软件产业发展获政策扶持 软件安全市场全面爆发
2020-09-09 17:44 开源网安

近日,国务院发布了《新时期促进集成电路产业和软件产业高质量发展若干政策的通知》(以下简称“《若干政策》”),其中强调了软件产业是信息产业的核心,是引领新一轮科技革命和产业变革的关键力量。特别是我国近年来软件产业的快速发展,有力支撑了国家信息化建设,促进了国民经济和社会持续健康发展。为进一步优化软件产业的发展环境,深化产业国际合作,提升产业创新能力和质量,国务院制定了若干扶持软件企业的相关政策。

《若干政策》中的第十八条和第三十三条指出“鼓励软件企业执行软件质量、信息安全、开发管理等国家标准。提高软件质量,增强行业竞争力。”“完善网络环境下消费者隐私及商业秘密保护制度,促进软件和信息技术服务网络化发展。在各级政府机关和事业单位推广符合安全要求的软件产品和服务。”这些条款一方面从政策上保障了国内软件行业的快速发展,另一方面也引发了国内软件行业对如何保障软件安全问题的思考。

国产基础软件迎来春天

前不久,美国政府单方面宣布将33家中国公司和机构列入所谓的“实体清单”,被列入名单的公司、机构与个人都将禁止使用美国公司的产品和技术。目前国内使用的如Windows操作系统,Oracle数据库管理系统,Office办公软件,到CAD,CAE,EDA,CAM,CFD,TCAD等工业软件,包含MATLAB在内的常用数值计算软件产品几乎全部来自于欧美国家,而这些软件也已渗透到了国内技术研发的方方面面,从高校到企业,再到政府单位,种种迹象表明,各种软件断供的可能性未来会越来越高。

更严重的问题集中在工业软件领域,我国是制造大国,制造业占比全球约50%,吸纳超过1.5亿就业人口,但工业软件发展和应用水平却与地位不符。国内自主工业软件发展现状可以概括为“管理软件强,工程软件弱;低端软件多,高端软件少”。数据显示,2018年我国工业软件市场上,真正把握生产命脉的研发设计软件和生产控制类软件,自主率只占比13.5%和13.36%。也就是说,一方面,国内自主工业软件在生产管理、客户服务和综合管理等运营管理领域发展相对较好,在工程研制领域发展略显逊色;另一方面,国内自主工业软件在低端领域的竞争力相对较高,高端领域很多还是空白。这种受制于人的局面是非常被动,更是非常危险的。

图一:软件类别介绍

细分来看,我国研发设计类软件市场80%被国外公司主导,其中达索系统和西门子PLM市场占有率分别19.05%和10.73%;生产控制类软件市场有60%左右市场份额被西门子、霍尼韦尔、GE等跨国企业占据;信息管理类软件主要由浪潮、用友、金蝶等国内企业主导,但Oracle、SAP等国外企业仍占有15%左右的市场份额。高端产业领域的专用工业软件则几乎全部被国外公司垄断,如:国内集成电路设计公司的设计工作基本全部依靠Synopsys、Cadence、Mentor三家美国公司提供的芯片设计的电子自动化软件(EDA);90%的航空企业采用达索公司提供的飞机设计软件。

图二:来自倪光南院士总结的中国网信领域长短板

智能化时代的到来,进一步凸显了工业软件的战略意义。美国GE公司面向2020年的目标就是在传统制造的基础上成为全球十大软件公司之一,在硬件与软件的结合中寻找新的增长机遇。

业内人士表示,工业软件是制造业的大脑,是核心指挥系统,缺少了大脑的国内制造业无法实现全生命周期管理。一味的引进国外软件、设备和生产线会使得国内制造业变成躯壳,变成全球制造业的执行系统。过度依赖国外工业软件,失去的不仅是软件市场,更存在丧失产业发展主动权和影响产业信息安全的风险。

在如此中外贸易摩擦升级,没有国外软件可用的外患下,国家正在大力扶持工业软件发展。工信部召开的全国软件服务业工作座谈会明确指出:要抓住传统产业改造升级的迫切需求,大力发展工业软件和行业解决方案,大力发展面向企业研发设计、生产自动化、流程管理等环节的工业软件、嵌入式软件以及解决方案等。从中国制造到中国创造,工业软件是个桥梁,国内厂商必将迎来蓬勃发展的机会。

特别是国务院《若干政策》中,鼓励大中型企业依托信息技术研发机构成立专业化的软件公司,优先在成熟的工业领域,培育一批具有国际影响力的工业软件企业,有利于发挥市场应用优势打造一批知名工业软件产品;也建议相关部门大力支持国内企业集团发挥行业领域优势和特长,成立专业化软件和信息技术服务企业,培育行业细分领域的龙头软件企业,打造知名的软件产品。

清华大学软件学院院长王建民预测,到2025年,我国将形成自主可控的操作系统与工业软件及其标准体系,自主工业软件具有满足市场50%的供给能力,自主工业互联网云平台在重点行业的应用普及率超过60%,工业软件市场空间可达数千亿。

软件安全不容忽视

据工信部统计,2019年我国累计完成软件业务收入约7.18万亿元,软件和信息技术服务业实现利润总额9362亿元,盈利能力稳步提升。受信息技术服务加快云化发展,软件应用服务化、平台化趋势明显,工业软件自主化等利好影响,我国软件行业发展不断加速,迎来由量变向质变的提升新阶段。

