时间:2023-03-01 16:22:27
引言:寻求写作上的突破?我们特意为您精选了12篇信息安全调研报告范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
随着企业信息化的快速发展,信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法,没有体现信息化特点和要求,越来越不适应信息系统的快速发展和变革;管理不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化发展到一定程度,这些制度就显得很单薄,就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理入手,贯彻ISO/IEC27001:**信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
二、从资产识别入手,搞好信息安全风险评估
按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1.《重要信息资产按部门分布图》
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
图2.《各类不可接受风险按系统分布图》。
三、按照ISO标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:**《信息技术-安全技术-信息安全管理体系要求》规定,参照ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》,建立信息安全管理体系,简称ISMS。确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效。”
为实现信息安全管理体系方针,嘉兴电力局在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责;识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性;采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制订的信息安全管理目标是:2级以上信息安全事件为0;不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照ISO/IEC27001:**标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
四、运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3:信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
药品安全信用水平偏低。一是农民对农村药品安全信用状况评价总体较低。在本次抽样调查的350位农民中,对农村药品安全信用状况予以评价的有326人,其中,认为农村药品安全信用状况良好的43人,占总体的13.2%;认为农村药品安全信用状况一般的81人,占总体24.8%;认为农村药品安全信用较差的202人,占总体62%。二是乡镇、农场机关及村委会对农村药品安全信用认可度较低。在104个乡镇、村委会、农场机关及农场连队的调查中,认为农村药品安全信用良好的有16家,认为农村药品安全信用一般的有33家,认为农村药品安全信用较差的有55家,分别占总体15.4%、31.7%和52.9%。
药品安全信息渠道不畅通。我县区域面积6262.48平方公里,分布着五乡四镇,三个国营农场,128个自然村、屯、农场连队,全县总人口8.2万人,其中农村人口6.6万人,占全县人口的80%,是国家级贫困县。由于村屯偏远,经济欠发达,所以信息网络建设不完善,对外界的信息较闭塞。农民获取的信息微乎其微,对经营者个人信誉信息更是所知甚少,农村药品经营企业和医疗机构的不良行为也未见披露,未形成足够的影响力,特别是药品安全方面的信息,就调查的326人当中,了解农村药品经营企业和医疗机构有无失信行为的人员几乎为零。
农村药品安全中出现诚信缺失的现象,概括起来,主要是以下几个方面的原因
追求利益最大化是农村药品经营企业和医疗机构诚信缺失产生的主要原因。有些原本就是劣质药品经营企业和医疗机构,思想动机不纯,获取最大利润是其唯一目标,蒙骗欺诈农民患者是他们惯用的卑劣手段。另外一些农村药品经营企业和医疗机构,由于同行业间的激烈竞争,再加上有些低价的假冒伪劣药品充斥于市,企业和医疗机构无正常利润可得,以至亏损时,一些企业和医疗机构就往往会做出一些失信的行为。
农村药品经营和医疗市场规则不健全也是农村药品经营企业和医疗机构诚信缺失产生的另一因素。虽然医疗机构诚信缺失具有很大的危害性,然而就地方政府和相关职能部门而言,它不但不能给地方政府和相关职能部门带来经济效益,增加财政收入,相反建立诚信体系和处理诚信缺失还要支付成本,增加行政费用,这无疑对地方政府和相关职能部门是没什么眼前利益可言的,由此,一些地方政府和相关职能部门在诚信体系建设上的积极性不高。
药品安全信用意识普遍淡薄。信用观念、信用意识在大多数农村药品经营企业和医疗机构负责人的头脑中还没有真正建立起来。一是大多数农村药品经营企业和医疗机构负责人不够重视提高自己企业的信用水平。二是多数农村药品经营企业和医疗机构对自身的发展前景感到非常渺茫,抱着干一天算一天的态度。
经营者的职业道德素质影响农村药品安全信用建设。经营者既是普通公民,又是企业的核心力量,是企业的领导者。他们的职业道德水准是左右企业信用水平的重要因素,尤其是在个人说了算的私营药品经营企业和医疗机构中,往往起着决定性作用。我县农村药品经营企业和医疗机构绝大多数是个体经营,经营者均没有经过严格、规范的职业道德教育,缺乏职业道德意识,法制意识也比较淡薄,因此在药品经营和医疗服务中不讲职业道德的行为时有发生,使用假冒伪劣过期失效药品等现象在农村时有所见。就我局20__——20__年查办的86起药品违法案件中,有50起发生在农村药品经营企业和农村医疗机构中,占案件总数的58.12%,从非法渠道采购假冒药品的案件占总数的75%,个别批发企业向农村药品零售企业和医疗机构销售假冒伪劣药品的案件占25%。另外,在20__——20__年全县抽验的107批不合格药品中,有78批来自于农村药品经营使用单位,占不合格药品总数的72.9%。 因此,假冒伪劣药品的频繁发生,直接影响了农村药品经营企业和农村医疗机构的信誉。
个人信用制度建设不健全,导致农村药品安全信用低下。由于政府的个人诚信体系不健全,缺乏药品质量安全个人公共信息,相关职能部门在办理业务工作中无据可查,不利于约束从业人员的公共行为,致使个别农村医疗机构经营地址不固定,失信案件时有发生,据统计,20__——20__年有12家具有不良行为的农村药品使用单位频繁变更注册地址。
药品信用安全城乡差别悬殊。在全社会普遍关注信用问题,政府大力提倡建设信用__的大环境下,我县药品安全信用水平也处于不断提高之中。在全县各类药品经营企业和医疗机构中,城内大型药品经营企业、医疗机构的信用水平提高较快,而农村药品经营企业、医疗机构的信用水平却在下降,失信现象仍较普遍。从调查情况看,有286人及69家乡、镇、村委会、农场、连队认为最近两年我县城内药品经营企业和医疗机构的信用状况是提高的,而认为农村药品安全信用在下降的乡、镇、村委会、农场、连队分别占0.96%、11.4%和18.2%。农村药品经营企业和医疗机构不守信是当前经济
生活中存在较为普遍的现象,已经成为损害农村经济环境、影响农村药品安全的毒瘤。
加强农村药品经营企业和医疗机构信用体系建设的对策建议
奠定企业信用建设的经济基础。调查资料表明,社会对实力强的大型企业和大型医疗机构信用评价普遍较高,这提示我们要把发展经济、增强企业实力作为企业信用建设的第一要务。我县正在实行“加快发展,富民强边”战略,把发展经济作为全县人民的首要任务,在经济建设过程中,帮助企业做大做强,在尊重市场经济规律、尊重企业意愿的前提下,运用市场机制促进企业的发展壮大,从而促进企业信用水平的提高。
营造诚实守信的社会环境。进行社会动员,加强投入,着力构筑社会诚信体系,大力营造社会诚信氛围,培育社会诚信意识;营造、整治企业诚信环境;充分发挥政策、法规、制度的监督约束作用,强化综合治理;药监、卫生、工商、质检、税务等部门要通力协作,形成合力,整合诚信资源,搞好诚信服务。
加强法制教育,推进法制建设。以法律手段规范市场经济秩序,严厉打击制售假冒伪劣药品行为,抑制恶性竞争,大力提倡诚实守信、打击不守信行为。要突出对企业经营者的教育,切实提高他们的综合素质,增强他们的法制观念、道德观念、信用观念,为诚信经营提供思想意识保障。鼓励企业自觉地讲诚信、重商德,推动和引导企业重视信用建设,夯实社会经济活动正常运行的信用基础,形成一个企业互相监督、自觉守法、公平竞争的社会环境。
建立健全农村药品安全信息渠道。在法律允许的范围内,通过开通药品质量安全信息网站、编发药品安全信息简报和在村屯张贴违法违规行为公告等形式,以方便迅捷的途径向社会公开药品经营企业和医疗机构药品安全信誉信息,让广大农民知情,这对于保障农村患者权利和促进农村药品经营企业、医疗机构信誉建设,将起到积极作用。另外,通报药品安全信誉信息,畅通农村药品安全信息渠道,也是保证农村用药安全、提高农村药品安全信用体系建设的一个有效措施。
