來源:中國科協創新戰略研究院《創新研究報告》
第52期(總第253期)2018-9-27
<strong>編者按:科學技術是社會變革和發展的源動力。在科技飛速發展的今天,網絡安全成為科技變革帶來的突出問題之一。2017年年底,英國內閣辦公室發佈了《中期網絡安全科技戰略》(Interim Cyber Security Science & Technology Strategy:Future-proofing Cyber Security ),該戰略對英國新興技術趨勢進行識別,並提出應對新興技術應採取的政策措施。本文就其主要內容進行摘編。
<strong>一、戰略目標及背景介紹
科學技術創新產生的顛覆性變革影響人類社會生活的方方面面。這些變革既帶來了巨大機遇,同時也伴隨著風險和挑戰。在大數據和物聯網飛速發展的今天,網絡安全問題成為全球各個國家高度關注的熱點問題。英國的網絡安全應具備以下技術能力:<strong>一是能夠應對網絡攻擊風險;二是開發新一代網絡安全產品和服務,推動數字經濟發展;三是制定適應不斷變化的技術環境的政策。
在此背景下,英國適時發佈了面向未來網絡安全的《中期網絡安全科技戰略》,其戰略目標主要有以下幾點:①確保英國具備足夠的應對網絡安全問題的科學技術能力和專業知識,以滿足安全需求併為政府決策提供信息。②擁有權威機構能夠評估國家網絡安全科學和技術水平,並確定需要政策支持的重要網絡安全科學和技術的發展方向。③引入專家決策支持,確保對網絡安全前沿技術預測的準確性和戰略佈局的科學性。④與學術界、工業界和國際機構廣泛開展合作,以支持上述工作並推動進步。該戰略涵蓋的核心活動包括:制定研究與發展戰略並支持研究與發展計劃;建立框架和機制,以便發佈NCSC網絡安全範圍掃描。
<strong>二、新技術及趨勢的識別及判定
為指導英國政府應對技術變革,英國內閣辦公室通過組織學術界、工業界以及來自英國政府科技界的技術專家和其他專家進行磋商,確定了最有可能影響英國及其服務業的網絡安全技術。這些技術的驅動因素包括:存儲成本的下降、雲計算的使用、傳感器設備的擴散、企業系統與諸如工業控制系統等操作技術的融合等。具體技術和趨勢確定如下:
<strong>1. 物聯網與智慧城市
物聯網(IoT)既涵蓋互聯網的部分設備,同時還包括建築、醫療設備和一系列基礎設施的傳感器和執行器。未來每一件設備都有可能包含一個或多個連接點,併成為物聯網的一部分。
與物聯網相關的是智慧城市。在這種城市發展模式中,多種信息和通信技術以安全的方式整合在一起從而管理城市的資產,其中包括學校、圖書館、交通系統、醫院、發電廠、供水網絡、廢物管理、執法和其他社區服務。建設一個智慧城市的目標是通過提高服務效率和滿足居民的各項需要來提高生活質量。
但是,這種無處不在的連接將帶來一些網絡安全挑戰:①需確保所有設備和網絡都是在安全的情況下構建;②保證獲取端點以及重新配置網絡結構的安全性;③對終端設備進行身份管理、認證和授權;④不安全的終端會增加網絡被攻擊的概率;⑤遺留的系統安全隱患等。
<strong>2. 自動化、機器學習和人工智能
數據和信息是當今數字社會的核心。為了充分利用這些數據,社會將更加依賴自動化、機器學習和人工智能。自動化可用於控制系統,如發電廠和工廠,也適用於其他與數據處理相關的過程。自動化將傳感器和控制系統結合起來,使複雜的操作能夠在不同的情境下執行。目前,從家用洗衣機到自動駕駛系統都涉及自動化。機器學習能夠從數據中找出預測算法,而這些算法可通過數據模型來進行預測或決策。機器學習是實現自動化的有力工具。人工智能比機器學習更廣泛,它既是自動化的促進器,也是全自動系統的最終目標。人工智能具有大幅度提高生產力的潛力,未來將可能利用人工智能識別和應對網絡安全威脅。
互聯設備的無所不在將產生海量數據及相應的風險和機遇,相關網絡安全挑戰包括:①數據需要在其整個生命週期都得到考慮;②為某個目的採集的數據最終可能發現意外的用途;③數據來源可能有問題。
