張卓 郭樹行

摘 要：結(jié)合我國軟件安全的現(xiàn)狀，更好的保護(hù)軟件信息安全，本文提出基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究。首先，分析了國內(nèi)軟件安全形勢(shì)和軟件安全標(biāo)準(zhǔn);然后，提出一種適用于國產(chǎn)軟件安全標(biāo)準(zhǔn)新型框架，用以支持信息安全環(huán)境構(gòu)建，并給出對(duì)應(yīng)的主要功能和構(gòu)成;其次，詳細(xì)介紹了關(guān)于軟件安全標(biāo)準(zhǔn)新模型框架中的四個(gè)過程域;最后，探討了基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建的可行路線。

關(guān)鍵詞：國產(chǎn)軟件;信息安全;安全標(biāo)準(zhǔn);安全環(huán)境

0 引言

隨著我國信息化的蓬勃發(fā)展，人們對(duì)國產(chǎn)軟件的需求日益增長，國產(chǎn)軟件產(chǎn)業(yè)得到了大力發(fā)展，但是，盜版問題也成為制約國產(chǎn)軟件業(yè)發(fā)展的重要因素，并且國內(nèi)大量重要信息系統(tǒng)幾乎被國外品牌軟硬件所壟斷，讓我國信息安全面臨嚴(yán)重的威脅[1]。數(shù)據(jù)防泄漏、木馬攻擊、遭遇黑客、病毒、誤操作等都會(huì)造成數(shù)據(jù)丟失和信息安全漏洞。隨著各類安全漏洞和威脅與日俱增，軟件安全成為重要的建設(shè)領(lǐng)域。如何建立基于國產(chǎn)軟件的信息安全環(huán)境，已經(jīng)成為了一種巨大挑戰(zhàn)。因此打擊各類侵犯國產(chǎn)軟件知識(shí)產(chǎn)權(quán)的行為和推進(jìn)使用正版國產(chǎn)軟件工作，必須要健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實(shí)施安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估等制度，構(gòu)建信息安全保密防護(hù)體系，確保國家網(wǎng)絡(luò)與信息安全。為此，文中提出了一種適用于國產(chǎn)軟件的軟件安全標(biāo)準(zhǔn)新型框架。

1 國內(nèi)軟件安全形勢(shì)

從美國中央情報(bào)局前雇員斯諾登引爆“棱鏡門”事件到中國互聯(lián)網(wǎng)新聞研究中心公開《美國全球監(jiān)聽行動(dòng)記錄》報(bào)告、確認(rèn)谷歌與微軟等科技公司參與竊密行動(dòng)。近年來，信息安全大環(huán)境問題呈現(xiàn)出前所未有的嚴(yán)峻性。

我國互聯(lián)網(wǎng)行業(yè)起步較晚，早期的軟件生態(tài)和硬件生態(tài)幾乎被國外產(chǎn)品所壟斷，近年來國產(chǎn)軟硬件如雨后春筍般大量涌現(xiàn)，但國產(chǎn)生態(tài)不夠完善以及多年來養(yǎng)成的使用習(xí)慣問題，造成國內(nèi)大量重要信息系統(tǒng)仍然使用國外品牌軟硬件。從信息安全和國家安全的角度考慮，以上隱患首先威脅到的是掌握國家信息核心部門的政府。對(duì)于涉及國家機(jī)密或者國家安全的產(chǎn)品，應(yīng)通過健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實(shí)現(xiàn)自主可控的國產(chǎn)替代等手段構(gòu)建信息安全保密防護(hù)體系，以確保國家網(wǎng)絡(luò)與信息安全。

2 軟件安全標(biāo)準(zhǔn)分析

目前國內(nèi)企業(yè)主要遵循的信息安全標(biāo)準(zhǔn)有《信息安全技術(shù)》系列國家標(biāo)準(zhǔn)等。通過對(duì)這些標(biāo)準(zhǔn)和規(guī)范的分析與解讀，我們看到，已存在的標(biāo)準(zhǔn)規(guī)范具有以下優(yōu)點(diǎn)：

（1）較為系統(tǒng)全面的闡述了軟件安全相關(guān)的過程域，包括物理軟件安全等幾個(gè)維度;

（2）對(duì)于是否達(dá)到軟件安全標(biāo)準(zhǔn)給出了一些檢查原則和指導(dǎo)方針;

