您好,欢迎访问湖北青年职业学院信息工程学院
今天是:

您现在的位置:首页 > 首页栏目 > 行业动态行业动态

我为什么要学信息安全与管理专业

发布时间:2017-04-06 09:21:00 点击:
       信息安全主要包括以下四方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
       信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
1、国内信息安全行业的发展历程
       二十世纪八十年代末以后,随着我国计算机应用的迅速拓展,各个行业、企业的安全需求也开始显现。除了此前已经出现的病毒问题,内部信息泄漏和系统宕机等成为企业不可忽视的问题。此外,九十年代初,世界信息技术革命使许多国家把信息化作为国策,美国“信息高速公路”等政策也让中国意识到了信息化的重要性,在此背景下我国信息化开始进入较快发展期,中国的计算机安全事业也开始起步。
       在这个阶段,一个典型的标志就是关于计算机安全的法律法规开始出现——1994年公安部颁布了《中华人民共和国计算机信息系统安全保护条例》,这是我国第一个计算机安全方面的法律,较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。
       1999年国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划,都是国家信息安全走向正轨的重要标志。与此同时,国家在信息安全的法律、规章、原则、方针上都有对应措施。发布了一系列文件。
       2003年,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》,明确了我国网络与信息安全保障工作的总体要求、主要原则和重点任务,对网络与信息安全保障工作做出了全面部署。
       2011年12月,工信部印发《信息安全产业“十二五”发展规划》,规划明确了“十二五”的发展思路与目标,确定了发展重点与重大工程,促进了我国的信息安全产业的持续健康发展。
       2012年7月,国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》,强调要“建立健全信息安全保障体系”,明确提出要“完善信息安全认证认可体系,将其信息安全产品认证工作”。
       2012年12月,全国人大常委会审议并通过了《关于加强网络信息保护的决定》。
       2013年8月,国家发改委发布《关于组织实施2013年国家信息安全专项有关事项的通知》,针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面向的信息安全实际需要组织国家信息安全专项。
       2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;李克强、刘云山任副组长。
       在中央网络安全和信息化领导小组第一次会议上习近平强调,网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。习近平指出,没有网络安全就没有国家安全,没有信息化就没有现代化。
       2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。草案共7章68条。关于保障网络产品和服务安全,草案规定网络产品和服务提供者不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等;关于保障网络数据安全,草案要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改;关于保障网络信息安全,草案明确了网络运营者处置违法信息的义务,赋予有关主管部门处置违法信息、阻断违法信息传播的权力。
       2016年,新华社3月17日全文播发《中华人民共和国国民经济和社会发展第十三个五年规划纲要》。《纲要》共分为20篇,其中多个篇章涉及互联网内容。第六篇《拓展网络经济空间》指出,牢牢把握信息技术变革趋势,实施网络强国战略,加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。其中,第二十八章 强化信息安全保障,统筹网络安全和信息化发展,完善国家网络安全保障体系,强化重要信息系统和数据资源保护,提高网络治理能力,保障国家信息安全。
2、信息安全行业发展方向及专业人才要求
      说起“信息安全”,很多人会想到电脑病毒泛滥、信用卡账号失窃、个人信息泄露,会想到“棱镜门”事件。随着信息安全上升至国家战略高度,以及互联网信息技术的蓬勃发展,信息安全行业受到前所未有的重视,迎来一个历史性的发展契机。 现实中“信息安全”与“计算机安全”、“网络安全”术语经常被不正确地互相替换使用。其实这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。