建立和完善企业和个人的资信信息系统。一是建立和完善企业信用服务系统。由政府部门组织牵头,食药监、卫生、工商、质量技术监督等各职能部门共同参与,建立全县药品质量安全信用公共登记系统,搭建以政府为主的“诚信”信息平台,相互联网,汇集各方信息,数据开放,实现区域性诚信数据网络互连互通,信息共享,并以网络技术为依托,建立全县药品经营企业和医疗机构信用查询平台,向社会公开药品经营企业和医疗机构的信用记录,这有助于职能部门在办理相关业务工作时有据可查和约束从业人员的公共行为。二是建立和完善个人信用制度。个人信用制度是指在经济生活中管理、监督和保障个人信用活动的一整套规则、政策和法律的总和,其主要目的是为证明、解释和查验自然人信用情况提供依据,并通过一系列法规、制度来规范个人信用活动当事人的信用行为,提高守信意识,为建立良好的市场经济运行秩序提供制度保障。个人信用制度的建立,有助于加强各职能部门间的沟通,保证药品经营、使用队伍的纯洁性。三建立和完善个人资信档案登记机制。个人资信档案登记是开展个人信用活动的基础,建立和完善药品经营、使用个人信用档案和个人信用信息库,记录经营者的不良行为,在办理行政许可业务中,资信档案将随个人申办材料一起交付相关职能部门,对于申办药品经营企业和医疗机构的情况进行后续记录。这有助于对药品经营使用人员的个人信用信息进行积累,供相关职能部门参考,相关职能部门依据个人信用记录的相关内容办理药品经营、使用许可。
(一) 现行体制
中国互联网行业的现行管理机构为中国信息产业部电信管理局。国内尚未出台中国电信法,这对政府部门作到依法管理在一定程度上造成障碍。目前中国政府对互联网行业的发展以管理规范为主,其管理范畴主要集中在四个领域,即准入管理、出口管理、域名注册和安全监督。
准入管理
根据邮电部1993年制定的《从事放开经营电信业务审批管理暂行办法》,计算机信息服务、电子信箱和电子数据交换业务均向社会放开经营。这对在1995年后民营网络服务商和网上内容提供商的大量兴起和迅速发展起到了积极作用。
根据国务院1993年《关于进一步加强业务市场管理意见的通知》,我国境内的共用通信网、专用通信网的有线电、无线电通信业务,一律不允许境外各类团体、企业、个人以及在我国境内已兴办的外商独资、中外合资和合作企业经营或参与经营,也不得以任何形式吸引外资参股经营。因此,目前中国的网络接入服务商和网络运营商尚不允许外资进入,但信息内容服务商不受此项控制。目前,信息产业部对互联网接入服务商、信息服务商的进入进行许可证管理,经营国内网络电话业务的企业也须首先获得政府颁发的许可证。
出口管理
目前,中国国际互联网的国际出口统一归信息产业部电信管理局管理,电信管理局下设国际通信处具体承担管理事物。管理依据的有关法规主要包括《中华人民共和国计算机信息网络国际联网管理暂行办法》(1996)和《实施办法》(1997)、《计算机信息网络国际联网出入口信道管理办法》。
域名管理
1997年5月20日,国务院信息办制订了《中国互联网络域名注册暂行管理办法》及实施细则,并成立了中国互联网络信息中心(CNNIC),负责国内域名的注册事项。该机构是一家非盈利的管理与服务性机构,其宗旨是促进中国互联网络行业健康、有序地发展。目前,CNNIC是APNIC的联盟会员,其在业务上受国务院信息办领导和信息产业部的指导,中国科学院计算机网络信息中心承担了CNNIC的运行和管理工作。
安全监督
中国互联网安全管理由信息产业部、公安部和国家安全部共同负责。法律依据包括国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》和公安部1997年颁布的《计算机信息网络国际联网安全保护管理办法》等。上述三部还联合成立了安全监控中心,具体工作由中国电信数据通信处实施,对网上信息的安全进行实时的监视。
1998年7月25日,公安部成立了中国互联网安全产品测评认证中心。这家非盈利性的技术支持与服务性机构是中国第一个信息安全测评认证机构,是国家信息安全基础设施之一。其服务宗旨是对中国互联网络中使用的信息安全产品和系统,进行公正、客观和权威的测评、评估和认证。该中心的主要职责包括:对国内外信息安全设备和信息技术产品进行安全性检验与测试;对国内信息工程和信息系统进行安全性评估;提供与信息安全有关的信息服务、技术服务及人员培训等。目前,该中心已具有ATM、帧中继、TCP/IP等测试环境,并开发出相关的测试工具和测试方法,具备了对防火墙、虚拟专用网(VPN)设备、鉴别设备等安全产品的测评认证能力[2]。
(二) 中国互联网络基础结构体系
中国互联网产业的构架尚在搭建之中,基础通信网络的绝大部分由国家投资兴建。从市场专业化分工的角度来看,互联网产业研究涉及到的服务商包括网络供应商、接入服务商、咨询服务商、域名服务商、电子邮件商、在线服务商、评级服务商、平台服务商、搜索引擎和大量针对特定需求用户的信息内容或数据库提供商。中国互联网产业目前实际利用和可利用的网络资源包括国家基础通信网、四大互联计算机网、有线电视网和其它一些专线网络。
1.基础通信网
国际互联网虽然是全球范围内的计算机互联网络,但它主要是在现有的全球电信网络的基础上,利用各种数据通信设备将世界各地的计算机联结起来。从这个意义上说,基础电信网是国际互联网构建和发展的网络基础和主要约束。
90年代以来,中国在共用数据通信方面取得了迅速发展,目前已经基本建成的四大公用数据通信网,为中国国际互联网产业的发展创造了条件。四大公用数据通信网分别为:
(1)中国公用分组交换数据网(ChinaPAC),1993年9月开通,目前已覆盖全国地市以上城市和90%以上的县市以及部分发达地区的乡镇,分组交换网端口总容量达到18万个。
1 计算机通识教育内涵
通识教育也常被称为“博雅教育”,与专业化教育相比,通识教育更加注重提高大学生的基本素养和综合能力。当今社会是一个高速发展的信息社会,大学生必须具备获取信息、处理信息和传递信息的能力,而这些都离不开计算机知识和技术。计算机通识教育是现代教育体制的重要组成内容,是通过计算机知识技术的传授及训练,在培养专业人才的过程中进行的专业辅助教育[1]。计算机通识教育旨在培养学生的信息素养,在实施过程当中更应注重将计算机技术与学生本专业知识相结合,注重计算机专业知识与非计算机学科之间的交叉融合。
2 大学生信息素养现状
“信息素养”是指具有对信息的获取、处理、创新、管理等方面的知识、能力和素质的总和。在当今信息社会大学生必须具备良好的信息素养才能更好地实现自我发展和服务社会。而要培养大学生信息素养则离不开计算机通识教育。
针对目前大学生信息素养的现状,有诸多学者和研究人员进行了调研[2-4],结合当地高校实际情况和学者们的调研情况,总结大学生信息素养存在的问题如下:
⑴大学生具备一定的信息意识和信息能力,但是综合信息素养水平较低。以我校实际情况为例,我校学生具备一定的信息素养,但还存在很多不足,表现为:①掌握办公自动化软件的基本应用,但是缺乏高级应用能力,并且缺乏将这些软件应用于自身专业当中的意识和行动力。②具备一定的信息检索能力,但是缺乏缺乏检索意识、系统的信息检索知识和技术。
⑵大学生信息道德和信息法规意识薄弱。以我校实际情况为例,我校在开设《大学计算机基础》课程时,具有针对性地开设一节内容――计算机信息安全。主要介绍计算机安全、计算机病毒、信息安全法规、信息环境等方面的知识。学生学习兴趣高,但实际应用能力欠缺。比如不注重预防计算机病毒,U盘经常携带病毒,导致机房机器中毒,成为计算机病毒的传播者。不注重信息法规和道德方面的问题,比如在论坛中垃圾信息、大面积复制在网络中检索到的论文等。
3 基于计算机通识教育培养大学生信息素养
针对大学生的信息素养所存在的问题,如何更好地利用计算机通识教育培养大学生信息素养是一个亟待解决的问题。
⑴注重计算机通识课程与大学生的专业课程相结合。要想在当今的信息社会中立足和发展,大学生必须学会使用计算机、网络和相关的信息技术。以我校实际情况为例,我校开设的计算机通识课程有《大学计算机基础》、《信息技术基础》、《计算机程序设计》等,旨在培养大学生计算机能力和信息素养。针对非计算机专业的学生,将计算机知识与其专业紧密结合,可以实现计算机的应用性、提升学生学习兴趣,并在授课过程中鼓励学生自主学习,学会主动将计算机技术应用于学习过程当中,培养学生自主学习能力和创新能力,增强学生的信息意识、提升学生的信息素养。比如在讲到Excel软件应用时,针对经济类的学生制作案例《购房贷款试算表》,其中应用到财务函数中的PMT函数来计算每月的还款金额。
⑵改革计算机通识教育教学方法。注重实验课和实践课程,仅仅纸上谈兵是不可取的,在教学过程中广泛采用案例教学法和项目教学法,“以学生为中心”,加强对计算机实际操作能力和使用能力的培养。一是要深化知识目标,现在的学生都具备一定的计算机基础,所以更应在基础知识上进行深化。二是要通过大量趣味性案例和项目进行强化训练。比如在讲到PPT的动画效果设置时,可引入有趣案例进行讲解。首先观看PPT大赛的优秀作品,分析作品动画效果的设置,然后鼓励学生进行实践并根据自己的设计创新作品。三是要强化学生用计算机技术解决实际问题的意识和能力。比如在遇到办公软件使用方面的问题时,首先让学生利用网路手段搜索问题解决的方法。四是要开设信息检索相关课程,系统培养学生信息检索能力,使学生学会利用网络资源解决学习和生活中的诸多问题,增强学生信息意识和信息能力。
⑶注重计算机通识教育中信息安全方面知识的普及。在计算机通识教育课程中开设信息安全方面的课程或组织开设相关讲座知识,加强信息安全知识的普及工作,强化学生信息安全意识。在机房上课时要及时提醒学生对U盘进行防毒、杀毒,要求学生文明上网,注重网络资源的知识产权问题。
[参考文献]
[1]刘菲.美国高校计算机通识教育研究.教育与职业,2012,第36期.
