尤金·h·清单据/a>
导演,据a name="tex2html2" href="https://www.cs.purdue.edu/coast">海岸据/i>项目和实验室据/a>
普渡大学据/a>
W. Lafayette,在47907-1398据/strong>
短期内,我们正面临着一场国家危机,它威胁着我们的国家安全、我们的个人安全和我们的经济主导地位。信息技术的快速发展是造成这一威胁的一个驱动因素:我们在关键应用中依赖新的、往往是脆弱的技术。此外,这些应用程序为罪犯、破坏者和外国对手提供了诱人的目标。据/p>
我们的学生和即将成为学生的学生将设计我们未来的信息技术。我们正在危及他们和我们自己,因为他们中的大多数人不会接受信息安全方面的培训。这主要是因为计算机安全教育和研究资源严重短缺。目前在工业界和政府中实施的计划并没有解决这些需求,有些计划实际上可能会加剧这一问题。据/p>
本文有助于介绍提供良好的计算机安全教育的危机。它介绍了这个问题的一些历史和背景。然后,它为近期行动提供了一些建议,这应该有助于为我们所有人提供更安全的未来。据/p>
很明显,计算机安全是一个日益受到关注的主要领域,整个社会都面临着越来越多与安全有关的严峻挑战。与信息泄露、大规模计算机入侵以及正在编写和发现的计算机病毒数量呈指数级增长有关的事件都表明,对计算资源有效利用的威胁日益增加。据a name="tex2html8" href="//www.tumejico.com/irp/congress/1997_hr/#152">[+]据/a>已经有许多记录的经济间谍,故意主义,盗窃和其他主要经济犯罪案件,其中一些涉及数百万美元的损失据em>每一个事件据/em>.[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Pow96据/a>]据/p>
许多电脑犯罪没有被发现。另一些则没有被报道,因为受害者担心任何关于他们的损失(以及暗示他们的弱点)的公开将导致对他们的业务失去信心。此外,还有大量涉及较小损失的案件,其中大多数可能没有向当局报告,原因很简单:几乎每个人都意识到,执法人员缺乏训练,装备不足,人手不足,无法应对当前计算机犯罪泛滥的哪怕是很小的一部分——而这种不平衡对于破坏者和骗子来说正在稳步改善。据/p>
违反计算机安全的威胁是多种多样的。这些损失包括诈骗和盗窃、经济和国际间谍活动、破坏、恐怖主义活动、计算机病毒、破坏公物以及支持其他形式的犯罪。此外,并非所有的犯罪活动都是针对政府、商业和其他组织的:侵犯个人隐私、骚扰、“跟踪”、诽谤和其他活动也对个人构成威胁。据/p>
几年前,这份报告据i>危险的计算机据/i>[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">SSSC91据/a>,有力地概述了计算机用户面临的几个关键安全问题。该研究中的建议几乎没有得到解决,在这期间,问题变得更加紧迫。我们在关键应用程序上对计算机的日益依赖,对未经授权的犯罪和恐怖活动构成了越来越大的诱惑。新网络技术增加的连通性只是放大了我们尚未完全了解的现有威胁。例如,16年前,当ARPANET主机数量超过210台时,引入了实验性IP协议套件;今天,我们有一个由几百万台计算机组成的全球网络,使用相同的协议。据/p>
涉及分布式数据库和并行和分布式处理的计算机技术越来越广泛地使用了尚未充分检查的新变量。将来自世界各地的计算系统链接在一起的倡议,并为更多用户提供访问权限只会增加安全问题的可能性。在1997年1月的工会州地址,克林顿总统向互联网连接每个学校和图书馆的目标。我们是否为普通公众提供了如此广泛访问的感知效益,为可能出现的问题做好了准备?据/p>
正如科技评估办公室的一份报告所指出的那样[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">OTA94据/a>向前,):据/p>
信息网络正在改变我们做生意、教育孩子、提供政府服务和分配医疗服务的方式。信息技术正以积极和消极的方式侵入我们的生活。。。。随着企业和政府越来越依赖网络化的计算机信息,我们就越容易让私人和机密信息落入无意或未经授权的人手中……否则,[需要保护措施],对网络信息安全和隐私的担忧可能会限制全球信息基础设施的实用性和可接受性。据/blockquote>这些问题在国防领域尤为紧迫。考虑一下国防科学委员会1996年11月关于信息战——国防的工作小组报告中杜安·安德鲁斯的求职信中的这一声明。据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Boa96据/a>]:据/p>
我们的结论是,有必要采取特别行动,以应对目前和正在出现的挑战,防范可能对设施、信息、信息系统的信息战攻击,这将严重影响国防部执行其指定任务和职能的能力。我们已经观察到对国防信息基础设施的依赖日益增加,并且对于该基础设施的持续可用性的理论假设也在增加。这种依赖性和这些假设是国家安全灾难的组成部分。据/blockquote>值得注意的是,这一结论与是否考虑对定向信息战的保护无关。“广泛存在的犯罪集团、无政府主义者的特定行为或随意的破坏行为也会对我们国家的安全产生毁灭性的影响。此外,随着越来越多的商业实体转向“互联网商务”,我国经济受到严重破坏的可能性也越来越大。据/p>
