沈昌祥院士-信息安全一级学科建设.ppt

信息安全一级学科建设 国家信息化专家咨询委员会委员教育部高等学校信息安全类专业教学指导委员会主任沈昌祥院士 一 信息安全学科的学科内涵 国际上围绕信息安全的斗争愈演愈烈 夺取信息安全控制权是战略制高点 2009年美国奥巴马政府把加强信息安全教育和人才队伍培养列为保障网络空间安全计划的重点 以此来确保美国控制全球信息的绝对优势 最近 美国借 谷歌事件 企图要挟我国放弃信息的控制权 充分体现了美国信息霸权的行径 信息安全人才培养是国家信息安全保障体系建设的基础和先决条件 信息安全学科建设则是高层次创新型信息安全人才培养的关键 信息安全人才培养是一个完整的社会系统工程 只有在一级学科目录规范下 才能按学士 硕士 博士成体系地培养国家需要的全方位人才 如果不把 信息安全 设置为一级学科 不仅不能满足培养国家急需的信息安全人才的要求 而且在国际竞争中将处于极为被动的局面 信息安全是计算机 电子 通信 数学 物理 生物 法律 管理 教育等多学科的交叉科学 信息安全学科以密码学为核心 以网络安全 信息系统安全 内容安全为支撑 以国家和社会各领域信息安全防护为应用方向的跨学科的交叉学科 信息安全学科是紧密围绕国家安全和国民经济建设服务的 其本质是要掌握信息化过程中可能存在的安全威胁 并采用恰当的综合保护措施 克服系统的脆弱性 控制和降低信息安全的风险度 保障信息化的顺利进行 围绕以上需求 需要大量科研 应用 管理人才 以安全保发展 以发展求安全 根据国家对信息安全人才培养的需求和信息安全学科建设的现状 建议将 信息安全 设置为一级学科 二 信息安全学科人才培养现状及存在的问题 国家对信息安全人才的培养给予了高度重视 2003年中办发 2003 27号文件 国家信息化领导小组关于加强信息安全保障工作的意见 明确强调了要采取措施 加快信息安全人才培养 增加全民信息安全意识 2005年教育部专门发文教高 2005 7号文件 教育部关于进一步加强信息安全学科 专业建设和人才培养工作的意见 要进一步加强信息安全学科建设和人才培养工作 从加强信息安全学科体系研究 信息安全博士点和硕士点建设 稳定信息安全本科专业设置 建立信息安全继续教育制度等十个方面提出了指导性的意见 一 信息安全学科人才培养现状70年代以前 我国只有少数专业性的院校 如军事院校 设置了信息安全相关专业 这些专业的人才培养主要依托于密码学专业 经教育部批准 1999年西安电子科技大学等4所高校首先设置信息对抗技术本科专业 2001年武汉大学首先正式设置信息安全本科专业 2007年初 教育部正式批准成立了 教育部高等学校信息安全类专业教学指导委员会 2007年底 教育部批准了15个学校的信息安全类专业为 国家特色专业建设点 为进一步加强和规范信息安全类专业人才培养提供了支持 截至2009年 教育部批准全国共70所高校设置了80个信息安全类本科专业 其中信息安全专业64个 信息对抗技术专业16个 已经培养信息安全类专业本科毕业生人约1 2万人 从70年代开始 我国普通高校开始培养信息安全相关高层次人才 如 中科院 北京大学为军队密码学专业研究生讲授数学基础 西安电子科技大学为军队讲授数字通信 编码密码技术 1988年 西安电子科技大学在军队指挥学下设立密码学硕士点 1993年在军队指挥学下设立密码学博士点 开始密码学研究生的培养 2002年开始 北京理工大学 武汉大学 北京邮电大学 华中科技大学 解放军信息工程大学 中国科学院软件所 国防科技大学 哈尔滨工业大学等一些知名高校 分别挂靠在信息与通信工程 计算机科学与技术 数学等一级学科下 自主设立了信息安全相关二级学科博士点 硕士点 其中设置信息安全博士点 硕士点的18个 设置网络信息安全博士点 硕士点的6个 设置信息对抗博士点 硕士点的5个 上述博士点 硕士点为我国培养了一批信息安全高层次人才 二 信息安全人才培养存在的问题学科建设与人才培养不能满足信息安全保障体系建设的要求尽管已有70所高校设置了80个信息安全类本科专业 但在研究生培养专业目录中并没有与之相对应的信息安全学科 为了培养信息安全研究生 一些高校分别挂靠在相近的一级学科下 自主设置了信息安全二级学科 基础不同 方向各异 内容混乱 相互挚肘 严重影响信息安全人才有序培养 