基于國產軟件的信息安全環境構建策略研究

張卓 郭樹行

摘 要：結合我國軟件安全的現狀，更好的保護軟件信息安全，本文提出基于國產軟件的信息安全環境構建策略研究。首先，分析了國內軟件安全形勢和軟件安全標準;然后，提出一種適用于國產軟件安全標準新型框架，用以支持信息安全環境構建，并給出對應的主要功能和構成;其次，詳細介紹了關于軟件安全標準新模型框架中的四個過程域;最后，探討了基于國產軟件的信息安全環境構建的可行路線。

關鍵詞：國產軟件;信息安全;安全標準;安全環境

0 引言

隨著我國信息化的蓬勃發展，人們對國產軟件的需求日益增長，國產軟件產業得到了大力發展，但是，盜版問題也成為制約國產軟件業發展的重要因素，并且國內大量重要信息系統幾乎被國外品牌軟硬件所壟斷，讓我國信息安全面臨嚴重的威脅[1]。數據防泄漏、木馬攻擊、遭遇黑客、病毒、誤操作等都會造成數據丟失和信息安全漏洞。隨著各類安全漏洞和威脅與日俱增，軟件安全成為重要的建設領域。如何建立基于國產軟件的信息安全環境，已經成為了一種巨大挑戰。因此打擊各類侵犯國產軟件知識產權的行為和推進使用正版國產軟件工作，必須要健全法律法規、完善標準體系、實施安全等級保護與風險評估等制度，構建信息安全保密防護體系，確保國家網絡與信息安全。為此，文中提出了一種適用于國產軟件的軟件安全標準新型框架。

1 國內軟件安全形勢

從美國中央情報局前雇員斯諾登引爆“棱鏡門”事件到中國互聯網新聞研究中心公開《美國全球監聽行動記錄》報告、確認谷歌與微軟等科技公司參與竊密行動。近年來，信息安全大環境問題呈現出前所未有的嚴峻性。

我國互聯網行業起步較晚，早期的軟件生態和硬件生態幾乎被國外產品所壟斷，近年來國產軟硬件如雨后春筍般大量涌現，但國產生態不夠完善以及多年來養成的使用習慣問題，造成國內大量重要信息系統仍然使用國外品牌軟硬件。從信息安全和國家安全的角度考慮，以上隱患首先威脅到的是掌握國家信息核心部門的政府。對于涉及國家機密或者國家安全的產品，應通過健全法律法規、完善標準體系、實現自主可控的國產替代等手段構建信息安全保密防護體系，以確保國家網絡與信息安全。

2 軟件安全標準分析

目前國內企業主要遵循的信息安全標準有《信息安全技術》系列國家標準等。通過對這些標準和規范的分析與解讀，我們看到，已存在的標準規范具有以下優點：

（1）較為系統全面的闡述了軟件安全相關的過程域，包括物理軟件安全等幾個維度;

（2）對于是否達到軟件安全標準給出了一些檢查原則和指導方針;

（3）對信息系統的軟件安全防護等級做了基本設定與劃分;

（4）對企業如何建立安全的防護體系給予了全面宏觀的說明。

但是，結合我國軟件安全的現狀，我們認為目前這些標準規范不足以有效全面的指導企事業單位軟件安全的建設與防護，他們存在以下的劣勢：

（1）總體相對來說比較宏觀，顆粒度比較粗，企事業單位依據此無法在操作層面上落地安全的相關措施;

（2）沒有針對如何防御安全問題及漏洞的方法、技術進行闡述和說明;

（3）未劃分軟件安全點的優先級，對于軟件安全等級及軟件安全點的檢查和評審方式比較傳統，缺乏技術手段的指導;

（4）未考慮從軟件的整個生命周期（規劃、需求、設計、實現、測試、部署、運維）來進行軟件安全防御及標準設定。

綜合以上分析，我們亟需建立一套更全面、更有指導意義、更能適合我國企事業單位特點及信息發展趨勢、更能有效落地的軟件安全的標準體系。

3 軟件安全標準新型框架

結合不同行業的軟件安全標準與相關要素，分析認為在新時期所建立的軟件安全標準體系應該充分立足已有行業規范、充分利用已有安全工具技術、注重全生命周期的進行軟件安全能力構造。圖1為軟件安全新型框架的總體概覽圖。

該框架的總體結構可以概括為：“四域四能三維五層”。

四域：四個過程域。第一個過程域為軟件安全的軟件生產過程，這是核心過程域。其他三個過程域為軟件安全的流程與制度要求、軟件安全工具與軟件安全技術、軟件安全的過程保障三個支持域。

