今日頭條
官方微信
官方抖音
資訊頻道 科技部依據《國家中長期科學和技術發展規劃綱要(2006—2020年)》,會同有關部門組織開展了《網絡空間安全重點專項實施方案》編制工作,綜合各方意見,啟動“網絡空間安全重點專項”2016年度首批項目,并發布指南。
專項總體目標:貫徹落實中央網絡安全和信息化領導小組工作部署,聚焦網絡安全緊迫技術需求和重大科學問題,堅持開放發展,著力突破網絡空間安全基礎理論和關鍵技術,研發一批關鍵技術裝備和系統,逐步推動建立起與國際同步,適應我國網絡空間發展的、自主的網絡空間安全保護技術體系、網絡空間安全治理技術體系和網絡空間測評分析技術體系。
專項圍繞:網絡與系統安全防護技術研究、開放融合環境下的數據安全保護理論與關鍵技術研究、大規模異構網絡空間中的可信管理關鍵技術研究、網絡空間虛擬資產保護創新方法與關鍵技術研究、網絡空間測評分析技術研究等5個創新鏈(技術方向),部署32個重點研究任務,專項實施周期為5年,即2016年~2020年。按照分步實施、重點突出原則,首批在5個技術方向啟動8個項目。
項目要求:針對任務中的研究內容,以項目為單位進行申報。項目設1名項目負責人,項目下設課題數原則上不超過5個,每個課題設1名課題負責人,每個課題承擔單位原則上不超過5個。
1 網絡與系統安全防護技術研究方向
1.1 創新性防御技術機制研究(基礎前沿類)
研究內容:針對現有防御技術難以有效應對未知漏洞/后門帶來的嚴峻挑戰,探索不依賴漏洞/后門具體特征等先驗信息的創新型主動防御機理,發展基于“有毒帶菌”構件及組件建立風險可控信息系統的“沙灘建樓”式系統安全方法和技術,從體系結構層面大幅提高攻擊難度和代價,顯著降低網絡空間安全風險。具體內容包括:提出和構建“改變游戲規則”的創新性防御理論體系,研究理論模型、安全架構和度量評估方法;研究面向網絡、平臺、運行環境、軟件和數據的創新型防御共性關鍵技術,提供風險可控的執行環境和網絡通道,確保核心任務安全,顯著提高系統安全性;研究基于所提出的創新型防御理論、方法和技術的網絡空間核心關鍵設備原型樣機并開展原理驗證。
考核指標
(1)初步建立創新型網絡空間安全防御理論體系,給出其理論模型、機制機理和安全度量方法,構建原型環境,完成原理驗證。
(2)研發兩類以上網絡空間核心關鍵設備原型樣機。樣機應在允許攻擊方基于白盒構造測試樣例的前提下,設定防御方不掌握測試漏洞/后門具體特征且不得進行增量開發的測試環境中,能在不降低主要性能指標的同時,抵御90%以上測試漏洞和后門帶來的安全威脅。
(3)發表學術論文70篇,其中SCI/EI不少于30篇,具有國際影響力的論文5篇以上,申請國家發明專利30項以上。
(4)提出的理論、方法、技術和原型樣機,支持基于商業軟硬件,構筑風險可控的網絡信息系統,具備商業推廣價值。
實施年限:不超過3年。
擬支持項目數:1~2項。
1.2 工業控制系統深度安全技術(重大共性關鍵技術類)
研究內容:控制系統與互聯網技術的深度融合引發了工業控制系統網絡安全新的重大挑戰,亟需系統性地從理論模型、關鍵技術、裝備研制及測試評估等方面開展工業控制系統深度安全技術研究。針對工控系統攻擊機理和工程特征,研究建立工控系統網絡入侵與攻擊模型;研究工控系統靜態和動態安全漏洞分析與挖掘技術,安全漏洞深度利用技術;研究具備主動防護能力的工控系統安全防護體系架構、動態重構機制及方法;研究支持多種工控網絡協議的可編程嵌入式電子設備以及實時控制與監控軟件等工控系統組件的動態防護關鍵技術,提高工控系統內核及應用安全性;研究工控系統信息安全的評估方法與標準;研制工控系統漏洞挖掘、攻防偵測、安全加固、評估分析等工具與裝備,研制具有主動防護能力的工控系統,形成工控系統深度安全防護整體解決方案。