导致人才总量和结构远远不能满足需求 复合性人才和专门性人才严重缺乏 这样下去将严重影响我国信息安全自主创新能力 制约我国信息安全保障体系的建设 难以应对国际敌对势力的挑战 学科建设与人才培养不能满足信息安全产业发展的需求信息安全产业是世界各国优先发展的战略性核心产业之一 我国已经成为世界信息产业大国 大量建设的各种信息化系统已逐步成为国家关键基础设施 政府 军队 金融等国家重要部门都需要大量高层次信息安全专门人才 但由于目前我国信息安全学科建设规模小 水平低 远远满足不了信息安全产业发展对高层次专门人才的需要 导致了我国信息安全关键技术整体上比较落后 据统计 信息安全人才连续几年一直被列为最急需的人才之一 截至2009年底 我国培养信息安全专业人才总共约为3万人左右 离我国对信息安全人才的需要量50多万需求差距难以缩小 信息安全人才问题已经成为当前严重制约信息安全产业发展的瓶颈 三 国内外设置信息安全学科的状况和发展情况 一 国内设置信息安全学科状况1993年 原国家教委颁布学科专业目录在军队指挥学 1105 一级学科下设置密码学 110505 二级学科 信息安全学科主要基于密码学学科 2002年 在国务院学位委员会 教育部下发 关于做好博士学位授予一级学科范围内自主设置学科 专业工作的几点意见 学位 2002 47号 后 信息安全学科发展迅速 北京理工大学 武汉大学等43所院校 分别挂靠在信息与通信工程 计算科学与技术 数学等一级学科 自主设立了信息安全相关二级学科 其中设置信息安全二级学科的18个 设置网络信息安全二级学科的6个 设置信息对抗二级学科的5个 其它14个 目前 我国信息安全学科尽管已有学士 硕士 博士的人才培养初步框架 但是由于没有设置信息安全一级学科 不能设置相应的二级学科 不能在一级学科目录规范下 按照学士 硕士 博士成体系的培养国家需要全方位的人才 目前 密码学科设置为军队指挥学的二级学科 把密码学的研究与人才培养仅限于军事领域 显然是不合理的 二 国外设置信息安全学科状况早在1995年 美国国家安全局委任CMU成立信息安全学术人才中心 以提高高校信息安全人才培养能力 至2003年9月 有50多所教育机构被认定为这种中心 包括44所高等院校和4所国防院校 另外 有57所学校分别设立信息安全专业本科专业和信息安全研究生学科 美国国家安全局从1999年开始实施 国家信息安全教育培训计划 该计划采用授权的管理方式 在选出的23个美国国内院校 设立 信息安全保障教育和学术交流中心 开设从职业培训 学士 硕士到博士的系统课程 另外 美国的科学基金会每年都以专款奖学金资助全美信息安全人才的培养 至2007年 美国国家安全局和国土安全部已经陆续批准并支持了全美86所大学设立信息保障教育国家高等示范中心 2008年 时任美国总统布什发布一项重大信息安全政策 称为54号国家安全总统令 NSPD54 其核心是国家网络安全综合计划 CNCI 当时称为信息安全 曼哈顿计划 预算高达300 400亿美元 属于高度机密 2010年3月解密了概要的内容 以爱因斯坦计划为代号 从12个方面进一步清晰了美国的战略概念和国家意志 要以二战时期研制原子弹一样 保护美国网络空间安全 并要求必须建立起一支技术熟练 熟悉网络安全知识的人才队伍 2009年 奥巴马总统发布的信息安全政策评估报告里的近中期计划中 把加强信息安全教育和人才队伍培养列为重点计划之一 从国内外信息安全学科的发展状况来看 信息安全学科是一个蓬勃发展的学科 目前我国信息安全学科的发展主要受到学科管理 办学条件和政策扶持等因素的制约 影响其快速发展 我们应当调整学科设置 加强学科规范 确保信息安全学科建设和人才培养健康快速的发展 四 信息安全学科的主要研究方向及研究内容 一 主要研究方向信息安全学科的主要研究方向不仅包括密码编码学和密码分析学 计算机安全 软件安全 网络安全 信息对抗等传统优势领域 也囊括了内容安全 行为安全 可信计算等新兴领域 二 主要研究内容信息安全学科所涉及的主要研究内容包括 新型密码体制研究 密码编码与密码分析 信息安全风险评估 信息安全管理 入侵检测 灾难备份和应急响应 操作系统安全 数据库安全 身份认证与访问控制 协议安全 可信网络连接 信息隐藏与检测 内容识别与过滤 信息对抗理论 信息对抗技术 