掃碼訂閱《中國信息安全》

郵發(fā)代號 2-786

征訂熱線：010-82341063

文 | 北京長亭科技有限公司 王昱 袁勝

近年來，隨著國家自主創(chuàng)新戰(zhàn)略的深入推進(jìn)，國產(chǎn)軟硬件產(chǎn)品在我國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的應(yīng)用日益廣泛，成為支撐國計民生系統(tǒng)穩(wěn)定運(yùn)行、保障國家數(shù)據(jù)主權(quán)與網(wǎng)絡(luò)安全的重要基石。尤其在當(dāng)前復(fù)雜多變的國際網(wǎng)絡(luò)安全形勢下，推動自主創(chuàng)新不僅是技術(shù)自主的必然選擇，更是維護(hù)國家安全和社會穩(wěn)定的戰(zhàn)略舉措。然而，從近年的網(wǎng)絡(luò)安全實(shí)網(wǎng)攻防演練、安全評估與應(yīng)急響應(yīng)實(shí)踐來看，在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，國產(chǎn)化產(chǎn)品的應(yīng)用安全問題日益突出，尤其是由安全漏洞所引發(fā)的風(fēng)險。如何系統(tǒng)破解國產(chǎn)化軟硬件產(chǎn)品的漏洞安全難題，進(jìn)而構(gòu)建多方協(xié)同、持續(xù)演進(jìn)的安全生態(tài)，已成為當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域推進(jìn)國產(chǎn)化進(jìn)程、提高整體安全防護(hù)能力的緊迫課題。

一、關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化產(chǎn)品面臨的漏洞安全挑戰(zhàn)

關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)大多具有實(shí)時性高、業(yè)務(wù)連續(xù)性要求嚴(yán)、系統(tǒng)復(fù)雜度大、數(shù)據(jù)敏感性強(qiáng)等特點(diǎn)，對國產(chǎn)化產(chǎn)品的安全性、穩(wěn)定性和可維護(hù)性提出了更高要求。在實(shí)戰(zhàn)攻防背景下，當(dāng)前國產(chǎn)化產(chǎn)品的漏洞安全風(fēng)險日益凸顯，貫穿于漏洞的全生命周期，其中的“產(chǎn)生、利用、修復(fù)”等環(huán)節(jié)，主要面臨以下四個方面的突出挑戰(zhàn)。

（一）漏洞“產(chǎn)生”階段：產(chǎn)品自身安全性薄弱，漏洞頻出

國產(chǎn)化產(chǎn)品的開發(fā)生產(chǎn)階段，同時也是漏洞的“產(chǎn)生”階段。部分國產(chǎn)化產(chǎn)品在研發(fā)設(shè)計階段，未能充分融入關(guān)鍵信息基礎(chǔ)設(shè)施特有的高可靠、高安全要求。安全開發(fā)生命周期管理不足，安全編碼規(guī)范執(zhí)行不嚴(yán)，安全測試（尤其是針對復(fù)雜業(yè)務(wù)邏輯和特定工控協(xié)議的滲透測試）覆蓋不全面，導(dǎo)致產(chǎn)品本身存在基礎(chǔ)性安全缺陷。在集成大量開源組件時，對組件漏洞的跟蹤、評估和修復(fù)不及時，易引入遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、數(shù)據(jù)篡改等高風(fēng)險漏洞。例如，某國產(chǎn)辦公自動化（OA）系統(tǒng)多次因FastJson、Log4j2漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行，反映出產(chǎn)品在組件管理和漏洞修復(fù)方面的滯后性。關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)一旦因這類漏洞被攻破，可能導(dǎo)致生產(chǎn)中斷、設(shè)備損壞甚至更嚴(yán)重的公共安全事件，直接威脅國民經(jīng)濟(jì)命脈和社會穩(wěn)定。

（二）漏洞“利用”階段：國產(chǎn)化產(chǎn)品的漏洞攻擊檢測和防護(hù)能力不足

首先，國產(chǎn)化產(chǎn)品的防護(hù)手段存在不足。例如，對國產(chǎn)云、容器、堡壘機(jī)等的特定攻擊手段缺乏有效的檢測規(guī)則，且在國產(chǎn)中間件內(nèi)存馬檢測能力方面存在缺失。其次，策略庫積累不足，對國產(chǎn)化產(chǎn)品特有的漏洞檢測和攻擊識別規(guī)則積累不夠，無法有效評估其風(fēng)險并及時發(fā)現(xiàn)正在進(jìn)行的攻擊行為。最后，主流安全監(jiān)控軟件對國產(chǎn)芯片架構(gòu)的支持不完善，功能缺失，甚至缺乏對應(yīng)版本。

（三）漏洞“修復(fù)”階段：修復(fù)與通報機(jī)制滯后，形成長期安全短板

相較于消費(fèi)級市場，關(guān)鍵信息基礎(chǔ)設(shè)施要求更高效、更可靠的漏洞應(yīng)急響應(yīng)機(jī)制，但目前部分國產(chǎn)廠商尚未建立起面向關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)化漏洞通報與快速修復(fù)渠道。漏洞信息傳遞不暢、補(bǔ)丁發(fā)布周期長、補(bǔ)丁未經(jīng)充分測試而影響系統(tǒng)穩(wěn)定性等問題，導(dǎo)致許多已知漏洞無法得到及時修復(fù)并長期存在于系統(tǒng)中，成為攻擊者滲透的“活靶子”，已知漏洞在不同用戶群體、不同時間段內(nèi)反復(fù)引發(fā)“次生傷害”。

（四）專業(yè)人才儲備存在缺口

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)維團(tuán)隊面臨從原有技術(shù)體系向國產(chǎn)化技術(shù)棧轉(zhuǎn)型的壓力，運(yùn)維團(tuán)隊需要對新平臺的安全特性、運(yùn)維工具、故障排查、應(yīng)急響應(yīng)流程逐步熟悉，而針對國產(chǎn)化環(huán)境的安全培訓(xùn)、實(shí)戰(zhàn)演練和人才培養(yǎng)體系尚待完善。此外，針對國產(chǎn)化組合環(huán)境的統(tǒng)一安全管理平臺、自動化運(yùn)維工具相對匱乏，增加了安全運(yùn)維的復(fù)雜度和人為失誤的風(fēng)險，使得漏洞所帶來的風(fēng)險隱患進(jìn)一步加劇。

二、構(gòu)建契合關(guān)鍵信息基礎(chǔ)設(shè)施特性的漏洞治理體系

關(guān)鍵信息基礎(chǔ)設(shè)施是國家經(jīng)濟(jì)社會運(yùn)行的“神經(jīng)中樞”，其安全具有公共性、基礎(chǔ)性、全局性特點(diǎn)。對國產(chǎn)化產(chǎn)品的漏洞治理，必須超越一般商用產(chǎn)品的思路，立足于關(guān)鍵信息基礎(chǔ)設(shè)施“業(yè)務(wù)不能停、系統(tǒng)不能垮、數(shù)據(jù)不能丟”的底線要求，構(gòu)建一套更具韌性、更高效的治理體系。

（一）強(qiáng)化漏洞源頭治理，打造符合要求的“內(nèi)生安全”產(chǎn)品

關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性與公共安全屬性，要求國產(chǎn)化產(chǎn)品必須具備遠(yuǎn)超普通商用產(chǎn)品的可靠性與安全性。國產(chǎn)化廠商必須轉(zhuǎn)變觀念，將安全從“成本項(xiàng)”提升為“價值項(xiàng)”，從事后補(bǔ)救轉(zhuǎn)向事前預(yù)防。

國產(chǎn)化廠商應(yīng)以國家法規(guī)與標(biāo)準(zhǔn)為綱，全面落實(shí)安全開發(fā)流程。積極響應(yīng)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及網(wǎng)絡(luò)安全等級保護(hù)制度2.0的要求，將安全開發(fā)生命周期（SDL）或DevSecOps實(shí)踐強(qiáng)制嵌入研發(fā)流程。包括在需求階段進(jìn)行威脅建模，在設(shè)計階段進(jìn)行安全架構(gòu)評審，在編碼階段遵循OWASP等安全編碼規(guī)范并使用代碼審計工具，在測試階段開展自動化安全掃描與深度滲透測試。尤其需要建立嚴(yán)格的第三方組件軟件物料清單（SBOM）制度，對集成的開源組件和中間件進(jìn)行全生命周期管理，確保能夠快速感知、評估和修復(fù)組件漏洞。

