方案在我们工作与学习过程中起着重要的作用,对于我们进一步开展工作与学习,有着非常积极的意义。那么一份科学的方案是什么样的呢?以下是小编整理的《整体安全解决方案》,欢迎阅读,希望大家能够喜欢。
第一篇:整体安全解决方案
内网安全整体解决方案
内网安全整体解决方案
二〇一八年五月
第 i 页 内网安全整体解决方案
目录
第一章 总体方案设计 ...................................................................................................................................... 3 1.1 依据政策标准 ............................................................................................................................................... 3 1.1.1 国内政策和标准 .................................................................................................................................. 3 1.1.2 国际标准及规范 .................................................................................................................................. 5 1.2 设计原则 ....................................................................................................................................................... 5 1.3 总体设计思想 ............................................................................................................................................... 6 第二章 技术体系详细设计 .............................................................................................................................. 8 2.1 技术体系总体防护框架 ............................................................................................................................... 8 2.2 内网安全计算环境详细设计 ....................................................................................................................... 8 2.2.1 传统内网安全计算环境总体防护设计 .............................................................................................. 8 2.2.2 虚拟化内网安全计算环境总体防护设计 ........................................................................................ 16 2.3 内网安全数据分析 ..................................................................................................................................... 25 2.3.1 内网安全风险态势感知 .................................................................................................................... 25 2.3.2 内网全景流量分析 ............................................................................................................................ 25 2.3.3 内网多源威胁情报分析 .................................................................................................................... 27 2.4 内网安全管控措施 ..................................................................................................................................... 27 2.4.1 内网安全风险主动识别 .................................................................................................................... 27 2.4.2 内网统一身份认证与权限管理 ........................................................................................................ 29 2.4.1 内网安全漏洞统一管理平台 ............................................................................................................ 32 第三章 内网安全防护设备清单 ..................................................................................................................... 33
第 ii 页 内网安全整体解决方案
第一章 总体方案设计
1.1 依据政策标准
1.1.1 国内政策和标准
1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号) 4.《信息安全等级保护管理办法》(公通字〔2007〕43号) 5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号) 7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号) 8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
10. 国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
11. 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
12. 国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号) 13. 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》
14. 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求
第 3 页 内网安全整体解决方案
第2部分:云计算安全扩展要求(征求意见稿)》
15. 《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》
16. 《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
17. 《信息安全技术 信息系统安全等级保护基本要求》 18. 《信息安全技术 信息系统等级保护安全设计技术要求》 19. 《信息安全技术 信息系统安全等级保护定级指南》 20. 《信息安全技术 信息系统安全等级保护实施指南》 21. 《计算机信息系统 安全等级保护划分准则》 22. 《信息安全技术 信息系统安全等级保护测评要求》 23. 《信息安全技术 信息系统安全等级保护测评过程指南》 24. 《信息安全技术 信息系统等级保护安全设计技术要求》 25. 《信息安全技术 网络基础安全技术要求》
26. 《信息安全技术 信息系统安全通用技术要求(技术类)》 27. 《信息安全技术 信息系统物理安全技术要求(技术类)》 28. 《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》 29. 《信息安全技术 信息系统安全管理要求(管理类)》 30. 《信息安全技术 信息系统安全工程管理要求(管理类)》 31. 《信息安全技术 信息安全风险评估规范》 32. 《信息技术 安全技术 信息安全事件管理指南》 33. 《信息安全技术 信息安全事件分类分级指南》 34. 《信息安全技术 信息系统安全等级保护体系框架》 35. 《信息安全技术 信息系统安全等级保护基本模型》
第 4 页 内网安全整体解决方案
36. 《信息安全技术 信息系统安全等级保护基本配置》
37. 《信息安全技术 应用软件系统安全等级保护通用技术指南》 38. 《信息安全技术 应用软件系统安全等级保护通用测试指南》 39. 《信息安全技术 信息系统安全管理测评》
40. 《卫生行业信息安全等级保护工作的指导意见》
1.1.2 国际标准及规范
1.国际信息安全ISO27000系列 2.国际服务管理标准ISO20000 3.ITIL最佳实践 4.企业内控COBIT 1.2 设计原则
随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷
第 5 页 内网安全整体解决方案 等安全事件的发生
如上图所示,本项目的设计原则具体包括:
整体设计,重点突出原则 纵深防御原则
追求架构先进、技术成熟,扩展性强原则 统一规划,分布实施原则 持续安全原则 可视、可管、可控原则
1.3 总体设计思想
如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:
第 6 页 内网安全整体解决方案
一个体系
以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。
三道防线
结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。
四个安全能力
采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。
预测能力:通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。
防御能力:采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。
检测能力:通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。
响应能力:与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间内,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。
第 7 页 内网安全整体解决方案
第二章 技术体系详细设计
2.1 技术体系总体防护框架
在进行内网安全防护技术体系详细设计时,充分考虑某单位内部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》,通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》切实做到内部网络安全的风险可控。
三重防护主要包括:内网安全计算环境、内网安全数据分析、内网安全管控措施。
2.2 内网安全计算环境详细设计
2.2.1 传统内网安全计算环境总体防护设计
第 8 页 内网安全整体解决方案
如上图所示,在内网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体内容包括:
网络层安全防护设计