但与此同时,我们也要清醒的认识到软件开发安全和应用安全的重要程度,尤其是工业行业,作为近年来地缘政治争夺和网络空间对抗的主战场,攻击事件频发、多发。仅今年上半年,就有包括以色列水利基础设施、伊朗重要港口朗沙希德·拉贾伊、某汽车制造商、某葡萄牙跨国能源公司在内的多个大型工业企业、政府机构遭到攻击,以色列官员更是承认经济损失已成为最不重要的损失。世界形势持续紧张,各种玩家粉墨登场,攻击覆盖行业面广,石油、能源、电力、制造、水利、公共设施,无一幸免。攻击手段综合复杂,数据窃取、隐蔽控制、勒索谋财,无所不用。

新兴的智能工业时代使安全成为全球工业组织的首要任务,工控系统的复杂化、IT化和通用化加剧了系统的安全隐患。尤其是以云、开源、微服务为代表的工业互联网,其开发过程大量使用第三方组件和开源软件提高软件迭代效率,但可能有意或无意将第三方组件和开源软件安全缺陷引入软件,并将随着软件的使用而扩散。

根据Sonatype的软件供应链报告显示,Java、JavaScript和Python的开源组件数量已分别达到了350万个、550万个和到140万个。对中央仓库中350万个Java组件的分析结果显示,超过10%的组件至少包含一个已知漏洞;事实上,研究人员发现,这些组件中有共计300多万个漏洞,任何一个漏洞都可能成为攻击者的攻击目标。

越底层的东西,搭建难度就越大。不重复造轮子是我国软件行业快速自主化弯道超车发展的驱动力,但大量使用开源算法和框架也有可能是在不牢固的地基上盖楼,一旦底层出现问题,后果不堪设想。

安全开发行业市场将迎来爆发增长

在国家高度重视网络安全保障的情况下,没有经过合理安全开发、充分安全测试、有效消除缺陷的“自带漏洞”软件产品大量涌入市场、投入实际应用,必将为已初步成形的国家网络安全保障态势带来新的隐患。

微软于2004年提出安全开发生命周期(SDL),已有十多年历史,在帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程的方法论和工具,重新进入了我国软件行业的视野。不同于网络安全在开发完成后对软件的数据交换进行防控,安全开发旨在从开发阶段将黑客对软件的攻击面最小化,从源头杜绝安全问题。

据统计,应用安全开发流程工具的平均成本占软件开发总成本的3%到5%,却可以避免因安全事故或黑客入侵而造成远高于整体开发成本的损失。Aberdeen Group的研究表明,采取“从源头保证安全”策略的公司,其每年在应用安全方面的投资可实现高达4倍的收益,著名的研究公司Forrester Research再次证实了这一发现,声称需求分析层面纠正安全缺陷的成本,比现场修复的成本低100倍。

图三:Microsoft 提出的SDL安全开发生命周期模型

业界已普遍意识到把安全从运维端左移到开发过程中,才是更优的选项。如微软这样的大型企业也无法避免软件安全漏洞所带来的损失,国内软件行业也将会同样面临安全问题所带来的严峻考验。国产软件行业爆发的同时,安全需求市场也必将快速崛起。

随着云计算的普遍应用,微服务架构与容器技术的使用趋向成熟,既为企业业务高速发展提供了充足的技术保障,又对软件开发运维工作带来了更高的要求。各企业适用的开发运维模型不尽相同,有瀑布模型、敏捷模型、DevOps等,软件安全一直都是贯穿始终的核心,形成不同的安全开发模型。在软件开发生命周期(Software Development Life Cycle)内,不同的安全开发模型,适用场景各有侧重:SDL安全开发模型适用于系统软件,如操作系统,编译处理软件,数据库及管理系统,硬件控制系统等,具有综合性,周期长,迭代慢等特点,其开发过程如同瀑布流程,一步一步地进行分析,预测,实现,测试,实施和支持阶段;DevSecOps安全开发模型适用于应用软件,如文字表格处理,图形图像处理,统计演示软件,网络通信软件等,具有周期短、迭代快、市场反馈灵活等特点,与传统开发流程相比,能够帮助企业更快的发展和改进产品,更好的服务其客户,并在市场上高效的参与竞争。

开源网安的核心理念与此次国务院颁布的《若干政策》可谓不谋而合。开源网安一直以来秉承“让企业交付更安全的软件”的核心理念,致力于帮助企业提升软件的安全与质量,持续向客户提供覆盖软件安全开发全生命周期的安全产品、解决方案、安全培训及安全服务。

其中开源网安软件安全全生命周期平台(S-SDLC)整合了安全开发流程、方法、工具,帮助企业快捷交付安全、可靠的软件。平台继承开源网安庞大的威胁数据库和安全需求库,全面覆盖软件开发从架构设计到部署运维各个阶段的安全需求。以打造安全的软件产品为核心目标,基于差距分析和现有开发流程,着重构造安全开发能力,可定制化交付。

图四:开源网安S-SDLC平台解决方案

除此之外,开源网安还提供灰盒安全测试平台(VulHunter)、开源组件安全及合规管理平台(SourceCheck)、代码审核平台(CodeSec)、模糊测试平台(SFuzz)、实时应用自我防护平台(RASP)等多项产品,同时,基于各产品综合特性,进行优化组合,提供DevSecOps平台解决方案,为软件安全保驾护航。

《若干政策》的出台将进一步推动软件行业的高速发展,而保障软件安全则是发展的重中之重。开源网安作为“软件安全行业的创领者” 及国内领先的软件安全全生命周期(S-SDLC)解决方案提供商,未来将不断提升自身水准,紧跟国家政策,助力政府及企业保障软件安全,为推动我国软件产业实现高质量发展作出贡献。