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2015)48-0087-02
财经应用领域的一个重要特征是实现了业务电子化,信息的获取、传递、处理等经济管理行为通过信息系统来完成。信息系统如同国民经济活动的大脑和神经中枢,财经应用领域对信息技术越来越依赖,其信息安全保障工作的难度也不断加大,信用风险、市场风险、流动性风险、操作风险、法律风险等传统风险在信息化过程中发生了重要变化。因此信息安全教育对财经管理专业人才培养尤为重要,提高财经管理专业人才的信息安全能力和意识迫在眉睫。
国内公开发表的文献涵盖信息安全专业人才培养、信息安全课程改革、信息安全实验平台建设等方向,但鲜见面向财经管理创新型人才培养的信息安全教学体系研究。
中央财经大学从2004年起开设信息安全相关课程,是国内最早为财经管理类专业开设信息安全课程的高校。十余年来,先后为电子商务、信息管理等专业本科生开设《电子商务安全》、《信息系统安全》课程(包括双语教学),为全校本科生开设大学生文化素质课《信息安全概论》,为经济类硕士研究生开设《信息安全》课程。学校从教学内容选择、讲授方法凝练、教学环境建设、评价体系完善、师资力量培养等方面不断研究探索,逐步形成了面向财经管理创新型人才培养的信息安全教学体系,取得了良好的教学效果。
一、4-3-3多维教学体系
面向财经管理创新型人才培养的信息安全4-3-3多维教学体系包括:四维教学内容(密码学、网络安全、信息系统安全、财经应用安全)、三种教学手段(课堂教学、实验教学、网络互动教学)、三类自主学习方案(金融信息安全案例分析、科研项目驱动、学术论文研究),很好地解决了在基础不够(不具备数学、密码学基础)、技术不强(没有网络技术)、时间不多(只开一门课)的情况下,开展信息安全教育的问题。在教学过程中,理论教学与实验教学相互印证,相辅相成;实验内容与实验手段有机衔接,注重培养创新意识和综合能力的考核方式。
二、教学改革方面
采用多媒体教学,制作了包含音视频的课件,建立了完善的网络教学资源。通过网络课程可以获得更多的信息,运用网络课程复习、讨论成为不少学生课后辅助学习的有效手段。
1.修订和完善了信息安全教学体系的教学大纲。根据学校教学计划和国家培养面向新世纪人才的要求,教学团队参照教育部拟定的普通高等学校有关课程的教学大纲,并结合我校特色,根据本科生和研究生的不同层次,分别组织编写了详细的教学大纲,每年根据课程内容和实际需要及时调整和修改教学大纲,制订教学计划,使之符合信息安全教学体系的课程特点。同时,进一步完善教学总结及教学辅助材料。
2.科学合理选择高水平的教材。课程选用了国内知名专家编写的中文教材,在双语课程开设之后,选择相对权威的国外主流信息安全教材,积极引进原著和原版书目;后期,在完善教学内容及方法的同时,课程教学团队通过深入调研发现,目前国内外尚无完善的针对财经信息安全的高等教育教材。因此,教学团队组织编写并出版了适用于财经类院校的《电子商务安全》教材,着眼于信息安全在电子商务中的实际应用,突出案例丰富的特色,为学生学习提供充足、适宜的参考资料。
3.积极推进案例教学。信息安全是一门发展的学科,也是一门致用之学。如何使该门课程在实现它基础性作用的同时,还能够体现先进性和可操作性,已成为这门课程的方向。对于信息安全算法协议的描述,采用业内优秀的信息安全模拟软件CrypTool实现具体案例的演示,将重要的密码体制逐一展示成直观形象、易于理解的动态演示过程,加深学生的理解程度。此外,信息安全密码机制的创立以及应用场景问题对学生来说都比较陌生,在知识点讲解中适当引入视频来缩短与学生学习生活的距离,可以更好地启发学生思考及动手操作能力。
4.创新教学方法。把传统的课堂讲授作为教学方法的基础,积极开展启发式教学、案例教学、论坛式教学、学生自学、实践教学以及学术讲座等多种教学形式,注重学生思维方式和实践能力的提高。教学团队经常定期开展教研活动,集体备课,商讨教学中出现的一些问题,改善教学方式或教学手段;积极参加国内高水平的学术交流,并邀请国内知名教授开办教学手段和教学方法的讲座。
5.完善考试制度。规范信息安全教学体系的教考分离制度,完善试题库的建设。本课程采取平时考核与期末考试相结合的方式,即平时通过课堂提问、开卷小论文、测验等多种途径了解学生学习情况,重在考察学生分析、研究问题的能力;期末考试采取教考分离的方式,重在考察学生对基本理论、基本概念、基本观点的把握。试题覆盖面占讲授内容的90%以上,难易程度比较适宜,客观评卷,学生成绩公正,考试后有试卷分析及总结。
6.建设实验教学体系。中央财经大学计算机网络与信息安全实验室、金融网络与信息安全实验室为信息安全教学提供了实验环境。SimpleISES新一代信息安全实验教学系统将行业内主流的安全软件移植和转化为实验教学项目,该系统由一系列软、硬件设备构成,其最大的优势在于可随时根据技术的发展而不断更新实验模块,并且具备较高的知识系统性。该系统是基于真实网络、信息安全及安全设备等环境下搭建的一套信息安全综合实验平台,在这个平台中,学生通过独立操作或者分组合作,进行信息安全各个知识领域的学习和配套实验操作,这与未来实际工作中所用到的基本一致。
金融网络与信息安全实验室集成了多家银行的核心信息系统,通过具体的金融信息安全案例实现对金融信息安全的实验教学。实验室的“银行网络与信息化研究试验平台”被评为教育部首批“互联网应用创新开放平台示范基地”。
三、教学创新方面
坚持信息安全经典理论与学术前沿并重,强调方法论与实际案例分析相结合,注重研究型人才、应用型人才与复合型人才等多类型培养模式,教学改革与创新富有特色,成效显著。
1.采用启发引导、鼓励学生参与课堂讨论的教学方法。为了改变传统的灌输式教学方法,在教学过程中积极引导学生结合财经信息安全实际应用参与讨论,不仅加深学生对信息安全理论的理解,而且大大地提高了学习积极性,锻炼了学生的综合素质和能力,活跃了课堂气氛,增进了老师和学生之间的平等交流,收到了良好的教学效果。这种启发引导式的教学方法促使一线教学教师理论联系实际,迫使老师在备课过程中不断地思考问题、提出问题,并引导学生思考和讨论,在课堂上注意把握学生讨论的范围和对学生讨论的总结和评述,起到了以教学带动科研、科研促进教学的作用,大大提高了教师的业务水平和教学质量。
2.采取案例教学的教学方式。为了使学生能更好地运用所学的信息安全理论来分析和解释现实电子商务活动中的安全风险及保护手段,鼓励任课教师在教学过程中选择与信息安全原理密切相关的案例,组织案例教学,要求在案例教学的过程中,学生联系信息安全理论对实际案例进行理论层面的分析与探讨,并写出案例分析报告,并以此作为学生平时成绩的重要依据。
3.开设同步在线课程网站。2010年开设了“信息安全课程体系”网站,网站包含了教学大纲、多媒体教学课件、课程习题及答案、课外参考材料等资源。学生既可以通过网站预习、复习课程内容,又可以以网站提供的课外参考材料作为向导,自主独立开展学习和科研创新活动。本课程网站在借鉴同类站点特色的基础上,特别增设了BBS论坛一项,以供师生之间积极互动,以加强学生与老师之间的交流。师生间的讨论交流记录均可以以帖子的形式保存在BBS论坛中,以供其他同学或者后面即将学习该课程的低年级同学查看。同时,教学团队也可以从学生发帖的内容来判断学生对知识点的掌握情况,以对课程的难度和进度及时做出调整。
四、实践教学方面
1.学生科研环节的设计。通过课堂教学和学生自学,引导学生学会分析信息安全的风险,找到成因,提出解决方案,鼓励学生发表一定水平的科研论文,积极参加大学生科技类比赛项目。
2.教学实践环节的设计。一是组织和引导学生利用假期进行社会调查和实践,并撰写调研报告,既增强了学生对社会生产活动中信息安全问题和现象的感性认识,又锻炼了学生的社会实践能力,进而增进了学生对所学信息安全理论的进一步理解。二是支持学生组成学术社团,引导学生自觉开展学术活动。三是邀请国内外信息安全领域的著名专家学者到我校讲学,介绍当前国内外最新科研成果和学术动态,使学术氛围更加浓厚。
五、结语
面向财经管理创新型人才培养的信息安全4-3-3多维教学体系,探索出了一条财经类专业学习信息安全知识的有效途径,促进了财经管理创新型人才培养模式改革和人才培养质量的提高,取得了良好的教学效果和成果。但随着“互联网+”时代的到来,及MOOC、翻转课堂等的出现,在教学内容、教学方法和教学手段上仍需不断完善。
[中图分类号] F230 [文献标识码] B
一、中国小微企业的融资现状
