咨询
STEP 1 / PROJECT SPECIFICATIONS
我们将在一个工作日内回复,资料保密处理
yjy.wisedu.com
推荐专题 / News
推荐新闻 / News 更多>>
1
2016 - 01 - 14
昨晚,“南京理工大学30项人事服务上线”一文犹如“冬天里的一把火”,以燎原之势暖遍高校IT人朋友圈。“高冷人事管理”究竟如何秒变“暖心教职工服务”?不少老师们已迫不及待在后台留言:能8能给个登录账号体验下啊?于是乎,高校信息化业内的打探小能手小智再现在江湖!通过各种软磨硬泡、威逼利诱等无节操手段,小智抢先登录体验了一把惊艳IT江湖的南理工综合人事服务。话不多说,本期小智马上为大家揭秘:暖心人事服务 VOL.1新进教职工注册报到 上线前 · Before话说此服务上线前,很多高校新进教职工报到流程是这样的:你是新来报到的吧?给一张“报道单”转单签章老师们自己招呼自己啊每个高校都有的报到单But在很多学校结局却常常是酱紫滴:↓↓↓然而“新进报到”这件小事人事处、组织部、房管科...就轻松了吗...了吗?上线后 · After导引式办理,大幅降低沟通成本新进教师可以直接在学校网站注册,并选择自己就职的岗位。KEY 1系统将会根据不同岗位类别适配出相应的报到流程,并自动弹出“导引式提示框”,用遮罩式设计,确保老师视觉上能一眼看到填报说明。▼上图为真实效果 毫无PS改动KEY 2教职工阅毕收起后,系统随即展开详细的报到注册流程,具体包括“基础信息审核、校内业务办理、报到与起薪”三个部分。每个部分都清晰呈现具体的办理项目和当前的办理状态(办...
2
2016 - 01 - 14
你以为这是某国外社交网站的的界面吗?错!它是南京理工大学为教师提供的人事服务应用!南京理工大学人事30余项服务应用历经4个多月的建设,于2016年元旦正式上线,开启猴年新气象!迎接各位教职工、校领导的再也不是冷冰冰、丑兮兮的界面,而是采用国际前沿的Material Design设计风格。而不为人知的是,除却超群的气质,这些服务应用更让老师们的工作效率提高至少10倍!据悉,本次上线共计30余项服务,跨部门整合了人事处、组织部、离退休处等部门的各项人事管理相关业务,服务共惠及校内50个相关部门。其中,“新进教职工注册报到”为新进教职工提供16项服务,“我的人事信息、我的信息变更”为学校近3000名教职工提供服务;“教职工信息管理、组织部管理、离退休处管理”主要面向职能部门进行信息管理与流程审核;“在职教职工查询与统计、各类人员查询”主要为各院系领导及校领导提供服务。30余项服务应用的建设重点整合了人事处、组织部、离退休处的工作流程,完成业务的全面梳理,是一次“跨部门业务流程整合”的优秀实践。与此同时,其核心创新点在于实现了“管理与服务的分离”、“流程与界面的分离”——此次所有服务应用的设计前期,已对服务对象进行了细分,并根据不同对象的差异化需求进行重新设计。这与传统管理系统建设中“将教职工、业务管理人员、校领导的需求用一套系统满足”的模式有本质差异。因此不论界面或交互、流程或功能都为用...
4
2016 - 12 - 22
信息技术的发展带动了社会的变革,复杂的大数据处理基本都交给了云计算处理和完成。云时代下,建设智慧校园,高校学生工作应该做出怎样的创新?近日,长安大学学工部部长张骞文独家分享了《云计算时代高校智慧学生工作创新与思考》的演讲,以下节选自现场实录。高校如何做好智慧化的学生管理工作?分以下两个方面来探讨:(一)高校学生工作的大数据需求分析(二)学生工作的数据驱动 01    高校学生工作的大数据需求分析学生基础信息准确查询    当前高校学生工作现实情况下,我们对大数据首要需求是要有一个完整的、核心的基础数据库。基本信息的准确查询是反映一个学生系统水平的重要指标。理想情况是将招生系统数据、教务系统、建档立卡数据、卡务中心数据、学院数据、考勤数据、宿舍进出数据等作为数据采集中间件,当需要对某个学生进行信息查询时,只需要输入姓名或学号,就能第一时间获取其所需个人信息、考试成绩、考勤情况、综合测评、经济状况、重点关注事件等。学生档案管理的数据追踪体系    档案的管理,我认为应保证学生入校开始,到离校,包括离校以后,他的档案状态都可查询。这应该是为学生提供的一个最基本的信息服务。档案要建立采集追踪机制,档案袋上设计可追踪的二维码,另外要有可查询的接口。现实中确实会有招生办转存学院、学院寄送用人单位、单位退档学工部等各种情况,学...
英迈思活动 / FAQ 更多>>
英迈思活动 / Video 更多>>

