第一篇:中山永丰实验学校STEAM 创新实验室整体解决方案
STEAM创新实验室(创智空间)
整 体 解 决 方 案
2018年3月1日
目 录
一、项目背景......................................................................................................................3
二、项目目标和意义..........................................................................................................4
2.1 项目目标..............................................................................................................4 2.2 项目意义..............................................................................................................5
三、项目目标......................................................................................................................5
3.1 项目预期成果......................................................................................................5 4.1 创智空间定义......................................................................................................6 4.2 创智空间效果图..................................................................................................7 4.4 功能区构成..........................................................................................................7
4.4.1 展示区......................................................................................................9 4.4.2 创造区......................................................................................................9 4.4.3 活动区....................................................................................................10 4.4.4 讨论区....................................................................................................10 4.4.5 材料区....................................................................................................11
五、课程培养体系设置....................................................................................................12
5.1 电子互动艺术课................................................................................................12 5.2 三维创意艺术课................................................................................................13 5.3 趣味编程............................................................................................................15 5.4 创意制作............................................................................................................16
六、服务与支持................................................................................................................19
6.1 师资培训............................................................................................................19 6.2 服务支持............................................................................................................19 6.3 设备维护............................................................................................................19
七、产品配置及报价........................................................................................................20
7.1 创智空间产品配置............................................................................................20 7.2 创智空间设备报价............................................................................................21 7.3 场地装修及报价................................................................................................22
一、项目背景
STEAM教育前身为上世纪80年代美国人提出的STEM教育,包含四个学科:Science(科学)、Technology(技术)、Engineering(工程)、Mathematics(数学),由奥巴马大力推进这种综合课程的实施,旨在从小培养学生动手、创新、综合运用科学知识的能力。随后,在原有四科的基础上加入了Art(艺术)学科,多个学科相融合从而得到STEAM教育。
在教育部办公厅《关于“十三五”期间全面深入推进教育信息化工作的指导意见(征求意见稿)》中提出推进信息技术在日常教学中的深入、广泛应用,有条件的地区要积极探索新技术手段在教学过程中的日常应用,有效利用信息技术推进“众创空间”建设,探索STEAM教育、创客教育等新教育模式,使学生具有较强的信息意识与创新意识,养成数字化学习习惯,具备重视信息安全、遵守信息社会伦理道德与法律法规的素养。
在国内,编程类、媒体制作类软件的应用在中小学STEAM教育中已得到了广泛的应用,多以综合实践课程、信息技术课程、通用技术课程为主:北京的吴俊杰老师研发了“人工智能”、“Scratch编程”课程,广州吴向东老师和武汉毛爱萍老师依托Scratch软件,研发了“儿童数字文化创作”课程。常州管雪沨老师研发实施了“小学生趣味编程”课程,温州谢作如老师依托Arduino、Scratch软件开发并实施了“互动媒体技术”课程等。
中山永丰实验学校近几年来,围绕“队伍强校,质量立校,特色亮校”的工作思路,有效扎实推进各项工作,教育教学质量名列区前列。学校先后荣获中国教育学会“十二五”教育科研规划课题科研实验校、教育部教师奖励基金会重点科研课题单位、全国新学校行动研究理事校;上海市行为规范示范校、上海市平安单位、上海市安全文明校、上海市花园单位、上海市语言文字示范校;松江区文明单位、松江区强师兴教先进集体、松江区素质教育实验学校、松江区现代教育技术实验学校、松江区二期课改培训基地、松江区师资队伍建设先进集体、松江区校本研修特色项目、教学精细化管理督导一等奖、松江区新教师规范化培训基地等荣誉称号。
学校师资精干,骨干教师储备充足,有区级以上名师3人,占教师总数的4%。区级教坛新秀6人,占教师总数的8.1%。高级职称教师6名,占教师总数的8.1%。
(1)学校回归公办,逐年恢复按学区招生,“为孩子终身发展奠基”的理念深入人心,办学质量稳定,处于松江区前列,社会声誉较高,学校已成为松江区的一所学生向往、家长放心的优质学校。干群关系、师生关系、家校关系、学校与社区关系良好,为学校又好又快发展提供了保障,为项目顺利开展打下坚实的基础。
(2)教师队伍稳定。学校以区级重点课题为引领,加强骨干梯队建设,近几年,教师成长很快,成为区内课堂教学的佼佼者,为项目成功进行提供了保障。
(3)学校为松江区内唯一的小班化试点学校,班额数控制在36人左右,由于人数较少,更有利于学生的全面发展以及项目的顺利进行。
二、项目目标和意义
2.1 项目目标
本项目的目标是围绕“课程建设”、“学生发展”、“教师发展”、“成果展示”、“学校发展”5个维度来开展本项目:
课程建设:结合中山永丰实验学校的现有特色课程,在实践中建立一套“永丰实验学校”特有的具有创新性的课程体系。
学生发展:秉持建构主义与STEAM(Science,Technology,Engineer,Art,Mathematics)教学内容相结合的理念,以项目制为导向,开展学生创新课程。将培养学生跨学科的综合性能力,激发学生的创新思维、提升学生的创造能力、为培养多元智能的创新人才而努力。让创智空间成为学生创意迸发的梦工厂。
教师发展:让教师接触与国际接轨的创新工具,前沿的STEAM创客教育理念,培养教师与时俱进的创新精神,精益求精的务实意识,精诚合作的团队理念,勇攀高峰的创造品格。培养一批具有STEAM课程开发,授课能力的优秀教师团队。
