欢迎您登录科学中国人官方网站!!
新浪微博|网站地图|联系我们
智库建言德国网络安全研究战略

来源:  发布时间:2014-10-28

   数字世界和现实世界日益融合,网络安全挑战越发严峻。有效保护网络安全是确保经济成功的重要条件,也是至关重要的国家安全和公民主权问题。近期,德国弗劳恩霍夫协会向德国联邦教研部部长和联邦内政部部长递交了《“网络安全2020”战略及意见书》报告。    


一、信息安全应用研究——以未来项目“工业4.0”为例

   信息通信技术渗透至生活和工作的每个领域。数字世界和现实世界的界限日益模糊,同时网络犯罪和网络间谍越来越专业化,传统的预防方式已不足以应对新情况,网络安全挑战越发严峻。特别是斯诺登事件爆发后,网络安全问题引起全球关注。
   能否拥有可靠、安全的信息通信技术对德国经济至关重要。德国高技术战略的未来项目“工业4.0”(即“第四次工业革命”项目)具有典型意义。在“工业4.0”中,以往的界限都将消失,生产性信息技术、销售物流、零部件产业、商业信息技术等领域都将联系到一起。因此,信息技术系统将遇到许多新的挑战,病毒将可能攻击生产设备,不够安全的机器有可能被远程操控,给现实世界带来巨大损失。
   在“工业4.0”中,设备和产品都将纳入智能的物联网中。这一网络范围越大、越具活力,就越有必要使每个系统(从每个组件到每个产品)都相互区别,明确确定其信息,并保证安全的相互交流。随着网络成为最重要的交流媒介,云计算成为中央系统,服务和人都需要更加安全可靠的身份证明。不仅必须保证交流的安全可靠,而且要在网络攻击情况下保持系统的长效安全可靠。对于德国高科技工业,特别是机械设备制造业的中小企业,采取有力措施应对经济间谍行为对它们的存亡至关重要。面对非法攻击,云端数据也应得到强有力的安全保障。
   “工业4.0”中的所有要素,包括人、机器、生产设备、应用程序、产品和服务都会不断产生数据。只有保证数据的实时整合和高效分析才能优化资源和生产链。大数据给企业信息保护和个人隐私保护带来了无法回避的问题,同时也带来了机遇。
   “工业4.0”中的工人是灵活的、全球性的和自主的,信息通信技术对于工人也应该灵活多样、更易于使用。这一要求给科研带来了挑战,包括移动网络的通信安全和更加安全的运营方案,例如在生产、维护、运营、物流等领域,移动终端设备如何在移动商务过程中实现更加安全可靠的融合。

二、“网络安全2020”研究议程

   德国弗劳恩霍夫协会是欧洲最大的应用研究机构,在德国乃至欧洲信息安全研究中占据重要地位。它对德国国家网络安全研究议程“网络安全2020”提出了7项建议:

1.捍卫数字主权。

   在信息安全这一核心领域,德国必须绝对独立,必须找出灵活的、第三方检测的安全解决方案,作为以信息通信技术为基础的基础设施的信任基石。不仅在信息通信技术这一关键领域,也要在跨领域的重大未来项目(如“工业4.0”和“互联网经济”)的服务中保证德国信息技术的独立。

2.信息安全应用研究。

   信息安全研究必须保证实用性。要建立和运行同企业保持紧密合作的应用实验室,针对网络犯罪和网络间谍行为的系统解决方案的可行性进行实际研究和验证。

3.通过设计保护安全。

   要保证产品、服务和解决方案在全生命周期的安全性。也就是从最开始就要考虑到安全问题,要促进各个组成系统的融合并明显提高安全性。

4.可由第三方检测。

   为获得可信赖的安全,要支持研发新的技术方法,对组件、产品、服务和解决方案在全生命周期的安全性进行检查,并使已达到的安全性具有可证性。

5.通过设计保护隐私。

   要同时保护经济、国家和个人隐私,应对网络犯罪和网络间谍行为,特别要考虑个人信息保护的重要意义,如客户信息对于经济发展的重要意义。必须通过适当办法,按照“通过设计保护隐私”原则预防非法网络入侵和信息滥用。