宜信平台最新的《小微企业调研报告》中数据显示,有64%的小微企业的日常资金缺额在10万以内,而大约94%的小微企业日常的资金缺额不会超过50万元。小微企业融资多为短期借贷,占用时间不长,但资金的周转效率比较快,资金的到位效率更是主要集中在5~10个工作日。小微企业的融资规模小、周期短、频率高的特点,让小微企业从传统金融服务企业获取融资极为困难。
根据国家政策的相关规定,法律只保护那些借贷利率最高不超过银行同类贷款利率4倍的民间借贷。但根据融360的“小微企业普惠指数”,62%的小微企业贷款产品月利率达2%以上,而九成以上的小贷公司和P2P平台的产品月利率超过2%。2%的月利率折算成年利率相当于24%,这已经高于一年期6%贷款利率的4倍上限。之所以会出现这种情况,主要是因为借贷机构和小微企业间的信息不对称的存在,由于对小微企业的管理水平落后、账务杂乱、信息收集困难,而且成本高、周期长,无法有效应对小微企业融资“短、小、急、频”的要求,借贷机构往往会通过提高贷款利率的方式来弥补不完全信息带来的一些风险,引发逆向选择风险,低风险企业的收益无法弥补高昂的借贷成本,导致高风险企业逐渐占据信贷市场。
二、互联网金融为小微企业融资带来的影响
在信息技术高速发展的今天,各行各业都纷纷开展“互联网+”模式,金融业也衍生出互联网金融的分支,由于国家政策的大力支持,得以快速发展。这其中有阿里小贷、京东白条、蚂蚁金服等新兴的互联网金融企业,也有传统金融机构推出的互联网营销金融模式,如招行的“零零花”等,如雨后春笋般兴起。越来越多的个人、小微企业通过互联网寻求融资、借贷等金融服务。互联网金融的出现,为小微企业融资提供了新的融资渠道,越来越多的小微企业和个人通过互联网金融平台获得借贷资金,有效缓解了“小微企业融资难”问题。
互联网金融融资成本低,信息共享度高,让资金需求方与资金供给方能够完美契合,通过搭建互联网金融平台顺利实现资金的合理配置。互联网金融的高速发展,直接导致对小微企业和个人客户的信用数据的识别服务需求。在此以P2P网贷平台为例,如果借款前能够准确掌握借贷者的个人基本信息、信用记录、企业能力、还款能力和还款意愿等信用信息,那么P2P网贷平台就可以更全面地了解那些有融资需求的小微企业,从而有效防范小微企业恶意贷款、过度负债、企业坏账等信用风险的发生。
我国现阶段的互联网征信体系存在以下几点问题:
首先,征信信息不共享。由于互联网金融企业之间的竞争与利益关系,导致各企业不愿共享自己的客户信息,以至于每个企业获得的客户信息不完全,但是企业往往是和多家借贷机构合作,这就会引发多头贷款的情况,出现过度贷款,从而增加整个信贷行业的金融风险。
其次,央行征信平台的不开放。目前来说,中国人民银行的征信系统是覆盖范围最广、信息最完善的信用系统,截至2013年底,该系统收录自然人8.3亿多,收录企业与其他组织近2000万户。但由于其相对于互联网金融是闭环的,征信平台无法对接,信息无法共享,导致传统银行信贷和互联网信贷企业在小微企业融资的对接中信息不对称,直接影响到小额贷款的发放,降低审贷效率。
最后,信息安全问题突出。互联网征信平台的建设,是基于大数据和云计算技术,可能会存在软硬件缺陷、系统集成缺陷等问题,各类应用系统及其赖以运行的基础网络、处理的数据和信息,以及信息安全管理中潜在的薄弱环节,都可能会导致不同程度的系统安全风险。个人隐私保护问题、数据获取合法性问题与数据管理安全性问题将会是信息安全问题最为突出,也是最迫切需要解决的问题。
可以看到,互联网金融在我国蓬勃发展的同时,现有征信体系建设已严重滞后于金融业的发展,各类逐渐凸显的问题已经危及到互联网金融的声誉、健康、可持续发展,为此我们必须着手建立与之快速发展相配套的互联网征信体系。
三、互联网征信体系构建
互联网征信体系是互联网金融行业健康发展的基石,也可称之为大数据征信,通过建立新的征信模型,运用大数据和云计算等最新信息技术,对小微企业进行多维度多指标的信用信息考察,最终形成对小微企业的综合信用的准确评价。互联网征信评价体系的数据主要来源有企业公开的财务报表数据、合作伙伴提供的第三方以及网络用户的授权数据。为了确保可获取小微企业信用数据的真实性、有效性,确保小微企业能够顺利获取融资,信贷机构能够有效降低借贷风险,需要建立一个信用信息共享交换的互联网金融行业征信体系。具体做到以下几点:
首先,加强互联网金融行业相关基础设施的建设。互联网金融行业征信体系建设的核心工作就是对所收集到的企业信用数据进行有效的整理、加工等,所以就要求配套的基础设施必须能够确保信用信息数据在整理、加工等过程中的准确、安全,已达到对数据高效处理的目的,最终实现互联网金融征信体系在起始环节的高效精确运行。
其次,促进互联网征信平台与央行征信平台的数据库对接。将互联网金融企业的客户信用数据纳入央行征信体系,建立起互联网金融企业与传统银行业的对接机制和信用信息共享交换机制,形成央行与互联网征信系统的优势互补,实现贷款客户信用数据的共享开放,提升整体的资源配置效率,促进互联网金融行业的健康发展。一方面,互联网金融行业通过与央行征信系统的对接,可以提高信用记录的重要性,有效的约束和督促客户按时还款,加强线下信用风险管理;另一方面,对于那些信用良好的客户,可以提升其融资额度,促进企业发展。
再次,完善互联网征信相关的法律法规。其一,应该通过建立相应的法律法规明确规定互联网金融征信体系中的数据采集的范围和使用的原则,防止信息的过度采集,加强数据安全防范。其二,应该通过立法合理区分信息提供者、消费客户、金融征信机构以及贷款企业之间的利益关系。其三,通过完善网络信息保护和公开的相关法律法规,建立符合实际的信息安全保护机制,加快推进网络安全、信息保护等的建设。其四,通过增强政府对征信体系建设的支持作用,促进信用信息共享,营造良好的社会融资环境,促进国内信贷市场的健康发展。
最后,加强征信体系监管,健全失信惩罚机制。为了提高政府决策效率,降低金融风险的发生,必须构建适宜的征信监管系统与失信惩罚机制。其一,应尽快建立起统一的征信行业标准和规范。国家有关的监管部门应对征信机构的活动进行严格监管,建立一个统一适用的信用评价体系以及评分标准,以此维护征信机构的权威性和公信力。其二,制定并实施符合信息时代特征的征信监管措施,打造全民监督监管的社会环境与机制。其三,建立征信体系的现代化的风险控制系统,打造征信体系的有效精细化监管,动态监测风险,并提供高效、精准的实时风控以及自动预警功能。其四,建立并完善互联网金融的黑名单制度以及市场的退出机制,明确规定失信惩罚措施。加强失信记录与披露力度,健全社会性信用奖惩机制与司法性信用惩罚机制,从社会、市场、行政、司法等多方面打击失信行为,净化信贷市场环境。
[参 考 文 献]
[1]巴曙松.小微企业融资发展报告:中国现状及亚洲实践[R].北京:博鳌亚洲论坛,2013:60-61
[2]刘鹰.小微企业调研报告:经营与融资[R].北京:宜信公司,2011:11-16
[3]黄海龙.基于以电商平台为核心的互联网金融研究[J].上海金融,2013(8):18-23
[4]植凤寅.大数据征信与小微金融服务[J].中国金融,2014(24):90-93
[5]袁新峰.关于当前互联网金融征信发展的思考[J].征信,2014(1):39-42
具体流程
实施步骤
一、企业自身调研
企业开展竞争情报的首要工作,是设立一个专门的情报部门,情报部门的工作职责主要是通过企业所有部门的配合,统计和整理该企业具有竞争力的数据和信息,将这些信息或数据进行有效的汇总,以方便企业各个部门进行有效运用。同时,做好反情报工作,捍卫企业自身信息安全。此可谓“知己”。
二、竞争对手调研
在了解自身的基础上,同时了解企业竞争对手的动态信息。竞争情报帮助企业了解供应、客户、现有竞争者、新进入者、替代者的异动,及竞争者绩效指标、能力指标的异动,同时竞争情报帮助企业了解和跟踪与产业的基本特性相关的情报,例如产业的集中度、进入壁垒、国际化程度、管理程度、技术变化速度、品牌忠诚度、业态变化等。此可谓“知彼”。
企业的情报部门在调查竞争对手时,可采用的公开方法包括:利用各种合法手段搜索、收集各种资料,也可以留意各类出版物、权威机构的可靠信息、上市场竞争对手的股东大会,董事会等信息、参加展览(销)会,交流会,会、参加相关的论坛或讲座、通过人脉资源获得半公开的信息等。但还有些比较隐蔽性的信息或数据还是需要知道的,这时如果企业的情报部门有足够的底蕴也可以自己通过一些方法去做,但更多的企业做法是委托第三方调研信息公司提供相关所需的信息。如果企业对竞争对手的情况要求具时效性的话,第三方公司可以为企业提供每日或每周的竞争对手、相关行业信息快报,以满足该企业对实时信息的需求。与此同时,再根据该企业所需了解的一个或多个竞争对手信息,提供竞争对手调研报告和通过几个竞争对手情况进行对比分析的行业报告。
