“網絡空間安全系統(tǒng)”重點專項2018年度項目的編制大綱設計

實用標準文案“網絡空間安全”重點專項2017年度項目申報指南精彩文檔項目申報全流程指導單位：北京智博睿投資咨詢有限公司依據(jù)《國家中長期科學和技術發(fā)展規(guī)劃綱要（ 2006—2020年）》，科技部在全國范圍內征集了網絡空間安全技術研究建議。在整理相關建議的基礎上，科技部會同有關部門組織開展了《網絡空間安全重點專項實施方案》編制工作，并經綜合各方意見，啟動“網絡空間安全重點專項” 2016 年度首批項目，并發(fā)布本指南。本專項總體目標是：貫徹落實中央網絡安全和信息化領導小—2—實用標準文案組工作部署，聚焦網絡安全緊迫技術需求和重大科學問題，堅持開放發(fā)展，著力突破網絡空間安全基礎理論和關鍵技術，研發(fā)一批關鍵技術裝備和系統(tǒng)，逐步推動建立起與國際同步，適應我國網絡空間發(fā)展的、自主的網絡空間安全保護技術體系、網絡空間安全治理技術體系和網絡空間測評分析技術體系。本專項圍繞：網絡與系統(tǒng)安全防護技術研究、開放融合環(huán)境下的數(shù)據(jù)安全保護理論與關鍵技術研究、大規(guī)模異構網絡空間中的可信管理關鍵技術研究、網絡空間虛擬資產保護創(chuàng)新方法與關鍵技術研究、網絡空間測評分析技術研究等 5個創(chuàng)新鏈（技術方向）部署32個重點研究任務，專項實施周期為 5年，即2016年—2020年。按照分步實施、重點突出原則，首批在 5個技術方向啟動8個項目。針對任務中的研究內容，以項目為單位進行申報。項目設 1名項目負責人，項目下設課題數(shù)原則上不超過 5個，每個課題設1名課題負責人，每個課題承擔單位原則上不超過 5個。網絡與系統(tǒng)安全防護技術研究方向精彩文檔1.1創(chuàng)新性防御技術機制研究（基礎前沿類）研究內容：針對現(xiàn)有防御技術難以有效應對未知漏洞 /后門帶來的嚴峻挑戰(zhàn)，探索不依賴漏洞/后門具體特征等先驗信息的創(chuàng)新型主動防御機理，發(fā)展基于“有毒帶菌”構件及組件建立風險可控信息系統(tǒng)的“沙灘建樓”式系統(tǒng)安全方法和技術，從體系結構層面大幅提高攻擊難度和代價，顯著降低網絡空間安全風險。具體內容包括：提出和構建“改變游戲規(guī)則”的創(chuàng)新性防御理論體系，研究理論模型、安全架構和度量評估方法；研究面向網絡、平臺、運行環(huán)境、軟件和數(shù)據(jù)的創(chuàng)新型防御共性關鍵技術，提供風險可控的執(zhí)行環(huán)境和網絡通道，確保核心任務安全，顯著提高系統(tǒng)安全性；研究基于所提出的創(chuàng)新型防御理論、方法和技術的網絡空間核心關鍵設備原型樣機并開展原理驗證?？己酥笜耍?.初步建立創(chuàng)新型網絡空間安全防御理論體系，給出其理論模型、機制機理和安全度量方法，構建原型環(huán)境，完成原理驗證。2.研發(fā)兩類以上網絡空間核心關鍵設備原型樣機。 樣機應在—4—實用標準文案允許攻擊方基于白盒構造測試樣例的前提下，設定防御方不掌握測試漏洞/后門具體特征且不得進行增量開發(fā)的測試環(huán)境中， 能在不降低主要性能指標的同時，抵御90%以上測試漏洞和后門帶來的安全威脅。發(fā)表學術論文70篇，其中SCI/EI不少于30篇，具有國際影響力的論文5篇以上，申請國家發(fā)明專利30項以上。提出的理論、方法、技術和原型樣機，支持基于商業(yè)軟硬件構筑風險可控的網絡信息系統(tǒng)，具備商業(yè)推廣價值。