新基建：数字经济时代的基础设施体系与安全风险,河南百度霸屏营销推广

2024-11-10 • 网络推广

一、简介

2020年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

“新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

2、开源软件现状分析

随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

（一）开源软件安全形势极其严峻

事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2020年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

（二）开源软件产生的蝴蝶效应不容乐观

根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

（三）开源软件供应链可能隐藏高级网络威胁

正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

（四）开源软件仍处于管理盲区