《联邦网络安全战略计划》.pdfVIP

2020 年9 月21 日 第29 期 总第461 期 联邦网络安全研发战略计划（2019） 2019 12 【译者按】 年 月，美国白宫科学技术政策办公室发布了 最新版本的《联邦网络空间安全研发战略计划》，该报告是根据2014 年颁布的《网络安全加强法案》的要求进行更新的，旨在指导联邦网 络安全研发投入的总体方向。此次发布的2019 年版战略计划明确了 威慑、保护、监测和响应四个互相关联的网络空间主要防御能力，以 及人工智能、量子信息科学、可信赖的分布式数字基础设施、隐私、 安全硬件和软件、教育和人才培养六个网络安全研发重点领域，体现 了美国政府以网络安全技术保障为重点布局网络安全领域发展的新 特点和新走向，对我国网络安全管理有一定的借鉴意义。赛迪智库网 络安全研究所对该报告进行了编译，期望对我国有关部门有所帮助。 【关键词】网络安全研发投资 战略计划201 年 扫描二维码阅读本刊 一、 出台背景 21世纪，随着高速移动网络和智慧城市等新兴技术的快 速发展，社会对信息技术的依赖度不断加深，恶意网络攻击 事件的发生频率愈发增高。目前，美国的知识产权正遭到大 规模窃取，关键基础设施、商用以及政府电脑系统面临威胁， 消费者隐私泄漏问题日趋严重。 为保护互联网的社会和经济效益，以及国家安全和在线 商业与公共基础设施，完善国家网络安全建设，联邦政府于 2014 年颁布 《网络安全加强法案》（113-274 号公法）。该 公法要求国家科学技术委员会和网络信息技术研发计划应 制定和维护网络安全研发战略计划。 2019 年12 月，美国白宫科学技术政策办公室发布 《联 邦网络安全研究与发展战略计划(2019)》，指导美国联邦政 府在网络安全领域对科技、标准及成果转化进行研发投入。 该计划是按照《网络安全加强法案》的规定，对《2016 年联 邦网络安全研发战略计划》进行了修正更新。 相较于2016 版战略计划，2019 版战略计划沿袭了以下 任务：一是完善基于威慑、保护、检测和响应四大防御要素 的网络安全建设工作；二是配合前瞻性的风险管理策略，利 用先进的科学技术反制网络领域的非对称优势；三是指导网 络安全研发活动，提升网络安全工作质量；四是加强基础设 施、风险管理、基础科学等领域的网络安全研究。2019 版战 略计划还提出以下关键更新和新的优先事项：一是除了系统 和数据之外，网络安全还必须保护计算和通信系统所影响到 的用户；二是建立适当的框架和方法，理清网络安全弹性（网 络安全弹性是衡量一个组织在遭受数据泄露或网络攻击期 间，保持其业务正常运营能力的一个指标）原理；三是进一 步提升适应、反制和恢复能力；四是网络安全研发投资优先 关注人工智能、量子信息科学、可信赖的分布式数字基础设 施、隐私、安全硬件和软件，以及教育和人才培养等重点领 域。 二、发展框架 （一）影响网络安全环境的关键点 为更加深入认识如何评估网络安全的质量 （包括网络风 险评估）、如何运用网络安全机制来保护隐私，以及如何在 保障网络安全与提供关键服务之间进行权衡，需考虑如下关 键点： 人为因素：目前，人们对“网络安全”的认识较为狭隘， 认为仅仅是保护电脑、网络、数据，以及相应的信息技术系 统。人们必须形成更广泛的认识，网络安全必须涵盖社会技 术问题，以及人类在其中所充当的开发者、防御者、用户和 攻击者等角色，而且网络安全的研发活动必须以人为本。人 为因素还必须确保终端用户和计算机专业人员能够理解并 有效制定安全决策，且系统和政策要考虑到上述人员的能 力、需求和期待。 机构风险管理：各机构必须充分考虑用户、开发者、操 作者、防御者和攻击者等因素，认识到网络空间的各种弱点 和威胁，及其给机构自身带来的影响。由此产生的有效风险 管理，即发现、评估和应对风险的过程，包括制定可量化的 有效控制措施。 有效遏制和反制恶意网络活动：需要具备能够遏制恶意 网络活动的技术，增加攻击者实施网络活动的风险和成本， 降低其收益。还需要采取主动的威慑措施，运用适当的反制 措施来降低恶意网络活动的有效性，即降低威胁、防范进攻， 以及减轻有