開展“業(yè)務(wù)場景耦合式”安全測試。傳統(tǒng)的滲透測試往往聚焦通用漏洞，對關(guān)鍵信息基礎(chǔ)設(shè)施使用的國產(chǎn)化產(chǎn)品，安全測試必須與特定業(yè)務(wù)邏輯和工業(yè)協(xié)議深度耦合。例如，針對軌道交通使用的國產(chǎn)信號系統(tǒng)，測試需要模擬在惡意報文注入下，系統(tǒng)的聯(lián)鎖邏輯是否會出錯；針對金融核心交易系統(tǒng)，需要測試在高并發(fā)交易處理過程中，國產(chǎn)數(shù)據(jù)庫是否存在會導(dǎo)致數(shù)據(jù)錯亂的競態(tài)條件漏洞。業(yè)務(wù)場景耦合式測試要求安全團(tuán)隊與行業(yè)專家開展深度合作。

建立面向關(guān)鍵信息基礎(chǔ)設(shè)施的“軟件供應(yīng)鏈韌性”機(jī)制。關(guān)鍵信息基礎(chǔ)設(shè)施對補(bǔ)丁安裝的時機(jī)有嚴(yán)格限制，往往需要經(jīng)過漫長的測試窗口。因此，國產(chǎn)化廠商不能僅滿足于漏洞出現(xiàn)后發(fā)布補(bǔ)丁，更應(yīng)該建立漏洞前瞻性防御機(jī)制。通過對自身產(chǎn)品及所使用的開源組件開展持續(xù)的安全監(jiān)測和代碼加固工作，預(yù)先消除潛在風(fēng)險，減少高危漏洞的出現(xiàn)，從而降低對關(guān)鍵信息基礎(chǔ)設(shè)施頻繁打補(bǔ)丁的依賴，從源頭上提高業(yè)務(wù)連續(xù)性的保障水平。

（二）構(gòu)建高效協(xié)同的應(yīng)急響應(yīng)體系，杜絕漏洞的“次生災(zāi)害”

關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞修復(fù)窗口期短、影響面大，任何延遲和不透明都可能引發(fā)“鏈?zhǔn)椒磻?yīng)”，進(jìn)而導(dǎo)致跨行業(yè)、跨區(qū)域的系統(tǒng)性風(fēng)險。因此，需構(gòu)建強(qiáng)制性、透明化的協(xié)同披露機(jī)制，使已知漏洞無處遁形，最大限度壓縮其存在空間。

國產(chǎn)化廠商應(yīng)嚴(yán)格落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，及時向國家漏洞管理平臺報送漏洞信息，并及時組織修補(bǔ)。廠商在發(fā)布漏洞公告時，應(yīng)確保信息完整性、準(zhǔn)確性和可操作性。具體包括清晰的漏洞摘要、完整的影響版本列表、最小化的技術(shù)細(xì)節(jié)、明確的緩解措施以及已知的供應(yīng)鏈影響范圍。

對關(guān)鍵信息基礎(chǔ)設(shè)施用戶，建立區(qū)別于普通用戶的優(yōu)先通報和響應(yīng)機(jī)制。一旦確認(rèn)影響關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)品的漏洞，應(yīng)立即啟動應(yīng)急預(yù)案，通過加密、可信的渠道通知運(yùn)營者，并提供經(jīng)過嚴(yán)格驗(yàn)證的修復(fù)方案。該方案必須充分考慮關(guān)鍵信息基礎(chǔ)設(shè)施環(huán)境的復(fù)雜性，包括詳細(xì)的漏洞影響分析、逐步操作說明、回退方案以及驗(yàn)證修復(fù)是否成功等方法。對于無法立即安裝補(bǔ)丁的系統(tǒng)，必須提供行之有效的臨時緩解措施。