考核指標
(1)典型工業裝置主流控制系統的組態軟件、監控軟件、工業實時數據庫、控制站嵌入式軟件等核心部件的漏洞新增發現不少于60個,漏洞利用樣本新增不少于30種,建立至少包含檢驗篡改組態數據、偽造控制指令、實時欺騙、獲取超級權限等4類漏洞類型的測試樣例集合。
(2)研發不少于3類典型工業裝置、6種國內外主流工控系統的深度安全技術測試驗證平臺,能有效驗證以上四類漏洞,并支持不少于5種國際主流工業協議深度解析和安全技術測試驗證。
(3)研發具有可動態重構、異構冗余、隨機多樣化特征的動態防護工控系統組件(組態軟件、監控軟件、控制器嵌入式軟件)及相關工具不少于10種,測試方可基于該系統組件的源代碼設置攻擊測試用例,且防御方不掌握具體漏洞成因、特征信息與利用細節的條件下針對上述第(1)條4類漏洞的防御成功率達到80%以上(進行雙盲測試),同時對控制系統功能不產生影響,且對實時性性能影響與部署前相比不超過5%。
(4)研發具備主動防御功能的DCS、PLC等工業控制系統一套,通過測試樣例集合的驗證,在具有IO信號點超過1萬點、控制站超過20個、操作站超過60臺規模的大型電力、冶金或煉化等工程系統中進行示范應用,主動防御功能達到:通信健壯性達到Achilles level 2認證要求或同等能力;具有通信加密措施,防止通信數據被竊聽或篡改;具有硬件、網絡、數據全冗余和實時診斷措施,單一故障不影響工業控制系統正常運行。
(5)發表學術論文25篇,其中SCI/EI 不少于 20篇,申請國家發明專利30項以上,提交國家或國際標準不少于3項。
實施年限:不超過3年。
擬支持項目數:1~2項。
1.3 天地一體化網絡信息安全保障技術(重大共性關鍵技術類)
研究內容:研究適應網絡信道條件復雜、通信資源受限、節點高速運動、鏈路間歇連通的天地一體化網絡空天安全接入控制技術, 確保空天業務連續無縫安全切換;研究天地一體化多域網絡安全互聯控制技術,保證天地一體網絡不同網絡域之間的信息安全傳輸;針對天地一體化網絡拓撲復雜、高度異構、實體類型多元化的特點,研究全網密碼資源的跨域聯合管理、密碼與協議配置;研究天地一體化網絡認證解決方案,研究真實可信的設備地址和用戶身份的驗證管理方法及鑒權機制,實現資源異構情況下的安全認證;研究天地一體化信息網絡安全威脅情報和態勢感知體系,綜合展示空天信息網絡安全威脅與安全態勢;研究支持空天網絡安全分析的信息網絡仿真技術;研究天地一體化網絡的動態重構技術,提高抗攻擊能力。
考核指標
(1)提供多鏈路安全接入防護功能,能夠對典型業務終端的身份進行鑒別、并根據入網權限實施終端入網控制,抵御重放欺騙、篡改、偽造等攻擊,支持大規模并發安全接入認證以及無縫安全切換,支持高速節點的接入認證,實現空天節點身份的可信保持與服務的連續性。
(2)提供多域網絡互聯安全控制功能,提供基于分域策略和IP地址的數據傳輸控制能力,提供對網絡攻擊行為的檢測能力。
