第一篇：中山永豐實驗學(xué)校STEAM 創(chuàng)新實驗室整體解決方案

STEAM創(chuàng)新實驗室（創(chuàng)智空間）

整 體 解 決 方 案

2018年3月1日

目 錄

一、項目背景......................................................................................................................3

二、項目目標(biāo)和意義..........................................................................................................4

2.1 項目目標(biāo)..............................................................................................................4 2.2 項目意義..............................................................................................................5

三、項目目標(biāo)......................................................................................................................5

3.1 項目預(yù)期成果......................................................................................................5 4.1 創(chuàng)智空間定義......................................................................................................6 4.2 創(chuàng)智空間效果圖..................................................................................................7 4.4 功能區(qū)構(gòu)成..........................................................................................................7

4.4.1 展示區(qū)......................................................................................................9 4.4.2 創(chuàng)造區(qū)......................................................................................................9 4.4.3 活動區(qū)....................................................................................................10 4.4.4 討論區(qū)....................................................................................................10 4.4.5 材料區(qū)....................................................................................................11

五、課程培養(yǎng)體系設(shè)置....................................................................................................12

5.1 電子互動藝術(shù)課................................................................................................12 5.2 三維創(chuàng)意藝術(shù)課................................................................................................13 5.3 趣味編程............................................................................................................15 5.4 創(chuàng)意制作............................................................................................................16

六、服務(wù)與支持................................................................................................................19

6.1 師資培訓(xùn)............................................................................................................19 6.2 服務(wù)支持............................................................................................................19 6.3 設(shè)備維護............................................................................................................19

七、產(chǎn)品配置及報價........................................................................................................20

7.1 創(chuàng)智空間產(chǎn)品配置............................................................................................20 7.2 創(chuàng)智空間設(shè)備報價............................................................................................21 7.3 場地裝修及報價................................................................................................22

一、項目背景

STEAM教育前身為上世紀(jì)80年代美國人提出的STＥM教育，包含四個學(xué)科：Science（科學(xué)）、Technology（技術(shù)）、Engineering（工程）、Mathematics（數(shù)學(xué)），由奧巴馬大力推進這種綜合課程的實施，旨在從小培養(yǎng)學(xué)生動手、創(chuàng)新、綜合運用科學(xué)知識的能力。隨后，在原有四科的基礎(chǔ)上加入了Art（藝術(shù)）學(xué)科，多個學(xué)科相融合從而得到STEAM教育。

在教育部辦公廳《關(guān)于“十三五”期間全面深入推進教育信息化工作的指導(dǎo)意見(征求意見稿)》中提出推進信息技術(shù)在日常教學(xué)中的深入、廣泛應(yīng)用，有條件的地區(qū)要積極探索新技術(shù)手段在教學(xué)過程中的日常應(yīng)用，有效利用信息技術(shù)推進“眾創(chuàng)空間”建設(shè)，探索STEAM教育、創(chuàng)客教育等新教育模式，使學(xué)生具有較強的信息意識與創(chuàng)新意識，養(yǎng)成數(shù)字化學(xué)習(xí)習(xí)慣，具備重視信息安全、遵守信息社會倫理道德與法律法規(guī)的素養(yǎng)。

在國內(nèi)，編程類、媒體制作類軟件的應(yīng)用在中小學(xué)STEAM教育中已得到了廣泛的應(yīng)用，多以綜合實踐課程、信息技術(shù)課程、通用技術(shù)課程為主：北京的吳俊杰老師研發(fā)了“人工智能”、“Scratch編程”課程，廣州吳向東老師和武漢毛愛萍老師依托Scratch軟件，研發(fā)了“兒童數(shù)字文化創(chuàng)作”課程。常州管雪沨老師研發(fā)實施了“小學(xué)生趣味編程”課程，溫州謝作如老師依托Arduino、Scratch軟件開發(fā)并實施了“互動媒體技術(shù)”課程等。

中山永豐實驗學(xué)校近幾年來，圍繞“隊伍強校，質(zhì)量立校，特色亮?！钡墓ぷ魉悸?，有效扎實推進各項工作，教育教學(xué)質(zhì)量名列區(qū)前列。學(xué)校先后榮獲中國教育學(xué)會“十二五”教育科研規(guī)劃課題科研實驗校、教育部教師獎勵基金會重點科研課題單位、全國新學(xué)校行動研究理事校；上海市行為規(guī)范示范校、上海市平安單位、上海市安全文明校、上海市花園單位、上海市語言文字示范校；松江區(qū)文明單位、松江區(qū)強師興教先進集體、松江區(qū)素質(zhì)教育實驗學(xué)校、松江區(qū)現(xiàn)代教育技術(shù)實驗學(xué)校、松江區(qū)二期課改培訓(xùn)基地、松江區(qū)師資隊伍建設(shè)先進集體、松江區(qū)校本研修特色項目、教學(xué)精細化管理督導(dǎo)一等獎、松江區(qū)新教師規(guī)范化培訓(xùn)基地等榮譽稱號。

學(xué)校師資精干，骨干教師儲備充足，有區(qū)級以上名師3人，占教師總數(shù)的4％。區(qū)級教壇新秀6人，占教師總數(shù)的8.1％。高級職稱教師6名，占教師總數(shù)的8.1%。

（1）學(xué)?；貧w公辦，逐年恢復(fù)按學(xué)區(qū)招生，“為孩子終身發(fā)展奠基”的理念深入人心，辦學(xué)質(zhì)量穩(wěn)定，處于松江區(qū)前列，社會聲譽較高，學(xué)校已成為松江區(qū)的一所學(xué)生向往、家長放心的優(yōu)質(zhì)學(xué)校。干群關(guān)系、師生關(guān)系、家校關(guān)系、學(xué)校與社區(qū)關(guān)系良好，為學(xué)校又好又快發(fā)展提供了保障，為項目順利開展打下堅實的基礎(chǔ)。

（2）教師隊伍穩(wěn)定。學(xué)校以區(qū)級重點課題為引領(lǐng)，加強骨干梯隊建設(shè)，近幾年，教師成長很快，成為區(qū)內(nèi)課堂教學(xué)的佼佼者，為項目成功進行提供了保障。

（3）學(xué)校為松江區(qū)內(nèi)唯一的小班化試點學(xué)校，班額數(shù)控制在36人左右，由于人數(shù)較少，更有利于學(xué)生的全面發(fā)展以及項目的順利進行。

二、項目目標(biāo)和意義

2.1 項目目標(biāo)

本項目的目標(biāo)是圍繞“課程建設(shè)”、“學(xué)生發(fā)展”、“教師發(fā)展”、“成果展示”、“學(xué)校發(fā)展”5個維度來開展本項目：

課程建設(shè)：結(jié)合中山永豐實驗學(xué)校的現(xiàn)有特色課程，在實踐中建立一套“永豐實驗學(xué)?！碧赜械木哂袆?chuàng)新性的課程體系。

學(xué)生發(fā)展：秉持建構(gòu)主義與STEAM（Science，Technology，Engineer，Art，Mathematics）教學(xué)內(nèi)容相結(jié)合的理念，以項目制為導(dǎo)向，開展學(xué)生創(chuàng)新課程。將培養(yǎng)學(xué)生跨學(xué)科的綜合性能力，激發(fā)學(xué)生的創(chuàng)新思維、提升學(xué)生的創(chuàng)造能力、為培養(yǎng)多元智能的創(chuàng)新人才而努力。讓創(chuàng)智空間成為學(xué)生創(chuàng)意迸發(fā)的夢工廠。

教師發(fā)展：讓教師接觸與國際接軌的創(chuàng)新工具，前沿的STEAM創(chuàng)客教育理念，培養(yǎng)教師與時俱進的創(chuàng)新精神，精益求精的務(wù)實意識，精誠合作的團隊理念，勇攀高峰的創(chuàng)造品格。培養(yǎng)一批具有STEAM課程開發(fā)，授課能力的優(yōu)秀教師團隊。

成果展示：激發(fā)學(xué)生的創(chuàng)新能力，多學(xué)科綜合運用的能力，引導(dǎo)學(xué)生創(chuàng)造出具有創(chuàng)新意義、可以解決實際生活中問題的成果作品

學(xué)校發(fā)展：通過建立具有特色的STEAM創(chuàng)新實驗室，培養(yǎng)一批具有創(chuàng)新精神和創(chuàng)新能力的優(yōu)秀學(xué)生和創(chuàng)新明星，培養(yǎng)出具有創(chuàng)新精神和掌握與國際接軌的創(chuàng)新課程內(nèi)容的教師，使得中山永豐實驗學(xué)校在松江區(qū)乃至上海具有

一定的影響力和輻射力。

2.2 項目意義

為中小學(xué)生營造社會的氛圍，通過將生活情景融入教育，將新的技術(shù)融入基礎(chǔ)教育的課堂，幫助學(xué)生理解科學(xué)、工程學(xué)和技術(shù)等領(lǐng)域的抽象概念，并能夠培養(yǎng)學(xué)生的創(chuàng)新能力、綜合設(shè)計能力和動手實踐能力。將學(xué)生從小的“創(chuàng)客”種子在學(xué)校得以萌芽，不斷地鼓勵和培養(yǎng)學(xué)生綜合運用多個學(xué)科知識的能力，為他們成為未來的創(chuàng)新人才打下結(jié)實的基礎(chǔ)。在做中學(xué)，在學(xué)中做，在STEAM理念下自己動手實現(xiàn)一個個新奇的想法，制作成作品，以培養(yǎng)符合國際競爭所需要的、具有跨學(xué)科思維能力、具有解決實際問題的綜合能力、具有創(chuàng)新精神，并掌握了一定創(chuàng)新技能的創(chuàng)新人才為項目宗旨。聚焦STEAM教學(xué)創(chuàng)新，聚焦學(xué)科建設(shè)，聚焦教師團隊建設(shè)，聚焦創(chuàng)新學(xué)生隊伍的培養(yǎng)。

融入與國際接軌的STEAM理念，配備國際主流的創(chuàng)新教學(xué)工具，包括： Scratch，3D打印機、電子模組，創(chuàng)意塑料等教具和工具，打造具有“中山永豐實驗學(xué)?！碧厣模谒山瓍^(qū)乃至上海具有一定影響力、輻射力和教育示范作用的中小學(xué)STEAM創(chuàng)新實驗室。

三、項目目標(biāo)

3.1 項目預(yù)期成果

學(xué)生層面：

? 能夠形成對生活中的事物、現(xiàn)象和身邊發(fā)生的某些簡單的問題進行關(guān)注，并主動探究的興趣、意識和態(tài)度。

? 學(xué)生掌握已有的知識、經(jīng)驗探究或問題解決的基本思想、方法和策略，并形成多種途徑采集、處理和利用信息解決問題的基本技能。? 學(xué)會用一些簡單的、比較簡潔的客觀性語言來表述自己探究與問題解決中的思考、計劃、過程和結(jié)果。

? 懂得用科學(xué)的態(tài)度和方法來處理、解決日常生活中的事件、現(xiàn)象和問題的意義和價值，養(yǎng)成科學(xué)的態(tài)度和精神。

學(xué)校層面：

? 建立一整套具有中山永豐實驗學(xué)校特色的STEAM創(chuàng)新校本課程體系

? 培養(yǎng)出一批具有課程開發(fā)和授課能力的前沿STEAM教師隊伍

? 培養(yǎng)新一代具有跨學(xué)科知識、具有跨學(xué)科解決問題能力的創(chuàng)新型學(xué)生，并參加相應(yīng)競賽，為學(xué)校增添榮譽。

四、創(chuàng)智空間介紹 4.1 創(chuàng)智空間定義

STEAM創(chuàng)新實驗室（創(chuàng)智空間），也可將其定義為校園創(chuàng)客空間，是校園內(nèi)建設(shè)而成的實施STEAM創(chuàng)客教育的空間，它是信息技術(shù)使能的創(chuàng)新教育實踐場，用于培養(yǎng)學(xué)生的創(chuàng)新能力自我管理，把很多新奇的創(chuàng)意想法變?yōu)楝F(xiàn)實，創(chuàng)造出來，分享新鮮富有創(chuàng)意的技術(shù)知識和理念，普及創(chuàng)客思想的新型開放性創(chuàng)新實驗室。

4.2 創(chuàng)智空間效果圖

4.3 創(chuàng)智空間實景實例

4.4 功能區(qū)構(gòu)成

創(chuàng)智空間其包含有五個功能區(qū)：展示區(qū)、創(chuàng)造區(qū)、活動區(qū)、討論區(qū)、材料區(qū)。

4.4.1 展示區(qū)

展示區(qū)往往是在創(chuàng)智空間的前端（即入口處），用于展示學(xué)生創(chuàng)客作品。配有展示臺和展示柜兩種展示裝置，展示柜主要陳列數(shù)量眾多的小作品和需要適當(dāng)保護的作品，展示臺陳列作品適合與觀眾互動。展示區(qū)也陳列一些外來作品（經(jīng)典展品），用于開擴學(xué)生眼界，啟發(fā)學(xué)生創(chuàng)新靈感。

展示區(qū)實景圖

4.4.2 創(chuàng)造區(qū)

創(chuàng)造區(qū)是創(chuàng)智空間的核心功能區(qū)，學(xué)生就是在這里將想法變成現(xiàn)實。這里有品種眾多、先進高技術(shù)的設(shè)備，同時還考慮學(xué)生的設(shè)備操作能力和安全需求，很多設(shè)備為特殊設(shè)計的桌面級裝備。

創(chuàng)造區(qū)實景圖

4.4.3 活動區(qū)

活動區(qū)有兩個功能：（1）用于集中學(xué)習(xí)、上課；（2）用于舉辦小型活動，如班級比賽；這里相當(dāng)于電腦室，但其桌椅又方便移動，以便開展活動。

活動區(qū)實景圖

4.4.4 討論區(qū)

討論區(qū)主要用于小組討論，或老師對小組學(xué)習(xí)進行小范圍指導(dǎo)，需要這樣一個相對封閉的區(qū)域。

討論區(qū)實景圖

4.4.5 材料區(qū)

材料區(qū)主要功能是保管耗材和少量精密易損的儀器設(shè)備，有一定的保管箱柜和制度，一般由專人負責(zé)，也可以是半開放方式。

材料區(qū)實景圖

五、課程培養(yǎng)體系設(shè)置

5.1 電子互動藝術(shù)課

5.1.1 課程簡介

電子互動藝術(shù)課主要培養(yǎng)學(xué)生工程思維能力和創(chuàng)新動手能力。在此課程中利用目前國際流行的進行STEAM課程教具——電子模組套件和魔術(shù)電路板MakeyMakey。它能夠讓原本復(fù)雜艱深、屬于專家和實驗室的東西普及化、趣味化，充分激發(fā)學(xué)生的創(chuàng)意能力，在各種項目中融合科學(xué)、工程、創(chuàng)意設(shè)計、數(shù)學(xué)等多學(xué)科將他們的奇思妙想變成現(xiàn)實。

5.1.2 實施方式

以項目為載體進行課程內(nèi)容實施，在每學(xué)期初教師首先明確本學(xué)期的課程項目目標(biāo)和評測，讓學(xué)生在項目中學(xué)習(xí)。不在像原有的學(xué)習(xí)方式那樣，因此學(xué)生更加明確了為什么學(xué)，也更加清楚所學(xué)知識的應(yīng)用領(lǐng)域。

5.1.3 評測或展示方式

每個學(xué)期組織一次全年級的競賽活動，使用同一個平臺，進行競賽和展覽展示活動。例如：組織學(xué)生進行特定時間內(nèi)電子模組互動設(shè)計的創(chuàng)新競賽等。

5.2 三維創(chuàng)意藝術(shù)課

5.2.1 課程簡介

3D打印已經(jīng)成為STEM（Science，Technology, Engineer, Mathematics）教育中的重要工具。通過三維建模設(shè)計課的成立，以及3D打印機，3D掃描儀的使用，可以將學(xué)生的想法立刻化為現(xiàn)實。在學(xué)習(xí)三維建模軟件的時候，可以鍛煉學(xué)生的空間思維能力，同時三維建模軟件也是

目前緊缺人才所需具備的軟件能力。

啟培科技將根據(jù)學(xué)生認(rèn)知水平，將通過3D打印成型原理及機械機構(gòu)基礎(chǔ)學(xué)習(xí)，到三維建模軟件的由簡單到復(fù)雜的學(xué)習(xí)，讓學(xué)生最終能夠了解3D打印的使用及日常維護，最終能夠借助3D打印等工具的使用將自己的創(chuàng)意變?yōu)楝F(xiàn)實。

5.2.2 實施方式

學(xué)期初用幾節(jié)課的時間讓學(xué)生完成選題任務(wù)，然后教師講解建模軟件，學(xué)生根據(jù)自己的選題任務(wù)利用課上和課余時間進行繪制，最終使用加工設(shè)備完成加工。

5.1.3 評測或展示方式

教師針對每組或者每個學(xué)生的作品進行點評。從實用性、創(chuàng)新性、美觀性、穩(wěn)定性、合理性等多方面進行評定。在期末讓每組學(xué)生在學(xué)校進行展示，并由其他年級或班級學(xué)生參與評定，評選出不同單項獎。如：最佳創(chuàng)意獎、最佳外觀獎、最具人氣獎等。5.3 趣味編程 5.3.1 課程簡介

Scratch是麻省理工學(xué)院（MIT）為7歲以上的少年開發(fā)的圖形化編程軟件。編程已經(jīng)是STEAM教學(xué)中不可或缺的一個部分。其基礎(chǔ)是數(shù)學(xué)，尤其是數(shù)學(xué)中的邏輯。學(xué)習(xí)編程可以增強學(xué)生的邏輯思維能力，更好地去分析問題。而相比于做數(shù)學(xué)題，編程有豐富的交互，學(xué)習(xí)反饋更積極，更容易集中注意力和持續(xù)進行。

5.3.2 實施方式

學(xué)期初用幾節(jié)課的時間教師講解Scratch軟件使用，通過趣味的項目引入，幫助學(xué)生更好地掌握軟件的實驗。利用一些常用的設(shè)備作為課程道具，設(shè)置一些簡單的競賽任務(wù)。如：MakeyMakey趣味模組、機器人搬運、自動喂魚機等生活化案例內(nèi)容。在實施過程中根據(jù)任務(wù)的難易程度設(shè)置不同的課程內(nèi)容，一學(xué)期完成三到四項任務(wù)。5.3.3 評測或展示方式

此模塊內(nèi)容和各級競賽比較接近，可以通過模擬競賽的方式來進行課程內(nèi)容的檢測。學(xué)期結(jié)束時，可以安排一次年級內(nèi)的競賽活動，通過競技或主觀評選的方式評出優(yōu)秀學(xué)生及作品并優(yōu)先推薦參與各級競賽

5.4 創(chuàng)意制作 5.4.1 課程簡介

通過將生活情景融入教育，將新的技術(shù)融入基礎(chǔ)教育的課堂，配合各式

新工具（3D打印機，激光切割機，塑料模組，五金工具等）培養(yǎng)學(xué)生的創(chuàng)新能力、綜合設(shè)計能力和動手實踐能力，在做中學(xué)，在學(xué)中做，在STEAM理念下自己動手實現(xiàn)一個個新奇的想法，制作成作品。

5.4.2 實施方式

學(xué)期初用幾節(jié)課的時間向?qū)W生介紹各工具的使用及日常生活的應(yīng)用范圍，然后教師安排學(xué)生分組選題，學(xué)生根據(jù)自己的選題任務(wù)利用課上和課余時間進行創(chuàng)意制作，最終使用加工設(shè)備完成加工。

5.4.3 評測或展示方式

教師針對每組或者每個學(xué)生的作品進行點評。從實用性、創(chuàng)新性、美觀性、穩(wěn)定性、合理性等多方面進行評定。在期末讓每組學(xué)生在學(xué)校進行展示，并由其他年級或班級學(xué)生參與評定，評選出不同單項獎。如：最佳創(chuàng)意獎、最佳外觀獎、最具人氣獎等。

六、服務(wù)與支持 6.1 師資培訓(xùn)

為保障創(chuàng)智空間長久有效的正常運行，啟培科技將根據(jù)自身的師資培訓(xùn)體系為學(xué)校提供完善的師資培訓(xùn)服務(wù)，為學(xué)校培養(yǎng)更專業(yè)的多學(xué)科全面發(fā)展的人才。

級別結(jié)構(gòu) 機械電子 編程設(shè)計與建模工藝與制造

1、基本手工制作方法（打孔、剪切、銼削、膠接、螺栓連接、捆綁）

2、手工工具的使用（銼刀、膠槍、螺絲刀、扳手、鉗子）媒體寫作 初級 1，平行四連桿的簡單應(yīng)用1，簡單支撐結(jié)構(gòu)的應(yīng)用（簡支1，簡單開關(guān)電路設(shè)計2，一級齒輪變速的簡單應(yīng)梁、懸臂梁）（紐扣電池、開關(guān)、LED用2，房屋基本結(jié)構(gòu)的應(yīng)用、蜂鳴器）3，杠桿的簡單應(yīng)用

1、簡單串并聯(lián)電路設(shè)計（電阻、電容）

1、四連桿的簡單應(yīng)用

1、簡單運動結(jié)構(gòu)的應(yīng)用（實現(xiàn)

2、簡單整流電路設(shè)計

2、多級齒輪變速的簡單應(yīng)傳動、移動）（二極管）用

2、三輪或四輪小車基本機構(gòu)的3、基于單片機的輸出控

3、凸輪的簡單應(yīng)用應(yīng)用制（點亮LED、數(shù)碼管、4、滑輪組的簡單應(yīng)用驅(qū)動電磁鐵、電動機）

4、萬用表的基本使用

1、簡單分壓電路設(shè)計（電位器）

1、簡單加強結(jié)構(gòu)的應(yīng)用（二力

2、簡單放大電路設(shè)計桿、肋板）

1、蝸輪蝸桿的簡單應(yīng)用（三極管）

2、簡單承重結(jié)構(gòu)的應(yīng)用（三角

2、迷你氣缸的簡單應(yīng)用

3、場效應(yīng)管的簡單應(yīng)用結(jié)構(gòu)、拱形結(jié)構(gòu)）

3、組合機構(gòu)的設(shè)計

4、基于單片機的輸入控

3、箱體基本結(jié)構(gòu)應(yīng)用制（干簧管、熱敏電阻、光敏電阻、感光二極管）1，基本手工繪圖（平面原理1，基本程序結(jié)構(gòu)的簡單應(yīng)圖、流程圖、外觀草圖）用（順序、選擇、循環(huán)）2，簡單平面圖軟件繪圖2，圖形化編程軟件的簡單3，基本量具的使用（直尺、應(yīng)用圓規(guī)、量角器）

1、基本素材采集（照片拍攝、視頻錄制）

1、活動學(xué)習(xí)單的編寫

2、基本宣傳品設(shè)計（海報

2、指導(dǎo)學(xué)生進行過程設(shè)計）記錄

3、基本展示品制作（ppt制作）中級

1、常量與變量的簡單應(yīng)用

1、簡單三維建模軟件繪圖

2、簡單算法的基本應(yīng)用（零件建模）（程序嵌套、多重選擇）

2、簡單流程圖軟件繪圖

1、基本素材編輯（簡單的圖片編輯、視頻剪輯）3D打印機或電動工具的使用

2、基本平面宣傳設(shè)計（展板設(shè)計）

1、小學(xué)期課程方案設(shè)計

2、指導(dǎo)學(xué)生進行小論文寫作高級

1、高級編程語言的簡單應(yīng)用（C、C++、C#、JAVA）

2、基本控制算法的簡單應(yīng)用（邏輯門、比例算法）

1、簡單三維建模軟件繪圖（模型裝配）

2、精確量具的使用（游標(biāo)卡尺）激光切割機或數(shù)控設(shè)備的簡單使用

1、線上平臺設(shè)計（網(wǎng)頁制作）

2、短節(jié)目編排

1、學(xué)年課程方案設(shè)計

2、指導(dǎo)知道學(xué)生進行項目計劃書寫作 6.2 服務(wù)支持

根據(jù)學(xué)校情況，合編校本教材，共同研發(fā)符合學(xué)校情況的教學(xué)方案及活動方案；與學(xué)校共同組織活動，并給予技術(shù)及相應(yīng)渠道支持；例如，校內(nèi)活動，創(chuàng)客節(jié)，科技游學(xué)活動等；科技競賽給予技術(shù)支持輔導(dǎo)。

6.3 設(shè)備維護

創(chuàng)智空間內(nèi)所含設(shè)備都享受啟培科技提供的相關(guān)技術(shù)服務(wù)，設(shè)備至到貨之日起保修期12個月，終身維護，保修期內(nèi)，啟培科技提供免費技術(shù)支持，24小時內(nèi)服務(wù)響應(yīng)，保障創(chuàng)智空間正常運作。

七、產(chǎn)品配置及報價

7.1 創(chuàng)智空間產(chǎn)品配置

7.2 創(chuàng)智空間設(shè)備報價

功能區(qū)設(shè)備收納柜五金工具展架五金工具littleBits（STEM套件）littleBits（音樂套件）MakeyMakey塑料模組智能機器人進階套件智能機器人基礎(chǔ)套件3D打印筆3D打印機教師用機3D打印機學(xué)生用機桌面級三維掃描儀空氣凈化器激光切割機除煙裝置工作臺 3D打印耗材25804021 基本配置單價4***20***039940******4000111200******0

材料區(qū)創(chuàng)造區(qū)總計

7.3 場地裝修及報價

序號12345678910合計項目名稱實驗室環(huán)境效果設(shè)計實驗室裝修海報墻體宣傳燈具白板及多媒體器材儲物柜學(xué)生教學(xué)桌椅電腦操作臺工具架數(shù)量1111011111單位套套套個套個張臺張張單價小計 22

第二篇：STEAM創(chuàng)新實驗室方案

易教STEAM創(chuàng)新實驗室 建設(shè)框架方案 信息科技有限公司 目 錄 一 易教STEAM創(chuàng)新實驗室建設(shè)意義和價值……………… 3 二 易教STEAM創(chuàng)新實驗室的主旨規(guī)劃…………………… 4 三 易教STEAM創(chuàng)新實驗室建設(shè)環(huán)境要求………………… 4 四 易教STEAM創(chuàng)新實驗室人員配置……………………… 6 五 主要培訓(xùn)對象…………………………………………… 6 六 主要培訓(xùn)內(nèi)容…………………………………………… 6 七 實驗室內(nèi)部區(qū)域劃分…………………………………… 7 八 實驗室配置方案及報價………………………………… 7 九 實驗室主要設(shè)備參數(shù)及性能…………………………… 8 十 易教STEAM實驗室課程方案介紹……………………… 13 一、易教STEAM創(chuàng)新實驗室建設(shè)意義和目標(biāo) STEAM是指科學(xué)、技術(shù)、工程學(xué)、藝術(shù)和數(shù)學(xué)。根據(jù)這一理念，可以設(shè)置基礎(chǔ)能力課程和創(chuàng)新實踐課程。其中，基礎(chǔ)能力課程旨在培養(yǎng)科技創(chuàng)新所需的各類基本能力，包括社會探究能力、益 智思維能力、動手操作能力、展示交流能力；

創(chuàng)新實踐課程按照設(shè)計思維的流程，引導(dǎo)學(xué)生采用項目學(xué)習(xí)的方式開展科技創(chuàng)新實踐。

“STEAM其實是對基于標(biāo)準(zhǔn)化考試的傳統(tǒng)教育理念的轉(zhuǎn)型，它代表著一種現(xiàn)代的教育哲學(xué)，更注重學(xué)習(xí)的過程，而不是結(jié)果。本質(zhì)上來說，我們敢于讓學(xué)生們犯錯，讓他們嘗試不同的想法，讓他們聽到不同的觀點。與考試相反的，我們希望孩子們創(chuàng)造能夠應(yīng)用于真實生活的知識?！彼許TEAM教育倡導(dǎo)將各個領(lǐng)域的知識通過綜合的課程結(jié)合起來，加強學(xué)科間的相互配合，發(fā)揮綜合育人功能，讓學(xué)生在綜合的環(huán)境中學(xué)習(xí)，在項目活動中應(yīng)用多個學(xué)科的知識解決問題。

1、建設(shè)意義 1)創(chuàng)新實驗室是實踐創(chuàng)客教育的良好手段，它不同于傳統(tǒng)實驗室，而是以融教學(xué)、實踐、借鑒、創(chuàng)新和實現(xiàn)的創(chuàng)新教育理念為基礎(chǔ)構(gòu)建的虛實融合的學(xué)習(xí)環(huán)境。創(chuàng)新實驗室的設(shè)計采用PST（Pedagogy-Space-Technology）的設(shè)計框架，旨在幫助學(xué)校創(chuàng)設(shè)新型學(xué)習(xí)空間，促使學(xué)生更多地投入學(xué)習(xí)和體驗，獲取最佳學(xué)習(xí)效果。

