六年级信息技术计划课件

陕西省基础教育专网培训陕西省电化教育馆陕西省基础教育网络资源管理中心网络部运行部主任：张劲萌E-MAIL:Zhangjinmeng@126.comQQ:415239150陕西省基础教育专网培训陕西省电化教育馆1陕西省基础教育信息化建设发展规划陕西省基础教育专网建设背景及意义陕西省基础教育专网网络整体规划陕西省基础教育专网接入技术方案陕西省基础教育专网拨号规则陕西省基础教育专网故障申报流程和方式网络安全基础知识陕西省基础教育信息化建设发展规划2陕西省教育信息化中长期发展规划我省基础教育信息化建设和发展现状

截止目前,我省已顺利完成了五个财政年度的远程教育工程建设任务，覆盖全省11个市、104个县、24862所农村中小学校，共计建设成模式一（光盘播放系统）6390个；模式二（卫星教学收视点）16420个，模式三（多媒体计算机网络教室）2052个，部分学校已经通过光纤和ADSL方式接入到互联网。陕西省教育信息化中长期发展规划我省基础教育信息化建设和发展现3

我省基础教育信息化应用系统建设初具规模。陕西教育网以及各教育行政部门网站已成为教育信息发布的重要窗口。现已建成高中、初中、小学教育教学综合管理系统、中小学网站生成系统、视频点播系统、资源管理平台等应用系统，基本实现了省、市资源信息交换与共享，提高了信息使用效率和价值。我省基础教育信息化应用系统建设初具规模。4我省教育信息化存在的主要问题

一是网络互联互通、管理使用、网络信息安全等方面的任务还十分艰巨；二是资源统筹管理、共建共享机制不健全，研究、应用水平亟待提高；三是现代远程教育发展不够，规范管理的任务还很重；四是教育电子政务应用与教育管理现代化的要求相比还有较大的差距；五是教育公共服务的合格人才欠缺，信息服务支撑能力不足的问题尚未根本改变。六是经费投入及业务能力不够，导致建设进展缓慢。

我省教育信息化存在的主要问题一是网络互联互通、管理使用、网5建设原则

统一标准、统筹规划集中建设、资源共享需求导向、实用高效立足发展、确保安全建设原则统一标准、统筹规划6我省基础教育信息化中长期建设规划建成全省“统一规划、统一标准、统一应用、统一管理”的、覆盖省、市、县、校四级的基础教育专网系统；建成以电子政务平台、在线教学平台、教育教学综合管理系统和教育门户网站为主要内容的教育公共服务平台；建成以教育管理基础数据库和公共教学资源库为主要内容的教育公共信息资源库；形成“设施完备、功能齐全、运行高效、应用广泛”的教育信息化格局。经过5-8年努力，逐步建成“数字陕西教育”。

我省基础教育信息化中长期建设规划建成全省“统一规划、统一标准7(一)信息化公共服务基础设施建设

到2020年，实现100％的市教育局、县（区、市）教育局和高中学校内部建成局域网(校园网)，外部实现宽带接入基础教育专网和互联网。100％的城镇中小学校实现外部宽带接入基础教育专网和互联网，内部电脑互连。100%的农村初中、95％以上的农村小学实现外部宽带接入基础教育专网和互联网。(一)信息化公共服务基础设施建设到2020年，实现8到2015年，基本实现“班班通”，到2020年，建成遍及城乡，覆盖所有学校的信息基础设施，中小学校平均每百学生计算机拥有量有较大幅度的提升，所有初中建成宽带接入的多媒体教室，所有农村小学、教学点建立网络接入的远程教育站点。到2015年，基本实现“班班通”，到2020年，建9到2012年，基本建成覆盖县以上教育行政机关和高中学校的教育视频会议系统。建立健全教育网络和信息系统安全保障体系，技术设施齐全，措施完善可靠。到2012年，基本建成覆盖县以上教育行政机关和高中10

到2012年，初步搭建起集信息发布、行政办公、业务管理、互动交流等功能的教育电子政务平台和具有资源交换、精品课程、远程教学、自主学习、考试评估等功能的在线教学服务平台，逐步建成全国有一定影响的省级教育门户网站。全省大部分中小学校建立自己的网站。(二)教育公共服务平台建设(二)教育公共服务平台建设11(三)教育信息资源建设

到2015年，建立教育管理基础数据库，实现学校、学生、教职工、科研、财务等几大类基础数据入库，基础数据实现及时更新；能够通过网络浏览到全省大部分教育单位的数字化图书馆，逐步建立各类教育资源研究、规划、开发、应用体系。(三)教育信息资源建设12(四)教育信息化应用（--2015年）1、通过在线教学服务平台，使大部分的学校利用公共信息资源开展网上辅助教育，远程教育服务体系覆盖到全省各县，大部分的教师拥有远程学习帐号。2、所有需要公开的教育政务或工作事项全部在统一的政务公开网页上公布。3、市级以上教育行政部门实现网上在线办理教育行政许可事项，省市业务工作会议可通过视频会议系统召开，通过多种方式推动县及以下视频会议系统建设。非涉密公文可通过教育行政办公系统传输。(四)教育信息化应用（--2015年）13四、教育信息化重点建设工程

陕西省基础教育专网建设（2008年-2011年）专网建设工作计划三年完成，第一年（2008年8月到09年8月），在西安、咸阳、汉中三个市和全省高中学校进行试点建设；第二年（2009年8月到2010年8月）根据各市调研摸底情况，计划再完成3-4个市专网建设工作，使已签署专网建设协议的各市70%的中小学校接入专网；第三年（2010年8月到2011年8月），完成100%的市、县（区）教育局、普通中学和80%以上的完全小学接入专网，实现专网建设的设计目标，建成一个集远程教学、资源服务、信息交流、教育管理、师资培训等各项功能为一体的安全绿色的基础教育专网。四、教育信息化重点建设工程陕西省基础教育专网建设（14（二）校园网和无线网络建设2020年

一是继续推进中小学校园网建设，乡镇所在地的中小学校要基本建成学校校园网；二是促进无线网络技术在学校的应用，有条件的学校基本上建立有线与无线相结合的高水平校园网络，提高校园网的服务能力。（二）校园网和无线网络建设2020年

