发布时间:2023-10-10 17:16:22
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇信息安全行业分析范例,将为您的写作提供有力的支持和灵感!
Abstract: in the new period of the coal industry to strengthen the safety management, and to promote the health of the coal industry sustainable development have very important sense, this paper first analyzes the current safety management of the coal industry, the main problems of how to solve and, in order to strengthen the management of the coal industry safety countermeasures were proposed.
Keywords: coal industry; Safety management; Problem; countermeasures
中图分类号:TU714 文献标识码:A 文章编号:
煤炭行业是事故频发的行业,近些年大大小小的煤矿事故,不仅造成了大量的人员伤亡,给众多家庭造成了无法估量和弥补的重大损失,且因每起煤矿事故都要花去大量的费用,用于抢救费、抚恤金以及子女教育等,给国家造成了巨大的经济损失。另外,煤矿尘肺在我国患者众多,给数千万的矿工带来了巨大痛苦。众多的煤矿事故背后,往往与人为因素有着很大关系,安全管理不到位便是其中至为严重的一个问题。
一、新时期煤炭行业安全管理存在的主要问题
1、对安全管理的认识不到位
加强煤炭行业的安全管理虽然已经是老生常谈的问题,但正是这种再三强调的问题,因部分管理者已经听得麻木,而实际上并未在思想上予以高度重视,仅片面强调煤炭行业的经济效益,而忽略了行业安全的重要性,不仅没有制定相应的安全管理规章制度,且在平时的具体管理工作中,也往往在安全问题上显得松懈。部分煤炭企业的领导甚至认为,过分强调安全问题,反而从反面说明了煤炭企业存在较大的不安全因素,对于稳定员工人心是不利的,在这种思想认识下,煤炭业的安全问题就无从谈起。
2、安全管理目标不合理,安全培训不到位
安全管理目标的制定上,部分煤炭企业并不能严格按照自身特点,有针对性地制定相应目标,以最大化保证煤炭开采的安全性,而是迫于压力,仅制定能基本保证较大煤矿事故免于发生的安全管理目标,而不能使目标尽量覆盖所有可能引发事故的问题。另外,对于企业员工的安全培训还不到位,部分煤炭企业为尽量减少额外开支,不断压缩员工的培训机会,使得很多员工在并没有全面接受到安全教育知识时,便匆匆上岗作业,一旦发生事故,不仅自身面临较大危险,且使得整个煤矿作业面临更大风险。
3、先进的信息技术使用不足
随着信息时代的到来,各个行业均因技术革新而实现了更好发展,但在煤炭行业中,部分企业还是沿用旧有的存在诸多问题的、老化缺乏修理设备,更无从谈使用先进的生产技术和设备。矿井勘测和开采的不断深入,必然需要具有较高科技含量的设施来保证人身安全,但部分企业为节约开采成本,一拖再拖,迟迟不肯更新含有高新技术的生产和勘测设备,为煤炭行业的安全作业埋下了隐患。
4、监管体系不健全
各级政府和煤炭生产安全监督部门在应尽职责上还没落实到位,部分地区的监管部门在工作责任、工作范围和所拥有的职权上存在着不对称现象,致使对煤炭行业的安全管理问题虽然投入较大,但收效并不乐观,尤其是一些经常出问题的小煤矿,监督管理力度不够使得安全管理资金投入大部分付之东流。
5、法律法规不完善
现行的煤炭行业安全管理方面的法律法规实施已久,大多颁布于计划经济体制下,并没有随着我国经济形势的发展,并根据煤炭行业的发展现状,作出相应调整,尤其对于当下数量众多的小型煤矿,由于它们兴起的时间较晚,使得针对他们的相关法律法规较为欠缺,而小煤矿又是安全问题频发的煤炭企业,由此,为整个煤炭行业的安全管理埋下了一定隐患。
二、新时期加强煤炭行业安全管理的主要对策
1、提高对安全管理的思想认识
煤炭行业管理层应树立起高度的安全管理思想认识,转变管理理念,不仅狠抓煤炭行业的经济效益,且要同步强化安全管理成效,尽量避免煤矿事故的发生,为煤炭行业的长远发展起到促进作用。应树立安全优先,一切工作均要以人身安全为前提的工作思路,将安全管理贯彻于煤炭工作的方方面面,并能给煤炭行业的管理工作注入人文关怀,一切工作从职工的利益出发,怀着感情抓安全,并坚信煤矿事故可以避免,从源头上做好煤炭行业的安全管理,在保障职工安全的前提下,提高煤炭行业的经济效益。
2、制定合理的安全管理目标,强化职工安全培训
安全管理目标的制定要坚持以人为本的原则,调动广大职工参与到安全管理中来,让每个职工认识到他们作为个体人的发展价值,从而将安全思想牢记心间,与领导者一并强化安全意识,以促进安全管理的落实。让每个职工参与安全管理,才能从根本上保证安全管理目标的实现。其次,应强化安全培训。鉴于我国煤矿作业职工很多是临时工、农民工,不仅缺乏安全作业意识,且缺乏相应的安全技术知识,因此,应通过培训让每一个员工树立起“安全第一”的理念,并通过在煤炭行业内部营造一种尊重人、关心人的氛围,让每一个员工感受到被关心、被理解,从而认识到自身的价值,并由此强化自身安全意识。另外,还应定期对煤炭职工进行安全技术知识的培训,使所有职工均掌握基本的安全作业技能,最终为煤炭行业的安全管理提供最大保证。
3、充分利用信息技术强化安全管理
煤矿行业相关领导应增加对煤矿安全生产的投入,积极引进先进的生产技术和设备,逐渐淘汰落后的存在重大安全隐患的作业设备,以尽量避免因生产设备引发煤矿事故。另外,应积极借鉴国外先进的生产技术和管理经验,并使有条件的煤炭企业与国外大型煤炭企业展开合作,通过引进国外先进的生产设备或技术等,加强煤炭作业的安全。此外,还应借助计算机技术构建煤炭行业的安全作业信息系统,建立安全监测系统,以利用信息技术不断提高煤炭行业的安全管理落实程度。
4、健全监管体系
首先,各级政府要加强对煤炭行业安全管理的监督,落实好安全管理的人员、机构、资金和装备,并定期对煤炭安全管理中出现的重大问题进行研究,从宏观上加强对安全管理的监控。其次,煤矿安全监督部门应强化自身的责任意识,严格对安全管理的落实情况进行检查,并为安全管理者提供相关咨询,帮助他们尽可能地消除安全隐患,督促煤炭行业安全管理者认真落实管理责任。再次,应加强社会舆论的监督力度,设立举报电话,认真接听群众的相关投诉,并通过严格核查,对确实存在安全管理问题的煤炭企业进行严肃清查。最后,在煤矿职工内部构建起安全监控机制,保证能自下而上顺利实现对安全隐患的举报,以全方位不断提高煤矿行业的安全管理水平。
5、完善相关法律法规
应与时俱进调整煤炭行业相关的法律法规,以适应煤炭行业新的发展形势,尽快健全《矿山安全法实施条例》,并不断完善《煤炭法》以及《矿产资源法》等相关的法律法规,不仅要在法律法规中体现安全管理意识,并尽量设置专门针对煤炭行业安全管理的法规文件,以强化煤炭行业管理人员以及所有相关人员对煤矿安全作业重要性的认识。另外,还应加强对违法进行煤矿管理人员的惩处力度,尤其对于因安全管理意识淡薄而造成重大煤矿事故的人员应严惩不贷,以儆效尤。