（3）對(duì)信息系統(tǒng)的軟件安全防護(hù)等級(jí)做了基本設(shè)定與劃分;

（4）對(duì)企業(yè)如何建立安全的防護(hù)體系給予了全面宏觀的說明。

但是，結(jié)合我國軟件安全的現(xiàn)狀，我們認(rèn)為目前這些標(biāo)準(zhǔn)規(guī)范不足以有效全面的指導(dǎo)企事業(yè)單位軟件安全的建設(shè)與防護(hù)，他們存在以下的劣勢(shì)：

（1）總體相對(duì)來說比較宏觀，顆粒度比較粗，企事業(yè)單位依據(jù)此無法在操作層面上落地安全的相關(guān)措施;

（2）沒有針對(duì)如何防御安全問題及漏洞的方法、技術(shù)進(jìn)行闡述和說明;

（3）未劃分軟件安全點(diǎn)的優(yōu)先級(jí)，對(duì)于軟件安全等級(jí)及軟件安全點(diǎn)的檢查和評(píng)審方式比較傳統(tǒng)，缺乏技術(shù)手段的指導(dǎo);

（4）未考慮從軟件的整個(gè)生命周期（規(guī)劃、需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)維）來進(jìn)行軟件安全防御及標(biāo)準(zhǔn)設(shè)定。

綜合以上分析，我們亟需建立一套更全面、更有指導(dǎo)意義、更能適合我國企事業(yè)單位特點(diǎn)及信息發(fā)展趨勢(shì)、更能有效落地的軟件安全的標(biāo)準(zhǔn)體系。

3 軟件安全標(biāo)準(zhǔn)新型框架

結(jié)合不同行業(yè)的軟件安全標(biāo)準(zhǔn)與相關(guān)要素，分析認(rèn)為在新時(shí)期所建立的軟件安全標(biāo)準(zhǔn)體系應(yīng)該充分立足已有行業(yè)規(guī)范、充分利用已有安全工具技術(shù)、注重全生命周期的進(jìn)行軟件安全能力構(gòu)造。圖1為軟件安全新型框架的總體概覽圖。

該框架的總體結(jié)構(gòu)可以概括為：“四域四能三維五層”。

四域：四個(gè)過程域。第一個(gè)過程域?yàn)檐浖踩能浖a(chǎn)過程，這是核心過程域。其他三個(gè)過程域?yàn)檐浖踩牧鞒膛c制度要求、軟件安全工具與軟件安全技術(shù)、軟件安全的過程保障三個(gè)支持域。

四能：四種關(guān)鍵業(yè)務(wù)功能，也就是軟件的生命周期過程概括：構(gòu)造、確認(rèn)、部署和運(yùn)維。

三維：每個(gè)業(yè)務(wù)功能有三種維度的軟件安全措施來進(jìn)行保障。

五層：軟件生命過程中的軟件安全標(biāo)準(zhǔn)和軟件安全措施，都要充分考慮到五個(gè)層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

研究認(rèn)為，我國的信息安全環(huán)境建設(shè)，必須從國產(chǎn)軟件規(guī)劃、設(shè)計(jì)、研制等早期過程著眼。軟件生產(chǎn)過程要端到端建立軟件安全的規(guī)范與標(biāo)準(zhǔn)，而生產(chǎn)過程間的協(xié)同、流轉(zhuǎn)與管理通過軟件安全的流程與制度過程域來做出要求和規(guī)范;在執(zhí)行過程中要充分利用好軟件安全的技術(shù)和軟件安全工具，通過軟件安全工具與軟件安全技術(shù)過程域來指導(dǎo)支持;如何保證標(biāo)準(zhǔn)和流程真正落地，就需要軟件安全的過程保障過程域了，這個(gè)過程域要解決軟件安全的等級(jí)評(píng)估以便企業(yè)規(guī)劃自己的軟件安全戰(zhàn)略發(fā)展路線，還要做一下軟件安全的教育和與指導(dǎo)以便執(zhí)行者接受和創(chuàng)建軟件安全，而執(zhí)行過程中要強(qiáng)化軟件安全的治理與監(jiān)督也很重要，最后不同類型的企業(yè)應(yīng)當(dāng)有軟件安全標(biāo)準(zhǔn)的裁剪，不是每個(gè)企業(yè)都追求大而全，而重視有效實(shí)用及性價(jià)比。

