迎挑战、建体系 | ISC 2020 信创安全论坛（上）

国内信息技术产品网络安全风险识别和测评

        国家工业信息安全发展研究中心首席专家张格重点阐述了国内信息技术产品存在的安全问题。他指出，近年来国内信息技术系统、产品开发和应用存在安全漏洞和缺陷的可能性较大；产品安全测试与评估方法存在局限，安全性更是有待验证；针对国产化环境的安全产品的防护水平有待进一步提升。

        其中，完善安全测试体系建设尤为重要，这就需要做到：1.推动研究制定产品安全测试大纲，提出安全测试基线要求，形成通用性安全技术要求及安全性测试指南；2.研制针对基于国内软硬件的系统安全评估指南；3.加强网络安全靶场与测试验证环境建设。

信创终端安全挑战&应对方案

        随着信创工程的深入推进，党政用户计算机终端面临严峻的安全威胁。党政用户是有组织的网络攻击的重点目标，终端是网络攻击的最前线。360首席科学家，国家信息安全漏洞库特聘专家潘剑锋表示保障信创终端安全是目前信创领域最迫切和最紧急的工作。

        潘剑锋指出传统终端安全的防护手段在信创领域中还存在不足：终端安全产品能力参差不齐；缺少集中统一的威胁分析能力；缺少统一的恶意代码命名规范；缺少统一的终端安全产品标准；难以发现高级持续性攻击威胁。

        针对这样的问题，潘剑锋认为想要保障信创终端安全，需要建立信创终端安全标准体系规范、提升信创终端安全保障能力，推动信创终端安全产品应用推广。

实战视角促合规，密码应用抓生态

        密码作为网络空间安全的核心支撑技术，是信创体系的重要组成部分。北京炼石网络技术有限公司创始人、CEO白小勇尝试辩证分析密码合规与实战的关系，思考国密市场未来趋势，探索高质量密码供给体系、新密码应用及数据安全技术方向，最后从生态角度思考国密推广破“局”之道：

        1、密码实战防护需求极具潜力：《密码法》出台、“放管服”落实、信息技术升级换代造就了商用密码发展的黄金窗口期。从需求侧，合规与实战并举，将会拉动商用密码市场蓬勃发展。

        2、高质量密码供给激活实战防护市场：高质量密码供给面临着国密算法难以等效替换、密码产品不好用、甲方难以消化密码技术这三个挑战，这些挑战也意味着密码创新的机遇，白小勇提出了让密码能用、让密码好用和让甲方用好的破局思路。

        3、拓宽商业市场，做强密码生态：信息技术生态的广泛环节存在商用密码覆盖盲区，需要增强工具链覆盖，弥补密码生态短板，抓住历史机遇，拓宽密码商业化市场，做强密码应用生态。

新形势下信创安全治理与开发建设之路

        安恒信息高级副总裁袁明坤表示随着新兴技术的发展，安全开发已经成为信创安全领域关注的重点。放眼国际，BSIMM 10以及OWASP SAMM是较为通用的安全开发成熟度模型，以标准化的安全开发为指导有利于安全治理及开发实践的不断优化。

        袁明坤认为，新形势下信创安全治理与开发体系应由政策、标准、产学研、生态、工具五大体系同步规划与建设。以国家政策推动，建立体系完备的信创安全开发标准指导；以产学研持续人才培养、治理研究，协同成立上下游生态；除此之外，制定完整的技术规范作为安全开发技术指导；以自动化、半自动化的工具支撑，实现安全开发能力的提高。

        袁明坤总结，参考国内外成熟安全开发标准、技术规范，结合我国信息系统安全保障评估框架、系统安全工程能力成熟度模型等相关标准，国内信创生态体系可建立对安全开发能力客观可量化、具有操作性的评价指标及评价方法。

信创热潮下的漏洞威胁

——探索信创背景下安全发展的可行方向

        360漏洞云业务线负责人胡晓娜以“斯诺登事件”、“伊朗震网病毒”、“索尼影业攻击事件”、“RSA Adobe Flash事件“四个事件展开，分析了严峻的国际网络安全形势，表明了国家通过发展信创产业构建自己的IT产业标准和生态的必要性。

        国内自主研发的软硬件中不可避免的存在漏洞问题，为了规避信创领域里的漏洞风险，胡晓娜提出了一套科学可行的整体解决方案：

        一是以协作为主线，以技术创新为核心，搭建信创领域安全技术研究、信息交流、应用推广的平台；

        二是制定一套针对信创产品安全尤其是产品漏洞的标准和规范来支撑我国信创相关政策的制定与执行；

        三是搭建信创安全人才培养体系，制定安全人才的认证标准，建立信创安全人才培养基地；

        四是充分借鉴传统的安全产品，围绕提升信创产品中发现漏洞等能力，建设整个信创漏洞安全防护体系。