裴毅東

通常，當(dāng)用戶訪問Gmail.com等網(wǎng)站時(shí)，會(huì)在URL地址欄看到一個(gè)“鎖”型標(biāo)志。這個(gè)標(biāo)志表明用戶在該網(wǎng)站上的通信信息都被加密，第三方無法讀取用戶與該網(wǎng)站之間的任何通信信息，只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對(duì)話，也只能看到一串隨機(jī)字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。Open SSL正是互聯(lián)網(wǎng)加密使用最廣泛的這把“鎖”。用戶或許認(rèn)為，Gmail和Facebook等網(wǎng)站上的Open SSL加密“鎖”可以保證通信信息安全，而實(shí)際上，借助Open SSL的安全漏洞，不法分子可以輕易解密用戶的通信信息，甚至獲取服務(wù)器密鑰。Open SSL存在的安全漏洞，可以使這把廣泛使用的“安全鎖”成為無需鑰匙即可開啟的“廢鎖”。

2014年4月，谷歌安全部門和芬蘭安全檢測公司科諾康同時(shí)發(fā)現(xiàn)Open SSL開源軟件存在名為“心血”的安全漏洞。作為全球2/3以上互聯(lián)網(wǎng)網(wǎng)站普遍采用的加密手段，Open SSL開源軟件存在的安全漏洞，不僅會(huì)使網(wǎng)上銀行、電子支付、門戶網(wǎng)站、電子郵件等網(wǎng)站的用戶敏感信息面臨被竊取的危險(xiǎn)，還會(huì)使網(wǎng)絡(luò)服務(wù)器、路由器、移動(dòng)智能終端等網(wǎng)絡(luò)設(shè)備甚至國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨受攻擊的風(fēng)險(xiǎn)。此次曝光的“心血”安全漏洞雖為獨(dú)立事件，但絕非偶然，這再次反映出美國政府在網(wǎng)絡(luò)安全漏洞的獲取、利用、頂層設(shè)計(jì)方面具備成熟的運(yùn)行機(jī)制。

“心血”安全漏洞的形成原因及工作機(jī)理

Open SSL采用C語言開發(fā)，可以支持Linux、Windows、Mac OS等多種操作系統(tǒng)，具有優(yōu)秀的跨平臺(tái)性能，已成為目前互聯(lián)網(wǎng)領(lǐng)域廣泛使用的一種開源加密軟件工具。用戶在網(wǎng)站上的賬戶、密碼及各類通信信息均通過該軟件包進(jìn)行加密。加密數(shù)據(jù)只有網(wǎng)絡(luò)服務(wù)器這個(gè)接收者才能解密，不法分子即便監(jiān)聽用戶與網(wǎng)絡(luò)服務(wù)器之間的對(duì)話信息，也只能看見一行隨機(jī)字符串，而無法獲取用戶實(shí)際的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多個(gè)版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本無效，主要問題出在Open SSL實(shí)現(xiàn)傳輸層安全協(xié)議（TLS/DTLS）的心跳擴(kuò)展代碼中。當(dāng)Open SSL的傳輸層安全協(xié)議被調(diào)用時(shí)，連接SSL一端的客戶端向另一端的服務(wù)器發(fā)出一條簡短的字符串（即“心跳信息”），以確認(rèn)服務(wù)器在線并能獲取響應(yīng)；另一端的服務(wù)器會(huì)向客戶端返回與“心跳信息”相匹配的信息。但是，在這個(gè)過程中，由于Open SSL未對(duì)客戶端發(fā)送的字符串長度做邊界檢查，使不法分子可以截獲正常“心跳信息”并修改其長度后發(fā)給服務(wù)器，欺騙網(wǎng)絡(luò)服務(wù)器，從其內(nèi)存中竊取相應(yīng)長度的數(shù)據(jù)，并將相應(yīng)空間的信息作為“心跳信息”返回給不法分子，這部分?jǐn)?shù)據(jù)中，很可能包含安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等信息。雖然不法分子利用該漏洞每次只能從服務(wù)器竊取64KB字節(jié)信息，但反復(fù)多次操作后，可以拼湊出更多用戶的賬戶、密碼、通信記錄等多種敏感信息。