6.了解自身安全情况。

   要高效及时地绘制自身安全形势图,使决策者能够就安全情况作出可靠评估,并为负责任、可持续的行为创造前提。

7.人性化的信息安全。

   信息安全机制及方法应该人性化,应该具有良好的可用性,使研发人员、信息安全专家和普通人都能完成与安全相关的任务。

三、德国网络安全研究的机遇和需求

1.德国信息安全研究概况。

   德国高校和研究机构对信息安全研究作出了杰出贡献,德国企业开展信息安全工作以满足顾客需求。国家自身支持信息安全研究,其重点是不安全环境中的安全研究、网络基础设施保护、嵌入式安全等。自2011年起,有3个信息安全能力研究中心先后成立。但是,德国明显缺乏更加贴近实际的信息安全应用研究,科研发展也没有持续跟上实际发展需求的脚步。在信息安全研究中,新兴应用领域不断产生,能源供应、交通、隐私保护等新兴应用领域引起社会广泛关注。在这些新兴应用领域,对信息安全仍甚少涉及,甚至在自动化、移动系统和云计算领域也缺少贴近实际的解决方案。

2.德国信息安全研究需求——加强应用研究。

   “信息安全,德国制造”将为德国科研和经济带来巨大机遇。德国迫切需要使基础研究成果应用于实践,这具有四项重要意义。一是将基础研究成果转化成市场欢迎的产品。这样新兴应用领域才能从这些贴近实际并经过检验的解决方案中直接受益,这样信息安全将不再是障碍,而会在国际市场上为德国企业增彩。二是保护经济和公民。没有哪个生活领域可以脱离信息技术,许多新兴应用领域与信息技术密切相关,重要的基础设施、相互依赖的经济系统都必须通过安全可靠的信息安全系统来保护。三是降低损失。如果企业对信息技术基础设施保护不力,遭到网络攻击的风险就很大,这不仅会带来直接经济损失,还会导致难以估量的名誉损失。四是提升国际竞争力。德国在信息安全基础研究方面享有很高声望,在信息安全、自动化、数据保护、能源供应等领域处于领先地位。鉴于国际信息技术和安全市场不断发展,未来竞争越发激烈,有必要不断促进应用研究,为在国际市场保持领先地位创造必要条件,并在尚未完全发展起来的领域中抢占先机。

四、研发需求

   为保持德国的技术主权和独立,保持德国的创新地位,弗劳恩霍夫协会建议特别关注以下研究主题。

1.云安全。

   云计算是信息技术资源的下一次革命,硬件和软件向云端转移将成为新的信息技术范式。借助云计算,企业能够大幅降低成本。由于许多潜在用户对云安全有所顾虑,导致拒绝使用云技术,云安全研究势在必行。其研究重点应包括安全规则建模、用于安全规则建模和可信评测的衡量标准、云端环境的认证信息管理、云计算中心威胁评估模型、安全虚拟环境机制、隐私保护技术、信任与策略管理、固定设备和移动设备通过云设施的安全同步、高度敏感信息的云利用模式和方法、云端恶意软件的识别和处理、云服务供应商审核控制机制等。

2.信息物理融合系统(CPS)。

   信息物理融合系统是嵌入式系统,借助传感器或制动器来评估和储存信息,通过网络连接和人机接口实现交流。信息物理融合系统用于数据和信号加工,已广泛应用于航空航天、汽车制造、化工、能源、医疗卫生、生产及自动化、物流、终端服务等领域。随着其性能的增强和联网程度的提高,迫切需要新的技术和方法满足它在安全和保护上的需求。其研究重点包括网络化智能交互技术的安全、特殊密码程序和安全技术、软硬件结合的安全机制、受到攻击时的紧急应对、安全等级标准检测方法、分布式智能传感机制等诸多问题。

3.数据保护和隐私管理。

   个人信息非法交易问题日益凸显,许多大公司,如银行和通讯公司,都遭遇到了这样的问题,这不仅损害公司形象,而且导致经济损失。个人信息保护已成为科研与社会的核心话题。

4.能源生产和供应。

   能源互联网是极其重要的基础设施,智能电网的发展要求必须注意新的风险。从电力生产者、储存者、电网到终端用户的相互联系,再到管控,智能电网意味着各环节之间存在更多的交流,也会产生更多的未知风险。该领域的研究重点是实现智能电网的建立和保证智能电网的安全。

