网页升级访问紧急通知
互联网发展日新月异,高校校园网建设一日千里,尤其在建设新校区过程中,网络建设常常本着高起点、高投入的原则,内部带宽预留得很高,很多高校都自豪地把自己的校内网络称作“信息高速公路”。如何利用这个信息高速公路开展网络思想政治教育,服务于人才培养,帮助和教育学生成长成才是高校干部教师研究的重要课题。长期以来,大学生网络思想政治教育虽然很受重视,但效果并不是非常令人满意,笔者曾撰文《利用交互式网站提高大学生网络思想政治教育效果的思考》,提出从网站的功能属性方面着眼,通过增加网站的交互性来提高教育效果。本文则侧重于从网站所处的位置属性着眼,研究如何利用高校校内网站的独特优势,开展网络思想政治教育。
一、高校校内网站的基本涵义和独特优势
本文所指高校校内网站是指网站所在的服务器连接在高校校园局域网内的网站。根据网站设定的被访问的范围可以将校内网站分两类,一种是面向互联网的、校内外用户均可访问,如学校主页、新闻网等;一种是仅供校内IP、校内用户访问,如内部办公系统、期刊资源网站等。根据网站归属单位级别不同可以分为主网站、二级网站等。高校校内网站是网络思想政治教育的重要资源,与高校校外网站相比,校内网站在思想政治教育方面具有独特的优势。
(一)局域网内访问速度快,与校外网站相比带宽优势明显访问速度是影响访问感受的关键因素,当点击一个网页后等了很久还不能打开时,人们的访问积极性会大幅下降。有人说,一个网页超过3秒打不开就很可能被关掉,我们自己使用网络时都有切身体会。校内网站位于校内的服务器上,而在校内用户访问校内的服务器时使用的是局域网的网络带宽,其信号强度高,访问速度往往都比较快,上网冲浪的感受会更令人愉悦。而校内用户尤其是用户接入点较多的学生宿舍区域在访问校外网站时,一般情况下肯定会比访问校内网站速度慢,从而影响访问感受。所以一般条件下,当校内网站与校外网站拥有同样的信息和资料,但访问速度不同时,学生往往会选择访问速度更快的校内网站。
(二)服务器位于校内,学校对网站具有完全的操作、管理、控制权与校外网站相比,学校对于校内网站拥有完全的控制权,可以确保舆论引导的方向不会出现偏差。很多高校都曾经对匿名网友在百度贴吧、天涯论坛等校外网站对本校有关事务的攻击和干涉感到难于处理,而且即便在当前,也有很多独立于学校的以学校为主要讨论内容的网站或论坛,其主要原因在于没有对服务器的控制权,当出现不利于学校事业发展和不利于和谐校园建设的内容时,学校便会很为难。校内网站则不会出现失控的现象,所以大力建设、发展和丰富校内网站,把学生的注意力吸引到校内,对于提升思想政治教育效果具有重要意义。
(三)与学生学习、生活结合紧密,学生访问粘度高校内网站与学生学习生活紧密,很多方面如选课查分、网上学习、通知公告、生活信息、校内缴费、设施维修等很多方面都要通过校内的网站和软件系统实现。经常需要访问校内各种网站,并且在校期间会一直使用这些功能,访问这些网站。这样的访问黏度是很多商业网站梦寐以求但却可望而不可及的,高校应充分利用学生对校内网站的这种黏度,加强网络思想政治教育,为学校培养高素质优秀人才发挥应有的作用。(四)可以让学生参与建设、维护和管理,促进自我管理学生有各种自我管理的组织,如学生会、学生社团等,并且学生对于校内网站的建设和管理常常有着较高的积极性,都希望自己可以参与进来。用好学生技术人才和管理骨干,在老师指导下实现自我管理,既是高校网站管理方面独特的人力资源优势,也有利于减轻学校老师的管理工作压力。具体来看,很多思想政治教育类的网站都可以让学生参与维护管理,学生更加了解学生的心理,更清楚学生需要什么、想看什么、怎么做效果更好;也可以让学生独立建设一些专题性的、灵活性的网站,如校园文化类、学生活动类的网站等。
二、发挥校内网站优势,提升网络思想政治教育效果的基本做法
从开展网络思想政治教育的角度来看,高校校内网站应划分为四个层次加强建设,分别是校园网主网站、思想政治教育网站、院系网站、服务类网站。建设时应当遵循如下基本原则:一要增加丰富多彩的内容,提升网站的访问量。二要增加网站交互性,进一步增强学生访问黏度。三要将网上工作与网下的学生第二课堂活动结合。四要适当投入资金,开展服务外包提升建设效率。
(一)建设索引清晰的校园网主网站,实现门户网站的引导作用校园网主网站或者叫校园门户网站、校园网主页这是访问校园网的第一入口,是校内、校外访客进入校园网、查看学校信息的首选网页。具有不可替代的作用。从思想政治教育的角度考虑,主页应符合如下要求:一要索引清晰,分类科学,要成为校内所有网站的主链接。原则上应当做到使访客可以通过主页访问所有的二级网站。同时要有学校的公共栏目,如概况简介、机构设置、校园文化等各方面工作的简介,而不能简单的链接到二级单位网站。阶段性重点工作网页应在主页进行链接。二要主动提高网站访问量,增加影响力。在网络时代,访问量就是影响力。在企业网站都在纷纷花重金做广告或者进行网站优化,提升企业网站的访问量和受关注度的时候,很多高校网站却丝毫不考虑访问量的问题,甚至为了降低服务器压力、保证访问通畅,有意识地降低外来访问量。高校应当主动提升网站在师生、校友、社会访客中的影响力和吸引力。二要发挥新闻栏目的舆论引领作用。学校主页信息学校的重要活动动态信息,具有引领校园风尚、鼓舞师生士气、传播重要信息的作用。三要发挥公告栏目的权威作用。学校主页作为学校在互联网上的官方展示平台,理所当然应成为学校公共信息的权威媒介,有助于减少传播环节、破除不实传言。四要开通交互式的沟通交流平台。交流平台对于促进学校管理层和基层师生的沟通交流具有重要作用,应当是可以双向交流的,如可以开通校长信箱、校内BBS、网络博客、微博、SNS平台等。
(二)建设内容丰富的思想政治教育网站群,形成特色网络文化氛围在校内网站中,需要重点关注的第二层面,是直接从事学生思想政治教育的单位负责建设的网站,与学生接触较多,是除主页外,学生关注较多的二级网站。这类网站主要包括理论学习、先进事迹、学生活动、奖贷资助、就业指导、心理咨询等。这些网站在本单位主要工作信息和办事指南的基础上,应当以灵活多样的信息、丰富多彩的功能为网站主要内容,围绕学生关注的热点开展网上活动,并通过有倾向性的积极主流、健康向上的信息,引领校园网络文化,形成具有本校特色的网络文化氛围。网站的教育作用依托于其浏览量,浏览量依托于其吸引人的内容和服务功能,所以思想政治教育网站切忌满篇口号,而要有张有弛,用适合贴近学生的内容和交互性的服务功能吸引学生浏览,而后逐步调整内容引导方向,潜移默化实现教育功能。思想政治教育类网站形式可以多样,体制可以灵活,有条件的高校可以建立独立于校园主页之外的校园文化门户或学生门户网站,也可以建成学生创业平台,参照商业网站的模式进行商业化运作,进一步提升教育影响作用比较强。如大连理工大学的N维空间、华中理工大学的5Q地带等,都进行了商业运作,参与网站运营的学生都成为低年级学生钦羡的对象和学习的榜样。
(三)增强院系网站对学生的亲和力,提升基层网站与学生相关性各二级院系网站是校内思想政治教育的第三个层面。院系是学生所在单位,对学生有着天然的吸引力,但如果网站信息更新不及时,与学生相关的信息过少,学生就会不愿意访问。院系网站应当成为本单位信息的权威网站。当前,校外社区类网站和社交类网站越来越多,很多以学校为名称或分类方法的网站如“**网**学校吧”、“**网**学校站”也吸引了不少学生围观,有些影响力甚至逐步超越学校网站,在管理员引导偏颇的情况下,往往弱化了思想政治教育的作用,甚至对思想政治教育起到了负面作用。院系网站的内容应当大致分两类,一是面向公共访问的学院基本情况和面向教师的信息,二是面向学生的信息,学生班级多活动多,通过学生自己的活动信息来吸引学生的访问。
(四)发挥其他服务性网站的服务功能,充分发挥育人作用校内的各种服务型网站是校内思想政治教育的第四个层面。这类网站承担着对学生进行教育培养和教学管理某个具体方面的职能,具有管理育人和服务育人的职责,如教务教学、后勤服务,这类网站有很多内容和服务是学生在大学学习生活过程中必须访问的。这类网站应当为学生提供及时、准确、周到的服务,用细致入微的具体内容满足学生对自己学习生活过程的了解和把握。
三、保证网络思想政治教育效果,做好校内网站的管理和维护
为保证网络思想政治教育的效果,高校校内网站在管理和维护方面应当注意以下问题:
(一)更新要及时网络信息丰富,更新变化较快,网络信息强调“短”、“多”、“快”,即篇幅短、数量多、更新快,必须保持信息的新鲜,才能保持对学生的吸引力。所以一般要保持定期更新机制,一般消息至少以一个工作日为单位进行更新,重要消息则随时更新。
(二)内容要务实网上浏览行为多属于浅阅读,华而不实的信息常常被人略过,所以网络信息的内容应当避免“高”、“大”、“空”,减少高调的论断、庞大的叙述、空洞的说教,多提供实在的信息,反映现实的需要,解决实际的问题。
网页升级访问紧急通知篇2
一、防守技战法概述
为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。
为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:
第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。
第二道防线:广域网边界防护、DMZ区边界防护。
第三道防线:目标系统安全域边界防护、VPN。
根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。
结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。
二、 防守技战法详情
2.1 第一道防线--互联网边界及二级单位防护技战法
2.1.1 安全感知防御、检测及响应
构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:
