大学机械与信息类专业介绍
2010-06-10 19:36:49 阅读8 评论0 字号:大中小
一;(自动化) 自动化专业主要研究的是自动控制的原理和方法,自动化单元技术和集成技术及其在各类控制系统中的应用。它以为基础,以电子技术、电力电子技术、传感器技术、计算机技术、网络与通信技术为主要工具,面向工业生产过程自动控制及各行业、各部门的自动化。它具有“控(制)管(理)结合,强(电)弱(电)并重,软(件)硬(件)兼施”鲜明的特点,是理、工、文、管多学科交叉的宽口径工科专业。学生在毕业后能从事自动控制、自动化、信号与数据处理及计算机应用等方面的技术工作。就业领域也非常宽广,包括高科技公司、科研院所、设计单位、大专院校、金融系统、通信系统、税务、外贸、工商、铁道、民航、海关、工矿企业及政府和科技部门等。
专业基本情况
1、培养目标
本专业培养的学生要具备电工技术、电子技术、控制理论、自动检测与仪表、信息处理、系统工程、计算机技术与应用和网络技术等较宽广领域的工程技术基础和一定的专业知识,能在运动控制、工业过程控制、电力电子技术、检测与自动化仪表、电子与计算机技术、信息处理、管理与决策等领域从事系统分析、系统设计、系统运行、科技开发及研究等方面工作的高级工程技术人才。
2、培养要求
本专业学生主要学习电工技术、电子技术、控制理论、信息处理、系统工程、自动检测与仪表、计算机技术与应用和网络技术等方面的基本理论和基本知识,受到较好的工程实践基本训练;具有系统分析、设计、开发与研究的基本能力。毕业生应获得以下几方面的知识和能力:
◆ 具有较扎实的自然科学基础,较好的人文社会科学基础和外语综合能力;
◆ 掌握本专业领域必需的较宽的技术基础理论知识,主要包括电路理论、电子技术、控制理论、信息处理、计算机软硬件基础及应用等;
◆ 较好地掌握运动控制、工业、电力电子技术及信息处理等方面的知识,具有本专业领域1—2个专业方向的专业知识和技能,了解本专业学科前沿和发展趋势;
◆ 获得较好的系统分析、系统设计及系统开发方面的工程实践训练;
◆ 在本专业领域内具备一定的科学研究、科技开发和组织管理能力,具有较强的工作适应能力。
3、主干学科
控制科学与工程、电气工程、计算机科学与技术。
4、主要课程
、、计算机原理及应用、计算机软件技术基础、过程工程基础、电机与电力拖动基础、电力电子技术、自动控制理论、、过程检测及仪表、运筹学、计算机仿真、计算机网络、、运动控制、系统辨识基础、、系统工程导论、、、嵌入式系统原理与设计。
、、、。
8、原专业名
流体传动及控制(部分)、电气技术(部分)、、工业自动化、自动控制、飞行器制导与控制(部分)。
专业综合介绍
对于一个高中生来说,“自动化”(Automatization)这样一个专业恐怕有些费解。自动化专业是一个有前景的专业,一般来说不外乎有这样几个原因:一是属于信息产业。信息产业被人们誉为“朝阳产业”,发展快、需要人才多、待遇较高,是当今科技发展的趋势所在。因此,作为信息产业中的重要一员,自动化专业同样有着光辉的前途。二是自动化应用范围广。目前,几乎所有的工业部门都可以同自动控制挂上钩,现代化的农业、国防也都与自动化息息相关。三是本专业对于个人发展非常有利。本专业课程设置的覆盖面广,所学的东西与其他学科交叉甚多。这也与本专业的来历有关,自动化专业大部分源于计算机或者电子工程系的自动控制专业。
那么我们来看看这样一个“万金油”的专业需要哪些方面的知识和能力吧。自动控制理论、运筹学、信号与系统分析、计算机软件技术应用、算法语言及程序设计、模拟电子技术基础、电路原理等等,甚至连流体力学也要修。可以说自动化专业需要工科各方面的知识,其课程与电子工程、计算机、电机工程甚至化学工程都有交叉,这就难怪自动化人才可以到各种各样的领域工作了。以上的学习特点要求学生有较强的理工科背景,不能偏科。当然,各高校自动化专业侧重点的不同也使得后期的专业课有较大的差异。在同样的几年要修比别人多的课程也就意味着比别人更累,所以希望那些对大学生活存在天真幻想,或者想在本科几年好好休息、期待风花雪月的同学不要报考这个专业,繁重的学业压力以及全面发展的要求对你来说将是个痛苦。但是,对那些有志于学到真本领、硬功夫的同学来说,这个专业真的是一个非常好的选择。如此热门的专业带来的当然是激烈甚至残酷的竞争,像电子、计算机这些电类专业一样,自动化的报考难度也不小。
自动化专业的优势在就业时候体现得更为突出。首先,所有的行业都可以同自动化挂钩,转行非常容易,“硬”可转电子工程,“软”可转计算机,也可转通信,当然待遇也是非常不错。如果考研,还有中国科学院一些相关院所可供选择。同“电类”的其他几个专业类似,自动化在出国方面也并不是特别容易,而且国外大学基本没有对应专业,一般来说需要申请DoubleE(电子工程)或者CS(计算机科学)专业,这也使自动化专业的毕业生在选择出国留学时更为不利。不过总体说来,自动化专业就前途来看还是让人相当满意的。面对这么广阔的发展空间,是否有些动心呢?