2)幫助學(xué)生：①將創(chuàng)意付諸實施，變成實物；

②做中學(xué)，以任務(wù)驅(qū)動學(xué)習(xí)知識和技能；

③持續(xù)分享，采用“想出”、“說出”、“寫出”、“做出”、“展示出”的循序漸進的方式，彼此分享；

④協(xié)作學(xué)習(xí)；

（5）跨學(xué)科學(xué)習(xí)3)一種建構(gòu)主義教學(xué)。我們經(jīng)歷的學(xué)?；蛘吲嘤?xùn)班教育，主要是“講座式”的教育，老師無論是風(fēng)趣還是無趣的在講臺上講課，學(xué)生或是專心或是走神地坐著聽課。這里不討論這種教學(xué)方法有效無效，但這種教學(xué)方式其實是基于我們對于知識的一種假設(shè)：也就是知識可以通過老師傳遞給學(xué)生，灌輸式直接告訴你知識和原理。但是建構(gòu)主義的支持者們認(rèn)為這種“傳遞”假設(shè)是不正確的，他們認(rèn)為知識是由學(xué)習(xí)者自己建構(gòu)起來的。所以教育需要給學(xué)習(xí)者提供能夠讓他們自己建構(gòu)知識的環(huán) 境和機遇。老師在課堂上只是輔助性角色 2、建設(shè)目標(biāo) 1)人性化的學(xué)習(xí)環(huán)境與空間，營造出一個能激勵學(xué)生想象力和動手動腦激情的氛圍，主題能突出操作實踐和創(chuàng)造力，開發(fā)內(nèi)容能突出想象力、激情和創(chuàng)造的欲望，能將人文和科技融為一體。豐富的工具設(shè)備、櫥窗內(nèi)的產(chǎn)品、模型，墻面的標(biāo)語與科技圖片等組成的學(xué)習(xí)與創(chuàng)造平和諧統(tǒng)一。

2)為學(xué)生開展操作性實踐活動和創(chuàng)造性探究活動的工具(機械的、手工的、智能的、數(shù)字的、電教的)，提供相關(guān)的閱讀刊物與教學(xué)資源，小組合作研討、交流的學(xué)習(xí)設(shè)備與條件。

3)傳播科學(xué)知識與技術(shù)、科學(xué)思想與精神、科學(xué)方法與態(tài)度、人文思想與科技文明等相關(guān)主題的科普走廊或圖片資料，形成科普傳播的教育陣地。

4)科學(xué)的管理制度和評價方法，有利于促進科技輔導(dǎo)員、教學(xué)與管理人員提高科技教育自覺性和主動性；

有利于提高科技輔導(dǎo)員、教學(xué)與管理人員自身的素質(zhì)、興趣、能力和職業(yè)精神。

二、易教STEAM創(chuàng)新實驗室的主旨規(guī)劃 通過開放、靈活的空間的設(shè)計、桌椅的擺放、墻面的布置，與各類創(chuàng)新實驗室軟硬件設(shè)備有效搭配、結(jié)合，讓學(xué)習(xí)空間更具可調(diào)式性，為學(xué)生提供培養(yǎng)基礎(chǔ)能力、創(chuàng)新能力和創(chuàng)新實踐的物質(zhì)空間。

“STEAM”實驗室為學(xué)生提供能生成創(chuàng)意并實現(xiàn)創(chuàng)意的空間，配備以“設(shè)計思維”為核心理念的“基礎(chǔ)能力”課程和資源，引導(dǎo)學(xué)生進行創(chuàng)新式學(xué)習(xí)設(shè)計；

也為學(xué)生提供從基礎(chǔ)教學(xué)到設(shè)計創(chuàng)作的全套工具和設(shè)備的空間，配備“創(chuàng)新實踐”課程和資源，幫助學(xué)生進行實踐操作 三、易教STEAM實驗教室建設(shè)環(huán)境的基本要求：

1、使用面積：80㎡-100㎡以上 2、實驗室位置：實驗教室應(yīng)保證最佳建筑朝向，室內(nèi)避免直射陽光，主要采光面應(yīng)位于學(xué)生座位的左側(cè)。

3、環(huán)保：教室內(nèi)部裝飾應(yīng)選用環(huán)保型材料，室內(nèi)環(huán)境噪聲應(yīng)低于 55 分貝，金屬制品和木制品制作實驗室可高于此標(biāo)準(zhǔn)。新建、改建、擴建實驗室及附屬用房時，甲醛、苯、氡等有害氣體和放射性污染應(yīng)符合相關(guān)標(biāo)準(zhǔn)中的限量值。對于在學(xué)生活動中可能產(chǎn)生較多垃圾的實驗室，要配置足夠的垃圾桶，垃圾應(yīng)分類收集。

4、溫度：室內(nèi)溫度應(yīng)在 4℃至 30℃之間。室內(nèi)可安裝空調(diào)，溫度宜控制在 16℃～28℃。

3D打印實驗室應(yīng)保持室內(nèi)溫度恒溫。

5、供電：用電負荷應(yīng)留有余地，以滿足不斷增加的現(xiàn)代化教學(xué)設(shè)備的需要；

按規(guī)范敷設(shè)強、弱電線，空調(diào)專線敷設(shè)，安裝漏電過載保護器和可靠的接地保護。

6、綜合布線：按有關(guān)技術(shù)規(guī)范敷設(shè)強、弱電線。強電電源插座與照明用電應(yīng)分路設(shè)計、分別控制，用電負荷應(yīng)留有余量，并安裝漏電、過載和觸電保護器，有可靠的接地保護措施。弱電應(yīng)考慮冗余，在合適位置配備足夠的網(wǎng)絡(luò)信息接口。

7、安全：實驗室應(yīng)配備有效的防火、防盜、防潮等設(shè)施設(shè)備和外傷急救箱，急救箱中的藥品應(yīng)注意及時更換。應(yīng)加強對工具、儀器和設(shè)備等的安全管理，加強對師生的安全教育，增強安全意識，確保師生人身安全。

8、環(huán)境：環(huán)境布置應(yīng)適合小學(xué)生身心發(fā)展和認(rèn)知特點，營造探知科學(xué)的氛圍，做到生動活潑。

四、實驗室人員配置 1、工作室專業(yè)3D打印工程師：能夠使用3D建模軟件進行3D建模；

熟悉主流3D打印成型工藝原理；

具備3D打印機的日常使用和維護技能，并獲得相關(guān)行業(yè)公司的技能培訓(xùn)證書；

熟悉3D掃描技術(shù)，能夠使用3D掃描儀。

2、優(yōu)秀科技老師：能夠使用3D建模軟件進行3D建模；

熟悉各類3D打印成型工藝原理；

具備FDM桌面3D打印機的日常使用和維護技能，并獲得相關(guān)行業(yè)公司的技能培訓(xùn)證書。

五、主要培訓(xùn)對象 1、中小學(xué)學(xué)生（三年級以上）2、中小學(xué)科技老師 六、主要培訓(xùn)內(nèi)容 1、3D打印技術(shù)知識培訓(xùn)，包括各類打印技術(shù)以及打印材料普及；

建模軟件的操作和使用；

2、3-6年級開設(shè)入門班和初級班，包括增材制造概念原理；

FDM桌面3D打印機使用；

基本3D建模軟件的操作和使用；

3、7-11年級開設(shè)中級班和高級班，包括各類打印技術(shù)工藝原理；

FDM桌面3D打印機使用；

中級3D建模軟件的操作和使用；

3D模型的打印切片轉(zhuǎn)換；

結(jié)合3D打印機，介紹3D掃描儀的工作原理與基本使用。

4、老師培訓(xùn)項目，包括各類打印技術(shù)工藝原理；

FDM桌面3D打印機使用；

高級3D建模軟件的操作和使用；

高級3D模型的打印切片轉(zhuǎn)換；

結(jié)合3D打印機，介紹3D掃描儀的工作原理與基本使用。

七、實驗室區(qū)域劃分 1、教學(xué)區(qū)：主要進行日常教學(xué)與實踐活動 2、科普區(qū)：主要以墻面展板為主 3、展示區(qū)：主要展示工作室作品 4、信息港：主要用來查詢信息資料 5、工具臺：

6、3D打印區(qū)：

八、實驗室配置方案及報價 實驗室設(shè)備清單：

序號 名稱 規(guī)格 單位 數(shù)量 價格（萬元）1 3D打印機 銳桌面級打印機 臺 2 3D打印耗材 PLA 公斤（卷）3 電腦 主流機型和配置 臺 4 高端電腦配置（用于處理三維掃描數(shù)據(jù)）顯卡要求高 臺 5 手持式掃描儀，設(shè)備包括掃描鏡頭，手持架子，軟件光驅(qū)，加長線 三維掃描儀（包括軟件和培訓(xùn)）臺 6 遙控升降機 7 藍牙自動轉(zhuǎn)臺 8 書寫板 通用規(guī)格 塊 9 教師臺 通用規(guī)格 張 10 多媒體教學(xué)設(shè)備 LCD投影機+投影幕布等 套 11 總控電源 帶有防雷擊設(shè)施，有可靠的接地保護 套 12 工作臺 可放置電腦與打印機 套 13 墻面展板 塊 14 消防設(shè)備 套 15 各類配套線路、配件 16 教材 2（最終報價根據(jù)雙方商定情況及現(xiàn)場情況定）實驗室參考實景圖 九、實驗室主要設(shè)備參數(shù)及性能 ? 3D打印機 1、設(shè)備造型以及參數(shù)、制作的樣件 2、打印過程 3、部分試驗樣件實物 4、應(yīng)用范圍 低成本3D打印機是設(shè)計師、教學(xué)及辦公的得力幫手。能任何時間便利、及時的將設(shè)計圖稿轉(zhuǎn)化為成品，是生動直觀的教學(xué)形式成為可能。這款產(chǎn)品的應(yīng)用領(lǐng)域極為廣泛，主要包括工業(yè)品設(shè)計、機械模具制造、教育、醫(yī)療、動漫、玩具、制鞋行業(yè)、首飾、藝術(shù)設(shè)計等等。

? 三維掃描儀介紹 手持式人體掃描儀是新一代的三維成像系統(tǒng)，采用瞬間閃光技術(shù)，被拍攝人員亦無不適感。同時采集手段采用了高像素的數(shù)碼相機，紋理豐富，應(yīng)用面廣，可應(yīng)用于雕塑，人體、工藝品、醫(yī)療、安全、娛樂等領(lǐng)域。

該產(chǎn)品具有較高的點云采集能力，采集的數(shù)據(jù)可以實現(xiàn)色、模分離（色：指色彩，模：指模型），同時是目前市場上面見到唯一一款性價比最高的人體掃描儀。該款掃描儀最大亮點在于軟件的強大，采集好的數(shù)據(jù)，可以直接在配套軟件里面進行處理，同時也可以導(dǎo)出其它格式，導(dǎo)入其它軟件進行處理，達到一據(jù)多用的功能。

在MEPHISTO進入中國市場以后，Gotcha三維立體掃描儀，深受用戶喜愛，得到了很好的推廣，主要功能介紹：

生成三維模型（數(shù)據(jù)）：可以非?？焖俚纳烧鎸嵉娜S人像模型（數(shù)據(jù)）；

三維模型編輯：該項功能能夠?qū)ι傻牧Ⅲw人像模型進行編輯和修飾，使模型更加生動；

模型點生成：將三維立體人像模型或其他的三維立體模型數(shù)據(jù)生成點云模型；

? 3D打印創(chuàng)新實驗室軟件介紹 軟件優(yōu)勢及對比 行業(yè)建模軟件有UG、RHINO、AUTODESK、PRO E、Solidworks、123D Design 系列,其中UG/PRE、Autocad、Rhino、Solidworks、Tinkercad均為當(dāng)前比較流行的專業(yè)3D建模軟件。對于初學(xué)者的使用建議使用rhino軟件進行教學(xué)。Rhino具有下列有點，1.簡單易學(xué)，沒有基礎(chǔ)也容易上手，有中文版 2.軟件成熟 3.Rhino是建筑行業(yè)和汽車行業(yè)的主流建模軟件之一，很受建筑設(shè)計師和工業(yè)設(shè)計師歡迎，值得長期積累學(xué)習(xí)4.Rhino插件豐富，可以有高級的進階空間 5.Rhino網(wǎng)絡(luò)學(xué)習(xí)資源豐富 6.Rhino支持obj和stl格式保存，滿足3D打印機文件轉(zhuǎn)換需求 十、易教STEAM創(chuàng)新實驗室課程方案介紹 1、為更好的通過3D打印技術(shù)完善中小學(xué)教育體系，開拓新興教育方式，提升基礎(chǔ)教育水準(zhǔn)，鍛煉省內(nèi)中小學(xué)學(xué)生的創(chuàng)新創(chuàng)造性能力，我們建議此次3D打印走進中小學(xué)的項目將分為三個階段開展。

第一階段是意識培養(yǎng)的進行。通過3D打印技術(shù)在教育教學(xué)中的實際應(yīng)用，如將幾何立體構(gòu)造打印出來讓學(xué)生直觀了解幾何內(nèi)部元素聯(lián)系、將歷史課程中出現(xiàn)的古代物品打印出來；

在地理課上可以用學(xué)生們創(chuàng)作的3D打印世界五大洲板塊立體模型更形象直觀的呈現(xiàn)大陸板塊；

在物理課程上用學(xué)生們制作的3D打印電動機零部件直接組裝電動機等，讓學(xué)生更深刻的理解其原理構(gòu)造，從而激發(fā)學(xué)生的想象力和創(chuàng)造力，提高學(xué)生的科技素養(yǎng)與認(rèn)識。

第二階段是軟硬件設(shè)施的完善。硬件方面，將建立中小學(xué)3D打印實踐中心，每個中心至少有20臺3D 打印機硬件設(shè)施，學(xué)生們可以隨時打印出他們自己的創(chuàng)作作品。定期舉辦“中小學(xué)3D打印創(chuàng)意大賽”、“中小學(xué)教學(xué)模型3D設(shè)計大賽”、“3D工藝制品大賽”等活動，由淺入深的讓學(xué)生了解3D打印機的產(chǎn)品性能、技術(shù)及相關(guān)行業(yè)發(fā)展，提升中小學(xué)生的創(chuàng)新實踐能力和動手能力，拓展中小學(xué)生的課外視野范圍，幫助孩子實現(xiàn)創(chuàng)新夢。

第三階段是學(xué)生創(chuàng)造成果市場轉(zhuǎn)化階段, 讓學(xué)生的優(yōu)秀成果完成市場轉(zhuǎn)化，是激發(fā)學(xué)生創(chuàng)新的催化劑。愛用將提供3D打印技術(shù)及3D打印機操作的系統(tǒng)培訓(xùn)。

