美國開源網路安全

A. 軟體供應鏈安全及防護工具研究

文 中國信息通信研究院雲計算與大數據研究所雲計算部工程師 吳江偉

隨著 5G、雲計算、人工智慧、大數據、區塊鏈等技術的日新月異，數字化轉型進程逐步推進，軟體已經成為日常生產生活必備要素之一，滲透到各個行業和領域。容器、中間件、微服務等技術的演進推動軟體行業快速發展核嫌，同時帶來軟體設計開發復雜度不斷提升，軟體供應鏈也愈發復雜，全鏈路安全防護難度不斷加大。近年來，軟體供應鏈安全事件頻發，對於用戶隱私、財產安全乃至國家安全造成重大威脅，自動化安全工具是進行軟體供應鏈安全防禦的必要方式之一，針對軟體供應鏈安全及工具進行研究意義重大，對於維護國家網路空間安全，保護用戶隱私、財產安全作用深遠。

一、軟體供應鏈安全綜述

軟體供應鏈定義由傳統供應鏈的概念延伸擴展而來。備睜業界普遍認為，軟體供應鏈指一個通過一級或多級軟體設計、開發階段編寫軟體，並通過軟體交付渠道將軟體從軟體供應商送往軟體用戶的系統。軟體供應鏈安全指軟體供應鏈上軟體設計與開發的各個階段中來自本身的編碼過程、工具、設備或供應鏈上游的代碼、模塊和服務的安全，以及軟體交付渠道安全的總和。軟體供應鏈攻擊具有低成本、高效率的特點，根據其定義可知，相比傳統針對軟體自身安全漏洞的攻擊，針對軟體供應鏈，受攻擊面由軟體自身擴展為了軟體自身內部的所有代碼、模塊和服務及與這些模塊、服務相關的供應鏈上游供應商的編碼過程、開發工具、設備，顯著降低了攻擊者的攻擊難度。同時，軟體設計和開發所產生的任何安全問題都會直接影響供應鏈中所有下游軟體的安全，擴大了攻擊所造成的影響。

近年來，軟體自身安全防禦力度不斷加大，攻擊者把攻擊目標由目標軟體轉移到軟體供應鏈最薄弱的環節，軟體供應鏈安全事件頻發，對用戶隱私及財產安全乃至國家安全造成重大威脅。最典型的如 2020 年 12 月，美國網路安全管理軟體供應商「太陽風」公司（SolarWinds）遭遇國家級 APT 組織高度復雜的供應鏈攻擊，直接導致包括美國關鍵基礎設施、軍隊、政府等在內的超過 18000 家客戶全部受到影響，可任由攻擊者完全操控。

軟體供應鏈安全影響重大，各國高度重視，紛紛推行政策法規推動軟體供應鏈安全保護工作。2021 年 5 月 12 日，美國總統拜登簽署發布《改善國家網路安全行政令》，明確提出改善軟體供應鏈安全，要求為出售給政府的軟體開發建立基線安全標准，不僅提供應用程序，而且還必須提供軟體物料清單，提升組成該應用程序組件的透明度，構建更有彈性且安全的軟體供應鏈環境，確保美國的國家安全。同年 7 月，美國國家標准與技術所（NIST）發布《開發者軟體驗證最低標准指南》，為加強軟體供應鏈安全加碼，明確提出關於軟體驗證的 11 條建議，包括一致性自動化測試，將手動測試最少化，利用靜態代碼掃描查找重要漏洞，解決被包含代碼（庫、程序包、服務）等。

我國對軟體供應鏈安全問題也給予了高度重視，2017 年 6 月，我國發布實施《網路產改滾手品和服務安全審查辦法》，將軟體產品測試、交付、技術支持過程中的供應鏈安全風險作為重點審查內容。2019 年12 月 1 日，《信息安全技術 網路安全等級保護基本要求》2.0 版本正式實施，在通用要求及雲計算擴展部分明確要求服務供應商選擇及供應鏈管理。

二、軟體供應鏈安全挑戰

目前，軟體供應鏈安全受到高度重視，但仍面臨多重現實挑戰，可以總結分為以下五大類。

1. 軟體設計開發復雜化成為必然趨勢

隨著容器、中間件、微服務等新技術的演進，軟體行業快速發展，軟體功能及性能需求也不斷提升，軟體設計開發復雜化已經成為必然趨勢。這一現狀同時帶來了軟體設計、開發及維護難度陡增，設計與開發過程不可避免的產生安全漏洞，為軟體供應鏈安全埋下隱患。

2. 開源成為主流開發模式

當前，開源已經成為主流開發模式之一，軟體的源代碼大多數是混源代碼，由企業自主開發的源代碼和開源代碼共同組成。根據新思 科技 《2021 年開源安全和風險分析》報告顯示，近 5 年，開源代碼在應用程序中所佔比例由 40% 增至超過 70%。開源的引入加快了軟體的研發效率，但同時也將開源軟體的安全問題引入了軟體供應鏈，導致軟體供應鏈安全問題多元化。

3. 快速交付位於第一優先順序

由於業界競爭環境激烈，相較於安全，功能快速實現，軟體快速交付仍處於第一優先順序，雖然軟體通常實現了安全的基本功能需求，如身份認證鑒權、加解密、日誌安全審計等，但整體安全防護機制相對滯後，以後期防護為主，前期自身安全性同步建設往往被忽視，軟體自身代碼安全漏洞前期清除存在短板。

4. 軟體交付機制面臨安全隱患

軟體交付指軟體由軟體供應商轉移到軟體用戶的過程。傳統軟體交付以光碟等存儲設備為載體，隨著互聯網等技術的發展，通過網路對於軟體進行快速分發已經成為基本模式，不安全的分發渠道同樣會對軟體供應鏈安全產生重大影響。

5. 使用時軟體補丁網站攻擊

針對軟體供應鏈安全防護，軟體的生命周期並非結束於軟體交付之後，而是直到軟體停用下線。軟體在設計及開發過程中難免存在安全缺陷，通過補丁下發部署是修復軟體缺陷漏洞的最通用方式。軟體補丁的下發部署同樣受分發渠道影響，受污染的補丁下載站點同樣會造成軟體供應鏈安全問題。

三、軟體供應鏈安全防護工具

軟體供應鏈安全涉及眾多元素及環節，參考業界常見劃分，軟體供應鏈環節可抽象成開發環節、交付環節、使用環節三部分。針對交付環節及使用環節安全防護，主要通過確保分發站點及傳輸渠道安全。開發環節與軟體源代碼緊密相關，安全防護較為復雜，囊括編碼過程、工具、設備及供應鏈上游的代碼、模塊和服務的安全，涉及四類安全工具，包括軟體生產過程中的工具和軟體供應鏈管理工具。

1. 靜態應用程序安全測試工具

靜態應用程序安全測試（SAST）是指不運行被測程序本身，僅通過分析或者檢查源程序的語法、結構、過程、介面等來檢查程序的正確性。源代碼靜態分析技術的發展與編譯技術和計算機硬體設備的進步息息相關，源代碼安全分析技術多是在編譯技術或程序驗證技術的基礎上提出的，利用此類技術能夠自動地發現代碼中的安全缺陷和違背安全規則的情況。目前，主流分析技術包括：（1）詞法分析技術，只對代碼的文本或 Token 流與已知歸納好的缺陷模式進行相似匹配，不深入分析代碼的語義和代碼上下文。詞法分析檢測效率較高，但是只能找到簡單的缺陷，並且誤報率較高。（2）抽象解釋技術，用於證明某段代碼沒有錯誤，但不保證報告錯誤的真實性。該技術的基本原理是將程序變數的值映射到更加簡單的抽象域上並模擬程序的執行情況。因此，該技術的精度和性能取決於抽象域對真實程序值域的近似情況。（3）程序模擬技術，模擬程序執行得到所有執行狀態，分析結果較為精確，主要用於查找邏輯復雜和觸發條件苛刻的缺陷，但性能提高難度大。主要包括模型檢查和符號執行兩種技術，模型檢查將軟體構造為狀態機或者有向圖等抽象模型，並使用模態/時序邏輯公式等形式化的表達式來描述安全屬性，對模型遍歷驗證這些屬性是否滿足；符號執行使用符號值表示程序變數值，並模擬程序的執行來查找滿足漏洞檢測規則的情況。（4）定理證明技術，將程序錯誤的前提和程序本身描述成一組邏輯表達式，然後基於可滿足性理論並利用約束求解器求得可能導致程序錯誤的執行路徑。該方法較為靈活性，能夠使用邏輯公式方便地描述軟體缺陷，並可根據分析性能和精度的不同要求調整約束條件，對於大型工業級軟體的分析較為有效。（5）數據流分析技術，基於控制流圖，按照某種方式掃面控制流圖的每一條指令，試圖理解指令行為，以此判斷程序中存在的威脅漏洞。數據流分析的通用方法是在控制流圖上定義一組方程並迭代求解，一般分為正向傳播和逆向傳播，正向傳播就是沿著控制流路徑，狀態向前傳遞，前驅塊的值傳到後繼塊；逆向傳播就是逆著控制流路徑，後繼塊的值反向傳給前驅塊。

