当前位置:CIO频道CIO联盟 → 正文

工业互联网下的软件供应链安全

责任编辑:cres |来源:企业网D1Net  2021-10-22 12:19:50 原创文章 企业网D1Net

10月22日,由企业网D1Net、中国企业数字化联盟、信众智CIO智力输出及社交平台共同主办的2021全国工业互联网CIO大会暨《2021工业互联网白皮书》发布会在浙江 • 嘉兴举办。本次大会以“工业互联网落地实践”为主题,汇集约200家制造业CIO和IT主管,以及多家一线工业互联网领域的解决方案提供商,共同探讨工业互联网在企业应用实践中的突出问题,寻求破解之道。《2021工业互联网白皮书》同期在会上重磅发布,为我国工业互联网的发展再添助力,为广大制造业企业的数字化创新实践提供参考依据。
 
以下是现场速记。



软安科技CEO 徐刚

徐刚:谢谢主持人,谢谢各位来参会的嘉宾。非常高兴今天有机会在这里给大家做一些分享,首先自我介绍一下,我是徐刚,之前我在IBM和微软做过20年,离开IBM的时候是IBM混合云大中国区的总经理,我离开IBM之后我也在甲方做了三年半,我加入了新奥集团。离开新奥集团的时候,我是新奥集团的高级副总裁,主管数字化。所以跟在座的各位CIO我觉得还是有些交集,而且也是蛮有体会的。离开新奥,我们现在在做软安科技。
 
我简单把软安科技大概介绍一下。软安科技我们刚成立不久,今年5月份才成立,6月份的时候我记得在成都CIO大会的时候我跟范总还讲,我说有机会的话,我希望能够在这样一个会上来分享我们的一些东西,我们差不多经过半年多的时间,团队不断的努力,我们也快速推出了我们自己的一些安全类产品。软安科技它的定位,它的投资主要是由新思科技、成都高新政府、社会资本以及我们共同投资成立的一家公司,这个公司的定位就是做安全,为什么做安全?做数字化我自己在新奥集团做三年半,自己也是深有体会,CIO都是有很多的挑战。CIO这个工作也不是一个好做的工作,你要上懂战略,下懂技术,从左到右,从硬件到软件,到平台,到整个业务,你要融会贯通,而且要对各方面都很精通,其实是非常困难的。
 
我在新奥做的时候也是有这个体会,我离开新奥前的一年,我已经意识到新奥虽然在高速发展我们的业务,但安全这一块还是有很多隐患,很多漏洞。所以那时候就开始着手建立我自己的安全团队,新奥的安全团队从我初始建立有20几个人的团队,到今天已经有200多人的团队,就是光在新奥集团里面做安全的,而且当时新奥集团的主席也非常重视,也是给了很多资金。我离开新奥,我们做这个公司的时候我们也看到了一点,安全确实是一个蛮大的问题。
 
CIO我们要看这么多东西的时候,被业务追的很紧的时候,你的安全有时候会忽略掉,但是安全是非常核心的一个点,如果安全做不好,那你做的数字化就好像搭的一个海市蜃楼,分分钟要瘫痪。所以可以看到,我们讲数字经济的发展2020年的时候我们讲数字经济规模达到39.2万亿,GDP比重已经到了38.6%,这个数据我们也觉得是非常意外的,这么大的一个比重,而且我们现在看到对数字化建设是持续投入、持续增加。但是安全这一块,我们面临两个很大的问题,第一个问题就是安全要面临的点是非常多的,我们到底怎么去解决我们的安全问题?我们是快速构建自己的团队,形成我们的能力,还是我们用什么样的方式去做?第二个问题就是安全不断的投入,还遇到一个很大的问题就是人才,没有足够多的人才可以来支撑我们去做安全,我们到底怎么去解决这个问题?所以回过头来讲,软安在定位安全的时候,市面上做安全的公司也非常多,今天上午就有腾讯安全,业界还有很多,但大部分的安全公司在做网络安全为核心,打造整个的产品体系。但是我们也看到了一个蛮大的问题,除了我们讲软件也好、硬件也好,系统上线之后的安全,我们更多也会关心,所有数字化好多都是软件组成的,那我们怎么保证自己的软件本身的安全呢?这也是我们自己已经看到的,就是在软件到处都在的时候,我们保证软件的安全已经成为了我们的一个很重要的点,这也是软安刚刚成立的时候我们就往这个点上去切入。
 
还有一个很重要的环节是什么呢?国家现在对安全的要求越来越高,这不是说我们要不要做的问题,而是一个法律层面的问题,从《网络安全法》《数据安全法》,包括定制软件管理,代码过程管理,开发过程管理有了更详细的要求,也迫使我们要思考这上面到底怎么往上完善。
 
