務門戶網站的出入口、電子政務對外應用服務處、資源數據中心、網絡管理中心處配置了高性能的千兆防火墻,并采用了負載均衡設備,實施相應的安全策略控制,保證網絡安全,提高整體功能。
3、IDS 針對長春經濟技術開發區電子政務系統,入侵檢測系統設置用于如下幾方面:政府門戶網站區域:由于電子政務網絡系統的涉密性,黑客會滲透到職能部門,內部人員也很容易通過網絡安全防護不嚴的特點使黑客直接攻擊系統漏洞、利用漏洞竊取信息、假冒身份、阻塞服務等。在政府門戶網站區域配備入侵檢測系統,將有效發現、抵御來自外部的惡意攻擊行為。內部辦公網絡各節點的網絡出入口:為對內部用戶的網絡行為進行審計時提供詳盡信息,識別內部用戶的非法操作,對內部用戶起到一定的約束作用,降低了內部攻擊的影響。內部辦公網關鍵區域:如內部主要服務器區域、網絡管理中心等。
內部辦公網關鍵區域,是內部網絡資源、管理的核心區域。在這些區域配備入侵檢測系統,將有利于進行網絡異常行為分析,為內部辦公網的正常運行和管理提供有力保障。入侵檢測設備是作為防火墻的合理補充,為每個監測區域根據實際安裝一臺符合相應帶寬需求的入侵檢測設備。通過交換機配置,選擇合適的入侵檢測點進行網絡信號的監測。
4、安全漏洞掃描系統
在網絡管理中心處配置一臺基于網絡掃描為主,同時輔以主機和數據庫掃描的綜合性漏洞掃描與評估系統,可掃描路由器、交換機、防火墻等網絡設備以及 Windows、Unix 和 Linux 操作系統、MS SQL Server 和Oracle 數據庫。
5、防病毒系統
采取統一集中管理和分級管理相結合,除了在政務中心安裝中央控管防毒軟件外,在各應用服務器及用戶端都要安裝相應的防毒軟件。電子政務網絡病毒防護是一個重要而復雜的任務,必須將技術、工具和管理三者結合才行。
6、頁面防篡改
頁面防篡改(InforGuard,簡稱 iGuard)系統用來保護開發區電子政務網站不發送被篡改的頁面內容,支持網頁的自動發布、篡改檢測、警告和自動恢復,保證傳輸、鑒別、審計等各個環節的安全。iGuard 使用先進和可靠的Web 服務器核心內嵌技術,在部分操作系統上輔助以事件觸發式技術,從而完全實時地杜絕篡改后的網頁被訪問的可能性。
Web服務器和內容管理系統(CMS)都沿用原來的機器,需在其間增加一臺發布服務器。iGuard自動同步機制完全與內容管理系統無關,與其協同工作,內容管理系統本身無須變動。
發布服務器上具有與Web服務器上的網站文件完全相同的結構,任何文件/目錄的變化都會自動映射到Web服務器的相應位置上。網頁的合法變更(包括增加、修改、刪除、重命名)都在發布服務器上進行,由自動發布子系統將其同步到Web服務器上。無論任何情況,不允許直接變更Web服務器上的頁面文件。
在開發區電子政務網絡中,Iguard 設計安裝在兩臺機器上:Web 服務器和發布服務器。發布服務器位于內網中,有著較高的安全防護級別,其上運行自動發布程序和管理子系統。Web 服務器位于 DMZ 中,容易受到篡改攻擊,其上運行防篡改模塊和同步服務器程序。
7、數據備份與容災方案的設計
根據開發區的網絡結構和應用系統的特點,我們從資源數據中心備份容災和門戶網站的備份與容災二方面目標,以及 RAID 保護、冗余結構、數據備份、故障預警等多方種方式來考慮,設計采用本地容災和異地容災兩套系統。
在數據中心采用磁盤陣列為主要設備,采用 SAN 方式進行本地數據存儲,支持 NAS 對遠程數據進行異地備份。對門戶網站的備份與容災體現在 Web 服務器和防火墻的冗余備份與流量負載均衡等方面。
三、應用及結果分析
分別采取物理安全、防火墻、入侵檢測、安全漏洞掃描、CA認證、病毒防范、網頁防篡改和數據備份與容災等八項措施進行系統安全保護和防范。每種防范措施都從不同的角度,針對不同層的結構,采取相應的應對設備和策略,來阻止來自黑客、網絡間諜、信息戰敵對分子和恐怖分子的違法犯罪行為。
開發區電子政務外網統一出口,這一措施已經最大限度地防止了網上泄密和入侵攻擊。防火墻、入侵檢測、漏洞掃描等設施有效地制止了黑客侵擾和對敏感信息破壞、修改或竊取。通過CA認證體系,控制了外部人員非法進入電子政務系統。病毒防治和網頁防篡改系統及時阻止惡意移動代碼等行徑的造訪,數據備份與容災系統為天災人禍作最后的保障。
