搏击

关于网络安全亾才培养教育嘚壹些想法7z

2019-07-09 12:03:31来源:励志吧0次阅读

摘要:这几天一直在关注一个群:络安全人才教育群,原因很简单,长沙正在召开高校信息安全专业建设与人才培养研讨会。虽然没机会参加这个盛会,但是对此的关心一点都不差,道理很简单,百年大计,教育为本。没有一支各层次完备的人才队伍,谈络空间安全是一句空话。各位大伽们谈了很多重要的观点,让人耳目一新。但是,总 这几天一直在关注一个群:络安全人才教育群,原因很简单,长沙正在召开高校信息安全专业建设与人才培养研讨会。虽然没机会参加这个盛会,但是对此的关心一点都不差,道理很简单,百年大计,教育为本。没有一支各层次完备的人才队伍,谈络空间安全是一句空话。

各位大伽们谈了很多重要的观点,让人耳目一新。但是,总还是觉得不解渴,经过一番深思,现在谈一谈笔者的想法。

第一,我们得让学生们知道,络空间安全是什么?现在这个问题有些模糊,把所有涉及到络空间的安全,都归为络空间安全,这在社会治理上也许没什么,但是对于教育来说,就不能忽视了,我是学物理的,物理学强调的概念必须清楚。络空间安全,无非是两大方面,一方面是络空间本身的安全,另一方面是利用络空间构成的各类侵害行为。在学术上,如何来定义络空间安全?要不要分个狭义和广义?作为高校研究的重点,我觉得应该是络空间本身的安全。

第二,络空间本身的安全是什么?从入侵者的角度出发,他们一方面想从络的某些节点,或者是在络传输的信道中来获取那些本不属于他们应该知道的数据,另一方面他们想让络空间出现瘫痪,或者让某些节点的功能丧失,或者是某一局部的信息使命不能完成。说到底,就是数据的安全和络服务功能的安全。当然,对于一个具体的局部络空间,这些目标是要具体化的。这是一条纲,有了这条纲,才能使学生清楚他们所学的某一门课程与之的相关性。

安全说到底就是不允许有非授权的操作。是Security,是由于共享而导致的(属于Safety范畴的安全也是存在的,但不是讨论的重点),从这个意义上来说,络空间安全是一个管理问题。一个管理问题,必然要有相应的管理目标,相应的方法和过程。管理目标是明确的,就是要保护数据安全和络空间服务功能的安全,方法则必须优先考虑技术,在没有技术手段的情况下,还要考虑行政的手段来保证。授权的操作,应该被认为是“可信”的,而非授权的操作当然就是“不可信”的。

有了这一点,有助于学生把书“从厚读到薄”,便于抽象,物理学中一个重要的方法就是抽象,如质点、电荷等。

第三,对于一个局部的络空间(信息系统)来说安全的第一步,是要建立以访问控制(包括数据流控制)为核心的安全子系统或者称可信计算基(Trusted Computing base)。就是要建立相应的规则。一定应该让学生明白,访问控制的核心地位,其他的安全功能是为访问控制服务的,或者是对访问控制的补充。

所有其他的安全(防范)手段,包括渗透性测试等等,都是为了保证这些规则能够被可靠的执行而不会被破坏和被绕过。

第四,我们在讨论数据保护时,肯定要讲到的C、I、A问题(CIA,机密性(Confidentiality)、完整性(Integrality)、可用性(AvailaBIlity)),现在许多教材都谈到了这个问题。但是,对他们的讨论是不够的,应加上真实性、可控性、可审计性、抗抵赖性等等。笔者还是坚持,需要保护的数据安全属性只有C、I、A。其他的不是不重要,可控性、可审计性、抗抵赖性是对使用数据某个主体的确认,而不是数据本身的安全属性。真实性问题,可认为是数据安全属性,但真实性不属于被“保护”的范畴。

同时,我们还应告诉学生们,C、I、A之间的关系,1、保密性和完整性,从保护策略上是冲突的;2、保密性和完整性是可用性的基础。尤其是第2点,在许多教材中并没有提及,把这三个属性看成是各自独立而不相关是不对的。

第五,我赞同按照医学的体系来研究络空间安全的观点,在这里笔者想补充的是,我们更应该向传统的中医体系学习(不是已经西化了的中医体系),传统的中医体系,一是强调人是一个整体,存在相生相克。安全也要有一个整体的考虑,而不能只见树木不见森林。二是要有辩证的思想,辩证必然是动态的,是要将各类因素都纳入统一考虑,同样要分析相生相克的问题。三是扶正为主的思想,同时考虑到祛邪,中医说,正气存内,而邪不可干。由于系统存在脆弱性,所以正气是不足的。

总之,本科四年下来,应该让学生们对络空间安全有一个整体的,完整的理解,具体的某些技术和理论的深入探讨,可以在研究生阶段和博士阶段继续。

以上是个人的粗见,不怕各位大伽的见笑,也希望拍砖。

作者:陆宝华——知道创宇资深络安全顾问

定制网站
微信如何卖水果
建微商城的费用
分享到: