軟件安全：危險(xiǎn)無(wú)處不在 損失觸目驚心

來(lái)源：中國(guó)發(fā)展網(wǎng)

因?yàn)槊绹?guó)制裁華為，如今幾乎所有人都知道了芯片的重要性。

許多人不知道的是，軟件安全的重要，先進(jìn)裝備制造的軟件安全關(guān)乎重大，飛機(jī)、高鐵、核電站、工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈，智慧城市、醫(yī)療設(shè)備等等，任何一個(gè)重要環(huán)節(jié)的軟件安全出了問(wèn)題，后果都極其嚴(yán)重，這絕非危言聳聽(tīng)。

用北京航天航空大學(xué)軟件安全專(zhuān)家殷永峰副教授的話(huà)說(shuō)：“隨著先進(jìn)裝備的軟件化程度不斷提升，由軟件缺陷和漏洞引發(fā)的安全問(wèn)題日益凸顯，必須引起高度重視，加快軟件安全檢測(cè)國(guó)家標(biāo)準(zhǔn)的制定。

中國(guó)產(chǎn)業(yè)發(fā)展研究院近日就軟件安全問(wèn)題專(zhuān)訪(fǎng)了北航軟件安全專(zhuān)家殷永峰副教授。

軟件安全無(wú)小事

殷永峰首先例舉了因?yàn)檐浖l(fā)的重大事故：

2019年波音開(kāi)發(fā)的“星際客機(jī)”因軟件缺陷發(fā)射失敗；

2018年、2019年波音737MAX飛機(jī)因MACS系統(tǒng)因軟件缺陷先后2次墜機(jī)，導(dǎo)致346人遇難；

圖說(shuō)：2018、2019年波音787飛機(jī)因MACS系統(tǒng)因軟件

缺陷先后2次墜機(jī)，導(dǎo)致346人遇難。

2016年日本X射線(xiàn)空間衛(wèi)星因底層軟件錯(cuò)誤失控；

1999年，大力神-4B運(yùn)載火箭因軟件缺陷，導(dǎo)致火箭過(guò)早分離，將衛(wèi)星送入無(wú)用軌道，任務(wù)失敗；

圖說(shuō)：1999年，大力神-4B運(yùn)載火箭因軟件缺陷，導(dǎo)致

火箭過(guò)早分離，將衛(wèi)星送入無(wú)用軌道，任務(wù)失敗。

2018年醫(yī)療管理軟件OpenEMR暴露22個(gè)安全漏洞。

加拿大輻射治療機(jī)器Therac-25由于軟件缺陷導(dǎo)致6人死亡；

圖說(shuō)：加拿大輻射治療機(jī)器Therac-25由于軟件缺陷導(dǎo)致6人死亡。

2019年韓國(guó)數(shù)字貨幣交易所因安全漏洞被竊；

2014年比特幣交易所Mt.Gox因受到黑客攻擊倒閉；

2007年10月30日，奧運(yùn)門(mén)票第二階段預(yù)售首日，網(wǎng)站瞬間訪(fǎng)問(wèn)量巨大，軟件缺陷導(dǎo)致系統(tǒng)癱瘓；

2011年8月，國(guó)務(wù)院“7·23”甬溫線(xiàn)特別重大事故調(diào)查組全體會(huì)議，時(shí)任安監(jiān)總局局長(zhǎng)駱琳表示，造成事故的原因既有軟件設(shè)計(jì)問(wèn)題，也有管理問(wèn)題。

圖說(shuō)：2011年8月，國(guó)務(wù)院“7·23”甬溫線(xiàn)特別重大事故，軟件設(shè)計(jì)問(wèn)題是事故原因之一。

上述事故每一起都是災(zāi)難性的，所造成的生命和財(cái)產(chǎn)損失堪稱(chēng)巨大，觸目驚心。殷永峰強(qiáng)調(diào)，軟件安全無(wú)小事，其重要性可見(jiàn)一斑。

殷永峰說(shuō)，軟件安全性已成為決定新一代工業(yè)裝備系統(tǒng)質(zhì)量的核心要素和制約瓶頸所在。

隨著新基建的全面鋪開(kāi)，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、區(qū)塊鏈、智能制造等技術(shù)和應(yīng)用不斷提升，軟件安全的重要性也日益凸顯。

殷永峰說(shuō)，軟件安全的定義為：受控裝備和受控裝備控制系統(tǒng)整體安全相關(guān)部分的屬性，其取決于電氣/電子/可編程系統(tǒng)功能的正確性和其它風(fēng)險(xiǎn)降低措施。軟件安全的目標(biāo)為：保證安全相關(guān)系統(tǒng)的安全可靠、當(dāng)系統(tǒng)發(fā)生故障（包括軟件故障）或錯(cuò)誤時(shí)，安全相關(guān)系統(tǒng)會(huì)采取預(yù)先設(shè)定的措施，保證故障不會(huì)引發(fā)人員傷亡、環(huán)境破壞以及設(shè)備財(cái)產(chǎn)損失。

強(qiáng)化標(biāo)準(zhǔn) 認(rèn)證 執(zhí)行

為什么要強(qiáng)調(diào)先進(jìn)裝備軟件安全性研究的必要性？

殷永峰說(shuō)，軟件安全性是國(guó)內(nèi)工業(yè)裝備系統(tǒng)研制的強(qiáng)制標(biāo)準(zhǔn)要求，但是目前的問(wèn)題是，由于缺乏規(guī)范化、體系化、實(shí)施性高的軟件安全測(cè)評(píng)監(jiān)督與認(rèn)證體系，未形成成熟公認(rèn)的軟件安全測(cè)評(píng)管理辦法和認(rèn)證機(jī)制，導(dǎo)致國(guó)內(nèi)軟件功能安全標(biāo)準(zhǔn)自主化程度低，影響力弱，標(biāo)準(zhǔn)的執(zhí)行情況差異明顯，缺乏影響力和約束力。

