《网络空间安全体系建设的木桶理论》由会员分享,可在线阅读,更多相关《网络空间安全体系建设的木桶理论(23页珍藏版)》请在金锄头文库上搜索。
1、“ “网络空间安全网络空间安全网络空间安全网络空间安全” ”学科体系学科体系学科体系学科体系建设的木桶理论建设的木桶理论建设的木桶理论建设的木桶理论杨义先,教授杨义先,教授北京邮电大学信息安全中心北京邮电大学信息安全中心灾备技术国家工程实验室灾备技术国家工程实验室2 2目录目录l l桶箍齐了吗?桶箍齐了吗?桶箍齐了吗?桶箍齐了吗?l l桶底结实吗?桶底结实吗?桶底结实吗?桶底结实吗?l l都有哪些短板?都有哪些短板?都有哪些短板?都有哪些短板?l l锯末,鸡鸣狗盗锯末,鸡鸣狗盗锯末,鸡鸣狗盗锯末,鸡鸣狗盗l l桶盖,华而不实桶盖,华而不实桶盖,华而不实桶盖,华而不实灾备技术国家工程实验室灾备技
2、术国家工程实验室3 3桶箍齐了吗?桶箍齐了吗?l作为一名资深的作为一名资深的杨木匠杨木匠,虽然,小平同志,虽然,小平同志恢复高考后,俺才恢复高考后,俺才“被迫被迫”改行,当了教改行,当了教书匠!但是,俺的科研和教学思路,却始书匠!但是,俺的科研和教学思路,却始终都具有浓厚的鲁班风格,事事都在终都具有浓厚的鲁班风格,事事都在“打打家具家具”。l下面,俺通过下面,俺通过“打木桶打木桶”,来较全面探讨,来较全面探讨“网络空间安全网络空间安全”的学科体系建设问题。的学科体系建设问题。l“打木桶打木桶”最重要的,不是木桶本身,而最重要的,不是木桶本身,而是其外的篾竹箍!无箍,不成桶;箍脱,是其外的篾竹箍
3、!无箍,不成桶;箍脱,则桶散;小箍,无大桶;独箍,难成器!则桶散;小箍,无大桶;独箍,难成器!灾备技术国家工程实验室灾备技术国家工程实验室4 4桶箍齐了吗?桶箍齐了吗?l幸好,幸好,“网络空间安全网络空间安全”刚刚被刚刚被正式批准正式批准为一级学科为一级学科,这意味着,这意味着,“网络空间安全网络空间安全”学科体系这只学科体系这只“木桶木桶”,有了一根盼望,有了一根盼望已久的已久的“箍箍”!l但是,独箍难成器!同行们,咱们还需要但是,独箍难成器!同行们,咱们还需要再接再厉,继续向教育部争取:改造一根再接再厉,继续向教育部争取:改造一根“箍箍”,新增一根,新增一根“箍箍”!向国家自然基!向国家自
4、然基金委等单位争取相应的金委等单位争取相应的“箍箍”。灾备技术国家工程实验室灾备技术国家工程实验室5 5桶箍齐了吗?桶箍齐了吗?l需要改造的那根需要改造的那根“箍箍”,名字叫,名字叫“信息安信息安全全”本科专业本科专业!l目前,该专业还是受控专业,或目前,该专业还是受控专业,或“目录外专目录外专业业”,即,除非获得严格的审批,否则,一,即,除非获得严格的审批,否则,一般高校,甭想举办该专业!事实上,教育部般高校,甭想举办该专业!事实上,教育部几乎已经不再受理,该专业的举办申报了!几乎已经不再受理,该专业的举办申报了!l显然,这是典型的显然,这是典型的“头重脚轻头重脚轻”!区区数十!区区数十所高
5、校的所高校的“信息安全信息安全”本科专业生源,咋能本科专业生源,咋能支撑得起一个庞大的支撑得起一个庞大的“网络空间安全网络空间安全”一级一级学科,而且,还是当前国家需求,最迫切的学科,而且,还是当前国家需求,最迫切的学科?学科?灾备技术国家工程实验室灾备技术国家工程实验室6 6桶箍齐了吗?桶箍齐了吗?l请问,全国有哪个一级学科,是如此根基不请问,全国有哪个一级学科,是如此根基不牢,摇摇欲坠?!牢,摇摇欲坠?!l过去,过去,“信息安全信息安全”之所以成为受控专业,之所以成为受控专业,是因为,有人担心是因为,有人担心“培养出太多的黑客培养出太多的黑客”。可是,如今,培养研究生可是,如今,培养研究生
