网络服务器配置心得体会(网络服务器配置与管理思考建议)


iis配置的实验总结

通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。

正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。

首先,开发一套安全策略

保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。

网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。

通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具

IIS安全技巧

微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。

1. 保持Windows升级:

你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。

2. 使用IIS防范工具:

这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。

3. 移除缺省的Web站点:

很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

4. 如果你并不需要FTP和SMTP服务,请卸载它们:

进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。

5. 有规则地检查你的管理员组和服务:

有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。

6. 严格控制服务器的写访问权限:

这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多”作者”的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7. 设置复杂的密码:

我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如”password”或是 changeme”或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。

8. 减少/排除Web服务器上的共享:

如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。

9. 禁用TCP/IP协议中的NetBIOS:

这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10. 使用TCP端口阻塞:

这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。

11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat

和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

12. 管理IIS目录安全:

IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。

13. 使用NTFS安全:

缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

14.管理用户账户:

如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

15. 审计你的Web服务器:

审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。

总结

上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。

最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。

仅供参考

网络服务器配置心得体会(网络服务器配置与管理思考建议)

国外VPS云服务器选择攻略心得分享

你知道如何选择国外VPS吗?这里我总结了一些关于国外VPS选择攻略的心得分享,并分析了一些经常使用国外VPS的优缺点分析,帮助新手用户能够很快入门选择合适的国外VPS。

国外VPS需求的用户很多,但是大多数新手用户还是不知道怎么选择,因为国外VPS商家实在太多,而很多用户在选择这方面都很迷茫。首先是太多的博主在推荐这个好,推荐那个好,但是并没有完全说出其中关键的优缺点。因为大多数用户对于国外VPS各种基本的常识都不太清楚,所以在购买的时候就只能是碰运气了,在很多情况下就不容易买到自己心仪的国外VPS。

写这篇攻略我主要就是针对国外VPS选择比较疑惑的用户。讲解一些国外VPS选择的基本常识,然后分析现在比较火的国外VPS关键的优缺点,从而帮助需要国外VPS的用户在选择上更加的明确。

先说下国外VPS选择的一些基本常识,这个主要是我们在选择国外VPS时候的一些参考点,老手们应该都是比较熟悉的了,如果你是第一次接触国外VPS,那么就很有必要知道。

很多用户找我推荐国外VPS,一上来就说“国外VPS有什么推荐的吗?”,我回答说:“你有什么要求吗?”,用户通常会回答:“要快!要便宜!”。对于这类型的用户,我只能用下面这张图送给你:

这世界上不存在又快又便宜的国外VPS,就跟你去买电脑一样,假如你给老板说:“老板我要一台配置最好的,价格最便宜的电脑。”,这时候我猜想老板的内心活动是“MMP,滚!”世界上真正的物美价廉本身对于市场需求关系来讲就是个悖论,所以抱着这种心思选择国外VPS的用户,我只能说“小伙子你这个想法很危险啊!”

所以在选择国外VPS上,我们只能是寻求一个价格与速度的平衡点,如果你想要更快的速度,那没有办法只有下面的图送你:

如果你不在乎速度,只要能用,那么你可以选择便宜的,既然选择了便宜的,那么你就不能对他的速度或者各方面的要求期待太高。

数据中心就是我们通常所说的节点。对于国外VPS来说我们更准确的说可能是大陆之外的VPS,因为常用的数据中心包括了香港、台湾(这不是国外这也是国内!!!),其他的还有韩国新加坡、日本(东京和大阪)、美国洛杉矶、西雅图、达拉斯、圣何塞、亚特兰大、芝加哥、纽约)、欧洲(荷兰阿姆斯特丹、德国法兰克福、法国巴黎、英国伦敦、俄罗斯莫斯科)。

其实常用的数据中心就上面提到的这些城市,基本上你在选择上都是他们。那么应该选择哪个数据中心的好呢?

如果不是有特殊需求,只是纯粹的需要大陆之外的数据中心,那么比较建议的是选择美国的,因为美国的整体来说性价比更高,用相同的价格,美国VPS相当而言配置和速度要更好一些。

如果你有特殊的用途需求,比如很多游戏业务相关用户会选择香港VPS、台湾VPS、韩国VPS或者日本VPS。一般来说香港VPS的延迟是最低的(一般在50ms左右,日韩在100ms左右、欧美在200ms左右),但是香港VPS的缺点就是带宽太贵,所以如果你对即时网络延迟要求比较高,那么就选择香港VPS或者台湾VPS。如果你是欧美外贸或者其他需求,那么就可以选择美国VPS或者欧洲VPS。

在国外VPS的时候很多用户很关系带宽和延迟的问题,觉得只要这两个指标好了那么速度就自然快了。其实不是这样的,我只能说带宽和延迟对速度有影响,但是不能单纯就以这两个指标来判断。

首先说下带宽,在购买国外VPS的时候通常都能看到带宽10Mbps、100Mbps或者1Gbps的,但是你要知道很多时候主机商标识出来的这个带宽都是共享带宽,就是说这个带宽不是你一个人在使用,是在机房或者服务器上的所有用户一起分享的,而还有很多主机商是限制了每个用户的最大使用带宽的。所以不是说你看到主机商宣传的带宽越大,就代表速度越大,带宽大的主机商,很有可能是有更多的用户与你一起分享带宽。所以带宽只能作为我们判断一个主机商他基本能够提供的最大速度是多少,但是并不是你所能够享受到的速度,不要被夸大的宣传所蒙蔽。

延迟在很大程度上其实对速度的影响基本不大,因为全球网络延迟的差距也就是在100ms左右,这100ms在网络中的常见的应用除了在线游戏外,其他的应用基本很少会在乎这100ms的影响,比如你建网站,900ms打开网页和800ms打开网页你觉得区别大吧,100ms对于人来说基本就是感知不到的。所以不要太在乎延迟,除非你是要作为游戏等即时性要求非常高应用的服务器使用。

那么速度是什么在影响呢?从我多年使用的情况来看,目前影响速度最大的就是主机商网络的稳定性和能够分配给个人用户的带宽来决定的。所以我们尽量选择那些测评比较稳定的主机商的国外VPS产品。

国外VPS在操作系统上无非就是两种:Linux和Windows,而且更多的往往是Linux。至于选择哪种操作系统要根据你的需求来决定,不同的用途你可能就需要不同的操作系统。所以在选择国外VPS之前,最好要先确认下自己应该需要怎么样的操作系统。

国外VPS的购买都是在网上支持的,我们国内习惯了支付宝和微信支付,但是国外可能更多的信用卡和PayPal支付,当然也有不少商家是支持支付宝的,微信支付支持的就比较少。所以在选择国外VPS的时候还要看他的支付方式支持,购买支付的时候是否方便。