以及信息安全工程等 信息化应用领域的安全研究包括电子政务安全 电子商务安全 关键基础信息系统安全 云计算安全 物联网安全 三网融合安全等 五 信息安全学科的理论和方法论基础 信息安全学科是从数学 计算机科学与技术 信息和通信工程等其他学科的基础上交叉融合发展而来的 其理论和方法论基础也与这些学科息息相关 在学科的形成和发展过程中又进行了丰富和发展 形成了特有的理论和方法论 一 学科的理论基础密码学是信息安全学科的基础支撑 密码学以数学 信息论和计算复杂理论为理论基础 通过加密和鉴别技术实现信息的保密和认证 通过逆向工程技术进行密码分析达到破译密码或恢复明文的目的 信息系统是信息的载体 信息系统安全以控制论和系统论为理论基础 通过访问控制 认证和审计等技术对信息系统进行整体 综合的安全加强 防止对信息系统的非授权访问 网络安全以控制论和系统论为其理论基础 通过入侵检测 数据加密等技术实现安全威胁的识别和数据的安全传输 防止信息的非法泄露和篡改 内容安全以认知科学为理论基础 通过模式识别和信息融合等技术 重点解决不良信息过滤 信息隐藏及其检测 网络舆情分析预警等关键问题 信息对抗以博弈论和系统论作为理论基础 通过信息系统中的攻击和防御技术 保证信息系统的动态信息安全功能的发挥和保持 二 学科的方法论基础信息安全作为一个学科 有其独特的方法论 与数学或计算机科学等学科的方法论既有联系又有区别 信息安全既包括数学的方法论 观察 实验 猜想 归纳 类比和演绎推理 也包括了计算机科学等以工程为主的方法论 理论分析 设计实现 测试分析等 此外还形成了逆向验证的方法论 由信息网络基础设施 安全防御体系 组织管理和法规标准等层次组成的安全保障体系是一个复杂巨系统 必须从复杂系统的观点 采用从定性到定量的综合集成的思想方法 追求整体效能 从系统工程方法论的观点出发 信息安全不能简单地采用还原论的观点处理 必须遵循 木桶原理 注重整体安全 六 信息安全学科与其相近一级学科的关系 信息安全学科是在信息技术及其应用的快速发展中逐渐形成的 它针对信息生成 存储 传输 处理和交互的各个环节 用数学方法刻画和描述其变换的过程和状态 建立安全控制与管理模型 进而保障信息及信息系统的高安全性 高可信性和高可用性 自上世纪四十年代开始 先后经历了通信保密 计算机安全 信息安全保障等发展阶段 不同的历史阶段赋予了信息安全不同的使命和内涵 进而形成以密码学为支撑的网络安全 信息系统安全 内容安全 信息对抗等多层次的学科体系 与其相近的一级学科主要有计算机科学与技术 0812 信息与通信工程 0810 数学 0701 控制科学与工程 0811 信息安全与相关学科均有不同程度的联系 但也有明显的区别 上述相关一级学科都不能单独涵盖信息安全的研究领域 设立独立的信息安全一级学科 不但不会影响相关一级学科的建设 而且能够促进相关学科的发展 一 与计算机科学与技术一级学科的关系计算机科学与技术主要研究计算理论 计算机工程 如何设计制造计算机 计算机软件 如何编制软件 和计算机应用 注重解决计算理论和工程实际问题 目前 我国近80 的信息安全学科建立在计算机一级学科之下 二者的交叉是计算机安全 但传统的计算机安全在需求上与信息系统安全需求有所不同 它常常以约束计算机不能做什么的否定形式表现 例如 要让计算机程序刚好能够正确地完成所设计的任务是极端困难的 对于大多数计算机程序来说 要想彻底地测试并验证它的否定需求是不切实际的 另外 信息安全问题不仅仅依赖于理论和算法本身 它有明显且强烈的对抗性 一个好的理论和算法可能由于对手的变化而变得没有效果 从而增加了问题的动态性和复杂性 所以需要全方位地 多层次地研究解决信息安全问题 综上所述 信息安全不能被计算机科学与技术学科所单独涵盖 二 与信息与通信工程一级学科的关系信息与通信工程学科主要研究信号 信息的编码 解码 调制解调 传输 处理的基本理论 技术和应用 它与信息安全学科的交叉主要是通信和网络安全 相比之下 该学科更多地是研究通信的效率和质量 无法解决因网络的开放性和共享性所造成的安全保障层面的理论和技术问题 如身份冒充 网络欺骗 恶意攻击等 单独在传统的通信学科进行信息安全研究已经不能适应社会对信息安全理论和技术发展的要求 需要建立独立的信息安全学科进行相关的研究与应用 三 