美国网络空间安全学科认证体系研究

2016-09-22张宁李晖

网络与信息安全学报 2016年1期

关键词：四年制网络空间网络安全

张宁，李晖

（西安电子科技大学网络与信息安全学院，陕西西安 710071）

美国网络空间安全学科认证体系研究

张宁，李晖

（西安电子科技大学网络与信息安全学院，陕西西安 710071）

介绍了美国国家安全局和国土安全部联合出台的网络空间安全专业认证体系，具体介绍了两个认证类别：一为网络空间防御学科两年制、四年制、研究中心3个类别认证的基本情况，包括认证对象、标准、流程和具体认证操作方法；二为网络空间操作的学科认证的基本情况和简单的认证需求。归纳分析介绍了这两个类别的培养大纲即所要求的知识单元设置，简单分析研究了该学科的认证在美国的发展和现状，以期对我国的网络空间安全学科认证流程、标准和专业培养计划给出借鉴。

网络空间安全；专业认证；培养计划；学科

1　引言

近年来，工程教育专业认证作为保证高等工程教育质量、实现工程教育国际相互认可的重要举措而受到了世界各国的重视。在教育部的发起和组织下，我国于2006年正式开展了工程教育专业认证的试点工作。美国是工程教育专业认证最早的国家，认证制度发展得比较完备和健全。美国认证制度的建立对提高美国工程教育的质量发挥了极其重要的作用，同时也对世界高等工程教育的发展产生了深远的影响。美国的工程教育认证是由美国工程与技术鉴定委员会（ABET, Accreditation Board for Engineering and Technology）提供的。

网络空间安全已成为国家安全的重要组成部分。我国于2015年批准网络空间安全作为一级学科，目前高校已经纷纷开始设立网络空间安全相关的学科专业。而此专业的认证体系还有待发展与完善。美国特别重视网络安全人才的培养，美国国家安全局（NSA,National Security Agency）和国土安全部（DHS,Department of Homeland Security）针对网络空间安全设立了网络空间防御（CAE-CD,national centers of academic excellence in cyber defense）[1]和网络空间操作（CAE-CO, national centers of academic excellence in cyber operation）学术优秀计划[2]，即专业认证计划。

CAE-CD项目的目的是通过推进网络空间防御高等教育和研究以及培养更多在网络空间防御方向学有专长的专业人才，降低美国全国信息基础建设的安全隐患。

CAE-CO是美国网络安全教育国家行动（ NICE,national initiative for cyber security education）的一部分，目的是建设“数字国家”并且扩大能够支撑国家网络安全的技术人才池，为教育机构提供一个与计算机科学（CS,computer science）、计算机工程（CE,computer engineering）、电子工程（EE,electronic engineering）相关，基于大量的实践和实验操作教育的跨学科专业。CAE-CO项目是CAE-CD项目的有效补充，强调网络空间操作技术（信息搜集、漏洞挖掘、应急响应等），旨在提高国家在网络安全方面的地位。这些技术主要用于美国的情报、军事、执法机构执行特殊的任务。

这两个认证项目规定了从事网络空间防御和操作人才培养所需要具备的基本条件、培养计划的基本知识单元。美国的教育机构符合要求都可以申请认证，由NSA和DHS设置专门的机构进行认证以保证学术机构确实达到了认证的要求，对申请认证的学术机构设定了严格的学术与科研要求，以保障人才培养的质量，专业认证的有效期为2~5年不等。

2CAE-CD项目简介

2.1CAE-CD项目背景

CAE-CD项目起源于信息保障学术卓越计划（ CAE-IAE,CAE in information assurance education)，是于1998年由NSA发起的，DHS于 2004年加入。CAE-IAE研究中心认证项目于2008年开始，旨在鼓励大学和学生们在网络安全方向向博士学位标准的研究努力。2010年，CAE两年制信息保障教育认证计划开始授予两年制的研究中心、技术学校、政府培训机构等。目前，这3项认证项目统称为CAE-CD项目，包含3个项目的认证：四年制学士/硕士教育（CAE-CD)、两年制预科教育（CEA-CD2Y）和研究中心项目（CAE-CER）。

