陜西省基礎教育專網(wǎng)培訓陜西省電化教育館陜西省基礎教育網(wǎng)絡資源管理中心網(wǎng)絡部運行部主任：張勁萌E-MAIL:Zhangjinmeng@126.comQQ:415239150陜西省基礎教育專網(wǎng)培訓陜西省電化教育館1陜西省基礎教育信息化建設發(fā)展規(guī)劃陜西省基礎教育專網(wǎng)建設背景及意義陜西省基礎教育專網(wǎng)網(wǎng)絡整體規(guī)劃陜西省基礎教育專網(wǎng)接入技術方案陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)故障申報流程和方式網(wǎng)絡安全基礎知識陜西省基礎教育信息化建設發(fā)展規(guī)劃2陜西省教育信息化中長期發(fā)展規(guī)劃我省基礎教育信息化建設和發(fā)展現(xiàn)狀

截止目前,我省已順利完成了五個財政年度的遠程教育工程建設任務，覆蓋全省11個市、104個縣、24862所農(nóng)村中小學校，共計建設成模式一（光盤播放系統(tǒng)）6390個；模式二（衛(wèi)星教學收視點）16420個，模式三（多媒體計算機網(wǎng)絡教室）2052個，部分學校已經(jīng)通過光纖和ADSL方式接入到互聯(lián)網(wǎng)。陜西省教育信息化中長期發(fā)展規(guī)劃我省基礎教育信息化建設和發(fā)展現(xiàn)3

我省基礎教育信息化應用系統(tǒng)建設初具規(guī)模。陜西教育網(wǎng)以及各教育行政部門網(wǎng)站已成為教育信息發(fā)布的重要窗口?，F(xiàn)已建成高中、初中、小學教育教學綜合管理系統(tǒng)、中小學網(wǎng)站生成系統(tǒng)、視頻點播系統(tǒng)、資源管理平臺等應用系統(tǒng)，基本實現(xiàn)了省、市資源信息交換與共享，提高了信息使用效率和價值。我省基礎教育信息化應用系統(tǒng)建設初具規(guī)模。4我省教育信息化存在的主要問題

一是網(wǎng)絡互聯(lián)互通、管理使用、網(wǎng)絡信息安全等方面的任務還十分艱巨；二是資源統(tǒng)籌管理、共建共享機制不健全，研究、應用水平亟待提高；三是現(xiàn)代遠程教育發(fā)展不夠，規(guī)范管理的任務還很重；四是教育電子政務應用與教育管理現(xiàn)代化的要求相比還有較大的差距；五是教育公共服務的合格人才欠缺，信息服務支撐能力不足的問題尚未根本改變。六是經(jīng)費投入及業(yè)務能力不夠，導致建設進展緩慢。

我省教育信息化存在的主要問題一是網(wǎng)絡互聯(lián)互通、管理使用、網(wǎng)5建設原則

統(tǒng)一標準、統(tǒng)籌規(guī)劃集中建設、資源共享需求導向、實用高效立足發(fā)展、確保安全建設原則統(tǒng)一標準、統(tǒng)籌規(guī)劃6我省基礎教育信息化中長期建設規(guī)劃建成全省“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應用、統(tǒng)一管理”的、覆蓋省、市、縣、校四級的基礎教育專網(wǎng)系統(tǒng)；建成以電子政務平臺、在線教學平臺、教育教學綜合管理系統(tǒng)和教育門戶網(wǎng)站為主要內(nèi)容的教育公共服務平臺；建成以教育管理基礎數(shù)據(jù)庫和公共教學資源庫為主要內(nèi)容的教育公共信息資源庫；形成“設施完備、功能齊全、運行高效、應用廣泛”的教育信息化格局。經(jīng)過5-8年努力，逐步建成“數(shù)字陜西教育”。

我省基礎教育信息化中長期建設規(guī)劃建成全省“統(tǒng)一規(guī)劃、統(tǒng)一標準7(一)信息化公共服務基礎設施建設

到2020年，實現(xiàn)100％的市教育局、縣（區(qū)、市）教育局和高中學校內(nèi)部建成局域網(wǎng)(校園網(wǎng))，外部實現(xiàn)寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)。100％的城鎮(zhèn)中小學校實現(xiàn)外部寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)，內(nèi)部電腦互連。100%的農(nóng)村初中、95％以上的農(nóng)村小學實現(xiàn)外部寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)。(一)信息化公共服務基礎設施建設到2020年，實現(xiàn)8到2015年，基本實現(xiàn)“班班通”，到2020年，建成遍及城鄉(xiāng)，覆蓋所有學校的信息基礎設施，中小學校平均每百學生計算機擁有量有較大幅度的提升，所有初中建成寬帶接入的多媒體教室，所有農(nóng)村小學、教學點建立網(wǎng)絡接入的遠程教育站點。到2015年，基本實現(xiàn)“班班通”，到2020年，建9到2012年，基本建成覆蓋縣以上教育行政機關和高中學校的教育視頻會議系統(tǒng)。建立健全教育網(wǎng)絡和信息系統(tǒng)安全保障體系，技術設施齊全，措施完善可靠。到2012年，基本建成覆蓋縣以上教育行政機關和高中10

到2012年，初步搭建起集信息發(fā)布、行政辦公、業(yè)務管理、互動交流等功能的教育電子政務平臺和具有資源交換、精品課程、遠程教學、自主學習、考試評估等功能的在線教學服務平臺，逐步建成全國有一定影響的省級教育門戶網(wǎng)站。全省大部分中小學校建立自己的網(wǎng)站。(二)教育公共服務平臺建設(二)教育公共服務平臺建設11(三)教育信息資源建設

到2015年，建立教育管理基礎數(shù)據(jù)庫，實現(xiàn)學校、學生、教職工、科研、財務等幾大類基礎數(shù)據(jù)入庫，基礎數(shù)據(jù)實現(xiàn)及時更新；能夠通過網(wǎng)絡瀏覽到全省大部分教育單位的數(shù)字化圖書館，逐步建立各類教育資源研究、規(guī)劃、開發(fā)、應用體系。(三)教育信息資源建設12(四)教育信息化應用（--2015年）1、通過在線教學服務平臺，使大部分的學校利用公共信息資源開展網(wǎng)上輔助教育，遠程教育服務體系覆蓋到全省各縣，大部分的教師擁有遠程學習帳號。2、所有需要公開的教育政務或工作事項全部在統(tǒng)一的政務公開網(wǎng)頁上公布。3、市級以上教育行政部門實現(xiàn)網(wǎng)上在線辦理教育行政許可事項，省市業(yè)務工作會議可通過視頻會議系統(tǒng)召開，通過多種方式推動縣及以下視頻會議系統(tǒng)建設。非涉密公文可通過教育行政辦公系統(tǒng)傳輸。(四)教育信息化應用（--2015年）13四、教育信息化重點建設工程

陜西省基礎教育專網(wǎng)建設（2008年-2011年）專網(wǎng)建設工作計劃三年完成，第一年（2008年8月到09年8月），在西安、咸陽、漢中三個市和全省高中學校進行試點建設；第二年（2009年8月到2010年8月）根據(jù)各市調(diào)研摸底情況，計劃再完成3-4個市專網(wǎng)建設工作，使已簽署專網(wǎng)建設協(xié)議的各市70%的中小學校接入專網(wǎng)；第三年（2010年8月到2011年8月），完成100%的市、縣（區(qū)）教育局、普通中學和80%以上的完全小學接入專網(wǎng)，實現(xiàn)專網(wǎng)建設的設計目標，建成一個集遠程教學、資源服務、信息交流、教育管理、師資培訓等各項功能為一體的安全綠色的基礎教育專網(wǎng)。四、教育信息化重點建設工程陜西省基礎教育專網(wǎng)建設（14（二）校園網(wǎng)和無線網(wǎng)絡建設2020年

一是繼續(xù)推進中小學校園網(wǎng)建設，鄉(xiāng)鎮(zhèn)所在地的中小學校要基本建成學校校園網(wǎng)；二是促進無線網(wǎng)絡技術在學校的應用，有條件的學?；旧辖⒂芯€與無線相結合的高水平校園網(wǎng)絡，提高校園網(wǎng)的服務能力。（二）校園網(wǎng)和無線網(wǎng)絡建設2020年

一是繼續(xù)推進中小學校15(三)教育公共服務平臺建設工程2012年加強教育門戶網(wǎng)站建設，建立標準統(tǒng)一、協(xié)同運行的教育電子政務平臺和在線教學服務平臺，為省、市、縣、校實施教育行政管理、教育教學管理和開展遠程教學、資源交換、自主學習、互動交流、發(fā)布信息等應用提供公共服務。(三)教育公共服務平臺建設工程2012年161、建設教育電子政務平臺。通過統(tǒng)籌規(guī)劃，統(tǒng)一標準，集中開發(fā)與系統(tǒng)整合相結合，建立信息發(fā)布、行政辦公、視頻會議、業(yè)務處理、協(xié)同作業(yè)、互動交流等應用系統(tǒng)。2、建設在線教學服務平臺和綜合管理平臺。建立全省教育單位和學校都可以共用的資源交換、遠程教學、自主學習、在線輔導、教務教學管理等應用系統(tǒng)。開發(fā)現(xiàn)有遠程教育系統(tǒng)的應用接口，為各級各類教育單位開展教育教學服務提供公共服務支持。1、建設教育電子政務平臺。通過統(tǒng)籌規(guī)劃，統(tǒng)一標準，集中開發(fā)與173、建設教育門戶網(wǎng)站。一是加強陜西教育網(wǎng)的頻道和欄目建設，形成一批有特色的欄目。二是加強陜西教育網(wǎng)的內(nèi)容建設，形成教育政務信息內(nèi)容保障體系和教育新聞源信息渠道。三是建設一支政治與業(yè)務素質(zhì)強、靈活、高效的采編和技術人員隊伍。四是依托陜西教育網(wǎng)開展教育教學服務和各類活動，提高網(wǎng)站的服務能力和社會知名度。3、建設教育門戶網(wǎng)站。18(四)教育公共信息資源庫建設工程2015年

