一个值得重视的研究开发规划--赵战生 中科院信息安全重点实验室.ppt

1、,中国科学院研究生院 信息安全国家重点实验室 赵战生 2006年7月18日,一个值得重视的 信息安全保障研究开发规划 FEDERAL PLAN FOR CYBER SECURITY AND INFORMATION ASSURANCE RESEARCH AND DEVELOPMENT 简介,内容提要,规划的背景 一些值得关注的观点 重点支持的技术主题,规划的背景,发布时间:2006年4月 制定单位: 美国国家科学和技术委员会 (NATIONAL SCIENCE AND TECHNOLOGY COUNCIL established by Executive Order on November 23

2、, 1993.) 网际安全和信息保障跨部门工作组 (Interagency Working Group on Cyber Security and Information Assurance) 基础设施子委员会 (Subcommittee on Infrastructure) 网络和信息技术研究与开发子委员会 (Subcommittee on Networking and Information Technology Research and Development) 文本网址:,关于NSTC 这个内阁级的委员会是总统协调跨部门联邦研究和发展科学和技术计划

3、的主要的方法。 总统担任主席，成员有副总统、总统科学顾问、内阁部长、具有重要科学技术责任的部委以及其它白宫办公室的领导。 其重要目的是在信息科技和健康研究领域中建立联邦的科学和技术投资的清楚国家的目标，来改进传输系统和加强基础研究。 会议为跨越联邦部委的投资实现多个国家目标的研究和开发战略作准备。,与报告相关的重要文件 OSTP/OMB 2007财政年度管理研发预算的重点(OSTP/OMB Memorandum on FY 2007 Administration R&D Budget Priorities) 2005年总统信息技术咨询委员会网际安全报告 (PITAC Cyber Securit

4、y Report ) 2003年网际安全国家战略 (The National Strategy to Secure Cyberspace) 2002年网际安全研究和开发法 (Cyber Security Research and Development Act) 2005年信息安全研究委员会难题清单 (INFOSEC Research Council (IRC) Hard Problem List .November 2005 ),总统信息技术咨询委员会提交的报告,计算科学:美国竞争力的保证,网际安全:迫在眉睫的危机,NITRD年度计划指南,报告的结构 第一部分:网际安全和信息保障研究开发的联

5、邦规划 (PART I: Federal Plan for Cyber Security and Information Assurance R&D) 第二部分:网际安全和信息保障研究开发的技术透视 (PART II: （Technical Perspectives on Cyber Security and Information Assurance R&D) 三个附录： Appendix A: CSIA IWG Agency Roles and Responsibilities Appendix B: The Networking and Information Technology Re

6、search and Development Program Appendix C: Glossary,一些值得关注的观点,对技术趋势的分析 环境:功能强大的个人计算机、高带宽、无线网络技术和广泛应用的互联网，已经改变了独立的计算机系统和封闭的网络，使今天的信息技术基础设施成为无缝的结构。 使命:这个基础设施提供处理、传输、存储巨大数量的社会各个方面的关键信息，使联邦政府部门处理其例行的公事，并与其他业界、私人领域和公民，州和地方政府，以及政府和其他国家相互影响。 规模:信息技术基础设施扩大为全球规模，大量的电子信息通过俗称的“cyberspace”进行交换，新型应用和增值服务显著增长。,对网

7、际安全和信息保障势态的分析 生命攸关:信息基础设施支持着美国的关键基础设施。关键基础设施的业主、操作者和私人领域保证安全稳定的运转对于美国国家安全、国土安全和经济安全利益生命攸关。 非常脆弱:网际威胁是非对称的，秘密的，经常的发展着。单一的个体或一个小团体就可以无论在世界何地，廉价地秘密地尝试渗透运转的系统，抑制重要信息或毁伤关键基础设施。,易受攻击: 攻击工具和资源非常容易的从互联网上获得，新的漏洞频繁发现和被利用。 信息基础设施的普遍的互连使得网际攻击者日益着迷其前景，他包括恐怖分子，恶意的黑客和犯罪分子。,构成严重挑战： 复杂性：IT系统和网络的复杂性日益增加，对开发者和用户，它都将呈现