6、“黑客黑客”的学科都的学科都放开了,又何必担心本科生放开了,又何必担心本科生“黑客黑客”呢!况呢!况且,从整体上说,我国的高水平且,从整体上说,我国的高水平“黑客黑客”是是少了,而不是多了!少了,而不是多了!l因此,请大家一丐呼吁:因此,请大家一丐呼吁:取消取消“信息安全信息安全”本科专业的控制,将其正式列入本科专业的控制,将其正式列入“目录内专目录内专业业”。以报备制,鼓励有条件的高校举办该。以报备制,鼓励有条件的高校举办该专业!专业!“信息安全教指委信息安全教指委”也该升级。也该升级。而且,而且,能否再增加一些支撑本科专业。能否再增加一些支撑本科专业。灾备技术国家工程实验室灾备技术国家工程
7、实验室7 7桶箍齐了吗?桶箍齐了吗?l需要新增的那根需要新增的那根“箍箍”,还真不好取名呢,还真不好取名呢,暂且叫它为暂且叫它为“奇才认可机制奇才认可机制”吧叫!吧叫!l若若“信息安全信息安全”本科专业,进入本科专业,进入“目录内目录内”后,后,“网络空间安全网络空间安全”学科体系的两根学科体系的两根最重要的最重要的“箍箍”就齐了。按常规来说,就就齐了。按常规来说,就已经足以打造结实的已经足以打造结实的“木桶木桶”了。了。l但是,若再有一根但是,若再有一根“箍箍”,那么,这只,那么,这只“桶桶”将更结实。况且,安全问题,本身就将更结实。况且,安全问题,本身就非常规的。特别是在敌我双方,非常规的
8、。特别是在敌我双方,战术攻防战术攻防对抗中,就更需要奇才和怪才。对抗中,就更需要奇才和怪才。灾备技术国家工程实验室灾备技术国家工程实验室8 8桶箍齐了吗?桶箍齐了吗?l而国内外的事实,也充分证明:按常规的而国内外的事实,也充分证明:按常规的本科和研究生培养体系,很难培养出顶级本科和研究生培养体系,很难培养出顶级“黑客黑客”!l按当前的评价标准,绝大部分按当前的评价标准,绝大部分战术级战术级顶尖顶尖“黑客黑客”,都是,都是“差生差生”,他们:考试不,他们:考试不及格,偏科却出色;脾气很古怪,安全少及格,偏科却出色;脾气很古怪,安全少不得!不得!l但是,许多安全公司和重要机构,却非常但是,许多安全
9、公司和重要机构,却非常需要这样的需要这样的“差生差生”!甚至,可以说,!甚至,可以说,在在一线战场上,还主要靠他们冲锋陷阵!一线战场上,还主要靠他们冲锋陷阵!灾备技术国家工程实验室灾备技术国家工程实验室9 9桶箍齐了吗?桶箍齐了吗?l针对这样的针对这样的“差生差生”,当前我们的学科体,当前我们的学科体系,面临着众多挑战,比如:系,面临着众多挑战,比如:l如何保护他们,不被家长或老师调教成循规如何保护他们,不被家长或老师调教成循规蹈矩的蹈矩的“乖孩子乖孩子”?l如何因材施教,在帮助其提高如何因材施教,在帮助其提高“杀手锏杀手锏”水水平的同时,确保正确使用这些平的同时,确保正确使用这些“武器武器”
10、?l如何为他们打通就业渠道,避免因如何为他们打通就业渠道,避免因“钱图钱图”不明,被迫半途而废?甚至,不明,被迫半途而废?甚至,“倒戈倒戈”!l如何给他们应有的社会认可,以促进更多的如何给他们应有的社会认可,以促进更多的奇才,源源不断地产生、成长、成功?奇才,源源不断地产生、成长、成功?灾备技术国家工程实验室灾备技术国家工程实验室1010桶箍齐了吗?桶箍齐了吗?l我们必须努力,为这些奇才,建设良好的我们必须努力,为这些奇才,建设良好的生态环境!为此,我有两点建议:生态环境!为此,我有两点建议:l建议建议1举办奇才培训学校举办奇才培训学校:1)入学渠道特)入学渠道特殊,可由社会各界推荐(特别是由