“心血”安全漏洞可能產(chǎn)生的影響

由于“心血”安全漏洞屬于內(nèi)存泄露，可以從服務(wù)器內(nèi)存中直接讀取數(shù)據(jù)，即使入侵行為也不會(huì)在服務(wù)器日志中留下痕跡，所以無法確定哪些服務(wù)器曾被入侵。但從Open SSL的應(yīng)用范圍，可以判斷“心血”安全漏洞可能產(chǎn)生的影響。

大范圍波及互聯(lián)網(wǎng)服務(wù)器及相關(guān)信息服務(wù)

2014年4月，英國Netcraft公司提供的網(wǎng)站服務(wù)器調(diào)查數(shù)據(jù)顯示，全球約有66%的互聯(lián)網(wǎng)活躍網(wǎng)站受“心血”安全漏洞影響。這些網(wǎng)站大都采用了基于Open SSL的Apache和Nginx等開源服務(wù)器。此外，由于Open SSL主要用于保護(hù)電子郵件服務(wù)器、聊天服務(wù)器、虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用和多種客戶端軟件，所以除互聯(lián)網(wǎng)網(wǎng)站受到影響外，電子郵件、即時(shí)通信和虛擬專網(wǎng)（VPN）等信息服務(wù)都遭受了嚴(yán)重影響。

2014年4月9日，我國國家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了關(guān)于“心血”漏洞的情況通報(bào)。根據(jù)監(jiān)測結(jié)果，國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時(shí)聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認(rèn)證等服務(wù)器受到漏洞影響，此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。國內(nèi)兩大信息安全公司的監(jiān)測數(shù)據(jù)顯示，國內(nèi)網(wǎng)站約有2.3萬個(gè)（占其抽樣的1.5%）和1.1萬個(gè)（占其抽樣的1.0%）服務(wù)器主機(jī)受影響，涉及大型電商網(wǎng)站、銀行網(wǎng)銀系統(tǒng)、第三方支付、微信、淘寶、社交網(wǎng)站、門戶網(wǎng)站等等，以及126、163等郵箱、即時(shí)通信服務(wù)。截止4月10日，在全國存在“心血”安全漏洞的網(wǎng)站中，依然有近30%沒有采取任何防護(hù)措施。

大量敏感數(shù)據(jù)可能遭竊取

目前，“心血”安全漏洞的驗(yàn)證腳本可以被不法分子廣泛獲取，而且不法分子可以針對(duì)這一安全漏洞進(jìn)行大量的試驗(yàn)和嘗試，可能導(dǎo)致使用Open SSL的站點(diǎn)遭到信息竊取。然而由于不法分子利用該安全漏洞對(duì)服務(wù)器進(jìn)行信息竊取時(shí)不會(huì)留下任何痕跡，可能導(dǎo)致有些站點(diǎn)的大量敏感數(shù)據(jù)已經(jīng)遭到竊取，卻渾然不覺。

由于該安全漏洞給不法分子提供了讀取網(wǎng)站服務(wù)器內(nèi)存的權(quán)限，用戶修改密碼、發(fā)送消息、登錄等請(qǐng)求以及很多操作會(huì)全部暴露出來，直接導(dǎo)致用戶的證書密鑰、用戶名、密碼、甚至是安全問題與答案、即時(shí)通信、電子郵件、業(yè)務(wù)關(guān)鍵文檔和通信信息都可能遭竊。

國家關(guān)鍵信息基礎(chǔ)設(shè)施或受影響

事實(shí)上，政府、金融、能源、交通、國防等諸多國家關(guān)鍵領(lǐng)域都有用到類似Open SSL的開源軟件組件，由于這種組件功能專一、用途廣泛，且具有不可替代性，一旦存在安全漏洞，將導(dǎo)致國家關(guān)鍵信息基礎(chǔ)設(shè)施的底層通信、信息傳輸、上層應(yīng)用等功能徹底癱瘓，甚至整個(gè)網(wǎng)絡(luò)空間都將面臨嚴(yán)峻的安全風(fēng)險(xiǎn)。

美國已建立完善的網(wǎng)絡(luò)安全漏洞獲取與應(yīng)用機(jī)制

“心血”只是被曝光的眾多安全漏洞之一。當(dāng)前，大量類似Open SSL這樣的開源軟件包廣泛應(yīng)用于全球互聯(lián)網(wǎng)服務(wù)器、路由器、移動(dòng)智能終端以及國家重要信息基礎(chǔ)設(shè)施。公開資料表明，美國長期以來通過植入、發(fā)掘、購買等多種方式獲取安全漏洞，建立了一套相對(duì)完善的網(wǎng)絡(luò)安全漏洞獲取機(jī)制。endprint

