時間:2023-03-17 17:57:43
導語:在信息安全專業論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
[關鍵詞] 高校 網絡安全人才 培養模式
隨著網絡技術的發展和信息化程度的日益提高,人們的社會生活對信息基礎設施和信息資源的依賴程度越來越高。信息網絡給人類帶來方便的同時,其所帶來的網絡安全隱患問題日益嚴重。而網絡安全人才在解決安全隱患和威脅方面的作用將越來越突出。
網絡安全人才是指受過計算機網絡技術、信息安全教育或培訓,懂得計算機技術或是網絡安全方面的知識并且能夠解決實際問題的專門人才。網絡安全人才在維護網絡安全、保障網絡運行中起著基礎和決定性的作用。但我國網絡安全人才培養卻嚴重不足,人才供需矛盾突出。根據教育部統計資料表明,我國目前大學本科以上學歷的網絡安全人才只有2100人左右,而國內對網絡安全專業人才的需要量高達10余萬以上,每年全國能夠培養的信息安全專業學歷人才和各種安全認證人員大約不到5千人,供需缺口特別大。據統計,到2008年,全球網絡安全行業的就業人數將由目前的130萬上升到210萬。目前,我國網絡安全人員從人數和質量上都遠不能滿足市場的緊迫需求,加快網絡安全人才的培養,已經成為影響信息化社會發展的速度和國家安全實現的關鍵性因素。
一、我國高校培養網絡安全人才的現狀
1.高校網絡安全人才培養處于探索階段。網絡安全人才的培養是隨著網絡的快速普及而展開的。2000年,我國高校開始設置信息安全本科專業,標志著我國將網絡安全人才的培養正式納入高等教育體系中。據不完全統計,截止到目前,我國已有近50所高校開設了信息安全本科專業,部分高校已設立了信息安全方面的碩士點和博士點,初步形成了本科――碩士――博士的培養層次。
2.高校網絡安全人才的培養尚未形成科學的模式。由于高校培養網絡安全人才正處于起步和探索階段,因此各個高校采取的方式和方法也不盡相同,體現出不同的辦學思路。例如有的學校把信息安全專業辦在安全工程系,以安全為教學內容的重點;有的學校把信息安全專業辦在計算機系,以計算機和網絡知識為重點;有的學校把信息安全專業辦在數學系,以數學、物理等基礎知識為其側重點;有的學校把信息安全專業辦在通信系,以密碼學作為教學的重點;還有的學校將信息安全專業設置在管理學系,以電子商務為其教學重點和方向。
不同的辦學思路,一方面是各個高校依照其自身的學科優勢和辦學格局,對信息安全學科初期發展進行的有益探索和嘗試,符合高等教育發展和高校自身建設的規律;但另一方面也說明我國整個高等教育體系在信息安全學科方面缺乏統一的規劃和指導,還沒有形成科學合理的學科教育模式。
二、我國高校網絡安全人才培養模式存在的問題
1.學科體系不成熟。我國部分高校已設置了信息安全專業,初步形成了從本科到博士的培養層次。但是信息安全是一門綜合性的交叉學科,涉及數學、通信、計算機、微電子、網絡工程、密碼學、法律等諸多學科,我國高校在網絡安全人才的培養過程中,還無法準確把握各學科之間的比重關系,表現在各高校在該專業的課程設置上比較盲目,隨意性較大。目前的培養體系中,還存在重數量輕質量、重文憑輕素質的現象,培養的人才普遍是從理論到理論,動手實踐能力不強,不能解決現實的網絡安全問題。
2.培養目標、培養計劃和相應的課程體系還不完善。現有培養模式中,信息安全學科建設的指導思想、人才培養的目標和方向都是各個高校根據其具體情況制定的,缺乏系統的學科指導體系和規劃。各高校都處于一種“摸著石頭過河”的狀況,直接導致了培養的人才水平參差不齊、知識結構不合理,不能勝任企業和其他用人單位的工作需要。
3.精通網絡安全理論和技術的尖端人才以及專門從事網絡安全研究的科研人員缺乏。網絡從其產生到現在也不過短短的幾十年,網絡安全的問題更是最近幾年才引起人們的普遍關注。我國進行網絡安全方面的研究起步較晚,網絡安全人才不足,且多是“半路出家”(即由網絡管理人員通過有關網絡安全知識的自學或短期培訓后從事這項工作的),缺乏大量精通尖端網絡安全技術的專門人才。網絡安全人才分布不均、人才隊伍不穩定。這種狀況使我國目前對網絡安全方面的研究遠遠落后于網絡技術的發展。
4.網絡安全教育的普及率較低,一些公民缺乏網絡安全意識。由于網絡安全問題一直沒有得到應有的重視,這就導致普通公民對此問題持無所謂的態度,即使是經常接觸網絡的人也沒有形成網絡安全的觀念和常識,安全隱患較多。
5.缺乏網絡安全教育所必需的實驗設備和條件。開設信息安全專業的部分高校缺乏基本的基礎課程實驗室,教學實驗和模擬設備。許多高校無法開展課程體系中所要求的實驗,學生的學習只能是從理論到理論,極大的削弱了教學效果。
6.偏重理論學習,對實踐環節重視不夠。信息安全學科不僅具有很強的理論性,同時也具有非常強的實踐性,許多安全技術與手段需要在實踐過程中去認識、去體會。當前設有信息安全專業的高校,能夠為學生提供實踐的機會很少。許多高校無法為學生提供實踐鍛煉的機會,更不用說提供處理網絡安全問題的模擬實踐。這樣培養出來的人才其解決實際問題的能力可想而知。
三、美國高校網絡安全人才培養的模式
美國高校的網絡安全人才培養模式主要有兩種:“核心課程+課程模塊”模式和“知識傳授+科學創新+技術能力”模式。“核心課程+課程模塊”模式是美國大學網絡安全專業教學中采用的一種基本模式,它類似于我國高校中采用的“基礎課+專業方向選修課”的模式。也就是說,學生在修完規定的專業基礎課后,可以根據其愛好和特長,選擇自己感興趣的某個方向進行研究。“知識傳授+科學創新+技術能力”模式承擔著基礎知識教育、專業技能培養和創新能力培養的重任,對網絡安全人才的培養提出了更高的要求。
美國不僅在本科階段培養網絡安全人才形成了自己的特點,在碩士和博士階段更加注重對某一領域的深入研究。美國的研究生教育通過補充課程論文和考試或者通過課程論文和碩士論文項目使研究生們在信息安全學科的某一個特定領域深入下去。碩士論文通常是開發一種理論到某一個或者一些特定場合的應用;而博士階段更注重理論分析,對理論進行擴展,改進或者提出新的理論。
美國的網絡安全人才培養模式的優勢在于注重學生基礎知識的獲取和創新能力的培養。基礎知識和專業理論教育是學生必須掌握的內容,培養出來的學生具有較廣的知識面和知識體系,可以滿足企業等用人單位的不同需求。通過大學及研究生階段的學習,學生不但可以很快熟悉并鞏固書本知識,并且可以在實踐的過程中,不斷研究發現新問題并予以解決,培養了學生的創新能力。
筆者認為,創新能力的培養必須以基礎知識和專業技能為根基,是建立在扎實的基礎知識和熟練的專業技能基礎之上的一個更高層次的目標和要求,因此,與“核心課程+課程模塊”模式相比,依據“知識傳授+科學創新+技術能力”模式培養出來的人才不僅具有較強的專業知識和處理實際問題的能力,而且具有較強的創新能力。
四、完善我國高校安全人才培養模式的具體措施
我國應在借鑒美國高校網絡安全人才培養模式優點的同時,探索適合我國國情的網絡安全人才模式。筆者認為,可以采取“核心課程+課程模塊+教學實踐”這種理論和實踐相結合的培養模式。在核心課程設置中,讓學生掌握計算機、數學、通信、計算機、微電子、網絡工程、密碼學等基礎知識;在課程模塊設計中,讓學生探討研究其感興趣的網絡安全領域和內容;在教學實踐環節,讓學生總結出大量目前存在的網絡安全問題,并嘗試著讓其進行研究解決,以此鍛煉學生分析問題、解決問題的能力,使學生能將所學理論知識與實際應用結合起來。
具體來說,高校應從以下幾方面入手,培養網絡安全人才,使其具備較合理的知識結構:
1.研究信息安全專業特點,建立科學合理的學科知識體系。信息安全專業是一個交叉的新興學科,需要許多學科的知識作為鋪墊。高校網絡安全人才培養的目標應是造就一批具有較高素質的網絡安全管理和技術人才。我國高校應通過統一制定教學大綱和統編教材,使學生具備計算機、數學、密碼學等健全合理的知識結構。合理采用美國高校對網絡安全人才培養的先進理念和模式,通過嚴格的培養使信息安全專業畢業的學生具備以下素質:寬厚扎實的計算機科學和軟件工程知識;嫻熟的計算機科學技術綜合應用能力;將信息系統及其安全領域的知識同某一應用領域業務相結合的能力;獨立完成網絡安全相關領域問題的能力。
