加强基础软件信息安全刻不容缓

　　当前我国操作系统、数据库、中间件以及办公软件等基础软件市场仍以美国厂商为主导，软件产品本身仍存在一些安全“后门”。为进一步提升我国信息安全保障能力，确保国家网络安全运行，需从政府和基础软件厂商两个层面来推动我国基础软件自主可控、安全可靠发展。

　　政府层面：完善生态发展环境，鼓励自主创新，加强安全测试服务，推进协同发展。

　　一是建立和完善国产基础软件的生态发展环境。制定相关规定，从国家层面对国产基础软件安全性进行把控；制定软件安全保障规范，推行安全开发理念；完善国产软件安全技术支撑体系，夯实服务能力，提供技术支持保障；国家从政策引导、资金保障等方面促进软件安全测评技术的自主创新和产品研发。

　　二是提升对基础软件的信息安全测试服务能力。加强对基础软件产品与服务的安全检测和风险评估，进一步降低安全隐患。鉴于中间件产品与操作系统、数据库不同，缺少相应的安全等级规范，需进一步加强对中间件产品的安全性测试服务。

　　三是引导基础软件厂商与信息安全专业机构加强合作。要实现资源共享，围绕漏洞扫描、产品安全检测、服务风险评估、解决方案安全验证，以及产品安全开发管理等方面，建立常态化交流合作机制，持续提升国产基础软件的信息安全保障能力。

　　企业层面：构建信息安全保障体系，提升信息安全防护意识，加强专业人才队伍建设，推进安全风险评估，加大信息安全监督检查力度。

　　一是建立健全信息安全保障体系。从企业领导、项目经理到一线开发者均要高度重视产品和服务的安全，并在软件产品生命周期各个阶段加强安全性把控，进而构建有效的信息安全技术保障机制，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力。

　　二是加强信息安全教育宣传，提高安全意识。积极组织开展国产基础软件产品信息安全的培训、测试认证和普及宣传，定期召开重要厂商和主流企业级用户信息安全应用与案例研讨会，持续提升用户单位技术人员信息安全意识和技术风险管控水平，为实现信息网络安全工作常态化、规范化、制度化做出相应的措施。

　　三是加强专业人才队伍建设。要重视人才引进，选拔素质高、技能强、具有一定管理经验的人才从事信息安全工作。重点加强业务高端系统运行人员技能的培养力度，不断提高实际操作能力与应急能力。

　　四是积极推进信息安全风险评估。根据国家风险评估有关标准，采取以自评估为主，委托评估检查机构为辅的方式，在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估。

　　五是健全标准规范体系，加大监督检查力度。重点加强国产基础软件产品与服务测评、准入、认证等相关技术规范与标准。依据已确立的技术规范、标准与制度，定期开展信息安全检查工作，确保信息安全保障工作落到实处，保证检查工作的针对性、深入性和时效性。

　　中国电子信息产业发展研究院软件与信息服务业研究所韩健

关注读览天下微信， 100万篇深度好文， 等你来看……