蓝盾股份,一家市值近200亿元的国内信息安全领导性企业,如今已把目标瞄准了千亿元的规模,欲跻身国际一流信息安全企业的阵营。蓝盾股份如何利用正处于跨越式发展中的中国信息安全市场的有利时机,实现大的转型和突破呢?就此问题,中国计算报社总编辑李树与蓝盾信息安全技术股份有限公司副董事长兼总裁柯宗贵进行了一次深入的对话。
安全更需要智慧
李树:公开资料显示,2016年上半年,蓝盾股份的营业收入同比增长56.3%,净利润同比增长154.5%。公司为什么能保持这么快速的成长?
柯宗贵:其实,公司近几年一直保持着高速增长。我们的业务也从以南方为主,正在向全国范围拓展。今年,我们在北京新建了研发中心,专门为各大部委提供精准的应用安全行业定制解决方案,得到了用户的广泛认可和好评。我们不仅提出了“智慧安全”的新理念,而且在内网的安全防泄密领域有了长足进步,并在高校的信息安全保护方面实现了重大突破。此外,蓝盾股份还加大了对技术研发的投入,注重营销队伍的建设,所以业绩有了显著增长。
现在,蓝盾股份遇到了一个发展的绝佳时机。蓝盾股份正着力打造一个“大安全”的构架,兼容并蓄,2015年收购了华炜科技,从网络安全延伸到物理安全,2016年又收购了中经电商和汇通宝,切入电子商务和第三方支付领域,同时推出了蓝盾安全卫士等产品,向移动互联网安全领域进军,将应用安全作为业务发展的重心之一。
蓝盾股份倡导的“大安全”理念,超越了传统信息安全的范畴,顺应网络空间安全的发展大势,将从网络安全到国防军工安全,从企业级安全到个人级安全,以及从端到云的保护都纳入到大安全的范围。传统的信息安全是以产品为核心,而大安全强调的是向行业纵深发展,深入各个行业和领域。大安全产业才刚刚爆发,还没有建立完整、可控的生态链。从技术的角度看,蓝盾股份将从架构、算法和应用三个层面,为行业用户开发和提供大安全解决方案。
李树:从产品和业务的角度看,蓝盾正变得越来越全面,从以前擅长的大政府领域同时向横向和纵向行业延伸,从数据中心端的安全深入移动端安全。这些改变是不是都得益于蓝盾股份提出的“智慧安全”的理念?您能详细介绍一下“智慧安全”的内涵吗?
柯宗贵:在谈智慧安全这个概念之前,首先还是要回顾一下信息安全解决方案的发展。在信息安全市场发展的早期,用户建立一个安全防御体系,其实就是简单地将多种安全产品堆叠在一起,用户花了数千万元,采购了大量安全产品,其实对安全并没有做到心中有数,甚至根本不清楚自己建的安全防御体系能否真正起到保护作用,是否有黑客在进行攻击,这些攻击能够对企业的业务造成多大威胁等。时至今日,虽然一些新的安全管理平台也具有日志分析功能,但是仍旧不能准确地预知安全风险,得到的结果只是一些枯燥的数字,并不能直观地呈现安全风险的级别、影响等。
蓝盾股份倡导的“智慧安全”理念带来的改变主要体现在以下几方面:第一,可以为客户提供一个直观的结论,通过蓝盾股份产品自动显示的红色警戒、蓝色警戒等,用户可以轻而易举地分辨出不同的安全风险等级,了解安全攻击来自哪里,采用的是什么攻击方式,一张图就可以全部显示。
第二,所谓智慧安全,就是提示用户建立主动的安全防御体系。现在,很多客户仍处于被动防御的地位,黑客持续地攻击,用户不停地防御。在智慧安全的理念指导下,蓝盾股份的产品采用了攻击陷阱技术,事先会设置很多虚假的目标,或者根本不存在的漏洞,让黑客掉到这个“坑”里,黑客的整个攻击过程都会被蓝盾股份的产品自动记录下来。另外,黑客在攻击时,蓝盾股份的安全防御系统会反过来扫描黑客的行为,探知黑客来自哪里,采用的是什么攻击手段等。形象地说,黑客就像蜜蜂,而我们设置了一个蜜罐,让黑客自投罗网,不仅可以将黑客的所有行为都记录下来,而且不会让黑客有所察觉。反查黑客,这就是一种主动的防御技术。
李树:大多数传统的IT厂商通常提供所谓端到端的整体解决方案,从咨询开始,然后到方案设计、实施,以及最后的运营维护。但蓝盾股份似乎更擅长为客户量身定制行业安全解决方案?
柯宗贵:智慧安全的一个核心组成部分就是应用安全。所谓应用安全,就是说我们会根据客户的不同应用需求为其定制安全策略和解决方案。目前,在应用安全方面,蓝盾股份做得非常成功。
通常来说,信息安全包含三个阶段:第一个阶段是网络安全,这是最基础的部分,大家平时谈论的安全基本都包含在网络安全的范畴之内;网络安全防护最根本的是保证数据安全,所以进入了安全的第二个阶段,即数据安全,在这个阶段,安全保护工作的重点转移到了数据这个核心上;在网络保护、数据防护的基础上,还会出现大量的资料泄露事件,问题出在哪里呢,其实是应用系统出现了问题,也就是说合法的人办了非法的事,这就进入了安全的第三个发展阶段――应用安全。
应用安全是信息安全的一个制高点,蓝盾股份在这方面处于行业龙头地位。我们控股的天锐锋公司,就专业从事应用安全防护工作。
走向“大安全”
李树:如今,信息安全已经上升为国家战略。没有信息安全就没有国家安全。再加上信息化的普及,智慧城市建设如火如荼,凡是有信息化、有数据的地方,就会有安全问题存在。作为国内信息安全领域的领军企业,蓝盾股份的整体战略和定位是什么?
柯宗贵:信息化建设离不开安全。我们已经进入了云计算、大数据时代。云时代的一个基本特征就是集中,数据、应用和智能都集中起来,如果没有一道安全的“围墙”,所有数据和应用都暴露在外,对企业来说这是非常大的风险。
随着市场和用户需求的变化,蓝盾股份开始深入一个新的发展领域,即大数据安全。一方面,我们紧跟政府的政策和方向布局,为政府信息化保驾护航;另一方面,我们一直致力于信息安全技术的发展和创新。蓝盾股份的员工有一种使命感和紧迫感,要为成为中国信息安全的排头兵而奋斗。我们有责任和能力保护国家的信息安全。
李树:现在整个业界都在提倡“自主、可控、安全”。大家普遍感觉,现在是本土信息安全企业发展的最佳时机。包括赛迪顾问在内的许多市场调研和咨询公司的调查数据显示,中国在推进行业信息化的过程中,在信息安全方面的投入比例低于国际上发达国家的水平,您怎么看这一情况?
柯宗贵:我们刚涉足信息安全领域时,很多用户都将IT预算用于购买大量服务器,通常只是在预算有结余时才会想到添加一台防火墙或其他安全设备,如果没有结余就等下次再说。随着政府开始推广和实施安全等级保护政策,并不断完善相关的安全技术标准,政府相关部门的信息安全体系建设才有章可循,逐步走上正轨。如今,信息安全已经成了一种刚性需求。
当前的主要问题是,有些用户在思想意识上并没有对信息安全给予应有的重视,因此在执行等级保护标准时往往会敷衍了事,比如预算不足了,就会降低等保标准,原来应该按三级等保标准建设信息安全系统,现在则降到了二级。
而一个利好消息是,随着国家安全委员会的成立,以及国家互联网信息办公室等各部门的大力推动,人们的安全意识得到了极大提升,在信息安全方面的建设投入也逐渐增加,不过投资比例还是低于发达国家。不过也正因为如此,说明中国信息安全市场的潜力和发展空间巨大,会一直保持一个较高的增长速度。
李树:以前,一些做信息化的企业,通常会培养和拥有一批专业的技术和服务人员,靠人力上的优势帮助用户实现信息化。但是进入云计算时代,IT交付逐步实现云化,很多复杂的工作可以由系统自动化地完成,大大节省了人力和运维管理成本。在信息安全领域,同样的趋势也在发生?
