信息安全在美国是什么专业?
安全相关专业的划分比较有趣,不同的学校有不同的分类。有的把安全分到了CS系下(即CS@SEC),而其他的专业诸如EE/ECE等自然也有自己的security方向。还有少数学校的少数专业是没有划分安全的,比如NEU的IEOR和TUD的MSE。 在美国的研究生阶段学习安全相关专业,选择学校的时候还是尽量选有CS@SEC的学校,因为无论教学思路还是学生基础,这类学校会更接近国内对“计算机安全”的认识。 这里要提到一个NIST的安全框架(The Security Framework for Information Technology Systems),这个框架被美国很多政府机构和公司采用,用来指导网络安全领域的标准化工作。该框架将信息系统安全建设分为5个层次,如图1所示。 图中分别用A到E表示这五个层次,每个层次包含若干项。在建立信息系统时,应该自顶层开始,逐层建设直到达到要求的标准。
图1 NIST的安全框架 在讨论安全问题时,美国学者往往使用“threat”(威胁)这个词来指代所谓的“黑客”。根据以上框架,我们不妨给黑客攻击下个定义: 用非正常手段访问系统/违反安全性限制获取不该取得的信息 。这样定义的优势在于能将漏洞利用、病毒木马、入侵破坏等攻击方式都涵盖在里面。而且对于系统设计者来说,可以从框架的顶层开始思考,如何使自己的系统满足用户需求同时又不容易受到攻击。这对于保护信息技术的安全具有重要的指导意义。