建設教育管理基礎數(shù)據(jù)庫。認真執(zhí)行教育部教育管理信息化標準，以教育事業(yè)統(tǒng)計基礎數(shù)據(jù)庫建設為基礎，以加強中小學生紙質(zhì)和電子學籍管理為切入點，逐步建立全省統(tǒng)一標準的教育數(shù)據(jù)中心和學校、學生、教師、教研、財務等分類基礎數(shù)據(jù)庫。對各級各類學校的人、財、物等進行數(shù)字符號標識，形成全省數(shù)據(jù)同步的基礎數(shù)據(jù)庫管理系統(tǒng)和應用服務體系。(四)教育公共信息資源庫建設工程2015年19陜西省基礎教育專網(wǎng)建設背景及意義陜西省基礎教育專網(wǎng)建設背景及意義20省級網(wǎng)絡信息平臺省級節(jié)點市級節(jié)點區(qū)縣和學校陜西省基礎教育骨干網(wǎng)西安市教育局西安市某縣教育局西安市某小學西安市某中學西安市城域網(wǎng)絡…………延安市某縣教育局延安市某小學延安市某小學延安市城域網(wǎng)絡…………延安市教育局西安市教育局網(wǎng)絡信息平臺延安市教育局網(wǎng)絡信息平臺互聯(lián)網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)核心層匯聚層接入層省級網(wǎng)絡信息平臺省級節(jié)點市級節(jié)點區(qū)縣和學校陜西省基礎西安市教21陜西省基礎教育專網(wǎng)接入技術方案

制定原則：一是不增加學校設備投入二是方便學校在現(xiàn)有網(wǎng)絡基礎上選擇不同方式接入基礎教育專網(wǎng)三是確保學校在訪問專網(wǎng)的同時不影響其互聯(lián)網(wǎng)的使用陜西省基礎教育專網(wǎng)接入技術方案

制定原則：22（一）第一類接入方式針對縣（區(qū)）教育局有統(tǒng)一互聯(lián)網(wǎng)和專網(wǎng)出口管理需求的情況，可采用第一類接入方式。1．實現(xiàn)方式一轄區(qū)內(nèi)學校首先通過電信線路接入基礎教育專網(wǎng)，在此基礎上，接入專網(wǎng)的學?？赏ㄟ^縣教育局的代理設備訪問互聯(lián)網(wǎng)。該方式下，學校主機直接通過電信線路接入基礎教育專網(wǎng)，學校使用由教育局主管部門和當?shù)仉娦殴竟餐芾矸峙涞膶＞W(wǎng)IP地址。（一）第一類接入方式針對縣（區(qū)）教育局有統(tǒng)一互聯(lián)網(wǎng)23（1）訪問互聯(lián)網(wǎng)：用戶訪問互聯(lián)網(wǎng)的需求通過縣教育局防火墻集中NAT轉(zhuǎn)換代理上互聯(lián)網(wǎng)。（2）訪問專網(wǎng)：對于有路由器、防火墻和代理服務器設備的學校，學校內(nèi)部主機IP地址可不做調(diào)整，電信公司和教育局管理部門只需給學校分配一個專網(wǎng)IP，學校通過可通過代理上網(wǎng)設備集中NAT轉(zhuǎn)換代理上專網(wǎng)；無代理上網(wǎng)設備的學校，學校主機使用由教育局主管部門和當?shù)仉娦殴竟餐芾矸峙涞膶＞W(wǎng)IP地址，直接成為基礎教育專網(wǎng)的網(wǎng)內(nèi)主機，直接與專網(wǎng)連接。（1）訪問互聯(lián)網(wǎng)：用戶訪問互聯(lián)網(wǎng)的需求通過縣教育局防火墻集中242.實現(xiàn)方式二

在縣級設備上增加專網(wǎng)出口，并單獨接一根專網(wǎng)線路，在出口防火墻設備上做路由和雙NAT轉(zhuǎn)換，這種方式保持可保持區(qū)縣和學校原有IP地址規(guī)劃不變，區(qū)縣和學校也不用添加任何硬件設備，由區(qū)縣統(tǒng)一互聯(lián)網(wǎng)出口和專網(wǎng)出口，學校可以同時訪問互聯(lián)網(wǎng)和專網(wǎng)資源。2.實現(xiàn)方式二

在縣級設備上增加專網(wǎng)出口，并單獨接一253.實現(xiàn)方式三

各接入學校在縣級統(tǒng)一接入互聯(lián)網(wǎng)的基礎上，申請一定數(shù)量的專網(wǎng)接入賬號，接入專網(wǎng)的電腦安裝虛擬撥號軟件，并撥號建立VPN隧道后訪問專網(wǎng)資源，這種方式可以保證原有學校和區(qū)縣的已有IP地址規(guī)劃不變，由區(qū)縣統(tǒng)一互聯(lián)網(wǎng)出口，各學校單獨接入專網(wǎng)，學?？梢酝瑫r訪問互聯(lián)網(wǎng)和專網(wǎng)資源。

3.實現(xiàn)方式三

各接入學校在縣級統(tǒng)一接入互聯(lián)網(wǎng)的基礎上，申請264.優(yōu)缺點

優(yōu)點：此類接入方式學校的原互聯(lián)網(wǎng)業(yè)務和專網(wǎng)業(yè)務統(tǒng)一由區(qū)縣教育局的防火墻集中代理進行，方便縣（區(qū)）教育局對互聯(lián)網(wǎng)和專網(wǎng)的管理，同時，學校不需添加任何設備，每一臺主機可以同時訪問基礎教育專網(wǎng)和互聯(lián)網(wǎng)的資源。缺點：此種方式對區(qū)縣教育局端的設備和帶寬要求比較高，需區(qū)縣教育局增加投入，區(qū)縣教育局端管理任務較大；另外，在方式一中如果學校沒有代理上網(wǎng)設備時需要將學校內(nèi)每臺主機的IP地址統(tǒng)一更改為專網(wǎng)IP地址。4.優(yōu)缺點

優(yōu)點：此類接入方式學校的原互聯(lián)網(wǎng)業(yè)務和專網(wǎng)業(yè)務統(tǒng)27（二）第二類接入方式對不具備第一類需求條件的縣（區(qū)），轄區(qū)內(nèi)學校首先通過電信線路接入互聯(lián)網(wǎng)，在此基礎上再接入基礎教育專網(wǎng)。這種接入方式適合已經(jīng)通過ADSL和光纖接入互聯(lián)網(wǎng)的學校。（二）第二類接入方式對不具備第一類需求條件的縣（區(qū)），轄區(qū)內(nèi)281．實現(xiàn)方式一

（1）實現(xiàn)模式學校采用VPN撥號認證方式接入基礎教育專網(wǎng)。學校局域網(wǎng)內(nèi)需要接入專網(wǎng)的電腦發(fā)起專網(wǎng)撥號認證，建立到基礎教育專網(wǎng)VPN隧道，自動獲取專網(wǎng)IP地址。采用這種方式接入專網(wǎng)的電腦可實現(xiàn)專網(wǎng)和互聯(lián)網(wǎng)的同時訪問。模型圖如下：1．實現(xiàn)方式一

（1）實現(xiàn)模式29（2）實現(xiàn)步驟

首先確保學校已經(jīng)使用ADSL專線線路或光纖線路接入互聯(lián)網(wǎng)。（用個人名義申請的學校使用的撥號ADSL線路必須更換為以單位名義申請的ADSL專線）。在接入電信互聯(lián)網(wǎng)基礎上，學校根據(jù)需要訪問基礎教育專網(wǎng)的主機數(shù)量，向當?shù)仉娦殴旧暾埢A教育專網(wǎng)的撥號認證帳號，需要訪問基礎教育專網(wǎng)的主機在接通互聯(lián)網(wǎng)的情況下在自己的操作系統(tǒng)上設置L2TP協(xié)議的VPN撥號軟件。撥號認證成功后自動獲取專網(wǎng)的IP地址，這時可以訪問基礎教育專網(wǎng)資源。在專網(wǎng)應用結束后中斷撥號連接，返回互聯(lián)網(wǎng)應用模式。學校的出口設備必須允許局域網(wǎng)內(nèi)的主機發(fā)起L2TP協(xié)議的VPN撥號（打開相應端口）。（2）實現(xiàn)步驟

首先確保學校已經(jīng)使用ADSL專線線路或光纖線30（3）優(yōu)缺點

優(yōu)點：這種方式學校局域網(wǎng)內(nèi)的所有主機IP地址現(xiàn)狀不受影響，現(xiàn)有互聯(lián)網(wǎng)應用不受影響。此接入方式只需學校主機進行撥號認證軟件設置，不需要學校在目前的基礎上增加任何投入即可接入專網(wǎng)，并且不會影響學校已有的互聯(lián)網(wǎng)應用（如學校網(wǎng)站等），只需以個人名義登記上網(wǎng)的學校更改為單位用戶即可。缺點：每次上專網(wǎng)需撥號認證（可通過設置自動撥號解決）。（3）優(yōu)缺點

優(yōu)點：這種方式學校局域網(wǎng)內(nèi)的所有主機IP地址現(xiàn)312．實現(xiàn)方式二

（1）實現(xiàn)模式目前已經(jīng)使用電信光纖線路接入互聯(lián)網(wǎng)的學校，如出口設備支持雙業(yè)務VLAN及代理功能的學校，可以通過設置出口設備，開通雙業(yè)務VLAN，實現(xiàn)單條線路同時承載互聯(lián)網(wǎng)和基礎教育專網(wǎng)（雙網(wǎng)）的方式。2．實現(xiàn)方式二

（1）實現(xiàn)模式32（2）實現(xiàn)步驟

首先要求學校出口設備的出口端口上具備區(qū)別兩個以上不同業(yè)務VLAN（或者子接口）的功能，且設備具備代理功能，能代理專網(wǎng)內(nèi)的主機上互聯(lián)網(wǎng)。然后學校需要向當?shù)仉娦殴咎岢鼋尤牖A教育專網(wǎng)的業(yè)務申請，選擇采用單線路承載雙業(yè)務VLAN的方式。當?shù)仉娦啪质芾砗?，為學校分配專網(wǎng)的IP地址和VLAN號。但是學校的接入時間和割接方案需要電信局和學校共同協(xié)商決定。在學校確定接入專網(wǎng)時間后，通知當?shù)仉娦啪?，在同一個時間點上，電信局修改局端設備的端口接入模式，實行單線路承載雙業(yè)務VLAN，學校根據(jù)電信分配的專網(wǎng)IP和VLAN號，修改出口設備的端口工作模式，在出口設備的端口上配置兩個VLAN綁定不同的IP子網(wǎng)，并且修改局域網(wǎng)內(nèi)的主機地址為專網(wǎng)的IP地址。（2）實現(xiàn)步驟