柯宗贵:这的确是一个趋势。在安全云服务方面,我们以前也曾经在教育等领域做过一些尝试,将安全功能以云服务的方式进行交付,比如用户会将安全系统建设全部外包给我们,或者由我们为用户提供定制化的安全服务,用户每年向我们支付一定的服务费用。采用云安全服务的用户会要求供应商定期提供报告,包含企业整个安全态势、受攻击情况、已采取了什么样的防御措施等信息。
我们基于云为用户构建了一座信息安全的长城。有一些大型用户以前采购过几千万元的安全设备,才过了二三年就发现设备已经落后,不能满足应用需求,必须再升级,为此又要付出一笔不菲的升级费用。这些用户现在对云服务比较感兴趣。目前,一些部委已经明确提出,要从采购产品转向采购服务。
我们已经拥有针对私有云的安全解决方案。针对公有云的保护,我们即将推出一个新产品。
李树:现在,企业的应用环境越来越复杂,除了企业防火墙内部的各种应用以外,企业还会通过移动互联网与外部进行频繁互动,安全没有了边界。在这种情况下,我们应该如何更好地应对安全威胁?
柯宗贵:这也是我们切入电商领域的一个重要原因。现在,电商应用越来越广泛,而电商系统和交易的安全存在不少隐患。前不久,通过收购中经电商,我们切入了电商安全领域。毋庸置疑,互联网是当前最重要的发展潮流之一,而互联网最大的应用之一就是电子商务。互联网也推动着物联网的发展,有连接的地方就有安全的需求。举例来说,在物联网安全方面,我们与国家电网合作,已经深入其应用安全的核心。
因为智能手机的快速普及,移动安全也成了人们关注的焦点,很多企业发生数据泄密事件,罪魁祸首其实就是各类移动终端,因为中了“木马”病毒等,许多重要信息就这样通过移动终端外泄了。举例来说,现在有一些App需要用户在线提供照片或身份证扫描件,而这些敏感信息很容易因为手机中了“木马”病毒等而被泄露。
蓝盾股份2014年初投资设立子公司蓝盾移动,并与参股子公司纹歌科技一起,为公司拓展移动互联网安全业务奠定了基础。从产品端看,蓝盾股份推出的蓝盾安全卫士,就是针对移动端提供数据保护的,包括对个人消费者的免费版本和面向企业用户的收费版本。蓝盾安全卫士与企业级的安全解决方案可以实现企业内部应用通信时进行加密,构成一套覆盖企业内外的完整的安全体系,企业的IT设备与手机可以全部得到有效保护。
李树:云计算、大数据的蓬勃发展,带来了更多新的安全问题;反过来,为了更好地抵御安全威胁,越来越多的企业开始采用云计算、大数据这些新的技术手段和工具。从安全的角度,蓝盾股份如何为云计算和大数据产业的发展保驾护航?另外,蓝质股份如何运用好云计算和大数据的手段和工具,让自己在产品和服务方面能再迈上一个新台阶?
柯宗贵:我们是国内安全领域较早涉足云计算的企业。公司针对云计算安全问题已推出网站防护系统――CloudFence云防线产品。该产品创新性地采用了“替身安全”的防护模式,并以公有云和私有云两种模式逐步推广。云防线产品主要面向全国数以千万计的中小企业,中小企业只需每年支付交几百元至几千元的服务费,便可获得云防线为其提供的信息安全服务,从而大大节省在信息安全设备和软件方面的投入。
在大数据领域,蓝盾股份已经推出了攻防大数据安全、卫生大数据安全等解决方案,在行业内同样处于第一梯队。举例来说,我们中标的广东省卫计委的一个大项目,其中就大量使用了蓝盾大数据安全解决方案。
蓝盾股份产品的独特之处在于,既安全又可以加速,还能做智能分析。很多数据中心用户都在使用蓝盾股份的解决方案。
李树:蓝盾股份参加了9月8日在北京举行的由中国计算机报社承办的2106第十七届中国信息安全大会。本届大会的主题是“大产业,大生态,大安全”。近几年,蓝盾股份在安全领域进行大战略布局,从“大安全”“智慧安全”等新的视角,通过不断收购,拓展业务领域。您能介绍一下公司的战略和架构吗?
柯宗贵:蓝盾股份要将自身打造成一个市值达千亿元的企业。为了实现这一目标,在技术上我们必须做到极致。我们率先走向云,推出智慧安全平台,深入业务应用安全领域,并在防泄密等产品方面处于行业龙头地位。另外,我们加大了产品研发的投入,借助安全实验室,从技术上严格保证每一个产品都能达到极致。
从市场和营销层面看,我们在全国范围内积极布局,在北京、四川、陕西等地建立了多个运营中心。在资本层面,我们采取“小步快跑”的策略,近两年来,通过并购、控股等方式实现了业务的快速拓展。比如,2015年,我们并购华炜科技,2016年又收购中经电商和汇通宝,期间又控股了几家公司,包括蓝盾新微、天锐锋等。我们还与中植资本成立了一个30亿元的并购基金,可以更快速、方便地实施并购战略。未来,我们还会进一步加大并购的力度。
在加紧国内市场布局的同时,我们最近也开始向海外市场拓展,在美国硅谷尝试进行投资或参股。我们希望通过在海外收购或控股一些企业,主要达到几个目的:第一,将国外优秀的技术引入国内;第二,将我们自主研发的产品借由这个窗口推向海外市场,比如移动安全产品、二代防火墙产品等。虽然现在就有一些海外用户向我们订货,但是现有的销售体系和渠道不能满足用户的需求,因此我们希望借助海外的平台,利用他们熟悉当地用户需求这一特点,加快业务向海外辐射,让公司驶上发展的快车道。
李树:企业间的竞争其实也是人才的竞争。蓝盾股份能有今天这样快速的发展,肯定与人才队伍的培养和建设分不开。您能介绍一下这方面的情况吗?
柯宗贵:目前,我国信息安全领域的高精尖人才非常短缺。蓝盾股份一直十分重视信息安全人才的培养,还专门成立了蓝盾学院。蓝盾学院像是信息安全领域的黄埔军校,一方面为社会培养通用的安全专业人才,目前从该学院走出来的学员在市场上供不应求;另一方面,蓝盾学院也源源不断地为蓝盾股份培养和输送高端安全技术人才,制造“新鲜血液”。优化的人才结构、丰富的人力资源是蓝盾股份可持续发展的重要推动力。
从高校走出来的人才存在“最后一公里”的问题,虽然具有丰富的理论知识,但是缺少实践。而这正是蓝盾学院的优势,它培养的是安全方面的实用人才。蓝盾学院培训出来的人才到工作单位后可以立刻上手,在短时间内成为技术和业务骨干。
成为国际一流的信息安全企业
李树:国家对信息安全建设特别支持和鼓励,用户对自主可控的安全有迫切需求,云计算、大数据的兴起对信息安全的发展也是一种促进。当前,信息安全遇到了发展的有利时机。在这种情况下,蓝盾股份如何凸显自身的差异化竞争优势,在市场上占据有利地位?
柯宗贵:我们的优势集中体现在以下几方面。在技术方面,刚才已经谈到,我们在云方向、智慧安全、信息防泄密等方面保持领先,并且通过安全实验室、研发中心不断增强自身的技术实力。从市场方面看,以前,我们的业务主战场在南方,从去年开始向北方乃至全国拓展,北京子公司的员工快速增加到80多人。从客户层面看,我们当前侧重参与各大部委的行业标准和安全规划的制定,不断向行业纵深发展。从战略层面看,我们将在“大安全”的原则指导下,从横、纵两个维度,持续拓展业务。横向,就是进入电商、移动互联网等新兴的安全应用领域,扩大业务覆盖面;纵向,就是深入各个垂直行业,在政府、医疗卫生等重点行业深挖潜力。
李树:成为一个市值达千亿元的企业是蓝盾股份的长期战略目标,实现这一目标是不是要分成几步走?