8、安全性挑战的上升。 统一性：电讯基础设施，如传统的电话系统和IT网络发展的特征，会聚到一个更统一的体系结构之中。 开放性：个人计算机和网络的无线连接，增加了他们的暴露攻击。混合的或全部的无线网络环境，因为确定网络的物理的和逻辑的边界日益困难，使得传统的“固定边界”的防御方式失去效果。,互连性：基于计算机系统的日益增加的可互连性和可达性，必然以风险方式危及着美国经济，包括制造业和公共事业的供应链管理系统，金融领域的网络，分布式的控制系统。 供应链：IT供应链的全球范围和日益增长的特性，将会增加国内外敌手的颠复的机会。,不久将成为实在的问题：IT基础设施的对国家的重要性，在2001年9月11日的恐

9、怖攻击结果中增加了能见度。大规模的网际攻击和快速增长的身份窃盗，这些事件已经使它日益清晰，IT基础设施不但对于私人领域和公民隐私而且对于联邦政府的战略利益不久将成为一个实在的问题。,联邦的角色(The Federal Role) 不可或缺：在这个风险增长的环境中，联邦政府在网际安全和信息保障中扮演着一个不可或缺的角色。 传递与激励：虽然计算机和软件公司现在投资于安全相关的研究和产品开发, 但他们的工作定位于主要被市场驱使的短期的努力，致力于现在的安全问题。联邦政府与其不同，在网际安全和信息保障研究与开发中，扮演着一个同等重要的角色。在总统信息技术咨询委员会2005 年2月网际安全R&D的报告（

10、Cyber Security: A Crisis of Prioritization）中， 陈述联邦政府的职责是投资长期的基础研究“它将会传递新的观念、技术、基础设施原型和培训人员” 需要激励工业界能够运行在广泛可用的产品中的下一代安全解决方案。,充分协作：像在其他科学技术工程领域一样，国家，联邦领导应该给予私人领域和利益攸关者充分的协作。 长期投资：联邦的 R&D 投资在历史上象征着长期的广泛的公众利益的科学、技术和工程进步。这些预付款支持联邦政府部门使命，维持美国的卓越的科学和产生发现和创新需要，激发经济发展和提升生活的标准。联邦投资也包括许多视为近期、中期危及国家防御和国土安全的投资领域

11、，网际安全和信息保障 R&D 努力对于两个主要因素都起着重要的作用，并且在联邦投资所有时期的范围内发生作用。没有这样的投资，国家的工业的和服务部门将会不能受益于IT基础设施，它将阻碍它们的增长并危及到竞争。,战略意义：联邦领导层在科学领域中的激励活动，对国家具有重要的战略意义。在网际安全和信息保障研究开发中，他能激励私人领域伙伴以及利益攸关者在国家安全和IT基础设施中，对产生基础的技术提升的广泛的协作。 第一， 在支持国家和经济的安全中，联邦政府能识别最大的网际安全和信息保障对国家的威胁，最紧要的IT基础设施的脆弱性和最困难的网际安全和信息保障研究开发的问题。 第二，政府能使用这些发现来开发和

12、实现一个协调的联邦 R&D 努力，把重心集中在主要研究需要，这样可以仅仅集中于联邦领导层。虽然这需要随着时间来进展,这个关于网际安全和信息安全保障的研究和开发联邦计划为这样的努力提供一个起点。,The role of government is not to create wealth. The role of our government is to create an environment in which the entrepreneur can flourish, in which minds can expand, in which technologies can reach n

13、ew frontiers. President George W. Bush,规划的要求: 完整设计，高优先权：计划建议网际安全和信息保障在所有的政府级以及在IT基础设施所有组成部分的完整的设计、实现和使用给予高优先权。,持续与协调： 文件中确定的和计划中优先的研究开发努力必须是一个持续的过程。对于关注在最重要的对关键基础设施和联邦机构使命的威胁以及最大限度地增加投资上的联邦研究开发活动，持续进行跨部门的协调是必须的。 尤其是，计划指出为了协调联邦的研究开发，在解决阻碍下一代网际安全和信息保障技术难题中的协调是必须的。因此，研究和开发是典型的多学科，长时间和高风险的。 勿忘教育培训：此外，教育