實施年限：不超過3年擬支持項目數(shù)：1—2項1.2工業(yè)控制系統(tǒng)深度安全技術（重大共性關鍵技術類）研究內容：控制系統(tǒng)與互聯(lián)網技術的深度融合引發(fā)了工業(yè)控制系統(tǒng)網絡安全新的重大挑戰(zhàn)，亟需系統(tǒng)性地從理論模型、關鍵技術、裝備研制及測試評估等方面開展工業(yè)控制系統(tǒng)深度安全技術研究。針對工控系統(tǒng)攻擊機理和工程特征，研究建立工控系統(tǒng)網絡入侵與攻擊模型；研究工控系統(tǒng)靜態(tài)和動態(tài)安全漏洞分析與精彩文檔挖掘技術，安全漏洞深度利用技術；研究具備主動防護能力的工控系統(tǒng)安全防護體系架構、動態(tài)重構機制及方法；研究支持多種工控網絡協(xié)議的可編程嵌入式電子設備以及實時控制與監(jiān)控軟件等工控系統(tǒng)組件的動態(tài)防護關鍵技術，提高工控系統(tǒng)內核及應用安全性；研究工控系統(tǒng)信息安全的評估方法與標準；研制工控系統(tǒng)漏洞挖掘、攻防偵測、安全加固、評估分析等工具與裝備，研制具有主動防護能力的工控系統(tǒng)，形成工控系統(tǒng)深度安全防護整體解決方案。考核指標：1.典型工業(yè)裝置主流控制系統(tǒng)的組態(tài)軟件、 監(jiān)控軟件、工業(yè)實時數(shù)據(jù)庫、控制站嵌入式軟件等核心部件的漏洞新增發(fā)現(xiàn)不少于60個，漏洞利用樣本新增不少于 30種，建立至少包含檢驗篡改組態(tài)數(shù)據(jù)、偽造控制指令、實時欺騙、獲取超級權限等4類漏洞類型的測試樣例集合。研發(fā)不少于3類典型工業(yè)裝置、6種國內外主流工控系統(tǒng)的深度安全技術測試驗證平臺，能有效驗證以上四類漏洞，并支持不少于5種國際主流工業(yè)協(xié)議深度解析和安全技術測試驗證。—6—實用標準文案研發(fā)具有可動態(tài)重構、異構冗余、隨機多樣化特征的動態(tài)防護工控系統(tǒng)組件（組態(tài)軟件、監(jiān)控軟件、控制器嵌入式軟件）及相關工具不少于10種，測試方可基于該系統(tǒng)組件的源代碼設置攻擊測試用例，且防御方不掌握具體漏洞成因、特征信息與利用細節(jié)的條件下針對上述（第 1條）4類漏洞的防御成功率達到80%以上（進行雙盲測試），同時對控制系統(tǒng)功能不產生影響，且對實時性性能影響與部署前相比不超過 5%。研發(fā)具備主動防御功能的DCS、PLC等工業(yè)控制系統(tǒng)一套，通過測試樣例集合的驗證，在具有 IO信號點超過1萬點、控制站超過20個、操作站超過60臺規(guī)模的大型電力、冶金或煉化等工程系統(tǒng)中進行示范應用，主動防御功能達到：通信健壯性達到Achilleslevel2 認證要求或同等能力；具有通信加密措施，防止通信數(shù)據(jù)被竊聽或篡改；具有硬件、網絡、數(shù)據(jù)全冗余和實時診斷措施，單一故障不影響工業(yè)控制系統(tǒng)正常運行。發(fā)表學術論文25篇，其中SCI/EI不少于20篇，申請國家發(fā)明專利30項以上，提交國家或國際標準不少于 3項。精彩文檔實施年限：不超過 3年擬支持項目數(shù)：1—2項1.3天地一體化網絡信息安全保障技術（重大共性關鍵技術類）研究內容：研究適應網絡信道條件復雜、通信資源受限、節(jié)點高速運動、鏈路間歇連通的天地一體化網絡空天安全接入控制技術，確?？仗鞓I(yè)務連續(xù)無縫安全切換； 研究天地一體化多域網絡安全互聯(lián)控制技術，保證天地一體網絡不同網絡域之間的信息安全傳輸；針對天地一體化網絡拓撲復雜、高度異構、實體類型多元化的特點，研究全網密碼資源的跨域聯(lián)合管理、密碼與協(xié)議配置；研究天地一體化網絡認證解決方案，研究真實可信的設備地址和用戶身份的驗證管理方法及鑒權機制，實現(xiàn)資源異構情況下的安全認證；研究天地一體化信息網絡安全威脅情報和態(tài)勢感知體系，綜合展示空天信息網絡安全威脅與安全態(tài)勢；研究支持空天網絡安全分析的信息網絡仿真技術；研究天地一體化網絡的動態(tài)重構技術，提高抗攻擊能力?！?