想想看:在1980年,ARPANET上只有不到200台主机。据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Sal95.据/a>[英语背诵文选少数几个国家开始试验全国性网络。第一台商业工作站还没有上市,个人电脑行业还处于起步阶段。第一种,原始的Usenet新闻组在使用30个cps的几十台机器之间流动据a name="tex2html9" href="//www.tumejico.com/irp/congress/1997_hr/#47">[+]据/a>现代技术。而万维网则是十几年后才出现的纯科幻小说。据/p>
现在,仅仅过了17年,也就是半个人类时代或五分之一人类生命的时间,我们就拥有了一个覆盖七大洲120多个国家的全球网络。我们每天有数千万人使用互联网。政府正在使用互联网来处理他们的日常事务。服务提供商的商业过载成为所有主要报纸的头版新闻。深夜漫画和编辑漫画通常指的是WWW和网络地址。总统的国情咨文通过互联网向全世界直播。一些人估计,已经有数十亿美元在通过在线通信进行的商业交易中投资和转手。据/p>
再过17年,我们会是什么样子?尽管我们任何人都很难想象即将发生的变化,但未来至少有一个明确的方面:它将由明天设计,在很大程度上由今天的学生设计。他们中的一些人将进入劳动力市场,设计出能够改变我们生活的技术。另一些人将启动这些改变,他们的研究项目很快就要开始了。还有一些是由那些即将在高科技领域寻求再教育,以便成为21世纪有生产力的雇员的人创造的。据/p>
美国的学术安全教育据/a>
这种令人难以置信的技术速度正在如此迅速地改变我们的世界,显然几乎没有机会让时钟倒转,并重新实施可能对安全造成负面影响的决定。为了确保安全计算,必须从一开始就设计安全性(和其他想要的属性)。为了做到这一点,我们需要确保所有的学生都理解安全、隐私、完整性和可靠性等诸多问题。据/p>
不幸的是,这在最近几年没有发生。例如,考虑我们当前依赖的软件的生产。商业软件供应商据em>仍然据/em>编写和发布软件时需要为20多年前被称为安全问题的“bug”修补程序!据a name="tex2html11" href="//www.tumejico.com/irp/congress/1997_hr/#153">[+]据/a>即使发生高度公开的问题,例如由1988年莫里斯(互联网蠕虫)开发的缓冲区溢出问题据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Spa89a据/a>,据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Spa89b据/a>,或者2000年日期问题,这些相同的软件故障继续被合并到现有的操作系统中。据/p>
系统继续使用已知不安全的技术构建。为什么这些问题避免了?为什么我们的学生没有学习更好的安全技术?几乎肯定是因为他们中有很少有人可以在这种主题中获得适当的教育。据/p>
信息安全/计算机和网络安全,作为专业领域,很难准确定义。甚至在该地区工作的专业人士甚至难以达成一个适当涵盖该领域的确切定义。安全性很难描述的部分原因是因为它在很大程度上吸引了这么多的计算领域。在至少一个意义上,它似乎与软件工程密切相关 - 计算机安全性被致力于确保在潜在敌对环境中使用时的软件和硬件符合其规格和要求。因此,计算机安全性包括计算机系统规范,验证,测试,验证,安全性和金博宝正规网址可靠性的问题。但是,安全包括多于这些问题,包括(最少)操作系统设计,架构设计,信息安全,风险分析和预测,数据库组织,金博宝正规网址加密和编码,正式模型的计算,容错,网络和网络和协议设计,支持性界面设计,政府监管和政策,管理决策,安全意识和教育。据/p>
定义计算机安全的难度也反映在该地区的分散和欠发达的教育和研究计划中。许多其他计算研究领域都有明确的教育文学体系,由政府和行业资助的主要研究中心,以及大量的学生兴趣。与此同时,通过在操作系统,数据通信和数据库的教科书中的短篇小组中,在过去十几年中,计算机安全领域已在过去十几年中代表,以及在学术界隔离的几个人。该领域目前只有少数广泛的电脑安全主题中的档案期刊:例如,据i>计算机与安全据/i>,据i>《密码学据/i>,据i>计算机安全学报据/i>.并且公众对计算机安全的看法是塑造的据a name="tex2html12" href="//www.tumejico.com/irp/congress/1997_hr/#57">[+]据/a>比如电脑病毒恐慌、14岁儿童侵入敏感军事系统的故事,以及《网络》和《黑客》等电影。据/p>
很少有大学或学院提供计算机安全方面的深入教育。截至1996年中期,在美国大学的学位授予部门中,只有三个宣布专门从事计算机安全研究的中心(这些将在下一节讨论);1996年11月,第四个中心公布于众。在讲授计算机安全课程时,使用的计算机安全教科书相对较少,其中一些最常用的教科书主要是关于密码学的(例如,[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">DEN83.据/a>]或过时。据/p>
学术界的研究是由数量有限的教员和少数学生在分散的地点进行的。无论是学术界还是商业上的研究,传统上都是面向有限的军事需求,因为直到最近,这才是主要的需求所在(也可以获得资金)。最近的趋势在某种程度上更加开放,但仍然集中在一些狭窄的领域,包括对电子商务和网络防火墙的加密支持。尽管这些技术很重要,但它们不能满足更重要的安全需求。为了说明这一点,我在过去几年的讲座和研讨会上一直在使用以下类比:据/p>
把我们的研究集中在安全电子商务的加密协议上,类似于把我们所有的钱投资在建造重型装甲车上。但是,这些装甲车一辈子都在把坐在公园长椅上的人用蜡笔写的支票,转交给在高速公路立交桥下用纸板箱做生意的商人。同时,这里没有交通规则,任何一个玩滑板的人都可以用螺丝刀来改变交通信号灯,也没有警察。据/blockquote>这种可见性、培训和协调的研究工作的缺乏导致了在据em>实用据/em>计算机安全,以及准备在这一领域提供高级指导的学术教师的严重短缺。这导致在设计新的计算机系统时缺乏对安全问题的考虑,从而使这些新系统处于危险之中。金博宝正规网址随着技术推动我们进入一个全球通信网络、多供应商计算机系统司空见惯的未来,缺乏普遍接受的社会规范和法律将导致只有设计良好的计算机安全工具和技术才能防止的困难。为了设计这些工具并培训这些员工,我们需要一个经验丰富、受过良好教育的核心教员。据a name="tex2html13" href="//www.tumejico.com/irp/congress/1997_hr/#62">[+]据/a>
计算机安全相关问题的教育和研究通常在反映其跨学科性质的若干不同准则下进行。计算机体系结构、操作系统、数据金博宝正规网址通信、数据库系统和软件工程等领域的工作解决了计算机安全问题。尽管在所有这些领域都取得了进展,但在过去几十年中,大多数与安全相关的直接研究基本上只针对少数选定的主题。例如,迄今为止所做的大多数面向系统的研究都支持用于军事环境的多级安全机器的正式信任模型,包括分区模式工作站。这项研究的结果在“现实世界”的计算环境中通常用处不大。这是因为这类研究的传统重点主要集中在保密问题上[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Nat85据/a>,据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Nat88据/a>](保持信息秘密),而不是在可用性和完整性等相关问题上。金博宝正规网址据a name="tex2html14" href="//www.tumejico.com/irp/congress/1997_hr/#64">[+]据/a>因此,在商业和教育计算平台上设计日常使用的安全工具和技术方面的研究很少得到支持。此外,随着越来越多的计算机用户寻求使用COTS(商业的、现成的)组件,我们将需要在这些通用系统中内置更好的保护方法。据/p>
特别是,在过去几十年里,计算机安全方法和协议的大量研究主要集中在安全系统、多级系统、隐蔽通道、统计入侵检测系统和通信安全问题(如密码学)的理论模型上。金博宝正规网址在改进一般安全工具、策略形成、审计技术、可用性模型、网络安全、计算机取证、打击恶意软件(如计算机病毒和蠕虫)、策略形成、可靠性、认证和完整性方法方面的研究不足。事实上,军方一直不鼓励对这些重要领域的研究,因为他们担心人们可能会间接发现渗透政府系统的方法。这些领域的工作受到限制的另一个原因可能是,这种努力需要跨学科的方法,很少有研究人员和研究小组具备进行这种调查所必需的广度和深度的专门知识。要在这一具有应用潜力的领域进行良好的研究,需要有广泛的资源基础和重点。据/p>
教育和研究倾向于跟踪需求的来源。因此,在过去的几十年里,军队可以通过研究人员提供研究人员,进行与军事问题有关的研究问题。金博宝正规网址这倾向于直接狭隘地研究了计算安全性的研究。期刊和会议进入了为本研究提供的网点,从而导致气候不易易于在其他领域进行研究。对学生的需求也塑造了这张照片,因为毕业生的大多数毕业生的毕业生都来自政府本身,从军事承包商或供应军队供应商。对这种毕业生的总体需求并不大。互联网“爆炸”在社区中遇到了很多惊喜,让它温和。据/p>
结果,美国计算机和网络安全的教育目前提供狭窄,随意和不一致的时尚。主要课程领域的一些标准本科和研究生文本(例如,操作系统)可能有一个关于安全的简要份额。这些章节通常包含有关在实际使用中没有特别有用的一般安全性的模糊信息。教师没有直接经验或安全教育,因此他们无法以任何有意义的方式增加文本中的材料。在通常情况下,结果是材料以粗略和压缩方式呈现。由于该材料在一个单独的章节中而不是整合到文本的其余部分中,学生进一步鉴于隐性印象,即安全性不重要,缺乏细节,以及可分离的问题。据/p>
幸运的是,在每个学院和大学都不是真实的。有许多教师有一些更深层次的背景和安全性。这些教师会员尝试在他们的课程中提高信息安全概念。即便如此,很少有学生有机会将安全性专注于专业,或者看看它如何跨越几个研究领域。美国在美国的机构中只有一些分数教师在计算机或网络安全方面进行了一些研究或专业教育。仍有额外的前线安全响应体验的经验较少。据a name="tex2html15" href="//www.tumejico.com/irp/congress/1997_hr/#154">[+]据/a>