5.预警系统。

   随着网络的发展,各种恶意软件不断出现,信息系统运营者已很难及时告知新的威胁并予以保护。使用信息预警系统及早应对网络意外情况至关重要,在这方面还有很多问题有待解决,例如新兴应用领域预警系统、僵尸网络问题。

6.工业生产和自动化。

   工业自动化技术是工业化国民经济良好运行的支柱,信息安全是信息技术融入生产设备的基石。

7.信息技术取证。

   网络作案者会留下痕迹。信息技术取证的任务就是发现、确定并分析这些痕迹。主要研究任务包括:研发可针对各种媒体类型自动高效识别禁止内容的程序以及在删除信息后从信息碎片中识别禁止内容的程序;对大数据快速分类以及在大数据中快速自动检索图片和视频内容的办法。

8.交通信息技术安全。

   越来越多的汽车功能通过软件实现。汽车联网并且车联网将逐渐对外开放,既会给汽车制造商、供应商和服务商带来许多安全问题,又带来了新市场和新机遇。

9.媒体安全。

   数字化媒体涉及影片、音乐、有声读物和电子书,重点要进行版权保护和防操纵保护。

10.网络安全。

   网络与日常生活密不可分,人们日益重视网络安全问题。保证交流基础设施的安全意味着保护网络基础设施技术,保护通讯服务的连通性、延伸性和可用性,研发可对攻击和安全漏洞进行识别和分类的支持方法。

11.预防盗版。

   对产品、设备和设计的盗版不仅会给企业带来巨大的损失,也会给消费者带来安全和质量隐患,在机械制造和电子技术方面尤其如此。因此急需考虑整个产品研发和产品生命周期内预防盗版的方法和工具。

12.物理嵌入式网络安全。

   物理嵌入式网络安全是把物理世界和信息世界联系起来保护两者安全。它意味着免受非法攻击,也意味着面对意外和系统违规操作时提供安全保护。其研究重点在于信息世界和物理世界以及两者间节点的安全保护、信息世界和物理世界相互联系的建立与协调。

13.安全工程学。

   许多信息技术产品存在安全缺陷。从产品的设计和研发阶段就开始考虑安全问题并将它延展至产品的整个生命周期,对于企业具有战略性意义。

14.安全的移动系统。

   智能手机、平板电脑等移动设备越来越受欢迎,逐渐成为网络攻击目标。如果没有特定的保护措施,移动设备更容易受到攻击,并且其影响范围远大于固定设备。

15.预防旁路攻击和故障攻击。

   随着越来越多的事物网络化,旁路攻击明显增加。采取保护措施保证长期的密码信息安全十分必要,这样也可以有效处理潜在攻击。

16.安全管理。

   在信息技术应用领域,信息安全管理面临巨大挑战。在云环境、生产基础设施以及由信息系统控制的重要基础实施中急需一体化的安全管理解决方案。研究需求主要包括新兴应用领域和新兴技术领域的风险管理方法、一体化信息安全管理系统、跨组织安全管理办法研究等。

17.可信系统。

   现代计算系统软件越复杂,安全漏洞的风险越大,传统的病毒扫描和防火墙已经无法满足安全需求。要重点研究可信系统的虚拟化构建方法、硬件安全模块的运用、可信计算工作组(TCG)方案在嵌入式系统中的运用以及在新兴应用领域的拓展。
   (作者:饶晔,北京外国语大学,德语系2012级硕士研究生;刘润生,中国科学技术信息研究所助理研究员,科技参考研究室负责人,主要从事科技战略与政策研究;张丽娟,中国科学技术信息研究所研究实习员,主要研究方向为科技政策与管理。)

链接:

   网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
   主要特性:
保密性
   信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性
   数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性
   可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性
   对信息的传播及内容具有控制能力。
   出现安全问题时提供依据与手段,从网络运行和管理者角度说,希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
   随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。
   在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
   因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。

分享到:
杂志
本期封面

2024年10月

上一期 下一期