防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
2.1.2 安全可视及治理
l 全网安全可视
结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。
l 动态感知
采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。
2.1.3 互联网及二级单位的区域隔离
在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。
在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。
办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。
服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。
在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。
2.1.3.1 互联网出口处安全加固
互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。
开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。
对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。
攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。
攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。
2.1.3.2 DMZ区应用层安全加固
当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全
攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。
通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
2.2 第二道防线-数据中心防护技战法
总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:
1、基于安全风险评估情况,夯实基础安全架构
通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。
2、加强持续检测和快速响应能力,进一步形成安全体系闭环
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
3、提升企业安全可视与治理能力,让安全了然于胸
基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。
2.2.1 边界防御层面
原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。
下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。
根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。
核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。
攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。
攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。
2.2.2 端点防御层面
服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。
进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
2.3 第三道防线-目标系统防护技战法
本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。
2.3.1 网络层面
在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。
同时通过增加一台VPN设备单独目标系统,确保对目标系统的访问达到最小权限原则。
子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。
系统多因子认证构建
为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。
因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSL VPN对资金管理系统进行资源;为需要接入资金管理系统的用户单独创建SSL VPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。
对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。
系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:
l 事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;
l 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;
l 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。
同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。
在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。
2.3.2 应用层面
下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。
下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。
目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。
在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。
为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。
在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。
2.3.3 主机层面
下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;
下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;
利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。
2.4 攻防演练-检测与响应技战法
2.4.1 预警分析
通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。
监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。
若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
2.4.2 应急处置
应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。
安全事件的处置步骤如下:
(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。
(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。
(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。
(4)根据排查过程中的信息进行溯源。
(5)梳理应急处置过程,输出安全建议。
网页升级访问紧急通知篇3
(1)利用软件漏洞进行病毒的传播;病毒会通过计算机操作系统及应用程序存在的漏洞实施攻击,关于这种类型的病毒通常有:红色代码、震荡波、求职信等等。通过计算机系统漏洞进行传播的病毒具有很快的传播速度,比如,通过微软04--011漏洞进行传播的震荡波病毒,仅仅需要三天时间就可危害到全球近五十万台计算机。(2)利用电子邮件进行病毒的传播;多数具有一定危险系数的病毒基本上都是利用电子邮件附件而进行传播的,也就是隐藏在所发送的文件中。大部分网络黑客都喜欢利用电子邮件来传播病毒,其中,危险系数最严重的邮件病毒有网络天空、爱虫、美丽杀手等。(3)利用网页文件进行病毒的传播;有不少用户为了使网页具有较好的可视性、交互性,常常会将一些Java程序和ActiveX插件放到网页文件中,却没人知晓这些程序及插件恰恰是病毒的宿主。一旦用户浏览了具有病毒代码的网页,并且浏览器没有限制ActiveX与Java的执行时,那么,就会执行带有病毒的程序。
2防范计算机病毒的策略
2.1构建一套高效的计算机病毒防护体系该体系应涵盖以下六个防护层,即访问控制层、病毒检测层、病毒遏制层、病毒消除层、系统恢复层、应急计划层。对于上述几层计算机防护体系,要有相应的软、硬件技术作为支撑。比如,安全设计、规范操作等。