—實用標準文案考核指標：1.提供多鏈路安全接入防護功能， 能夠對典型業(yè)務終端的身份進行鑒別、并根據(jù)入網權限實施終端入網控制，抵御重放欺騙、篡改、偽造等攻擊，支持大規(guī)模并發(fā)安全接入認證以及無縫安全切換，支持高速節(jié)點的接入認證，實現(xiàn)空天節(jié)點身份的可信保持與服務的連續(xù)性。提供多域網絡互聯(lián)安全控制功能，提供基于分域策略和IP地址的數(shù)據(jù)傳輸控制能力，提供對網絡攻擊行為的檢測能力。密碼資源管理應全面支持我國國產密碼算法，并可兼容國際主流密碼算法的資源調配，密碼資源動態(tài)調配、切換導致業(yè)務系統(tǒng)性能降低不超過10%，相關密鑰管理、密碼算法實現(xiàn)的軟硬件模塊安全性達到密碼行業(yè)標準《密碼模塊安全技術要求》三級（及）以上。實現(xiàn)天地一體化網絡的實體認證解決方案，驗證環(huán)境可支持合法設備的無縫漫游，實現(xiàn)針對10類不同實體的認證技術。實現(xiàn)全網的威脅情報處理和態(tài)勢感知，態(tài)勢及威脅情報信息交付率不低于99%，系統(tǒng)發(fā)生故障或錯誤的恢復時間小于2小時。精彩文檔研制完成天地一體化信息網絡安全技術仿真平臺，覆蓋空間信息網絡傳輸鏈路和地面系統(tǒng)的全部設備和安全組件，覆蓋導航、遙感等不同衛(wèi)星，支持1萬以上衛(wèi)星終端、10萬以上通信鏈路的實時通信仿真，支持 1000條以上安全事件的并發(fā)仿真，支持10萬用戶實時在線、百萬并發(fā)數(shù)據(jù)的大規(guī)模仿真測試。支持對天地一體化網絡中安全設備的集中統(tǒng)一管理，支持基于任務的動態(tài)安全策略管理，實現(xiàn)安全事件格式及語義的歸一化解析。實施年限：不超過3年擬支持項目數(shù)：1—2項開放融合環(huán)境下的數(shù)據(jù)安全保護理論與關鍵技術研究2.1大數(shù)據(jù)環(huán)境中的數(shù)據(jù)保護和隱私保護基礎理論研究（基礎前沿類）研究內容：針對大數(shù)據(jù)環(huán)境中的數(shù)據(jù)安全和用戶隱私問題，構建面向海量數(shù)據(jù)和用戶的數(shù)據(jù)和隱私保護基礎理論和技術體系，包括涉密信息保護、數(shù)據(jù)使用授權、敏感數(shù)據(jù)保護、隱私風—10—實用標準文案險評估、數(shù)據(jù)匿名發(fā)布、數(shù)字水印和溯源等基礎理論與技術；研究大數(shù)據(jù)環(huán)境中數(shù)據(jù)保護理論模型，包括基于新型密碼算法的數(shù)據(jù)訪問控制機制、加密數(shù)據(jù)的關鍵詞搜索方法、存儲數(shù)據(jù)的完整性驗證方法、敏感數(shù)據(jù)的細粒度分級和智能分類保護方法等，保護數(shù)據(jù)在生成、存儲、發(fā)布、應用、消亡等生命周期的安全，支持涉密數(shù)據(jù)的流轉控制、隔離和交換；研究大數(shù)據(jù)環(huán)境中隱私保護理論模型，包括隱私數(shù)據(jù)刻畫和甄別、數(shù)據(jù)發(fā)布隱私保護、社交網絡匿名保護、標識符匿名保護、位置數(shù)據(jù)隱私保護、數(shù)據(jù)脫敏處理等理論和技術方法，制定大數(shù)據(jù)隱私保護標準規(guī)范；研究基于數(shù)字水印的數(shù)據(jù)隱私隱藏理論，包括圖像和視頻隱寫分析、數(shù)字水印和溯源、多媒體同態(tài)隱私加密、加密音視頻數(shù)據(jù)檢測等方法?？