多管齊下獲取安全漏洞

作為網(wǎng)絡(luò)時(shí)代的領(lǐng)跑者，以及最早發(fā)現(xiàn)并應(yīng)用網(wǎng)絡(luò)技術(shù)的國家，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅，美國政府一直將安全漏洞視為重要的網(wǎng)絡(luò)戰(zhàn)略資源，為掌握海量秘密漏洞不惜花費(fèi)大量的人力、物力和財(cái)力。

一是斥巨資與私營科技公司緊密合作，在軟硬件產(chǎn)品或算法中植入安全漏洞、預(yù)置“后門”。美國政府與私營企業(yè)的合作由來已久，大約有數(shù)千家高科技公司作為“可信合作伙伴”為美國政府提供用戶敏感信息，其中不乏谷歌、微軟、思科等世界知名IT公司。例如，美國國家安全局每年為“信號(hào)情報(bào)”項(xiàng)目（SIGNIT）投入2.5億美元，以合同授予的形式引誘國內(nèi)科技公司在商用加密系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備中植入隱秘漏洞，方便國家安全局獲取用戶信息。國家安全局曾與加密技術(shù)公司RSA達(dá)成1000萬美元的協(xié)議，要求對(duì)移動(dòng)終端廣泛使用的加密軟件預(yù)置2個(gè)精心設(shè)計(jì)的“后門”。

同時(shí)，國家安全局下屬的“商用解決方案中心”長期與私營科技公司開展合作，表面上是對(duì)企業(yè)的IT產(chǎn)品進(jìn)行安全評(píng)估，實(shí)際上是尋求如何在IT產(chǎn)品中植入安全漏洞。

二是建立官方專業(yè)技術(shù)團(tuán)隊(duì)，開展網(wǎng)絡(luò)安全漏洞研究，不斷挖掘和發(fā)現(xiàn)漏洞。美國政府十分重視利用專業(yè)技術(shù)團(tuán)隊(duì)的力量提升網(wǎng)絡(luò)防御與攻擊能力，充分吸收民間網(wǎng)絡(luò)人才組建專門技術(shù)團(tuán)隊(duì)，并集結(jié)軍方精銳網(wǎng)絡(luò)力量挖掘和發(fā)現(xiàn)當(dāng)前各類系統(tǒng)存在的安全漏洞。國家安全局下屬的“獲取特定情報(bào)行動(dòng)辦公室”（TAO）的“遠(yuǎn)程行動(dòng)中心”擁有一個(gè)超過600名專業(yè)技術(shù)人員的團(tuán)隊(duì)。該技術(shù)團(tuán)隊(duì)建立了從網(wǎng)絡(luò)設(shè)施到人、從內(nèi)容到行為的完整體系，以網(wǎng)絡(luò)獲取技術(shù)為主線，以云計(jì)算和大數(shù)據(jù)分析技術(shù)為核心，利用先進(jìn)的網(wǎng)絡(luò)滲透、機(jī)器學(xué)習(xí)、數(shù)據(jù)分析等漏洞挖掘技術(shù)，不間斷地尋找他國信息系統(tǒng)的安全漏洞，這已成為美國政府獲取安全漏洞的重要渠道。

三是投入大量資金，長期從黑客手中購買漏洞。多年來，為第一時(shí)間掌握互聯(lián)網(wǎng)、軟件、服務(wù)器存在的安全漏洞，美國政府長期從販賣漏洞的黑客手中購買安全漏洞。盡管平均每項(xiàng)安全漏洞的價(jià)格達(dá)到3.5～16萬美元，蘋果iOS系統(tǒng)安全漏洞的售價(jià)甚至高達(dá)50萬美元，但美國政府為提升自身網(wǎng)絡(luò)的防御和攻擊能力，仍不惜重金，成為當(dāng)前安全漏洞市場的最大買家。據(jù)國家安全局合同文件顯示，該機(jī)構(gòu)在2012年9月訂購了法國安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞資源，做到早發(fā)現(xiàn)、早修復(fù)、早利用

