日前，中國軟件評測中心發(fā)布系列白皮書，在《電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全白皮書》（以下簡稱《白皮書》）中，他們給出了電信和互聯(lián)網(wǎng)行業(yè)面對安全威脅的應(yīng)對之道。

強(qiáng)化數(shù)據(jù)安全保護(hù)

基于《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求，電信運(yùn)營商、互聯(lián)網(wǎng)企業(yè)等從合規(guī)角度出發(fā)對數(shù)據(jù)安全保護(hù)制度體系加緊完善，重點(diǎn)包括敏感數(shù)據(jù)的分類分級和控制措施、個(gè)人信息保護(hù)、重要數(shù)據(jù)保護(hù)等?！栋灼诽岢?，行業(yè)應(yīng)加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)，從管理和技術(shù)手段上嚴(yán)防敏感數(shù)據(jù)泄露事件的發(fā)生。

積極開展數(shù)據(jù)安全方面的合規(guī)性評估，包括網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估、APP違法違規(guī)評估等，提前做好數(shù)據(jù)安全保護(hù)的合規(guī)性準(zhǔn)備，配合監(jiān)管部門的網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法。企業(yè)一旦在數(shù)據(jù)安全方面發(fā)生不合規(guī)的情況，將面臨行政處罰、軟件下架、企業(yè)納入不良名單和失信名單等處罰。因此，企業(yè)必須重視數(shù)據(jù)安全保護(hù)，提前謀劃，做好合規(guī)性工作。

此外，《白皮書》提到的重點(diǎn)工作還包括如下幾方面：梳理數(shù)據(jù)資產(chǎn)，做好資產(chǎn)“清單”。理清企業(yè)數(shù)據(jù)資產(chǎn)是對數(shù)據(jù)資產(chǎn)進(jìn)行嚴(yán)格管理的基礎(chǔ)，若無法形成數(shù)據(jù)清單，也無法對針對數(shù)據(jù)的行為進(jìn)行有效監(jiān)控。提升對數(shù)據(jù)安全保護(hù)重視程度，設(shè)立專門的網(wǎng)絡(luò)數(shù)據(jù)安全職能部門。強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)對外合作安全管理，既不能放松警惕，也不能因噎廢食，安全和發(fā)展互相配合，促進(jìn)業(yè)務(wù)健康發(fā)展，確保數(shù)據(jù)合作業(yè)務(wù)在安全、合規(guī)的情況下有序進(jìn)行。加強(qiáng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理，強(qiáng)化安全事件發(fā)生事前、事中、事后的處置，對惡性事件形成預(yù)案，不打無準(zhǔn)備之仗。

加強(qiáng)開源軟件安全評估

《白皮書》提出，軟件的安全性是網(wǎng)絡(luò)安全的一個(gè)重要方面。軟件是網(wǎng)絡(luò)系統(tǒng)資產(chǎn)的重要組成部分，軟件安全性評估在實(shí)踐上是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的一部分，一般采用多種方法、多角度綜合評估，如通過漏洞掃描、滲透測試、漏洞挖掘等發(fā)現(xiàn)軟件運(yùn)行期的各種安全漏洞，通過逆向分析發(fā)掘攻擊點(diǎn)和邏輯漏洞，通過基線掃描、配置核查等發(fā)現(xiàn)軟件配置方面的問題，通過協(xié)議分析、通信分析發(fā)現(xiàn)通信、數(shù)據(jù)保護(hù)等方面的問題，通過日志審計(jì)和分析發(fā)現(xiàn)攻擊痕跡、非法行為等。

開源軟件由于其“開源”的特點(diǎn)，更可以對其源代碼進(jìn)行白盒分析，即源代碼安全審計(jì)。源代碼安全審計(jì)一般由具備豐富編碼經(jīng)驗(yàn)并對安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查，充分挖掘當(dāng)前代碼中存在的安全缺陷以及規(guī)范性缺陷，評估軟件系統(tǒng)可能會面臨的威脅，并指導(dǎo)開發(fā)人員正確修復(fù)軟件缺陷。源代碼安全審計(jì)一般采用“工具自動分析+人工驗(yàn)證”的方式進(jìn)行，可從代碼源頭上發(fā)現(xiàn)代碼本身存在的問題，如代碼對標(biāo)準(zhǔn)的遵循、可讀性，代碼的邏輯表達(dá)的正確性，代碼結(jié)構(gòu)的合理性，代碼安全漏洞等方面，對軟件安全性評估提供依據(jù)。

由于開源軟件的廣泛應(yīng)用，國內(nèi)外對開源軟件的安全評估均開展了相關(guān)實(shí)踐。2006年，美國國土安全部資助Coverity公司開展了“開源軟件代碼測試計(jì)劃”，針對大量開源軟件進(jìn)行源代碼安全審計(jì)，篩查安全隱患，發(fā)現(xiàn)源代碼層面的大量安全缺陷。國內(nèi)安全企業(yè)360的代碼衛(wèi)士團(tuán)隊(duì)，于2015年年初發(fā)起了國內(nèi)的“開源項(xiàng)目檢測計(jì)劃”，針對開源軟件開展安全檢測，對軟件進(jìn)行安全缺陷統(tǒng)計(jì)和安全風(fēng)險(xiǎn)評估。截至目前，該計(jì)劃已檢測2200多個(gè)開源項(xiàng)目。

《白皮書》介紹的開源軟件安全評估的方法包括：

一是源代碼安全審查。采用“工具自動分析+人工驗(yàn)證”的方式對軟件的源代碼進(jìn)行白盒分析，從代碼對標(biāo)準(zhǔn)的遵循、可讀性，代碼的邏輯表達(dá)的正確性，代碼結(jié)構(gòu)的合理性，代碼安全漏洞等方面對軟件安全性進(jìn)行評估。

二是安全威肋風(fēng)險(xiǎn)評估。通過漏洞掃描、滲透測試、漏洞挖掘等發(fā)現(xiàn)軟件運(yùn)行期的各種安全漏洞，通過逆向分析發(fā)掘攻擊點(diǎn)和邏輯漏洞。

三是基線核查。通過基線掃描、配置核查等發(fā)現(xiàn)軟件配置方面的安全問題。