当前位置:首页 > 研发战略 > 正文

美国2019联邦网络安全研发战略计划解读

2021-02-04 来源:《网络空间安全》作者:张弛 左晓栋
摘   要:2019年12月,美国国家科技委员会发布了2019《联邦网络安全研发战略计划》。该计划从四项防御能力(威慑、保护、检测和响应)和六个优先领域(人工智能、量子信息科学、可信的分布式数字化基础设施、隐私、安全软硬件、教育和人才发展)角度,提出了美国网络安全研发重点方向。文章对该计划进行了分析,为“十四五”国家网络空间安全重点专项提供参考。
关键词:网络安全;研究和发展;战略
1 引言
当前,我国正在研究制定“十四五”国家网络空间安全重点专项实施指南。为了了解其他国家在今后若干年的网络安全研发部署,受国家网络空间安全重点专项专业管理机构委托,本文对美国最新发布的《联邦网络安全研发战略计划》[1]进行了分析,从而为我国相关工作提供参考。
2 有关背景
美国2014年《网络安全增强法》要求国家科技委员会(NSTC)和网络与信息技术研发项目(NITRD)制定、维护一份网络安全研发战略计划,每4年进行更新一次,指导联邦资助网络安全研发的总体方向[2]。
第一版《联邦网络安全研发战略计划》(以下简称《计划》)于2016年2月发布,提出了美国网络安全研发的战略愿景(大幅度地减轻用户任务量并显著提升用户体验;通过威慑遏止大部分恶意行为),主要目标(近期抗衡敌方非对称优势,中期扭转非对称优势,长期形成战略威慑力),并从威慑、防护、检测、适应等四项防御能力角度阐述实施路径[3,4]。
在2016版計划基本概念和战略框架的基础上,NSTC和NITRD总结了网络安全实践经验,考虑未来10年网络安全挑战和研发的需求,并广泛征求各界意见,于2019年12月发布了《联邦网络安全研发战略计划》更新版[5]。
3 战略框架
3.1研发目标
为支持2018年《美国国家网络战略》和《2021财年研发预算优先事项备忘录》优先事项,支撑可信赖的网络空间和有效的网络安全实践愿景,《计划》确定了网络安全研发目标:更好地了解网络安全中的人为因素,提供有效且高效的风险管理,研究有效且高效的方法来威慑和对抗恶意网络活动,研究安全-保障-隐私综合框架和方法论,通过改善系统开发和运行实现可持续安全。
3.2 实施路径
《计划》提出,应将安全视为灵活、持续的过程,自我评估,并随着威胁的演变不断进行基于实证的调整、响应。2016年《计划》以敌方实施网络攻击的“攻击链”为基点部署“防御链”,针对“防御链”中相互依赖的4项防御要素:威慑(Deter)、保护(Protect)、检测(Detect)和适应(Adapt),分别制定了研发目标,综合推进四个方面防御能力,进而提高整体安全水平。2019版《计划》继承了这一框架,并将“适应”进一步扩展为包含适应、对抗、恢复和调整的“响应(Respond)”,如图1所示。
威慑,即通过增加攻击者的成本、减少其收益、提升其风险和不确定性来遏止恶意网络活动。重点方向包括:(1)准确、有效的参与建模技术,在威慑环节,重点是对攻击者的成本、效果和风险建模,并考虑防御者和用户的特征和能力;(2)精准、实时的攻击溯源技术,为制裁、起诉等响应方案奠定基础;(3)鲁棒的调查取证工具,为执法部门提供起诉网络敌手所需的有力证据,同时保护情报来源和获取手段;(4)建立共享攻击溯源信息的有效机制,支持跨国内、国际执法辖区的调查。
保护,即组件、系统、用户和关键基础设施能够有效地抵抗恶意网络活动,并确保保密性、完整性、可用性和可追责性。重点方向包括:(1)减少脆弱性,即通过设计安全、构建安全、验证安全、维护安全、验证真实性等五种基本方法开发缺陷较少的软件、硬件和固件;(2)执行安全原则,即提高用户身份验证的效能和效率,研究物联网和自治系统等受限环境下的身份验证技术;提高访问控制效率,推进细粒度访问控制部署应用;使用加密机制保护数据;研究非基于已知特征的恶意活动识别技术,缓解遗留系统脆弱性。
检测,即高效地检测,甚至预测对手的决策和活动。重点方向包括:(1)态势感知,即开发实时的变化检测技术,掌握复杂系统和网络的动态信息,包括设备的加入和移除、用户属性和异常行为等,并能和已知的良好状态系统进行对比;(2)脆弱性识别,即研发能在系统配置变更、新程序部署或新技术应用的动态环境下实时
分享到:

免责声明:
  1、研发管理评论发布的所有资讯与文章是出于为业界传递更多信息之目的,并不意味着赞同其观点或证实其描述。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请浏览者仅作参考,并请自行核实相关内容。
  2、本站部分内容转载于其他网站和媒体,版权归原作者或原发布媒体所有。如文章涉及版权等问题,请联系本站,我们将在两个工作日内进行删除或修改处理。敬请谅解!

延伸阅读:

RDMR-本站推荐

more

RDMR-会议活动

more

RDMR-公开课

more

RDMR-项目管理

Copyright © 2021 研发管理评论 版权所有 京ICP备17062359号-5 如转载本站文章,请注明原作者和原发布媒体

本着互联网分享精神,本站部分内容转载于其他网站和媒体,如稿件涉及版权等问题,请联系本站进行删除或修改处理

客服电话:010-89506650 89504891 非工作时间可联系:18701278071(微信) QQ在线:511524637

新闻与原创文章投稿:tougao#cpmta.com 客服邮箱:info#cpmta.com(请将#换成@)

研发管理评论——我国最大的研发管理门户网站,隶属卓橡公司

研发管理评论官方微信

PMO大会官方微信

PMO大会官方微信