三、企业整体竞争环境调研
企业整体竞争环境包括宏观环境和市场环境。
企业的宏观环境,包含政法环境、经济环境、社会环境、技术环境的异动等,它们是企业竞争战略的长期影响要素和前提条件。此可谓“知天”。
竞争情报最重要的功能之一,是使企业免受突如其来的袭击。竞争情报有助于发现市场上的威胁和机会,给自己更多的反应时间,从而获得竞争优势。竞争情报就是企业的智囊,起到市场的导向作用,商品营销的警示作用,及做出战略决策的参谋作用。此可谓“知地”。
四、使用的分析方法
无论调研工作是该企业的情报部门还是委托第三方公司进行实施的,其分析的方法都是大同小异的。其中对竞争对手(企业竞争力)的常用分析方法包括了SWOT法、财务分析法、核心竞争力分析法(包括竞争对手价值链(即各项流程)、技术、人力、资源配置、市场情况、知识产权等进行分析)、客户满意度分析法。通过前面分析方法得出企业或竞争对手的各项指标后,再进行定性和定量的对比,或是在选出标杆企业后,将本企业与标杆企业进行定标比超分析。
五、制定竞争策略
从我国情况看,移动支付业务目前保持高位增长。根据央行的数据,2013年全国共发生电子支付业务257.83亿笔,金额1 075.16万亿元,同比分别增长27.40%和29.46%。其中移动支付业务16.74亿笔,金额9.64万亿元,同比分别增长212.86%和317.56%(如表1),是电子支付领域中增长最快的部分。
表1中国2013年电子支付数据
支付方式 笔数/
亿笔 笔数同比涨跌幅度/% 金额/
万亿元 金额同比涨跌幅度/%
网上支付 236.74 23.06 1 060.78 28.89
电话支付 4.35 -6.95 4.74 -8.92
移动支付 16.74 212.86 9.64 317.56
资料来源:中国人民银行2014年2月的《2013年
支付体系运行总体情况》。
前两年困扰我国移动支付发展的安全问题、标准化问题以及各方合作健康发展的三大核心问题,随着13.56MHz的NFC成为产业标准,标准化基本已走上正轨。合作方能双赢的经营理念使得无论是电信运营商、金融机构,还是第三方支付业务提供商都开始寻求各种合作的渠道。唯有安全问题是目前亟需解决的问题,它关系到移动支付今后能否更好更快地发展问题,也关系到我国的信息化进程问题。
1 移动支付中的安全问题
我国虽然已在2013年建成了移动金融安全可信公共服务平台,但信息安全问题仍然是人们利用移动支付的最大隐忧。
(1)手机安全事件呈爆发增长态势
随着移动支付的快速发展,手机安全问题进入全面爆发阶段。移动支付是基于手机号绑定的银行卡、信用卡与商家之间完成支付,或者基于手机SIM卡与POS机近距离完成。因此,密码破解、信息复制、病毒感染等都有可能对移动支付造成重大的损失。据《2013年中国手机安全状况报告》揭示,2013年Android平台新增恶意程序样本67.1万个,较2012年增长4.4倍;用户感染恶意程序9 747万人次,较2012年增长88.3%。其中资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高,分别占到感染人次数总量的46%、21%、21%和8%。还有一些内置的软件大量吞噬手机流量。用户手机感染恶意程序后面临直接经济损失的可能性达到了近70%。手机安全问题的类型及其比例中,在手机支付环节发生的安全事件占3.7%。目前,收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额,整个过程已形成一条犯罪产业链。相关调查显示,70%网民对上网危险表示担心,其中25%用户感到“非常担心”。
(2)安全问题成为制约移动支付发展的最大障碍
移动支付作为新兴支付方式,无论是提供方还是客户都要考虑支付过程中所涉及环节的安全性问题:手机丢失、被盗、受黑客入侵、网络瘫痪、误操作之后,如何保证包括银行卡信息在内的资料不被泄露或资产不翼而飞?如何在终端、账户、业务交易等环节进行支付确认,保障通信安全?进入2013年以来,以拦截和窃取交易短信为目标的手机木马迅速泛滥,最典型的是名为“隐身大盗”的Android木马家族。仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP。
截至2013年12月,中国手机网民规模已达5亿,年增长率为19.1%。虽然手机网民增长较快,但移动支付用户仅占手机网民的25.1%(图1)。2013年,通过手机网络购物用户规模达到1.44亿。目前,作为世界ICT发展指数第1位的韩国,其移动支付用户几乎占手机用户的90%。而2012年中国ICT发展指数仅为78位。基于安全考虑,我国目前应用的移动支付无论是近场支付还是远程支付基本属于小额支付范围内。以招行的手机钱包为例,支付的金额上限仅为1 000元。安全问题让许多消费者不敢启用移动支付,这也阻碍了信息化的发展进程。
(3)用户心理上的障碍
Forrester Research在调查中发现只有低于15%的人完全信任移动支付,而65%的用户拒绝通过移动网络发送自己的支付卡资料。全球最大的比特币交易平台MtGox由于系统漏洞损失大量比特币、比特币网站Flexcoin的比特币被黑客洗劫一空,使大多数手机网民对移动支付心有余悸。据2013年中消协《信息消费与安全调研报告》显示,用户对信息安全满意度非常低,在10分的满分中,用户满意度的平均分仅为3.7分。因此,移动支付要想取得成功,除了解决实际的安全问题,还要克服用户的心理障碍。
2 促进移动支付发展的对策建议
移动支付是信息化的重要组成部分。移动支付安全问题的解决,不仅使消费者增强信心,减少业务运营中出现的欺诈问题,降低系统运营成本,而且可以进一步加快我国信息化步伐。
(1)亟需建立移动金融监管制度
我国在移动金融领域的监管几乎是一片空白。金融活动中的消费者保护关系到移动支付的发展,也威胁到整个产业链的发展。针对移动支付业务中涉及的实名制管理、资金安全、软件安全、风险防控和消费者权益保护等核心问题,应采取必要的防范措施;建立国家级的征信中心,将涉及移动支付的互联网公司、第三方支付公司、电信运营商纳入管理,明确基本准则和责权体系,加强安全软件产品和服务的监管。移动支付的监管体系建设应做到以下四个方面:①定身份:由支付提供方对用户身份进行鉴别,确认其是否为已授权用户;②保密性:保证未被授权者不能获取敏感支付数据;③数据完整性:保证支付数据在用户同意交易处理后不会被更改。④不可否认性:避免交易完成后交易者不承担交易后果。
(2)将网络安全战略提升为国家战略
网络安全作为一种社会公共产品必须由政府提供。网络安全是国家安全的重要组成部分,也是社会繁荣和发展的基石,确保网络安全不是一个单纯的技术问题。“9.11”事件使信息安全战略成为美国的核心战略,开始从国家战略高度规划网络安全基础设施建设。我国于2014年2月成立了中央网络安全和信息化领导小组,将信息网络安全纳入国家安全战略。虽然比美国延迟了13年,但毕竟由此勾勒出网络安全与国家安全及信息化发展的内在联系。
(3)企业间的协同合作
自上世纪八十年代以来,人们对信息安全的认识经历了通信安全(COMSEC)、信息安全(INFOSEC)和信息保障(IA)三个阶段。通信安全重点考虑信息的机密性,信息安全通过机密性、可靠性、可用性和不可否认性等来全面刻画安全的属性,而信息保障则通过保护、检测、响应和恢复四个环节强调安全应当是一个过程,而非单一的技术或产品。人们对信息安全的认识逐渐深入、全面。与此同时,密码理论与技术、安全协议理论与技术、可信计算理论与技术等信息安全相关理论与技术的研究不断深入,防火墙、入侵检测、VPN等各种安全产品不断发展成熟。
然而,信息安全形势依然严峻。互联网上的恶意活动肆虐,网络钓鱼、垃圾邮件、僵尸网络、特洛伊木马和零日威胁与日俱增。不同的威胁和方法相互贯通,互相利用,如恶意代码可能利用系统及应用程序漏洞来安装后门,然后下载并安装 bot 软件,这些 bot随后用来分发垃圾邮件、建立网络钓鱼站点或发起分布式服务拒绝攻击。利用黑客/病毒技术的“产业链”逐步形成,攻击者利用黑客/病毒技术或窃取机密信息、虚拟财产,变卖牟利,或组建僵尸网络,敲诈勒索。
在信息安全理论技术研究和信息安全实践之间似乎存在着一条鸿沟,无论信息安全理论与技术如何发展,总无法解决信息安全问题,信息安全问题不但没有改善,似乎还有恶化的趋势。事实上,“安全性是一条链,其可靠程度取决于链中最薄弱的环节”。在信息安全链条上,最薄弱的环节并不在于缺少系统的安全理论或成熟的安全技术,而在于严重缺少运用这些理论技术来保障信息安全的人才。信息安全专业人才的匮乏,已经成为信息安全发展的瓶颈。
