強化產(chǎn)品安全建設　護航信創(chuàng)產(chǎn)業(yè)發(fā)展

吳蘭　張騰標　王坤

信息技術應用創(chuàng)新（簡稱“信創(chuàng)”），既是新一代信息技術發(fā)展的內在需求，也是加快新型基礎設施建設的重要支點。2020年，工信部提出實施國家軟件重大工程，集中力量解決關鍵軟件的“卡脖子”問題，意味著以信創(chuàng)產(chǎn)業(yè)為代表的國產(chǎn)軟件獲得國家戰(zhàn)略層次的持續(xù)推進。江蘇是國內較早布局信創(chuàng)產(chǎn)業(yè)的地區(qū)，并在近年來實現(xiàn)了產(chǎn)業(yè)的飛速發(fā)展。在新發(fā)展階段，信創(chuàng)產(chǎn)業(yè)的支撐范圍將更廣泛，我們須強化信創(chuàng)產(chǎn)品安全建設，不斷提升信創(chuàng)產(chǎn)業(yè)競爭力和抗風險能力，為網(wǎng)絡信息安全“保駕護航”。

江蘇信創(chuàng)產(chǎn)業(yè)進入快速發(fā)展期

自“十三五”以來，江蘇信創(chuàng)發(fā)展進入快車道，全省每年信息基礎設施建設投入達千億元，軟件產(chǎn)業(yè)規(guī)模破萬億元，成為孕育信創(chuàng)產(chǎn)業(yè)的肥沃土壤。通過政策導向和環(huán)境營造，江蘇信創(chuàng)產(chǎn)品技術能力不斷提升，骨干企業(yè)引領發(fā)展格局正在形成，產(chǎn)業(yè)生態(tài)融合的特征也愈發(fā)明顯，當前信創(chuàng)產(chǎn)業(yè)鏈已被列為江蘇30條優(yōu)秀產(chǎn)業(yè)鏈之一。

信創(chuàng)產(chǎn)業(yè)發(fā)展已成為區(qū)域經(jīng)濟高質量發(fā)展的強大引擎。江蘇在信創(chuàng)產(chǎn)業(yè)發(fā)展上積極謀劃部署，成立了信創(chuàng)產(chǎn)業(yè)強鏈工作專班，細致梳理我省信創(chuàng)產(chǎn)業(yè)鏈，提出聚焦CPU、操作系統(tǒng)、數(shù)據(jù)庫等短板環(huán)節(jié)著力強鏈補鏈，支持一批重點企業(yè)在省內落戶，包括申泰信息、龍芯中科、航天七零六、中科可控、統(tǒng)信、達夢等;建設了江蘇省信息技術應用創(chuàng)新產(chǎn)業(yè)生態(tài)基地，以“一基地、四中心”的創(chuàng)新模式向全省信創(chuàng)產(chǎn)業(yè)提供技術攻關、產(chǎn)品測試、人才培訓、成果展示等公共服務，其中省信創(chuàng)測試中心建成了集申威、龍芯、鯤鵬等6個技術路線的軟硬件測試環(huán)境，完成了百余次產(chǎn)品適配性測試、選型測試、解決方案測試、驗收測試服務;成立了江蘇省信息技術應用創(chuàng)新工作委員會，吸納省內相關骨干企業(yè)300余家，牽頭編制并定期發(fā)布了《江蘇省信息技術應用創(chuàng)新產(chǎn)品圖譜》，舉辦了江蘇省信息技術應用創(chuàng)新大會、江蘇省信創(chuàng)應用系統(tǒng)供需對接會，向用戶單位宣傳推廣我省優(yōu)質信創(chuàng)產(chǎn)品。目前，圖譜已收錄101家企業(yè)的500余款產(chǎn)品，據(jù)測算，預計到2022年，現(xiàn)有圖譜產(chǎn)品可實現(xiàn)業(yè)務收入約764億元，占全國相關市場15%左右。

信創(chuàng)產(chǎn)品面臨的安全威脅分析

隨著國產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件等信息技術產(chǎn)品在各領域的應用普及，信創(chuàng)產(chǎn)業(yè)發(fā)展進入快速發(fā)展期，安全問題成為不可忽視的重要內容。信創(chuàng)產(chǎn)品安全建設能最大程度保障供應鏈完整性的持續(xù)穩(wěn)定，盡可能減少遭受威脅和中斷的可能?？梢哉f，信創(chuàng)產(chǎn)品安全可靠是信創(chuàng)產(chǎn)業(yè)蓬勃發(fā)展的重要支撐。

江蘇信創(chuàng)產(chǎn)品涵蓋計算機主要零部件、整機、外部設備等硬件，以及操作系統(tǒng)、數(shù)據(jù)庫、中間件、辦公軟件、應用系統(tǒng)、安全系統(tǒng)等軟件。經(jīng)過多年發(fā)展，我省用戶對信創(chuàng)產(chǎn)品的使用感受已從可用能用向好用易用升級轉變。我省信創(chuàng)產(chǎn)品自主程度高，多采用自主設計、自主編碼、自主生產(chǎn)，但由于體系結構、基本原理、基礎編碼語言等與國外產(chǎn)品無較大差異，存在一些安全威脅，包括軟件自身漏洞較多，組件模塊面臨安全性低，知識產(chǎn)權風險高，從業(yè)人員安全意識較薄弱，等等。

