美国开源网络安全

A. 软件供应链安全及防护工具研究

文 中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟

随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异，数字化转型进程逐步推进，软件已经成为日常生产生活必备要素之一，渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展核嫌，同时带来软件设计开发复杂度不断提升，软件供应链也愈发复杂，全链路安全防护难度不断加大。近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁，自动化安全工具是进行软件供应链安全防御的必要方式之一，针对软件供应链安全及工具进行研究意义重大，对于维护国家网络空间安全，保护用户隐私、财产安全作用深远。

一、软件供应链安全综述

软件供应链定义由传统供应链的概念延伸扩展而来。备睁业界普遍认为，软件供应链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点，根据其定义可知，相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显着降低了攻击者的攻击难度。同时，软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全，扩大了攻击所造成的影响。

近年来，软件自身安全防御力度不断加大，攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节，软件供应链安全事件频发，对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月，美国网络安全管理软件供应商“太阳风”公司（SolarWinds）遭遇国家级 APT 组织高度复杂的供应链攻击，直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，可任由攻击者完全操控。

软件供应链安全影响重大，各国高度重视，纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日，美国总统拜登签署发布《改善国家网络安全行政令》，明确提出改善软件供应链安全，要求为出售给政府的软件开发建立基线安全标准，不仅提供应用程序，而且还必须提供软件物料清单，提升组成该应用程序组件的透明度，构建更有弹性且安全的软件供应链环境，确保美国的国家安全。同年 7 月，美国国家标准与技术所（NIST）发布《开发者软件验证最低标准指南》，为加强软件供应链安全加码，明确提出关于软件验证的 11 条建议，包括一致性自动化测试，将手动测试最少化，利用静态代码扫描查找重要漏洞，解决被包含代码（库、程序包、服务）等。

我国对软件供应链安全问题也给予了高度重视，2017 年 6 月，我国发布实施《网络产改滚手品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日，《信息安全技术 网络安全等级保护基本要求》2.0 版本正式实施，在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。

二、软件供应链安全挑战

目前，软件供应链安全受到高度重视，但仍面临多重现实挑战，可以总结分为以下五大类。

1. 软件设计开发复杂化成为必然趋势

随着容器、中间件、微服务等新技术的演进，软件行业快速发展，软件功能及性能需求也不断提升，软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增，设计与开发过程不可避免的产生安全漏洞，为软件供应链安全埋下隐患。

2. 开源成为主流开发模式

当前，开源已经成为主流开发模式之一，软件的源代码大多数是混源代码，由企业自主开发的源代码和开源代码共同组成。根据新思 科技 《2021 年开源安全和风险分析》报告显示，近 5 年，开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率，但同时也将开源软件的安全问题引入了软件供应链，导致软件供应链安全问题多元化。

3. 快速交付位于第一优先级

由于业界竞争环境激烈，相较于安全，功能快速实现，软件快速交付仍处于第一优先级，虽然软件通常实现了安全的基本功能需求，如身份认证鉴权、加解密、日志安全审计等，但整体安全防护机制相对滞后，以后期防护为主，前期自身安全性同步建设往往被忽视，软件自身代码安全漏洞前期清除存在短板。

4. 软件交付机制面临安全隐患

软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体，随着互联网等技术的发展，通过网络对于软件进行快速分发已经成为基本模式，不安全的分发渠道同样会对软件供应链安全产生重大影响。

5. 使用时软件补丁网站攻击

针对软件供应链安全防护，软件的生命周期并非结束于软件交付之后，而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷，通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响，受污染的补丁下载站点同样会造成软件供应链安全问题。

三、软件供应链安全防护工具

软件供应链安全涉及众多元素及环节，参考业界常见划分，软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护，主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关，安全防护较为复杂，囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全，涉及四类安全工具，包括软件生产过程中的工具和软件供应链管理工具。

