计算机网络安全专业市场调研报告
一、计算机网络安全背景
(一)、网络安全形势不容乐观
中国是一个发展中国家信息基础设施建设目前还尚在起步阶段,计算机网络的兴起不仅给我们的衣食住行带来了便利同时也把网络安全隐患带到我们的身边,使我们长期感受到“达摩克利斯之剑”的威胁。网络安全问题已经成为21世纪继“911恐怖事件”之后各国政府十分关注的焦点问题。克林顿总统在位时曾经亲自就国际黑客事件召开政府对策咨询高级会议部署美国国内的信息安全防御体系建设的重大决策及实施纲要。美国政府2001年1月以总统令发布了《保卫美国计算机空间——信息系统保护国家计划V1.0》,这是一个规划美国计算机安全保护持续发展和更新的综合性方案。美国总统要求国会批准了用于网络安全防护的开支每年追加投入20亿美元的提案2003年该项经费开支将达到83亿美元。
日本在21世纪开元之际提出了2001年—2005年的《防卫力量配备计划》加强日本自卫队的信息防御体系建设,防止信息武器的突袭和对国内信息网络的突发事件保持警觉,并制订相应的对策;加拿大国防部1999年以来拨出巨款在社会上征集科技人员组成“电脑黑客小组”在位于渥太华的国防部实验室内开展针对黑客攻击的防卫课题的研究,并且模拟黑客制造计算机病毒,然后有针对性地设计出更加可靠的网络安全防护措施。俄罗斯政府2000年6月由普京总统亲自签署命令,批准实施《国家信息安全学说》,把对于信息战的研究列为确保俄罗斯在未来世界里生存与发展的首要考虑因素之一。为此,俄罗斯专门成立了新的国家信息安全与信息对抗领导机构,并于当年组建特种信息战部队,重点开发高性能计算机技术、智能化技术和信息攻防及相关软件技术等关键技术。
随着我国信息化水平的不断提高,计算机网络与信息应用在我国得到了迅速的发展,由于各机关、团体、企、事业单位以及个人与Internet的接入,使得我国计算机网络安全形势也日益严峻,从1998年到2001年的四年中,中国国内信息网络的犯罪案件呈现逐年上升趋势。
国内的计算机网络安全问题不容乐观,据调查显示,我国现有的信息安全专业技术人才,3000人左右,而计算机拥有量已经超过3500万台平均每一万台上网计算机才有不到一名专业化程度很高的技术人员确保网络信息安全。摆在我们面前的任务十分艰巨。
网络安全问题已经引起国家领导人和政府最高决策机构的高度重视,并认真研究互联网络安全对策,制订具体信息安全政策和法规。但是。每年仍然有数以百万计的计算机和中文网站遭到计算机病毒、黑客的入侵、非法访问、主页篡改、敏感信息泄密等事件的危害。对此我们必须保持清醒的头脑和做好应急准备。
(二)、信息安全应急响应服务背景
今天,信息已经成为代表一个国家综合国力的战略资源,信息安全的实质就是保护信息资源的可靠性、保密性和可用性,防止敌对势力的破坏和利用信息战技术手段收集窃取国家机密和经济情报防止和打击计算机网络的各种犯罪活动。信息安全关系到国家安全、民族兴衰和未来战争的胜负,关系到国民经济能否健康、有序、可持续发展的关键问题。假如没有信息安全作为国家基础设施的先决保证条件,就无从谈起民族的振兴和国家的长治久安。
为保护国家计算机安全空间的强壮和防止灾难事件的光临,世界各国政府积极制订了一些有关信息安全的法规和应对紧急信息安全事故的对策。如今,美国等一些信息产业高度发达的国家相继成立了各自的计算机应急响应小组( CERT ),通过对关键网络注入漏洞扫描程序和安装入侵检测系统,以提高信息系统的整体攻防能力,应付越来越多的网络入侵行为,并提供相应的安全应急响应服务,使得网络安全问题得到有效控制。