一是继续推进中小学校15(三)教育公共服务平台建设工程2012年加强教育门户网站建设，建立标准统一、协同运行的教育电子政务平台和在线教学服务平台，为省、市、县、校实施教育行政管理、教育教学管理和开展远程教学、资源交换、自主学习、互动交流、发布信息等应用提供公共服务。(三)教育公共服务平台建设工程2012年161、建设教育电子政务平台。通过统筹规划，统一标准，集中开发与系统整合相结合，建立信息发布、行政办公、视频会议、业务处理、协同作业、互动交流等应用系统。2、建设在线教学服务平台和综合管理平台。建立全省教育单位和学校都可以共用的资源交换、远程教学、自主学习、在线辅导、教务教学管理等应用系统。开发现有远程教育系统的应用接口，为各级各类教育单位开展教育教学服务提供公共服务支持。1、建设教育电子政务平台。通过统筹规划，统一标准，集中开发与173、建设教育门户网站。一是加强陕西教育网的频道和栏目建设，形成一批有特色的栏目。二是加强陕西教育网的内容建设，形成教育政务信息内容保障体系和教育新闻源信息渠道。三是建设一支政治与业务素质强、灵活、高效的采编和技术人员队伍。四是依托陕西教育网开展教育教学服务和各类活动，提高网站的服务能力和社会知名度。3、建设教育门户网站。18(四)教育公共信息资源库建设工程2015年

建设教育管理基础数据库。认真执行教育部教育管理信息化标准，以教育事业统计基础数据库建设为基础，以加强中小学生纸质和电子学籍管理为切入点，逐步建立全省统一标准的教育数据中心和学校、学生、教师、教研、财务等分类基础数据库。对各级各类学校的人、财、物等进行数字符号标识，形成全省数据同步的基础数据库管理系统和应用服务体系。(四)教育公共信息资源库建设工程2015年19陕西省基础教育专网建设背景及意义陕西省基础教育专网建设背景及意义20省级网络信息平台省级节点市级节点区县和学校陕西省基础教育骨干网西安市教育局西安市某县教育局西安市某小学西安市某中学西安市城域网络…………延安市某县教育局延安市某小学延安市某小学延安市城域网络…………延安市教育局西安市教育局网络信息平台延安市教育局网络信息平台互联网互联网互联网核心层汇聚层接入层省级网络信息平台省级节点市级节点区县和学校陕西省基础西安市教21陕西省基础教育专网接入技术方案

制定原则：一是不增加学校设备投入二是方便学校在现有网络基础上选择不同方式接入基础教育专网三是确保学校在访问专网的同时不影响其互联网的使用陕西省基础教育专网接入技术方案

制定原则：22（一）第一类接入方式针对县（区）教育局有统一互联网和专网出口管理需求的情况，可采用第一类接入方式。1．实现方式一辖区内学校首先通过电信线路接入基础教育专网，在此基础上，接入专网的学校可通过县教育局的代理设备访问互联网。该方式下，学校主机直接通过电信线路接入基础教育专网，学校使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址。（一）第一类接入方式针对县（区）教育局有统一互联网23（1）访问互联网：用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网。（2）访问专网：对于有路由器、防火墙和代理服务器设备的学校，学校内部主机IP地址可不做调整，电信公司和教育局管理部门只需给学校分配一个专网IP，学校通过可通过代理上网设备集中NAT转换代理上专网；无代理上网设备的学校，学校主机使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址，直接成为基础教育专网的网内主机，直接与专网连接。（1）访问互联网：用户访问互联网的需求通过县教育局防火墙集中242.实现方式二

在县级设备上增加专网出口，并单独接一根专网线路，在出口防火墙设备上做路由和双NAT转换，这种方式保持可保持区县和学校原有IP地址规划不变，区县和学校也不用添加任何硬件设备，由区县统一互联网出口和专网出口，学校可以同时访问互联网和专网资源。2.实现方式二

在县级设备上增加专网出口，并单独接一253.实现方式三

各接入学校在县级统一接入互联网的基础上，申请一定数量的专网接入账号，接入专网的电脑安装虚拟拨号软件，并拨号建立VPN隧道后访问专网资源，这种方式可以保证原有学校和区县的已有IP地址规划不变，由区县统一互联网出口，各学校单独接入专网，学校可以同时访问互联网和专网资源。

3.实现方式三

各接入学校在县级统一接入互联网的基础上，申请264.优缺点

优点：此类接入方式学校的原互联网业务和专网业务统一由区县教育局的防火墙集中代理进行，方便县（区）教育局对互联网和专网的管理，同时，学校不需添加任何设备，每一台主机可以同时访问基础教育专网和互联网的资源。缺点：此种方式对区县教育局端的设备和带宽要求比较高，需区县教育局增加投入，区县教育局端管理任务较大；另外，在方式一中如果学校没有代理上网设备时需要将学校内每台主机的IP地址统一更改为专网IP地址。4.优缺点

优点：此类接入方式学校的原互联网业务和专网业务统27（二）第二类接入方式对不具备第一类需求条件的县（区），辖区内学校首先通过电信线路接入互联网，在此基础上再接入基础教育专网。这种接入方式适合已经通过ADSL和光纤接入互联网的学校。（二）第二类接入方式对不具备第一类需求条件的县（区），辖区内281．实现方式一

（1）实现模式学校采用VPN拨号认证方式接入基础教育专网。学校局域网内需要接入专网的电脑发起专网拨号认证，建立到基础教育专网VPN隧道，自动获取专网IP地址。采用这种方式接入专网的电脑可实现专网和互联网的同时访问。模型图如下：1．实现方式一

（1）实现模式29（2）实现步骤

首先确保学校已经使用ADSL专线线路或光纤线路接入互联网。（用个人名义申请的学校使用的拨号ADSL线路必须更换为以单位名义申请的ADSL专线）。在接入电信互联网基础上，学校根据需要访问基础教育专网的主机数量，向当地电信公司申请基础教育专网的拨号认证帐号，需要访问基础教育专网的主机在接通互联网的情况下在自己的操作系统上设置L2TP协议的VPN拨号软件。拨号认证成功后自动获取专网的IP地址，这时可以访问基础教育专网资源。在专网应用结束后中断拨号连接，返回互联网应用模式。学校的出口设备必须允许局域网内的主机发起L2TP协议的VPN拨号（打开相应端口）。（2）实现步骤

首先确保学校已经使用ADSL专线线路或光纤线30（3）优缺点

优点：这种方式学校局域网内的所有主机IP地址现状不受影响，现有互联网应用不受影响。此接入方式只需学校主机进行拨号认证软件设置，不需要学校在目前的基础上增加任何投入即可接入专网，并且不会影响学校已有的互联网应用（如学校网站等），只需以个人名义登记上网的学校更改为单位用户即可。缺点：每次上专网需拨号认证（可通过设置自动拨号解决）。（3）优缺点

优点：这种方式学校局域网内的所有主机IP地址现312．实现方式二

（1）实现模式目前已经使用电信光纤线路接入互联网的学校，如出口设备支持双业务VLAN及代理功能的学校，可以通过设置出口设备，开通双业务VLAN，实现单条线路同时承载互联网和基础教育专网（双网）的方式。2．实现方式二