1. 静态应用程序安全测试工具

静态应用程序安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关，源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的，利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前，主流分析技术包括：（1）词法分析技术，只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配，不深入分析代码的语义和代码上下文。词法分析检测效率较高，但是只能找到简单的缺陷，并且误报率较高。（2）抽象解释技术，用于证明某段代码没有错误，但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此，该技术的精度和性能取决于抽象域对真实程序值域的近似情况。（3）程序模拟技术，模拟程序执行得到所有执行状态，分析结果较为精确，主要用于查找逻辑复杂和触发条件苛刻的缺陷，但性能提高难度大。主要包括模型检查和符号执行两种技术，模型检查将软件构造为状态机或者有向图等抽象模型，并使用模态/时序逻辑公式等形式化的表达式来描述安全属性，对模型遍历验证这些属性是否满足；符号执行使用符号值表示程序变量值，并模拟程序的执行来查找满足漏洞检测规则的情况。（4）定理证明技术，将程序错误的前提和程序本身描述成一组逻辑表达式，然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性，能够使用逻辑公式方便地描述软件缺陷，并可根据分析性能和精度的不同要求调整约束条件，对于大型工业级软件的分析较为有效。（5）数据流分析技术，基于控制流图，按照某种方式扫面控制流图的每一条指令，试图理解指令行为，以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解，一般分为正向传播和逆向传播，正向传播就是沿着控制流路径，状态向前传递，前驱块的值传到后继块；逆向传播就是逆着控制流路径，后继块的值反向传给前驱块。

2. 动态应用程序安全测试工具

动态应用程序安全测试（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍，主要包括三个方面的内容：（1）信息收集。测试开始前，收集待测试网站的全部 URL，包括静态资源和动态接口等，每一条 URL 需要包含路径和完整的参数信息。（2）测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表，测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中，对访问目标网站的速度进行控制，保证目标网站不会因为同一时刻的请求数过高，导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时，根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。（3）测试报告。在安全测试各步骤都完成后，输出测试报告。测试报告一般包含总览页面，内容包括根据测试过程产生的各种数据，输出目标网站安全性的概要性结论；测试过程发现的总漏洞数，以及按照不同安全等级维度进行统计的漏洞数据。

3. 交互式应用程序安全测试工具

交互式应用程序安全测试（IAST）通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及漏洞，确定安全缺陷及漏洞所在的代码位置，主要在三方面做工作：流量采集、Agent监控、交互扫描。（1）流量采集，指采集应用程序测试过程中的 HTTP/HTTPS 请求流量，采集可以通过代理层或者服务端 Agent。采集到的流量是测试人员提交的带有授权信息有效数据，能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效；同时，流量采集可以省去爬虫功能，避免测试目标爬虫无法爬取到导致的扫描漏水问题。（2）Agent 监控，指部署在 Web 服务端的 Agent 程序，一般是 Web 服务编程语言的扩展程序，Agent通过扩展程序监控 Web 应用程序性运行时的函数执行，包括 SQL 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数，以及 XML 解析函数等有可能触发漏洞利用的敏感函数。（3）交互扫描，指 Web 应用漏洞扫描器通过Agent 监控辅助，只需要重放少量采集到的请求流量，且重放时附带扫描器标记，即可完成对 Web 应用程序漏洞的检测。例如，在检测 SQL 注入漏洞时，单个参数检测，知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包；交互扫描只需要重放一个请求，附带上扫描器标记，Agent 监控SQL 查询函数中的扫描器标记，即可判断是否存在漏洞，大大减少了扫描发包量。

4. 软件组成分析软件组成分析

（SCA）主要针对开源组件，通过扫描识别开源组件，获取组件安全漏洞信息、许可证等信息，避免安全与法律法规风险。现有的开源组成扫描技术分为五种。（1）通过进行源代码片段式比对来识别组件并识别许可证类型。（2）对文件级别提取哈希值，进行文件级哈希值比对，若全部文件哈希值全部匹配成功则开源组件被识别。（3）通过扫描包配置文件读取信息，进行组件识别从而识别组件并识别许可证类型。（4）对开源项目的文件目录和结构进行解析，分析开源组件路径和开源组件依赖。（5）通过编译开源项目并对编译后的开源项目进行依赖分析，这种方式可以识别用在开源项目中的开源组件信息。

四、软件供应链安全研究建议

1. 发展软件安全工具相关技术

软件供应链安全防护的落地离不开安全工具的发展使用。大力发展软件安全工具技术，解决安全开发难点需求，进行安全前置，实现安全保护措施与软件设计、开发同步推进。

2. 提升软件供应链安全事件的防护、检测和响应能力

软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点，软件供应链作为一个复杂、庞大的系统，难免存在脆弱节点，应提升对软件供应链安全攻击事件的防护、检测和响应能力，避免安全事件造成重大影响。