本方案在實際應用過程中,已起到很好的安全防范效果,電子政務系統得以安全運作。實踐證明,使用更高、更強、更好的網絡安全工具和技術,配以更有效的安全管理機制,才會收到更好的安全效果。由于電子政務網絡的復雜性,必然導致電子政務網絡安全防護的復雜性。
“三分技術,七分管理”是對網絡安全狀況的客觀描述。任何網絡僅在技術上是做不到徹底的安全,還需要建立一套科學、嚴密的網絡安全管理體系,將工具、技術和管理三種手段結合起來,才能杜絕和防止因非法訪問或惡意攻擊而造成損失。
四、管理政策及目標
網絡安全管理目標是:采取集中控制、分級管理的模式,建立由專人負責安全事件定期報告和檢查制度,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
實踐證明,只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為電子政務網絡提供制度上的保證。
總之,本文對電子政務網絡信息安全的主要安全防范措施進行了深入細致地研究,確定了具有較高性價比和實用價值的相應的解決方案。
由于能力和精力有限,有一些防范措施研究的不夠透徹,也有一些電子政務的安全措施沒有探討和使用,如郵件安全、遠程訪問、敏感信息檢查等,有待在將來的工程設計中更周全地考慮和利用。
總之,電子政務外網是政府面向公眾和社會服務的重要窗口,要加強對電子政務外網的網絡安全建設和管理。對網絡的重要區域,要增設防火墻、入侵檢測關卡,或加大防火墻的火力。對重要部門實行特殊保護。同時,加強安全管理意識,健全制度和定期培訓。通過對電子政務網絡信息安全的安全防范措施和報告深入細致地研究,發現問題和漏洞,及時采取措施加以解決,使電子政務更有效地行使政府職能。
另外,在電子政務安全建設中,需要權衡安全、成本、效率三者的關系。實際上,絕對的安全是沒有的,電子政務系統也不是“越安全越好”。不同的電子政務系統,需要根據對信息安全的不同要求而配置安全方案和設施。一個門配幾把鎖取決于門內放的東西的重要程度,因為鎖越多,門的安全成本也就越高,而門的使用效率就越低。因此,必須根據電子政務系統的實際要求做到恰到好處。內外網的劃分
第五篇:網絡教學論文 計算機教育論文
網絡教學論文計算機教育論文
淺談網絡教學資源系統的開發與實現
[摘要]本文從信息安全的角度,對網絡教學資源系統進行了研究與分析。在當前形勢下,結合教育教學的迫切需要,以“用戶功能模塊”和“管理功能模塊”兩大模塊為主,針對開發和實現一個個性化的網絡教學資源系統進行了闡述。
[關鍵詞]計算機教育 網絡教育 ASP VBScript Dreamweaver
網絡教學資源主要以網上教學的方式,讓學生以自主學習的方式,給學生一個輕松的學習環境。采用數據庫與ASP編程結合的技術,實現用戶在線學習、留言交流等諸多功能,最終以實現既能使用戶學到知識的同時,又提高用戶對學習的興趣為目的。前臺作為與用戶直接交互的界面,在考慮功能的同時,也考慮了操作的簡潔和方便性,目的是讓大多數不懂電腦操作的客戶,也能輕松的享受網絡教育帶來的便利。后臺主要是對相應的系統進行維護,網站系統的動態頁面和數據庫的連接等都需要后臺的程序去管理和維護。
網絡教學資源系統實現的目標是在進行完成整個系統的全過程中就必須要把管理信息系統和網站緊密結合,本地信息具有大量的數據,而管理信息系統的初衷也就是在于方便用戶查詢有關資料,方便同用戶的交流,及時獲得信息反饋,那么,就必然會面臨如何讓使用者在瀏覽器界面中,通過互聯網或內聯網(Intranet)查詢Web數據
庫的資料,甚至輸入、更新和刪除Web服務器上的資料。
網站成為人們快速獲取、發布和傳遞信息的重要渠道。因此網站建設在Internet應用上的地位顯而易見,而信息安全更成為政府、企事業單位信息化建設中的重要組成部分,從而倍受人們的重視,本系統全部采用的是Web方式,由前臺操作和后臺管理兩部分構成。
主要技術介紹