2.開設法律課程,使網絡安全人才具備相應的法律知識。雖然我國還沒有專門的網絡安全法,但在一些法律法規以及規章制度中都不同程度的涉及到了網絡安全的內容。例如《刑法》、《計算機軟件保護條例》、《中華人民共和國計算機信息系統安全保護條例》等都是有關網絡安全的法律法規。作為網絡安全人才必須了解上述法律、法規的相關規定。
3.將網絡安全理論教育和實踐相結合。高校應該將“網絡安全設備操作指南”、“網絡安全注意事項”等內容列入日常的教學活動中,這是培養網絡安全人才,保證各項安全策略、制度、規程和操作在日常工作中得到貫徹落實的重要環節。還可以定期進行網絡安全演練,如果條件成熟,甚至可以挑選一些真正的病毒加以分析、研究。這不僅是檢查網絡安全保障體系運作情況的重要手段,而且可以增強學生應付突發事件的能力。
4.網絡安全人才的培養是一種持續教育,因此應加強和政府、公司的交流與合作,充分調動各方面積極因素,共同培養高素質的網絡安全人才。美國高校的網絡安全教育特別重視合作與交流,例如美國普渡大學(Purdue University),其COAST(Computer Operations Audit and Security Technology)項目是該校計算機科學系從事計算機安全研究的多項目、多投資的實驗室,它促使政府機構、大公司的研究人員和工程師緊密合作。如今COAST已經是世界上最大的專職的、學術的計算機安全研究群體之一,培養了許多優秀的信息安全專業人才。我國高校應借鑒其有益的經驗,加強師資隊伍的建設,改善辦學條件,對信息安全方面的研究給予經費支持和傾斜,改變教學條件,更新試驗設備和儀器。同時,加強國內與國際的交流,搭建學校與企業的互動平臺,和一些具有綜合實力的大企業、公司合作,讓學生進行有機的、雙向的實踐活動。
《國家信息安全報告》中指出:“從事信息技術的人才匱乏是當今世界的一大緊急警報。就信息安全的人才而言,其匱乏的程度更比一般的IT技術有過之而無不及。”《2006――2020年國家信息化發展戰略》更是為我國網絡安全人才的培養提出了宏偉目標:“建設國家信息安全保障體系,加快信息安全人才培養,增強國民信息安全意識。提高國民信息技術應用能力。提高國民受教育水平和信息能力。培養信息化人才。構建以學校教育為基礎,在職培訓為重點,基礎教育與職業教育相互結合,公益培訓與商業培訓相互補充的信息化人才培養體系。”我國高校應按照《發展戰略》的指引和要求,積極探索和建立網絡安全人才培養的模式,為網絡安全人才的培養提供更為廣闊的空間和平臺,構建更加堅固的網絡安全保障體系,只有如此,才能營造出和諧、安全的網絡空間。
參考文獻:
[1]鄭志彬吳昊辛陽:建立產學研結合的信息安全人才培養道路[J].北京電子科技學院學報,2006(3)
[2]劉寶旭:淺談信息安全學科建設與人才培養[J].北京電子科技學院學報,2006(3)
[3]王海暉譚云松伍慶華黃文芝:高等院校信息安全專業人才培養模式的研究[J].現代教育科學,2006(3)
關鍵詞:信息安全;本科生;創新實踐能力
0 引言
信息安全專業人才培養是我國國家信息安全保障體系建設的基礎和先決條件。信息安全學科建設則是高層次創新型信息安全人才培養的基礎平臺。為加強對信息安全人才的培養,我國教育部、科技部、信息產業部、國防科工委、國家自然科學基金都把“信息安全”作為優先發展的領域。2001年以來國內已有70多所高等院校建立了信息安全本科專業,部分院校相應設立了信息安全碩士點、博士點。
早在1995年,美國國家安全局(National Security Agency)委任CMU成立信息安全學術人才中心,以提高大學信息安全人才培養能力。至2003年9月,已有50多所教育機構被認定成為這種中心,其中包括44所高等院校和4所國防院校,如CMU、University of London、Florida State University、Purdue University、Oxford University等。
另外,有4所大學設立了信息安全本科專業,13所大學設立了以信息安全為主的本科專業,10所大學設立了信息安全碩士專業,30所大學校設立了信息安全研究方向。半數以上大學開設的課程與NSTISSI的CNSS4011的水平相當,并對20所大學開展了NSTISSI的CNSS4011-4-15的評估認證。除此之外,美國的MIT、CMU、UC Berkeley、Stanford等名牌大學長期與美國軍方合作,為美國軍方培養了大批高層次信息安全專業人才。
創新實踐能力的培養是信息安全專業人才培養的重點,也是難點。如何有效地、整體地提高我國高校學生的信息安全創新素質和實踐能力,已經成為開設信息安全專業高校不得不面對和必須解決的問題。教育部高等學校信息安全類專業教學指導委員會也充分意識到這個問題,并于2008年舉辦了首屆全國大學生信息安全競賽,旨在通過競賽促進和提高信息安全專業學生的創新素質和實踐能力。
筆者近幾年一直關注信息安全專業學員的創新實踐能力的培養。從2008年首屆信息安全競賽開賽以來,筆者所指導的參賽組共獲得全國一等獎2項、二等獎3項、三等獎1項、國家發明專利1項(已授權)。
1 信息安全專業人才需求
社會需求的信息安全專業人才大體分為3類。
第1類是理論研究人才。這種需求來自于信息安全的專業機構、科研院所、高等院校、大型企業中的信息安全研發機構等。這方面的人才要具有良好的學術功底,具備扎實的學科理論基礎知識,能系統深入地掌握密碼學、安全協議、信息系統安全、網絡安全、軟件安全等方面的理論和關鍵技術。
第2類是技術開發人才。這種需求來自于提供信息安全產品、信息安全服務的各種單位。這方面的人才要具備良好的信息安全基礎知識、較強的技術實踐能力、熟練的產品設計開發能力。
第3類是信息安全管理服務人才。這種需求主要來自于廣大企事業單位和政府部門。這方面的人才不僅需要具備較高的信息安全技術能力,能夠正確使用、配置、維護信息安全設備,還必須具有一定的管理能力和法律知識,能正確規劃、實施和維護信息系統的安全保障。
2 信息安全基礎知識結構與實踐能力體系
信息安全基礎知識領域由信息安全概念知識單元、信息安全數學基礎知識單元、信息安全法律基礎知識單元和信息安全管理基礎知識單元4個部分組成,見圖1。
信息安全基礎中的信息安全概念主要介紹對信息安全的威脅、信息安全的基本概念和確保信息安全的措施等基本知識。信息安全數學是信息安全學的理論基礎之一。信息安全法律基礎介紹信息安全領域中的一些基本法律知識。信息安全管理基礎介紹信息安全領域中的一些基本管理知識。信息安全法律和信息安全管理知識則對整個信息安全系統的設計、實現與應用具有指導l生作用。
信息安全專業的實踐能力體系的總體結構由軟件系統實踐能力、硬件系統實踐能力、密碼學實踐能力、網絡安全實踐能力、信息內容安全實踐能力和創新實踐能力組成,見圖2。
3 創新實踐能力4階段培養模式
3.1 創新興趣培養階段
常言道:“興趣是學習之母,興趣是成功之母”。可見,興趣是學生學習的最強有力的動力源泉,創新興趣培養也很關鍵。學生在大一、大二時應參加信息安全課外興趣小組,選定一位指導教師開展“自主選題課外課題的研究”。學生在指導教師的幫助下,選擇小課題的方向,利用課余時間查閱相關技術資料,或開發一些小的程序,撰寫自主選題研究報告。教師要定期組織學生相互進行交流,讓學生講述自己研究的進展和收獲。這個階段可以慢慢培養學生的興趣,增強其學習信息安全專業課程的動力。
3.2 實踐能力培養階段
研究信息安全專業實踐能力體系。信息安全專業實踐能力體系是信息安全專業畢業生應當具備的實踐能力的結構與集合。實踐能力體系要用實踐教學體系來覆蓋,通過實踐教學體系來培養提高學生的實踐能力。實踐教學體系由多種實踐教學環節組成。