2、課程設(shè)計理念 （1）：從概念到現(xiàn)實 課程結(jié)合中小學(xué)教材，將抽象概念通過實際的3D打印技術(shù)打印出實物（2）：從學(xué)、理解、到應(yīng)用再創(chuàng)造 同學(xué)可以通過概念性實物進行再創(chuàng)造，給模型增加實際功能（3）：從積累進階與提高 建模教程根據(jù)同學(xué)的學(xué)習(xí)能力和認(rèn)知水平進行課程定制 ——教學(xué)目標(biāo)（小學(xué)生3年級以上）l 通過虛擬建模環(huán)境與3D打印實物打印相結(jié)合，培養(yǎng)學(xué)生的空間想象能力。

l 讓學(xué)生了解基本的3D打印相關(guān)知識:材料成型原理，設(shè)備工作原理和簡單模型制作。

——課程設(shè)計 l 3D打印技術(shù)原理概論課 l 3D建模課 l FDM打印機操作應(yīng)用課（簡單模型前處理）課程內(nèi)容模塊：

課程：FDM打印機操作應(yīng)用 教學(xué)目標(biāo)：認(rèn)識打印機的操作維護，掌握將模型打印成實物的技能.教學(xué)設(shè)備：電腦、打印機 課程內(nèi)容：

l 啟動操作 l 打印操作 l 打印軟件安裝及使用操作 l 打印學(xué)生在建模課自己學(xué)習(xí)制作的模型，打印數(shù)學(xué)、物理課應(yīng)用教案，打印自己設(shè)計創(chuàng)造的模型 課程：3D打印技術(shù)原理概論 教學(xué)目標(biāo)：對3D打印技術(shù)有個基本的概念和認(rèn)知 教學(xué)設(shè)備：標(biāo)準(zhǔn)化課堂 3D打印是直接從數(shù)字模型通過材料的堆積來生產(chǎn)三維實體的技術(shù)，即增材制造。傳統(tǒng)的制造為減材制造。增材制造舉例，蠟筆在紙張上反復(fù)涂會產(chǎn)生厚度和形狀/紙張通過疊加產(chǎn)生厚度/堆沙子等。減材制造舉例，蠟筆通過卷筆刀或者美工刀切割/紙張裁剪出形狀 3D打印技術(shù)原理：

l 3D打印機工藝介紹 l 耗材介紹 l 建模軟件介紹 課程：3D建模 教學(xué)目標(biāo)：培養(yǎng)空間想象能力與創(chuàng)造力，掌握基本的Rhino建模技能 建模軟件：Rhino 教學(xué)設(shè)備：電腦 課程形式：

向?qū)W生展示一個用FDM打印機打印的實物模型。學(xué)生根據(jù)這個模型來學(xué)習(xí)視頻教程，一節(jié)課結(jié)束學(xué)生可以通過Rhino建立自己的模型，并通過使用公司的3D打印機打印實物。

教學(xué)模型選取條件：

1.模型打印時間控制在45/90 分鐘以內(nèi) 2.模型可以成功使用打印機打印 3.模型的選取滿足小學(xué)生的認(rèn)知與興趣 4.模型的復(fù)雜度滿足小學(xué)生的學(xué)習(xí)能力 5.模型的復(fù)雜度隨著教學(xué)過程的推進有個逐步的積累

第三篇：育優(yōu)家園共育整體解決方案

北京健康成長科技發(fā)展有限公司

育優(yōu)家園共育

整 體 解 決 方 案

全國婦聯(lián)+北京大學(xué)+中國兒基會 安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司

2009-2-3

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

目 錄

一、項目背景........................................................................................................................3

二、公司簡介........................................................................................................................3

三、育優(yōu)家園共育整體解決方案...........................................................................5

3-1 方案概述........................................................................................................................5 3-2安康教育信息化示范園服務(wù)介紹....................................................................5

3-2-1服務(wù)目標(biāo)：.................................................................................................................5 3-2-2服務(wù)項目：.................................................................................................................6

3-3“育優(yōu)聯(lián)盟會員”服務(wù)介紹................................................................................6

3-3-1服務(wù)目標(biāo)：.................................................................................................................6 3-3-2服務(wù)內(nèi)容：.................................................................................................................7

3-3-3服務(wù)優(yōu)勢：................................................................................................................8

四、育優(yōu)家園共育整體解決方案的服務(wù)模式及收費方式..................9

五、核心理念........................................................................................................................9

六、結(jié)束語..............................................................................................................................9

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

一、項目背景

幼兒教育作為基礎(chǔ)教育的重要組成部分，逐漸被整個社會及每個家庭所重視。更快更好的發(fā)展幼兒教育、學(xué)前教育對于促進兒童身心和諧健康發(fā)展，提高我國人口整體素質(zhì)，全面建設(shè)小康社會具有重要的現(xiàn)實意義。為了大力推進我國幼兒教育事業(yè)的發(fā)展，全面提高幼兒教育、學(xué)前教育的整體水平，確?！笆?五”期間學(xué)前教育規(guī)范化工程的實施，我國政府詳細制訂了幼兒教育發(fā)展規(guī)劃。

在黨的十七大報告中，將重視學(xué)前教育、加快教育信息化發(fā)展提到了相當(dāng)重要的位置。二十一世紀(jì)是信息化時代，通過教育信息化發(fā)展帶動我國基礎(chǔ)教育事業(yè)發(fā)展，提高學(xué)前教育水平將勢在必行，也將關(guān)系到整個中華民族的偉大復(fù)興。

“安康家園”網(wǎng)絡(luò)項目通過分析國外先進的信息化網(wǎng)絡(luò)技術(shù)，結(jié)合我國學(xué)前教育、家庭教育現(xiàn)狀，在全國婦聯(lián)、中國兒童少年基金會的指導(dǎo)下，聯(lián)合北京大學(xué)技術(shù)研發(fā)力量，建設(shè)了目前為止國內(nèi)最先進、最專業(yè)的0——6歲嬰幼兒家園共育互動網(wǎng)絡(luò)平臺，網(wǎng)址：004km.cn中文網(wǎng)址：“安康家園”。并承諾以公益捐建的形式捐建給全國的幼兒園所及家庭，目的是讓全國的幼兒園早日完成教育信息化建設(shè)，讓嬰幼兒教育工作者及家長都能通過信息化手段科學(xué)、專業(yè)的撫育孩子健康成長。

二、公司簡介

“成長科技”全稱北京健康成長科技發(fā)展有限公司。成立于2005年底，被北京市海淀區(qū)工商局列為“北京市高新技術(shù)企業(yè)”，公司坐落于被稱為中國硅谷的“中關(guān)村科技核心”地帶，辦公面積1000平米，共計員工118人。“成長科技”公司歷經(jīng)兩年多的發(fā)展與摸索，本著“根植教育、奉獻愛心、成就未來”的服務(wù)宗旨迅速的在中國互聯(lián)網(wǎng)行業(yè)中樹立了核心發(fā)展理念，被眾多同行業(yè)伙伴效仿。

“成長科技”發(fā)展大事記：

2005年10月 “成長科技”斥資4000萬元人民幣，建設(shè)國內(nèi)專業(yè)的0——6歲嬰幼兒家園共育互動網(wǎng)絡(luò)平臺，004km.cn網(wǎng)站成立；

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

2006年1月 全國婦聯(lián)主席、人大副委員長顧秀蓮?fù)驹诤卑部导覉@捐建現(xiàn)場，親自點擊啟動安康家園網(wǎng)絡(luò)項目，由此拉開了安康家園走向全國的序幕；

2006年6月 安康家園專家委員會成立，專家委員會由中國工程院、中國科學(xué)院四位院士牽頭，專家團隊的成員共有300余名，涉及嬰幼兒教育教學(xué)、教育管理、心理健康、衛(wèi)生保健、法律咨詢五大領(lǐng)域，為安康家園的專業(yè)教育服務(wù)奠定基礎(chǔ)；

2006年8月 “成長科技”與澳大利亞最大的教育資源服務(wù)提供商“澳大利亞威爾頓教育集團”簽約，雙方承諾為中國幼兒教育系統(tǒng)提供專業(yè)的教育資源服務(wù)；

2006年12月 “成長科技”與陜西婦聯(lián)、江蘇婦聯(lián)、山西婦聯(lián)、廣東婦聯(lián)等各省婦聯(lián)建立了捐建安康家園網(wǎng)絡(luò)項目的合作協(xié)議，使眾多幼兒園所及家庭受益；

2007年8月 “成長科技”與天津教育委員會達成合作捐建協(xié)議，作為與教育主管部門的首次合作，對安康家園與全國各省教育主管單位的全面合作起到重要作用；

2007年10月 “成長科技”與全球最大的數(shù)據(jù)庫服務(wù)運營商“美國甲骨文集團”簽訂合作協(xié)議，合作包括了技術(shù)支持、專業(yè)教學(xué)培訓(xùn)、資源共享等眾多領(lǐng)域；

2007年12月 “成長科技”被中國兒童少年基金會評為“公益明星單位”； 2008年2月 “成長科技”與中國移動公司簽訂全面合作協(xié)議，由此啟動了安康家園互聯(lián)網(wǎng)及移動網(wǎng)技術(shù)的全面服務(wù)；

2008年8月 “成長科技”已經(jīng)與全國十個省份地區(qū)的教育主管單位簽訂了安康項目捐建協(xié)議，落戶安康家園的幼兒園所8000余所，家庭會員上百萬；

2008年10月 “成長科技”正式在安康家園網(wǎng)絡(luò)項目中啟動“育優(yōu)家園共育整體解決方案”，這具有歷史意義一筆，開創(chuàng)了“安康家園”提供網(wǎng)絡(luò)教育服務(wù)模式的先河。

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

三、育優(yōu)家園共育整體解決方案

3-1 方案概述

通過安康家園網(wǎng)絡(luò)項目在全國兩年多的推廣和實踐，使我們積累了豐富和寶貴的互聯(lián)網(wǎng)運營經(jīng)驗。我們對全國10個省份的100家幼兒園所、5000多位家長進行了真實需求的詳細抽樣調(diào)查，在分析調(diào)查的結(jié)果及總結(jié)安康家園各方面資源優(yōu)勢和特點的基礎(chǔ)之上，2008年10月安康家園網(wǎng)絡(luò)系統(tǒng)正式啟動運營“育優(yōu)家園共育整體解決方案”（簡稱：育優(yōu)項目）。“育優(yōu)項目”作為安康家園網(wǎng)絡(luò)項目的家園個性化服務(wù)產(chǎn)品，剛剛上線運營就受到了廣大嬰幼兒家長及幼兒園所的認(rèn)同和好評?！坝齼?yōu)項目”不僅為0—6歲嬰幼兒家庭及幼兒園所搭建了科學(xué)育兒、家園共育的互動網(wǎng)絡(luò)平臺，還為嬰幼兒家庭與幼兒園所提供了專業(yè)、個性化的教育服務(wù)，使廣大的嬰幼兒家庭及園所都能夠通過信息化手段科學(xué)、專業(yè)的撫育孩子健康成長?！坝齼?yōu)項目”提供的家園共育服務(wù)內(nèi)容由兩部分組成：一是為幼兒園提供的“安康教育信息化示范園服務(wù)”，二是為嬰幼兒家庭提供的“育優(yōu)聯(lián)盟會員服務(wù)”。

3-2安康教育信息化示范園服務(wù)介紹

3-2-1服務(wù)目標(biāo)：

? 讓幼兒園樹立自己的品牌形象 ? 完善幼兒園教師的專業(yè)技能 ? 讓幼兒園幫助家長實現(xiàn)科學(xué)育兒 ? 幼兒園與家庭共同實現(xiàn)家園共育 ? 完善幼兒園的信息化建設(shè)

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

3-2-2服務(wù)項目：

? 獲得專業(yè)的家園共育網(wǎng)絡(luò)平臺并接受信息化培訓(xùn)----園所在“安康家園”中獲得屬于自己的獨立域名空間、建設(shè)幼兒園個性化網(wǎng)站，開通各班級主頁、寶寶主頁、教師博客，實現(xiàn)有效的家園互動與園所展示。園所如加入安康信息化示范園，則園長和教師需要接受安康網(wǎng)絡(luò)項目的專業(yè)培訓(xùn)，并獲得由中國兒童少年基金會和北京大學(xué)頒發(fā)的結(jié)業(yè)證書。

? 擁有育優(yōu)通短信發(fā)布系統(tǒng)及不定量的短信----育優(yōu)通短信發(fā)布系統(tǒng)是為幼兒園量身設(shè)計并開發(fā)的移動網(wǎng)絡(luò)服務(wù)平臺，它實現(xiàn)了園所對家長及時、準(zhǔn)確的信息發(fā)布，并開通了中國移動、中國聯(lián)通、小靈通用戶的全網(wǎng)服務(wù)，讓家園之間的溝通便捷、高速、及時，更好地體現(xiàn)了教育信息化幼兒園的核心能力。我們將根據(jù)幼兒園寶寶加入育優(yōu)聯(lián)盟會員的數(shù)量配增相應(yīng)的短信條數(shù)，可按每位會員每年200條計算。

? 參加中國兒基會組織的幼教工作者高級研修班學(xué)習(xí)----示范園園長每年寒、暑假均可參加由中國兒童少年基金會、中華女子學(xué)院共同主辦的幼教工作者高級研修班，提高幼教工作者專業(yè)水平，參會成員培訓(xùn)費免費，成績合格者授予園士榮譽。? 接受中國兒基會頒發(fā)的教育信息化示范園牌匾----即由中國兒童少年基金會育優(yōu)聯(lián)盟授予“安康教育信息化示范園”牌匾

3-3“育優(yōu)聯(lián)盟會員”服務(wù)介紹

3-3-1服務(wù)目標(biāo)：

? 讓家長科學(xué)的了解孩子的身心發(fā)展?fàn)顟B(tài)以更好的進行因材施教； ? 讓家長在輕松的閱讀環(huán)境中獲得實用的育兒知識；

? 在家長遇到育兒的難題時，可以得到專業(yè)、權(quán)威的指導(dǎo)和幫助；

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

? 使家長能夠便捷地得到專業(yè)的育兒指導(dǎo)和最新的育兒資訊； ? 使家長在科學(xué)育兒的教育環(huán)境中撫育孩子健康成長；

3-3-2服務(wù)內(nèi)容：

? 科學(xué)嚴(yán)謹(jǐn)?shù)膵胗變撼砷L測評與育優(yōu)課程----以幼兒身心發(fā)展特點為線索，對幼兒的身體與運動、語言、思維、記憶、社會性等各項能力進行科學(xué)測評，并在測評后24小時內(nèi)生成測評報告，再根據(jù)測評報告結(jié)果向家長分階段推薦育優(yōu)個性化基礎(chǔ)課程及提高性拓展課程。

● 北京大學(xué)心理學(xué)系蘇彥捷教授牽頭研發(fā)

● 經(jīng)國內(nèi)知名心理學(xué)家、教育學(xué)家、醫(yī)學(xué)專家聯(lián)合評審 ● 中國兒童少年基金會唯一推薦測評系統(tǒng)

作用：通過科學(xué)嚴(yán)謹(jǐn)?shù)膵胗變褐悄軠y評系統(tǒng)讓家長及時準(zhǔn)確掌握孩子在成長關(guān)鍵期的身心發(fā)展情況，與此同時家長與孩子可以通過對育優(yōu)課程的學(xué)習(xí)和操作提高弱項能力，使孩子能夠在多項智能均衡發(fā)展的前提下健康成長。

? 《愛貝貝I-BaBy》電子雜志----《愛貝貝I-BaBy》電子雜志每月為2-6歲嬰幼兒家長提供教育及生活策略、資訊，并搭建溝通、交流的橋梁；同時為家長與孩子提供智力開發(fā)、才藝成長、入學(xué)準(zhǔn)備等方面的親子游戲。