四能：四種關鍵業務功能，也就是軟件的生命周期過程概括：構造、確認、部署和運維。

三維：每個業務功能有三種維度的軟件安全措施來進行保障。

五層：軟件生命過程中的軟件安全標準和軟件安全措施，都要充分考慮到五個層次的軟件安全：物理軟件安全、網絡軟件安全、設備軟件安全、數據軟件安全和應用軟件安全。

研究認為，我國的信息安全環境建設，必須從國產軟件規劃、設計、研制等早期過程著眼。軟件生產過程要端到端建立軟件安全的規范與標準，而生產過程間的協同、流轉與管理通過軟件安全的流程與制度過程域來做出要求和規范;在執行過程中要充分利用好軟件安全的技術和軟件安全工具，通過軟件安全工具與軟件安全技術過程域來指導支持;如何保證標準和流程真正落地，就需要軟件安全的過程保障過程域了，這個過程域要解決軟件安全的等級評估以便企業規劃自己的軟件安全戰略發展路線，還要做一下軟件安全的教育和與指導以便執行者接受和創建軟件安全，而執行過程中要強化軟件安全的治理與監督也很重要，最后不同類型的企業應當有軟件安全標準的裁剪，不是每個企業都追求大而全，而重視有效實用及性價比。

4 國產軟件安全能力實現

下述從四個過程域角度，總結歸納適合我國國產軟件能力實現的四個過程域。

4.1 構造階段

構造階段主要指軟件的架構規劃與需求階段，在該階段需要考慮架構中引入軟件安全架構的設計，在需求中體現在非功能需求部分的軟件安全需求的說明。同時要針對軟件產品/系統的特點，結合歷史軟件安全事件經驗，對軟件安全威脅進行綜合評估。在評估基礎上形成軟件安全架構和軟件安全需求，有針對性在軟件中規劃軟件安全。所以該階段的軟件安全措施三種：威脅評估、軟件安全需求、軟件安全架構。每種軟件安全措施必須都考慮到五個層次的軟件安全：物理軟件安全、網絡軟件安全、設備軟件安全、數據軟件安全和應用軟件安全。

4.2 確認階段

確認階段指從軟件設計到軟件開發、測試的過程;在此過程中軟件安全措施有三類：軟件安全設計、軟件安全編碼、軟件安全測試。

4.3 部署階段

部署階段指從從軟件完成到軟件交付運行期間的軟件安全措施。在此過程中軟件安全措施有三類：漏洞管理、操作管理、環境管理。

4.4 運維階段

運維階段指軟件交付使用后運維期間的軟件安全標準及措施。在此過程中軟件安全措施有三類：實時監控、定期審計、軟件安全事件。

5 軟件安全流程與制度化建設

5.1 軟件安全開發流程

軟件安全開發流程覆蓋和指導軟件的整個生命周期中所有階段的軟件安全的流程環節、流轉、人員角色、行為動作。

主要流程包括軟件總體軟件安全開發流程、軟件架構軟件安全流程、軟件需求軟件安全流程、軟件漏洞威脅分析流程、軟件安全設計流程、軟件安全編碼流程、軟件安全測試流程、軟件漏洞管理流程、軟件環境軟件安全管理流程、軟件操作管理軟件安全流程、軟件定期審計流程、軟件實時監控流程與應對軟件安全突發事件的處理流程等體系。

5.2 軟件安全審計流程

軟件安全審計涉及控制目標、安全漏洞、控制措施和控制測試四個基本要素。

首先，定義審計的物質范疇。審計范疇的劃定有利于審計人員集中注意力在資產，規程和政策方面。其次，劃定審計的步驟范圍。確定一個合適的安全審計區域，既要避免因過于寬泛導致延緩，也要避免過窄導致審計不完全。第三，研究歷史與檢查單設計。通過歷史記錄，可以避免因已知的安全漏洞再次出現安全事件等等。第四，制定審計計劃。審計計劃應包括審計內容的詳細描述、關鍵日期、參與人員和獨立機構。第五，實施安全風險評估。一旦審計小組制定好了有效的審計計劃，就可以著手開始審計的核心—風險評估。第六，記錄下審計結果。第七，提出改進意見。安全審計最終的好處就是提出相應的提高安全的建議[2]。

