清研智库:哪些是美国网络安全研究与发展战略的优先事项?
信息技术(IT)为社会提供了特殊的利益。然而,社会越依赖它,对手通过恶意网络活动可能造成的破坏就越大。迫切需要在网络安全方面取得进展,通过挫败对手和加强公众对网络系统的信任,维护互联网的社会和经济效益以及国家及其商业和公共基础设施的安全。
19年12月10日,美国白宫科技政策办公室(White HouseOffice of Science and Technology Policy)发布了《联邦网络安全研究与发展战略计划》。
该计划确定了以下网络安全研发目标:了解网络安全的人的方面、提供有效和高效的风险管理、制定有效和高效的方法,阻止和打击恶意网络活动、制定综合安全保障隐私框架和方法、改善系统开发和运行,以实现可持续安全。
为实现安全网络空间的目标,该计划继承了2016年联邦网络安全研发战略计划的基本理念,包括四个相互依存的防御能力框架:阻止、保护、检测、回应。
推进美国2018年国家网络战略的重点和目标,美国以及政府的2021财政年度研究和发展预算优先事项备忘录,该计划概述了以下优先领域的研究目标:人工智能、量子信息科学、可信的分布式数字基础设施、隐私、软件和硬件安全、教育和劳动力发展。
该计划最后确定了联邦政府、工业界和学术界在网络安全研发中的角色,并提出了支持活动的建议。实施这项计划和这些建议将为网络安全创造科学和技术,高效地维持一个值得信赖的网络空间,以支持国家的繁荣和安全,直至未来。
优先事项
信息技术继续融入现代生活的方方面面。21世纪的新兴技术,如高速移动网络和智能城市,承诺网络空间将继续为社会提供特殊利益。然而,社会越依赖它,对手通过恶意网络活动可能造成的破坏就越大。如今,美国的知识产权正在被盗,关键的基础设施处于危险之中,商业和政府计算机系统正在受到损害,消费者担心自己的隐私。按照目前的部署,互联网使公共和私营部门与网络罪犯和其他恶意对手相比处于不利地位。迫切需要在网络安全方面取得进展,为网络系统和专业人员建立一个有保障和信任的地位,以维护互联网的社会和经济利益。联邦政府的战略性研发投资可以促进网络安全的发展,有助于网络空间的安全,并最终加强美国经济。
2018年9月,美国发布了《美国国家网络战略》,概述了政府将,“(1)通过保护网络、系统、功能和数据来保卫祖国;(2)通过培育安全、繁荣的数字经济和促进强大的国内创新来促进美国的繁荣;(3)通过加强美国与盟国和伙伴的协作能力来维护和平与安全,以阻止并在必要时惩罚那些出于恶意目的使用网络工具的人;以及(4)扩大美国在海外的影响力。”
以扩展开放、互操作、可靠的关键原则,通过其国家网络战略和2021财年研发预算优先事项备忘录,本届政府确定了以下领域作为网络安全和相关研发的优先事项:
•保持由新计算和技术范式产生的先进网络能力所支持的军事优势。
•改善国家关键基础设施的安全和恢复能力。
•保持在人工智能(AI)和量子信息科学(QIS)领域的领导地位,推进安全的计算基础设施和生态系统。
•开发先进的通信网络和研发,以保护网络和管理无线频谱。
•在半导体设计领域保持领先地位,包括确保获得先进微电子技术。
•优先考虑为广大美国学生和工人提供科学、技术、工程、数学和计算机科学教育和就业机会的举措。
为支持这些优先事项,2019年联邦网络安全研发战略计划为开展或赞助网络安全研发的联邦机构提供指导并确定优先事项。该计划更新了2014年《网络安全增强法》要求的2016年联邦网络安全研发战略计划。这项法律要求国家科学技术委员会(NSTC)和网络和信息技术研究开发(NITRD)计划每四年开发、维护和更新一次网络安全研发战略计划,以指导联邦资助的网络安全研发的总体方向。
基本概念和框架
这项计划是在白宫科技政策办公室的领导下,由NSTC和NITRD项目的主题专家组成的工作组制定的。该工作组还通过NITRD发布了一份联邦信息请求,为工业界、学术界和公众提供一个投入该计划的机会。对这一信息请求的答复张贴在NITRD网站上。
2019年计划继承了2016年联邦网络安全研发战略计划的基本概念和框架:
•有效的网络安全需要建立在四个防御要素基础上的成熟能力:威慑、保护、侦测和应对(这以前是适应的;但是,应对是一种包括适应在内的更全面的方法)。
•需要科学和技术进步,通过积极主动的风险管理,通过可持续的安全系统开发和运行,以及通过有效和高效的威慑恶意网络活动,对抗对手在网络空间的不对称优势。
•需要大力关注以证据为导向的网络安全科技;需要有效和高效的证据来指导网络安全研发和改进网络安全做法。
·以下领域的进展对成功的网络安全研发至关重要:人的方面、研究基础设施、风险管理、科学基础和向实践的过渡。
关键更新和新的优先事项
2019年计划提出了以下关键更新和新的优先事项:
•受计算机和通信系统影响的用户必须包括在除系统和数据外,还需要受到网络安全保护的领域。
•需要框架和方法,使开发人员能够全面、同时地分析和管理安全、弹性和隐私要求。
•需要有效的适应、对抗和恢复能力,才能产生有效的应对能力。
•在这些优先领域的网络安全方面需要有重点和协调的研发投资:人工智能、量子信息科学、可信赖的分布式数字基础设施、隐私、安全的硬件和软件、教育和劳动力发展。
网络安全研发是一项共同的责任,对政府、行业和学术界都具有重要作用。政府资助长期、高风险的研究,执行特定任务的研发。行业资助短期研究,并将成功的研究转化为商业产品。本文件通过与行业和学术界的互动,为政府机构和美国研发企业开展的联邦资助研发制定了研究议程。
清研智库李梓涵编译
(未完待续)