筆者參考了一些國內外知名院校信息安全專業的實踐課程設置情況,提出了符合創新實踐能力培養要求的實驗教學體系,主要包括3種實踐教學環節:實驗課、課間實驗、課程設計。
(1)實驗課:指作為一門課程,安排在課表中,包括計算機硬件與軟件應用實驗、信息安全實驗、網絡安全實驗、信息內容安全實驗等。
(2)課間實驗:是利用課外業余時間進行的一種實驗,它不在課表中安排,包括c語言實驗、Java程序設計實驗、網絡程序設計實驗等。
(3)課程設計:對于專業基礎課和專業課,可以在課程的最后安排一段時間集中進行,旨在鞏固提高課程內容的實踐活動,學生在教師的指導下進行一個與課程內容相關的實驗。要求學生根據課程的內容,自主設計和實現一個小型軟件或硬件系統。主要在密碼學、信息系統安全和網絡安全原理3門課程中安排課程設計。
以上實驗均安排學生在大三期間完成。
3.3 創新能力實踐階段
鼓勵學生在大三下學期參加全國大學生信息安全競賽。競賽提供了一次很好的實踐機會,學生可以通過參加競賽來充分展現其信息安全方面的創新能力。信息安全競賽采用自主選題、自主設計和開發,歷時5個月。競賽分為初賽和復賽兩個階段,初賽時間在每年的3-6月。競賽采用開放式,初賽不限定競賽場所,參賽隊利用課余時間,在規定時間內完成作品的設計、調試及設計文檔。決賽時間在每年的7月進行,要求參賽隊自行攜帶作品及文檔,到指定決賽地點進行作品測試和演示。每支參賽隊需準備10分鐘的PPT文檔進行現場答辯,決賽評委對作品進行提問。
信息安全競賽能夠全面考查參賽選手綜合運用所學知識進行動手實踐的能力,通過整個競賽過程的參與,可以充分調動學生的主觀能動性,激發他們的創新能力,同時還有助于培養學生的團結協作和溝通能力。
3.4 創新素質提升階段
學生在大四時需要進行本科畢業設計。畢業設計期間應參與到科研課題的研究中,在指導教師的指導下完成畢業設計課題,并撰寫本科畢業論文。以畢業論文和答辯成績來檢驗信息安全創新實踐能力的培養效果。
我們要建立一套初步的創新能力評價指標體系,由專門人員跟蹤并對培養效果進行評估。
論文摘要:文章介紹了蘭州大學信息安全專業人才培養的現狀和存在的問題。借鑒當今美國大學在信息安全專業教學中普遍采用的“核心課程+課程模塊”培養模式,提出了“模塊化教學+實訓基地教學+創新技術能力”的人才培養模式。并就如何開設創新實驗教學模式——虛擬實驗模式進行了詳細研究和重點探討,同時提出了實驗教學模式的教學評價方法和實施該模式的有效措施。
隨著全社會信息化進程的不斷加快,互聯網應用日益普及,我國面臨的信息安全問題日益突出。信息安全已經成為我國國家安全的重要組成部分,深刻影響著我國的政治、經濟、文化和國防安全。要建立可靠的信息安全保障系統,信息安全專業人才的培養就顯得尤為重要J。
一、目前我校信息安全專業的現狀和問題
2001年經教育部批準,武漢大學首先創建了信息安全本科專業。隨后,我校信息科學與工程學院開設了“2+2”信息安全專業方向,并于2007年面向全國招收信息安全專業方向本科生。經過幾年的實踐,我們深深感到信息安全專業建設方面還面臨諸多問題,特別是在實驗教學與實驗環境上更是資源極度匱乏,同時也缺少相關的參考標準和借鑒模式。
(一)專業知識結構方面
專業教學計劃不夠完善,課程體系中缺少與實踐相關的信息安全學科的特色課程。信息安全專業學生普遍感到本專業的課程設置和教學內容過散,難以構成專業知識結構。而一些信息安全學科的課程體系基本上是某個相近學科課程體系的翻版或者延伸,在課程中注重密碼學、防火墻、入侵檢測等單純安全理論與技術知識的傳授,缺少系統觀點與方法,特別是在實驗教學與實訓培養方面,對于如何構建安全的操作系統、數據庫系統,如何設計與實現安全的信息系統等重要問題涉及很少。
(二)實際動手能力的培養方面
信息安全專業不僅具有很強的理論性,同時也具有非常強的實踐性和應用性,許多安全技術與手段需要在真實的實踐過程中去認識體會,才能理解和掌握。目前,國內外一些高等院校提倡基于仿真的信息安全教學法。我校現階段尚不具備仿真環境的實驗條件,現有信息安全學科實驗設備和實驗環境還相當落后,僅能進行一些簡單的加密/解密、防火墻或者入侵檢測等實驗,而對于網絡對抗等更進一步的實驗基本沒有涉及,或者無法完成這些復雜的信息安全實驗。
(三)相關專業人才方面
我院在信息安全學科方面已經初步具備了良好的學術與人才培養積累,組建了良好的教學與科研梯隊。但在實際教學與應用中,信息安全學科方面還是比較薄弱的,還缺乏深厚的科研開發和人才培養方面的積累,專業人才數量不足。目前這種情況勢必制約信息安全專業的發展和專業人才培養。因此,我們應該加強與國內外院校、科研機構和企業的交流與合作,進一步提高我院信息安全學科教師的理論水平與實際研發能力,使信息安全專業成為重點發展的學科。
二、“模塊化教學+實訓基地教學+創新技
術能力”培養模式的探討與研究“9·11事件”發生后,美國、英國等國家對信息安全專業人才的培養非常重視,不僅將它提升到了一個更高的級別,同時也加大了對高校中信息安全專業人才培養的投入力度。當前,美國大學中信息安全專業教學普遍采用“核心課程+課程模塊”的教學培養模式。學生在完成核心課程的基礎上從模塊課程中任選幾門課程,而不必選修整個模塊課程,使學生既能掌握扎實的專業知識,又有較多的選擇機會,同時還便于教學管理和因材施教。借鑒他們的經驗,結合我校的實際情況,對信息安全專業的本科教育,也可采用這種教學模式。我們在原有信息安全專業教學計劃的基礎上,依據實際情況進行適當調整,首先,確立核心課程模塊,保證信息安全專業的基礎性。同時,對教學大綱中規定的除核心課程外的專業方向的課程,依其內容聯系等劃分成若干個課程模塊,以供學生根據自己的興趣選擇不同的主修方向,并合理安排學生到實訓基地進行實踐學習,注重學生社會實踐能力和創新能力的培養。因為當今社會對信息安全人才的要求不僅要有扎實的理論基礎,還要有較強的社會實踐能力和創新能力,故在借鑒以上模式的基礎上,結合我校的實際情況提出了“模塊化教學+實訓基地教學+創新技術能力”的教學模式。
(一)模塊化教學模式
信息安全專業已經開設,但是如何科學合理的設置教學和實驗課程仍是一個需要我們探討的問題。該專業由核心學科、支撐學科和應用學科三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和通信技術等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科體系。該學科交叉性強,應用領域寬。借鑒國外如美國、英國的經驗和國內一些高校的辦學經驗,我們將教學計劃中的“計算機網絡”、“現代密碼學”、“信息安全技術”、“網絡安全”、“信息安全實驗與實踐教程”、“編碼理論”等作為核心課程,其它專業課程分為幾個專業方向課程模塊,同時將信息安全領域的理論研究、學科建設、事業發展、前沿熱點等最新動態,以專業選修課或專題講座的形式及時地充實到教學內容中去,構成現在的信息安全專業的模塊化教學模式。
(二)實訓基地教學模式
要提高學生的社會實踐能力,必須切實加強實訓基地的建設,推行實訓基地培養模式。不僅要在實驗室里研究探索,更強調和注重學生在實訓基地的培養鍛煉,讓學生自己動手,學習一些課堂上沒有接觸到的新知識、新內容,大膽嘗試,逐步積累實踐經驗,以此鍛煉和提高他們的實踐能力和創新能力。通過實訓基地的學習,使學生真正在信息系統安全管理的策略上、技術上、Bs、cs、安全性分析、安全體系框架設計和安全產品研發等各方面都具備一定的實踐能力。
(三)創新技術能力模式
本科教育階段不僅要給學生傳授相關的專業知識和理論,更要培養學生掌握和應用新知識的方法和提高學生的自主創新能力。而達到這一目的無疑是通過不斷的實踐和摸索,使學生在實驗和實踐中不斷面臨新的問題,不斷發現新的需求,不斷增加新的壓力。以使學生主動地加強其實際動手能力和創新能力,真正認識到只有不斷地創新,才能適應迅速發展的信息社會。才能真正達到面向信息時代,培養高素質人才,提高認知能力;面向真實世界,培養解決問題的能力,提高知識應用和遷移能力;面向發展世界,培養探索能力和創新能力;面向合作時代,培養協作精神和團隊意識,提高溝通協作和組織管理能力的需求目標。