(3)密碼資源管理應全面支持我國國產密碼算法,并可兼容國際主流密碼算法的資源調配,密碼資源動態調配、切換導致業務系統性能降低不超過10%,相關密鑰管理、密碼算法實現的軟硬件模塊安全性達到密碼行業標準《密碼模塊安全技術要求》三級(及)以上。
(4)實現天地一體化網絡的實體認證解決方案,驗證環境可支持合法設備的無縫漫游,實現針對10類不同實體的認證技術。
(5)實現全網的威脅情報處理和態勢感知,態勢及威脅情報信息交付率不低于99%,系統發生故障或錯誤的恢復時間小于2小時。
(6)研制完成天地一體化信息網絡安全技術仿真平臺,覆蓋空間信息網絡傳輸鏈路和地面系統的全部設備和安全組件,覆蓋導航、遙感等不同衛星,支持1萬以上衛星終端、10萬以上通信鏈路的實時通信仿真,支持1000條以上安全事件的并發仿真,支持10萬用戶實時在線、百萬并發數據的大規模仿真測試。
(7)支持對天地一體化網絡中安全設備的集中統一管理,支持基于任務的動態安全策略管理,實現安全事件格式及語義的歸一化解析。
實施年限:不超過3年。
擬支持項目數:1~2項。
2 開放融合環境下的數據安全保護理論與關鍵技術研究
2.1 大數據環境中的數據保護和隱私保護基礎理論研究(基礎前沿類)
研究內容:針對大數據環境中的數據安全和用戶隱私問題,構建面向海量數據和用戶的數據和隱私保護基礎理論和技術體系,包括涉密信息保護、數據使用授權、敏感數據保護、隱私風險評估、數據匿名發布、數字水印和溯源等基礎理論與技術;研究大數據環境中數據保護理論模型,包括基于新型密碼算法的數據訪問控制機制、加密數據的關鍵詞搜索方法、存儲數據的完整性驗證方法、敏感數據的細粒度分級和智能分類保護方法等,保護數據在生成、存儲、發布、應用、消亡等生命周期的安全,支持涉密數據的流轉控制、隔離和交換;研究大數據環境中隱私保護理論模型,包括隱私數據刻畫和甄別、數據發布隱私保護、社交網絡匿名保護、標識符匿名保護、位置數據隱私保護、數據脫敏處理等理論和技術方法,制定大數據隱私保護標準規范;研究基于數字水印的數據隱私隱藏理論,包括圖像和視頻隱寫分析、數字水印和溯源、多媒體同態隱私加密、加密音視頻數據檢測等方法。
考核指標
(1)提出大數據環境中的數據保護理論模型,提出數據細粒度訪問控制方法,提出支持多用戶多關鍵字的密文數據和數據庫搜索方法,提出多敏感屬性的分級分類數據保護模型。
(2)建立大數據環境中的隱私保護理論模型,提出一系列隱私甄別和保護方法,至少包括數據發布隱私保護、社交網絡匿名保護、標識符匿名保護、位置數據隱私保護、數據脫敏處理等5種。
(3)提出基于數字水印的圖像、音頻、視頻等多媒體數據的隱私保護模型,實現高效的多媒體同態隱私加密算法,密文膨脹率不超過30%。
(4)發表高水平學術論文70篇以上,其中SCI/EI檢索論文不少于30篇,具有國際影響力的論文5篇以上;申請專利10項以上;起草行業或國家標準1項以上。
實施年限:不超過5年。
擬支持項目數:1~2項。
3 大規模異構網絡空間中的可信管理關鍵技術研究
3.1 網絡可信身份管理技術研究(重大共性關鍵技術類)
研究內容:面向國家網絡空間社會治理的需求,研究網絡可信身份管理技術,為國家開展網絡空間治理提供技術支撐;研究適應多種環境的異構實體身份標識技術;研究基于大數據和行為分析的多級可信、多因子身份鑒別系統與技術;研究具備隱私保護特性的網絡實體真實身份證明與鑒別技術;研究具備身份聯合能力的統一身份管理、授權與服務技術;研究身份聯合與管理服務的互操作評估技術與系統;研究實體行為追蹤溯源與安全審計技術與系統,研制網絡身份管理與服務可信等級的評估評價標準與工具。