柯宗贵:我们正在围绕“大安全”进行业务布局。在国内信息安全领域,我们已经处于领先地位。当前,我们的一项重要工作是继续巩固这一领先地位。在此基础上,我们乘风“出海”,向海外市场扩展,希望成为国际上一流的信息安全企业。未来,在国际化发展方面,我们的步子会迈得更大一些。
受到信息安全市场迅猛发展的推动,我国萌生了一大批信息安全企业,甚至许多国营大中型企业也纷纷投身到信息安全产业中来。在目前的大好形势下,许多企业可能会被媒体的宣传带入信息安全领域,然而由于选择了错误的方向和产品,使许多安全企业不能得到应有的利润和市场。因此,不少企业开始怀疑信息安全是不是一种泡沫,也有些企业开始犹豫并退回到其他领域。
我们认为,原始的信息领域利润空间巨大,信息安全产业将是我们冲击信息产业的一条光明大道,是最不能放弃的光明产业。从信息安全自身的发展趋势来看,信息安全有着潜力巨大的市场。据IDC预测,2007年全球信息安全市场总额将从2002年的639亿美元增长为1188亿美元,其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%;亚太区信息安全的市场规模将从2003年的37亿美元增长为2007年的83.4亿美元,而中国信息安全市场则从2亿美元增长为6.7亿美元,年均增长率为34%,远远超过整个亚太市场22.9%的年均增长率。
纵观我国信息安全产业的发展,信息安全产业已经深入到诸多领域,包括我们熟知的密码技术、认证技术、防火墙、IDS、操作系统和无线安全等,但我国信息安全企业的实力和市场竞争力相对于国际厂商却一直处于弱势。导致这一现象出现的原因有很多,其中之一是微软、Intel、IBM、Cisco等国际巨头的技术垄断。虽然在密码等特殊安全领域,我国的国有技术受到一定程度的保护,但是更多的安全企业只能在夹缝中求生存,简单依靠对国外技术的拷贝已经不能获得市场和更多的利益了。
与企业发展和赢利面临困难形成鲜明对比的是我国国家信息化发展对自主技术需求的重大缺口,特别是那些关系国家经济安全的重大信息领域。一方面是对自主技术需求的巨大市场,一方面是强劲的竞争对手,我国的信息安全企业该何去何从?这一问题不仅仅关乎个别企业自身的生存和发展,更关系到我国信息产业的健康发展,没有信息安全产业的保驾护航,信息产业也必将举步为艰。我们认为很有必要回过头来看看我国信息安全产业发展的轨迹,从中寻找信息安全企业的发展与突破之路。
看清安全产品的方向
信息安全技术是服务于信息系统的技术,看清信息技术的发展,才能找到信息安全技术与产品的未来。目前信息技术向着多样化、网络化、移动和小型化的方向发展,并逐步深入到从政府办公到家庭生活的各个方面。比如,随着网络的铺开,网络带宽和网络备份已经不是问题,数据大集中就成为未来十年信息技术的一个重要方向,而数据大集中的安全问题就会成为非常重要的安全问题。有专家预测,在未来的十年内,移动PDA设备将迅速增长,移动商务要超过基于固定网络的电子商务;无线计算机网络将迅速普及,无线网络也将无处不在;新的主流操作系统可能出现并与微软进行竞争。而安全技术和产品也会跟着这些信息技术的发展而不断变化着。
从多年的发展和当前的现状来看,信息安全技术本身也有着自己的发展轨迹和趋势:
1.可信计算技术、PKI技术以及基于生物特征的识别技术是信息安全技术的主流。在未来的几年内,生存技术、风险分析和管理技术、安全服务、综合型安全产品、无线安全技术等也可能会成为主流。
2.安全技术开始与其他技术进行融合。量子、DNA等技术进入密码领域,而成为密码技术中的神话;机器学习、数据挖掘成为攻击发现的重要手段;生物识别、DNA识别技术成为认证技术中的优秀选手;以密码技术为基础的PMI被称为信息系统授权管理的基础设施;行政管理方法和物理隔离手段成为信息安全的重要战场;甚至间谍也来到信息安全领域,号称是Social-Engineering。
3.安全技术本身也在融合。防御系统由简单的防火墙向VPN、电子邮件网关、防DoS网关和网络攻击防御系统综合迈进。事实上,安全技术本身的融合已经出现了具体的产品形态和市场。援引IDC的预测,“全球的信息安全领域正出现一个新的细分市场,这就是统一威胁管理(UTM),这类新型设备将成为未来信息安全领域的主流设备”。统一威胁管理就是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。
2003年全球只有7个UTM厂商,而在2004年,这一数字扩大了2倍。2002年,UTM的整体销售额仅有4000万美元,而2003年超过了1亿美元,增长率超过了160%。因此,IDC认为,这个市场非常具有潜力。按照IDC的预测,UTM市场到2008年时,将占有整个信息安全市场的半壁江山,达到57.6%。(如表所示)
4.当全方位的防御技术仍不能独当一面的时候,监控技术就成为了Internet安全的主流。流量监控、内容监控、病毒监控、人员操作监控等成为企业和政府用好Internet的基础安全部件。监控不仅成为一种维护企业网络效率的重要手段,更是一种针对滥用的威慑力量,在近阶段会成为企业网络安全的新宠。针对核心系统的安全,防御、监控、备份与入侵容忍技术都布置在一起协同工作。
例如,上网的人数越来越多、网速越来越快,网络的安全如何保证,如何御黑客于国门之外?P2P的广泛流行,计算机之间交换信息、数据共享将变得非常便捷,这也让我们更难控制网上的行为。同时网络连接的各个终端将会是一个惊人的数字,未来各种各样的传感器、通信设备、信息家电等等都要上网。网络上连接的不是几个亿的设备,而是10亿、百亿乃至千亿个设备,这将是一个庞大的网络,在未来可能需要对整个网络进行监控。
5.信息安全技术体系逐步形成和成熟起来。具体包括:密码技术,认证技术,访问控制技术,网络安全技术(包括防火墙、VPN、入侵检测、防病毒软件、抗DDoS攻击技术等),系统安全技术(包括硬件平台、数据库、操作系统以及应用软件等的安全保护技术等),信息安全管理技术,信息安全产品和系统的评测技术,信息安全服务技术等。由于信息安全服务技术已经成为综合各项技术的一项软技术,在未来的安全市场中肯定会占有一个较大的份额。据Gartner统计,2005年信息安全软件和事件管理软件/应用市场增长了32.2%,达到2.88亿美元,其中CA以17%的市场占有率位居第一。
看清安全产品的方向是安全企业应该努力做到的。正是由于安全技术的交叉融合,企业很难自己决策安全的系统和方向,要通过咨询专家和了解用户,预测到未来的信息世界发展方向。看清方向不能简单靠自己,要依靠专家,依靠专业咨询机构,当然自己也要有一定的洞察力。比如嵌入式系统、手机操作系统等,就对安全性和稳定性要求很高。
放弃正面战场
即使是中国的大中型安全企业,当面临微软和Intel这样的企业时,不论从投入还是市场占有率上看,都是极其微弱的游击队。也就是说,在信息世界我们几乎没有自己的地盘。只要你的产品敢与微软竞争,微软一定有能力把你赶出去。如果微软开始销售他们的杀毒软件,世界上所有的杀毒公司将基本没有活路。
凭借我们现有企业的实力,与国际大公司正面作战,有一定的困难。把不足的资金和人力投进去,可能什么也收不回来。
正如带领红军走农村路线一样,我们的信息企业也可以暂时放弃正面的正规战场,走农村包围城市,最后“夺取政权”的路。残酷的正面战场包括操作系统、数据库系统、Web服务器系统等。这些系统可能有巨大的市场空间,但我们的投入,我们的市场都不可能敌过微软,敌不过Intel。然而,我们可以从安全入手,从中文处理入手,从外设和配件入手。
工业控制软件、工业控制用专用操作系统、家电系统、PDA软件、小型设备、新型的计算机外设等都是我们可以占领的“农村”。只要我们的企业能够逐步牢固地占领这些目前还不太挣钱的领域,我们就有机会争得更大的市场空间,通过技术和产权的壁垒,把强大的竞争者逐步驱逐到门外去。