自动化专业代码:080602。
专业教育发展状况
自动化专业教育是伴随着自动化技术在社会生产、生活中的广泛应用而兴起的。它主要研究自动控制的原理和方法,自动化单元技术和集成技术及其在各类控制系统中的应用。在这一领域,美国处于{sjlx}水平。由于自动化技术的广泛应用,社会对这一专业的人才需求也大为增加,为了适应这一形势,美国的大学及时地把这一专业的教育引进了课堂。因为这一专业技能的适用性,这很快引起了青年学生浓厚的兴趣,这为以后美国在这一领域的迅速发展并遥遥{lx1}于他国奠定了雄厚的人才基础。
我国在这一技术领域内的研究也比较早,但真正作为一门专业教育走进大学的课堂较之国外就比较晚了。这也是后来我国这一领域的后备人才不足,与其他国家产生差距的一个重要原因。
建国初期,人民政权面临的是百废待兴的局面,社会主义经济建设需要有先进的生产技术。于是在党和国家的支持下,一批学校如清华大学、北京大学、上海交通大学、北京理工大学都纷纷设立了相关专业教育和专业技术研究所。
改革开放后,迎着第四次新科技革命的浪潮,自动化专业教育得到了长足的发展。除原先已经开设与此相关专业的高等院校外,另有一大批高校如北京邮电大学、北京航空航天大学、东南大学、南京大学等都增设有此专业。据统计目前开设有自动化专业教育的学校已占全国高等院校的90%还多,因为其广泛的适用性和社会对这一专业人才的广泛需求,它受到了越来越多的人的青睐。一般的院校每年都以200—300人的招生量广纳贤人,有的高校甚至还要多,学历层次也由专科、本科到硕士、博士不等,形成了梯级人才培养的教育模式。近些年,在这一领域涌现出许多xx的教授、专家,师资力量大为增强,例如清华大学的吴澄教授在系统集成技术方面的造诣很深,陈禹六、熊光楞、杨家本、杨士元、萧德云教授等在各自的研究领域成果颇丰,同济大学的教授长期从事与应用,自动化系统工程和计算机集成制造系统及智能自动化系统的理论与应用研究。东南大学自动控制系和自动化研究所拥有以教授、冯纯佰教授两位中科院院士为首的高水平学科带头人。这些优秀的学者、专家为我国新时期高科技的发展作出了{zy1}的贡献。
展望新的世纪,随着信息革命的兴起和新经济的冲击,自动化专业教育必然会受到世界各国的更加重视。因为这一技术已从办公自动化、工业自动化逐渐向家庭自动化发展,它与普通民众的日常生活发生了千丝万缕的联系,更进一步的发展势在必然。
我国在进入90年代以后,随着社会主义市场经济的搞活和对外开放政策的深入,社会对自动化专业人才的需求日益扩大,并连续几年出现供不应求的状况(近几年此专业毕业生的供需比为1∶10还强)。随着外国一些大型企业进入国内市场,本国的一些xxxx也将走向世界,这样高科技人才的竞争将日趋激烈,对本专业人才的需求也将大为扩大。所以在未来几十年内,自动化专业教育必将会有一个充分发展的空间。
专业就业状况及趋势
本专业是一门适应性强、应用面广的工程技术学科。旨在培养学生成为基础扎实、自动控制技术知识系统深入、计算机应用能力强的高级工程技术人才。所以学生在毕业后都能从事自动控制、自动化、信号与数据处理及计算机应用等方面的技术工作。就业领域也非常的宽广,比如高科技公司、科研院所、设计单位、大专院校、金融系统、通信系统、税务、外贸、工商、铁路、民航、海关、工矿企业及政府和科技部门等。历年来,本专业的毕业生的供求比例一直都保持在1∶10左右,近年的就业去向主要是在系统集成、计算机软件硬件开发和通信等领域。
由于20世纪下半叶,以信息技术为显著特征的第四次科技革命浪潮冲击着全球,对各国经济的发展起着极大的推动作用。能否抓住这一难得的发展机遇,就决定了世界各国能否在未来的国际竞争中占有有利的地位。我国在改革开放这一大好形势下,采取积极应对的态势,迎接着这一挑战。党和{gjldr}十分重视自动化技术对国民经济的巨大作用,制订出了相应的措施,加大对自动化专业教育的投资,在各高校纷纷设立实验室,改善教学环境以培养出更多出色的专业人才。
本专业毕业生有着广阔的就业渠道,因为自动化技术的应用广泛,其就业领域也五花八门。正因为如此,有些同学在择业时容易产生“皇帝的女儿不愁嫁”的心理,认为自己的自动化专业紧俏,社会需求量大,工作单位可以随自己挑。尽管现在学生就业实行的是“双向”选择的政策,你选用人单位,但用人单位也在选你。所以千万不要表现出一种“老子天下{dy}”的神情,自我感觉很了不起,这样只会引起用人单位的反感甚至最终不录用你。谦虚、踏实、稳重是本专业毕业生在择业时的{dy}选择。根据近几年毕业生就业的情况看,他们的工作都非常理想,收入状况也颇为乐观。
与本专业就业领域相关联的行业在近年来借助市场经济的搞活和对外开放程度的加深,也获得了飞速发展。民航、铁路、金融、通信系统、税务、海关等部门的自动化程度越来越高,科研院所、高科技公司也借助强大的人才优势,发展迅猛。未来随着自动化技术应用领域的日益拓展,对这一专业人才的需求将会不断增加,自动化专业的毕业生也将借助这一技术的广泛应用而在社会生活的各个领域、经济发展的各个环节找到发挥自己专长的理想位置。
自动化专业一直以来是社会急需的人才。包括电气自动化、铁路、化工等诸多领域。