一是利用發(fā)現(xiàn)的安全漏洞，及時(shí)修復(fù)自身網(wǎng)絡(luò)存在的安全問題，做好網(wǎng)絡(luò)防御措施。據(jù)美國彭博新聞社報(bào)道，美國國家安全局早在2012年就發(fā)現(xiàn)Open SSL開源加密軟件存在“心血”安全漏洞，但美國政府出于“維護(hù)國家安全威脅免受威脅”等因素的考慮，一直未將漏洞信息公之于眾，為其利用該漏洞搜集情報(bào)提供了2年的時(shí)間窗口。當(dāng)“心血”安全漏洞被私營企業(yè)發(fā)現(xiàn)后，美國聯(lián)邦儲(chǔ)備委員會(huì)、財(cái)政部、國土安全部等政府部門立即對(duì)網(wǎng)絡(luò)系統(tǒng)開展了全面測試和修復(fù)。

二是利用安全漏洞制造網(wǎng)絡(luò)監(jiān)聽工具，搜集海量機(jī)密信息。一旦美國國家安全局尋找到目標(biāo)網(wǎng)絡(luò)或計(jì)算機(jī)存在安全漏洞，就會(huì)借助軟件設(shè)計(jì)師和工程師隊(duì)伍設(shè)計(jì)的專用監(jiān)聽軟件，通過電子手段入侵系統(tǒng)并持續(xù)搜集機(jī)密信息。自2009年開始，美國政府利用搜集華為公司相關(guān)技術(shù)中存在的安全漏洞，入侵華為網(wǎng)絡(luò)設(shè)備并實(shí)施監(jiān)控，試圖找到華為與中國軍方之間有聯(lián)系的證據(jù)，同時(shí)監(jiān)控華為高管的通信。

三是利用安全漏洞制造網(wǎng)絡(luò)攻擊武器，破壞關(guān)鍵基礎(chǔ)設(shè)施。美國政府通過植入、發(fā)掘和購買等方式獲得安全漏洞后，利用這些龐大的安全漏洞資源，研發(fā)制造極具殺傷力的網(wǎng)絡(luò)武器，伺機(jī)將惡意軟件植入目標(biāo)國家的計(jì)算機(jī)、路由器和防火墻，在需要時(shí)利用先進(jìn)的網(wǎng)絡(luò)滲透與攻擊技術(shù)實(shí)行謹(jǐn)慎而高效的網(wǎng)絡(luò)監(jiān)聽或攻擊，破壞他國關(guān)鍵信息基礎(chǔ)設(shè)施。2010年，美國家安全局曾利用包括Windows字體漏洞在內(nèi)的四個(gè)“零日”漏洞，制造出“震網(wǎng)”蠕蟲病毒并向伊朗鈾濃縮項(xiàng)目發(fā)動(dòng)攻擊，最終破壞了約1000臺(tái)伊朗離心機(jī)。此外，美國家安全局在代號(hào)為“精靈”的項(xiàng)目中，利用掌握到的漏洞資源，將惡意軟件秘密植入世界各地的計(jì)算機(jī)、路由器和防火墻，伺機(jī)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。至2013年底，該項(xiàng)目已控制了至少85000臺(tái)計(jì)算機(jī)。此外，美國中央情報(bào)局還部署了名為“FoxAcid”的利用安全漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊的服務(wù)器平臺(tái)，可對(duì)目標(biāo)的狀態(tài)、受攻擊后的反應(yīng)等進(jìn)行判斷，以選擇最有效的漏洞進(jìn)行攻擊。

從國家層面加強(qiáng)網(wǎng)絡(luò)安全立法和機(jī)構(gòu)設(shè)置，為利用安全漏洞提供頂層保障

近年來曝光的每一例關(guān)于網(wǎng)絡(luò)安全的問題，基本都是由美國官方或私營科技公司率先發(fā)現(xiàn)，其他國家只有在安全漏洞曝光或遭受攻擊后才能了解安全漏洞的相關(guān)信息。事實(shí)上，美國從國家層面建立了一整套完善的安全漏洞監(jiān)測、預(yù)警及響應(yīng)體系，通過加強(qiáng)網(wǎng)絡(luò)安全立法和組織機(jī)構(gòu)設(shè)置，為美國率先獲取和利用安全漏洞提供了頂層保障。