首先要求學校出口設備的出口端口上具備區(qū)別兩個33（3）優(yōu)缺點

優(yōu)點：此接入方式可以不增加學校投入，且不需撥號認證即可上專網(wǎng)。缺點：需要學校端目前已有的接入設備（防火墻或路由器）支持雙業(yè)務VLAN功能，且要將學校內(nèi)部主機的IP地址全部更改為專網(wǎng)的IP地址，并由電信統(tǒng)一分配VLAN號，否則無法實現(xiàn)。采用該方式電信側(cè)和學校側(cè)的設備端口數(shù)據(jù)均要修改，學校的IP地址必須要從新規(guī)劃，所以學校的業(yè)務要受到影響。建議由學校和當?shù)仉娦攀紫冗M行測試后（確認學校設備功能），共同確定業(yè)務割接方案，實施接入。（3）優(yōu)缺點

優(yōu)點：此接入方式可以不增加學校投入，且不需撥號34（三）第三類接入方式

對于學校網(wǎng)絡業(yè)務需求復雜多樣，校園局域網(wǎng)規(guī)模較大的情況，學?？芍苯油ㄟ^網(wǎng)絡擴容方式接入基礎教育專網(wǎng)。（三）第三類接入方式

對于學校網(wǎng)絡業(yè)務需求復雜多樣，校園局域351．實現(xiàn)方式

學校單獨申請一根專網(wǎng)線路接入基礎教育專網(wǎng)，和現(xiàn)有的互聯(lián)網(wǎng)接入物理分開，原有互聯(lián)網(wǎng)應用和IP地址不變，訪問基礎教育專網(wǎng)的電腦需配置專網(wǎng)IP地址，通過專線訪問基礎教育專網(wǎng)。模型圖如下：1．實現(xiàn)方式

學校單獨申請一根專網(wǎng)線路接入基礎教育專網(wǎng)，和現(xiàn)362．優(yōu)缺點

優(yōu)點：學校原有的網(wǎng)絡應用和IP地址不受影響，通過專線訪問專網(wǎng)可保證網(wǎng)絡速度和質(zhì)量。缺點：學校需承擔第二根線路的費用，訪問基礎教育專網(wǎng)的電腦需更改為專網(wǎng)IP地址。2．優(yōu)缺點

優(yōu)點：學校原有的網(wǎng)絡應用和IP地址不受影響，通過371、試點地市：咸陽、漢中、西安，根據(jù)本校網(wǎng)絡實際，可以參照“基礎教育專網(wǎng)接入方式”中的三種方式接入2、非試點地市：可先采用拔號的方式進入教育專網(wǎng)，學校內(nèi)部網(wǎng)絡結構不進行任何改變。VPN帳號及密碼由各市教育局和當?shù)仉娦殴矩撠煼峙?，接入技術由當?shù)仉娦殴矩撠熂夹g支持。對于所在地區(qū)有統(tǒng)一專網(wǎng)出口要求的非試點地市的學校，待該地市專網(wǎng)骨干網(wǎng)絡建設完成后，參照“基礎教育專網(wǎng)接入方式”更改該學校的專網(wǎng)接入方式。高中接入專網(wǎng)高中接入專網(wǎng)38陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)撥號設置陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)撥號設置39根據(jù)陜西省基礎教育專網(wǎng)電信售后服務保障方案，對于陜西省基礎教育專網(wǎng)在網(wǎng)絡運行過程中出現(xiàn)故障,用戶可以通過以下方式進行申告：1、撥打10000號客服電話2、撥打客戶經(jīng)理聯(lián)系電話進行報障3、直接撥打維護工程師聯(lián)系電話報障陜西省基礎教育專網(wǎng)故障申報流程和方式根據(jù)陜西省基礎教育專網(wǎng)電信售后服務保障方案40網(wǎng)絡安全基礎知識第一部分：信息網(wǎng)絡安全管理第二部分：信息網(wǎng)絡安全技術與安全專用產(chǎn)品第三部分：計算機病毒防治網(wǎng)絡安全基礎知識第一部分：信息網(wǎng)絡安全管理41

一、信息網(wǎng)絡與計算機信息系統(tǒng)

計算機信息系統(tǒng)是指由計算機及其相關和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸和檢索等處理的人機系統(tǒng)。信息網(wǎng)絡和計算機信息系統(tǒng)是不同發(fā)展階段對計算機信息系統(tǒng)的具體稱謂，在90年代中期之前所稱計算機信息系統(tǒng)，是以大型計算機為核心，通過網(wǎng)絡將許多個人計算機聯(lián)在一起形成的計算機信息系統(tǒng)；90年代末期以來所稱的信息網(wǎng)絡，則以高速通信網(wǎng)絡為紐帶，將許多計算機信息系統(tǒng)聯(lián)在一起形成信息網(wǎng)絡。

一、信息網(wǎng)絡與計算機信息系統(tǒng)

計算機信息系統(tǒng)是指42二、什么是信息網(wǎng)絡安全

信息網(wǎng)絡安全是指防止信息網(wǎng)絡本身及其采集、加工、存儲、傳輸?shù)男畔?shù)據(jù)被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制，即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。二、什么是信息網(wǎng)絡安全43三、信息網(wǎng)絡安全面臨的威脅

信息網(wǎng)絡面臨的威脅主要來自：電磁泄露、雷擊等環(huán)境安全構成的威脅，軟硬件故障和工作人員誤操作等人為或偶然事故構成的威脅，利用計算機實施盜竊、詐騙等違法犯罪活動的威脅，網(wǎng)絡攻擊和計算機病毒構成的威脅，以及信息戰(zhàn)的威脅等。三、信息網(wǎng)絡安全面臨的威脅

信息網(wǎng)絡面臨的威脅主要來44四、信息網(wǎng)絡自身的脆弱性

信息網(wǎng)絡自身的脆弱性主要包括：在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素；在信息網(wǎng)絡自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；在其他方面如磁盤高密度存儲受到損壞造成大量信息的丟失，存儲介質(zhì)中的殘留信息泄密，計算機設備工作時產(chǎn)生的輻射電磁波造成的信息泄密。

四、信息網(wǎng)絡自身的脆弱性

信息網(wǎng)絡自身的脆弱性主45五、信息網(wǎng)絡安全策略

信息網(wǎng)絡運行部門的安全管理工作應首先研究確定信息網(wǎng)絡安全策略，安全策略確定網(wǎng)絡安全保護工作的目標和對象。信息網(wǎng)絡安全策略涵蓋面很多，如總體安全策略、網(wǎng)絡安全策略、應用系統(tǒng)安全策略、部門安全策略、設備安全策略等。一個信息網(wǎng)絡的總體安全策略，可以概括為“實體可信，行為可控，資源可管，事件可查，運行可靠”，總體安全策略為其它安全策略的制定提供總的依據(jù)。五、信息網(wǎng)絡安全策略

信息網(wǎng)絡運行部門的安全管46實體可信：實體指構成信息網(wǎng)絡的基本要素，主要有網(wǎng)絡基礎設備、軟件系統(tǒng)、用戶和數(shù)據(jù)。保證構建網(wǎng)絡的基礎設備和軟件系統(tǒng)安全可信，沒有預留后門或邏輯炸彈。保證接入網(wǎng)絡的用戶是可信的，防止惡意用戶對系統(tǒng)的攻擊破壞。保證在網(wǎng)絡上傳輸、處理、存儲的數(shù)據(jù)是可信的，防止搭線竊聽，非授權訪問或惡意篡改。實體可信：實體指構成信息網(wǎng)絡的基本要素，主要有網(wǎng)絡基礎設備、47行為可控：保證用戶行為可控，即保證本地計算機的各種軟硬件資源(例如：內(nèi)存、中斷、I／O端口、硬盤等硬件設備，文件、目錄、進程、系統(tǒng)調(diào)用等軟件資源)不被非授權使用或被用于危害本系統(tǒng)或其它系統(tǒng)的安全。保證網(wǎng)絡接入可控，即保證用戶接入網(wǎng)絡應嚴格受控，用戶上網(wǎng)必須得到申請登記并許可。保證網(wǎng)絡行為可控，即保證網(wǎng)絡上的通信行為受到監(jiān)視和控制，防止濫用資源、非法外聯(lián)、網(wǎng)絡攻擊、非法訪問和傳播有害信息等惡意事件的發(fā)生。

行為可控：保證用戶行為可控，即保證本地計算機的各種軟硬件資48資源可管：保證對路由器、交換機、服務器、郵件系統(tǒng)、目錄系統(tǒng)、數(shù)據(jù)庫、域名系統(tǒng)、安全設備、密碼設備、密鑰參數(shù)、交換機端口、IP地址、用戶賬號、服務端口等網(wǎng)絡資源進行統(tǒng)一管理。

事件可查：保證對網(wǎng)絡上的各類違規(guī)事件進行監(jiān)控記錄，確保日志記錄的完整性，為安全事件稽查、取證提供依據(jù)。資源可管：保證對路由器、交換機、服務器、郵件系統(tǒng)、目錄系統(tǒng)49運行可靠：保證網(wǎng)絡節(jié)點在發(fā)生自然災難或遭到硬摧毀時仍能不間斷運行，具有容災抗毀和備份恢復能力。保證能夠有效防范病毒和黑客的攻擊所引起的網(wǎng)絡擁塞、系統(tǒng)崩潰和數(shù)據(jù)丟失，并具有較強的應急響應和災難恢復能力。運行可靠：保證網(wǎng)絡節(jié)點在發(fā)生自然災難或遭到硬摧毀時仍能不間50六、信息網(wǎng)絡安全管理的組成

信息網(wǎng)絡安全管理包括管理組織機構、管理制度和管理技術三個方面，要通過組建完整的信息網(wǎng)絡安全管理組織機構，設置安全管理人員，制定嚴格的安全管理制度，利用先進的安全管理技術對整個信息網(wǎng)絡進行管理。六、信息網(wǎng)絡安全管理的組成

信息網(wǎng)絡安全管理包括管理51七、信息網(wǎng)絡安全保護體系

信息網(wǎng)絡安全保護涉及人員、技術和法規(guī)三個方面，因此，信息網(wǎng)絡安全防護體系從總體上可分為三大部分。即技術防護體系、組織管理體系和法規(guī)標準體系，它們以信息網(wǎng)絡的總體安全策略為核心，共同保護信息網(wǎng)絡安全運行。七、信息網(wǎng)絡安全保護體系