在这项专业化的高端,在美国的计算机和网络安全有关的领域有四个公认的学术中心。四个有几位高级教师,其研究专业化在一个或多个信息安全领域。四个中心中的每一个都有外面的资金,由其家庭大学认可作为教育和研究中心,社区的认可。这四个中心是(按成立顺序):据/p>
- 这据a name="tex2html16" href="http://www.isse.gmu.edu/ csis">安全信息系统中心据/a>乔治·梅森大学。该中心有几名从事研究和教育的教员,主要侧重于信息系统安全、数据库系统安全和认证方法等问题。金博宝正规网址据a name="tex2html17" href="//www.tumejico.com/irp/congress/1997_hr/#70">[+]据/a>
- 这据a name="tex2html18" href="http://seclab.cs.ucdavis.edu/Security.html">计算机安全实验室据/a>加州大学戴维斯分校该小组包括7名教师和4名博士后人员,主要重点是验证方法,以及大规模系统和网络的安全。据/li>
- 这据a name="tex2html19" href="https://www.cs.purdue.edu/coast">海岸据/b>实验室据/a>普渡大学。这个小组由近12名教员(其中一半目前正在为研究项目提供资金)和几名员工组成。这据b>海岸据/b>小组主要强调主机安全、入侵和误用检测、计算机取证和审计技术等问题金博宝正规网址。据a name="tex2html20" href="//www.tumejico.com/irp/congress/1997_hr/#76">[+]据/a>有超过35名学生参与研究项目,这是四个中心中规模最大、知名度最高的。据/li>
- 这据a name="tex2html21" href="http://www.cs.uwm.edu/ cccns">密码学、计算机和网络安全中心据/a>威斯康辛大学密尔沃基分校该中心于1996年11月正式宣布成立,尽管(3)参与的教员已经从事安全工作多年。这个小组的主要焦点是密码学和密码方法的应用和扩展。据/li>
作为一个集合,这些代表了参与研究的最先进的群体据em>这两个据/em>在美国的安全研究和教育。其中一个实验室(据b>海岸据/b>)被广泛认为是世界上最大的此类学术实验室;根据美国国家研究委员会(National Research Council)公布的数据,它也是四个学院中排名最高的学院据a name="tex2html22" href="//www.tumejico.com/irp/congress/1997_hr/#156">[+]据/a>.据/p>
考虑以下关于这四个中心的信息:据/p>
- 在过去的五年中,美国和加拿大的大学授予了大约5500名计算机科学和工程博士学位。据a name="tex2html23" href="//www.tumejico.com/irp/congress/1997_hr/#163">[+]据/a>其中只有16人(平均每年3人)被授予这些主要中心的安全相关研究。据ul>
- 这16名毕业生中只有8人是美国公民。据a name="tex2html24" href="//www.tumejico.com/irp/congress/1997_hr/#87">[+]据/a>
- 16人中只有3人进入了学术生涯。据/li>
在未来三年内,这些联合中心的博士生平均产量可能会上升到每年五名;然而,进入学术界的公民和毕业生的比例预计将保持不变。据/li> 在过去的五年里,这四个中心总共培养了不到50名研究型硕士。这些学生中只有50%是美国公民。在接下来的几年里,在预期的水平之外,没有显著的M.S.产量增长。据/li> 在所有这些中心的历史上,只有三家商业赞助商在这些中心存在的大部分时间里为安全方面的研究和教育提供资金。据/li> 在所有这些中心的历史上,只有三个政府机构提供了多年的支持,而不是通过竞争性的研究招标(例如,DARPA BAA或NSF项目招标)。据a name="tex2html25" href="//www.tumejico.com/irp/congress/1997_hr/#89">[+]据/a>这不是因为这些中心的任何质量或需要,而是因为有据em>没有据/em>联邦计划将提供这些资金,即使是在迫切需要的时候。据/li> 毫无疑问,有良好安全训练和兴趣的毕业生也来自其他高校。然而,这并不是一致的——它取决于有正确兴趣和技能的学生与碰巧最近在相关领域找到工作资金的教师相匹配。这不是培养大批受过训练的专业人员的可靠方式。据/p>
即使这四个中心只占安全相关领域受过培训的毕业生人数的一小部分,其数量仍然令人极度不安。特别值得注意的是少数博士。毕业生进入学术界。显然,我们在建设教育基础设施以支持日益增加的安全培训需求方面存在不足。据/p>
虽然不可能准确地解释这些数字的所有原因和含义,但通过采访该领域的教员和应届毕业生,可以获得一些问题的迹象。以下是在这些会议上反复表示的一些关切:据/p>