5.3 人員軟件安全要求與制度

應根據軟件安全策略，制定系統安全管理的規程和制度，不同安全等級的安全管理規章制度的內容應有選擇地滿足以下要求的一項：

（1）基本的安全管理制度：應包括網絡安全管理規定，系統安全管理規定，數據安全管理規定，防病毒規定，以及相關的操作規程等;（2）較完整的安全管理制度：在（1）的基礎上，應增加設備使用管理規定，人員安全管理規定，安全審計管理規定，風險管理規定，安全事件報告規定，事故處理規定，應急管理規定和災難恢復管理規定等;（3）體系化的安全管理制度：在（2）的基礎上，應制定全面的安全管理規定，包括：主機設備、網絡設施、物理設施分類標記等系統資源安全管理規定;安全配置、系統分發和操作、系統文檔、測試和脆弱性評估、系統信息安全備份和相關的操作規程等系統和數據庫方面的安全管理規定;網絡連接檢查評估、網絡使用授權、網絡檢測、網絡設施變更控制和相關的操作規程等方面的網絡安全管理規定等;（4）強制保護的安全管理制度：在（3）的基礎上，應增加信息保密標識與管理規定，密碼使用管理規定，安全事件例行評估和報告規定，關鍵控制措施定期測試規定等;（5）專控保護的安全管理制度：在（4）的基礎上，應增加安全管理審計監督規定等[3]。

5.4 軟件安全應急與軟件安全恢復流程

為了有效應對相關安全事件，可根據國際上廣為接受的經典的應急事件處理六階段流程制定相應的應急響應流程。即Preparing準備、Detection檢測、Control抑制、Eradicate根除、Restore恢復、Follow跟蹤（改進）。

6 基于國產軟件安全能力的信息安全環境建設

該過程域的作用是保障相關軟件安全流程、標準在實際執行中能符合要求。包括建立總體的軟件安全等級評估，從而形成企業的軟件安全發展的柵欄路線圖。事前的教育指導和培訓;事中的審計、治理與監督。而且對于不同類型的企業制定軟件安全裁剪指導原則。

6.1 軟件安全等級評估

風險評估既是對自身安全防御能力的評估，也指導企業安全建設的方向。采取以自評估為主，委托評估檢查機構為輔的方式，在信息系統方案設計、建設投產和運行維護各個階段實施必要的風險評估。軟件安全等級是相應信息系統安全等級劃分的基本依據。軟件系統及相應信息系統的安全等級分為單一安全等級和多安全等級，其安全等級的劃分應滿足以下要求：（1）單一安全等級軟件系統：按照業務應用確定的安全等級的要求，軟件系統及相應信息系統劃分為一個安全域，或者說整個信息系統具有相同的安全保護等級。（2）多安全等級軟件系統：按照不同業務應用的不同安全等級的要求，軟件系統及相應信息系統劃分為多個安全域/子系統，或者說，整個信息系統具有多個不同的安全保護等級。

6.2 軟件安全教育與指導

信息安全教育宣傳，提高安全意識。在安全的流程與制度建設完畢后，為保障流程制度的落地，應積極組織各級各層人員系統性地開展培訓工作，包括安全流程制度、標準培訓;安全技術實施培訓等。使從業人員增強主動防御意識、加強安全管理水平、提高安全意識，為實現信息網絡安全工作常態化、規范化、制度化做出相應的措施。

6.3 軟件安全治理與監督

為進一步提升信息安全保障能力，確保國家網絡安全運行，需從國家立法、企業研發兩個方面來推動國內軟件實現自主可控。立法方面：在《網絡安全法》的基礎上，加快實施全面的《網絡安全審查辦法》。企業方面：肩負起保護國家信息安全的重大責任，加大國產替代的研發力度，以實現自主可控的國家信息安全體系。

6.4 不同企業制定裁剪指導原則

不同類型企業對安全的要求和實現是有差異的，該章節給出不同類型企業依據新型安全框架建設時進行分類裁減的指導原則。各種分類圖示（●高強度 ◎中等強度 ○弱強度）。

（1）軟件為提供給外部普通大眾用戶使用，根據表1公眾環境安全框架矩陣表，即可得到相應的防護等級。

（2）軟件提供給內部用戶使用，并且對外物理隔離，根據表2物理隔離環境安全框架矩陣表，即可得到相應的防護等級。

（3）軟件提供給內部用戶通過互聯網多地區使用，根據表3對內公網環境安全框架矩陣表，即可得到相應的防護等級。

基于國產軟件的信息安全環境構建策略研究，研究提出了一種軟件安全標準新型框架。該框架總體結構可以概括為“四域四能三維五層”。軟件安全標準新型框架能夠用來指導構建信息安全保密防護體系，確保國家網絡與信息安全。未來軟件產業應隨著云計算，大數據，移動互聯網等新技術、新規模加速發展，并逐步建立完善的軟件安全標準框架，憑借中國自身產業的特色和優勢，在保障重要信息安全的同時，推動軟件業發展成為支柱產業，提升國產軟件產業在全球范圍內的競爭力，構建國產軟件的信息安全環境。

參考文獻

[1] 韓健.加強基礎軟件信息安全刻不容緩[N].中國計算機報，2014-12-22（2）.

[2] 陳將.企業實施信息安全審計的關鍵流程[J].網絡與信息，2010（10）：63.

[3] GB/T20269-2006，信息安全技術 信息系統安全管理要求[S].