三、實驗教學和實訓基地建設的改革思路
(一)建立創新的實驗教學模式
信息安全專業作為一種應用性很強的學科,其本科教學不但應注重學科的基礎性、實用性和實踐性,還應建立創新的實驗教學模式和科學的實驗教學內容,這對于促進該專業的建設有舉足輕重的作用。根據近幾年來該專業的發展需求,并充分考慮到實驗教學模式的系統性和可操作性,我們選擇以實驗教學模式的改革為切人點,在實驗教學中嘗試將實驗教學分為網絡基礎技術實驗、密碼技術實驗、網絡攻防實驗和系統安全實驗4個層次的內容,搭建一種分層次的體系結構和多元化實驗教學模式——虛擬實驗模式。我們深入研究了我校信息安全專業在實驗教學環節中存在的突出矛盾,提出了解決矛盾的具體措施,利用虛擬實驗系統進行實驗教學,大膽進行實驗教學改革,兩年來的實踐已經證明,以虛擬實驗為主流方向的實驗室改革可以使我們逐步走出實驗教學的困境,例如開發一個虛擬仿真的實驗環境,這樣就可以使學生進行密碼學實驗,使他們更直觀的理解系統內部的加密過程,從而真正達到創新實驗教學的目的。
(二)重視實訓基地建設工作
該專業所學的大量課程與社會實踐密切相關,所以應重點建設產學研一體化的實訓基地,加強與信息產業部門的合作,為學生創造到企事業單位頂崗實習的機會,打通學生與社會接軌的渠道,使學生能夠明白真正的社會需求,使其得到既實際又規范的訓練。實訓基地可分為固定性和變動性兩類,這樣能使學生有更多的選擇機會和鍛煉機會。這方面我院的信息安全專業近年來做了許多創新性工作,不但為當地政府做了大量的社會服務工作,同時也為學院的實訓基地建設搭建了一個好的平臺。例如:2007年成立了“國家保密局涉密信息系統安全保密測評中心系統測評(甘肅省)分中心”,正在籌建的“TC—sP趨勢科技認證考試”,這些都為學生提供了很好的實踐鍛煉平臺,并已取得初步的效果。
(三)加強對學生進行多層次實訓能力的培養
對應于實驗教學模式的四個層次,在學生實訓方面主要安排以下內容:建立常用的各類計算機網絡NT、Novell、UNIX等網絡的連接;微機的組裝及故障排除;加密系統、防火墻技術、病毒的防范、黑客攻擊與防范和電子商務模擬交易及認證模擬訓練等。使學生通過這種分層次和多元化的實訓鍛煉,真正提高處理和解決實際問題的能力,提高信息安全本科人才的綜合素質。
四、實驗教學模式的教學評價和教學保障
實驗教學的評價不僅要對學生實驗結果做鑒定,更重要的是在實驗教學目標與實驗結果之間,對學生的學習進行反饋、激勵和改進,形成以評促學的動力機制J。實驗教學可分3種層次進行評價,按是否數量化分類,分為定量評價和定性評價;按評價的對象分類,分為自評、互評和教師評價;按層次模塊分類,分為階段性實驗課作業評價和實驗考試評價。同時在實驗教學和實訓過程中應努力做到以下幾點:
(1)保證有足夠的實驗時間。雖然我校由于實驗環境、實驗經費等諸多原因,在實驗教學時間的保障上還有一定的困難,但我們還是在這方面做了大量的嘗試和努力以保證學生有足夠的實驗時間。(2)保證有可實訓的基地。經過幾年的努力,我院已和國內幾家著名的企業公司建立了良好的協作關系,為學生能夠得到規范性的實訓提供了保證。(3)保證有豐富實踐經驗的實訓教師的指導。除了學校的實訓指導教師,實訓單位聘請經驗豐富的專業人士為學生做現教學與演示,達到針對性的指導學生參加實訓習的目的,通過這種方式,增強了學生對實訓習的主觀能動性,學習效果明顯提高。
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
論文關鍵詞:信息安全外包風險管理
論文摘要:文章首先分析了信息安全外包存在的風險,根據風險提出信息安全外包的管理框架,并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風險
1.1信任風險
企業是否能與信息安全服務的外包商建立良好的工作和信任關系,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息,并全面了解其企業和系統的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。并且,如若企業無法信任外包商,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。
1.2依賴風險
企業很容易對某個信息安全服務的外包商產生依賴性,并受其商業變化、商業伙伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出并造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件范圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力,再造能力即包括了信息技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
1.3所有權風險
不管外包商提供服務的范圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責,并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任,并進行安全培訓課程,增強常規企業的安全意識。
1.4共享環境風臉
信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器),這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。
1.5實施過程風險
啟動一個可管理的安全服務關系可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
1.6合作關系失敗將導致的風險
如果企業和服務商的合作關系失敗,企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗,如同其他商業關系一樣,它需要給予足夠的重視、關注,同時還需要合作關系雙方進行頻繁的溝通。
2信息安全外包的管理框架
要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業實施和管理外包活動,協調與外包商的關系,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構,同時加強管理與外包商的關系。
3信息安全外包風險管理的實施
3.1制定信息安全方針
信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義,定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。
3.2選擇信息安全管理的標準
信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。
3.3確定信息安全外包的流程
企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案,然后進行合乎規范的評估,識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后,外包商授予企業獨立評估方評估權限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節,以減少任何對可用性,服務程度,客戶滿意度等的影響。在評估執行后的一段特殊時間內,與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存,企業將這些文檔作為評估的重要工具,對外包商的服務績效進行考核。評估結束后,對事件解決方案和優先級的檢查都將記錄在相應的文件中,以便今后雙方在服務和信息安全管理上進行改進。
