摘 要：結(jié)合我國軟件安全的現(xiàn)狀，更好的保護(hù)軟件信息安全，本文提出基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建策略研究。首先，分析了國內(nèi)軟件安全形勢和軟件安全標(biāo)準(zhǔn);然后，提出一種適用于國產(chǎn)軟件安全標(biāo)準(zhǔn)新型框架，用以支持信息安全環(huán)境構(gòu)建，并給出對應(yīng)的主要功能和構(gòu)成;其次，詳細(xì)介紹了關(guān)于軟件安全標(biāo)準(zhǔn)新模型框架中的四個(gè)過程域;最后，探討了基于國產(chǎn)軟件的信息安全環(huán)境構(gòu)建的可行路線。

　　關(guān)鍵詞：國產(chǎn)軟件;信息安全;安全標(biāo)準(zhǔn);安全環(huán)境

　　0 引言

　　隨著我國信息化的蓬勃發(fā)展，人們對國產(chǎn)軟件的需求日益增長，國產(chǎn)軟件產(chǎn)業(yè)得到了大力發(fā)展，但是，盜版問題也成為制約國產(chǎn)軟件業(yè)發(fā)展的重要因素，并且國內(nèi)大量重要信息系統(tǒng)幾乎被國外品牌軟硬件所壟斷，讓我國信息安全面臨嚴(yán)重的威脅[1]。數(shù)據(jù)防泄漏、木馬攻擊、遭遇黑客、病毒、誤操作等都會(huì)造成數(shù)據(jù)丟失和信息安全漏洞。隨著各類安全漏洞和威脅與日俱增，軟件安全成為重要的建設(shè)領(lǐng)域。如何建立基于國產(chǎn)軟件的信息安全環(huán)境，已經(jīng)成為了一種巨大挑戰(zhàn)。因此打擊各類侵犯國產(chǎn)軟件知識(shí)產(chǎn)權(quán)的行為和推進(jìn)使用正版國產(chǎn)軟件工作，必須要健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實(shí)施安全等級保護(hù)與風(fēng)險(xiǎn)評估等制度，構(gòu)建信息安全保密防護(hù)體系，確保國家網(wǎng)絡(luò)與信息安全。為此，文中提出了一種適用于國產(chǎn)軟件的軟件安全標(biāo)準(zhǔn)新型框架。

　　1 國內(nèi)軟件安全形勢

　　從美國中央情報(bào)局前雇員斯諾登引爆“棱鏡門”事件到中國互聯(lián)網(wǎng)新聞研究中心公開《美國全球監(jiān)聽行動(dòng)記錄》報(bào)告、確認(rèn)谷歌與微軟等科技公司參與竊密行動(dòng)。近年來，信息安全大環(huán)境問題呈現(xiàn)出前所未有的嚴(yán)峻性。

　　我國互聯(lián)網(wǎng)行業(yè)起步較晚，早期的軟件生態(tài)和硬件生態(tài)幾乎被國外產(chǎn)品所壟斷，近年來國產(chǎn)軟硬件如雨后春筍般大量涌現(xiàn)，但國產(chǎn)生態(tài)不夠完善以及多年來養(yǎng)成的使用習(xí)慣問題，造成國內(nèi)大量重要信息系統(tǒng)仍然使用國外品牌軟硬件。從信息安全和國家安全的角度考慮，以上隱患首先威脅到的是掌握國家信息核心部門的政府。對于涉及國家機(jī)密或者國家安全的產(chǎn)品，應(yīng)通過健全法律法規(guī)、完善標(biāo)準(zhǔn)體系、實(shí)現(xiàn)自主可控的國產(chǎn)替代等手段構(gòu)建信息安全保密防護(hù)體系，以確保國家網(wǎng)絡(luò)與信息安全。

　　2 軟件安全標(biāo)準(zhǔn)分析

　　目前國內(nèi)企業(yè)主要遵循的信息安全標(biāo)準(zhǔn)有《信息安全技術(shù)》系列國家標(biāo)準(zhǔn)等。通過對這些標(biāo)準(zhǔn)和規(guī)范的分析與解讀，我們看到，已存在的標(biāo)準(zhǔn)規(guī)范具有以下優(yōu)點(diǎn)：

　　(1)較為系統(tǒng)全面的闡述了軟件安全相關(guān)的過程域，包括物理軟件安全等幾個(gè)維度;

　　(2)對于是否達(dá)到軟件安全標(biāo)準(zhǔn)給出了一些檢查原則和指導(dǎo)方針;

　　(3)對信息系統(tǒng)的軟件安全防護(hù)等級做了基本設(shè)定與劃分;

　　(4)對企業(yè)如何建立安全的防護(hù)體系給予了全面宏觀的說明。

　　但是，結(jié)合我國軟件安全的現(xiàn)狀，我們認(rèn)為目前這些標(biāo)準(zhǔn)規(guī)范不足以有效全面的指導(dǎo)企事業(yè)單位軟件安全的建設(shè)與防護(hù)，他們存在以下的劣勢：

　　(1)總體相對來說比較宏觀，顆粒度比較粗，企事業(yè)單位依據(jù)此無法在操作層面上落地安全的相關(guān)措施;

