“信创用户大多是我国党政军,交通、能源等关键基础设施单位,关系国家安全和国计民生,却也最容易成为攻击者的首选目标。为此,亟需一种基于攻防视角、整体思维、统一调度、开放运营以及能力驱动的信创安全体系应对当前面临的严峻挑战。”信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进在第九届互联网安全大会“信创安全创新发展峰会”上表示。
7月28日,以“聚力安全·共筑发展”为主题的“信创安全创新发展峰会”在北京国家会议中心召开。该会议也是第九届互联网安全大会(简称ISC 2021)的九大峰会之一,来自政府、产业、高校、研究机构和信创用户机构的一流专家齐聚一堂,共话信创安全能力建设。
自主可控不等于绝对安全
大力促进信息技术应用创新产业(行情300832,诊股)发展,是为了解决核心技术的“卡脖子”、“受制于人”等问题,而制定的一项国家战略。信创产业作为“数字中国”建设的重要抓手,同步做好信创安全保障变得尤为重要。正如杜跃进博士所言:“自主可控不等于绝对安全,软硬件设计缺陷导致的安全漏洞无法避免。”
据权威统计数据显示,每千行代码中就有4-6个漏洞。由于信创产品大量基于开源软件构建,其供应链、生态中软硬件后门不可杜绝。此外,大量使用未经大范围安全考验的开源软件,同样使得大部分信创产品自身安全性非常脆弱。
此外,杜跃进表示,APT攻击将成为信创安全面临的最大挑战。攻击者已经从最早的没有特定动机和目标的“白开心”,到被经济利益驱使以逐利为目标的“小毛贼”,再到具有复杂动机的围绕政治、经济和军事等国家安全目标的“大玩家”。眼下,具有国家背景的APT组织正日益猖獗,由于APT攻击具有极强的隐蔽性,通常以窃取国家敏感信息和机密信息为目标,其攻击危害不容忽视。
更值得注意的是,信创用户大多是我国党政军,交通、能源、金融、医疗、公共卫生等关键基础设施单位,这些单位的业务系统具有极高价值,关系国家安全和国计民生。杜跃进说道:“由于信创用户的特殊性,使得其极易成为攻击者的首选攻击目标。对手具备足够的动机对我们实施攻击。”
“信创安全具体挑战包括时间紧、范围大、对手强、积累少、协调难。”杜跃进博士总结道。信创安全应该从最底层的IT基础设施到最高层的业务应用,同步全面进行设计与实施。然而信创已经开始超大规模的系统更替与应用,加上国际形势复杂与恶化、信创厂商安全意识和能力普遍不足、人才等领域缺乏积累、信创安全工作涉及部门多且分工机制不完善等情况,信创安全正面临着严峻的挑战。
信创安全需要体系化、系统化设计
杜跃进认为,在特殊时代、特殊情况下,信创安全也亟待体系化、系统化的设计。具体而言,这一设计思想包含攻防视角、整体思维、统一调度、开放运营、能力驱动五大方面。
其中,攻防视角意味着要抓住安全的本质,从攻防对抗的视角设计一切;整体思维意味着,要从局部环节了解风险、整体高度进行分析、评估和应对;统一调度,指向了有组织、有策略的多部门大范围协同联动;开放运营,表明需要尽量调动各方面最优资源;能力驱动,则是以能力建设和持续升级为目标、实践能力衡量为指标。
在五大思想的指导下,杜跃进还从产品安全、运行安全和业务安全角度,提出了基于“可信性”、“安全性”、“可控性”、“对抗性”和“可存活性”的五层信创安全内容。
其中,产品安全涉及可信性和安全性,最底层可信性是一切安全的基础,减少软硬件、数据和人员被仿冒的可能性。但是软硬件产品本身会存在不可避免的安全缺陷或安全漏洞,这就属于安全性问题。
可控性和可对抗性属于运行安全层面,可控性是需要增强对安全事件的预防、发现、响应能力。由于攻防的不对称,不能只依靠被动的防御,可对抗性就是增强安全威胁溯源、取证、慑阻的能力,能够更加主动地减少或消除安全风险。
当前四层都没有达到非常满意的结果时,就需要通过可存活性增强核心业务的存活能力,在各种最坏的情况下确保关键数据不受影响、核心业务和应用不中断。