2. 動態應用程序安全測試工具

動態應用程序安全測試（DAST）技術在測試或運行階段分析應用程序的動態運行狀態。它模擬黑客行為對應用程序進行動態攻擊，分析應用程序的反應，從而確定該應用是否易受攻擊。以 Web 網站測試為例對動態應用程序安全測試進行介紹，主要包括三個方面的內容：（1）信息收集。測試開始前，收集待測試網站的全部 URL，包括靜態資源和動態介面等，每一條 URL 需要包含路徑和完整的參數信息。（2）測試過程。測試人員將測試所需的 URL列表導入到測試工具中。測試工具提供「檢測風險項」的選擇列表，測試人員可根據測試計劃選擇不同的風險檢測項。測試工具在測試過程中，對訪問目標網站的速度進行控制，保證目標網站不會因為同一時刻的請求數過高，導致網站響應變慢或崩潰。測試人員在設定測試任務的基本信息時，根據目標網站的性能情況填入「每秒請求數」的最大值。測試工具在測試過程中保證每秒發送請求的總數不超過該數值。（3）測試報告。在安全測試各步驟都完成後，輸出測試報告。測試報告一般包含總覽頁面，內容包括根據測試過程產生的各種數據，輸出目標網站安全性的概要性結論；測試過程發現的總漏洞數，以及按照不同安全等級維度進行統計的漏洞數據。

3. 互動式應用程序安全測試工具

互動式應用程序安全測試（IAST）通過插樁技術，基於請求及運行時上下文綜合分析，高效、准確地識別安全缺陷及漏洞，確定安全缺陷及漏洞所在的代碼位置，主要在三方面做工作：流量採集、Agent監控、交互掃描。（1）流量採集，指採集應用程序測試過程中的 HTTP/HTTPS 請求流量，採集可以通過代理層或者服務端 Agent。採集到的流量是測試人員提交的帶有授權信息有效數據，能夠最大程度避免傳統掃描中因為測試目標許可權問題、多步驟問題導致掃描無效；同時，流量採集可以省去爬蟲功能，避免測試目標爬蟲無法爬取到導致的掃描漏水問題。（2）Agent 監控，指部署在 Web 服務端的 Agent 程序，一般是 Web 服務編程語言的擴展程序，Agent通過擴展程序監控 Web 應用程序性運行時的函數執行，包括 SQL 查詢函數、命令執行函數、代碼執行函數、反序列化函數、文件操作函數、網路操作函數，以及 XML 解析函數等有可能觸發漏洞利用的敏感函數。（3）交互掃描，指 Web 應用漏洞掃描器通過Agent 監控輔助，只需要重放少量採集到的請求流量，且重放時附帶掃描器標記，即可完成對 Web 應用程序漏洞的檢測。例如，在檢測 SQL 注入漏洞時，單個參數檢測，知名開源 SQL 注入檢測程序 SQLMAP需要發送上千個 HTTP 請求數據包；交互掃描只需要重放一個請求，附帶上掃描器標記，Agent 監控SQL 查詢函數中的掃描器標記，即可判斷是否存在漏洞，大大減少了掃描發包量。

4. 軟體組成分析軟體組成分析

（SCA）主要針對開源組件，通過掃描識別開源組件，獲取組件安全漏洞信息、許可證等信息，避免安全與法律法規風險。現有的開源組成掃描技術分為五種。（1）通過進行源代碼片段式比對來識別組件並識別許可證類型。（2）對文件級別提取哈希值，進行文件級哈希值比對，若全部文件哈希值全部匹配成功則開源組件被識別。（3）通過掃描包配置文件讀取信息，進行組件識別從而識別組件並識別許可證類型。（4）對開源項目的文件目錄和結構進行解析，分析開源組件路徑和開源組件依賴。（5）通過編譯開源項目並對編譯後的開源項目進行依賴分析，這種方式可以識別用在開源項目中的開源組件信息。

四、軟體供應鏈安全研究建議

1. 發展軟體安全工具相關技術

軟體供應鏈安全防護的落地離不開安全工具的發展使用。大力發展軟體安全工具技術，解決安全開發難點需求，進行安全前置，實現安全保護措施與軟體設計、開發同步推進。

2. 提升軟體供應鏈安全事件的防護、檢測和響應能力

軟體供應鏈安全防護需要事前、事中、事後的全方位安全防禦體系。軟體供應鏈安全攻擊事件具有隱蔽性高、傳播性強、影響程度深的特點，軟體供應鏈作為一個復雜、龐大的系統，難免存在脆弱節點，應提升對軟體供應鏈安全攻擊事件的防護、檢測和響應能力，避免安全事件造成重大影響。