首先，重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將網(wǎng)絡(luò)安全由政策、計(jì)劃提升到國家戰(zhàn)略高度。從克林頓時(shí)期的《美國政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)政策》、《信息系統(tǒng)保護(hù)國家計(jì)劃》到布什時(shí)期的《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》，再到奧巴馬政府的《網(wǎng)絡(luò)空間國際戰(zhàn)略》、《提升美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等一系列文件的出臺(tái)，可以看出，美國政府高度重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將其視為影響經(jīng)濟(jì)發(fā)展和國家安全的關(guān)鍵因素，通過政策、計(jì)劃、戰(zhàn)略逐級(jí)遞增的方式，不斷提升美國網(wǎng)絡(luò)安全的戰(zhàn)略高度。同時(shí)，美國先后頒布了《計(jì)算機(jī)欺詐和濫用法》、《聯(lián)邦信息安全管理法》、《關(guān)鍵基礎(chǔ)設(shè)施信息法》等十多部有關(guān)網(wǎng)絡(luò)安全的法律，這些法律從計(jì)算機(jī)與信息系統(tǒng)安全、基礎(chǔ)設(shè)施安全、信息內(nèi)容安全等多個(gè)層次構(gòu)建了龐大的網(wǎng)絡(luò)安全保護(hù)框架，將網(wǎng)絡(luò)安全“威懾與防御”的理念貫徹在頂層戰(zhàn)略的具體規(guī)劃中，使美國成為網(wǎng)絡(luò)安全領(lǐng)域頒布法律最多且體系最為完善的國家。

其次，美國政府將網(wǎng)絡(luò)安全政策執(zhí)行、管理與監(jiān)督等權(quán)利分配給國土安全部、國防部、審計(jì)署、商務(wù)部及財(cái)政部等多個(gè)聯(lián)邦政府部門。各聯(lián)邦部門在網(wǎng)絡(luò)安全管理方面分工明確，職責(zé)清晰，形成了美國網(wǎng)絡(luò)安全管理的雙層主體架構(gòu)：第一層是白宮網(wǎng)絡(luò)安全辦公室，由白宮網(wǎng)絡(luò)安全協(xié)調(diào)官協(xié)調(diào)和整合政府網(wǎng)絡(luò)安全方面的所有政策；第二層是國土安全部和國防部，分別作為聯(lián)邦政府網(wǎng)絡(luò)安全的指揮中樞和掌管美軍網(wǎng)絡(luò)安全與網(wǎng)絡(luò)作戰(zhàn)指揮的司令部。endprint

對(duì)我國網(wǎng)絡(luò)安全漏洞應(yīng)對(duì)機(jī)制的建議

雖然“心血”安全漏洞在曝光后迅速得到修復(fù)，但我國仍至少有3萬臺(tái)服務(wù)器受到影響。鑒于我國政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)所用的服務(wù)器、操作系統(tǒng)、芯片等軟硬件產(chǎn)品和通用網(wǎng)絡(luò)組件主要來自國外，無法實(shí)現(xiàn)安全可控，這些關(guān)鍵行業(yè)的信息基礎(chǔ)設(shè)施都可能受到該安全漏洞的影響。因此，我國一方面要加強(qiáng)自主、安全、可控的軟硬件技術(shù)與產(chǎn)品的研發(fā)，并逐步在關(guān)鍵領(lǐng)域?qū)崿F(xiàn)替代，從根本上防御網(wǎng)絡(luò)安全漏洞存在的威脅；另一方面，應(yīng)加大對(duì)網(wǎng)絡(luò)安全漏洞的監(jiān)測、預(yù)警和響應(yīng)力度，使我國能夠及早發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，進(jìn)而做到早修復(fù)。

加強(qiáng)各部門之間信息共享和協(xié)同行動(dòng)，提升網(wǎng)絡(luò)安全態(tài)勢(shì)的整體感知能力，及時(shí)實(shí)施應(yīng)急響應(yīng)和威懾反制措施

從“蠕蟲”病毒到“震網(wǎng)”攻擊，再到此次存在時(shí)間長達(dá)2年的“心血”安全漏洞，美國一直以來都是病毒、木馬、漏洞等網(wǎng)絡(luò)武器的第一發(fā)現(xiàn)者和網(wǎng)絡(luò)攻擊發(fā)起者，這些“成績”的取得都直接歸于美國所建立的成熟的網(wǎng)絡(luò)安全監(jiān)測機(jī)構(gòu)。因此，我國應(yīng)通過網(wǎng)絡(luò)安全監(jiān)測機(jī)構(gòu)建立關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全漏洞庫，并及時(shí)將安全漏洞在不同部門之間共享，切實(shí)提高網(wǎng)絡(luò)安全態(tài)勢(shì)的感知能力和應(yīng)急響應(yīng)能力。

