专题·微软蓝屏事件 | 落实安全左移，应关注软件设计过程 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国移动信息安全管理与运行中心叶剑飞王晓周；中国电子信息产业发展研究院邓攀科；北京建筑大学工程实践创新中心杨明潇

2024 年 7 月 19 日，美国发生了因网络安全服务提供商更新错误导致全球多地出现蓝屏故障的“微软蓝屏”事件，引发了全球对软件设计安全的广泛关注。长久以来，“安全”通常被视为软件产品的附加属性，开发商更多关注产品性能，而对产品安全能力的重视不足。随着网络空间边界的不断拓展，安全问题日益严峻，传统的安全防护手段难以适应复杂多变的网络威胁。为增强用户安全能力，促进网络安全产业的发展，推动建设更有韧性的未来网络空间，2023 年 10 月 16 日，由美国网络安全和基础设施安全局（CISA）牵头，与英国、加拿大、德国、日本、新加坡、澳大利亚、新西兰、韩国等 17 个国家的网络安全国际合作伙伴单位联合发布了最新的《转移网络安全风险的平衡：设计软件安全的原则和方法指南》（以下简称《指南》）。该指南着眼于软件产品的开发过程，提出了软件安全设计的三大方面建议，为软件开发企业构建安全能力提供了参考和指南。《指南》的发布提出了更为新颖、更具实操性的软件开发策略和安全管理思路，具有较强的借鉴意义。我国产业界应重视软件产品开发设计过程，细化管理指南，协调多方力量，共同推动我国软件产品开发的安全保障，提升网信领域供应链韧性和稳定性。

一、美国牵头多国发布指南，针对软件开发方提出软件设计过程中应遵循的三方面安全建议

在安全保障体系建设方面，美国最早对安全的系统性、全面性、内生性提出要求。《指南》由美国主导，从用户侧、产业侧、监管侧对软件设计安全策略提出了指导性建议，更具操作性，从设计侧预先解决安全问题，降低安全风险。

（一）应掌握用户的安全能力和需求，持续优化产品安全服务

《指南》提出，安全责任应该置于产品开发的上游阶段。一方面，要求软件商在产品开发过程中，应将匹配产品质量的安全能力和配置融入设计阶段。软件开发商应通过提高网络恶意行为者入侵成本的策略，强化产品以抵抗恶意攻击和数据侵犯。另一方面，要求软件开发商积极考虑安全设计如何改变客户在实际应用中的安全态势，并在产品交付和使用过程中持续优化。《指南》还列举了一些设计阶段的举措和建议，如消除默认密码和采用开放的协议标准等。

（二）应采取“激进”透明公开的方式，树立标杆，激励安全能力优化

《指南》指出，目前软件开发商很少公布其如何开发和维护软件的详细信息，以及如何随着时间的推移通过优化使程序更加安全成熟。一方面，软件开发商应积极展现其产品在安全可靠设计方面的优势，并对此进行大力宣传。以安全能力为特色，将自己的产品与其他软件开发商区分开来，采用“激进”的透明化策略，公开披露网络攻击信息，可以帮助企业更有效地改进产品。另一方面，公开产品的安全设计过程有助于在行业内设立标杆，使客户能够明白何为高安全性产品，从而推进行业内的开发商进行积极的正向研发，提升产品的整体威胁预防和监测能力。《指南》还列举了具体行动建议，包括发布综合安全统计数据和趋势，以及修补统计信息等。

（三）应自上而下建立机制，将安全作为产品质量评价考核的关键

《指南》认为，安全是产品质量的一个重要组成部分。只有将安全视为质量和业务完成的核心指标，而非仅仅把技术和功能层面的问题留给安全技术人员处理，组织才能够更迅速、更有效地满足客户的安全需求。一方面，《指南》倡议开发商应从高层领导开始，自上而下地将安全作为业务重点，并建立相应的内部激励机制和问责机制。通过培育全面的安全文化，并将安全性纳入设计要求，才能达到最佳效果。另一方面，《指南》也建议企业投入必要的资源，确保软件安全作为核心业务和优先事项，从一开始就降低解决软件缺陷的长期成本，进而降低国家安全风险。