（1）实现模式32（2）实现步骤

首先要求学校出口设备的出口端口上具备区别两个以上不同业务VLAN（或者子接口）的功能，且设备具备代理功能，能代理专网内的主机上互联网。然后学校需要向当地电信公司提出接入基础教育专网的业务申请，选择采用单线路承载双业务VLAN的方式。当地电信局受理后，为学校分配专网的IP地址和VLAN号。但是学校的接入时间和割接方案需要电信局和学校共同协商决定。在学校确定接入专网时间后，通知当地电信局，在同一个时间点上，电信局修改局端设备的端口接入模式，实行单线路承载双业务VLAN，学校根据电信分配的专网IP和VLAN号，修改出口设备的端口工作模式，在出口设备的端口上配置两个VLAN绑定不同的IP子网，并且修改局域网内的主机地址为专网的IP地址。（2）实现步骤

首先要求学校出口设备的出口端口上具备区别两个33（3）优缺点

优点：此接入方式可以不增加学校投入，且不需拨号认证即可上专网。缺点：需要学校端目前已有的接入设备（防火墙或路由器）支持双业务VLAN功能，且要将学校内部主机的IP地址全部更改为专网的IP地址，并由电信统一分配VLAN号，否则无法实现。采用该方式电信侧和学校侧的设备端口数据均要修改，学校的IP地址必须要从新规划，所以学校的业务要受到影响。建议由学校和当地电信首先进行测试后（确认学校设备功能），共同确定业务割接方案，实施接入。（3）优缺点

优点：此接入方式可以不增加学校投入，且不需拨号34（三）第三类接入方式

对于学校网络业务需求复杂多样，校园局域网规模较大的情况，学校可直接通过网络扩容方式接入基础教育专网。（三）第三类接入方式

对于学校网络业务需求复杂多样，校园局域351．实现方式

学校单独申请一根专网线路接入基础教育专网，和现有的互联网接入物理分开，原有互联网应用和IP地址不变，访问基础教育专网的电脑需配置专网IP地址，通过专线访问基础教育专网。模型图如下：1．实现方式

学校单独申请一根专网线路接入基础教育专网，和现362．优缺点

优点：学校原有的网络应用和IP地址不受影响，通过专线访问专网可保证网络速度和质量。缺点：学校需承担第二根线路的费用，访问基础教育专网的电脑需更改为专网IP地址。2．优缺点

优点：学校原有的网络应用和IP地址不受影响，通过371、试点地市：咸阳、汉中、西安，根据本校网络实际，可以参照“基础教育专网接入方式”中的三种方式接入2、非试点地市：可先采用拔号的方式进入教育专网，学校内部网络结构不进行任何改变。VPN帐号及密码由各市教育局和当地电信公司负责分配，接入技术由当地电信公司负责技术支持。对于所在地区有统一专网出口要求的非试点地市的学校，待该地市专网骨干网络建设完成后，参照“基础教育专网接入方式”更改该学校的专网接入方式。高中接入专网高中接入专网38陕西省基础教育专网拨号规则陕西省基础教育专网拨号设置陕西省基础教育专网拨号规则陕西省基础教育专网拨号设置39根据陕西省基础教育专网电信售后服务保障方案，对于陕西省基础教育专网在网络运行过程中出现故障,用户可以通过以下方式进行申告：1、拨打10000号客服电话2、拨打客户经理联系电话进行报障3、直接拨打维护工程师联系电话报障陕西省基础教育专网故障申报流程和方式根据陕西省基础教育专网电信售后服务保障方案40网络安全基础知识第一部分：信息网络安全管理第二部分：信息网络安全技术与安全专用产品第三部分：计算机病毒防治网络安全基础知识第一部分：信息网络安全管理41

一、信息网络与计算机信息系统

计算机信息系统是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。信息网络和计算机信息系统是不同发展阶段对计算机信息系统的具体称谓，在90年代中期之前所称计算机信息系统，是以大型计算机为核心，通过网络将许多个人计算机联在一起形成的计算机信息系统；90年代末期以来所称的信息网络，则以高速通信网络为纽带，将许多计算机信息系统联在一起形成信息网络。

一、信息网络与计算机信息系统

计算机信息系统是指42二、什么是信息网络安全

信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。二、什么是信息网络安全43三、信息网络安全面临的威胁

信息网络面临的威胁主要来自：电磁泄露、雷击等环境安全构成的威胁，软硬件故障和工作人员误操作等人为或偶然事故构成的威胁，利用计算机实施盗窃、诈骗等违法犯罪活动的威胁，网络攻击和计算机病毒构成的威胁，以及信息战的威胁等。三、信息网络安全面临的威胁

信息网络面临的威胁主要来44四、信息网络自身的脆弱性

信息网络自身的脆弱性主要包括：在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素；在信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素；在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失，存储介质中的残留信息泄密，计算机设备工作时产生的辐射电磁波造成的信息泄密。

四、信息网络自身的脆弱性

信息网络自身的脆弱性主45五、信息网络安全策略

信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略，安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很多，如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”，总体安全策略为其它安全策略的制定提供总的依据。五、信息网络安全策略

信息网络运行部门的安全管46实体可信：实体指构成信息网络的基本要素，主要有网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信，没有预留后门或逻辑炸弹。保证接入网络的用户是可信的，防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听，非授权访问或恶意篡改。实体可信：实体指构成信息网络的基本要素，主要有网络基础设备、47行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资源(例如：内存、中断、I／O端口、硬盘等硬件设备，文件、目录、进程、系统调用等软件资源)不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控，即保证用户接入网络应严格受控，用户上网必须得到申请登记并许可。保证网络行为可控，即保证网络上的通信行为受到监视和控制，防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。

行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资48资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等网络资源进行统一管理。

事件可查：保证对网络上的各类违规事件进行监控记录，确保日志记录的完整性，为安全事件稽查、取证提供依据。资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统49运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失，并具有较强的应急响应和灾难恢复能力。运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间50六、信息网络安全管理的组成

信息网络安全管理包括管理组织机构、管理制度和管理技术三个方面，要通过组建完整的信息网络安全管理组织机构，设置安全管理人员，制定严格的安全管理制度，利用先进的安全管理技术对整个信息网络进行管理。六、信息网络安全管理的组成

信息网络安全管理包括管理51七、信息网络安全保护体系

信息网络安全保护涉及人员、技术和法规三个方面，因此，信息网络安全防护体系从总体上可分为三大部分。即技术防护体系、组织管理体系和法规标准体系，它们以信息网络的总体安全策略为核心，共同保护信息网络安全运行。七、信息网络安全保护体系