结语:鉴于当前煤矿事故时有发生,为国家和个人造成了无法估量的重大损失,煤炭行业的安全管理问题愈加受到重视,应认清目前煤矿安全管理中存在的主要问题,并通过提高相关人员的思想认识,制定合理的安全管理目标,强化安全培训,充分利用信息技术,健全监督体系,以及完善相关法律法规等措施,全方位强化安全管理的落实,为煤炭行业的安全生产和健康发展提供强有力的保障。
参考文献:
[1] 张晓东.煤矿安全管理的创新思考[J].现代商贸工业,2010(19)
绿盟科技是我国最早从事网络安全业务的企业之一,自创立以来专注于信息安全领域,主营业务为信息安全产品的研发、生产、销售及提供专业安全服务。公司主要服务于政府、电信运营商、金融、能源、互联网等领域的企业级用户,为其提供网络及终端安全产品、Web及应用安全产品、合规及安全管理产品等信息安全产品,并提供专业安全服务。
绿盟科技拥有强大的技术研究和产品研发实力。公司初创时期就成立了绿盟科技安全研究院,也成为国内安全行业顶尖的技术研究团队之一。十余年来,团队一直专注于漏洞挖掘、漏洞分析、逆向工程、防护算法的研究,协助Microsoft、Cisco、SUN等公司解决了40个以上的系统安全漏洞问题,累计经CVE和Security Focus认证的安全漏洞共43个,其维护的安全漏洞库(NSBL)也成为国内最权威的中文漏洞库,成为国内云安全技术研究的先行者。
良好的企业文化是绿盟科技上市后可持续发展的保障。公司信奉忠于职守、尽心尽责的责任感;同时以专业精神、专业技能、专业流程、专业品质,向客户提供高质量的产品与服务;公司内部强调依靠团队精神来实现理想,分享知识和快乐;通过持续创新以满足客户日益变化的安全需求;公司内部推崇业绩文化,重视员工回报,追求员工与企业共同发展。2009年,公司被《财富》杂志、华信惠悦(全球四大人力资源管理咨询公司之一)联合授予“卓越雇主:中国最适宜工作的公司”。
按照经济学的观点,我们划分信息安全行业为:“导入期,成长期,成熟期,衰退期”四个阶段。
导入期
中国信息安全市场的导人期已经过去,但其时间发展较长,从1997年至2000年末期。这时期的特点一般为:市场增长率较高,需求增长很快,技术变动较大。行业中的企业主要致力于开辟新用户和占领市场,但此时技术尚不成熟,行业竞争状况和用户特点等尚不明朗。竞争较少,但风险很大,利润很少甚至是亏损。
成长期
目前中国信息安全市场已进人成长期,这一时期的特点为:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知能力迅速提高,产品形成差别化趋势以满足顾客不同的需求,生产能力呈现不足;市场竞争逐渐形成,进人壁垒拔高,企业应付风险的能量得到增强,利润呈加速增长态势。
成熟期
预计在未来的5、6年安全行业就会进人成熟期,那个时候,行业竞争激烈,盈利能力下降,进人壁垒更高,企业利润不再增长甚至开始回落。中国的信息安全主要市场已经被瓜分。就算有新的产品进人,由于国家政策和行业规范的壁垒,新产品也会被已有的行业瓜分成员所享用。
衰退期
信息安全行业很难估计这个时期,由于存在长期的需求和技术进步的推动力,这一时期应该很长。
影响信息安全行业发展的主要因素
目前中国信息安全市场正处在成长期的时候,国内的信息安全市场虽然增长很快,但是问题不少,信息安全市场还远未成熟。当前信息安全领域主要存在以下主要问题:
安全应用需求不明,当前市场上存在的众多错误概念和混乱意识,使得刚刚开始形成安全意识的企业用户莫衷一是。在众口一词“满足用户需求”的宣传口号下,信息安全厂商是否真正满足了用户需求?一个客观的不容忽视的现状是:信息安全市场是越来越大了,产品是越来越成熟了,可是我们的用户们却越来越迷惘了。
信息安全公司的销售人员往往向用户宣称自己的产品是最好的,可是购买了他们的产品就安全了吗?装上杀毒软件和防火墙,甚至人侵检测就万事无忧了吗?如果不知道花钱能不能得到效果,那么还不如不花。这个清况代表了一部分,甚至是大部分企业用户的想法。事实上,我们的用户已经在市场的热情攻势下迷惑了,市场和需求完完全全地脱了钩。这是因为,作为用户根本不知道自己到底需求什么,而厂商为了推销自己的产品和服务对用户加以误导。
产业结构失调,产品过度集中,低水平重复严重。现在的安全产品的开发“扎堆儿”现象严重,有特色的产品少,重复投资现象严重。由此带来的市场竞争非常激烈。由于防火墙、防病毒产品和IDS的热销,新进人的厂商多半也集中在这几个领域。目前,仅开发防火墙的厂商就有200多家,就三两个人,把Li~操作系统改一改就做一个防火墙的现象非常严重。
核心技术受制于人,我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设的市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着信息安全隐患的极大危险。我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是原始设备制造商的,我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。
国内几千万台计算机(包括服务器)CPU是英特尔和AMD公司的产品(由于厂商在芯片上安有序列号,可以通过网络监视远程计算机);操作系统80%的使用微软视窗,余下一部分也基本上被其它公司瓜分;大型数据库大多数使用ORACLE、DBZ、SQLSERVER、INFORMIX等国外数据库;另外,承载防火墙的硬件设施目前也大多被国外控制,包括路由器。所谓“超级端口”的隐患,以路由器为例:当路由最高管理层丢失了超级密码,几乎所有的路由器都提供一个特别端口,可以使管理员绕过口令重新设置密码,而这样的设置其实在方便管理的同时,也为在线攻击者留下了人侵的机会。无疑,这些都是国家安全系统无法接受的。
技术水平相对于国外的同类产品还比较落后,产业化水平较低。在我国自主开发产品并不在少数,但技术水平相对于国外的同类产品还比较落后。目前除了在密码方面有政策保护之外,其他产品在技术及性能方面不占任何优势,尤其在防火墙、防病毒及人侵检测方面完全是国外产品一边倒的局面。应该说信息安全产品的技术含量是非常高的,这就要求知识积累一定要充足,才能开发出有竞争力的产品。国内安全产品市场近八成高端用户的首选是国外产品,而国内厂商整体上是以技术模仿和重复投资的手段争夺区区几亿元的低端市场。
信息安全行业缺乏统一管理,多头管理严重。中国对信息安全的管理太过分散,没有一个有实权、有效率的专管部门。各职能部门在信息安全管理上没有明确分工,各类上级主管部门都不想放弃对信息安全行业的管辖。各种各样的销售许可、人围许可、资质认证、产品测评,对厂家而言除了付出几十万的测评费用不说,还耗费了大量的人力、物力,令厂商苦不堪言,疲惫不堪。这种种现象严重阻碍了我国安全软件产业的发展。
缺乏产业政策引导,政府对信息安全产业的发展没有明确的总体设计思路,安全厂商在缺乏总体框架引导的情况下,发展方向不明确,导致我国的安全产业缺乏主流产品的引导,而仍处在混战之中。人才问题,有人才能做一切,这是没什么争辩的。