2.2制定完善的管理防范策略具体应从三方面着手进行:首先,必须有较强的病毒防范意识,形成良好的计算机使用习惯,对于不熟知的网站不应浏览,也不应执行没有经过任何杀毒的软件,不要随便就打开来路不明的邮件或者附件,并第一时间将其删掉,只要具备了这些习惯,自己的计算机就会特别的安全。其次,按照各自的实际特征,编制一套规范的操作流程,并贯彻落实到实处。另外,及时获悉计算机病毒方面的知识,尤其要时刻关注计算机中常发生的病毒的特征及其传播方式,不断加强防毒准备工作,从而确保计算机正常安全的运行。
2.3利用专业防病毒软件有效监控随着计算机病毒类型的不断增多,通过杀毒软件对病毒进行查杀已经是我们当前最常使用的便捷手段。在计算上安装完反病毒软件后,用户应注意升级到最新版本,同时,养成定期查杀计算机的好习惯。要一直打开杀毒软件中的所有防病毒监控,如,网页监控、邮件监控等,这样,计算机就会处于安全状态下。
2.4进行数据文件的备份计算机硬盘中存储的数据至关重要;用户的数据不应和系统使用一个分区,以防由于重装系统而导致数据丢失情况的发生。一些关键的数据应予以备份。数据备份前,必须进行一番病毒查杀,可通过异地备份,也可通过光盘备份等方式。同时,还要用好应急工具,比如,系统启动盘、紧急系统恢复盘、各种操作系统盘等,以确保系统具有较高的维修效率。
2.5安装防火墙用户应安装最新版本的个人防火墙,同时,还应随着系统启动一同加载,这样能够有效防止网络黑客进入计算机中干一些偷窥、放置黑客程序的情况发生。虽然计算机病毒及黑客程序有很多的类型,且发展传播速度快,危害系数严重,但依旧可以进行处理的。只要用户在计算机使用过程中提高网络安全意识,利用效率高的杀毒工具,时刻查看计算机的运行实况,第一时间处理好存在的异常,不断降低计算机病毒或网络黑客的侵害,增强计算机安全系数。
3结论
网页升级访问紧急通知篇4
关键词:资源整合;农业信息服务平台;构建与实现
中图分类号:F320.1 文献标识码:A DOI:10.11974/nyyjs.20170133212
农业的发展于人们的生活息息相关,在当前信息技术普遍运用的形势下,农民信息需求不断提升,农业的发展也急迫需要良好的信息化水平予以支撑。对此,我国也应运用信息化技术,构建基于资源整合的农业信息服务平台,为农民提供优质的农业信息服务,从而充分满足农民当前需求,为现代化农业发展创造良好的发展条件。
1 基于资源整合的农业信息服务平台构建
基于资源整合的农业信息服务平台,主要包括农业信息资源整合平台以及农业信息服务系统2部分[1]。在农业信息资源整合平台的构建中,主要运用当前现有的数据库资源,构建分布式的资源平台。并运用SOA、SOC等技术,实现对省、市、乡镇农业信息资源的整合,使资源实现无缝共享。同时,在政府的支持下,构建工作局域网,以县级农业信息为中心,连接上下层信息网络,实现农业信息的全面共享,形成联系紧密、开放、便捷的信息资源平台。
在农业信息服务系统的构建中,主要将系统分成单点访问和服务功能两部分。单点访问方面,采用多角色授权机制,楦鞲霾慵渡柚孟嘤Φ墓芾斫巧,并通过超级管理员的设置,实现对农业信息资源访问的统一授权和管理,使使用者能够通过单点认证访问系统,避免使用者重复、多次登录,为使用者提供便利。农业信息服务功能方面,主要是向使用者提供有价值的农业信息资源、提供风险预警等方面功能,因而在这一功能的实现上,应设置用户注册登录模块、预警信息模块、后台管理模块、供应信息与求购信息模块、市场行情模块、评级管理模块、农业信息模块等。并利用B/S模式,实现不同信息的分类管理及访问,充分满足不同用户的农业信息需求。
2 基于资源整合的农业信息服务平台实现
平台建设完成后,使用者能够在平台首页获得一般性信息服务,例如农业政策介绍、农业生产新技术与成果介绍、农业新闻信息等的链接,使用者能够直接通过链接进入所需信息页面进行浏览。延安黄陵县所采用的农业信息服务平台是是一种依托延安农业信息网站和黄陵本地基层网站进行技术推广服务的系统,遮体系统同构对电子政务网和陕西农业网的应用,通过网上展厅、农产品网上促销专栏等信息系统为农民提供信息服务。
使用者能够在平台获得交互式服务。系统中具有在线咨询功能,使用者可以在线提出自己的问题,并等待工作人员予以解答。注册后的使用者,也能够通过专家列表,选择自己需要咨询的专家进行咨询,从而获得专家帮助。从获得农业专家指导的渠道来看,延安黄陵县的农业信息服务平台主要依靠农业部申请开通的12316全国农业系统统一公益服务专用号码进行服务,在对这一措施进行应用的过程中,延安市在全市推广了一种以电话、电视、电脑三中信息在同一有机结合为核心的服务系统,农民在借助黄陵县的农业基层信息平台进行服务的过程中专家可以通过电话语音系统为农户提供信息资源,农户也可以通过互联网技术的运用获取专家远程解答服务,还可以通过收看本地电视台农业节目的方式解决自己在农业生产中遇到的问题。
使用者能够通过平台获得在线知识学习服务。农民可以通过专家系统获得专业技能指导和相关知识的学习,例如肉牛专家系统、水稻专家系统等,可以为农民提供丰富的专题学习资料,以供农民学习。在构建专家系统的过程中,黄陵县主要依托本地区的苹果产业等特色产业,通过聘请专家拍摄制作现代农业科技专题片的方式,为农民提供信息服务,这就让农民获取信息的途径变得更为方便。
3 结论
基于资源整合的农业信息服务平台,能够为农民提供全面的农业信息服务,对农业工作者整体素质水平的提高有重要作用。我国也应尽快实现这一平台的构建和实现,通过资源整合平台和信息服务系统,为农民提供一般性信息、信息交互以及在线知识学习等服务,充分满足农民个性化需求,以促进我国农业信息化水平的进一步提升。
参考文献
网页升级访问紧急通知篇5
网络安全应急方案1
为确保校园网安全有序平稳运行,保证校园网络信息安全和网络安全,更好的服务于学校的教育教学,为及时处置校园网信息网络安全事件,保障校园网作用的正常发挥,特制定本预案。
一、信息网络安全事件定义
1、校园网内网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言。
2、校园网内网络被非法入侵,应用计算机上的数据被非法拷贝、修改、删除。
3、在网站上的内容违反国家的法律法规、侵犯知识版权,已经造成严重后果。
二、网络安全事件应急处理机构及职责
1、设立信息网络安全事件应急处理领导小组,负责信息网络安全事件的组织指挥和应急处置工作。
2、学校网格安全领导小组职责任务
(1)、监督检查各教研组处室网络信息安全措施的落实情况。
(2)、加强网上信息监控巡查,重点监控可能出现有害信息的网站、网页。
(3)、及时组织有关部门和专业技术人员对校园网上出现的突发事件进行处理并根据情况的严重程度上报有关部门。
(4)、与市公安局网络安全监察部门保持热线联系,协调市公安局网监处安装网络信息监控软件,并保存相关资料日志在三个月以上。确保反应迅速,做好有关案件的调查、取证等工作。
三、网络安全事件报告与处置
事件发生并得到确认后,网络中心或相关科室人员应立即将情况报告有关领导,由领导(组长)决定是否启动该预案,一旦启动该预案,有关人员应及时到位。
网络中心在事件发生后24小时内写出事件书面报告。报告应包括以下内容:事件发生时间、地点、单位、事件内容,涉及计算机的IP地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处理情况及采取的措施;事故报告人、报告时间等。
学校网格安全领导小组成员承担校内外的工作联系,防止事态通过网络在国内蔓延。
网络中心人员进入应急处置工作状态,阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作。对相关事件进行跟踪,密切关注事件动向,协助调查取证。
有关违法事件移交公安机关处理。
四、一般性安全隐患处理:
学校网络信息中心配备了正版-防火墙软件和瑞星防病毒软件,及时升级,及时清除杀灭网络病毒,检测入侵事件,将向管理员发出警报,管理员将在第一时间处理入侵事件,并报有关部门。对来往电子邮件及网络下载文件用防病毒软件软件过滤,确保不被木马类病毒侵入并在无意中协助传播病毒。
管理员对定期检查设备的运转情况,做好设备维护记录,保证设备高效稳定的运行。学校重要计算机出现硬件设备故障,管理员将在第一时间启用数据备份,保证数据不丢失,保证网络的正常运行。
网络安全应急方案2
根据新区教体委的要求,为确保发生网络安全问题时各项应急工作高效、有序地进行,最大限度地减少损失,根据互联网网络安全相关条例及上级相关部门文件精神,结合我校校园网工作实际,特制定本预案。
一、成立安全应急领导小组
学校全体行政人员及全体网络管理员组成网络安全应急领导小组。
领导小组成员:
组长:
副组长:
成员:
责任人:学校领导电脑老师网络管理员
领导小组主要职责:
(1)加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。
(2)充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。
(3)认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。
(4)采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
(5)调动一切积极因素,全面保证和促进学校网络安全稳定地运行。
二、各级处理预案
1、网站不良信息事故处理预案
(1)一旦发现学校网站上出现不良信息(或者被骇客攻击修改了网页),立刻关闭网站。
(2)备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。
(3)打印不良信息页面留存。
(4)完全隔离出现不良信息的目录,使其不能再被访问。
(5)删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。
(6)修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