14、和培训在网际安全和信息保障中扮演着重要的角色，其立法和决策调整是这个计划之外的课题。,规划提出的联邦战略目标(Strategic Federal Objectives) 1.以可能导致大范围重要地位的预防、保护对抗、检测、响应和从网际 攻击中恢复为目的，支持网际安全和信息保障技术的研究、开发、测试 和评价。 2.网际安全和信息保障研究开发必须专注于关键基础设施的需要。 3.开发和加速部署更好地保障网上传输信息安全的新的通信协议。 4.支持建立实验环境，例如测试床（testbeds），它允许政府，学者 和工业界研究人员实施一个范围广阔的网际安全和信息保障开发和评 估的活动。 5.为经济地有见地的

15、长期目标，提供一个基于风险的网际安全和信息保 障决策基础。 6.通过长期研究，提供新颖的和下一代的安全IT观念和体系结构。 7.促进联邦研究开发基金成果向商业产品和服务以及私人领域应用的技 术转化和扩散。,结论和建议： 1. 联邦网际安全和信息保障 R&D 投资瞄准战略的需要 2. 关注最大潜在影响的威胁 3. 使网际安全和信息保障R&D 在单个部门和跨部门两个方面的预 算都成为重点 4. 支持在网际安全和信息保障R&D方面持续的跨部门的协调和协作 5. 从开始就构建安全 6. 评估涉及的显现出的信息技术的安全性 7. 为联邦网际安全和信息保障的 R&D开发一个路线图 8. 对评估网际安全和信

16、息保障开发和应用新的度量方法 9. 创立与私人领域的更有效的协调 10. 加强 R&D 包括国际伙伴的伙伴关系,重点支持的技术主题,PITAC网络空间安全十大优先研究领域 认证技术 安全基础协议 安全软件工程和软件保证 系统整体安全 网络监控与监测 减少损失和进行恢复的方法 捕获犯罪分子和阻止犯罪行为的网络法庭 新技术开发所需的模型和测试平台 评价标准、测试方法和实施方案 损害网络安全的非技术因素,国土安全部计划提出的九个主题 主题：检测和传感器系统 主题：保护和预防 主题入口和访问控制手段 主题内部威胁 主题分析和决策支持系统 主题响应、恢复和重建 主题新的和新出现的威胁和脆弱性 主题先进的

17、基础设施体系结构和系统设计 主题人和社会问题,IRC列出的困难问题清单： 全球范围的身份管理(Global-scale identity management) 内部威胁(Insider threat) 临界系统的可用性(Availability of time-critical systems) 构作可升级的安全系统(Building scalable secure systems) 势态理解和攻击归因(Situational understanding and attack attribution) 信息起源(Information provenance) 隐私的安全(Security w

18、ith privacy) 业务级的安全测度(Enterprise-level security metrics),本规划提出的技术领域 网际安全功能(Functional Cyber Security ) 安全基础设施（Securing the Infrastructure） 特别领域的安全（Domain-Specific Security） 网际安全描述和评估（Cyber Security Characterization and Assessment） 网际安全的基础（Foundations for Cyber Security） 网际安全和信息保障的研究开发的支撑性技术（Enabling

19、 Technologies for Cyber Security and Information Assurance R&D） 网际安全的先进的下一代的系统和体系结构（Advanced and Next-Generation Systems and Architecture for Cyber Security） 网际安全的社会因素（Social Dimensions of Cyber Security）,本规划提出的技术主题数量 在8个技术领域内，规划提出了49项技术主题 技术重点14项 投资重点13项 其中双重点5项,网际安全功能,2安全基础设施,3.特别领域的安全,4.网际安全描述和评估

20、,5.网际安全的基础,6.网际安全和信息保障的研究开发的支撑性技术,7网际安全的先进的下一代的系统和体系结构,8网际安全的社会因素,对技术主题的一种科学的表述架构 定义 重要性 技术现状 能力差距,4.5 软件测试和评估工具,定义： 测试是执行一个软件或系统的计划来测定它的一个或更多的特性。 软件评估通过这个软件的一个静态的检查来确定。静态检查可以直接关注这个软件或间接通过有关方面的说明或开发记录来进行。 软件测试和评估工具使严格的频繁的测试和评估工作自动操作。软件测试和评估通常预先假定一个明确的计划。测试，评估, 和互通性提供这个软件的执行满足功能、遵从性、安全性、可靠性、可用性、效率和便携