信息安全作为一项复杂的系统工程,对信息安全人才的需求也是多方面多层次的。根据所从事的工作性质划分,信息安全人才可以分为以下三类:
(1) 从事应用型工作的专门人才。他们主要在政府、各企事业单位从事信息系统安全防护体系的建设、管理,安全事件的处置、恢复等技术工作,以及在生产安全产品的企业中担负系统集成、安全服务的技术工作。对应用型人才的基本要求是具备信息安全理论基础和知识体系、能够从技术上实施信息系统安全防护体系的构建与管理。
(2) 从事工程型工作的专门人才。他们主要在生产信息安全产品的企业中从事安全产品软、硬件的开发、实现与测试等工作。对工程型人才的基本要求是具备较为坚实的信息安全理论基础、系统的信息安全知识,能够熟练应用(包括创造性应用)安全原理与知识、具有较强的工程实践能力和良好的团队精神,等。
(3) 从事研究型工作的专门人才。他们通常是在攻读更高的学位后,在信息安全科研机构从事信息安全理论、信息安全核心技术的研究工作,或在生产信息安全产品的企业中从事安全技术研究和安全产品的设计工作。对研究型人才的基本要求是要具有深厚的信息安全基础理论、丰富的信息安全知识、创新意识、创新能力,等。
信息安全对人才的需求呈金字塔型结构,信息安全需要大量的应用型人才、适量的工程型人才以及少量的研究型人才。造成当前信息安全理论技术研究和信息安全实践之间存在鸿沟的原因是金字塔型结构的底部――信息安全应用型人才的大量缺失。与信息安全人才需求的金字塔型结构相匹配,信息安全人才培养也应当是金字塔型,只有这样才能满足信息安全的实际需求,降低用人单位和人才自身的再培养成本。
信息安全专业的本科阶段固然是高层次人才培养的打基础阶段,但大部分本科生的培养应当是符合信息安全需求的实用性人才。
2信息安全人才的知识需求
信息安全学科是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系。该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容。
2.1基础
在信息安全专业的基础知识中,包含了计算机科学与技术、数学、密码学、通信工程、电子工程等方面的基础知识。
计算机科学与技术在信息安全专业中具有突出的作用和地位,计算机基础知识在信息安全专业基础中比例很大,其中硬件基础知识包括计算机原理、汇编语言,等;软件基础知识包括数据结构与算法分析、操作系统原理、中高级语言、面向对象程序设计、软件工程,等;网络基础知识包括计算机网络、网络协议,等。
就数学工具而言,信息安全涉及的数学领域包括:数论、组合数学、抽象代数、图论、形式语言与自动机、格论、数理逻辑、概率论与数理统计、随机过程等数学分支。
密码学是构建信息安全体系的基础,也是实现信息安全技术的主要手段。信息安全专业的密码学基础包括序列密码、分组密码、公钥密码、Hash函数,等。
通信工程基础包括信号处理、通信原理方面的基础知识,电子工程基础则应包括弱电类专业应掌握的电路与电子技术基础知识。
2.2专业知识
信息安全专业知识的内容非常丰富。按照主要内容和研究角度的不同,信息安全具体包含的知识主要有:
(1) 密码技术。密码技术主要包括两部分,即基于数学的密码技术(包括序列密码、分组密码、公钥密码、Hash函数、认证码、数字签名、身份识别、密钥管理、PKI技术等)和非数学的密码技术(包括信息隐藏,量子密码,基于生物特征的识别理论与技术)。
(2) 安全协议技术。包括各种实用安全协议如IPSec 协议、SHTTP协议,S/MIME协议、电子商务协议等的设计、分析与应用。
(3) 安全体系。包括安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,运用这些模型、策略和准则的信息系统(如安全操作系统,安全数据库系统等)的研制。
(4) 信息对抗技术。包括黑客防范体系,信息分析与监控,入侵检测原理与技术,应急响应系统,计算机取证技术,计算机病毒防治,信息隐藏与检测技术,等。
(5) 网络安全与安全产品。包括网络安全整体解决方案的设计与分析,网络安全产品如身份认证产品、CA 和PKI 产品、安全服务器、防火墙、安全路由器、虚拟专用网(VPN)、入侵检测系统(IDS)、漏洞扫描工具、网络审计监控系统、取证系统、蜜罐系统等的设计与应用。
2.3能力要求
根据信息安全学科的特点和信息安全发展的现实要求,信息安全专业人才需要具备以下的能力:
(1) 实践能力。信息安全是工程性很强的学科,信息安全专业的人才应当具备很强的安全管理维护能力和安全工程实现能力,能够综合运用信息安全理论知识管理维护信息系统的安全,能够把自己的想法用现实所需的软硬件形式实现。
(2) 协作能力。信息安全是一项复杂的系统工程,信息安全问题往往需要多方面共同参与解决。这就要求信息安全专业人才具备良好的沟通能力,团结协作,共同解决问题。
(3) 创新能力。信息安全问题复杂多变,会因为应用领域的扩展以及应用场景的变化,呈现出新的形态。只有具有敏锐的眼光和创新的思维,才能从纷繁复杂的表象背后找到问题的实质,找到解决问题的方法。
3主干课程设置
鉴于信息安全学科是一个跨学科的交叉性学科群体系,信息安全的专业知识纷繁复杂,要在本科阶段传授信息安全所涉及的全部理论基础与专业知识是不现实的,必须在主干课程的设置上有所取舍。针对信息安全人才的实际需要,我们认为,信息安全本科专业的人才培养思路应该是“以应用型人才、工程型人才为主要目标,兼顾研究型人才的培养”。在主干课程设置上应瞄准“打牢计算机基础,提高数学素质,构建系统的信息安全知识体系,突出安全管理与安全工程实践能力”。
3.1主干课程
信息安全本科专业的专业主干课程可以按基础平台课、专业基础课和专业课三个层次构架:
基础平台课(包括数学、物理和外语基础)主要培养学生基本的知识素养,形成人才知识和能力金字塔结构的基础。信息安全专业的数学基础课程的设置应区别于计算机、通信专业。根据后续密码课程的需要可设置高等数学、高等代数、概率论与数理统计,等。物理类课程设置大学物理。外语类课程设置大学英语、科技英语。
专业基础课主要培养学生广泛的专业背景知识, 形成良好的背景知识支撑体系,构成知识、能力金字塔结构的主体部分。专业基础包括计算机科学与技术、密码学、通信工程、电子工程等方面。计算机类课程可设置计算机组成原理、离散数学、数据结构、操作系统、数据库系统、计算机网络、汇编语言、C语言程序设计、面向对象程序程序设计、软件工程,等。密码学课程主要设置信息安全数学基础。通信类课程可设置信息论与编码、通信原理、数字信号处理等课程。电子类课程可设置数字技术基础、电路分析基础、现代电子线路。
专业课主要培养学生在相关领域与信息安全相关的系统专业理论、技术和工程知识, 形成自己的专长和特色,完成人才知识、能力金字塔结构的顶端部分。主要专业必修课程包括信息安全导论、网络密码、网络协议分析、操作系统内核分析、网络信息安全、信息安全工程学以及信息安全法律法规,等。在专业课的课程设置上,可以将一些非核心但又比较重要的信息安全知识作为专业选修课开设,如信息隐藏与检测、Windows原理与应用、Linux原理与应用、计算机病毒、无线局域网安全、计算机取证技术,等。
在信息安全知识体系中,计算机科学与技术、密码学两方面的基础最为直接,也最为重要。在设置课程时,可以围绕计算机科学与技术、密码学两条主线展开。这种方法有利于理清课程间的相互关系,有利于对基础课程的讲授内容作出合理的裁剪,在课程随着技术发展而有所增减时也不会迷失方向。
3.2实践环节
信息安全是一个直接面向工程、面向应用的专业领域,在课程设置时必须重视培养学生的安全管理能力和安全工程能力,强化学生的实践环节。
实践环节可分为基础课程实验、专业课程的课程设计和毕业实习三个部分。基础课程实验主要训练学生的科学研究与工程素养,可设置物理基础试验、电路分析基础实验、数字技术基础实验、现代电子线路实验等。专业课程的课程设计以综合性、设计性为主,旨在锻炼综合应用知识、解决实际问题的能力,可设置计算机组成原理课程设计、操作系统课程设计、计算机网络课程设计、网络信息安全课程设计。四年级学生应到用人单位或实习基地进行一个学期的毕业实习,了解实际的安全问题,从事实际的工程工作,提高学生的实践能力。
另外,应鼓励信息安全专业的本科生利用课外时间参加信息安全专业相关的科研课题,承担具体的研究和开发工作。
参考文献
[1] 李晓明,陈平,等.关于计算机人才需求的调研报告[J].计算机教育,2004,(8).
