掃碼訂閱《中國信息安全》

郵發(fā)代號 2-786

征訂熱線：010-82341063

文 | 北京長亭科技有限公司 王昱 袁勝

近年來，隨著國家自主創(chuàng)新戰(zhàn)略的深入推進，國產軟硬件產品在我國關鍵信息基礎設施領域的應用日益廣泛，成為支撐國計民生系統(tǒng)穩(wěn)定運行、保障國家數(shù)據主權與網絡安全的重要基石。尤其在當前復雜多變的國際網絡安全形勢下，推動自主創(chuàng)新不僅是技術自主的必然選擇，更是維護國家安全和社會穩(wěn)定的戰(zhàn)略舉措。然而，從近年的網絡安全實網攻防演練、安全評估與應急響應實踐來看，在關鍵信息基礎設施領域，國產化產品的應用安全問題日益突出，尤其是由安全漏洞所引發(fā)的風險。如何系統(tǒng)破解國產化軟硬件產品的漏洞安全難題，進而構建多方協(xié)同、持續(xù)演進的安全生態(tài)，已成為當前關鍵信息基礎設施領域推進國產化進程、提高整體安全防護能力的緊迫課題。

一、關鍵信息基礎設施國產化產品面臨的漏洞安全挑戰(zhàn)

關鍵信息基礎設施系統(tǒng)大多具有實時性高、業(yè)務連續(xù)性要求嚴、系統(tǒng)復雜度大、數(shù)據敏感性強等特點，對國產化產品的安全性、穩(wěn)定性和可維護性提出了更高要求。在實戰(zhàn)攻防背景下，當前國產化產品的漏洞安全風險日益凸顯，貫穿于漏洞的全生命周期，其中的“產生、利用、修復”等環(huán)節(jié)，主要面臨以下四個方面的突出挑戰(zhàn)。

（一）漏洞“產生”階段：產品自身安全性薄弱，漏洞頻出

國產化產品的開發(fā)生產階段，同時也是漏洞的“產生”階段。部分國產化產品在研發(fā)設計階段，未能充分融入關鍵信息基礎設施特有的高可靠、高安全要求。安全開發(fā)生命周期管理不足，安全編碼規(guī)范執(zhí)行不嚴，安全測試（尤其是針對復雜業(yè)務邏輯和特定工控協(xié)議的滲透測試）覆蓋不全面，導致產品本身存在基礎性安全缺陷。在集成大量開源組件時，對組件漏洞的跟蹤、評估和修復不及時，易引入遠程代碼執(zhí)行、權限提升、數(shù)據篡改等高風險漏洞。例如，某國產辦公自動化（OA）系統(tǒng)多次因FastJson、Log4j2漏洞導致遠程代碼執(zhí)行，反映出產品在組件管理和漏洞修復方面的滯后性。關鍵信息基礎設施系統(tǒng)一旦因這類漏洞被攻破，可能導致生產中斷、設備損壞甚至更嚴重的公共安全事件，直接威脅國民經濟命脈和社會穩(wěn)定。

（二）漏洞“利用”階段：國產化產品的漏洞攻擊檢測和防護能力不足

首先，國產化產品的防護手段存在不足。例如，對國產云、容器、堡壘機等的特定攻擊手段缺乏有效的檢測規(guī)則，且在國產中間件內存馬檢測能力方面存在缺失。其次，策略庫積累不足，對國產化產品特有的漏洞檢測和攻擊識別規(guī)則積累不夠，無法有效評估其風險并及時發(fā)現(xiàn)正在進行的攻擊行為。最后，主流安全監(jiān)控軟件對國產芯片架構的支持不完善，功能缺失，甚至缺乏對應版本。

（三）漏洞“修復”階段：修復與通報機制滯后，形成長期安全短板

相較于消費級市場，關鍵信息基礎設施要求更高效、更可靠的漏洞應急響應機制，但目前部分國產廠商尚未建立起面向關鍵信息基礎設施的標準化漏洞通報與快速修復渠道。漏洞信息傳遞不暢、補丁發(fā)布周期長、補丁未經充分測試而影響系統(tǒng)穩(wěn)定性等問題，導致許多已知漏洞無法得到及時修復并長期存在于系統(tǒng)中，成為攻擊者滲透的“活靶子”，已知漏洞在不同用戶群體、不同時間段內反復引發(fā)“次生傷害”。

（四）專業(yè)人才儲備存在缺口

關鍵信息基礎設施的運維團隊面臨從原有技術體系向國產化技術棧轉型的壓力，運維團隊需要對新平臺的安全特性、運維工具、故障排查、應急響應流程逐步熟悉，而針對國產化環(huán)境的安全培訓、實戰(zhàn)演練和人才培養(yǎng)體系尚待完善。此外，針對國產化組合環(huán)境的統(tǒng)一安全管理平臺、自動化運維工具相對匱乏，增加了安全運維的復雜度和人為失誤的風險，使得漏洞所帶來的風險隱患進一步加劇。