该项目预期显著地促进了网络空间防御知识以及实践的进步与发展。各机构通过CAE申请网站提交申请，申请时间为每年9月中旬到1月中旬，申请一旦接受评估会第一时间通知被评审院系，并给出相应反馈。官方的认证结果在6月正式公布。申请不通过的当年不得再次申请。来自NSA、DHS以及其他政府、学术和产业合作者的资深网络空间防御从业人员以及学科专家会对申请进行审核。认证的最后一个步骤是现场评估，评估重点包括课程内容、课程相关性、实验室设施以及教师参与度等。申请认证的新机构将经过至少3次独立审核。再认证的机构将接受至少两次独立审核。不符合要求的机构会在公告日收到审核报告。未通过的申请会立即向机构返回审核报告。

成功申请的机构将会被认证为全国网络空间防御优秀人才教育中心，持续5个学年，届时各机构必须重新申请再认证以保留其专业资质。CAE-CD项目将逐年持续更新并加强衡量标准（包括知识单元和重点领域等）以确保其跟上不断发展的网络空间防御形势。

2.2CAE CD项目认证标准

2.2.1CAE-CD项目两年制教育/四年制教育/研究所认证

下面以列表的形式给出CAE-CD项目中两年制教育/四年制教育/研究所认证的目标、开放对象和基本要求。具体内容如表1所示，其中CD（cyber defence）代表网络防御。

2.2.2认证信息简表

CAE-CD教育项目的认证以打分的形式进行，其中四年制教育项目的认证信息最为全面，两年制是四年制的缩简版，限于篇幅，仅给出四年制教育的认证信息的简表，如表2所示。

CAE-CD研究项目的认证是在“有和无”之间评价，基本要求满足CAE-CD四年制教育的认证标准，重点评价出版物和研究论文的同行评议、毕业学生的人数和质量、基金项目、对学生学习科目要求盲审。

3　CAE-CO项目背景与简介

CAE-CO项目于2012年正式运行，是NICE框架的一部分，也是CAE-CD项目的补充，CAE-CO认证面向四年制本科和研究生院校对应专业进行认证，要求必须是建立在CS、EE 或CE专业的院系，或拥有同等技术水平的专业的院系，或在两个或两个以上的专业之间有所协作的院系。认证评估标准和要求也会随着项目的逐步成熟，技术的进步和网络空间技术的发展情况不断修改，具体如表3所示。表3中CO（cyber operation）代表网络操作。

表3中的10项要求均为强制的，其中第1项和第3项要求经过ABET工程认证，可以说CAE-CO是专业认证之上的专业认证，对于各项的详细说明参见文献[4]。

申请时间是当年11月15日到次年1月15日，3月和4月是入校评估，结果公示时间为5 月15日，正式公布时间为6月。该认证每5年进行一次，要求主要提供学科发展的情况，所有的CAE-CO认证机构每年必须完成提交年度报告，报告中必须明确说明本专业年度的学术活动、亮点和突出成就，以及任何专业变化（包括培养大纲修订和教师变动等）。

4　课程设置基本要求

4.1CAE-CD课程设置

CAE-CD项目的核心知识单元和原信息保障计划中的知识单元矩阵吻合，表4列出了不同项目要求的各个知识单元。其中，课程大纲/先修课程/先修学位/学生作业/课程模式/课程模块/证书（比如CCNA）均可说明覆盖知识单元，一门课程可以覆盖多个知识单元。

表1　CAE-CD项目两年制教育/四年制教育/研究所认证基本情况

表2　CAE-CD四年项目认证信息

表3　CAE-CO项目认证标准

表4　CAE-CD知识单元

表5　CAE-CD研究中心重点研究领域

对于以上这些课程，NSA和DHS都给出了详细的大纲，说明了学生学习后应该具备的能力，并说明了需要的作业的形式（包括项目，实践等）。详见文献[4]。关于这些课程与原NICE计划中规定的课程的对应也有详细的矩阵说明，详见文献[4]。CAE-CDR项目规定了网络防御重点研究领域，如表5所示。