成果展示:激发学生的创新能力,多学科综合运用的能力,引导学生创造出具有创新意义、可以解决实际生活中问题的成果作品
学校发展:通过建立具有特色的STEAM创新实验室,培养一批具有创新精神和创新能力的优秀学生和创新明星,培养出具有创新精神和掌握与国际接轨的创新课程内容的教师,使得中山永丰实验学校在松江区乃至上海具有
一定的影响力和辐射力。
2.2 项目意义
为中小学生营造社会的氛围,通过将生活情景融入教育,将新的技术融入基础教育的课堂,帮助学生理解科学、工程学和技术等领域的抽象概念,并能够培养学生的创新能力、综合设计能力和动手实践能力。将学生从小的“创客”种子在学校得以萌芽,不断地鼓励和培养学生综合运用多个学科知识的能力,为他们成为未来的创新人才打下结实的基础。在做中学,在学中做,在STEAM理念下自己动手实现一个个新奇的想法,制作成作品,以培养符合国际竞争所需要的、具有跨学科思维能力、具有解决实际问题的综合能力、具有创新精神,并掌握了一定创新技能的创新人才为项目宗旨。聚焦STEAM教学创新,聚焦学科建设,聚焦教师团队建设,聚焦创新学生队伍的培养。
融入与国际接轨的STEAM理念,配备国际主流的创新教学工具,包括: Scratch,3D打印机、电子模组,创意塑料等教具和工具,打造具有“中山永丰实验学校”特色的,在松江区乃至上海具有一定影响力、辐射力和教育示范作用的中小学STEAM创新实验室。
三、项目目标
3.1 项目预期成果
学生层面:
能够形成对生活中的事物、现象和身边发生的某些简单的问题进行关注,并主动探究的兴趣、意识和态度。
学生掌握已有的知识、经验探究或问题解决的基本思想、方法和策略,并形成多种途径采集、处理和利用信息解决问题的基本技能。 学会用一些简单的、比较简洁的客观性语言来表述自己探究与问题解决中的思考、计划、过程和结果。
懂得用科学的态度和方法来处理、解决日常生活中的事件、现象和问题的意义和价值,养成科学的态度和精神。
学校层面:
建立一整套具有中山永丰实验学校特色的STEAM创新校本课程体系
培养出一批具有课程开发和授课能力的前沿STEAM教师队伍
培养新一代具有跨学科知识、具有跨学科解决问题能力的创新型学生,并参加相应竞赛,为学校增添荣誉。
四、创智空间介绍 4.1 创智空间定义
STEAM创新实验室(创智空间),也可将其定义为校园创客空间,是校园内建设而成的实施STEAM创客教育的空间,它是信息技术使能的创新教育实践场,用于培养学生的创新能力自我管理,把很多新奇的创意想法变为现实,创造出来,分享新鲜富有创意的技术知识和理念,普及创客思想的新型开放性创新实验室。
4.2 创智空间效果图
4.3 创智空间实景实例
4.4 功能区构成
创智空间其包含有五个功能区:展示区、创造区、活动区、讨论区、材料区。
4.4.1 展示区
展示区往往是在创智空间的前端(即入口处),用于展示学生创客作品。配有展示台和展示柜两种展示装置,展示柜主要陈列数量众多的小作品和需要适当保护的作品,展示台陈列作品适合与观众互动。展示区也陈列一些外来作品(经典展品),用于开扩学生眼界,启发学生创新灵感。
展示区实景图
4.4.2 创造区
创造区是创智空间的核心功能区,学生就是在这里将想法变成现实。这里有品种众多、先进高技术的设备,同时还考虑学生的设备操作能力和安全需求,很多设备为特殊设计的桌面级装备。
创造区实景图
4.4.3 活动区
活动区有两个功能:(1)用于集中学习、上课;(2)用于举办小型活动,如班级比赛;这里相当于电脑室,但其桌椅又方便移动,以便开展活动。
活动区实景图
4.4.4 讨论区
讨论区主要用于小组讨论,或老师对小组学习进行小范围指导,需要这样一个相对封闭的区域。
讨论区实景图
4.4.5 材料区
材料区主要功能是保管耗材和少量精密易损的仪器设备,有一定的保管箱柜和制度,一般由专人负责,也可以是半开放方式。
材料区实景图
五、课程培养体系设置
5.1 电子互动艺术课
5.1.1 课程简介
电子互动艺术课主要培养学生工程思维能力和创新动手能力。在此课程中利用目前国际流行的进行STEAM课程教具——电子模组套件和魔术电路板MakeyMakey。它能够让原本复杂艰深、属于专家和实验室的东西普及化、趣味化,充分激发学生的创意能力,在各种项目中融合科学、工程、创意设计、数学等多学科将他们的奇思妙想变成现实。
5.1.2 实施方式
以项目为载体进行课程内容实施,在每学期初教师首先明确本学期的课程项目目标和评测,让学生在项目中学习。不在像原有的学习方式那样,因此学生更加明确了为什么学,也更加清楚所学知识的应用领域。
5.1.3 评测或展示方式
每个学期组织一次全年级的竞赛活动,使用同一个平台,进行竞赛和展览展示活动。例如:组织学生进行特定时间内电子模组互动设计的创新竞赛等。
5.2 三维创意艺术课
5.2.1 课程简介
3D打印已经成为STEM(Science,Technology, Engineer, Mathematics)教育中的重要工具。通过三维建模设计课的成立,以及3D打印机,3D扫描仪的使用,可以将学生的想法立刻化为现实。在学习三维建模软件的时候,可以锻炼学生的空间思维能力,同时三维建模软件也是
目前紧缺人才所需具备的软件能力。
启培科技将根据学生认知水平,将通过3D打印成型原理及机械机构基础学习,到三维建模软件的由简单到复杂的学习,让学生最终能够了解3D打印的使用及日常维护,最终能够借助3D打印等工具的使用将自己的创意变为现实。
5.2.2 实施方式
学期初用几节课的时间让学生完成选题任务,然后教师讲解建模软件,学生根据自己的选题任务利用课上和课余时间进行绘制,最终使用加工设备完成加工。
5.1.3 评测或展示方式
教师针对每组或者每个学生的作品进行点评。从实用性、创新性、美观性、稳定性、合理性等多方面进行评定。在期末让每组学生在学校进行展示,并由其他年级或班级学生参与评定,评选出不同单项奖。如:最佳创意奖、最佳外观奖、最具人气奖等。5.3 趣味编程 5.3.1 课程简介
Scratch是麻省理工学院(MIT)为7岁以上的少年开发的图形化编程软件。编程已经是STEAM教学中不可或缺的一个部分。其基础是数学,尤其是数学中的逻辑。学习编程可以增强学生的逻辑思维能力,更好地去分析问题。而相比于做数学题,编程有丰富的交互,学习反馈更积极,更容易集中注意力和持续进行。
5.3.2 实施方式
学期初用几节课的时间教师讲解Scratch软件使用,通过趣味的项目引入,帮助学生更好地掌握软件的实验。利用一些常用的设备作为课程道具,设置一些简单的竞赛任务。如:MakeyMakey趣味模组、机器人搬运、自动喂鱼机等生活化案例内容。在实施过程中根据任务的难易程度设置不同的课程内容,一学期完成三到四项任务。5.3.3 评测或展示方式
此模块内容和各级竞赛比较接近,可以通过模拟竞赛的方式来进行课程内容的检测。学期结束时,可以安排一次年级内的竞赛活动,通过竞技或主观评选的方式评出优秀学生及作品并优先推荐参与各级竞赛
5.4 创意制作 5.4.1 课程简介
通过将生活情景融入教育,将新的技术融入基础教育的课堂,配合各式
新工具(3D打印机,激光切割机,塑料模组,五金工具等)培养学生的创新能力、综合设计能力和动手实践能力,在做中学,在学中做,在STEAM理念下自己动手实现一个个新奇的想法,制作成作品。
5.4.2 实施方式
学期初用几节课的时间向学生介绍各工具的使用及日常生活的应用范围,然后教师安排学生分组选题,学生根据自己的选题任务利用课上和课余时间进行创意制作,最终使用加工设备完成加工。
5.4.3 评测或展示方式
教师针对每组或者每个学生的作品进行点评。从实用性、创新性、美观性、稳定性、合理性等多方面进行评定。在期末让每组学生在学校进行展示,并由其他年级或班级学生参与评定,评选出不同单项奖。如:最佳创意奖、最佳外观奖、最具人气奖等。
六、服务与支持 6.1 师资培训
为保障创智空间长久有效的正常运行,启培科技将根据自身的师资培训体系为学校提供完善的师资培训服务,为学校培养更专业的多学科全面发展的人才。
级别结构 机械电子 编程设计与建模工艺与制造
1、基本手工制作方法(打孔、剪切、锉削、胶接、螺栓连接、捆绑)
2、手工工具的使用(锉刀、胶枪、螺丝刀、扳手、钳子)媒体写作 初级 1,平行四连杆的简单应用1,简单支撑结构的应用(简支1,简单开关电路设计2,一级齿轮变速的简单应梁、悬臂梁)(纽扣电池、开关、LED用2,房屋基本结构的应用、蜂鸣器)3,杠杆的简单应用
1、简单串并联电路设计(电阻、电容)
1、四连杆的简单应用
1、简单运动结构的应用(实现
2、简单整流电路设计
2、多级齿轮变速的简单应传动、移动)(二极管)用
2、三轮或四轮小车基本机构的3、基于单片机的输出控
3、凸轮的简单应用应用制(点亮LED、数码管、4、滑轮组的简单应用驱动电磁铁、电动机)
4、万用表的基本使用
1、简单分压电路设计(电位器)
1、简单加强结构的应用(二力
2、简单放大电路设计杆、肋板)
1、蜗轮蜗杆的简单应用(三极管)
2、简单承重结构的应用(三角
2、迷你气缸的简单应用
3、场效应管的简单应用结构、拱形结构)
3、组合机构的设计
4、基于单片机的输入控
3、箱体基本结构应用制(干簧管、热敏电阻、光敏电阻、感光二极管)1,基本手工绘图(平面原理1,基本程序结构的简单应图、流程图、外观草图)用(顺序、选择、循环)2,简单平面图软件绘图2,图形化编程软件的简单3,基本量具的使用(直尺、应用圆规、量角器)
1、基本素材采集(照片拍摄、视频录制)
1、活动学习单的编写
2、基本宣传品设计(海报
2、指导学生进行过程设计)记录
3、基本展示品制作(ppt制作)中级
1、常量与变量的简单应用
1、简单三维建模软件绘图
2、简单算法的基本应用(零件建模)(程序嵌套、多重选择)
2、简单流程图软件绘图
1、基本素材编辑(简单的图片编辑、视频剪辑)3D打印机或电动工具的使用
2、基本平面宣传设计(展板设计)
1、小学期课程方案设计
2、指导学生进行小论文写作高级
1、高级编程语言的简单应用(C、C++、C#、JAVA)
2、基本控制算法的简单应用(逻辑门、比例算法)
1、简单三维建模软件绘图(模型装配)
2、精确量具的使用(游标卡尺)激光切割机或数控设备的简单使用
1、线上平台设计(网页制作)
2、短节目编排
1、学年课程方案设计
2、指导知道学生进行项目计划书写作 6.2 服务支持
根据学校情况,合编校本教材,共同研发符合学校情况的教学方案及活动方案;与学校共同组织活动,并给予技术及相应渠道支持;例如,校内活动,创客节,科技游学活动等;科技竞赛给予技术支持辅导。
6.3 设备维护
创智空间内所含设备都享受启培科技提供的相关技术服务,设备至到货之日起保修期12个月,终身维护,保修期内,启培科技提供免费技术支持,24小时内服务响应,保障创智空间正常运作。
七、产品配置及报价
7.1 创智空间产品配置
7.2 创智空间设备报价
功能区设备收纳柜五金工具展架五金工具littleBits(STEM套件)littleBits(音乐套件)MakeyMakey塑料模组智能机器人进阶套件智能机器人基础套件3D打印笔3D打印机教师用机3D打印机学生用机桌面级三维扫描仪空气净化器激光切割机除烟装置工作台 3D打印耗材25804021 基本配置单价4***20***039940******4000111200******0