值得一提的是,杜跃进还对信创安全保障的阶段目标做出了总结。在其看来,信创安全发展的短期目标是一套应急体系,在一切条件都严重欠缺的情况下,通过特殊的设计,实现安全能力的快速建设;未来的四到五年是个中期目标,已经形成了相对完善的能力体系,在技术、产品、人员、服务、知识、安全基础设施等方面基本满足国家需求;而远期目标应是一个独具特色的、信创化的安全体系和生态,最佳实践达到可推广、可借鉴、可输出的水平。
信创安全保障工作当前重点、困难和机会
为了推动信创安全体系建设,信创安全技术委员会(简称“技委会”)于2020年1月正式成立。技委会委员由来自信创基础软硬件厂商、安全公司、研究机构和高校的信创安全领域专家组成,其主要任务为研究制定信创安全保障技术方案、支撑政策研究与标准研制,协助推动相关技术攻关和实施,促进信创安全产业生态完善等。
基于信创安全的整体设计,信创安全保障工作正在有重点的努力推进。“产品安全依然是最紧急的重点,是基础性问题,也是更是最需要补的短板。技委会当前推动的多项工作都是围绕产品安全展开的。”杜跃进说到。
在工作推进中不可避免的遇到了极大困难,杜跃进讲到:“抵触心态、身份主义则是目前所有工作推进过程中面临的最大困扰。”社会上普遍还是抱着“发现问题的是坏人”的思想,意识不到“让不让挖,洞都在那里”,“知不知道,对手都会知道”。因此抵触安全行业发现产品漏洞,在开展工作时发现信创厂商或用户更关注的是对方身份而不是能力。
虽然困难重重,但好在还是看到了机会。2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。杜跃进表示,三部委联合发文或能有助改善信创安全保障工作难以开展的情况。该规定对供应商产品安全提出了法律要求,供应商要为自己的产品安全承担责任。
此外,杜跃进还认为,落地示范、唤醒社会、营造生态是当前具有战略价值的工作。技术方案要变成落地的服务能力,需通过地方性的示范工作,带动更大的覆盖面;通过关键产品挑战赛等活动呼唤社会对信创安全的正确认识;还可通过信创安全人才和创新联盟等的推进,加快推进产学研等方面的合作,缓解人才和积累不足的问题。
信创安全面临的挑战需要全行业广泛参与。最后,杜跃进呼吁更多有创造力、勇气与担当的同行者加入信创安全的工作中,共同保障国家信创产业高质量发展。
上一篇:沪苏联动数字人民币新一轮红包雨来了!京东联合交行发放2000万
下一篇:返回列表
提供最后三公里配送服务的“小蛮驴”机器人(行情300024,诊股),可线上无限扩容升级的云电脑“无影”,在9月17日举行的2020年云栖大会现场,阿里云智能总裁、阿里巴巴达摩院院长张建锋发布了两款新产品。...
DoNews9月17日消息(记者 程梦玲)9月16日,京东家电冰洗行业峰会在京召开。国家信息中心资深产业专家蔡莹、中国质量认证中心副处长邓旭、京东零售集团家电事业部副总裁谢帆以及各大冰洗家电品牌代表受邀出席了本次行业峰...
天眼查数据显示,近日,漫语微视(北京)传媒科技有限公司发生工商变更,公司投资人新增安徽讯飞云创科技有限公司,后者由科大讯飞(行情002230,诊股)股份有限公司100%控股。 ...
据国外媒体报道,与那些研究历史和预测未来的事件相比,预测未来动物的模样似乎有些无关紧要。但是一些古生物学家对此充满兴趣,并认为这是一项具有重要意义的研究:能运用自己所知晓的生命状况,分析随时间变迁未来百万年后物...
本文“360杜跃进谈信创安全:自主可控不等于绝对安全”由FX112财经网
首发,欢迎转载,转载请带上本文链接。
免责声明:FX112财经网(https://www.942fx.com)发布的所有信息,并不代表本站赞同其观 点和对其真实性负责,投资者据此操作,风险请自担。部分内容文章及图 片来自互联网或自媒体,版权归属于原作者,不保证该信息(包括但不限 于文字、图片、图表及数据)的准确性、真实性、完整性、有效性、及时 性、原创性等,如无意侵犯媒体或个人知识产权,请联系我们或致函告之 ,本站将在第一时间处理。关注FX112财经网,获取最优质的财经报道!