执行摘要
计算机和计算机网络为现代社会带来重大利益,但是恶意网络活动和网络安全的成本日益增加,降低了收益。网络安全方面迫切需要进步,通过击败攻击者和加强公众对网络系统的信任,维护互联网日益增长的社会和经济效益。
2014年12月18日,总统签署了“Cybersecurity Enhancement Act of 2014.”。该法要求国家科技理事会(NSTC)和网络与信息技术研究与开发(NITRD)计划,开发和维护网络安全研究和发展(R&D)战略计划(以下简称“计划”),使用风险评估来指导联邦资助网络安全研发的总体方向。本计划满足要求,为联邦企业R&D的网络安全科技(S&T)的发展提供了保障。
本战略计划是2011年12月计划(值得信赖的网络空间:联邦网络安全研究与开发计划的战略计划)的更新并扩展。
2011年计划为联邦机构确定了一系列相互关联的突破性目标,在网络安全方面进行或赞助研发。该计划考虑并扩大了2011年计划的优先事项,着重考虑实验验证的研发。网络安全功能和效率的证据,如正式证明和测量,推动了网络安全研发方面的进步,并改进了网络安全实践。
四个假设是这个计划的基础:
对手。只要对手认为潜在的结果超过了他们的付出,他们就将进行恶意的网络活动。
防御者。维权者必须以有限的资源、面临不断发展的技术和威胁情景,来阻止越来越多的恶意网络活动。
用户 – 合法的个人和企业,将无视他们认为无关紧要,无效,低效或过度繁重的网络安全实践。
技术。随着物理和网络世界互相连接,两个世界的风险和收益相互关联了。
本计划确定了三个研究和发展目标,提供必要的科学、工程、数学和技术,以改进网络安全。所需的科学和工程进步是社会技术性的,并且在一段时间内从基础到应用:
近期目标(1-3年)。实现S&T进步,通过有效,高效的风险管理来对抗对手的不对称优势。
中期目标(3-7年)。通过持续安全的系统开发和运营,实现S&T进步,扭转对手的不对称优势。
长期目标(7-15年)。实现S&T进步,有效和高效地威慑恶意网络活动,对攻击行为进行归因。
近期目标着重于发展和改进现有科学,中期和长期目标需要改进和改进现有科学和基础研究,这些研究有潜力识别出转变新方法来解决超越目前的问题研究领域。
为实现这些目标,本计划重点发展S&T,以支撑四个防御性要素:
威慑。有效地遏制恶意网络活动的能力,通过增加对手进行攻击的成本、减小破坏,增加攻击的风险和不确定性。
保护。组件、系统、用户和关键基础设施能力,有效抵御恶意网络活动并确保机密性,完整性,可用性和问责制。
检测。能力有效地发现甚至预测对手的决策和活动,考虑到完美的安全是不可能的,应假定系统容易受到恶意网络活动的攻击。
适应。防御者、防御机构和基础设施能够根据恶意网络活动动态调整,有效地响应破坏,从损害中恢复,确保操作运行,以及调整阻止类似的未来攻击活动。
在描述每个要素和相关研究挑战之后,该计划确定了在近,中期和长期各个要素中实现的研究目标。尽管某些目标在云计算或物联网(IoT)等特定环境中最为有意义,但这些要素适用于整个网络空间。
本计划确定了对网络安全成功研发至关重要的六个领域:
(1)科学基础;
(2)加强风险管理;
(3)人的方面;
(4)将成功的研究转化为实践使用;
(5)人才培养;
(6)加强研究基础设施。
本计划在结尾提出五项建议:
建议1.优先考虑联邦网络安全研发的基础和长期研究。
建议2.降低门槛,加强激励,鼓励公共和私营组织参与网络安全研发。
建议3.评估门槛,并确定奖励措施,以加速验证的有效和高效的网络安全研究成果,转化为采用的技术,特别是新兴技术和威胁。
建议4.扩大网络安全研究社区的专业知识的多样性。
建议5.扩大网络安全工作场所的多样性。
实施计划和这些建议将为网络安全提供S&T,有效和高效地保卫网络空间,并发展更安全的互联网。
一、介绍
现代的计算时代至今不过70年,1946年公布的ENIAC首次用于计算火炮发射台。23年后迎来互联网时代,最初的两个ARPANET节点出现在1969年。1993年,出现了浏览器。在接下来的十年中,社交媒体的爆炸使得网络空间成为社会结构的重要组成部分,并加快了智能移动设备使用,智能移动设备几乎可以提供随时随地的互联网接入。计算和网络支撑着关键的基础设施,形成现代军事系统的支柱。今天,信息技术(IT)几乎融入了现代生活的各个方面,21世纪的新兴技术,如物联网和智慧城市,承诺网络空间将给社会带来卓越的价值。