材料区创造区总计
7.3 场地装修及报价
序号12345678910合计项目名称实验室环境效果设计实验室装修海报墙体宣传灯具白板及多媒体器材储物柜学生教学桌椅电脑操作台工具架数量1111011111单位套套套个套个张台张张单价小计 22
第二篇:STEAM创新实验室方案
易教STEAM创新实验室 建设框架方案 信息科技有限公司 目 录 一 易教STEAM创新实验室建设意义和价值……………… 3 二 易教STEAM创新实验室的主旨规划…………………… 4 三 易教STEAM创新实验室建设环境要求………………… 4 四 易教STEAM创新实验室人员配置……………………… 6 五 主要培训对象…………………………………………… 6 六 主要培训内容…………………………………………… 6 七 实验室内部区域划分…………………………………… 7 八 实验室配置方案及报价………………………………… 7 九 实验室主要设备参数及性能…………………………… 8 十 易教STEAM实验室课程方案介绍……………………… 13 一、易教STEAM创新实验室建设意义和目标 STEAM是指科学、技术、工程学、艺术和数学。根据这一理念,可以设置基础能力课程和创新实践课程。其中,基础能力课程旨在培养科技创新所需的各类基本能力,包括社会探究能力、益 智思维能力、动手操作能力、展示交流能力;
创新实践课程按照设计思维的流程,引导学生采用项目学习的方式开展科技创新实践。
“STEAM其实是对基于标准化考试的传统教育理念的转型,它代表着一种现代的教育哲学,更注重学习的过程,而不是结果。本质上来说,我们敢于让学生们犯错,让他们尝试不同的想法,让他们听到不同的观点。与考试相反的,我们希望孩子们创造能够应用于真实生活的知识。”所以STEAM教育倡导将各个领域的知识通过综合的课程结合起来,加强学科间的相互配合,发挥综合育人功能,让学生在综合的环境中学习,在项目活动中应用多个学科的知识解决问题。
1、建设意义 1)创新实验室是实践创客教育的良好手段,它不同于传统实验室,而是以融教学、实践、借鉴、创新和实现的创新教育理念为基础构建的虚实融合的学习环境。创新实验室的设计采用PST(Pedagogy-Space-Technology)的设计框架,旨在帮助学校创设新型学习空间,促使学生更多地投入学习和体验,获取最佳学习效果。
2)帮助学生:①将创意付诸实施,变成实物;
②做中学,以任务驱动学习知识和技能;
③持续分享,采用“想出”、“说出”、“写出”、“做出”、“展示出”的循序渐进的方式,彼此分享;
④协作学习;
(5)跨学科学习3)一种建构主义教学。我们经历的学校或者培训班教育,主要是“讲座式”的教育,老师无论是风趣还是无趣的在讲台上讲课,学生或是专心或是走神地坐着听课。这里不讨论这种教学方法有效无效,但这种教学方式其实是基于我们对于知识的一种假设:也就是知识可以通过老师传递给学生,灌输式直接告诉你知识和原理。但是建构主义的支持者们认为这种“传递”假设是不正确的,他们认为知识是由学习者自己建构起来的。所以教育需要给学习者提供能够让他们自己建构知识的环 境和机遇。老师在课堂上只是辅助性角色 2、建设目标 1)人性化的学习环境与空间,营造出一个能激励学生想象力和动手动脑激情的氛围,主题能突出操作实践和创造力,开发内容能突出想象力、激情和创造的欲望,能将人文和科技融为一体。丰富的工具设备、橱窗内的产品、模型,墙面的标语与科技图片等组成的学习与创造平和谐统一。
2)为学生开展操作性实践活动和创造性探究活动的工具(机械的、手工的、智能的、数字的、电教的),提供相关的阅读刊物与教学资源,小组合作研讨、交流的学习设备与条件。
3)传播科学知识与技术、科学思想与精神、科学方法与态度、人文思想与科技文明等相关主题的科普走廊或图片资料,形成科普传播的教育阵地。
4)科学的管理制度和评价方法,有利于促进科技辅导员、教学与管理人员提高科技教育自觉性和主动性;
有利于提高科技辅导员、教学与管理人员自身的素质、兴趣、能力和职业精神。
二、易教STEAM创新实验室的主旨规划 通过开放、灵活的空间的设计、桌椅的摆放、墙面的布置,与各类创新实验室软硬件设备有效搭配、结合,让学习空间更具可调式性,为学生提供培养基础能力、创新能力和创新实践的物质空间。
“STEAM”实验室为学生提供能生成创意并实现创意的空间,配备以“设计思维”为核心理念的“基础能力”课程和资源,引导学生进行创新式学习设计;
也为学生提供从基础教学到设计创作的全套工具和设备的空间,配备“创新实践”课程和资源,帮助学生进行实践操作 三、易教STEAM实验教室建设环境的基本要求:
1、使用面积:80㎡-100㎡以上 2、实验室位置:实验教室应保证最佳建筑朝向,室内避免直射阳光,主要采光面应位于学生座位的左侧。
3、环保:教室内部装饰应选用环保型材料,室内环境噪声应低于 55 分贝,金属制品和木制品制作实验室可高于此标准。新建、改建、扩建实验室及附属用房时,甲醛、苯、氡等有害气体和放射性污染应符合相关标准中的限量值。对于在学生活动中可能产生较多垃圾的实验室,要配置足够的垃圾桶,垃圾应分类收集。
4、温度:室内温度应在 4℃至 30℃之间。室内可安装空调,温度宜控制在 16℃~28℃。
3D打印实验室应保持室内温度恒温。
5、供电:用电负荷应留有余地,以满足不断增加的现代化教学设备的需要;
按规范敷设强、弱电线,空调专线敷设,安装漏电过载保护器和可靠的接地保护。
6、综合布线:按有关技术规范敷设强、弱电线。强电电源插座与照明用电应分路设计、分别控制,用电负荷应留有余量,并安装漏电、过载和触电保护器,有可靠的接地保护措施。弱电应考虑冗余,在合适位置配备足够的网络信息接口。
7、安全:实验室应配备有效的防火、防盗、防潮等设施设备和外伤急救箱,急救箱中的药品应注意及时更换。应加强对工具、仪器和设备等的安全管理,加强对师生的安全教育,增强安全意识,确保师生人身安全。
8、环境:环境布置应适合小学生身心发展和认知特点,营造探知科学的氛围,做到生动活泼。
四、实验室人员配置 1、工作室专业3D打印工程师:能够使用3D建模软件进行3D建模;
熟悉主流3D打印成型工艺原理;
具备3D打印机的日常使用和维护技能,并获得相关行业公司的技能培训证书;
熟悉3D扫描技术,能够使用3D扫描仪。
2、优秀科技老师:能够使用3D建模软件进行3D建模;
熟悉各类3D打印成型工艺原理;
具备FDM桌面3D打印机的日常使用和维护技能,并获得相关行业公司的技能培训证书。
五、主要培训对象 1、中小学学生(三年级以上)2、中小学科技老师 六、主要培训内容 1、3D打印技术知识培训,包括各类打印技术以及打印材料普及;
建模软件的操作和使用;
2、3-6年级开设入门班和初级班,包括增材制造概念原理;
FDM桌面3D打印机使用;
基本3D建模软件的操作和使用;
3、7-11年级开设中级班和高级班,包括各类打印技术工艺原理;
FDM桌面3D打印机使用;
中级3D建模软件的操作和使用;
3D模型的打印切片转换;
结合3D打印机,介绍3D扫描仪的工作原理与基本使用。
4、老师培训项目,包括各类打印技术工艺原理;
FDM桌面3D打印机使用;
高级3D建模软件的操作和使用;
高级3D模型的打印切片转换;
结合3D打印机,介绍3D扫描仪的工作原理与基本使用。
七、实验室区域划分 1、教学区:主要进行日常教学与实践活动 2、科普区:主要以墙面展板为主 3、展示区:主要展示工作室作品 4、信息港:主要用来查询信息资料 5、工具台:
6、3D打印区:
八、实验室配置方案及报价 实验室设备清单:
序号 名称 规格 单位 数量 价格(万元)1 3D打印机 锐桌面级打印机 台 2 3D打印耗材 PLA 公斤(卷)3 电脑 主流机型和配置 台 4 高端电脑配置(用于处理三维扫描数据)显卡要求高 台 5 手持式扫描仪,设备包括扫描镜头,手持架子,软件光驱,加长线 三维扫描仪(包括软件和培训)台 6 遥控升降机 7 蓝牙自动转台 8 书写板 通用规格 块 9 教师台 通用规格 张 10 多媒体教学设备 LCD投影机+投影幕布等 套 11 总控电源 带有防雷击设施,有可靠的接地保护 套 12 工作台 可放置电脑与打印机 套 13 墙面展板 块 14 消防设备 套 15 各类配套线路、配件 16 教材 ²(最终报价根据双方商定情况及现场情况定)实验室参考实景图 九、实验室主要设备参数及性能 Ø 3D打印机 1、设备造型以及参数、制作的样件 2、打印过程 3、部分试验样件实物 4、应用范围 低成本3D打印机是设计师、教学及办公的得力帮手。能任何时间便利、及时的将设计图稿转化为成品,是生动直观的教学形式成为可能。这款产品的应用领域极为广泛,主要包括工业品设计、机械模具制造、教育、医疗、动漫、玩具、制鞋行业、首饰、艺术设计等等。
Ø 三维扫描仪介绍 手持式人体扫描仪是新一代的三维成像系统,采用瞬间闪光技术,被拍摄人员亦无不适感。同时采集手段采用了高像素的数码相机,纹理丰富,应用面广,可应用于雕塑,人体、工艺品、医疗、安全、娱乐等领域。
该产品具有较高的点云采集能力,采集的数据可以实现色、模分离(色:指色彩,模:指模型),同时是目前市场上面见到唯一一款性价比最高的人体扫描仪。该款扫描仪最大亮点在于软件的强大,采集好的数据,可以直接在配套软件里面进行处理,同时也可以导出其它格式,导入其它软件进行处理,达到一据多用的功能。
在MEPHISTO进入中国市场以后,Gotcha三维立体扫描仪,深受用户喜爱,得到了很好的推广,主要功能介绍:
生成三维模型(数据):可以非常快速的生成真实的三维人像模型(数据);
三维模型编辑:该项功能能够对生成的立体人像模型进行编辑和修饰,使模型更加生动;
模型点生成:将三维立体人像模型或其他的三维立体模型数据生成点云模型;
Ø 3D打印创新实验室软件介绍 软件优势及对比 行业建模软件有UG、RHINO、AUTODESK、PRO E、Solidworks、123D Design 系列,其中UG/PRE、Autocad、Rhino、Solidworks、Tinkercad均为当前比较流行的专业3D建模软件。对于初学者的使用建议使用rhino软件进行教学。Rhino具有下列有点,1.简单易学,没有基础也容易上手,有中文版 2.软件成熟 3.Rhino是建筑行业和汽车行业的主流建模软件之一,很受建筑设计师和工业设计师欢迎,值得长期积累学习4.Rhino插件丰富,可以有高级的进阶空间 5.Rhino网络学习资源丰富 6.Rhino支持obj和stl格式保存,满足3D打印机文件转换需求 十、易教STEAM创新实验室课程方案介绍 1、为更好的通过3D打印技术完善中小学教育体系,开拓新兴教育方式,提升基础教育水准,锻炼省内中小学学生的创新创造性能力,我们建议此次3D打印走进中小学的项目将分为三个阶段开展。
第一阶段是意识培养的进行。通过3D打印技术在教育教学中的实际应用,如将几何立体构造打印出来让学生直观了解几何内部元素联系、将历史课程中出现的古代物品打印出来;