网络与信息安全的独孤九剑

来自:
日期: 2016-07-26
浏览: 14

以下内容节选自西北工业大学薛静老师在线上直播课分享的“网络与信息安全初探”报告中的部分核心内容。


 
信息化从业者都面临过的困惑  
1    
领导不知道你们在干嘛!  


  领导经常问:“平时你们都在干啥?有特殊情况发生时,又问你们都干什么去了?”很多领导平时是口头上非常重视网络安全,可实际上并不关系,没有实际行动。

 

2    
业务部门、师生不知道自己能干嘛!  


  很多老师、同事和学生,经常说网络信息安全都是你们信息部门的事;还有一些部门管理员不懂安全技术和业务,不知道怎么去管。



没人、没技术支持,信息部门如何开展安全工作?  


  先和大家介绍下我们学校信息化历程和背景,以便大家理解我后面分享的内容。2005年前,处于计算机自由发展阶段。2006年,启动一期信息化建设,三大平台陆续上线,那时候我们还处于比较先进的地位。2009年-2012年,学校投入相对有所减小,学校发展势头有所减慢。2013年以后,学校投入了新的一期信息化建设,所谓的“二期建设”。正是这二期建设,让我们认识到了形势的严峻性。    

  二期建设前,我们做了大量调研,通过调研发现:

1、清华、复旦等华东华南做得比较好的大学,发展已经越来越快,逐渐拉大了与我们之间的差距。

2、一些起步较晚学校,他们的追赶力度也非常大,超越我们就是咫尺之间的事。

 

  我们处于前甩后追的局面,让我们认识到:我们的信息化建设任务已经非常紧迫了。

为了做好我们学校新一轮信息化建设工作,投入了2年时间,走访了30多所高校学习他们的先进经验,基于我们校情制定了信息化深度规划、建设与实施方案。

    

   我们的信息化建设模式是:先做好整体设计,然后从局部做起,以“拼图”的方式,逐步拼出我们学校的信息化美好蓝图。整体推进思路如下:

1、首先,梳理学校现状和需求,进行顶层设计,制定规划、实施方案和制度。

2、然后,按照规划、制度和实施方案,各部门分工负责、协调配合,共同推进信息化建设。

3、最后,在各个部门建设的基础上,学校进行整体集成,确保数据通、流程通和服务通。



网络与信息安全的独孤九剑

 

 

  我们信息化整体规划框架,确定了“三个体系、五条主线”的工作思路。

  三个体系包括:顶层规划体系、标准规范体系,和安全保障体系;这三个体系,贯穿我们后面所有的信息化建设工作,每一个建设的任务都包括这三个体系。其中安全保障体系,就是我们今天要介绍的主要内容。

  五条主线包括:基础环境建设主线、数据共享及利用主线、平台建设主线、信息系统群建设主线和整体集成主线。现在开展的主要任务,基本上都涵盖在这五条主线中。


 

 在了解我们学校信息化整体背景的前提下,开展我们本次网络与信息安全话题的分享。                                
   


 

   
    作为,还是不作为?    