此外，可由行業(yè)監(jiān)管部門主導(dǎo)，定期組織國產(chǎn)化產(chǎn)品漏洞修復(fù)聯(lián)合演練，模擬在真實(shí)業(yè)務(wù)負(fù)載情境下，高效、安全地應(yīng)用漏洞補(bǔ)丁或?qū)嵤┚徑獠呗?。通過演練，一方面，檢驗(yàn)廠商修復(fù)方案的有效性；另一方面，錘煉運(yùn)營單位與廠商的協(xié)同能力，確保在實(shí)際操作中能夠有效應(yīng)對。

（三）強(qiáng)化縱深防護(hù)，構(gòu)建“業(yè)務(wù)導(dǎo)向”的實(shí)戰(zhàn)化漏洞防御體系

再安全的產(chǎn)品也難免存在漏洞，因此，構(gòu)建有效監(jiān)測和抵御漏洞利用行為的實(shí)戰(zhàn)化防護(hù)體系至關(guān)重要。關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞防御體系必須圍繞核心業(yè)務(wù)展開，確保防護(hù)手段能隨國產(chǎn)化軟硬件系統(tǒng)建設(shè)同步落地、同步生效，推動安全能力與國產(chǎn)化環(huán)境“深度融合適配”。

安全廠商需與國產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫廠商深度合作，完成主機(jī)安全、Web應(yīng)用防火墻、數(shù)據(jù)庫審計等安全產(chǎn)品從“可用”到“好用”的進(jìn)化。除了簡單的兼容性認(rèn)證，更要對底層架構(gòu)進(jìn)行深度優(yōu)化。需深入研究國產(chǎn)芯片指令集、操作系統(tǒng)內(nèi)核層，從而開發(fā)原生安全能力。例如，基于國產(chǎn)CPU架構(gòu)的可信計算技術(shù)，實(shí)現(xiàn)從開機(jī)到應(yīng)用層的完整信任鏈；為國產(chǎn)云平臺開發(fā)無損的微隔離插件，確保東西向流量的精準(zhǔn)控制；針對國產(chǎn)中間件內(nèi)存馬等高級威脅，實(shí)現(xiàn)精準(zhǔn)檢測等。

建設(shè)“國產(chǎn)化漏洞攻防知識庫”，賦能檢測引擎。安全廠商、國家漏洞管理平臺和研究機(jī)構(gòu)應(yīng)協(xié)同合作，系統(tǒng)化地梳理和研究國產(chǎn)化組件的特有漏洞、攻擊手法等，并將這些知識轉(zhuǎn)化為高質(zhì)量的檢測規(guī)則、威脅情報和攻擊鏈模型，持續(xù)注入安全產(chǎn)品的檢測引擎中，提升對N日漏洞（N-Day）和零日漏洞（0-Day）利用的發(fā)現(xiàn)和阻斷能力。

由國家漏洞管理平臺等機(jī)構(gòu)牽頭，建設(shè)集成各類國產(chǎn)化產(chǎn)品的“關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)仿真攻防靶場”，實(shí)現(xiàn)防御效能精準(zhǔn)度量。通過復(fù)刻金融交易、5G通信、電力調(diào)度、高鐵運(yùn)行等核心業(yè)務(wù)場景，一方面，對國產(chǎn)化產(chǎn)品進(jìn)行攻防檢驗(yàn)，評估安全防護(hù)產(chǎn)品在真實(shí)業(yè)務(wù)流量和攻擊壓力下的性能損耗與防護(hù)有效性，為漏洞防護(hù)方案的選型與優(yōu)化提供科學(xué)依據(jù)；另一方面，鍛煉運(yùn)營單位在國產(chǎn)化環(huán)境下的協(xié)同作戰(zhàn)和漏洞應(yīng)急響應(yīng)能力，形成“以戰(zhàn)促建、以測促防”的良性循環(huán)。

三、聚焦關(guān)鍵信息基礎(chǔ)設(shè)施需求，構(gòu)建多方協(xié)同的國產(chǎn)化漏洞安全生態(tài)

要保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全，必須堅持“業(yè)務(wù)安全優(yōu)先”原則，跳出單純的技術(shù)范疇，從國家網(wǎng)絡(luò)安全整體布局出發(fā)，凝聚各方力量，構(gòu)建一個政府主導(dǎo)、產(chǎn)業(yè)協(xié)同、技術(shù)驅(qū)動、人才支撐的國產(chǎn)化漏洞安全生態(tài)體系，有效應(yīng)對實(shí)戰(zhàn)環(huán)境下的嚴(yán)峻挑戰(zhàn)。