11、大型安全殊,可由社会各界推荐(特别是由大型安全企业推荐),经过严格专项测试,合格后即企业推荐),经过严格专项测试,合格后即可入学;可入学;2)课程体系特殊,甚至可以因人而)课程体系特殊,甚至可以因人而异;异;3)毕业要求特殊,只要培养出一招鲜的)毕业要求特殊,只要培养出一招鲜的“杀手锏杀手锏”就行;就行;4)学位证和毕业证要特殊学位证和毕业证要特殊处理;处理;5)就业要特殊,确保能够在正确的岗)就业要特殊,确保能够在正确的岗位上,将其作用发挥到极致。位上,将其作用发挥到极致。灾备技术国家工程实验室灾备技术国家工程实验室1111桶箍齐了吗?桶箍齐了吗?l建议建议2设立特殊的职称渠道。设立特殊的职
12、称渠道。比如,据说,比如,据说,“八级钳工八级钳工”的社会地位,就相当于教授?的社会地位,就相当于教授?能否打通渠道,能否打通渠道,使得安全奇才们,有机会,使得安全奇才们,有机会,成为成为“教授教授”、“研究员研究员”甚至甚至“院士院士”等等社会公认的体面头衔社会公认的体面头衔?l总之,对安全领域的特殊人才,一定要特殊总之,对安全领域的特殊人才,一定要特殊对待,绝不能按常规出牌,否则,我们的对待,绝不能按常规出牌,否则,我们的“网络空间安全网络空间安全”学科体系就有漏洞,就有可学科体系就有漏洞,就有可能吃败仗!能吃败仗!灾备技术国家工程实验室灾备技术国家工程实验室1212桶底结实吗?桶底结实吗
13、?l众所周知,木板的长短,决定了众所周知,木板的长短,决定了“木桶木桶”的容量。但是,的容量。但是,“桶底桶底”的结实度,才直的结实度,才直接决定了接决定了“木桶木桶”是否能盛水!是否能盛水!l过去,我们几乎把过去,我们几乎把“木板木板”与与“桶底桶底”混混为一谈了。为一谈了。所谓所谓“桶底桶底”,就是能够支撑,就是能够支撑“木桶木桶”周边,所有周边,所有“木板木板”的那个东西。的那个东西。比如,理论基础、法律体系、管理制度等比如,理论基础、法律体系、管理制度等都是典型的都是典型的“桶底桶底”;而诸如某项具体的;而诸如某项具体的技术手段,显然就只能算技术手段,显然就只能算“木板木板”。当前,。
14、当前,我国做我国做“木板木板”的人较多,而且还不协调,的人较多,而且还不协调,难免会整体浪费资源。难免会整体浪费资源。灾备技术国家工程实验室灾备技术国家工程实验室1313桶底结实吗?桶底结实吗?l先看先看“理论基础理论基础”,这个,这个“桶底桶底”:l安全的目的性非常强。在特殊情况下,为达安全的目的性非常强。在特殊情况下,为达目的,可以不择手段。但是,如果你根本就目的,可以不择手段。但是,如果你根本就没有多少没有多少“手段手段”可供可供“选择选择”的话,那么,的话,那么,结果就显而易见了。为此,在正规的学历教结果就显而易见了。为此,在正规的学历教育中,必须教给学生足够丰富的育中,必须教给学生足
15、够丰富的“手段原料手段原料库库”,必须给学生打好坚实、宽广的理论基必须给学生打好坚实、宽广的理论基础,础,至少包括,数学基础、物理基础(例子:至少包括,数学基础、物理基础(例子:量子密码)、化学基础(比较意外吧,例如,量子密码)、化学基础(比较意外吧,例如,单向材料,用于数据的安全摆渡等)等。单向材料,用于数据的安全摆渡等)等。此此处,处,“博博”比比“专专”重要!重要!灾备技术国家工程实验室灾备技术国家工程实验室1414桶底结实吗?桶底结实吗?l为此,为此,教学规范、教学大纲、培养计划等就教学规范、教学大纲、培养计划等就不能太死板,更不能各校都千篇一律不能太死板,更不能各校都千篇一律,必须,