4 國產(chǎn)軟件安全能力實(shí)現(xiàn)

下述從四個(gè)過程域角度，總結(jié)歸納適合我國國產(chǎn)軟件能力實(shí)現(xiàn)的四個(gè)過程域。

4.1 構(gòu)造階段

構(gòu)造階段主要指軟件的架構(gòu)規(guī)劃與需求階段，在該階段需要考慮架構(gòu)中引入軟件安全架構(gòu)的設(shè)計(jì)，在需求中體現(xiàn)在非功能需求部分的軟件安全需求的說明。同時(shí)要針對(duì)軟件產(chǎn)品/系統(tǒng)的特點(diǎn)，結(jié)合歷史軟件安全事件經(jīng)驗(yàn)，對(duì)軟件安全威脅進(jìn)行綜合評(píng)估。在評(píng)估基礎(chǔ)上形成軟件安全架構(gòu)和軟件安全需求，有針對(duì)性在軟件中規(guī)劃軟件安全。所以該階段的軟件安全措施三種：威脅評(píng)估、軟件安全需求、軟件安全架構(gòu)。每種軟件安全措施必須都考慮到五個(gè)層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

4.2 確認(rèn)階段

確認(rèn)階段指從軟件設(shè)計(jì)到軟件開發(fā)、測(cè)試的過程;在此過程中軟件安全措施有三類：軟件安全設(shè)計(jì)、軟件安全編碼、軟件安全測(cè)試。

4.3 部署階段

部署階段指從從軟件完成到軟件交付運(yùn)行期間的軟件安全措施。在此過程中軟件安全措施有三類：漏洞管理、操作管理、環(huán)境管理。

4.4 運(yùn)維階段

運(yùn)維階段指軟件交付使用后運(yùn)維期間的軟件安全標(biāo)準(zhǔn)及措施。在此過程中軟件安全措施有三類：實(shí)時(shí)監(jiān)控、定期審計(jì)、軟件安全事件。

5 軟件安全流程與制度化建設(shè)

5.1 軟件安全開發(fā)流程

軟件安全開發(fā)流程覆蓋和指導(dǎo)軟件的整個(gè)生命周期中所有階段的軟件安全的流程環(huán)節(jié)、流轉(zhuǎn)、人員角色、行為動(dòng)作。

主要流程包括軟件總體軟件安全開發(fā)流程、軟件架構(gòu)軟件安全流程、軟件需求軟件安全流程、軟件漏洞威脅分析流程、軟件安全設(shè)計(jì)流程、軟件安全編碼流程、軟件安全測(cè)試流程、軟件漏洞管理流程、軟件環(huán)境軟件安全管理流程、軟件操作管理軟件安全流程、軟件定期審計(jì)流程、軟件實(shí)時(shí)監(jiān)控流程與應(yīng)對(duì)軟件安全突發(fā)事件的處理流程等體系。

5.2 軟件安全審計(jì)流程

軟件安全審計(jì)涉及控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試四個(gè)基本要素。

首先，定義審計(jì)的物質(zhì)范疇。審計(jì)范疇的劃定有利于審計(jì)人員集中注意力在資產(chǎn)，規(guī)程和政策方面。其次，劃定審計(jì)的步驟范圍。確定一個(gè)合適的安全審計(jì)區(qū)域，既要避免因過于寬泛導(dǎo)致延緩，也要避免過窄導(dǎo)致審計(jì)不完全。第三，研究歷史與檢查單設(shè)計(jì)。通過歷史記錄，可以避免因已知的安全漏洞再次出現(xiàn)安全事件等等。第四，制定審計(jì)計(jì)劃。審計(jì)計(jì)劃應(yīng)包括審計(jì)內(nèi)容的詳細(xì)描述、關(guān)鍵日期、參與人員和獨(dú)立機(jī)構(gòu)。第五，實(shí)施安全風(fēng)險(xiǎn)評(píng)估。一旦審計(jì)小組制定好了有效的審計(jì)計(jì)劃，就可以著手開始審計(jì)的核心—風(fēng)險(xiǎn)評(píng)估。第六，記錄下審計(jì)結(jié)果。第七，提出改進(jìn)意見。安全審計(jì)最終的好處就是提出相應(yīng)的提高安全的建議[2]。