自动化工程师——从事自动化系统的维护、优化等工作;
自动化设计师——从事自动化系统的设计和开发;
软件工程师——处理自动化系统中相关的软件的设计和开发。
还可以从事教学和相关的研究工作。
专业方向
1、 工业过程控制方向:以自动控制、计算机技术为支撑,针对实际工业生产过程实现自动控制,由信号检测与变换、过程控制、计算机控制系统、智能控制和现场总路线控制技术等组成方向主干课。
2、 电气工程方向:使学生能够从事电力系统自动化、工厂企业、楼宇系统的供电和电气控制、监控等领域的设计开发、维护和管理工作。由电气控制技术、运动控制、PLC应用技术、供电技术、电力系统继电保护等组成方向主干课。
3、 嵌入系统方向:注重对嵌入式系统设计与软件设计能力的培养,理论结合实践,通过课堂教学、实验等多种形式的学习,培养嵌入式系统方向的专业人才;由嵌入式系统设计、嵌入式实时操作系统、DSP技术、先进显示技术、控制电机等组成方向主干课。
主要课程及其其他
成主要课程:电路原理、电子技术基础、计算机原理及应用、计算机软 件技术基础、过程工程基础、电机与电力拖动基础、电力电子技术、自动控制理论、信号与系统分析、过程检测及仪表、运筹学、计算机仿真、计算机网络、过程控制、运动控制、系统辨识基础、计算机控制系统、系统工程导论、人工智能导论等
主要实践性教学环节:包括金工学习、计算机应用基础训练、电子工艺实习、电子技术课程设计、专业课程设计、生产实习等,一般安排在夏季学期。
主要专业实验:自动控制理论实验、、运动控制实验、过程控制实验、自动检测与仪表实验、计算机控制实验、系统仿真实验、网络及多媒体实验等
较好的院校;
(五年)
(二)机械设计制造及其自动化专业
业务培养要求
本专业学生主要学习的基础理论,学习微电子技术、计算机技术和信息处理技术的基本知识,受到现代机械工程师的基本训练,具有进行机械产品设计、制造及设备控制、生产组织管理的基本能力。
业务培养目标
本专业培养具备机械设计制造基础知识与应用能力,能在工业主产{dy}线从事机械制造领域内的设计制造、科技开发、应用研究、运行管理和经营销售等方面工作的高级工程技术人才。
毕业生应获得以下几方面的知识和能力:
1. 具有较扎实的自然科学基础、较好的人文、艺术和社会科学基础及正确运用本国语言、文字的表达能力;
2. 较系统地掌握本专业领域宽广的技术理论基础知识,主要包括力学、机械学、电工与电子技术、机械工程材料、机械设计工程学、机械制造基础、自动化基础、市场经济及企业管理等基础知识。
3. 具有本专业必需的制图、计算、实验、测试、文献检索和基本工艺操作等基本技能;
4. 具有本专业领域内某个专业方向所必要的专业知识,了解其科学前沿发展趋势;5. 具有初步的科学研究、科技开发及组织管理能力;
6. 具有较强的自学能力和创新意识。
主干学科:力学、机械工程。
主要课程:机械制图,工程力学、机械设计基础、电工与电子技术、微型计算机原理应用、机械工程材料、制造技术基础。
主要实践性教学环节:包括军训,金工、电工、电子实习,认识实习,生产实习,社会实践,课程设计,毕业设计(论文)等,一般应安排40周以上。
主要专业实验:现代制造技术综合实验、测试与信息处理实验。
修业年限:四年。
授予学位:工学学士。
相近专业:材料成型及控制工程。
应掌握的知识和具有的能力
在高中文化知识的基础上,掌握本专业所必需的基础知识、基本原理和较熟练的专业实践技能,学生毕业时要求掌握的知识和具有的能力为:
(1) 从事机械设计与制造加工工艺规程的编制与实施工作;
(2) 从事机械、电气、液压、气压等控制设备的维护维修工作;
(3) 从事工艺工装的设计、制造工作;
(4) 从事数控机床、加工中心等高智能设备的编程及操作工作;
(5) 从事机械CAD/CAM技术的应用工作;
(6) 从事机械设计与制造的现场技术管理工作;
(7) 从事机电产品的销售和服务工作。
(8) 钳工、车工或电工的初级技能;
(9) 编制、实施机械设计与制造工艺规程的基本能力;
(10) 使用、保养、维修、管理机电设备的基本能力;
(11) 选用、设计制造、调试工艺工装的基本能力;
(12) 操作数控机床、加工中心等高智能设备的基本能力;
(13) 行机械设计与制造生产现场技术管理的初步能力;
(14) 应用机械CAD/CAM的基本能力;
(15)应用计算机处理文字、图表、数据和信息,设计机械和电气图样,编制数控加工程序的能力。
相关学科;机电一体化,数控技术,模具制造,热加工,材料成型,汽修,机械成型等等。
就业问题和自动化相同一样容易都属于机电类行业。每个学校根据自身不同所开课程不同。
机械制造及其自动化:清华大学,大连理工大学,哈尔滨工业大学,上海交通大学,南京航空航天大学,华中科技大学,西安交通大学
机械设计及理论:清华大学,北京航空航天大学,北京科技大学,东北大学,燕山大学,上海交通大学,华中科技大学,中南大学,重庆大学,西安交通大学
车辆工程或汽修:吉林大学,同济大学,清华大学,北京理工大学,西南交通大学。
特别提醒;机电系的女生特别少,想报就要做好心理准备。
(三)信息工程专业