結(jié)合實(shí)際情況，堅(jiān)持發(fā)展自主可控的軟硬件產(chǎn)品，著力推進(jìn)國產(chǎn)軟硬件產(chǎn)品系統(tǒng)性替代

發(fā)展和應(yīng)用自主可控的元器件、芯片、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等軟硬件產(chǎn)品，是保障我國網(wǎng)絡(luò)安全的根本方法。我國應(yīng)該結(jié)合實(shí)際情況，尋找適合自身需求的軟硬件產(chǎn)品。例如，在桌面操作系統(tǒng)方面，我國不需要重新研發(fā)類似Windows這樣的操作系統(tǒng)，基于Linux開發(fā)的操作系統(tǒng)在可用性、易用性、適用性等方面基本具備替代能力。雖然國內(nèi)廠商的研發(fā)能力、產(chǎn)品技術(shù)、生態(tài)環(huán)境與國外產(chǎn)品存在一定的差距，但國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器已基本能夠滿足大部分用戶90%以上的需求。然而，很多行業(yè)部門在實(shí)際選擇中出于風(fēng)險(xiǎn)和安全考慮，仍偏向使用國外產(chǎn)品。因此，我國應(yīng)通過優(yōu)化政府采購政策等方式，加大國產(chǎn)軟硬件產(chǎn)品在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)的應(yīng)用比例，逐步推進(jìn)國產(chǎn)軟硬件產(chǎn)品的替代步伐。

正確認(rèn)識(shí)開源軟件的安全性，通過第三方評(píng)測機(jī)構(gòu)對(duì)關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施所用的開源軟件開展評(píng)估

開源軟件采用的“同行評(píng)議”方式，使得眾多開發(fā)者持續(xù)對(duì)軟件代碼進(jìn)行修改和完善，在一定程度上可以有效消除軟件內(nèi)部存在的缺陷。但正是由于行業(yè)內(nèi)對(duì)Open SSL這類全球廣泛應(yīng)用的開源軟件安全性的信任，使得某些明顯漏洞在開源軟件中長期存在。因此，我國應(yīng)該了解和掌握開源軟件在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施中的應(yīng)用情況，通過第三方評(píng)測機(jī)構(gòu)對(duì)上述行業(yè)所使用的開源操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器的安全性和可靠性開展評(píng)估，及時(shí)修復(fù)發(fā)現(xiàn)的安全漏洞，滿足黨政軍及國家關(guān)鍵基礎(chǔ)設(shè)施等重要信息系統(tǒng)的運(yùn)行需求，應(yīng)對(duì)他國持續(xù)、有預(yù)謀、高強(qiáng)度的網(wǎng)絡(luò)空間攻勢(shì)。

加強(qiáng)政企合作，借助IT企業(yè)成熟的技術(shù)和管理經(jīng)驗(yàn)，應(yīng)對(duì)新技術(shù)、新商業(yè)模式帶來的安全挑戰(zhàn)

以云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)為代表的新技術(shù)、新應(yīng)用已經(jīng)成為促進(jìn)國家經(jīng)濟(jì)發(fā)展新的增長點(diǎn)，這些新技術(shù)、新商業(yè)模式的深度和廣度拓展將給國家?guī)硇碌陌踩{。當(dāng)前，我國互聯(lián)網(wǎng)、通信、軟件產(chǎn)業(yè)蓬勃發(fā)展，涌現(xiàn)出百度、阿里、騰訊、華為、中興等一大批IT企業(yè)，形成了具有一定國際影響力和競爭力的IT產(chǎn)業(yè)格局。政府部門應(yīng)充分借鑒和吸收IT企業(yè)成熟的技術(shù)和管理經(jīng)驗(yàn)，雙方應(yīng)在技術(shù)研發(fā)、成果轉(zhuǎn)化、人才培養(yǎng)等方面加強(qiáng)合作，形成從網(wǎng)絡(luò)安全漏洞預(yù)警、發(fā)現(xiàn)、攻擊，到用戶信息保護(hù)、處理、分析等一系列完善的分工合作機(jī)制。endprint