由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的2020第二届中国电子政务安全大会于9月16日—17日在在北京隆重召开。神州信创集团安全产品专业总监陈腾跃出席大会,并带来了题为《神州信创集团安全产品专业总监陈腾跃》主题发言。本文摘自陈腾跃在2020第二届中国电子政务安全大会上的发言内容。
神州信创集团安全产品专业总监陈腾跃
首先我们认为信息技术体系创新是必然之路,信创是解决卡脖子问题的契机。后门威胁主要体现在几个事件上,第一个事件是今年出欧美CIA掌握cryptoAG公司,并在其加密产品中植入后门,窃取情报。CIA利用专家影响力企业和影响力对其产品的性能。第二个事件是2019年德国媒体报道,在美国思科提供的设备中经常发现漏洞,2013年至今至少发展十起,这些漏洞很符合后门的描述。2010年FBI要求苹果解锁iphone手机未国后,美国当局要求苹果创建一个可以绕过安全防护的新版IOS。信创全面自主创新体系使得我们可以摆脱对不可控技术的依赖。从数据上来看,CNNVD在2019年公布的漏洞数量17316个,全年增长率为6.26%,谷歌团队在2019年仅发现20个在野利用的0DAY漏洞。巨大数据差异体现我们极度缺乏检测漏洞被利用的能力。2020年上半年所有恶意程序增长率在15%以上,恶意程序不断增加,核心目的就是为了逃避检测程序的检测。最后是层出不穷的新攻击方法,新技术出现往往伴随新攻击方法,这三种威胁都属于未知威胁。
说到漏洞问题不得不提一下开源代码,开源代码是信创生态重要部分,往往处于新的部分,以及操作系统、中间件、数据库,都是基于开源代码开发的,许多人有误解,一是现在的软件和操作系统都很庞大和复杂,拿操作系统来说,它的内容目前在全球有两万个开发组维护,如果全部实现这些代码,其中的投入和花费是无法接受的。2019年开源安全漏洞披露6100个,与2018年相比增长近50%,漏洞一旦公布必须尽快修复,否则带来极大的安全风险。目前的情况是许多软件厂商使用开源代码后对其漏洞的修复偏慢,给黑客留出大量的机会。
软硬件会有漏洞吗?实践通常告诉我们许多情况下人员才是最容易被突破的漏洞,据统计与人和管理相关的安全事件,其中配制不当占前33个问题,60%的人会打开钓鱼邮件,20%的人会点击钓鱼邮件的反馈链接。在今年的RSAC大会中将人作为什幺主体,多个与人,与安全培训相关的主题,可以说长期被忽视的管理问题经常成为行业乃至企业界最大的管理问题,人的漏洞不是信创能够解决的,这是许多IT互联网解决的问题,网络安全的提升更重要的是可以依靠每个人的判断力更早的发现网络攻击,发出预警,提高网络预警的安全防护能力。
前面两个问题是整个网络安全固有的问题,接下来三个问题是信创行业发展所带来的问题,第一是国内产品服务提供商投入不足的问题,认为产品力比安全性重要,实践阶段重视项目进度和开发效率,在运维部署阶段重视部署便利性和业务效果,开发实践中缺少对安全的投入,导致出现许多软件漏洞,产生安全风险,这种现象非常普遍,甚至在很多的产品开发过程中都存在上述问题。国际上其实已经形成了非常多的安全开发模型和标准,在软件开发的过程中,比如在需求阶段没考虑安全需求,数据库保护需求,安全管理需求,在代码开发阶段使用安全编码规范进行代码审核。为了减少软件的漏洞,降低未知的安全风险需要我们所有厂商加大安全开发时间的投入,安全开发的实践是为了尽可能减少安全风险,这些软件对漏洞修复的时效性、有效性具有比以往更高的要求,标准安全更新和不定漏洞更新体系具有很高的重要性。这点我们可以参考漏洞的处理流程,首先对危险的漏洞进行安全报警,通过技术渠道发布安全预警,并暂时缓解漏洞的方法。第二是结合国际的漏洞披露,方法来披露漏洞信息,第三是发布安全修复公告,描述将要发布的安全不定,说明方法,然后才是安全不定的正式发布,发布安全的漏洞修复程序,除此之外还提供风险矩阵中的风险表信息,帮助客户其特定条件下安全漏洞带来的风险。
每个厂商都应该对自己的产品特点和服务特点提供足够的安全支撑,我们的软件厂商应该考虑需要建立什么样的安全体系,进阶段安全防护产品的适配,不仅是简单的兼容性问题,我们认为需要解决五个问题,首先要适配不同的平台,不同的架构,需要针对性的测试,然后操作系统适配,防护类软件往往有非常强的关联性,需要和操作系统提供接口进行深度交互。比如调用安全接口,需要大量测试。再就是新的程序,新的操作系统,数据库,为新的安全功能开发和积累,最后要实现新的安全标准,刚才也提出了很多新的安全标准,我们安全防护产品也要积极实践新的标准,安全防护类软件适配需要行业共同支撑,需要全行业的共同努力。
安全人才缺乏是整个网络安全行业长期面临的问题,据新华社2019年我国的安全人才缺口是70万,2020年增加到140万,具体到信创行业,由于技术战略变化,从业人员需要对新的技术进行学习,对新的平台架构进行研究,并且信创行业处于起步阶段,很多软硬件技术材料比较缺乏,原本的人才缺乏态势使得人才缺口快速增长。这几点都是信创行业可能给我们带来的一些新的安全问题。
我们神州数码作为信创产业的深度参与者,开展了很多工作来推进信创安全的发展,一方面我们整合了资源,推进产业急需的信创安全防护产品的适配,推进信创安全人才培养,我们是华为平台深度合作伙伴,推动和支撑他们的按照产生对于平台的适配,我们认为安全防护类产品适配可以分为三个阶段,一是产品适应鲲鹏环境,实现安全产品自主可控。二是功能覆盖信创生态下的新硬件、新中间件、新应用的安全需求,实现按照产品的防护力。最后在适配的过程中重新审计梳理产品的设计,查缺补漏,修复可能存在的安全问题,实现产品本身的安全合规。目前我们已经和多个合作伙伴对防火墙入侵检测,等保2.0要求下的安全防护产品进行适配。在人才培养方面我们建立了人才孵化中心,形成专业的安全技术培训,安全开发实践,三大体系合成,建立创新平台,产业资源服务平台,对接企业和学生实现人才孵化,特别是帮助企业提高人员的安全意识。
我们也投入了很多的资源对新一代风险架构进行了研究,零信任架构是最近的研究方向,过去我们在研究什么是威胁,什么情况下我们是可信的,实践证明威胁是不会被消除的,可靠性也是无法保证的。IT巨头也转入零信任架构来保护自己的网络,网络内外部任何人,事物均不可信,应在授权前对任何接入网络和访问资源的人事物进行验证。
具体到电子政务系统,电子政务系统迁移到零信任架构应该根据当前业务逻辑、用户群体、资产价值选择适合的技术路线,三大技术路线没有重点,第一时间发现并阻止攻击者行为,改善内网安全性,同时业务视角的安全分析能力,增强内部防范性。SDP软件可以将服务和不安全网络隔离开,VPN只是接入网络后进行验证,接入后所有访问我们无法保证使用者是不是同一个人,而SDP对每个访问都进行检测,实现绘画级别的访问控制审查。
最后介绍一下神州鲲泰,神州信创是神州数码信创业务全资子公司,自有品牌神州鲲泰是神州数码与华为在鲲鹏生态产业合作的重要载体,覆盖研发、产品、解决方案等多个维度。