- 机会。据/b>目前,由于具有高级程度和信息安全培训的人,行业愿意为新员工付出大量保费。例如,不包括福利和招聘奖金,1996年和1997年毕业据b>海岸据/b>实验室已经为B.S.10,000美元的起始工业工资提供了促进的。度数,新的M.70,000美元。候选人,新博士学位近10万美元。毕业生。将此与大约67,900美元的平均起薪进行比较,这是一个12个月预约作为助理教授。据a name="tex2html26" href="//www.tumejico.com/irp/congress/1997_hr/#158">[+]据/a>一些安全领域的资深教员多次收到了远高于每年20万美元的主动邀请。据p>
- 进步。据/b>一些毕业生认为,在计算机安全实验领域的学术生涯比在其他领域的学习更加困难。这与实验计算机科学的研究生普遍关心的问题类似。据a name="tex2html27" href="//www.tumejico.com/irp/congress/1997_hr/#159">[+]据/a>这种感知通过观察到的难度获得适当的资金,以及出版物的偏见以及参与任何抽象,理论研究。据p>
- 资源。据/b>某些形式的安全研究和教育,特别是那些涉及大型网络或异构计算的教育,需要大量资源和持续维护。有很少有资源支持此类研究的机构,那些做的人往往无法超越超越单一研究项目的一生。目前没有对此类集合的一般支持计划。此外,几乎所有现有的政府课程赞助本领域的研究高度集中并禁止支持人员,设备升级和其他所需基础设施改进的任何预算。据p>缺乏基础设施支持的一个结果是,学术教师将大量时间花在文书工作、收购和项目管理上,从而使他们远离教学、咨询和研究。这既可以作为一个例子,劝阻高年级学生寻求学术生涯,也可以作为一个因素,鼓励现有的教师考虑离开学术界,从事从事文书工作时间更少的职业。据/p>
- 期货。据/b>各种情况的结合,包括缺乏消费者意识、政府政策(如限制性加密出口管制)、缺乏同行支持以及缺乏行业支持,使许多毕业生对安全领域的学术生涯产生了一种徒劳感。相反,他们更感兴趣的是加入一家商业企业,在那里,他们的努力成果可能会产生更直接的影响。这也倾向于鼓励现有教师离开学术界。据p>
行动号召据/a>
毫无疑问,情况比本文所描述的要复杂得多。然而,一些趋势是明显的:信息安全是一个越来越重要的问题,没有足够的教育和研究资源来满足需求,有相当大的需求,从工业上适当训练的人才,和目前的方法支持教育和研究结合在计算机和网络安全是可悲的不足。据/p>
短期内,我们正面临着一场国家危机,它威胁着我们的国家安全、我们的个人安全和我们的经济主导地位。如果我们在未来几年内无法进行协调一致和协调的情况,我们可能会发现自己面临“安全意识赤字”,我们将无法克服。这种赤字将使我们容易受到来自内部的没有和破坏的攻击。它也将导致我们的公共仆人的压力提出即时的“解决方案”,这可能比他们解决的问题更糟糕,这威胁着我们共和国的一些原则。我们必须迅速采取行动,以防止这种情况发生。据/p>
下列行动建议如果得到注意,无疑将在这一需要的领域作出重大改进:据/p>
- 我们要鼓励更多学生学习信息安全领域的知识。为此,我们应该探索向信息安全专业研究生提供奖学金或可减免贷款的项目。还可以设计一个或多个程序来帮助支持已经从事计算机专业的人员进行再培训据em>适当地据/em>在信息安全领域。这样的人员每年只增加一百人,这就构成了一个巨大的增长,将大大改善我们目前的人员赤字。据/li>
- 我们需要鼓励更多研究生在计算机和网络安全中考虑学术界的职业。实现这一目标的一种方法可能是建立一些“年轻安全调查员/教育者”的奖励,该奖项将在毕业前指定。只有当候选人在毕业后在认可的机构接受一个任期赛道职位并留在教师的最少年份,只能使用这些。奖项将提供额外的跳跃每个年轻调查员研究的目的。据/li>
- 我们需要为计算机和信息安全中心的某些或所有现有专业中心提供大量的长期支持。这些是一项批判性国家资源,不仅适用于学术界,而且是商业部门,国防部和其他公共机构。这些中心应提供对人员和资源的多年基础设施支持,并鼓励向其他学校和公众开发(更多)外展计划。失去其中一个现有中心将是一个悲剧,失去一个较大的中心将是一场灾难;然而,由于外部资金不确定和不稳定的外部资金与现有的工业职位教师相结合,这些中心的持续存在可能被认为是脆弱的。据p>请注意,这不一定是(或反对)提供重大的建议据em>研究据/em>为这些中心的教员提供资金。美国国家科学基金会(NSF)、美国国防部高级研究计划局(DARPA)、美国能源部(DOE)和其他机构已经有许多竞争性项目提供重大项目支持。合格的教师可以和他们的同龄人一起竞争这些基于成绩的奖项。然而,需要基础设施支持,以确保教育和合作的长期基础是可行的。然而,通过这些中心进行一些种子基金的研究将是合适的,以鼓励继续探索尚未被传统资金来源承认的前沿。据/p>
- 我们需要在安全技术中建立研究和教育的其他强大计划(但不是危及现有专业中心的稳定性)的牺牲品。随着新教师可用的是,随着现有中心的经验,随着社会的需求继续发展,我们需要开发互相协同工作的计划,以扩大培训的学生的产出,以及工作的一些困难的研究问题,尚未解决。据/li>