如何提高信息安全企业的核心竟争力
公司所处行业为信息安全行业,其作为国家信息化建设和网络社会正常秩序的重要保障已经成为国家战略发展的重要领域,已被列入党和国家各类发展规划文件中的重要发展目标。中国信息安全市场可以分为高端市场和中低端市场,高端市场主要由金融、电信、部分政府机构和大型企业组成,它们的业务复杂,并且与网络联系紧密,因此对安全产品的技术要求非常高;中低端市场由大量的中型、小型企业和公共事业部门等组成,它们的业务相对简单,对信息安全有需要,但是安全性要求较低,只要能做到95%的安全就足够了。我国中小型企业数量众多,需求空间大,且绝大多数企业的安全还未被开发出来,未来的市场前景十分广阔。本次发行募集资金项目都是现有产品、业务的产业化升级及技术改造项目,本次募集资金到位后,将给公司发展提供强有力的资金支撑,扩大主业规模,调整产品结构,巩固公司的市场地位和影响,提高市场占有率。
国都证券分析师姜瑛认为预计公司08-10年全面摊薄每股收益为0.66、0.83、1.04元。考虑到公司在行业内的竞争力和市场占有率,给予公司的合理市盈率在25-30倍之间,预计公司二级市场的合理价格为16.5-19.8元。
陕天然气(002267) 渤海证券
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
[中图分类号]F426.8 [文献标识码]A [文章编号]1672-5158(2013)06-0486-01
1 引言
烟草行业长期处于计划体制下,一直都受国家保护,实行专卖专营,因此整个队伍思想比较陈旧、观念比较保守。特别是大部分企业的领导对信息化的认识不够,造成了整个烟草行业信息化的建设明显落后于其它行业,与烟草行业的地位明显不符。
在正式加入世贸组织后,我国烟草与外国烟草的争夺终端市场的激烈竞争也不可避免,因此,我国烟草行业急需提高整体竞争力和实力。而提高竞争力和实力的最好,就是运用信息技术,走信息化的道路来整合企业资源。
2 烟草行业信息安全现状
随着行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信,息安全已成为行业信息化建设非常重要的问题。
我国对于烟草行业的信息安全工作启动较晚,但随着计算机的发展以及信息技术的发展,烟草行业也开始注重信息安全的工作。目前,烟草行业网络基础设施建设已具规模,实现了互联互通。行业地面通信骨干网已建成并全网投入运行,实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通,入网率达到了100%;基本完成了行业各直属单位省域网建设,各直属单位与所属单位的联网率达到了96%;行业网络与信息安全体系初步形成,网络运行管理进一步加强。启动了烟草行业安全认证体系(CA)建设和烟草行业信息安全等级划分的研究工作。
行业信息化的制度建设逐步完善。近几年,行业先后出台了《全国烟草行业信息化工作管理办法》、《全国烟草行业信息化工作考核办法》、《烟草行业信息化建设统一技术平台要求》、《姻草行业信息化标准体系》和《烟草行业计算机网络和信息安全技术与管理规范》等重要文件,用制度规范了行业信息化管理工作。
3 烟草行业数字证书认证(CA)系统
CA认证体系作为烟草行业CA认证体系中重要的组成部分,将实现提供数字证书的注册、更新、作废等服务,为各类业务应用系统提供基于数字证书的身份认证等应用支撑服务,保证数据的完整性、保密性、可用性和操作的不可否认性,并能够将数字证书的发放与在业务应用系统中的使用情况进行记录、统计、上报等功能。
CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。
CA系统是烟草行业关键业务应用的安全基础,在设计实施CA系统及与应用对接的过程中,要排除脱离实际的安全需求、夸大的安全风险,在安全需求、安全风险和安全成本之间进行平衡和折衷。系统所选用的产品易于使用,符合烟草行业的统一技术规范,具有合理的美观的操作管理界面,方便操作员和用户操作使用。
各地方烟草企业要遵循PKI领域相关的国家和国际标准,遵循国家局的《烟草行业CAS认证体系建设方案》(国烟办综[2008]116号)建设CAS认证体系,按照产品选型参考确保和国家局已建CA(包括行业根CA和国家局CA)实现互信互认,做到平滑、无缝对接。
4 烟草行业信息安全建设实施策略
4.1 建设行业数据中心
数据集中是信息化发展的必然选择。统一的全国性数据中心,既可以改变传统的管理模式,又可以改变生产经营的运营模式,是管理理念、管理技术、管理水平的一次提升,可有效实现对业务的集约经营、集中监控和风险防范。
要建设好行业数据中心,就要在保证不同业务系统数据相对独立的基础上,建立数据交换和共享机制,通过对数据的加工、清洗、传递和交换,使得不同业务系统及时汇集相关的共享信息,实现行业公用数据的标准化、一致化,并不断更新和加强信息安全管理。逐步建立和完善数据分类描述、分析处理和传输交换等技术标准,以指导行业各级数据中心的建设。
要建设好行业数据中心,关键是要建成基于不同类型业务主题的高水平数据应用环境,统一数据标准,做到资源上协同应用,技术上协同关联,应用上协同共享,提高信息资源有效利用率。
4.2 严格执行相关标准
严格执行《烟草行业信息化标准体系》,加强行业信息化标准制定和贯标工作。标准化工作是一切工作规范化的基础,统一标准是烟草行业信息化建设的基础工作,是实现信息共享的基本前提。离开了标准化,计算机系统就无法体现其技术优势。因此,行业在信息化建设中必须高度重视并实施信息化管理相关的各种数据、指标和流程的标准化工作,要统一信息化建设标准,统一信息资源标准,统一数据传输标准。要按照行业的统一要求,逐步规范行业各方面信息化建设的基本业务流程、信息资源标准和数据交互机制,形成标准化体系框架。建设标准化体系要采取渐进方式,一是要先建立标准化框架,行业已《烟草行业信息化标准体系》;二是对急需的、重要的标准要优先制定。行业将制定烟叶类代码、烟草行业工商统计数据元、烟草行业统一会计科目及编码等标准规范;三是通过行业重点信息化工程项目的推广运行,完成相关标准化工作。做好代码标准化、接口标准化、业务流程规范化、数据结构规范化等一些标准、规范性工作,最终实现横向纵向信息的互连互通,达到信息共享。
5 结束语
烟草行业必须从行业内联网和信息安全的高度,切实加大网络建设的管理力度,建立严格有效的制度,落实好《烟草行业计算机网络建设技术与管理规范》和《烟草行业计算机网络和信息安全技术与管理规范》。运用先进的安全技术,切实组织管理好信息网络安全工作,建设行业网络与信息安全体系,逐步开展行业网络安全审计和行业计算机病毒防护系统建立工作,提高信息系统的安全性,保证系统稳定、可靠运行。要加强安全管理建设,切实做好信息系统的软件安全设计,强化数据安全策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,所有网上运行的应用系统与设备应实现统一、智能化的实时监控,实现应用系统与设备故障的预警和自动报警,实现网络资源的合理分配。凡由国家局统一组织开发的在全行业运行的信息系统,要统一使用行业CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。