近年来,中国计算机互联网络系统的发展十分迅速,Internet的广泛应用给人们带来了生产和生活方式的巨大变革。同时我们也注意到网络安全事件时有发生。仅黑客入侵、病毒感染事件近年来明显增加特别是1988年的Morris 蠕虫病毒灾害事件直接导致了CERT/CC的诞生。由于我国计算机网络基础设施主要依赖国外产品,防火墙的65%路由器的80%都来自海外,再加上由于地理、语言、政治、经济等因素的制约信息安全的漏洞或隐患时常成为各级领导和网络安全技术人员的心病。信息安全的确保并非由一两件安全设备及安全产品所能奏效的,需要随时更新网络安全技术和不断完善安全制度,以应对日益严重的信息安全难题。于是计算机网络系统应急响应策略应运而生。
计算机网络系统应急响应的策略以及与之配套的应急响应服务、灾难恢复与重建等项任务需要自立于民族产业的基础之上,我们不可能依赖国外的安全产品或技术服务组织,来满足我国对于计算机网络安全的要求,这不仅仅是一个技术问题,更主要的是一个国家的主权问题。信息安全是涉及国家最高利益的关键技术和对策问题。它代表着一个长期建立在民族产业基础上的国家主权和尊严。是体现民族意志和综合国力的关键技术和重大国事。一个国家的生存发展权必须掌
握在自己本民族手中。外人是绝对不可以染指的。
鉴于以上的阐述,我们必须建立起独立自主的信息安全体系建立起中华人民共和国的信息安全长城。1998年中国信息安全应急响应中心的建立,标志着中国的计算机信息网络系统安全体系的健全和强壮,表明中国人民能够在党的领导下,独立自主地实现国家信息基础设施和信息网络系统的安全。
现阶段国内急需一批能适应市场变化规律的、技术成熟的、防护全方位的、优质服务的计算机应急响应组织。这就需要中高职学校对计算机网络安全人才的培养。
二、调研安排
基于国际与我国的计算机网络安全背景,此次计算机网络安全专业设置市场调研基本情况如下
1、调研目的
以市场为导向、以行业需求为依据、以能力为基础、以学生为中心、全面改革课程体系。
2、调研内容:
(1)目前国内网络安全相关行业就业岗位需求;
(2)目前国内网络安全相关行业岗位结构;
(3)目前国内网络安全相关行业岗位要求及能力体系;
3、调研范围及对象
所调研单位主要在临汾地区。主要以从事网络安全的教育,信息技术单位,机械制造,政府机关,金融服务行业中的网络部门主管、网络规划师及一般员工为对象。
4、调研方式
主要通过电话采访、个人工作体验为主要方式。为了调研网络安全岗位工作过程和技能要求,专业建设团队有针对性的分别选择了临汾地区付网络安全要求较高的一些企业公司及单位,主要就岗位设置、岗位职责、工作过程、技能要求等深入企业一线进行了访谈调研、问卷调查。这些企业经营模式不一、业务范围多样、目标客户各异、企业性质也多样,有民营企业、外资企业、合资企业等。
此次调查的21家企业,来自制造业、中小企业、金融行业及税务行业。目前,在金融、税务行业应用中,网络安全均以完整的解决方案形式出现相对比较成熟,投资也很大,规模在千万元以上;制造业中,大多以解决方案的形式出现,但普通制造业中,相关人员对网络安全概念较模糊,网络安全的应用局限性较大,多为杀毒软件和防火墙等产品的叠加,投资额一般,多在百万元量级;中小企业的网络安全应用现状相对最弱,90%的中小企业将杀毒软件作为安全保障只有少数企业安装了防火墙,投资额很小,在数千元甚至百元水平有些微不足道。
第二种是企业安全意识薄弱,主要依赖杀毒软件。
在调查、采访过程中,除个别企业网络安全意识薄弱,大多数企业都意识到了网络安全的重要性,下一步加大投资的想法也都很明确。
以上即为此次“网络安全市场调查”的各种统计结果,通过对上述数据的分析,不难看出网络安全市场还处于发展启动的初级阶段具有很大的发展空间。
三、调查总结
企业中我们中职网络安全专业的学生到底干什么工作呢?企业需要什么样的人才呢?网络安全的企业管理理念是什么呢?带着这些问题我们到以上以及一些相关的公司及单位进行了市场调研,在原有调查的基础上,又与业界的多家机构进行了接触进一步地对网络安全业的人才需求与目前的相关教育、培训环境进行了较为充分的分析和研究主要从以下几个方面进行阐述。