1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2、在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3、在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 应用层安全防护与设计
1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护
第 9 页 内网安全整体解决方案
2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 数据层安全防护与设计
1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制
2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密
2.2.1.1 内网边界安全
2.2.1.1.1 内网边界隔离
严格控制进出内网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。 2.2.1.1.1 内网恶意代码防范
病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从内网边界入手,切断传播途径,实现网关级的过滤控制。
建议在该区域部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
第 10 页 内网安全整体解决方案
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。 2.2.1.1.3 内网信息隔离防护
建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
2.2.1.1 内网主机安全
2.2.1.1.1 内网用户行为管控
上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。 2.2.1.1.2 内网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管
第 11 页 内网安全整体解决方案
理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。
为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题:
入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。
违规终端不准入网 违规终端定义
外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办公用终端(员工私人终端等);
违规终端:未能通过身份合法性、安全设置合规性检查的终端。
入网终端安全修复合规化
终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。
内网基于用户的访问控制
内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。 2.2.1.1.3 内网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常
第 12 页 内网安全整体解决方案
适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。 2.2.1.1.4 内网服务器安全加固
建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。 2.2.1.1.5 内网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
第 13 页 内网安全整体解决方案
建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.1.1 内网应用安全
2.2.1.1.1 内网应用层攻击防护
建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行
2.2.1.2 内网数据安全
2.2.1.2.1 内网数据防泄密
建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。
员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开
第 14 页 内网安全整体解决方案
使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。
1) 在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2) 员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;
3) 存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4) 员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计
建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等) 结构操作类(如create、drop、alter等)
事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。
第 15 页 内网安全整体解决方案
2.2.2 虚拟化内网安全计算环境总体防护设计
2.2.2.1 划分虚拟安全域
图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略
第 16 页 内网安全整体解决方案
类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
南北向流量访问控制
第 17 页 内网安全整体解决方案
在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
2.2.2.2 内网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
第 18 页 内网安全整体解决方案
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。
2.2.2.3 安全域访问控制
为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。
对于虚拟网络边界进行区域请求控制 VPN接入边界访问控制 Vlan访问控制
2.2.2.4 iaas系统虚拟化安全规划
虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系
第 19 页 内网安全整体解决方案
虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。
2.2.2.5 虚拟资产密码管理
为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全
2.2.2.6 虚拟主机安全防护设计
虚拟主机安全防护设计主要实现如下目标: 资产清点
自动化的进行细粒度的风险分析 安全合规性基线检查
对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析
第 20 页 内网安全整体解决方案
如上图所示,通过收集主机上的操作系统、中间件、数据库等配置数据,准确分析应用系统在不同层面的配置信息,结合第三方病毒库进行漏洞和风险分析,并及时给出整改加固建议。
2.2.2.7 内网虚拟化安全运维平台
2.2.2.7.1 集中账号管理
在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号,统一维护云平台与服务器管理帐号,实现与各云平台、服务器等无缝连接。
第 21 页 内网安全整体解决方案 2.2.2.7.2 统一登录与管控
用户通过云堡垒机管理系统单点登录到相应的虚拟机,且所有操作将通过云堡垒机系统进行统一管控,只需要使用云堡垒机提供的访问IP、用户名、密码登录后,用户即可登录相应的云平台与服务器,而不需要反复填写对应云平台与服务器的地址、用户名、密码。
用户可通过vsphere client登录vmware vsphere云平台进行管理,输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。
第 22 页 内网安全整体解决方案
2.2.2.7.3 记录与审计
通过云堡垒机管理系统的访问历史记录回放功能,可随时查看每个用户对所属服务器、虚拟机的访问情况。
windows历史访问回放
第 23 页 内网安全整体解决方案
linux历史访问回放
在回放过程中,用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度,快速定位到用户可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 页 内网安全整体解决方案
云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话,实时监控,以及中断会话。 2.2.2.7.1 权限控制与动态授权
云堡垒机系统统一分配系统角色对应的云平台与服务器权限,当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限,不一致时,可通过云堡垒机的动态授权功能,对角色的云平台与服务器权限进行方便灵活变更。
2.3 内网安全数据分析
2.3.1 内网安全风险态势感知
建议部署态势感知系统,检测已知位置的终端恶意软件的远控通信行为,定位失陷主机,根据态势感知设备的告警信息,采集、取证、判定、处置内网终端主机上的恶意代码,针对未知恶意文件攻击,将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行,根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序,及植入攻击行为。检测各类植入攻击:邮件投递,挂马网站,文件下载,准确识别0day、Nday漏洞入侵的恶意代码
2.3.2 内网全景流量分析
建议部署内部网络流量分析系统,数据的传递介质是网络协议,网络流量作
第 25 页 内网安全整体解决方案
为网络协议中最有价值的安全分析维度,其本身就承载着重要的风险识别作用,针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征,因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。
2.3.2.1 基线建模异常流量分析
流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法,首先确定正常的网络流量基线,然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,这些基本特征比较详细地描述了网络流量的运行状态。
总体设计 网络流量异常检测模型的总体设计思路是:从网络的总出口采集数据,对每个数据包进行分类,将它的统计值传到相应的存储空间,然后对这些数据包进行流量分析
2.3.2.2 流量分析引擎
对采集到的数据进行分析处理。通过建立正常网络流量模型,按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略,能够自动学习最近的流量情况,从而调整检测的准确度。
建立正常网络流量模型 要进行流量异常检测,必须首先建立正常的网络流量模型,然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测,利用网络流量的历史行为检测当前的异常活动和网络性能的下降。因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来,使其能够准确反映网络活动。
在系统运行时,统计当前流量行为可测度集,并同正常的网络基线相比较,如果当前流量行为与正常网络基线出现明显的偏离时,即认为出现了异常行为,并可进一步检测分析;如果两种行为没有明显偏差,则流量正常,更新正常网络流量模型。
通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统
第 26 页 内网安全整体解决方案
计量、阈值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
2.3.2.3 异常的互联关系分析
对于不符合白名单和灰名单的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流自动生产报警或提取到白名单。