业务培养目标:本专业培养具有信息的获取、传递、处理以及利用等方面的知识,能在信息产业等国民经济部门及国防部门从事信息系统的研究、设计、集成以及制造等方面工作的信息工程学科的高级工程技术人才。本专业是一个宽口径专业,覆盖了原电子信息类多数专业及光电信息工程及遥感信息工程等专业内容。本专业培养具备电子技术和信息系统的基础知识,能从事各类电子设备和信息系统的研究、设计、制造、应用和开发的高等工程技术人才。
业务培养要求:本专业是一个电子和信息工程方面的较宽口径专业。本专业学生主要学习信号的获取与处理、电厂设备信息系统等方面的专业知识,受到电子与信息工程实践的基本训练,具备设计、开发、应用和集成电子设备和信息系统的基本能力。
毕业生应获得以下几个方面的知识和能力:
1.较系统地掌握本专业领域宽广的技术基础理论知识,适应电子和信息工程方面广泛的工作范围;
2.掌握电子电路的基本理论和实验技术,具备分析和设计电子设备的基本能力;
3.掌握信息获取、处理的基本理论和应用的一般方法,具有设计、集成、应用及计算机模拟信息系统的基本能力;
4.了解信息产业的基本方针、政策和法规,了解企业管理的基本知识;
5.了解电子设备和信息系统的理论前沿,具有研究、开发新系统、新技术的初步能力;
6.掌握文献检索、资料查询的基本方法,具有一定的科学研究和实际工作能力。
主干课程:
主干学科:信息与通信工程、电子科学与技术、计算机科学与技术
主要课程:电路与系统、信息论、编码理论、微型计算机原理、软件工程基础、现代控制原理、通信系统原理、信息网络基础、数据采集、数字信号与信息处理等
主要实践性教学环节:包括计算机上机训练、课程设计、信息系统认识实习、生产实习、毕业设计等,一般安排30周以上。
相近专业:
微电子学 自动化 电子信息工程 通信工程 计算机科学与技术 电子科学与技术 生物医学工程 电气工程与自动化 信息工程 信息科学技术 软件工程 影视艺术技术 网络工程 信息显示与光电技术 集成电路设计与集成系统 光电信息工程 广播电视工程 电气信息工程 计算机软件 电力工程与管理 智能科学与技术 数字媒体艺术 计算机科学与技术 探测制导与控制技术 电气工程及其自动化 数字媒体技术 信息与通信工程 建筑电气与智能化 电磁场与无线技术。
(四)计算机软件专业(属于计科系)
培养目标:掌握计算机系统基础知识的基本原理,熟悉计算机系统常用软硬件工具,具有一定的硬件维护能力和较强的软件开发能力的应用型人才。
培养要求:学生除须掌握计算机软件领域的基本理论知识外,重点学习国际软件工业界{zx1}的软件开发设计技术和软件项目管理方法,能熟练使用国际软件工业界{zx1}的流行软件工具,高质量地开发大中型软件项目。具有熟练阅读英文专业资料并用英语进行交流和写作的能力。可在IT企业、政府机关、企事业单位等从事软件(管理信息系统、企业资源计划系统、文化娱乐产品和控制系统等)开发的需求调查、编码、测试、维护、营销售后服务及软件生产管理工作。
主要课程:C语言程序设计、VB程序设计、Java面向对象程序设计、数据结构、计算机网络与通讯、网络操作系统、软件工程、多媒体技术与应用、大型数据库处理技术等。
就业方向:企事业一线直接参与计算机应用、软件开发的技术人员。
如果不是特别喜欢软件设计,这个{zh0}是不要考虑。
(五)计算机科学与技术专业简介
专业培养目标:本专业培养具有良好的科学素养,系统地、较好地掌握计算机科学与技术包括计算机硬件、软件与应用的基本理论、基本知识和基本技能与方法,能在科研部门、教育单位、企业、事业、技术和行政管理部门等单位从事计算机教学、科学研究和应用的计算机科学与技术学科的高级科学技术人才。
专业培养要求:本专业学生主要学习计算机科学与技术方面的基本理论和基本知识,接受从事研究与应用计算机的基本训练,具有研究和开发计算机系统的基本能力。
本科毕业生应获得以下几方面的知识和能力:
1.掌握计算机科学与技术的基本理论、基本知识;
2.掌握计算机系统的分析和设计的基本方法;
3.具有研究开发计算机软、硬件的基本能力;
4.了解与计算机有关的法规;
5.了解计算机科学与技术的发展动态;
6.掌握文献检索、资料查询的基本方法,具有获取信息的能力。
主干学科:计算机科学与技术
主要课程:电路原理、模拟电子技术、数字逻辑、数字分析、计算机原理、微型计算机技术、计算机系统结构、计算机网络、高级语言、汇编语言、数据结构、操作系统、计算方法、离散数学、概率统计、线性代数以及算法设计与分析等。
主要实践性教学环节:包括电子工艺实习、硬件部件设计及调试、计算机基础训练、课程设计、计算机工程实践、生产实习、毕业设计(论文)。
修业年限:四年
授予学位:工学或理学学士
相近专业:微电子学 自动化 电子信息工程 地理信息系统 通信工程 计算机科学与技术 电子科学与技术 生物医学工程 电气工程与自动化 信息工程 信息科学技术 影视艺术技术 网络工程 信息显示与光电技术 集成电路设计与集成系统 光电信息工程 广播电视工程 电气信息工程 计算机软件 电力工程与管理 智能科学与技术 数字媒体艺术 探测制导与控制技术 数字媒体技术 信息与通信工程 建筑电气与智能化 电磁场与无线技术