在地理课上可以用学生们创作的3D打印世界五大洲板块立体模型更形象直观的呈现大陆板块;
在物理课程上用学生们制作的3D打印电动机零部件直接组装电动机等,让学生更深刻的理解其原理构造,从而激发学生的想象力和创造力,提高学生的科技素养与认识。
第二阶段是软硬件设施的完善。硬件方面,将建立中小学3D打印实践中心,每个中心至少有20台3D 打印机硬件设施,学生们可以随时打印出他们自己的创作作品。定期举办“中小学3D打印创意大赛”、“中小学教学模型3D设计大赛”、“3D工艺制品大赛”等活动,由浅入深的让学生了解3D打印机的产品性能、技术及相关行业发展,提升中小学生的创新实践能力和动手能力,拓展中小学生的课外视野范围,帮助孩子实现创新梦。
第三阶段是学生创造成果市场转化阶段, 让学生的优秀成果完成市场转化,是激发学生创新的催化剂。爱用将提供3D打印技术及3D打印机操作的系统培训。
2、课程设计理念 (1):从概念到现实 课程结合中小学教材,将抽象概念通过实际的3D打印技术打印出实物(2):从学、理解、到应用再创造 同学可以通过概念性实物进行再创造,给模型增加实际功能(3):从积累进阶与提高 建模教程根据同学的学习能力和认知水平进行课程定制 ——教学目标(小学生3年级以上)l 通过虚拟建模环境与3D打印实物打印相结合,培养学生的空间想象能力。
l 让学生了解基本的3D打印相关知识:材料成型原理,设备工作原理和简单模型制作。
——课程设计 l 3D打印技术原理概论课 l 3D建模课 l FDM打印机操作应用课(简单模型前处理)课程内容模块:
课程:FDM打印机操作应用 教学目标:认识打印机的操作维护,掌握将模型打印成实物的技能.教学设备:电脑、打印机 课程内容:
l 启动操作 l 打印操作 l 打印软件安装及使用操作 l 打印学生在建模课自己学习制作的模型,打印数学、物理课应用教案,打印自己设计创造的模型 课程:3D打印技术原理概论 教学目标:对3D打印技术有个基本的概念和认知 教学设备:标准化课堂 3D打印是直接从数字模型通过材料的堆积来生产三维实体的技术,即增材制造。传统的制造为减材制造。增材制造举例,蜡笔在纸张上反复涂会产生厚度和形状/纸张通过叠加产生厚度/堆沙子等。减材制造举例,蜡笔通过卷笔刀或者美工刀切割/纸张裁剪出形状 3D打印技术原理:
l 3D打印机工艺介绍 l 耗材介绍 l 建模软件介绍 课程:3D建模 教学目标:培养空间想象能力与创造力,掌握基本的Rhino建模技能 建模软件:Rhino 教学设备:电脑 课程形式:
向学生展示一个用FDM打印机打印的实物模型。学生根据这个模型来学习视频教程,一节课结束学生可以通过Rhino建立自己的模型,并通过使用公司的3D打印机打印实物。
教学模型选取条件:
1.模型打印时间控制在45/90 分钟以内 2.模型可以成功使用打印机打印 3.模型的选取满足小学生的认知与兴趣 4.模型的复杂度满足小学生的学习能力 5.模型的复杂度随着教学过程的推进有个逐步的积累
第三篇:育优家园共育整体解决方案
北京健康成长科技发展有限公司
育优家园共育
整 体 解 决 方 案
全国妇联+北京大学+中国儿基会 安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司
2009-2-3
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司 北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
目 录
一、项目背景........................................................................................................................3
二、公司简介........................................................................................................................3
三、育优家园共育整体解决方案...........................................................................5
3-1 方案概述........................................................................................................................5 3-2安康教育信息化示范园服务介绍....................................................................5
3-2-1服务目标:.................................................................................................................5 3-2-2服务项目:.................................................................................................................6
3-3“育优联盟会员”服务介绍................................................................................6
3-3-1服务目标:.................................................................................................................6 3-3-2服务内容:.................................................................................................................7
3-3-3服务优势:................................................................................................................8
四、育优家园共育整体解决方案的服务模式及收费方式..................9
五、核心理念........................................................................................................................9
六、结束语..............................................................................................................................9
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司 北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
一、项目背景
幼儿教育作为基础教育的重要组成部分,逐渐被整个社会及每个家庭所重视。更快更好的发展幼儿教育、学前教育对于促进儿童身心和谐健康发展,提高我国人口整体素质,全面建设小康社会具有重要的现实意义。为了大力推进我国幼儿教育事业的发展,全面提高幼儿教育、学前教育的整体水平,确保“十一•五”期间学前教育规范化工程的实施,我国政府详细制订了幼儿教育发展规划。
在党的十七大报告中,将重视学前教育、加快教育信息化发展提到了相当重要的位置。二十一世纪是信息化时代,通过教育信息化发展带动我国基础教育事业发展,提高学前教育水平将势在必行,也将关系到整个中华民族的伟大复兴。
“安康家园”网络项目通过分析国外先进的信息化网络技术,结合我国学前教育、家庭教育现状,在全国妇联、中国儿童少年基金会的指导下,联合北京大学技术研发力量,建设了目前为止国内最先进、最专业的0——6岁婴幼儿家园共育互动网络平台,网址:www.xiexiebang.com中文网址:“安康家园”。并承诺以公益捐建的形式捐建给全国的幼儿园所及家庭,目的是让全国的幼儿园早日完成教育信息化建设,让婴幼儿教育工作者及家长都能通过信息化手段科学、专业的抚育孩子健康成长。
二、公司简介
“成长科技”全称北京健康成长科技发展有限公司。成立于2005年底,被北京市海淀区工商局列为“北京市高新技术企业”,公司坐落于被称为中国硅谷的“中关村科技核心”地带,办公面积1000平米,共计员工118人。“成长科技”公司历经两年多的发展与摸索,本着“根植教育、奉献爱心、成就未来”的服务宗旨迅速的在中国互联网行业中树立了核心发展理念,被众多同行业伙伴效仿。
“成长科技”发展大事记:
2005年10月 “成长科技”斥资4000万元人民币,建设国内专业的0——6岁婴幼儿家园共育互动网络平台,www.xiexiebang.com网站成立;
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司
北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
2006年1月 全国妇联主席、人大副委员长顾秀莲同志在湖北安康家园捐建现场,亲自点击启动安康家园网络项目,由此拉开了安康家园走向全国的序幕;
2006年6月 安康家园专家委员会成立,专家委员会由中国工程院、中国科学院四位院士牵头,专家团队的成员共有300余名,涉及婴幼儿教育教学、教育管理、心理健康、卫生保健、法律咨询五大领域,为安康家园的专业教育服务奠定基础;
2006年8月 “成长科技”与澳大利亚最大的教育资源服务提供商“澳大利亚威尔顿教育集团”签约,双方承诺为中国幼儿教育系统提供专业的教育资源服务;
2006年12月 “成长科技”与陕西妇联、江苏妇联、山西妇联、广东妇联等各省妇联建立了捐建安康家园网络项目的合作协议,使众多幼儿园所及家庭受益;
2007年8月 “成长科技”与天津教育委员会达成合作捐建协议,作为与教育主管部门的首次合作,对安康家园与全国各省教育主管单位的全面合作起到重要作用;
2007年10月 “成长科技”与全球最大的数据库服务运营商“美国甲骨文集团”签订合作协议,合作包括了技术支持、专业教学培训、资源共享等众多领域;
2007年12月 “成长科技”被中国儿童少年基金会评为“公益明星单位”; 2008年2月 “成长科技”与中国移动公司签订全面合作协议,由此启动了安康家园互联网及移动网技术的全面服务;
2008年8月 “成长科技”已经与全国十个省份地区的教育主管单位签订了安康项目捐建协议,落户安康家园的幼儿园所8000余所,家庭会员上百万;