1、网络安全专业的培养目标及人才规格需求
培养目标,本专业培养能够掌握网络安全基本理论,掌握一般的防黑客技术及防病毒技术,掌握主流操作系统的安全机制,具有较强的操作能力和分析能力,能够规划计算机网络的安全平台,胜任网络安全管理与维护和网络安全类公司售前、售后服务的工作,并能快速跟踪网络安全新技术的高技能性人才。毕业生主要从事防火墙、防病毒、黑客入侵监测等工具的使用,黑客入侵监测、漏洞扫描等工作,服务器及数据库应用的访问控制和内部用户口令管理、安全审计数据加密和虚拟单位网,和身份鉴别、电子签名。在已建立单位内部网的单位中处理病毒防护、防止来自Internet的恶意入侵、服务器及数据库应用的访问控制、内部用户口令管理、安全审计、身份鉴别、电子签名、数据加密和虚拟单位网的问题。可从事的具体工作有:1计算机网络安全管理与维护,2、网络安全技术员,3、计算机网络及信息化平台的安全管理与维护,4、信息化安全平台的开发与建设, 5、网络安全攻防测试员6、安全产品项目推广。
本专业学生就业单位主要有教育、信息技术单位、机械制造、政府机关、金融服务行业中的网络部门。
2、企业市场需求分析
随着IT市场及Internet的高速发展,个人和单位将越来越多地把商务活动放到网络上,发展电子商务和网络经济已成为传统企业重现活力与生机的重要路径与支撑。我国的电子商务和网络经济发展始于90年代初期,特别是近年来得到了空前的发展,从外经贸部的“中国商品交易市场”、“首都电子商务工程”到以电子贸易为主要内容的“金贸工程”,有关电子商务和网络经济的活动和项目大量涌现。因此电子商务和网络经济的安全问题就更加关键和重要。
Internet技术的高速发展带动了单位及政府各部门的上网工程,他们纷纷采用先进的互联网技术建立自己的内部办公网Intranet。在被访的单位中已经建立单位内部网Intranet的单位达82.3% “正在规划”的单位占15.0%只有2.7%的单位还未考虑单位内部网的建设。在Intranet已建成的单位中,平均每单位拥有1.3台服务器及28.4台客户终端。
当问及被访者对于信息系统安全的认识时,92.2%的被访者认为信息系统的安全事关单位运行,其余认为不很重要的被访单位均还未建立单位内部网。由此看来,享受到信息共享的单位已充分意识到网络安全的重要性。在网络安全的六个领域,被访者对其重要性的认知不一,90.3%的被访者认为病毒防护最重要,81.7%的被访者认为防止来自Internet的恶意入侵的重要性次之,排名第三重要的为服务器及数据库应用的访问控制和内部用户口令管理、安全审计均为75.9%,第四、五位为数据加密和虚拟单位网59.4%和身份鉴别、电子签名
58.8%。 在已建立单位内部网的单位中,其网络安全领域亟待解决的问题分别有病毒防护、防止来自Internet的恶意入侵、服务器及数据库应用的访问控制、内部用户口令管理、安全审计、身份鉴别、电子签名、数据加密和虚拟单位网。电脑主管对以上问题处理的紧急程度可以体现出其问题的重要性。在以上单位中68.2%的被访单位已感受到网络安全的威胁,其中35.8%的被访者认为威胁主要来自于单位外部,另外32.4%的被访者认为威胁主要源于内部。
网络安全的应用局限性较大,多为杀毒软件和防火墙等产品的叠加,投资额一般,多在百万元量级;中小企业的网络安全应用现状相对最弱,90%的中小企业将杀毒软件作为安全保障,只有少数企业安装了防火墙,投资额很小,在数千元甚至百元水平,有些微不足道。
通过对上述数据的分析,不难看出网络安全市场还处于发展启动的初级阶段,具有很大的发展空间。
那么作为网络安全专业的学生应该掌握哪些技能呢?
