3月10日,中國人民政治協商會議第十三屆全國委員會第五次會議在北京閉幕。本屆兩會,全國政協委員、安天集團創始人肖新光提交三份提案,聚焦推進網絡安全想定推演、IT供應鏈網絡安全能力和軟件安全工程的建設。
關於全面推動開展網絡安全想定推演工作的提案(徵求意見稿)全國政協委員 肖新光
一、背景
我國重要信息系統和關鍵信息基礎設施的網絡安全防護水平通過多年合規拉動,結合近幾年實戰化攻防演練,已經有很大提升。但網絡空間對抗已經事實上成為大國博弈與地緣安全競合最為複雜和常態化的樣式之一,相關系統的安全防護要求,不能僅僅立足於防範一般性、常態化風險,還要放在複雜嚴峻的國際形勢下,放在可能出現的「黑天鵝」、「灰犀牛」事件,和有可能出現的高烈度對抗背景下看待。因此,網絡安全防護工作需要進一步強化網絡空間的敵情意識,把握「客觀的敵情想定是做好網絡安全防禦工作的前提」這一基礎規律,科學認知關鍵信息基礎設施面臨的威脅與對抗的演進態勢,充分了解預判威脅行為體,特別是高級網空威脅行為體,展開想定推演工作,支撐構建可對抗高級威脅的網絡安全防禦體系。
二、問題
一是網絡安全規劃工作尚未將「敵情想定」構建作為必須性和前置性環節。當前關鍵信息基礎設施的運營單位在網絡安全規劃階段,主要從保障本單位業務需求出發,以合規點覆蓋為主線,並輔助一定程度的實戰化攻防演練,缺乏把業務場景和資產價值、數據價值放到國際形勢和地緣安全大背景下的進行敵情想定分析。如不能將「敵情想定」構建作為必須性和前置性環節,就難以做到以科學規劃統領關鍵信息基礎設施網絡安全建設,也就無從構建起有效的防禦體系。二是實戰化檢驗缺少與推演的有效結合。面向關鍵信息基礎設施的實戰化攻防演練工作,已經有了較好的實踐,成為推進網絡安全防護的必備環節。但也存在實施成本較高、難以常態化的問題。同時,針對性模擬威脅行為體,特別是充分模擬超高能力威脅行為體活動有一定困難,且基於現網環境開展,難以設定極端化情況和後果,以及產生的關聯影響,無法達成全面檢驗防禦能力的目標。三是欠缺支撐想定與推演的工具和平台。現有靶場平台更偏重基礎實戰攻防,難以支撐綜合背景和想定導入。現有兵棋、沙盤系統對網絡空間安全的支撐力不足。導致目前的想定推演工作總體上偏紙面化,缺乏對想定背景的整體設定能力以及面向攻擊行為體、攻擊技戰術以及信息資產的形式化建模,欠缺相關輔助想定推演的配套工具和平台。三、建議
一是將「敵情想定」構建工作作為網絡安全規劃建設的必須環節。建議主管部門統籌引導,將構建敵情想定作為網絡安全規劃的重要前置條件。推動重點行業、重點領域、關鍵信息基礎設施、地緣安全敏感地區,根據本領域、本地區、本單位的特點,開展敵情想定分析工作。梳理對應信息系統的業務和數據價值與國家安全、社會治理安全、公民個人安全等層面的關係,以及與總體國家安全的關聯影響,疊加到地緣安全風險的場景背景下,分析可能發起攻擊的威脅行為體,基於威脅行為體的能力、作業風格等信息,完成想定構建。並形成階段性更新機制,以及重大關聯安全風險和事件背景下的緊急觸發機制。二是推動實戰化攻防演練和推演機制的有機結合。建議負責關鍵信息基礎設施安全保護工作部門制定本行業、本領域基於敵情想定的網絡安全事件推演方案,並定期組織實戰演練,對推演進行驗證、更新和完善。以提升應對極端化場景、突發網絡安全事件下的戰術執行能力和戰略決策能力。三是設立專項支持網絡安全想定推演支撐能力建設。建議相關部門對網絡空間安全想定推演工作領域所需基礎理論、實用工具、工程系統和人才培養等方面進行方向牽引和專項支持。儘快推動形成支撐相關工作的方法論、工具集和人才隊伍。附件:文獻《敵情想定理念在網絡空間安全工作中的應用》關於加強IT供應鏈網絡安全能力的提案(徵求意見稿)全國政協委員 肖新光