计算机出现才70年,网络安全是一个更年轻领域。早期计算使用存放在数据中心的大型系统,可以由警卫,枪支和门保护。互联网打破了许多物理边界,互联网用户早期只在学术界和政府实验室中的几个可信人员,因此安全性不是重大问题。
1988年,Morris
Worm使互联网陷入停顿,网络安全的意义变得重要。虽然互联网今天比1988年更强壮,网络威胁也在增加。今天,美国知识产权被盗,关键基础设施面临风险,商业和政府计算机系统遭到黑客入侵,消费者担心其隐私,公共和私营部门处于网络罪犯和其他恶意对手的威胁。越来越多的社会依赖于IT,攻击者可能会通过恶意的网络活动造成潜在的破坏。
目前的收益和风险的轨迹是不可持续的。最近的一份报告显示,最早在2030年,网络安全成本可能会超过收益。正如刹车能够以更高的速度安全驾驶一样,网络安全是实现经济增长和网络空间更快创新的基础。网络安全的进步对保持互联网的社会和经济效来说是非常需要的。正如联邦资助的研究和开发(R&D)对于ENIAC,ARPANET和互联网web的发展至关重要,联邦研发投资战略可以有助于这些网络安全方面的进步,并保护其所创造的好处。
2014年12月18日,总统签署了“Cybersecurity Enhancement Act of 2014.”。该法要求国家科技理事会(NSTC)和网络与信息技术研究与开发(NITRD)计划,开发和维护网络安全研究和发展(R&D)战略计划(以下简称“计划”),使用风险评估来指导联邦资助网络安全研发的总体方向。。本计划由白宫科技政策办公室(OSTP)领导的NITRD计划和NSTC的专家制定。
该计划要求强调以证据为导向(evidence-driven)的科技支撑网络安全。有效性和效率的证据不仅指导网络安全研发进程,而且还要更好地改变网络安全实践。
网络安全是共同的责任。私营部门,政府和学术界都有网络安全研发的角色。政府负责对长期、高风险的研究和特定的研发任务提供资助。学术机构和研究机构从事高风险研究。私营部门负责资助短期研究项目,并将成功的研究成果转换为商业产品。本文件阐述了由政府机构资助研发的研究议程。
本文档中概述的研发战略是依据当前事件,最近的行政命令(EOs),总统咨询委员会的报告和其他国家政策。
总统认识到美国对技术依赖的危险性,并确定了国家关键基础设施的网络安全作为2013年的紧迫优先事项,发布EO 13636,改进关键基础设施网络安全,签署了总统政策指令(PPD),关键基础设施安全和恢复能力。网络安全也是National Preparedness Goal之一,并在PPD 8“国家准备”中得到强调,其中指出了五个任务领域,以加强抵御能力,抵御风险和威胁。
2013年,总统科技顾问委员会(PCAST)发布了“Immediate Opportunities for Improving Cybersecurity.”报告。该报告的主要成果之一反映了IT基础的脆弱性:
未来架构将需要这个前提开始,系统的每个部分设计为可在恶劣环境中运行。需要进行研究具有动态实时防御功能的系统,以补充传统的方法,如防火墙和病毒扫描等。
在2015年的NITRD计划回顾中,PCAST进一步指出了IT的脆弱性,建议广泛的基础研究和更多应用投资调查:
…促进可信系统的端到端建设,特别是新兴应用领域,在研究预防和防御攻击的方法路上,不仅涉及计算机科学,还涉及其他纪律行为和社会科学。
另一个主题是网络安全作为隐私推动者的角色。如何使用分类情报行为和个人信息,在国家安全和网络安全的背景下,针对隐私和保密性进行了广泛的国家讨论。
2013年1月份的PCAST
NITRD计划报告将隐私和保护性披露视为一个跨领域的主题,“对于每个机构和使命来说都是重要的,因为大量关于个人的不同信息可以以在线电子形式获得。”
2013年PCAST网络安全报告的另一个重要发现涉及信息共享:
为了提高实时响应的能力,网络威胁数据需要在私营部门之间更广泛地共享,在适当的情况下,了解私营部门实体与政府之间接口。
