吳蘭　張騰標(biāo)　王坤

信息技術(shù)應(yīng)用創(chuàng)新（簡(jiǎn)稱(chēng)“信創(chuàng)”），既是新一代信息技術(shù)發(fā)展的內(nèi)在需求，也是加快新型基礎(chǔ)設(shè)施建設(shè)的重要支點(diǎn)。2020年，工信部提出實(shí)施國(guó)家軟件重大工程，集中力量解決關(guān)鍵軟件的“卡脖子”問(wèn)題，意味著以信創(chuàng)產(chǎn)業(yè)為代表的國(guó)產(chǎn)軟件獲得國(guó)家戰(zhàn)略層次的持續(xù)推進(jìn)。江蘇是國(guó)內(nèi)較早布局信創(chuàng)產(chǎn)業(yè)的地區(qū)，并在近年來(lái)實(shí)現(xiàn)了產(chǎn)業(yè)的飛速發(fā)展。在新發(fā)展階段，信創(chuàng)產(chǎn)業(yè)的支撐范圍將更廣泛，我們須強(qiáng)化信創(chuàng)產(chǎn)品安全建設(shè)，不斷提升信創(chuàng)產(chǎn)業(yè)競(jìng)爭(zhēng)力和抗風(fēng)險(xiǎn)能力，為網(wǎng)絡(luò)信息安全“保駕護(hù)航”。

江蘇信創(chuàng)產(chǎn)業(yè)進(jìn)入快速發(fā)展期

自“十三五”以來(lái)，江蘇信創(chuàng)發(fā)展進(jìn)入快車(chē)道，全省每年信息基礎(chǔ)設(shè)施建設(shè)投入達(dá)千億元，軟件產(chǎn)業(yè)規(guī)模破萬(wàn)億元，成為孕育信創(chuàng)產(chǎn)業(yè)的肥沃土壤。通過(guò)政策導(dǎo)向和環(huán)境營(yíng)造，江蘇信創(chuàng)產(chǎn)品技術(shù)能力不斷提升，骨干企業(yè)引領(lǐng)發(fā)展格局正在形成，產(chǎn)業(yè)生態(tài)融合的特征也愈發(fā)明顯，當(dāng)前信創(chuàng)產(chǎn)業(yè)鏈已被列為江蘇30條優(yōu)秀產(chǎn)業(yè)鏈之一。

信創(chuàng)產(chǎn)業(yè)發(fā)展已成為區(qū)域經(jīng)濟(jì)高質(zhì)量發(fā)展的強(qiáng)大引擎。江蘇在信創(chuàng)產(chǎn)業(yè)發(fā)展上積極謀劃部署，成立了信創(chuàng)產(chǎn)業(yè)強(qiáng)鏈工作專(zhuān)班，細(xì)致梳理我省信創(chuàng)產(chǎn)業(yè)鏈，提出聚焦CPU、操作系統(tǒng)、數(shù)據(jù)庫(kù)等短板環(huán)節(jié)著力強(qiáng)鏈補(bǔ)鏈，支持一批重點(diǎn)企業(yè)在省內(nèi)落戶(hù)，包括申泰信息、龍芯中科、航天七零六、中科可控、統(tǒng)信、達(dá)夢(mèng)等;建設(shè)了江蘇省信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)生態(tài)基地，以“一基地、四中心”的創(chuàng)新模式向全省信創(chuàng)產(chǎn)業(yè)提供技術(shù)攻關(guān)、產(chǎn)品測(cè)試、人才培訓(xùn)、成果展示等公共服務(wù)，其中省信創(chuàng)測(cè)試中心建成了集申威、龍芯、鯤鵬等6個(gè)技術(shù)路線的軟硬件測(cè)試環(huán)境，完成了百余次產(chǎn)品適配性測(cè)試、選型測(cè)試、解決方案測(cè)試、驗(yàn)收測(cè)試服務(wù);成立了江蘇省信息技術(shù)應(yīng)用創(chuàng)新工作委員會(huì)，吸納省內(nèi)相關(guān)骨干企業(yè)300余家，牽頭編制并定期發(fā)布了《江蘇省信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)品圖譜》，舉辦了江蘇省信息技術(shù)應(yīng)用創(chuàng)新大會(huì)、江蘇省信創(chuàng)應(yīng)用系統(tǒng)供需對(duì)接會(huì)，向用戶(hù)單位宣傳推廣我省優(yōu)質(zhì)信創(chuàng)產(chǎn)品。目前，圖譜已收錄101家企業(yè)的500余款產(chǎn)品，據(jù)測(cè)算，預(yù)計(jì)到2022年，現(xiàn)有圖譜產(chǎn)品可實(shí)現(xiàn)業(yè)務(wù)收入約764億元，占全國(guó)相關(guān)市場(chǎng)15%左右。