3. 构建完善软件供应链安全相关标准体系

通过科研院所及标准机构完善软件供应链安全标准体系，普及软件供应链安全防范意识，提升企业组织对软件供应链安全的重视程度，进行软件供应链安全投入，推进安全建设工作落实。

4. 建立软件供应链安全可信生态

实现软件供应链安全需要各领域企业的共同努力。企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求，提升业界整体软件供应链安全水平。

（本文刊登于《中国信息安全》杂志2021年第10期）

B. nmap--网络探测和安全审核工具

它曾经在电影《黑客帝国》中出现过，是黑客和网络安全人员经常用到的工具.
nmap是一个开源免费的网络发现工具，通过它能够找出网络上在线的主机，并测试主机上哪些端口处于监听状态，接着通过端口确定主机上运行的应用程序类型与版本信息，最后利用它还能侦测出操作系统的类型和版本。

一、nmap基本功能与结构
主要有如下四个基本功能：

如果希望了解目标主机更多的信息，可以通过完全扫描的方式实现，nmap命令内置了“-A”选项，可以实现对目标主机进行主机发现、端口扫描、应用程序与版本侦测、操作系统识别等完整全面的扫描，命令形式如下：

其中，

主机发现主要用来判断目标主机是否在线，其扫描原理类似于ping命令，通过发送探测数据包到目标主机，如果能收到回复，那么认为目标主机处于在线状态。nmap支持多种不同的主机探测方法，例如发送TCP SYN/ACK包、发送SCTP包、主机发现主要用来判断目标主机是否在线，其扫描原理类似于ping命令，通过发送探测数据包到目标主机，如果能收到回复，那么认为目标主机处于在线状态。nmap支持多种不同的主机探测方法，例如发送TCP SYN/ACK包、发送SCTP包、

端口扫描是nmap最核心的功能，通过端口扫描可以发现目标主机上TCP、UDP端口的开放情况。nmap在默认状态下会扫描1000个最有可能开放的端口，并将侦测到的端口状态分为6类，分别是：

C. 导致阿里云被暂停合作的漏洞 究竟是什么

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。

据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”

“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。

漏洞影响有多大？

那么，如何理解Log4j2漏洞的严重程度呢？

安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”

安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。

“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。

“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。

“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。

在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”

“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。

9月1日起施行新规 专家：对于维护国家网络安全具有重大意义

据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。

贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。

不过，今年9月1日后，这一行业“常见程序”就要发生变化。

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

D. 国产电脑系统大突破，打破美国垄断，保障网络安全，将不怕断供

电脑操作系统有多重要？

它是计算机系统软件的核心，是保障国家网络安全与信息系统安全的最重要软件和最重要屏障。

众所周知，电脑操作系统是美国微软一家独大，完全是处于垄断地位。

据statcounter统计，截至2021年2月，我国电脑90%安装了微软windows系统，其中有近一半是Windows7。

如果是国家单位，一方面必须注意安全，杜绝信息泄露，因为谁也不知道美国操作系统有没有后面，对敏感部门必须换成国产系统或电脑。另一方面就是美国断供，如果断供，国产操作系统顶不上去就会出问题。

可能有人会说，我们百姓用盗版也可以啊，其实也不行，所谓的盗版只是微软为了打击我国自主操作系统的策略，或者是阴谋，如果想让你死机一点不难，因为除了软件，三大件多半是美国货，尤其是CPU全球就两家，完全也是垄断。

所以说，为了国家安全，我们的国产操作系统必须推出，我们不能再把信息和隐私暴露给美国人。

虽然我国也有不少操作系统，但是面对微软的强势和巨大投入完全没有抵抗之力。比如上世纪90年代由中国科学院软件研究所以美国Linux为基础，开发 “红旗Linux”系统 、2013年中国CCN联合实验室支持和主导的 “优麒麟”操作系统 、还有2010年的 “中标麒麟”操作系统 、上海中标软件有限公司的 “中标普华”系统 、国防 科技 大学、联想公司、中标公司、浪潮集团和民族恒星公司合作研制了操作系统 “银河麒麟”操作系统 、 基础软件国家工程研究中心开发的“ 中科方德”操作系统 等等。

看起来很多，但是大多数都是基于美国Linux为基础开发的，并不安全。基础系统开发者可以随便进去你的电脑查看你的数据，比如查看你键盘记录，并整理成数据传回美国，然后清理侵入痕迹，这其实就是美国的 麻雀鹰和磁通线网络武器。