PPD-21中还强调了关键基础设施信息共享的重要性,政府当局鼓励立法举措来处理其他部门的信息共享。
认证(Authentication)是最近政策的主题。
2011年“网络空间可信身份国家战略”(NSTIC)强调了敏感在线交易的隐私重要性、安全性和认证,联邦信息处理标准201-2为联邦雇员制定了通用认证标准。
2013年,EO
13681“提高消费者金融交易安全”确认了强认证,作为消费者保护的基础工具。涉及物联网的政策举措,如国家安全电信咨询委员会(NSTAC)2014年11月报道NSTAC在物联网上向总统报告,已经展示了对网络设备的更安全认证的需求。
本战略计划来源于上述事件和政策声明。它所提出的战略研发投资组合将增加IT网络安全措施的广度和稳健性,并将支持重点。随着对威胁,挑战和解决方案的了解,以及新政策的实施,本计划中制定的框架和优先事项将不断发展。
本文件介绍了计划的核心部分,分为五个部分。
第一部分“战略框架”提供了愿景声明、挑战、建立的网络安全要素以及关键依赖。
第二部分“防御要素”将依次对每个防御要素的研发挑战及其各自的近、中、长期目标进行扩展。
第三部分,新兴技术和应用,将这些要素与诸如IOT等新兴技术领域相关联,并提供特定技术研究优先的例子。
第四部分,关键依赖关系,详细阐述了六个交叉问题的挑战和目标。
第五部分“计划的实施”概述了联邦机构,私营部门,大学和其他研究机构的作用和责任。还确定了政府内部和私营部门之间的协调机制。
二、战略框架
网络安全研发战略计划是基于对当前和未来风险环境的分析。本战略的重点是通过发展科技来减小恶意网络活动,支持四种防御性因素
– 震慑(Deter),保护(Protect),检测(Detect)和适应(Adapt) –
使用社会技术方法。本策略是通过基于证据的评估和衡量网络安全解决方案的有效性和效率来驱动的。如果达到预期的安全性,它们是有效的;当测量的收益大于成本时,它们是有效的。这些标准指导了从进化和变革创新中寻求不断改进的解决方案。
本部分基于现有和新兴的网络安全风险、潜在假设以及科技挑战,提出了一个分析框架。框架然后定义了防御要素(defensive elements)和关键依赖区域(areas of critical dependencies)。
风险
本计划考虑到目前存在的网络安全威胁和未来十年可能出现的网络安全威胁。目前的信息系统和基础设施被用于日益重要的任务,例如控制关键基础设施,但众所周知的是,漏洞容易发现,但难以修补。修补费用往往很高,特别是大规模。新的系统和基础设施由相同的存在缺陷的开发过程开发的,引入了下一代的漏洞。同时,互联网和网络空间在价值,复杂性,多样性和规模上都在持续增长,甚至传统的企业也越来越变成信息技术密集型。网络空间的技术脆弱性是固有属性,以及易于利用的人类弱点,导致在线和离线的社会工程操作,如网络钓鱼。许多安全机制和程序通常是不可靠的或需要大量资源来实施。人力资源受到网络安全人员规模,多样性,能力和敏捷性的日益扩大差距的制约。
对手包括国家行为者和非国家行为者;他们的技能和能力涵盖范围广泛,从使用简单工具的业余黑客到具有高度复杂技术的人员。他们的动机差异很大,使用资源达到攻击目的。攻击者抓住机会轻松获益,将继续进行恶意网络活动,攻击的复杂性将继续增长。
鉴于这些风险,本计划制定了四个关键假设:
对手。只要对手认为潜在的结果超过了他们的付出,他们就将进行恶意的网络活动。
防御者。维权者必须以有限的资源、面临不断发展的技术和威胁情景,来阻止越来越多的恶意网络活动。
用户 – 合法的个人和企业,将无视他们认为无关紧要,无效,低效或过度繁重的网络安全实践。
技术。随着物理和网络世界互相连接,两个世界的风险和收益相互关联了。
挑战
根本的研究挑战是如何使网络安全负担少,同时提供更有效的防御。本计划旨在改进现有技术和实践,以促进安全系统,同时发现和应用创新,提供更易于使用,有效性和可扩展性,同时需要较少的成本,人力投入以及部署和运营更方便。通过这种方式,用户将获得IT的优势,提高生产率,加快创新,减少风险。