2.3.3 内网多源威胁情报分析
建议在内网部署多源威胁情报分析,通过对不同源头威胁情报的统一汇总、分析、展示等功能,极大提高情报告警准确率,帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时,可进行协同式研判,提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报,便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要,使安全加固工作处于主动、积极、有效的工作场景之中。
2.4 内网安全管控措施
2.4.1 内网安全风险主动识别
2.4.1.1 基于漏洞检测的主动防御
云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具,可以为用户提供定期的安全风险检测,基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。
第 27 页 内网安全整体解决方案
2.4.1.1.1 漏洞检测范围
操作系统:Microsoft Windows 2003/2008/7/8/10/20
12、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
数据库:MSSQL、MySQL、Oracle、DB
2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
网络设备:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趋势科技、Websense、3COM、F
5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
应用系统:各种Web服务器应用系统(IIS、Apache Tomcat、IBM lotus……)、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统(Vmware、Virtual Box、KVM、OpenStack等等)、邮件服务器应用系统(MS Exchange、IMAP、Ipswitch Imail、Postfix……) 2.4.1.1.2 识别漏洞类型 系统漏洞类型
Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、
第 28 页 内网安全整体解决方案
FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞(含RPC、 NFS、主机后门、NIS、 SNMP、守护进程、PROXY、强力攻击……) web漏洞类型
微软IIS漏洞检测、Apache漏洞检测、IBM WebSphere漏洞检测、Apache Tomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBM Lotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、Netscape Enterprise漏洞检测、Sun iPlanet Web漏洞检测、Oracle HTTP Server漏洞检测、Zope漏洞检测、HP System Management Homepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、Abyss Web Server漏洞检测、以及其他Web漏洞检测等Web服务器的扫描,尤其对于IIS具有最多的漏洞检测能力,IIS漏洞大于155种 数据库漏洞类型
MSSQL、MySQL、Oracle、DB
2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以扫描数据库大于三百五十多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议 2.4.1.1.3 内部主动防御
根据漏洞扫描结果,给予定制化安全加固方案,结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务,配合用户第一时间完成修复工作,我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性,从用户安全运维、业务系统稳定运行的角度出发,给出可落地的安全加固方案。
2.4.2 内网统一身份认证与权限管理
建议构建统一身份认证与权限管理系统,建立统一身份库,业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、
第 29 页 内网安全整体解决方案
系统管理人员通过统一认证入口,进行统一的身份认证,并对不同人员设置不同的访问权限,并实现所有用户登录及访问行为分析和审计。
2.4.2.1 统一用户身份认证设计
建立的统一身份库,包括运营身份库和业务人员身份库,使用户在统一身份库中,只有唯一身份标识,用户向统一认证平台提交的证明是其本人的凭据,根据系统级别不同,采用的认证方式不同,每个应用系统都有自己的账户体系,这些账户被看做是访问一个信息资产的权限,管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证,而是通过统一的身份认证入口进行认证,通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示:
2.4.2.2 统一用户权限管理设计
一、外部用户
二、内部用户
1、运维人员的权限管理
第 30 页 内网安全整体解决方案
2、业务人员的权限管理
2.4.2.3 业务内容身份鉴别与访问控制设计
一、内部访问设计
内部访问设计主要面向内部用户,通过验证后会加入到统一用户身份认证与权限管理平台身份库,经过认证策略判定,录入认证策略库,最后通过堡垒机实现内部访问。
二、外部访问设计
身份合法验证,通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库,经过认证策略判定并录入认证策略库,经过多因素认证资源池(包
第 31 页 内网安全整体解决方案
括指纹、二维码、RSA令牌等)实现外部应用的系统资源访问。
2.4.1 内网安全漏洞统一管理平台
建议部署安全漏洞统一管理平台,按照组织架构或业务视图建立资产管理目录,快速感知不同资产层级的漏洞态势,解决内部漏洞无法与业务系统自动关联分析的问题,为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据,并去重合。形成某单位自身的漏洞信息库,赋予漏洞数据空间、时间、状态和威胁属性,形成每个信息系统的漏洞信息库,并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要,解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题,实现漏洞管理流程化、自动化、平台化及可视化。
第 32 页 内网安全整体解决方案
第三章 内网安全防护设备清单
云防火墙 硬件防火墙 云waf 硬件waf IPS 防病毒网关 上网行为管理 隔离网闸 流量分析系统
多源威胁情报分析系统 安全漏洞统一管理平台 堡垒机 云堡垒机 数据库审计 态势感知平台 系统漏洞扫描器 Web漏洞扫描器 数据库漏洞扫描器 镜像文件加密 云堡垒机 云数据库审计 统一身份证书
虚拟终端加固及防护软件 虚拟主机加密机 数据防泄密 网络准入设备 服务器加固软件
第 33 页
第二篇:绩效管理整体解决方案
绩效管理是人力资源管理的核心,成功实施绩效管理,不但能帮助企业提高管理效率,帮助管理者提升管理水平,更能提升HR管理部门的地位,提升HR经理的价值,实现HR经理的角色转换,从高级办事员到战略伙伴伙伴。
可以说,绩效管理是HR经理的二次创业,是HR经理发起的一场战斗和管理革命。要想在这场战斗中胜出,HR经理除了要具备工作的热情和积极性,更要有说服力的管理方案用来支持自己。
一、绩效管理的目标
绩效管理的目标是企业战略目标的辅助,通过有效的目标分解和逐步逐层的落实帮助企业实现预定的战略。在此基础上,理顺企业的管理流程,规范管理手段,提升管理者的管理水平,提高员工的自我管理能力,使员工成为自我绩效的专家,使管理者从繁忙的管理活动中摆脱出来,更多地做好规划与发展的工作。
HR经理就是要通过有效的绩效管理达到这些目标,有效整合企业的人力资源,使绩效管理成为为我所用的工具,以此提高自己的地位,实现从高级办事员到战略合作伙伴的角色转换。
二、绩效管理的方案
拟订一份切实有效的绩效管理方案对绩效管理的实施起着至关重要的重要的作用。没有方案,想到什么做什么,管理层要求什么做什么,注定很难成功。只有主动出击,才能占据主动,才能前瞻性、战略地做好绩效管理。
因此,在实施绩效管理之前,HR经理必须坐下来,认真细致地研究绩效管理的理论、方法、流程,出具一份漂亮的绩效管理方案。
什么是绩效管理
做绩效管理,首先要弄清楚什么是绩效管理,只有让经理和员工都明白什么是绩效管理,他们才会愿意参与和执行,愿意为此而改变。
绩效管理是员工和经理就绩效问题所进行的双向沟通的一个过程。在这个过程中,经理与员工在沟通的基础上,帮助员工定立绩效发展目标,通过过程的持续沟通,对员工的绩效能力进行辅导,帮助员工不断实现绩效目标。在此基础上,作为一段时间绩效的总结,经理通过科学的手段和工具对员工的绩效进行考核,确立员工的绩效等级,找出员工绩效的不足,进而制定相应的改进计划,帮助员工改进绩效提高中的缺陷和不足,使员工朝更高的绩效目标迈进。
绩效管理的流程
一个完整的绩效管理过程应包括以下五个组成部分:
设定绩效目标;
经理与员工保持持续不断的沟通;
记录员工的绩效表现,形成必要的文档记录;
年终的绩效评估;
绩效管理系统的诊断和提高。
绩效管理中的角色分配
实施绩效管理,就是要让企业中的每一个员工都在其中扮演一个角色,承担一些责任,这个必须明确,否则,流于形式将不可避免。
通常,一个组织有四个层面的角色,总经理、HR经理、直线经理和员工,根据每个人的分工不同,每个人的绩效角色也有所不同。
总经理:提供赞助和支持,推动绩效管理向深入开展;
HR经理:设计绩效管理实施方案,提供有关绩效管理的咨询,组织绩效管理的实施;
直线经理:执行绩效管理方案,对员工的绩效进行辅导沟通;帮助员工提高绩效。
员工:绩效管理的主人,拥有绩效并产生绩效;
取得总经理的支持
绩效管理是企业的重要管理改革,其一举一动都牵动整个企业,总经理的态度和支持的力度在很大程度上决定着绩效管理实施的成败。
因此,绩效管理方案必须首先获得总经理的支持,HR经理必须与总经理达成一致,并请总经理参与其中,给予持续的关心和推动,使绩效管理方案得到逐步的落实。
培训直线经理
组织直线经理参加有关绩效管理的培训和研讨,赋予他们相关的知识、技巧和能力,使他们真正掌握绩效管理的要义和方法,真正喜欢并愿意参与
直线经理如何落实绩效管理
在绩效管理中,直线管理者才是实施的主体,起着桥梁的作用,上对公司的绩效管理体系负责,下对下属员工的绩效提高负责。如果,直线管理者不能转变观念,不能很好地理解和执行,再好的绩效体系,再好的绩效政策都只能是水中花,镜中月,只能与“鸡肋”无异。
所以,在实施绩效管理之前,首先要团结直线管理者这个主体,统一他们的思想,使之真正发挥绩效管理者的角色,承担自己应该承担的责任,做自己应该做的工作,让直线管理者真正动起来。
只有直线管理者真正按自己的分工真正动起来了,绩效管理才能按预想的方向前进,才能真正实现落地,得到有效实施。
根据绩效管理的流程,直线经理需要做以下四个方面的工作,扮演四种角色,进而使企业的绩效管理方案落到实处。
主要有以下四个角色:1.合作伙伴2.辅导员3.记录员4.公证员 一)合作伙伴
管理者与员工的绩效合作伙伴的关系是绩效管理的一个创新,也是一个亮点,它将管理者与员工的关系统一到绩效上来。
在绩效的问题上,管理者与员工的目标是一致的,管理者的工作通过员工完成,管理者的绩效则通过员工的绩效体现,所以,员工绩效的提高即是管理者绩效的提高,员工的进步即是管理者的进步。
绩效使管理者与员工真正站到了同一条船上,风险共担,利益共享,共同进步,共同发展。
鉴于这个前提,管理者就有责任、有义务与员工就工作任务、绩效目标等前瞻性的问题进行提前的沟通,在双方充分理解和认同公司远景规划与战略目标的基础上,对公司的经营目标进行分解,结合员工的职务说明书与特点,共同指定员工的绩效目标。
在这里,帮助员工,与员工一起为其制定绩效目标已不再是一份额外的负担,也不是浪费时间的活动,而是管理者的自愿,因为管理者与员工是绩效合作伙伴,为员工制定绩效目标的同时就是管理者为自己制定绩效目标,对员工负责,同时就是管理者对自己负责。
通常,管理者与员工应就如下问题达成一致:
员工应该做什么工作?
工作应该做得多好?
为什么做这些工作?
什么时候应该完成这些工作?
为完成这些工作,要得到哪些支持,需要哪些提高哪些知识、技能,得到什么样的培训?
自己能为员工提供什么样的支持与帮助,需要为员工扫清哪些障碍?