二、特色与亮点

《指南》围绕产品的安全，用户需求的安全，预先提供的安全服务三方面，提出了“前瞻安全”“按需安全”和“默认安全”三大理念，统筹软件产品安全的设计成本，用户运用软件的习惯以及安全功能预设的必要性，协调平衡设计安全的功能和服务内容，体现了美国对于安全“韧性”战略的设计实践。

（一）提出“前瞻安全”，即安全应与生俱来并伴随产品不断优化

《指南》提出了“前瞻安全”的思路并阐明了其内涵，即产品在开发前的安全技术构建能够合理地防止恶意网络行为者成功访问设备、数据和连接的基础设施。前瞻的安全性优于向后兼容的安全性，设计安全的产品和服务是网络韧性的基石。《指南》提出了以下三点建议：一是软件开发商应在设计过程中进行风险评估，制定书面的安全设计路线图，预先识别和列举对关键系统的潜在网络威胁，并在产品规划路线图中包括对不断演变的网络威胁的保护措施。二是建议软件开发商在产品开发阶段使用定制的威胁模型来解决系统的潜在威胁，并说明每个系统的部署过程。三是敦促软件开发商对其产品和平台采取全面的安全方法，要求软件开发商在产品设计和开发过程的每一层都投入专门的资源，包括那些对客户来说“看不见”的资源（例如迁移到安全的编程语言等），而这些投入将伴随着产品的迭代不断更新和优化。

（二）强调“按需安全”，即安全配置应实用有效且不过度

《指南》认为，用户需要的是更多安全的产品，而不是更多的安全产品。安全应该被视为用户获得的权利，而无需谈判或支付额外费用，并且产品能够在不增加额外消耗的情况下抵御流行的网络攻击技术。具体来说：一是产品开发商应该优先考虑开发客户关心的功能，而不是开发那些看起来有吸引力但容易扩大攻击范围，增加安全风险的功能。二是由于大量安全漏洞是由相对小部分原因造成的，因此，产品开发商开发的功能应当符合主流的安全需求，确保用户在使用过程中可以避开多数安全漏洞。三是安全防护不应该增加用户的负担，用户在使用过程中安全的投入和消耗应该越来越低，而不是随着产品的使用安全投入越来越高。

（三）提倡“默认安全”，即关注用户习惯，预先启用防患于未然

《指南》提出，安全环境应该体现为一种预设的默认服务，贯穿产品设计和使用的全过程。软件产品在开发过程中应具备“默认安全”能力，其默认设置应达到“开箱即用”的程度。在产品使用过程中，安全功能应适时、有效地启用，以保护用户和企业免受恶意网络行为者的攻击。拥有“默认安全”设计的产品旨在让客户敏锐地意识到，一旦他们偏离默认安全环境，将会增加受到威胁和侵犯的风险。为此，开发商需要做到以下两方面：一是自动启用重要安全控制。在默认情况下，产品应自动启用保护企业免受恶意网络行为者攻击所需的最重要的安全控制，并提供使用和进一步配置安全控制的能力。二是承担并完善安全配置复杂性。软件开发商应承担并完善安全配置的复杂性，通过优化安全的产品配置，帮助客户保护“默认路径”，确保产品按照“默认安全”标准安全地开发、分发和使用。

三、启示与建议

近年来，美国、欧盟等多个发达经济体发布了相应的政策法案，着眼于网络数字产品的设计和开发过程，以推动提升产品全生命周期的安全。2022 年 9 月，欧盟发布了《网络安全韧性法案》，旨在确保计算机硬件和软件产品以较少的漏洞投放市场。2023 年 5 月，美国发布了《网络安全国家战略 2023》，要求将网络风险的责任从用户侧转向技术供应商，并通过立法规定软件产品和服务的责任。2022 年 5 月，英国发布了《国防网络韧性战略》，要求软件供应商设计出能够与网络防御能力互操作的终身产品。这些政策的发布进一步规范了安全的源头，即软件产品的安全要求，对我国实现安全左移，提升供应链安全与韧性提供了借鉴和参考。