回过头来我们讲工业互联网,工业互联网的安全跟传统互联网的安全还是有一些本质上的不同。传统互联网的安全更多是在于数据的安全,就是互联网的数据,这里有很多价值,我们基本上是说怎么去获取数据,数据一旦丢失,会给企业造成一个蛮大的损失。而在工业安全里面来讲,我们看到的是企业自有投资的一个实体,我们讲的是在工业互联网越来越多的智能设备使用,越来越多的安全系统智能化的上线,包括我们的互联网,让工业系统原来是一个封闭系统也逐渐往开放这边走。所以我们看到,未来工业上安全的损失可以说对我们的破坏是更大的,它破坏的是一个实体价值,而且对我们实体会造成一个长久的影响。
 
为什么讲工业互联网安全里面软件供应链变得越来越重要?我们认识到很多工业场景里面,不管是工业的设备也好或者是软件的引入也好,大量软件的使用使得我们风险的暴露度越来越大,怎么样保证这边的安全也变得越来越重要。我们可以看到这里有几个数据。在数字化转型过程中,工控设备高危漏洞风险占比是91%,存在一个极力的风险,平均每个智能工厂就有很多的漏洞,包括现在整个黑客也是把供应链上的安全看成一个很重要的点,我们看到有很多制造商也好、供应商也好、集成商也好,他们在给企业提供方案的时候,比如生产厂商有的时候为了维护自己的设备,他可能会留一些后门,或者说基础的软件商提供服务的时候,我们前段时间也看到人行这边也发出一些警告,因为是一家OA企业,他提供OA解决方案,本身这个公司被攻克了,被植入了代码,造成了后面的漏洞,也形成了对整个生产系统的一个泄密。所以我们可以看到,安全的防范性变得越来越重要了。
 
我们回过头来讲,安全我们到底从哪里去看?传统的网络安全还是继续去做网络安全,但是我们现在提出一个蛮重要的观点,就是说安全左移的问题。我们怎么样把安全从源头就解决这个问题,去保障一个软件的质量。这有两个原因,从外因来讲,一是监管要求陆续出台,包括传统的安全它没有办法看到一个根本的原因,而且它的修复成本是非常高的。从内因来讲,软件本身的漏洞,Gartner是75%安全攻击由软件自身漏洞造成,包括NIST,92%漏洞是应用自身弱点,非网络原因。所以我们可以看到随着自主可控,好多开源代码被广泛使用,超过八成软件项目中存在着高危开源软件已知的漏洞。随着我们攻击不断的左移,对我们软件供应链的攻击,形成整个安全隐患的案例也越来越多。
 
另外一个问题,我们要形成这样一个安全,我们怎么保证效率和安全的平衡?既然我们用了大量的代码,用了供应链上面这么多的安全,我们怎么样去提高我们自身的效率,现在也变成我们自己的CIO,包括我们自己企业内部要考虑的问题。从工具层面来讲,工具链本身的安全也好,包括我们用一些测试的工具去做,它的误报率、漏报情况也会非常多。对于人员来讲,我们怎么样去学习这个工具,怎么样能够让我们的团队快速掌握这样一种能力,这个成本和效率也是一个很重要的原因。
 
我们现在讲的是,目前我们看到整个企业对业务的需求不断增长的时候,我们对敏捷开发的要求也提出来。未来在敏捷开发的过程中,我们怎么样能够通过一套稳定的、可预期的、自动化方式跟敏捷开发做一个整合,这是我们业界提的比较多的,就是DevSecOps,边开发边保证我们的安全,软件产生的时候就形成我们自己安全的一个防御。
 
目前我们看到的问题,第一是单一的我们去买一个安全检测工具是不是可以解决问题?我们讲它的全面性还是有问题。第二我们发觉问题的时候,我们是不是马上可以去改,而且可以持续的让我们软件质量保证是一个闭环,所以它的有效性,它的闭环处理是怎么做的。第三就是专业性,未来安全这一块,包括软件安全这一块的知识、能力能不能持续的沉淀,形成我们自己行业的特色,这也是我们在思考的一个点。
 
我们自己看到这些问题之后,我们也在打造我们自己的平台产品去解决客户的问题。主要从几方面:
 
第一,不管是我们的代码库还是运行实力来讲,我们未来能通过一个多维智能分析引擎,根据不同时间点,根据我们的要求去查找我们自己的问题,而且根据不同的工具,我们能够形成一个多维的报告来进行一个互相认证,能实现我们自己的动态化监管,以及未来通过一个知识库不断沉淀我们行业的知识,行业的能力,使我们自己的平台能够不断进化,这是我们未来在设计我们自己的一个大平台的时候思考的点。
 
第二,从政府架构来讲,我们整体设计平台架构考虑的,一个是底层知识库,从标准漏洞库也好、扫描库也好,我们逐渐去把我们未来的行业规范和历史经验进行不断的沉淀,同时通过我们多工具的整合,我们能够来实现未来的任务调度。这个任务调度能够让我们在开发过程中,在正确时间、正确地点选择正确的工具,得到个正确结果。未来我们再通过一个分析和监管的平台,让我们各层管理层也好、开发人员也好,各个不同的岗位角色能够拿到自己最合适的报告,并且能进行快速的更改。
 