参考文献
[1]赵燕敏,李明禄等编著,基于风险评估的企业信息化项目管理方法,北京:计算机应用与软件,2008第1期:111-114
[2]向宏,傅鹂,詹榜华等编著,信息安全测评与风险评估,北京:电子工业出版社,2009:;37-41
中图分类号:TP393.08
鉴于中国经济的飞速发展,信息产业也以前所未有的速度发展着。现如今,信息产业已然成了国民经济持续发展的关键动力,而信息安全也顺理成章地成了国民必须引起重视的重大安全问题。近段时间以来,由于全球经济一体化发展的不断前进,信息问题在经济增长及国家安全中所起的作用也变得越来越大了。所以为了更好地促进我国经济的可持续增长,我们理应对信息安全问题展开深入的探讨及研究。
1 信息安全含义介绍
如今,信息安全已然成了一个出现频率特别高的名词,然而到底何谓信息安全呢?人们对于这一问题仍然缺少统一的认识。对于信息安全这一点,我们必然明确其概念,才能够真正了解信息安全的实质和范围,随后才能在实践中采取恰当的行动。
目前,学术界对信息安全的理解通常可以分为如下两种:其一,信息技术系统安全;其二,特定信息体系安全。这两种理解均涉及到了信息安全的实质,不过其描述均太过片面。尤其是如今信息竞争已然国际化,所以我们更应该将其上升至国家安全的高度。当下信息化进展已不再仅仅是技术的发展或产业的发展,它甚至还会对社会的存在及运行方式的变化造成一定的影响,也就是我们通常所说的信息化社会已然慢慢出现了。在这一大环境下,信息安全问题理所当然地延伸到了全社会的每一个领域。假如一个国家关键经济信息系统危机四伏,那该国必然会陷入混乱之中,当然整个国家的经济也无法正常运转。所以,为了更好地推动中国经济的稳步发展,我们理应出台一行列切实可行的战略及政策,以确保国家信息的安全。
2 中国信息安全现状概述
近段时间以来,由于国家宏观管理及支持力度的增大及信息安全法律制度的不断完善等因素的存在,中国信息安全行业以前所未有的速度发展着。然而,鉴于中国的信息化建设发展比较晚,相关体系及法律法规制度不健全等一系列因素的影响,中国信息化仍然存在诸多不足:
2.1 网络安全自卫水平低下
中国的信息化建设发展特别快,如今,各企业均先后成立了自己的网站,尤其是“政府上网工程”全面实施后,各级政府部门也纷纷创建了自己的网站。然而由于诸多网站均未配备防火墙设备及入侵监测系统等防护设备,这便导致了网站存在巨大信息安全隐患结局的出现。2007年,美国网络安全公司赛门铁克公司曾公开宣告称:在所有被互联网黑客攻击的国家中,中国所受的损害是最严重的。
2.2 未对国外引入的设备及软件进行有效的管理及技术改造
鉴于中国信息水平整体较低,因此许多公司及部门选择直接从国外引入先进的信息设备。不过在引入信息设备之后,他们却未对其展开必要的监测及改造,最终给黑客入侵系统及窃取信息等非法行为提供了便利。
2.3 缺少自主研究的信息安全产品
中国信息安全产业基础较薄,关键技术对其他国家的依赖性特别大,缺少自主研发产品,特别是信息安全产品。中国信息安全行业所使用的网管设备及软件大多是从国外引进来的,这导致了中国网络安全性能低下局面的出现。鉴于中国缺少自主创新的信息安全技术,因此我国的网络时刻面临着被窃听、监视及欺诈等诸多信息安全的威胁,同时网络安全也处于特别脆弱的状态。
3 推动信息安全发展的策略
毋庸质疑,相对于发达国家而言,中国在信息安全技术手段与技术装备方面所具有的水平是比较低的,这对于我国信息安全的发展是特别不利的。鉴于中国对外开放程度的不断扩大,信息化工作系统的普及,中国需面临的信息挑战将越来越大。中国是否能够恰当地处理好与信息安全相关的问题对于我国是否可以在世界竞争中站稳脚跟有着至关重要的作用。所以,我们必须及时采取一系列措施,努力强化对信息安全的了解,提高发展信息安全技术的信心及意志,推行恰当的发展策略,促进中国信息安全产业的发展。
3.1 推行信息安全发展策略,完善与信息安全相关的法律法规
国家信息安全对于国家的生存及发展而言具有举足轻足的作用,因此我们在进行信息安全发展策略的制定时绝不可仅从某一领域出发,抑或仅从技术防范出发,在制定信息安全发展战略时,工作人员理应从政治、经济及安全等多角度出发,拟定完备的信息安全策略。此外,相关政府部门还应抓紧出台相关法律及法规,汲取发达国家的经验及教训,完善与信息安全相关的法律法规。
3.2 致力技术研发,促进信息安全产业的发展
相对于发达国家而言,中国在信息安全方面存在的最大不足即技术手段及技术装备比较落后。如今中国信息安全方面所使用的设备及软件大多是通过国外进口的方式获得的,鉴于此,我国的信息安全电脑设备多数是不具备安全机制的,甚至部分设备还可能造成泄密事件的出现。此外,鉴于近年来我国信息化发展速度特别快,其他相关措施的创新无法跟上信息化的发展,加之技术手段及技术装备落后等诸多因素的影响,最终导致中国信息系统潜在威胁从生的情况出现。如果我们想扭转这一不利局面,那么国家便应在技术手段及技术装备方面投入更多的资金及人力资源,各技术人员应致力于技术研发,加快技术攻关脚步,推动信息安全产业的发展。
除此之外,国家还应出台相关规定,对于那些与国计民生及国家安全相关的关键信息系统一律选用国产设备。在这一方面韩国做得特别好,所以他们的经验是值得借鉴的。为了确保国家信息的安全,韩国所使用的密码设备及算法都是以自己国家的技术为基础实施研发的。当然针对其他信息系统设施,我们也应站在安全及保密的立场上进行技术标准的拟定。最后,对于引进技术设备这一点,相关人员理应对信息安全问题进行充分的分析及研究。
3.3 宣传信息安全思想,形成全民道德规范
信息安全具有如下两大特点:其一,涉及面广;其二,层次多。毫不夸张地说,信息安全如今已然延伸到了全球的每一个角落、每一个领域。所以我们必须大力宣扬与信息安全相关的知识,形成全民信息安全道德规范,共同努力,才能够达到确保国家信息安全的目的。对于那些在安全系统工作的人员,我们理应对其展开相关的教育,让他们拥有良好的职业操守及道德规范,让安全防范意识成为他们的自觉意识,促进信息安全系统的提升。
3.4 加强监督管理,确保信息安全
为了更好地促进信息安全行业的发展,相关部门理应加强对与信息安全系统相关人员的监督,尤其应对上网及入网信息、信息设施及相关人员的职业操守进行严格的管理,慎重对待那些与国家核心部门及关键利益相关信息系统的上网及国际联网等诸多事宜。至于国内各网络间的联系,相关部门也应实施分层次管理,力求在达到推动信息交流目的的同时,确保信息的安全。
4 结束语
总而言之,信息安全涉及范围特别广,仅进行技术的更新肯定是无法达到信息安全的目的的,所以我们还应制定一系列切实可行的安全措施,完善相关的法律法规,创建一整套行之有效的规章制度,以确保国家信息的安全。此外,人们还必须增强对信息安全的关注及防范意识,如此我们才能够为网络信息的健康发展创造一个良好的氛围,最终推动中国社会的可持续发展。
参考文献:
[1]朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息,2010(05).