● 全國婦聯(lián)主席顧秀蓮?fù)居H筆題詞 ● 中國兒童少年基金會推薦雜志 ● 全國頂尖技術(shù)制作團隊加盟

作用：通過將傳統(tǒng)紙質(zhì)載體進行多媒體創(chuàng)新的技術(shù)手段，為2—6嬰幼兒家長定期提供生活——教育類原創(chuàng)電子雜志，即增強了家長科學(xué)育兒的能力，還實現(xiàn)了家庭寓教于樂的意義。

? 育優(yōu)短信服務(wù)----育優(yōu)短信服務(wù)是指每周將通過手機短信的形安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

式向家長提供“成長提示”和“幼教資訊”，兩項服務(wù)每周共計三條短信。

1)成長提示：將根據(jù)孩子月齡的變化成長，適時提醒孩子在關(guān)鍵期的注意事項；對于不同季節(jié)給孩子帶來的影響給予溫馨提示。

2)幼教資訊：匯聚國內(nèi)外最新研究成果、教育新聞、及時發(fā)送。

作用：利用最為便捷的手機載體，及時準(zhǔn)確的將育兒信息和幼兒資訊發(fā)送到家長手中，同時實現(xiàn)了中國移動、聯(lián)通和小聯(lián)通用戶的全網(wǎng)覆蓋。讓家長身在何處都可以與世界的信息共同分享。

? 我的專家----將中國家長最關(guān)心的育兒問題與安康專家的精彩回答匯編成上百萬字的專家答疑題庫，供家長搜索查閱。對家長提出的個性化問題，“我的專家”給予會員每年12次的在線提問權(quán)利。育優(yōu)專家將在三個工作日內(nèi)，對問題進行個性化解答。作用：讓廣大嬰幼兒家長可以與權(quán)威專家進行一對一互動、資訊，致力于使專家的智慧為每位孩子的成長保駕護航，讓專業(yè)貼心的教育服務(wù)伴隨孩子成長。

3-3-3服務(wù)優(yōu)勢：

“育優(yōu)聯(lián)盟會員”服務(wù)實現(xiàn)了全國五個第一

? 第一次大規(guī)模整合300余位幼兒各個領(lǐng)域?qū)＜覅⑴c研發(fā)； ? 第一次整合網(wǎng)絡(luò)優(yōu)勢與短信優(yōu)勢于幼教領(lǐng)域，實現(xiàn)了中國移動、聯(lián)通、小靈通用戶的全面覆蓋；

? 第一份專門針對2-6歲寶寶家庭育兒——生活類的原創(chuàng)電子雜志；

? 唯一一套獲得中國兒童少年基金會推薦的幼兒成長測評與家庭安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

課程

? 唯一承諾三個工作日內(nèi)有問必答的貼心專家服務(wù)。

四、育優(yōu)家園共育整體解決方案的服務(wù)模式及收費方式

育優(yōu)家園共育整體解決方案包括安康教育信息化示范園服務(wù)及育優(yōu)聯(lián)盟會員服務(wù)，其中安康教育信息化示范園服務(wù)屬于國家三大公益項目之一的“安康計劃”的重要組成部分。此部分從2005年已經(jīng)開始運作，至今已經(jīng)與全國十個省份地區(qū)的教育主管單位簽訂了安康項目捐建協(xié)議，落戶安康家園的幼兒園所8000余所，家庭會員上百萬。公司還將繼續(xù)進行安康家園的捐建，推廣完善全國幼兒園所的信息化建設(shè)。

另一部分是育優(yōu)聯(lián)盟會員服務(wù)，此為收費服務(wù)，但由于我們整個項目起源于公益事業(yè)，我們的定價遠遠低于其服務(wù)的實際估值水準(zhǔn)，目前為360元/年。

五、核心理念

育優(yōu)家園共育整體解決方案（簡稱育優(yōu)項目）是在教育信息化高速發(fā)展的背景下，為中國0~6歲嬰幼兒家庭和幼兒園提供的個性化教育服務(wù)解決方案。育優(yōu)項目通過線上服務(wù)結(jié)合線下多元化渠道的推廣，實現(xiàn)園所、家庭、社會及我們的多方共贏，并促進廣大嬰幼兒在科學(xué)、和諧的家園環(huán)境中健康成長，家園共育、科學(xué)育兒是育優(yōu)項目的核心理念。

六、結(jié)束語

讓我們一起努力，為新苗竭誠奉獻、使幼教事業(yè)增輝！

安康（公益）重點項目授權(quán)執(zhí)行機構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn

第四篇：內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

二〇一八年五月

第 i 頁 內(nèi)網(wǎng)安全整體解決方案

目錄

第一章 總體方案設(shè)計......................................................................................................................................3 1.1 依據(jù)政策標(biāo)準(zhǔn)...............................................................................................................................................3 1.1.1 國內(nèi)政策和標(biāo)準(zhǔn)..................................................................................................................................3 1.1.2 國際標(biāo)準(zhǔn)及規(guī)范..................................................................................................................................5 1.2 設(shè)計原則.......................................................................................................................................................5 1.3 總體設(shè)計思想...............................................................................................................................................6 第二章 技術(shù)體系詳細設(shè)計..............................................................................................................................8 2.1 技術(shù)體系總體防護框架...............................................................................................................................8 2.2 內(nèi)網(wǎng)安全計算環(huán)境詳細設(shè)計.......................................................................................................................8 2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計..............................................................................................8 2.2.2 虛擬化內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計........................................................................................16 2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析.....................................................................................................................................25 2.3.1 內(nèi)網(wǎng)安全風(fēng)險態(tài)勢感知....................................................................................................................25 2.3.2 內(nèi)網(wǎng)全景流量分析............................................................................................................................25 2.3.3 內(nèi)網(wǎng)多源威脅情報分析....................................................................................................................27 2.4 內(nèi)網(wǎng)安全管控措施.....................................................................................................................................27 2.4.1 內(nèi)網(wǎng)安全風(fēng)險主動識別....................................................................................................................27 2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理........................................................................................................29 2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺............................................................................................................32 第三章 內(nèi)網(wǎng)安全防護設(shè)備清單.....................................................................................................................33

第 ii 頁 內(nèi)網(wǎng)安全整體解決方案

第一章 總體方案設(shè)計

1.1 依據(jù)政策標(biāo)準(zhǔn)

1.1.1 國內(nèi)政策和標(biāo)準(zhǔn)

1．《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）2．《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）

3．《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）4．《信息安全等級保護管理辦法》（公通字〔2007〕43號)5．《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）

6．《信息安全等級保護備案實施細則》（公信安〔2007〕1360號）7．《公安機關(guān)信息安全等級保護檢查工作規(guī)范》（公信安〔2008〕736號）8．《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技〔2008〕2071號）

9．《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號）

10． 國資委、公安部《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》（公通字[2010]70號文）

11． 《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等保測評工作的通知》（公信安[2010]303號文）

12． 國資委《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》（國資發(fā)〔2010〕41號）13． 《GB/T 22239.1-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 第1部分 安全通用要求（征求意見稿）》

14． 《GB/T 22239.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求

第 3 頁 內(nèi)網(wǎng)安全整體解決方案

第2部分：云計算安全擴展要求（征求意見稿）》

15． 《GB/T 25070.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求 第2部分：云計算安全要求（征求意見稿）》

16． 《GA/T 20—XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南（征求意見稿）》

17． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》 18． 《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 19． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》 20． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》 21． 《計算機信息系統(tǒng) 安全等級保護劃分準(zhǔn)則》 22． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》 23． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》 24． 《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 25． 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

26． 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求（技術(shù)類）》 27． 《信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（技術(shù)類）》 28． 《信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級保護技術(shù)要求》 29． 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（管理類）》 30． 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（管理類）》 31． 《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》 32． 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 33． 《信息安全技術(shù) 信息安全事件分類分級指南》 34． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護體系框架》 35． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本模型》

第 4 頁 內(nèi)網(wǎng)安全整體解決方案

36． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本配置》

37． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級保護通用技術(shù)指南》 38． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》 39． 《信息安全技術(shù) 信息系統(tǒng)安全管理測評》

40． 《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》

1.1.2 國際標(biāo)準(zhǔn)及規(guī)范

1．國際信息安全ISO27000系列 2．國際服務(wù)管理標(biāo)準(zhǔn)ISO20000 3．ITIL最佳實踐 4．企業(yè)內(nèi)控COBIT 1.2 設(shè)計原則

隨著單位信息化建設(shè)的不斷加強，某單位內(nèi)網(wǎng)的終端計算機數(shù)量還在不斷增加，網(wǎng)絡(luò)中的應(yīng)用日益復(fù)雜。某單位信息安全部門保障著各種日常工作的正常運行。

目前為了維護網(wǎng)絡(luò)內(nèi)部的整體安全及提高系統(tǒng)的管理控制，需要對單位內(nèi)網(wǎng)辦公終端、服務(wù)器、信息系統(tǒng)、關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備等統(tǒng)一進行安全防護，加強對非法外聯(lián)、終端入侵、病毒傳播、數(shù)據(jù)失竊等極端情況的風(fēng)險抑制措施。同時對于內(nèi)部業(yè)務(wù)系統(tǒng)的服務(wù)器進行定向加固，避免由于外部入侵所導(dǎo)致的主機失陷

第 5 頁 內(nèi)網(wǎng)安全整體解決方案 等安全事件的發(fā)生

如上圖所示，本項目的設(shè)計原則具體包括：

? 整體設(shè)計，重點突出原則 ? 縱深防御原則

? 追求架構(gòu)先進、技術(shù)成熟，擴展性強原則 ? 統(tǒng)一規(guī)劃，分布實施原則 ? 持續(xù)安全原則 ? 可視、可管、可控原則

1.3 總體設(shè)計思想

如上圖所示，本方案依據(jù)國家信息安全相關(guān)政策和標(biāo)準(zhǔn)，堅持管理和技術(shù)并重的原則，將技術(shù)和管理措施有機的結(jié)合，建立信息系統(tǒng)綜合防護體系，通過“1341”的設(shè)計思想進行全局規(guī)劃，具體內(nèi)容：

第 6 頁 內(nèi)網(wǎng)安全整體解決方案

? 一個體系

以某單位內(nèi)網(wǎng)安全為核心、以安全防護體系為支撐，從安全風(fēng)險考慮，建立符合用戶內(nèi)網(wǎng)實際場景的安全基線，通過構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報接入，安全防護接入與虛擬主機防護接入等能力，構(gòu)建基于虛擬化云安全資源池+傳統(tǒng)硬件安全設(shè)備的下一代內(nèi)網(wǎng)安全防御體系。

? 三道防線

結(jié)合縱深防御的思想，從內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段三個層次，從用戶實際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護機制，實現(xiàn)內(nèi)網(wǎng)核心系統(tǒng)和內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)的風(fēng)險可控。

? 四個安全能力

采用主動防御安全體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實現(xiàn)“預(yù)測、防御、檢測、響應(yīng)”四種安全能力，實現(xiàn)業(yè)務(wù)系統(tǒng)的可管、可控、可視及可持續(xù)。

? 預(yù)測能力：通過運用大數(shù)據(jù)技術(shù)對內(nèi)部的安全數(shù)據(jù)和外部的威脅情報進行主動探索分析和評估具體包括行為建模與分析、安全基線與態(tài)勢分析、能夠使問題出現(xiàn)前提早發(fā)現(xiàn)問題，甚至遇見可能侵襲的威脅，隨之調(diào)整安全防護策略來應(yīng)對。

? 防御能力：采用加固和隔離系統(tǒng)降低攻擊面，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力，并通過轉(zhuǎn)移攻擊手段使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)，此外，通過事故預(yù)防和安全策略合規(guī)審計的方式通過統(tǒng)一的策略管理和策略的聯(lián)動，防止黑客未授權(quán)而進入系統(tǒng)，并判斷現(xiàn)有策略的合規(guī)性并進行相應(yīng)的優(yōu)化設(shè)置。

? 檢測能力：通過對業(yè)務(wù)、數(shù)據(jù)和基礎(chǔ)設(shè)施的全面檢測，結(jié)合現(xiàn)有的安全策略提出整改建議，與網(wǎng)絡(luò)運維系統(tǒng)聯(lián)動實現(xiàn)安全整改和策略變更后，并進行持續(xù)監(jiān)控，結(jié)合外部安全情況快速發(fā)現(xiàn)安全漏洞并進行響應(yīng)。

? 響應(yīng)能力：與網(wǎng)絡(luò)運維系統(tǒng)進行對接，實現(xiàn)安全聯(lián)動，出現(xiàn)安全漏洞時在短時間內(nèi)，進行安全策略的快速調(diào)整，將被感染的系統(tǒng)和賬戶進行隔離，通過回顧分析事件完整過程，利用持續(xù)監(jiān)控所獲取的數(shù)據(jù)，解決相應(yīng)安全問題。

第 7 頁 內(nèi)網(wǎng)安全整體解決方案

第二章 技術(shù)體系詳細設(shè)計

2.1 技術(shù)體系總體防護框架

在進行內(nèi)網(wǎng)安全防護技術(shù)體系詳細設(shè)計時，充分考慮某單位內(nèi)部網(wǎng)絡(luò)面臨的威脅風(fēng)險和安全需求，并遵循《信息系統(tǒng)等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級保護基本要求：第1部分-安全通用要求（征求意見稿）》，通過對內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段等各種防護措施的詳細設(shè)計，形成“信息安全技術(shù)體系三重防護”的信息安全技術(shù)防護體，達到《信息系統(tǒng)等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級保護基本要求：第1部分-安全通用要求（征求意見稿）》切實做到內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險可控。

三重防護主要包括：內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控措施。

2.2 內(nèi)網(wǎng)安全計算環(huán)境詳細設(shè)計

2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計

第 8 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在內(nèi)網(wǎng)安全計算環(huán)境方面結(jié)合互聯(lián)網(wǎng)與辦公網(wǎng)的攻擊，圍繞網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)層實現(xiàn)安全防護，具體內(nèi)容包括：

? 網(wǎng)絡(luò)層安全防護設(shè)計

1、通過FW或vFW中的FW、AV、IPS模塊實現(xiàn)網(wǎng)絡(luò)層訪問控制、惡意代碼防護、入侵防御。

2、在各個內(nèi)網(wǎng)安全域邊界處，部署防火墻實現(xiàn)域邊界的網(wǎng)絡(luò)層訪問控制。

3、在內(nèi)網(wǎng)邊界處部署流量監(jiān)控設(shè)備，實現(xiàn)全景網(wǎng)絡(luò)流量監(jiān)控與審計，并對數(shù)據(jù)包進行解析，通過會話時間、協(xié)議類型等判斷業(yè)務(wù)性能和交互響應(yīng)時間。

