一个全面的知识体系，为网络安全部门的教育和专业培训提供信息和支持。从今天起，我们详细介绍英国发布网络安全知识体系（CyBOK），在翻译过程中，难免存在诸多舛误和问题，在此献丑请方家多多指正。

网络安全知识体系项目旨在将网络安全与更成熟的科学线从主要国际公认的专家知识，提炼形成知识的网络安全体系，将这一新兴课题提供急需的基础。该项目由英国国家网络安全计划资助，由布里斯托尔大学领导的AWAIS拉希德教授，与其他领先的网络安全专家一起，包括安德鲁·马丁教授，史蒂夫施耐德教授和尤利娅Cherdantseva博士等共同完成。

网络安全正在成为各级教育课程中的一个重要内容。然而，网络安全领域发展的基础知识是零碎的。因此，学生和教育工作者很难通过该学科规划连贯的发展路径。相比之下，数学、物理、化学和生物学等成熟的科学学科已经建立了基础知识和清晰的学习途径。在软件工程中，IEEE软件工程知识体系编纂了关键的基础知识，可在此基础上制定一系列教育计划。在建立网络安全的技能框架、关键主题领域和课程指南方面，过去和现在都有很多努力。然而，对于不同的研究者、教育者和实践者群体所认为的网络安全基础知识，尚未达成共识。

网络安全知识体系（CyBOK）旨在编纂网络安全的基础知识和公认知识。与SWEBOK一样，CyBOK意味着成为知识体系的向导；它编纂的知识已经存在于教科书、学术研究文章、技术报告、白皮书和标准等文献中。因此，我们的重点是绘制已建立的知识，而不是完全复制关于该主题的所有内容。然后，可以在CyBOK的基础上开发从中学和本科教育到研究生和持续专业发展的教育课程。

本导言旨在将CyBOK的21个知识域（KA）纳入一个连贯的总体框架。每个KA假设就网络安全的总体词汇、目标和方法达成了基线协议，在此我们提供了支撑整个知识体系的通用材料。

在介绍知识领域之前，我们首先概述网络安全作为一个主题以及一些基本定义。当然，KAs及其分类不是正交的，而且KAs之间存在大量依赖关系，这些依赖关系是相互参照的，也可以在CyBOK网站上单独捕获。然后，我们将讨论如何利用KAs中的知识来理解网络安全的手段和目标，缓解故障和事件，以及管理风险。

虽然我们必须将CyBOK划分为许多离散的知识领域（KA），但很明显，它们之间存在许多相互关联的关系。对某一领域负有专业责任的人员通常必须至少对相邻主题有适度的掌握；负责设计安全系统的人必须了解很多。有许多统一的原则和交叉主题支持满足特定安全属性的系统的开发。我们通过讨论其中一些内容来结束引言。

CyBOK知识域假设对该领域的一些核心主题有共同的词汇和核心理解。虽然这一知识体系是对现有知识的描述（而不是寻求创新或约束），但显然，在既定概念图中使用广泛共享的术语对整个学科的发展至关重要。由于我们的主要目的是为知识体系提供指南，因此我们将参考其他定义，而不是介绍我们自己的定义。

正如我们的工作定义所示，网络安全已成为一个涵盖性术语：

定义：网络安全是指保护信息系统（硬件、软件和相关基础设施）、其上的数据及其提供的服务不受未经授权的访问、损害或滥用。这包括系统操作员故意造成的伤害，或因未遵守安全程序而意外造成的伤害。

——英国国家网络安全战略

对人类行为的考虑是这一定义的一个关键要素，但可以说仍然没有提到信息丢失或安全性降低对人类行为的影响，或者安全和隐私违规如何影响互联系统和基础设施中的信任。此外，从人为因素的角度来看，安全必须与其他风险和要求相平衡，不需要中断主要任务。

定义：信息安全。保护信息的机密性、完整性和可用性。

此外，还可能涉及其他属性，如真实性、可问责性、不可否认性和可靠性。

——ISO27000定义