(7)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
(8)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
2、网络恶意攻击事故处理预案
(1)发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息;
(2)如果攻击来自校外,立刻从防火墙中查出[!。。RandomWord。2。。]对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
(3)如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。暂时扣留该电脑。
(4)重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
(5)对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
(6)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
3、学校重大网络事件处理预案
(1)对学校重大事件(如校庆、评估等对网络安全有特别要求的事件)进行评估、确定所需的网络设备及环境。
(2)关闭其它与该网络相连,有可能对该网络造成不利影响的一切网络设备及计算机设备,保障该网络的畅通。
(3)对重要网络设备提供备份,出现问题需尽快更换设备。
(4)对外网连接进行监控,清除非法连接,出现重大问题立刻向上级部门求救。
(5)事先应向领导小组汇报本次事件中所需用到的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向领导小组组长汇报。
三、日常管理
1、领导小组依法有关消息和警报,全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。
2、网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查,封堵、更新有安全隐患的设备及网络环境。
3、加强对校园网内计算机设备的管理,加强对学校网络的使用者(学生和教师)的网络安全教育。加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。
4、加强各类值班值勤,保持通讯畅通,及时掌握学校情况,全力维护正常教学、工作和生活秩序。
5、按预案落实各项物资准备。
四、网络安全事故发生后有关行动
1、领导小组得悉消防紧急情况后立即赶赴本级指挥所,各种网络安全事故处理小组迅速集结待命。
2、应急小组成员听从组织指挥,迅速组织本级抢险防护。
(1)确保WEB网站信息安全为首要任务,学校公网连接。迅速发出紧急警报,所有相关成员集中进行事故分析,确定处理方案。
(2)确保校内其它接入设备的信息安全:经过分析,可以迅速关闭、切断其他接入设备的所有网络连接,防止滋生其他接入设备的安全事故。
(3)分析网络,确定事故源:使用各种网络管理工具,迅速确定事故源,按相关程序进行处理。
(4)事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。
(5)针对此次事故,进一步确定相关安全措施、总结经验,加强防范。
(6)从事故一发生到处理的整个过程,必须及时向领导小组组长以及教务处以及校长汇报,听从安排,注意做好保密工作。
3、积极做好广大师生的思想宣传教育工作,迅速恢复正常秩序,全力维护校园网安全稳定。
4、迅速了解和掌握事故情况,及时汇总上报。
5、事后迅速查清事件发生原因,查明责任人,并报领导小组根据责任情况进行处理。
五、其他
1、在应急行动中,学校各部门要密切配合,服从指挥,确保政令畅通和各项工作的落实。
2、
网页升级访问紧急通知篇6
1 Linux内存管理模型
Linux系统的内存区域(zone)分为ZONE_DMA,ZONE_NORMAL和ZONE_HIGHMEM三种,系统给每种:on。都分配有buddysystem。在buddysystem中,物理内存空间是按2的整数次幂(称为。rder)放于zone少ee_area中的。系统会按照需求先拆分物理内存空间进行内存分配,再合并和释放内存,即在:oneallocator里调用。lloc_page()函数分配内存,调用free_page()函数释放内存。虽然buddysystem的效率非常高,但它存在内部碎片问题,这是因为只有从2的0次方到MAX_ORDER次方的页才会被分配出来,且对于硬件cache(缓存)来说,这种使用方法也不方便。在Linux内核中,固定分配的内存经常会被申请使用,如果每次申请都必须通过buddysystem就会浪费时间和空间,而引人slaballocator(分配器)则可以节省时间和空间。slaballocator模型图如图1所示。
slaballocato:会把内存资源放到cache里按定值进行缓存。如果系统需要使用内存,就可直接从此cache里调取,不使用时就释放,而内存也会被重新放回cache里。cache以slal)为单位来划分区域,几个连接的物理页常常包含在一个slab中。多个(ache在slaballocato:中共同维护,而每个cache里可能包含同一类型的。bject(对象)。系统通过调用kmalloc函数或kmem-cache_allot)函数分配slaballocato:中的内存资源,调用kfree()函数或kmem_cache_free()函数释放内存,如果在通过调用kmem_cache_allot)函数分配内存时。bject不在。ach。中,那么就通过调用cache_grow()函数在cache中增加一个slabcache_grow()函数给。bject分配物理内存(cache_grow()二>kmem_getpages(,而分配kmem_getpages还要通过buddysystem实现(kmem_getpages)二>alloc_pages_node()_
alloc_pages())。由此可见,slaballocator的出现并不意味着buddysystem完全消失,而是对后者的一种增强。
2 Linux伙伴系统
2.1分配流程
(1)正常分配(或叫快速分配)
为提升性能,对分配的是单个页面的情况,系统会在每个内存管理区中都定义一个“perCPU”页框高速缓存。所有的“perCPU”高速缓存中都包含一些预先分配的页框,这些页框可以用来满足本地CPU发出的单个页内存请求。Linux内核为每个内存管理区和CPU都提供了两种高速缓存:一种是热高速缓存,它存放的页框中所包含的内容很可能在CPU硬件高速缓存中也存在;另一种是冷高速缓存。如果perCPU缓存中不存在页面,则可通过伙伴系统来提取页面进行增补。
对多个页面的分配,系统先分配指定类型的页面,若指定类型没有足够的页面,就转而分配链表中备用的类型,然后将类型链表保留下来。
(2)慢速(允许等待和页面回收)分配
慢速分配的一般流程是:唤醒内存页面回收线程、尝试低水位分配、忽略水位分配、压缩内存分配一直接回收内存分配一杀死线程分配(称为OOMkiller)压缩内存分配。
在Linux伙伴系统中,每个order都被分为五种不同的类型.它们被统称为MIGRATE_TYPES,即迁移类型。MIGRATE_TYPES是反碎片的一种机制,其原理是将伙伴系统的内存页分为可移动、不可移动和可回收等几种类型,同一类型的页只能放在同一个区域,如不可回收的页不能放在可移动类型区域。
MIGRATE一UNMOVABLE是不可移动页,在内存中有固定位置,不能移动,核心内核分配的大部分内存属于此类。MIGRATE_RECLAIMABLE是可回收页,不能移动,但可以删除,Kswapd内核线程在有交换页面需要时对此区域进行操作,如内存欠缺,Kswapd会将某些处于进程中的页面与,wap空间交换。MIGRATE_MOVABLE是可移动又可回收页,用户空间程序使用此类,通过页表映射实现,若应用程序虚拟地址空间有变化,只需变化页表即可。MIGRATE_RESERVE是在系统剩余内存很少且要求又比较紧急时才用到的区域。MIGRATE_ISOLATE在非一致内存访问NUMA(non-uniformmemoryaccess)架构上使用,它是一种特殊的虚拟区域,用于跨越NUMA节点移动物理内存页,系统不能通过这个区域申请内存。
图2是从内存为2GB的Linux系统中得到的内存分配信息。在图2中,前面几行是每个迁移类型可用内存的页数,最后一行是每个迁移类型的总页数〕
2.2内存回收策略
(1)定期检查
系统的内存使用量是由kswapd进程定期检查的,kswapd进程在后台运行,当它检测到系统固定的阂值大于空闲的物理页面数时,系统就会进行页面回收。
(2)内存不足
在某些情况下,操作系统会突然需要通过伙伴系统为用户进程分配大量内存,或是需要新建一个较大的缓冲区。而此时若没有满足要求的物理内存。操作系统就需要尽快执行页面回收操作,释放出部分内存空间。这种页面回收方式也被称作“直接页面回收”,它采用页面回收算法(PFRA)oPFRA以获取页框并使它空余为目的,它根据页框所包含的内容而使用不同的处理方式。页框的内容分为不可回收页面、可交换页面、可同步页面和可丢弃页面。许多种属于进程的用户态、磁盘和高速缓存内存的页必须通过PFRA处理,处理时都根据试探法的几条准则进行。
系统在通过内存回收策略回收页面后也无法满足内存的需求时,会做出OOM(outofmemory)killer的决策。这是一种内存耗尽时管理内存的处理机制:操作系统会挑选正在运行中最恰当的一个进程,将其杀掉并将它所占用的页面全部释放。