与数学 控制科学与工程等其他一级学科的关系数学是一门在非常广泛的意义下研究自然现象和社会现象中的数量关系和空间形式的科学 它的根本特点是从各种自然现象和社会现象的量的侧面抽象出一般性的规律 预见事物的发展并指导人们能动地认识和改造世界 因此 数学学科在抽象空间分析问题和解决问题 信息安全的数学基础包括密码学相关的数学理论 可计算理论以及形式化推理等 但数学与信息安全学科研究的目标和关注的内容不同 数学关注抽象问题 而信息安全学科关注具体的安全问题 其目标是问题解的可用性和可行性 并且要加以工程实现 所以数学一级学科不能涵盖信息安全的研究范畴 而控制科学与工程自身二级学科众多 其应用已经跨越渗透到很多工程学科 并注重应用计算机技术提高自动化程度的研究 所以也与信息安全学科有很大的差别 七 社会对信息安全学科的需求情况及就业前景分析 全球对信息系统的安全性要求越来越高 信息安全作为非传统安全因素 已与各国的政治安全 经济安全 国防安全 文化安全共同成为国家安全的重要组成部分 美国2009年5月公布的网络安全评估报告称 来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一 保护网络基础设施将是维护美国国家安全的第一要务 2003年中办发27号文件 关于加强信息安全保障工作的意见 明确强调了要采取措施 加快信息安全人才培养 增加全民信息安全意识 国家 十一五 规划明确提出将信息安全列为一级学科建设的要求 加强信息安全学科建设和人才培养 1 国防建设对信息安全学科建设的需求信息对抗与攻防能力已成为重要的国防力量之一 美国很早就提出了信息战的概念 在海湾战争期间美军成功地对伊拉克发动了信息战 2009年6月美国国防部长签署命令 正式成立美军的网络司令部 大批接收网络安全的专门人才组建信息安全作战部队 我军要打赢信息化条件下的局部战争 提高基于信息系统的体系作战能力 关键是要有一支专门的信息安全人才队伍 2010年4月6日胡锦涛主席批准的中央军委 关于加强新形势下军队信息安全保障的意见 中明确强调了 要加强信息安全人才队伍建设 抓好专业力量训练和组织运用 对信息安全学科建设和人才培养提出了更高的要求 2 国家重要信息系统对信息安全学科建设的需求电子政务网 电子党务网是联系党与国家 社会正常运作的关键基础设施 并且政务网 党务网上的信息涉密程度高 对信息的完整性和可用性等也有较高的要求 截至2005年底 我国96 的部委拥有部门网站 81 3 的地方政府拥有门户网站 如此多的政府网站给网站的安全管理带来了巨大的挑战 据CNCERT CC调查显示 2008年上半年共捕获约90万个恶意代码 比去年同期增长62 5 其中新的恶意代码样本达8 9万个 2009年9月1日至30日 我国大陆地区被篡改网站的数量为3513个 大陆地区网站被篡改的数量为256个 较上月的299个下降14 4 占大陆被篡改网站的比例也由8 33 下降0 29 其中 9月10日被篡改数量最多 达到54起 国家重要信息系统的建设和维护需要一支具有较高信息安全专业知识的建设和管理队伍 3 信息安全产业的发展对信息安全学科建设的需求伴随着信息科技的迅速发展 全球信息安全类专业人才的需求 这些年来一直呈上升的趋势 最近IDC的一个报告预测 到2013年全球新增长IT工作职位将达到580万个 仅在亚太地区就将新增280万个 当前国内对信息安全人才的需求量很大 据业内人士分析 国内目前对信息安全专门人才的需求量高达50余万 今后五年 社会对信息安全的人才需要量大约为每年增加1 2万人左右 目前学科建设人才培养极不相应 每年信息安全专业毕业生不足1万人 信息安全类专业毕业生供不应求 4 信息安全学科就业前景分析信息安全类专业毕业生就业指数在总共660余个二级学科专业中排第20名 反映了本学科专业的社会需求和社会认同度 教育部和国家信息安全工作协调主管部门已经把信息安全人才培养纳入特殊行业紧缺人才培养计划 教育部在阳光高考平台上公布了2008年全国本专科专业就业状况 2008年信息安全本科专业就业率为B 80 其中211工程类高校为B 85 据盈速教育预测的学科专业未来就业指数 计算机网络安全 学科的就业指数一直保持在0 88 比电子 通信与自动控制技术的平均指数0 