己酥笜耍?.提出大數(shù)據(jù)環(huán)境中的數(shù)據(jù)保護理論模型， 提出數(shù)據(jù)細粒度訪問控制方法，提出支持多用戶多關鍵字的密文數(shù)據(jù)和數(shù)據(jù)庫搜索方法，提出多敏感屬性的分級分類數(shù)據(jù)保護模型。2.建立大數(shù)據(jù)環(huán)境中的隱私保護理論模型， 提出一系列隱私精彩文檔甄別和保護方法，至少包括數(shù)據(jù)發(fā)布隱私保護、社交網絡匿名保護、標識符匿名保護、位置數(shù)據(jù)隱私保護、數(shù)據(jù)脫敏處理等 5種。提出基于數(shù)字水印的圖像、音頻、視頻等多媒體數(shù)據(jù)的隱私保護模型，實現(xiàn)高效的多媒體同態(tài)隱私加密算法，密文膨脹率不超過30%。發(fā)表高水平學術論文70篇以上，其中SCI/EI檢索論文不少于30篇，具有國際影響力的論文5篇以上；申請專利10項以上；起草行業(yè)或國家標準1項以上。實施年限：不超過5年擬支持項目數(shù)：1—2項大規(guī)模異構網絡空間中的可信管理關鍵技術研究3.1網絡可信身份管理技術研究（重大共性關鍵技術類）研究內容：面向國家網絡空間社會治理的需求，研究網絡可信身份管理技術，為國家開展網絡空間治理提供技術支撐；研究適應多種環(huán)境的異構實體身份標識技術；研究基于大數(shù)據(jù)和行為分析的多級可信、多因子身份鑒別系統(tǒng)與技術；研究具備隱私?！?2—實用標準文案護特性的網絡實體真實身份證明與鑒別技術；研究具備身份聯(lián)合能力的統(tǒng)一身份管理、授權與服務技術；研究身份聯(lián)合與管理服務的互操作評估技術與系統(tǒng)；研究實體行為追蹤溯源與安全審計技術與系統(tǒng)，研制網絡身份管理與服務可信等級的評估評價標準與工具?？己酥笜耍?.身份管理系統(tǒng)應支持億級規(guī)模的身份管理， 百萬級并發(fā)、1000個應用條件下，單個身份鑒別延時不大于 3秒，身份鑒別應采用國產密碼算法，支持安全可定制的不同級別的鑒別方式，至少包括：口令、電子憑證、生物特征、個體行為、先驗知識等方式及其組合。完成真實身份的證明與核驗服務系統(tǒng)，10萬級并發(fā)條件下的響應時間不大于3秒，支持X.509證書、二代身份證、eID等不同的電子身份證件。支持不同安全域的身份聯(lián)合，在保障用戶隱私與數(shù)據(jù)安全的前提下，實現(xiàn)域間的互聯(lián)互通，支持不少于 2個主流身份聯(lián)合協(xié)議，支持國產密碼算法，具備與國內、國際身份管理系統(tǒng)聯(lián)合精彩文檔的能力，并經過聯(lián)合驗證。形成身份管理的互操作及可信等級評估規(guī)范和工具，對不少于5個身份管理系統(tǒng)的互操作能力及可信等級進行評估，完成評估報告。開發(fā)支持億級實體的行為關聯(lián)分析系統(tǒng)，支持100個以上身份管理系統(tǒng)的行為元數(shù)據(jù)匯聚，實現(xiàn)秒級的實體追蹤與定位。完成國家或行業(yè)標準建議稿10項，軟件著作權20項，申請專利20項。實施年限：不超過3年擬支持項目數(shù)：1—2項網絡空間虛擬資產保護創(chuàng)新方法與關鍵技術研究4.1網絡空間數(shù)字虛擬資產保護基礎科學問題研究（基礎前沿類）研究內容：針對虛擬貨幣、數(shù)字版權、網絡游戲等網絡空間數(shù)字虛擬資產的安全問題，研究數(shù)字虛擬資產保護基礎理論體系，包括數(shù)字虛擬資產的數(shù)學模型、威脅感知、安全管理和風險控制—14—實用標準文案等；研究現(xiàn)有網絡空間數(shù)字虛擬資產的分類以及各類網絡資產的表達方法，研究并提出新形勢下數(shù)字虛擬資產的安全表示方法；研究數(shù)字虛擬資產基礎數(shù)學模型， 