一、背景
IT供應鏈環節複雜、暴露面多,上游環節被攻擊者利用會引發雪崩效應造成不可估量的影響。近幾年,網絡攻擊者通過入侵軟硬件產品供應商,實現對下游政企應用場景的連鎖突破,已經成為常態化攻擊方式。2015年,蘋果公司的開發工具XCode非官方版本污染事件,導致國內800餘個互聯網應用遭到污染,其中包含多個主流應用。2020年,美國軟件供應商SolarWinds旗下Orion基礎設施管理平台的發布環境遭入侵,被植入惡意代碼並隨軟件發布,導致超過17000家用戶機構遭受嚴重影響。2021年,境外網絡攻擊組織ATW利用代碼審計平台SonarQube的漏洞,竊取了我國多份行業軟件源代碼,在網上兜售,造成系列連鎖風險。二、問題
一是軟件研發場景防護能力普遍薄弱。在設計、開發、編譯、測試、簽名、分發等場景缺少針對性防護措施,導致相關環境和流程被攻擊者入侵,帶來系列嚴重風險,如:軟件中被植入脆弱性代碼,甚至直接可利用的後門,作為攻擊下游用戶的跳板;軟件源代碼被攻擊者竊取,通過代碼級分析挖掘漏洞,研發針對性攻擊工具;軟件簽名證書失竊,導致攻擊者可以將入侵程序偽裝成可信程序,繞過安全檢測機制;軟件分發、更新機制和渠道被攻擊者入侵劫持,用於捆綁惡意代碼,發動針對下游的攻擊。二是整體軟件行業代碼安全工程能力較差。普遍缺少全生命周期的代碼安全工程能力,軟件安全性較差,易於出現嚴重安全漏洞,甚至大量存在低級問題,如:重要軟件通訊使用非加密協議、硬口令編碼等。IoT設備和部分智能終端設備缺少原生融合的出廠安全機制,接入政企網絡後,難以支撐可管理性、可防禦性的要求。三是政企用戶側供應鏈管理工作缺失網絡安全維度。對供應鏈管理的認識停留在資產台賬和基礎運維的層面,缺少對上游供應鏈網絡安全視角的統一工作機制和流程規範。對供應商資質入圍缺少網絡安全層面的整體要求;缺少對軟硬件設備安全入網的管理要求、操作規範、檢查機制;軟件和工具鏈管理普遍混亂,存在大量使用來源不明、未經安全驗證的軟件工具等情況。三、建議
在我國加速推進數字化轉型和數字中國建設的背景下,上述問題如不能得到有效重視和積極應對,將對我國關鍵信息基礎設施安全帶來重大風險隱患。為此,提出如下建議:一是建議相關部門設立專項,研究推動軟硬件研發場景安全防護工作。制定對應標準規範體系,覆蓋開發環境、生產環境安全防護、軟件強制簽名要求與簽發環境安全要求、軟件分發升級環境安全規範等。通過建立試點示範項目、安全投入加計扣除等機制,引導基礎軟硬件、共性軟件、政企場景工具軟件等相關研發企業機構,重視網絡安全工作,加大安全防護力度。二是建議相關部門出台支持軟件研發企業全面啟動代碼安全工程的專項政策和引導措施。跟進技術發展趨勢,推動SecDevOps等先進方法成為軟件安全開發的通用實踐,實現安全、快速、持續的軟件開發能力。設立專項支持安全引擎等安全中間件開發,鼓勵研發企業與安全企業強強聯合,可參考智能手機行業的成功實踐,通過產品嵌入安全中間件等方式,實現IT產品安全防護能力的出廠預置。三是建議摸清關基場景IT供應鏈家底,推動需求側變革。建議主管部門組織專項普查,全面分析關基和政企場景的軟件工具應用分布、來源、可控性等因素,形成完整圖譜,掌握問題隱患。建議相關部門組織專項,研究制定關基場景全生命周期的供應鏈安全管理工作的系列標準規範、實踐指南、考核辦法、測試測評標準,以及制定供應商准入機制、成熟度評價標準的安全指南。引導央企和政府用戶,從供應商資格入圍開始充分考慮對上游供應鏈的安全要求;在軟硬件採購招標過程中加入更全面的網絡安全要求;增加軟硬件產品驗收、入網等環節的安全檢查。強化供應鏈安全事件的響應、處置、恢復以及事件上報等環節的規範要求。關於加速推進軟件安全工程相關工作的提案(徵求意見稿)全國政協委員 肖新光