       信息安全产业是一个综合性学科的产业,其产业规模与产业增长率随着社会的发展不停攀高。
       根据赛迪集团发布的《信息安全产业白皮书(2015版)》介绍,2014年,我国信息安全产业业务收入为739.8亿元,是2012年313.8亿元的2.4倍,近三年来,我国信息安全产业规模年均增长率超过了40%。
       2014年,随着国内携程、京东、如家等知名企业核心数据泄露以及安全漏洞被曝光等事件频频发生,将进一步引发企业对信息安全的关注,同时国内企业级的信息安全市场迎来高速增长。据普华永道统计显示,国内多数企业表示将采取积极主动措施,提升IT安全投入比例,2014年企业信息安全平均预算2666万元,同比提高了51%。
      根据国家互联网应急中心发布的《中国互联网站发布状况及其安全报告(2015)》显示,针对我国境内网站的仿冒钓鱼站点成倍增长,境外攻击、控制事件不断增加,中国网站安全问题形势依然严峻。在仿冒钓鱼上,据CNCERT监测,共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面,仿冒页面数量较2013年增长2.1倍;中国反钓鱼网站联盟在2014年全年共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。在篡改和植入后门上,据CNCERT监测,境内被篡改网站36969个,较2013年大幅曾展53.8%,被植入后门的网站 达到40186个,其中位于美国的4761个IP地址通过植入后门控制了我国境内5580个网站,侵入网站数量居首位。
      而近期发布的2016版内容提出,我国互联网的安全情况堪忧,中国网站安全仍面临更加复杂严峻的安全态势。网站作为互联网的主要入口,面临着以瘫痪目标业务系统、窃取用户有价值信息、控制大规模服务器(或设备)资源等为主要目的攻击威胁。
      我国2015年的安全情况堪忧,公共互联网环境仍然面临较为严峻的安全态势,互联网站作为互联网的主要入口,面临着黑客以瘫痪目标业务系统、窃取用户有价值信息、控制大规模服务器(或设备)资源等为主要目的攻击威胁。2015年,网页仿冒、拒绝服务攻击等已经形成成熟地下产业链的威胁仍然呈现增长趋势,网页篡改、网站后门等攻击事件层出不穷,党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT攻击的重点目标。网站数据泄露风险则成为网站运营管理方需要直面的突出问题,同时也直接成为用户能具体感知的安全事件。
      钓鱼(仿冒)网站钓:鱼(仿冒)网站地下产业高度成熟,骗局手段更新,为逃避打击服务器大部分位于境外。2015年CNCERT监测发现针对我国境内网站的仿冒页面(URL链接)191699个,较2014年增长85.7%,涉及IP地址20488个,较2014年增长199.4%,平均每个IP地址承载约9个仿冒页面。CNCERT全年接收到网页仿冒类事件举报75860起、处置事件75135起,分别较2014年大幅增长324%和319%。据CNCERT监测,针对我国境内网站的钓鱼站点(IP地址)有83.2%位于境外,共有17044个境外IP地址承载了167507个针对我国境内网站的仿冒页面,其中IP地址较2014年增长179%,所承载仿冒页面数量较2014年增长79.8%。从所承载仿冒页面数量来看,位于中国香港的IP地址承载了60317个钓鱼页面,居于首位,较2014年大幅增长106%,其次是美国和韩国,分别承载了18186个和16031个钓鱼页面。进一步对网页仿冒的内容进行分析发现,仿冒信用卡积分和提升额度、针对基础电信企业通话积分换购和第三方支付链接的仿冒信息最多。针对热门的娱乐节目的“中奖”诈骗活动数量也在不断上升。此外,结合伪基站短信以及基于个人信息的社会工程学手段,一些网络诈骗活动让互联网用户难以及时识别和防范。
      APT攻击:同时,APT攻击黑客组织不断浮出水面,网络空间的博弈愈演愈烈,党政机关、科研院所甚至商业公司都成为重要攻击目标。2015年,互联网上爆出了多起典型的APT攻击事件,APT28、图拉、方程小组、海莲花等多个具有特殊目的开展黑客活动的黑客组织逐渐进入视野,引发人们对敏感数据长期遭窃取的担忧。2015年5月,针对中国攻击的境外APT攻击组织——海莲花(OceanLotus)被揭露曝光。该组织自2012年4月起,针对中国的海事机构、海域建设部门、科研院所和航运企业,使用木马病毒攻陷和控制政府人员、外包商、行业专家等目标人群的电脑,甚至操纵电脑自动发送相关情报。2015年6月,卡巴斯基实验室在一次安全扫描中检测到了影响几个内部系统的网络入侵活动,并最终分析发现此次入侵活动来自APT组织之一的恶意软件平台Duqu。