3.4制定信息安全外包服務的控制規則
依照信息安全外包服務的控制規則,主要分為三部分內容:第一部分定義了服務規則的框架,主要闡明信息安全服務要如何執行,執行的通用標準和量度,服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求,這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求,服務范圍等方面的內容;第三部分是安全要求,包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。
3.5信息安全外包的企業結構管理具體的優化方案如下:
(1)首席安全官:CSO是公司的高層安全執行者,他需要直接向高層執行者進行工作匯報,主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況,并確定安全工作的標準和主動性,包括信息技術、人力資源、通信、法律、設備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。
(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官,客戶企業的CIO和CSO,外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。
(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更,新的技術手段的應用,服務優先等級的更換以及服務的財政問題等,咨詢委員會的成員包括企業內部的TI’人員和安全專員,還有財務部門、人力資源部門、業務部門的相關人員,以及外包商的具體項目的負責人。
(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系,將突出的問題組建成項目進行解決,并將無法解決的問題提交給咨詢委員會。
(7)服務交換中心:服務交換中心由雙方人員組成,其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門,發掘出企業中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
(8)指令問題管理小組:這個小組的人員組成全部為企業內部人員,包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后,或者,是當CSO了關于信息安全的企業改進方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經過學習討論后,繼而將其到各個業務部門。
(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。
關鍵詞:醫院;信息安全系統;關鍵環節;策略
前言
醫院信息系統又被稱為醫院管理信息系統,主要是通過計算機技術、網絡通信技術以及信息技術等現代化手段,對醫院各部門的人流、物流以及財流進行綜合管理,并對醫院各個活動階段所產生的數據進行采集、整理、分析,從而加工成各種信息,用于醫院整體運行、管理,為醫院制定管理規劃提供充分的理論依據。尤其是隨著近幾年我國醫院信息系統規模日益擴大,醫院信息系統覆蓋的范圍也越來越廣,信息系統中的數據越來越多,對于數據安全性的要求也越來越高,使得醫院信息系統中存在的安全問題開始突顯出來。為了實現醫院可持續、長遠發展目標,醫院必須將建立完善的信息安全系統作為重任,重點研究醫院信息安全系統存在的問題。
一、醫院信息安全系統的關鍵環節
信息安全直接關系醫院發展,而醫院信息安全系統包括的內容比較多,其關鍵環節的安全對信息系統安全發揮著極為重要的作用。
(一)硬件安全
醫院信息安全系統中硬件屬于關鍵構成部分,決定醫院信息安全系統能否充分發揮其重要作用。硬件部分主要包括中心機房、服務器、網絡設備以及連接線路等,確保硬件安全,才能為系統安全運行提供充分的保障。其中,中心機房屬于醫院信息系統的核心構成部分,影響中心機房安全穩定運行的因素主要包括穩定的電源、專用的空調設備以及監控報警系統等,保證這些因素健全,就可以確保中心機房安全穩定運行。服務器在醫院信息系統中的重要性僅次于中心機房,對于醫院信息系統安全也具有十分重要的作用。網絡設備是醫院信息系統的核心交換機,其交換機等同于中轉站,通過連接各種信息設備,為醫院信息共享提供充分的保障。
(二)軟件安全
醫院信息系統中的軟件部分主要包括數據庫、終端和應用軟件,其中數據庫是醫院信息安全系統的關鍵環節,數據庫的安全運行建立在服務器安全運行的基礎上,它不僅關系數據庫軟件的安全運行,對于數據庫中數據的安全備份以及恢復也有著極為重要的作用。隨著網絡通信技術和信息技術在醫院廣泛應用,醫院數據信息、醫療資料的管理越來越依賴信息系統,信息系統中數據備份和恢復的功能,能夠充分確保信息安全,對于醫院制定發展規劃可以提供科學的理論依據,有利于實現醫院穩定、持續發展目標。
(三)其他因素
醫院信息安全系統運行質量不僅受系統自身的影響,還受其他因素的影響。其中,人的因素是最為重要的影響因素,主要是因為管理人員直接參與醫院信息管理,作為保證醫院信息安全系統安全穩定的關鍵環節之一,也需要不斷提高信息管理人員的綜合素質和專業水平,只有這樣才能為醫院信息系統安全運行奠定堅實的基礎。
二、醫院信息安全系統關鍵環節的有效策略
(一)硬件安全運行策略
醫院信息系統主要有硬件和軟件兩部分組成,直接關系著系統的運行質量。由于醫院信息系統中的中心機房一般處于溫度、濕度以及噪聲等比較惡劣的環境,為了確保中心機房安全運行,必須從這些方面出發做好安全策略。為了保證醫院信息系統反饋的信息具有有效性和可靠性,應該在中心機房中安裝報警系統,利用報警系統及時反饋信息,通過對信息的分析,找出中心機房運行中存在的故障,并采取有效措施及時解決故障。除此之外,中心機房還需要采取雙路供電,在中心機房中配備滿足要求的UPS設備,避免雷電襲擊對中心機房運行安全形成不利影響。服務器在醫院信息系統中的重要性僅次于中心機房,為了確保服務器可以充分發揮作用,應該對服務器進行定期的安全評估,對操作系統和應用軟件進行補丁升級,及時做好系統備份,安裝相應的殺毒軟件,及時查殺服務器中存在的安全隱患,防止黑客和病毒對服務器的攻擊,只有這樣才能確保中心機房可以安全穩定運行,促使醫院信息系統可以充分發揮重要作用。
(二)加強人員培訓,提高人員專業水平和職業素養
人為因素在醫院信息安全系統運行中發揮著不可替代的重要作用,而醫院信息系統主要以現代計算機技術為主,計算機應用能力直接決定信息系統的安全性和穩定性。為了促使醫院信息安全系統可以安全、穩定運行,必須加強信息從業人員職業道德和專業水平的培訓,不斷提高從業人員的職業素質和專業水平,促使從業人員可以在醫院信息安全系統管理工作中充分發揮重要作用,利用自身的專業水平及時解決系統運行中存在的故障。除此之外,對于應用軟件在醫院信息安全系統中存在的問題,應該從各個層面出發,確保應用軟件的安全。在應用軟件安裝前對其進行嚴格的測試,且對重要數據進行加密,促使應用軟件可以充分發揮重要作用。
結束語
綜上所述,醫院信息系統存在的主要目標是保障醫院的行政管理和事務處理業務,提高醫院工作效率和工作質量,通過龐大的數據庫,為醫院制定發展規劃和決策提供科學的理論依據,從而最大限度降低醫院管理成本,提高醫院的經濟效益和社會效益,為醫院實現長遠、可持續發展目標提供充分的保障。所以,必須從醫院信息安全系統關鍵環節出發,找出其有效策略,充分發揮信息系統在醫院發展中的重要作用。
參考文獻:
[1]茍文強.構建醫院網絡安全系統,保障信息系統安全[C].//2014中華醫院信息網絡大會論文集.2014:1-3.