内存回收机制主要依赖于pages_min,pages_low和pages_high三个字段。这三个字段在每个zon。的描述符中都有各自的定义:pages_min是区域预留的页面数目,pages_low是控制进行页面回收的最小阑值,pages_high是控制进行页面回收的最大阂值。如果pages_min大于空闲的物理页面数,那么系统运行会有较大的压力,需要进行页面回收。如果pages_low高于空闲的物理页面数,那么页面回收操作就会在系统内核中开始进行。pages_high低于空闲的物理页面数则是内存区域最理想的状态。
3问题与解决方案
3.1内存管理问题
系统在初始化时会根据内存的大小计算出一个回收内存的阂值,用来控制系统的空闲内存。17值越低,内存回收开始的越晚,空闲内存越小。其计算规则是:
min一ee_kbytes二sqrt(lowmem_kbytes*16)=4*sqrt(lowmem_kbytes)其中lowmem_kbytes是指系统内存大小〔)这种规则计算出来的阑值的范围为128K}64M。由于minfree_kbytes不是随着内存的增大而线性增大,因此也无需按线性预留出过多的内存,只要能保证系统的紧急使用量即可。
Linux为内存的使用设置了三种内存水位标记,watermark}high},watermark}low〕和watermark}min。它们所标记的含义分别为:剩余内存在high以上,表示内存剩余较多,目前内存使用压力不大;在high到高于low的范围内,表示目前剩余内存使用存在一定压力;在low到高于min的范围内,表示内存开始有使用压力,剩余内存不多;min是最小的水位标记,当剩余内存达到这个状态时,就说明使用面临很大压力。小于min的这部分内存是内核保留给特定情况使用的,一般不会分配。内存回收行为是基于剩余内存的水位标记进行决策的:当系统剩余内存低于watermark}to司的时候,内核的kswapd开始起作用,进行内存回收,直到剩余内存达到watermark}high〕的时候停止。如果内存消耗导致剩余内存达到或超过watermark}min,就会触发直接回收(directreclaim)o
min一ee_kl)yte、的主要用途是计算影响内存回收的三个参数watermark[min/low/high,等同于
page_min,page一ow和page_higho
page_min=watermark}min}=minfree_kbytes
page_low=watermark}low}=watermark}min}*5/4
page_high=watermark}high}-watermark}min}*3/2
min一ee_kbyte、的值设得越大,watermark的水平标记参数值越高,三个标记参数值之间的buffe:量也越大,这会使系统较早启动kswapd进行回收,且只有内存回收至watermark}high]时才会停止,导致系统预留过多空闲内存,降低了应用程序可使用的内存量。在极端情况下,min_free_kbyte、设置的值接近物理内存大小,就可能会导致因应用程序可用的内存太少而频繁地OOM。而min_free_kbyte、设得过小,则会导致系统预留内存过小。
kswapd回收的过程中也会有少量内存的分配行为标志PF_MEMALLOC,这是一个进程标志,这个标志可允许kswapd使用预留内存。被OOM选中杀死的进程在退出的过程中,如果需要申请内存也可以使用预留的内存。在以上两种情况下,使用预留内存可以避免系统进人(leadlock状态。
系统通过网络接收一段升级包后内存的变化如图4所示。在图4中,一段34M的mtd工具升级包被分为三个部分:rootf.bin,kernel.bin和app.bin。系统通过网络先接收:ootfs.bin,并以mallcorootfs.bin大小的内存存放它,再以fwrite的方式,将这块内存写人文件节点//tmp目录下,写完之后,再释放这块内存,然后将写完的//tmp/rootfs.bin通过烧写命令nandwrit。写人某个/mnt/mtdblock分区下。在nandwrite操作完成后,系统会删除:ootfs.bin并执行:m-rfrootfs.bin。接着,系统开始接收下一个升级包。pp.bin+kernel.bin,然后以(write方式将包含kernel.bin大小的内存写人//tmp目录下,再将kernel.bin写人nand分区节点下,之后释放掉kernel.bin。接下来再处理app.bin,处理方式是用fwrite先将app.bin写人挂载nand分区下,再对其进行解压。最后,系统删除。pp.bin,整个流程结束。
3.2解决方案
在图4中,执行malloc(rootfs.bin)(在内存的动态存储区中分配一段连续空间)后,nr_free_pages会急剧减少,匿名内存页急剧增多,正在使用的匿名内存也跟着增多。执行fwrite时,nr_file_pages明显增加,说明内存中正在写人文件,执行free时剩余内存回升〔。可见,当Linux可使用的内存较小时,不能一次性malloc(分配)较大内存,以避免在剩余内存急剧减小到回收水位线时引发OOM事件。正确的做法应是多次malloc小内存,分批次执行(write,先将buffer写人//tmp目录下,再执行free,以使内存变化比较平滑。
在1Gb内存环境中,通过不断调整水位线(minfree_kbytes)的方式测试出剩余可用内存为29M左右,而在一次性读入文件到更新文件的过程中,29M内存是无法满足要求的,需要更改在线升级方案。更改的方案有两种:第一种是定时清理内存,在daemon_server中加人定时清理内存线程,并在需要升级时开启定时清理内存命令;第二种是更改升级时接收文件的机制。第二种方案因为在tcp接收更新文件时,不仅需要malloc与文件大小相同的内存,还需要执行fwrit。将mallo。出来的buffer写人/tmp目录下,而这一步也需要内存支持,增加了内存开销。图5为TCP接收更新文件时内存的变化图。在图5中,上述过程显示为在31s处出现一个突降。
由图5可知,第一次执行fwrite时,在15s处出现大突降,而在后面解压app.bin的过程中,内存一直维持在水位线上,因为总内存较小,所以设定水位线原始默认值为971K。据此,本文将内存malloc成小块,采用单个小块接收,接收完之后进行MDS校验,如果校验无误,再对每一小块都执行fwrite,将它们都写人到//tmp目录下,每成功写人一块,就free相应内存,这样不会造成内存突降,而且可增加系统运行的稳定性。
由以上分析可知,结合自刷新内存cache和改变mall二方式的方案可以使内存变化更为平缓,同时避免OOM事件发生。
网页升级访问紧急通知篇7
一、定制度,抓培训,打开工作局面
电脑网络最怕病毒感染,自公司网络组建以来,中毒事件屡查不止,经过短期的培训,大家了解了相关的防护知识,并且能够积极地配合,使公司的病毒感染呈下降化趋势,相信,在不久的将来,大家都能做到有效的防护:作为网络管理人员,我更要加强监督检查力度,严禁各类存在安全隐患的光盘、磁盘,USB设备在网络中运行。由于工作的关系,许多工作人员都对USB设备和其他软件有使用要求。每次遇到这种情况,我都会耐心给他们讲解使用后果的严重性,得到了大家的充分理解,在我的建议帮助下采用飞鸽,圆满解决了病毒交叉感染问题。正是因为大家一直认真遵守,到目前为止,公司没有再发生过一次病毒感染网络的事件。
从接手工作到现在,我对每次出现的故障的现象、原因、处理方法、解决过程都做详细记录。定期做对比分析,这样做,使自己积累了丰富的经验,给我的工作带来了很大的帮助。
二、作好日常机器设备的检修维护工作。
自我入职以来,办公室电脑的维护维修工作和网站的修改就由我负责,各领导、同事的电脑出现问题我都能及时赶到,排除故障,保证了办公电脑的正常运行,节约了维护资金,作为网络维护,不仅要具备网络技术,软件等多种前沿知识的储备,还要具备临危不乱,沉着冷静的心理素质,在最短的时间内用最有效的办法来解决问题。工作的时候,我常常觉得自己象个消防员。
为了维护好机器,保证网络畅通,让所有的机器都能正常工作,工作以来,我每天观察机器的工作情况,发现问题及时处理。每星期都对公用机器进行磁盘清理,删除垃圾,整理碎片。定期对机器整体进行软硬件系统检查。还给所有在网的机器进行双备份的紧急预案,即便出现灾难性故障,也保证会有两种以上的紧急修复方案。我们还定期对维修记录进行总结,使自己对网络中的每个细节都做到心中有数,有效保证了公司网络的正常运行。
三,刻苦钻研,进行网络升级,搞好技术创新。
作为网络管理部门的负责人,除了要保证每天正常的工作,我还必须抽出一定的时间来研究我们的网络,想办法进行技术革新,使机器设备能发挥更大的作用,更快捷高效的为大家服务。在这方面,我主要搞了以下创新。
1、加强了局域网的防护能力,利用现有的工具,使公司的网络防范能力上升了一个台阶。
2、对上下载服务器进行技术革新。由于各个电脑品牌不一,厂家板卡兼容性的问题,导致机器维护比较困难。我入职以来对每个机器都进行了详细的排查,备份,目前的大部分的机器都作了有效备份
3、更改了英文网站。入职以来,在章总的指导下,对英文网站进行了整体的修改,修改了英文网站的BUG,完善了英文网站的内容,目前,这项工作还在进行中。
四、20__年工作展望
1.公司内部网方面,目前公司内有电脑34台,局域网方面现在一切正常,其中3台接入互联网,安全方面,我将进一步加强公司内部网的安全防护工作,确保公司网络的安全,定期对公司的机器进行排查,维护。由于公司使用电脑的人员众多,操作人员水平参差不齐,出故障的几率很高。而网络维护只有我一个人,任务重,工作量很大,经常是要忙到很晚。为了完善公司的电脑维修制度,更有效的维护公司的电脑,建议执行电脑维护登记(见附一)
2.定期开设培训,为大家讲解电脑使用的一些常用技巧,操作的规范性等一些相关知识。
3.公司网站方面,目前英文网站方面还存在部分问题,现列如下:
①网站LOGO上MANAGEMENTTEM应为MANAGEMENTTEAM,将酌期进行修改.