信創(chuàng)產(chǎn)品面臨的安全威脅分析

隨著國(guó)產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等信息技術(shù)產(chǎn)品在各領(lǐng)域的應(yīng)用普及，信創(chuàng)產(chǎn)業(yè)發(fā)展進(jìn)入快速發(fā)展期，安全問(wèn)題成為不可忽視的重要內(nèi)容。信創(chuàng)產(chǎn)品安全建設(shè)能最大程度保障供應(yīng)鏈完整性的持續(xù)穩(wěn)定，盡可能減少遭受威脅和中斷的可能。可以說(shuō)，信創(chuàng)產(chǎn)品安全可靠是信創(chuàng)產(chǎn)業(yè)蓬勃發(fā)展的重要支撐。

江蘇信創(chuàng)產(chǎn)品涵蓋計(jì)算機(jī)主要零部件、整機(jī)、外部設(shè)備等硬件，以及操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、辦公軟件、應(yīng)用系統(tǒng)、安全系統(tǒng)等軟件。經(jīng)過(guò)多年發(fā)展，我省用戶(hù)對(duì)信創(chuàng)產(chǎn)品的使用感受已從可用能用向好用易用升級(jí)轉(zhuǎn)變。我省信創(chuàng)產(chǎn)品自主程度高，多采用自主設(shè)計(jì)、自主編碼、自主生產(chǎn)，但由于體系結(jié)構(gòu)、基本原理、基礎(chǔ)編碼語(yǔ)言等與國(guó)外產(chǎn)品無(wú)較大差異，存在一些安全威脅，包括軟件自身漏洞較多，組件模塊面臨安全性低，知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)高，從業(yè)人員安全意識(shí)較薄弱，等等。

當(dāng)前，由于軟件漏洞而導(dǎo)致的網(wǎng)絡(luò)安全事件、數(shù)據(jù)泄露事件頻發(fā)。據(jù)江蘇省通信管理局調(diào)查數(shù)據(jù)顯示，2020年江蘇網(wǎng)民中有56.1%的人遭遇網(wǎng)絡(luò)安全問(wèn)題，較2019年同期上升了2.5個(gè)百分點(diǎn)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心江蘇分中心監(jiān)測(cè)發(fā)現(xiàn)，2020年江蘇發(fā)生270起涉及個(gè)人信息和重要數(shù)據(jù)安全的事件與風(fēng)險(xiǎn)，2914萬(wàn)余條個(gè)人信息數(shù)據(jù)存在被泄露的可能。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》也指出，2020年我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約534萬(wàn)臺(tái)，其中江蘇被感染主機(jī)占比12.1%。因此，強(qiáng)化信創(chuàng)產(chǎn)品安全建設(shè)、提升信創(chuàng)產(chǎn)品風(fēng)險(xiǎn)防控能力顯得尤為重要。

強(qiáng)化信創(chuàng)產(chǎn)品安全建設(shè)的對(duì)策措施

信創(chuàng)產(chǎn)品作為信息系統(tǒng)的重要組成部分，是保障系統(tǒng)可靠運(yùn)行、數(shù)據(jù)有序傳輸?shù)暮诵年P(guān)鍵。強(qiáng)化信創(chuàng)產(chǎn)品的安全建設(shè)，可以有效構(gòu)建安全基礎(chǔ)，強(qiáng)化系統(tǒng)整體防護(hù)能力，提高應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和攻擊水平，減少網(wǎng)絡(luò)安全事件發(fā)生，從而保障產(chǎn)業(yè)鏈穩(wěn)定和供應(yīng)鏈暢通。

