自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

网络产品服务的最低安全标准

     文 | 王忠惠

王忠惠

上海千寻位置网络有限公司   安全专家

信息安全专业硕士，10年以上网络攻防经历；曾多次规划组织部级前沿网络攻防项目；现带领团队围绕服务、应用和IoT，建设软件安全能力和网络防护能力所需的产品、技术和平台。

网络安全行业有层出不穷的概念和名词，指导着新范式、新产品和新技术的应用。以RSAC为例，对于5年前的一场大会，用TOP 20的热词几乎可以包揽大会的热闹；然而随着安全趋势的变化以及RSAC自身规模和影响力的增强，近年来用百来个网络安全热词也满足不了一场顶级盛会对IT安全趋势的速写。

而在网络安全立法方面，也形成了一个可圈可点的立法高潮。以大数据、云计算、物联网等为代表的新技术新应用快速发展，倒逼各国网络空间立法推陈出新和顶层设计整合完善。去年起，国内网络安全领域重要立法密集出台，包括关键信息基础设施保护、网络漏洞安全管理、网络数据安全管理、汽车数据安全管理、网络安全审查、数据跨境管理、反电信网络诈骗、漏洞搜集平台备案等在内的网络安全配套法规体系也持续成熟。国外网络安全立法不仅持续强化隐私保护、数据开放和数据流通，在关键基础设施保护方面，依旧是重中之重。同时，对于近年来假新闻、深度伪造、网络干选等网上内容操纵事件开始影响到各国的政治层面，欧美的网络内容治理对象也开始从虚假信息、仇恨言论、政治言论、恐怖主义信息扩展到音视频、知识产权等多重规制目标，尤其大力开展针对科技企业的“反垄断”调查。

毫无疑问，网络空间已经是政治、经济的重要关注点，近年来的网络安全监管将对企业经营产生深刻的影响。企业网络产品服务所需要承接的不仅仅是客户需求、产品功能、业务运营和经营效率，也将包括网络安全功能实现以及监管安全的过程落地。持续增长的网络安全热词和网络安全立法也将会导致企业安全建设不够聚焦，在企业安全投入不会明显增加的情况下，更会导致已有防护投入被稀释从而进入最终无法持续维护的局面。因此，本文想从最低安全标准的视角，结合近年来实践，谈谈有哪些网络安全工作值得长期投入。

在《网络安全法》中明确规定国家实行网络安全等级保护制度，落实网络安全责任制，依据相关规定开展等级保护工作，通过等级测评来检验网络系统的安全防护能力，识别系统可能存在的安全风险。等级保护工作是一套系统方法论和网络安全建设手段，是适用所有信息系统的安全基线和安全差距改进计划，当前已经满足的等保基线完全可以融入到日常安全工作中，并形成常态的安全防护能力。

另外也需要强调，所有的信息系统都需要围绕业务信息安全和系统服务安全进行定级，不表示所有的信息系统都需要开展等级测评。遇到过部分企业盲目开展等保测评工作的情况，而忽略了等保建设价值导致流于形式。不以测评为目的建设是一种最低的安全标准，这种理解对于另外两项安全评估工作也是同样如此的。

《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险；在《密码法》中规定使用商用密码进行保护的关键基础设施，其运营者应履行开展商用密码应用安全评估的工作，同时指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接，避免重复评估、测评。

是否开展商用密码应用，以及是否对技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等范畴存在的风险进行检测评估。除去自身信息系统被规定要去执行的情况，一般系统不妨作为网络安全能力成熟度建设方向，持续提高安全团队面对关基防护强度的综合应对能力；也就是将等级保护建设作为安全能力的下限，关基安全建设作为安全能力的上限，自身网络产品服务的安全构成应该在此平行线内演化提升。

《网络关键设备安全通用要求》是网络安全领域少数强制性标准之一，虽然是以网络关键设备作为对象，但难度不大，几乎就是互联网企业已开展SDL实践的低配版。因此，对于一般信息系统而言，相关的安全通用要求同样值得关注和实施。

在安全通用要求中，主要分为“安全功能要求”与“安全保障要求”两个大类。对所有应用系统标识资产等级，根据业务差异化落地响应流程也就是企业SRC的最佳实践。让每一个应用系统集成统一身份访问管理，开展开发安全、网络主机应用防护、运维安全以及安全运营分析，其要求又与纵深防护实践理念统一，也与互联网的安全实践一致。

联网应用和联网设备容易受到冒用、篡改、劫持和恶意使用等威胁。无论是消费类应用还是物联网行业，网络安全风险都客观存在，消费者或最终用户也更易遭受黑客攻击与隐私侵犯。面对联网程度越来越高的生活环境，必须采取适当的网络安全保障措施。

在终端应用的研发过程中依旧需要重视开发安全。实现必要的漏洞管理和补丁更新功能，在网络通信时使用正确的TLS加密，并对默认密码和本地数据实施必要的软件加密和数据加密措施。持续可用的OTA能力和加密能力是基础安全中较难建设的部分，不仅有技术本身的复杂性，也有与端侧业务结合的困难性，但对于提高终端应用的安全防护和隐私保护是有极大裨益的。

最后是对于三方软件系统的安全管理。由于缺少主动维护和厂商延迟响应等客观情况，三方软件系统的安全管理存在显著的不确定性和不可控性。三方软件在内部环境部署交付后，极少被更新或改进系统漏洞，时间稍久的系统更有可能不再作为厂商售卖和维护的版本。

一套在用的三方软件系统比开源软件供应链安全问题更为复杂，前者缺少源码和技术文档，业务流程在初始化后便不再改动，并被重复使用。在不更换系统和维持现有数据可用的前提下，安全防护工作明显困难很多。如果能够取得业务部门的支持，迁移软件或下线系统肯定是一劳永逸的对策；但如果要保持安全运营，类似防火墙、WAF的安全防护能力嵌套必不可少。而在不具备修复代码功能条件又需要及时防范业务接口过多暴露敏感数据的情形时，安全团队急需实现一种数据安全访问代理，通过代理具有的动态脱敏敏感数据的安全能力，既可以避免重构代码过程，又可以维持的业务流程的不变。基于安全访问代理的安全运营将是安全团队补充已交付软件安全性的重要手段。

不过以上这些都是事后的动作，安全团队需要尽早联合采购部门对三方软件系统建立安全交付要求。建立一套包括提供源代码、第三方代码审计和渗透测试报告、持续5年的软件更新支持等在内的安全措施，能够为未来的安全团队工作减轻包袱。

借用本次主题中的话，没有绝对的安全，也没有绝对管用的安全措施。安全团队想要把每一项活干明白（怎么干、干到什么程度）是需要持续探索和对比改进的。但无论如何去做，更要看到业务的长期安全需要是什么，并建立最经济的防护方案。

2022诸子笔会  

【10月主题：过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜

【9月主题：查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在