所以说，国产电脑操作系统的核心技术其实全部属于美国，保证不了我们国家的网络安全。

我们不会忘记，2018年4月16日 ， 美国政府表示将在未来7年内禁止中兴向美国企业购买敏感产品；2019年5月15日，美国总统宣布进入“紧急状态”，开始打压我国华为，随后，将华为等70家我国 科技 企业划入美国“实体清单”。

这等于美国全面打响了对我国 科技 封锁的 科技 战争，目的也很明确，但是有些网友只看到华为受难，却看不见美国举起的是斩断我国 科技 兴国战略的屠刀，而最重要的信息处理工具，电脑操作系统全是美国的。所以我们在我国的努力下，全国30多家 科技 企业成立 “同心生态联盟”。

去年12月，统信软件在“2020统信UOS生态大会”上发起成立“同心生态联盟”，与首批30家成员单位共同携手启动联盟，其中包括华为、中兴、金山等企业。

特别是华为的加盟也让我们知道，我国必将打造一个属于我们自己的国家的 “ 统信UOS操作系统” ， 将来和微软竞争。

据 统计 ，统信软件已拓展了数十个国家重要单位和近50家金融机构用户以及其他行业用户，在 国内特使 市场上统信UOS获得70%多的市场占有率。目前， 在全球拥有20万注册用户，8个海外社区。 统信UOS社区版 已累计发布了40个版本，贡献开源代码超过1000万行，累计下载量超过8000万次，拥有遍及6大洲42个国家的135个镜像站点，可以为全球社区提供贡献和服务。

可见， “ 统信UOS操作系统” 已经取得了不俗的成绩，再加上 “同心生态联盟”的加特，生态必将越来越丰富，就如华为的鸿蒙手机操作系统一样，星星之火，终将燎原于国内市场，完全打破美国微软的垄断。

不可否认， “ 统信UOS操作系统”也是基于Linux开发，但是它的安全策略让程序开发者无法随便获取信息，除非是特殊用户；还有 开发者签名、商店签名、企业签名，保证软件安全；软硬结合，互相捆绑签名校验等手段，完全杜绝国外的窥视手段，形成安全屏障，保障我们网路安全，就算美国断供也不怕。

@传动办公室 认为，随着 “ 统信UOS操作系统”的发展，很快会取得大的成功，以前是统信一家努力，现在是 “同心生态联盟”一起奋斗，成功几率就大了很多，将来必定打破美国微软一家独大的垄断局面。

E. 网络安全认证目前最有权威的认证呢

目前，网络安全技术认证的种类大致有以下几类：一是以网络安全管理为主的认证，如英国标准化协会推出的关于ISO13355和ISO17799管理安全培训，它主要面向企业的领导和管理人员；二是以网络安全技术的理论和技术为主的认证，它较为偏重于知识的认证，如美国CIW的网络安全专家（Security）认证、美国GuardedNetwork公司推出的网络安全认证等；三是以专业厂商的产品技术为主的技术认证，如赛门铁克（Symantec）、Check-point、CA等公司提供的结合本公司产品的一些技术认证。这些项目的特点是实践性比较强；四是与具体的网络系统相关的安全技术认证，如微软的ISA认证课程、思科（Cisco）的路由器及防火墙认证课程，这些课程必须结合其系统及系统技术一起学习，才能够比较容易地掌握。

如何选择网络安全技术认证方面的考试呢？对此，业内人士认为，选择认证项目不仅要考虑本人的职业方向，还应注意认证技术的适用性。例如，以局域网为主的工作环境，需要偏重于防病毒、访问控制等方面的技术培训和认证；以互联网为主的工作环境，则需要参加防火墙入侵检测等方面的技术认证培训。这里还需要特别提醒一点的是，有关国家安全的涉密单位要采用的安全设备和技术必须是自主开发的，而且必须拥有自己的知识产权，在这种环境下工作的人员较适合参加国内自主开发的认证项目。另据业内人士预测，随着网络安全问题的日益突出，网络安全技术的培训认证信码“水涨船高”，成为目前IT认证市场上的热门培训项目，与此同时，网络系统工程师的培训内容也正在向网络安全技术的方向渐渐“靠拢”。

