3月10日,中国人民政治协商会议第十三届全国委员会第五次会议在北京闭幕。本届两会,全国政协委员、安天集团创始人肖新光提交三份提案,聚焦推进网络安全想定推演、IT供应链网络安全能力和软件安全工程的建设。
关于全面推动开展网络安全想定推演工作的提案
(征求意见稿)
全国政协委员 肖新光
一、背景
我国重要信息系统和关键信息基础设施的网络安全防护水平通过多年合规拉动,结合近几年实战化攻防演练,已经有很大提升。但网络空间对抗已经事实上成为大国博弈与地缘安全竞合最为复杂和常态化的样式之一,相关系统的安全防护要求,不能仅仅立足于防范一般性、常态化风险,还要放在复杂严峻的国际形势下,放在可能出现的“黑天鹅”、“灰犀牛”事件,和有可能出现的高烈度对抗背景下看待。
因此,网络安全防护工作需要进一步强化网络空间的敌情意识,把握“客观的敌情想定是做好网络安全防御工作的前提”这一基础规律,科学认知关键信息基础设施面临的威胁与对抗的演进态势,充分了解预判威胁行为体,特别是高级网空威胁行为体,展开想定推演工作,支撑构建可对抗高级威胁的网络安全防御体系。
二、问题
面对威胁对抗烈度提升和常态化有三个挑战:
一是网络安全规划工作尚未将“敌情想定”构建作为必须性和前置性环节。当前关键信息基础设施的运营单位在网络安全规划阶段,主要从保障本单位业务需求出发,以合规点覆盖为主线,并辅助一定程度的实战化攻防演练,缺乏把业务场景和资产价值、数据价值放到国际形势和地缘安全大背景下的进行敌情想定分析。如不能将“敌情想定”构建作为必须性和前置性环节,就难以做到以科学规划统领关键信息基础设施网络安全建设,也就无从构建起有效的防御体系。
二是实战化检验缺少与推演的有效结合。面向关键信息基础设施的实战化攻防演练工作,已经有了较好的实践,成为推进网络安全防护的必备环节。但也存在实施成本较高、难以常态化的问题。同时,针对性模拟威胁行为体,特别是充分模拟超高能力威胁行为体活动有一定困难,且基于现网环境开展,难以设定极端化情况和后果,以及产生的关联影响,无法达成全面检验防御能力的目标。
三是欠缺支撑想定与推演的工具和平台。现有靶场平台更偏重基础实战攻防,难以支撑综合背景和想定导入。现有兵棋、沙盘系统对网络空间安全的支撑力不足。导致目前的想定推演工作总体上偏纸面化,缺乏对想定背景的整体设定能力以及面向攻击行为体、攻击技战术以及信息资产的形式化建模,欠缺相关辅助想定推演的配套工具和平台。
三、建议
针对以上问题,提出如下建议:
一是将“敌情想定”构建工作作为网络安全规划建设的必须环节。建议主管部门统筹引导,将构建敌情想定作为网络安全规划的重要前置条件。推动重点行业、重点领域、关键信息基础设施、地缘安全敏感地区,根据本领域、本地区、本单位的特点,开展敌情想定分析工作。梳理对应信息系统的业务和数据价值与国家安全、社会治理安全、公民个人安全等层面的关系,以及与总体国家安全的关联影响,叠加到地缘安全风险的场景背景下,分析可能发起攻击的威胁行为体,基于威胁行为体的能力、作业风格等信息,完成想定构建。并形成阶段性更新机制,以及重大关联安全风险和事件背景下的紧急触发机制。
二是推动实战化攻防演练和推演机制的有机结合。建议负责关键信息基础设施安全保护工作部门制定本行业、本领域基于敌情想定的网络安全事件推演方案,并定期组织实战演练,对推演进行验证、更新和完善。以提升应对极端化场景、突发网络安全事件下的战术执行能力和战略决策能力。
三是设立专项支持网络安全想定推演支撑能力建设。建议相关部门对网络空间安全想定推演工作领域所需基础理论、实用工具、工程系统和人才培养等方面进行方向牵引和专项支持。尽快推动形成支撑相关工作的方法论、工具集和人才队伍。