3. 構建完善軟體供應鏈安全相關標准體系

通過科研院所及標准機構完善軟體供應鏈安全標准體系，普及軟體供應鏈安全防範意識，提升企業組織對軟體供應鏈安全的重視程度，進行軟體供應鏈安全投入，推進安全建設工作落實。

4. 建立軟體供應鏈安全可信生態

實現軟體供應鏈安全需要各領域企業的共同努力。企業共建安全可信生態將滿足不同用戶、不同行業、不同場景的安全可信需求，提升業界整體軟體供應鏈安全水平。

（本文刊登於《中國信息安全》雜志2021年第10期）

B. nmap--網路探測和安全審核工具

它曾經在電影《黑客帝國》中出現過，是黑客和網路安全人員經常用到的工具.
nmap是一個開源免費的網路發現工具，通過它能夠找出網路上在線的主機，並測試主機上哪些埠處於監聽狀態，接著通過埠確定主機上運行的應用程序類型與版本信息，最後利用它還能偵測出操作系統的類型和版本。

一、nmap基本功能與結構
主要有如下四個基本功能：

如果希望了解目標主機更多的信息，可以通過完全掃描的方式實現，nmap命令內置了「-A」選項，可以實現對目標主機進行主機發現、埠掃描、應用程序與版本偵測、操作系統識別等完整全面的掃描，命令形式如下：

其中，

主機發現主要用來判斷目標主機是否在線，其掃描原理類似於ping命令，通過發送探測數據包到目標主機，如果能收到回復，那麼認為目標主機處於在線狀態。nmap支持多種不同的主機探測方法，例如發送TCP SYN/ACK包、發送SCTP包、主機發現主要用來判斷目標主機是否在線，其掃描原理類似於ping命令，通過發送探測數據包到目標主機，如果能收到回復，那麼認為目標主機處於在線狀態。nmap支持多種不同的主機探測方法，例如發送TCP SYN/ACK包、發送SCTP包、

埠掃描是nmap最核心的功能，通過埠掃描可以發現目標主機上TCP、UDP埠的開放情況。nmap在默認狀態下會掃描1000個最有可能開放的埠，並將偵測到的埠狀態分為6類，分別是：

C. 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

D. 國產電腦系統大突破，打破美國壟斷，保障網路安全，將不怕斷供

電腦操作系統有多重要？

它是計算機系統軟體的核心，是保障國家網路安全與信息系統安全的最重要軟體和最重要屏障。

眾所周知，電腦操作系統是美國微軟一家獨大，完全是處於壟斷地位。

據statcounter統計，截至2021年2月，我國電腦90%安裝了微軟windows系統，其中有近一半是Windows7。

如果是國家單位，一方面必須注意安全，杜絕信息泄露，因為誰也不知道美國操作系統有沒有後面，對敏感部門必須換成國產系統或電腦。另一方面就是美國斷供，如果斷供，國產操作系統頂不上去就會出問題。

可能有人會說，我們百姓用盜版也可以啊，其實也不行，所謂的盜版只是微軟為了打擊我國自主操作系統的策略，或者是陰謀，如果想讓你死機一點不難，因為除了軟體，三大件多半是美國貨，尤其是CPU全球就兩家，完全也是壟斷。

所以說，為了國家安全，我們的國產操作系統必須推出，我們不能再把信息和隱私暴露給美國人。

雖然我國也有不少操作系統，但是面對微軟的強勢和巨大投入完全沒有抵抗之力。比如上世紀90年代由中國科學院軟體研究所以美國Linux為基礎，開發 「紅旗Linux」系統 、2013年中國CCN聯合實驗室支持和主導的 「優麒麟」操作系統 、還有2010年的 「中標麒麟」操作系統 、上海中標軟體有限公司的 「中標普華」系統 、國防 科技 大學、聯想公司、中標公司、浪潮集團和民族恆星公司合作研製了操作系統 「銀河麒麟」操作系統 、 基礎軟體國家工程研究中心開發的「 中科方德」操作系統 等等。

看起來很多，但是大多數都是基於美國Linux為基礎開發的，並不安全。基礎系統開發者可以隨便進去你的電腦查看你的數據，比如查看你鍵盤記錄，並整理成數據傳回美國，然後清理侵入痕跡，這其實就是美國的 麻雀鷹和磁通線網路武器。