健全網(wǎng)絡(luò)安全的管理機(jī)制。制定和完善安全管理制度，明確建設(shè)單位、軟件廠商等不同主體的安全責(zé)任義務(wù)，建立網(wǎng)絡(luò)安全責(zé)任制度。加強(qiáng)信創(chuàng)系統(tǒng)項(xiàng)目規(guī)劃建設(shè)運(yùn)維管理，制定項(xiàng)目網(wǎng)絡(luò)安全與密碼應(yīng)用解決方案，同步規(guī)劃、同步建設(shè)基于密碼的保障體系，確保新建項(xiàng)目中網(wǎng)絡(luò)安全措施的合理全面以及密碼應(yīng)用的合規(guī)、正確和有效。加強(qiáng)資金保障管理，確保系統(tǒng)日常更新、運(yùn)維、安全檢測(cè)等工作正常開(kāi)展。制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，重點(diǎn)關(guān)注系統(tǒng)中采用的開(kāi)源軟件組件模塊漏洞風(fēng)險(xiǎn)和許可證使用風(fēng)險(xiǎn)等，并開(kāi)展應(yīng)急演練。

強(qiáng)化國(guó)產(chǎn)密碼的融合創(chuàng)新。充分利用江蘇在密碼領(lǐng)域的良好產(chǎn)業(yè)基礎(chǔ)與資源優(yōu)勢(shì)，將國(guó)產(chǎn)密碼與芯片、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、應(yīng)用軟件等進(jìn)行深入融合，有效解決數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、處理、分析、使用等全生命周期安全難題，實(shí)現(xiàn)基礎(chǔ)硬件資源、信息設(shè)施、計(jì)算分析、應(yīng)用服務(wù)、網(wǎng)絡(luò)通道、接入終端等全體系平臺(tái)安全，實(shí)現(xiàn)系統(tǒng)安全可信。

完善監(jiān)測(cè)服務(wù)的體系建設(shè)。建設(shè)開(kāi)源軟件安全監(jiān)控預(yù)警平臺(tái)，打造開(kāi)源軟件安全漏洞庫(kù)、許可協(xié)議庫(kù)、軟件廠商技術(shù)路線庫(kù)和用戶(hù)單位資源環(huán)境庫(kù)等。制定統(tǒng)一接口標(biāo)準(zhǔn)規(guī)范，暢通安全漏洞庫(kù)與國(guó)際國(guó)內(nèi)通用漏洞平臺(tái)漏洞聯(lián)動(dòng)、安全廠商漏洞報(bào)送機(jī)制。適時(shí)建立預(yù)警處置機(jī)制，向軟件廠商和用戶(hù)單位下發(fā)并處置預(yù)警信息。

加強(qiáng)信創(chuàng)產(chǎn)品的評(píng)估檢測(cè)。按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《中華人民共和國(guó)數(shù)據(jù)安全法》等法律法規(guī)以及黨政機(jī)關(guān)安全管理等有關(guān)規(guī)定，統(tǒng)籌省信創(chuàng)測(cè)試中心、省內(nèi)專(zhuān)業(yè)第三方安全檢測(cè)機(jī)構(gòu)和商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)，對(duì)已建成的信創(chuàng)系統(tǒng)定期開(kāi)展網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估、商用密碼應(yīng)用安全性評(píng)估，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。推動(dòng)研究制定產(chǎn)品安全測(cè)試大綱，提出安全測(cè)試基線要求，形成通用性安全技術(shù)標(biāo)準(zhǔn)及安全性測(cè)試指南。在信創(chuàng)產(chǎn)品發(fā)布、重大更新或使用前進(jìn)行安全檢測(cè)，確保不存在高風(fēng)險(xiǎn)安全漏洞。

推進(jìn)信創(chuàng)人才的挖掘培養(yǎng)。創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)模式，加強(qiáng)復(fù)合型人才培養(yǎng)。促進(jìn)省內(nèi)信創(chuàng)產(chǎn)品廠商、安全龍頭企業(yè)、高校、科研院所、第三方安全檢測(cè)機(jī)構(gòu)等的交流溝通，加快推動(dòng)在信創(chuàng)領(lǐng)域的產(chǎn)學(xué)研用一體化發(fā)展，編制一流培訓(xùn)課件，打造一流研究團(tuán)隊(duì)，淬煉一流培訓(xùn)隊(duì)伍，加大對(duì)信創(chuàng)從業(yè)人員的培訓(xùn)培養(yǎng)，強(qiáng)化安全意識(shí)，提升安全技術(shù)能力和理論水平。舉辦省內(nèi)信創(chuàng)領(lǐng)域網(wǎng)絡(luò)安全技能競(jìng)賽、技術(shù)論壇及沙龍等活動(dòng)，搭建人才交流平臺(tái)，擴(kuò)大社會(huì)影響，挖掘培養(yǎng)高技能復(fù)合型人才。

（作者單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院）

責(zé)任編輯：孫秋香