[2] 冯登国. 国内外信息安全研究现状及发展趋势[J].网络安全技术与应用,2001,(1).
一、健全制度,保数量。区残联完善制定了《信息安全工作制度》、《信息宣传工作奖励制度》、《信息通讯发表程序》等各项工作制度,稿件数量逐年上升,质量进一步提高。今年来,上报省残联12篇,市残联6篇,完成区委、区政府约稿2篇,政府调研报告2篇,上报区委、区政府信息15篇,“主题教育”工作情况报告3篇,同时,广播、电视台对影响较大的活动进行了宣传报道,如:残保金征收工作、“助残日活动、爱耳日、健身周”等活动,共播出5期。各个宣传渠道从多角度、多层面、多形式地宣传报道残疾人工作情况、社会各界扶残助残事迹以及残疾人自强不息的先进典型,为残疾人事业的发展营造了良好的舆论环境。
二、指定专人,保质量。区残联自2018年以来,在实现全员办信息的基础上,指定了两名专职信息通讯员负责全区残疾人事业信息宣传工作的收集、整理和上报工作,镇街残联理事长或残协专职委员担任的基层残联通讯员队伍也不断扩大,初步形成了覆盖各新闻媒体、残联系统的立体式残疾人事业宣传工作网络,为宣传工作的开展打下了坚实的基础。
三、增强软实力,助推残疾人事业发展
全区残联系统信息宣传工作的实施,很大程度实现了资源整合、共享,使残疾人工作者能以更快的速度发掘信息、整理信息、上报信息,也使全区残疾人大部分工作在镇街残联第一时间就能得到解决。以“全国助残日”、“爱耳日”等活动为载体,弘扬人道主义精神,宣传残疾人事业。在第二十九次“全国助残日”和“肢残节”等活动中,区残联与各镇街残联积极组织开展宣传活动5次,共发放惠残政策便民手册15000余份;在主要路口、街道张贴活动宣传标语,并利用社区、学校的宣传橱窗,进行多种形式的宣传,倡导扶残助残的社会风尚,进一步营造和谐文明进步的社会氛围。宣传信息工作的大力实施,使全区残疾人事业有了突飞猛进的发展。
四、存在问题
我区残疾人的信息宣传工作经过大家的努力取得了一定的成绩,但还存在许多不足。
一是缺乏新闻的时效性和敏感性。宣传工作是根据残疾人事业形势发展的需要,各个阶段都有不同的工作重点和宣传重点,而在实际工作中,从事宣传工作的同志开展的工作较少,没有第一手资料,因此围绕这些工作重点组织专题就少,宣传时效迟后,敏感性不强,对外报道的稿件缺乏时效性、代表性和新颖性,造成上稿率不高。
一、前言
现阶段,云医疗技术在我国各级医疗机构中均应用广泛,即在云计算、3G通信、物联网等多种新媒体技术基础上,有效结合医疗技术,以降低医疗费用、提高医疗水平、实现资源共享为目的一项新型医疗服务,可满足现代化社会发展中人们日益增长的健康需求。将该项医疗服务用于全科医疗中,具有科学预防疾病、优化医疗服务流程、提高医护人员工作效率以及促进护患实时沟通等多项技术优势,实施效果良好。本文笔者主要以脑卒中系统化干预的全科医疗服务为例,探讨了新时期背景下云医疗在全科医疗中的有效应用,现报道如下。
二、云医疗在全科医疗中的应用
1、全科医疗c云医疗系统相结合的技术要点。①详细收集并整合来源于不同医疗机构的数据资料,以患者为中心,以相关健康事件为主要线索,建立健全患者专项疾病的档案存储架构。②科学分析各项重大疾病全科医疗协同服务的需求及其环境特点,并适当借鉴其他行业中较为成熟的云医疗技术设计模式,明确全科医疗协同云医疗系统的技术架构方法及其实践原则,以促进云计算系统的可持续发展。③经专家论证与技术调研,设计并制定云医疗环境下各大医疗机构协同作业的相关规范与要求,并通过技术抽象,建立和完善可支撑协同作业的应用协议栈。④依据我国相关法律法规,制定全科医疗与云医疗协同业务的系统安全策略,并完善患者个人医疗数据授权体系,以便在资源信息共享的前提下保护公民的信息安全与个人隐私。
2、临床脑卒中系统化干预的重点内容。首先,医院医护人员需对本院实际情况进行认真调研,了解并明确脑卒中患者在不同医疗机构中的协同医疗需求、协同业务内容及其医疗信息化发展情况,并将其详细整理为以“区域医疗协同云计算系统需求”为主题的调研报告。其次,科学设计区域医疗协同云计算系统云端架构、医疗机构内终端架构以及资料信息采集架构等,制定相应的医疗协同云计算架构设计方案。再次,依照既定的设计方案,针对临床中的脑卒中防治问题,从健康教育、资源共享、疾病筛查、医疗协同业务以及患者自我管理与病情康复等多个方面对其进行系统功能设计,制定该症患者医疗协同云计算系统功能设计方案,为之后在云系统上合理部署医疗协同SaaS功能提供方便。最后,以J2EE架构为基础,科学开发并运用脑卒中医疗协同云计算系统,发挥其区域监测、协同医疗会诊以及资源信息共享等医疗服务功能。
3、医疗协同云计算系统功能服务的成果与发展前景。1.现阶段研究成果。对于脑卒中病症来讲,目前我国已合理分配或布局了不同级别和类别的医疗机构中关于该症系统化干预的职能以及不同医疗结构之间的相关技术标准与协同服务接口等,并以现代化信息技术为支撑,顺利建立了脑卒中的系统化防控体系,且初步实现了各医院之间“诊疗标准一体化”与“诊疗行为统一化”的双向转诊,以及该症患者由Ⅰ级预防、急诊救治直至Ⅱ级预防的全程无缝管理。同时,当前形势下,我国医疗行业已基本落实了“分级诊疗”精神,不同等级的医疗机构可分别为患者提供不同的医疗保健服务,且医疗协同云计算系统内部可通过资源信息共享,密切监测患者在不同医院的会诊情况及其恢复期的预后情况等。2.发展前景。当前环境下,我国各大医疗机构中关于全科医疗与云医疗技术的有效结合仅限于慢性疾病的医疗管理与医疗合作流程等,其中尤以“双向转诊”较为明显,其研究范围有待进一步扩大。未来需重视并加强对“协同会诊”与“患者病情远程监测”等方面的深入研究,完善以云医疗技术为基础的多元化医疗协同项目,如区域性影像中心、实验室检验中心等,以强化医护人员的进修、远程会诊以及社区小范围内巡诊等内部流程的业务功能。同时,需充分发挥三级医院的医疗优势,建立统一的培训与诊疗中心,在医院内部医护人员的继续教育、医师培训以及全科科研活动等多个方面渗透和拓展云医疗概念,发挥其资源共享优势,并注重全科医疗中医师培训内容与临床标准的统一性,还可开展疾病前期预防与慢性病护理管理等多个科研项目的临床研究活动。
总之,于全科医疗系统服务中运用云医疗是非常必要的,当前环境下笔者建议各大医疗机构需结合全科医疗实际情况,于实践医疗服务中适当融入和渗透云计算系统,并不断完善各项医疗服务体系,以加强二者之间的协同服务职能,提高社会医疗水平。
今年年初,国务院出台了《关于促进地理信息产业发展的意见》,这一文件被行业内认为是地理信息产业发展史上“具有里程碑意义”的纲领性文件。为贯彻落实国务院文件的精神,培育湖南新的经济增长点,省国土资源厅成立专题调研组,就地理信息产业发展的趋势和机遇、湖南地理信息产业发展的现状进行了为期三个月的专题调研,形成了相关调研报告。记者就此次调研的成果以及湖南地理信息产业发展的方向采访了负责组织调研的省测绘地理信息局专职副局长金勇章。
产业规划:政府主导、合理布局
国土资源导刊(以下简称导刊):根据调研报告的相关数据显示,2013年,湖南地理信息产业年总产值接近120亿元,企事业单位近1000家,从业人员约3万人。从绝对数字上来看,湖南地理信息产业已经具备了不小的规模,但与北京、广东、湖北等省份相比,仍然存在缺少强势龙头企业、整体竞争力偏弱的问题,同时在产业链中附加值相对较高的应用服务、软件开发及终端制造等环节,湖南也存在着明显的市场短板。从政府规划统筹层面来说,该如何去引导地理信息产业的健康发展,解决这些问题?
