加強(qiáng)基礎(chǔ)軟件信息安全刻不容緩

韓健

當(dāng)前我國(guó)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件以及辦公軟件等基礎(chǔ)軟件市場(chǎng)仍以美國(guó)廠商為主導(dǎo)，軟件產(chǎn)品本身仍存在一些安全“后門”。為進(jìn)一步提升我國(guó)信息安全保障能力，確保國(guó)家網(wǎng)絡(luò)安全運(yùn)行，需從政府和基礎(chǔ)軟件廠商兩個(gè)層面來(lái)推動(dòng)我國(guó)基礎(chǔ)軟件自主可控、安全可靠發(fā)展。

政府層面：完善生態(tài)發(fā)展環(huán)境，鼓勵(lì)自主創(chuàng)新，加強(qiáng)安全測(cè)試服務(wù)，推進(jìn)協(xié)同發(fā)展。

一是建立和完善國(guó)產(chǎn)基礎(chǔ)軟件的生態(tài)發(fā)展環(huán)境。制定相關(guān)規(guī)定，從國(guó)家層面對(duì)國(guó)產(chǎn)基礎(chǔ)軟件安全性進(jìn)行把控;制定軟件安全保障規(guī)范，推行安全開發(fā)理念;完善國(guó)產(chǎn)軟件安全技術(shù)支撐體系，夯實(shí)服務(wù)能力，提供技術(shù)支持保障;國(guó)家從政策引導(dǎo)、資金保障等方面促進(jìn)軟件安全測(cè)評(píng)技術(shù)的自主創(chuàng)新和產(chǎn)品研發(fā)。

二是提升對(duì)基礎(chǔ)軟件的信息安全測(cè)試服務(wù)能力。加強(qiáng)對(duì)基礎(chǔ)軟件產(chǎn)品與服務(wù)的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，進(jìn)一步降低安全隱患。鑒于中間件產(chǎn)品與操作系統(tǒng)、數(shù)據(jù)庫(kù)不同，缺少相應(yīng)的安全等級(jí)規(guī)范，需進(jìn)一步加強(qiáng)對(duì)中間件產(chǎn)品的安全性測(cè)試服務(wù)。

三是引導(dǎo)基礎(chǔ)軟件廠商與信息安全專業(yè)機(jī)構(gòu)加強(qiáng)合作。要實(shí)現(xiàn)資源共享，圍繞漏洞掃描、產(chǎn)品安全檢測(cè)、服務(wù)風(fēng)險(xiǎn)評(píng)估、解決方案安全驗(yàn)證，以及產(chǎn)品安全開發(fā)管理等方面，建立常態(tài)化交流合作機(jī)制，持續(xù)提升國(guó)產(chǎn)基礎(chǔ)軟件的信息安全保障能力。

企業(yè)層面：構(gòu)建信息安全保障體系，提升信息安全防護(hù)意識(shí)，加強(qiáng)專業(yè)人才隊(duì)伍建設(shè)，推進(jìn)安全風(fēng)險(xiǎn)評(píng)估，加大信息安全監(jiān)督檢查力度。

一是建立健全信息安全保障體系。從企業(yè)領(lǐng)導(dǎo)、項(xiàng)目經(jīng)理到一線開發(fā)者均要高度重視產(chǎn)品和服務(wù)的安全，并在軟件產(chǎn)品生命周期各個(gè)階段加強(qiáng)安全性把控，進(jìn)而構(gòu)建有效的信息安全技術(shù)保障機(jī)制，有效防范、控制和化解信息技術(shù)風(fēng)險(xiǎn)，增強(qiáng)信息系統(tǒng)安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力。

二是加強(qiáng)信息安全教育宣傳，提高安全意識(shí)。積極組織開展國(guó)產(chǎn)基礎(chǔ)軟件產(chǎn)品信息安全的培訓(xùn)、測(cè)試認(rèn)證和普及宣傳，定期召開重要廠商和主流企業(yè)級(jí)用戶信息安全應(yīng)用與案例研討會(huì)，持續(xù)提升用戶單位技術(shù)人員信息安全意識(shí)和技術(shù)風(fēng)險(xiǎn)管控水平，為實(shí)現(xiàn)信息網(wǎng)絡(luò)安全工作常態(tài)化、規(guī)范化、制度化做出相應(yīng)的措施。

三是加強(qiáng)專業(yè)人才隊(duì)伍建設(shè)。要重視人才引進(jìn)，選拔素質(zhì)高、技能強(qiáng)、具有一定管理經(jīng)驗(yàn)的人才從事信息安全工作。重點(diǎn)加強(qiáng)業(yè)務(wù)高端系統(tǒng)運(yùn)行人員技能的培養(yǎng)力度，不斷提高實(shí)際操作能力與應(yīng)急能力。

四是積極推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估。根據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估有關(guān)標(biāo)準(zhǔn)，采取以自評(píng)估為主，委托評(píng)估檢查機(jī)構(gòu)為輔的方式，在信息系統(tǒng)方案設(shè)計(jì)、建設(shè)投產(chǎn)和運(yùn)行維護(hù)各個(gè)階段實(shí)施必要的風(fēng)險(xiǎn)評(píng)估。

五是健全標(biāo)準(zhǔn)規(guī)范體系，加大監(jiān)督檢查力度。重點(diǎn)加強(qiáng)國(guó)產(chǎn)基礎(chǔ)軟件產(chǎn)品與服務(wù)測(cè)評(píng)、準(zhǔn)入、認(rèn)證等相關(guān)技術(shù)規(guī)范與標(biāo)準(zhǔn)。依據(jù)已確立的技術(shù)規(guī)范、標(biāo)準(zhǔn)與制度，定期開展信息安全檢查工作，確保信息安全保障工作落到實(shí)處，保證檢查工作的針對(duì)性、深入性和時(shí)效性。