所以說，國產電腦操作系統的核心技術其實全部屬於美國，保證不了我們國家的網路安全。

我們不會忘記，2018年4月16日 ， 美國政府表示將在未來7年內禁止中興向美國企業購買敏感產品；2019年5月15日，美國總統宣布進入「緊急狀態」，開始打壓我國華為，隨後，將華為等70家我國 科技 企業劃入美國「實體清單」。

這等於美國全面打響了對我國 科技 封鎖的 科技 戰爭，目的也很明確，但是有些網友只看到華為受難，卻看不見美國舉起的是斬斷我國 科技 興國戰略的屠刀，而最重要的信息處理工具，電腦操作系統全是美國的。所以我們在我國的努力下，全國30多家 科技 企業成立 「同心生態聯盟」。

去年12月，統信軟體在「2020統信UOS生態大會」上發起成立「同心生態聯盟」，與首批30家成員單位共同攜手啟動聯盟，其中包括華為、中興、金山等企業。

特別是華為的加盟也讓我們知道，我國必將打造一個屬於我們自己的國家的 「 統信UOS操作系統」 ， 將來和微軟競爭。

據 統計 ，統信軟體已拓展了數十個國家重要單位和近50家金融機構用戶以及其他行業用戶，在 國內特使 市場上統信UOS獲得70%多的市場佔有率。目前， 在全球擁有20萬注冊用戶，8個海外社區。 統信UOS社區版 已累計發布了40個版本，貢獻開源代碼超過1000萬行，累計下載量超過8000萬次，擁有遍及6大洲42個國家的135個鏡像站點，可以為全球社區提供貢獻和服務。

可見， 「 統信UOS操作系統」 已經取得了不俗的成績，再加上 「同心生態聯盟」的加特，生態必將越來越豐富，就如華為的鴻蒙手機操作系統一樣，星星之火，終將燎原於國內市場，完全打破美國微軟的壟斷。

不可否認， 「 統信UOS操作系統」也是基於Linux開發，但是它的安全策略讓程序開發者無法隨便獲取信息，除非是特殊用戶；還有 開發者簽名、商店簽名、企業簽名，保證軟體安全；軟硬結合，互相捆綁簽名校驗等手段，完全杜絕國外的窺視手段，形成安全屏障，保障我們網路安全，就算美國斷供也不怕。

@傳動辦公室 認為，隨著 「 統信UOS操作系統」的發展，很快會取得大的成功，以前是統信一家努力，現在是 「同心生態聯盟」一起奮斗，成功幾率就大了很多，將來必定打破美國微軟一家獨大的壟斷局面。

E. 網路安全認證目前最有權威的認證呢

目前，網路安全技術認證的種類大致有以下幾類：一是以網路安全管理為主的認證，如英國標准化協會推出的關於ISO13355和ISO17799管理安全培訓，它主要面向企業的領導和管理人員；二是以網路安全技術的理論和技術為主的認證，它較為偏重於知識的認證，如美國CIW的網路安全專家（Security）認證、美國GuardedNetwork公司推出的網路安全認證等；三是以專業廠商的產品技術為主的技術認證，如賽門鐵克（Symantec）、Check-point、CA等公司提供的結合本公司產品的一些技術認證。這些項目的特點是實踐性比較強；四是與具體的網路系統相關的安全技術認證，如微軟的ISA認證課程、思科（Cisco）的路由器及防火牆認證課程，這些課程必須結合其系統及系統技術一起學習，才能夠比較容易地掌握。

如何選擇網路安全技術認證方面的考試呢？對此，業內人士認為，選擇認證項目不僅要考慮本人的職業方向，還應注意認證技術的適用性。例如，以區域網為主的工作環境，需要偏重於防病毒、訪問控制等方面的技術培訓和認證；以互聯網為主的工作環境，則需要參加防火牆入侵檢測等方面的技術認證培訓。這里還需要特別提醒一點的是，有關國家安全的涉密單位要採用的安全設備和技術必須是自主開發的，而且必須擁有自己的知識產權，在這種環境下工作的人員較適合參加國內自主開發的認證項目。另據業內人士預測，隨著網路安全問題的日益突出，網路安全技術的培訓認證信碼「水漲船高」，成為目前IT認證市場上的熱門培訓項目，與此同時，網路系統工程師的培訓內容也正在向網路安全技術的方向漸漸「靠攏」。