1、掌握网络安全基础理论知识,熟悉国内外网络安全政策与标准包括等级保护、风险评估等;
2、能对网络安全体系的运作的完整性、全管理体系。 符合性和有效性进行独立审核;
3、沟通能力强,并具有良好的安全理念;
4、对安全问题十分敏感,能够制定方案,并推动其实施;
5、熟悉主流操作系统、数据库、网络与应用系统的工作原理,了解常见的安全漏洞及利用技术;
6、熟悉防火墙、IDS、安全审计等主流安全产品;
7、具有良好的团队合作精神和主动学习精神。
网络安全工程师:
1负责对整个信息系统进行安全评估和安全加固;
2. 负责对网络安全管理体系维护和执行检查;
3. 在出现网络攻击或安全事件时,提供紧急响应服务,帮助恢复系统及调查取证;
4. 能够解决日常安全问题。
随着网络安全市场的迫切需求,学校培养的网络安全专业的学生的数量也在不断的增多,但真正能够满足企业要求的确不多,这和网络安全产业刚刚起步,网络技术更新换代较快,学校与企业缺少沟通有很大的关系,我们的学校的网络安全专业的教学也存在一些问题总结一下几点
1、教师问题
目前职校的部分教师从学校毕业又走进学校教书的,只有少数没有生产一线中管理人员的经验。因此,无论是管理理念,还是管理方法都比较欠缺。因此,网络安全专业教师需要到企业考察的机会,要学一些生产管理的理念和方法,不断提高专业能力水平。
2、学生学习的积极性问题
在项目的实施过程中,学生在项目进行初步,积极性比较高,思想也比较集中。但随着项目的深入,学生的兴趣和积极性就明显下降了。所以学生学习兴趣和积极性的保持,是一个比积极性的调动更重要和严峻的问题。分析主要有以下两方面的因素:
因素一,项目受影响因素较多,因为网络本来就具有很多的不可控因素,所以在项目进行时,很有可能会碰到各种各样的问题,学生碰到这些问题后,可能会因为难度产生倦怠的心情。
因素二,随着项目的深入,学生学习中的困难也越来越多了,有些困难学生通过自己努力不能解决。但平常习惯了被“灌输”的他们,没有多少自主学习、探究解决的能力和习惯,又羞于开口问老师。这样学生在一大堆的问题面前开始退缩了,妥协了。
3、缺乏成长土壤和实践场所
缺乏成长资源和实践场所是制约网络安全人材培养的一个重要因素。企业需要什么样的人才,我们就培养什么样的人才,这个理念早已深入人心。但在实际教学中,能够为学生提供真实,或仿真的实训场所和实习环境是非常少的,许多学校的学生都快毕业了或者已经毕业的都没有到相关公司的网络安全岗位实习过。如果单靠在学校的实训场所是无法真正掌握的专业技能的。所以学校与企业沟通、甚至合作实现人才、设备、市场共享的有效途径。
4、知识更新换代较快
网络每天的发展都日新月异,也许昨天还可以实现的攻击方式或者防范方法今天就不可以用了,所以我们在课程中讲授的知识永远不可能是最前沿的而学生对于原理的东西并不是很感兴趣,所以这就需要学生不仅局限于课堂上学到的知识,而应多去接触网络,了解最新网络攻防技术,另一方面,也提高了对老师的要求,需要老师对自己的知识不停地更新换代。
四、网络安全专业教学的几点设想
1、理想的高素质专业教师队伍。
项目教学法不同于传统的理论灌输式教学,要求教师更新教学理念。我们要把教学任务是否完成的观念,转变成为学生工作能力是否具备;要把看似漫长的、浪费时间的探索实践过程,看成了培养学生创新能力、合作能力和综合业务能力的过程;要从手把手教的过程逐步过渡到大胆放手让学生自主探究的过程。
项目来源于企业,应该是现实的具有实际意义的一项工作,这就需要专业教师了网络安全产业的市场需求,具有很强的实践能力。如果让专业教师到企业“顶岗工作”专业教师的岗位实践能力会更强。
2、设备的完善
一个项目的制作需要每个人都能上机操作,为了保持学生学习的积极性,把知识很好地衔接上,尽快地看到自己的学习成果。因此设备的完善和配置,也将对项目教学的成功开展起到相当的帮助作用。
3、各相关学科课程整合
一个项目的完成学生需要具备各学科的知识,开学初各科教师应该进行研讨,讨论在项目制作过程中需要具备的知识能力,教学内容围绕此目标进行,必要时各科可以共同制作一个项目,同时注重学生自主学习意识和能力的培养,实现课程的整合。
4、校企合作
(1)企业参与课程设置。学校的学历教育与企业培训相结合,根据企业的市场需求设置课程。
(2)有效地借助企业资源。学校的硬件设备是有限的,比较基础,一些高端的网络安全设备学校是没有的,通过校企办学,企业可以为学校提供一些硬件资源,有利于课程的开展。
五、通过这次调研所搜集的数据和资料,根据市场需求对专业方向进行了定位及目标的确定
专业方向设置及岗位、岗位群
根据网络安全行业相关领域岗位结构、素质要求及岗位需求的
分析,我们确定网络安全员为主要培养方向。与其相关的的安全产品项目推广,信息化平台的管理与维护,网络安全攻防测试员等岗位和岗位群。
2、本专业培养目标:
本专业培养能够掌握网络安全基本理论,掌握一般的防黑客技术及防病毒技术,掌握主流操作系统的安全机制,具有较强的操作能力和分析能力,能够规划计算机网络的安全平台,胜任网络安全管理与维护和网络安全类公司售前、售后服务的工作,并能快速跟踪网络安全新技术的高技能性人才。