       仿冒网站:另外,仿冒网站层出不穷,仿冒网站给境内用户带来经济上的重大损失,其中一些仿冒网站抓住用户的侥幸心理,以利诱方式诱骗互联网用户,从2015年被仿冒对象来看,一些具有较大知名度的传媒、电信运营商、金融、支付类机构容易成为仿冒网站仿冒的目标。被仿冒次数排名前列的有:中国移动、支付宝、中央电视台、中国工商银行、中国邮政储蓄银行、浦发银行、中国农业银行、平安银行、招商银行等机构的网站。2015年建设银行、招商银行、工商银行被仿冒次数最多,分别占被仿冒银行网站总数的42%、27%、16%。CNCERT全年接收到网页仿冒类事件举报75860起、处置事件75135起,分别较2014年大幅增长324%和319%。
       黑客年轻化:根据调查,黑客向年轻化发展、黑客团队向黑社会化发展根据对网络攻击犯罪嫌疑人的年龄统计,网络攻击背后的黑客呈现年轻化趋势,相当比例的网络攻击犯罪嫌疑人在20-30年龄段,有不少嫌疑人甚至只有14、15岁,黑客通过社交媒体公然联络鼓动攻击,其沟通语言、行为方式、组织管理模式效仿黑社会。一方面黑客地下产业危害了公众的信息数据安全和财产安全、影响了互联网秩序,另一方面黑客地下团伙之间的恶性争斗、相互倾轧对公共互联网的安全运行构成威胁。有效防范治理网络安全威胁及黑客地下产业链将对保障网络信息安全、公众信息财产安全和互联网治理发挥积极重要的作用。
      DDos攻击:2015年10月,某互联网企业进行了一次超大流量DDoS攻防演练,攻击峰值达到10405 Gbps,该事件之所以引起了产业界的高度关注,一方面由于超大流量攻击其带来的破坏性毋庸置疑,另一方面进入2015年类似的超大流量攻击绝非仅有。2015年DDoS的攻击呈现两极分化形式,一类持续大流量攻击,尤其是针对高性能、高价值、大范围的攻击目标;另一类则呈现小而快、小而慢的形式,进入细分行业,主要是针对小流量及特殊业务目标;同时,我们也发现这两类攻击并非格格不入,而是伴随着环境、业务、时间、流量、设备的变化而组合演变,这些演变将与云计算及大数据一起,催生DDoS防护向下一代DDoS防护及APT时代迈进。
      信息安全与管理专业主要培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全专门人才。信息安全与管理专业学生毕业后可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域,包括云计算、智慧城市、物联网、电子商务、互联网平台等从事计算机应用工作,随着“互联网+”的提出,传统行业与互联网的融合,可以说,只要有数据,有交易,有互动的网络覆盖的行业,都有信息安全的诉求。
      在美国,信息安全行业的成为最赚钱的十大职业,燃镜科技(Burning Glass Technologies)2015年发布的一份报告显示,安全行业的招聘规模在2007年到2013年之间增长了74%。美国的信息安全收入较高的岗位分为:首席信息安全官、安全架构师、安全主管、安全经理、安全工程师、应急响应人员、安全顾问、计算机鉴定专家、恶意软件分析师等。
       在中国,信息安全的起步相对美国较晚,整个产业正在逐步起飞,市场容量高速扩张。对于高职院校的信息安全专业毕业生的职业的方向分为:
(一)安全测试方向
       其中职业主要分为: 安全服务工程师、信息安全咨询顾问、渗透测试工程师、网络安全工程师、网络安全研究员、web安全工程师、安全架构师、安全分析人员、安全检测工程师、全运维工程师、游戏安全测试工程师等。
(二)网络安全方向
       其中职业分类为:技术服务工程师、网络工程师、技术支持工程师、网络优化工程师、硬件工程师、事业部产品经理、销售经理、销售工程师(客户线)、销售工程师(产品线)等。
与信息安全有关的职业人才,存在以下特点:
       1.就业竞争小:有媒体报道称,企业招聘到合适的网络人才相当不易,并非IT企业的招聘要求苛刻,实际情况是大量求职人员受专业技能限制而无法满足企业需求。新型网络安全人才缺口大,27%的行业增长速度导致网络人才年缺口达30万。
       2.职业寿命长:网络安全工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,会越老越吃香。
       3.发展空间大:在企业内部,网络安全工程师的职业前景非常广,是一个多方向发展的职业。就业面广,一专多能,实践经验适用于各个领域。
       4.增值潜力大:掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。职业价值随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨。
       因为信息安全涉及到各行各业,在我国倡导“互联网+”的大潮流下,面向云计算、大数据、移动互联网、物联网、车联网、智慧城市等等信息化浪潮,信息安全成为其中不可或缺的组成部分。截至到目前为止,针对信息安全人才的整体需求规模,并没有绝对权威的数据来支撑。
       2015年,由上海社科院信息研究所和上海市信息安全行业协会共同完成的《中国信息安全专业人才调研报告》透露,截至2013年6月,中国已培养信息安全专业人才约5万人,仍无法满足政府、部队和其他行业部门的人才需求,人才缺口高达50万。