常被推荐的国外VPS分析

这里给大家说说那些常被博主们推荐的国外VPS现状,到底是处于一个什么样的情况。因为这里涉及到一些产品链接不方便放出来,有兴趣自己到文末原作者链接那里去查看吧。

以上就是我关于国外VPS选择的一些心得分享。因为我本身因为工作的原因使用国外VPS多年,所以也使用了几十款国外VPS,说实话这么多,也就那几款比较好用,也遇到过各种各样的坑。总结起来我的一个心得体会就是不要贪小便宜。大家有什么问题也可以留言一起讨论,我都会在第一时间及时响应,大家一起分享进步。

如何构建安全网络环境

微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I

SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机

-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环

境,主要原因是:

(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;

(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化

;

(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。

构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的

目标一致,即:

(1)存储并处理于计算机和通信系统中的信息的保密性;

(2)存储并处理于计算机和通信系统中的信息的完整性;

(3)存储并处理于计算机和通信系统中的信息的可用性;

(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。

对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条

件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化

必不可少的一环,只有安全的信息才是财富。

对于潜在的财产损失,保险公司通常是按以下公式衡量的:

潜在的财产损失=风险因素×可能的损失

这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度

比作潜在的财产损失,于是有:

系统的脆弱程度=处于威胁中的系统构件×安全威胁

此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的

出发点。

对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf

rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连

接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析

的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及

安全对策。

@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@

二、开放式系统安全概述

1.OSI安全体系结构

1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对

构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以

及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。

@@14219701.GIF;ISO安全体系结构@@

其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提

供;一种安全机制可用于提供一种或多种安全服务。

2.美军的国防信息系统安全计划DISSP

DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音

、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构

,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系

统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统

组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件

的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适

应信息处理。

@@14219702.GIF;DISSP安全框架雏形@@

3.通信系统的安全策略

1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅

有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不

够的。

目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这

就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系

统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必

不可少,它的指导原则如下:

·对安全暴露点实施访问控制;

·保证非法操作对网络的数据完整性和可用性无法侵害;

·提供适当等级的、对传送数据的身份鉴别和完整性维护;

·确保硬件和线路的联接点的物理安全;

·对网络设备实施访问控制;

·控制对网络的配置;

·保持对网络设施的控制权;

·提供有准备的业务恢复。

一个通信系统的安全策略应主要包括以下几个方面的内容:

总纲;

适用领域界定;

安全威胁分析;

企业敏感信息界定;

安全管理、责任落实、职责分明;

安全控制基线;

网络操作系统;

信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数

据完整性及计算机病毒;

网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制;

灾难恢复。

三、LAN安全

1.LAN安全威胁

1)LAN环境因素造成的安全威胁

LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现

2)LAN自身成员面临的安全威胁

LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN

与LAN及外部世界的联接部件、线路及线路接续区等。

3)LAN运行时面临的安全威胁

(1)通信线路上的电磁信号辐射

(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)

(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有:窃听

网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续

与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。

(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据

(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害

的后果。

(6)网络病毒

4)工作站引发的安全威胁

(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数

据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事

件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。

某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危

险的。

(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定

线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。

(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机

组成的网络瘫痪。

2 LAN安全措施

1)通信安全措施

(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用

光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。

(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身

的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。

(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物

理实现。

(4)对通信数据进行加密,包括链路加密和端端加密。

2)LAN安全管理

(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻

,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘

封锁;交易跟踪等。

(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等

(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口

令字;经常更换口令等。

(4)数据加密:敏感信息应加密

(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联

接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。

(6)磁盘利用:公用目录应只读,并限制访问。

(7)数据备份:是LAN可用性的保证;

(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数

据加密等。

四、PC工作站的安全

这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主

机系统的工作站。

1.PC机的安全局限

(1)用户易于携带、易于访问、易于更改其设置。

(2)MS-DOS或PC-DOS无访问控制功能

(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。

2.PC安全工作站的目标

(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取;

(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害;

(3)网络通信和主机软硬件也应类似地予以保护;

3.安全型PC工作站的设计

(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一

个盒子,只有打开这个盒子才能建立所需要的联接。

(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用

于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数

据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信

。具体的安全设计细节还有:

A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器

接于加密卡的异步口。

B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。

C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力

赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用

环境和密钥交换。

D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加

密。

E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不

间断的会话;监控器之间的一套消息协议用于完成对系统的维护。

五、分布式工作站的安全

分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上

服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和

处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:

(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害

;

(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管

理变得更加复杂;

(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;

(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络

攻击。

可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统

应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除

此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中

数据的保密性和完整性等。这些问题将在后面讨论。

六、通信中的信息安全

通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式

工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。

1.加密技术

结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。

(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和

解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。

(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于

网络协议,安全性不是很高。

(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和

密钥驻留于应用层,易于失密。

2.拨号呼叫访问的安全

拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备

,后者要求在线路两端各加一台。

(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于

主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至

主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提

供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调

制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电

话号码,然后按此号码回叫用户。

(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口

令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的

联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。

口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接

口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当

一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与

此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致

,则准予登录。

终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有

正确的网络接口卡(NIC)标识符的设备才允许登录。

链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路

的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。

消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改

的应用领域。一般采用基于DES的加密算法产生MAC码。

七、安全通信的控制

在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及

安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细

讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三

个方面是紧密结合在一起的。

1.基于Smartcards的用户认证技术

用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。

Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一

致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远

端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结

果相同,则证明用户是合法的。

在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。

2.kerboros用户认证及保密通信方案

对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,

这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明

,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的

校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据

加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通

信的密钥。

对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该

用户要访问远地系统服务器时,kerboros起一个中介人的作用。

当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务

中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。

此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密

钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解

密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求

由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值

,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对

用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密

钥及一个ticket,该ticket用于与服务器通信。

kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管

理都十分复杂。

3.基于公钥体制的用户认证及保密通信方案

在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心

而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信

双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈

,同时也有利于攻击者利用流量分析确定网络所在地。

一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中

,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样

就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。

八、结论

计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确

立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的

安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对

的,但其丰富的安全技术内涵是值得我们学习和借鉴的。

Greenplum集群部署和架构优化,我总结了5000字的心得

最近对离线数仓体系进行了扩容和架构改造,也算是一波三折,出了很多小插曲,有一些改进点对我们来说也是真空地带,通过对比和模拟压测总算是得到了预期的结果,这方面尤其值得一提的是郭运凯同学的敬业,很多前置的工作,优化和应用压测的工作都是他完成的。 

整体来说,整个事情的背景是因为服务器硬件过保,刚好借着过保服务器替换的机会来做集群架构的优化和改造。 

1.集群架构改造的目标

在之前也总结过目前存在的一些潜在问题,也是本次部署架构改进的目标:

1)之前 的GP segment数量设计过度 ,因为资源限制,过多考虑了功能和性能,对于集群的稳定性和资源平衡性考虑有所欠缺,在每个物理机节点上部署了10个Primary,10个Mirror,一旦1个服务器节点不可用,整个集群几乎无法支撑业务。