当前,反病毒软件市场已经相当成熟,2005年业界前三大厂商瓜分了全球86%的反病毒软件市场,其中Symantec继续保持全球领先地位,市场占有率达53.6%。McAfee和Trend Micro的市场占有率分别为18.8%和13.8%。但是值得注意的是,虽然Panda Software在2005年全球市场的占有率仅有3.2%,但在欧洲中小企业中的使用率较高,使得它的增长速度高达23.9%。可以说这正是我国信息安全企业的发展方向。
沉淀自主知识产权
没有创新,就没有企业的未来。然而,目前我国的基础仍旧是以跟随国外企业为主。我们没有自己的主流芯片,没有自己控制的核心主流技术。那些以外国技术为主的服务和公司确实能够挣到很多利润,也给中国政府带来了足够的税收。然而,这些企业的前途却不是自己的,它们的发展实际上给有创新的企业带来了压力和竞争,当然也有先进的管理和运作方法。但我们觉得,中国的企业不应该参与这样的事业,更不应该以这种简单的事业为主要方向。
大中型企业应该高瞻远瞩,投入到有特色的大项目中,而不是跟在别人后面跑。长效投资是长期生存的重要保证。当然,这样的方向可能没有销售有利润,但作为有战略眼光的大中型企业不能仅仅只看到眼前利益。比如3G企业,我们很多企业喜欢跟随,而这种跟随确实能够在近期为企业带来效益,但最终结果只能是受制于人。我们也希望国家和政府投资支持有思路、有创新、有自主产权和想法的方案,而不是投资给那些仅仅能用外国的产品把事情做好、做成的企业。
沉淀自主知识产权是保护我国信息安全产业健康发展,保障信息安全企业利益的重要举措,其重要性是不容忽视的。百度、3721等企业能够从中文处理入手赢得市场和利润,靠的是自主创新。如果我们有一大批这样的企业,我们才可以说有了自己可以控制的产业,否则所有的利润都会随着资源的耗尽而消失。
没有自主知识产权,我们的信息产业发展可能将面临前所未有的窘境。例如,最近被吵得沸沸扬扬的“软件加密锁、身份认证锁”专利事件。援引北京大学知识产权学院的论文:“2005年3月,阿拉丁在美国某州的联邦地区法院控告中国信息安全行业某本土骨干制造商构成专利侵权”。美国的专利诉讼爆发后,中国企业才注意到阿拉丁已经在中国申请了两项足以封杀全部中国本土竞争对手的发明专利。目前,每个用户必须用一个USB Key保存其购买的电子签名,每次使用必须在计算机上插入该商用密码产品。一旦中国制造商被国外专利权人清理出国内外市场,届时中国企业和个人将只能购买和使用国外公司提供的商用密码产品。这样,《商用秘密管理条例》的效力将被架空,它追求的国家经济安全目标也将完全落空。
总体而言,我国信息安全企业的发展应该遵循技术发展的规律,在战略上选择合适的发展道路,在战术上以科技创新为本,脚踏实地地推动信息安全产业的发展。
他山之石:俄罗斯信息安全产业发展特点
俄罗斯安全产业的发展与我国有诸多相似之处,同样面临严峻的国际竞争,国内企业在国际大型企业,例如微软、Intel、Sun、Oracle等的围追堵截中生存,近年来俄罗斯的信息安全产业发展呈现出一些明显的特点,从中我们可以看到适合我国信息安全企业发展的方向。
1.安全市场增长迅速。据业内专家粗略统计,去年俄罗斯信息安全工具市场销售额超过2亿美元,其年增长速度达45%。
2.内需是带动市场的主要原因。近年来,各种形式的网络犯罪给俄罗斯带来了高额损失。据有关公司估计,俄罗斯企业每年因垃圾邮件造成的损失近3000万美元,电信运营商因非法连接和盗打电话每年遭受损失约2亿美元,家用个人电脑因密码被盗和病毒入侵每年损失约2000万美元。
3.信息安全市场初具规模。俄罗斯企业主要开拓的信息安全市场包括:信息资源权限控制系统、反黑客系统、防病毒和防垃圾邮件等内存安全控制系统、信息保密工具等。
关键词:企业管理 企业信息管理 安全措施
全球经济一体化趋势的不断增强,使得企业之间的竞争日益激烈,企业之间的空间也越来越小,在这种竞争形势下,企业的经营方式和管理方式也随之发生了变化。同时,我们也应当意识到,这种个变革促进了企业的信息化管理的进程,同时也使得企业与外部信息网络的沟通方式得到了拓宽,企业内部的人与人、人与物的沟通方式也得到了优化,与此同时,企业信息管理的安全问题也逐渐受到了越来越多的重视。
一、企业信息管理
企业信息管理指的就是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业物流和能源流的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、库存、产品设计、职工档案管理等多方面的内容,并且促进企业的全面发展。
二、企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益。企业信息安全管理主要有三个特点:
1.保密性
企业安全信息只有被授权的人才能够进行访问,具有较强的保密性。
2.完整性
信息本身和信息处理方法具有一定的准确性和完整性,才能够确保企业信息管理的有效性。
3.可用性
企业安全信息具有一定的可用性,需要时可以通过授权用户实现对信息的访问。企业的安全信息管理能够通过有效的控制措施来实现,前提是充分认识到企业信息安全管理的必要性。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大的减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
三、企业信息管理的安全防范措施
1.不断完善的信息管理系统
信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。
2.有效的设备管理
对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时的了解。
3.加强对人员的监督与管理
人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,这就需要操作人员具有足够的安全意识,对于每一位操作人员都应当进行相关的培训,对于唯一的用户名和密码等信息要进行妥善额保管,同时让操作人员了解到泄密会导致的严重后果,增强责任意识。同时,要加强对各种票据的管理,对于票据的领用,相关人员要做好登记,同时要保留相吻合的票据号码,用来存档。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效的减少浑水摸鱼的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
4.多方研发和推广网络信息处理系统
网络信息处理系统是在网络计算技术的基础上, 结合实现电子商务管理为方向。在可以提供互联网环境下的管理方式、信息处理模式和别的各种功能的信息处理系统。网络管理作为INTERNET与电子商务环境下信息处理系统的主流发展方向。跟传统信息处理系统相比, 网络系统还要有着各类辅助作用。
四、结束语
在现代市场经济条件下,企业能够对信息实施有效的安全管理,对于企业的综合竞争力,有着重要的影响。而企业信息管理的安全性,主要与企业的信息安全管理体制是否完善、是否具有与企业文化相符合的信息安全管理办法以及科学的评估方法等因素有着直接的关系,因此,企业应当不断的加强对信息的安全管理,不断提高企业的管理效率,以此促进企业实现持续、稳定的发展。
参考文献
[1]黄国忠.企业信息安全风险自评估模型研究[D].浙江大学管理学院 浙江大学:管理科学与工程,2008.
[2]陈丽霞,杨超.基于Web的企业信息管理系统安全方案[J].电脑知识与技术,2008(25).
[3]翟俊.企业信息管理系统建设的现存问题与对策简析[J].计算机光盘软件与应用,2011(17).
