360杜跃进谈信创安全：自主可控不等于绝对安全

“信创用户大多是我国党政军，交通、能源等关键基础设施单位，关系国家安全和国计民生，却也最容易成为攻击者的首选目标。为此，亟需一种基于攻防视角、整体思维、统一调度、开放运营以及能力驱动的信创安全体系应对当前面临的严峻挑战。”信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进在第九届互联网安全大会“信创安全创新发展峰会”上表示。

7月28日，以“聚力安全·共筑发展”为主题的“信创安全创新发展峰会”在北京国家会议中心召开。该会议也是第九届互联网安全大会（简称ISC 2021）的九大峰会之一，来自政府、产业、高校、研究机构和信创用户机构的一流专家齐聚一堂，共话信创安全能力建设。

自主可控不等于绝对安全

大力促进信息技术应用创新产业发展，是为了解决核心技术的“卡脖子”、“受制于人”等问题，而制定的一项国家战略。信创产业作为“数字中国”建设的重要抓手，同步做好信创安全保障变得尤为重要。正如杜跃进博士所言：“自主可控不等于绝对安全，软硬件设计缺陷导致的安全漏洞无法避免。”

图注：信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进

据权威统计数据显示，每千行代码中就有4-6个漏洞。由于信创产品大量基于开源软件构建，其供应链、生态中软硬件后门不可杜绝。此外，大量使用未经大范围安全考验的开源软件，同样使得大部分信创产品自身安全性非常脆弱。

此外，杜跃进表示，APT攻击将成为信创安全面临的最大挑战。攻击者已经从最早的没有特定动机和目标的“白开心”，到被经济利益驱使以逐利为目标的“小毛贼”，再到具有复杂动机的围绕政治、经济和军事等国家安全目标的“大玩家”。眼下，具有国家背景的APT组织正日益猖獗，由于APT攻击具有极强的隐蔽性，通常以窃取国家敏感信息和机密信息为目标，其攻击危害不容忽视。

更值得注意的是，信创用户大多是我国党政军，交通、能源、金融、医疗、公共卫生等关键基础设施单位，这些单位的业务系统具有极高价值，关系国家安全和国计民生。杜跃进说道：“由于信创用户的特殊性，使得其极易成为攻击者的首选攻击目标。对手具备足够的动机对我们实施攻击。”

“信创安全具体挑战包括时间紧、范围大、对手强、积累少、协调难。”杜跃进博士总结道。信创安全应该从最底层的IT基础设施到最高层的业务应用，同步全面进行设计与实施。然而信创已经开始超大规模的系统更替与应用，加上国际形势复杂与恶化、信创厂商安全意识和能力普遍不足、人才等领域缺乏积累、信创安全工作涉及部门多且分工机制不完善等情况，信创安全正面临着严峻的挑战。

信创安全需要体系化、系统化设计

杜跃进认为，在特殊时代、特殊情况下，信创安全也亟待体系化、系统化的设计。具体而言，这一设计思想包含攻防视角、整体思维、统一调度、开放运营、能力驱动五大方面。

其中，攻防视角意味着要抓住安全的本质，从攻防对抗的视角设计一切；整体思维意味着，要从局部环节了解风险、整体高度进行分析、评估和应对；统一调度，指向了有组织、有策略的多部门大范围协同联动；开放运营，表明需要尽量调动各方面最优资源；能力驱动，则是以能力建设和持续升级为目标、实践能力衡量为指标。

在五大思想的指导下，杜跃进还从产品安全、运行安全和业务安全角度，提出了基于“可信性”、“安全性”、“可控性”、“对抗性”和“可存活性”的五层信创安全内容。

其中，产品安全涉及可信性和安全性，最底层可信性是一切安全的基础，减少软硬件、数据和人员被仿冒的可能性。但是软硬件产品本身会存在不可避免的安全缺陷或安全漏洞，这就属于安全性问题。

可控性和可对抗性属于运行安全层面，可控性是需要增强对安全事件的预防、发现、响应能力。由于攻防的不对称，不能只依靠被动的防御，可对抗性就是增强安全威胁溯源、取证、慑阻的能力，能够更加主动地减少或消除安全风险。

当前四层都没有达到非常满意的结果时，就需要通过可存活性增强核心业务的存活能力，在各种最坏的情况下确保关键数据不受影响、核心业务和应用不中断。

值得一提的是，杜跃进还对信创安全保障的阶段目标做出了总结。在其看来，信创安全发展的短期目标是一套应急体系，在一切条件都严重欠缺的情况下，通过特殊的设计，实现安全能力的快速建设；未来的四到五年是个中期目标，已经形成了相对完善的能力体系，在技术、产品、人员、服务、知识、安全基础设施等方面基本满足国家需求；而远期目标应是一个独具特色的、信创化的安全体系和生态，最佳实践达到可推广、可借鉴、可输出的水平。

信创安全保障工作当前重点、困难和机会

为了推动信创安全体系建设，信创安全技术委员会（简称“技委会”）于2020年1月正式成立。技委会委员由来自信创基础软硬件厂商、安全公司、研究机构和高校的信创安全领域专家组成，其主要任务为研究制定信创安全保障技术方案、支撑政策研究与标准研制，协助推动相关技术攻关和实施，促进信创安全产业生态完善等。

基于信创安全的整体设计，信创安全保障工作正在有重点的努力推进。“产品安全依然是最紧急的重点，是基础性问题，也是更是最需要补的短板。技委会当前推动的多项工作都是围绕产品安全展开的。”杜跃进说到。

在工作推进中不可避免的遇到了极大困难，杜跃进讲到：“抵触心态、身份主义则是目前所有工作推进过程中面临的最大困扰。”社会上普遍还是抱着“发现问题的是坏人”的思想，意识不到“让不让挖，洞都在那里”，“知不知道，对手都会知道”。因此抵触安全行业发现产品漏洞，在开展工作时发现信创厂商或用户更关注的是对方身份而不是能力。

虽然困难重重，但好在还是看到了机会。2021年7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。杜跃进表示，三部委联合发文或能有助改善信创安全保障工作难以开展的情况。该规定对供应商产品安全提出了法律要求，供应商要为自己的产品安全承担责任。

此外，杜跃进还认为，落地示范、唤醒社会、营造生态是当前具有战略价值的工作。技术方案要变成落地的服务能力，需通过地方性的示范工作，带动更大的覆盖面；通过关键产品挑战赛等活动呼唤社会对信创安全的正确认识；还可通过信创安全人才和创新联盟等的推进，加快推进产学研等方面的合作，缓解人才和积累不足的问题。

信创安全面临的挑战需要全行业广泛参与。最后，杜跃进呼吁更多有创造力、勇气与担当的同行者加入信创安全的工作中，共同保障国家信创产业高质量发展。