通过这些工作,管理者与员工达成一致目标,更加便于员工有的放矢的工作,更加便于自己的管理。为后续的绩效管理开了一个好头,可能开始有一点麻烦,万事开头难,但好的开始是成功的一半,绩效目标是一个良好的开端。
二)辅导员
绩效目标制定以后,管理者要做的工作就是如何帮助员工实现目标的问题。
在员工实现目标的过程中,管理者应做好辅导员,与员工保持及时、真诚的沟通,持续不断地辅导员工业绩的提升。业绩辅导的过程就是管理者管理的过程,在这个过程中,沟通是至关重要的关键。
绩效目标往往略高于员工的实际能力,员工需要跳一跳才能够得着,所以难免在实现的过程中出现困难,出现障碍和挫折。另外,由于市场环境的千变万化,企业的经营方针,经营策略也会出现不可预料的调整,随之变化的是员工绩效目标的调整。所有的这些都需要管理者与员工一起,管理者帮助员工改进业绩,提升水平。
这个时候,管理者就要发挥自己的作用和影响力,努力帮助员工排除障碍,提供帮助,与员工做好沟通,不断辅导员工改进和提高业绩。帮助员工获得完成工作所必须的知识、经验和技能,使绩效目标朝积
沟通包括正面的沟通和负面的沟通。
在员工表现优秀的时候给予及时的表扬和鼓励,以扩大正面行为所带来的积极影响,强化员工的积极表现,给员工一个认可工作的机会。在员工表现不佳,没有完成工作的时候,也应及时真诚地予以指出,以提醒员工需要改正和调整。这个时候,管理者不能假设员工自己知道而一味姑息,一味不管不问,不管不问的最终结果只能是害了员工,于自己绩效的提高和职业生涯的发展也无益。
需要注意的是,沟通不是仅仅在开始,也不是仅仅在结束,而是贯穿于绩效管理的整个始终,需要持续不断地进行。因此,业绩的辅导也是贯穿整个绩效目标达成的始终。这对管理者来说,可能是一个挑战,可能不太愿意做。但习惯成自然。帮助下属改进业绩应是现代管理者的一个修养,一个职业的道德,当然它更是一种责任,一个优秀的管理者首先是一个负责任的人,所以,贵在坚持。
三)记录员
绩效管理的一个很重要的原则就是没有意外,即在年终考核时,管理者与员工不应该对一些问题的看法和判断出现意外。一切都应是顺理成章的,管理者与员工对绩效考核的结果的看法应该是一致的。 争吵是令管理者比较头疼的一个问题,也是许多的管理者回避绩效,回避考核与反馈的一个重要原因。为什么回出现争吵?因为缺乏有说服力的真凭实据。试问,不做记录,有哪一个管理者可以清楚说出一个员工一年总共缺勤多少次,都是在哪一天,什么原因造成的?恐怕没有,因为没有,员工才敢于理直气壮地和你争论,和你据理力争。
为了避免这种情况的出现,为了使绩效管理变的更加自然和谐,管理者有必要花点时间,花点心思,认真当好记录员,记录下有关员工绩效表现的细节,形成绩效管理的文档,以作为年终考核的依据,确保绩效考核有理有据,公平公正,没有意外发生。
做好记录的最好的办法就是走出办公室,到能够观察到员工工作的地方进行观察记录。当然,观察以不影响员工的工作为佳。记录的文档一定是切身观察所得,不能是道听途说,道听途说只能引起更大的争论。
这样一年下来,管理者就可以掌握员工的全部资料,做到心中不慌了,考核也更加的公平公正。
四)公证员
绩效管理的一个较为重要也是备受员工关注的环节就是绩效考核。
绩效考核是一段时间(通常是一年)绩效管理的一个总结,总结绩效管理中员工的表现,好的方面,需要改进的地方,管理者需要综合各个方面给员工的绩效表现做出评价。同时,绩效考核也是公司薪酬管理、培训发展的一个重要依据。所以,公平、公正显得至关重要。
绩效管理中的绩效考核已不再是暗箱操作,也不需要。管理者不仅仅是考官,更应该是站在第三者的角度看待员工的考核,作为公证员公证员工的考核。
管理者之所以可以作为公证员来进行考核,主要是因为前面三个角色铺垫的结果。在前面工作的基础上,员工的考核已不需要管理者费心,可以说是员工自己决定了自己的考核结果。员工工作做的怎么样在绩效目标、平时的沟通、管理者的记录里都得到了很好的体现,是这些因素决定了员工的绩效考核评价的高低,而非管理者,管理者只须保证其公平与公正即可。
所以管理者在绩效考核中应扮演公证员的角色。
做公证员似乎是轻松的,但却是前面的努力的结果,是一直的努力才使得管理者可以坦然面对本来很烦人的考核,可以泰然处之,轻松应对。这也是绩效管理所追求的目标,让一切成为自然,让员工成为自己的绩效专家。
三、绩效管理的实现—项目管理
仅仅达成共识,完成培训是不够的,如何有效实施才是关键。根据绩效管理的经验,成立绩效管理项目,组建管理团队非常重要。
绩效管理团队应由总经理、HR经理、直线经理组成,总经理任项目经理,负责项目的推动的落实,HR经理任项目组长,负责项目的组织和实施,提供方案和咨询,直线经理具体负责项目的落实。 一)研究立项
研究立项主要有两个大的方面需要考虑:一是出具完整、易于理解的项目计划书;二是将计划书说给总经理听,与总经理在立项的可能性和实施的办法上达成一致。 HR经理首先就上述问题理出清晰的思路,认真研究立项的可行性,持续不断地与总经理保持绩效的沟通,
使总经理认识到绩效管理的好处,弄懂绩效管理的思路和流程,取得企业总经理的支持,并让总经理参与其中,任项目经理。
这个工作可能需要很长的时间,因为短时间理解绩效管理的方方面面也是不太现实的。所以,HR经理应有耐心和信心,不断地与总经理举行绩效会谈,让总经理认可绩效管理并愿意提供支持。最好能主动出击,提供更多更好的工作思路,攻下总经理这个堡垒,占领绩效管理的高地。
有了总经理的支持,绩效管理就是成功了一大半。 二)组建绩效管理团队
直线经理是绩效管理实施的主体和中坚力量,在绩效管理的实施中举足轻重,没有他们的支持,再好的绩效管理方案,也只能流于形式,得不到有效的实施。
所以,团结各直线经理是HR经理的又一个艰巨的任务。
HR经理在推销绩效概念之初就应吸引他们加入进来,立项之后,他们更是当仁不让的主力。
吸引他们的加入进来组成绩效管理团队应是立项之后最为重要的事情。
成立团队之后,依据绩效管理的流程和理念给予每个人一个角色,赋予每个人相关的权限和责任,给予每个人一份职责明确的工作说明书,确立他们的工作目标和努力方向。
这个工作往往容易被忽视和省略,希望能够引起足够的重视,认真进行规划和运作。 三)培训管理团队
管理团队的意识、观念和能力是进行运作的基础,所以,管理团队的培训又是一个极为重要的项目。
HR经理可以根据企业的实际,或者团队的自我研讨会,或者请管理顾问公司进行绩效管理理念、方法和技巧的宣贯,目的是赋予每个直线管理者的绩效管理理念和能力,使他们掌握必备的方法和技巧,以保证他们推动绩效的力度。
四)确立绩效管理的目标任务
战略地看待绩效问题,绩效管理的根本目的是赋予企业每个员工绩效的自我管理能力,改善管理者的管理方式,提升企业的管理的水平。
从这个观点出发,企业的绩效管理不能急功近利,而应眼光放长远,以一年为一个周期,三年一个阶段,不断检查调整,完善提高。
在绩效管理的目标任务上,管理团队应达成一致,慢慢来,不应被眼前的困难所限制,眼光长远,使之逐渐收到成效。
五)设计绩效管理的流程
依据绩效管理的理念,设计系统化全过程的绩效管理理念,用以直到管理团队的工作,使之顺畅自然。
一定要将绩效提高到管理的层次,使之成为经理和员工对话的过程,而不要只做考核。 六)项目的实施
七)项目的检查评价
在项目开始实施后,企业应根据企业的实际,采用PDCA循环的方法进行不断的检查评定,不断地进行总结和提高,使之不断地完善和发展。
四、不是结束
绩效管理没有结束,只有不断地完善和提高,持续不断地推动企业的管理向高水平、高效率发展。
第三篇:网络印刷整体解决方案
背景