我本人长期从事信息安全专业研究生教育,也开设过多门信息安全专业课程,如“信息安全体系结构”、“计算机通信网络安全”、“现代密码学”,等。本文主要从信息安全专业研究生教育的角度谈谈我个人的一些体会和看法。
1信息安全专业研究生教育面临“二次教育”
信息安全专业的研究生来自各个专业,知识背景、知识结构都大不一样,一定要因材施教,进行“二次教育”。“二次教育”的目的是要充分利用学生前期教育的知识背景,找到他们的知识储备在信息安全领域的切入点,选择适合每个学生的研究方向,使他们既能获得全面系统的信息安全专业知识又能发挥他们所长。
根据我们历年来的信息安全专业研究生培养情况来看,这一专业的研究生主要来自计算机、通信、数学等专业,近几年也逐渐出现了本科就读信息安全专业的学生。
来自计算机、通信等工程类专业的学生通常对互联网技术、通信技术以及计算机软硬件知识都有较为全面的了解,动手能力较强,但大部分学生对信息安全专业所必需的密码学、安全协议等方面的知识知之甚少,甚至完全是一片空白。针对这样的情况,我们重点加强了这些学生在理论知识方面的教育培养,要求他们在选择研究生专业基础课时必须在理论课程中有一定数量和宽度的涉猎。同时指导学生阅读学习信息安全相关理论知识的经典教材或著作,培养他们在理论学习上的兴趣,实现课堂教育与学生自学的有机结合、互相助益。
相对应地,来自数学等理论性较强的专业的学生通常都有着较为扎实的理论基础,对理论知识的学习方法都有一定的心得,进一步学习与信息安全相关的理论知识时接受得比较快,不过在工程技术知识方面就有一定的欠缺。为此,我们要求这些学生加强学习计算机网络原理和程序开发等方面的知识,加强工程实践,使得他们对理论知识和工程开发都能有较为全面具体的了解,并且合理地选择自己的研究方向。
对于越来越多的从本科就开始学习信息安全专业的学生,我认为培养的关键是加强他们的专业知识的深度。这些学生对信息安全专业的相关知识有了初步的了解但不够全面和深入,一旦有机会进行更高层次的深造,往往容易忽略进一步学习专业知识的重要性。针对可能出现的问题,我们的指导教师加强了与学生的交流,指导学生阅读学习高水平的理论著作和技术书籍。同时,根据每个学生的不同情况,为他们推荐一些供他们选择的合适的研究方向,尽量发挥他们在前期学习中积累的优势。
2信息安全专业研究生教育需要配套的教材
大多数研究生都没有接触过信息安全课程或没有系统的信息安全知识结构,因此,需要统一规划,建立起他们的信息安全知识体系结构。为此,我们信息安全国家重点实验室为研究生培养规划了一套教材,包括《信息安全体系结构》、《现代密码学》、《安全协议理论与方法》、《网络安全原理与技术》、《安全操作系统原理与技术》、《数据库安全》、《网络攻击原理与技术》、《信息系统安全事件响应》、《量子密码学》,等。这些教材陆续由科学出版社和清华出版社出版发行,这些教材也基本涵盖了信息安全的基础知识和目前信息安全领域所涉及的主要研究方向,可为从事信息安全专业的研究生打开一扇通往信息安全学科广阔天地的大门,从而帮助他们选择自己将来的专业发展方向。同时,这些配套教材也为研究生专业课的教学工作提供了坚实的基础,使得我们实验室的研究生培养质量有了进一步的提高。除了系列教材外,我们实验室的科研人员和研究生指导教师近年来还陆续出版了相当数量的涉及其他研究方向或讨论专业学术问题的教材供教学使用。目前,我们实验室仍然在不断补充完善教材体系,已将教材的编制出版工作列为了实验室日常教学科研工作的重要组成部分。我们将继续从专业基础课、专业课和选修课三个层次完善信息安全专业研究生的教材体系。
3信息安全专业研究生教育需要系统知识与专业知识的有机结合
信息安全专业有着系统的知识体系,同时包含了诸多的研究方向。我们在教学和科研工作中,要求实验室的研究生既要系统地学习信息安全专业知识,又要与自己的专业方向相结合。实验室设置了四个专业方向,即“密码理论与技术”、“安全协议理论与技术”、“信息对抗理论与技术”、“网络与系统安全”,每个方向都有配套的培养方案,侧重点不同。前两个研究方向侧重“密码学”、“安全协议”等信息安全专业中的基础理论研究,我们在培养过程中注意选拔有较强的理论根底和数学基础的学生,培养他们从事理论研究的兴趣,同时强调学生对整个信息安全体系结构的学习和掌握。而对于“信息对抗理论与技术”、“网络与系统安全”这样的侧重于工程技术的研究方向,在系统学习信息安全专业知识的同时,我们加强了学生的工程实践,使教学工作融合于科研项目的研究开发过程中,让学生能够更加生动具体地理解专业知识并加以掌握。在多年来的研究生培养工作中,我们实验室的教师不断总结经验,根据不断变化的本学科发展情况和学生的综合素质改进培养方案,使得研究生培养工作做到与时俱进,研究方案与系统教材紧密结合,研究生培养水平不断提高。
4信息安全专业研究生教育需要提升理论高度
研究生教育与本科生教育不同,需要培养研究生独立从事科研工作的能力和自主创新的能力,需要提升研究生看问题和提炼问题的理论高度,需要开拓研究生的研究思路,需要锻炼研究生解决实际问题的能力。
无论从事哪个专业方向的研究,都不应放松理论研究工作。为了不断提高研究生的理论水平,实验室安排了大量的学习讨论班,针对不同的方向为学生们提供一个交流学习心得、讨论重点难点问题的平台,在这个过程中教师和科研人员也会为他们提供适时的指导。此外,我们还不定期地邀请国内外信息安全研究领域的知名学者来为学生作学术报告,介绍这些专家的研究领域的相关知识以及最前沿的研究进展,进一步培养学生的学习兴趣和提高理论水平的积极性。
我们实验室要求学生要高度重视理论研究工作,要注意从科研工作的进展、突破中提炼出理论成果,多出高水平的论文、著作,以科研开发带动理论研究,以理论水平的提高促进科研项目的进一步发展。近年来,我们实验室的研究生已在国内外的专业学术刊物和学术会议上发表了一批较高水平的论文,向国内外信息安全领域的研究者展现了我们实验室的科研成果。
5信息安全专业研究生教育要注重理论与工程实践相结合
信息安全学科的自身特点要求这一专业的研究生既要掌握坚实的理论知识,系统专业的知识,又要注重工程实践。实践是检验真理的唯一标准,实践也是掌握真理的重要途径。
安全行业
进入调整转折期
国内信息安全产业开始进入调整转折期,转折的根本点在于用户对信息安全的需求逐渐从合规性需求转向内生性需求,这对信息安全厂商提出了更高的要求。
孙定: 2010年,国际国内的信息安全环境不断变化,黑客攻击方式和攻击目标不断变异,用户的防范比起以往要复杂和艰难得多。您作为国内知名信息安全企业的领导人,如何看待整体的信息安全形势?
刘科全: 总体来看,国内信息安全产业相对平静,开始进入调整转折期。我个人认为,这种调整转折期的根本点在于用户对信息安全的需求逐渐从合规性需求转向内生性需求。这种转变对信息安全产业提出了更高的要求: 用户对信息安全产品的需求越来越多种多样,不再是防火墙、IDS、防病毒“老三样”。对于信息安全厂商来说,需要潜心研究用户需求,这些内生性需求总体来说,比合规性需求满足起来要难。
孙定: 那么,请您举例谈谈,内生性需求具体体现在哪些方面?