2)GP集群 的存储资源和性能的平衡不够 ,GP存储基于RAID-5,如果出现坏盘,磁盘重构的代价比较高,而且重构期间如果再出现坏盘,就会非常被动,而且对于离线数仓的数据质量要求较高,存储容量相对不是很大,所以在存储容量和性能的综合之上,我们选择了RAID-10。

3)集 群的异常场景的恢复需要完善, 集群在异常情况下(如服务器异常宕机,数据节点不可用,服务器后续过保实现节点滚动替换)的故障恢复场景测试不够充分,导致在一些迁移和改造中,相对底气不足,存在一些知识盲区。

4)集群版本过 低 ,功能和性能上存在改进空间。毕竟这个集群是4年前的版本,底层的PG节点的版本也比较旧了,在功能上和性能上都有一定的期望,至少能够与时俱进。

5)操作系统版本升 级 ,之前的操作系统是基于CentOS6,至少需要适配CentOS 7

6)集群TPCH 压测验收 ,集群在完成部署之后,需要做一次整体的TPCH压测验收,如果存在明显的问题需要不断调整配置和架构,使得达到预期的性能目标。

此外在应用层面也有一些考虑,总而言之,是希望能够解决绝大多数的痛点问题,无论是在系统层面,还是应用层面,都能上一个台阶。

2.集群规划设计的选型和思考

明确了目标,就是拆分任务来规划设计了,在规划设计方面主要有如下的几个问题:

1)Greenplum的版本选择 ,目前有两个主要的版本类别,一个是开源版(Open Source distribution)和Pivotal官方版,它们的其中一个差异就是官方版需要注册,签署协议,在此基础上还有GPCC等工具可以用,而开源版本可以实现源码编译或者rpm安装,无法配置GPCC。综合来看,我们选择了 开源版本的6.16.2 ,这其中也询问了一些行业朋友,特意选择了几个涉及稳定性bug修复的版本。

2)数据集市的技术选型 ,在数据集市的技术选型方面起初我是比较坚持基于PostgreSQL的模式,而业务侧是希望对于一些较为复杂的逻辑能够通过GP去支撑,一来二去之后,加上我咨询了一些行业朋友的意见,是可以选择基于GP的方案,于是我们就抱着试一试的方式做了压测,所以数据仓库和和数据集市会是两个不同规模体量的GP集群来支撑。

3)GP的容量规划 ,因为之前的节点设计有些过度,所以在数量上我们做了缩减,每台服务器部署12个segment节点,比如一共12台服务器,其中有10台服务器是Segment节点,每台上面部署了6个Primary,6个Mirror,另外2台部署了Master和Standby,就是即(6+6)*10+2,整体的配置情况类似下面的模式。

4)部署架构方案选型 ,部署架构想起来比较容易,但是落实起来有很多的考虑细节,起初考虑GP的Master和Standby节点如果混用还是能够节省一些资源,所以设计的数据仓库和数据集市的部署架构是这样考虑的,但是从走入部署阶段之后,很快就发现这种交叉部署的模式是不可行的,或者说有一些复杂度。

除此之外,在单个GP集群的部署架构层面,还有4类方案考虑。

  方案1 :Master,Standby和segment混合部署

  方案2 :Master,Standby和segment独立部署,整个集群的节点数会少一些

  方案3 :Segment独立部署,Master,Standby虚拟机部署

  方案4 :最小化单节点集群部署(这是数据集市最保底的方案)  

这方面存在较大的发挥空间,而且总体来说这种验证磨合的成本也相对比较高,实践给我上了一课, 越是想走捷径,越是会让你走一些弯路 ,而且有些时候的优化其实我也不知道改怎么往下走,感觉已经无路可走,所以上面这4种方案其实我们都做了相关的测试和验证。

3.集群架构的详细设计和实践

1)设计详细的部署架构图

在整体规划之上,我设计了如下的部署架构图,每个服务器节点有6个Primary,6个Mirror,服务器两两映射。

2)内核参数优化

按照官方文档的建议和具体的配置情况,我们对内核参数做了如下的配置:

vm.swappiness=10

vm.zone_reclaim_mode = 0

vm.dirty_expire_centisecs = 500

vm.dirty_writeback_centisecs = 100

vm.dirty_background_ratio = 0 # See System Memory

vm.dirty_ratio = 0

vm.dirty_background_bytes = 1610612736

vm.dirty_bytes = 4294967296

vm.min_free_kbytes = 3943084

vm.overcommit_memory=2

kernel.sem = 500 2048000 200 4096

4.集群部署步骤

1)首先是配置/etc/hosts,需要把所有节点的IP和主机名都整理出来。 

2)配置用户,很常规的步骤

groupadd  gpadmin

useradd gpadmin -g gpadmin

passwd gpadmin

3)配置sysctl.conf和资源配置

4)使用rpm模式安装

# yum install -y apr apr-util bzip2 krb5-devel  zip

# rpm -ivh open-source-greenplum-db-6.16.2-rhel7-x86_64.rpm

5)配置两个host文件,也是为了后面进行统一部署方便,在此建议先开启gpadmin的sudo权限,可以通过gpssh处理一些较为复杂的批量操作

6)通过gpssh-exkeys来打通ssh信任关系,这里需要吐槽这个ssh互信,端口还得是22,否则处理起来很麻烦,需要修改/etc/ssh/sshd_config文件

gpssh-exkeys -f hostlist

7)较为复杂的一步是打包master的Greenplum-db-6.16.2软件,然后分发到各个segment机器中,整个过程涉及文件打包,批量传输和配置,可以借助gpscp和gpssh,比如gpscp传输文件,如下的命令会传输到/tmp目录下

gpscp -f /usr/local/greenplum-db/conf/hostlist /tmp/greenplum-db-6.16.2.tar.gz =:/tmp

或者说在每台服务器上面直接rpm -ivh安装也可以。

8)Master节点需要单独配置相关的目录,而Segment节点的目录可以提前规划好,比如我们把Primary和Mirror放在不同的分区。 

mkdir -p /data1/gpdata/gpdatap1

mkdir -p /data1/gpdata/gpdatap2

mkdir -p /data2/gpdata/gpdatam1

mkdir -p /data2/gpdata/gpdatam2

9)整个过程里最关键的就是gpinitsystem_config配置了,因为Segment节点的ID配置和命名,端口区间都是根据一定的规则来动态生成的,所以对于目录的配置需要额外注意。

10)部署GP集群最关键的命令是

gpinitsystem -c gpinitsystem_config -s 【standby_hostname】

其中文件gpinitsystem_config的主要内容如下:

MASTER_HOSTNAME=xxxx

declare -a DATA_DIRECTORY=(/data1/gpdata/gpdatap1  /data1/gpdata/gpdatap2 /data1/gpdata/gpdatap3 /data1/gpdata/gpdatap4 /data1/gpdata/gpdatap5 /data1/gpdata/gpdatap6)