當前的培訓市場上，網路安全技術方面的認證主要是美國ProsoftTraining公司在全球范圍內推廣的「CIW網路安全專家」認證，CIW是CertifiedInternetWebmaster的簡寫，它是目前惟一面對互聯網路專業人員的國際性權威認證，是目前全球發展最快的與具體的IT產品無關的中立的認證培訓項目，它是全面介紹網路安全知識和實施安全策略的培訓認證項目，也是目前國內網路安全領域最具權威的國際認證之一。作為CIW培訓中的重點課程，「CIW網路安全專家」已經被IBM、Intel、hp等眾多世界著名IT公司納入到本企業員工的重要培訓之中。它也是我們國內網路安全領域最具權威性的培訓認證，在系統集成、網站建設、國家安全、銀行、電力、交通等重要安全部門或領域中，CIW網路認證安全專家都賦予了企業、單位以關鍵性的安全保證。

網源州絡安全和防火牆（NetworkSecurityandFirewalls）：該課程主要教授學習者通過非授權的活動來提高安全性。學習者將能學習到如何建立一個有效的安全滑裂哪機制，並了解不同類型的黑客活動、黑客的構思范圍，從而防止黑客侵入。學習者還將學習驗證黑客攻擊的過程、安全加密的標准與實施、黑客容易操作的埠與協議的查找、如何對黑客入侵進行預防檢測以及做出反應或報告的方法。

操作系統安全（OperatingSystemSecurity）：該課程主要是教授學習者了解安全規則是什麼，如何在不同設置下正確地保護WindowsNT和Linux伺服器。學習者將學習到的具體知識和技能主要有如何使WindowsNT和Linux系統免於受到黑客攻擊，如何重新配置操作系統以充分保護它，如何處理主機的已知安全問題。課程結束時，學員能對WindowsNT和Linux的安全構架有一個充分的理解。

安全審計、攻擊和威脅分析（SecurityAuditing?1?7AttacksandThreatAnalysis）：該課程旨在教授學習者如何執行或處理不同階段的安全審核問題，包括發現侵入、擊退控制公司網路的非授權用戶等。課程還將討論如何使用WindowsNT和Linux來識別安全問題並建議相應的解決方案。學習者還將了解到如何形成有效的審核報告，從而用來幫助自己的組織機構來提高安全性，並使企業網路符合或達到所要求的安全標准。

F. 網站漏洞掃描工具推薦，其中兩款開源免費軟體你知道嗎

在如今互聯網的時代，互聯網的安危真真切切的影響到了我們的生活，在網路上，一直隱藏著許許多多的黑客，破壞網站的安防，挖漏洞來來找下一個金主，而網站則是不斷的使用著網站漏洞掃描工具檢查網站之中可能存在的隱患，防止有心人得逞，或者是造成網站的癱瘓，下面我們來介紹一下比較出名的網站漏洞掃描工具，在個人生活之中也可以使用的到。

一、Wireshark

這是一款開源的Web伺服器掃描工具，對網頁進行檢測，其中有著3300種潛在威脅檢測文件，包含625種伺服器的版本號，230中的伺服器問題的檢測，不過這個軟體的作者更新速度不穩定，對於新的網站的威脅可能檢測不到。不過本身的功能還是很強大的，針對危險的檢測和反偵測行為，躲避危險，並且隱藏自身的參數，將自己與危險隔離開來，並且檢測訪問的網站的問題。

G. 軟體處理差

盡管自編碼有了一些進展，但現在開發軟體主要仍然得靠人工。

然而，人非聖賢，孰能無過？因此，我們可以得到一個合理的推測：由人生產出來的產品和服務，必然包含某種形式的缺陷。所以，軟體缺陷不可避免，並且是軟體開發過程的固有部分。

軟體缺陷是邏輯或配置上的錯誤，會導致系統產生我們不期望的行為。

軟體應用程序中的一些主要和常見缺陷包括業務邏輯錯誤、復雜性問題、文件處理問題、封裝問題、數據驗證問題、身份認證和授權錯誤。

常見弱點枚舉 (CWE) 清單描述了常見的軟體和硬體弱點，會導致安全方面的相關問題。 該清單對可能存在的軟體弱點進行了全面分類。

在業務研發過程中，我們通常通過比較內部質量和風險指標以及對需求、規范、標准和截止日期等方面的遵守程度，來衡量和評估軟體質量等級的可接受度。

因此，我們應該可以得到這樣一個結論：軟體質量是主觀的，受業務承諾、高級管理人員的參與情況和組織文化的影響。

軟體開發中一個重要的關注點涉及到在預算、進度、范圍、質量和安全性這些方面之間保持適當的平衡。一個方面的變化會影響其他方面。雖然都不希望改變計劃，但這在軟體開發生命周期中並不少見。這些場景反映了組織為了控制預算和進度，不得不在軟體質量和安全性方面做出妥協。

