时间:2022-12-20 16:54:02来源:中国网科技
近日,2022全国信创与人工智能发展博士后学术论坛线上召开,论坛由全国博士后管委会办公室、中国博士后科学基金会等单位共同主办,由天津科技大学、天津市人力资源和社会保障局等单位联合承办,360集团副总裁兼首席安全官、天津智慧城市数字安全研究院院长杜跃进参会并以“信创安全的挑战与应对”为题发表演讲。
当前,随着国产信息化替代浪潮的兴起,中国进入大信创时代,并由此带来了巨大的信创安全挑战。杜跃进旗帜鲜明的指出——“自己做的不等于安全的”,数字化的典型特征之一是“一切皆可编程”,这意味着漏洞难以避免。按照统计,每千行代码便会有4-6个漏洞,漏洞的产生不以人的意志为转移,成为软件安全的最大隐患。
面对发展如火如荼的信创产业,杜跃进对于安全形势表达了担忧,认为当前信创安全建设面临着时间紧、范围大、积累少三大挑战。信创安全涉及面非常多,从底层IT基础到顶层的业务应用,需要同步进行全面设计和实施,但基础又非常薄弱。目前,我国信创相关厂商的安全意识和安全能力普遍不足,安全人才、技术等领域缺乏积累。在国际形势日趋复杂的今天,信创用户已经成为高水平攻击者的首要目标。
两年前,受国家有关部门委托,信创安全技术委员会成立,推动信创安全进行体系化建设。作为信创安全技术委员会主任,杜跃进展示了信创安全的体系化设计图,包括“两个减少、三个增强”,从可信性、安全性、可控性、可对抗性、可存活性五个层次划分,由下而上,层层推进,在不同的威胁等级下定义不同的信创系统安全标准。
杜跃进表示,当前最突出的问题在于“安全性”,大量信创产品在缺陷、漏洞上存在严重问题,信创软件安全是最亟需解决的问题。既是整个信创安全体系的基础,也是当前最需要补足的短板。2021年,在信创安全技术委员会的主导下,首届信创关键产品安全挑战赛召开,比赛发现信创产品中存在大量高危漏洞和长期未修复的漏洞,对参加比赛的信创厂商帮助极大。
然而,面对巨大的风险挑战,从总体上来看,信创厂商的安全意识和实战能力普遍不足,信创软件在设计开发阶段并未充分考虑安全问题,且未经过大规模实战检验。即便国家密集推出相关安全法规,部分厂商依然缺乏足够的安全意识,对于安全测试的重视不够,甚至对安全存有抵触心理,存有“捂盖子”心态。
杜跃进表示,在能力和积累上,信创厂商同样存在不足,企业的安全投入有限,安全开发、安全测试、漏洞响应和修复等方面能力不足。信创产业在安全生态建设、基础研究环境、安全人才培养等方面有待完善。在信创软件大量依赖开源组件的情况下,由于复杂的国际形势所带来的不确定性,使信创产品面临着漏洞、恶意代码、预置后门、底层架构断供等风险。
为了推动信创安全领域发展,融易新媒体,信创安全技术委员会在2021年正式开启“护航计划”,推出信创关键产品安全挑战赛、信创安全联合实验室、信创安全人才培养与技术创新联盟、信创安全公益支持项目,汇聚网络安全精锐力量,助力新一代信息技术应用创新产业高质量发展。为了解决广受关注的软件供应链安全问题,360推出开源软件安全分析与治理平台,赋能信创产品供应商及信创用户,全力推进中国信创产业安全平稳发展。
以上图片360集团授权中国网财经使用