信息网络安全保护涉及人员、52八、信息网络安全管理组织的主要职责

信息安全管理坚持“谁主管谁负责，谁运行谁负责”的原则。信息安全管理组织的主要职责是：制定工作人员守则、安全操作规范和管理制度，经主管领导批准后监督执行；组织进行信息网络建设和运行安全检测检查，掌握详细的安全资料，研究制定安全对策和措施；负责信息网络的日常安全管理工作；定期总结安全工作，并接受公安机关公共信息网络安全监察部门的工作指导。八、信息网络安全管理组织的主要职责

信息安全管理坚持53九、信息网络安全管理内容

信息网络安全管理的主要内容：有主要领导负责的逐级安全保护管理责任制，配备专职或兼职的安全员，各级职责划分明确，并有效开展工作；明确运行和使用部门或岗位责任制，建立安全管理规章制度；在职工群众中普及安全知识，对重点岗位职工进行专门培训和考核；采取必要的安全技术措施；对安全保护工作有档案记录和应急计划；定期进行安全检测和风险分析和安全隐患整改；实行信息安全等级保护制度。九、信息网络安全管理内容

信息网络安全管理的主要内容54十、什么是信息系统安全等级保护

信息网络安全管理工作要坚持从实际出发、保障重点的原则，区分不同情况，分级、分类、分阶段进行信息网络安全建设和管理。按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。

第一级：用户自主保护级；由用户来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级；本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。

十、什么是信息系统安全等级保护

信息网络安全管理工55第三级：安全标记保护级；具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。

第四级：结构化保护级；将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级；具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。

计算机信息系统安全等级保护标准体系包括：信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等，是实行等级保护制度的重要基础。第三级：安全标记保护级；具有第二级系统审计保护级的所有功能，56十一、信息网络安全事件与事件响应

信息网络安全事件的具体含义会随着“角度”的变化而变化，比如：从用户（个人、企业等）的角度来说，个人隐私或商业利益的信息在网络上传输时受到侵犯，其他人或竞争对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，破坏信息的机密性、完整性和真实性。从网络运行和管理者角度说，安全事件是对本地网络信息的访问、读写等操作，出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，或遭受网络黑客的攻击。十一、信息网络安全事件与事件响应

信息网络安全事件的具体含57对保密部门来说，则是国家机要信息泄露，对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，被利用在网络上传播不健康的内容，对社会的稳定和人类的发展造成阻碍等都是安全事件。对保密部门来说，则是国家机要信息泄露，对社会产生危害，对国家58对于网络运行和管理来说，网络攻击和计算机病毒传播等安全事件的响应处置包括6个阶段：1、准备阶段，基于威胁建立一组合理的防范、控制措施，建立一组尽可能高效的事件处理程序，获得处理问题必须的资源和人员，最终建立应急响应体系。2、检测阶段，进行技术检测，获取完整系统备份，进行系统审计，分析异常现象，评估事件范围，报告事件。3、控制阶段，制定可能的控制策略，拟定详细的控制措施实施计划，对控制措施进行评估和选择，记录控制措施的执行，继续报告。对于网络运行和管理来说，网络攻击和计算机病毒传播等安全事件的594、根除阶段，查找出事件根源并根除之，确认备份系统的安全，记录和报告。5、恢复阶段，根据事件情况，从保存完好的介质上恢复系统可靠性高，一次完整的恢复应修改所有用户口令。数据恢复应十分小心，可以从最新的完整备份或从容错系统硬件中恢复数据，记录和报告。6、追踪阶段，非常关键，其目标是回顾并整合发生事件信息，对事件进行一次事后分析，为下一步进行的民事或刑事的法律活动提高有用的信息。4、根除阶段，查找出事件根源并根除之，确认备份系统的安全，记60

第二部分：信息网络安全技术与安全专用产品

一、做好口令保护防范入侵的前线是口令系统。口令用于验证登录用户的身份标识。应当建立用户帐号管理，设置对文件、目录、打印机和其他资源的访问权限，加强口令管理（如设置生效期等）和检查，避免使用公共帐号，教育用户保管好口令并避免使用过于简单的口令。保护口令的一种方法是口令加密，就是为一进步防止口令泄露，口令在系统中保存时，以加密的形式存放。阻止口令攻击的另一种方法是拒绝入侵者访问口令文件，如果只有一个特权用户能够访问口令文件的加密部分，那么入侵者如果不知道该用户的口令，就无法读取它。

第二部分：信息网络安全技术与安全专用产品一、做好口令保61

二、系统后门和安全补丁后门是一种可以绕过安全性控制而获得对程序或系统访问权的隐蔽程序或方法。在软件的开发阶段，程序员常会在软件内创建后门以便修改程序。如果后门被其他人知道，或是在发布软件之前没有删除后门，那么就可能被利用来建立隐蔽通道，甚至植入隐蔽的恶意程序，达到非法访问或窃取、篡改、伪造、破坏数据等目的。现在后门多指系统被入侵后被安装的具有控制系统权限的程序，通过它黑客可以远程控制系统。

二、系统后门和安全补丁后门是一种可以绕过安全性控制而获得62漏洞是软件在开发的过程中没有考虑到的某些缺陷，也叫软件的bug。操作系统和应用软件都是存在安全漏洞的，这些漏洞不断地被发现。安全补丁是软件开发厂商为堵塞安全漏洞，提高软件的安全性和稳定性，开发的与原软件结合或对原软件升级的程序。因此，要定期从厂商处获取并安装最新的补丁程序，避免从非正规望站下载未知的补丁程序而被欺骗。漏洞是软件在开发的过程中没有考虑到的某些缺陷，也叫软件63

三、身份认证技术

身份认证技术主要包括数字签名、身份验证和数字证明。数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的，一般要采用一种称为摘要的技术，摘要技术主要是采用HASH函数（HASH(哈希)函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长度的字符串，又称HASH值）将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。身份识别是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。三、身份认证技术

身份认证技术主要包括数字签名、身64四、防火墙的种类与选择嵌入式防火墙基于软件的防火墙基于硬件的防火墙四、防火墙的种类与选择嵌入式防火墙65嵌入式防火墙：就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块，安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样，所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于ＩＰ层，无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。嵌入式防火墙：就是内嵌于路由器或交换机的防火墙。嵌入式防火墙66

基于软件的防火墙：是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统，购买基于软件的防火墙则是合理的选择。如果用户是一家小企业，并且想把防火墙与应用服务器（如网站服务器）结合起来，添加一个基于软件的防火墙就是合理之举。

