吴兰 张腾标 王坤
信息技术应用创新(简称“信创”),既是新一代信息技术发展的内在需求,也是加快新型基础设施建设的重要支点。2020年,工信部提出实施国家软件重大工程,集中力量解决关键软件的“卡脖子”问题,意味着以信创产业为代表的国产软件获得国家战略层次的持续推进。江苏是国内较早布局信创产业的地区,并在近年来实现了产业的飞速发展。在新发展阶段,信创产业的支撑范围将更广泛,我们须強化信创产品安全建设,不断提升信创产业竞争力和抗风险能力,为网络信息安全“保驾护航”。
江苏信创产业进入快速发展期
自“十三五”以来,江苏信创发展进入快车道,全省每年信息基础设施建设投入达千亿元,软件产业规模破万亿元,成为孕育信创产业的肥沃土壤。通过政策导向和环境营造,江苏信创产品技术能力不断提升,骨干企业引领发展格局正在形成,产业生态融合的特征也愈发明显,当前信创产业链已被列为江苏30条优秀产业链之一。
信创产业发展已成为区域经济高质量发展的强大引擎。江苏在信创产业发展上积极谋划部署,成立了信创产业强链工作专班,细致梳理我省信创产业链,提出聚焦CPU、操作系统、数据库等短板环节着力强链补链,支持一批重点企业在省内落户,包括申泰信息、龙芯中科、航天七零六、中科可控、统信、达梦等;建设了江苏省信息技术应用创新产业生态基地,以“一基地、四中心”的创新模式向全省信创产业提供技术攻关、产品测试、人才培训、成果展示等公共服务,其中省信创测试中心建成了集申威、龙芯、鲲鹏等6个技术路线的软硬件测试环境,完成了百余次产品适配性测试、选型测试、解决方案测试、验收测试服务;成立了江苏省信息技术应用创新工作委员会,吸纳省内相关骨干企业300余家,牵头编制并定期发布了《江苏省信息技术应用创新产品图谱》,举办了江苏省信息技术应用创新大会、江苏省信创应用系统供需对接会,向用户单位宣传推广我省优质信创产品。目前,图谱已收录101家企业的500余款产品,据测算,预计到2022年,现有图谱产品可实现业务收入约764亿元,占全国相关市场15%左右。
信创产品面临的安全威胁分析
随着国产芯片、操作系统、数据库、中间件等信息技术产品在各领域的应用普及,信创产业发展进入快速发展期,安全问题成为不可忽视的重要内容。信创产品安全建设能最大程度保障供应链完整性的持续稳定,尽可能减少遭受威胁和中断的可能。可以说,信创产品安全可靠是信创产业蓬勃发展的重要支撑。
江苏信创产品涵盖计算机主要零部件、整机、外部设备等硬件,以及操作系统、数据库、中间件、办公软件、应用系统、安全系统等软件。经过多年发展,我省用户对信创产品的使用感受已从可用能用向好用易用升级转变。我省信创产品自主程度高,多采用自主设计、自主编码、自主生产,但由于体系结构、基本原理、基础编码语言等与国外产品无较大差异,存在一些安全威胁,包括软件自身漏洞较多,组件模块面临安全性低,知识产权风险高,从业人员安全意识较薄弱,等等。
当前,由于软件漏洞而导致的网络安全事件、数据泄露事件频发。据江苏省通信管理局调查数据显示,2020年江苏网民中有56.1%的人遭遇网络安全问题,较2019年同期上升了2.5个百分点。国家互联网应急中心江苏分中心监测发现,2020年江苏发生270起涉及个人信息和重要数据安全的事件与风险,2914万余条个人信息数据存在被泄露的可能。国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》也指出,2020年我国境内感染计算机恶意程序的主机数量约534万台,其中江苏被感染主机占比12.1%。因此,强化信创产品安全建设、提升信创产品风险防控能力显得尤为重要。
强化信创产品安全建设的对策措施
信创产品作为信息系统的重要组成部分,是保障系统可靠运行、数据有序传输的核心关键。强化信创产品的安全建设,可以有效构建安全基础,强化系统整体防护能力,提高应对网络安全威胁和攻击水平,减少网络安全事件发生,从而保障产业链稳定和供应链畅通。
健全网络安全的管理机制。制定和完善安全管理制度,明确建设单位、软件厂商等不同主体的安全责任义务,建立网络安全责任制度。加强信创系统项目规划建设运维管理,制定项目网络安全与密码应用解决方案,同步规划、同步建设基于密码的保障体系,确保新建项目中网络安全措施的合理全面以及密码应用的合规、正确和有效。加强资金保障管理,确保系统日常更新、运维、安全检测等工作正常开展。制定网络安全应急预案,重点关注系统中采用的开源软件组件模块漏洞风险和许可证使用风险等,并开展应急演练。
强化国产密码的融合创新。充分利用江苏在密码领域的良好产业基础与资源优势,将国产密码与芯片、操作系统、中间件、数据库、应用软件等进行深入融合,有效解决数据产生、传输、存储、处理、分析、使用等全生命周期安全难题,实现基础硬件资源、信息设施、计算分析、应用服务、网络通道、接入终端等全体系平台安全,实现系统安全可信。
完善监测服务的体系建设。建设开源软件安全监控预警平台,打造开源软件安全漏洞库、许可协议库、软件厂商技术路线库和用户单位资源环境库等。制定统一接口标准规范,畅通安全漏洞库与国际国内通用漏洞平台漏洞联动、安全厂商漏洞报送机制。适时建立预警处置机制,向软件厂商和用户单位下发并处置预警信息。
加强信创产品的评估检测。按照《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》等法律法规以及党政机关安全管理等有关规定,统筹省信创测试中心、省内专业第三方安全检测机构和商用密码应用安全性评估机构,对已建成的信创系统定期开展网络安全检测和风险评估、商用密码应用安全性评估,保障信息系统安全稳定运行。推动研究制定产品安全测试大纲,提出安全测试基线要求,形成通用性安全技术标准及安全性测试指南。在信创产品发布、重大更新或使用前进行安全检测,确保不存在高风险安全漏洞。
推进信创人才的挖掘培养。创新网络安全人才培养模式,加强复合型人才培养。促进省内信创产品厂商、安全龙头企业、高校、科研院所、第三方安全检测机构等的交流沟通,加快推动在信创领域的产学研用一体化发展,编制一流培训课件,打造一流研究团队,淬炼一流培训队伍,加大对信创从业人员的培训培养,强化安全意识,提升安全技术能力和理论水平。举办省内信创领域网络安全技能竞赛、技术论坛及沙龙等活动,搭建人才交流平台,扩大社会影响,挖掘培养高技能复合型人才。
(作者单位:江苏省电子信息产品质量监督检验研究院)
责任编辑:孙秋香