基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究

張卓 郭樹行

摘 要：結(jié)合我國軟件安全的現(xiàn)狀，更好的保護(hù)軟件信息安全，本文提出基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究。首先，分析了國內(nèi)軟件安全形勢和軟件安全標(biāo)準(zhǔn);然后，提出一種適用于國產(chǎn)軟件安全標(biāo)準(zhǔn)新型框架，用以支持信息安全環(huán)境構(gòu)建，并給出對應(yīng)的主要功能和構(gòu)成;其次，詳細(xì)介紹了關(guān)于軟件安全標(biāo)準(zhǔn)新模型框架中的四個過程域;最后，探討了基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建的可行路線。

關(guān)鍵詞：國產(chǎn)軟件;信息安全;安全標(biāo)準(zhǔn);安全環(huán)境

0 引言

隨著我國信息化的蓬勃發(fā)展，人們對國產(chǎn)軟件的需求日益增長，國產(chǎn)軟件產(chǎn)業(yè)得到了大力發(fā)展，但是，盜版問題也成為制約國產(chǎn)軟件業(yè)發(fā)展的重要因素，并且國內(nèi)大量重要信息系統(tǒng)幾乎被國外品牌軟硬件所壟斷，讓我國信息安全面臨嚴(yán)重的威脅[1]。數(shù)據(jù)防泄漏、木馬攻擊、遭遇黑客、病毒、誤操作等都會造成數(shù)據(jù)丟失和信息安全漏洞。隨著各類安全漏洞和威脅與日俱增，軟件安全成為重要的建設(shè)領(lǐng)域。如何建立基于國產(chǎn)軟件的信息安全環(huán)境，已經(jīng)成為了一種巨大挑戰(zhàn)。因此打擊各類侵犯國產(chǎn)軟件知識產(chǎn)權(quán)的行為和推進(jìn)使用正版國產(chǎn)軟件工作，必須要健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實施安全等級保護(hù)與風(fēng)險評估等制度，構(gòu)建信息安全保密防護(hù)體系，確保國家網(wǎng)絡(luò)與信息安全。為此，文中提出了一種適用于國產(chǎn)軟件的軟件安全標(biāo)準(zhǔn)新型框架。

1 國內(nèi)軟件安全形勢

從美國中央情報局前雇員斯諾登引爆“棱鏡門”事件到中國互聯(lián)網(wǎng)新聞研究中心公開《美國全球監(jiān)聽行動記錄》報告、確認(rèn)谷歌與微軟等科技公司參與竊密行動。近年來，信息安全大環(huán)境問題呈現(xiàn)出前所未有的嚴(yán)峻性。

我國互聯(lián)網(wǎng)行業(yè)起步較晚，早期的軟件生態(tài)和硬件生態(tài)幾乎被國外產(chǎn)品所壟斷，近年來國產(chǎn)軟硬件如雨后春筍般大量涌現(xiàn)，但國產(chǎn)生態(tài)不夠完善以及多年來養(yǎng)成的使用習(xí)慣問題，造成國內(nèi)大量重要信息系統(tǒng)仍然使用國外品牌軟硬件。從信息安全和國家安全的角度考慮，以上隱患首先威脅到的是掌握國家信息核心部門的政府。對于涉及國家機(jī)密或者國家安全的產(chǎn)品，應(yīng)通過健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實現(xiàn)自主可控的國產(chǎn)替代等手段構(gòu)建信息安全保密防護(hù)體系，以確保國家網(wǎng)絡(luò)與信息安全。

2 軟件安全標(biāo)準(zhǔn)分析

目前國內(nèi)企業(yè)主要遵循的信息安全標(biāo)準(zhǔn)有《信息安全技術(shù)》系列國家標(biāo)準(zhǔn)等。通過對這些標(biāo)準(zhǔn)和規(guī)范的分析與解讀，我們看到，已存在的標(biāo)準(zhǔn)規(guī)范具有以下優(yōu)點：