4.2CAE-CO课程设置

CAE-CO项目规定了10门必修课程、18门选修课程，其中必选课程10门以上，课程大致说明如表6所示。

5　现阶段美国高校的CAE-CD项目和CAE-CO项目的认证情况

5.1CAE-CD项目

截至目前（2016年1月）共计160个高校和研究机构列入CAE-CD项目，其中CAE-R 61个，CAE-CD 105个，CAE-2Y 26个，部分知名院校包括普林斯顿大学、卡耐基梅隆大学、马里兰大学、约翰·霍普金斯大学、加州大学戴维斯分校、普度大学、华盛顿大学、南加州大学、宾夕法尼亚大学等。基本年限为5年，从2014年至2021年。详见文献[5]。

5.2CAE-CO项目

CAE-CO项目的认证学校共计14个，在这14个学校中，空军技术研究所、海军研究所、西点军校均为军事院校，其他大学均为百强大学，其中卡耐基梅隆大学是NSA网络安全专业合作高校，详见文献[6]。

6　结束语

本文简单总结了美国NSA和DHS给出的两个大项CAE-CD项目和CAE-CO项目的认证体系，值得一提的是，美国的工程教育专业认证是由ABET组织主持进行的，但网络空间安全学科的认证是由国家机构NSA和DHS联合主持的。在我国网络空间安全学科刚被设立为一级学科的形势下，各个高校和教育机构争相开设了网络空间安全专业，专业认证势在必行，如何有效进行认证，有效通过认证推进我国的网络安全学科发展是一项亟需推进的工作，希望本文对美国网络安全专业认证情况的研究能对我国的网络安全专业认证给出一些思路。

表6　CAE-CO知识单元

[1]National centers of academic excellence-cyber defense[EB/OL].(2015-07-06).https://www.nsa.gov/academia/ncae-cd/index.shtml.

[2]National centers of academic excellence-cyber defense[EB/OL].(2012-06-10).https://www.nsa.gov/academia/nat_cae_cyber_ops/ index.shtml.

[3]Criteria formeasurementforCAS/cyberoperations[EB/OL].(2012-06-10).https://www.nsa.gov/academia/nat_cae_cyber_ops/ nat_cae_co_criteria.shtml.

[4]CAE requirements and resources[EB/OL].https://www.iad.gov/ NIETP/CAERequirements.cfm.

[5]NSA/DHS national CAS in cyber defense designated institutions[EB/OL].https://www.iad.gov/nietp/reports/cae_designat ed_institutions.cfm.

[6]List of centers of academic excellence in cyber operations[EB/OL].(2012-06-08).https://www.nsa.gov/academia/nat_cae_cyber_ops/ nat_cae_co_centers.shtml.

Study on designation of cyber information assurance education in USA

ZHANG Ning,LI Hui

(School of Cyber Engineering,Xidian University,Xi’an 710071,China)

National centers of academic excellence-cyber defense and cyber operation programs sponsored by NSA and DHS in USA were introduced and analyzed.The basic criteria and procedure of national centers of academic excellence-cyber defense with three programs,2 years/4 years education and research center were introduced,as well as the national centers of academic excellence-cyber operation with the basic criteria.The Curriculum i.e.knowledge units were analyzed in detail.The development and current situation of the designations were investigated.Hopefully the study would be helpful to improve the accretion of the discipline of cyber security in our country.

cyber security,accreditation,curriculum,discipline

Project of Cyber Security Talent Cultivation Based on Office of Central Leading Group for CyberspaceAffairs

G643.0

10.11959/j.issn.2096-109x.2016.00018

2016-01-02；

2016-01-08。通信作者：张宁，zhangningxd@gmail.com

中央网信办网络安全人才培养试点基地建设基金资助项目