（一）政府引導(dǎo)：強(qiáng)化頂層設(shè)計與政策牽引

在國產(chǎn)化漏洞安全生態(tài)的建設(shè)中，政府應(yīng)扮演好“引導(dǎo)員”和“裁判員”的角色，為生態(tài)建設(shè)設(shè)定方向、樹立標(biāo)桿。

完善相關(guān)標(biāo)準(zhǔn)體系與采購導(dǎo)向。加快制定和完善覆蓋芯片、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件以及安全服務(wù)的全棧式國產(chǎn)化安全標(biāo)準(zhǔn)體系，形成統(tǒng)一的安全基線。在關(guān)鍵信息基礎(chǔ)設(shè)施的采購中，應(yīng)大幅提高實(shí)戰(zhàn)攻防能力、漏洞響應(yīng)速度、持續(xù)服務(wù)能力等指標(biāo)的權(quán)重，形成“安全一票否決”的導(dǎo)向，使在安全方面投入大、做得好的廠商切實(shí)獲得市場回報。

設(shè)立國產(chǎn)化安全專項(xiàng)基金與激勵政策。通過國家科技專項(xiàng)、產(chǎn)業(yè)發(fā)展基金等渠道，定向支持國產(chǎn)化安全關(guān)鍵技術(shù)攻關(guān)、共性安全平臺建設(shè)以及優(yōu)秀安全實(shí)驗(yàn)室的運(yùn)營，支持對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重大意義的共性技術(shù)研究。通過政策引導(dǎo)和激勵機(jī)制，對在漏洞挖掘、應(yīng)急響應(yīng)等方面表現(xiàn)突出的個人和單位給予公開表彰和物質(zhì)獎勵，營造漏洞報送的良好行業(yè)生態(tài)。例如，國家信息安全漏洞庫（CNNVD）近年來開展的漏洞獎勵計劃，推動了社會對高質(zhì)量漏洞報送的積極性，提高了我國網(wǎng)絡(luò)安全漏洞預(yù)警及風(fēng)險消控能力。

加大實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化產(chǎn)品安全成熟度評估的范圍和力度。當(dāng)前，我國已經(jīng)開展了由中國信息安全測評中心、國家保密科技測評中心等單位實(shí)施的安全可靠測評工作，面向中央處理器（CPU）、人工智能訓(xùn)練推理芯片、操作系統(tǒng)、數(shù)據(jù)庫、打印機(jī)主控芯片，評定產(chǎn)品的安全性和可持續(xù)性。建議在條件成熟時，可適當(dāng)拓展評估的產(chǎn)品類別，尤其是國產(chǎn)化軟硬件。這不僅能夠促進(jìn)廠商提高產(chǎn)品從研發(fā)設(shè)計、生產(chǎn)制造、供應(yīng)保障、售后維護(hù)等全生命周期的安全可靠性，同時評估結(jié)果也成為關(guān)鍵信息基礎(chǔ)設(shè)施采購選型的重要依據(jù)，形成“優(yōu)質(zhì)優(yōu)價、安全優(yōu)先”的市場導(dǎo)向，從根本上激勵廠商加大安全投入。

（二）產(chǎn)業(yè)協(xié)同：打破能力孤島，建立漏洞信息共享和協(xié)同處置機(jī)制

產(chǎn)業(yè)鏈各環(huán)節(jié)應(yīng)摒棄“小院高墻”的思維，走向開放與合作，構(gòu)建高效協(xié)同的漏洞管理與應(yīng)急響應(yīng)體系。

建立“廠商—運(yùn)營單位—行業(yè)監(jiān)管—國家監(jiān)管漏洞庫”多方協(xié)同的漏洞信息共享和處置機(jī)制。同時，推動建立由整機(jī)廠商、基礎(chǔ)軟件廠商、安全廠商和關(guān)鍵用戶組成的“供應(yīng)鏈安全共同體”，對核心組件的來源、研發(fā)過程進(jìn)行安全評估和認(rèn)證。推行軟件物料清單（SBOM）在整個供應(yīng)鏈中的傳遞，確保任何一環(huán)出現(xiàn)漏洞都能快速定位和響應(yīng)，實(shí)現(xiàn)漏洞的溯源與可控。