近年来随着互联网行业的飞速发展,以及市场对电子商务的熟悉及认可,网络印刷也越来越多地被市场认同。仅淘宝网每年的印刷业务量就高达28亿元,加上大宗电子商务印刷实现总产值超过400亿。其中以商务短版印刷为主。凭借计算机技术的发展以及网络电子商务的普及,网络印刷正以每年超过200%速度递增,预计2012年底全国网络印刷占比将达到8%。欧美电子商务印刷起步较早,占整个印刷行业的比例高达78%,并开始朝着个性化、数字化、立体化方向发展。
印刷企业面临多重挑战:
1、反复报价、售前工作量繁重。
2、成交率低、报价单和成交量比例严重失衡。
3、文件传输工作混乱。
4、市场需求模糊,属于被动型销售,业务量过山车变化。
5、客户管理失控(容易出现飞单现象)。
简介
协发网络印刷系统是协发网(深圳市协发科技有限公司)针对印刷、广告、设计行业推出的网络印刷整体解决方案。它涵盖了网络印刷自助报价、在线下单与订单管理、在线名片设计、在线上传文件、在线交流、会员管理、发货单管理等印刷中的绝大部分环节。 协发网络印刷系统是互联网与传统印刷行业相结合的产物。
系统优势
协发网络印刷系统提供四大工具可以助力印刷企业实现质的飞跃:
一、印刷自助报价。
二、在线设计。
三、完善的订单流程
四、完善的客户管理。
总之,以自助报价为基础,以在线设计为导引,加上完善的订单流程和客户管理,构筑网络印刷核心竞争优势。
系统组成与功能
1、协发印刷自助报价系统:
只需选择或输入印刷品相关的纸张尺寸、纸张类型、印刷色彩、过胶、UV、啤型、装订等各种不同的参数要求,协发印刷自助报价系统就能自动算出成品印刷价格。由于印刷品种类繁多,不同种类的报价计算方式差异很大,因此协发印刷自助报价系统同时支持多种常用类别印刷品报价,通常包括:名片、贺卡、彩页单张、画册、 快印、封套、 纸袋、PVC卡、信封、信纸、联单、餐台纸、酒水牌 、彩色不干胶、专色不干胶、菜谱、 胶袋、挂历、台历、环保袋等。用于前台用户来说,无需下载安装任何软件或插件,所有的报价通过浏览器可以轻松实现。
协发印刷自助报价系统
2、协发在线名片设计系统
传统名片设计一般需要专业设计人员使用专业名片设计软件如Coredraw,Photoshop等进行。随着互联网和网络印刷的发展,出现了协发在线名片设计系统,无需专业知识和技能,无需安装任何专业软件或插件,通过浏览器即可输入、移动文字、上传图片或背景,并实现“所见即所得”,轻松完成名片设计。
协发在线名片设计系统具有如下优势:
1、轻松设计,高效实用。无需专业知识和技能,通过大量的分类模版和完善的在线名片设计功能,普通用户可以轻松设计出专业水准的名片。
2、使用方便,安全可靠。无需安装任何专业软件或插件,一切都在浏览器上完成。用户只要能上互联网,即可轻松完成设计,且无需担心病毒软件或插件。
3、可自动直接生成印刷用的pdf文件和JPG缩略效果图。通过和网络印刷系统的对接,印刷公司可为客户提供极有竞争力和高用户粘性的服务。
4、完全兼容Internet Explorer(IE,包括以IE为内核的其它浏览器,如360浏览器、搜狐浏览器等)、Chrome、FireFox(火狐)等各主流浏览器。
5、支持模版分类与数量无限扩充。
6、通过协发在线名片设计系统,印刷公司可为客户提供具有独特竞争力的服务,以开创彩色名片印刷的蓝海,避免陷入低层次价格战。
7、支持百度账户、QQ账户等开放平台账户直接登录,无需另外注册。方便用户,并直接吸引各开放平台现有的海量用户,让网站流量和客户暴涨。
8、具有完整丰富的在线设计功能,包括文字、图片、背景、线条、色块、文本分行与整体移动,完全由用户自主控制,是当前技术最先进的在线名片设计系统。而不是像有些简单的“系统”只能改文字,其它都是不能变的。
9、模块化结构,可灵活扩充。可以很方便的升级到完整的协发网络印刷系统,也可以和印刷公司现有的网站对接。
协发在线名片设计系统模板及分类
协发在线名片设计系统设计界面
3、协发在线文件智能传送系统
协发文件智能传送系统是一种针对经常性大量电子文件传送需求(如印刷、广告、菲林输出等行业)开发的在线系统。它可以让用户通过互联网在线上传文件,服务器端自动接收并智能分类管理,并自动推送到指定电脑终端,从而实现7*24小时无人值守文件传送与接收功能。
4、协发在线订单管理系统
协发在线订单管理系统提供在线下单、订单状态追踪等功能。
5、协发发货单管理系统
协发发货单管理系统提供自动根据订单(可多个订单自动合并)生成发货单、快递单打印等功能。
6、协发在线交流系统
协发在线交流系统提供双向在线反馈交流的功能。
第四篇:天网工程整体解决方案
公安局“天网工程”整体解
决方案
****分公司
2015-9-26
“天网”工程是一项非常重要的社会稳定工程,目的是构建紧急突发事件应急反应机制和打、防、控一体化社会治安动态监控系统,实现重点防范,精确打击和全面控制的目标。
一、有线电视网络在“天网“工程建设中具有以下优势:
1、网络覆盖范围广
(1)在城区范围内实现了全覆盖。我们在城区范围内拥有丰富完善的管道资源,光纤资源遍布每条道路、社区、企事业单位,有线电视网络的光接点遍布城区的每个小区,同轴电缆已布设至每个家庭(这是其他运营商所不具备的),实现了有线数字网络的全覆盖,是满足群众精神文化生活的重要载体,用户对有线电视网络的认可程度高,依赖性大。
(2)各乡镇有线电视实现了“村村通”。随着有线电视“村村通”工作的顺利完成,有线电视网络的光缆也遍布每个乡镇村,深入到农村的众多家庭中。目前,各乡镇的有线电视传输主要采用杆路传输,我公司在14个乡镇共拥有杆路***余公里,其中,新建设杆路***余公里,敷设各类光缆***余公里,线路覆盖率为100%,接入率也达到了70%,网络的覆盖最广、最全。
2、取电的便利性
取电难是目前道路及村内监控普遍存在的一个难点,而通过同轴电缆可以很好的解决这一难点。
我公司有线电视网已经在城区及乡镇村达到全网覆盖,
1
主干线路采用光纤进行传输,小区、社区、单位均开通了光节点,然后通过我们的分配网传输至单位及各家各户。因光接收机处已经具备了取电条件,通过放置在有线电视光接收机位置处的60V供电器,可以同时为摄像头提供数据信号和12V/24V供电模式,可以统一为600米范围内的监控点提供所需的电源,特别是在居民小区、乡镇村等位置,更容易实现这一功能,这样可以在很大程度上解决以往监控系统中为终端摄像头取电的难题。因此,不必再因设备供电取电而进行各种繁杂的协调工作。
3、维护具有长效性和及时性
天网工程可以说是“三分建,七分管”的这样一个项目。日常维修及维护非常重要。有线电视网络的光缆遍布每个乡镇村,深入到农村的众多家庭中,每个乡镇都有我们的维修、维护人员,在我们每天的例行巡检中就可以及时发现故障点,并对故障原因作出判断,及时进行维护,能做到服务到位,响应及时。可以在最短的时间内对故障进行修复, 甚至可以先于用户发现故障并做出反应。能避免以往视频监控项目中重建设,轻维护,监控系统建成后无法正常运行甚至瘫痪的问题。
4、与原有平台兼容方便
我们准备采用的技术方案与原来我们公安局已建成的一期工程能够无缝对接,并能对原来建成的监控进行升级和
2
联网。
5、成功应用的案例
⑴随着双向网络改造的不断深入,各地有线电视网络均开展了视频监控方面的专网专线业务。特别是****的天网工程做的很成功,运行稳定。****等县区的天网工程正在建设中,这些工程都是采用的有线电视网络。江苏省广电网络公司所辖的各地网络公司,在平安城市建设方面取得丰硕的成果。常熟广电与当地综治办积极配合,通过有线电视双向网络开通了1万2千个视频监控点,特别是在统一供电方面解决了视频监控项目中终端取电难的问题,得到了政法委领导的高度认可,今年,常熟市还将继续新增3000余个监控点。如此大规模的应用,也证明了有线电视双向网络在视频传输上的稳定性与可靠性。
