在美国马里兰州巴尔的摩市,当地时间2月22日,网络空间安全学科知识体系(CSEC2017)在ACM SIGCSE 2018国际会议上正式发布。这个迄今为止国际上最具广泛代表性和权威性的网络空间安全学科知识体系,历经两年多时间,在千呼万唤之下,终于闪亮登场了。这个知识体系到底是个什么模样?让我们一起揭开它的面纱。
一、网络空间安全学科知识架构
由CSEC2017呈现的网络空间安全学科知识体系包含8大知识领域,它们是数据安全、软件安全、组件安全、连接安全、系统安全、人员安全、组织安全和社会安全。首先让我来画一张简图,如下所示,我觉得这张简图可以较好地展示由8大知识领域组成的网络空间安全学科知识架构。
我认为,CSEC2017定义的8大知识领域可以粗略地(并非严格地)从四个层面进行考察,由低到高,第一层包含数据安全、软件安全和组件安全,第二层包含连接安全,第三层包含系统安全,第四层包含人员安全、组织安全和社会安全。越低层越基础,越高层越接近现实世界。特别地,数据安全最基础的知识领域,社会安全是最现实的知识领域。
值得一提的是,直观上,在网络空间安全学科的8个知识领域中,系统安全之上的3个是人文社科色彩浓厚的知识领域,占总知识领域数的37.5%,其余5个是理工科味道厚重的知识领域,占比62.5%。由此可见,网络空间安全学科的多元交叉特质非常鲜明。另外,上图折射出系统安全知识领域还兼有衔接理工科与人文社科的桥梁角色。
在CSEC2017的网络空间安全概念中,安全的计算机系统是核心,它强调从生产、使用、分析和测试等角度建立系统的安全性,要求通过技术、人员、信息和过程等手段确立系统的使用保障,主张针对有敌手存在的情形从法律、政策、伦理、人为因素和风险管理等方面对问题进行研究。
因此,结合上面的简图,系统安全处于关键位置。系统由人使用,人在组织中工作,组织构成社会,所以,需要在系统安全之上考虑人员安全、组织安全和社会安全。系统由组件连接起来而构成,软件是组件中的灵魂,所以,软件安全、组件安全和连接安全是系统安全的重要支撑。密码学和密码分析学是网络空间安全的基础理论,而它们被当作数据安全知识领域的核心知识单元,这决定了数据安全在整个网络空间安全学科知识架构中的基础地位。
二、学科知识领域简要解读
有了上面分析的网络空间安全学科知识架构的整体背景,下面分别对数据安全、软件安全、组件安全、连接安全、系统安全、人员安全、组织安全和社会安全这8个知识领域作一个简要介绍。
数据安全知识领域着眼于数据的保护,包括存储中和传输中的数据的保护,涉及数据保护赖以支撑的基础理论,关键知识包括密码学基本思想、端到端安全通信、数字取证、数据完整性与认证、信息存储安全。
软件安全知识领域着眼于从软件的开发与使用的角度保证软件所保护的信息和系统的安全,关键知识包括基本设计原则、安全需求及其在设计中的作用、实现问题、静态与动态分析、配置与打补丁、伦理(尤其是开发、测试和漏洞披露方面)。
组件安全知识领域着眼于集成到系统中的组件在设计、制造、采购、测试、分析与维护等方面的安全问题,关键知识包括系统组件的漏洞、组件生命周期、安全组件设计原则、供应链管理、安全测试、逆向工程。
连接安全知识领域着眼于组件之间连接时的安全问题,包括组件的物理连接与逻辑连接的安全问题,关键知识包括系统及体系结构及模型及标准、物理组件接口、软件组件接口、连接攻击、传输攻击。
系统安全知识领域着眼于由组件通过连接而构成的系统的安全问题,强调不能仅从组件集合的视角看问题,还必须从系统整体的视角看问题,关键知识包括整体方法论、安全策略、身份认证、访问控制、系统监测、系统恢复、系统测试、文档支持。
人员安全知识领域着眼于用户的个人数据保护、个人隐私保护和安全威胁化解,也涉及用户的行为、知识和隐私对网络空间安全的影响,关键知识包括身份管理、社会工程、意识与常识、社交行为的隐私与安全、个人数据相关的隐私与安全。
组织安全知识领域着眼于各种组织在网络空间安全威胁面前的保护问题,着眼于顺利完成组织的使命所要进行的风险管理,关键知识包括风险管理、安全治理与策略、法律和伦理及合规性、安全战略与规划。
社会安全知识领域着眼于把社会作为一个整体时网络空间安全问题对它所产生的广泛影响,关键知识包括网络犯罪、网络法律、网络伦理、网络政策、隐私权。
三、知识体系的代表性与权威性
CSEC2017由一个具有广泛代表性的国际联合工作组经过两年多的努力开发而成,是一套面向本科教育的网络空间安全学科知识体系,该联合工作组的机构成员有美国计算机学会(ACM)、电子电器工程师协会计算机学会(IEEE-CS)、信息系统协会安全专业工作组(AIS SIGSEC)、国际信息处理联合会信息安全教育技术委员会(IFIP WG 11.8)。来自世界35个国家的300多人为CSEC2017的开发做出了贡献,贡献者的地理分布图如下所示。
2015年8月,ACM形成了成立CSEC2017联合工作组的动议,2015年9月,联合工作组正式成立。CSEC2017项目的工作得到了美国国家科学基金、因特尔公司(Intel)以及相应成员机构的资助。
CSEC2017的v.0.5、v.0.75、v.0.95版草案分别于2017年的1月、6月、11月发布,CSEC2017的v.1.0正式版原计划于2017年12月发布,后计划延迟至2018年1月发布,而实际上,最终在2月份才得以正式发布,其任务之艰苦可略见一斑。
CSEC2017的渊源可以追溯到由ACM于1968年发布的计算机科学学科知识体系CS1968,后来,该体系演变成了计算机科学、计算机工程、信息系统、信息技术和软件工程五个学科的知识体系,如CS2013、CE2016、IS2010、IT2008和SE2014,CSEC2017则是在这些基础上演变出的新成员。
可见,CSEC2017具有比较悠久的历史渊源,具有广泛的代表性,是国际上具有较高权威性的网络空间安全学科知识体系。
声明:本文来自石文昌,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。