（1）較為系統(tǒng)全面的闡述了軟件安全相關(guān)的過程域，包括物理軟件安全等幾個維度;

（2）對于是否達(dá)到軟件安全標(biāo)準(zhǔn)給出了一些檢查原則和指導(dǎo)方針;

（3）對信息系統(tǒng)的軟件安全防護(hù)等級做了基本設(shè)定與劃分;

（4）對企業(yè)如何建立安全的防護(hù)體系給予了全面宏觀的說明。

但是，結(jié)合我國軟件安全的現(xiàn)狀，我們認(rèn)為目前這些標(biāo)準(zhǔn)規(guī)范不足以有效全面的指導(dǎo)企事業(yè)單位軟件安全的建設(shè)與防護(hù)，他們存在以下的劣勢：

（1）總體相對來說比較宏觀，顆粒度比較粗，企事業(yè)單位依據(jù)此無法在操作層面上落地安全的相關(guān)措施;

（2）沒有針對如何防御安全問題及漏洞的方法、技術(shù)進(jìn)行闡述和說明;

（3）未劃分軟件安全點的優(yōu)先級，對于軟件安全等級及軟件安全點的檢查和評審方式比較傳統(tǒng)，缺乏技術(shù)手段的指導(dǎo);

（4）未考慮從軟件的整個生命周期（規(guī)劃、需求、設(shè)計、實現(xiàn)、測試、部署、運(yùn)維）來進(jìn)行軟件安全防御及標(biāo)準(zhǔn)設(shè)定。

綜合以上分析，我們亟需建立一套更全面、更有指導(dǎo)意義、更能適合我國企事業(yè)單位特點及信息發(fā)展趨勢、更能有效落地的軟件安全的標(biāo)準(zhǔn)體系。

3 軟件安全標(biāo)準(zhǔn)新型框架

結(jié)合不同行業(yè)的軟件安全標(biāo)準(zhǔn)與相關(guān)要素，分析認(rèn)為在新時期所建立的軟件安全標(biāo)準(zhǔn)體系應(yīng)該充分立足已有行業(yè)規(guī)范、充分利用已有安全工具技術(shù)、注重全生命周期的進(jìn)行軟件安全能力構(gòu)造。圖1為軟件安全新型框架的總體概覽圖。

該框架的總體結(jié)構(gòu)可以概括為：“四域四能三維五層”。

四域：四個過程域。第一個過程域為軟件安全的軟件生產(chǎn)過程，這是核心過程域。其他三個過程域為軟件安全的流程與制度要求、軟件安全工具與軟件安全技術(shù)、軟件安全的過程保障三個支持域。

四能：四種關(guān)鍵業(yè)務(wù)功能，也就是軟件的生命周期過程概括：構(gòu)造、確認(rèn)、部署和運(yùn)維。

三維：每個業(yè)務(wù)功能有三種維度的軟件安全措施來進(jìn)行保障。

五層：軟件生命過程中的軟件安全標(biāo)準(zhǔn)和軟件安全措施，都要充分考慮到五個層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

研究認(rèn)為，我國的信息安全環(huán)境建設(shè)，必須從國產(chǎn)軟件規(guī)劃、設(shè)計、研制等早期過程著眼。軟件生產(chǎn)過程要端到端建立軟件安全的規(guī)范與標(biāo)準(zhǔn)，而生產(chǎn)過程間的協(xié)同、流轉(zhuǎn)與管理通過軟件安全的流程與制度過程域來做出要求和規(guī)范;在執(zhí)行過程中要充分利用好軟件安全的技術(shù)和軟件安全工具，通過軟件安全工具與軟件安全技術(shù)過程域來指導(dǎo)支持;如何保證標(biāo)準(zhǔn)和流程真正落地，就需要軟件安全的過程保障過程域了，這個過程域要解決軟件安全的等級評估以便企業(yè)規(guī)劃自己的軟件安全戰(zhàn)略發(fā)展路線，還要做一下軟件安全的教育和與指導(dǎo)以便執(zhí)行者接受和創(chuàng)建軟件安全，而執(zhí)行過程中要強(qiáng)化軟件安全的治理與監(jiān)督也很重要，最后不同類型的企業(yè)應(yīng)當(dāng)有軟件安全標(biāo)準(zhǔn)的裁剪，不是每個企業(yè)都追求大而全，而重視有效實用及性價比。