刘科全: 以金融行业为例,为了拉动业务增长,就必须发展网上银行; 要发展网上银行,就必须解决用户的实名认证问题。因此需要部署移动数字证书、电子银行接入认证网关、行为审计系统等安全防御体系,这就是内生性安全需求。这种需求可以给用户带来业务模式的创新,因此更有生命力。
孙定: 这些听起来更像是业务上的需求,这是否说明,信息安全与业务结合得更紧密了?
刘科全: 对,内生性需求往往是企业为了保证业务的连续性,或者保护有限的生产资源,改进生产方式而产生的。这些需求是史无前例的,因此,也给信息安全产业提出了更高的要求。
我认为,整个信息安全产业目前都在朝着这个方向努力,如果厂商只做一些合规性需求的技术和产品,会有很多弊端,一个是用户的需求有限; 另一个是厂商之间价格战会很激烈,不利于整个产业的发展。
孙定: 满足客户的内生性需求,需要与客户的业务部门,以及业务软件、行业软件企业合作吗?
刘科全: 您说得对。我觉得信息安全产业目前有两大技术动向: 一是信息安全与信息化日益融合。华为已经在交换机、路由器产品里插入了防火墙模块,用友推出的管理软件也开始植入安全功能。安全厂商们也在探讨,能不能进入IT产品领域,比如做安全存储产品、安全电脑或者安全手机。安全厂商大部分是提供一种隐性价值,怎么才能找到一些显性价值并和安全产品结合起来?就这样,一个是从左到右、一个是从右到左,信息安全与信息化的融合趋势已经很明显了。
第二个趋势是,政府机关对信息安全的要求和社会信息化对安全需求之间的区别越来越明显。社会信息化安全要求产品简单、方便、易安装,而政府的需求是面向内容安全、面向合规性的,需要规范的技术标准体系。这两者之间差别正在扩大。
三岔路口的选择
转型为软件厂商或硬件厂商、锁定行业、打造信息安全国家队,这是国内信息安全厂商的三大发展方向,联想网御将选择第三条路。
孙定: 在这种调整转折期,信息安全产业以及信息安全厂商未来的发展趋势会怎样?
刘科全: 从行业的竞争态势来看,目前安全厂商主要做的工作有两个: “加固地基”、“加高围墙”。“加固地基”就是把自己的基本功练好,例如研发、营销、公司管理、资本运营,都是巩固地基的方法;“加高围墙”是巩固优势领域。信息安全市场已经被厂商逐步圈地,形成了相对稳定的格局,某厂商可能在某个行业做得好,很多竞争对手就会想办法进来抢“地盘”,这时候大家都在想方设法把自己的“围墙”加得更高,让其他人进不来。
从国内信息安全厂商的发展趋势来看,我觉得会朝三个方向发展: 一个是转型,不做现有的隐性的信息安全技术和产品,而是转型做安全笔记本电脑、安全行业软件,转变成为软件厂商或硬件厂商; 二是锁定一个行业,不做全国市场,只面对一两个行业做安全软件开发和安全运维服务,成为一个百年小店,只要这个行业不倒,公司就不会倒; 第三是通过收购、兼并,打造信息安全国家队,比如成长为年收入10亿元的公司,成为国家和用户认可的绝对领导厂商。到目前为止,国内信息安全行业第一阵营之间普遍差距并不是很大,还缺乏领头企业。
孙定: 那么,联想网御会选择哪条路呢?
刘科全: 现在大部分厂商都是向着第三条路努力,联想网御也是。我们一定要快速把自己夯实,不断壮大,成为行业领头羊。这个行业最终只会留下几家大公司成为国家队。
孙定: 有没有企业在走第一条路或第二条路呢?
刘科全: 走第二条路的厂商比较多,比如面向公安部、安全部等几个特定行业进行信息安全服务的公司,它们普遍活得很健康,人员并不多,日子过得很舒服,一个公司如果甘心去做小店,是可以这样的。
第一条路也有人在走,比如有一些公司去做安全笔记本电脑,还有一些公司做负载均衡、应用加速,用安全技术来解决非安全的问题。但是现在安全行业的主流厂商还没有一家愿意主动放弃已有的市场,包括我们在内。
争当“总分第一”
联想网御一直希望最终能成为仅有的几家信息安全国家队之一,我们不太在乎单科成绩,但必须拿到“总分第一”。
孙定: 争当信息安全国家队的竞争肯定很激烈,联想网御下一步会怎么做?
刘科全: 从联想网御本身来说,我们在过去4年中,一直坚持两条原则: 一是在产品研发上分层次纵深部署――巩固网络安全,发展应用安全,布局管理安全; 二是在营销方面“三条腿走路”―“开矿”、“植树”、“耕地”。
在网络安全方面,我们要成为整个网关产品线实力最强的公司,包括防火墙、VPN、IPS、UTM等。根据IDC今年3月份的2009年年度报告,我们的UTM全球厂商排名第一,防火墙、VPN、IPS也都在前几名,这样的厂商只有我们一家。我们不太在乎单科成绩,但必须拿到“总分第一”。
关于应用安全,我们在前年收购了国内一家SSL VPN厂商,同时在几年前就一直配合重点行业客户做安全数据交换。我们希望能够面向应用层,形成统一的接入认证、统一的授权管理、统一的加密服务、统一的审计监控。
在管理安全方面我们也一直在布局,但是,我认为SOC(安全运营中心)不是未来的发展方向。我们在现阶段对管理安全更多地表现在对网络层的管理,对应用安全的管理,以及网络安全和应用安全相结合的管理,能够做到这一点已经不错了。管理安全未来的终极发展模式到底是怎么样的,我们还没想得很清楚,没有想清楚的事情我们不会去忽悠,也不去跟风。
孙定: 请您再仔细描述一下,“开矿”、“植树”、“耕地”具体的含义。
刘科全: “开矿”是开拓大型行业特别是重点行业用户,我们要深入研究行业的需求,找出行业的个性化特色,与现有的通用安全技术相结合,开发满足行业客户需求的产品。2009年联想网御拿了一个近亿元的大单,是信息安全有史以来的第一大单,我们就是根据用户的特殊需求设计出了相应的产品,才能在激烈的竞争中胜出。
“植树”是开拓一些相对比较重要的客户,我们的定义是平均每年能够产生100万元订单的用户。我们对这类客户进行维护,经常派安全咨询顾问跟这些客户沟通,传递我们对信息安全新产品和技术的理解。
“种地”,主要是面向那些散单市场,其实就是深度分销的概念,广泛地发展离客户最近的渠道合作伙伴,给他们做培训并通过他们覆盖广大的散单市场、散单客户。
孙定: 现在这三类客户给联想网御带来的营收比例是怎样的?
刘科全: 目前基本上是三三四的比例,散客营收的比例稍微大一点。未来是什么样子,现在还不好说,我个人觉得三三四可能是一个比较合适的状态。
孙定: 联想网御的应用安全产品有哪些?在所有产品线中,应用安全产品能够占到什么比例?
刘科全: 应用安全网关、应用安全监控、安全隔离网闸、安全数据交换系统等都是应用安全产品,我们也会根据客户的需求做一些修改和定制。
2009年,我们的应用安全产品大约占到所有产品的12%,我认为这个比例会逐步增加,今年估计会到20%,我希望以后能够占到40%。
借船出海 弥合差距
本土厂商奉行本土化、多样化,尽量把产品线扩得很宽; 国际厂商奉行专业化、国际化,就做两三个产品,但是要做成全球第一,战略的不同带来的结果是双方差距日益扩大。
孙定: 作为信息安全本土厂商,您如何看待与国际厂商的差异与竞争?