                                                 
 

  我们在网络与信息安全方面,2013年至今,设备上累计投入近300万。

  我们信息中心设立了网络安全管理岗,专门有1人负责,另有4人协助。各部门50多管理人员也都从事着网络与信息安全方面的相关工作。

  我们能取得今天的网络信息安全成效,并非是一朝一夕的事,真个滴水石穿的过程。因为,无论领导、业务部门是否支持、认可,我们始终把校园信息安全当成我们工作的重点,所以不管现实多残酷,信息部门还是要有所作为才能逐步推动信息化建设良性发展。


 
那些年我们遇到的网络安全问题  


网络与信息安全的独孤九剑

    

我们学校在网络信息安全方面,通过部署安全设备、制定安全策略、加强安全检查、开展安全管理和强化应急处置等一系列安全措施,构建了一个立体的安全保护体系,并且打造了“信息安全,人人参与”的环境,才使得我们学校近些在信息安全层面取得了良好成效。

借用金庸先生笔下的大招独孤九剑,和大家分享下我们的经验:




第一招、转观念  


1、变被动为主动

从被动防护逐步向主动防护进行转变,2013-2016是我们学校主动防控年,2017年将开启科学防控模式。

2、转变两个意识

1、网络与信息系统需要随着需求的不断发展而更新,必要的时候进行更新换代。

2、网络与信息系统需要运维,需要经常进行系统维护、备份、漏洞修复、安全防护、软件升级,以保障信息系统长期安全有效的运行,避免被黑客等有恶意的成员进行利用。

3、划清边界

开展信息化安全培训工作,明确信息中心和各部门的分工和职责。

信息中心就像学校的保卫队、公安处,是学校的大门门卫,核心做好学校外围的防护,做好基础的防护。

各个单位的应用系统,就相当于围墙之内的各家各户,各家各户你们有自己的户型、结构,你们有自己的钥匙,所以需要自己保护好自己家。信息中心没有各单位的信息,所以无法进入内部替各单位进行防护。

 


小窍门:

 各个单位很多信息系统的管理员,不是专业计算机方面人员,如何进行防护呢?

做信息安全防护并不一定是业务单位自己做,也可以委托给专业安全运维公司进行防护;如果业务单元需要经费,他们可以向学校申请相应的运维经费;业务单元只需履行管理职责即可。

   信息部门扮演着帮助布道者的角色,需要给到各单位解决方案,把信息化分工责任落实下去。对于信息部门来说,不能光下派工作,没有解决方案;没有疏导,就不会有好效果。





第二招、立规矩


  无规矩不成方圆,必须有一套能落实主体责任的文件规定,我们学校制定了《信息化建设管理办法》,《网络与信息系统的运行管理办法》,《网络与信息系统的安全管理办法》和《用户管理办法》这四个主体制度文件,对所有工作和职责进行划分,确保全校能协调一致,共同推进学校的信息化建设。




网络与信息安全的独孤九剑

网络与信息安全的独孤九剑



第三招、变可视        


1、借用安全公司的安全设备使得安全状况可视化,得到领导重视后,我们再向领导申请相应资金购买安全设备。

2、制订学校信息化安全简报,将学校信息方面的数据变成一种可视的内容,展现给各位领导。我们的简报已做了4期,核心包括:

1)学校网络与信息安全攻击都来自于哪些地方,对于攻击来源分析,西安本地的攻击占到了所有攻击的63%,我们瞬时攻击流量达到204G。

2)每月攻击访问量,大概在9000万次,总的攻击量在362万次,平均每个学校网络与信息技术,每天要面临的冲突大概在12万,这些数字让很多领导老师都非常震惊。

3)列举网络漏洞的危害,主要包括学校形象受损等,让领导一起感受到危机。

  我们也在探索安全简报应该给老师和领导传递一个什么样的信息,不应是满篇术语的专业知识,而应是用一种简单的话语、简单的图表方式,让他们快速、清晰地了解我们信息安全做了哪些工作,我们正面临的安全形势压力。

将安全可视化以后,领导也感觉到了压力,感觉到了责任,后面的事情就好开展了。

网络与信息安全的独孤九剑

网络与信息安全的独孤九剑

网络与信息安全的独孤九剑


 
第四招、要建防护    
  

  从技术方面、管理方面入手,首先做好外层防护,从网络防火墙、堡垒机、WEB应用防火墙、抗DDos攻击、数据库审计、远程管理审计、云防护、网站及信息系统监控平台等方面入手。

  未来,紧随安全防护技术的发展,开展针对个人用户的安全体检,如:如果中了木马,安全防护设备立即提示有风险,方便用户做好相应防护措施,从而进一步提高学校的安全防护手段,这是我们学校的安全防护策略。