4 國產(chǎn)軟件安全能力實現(xiàn)

下述從四個過程域角度，總結(jié)歸納適合我國國產(chǎn)軟件能力實現(xiàn)的四個過程域。

4.1 構(gòu)造階段

構(gòu)造階段主要指軟件的架構(gòu)規(guī)劃與需求階段，在該階段需要考慮架構(gòu)中引入軟件安全架構(gòu)的設(shè)計，在需求中體現(xiàn)在非功能需求部分的軟件安全需求的說明。同時要針對軟件產(chǎn)品/系統(tǒng)的特點，結(jié)合歷史軟件安全事件經(jīng)驗，對軟件安全威脅進(jìn)行綜合評估。在評估基礎(chǔ)上形成軟件安全架構(gòu)和軟件安全需求，有針對性在軟件中規(guī)劃軟件安全。所以該階段的軟件安全措施三種：威脅評估、軟件安全需求、軟件安全架構(gòu)。每種軟件安全措施必須都考慮到五個層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

4.2 確認(rèn)階段

確認(rèn)階段指從軟件設(shè)計到軟件開發(fā)、測試的過程;在此過程中軟件安全措施有三類：軟件安全設(shè)計、軟件安全編碼、軟件安全測試。

4.3 部署階段

部署階段指從從軟件完成到軟件交付運(yùn)行期間的軟件安全措施。在此過程中軟件安全措施有三類：漏洞管理、操作管理、環(huán)境管理。

4.4 運(yùn)維階段

運(yùn)維階段指軟件交付使用后運(yùn)維期間的軟件安全標(biāo)準(zhǔn)及措施。在此過程中軟件安全措施有三類：實時監(jiān)控、定期審計、軟件安全事件。

5 軟件安全流程與制度化建設(shè)

5.1 軟件安全開發(fā)流程

軟件安全開發(fā)流程覆蓋和指導(dǎo)軟件的整個生命周期中所有階段的軟件安全的流程環(huán)節(jié)、流轉(zhuǎn)、人員角色、行為動作。

主要流程包括軟件總體軟件安全開發(fā)流程、軟件架構(gòu)軟件安全流程、軟件需求軟件安全流程、軟件漏洞威脅分析流程、軟件安全設(shè)計流程、軟件安全編碼流程、軟件安全測試流程、軟件漏洞管理流程、軟件環(huán)境軟件安全管理流程、軟件操作管理軟件安全流程、軟件定期審計流程、軟件實時監(jiān)控流程與應(yīng)對軟件安全突發(fā)事件的處理流程等體系。

5.2 軟件安全審計流程

軟件安全審計涉及控制目標(biāo)、安全漏洞、控制措施和控制測試四個基本要素。

首先，定義審計的物質(zhì)范疇。審計范疇的劃定有利于審計人員集中注意力在資產(chǎn)，規(guī)程和政策方面。其次，劃定審計的步驟范圍。確定一個合適的安全審計區(qū)域，既要避免因過于寬泛導(dǎo)致延緩，也要避免過窄導(dǎo)致審計不完全。第三，研究歷史與檢查單設(shè)計。通過歷史記錄，可以避免因已知的安全漏洞再次出現(xiàn)安全事件等等。第四，制定審計計劃。審計計劃應(yīng)包括審計內(nèi)容的詳細(xì)描述、關(guān)鍵日期、參與人員和獨立機(jī)構(gòu)。第五，實施安全風(fēng)險評估。一旦審計小組制定好了有效的審計計劃，就可以著手開始審計的核心—風(fēng)險評估。第六，記錄下審計結(jié)果。第七，提出改進(jìn)意見。安全審計最終的好處就是提出相應(yīng)的提高安全的建議[2]。