建立開放共享的威脅情報與知識平臺。鼓勵各方在脫敏的前提下，共享國產(chǎn)化環(huán)境下的漏洞信息、攻擊指標(biāo)、攻擊戰(zhàn)術(shù)與技術(shù)。通過行業(yè)聯(lián)盟或國家級平臺進(jìn)行匯聚、分析和分發(fā)，形成覆蓋全行業(yè)的“免疫系統(tǒng)”，讓一次攻擊在某處被發(fā)現(xiàn)，就能為整個生態(tài)帶來防護(hù)能力的提升。

推動安全廠商與基礎(chǔ)軟硬件廠商、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位深度合作，以解決具體場景的安全問題為導(dǎo)向，加速推動主流安全防護(hù)產(chǎn)品與國產(chǎn)技術(shù)棧的深度適配和性能優(yōu)化。重點(diǎn)研發(fā)適用于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G專網(wǎng)、車聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施場景的高性能安全防護(hù)產(chǎn)品。

（三）產(chǎn)學(xué)研用融合：夯實(shí)人才根基，深化產(chǎn)教融合

網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭。應(yīng)聯(lián)合產(chǎn)學(xué)研用各方，開設(shè)國產(chǎn)化安全相關(guān)課程和實(shí)訓(xùn)項(xiàng)目，合作培養(yǎng)漏洞安全人才。例如，在國家級網(wǎng)絡(luò)安全人才培養(yǎng)基地或高校，設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化漏洞安全方向的課程，由高校教師、企業(yè)一線專家和關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域?qū)＜夜餐谡n，使學(xué)生在實(shí)戰(zhàn)環(huán)境中學(xué)習(xí)如何保障一個復(fù)雜的、由國產(chǎn)化技術(shù)棧構(gòu)建的關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)。為國家培養(yǎng)一支“既懂網(wǎng)絡(luò)安全、又懂國產(chǎn)技術(shù)、還熟悉相關(guān)業(yè)務(wù)”的復(fù)合型網(wǎng)絡(luò)安全人才隊伍。

建立聯(lián)合研發(fā)與攻關(guān)機(jī)制。針對國產(chǎn)化環(huán)境未來可能面對的威脅（如基于國產(chǎn)CPU的固件攻擊、人工智能賦能的高級持續(xù)性威脅等），由行業(yè)龍頭企業(yè)牽頭，聯(lián)合專業(yè)安全公司、頂尖科研院校，開展基礎(chǔ)性、共性技術(shù)研究，并將成果轉(zhuǎn)化為可部署的安全產(chǎn)品與解決方案，確保漏洞安全生態(tài)具備持續(xù)進(jìn)化的創(chuàng)新能力。

四、結(jié) 語

綜上所述，關(guān)鍵信息基礎(chǔ)設(shè)施的國產(chǎn)化進(jìn)程，其成敗關(guān)鍵在于安全，核心在于漏洞治理能力，路徑在于生態(tài)共建。這要求我們摒棄簡單的產(chǎn)品替換模式，轉(zhuǎn)向圍繞漏洞全生命周期開展深刻的安全能力重構(gòu)。通過開放、協(xié)同的生態(tài)力量，將安全基因深度融入國產(chǎn)化技術(shù)體系的每個環(huán)節(jié)，使國產(chǎn)化產(chǎn)品成為關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域值得信賴的“安全底座”，為網(wǎng)絡(luò)強(qiáng)國和數(shù)字中國建設(shè)行穩(wěn)致遠(yuǎn)提供堅實(shí)可靠的保障。

（本文刊登于《中國信息安全》雜志2025年第11期）

分享網(wǎng)絡(luò)安全知識 強(qiáng)化網(wǎng)絡(luò)安全意識

歡迎關(guān)注《中國信息安全》雜志官方抖音號

《中國信息安全》雜志傾力推薦

“企業(yè)成長計劃”

點(diǎn)擊下圖 了解詳情