就业前景
毕业生就业现状
1、网络工程方向就业前景良好,学生毕业后可以到国内外大型电信服务商、大型通信设备制造企业进行技术开发工作,也可以到其他企事业单位从事网络工程领域的设计、维护、教育培训等工作。
2、软件工程方向 就业前景十分广阔,学生毕业后可以到国内外众多软件企业、国家机关以及各个大、中型企、事业单位的信息技术部门、教育部门等单位从事软件工程领域的技术开发、教学、科研及管理等工作。也可以继续攻读计算机科学与技术类专业研究生和软件工程硕士。
3、通信方向 学生毕业后可到信息产业、财政、金融、邮电、交通、国防、大专院校和科研机构从事通信技术和电子技术的科研、教学和工程技术工作。
4、网络与信息安全方向宽口径专业,主干学科为信息安全和网络工程。学生毕业后可为政府、国防、xx、电信、电力、金融、铁路等部门的计算机网络系统和信息安全领域进行管理和服务的高级专业工程技术人才。并可继续攻读信息安全、通信、信息处理、计算机软件和其他相关学科的硕士学位。
未来行业的发展趋势
截至2005年底,全国电子信息产品制造业平均就业人数 322.8万人,其中工人约占6 0%,工程技术人员和管理人员比例较低,远不能满足电子信息产业发展的需要。软件业人才供需矛盾尤为突出。2002年,全国软件产业从业人员59.2万人,其中软件研发人员为15.7万人,占26.52%。而当前电子信息产业发达国家技术人员的平均比例都在30%以上。中国电子信息产业技术人员总量稍显不足。
信息人才的需求分析
1.全国计算机应用专业人才的需求每年将增加100万人左右 按照人事部的有关统计,中国今后几年内急需人才主要有以下 8大类:以电子技术、生物工程、航天技术、海洋利用、新能源新材料为代表的高新技术人才;信息技术人才;机电一体化专业技术人才;农业科技人才;环境保护技术人才;生物工程研究与开发人才;国际贸易人才;律师人才。 教育部、信息产业部、国防科工委、交通部、卫生部目前联合调查的专业领域人才需求状况表明,随着中国软件业规模不断扩大,软件人才结构性矛盾日益显得突出,人才结构呈两头小、中间大的橄榄型,不仅缺乏高层次的系统分析员、项目总设计师,也缺少大量从事基础性开发的人员。按照合理的人才结构比例进行测算,到2005年,中国需要软件高级人才6万人、中级人才28万人、初级人才46万人,再加上企业、社区、机关、学校等领域,初步测算,全国计算机应用专业人才的需求每年将增加100万人左右。
2,数控人才需求增加 蓝领层数控技术人才是指承担数控机床具体操作的技术工人,在企业数控技术岗位中占70.2%,是目前需求量{zd0}的数控技术工人;而承担数控编程的工艺人员和数控机床维护、维修人员在企业数控技术岗位中占25%,其中数控编程技术工艺人员占12.6%,数控机床维护维修人员占12.4%,随着企业进口大量的设备,数控人才需求将明显增加。
3.软件人才看好 教育部门的统计资料和各地的人才招聘会都传出这样的信息计算机、微电子、通讯等电子信息专业人才需求巨大,毕业生供不应求。从总体上看,电子信息类毕业生的就业行情十分看好,10年内将持续走俏。网络人才逐渐吃香,其中最走俏的是下列3类人才:软件工程师、游戏设计师、网络安全师。
4.电信业人才需求持续增长 电信企业对于通信技术人才的需求,尤其是对通信工程、计算机科学与技术、信息工程、电子信息工程等专业毕业生的需求持续增长。随着电信市场的竞争由国内竞争向国际竞争发展并日趋激烈,对人才层次的要求也不断升级,即由本科、专科生向硕士生和博士xx展。 市场营销人才也是电信业的需求亮点。随着电信市场由过去的卖方市场转变为现在的买方市场,电信企业开始大举充实营销队伍,既懂技术又懂市场营销的人才将会十分抢手。
本专业主要职业发展方向和可能的职业发展方向
计算机科学与技术类专业毕业生的职业发展路线基本上有两条路线:
{dy}类路线,纯技术路线;信息产业是朝阳产业,对人才提出了更高的要求,因为这个行业的特点是技术更新快,这就要求从业人员不断补充新知识,同时对从业人员的学习能力的要求也非常高;
第二类路线,由技术转型为管理,这种转型尤为常见于计算机行业,比方说编写程序,是一项脑力劳动强度非常大的工作,随着年龄的增长,很多从事这个行业的专业人才往往会感到力不从心,因而由技术人才转型到管理类人才不失为一个很好的选择。
就业要求(即计算机科学与技术类专业大学生应该储备的知识)
1、网络工程方向专业培养的人才具有扎实的网终:工程专业基础、较好的综合素质;能系统地掌握计算机网络和通信网终技术领域的基本理论、基本知识;能掌握各类网络系统的组网、规划、设计、评价的理论、方法与技术;获得计算机网络设计、开发及应用方面良好的工程实践训练,特别是获得大型网络工程开发的初步训练。
2、软件产业作为信息产业的核心,是国民经济信息化的基础,它已经涉足工业、农业、商业、金融、科教卫生、国防和百姓生活等各个领域。本专业方向就是学习如何采用先进的工程化方法进行软件开发和软件生产。
3、计算机软件主流开发技术、软件工程、软件项目过程管理等基本知识与技能,熟练掌握先进的软件开发工具、环境和软件工程管理方法,培养学生系统的软件设计与项目实施能力,胜任软件开发、管理和维护等相关工作的专业性软件工程高级应用型人才。
