360首席安全官杜跃进：信创软件已成高水平攻击的首要目标

　　近日，2022全国信创与人工智能发展博士后学术论坛线上召开，论坛由全国博士后管委会办公室、中国博士后科学基金会等单位共同主办，由天津科技大学、天津市人力资源和社会保障局等单位联合承办，360集团副总裁兼首席安全官、天津智慧城市数字安全研究院院长杜跃进参会并以“信创安全的挑战与应对”为题发表演讲。

　　当前，随着国产信息化替代浪潮的兴起，中国进入大信创时代，并由此带来了巨大的信创安全挑战。杜跃进旗帜鲜明的指出——“自己做的不等于安全的”，数字化的典型特征之一是“一切皆可编程”，这意味着漏洞难以避免。按照统计，每千行代码便会有4-6个漏洞，漏洞的产生不以人的意志为转移，成为软件安全的最大隐患。

　　面对发展如火如荼的信创产业，杜跃进对于安全形势表达了担忧，认为当前信创安全建设面临着时间紧、范围大、积累少三大挑战。信创安全涉及面非常多，从底层IT基础到顶层的业务应用，需要同步进行全面设计和实施，但基础又非常薄弱。目前，我国信创相关厂商的安全意识和安全能力普遍不足，安全人才、技术等领域缺乏积累。在国际形势日趋复杂的今天，信创用户已经成为高水平攻击者的首要目标。

　　两年前，受国家有关部门委托，信创安全技术委员会成立，推动信创安全进行体系化建设。作为信创安全技术委员会主任，杜跃进展示了信创安全的体系化设计图，包括“两个减少、三个增强”，从可信性、安全性、可控性、可对抗性、可存活性五个层次划分，由下而上，层层推进，在不同的威胁等级下定义不同的信创系统安全标准。

　　杜跃进表示，当前最突出的问题在于“安全性”，大量信创产品在缺陷、漏洞上存在严重问题，信创软件安全是最亟需解决的问题。既是整个信创安全体系的基础，也是当前最需要补足的短板。2021年，在信创安全技术委员会的主导下，首届信创关键产品安全挑战赛召开，比赛发现信创产品中存在大量高危漏洞和长期未修复的漏洞，对参加比赛的信创厂商帮助极大。

　　然而，面对巨大的风险挑战，从总体上来看，信创厂商的安全意识和实战能力普遍不足，信创软件在设计开发阶段并未充分考虑安全问题，且未经过大规模实战检验。即便国家密集推出相关安全法规，部分厂商依然缺乏足够的安全意识，对于安全测试的重视不够，甚至对安全存有抵触心理，存有“捂盖子”心态。

　　杜跃进表示，在能力和积累上，信创厂商同样存在不足，企业的安全投入有限，安全开发、安全测试、漏洞响应和修复等方面能力不足。信创产业在安全生态建设、基础研究环境、安全人才培养等方面有待完善。在信创软件大量依赖开源组件的情况下，由于复杂的国际形势所带来的不确定性，使信创产品面临着漏洞、恶意代码、预置后门、底层架构断供等风险。

　　为了推动信创安全领域发展，融易新媒体，信创安全技术委员会在2021年正式开启“护航计划”，推出信创关键产品安全挑战赛、信创安全联合实验室、信创安全人才培养与技术创新联盟、信创安全公益支持项目，汇聚网络安全精锐力量，助力新一代信息技术应用创新产业高质量发展。为了解决广受关注的软件供应链安全问题，360推出开源软件安全分析与治理平台，赋能信创产品供应商及信创用户，全力推进中国信创产业安全平稳发展。

以上图片360集团授权中国网财经使用