TRUSTED_SHELL=ssh

declare -a MIRROR_DATA_DIRECTORY=(/data2/gpdata/gpdatam1  /data2/gpdata/gpdatam2 /data2/gpdata/gpdatam3 /data2/gpdata/gpdatam4 /data2/gpdata/gpdatam5 /data2/gpdata/gpdatam6)

MACHINE_LIST_FILE=/usr/local/greenplum-db/conf/seg_hosts

整个过程大约5分钟~10分钟以内会完成,在部署过程中建议要查看后端的日志查看是否有异常,异常情况下的体验不是很好,可能会白等。

5.集群部署问题梳理

集群部署中还是有很多细节的问题,太基础的就不提了,基本上就是配置,目录权限等问题,我提另外几个:

1) 资源配置问题 ,如果/etc/security/limits.conf的资源配置不足会在安装时有如下的警告:

2) 网络问题 ,集群部署完成后可以正常操作,但是在查询数据的时候会抛出错误,比如SQL是这样的,看起来很简单:select count(*) from customer,但是会抛出如下的错误:

这个问题的主要原因还是和防火墙配置相关,其实不光需要配置INPUT的权限,还需要配置OUTPUT的权限。 

对于数据节点可以开放略大的权限,如:

入口的配置:

-A INPUT -p all -s xxxxx    -j ACCEPT

出口的配置:

-A OUTPUT -p all -s xxxxx    -j ACCEPT

3)网络配置问题 ,这个问题比较诡异的是,报错和上面是一样的,但是在排除了防火墙配置后,select count(*) from customer;这样的语句是可以执行的,但是执行的等待时间较长,比如表lineitem这表比较大,过亿的数据量,,在10个物理节点时,查询响应时间是10秒,但是4个物理节点,查询响应时间是在90秒,总体删感觉说不过去。

为了排查网络问题,使用gpcheckperf等工具也做过测试,4节点和10节点的基础配置也是相同的。

gpcheckperf -f /usr/local/greenplum-db/conf/seg_hosts -r N -d /tmp

$ cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1      localhost localhost.localdomain localhost6 localhost6.localdomain6

#127.0.0.1    test-dbs-gp-128-230

xxxxx.128.238 test-dbs-gp-svr-128-238

xxxxx.128.239 test-dbs-gp-svr-128-239

其中127.0.0.1的这个配置在segment和Master,Standby混部的情况是存在问题的,修正后就没问题了,这个关键的问题也是郭运凯同学发现的。

5.集群故障恢复的测试

集群的故障测试是本次架构设计中的重点内容,所以这一块也是跃跃欲试。

整体上我们包含两个场景,服务器宕机修复后的集群恢复和服务器不可用时的恢复方式。

第一种场景相对比较简单,就是让Segment节点重新加入集群,并且在集群层面将Primary和Mirror的角色互换,而第二种场景相对时间较长一些,主要原因是需要重构数据节点,这个代价基本就就是PG层面的数据恢复了,为了整个测试和恢复能够完整模拟,我们采用了类似的恢复方式,比如宕机修复使用了服务器重启来替代,而服务器不可用则使用了清理数据目录,类似于一台新配置机器的模式。

1)服务器宕机修复后集群恢复

select * from gp_segment_configuration where status!=’u’;

gprecoverseg  -o ./recov

gprecoverseg -r

select * from gp_segment_configuration where status=’u’

2)服务器不可用时集群恢复

重构数据节点的过程中,总体来看网络带宽还是使用很充分的。

select * from gp_segment_configuration where status=’u’

select * from gp_segment_configuration where status=’u’ and role!=preferred_role;

gprecoverseg -r

select * from gp_segment_configuration where status=’u’ and role!=preferred_role;

经过测试,重启节点到数据修复,近50G数据耗时3分钟左右

6.集群优化问题梳理

1)部署架构优化和迭代

对于优化问题,是本次测试中尤其关注,而且争议较多的部分。 

首先在做完初步选型后,数仓体系的部署相对是比较顺利的,采用的是第一套方案。

数据集市的集群部分因为节点相对较少,所以就选用了第二套方案

实际测试的过程,因为配置问题导致TPCH的结果没有达到预期。

所以这个阶段也产生了一些疑问和怀疑,一种就是折回第一种方案,但是节点数会少很多,要不就是第三种采用虚拟机的模式部署,最保底的方案则是单节点部署,当然这是最牵强的方案。

这个阶段确实很难,而在上面提到的修复了配置之后,集群好像突然开悟了一般,性能表现不错,很快就完成了100G和1T数据量的TPCH测试。

在后续的改造中,我们也尝试了第三套方案,基于虚拟机的模式,通过测试发现,远没有我们预期的那么理想,在同样的数据节点下,Master和Standby采用物理机和虚拟机,性能差异非常大,这个是出乎我们预料的。比如同样的SQL,方案3执行需要2秒,而方案2则需要80秒,这个差异我们对比了很多指标,最后我个人理解差异还是在网卡部分。

所以经过对比后,还是选择了方案2的混合部署模式。

2)SQL性能优化的分析

此外整个过程的TPCH也为集群的性能表现提供了参考。比如方案2的混合部署模式下,有一条SQL需要18秒,但是相比同类型的集群,可能就只需要2秒钟左右,这块显然是存在问题的。 

在排除了系统配置,硬件配置的差异之后,经典的解决办法还是查看执行计划。

性能较差的SQL执行计划:

# explain analyze select count(*)from customer;

QUERY PLAN   

Aggregate  (cost=0.00..431.00 rows=1 width=8) (actual time=24792.916..24792.916 rows=1 loops=1)

   –  Gather Motion 36:1  (slice1; segments: 36)  (cost=0.00..431.00 rows=1 width=1) (actual time=3.255..16489.394 rows=150000000 loops=1)

         –  Seq Scan on customer  (cost=0.00..431.00 rows=1 width=1) (actual time=0.780..1267.878 rows=4172607 loops=1)

Planning time: 4.466 ms

   (slice0)    Executor memory: 680K bytes.

   (slice1)    Executor memory: 218K bytes avg x 36 workers, 218K bytes max (seg0).

Memory used:  2457600kB

Optimizer: Pivotal Optimizer (GPORCA)

Execution time: 24832.611 ms

(9 rows)

Time: 24892.500 ms

性能较好的SQL执行计划:

# explain analyze select count(*)from customer;                            

QUERY PLAN

Aggregate  (cost=0.00..842.08 rows=1 width=8) (actual time=1519.311..1519.311 rows=1 loops=1)

   –  Gather Motion 36:1  (slice1; segments: 36)  (cost=0.00..842.08 rows=1 width=8) (actual time=634.787..1519.214 rows=36 loops=1)

         –  Aggregate  (cost=0.00..842.08 rows=1 width=8) (actual time=1473.296..1473.296 rows=1 loops=1)

               –  Seq Scan on customer  (cost=0.00..834.33 rows=4166667 width=1) (actual time=0.758..438.319 rows=4172607 loops=1)

Planning time: 5.033 ms

   (slice0)    Executor memory: 176K bytes.