②一级网页management内容的完善,加入人物简介,图文介绍.
③完善一级网页
④产品页面的背景问题
⑤人力资源的2级页面
⑥新闻页面加入图片(2个公司新闻)
⑦中英文页面的跳转问题
⑧英文网站的链接检查
⑨中文网站的部分bug(做英文网站的时候发现部分产品的介绍是错误的)
⑩网站上传,解析,访问方面的问题。
我将积极,有效,在保证质量的前提下,尽快完成英文网站的修改。网站的工作完成以后,将定期对网站进行备份,维护和内容的更新。深入分析网页程序核心,找现漏洞及不足之处,及时进行修改与完善,使网站的安全性得到进一步的提高!每日一次的常规备份、每星期一次的增量备份和一个月两次的全局备份,确保网站在万一遭到数据丢失的情况下,能够得到及时的恢复,为保证网站的正常运行一直努力不懈。。
4. 网站的推广和服务器的问题
网页升级访问紧急通知篇8
软件升级安装法
全新安装Office 2007/2010或WPS 2010,这时你就能方便地打开docx格式的文档了。
评价:软件升级安装法是最彻底的解决办法。但Office 2010文件系统比较大,达795MB,装起来很费时,而且对硬件条件有较高的要求,如果只是临时查看就显得有点多余。
补丁下载运行法
如果你的电脑只安装有Office 2003,可下载运行Office 2007/2010文件格式兼容包补丁程序,安装完成后重启电脑,你就可以在Word 2003中顺利打开docx格式的文档了。
Office 2007/2010 文件格式兼容包补丁程序O2007Cnv.exe下载地址为:
http:///download/6/9/E/69EA942D-4636-4350-A526-0BFD9771A12A/O2007Cnv.exe
评价:补丁下载运行法是最好的补救办法,既不需要重新升级安装Office,又能很好兼容docx格式文档,并能对其进行编辑。
工具软件拆解法
解压软件几乎是每台电脑上必备的工具,如果你的电脑装有WinRAR等压缩工具,你可将docx文件后缀改成rar或zip,此时,文件就变成了一个压缩包。用WinRAR将其解压到一个单独的目录中,你会看到有_rels、word和docProps三个文件夹,在Word文件夹下面有个document.xml文件,可以直接用记事本将其打开,文档的文本内容就在这个文件里。在media文件夹下面按顺序保存着该文档包含的所有图片文件。
评价:工具软件拆解法是清晰、完整、批量获取Word文档图片内容的最好办法。但文档的文字和图片各自分开,且无法查看文档格式。
网络在线转换法
通过网络,你可在线将docx格式的文件转换为doc格式的文件,再用Word 2003将其打开。
你可进入以下网站进行格式的在线转换:
http://
http://
http://
评价:网络在线转换法的网站为英文界面,其可靠性和转换效率与文件内容、大小及网速有关。如果文件较大,内容较复杂,网络速度不快,其转换效率和成功率也会较低。
邮箱在线预览法
通过QQ或网易信箱的附件预览功能可查看docx格式文档。你可向你自己的QQ或网易信箱写一封信,将docx格式文件作为附件发送,稍后你将会收到这封邮件,在邮件的下方面附件处有“下载”、“打开”、“预览”和“收藏到我的附件”四个链接,点击“预览”,在弹出的新窗口中能显示整篇docx文档的内容。这时你可对其中的文字与图片进行复制和粘贴,完整保存其中内容。
评价:邮箱在线预览法作为应急措施是简单可行,但过程略显迂回,且必须有方便使用的QQ或网易信箱。
网络在线查看法
通过“网易文档查看”工具可以在线预览docx格式文档,不用安装任何软件。步骤如下:
访问“网易文档查看”(http://),进入“网易文档查看”主界面。主页默认打开的就是本地文件页面。勾选“我同意《网易文档服务条款》”,点击“浏览”按钮选择要打开的本地文档。
注意,“网易文档查看”不仅能查看“本地文档”,而且还可查看“网络文档”。不仅可查看doc、docx、ppt、pptx、xls、xlsx、pdf多种文档格式,而且可查看jpg、png、bmp、gif等多种图片类型格式。
网页升级访问紧急通知篇9
关键词 OpenMAS 短信平台 网络架构 医疗应用
引 言
手机短信作为一种及时的沟通方式具有方便、普及、低成本等特点,为解决医患沟通,提供个性化医疗服务提供一个非常便捷的途径。我院早在2007年就开始使用手机短信为病人服务,当初使用的模式是:GSM MODEM模式。该模式是将一台GSM MODEM与短信应用服务器相连接,应用服务器提取医院信息系统(HIS)、检验信息系统(LIS)的相关信息,再通过GSM MODEM将短信息直接发送至用户手机[1]。该模式的缺点是:投入成本高、效率低。每条信息发送是按顺序进行的,不适合群发大量短消息。基于以上原因,我院于2011年引入移动公司的OpenMAS系统来构建医院的手机短信平台,该系统可以通过程序开发、数据库编程等手段进行二次开发。实现短信预约挂号、检验危机值通知、费用查询、重要紧急通知院内发送、工资、奖金发放情况通知等方面的短信平台应用。很好地满足医院对短信服务的需求。
1 OpenMAS 系统
OpenMAS即Open Mobile Agent Server,实现SMS(Short Message Service)、USSD(Unstructured Supplementary ServiceData)、MMS(Multimedia Messaging Service)、WAP(WirelessApplication Protocol)、KJava(Kilo JAVA)等方面的移动数据应用,是沟通集团客户IT 应用环境与移动网络之间的桥梁。它为集团客户提供面向移动网络统一的界面和接口,并可衍生出结合移动终端和其它移动应用的新的应用系统,丰富集团客户应用;对集成集团客户已有系统,OPENMAS 系统可以简化开发流程、缩短开发周期,可以快速在已有应用系统中集成移动化功能,也可以根据OPENMAS 系统开发针对性的移动应用,为企业用户开展移动信息化业务提供便利[2]。
1.1 OpenMAS的产品架构
OpenMAS产品结构主要有2部分,分别为管理平台(管理门户&应用组件)和基础组件[3]。
1.1.1 管理平台 是基于OpenMAS系列组件之上的基本应用界面,实现系统配置、短信收发、彩信收发以及移动办公等基本应用功能,可直接供医院客户进行使用,常用的短信投票、短信答题、短彩信群发等功能已经内置在管理门户,医院用户只需进行简单配置就可以使用,同时,管理门户也是系统管理员监控和维护OpenMAS产品的控制台,管理员可以实施监控和查看产品运行状态。
1.1.2 基础组件 整个OpenMAS产品的核心组件,该组件承载着系统的核心短信引擎和彩信引擎,负责完成与行业网关等外部CT平台的通讯,并以标准的多种接口形式开放出来,支持Web Service 形式的服务端接口并提供.Net Client API 和 Java API 供医院内部调用。