关于加强IT供应链网络安全能力的提案
(征求意见稿)
全国政协委员 肖新光
一、背景
IT供应链环节复杂、暴露面多,上游环节被攻击者利用会引发雪崩效应造成不可估量的影响。近几年,网络攻击者通过入侵软硬件产品供应商,实现对下游政企应用场景的连锁突破,已经成为常态化攻击方式。2015年,苹果公司的开发工具XCode非官方版本污染事件,导致国内800余个互联网应用遭到污染,其中包含多个主流应用。2020年,美国软件供应商SolarWinds旗下Orion基础设施管理平台的发布环境遭入侵,被植入恶意代码并随软件发布,导致超过17000家用户机构遭受严重影响。2021年,境外网络攻击组织ATW利用代码审计平台SonarQube的漏洞,窃取了我国多份行业软件源代码,在网上兜售,造成系列连锁风险。
二、问题
IT供应链网络安全能力面临三个挑战:
一是软件研发场景防护能力普遍薄弱。在设计、开发、编译、测试、签名、分发等场景缺少针对性防护措施,导致相关环境和流程被攻击者入侵,带来系列严重风险,如:软件中被植入脆弱性代码,甚至直接可利用的后门,作为攻击下游用户的跳板;软件源代码被攻击者窃取,通过代码级分析挖掘漏洞,研发针对性攻击工具;软件签名证书失窃,导致攻击者可以将入侵程序伪装成可信程序,绕过安全检测机制;软件分发、更新机制和渠道被攻击者入侵劫持,用于捆绑恶意代码,发动针对下游的攻击。
二是整体软件行业代码安全工程能力较差。普遍缺少全生命周期的代码安全工程能力,软件安全性较差,易于出现严重安全漏洞,甚至大量存在低级问题,如:重要软件通讯使用非加密协议、硬口令编码等。IoT设备和部分智能终端设备缺少原生融合的出厂安全机制,接入政企网络后,难以支撑可管理性、可防御性的要求。
三是政企用户侧供应链管理工作缺失网络安全维度。对供应链管理的认识停留在资产台账和基础运维的层面,缺少对上游供应链网络安全视角的统一工作机制和流程规范。对供应商资质入围缺少网络安全层面的整体要求;缺少对软硬件设备安全入网的管理要求、操作规范、检查机制;软件和工具链管理普遍混乱,存在大量使用来源不明、未经安全验证的软件工具等情况。
三、建议
在我国加速推进数字化转型和数字中国建设的背景下,上述问题如不能得到有效重视和积极应对,将对我国关键信息基础设施安全带来重大风险隐患。为此,提出如下建议:
一是建议相关部门设立专项,研究推动软硬件研发场景安全防护工作。制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。通过建立试点示范项目、安全投入加计扣除等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。
二是建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。跟进技术发展趋势,推动SecDevOps等先进方法成为软件安全开发的通用实践,实现安全、快速、持续的软件开发能力。设立专项支持安全引擎等安全中间件开发,鼓励研发企业与安全企业强强联合,可参考智能手机行业的成功实践,通过产品嵌入安全中间件等方式,实现IT产品安全防护能力的出厂预置。
三是建议摸清关基场景IT供应链家底,推动需求侧变革。建议主管部门组织专项普查,全面分析关基和政企场景的软件工具应用分布、来源、可控性等因素,形成完整图谱,掌握问题隐患。建议相关部门组织专项,研究制定关基场景全生命周期的供应链安全管理工作的系列标准规范、实践指南、考核办法、测试测评标准,以及制定供应商准入机制、成熟度评价标准的安全指南。引导央企和政府用户,从供应商资格入围开始充分考虑对上游供应链的安全要求;在软硬件采购招标过程中加入更全面的网络安全要求;增加软硬件产品验收、入网等环节的安全检查。强化供应链安全事件的响应、处置、恢复以及事件上报等环节的规范要求。