21、性要求的证据。测试和评估可能并应该发生在软件开发过程的每个阶段，包括需求分析、设计、编码和认可。,重要性 安全脆弱性可能存在于国家IT基础设施的软件层次的任何地方。依据 2002 年5月 NIST题为软件测试不合格的基础设施的经济影响的报告，不合格软件质量测试估计每年造成595亿美元损失。另外，报告说软件复杂度的增加和平均市场生命的减少期待提高对软件质量的关注。,依照NIST的报告，在软件需求和设计阶段中，只发现3.5 %的错误。这统计暗示着，为什么对软件发放补丁的方法日益站不住脚。报告总结:“更高的软件质量的途径是有效的改进需求、规范和在生命周期早期的软件测试”它主张参考涉及执行，测度和标准

22、化的测试工具可以帮助改进软件的不足。2003 NSF基金-计算研究协会报告在信息系统中重大的研究挑战主张“征服系统复杂性” R&D 需要使复杂系统容易设计的进步。,技术状态： 现有的软件测试和评估工具可以帮助开发者避免或捕捉许多系统的错误。大多数先进的工具产生来自严格规范的自动的测试，帮助分析理解代码，并监控运行。这些工具和今天最好的开发方法可以改进软件质量。 达到最新水平的测试和评估工具没有广泛使用。 商业软件通常是缺乏说明和测试，产品中存在许多缺欠。 缺乏正式的说明可能在设计或执行阶段引起脆弱性。 结构欠佳的软件可能在数千或数百万行代码的任何地方留有缺欠，造成漏洞。某些情况下故意加入的“后

23、门”的可能更胜于疏忽造成的错误缺欠。,然而，这些工具通常使用困难，范围和效力受到限制，不能与其他的工具一同工作，且其效力缺乏明确的验证。并且将现有的能力打包成容易使用的形式的进步是昂贵的。,先进的工具要求巨大的软件子系统作为测试基础设施，在其中来分析代码，获得结论，并跟踪和关联信息。 由于竞争的压力，障碍了来自测试方法、测试套件和开发环境的合作可获得利益的利益相关者之中协作。,能力差距： 早期测试、综合分析与自动化：如 NIST 报告的陈述，改良软件质量将需要贯穿软件开发所有阶段的更好的测试。改善的测试贯穿于软件开发，将形成工具中的需要可以提供更综合的分析，增强自动化，以及更廉价的产品容易使用

24、。因为在开发过程的最后阶段发现和抓住缺陷意味着更为昂贵，所以，当开发高质量，低成本软件的时候，需要更多的在开发过程的早期测试。主要的能力差距在于软件生命周期最开始的要求，说明和顶层设计阶段。当前的工具不能提供精确的和功能化的有成熟的模型语言的捕获说明。这样的语言能够用于产生系统复杂性和完备性的测度，确定设计矛盾和含糊，是人为的构造说明中安全漏洞最少，并产生编码和自动测试。这个计算工具的开发支持需求分析和系统开发设计阶段的改善超过一个人工过程。,缺乏软件评估以及测试工具差距也存在于软件执行阶段。避免在设计阶段或开发阶段的错误和漏洞，不排除其后需要的测试，因为错误可能被引进设计的决定，造成细节的增

25、加。对单元和子系统级的测试比等待系统最后构成更为有效。软件评估以及测试工具的缺乏是用最后的产品工作的另一个能力差距。全面分析的工作台对像管理检查一个给定的目的或合同决定一个提交的软件产品是否接受为合适的商业定制的软件包的后开发安全分析是必须的。某些工作台的功能是发现控制流，消除困惑，在结构上编辑代码块，以及维护设计意图的信息。这个系统也可以合并和提高现有的扫描已知脆弱性测试反常行为呈现二进制或源代码的部分功能的工具。,7.1 可信计算基础体系结构（Trusted Computing Base Architectures）,定义 可信计算基础 (TCB) 是所有的系统的固件、软件和硬件的组合，他依赖于执行系统