智庫建言德國網絡安全研究戰略

數字世界和現實世界日益融合，網絡安全挑戰越發嚴峻。有效保護網絡安全是確保經濟成功的重要條件，也是至關重要的國家安全和公民主權問題。近期，德國弗勞恩霍夫協會向德國聯邦教研部部長和聯邦內政部部長遞交了《“網絡安全2020”戰略及意見書》報告。

一、信息安全應用研究——以未來項目“工業4.0”為例

信息通信技術滲透至生活和工作的每個領域。數字世界和現實世界的界限日益模糊，同時網絡犯罪和網絡間諜越來越專業化，傳統的預防方式已不足以應對新情況，網絡安全挑戰越發嚴峻。特別是斯諾登事件爆發后，網絡安全問題引起全球關注。

能否擁有可靠、安全的信息通信技術對德國經濟至關重要。德國高技術戰略的未來項目“工業4.0”（即“第四次工業革命”項目）具有典型意義。在“工業4.0”中，以往的界限都將消失，生產性信息技術、銷售物流、零部件產業、商業信息技術等領域都將聯系到一起。因此，信息技術系統將遇到許多新的挑戰，病毒將可能攻擊生產設備，不夠安全的機器有可能被遠程操控，給現實世界帶來巨大損失。

在“工業4.0”中，設備和產品都將納入智能的物聯網中。這一網絡范圍越大、越具活力，就越有必要使每個系統（從每個組件到每個產品）都相互區別，明確確定其信息，并保證安全的相互交流。隨著網絡成為最重要的交流媒介，云計算成為中央系統，服務和人都需要更加安全可靠的身份證明。不僅必須保證交流的安全可靠，而且要在網絡攻擊情況下保持系統的長效安全可靠。對于德國高科技工業，特別是機械設備制造業的中小企業，采取有力措施應對經濟間諜行為對它們的存亡至關重要。面對非法攻擊，云端數據也應得到強有力的安全保障。

“工業4.0”中的所有要素，包括人、機器、生產設備、應用程序、產品和服務都會不斷產生數據。只有保證數據的實時整合和高效分析才能優化資源和生產鏈。大數據給企業信息保護和個人隱私保護帶來了無法回避的問題，同時也帶來了機遇。

“工業4.0”中的工人是靈活的、全球性的和自主的，信息通信技術對于工人也應該靈活多樣、更易于使用。這一要求給科研帶來了挑戰，包括移動網絡的通信安全和更加安全的運營方案，例如在生產、維護、運營、物流等領域，移動終端設備如何在移動商務過程中實現更加安全可靠的融合。

二、“網絡安全2020”研究議程

德國弗勞恩霍夫協會是歐洲最大的應用研究機構，在德國乃至歐洲信息安全研究中占據重要地位。它對德國國家網絡安全研究議程“網絡安全2020”提出了7項建議：

1.捍衛數字主權。

在信息安全這一核心領域，德國必須絕對獨立，必須找出靈活的、第三方檢測的安全解決方案，作為以信息通信技術為基礎的基礎設施的信任基石。不僅在信息通信技術這一關鍵領域，也要在跨領域的重大未來項目（如“工業4.0”和“互聯網經濟”）的服務中保證德國信息技術的獨立。

2.信息安全應用研究。

信息安全研究必須保證實用性。要建立和運行同企業保持緊密合作的應用實驗室，針對網絡犯罪和網絡間諜行為的系統解決方案的可行性進行實際研究和驗證。

3.通過設計保護安全。

要保證產品、服務和解決方案在全生命周期的安全性。也就是從最開始就要考慮到安全問題，要促進各個組成系統的融合并明顯提高安全性。

4.可由第三方檢測。

為獲得可信賴的安全，要支持研發新的技術方法，對組件、產品、服務和解決方案在全生命周期的安全性進行檢查，并使已達到的安全性具有可證性。

5.通過設計保護隱私。

要同時保護經濟、國家和個人隱私，應對網絡犯罪和網絡間諜行為，特別要考慮個人信息保護的重要意義，如客戶信息對于經濟發展的重要意義。必須通過適當辦法，按照“通過設計保護隱私”原則預防非法網絡入侵和信息濫用。