实现该计划需要有网络安全功能和效率的证据,研发社区需要建立和实现可衡量的网络安全目标。要求有效性和效率的证据,与创建网络安全的量化措施不同。基于证据的方法需要大量工作来回答诸如什么是可以测量的内容,可以收集哪些数据,甚至网络安全环境中的评估性质。基于证据的网络安全方法对于确定真正改变游戏规则的创新至关重要,并且是进化方法中有意义的反馈和循环的基础。证据需要适用于网络安全社会技术解决方案的所有研发中。
对于网络安全研究人员来说,重要的是考虑和记录新的网络安全技术和机制的隐私影响,以确保隐私风险在任何新的开始和整个生命周期中被识别和缓解。如果没有网络安全的机密性、访问控制和身份验证机制,隐私权就不可能存在,而不认真实施的网络安全控制可能会对隐私产生负面影响。
同样,旨在实施网络安全的政策可能与需要提供持续运营的安全关键系统(如空中交通管制,飞行控制系统,炼油厂、电网和医疗器械)相冲突。在许多情况下,完整性和可用性是主要属性。以安全为重点的政策中,可能优先考虑机密性或完整性。必须配备系统开发框架,以权衡安全(security)和安全(safety)。由于具有分布式控制权限的物联网系统变得普遍,管理难度将会增加。这突出表明,需要网络安全人员部,根据证据以及对手的策略,技术和程序的情报,不断评估和适应不断演变的网络威胁形势。
愿景
如果本计划取得成功,网络安全研究,开发和运营社区将迅速设计,开发,部署和运行有效的新型网络安全技术和服务,用户的网络安全任务将更少少,易于完成。在这种环境下,许多攻击者将被震慑,而选择继续攻击的对手将会失败或不会影响用户或组织的使命。
要使得网络安全性负担更小和更有效是挑战,重要意识到,当缺乏措施时,对手将利用优势。对于网络对手,识别漏洞并开发利用漏洞的方法比为修补漏洞的生命周期更快,这是非对称优势(asymmetric
advantage)的典型例子:如今,防御者比攻击者需要更多的努力、资源。这种不对称性必须相反。
与愿景一致,确保新技术和应用及时有效地实施,以便安全措施跟上对手所采用的新兴战术,技术和程序。作为愿景的一部分,该计划在整个研发生命周期(研究,开发,测试,评估和应用)进行资助,它的目标是确定高成功概率,减小关键系统的差距,并促进快速向潜在用户提供研究成果,包括传播最佳实践。了解防御者、用户和对手的角色是网络安全的一个重要方面,特别是在大型IT密集型企业和生态系统中。该计划假设研究界、联邦政府,行业和最终用户之间的伙伴关系,避免不必要地重复努力。
随着对技术解决方案的投资,该计划突出了投资于网络员工的重要性。实现愿景将需要多样化的网络专业人员,他们可以设计,开发和实施适当的网络安全措施,以及评估和管理风险。
目标
该计划确定了三个研发目标,以提供必要的科学,工程,数学和技术,以改进网络安全。近期目标为个别组织提供科技支持。中期目标适用于跨组织。长期目标适用于整个网络生态系统。
近期目标(1-3年)。实现科技进步,通过有效,高效的风险管理来对抗对手的不对称优势。
为了实现这一点,组织需要对网络空间中的漏洞和威胁的范围有一个很好的了解。这涉及基于证据的风险管理,这是识别,评估和应对风险的过程,包括制定有效和可衡量的控制。组织必须获得这些控制的有效性和效率的证据,并考虑用户,开发人员,运营商,维权者和对手的人员方面。实现这一目标将增强对恶意网络活动的有效措施的理解,从而降低其可能性和整体网络安全风险。
中期目标(3-7年)。通过持续安全的系统开发和运营,实现科技进步,扭转对手的不对称优势。
这个目标是双管齐下:首先,设计和实施高度抗恶意网络活动的软件,固件和硬件(例如,常见的软件缺陷);第二,制定有效,可衡量的技术和非技术性安全控制,考虑人的行为以及与网络空间有关的经济驱动因素的(例如,系统违规往往是由于不知情的用户的意外行为)。组织必须将防御的有效性和效率提高几个数量级,而不会对用户造成不必要的负担,使恶意网络活动更加困难,并减少此类活动的回报。
长期目标(7-15年)。实现科技进步,有效和高效地威慑恶意网络活动,发现攻击行为。
威慑是通过增加成本,降低收益和增加对手风险来阻止恶意网络活动的能力。中期目标为增加恶意网络活动所需的对手努力和减少这些活动的收益奠定了基础。衡量所需的努力和恶意活动的可能结果对于了解拒绝有效阻止此类活动的程度至关重要。
