信息化觀察網(wǎng)

7月29日，由中國(guó)信息通信研究院（以下簡(jiǎn)稱“中國(guó)信通院”）、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的可信云線上峰會(huì)在“云端”開(kāi)幕。會(huì)上發(fā)布了《研發(fā)運(yùn)營(yíng)安全白皮書(shū)（2020年）》。由中國(guó)信通院牽頭，聯(lián)合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業(yè)，用系統(tǒng)化、流程化方法梳理軟件應(yīng)用服務(wù)研發(fā)運(yùn)營(yíng)全生命周期安全及發(fā)展趨勢(shì)。不僅有助從業(yè)者提升對(duì)軟件應(yīng)用服務(wù)研發(fā)運(yùn)營(yíng)安全的理解，對(duì)于促進(jìn)行業(yè)共識(shí)及合作也具有積極的指導(dǎo)意義。

安全左移，全生命周期提升軟件應(yīng)用服務(wù)安全性

《研發(fā)運(yùn)營(yíng)安全白皮書(shū)（2020年）》開(kāi)篇即指出研發(fā)運(yùn)營(yíng)安全指結(jié)合人員管理體系、制度流程，在軟件應(yīng)用服務(wù)設(shè)計(jì)早期便引入安全，進(jìn)行安全左移，覆蓋要求階段、安全需求分析階段、設(shè)計(jì)階段、研發(fā)階段、驗(yàn)證階段、發(fā)布階段、運(yùn)營(yíng)階段、停用下線階段的全生命周期，搭建安全體系，降低安全問(wèn)題解決成本，全方面提升服務(wù)應(yīng)用安全，提升人員安全能力。

全球安全事件頻發(fā)，代碼程序漏洞是關(guān)鍵誘因之一。根據(jù)Verizon以及Forrester等機(jī)構(gòu)發(fā)布的研究數(shù)據(jù)顯示，外部攻擊、數(shù)據(jù)泄露等安全事件發(fā)生的根本原因超過(guò)30%與軟件漏洞被攻擊利用以及針對(duì)Web應(yīng)用程序安全漏洞有關(guān)。

傳統(tǒng)研發(fā)運(yùn)營(yíng)安全模式中，安全介入相對(duì)滯后。傳統(tǒng)研發(fā)運(yùn)營(yíng)安全，針對(duì)軟件應(yīng)用服務(wù)自身的安全漏洞檢測(cè)修復(fù)，通常是在系統(tǒng)搭建或者功能模塊構(gòu)建完成或者服務(wù)上線運(yùn)營(yíng)之后介入，進(jìn)行安全掃描，威脅漏洞修復(fù)。當(dāng)前的大多數(shù)安全手段，例如防病毒、防火墻、入侵檢測(cè)等，都是關(guān)注交付運(yùn)行之后的安全問(wèn)題，屬于被動(dòng)防御性手段。

安全左移有助于幫助企業(yè)削減成本。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、IBM、Fortify等統(tǒng)計(jì)數(shù)據(jù)顯示，在軟件需求分析階段就開(kāi)始避免漏洞的成本比發(fā)布后修復(fù)成本低50~100倍。

各方關(guān)注日趨提升，研發(fā)安全運(yùn)營(yíng)市場(chǎng)持續(xù)擴(kuò)大

全球主要國(guó)家以及區(qū)域性國(guó)際組織開(kāi)始以戰(zhàn)略、規(guī)范、指南等多種形式，統(tǒng)籌規(guī)劃研發(fā)運(yùn)營(yíng)安全問(wèn)題；國(guó)際標(biāo)準(zhǔn)組織及第三方非盈利組織也在積極推進(jìn)研發(fā)運(yùn)營(yíng)安全共識(shí)；企業(yè)層面，全球知名互聯(lián)網(wǎng)廠商也已經(jīng)開(kāi)始探索研發(fā)運(yùn)營(yíng)安全實(shí)踐。

在白皮書(shū)的第二部分，不僅有諸多國(guó)際權(quán)威機(jī)構(gòu)發(fā)布的市場(chǎng)數(shù)據(jù)，還包括各國(guó)政府，行業(yè)組織制定的相關(guān)法規(guī)和標(biāo)準(zhǔn)，以及全球知名互聯(lián)網(wǎng)公司相關(guān)研發(fā)運(yùn)營(yíng)安全實(shí)踐的介紹，對(duì)于從業(yè)人員了解行業(yè)現(xiàn)狀具有很強(qiáng)的現(xiàn)實(shí)意義。

表1 重點(diǎn)重點(diǎn)國(guó)家及區(qū)域性國(guó)際組織研發(fā)運(yùn)營(yíng)安全相關(guān)舉措

表2 國(guó)際標(biāo)準(zhǔn)組織及第三方非盈利組織研發(fā)運(yùn)營(yíng)安全相關(guān)工作

表3 企業(yè)研發(fā)運(yùn)營(yíng)安全具體實(shí)踐

四大特點(diǎn)，七大環(huán)節(jié)詳解研發(fā)運(yùn)營(yíng)安全體系

中國(guó)信通院牽頭，聯(lián)合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業(yè)討論建立了一套針對(duì)研發(fā)運(yùn)營(yíng)的安全體系。

圖片來(lái)源：中國(guó)信息通信研究院

表3 企業(yè)研發(fā)運(yùn)營(yíng)安全具體實(shí)踐

本白皮書(shū)除了宏觀層面和市場(chǎng)環(huán)境之外，還從細(xì)節(jié)入手，詳細(xì)介紹了該研發(fā)運(yùn)營(yíng)安全體系，概要總結(jié)包括四大特點(diǎn)，七大環(huán)節(jié)。

四大特點(diǎn)