軟體質量並不總是軟體的安全性指標。軟體安全性的衡量標准，是在測試期間和生產部署之後發現的漏洞數量。軟體漏洞是一類軟體缺陷，潛在的攻擊者經常利用這些漏洞，繞過授權，訪問計算機系統或執行操作。有時，授權的用戶也會出於惡意，利用系統中這些未修補的已知漏洞。

這些用戶還可能會輸入不能通過校驗的數據，無意中利用了軟體漏洞，從而損害數據完整性和使用這些數據的功能的可靠性。對漏洞的利用會針對下面三個安全支柱中的一個或多個：機密性、完整性和可用性，它們通常稱為 CIA 三元組。

機密性指保護數據在未經授權時不會被泄漏；族咐扒完整性指保護數據在未經授權時不會被修改，以保證數據的真實性；可用性指系統在需要時可供授權用戶使用，並拒絕未經授權的用戶訪問。了解軟體錯誤和漏洞之間的區別，是為創建安全的軟體和及時減少缺陷和漏洞的整體戰略的關鍵。

軟體漏洞

現在已公布的漏洞利用行為，以及OWASP十大、MITRE常見漏洞和暴露 (CVE) 列表、美國國家漏洞資料庫和其他來源提供的見解都在講軟體漏洞。總體而言，這些信息強調了技術創新如何打破了所需的平衡，我們可以根據這些信息採取更有效的措施，在產品部署之前更好地檢測和減少軟體漏洞。

軟體安全瑕疵越來越多，影響最大的因素是我們對軟體安全性不思進取的態度、在軟體安全性方面缺乏有效的最佳實踐、軟體開發人員和潛在攻擊者之間的知識差異以及不安全的遺留軟體。

由於威脅在不斷變化，因此，在安全方面與時俱進的態兆昌度對於達成軟體安全性很有必要。組織在開發和部署軟體時，如果對安全的態度原地踏步，有可能會把內部合規跟有效、安全的軟體開發周期過程混為一談；對不斷發展的威脅向量認識不足；從而無意中增加客戶在各方面的風險。安全策略一成不變，只依賴內部合規來證明開發的軟體很安全，這是短視的行為。

隨著時間的推移，這種依賴性將導致利益相關者對組織開發安全軟體的能力產生盲目的信心，並降低軟體開發團隊充分審查和應對不斷變化的威脅的能力。若我所料不差，這些組織很可能沒有有效的補丁管理程序，也沒有在產品或解決方案實施過程中集成軟體安全方面的設計原則。他們也不太可能添加安全相關場景的測試套件，或將軟體安全的最佳實踐納入軟體開發流程。

想要研發安全的軟體，在研發生命周期中就應該應用軟體安全方面的最佳實踐。最佳實踐涵蓋安全設計原則、編碼、測試、工具以及針簡歷對開發人員和測試人員的培訓，有助於在將產品和解決方案部署到生產環境之前主動檢測和修復漏洞。在合適的情況下，應用「故障安全」、「最小許可權」、「深度防禦」和「職責分離」等安全設計原則，可以增強應用程序的安全性。此外，還必須優先對開發人員和測試人員進行軟體安全性方面的常規培訓。

軟體開發人員和潛在攻擊者之間的知識差距正在擴大。這種現象的原因不盡相同，其中一些原因是心態、主要關注領域不同和缺乏學習機會。此外，一些軟體開發人員對系統妥協持零和態度。這種心態與深度防禦的安全設計原則背道而馳，並認為網路和設備漏洞實際上是「天國的鑰匙」事件（譯註：keys-to-the-kingdom，基督教典故，此處是指通過漏洞獲得極大許可權是漏洞發現者應得的）。因此，他們認為試圖盡量減少妥協是徒勞的。有許多被爆出來的系統數據泄露事件，正是這種心態引發的後果，它們因缺少安全性或分層安全性不足，導致未加密的個人數據被盜。

這種「零和」心態，無意中助長了潛在攻擊者通過各種技術深入到網路中進一步破壞生態系統的能力，從而可能獲得對包含個人和業務數據的其他系統的訪問許可權。仔細審查代碼是常見的深度防禦措施，但一些軟體開發人員未能有效利用。這些開發人員完全依賴自動代碼掃描工具，而沒有審查代碼，或者只是粗略地審查代碼。使用自動代碼掃描工具並仔細審查代碼才是一種有效的深度防禦策略，可以在解決方案或產品部署到生產環境之前檢測出漏洞。