2008年10月 “成长科技”正式在安康家园网络项目中启动“育优家园共育整体解决方案”,这具有历史意义一笔,开创了“安康家园”提供网络教育服务模式的先河。
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司
北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
三、育优家园共育整体解决方案
3-1 方案概述
通过安康家园网络项目在全国两年多的推广和实践,使我们积累了丰富和宝贵的互联网运营经验。我们对全国10个省份的100家幼儿园所、5000多位家长进行了真实需求的详细抽样调查,在分析调查的结果及总结安康家园各方面资源优势和特点的基础之上,2008年10月安康家园网络系统正式启动运营“育优家园共育整体解决方案”(简称:育优项目)。“育优项目”作为安康家园网络项目的家园个性化服务产品,刚刚上线运营就受到了广大婴幼儿家长及幼儿园所的认同和好评。“育优项目”不仅为0—6岁婴幼儿家庭及幼儿园所搭建了科学育儿、家园共育的互动网络平台,还为婴幼儿家庭与幼儿园所提供了专业、个性化的教育服务,使广大的婴幼儿家庭及园所都能够通过信息化手段科学、专业的抚育孩子健康成长。“育优项目”提供的家园共育服务内容由两部分组成:一是为幼儿园提供的“安康教育信息化示范园服务”,二是为婴幼儿家庭提供的“育优联盟会员服务”。
3-2安康教育信息化示范园服务介绍
3-2-1服务目标:
让幼儿园树立自己的品牌形象 完善幼儿园教师的专业技能 让幼儿园帮助家长实现科学育儿 幼儿园与家庭共同实现家园共育 完善幼儿园的信息化建设
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司
北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
3-2-2服务项目:
获得专业的家园共育网络平台并接受信息化培训----园所在“安康家园”中获得属于自己的独立域名空间、建设幼儿园个性化网站,开通各班级主页、宝宝主页、教师博客,实现有效的家园互动与园所展示。园所如加入安康信息化示范园,则园长和教师需要接受安康网络项目的专业培训,并获得由中国儿童少年基金会和北京大学颁发的结业证书。
拥有育优通短信发布系统及不定量的短信----育优通短信发布系统是为幼儿园量身设计并开发的移动网络服务平台,它实现了园所对家长及时、准确的信息发布,并开通了中国移动、中国联通、小灵通用户的全网服务,让家园之间的沟通便捷、高速、及时,更好地体现了教育信息化幼儿园的核心能力。我们将根据幼儿园宝宝加入育优联盟会员的数量配增相应的短信条数,可按每位会员每年200条计算。
参加中国儿基会组织的幼教工作者高级研修班学习----示范园园长每年寒、暑假均可参加由中国儿童少年基金会、中华女子学院共同主办的幼教工作者高级研修班,提高幼教工作者专业水平,参会成员培训费免费,成绩合格者授予园士荣誉。 接受中国儿基会颁发的教育信息化示范园牌匾----即由中国儿童少年基金会育优联盟授予“安康教育信息化示范园”牌匾
3-3“育优联盟会员”服务介绍
3-3-1服务目标:
让家长科学的了解孩子的身心发展状态以更好的进行因材施教; 让家长在轻松的阅读环境中获得实用的育儿知识;
在家长遇到育儿的难题时,可以得到专业、权威的指导和帮助;
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司
北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
使家长能够便捷地得到专业的育儿指导和最新的育儿资讯; 使家长在科学育儿的教育环境中抚育孩子健康成长;
3-3-2服务内容:
科学严谨的婴幼儿成长测评与育优课程----以幼儿身心发展特点为线索,对幼儿的身体与运动、语言、思维、记忆、社会性等各项能力进行科学测评,并在测评后24小时内生成测评报告,再根据测评报告结果向家长分阶段推荐育优个性化基础课程及提高性拓展课程。
● 北京大学心理学系苏彦捷教授牵头研发
● 经国内知名心理学家、教育学家、医学专家联合评审 ● 中国儿童少年基金会唯一推荐测评系统
作用:通过科学严谨的婴幼儿智能测评系统让家长及时准确掌握孩子在成长关键期的身心发展情况,与此同时家长与孩子可以通过对育优课程的学习和操作提高弱项能力,使孩子能够在多项智能均衡发展的前提下健康成长。
《爱贝贝I-BaBy》电子杂志----《爱贝贝I-BaBy》电子杂志每月为2-6岁婴幼儿家长提供教育及生活策略、资讯,并搭建沟通、交流的桥梁;同时为家长与孩子提供智力开发、才艺成长、入学准备等方面的亲子游戏。
● 全国妇联主席顾秀莲同志亲笔题词 ● 中国儿童少年基金会推荐杂志 ● 全国顶尖技术制作团队加盟
作用:通过将传统纸质载体进行多媒体创新的技术手段,为2—6婴幼儿家长定期提供生活——教育类原创电子杂志,即增强了家长科学育儿的能力,还实现了家庭寓教于乐的意义。
育优短信服务----育优短信服务是指每周将通过手机短信的形安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司 北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
式向家长提供“成长提示”和“幼教资讯”,两项服务每周共计三条短信。
1)成长提示:将根据孩子月龄的变化成长,适时提醒孩子在关键期的注意事项;对于不同季节给孩子带来的影响给予温馨提示。
2)幼教资讯:汇聚国内外最新研究成果、教育新闻、及时发送。
作用:利用最为便捷的手机载体,及时准确的将育儿信息和幼儿资讯发送到家长手中,同时实现了中国移动、联通和小联通用户的全网覆盖。让家长身在何处都可以与世界的信息共同分享。
我的专家----将中国家长最关心的育儿问题与安康专家的精彩回答汇编成上百万字的专家答疑题库,供家长搜索查阅。对家长提出的个性化问题,“我的专家”给予会员每年12次的在线提问权利。育优专家将在三个工作日内,对问题进行个性化解答。作用:让广大婴幼儿家长可以与权威专家进行一对一互动、资讯,致力于使专家的智慧为每位孩子的成长保驾护航,让专业贴心的教育服务伴随孩子成长。
3-3-3服务优势:
“育优联盟会员”服务实现了全国五个第一
第一次大规模整合300余位幼儿各个领域专家参与研发; 第一次整合网络优势与短信优势于幼教领域,实现了中国移动、联通、小灵通用户的全面覆盖;
第一份专门针对2-6岁宝宝家庭育儿——生活类的原创电子杂志;
唯一一套获得中国儿童少年基金会推荐的幼儿成长测评与家庭安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司 北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com 北京健康成长科技发展有限公司
课程
唯一承诺三个工作日内有问必答的贴心专家服务。
四、育优家园共育整体解决方案的服务模式及收费方式
育优家园共育整体解决方案包括安康教育信息化示范园服务及育优联盟会员服务,其中安康教育信息化示范园服务属于国家三大公益项目之一的“安康计划”的重要组成部分。此部分从2005年已经开始运作,至今已经与全国十个省份地区的教育主管单位签订了安康项目捐建协议,落户安康家园的幼儿园所8000余所,家庭会员上百万。公司还将继续进行安康家园的捐建,推广完善全国幼儿园所的信息化建设。
另一部分是育优联盟会员服务,此为收费服务,但由于我们整个项目起源于公益事业,我们的定价远远低于其服务的实际估值水准,目前为360元/年。
五、核心理念
育优家园共育整体解决方案(简称育优项目)是在教育信息化高速发展的背景下,为中国0~6岁婴幼儿家庭和幼儿园提供的个性化教育服务解决方案。育优项目通过线上服务结合线下多元化渠道的推广,实现园所、家庭、社会及我们的多方共赢,并促进广大婴幼儿在科学、和谐的家园环境中健康成长,家园共育、科学育儿是育优项目的核心理念。
六、结束语
让我们一起努力,为新苗竭诚奉献、使幼教事业增辉!
安康(公益)重点项目授权执行机构 北京健康成长科技发展有限公司 北京市海淀区中关村北大街151号北大资源大厦1016室 邮编:100080 电话:58876940 58876789-851 传真:58876315
网址:www.xiexiebang.com
第四篇:内网安全整体解决方案
内网安全整体解决方案
内网安全整体解决方案
二〇一八年五月
第 i 页 内网安全整体解决方案
目录
第一章 总体方案设计......................................................................................................................................3 1.1 依据政策标准...............................................................................................................................................3 1.1.1 国内政策和标准..................................................................................................................................3 1.1.2 国际标准及规范..................................................................................................................................5 1.2 设计原则.......................................................................................................................................................5 1.3 总体设计思想...............................................................................................................................................6 第二章 技术体系详细设计..............................................................................................................................8 2.1 技术体系总体防护框架...............................................................................................................................8 