10. 持续风险监测体系下的开源供应链安全监测 - 中测安华姚原岗博士（23页）.pdf

1、持续风险监测体系下的持续风险监测体系下的开源供应链安全监测开源供应链安全监测演讲人：姚原岗演讲时间：2021.07.21大数据协同安全技术国家工程实验室，第一个大数据安全领域国家级科研机构副理事长单位1个体系、5大方案、8款安全产品，核心技术体现在:威胁方向：基于高性能计算架构，实现海量流量高速检索技术；增强流量检测的异常模型。数据方向：利用可信计算、盲水印、脱敏及加密检索技术实现跨部门数据的安全消费。漏洞方向：大规模漏洞源代码分析，物联网漏洞挖掘，软件安全测试。智能分析方向：威胁主动监测分析、海量互联网数据的智能化处理、知识图谱构建。国家标准制定3项，国家标准研究1项参与信息安全技术网络安全

2、漏洞分类分级指南、信息安全技术信息系统安全保障评估框架、网络安全态势感知通用技术要求等标准修订编写工作。参与关键信息基础设施漏洞管理体系指南标准研究工作。60余项国家专利与软件著作权，多次获得国家、部委级科技进步奖项，技术研究文章若干网络安全新常态带来新的挑战网络安全新常态对政府、企业等大型组织机构网络安全运营提出新的挑战.用户的需求解决安全问题解决安全问题打消安全顾虑打消安全顾虑转移安全能力转移安全能力要要懂懂安安全全还还要要懂懂用用户户我们的思考-安全思维互联网化全栈安全安全迭代敏捷安全安全左移安全嵌入开放、协同、互联以用户为中心我们的思考-安全思维系统工程化系统安全工程系统安全工程持续风

3、险监测持续风险监测（安全能力建设）（安全效益发挥）开放、协同、互联以用户为中心交叉、复杂、应用综合的安全能力面向复杂系统采用复杂系统运行复杂系统解决复杂问题持续风险监测体系理论视角看体系-持续风险监测开拓者 摸索摸索 2008年，开始探索，联合产业界，调研论证先进的国家级网络安全防御体系 2011年，第一个国家级持续风险监测体系设计 实践实践 2015年，第一个超大型企业持续风险监测实践 2018年，第一个国际级持续风险监测实践 提出提出 2019年，首次提出完整的持续风险监测理论方法 示范示范 2020年-2021年，全国20多个区域，建立持续风险监测体系应用持续风险监测方案思路CRM-持续

4、风险监测整体解决方案持续风险监测整体解决方案持续风险监测服务持续风险监测服务大规模威胁监测大规模威胁监测（三面覆盖，突出全面和体系）一揽子、统领性解决方案，是持续风险监测理论体系的应用实践之一。-支撑整体解决方案的最优服务集合数据安全综合监测数据安全综合监测漏洞全周期监测漏洞全周期监测-（威胁+监测持续性）-（数据+监测持续性）-（漏洞+监测持续性）供应链安全 Stuxnet NotPetya SolarWinds产业链业务链技术链产业上下游厂商产业集群物料人员组织管理物理环境流程IT基础设施/网络通信系统应用(硬件、软件/开源)开源供应链安全现状 2020 年，根据 Synopsys 发布的

5、开源安全和风险分析报告显示，开源使用数量占比较高，在教育、金融、医疗等传统行业渗透率已超过 60%，开源软件已成为企业构建信息技术的重要选择。2021 年 3 月 12 日，开源首次被明确列入中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要，支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务。2021年6月，国家互联网应急中心发布的2021 年开源软件供应链安全风险研究报告介绍了开源漏洞的发展现状及趋势。CVE未收录开源漏洞时间分布图开源软件漏洞时间分布图含高危以上开源漏洞占比2020 年开源漏洞 TOP 1

6、0 CWE 缺陷类型开源供应链安全归因分析开源代码外部开发的代码购买的商业代码/库内部开发的代码混源软件混源软件 引入含已知漏洞的开源组件（成分）而不知 缺乏对恶意开源代码的安全性分析 缺乏对开源组件（成分）的漏洞跟踪和运维 缺乏对恶意开源代码的生产环境的监测混源软件开发是当前最主要的开发方式威胁行为场景程序行为行为分析敏感信息窃取文件系统加密文件（勒索）挖矿传播病毒后门回连命令执行文件读取硬编码密钥网络进程API代码生产.APIAPI开源供应链安全方案需求阶段需求阶段设计阶段设计阶段开发阶段开发阶段测试阶段测试阶段上线上线 阶段阶段部署阶段部署阶段De