⑵目前我们已经承接并完成了政府办公专网、市检察院,公安局交通监控专网、教育专网、银行(建行城区双路由专网、工行、**银行等)等多个专网专线工程,涵盖了数据通信、图像通信、光纤接入、通信管线、智能网络、综合布线等多项工程项目。经过多年的发展,我们已经为众多的政府机关、企事业单位提供了专网专线服务。积累了丰富的网络规划设计、建设、维护经验,与各联网单位保持着良好的合作关系。
⑶为县委组织部搭建的“智慧党建平台”正在杨店与苑
3
庄两个乡镇全面建设;我县的智慧社区平台的建设方案已得到县政府的肯定,平台正在搭建中。在这两个大项目中,都包含视频监控和视频服务的版块,这也说明了县领导对我们做视频监控和视频服务的认可。
二、技术方案
通过对比链路聚合型解决方案、共享GPON解决方案和独享性GPON解决方案,我们认为采用共享性GPON方案最适合汶上天网工程的实际情况,一是建设周期短,二是新增设备少,三是兼容性好,四是维护方便。
GPON以太无源光网络将视频编码设备(DVS、IPC)部署在前端,并通过GPON接入网将IP化的视频信号上传,IP视频流可以灵活地传输至多级监控中心,多级监控中心通过IP城域网连接至
一、二级监控中心进行信息的存储、监控、调用和管理。
思路:利用广电原有GPON设备,在县城新增一台OLT作为天网工程业务专网汇聚节点单独上行,其余乡镇节点采用新增PON板方式扩容GPON接入资源。视频探头将采集到的视频流数据通过ONU传输到归属地OLT进行汇聚,最终上行到核心节点接入公安专网进入公安局,通过视频矩阵投射到电视墙上。整个传输过程通过GPON网管进行管理维护。
4
第五篇:智慧教室整体解决方案
智慧教室整体解决方案
目录
一、硬件解决方案 ................................................... 2
二、软件解决方案 ................................................... 2
1.概述 .......................................................... 2 2.软件介绍 ...................................................... 2
2.1启动画面 ................................................. 2 2.2电子白板 ................................................. 3 2.3 K12教学资源(电子书包) ................................. 6 2.4大小屏互动 ............................................... 8 2.5互动课堂 ................................................ 11 2.6智能黑板集中控制管理系统(本地) ........................ 13 2.7智能黑板集中控制监管系统(互联网) ...................... 14 2.8教育资源云平台 .......................................... 15
深圳市众人通科技有限公司
1
智慧教室整体解决方案
一、硬件解决方案
支持纳米黑板、液晶一体机厂家、电子白板厂家、投影机等。
二、软件解决方案
1.概述
深圳众人通科技有限公司(clovsoft)是一家专业从事语音教室、电子书包、课堂互动、教育云平台等电化教育产品研发、生产及销售的高新技术企业。公司汇聚了一批多年致力于信息化教学研究,熟悉信息化教学需求的系统设计专家;拥有着行业领先的跨平台高清视频处理技术、无线网络核心通信处理技术;公司本着产品网络化、智能化、高性能、强稳定的设计原则设计的易课+(互动课堂)等产品在无线网络传输、音质等方面都处于行业领先地位,使得移动教学与课堂教学有机结合,对教学质量与效益有着极大的提升,对学生学习方式、教师教学方式带来全新的革新与体验,真正的实现“教育无处不在,学习随时随地”。 2.软件介绍
公司提供了信息化教学的一系列软件解决方案,这些软件既可以独立使用,也可以灵活组合使用,公司目前可提供的软件有:电子白板、电子书包、大小屏互动、课堂互动、智能黑板集中控制系统、教学资源云平台等
2.1启动画面
启动画面为一个All in one的软件集中管理平台,为教师课堂使用软件提供更多的方便,为企业推广软件也更多的渠道。 功能包含如下:
(1)时间、天气显示模块:显示年月日时分、周、天气;
(2)学校官网:通过设置,可以快速进入学校官网,免去输入的麻烦,图标可以设置为官网的缩略图。
(3)多屏互联:点击运行多屏互联软件,已经打开则显示帮助及应用场景视频,方便给还没有购买此软件的客户有一个功能大体印象。
(4)性能检测:本机目前使用状况:CPU、内存等硬件工作状态及温度;历史
2
智慧教室整体解决方案
使用记录:包括开机次数、在线时常等记录状态 (5)影音播放器:通过设置打开指定播放器
(6)K12资源:通过设置打开指定的电子书包资源程序 (7)U盘:快速管理指定U盘 (8)回到桌面:一键回桌面
(9)学校公告:有新公告红点提示,跟平台对接,实时发布公告 (10)脑王记忆:通过设置设定链接,打开指定APP程序。 (11)视频展台:通过设置设定链接,打开视频展台APP。
(12)公司官网:通过设置设定链接,打开公司官网,便于公司品牌推广。 (13)教育云平台:通过设置设定链接,打开指定资源平台。 (14)帮助
2.2电子白板
电子白板是一款由众人通自主研发的针对信息化教学需求设计的互动式多媒体教学平台。其以多媒体交互白板工具为应用核心,提供校本资源、学科工具、多屏互动等多种备课、授课的常用功能。配合电子书包K12教学资源,教师上课更是轻松高效。
主要功能列表:
3
智慧教室整体解决方案
在白板模式下播放白板文档时,除支持页面元素的显示、动画播放以及支持用户与页面元素的交互外,还支持用户与单个页面的交互,以辅助课堂教学活动的开展。
2.2.1 书写工具
在白板模式播放状态下,用户可选择书写工具在交互式电子白板上进行书写。 支持多人同时进行书写操作,且书写过程流畅; 支持书写笔迹宽度设置;
支持书写笔迹颜色设置,提供24种基础色可选。 书写笔迹应定位准确,笔迹呈现清晰完整。
2.2.2 放大镜工具
支持对页面中的任一区域进行放大显示;
支持对放大镜工具的显示面积进行缩放,以改变页面中被放大区域的面积; 支持在页面中任意拖动放大镜工具,以改变放大镜工具在页面中的位置。 2.2.3 聚光灯工具
支持只显示页面中任意一块封闭区域,同时其它区域被遮罩覆盖;支持在页面中任意拖动聚光灯,以改变聚光灯在页面中的位置;
支持对聚光灯工具的显示面积进行缩放,以改变页面中显示区域的面积; 支持对聚光灯工具形状为矩形和圆形,用户可选择一种形状的聚光灯进行操作。
2.2.4 幕布工具
支持遮挡页面中的部分区域; 支持在幕布上进行书写操作。
2.2.5 截图工具
支持对页面上的任何区域进行截取,支持全屏截图和部分区域截图; 支持页面的截取形状为矩形;
4
智慧教室整体解决方案
支持将截取的页面保存为图片格式;
应支持截取过程中,在截取页面上进行书写操作。 2.2.6 计时工具
支持设置计时器,计时器应包含时、分、秒的显示;
支持倒计时功能,倒计时功能应包含时、分、秒的显示,用户可自主设置时间段。
2.2.7 页面录制工具
页面录制指在页面播放状态下,对页面元素交互、页面交互的过程进行录制和存储。
支持录制屏幕中的任一区域,且在非录制过程中,可对录制区域的大小进行调整;
