“信创用户大多是我国党政军,交通、能源等关键基础设施单位,关系国家安全和国计民生,却也最容易成为攻击者的首选目标。为此,亟需一种基于攻防视角、整体思维、统一调度、开放运营以及能力驱动的信创安全体系应对当前面临的严峻挑战。”信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进在第九届互联网安全大会“信创安全创新发展峰会”上表示。
7月28日,以“聚力安全·共筑发展”为主题的“信创安全创新发展峰会”在北京国家会议中心召开。该会议也是第九届互联网安全大会(简称ISC 2021)的九大峰会之一,来自政府、产业、高校、研究机构和信创用户机构的一流专家齐聚一堂,共话信创安全能力建设。
大力促进信息技术应用创新产业发展,是为了解决核心技术的“卡脖子”、“受制于人”等问题,而制定的一项国家战略。信创产业作为“数字中国”建设的重要抓手,同步做好信创安全保障变得尤为重要。正如杜跃进博士所言:“自主可控不等于绝对安全,软硬件设计缺陷导致的安全漏洞无法避免。”
图注:信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进
据权威统计数据显示,每千行代码中就有4-6个漏洞。由于信创产品大量基于开源软件构建,其供应链、生态中软硬件后门不可杜绝。此外,大量使用未经大范围安全考验的开源软件,同样使得大部分信创产品自身安全性非常脆弱。
此外,杜跃进表示,APT攻击将成为信创安全面临的最大挑战。攻击者已经从最早的没有特定动机和目标的“白开心”,到被经济利益驱使以逐利为目标的“小毛贼”,再到具有复杂动机的围绕政治、经济和军事等国家安全目标的“大玩家”。眼下,具有国家背景的APT组织正日益猖獗,由于APT攻击具有极强的隐蔽性,通常以窃取国家敏感信息和机密信息为目标,其攻击危害不容忽视。
更值得注意的是,信创用户大多是我国党政军,交通、能源、金融、医疗、公共卫生等关键基础设施单位,这些单位的业务系统具有极高价值,关系国家安全和国计民生。杜跃进说道:“由于信创用户的特殊性,使得其极易成为攻击者的首选攻击目标。对手具备足够的动机对我们实施攻击。”
“信创安全具体挑战包括时间紧、范围大、对手强、积累少、协调难。”杜跃进博士总结道。信创安全应该从最底层的IT基础设施到最高层的业务应用,同步全面进行设计与实施。然而信创已经开始超大规模的系统更替与应用,加上国际形势复杂与恶化、信创厂商安全意识和能力普遍不足、人才等领域缺乏积累、信创安全工作涉及部门多且分工机制不完善等情况,信创安全正面临着严峻的挑战。
杜跃进认为,在特殊时代、特殊情况下,信创安全也亟待体系化、系统化的设计。具体而言,这一设计思想包含攻防视角、整体思维、统一调度、开放运营、能力驱动五大方面。
其中,攻防视角意味着要抓住安全的本质,从攻防对抗的视角设计一切;整体思维意味着,要从局部环节了解风险、整体高度进行分析、评估和应对;统一调度,指向了有组织、有策略的多部门大范围协同联动;开放运营,表明需要尽量调动各方面最优资源;能力驱动,则是以能力建设和持续升级为目标、实践能力衡量为指标。
在五大思想的指导下,杜跃进还从产品安全、运行安全和业务安全角度,提出了基于“可信性”、“安全性”、“可控性”、“对抗性”和“可存活性”的五层信创安全内容。
其中,产品安全涉及可信性和安全性,最底层可信性是一切安全的基础,减少软硬件、数据和人员被仿冒的可能性。但是软硬件产品本身会存在不可避免的安全缺陷或安全漏洞,这就属于安全性问题。
可控性和可对抗性属于运行安全层面,可控性是需要增强对安全事件的预防、发现、响应能力。由于攻防的不对称,不能只依靠被动的防御,可对抗性就是增强安全威胁溯源、取证、慑阻的能力,能够更加主动地减少或消除安全风险。
当前四层都没有达到非常满意的结果时,就需要通过可存活性增强核心业务的存活能力,在各种最坏的情况下确保关键数据不受影响、核心业务和应用不中断。
值得一提的是,杜跃进还对信创安全保障的阶段目标做出了总结。在其看来,信创安全发展的短期目标是一套应急体系,在一切条件都严重欠缺的情况下,通过特殊的设计,实现安全能力的快速建设;未来的四到五年是个中期目标,已经形成了相对完善的能力体系,在技术、产品、人员、服务、知识、安全基础设施等方面基本满足国家需求;而远期目标应是一个独具特色的、信创化的安全体系和生态,最佳实践达到可推广、可借鉴、可输出的水平。
为了推动信创安全体系建设,信创安全技术委员会(简称“技委会”)于2020年1月正式成立。技委会委员由来自信创基础软硬件厂商、安全公司、研究机构和高校的信创安全领域专家组成,其主要任务为研究制定信创安全保障技术方案、支撑政策研究与标准研制,协助推动相关技术攻关和实施,促进信创安全产业生态完善等。
基于信创安全的整体设计,信创安全保障工作正在有重点的努力推进。“产品安全依然是最紧急的重点,是基础性问题,也是更是最需要补的短板。技委会当前推动的多项工作都是围绕产品安全展开的。”杜跃进说到。
在工作推进中不可避免的遇到了极大困难,杜跃进讲到:“抵触心态、身份主义则是目前所有工作推进过程中面临的最大困扰。”社会上普遍还是抱着“发现问题的是坏人”的思想,意识不到“让不让挖,洞都在那里”,“知不知道,对手都会知道”。因此抵触安全行业发现产品漏洞,在开展工作时发现信创厂商或用户更关注的是对方身份而不是能力。
虽然困难重重,但好在还是看到了机会。2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。杜跃进表示,三部委联合发文或能有助改善信创安全保障工作难以开展的情况。该规定对供应商产品安全提出了法律要求,供应商要为自己的产品安全承担责任。
此外,杜跃进还认为,落地示范、唤醒社会、营造生态是当前具有战略价值的工作。技术方案要变成落地的服务能力,需通过地方性的示范工作,带动更大的覆盖面;通过关键产品挑战赛等活动呼唤社会对信创安全的正确认识;还可通过信创安全人才和创新联盟等的推进,加快推进产学研等方面的合作,缓解人才和积累不足的问题。
信创安全面临的挑战需要全行业广泛参与。最后,杜跃进呼吁更多有创造力、勇气与担当的同行者加入信创安全的工作中,共同保障国家信创产业高质量发展。