当前的培训市场上，网络安全技术方面的认证主要是美国ProsoftTraining公司在全球范围内推广的“CIW网络安全专家”认证，CIW是CertifiedInternetWebmaster的简写，它是目前惟一面对互联网络专业人员的国际性权威认证，是目前全球发展最快的与具体的IT产品无关的中立的认证培训项目，它是全面介绍网络安全知识和实施安全策略的培训认证项目，也是目前国内网络安全领域最具权威的国际认证之一。作为CIW培训中的重点课程，“CIW网络安全专家”已经被IBM、Intel、hp等众多世界着名IT公司纳入到本企业员工的重要培训之中。它也是我们国内网络安全领域最具权威性的培训认证，在系统集成、网站建设、国家安全、银行、电力、交通等重要安全部门或领域中，CIW网络认证安全专家都赋予了企业、单位以关键性的安全保证。

网源州络安全和防火墙（NetworkSecurityandFirewalls）：该课程主要教授学习者通过非授权的活动来提高安全性。学习者将能学习到如何建立一个有效的安全滑裂哪机制，并了解不同类型的黑客活动、黑客的构思范围，从而防止黑客侵入。学习者还将学习验证黑客攻击的过程、安全加密的标准与实施、黑客容易操作的端口与协议的查找、如何对黑客入侵进行预防检测以及做出反应或报告的方法。

操作系统安全（OperatingSystemSecurity）：该课程主要是教授学习者了解安全规则是什么，如何在不同设置下正确地保护WindowsNT和Linux服务器。学习者将学习到的具体知识和技能主要有如何使WindowsNT和Linux系统免于受到黑客攻击，如何重新配置操作系统以充分保护它，如何处理主机的已知安全问题。课程结束时，学员能对WindowsNT和Linux的安全构架有一个充分的理解。

安全审计、攻击和威胁分析（SecurityAuditing?1?7AttacksandThreatAnalysis）：该课程旨在教授学习者如何执行或处理不同阶段的安全审核问题，包括发现侵入、击退控制公司网络的非授权用户等。课程还将讨论如何使用WindowsNT和Linux来识别安全问题并建议相应的解决方案。学习者还将了解到如何形成有效的审核报告，从而用来帮助自己的组织机构来提高安全性，并使企业网络符合或达到所要求的安全标准。

F. 网站漏洞扫描工具推荐，其中两款开源免费软件你知道吗

在如今互联网的时代，互联网的安危真真切切的影响到了我们的生活，在网络上，一直隐藏着许许多多的黑客，破坏网站的安防，挖漏洞来来找下一个金主，而网站则是不断的使用着网站漏洞扫描工具检查网站之中可能存在的隐患，防止有心人得逞，或者是造成网站的瘫痪，下面我们来介绍一下比较出名的网站漏洞扫描工具，在个人生活之中也可以使用的到。

一、Wireshark

这是一款开源的Web服务器扫描工具，对网页进行检测，其中有着3300种潜在威胁检测文件，包含625种服务器的版本号，230中的服务器问题的检测，不过这个软件的作者更新速度不稳定，对于新的网站的威胁可能检测不到。不过本身的功能还是很强大的，针对危险的检测和反侦测行为，躲避危险，并且隐藏自身的参数，将自己与危险隔离开来，并且检测访问的网站的问题。

G. 软件处理差

尽管自编码有了一些进展，但现在开发软件主要仍然得靠人工。

然而，人非圣贤，孰能无过？因此，我们可以得到一个合理的推测：由人生产出来的产品和服务，必然包含某种形式的缺陷。所以，软件缺陷不可避免，并且是软件开发过程的固有部分。

软件缺陷是逻辑或配置上的错误，会导致系统产生我们不期望的行为。

软件应用程序中的一些主要和常见缺陷包括业务逻辑错误、复杂性问题、文件处理问题、封装问题、数据验证问题、身份认证和授权错误。

常见弱点枚举 (CWE) 清单描述了常见的软件和硬件弱点，会导致安全方面的相关问题。 该清单对可能存在的软件弱点进行了全面分类。

在业务研发过程中，我们通常通过比较内部质量和风险指标以及对需求、规范、标准和截止日期等方面的遵守程度，来衡量和评估软件质量等级的可接受度。

因此，我们应该可以得到这样一个结论：软件质量是主观的，受业务承诺、高级管理人员的参与情况和组织文化的影响。

软件开发中一个重要的关注点涉及到在预算、进度、范围、质量和安全性这些方面之间保持适当的平衡。一个方面的变化会影响其他方面。虽然都不希望改变计划，但这在软件开发生命周期中并不少见。这些场景反映了组织为了控制预算和进度，不得不在软件质量和安全性方面做出妥协。