? 主機層安全防護與設(shè)計

1、在各個區(qū)域的核心交換處部署安全沙箱，實現(xiàn)主機入侵行為和未知威脅分析與預(yù)警。

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對主機操作系統(tǒng)類型、版本、進程、賬號權(quán)限、反彈shell、漏洞威脅等進行全面的監(jiān)控與預(yù)警。? 應(yīng)用層安全防護與設(shè)計

1、在通過外部服務(wù)域部署WAF設(shè)備實現(xiàn)應(yīng)用層基于入侵特征識別的安全防護

第 9 頁 內(nèi)網(wǎng)安全整體解決方案

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對應(yīng)用支撐系統(tǒng)的類型、版本、框架路徑、訪問權(quán)限、漏洞威脅等進行全面的監(jiān)控與預(yù)警。? 數(shù)據(jù)層安全防護與設(shè)計

1、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫防護墻實現(xiàn)敏感信息的訪問控制

2、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫審計設(shè)備實現(xiàn)數(shù)據(jù)庫的操作審計。

3、在互聯(lián)網(wǎng)接入域部署VPN設(shè)備，實現(xiàn)對敏感數(shù)據(jù)傳輸通道的加密

2.2.1.1 內(nèi)網(wǎng)邊界安全

2.2.1.1.1 內(nèi)網(wǎng)邊界隔離

嚴(yán)格控制進出內(nèi)網(wǎng)信息系統(tǒng)的訪問，明確訪問的來源、訪問的對象及訪問的類型，確保合法訪問的正常進行，杜絕非法及越權(quán)訪問；同時有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問，確保該區(qū)域信息網(wǎng)絡(luò)正常訪問活動。2.2.1.1.1 內(nèi)網(wǎng)惡意代碼防范

病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入所面臨的重要威脅之一，面對越發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒有從引入威脅的最薄弱環(huán)節(jié)進行控制，即便采取一些手段加以簡單的控制，也仍然不能消除來自外界的繼續(xù)攻擊，短期消滅的危害仍會繼續(xù)存在。為了解決上述問題，對網(wǎng)絡(luò)安全實現(xiàn)全面控制，一個有效的控制手段應(yīng)勢而生：從內(nèi)網(wǎng)邊界入手，切斷傳播途徑，實現(xiàn)網(wǎng)關(guān)級的過濾控制。

建議在該區(qū)域部署防病毒網(wǎng)關(guān)，對進出的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進行病毒、惡意代碼掃描和和過濾處理，并提供防病毒引擎和病毒庫的自動在線升級，徹底阻斷病毒、蠕蟲及各種惡意代碼向數(shù)據(jù)中心或辦公區(qū)域網(wǎng)絡(luò)傳播 2.2.1.1.2 內(nèi)網(wǎng)系統(tǒng)攻擊防護

網(wǎng)絡(luò)入侵防護系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，IPS系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。

第 10 頁 內(nèi)網(wǎng)安全整體解決方案

IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。IPS以在線串聯(lián)方式部署實現(xiàn)對檢測到的各種攻擊行為進行直接阻斷并生成日志報告和報警信息。2.2.1.1.3 內(nèi)網(wǎng)信息隔離防護

建議在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)的邊界部署安全隔離網(wǎng)閘，為了保證數(shù)據(jù)安全，高密級網(wǎng)與低密級網(wǎng)絡(luò)之間，要求數(shù)據(jù)只能從低密級網(wǎng)絡(luò)流向高密級網(wǎng)絡(luò)。為解決高密級網(wǎng)絡(luò)通過連接環(huán)境泄密問題設(shè)計的安全隔離與信息單項導(dǎo)入系統(tǒng)（即安全隔離網(wǎng)閘）。該設(shè)備由于其物理單向無反饋環(huán)境、基于數(shù)據(jù)的單項導(dǎo)入，使黑客無法通過該套系統(tǒng)進行入侵和探測，同時行為得不到任何反饋信息，在為用戶提供絕對單向無反饋傳輸功能的同時，為用戶提供高級別的網(wǎng)絡(luò)攻擊安全防護解決方案。

2.2.1.1 內(nèi)網(wǎng)主機安全

2.2.1.1.1 內(nèi)網(wǎng)用戶行為管控

上網(wǎng)行為管理系統(tǒng)是為滿足單位內(nèi)部網(wǎng)絡(luò)行為管理和內(nèi)容審計的專業(yè)產(chǎn)品。系統(tǒng)不僅具有防止非法信息傳播、敏感信息泄露，實時監(jiān)控、日志追溯，網(wǎng)絡(luò)資源管理，還具有強大的用戶管理、報表統(tǒng)計分析功能。

上網(wǎng)行為管理具有高效實時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強大的內(nèi)容審計分析能力、精細的行為管理能力，是一款高性能、智能靈活、易于管理和擴展的上網(wǎng)行為管理產(chǎn)品。2.2.1.1.2 內(nèi)網(wǎng)非授權(quán)用戶準(zhǔn)入

在信息化越來越簡便的背景下，任何接入網(wǎng)絡(luò)的設(shè)備和人員都有可能對內(nèi)網(wǎng)信息資源構(gòu)成威脅，因此針對辦公計算機以及分支機構(gòu)接入的系統(tǒng)安全以及訪問區(qū)域管理顯的尤為重要，如果出現(xiàn)安全事故或越權(quán)訪問的情況，將會嚴(yán)重影響整體業(yè)務(wù)系統(tǒng)運行安全。

由于信息化程度較高，終端點數(shù)較多，對IT軟硬件的資產(chǎn)管理及故障維護如果單純靠人工施行難度和工作量都比較大且效率比較低，同時如果員工存在對管

第 11 頁 內(nèi)網(wǎng)安全整體解決方案

理制度執(zhí)行不到位的情況出現(xiàn)，就迫切需要通過技術(shù)手段規(guī)范員工的入網(wǎng)行為。

為加強網(wǎng)絡(luò)信息安全管理以及內(nèi)部PC的安全管理，提高內(nèi)網(wǎng)辦公效率，應(yīng)建立一套終端準(zhǔn)入管理系統(tǒng)，重點解決以下問題：

入網(wǎng)終端注冊和認(rèn)證化

采用的是雙實名制認(rèn)證方式，其包含對終端機器的認(rèn)證和使用人員的認(rèn)證，終端注冊的目的是為了方便管理員了解入網(wǎng)機器是否為合法的終端，認(rèn)證的目的是使用終端的人身份的合法性，做到人機一一對應(yīng)，一旦出現(xiàn)安全事故，也便于迅速定位終端和人。

違規(guī)終端不準(zhǔn)入網(wǎng) 違規(guī)終端定義

外來終端：外部訪客使用的終端，或者為非內(nèi)部人員使用的、不屬于內(nèi)部辦公用終端（員工私人終端等）；

違規(guī)終端：未能通過身份合法性、安全設(shè)置合規(guī)性檢查的終端。

入網(wǎng)終端安全修復(fù)合規(guī)化

終端入網(wǎng)時若不符合單位要求的安全規(guī)范，則會被暫時隔離，無法訪問業(yè)務(wù)網(wǎng)絡(luò)，待將問題修復(fù)符合單位安全規(guī)范后才能正常訪問單位網(wǎng)絡(luò)。

內(nèi)網(wǎng)基于用戶的訪問控制

內(nèi)網(wǎng)基于用戶的訪問控制：可以通過用戶組（角色）的方式定義不同的訪問權(quán)限，如內(nèi)部員工能夠訪問全網(wǎng)資源，來賓訪客只允許訪問有限的網(wǎng)絡(luò)資源。2.2.1.1.3 內(nèi)網(wǎng)終端安全防護

建議部署終端安全管理系統(tǒng)，為數(shù)據(jù)中心運維人員提供終端安全準(zhǔn)入，防止運維人員終端自身的安全問題影響數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)。在具備補丁管理、802.1x準(zhǔn)入控制、存儲介質(zhì)（U盤等）管理、非法外聯(lián)管理、終端安全性檢查、終端狀態(tài)監(jiān)控、終端行為監(jiān)控、安全報警等功能基礎(chǔ)上，增加風(fēng)險管理和主動防范機制，具備完善的違規(guī)監(jiān)測和風(fēng)險分析，實現(xiàn)有效防護和控制，降低風(fēng)險，并指導(dǎo)持續(xù)改進和完善防護策略，并具備終端敏感信息檢查功能，支持終端流量監(jiān)控，非常

第 12 頁 內(nèi)網(wǎng)安全整體解決方案

適合于對數(shù)據(jù)中心運維終端的安全管理。

終端安全管理系統(tǒng)，提供針對Windows桌面終端的軟硬件資產(chǎn)管理、終端行為監(jiān)管、終端安全防護、非法接入控制、非法外聯(lián)監(jiān)控、補丁管理等功能，采用統(tǒng)一策略下發(fā)并強制策略執(zhí)行的機制，實現(xiàn)對網(wǎng)絡(luò)內(nèi)部終端系統(tǒng)的管理和維護，從而有效地保護用戶計算機系統(tǒng)安全和信息數(shù)據(jù)安全。2.2.1.1.4 內(nèi)網(wǎng)服務(wù)器安全加固

建議在內(nèi)網(wǎng)所有服務(wù)器部署安全加固組件，針對內(nèi)外網(wǎng)IP、對內(nèi)對外端口、進程、域名、賬號、主機信息、web容器、第三方組件、數(shù)據(jù)庫、安全與業(yè)務(wù)分組信息進行服務(wù)器信息匯總。主動對服務(wù)器進行系統(tǒng)漏洞補丁識別、管理及修復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)、識別、管理及修復(fù)、弱口令漏洞識別及修復(fù)建議、高危賬號識別及管理、應(yīng)用配置缺陷風(fēng)險識別及管理。7*24小時對服務(wù)器進行登錄監(jiān)控、完整性監(jiān)控、進程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計。通過對服務(wù)器整體威脅分析、病毒檢測與查殺、反彈shell識別處理、異常賬號識別處理、端口掃描檢測、日志刪除、登錄/進程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對服務(wù)器立體化的多維度安全加固。2.2.1.1.5 內(nèi)網(wǎng)服務(wù)器安全運維

由于設(shè)備眾多、系統(tǒng)操作人員復(fù)雜等因素，導(dǎo)致越權(quán)訪問、誤操作、資源濫用、疏忽泄密等時有發(fā)生。黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或單位內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。終端的賬號和口令的安全性，也是安全管理中難以解決的問題。如何提高系統(tǒng)運維管理水平，滿足相關(guān)法規(guī)的要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運維成本，提供控制和審計依據(jù)，越來越成為內(nèi)部網(wǎng)絡(luò)控制中的核心安全問題。

安全運維審計是一種符合4A(認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計Audit)要求的統(tǒng)一安全管理平臺，在網(wǎng)絡(luò)訪問控制系統(tǒng)（如：防火墻、帶有訪問控制功能的交換機）的配合下，成為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，攔截對目標(biāo)設(shè)備的非法訪問、操作行為。

運維審計設(shè)備能夠極大的保護客戶內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得客戶的網(wǎng)絡(luò)管理合理化、專業(yè)化。

第 13 頁 內(nèi)網(wǎng)安全整體解決方案

建議在核心交換機上以旁路方式部署一臺運維審計系統(tǒng)。運維審計（堡壘主機）系統(tǒng)，為運維人員提供統(tǒng)一的運維操作審計。通過部署運維審計設(shè)備能夠?qū)崿F(xiàn)對所有的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備，應(yīng)用系統(tǒng)的操作行為全面的記錄，包括登錄IP、登錄用戶、登錄時間、操作命令全方位細粒度的審計。同時支持過程及行為回放功能，從而使安全問題得到追溯，提供有據(jù)可查的功能和相關(guān)能力。

2.2.1.1 內(nèi)網(wǎng)應(yīng)用安全

2.2.1.1.1 內(nèi)網(wǎng)應(yīng)用層攻擊防護

建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應(yīng)用防火墻（WAF）設(shè)備，對Web應(yīng)用服務(wù)器進行保護，即對網(wǎng)站的訪問進行7X24小時實時保護。通過Web應(yīng)用防火墻的部署，可以解決WEB應(yīng)用服務(wù)器所面臨的各類網(wǎng)站安全問題，如：SQL注入攻擊、跨站攻擊（XSS攻擊，俗稱釣魚攻擊）、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁篡改、被掛木馬等嚴(yán)重影響形象的安全事件發(fā)生。

WAF作為常見應(yīng)用層防護設(shè)備，在防護來自于外網(wǎng)的黑客攻擊外，同樣可以防護來自內(nèi)網(wǎng)的跳板型滲透攻擊，當(dāng)內(nèi)部終端或服務(wù)器被黑客攻陷后，為防止通過跳板機對內(nèi)網(wǎng)其他應(yīng)用系統(tǒng)進行內(nèi)網(wǎng)滲透，通過WAF防攻擊模塊，可以實時阻斷任何應(yīng)用層攻擊行為，保護內(nèi)部系統(tǒng)正常運行

2.2.1.2 內(nèi)網(wǎng)數(shù)據(jù)安全

2.2.1.2.1 內(nèi)網(wǎng)數(shù)據(jù)防泄密

建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng)，保持某單位現(xiàn)有的工作模式和員工操作習(xí)慣不變，不改變?nèi)魏挝募袷?、不封閉網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不封閉計算機各種豐富的外設(shè)端口、不改變復(fù)雜的應(yīng)用服務(wù)器集群環(huán)境，實現(xiàn)對企業(yè)內(nèi)部數(shù)據(jù)強制透明加解密，員工感覺不到數(shù)據(jù)存在，保證辦公效率，實現(xiàn)數(shù)據(jù)防泄密管理，形成“對外受阻，對內(nèi)無礙”的管理效果。

員工未經(jīng)授權(quán)，不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境，都無法正常查看。如：加密文件通過MSN、QQ、電子郵件、移動存儲設(shè)備等方式傳輸?shù)焦臼跈?quán)范圍以外（公司外部或公司內(nèi)沒有安裝綠盾終端的電腦），那么將無法正常打開

第 14 頁 內(nèi)網(wǎng)安全整體解決方案

使用，顯示亂碼，并且文件始終保持加密狀態(tài)。只有經(jīng)過公司審批后，用戶才可在授予的權(quán)限范圍內(nèi)，訪問該文件。

1)在不改變員工任何操作習(xí)慣、不改變硬件環(huán)境和網(wǎng)絡(luò)環(huán)境、不降低辦公效率，員工感覺不到數(shù)據(jù)被加密的存在，實現(xiàn)了單位數(shù)據(jù)防泄密管理；

2)員工不管通過QQ、mail、U 盤等各種方式，將單位內(nèi)部重要文件發(fā)送出去，數(shù)據(jù)均是加密狀態(tài)；

3)存儲著單位重要數(shù)據(jù)的U 盤、光盤不慎丟失后，沒有在公司的授權(quán)環(huán)境下打開均是加密狀態(tài)；

4)員工出差辦公不慎將筆記本丟失，無單位授予的合法口令，其他人無法閱讀筆記本內(nèi)任何數(shù)據(jù)； 2.2.1.2.2 內(nèi)網(wǎng)數(shù)據(jù)庫安全審計