信息網(wǎng)絡安全保護涉及人員、52八、信息網(wǎng)絡安全管理組織的主要職責

信息安全管理堅持“誰主管誰負責，誰運行誰負責”的原則。信息安全管理組織的主要職責是：制定工作人員守則、安全操作規(guī)范和管理制度，經(jīng)主管領導批準后監(jiān)督執(zhí)行；組織進行信息網(wǎng)絡建設和運行安全檢測檢查，掌握詳細的安全資料，研究制定安全對策和措施；負責信息網(wǎng)絡的日常安全管理工作；定期總結安全工作，并接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的工作指導。八、信息網(wǎng)絡安全管理組織的主要職責

信息安全管理堅持53九、信息網(wǎng)絡安全管理內(nèi)容

信息網(wǎng)絡安全管理的主要內(nèi)容：有主要領導負責的逐級安全保護管理責任制，配備專職或兼職的安全員，各級職責劃分明確，并有效開展工作；明確運行和使用部門或崗位責任制，建立安全管理規(guī)章制度；在職工群眾中普及安全知識，對重點崗位職工進行專門培訓和考核；采取必要的安全技術措施；對安全保護工作有檔案記錄和應急計劃；定期進行安全檢測和風險分析和安全隱患整改；實行信息安全等級保護制度。九、信息網(wǎng)絡安全管理內(nèi)容

信息網(wǎng)絡安全管理的主要內(nèi)容54十、什么是信息系統(tǒng)安全等級保護

信息網(wǎng)絡安全管理工作要堅持從實際出發(fā)、保障重點的原則，區(qū)分不同情況，分級、分類、分階段進行信息網(wǎng)絡安全建設和管理。按照《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定的規(guī)定，我國實行五級信息安全等級保護。

第一級：用戶自主保護級；由用戶來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統(tǒng)審計保護級；本級的安全保護機制支持用戶具有更強的自主保護能力。特別是具有訪問審記能力，即它能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關的操作都能夠被記錄下來，以便當系統(tǒng)發(fā)生安全問題時，可以根據(jù)審記記錄，分析追查事故責任人。

十、什么是信息系統(tǒng)安全等級保護

信息網(wǎng)絡安全管理工55第三級：安全標記保護級；具有第二級系統(tǒng)審計保護級的所有功能，并對訪問者及其訪問對象實施強制訪問控制。通過對訪問者和訪問對象指定不同安全標記，限制訪問者的權限。

第四級：結構化保護級；將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構造也是結構化的，以使之具有相當?shù)目節(jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

第五級：訪問驗證保護級；具備第四級的所有功能，還具有仲裁訪問者能否訪問某些對象的能力。為此，本級的安全保護機制不能被攻擊、被篡改的，具有極強的抗?jié)B透能力。

計算機信息系統(tǒng)安全等級保護標準體系包括：信息系統(tǒng)安全保護等級劃分標準、等級設備標準、等級建設標準、等級管理標準等，是實行等級保護制度的重要基礎。第三級：安全標記保護級；具有第二級系統(tǒng)審計保護級的所有功能，56十一、信息網(wǎng)絡安全事件與事件響應

信息網(wǎng)絡安全事件的具體含義會隨著“角度”的變化而變化，比如：從用戶（個人、企業(yè)等）的角度來說，個人隱私或商業(yè)利益的信息在網(wǎng)絡上傳輸時受到侵犯，其他人或競爭對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，破壞信息的機密性、完整性和真實性。從網(wǎng)絡運行和管理者角度說，安全事件是對本地網(wǎng)絡信息的訪問、讀寫等操作，出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用和非法控制等威脅，或遭受網(wǎng)絡黑客的攻擊。十一、信息網(wǎng)絡安全事件與事件響應

信息網(wǎng)絡安全事件的具體含57對保密部門來說，則是國家機要信息泄露，對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，被利用在網(wǎng)絡上傳播不健康的內(nèi)容，對社會的穩(wěn)定和人類的發(fā)展造成阻礙等都是安全事件。對保密部門來說，則是國家機要信息泄露，對社會產(chǎn)生危害，對國家58對于網(wǎng)絡運行和管理來說，網(wǎng)絡攻擊和計算機病毒傳播等安全事件的響應處置包括6個階段：1、準備階段，基于威脅建立一組合理的防范、控制措施，建立一組盡可能高效的事件處理程序，獲得處理問題必須的資源和人員，最終建立應急響應體系。2、檢測階段，進行技術檢測，獲取完整系統(tǒng)備份，進行系統(tǒng)審計，分析異?，F(xiàn)象，評估事件范圍，報告事件。3、控制階段，制定可能的控制策略，擬定詳細的控制措施實施計劃，對控制措施進行評估和選擇，記錄控制措施的執(zhí)行，繼續(xù)報告。對于網(wǎng)絡運行和管理來說，網(wǎng)絡攻擊和計算機病毒傳播等安全事件的594、根除階段，查找出事件根源并根除之，確認備份系統(tǒng)的安全，記錄和報告。5、恢復階段，根據(jù)事件情況，從保存完好的介質(zhì)上恢復系統(tǒng)可靠性高，一次完整的恢復應修改所有用戶口令。數(shù)據(jù)恢復應十分小心，可以從最新的完整備份或從容錯系統(tǒng)硬件中恢復數(shù)據(jù)，記錄和報告。6、追蹤階段，非常關鍵，其目標是回顧并整合發(fā)生事件信息，對事件進行一次事后分析，為下一步進行的民事或刑事的法律活動提高有用的信息。4、根除階段，查找出事件根源并根除之，確認備份系統(tǒng)的安全，記60

第二部分：信息網(wǎng)絡安全技術與安全專用產(chǎn)品

一、做好口令保護防范入侵的前線是口令系統(tǒng)?？诹钣糜隍炞C登錄用戶的身份標識。應當建立用戶帳號管理，設置對文件、目錄、打印機和其他資源的訪問權限，加強口令管理（如設置生效期等）和檢查，避免使用公共帳號，教育用戶保管好口令并避免使用過于簡單的口令。保護口令的一種方法是口令加密，就是為一進步防止口令泄露，口令在系統(tǒng)中保存時，以加密的形式存放。阻止口令攻擊的另一種方法是拒絕入侵者訪問口令文件，如果只有一個特權用戶能夠訪問口令文件的加密部分，那么入侵者如果不知道該用戶的口令，就無法讀取它。

第二部分：信息網(wǎng)絡安全技術與安全專用產(chǎn)品一、做好口令保61

二、系統(tǒng)后門和安全補丁后門是一種可以繞過安全性控制而獲得對程序或系統(tǒng)訪問權的隱蔽程序或方法。在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)建后門以便修改程序。如果后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門，那么就可能被利用來建立隱蔽通道，甚至植入隱蔽的惡意程序，達到非法訪問或竊取、篡改、偽造、破壞數(shù)據(jù)等目的?，F(xiàn)在后門多指系統(tǒng)被入侵后被安裝的具有控制系統(tǒng)權限的程序，通過它黑客可以遠程控制系統(tǒng)。

二、系統(tǒng)后門和安全補丁后門是一種可以繞過安全性控制而獲得62漏洞是軟件在開發(fā)的過程中沒有考慮到的某些缺陷，也叫軟件的bug。操作系統(tǒng)和應用軟件都是存在安全漏洞的，這些漏洞不斷地被發(fā)現(xiàn)。安全補丁是軟件開發(fā)廠商為堵塞安全漏洞，提高軟件的安全性和穩(wěn)定性，開發(fā)的與原軟件結合或?qū)υ浖壍某绦?。因此，要定期從廠商處獲取并安裝最新的補丁程序，避免從非正規(guī)望站下載未知的補丁程序而被欺騙。漏洞是軟件在開發(fā)的過程中沒有考慮到的某些缺陷，也叫軟件63

三、身份認證技術

身份認證技術主要包括數(shù)字簽名、身份驗證和數(shù)字證明。數(shù)字簽名又稱電子加密，可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。這對于網(wǎng)絡數(shù)據(jù)傳輸，特別是電子商務是極其重要的，一般要采用一種稱為摘要的技術，摘要技術主要是采用HASH函數(shù)（HASH(哈希)函數(shù)提供了這樣一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱HASH值）將一段長的報文通過函數(shù)變換，轉(zhuǎn)換為一段定長的報文，即摘要。身份識別是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。數(shù)字證明機制提供利用公開密鑰進行驗證的方法。三、身份認證技術

身份認證技術主要包括數(shù)字簽名、身64四、防火墻的種類與選擇嵌入式防火墻基于軟件的防火墻基于硬件的防火墻四、防火墻的種類與選擇嵌入式防火墻65嵌入式防火墻：就是內(nèi)嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣，所以不是所有的網(wǎng)絡服務都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于ＩＰ層，無法保護網(wǎng)絡免受病毒、蠕蟲和特洛伊木馬程序等來自應用層的威脅。就本質(zhì)而言，嵌入式防火墻常常是無監(jiān)控狀態(tài)的，它在傳遞信息包時并不考慮以前的連接狀態(tài)。嵌入式防火墻：就是內(nèi)嵌于路由器或交換機的防火墻。嵌入式防火墻66

基于軟件的防火墻：是能夠安裝在操作系統(tǒng)和硬件平臺上的防火墻軟件包。如果用戶的服務器裝有企業(yè)級操作系統(tǒng)，購買基于軟件的防火墻則是合理的選擇。如果用戶是一家小企業(yè)，并且想把防火墻與應用服務器（如網(wǎng)站服務器）結合起來，添加一個基于軟件的防火墻就是合理之舉。

基于硬件的防火墻：捆綁在“交鑰匙”系統(tǒng)內(nèi)，是一個已經(jīng)裝有軟件的硬件設備?；谟布姆阑饓σ卜譃榧彝マk公型和企業(yè)型兩種款式。

基于軟件的防火墻：是能夠安裝在操作系統(tǒng)和硬件平臺上的防火墻67

五、入侵檢測系統(tǒng)的作用

入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）是通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)執(zhí)行的主要任務包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。入侵檢測系統(tǒng)可以彌補防火墻的不足，為網(wǎng)絡安全提供實時的入侵檢測并采取相應的防護手段，如記錄證據(jù)、跟蹤入侵、恢復或斷開網(wǎng)絡連接等。

通常，入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源分為三種：基于主機的入侵檢測系統(tǒng)，其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主機上發(fā)生的入侵；基于網(wǎng)絡的入侵檢測系統(tǒng)，其輸入數(shù)據(jù)來源于網(wǎng)絡的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵；分布式入侵檢測系統(tǒng)，能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)，系統(tǒng)由多個部件組成，采用分布式結構。五、入侵檢測系統(tǒng)的作用