   (slice1)    Executor memory: 234K bytes avg x 36 workers, 234K bytes max (seg0).

Memory used:  2457600kB

Optimizer: Pivotal Optimizer (GPORCA)

Execution time: 1543.611 ms

(10 rows)

Time: 1549.324 ms

很明显执行计划是被误导了,而误导的因素则是基于统计信息,这个问题的修复很简单:

analyze customer;

但是深究原因,则是在压测时,先是使用了100G压测,压测完之后保留了原来的表结构,直接导入了1T的数据量,导致执行计划这块没有更新。

3)集群配置优化

此外也做了一些集群配置层面的优化,比如对缓存做了调整。 

gpconfig -c statement_mem -m 2457600 -v 2457600

gpconfig -c gp_vmem_protect_limit -m 32000 -v 32000

7.集群优化数据

最后来感受下集群的性能:

1)10个物理节点,(6+6)*10+2

tpch_1t=# iming on

Timing is on.

tpch_1t=# select count(*)from customer;

   count   

———–

150000000

(1 row)

Time: 1235.801 ms

tpch_1t=# select count(*)from lineitem;

   count    

————

5999989709

(1 row)

Time: 10661.756 ms

2)6个物理节点,(6+6)*6

# select count(*)from customer;

   count   

———–

 150000000

(1 row)

Time: 1346.833 ms

# select count(*)from lineitem;

   count    

————

 5999989709

(1 row)

Time: 18145.092 ms

3)4个物理节点,(6+6)*4

# select count(*)from customer;

   count   

———–

 150000000

(1 row)

Time: 1531.621 ms

# select count(*)from lineitem;

   count    

————

 5999989709

(1 row)

Time: 25072.501 ms

4)TPCH在不通架构模式下的性能比对 ,有19个查询模型,有个别SQL逻辑过于复杂暂时忽略,也是郭运凯同学整理的列表。

在1T基准下的基准测试表现:

计算机网络技术实验心得体会,要详细点!!!写的好一百分送上,每个实验写一篇啊

【导言】随着时代的发展,教育自身也在不断改进。尤其实施新课程以来,无论是教育目标、教育内容,还是教育观念、教育方式和行为,以及教育评价,都发生着巨大的变革,对教师也提出了更新、更高的要求。我们认为,加强教师教育教学理论修养,夯实文化底蕴,提高教育教学技能,是全面实施新课程的基本保证。近年来,我们充分利用计算机网络技术和现代信息技术手段优化校本培训结构,实行“研训一体化”为核心的教师继续教育校本培训,实现优质资源最大限度共享,优化教师学习研究的条件和环境,增加教师有效学习容量,提高教师研究质量,使教师不断“超越自我”,促进自身的专业发展和研究水平的提升,不断改善自身的教育教学行为,从而达到实现教师教育现代化、深化新一轮的课程改革和全面实施素质教育的目的。

一、课题的提出

当今世界,经济全球化,信息网络化,科学技术加速发展,教育改革彼伏此起,一浪高于一浪。为了适应这种发展趋势,世界各国加强教师教育,推进教师专业化发展。

在美国,中小学教师绝大多数是本科学历,师资培训主要有两种观点和趋势:一是让本科毕业生进入研究生院,接受专门的教师职业培训,目的在于使这些学生具有宽广的知识背景。小学教师要学习本科段文科课程;中学教师要学习所教专业的学术性课程,接受培训的师范生将获得文科硕士学位;另一种趋势是:只对本科毕业生进行几个星期的短期培训,之后,直接让他们在实际教学中获得相关知识和经验。但不管哪种方式进入教师行业的教师,每隔五年都要进行一次脱产学习,接受新的知识和技能,经过考核合格以后,才能再进入新的岗位。

作为职业教师,必须意识到自己是教育者,对人类发展要有深刻的理解,对儿童的教育有深远影响,为此,必须有厚实的专业知识,广博的文化知识,以及基于这些素质的实践中的领导组织能力,有能力培养儿童热情地生活、学习和自我思考,并有丰富的人文精神。在学校,教师应象有着不同品质和丰富个性的人力资源小组一样,互相合作和协调,从而使作为一个组织的学校教育活动能得到持续发展。每位教师的技能和品质不是固定不变的,而是会随着他们的经验的增长而变化、丰富,教师有必要依据职业、专业、能力、素质和兴趣,终身不断地提高,促进教师素质提高的主要途径有两条:一是教师自己每天的教育实践以及认真的自我研修;二是任命机构组织进行的教师培训。在当今的环境下,要求教师有统一的理想是不可能的,以终身的品质提高为基础,确保所有教师普遍掌握基本的技能,拥有基本素质以及促进个人发展和其专业能力的发展非常重要,只有这样,学校才会有活力,其教育才会有能力。

我国教师教育在九五期间取得很大发展。教师数量迅速增加,教师结构得到了有效调整。1995年到2000年,小学专任教师从560万增加到590万,教师学历合格率不断提高,1995年到2000年,小学教师学历不达标的由11.15%下降到3.14%;现在正加快实现小学教师由中等师范学历向大专学历过渡,这个过渡将在2010年完成。近年来各级政府和学校都采取有力措施,提高教师队伍的学历达标率。但是我国教师教育培训工作中还存在不少问题,不能适应时代要求和教育发展的需要,加强和改进教师教育工作是当前教育改革的重点。提高教师队伍的整体素质是教育改革发展中一个永恒的主题。实现这个任务要靠教师教育。“校本培训”是教师继续教育的最主要、最经济,也是最有效的一种形式。

近几年来,国内对校本培训的理论与实践的研究与探索已经取得了初步成效。同时全国已经有相当数量的地区具备了比较好的教育城域网络和现代信息技术的基础。但是,各级教育行政部门和学校如何运用计算机网络技术和现代信息技术手段优化的校本培训还是一个崭新的领域,另外,当前基础教育课程改革正向纵深发展,广大教师是实施新课程的主力军,搞好教师新课程培训至关重要,因而,在目前的情况下,我们进行这方面的实验研究,探索现代信息技术环境下校本培训的路子,对于教师教育的信息化和现代化,构建科学的、具有现代信息技术的教师教育评价与管理体系,使课程改革落到实处,促进教师发展、学校教育教学质量提高,具有重要的现实意义。

二、研究的意义

信息化时代的教师教育和科研工作必须登上信息化平台,才能获得跨越式发展。以教师的发展为本,教师教育应该运用计算机网络技术和现代信息技术开展教师继续教育校本培训作为突破口,只有这样,才能开创教师教育的新局面,全面提高我校教师的教学和科研水平,才能带来教师教育的高效益,才能大面积地提高教师的整体素质。通过本课题研究和实验,必然促使实现优质教育资源最大限度的共享,有利于实现教师教育现代化,从而促使教师“超越自我”,促进自身的专业发展,不断提高科学研究的质量和水平,必然有利于推进当前基础教育课程改革,促进教师尽快适应新一轮课改的需要,不断改善教师自身的教学行为,为即将全面铺开使用课程标准和实验教材提供成功的实践经验和奠定良好的理论基础;有利于构建教师继续教育和教育科研的评价与管理体系,从而加快基础教育发展步伐,为全面推进素质教育提供高质量的师资队伍。

