網安學科知識體系正式發(fā)布

在美國馬里蘭州巴爾的摩市，當地時間2月22日，網絡空間安全學科知識體系（CSEC2017）在ACM SIGCSE 2018國際會議上正式發(fā)布。

這個迄今為止國際上最具廣泛代表性和權威性的網絡空間安全學科知識體系，歷經兩年多時間，在千呼萬喚之下，終于閃亮登場了。

這個知識體系到底是個什么模樣？讓我們一起揭開它的面紗。

一、網絡空間安全學科知識架構

由CSEC2017呈現的網絡空間安全學科知識體系包含8大知識領域，它們是數據安全、軟件安全、組件安全、連接安全、系統安全、人員安全、組織安全和社會安全。

首先讓我來畫一張簡圖，如下所示，我覺得這張簡圖可以較好地展示由8大知識領域組成的網絡空間安全學科知識架構。

我認為，CSEC2017定義的8大知識領域可以粗略地（并非嚴格地）從四個層面進行考察，

由低到高，第一層包含數據安全、軟件安全和組件安全，第二層包含連接安全，第三層包含系統安全，第四層包含人員安全、組織安全和社會安全。

越低層越基礎，越高層越接近現實世界。

特別地，數據安全最基礎的知識領域，社會安全是最現實的知識領域。

值得一提的是，直觀上，在網絡空間安全學科的8個知識領域中，系統安全之上的3個是人文社科色彩濃厚的知識領域，占總知識領域數的37.5%，其余5個是理工科味道厚重的知識領域，占比62.5%。

由此可見，網絡空間安全學科的多元交叉特質非常鮮明。

另外，上圖折射出系統安全知識領域還兼有銜接理工科與人文社科的橋梁角色。

在CSEC2017的網絡空間安全概念中，安全的計算機系統是核心，它強調從生產、使用、分析和測試等角度建立系統的安全性，要求通過技術、人員、信息和過程等手段確立系統的使用保障，主張針對有敵手存在的情形從法律、政策、倫理、人為因素和風險管理等方面對問題進行研究。

因此，結合上面的簡圖，系統安全處于關鍵位置。

系統由人使用，人在組織中工作，組織構成社會，所以，需要在系統安全之上考慮人員安全、組織安全和社會安全。

系統由組件連接起來而構成，軟件是組件中的靈魂，所以，軟件安全、組件安全和連接安全是系統安全的重要支撐。

密碼學和密碼分析學是網絡空間安全的基礎理論，而它們被當作數據安全知識領域的核心知識單元，這決定了數據安全在整個網絡空間安全學科知識架構中的基礎地位。

二、學科知識領域簡要解讀

有了上面分析的網絡空間安全學科知識架構的整體背景，下面分別對數據安全、軟件安全、組件安全、連接安全、系統安全、人員安全、組織安全和社會安全這8個知識領域作一個簡要介紹。

數據安全知識領域著眼于數據的保護，包括存儲中和傳輸中的數據的保護，涉及數據保護賴以支撐的基礎理論，關鍵知識包括密碼學基本思想、端到端安全通信、數字取證、數據完整性與認證、信息存儲安全。

軟件安全知識領域著眼于從軟件的開發(fā)與使用的角度保證軟件所保護的信息和系統的安全，關鍵知識包括基本設計原則、安全需求及其在設計中的作用、實現問題、靜態(tài)與動態(tài)分析、配置與打補丁、倫理（尤其是開發(fā)、測試和漏洞披露方面）。

組件安全知識領域著眼于集成到系統中的組件在設計、制造、采購、測試、分析與維護等方面的安全問題，關鍵知識包括系統組件的漏洞、組件生命周期、安全組件設計原則、供應鏈管理、安全測試、逆向工程。

連接安全知識領域著眼于組件之間連接時的安全問題，包括組件的物理連接與邏輯連接的安全問題，關鍵知識包括系統及體系結構及模型及標準、物理組件接口、軟件組件接口、連接攻擊、傳輸攻擊。

系統安全知識領域著眼于由組件通過連接而構成的系統的安全問題，強調不能僅從組件集合的視角看問題，還必須從系統整體的視角看問題，關鍵知識包括整體方法論、安全策略、身份認證、訪問控制、系統監(jiān)測、系統恢復、系統測試、文檔支持。

人員安全知識領域著眼于用戶的個人數據保護、個人隱私保護和安全威脅化解，也涉及用戶的行為、知識和隱私對網絡空間安全的影響，關鍵知識包括身份管理、社會工程、意識與常識、社交行為的隱私與安全、個人數據相關的隱私與安全。

組織安全知識領域著眼于各種組織在網絡空間安全威脅面前的保護問題，著眼于順利完成組織的使命所要進行的風險管理，關鍵知識包括風險管理、安全治理與策略、法律和倫理及合規(guī)性、安全戰(zhàn)略與規(guī)劃。

社會安全知識領域著眼于把社會作為一個整體時網絡空間安全問題對它所產生的廣泛影響，關鍵知識包括網絡犯罪、網絡法律、網絡倫理、網絡政策、隱私權。

三、知識體系的代表性與權威性

CSEC2017由一個具有廣泛代表性的國際聯合工作組經過兩年多的努力開發(fā)而成，是一套面向本科教育的網絡空間安全學科知識體系，該聯合工作組的機構成員有美國計算機學會（ACM）、電子電器工程師協會計算機學會（IEEE-CS）、信息系統協會安全專業(yè)工作組（AIS SIGSEC）、國際信息處理聯合會信息安全教育技術委員會

（IFIP WG 11.8）。來自世界35個國家的300多人為CSEC2017的開發(fā)做出了貢獻，貢獻者的地理分布圖如下所示。

2015年8月，ACM形成了成立CSEC2017聯合工作組的動議，2015年9月，聯合工作組正式成立。

CSEC2017項目的工作得到了美國國家科學基金、因特爾公司（Intel）以及相應成員機構的資助。

CSEC2017的v.0.5、v.0.75、v.0.95版草案分別于2017年的1月、6月、11月發(fā)布，CSEC2017的v.1.0正式版原計劃于2017年12月發(fā)布，后計劃延遲至2018年1月發(fā)布，而實際上，最終在2月份才得以正式發(fā)布，其任務之艱苦可略見一斑。

CSEC2017的淵源可以追溯到由ACM于1968年發(fā)布的計算機科學學科知識體系CS1968，后來，該體系演變成了計算機科學、計算機工程、信息系統、信息技術和軟件工程五個學科的知識體系，如CS2013、CE2016、IS2010、IT2008和SE2014，CSEC2017則是在這些基礎上演變出的新成員。

可見，CSEC2017具有比較悠久的歷史淵源，具有廣泛的代表性，是國際上具有較高權威性的網絡空間安全學科知識體系。