入侵檢測系統(tǒng)（IDS，In68

六、什么是安全漏洞掃描技術

漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現(xiàn)在Internet上的安全漏洞。從而在計算機網(wǎng)絡系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時修補漏洞，構筑堅固的安全長城。

六、什么是安全漏洞掃描技術漏洞掃描器是一種自動檢測69

常規(guī)標準，可以將漏洞掃描器分為兩種類型：主機漏洞掃描器（HostScanner）和網(wǎng)絡漏洞掃描器（NetworkScanner）。網(wǎng)絡漏洞掃描器是指基于Internet遠程檢測目標網(wǎng)絡和主機系統(tǒng)漏洞的程序，如提供網(wǎng)絡服務、后門程序、密碼破解和阻斷服務等的掃描測試。主機漏洞掃描器是指針對操作系統(tǒng)內(nèi)部進行的掃描，如Unix、NT、Liunx系統(tǒng)日志文件分析，可以彌補網(wǎng)絡型安全漏洞掃描器只從外面通過網(wǎng)絡檢查系統(tǒng)安全的不足。

常規(guī)標準，可以將漏洞掃描器分為兩種類型：主機漏洞掃描器70七、物理隔離器和邏輯隔離器的作用物理隔離器是一種不同網(wǎng)絡間的隔離部件，通過物理隔離的方式使兩個網(wǎng)絡在物理連線上完全隔離，且沒有任何公用的存儲信息，保證計算機的數(shù)據(jù)在網(wǎng)際間不被重用。一般采用電源切換的手段，使得所隔離的區(qū)域始終處在互不同時通電的狀態(tài)下(對硬盤、軟驅(qū)、光驅(qū)，也可通過在物理上控制IDE線實現(xiàn))。被隔離的兩端永遠無法通過隔離部件交換信息。

邏輯隔離器也是一種不同網(wǎng)絡間的隔離部件，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線，但通過技術手段保證被隔離的兩端沒有數(shù)據(jù)通道，即邏輯上隔離。一般使用協(xié)議轉(zhuǎn)換、數(shù)據(jù)格式剝離和數(shù)據(jù)流控制的方法，在兩個邏輯隔離區(qū)域中傳輸數(shù)據(jù)。并且傳輸?shù)姆较蚴强煽貭顟B(tài)下的單向，不能在兩個網(wǎng)絡之間直接進行數(shù)據(jù)交換。七、物理隔離器和邏輯隔離器的作用物理隔離器是一種不同網(wǎng)絡間的71八、什么是信息內(nèi)容過濾產(chǎn)品現(xiàn)在網(wǎng)絡上大量的黃色、反動、暴力、賭博等不良信息，以及垃圾郵件、病毒郵件、泄密郵件和網(wǎng)絡聊天等問題，一直令網(wǎng)絡管理者感到頭疼。采取信息內(nèi)容過濾產(chǎn)品可以有效的防止這些不良信息的入侵，有效的減輕網(wǎng)絡管理人員及信息安全工作者的工作。信息過濾產(chǎn)品可以對互聯(lián)網(wǎng)上的信息內(nèi)容進行實時分析，對預先定義的非法信息內(nèi)容進行過濾和攔截。信息過濾產(chǎn)品按其針對的服務進行分類，主要可分為：HTTP、郵件、TELNET(BBS)、FTP等。八、什么是信息內(nèi)容過濾產(chǎn)品現(xiàn)在網(wǎng)絡上大量的黃色、反動72九、VPN技術

VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN架構中采用了多種安全機制，如隧道技術（Tunneling）、加解密技術（Encryption）、密鑰管理技術、身份認證技術（Authentication）等，通過上述的各項網(wǎng)絡安全技術，確保資料在公眾網(wǎng)絡中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。九、VPN技術

VPN即虛擬專用網(wǎng)，是通過一個73十、網(wǎng)頁恢復產(chǎn)品的用途

網(wǎng)頁恢復產(chǎn)品是對受保護網(wǎng)頁目錄、文件的未授權破壞進行識別，并能用備份目錄、文件進行自動恢復，主要包括：1、網(wǎng)頁目錄、文件未授權增加的恢復；2、網(wǎng)頁目錄、文件未授權刪除的恢復；3、網(wǎng)頁目錄、文件未授權修改（包括目錄、文件屬性修改、重命名、移動等）的恢復。十、網(wǎng)頁恢復產(chǎn)品的用途

網(wǎng)頁恢復產(chǎn)品是對受保護網(wǎng)頁目74

十一、安全審計產(chǎn)品

安全審計產(chǎn)品是對網(wǎng)絡或指定系統(tǒng)的使用狀態(tài)進行跟蹤記錄和綜合梳理的工具，分為用戶自主保護、系統(tǒng)審計保護兩級。

網(wǎng)絡安全審計能夠?qū)W(wǎng)絡進行動態(tài)實時監(jiān)控，可通過尋找入侵和違規(guī)行為，記錄網(wǎng)絡上發(fā)生的一切，為用戶提供取證手段。網(wǎng)絡安全審計不但能夠監(jiān)視和控制來自外部的入侵，還能夠監(jiān)視來自內(nèi)部人員的違規(guī)和破壞行動，它是評判一個系統(tǒng)是否安全的重要尺度。十一、安全審計產(chǎn)品

安全審計產(chǎn)品是對網(wǎng)絡或指定系統(tǒng)75十二、電磁泄漏和電磁干擾

電磁泄漏是指信息系統(tǒng)的設備在工作時能經(jīng)過地線、電源線、信號線、寄生電磁信號或諧波等輻射出去，產(chǎn)生電磁泄漏。這些電磁信號如果被接收下來，經(jīng)過提取處理，就可恢復出原信息，造成信息失密。具有保密要求的計算機信息系統(tǒng)必須注意防止電磁泄漏。

電磁干擾是指雷電電磁脈沖、電網(wǎng)操作過電壓、靜電放電等電磁場會對計算機信息系統(tǒng)運行造成干擾。十二、電磁泄漏和電磁干擾

76

十三、計算機信息系統(tǒng)雷擊災害與防雷保安器

計算機設備大量采用的大規(guī)模集成電路芯片，其耐過電壓、過電流的能力極低。在雷電天氣狀況下，避雷針引雷時，強大的雷電流經(jīng)避雷針入地并在避雷針周圍產(chǎn)生強電磁場，在電磁場內(nèi)的電子設備可被感應出較高的雷電壓、雷電流，造成電子設備損壞。

計算機信息系統(tǒng)防范雷擊災害可以在與計算機連接的所有外線上（包括電源線和通信線）加設防雷保安器，同時規(guī)范地線，防止雷擊時在地線上產(chǎn)生的高電位反擊。十三、計算機信息系統(tǒng)雷擊災害與防雷保安器

計算機設77

十四、計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可管理

銷售許可管理是依據(jù)國務院《中華人民共和國計算機信息系統(tǒng)安全保護條例》和公安部《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》的規(guī)定而實行的一項行政管理。我國境內(nèi)的計算機安全專用產(chǎn)品進入市場銷售須申領公安部頒發(fā)的銷售許可證，已取得銷售許可證的產(chǎn)品應在固定位置標明“銷售許可”標記。

十四、計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可管理

銷78陜西省基礎教育專網(wǎng)培訓陜西省電化教育館陜西省基礎教育網(wǎng)絡資源管理中心網(wǎng)絡部運行部主任：張勁萌E-MAIL:Zhangjinmeng@126.comQQ:415239150陜西省基礎教育專網(wǎng)培訓陜西省電化教育館79陜西省基礎教育信息化建設發(fā)展規(guī)劃陜西省基礎教育專網(wǎng)建設背景及意義陜西省基礎教育專網(wǎng)網(wǎng)絡整體規(guī)劃陜西省基礎教育專網(wǎng)接入技術方案陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)故障申報流程和方式網(wǎng)絡安全基礎知識陜西省基礎教育信息化建設發(fā)展規(guī)劃80陜西省教育信息化中長期發(fā)展規(guī)劃我省基礎教育信息化建設和發(fā)展現(xiàn)狀

截止目前,我省已順利完成了五個財政年度的遠程教育工程建設任務，覆蓋全省11個市、104個縣、24862所農(nóng)村中小學校，共計建設成模式一（光盤播放系統(tǒng)）6390個；模式二（衛(wèi)星教學收視點）16420個，模式三（多媒體計算機網(wǎng)絡教室）2052個，部分學校已經(jīng)通過光纖和ADSL方式接入到互聯(lián)網(wǎng)。陜西省教育信息化中長期發(fā)展規(guī)劃我省基礎教育信息化建設和發(fā)展現(xiàn)81

我省基礎教育信息化應用系統(tǒng)建設初具規(guī)模。陜西教育網(wǎng)以及各教育行政部門網(wǎng)站已成為教育信息發(fā)布的重要窗口?，F(xiàn)已建成高中、初中、小學教育教學綜合管理系統(tǒng)、中小學網(wǎng)站生成系統(tǒng)、視頻點播系統(tǒng)、資源管理平臺等應用系統(tǒng)，基本實現(xiàn)了省、市資源信息交換與共享，提高了信息使用效率和價值。我省基礎教育信息化應用系統(tǒng)建設初具規(guī)模。82我省教育信息化存在的主要問題

一是網(wǎng)絡互聯(lián)互通、管理使用、網(wǎng)絡信息安全等方面的任務還十分艱巨；二是資源統(tǒng)籌管理、共建共享機制不健全，研究、應用水平亟待提高；三是現(xiàn)代遠程教育發(fā)展不夠，規(guī)范管理的任務還很重；四是教育電子政務應用與教育管理現(xiàn)代化的要求相比還有較大的差距；五是教育公共服務的合格人才欠缺，信息服務支撐能力不足的問題尚未根本改變。六是經(jīng)費投入及業(yè)務能力不夠，導致建設進展緩慢。

我省教育信息化存在的主要問題一是網(wǎng)絡互聯(lián)互通、管理使用、網(wǎng)83建設原則

統(tǒng)一標準、統(tǒng)籌規(guī)劃集中建設、資源共享需求導向、實用高效立足發(fā)展、確保安全建設原則統(tǒng)一標準、統(tǒng)籌規(guī)劃84我省基礎教育信息化中長期建設規(guī)劃建成全省“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一應用、統(tǒng)一管理”的、覆蓋省、市、縣、校四級的基礎教育專網(wǎng)系統(tǒng)；建成以電子政務平臺、在線教學平臺、教育教學綜合管理系統(tǒng)和教育門戶網(wǎng)站為主要內(nèi)容的教育公共服務平臺；建成以教育管理基礎數(shù)據(jù)庫和公共教學資源庫為主要內(nèi)容的教育公共信息資源庫；形成“設施完備、功能齊全、運行高效、應用廣泛”的教育信息化格局。經(jīng)過5-8年努力，逐步建成“數(shù)字陜西教育”。