基于硬件的防火墙：捆绑在“交钥匙”系统内，是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。

基于软件的防火墙：是能够安装在操作系统和硬件平台上的防火墙67

五、入侵检测系统的作用

入侵检测系统（IDS，IntrusionDetectionSystem）是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测系统可以弥补防火墙的不足，为网络安全提供实时的入侵检测并采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。

通常，入侵检测系统按其输入数据的来源分为三种：基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。五、入侵检测系统的作用

入侵检测系统（IDS，In68

六、什么是安全漏洞扫描技术

漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。

六、什么是安全漏洞扫描技术漏洞扫描器是一种自动检测69

常规标准，可以将漏洞扫描器分为两种类型：主机漏洞扫描器（HostScanner）和网络漏洞扫描器（NetworkScanner）。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序，如提供网络服务、后门程序、密码破解和阻断服务等的扫描测试。主机漏洞扫描器是指针对操作系统内部进行的扫描，如Unix、NT、Liunx系统日志文件分析，可以弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。

常规标准，可以将漏洞扫描器分为两种类型：主机漏洞扫描器70七、物理隔离器和逻辑隔离器的作用物理隔离器是一种不同网络间的隔离部件，通过物理隔离的方式使两个网络在物理连线上完全隔离，且没有任何公用的存储信息，保证计算机的数据在网际间不被重用。一般采用电源切换的手段，使得所隔离的区域始终处在互不同时通电的状态下(对硬盘、软驱、光驱，也可通过在物理上控制IDE线实现)。被隔离的两端永远无法通过隔离部件交换信息。

逻辑隔离器也是一种不同网络间的隔离部件，被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法，在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向，不能在两个网络之间直接进行数据交换。七、物理隔离器和逻辑隔离器的作用物理隔离器是一种不同网络间的71八、什么是信息内容过滤产品现在网络上大量的黄色、反动、暴力、赌博等不良信息，以及垃圾邮件、病毒邮件、泄密邮件和网络聊天等问题，一直令网络管理者感到头疼。采取信息内容过滤产品可以有效的防止这些不良信息的入侵，有效的减轻网络管理人员及信息安全工作者的工作。信息过滤产品可以对互联网上的信息内容进行实时分析，对预先定义的非法信息内容进行过滤和拦截。信息过滤产品按其针对的服务进行分类，主要可分为：HTTP、邮件、TELNET(BBS)、FTP等。八、什么是信息内容过滤产品现在网络上大量的黄色、反动72九、VPN技术

VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN架构中采用了多种安全机制，如隧道技术（Tunneling）、加解密技术（Encryption）、密钥管理技术、身份认证技术（Authentication）等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。九、VPN技术

VPN即虚拟专用网，是通过一个73十、网页恢复产品的用途

网页恢复产品是对受保护网页目录、文件的未授权破坏进行识别，并能用备份目录、文件进行自动恢复，主要包括：1、网页目录、文件未授权增加的恢复；2、网页目录、文件未授权删除的恢复；3、网页目录、文件未授权修改（包括目录、文件属性修改、重命名、移动等）的恢复。十、网页恢复产品的用途

网页恢复产品是对受保护网页目74

十一、安全审计产品

安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具，分为用户自主保护、系统审计保护两级。

网络安全审计能够对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，它是评判一个系统是否安全的重要尺度。十一、安全审计产品

安全审计产品是对网络或指定系统75十二、电磁泄漏和电磁干扰

电磁泄漏是指信息系统的设备在工作时能经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去，产生电磁泄漏。这些电磁信号如果被接收下来，经过提取处理，就可恢复出原信息，造成信息失密。具有保密要求的计算机信息系统必须注意防止电磁泄漏。

电磁干扰是指雷电电磁脉冲、电网操作过电压、静电放电等电磁场会对计算机信息系统运行造成干扰。十二、电磁泄漏和电磁干扰

76

十三、计算机信息系统雷击灾害与防雷保安器

计算机设备大量采用的大规模集成电路芯片，其耐过电压、过电流的能力极低。在雷电天气状况下，避雷针引雷时，强大的雷电流经避雷针入地并在避雷针周围产生强电磁场，在电磁场内的电子设备可被感应出较高的雷电压、雷电流，造成电子设备损坏。

计算机信息系统防范雷击灾害可以在与计算机连接的所有外线上（包括电源线和通信线）加设防雷保安器，同时规范地线，防止雷击时在地线上产生的高电位反击。十三、计算机信息系统雷击灾害与防雷保安器

计算机设77

十四、计算机信息系统安全专用产品销售许可管理

销售许可管理是依据国务院《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定而实行的一项行政管理。我国境内的计算机安全专用产品进入市场销售须申领公安部颁发的销售许可证，已取得销售许可证的产品应在固定位置标明“销售许可”标记。

十四、计算机信息系统安全专用产品销售许可管理

销78陕西省基础教育专网培训陕西省电化教育馆陕西省基础教育网络资源管理中心网络部运行部主任：张劲萌E-MAIL:Zhangjinmeng@126.comQQ:415239150陕西省基础教育专网培训陕西省电化教育馆79陕西省基础教育信息化建设发展规划陕西省基础教育专网建设背景及意义陕西省基础教育专网网络整体规划陕西省基础教育专网接入技术方案陕西省基础教育专网拨号规则陕西省基础教育专网故障申报流程和方式网络安全基础知识陕西省基础教育信息化建设发展规划80陕西省教育信息化中长期发展规划我省基础教育信息化建设和发展现状

截止目前,我省已顺利完成了五个财政年度的远程教育工程建设任务，覆盖全省11个市、104个县、24862所农村中小学校，共计建设成模式一（光盘播放系统）6390个；模式二（卫星教学收视点）16420个，模式三（多媒体计算机网络教室）2052个，部分学校已经通过光纤和ADSL方式接入到互联网。陕西省教育信息化中长期发展规划我省基础教育信息化建设和发展现81

我省基础教育信息化应用系统建设初具规模。陕西教育网以及各教育行政部门网站已成为教育信息发布的重要窗口。现已建成高中、初中、小学教育教学综合管理系统、中小学网站生成系统、视频点播系统、资源管理平台等应用系统，基本实现了省、市资源信息交换与共享，提高了信息使用效率和价值。我省基础教育信息化应用系统建设初具规模。82我省教育信息化存在的主要问题

一是网络互联互通、管理使用、网络信息安全等方面的任务还十分艰巨；二是资源统筹管理、共建共享机制不健全，研究、应用水平亟待提高；三是现代远程教育发展不够，规范管理的任务还很重；四是教育电子政务应用与教育管理现代化的要求相比还有较大的差距；五是教育公共服务的合格人才欠缺，信息服务支撑能力不足的问题尚未根本改变。六是经费投入及业务能力不够，导致建设进展缓慢。