2.2 内网安全计算环境详细设计.......................................................................................................................8 2.2.1 传统内网安全计算环境总体防护设计..............................................................................................8 2.2.2 虚拟化内网安全计算环境总体防护设计........................................................................................16 2.3 内网安全数据分析.....................................................................................................................................25 2.3.1 内网安全风险态势感知....................................................................................................................25 2.3.2 内网全景流量分析............................................................................................................................25 2.3.3 内网多源威胁情报分析....................................................................................................................27 2.4 内网安全管控措施.....................................................................................................................................27 2.4.1 内网安全风险主动识别....................................................................................................................27 2.4.2 内网统一身份认证与权限管理........................................................................................................29 2.4.1 内网安全漏洞统一管理平台............................................................................................................32 第三章 内网安全防护设备清单.....................................................................................................................33
第 ii 页 内网安全整体解决方案
第一章 总体方案设计
1.1 依据政策标准
1.1.1 国内政策和标准
1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)4.《信息安全等级保护管理办法》(公通字〔2007〕43号)5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
10. 国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
11. 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
12. 国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13. 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》
14. 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求
第 3 页 内网安全整体解决方案
第2部分:云计算安全扩展要求(征求意见稿)》
15. 《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》
16. 《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
17. 《信息安全技术 信息系统安全等级保护基本要求》 18. 《信息安全技术 信息系统等级保护安全设计技术要求》 19. 《信息安全技术 信息系统安全等级保护定级指南》 20. 《信息安全技术 信息系统安全等级保护实施指南》 21. 《计算机信息系统 安全等级保护划分准则》 22. 《信息安全技术 信息系统安全等级保护测评要求》 23. 《信息安全技术 信息系统安全等级保护测评过程指南》 24. 《信息安全技术 信息系统等级保护安全设计技术要求》 25. 《信息安全技术 网络基础安全技术要求》
26. 《信息安全技术 信息系统安全通用技术要求(技术类)》 27. 《信息安全技术 信息系统物理安全技术要求(技术类)》 28. 《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》 29. 《信息安全技术 信息系统安全管理要求(管理类)》 30. 《信息安全技术 信息系统安全工程管理要求(管理类)》 31. 《信息安全技术 信息安全风险评估规范》 32. 《信息技术 安全技术 信息安全事件管理指南》 33. 《信息安全技术 信息安全事件分类分级指南》 34. 《信息安全技术 信息系统安全等级保护体系框架》 35. 《信息安全技术 信息系统安全等级保护基本模型》
第 4 页 内网安全整体解决方案
36. 《信息安全技术 信息系统安全等级保护基本配置》
37. 《信息安全技术 应用软件系统安全等级保护通用技术指南》 38. 《信息安全技术 应用软件系统安全等级保护通用测试指南》 39. 《信息安全技术 信息系统安全管理测评》
40. 《卫生行业信息安全等级保护工作的指导意见》
1.1.2 国际标准及规范
1.国际信息安全ISO27000系列 2.国际服务管理标准ISO20000 3.ITIL最佳实践 4.企业内控COBIT 1.2 设计原则
随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷
第 5 页 内网安全整体解决方案 等安全事件的发生
如上图所示,本项目的设计原则具体包括:
整体设计,重点突出原则 纵深防御原则
追求架构先进、技术成熟,扩展性强原则 统一规划,分布实施原则 持续安全原则 可视、可管、可控原则
1.3 总体设计思想
如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:
第 6 页 内网安全整体解决方案
一个体系
以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。
三道防线
结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。
四个安全能力
采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。
预测能力:通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。
防御能力:采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。
检测能力:通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。
响应能力:与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间内,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。
第 7 页 内网安全整体解决方案
第二章 技术体系详细设计
2.1 技术体系总体防护框架
在进行内网安全防护技术体系详细设计时,充分考虑某单位内部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》,通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》切实做到内部网络安全的风险可控。
三重防护主要包括:内网安全计算环境、内网安全数据分析、内网安全管控措施。
2.2 内网安全计算环境详细设计
2.2.1 传统内网安全计算环境总体防护设计
第 8 页 内网安全整体解决方案
如上图所示,在内网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体内容包括:
网络层安全防护设计
1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2、在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3、在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 应用层安全防护与设计
1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护
第 9 页 内网安全整体解决方案
2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 数据层安全防护与设计
1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制
2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密
2.2.1.1 内网边界安全
2.2.1.1.1 内网边界隔离
严格控制进出内网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。2.2.1.1.1 内网恶意代码防范