　　(2)沒有針對如何防御安全問題及漏洞的方法、技術(shù)進(jìn)行闡述和說明;

　　(3)未劃分軟件安全點(diǎn)的優(yōu)先級，對于軟件安全等級及軟件安全點(diǎn)的檢查和評審方式比較傳統(tǒng)，缺乏技術(shù)手段的指導(dǎo);

　　(4)未考慮從軟件的整個(gè)生命周期(規(guī)劃、需求、設(shè)計(jì)、實(shí)現(xiàn)、測試、部署、運(yùn)維)來進(jìn)行軟件安全防御及標(biāo)準(zhǔn)設(shè)定。

　　綜合以上分析，我們亟需建立一套更全面、更有指導(dǎo)意義、更能適合我國企事業(yè)單位特點(diǎn)及信息發(fā)展趨勢、更能有效落地的軟件安全的標(biāo)準(zhǔn)體系。

　　3 軟件安全標(biāo)準(zhǔn)新型框架

　　結(jié)合不同行業(yè)的軟件安全標(biāo)準(zhǔn)與相關(guān)要素，分析認(rèn)為在新時(shí)期所建立的軟件安全標(biāo)準(zhǔn)體系應(yīng)該充分立足已有行業(yè)規(guī)范、充分利用已有安全工具技術(shù)、注重全生命周期的進(jìn)行軟件安全能力構(gòu)造。圖1為軟件安全新型框架的總體概覽圖。

　　該框架的總體結(jié)構(gòu)可以概括為：“四域四能三維五層”。

　　四域：四個(gè)過程域。第一個(gè)過程域?yàn)檐浖踩能浖a(chǎn)過程，這是核心過程域。其他三個(gè)過程域?yàn)檐浖踩牧鞒膛c制度要求、軟件安全工具與軟件安全技術(shù)、軟件安全的過程保障三個(gè)支持域。

　　四能：四種關(guān)鍵業(yè)務(wù)功能，也就是軟件的生命周期過程概括：構(gòu)造、確認(rèn)、部署和運(yùn)維。

　　三維：每個(gè)業(yè)務(wù)功能有三種維度的軟件安全措施來進(jìn)行保障。

　　五層：軟件生命過程中的軟件安全標(biāo)準(zhǔn)和軟件安全措施，都要充分考慮到五個(gè)層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

　　研究認(rèn)為，我國的信息安全環(huán)境建設(shè)，必須從國產(chǎn)軟件規(guī)劃、設(shè)計(jì)、研制等早期過程著眼。軟件生產(chǎn)過程要端到端建立軟件安全的規(guī)范與標(biāo)準(zhǔn)，而生產(chǎn)過程間的協(xié)同、流轉(zhuǎn)與管理通過軟件安全的流程與制度過程域來做出要求和規(guī)范;在執(zhí)行過程中要充分利用好軟件安全的技術(shù)和軟件安全工具，通過軟件安全工具與軟件安全技術(shù)過程域來指導(dǎo)支持;如何保證標(biāo)準(zhǔn)和流程真正落地，就需要軟件安全的過程保障過程域了，這個(gè)過程域要解決軟件安全的等級評估以便企業(yè)規(guī)劃自己的軟件安全戰(zhàn)略發(fā)展路線，還要做一下軟件安全的教育和與指導(dǎo)以便執(zhí)行者接受和創(chuàng)建軟件安全，而執(zhí)行過程中要強(qiáng)化軟件安全的治理與監(jiān)督也很重要，最后不同類型的企業(yè)應(yīng)當(dāng)有軟件安全標(biāo)準(zhǔn)的裁剪，不是每個(gè)企業(yè)都追求大而全，而重視有效實(shí)用及性價(jià)比。

　　4 國產(chǎn)軟件安全能力實(shí)現(xiàn)

　　下述從四個(gè)過程域角度，總結(jié)歸納適合我國國產(chǎn)軟件能力實(shí)現(xiàn)的四個(gè)過程域。

　　4.1 構(gòu)造階段

　　構(gòu)造階段主要指軟件的架構(gòu)規(guī)劃與需求階段，在該階段需要考慮架構(gòu)中引入軟件安全架構(gòu)的設(shè)計(jì)，在需求中體現(xiàn)在非功能需求部分的軟件安全需求的說明。同時(shí)要針對軟件產(chǎn)品/系統(tǒng)的特點(diǎn)，結(jié)合歷史軟件安全事件經(jīng)驗(yàn)，對軟件安全威脅進(jìn)行綜合評估。在評估基礎(chǔ)上形成軟件安全架構(gòu)和軟件安全需求，有針對性在軟件中規(guī)劃軟件安全。所以該階段的軟件安全措施三種：威脅評估、軟件安全需求、軟件安全架構(gòu)。每種軟件安全措施必須都考慮到五個(gè)層次的軟件安全：物理軟件安全、網(wǎng)絡(luò)軟件安全、設(shè)備軟件安全、數(shù)據(jù)軟件安全和應(yīng)用軟件安全。

　　推薦閱讀：軟件和集成電路計(jì)算機(jī)工程師論文投稿