<strong>3. 人機交互
即使是自動化,也需要通過與機器或人的交互來做出決策。在臺式電腦、筆記本電腦、平板電腦和手機等電子設備中,可視化的用戶界面無處不在。作為圖形界面的替代或補充,語音識別正變得越來越普遍。部分應用程序(主要是地圖和遊戲)已經體現了數據與現實世界的結合。對於網絡安全而言,必須解決的問題是用戶的認證難題。
<strong>三、政策制定目的和作用
物聯網、自動化、人機交互、機器學習和人工智能等技術將對未來社會產生顛覆性變革,同時也帶來網絡安全方面急需解決的風險,比如更加複雜和更具破壞性的惡意網絡活動。因此,強有力的認證對應對網絡安全威脅至關重要。英國若能充分利用網絡安全方面的專業知識並將此作為競爭優勢,將有機會成為該領域的世界領導者。為應對風險並抓住機遇,英國政府制定了應對網絡安全問題的詳細政策。
<strong>1增長與創新
英國致力於建立一個具有創新能力且蓬勃發展的網絡安全部門,進而打造一個適宜企業創業和發展的網絡安全國際生態系統,以支持英國的國家安全和經濟增長。在充分考慮新出現的技術、發展趨勢和可能的威脅的基礎上,英國政府確定的幾大重點技術方向將會為英國貿易增長和經濟發展提供大量機遇。
<strong>2開發安全可信的技術
隨著人類對技術依賴的不斷增強,確保網絡空間的安全和保障是數字經濟的基本要求。數字、文化、媒體和體育部(The Department for Digital, Culture, Media & Sport,DCMS)是英國負責數字經濟的主要政府部門,也負責消費者互聯網連接設備和服務的安全,通過審查確保下一代連接的設備和服務“默認安全”。DCMS將與其他部門(例如能源部門的BEIS)或與國際夥伴合作,比如自主車輛和連接醫療設備等特定領域,創建安全可信的技術。
<strong>(1)重點技術一:聯網醫療設備
聯網醫療設備可以免除人工數據輸入,能夠實現更快、更頻繁的數據更新、減少人為錯誤和提高工作效率,確保病人得到更好的治療。支持醫療專業人員做出快速有效決策的臨床支持軟件的進步有可能徹底改變醫療服務方式。然而,類似2017年全球爆發的病毒攻擊事件(WannaCry ransomware)再次證明了網絡攻擊會直接影響病人護理。醫療器械已經有了成熟的立法和監管框架,但互聯醫療設備和其他新興技術在多大程度上適應了這一框架仍是難題。
2016年7月護理質量委員會(Care Quality Commission)發佈的《國家健康與護理數據監測報告》(National Data Guardian for Health and Care)特別推薦了十項數據安全標準,要求新技術提供護理的潛力必須與確保數字產品安全、合乎道德、得到使用者的信任以及不引入可能影響基本服務的需要相平衡。為此,衛生署(Department of Health)已與國民健康服務數碼系統(NHS Digital)及藥物及醫護產品監管局(Medicines & Healthcare products Regulatory Agency,MHRA)合作,簡化衛生和護理機構及業界所需採取的網絡步驟,以便安全使用創新的健康護理軟件及連接醫療器材。
<strong>(2)重點技術二:互聯與自動駕駛
互聯與自動駕駛技術(Connected and Autonomous Vehicle,CAV)將深刻改變人類的出行方式,使道路運輸更加安全、順暢和智能化。互聯技術使車輛可以相互通信或運輸基礎設施;自動駕駛技術使車輛能夠在某些情況下承擔駕駛任務,未來自動駕駛汽車技術可以使車輛在不需要人工駕駛的情況下行駛。英國具有寬鬆的監管框架、蓬勃發展的汽車行業以及優秀的研究
基礎和創新基礎設施,被認為是全球開發和測試這些技術的最佳地點之一。
但是,消費者的信任對於實現CAV技術的潛在利益至關重要。這包括對CAV用戶和其他道路使用者的人身安全的信任,以及對安全和適當地處理個人數據的信任。這需要採取包括網絡安全在內的一系列措施來實現。