病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从内网边界入手,切断传播途径,实现网关级的过滤控制。
建议在该区域部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
第 10 页 内网安全整体解决方案
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。2.2.1.1.3 内网信息隔离防护
建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
2.2.1.1 内网主机安全
2.2.1.1.1 内网用户行为管控
上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。2.2.1.1.2 内网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管
第 11 页 内网安全整体解决方案
理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。
为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题:
入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。
违规终端不准入网 违规终端定义
外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办公用终端(员工私人终端等);
违规终端:未能通过身份合法性、安全设置合规性检查的终端。
入网终端安全修复合规化
终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。
内网基于用户的访问控制
内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。2.2.1.1.3 内网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常
第 12 页 内网安全整体解决方案
适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。2.2.1.1.4 内网服务器安全加固
建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。2.2.1.1.5 内网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
第 13 页 内网安全整体解决方案
建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.1.1 内网应用安全
2.2.1.1.1 内网应用层攻击防护
建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行
2.2.1.2 内网数据安全
2.2.1.2.1 内网数据防泄密
建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。
员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开
第 14 页 内网安全整体解决方案
使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。
1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2)员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;
3)存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4)员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计
建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等)结构操作类(如create、drop、alter等)
事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。
第 15 页 内网安全整体解决方案
2.2.2 虚拟化内网安全计算环境总体防护设计
2.2.2.1 划分虚拟安全域
图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略
第 16 页 内网安全整体解决方案
类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
南北向流量访问控制
第 17 页 内网安全整体解决方案
在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
2.2.2.2 内网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
第 18 页 内网安全整体解决方案
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。
2.2.2.3 安全域访问控制
为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。
对于虚拟网络边界进行区域请求控制 VPN接入边界访问控制 Vlan访问控制
2.2.2.4 iaas系统虚拟化安全规划
虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系
第 19 页 内网安全整体解决方案
虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。
2.2.2.5 虚拟资产密码管理
为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全
2.2.2.6 虚拟主机安全防护设计
虚拟主机安全防护设计主要实现如下目标: 资产清点
自动化的进行细粒度的风险分析 安全合规性基线检查
对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析
第 20 页 内网安全整体解决方案
如上图所示,通过收集主机上的操作系统、中间件、数据库等配置数据,准确分析应用系统在不同层面的配置信息,结合第三方病毒库进行漏洞和风险分析,并及时给出整改加固建议。
2.2.2.7 内网虚拟化安全运维平台
2.2.2.7.1 集中账号管理
在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号,统一维护云平台与服务器管理帐号,实现与各云平台、服务器等无缝连接。
第 21 页 内网安全整体解决方案 2.2.2.7.2 统一登录与管控
用户通过云堡垒机管理系统单点登录到相应的虚拟机,且所有操作将通过云堡垒机系统进行统一管控,只需要使用云堡垒机提供的访问IP、用户名、密码登录后,用户即可登录相应的云平台与服务器,而不需要反复填写对应云平台与服务器的地址、用户名、密码。
用户可通过vsphere client登录vmware vsphere云平台进行管理,输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。
第 22 页 内网安全整体解决方案
2.2.2.7.3 记录与审计
通过云堡垒机管理系统的访问历史记录回放功能,可随时查看每个用户对所属服务器、虚拟机的访问情况。
windows历史访问回放
第 23 页 内网安全整体解决方案
linux历史访问回放
在回放过程中,用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度,快速定位到用户可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 页 内网安全整体解决方案
云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话,实时监控,以及中断会话。2.2.2.7.1 权限控制与动态授权
云堡垒机系统统一分配系统角色对应的云平台与服务器权限,当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限,不一致时,可通过云堡垒机的动态授权功能,对角色的云平台与服务器权限进行方便灵活变更。
2.3 内网安全数据分析
2.3.1 内网安全风险态势感知
建议部署态势感知系统,检测已知位置的终端恶意软件的远控通信行为,定位失陷主机,根据态势感知设备的告警信息,采集、取证、判定、处置内网终端主机上的恶意代码,针对未知恶意文件攻击,将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行,根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序,及植入攻击行为。检测各类植入攻击:邮件投递,挂马网站,文件下载,准确识别0day、Nday漏洞入侵的恶意代码
2.3.2 内网全景流量分析
建议部署内部网络流量分析系统,数据的传递介质是网络协议,网络流量作
第 25 页 内网安全整体解决方案
为网络协议中最有价值的安全分析维度,其本身就承载着重要的风险识别作用,针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征,因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。
2.3.2.1 基线建模异常流量分析
流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法,首先确定正常的网络流量基线,然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,这些基本特征比较详细地描述了网络流量的运行状态。
总体设计 网络流量异常检测模型的总体设计思路是:从网络的总出口采集数据,对每个数据包进行分类,将它的统计值传到相应的存储空间,然后对这些数据包进行流量分析
2.3.2.2 流量分析引擎
对采集到的数据进行分析处理。通过建立正常网络流量模型,按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略,能够自动学习最近的流量情况,从而调整检测的准确度。
建立正常网络流量模型 要进行流量异常检测,必须首先建立正常的网络流量模型,然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测,利用网络流量的历史行为检测当前的异常活动和网络性能的下降。因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来,使其能够准确反映网络活动。
