首页 > 智库成果 > 月度快报 > 科技前沿快报 > 2020年 > 第2期

美国NSTC发布新版《联邦网络空间安全研发战略计划》

作者: 2020-03-26 11:27 来源:
放大 缩小

  

  20191210日,美国国家科学技术委员会(NSTC)发布最新版本的《联邦网络空间安全研发战略计划》[1],该计划由国家科学技术委员会所属的网络空间安全与信息保障跨部门工作小组、网络与信息技术研究与发展分委会以及科技企业委员会共同研究完成。

  一、整体情况

  该报告是应2014年奥巴马签署的《网络安全改进法案》的要求,每4年更新一次,旨在指导联邦网络安全研发投入的总体方向。此次发布的2019年版继承了2016年版的基本概念和框架,但也根据近年来的政策进行了调整,提出以下关键更新和新的优先事项:

  1)除了系统和数据的安全外,还必须把网络空间安全对使用计算和通信系统的用户带来的影响考虑在内。

  2)需要相应的框架和方法,使开发人员能够对系统实现全面和实时的维护和管理,以满足安全性、弹性和隐私需求。

  3)适应、反击和弹性是实现有效网络响应所必需的。

  4)需要对人工智能、量子信息科学、可信的分布式数字基础设施、隐私、安全硬件和软件、教育和劳动力发展6个优先领域的网络安全技术进行重点研发。

  二、重点领域

  1、人工智能。研发目标包括:

  1)对不同威胁模型下的决策支持场景进行模拟。在传统网络安全技术之外,探索新的基于人工智能的网络安全技术,并开发人工智能安全技术的自动化编排。

  2)研究人工智能系统的行为,包括与人类互动时的行为,从而使系统更可靠。开发相关技术,提高对人工智能系统所产生结果的溯源。

  3)开发相关的工具和技术,用于理解针对机器学习系统的攻击与防御。改进形式化方法技术,验证机器学习算法在训练和部署时的安全性和可靠性。探索密码方法,确保训练数据的防篡改存储和机器学习的防篡改计算,并在不泄露来源或敏感信息的情况下实现机器学习的数据共享。开发满足语义安全属性的人工智能新功能。研究人工智能应用专用芯片、处理器以及专用设备的潜在漏洞。

  4)开发安全、可信任的模型、定义和指标,用于评估人工智能网络安全系统和基于人工智能的网络安全控制。

  2、量子信息科学研发目标包括:

  1)设计类型安全的量子编程语言。理解量子计算机编程可能存在的意外结果。设计构建分析量子程序的工具。

  2)探索新的理论方法和实验方法,用于诊断和分析硬件的安全特性。研究能够有效测试和评价量子硬件或设备功能正确性的算法和实验技术。

  3)起草抗量子密码标准,制定抗量子密码实施计划和潜在漏洞研究计划。整合经典密码、抗量子密码和量子密码技术。设计、分析和测试量子安全协议。

  4)了解量子技术如何被用于针对经典系统和/或量子系统的攻击。了解针对量子设备及其供应链的安全威胁。设计安全模型,针对量子攻击制定可证安全的对策。

  3、可信的分布式数字基础设施研发目标包括:

  1)开发支持无缝端到端安全的方法和标准,在更大的通用基础设施中实现自组网的安全创建、管理和定制信任域处置。

  2)研发相关技术,解决跨通信基础设施的安全性自主管理。

  3)开发端到端安全和密钥管理功能,使高度安全、资源丰富的节点能够与资源有限的边缘设备和物联网设备交互操作。

  4)开发准确的网络物理系统环境模型,降低其脆弱度,减少事件和故障造成的影响。开发将人类决策与网络安全技术及过程控制技术成功结合的方法和技术。

  4、隐私研发目标包括:

  1)研究能够可靠有效地抽样、度量和表征人们对隐私的需求、期望、态度、看法和兴趣的方法。

  2)设计满足安全性、保密性和隐私性要求的框架。

  3)为分布式分析应用程序开发高效、可靠、灵活的隐私控制机制,可以根据隐私要求和各方的可用资源进行定制。

  4)开发系统评估和量化隐私风险的技术与模型,评估隐私保护的有效性以及隐私风险的变化。

  5)开发模型、技术和评估指标,用于对隐私侵权行为进行纠正和修复。

  5、安全硬件和软件研发目标包括:

  1面向硬件设备开发考虑成本和威胁相关的集成信任根替代方案。

  2)针对逆向工程问题,开发新的流程、技术和机制。

  3)开发验证硬件安全属性的机制和工具。

  4开发安全调试和测试技术。研究敏捷加密,将现有的基于高级加密标准的基础设施转移到后量子密码解决方案。为成本控制严格的安全场合研发混合密码方案。针对代码复用攻击,开发有效的通用解决方案。

  5)研究可实现快速修正和回归的软件开发方法。

  6)开发支持不同代码格式(即专有和开放源代码)、不同应用场景(如企业服务和物联网)、以及不同生命周期阶段的安全更新机制。

  7)深入对软件缺陷率、软件缺陷工作和日历时间,以及软件缺陷与软件漏洞之间关系的经验理解,并基于这种理解,研究范式及支持技术,使得软件开发和维护时不影响其质量、成本或进度,又可保持低缺陷率(每10万行代码的缺陷少于1个)。

  6、教育和人力培养研发目标包括:

  1)加快采用网络安全领域的现代职业分类。

  2)研究培养网络安全人才的创新方法。

  3)研究创新工作的供求情况,帮助预测未来的劳动力需求。

  4)支持体验式学习,使课程与工作需求相适应。

  5加速师生之间的融合研究,解决复杂的科学、工程和社会问题。

  6注重研究教育和培训生态系统如何发展支持创新的跨学科方法。

  徐婧

 

  

 

[1] FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT STRATEGIC PLAN. https://www.nitrd.gov/pubs/Federal-Cybersecurity-RD-Strategic-Plan-2019.pdf

附件: