信息化觀察網(wǎng)

由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院、中國(guó)信息協(xié)會(huì)傳媒中心承辦的2020第二屆中國(guó)電子政務(wù)安全大會(huì)于9月16日—17日在在北京隆重召開(kāi)。神州信創(chuàng)集團(tuán)安全產(chǎn)品專(zhuān)業(yè)總監(jiān)陳騰躍出席大會(huì)，并帶來(lái)了題為《神州信創(chuàng)集團(tuán)安全產(chǎn)品專(zhuān)業(yè)總監(jiān)陳騰躍》主題發(fā)言。本文摘自陳騰躍在2020第二屆中國(guó)電子政務(wù)安全大會(huì)上的發(fā)言?xún)?nèi)容。

神州信創(chuàng)集團(tuán)安全產(chǎn)品專(zhuān)業(yè)總監(jiān)陳騰躍

首先我們認(rèn)為信息技術(shù)體系創(chuàng)新是必然之路，信創(chuàng)是解決卡脖子問(wèn)題的契機(jī)。后門(mén)威脅主要體現(xiàn)在幾個(gè)事件上，第一個(gè)事件是今年出歐美CIA掌握cryptoAG公司，并在其加密產(chǎn)品中植入后門(mén)，竊取情報(bào)。CIA利用專(zhuān)家影響力企業(yè)和影響力對(duì)其產(chǎn)品的性能。第二個(gè)事件是2019年德國(guó)媒體報(bào)道，在美國(guó)思科提供的設(shè)備中經(jīng)常發(fā)現(xiàn)漏洞，2013年至今至少發(fā)展十起，這些漏洞很符合后門(mén)的描述。2010年FBI要求蘋(píng)果解鎖iphone手機(jī)未國(guó)后，美國(guó)當(dāng)局要求蘋(píng)果創(chuàng)建一個(gè)可以繞過(guò)安全防護(hù)的新版IOS。信創(chuàng)全面自主創(chuàng)新體系使得我們可以擺脫對(duì)不可控技術(shù)的依賴(lài)。從數(shù)據(jù)上來(lái)看，CNNVD在2019年公布的漏洞數(shù)量17316個(gè)，全年增長(zhǎng)率為6.26%，谷歌團(tuán)隊(duì)在2019年僅發(fā)現(xiàn)20個(gè)在野利用的0DAY漏洞。巨大數(shù)據(jù)差異體現(xiàn)我們極度缺乏檢測(cè)漏洞被利用的能力。2020年上半年所有惡意程序增長(zhǎng)率在15%以上，惡意程序不斷增加，核心目的就是為了逃避檢測(cè)程序的檢測(cè)。最后是層出不窮的新攻擊方法，新技術(shù)出現(xiàn)往往伴隨新攻擊方法，這三種威脅都屬于未知威脅。

說(shuō)到漏洞問(wèn)題不得不提一下開(kāi)源代碼，開(kāi)源代碼是信創(chuàng)生態(tài)重要部分，往往處于新的部分，以及操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)，都是基于開(kāi)源代碼開(kāi)發(fā)的，許多人有誤解，一是現(xiàn)在的軟件和操作系統(tǒng)都很龐大和復(fù)雜，拿操作系統(tǒng)來(lái)說(shuō)，它的內(nèi)容目前在全球有兩萬(wàn)個(gè)開(kāi)發(fā)組維護(hù)，如果全部實(shí)現(xiàn)這些代碼，其中的投入和花費(fèi)是無(wú)法接受的。2019年開(kāi)源安全漏洞披露6100個(gè)，與2018年相比增長(zhǎng)近50%，漏洞一旦公布必須盡快修復(fù)，否則帶來(lái)極大的安全風(fēng)險(xiǎn)。目前的情況是許多軟件廠商使用開(kāi)源代碼后對(duì)其漏洞的修復(fù)偏慢，給黑客留出大量的機(jī)會(huì)。

軟硬件會(huì)有漏洞嗎？實(shí)踐通常告訴我們?cè)S多情況下人員才是最容易被突破的漏洞，據(jù)統(tǒng)計(jì)與人和管理相關(guān)的安全事件，其中配制不當(dāng)占前33個(gè)問(wèn)題，60%的人會(huì)打開(kāi)釣魚(yú)郵件，20%的人會(huì)點(diǎn)擊釣魚(yú)郵件的反饋鏈接。在今年的RSAC大會(huì)中將人作為什幺主體，多個(gè)與人，與安全培訓(xùn)相關(guān)的主題，可以說(shuō)長(zhǎng)期被忽視的管理問(wèn)題經(jīng)常成為行業(yè)乃至企業(yè)界最大的管理問(wèn)題，人的漏洞不是信創(chuàng)能夠解決的，這是許多IT互聯(lián)網(wǎng)解決的問(wèn)題，網(wǎng)絡(luò)安全的提升更重要的是可以依靠每個(gè)人的判斷力更早的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，發(fā)出預(yù)警，提高網(wǎng)絡(luò)預(yù)警的安全防護(hù)能力。

前面兩個(gè)問(wèn)題是整個(gè)網(wǎng)絡(luò)安全固有的問(wèn)題，接下來(lái)三個(gè)問(wèn)題是信創(chuàng)行業(yè)發(fā)展所帶來(lái)的問(wèn)題，第一是國(guó)內(nèi)產(chǎn)品服務(wù)提供商投入不足的問(wèn)題，認(rèn)為產(chǎn)品力比安全性重要，實(shí)踐階段重視項(xiàng)目進(jìn)度和開(kāi)發(fā)效率，在運(yùn)維部署階段重視部署便利性和業(yè)務(wù)效果，開(kāi)發(fā)實(shí)踐中缺少對(duì)安全的投入，導(dǎo)致出現(xiàn)許多軟件漏洞，產(chǎn)生安全風(fēng)險(xiǎn)，這種現(xiàn)象非常普遍，甚至在很多的產(chǎn)品開(kāi)發(fā)過(guò)程中都存在上述問(wèn)題。國(guó)際上其實(shí)已經(jīng)形成了非常多的安全開(kāi)發(fā)模型和標(biāo)準(zhǔn)，在軟件開(kāi)發(fā)的過(guò)程中，比如在需求階段沒(méi)考慮安全需求，數(shù)據(jù)庫(kù)保護(hù)需求，安全管理需求，在代碼開(kāi)發(fā)階段使用安全編碼規(guī)范進(jìn)行代碼審核。為了減少軟件的漏洞，降低未知的安全風(fēng)險(xiǎn)需要我們所有廠商加大安全開(kāi)發(fā)時(shí)間的投入，安全開(kāi)發(fā)的實(shí)踐是為了盡可能減少安全風(fēng)險(xiǎn)，這些軟件對(duì)漏洞修復(fù)的時(shí)效性、有效性具有比以往更高的要求，標(biāo)準(zhǔn)安全更新和不定漏洞更新體系具有很高的重要性。這點(diǎn)我們可以參考漏洞的處理流程，首先對(duì)危險(xiǎn)的漏洞進(jìn)行安全報(bào)警，通過(guò)技術(shù)渠道發(fā)布安全預(yù)警，并暫時(shí)緩解漏洞的方法。第二是結(jié)合國(guó)際的漏洞披露，方法來(lái)披露漏洞信息，第三是發(fā)布安全修復(fù)公告，描述將要發(fā)布的安全不定，說(shuō)明方法，然后才是安全不定的正式發(fā)布，發(fā)布安全的漏洞修復(fù)程序，除此之外還提供風(fēng)險(xiǎn)矩陣中的風(fēng)險(xiǎn)表信息，幫助客戶(hù)其特定條件下安全漏洞帶來(lái)的風(fēng)險(xiǎn)。

每個(gè)廠商都應(yīng)該對(duì)自己的產(chǎn)品特點(diǎn)和服務(wù)特點(diǎn)提供足夠的安全支撐，我們的軟件廠商應(yīng)該考慮需要建立什么樣的安全體系，進(jìn)階段安全防護(hù)產(chǎn)品的適配，不僅是簡(jiǎn)單的兼容性問(wèn)題，我們認(rèn)為需要解決五個(gè)問(wèn)題，首先要適配不同的平臺(tái)，不同的架構(gòu)，需要針對(duì)性的測(cè)試，然后操作系統(tǒng)適配，防護(hù)類(lèi)軟件往往有非常強(qiáng)的關(guān)聯(lián)性，需要和操作系統(tǒng)提供接口進(jìn)行深度交互。比如調(diào)用安全接口，需要大量測(cè)試。再就是新的程序，新的操作系統(tǒng)，數(shù)據(jù)庫(kù)，為新的安全功能開(kāi)發(fā)和積累，最后要實(shí)現(xiàn)新的安全標(biāo)準(zhǔn)，剛才也提出了很多新的安全標(biāo)準(zhǔn)，我們安全防護(hù)產(chǎn)品也要積極實(shí)踐新的標(biāo)準(zhǔn)，安全防護(hù)類(lèi)軟件適配需要行業(yè)共同支撐，需要全行業(yè)的共同努力。

安全人才缺乏是整個(gè)網(wǎng)絡(luò)安全行業(yè)長(zhǎng)期面臨的問(wèn)題，據(jù)新華社2019年我國(guó)的安全人才缺口是70萬(wàn)，2020年增加到140萬(wàn)，具體到信創(chuàng)行業(yè)，由于技術(shù)戰(zhàn)略變化，從業(yè)人員需要對(duì)新的技術(shù)進(jìn)行學(xué)習(xí)，對(duì)新的平臺(tái)架構(gòu)進(jìn)行研究，并且信創(chuàng)行業(yè)處于起步階段，很多軟硬件技術(shù)材料比較缺乏，原本的人才缺乏態(tài)勢(shì)使得人才缺口快速增長(zhǎng)。這幾點(diǎn)都是信創(chuàng)行業(yè)可能給我們帶來(lái)的一些新的安全問(wèn)題。

我們神州數(shù)碼作為信創(chuàng)產(chǎn)業(yè)的深度參與者，開(kāi)展了很多工作來(lái)推進(jìn)信創(chuàng)安全的發(fā)展，一方面我們整合了資源，推進(jìn)產(chǎn)業(yè)急需的信創(chuàng)安全防護(hù)產(chǎn)品的適配，推進(jìn)信創(chuàng)安全人才培養(yǎng)，我們是華為平臺(tái)深度合作伙伴，推動(dòng)和支撐他們的按照產(chǎn)生對(duì)于平臺(tái)的適配，我們認(rèn)為安全防護(hù)類(lèi)產(chǎn)品適配可以分為三個(gè)階段，一是產(chǎn)品適應(yīng)鯤鵬環(huán)境，實(shí)現(xiàn)安全產(chǎn)品自主可控。二是功能覆蓋信創(chuàng)生態(tài)下的新硬件、新中間件、新應(yīng)用的安全需求，實(shí)現(xiàn)按照產(chǎn)品的防護(hù)力。最后在適配的過(guò)程中重新審計(jì)梳理產(chǎn)品的設(shè)計(jì)，查缺補(bǔ)漏，修復(fù)可能存在的安全問(wèn)題，實(shí)現(xiàn)產(chǎn)品本身的安全合規(guī)。目前我們已經(jīng)和多個(gè)合作伙伴對(duì)防火墻入侵檢測(cè)，等保2.0要求下的安全防護(hù)產(chǎn)品進(jìn)行適配。在人才培養(yǎng)方面我們建立了人才孵化中心，形成專(zhuān)業(yè)的安全技術(shù)培訓(xùn)，安全開(kāi)發(fā)實(shí)踐，三大體系合成，建立創(chuàng)新平臺(tái)，產(chǎn)業(yè)資源服務(wù)平臺(tái)，對(duì)接企業(yè)和學(xué)生實(shí)現(xiàn)人才孵化，特別是幫助企業(yè)提高人員的安全意識(shí)。

我們也投入了很多的資源對(duì)新一代風(fēng)險(xiǎn)架構(gòu)進(jìn)行了研究，零信任架構(gòu)是最近的研究方向，過(guò)去我們?cè)谘芯渴裁词峭{，什么情況下我們是可信的，實(shí)踐證明威脅是不會(huì)被消除的，可靠性也是無(wú)法保證的。IT巨頭也轉(zhuǎn)入零信任架構(gòu)來(lái)保護(hù)自己的網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)外部任何人，事物均不可信，應(yīng)在授權(quán)前對(duì)任何接入網(wǎng)絡(luò)和訪問(wèn)資源的人事物進(jìn)行驗(yàn)證。

具體到電子政務(wù)系統(tǒng)，電子政務(wù)系統(tǒng)遷移到零信任架構(gòu)應(yīng)該根據(jù)當(dāng)前業(yè)務(wù)邏輯、用戶(hù)群體、資產(chǎn)價(jià)值選擇適合的技術(shù)路線，三大技術(shù)路線沒(méi)有重點(diǎn)，第一時(shí)間發(fā)現(xiàn)并阻止攻擊者行為，改善內(nèi)網(wǎng)安全性，同時(shí)業(yè)務(wù)視角的安全分析能力，增強(qiáng)內(nèi)部防范性。SDP軟件可以將服務(wù)和不安全網(wǎng)絡(luò)隔離開(kāi)，VPN只是接入網(wǎng)絡(luò)后進(jìn)行驗(yàn)證，接入后所有訪問(wèn)我們無(wú)法保證使用者是不是同一個(gè)人，而SDP對(duì)每個(gè)訪問(wèn)都進(jìn)行檢測(cè)，實(shí)現(xiàn)繪畫(huà)級(jí)別的訪問(wèn)控制審查。

最后介紹一下神州鯤泰，神州信創(chuàng)是神州數(shù)碼信創(chuàng)業(yè)務(wù)全資子公司，自有品牌神州鯤泰是神州數(shù)碼與華為在鯤鵬生態(tài)產(chǎn)業(yè)合作的重要載體，覆蓋研發(fā)、產(chǎn)品、解決方案等多個(gè)維度。