ACM通信
安全
网络安全是计算研究的未来照明者
信贷:卡洛斯·卡斯提拉
今天,各种不同的力量,如计算在现代社会中日益增长的中心地位,学科本身的知识和技术的成熟,对研究结果影响的不断变化的期望,以及有效的研究人员职业路径的不断发展的概念,促使我们反思计算研究领域和职业应该如何发展和改变。
在本专栏中,我们认为,网络安全在现实世界系统中的作用,以及它的缺失所带来的代价,正使这些力量的影响在网络安全研究社区中特别清晰和特别早地可见。因此,今天网络安全研究人员所吸取的教训可以帮助照亮未来更大的计算研究企业的进化之路。为了探究这一想法,我们概述了我们看到的几个激励因素,以及网络安全研究人员从中汲取的一些教训。然后我们转向更广泛的领域,并提出了一系列值得在此背景下提出和探索的问题。
我们从这个建议开始失败在过去许多网络安全研究、开发和部署的背景下,充分考虑这些力量已经给社会带来了灾难性的后果。在许多计算系统的设计和操作中,安全仍然是一个不综合的考虑因素,它被狭隘地处理,而不是全面地处理。同样,安全仍然被许多计算研究社区在一个狭窄的技术环境中看待,导致结果与激励现实世界的需求不一致。对人为因素的理解和考虑不足。
这些限制的结果是众所周知的——不安全的计算结构与戏剧性的现实世界的后果几乎是司空见惯的。最近的例子包括Stuxnet、Log4j、SolarWinds、Colonial Pipeline、医院目标勒索软件、APT41、Russian Cozy Bear等等。这些失败不仅会影响我们的日常生活,还会对全球地缘政治动态产生严重影响。
考虑到这些恼人的问题,我们有理由问一个简单的问题:为什么?另一个问题是:如果有的话,我们能做些什么?
显然,研究的局限性并不是导致安全和隐私领域在现实世界中失败的唯一因素。但从某种程度上说,研究可以有所帮助修复问题是,我们认为当前网络安全研究没有更有效的一个关键原因是所需研究的基本性质发生了变化。
所面临的挑战
当今现实世界的网络安全挑战,以及当今最引人注目的网络安全研究,越来越多地被一些力量和趋势所定义,这些力量和趋势将其与该领域创始时代的简单环境区分开来。推动网络安全研究生命周期这个新阶段的力量是多方面和复杂的,但可以确定四个定义轴。这些都是:
- 计算机作为现代社会的基本支柱的出现,以及网络安全挑战的范围和广度。
- 学科本身的知识成熟。
- 不断增加与同行学科的联系和整合需求。
- 与这些力量相适应的研究的复杂性和复杂性,也对研究结构、组织和环境提出了相应的挑战。
简而言之,网络安全研究领域正在成长。它不再是50年甚至20年前那种以经验为基础、处于早期阶段的学科,目的是在有限和明确界定的情况下解决相对直接的问题。然而,它也不是,也可能永远不会是,完全成熟、高度结构化、程式化和规范的传统工程专业领域,如土木或机械工程。相反,这是一个过渡性的领域,它面临着新的责任和以它所不熟悉和直到现在还不需要的方式将其自身有效地融入更大的非技术世界的挑战。
值得赞扬的是,网络安全研究人员和网络安全研究社区越来越多地认识到和接受这一挑战。例如,网络安全研究通常是在多学科背景下进行的,有可用性专家、社会学家、经济学家和其他类似相关的人。在可能和适当的情况下,采用严格和正式的方法来进行经验评价。测试平台和类似的研究基础设施越来越关注于有效的现实世界建模,而不是综合人工实验。每一个这些,沿着自己的轴线,都是一个成熟的学科的证据——对我们在这里描述的力量的有效回应。
许多计算研究团体仍然在一个狭窄的技术背景下看待安全性,导致结果与激励现实世界的需求不一致。
但网络安全绝不是唯一面临成熟挑战的行业。这些同样的力量也与现代计算研究的许多其他方面有关——健壮可靠的系统、可用性和可访问性、偏见和歧视,也许最重要的是,诸如无处不在的社交网络和社会本身的稳定性等技术之间日益明显的相互作用。在每一个领域中,技术的日益成熟和社会对其依赖程度的不断提高之间的相互作用产生了我们所描述的力量。
因此,创建理解、条件、工具、方法、结构和研究文化的目标,需要进行计算研究,以有效地响应这些更大的力量,这远远超出了网络安全领域。而且,由于网络安全社区正在迅速获得应对这一挑战的经验,我们可以从今天的网络安全研究中吸取教训,帮助塑造未来计算研究的发展。
因此,我们寻求的是两部分的下一步——将这些经验从网络安全社区扩展到计算研究的其他方面,同时进一步加强和系统化我们的社区对其自身不断变化的环境的响应。
响应
我们将对这些观察结果的回答概括为一系列问题。我们的目标是抓拍网络安全研究领域发展过程中的某一时刻,捕捉和阐明推动这一过程的基本力量,并探索我们的研究社区在塑造自身和社会未来时可用的战略和方法。
我们首先陈述两个经验教训,我们相信我们的社区基本上同意这一点。