（一）优化管理标准指南，引导安全建设向“上游”发展

随着我国对软件产品开发过程安全重视程度的不断提升，已经制定了《数据安全法》《网络安全审查办法》等法律法规，并发布了《信息安全技术—网络安全等级保护基本要求》《应用软件编程指南》等标准指南。这些文件对软件产品的开发过程提出了相关的安全要求。然而，在具体操作和实施方面，安全仍然处在行业应用的“下游”，用户单位的安全风险与安全产品供应商提供的服务往往不能精准匹配。为了改善这一状况，需要采取以下措施：一是调整产品评价思路，鼓励将网络安全能力作为产品性能考核的重要标准，将安全能力作为一项基本服务贯穿产品设计、开发和服务全流程，进一步改善安全维护“头疼治头，脚疼治脚”的情况。二是细化标准指南，产品采购单位应加强对产品开发商和供应链相关环节供应商的安全考核要求，要求厂商提供必要的安全设计细节，并提高安全能力在评级评价中的权重分数，进而提高产品开发商对安全能力的重视程度。三是鼓励第三方评价机构和相关行业协会发布软件开发安全相关建议指南说明书和典型做法，让软件产品开发商不仅明确产品安全审核的标准，也为开发实践的具体路径提供可行的参考，避免了用户单位不必要的资源投入。

（二）加强部门协同联动，推动设计开发与安全融合

安全问题贯穿于产品应用全过程，这需要软件开发商和安全供应商共同推进，更需要相关行业、产业主管部门协同配合。一是软件供应商的主管部门应加强对产品开发过程的要求和管理，借鉴《指南》的做法，着眼于产品设计环节，强化安全能力构建顶层设计，建立针对厂商的安全管理组织机制和问责机制，自上而下重视安全能力建设。二是加强行业用户主管部门与供应商主管部门的协同。将用户的安全需求与软件产品开发商的开发、安全厂商的服务有机融合。通过政策引导、专项合作等多方面支持方式，将安全厂商相关服务和技术人员融入产品开发团队，推动安全产业与行业用户间的交流协作，引导安全产业面向用户的核心安全需求开发相应的产品。同时，鼓励采购具备安全设计的产品，共同推动安全技术创新发展。三是加强应用管理部门与审核评价部门的协同。将产品设计开发环节的安全性与采购应用过程建立多维联系，可通过设计供应商评分规范、制作安全产品规范目录等方式，推动形成不断丰富、动态调整的安全供应商资源库，这将加强用户对安全产品的认知，进一步提升安全服务能力。

（三）调动联盟行业力量，提升产业安全能力水平

行业组织和联盟协会作为产业技术市场和安全风险感知的前沿，应发挥它的优势和灵活性，在提升产品设计开发环节的安全能力方面应发挥更加积极的作用。一是调动产业联盟力量，围绕设计安全举办软件产品安全开发比赛，软件安全设计论坛、博览会等活动，组织更多的软件开发商和安全厂商展示产品的安全能力和设计开发过程，让用户单位对产品的安全能力有更为深入的了解。二是鼓励联盟协会采用更“激进”的方式，在确保公正、公开、公平的前提下，通过更有影响力的平台定期公布在开发过程中采用安全设计的企业和产品，并对优秀产品和企业进行动态排名或公开发布设计安全能力优秀案例，引导安全厂商开发新技术，形成良性竞争。三是组织安全教育培训。提高用户单位、软件开发商人员的安全能力水平。借助网络安全厂商的技术和人员力量，帮助网络安全厂商与软件开发商、用户单位更好地协同，把握安全风险发展趋势，研发更加稳定高效的产品。

（四）加强国际合作，深入推进构建网络安全共同体

我国积极推动国际社会制定网络安全国际规则和标准，提出了《网络空间国际合作战略》《全球数据安全倡议》等重要举措。面对日益复杂的国际形势和严峻的网络安全挑战，我们应持续深化网络安全领域的国际合作，以软件产品设计开发为核心，推动国际社会形成安全共识。为此，提出以下建议：一是倡导建立产品设计安全国际规则和标准，积极与全球各国就软件产品设计安全加强信息共享，通过制定、发布针对产品设计安全的国家标准，向更多国家输出安全产品建设方案和应用案例，推动提升国际影响力和产品认可度。二是持续拓宽双边和多边网络安全国际对话范围，积极参与并支持联合国、国际电信联盟等多边合作机制，依托一带一路、上海合作组织、中国—中亚五国、金砖国家等对话机制，更广范围、更深层次推进网络安全国际交流。三是积极组织举办以网络安全为主题的国际活动，展示网络安全中国方案和中国产品，推动构建安全、和平的网络安全供应链合作伙伴体系。

（本文刊登于《中国信息安全》杂志2024年第7期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情