考核指標
(1)身份管理系統應支持億級規模的身份管理,百萬級并發、1000個應用條件下,單個身份鑒別延時不大于3秒,身份鑒別應采用國產密碼算法,支持安全可定制的不同級別的鑒別方式,至少包括:口令、電子憑證、生物特征、個體行為、先驗知識等方式及其組合。
(2)完成真實身份的證明與核驗服務系統,10萬級并發條件下的響應時間不大于3秒,支持X.509證書、二代身份證、eID等不同的電子身份證件。
(3)支持不同安全域的身份聯合,在保障用戶隱私與數據安全的前提下,實現域間的互聯互通,支持不少于2個主流身份聯合協議,支持國產密碼算法,具備與國內、國際身份管理系統聯合的能力,并經過聯合驗證。
(4)形成身份管理的互操作及可信等級評估規范和工具,對不少于5個身份管理系統的互操作能力及可信等級進行評估,完成評估報告。
(5)開發支持億級實體的行為關聯分析系統,支持100個以上身份管理系統的行為元數據匯聚,實現秒級的實體追蹤與定位。
(6)完成國家或行業標準建議稿10項,軟件著作權20項,申請專利20項。
實施年限:不超過3年。
擬支持項目數:1~2項。
4 網絡空間虛擬資產保護創新方法與關鍵技術研究
4.1 網絡空間數字虛擬資產保護基礎科學問題研究(基礎前沿類)
研究內容:針對虛擬貨幣、數字版權、網絡游戲等網絡空間數字虛擬資產的安全問題,研究數字虛擬資產保護基礎理論體系,包括數字虛擬資產的數學模型、威脅感知、安全管理和風險控制等;研究現有網絡空間數字虛擬資產的分類以及各類網絡資產的表達方法,研究并提出新形勢下數字虛擬資產的安全表示方法;研究數字虛擬資產基礎數學模型,包括屬性、頒發者、使用權限、使用范圍、數字簽名、加密、防偽等,并建立數字虛擬資產的識別和描述模型;研究數字虛擬資產安全管理模型,包括數字虛擬資產登記、用戶身份認證、數字虛擬資產安全存儲、數字虛擬資產安全交易、數字虛擬資產使用控制、數字虛擬資產追蹤溯源等;研究數字虛擬資產動態風險控制模型,包括主動調整系統的防御策略,動態風險控制策略知識庫、動態風險控制引擎等;研究虛擬資產的發展趨勢及對社會真實資產的影響。
考核指標
(1)提出數字虛擬資產基礎數學模型、數字虛擬資產安全威脅自適應發現模型、數字虛擬資產安全威脅變化實時定量感知模型。
(2)數字虛擬資產表達方法應涵蓋現有主流的資產類別。
(3)提出數字虛擬資產身份認證和安全存儲模型,數字虛擬資產安全交易、使用控制和追蹤溯源模型,并提出數字虛擬資產動態風險控制模型。
(4)實現數字虛擬資產安全管理與交易原型系統,支持至少3種已有的數字虛擬資產(包括虛擬貨幣、數字版權、網絡游戲等)。
(5)發表高水平學術論文70篇以上,其中SCI/EI檢索論文不少于30篇,具有國際影響力的論文5篇以上;申請專利10項以上。
實施年限:不超過3年。
擬支持項目數:1~2項。
5 網絡空間測評分析關鍵技術研究
5.1 網絡系統安全度量方法與指標體系(基礎前沿類)