1.2 OpenMAS的主要功能模块
系统主要功能模块如图1所示。
1.2.1 常见业务 通过常见业务模块,员工可以进行短信收发管理和彩信收发管理,同时支持业务人员进行问卷调查、短信答题、公告等业务的快速配置和功能。包括短信业务、彩信业务、问卷调查、短信答题、Pushmail、日程提醒、公告。
1.2.2 个人管理 通过个人管理可以进行员工个人信息维护,建立自己独立的社会关系网络,为方便员工进行短信和彩信发送,产品支持员工通过号码文件批量导入手机号码,支持建立个人短信常用语、个人彩信库。包括个人信息维护、个人通讯录、号码文件、短信常用语、个人彩信库。
1.2.3 系统管理 主要完成对企业内部用户、权限角色进行管理,维护企业级的彩信库、题库等素材资源,建立企业统一的通讯录和系统常用语等,方便员工对企业信息的调用,同时可以通过短、彩信的统计报表查看业务使用情况。包括企业徽标、用户管理、角色管理、企业通讯录、企业彩信库、短信过滤、素材库管理。
1.2.4 系统维护及统计报表 系统维护包括系统监控、系统定时器;统计报表包括短信统计、彩信统计。
2 短信平台在医院的搭建
图2为我院短信系统拓扑图。
在本系统中,来自内网各数据库的数据先放置到内网前置机,各业务数据通过网闸摆渡到外网前置机,在网闸与外网防火墙之间设置有一台短信机,用一台短信服务器(SQLServer)做中间层服务器。短信SQL服务器中的数据通过第三方的短信接口发送到短信机,并通过外网防火墙,短信被发送到移动的短信平台。
同样,也可以通过第三方的短信接口,接收短信机的收件信息到SQL数据库中。把接收到的收件信息通过外网前置机收集,并通过网闸摆渡到内网前置机,HIS、LIS、OA等各业务信息系统收集并处理相关信息。
该短信平台主要由以下硬件组成:
(1)移动OpenMAS短信机,是一台集成Linux操作系统、APACHE、SQLSERVER数据库和短信网关客户端收发软件CMPP2的专用服务器,为短信平台软件开发提供DB、API、WEB Service等接口。
(2)短信服务器,用于运行短信平台应用程序,完成与OpenMAS机通信、中间数据库建立和短信收发等功能,可采用普通PC级服务器。
(3)网闸,用于在医院内网和外网之间建立起一个安全屏障,从而保护内部网免受非法用户的侵入。
(4)客户端,装有浏览器的普通PC机既能满足需求,无需进行任何特殊配置。
(5)手机终端,手机终端无过高要求,仅需要最基本的短信收发功能即可满足要求。
利用手机短信构建的医院短信平台,采用OPENMAS系统,通过程序开发、数据库编程等手段进行二次开发。实现短信预约挂号、检验危机值通知、费用查询、重要紧急通知院内发送、财务发放情况通知等方面的短信平台应用。由于采用成熟的短信中间件,简化短信的应用开发难度,加快开发速度,有效提高医院管理水平[3]。
3 安全性
3.1 系统安全
系统采用高可靠性、高安全性、防病毒能力极强的Linux操作系统,Linux的网络服务可以根据医院的需要配置成开放或关闭。
3.2 通信安全
系统支持通信通道的传输加密,保证传输的数据不会被非法监听者盗取;系统支持VPN,为医院与移动公司之间提供一个安全的传输通道。
3.3 数据安全
系统支持按月、周、天对数据进行自动备份,并支持本机备份和网络异地备份2种方式,以保证数据安全可靠,防止意外丢失数据。
3.4 访问安全
系统采用登录密码、数字证书和IP地址认证3种方式,保证有效用户的数据安全。系统通讯录支持灵活的权限设置,不同的对象分配不同的权限。
3.5 业务数据安全
用户分为系统用户和手机用户,系统用户又分为系统管理员和一般用户;对非动态业务创建的模块系统管理员通过“用户+角色+权限矩阵”分配各系统用户的使用权限,动态业务创建的业务数据权限,由使用该具体操作业务的人员设置系统用户和手机用户的操作权限[4]。
4 短信平台在医院的应用
4.1 预约挂号短信
患者通过短信进行挂号预约,对预约成功的患者给予挂号成功的短信回复,患者也可以在一定的时间点(比如上午9:00)之前,对已经预约的专家号进行取消操作。被取消的专家号,重新放回HIS中,以提供给现场的患者进行挂号。这些都无需人工干预,短信平台自动完成[5]。
4.2 检验危急值
中国医院协会推出《2007年患者安全目标》,提出“建立临床实验室‘危急值’ 报告制”的要求, 新规定特殊检验结果的质量和回报时间。临床实验室检测的自动化水平和特殊检验结果回报的速度, 往往制约着临床医生为患者提供医疗服务的效率。而利用医院信息系统( HIS)与检验信息系统(LIS)网络信道的无缝链接,完善LIS信息化特殊检验结果监控规则,并与手机短信技术相结合,实现检验报告危急值实时短信与医院内信息系统相应工作站“点对点”告知, 不仅提高检验危急值的报告效率, 而且更好地保障医疗服务的安全性,提高医院服务水平[6]。
4.3 费用查询和一日清单发送
病人一日清单制度的实施让患者清楚了解每天自己的治疗所耗费的费用,减少医患纠纷。但一日清单的打印和发送,占用了较多的护理人力资源,并不环保。采用短信方式发送病人一日清单,可以减少人为差错,节约打印成本和人力消耗,解放护理人员的一部分工作负担[7]。
4.4 重要紧急通知院内发送
在医院短信平台的Web页面,相关科室工作人员可以通过批量选择人员,比如院办选择中层干部,发送重要会议通知;医务科选择医生,发生医疗信息通知;护理部选择护理人员进行护理方面的通知,后勤部门发送紧急状况(台风、停水、停电)的通知等等。通过短信平台的通知,让相关人员及时了解信息,比起相关人员自主去OA上看WEB页面通知更有针对性和及时性。
4.5 工资、奖金发放情况通知
从财务系统中取出对应员工的工资明细、奖金发放情况、节假日福利情况及扣税情况等内容,在手机短信平台将相关数据发送事前设置好的全院员工的手机上,让员工第一时间了解自己的收入情况。受到广大员工的欢迎[8]。
5 结束语
医院短信平台的搭建,受到员工和患者的欢迎,提升医院服务水平的同时,也高效地解决医院管理者与员工间消息传达的问题。随着对短信平台认识的加深,其应用在面向患者服务及医院的各项管理方面将更加广泛。
参考文献
[1] 闫小萍,董一颍,卢沙林. 医院短信平台的构建与应用[J].中国医疗设备,2011,26(2):49-50,89.
[2] OpenMAS产品用户手册. http://ADCCSSPortal/ECIndex.aspx.2013.
[3] 程宁. 手机短信在医院应用及实现[J].计算机时代,2011,8:70-72.
[4] 韩冬博,高海兴,牟淑玲,等.研发随访公众互动平台增强医院综合竞争力[J].中国病案,2011,12(1):42-43.
[5] 刘芳.医院施行短信预约挂号可行性分析[J].经济师,2012,(7):243.
[6] 高启健,肖洪广.用医院局域网系统与移动短信平台检验危急值[J].临床检验杂志,2008,26(6):414.