二、構建契合關鍵信息基礎設施特性的漏洞治理體系

關鍵信息基礎設施是國家經濟社會運行的“神經中樞”，其安全具有公共性、基礎性、全局性特點。對國產化產品的漏洞治理，必須超越一般商用產品的思路，立足于關鍵信息基礎設施“業(yè)務不能停、系統(tǒng)不能垮、數(shù)據不能丟”的底線要求，構建一套更具韌性、更高效的治理體系。

（一）強化漏洞源頭治理，打造符合要求的“內生安全”產品

關鍵信息基礎設施的業(yè)務連續(xù)性與公共安全屬性，要求國產化產品必須具備遠超普通商用產品的可靠性與安全性。國產化廠商必須轉變觀念，將安全從“成本項”提升為“價值項”，從事后補救轉向事前預防。

國產化廠商應以國家法規(guī)與標準為綱，全面落實安全開發(fā)流程。積極響應《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》以及網絡安全等級保護制度2.0的要求，將安全開發(fā)生命周期（SDL）或DevSecOps實踐強制嵌入研發(fā)流程。包括在需求階段進行威脅建模，在設計階段進行安全架構評審，在編碼階段遵循OWASP等安全編碼規(guī)范并使用代碼審計工具，在測試階段開展自動化安全掃描與深度滲透測試。尤其需要建立嚴格的第三方組件軟件物料清單（SBOM）制度，對集成的開源組件和中間件進行全生命周期管理，確保能夠快速感知、評估和修復組件漏洞。

開展“業(yè)務場景耦合式”安全測試。傳統(tǒng)的滲透測試往往聚焦通用漏洞，對關鍵信息基礎設施使用的國產化產品，安全測試必須與特定業(yè)務邏輯和工業(yè)協(xié)議深度耦合。例如，針對軌道交通使用的國產信號系統(tǒng)，測試需要模擬在惡意報文注入下，系統(tǒng)的聯(lián)鎖邏輯是否會出錯；針對金融核心交易系統(tǒng)，需要測試在高并發(fā)交易處理過程中，國產數(shù)據庫是否存在會導致數(shù)據錯亂的競態(tài)條件漏洞。業(yè)務場景耦合式測試要求安全團隊與行業(yè)專家開展深度合作。

建立面向關鍵信息基礎設施的“軟件供應鏈韌性”機制。關鍵信息基礎設施對補丁安裝的時機有嚴格限制，往往需要經過漫長的測試窗口。因此，國產化廠商不能僅滿足于漏洞出現(xiàn)后發(fā)布補丁，更應該建立漏洞前瞻性防御機制。通過對自身產品及所使用的開源組件開展持續(xù)的安全監(jiān)測和代碼加固工作，預先消除潛在風險，減少高危漏洞的出現(xiàn)，從而降低對關鍵信息基礎設施頻繁打補丁的依賴，從源頭上提高業(yè)務連續(xù)性的保障水平。

（二）構建高效協(xié)同的應急響應體系，杜絕漏洞的“次生災害”

關鍵信息基礎設施的漏洞修復窗口期短、影響面大，任何延遲和不透明都可能引發(fā)“鏈式反應”，進而導致跨行業(yè)、跨區(qū)域的系統(tǒng)性風險。因此，需構建強制性、透明化的協(xié)同披露機制，使已知漏洞無處遁形，最大限度壓縮其存在空間。

國產化廠商應嚴格落實《網絡產品安全漏洞管理規(guī)定》，及時向國家漏洞管理平臺報送漏洞信息，并及時組織修補。廠商在發(fā)布漏洞公告時，應確保信息完整性、準確性和可操作性。具體包括清晰的漏洞摘要、完整的影響版本列表、最小化的技術細節(jié)、明確的緩解措施以及已知的供應鏈影響范圍。

對關鍵信息基礎設施用戶，建立區(qū)別于普通用戶的優(yōu)先通報和響應機制。一旦確認影響關鍵信息基礎設施產品的漏洞，應立即啟動應急預案，通過加密、可信的渠道通知運營者，并提供經過嚴格驗證的修復方案。該方案必須充分考慮關鍵信息基礎設施環(huán)境的復雜性，包括詳細的漏洞影響分析、逐步操作說明、回退方案以及驗證修復是否成功等方法。對于無法立即安裝補丁的系統(tǒng)，必須提供行之有效的臨時緩解措施。