研究內容:研究網絡系統安全度量的影響因素和體系模型,包括各種安全機制的有效性評估方法、系統脆弱性的評價方法、攻擊威脅模型及攻擊影響計算方法,以及以上因素的時間變化規則和相互影響機制;研究網絡系統安全特性的量化表達方法和參考框架,包括各種安全特性的定義、制約關系、服務影響和性能影響的量化表達方法;研究網絡系統安全參數的采集方法和機制,包括自動化和半自動采集方法、基于滲透攻擊的采集方法、非破壞性的采集方法、大規模系統的安全參數組合機制等;研究攻擊技術的破壞能力量化評估機制,包括各種攻擊方法和原理的隱蔽機制分析、對不同安全特性和服務性能的影響分析、攻擊技術的伸縮性、安全事件的連鎖反應機理等量化評估;研究網絡系統安全度量方法和指標體系的驗證,包括網絡真實攻擊和防御歷史事件的分析、攻擊技術和防御技術發展趨勢總結及其對網絡系統安全程度的影響;針對典型應用場景,研究安全度量的參考操作流程和指標的參考體系。
考核指標
(1)提出完整的指標體系框架,給出每項指標的明確定義。
(2)度量方法具有廣泛的適用性,既可用于孤立、隔離的系統,也可用于廣泛互聯的系統。
(3)針對指標體系框架中提出的每項指標,提出具體的、可操作的測量方法,測量方法至少應涉及測量對象的定義;量化依據,及其客觀性分析;具體流程、數據采集方式、計算方法等的設計;復雜測量方法應給出技術性、資源可行性、管理可行性的分析。
(4)度量結果應是量化的,結論客觀;同一場景下的不同系統的度量結果具有可比性;同一系統的不同時間點的度量結果具有可比性。
(5)度量方法輸入包括系統結構、防御方案、系統脆弱性、攻擊現狀、安全事件影響。
(6)完成3種典型網絡系統的量化評估,給出評估報告;完成10種典型攻擊技術的破壞能力量化評估,給出評估報告。
(7)發表高水平學術論文70篇以上,其中SCI/EI檢索論文不少于30篇,具有國際影響力的論文5篇以上;申請專利10項以上。
實施年限:不超過3年。
擬支持項目數:1~2項。
5.2 網絡仿真與效果評估關鍵技術(重大共性關鍵技術類)
研究內容:研究網絡安全試驗基礎設施體系架構,包括試驗基礎設施能力體系、系統架構、技術體制、應用模式等,制定標準規范體系框架,從頂層規約試驗基礎設施各要素之間的關系;研究網絡安全試驗基礎設施構建技術,包括:大規模網絡高逼真快速復現、用戶行為復制、資源自動配置與快速釋放、試驗安全隔離與受控交換、面向任務的引擎構建、面向虛擬網絡的真實流量回放等關鍵技術;研究網絡安全測試評估技術研究,包括網絡安全度量理論及攻擊仿真工具智能化調用、攻擊仿真腳本自動化生成、網絡安全自動化測試、安全效用評估指標體系構建等理論與技術;研究網絡安全活動仿真演練技術;研究網絡虛擬節點行為監控技術,包括基于主被動自省結合的虛擬機監控技術,實現高效的虛擬節點行為動態監控。
考核指標
(1)網絡復現可實現網絡拓撲、操作系統、業務系統以及人員行為復現。
(2)可以并行開展2個以上不同安全等級試驗任務。
(3)評估指標體系構建,仿真應綜合考慮攻防成本、攻防技術性能、攻防前后系統性能等因素,形成不低于3級分級的攻防效能評估與安全體系度量指標體系。
(4)網絡安全體系度量,可度量包含3級結構、10000個節點的網絡系統網絡空間安全性。
(5)可支撐3種典型網絡場景下的網絡安全活動仿真演練。
(6)能夠對虛擬節點進行系統調用粒度的實時行為監測,虛擬節點行為監測技術引入的性能損失不超過10%。
實施年限:不超過3年。
擬支持項目數:1~2項。
資料來自網絡
北京市公安局海淀分局備案號:11010802023656號