信息化与两化深度融合
2013年第三季度,国家密集了《“宽带中国”战略及实施方案》、《关于促进信息消费扩大内需的若干意见》、《两化融合专项行动计划(2013-2018)》等促进信息消费、两化融合专项行动等一系列促进两化融合的政策文件,促使我国工业行业两化融合向更深度拓展。
在电子政务方面,2013年9月,工业和信息化部选取了18个省、59个市(县、区)作为“基于云计算的电子政务公共平台”试点。各部门、各系统逐渐向云计算平台迁移,基于云计算的电子政务公共平台正在逐步建立中,同时“基于云计算的电子政务公共平台”国家标准的编制也将提上日程。
大型企业在完成信息系统综合集成的基础上向产业链协同应用演进,目前中石油、中石化95%以上的生产经营所需物资实现了电子采购,一汽等汽车企业的供应链协同平台,支撑起了汽车零部件的采购、制造和销售。
电子商务平台与ERP连接工业制造模式演进方向由大规模制造逐渐转向个性化定制、按需生产、众包模式。智慧工业园区正成为推进两化深度融合的重要载体,同时工业云应用也在不断创新企业信息化服务的模式。
与此同时,信息消费在扩大内需中的作用也逐渐凸显。这主要表现在:第一,国产信息终端崛起。目前,我国智能电视国产品牌市场占有率>70%,联想取代HTC成为安卓设备品牌第2名。第二,数据流量高速增长。据统计,1-8月数据及互联网业务实现收入2202亿元,同比增长30%。固定和移动数据业务对电信业务收入的增长贡献分别为12.4%、69.2%。第三,信息服务增长明显。软件技术和服务消费1.17万亿元,同比增长24%。1-6月,电子商务B2B交易额达3.4万亿,同比增长了15%。而随着4G牌照在第四季度的下发,又将会刺激新一轮的信息消费,运营商将继续加速4G网络建设。
软件信息技术服务业扭转低迷
在宏观经济弱势复苏的背景下,我国软件和信息技术服务业持续全年以来呈现稳中有落的态势,行业景气度日益提升,盈利能力也将继续改善,软件出口低迷局面也出现了转变。
产业发展态势稳中有落,行业利润持续回升。1-8月,全行业累计完成收入1.94万亿元,同比增长24.1%,增幅较上年同期减小2.1个百分点。行业效益持续好转,实现利润2126亿元,同比增长25.5%,高出去年同期10.3个百分点。
部分领域打破缓慢增长态势,产业服务化深入发展。受制造业回暖影响,嵌入式系统软件和IC设计均出现较为明显的回升势头。数据处理和存储服务在数据中心、云计算平台加快建设的推动下增势突出,增速高出全行业1.5个百分点。系统集成和信息技术咨询服务则增长平稳。
软件出口低迷态势出现转变,嵌入式软件出口增势明显。我国软件出口告别上半年的低迷状况,增速出现回升态势。软件产业实现出口额254亿美元,同比增长19%,增速高出上半年8.7个百分点。嵌入式系统软件的出口增势同比高出去年同期14.8个百分点。
中西部地区持续快速增长,中心城市继续引领产业发展。中西部地区保持快速增长趋势,东部地区增长缓中趋稳。西部地区和中部地区分别完成软件业务收入2107亿元和742亿元,同比增长28.5%和25.2%,分别高出全国水平4.4和1.1个百分点。东部和东北地区分别完成软件业务收入14550亿元和2018亿元,同比增长23.3%和24.7%,增速低于去年同期3.1和0.9个百分点。15个副省级中心城市继续引领产业发展。软件业务收入占全国软件业务收入的比重达56.9%。信息系统集成、数据处理和存储服务增速分别达31.1%和29.4%,高出全国平均水平6个和3.8个百分点,引领产业服务化发展。
信息安全压力日益增大
信息安全研究所所长刘权认为,三季度,我国信息安全在政策环境、基础网络安全保障、产业融合、国际交流等方面取得了一定进展,但网络空间安全形势依然严峻,存在产业根基不牢、攻防能力不足、技术实力较弱等问题。在全球网络空间安全形势严峻的情况下,我国的信息安全压力也日益增大。
我国信息安全问题主要体现在以下三方面:
攻防能力不足。电力系统是我国网络防御做的最好的,但仍被入侵。美国发动的网络攻击,我国重要信息系统在分钟级内就会被攻破。在X86架构下,美国的攻击我国根本发现不了,“棱镜门”事件中暴露出的对我国的攻击事件,而我国根本没有发现。与此同时,美国等西方国家网络空间部署正逐步加强。
产业根基不牢。我国大量核心技术产品信赖国外,重要信息系统和基础信息网络大量使用国外基础软件,西方国家便利用产业优势从事网络监控,我们的信息安全面临严重威胁。产业实力差距巨大,技术产业的落后,国产化替代举步维艰,我国要实现自主可控任重道远。
由于IT技术起源于国外等历史原因,我国信息安全产业政策的核心一直强调技术的“自主、可控”。可究竟什么是“自主、可控”?
孙定: 我国政府一直在强调要科技创新,尤其在信息安全领域,需要有自己的核心技术,才能保证“8+2”等国家关键信息系统的安全。但从目前的状况来看,国内主流的信息安全企业依然在重复着“老三样”(防火墙、反病毒、IDS)的技术开发,很难承担保护关键系统的重任,您觉得这其中主要的原因是什么?
贺卫东: 首先要说明的是,虽然表面上主流的信息安全技术依然重复着“老三样”,但现在的“老三样”与过去的“老三样”有着本质的区别。例如天融信的防火墙产品,虽沿用了防火墙的名字,实际上已经将多种安全技术整合在一起,确切地说是“综合网关”或X Firewall(XFW)。
另外,对于信息安全技术创新和应用,原国务院信息化办公室早就明确了用户在关键信息系统中,对信息安全应该部署并采取“自主、可控”的战略方针。自从中国的信息安全产业形成以来,用户和信息安全厂商一直在这一战略方针的指引下,加强信息安全技术产品的开发与使用,并进行着不懈的技术创新。
如何与时俱进地明确“自主、可控”已成为当务之急。自主到什么程度,可控到什么范围,这些都会对自主创新的技术、产品及使用产生重大影响,甚至影响到微观创新的方向。所以我觉得当前信息安全产业首先需要解决的根本问题就是自主,实现技术上的可控,这是不得已而为之的暂时政策。虽然国家有许多政策法规来指导产业的发展,然而政府与企业、决策者与执行者之间的界定不清就容易让“自主、可控”产生歧义,进而影响创新活动与进程。
如果目标明确了,创新的方向自然明确,加上又有需求的经济驱动,自然就稳固了技术创新的方向。反之,如果不能准确定义什么是“自主、可控”,那么,等于技术创新缺少明确的方向,等于创新的出发点和目标就错了。
孙定: 如果“自主、可控”目标不明确,将会引发哪些问题?
贺卫东: 在强调“自主、可控”的今天,如果目标不明确,将会引发严重的问题。
首先,管理难以形成有效的体系。由于“自主、可控”的定义不清楚,产业缺少统一的目标,致使许多信息安全技术的管理部门对于“自主、可控”的理解各有不同,因此表面上管理的人很多,实则存在短板效应。比如,因各部门标准、规定、要求不同,企业又必须遵循这些管理部门的要求,就必然产生矛盾,形成在资本层面、技术层面、公司结构层面、竞争层面以及行业准入层面等诸多问题。
其次,产业标准体系难以成型。标准是IT公司发展的一个必然结果,“自主、可控”目标不明确就难以形成完整的标准体系。对于安全企业而言,如果创新出来的产品缺乏行之有效的标准来比照,很可能会造成资金和技术的浪费,从而扼杀了企业的创新动力。
最后,企业持续发展预期模糊会有损整个产业的可持续发展。产业的发展,必须遵循市场经济规律,由于安全行业的特殊性、敏感性,资本的投入相对比较保守。近几年,一直有一些高调亮相的安全企业,没多久便退出市场,这些都是目标和策略不可预期造成的。当前,必须解决的第一个问题仍是“自主、可控”,不管是长远目标,还是短期目标,必须有一套严格的规划,建立起明确的政策预期,包括技术范围、市场范围、准入政策等,只有这样才能使创新活动可持续发展。
在这种外部环境下,天融信坚持了10多年的技术创新,遵循国家的各种政策、行业规范和国际标准,什么时候业界形成统一标准,我们就按照标准进行整改。
政府、企业需各尽其责
技术创新应该是企业的行为,还是政府的行为?安全行业发展到今天,我们必须要强调政府、企业之间的协作与各自的职责。
孙定: 我国各届政府也看到了企业技术创新的重要性,经常通过各种政策和措施鼓励企业的技术创新,比如,科技部的核高基项目,就是通过国家的投资,鼓励企业在基础核心技术领域进行创新。您如何看待国家鼓励企业的科技创新措施?
贺卫东: 自主创新是企业通过开发并拥有自主知识产权的独特核心技术,并在此基础上实现新产品价值的过程。换言之,自主创新是企业为了生存而进行的技术革命,是企业内部进行的技术突破,是企业摆脱对外部引进和模仿的依赖的关键。自主创新需要企业来发挥主导作用。
现在我国鼓励自主创新,因此政府在推动企业自主创新方面下了“重药”,希望能加快企业自主创新的进程和速度。然而,企业自主创新的目的究竟是什么?――是为了企业自身的生存,而不是完成国家的科研课题。而作为我国信息安全领域的重要组成部分,政府应该正确地督促企业的创新,将创新的主动权交给企业去把控,创造一个激活创新并将创新转化为实际效益的良性外部政策环境。
孙定: 那难道政府就任由企业自己打拼,放任不管吗?您认为,在技术创新的过程中,企业、政府各自应该承担什么角色呢?