6.了解自身安全情況。

要高效及時地繪制自身安全形勢圖，使決策者能夠就安全情況作出可靠評估，并為負責任、可持續的行為創造前提。

7.人性化的信息安全。

信息安全機制及方法應該人性化，應該具有良好的可用性，使研發人員、信息安全專家和普通人都能完成與安全相關的任務。

三、德國網絡安全研究的機遇和需求

1.德國信息安全研究概況。

德國高校和研究機構對信息安全研究作出了杰出貢獻，德國企業開展信息安全工作以滿足顧客需求。國家自身支持信息安全研究，其重點是不安全環境中的安全研究、網絡基礎設施保護、嵌入式安全等。自2011年起，有3個信息安全能力研究中心先后成立。但是，德國明顯缺乏更加貼近實際的信息安全應用研究，科研發展也沒有持續跟上實際發展需求的腳步。在信息安全研究中，新興應用領域不斷產生，能源供應、交通、隱私保護等新興應用領域引起社會廣泛關注。在這些新興應用領域，對信息安全仍甚少涉及，甚至在自動化、移動系統和云計算領域也缺少貼近實際的解決方案。

2.德國信息安全研究需求——加強應用研究。

“信息安全，德國制造”將為德國科研和經濟帶來巨大機遇。德國迫切需要使基礎研究成果應用于實踐，這具有四項重要意義。一是將基礎研究成果轉化成市場歡迎的產品。這樣新興應用領域才能從這些貼近實際并經過檢驗的解決方案中直接受益，這樣信息安全將不再是障礙，而會在國際市場上為德國企業增彩。二是保護經濟和公民。沒有哪個生活領域可以脫離信息技術，許多新興應用領域與信息技術密切相關，重要的基礎設施、相互依賴的經濟系統都必須通過安全可靠的信息安全系統來保護。三是降低損失。如果企業對信息技術基礎設施保護不力，遭到網絡攻擊的風險就很大，這不僅會帶來直接經濟損失，還會導致難以估量的名譽損失。四是提升國際競爭力。德國在信息安全基礎研究方面享有很高聲望，在信息安全、自動化、數據保護、能源供應等領域處于領先地位。鑒于國際信息技術和安全市場不斷發展，未來競爭越發激烈，有必要不斷促進應用研究，為在國際市場保持領先地位創造必要條件，并在尚未完全發展起來的領域中搶占先機。

四、研發需求

為保持德國的技術主權和獨立，保持德國的創新地位，弗勞恩霍夫協會建議特別關注以下研究主題。

1.云安全。

云計算是信息技術資源的下一次革命，硬件和軟件向云端轉移將成為新的信息技術范式。借助云計算，企業能夠大幅降低成本。由于許多潛在用戶對云安全有所顧慮，導致拒絕使用云技術，云安全研究勢在必行。其研究重點應包括安全規則建模、用于安全規則建模和可信評測的衡量標準、云端環境的認證信息管理、云計算中心威脅評估模型、安全虛擬環境機制、隱私保護技術、信任與策略管理、固定設備和移動設備通過云設施的安全同步、高度敏感信息的云利用模式和方法、云端惡意軟件的識別和處理、云服務供應商審核控制機制等。

2.信息物理融合系統（CPS）。

信息物理融合系統是嵌入式系統，借助傳感器或制動器來評估和儲存信息，通過網絡連接和人機接口實現交流。信息物理融合系統用于數據和信號加工，已廣泛應用于航空航天、汽車制造、化工、能源、醫療衛生、生產及自動化、物流、終端服務等領域。隨著其性能的增強和聯網程度的提高，迫切需要新的技術和方法滿足它在安全和保護上的需求。其研究重點包括網絡化智能交互技術的安全、特殊密碼程序和安全技術、軟硬件結合的安全機制、受到攻擊時的緊急應對、安全等級標準檢測方法、分布式智能傳感機制等諸多問題。