此外，可由行業(yè)監(jiān)管部門主導，定期組織國產化產品漏洞修復聯(lián)合演練，模擬在真實業(yè)務負載情境下，高效、安全地應用漏洞補丁或實施緩解策略。通過演練，一方面，檢驗廠商修復方案的有效性；另一方面，錘煉運營單位與廠商的協(xié)同能力，確保在實際操作中能夠有效應對。

（三）強化縱深防護，構建“業(yè)務導向”的實戰(zhàn)化漏洞防御體系

再安全的產品也難免存在漏洞，因此，構建有效監(jiān)測和抵御漏洞利用行為的實戰(zhàn)化防護體系至關重要。關鍵信息基礎設施的漏洞防御體系必須圍繞核心業(yè)務展開，確保防護手段能隨國產化軟硬件系統(tǒng)建設同步落地、同步生效，推動安全能力與國產化環(huán)境“深度融合適配”。

安全廠商需與國產芯片、操作系統(tǒng)、數(shù)據庫廠商深度合作，完成主機安全、Web應用防火墻、數(shù)據庫審計等安全產品從“可用”到“好用”的進化。除了簡單的兼容性認證，更要對底層架構進行深度優(yōu)化。需深入研究國產芯片指令集、操作系統(tǒng)內核層，從而開發(fā)原生安全能力。例如，基于國產CPU架構的可信計算技術，實現(xiàn)從開機到應用層的完整信任鏈；為國產云平臺開發(fā)無損的微隔離插件，確保東西向流量的精準控制；針對國產中間件內存馬等高級威脅，實現(xiàn)精準檢測等。

建設“國產化漏洞攻防知識庫”，賦能檢測引擎。安全廠商、國家漏洞管理平臺和研究機構應協(xié)同合作，系統(tǒng)化地梳理和研究國產化組件的特有漏洞、攻擊手法等，并將這些知識轉化為高質量的檢測規(guī)則、威脅情報和攻擊鏈模型，持續(xù)注入安全產品的檢測引擎中，提升對N日漏洞（N-Day）和零日漏洞（0-Day）利用的發(fā)現(xiàn)和阻斷能力。

由國家漏洞管理平臺等機構牽頭，建設集成各類國產化產品的“關鍵信息基礎設施業(yè)務仿真攻防靶場”，實現(xiàn)防御效能精準度量。通過復刻金融交易、5G通信、電力調度、高鐵運行等核心業(yè)務場景，一方面，對國產化產品進行攻防檢驗，評估安全防護產品在真實業(yè)務流量和攻擊壓力下的性能損耗與防護有效性，為漏洞防護方案的選型與優(yōu)化提供科學依據；另一方面，鍛煉運營單位在國產化環(huán)境下的協(xié)同作戰(zhàn)和漏洞應急響應能力，形成“以戰(zhàn)促建、以測促防”的良性循環(huán)。

三、聚焦關鍵信息基礎設施需求，構建多方協(xié)同的國產化漏洞安全生態(tài)

要保障關鍵信息基礎設施的安全，必須堅持“業(yè)務安全優(yōu)先”原則，跳出單純的技術范疇，從國家網絡安全整體布局出發(fā)，凝聚各方力量，構建一個政府主導、產業(yè)協(xié)同、技術驅動、人才支撐的國產化漏洞安全生態(tài)體系，有效應對實戰(zhàn)環(huán)境下的嚴峻挑戰(zhàn)。

（一）政府引導：強化頂層設計與政策牽引

在國產化漏洞安全生態(tài)的建設中，政府應扮演好“引導員”和“裁判員”的角色，為生態(tài)建設設定方向、樹立標桿。

完善相關標準體系與采購導向。加快制定和完善覆蓋芯片、操作系統(tǒng)、數(shù)據庫、應用軟件以及安全服務的全棧式國產化安全標準體系，形成統(tǒng)一的安全基線。在關鍵信息基礎設施的采購中，應大幅提高實戰(zhàn)攻防能力、漏洞響應速度、持續(xù)服務能力等指標的權重，形成“安全一票否決”的導向，使在安全方面投入大、做得好的廠商切實獲得市場回報。

設立國產化安全專項基金與激勵政策。通過國家科技專項、產業(yè)發(fā)展基金等渠道，定向支持國產化安全關鍵技術攻關、共性安全平臺建設以及優(yōu)秀安全實驗室的運營，支持對關鍵信息基礎設施安全有重大意義的共性技術研究。通過政策引導和激勵機制，對在漏洞挖掘、應急響應等方面表現(xiàn)突出的個人和單位給予公開表彰和物質獎勵，營造漏洞報送的良好行業(yè)生態(tài)。例如，國家信息安全漏洞庫（CNNVD）近年來開展的漏洞獎勵計劃，推動了社會對高質量漏洞報送的積極性，提高了我國網絡安全漏洞預警及風險消控能力。

