版权归原作者所有,如有侵权,请联系我们

网络安全“四个学”

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、小白剧场

大东:小白,你在看什么书?

小白:专业课啊!感觉学了几门专业课效果不太好,有一点迷茫。

大东:怎么说?

小白:东哥你看,其实我已经够努力了,专业课成绩不说优秀也有良好了,但是也不知道未来就业的时候,用人单位到底需要哪些具体的技能呢?

大东:这正是我今天来找你聊的话题。前面,我们已经详细探讨了网络安全的“五个能”,为行业企业提供了选拔优秀人才的标准参照,也为广大网络空间安全专业的学生提供了奋斗的目标——可以说,这“五个能”就是成为网络安全高手的谜底,广大网安专业学生揭开谜底,架不懈努力的“云梯”,就能实现成为网安优秀人才的目标。

小白:对啊,谜底我已经知道了,但还是不知道这个“云梯”我要如何攀登呢?有没有类似于“六个看”、“五个能”之类的“武林秘籍”呢?

大东:别急啊,我刚刚想到的网安学科知识和能力学习体系的“四个学”,就可以帮助你明确学习内容和对象,奋力成长为优秀的网安人才,实现人生价值,收获事业成功。

小白:真的?太好了,东哥,那“四个学”到底是哪“四个学”呢?

===

二、话说“四个学”


  • 学品行

大东:网络安全的第一个“学”,就是学品行。

小白:这个我知道,小学的思想品德课,我每次都能考90分以上哦。

大东:这里提到的品行不仅包含了通常意义上的品格、品德和品质,还包括对各类网络安全领域法律法规,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络安全等级保护条例》《中华人民共和国计算机信息系统安全保护条例》等我国主要网安法律法规洞若观火,也要对欧美地区的网安法律法规谙熟于心。

小白:哦哦,原来是要学习法律,那么学品行要注意哪些要点呢?

大东:品行的学习最重要的是开合有法,也就是说,网络安全的品行学习要做到有所为有所不为;开合有法的“法”,在这里不光是指网络安全的法律法规,也聚焦于一个人的立身之道、处世之本,其核心要义就是“不作恶”。

小白:这样说来,的确如此。

大东:此外,ACM的《计算机课程体系规范2020》也提出了胜任力=知识+技能+品行…(在某背景下)的公式,从标准层面强化了人才培养过程的品行权重。

小白:嗯嗯,东哥,你这么一说,我就明白为什么要学品行了,不光是约束自己,提高道德水平,更重要的是把自己塑造成一枚可靠的网安从业者,提高胜任力。

大东:是的小白。其实无论从国家法律层面,还是个人处世维度,法都是不能轻易变更的“圭臬”和“底线”。学品行,就是要牢固树立底线意识,对相关法律法规洞若观火,有所为有所不为。

小白:底线太重要啦。

大东:“开合有法”无论如何强调都不过分,网安专业学生必须努力将自己修炼为一名网安法律知识丰富、道德过硬品行端正的从业人员。

小白:确实啊,东哥!那么下一个要学什么?

  • 学理念

大东:所谓文武之道一张一弛。网络安全第二学——“学理念”,在于张弛有度。

小白:我有点晕,这里的度和上面的法,不就是法度吗?应该是一回事吧?

大东:非也。世人虽然“法度”同论,但度的本质是设立约束,在约束确定的范围内可以保持一定的弹性,如同做菜的“火候”。

小白:可不可以这样理解,比如说做同样的菜,不同厨师对于火候的把握不同,菜的味道也会截然不同?

大东:正是如此啊,所以要想在网络安全专业学科的学习过程中,每个学生都要具备一条清晰的指引线索才能避免走弯路。这就要求专业学生从战略思想上做到独具慧眼,在战略规划路线上做到“有度”,以透过现象看本质哲学战略思维武装头脑。

小白:原来如此。

大东:特别是,网络安全是一门快速演进、多学科交叉的新兴技术专业,从整体理念的发展历史角度观测,其经历了信息安全的CIA三要素阶段,到网络安全的能力框架IPDRR阶段,再到网络空间安全的三维九空间理论阶段的演进过程;而从攻防技术理念的发展历史角度观测,又蕴含了从基础防御和先进防御,从被动防御到主动防御的发展脉络。

小白:这个在《八个打》那一集好像讲过了耶。

大东:对,小白认真听讲,提出表扬。那么何时需要采取主动防御策略,何时需要代入被动防御的理念,何时又需要二者合璧、共筑防线呢?

小白:这个就得拜托东哥指导啦。

大东:这就需要强大的战略思维作为支撑,掌握在哪里平均用力、在哪里稳健蓄力、在哪里聚焦着力。换言之,“张”和“驰”的时机研判能力,需要通过对网安理念的精研勤习获得战略思维,进而战略眼光的提升、跃变,才能从容不迫、举一反三、触类旁通,精准研判事态缓急,巧妙抓住主要矛盾,最终实现张弛有度的学习目标。

小白:嗯嗯,举一隅不以三隅反,则不复也。

大东:是的。《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。《关键信息基础设施安全保护条例》自2021年9月1日起施行。相关法律条例在实施的过程中非常注重对信息安全的分级分类管理,这充分体现了法律法规的制定充分考虑了“度”的融入。

小白:那么在实际的网络安全理念和技术中有没有类似“张弛有度”的体现呢?