- 我们需要让美国工业界更多地参与信息安全方面的研究和学生教育。行业将(而且已经)受到训练有素的专业人员短缺和可扩展、负担得起的可用性的严重影响据em>实用据/em>安全技术。它们应该在资金、人员和专业知识方面向前迈进,与学术界合作,制定解决方案。据p>
关闭评论据/a>
如果采取果断的行动,未来不一定是暗淡的。少量的资金据a name="tex2html28" href="//www.tumejico.com/irp/congress/1997_hr/#160">[+]据/a>在接下来的十年里,将大大提高我们国家在信息安全方面的准备和能力。据/p>
这个问题的紧迫性在报告的摘要中得到了很好的阐述据a name="tex2html29" href="//www.tumejico.com/irp/congress/1997_hr/#109">[+]据/a>联合安全委员会(我强调了原来的一些文本):据/p>
这一点在信息系统和网络领域表现得最为明显。委员会认为信息系统和网络的安全是最重要的据em>这是本十年乃至下个世纪的重大安全挑战据/em>并且相信有据em>我们对这一领域面临的严重风险认识不足据/em>.这个国家越来越依赖于控制基础设施基本功能的大量信息系统和网络的可靠性能,这也增加了安全风险。信息从未像现在这样容易获取,也从未像现在这样容易受到攻击。这一漏洞不仅适用于政府信息,也适用于私人公民和机构持有的信息。我们都没有正视这个问题的严重性据em>也没有投入充分了解这一挑战所需的资源,更不用说迎接这一挑战了据/em>....据em>保护国家信息系统和信息资产的机密性,诚信和可用性 - 既有公共和私人,也必须是我们最高的国家优先事项。据/em>[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">乔伊94据/a>, 2,页)据/blockquote>现在是我们携起手来以应有的严肃态度对待这一国家优先事项的时候了。据/p>
确认据/a>
我要感谢以下人员对本文的周到评论和投入:Mikhail Atallah,Rebecca Bace,William Cook,Yvo Desmedt,Dan Geer,Mark Graff,Sushil Jajodia,Karl Levitt,Steve Lodin,Katherine价格,Ravi Sandhu,Christoph Schuba和Chris Wee。本文讨论的结论不一定代表除作者中的任何组织或人员的意见。据/p>
附录据/a>
为了说明的目的,这是任务声明和目标集的注释版本据a name="tex2html30" href="https://www.cs.purdue.edu/coast">海岸据/b>实验室据/a>普渡。这应该有助于解释为什么要采用基于中心的方法,以及这种方法的好处。不幸的是,研究人员据b>海岸据/b>一直无法确定任何联邦计划将为大多数这些目标提供支持,除了在两到三年的时间内资助重点非常狭窄的研究项目。这不足以维持以下所述(所需)范围的计划。据/p>
该组织的使命据b>海岸据/b>(据b>C据/b>omputer据b>O.据/b>对策据b>一种据/b>udit和据b>S.据/b>安全性据b>T.据/b>(技术)项目和实验室将对提高计算机和网络安全的通用和实用工具和技术进行研究和教育。这项研究的具体重点是典型的计算环境——没有多级需求,也没有正式的信任级别的系统。特别是,我们的短期研究旨在开发在不严重影响可用性的情况下提高现有系统安全性的方法。我们的目标是探索如何以经济高效和用户友好的方式增加对现有系统的信心。我们的长期研究方向是如何将更好的安全机制集成到通用计算平台中。利用这项研究作为教学机制,我们致力于为我们的学生提供全面和彻底的安全教育。据/p>
操作上,据b>海岸据/b>将在整个大学环境中汇集许多教师的专业知识,提供计算机安全研究的共享资源,并为这一重要地区的研究和教育努力提供统一的方法。它将提供寻求有关计算机和网络安全,计算机犯罪调查和适当计算机使用的可靠信息的内部和外部机构的焦点。据/p>
具体的、长期的目标据b>海岸据/b>就是让它继续存在下去据/p>
- 一个世界公认的卓越研究中心。我们希望以研究实用计算机安全技术的方法而闻名,包括计算机事故响应、系统管理和网络安全技术。我们希望我们的大多数研究是基于社区的真实需求,正如通过与我们的赞助商和一般用户群体的互动传达给我们的那样。据b>海岸据/b>已经在世界范围内广为人知,我们打算建立我们现有的声誉。据/li>
- 著名的计算机和网络安全教育和培训材料来源。我们打算制作用于计算机安全培训的材料,既用于政府和行业的在职培训,也用于学术用途。这包括文本和实验室材料等传统材料,但也可能包括超媒体和远程学习方法中体现的前沿技术。据/li>
- 在电脑及网络安全方面接受尖端训练的优质毕业生源源不断。我们希望我们的本科生和研究生接受广泛和全面的教育,为他们在计算机安全、计算机系统和通信网络工作打下坚实的基础。据/li>
- 研究资源中心。我们打算建立全面的文件,参考,工具,硬件,软件,试验台和其他计算机安全领域所需的其他资源的集合。我们期待成为据b>海岸据/b>研究实验室是一个重要的,广泛可用的资源访问学者,赞助人员,和据b>海岸据/b>研究人员。据/li>