天融信公司总裁贺卫东
贺卫东: 安全行业发展到今天,我们必须要强调政府、企业之间的协作与各自的职责。政府对于信息安全创新来说应是一个需求的决策者、管理者,企业才是推动技术创新快速发展的执行者。如果出现了偏差,很可能会让政府与企业的职能发生错位。比如,我们经常看到,政府为了技术创新而投入巨资,这实际是承担了企业应该承担的责任。如果政府加大对用户的采购补贴或对企业财务补贴,利用社会资源搞技术产品投入,这样比政府直接参与投资能带来更多好处。
一是,营造企业技术创新的大环境。鼓励“自主、创新”,给企业减负,加强自主创新产品的采购力度。二是,给企业提供正确的需求方向。技术创新是企业的责任,但这并不意味着政府就放手不管,政府应该给企业技术创新指出正确的需求方向。第三,政府可以相关政策对技术创新的企业进行扶持,给企业一些相对公平的鼓励。第四,政府应该在各方面进行协调。首先,政府应该从自身入手,加强政府各个部门的协调性,调合各个部门的矛盾和冲突;其次,政府还应该站在企业的角度,处理好企业联盟的矛盾。
总之,政府要承担起服务于企业技术创新的责任,而如何进行技术创新是企业自己应该考虑的事。
企业联盟需1+1>2
国际上许多企业通过技术联盟的方式,形成了战略利益共同体,不断进行着技术创新,而国内企业都是各自闷头做自己的技术创新,很少形成技术联盟,这使得创新的速度跟不上国际水平。
孙定: 国外经常有企业之间的战略联盟,它们经常集体进行技术创新,这使得国际技术创新体系异常庞大,创新的速度也非常快。您能介绍一下他们成功的经验吗?
贺卫东: 上世纪80年代以来,西方国家面对日益激烈的竞争环境,开始对企业之间的竞争关系进行战略性调整,企业和企业之间不再只有纯粹的利益竞争,而是从竞争对手的关系转向大规模的合作竞争关系。这种大规模的合作竞争主要形式之一就是建立企业战略联盟,两个或两个以上的企业形成合作伙伴,成为一个利益共同体,这个共同体里的企业共同进退,实现资源共享、优劣互补等战略目标。
利益共同体是内部成员利益共同,对外是有排他性的,各个共同体之间也是竞争关系,战略联盟就是将原来单打独斗的几个企业合成一个整体,再由整体共同对抗外部竞争。美国和西方国家的企业战略联盟做得很好,既有利于形成有效的产品链,又能打破个别企业的垄断,形成经济的良性竞争。
孙定: 在国内,很多企业也在借鉴国外先进的经验,形成产业联盟共同进行技术创新。比如核高基项目,就是产、学、研、用四方组成的联盟集团,共同开发各种新技术。您认为这种模式是否是技术创新的新思路?
贺卫东: 我认为中国的企业战略联盟成功的范例不多,我们一直都在学习国外成功的经验,可只学到些皮毛。美国为什么能形成完善的企业战略联盟,并不断进行体系或产业链整体技术创新,我认为主要有以下三大原因: 第一,美国的企业战略联盟是有一个龙头老大在领航,比如Intel,为整个联盟的技术创新进行全面规划,而中国缺少这样的企业;第二,美国的企业战略联盟企业之间很少存在竞争关系,对内是资源共享,利益一致,对外进行竞争,具有很强的排他性,而国内的很多联盟成员,由于有竞争关系,都在彼此提防,不愿意拿出真正的技术,这样的联盟关系长不了。第三,有很多联盟只围着政府转,很少真正考虑用户的切实利益。
企业战略联盟是企业借由利益关系形成的合作关系,因此,企业战略联盟就是一个产业链。很多人认为我国信息安全领域产业链已经完成,然而真正从科学的角度来看的话,我国信息安全产业链还没有完全形成。从产业链的四个层面: 底层到应用层、小批量到大规模、点的突破到系统和产业链的整体创新、行业整体的持续盈利能力,这四个角度分析,我们还有很多薄弱的地方,需要产业链的各个环节共同努力。最重要的是,我们的企业联盟必须做到1+1>2。
采访手记
技术创新,企业责任重大
贺卫东应该算是信息安全领域的猛人。说他是“猛人”,一方面是,因为他在信息安全领域以敢说真话闻名,他经常站在信息安全产业的高度思考问题,而且言辞猛烈;另一方面,他又是位雷厉风行的企业家,他在十几年前创建了信息安全企业天融信,天融信十几年间的起起伏伏,每次他重新接管天融信,都会创造新的辉煌。2008年,在他的领导下,天融信的营业额已经达到了4个亿以上,已经成为名副其实的产业领导者。
对于信息安全产业领域多年来存在的“公保机盯”多头管理的现象,他曾在多个场合直言不讳,希望国家能加强对信息安全产业的管理力度,加强良好的信息安全产业环境的建设,让中国的信息安全企业能在良好的环境中茁壮成长。
对于信息安全领域的技术创新,他认为,技术创新是中国信息安全企业立身的根本,只有不断地推进技术创新,才能应对日益恶劣的信息安全威胁。他在呼吁政府建立信息安全技术创新环境的同时,对天融信本身的技术创新一刻也没有耽误,他每年将销售额的15%用来对最新的信息安全技术及产品进行研发,以保持天融信在中国信息安全领域领先品牌的地位。
他坦言,随着各种外部环境的不断改善,自己已经变得平和了许多。因为在多次的游说中,他发现,政府的领导者非常明白在技术创新中存在的一些问题,目前,正朝着理想的目标迈进。这让他觉得中国信息安全产业未来充满了希望。
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。
1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
近两年来,有超过20亿美元的风险投资涌入硅谷的信息安全企业,信息安全创业投资迎来了久违的;近大半年来,与网络安全行业有着千丝万缕联系的比特币从不足50美元飙升至700美元;最近三个月,在中国市场,低位徘徊多年的信息安全行业也迎来了久违的甘露,有关信息安全概念的股票一路上扬。中国要成立国家安全委员会的战略则确立了网络安全的战略地位,同时也意味着未来几年中国政府和企业在信息安全保护方面的IT支出将进入一个快速持续增长的阶段。
不得不说,去年爆发的“棱镜门”事件,成为全球信息安全市场裂变爆发的催化剂和导火索。其冲击力已超出信息安全范畴,波及IT行业的每个角落,上至国家、行业,下至企业和个人都必须重新审视并调整其信息安全策略。从国家关键信息基础设施到个人数据隐私保护,由于相关监管政策和防护技术的滞后,可以判断2014年将成为信息安全的“乱世之年”,同时也将诞生大量安全技术领域的“枭雄”。
让我们来预测一下2014年信息安全市场的五大趋势和机遇:
移动安全成为热点
随着BYOD(企业员工使用个人设备移动办公)的流行,移动设备的安全问题一直是令企业CIO头疼的问题。与PC端与网络方面的安全的相对成熟相比,移动安全还处于拓荒阶段,与市场需求形成巨大反差的是,安全产品和服务水平还远远达不到要求。而随着企业和用户对于隐私数据的日益重视,BYOD领域的安全管理产品正在成为资本关注的热点,从2013年11月IBM和Oracle两大企业IT巨头争相抢购移动安全管理产品公司可以看出,这一块市场在2014年会有大的发展。
私有云和云安全兴起
“公有云”其实从一开始推概念的时候, 其安全性就饱受质疑。 但是在巨大的利益驱动下, 不少企业和地方政府还是在不遗余力的推动。 而“棱镜门”事件的爆发,使得企业和政府意识到在“公有云”上的数据竟然可以如此不安全。