我省基礎教育信息化中長期建設規(guī)劃建成全省“統(tǒng)一規(guī)劃、統(tǒng)一標準85(一)信息化公共服務基礎設施建設

到2020年，實現(xiàn)100％的市教育局、縣（區(qū)、市）教育局和高中學校內(nèi)部建成局域網(wǎng)(校園網(wǎng))，外部實現(xiàn)寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)。100％的城鎮(zhèn)中小學校實現(xiàn)外部寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)，內(nèi)部電腦互連。100%的農(nóng)村初中、95％以上的農(nóng)村小學實現(xiàn)外部寬帶接入基礎教育專網(wǎng)和互聯(lián)網(wǎng)。(一)信息化公共服務基礎設施建設到2020年，實現(xiàn)86到2015年，基本實現(xiàn)“班班通”，到2020年，建成遍及城鄉(xiāng)，覆蓋所有學校的信息基礎設施，中小學校平均每百學生計算機擁有量有較大幅度的提升，所有初中建成寬帶接入的多媒體教室，所有農(nóng)村小學、教學點建立網(wǎng)絡接入的遠程教育站點。到2015年，基本實現(xiàn)“班班通”，到2020年，建87到2012年，基本建成覆蓋縣以上教育行政機關和高中學校的教育視頻會議系統(tǒng)。建立健全教育網(wǎng)絡和信息系統(tǒng)安全保障體系，技術設施齊全，措施完善可靠。到2012年，基本建成覆蓋縣以上教育行政機關和高中88

到2012年，初步搭建起集信息發(fā)布、行政辦公、業(yè)務管理、互動交流等功能的教育電子政務平臺和具有資源交換、精品課程、遠程教學、自主學習、考試評估等功能的在線教學服務平臺，逐步建成全國有一定影響的省級教育門戶網(wǎng)站。全省大部分中小學校建立自己的網(wǎng)站。(二)教育公共服務平臺建設(二)教育公共服務平臺建設89(三)教育信息資源建設

到2015年，建立教育管理基礎數(shù)據(jù)庫，實現(xiàn)學校、學生、教職工、科研、財務等幾大類基礎數(shù)據(jù)入庫，基礎數(shù)據(jù)實現(xiàn)及時更新；能夠通過網(wǎng)絡瀏覽到全省大部分教育單位的數(shù)字化圖書館，逐步建立各類教育資源研究、規(guī)劃、開發(fā)、應用體系。(三)教育信息資源建設90(四)教育信息化應用（--2015年）1、通過在線教學服務平臺，使大部分的學校利用公共信息資源開展網(wǎng)上輔助教育，遠程教育服務體系覆蓋到全省各縣，大部分的教師擁有遠程學習帳號。2、所有需要公開的教育政務或工作事項全部在統(tǒng)一的政務公開網(wǎng)頁上公布。3、市級以上教育行政部門實現(xiàn)網(wǎng)上在線辦理教育行政許可事項，省市業(yè)務工作會議可通過視頻會議系統(tǒng)召開，通過多種方式推動縣及以下視頻會議系統(tǒng)建設。非涉密公文可通過教育行政辦公系統(tǒng)傳輸。(四)教育信息化應用（--2015年）91四、教育信息化重點建設工程

陜西省基礎教育專網(wǎng)建設（2008年-2011年）專網(wǎng)建設工作計劃三年完成，第一年（2008年8月到09年8月），在西安、咸陽、漢中三個市和全省高中學校進行試點建設；第二年（2009年8月到2010年8月）根據(jù)各市調(diào)研摸底情況，計劃再完成3-4個市專網(wǎng)建設工作，使已簽署專網(wǎng)建設協(xié)議的各市70%的中小學校接入專網(wǎng)；第三年（2010年8月到2011年8月），完成100%的市、縣（區(qū)）教育局、普通中學和80%以上的完全小學接入專網(wǎng)，實現(xiàn)專網(wǎng)建設的設計目標，建成一個集遠程教學、資源服務、信息交流、教育管理、師資培訓等各項功能為一體的安全綠色的基礎教育專網(wǎng)。四、教育信息化重點建設工程陜西省基礎教育專網(wǎng)建設（92（二）校園網(wǎng)和無線網(wǎng)絡建設2020年

一是繼續(xù)推進中小學校園網(wǎng)建設，鄉(xiāng)鎮(zhèn)所在地的中小學校要基本建成學校校園網(wǎng)；二是促進無線網(wǎng)絡技術在學校的應用，有條件的學校基本上建立有線與無線相結合的高水平校園網(wǎng)絡，提高校園網(wǎng)的服務能力。（二）校園網(wǎng)和無線網(wǎng)絡建設2020年

一是繼續(xù)推進中小學校93(三)教育公共服務平臺建設工程2012年加強教育門戶網(wǎng)站建設，建立標準統(tǒng)一、協(xié)同運行的教育電子政務平臺和在線教學服務平臺，為省、市、縣、校實施教育行政管理、教育教學管理和開展遠程教學、資源交換、自主學習、互動交流、發(fā)布信息等應用提供公共服務。(三)教育公共服務平臺建設工程2012年941、建設教育電子政務平臺。通過統(tǒng)籌規(guī)劃，統(tǒng)一標準，集中開發(fā)與系統(tǒng)整合相結合，建立信息發(fā)布、行政辦公、視頻會議、業(yè)務處理、協(xié)同作業(yè)、互動交流等應用系統(tǒng)。2、建設在線教學服務平臺和綜合管理平臺。建立全省教育單位和學校都可以共用的資源交換、遠程教學、自主學習、在線輔導、教務教學管理等應用系統(tǒng)。開發(fā)現(xiàn)有遠程教育系統(tǒng)的應用接口，為各級各類教育單位開展教育教學服務提供公共服務支持。1、建設教育電子政務平臺。通過統(tǒng)籌規(guī)劃，統(tǒng)一標準，集中開發(fā)與953、建設教育門戶網(wǎng)站。一是加強陜西教育網(wǎng)的頻道和欄目建設，形成一批有特色的欄目。二是加強陜西教育網(wǎng)的內(nèi)容建設，形成教育政務信息內(nèi)容保障體系和教育新聞源信息渠道。三是建設一支政治與業(yè)務素質(zhì)強、靈活、高效的采編和技術人員隊伍。四是依托陜西教育網(wǎng)開展教育教學服務和各類活動，提高網(wǎng)站的服務能力和社會知名度。3、建設教育門戶網(wǎng)站。96(四)教育公共信息資源庫建設工程2015年

建設教育管理基礎數(shù)據(jù)庫。認真執(zhí)行教育部教育管理信息化標準，以教育事業(yè)統(tǒng)計基礎數(shù)據(jù)庫建設為基礎，以加強中小學生紙質(zhì)和電子學籍管理為切入點，逐步建立全省統(tǒng)一標準的教育數(shù)據(jù)中心和學校、學生、教師、教研、財務等分類基礎數(shù)據(jù)庫。對各級各類學校的人、財、物等進行數(shù)字符號標識，形成全省數(shù)據(jù)同步的基礎數(shù)據(jù)庫管理系統(tǒng)和應用服務體系。(四)教育公共信息資源庫建設工程2015年97陜西省基礎教育專網(wǎng)建設背景及意義陜西省基礎教育專網(wǎng)建設背景及意義98省級網(wǎng)絡信息平臺省級節(jié)點市級節(jié)點區(qū)縣和學校陜西省基礎教育骨干網(wǎng)西安市教育局西安市某縣教育局西安市某小學西安市某中學西安市城域網(wǎng)絡…………延安市某縣教育局延安市某小學延安市某小學延安市城域網(wǎng)絡…………延安市教育局西安市教育局網(wǎng)絡信息平臺延安市教育局網(wǎng)絡信息平臺互聯(lián)網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)核心層匯聚層接入層省級網(wǎng)絡信息平臺省級節(jié)點市級節(jié)點區(qū)縣和學校陜西省基礎西安市教99陜西省基礎教育專網(wǎng)接入技術方案

制定原則：一是不增加學校設備投入二是方便學校在現(xiàn)有網(wǎng)絡基礎上選擇不同方式接入基礎教育專網(wǎng)三是確保學校在訪問專網(wǎng)的同時不影響其互聯(lián)網(wǎng)的使用陜西省基礎教育專網(wǎng)接入技術方案

制定原則：100（一）第一類接入方式針對縣（區(qū)）教育局有統(tǒng)一互聯(lián)網(wǎng)和專網(wǎng)出口管理需求的情況，可采用第一類接入方式。1．實現(xiàn)方式一轄區(qū)內(nèi)學校首先通過電信線路接入基礎教育專網(wǎng)，在此基礎上，接入專網(wǎng)的學?？赏ㄟ^縣教育局的代理設備訪問互聯(lián)網(wǎng)。該方式下，學校主機直接通過電信線路接入基礎教育專網(wǎng)，學校使用由教育局主管部門和當?shù)仉娦殴竟餐芾矸峙涞膶＞W(wǎng)IP地址。（一）第一類接入方式針對縣（區(qū)）教育局有統(tǒng)一互聯(lián)網(wǎng)101（1）訪問互聯(lián)網(wǎng)：用戶訪問互聯(lián)網(wǎng)的需求通過縣教育局防火墻集中NAT轉(zhuǎn)換代理上互聯(lián)網(wǎng)。（2）訪問專網(wǎng)：對于有路由器、防火墻和代理服務器設備的學校，學校內(nèi)部主機IP地址可不做調(diào)整，電信公司和教育局管理部門只需給學校分配一個專網(wǎng)IP，學校通過可通過代理上網(wǎng)設備集中NAT轉(zhuǎn)換代理上專網(wǎng)；無代理上網(wǎng)設備的學校，學校主機使用由教育局主管部門和當?shù)仉娦殴竟餐芾矸峙涞膶＞W(wǎng)IP地址，直接成為基礎教育專網(wǎng)的網(wǎng)內(nèi)主機，直接與專網(wǎng)連接。（1）訪問互聯(lián)網(wǎng)：用戶訪問互聯(lián)網(wǎng)的需求通過縣教育局防火墻集中1022.實現(xiàn)方式二