<strong>(3)重點技術三:智慧城市
智慧城市是技術創新和計劃的集合,採用傳感器並利用更大的連接性來增加數據收集範疇。智慧城市的主要目標是通過利用大數據更有效地、可持續地管理基礎設施以改善居民生活。確保網絡安全是智慧城市的基石。英國政府將倡導智慧城市設計中的“默認安全”(secure by default)原則。交通部(Department for Transport,DfT)正在制定一個有凝聚力的智慧城市發展和行動計劃,旨在為城市領導者提供智能系統。此外,DfT進行的一項大數據研究調查瞭如何從智慧城市中的大數據和物聯網中獲得最優的運輸利益。
<strong>3保護國家、組織和個人安全
新興技術將直接影響英國政府、地方當局以及政府所有部門的運作方式。隨著英國所有部門的安全得到加強,政府將確保新政策制定和實施會更多考慮到新興技術。這些技術可以為更多設備在政府大樓內安全地共享數據鋪平道路。英國“技術操作規範”列出了英國政府在設計、建造和購買技術時必須遵循的14條準則,其中第4項是致力於確保網絡安全。
此外,必須確保公眾和所有組織都能保護自己免受新興技術的網絡威脅。物聯網設備面臨阻礙經濟的爭議,然而公眾可以促進這些問題得到解決,同時保護自己的設備不受濫用。英國政府將繼續幫助企業樹立網絡意識,從而有效保護其免受網絡犯罪侵害。由於新興技術涉及一系列商業部門和各階層公眾,政府將擴大工作範圍。公眾對技術、網絡安全、科技機會和風險的認識仍是重中之重。英國政府需要更多地瞭解網絡罪犯將利用哪些人類行為弱點,瞭解個人如何與新技術互動,以確保其所採取網絡安全措施的適當性。
<strong>四、採取的具體措施
<strong>1. 建立權威型政府
《國家網絡安全戰略》(National Cyber Security Strategy)表明,英國政府將建立權威型政府。國家網絡安全中心(National Cyber Security Centre,NCSC)將負責識別重要的網絡技術。國家能力建設委員會將定期發表關於新興技術的諮詢意見。委員會將與各部門和機構,包括權力下放的行政部門合作,使各部門認識到網絡安全政策制定和政府運作的影響。NCSC 將幫助英國克服網絡安全技術的複雜性,以及由於專業知識分散導致的政策制定困難。
<strong>2. 加強專業能力建設
為了利用網絡安全方面的最新技術,並應對技術變革帶來的網絡風險,英國需要確保其在學術界和工業界擁有強大的知識人才儲備。展望未來,國家網絡安全中心將與工業界和學術界的專家合作,定期評估英國網絡安全知識和專業技術知識是否充分。若存在威脅國家安全的風險,NCSC和DCMS將共同努力,共同協調英國政府和權力下放行政當局的工作,制定必要的干預措施。
<strong>3. 明確績效評估手段
英國將根據以下方式評估目標的實現程度:
第一,NCSC定期發佈高質量、權威的諮詢意見,介紹將對網絡安全產生影響的新興技術趨勢。
第二,各部門通過科學和技術水平掃描(特別是來自NCSC關於重要前沿技術的建議)制定的網絡安全政策是否及時並能被廣泛告知。
第三,英國可以獲得必要的網絡安全知識,以便能夠應對新出現的技術挑戰,併為英國政府的政策制定提供信息。特別是對於科技問題,要獨立審查掃描的有效性,以及政策制定的合理性。作為英國政府執行《國家網絡安全戰略》工作業績的一部分,英國將公開工作的進展情況,並與行政當局交流最佳方案。
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/663181/Embargoed_National_Cyber_Science_and_Technology_Strategy_FINALpdf.pdf
編譯:陳海濤 張新玲
《創新研究報告》編輯:曹學偉 張麗琴
<strong>感謝您的支持與關注,歡迎賜稿交流
投稿郵箱:[email protected]
閱讀更多 中國科協創新院 的文章