5.3 人員軟件安全要求與制度

應(yīng)根據(jù)軟件安全策略，制定系統(tǒng)安全管理的規(guī)程和制度，不同安全等級的安全管理規(guī)章制度的內(nèi)容應(yīng)有選擇地滿足以下要求的一項：

（1）基本的安全管理制度：應(yīng)包括網(wǎng)絡(luò)安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定，防病毒規(guī)定，以及相關(guān)的操作規(guī)程等;（2）較完整的安全管理制度：在（1）的基礎(chǔ)上，應(yīng)增加設(shè)備使用管理規(guī)定，人員安全管理規(guī)定，安全審計管理規(guī)定，風(fēng)險管理規(guī)定，安全事件報告規(guī)定，事故處理規(guī)定，應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等;（3）體系化的安全管理制度：在（2）的基礎(chǔ)上，應(yīng)制定全面的安全管理規(guī)定，包括：主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類標(biāo)記等系統(tǒng)資源安全管理規(guī)定;安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測試和脆弱性評估、系統(tǒng)信息安全備份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫方面的安全管理規(guī)定;網(wǎng)絡(luò)連接檢查評估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)設(shè)施變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定等;（4）強(qiáng)制保護(hù)的安全管理制度：在（3）的基礎(chǔ)上，應(yīng)增加信息保密標(biāo)識與管理規(guī)定，密碼使用管理規(guī)定，安全事件例行評估和報告規(guī)定，關(guān)鍵控制措施定期測試規(guī)定等;（5）?？乇Ｗo(hù)的安全管理制度：在（4）的基礎(chǔ)上，應(yīng)增加安全管理審計監(jiān)督規(guī)定等[3]。

5.4 軟件安全應(yīng)急與軟件安全恢復(fù)流程

為了有效應(yīng)對相關(guān)安全事件，可根據(jù)國際上廣為接受的經(jīng)典的應(yīng)急事件處理六階段流程制定相應(yīng)的應(yīng)急響應(yīng)流程。即Preparing準(zhǔn)備、Detection檢測、Control抑制、Eradicate根除、Restore恢復(fù)、Follow跟蹤（改進(jìn)）。

6 基于國產(chǎn)軟件安全能力的信息安全環(huán)境建設(shè)

該過程域的作用是保障相關(guān)軟件安全流程、標(biāo)準(zhǔn)在實際執(zhí)行中能符合要求。包括建立總體的軟件安全等級評估，從而形成企業(yè)的軟件安全發(fā)展的柵欄路線圖。事前的教育指導(dǎo)和培訓(xùn);事中的審計、治理與監(jiān)督。而且對于不同類型的企業(yè)制定軟件安全裁剪指導(dǎo)原則。

6.1 軟件安全等級評估

風(fēng)險評估既是對自身安全防御能力的評估，也指導(dǎo)企業(yè)安全建設(shè)的方向。采取以自評估為主，委托評估檢查機(jī)構(gòu)為輔的方式，在信息系統(tǒng)方案設(shè)計、建設(shè)投產(chǎn)和運(yùn)行維護(hù)各個階段實施必要的風(fēng)險評估。軟件安全等級是相應(yīng)信息系統(tǒng)安全等級劃分的基本依據(jù)。軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級分為單一安全等級和多安全等級，其安全等級的劃分應(yīng)滿足以下要求：（1）單一安全等級軟件系統(tǒng)：按照業(yè)務(wù)應(yīng)用確定的安全等級的要求，軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為一個安全域，或者說整個信息系統(tǒng)具有相同的安全保護(hù)等級。（2）多安全等級軟件系統(tǒng)：按照不同業(yè)務(wù)應(yīng)用的不同安全等級的要求，軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為多個安全域/子系統(tǒng)，或者說，整個信息系統(tǒng)具有多個不同的安全保護(hù)等級。