16、必须给学生充分的自由度,让他们根据自己的特给学生充分的自由度,让他们根据自己的特长,来打造自己的理论基础。长,来打造自己的理论基础。l为此,为此,“授之以渔,教会学生如何学习授之以渔,教会学生如何学习”就就比比“授之以鱼,教会学生掌握具体的知识授之以鱼,教会学生掌握具体的知识”更重要。更重要。要鼓励学生要鼓励学生“剑走偏锋剑走偏锋”!l为此,考研时,导师选苗子的自由度要更大,为此,考研时,导师选苗子的自由度要更大,范围要更广;范围要更广;l为此,要培养学生有更强的为此,要培养学生有更强的“它山之石,可它山之石,可以攻玉以攻玉”意识。意识。在安全界,书呆子等于废物在安全界,书呆子等于废物灾备技术
17、国家工程实验室灾备技术国家工程实验室1515桶底结实吗?桶底结实吗?l再看法律体系,这个再看法律体系,这个“桶底桶底”:l一方面,要根据中国特色,逐步建立起完整一方面,要根据中国特色,逐步建立起完整的法规、法律;的法规、法律;l另一方面,务必要使相关从业人员,知法、另一方面,务必要使相关从业人员,知法、懂法、守法。毕竟,懂法、守法。毕竟,“黑客黑客”是双刃剑,如是双刃剑,如果才智用反了方向,对国家、社会和个人都果才智用反了方向,对国家、社会和个人都不利;不利;l如果能够培养一些,既懂法律,又通技术的如果能够培养一些,既懂法律,又通技术的复合型人才,也许能够复合型人才,也许能够“四两拨千斤四两拨
18、千斤”。灾备技术国家工程实验室灾备技术国家工程实验室1616桶底结实吗?桶底结实吗?l最后,再看管理制度,这个最后,再看管理制度,这个“桶底桶底”:l“安全意识教育安全意识教育”尤其重要,建立规章制度尤其重要,建立规章制度容易,但是,认真执行却很难;容易,但是,认真执行却很难;l积极抢占国际国内标准高地;积极抢占国际国内标准高地;l重视将管理与技术深度融合,打造更加安全重视将管理与技术深度融合,打造更加安全可靠的保障体系。可靠的保障体系。灾备技术国家工程实验室灾备技术国家工程实验室1717都有哪些短板?都有哪些短板?l好了,好了,“桶箍桶箍”和和“桶底桶底”都有了,都有了,“木木桶桶”就该基本
19、成型了。接下来,就是要如就该基本成型了。接下来,就是要如何加长某些何加长某些“短板短板”,使,使“木桶木桶”的整体的整体容量增大。目前,容量增大。目前,“短板短板”很多,至少有很多,至少有l实践教学急需加强实践教学急需加强:实验系统建设、实操课:实验系统建设、实操课程加强、师资的动手能力提高、实践教学基程加强、师资的动手能力提高、实践教学基地建设、逼真的实习实训教学体系、相关的地建设、逼真的实习实训教学体系、相关的竞赛活动和创新展览活动(竞赛活动和创新展览活动(北邮愿做贡献,北邮愿做贡献,欢迎与辛阳教授联系欢迎与辛阳教授联系)l企业与高校紧密结合企业与高校紧密结合,一起培养高水平的实,一起培养
20、高水平的实用人才。为此建议,全面推行用人才。为此建议,全面推行“卓越工程师卓越工程师计划计划”。成立相关联盟成立相关联盟,彼此帮助。,彼此帮助。灾备技术国家工程实验室灾备技术国家工程实验室1818都有哪些短板?都有哪些短板?l完善产学研体系完善产学研体系:这是一个非常关键的老难:这是一个非常关键的老难题了,但是,仍然要不断努力,向前推进!题了,但是,仍然要不断努力,向前推进!只有建立起只有建立起“产学研产学研”相互促进的完整生态相互促进的完整生态链,网络空间安全学科体系,才能走上良性链,网络空间安全学科体系,才能走上良性循环的快车道。循环的快车道。最近正遭受灭顶之灾!最近正遭受灭顶之灾!l有声