三、实验研究的内容

本课题研究的是一项综合性的实践研究。利用计算机网络技术和现代信息技术手段教师继续教育,充分使用现代远程教育手段,实现优质资源最大限度共享,优化教师学习研究的条件和环境,增加教师有效学习容量,提高教师研究质量,使教师不断“超越自我”,促进自身的专业发展和研究水平的提升,不断改善自身的教育教学行为,从而达到实现教师教育现代化、深化新一轮的课程改革和全面实施素质教育的目的。

研究的基本内容:如何创建有利于学校组织、教师个人继续教育校本培训的信息技术环境;如何构建信息环境下校本培训模式;构建一支素质的教师队伍。

研究重点:本课题研究的重点是如何在教师教育活动中实现优质教育资源共享以及建立运用现代信息技术环境下校本培训的新模式。

研究难点:如何在现代信息技术环境下建立教师继续教育和科学研究有效结合的新模式,以及对这种模式有效运转的管理机制和评价办法。

四、研究假设及界定

1、研究假设:通过运用现代信息技术优化教师继续教育,丰富教育教学内容,改变教育教学方式,有利于教师确立正确的教育观、教学观、人才观和学生观。通过组织在现代信息技术环境下的校本培训,把教师从繁重的复杂性的劳动中解放出来,潜心于教育科研,使教师获得并掌握全新的学习方法,提高教师知识的占有量,为教师提供创造性的教学方法,进一步深化教学改革,促进教师学习现代码教学理论,提高业务素质以及教学能力,研究能力、信息能力。

2、假设界定:全校教师均为该项课题的研究对象。

五、实验周期

本课题实验研究为期3年(2002年1月——2005年12月)

1、准备阶段:(2002年1月-2002年7月)

主要工作:

(1)成立学校实验课题级和实验领导机构,分析课题研究所具备的条件,包括硬、软件:实验硬件、科研经费来源、实验的手段、方法等。

(2)制订落实课题研究方案。

(3)落实实验人员、经费的筹划以及实验教师的培训。

(4)诊断教师教学现状、现代教育技术水平及文化底蕴。

2、实施阶段(2002年8月-2004年12月)

主要工作:

(1)按实验计划开展研究,研究解决实验过程中的有关问题,按实验目标要求检查验收实验阶段性成果,做到每学期一小结,每学年一总结,并把实验情况向上级主管部门汇报。

(2)建立健全实验研究档案,指定专人负责收集整理编写实验研究有关资料,做好实验配套资料的建设工作,确保实验顺利进行。

(3)组织实验教师到区内外先进实验点参观学习,取长补短,共同提高。

(4)探索网络技术优化教师继续教育的基本途径及方法。

3、总结阶段(2005年1月——2005年12月)

主要工作:

(1)继续完善深化网络技术在优化教师继续教育的模式。

(2)做好两个阶段及实验周期全程的实验研究总结、撰写实验研究报告等工作。

(3)收集资料及数据,迎接上级主管部门的评估验收。

六、研究方法

1、文献法。本课题研究属于应用研究。积极吸收并充分利用国内外有关教师教育、培训、学习的有关理论经验,以及加强教师队伍建设,提高教师素质的研究成果是本课题的重要研究方法。

2、综合分析法。对信息技术环境与学校组织、教师个人、校本培训以及教学科研与教师培训之间的关系进行理论分析、弄清楚现代信息技术对提高校本培训、促进学校组织发展、教师个人发展、推进教育改革的影响和作用。

3、行动研究法。本课题研究的方法主要是在学校现有的网络环境基础上,不断开发,不断完善,以现代信息技术为手段,分步实施,实现优质资源共享,发挥最大的教育效益。

七、研究过程的基本做法

(一)建立校本培训的组织结构和运作管理

为了使校本培训工作顺利落实,让教师们真正学有成效,学校建立了教师学习情况考核评估制度,主要是:

1、成立机构明确职责

成立培训领导小组,由校长负总责,一名副校长负责组织实施。调动教导处、学科教研组等部门的力量,不断完善有创新性、有活力的制度体系,包括课程制度、教学制度、教研制度、学习制度、财务制度、评价制度和奖励制度等学校常规管理制度,从人力、物力、财力等方面给教师提供学习和研究的保障。明确领导的职责:

①制定培训计划及撰写培训总结;

②组织教师自学指定的教材内容,参加校本培训学习以及校本教研;

③聘请校外教育教学专家及校内外辅导教师;

④落实培训场地、时间、内容、主讲教师和培训设施;

⑤负责筹措培训经费,培训经费纳入学校年度经费预算;

⑥负责教师自学和校内集中培训的检查、考核,登记学分;

⑦建立校本培训教师电子档案库。

2、实行月考核制度

为了增强学习效果,实行“每月考核,达标有奖,落后受罚”的制度,进行同事互评、教研组评、学校领导小组评,教师之间互相帮助、互相监督、共同提高。学校领导小组每月对教师的学习情况进行考核的内容包括“名言锦句”、“教法集锦”、“教学后记”、“课例评议”等,考核的形式分为网页制作、书面撰写或背诵、现场评议三种。校本培训考核合格者,学校给予适当的奖励,下月兑现;按有关规定折算继续教育学分,记入继续教育证书;实行教师培训与职称评审、年度考核、评优评模“三挂钩”制度。

3、定期交流总结

实施“2+1”工程。“2”就是教师每月自荐两篇教学随笔(后记)。教科室每月检查评比并从中精选优秀者或展示,或宣读,使资源共享,疑义相析。“1”指的是教师每学期至少阅读一本理论书籍,并在学期结束时写一篇读书心得体会并进行交流。

加强课堂研究。成立以校长室为龙头,教科室、教导处、教研组长、骨干教师为主的随堂听课小组,采用“推门课、预约课、邀请课”等多种听课形式进行互动式的听课评课研讨活动。每月每人听课不少于4节。

举办“教研组风采展示”。教研组在集体备课的基础上,精心准备“5个1”(一堂课、一份说课、评课、教案和一份教研组风采介绍),最后抽签决定,由教研组的老师分别从上课、说课、评课和教研组风采介绍四个方面来展示所在教研组。对管理层面来说,针对“5个1”评出5个单项奖和1个综合奖项。因为上课、说课、评课的人选都是临时抽签决定的,每个人都有可能代表教研组展示整体教研水平,为了集体的荣誉也为了个人的发展,教师们都会全身心参与整个活动,这极有利于实现个体发展和集体发展的有机统一。