这就是我们讲的一个智能任务编排系统,它是根据任务的策略,根据我们的项目,同时我们的检测策略、任务策略,实现对流水线工作的定义。
 
这是一个知识库的打造,扫描报告,任何一个工具做的时候也会出现我们自己的局限性,也会出现我们的误判也好、误扫也好。这些扫描报告未来通过我们自己打造的数据库去做什么呢?去进行分类聚汇,逐渐形成我们自己的风险识别模型,来告诉我们哪些是高风险,哪些是低风险风险级别是什么,我们建议措施是什么。通过我们自己的机器学习,未来会让我们知道有些问题在我们的企业内部是可以被忽略的,有些问题是我们必须重视的,而且会形成我们自己的一个标准,并且告诉我们未来应该如何处置。
 
第三,针对于多角色人员就是不同开发人员也好,测试人员也好,包括我们项目经理、产品经理以及管理层,我们能够根据我们场景拿到不同报告,能够看到各种指标,能够让我们对企业内部软件安全、代码安全有一个全方位的了解。
 
基于这些思考和想法,我们在打造“金刚”软件质量安全平台,这个“金刚”我们希望未来能够把我们软件的平台也好、产品也好真正变成企业IT的一个护法神,真正守护我们自己的安全。所以我们从安全左移开始,我们能够把它和DevSecOps整合,能够形成DevSecOps整体方案,为整体安全做一个完整的防护。
 
这是我们软件安全质量平台核心的一个点,我们提了几点:一是我们是一个多维的报告中心,它能够根据不同工具、不同扫描方式来得到我们软件安全的综合分析,包括开源代码的使用,开源代码的安全,我们的使用量,我们的漏洞,我们的逻辑错误等等;二是我们能够自适应进行安全任务的编排,能通过安全任务自动编排,我们能知道在什么时候做什么样的事情;三是我们能够兼容各种生态产品,目前我们是把新思的各类代码扫描,包括它的开源软件成分分析等等软件我们已经整合进来,未来也会有一些基于开源的平台和产品持续做整合。四是我们有一个智能升级的知识库,随着我们内部企业的使用会不断的提升它的学习能力,提升它的知识成分。五是我们可以做SaaS化运营,可以兼容主流云平台,可以在私有云里面部署。六是我们也提供了API的支持,能够通过平台提供安全服务能力,跟它自身的敏捷开发平台做无缝整合。
 
(图)这是能看到的几个画面,门口也有一些演示,大家可以去看。我们整合了不同平台的工具,我们来进行整体的安全扫描,包括流水线的工作,我们能够告诉这个项目目前的进展以及项目每个阶段需要执行什么样的动作。这里是一个问题的报告,我们对我们自己的项目,包括我们以项目为中心,以任务为中心,我们都可以来快速展现有问题的项目。
 
这是团队效率的分析,跟DevSecOps整合,它不仅仅可以知道我们是哪个项目,还可以知道开发人员的开发效率怎么样,出现问题的概率是怎么样的,哪些是一些严重的问题需要我们来解决的。
 
我们也有一些试点客户去做一些沟通。实施该项目的方案后,整个安全质量的提升是显著的,而且对于测试人员安全测试的效率提高也好,对整个跟踪也好,大大降低了未来产生风险的成本。这是我们实施前后的报告,从应用安全漏洞的管理和开发团队的协作、安全应用及生命周期管理里面,整个效率是得到了一个比较大的提升。
 
今天时间关系,我们初步介绍了一下我们产品的一些雏形和想法,从软安来讲,我们的方向还是有几个地方可以跟企业进行深度合作。一是软件质量安全的平台,这个平台化我们可以快速跟企业内部做整合;二是数据安全这一块,我们有相应的产品随着《数据安全法》的发布,我们也推出了相应的数据安全类产品,因为时间关系,这次会议上我们就没有做一个比较详细的介绍,如果大家感兴趣我们也可以做进一步的介绍。我做一个小广告,我们数据安全的角度,因为也是考虑到企业数据服务、数据中台开始不断的完善,我们也发觉未来我们怎么保证数据对外进行服务的时候不会有问题。所以我们能够通过数据网关和数据规则引擎、平台去定义什么时间点、什么人能够看什么样的数据,如果遇到数据问题的时候,我们能够通过什么样的方式快速阻止或者提醒我们遇到数据安全的问题。三是专业的安全服务以及我们未来智慧化安全运营的平台,这是未来软安能够提供的。
 
用一个简短的时间给大家做一个简单汇报,大家如果感兴趣希望跟我们有一个更进一步的沟通,感谢范总在嘉兴这样一个最牛的创业团队发源地,也希望我们项目随着跟大家进一步的沟通,我们也能够不断成长,能够借这个创意吉祥地,能让我们自己的业务蒸蒸日上。感谢大家!

关键字:工业互联网

原创文章 企业网D1Net

工业互联网下的软件供应链安全 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2021 京ICP备09108050号-6

^