6.2 軟件安全教育與指導(dǎo)

信息安全教育宣傳，提高安全意識。在安全的流程與制度建設(shè)完畢后，為保障流程制度的落地，應(yīng)積極組織各級各層人員系統(tǒng)性地開展培訓(xùn)工作，包括安全流程制度、標(biāo)準(zhǔn)培訓(xùn);安全技術(shù)實施培訓(xùn)等。使從業(yè)人員增強(qiáng)主動防御意識、加強(qiáng)安全管理水平、提高安全意識，為實現(xiàn)信息網(wǎng)絡(luò)安全工作常態(tài)化、規(guī)范化、制度化做出相應(yīng)的措施。

6.3 軟件安全治理與監(jiān)督

為進(jìn)一步提升信息安全保障能力，確保國家網(wǎng)絡(luò)安全運(yùn)行，需從國家立法、企業(yè)研發(fā)兩個方面來推動國內(nèi)軟件實現(xiàn)自主可控。立法方面：在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，加快實施全面的《網(wǎng)絡(luò)安全審查辦法》。企業(yè)方面：肩負(fù)起保護(hù)國家信息安全的重大責(zé)任，加大國產(chǎn)替代的研發(fā)力度，以實現(xiàn)自主可控的國家信息安全體系。

6.4 不同企業(yè)制定裁剪指導(dǎo)原則

不同類型企業(yè)對安全的要求和實現(xiàn)是有差異的，該章節(jié)給出不同類型企業(yè)依據(jù)新型安全框架建設(shè)時進(jìn)行分類裁減的指導(dǎo)原則。各種分類圖示（●高強(qiáng)度 ◎中等強(qiáng)度 ○弱強(qiáng)度）。

（1）軟件為提供給外部普通大眾用戶使用，根據(jù)表1公眾環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級。

（2）軟件提供給內(nèi)部用戶使用，并且對外物理隔離，根據(jù)表2物理隔離環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級。

（3）軟件提供給內(nèi)部用戶通過互聯(lián)網(wǎng)多地區(qū)使用，根據(jù)表3對內(nèi)公網(wǎng)環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級。

基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究，研究提出了一種軟件安全標(biāo)準(zhǔn)新型框架。該框架總體結(jié)構(gòu)可以概括為“四域四能三維五層”。軟件安全標(biāo)準(zhǔn)新型框架能夠用來指導(dǎo)構(gòu)建信息安全保密防護(hù)體系，確保國家網(wǎng)絡(luò)與信息安全。未來軟件產(chǎn)業(yè)應(yīng)隨著云計算，大數(shù)據(jù)，移動互聯(lián)網(wǎng)等新技術(shù)、新規(guī)模加速發(fā)展，并逐步建立完善的軟件安全標(biāo)準(zhǔn)框架，憑借中國自身產(chǎn)業(yè)的特色和優(yōu)勢，在保障重要信息安全的同時，推動軟件業(yè)發(fā)展成為支柱產(chǎn)業(yè)，提升國產(chǎn)軟件產(chǎn)業(yè)在全球范圍內(nèi)的競爭力，構(gòu)建國產(chǎn)軟件的信息安全環(huán)境。

參考文獻(xiàn)

[1] 韓健.加強(qiáng)基礎(chǔ)軟件信息安全刻不容緩[N].中國計算機(jī)報，2014-12-22（2）.

[2] 陳將.企業(yè)實施信息安全審計的關(guān)鍵流程[J].網(wǎng)絡(luò)與信息，2010（10）：63.

[3] GB/T20269-2006，信息安全技術(shù) 信息系統(tǒng)安全管理要求[S].