我省教育信息化存在的主要问题一是网络互联互通、管理使用、网83建设原则

统一标准、统筹规划集中建设、资源共享需求导向、实用高效立足发展、确保安全建设原则统一标准、统筹规划84我省基础教育信息化中长期建设规划建成全省“统一规划、统一标准、统一应用、统一管理”的、覆盖省、市、县、校四级的基础教育专网系统；建成以电子政务平台、在线教学平台、教育教学综合管理系统和教育门户网站为主要内容的教育公共服务平台；建成以教育管理基础数据库和公共教学资源库为主要内容的教育公共信息资源库；形成“设施完备、功能齐全、运行高效、应用广泛”的教育信息化格局。经过5-8年努力，逐步建成“数字陕西教育”。

我省基础教育信息化中长期建设规划建成全省“统一规划、统一标准85(一)信息化公共服务基础设施建设

到2020年，实现100％的市教育局、县（区、市）教育局和高中学校内部建成局域网(校园网)，外部实现宽带接入基础教育专网和互联网。100％的城镇中小学校实现外部宽带接入基础教育专网和互联网，内部电脑互连。100%的农村初中、95％以上的农村小学实现外部宽带接入基础教育专网和互联网。(一)信息化公共服务基础设施建设到2020年，实现86到2015年，基本实现“班班通”，到2020年，建成遍及城乡，覆盖所有学校的信息基础设施，中小学校平均每百学生计算机拥有量有较大幅度的提升，所有初中建成宽带接入的多媒体教室，所有农村小学、教学点建立网络接入的远程教育站点。到2015年，基本实现“班班通”，到2020年，建87到2012年，基本建成覆盖县以上教育行政机关和高中学校的教育视频会议系统。建立健全教育网络和信息系统安全保障体系，技术设施齐全，措施完善可靠。到2012年，基本建成覆盖县以上教育行政机关和高中88

到2012年，初步搭建起集信息发布、行政办公、业务管理、互动交流等功能的教育电子政务平台和具有资源交换、精品课程、远程教学、自主学习、考试评估等功能的在线教学服务平台，逐步建成全国有一定影响的省级教育门户网站。全省大部分中小学校建立自己的网站。(二)教育公共服务平台建设(二)教育公共服务平台建设89(三)教育信息资源建设

到2015年，建立教育管理基础数据库，实现学校、学生、教职工、科研、财务等几大类基础数据入库，基础数据实现及时更新；能够通过网络浏览到全省大部分教育单位的数字化图书馆，逐步建立各类教育资源研究、规划、开发、应用体系。(三)教育信息资源建设90(四)教育信息化应用（--2015年）1、通过在线教学服务平台，使大部分的学校利用公共信息资源开展网上辅助教育，远程教育服务体系覆盖到全省各县，大部分的教师拥有远程学习帐号。2、所有需要公开的教育政务或工作事项全部在统一的政务公开网页上公布。3、市级以上教育行政部门实现网上在线办理教育行政许可事项，省市业务工作会议可通过视频会议系统召开，通过多种方式推动县及以下视频会议系统建设。非涉密公文可通过教育行政办公系统传输。(四)教育信息化应用（--2015年）91四、教育信息化重点建设工程

陕西省基础教育专网建设（2008年-2011年）专网建设工作计划三年完成，第一年（2008年8月到09年8月），在西安、咸阳、汉中三个市和全省高中学校进行试点建设；第二年（2009年8月到2010年8月）根据各市调研摸底情况，计划再完成3-4个市专网建设工作，使已签署专网建设协议的各市70%的中小学校接入专网；第三年（2010年8月到2011年8月），完成100%的市、县（区）教育局、普通中学和80%以上的完全小学接入专网，实现专网建设的设计目标，建成一个集远程教学、资源服务、信息交流、教育管理、师资培训等各项功能为一体的安全绿色的基础教育专网。四、教育信息化重点建设工程陕西省基础教育专网建设（92（二）校园网和无线网络建设2020年

一是继续推进中小学校园网建设，乡镇所在地的中小学校要基本建成学校校园网；二是促进无线网络技术在学校的应用，有条件的学校基本上建立有线与无线相结合的高水平校园网络，提高校园网的服务能力。（二）校园网和无线网络建设2020年

一是继续推进中小学校93(三)教育公共服务平台建设工程2012年加强教育门户网站建设，建立标准统一、协同运行的教育电子政务平台和在线教学服务平台，为省、市、县、校实施教育行政管理、教育教学管理和开展远程教学、资源交换、自主学习、互动交流、发布信息等应用提供公共服务。(三)教育公共服务平台建设工程2012年941、建设教育电子政务平台。通过统筹规划，统一标准，集中开发与系统整合相结合，建立信息发布、行政办公、视频会议、业务处理、协同作业、互动交流等应用系统。2、建设在线教学服务平台和综合管理平台。建立全省教育单位和学校都可以共用的资源交换、远程教学、自主学习、在线辅导、教务教学管理等应用系统。开发现有远程教育系统的应用接口，为各级各类教育单位开展教育教学服务提供公共服务支持。1、建设教育电子政务平台。通过统筹规划，统一标准，集中开发与953、建设教育门户网站。一是加强陕西教育网的频道和栏目建设，形成一批有特色的栏目。二是加强陕西教育网的内容建设，形成教育政务信息内容保障体系和教育新闻源信息渠道。三是建设一支政治与业务素质强、灵活、高效的采编和技术人员队伍。四是依托陕西教育网开展教育教学服务和各类活动，提高网站的服务能力和社会知名度。3、建设教育门户网站。96(四)教育公共信息资源库建设工程2015年

建设教育管理基础数据库。认真执行教育部教育管理信息化标准，以教育事业统计基础数据库建设为基础，以加强中小学生纸质和电子学籍管理为切入点，逐步建立全省统一标准的教育数据中心和学校、学生、教师、教研、财务等分类基础数据库。对各级各类学校的人、财、物等进行数字符号标识，形成全省数据同步的基础数据库管理系统和应用服务体系。(四)教育公共信息资源库建设工程2015年97陕西省基础教育专网建设背景及意义陕西省基础教育专网建设背景及意义98省级网络信息平台省级节点市级节点区县和学校陕西省基础教育骨干网西安市教育局西安市某县教育局西安市某小学西安市某中学西安市城域网络…………延安市某县教育局延安市某小学延安市某小学延安市城域网络…………延安市教育局西安市教育局网络信息平台延安市教育局网络信息平台互联网互联网互联网核心层汇聚层接入层省级网络信息平台省级节点市级节点区县和学校陕西省基础西安市教99陕西省基础教育专网接入技术方案