金勇章:地理信息产业的发展事关数字湖南、绿色湖南,构建和谐社会的大局,因此需要政府采取长期的战略安排和有效措施,加强对这个产业的规划引导和统筹协调。统筹引导的原则应该是“政府主导、专家领衔、部门合作、公众参与、科学决策”。
考虑到湖南的市场需求和实际形势,应当围绕航空航天遥感技术应用、北斗导航定位和位置服务、地理信息软件研发、硬件装备制造以及三维地理信息等领域进行重点发展和顶层设计;应当围绕数字城市、天地图、地理国情普查等重大项目的建设成果,国防科大、中南大学等科研院所的重大科教创新成果,基础地理信息与其他行业专题信息集成融合应用等重点方向去组织和开展示范应用工程建设,起到示范带动产业发展的作用。
我们也在谋划形成地理信息产业联盟,按照“平等自愿、优势互补、资源共享、合作共赢”的原则,在政府的引导和支持下,联合省内企事业单位、高校、科研机构、科技中介机构、金融机构、产品使用者等力量建立一个“七位一体”的产业战略联盟,以期促进产业优势资源深度整合、科研成果快速转化、上下游企业深入交流以及产业结构的升级优化。
导刊:从全国的情况来看,地理信息产业集聚发展的特征越来越明显,目前全国有十多个省市已经筹建了地理信息产业园区和测绘地理信息科技创新基地,陆续建成了39个北斗产业相关的园区和基地。但湖南的企业分布还比较零散,如何进一步完善湖南的地理信息产业布局?
金勇章:产业基础设施落后将直接限制地理信息企业的发展。我们正在谋划建设地理信息产业园工作,加强产业聚集平台的建设。可以立足我省目前相关企业、科研单位的布局,依托现有的基础设施和园区,建成几个相对集中的地理信息产业园区。就目前情况,长沙高新技术区信息产业园已经聚集地理信息产业相关企业100多家,主要的方向是北斗导航和军民融合、智慧城市和智慧医疗、金融电子和智慧银行等;长沙暮云经济开发区可以发挥省国土资源厅直属单位的优势,以地理信息大数据获取、处理和服务等为主要方向;此外还有岳阳的北斗导航制造基地等,这些都可以成为大规模产业园区开发的良好雏形。
此外,为了进一步夯实产业基础,我们将按照国家有关部署,实施地理国情普查与监测常态化,定期采集更新地理空间数据,持续推进数字城市基础地理信息工程,着力完善北斗导航定位和位置服务基础设施,加快建设高分辨率对地观测系统湖南数据与应用中心,进一步完善测绘地理信息应急保障服务体系等,全方位地推动地理信息产业的支撑平台和基础建设工作。
政策环境:加强扶持、有效监管
导刊:湖南地理信息产业发展尚处于初期阶段,需要大量的资金用以产业基础设施建设、产业主体扶持、产业配套服务体系建设等。但报告显示目前湖南对地理信息产业投入明显不足,产业发展的资金只能主要依靠国土、规划、房产、公安等强GIS部门投入;而从产业政策环境来看,近年来省委省政府出台了一系列与地理信息产业发展关联的政策文件,但还缺少全局性的发展规划和配套政策,尤其体现在对地理信息产业发展的财政、金融、税收等优惠政策还缺乏直接性的操作性政策措施。应该如何从政策环境上寻求进一步优化?
金勇章: 我省的地理信息产业发展离不开有效的政策支撑,需要从财政、税收、金融等方面给予更好的扶持,帮助地理信息企业更好更快地做大做强。
财政方面,建议参照扶持新兴产业做法,设立地理信息产业发展专项引导资金;税收方面,建议税务管理部门针对产业特点,加快出台有利于湖南地理信息产业发展的优惠支持政策,尤其是针对产业园企业发展有利税收政策;融资渠道需要进一步拓展,建议鼓励金融机构创新金融产品和服务方式,开展知识产权质押融资,鼓励担保机构和风险投资机构给予小微企业更多融资帮助。
另外重要的一点,可以适当降低行业准入门槛,优化市场准入的审批管理程序。选择一批具有一定产业规模、资金和技术力量雄厚的企业,通过提供政策、资源和培育品牌的方式进行重点支持,积极引导和支持有条件的企业进行上市或兼并重组,尽快发展成为地理信息龙头企业,并扶持优秀企业加快“走出去”,提高国际竞争力。
导刊:长期以来,政府各专业部门和有关单位采集保有了大量专业地理信息数据,但这些数据一方面出现了重复建设,一方面又存在标准不统一、难以共享且渠道不通畅等问题。而企业在地理信息资源获取方面也受到了诸多限制,一定程度上影响了地理信息产业的开拓和深化发展。相比之下,浙江、江苏、湖北等省份都已出台了地理信息数据共享交换的管理办法和监管法规,湖南的相关法规制度建设工作该如何开展?
金勇章:考虑到我省地理信息资源开发使用存在共享机制不健全、社会化应用程度不高、涉密地理信息成果存在安全隐患等问题,湖南应该加强相关法规制度建设,强化市场监管,优化市场环境。
建议加紧出台省级地理空间数据交换共享管理办法、涉密地理信息使用管理等相关地方法规制度,梳理地理信息内容,划分安全级别,明确信息服务的内容、范围和方式。以更好地统筹相关数据的统一采集、管理、更新,实现由多部门分散管理向单一部门集中管理转变,推动使用财政资金的地理信息建设项目的汇交、整合和共享,避免重复投资,提高使用效率,促使地理信息最大化地社会化应用。
同时,鉴于地理信息产业关联度大、产业链长,涉及国民经济建设诸多领域、监管难度大的特点,应加大对地理信息安全、标准、质量等方面的监管力度,推进形成统一、竞争、有序的产业市场,建设公正、公开、公平的市场竞争环境,切实保障涉密地理信息管理和使用的安全,提高产品服务的质量。
提升竞争力:加快创新、培育人才
导刊:跟传统产业相比,地理信息产业被定位为“知本密集型”产业,对人才和创新的要求很高。但调查报告显示,湖南地理信息技术发展一直处于跟踪和追赶状态,缺乏“湖南特点”,除北斗移动终端制造技术外,大部分关键核心技术、配套产品 和增值服务都依赖省外供给。如何有效改善这种局面?
金勇章:地理信息技术产品的更新换代远远快于普通产品,需要持续进行技术创新,而湖南的相关产业确实存在自主创新能力不足、缺乏核心竞争力的问题。
有必要通过国家和湖南省有关科技计划和资金对地理信息产业的引导性投入,引导相关企业、研究机构加大开展前沿关键技术创新和产品研发力度。加快建设科技成果转化平台,可以依托中国(长沙)科技成果转化交易会等平台外,还可扶持一批专业化科技成果转化中介服务机构,打造一批技术交易中心、创业服务中心、生产力促进中心、科技金融服务中心、网上技术市场等平台等机构,促进产业发展。
此外,还应完善相关科技协同创新和军民两用双向转移机制,建设转移平台,切实推动北斗卫星导航、复杂环境高性能地理计算平台、高分辨率遥感卫星应用等重点领域科技创新成果两用双向转移。