支持将录制的页面操作过程存储为MP4(*.mp4)的标准视频文件格式。
2.2.8 透视工具
支持对白板页面中的层叠对象按顺序进行透视,在不移动或调整对象顺序的情况下,突显出某个对象;
支持移动透视工具查看透视对象的区域内容; 支持修改透视层数。 2.2.9 实物展台
支持平面物体及立体物体的投影。 实物投影的影像实时显示在白板页面上。 2.2.10 内置资源库
内置资源库分为公共资源库和个人资源库:公共资源库主要包括学科工具库、页面背景库;个人资源库存储用户文档和在使用白板过程中产生的生成性资源。
5
智慧教室整体解决方案
学科工具库:学科工具库应供丰富的学科辅助教学工具。涵盖的学科应包含但不限于语文、数学、英语、物理、生物、化学、历史、地理、音乐、美术、信息技术、通用技术等基础学科。
应支持用户根据当前授课场景选用合适的学科工具辅助授课。
页面背景库:可提供丰富的页面背景模板,为用户建立具有特色的页面提供支持。 个人资源库:可白板提供本地存储功能,为个人资源的存储提供空间。 2.3 K12教学资源(电子书包)
博学宝提供包括电子书包、课程资源、教辅教材、教学测评、国学、仿真实验、预测预警等针对性、时效性的教育教学一体化资源解决方案与服务。
功能简介: (1)课程资源:
软件自带搜索功能,可以从互联网平台搜索到课程相关课本资源,可以兼容全国各地出版社的教程资源。
(a)、即点即读:下载后的课本资源支持发声点读功能,且英语发音及普通话发音标准,朗读有感情,带全文朗读功能。
(b)、电子课本具有多彩画笔划线批注的功能,且可以永久保存使用;课本具
6
智慧教室整体解决方案
备放大缩小的功能,课本里面的英语字词、汉语字词均可一键查询解释,汉字解释详细并配有笔顺、笔画动漫演示。
(c)、电子课本老师自己可以任意编辑,支持添加多种音视频文件、课件等,主流格式包括jpg/mp4/avi/doc/ppt/mp3/wav,添加内容后自动保存,可供老师课堂教学长期应用,形成个性化教学方式。
(d)电子课本要足够清晰,支持放大后,仍然很清晰,不模糊。
(2)名校视频资源
名校视频资源匹配,电子课本除了基本的发声功能以外,还可自动匹配每节课资源,资源类型为名校课堂实录视频,供老师备课教学使用,须有名校视频授权证书。
(3)同步动漫资源
同步动漫资源匹配,每节课自动匹配动漫素材,内容包括课文情景动漫朗读,动漫游戏互动,动漫拓展资源等。须有动漫资源制作方授权书。
(4)同步试卷资源
同步试卷、课件等资源,同步试卷支持批注、标记,并可添加试题相关的解释,格式包括音视频、课件主流格式。
(5)仿真实验
拥有不低于300个的初高中理化生仿真实验,实验操作要简单容易,内容形象,配有操作讲解声音,有实验现象分析。
(6) 书法资源
内含系统的书法教学课程,支持手写演示,并需配有详细的讲解视频资源。
(7)其他资源
(a) 作文库:拥有不低于40万篇作文的作文库,带搜索功能,且分类要明细,
7
智慧教室整体解决方案
方便老师调用查找。
(b) 试题库:支持题库搜索,题库数量不低于80万条。
(c) 有字母、音标、拼音、国学经典、唐诗宋词、成语故事、交通安全、德育教育等动漫资源素材,老师日常教学时,资源随时引用。
(d) 课外图书库:有介绍英语学习方法的资源,拥有不低于3万本课外书资源供学生课外朗读学习。
(e) 有不低于5部常用词典,包括汉英、英汉、汉语、成语等。 (f)
2.4大小屏互动
易课+(教师助手)是一款由众人通(clovsoft)自主研发的基于无线Wi-Fi网络,实现移动终端与智能黑板(PC电脑)之间的互联互动的移动应用软件。通过运行于移动终端的应用,可对智能黑板(PC电脑)进行无线的PPT演示、教案批注、视频播放、移动展台、微课录制、视频直播等操作。 含有物理化重要公式、常用基本定理模板。
终端互联功能列表:
8
智慧教室整体解决方案
1. 软件使用环境在局域网环境下,可完全脱离英特网,并可用一般路由器、WiFi热点即可实现。
2. 软件支持多语言,方便外教教师使用,支持的语言至少为:中文、英文、繁体。 3. 可通过移动设备远程控制电子白板、一体机、电脑等,实现鼠标移动、单击、双击、左右键等功能;也可打开文件并远端直接编辑文件。
4. 无需连线,无需网络的情况下,教师即可在自己的平板上直接录制微课,做到“随时、随地”录微课;
微课内容需包括课件内容、原笔迹板书、教师讲解视频、教师讲解语音。课件需支持视频、图片、pdf等数字媒体文件。
微课格式需要为标准的流媒体格式,如mp
4、flv等,方便网络传输、观看。 微课录制完毕,可以一键回看,以便确认微课录制效果。
5. 教师可以一键将课堂教学内容录制成标准的视频文件,包括黑板板书、大屏图像、课堂实况、教师语音等;方便学生课后复习及未能即时听课的学生听课使用。 6. 教师可以在移动设备上直接批注大屏内容,需支持视频动态批注。
7. 教师可将移动设备上PPT的文件直接在大屏上打开,无需拷贝文件至大屏电脑,并全屏播放,也可在移动设备端关闭全屏播放及关闭PPT文件。
教师可以通过手势左右滑动控制PPT上下翻页,也可以通过按键控制PPT上下翻页; 移动设备端需有当前PPT全部页面的缩略图显示,大屏上不显示,教师可以通过选择缩略图页面快速将大屏PPT翻页至指定页面。 PPT页面可以配合画笔功能,做到随时标注讲解;
播放PPT时,无需退出PPT即穿插可播放音视频文件,方便教师讲课。 PPT页面可以通过截图方式截取重点至画板中讲解,并可保存为课堂笔记。 PPT页面如遇文字较小,可以配合放大镜功能,做到多级别放大,方便后排学生观看。
8. 具有移动展台功能,教师可方便将课本、试卷等实物通过移动设备拍照上传至大屏讲解,并需支持在移动端通过手势控制缩放、旋转、移动、剪切、标注、擦除等操作。
9. 可以通过移动设备摄像头随时分享直播学生做题过程及实验情景,分享过程中,可选择是否录制。
9
智慧教室整体解决方案
10. 可轻松播放移动设备上的所有教学文件,包括ppt、word、pdf、图片、音频、视频等,并可通过移动设备端控制播放,包括全屏、快进、快退、停止等。 11. 支持电子白板功能,具备铅笔、荧光笔、激光笔、魔法笔、排刷、图案刷等多种书写笔模式。
需提供三角形、正方形、圆形、椭圆、多边形、平行线、箭头线、虚线等图形绘图工具。
需可插入图片、PPT、word等文件进行讲解,并可直接保存为图片、pdf等文件。 支持手势漫游、手势擦除、手势缩放等功能。 12. 示。 13. 可将移动设备端的文件无线上传电脑端指定文件夹内,也可将电脑端文件下可以将移动设备的界面无线投屏至大屏,移动设备所有操作都可在大屏上显载至移动设备端指定文件夹。 14. 支持鼠标指针大小、形状可选择设置,并可自定义鼠标形状,解决后排学生经常看不清鼠标指针的问题。 15. 具备基本辅助工具,包括荧光笔、聚光灯、放大镜等,荧光笔颜色、聚光灯大小及放大镜倍数通过移动设备端轻松可调。 16. 移动设备端软件可扫描二维码自动下载,并自动提示新版本升级或自动检查升级至最新版。
10
智慧教室整体解决方案
2.5互动课堂
易课+(互动课堂)是一款由众人通(clovsoft)自主研发的专为教师和学生而设计的互动课堂教学软件。它以智能黑板、学生平板电脑等硬件为基础,搭载大小屏互动软件、互动课堂教学软件、电子书包资源,实现课堂授课、师生互动、课堂测评、课堂管理等功能,极大的提高课堂教学的效率和乐趣。
1.支持对PPT、电子书、动态视频等进行圈阅批注功能,且支持不用切换任何按键即可手势擦除部分区域;支持标注内容保留的情况下还可以操作下方的课件。
