基于国产软件的信息安全环境构建策略研究

　　摘 要：结合我国软件安全的现状，更好的保护软件信息安全，本文提出基于国产软件的信息安全环境构建策略研究。首先，分析了国内软件安全形势和软件安全标准;然后，提出一种适用于国产软件安全标准新型框架，用以支持信息安全环境构建，并给出对应的主要功能和构成;其次，详细介绍了关于软件安全标准新模型框架中的四个过程域;最后，探讨了基于国产软件的信息安全环境构建的可行路线。

　　关键词：国产软件;信息安全;安全标准;安全环境

　　0 引言

　　随着我国信息化的蓬勃发展，人们对国产软件的需求日益增长，国产软件产业得到了大力发展，但是，盗版问题也成为制约国产软件业发展的重要因素，并且国内大量重要信息系统几乎被国外品牌软硬件所垄断，让我国信息安全面临严重的威胁[1]。数据防泄漏、木马攻击、遭遇黑客、病毒、误操作等都会造成数据丢失和信息安全漏洞。随着各类安全漏洞和威胁与日俱增，软件安全成为重要的建设领域。如何建立基于国产软件的信息安全环境，已经成为了一种巨大挑战。因此打击各类侵犯国产软件知识产权的行为和推进使用正版国产软件工作，必须要健全法律法规、完善标准体系、实施安全等级保护与风险评估等制度，构建信息安全保密防护体系，确保国家网络与信息安全。为此，文中提出了一种适用于国产软件的软件安全标准新型框架。

　　1 国内软件安全形势

　　从美国中央情报局前雇员斯诺登引爆“棱镜门”事件到中国互联网新闻研究中心公开《美国全球监听行动记录》报告、确认谷歌与微软等科技公司参与窃密行动。近年来，信息安全大环境问题呈现出前所未有的严峻性。

　　我国互联网行业起步较晚，早期的软件生态和硬件生态几乎被国外产品所垄断，近年来国产软硬件如雨后春笋般大量涌现，但国产生态不够完善以及多年来养成的使用习惯问题，造成国内大量重要信息系统仍然使用国外品牌软硬件。从信息安全和国家安全的角度考虑，以上隐患首先威胁到的是掌握国家信息核心部门的政府。对于涉及国家机密或者国家安全的产品，应通过健全法律法规、完善标准体系、实现自主可控的国产替代等手段构建信息安全保密防护体系，以确保国家网络与信息安全。

　　2 软件安全标准分析

　　目前国内企业主要遵循的信息安全标准有《信息安全技术》系列国家标准等。通过对这些标准和规范的分析与解读，我们看到，已存在的标准规范具有以下优点：

　　(1)较为系统全面的阐述了软件安全相关的过程域，包括物理软件安全等几个维度;

　　(2)对于是否达到软件安全标准给出了一些检查原则和指导方针;

　　(3)对信息系统的软件安全防护等级做了基本设定与划分;

　　(4)对企业如何建立安全的防护体系给予了全面宏观的说明。

　　但是，结合我国软件安全的现状，我们认为目前这些标准规范不足以有效全面的指导企事业单位软件安全的建设与防护，他们存在以下的劣势：

　　(1)总体相对来说比较宏观，颗粒度比较粗，企事业单位依据此无法在操作层面上落地安全的相关措施;

　　(2)没有针对如何防御安全问题及漏洞的方法、技术进行阐述和说明;

　　(3)未划分软件安全点的优先级，对于软件安全等级及软件安全点的检查和评审方式比较传统，缺乏技术手段的指导;

　　(4)未考虑从软件的整个生命周期(规划、需求、设计、实现、测试、部署、运维)来进行软件安全防御及标准设定。

　　综合以上分析，我们亟需建立一套更全面、更有指导意义、更能适合我国企事业单位特点及信息发展趋势、更能有效落地的软件安全的标准体系。

　　3 软件安全标准新型框架

　　结合不同行业的软件安全标准与相关要素，分析认为在新时期所建立的软件安全标准体系应该充分立足已有行业规范、充分利用已有安全工具技术、注重全生命周期的进行软件安全能力构造。图1为软件安全新型框架的总体概览图。

　　该框架的总体结构可以概括为：“四域四能三维五层”。

　　四域：四个过程域。第一个过程域为软件安全的软件生产过程，这是核心过程域。其他三个过程域为软件安全的流程与制度要求、软件安全工具与软件安全技术、软件安全的过程保障三个支持域。

　　四能：四种关键业务功能，也就是软件的生命周期过程概括：构造、确认、部署和运维。

　　三维：每个业务功能有三种维度的软件安全措施来进行保障。

　　五层：软件生命过程中的软件安全标准和软件安全措施，都要充分考虑到五个层次的软件安全：物理软件安全、网络软件安全、设备软件安全、数據软件安全和应用软件安全。

　　研究认为，我国的信息安全环境建设，必须从国产软件规划、设计、研制等早期过程着眼。软件生产过程要端到端建立软件安全的规范与标准，而生产过程间的协同、流转与管理通过软件安全的流程与制度过程域来做出要求和规范;在执行过程中要充分利用好软件安全的技术和软件安全工具，通过软件安全工具与软件安全技术过程域来指导支持;如何保证标准和流程真正落地，就需要软件安全的过程保障过程域了，这个过程域要解决软件安全的等级评估以便企业规划自己的软件安全战略发展路线，还要做一下软件安全的教育和与指导以便执行者接受和创建软件安全，而执行过程中要强化软件安全的治理与监督也很重要，最后不同类型的企业应当有软件安全标准的裁剪，不是每个企业都追求大而全，而重视有效实用及性价比。

　　4 国产软件安全能力实现

　　下述从四个过程域角度，总结归纳适合我国国产软件能力实现的四个过程域。

　　4.1 构造阶段

　　构造阶段主要指软件的架构规划与需求阶段，在该阶段需要考虑架构中引入软件安全架构的设计，在需求中体现在非功能需求部分的软件安全需求的说明。同时要针对软件产品/系统的特点，结合历史软件安全事件经验，对软件安全威胁进行综合评估。在评估基础上形成软件安全架构和软件安全需求，有针对性在软件中规划软件安全。所以该阶段的软件安全措施三种：威胁评估、软件安全需求、软件安全架构。每种软件安全措施必须都考虑到五个层次的软件安全：物理软件安全、网络软件安全、设备软件安全、数据软件安全和应用软件安全。

　　推荐阅读：软件和集成电路计算机工程师论文投稿

期刊VIP网，您身边的高端学术顾问

文章名称： 基于国产软件的信息安全环境构建策略研究

文章地址： http://www.qikanvip.com/ruanjiankaifa/52222.html