當前，由于軟件漏洞而導致的網(wǎng)絡安全事件、數(shù)據(jù)泄露事件頻發(fā)。據(jù)江蘇省通信管理局調查數(shù)據(jù)顯示，2020年江蘇網(wǎng)民中有56.1%的人遭遇網(wǎng)絡安全問題，較2019年同期上升了2.5個百分點。國家互聯(lián)網(wǎng)應急中心江蘇分中心監(jiān)測發(fā)現(xiàn)，2020年江蘇發(fā)生270起涉及個人信息和重要數(shù)據(jù)安全的事件與風險，2914萬余條個人信息數(shù)據(jù)存在被泄露的可能。國家計算機網(wǎng)絡應急技術處理協(xié)調中心發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》也指出，2020年我國境內感染計算機惡意程序的主機數(shù)量約534萬臺，其中江蘇被感染主機占比12.1%。因此，強化信創(chuàng)產(chǎn)品安全建設、提升信創(chuàng)產(chǎn)品風險防控能力顯得尤為重要。

強化信創(chuàng)產(chǎn)品安全建設的對策措施

信創(chuàng)產(chǎn)品作為信息系統(tǒng)的重要組成部分，是保障系統(tǒng)可靠運行、數(shù)據(jù)有序傳輸?shù)暮诵年P鍵。強化信創(chuàng)產(chǎn)品的安全建設，可以有效構建安全基礎，強化系統(tǒng)整體防護能力，提高應對網(wǎng)絡安全威脅和攻擊水平，減少網(wǎng)絡安全事件發(fā)生，從而保障產(chǎn)業(yè)鏈穩(wěn)定和供應鏈暢通。

健全網(wǎng)絡安全的管理機制。制定和完善安全管理制度，明確建設單位、軟件廠商等不同主體的安全責任義務，建立網(wǎng)絡安全責任制度。加強信創(chuàng)系統(tǒng)項目規(guī)劃建設運維管理，制定項目網(wǎng)絡安全與密碼應用解決方案，同步規(guī)劃、同步建設基于密碼的保障體系，確保新建項目中網(wǎng)絡安全措施的合理全面以及密碼應用的合規(guī)、正確和有效。加強資金保障管理，確保系統(tǒng)日常更新、運維、安全檢測等工作正常開展。制定網(wǎng)絡安全應急預案，重點關注系統(tǒng)中采用的開源軟件組件模塊漏洞風險和許可證使用風險等，并開展應急演練。

強化國產(chǎn)密碼的融合創(chuàng)新。充分利用江蘇在密碼領域的良好產(chǎn)業(yè)基礎與資源優(yōu)勢，將國產(chǎn)密碼與芯片、操作系統(tǒng)、中間件、數(shù)據(jù)庫、應用軟件等進行深入融合，有效解決數(shù)據(jù)產(chǎn)生、傳輸、存儲、處理、分析、使用等全生命周期安全難題，實現(xiàn)基礎硬件資源、信息設施、計算分析、應用服務、網(wǎng)絡通道、接入終端等全體系平臺安全，實現(xiàn)系統(tǒng)安全可信。

完善監(jiān)測服務的體系建設。建設開源軟件安全監(jiān)控預警平臺，打造開源軟件安全漏洞庫、許可協(xié)議庫、軟件廠商技術路線庫和用戶單位資源環(huán)境庫等。制定統(tǒng)一接口標準規(guī)范，暢通安全漏洞庫與國際國內通用漏洞平臺漏洞聯(lián)動、安全廠商漏洞報送機制。適時建立預警處置機制，向軟件廠商和用戶單位下發(fā)并處置預警信息。

加強信創(chuàng)產(chǎn)品的評估檢測。按照《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)以及黨政機關安全管理等有關規(guī)定，統(tǒng)籌省信創(chuàng)測試中心、省內專業(yè)第三方安全檢測機構和商用密碼應用安全性評估機構，對已建成的信創(chuàng)系統(tǒng)定期開展網(wǎng)絡安全檢測和風險評估、商用密碼應用安全性評估，保障信息系統(tǒng)安全穩(wěn)定運行。推動研究制定產(chǎn)品安全測試大綱，提出安全測試基線要求，形成通用性安全技術標準及安全性測試指南。在信創(chuàng)產(chǎn)品發(fā)布、重大更新或使用前進行安全檢測，確保不存在高風險安全漏洞。

推進信創(chuàng)人才的挖掘培養(yǎng)。創(chuàng)新網(wǎng)絡安全人才培養(yǎng)模式，加強復合型人才培養(yǎng)。促進省內信創(chuàng)產(chǎn)品廠商、安全龍頭企業(yè)、高校、科研院所、第三方安全檢測機構等的交流溝通，加快推動在信創(chuàng)領域的產(chǎn)學研用一體化發(fā)展，編制一流培訓課件，打造一流研究團隊，淬煉一流培訓隊伍，加大對信創(chuàng)從業(yè)人員的培訓培養(yǎng)，強化安全意識，提升安全技術能力和理論水平。舉辦省內信創(chuàng)領域網(wǎng)絡安全技能競賽、技術論壇及沙龍等活動，搭建人才交流平臺，擴大社會影響，挖掘培養(yǎng)高技能復合型人才。

（作者單位：江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院）

責任編輯：孫秋香