2.支持电子抢答功能,抢答到的学生照片、姓名需用醒目的形式显示在大屏上。教师对抢答到的学生回答结果在软件上应可以给于评价或者表扬,并记录于系统,其他学生也可以对该学生给于评价,以达到全员互动。
3.支持教学反馈功能,教师在讲PPT、电子书等任何课件时,可随时一键将屏幕内容推送到学生平板,让全体学生手写方式回答问题,对于学生的回答内容教师可以通过指定方式、随机方式选取部分学生展示在大屏上,进行点评讲解。
11
智慧教室整体解决方案
对于学生的回答内容支持回放功能,以便了解学生的回答思路。
对回答的学生,教师可以给于评价、评分,并记录于系统。其他同学也可以通过人气投票的方式来选取谁答得最棒,以达到全员互评互动的课堂氛围。 4.支持随堂测验功能,教师可以快速通过几道测验题来掌握全班同学课堂知识接受情况。
支持单选题、多选题、判断题、主观题、实拍题等多种题型测试;
支持倒计时自动收卷功能,并在收卷前对未提交的学生给于实名制显示提醒; 支持结果分析功能,能逐题统计答对人姓名、答对百分比,以便教师了解该知识点学生是否掌握,决定是否需要详细讲解;
5.支持屏幕推送功能,教师可将大屏幕内容实时动态的推送到学生平板显示,学生端收到的广播画面需同步、流畅、清晰,且不可掉线;
每个学生可以在自己接收到的画面上做笔记记录,并保存到自己的笔记中,方便课后复习使用。
6.支持学生演示功能,教师可授权某个学生通过自己手中的PAD直接控制大屏,完成课堂问答、示范讲解、课堂小老师等课堂演示功能,被授权的学生需具有PPT标注、PPT翻页、放大镜、聚光灯、画板演示、播放视频、视频直播等功能。 7.支持学生飞屏功能,教师可指定某个学生的屏幕内容显示到大屏幕上,让学生展示自己的作业、户外活动照片等。
8.支持随机抽答功能,教师在课堂上,可通过随机抽答功能随机抽取一个学生回答问题,以达到教学过程的公平性;对被抽答的学生回答结果,要支持互评互动功能。
9.支持表扬功能,教师在教学过程中任何时候可以对任何学生给于表扬或者批评,如给学生回答问题加分、对学生遵守课堂纪律给于“专心听讲”奖章等奖励,并且这些奖励折换成分数记录到学生的测评报告总中。
10.支持分组教学功能,教师可以根据课堂座位情况自由分组,并对小组实现不同教学内容。
11.支持全班锁屏或个别锁屏功能,方便教师管理课堂纪律。 12.支持统一关机功能,方便教师对设备进行维护管理。
13.支持走动教学功能,教师通过手机或平板实现走动教学,实现教室大屏幕内
12
智慧教室整体解决方案
容投射到手持设备上,通过手持设备操控教室大屏幕,亦可实现手持设备上的内容如课件、素材等投射到教室大屏幕上,并可动态分享到学生端设备,真正达到教室大屏幕、教师移动端、学生端的多屏互动的目的,实现走动教学。 14.笔记功能,教师通过教师端软件,可以将课堂板书内容、课堂作业等内容直接推送到学生端笔记,学生可通过笔记功能查看教师推送的笔记内容,学生也可将自己的课堂笔记、答题结果等保存到个人笔记中,方便后期复习。
15.悬浮窗口设计,教师打开任何一个PPT、电子书、全屏视频等课件时,通过悬浮窗口可以快速方便操作、讲解课件。
2.6智能黑板集中控制管理系统(本地)
智能黑板集中控制系统是一款由众人通(clovsoft)自主研发的智能黑板集控管理软件,它为企业及校园大规模部署教室智能黑板提供了统一控制管理解决方案。通过该系统,可以实现对智能黑板集群的统一管理,其中包括集群的分组、校长训话、定时开关机、远程授课、紧急通知、图片展播、视频轮播等集群管理功能,是大规模部署智能黑板不可或缺的控制管理系统。
功能列表:
13
智慧教室整体解决方案
1.校长讲话:校长通过电脑摄像头可发表视频讲话功能,每个教室暂停所有教学活动,显示讲话视频及声音。
2.紧急通知:如地震、山洪等特殊情况下可快速用最醒目的方式发送紧急通知到各个班级。
3.滚动字幕:日常通知,用滚动字幕的方式显示在每个教室的上方滚动显示。 4.图片展播:对学校的获奖荣誉、优秀学生、好人事迹、集体活动、校园生活等照片在空余时间进行展播,是校园文化传播的很好途径。
5.视频轮播:对指定音视频在设定时间进行循环播放,如眼保健操、课件活动等视频。
6.播放视频:直接播放视频到每个教室大屏,如视频文件,电视台转播等。 7.空中课堂 :教师可以下载客户端,进行远端上课,内容为电脑屏幕+摄像头画面,以画中画形式呈现在指定教室大屏端。
8.课堂转播:管理员可以指定某个教室的大屏画面及声音同步到指定范围的教室的大屏。
9.远程控制:管理员可以远程操控教室电脑,并可录制教室电脑内容。 10.远程关机:管理员可以远程一键关闭指定范围内电脑。 11.定时设置:管理员可以设置定时开关机服务。
12.设备统计:统计设备使用状况,包括使用时间、app使用频率、设备温度等情况。
2.7智能黑板集中控制监管系统(互联网) 开发筹备中
14
智慧教室整体解决方案
2.8教育资源云平台
资源云平台是一款由众人通(clovsoft)自主研发的基于web开发的网络saas资源云平台。该平台以多种教学模式相结合,教材式,探究式教学模式,一键式高效备课,让教学更加科学、轻松、有效!实现个人资源,校本资源,公共资源相通,打破信息孤岛,实现精准的大数据分析,有效帮助老师个性化教学。
功能列表:
1. 校园资源库:通过客户端软件可以随时随地接入资源平台上传和下载各类资源,同时,学生与学生、教师与教师、教师与学生可以分享自己的资源给别的人,达到共同交流学习相互进步目的。学校不断扩充自己的校本资源库,分享给全校师生使用,学校与学校之间也可以分享资源。通过以上资源循环、扩充、存储,最终建立多资源、管理统
一、建设出有特色的校本资源库。通过对资源平台接口开放可以与市级或者教育部公共资源平台等衔接扩充内部资源数量。需支持教师办公室电脑备课,支持基于移动互联网的智能终端随时随地备课。
2. 支持教师一键式备课,减轻教师备课负担。
3. 支持教师备课内容直接保存至云计算中心,支持通过云平台,教师备好的课
15
智慧教室整体解决方案
程自动推送给学生,供学生预习、复习,并且自动推送到教室的智慧课堂云终端上,教师可以把成熟完善的课程共享给其他老师。
4. 支持教师通过平台布置作业,并将作业下发给学生,同时将作业的每个题目的解题过程及易错点推送给学生。
5. 支持学生可使用电子书包、PC等在平台上完成作业,并实时查看解题过程及易错点。老师批改完作业以后,支持选择是否将成绩发给学生的选择,并且未达标的学生,可以打回让学生重新完成。
6. 支持教师使用录课工具进行辅导录制,将解题过程和讲解声音录制成微课程资源文件。
7. 支持学生智能移动终端通过云平台随时随地点播微课程资源,随时随地学习。
8. 支持教师发布的课程自动出现在学生课程存储中,学生可随时查看进行预习和复习,以实现翻转课堂的教学学习模式。
9. 支持智慧课堂云终端,互动教学系统与云平台无缝对接,教师上课时可以直接调用已备好的课程进行课堂互动教学。
10. 支持课堂互动数据自动上传,自动记录学生课堂表现,提供个人及班级平均正确率、参与率等数据,课堂互动数据自动回传到云计算中心,教师可随时查看每个课时的教学质量分析报告
11.12. 支持云平台界面可以更改,界面包括课程表、日程表等工具,并可在日
16 支持测试数据直接回传到云计算中心,保存在教师账户空间。
智慧教室整体解决方案
程表里编辑工作日程。
13. 老师备好课程的模板,可以支持保存并可分享到校本模板库和平台模板库,方便其他老师参考,支持老师协同备课。
14. 拥有试卷一键录入系统,可以将已经制作好的WORD格式试卷,通过特殊工具,一键导入老师自己的账号空间内,生成试题库和试卷库,并可在空间内进行深度编辑。
15. 支持老师、学生之间的论坛交流,在BBS里,可以插入老师空间资源库的文件,可以上传本地文件,可以支持匿名回复等功能。
17