中國軟件評測中心發布電信和互聯網行業網絡安全白皮書

日前，中國軟件評測中心發布系列白皮書，在《電信和互聯網行業網絡安全白皮書》（以下簡稱《白皮書》）中，他們給出了電信和互聯網行業面對安全威脅的應對之道。

強化數據安全保護

基于《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求，電信運營商、互聯網企業等從合規角度出發對數據安全保護制度體系加緊完善，重點包括敏感數據的分類分級和控制措施、個人信息保護、重要數據保護等。《白皮書》提出，行業應加快完善網絡數據安全制度標準，從管理和技術手段上嚴防敏感數據泄露事件的發生。

積極開展數據安全方面的合規性評估，包括網絡數據安全風險評估、APP違法違規評估等，提前做好數據安全保護的合規性準備，配合監管部門的網絡數據安全監督執法。企業一旦在數據安全方面發生不合規的情況，將面臨行政處罰、軟件下架、企業納入不良名單和失信名單等處罰。因此，企業必須重視數據安全保護，提前謀劃，做好合規性工作。

此外，《白皮書》提到的重點工作還包括如下幾方面：梳理數據資產，做好資產“清單”。理清企業數據資產是對數據資產進行嚴格管理的基礎，若無法形成數據清單，也無法對針對數據的行為進行有效監控。提升對數據安全保護重視程度，設立專門的網絡數據安全職能部門。強化網絡數據對外合作安全管理，既不能放松警惕，也不能因噎廢食，安全和發展互相配合，促進業務健康發展，確保數據合作業務在安全、合規的情況下有序進行。加強行業網絡數據安全應急管理，強化安全事件發生事前、事中、事后的處置，對惡性事件形成預案，不打無準備之仗。

加強開源軟件安全評估

《白皮書》提出，軟件的安全性是網絡安全的一個重要方面。軟件是網絡系統資產的重要組成部分，軟件安全性評估在實踐上是網絡安全風險評估的一部分，一般采用多種方法、多角度綜合評估，如通過漏洞掃描、滲透測試、漏洞挖掘等發現軟件運行期的各種安全漏洞，通過逆向分析發掘攻擊點和邏輯漏洞，通過基線掃描、配置核查等發現軟件配置方面的問題，通過協議分析、通信分析發現通信、數據保護等方面的問題，通過日志審計和分析發現攻擊痕跡、非法行為等。

開源軟件由于其“開源”的特點，更可以對其源代碼進行白盒分析，即源代碼安全審計。源代碼安全審計一般由具備豐富編碼經驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查，充分挖掘當前代碼中存在的安全缺陷以及規范性缺陷，評估軟件系統可能會面臨的威脅，并指導開發人員正確修復軟件缺陷。源代碼安全審計一般采用“工具自動分析+人工驗證”的方式進行，可從代碼源頭上發現代碼本身存在的問題，如代碼對標準的遵循、可讀性，代碼的邏輯表達的正確性，代碼結構的合理性，代碼安全漏洞等方面，對軟件安全性評估提供依據。

由于開源軟件的廣泛應用，國內外對開源軟件的安全評估均開展了相關實踐。2006年，美國國土安全部資助Coverity公司開展了“開源軟件代碼測試計劃”，針對大量開源軟件進行源代碼安全審計，篩查安全隱患，發現源代碼層面的大量安全缺陷。國內安全企業360的代碼衛士團隊，于2015年年初發起了國內的“開源項目檢測計劃”，針對開源軟件開展安全檢測，對軟件進行安全缺陷統計和安全風險評估。截至目前，該計劃已檢測2200多個開源項目。

《白皮書》介紹的開源軟件安全評估的方法包括：

一是源代碼安全審查。采用“工具自動分析+人工驗證”的方式對軟件的源代碼進行白盒分析，從代碼對標準的遵循、可讀性，代碼的邏輯表達的正確性，代碼結構的合理性，代碼安全漏洞等方面對軟件安全性進行評估。

二是安全威肋風險評估。通過漏洞掃描、滲透測試、漏洞挖掘等發現軟件運行期的各種安全漏洞，通過逆向分析發掘攻擊點和邏輯漏洞。

三是基線核查。通過基線掃描、配置核查等發現軟件配置方面的安全問題。