第五招、督促别人


  建立安全检查机制,采用每月定期检测和平时检测相结合的安全检测机制。每个月利用漏扫机安全检测设备对所管辖的网站及应用系统进行安全检测。另外,根据乌云提供的安全威胁及漏洞报告,对学校网站信息系统进行检;另外,还需开展不定期的渗透检测。

  通过执行这些机制,及时发现问题,生成相应检查报告,报告里不仅要提出问题,还要给出具体解决方案。




第六招、促整改


  安全文件中,通过信安字多少号的安全文件对各单位下发,针对所有单位发现的问题,我们会督促单位进行整改,同时也会附上我们建议的解决办法。对于整改不合格的单位,会报请领导进行监督检查直至关停。

网络与信息安全的独孤九剑

  从这一制度实施开始,我们信息中心10月到12月共处理了安全事件或者安全隐患77起。2016年1月到3月,处理58起,3月到4月,处理了37起,这里面有些整改不到位的我们一共关闭了网站及系统,关闭了19个。

  从安全事件处理来看,我们取得了一个良好效果,目前学校安全漏洞处理,平均时长是6小时,最快是2小时完成。在我们与各个安全公司交流中我们感觉到全国是2—3天,我们处理速度是相当惊人的。

  

第七招、拓展渠道


  为了克服人员不足的状况,我们学校试点与“安全公司合作”,购买安全服务,安全监控服务和安全的应急处理的服务。

  通过这些服务,等于为我们引进了一批专业的人员队伍,一旦有事情这些安全公司,不计代价,先帮我们解决问题,然后再根据我们的问题提出一些解决方案。

  形成这么一个良好机制后,我们现在的人员尽管也不够,但是我们处理安全问题的能力大幅提升。


第八招、找帮手


  每个学校都有一帮非常有能力的学生,这些学生他们不断在学校里面做安全方面学习、测试、攻击、渗透,他们想练技术,但很多学生意识不强,自我约束能力不强,多做一步就很可能违规甚至犯法。

  我们对这些学生进行改编,与学生安全团队合作进行安全防护,给学生提供一个正常的渠道,让他们能为学校安全做一些事情。和他们讲好能做哪些,该怎么做,做到什么地程度收手,让学生有安全意识,把破坏工作变为白帽子工作,帮学校进行安全防护。

学生已配合我们做了以下安全工作:

1、输出乌云安全报告:按照乌云的要求提交发现问题的安全报告和应对方案。

2、渗透测试破坏:所有新建系统在上线之前,给他们一段时间进行渗透测试、随便破坏,让学生练手,也让学生通过这种方式帮我们找到系统存在问题。

3、安全备份、安全检测:学生带动身边老师学生养成安全习惯,如:弱密码、安全升级备份等,他们之间的交流,会比我们的交流更有效、更生动。

引导和奖励学生也需要有些组合拳引导学生走入正轨,很多时候并不是说有经费就能解决全部问题,可以采取些其他方式,如:补贴流量,评年度优秀奖为他们评各种奖学金提供帮助。

  另外,针对学生就业需求,给他每年制作一个证书,写明参与学校安全防护工作,挖掘了多少问题和漏洞,协助哪些单位开展了多少防护工作,取得的效果是怎么样的,这一部分其实是学生非常重视的。


   第九招、就是推等保


  2013年我们就开展了等保工作,当时希望是以评促建,通过等保工作找到差距,提出需要改进的部分,让领导意识到了我们面临的问题和危机,这样才能争取到经费。

  下一步,要落实教育部和国家要求,积极进行定期备案,并对重要系统进行等保评测。已对新建系统落实到合同,要求所有新建系统在上线之前必须完成等级备案及等保评测,将这项工作贯彻到平时建设中,这也是同步建设的一个方面。


 


 最后再说一下我们的思考,安全问题永远在路上,网络与信息系统,要么已经被攻破,要么即将被攻破。这些就是我交流的主要内容,今天就汇报这么多,谢谢大家的支持!



关键词:
分享:
Hot News / 热点新闻
地址:中国·南京·江宁区将军大道100号金智科技园
电话:025-68755381   邮箱:marketing@wisedu.com
传真:+86 0755-2788 8009
邮编:330520
Copyright@ 2018-2019江苏金智教育信息股份有限公司 All rights reserved
犀牛云提供企业云服务