网页升级访问紧急通知篇10
关键词:高职学生;移动学习;需求;发展策略
移动学习,指学习者通过使用手机、平板电脑等移动终端,通过移动网络获取由学校和其他网络平台提供的学习资源,从而便捷地实现交互式的学习活动。随着我国移动3G和4G网络的发展和智能手机的普及,移动学习正逐渐成为目前最受关注的一种学习方式之一。移动学习具有使用的便捷性、资源获取的高效性等特点,正因如此,移动学习为在校学生提供了一种很好的学习途径,也将成为未来终身学习的一种重要学习方式。
目前我国正处于经济结构调整和经济转型升级的关键时期,迫切需要大量的熟练的技术型工人、高素质技工及技师。高职教育是完成知识型工人培养的有效途径,而我国的高职教育目前还存在生源质量、教学质量及社会对高职毕业生认可等一系列问题,这些问题是传统教育教学方式难以解决的。在笔者接触的部分高职院校中,少部分学生的学习热情不高,传统的教学手段在课堂上达不到预期的效果,相反,在课下时,学生们比较活跃,对手机及平板电脑等移动终端使用频率很高,且对移动设备上展示的内容比较感兴趣。高等职业教育以实际岗位的需求为出发点,对基于真实工作环境下的实践工作能力要求较高,而移动学习正可以迎合职业教学的需求,让学生不受时空限制的学习,提供有效的学习形式。
为了更全面地把握高职学生对移动学习的需求现状,笔者对高职院校学生移动学习的需求情况做了较深入的调查,并对高职院校学生在移动学习过程中出现的问题进行了探讨,以期能提高高职院校的教育教学质量,提高学生的学习素养。本次调查由笔者设计出调查问题选项,通过问卷网(http:///)生成调查问卷,然后发送调查问卷链接给被调查者,最后回收调查问卷247份,由问卷网网站系统生成调研结果。
一、高职学生移动设备使用状况
(一)上网成为高职学生手机使用最多的功能
本次调研对象主要是以长沙民政职业技术学院和长沙航空职业技术学院大一年级和大二年级的学生为主,文史财经类专业为209人,占85%,理工科学生38人,占15%。在高职学生使用手机时,他们最常使用的功能分别是上网看新闻、打电话发短信及听音乐(见图1)。可见在高职学生中,手机已不再是一个简单的通讯工具,上网获取信息已超越传统的手机通信功能成为第一大应用。
图1手机使用功能
(二)高职学生手机上网时长大部分在2小时以上,且多利用碎片化时段
在样本中,被调查学生平均每天用手机上网时长2小时以上的占到63.16%,说明高职学生使用手机上网已占据他们的大部分闲暇时间,且他们主要是利用碎片化的时间来上网。调查中,79.76%的被调查者会在课间休息或其他休息时间用上机上网,70.45%的学生会在等人、等车或等餐时用手机上网,69.23%的学生在睡觉前用手机上网(见图2)。
图2高职学生手机上网时间段
调研发现,大部分学生用手机上网主要是网络聊天,其次是浏览网页看新闻,但也有20.24%的学生用手机下载学习资料用于学习(如图3)。这反映出学生目前使用手机上网的首要功能是娱乐,如能正确引导,通过建设免费的快速的网络、丰富移动学习资源等措施把学生引导到移动学习上去,手机也会成为一种重要的学习工具。
图3高职学生手机上网用途
另外,高职学生与他人交流的网络方式中,78.54%的学生使用移动QQ或微信与他人交流,而直接使用手机通话或发短信的学生只占20.24%(见图4)。
图4与他人交流的主要网络方式
二、高职学生移动学生需求状况
(一)大部分学生愿意接受移动学习这种新的学习方式
在调查中,52.63%的学生非常愿意尝试接受移动学习这种新的学习方式 ,19.84%的学生比较愿意接受移动学习,26.72%的学生可以试一试,仅有0.81%的学生觉得移动学习是浪费时间,不愿意接受移动学习。
图5是否愿意接受移动学习
在“您是否希望及早开发移动学习平台”的调查中, 82.59%的被调查者迫切或者希望学院能及早开发适合手机上网的学习平台。从这里我们可以看出大部分学生希望学校能及早提供移动学习的平台和资源。
图6是否希望及早开发移动学习平台
在“感觉什么时候最需要采用移动学习”的调查中,36.84%的学生认为是急着交作业却在外地身边没电脑时,29.55%的学生认为当想学习某知名教授的课时最需要采用移动学习,还有19.03%的学生认为无聊的时候想使用移动学习,另外7.29%的学生认为他们在等车或等人时最想体验移动学习。
图7最需要移动学习的时间段
(二)高职学生认为最适合手机学习的知识是专业课程,移动学习主要用于课后复习和师生讨论
在适合手机移动学习的内容调查中,77.33%被调查者认为最适合学习的内容是生活百科类,72.06%的被调查者认为是专业相关类,其次是资格考试类知识及外语类。
图8适合手机移动学习的内容
在“手机适合哪些方面的移动学习”调查中,68.83%的调查者认为移动学习主要是用于课后复习,59.51%的被调查者认为移动学习主要用于师生讨论,另有54.66%的学生认为移动学习主要用于课前预习。
图9适合手机移动学习的方式
对于移动学习这种新学习方式,36.44%的被调查者最关注的是学习内容的有用性,27.55%的被调查者最关注学习内容的丰富性,另有22.27%的被调查者最关注操作的方便性。
图10对手机移动学习最关注的
(三)在影响手机移动学习的效果中,网速慢被认为是最主要的因素
在影响移动学习的学习效果因素中,81.38%的受访者认为网速慢是影响学习效果的最主要的因素,另有48.99%的受访者认为自己容易被网上的其它信息吸引,其次是手机电池续航能力及手机屏幕过小(见图11)。
图11影响手机移动学习的主要因素
在“可以改进移动学习”的调查中,90.69%的被访者认为建立免费的全校园的无线WIFI是改进移动学习的最有效方式,72.4%的受访者认为丰富的学习资源是有效改进移动学习的方式,另外还有59.51%的受访者认为降低套餐流量费用是一种有效的改进移动学习的方式(见图12)。
图12改进手机移动学习的主要手段
(四)网络视频和专业素材库是学生最希望建立的移动学习资源
在“如果建立移动学习平台,您希望有哪些学习资源”的调查中,79.35%的受访者希望有网络视频课程,77.73%的受访者选择专业素材库,63.16%的受访者选择试题库,另外,各有53.85%的学生选择了教学课件库和教学案例库(见图13)。
图13希望建设的手机移动学习资源
在“对于手机上网学习中最喜欢的媒体素材形式”调查中,53.85%的受访者最喜欢的媒体形式是视频,18.62%的受访者最喜欢的是既有视频、音频,又有文本综合类资源,8.91%的受访者最喜欢小游戏性质的学习资源,8.1%的受访者最喜欢图片形式的学习资源,7.29%的受访者最喜欢文本形式(见图14)。
图14最喜欢的手机移动学习媒体素材形式
在“通过移动设备观看教学视频,您希望教学视频的长度”的调查中,40.08%的受访者希望教学视频是10-20分钟,26.32%的受访者希望教学视频是5-10分钟,23.89%的受访者希望教学视频是20-30分钟(见图15)。
图15希望教学视频的长度
在“您如何看待移动学习的发展趋势”中,65.99%的受访者认为移动学习有很大的发展空间,32.39%的学生认为移动学习只能是辅助学习手段(见图16)。
图16对移动学习发展趋势的看法
三、高职学生移动学习发展策略
通过调研我们发现,随着智能手机的普及,移动学习的硬件载体已具备。同时,高职学生在使用智能手机时,上网已成为其主要使用功能,且平均时间较长,说明高职学生使用手机上网的习惯已经形成。调研结果也显示超过72%的学生非常愿意或愿意接受移动学习这种新的学习方式。因此,建设好的移动学习平台,不断丰富移动学习资源已是迫在眉睫。
(一)移动学习硬件资源建设策略
1.开发专门针对移动客户端的移动学习平台
目前大部分高职学院都有现成的国家精品课程、省级精品课程或校级精品课程等以前已建设好的课程资源,包括教学视频、在线测试、互动交流模块。但这些课程存放的平台大都是针对早期PC端开发的,即使有学生在碎片化的时间里想学习这些资源,用移动终端访问也会出现字体过小、页面内容左右滑动、流量消耗过快等严重影响学习体验的情况。因此,要想顺应时代潮流,充分满足高职学生对移动学习的需求,鼓励他们在碎片化的时间利用手机等移动终端学习,建设一个响应速度快的移动学习资源手机端平台迫在眉睫。另外,各高职学院还可开发适应本校移动学习资源的移动端APP,学生只要安装好这个APP,以后每次都能方便地登录移动学习平台进行学习。[1]
2.有条件的学院应建设好免费的快速校园无线网
在对高职学生调查哪些方式可以改进移动学习时,90.69%的被访者认为最首要的是建立免费的全校园的无线网。而且在调查表最后一项“你认为本校移动学习平台建设中最应提升的”开放式问题中,超过50%的学生填写了建设全校园的快速的无线wifi。这里不排除部分学生渴望通过免费的无线网来上网浏览非学习类网页、观看休闲娱乐类视频的休闲娱乐需求,但笔者认为,建有覆盖全校园的快速的无线网络是满足高职学生移动学习需求的基础。如果担心学生滥用无线网络从事游戏或观看娱乐视频,从而造成网络资源的拥堵或浪费,学校可通过一定的技术,限制免费的无线网络只能用于浏览学校规定的学习资源,从而积极引导学生使用免费的无线网来学习而不是游戏或娱乐。
(二)移动学习资源建设策略
根据前面的调研结果,36.44%的被访者关注学习内容的有效性,27.53%的受访者最关注学习资源的丰富性。因此,移动学习资源的建设是移动学习发展策略中最重要的因素之一。
1.整合现有的精品资源,开发新的移动学习资源
目前,大多数高职院校都已建设好了一批部级、省级、校级精品课程资源。高职院校在建设移动学习资源时,应充分挖掘现有的教学资源,转换原有的尚可利用的资源,便于移动设备浏览使用。