软件质量并不总是软件的安全性指标。软件安全性的衡量标准，是在测试期间和生产部署之后发现的漏洞数量。软件漏洞是一类软件缺陷，潜在的攻击者经常利用这些漏洞，绕过授权，访问计算机系统或执行操作。有时，授权的用户也会出于恶意，利用系统中这些未修补的已知漏洞。

这些用户还可能会输入不能通过校验的数据，无意中利用了软件漏洞，从而损害数据完整性和使用这些数据的功能的可靠性。对漏洞的利用会针对下面三个安全支柱中的一个或多个：机密性、完整性和可用性，它们通常称为 CIA 三元组。

机密性指保护数据在未经授权时不会被泄漏；族咐扒完整性指保护数据在未经授权时不会被修改，以保证数据的真实性；可用性指系统在需要时可供授权用户使用，并拒绝未经授权的用户访问。了解软件错误和漏洞之间的区别，是为创建安全的软件和及时减少缺陷和漏洞的整体战略的关键。

软件漏洞

现在已公布的漏洞利用行为，以及OWASP十大、MITRE常见漏洞和暴露 (CVE) 列表、美国国家漏洞数据库和其他来源提供的见解都在讲软件漏洞。总体而言，这些信息强调了技术创新如何打破了所需的平衡，我们可以根据这些信息采取更有效的措施，在产品部署之前更好地检测和减少软件漏洞。

软件安全瑕疵越来越多，影响最大的因素是我们对软件安全性不思进取的态度、在软件安全性方面缺乏有效的最佳实践、软件开发人员和潜在攻击者之间的知识差异以及不安全的遗留软件。

由于威胁在不断变化，因此，在安全方面与时俱进的态兆昌度对于达成软件安全性很有必要。组织在开发和部署软件时，如果对安全的态度原地踏步，有可能会把内部合规跟有效、安全的软件开发周期过程混为一谈；对不断发展的威胁向量认识不足；从而无意中增加客户在各方面的风险。安全策略一成不变，只依赖内部合规来证明开发的软件很安全，这是短视的行为。

随着时间的推移，这种依赖性将导致利益相关者对组织开发安全软件的能力产生盲目的信心，并降低软件开发团队充分审查和应对不断变化的威胁的能力。若我所料不差，这些组织很可能没有有效的补丁管理程序，也没有在产品或解决方案实施过程中集成软件安全方面的设计原则。他们也不太可能添加安全相关场景的测试套件，或将软件安全的最佳实践纳入软件开发流程。

想要研发安全的软件，在研发生命周期中就应该应用软件安全方面的最佳实践。最佳实践涵盖安全设计原则、编码、测试、工具以及针简历对开发人员和测试人员的培训，有助于在将产品和解决方案部署到生产环境之前主动检测和修复漏洞。在合适的情况下，应用“故障安全”、“最小权限”、“深度防御”和“职责分离”等安全设计原则，可以增强应用程序的安全性。此外，还必须优先对开发人员和测试人员进行软件安全性方面的常规培训。

软件开发人员和潜在攻击者之间的知识差距正在扩大。这种现象的原因不尽相同，其中一些原因是心态、主要关注领域不同和缺乏学习机会。此外，一些软件开发人员对系统妥协持零和态度。这种心态与深度防御的安全设计原则背道而驰，并认为网络和设备漏洞实际上是“天国的钥匙”事件（译注：keys-to-the-kingdom，基督教典故，此处是指通过漏洞获得极大权限是漏洞发现者应得的）。因此，他们认为试图尽量减少妥协是徒劳的。有许多被爆出来的系统数据泄露事件，正是这种心态引发的后果，它们因缺少安全性或分层安全性不足，导致未加密的个人数据被盗。

这种“零和”心态，无意中助长了潜在攻击者通过各种技术深入到网络中进一步破坏生态系统的能力，从而可能获得对包含个人和业务数据的其他系统的访问权限。仔细审查代码是常见的深度防御措施，但一些软件开发人员未能有效利用。这些开发人员完全依赖自动代码扫描工具，而没有审查代码，或者只是粗略地审查代码。使用自动代码扫描工具并仔细审查代码才是一种有效的深度防御策略，可以在解决方案或产品部署到生产环境之前检测出漏洞。