建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫審計系統(tǒng)，對多種類數(shù)據(jù)庫的操作行為進行采集記錄，探測器通過旁路接入，在相應(yīng)的交換機上配置端口鏡像，對內(nèi)部人員訪問數(shù)據(jù)庫的數(shù)據(jù)流進行鏡像采集并保存信息日志。數(shù)據(jù)庫審計系統(tǒng)能夠詳細記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、源MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計系統(tǒng)支持記錄的行為包括：

數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）

事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等）

用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行 為，并對違規(guī)操作行為產(chǎn)生報警事件。

第 15 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2 虛擬化內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計

2.2.2.1 劃分虛擬安全域

圖中提供安全組、連接策略兩種方式。安全組類似白名單方式，而連接策略

第 16 頁 內(nèi)網(wǎng)安全整體解決方案

類似黑名單方式。通過添加具體的訪問控制規(guī)則，支持任意虛擬機之間的訪問控制。靈活的配置方式可以滿足用戶所有的訪問控制類需求。

在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過服務(wù)鏈技術(shù)，實現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺的接口，并進一步抽象化、池化，實現(xiàn)安全設(shè)備的自動化部署。同時，在部署時通過安全管理策略的各類租戶可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達成分權(quán)分域管理的目標(biāo)。

在安全控制平臺部署期的過渡階段，可以采用手工配置流控策略的模式，實現(xiàn)無縫過渡。在這種部署模式下，安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備，使之執(zhí)行相應(yīng)的路由或交換指令。

以虛擬防火墻防護為例，可以由管理員通過控制器下發(fā)計算節(jié)點到安全節(jié)點中各個虛擬網(wǎng)橋的流表，依次將流量牽引到虛擬防火墻設(shè)備即可。

這一切的配置都是通過統(tǒng)一管理界面實現(xiàn)引流、策略下發(fā)的自動化，除了這些自動化操作手段，統(tǒng)一管理平臺還提供可視化展示功能，主要功能有，支持虛擬機資產(chǎn)發(fā)現(xiàn)、支持對流量、應(yīng)用、威脅的統(tǒng)計，支持對接入服務(wù)的虛擬機進行全方位的網(wǎng)絡(luò)監(jiān)控支持會話日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動態(tài)拓撲圖的方式展示。

? 南北向流量訪問控制

第 17 頁 內(nèi)網(wǎng)安全整體解決方案

在云平臺內(nèi)部邊界部署2套邊界防火墻用于后臺服務(wù)域與其他域的邊界訪問控制（即南北向流量的訪問控制）。防火墻設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，決定該數(shù)據(jù)包是否可以進出云計算平臺，并確定該數(shù)據(jù)包可以訪問的客體資源。

? 東西向流量訪問控制

虛擬化場景中的關(guān)鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項功能，vDFW采用統(tǒng)一安全引擎，將應(yīng)用識別、內(nèi)容檢測、URL過濾、入侵防御、病毒查殺等處理引擎合并歸一，實現(xiàn)對數(shù)據(jù)中心內(nèi)部東西向流量的報文進行高效的一次性處理。不僅如此，vDFW支持多虛一的集群模式，突破性能瓶頸的限制，以達到與數(shù)據(jù)中心防護需求最佳匹配的效果。當(dāng)數(shù)據(jù)中心檢測平臺發(fā)現(xiàn)特定虛機發(fā)起內(nèi)部威脅攻擊流量后，管理員只需設(shè)置相關(guān)策略，由安全控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個數(shù)據(jù)中心內(nèi)部相關(guān)對應(yīng)虛擬路由器組件上，將可疑流量全部牽引至vDFW進行檢測防護與內(nèi)容過濾。針對數(shù)據(jù)中心內(nèi)部各類安全域、各個部門、采用的按需配置、差異化、自適應(yīng)的安全策略。

2.2.2.2 內(nèi)網(wǎng)安全資源池

與數(shù)據(jù)中心中的計算、存儲和網(wǎng)絡(luò)資源相似，各種形態(tài)、各種類型的安全產(chǎn)品都能通過控制和數(shù)據(jù)平面的池化技術(shù)，形成一個個具有某種檢測或防護能力的安全資源池。當(dāng)安全設(shè)備以硬件存在的時候（如硬件虛擬化和硬件原生引擎系統(tǒng)），可直接連接硬件 SDN 網(wǎng)絡(luò)設(shè)備接入資源池；當(dāng)安全設(shè)備以虛擬機形態(tài)存在的時候（如虛擬機形態(tài)和硬件內(nèi)置虛擬機形態(tài)），可部署在通用架構(gòu)（如 x86）的服務(wù)器中，連接到虛擬交換機上，由端點的 agent 統(tǒng)一做生命周期管理和網(wǎng)絡(luò)資源管理。控制平臺通過安全應(yīng)用的策略體現(xiàn)出處置的智能度，通過資源池體現(xiàn)出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強大的活力，極大地提高了系統(tǒng)的整體防護效率。

通過安全資源管理與調(diào)度平臺，實現(xiàn)與安全資源的對接，包括vFW、vIPS、vWAF等，各個安全子域的邊界防護，通過安全資源管理與調(diào)度平臺，通過策略路由的方式，實現(xiàn)服務(wù)鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。

第 18 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在安全子域中將防火墻、WAF、LBS、AV、主機加固等均進行虛擬化資源池配置，通過安全管理子域中的安全控制器根據(jù)各子域的實際安全需求進行資源調(diào)用。針對各個子域內(nèi)的邊界訪問控制，由安全資源與管理平臺調(diào)用防火墻池化資源，分別針對各子域的訪問請求設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，決定該數(shù)據(jù)包是否可以進出本區(qū)域，并確定該數(shù)據(jù)包可以訪問的客體資源。

由此可見，安全資源池對外體現(xiàn)的是多種安全能力的組合、疊加和伸縮，可應(yīng)用于云計算環(huán)境，也可應(yīng)用于傳統(tǒng)環(huán)境，以抵御日益頻繁的內(nèi)外部安全威脅。當(dāng)然，在云環(huán)境中，安全資源池不僅可以解決云安全的落地，而且能發(fā)揮虛擬化和 SDN 等先進技術(shù)的優(yōu)勢，實現(xiàn)最大限度的軟件定義安全。

2.2.2.3 安全域訪問控制

為提升虛擬主機及網(wǎng)絡(luò)的安全性，針對虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問控制策略，對于縱向流量、橫向流量進行基于IP與端口的訪問路徑限制。

? 對于虛擬網(wǎng)絡(luò)邊界進行區(qū)域請求控制 ? VPN接入邊界訪問控制 ? Vlan訪問控制

2.2.2.4 iaas系統(tǒng)虛擬化安全規(guī)劃

虛擬機的鏡像文件本質(zhì)上來說就是虛擬磁盤，虛擬機的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中，對鏡像文件的加密手段是否有效，將直接關(guān)系

第 19 頁 內(nèi)網(wǎng)安全整體解決方案

虛擬主機的安全性。建議部署鏡像文件加密系統(tǒng)，對iaas區(qū)域下的數(shù)據(jù)盤鏡像文件進行加密，采用任何國家認(rèn)可的第三方加密算法進行加密。同時解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊，也無法被破解。加密行為包括：授權(quán)、加密、解密功能。

2.2.2.5 虛擬資產(chǎn)密碼管理

為增強虛擬資產(chǎn)的密碼防護功能，建議通過密鑰管理與資產(chǎn)管理分離的技術(shù)方式，實現(xiàn)管理員僅維護信息資產(chǎn)，用戶自行管理密鑰的工作模式。通過密碼機集群與虛擬化技術(shù)的結(jié)合擴充密碼運算能力，將密碼運算能力進行細粒度劃分，并通過集中的密鑰管理及配套的安全策略保護用戶密鑰整生命周期的安全

2.2.2.6 虛擬主機安全防護設(shè)計

虛擬主機安全防護設(shè)計主要實現(xiàn)如下目標(biāo)： ? 資產(chǎn)清點

? 自動化的進行細粒度的風(fēng)險分析 ? 安全合規(guī)性基線檢查

? 對后門、Webshell、文件完整性和系統(tǒng)權(quán)限變更等進行監(jiān)測行為分析

第 20 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，通過收集主機上的操作系統(tǒng)、中間件、數(shù)據(jù)庫等配置數(shù)據(jù)，準(zhǔn)確分析應(yīng)用系統(tǒng)在不同層面的配置信息，結(jié)合第三方病毒庫進行漏洞和風(fēng)險分析，并及時給出整改加固建議。

2.2.2.7 內(nèi)網(wǎng)虛擬化安全運維平臺

2.2.2.7.1 集中賬號管理

在云堡壘機管理系統(tǒng)中建立基于唯一身份標(biāo)識的全局用戶帳號，統(tǒng)一維護云平臺與服務(wù)器管理帳號，實現(xiàn)與各云平臺、服務(wù)器等無縫連接。

第 21 頁 內(nèi)網(wǎng)安全整體解決方案 2.2.2.7.2 統(tǒng)一登錄與管控

用戶通過云堡壘機管理系統(tǒng)單點登錄到相應(yīng)的虛擬機，且所有操作將通過云堡壘機系統(tǒng)進行統(tǒng)一管控，只需要使用云堡壘機提供的訪問IP、用戶名、密碼登錄后，用戶即可登錄相應(yīng)的云平臺與服務(wù)器，而不需要反復(fù)填寫對應(yīng)云平臺與服務(wù)器的地址、用戶名、密碼。

用戶可通過vsphere client登錄vmware vsphere云平臺進行管理，輸入云堡壘機為該云平臺提供的訪問IP與用戶在云堡壘機中的用戶名和密碼即可完成登錄。

第 22 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2.7.3 記錄與審計

通過云堡壘機管理系統(tǒng)的訪問歷史記錄回放功能，可隨時查看每個用戶對所屬服務(wù)器、虛擬機的訪問情況。

windows歷史訪問回放

第 23 頁 內(nèi)網(wǎng)安全整體解決方案

linux歷史訪問回放

在回放過程中，用戶可以試用云堡壘機的“智能搜索”功能大大加快回放速度，快速定位到用戶可疑操作位置。

Windows回放智能搜索

回放智能搜索

第 24 頁 內(nèi)網(wǎng)安全整體解決方案

云堡壘機系統(tǒng)還提供會話管理功能?？梢酝ㄟ^云堡壘機系統(tǒng)快速查看用戶會話，實時監(jiān)控，以及中斷會話。2.2.2.7.1 權(quán)限控制與動態(tài)授權(quán)

云堡壘機系統(tǒng)統(tǒng)一分配系統(tǒng)角色對應(yīng)的云平臺與服務(wù)器權(quán)限，當(dāng)用戶在真實使用場景下的角色權(quán)限與云堡壘機系統(tǒng)中預(yù)置的角色權(quán)限，不一致時，可通過云堡壘機的動態(tài)授權(quán)功能，對角色的云平臺與服務(wù)器權(quán)限進行方便靈活變更。

2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析

2.3.1 內(nèi)網(wǎng)安全風(fēng)險態(tài)勢感知

建議部署態(tài)勢感知系統(tǒng)，檢測已知位置的終端惡意軟件的遠控通信行為，定位失陷主機，根據(jù)態(tài)勢感知設(shè)備的告警信息，采集、取證、判定、處置內(nèi)網(wǎng)終端主機上的惡意代碼，針對未知惡意文件攻擊，將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序，及植入攻擊行為。檢測各類植入攻擊：郵件投遞，掛馬網(wǎng)站，文件下載，準(zhǔn)確識別0day、Nday漏洞入侵的惡意代碼

2.3.2 內(nèi)網(wǎng)全景流量分析

建議部署內(nèi)部網(wǎng)絡(luò)流量分析系統(tǒng)，數(shù)據(jù)的傳遞介質(zhì)是網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)流量作

第 25 頁 內(nèi)網(wǎng)安全整體解決方案

為網(wǎng)絡(luò)協(xié)議中最有價值的安全分析維度，其本身就承載著重要的風(fēng)險識別作用，針對內(nèi)部網(wǎng)絡(luò)的任何攻擊行為都將在內(nèi)部異常流量中呈現(xiàn)本質(zhì)化特征，因此基于流量的內(nèi)網(wǎng)安全數(shù)據(jù)分析是最能客觀反映當(dāng)前內(nèi)網(wǎng)安全等級的參考指標(biāo)。

2.3.2.1 基線建模異常流量分析

流量異常檢測的核心問題是實現(xiàn)流量正常行為的描述，并且能夠?qū)崟r、快速地對異常進行處理。系統(tǒng)采用了一種基于統(tǒng)計的流量異常檢測方法，首先確定正常的網(wǎng)絡(luò)流量基線，然后根據(jù)此基線利用正態(tài)分布假設(shè)檢驗實現(xiàn)對當(dāng)前流量的異常檢測。比如流量的大小、包長的信息、協(xié)議的信息、端口流量的信息、TCP標(biāo)志位的信息等，這些基本特征比較詳細地描述了網(wǎng)絡(luò)流量的運行狀態(tài)。

總體設(shè)計 網(wǎng)絡(luò)流量異常檢測模型的總體設(shè)計思路是：從網(wǎng)絡(luò)的總出口采集數(shù)據(jù)，對每個數(shù)據(jù)包進行分類，將它的統(tǒng)計值傳到相應(yīng)的存儲空間，然后對這些數(shù)據(jù)包進行流量分析

2.3.2.2 流量分析引擎

對采集到的數(shù)據(jù)進行分析處理。通過建立正常網(wǎng)絡(luò)流量模型，按照一定的規(guī)則進行流量異常檢測。同時根據(jù)滑動窗口的更新策略，能夠自動學(xué)習(xí)最近的流量情況，從而調(diào)整檢測的準(zhǔn)確度。

建立正常網(wǎng)絡(luò)流量模型 要進行流量異常檢測，必須首先建立正常的網(wǎng)絡(luò)流量模型，然后對比正常模型能夠識別異常。本文使用基于統(tǒng)計的方法來實現(xiàn)異常檢測，利用網(wǎng)絡(luò)流量的歷史行為檢測當(dāng)前的異?；顒雍途W(wǎng)絡(luò)性能的下降。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項指標(biāo)都體現(xiàn)出來，使其能夠準(zhǔn)確反映網(wǎng)絡(luò)活動。

在系統(tǒng)運行時，統(tǒng)計當(dāng)前流量行為可測度集，并同正常的網(wǎng)絡(luò)基線相比較，如果當(dāng)前流量行為與正常網(wǎng)絡(luò)基線出現(xiàn)明顯的偏離時，即認(rèn)為出現(xiàn)了異常行為，并可進一步檢測分析；如果兩種行為沒有明顯偏差，則流量正常，更新正常網(wǎng)絡(luò)流量模型。