軟體開發人員和潛在攻擊者有不同的優先順序和重點領域。軟體開發人員的重點領域包括實現業務邏輯；修復軟體缺陷以滿足質量要求；確保他們實施的功能或解決方案滿足內部實用性、可用性和性能指標或服務水平協議 (SLA) 中的指標。顯而易見，軟體開發人員會在其主要關注領域獲得專業知識。而潛在攻擊者主要關注領域包括系統和軟體行為分析，他們不斷磨練技能以增加收入、滿足好奇心、實現工具集、偵察和探索。所以同樣地，潛在攻擊者在其關注領域里也能獲得專業知識。

潛在攻擊者和軟體開發人員之間的技能差異，讓組織需要在軟體安全方面持續地對軟體開發人員進行培訓。軟體開發人員還必須了解當前的和不斷拓展的攻擊向量，並了解軟體攻擊面的概念，以避免在軟體實現和修改過程中誤入雷區。此外，軟體開發人員必須轉變觀念，將軟體安全原則和最佳實踐納入到軟體開發生命周期中，它們與功能實現具有同等優先順序。

在開發現在被稱為「遺留」軟體的那些年裡，功能實現通常有最高優先順序。對於許多軟體供應商而言，軟體安全跟功能的優先順序不同，而且不是軟體開發流程的一部分。在這種優先順序安排以及威脅形勢不斷增長的長期影響下，其結果就是現在「遺留」軟體中那些漏洞會被人發現和利用。為什麼優先考慮功能實現，原因各不相同。

競爭、上市時間問題以及對軟體安全缺乏關注，是組織不能遵循軟體安全最佳實踐和維持軟體安全開發流程的主要原因。某些組織為了更好地保護「遺留」軟體，給它們分配了資金和資源，在所需功能的實現上做出犧牲；並且由於持續關注在「遺留」軟體的保護上，可能會喪失潛在的競爭優勢。而其他組織通過檢查軟體漏洞來主動評估其「遺留」系統。盡管如此，在代碼庫被完全修補、升級到最新最安全或被廢棄之前，遺留軟體都將是漏洞利用方面的沃土。

結論

軟體是潛在攻擊者最常用的攻擊媒介之一。因此，許多組織意識到，為了實現和維護安全的軟體開發流程和基礎架構，盡職盡責的調查非常重要。這些組織獨立而又協同地為推進網路和軟體安全領域的防禦策略做出貢獻。企業貢獻包括：創建描述網路攻擊階段的安全模型和框架（例如洛克希德馬丁公司的網路殺傷鏈），從而使組織能夠規劃相應的緩解措施；設立賞金計劃，獎勵查找漏洞，讓安全研究人員和其他人可以因發現可利用的軟體缺陷而掙到錢；對開源網路安全工具集的貢獻；編寫應用程序安全白皮書，描述最佳實踐並促進軟體安全向開發-安全-運維（DevSecOps）自然過渡。

不斷發展的軟體攻擊向量使得我們不可能在生產部署之前消除所有軟體漏洞。盡管如此，軟體開發人員還是必須持續學習軟體安全開發。也有人正關注於使用機器學習來檢測軟體漏洞，這將有助於更快、更有效地檢測軟體漏洞。然而，這種在專業領域採用機器學習的結果是否符合預期，目前還不確定。與此同時，各組織還是必須繼續在同一戰線上持續投入，共同抗衡潛在攻擊者。

H. 開源網安值不值得去

你要換做是我的話我就去。不寬模僅是因為現在經濟不景氣工作不好找哈。互網路安全是個慎纖緩朝陽行豎虧業。而且就開源網安本身來說，待遇也是不差的。也會終身受益的。

I. 國外的幾家網路安全公司

1、NortonLifeLock   美國亞利桑那州， 主要提供網路安全服務。

2、Varonis 主要做數據安全的公司。

3、Cyber Ark Software 提供網路安全服務的一家以色列公司，提供通過密碼管理保護特權賬戶的工具。

4、Zscaler 主要提供基於雲的解決方案服務

5、Cloudflare 美國的網站安全公司，專門從事內容交付和互聯網安全

6、Okta 提供管理和保護應用程序用戶身份驗證的服務。構建身份控制。

7、Dynatrace 一家澳大利亞的公司，將AI與軟體智能整合一起。監控和優化應用程序性能和開發。

8、思科系統公司： 老牌網路設備廠商，為客戶提供軟體定義網路（SDN）,雲和安全解決方案。