（1）覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應(yīng)用服務(wù)全生命周期；

（2）更具普適性，抽取關(guān)鍵要素，不依托于任何開(kāi)發(fā)模式與體系；

（3）不止強(qiáng)調(diào)安全工具，同樣注重安全管理，強(qiáng)化人員安全能力；

（4）進(jìn)行運(yùn)營(yíng)安全數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實(shí)踐。

七大環(huán)節(jié)

（1）管理制度；建立合適的人員組織架構(gòu)與制度流程，保證研發(fā)運(yùn)營(yíng)流程安全的具體實(shí)施，針對(duì)人員進(jìn)行安全培訓(xùn)，增強(qiáng)安全意識(shí)，進(jìn)行相應(yīng)考核管理；

（2）安全要求，前期明確安全要求，如設(shè)立質(zhì)量安全門(mén)限要求，進(jìn)行安全審計(jì)，對(duì)于第三方組件進(jìn)行安全管理等；

（3）安全需求分析與設(shè)計(jì)，在研發(fā)階段之前，進(jìn)行安全方面的需求分析與設(shè)計(jì)，從合規(guī)要求以及安全功能需求方面考慮，進(jìn)行威脅建模，確定安全需求與設(shè)計(jì)；

（4）安全研發(fā)驗(yàn)證，搭配安全工具確保編碼實(shí)際安全，同時(shí)對(duì)于開(kāi)源及第三方組件進(jìn)行風(fēng)險(xiǎn)管理，在測(cè)試過(guò)程中，針對(duì)安全、隱私問(wèn)題進(jìn)行全面、深度的測(cè)試；

（5）安全發(fā)布，服務(wù)上線發(fā)布前進(jìn)行完整性審查，制定事先響應(yīng)計(jì)劃，確保發(fā)布安全；

（6）運(yùn)營(yíng)安全，上線運(yùn)營(yíng)階段，進(jìn)行安全監(jiān)控與安全運(yùn)營(yíng)，通過(guò)滲透測(cè)試等手段進(jìn)行風(fēng)險(xiǎn)評(píng)估，針對(duì)突發(fā)事件進(jìn)行應(yīng)急響應(yīng)，并及時(shí)復(fù)盤(pán)，形成處理知識(shí)庫(kù)，匯總運(yùn)營(yíng)階段的安全問(wèn)題，形成反饋機(jī)制，優(yōu)化研發(fā)運(yùn)營(yíng)全流程；

（7）停用下線，制定服務(wù)下線方案與計(jì)劃，明確隱私保護(hù)合規(guī)方案，確保數(shù)據(jù)留存符合最小化原則。

趨勢(shì)詳解和案例幫助企業(yè)深刻理解研發(fā)運(yùn)營(yíng)安全可信生態(tài)

白皮書(shū)根據(jù)對(duì)行業(yè)及市場(chǎng)需求的深刻洞察，結(jié)合參與企業(yè)實(shí)踐整理了安全體系在當(dāng)下及未來(lái)一段時(shí)間內(nèi)的主要發(fā)展趨勢(shì)。包括，（1）研發(fā)運(yùn)營(yíng)安全管理體系將更加完善；（2）研發(fā)運(yùn)營(yíng)安全體系將會(huì)推動(dòng)安全技術(shù)、工具的進(jìn)一步發(fā)展；（3）研發(fā)運(yùn)營(yíng)安全將增強(qiáng)安全可信生態(tài)布局，對(duì)于供應(yīng)鏈安全要求也將會(huì)越來(lái)越高。

除了審慎的分析和完善的數(shù)據(jù)之外，為了能夠讓讀者更切實(shí)感受到研發(fā)運(yùn)營(yíng)安全體系的價(jià)值所在，白皮書(shū)最后的附錄部分還從研發(fā)運(yùn)營(yíng)安全痛點(diǎn)、企業(yè)具體落地實(shí)現(xiàn)、最終效果描述三個(gè)方面呈現(xiàn)了國(guó)內(nèi)多家知名企業(yè)，包括華為、騰訊、華大基因等研發(fā)運(yùn)營(yíng)安全的優(yōu)秀實(shí)踐案例，以便為讀者提供參考。該白皮書(shū)的發(fā)布對(duì)于增強(qiáng)行業(yè)關(guān)于研發(fā)運(yùn)營(yíng)安全的認(rèn)識(shí)，以及促進(jìn)各方合作，并最終實(shí)現(xiàn)安全可信生態(tài)建設(shè)具有積極意義。

標(biāo)準(zhǔn)體系建設(shè)與評(píng)估相關(guān)工作

目前研發(fā)運(yùn)營(yíng)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)《面向云計(jì)算的可信研發(fā)運(yùn)營(yíng)安全能力成熟度模型》與《研發(fā)運(yùn)營(yíng)安全解決方案整體框架》已成功在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）中立項(xiàng)，標(biāo)準(zhǔn)的制定也受到了業(yè)界的廣泛支持，中國(guó)信通院、華為、騰訊、阿里、京東云、金山云、奇安信、新思科技、默安科技、華大基因、普元信息、烽火、華云、新華三等企業(yè)參與標(biāo)準(zhǔn)的制定。

首批評(píng)估工作即將啟動(dòng)

針對(duì)相關(guān)行業(yè)標(biāo)準(zhǔn)的評(píng)估也在同步推進(jìn)過(guò)程中：首批面向云計(jì)算的可信研發(fā)運(yùn)營(yíng)安全能力成熟度評(píng)估即將于2020年下半年啟動(dòng)；預(yù)計(jì)于2021年上半年啟動(dòng)首批靜態(tài)應(yīng)用程序安全測(cè)試（SAST）解決方案的評(píng)估。

具體評(píng)估細(xì)節(jié)請(qǐng)聯(lián)系：

吳江偉 wujiangwei@caic.ac.cn