制定原则：一是不增加学校设备投入二是方便学校在现有网络基础上选择不同方式接入基础教育专网三是确保学校在访问专网的同时不影响其互联网的使用陕西省基础教育专网接入技术方案

制定原则：100（一）第一类接入方式针对县（区）教育局有统一互联网和专网出口管理需求的情况，可采用第一类接入方式。1．实现方式一辖区内学校首先通过电信线路接入基础教育专网，在此基础上，接入专网的学校可通过县教育局的代理设备访问互联网。该方式下，学校主机直接通过电信线路接入基础教育专网，学校使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址。（一）第一类接入方式针对县（区）教育局有统一互联网101（1）访问互联网：用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网。（2）访问专网：对于有路由器、防火墙和代理服务器设备的学校，学校内部主机IP地址可不做调整，电信公司和教育局管理部门只需给学校分配一个专网IP，学校通过可通过代理上网设备集中NAT转换代理上专网；无代理上网设备的学校，学校主机使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址，直接成为基础教育专网的网内主机，直接与专网连接。（1）访问互联网：用户访问互联网的需求通过县教育局防火墙集中1022.实现方式二

在县级设备上增加专网出口，并单独接一根专网线路，在出口防火墙设备上做路由和双NAT转换，这种方式保持可保持区县和学校原有IP地址规划不变，区县和学校也不用添加任何硬件设备，由区县统一互联网出口和专网出口，学校可以同时访问互联网和专网资源。2.实现方式二

在县级设备上增加专网出口，并单独接一1033.实现方式三

各接入学校在县级统一接入互联网的基础上，申请一定数量的专网接入账号，接入专网的电脑安装虚拟拨号软件，并拨号建立VPN隧道后访问专网资源，这种方式可以保证原有学校和区县的已有IP地址规划不变，由区县统一互联网出口，各学校单独接入专网，学校可以同时访问互联网和专网资源。

3.实现方式三

各接入学校在县级统一接入互联网的基础上，申请1044.优缺点

优点：此类接入方式学校的原互联网业务和专网业务统一由区县教育局的防火墙集中代理进行，方便县（区）教育局对互联网和专网的管理，同时，学校不需添加任何设备，每一台主机可以同时访问基础教育专网和互联网的资源。缺点：此种方式对区县教育局端的设备和带宽要求比较高，需区县教育局增加投入，区县教育局端管理任务较大；另外，在方式一中如果学校没有代理上网设备时需要将学校内每台主机的IP地址统一更改为专网IP地址。4.优缺点

优点：此类接入方式学校的原互联网业务和专网业务统105（二）第二类接入方式对不具备第一类需求条件的县（区），辖区内学校首先通过电信线路接入互联网，在此基础上再接入基础教育专网。这种接入方式适合已经通过ADSL和光纤接入互联网的学校。（二）第二类接入方式对不具备第一类需求条件的县（区），辖区内1061．实现方式一

（1）实现模式学校采用VPN拨号认证方式接入基础教育专网。学校局域网内需要接入专网的电脑发起专网拨号认证，建立到基础教育专网VPN隧道，自动获取专网IP地址。采用这种方式接入专网的电脑可实现专网和互联网的同时访问。模型图如下：1．实现方式一

（1）实现模式107（2）实现步骤

首先确保学校已经使用ADSL专线线路或光纤线路接入互联网。（用个人名义申请的学校使用的拨号ADSL线路必须更换为以单位名义申请的ADSL专线）。在接入电信互联网基础上，学校根据需要访问基础教育专网的主机数量，向当地电信公司申请基础教育专网的拨号认证帐号，需要访问基础教育专网的主机在接通互联网的情况下在自己的操作系统上设置L2TP协议的VPN拨号软件。拨号认证成功后自动获取专网的IP地址，这时可以访问基础教育专网资源。在专网应用结束后中断拨号连接，返回互联网应用模式。学校的出口设备必须允许局域网内的主机发起L2TP协议的VPN拨号（打开相应端口）。（2）实现步骤

首先确保学校已经使用ADSL专线线路或光纤线108（3）优缺点

优点：这种方式学校局域网内的所有主机IP地址现状不受影响，现有互联网应用不受影响。此接入方式只需学校主机进行拨号认证软件设置，不需要学校在目前的基础上增加任何投入即可接入专网，并且不会影响学校已有的互联网应用（如学校网站等），只需以个人名义登记上网的学校更改为单位用户即可。缺点：每次上专网需拨号认证（可通过设置自动拨号解决）。（3）优缺点

优点：这种方式学校局域网内的所有主机IP地址现1092．实现方式二

（1）实现模式目前已经使用电信光纤线路接入互联网的学校，如出口设备支持双业务VLAN及代理功能的学校，可以通过设置出口设备，开通双业务VLAN，实现单条线路同时承载互联网和基础教育专网（双网）的方式。2．实现方式二

（1）实现模式110（2）实现步骤

首先要求学校出口设备的出口端口上具备区别两个以上不同业务VLAN（或者子接口）的功能，且设备具备代理功能，能代理专网内的主机上互联网。然后学校需要向当地电信公司提出接入基础教育专网的业务申请，选择采用单线路承载双业务VLAN的方式。当地电信局受理后，为学校分配专网的IP地址和VLAN号。但是学校的接入时间和割接方案需要电信局和学校共同协商决定。在学校确定接入专网时间后，通知当地电信局，在同一个时间点上，电信局修改局端设备的端口接入模式，实行单线路承载双业务VLAN，学校根据电信分配的专网IP和VLAN号，修改出口设备的端口工作模式，在出口设备的端口上配置两个VLAN绑定不同的IP子网，并且修改局域网内的主机地址为专网的IP地址。（2）实现步骤

首先要求学校出口设备的出口端口上具备区别两个111（3）优缺点

优点：此接入方式可以不增加学校投入，且不需拨号认证即可上专网。缺点：需要学校端目前已有的接入设备（防火墙或路由器）支持双业务VLAN功能，且要将学校内部主机的IP地址全部更改为专网的IP地址，并由电信统一分配VLAN号，否则无法实现。采用该方式电信侧和学校侧的设备端口数据均要修改，学校的IP地址必须要从新规划，所以学校的业务要受到影响。建议由学校和当地电信首先进行测试后（确认学校设备功能），共同确定业务割接方案，实施接入。（3）优缺点

优点：此接入方式可以不增加学校投入，且不需拨号112（三）第三类接入方式

对于学校网络业务需求复杂多样，校园局域网规模较大的情况，学校可直接通过网络扩容方式接入基础教育专网。（三）第三类接入方式

对于学校网络业务需求复杂多样，校园局域1131．实现方式

学校单独申请一根专网线路接入基础教育专网，和现有的互联网接入物理分开，原有互联网应用和IP地址不变，访问基础教育专网的电脑需配置专网IP地址，通过专线访问基础教育专网。模型图如下：1．实现方式

