新基建：数字经济时代的基础设施体系与安全风险

hwyzw

    一、简介

    2020年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

    “新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

    2、开源软件现状分析

    随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

    一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

    近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

    （一）开源软件安全形势极其严峻

    事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2020年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

    （二）开源软件产生的蝴蝶效应不容乐观

    根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

    另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

    （三）开源软件供应链可能隐藏高级网络威胁

    正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

    （四）开源软件仍处于管理盲区

   

    开源软件目前处于企业信息化管理的盲点，因为企业使用的各类软件，无论是自主开发还是外包服务，都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。

    软件供应商的开发团队使用开源软件非常随意，没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态，项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付，开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。

    3. 开源软件治理措施

    当前，国家和企业已逐步进入数字化时代。无论是硬件的调度和控制，还是上层信息数据的存储、处理和利用，开源软件已经成为构建虚拟空间和物理实体的重要粘合剂，应该作为“新基础设施”。 “充分关注核心基础设施，加强开源软件安全治理措施研究。

    （一）建立开源软件审核管理机制

    没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制，严格落实开源软件全生命周期的安全使用和风险控制。

    （一）建立开源软件顶层审查管理机制。建立相应的组织架构，明确管理职责，结合企业实际特点制定审核管理制度和流程。

    （二）建立开源软件安全准入机制，制定评估要点，持续评估其生命周期内的完整性、安全性和法律风险，实时掌握开源软件资产及其关联软件系统的安全风险状况。

    （3）利用开源软件自动化工具持续检测和发现开源软件资产，持续跟踪开源软件漏洞情报。

    （四）建立开源软件漏洞缓解工作机制，研究开源软件漏洞缓解措施，开展应急响应，及时规避网络安全风险。

    （五）建立开源软件运维管理平台，按照评审管理制度流程实施开源软件全生命周期的运维管理，跟踪记录开源软件动态，改进开源软件治理的效率。

    （二）推动源代码安全保障切实可行的办法落地

    企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期（SDL）和推出的基于敏捷开发的方法。其中，SDL将安全要素嵌入到软件开发和运维的七个阶段，包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施，增加安全监控、跟踪和分析，将安全融入敏捷流程，在保持“敏捷”和“协作”初衷的同时，赋予每个团队安全能力。

    无论SDL如何，您都可以看到安全位置实际上已向左移动，并且它发生在所有流程中。

   

    （1）安全需求分析：应根据实际业务需求和行业标准规范，确定软件系统的安全需求，如分级防护、分级防护等，作为后续安全设计的输入。

    （2）安全设计：以安全需求分析文档为基础，以减少攻击面为原则，重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。

    （3）安全编码：使用指定的安全开发工具，严格按照安全设计文档对软件系统进行编码和实现。

    （4）安全测试：借助源代码审计、渗透测试、压力测试等综合测试手段，充分验证软件系统的安全性、可用性和完整性。

    （5）安全发布：结合实际网络拓扑，合理部署，减少来自网络的攻击面。

    （6）安全响应：制定网络安全事件响应计划和处置流程，有效应对网络安全事件。

    （三）借助专业力量持续评估开源软件安全风险

    企业应引进或利用专业技术力量，不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场，持续动态地验证和评估开源软件的可靠性、可用性和安全性，提高开源软件的安全应用能力。

    （四）合作建立开源软件漏洞信息数据库

    现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制，合作建立开源软件漏洞情报库。

    4. 结论

    在企业数字化转型过程中，开源软件可以降低成本、提高效率，让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心，其安全性直接影响数字空间的安全。因此，开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理，为企业提供更好的安全保障。保障数字安全发展。

    （原文发表于《机密科技》杂志2020年7月号）