从IT行业的发展来看, 在并行计算技术的日益成熟和硬件性能瓶颈问题日益突出的趋势下, 云计算的存在和发展有其必然性。这样将会促进“私有云”的大力发展, 同时也会促进基于“私有云”的安全技术的发展,例如德国一家创业公司就推出了基于“私有云”的一体机。 预计在中国市场, 出于安全的考虑, 不少公司和政府也会把云计算计划从“公有云”转向“私有云”平台的搭建,但首先需要解决“私有云”的安全问题。 这种大环境下, 国内的IT安全厂商、云计算基础设施提供商、云计算应用开发商和云应用服务商、电信服务商都面临新的市场机遇。
工控网、物联网安全受重视
其实,早在2010年出现的“震网”病毒以及其后的“火焰”病毒,就已经使得人们意识到工控网和物联网的安全问题。而“棱镜门”则使得随之相关的工控网和物联网的安全也提高到国家政策层面。 随着中美就网络安全对话机制的逐步形成, 特别是中国将成立国家安全委员会的战略,将使得工控网、物联网安全,特别是重要基础设施的网络安全开始被最高层关注。
预计2014年中国政府会推动重要关键基础设施网络安全的建设,一些重点企业也将开始对工控网的安全进行投入。而在中小型工控网和物联网领域,比如智能楼宇、智能数据采集系统等的安全,也会成为企业IT安全的一个考虑因素。
安全培训市场大幅增长
“棱镜门”事件折射出来的另一个问题是,人们对隐私数据保护意识的薄弱。近年来网络犯罪呈现出更加有针对性和手段多样化的趋势, 通过电子邮件、社交网络、U盘等被黑客实施社交工程攻击的例子比比皆是。如今,安全意识已经成了企业信息安全防护的最大“漏洞”,如何提高员工的安全意识和安全风险管理水平其实是每个CIO或信息安全官最头疼的问题。
而“棱镜门”所引发的, 不仅仅是政府对网络安全的重视,传统企业特别是大型企业的管理层和决策层也一样开始重视起来。 网络安全培训市场过去几年一直处于不温不火的状态,预计在2014年将会有比较大的发展。
数据安全市场重新洗牌
2009年迁入新址以来,中国疾控中心重构了新数据中心,以原址数据中心为基础改建容灾中心,扎实推进信息系统建设相关工作,信息安全等级保护工作由此展开新的篇章。
根据原卫生部的相关文件精神,中国疾控中心按规定进行信息安全等级备案,作为卫生计生领域的重要系统,及时开展系统备案、漏洞扫描、风险评估、安全整改与测评,每年接受国家公安机关组织的信息安全检查,是多次代表卫生行业接受公安部、国家保密局、国家密码管理局、国务院信息工作办公室等部门检查的唯一受检国家级医疗卫生单位。目前昌平园区网络和数据中心建设已初具规模,各业务系统运行安全稳定。
开展信息安全建设工作的主要方法
1.统筹规划
在信息化建设过程中,中国疾控中心始终坚持数据安全与规划同步、与系统建设同步、与运行管理同步的“三同步”原则。在原卫生部关于信息安全等级保护相关文件出台后,国家疾控中心重新修订了信息系统安全总体规划。经过各级疾控人员的共同努力,以及多年信息化建设工作的不断推进,中国疾控中心的防攻击、防篡改、防病毒、防瘫痪能力不断提升。
2.组建机构与招聘人员
信息系统安全等级保护内容覆盖管理与技术两方面工作,涉及信息系统规划、建设、运维全过程。“火车跑得快,全靠车头带”,中国疾控中心对信息安全工作高度重视,成立了以主要领导为组长、各相关部门主要负责人组成的信息安全领导小组。信息中心成立专门的网络与安全管理室,公开招聘有经验的技术骨干牵头负责并组织实施,不断加强管理,逐渐完善技术措施。另外,在全国各省疾控机构内部设立“信息安全员”,并要求逐级负责,初步形成了全国疾控的信息安全组织机构体系。
3.完善信息安全管理制度
近些年来,中国疾控中心共制定或颁布了覆盖系统建设、系统管理、系统运维、系统使用等方面的一系列制度近30个,大大加强了内部安全管理的规章制度的落实。每年年初按照信息安全等级保护相关要求开展自查,有针对性地整改加固,不断完善信息化规章制度,为信息系统的建设、管理、运维、安全监管等各方面工作有条不紊、有章可循地进行提供了保障。
4.强化安全责任管理
以“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”为原则,通过下发相关的网络安全管理、用户与权限管理规范,并不断修订完善,进一步夯实信息中心与业务部门、国家与地方在网络技术管理与业务信息管理上的分级管理工作职责。针对单个的系统,还初步实现了信息系统网络与业务管理、系统管理和安全审计的三权分离,并逐步推进系统建设方、系统运维方与系统安全审计的主体剥离。
5.落实信息安全技术措施
完善基础网络设施 中国疾控中心在昌平新址重新构建了标准机房、基础网络、门禁、消防、供配电、监控及综合运维系统、统一安全管理平台等。
优化网络安全结构 信息中心技术人员通过一年多的分析和调研,明确各类信息系统对网络的需求,组织召开内部、外部的专家会议,充分研究实施方案。特别是邀请具有多年安全网络实施经验的技术人员,与信息中心技术人员一起实施。优化后的网络在的稳定性、安全性和实际用户体验上都大大提升。
完善双因素认证的用户准入 以用户电子认证服务系统(CA)的双因素认证体系已能在国家本级全覆盖。
完善安全专网建设 截止目前,以VPN、SDH等虚拟专网和专网组成的安全专网,已在全国各省、市、县级疾控机构实现100%全覆盖。
综合实施应用系统安全加固 对各类网站服务器、应用服务器和数据库服务器进行漏洞扫描、风险评估和安全加固,一步步降低安全风险。
加强安全运维技术监测 引入业界相关安全技术和设备,安排专门的人员,通过周期性的漏洞扫描、入侵检测,系统日志分析,及时发现、修补系统漏洞,持续提升系统抗风险能力。
6.开展整改与测评
2010年投入使用后,第三方安全等级保护测评工作紧接着就开展起来了。一方面将整改内容纳入项目建设,由专业信息安全公司提供技术支持;另一方面对照整改内容,组织力量完成整改。实现了“整改-自测测评-再整改-再第三方测评”的良性循环。通过不断的学习和实践,提升自测评能力和信息系统安全保障能力。
7.积极推动行业内信息安全等级保护进展
制订并向全国各省级疾控中心下发了相关指导文件。每年组织多期行业内培训,采取“送出去,请进来”的办法,多次派员参加国家信息安全部门组织的培训和考试。目前,中国疾控信息中心有多人获得国家公安部、工信委等权威机构颁发的信息安全相关资质证书。此外,还邀请国内信息安全行业专家学者授课,举办全国范围内疾控行业网络信息安全专项培训班。
开展信息安全建设工作体会
以往一谈到信息安全,大家总认为是技术部门的事,其实不然。
信息安全等级保护标准体系对此给出了明确的要求,比如在第三级等级保护的指标体系中,涉及管理的指标占比达到近三分之二,足见管理的规范化对信息安全的重要性。“三分技术、七分管理、十二分运维”对信息安全一样适用。但是在信息安全工作上“重技术建设、轻管理建设、不知道运维建设”的现象却大量存在,目前还难以从根本上改变。在信息技术持续发展的时代,谈信息安全的各种投入是个无底洞一点都不为过。因为,信息安全建设只有进行时,没有完成时。
【中图分类号】G710 【文献标识码】A 【文章编号】1006-9682(2012)06-0033-02