3.數據保護和隱私管理。

個人信息非法交易問題日益凸顯，許多大公司，如銀行和通訊公司，都遭遇到了這樣的問題，這不僅損害公司形象，而且導致經濟損失。個人信息保護已成為科研與社會的核心話題。

4.能源生產和供應。

能源互聯網是極其重要的基礎設施，智能電網的發展要求必須注意新的風險。從電力生產者、儲存者、電網到終端用戶的相互聯系，再到管控，智能電網意味著各環節之間存在更多的交流，也會產生更多的未知風險。該領域的研究重點是實現智能電網的建立和保證智能電網的安全。

5.預警系統。

隨著網絡的發展，各種惡意軟件不斷出現，信息系統運營者已很難及時告知新的威脅并予以保護。使用信息預警系統及早應對網絡意外情況至關重要，在這方面還有很多問題有待解決，例如新興應用領域預警系統、僵尸網絡問題。

6.工業生產和自動化。

工業自動化技術是工業化國民經濟良好運行的支柱，信息安全是信息技術融入生產設備的基石。

7.信息技術取證。

網絡作案者會留下痕跡。信息技術取證的任務就是發現、確定并分析這些痕跡。主要研究任務包括：研發可針對各種媒體類型自動高效識別禁止內容的程序以及在刪除信息后從信息碎片中識別禁止內容的程序；對大數據快速分類以及在大數據中快速自動檢索圖片和視頻內容的辦法。

8.交通信息技術安全。

越來越多的汽車功能通過軟件實現。汽車聯網并且車聯網將逐漸對外開放，既會給汽車制造商、供應商和服務商帶來許多安全問題，又帶來了新市場和新機遇。

9.媒體安全。

數字化媒體涉及影片、音樂、有聲讀物和電子書，重點要進行版權保護和防操縱保護。

10.網絡安全。

網絡與日常生活密不可分，人們日益重視網絡安全問題。保證交流基礎設施的安全意味著保護網絡基礎設施技術，保護通訊服務的連通性、延伸性和可用性，研發可對攻擊和安全漏洞進行識別和分類的支持方法。

11.預防盜版。

對產品、設備和設計的盜版不僅會給企業帶來巨大的損失，也會給消費者帶來安全和質量隱患，在機械制造和電子技術方面尤其如此。因此急需考慮整個產品研發和產品生命周期內預防盜版的方法和工具。

12.物理嵌入式網絡安全。

物理嵌入式網絡安全是把物理世界和信息世界聯系起來保護兩者安全。它意味著免受非法攻擊，也意味著面對意外和系統違規操作時提供安全保護。其研究重點在于信息世界和物理世界以及兩者間節點的安全保護、信息世界和物理世界相互聯系的建立與協調。

13.安全工程學。

許多信息技術產品存在安全缺陷。從產品的設計和研發階段就開始考慮安全問題并將它延展至產品的整個生命周期，對于企業具有戰略性意義。

14.安全的移動系統。

智能手機、平板電腦等移動設備越來越受歡迎，逐漸成為網絡攻擊目標。如果沒有特定的保護措施，移動設備更容易受到攻擊，并且其影響范圍遠大于固定設備。

15.預防旁路攻擊和故障攻擊。

隨著越來越多的事物網絡化，旁路攻擊明顯增加。采取保護措施保證長期的密碼信息安全十分必要，這樣也可以有效處理潛在攻擊。

16.安全管理。

在信息技術應用領域，信息安全管理面臨巨大挑戰。在云環境、生產基礎設施以及由信息系統控制的重要基礎實施中急需一體化的安全管理解決方案。研究需求主要包括新興應用領域和新興技術領域的風險管理方法、一體化信息安全管理系統、跨組織安全管理辦法研究等。

17.可信系統。

現代計算系統軟件越復雜，安全漏洞的風險越大，傳統的病毒掃描和防火墻已經無法滿足安全需求。要重點研究可信系統的虛擬化構建方法、硬件安全模塊的運用、可信計算工作組（TCG）方案在嵌入式系統中的運用以及在新興應用領域的拓展。

（作者：饒曄，北京外國語大學，德語系2012級碩士研究生；劉潤生，中國科學技術信息研究所助理研究員，科技參考研究室負責人，主要從事科技戰略與政策研究；張麗娟，中國科學技術信息研究所研究實習員，主要研究方向為科技政策與管理。）