大东:当然有啦!攻防既是矛盾,也是对抗,所以“度”并不是一成不变的;类似地,网安学科领域的对抗和矛盾也会与时俱进,随着时间的推移呈现出不同的态势。

小白:怎么理解呢?

大东:比如,当前的网络安全对抗存在于人与人之间,或者可以抽象为节点与节点之间;而未来,元宇宙中的网络安全态势,可能演进为人和AI的对抗,甚至多个AI之间的对抗。

小白:哎呀呀,我好像看到了科幻大片。

大东:前几天我们提出的网安对抗棋谱正是这样一种总结既往理论、预测未来的典型对抗场景的集合平台。同时,在“零信任”、“盾立方”等划时代的网安先进理念,以及主动防御、拟态防御、可信计算等网安前沿技术中也非常看重战略思维的升级,从战略高度实现理念和技术层级的跃迁,可见,“张弛有度”是网安专业学生必须努力构建的战略格局。

小白:我也要好好修炼“张弛有度”啦。

  • 学矛盾

小白:东哥,那么下一个要学的是什么呀?

大东:网络安全的第三个“学”在于学矛盾。学矛盾,在于矛盾兼容。

小白:我觉得如果说品行、理念的构建是抽象的、形而上的过程,那么这里的矛盾,以及后面要提的软硬的修炼则是具象的、形而下的过程。

大东:嗯。中国古人将矛和盾这两件典型兵器,凝练为攻击和防御的对抗意象。网络安全的本质研究对象正是攻击和防御,你能举几个攻击和防御的模式或者场景吗?

小白:当然可以,比如加密和解密,是历史上最早的信息对抗形态,密码的设计和破译本身也蕴含了攻击和防御的思路。

大东:对啦,也比如数据安全是不同人思想之间的对抗,物理安全领域的范·埃克窃听也是攻防过程。

小白:嗯,范·埃克窃听东哥以前讲过,属于侧信道攻击的一种。

大东:是的,而现代的网安技术,无论是漏洞挖掘,还是木马、蠕虫、病毒等都是攻击技术手段,而IDS、IPS、防火墙等都属于防御手段的范畴。

小白:怪不得以CTF为代表的网络安全竞赛也特别关注攻防技术的激烈角逐。原来攻防是网络安全专业领域这么重要的研究对象啊!

大东:对啊,因而要在网络安全学习取得好成绩,就要抓住攻防理念和技术重点,扎实学习、不懈努力,实现“矛盾兼容”的目标。

  • 学软硬

大东:网络安全学科领域是不光突出体现了实践和工程科学的属性,还体现了丰富的理论属性。从计算机科学角度观测,网络空间安全范畴包括软件和硬件,网络安全必须依赖于软件和硬件的载体存在。无论是软硬一体化,还是纯软件或纯硬件,都属于攻击和防御的载体,脱离了载体就无法做到言之有物,攻击和防御也就丧失了着力点。

小白:是的,那么跳出计算机学科角度观测呢?

大东:如果跳出计算机学科领域,从更宏大的观测视角来看,它又是“硬”的自然科学和“软”的社会科学的重要交汇节点。

小白:有道理,这个我还真没有想过。

大东:因此,网络安全的最后一个“学”,是学软硬,在于软硬兼修。修代表了一种修行的心态,即要秉承活到老学到老的钻研精神,要具备扎实开展科学研究的能力。

小白:嗯嗯,这个我理解。

大东:软硬兼修就是要求专业学生在学习具体技能的时候,两手抓,允许有能力倾向和侧重,但不能忽略、轻视其中一点,方能成长为全栈式人才。

小白:东哥,全栈式人才是我的理想!

大东:那就要努力实现理想哦。

三、大话始末

大东:我们今天主要讨论从学生个人角度来看网络安全学习过程,掌握了“四个学”的方法论,在专业学习过程中就会更有方向和抓手。

小白:是的。

大东:所以要时刻牢记16字箴言:“开合有法,张弛有度,矛盾兼容,软硬兼修”。

小白:还有东哥,我们已经探讨了“八”、“七”、“六”、“五”、“四”,后面会不会有“三”、“二”、“一”?

大东:当然有啦!

小白:那太好了,我最喜欢听东哥上课了。

四、小白内心说

小白:原来我天天都能看到这四句话,每次看完都会在心里琢磨一下,今天听完东哥讲了这四句话和“四个学”,感触更加深刻了。“四个学”是从抓住学习的主要矛盾角度出发,但是网络空间安全充斥着风云万化,才更加符合科学规律和学习脉络,学生学习起来也更有方向。在后面的专业课学习过程中我也会以这“四个学”为指导方针,努力奋斗,争取成为一名网络安全专业领域的优秀人才。