关于加速推进软件安全工程相关工作的提案
(征求意见稿)
全国政协委员 肖新光
一、背景
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第五篇“加快数字化发展 建设数字中国”中提出,“以数字化转型整体驱动生产方式、生活方式和治理方式变革”,为新时期数字化转型指明了方向。数字化转型成为国家创新发展的重要驱动力,现已进入加快数字化发展、建设数字中国的新阶段。数字化转型升级对软件的依赖度提升,软件安全变得十分重要,一旦受到影响,就会严重损害人民生产生活、社会经济活动甚至国家安全,必须尽快采取措施保障软件安全,从而保障数字化转型进程。
二、问题
保障数字化转型进程的安全面临三个挑战:
一是软件成分和依赖关系缺乏透明性。现代软件开发交付过程极为复杂,涉及到编译环境和各种类库、开源代码、公用开发包、中间件等,软件交付过程中涉及复杂的支撑关系。软件成分和依赖关系缺乏透明性以及缺少安全验证机制支撑,导致软件缺陷、隐藏威胁的影响范围难以追溯跟踪,难以有效保障软件安全设计实现正确,也难以有效支撑对突发安全事件的响应。
二是开源代码和生态风险应对能力缺乏支撑。现代软件业高度依赖于开源体系存在。开源代码及其所使用的代码托管服务已经是软件安全工程体系的重要组成部分。近年多次出现的开源软件漏洞、开源项目污染和维护者删除代码等安全事件,时而引发连锁问题。相关国家将开源平台作为制裁他国之手段的情况更值得关注警惕。
三是软件开发安全标准规范落后,无法覆盖全生命周期。目前已经(或即将)实施、采纳的相关安全标准和规范尚无法覆盖软件安全工程的全生命周期,在软件规划、需求定义、设计开发和对应的测试验证环节仍有极大提升空间。针对软件安全的保障机制和标准尚未形成统一体系,寻求达成数字化转型的快速、持续和安全的交付面临严峻挑战。
三、建议
针对以上问题,提出如下建议:
一是强化软件供应链的透明化要求。建议主管部门牵头,建立对重点行业领域推动软件供应链透明化机制,同时将对应的检测与验证能力作为关键软件、设备和系统的强制要求。针对相关服务提供商制定安全监管要求和标准,确保软件产品(工件、制品)所用开源代码、第三方库等成分透明化,对这些源码进行安全性和合规性的评估,确保在发现开源代码、第三方库等安全漏洞时,能够对其影响范围进行追踪和排查;对应用软件发布版本增加强制性签名要求,将内置恶意代码防护以及对威胁可溯源性的支撑要求变成强制要求。
二是推动系列强化开源和软件生态安全专项工程。建议工业和信息化部在加快软件业开源生态构建的同时,推动软件安全工程配套的开源软件生态的全面境内镜像化专项工程(可用性保障),并建立对应安全监测机制。利用国家算力枢纽,由国家出资或补助,各级企业技术中心和工程技术研究中心参与,建设并主动管理源代码库,实现开源代码/功能模块持续可用保障,对关键项目进行持续代码审计与安全检测,全面评估其质量和安全性,建立配套的自动化、持续的风险监控机制。
三是制定以软件安全保障为首要目标的系列工程推荐标准和强制要求。建议工业和信息化部成立专门责任机构,通过资源配置引导、标准指南制定等措施,推动安全保障优先的安全软件工程SecDevOps方法成为软件开发的通用实践,将共性安全设计、通用安全模块和配套检验方法的工程实践标准化。由各级企业技术中心和工程技术研究中心配合责任机构,从工程实践中总结最佳实践形成试点示范,通过推广试点示范项目、安全投入加计扣除等机制,加快软件开发全生命周期安全防护能力的落实速度。