通過該界面實現(xiàn)查看信息、設(shè)定檢測規(guī)則、設(shè)定閾值、設(shè)定報警方式以及處理報警等功能。系統(tǒng)應(yīng)該對于檢測出的異常主機進行標(biāo)記，標(biāo)記異常的類型、統(tǒng)

第 26 頁 內(nèi)網(wǎng)安全整體解決方案

計量、閾值指標(biāo)、消息以及異常發(fā)生的時間等情況，給系統(tǒng)管理員報告一個異常信息。

2.3.2.3 異常的互聯(lián)關(guān)系分析

對于不符合白名單和灰名單的互連關(guān)系和流量，系統(tǒng)會自動生成未知數(shù)據(jù)流，并對未知數(shù)據(jù)流進行識別、匹配，從中提取可供判斷的信息，如：單點對多點的快速連接，系統(tǒng)會識別為網(wǎng)絡(luò)掃描，非正常時段的數(shù)據(jù)連接，系統(tǒng)會視為異常行為，多點對單點的大流量連接，系統(tǒng)會識別為非法應(yīng)用等。用戶對未知數(shù)據(jù)流識別、確認(rèn)、處理后，可將未知數(shù)據(jù)流自動生產(chǎn)報警或提取到白名單。

2.3.3 內(nèi)網(wǎng)多源威脅情報分析

建議在內(nèi)網(wǎng)部署多源威脅情報分析，通過對不同源頭威脅情報的統(tǒng)一匯總、分析、展示等功能，極大提高情報告警準(zhǔn)確率，幫助評測內(nèi)部信息系統(tǒng)遭受的風(fēng)險以及安全隱患從而讓安全團隊進行有安全數(shù)據(jù)佐證的重點內(nèi)部領(lǐng)域防護措施。內(nèi)部安全團隊多人對單條威脅情報存在疑慮時，可進行協(xié)同式研判，提升單挑威脅情報與情報源的命中率統(tǒng)計。內(nèi)部安全管理員可以定期生成威脅情報月報，便于將一段時間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫漏洞進行選擇性摘要，使安全加固工作處于主動、積極、有效的工作場景之中。

2.4 內(nèi)網(wǎng)安全管控措施

2.4.1 內(nèi)網(wǎng)安全風(fēng)險主動識別

2.4.1.1 基于漏洞檢測的主動防御

云安全防護虛擬資源池內(nèi)為用戶提供了系統(tǒng)層漏掃、web層漏掃、數(shù)據(jù)庫漏掃三種檢測工具，可以為用戶提供定期的安全風(fēng)險檢測，基于已知風(fēng)險或未知風(fēng)險進行安全策略調(diào)整、漏洞修復(fù)、補丁更新等主動防御行為。

第 27 頁 內(nèi)網(wǎng)安全整體解決方案

2.4.1.1.1 漏洞檢測范圍

操作系統(tǒng)：Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD；

數(shù)據(jù)庫：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird；

網(wǎng)絡(luò)設(shè)備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。

應(yīng)用系統(tǒng)：各種Web服務(wù)器應(yīng)用系統(tǒng)（IIS、Apache Tomcat、IBM lotus……）、各種DNS服務(wù)器應(yīng)用系統(tǒng)、各種FTP/TFTP服務(wù)器應(yīng)用系統(tǒng)、虛擬化系統(tǒng)（Vmware、Virtual Box、KVM、OpenStack等等）、郵件服務(wù)器應(yīng)用系統(tǒng)（MS Exchange、IMAP、Ipswitch Imail、Postfix……）2.4.1.1.2 識別漏洞類型 ? 系統(tǒng)漏洞類型

Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁 內(nèi)網(wǎng)安全整體解決方案

FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項漏洞（含RPC、NFS、主機后門、NIS、SNMP、守護進程、PROXY、強力攻擊……）? web漏洞類型

微軟IIS漏洞檢測、Apache漏洞檢測、IBM WebSphere漏洞檢測、Apache Tomcat漏洞檢測、SSL模塊漏洞檢測、Nginx漏洞檢測、IBM Lotus漏洞檢測、Resin漏洞檢測、Weblogic漏洞檢測、Squid漏洞檢測、lighttpd漏洞檢測、Netscape Enterprise漏洞檢測、Sun iPlanet Web漏洞檢測、Oracle HTTP Server漏洞檢測、Zope漏洞檢測、HP System Management Homepage漏洞檢測、Cherokee漏洞檢測、RaidenHTTPD漏洞檢測、Zeus漏洞檢測、Abyss Web Server漏洞檢測、以及其他Web漏洞檢測等Web服務(wù)器的掃描，尤其對于IIS具有最多的漏洞檢測能力，IIS漏洞大于155種 ? 數(shù)據(jù)庫漏洞類型

MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等，可以掃描數(shù)據(jù)庫大于三百五十多種漏洞，包含了有關(guān)空口令、弱口令、用戶權(quán)限漏洞、用戶訪問認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞和與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫常被用做后門進行攻擊的漏洞，并提出相應(yīng)的修補建議 2.4.1.1.3 內(nèi)部主動防御

根據(jù)漏洞掃描結(jié)果，給予定制化安全加固方案，結(jié)合漏洞級別、漏洞類型、漏洞波及范圍、修復(fù)風(fēng)險、加固后復(fù)測等人工服務(wù)，配合用戶第一時間完成修復(fù)工作，我們將從信息安全專業(yè)技術(shù)層面為您說明每一條漏洞可能導(dǎo)致的安全事件可能性，從用戶安全運維、業(yè)務(wù)系統(tǒng)穩(wěn)定運行的角度出發(fā)，給出可落地的安全加固方案。

2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理

建議構(gòu)建統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)，建立統(tǒng)一身份庫，業(yè)務(wù)操作人員、系統(tǒng)運維人員、IT基礎(chǔ)架構(gòu)運維人員、業(yè)務(wù)應(yīng)用管理員、IT基礎(chǔ)架構(gòu)管理人員、第 29 頁 內(nèi)網(wǎng)安全整體解決方案

系統(tǒng)管理人員通過統(tǒng)一認(rèn)證入口，進行統(tǒng)一的身份認(rèn)證，并對不同人員設(shè)置不同的訪問權(quán)限，并實現(xiàn)所有用戶登錄及訪問行為分析和審計。

2.4.2.1 統(tǒng)一用戶身份認(rèn)證設(shè)計

建立的統(tǒng)一身份庫，包括運營身份庫和業(yè)務(wù)人員身份庫，使用戶在統(tǒng)一身份庫中，只有唯一身份標(biāo)識，用戶向統(tǒng)一認(rèn)證平臺提交的證明是其本人的憑據(jù)，根據(jù)系統(tǒng)級別不同，采用的認(rèn)證方式不同，每個應(yīng)用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問一個信息資產(chǎn)的權(quán)限，管理員可以在統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)中配置某個用戶在系統(tǒng)中對若干賬戶的訪問權(quán)限。實現(xiàn)各應(yīng)用系統(tǒng)不再處理身份認(rèn)證，而是通過統(tǒng)一的身份認(rèn)證入口進行認(rèn)證，通過后期的行為分析提供對異常行為的檢測及加強認(rèn)證或阻斷操作。用戶分類具體如下圖所示：

2.4.2.2 統(tǒng)一用戶權(quán)限管理設(shè)計

一、外部用戶

二、內(nèi)部用戶

1、運維人員的權(quán)限管理

第 30 頁 內(nèi)網(wǎng)安全整體解決方案

2、業(yè)務(wù)人員的權(quán)限管理

2.4.2.3 業(yè)務(wù)內(nèi)容身份鑒別與訪問控制設(shè)計

一、內(nèi)部訪問設(shè)計

內(nèi)部訪問設(shè)計主要面向內(nèi)部用戶，通過驗證后會加入到統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺身份庫，經(jīng)過認(rèn)證策略判定，錄入認(rèn)證策略庫，最后通過堡壘機實現(xiàn)內(nèi)部訪問。

二、外部訪問設(shè)計

身份合法驗證，通過驗證后會加入到外部用戶統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺身份庫，經(jīng)過認(rèn)證策略判定并錄入認(rèn)證策略庫，經(jīng)過多因素認(rèn)證資源池（包

第 31 頁 內(nèi)網(wǎng)安全整體解決方案

括指紋、二維碼、RSA令牌等）實現(xiàn)外部應(yīng)用的系統(tǒng)資源訪問。

2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺

建議部署安全漏洞統(tǒng)一管理平臺，按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄，快速感知不同資產(chǎn)層級的漏洞態(tài)勢，解決內(nèi)部漏洞無法與業(yè)務(wù)系統(tǒng)自動關(guān)聯(lián)分析的問題，為監(jiān)管方提供宏觀分析視圖。將不同來源、不同廠商、不同語言、不同類型的漏洞數(shù)據(jù)自動標(biāo)準(zhǔn)化成符合國家標(biāo)準(zhǔn)的全中文漏洞數(shù)據(jù)，并去重合。形成某單位自身的漏洞信息庫，賦予漏洞數(shù)據(jù)空間、時間、狀態(tài)和威脅屬性，形成每個信息系統(tǒng)的漏洞信息庫，并對其生命周期狀態(tài)進行跟蹤。順應(yīng)國家網(wǎng)絡(luò)安全和行業(yè)發(fā)展的需要，解決了漏洞檢測、漏洞驗證、漏洞處置和響應(yīng)等環(huán)節(jié)中存在的多種問題，實現(xiàn)漏洞管理流程化、自動化、平臺化及可視化。

第 32 頁 內(nèi)網(wǎng)安全整體解決方案

第三章 內(nèi)網(wǎng)安全防護設(shè)備清單

? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網(wǎng)關(guān) ? 上網(wǎng)行為管理 ? 隔離網(wǎng)閘 ? 流量分析系統(tǒng)

? 多源威脅情報分析系統(tǒng) ? 安全漏洞統(tǒng)一管理平臺 ? 堡壘機 ? 云堡壘機 ? 數(shù)據(jù)庫審計 ? 態(tài)勢感知平臺 ? 系統(tǒng)漏洞掃描器 ? Web漏洞掃描器 ? 數(shù)據(jù)庫漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機 ? 云數(shù)據(jù)庫審計 ? 統(tǒng)一身份證書

? 虛擬終端加固及防護軟件? 虛擬主機加密機 ? 數(shù)據(jù)防泄密 ? 網(wǎng)絡(luò)準(zhǔn)入設(shè)備 ? 服務(wù)器加固軟件

第 33 頁

第五篇：整體解決方案：物業(yè)管理小區(qū)難點 ,及解決方案

整體解決方案：物業(yè)管理小區(qū)難點及解決方案

2016年實體經(jīng)濟下行，各行各業(yè)的轉(zhuǎn)型之潮，沖擊著每個企業(yè)如覆薄冰，企業(yè)要生存必須轉(zhuǎn)型或者叫做更符合當(dāng)下生存狀態(tài)、時代、人需求更現(xiàn)實，科學(xué)一點的叫法產(chǎn)業(yè)升級（高科技發(fā)展的趨勢性）。

從電視媒體至互聯(lián)網(wǎng)媒體炒得火熱的房地產(chǎn)，都說要買房子需要找一個名氣大的、行業(yè)內(nèi)有聲望的物業(yè)是重中之中，那么，房產(chǎn)背后的產(chǎn)業(yè)物業(yè)是否還生存的好？有沒有轉(zhuǎn)型？是不是購房業(yè)主對物業(yè)的管理滿意？跟隨著筆者的視角看下房產(chǎn)地背后的部分產(chǎn)業(yè)狀態(tài)。

一、社區(qū)業(yè)主與物業(yè) 共痛之處 業(yè)主

1、物業(yè)日常人員員工工作做不到規(guī)范管理。

2、日常設(shè)施維護不能及時維修。

3、工作人員工作效率低。

4、投訴、停電、停水、報修反應(yīng)遲頓。

5、沒有溝通環(huán)節(jié)、責(zé)權(quán)無法定性。

6、配套設(shè)施不完善（綠化、健身器材、日?；顒訁^(qū)域等）。物業(yè)

1、日常工作無法可視化。

2、工作量大（人員少、責(zé)任范圍大）。

3、成本越來高，“收費價格”難以提升。

4、物業(yè)人員的流動性越來越大，管理成本越來越高。

5、行業(yè)之間的惡性競爭越來越激烈。

6、“增值收益”途徑越來越少，收來來源被迫透明。

7、點對點工作沒即時通信操作手機（電話成本太高）。

二、零壹“1號社區(qū)”針對物業(yè)整體解決方案

給物業(yè)創(chuàng)造的價值

1、減少成本（節(jié)省人力、節(jié)省物業(yè)通知公告成本、提高通知公告的“及時性”和“覆蓋性”）

2、提高業(yè)主滿意度（隨時隨地通過圖文結(jié)合向業(yè)主展示物業(yè)工作風(fēng)采）。

3、提高員工的工作效率（員工可實現(xiàn)移動化辦公及工作溝通。

4、幫助物業(yè)客服提供高效、精準(zhǔn)的“點對點”通知和“點對點”催費工具。

5、幫助小區(qū)減少硬件投入成本和維護成本，減少工程人員工作量。

6、實現(xiàn)小區(qū)物業(yè)工作人員的績效化、報表化管理。

7、幫助物業(yè)建立本小區(qū)的“自媒體”通道，方便物業(yè)與業(yè)主之間的溝通。

8、提高小區(qū)“車輛”和“人員”公共安全管理水平。

9、同一平臺、同一廠家實現(xiàn)小區(qū)公共安全硬件（門禁、車場、對講、梯控）維護售后，徹底解決維護難題。

10、提供線上物業(yè)費支付平臺，物業(yè)費用直接通過業(yè)主轉(zhuǎn)入對公帳戶，不需經(jīng)過第三方平臺停留。

物業(yè)客戶創(chuàng)造的價值

1、減少日常工作量

（1）來訪電話減少：停水、停電、投訴、報修等（2）上門來訪減少：投訴、報修、繳費等。

（3）減少物業(yè)人員（客服部、秩序部）與業(yè)主之間的“正面”沖突。（4）增加收費通道，實現(xiàn)點對點催費。

（5）辦公移動化，遇到緊急情況不受時間、空間限制工作。

2、提高工作效率

（1）減少發(fā)卡成本，設(shè)備維護簡單。（2）被占車位，隨時精準(zhǔn)查詢。（3）車輛出入實時查詢。（4）公告管理移動化發(fā)布。

（5）投訴、報修移動化實時回復(fù)管理。（6）實現(xiàn)一對一精準(zhǔn)溝通。

（7）減少投訴、報修溝通環(huán)節(jié)，責(zé)權(quán)分明，有據(jù)可查。

（8）同一個軟件后臺實現(xiàn)小區(qū)各大系統(tǒng)（門禁、車場、對講、梯控）服務(wù)，徹底解決客服電腦上安裝眾多不同硬件廠家軟件的煩惱。