刘科全: 本土厂商基本奉行本土化、多样化的战略,尽量把产品线扩得很宽,好不容易抓住一个国内客户,就尽量多卖东西; 国际厂商基本上奉行专业化、国际化的战略,就做两三个产品,但是要做成全球第一。这种差异的好处和坏处显而易见。国际厂商做全球市场,整个市场规模很大,收入很高; 国内厂商只做中国市场,收入相对较少,同时要做很多产品,肯定做不好,带来的结果就是双方的差距会扩大。
安全行业本土厂商和国际厂商整体上的差距还是非常明显的,并有日益扩大的趋势。我们是仔细算过账的: 以一家全球著名的市场研究公司的数据为准,中国前五名的安全厂商,2008年的营收规模是美国前五名安全厂商的五十分之一; 中国前五名的安全厂商只占到中国信息安全市场的17%,而美国前五名的安全厂商占到美国市场的60%,占到全球市场的20%。这个账不算不知道,一算吓一跳。
孙定: 当前很多国内企业都在大谈“走出去”,联想网御有没有把生意“做出去”的尝试?
刘科全: 我们也想进入国际市场。2006年联想网御制定了“三步走”战略,到2009年以后,即进入第三阶段――“走出去”战略阶段。
“走出去”战略同样是三步: 第一步“借船出海”; 第二步通过技术输出占领国际市场; 第三步有重点地建立全球分销体系。客观来说,目前我们主要处在“借船出海”阶段,就是与国内外合作伙伴合作,现在已经形成了一定的规模,今年大概可以把500台安全网关产品卖到国外。这对我们来说是一个大的突破。
采访手记
安全行业很痛苦
“信息安全行业是一个非常痛苦的行业。”听到刘科全说这句话的时候,记者感到很诧异。
一直以来,业界都认为国内的信息安全厂商应该活得很滋润: 一方面是安全行业本身的特殊性赋予本土厂商的天然竞争优势; 另一方面是信息安全市场突飞猛进的发展和不断增长的用户需求,信息安全在IT行业是难得的“顺风顺水”。
那么,刘科全的“痛苦”在哪里?
首先是本土厂商的数量过多,又没能形成有效的差异化,导致市场竞争异常激烈。“政府标准产品采购项目的市场需求有限,价格战太激烈,就像卖大白菜一样。现在农产品都在涨价,IT产品却在大幅降价。”刘科全说。
其次,是国内厂商与国外厂商在技术实力上的差距。作为国内产品综合实力排名领先的厂商,有志于成为“国家队”、行业“领头羊”的联想网御自然要和国际上的竞争对手做对比。对比产生压力,技术实力、营收规模、产品策略、经营理念上的距离,都足以让这个有着民族使命感的企业领导者不断反思、辗转反侧。
干这行这么痛苦,不如离开吧。刘科全舍不得。他要继续在信息安全行业“开矿”、“植树”、“耕地”,等待开花、结果。他要拉大与本土竞争对手的差距,还要弥合与国际领先厂商的差距。他是“痛并快乐着”。(文/李智鹏)
总裁感悟
上市仅仅是个开始
2009年,卫士通公司作为国内本土专业信息安全企业第一个上市,在业内掀起一阵波澜; 近日,国内另一家著名的信息安全公司据悉也通过了审批即将上市,信息安全行业再次掀起上市风。
不过,这个行业容纳不下太多上市公司,刘科全是军人出身,有着军队技术干部的冷静、理性和认真。所以,他对上市的问题看得很客观、很远、很透。
刘科全认为,上市是一件好事情,一个优秀的上市公司要具备三个条件: 第一,公司确实处在很健康、很稳定的状态; 第二,公司的业务基本上到了可收、可发、可控的程度; 第三,公司所处的行业和业务要比较持续地看好。
“但是,很多企业根本不具备这样的条件就急匆匆上市,也许上去了,但没准哪天还会下来,被收购,或者把壳卖掉。”
刘科全还深入考虑了“上市是为什么”的问题。很多公司希望通过上市圈钱,然后去收购行业里的其他公司,从而快速实现行业领头羊的目标。但是,这样的收购如果没有合理的议价,没有“产业领袖级人物”来主导,没有各方智慧的综合运作,是很难达成的。
0 引言
随着互联网不断地向社会化和即时化方向深入发展,虚拟的网络空间正以前所未有的广度、深度影响和改变着人类社会的方方面面,包括交流的渠道、生活和生产方式等,给人们的生活带来了革命性的巨大变化,人们生活的很多方面都可映射到网络空间中,原本的“虚拟网络”正逐渐变成“真实生活”。网络空间安全依赖于信息安全、网络安全、应用安全,是关键信息基础设施保护的必要组成部分。本文从网络空间安全的新形势出发,通过分析高校人才培养实践中存在的问题,探讨了信息安全人才培养的新方法。
1 网络空间安全形势空前严峻
网络空间为整个世界的信息与文化交流提供了一个巨大平台,其具有着全球互联、穿越国界限制的特性。与此同时,国际上围绕网络空间安全的斗争也愈来愈激烈,从较早期的震网、火焰等安全事件,到2013年的棱镜门事件,网络空间硝烟弥漫,国家之间的对抗不断升级,网络空间已发展成为与陆、海、空、天并列的第五维战略空间,成为维护国家主权、安全和发展利益的又一战略制高点。2014年,美国政府把加强信息安全作为振兴美国经济繁荣和国家安全的重大战略,并成立网络司令部。同时,美国也非常重视信息安全人才的培养,于2011年接连了“网络空间作战战略”和“网络空间国际战略”,把加强信息安全人才教育和培养列为保障网络空间安全战略的重点,从而确保美国对于全球信息的绝对控制。
我国始终高度重视网络空间的安全保障工作。2013年11月,中国中央国家安全委员会正式成立,统筹协调涉及国家安全的重大事项和重要工作。2014年2月,中央网络安全和信息化领导小组成立,由亲自担任组长,他在小组第一次会议上说:“没有网络安全,就没有国家安全。没有信息化,就没有现代化”。网络安全上升为我国国家战略。
信息安全人才是国家网络空间安全竞争的决定性力量。建设和维护国家关键信息基础设施需要一支具有较高信息安全专业水平的人才队伍。仅以我国信息安全等级保护重要信息系统(不涉密)为例,定级数为5万多个,据初步统计,信息安全专门人才的需求量就高达数百万人。目前,我国信息安全毕业生数量和专业结构还远不能满足国家信息安全的迫切需要。可以说,培养大批量、高素质信息安全人才的工作已迫在眉睫[1]。
2 网络空间安全一级学科的设立为信息安全人才培养带来新的发展机遇
随着信息技术的发展与应用,网络安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻击、防范、检测、控制、管理、评估”等多方面的基础理论和实施技术。信息安全类专业是一个多学科交叉的专业,涉及计算机、生物、法律、电子、通信、数学、物理、管理、教育等多个学科。信息安全类专业以密码学为核心,以网络安全、信息系统安全、内容安全、信息对抗等为支撑,重点应用方向是国家和社会各领域信息安全防护。与其他学科相比,信息安全强调自主性与创新性,其中,自主性体现了国家意志和国家主权,创新性则强调通过不断的研究和创新从而能够抵抗各种新型攻击,不断适应信息技术发展的需求。
2007年,教育部批准成立了信息安全类专业教学指导委员会,其工作范围涵盖“信息安全”和“信息对抗技术”两个专业。到目前为止,全国已经有80多所高校开办了信息安全本科专业,30多所院校开设了信息对抗技术专业。经过十多年的发展,信息安全类专业定位逐渐清晰、内涵与人才培养目标明确,基本形成了一套完整的科学理论和工程实践体系。信息安全人才培养是一个完整的社会系统工程,但由于我国长期以来并未设置信息安全一级学科,各高校自主设立信息安全二级学科,并挂靠在通信、计算机、数学等一级学科下,基础不同,方向各异,造成了信息安全人才培养的混乱局面。如今,“网络空间安全”国家一级学科在2015年6月正式获批,这将更加有利于信息安全人才的有序培养,符合人才培养规律和学科发展需要,为国家培养多方向、复合型信息安全人才,使我国信息安全核心技术做到真正的自主创新和自主可控。
3 高校信息安全教学实践中存在的问题
现行教育体制下,高校成为社会人才需求培养的重要环节。教育是“教”和“学”的关系,两者必须有机地结合才能达到好的学习效果。下面分别从“学”和“教”的角度来谈谈当前高校教学实践中存在的问题。
3.1 学生方面存在的困扰
从学生的学习能力和学习效果来看,学习分为四个层次,如图1所示。
在当前国内大多数高校中,学生属于低层次的较多,而真正有能力的学生是极少数,这就是为什么一方面学生毕业后找工作难,而另一方面企业难以招到合适人才的缘故。现在的大学生独生子女居多,自我意识强,个性张扬。尤其是刚入学的新生,习惯了中学填鸭式的教育和题海战术,习惯了中学老师和家长的高压管理,进入大学后突然需要自己管理自己的学习了,这种学习模式上的转变往往令他们感到茫然、不适应,由此带来一系列的问题和困扰,通常表现在以下方面:
①贪玩,学习自主性差,兴趣不稳定,学习完全根据个人喜好;
②学习目标不明确,对专业发展方向的认识模糊、感到迷茫;
③学了几年专业课程,知识结构零散,无法构建成知识体系;
④对知识无法融汇贯通,进入实践环节时感觉难以入手、无法开展,更加缺乏自信;
⑤外面的诱惑太多,社会上的各种培训机构渗透进来,往往难以分辨,以致盲目跟风,耗时、耗财、耗精力,却未达到好的效果。
3.2 高校在信息安全人才培养中存在的问题
高校在信息安全人才实践能力的培养过程中,也存在如下问题:
①重理论、轻实践的教学传统,实践性信息安全师资的匮乏。
高校人才培养的传统模式一般是以基础教育、理论教育为主,实践动手能力培养为辅。这种方式对于基础性学科比较适合,而信息安全是对工程实践能力要求较高的学科。信息安全本身是人与人之间的对抗,极其要求实战能力、逆向思维,这需要长期、系统性的训练才能达到。由于信息安全是我国近几年发展起来的新学科,信息安全师资极其薄弱,教师的工程项目经验不足,实践类课程难以贴近实际。
②厚基础、宽口径的培养思路。
高校普遍奉行“厚基础、宽口径”的培养思路,与专业无关的基础课程设置太多。大学生一入学,就有各种各样的公共基础课,直到第三个学期才开始接触专业基础课程。由于信息安全涉及的知识种类多、类型跨度大、知识面广,以致专业课程的学时明显不足,知识体系覆盖无法深入。
上述问题直接导致的结果包括两个方面:一方面,学生们学到的知识因为没有贯穿到实践中,很多只是一些知识碎片,知识形不成体系。另一方面,课堂灌输式的教学因为缺乏足够的动手实践的经验,知识形不成能力。
4 信息安全人才培养方法的思考
信息安全类专业综合了密码学、网络安全、信息系统安全、信息内容安全方面的专业知识以及相关的专业基础知识[2],其知识体系如图2所示。
针对信息安全类专业的人才培养现状和社会需求,我们从分析社会需求入手,确定信息安全人才培养的目标和规格,制定出人才培养的专业规范,根据信息安全的知识体系设置合理的课程体系和实践教学体系。
4.1 基于需求的、以提高创新能力为主的实践教学体系
在高校内部搭建以提高实践创新能力为主体的实践教学平台,构建”基本技能训练—>实践能力训练—>综合能力训练“的理论与实践相结合、循序渐进的实践教学体系。如图3所示,实践教学体系共分三层[3]。“实践基础层”是整个实践教学体系的支撑和保障。“核心课程层”主要是规划实践教学主干课程设置。“实践创新层”则为学生创造良好的实践环境和实践机会,培养学生自主创新能力。
4.2 “6+1+1”教学模式与校企联合培养
所谓“6+1+1”教学模式,就是6学期(校内学习)+1学期(项目实训)+1学期(项目实习和毕业设计)。最后一学年全部是实践训练,这需要与企业的密切合作来完成。也就是说,整个实训实践环节是在企业的高度参与和密切合作下完成的。学生在校期间,企业既可以委托高校进行特定技术内容的定向培养,也可以采用校企“双导师”方式对学生开展项目实训,这种方式既有利于高校吸收业界高新技术,又利于构建以应用业务为模型的校企联合培养环境。通过多种实习形式,让学生进行有机、双向的实践活动,为学生创造一个良好的学习环境。这不仅有助于学生增加对安全行业的具体认知,确保学生所学的专业知识尽快地应用到工程实践中去,同时也有助于学生构建自己的社交网络,为毕业后求职做好准备。
5 结束语
伴随着信息安全技术的迅猛发展,国家之间的网络空间控制战愈演愈烈,国家对信息安全人才的培养也提出了越来越高的要求。这种新形势下,网络空间安全一级学科的正式设立符合时展和学科发展的迫切需要,高校只有针对教学实践中存在的问题,全面提高信息安全学科的建设水平,同时与安全企业密切配合,采取多种措施培养和强化学生的逆向思维和工程实践能力,才能满足为国家培养复合型信息安全人才的需要。
作者:喻钧等 来源:价值工程 2015年30期
关键词:信管专业 特色定位 教学体系
一、引言
教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。
由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。133229.cOm2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕erp企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。
中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。
二、专业特色定位
中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。
专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。
目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即m模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即i模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即s模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“iso标准化高等教育奖”的学院,是通过gbt/19001-2000idtiso9000:2000质量管
理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。
三、专业教学体系
培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。
(一)信息管理
毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。
毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。
开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。
就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。
(二)信息安全管理
信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(iso27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
bs7799标准是全球第一份关于信息安全管理体系的标准,bs7799-1现在已经被采纳为iso/iec27002:2005;bs7799-2也于2005年被采纳为iso27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了iso27001:2005的审核,获得了信息安全管理体系认证的证书。
毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要iso27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。
开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系iso27001建立与实施。
;
就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。
四、结论
信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。
参考文献:
1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[j].情报杂志,2010(2).
2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[j].情报杂志,2007(8).
3、cisc2005课题组.中国高等院校信息系统学科课程体系2005[m].清华大学出版社,2005.
4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[j].中国管理信息化,2009(6).
5、张劲松.信息管理与信息系统专业课程体系创新研究[j].情报杂志,2008(11).
6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[j].中国管理信息化,2009(3).
论文摘要:特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。为了进一步巩固发展信息管理与信息系统专业,优化该专业的结构,提升该专业建设的整体水平,满足企业对信息化人才的需求,文章从信息管理与信息系统专业背景分析入手,对中国计量学院信息管理与信息系统专业的特色定位和教学体系改革提出若干思考。
一、引言
教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。
由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕erp企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。
中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。
二、专业特色定位
中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。
专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。
目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即m模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即i模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即s模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“iso标准化高等教育奖”的学院,是通过gbt/19001-2000idtiso9000:2000质量管理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。
三、专业教学体系
培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。
(一)信息管理
毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。
毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。
开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。
就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。
(二)信息安全管理
信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(iso27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
bs7799标准是全球第一份关于信息安全管理体系的标准,bs7799-1现在已经被采纳为iso/iec27002:2005;bs7799-2也于2005年被采纳为iso27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了iso27001:2005的审核,获得了信息安全管理体系认证的证书。
毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要iso27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。
开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系iso27001建立与实施。
就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。
四、结论
信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。
参考文献:
1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[j].情报杂志,2010(2).
2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[j].情报杂志,2007(8).
3、cisc2005课题组.中国高等院校信息系统学科课程体系2005[m].清华大学出版社,2005.
4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[j].中国管理信息化,2009(6).
5、张劲松.信息管理与信息系统专业课程体系创新研究[j].情报杂志,2008(11).
6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[j].中国管理信息化,2009(3).
购物车(0)