随着全球信息技术的广泛应用,网络系统的安全问题已成为全社会关注的焦点,并且成为涉及国家政治、军事、经济和文教等诸多领域的重要课题。近年来,各行业用户已经认识到信息安全的重要性,纷纷采用防火墙、加密、身份认证、访问控制等手段来保护信息系统的安全。然而,用户网络安全意识的提高,网络安全投入的加大和网络安全厂商的兴起、产品的日益增多和技术的进步,并没有带来网络安全问题的好转,相反,安全问题却日益严重。病毒、木马、黑客攻击、网络钓鱼等安全威胁层出不穷。目前,国内对安全人才需求的特点是“数量大、质量要求高”,高技能应用人才十分缺乏。据天基人才网、51job网、中华英才网等人力资源网站统计,近年人才市场对网络安全工程师的需求量激增,企业需要精通网络安全的网管人员。网络安全行业的就业需求以年均18%的速度递增,2012年,网络安全行业的就业人数达到300万。为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《国务院关于大力发展职业教育的决定》、《教育部关于全面提高高等职业教育教学质量的若干意见》,进一步加强信息网络安全专业人才队伍建设,培养和建设一支政治可靠、技术过硬的信息网络安全专业人才队伍,全国各高等院校纷纷开设信息安全专业。
一、信息安全专业开设的现状分析
截止到2011年,国内开设信息安全专业的高等院校共有86所,其中北京邮电大学、西安电子科大、信息工程学院、武汉大学等均设有信息安全专业,并形成从专科、本科、硕士到博士的人才培养体系,培养了一大批信息安全方面的高层次专业人才和技能应用型人才。然而对于高职院校而言,专业办学尚处于起步阶段,一方面是开设该专业的学校不多;另一方面是高职院校也是近几年才得到快速发展的,受资金、场地、师资等条件的制约,涉及网络安全实践方面的课程就更少了。随着近几年高职教育的兴起,加快信息安全专业高技能人才培养、构建适应高技能人才培养的实践教学体系成为各高职院校专业发展的必然要求。在2011年全国高等学校计算机教育高峰论坛上,教育部高等学校信息安全类专业教学指导委员会主任委员明确提出加快计算机专业实践体系的建设,注重职业能力培养。高职信息安全技术专业学生职业能力培养的教学改革与实践,有利于进一步提高高职学生信息技术应用能力,有利于进一步加快信息安全技术专业建设,有利于提高高职教育教学质量和就业质量,从而起到积极的引领示范作用。
二、高职信息安全技术专业教学的现状分析
目前高职信息安全技术专业教学主要存在以下几个方面的问题:①缺乏与行业、企业相适应的专业实训环境以及人才培养模式的改革;②信息安全技术领域和职业岗位群要求与课程体系有一定距离;③专业学生素质教育和职业道德需要进一步加强;④专业学生职业能力培养有待进一步提高;⑤课程教学内容相对与职业岗位任职要求明显滞后,信息技术从开发到应用于社会生产实践到老化的周期越来越短,学生在大学期间所学习的新技术,尚未走出大学校门有的便已老化被淘汰,不再具有实用价值;⑥专业教师队伍无法满足人才培养模式改革的需要。
以上问题不仅是我集团计算机学院需要加以思考和努力解决的,也是各高职院校信息安全专业普遍面临的问题。对此,高职院校中的许多有识之士都给予了充分的关注,不少高校进行了一些结合自身情况的改革尝试。
信息安全技术专业是适应经济社会发展需要的高技能紧缺专业。高职信息安全技术专业学生职业能力培养的教学改革与实践对专业建设发展具有十分重要的意义,本项目试图在这方面做一些有益的尝试与探索,从而提高专业学生的教学质量和就业质量。
三、高职信息安全技术专业学生职业能力培养的教学改革与实践的研究内容与目标
以高教〔2006〕16号文件以及河南省高教〔2008〕172号文件精神为指针,充分体现信息安全技术专业教育特点,加强职业素质和职业道德教育,突出职业能力培养,以课程建设为抓手,构建开放式信息安全专业实训环境以及人才培养模式改革,在此基础上,根据已知或预见的教学问题,拟定以下几个方面进行研究和探索:
1.研究内容
研究内容:①根据信息安全技术领域和职业岗位群的任职要求,参照网络管理员职业资格标准,突出教学内容的应用性和实践性,开展课程体系建设和改革;②在近几年教材建设的基础上,力争编写出一套适合突出能力培养的基于典型工作任务的实训教材;③积极探索基于典型工作任务的信息安全专业课程教学模式;④加大各专业课之间的联系教学,充分挖掘课程之间的内在联系;⑤充分利用网络资源,构建课程资源的网络平台;⑥积极开展校企合作,建立符合行业需求、突出职业能力培养的开放式信息安全专业实训平台。
2.研究目标
通过高职信息安全技术专业学生职业能力培养的教学改革与实践,形成具有自身优势、符合高职教育特色的信息安全人才培养模式,提升专业学生的教学质量和就业质量,为培养社会区域经济发展所需的高技能人才做出贡献。
四、高职信息安全技术专业学生职业能力培养的教学改革解决的关键问题
利用我集团现有的资源,制定详细的突出职业能力培养的信息安全专业人才培养方案,加强对专业课程的基于典型工作任务的教学模式研究和实践,着力解决以下几个方面的问题:
第一,在课时压缩、教学内容变化、学生差异加大等客观条件下,如何提升专业学生良好的职业素质和职业道德,突出职业能力培养,提高教学质量和就业质量,以适应高职教育需要;项目组认为,必须以课程建设为突破口,如何选择体现职业能力的专业核心课程进行重点建设和改革,并以专业教师为主,与行业、企业共同开发紧密结合生产实际的实训教材,确保优质教材进课堂。
第二,在现有专业实训平台的基础上,如何紧密联系行业企业,改善实训、实习基地条件,构建开放式信息安全技术专业实训环境;并在此基础上充分利用实验、实训、实习三个关键环节,研究专业教学模式,体现教学过程的实践性、开放性和职业性。
第三,如何充分利用优质教学资源和网络信息资源开展专业教学资源共享平台,提供远程服务,构建教学网络,扩大受益面。
五、取得的成果
第一,已经制定了详细的高职信息安全技术专业学生职业能力研究培养方案,在此基础上,以课程建设为突破口,制定了基于典型工作过程的专业课程教学大纲。结合课程教学实践,初步形成了适应高职教育、特色鲜明的信息安全高技能人才地培养模式。
第二,在近几年教材建设的基础上,编成若干反映上述思想的优秀教材、教学辅导书或讲义,其中专业课程教材已开始着手准备,力求尽快出版。
第三,建立了一个对教师有参考意义,对学生有帮助作用的交互性信息安全教学网络主页,并争取在国家及省精品课程建设上有更好的突破,充分实施网络教学。
第四,部分教改与教学研究成果在国内外公开发行的刊物上发表,为高职计算机类专业和课程建设提供经验。
第五,已经为计算机学院、合作院校计算机专业二年级学生学习这些课程创造良好的条件,为培养信息安全技术高技能人才做出贡献打下坚实的基础。
参考文献
1 于璐.高职信息安全专业应用型人才培养模式探讨[J].太原城市职业技术学院学报,2011(6):32~33
2 开红梅、杨茂云、王树梅.非信息安全专业的信息与网络安全课程教学初探[J].科技创新导报,2011(31):174~175
3 王小军、刘顺兰、黄骞儒.信息安全专业实践教学体系的构建与探索[J].杭州电子科技大学学报(社会科学版),2011(3)