包括屬性、頒發(fā)者、使用權限、使用范圍、數(shù)字簽名、加密、防偽等，并建立數(shù)字虛擬資產的識別和描述模型；研究數(shù)字虛擬資產安全管理模型，包括數(shù)字虛擬資產登記、用戶身份認證、數(shù)字虛擬資產安全存儲、數(shù)字虛擬資產安全交易、數(shù)字虛擬資產使用控制、數(shù)字虛擬資產追蹤溯源等；研究數(shù)字虛擬資產動態(tài)風險控制模型，包括主動調整系統(tǒng)的防御策略，動態(tài)風險控制策略知識庫、動態(tài)風險控制引擎等；研究虛擬資產的發(fā)展趨勢及對社會真實資產的影響。考核指標：1.提出數(shù)字虛擬資產基礎數(shù)學模型、 數(shù)字虛擬資產安全威脅自適應發(fā)現(xiàn)模型、數(shù)字虛擬資產安全威脅變化實時定量感知模型。數(shù)字虛擬資產表達方法應涵蓋現(xiàn)有主流的資產類別。提出數(shù)字虛擬資產身份認證和安全存儲模型，數(shù)字虛擬資產安全交易、使用控制和追蹤溯源模型，并提出數(shù)字虛擬資產動精彩文檔態(tài)風險控制模型。實現(xiàn)數(shù)字虛擬資產安全管理與交易原型系統(tǒng)，支持至少3種已有的數(shù)字虛擬資產（包括虛擬貨幣、數(shù)字版權、網絡游戲等）。發(fā)表高水平學術論文70篇以上，其中SCI/EI檢索論文不少于30篇，具有國際影響力的論文5篇以上；申請專利10項以上。實施年限：不超過3年擬支持項目數(shù)：1—2項網絡空間測評分析關鍵技術研究5.1網絡系統(tǒng)安全度量方法與指標體系（基礎前沿類）研究內容：研究網絡系統(tǒng)安全度量的影響因素和體系模型，包括各種安全機制的有效性評估方法、系統(tǒng)脆弱性的評價方法、攻擊威脅模型及攻擊影響計算方法，以及以上因素的時間變化規(guī)則和相互影響機制；研究網絡系統(tǒng)安全特性的量化表達方法和參考框架，包括各種安全特性的定義、制約關系、服務影響和性能影響的量化表達方法；研究網絡系統(tǒng)安全參數(shù)的采集方法和機制，—16—實用標準文案包括自動化和半自動采集方法、基于滲透攻擊的采集方法、非破壞性的采集方法、大規(guī)模系統(tǒng)的安全參數(shù)組合機制等；研究攻擊技術的破壞能力量化評估機制，包括各種攻擊方法和原理的隱蔽機制分析、對不同安全特性和服務性能的影響分析、攻擊技術的伸縮性、安全事件的連鎖反應機理等量化評估；研究網絡系統(tǒng)安全度量方法和指標體系的驗證，包括網絡真實攻擊和防御歷史事件的分析、攻擊技術和防御技術發(fā)展趨勢總結及其對網絡系統(tǒng)安全程度的影響；針對典型應用場景，研究安全度量的參考操作流程和指標的參考體系?？己酥笜耍?.提出完整的指標體系框架， 給出每項指標的明確定義。度量方法具有廣泛的適用性，既可用于孤立、隔離的系統(tǒng)，也可用于廣泛互聯(lián)的系統(tǒng)。針對指標體系框架中提出的每項指標，提出具體的、可操作的測量方法，測量方法至少應涉及測量對象的定義；量化依據(jù)，及其客觀性分析；具體流程、數(shù)據(jù)采集方式、計算方法等的設計；精彩文檔復雜測量方法應給出技術性、資源可行性、管理可行性的分析。度量結果應是量化的，結論客觀；同一場景下的不同系統(tǒng)的度量結果具有可比性；同一系統(tǒng)的不同時間點的度量結果具有可比性。度量方法輸入包括系統(tǒng)結構、防御方案、系統(tǒng)脆弱性、攻擊現(xiàn)狀、安全事件影響。完成3種典型網絡系統(tǒng)的量化評估，給出評估報告；完成種典型攻擊技術的破壞能力量化評估，給出評估報告。發(fā)表高水平學術論文70篇