学校单独申请一根专网线路接入基础教育专网，和现1142．优缺点

优点：学校原有的网络应用和IP地址不受影响，通过专线访问专网可保证网络速度和质量。缺点：学校需承担第二根线路的费用，访问基础教育专网的电脑需更改为专网IP地址。2．优缺点

优点：学校原有的网络应用和IP地址不受影响，通过1151、试点地市：咸阳、汉中、西安，根据本校网络实际，可以参照“基础教育专网接入方式”中的三种方式接入2、非试点地市：可先采用拔号的方式进入教育专网，学校内部网络结构不进行任何改变。VPN帐号及密码由各市教育局和当地电信公司负责分配，接入技术由当地电信公司负责技术支持。对于所在地区有统一专网出口要求的非试点地市的学校，待该地市专网骨干网络建设完成后，参照“基础教育专网接入方式”更改该学校的专网接入方式。高中接入专网高中接入专网116陕西省基础教育专网拨号规则陕西省基础教育专网拨号设置陕西省基础教育专网拨号规则陕西省基础教育专网拨号设置117根据陕西省基础教育专网电信售后服务保障方案，对于陕西省基础教育专网在网络运行过程中出现故障,用户可以通过以下方式进行申告：1、拨打10000号客服电话2、拨打客户经理联系电话进行报障3、直接拨打维护工程师联系电话报障陕西省基础教育专网故障申报流程和方式根据陕西省基础教育专网电信售后服务保障方案118网络安全基础知识第一部分：信息网络安全管理第二部分：信息网络安全技术与安全专用产品第三部分：计算机病毒防治网络安全基础知识第一部分：信息网络安全管理119

一、信息网络与计算机信息系统

计算机信息系统是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。信息网络和计算机信息系统是不同发展阶段对计算机信息系统的具体称谓，在90年代中期之前所称计算机信息系统，是以大型计算机为核心，通过网络将许多个人计算机联在一起形成的计算机信息系统；90年代末期以来所称的信息网络，则以高速通信网络为纽带，将许多计算机信息系统联在一起形成信息网络。

一、信息网络与计算机信息系统

计算机信息系统是指120二、什么是信息网络安全

信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。二、什么是信息网络安全121三、信息网络安全面临的威胁

信息网络面临的威胁主要来自：电磁泄露、雷击等环境安全构成的威胁，软硬件故障和工作人员误操作等人为或偶然事故构成的威胁，利用计算机实施盗窃、诈骗等违法犯罪活动的威胁，网络攻击和计算机病毒构成的威胁，以及信息战的威胁等。三、信息网络安全面临的威胁

信息网络面临的威胁主要来122四、信息网络自身的脆弱性

信息网络自身的脆弱性主要包括：在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素；在信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素；在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失，存储介质中的残留信息泄密，计算机设备工作时产生的辐射电磁波造成的信息泄密。

四、信息网络自身的脆弱性

信息网络自身的脆弱性主123五、信息网络安全策略

信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略，安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很多，如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”，总体安全策略为其它安全策略的制定提供总的依据。五、信息网络安全策略

信息网络运行部门的安全管124实体可信：实体指构成信息网络的基本要素，主要有网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信，没有预留后门或逻辑炸弹。保证接入网络的用户是可信的，防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听，非授权访问或恶意篡改。实体可信：实体指构成信息网络的基本要素，主要有网络基础设备、125行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资源(例如：内存、中断、I／O端口、硬盘等硬件设备，文件、目录、进程、系统调用等软件资源)不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控，即保证用户接入网络应严格受控，用户上网必须得到申请登记并许可。保证网络行为可控，即保证网络上的通信行为受到监视和控制，防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。

行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资126资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等网络资源进行统一管理。

事件可查：保证对网络上的各类违规事件进行监控记录，确保日志记录的完整性，为安全事件稽查、取证提供依据。资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统127运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失，并具有较强的应急响应和灾难恢复能力。运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间128六、信息网络安全管理的组成

信息网络安全管理包括管理组织机构、管理制度和管理技术三个方面，要通过组建完整的信息网络安全管理组织机构，设置安全管理人员，制定严格的安全管理制度，利用先进的安全管理技术对整个信息网络进行管理。六、信息网络安全管理的组成

信息网络安全管理包括管理129七、信息网络安全保护体系

信息网络安全保护涉及人员、技术和法规三个方面，因此，信息网络安全防护体系从总体上可分为三大部分。即技术防护体系、组织管理体系和法规标准体系，它们以信息网络的总体安全策略为核心，共同保护信息网络安全运行。七、信息网络安全保护体系

信息网络安全保护涉及人员、130八、信息网络安全管理组织的主要职责

信息安全管理坚持“谁主管谁负责，谁运行谁负责”的原则。信息安全管理组织的主要职责是：制定工作人员守则、安全操作规范和管理制度，经主管领导批准后监督执行；组织进行信息网络建设和运行安全检测检查，掌握详细的安全资料，研究制定安全对策和措施；负责信息网络的日常安全管理工作；定期总结安全工作，并接受公安机关公共信息网络安全监察部门的工作指导。八、信息网络安全管理组织的主要职责

信息安全管理坚持131九、信息网络安全管理内容

信息网络安全管理的主要内容：有主要领导负责的逐级安全保护管理责任制，配备专职或兼职的安全员，各级职责划分明确，并有效开展工作；明确运行和使用部门或岗位责任制，建立安全管理规章制度；在职工群众中普及安全知识，对重点岗位职工进行专门培训和考核；采取必要的安全技术措施；对安全保护工作有档案记录和应急计划；定期进行安全检测和风险分析和安全隐患整改；实行信息安全等级保护制度。九、信息网络安全管理内容

信息网络安全管理的主要内容132十、什么是信息系统安全等级保护

信息网络安全管理工作要坚持从实际出发、保障重点的原则，区分不同情况，分级、分类、分阶段进行信息网络安全建设和管理。按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。

第一级：用户自主保护级；由用户来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级；本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。

十、什么是信息系统安全等级保护

信息网络安全管理工133第三级：安全标记保护级；具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。

第四级：结构化保护级；将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级；具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。

计算机信息系统安全等级保护标准体系包括：信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等，是实行等级保护制度的重要基础。第三级：安全标记保护级；具有第二级系统审计保护级的所有功能，134十一、信息网络安全事件与事件响应

信息网络安全事件的具体含义会随着“角度”的变化而变化，比如：从用户（个人、企业等）的角度来说，个人隐私或商业利益的信