- 独立评估产品的资源中心。我们希望能够对计算机和网络的安全工具提供公正、全面的测试和评估。通过向赞助商、供应商和一般用户群体提供详细的测试结果,我们相信我们将有助于提高信息系统安全的总体状态,并提高总体水平。据/li>
- 一个向非技术团体传播信息的资源中心。媒体和公众非常需要不受商业利益或政府政策影响的信息来源。我们希望继续作为这样的一个来源被了解和咨询。(据b>海岸据/b>在过去的5年里,有关计算机安全和计算机犯罪的人员被引用超过1金博宝正规网址50次,其中包括据i>纽约时报据/i>,据i>《新闻周刊》据/i>,据i>华尔街日报据/i>,据i>NPR电台据/i>,据i>ABC电台据/i>,据i>科学美国人据/i>,据i>科学据/i>等等。)据/li>
- 系统管理和安全性有用工具来源。虽然不是主要的焦点据b>海岸据/b>在美国,我们期望我们将产生新的工具和协议,作为我们研究活动的有用副产品,将广泛适用于整个社区。这据b>海岸据/b>在线的据a name="tex2html31" href="https://www.cs.purdue.edu/coast/hotlist">存档据/a>已被公认为互联网上最大、最全面的安全存储库。据p>
工具书类据/a>
- Abb76据/strong>
- R.P. Abbott等。计算机操作系统的安全分析与改进。国家标准局计算机科学与技术研究所技术报告NBSIR 76-1041, 1976。据p>
- Boa96据/strong>
- 国防科学委员会。信息战(防御)特遣部队报告。政府报告,1996年11月。据p>
- DEN83.据/strong>
- 多萝西·e·r·丹宁。据em>密码和数据安全据/em>.据a name="tex2html32" href="http://aw.com">addison - wesley据/a>,阅读,马,1983年。据p>
- Fle97据/strong>
- m .斑点。初步教职工工资调查。据em>计算研究新闻据/em>,9(1):6-7,1997年1月。据p>
- Spa89a据/strong>
- 尤金·h·清单据/a>.网络蠕虫的分析。C. Ghezzi和J. A. McDermid,编辑,据em>第二届欧洲软件工程会议论文集据/em>,《计算机科学讲义》第387页,第446-468页。据a name="tex2html34" href="http://www.springer.de">斯普林格出版社据/a>, 1989年9月。也可用据a name="tex2html35" href="https://www.cs.purdue.edu/homes/spaf/tech-reps/933.ps">http://www.cs.purdue.edu/homes/spaf/tech-reps/933.ps据/a>.据p>
- Spa89b据/strong>
- 尤金·h·清单据/a>.互联网蠕虫:危机和后果。据em>ACM的通信据/em>, 32(6):678-687, 1989年6月。扩展版本可用如下据a name="tex2html37" href="https://www.cs.purdue.edu/homes/spaf/tech-reps/823.ps">http://www.cs.purdue.edu/homes/spaf/tech-reps/823.ps据/a>.据p>
- 乔伊94据/strong>
- 联合安全委员会。联合委员会的报告。技术报告,美国政府,1994年。据p>
- 林75据/strong>
- 理查德·林德。操作系统渗透。在据em>全国计算机会议据/em>1975年,361-368页。据p>
- Nat85据/strong>
- 国家计算机安全中心。可信计算机系统评估标准。技术报告DOD 5200.28-STD,美国国防部,1985年。据p>
- Nat88据/strong>
- 国家计算机安全中心。可信计算机系统评估标准的计算机安全子系统解释。技术报告NCSC-TG-009,美国国防部,1988年。据p>
- Neu95据/strong>
- 彼得·g·诺伊曼。据em>与计算机相关的风险据/em>.据a name="tex2html38" href="http://aw.com">addison - wesley据/a>, 1995年。据p>
- oacfecs94据/strong>
- 实验计算机科学家学术生涯委员会。据em>实验计算机科学家和工程师的学术生涯据/em>.据a name="tex2html39" href="http://www.nas.edu">国家学院出版社据/a>, 1994年。据p>
- OTA94据/strong>
- 网络环境下的信息安全和隐私。美国技术评估办公室报告,1994年9月。据p>
- Pow95据/strong>
- 理查德的力量。当前和未来的危险。技术报告,据a name="tex2html40" href="http://www.gocsi.com/">计算机安全协会据/a>加州旧金山,1995年。据p>
- Pow96据/strong>
- 理查德的力量。当前和未来的危险。技术报告,据a name="tex2html41" href="http://www.gocsi.com/">计算机安全协会据/a>,加州旧金山,1996年。第二版。据p>