加大實施關鍵信息基礎設施國產化產品安全成熟度評估的范圍和力度。當前，我國已經開展了由中國信息安全測評中心、國家保密科技測評中心等單位實施的安全可靠測評工作，面向中央處理器（CPU）、人工智能訓練推理芯片、操作系統(tǒng)、數(shù)據庫、打印機主控芯片，評定產品的安全性和可持續(xù)性。建議在條件成熟時，可適當拓展評估的產品類別，尤其是國產化軟硬件。這不僅能夠促進廠商提高產品從研發(fā)設計、生產制造、供應保障、售后維護等全生命周期的安全可靠性，同時評估結果也成為關鍵信息基礎設施采購選型的重要依據，形成“優(yōu)質優(yōu)價、安全優(yōu)先”的市場導向，從根本上激勵廠商加大安全投入。

（二）產業(yè)協(xié)同：打破能力孤島，建立漏洞信息共享和協(xié)同處置機制

產業(yè)鏈各環(huán)節(jié)應摒棄“小院高墻”的思維，走向開放與合作，構建高效協(xié)同的漏洞管理與應急響應體系。

建立“廠商—運營單位—行業(yè)監(jiān)管—國家監(jiān)管漏洞庫”多方協(xié)同的漏洞信息共享和處置機制。同時，推動建立由整機廠商、基礎軟件廠商、安全廠商和關鍵用戶組成的“供應鏈安全共同體”，對核心組件的來源、研發(fā)過程進行安全評估和認證。推行軟件物料清單（SBOM）在整個供應鏈中的傳遞，確保任何一環(huán)出現(xiàn)漏洞都能快速定位和響應，實現(xiàn)漏洞的溯源與可控。

建立開放共享的威脅情報與知識平臺。鼓勵各方在脫敏的前提下，共享國產化環(huán)境下的漏洞信息、攻擊指標、攻擊戰(zhàn)術與技術。通過行業(yè)聯(lián)盟或國家級平臺進行匯聚、分析和分發(fā)，形成覆蓋全行業(yè)的“免疫系統(tǒng)”，讓一次攻擊在某處被發(fā)現(xiàn)，就能為整個生態(tài)帶來防護能力的提升。

推動安全廠商與基礎軟硬件廠商、關鍵信息基礎設施運營單位深度合作，以解決具體場景的安全問題為導向，加速推動主流安全防護產品與國產技術棧的深度適配和性能優(yōu)化。重點研發(fā)適用于工業(yè)互聯(lián)網、物聯(lián)網、5G專網、車聯(lián)網等新型基礎設施場景的高性能安全防護產品。

（三）產學研用融合：夯實人才根基，深化產教融合

網絡空間的競爭，歸根結底是人才競爭。應聯(lián)合產學研用各方，開設國產化安全相關課程和實訓項目，合作培養(yǎng)漏洞安全人才。例如，在國家級網絡安全人才培養(yǎng)基地或高校，設立關鍵信息基礎設施國產化漏洞安全方向的課程，由高校教師、企業(yè)一線專家和關鍵信息基礎設施領域專家共同授課，使學生在實戰(zhàn)環(huán)境中學習如何保障一個復雜的、由國產化技術棧構建的關鍵信息基礎設施系統(tǒng)。為國家培養(yǎng)一支“既懂網絡安全、又懂國產技術、還熟悉相關業(yè)務”的復合型網絡安全人才隊伍。

建立聯(lián)合研發(fā)與攻關機制。針對國產化環(huán)境未來可能面對的威脅（如基于國產CPU的固件攻擊、人工智能賦能的高級持續(xù)性威脅等），由行業(yè)龍頭企業(yè)牽頭，聯(lián)合專業(yè)安全公司、頂尖科研院校，開展基礎性、共性技術研究，并將成果轉化為可部署的安全產品與解決方案，確保漏洞安全生態(tài)具備持續(xù)進化的創(chuàng)新能力。

四、結 語

綜上所述，關鍵信息基礎設施的國產化進程，其成敗關鍵在于安全，核心在于漏洞治理能力，路徑在于生態(tài)共建。這要求我們摒棄簡單的產品替換模式，轉向圍繞漏洞全生命周期開展深刻的安全能力重構。通過開放、協(xié)同的生態(tài)力量，將安全基因深度融入國產化技術體系的每個環(huán)節(jié)，使國產化產品成為關鍵信息基礎設施領域值得信賴的“安全底座”，為網絡強國和數(shù)字中國建設行穩(wěn)致遠提供堅實可靠的保障。

（本文刊登于《中國信息安全》雜志2025年第11期）

分享網絡安全知識 強化網絡安全意識

歡迎關注《中國信息安全》雜志官方抖音號

《中國信息安全》雜志傾力推薦

“企業(yè)成長計劃”

點擊下圖 了解詳情