       时至今日,随着移动互联网、大数据的发展近而导致的新型安全威胁使得企业对信息安全专业人才的需求只会越来越大。而相对于企业信息化建设和对信息安全需求的速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。
       根椐目前信息安全领域人才市场需求分析,信息安全要求“专”、“精”,是计算机领域中要求相对较高的一个分支,入门的门槛高。因此对职业进行定位,明确岗位技能要求是推进高职院校信息安全专业发展的关键。通过全面市场调查并结合高职院校对信息安全专业的培养定位,我们对这一职位进行细分,进一步作了职业规划和岗位技能需求分析:
1.安全测试工程师岗位要求
      能够承担安全产品系统测试方案的设计和实施;能研究和验证网络产品和安全产品的设计缺陷与安全漏洞,能够设计并实施针对安全防御系统的穿透性测试。技能要求:了解TCP/IP协议及上层应用协议;了解Unix或Windows系统内核与底层;了解路由器、交换机设备的工作/实现原理;了解多种安全技术与安全理论,掌握或熟悉各种网络攻击与防护技术。
2.安全服务工程师岗位要求
       能够承担信息安全咨询和服务工作,设计构建安全体系,提出安全解决方案,制定安全策略,能初步进行信息安全评估工作。技能要求:了解国内外主流的防火墙、入侵检测、防病毒、VPN等安全产品,具备信息安全评估、咨询常识与技能;能够设计信息安全整体解决方案,了解国内外信息安全领域的主要标准与法律法规。
3.网络安全工程师岗位要求
       能够承担局域网规划、建设及管理;网络设备的调试维护;服务器主机及应用系统的维护;病毒防护;安全管理;邮件系统管理;网站建设及日常维护。技能要求:熟悉局域网、广域网的设计与优化配置与Windows系统管理,掌握Web、Mail、数据库、防火墙等产品的安装与维护技术。熟悉数据库在Windows或Linux平台的安装、性能调整、数据备份等操作。
4.电子商务(政务)工程师岗位要求
       承担电子商务网站的安全管理,具有扎实的信息安全学知识,能够独立地建立、维护网络的安全认证系统,保障网络安全运作的高级信息安全管理员。技能要求:了解TCP/IP协议、网络信息安全、网络安全审计与网络操作系统、电子商务、密码与加密技术。
根据信息安全产业行业调研,以及高职信息安全与管理专业定位在信息安全管理服务业的思想,信息安全专业可以进一步细分为三个专门化方向:信息安全系统管理服务、信息安全产品服务、数据安全维护服务。
专业优势:
       1、国家高度重视信息安全问题。2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;李克强、刘云山任副组长。在《中华人民共和国国民经济和社会发展第十三个五年规划纲要》中强调:“强化信息安全保障,统筹网络安全和信息化发展,完善国家网络安全保障体系,强化重要信息系统和数据资源保护,提高网络治理能力,保障国家信息安全。”
       2、国家信息安全产业发展迅速。2014年,我国信息安全产业业务收入为739.8亿元,是2012年313.8亿元的2.4倍,近三年来,我国信息安全产业规模年均增长率超过了40%。
       3、湖北省政府大力发展信息安全产业。
       4、我国信息安全人才需求量巨大。社会对信息安全服务的需求很大,军队、国防、银行、税务、证券、机关、电子商务等产业急需大批信息安全人才。随着移动互联网、工业互联网、大数据的发展而导致的新型安全威胁使得企业对信息安全专业人才的需求只会越来越大。而相对于企业信息化建设和对信息安全需求的速度而言,各个行业的信息安全人才培养机制和手段显得非常匮乏。2015年,由上海社科院信息研究所和上海市信息安全行业协会共同完成的《中国信息安全专业人才调研报告》透露,截至2013年6月,中国已培养信息安全专业人才约5万人,仍无法满足政府、部队和其他行业部门的人才需求,人才缺口高达50万,而且今后5年内,社会对信息安全人才的需求仍将以每年2万人的数量增加。
       5、高等职业院校是培养信息安全管理与技术服务中低端人才的主力军。当前信息安全人才培养的高中低人才梯队尚未形成,中低层应用服务管理型专门人才的培养还没起步,按现代信息安全观点来说,“三分技术,七分管理”,而这类干具体实际工作的人恰恰是不容忽略的群体。保障信息安全,需要多样化、多层次的人才,因此,信息安全专业人才的培养目标应不尽相同,既要在研究生和本科教育阶段培养能从事整个网络信息安全系统规划、设计的高层次人才,也要在专科教育阶段培养具体进行网络安全系统某个环节建设的专业技术技能人才。目前,高等职业院校业已成为培养信息安全系统集成、工程实施与安全产品销售的技术人才的主力军。

    在线咨询:
    点击这里给我发消息

    在线咨询:
    点击这里给我发消息

    在线咨询:
    点击这里给我发消息