系統采用當前流行的B/S架構建立起Web程序框架,使用了ASP作為開發平臺,所運用的開發工具Dreamweaver 8。并使用Access數據庫管理系統為系統提供數據管理支持,有效地保障了系統的穩定性及安全性。實現過程中,使用JAVA SCRIPT和VB SCRIPT語言編寫頁面后臺邏輯,并使用ADO數據提供程序實現系統與數據庫中數據的交互,提高了系統開發效率,并有效減輕了系統擴展和維護的工作量。系統分析
系統分析是系統開發的第一個階段,在這個階段里主要需要完成的任務是:可行性分析、系統架構分析、需求分析、數據分析、系統的運行環境和開發平臺。系統初步調查介紹了系統的實現的目標,系統的設計思想,以及培訓系統的具體業務流程;功能需求分析詳細說明了系統所要實現的主要功能;非功能需求則主要強調界面美觀、友好,并且能夠達到所要求的頁面響應速度。
系統總體設計
3.1系統功能詳細設計。在軟件的需求分析階段,我們已經完全弄清楚了軟件的各種需求,解決了讓軟件“做什么”的問題。下一步我們就要著手實現軟件的需求,即要著手解決“怎么做”的問題。其中在系統結構設計上主要是定義軟件系統各主要成分之間的關系,而在數據設計上側重于數據的結構的定義。
3.2系統功能流程。信息安全專業教學資源網站的功能主要分為用戶功能和管理員功能。用戶可直接登陸網站瀏覽網頁,在線學習各門課程,還可以通過留言板來進行學員之間和網站與學員之間的相互交流。
3.3數據庫設計。數據庫在一個信息管理系統中占有非常重要的地位,數據庫設計的好壞將直接影響系統的效率以及實現效果。合理的數據庫設計可以提高數據存儲的效率,保證數據的完整和一致。同時,合理的數據庫結構也將有利于程序的實現。
在此系統的數據庫設計中,有各種不同類型的人員(或用戶)之問相互打交道。他們從不同的角度以各自的觀點來看待數據庫系統數據庫,從而形成了數據庫的3層結構,分別為用戶試圖層、邏輯層、物理層。數據庫系統的主要目的就是提供給用戶一種抽象數據視圖,而無須用戶了解數據是怎樣存儲和修改的,因此也就要求數據庫具有數據獨立性。
3.4數據庫表的設計。通過系統需求分析及總體設計,數據庫的需求設計也就變得逐漸清晰起來。按照前面的需求,在ACCESS中,建立相應的數據庫。
系統實現與測試
4.1系統測試的目標和方法。測試是“為了發現程序中的錯誤而執行程序的過程”。但發現問題不是我們的最終目標,發現問題是為了解決問題,測試階段的根本目標是盡可能多地發現并排除網站中潛藏的錯誤,最終把一個高質量的教學資源網絡系統交給用戶使用。測試的運行環境與系統的運行環境一致。
測試有兩種方法:黑盒測試(功能測試)和白盒測試(結構測試)。黑盒測試檢查程序功能是否能按照設計要求正常使用,程序是否能適當的接收輸入數據產生正確的輸出信息,并且保持外部信息的完整性。白盒測試按照程序內部的邏輯測試程序,檢驗程序中的每條通路是否都能按預定要求正確工作。
就本系統測試而言,既然已經知道了系統所要實現的功能,則采用功能測試。
4.2功能測試。系統安全是整個系統正常運行的重要保證,數據安全更是非常重要。對Web開發人員來說,保證Web站點安全是一個關鍵而又復雜的問題。若要保證信息安全教學網站的安全,必須執行身份驗證。IIS也可以基于用戶的主機名或IP地址來允許或拒絕訪問。
數據庫的安全性也是很重要的,它通常和計算機系統的安全性,包括操作系統、網絡系統的安全性是緊密聯系、相互支持的。
針對本系統的一些缺點,主要在以下方面進行改進:改進界面外觀。界面外觀的線條應流暢,增強美感;加強各功能之間的聯系,盡量將盡可能多的功能在一個界面中能夠實現,避免繁瑣操作;細化各個功能操作,為用戶的各種操作提供盡可能詳細的提示信息,使操作更有目的性,使功能更人性化。
系統的優點有:(1)充分利用網絡資源,進一步提高用戶工作效率;(2)為用戶提供方便快捷的信息安全專業最新的知識;(3)由于采用了B/S模式,客戶機層只負責數據的顯示處理運算,也就是數據處理和顯示相分離,使系統便于開發和維護。
參考文獻:
[1]劉瑞斯.ASP編程基礎及應用教程[M].北京:機械工業出版社, 2004.89-104.[2]郭瑞軍.ASP數據庫開發實例精粹[M].北京:電子工業出版社,2004.201-221.
點擊咨詢 