一、背景《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》第五篇「加快數字化發展 建設數字中國」中提出,「以數字化轉型整體驅動生產方式、生活方式和治理方式變革」,為新時期數字化轉型指明了方向。數字化轉型成為國家創新發展的重要驅動力,現已進入加快數字化發展、建設數字中國的新階段。數字化轉型升級對軟件的依賴度提升,軟件安全變得十分重要,一旦受到影響,就會嚴重損害人民生產生活、社會經濟活動甚至國家安全,必須儘快採取措施保障軟件安全,從而保障數字化轉型進程。二、問題
一是軟件成分和依賴關係缺乏透明性。現代軟件開發交付過程極為複雜,涉及到編譯環境和各種類庫、開源代碼、公用開發包、中間件等,軟件交付過程中涉及複雜的支撐關係。軟件成分和依賴關係缺乏透明性以及缺少安全驗證機制支撐,導致軟件缺陷、隱藏威脅的影響範圍難以追溯跟蹤,難以有效保障軟件安全設計實現正確,也難以有效支撐對突發安全事件的響應。二是開源代碼和生態風險應對能力缺乏支撐。現代軟件業高度依賴於開源體系存在。開源代碼及其所使用的代碼託管服務已經是軟件安全工程體系的重要組成部分。近年多次出現的開源軟件漏洞、開源項目污染和維護者刪除代碼等安全事件,時而引發連鎖問題。相關國家將開源平台作為制裁他國之手段的情況更值得關注警惕。三是軟件開發安全標準規範落後,無法覆蓋全生命周期。目前已經(或即將)實施、採納的相關安全標準和規範尚無法覆蓋軟件安全工程的全生命周期,在軟件規劃、需求定義、設計開發和對應的測試驗證環節仍有極大提升空間。針對軟件安全的保障機制和標準尚未形成統一體系,尋求達成數字化轉型的快速、持續和安全的交付面臨嚴峻挑戰。
三、建議一是強化軟件供應鏈的透明化要求。建議主管部門牽頭,建立對重點行業領域推動軟件供應鏈透明化機制,同時將對應的檢測與驗證能力作為關鍵軟件、設備和系統的強制要求。針對相關服務提供商制定安全監管要求和標準,確保軟件產品(工件、製品)所用開源代碼、第三方庫等成分透明化,對這些源碼進行安全性和合規性的評估,確保在發現開源代碼、第三方庫等安全漏洞時,能夠對其影響範圍進行追蹤和排查;對應用軟件發布版本增加強制性簽名要求,將內置惡意代碼防護以及對威脅可溯源性的支撐要求變成強制要求。二是推動系列強化開源和軟件生態安全專項工程。建議工業和信息化部在加快軟件業開源生態構建的同時,推動軟件安全工程配套的開源軟件生態的全面境內鏡像化專項工程(可用性保障),並建立對應安全監測機制。利用國家算力樞紐,由國家出資或補助,各級企業技術中心和工程技術研究中心參與,建設並主動管理源代碼庫,實現開源代碼/功能模塊持續可用保障,對關鍵項目進行持續代碼審計與安全檢測,全面評估其質量和安全性,建立配套的自動化、持續的風險監控機制。三是制定以軟件安全保障為首要目標的系列工程推薦標準和強制要求。建議工業和信息化部成立專門責任機構,通過資源配置引導、標準指南制定等措施,推動安全保障優先的安全軟件工程SecDevOps方法成為軟件開發的通用實踐,將共性安全設計、通用安全模塊和配套檢驗方法的工程實踐標準化。由各級企業技術中心和工程技術研究中心配合責任機構,從工程實踐中總結最佳實踐形成試點示範,通過推廣試點示範項目、安全投入加計扣除等機制,加快軟件開發全生命周期安全防護能力的落實速度。
留言列表
留言列表