[2]張樂,劉黎.關注民生保障母嬰安全――無錫錫山人民醫院應用銀江嬰兒安全系統[J].中國信息界-e醫療,2010,(11):54-55.
論文摘要:特色是普通高等院校辦學水平的標志,也是學校辦學優勢的具體體現。為了進一步鞏固發展信息管理與信息系統專業,優化該專業的結構,提升該專業建設的整體水平,滿足企業對信息化人才的需求,文章從信息管理與信息系統專業背景分析入手,對中國計量學院信息管理與信息系統專業的特色定位和教學體系改革提出若干思考。
一、引言
教育部1998年頒布的專業目錄中,將信管專業的培養目標確定為:“培養具備現代管理學理論基礎、計算機科學技術知識及應用能力,掌握系統思想和信息系統分析與設計方法以及信息管理等方面的知識與能力,能在國家各級管理部門、工商企業、金融機構、科研單位等部門從事信息管理以及信息系統分析、設計、實施管理和評價等方面的高級專門人才。”從培養目標中不難看出一方面教育部進行專業整合的初衷是為了摒棄以前專業劃得過細的做法,把目標轉向培養既懂經濟管理知識,又懂信息技術的高層次、跨學科的復合型人才上來。它不同于計算機科學與技術專業,也有別于工商管理專業。但另一方面,又由于新專業是由五個專業歸并而成的,目錄中確定的培養目標只能是具有寬泛性和普適性要求的基本目標,給各個高校的具體操作留下了很大的空間。
由于側重點不同,信管專業課程體系設置在國內高校中出現了多種方案。2005年以前有主干學科結構、知識模塊結構、功能模塊結構等七種方案。2005年以后仍然是百家爭鳴、百花齊放。對于專業方向,有三、四、兩個之劃分;對于能力組成,有五項、三項之劃分;對于核心課程設置,有十一門、八門、十門之劃分。有的認為應以“信息系統的開發與管理”為核心,有的則認為應圍繞ERP企業資源計劃課程。對于知識體系,有五模塊、三模塊之劃分。總之,目前我國信管專業的課程體系多是一種多學科課程的拼盤式組合,沒有形成專業自身的專業基礎理論體系。
中國計量學院在“十二五規劃”中明確指出“要堅持走特色化辦學、差異化競爭之路,把特色辦學理念貫穿于創建特色鮮明、國內知名的教學研究型大學實踐中”。為了進一步鞏固發展我校信息管理與信息系統專業,優化該專業的結構,突出該專業建設的特色,需要從信息管理與信息系統專業背景分析入手,結合計量學院的辦學特色,對信息管理與信息系統專業特色重新進行定位。
二、專業特色定位
中國計量學院經濟與管理學院信管專業是2000年設置的,10多年來專業在學校和分院的指導下取得了一些成就和發展:國家自然科學基金兩項、浙江省精品課程一門、浙江省重點教材兩部;在學生實踐教學中連續兩年獲得全國電子商務大賽一等獎。但是隨著社會和學校的進一步發展,專業的發展面臨著許多困難和問題:一是專業定位不明確,特色不明顯;二是課程體系設置不合理,課程體系的設置主要是采用“拿來主義”;只注重單科課程設置,忽視課程之間的整合,不少課程內容嚴重重復,浪費教學時間和教學資源;三是實踐環節薄弱,純理論的課程占的比重過大,實踐課程占的比重太小,實踐教學明顯不足,學生動手能力不強,分析問題和解決問題的能力差;四是專業定位與教學體系之間的吻合度難以考評。
專業建設是普通高等院校主要教學基本建設項目之一,處于教學建設的龍頭地位。特色是普通高等院校辦學水平的標志,也是學校辦學優勢的具體體現。辦學特色,是一所學校或專業在長期辦學過程中積淀形成的,反映在人才培養方面的獨特個性和明顯優勢。它具體體現在學校或專業的辦學定位、培養模式、課程體系、教學方法和實踐環節等諸多方面,它是學校或專業辦學水平和競爭能力的綜合反映。
目前國內信管專業的人才培養模式主要有三種:一是以清華大學、同濟大學為代表的經濟管理模式(即M模式);二是以武漢大學、北京大學為代表的綜合性大學的信息資源管理模式(即I模式);三是以中國人民大學和中山大學為代表的側重于計算機系統導向模式(即S模式)。經過前期多次學科討論,參照國內外著名高校的經驗,我們擬將“信息管理”作為學科定位,以“信息安全管理”作為專業特色定位。這樣的專業定位是依靠學校優勢學科,以社會需求和學生能力為導向,借鑒國內外辦學經驗,發揮自身優勢,辦出特色與水平。中國計量學院是我國質量監督檢驗檢疫行業唯一的本科院校,是一所具有鮮明的計量標準質量檢驗檢疫特色的浙江省重點建設大學。學校堅持“立足浙江,面向全國,依托行業,服務地方”,積極開展科學研究。中國計量學院經濟管理學院是中國唯一獲得全球首屆“ISO標準化高等教育獎”的學院,是通過GBT/19001-2000idtISO9000:2000質量管理體系認證的學院。學院緊緊圍繞學校建設國內知名的教學研究型大學的奮斗目標,深入實施“先進的標準,精密的計量,卓越的質量”教學管理方針,堅持以貢獻求支持,以特色爭優勢,以創新謀發展,立足浙江,面向全國,走向世界,使學院成為我國培養質量管理高層次專門人才的搖籃。
三、專業教學體系
培養目標的實現是靠課程體系的整合和設計來支撐的,課程體系直接反映了人才培養的方向,體現知識、能力、素質、市場(就業)和特色五個方面的導向作用。課程是教學之根本,其主要任務在于結合社會對人才的實際需求,依據專業培養的總體目標來設計一套最優的課程體系。信管專業也是一門應用性非常強的專業,其培養目標是應用型、高級的信管人才。純理論課教學是解決不了動手能力問題的,也無法培養出應用型、高級的信管人才,必須加強實踐教學。通過社會實踐、認識實習、專業實習、課程設計、畢業設計等一系列環節來鍛煉學生的動手能力。信管專業本著專業定位、特色定位從知識、能力、素質、市場(就業)和特色五個方面來設計專業的教學體系。
(一)信息管理
畢業生應具備以下幾方面的知識和能力:一是掌握經濟學、管理學、計算機和信息管理的基本理論和基本知識;二是具有信息獲取、組織、分析、研究、傳播與開發利用的基本能力;三是掌握運用現代化技術手段進行文獻信息檢索、資料查詢收集的基本方法和能力,能利用計算機網絡采集和信息,具有一定的科研和實際工作能力;四是具備文檔管理的能力,包括文檔、數據、信息分類管理等;五是具有運用現代的管理方法和手段對與企業或組織相關的信息資源和信息活動進行組織、規劃、協調和控制,以實現對企業或組織信息資源的合理開發和有效利用的能力。