- 如今的安全和隐私研究往往局限于几个特定的调查领域。我们常常允许自己——或者被迫——狭隘地专注于细小的研究目标(学生毕业、发表论文、获得终身教职、在截止日期前推出新产品)。这是这两个因为这样的研究比一种更综合的方法更容易组织和实施,而且因为目前的激励结构——公开、新颖性、即时可实施性和作为主要优点的个人可见性——需要这样做。
- 网络安全不仅仅是一门工程学科。它需要那些理解非技术动机、力量和激励的人(经济学家、社会学家、人类学家和其他类似的学科)的深入参与,以创建可以预测和指导有效的现实世界战略的整体视角。这种现实为合作、伙伴关系和新形式的商业和学术工作关系创造了丰富的环境,但同时由于研究文化、方法和方法的根本差异,也带来了深刻的挑战。这不是一个新观点。但我们必须认识到,要做到这一点有多么困难,要做到这一点对成功有多么重要。
在这种情况下,我们想知道如何将这些经验应用到更广泛的计算研究领域。我们的关键观察是,我们在网络安全领域的教训背后的最终驱动因素是之前在“挑战”中描述的成熟过程。出于这个原因,我们建议网络安全社区在这些和类似的教训上的经验同样适用于正在经历同样成熟过程的计算研究的其他方面。
为了利用这一观察结果,我们列举了一组受成熟过程基本影响的主题领域,并在每个领域中考虑一些具体的问题,这些问题可以帮助指导、塑造和系统化响应这种快速变化的环境的研究环境。
的问题
我们考虑四个广泛的领域,并在每个领域中列出几个具体的问题作为范例。
领域1:确定和强调新兴技术方向的战略。在这方面,我们要求:
- 作为一个社区,我们应该如何尽早确定可行的技术方向,并鼓励研究人员予以关注?未来我们能更有效地做到这一点吗?哪些新的社区结构、工具、协作和活动可能支持这一点?
- 计算研究社区应该如何更好地平衡“新的探索性研究”和“知识系统化”,创造激励和动机去做这两者?
- 我们能否确定作为范例或激励因素的具体技术方向?是否有将计算研究整合到更大的社会关注和其他技术学科的研究领域?将知识系统化,使其更容易获取?
领域二:招募人才和培养科研事业。在这方面,我们要求:
- “计算研究”这个领域的变化如何影响招聘前景?理想的教育背景和准备的性质?扩大参与的实质性努力?
- 在这种情况下,我们社区中的不同元素可以采取什么步骤来加强对研究职业的兴趣?我们能否更好地解决作为一种职业的研究的消极文化认知,并加强积极的文化认知?特别是关于计算机研究?
- 对于K-12和本科学习来说,哪些新的和新兴的策略会让学生对研究基础有更强的兴趣和能力?我们的社区如何才能在广泛的教育领域最好地支持和传播这些策略?
领域三:研究的新模式。在这方面,我们要求:
- 我们的社区能否更好地利用现有的合作、跨学科、跨部门和松散耦合的实践社区的动态研究,以指导和深化我们对这些结构模型的使用?计算研究是否在这方面提出了自己独特的研究问题,如果是的话,我们是否可以将这些问题作为自己的研究主题引起注意?
- 实用地说,计算研究社区如何使跨领域、协作和多学科的研究工作更有效、更容易进行?
- 我们能否确定可以用来探索和验证新的研究模式的具体杠杆?同样,我们能否确定可以移除的特定障碍?
领域四:研究资助模式检讨在这方面,我们要求:
- 是否需要改变当前的研究资助模式来促进上述三个领域的进展?
- 我们能从全球其他研究资助模式中学到什么?
- 政策驱动的方法、跨社区私人资助和新形式的产学研伙伴关系的作用是什么?
调用
当然,这些问题并不新鲜。许多方案都经过了多年的深思熟虑。现在的不同之处在于计算、计算研究和这些事物所在的更大的社会之间的关系发生了戏剧性的、越来越明显的变化。从网络安全研究社区的经验和对我们的领域发展的新趋势的研究中,我们看到了将许多已经在进行的对话连接成一个统一的、统一的和有远见的整体的新的优点和新的力量。我们希望创建一个有趣的,有信息的,有价值的对话:
- 对所选领域的发展有浓厚兴趣和/或观点的计算机研究专业人士。
- 年轻的计算机研究人员对自己的位置和职业道路感兴趣,在我们快速变化的职业中。
- 研究同事,他们的兴趣集中在先进计算、数据科学、人工智能和相关能力代表他们自己的研究领域的现有或新兴的使能者的领域和学科。
- 行业技术专家和政策制定者对塑造计算研究和我们领域研究成果的众多消费者之间的未来关系感兴趣。
- 研究政策专业人员和那些关注在更大的社会或经济背景下推进未来计算研究的人。
- 科学和技术传播者和其他对新计算研究范式的出现感兴趣的人。
本专栏是我们为推进这一讨论而探索的许多内容中的一个步骤。我们正在积极为您寻找机会,让您塑造对话,直接发表您的观点,并与与您有共同兴趣并带来不同观点的其他人接触。我们诚邀您的加入!
数字图书馆是由计算机协会出版的。版权所有©2022 ACM, Inc.
没有发现记录