4、信息工程通信方向是一个以通信技术、电子技术和计算机技术为基础,以现代通信系统的基本理论和技术及信号与信息的获取、传输、存储、处理为学习和研究对象。要求学生系统的学习通信系统和信息科学的基本理论和基本知识。使学生受到严格的科学试验训练和科学研究初步训练,具有从事通信工程和电子工程的综合设计、开发、集成应用及维护等能力的高级应用型技术人才。 主要的研究领域包括:现代通信系统与程控交换、计算机网络与移动通信、信号与信息处理新方法、数字图像处理及压缩技术、单片机原理及应用、DSP原理及应用和通信领域新技术新业务的研发等。
5、信息工程网络与信息安全方向是以信息安全技术和网络技术为基础,以信息安全和网络协议、网络产品的研究、开发、运行、管理和维护为学习和研究对象,掌握网络中实现信息安全的相关技术。要求学生系统的学习信息科学和通信系统的基本理论和基本知识,使学生受到严格的科学试验训练和科学研究初步训练,具有从事信息安全和网络工程综合设计、开发、维护及应用等基本能力的高级应用型技术人才。
计算机科学与技术xxxx学科分布
一、拥有计算机科学与技术国家一级重点学科的高校
计算机科学与技术(0812)
(共7所)
北京大学
清华大学,北京协和医学院—清华大学医学部
北京航空航天大学
哈尔滨工业大学
上海交通大学
南京大学
国防科学技术大学
二、拥有计算机科学与技术国家二级重点学科的高校(不含已拥有国家一级重点学科的高校)
(共11所)
计算机系统结构(081201)
华中科技大学
计算机软件与理论(081202)
吉林大学
复旦大学
中国科学技术大学
武汉大学
计算机应用技术(081203)
东北大学
东南大学
浙江大学
安徽大学
四川大学
西北工业大学
其他高校也设有此类专业。(这个也要考虑好,前几年很热,近几年有点退烧了)
(六)信息安全
【信息安全】
信息安全是指信息网络的、及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全是一门涉及、、、、、、、等多种学科的综合性学科。
信息安全的重要性
积极推动信息安全等级保护
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
【实现目标】
◆ 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。
◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。
◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。
◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
◆ 可控制性:对信息的传播及内容具有控制能力。
◆ 可审查性:对出现的网络安全问题提供调查的依据和手段
【安全威胁】
(1) 信息泄露:信息被泄露或透露给某个非授权的实体。
(2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
(3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
(4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。
(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。
(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。
(16)媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。
(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。
(18)窃取:重要的安全物品,如令牌或身份卡被盗。
业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等
【主要来源】
◆ 自然灾害、意外事故;
◆ ;
◆ 人为错误,比如使用不当,安全意识差等;
◆ "" 行为;
◆ 内部泄密;
◆ 外部泄密;
◆ 信息丢失;
◆ 电子谍报,比如信息流量分析、信息窃取等;
◆ ;
◆ 自身缺陷缺陷,例如协议的安全问题等等。
◆ ,sniff。嗅探器可以窃听网络上流经的数据包。
【安全策略】
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
◆ 先进的信息安全技术是的根本保证。用户对自身面临的威胁进行,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
◆ 严格的安全管理。各使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立和跟踪体系,提高整体网络安全意识;
◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
【主要问题】
◆ 网络攻击与攻击检测、防范问题
◆ 与安全对策问题
◆ 信息安全保密问题
◆ 系统内部安全防范问题
◆ 防问题
【技术简介】
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
◆ 用户身份认证:是安全的{dy}道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
◆ :防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:技术,技术,服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的。
◆网络安全隔离:网络隔离有两种方式,一种是采用来实现的,一种是采用网络安全隔离实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[1]。网络安全隔离与防火墙的区别可参看参考资料[2]。 ◆ 安全:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
◆ ():虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
◆ 安全:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
◆ 机构--和产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
◆ 检测系统():,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
◆ 入侵防御系统():入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
信息安全服务
信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作
【安全问题】
从整体上可分为两大部分:计算机网络安全和商务交易安全
(一)计算机网络安全的内容包括:
(1)未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的{sx}目标。
(2)未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
(4)安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二)计算机商务交易安全的内容包括:
(1)窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(3)假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
【安全对策】
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
1.计算机网络安全措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能xx依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.商务交易安全措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
(一)加密技术。
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的{zd0}优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
(二)认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或中未被篡改过。
(1)数字签名。
数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
(2)数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书xx机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书xx机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
(三)电子商务的安全协议。
除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。
SSL协议位于传输层和应用层之间,由SSL记录协议、SSL和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器{dy}次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,{zh1}使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有xx行、收单行、认证中心、支付网关等其它参与者。
