网络安全新思维 (下)

2．建议的应对政策和措施

报告指出，虽然现有的技术方案能够解决一些眼前的问题，但是却不能够提供足够的计算机和网络安全。只有与现有体系结构和技术全然不同的架构和技术才能从根本上保证IT

长期以来，美国联邦政府在支持基础性和长期性IT研究与开发方面，一直扮演着至关重要的角色，正是在这些IT基础研究上产生的新技术催生了美国价值数十亿美元的IT产业。但是，PITAC通过对现在联邦政府在网络安全研究方面的政策进行检查，发现了一个不平衡的现象：大部分支持和资助都给了那些短期的、面向防御的研究；而对于那些能够同时解决防御问题以及保障民用IT基础设施安全的基础性网络安全研究，资助得却少之又少。因此，PITAC强烈要求政府应该在如下方面改进其对网络安全研究的策略。

（1）政府应加强对民间网络安全研究的资助

建议联邦政府划拨给国家自然科学奖金委员会（NSF）用于支持网络安全基础研究的经费应该以每年9000万美元的速度递增，同时建议国防高级研究计划署（DARPA）和国土安全部（DHS）等其他政府部门对在十大优先研究领域开展研究的投资也应该有实质性的增长。

（2）应该加强对网络安全基础性研究团队的资助

建议联邦政府加强对于研究型大学中的网络安全研究人员和学生的招募和挽留工作，目标是在十年之后使得网络安全研究方面的专业人才数量翻一番。

（3）支持网络安全研究成果的成功转化

建议联邦机构为网络安全尖端科技成果产业化提供持续的支持。

（4）政府要深化网络安全研究的协调与监管

建议加强关键信息基础设施保护部门间工作组的协调和监督作用，并建议把该工作组整合到网络和信息技术研究与发展计划（NITRD）当中去。

3．十大优先研究的领域

报告通过深入分析和研究，提出了十个网络空间安全研究应该优先考虑的领域。

（1）认证技术

网络中的实体如硬件、软件、数据和用户等都需要认证，其中包括身份识别、授权以及完整性检验。这些系统必须保证是安全的、校验方便、支持上亿个元件运行，并且操作快捷。

（2）安全基础协议

维护互联网运行的协议没有几个是足够安全的。若要将互联网建成可靠的交流媒介，就必须开发出针对拒绝访问、数据污染和欺骗等威胁的基础安全协议。此外，还需要保证这些基础协议自身的弱点不致被利用。

（3）安全软件工程和软件保证

如今的商业软件工程缺乏制造安全的、高品质产品所需的科学基础和严格的控制。不管是为了避免基本程序错误，还是为了开发大量系统，保证系统软件即使在部分受到危害的情况下仍能安全，这需要在软件安全工程的创新研究上下功夫。

（4）系统整体安全

确保一个复杂、多层、全世界使用的设施安全，不仅仅需要其各部分都安全，还应保障其整体的安全性。因此，应该着手开发一个包括硬件、操作系统、网络和应用在内的完整的、全新的安全系统。

（5）网络监控与监测

当有不可预知的问题出现时，监控工具可以帮助我们了解情况，采取正确的防御措施。而现有的网络监测工具在监控非正常网络活动，识别其原因的能力方面还比较初级。

（6）减少损失和研发进行恢复的方法

安全系统必需被设计成能在预想不到的事件和攻击出现的时候进行快速反应，并能从损失中恢复过来——这是像互联网这样庞大的、结点众多的系统所面临的一个典型问题。

（7）捕获犯罪分子和阻止犯罪行为的网络法庭

目前我们在调查网络犯罪、识别入侵者、收集举证和将犯罪分子绳之以法方面的能力还很薄弱。综合考虑这些问题，人们还无法真正了解如何去阻止网络犯罪。因此迫切需要开发新的工具和技术来对网络犯罪进行调查，将犯罪分子绳之以法。

（8）新技术开发所需的模型和测试平台

现在缺少能在现实的网络环境下对新技术进行测试的实用模型和测试平台，这是妨碍网络安全新产品迅速开发的障碍之一。由于互联网的规模和复杂性，缺少模型和测试平台已经变成了一个很严重的问题。

（9）评价标准、测试方法和实施方案

目前人们对网络安全的评价标准、测试方法和方案的研究开发关注得不够。现有的各种测试方法和标准，不仅十分陈旧，而且昂贵，有时甚至还会对改善网络安全起到相反的作用。

（10）损害网络安全的非技术因素

一系列的非技术因素，包括心理、社会学、制度、法律和经济因素在内，都会对网络安全造成危害，而网络和软件工程本身无法解决这样的问题。因此，迫切需要针对这些非技术因素开展网络空间安全问题的研究。

对我国信息安全的启示

美国总统信息技术顾问委员会提出的《网络空间安全：迫在眉睫的危机》，是一份系统全面、深刻独到的研究报告，对于指导美国政府加强网络空间安全研究和保持美国在IT领域的全球霸主地位，具有极其重要的战略意义。

相比之下，我国的网络空间安全状况要比美国严峻得多。这是因为，长期以来，我国信息化建设缺乏核心技术，信息技术自主创新能力不足，对发达国家的信息技术与装备存在很强的依赖性，始终没有摆脱“受控于人”和“受制于人”的被动状态与危险局面。因此，在同样的环境下，我国在网络空间安全领域面临的隐患更多、风险更大，尤其在信息化战争的情况下，我国的军事、情报、金融等关键网络系统的安全性与可靠性令人担忧。

目前，我国的情况不断在好转，对网络和信息安全的重视程度不断提高，信息安全保障工作不断取得新的进展。密切关注全球网络和信息安全技术发展的最新态势，从战略高度上认识和把握信息安全保障工作的关键，大力提高我国的信息安全保障水平，是摆在我们面前的迫在眉睫的任务。

他山之石，可以攻玉。PITAC此份报告中的诸多观点和建议，对我国的网络和信息安全工作都具有一定的指导意义。其中，有两点重要的战略性思想，最值得我们认真思考和借鉴：

第一，研发全新的网络和信息安全体系结构及安全技术

目前全世界现有的基于防御的网络安全技术方案虽然能够解决一些眼前的问题，但都不能从根本上解决计算机和网络安全问题。为此，需要研究和开发全新的网络和信息安全体系结构及安全技术，以便从根本上为IT基础设施提供整体安全性保障。这一点值得我们格外关注，因为这表明了美国在网络空间安全方面开启了原始性创新的全新思路，极有可能很快地引发网络空间安全领域的一场创新性革命。这给我国带来了新的更加严峻的挑战，也为我国网络和信息安全工作及时启动原始性自主创新和实施跨越式发展提供了新的机遇。

第二，政府要大力支持网络和信息安全基础性研究与开发

建立全新的网络和信息安全体系结构以及安全技术依赖于长期的基础性科学研究工作。由于利益驱动的原因，IT公司和企业更愿意关注短期的结果或者能快速提升产品竞争力的研究。因此，不能依靠公司和企业进行长期的基础性IT研究与开发。政府部门必须责无旁贷地承担起其在支持IT基础研究方面的责任，充分发挥其不可替代的作用，加大对研究型大学和科研院所等网络和信息安全研究机构的支持与资助力度，下大力气鼓励和培育新的网络和信息安全体系结构以及安全技术，为我国二十一世纪的网络信息安全和国家安全提供坚实的保障。

作者简介 单志广，博士副研究员，国家信息中心发展研究部电子政务研究室主任。