7月9日，由國家工業信息安全發展研究中心聯合信創安全技術委員會舉辦的“信創安全大講堂”第一期活動圓滿結束。信創安全技術委員會主任、360集團副總裁兼首席安全官杜躍進博士以“信創安全的問題、方案與計劃”為題，從信創安全的背景、建設思路和工作進展三個方面闡述了當前信創安全工作的思路與進展。

從風險可控到體系創新，信創安全亟需多方協同 

隨著全球數字化大潮翻涌而至，信創產業作為科技創新的重要領域，是構建國產化信息技術全周期生態體系的主要抓手，更是新一輪科技革命和產業變革的關鍵力量。因此，信創產業的安全將為中國奠定堅實的數字基礎，成為保障中國經濟數字化轉型平穩健康發展的底座。

 “有人問信創怎么會有安全問題？”杜躍進博士以一個十分基礎卻又關鍵的問題開始了此次分享，“信創是減少了別人給你提供產品時在里面故意做手腳的概率，但是它并不能避免我們自己做的產品里有安全問題。”

談及信創安全防御方法與傳統安全的區別，杜躍進博士指出，當前的基本做法和原來并無本質不同，都面臨嚴峻的能力建設和整體集成方面的挑戰。但是，在面向未來的時候，信創安全的方法有可能做得更加完美和體系化，“因為我們有機會從最底層軟硬件設計時就把安全考慮進去，從最底層到最高層，從產品到功能，到整個運營體系，設計出一套比過去更完美的運營體系，因為過去并沒有機會這樣做，導致整體銜接上的困難。”

信創安全想要從風險可控順利過度到體系創新，這個過程需要信創用戶、信創產品供應商、網絡安全行業等多方深度綁定和協同聯動。

杜躍進博士指出，信創用戶需要扭轉安全意識，不要認為只是買一點產品就可以了，還需從單槍匹馬轉為聯合作戰，以應對信創安全挑戰；此外，現階段很多信創安全工作需要和信創供應商一起開展，一定要在最開始的時候把產品做好；網絡安全從業者則需要抓緊熟悉信創產品，必須和信創產品供應商深度綁定應對安全威脅，和信創用戶深度綁定幫助他們應對信創安全事件。

360信創安全大腦賦能信創安全能力體系建設

現階段，信創安全本身不是在技術上有多大不同，而是在工作上極具特殊性，因此需要的是集成創新和機制創新。當前的信創安全大環境正呈現出基礎薄弱、國際形勢惡劣、時間緊迫、協調困難等諸多棘手問題，需要形成有針對性的思想逐一應對。

由此，杜躍進博士提出了攻防視角、整體思維、統一調度、開放運營、能力驅動五大核心設計思想?；谶@五大思想，信創安全的整體工作主要涉及三個層面，分別為產品本身的安全，產品運行安全，以及最終用戶的業務安全。

具體而言，產品安全涉及可信性和安全性。可信性是所有安全最基礎的東西，解決的是軟件、硬件、數據和人員等作假的問題，依賴的主要是數字證書等技術和運營體系。

值得一提的是，早在2018年，360就依托瀏覽器產品，極具戰略前瞻性地推行“360根證書計劃”，目前已覆蓋全球98%HTTP流量，成為中國唯一、全球第五大自有根證書庫。而后，360聯合統信軟件、多家國內CA、網關廠商、Ukey廠商在2020年8月，再度共同發布“信創國密根證書計劃”，進一步夯實了數字證書的安全根基。

軟硬件產品本身有安全缺陷或者有安全漏洞導致被攻破，這個屬于安全性問題。“漏洞無法避免，只能想辦法減少容易利用的漏洞，同時增加攻擊者利用的難度，” 杜躍進博士強調。

產品運行安全涉及可控性、可對抗性。和安全漏洞無法避免一樣，安全事件百分之百會發生。信創安全的可控性是指當別人攻進來時，能夠及時發現并且做出快速、高效、有效的反應，讓危害不再擴大，損失可控。然而，網絡攻擊存在嚴重的攻防不對稱問題，防御者的資源遠遠經不住攻擊方的消耗，因此必須要在“自己家”外形成一定的對抗能力，想辦法增強溯源、取證、懾阻的能力，減少攻擊方的破壞能力或者提高其成本，這是可對抗性。

對業務安全層面而言，可存活性則是關鍵。杜躍進博士將其生動地形容為“保命”，在前四個層面未達到滿意時，就需要通過第五個層面的綜合作用達到整體風險可控的水平，保證關鍵數據不受影響，核心業務不癱瘓。

在這個過程中，最大限度地整合防守方的安全資源，提升整體應對能力，進一步改變攻防不對稱劣勢，需要建設信創的安全大腦，實現大規模安全數據的分析，頂級安全人員大規模協同支援和高水平協同應對等。

作為數字經濟的守護者，360政企安全集團基于15年實戰攻防經驗和230億安全研發投入，打造了以安全大腦為核心的新一代安全能力框架。在這套能力框架的賦能下，安全大腦能夠匯集信創領域的攻防經驗，漏洞、產品、用戶等信息，形成一整套知識體系，幫助用戶高效分析安全事件。其次，通過為用戶建設應急響應中心、運營中心、靶場等基礎設施，進一步打造分析、發現、協同應對體系，并實現各種能力的持續演進。最終通過安全專家持續運營，向用戶提供多種安全服務，實現從產品安全、運行安全、業務安全全面賦能信創產業發展。

在這場百年未有的大變局中，一個國家的網絡安全和信息化，在很大程度上決定了國家安全和科技產業水平。360政企安全集團將以打造國家網信安全護城河為己任，發揮大數據、技術、人才等優勢，聯合各方網絡安全力量，助力信創產業在短期內快速建立起應急體系，在中期建立起能力體系，在遠期形成獨具特色的信創化安全體系和生態，為我國信創產業發展持續貢獻力量！