5.3 人員軟件安全要求與制度

應(yīng)根據(jù)軟件安全策略，制定系統(tǒng)安全管理的規(guī)程和制度，不同安全等級(jí)的安全管理規(guī)章制度的內(nèi)容應(yīng)有選擇地滿足以下要求的一項(xiàng)：

（1）基本的安全管理制度：應(yīng)包括網(wǎng)絡(luò)安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定，防病毒規(guī)定，以及相關(guān)的操作規(guī)程等;（2）較完整的安全管理制度：在（1）的基礎(chǔ)上，應(yīng)增加設(shè)備使用管理規(guī)定，人員安全管理規(guī)定，安全審計(jì)管理規(guī)定，風(fēng)險(xiǎn)管理規(guī)定，安全事件報(bào)告規(guī)定，事故處理規(guī)定，應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等;（3）體系化的安全管理制度：在（2）的基礎(chǔ)上，應(yīng)制定全面的安全管理規(guī)定，包括：主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類標(biāo)記等系統(tǒng)資源安全管理規(guī)定;安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測(cè)試和脆弱性評(píng)估、系統(tǒng)信息安全備份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫方面的安全管理規(guī)定;網(wǎng)絡(luò)連接檢查評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定等;（4）強(qiáng)制保護(hù)的安全管理制度：在（3）的基礎(chǔ)上，應(yīng)增加信息保密標(biāo)識(shí)與管理規(guī)定，密碼使用管理規(guī)定，安全事件例行評(píng)估和報(bào)告規(guī)定，關(guān)鍵控制措施定期測(cè)試規(guī)定等;（5）?？乇Ｗo(hù)的安全管理制度：在（4）的基礎(chǔ)上，應(yīng)增加安全管理審計(jì)監(jiān)督規(guī)定等[3]。

5.4 軟件安全應(yīng)急與軟件安全恢復(fù)流程

為了有效應(yīng)對(duì)相關(guān)安全事件，可根據(jù)國際上廣為接受的經(jīng)典的應(yīng)急事件處理六階段流程制定相應(yīng)的應(yīng)急響應(yīng)流程。即Preparing準(zhǔn)備、Detection檢測(cè)、Control抑制、Eradicate根除、Restore恢復(fù)、Follow跟蹤（改進(jìn)）。

6 基于國產(chǎn)軟件安全能力的信息安全環(huán)境建設(shè)

該過程域的作用是保障相關(guān)軟件安全流程、標(biāo)準(zhǔn)在實(shí)際執(zhí)行中能符合要求。包括建立總體的軟件安全等級(jí)評(píng)估，從而形成企業(yè)的軟件安全發(fā)展的柵欄路線圖。事前的教育指導(dǎo)和培訓(xùn);事中的審計(jì)、治理與監(jiān)督。而且對(duì)于不同類型的企業(yè)制定軟件安全裁剪指導(dǎo)原則。

6.1 軟件安全等級(jí)評(píng)估

風(fēng)險(xiǎn)評(píng)估既是對(duì)自身安全防御能力的評(píng)估，也指導(dǎo)企業(yè)安全建設(shè)的方向。采取以自評(píng)估為主，委托評(píng)估檢查機(jī)構(gòu)為輔的方式，在信息系統(tǒng)方案設(shè)計(jì)、建設(shè)投產(chǎn)和運(yùn)行維護(hù)各個(gè)階段實(shí)施必要的風(fēng)險(xiǎn)評(píng)估。軟件安全等級(jí)是相應(yīng)信息系統(tǒng)安全等級(jí)劃分的基本依據(jù)。軟件系統(tǒng)及相應(yīng)信息系統(tǒng)的安全等級(jí)分為單一安全等級(jí)和多安全等級(jí)，其安全等級(jí)的劃分應(yīng)滿足以下要求：（1）單一安全等級(jí)軟件系統(tǒng)：按照業(yè)務(wù)應(yīng)用確定的安全等級(jí)的要求，軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為一個(gè)安全域，或者說整個(gè)信息系統(tǒng)具有相同的安全保護(hù)等級(jí)。（2）多安全等級(jí)軟件系統(tǒng)：按照不同業(yè)務(wù)應(yīng)用的不同安全等級(jí)的要求，軟件系統(tǒng)及相應(yīng)信息系統(tǒng)劃分為多個(gè)安全域/子系統(tǒng)，或者說，整個(gè)信息系統(tǒng)具有多個(gè)不同的安全保護(hù)等級(jí)。