在縣級設備上增加專網(wǎng)出口，并單獨接一根專網(wǎng)線路，在出口防火墻設備上做路由和雙NAT轉(zhuǎn)換，這種方式保持可保持區(qū)縣和學校原有IP地址規(guī)劃不變，區(qū)縣和學校也不用添加任何硬件設備，由區(qū)縣統(tǒng)一互聯(lián)網(wǎng)出口和專網(wǎng)出口，學?？梢酝瑫r訪問互聯(lián)網(wǎng)和專網(wǎng)資源。2.實現(xiàn)方式二

在縣級設備上增加專網(wǎng)出口，并單獨接一1033.實現(xiàn)方式三

各接入學校在縣級統(tǒng)一接入互聯(lián)網(wǎng)的基礎上，申請一定數(shù)量的專網(wǎng)接入賬號，接入專網(wǎng)的電腦安裝虛擬撥號軟件，并撥號建立VPN隧道后訪問專網(wǎng)資源，這種方式可以保證原有學校和區(qū)縣的已有IP地址規(guī)劃不變，由區(qū)縣統(tǒng)一互聯(lián)網(wǎng)出口，各學校單獨接入專網(wǎng)，學校可以同時訪問互聯(lián)網(wǎng)和專網(wǎng)資源。

3.實現(xiàn)方式三

各接入學校在縣級統(tǒng)一接入互聯(lián)網(wǎng)的基礎上，申請1044.優(yōu)缺點

優(yōu)點：此類接入方式學校的原互聯(lián)網(wǎng)業(yè)務和專網(wǎng)業(yè)務統(tǒng)一由區(qū)縣教育局的防火墻集中代理進行，方便縣（區(qū)）教育局對互聯(lián)網(wǎng)和專網(wǎng)的管理，同時，學校不需添加任何設備，每一臺主機可以同時訪問基礎教育專網(wǎng)和互聯(lián)網(wǎng)的資源。缺點：此種方式對區(qū)縣教育局端的設備和帶寬要求比較高，需區(qū)縣教育局增加投入，區(qū)縣教育局端管理任務較大；另外，在方式一中如果學校沒有代理上網(wǎng)設備時需要將學校內(nèi)每臺主機的IP地址統(tǒng)一更改為專網(wǎng)IP地址。4.優(yōu)缺點

優(yōu)點：此類接入方式學校的原互聯(lián)網(wǎng)業(yè)務和專網(wǎng)業(yè)務統(tǒng)105（二）第二類接入方式對不具備第一類需求條件的縣（區(qū)），轄區(qū)內(nèi)學校首先通過電信線路接入互聯(lián)網(wǎng)，在此基礎上再接入基礎教育專網(wǎng)。這種接入方式適合已經(jīng)通過ADSL和光纖接入互聯(lián)網(wǎng)的學校。（二）第二類接入方式對不具備第一類需求條件的縣（區(qū)），轄區(qū)內(nèi)1061．實現(xiàn)方式一

（1）實現(xiàn)模式學校采用VPN撥號認證方式接入基礎教育專網(wǎng)。學校局域網(wǎng)內(nèi)需要接入專網(wǎng)的電腦發(fā)起專網(wǎng)撥號認證，建立到基礎教育專網(wǎng)VPN隧道，自動獲取專網(wǎng)IP地址。采用這種方式接入專網(wǎng)的電腦可實現(xiàn)專網(wǎng)和互聯(lián)網(wǎng)的同時訪問。模型圖如下：1．實現(xiàn)方式一

（1）實現(xiàn)模式107（2）實現(xiàn)步驟

首先確保學校已經(jīng)使用ADSL專線線路或光纖線路接入互聯(lián)網(wǎng)。（用個人名義申請的學校使用的撥號ADSL線路必須更換為以單位名義申請的ADSL專線）。在接入電信互聯(lián)網(wǎng)基礎上，學校根據(jù)需要訪問基礎教育專網(wǎng)的主機數(shù)量，向當?shù)仉娦殴旧暾埢A教育專網(wǎng)的撥號認證帳號，需要訪問基礎教育專網(wǎng)的主機在接通互聯(lián)網(wǎng)的情況下在自己的操作系統(tǒng)上設置L2TP協(xié)議的VPN撥號軟件。撥號認證成功后自動獲取專網(wǎng)的IP地址，這時可以訪問基礎教育專網(wǎng)資源。在專網(wǎng)應用結束后中斷撥號連接，返回互聯(lián)網(wǎng)應用模式。學校的出口設備必須允許局域網(wǎng)內(nèi)的主機發(fā)起L2TP協(xié)議的VPN撥號（打開相應端口）。（2）實現(xiàn)步驟

首先確保學校已經(jīng)使用ADSL專線線路或光纖線108（3）優(yōu)缺點

優(yōu)點：這種方式學校局域網(wǎng)內(nèi)的所有主機IP地址現(xiàn)狀不受影響，現(xiàn)有互聯(lián)網(wǎng)應用不受影響。此接入方式只需學校主機進行撥號認證軟件設置，不需要學校在目前的基礎上增加任何投入即可接入專網(wǎng)，并且不會影響學校已有的互聯(lián)網(wǎng)應用（如學校網(wǎng)站等），只需以個人名義登記上網(wǎng)的學校更改為單位用戶即可。缺點：每次上專網(wǎng)需撥號認證（可通過設置自動撥號解決）。（3）優(yōu)缺點

優(yōu)點：這種方式學校局域網(wǎng)內(nèi)的所有主機IP地址現(xiàn)1092．實現(xiàn)方式二

（1）實現(xiàn)模式目前已經(jīng)使用電信光纖線路接入互聯(lián)網(wǎng)的學校，如出口設備支持雙業(yè)務VLAN及代理功能的學校，可以通過設置出口設備，開通雙業(yè)務VLAN，實現(xiàn)單條線路同時承載互聯(lián)網(wǎng)和基礎教育專網(wǎng)（雙網(wǎng)）的方式。2．實現(xiàn)方式二

（1）實現(xiàn)模式110（2）實現(xiàn)步驟

首先要求學校出口設備的出口端口上具備區(qū)別兩個以上不同業(yè)務VLAN（或者子接口）的功能，且設備具備代理功能，能代理專網(wǎng)內(nèi)的主機上互聯(lián)網(wǎng)。然后學校需要向當?shù)仉娦殴咎岢鼋尤牖A教育專網(wǎng)的業(yè)務申請，選擇采用單線路承載雙業(yè)務VLAN的方式。當?shù)仉娦啪质芾砗螅瑸閷W校分配專網(wǎng)的IP地址和VLAN號。但是學校的接入時間和割接方案需要電信局和學校共同協(xié)商決定。在學校確定接入專網(wǎng)時間后，通知當?shù)仉娦啪郑谕粋€時間點上，電信局修改局端設備的端口接入模式，實行單線路承載雙業(yè)務VLAN，學校根據(jù)電信分配的專網(wǎng)IP和VLAN號，修改出口設備的端口工作模式，在出口設備的端口上配置兩個VLAN綁定不同的IP子網(wǎng)，并且修改局域網(wǎng)內(nèi)的主機地址為專網(wǎng)的IP地址。（2）實現(xiàn)步驟

首先要求學校出口設備的出口端口上具備區(qū)別兩個111（3）優(yōu)缺點

優(yōu)點：此接入方式可以不增加學校投入，且不需撥號認證即可上專網(wǎng)。缺點：需要學校端目前已有的接入設備（防火墻或路由器）支持雙業(yè)務VLAN功能，且要將學校內(nèi)部主機的IP地址全部更改為專網(wǎng)的IP地址，并由電信統(tǒng)一分配VLAN號，否則無法實現(xiàn)。采用該方式電信側(cè)和學校側(cè)的設備端口數(shù)據(jù)均要修改，學校的IP地址必須要從新規(guī)劃，所以學校的業(yè)務要受到影響。建議由學校和當?shù)仉娦攀紫冗M行測試后（確認學校設備功能），共同確定業(yè)務割接方案，實施接入。（3）優(yōu)缺點

優(yōu)點：此接入方式可以不增加學校投入，且不需撥號112（三）第三類接入方式

對于學校網(wǎng)絡業(yè)務需求復雜多樣，校園局域網(wǎng)規(guī)模較大的情況，學校可直接通過網(wǎng)絡擴容方式接入基礎教育專網(wǎng)。（三）第三類接入方式

對于學校網(wǎng)絡業(yè)務需求復雜多樣，校園局域1131．實現(xiàn)方式

學校單獨申請一根專網(wǎng)線路接入基礎教育專網(wǎng)，和現(xiàn)有的互聯(lián)網(wǎng)接入物理分開，原有互聯(lián)網(wǎng)應用和IP地址不變，訪問基礎教育專網(wǎng)的電腦需配置專網(wǎng)IP地址，通過專線訪問基礎教育專網(wǎng)。模型圖如下：1．實現(xiàn)方式

學校單獨申請一根專網(wǎng)線路接入基礎教育專網(wǎng)，和現(xiàn)1142．優(yōu)缺點

優(yōu)點：學校原有的網(wǎng)絡應用和IP地址不受影響，通過專線訪問專網(wǎng)可保證網(wǎng)絡速度和質(zhì)量。缺點：學校需承擔第二根線路的費用，訪問基礎教育專網(wǎng)的電腦需更改為專網(wǎng)IP地址。2．優(yōu)缺點

優(yōu)點：學校原有的網(wǎng)絡應用和IP地址不受影響，通過1151、試點地市：咸陽、漢中、西安，根據(jù)本校網(wǎng)絡實際，可以參照“基礎教育專網(wǎng)接入方式”中的三種方式接入2、非試點地市：可先采用拔號的方式進入教育專網(wǎng)，學校內(nèi)部網(wǎng)絡結構不進行任何改變。VPN帳號及密碼由各市教育局和當?shù)仉娦殴矩撠煼峙?，接入技術由當?shù)仉娦殴矩撠熂夹g支持。對于所在地區(qū)有統(tǒng)一專網(wǎng)出口要求的非試點地市的學校，待該地市專網(wǎng)骨干網(wǎng)絡建設完成后，參照“基礎教育專網(wǎng)接入方式”更改該學校的專網(wǎng)接入方式。高中接入專網(wǎng)高中接入專網(wǎng)116陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)撥號設置陜西省基礎教育專網(wǎng)撥號規(guī)則陜西省基礎教育專網(wǎng)撥號設置117根據(jù)陜西省基礎教育專網(wǎng)電信售后服務保障方案，對于陜西省基礎教育專網(wǎng)在網(wǎng)絡運行過程中出現(xiàn)故障,用戶可以通過以下方式進行申告：1、撥打10000號客服電話2、撥打客戶經(jīng)理聯(lián)系電話進行報障3、直接撥打維護工程師聯(lián)系電話報障陜西省基礎教育專網(wǎng)故障申報流程和方式根據(jù)陜西省基礎教育專網(wǎng)電信售后服務保障方案118網(wǎng)絡安全基礎知識第一部分：信息網(wǎng)絡安全管理第二部分：信息網(wǎng)絡安全技術與安全專用產(chǎn)品第三部分：計算機病毒防治網(wǎng)絡安全基礎知識第一部分：信息網(wǎng)絡安全管理119