攻击行为准确归因,这可能是困难的,因为网络空间中的个人行为的起源容易伪装,可靠的恶意网络活动证据并不总是能及时得到。取证能力,可以在一定的时间范围内确定犯罪者,大大增加发现攻击者的可能性,并承担后果,这些会使攻击者放弃恶意活动。
期望的防御要素
为实现这些目标,本计划重点发展S&T,以支撑四个防御性要素:
威慑。有效地遏制恶意网络活动的能力,通过增加对手进行攻击的成本、减小破坏,增加攻击的风险和不确定性。
保护。组件、系统、用户和关键基础设施能力,有效抵御恶意网络活动并确保机密性,完整性,可用性和问责制。
检测。能力有效地发现甚至预测对手的决策和活动,考虑到完美的安全是不可能的,应假定系统容易受到恶意网络活动的攻击。
适应。防御者、防御机构和基础设施能够根据恶意网络活动动态调整,有效地响应破坏,从损害中恢复,确保操作运行,以及调整阻止类似的未来攻击活动。
这四个要素与NIST改进关键基础设施网络安全框架的五个核心功能相似,但不完全相同。本计划旨在指导网络安全研发,范围更广,而五NIST核心功能用于操作网络安全风险管理。本计划将风险管理视为关键依赖。
(附录B扩展了本计划的四个防御因素与NIST框架的核心功能之间的关系。)图1显示了这四个防御因素如何阻止恶意网络活动以及持续的效果和效率持续改进的价值。
关键依赖性
以下六个方面对于四项要素至关重要:
科学基础。联邦政府应该支持研究,确定解决未来威胁所需的理论,经验,计算和数据挖掘基础。网络安全的强大和严格的科学基础确定了测量方法、可测试模型和正式框架,以及表达网络系统和过程的基本安全动态的预测技术。这种基础理解是开发有效的防御性网络技术和实践的主要基础。
风险管理。组织中的网络安全决策应基于对组织资产、漏洞和潜在威胁的共同评估,安全投资是基于风险信息。尽管组织对其资产,漏洞,风险和潜在威胁的知识不完整,但这必须实现。有效的风险管理方法需要评估恶意网络活动的可能性及其可能的后果,并正确量化成功开发和降低风险所产生的成本的能力。及时,与风险相关的威胁情报信息共享可以提高组织评估和管理风险的能力。
人员方面。研究人员有能力开发用于保护网络系统的创新技术解决方案,但如果不了解用户、防御者,对手和机构与技术之间的相互作用,这些解决方案将会失败。除了帮助解决人机交互的挑战之外,社会科学家在网络安全研究可以增强对网络安全的社会,行为和经济方面的理解,以及如何改进风险治理。
应用到实践中。将研究成果转化为实践的协调过程对于确保联邦网络安全研发至关重要。有效的技术转让计划必须是研发战略的组成部分,并依靠公、私部门的参与。
网络安全人才。开发能够满足本计划中描述的需求的网络安全人才仍然是一个关键的挑战。人是网络系统的重要组成部分,可以以各种方式为安全(或不安全)做出贡献。该计划的成败在很大程度上取决于扩大和保留足够数量的多样化和高技能的网络安全研究人员、产品开发人员和网络安全专业人士。此外,研发可以提供工具,使网络劳动力更有效率。
研究的基础设施。网络安全研究中的健全科学必须在具有操作相关性和现实性的受控和执行良好的实验中建立基础。这需要工具和测试环境,以正确的规模和保真度提供对数据集的访问,确保实验过程的完整性,并支持广泛的交互,分析和验证方法。联邦政府应鼓励分享研究的高保真数据,并向自愿与研究人员分享敏感数据的组织提供保护。研究基础设施的投资不仅应该支持计算机科学家和工程师的需求,还应该支持其他有网络安全研究挑战的部门,如能源,运输和医疗保健方面的关键基础设施。
期望的结果
计算机和网络创造的价值将继续被那些寻求非法收益的人所颠覆。应该假设IT系统容易受到恶意网络活动的攻击,不可能完全安全。因此,有效的威慑必须提高恶意网络活动的成本,降低收益,并确认攻击者,找到攻击活动。系统应对恶意网络活动很关键,即使在受到威胁时也可以继续提供关键服务。当网络安全解决方案和技术在现有方法中的有效性和效率得到数量级的提升时,本战略将会成功。这将消除对手目前拥有的优势,特别是在许多系统中重复使用相同恶意方法的攻击者。此外,对手利用目前的市场动态,其中成本和时间更重要。战略计划中的的安全框架
震慑(Deter),保护(Protect)、检测(Detect)和适应(Adapt)解决了网络安全需求的范围,并且提供了协调研究和集中于共同目标的结构。实现这些成果将有助于实现互联网和网络系统更安全。