- Sal95.据/strong>
- 彼得·h·萨卢斯。据em>撒网:从阿帕网到INTERNET及其他据/em>.据a name="tex2html42" href="http://aw.com">addison - wesley据/a>,阅读,马,1995。据p>
- SSSC91据/strong>
- 国家研究委员会系统安全研究委员会。据em>危险中的计算机:信息时代的安全计算据/em>.据a name="tex2html43" href="http://www.nas.edu">国家学院出版社据/a>,1991年。据/dd>
- …的资源。据/a>
- 例如,[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Pow95据/a>,据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Pow96据/a>]以及来自响应小组的持续促进咨询据a name="tex2html4" href="https://www.cert.org">证明据/a>协调中心,能源部据a name="tex2html5" href="http://ciac.llnl.gov">CIAC.据/a>,美国宇航局据a name="tex2html6" href="http://nasirc.nasa.gov/NASIRC_home.html">Nasirc.据/a>, DISA据a name="tex2html7" href="http://www.disa.mil">协助据/a>.据pre>
- ...30 cps据/a>
- 字符/秒据pre>
- …前!据/a>
- 出口的。据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Abb76据/a>], [据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">林75据/a>] 和 [据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Neu95据/a>].据pre>
- 形状……据/a>
- 翘曲?据pre>
- ……教员。据/a>
- 这并不是说,基于网络的新礼仪和法律的发展将消除对信息安全专业人员的需要!据pre>
- ...正直。据/a>
- 在冷战时期,标准的军事计算机安全理论可以被解释为允许机密计算机被炸毁,用户被枪杀,周围的建筑物被烧毁,只要其中包含的数据不向敌方特工披露:目前大多数银行都不接受这样的政策,大学或零售机构。据pre>
- ...经验。据/a>
- 例如,我是世界上唯一一个与第一届认可的响应小组在一天中有关的全日制教授;传统学术界没有激励,以发挥这样的作用,因为它不太可能导致出版物或赠款。金博宝更改账户荒谬地,这种情况类似于鼓励医学院的教师在没有见过患者或进行尸检的情况下教学。(据a name="tex2html10" href="https://www.first.org">第一据/a>是国际事件反应和安全团队的国际论坛 - 证书团队网络。)据pre>
- …的方法。据/a>
- 值得注意的是,这四个组织提供了广泛的计算机和网络安全的教育材料。这里给出的专门知识的指示是为了强调重点,而不是描述局限性。据pre>
- …技术。据/a>
- 请参阅本文的附录。据pre>
- 委员会……据/a>
- 在他们的研究中据i>美国的研究博士项目:连续性和变化。据/i>
- 加拿大……。据/a>
- 估计由计算研究协会进行的泰劳省调查;看据tt>据据a href="//www.tumejico.com/irp/congress/1997_hr/#httpcraorg">http://cra.org据/a>>据/tt>.据pre>
- ……公民。据/a>
- 一些非美国公民留在美国工作,后来成为美国永久居民或公民。据pre>
- …恳求)。据/a>
- 对于我的知识,无论有什么资金机制,政府机构的所有资金都因科学内容和目的而受到严格审查。据pre>
- 教授。据/a>
- 根据陶尔比-陶尔比调查[据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">Fle97据/a>在接受调查的131个美国院系中,所有助理教授九个月的平均工资为55,653美元,夏季资助的平均工资为22%。据pre>
- ……。据/a>
- 出口的。据a href="//www.tumejico.com/irp/irp/congress/1997_hr/edu.html">oacfecs94据/a>].据pre>
- 基金据/a>
- 这据em>结合据/em>上一节中的建议可能以每年20美元的价格为20美元。据pre>
- 报告……据/a>
- 该委员会由美国国防部、中央情报局和能源部的人员组成。该委员会的宗旨是评估各机构和美国政府目前的安全状况,并提出需求和方向。据pre>
[电子邮件受保护]据/a>(清单)据br>1997年2月15日16:45:15据/i>