一、信息網(wǎng)絡與計算機信息系統(tǒng)

計算機信息系統(tǒng)是指由計算機及其相關和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸和檢索等處理的人機系統(tǒng)。信息網(wǎng)絡和計算機信息系統(tǒng)是不同發(fā)展階段對計算機信息系統(tǒng)的具體稱謂，在90年代中期之前所稱計算機信息系統(tǒng)，是以大型計算機為核心，通過網(wǎng)絡將許多個人計算機聯(lián)在一起形成的計算機信息系統(tǒng)；90年代末期以來所稱的信息網(wǎng)絡，則以高速通信網(wǎng)絡為紐帶，將許多計算機信息系統(tǒng)聯(lián)在一起形成信息網(wǎng)絡。

一、信息網(wǎng)絡與計算機信息系統(tǒng)

計算機信息系統(tǒng)是指120二、什么是信息網(wǎng)絡安全

信息網(wǎng)絡安全是指防止信息網(wǎng)絡本身及其采集、加工、存儲、傳輸?shù)男畔?shù)據(jù)被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制，即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。二、什么是信息網(wǎng)絡安全121三、信息網(wǎng)絡安全面臨的威脅

信息網(wǎng)絡面臨的威脅主要來自：電磁泄露、雷擊等環(huán)境安全構成的威脅，軟硬件故障和工作人員誤操作等人為或偶然事故構成的威脅，利用計算機實施盜竊、詐騙等違法犯罪活動的威脅，網(wǎng)絡攻擊和計算機病毒構成的威脅，以及信息戰(zhàn)的威脅等。三、信息網(wǎng)絡安全面臨的威脅

信息網(wǎng)絡面臨的威脅主要來122四、信息網(wǎng)絡自身的脆弱性

信息網(wǎng)絡自身的脆弱性主要包括：在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素；在信息網(wǎng)絡自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；在其他方面如磁盤高密度存儲受到損壞造成大量信息的丟失，存儲介質(zhì)中的殘留信息泄密，計算機設備工作時產(chǎn)生的輻射電磁波造成的信息泄密。

四、信息網(wǎng)絡自身的脆弱性

信息網(wǎng)絡自身的脆弱性主123五、信息網(wǎng)絡安全策略

信息網(wǎng)絡運行部門的安全管理工作應首先研究確定信息網(wǎng)絡安全策略，安全策略確定網(wǎng)絡安全保護工作的目標和對象。信息網(wǎng)絡安全策略涵蓋面很多，如總體安全策略、網(wǎng)絡安全策略、應用系統(tǒng)安全策略、部門安全策略、設備安全策略等。一個信息網(wǎng)絡的總體安全策略，可以概括為“實體可信，行為可控，資源可管，事件可查，運行可靠”，總體安全策略為其它安全策略的制定提供總的依據(jù)。五、信息網(wǎng)絡安全策略

信息網(wǎng)絡運行部門的安全管124實體可信：實體指構成信息網(wǎng)絡的基本要素，主要有網(wǎng)絡基礎設備、軟件系統(tǒng)、用戶和數(shù)據(jù)。保證構建網(wǎng)絡的基礎設備和軟件系統(tǒng)安全可信，沒有預留后門或邏輯炸彈。保證接入網(wǎng)絡的用戶是可信的，防止惡意用戶對系統(tǒng)的攻擊破壞。保證在網(wǎng)絡上傳輸、處理、存儲的數(shù)據(jù)是可信的，防止搭線竊聽，非授權訪問或惡意篡改。實體可信：實體指構成信息網(wǎng)絡的基本要素，主要有網(wǎng)絡基礎設備、125行為可控：保證用戶行為可控，即保證本地計算機的各種軟硬件資源(例如：內(nèi)存、中斷、I／O端口、硬盤等硬件設備，文件、目錄、進程、系統(tǒng)調(diào)用等軟件資源)不被非授權使用或被用于危害本系統(tǒng)或其它系統(tǒng)的安全。保證網(wǎng)絡接入可控，即保證用戶接入網(wǎng)絡應嚴格受控，用戶上網(wǎng)必須得到申請登記并許可。保證網(wǎng)絡行為可控，即保證網(wǎng)絡上的通信行為受到監(jiān)視和控制，防止濫用資源、非法外聯(lián)、網(wǎng)絡攻擊、非法訪問和傳播有害信息等惡意事件的發(fā)生。

行為可控：保證用戶行為可控，即保證本地計算機的各種軟硬件資126資源可管：保證對路由器、交換機、服務器、郵件系統(tǒng)、目錄系統(tǒng)、數(shù)據(jù)庫、域名系統(tǒng)、安全設備、密碼設備、密鑰參數(shù)、交換機端口、IP地址、用戶賬號、服務端口等網(wǎng)絡資源進行統(tǒng)一管理。

事件可查：保證對網(wǎng)絡上的各類違規(guī)事件進行監(jiān)控記錄，確保日志記錄的完整性，為安全事件稽查、取證提供依據(jù)。資源可管：保證對路由器、交換機、服務器、郵件系統(tǒng)、目錄系統(tǒng)127運行可靠：保證網(wǎng)絡節(jié)點在發(fā)生自然災難或遭到硬摧毀時仍能不間斷運行，具有容災抗毀和備份恢復能力。保證能夠有效防范病毒和黑客的攻擊所引起的網(wǎng)絡擁塞、系統(tǒng)崩潰和數(shù)據(jù)丟失，并具有較強的應急響應和災難恢復能力。運行可靠：保證網(wǎng)絡節(jié)點在發(fā)生自然災難或遭到硬摧毀時仍能不間128六、信息網(wǎng)絡安全管理的組成

信息網(wǎng)絡安全管理包括管理組織機構、管理制度和管理技術三個方面，要通過組建完整的信息網(wǎng)絡安全管理組織機構，設置安全管理人員，制定嚴格的安全管理制度，利用先進的安全管理技術對整個信息網(wǎng)絡進行管理。六、信息網(wǎng)絡安全管理的組成

信息網(wǎng)絡安全管理包括管理129七、信息網(wǎng)絡安全保護體系

信息網(wǎng)絡安全保護涉及人員、技術和法規(guī)三個方面，因此，信息網(wǎng)絡安全防護體系從總體上可分為三大部分。即技術防護體系、組織管理體系和法規(guī)標準體系，它們以信息網(wǎng)絡的總體安全策略為核心，共同保護信息網(wǎng)絡安全運行。七、信息網(wǎng)絡安全保護體系

信息網(wǎng)絡安全保護涉及人員、130八、信息網(wǎng)絡安全管理組織的主要職責

信息安全管理堅持“誰主管誰負責，誰運行誰負責”的原則。信息安全管理組織的主要職責是：制定工作人員守則、安全操作規(guī)范和管理制度，經(jīng)主管領導批準后監(jiān)督執(zhí)行；組織進行信息網(wǎng)絡建設和運行安全檢測檢查，掌握詳細的安全資料，研究制定安全對策和措施；負責信息網(wǎng)絡的日常安全管理工作；定期總結安全工作，并接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的工作指導。八、信息網(wǎng)絡安全管理組織的主要職責

信息安全管理堅持131九、信息網(wǎng)絡安全管理內(nèi)容

信息網(wǎng)絡安全管理的主要內(nèi)容：有主要領導負責的逐級安全保護管理責任制，配備專職或兼職的安全員，各級職責劃分明確，并有效開展工作；明確運行和使用部門或崗位責任制，建立安全管理規(guī)章制度；在職工群眾中普及安全知識，對重點崗位職工進行專門培訓和考核；采取必要的安全技術措施；對安全保護工作有檔案記錄和應急計劃；定期進行安全檢測和風險分析和安全隱患整改；實行信息安全等級保護制度。九、信息網(wǎng)絡安全管理內(nèi)容

信息網(wǎng)絡安全管理的主要內(nèi)容132十、什么是信息系統(tǒng)安全等級保護

信息網(wǎng)絡安全管理工作要堅持從實際出發(fā)、保障重點的原則，區(qū)分不同情況，分級、分類、分階段進行信息網(wǎng)絡安全建設和管理。按照《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定的規(guī)定，我國實行五級信息安全等級保護。

第一級：用戶自主保護級；由用戶來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統(tǒng)審計保護級；本級的安全保護機制支持用戶具有更強的自主保護能力。特別是具有訪問審記能力，即它能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關的操作都能夠被記錄下來，以便當系統(tǒng)發(fā)生安全問題時，可以根據(jù)審記記錄，分析追查事故責任人。

十、什么是信息系統(tǒng)安全等級保護

信息網(wǎng)絡安全管理工133第三級：安全標記保護級；具有第二級系統(tǒng)審計保護級的所有功能，并對訪問者及其訪問對象實施強制訪問控制。通過對訪問者和訪問對象指定不同安全標記，限制訪問者的權限。

第四級：結構化保護級；將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構造也是結構化的，以使之具有相當?shù)目節(jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

第五級：訪問驗證保護級；具備第四級的所有功能，還具有仲裁訪問者能否訪問某些對象的能力。為此，本級的安全保護機制不能被攻擊、被篡改的，具有極強的抗?jié)B透能力。

計算機信息系統(tǒng)安全等級保護標準體系包括：信息系統(tǒng)安全保護等級劃分標準、等級設備標準、等級建設標準、等級管理標準等，是實行等級保護制度的重要基礎。第三級：安全標記保護級；具有第二級系統(tǒng)審計保護級的所有功能，134十一、信息網(wǎng)絡安全事件與事件響應

信息網(wǎng)絡安全事件的具體含義會隨著“角度”的變化而變化，比如：從用戶（個人、企業(yè)等）的角度來說，個人隱私或商業(yè)利益的信