久久精品亚洲一区二区,a一区二区三区,青青草91久久久久久久久

開源軟件安全風險大海量數據帶來治理難題

2021-08-30 11:40:48 來源：第一財經

[ BCS2021發布數據顯示，我國2020年網絡安全產業規模超過1700億元，較2015年翻了一番。 ]

隨著大數據的爆發和企業云部署的加速，如何提高網絡技術供應鏈的安全性，是擺在全世界政府和企業面前的迫切問題。

8月28日，2021北京網絡安全大會（BCS2021）的一場線上技術峰會上，來自全球的頂尖網絡安全技術專家就網絡安全技術的復雜性以及應用展開探討，并呼吁提高網絡安全標準，完善包括開源軟件在內的軟件供應鏈安全。

開源軟件安全風險大

“大多數組織機構并沒有明確掌握他們所使用的軟件面臨的風險，尤其是在引入開源軟件的時候。”弗若斯特研究機構（Forrester）副總裁、集團研究總監勞拉·科茨勒（Laura Koetzle）表示。

科茨勒說道，2021年全球網絡安全領域充滿了變化和挑戰。攻擊來自兩方面，一個是供應鏈攻擊，另一個是勒索攻擊。

今年以來，美國先后發生了針對SolarWinds、Colonial Pipeline、JBS和軟件公司Kaseya的一系列網絡攻擊，令包括能源、食品在內的多個行業損失慘重。“從SolarWinds的供應鏈攻擊開始，黑客就鎖定了攻擊價值較高的供應鏈上游，尤其是攻擊那些使用較為廣泛的軟硬件產品，因此通常具備‘攻其一點，傷及一片’的特點。”科茨勒表示。

科茨勒建議，為了應對黑客在目標中潛伏很長時間并植入惡意代碼的攻擊方式，組織機構應該嘗試使用零信任架構，將每一次訪問的安全風險降至最低，同時應當建立軟件資產清單，便于清晰掌握軟件供應鏈所面臨的風險，即便發生攻擊，也能在最短時間內做出正確的響應。

開源軟件使用的廣泛性，給了大量攻擊者以可乘之機。數據顯示，開源軟件存在的漏洞相對較多，因此成為網絡攻擊的主要對象。根據奇安信發布的《2021中國軟件供應鏈安全分析報告》，在奇安信代碼安全實驗室分析的2557個國內企業軟件項目中，平均每個軟件項目存在66個已知開源軟件漏洞，最多的軟件項目存在1200個已知開源軟件漏洞。其中，存在已知開源軟件漏洞的項目占比近90%；存在已知高危開源軟件漏洞的項目占比超過80%；存在已知超危開源軟件漏洞的項目占比超過70%。

“多項開源組件受到高危漏洞影響、松散的開源社區管理難以有效推動漏洞修復以及開源代碼的漏洞補丁部署狀況混亂，是造成開源代碼面臨漏洞威脅巨大的三個主要原因。”復旦大學計算機科學技術學院副院長楊珉教授表示，“面對這些不足，我們希望通過挖掘開源組件漏洞、增強開源漏洞信息以及評估漏洞補丁狀態等方面的工作來解決。”但他表示，這個過程中仍然遇到了漏洞挖掘效率低、漏洞庫信息不完整、補丁部署管理混亂等方面的困難。

除了開源軟件之外，互聯網核心協議的漏洞問題同樣不可小覷。清華大學–奇安信集團聯合研究中心主任段海新警告稱，互聯網基礎協議的小問題卻有可能釀成互聯網安全問題的大隱患。

段海新說道：“經過長期的研究和攻防實踐，我們發現了互聯網基礎協議漏洞的一些顯著特征，基礎協議的漏洞影響范圍很廣，但想要運用自動化的方法來挖掘或者尋找漏洞卻十分困難。并且，這些互聯網協議漏洞絕大多數都是邏輯漏洞，甚至許多漏洞是多個系統組合在一起才出現的，需要多個系統組合在一起才能發現。”

勒索病毒也是近年來黑客攻擊的主要方式之一。近年來，勒索軟件的攻擊對象也發生了變化，似乎不再侵擾消費者系統，而是企圖感染整個企業網絡。

勒索軟件WannaCry破解者馬庫斯·哈欽斯（Marcus Hutchins）關注到了這一變化趨勢。他表示：“這主要是因為感染一家企業，要比同時感染數十萬臺設備容易得多，并且相對個人消費者而言，企業支付贖金的意愿更強。”

哈欽斯強調，勒索病毒的防范不僅僅是一個技術問題，僅靠提高安全性、增加安全預算是無法解決的，需要在金融、法律以及網絡安全等領域開展多方合作。

海量數據帶來治理難題

隨著數字經濟的發展，我國在網絡安全方面的投入也不斷加大。本次BCS2021發布數據顯示，我國2020年網絡安全產業規模超過1700億元，較2015年翻了一番，年均增速超過15%，遠高于9%的全球平均的水平。

另據工信部今年編制的《網絡安全產業高質量發展三年行動計（2021-2023年）》征求意見稿，到2023年，我國網絡安全產業規模超過2500億元；電信等重點行業網絡安全投入占信息化投入比例不低于10%。

行業預測，未來十年我國網絡安全行業將保持25%以上的增速，十年后市場規模將超過1.4萬億元，頭部企業將迎來巨大發展機遇。目前我國網絡安全相關上市企業已經有20余家，總市值超過5000億元。

從政策層面來看，網絡安全法和數據安全法已經成為我國數字經濟中兩大最為重要的政策領域。隨著科技行業規模的不斷壯大，企業控制海量數據(603138,股吧)的安全性也越來越受關注，數據的治理也顯得更加重要。

奇安信集團總裁吳云坤在BCS2021上表示：“從先發展后治理、同步發展和治理到治理先行，這是從信息化視角看網絡安全的巨大轉折，網絡安全迎來了發展新拐點。”

吳云坤表示，今年以來國家密集出臺了《數據安全法》《個人信息保護法》《網絡安全審查辦法》修訂版等法律法規、政策制度和監管手段，這些法規和手段強調的是治理先行。