召开总结交流会。每学期组织一次评估验收活动,对每一位教师的发展情况作出评价。同时,要求教师交流自己在本学期的发展情况和体会。对成绩优秀者给予表彰,对绩效少的给予督促指导。

(二)开展形式多样的培训学习活动

在进行现代教育技术装备的同时,我们加强对教师进行现代教育技术培训,我校主要立足于校本培训。在培训中要求做到两个结合:学习与应用相结合,应用与科研相结合,边学边用,在应用中巩固提高。着重抓好三个覆盖率:教师覆盖率、学科覆盖率、课时覆盖率,要求人人都会使用计算机等现代教育技术装备进行教学,会制作多媒体课件,各科的大部分课时都要使用计算机等多媒体上课。几年来,学校举办计算机和网络操作技术培训班9期,每期受训人数都达到100%。还请专家到校培训8次,外派教师参加各级培训800多人次。现在全部任课教师都会制作多媒体课件,一半教师会制作网页,20%教师具有网络开发能力。在城西小学,如果哪个教师还不会使用计算机,说明他是个“科盲”,那是羞耻的事,所以大家学计算机都很勤奋用功。

先进的教学装备为学校实施现代化管理和教育教学提供了优越的条件,也为教师继续教育和专业发展提供了广阔便捷的平台。现在,教师们上课已不是单纯使用课本、黑板、粉笔这些传统的教学工具,而普遍使用了计算机、液晶投影机、实物展示仪等现代化装备,根据教学内容需要给出文字、画面、声音等信息,学生们学得饶有兴趣,课堂气氛很活跃。教师们备课也用计算机备课。校建立了校园网站,的校园新闻、学校通知、教育科研、教师教案、继续教育、家校连线等各方面内容,琳琅满目,丰富多彩。计算机网络等装备成为教师开展教育教学工作,深入推进素质教育的利器、了望外界的窗口、学习探索的宝库、提高专来技能和学校办学水平的平台。

为了提高校本培训的质量,学校针对不同层次的教师情况,开展了“四个一”系列活动:“成长期”教师参与一项课题研究、读一本与课题研究或素质教育相关的理论专著、执教一节研究课、撰写一篇研究论文;“高原期”教师读一本教育理论专著、执教一节示范课、进行一次说评课、举行一次专题讲座,并进行了常规月、教学开放月、新课程沙龙等校本培训活动。

在活动中,注重引导教师向未来延伸,适时运用现代教育技术,注重知识结构不同层次教师整体素质的逐步提高。评价制度的改革也在运行之中,对教师的评价定位于教师有无创新的意识、创新的能力,是否善于把自己的创新意识和能力体现在课堂教学上。通过营造竞争进取氛围,注重活动的创新性、实效性,为不同层次的教师提供扬长舞台和展示自己才能的机会。活动的开展提升着教师素质,一个科研型、创新型的教师群体已日渐形成。

八、实验研究的成效

(一)构建了网络技术优化教师继续教育模式。

经过一系列尝试探索,取得了较好的阶段性成果,形成了一个促进教师专业化发展的有效模式。这个模式的内涵是:以信息技术为平台,通过校本培训、校本教研,达到提高教师教育教学理论水平,夯实教师的文化底蕴,强化教师的课堂教学技能的教师专业化发展目标。模式是:构建一个网络学习平台——这是促进教师专业发展的前提;整合三种学习方式:个人自学研修、小组合作交流、专家引领辅导——这是实现教师专业发展的途径;从四个方面检验教师的学习效果:名言锦句、教法集锦、教学后记、课例评析——这是评价教师专业发展的指标。以上我们称为教师专业化发展校本研训一体化“一三四模式”。流程图如下:

1、构建一个网络学习平台

在信息技术迅猛发展的今天,跨时空、大信息量、交互性和个性化,是网络环境下的现代化教育模式的优势;丰富的信息资源和方便的获取方式,是网络环境下的现代化教育模式的特征;培养出一批能够适应网络环境下的现代化教育模式,并能参与网络教育建设的优秀教师队伍,是网络环境下的现代化教育发展的关键。基于这种理性的思考,从1996年开始,我校着于进行现代教育技术装备建设,在我市是比较早的学校。经过几年自力更生,艰苦奋斗,共投入资金300多万元,现在已具备较完善的规模。学校构建了计算机校园网,并与因特网连接,安装了双向可控

多媒体教学系统,拥有计算机197台,60个工作站的计算机教室2间,多媒体语言实验室1间,专用多媒体教室 4间,各个教师办公室全部配备了计算机,30多个教室都配备了计算机、液晶投影机、实物展示仪、29寸彩色电视机,建立了教育信息资源库,有教学素材300多G,教师自制和网上下载的课件素材1500多件,以及各科教学光盘、软盘、录像带一大批。学校的现代化教学装备达到了普及实验教学县(市)双一类标准,是全市乃至全区教学装备最好的中小学之一,被自治区教育厅定为全区“校校通”网络工程首批试点学校、现代教育技术实验学校,并成为国家教育部“朝阳行动计划”项目学校、英特尔未来教育项目学校。

计算机校园网、腾图卫星资源系统为实施校本培训铺设了一条宽广通畅的平台。校园新闻、通知、公告、喜讯、电子教材、教案、教学资源等等一应俱全,每天浏览学校的网站已经成为了每个教师的必修课,学校的网站也已经成为学校实现现代化管理的必备平台,给我们学校的管理工作带来很大的便捷,也实实在在的为教育教学提供了服务。

2、整合三种学习方式

(1)个人自学研修

学校结合当时的教育教学中心工作,向教师推荐有关学习书目,并购买学习用书给教师自学。如2004年,把学习、实践、验证新课程理念作为校本培训重点内容,要求教师阅读名教授、名专家的名著名篇尤其是最新著作,例如朱慕菊的《走进新课程》、肖川的《教育的理想与信念》、邢永富的《现代教育思想》、黄亢美的《小学语文创新教育探引》和《小学语文新理念教例评析》等书。同时要求教师上网查找阅读有关这方面内容的文章。要求教师在领会作者精辟见解的基础上,摘抄一些精彩深刻的句子(名言警句)加以反复熟读背诵。每个月至少背熟10段,一年就有100段,四五年就有四五百段。长此以往,日积月累,教师们就能将先进的教育理论内化为自己的教育思想,将自己的教育理论基础夯实,并用来支撑自己的教育教学工作。中国古代文人历来提倡读书要反复熟读背诵经典名篇名句,城西小学这样做,无疑是继承这个优良传统。

(2)小组合作交流

有个专家说得好:学习是共同合作的探险,而非一趟孤独之旅。在教师个人自学研修的基础上,学校要求教师互相研讨交流,以达到互相促进、共同提高的目的。对于教师的合作学习,我们的做法是:

①科组教研活动。以年级教研组为单位,围绕课堂教学改革,提高教学技能和教学能力的目标,开展基本功训练、说课、听课、评课、分析研讨、写教学反思等活动,促进全体教师思想上和业务上的交流,从理论上和实践上提高教师的教学水平。

②学科培训活动。分学科组织教师集中辅导学习,坚持每周一集中,做到“四定”:定时间、定地点、定人员、定内容,每次培训都要收到一定成效。

③开辟论坛交流。学校网站为教师开辟了培训学习论坛,举行“我的成长故事”、“学习新课标,心得体会大家谈”、“与新课标同行,在新课改中成长”等主题言谈。教职工及学生都可以登陆到网站上互相交流。论坛成了信息反馈的集散地。

通过灵活多样的合作学习,教师们不但能“教”会“评”,还会“写”,养成“学习理论——探索实践——提高理论”的良好科研习惯。

(3)专家引领辅导

为了有效地提高教师的教育理论水平,城西小学采取“走出去,请进来”的方式让教师们聆听教授、专家的新思维新观点。近几年,派出教师参加全国性专家学术讲座8次、省级讲座15次、地区及县市讲座20多次。广西电教馆原馆长卢光华、广西电教馆教研部原主任潘志诚、广西教育学院黎君教授、广西小学教育研究中心黄亢美、李红、汤建芬等老师先后到校讲学,作了现代教育技术教学应用模式、教师教育心理、小学语文新课程标准等专题讲座。教师们从教授、专家面对面的辅导引领中获得了大量新信息新知识,解决了教育教学中的许多问题和困惑,拓宽了视野,提高了理论水平。

3、四个方面检验学习效果。

如何检验教师理论学习的效果?如何评价教师的专业发展情况?我们创建了一套评价指标,这就是:

(1)收集背诵“名言警句”:就是前面所说的,要求教师阅读名教授、名专家的名著名篇后,将自己认为值得欣赏的名言警句摘录下来,每个月至少10段,反复熟读背诵。

(2)积累优秀“教法集锦”:要求教师在听优质课或阅读教学书刊时,将别人教学的精彩片断,或者自己上课的精彩环节记录下来,每个片断都加上自己的评点,每个月5例以上,其中要熟记2例。虽然是别人的东西,积累多了也会借鉴转化为自己的东西。

(3)加强教学反思,坚持写“教学后记”:包括教学后记、批改后记、测验后记、教育后记、管理后记等。要求每上完一课书,每次教育学生,都要及时进行反思,用教育理论来观自己的教学得失,撰写教学心得。每个月要完成5篇,文字长短不拘。通过一系列反思,使教师反思后知困,知困后思进取。

(4)坚持进行“课例评析”,强化巩固学习效果:要求教师每月评析5个课例,可以评一课书或一堂课,要以教育理论和新课程标准为依据,提出自己的见解,剖析有一定深度。课例评析是前三种学习、反思得来的东西的综合运用。现在,学校每次举行研究课、优质课、说课,参加听课的教师都能评析得头头是道,并且能引用某某教授、专家的观点,说出自己评析的依据。

学校要求教师将这四项学习研修的内容和心得放到自己的继续教育网页上,供大家互相交流切磋,同时作为检验教师理论学习和评价其专业发展情况的依据。对每一项学习内容都提出具体任务指标,各人完成任务的情况都记入继续教育学分登记册。经过这样长期不断的学习——实践——再学习——再实践,就能逐步形成良好的学习习惯,逐步夯实自己的理论基础,提高自己的教育教学能力,实现专业发展的目标。

(二)提高了教师的教学和科研能力。

我校利用计算机网络技术优化教师继续教育,虽然短短几年,却收到了明显的效果,取得了可喜成绩。

教师们熟练地运用计算机等现代教学装备进行教学,发挥这些先进装备功能的优势,极大地激发了学生的学习兴趣和求知欲。教师们以现代教育理论为指导,以现代教育技术为手段,以教育科研为突破口,构建了新的教学模式,使课堂教学效果得到了很大提高。现在,城西小学已经有相当一部分教师基本上实现了由经验型向科研型转变,由普通型向特长型转变。

近几年,学校承担国家、省、地市级教育科研课题20项,已有2项国家级、5项省级、1项地级课题成果通过专家评审验收。教师撰写的教育教学科研论文有700多篇获奖,其中20多篇在省级以上报刊书籍发表,制作的CAI课件(或网页)有30多件获省级以上奖励。反映学校教师科研水平的《素质教育的探索与实践》一书已于2002年在光明日报出版社出版。教师编写的《广西社会科学•贵港版》(小学六年级上册)教材经自治区教材审查委员会审定后,已由广西漓江出版社出版。

(三)培养了一批骨干教师。

经过几年校本培训,教师们的教育教学能力和素质有了很大提高,一批教学尖子脱颖而出。目前,学校有全国千名中小学骨干校长培养对象1人,省级普通话测试员2人,自治区优秀教师2人,地级骨干教师4人,市级骨干教师16人,县市教师继续教育讲师团成员5人,20多人次被评为自治区教育科研先进个人。2002年至今,有30多名教师在全国、自治区、地市、县市优质课比赛中获奖。

(四)提升了学校的办学水平。

教师素质的提高也提升了学校的办学水平。几年来,学校被评为全国“电化教育特色学校”、“信息技术人才幼苗培养基地”、“社会公认特色育人成功学校”、“中国少年科学院科普基地”,自治区“现代教育技术实验学校”、“创新教育研究与实验先进学校”,贵港市“教育质量百佳学校”、“素质教育示范学校”、“教师继续教育先进学校”。

九、实验研究的启迪

学校利用计算机网络优化校本培训,促进教师专业发展的做法(“一三四模式”)具有很强的现实意义。当教育改革进行到一定时候,实施素质教育就成为深入推进教育改革的关键。近年开始的中小学课程改革,又成为进一步推进素质教育的核心。课程改革的目的是为了促进学生的成长发展,培养大批能够适应现代社会需要的高素质人才。课程改革能否取得成功取决于教师。这就要求教师不仅要具有良好的师德,而且要具备较强的能够适应现代教育发展需要的专业技能。目前全国各地都在摸索探讨促进教师专业发展的模式,可谓百花齐放,异彩纷呈。我校立足于本校较好的办学条件,发挥信息技术的优势,利用计算机网络所具有的信息量大、及时快捷、交互性强、资源共享等特点,组织教师认真学习现代教育理论,学习、借鉴、探索先进的教学方法,使教师的专业技能得以在较高水平上发展,从而提升了学校的办学水平,在基础教育中起到了引领作用。学校在探索教师专来发展道路的时间还不长,但成效是明显的,模式还须进一步完善,并须要上级专家给予论证和指导帮助。

主题测试文章,只做测试使用。发布者:高防打不死免备案防御CDN,转转请注明出处:https://www.haozhuji.com.cn/jc/142389.html

(0)
上一篇 2023年4月19日 19:21
下一篇 2023年4月19日 19:54

相关推荐

发表评论

邮箱地址不会被公开。 必填项已用*标注