软件开发人员和潜在攻击者有不同的优先级和重点领域。软件开发人员的重点领域包括实现业务逻辑；修复软件缺陷以满足质量要求；确保他们实施的功能或解决方案满足内部实用性、可用性和性能指标或服务水平协议 (SLA) 中的指标。显而易见，软件开发人员会在其主要关注领域获得专业知识。而潜在攻击者主要关注领域包括系统和软件行为分析，他们不断磨练技能以增加收入、满足好奇心、实现工具集、侦察和探索。所以同样地，潜在攻击者在其关注领域里也能获得专业知识。

潜在攻击者和软件开发人员之间的技能差异，让组织需要在软件安全方面持续地对软件开发人员进行培训。软件开发人员还必须了解当前的和不断拓展的攻击向量，并了解软件攻击面的概念，以避免在软件实现和修改过程中误入雷区。此外，软件开发人员必须转变观念，将软件安全原则和最佳实践纳入到软件开发生命周期中，它们与功能实现具有同等优先级。

在开发现在被称为“遗留”软件的那些年里，功能实现通常有最高优先级。对于许多软件供应商而言，软件安全跟功能的优先级不同，而且不是软件开发流程的一部分。在这种优先级安排以及威胁形势不断增长的长期影响下，其结果就是现在“遗留”软件中那些漏洞会被人发现和利用。为什么优先考虑功能实现，原因各不相同。

竞争、上市时间问题以及对软件安全缺乏关注，是组织不能遵循软件安全最佳实践和维持软件安全开发流程的主要原因。某些组织为了更好地保护“遗留”软件，给它们分配了资金和资源，在所需功能的实现上做出牺牲；并且由于持续关注在“遗留”软件的保护上，可能会丧失潜在的竞争优势。而其他组织通过检查软件漏洞来主动评估其“遗留”系统。尽管如此，在代码库被完全修补、升级到最新最安全或被废弃之前，遗留软件都将是漏洞利用方面的沃土。

结论

软件是潜在攻击者最常用的攻击媒介之一。因此，许多组织意识到，为了实现和维护安全的软件开发流程和基础架构，尽职尽责的调查非常重要。这些组织独立而又协同地为推进网络和软件安全领域的防御策略做出贡献。企业贡献包括：创建描述网络攻击阶段的安全模型和框架（例如洛克希德马丁公司的网络杀伤链），从而使组织能够规划相应的缓解措施；设立赏金计划，奖励查找漏洞，让安全研究人员和其他人可以因发现可利用的软件缺陷而挣到钱；对开源网络安全工具集的贡献；编写应用程序安全白皮书，描述最佳实践并促进软件安全向开发-安全-运维（DevSecOps）自然过渡。

不断发展的软件攻击向量使得我们不可能在生产部署之前消除所有软件漏洞。尽管如此，软件开发人员还是必须持续学习软件安全开发。也有人正关注于使用机器学习来检测软件漏洞，这将有助于更快、更有效地检测软件漏洞。然而，这种在专业领域采用机器学习的结果是否符合预期，目前还不确定。与此同时，各组织还是必须继续在同一战线上持续投入，共同抗衡潜在攻击者。

H. 开源网安值不值得去

你要换做是我的话我就去。不宽模仅是因为现在经济不景气工作不好找哈。互网络安全是个慎纤缓朝阳行竖亏业。而且就开源网安本身来说，待遇也是不差的。也会终身受益的。

I. 国外的几家网络安全公司

1、NortonLifeLock   美国亚利桑那州， 主要提供网络安全服务。

2、Varonis 主要做数据安全的公司。

3、Cyber Ark Software 提供网络安全服务的一家以色列公司，提供通过密码管理保护特权账户的工具。

4、Zscaler 主要提供基于云的解决方案服务

5、Cloudflare 美国的网站安全公司，专门从事内容交付和互联网安全

6、Okta 提供管理和保护应用程序用户身份验证的服务。构建身份控制。

7、Dynatrace 一家澳大利亚的公司，将AI与软件智能整合一起。监控和优化应用程序性能和开发。

8、思科系统公司： 老牌网络设备厂商，为客户提供软件定义网络（SDN）,云和安全解决方案。