畢業生應具備以下幾方面的素質:一是勝任力——學習能力和讀寫能力。不斷地、有計劃、有組織地學習,不斷地追隨管理專業的新發展,能用最少的時間,花最小的精力,獲得最大量的新知識,并不斷地優化自己的知識結構。追蹤科技與社會發展的前沿,不斷地更新和擴展自己的知識信息,以適應未來社會日新月異的發展變化。具備讀寫能力,信息管理人員才能實現對信息的收集、存儲和傳遞。二是敏銳感知外部世界的能力——信息獲取能力。三是熟練操縱因特網的能力。熟練掌握網絡技術,把已獲取的新信息通過一定的綜合分析、計算、試驗操作,最終找出問題,設計解決方案,得出科學結論。四是良好的溝通能力和團隊合作精神。五是創新能力。
開設的主要課程:專業主要課程:信息資源管理學、信息存儲與檢索,信息分析與預測,信息組織學,信息計量學,專業實踐課程:統計軟件實習,管理軟件實習。 就業方向:可以在政府部門或企事業單位的信息管理機構,從事文獻和文檔管理、信息收集、分析、處理、咨詢服務和管理工作等。畢業生經過考試可以成為信息處理技術員、國家信息分析師。
(二)信息安全管理
信息安全管理在當前是全球的熱門話題,而建立一個符合國際標準的體系,是大家普遍關注的焦點。建立健全信息安全管理體系(ISO27001認證)對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最后,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
BS7799標準是全球第一份關于信息安全管理體系的標準,BS7799-1現在已經被采納為ISO/IEC27002:2005;BS7799-2也于2005年被采納為ISO27001:2005。該標準當前已被諸多國家采納為國家標準。截至2007年9月已經有超過4000家組織通過了ISO27001:2005的審核,獲得了信息安全管理體系認證的證書。
畢業生應具備以下幾方面的知識和能力:一是信息安全管理技術能力;二是信息安全管理能力。此主要目的是要求學生了解信息安全及其重要性,認識什么是信息安全管理體系,建立一套信息安全管理體系為何需要ISO27001,學會如何建立一套符合企業(組織)需要的信息安全管理制度。
開設的主要課程:計算機安全與技術、網絡安全、信息安全管理體系、信息安全風險評估與管理、信息安全管理體系ISO27001建立與實施。
就業方向:畢業的學生經過考試獲得信息安全管理體系認證證書,可以從事企事業單位信息安全管理。
四、結論
信管專業的特色培育和課程體系建設并非一蹴而就、一勞永逸的工作。為此,我們將建立一套完整的教學質量管理體系,囊括管理機構和人員、管理的規章制度、管理手段和評價指標體系等,其作用是對整個體系中進行信息反饋和控制,評價專業定位、特色定位與教學體系之間的吻合程度。
參考文獻
1、陶雷,莫贊,張立厚.應用型本科“信管”專業課程體系探究及建構實踐[J].情報雜志,2010(2).
2、何永剛,黃麗華.信息管理與信息系統專業課程體系研究綜述[J].情報雜志,2007(8).
3、CISC2005課題組.中國高等院校信息系統學科課程體系2005[M].清華大學出版社,2005.
4、鄧曉紅.基于職業能力分析的信息管理與信息系統專業核心課程體系研究[J].中國管理信息化,2009(6).
5、張勁松.信息管理與信息系統專業課程體系創新研究[J].情報雜志,2008(11).
6、張慶華,譚旭紅.基于集成化模式開展信息管理與信息系統專業建設[J].中國管理信息化,2009(3).
論文摘要:當前很多院校都開設了有關網絡信息安全的課程,然而由于部分院校還沒有來得及建立相關的專業實驗室,而正常的教學工作用機又不允許安裝實驗演示需要的環境和軟件,只能進行單純的理論教學,因此很難激發學生的學習興趣,學習效果也達不到預期目標。筆者經過一段時間的摸索,通過采用虛擬機技術,在一臺實體的計算機上,安裝任意臺的虛擬機,模擬真實網絡服務環境,解決了網絡信息安全教學備課、教學演示中對于特殊網絡環境的要求問題。
1虛擬機技術的簡介
所謂虛擬機,顧名思義就是虛擬出來的計算機。虛擬機技術也就是利用虛擬機軟件可以在一臺實體計算機上虛擬出來若干臺計算機一種技術。這些虛擬出來的計算機和真實的實體計算機幾乎完全一樣,每臺虛擬機可以運行單獨的操作系統而互不干擾,而且可以隨意修改虛擬機的系統設置,而不用擔心對實體計算機造成損失。
采用虛擬機技術一方面可以解決一般院校課堂教學沒有網絡環境的問題,另一方面也可以解決一些帶有破壞性的實驗演示所需要的特殊環境要求的問題。
2利用虛擬機技術構建實驗演示環境
在木馬的功能與危害實驗、網絡攻擊典型手段等演示中需要在一臺實體機(為了方便備課和教學可以采用筆記本電腦)上同時啟動多臺虛擬機,對實體機的系統資源占用量大,在操作中也經常需要重新啟動虛擬機,考慮到virtual pc在資源占用和簡單易用上的優勢,所以,在本課程的實驗演示中虛擬機軟件選用了virtual pc。
virtual pc虛擬機軟件的安裝和設置不是很復雜,但是在構建具體的實驗演示環境時還要注意以下幾點事項。
1)虛擬機數量的選擇問題。為了節約資源,提高系統運行速度,一般建立2個虛擬機就能滿足實驗演示的需要了。
2)旎擬機操作系統安裝的問題。如果建立了2個虛擬機,一般一個安裝windows 2000 server操作系統,另一個安裝windowsxp操作系統,安裝過程和操作與實體機上的操作一致。在安裝操作系統時要注意版本的選擇,因為我們的目的是要演示木馬的功能和危害還有網絡攻擊手段,因此虛擬機的操作系統還不能全部打上補丁和安裝殺病毒軟件。
3)實體機的網絡配置問題。virtual pc是通過在現有網卡上綁定virtual pc emulated switch服務實現網絡共享的。對于win-dows2000或windows xp等操作系統,如果實體機在課堂教學時網線沒插或沒有網卡的時候,要安裝microsoft的loopback軟網卡,才能實現網絡共享。在virtual pc的global setting里,當有網卡并插好網線的時候,將virtual switch設成現實的網卡;當沒有網卡或網線沒插的時候,將virtual switch設成ms loopback軟網卡,即可實現網絡共享。
4)實體機的硬盤空間問題。在一個硬盤分區中,為每臺虛擬機的映像文件預留足夠的硬盤空間。windows2000 server的虛擬機映像文件約占2.4gb , windows xp的虛擬機映像文件約占1.sgb。如果啟用硬盤undo功能,所需硬盤空間還要增加一倍。
5)實體機的內存大小的問題。由于在實驗演示時要同時啟動2個以上的虛擬機的數量,所以,要盡量擴大實體機內存的大小。建議實體機系統的內存最少也要達到igo。