在系统运行时,统计当前流量行为可测度集,并同正常的网络基线相比较,如果当前流量行为与正常网络基线出现明显的偏离时,即认为出现了异常行为,并可进一步检测分析;如果两种行为没有明显偏差,则流量正常,更新正常网络流量模型。
通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统
第 26 页 内网安全整体解决方案
计量、阈值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
2.3.2.3 异常的互联关系分析
对于不符合白名单和灰名单的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流自动生产报警或提取到白名单。
2.3.3 内网多源威胁情报分析
建议在内网部署多源威胁情报分析,通过对不同源头威胁情报的统一汇总、分析、展示等功能,极大提高情报告警准确率,帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时,可进行协同式研判,提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报,便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要,使安全加固工作处于主动、积极、有效的工作场景之中。
2.4 内网安全管控措施
2.4.1 内网安全风险主动识别
2.4.1.1 基于漏洞检测的主动防御
云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具,可以为用户提供定期的安全风险检测,基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。
第 27 页 内网安全整体解决方案
2.4.1.1.1 漏洞检测范围
操作系统:Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
数据库:MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
网络设备:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趋势科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
应用系统:各种Web服务器应用系统(IIS、Apache Tomcat、IBM lotus……)、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统(Vmware、Virtual Box、KVM、OpenStack等等)、邮件服务器应用系统(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 识别漏洞类型 系统漏洞类型
Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、第 28 页 内网安全整体解决方案
FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞(含RPC、NFS、主机后门、NIS、SNMP、守护进程、PROXY、强力攻击……) web漏洞类型
微软IIS漏洞检测、Apache漏洞检测、IBM WebSphere漏洞检测、Apache Tomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBM Lotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、Netscape Enterprise漏洞检测、Sun iPlanet Web漏洞检测、Oracle HTTP Server漏洞检测、Zope漏洞检测、HP System Management Homepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、Abyss Web Server漏洞检测、以及其他Web漏洞检测等Web服务器的扫描,尤其对于IIS具有最多的漏洞检测能力,IIS漏洞大于155种 数据库漏洞类型
MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以扫描数据库大于三百五十多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议 2.4.1.1.3 内部主动防御
根据漏洞扫描结果,给予定制化安全加固方案,结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务,配合用户第一时间完成修复工作,我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性,从用户安全运维、业务系统稳定运行的角度出发,给出可落地的安全加固方案。
2.4.2 内网统一身份认证与权限管理
建议构建统一身份认证与权限管理系统,建立统一身份库,业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、第 29 页 内网安全整体解决方案
系统管理人员通过统一认证入口,进行统一的身份认证,并对不同人员设置不同的访问权限,并实现所有用户登录及访问行为分析和审计。
2.4.2.1 统一用户身份认证设计
建立的统一身份库,包括运营身份库和业务人员身份库,使用户在统一身份库中,只有唯一身份标识,用户向统一认证平台提交的证明是其本人的凭据,根据系统级别不同,采用的认证方式不同,每个应用系统都有自己的账户体系,这些账户被看做是访问一个信息资产的权限,管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证,而是通过统一的身份认证入口进行认证,通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示:
2.4.2.2 统一用户权限管理设计
一、外部用户
二、内部用户
1、运维人员的权限管理
第 30 页 内网安全整体解决方案
2、业务人员的权限管理
2.4.2.3 业务内容身份鉴别与访问控制设计
一、内部访问设计
内部访问设计主要面向内部用户,通过验证后会加入到统一用户身份认证与权限管理平台身份库,经过认证策略判定,录入认证策略库,最后通过堡垒机实现内部访问。
二、外部访问设计
身份合法验证,通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库,经过认证策略判定并录入认证策略库,经过多因素认证资源池(包
第 31 页 内网安全整体解决方案
括指纹、二维码、RSA令牌等)实现外部应用的系统资源访问。
2.4.1 内网安全漏洞统一管理平台
建议部署安全漏洞统一管理平台,按照组织架构或业务视图建立资产管理目录,快速感知不同资产层级的漏洞态势,解决内部漏洞无法与业务系统自动关联分析的问题,为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据,并去重合。形成某单位自身的漏洞信息库,赋予漏洞数据空间、时间、状态和威胁属性,形成每个信息系统的漏洞信息库,并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要,解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题,实现漏洞管理流程化、自动化、平台化及可视化。
第 32 页 内网安全整体解决方案
第三章 内网安全防护设备清单
云防火墙 硬件防火墙 云waf 硬件waf IPS 防病毒网关 上网行为管理 隔离网闸 流量分析系统
多源威胁情报分析系统 安全漏洞统一管理平台 堡垒机 云堡垒机 数据库审计 态势感知平台 系统漏洞扫描器 Web漏洞扫描器 数据库漏洞扫描器 镜像文件加密 云堡垒机 云数据库审计 统一身份证书
虚拟终端加固及防护软件 虚拟主机加密机 数据防泄密 网络准入设备 服务器加固软件
第 33 页
第五篇:整体解决方案:物业管理小区难点 ,及解决方案
整体解决方案:物业管理小区难点及解决方案
2016年实体经济下行,各行各业的转型之潮,冲击着每个企业如覆薄冰,企业要生存必须转型或者叫做更符合当下生存状态、时代、人需求更现实,科学一点的叫法产业升级(高科技发展的趋势性)。
从电视媒体至互联网媒体炒得火热的房地产,都说要买房子需要找一个名气大的、行业内有声望的物业是重中之中,那么,房产背后的产业物业是否还生存的好?有没有转型?是不是购房业主对物业的管理满意?跟随着笔者的视角看下房产地背后的部分产业状态。
一、社区业主与物业 共痛之处 业主
1、物业日常人员员工工作做不到规范管理。
2、日常设施维护不能及时维修。
3、工作人员工作效率低。
4、投诉、停电、停水、报修反应迟顿。
5、没有沟通环节、责权无法定性。
6、配套设施不完善(绿化、健身器材、日常活动区域等)。物业
1、日常工作无法可视化。
2、工作量大(人员少、责任范围大)。
3、成本越来高,“收费价格”难以提升。
4、物业人员的流动性越来越大,管理成本越来越高。
5、行业之间的恶性竞争越来越激烈。
6、“增值收益”途径越来越少,收来来源被迫透明。
7、点对点工作没即时通信操作手机(电话成本太高)。
二、零壹“1号社区”针对物业整体解决方案
给物业创造的价值
1、减少成本(节省人力、节省物业通知公告成本、提高通知公告的“及时性”和“覆盖性”)
2、提高业主满意度(随时随地通过图文结合向业主展示物业工作风采)。
3、提高员工的工作效率(员工可实现移动化办公及工作沟通。
4、帮助物业客服提供高效、精准的“点对点”通知和“点对点”催费工具。
5、帮助小区减少硬件投入成本和维护成本,减少工程人员工作量。
6、实现小区物业工作人员的绩效化、报表化管理。
7、帮助物业建立本小区的“自媒体”通道,方便物业与业主之间的沟通。
8、提高小区“车辆”和“人员”公共安全管理水平。
9、同一平台、同一厂家实现小区公共安全硬件(门禁、车场、对讲、梯控)维护售后,彻底解决维护难题。
10、提供线上物业费支付平台,物业费用直接通过业主转入对公帐户,不需经过第三方平台停留。
物业客户创造的价值
1、减少日常工作量
(1)来访电话减少:停水、停电、投诉、报修等(2)上门来访减少:投诉、报修、缴费等。
(3)减少物业人员(客服部、秩序部)与业主之间的“正面”冲突。(4)增加收费通道,实现点对点催费。
(5)办公移动化,遇到紧急情况不受时间、空间限制工作。
2、提高工作效率
(1)减少发卡成本,设备维护简单。(2)被占车位,随时精准查询。(3)车辆出入实时查询。(4)公告管理移动化发布。
(5)投诉、报修移动化实时回复管理。(6)实现一对一精准沟通。
(7)减少投诉、报修沟通环节,责权分明,有据可查。
(8)同一个软件后台实现小区各大系统(门禁、车场、对讲、梯控)服务,彻底解决客服电脑上安装众多不同硬件厂家软件的烦恼。