6.2 軟件安全教育與指導(dǎo)

信息安全教育宣傳，提高安全意識(shí)。在安全的流程與制度建設(shè)完畢后，為保障流程制度的落地，應(yīng)積極組織各級(jí)各層人員系統(tǒng)性地開展培訓(xùn)工作，包括安全流程制度、標(biāo)準(zhǔn)培訓(xùn);安全技術(shù)實(shí)施培訓(xùn)等。使從業(yè)人員增強(qiáng)主動(dòng)防御意識(shí)、加強(qiáng)安全管理水平、提高安全意識(shí)，為實(shí)現(xiàn)信息網(wǎng)絡(luò)安全工作常態(tài)化、規(guī)范化、制度化做出相應(yīng)的措施。

6.3 軟件安全治理與監(jiān)督

為進(jìn)一步提升信息安全保障能力，確保國家網(wǎng)絡(luò)安全運(yùn)行，需從國家立法、企業(yè)研發(fā)兩個(gè)方面來推動(dòng)國內(nèi)軟件實(shí)現(xiàn)自主可控。立法方面：在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，加快實(shí)施全面的《網(wǎng)絡(luò)安全審查辦法》。企業(yè)方面：肩負(fù)起保護(hù)國家信息安全的重大責(zé)任，加大國產(chǎn)替代的研發(fā)力度，以實(shí)現(xiàn)自主可控的國家信息安全體系。

6.4 不同企業(yè)制定裁剪指導(dǎo)原則

不同類型企業(yè)對(duì)安全的要求和實(shí)現(xiàn)是有差異的，該章節(jié)給出不同類型企業(yè)依據(jù)新型安全框架建設(shè)時(shí)進(jìn)行分類裁減的指導(dǎo)原則。各種分類圖示（●高強(qiáng)度 ◎中等強(qiáng)度 ○弱強(qiáng)度）。

（1）軟件為提供給外部普通大眾用戶使用，根據(jù)表1公眾環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級(jí)。

（2）軟件提供給內(nèi)部用戶使用，并且對(duì)外物理隔離，根據(jù)表2物理隔離環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級(jí)。

（3）軟件提供給內(nèi)部用戶通過互聯(lián)網(wǎng)多地區(qū)使用，根據(jù)表3對(duì)內(nèi)公網(wǎng)環(huán)境安全框架矩陣表，即可得到相應(yīng)的防護(hù)等級(jí)。

基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究，研究提出了一種軟件安全標(biāo)準(zhǔn)新型框架。該框架總體結(jié)構(gòu)可以概括為“四域四能三維五層”。軟件安全標(biāo)準(zhǔn)新型框架能夠用來指導(dǎo)構(gòu)建信息安全保密防護(hù)體系，確保國家網(wǎng)絡(luò)與信息安全。未來軟件產(chǎn)業(yè)應(yīng)隨著云計(jì)算，大數(shù)據(jù)，移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新規(guī)模加速發(fā)展，并逐步建立完善的軟件安全標(biāo)準(zhǔn)框架，憑借中國自身產(chǎn)業(yè)的特色和優(yōu)勢(shì)，在保障重要信息安全的同時(shí)，推動(dòng)軟件業(yè)發(fā)展成為支柱產(chǎn)業(yè)，提升國產(chǎn)軟件產(chǎn)業(yè)在全球范圍內(nèi)的競爭力，構(gòu)建國產(chǎn)軟件的信息安全環(huán)境。

參考文獻(xiàn)

[1] 韓健.加強(qiáng)基礎(chǔ)軟件信息安全刻不容緩[N].中國計(jì)算機(jī)報(bào)，2014-12-22（2）.

[2] 陳將.企業(yè)實(shí)施信息安全審計(jì)的關(guān)鍵流程[J].網(wǎng)絡(luò)與信息，2010（10）：63.

[3] GB/T20269-2006，信息安全技術(shù) 信息系統(tǒng)安全管理要求[S].