21、音、有作为:有声音、有作为:对上,积极参与制定国家对上,积极参与制定国家重大科技计划的活动,把学科体系建设密切重大科技计划的活动,把学科体系建设密切融入国家的科技计划之中;对下,学科建设融入国家的科技计划之中;对下,学科建设成果,要主动支撑安全产业的发展和升级;成果,要主动支撑安全产业的发展和升级;l理论上要出一批国际顶级成果,理论上要出一批国际顶级成果,改善中国信改善中国信息安全的国际形象息安全的国际形象灾备技术国家工程实验室灾备技术国家工程实验室1919都有哪些短板?都有哪些短板?l密切关注中国特色的安全需求,比如,密切关注中国特色的安全需求,比如,内容内容安全,为网络空间安全保驾护航;安
22、全,为网络空间安全保驾护航;l密切关注国际上的最新需求与动态,比如:密切关注国际上的最新需求与动态,比如:l大数据安全大数据安全l云系统安全云系统安全l移动互联网安全等移动互联网安全等l在传统弱项方面,也要随时把握机会在传统弱项方面,也要随时把握机会l芯片安全芯片安全l系统硬件及物理安全系统硬件及物理安全l等等 灾备技术国家工程实验室灾备技术国家工程实验室2020都有哪些短板?都有哪些短板?l各高校在学科体系建设方面,各高校在学科体系建设方面,最好能够既有最好能够既有分工,又有合作,确保不出现大的遗漏分工,又有合作,确保不出现大的遗漏,比,比如,至少应该覆盖如下方面:如,至少应该覆盖如下方面:
23、l系统软件安全(包括系统安全评测)、恶意代码系统软件安全(包括系统安全评测)、恶意代码分析与防护分析与防护l可信计算、虚拟化计算安全可信计算、虚拟化计算安全l对称密码、公钥密码和安全协议设计与分析对称密码、公钥密码和安全协议设计与分析l侧信道分析与防护、量子密码和新型密码侧信道分析与防护、量子密码和新型密码lIT基础设施安全、安全攻防与对抗基础设施安全、安全攻防与对抗l关键应用系统安全、社会网络安全、隐私保护关键应用系统安全、社会网络安全、隐私保护l工控系统安全(包括物联网)、工控系统安全(包括物联网)、 应用计算安全应用计算安全灾备技术国家工程实验室灾备技术国家工程实验室2121打打“木桶木
24、桶”还需要什么?还需要什么?l堵塞缝隙的堵塞缝隙的“锯末锯末”,比如,特殊行业,特比如,特殊行业,特定系统中的一些专用定系统中的一些专用“雕虫小技雕虫小技”。此处免。此处免谈了,但是,在特定场合确实很有用。谈了,但是,在特定场合确实很有用。l“桶盖桶盖”,可有可无,绝不是当前的重点。,可有可无,绝不是当前的重点。但是,咱们确实浪费了不少人力、物力和财但是,咱们确实浪费了不少人力、物力和财力在打造各种力在打造各种“桶盖桶盖”,应该立即停止!应该立即停止!灾备技术国家工程实验室灾备技术国家工程实验室2222小结小结l“网络空间安全网络空间安全”学科体系建设,既需要学科体系建设,既需要有人搭台,更需
25、要有人唱戏。有人搭台,更需要有人唱戏。l我等老朽,为大家搭台,比如:争取信息安我等老朽,为大家搭台,比如:争取信息安全本科专业,进入目录内;争取全本科专业,进入目录内;争取“信安教指信安教指委委”升格;争取今后的升格;争取今后的“学科评议小组学科评议小组”发发挥更大的作用;争取特殊人才的特殊政策等;挥更大的作用;争取特殊人才的特殊政策等;争取在国家相关科技计划中,有更大的份量。争取在国家相关科技计划中,有更大的份量。我愿随时听取大家的搭台需求,尽力扮演红我愿随时听取大家的搭台需求,尽力扮演红娘角色,为大家做好服务工作娘角色,为大家做好服务工作。l唱戏就主要靠大家了,拜托啦!唱戏就主要靠大家了,拜托啦!灾备技术国家工程实验室灾备技术国家工程实验室2323