隨著計算機網絡的不斷發展與普及,人類生活已經入信息化、數字化時代,在我們的日常生活、學習、工作等諸多領域都有著網絡的痕跡,而目前獲取信息進行交流的主要手段也是網絡。眾所周知,一個國家國民教育程度的高低對整個國家國民素質的發展有著重要的影響。因此,網絡化教育已經成為教育發展的必然趨勢,國家的發展離不開教育,而教育的發展離不開網絡。然而,由于種種原因,網絡也有其不足之處,我們在進行網絡教育的過程中必然存在很多問題。為了提供一個安全可靠的網絡環境,在培養信息安全人才的同時,還必須加大網絡安全系統建設的投入,這是確保信息安全的關鍵。
網絡系統的信息安全是指防止信息被故意或偶然的非法泄露、更改、破壞或使信息被非法系統識別、控制等[4]。所以,強化網絡的信息安全,解決信息安全問題,才能使信息更加持續化,向健康的方向發展。
一、目前學校網絡教育中信息安全教育存在的問題
當前,盡管全球信息化正在飛速發展,但信息在網絡上也面臨著隨時被竊取、篡改和偽造的危險,這就對保障信息安全帶來了很多挑戰。因此,我們在校園環境中也要認識到,現在學生上網已經是一種非常普遍的現象,而虛擬的網絡環境在為學生的學習和生活提供廣闊發展空間的同時,也對學生的健康成長起著直接或間接的負面影響,例如計算機病毒、黑客攻擊等現象。如果不能正確引導學生認識,那么學生對于網絡信息安全的理解就會走向誤區。下面將針對網絡教育中存在的信息安全問題做簡單論述:
1、對信息安全教育的認識不足
加強學校信息安全教育,不僅是保證學生身心健康發展的關鍵,也是同其他國家爭奪人才的需要。目前很多學校未能意識到網絡信息安全教育的重要性,不能深刻理解其內涵,因此,從現在開始就要培養學生對網絡信息安全重要性的認識,掌握信息安全體系中最基本的原理和概念,能夠熟練運用常用的工具和必要手段進行安全故障的排查等等[5]。我們要最大限度地保證學生免受不良信息的侵害,盡量避免學生自身違法犯罪的發生,為我國培養高素質、高水平人才提供保障。
2、對網絡信息安全教育的重視力度不夠
目前很多學校對于如何將信息安全教育正規、科學的納入到學校教學計劃,還沒有做出明確的規定。有些學校甚至只對個別專業的學生開設相關的信息安全教育課程,普及面非常狹窄,重視程度遠遠不夠,導致學生對計算機軟件和硬件知識體系的了解相當缺乏。為了全面提高我國高素質人才的計算機信息安全意識,我們不能僅僅對計算機專業的學生普及信息安全教育,還要將這項教育推廣到非計算機專業,這對于增強我國經濟社會全面信息化建設具有十分重要的保障作用。
3、對學校信息安全教育采用的方法不當
很多學校所采用的信息安全教育的方法比較落后,依舊沿用老方法,跟不上當今網絡時代快速發展的要求,脫離了實際。大部分的教材只局限于理論的講述,而忽視了對信息安全技能方面的培養,缺少必要的實踐經驗,嚴重影響了信息安全教育的效果。
二、計算機網絡系統本身存在的主要信息安全問題
由于計算機網絡的重要性和對社會活動的影響越來越大,大量數據需要進行存儲和傳輸,某些偶然的或惡意的因素都有可能對數據造成破壞、泄露、丟失或更改。以下內容主要是論述計算機網絡系統中本身存在的信息安全問題,并針對這些問題進一步提出了解決的策略。
1.影響計算機網絡安全的因素有多種,主要是自然因素和人為因素。自然因素是指一些意外事故,例如服務器突然斷電等;人為因素是指人為的入侵和破壞,這種情況危害性大且隱藏性較強。
2. 無意的損壞,例如系統管理員安全配置不當而造成的安全漏洞,有些用戶安全意識不強、口令選擇不慎、將自己賬戶隨意轉借他人或與他人共享資源等帶來的安全問題。
3.有意的破壞,例如黑客利用網絡軟件設計時產生的漏洞和“后門”對電腦系統的非法惡意攻擊,從而使處于網絡覆蓋范圍的電腦系統遭到非法入侵者的攻擊,有些敏感數據就有可能被泄露或修改,這種破壞主要來自于黑客。
4.網絡黑客和計算機病毒是造成信息安全問題的主要原因。網絡黑客和計算機病毒的出現給計算機安全提出了嚴峻的挑戰,因此要解決此問題,最重要的一點是樹立“預防為主,防治結合”的思想,牢固樹立計算機安全意識,防患于未然,積極地預防黑客的攻擊和計算機病毒的侵入[4]。而病毒則以預防為主,主要是阻斷病毒的傳播途徑。
三、網絡信息安全的防范措施
1、加強計算機防火墻的建設
所謂計算機防火墻是由軟件和硬件設備組成、在內網和外網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,保護內部網免受非法用戶的入侵,能夠保護計算機系統不受任何來自“本地”或“遠程”病毒的危害,向計算機系統提供雙向保護,也防止“本地”系統內的病毒向網絡或其他介質擴散[2]。
2、建立一個安全的網絡系統
2.1從技術上保障可行的資源保護和網絡訪問安全,主要包括網絡身份認證,數據傳輸的保密與完整性,域名系統的安全,路由系統的安全,入侵檢測的手段,網絡設施防御病毒等。如加密技術,它是電子商務采取的主要安全保密措施,是最常用的安全保密手段,是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)的一種技術。
2.2詳細了解當前存在的網絡信息安全問題,以及網絡信息安全的攻擊手段,積極采取相應的有效措施進行解決。
2.3要從工作環境以及工作人員、外來人員方面切實做好保密工作,要有嚴格的崗位考核管理制度,對工作人員的安全意識要經常培訓,以便從物理上斷絕對網絡安全的威脅。
2.4用戶本身方面,要有強烈的自我保護意識,對于個人隱私及與財產有關的相關信息要做好保密工作,不能輕易告知他人。
2.5要對網絡外部運行環境(溫度、濕度、煙塵)進行不定期的檢測、檢查和維修,提供一個良好、暢通的外界環境。
隨著信息化進程的加快和網絡安全行業的快速發展,網絡教育在學校教育中扮演著越來越重要的角色,推動新的教育模式不斷向前發展。同樣,我們也面臨著新的威脅,因此我們必須運用新的防護技術。網絡信息安全是一個系統的工程,我們不能僅靠硬件設備(殺毒軟件、防火墻、漏洞檢測)等的防護,還應意識到計算機網絡系統是一個人機系統,計算機是安全保護的對象,但執行保護的主體是人,只有樹立人的計算機安全意識,才有可能防微杜漸,同時還要不斷進行網絡信息安全保護技術手段的研究和創新,從而使網絡信息能安全可靠地為廣大用戶服務。
參考文獻
[1] 葉炳煜.淺論計算機網絡安全[J].電腦知識與技術,2009,(03).
[2] 閻慧.防火墻原理與技術[M] .北京:機械工業出版社,2004.
[3] 張紅旗.信息網絡安全[M].北京:清華大學出版社,2002.