【工程监理】
信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。
信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。[3]
【技术对比】
1. 信息安全法规、政策与标准
1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。
据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。
2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在以及政策支持方面走在全球的前列:
一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;
二是形成了军、政、学、商分工协作的风险管理体系;
三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。
我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。
2.信息安全用户意识与实践
1) 信息安全意识有待提高
与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。
2)信息安全实践过程有待加强管理
信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。
3.中间组织对信息安全产业发展的影响
同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。 与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。
4.信息安全培训与教育
教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所xx大学开展与管理相关的研究和人才培养工作。
【信息安全专业】
专业简介:
信息安全是xxxx发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(xx)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。
主要课程:
离散数学、信号与系统、通信原理、软件工程、编码理论、、信息论、数据结构、操作系统、、、网络安全、信息伪装等
培养要求
通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域
基本技能掌握
(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。
(2)掌握计算机软、硬件加密、解密的基本理论、基本知识。
(3)掌握计算机维护和系统支持的基本知识、基本技能。
(4)掌握参与企业管理进行经济信息分析、处理的基本技能。
(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。 [4]
安全技术
加密
数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。
在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。
对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。
在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
认证和识别
认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。
1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。
2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。
3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。
4. 安全电子交易(SET)协议。这是迄今为止最为完整最为xx的电子商务安全保障协议。[5]
信息安全的目标和原则
信息安全的目标
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。
除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。
信息安全的原则
为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。