78和计算机科学技术的平均指数0 65都要高 信息安全专业毕业生具有资格证书 硬 毕业生 少 需求部门 多 用人单位 大 就业前景 广 等就业优势 八 信息安全学科的发展前景 21世纪是信息的时代 国际社会高度信息化 国家经济振兴和社会发展将依赖于信息安全 信息安全科学与技术将会得到突飞猛进的发展 信息安全学科建设将面临新的机遇和广阔的发展前景 首先 从国家战略层面来看 信息安全将是今后各国发展的重点 我国已经将信息安全作为优先发展的前沿技术列入了 国家中长期科学和技术发展规划纲要 2006 2020年 2010年4月5日 经国家主席胡锦涛批准 中央军委印发了 关于加强新形势下军队信息安全保障工作的意见 明确强调了 要加强信息安全人才队伍建设 抓好专业力量训练和组织运用 西方发达国家十分重视信息安全 美国多年来一直将信息安全 网络空间安全 列入国家战略计划 作为其实现信息霸权的有效手段 2003年2月 布什政府发布 保护网络空间的国家战略 2006年4月美国信息安全研究委员会发布的 联邦网络空间安全及信息保障研究与发展计划 CSIA 美国最近解密的2008年54号总统令 国家网络安全综合计划 CNCI 明确指出 必须建立起一支技术熟练 熟谙网络安全知识的人才队伍 以及有效的后续雇员输送管道 为了应对这一挑战 需要制定国家战略 就象上世纪五十年代的科学和数学教育改革一样 除美国之外 欧洲 日本 加拿大 澳大利亚和以色列等国也在信息安全领域投入巨资 支撑信息安全学科建设 其次 信息安全学科是基础性和普及性学科 据IDC预测 全球2008信息安全专业从业人数约为210万人 并且将以每年18 的需求增长 我国2009年信息安全专业从业人数约为50多万人 目前缺口约75万人 因此需要加快信息安全学科建设 培养更多的信息安全人才 在信息安全知识普及方面 美国的科学基金会每年都以专款奖学金资助全美信息安全人才的培养 美国的 国家网络安全综合计划 CNCI 当中 已经通过在初中和高中生中开展信息安全竞赛等方式普及信息安全知识 然而 我国目前只在大学本科阶段设置了信息安全相关专业 如果有一级学科的规范和指导 就能更好地扩大教育范围 普及信息安全知识 另外 随着信息技术深入到人们生活的各个方面 许多非信息安全领域需要信息安全的支持 因此信息安全学科和人才培养将有更大的发展空间 第三 信息安全学科的发展可以促进经济和社会发展 随着我国信息化和工业化的发展 以信息化带动工业化 以工业化促进信息化 这是本世纪头20年我国经济建设和社会发展的主要任务之一 也是一个长期的战略 目前 信息化和工业化过程中产生了一些新的关键点 如物联网 云计算 三网融合等 这些关键点的发展 首先要解决信息安全问题 只有大力发展信息安全学科 才能更好地解决信息化和工业化过程中产生的信息安全问题 才能更好地促进经济和社会发展 九 信息安全学科可归属的二级学科及其简介 拟设立的信息安全一级学科下可归属密码学 信息系统安全 网络安全 内容安全和信息对抗等五个二级学科 一 密码学密码学起源于人类战争中的保密通信 现代密码学由密码编码学和密码分析学组成 探究密码理论 密码算法 密码技术以及密码应用等科学技术问题 它是数学 计算机 通信等多学科相互交叉的综合性学科 在信息安全保障过程中起着关键作用 密码学以计算复杂性 信息论为理论基础 基于随机理论与概率统计 数学难题等原理 实现信息隐蔽和鉴别 因此 它是信息保密 认证和鉴别的基础 另外 随着超级计算机能力的提高和量子计算的出现 研究新型密码体制也势在必行 如生物密码 量子密码等 该二级学科下的研究方向与相关研究内容可包括 对称密码体制 公钥密码体制 单向函数 生物密码 量子密码和密码工程等 二 信息系统安全信息系统依托计算机软硬件 进行信息的采集 存储 处理 存在着非法访问的威胁和自身脆弱性的隐患 将导致信息泄漏 篡改和系统瘫痪等严重风险 信息系统安全以身份认证 访问控制和审计追踪等机理 防止对信息系统的非授权访问 以达到控制和降低安全风险的目的 信息系统安全以控制论和系统论为理论基础 构建积极防御综合防范的体系架构 研究整体防护机制和功能 制定安全策略 实施全方位多层次的安全防护 以满足信息系统全生命周期的可信 强健的安全运行的需要 该二级学科下的研究方向与相关研究内容可包括 恶意代码检测