此外，多數(shù)標(biāo)準(zhǔn)等同采用或者部分采用國(guó)外對(duì)應(yīng)的標(biāo)準(zhǔn)規(guī)范，對(duì)于軟件研制單位、測(cè)評(píng)單位則缺少約束性，這也導(dǎo)致國(guó)內(nèi)安全測(cè)評(píng)監(jiān)督缺乏權(quán)威性和實(shí)用性。

先進(jìn)裝備軟件信息安全現(xiàn)狀不容忽視

關(guān)鍵信息基礎(chǔ)設(shè)施等重要單位防護(hù)能力顯著增強(qiáng)，但 DDoS 攻擊呈現(xiàn)高發(fā)頻發(fā)態(tài)勢(shì)，攻擊組織性和目的性更加凸顯。

重大安全漏洞應(yīng)對(duì)能力不斷強(qiáng)化，但事件型漏洞和高危零日漏洞數(shù)量上升，信息系統(tǒng)面臨的漏洞威脅形勢(shì)更加嚴(yán)峻。

惡意程序增量首次下降，但“灰色”應(yīng)用程序大量出現(xiàn)，針對(duì)重要行業(yè)安全威脅更加明顯。

APT 攻擊監(jiān)測(cè)與應(yīng)急處置力度加大，釣魚(yú)郵件防范意識(shí)繼續(xù)提升，但 APT 攻擊逐步向各重要行業(yè)領(lǐng)域滲透，在重大活動(dòng)和敏感時(shí)期更加猖獗。

數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警防護(hù)能力提升，但數(shù)據(jù)安全防護(hù)意識(shí)依然薄弱，大規(guī)模數(shù)據(jù)泄露事件頻發(fā)。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全國(guó)家頂層設(shè)計(jì)進(jìn)一步完善，但工業(yè)控制系統(tǒng)產(chǎn)品安全問(wèn)題依然突出，新技術(shù)應(yīng)用帶來(lái)新安全隱患更加嚴(yán)峻。

先進(jìn)裝備軟件信息安防對(duì)策

殷永峰說(shuō)，首先必須強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，提升數(shù)據(jù)安全管理和個(gè)人信息保護(hù)力度。

加快完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)法律法規(guī)，落實(shí)運(yùn)營(yíng)單位主體責(zé)任和保護(hù)部門(mén)的監(jiān)管責(zé)任，統(tǒng)籌開(kāi)展網(wǎng)絡(luò)安全檢查，強(qiáng)化網(wǎng)絡(luò)安全態(tài)勢(shì)感知，監(jiān)測(cè)預(yù)警和應(yīng)急處理能力建設(shè)，提升抵御網(wǎng)絡(luò)攻擊威脅的能力，構(gòu)建我國(guó)網(wǎng)絡(luò)空間安全一體化防護(hù)體系。

提高全社會(huì)加強(qiáng)數(shù)據(jù)安全管理和個(gè)人信息保護(hù)意識(shí)，推動(dòng)收集重要數(shù)據(jù)和個(gè)人信息的備案制度盡快落地，明確監(jiān)管范圍，建立通報(bào)體系，配備激勵(lì)機(jī)制。

建立個(gè)人信息和重要數(shù)據(jù)安全監(jiān)管技術(shù)體系，個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估，常態(tài)化開(kāi)展數(shù)據(jù)安全檢查評(píng)估，落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者主體責(zé)任。

推進(jìn)軟件安防新技術(shù)應(yīng)用

工業(yè)裝備系統(tǒng)軟件呈現(xiàn)出信息化、智能化、綜合化等新型特征，并且工業(yè)裝備系統(tǒng)關(guān)鍵軟件的功能正確性和安全性要求也日益提升，因此，在軟件安全中引入模型驅(qū)動(dòng)、知識(shí)工程、人工智能、形式化等先進(jìn)技術(shù)，已經(jīng)成為工業(yè)裝備系統(tǒng)軟件安全性技術(shù)研究和工程應(yīng)用的必然趨勢(shì)和迫切需求，以滿(mǎn)足軟件高安全高可靠的研制要求。

殷永峰強(qiáng)調(diào)，必須加快網(wǎng)絡(luò)安全核心技術(shù)創(chuàng)新突破，壯大產(chǎn)業(yè)規(guī)模和人才隊(duì)伍，擴(kuò)大國(guó)際合作。加強(qiáng)網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)，開(kāi)展網(wǎng)絡(luò)安全未知威脅檢測(cè)技術(shù)研究，利用機(jī)器學(xué)習(xí)、人工智能等新技術(shù)，提升海量流量中高級(jí)威脅線(xiàn)索發(fā)現(xiàn)水平，構(gòu)建網(wǎng)絡(luò)攻擊實(shí)時(shí)防御技術(shù)，確保受到網(wǎng)絡(luò)攻擊時(shí)能第一時(shí)間高效處理。

進(jìn)一步優(yōu)化網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)的規(guī)劃和整體布局，完善支持網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)發(fā)展的政策措施。同時(shí)，抓好網(wǎng)絡(luò)安全人才培養(yǎng)，形成人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良好生態(tài)。

進(jìn)一步擴(kuò)大并深化網(wǎng)絡(luò)安全國(guó)際合作。強(qiáng)化在網(wǎng)絡(luò)安全技術(shù)、經(jīng)驗(yàn)、標(biāo)準(zhǔn)等方面的國(guó)際合作，構(gòu)建開(kāi)放合作的網(wǎng)絡(luò)安全應(yīng)急國(guó)際合作模式。產(chǎn)業(yè)觀察員 海霞播報(bào)