軟件產業發展獲政策扶持，軟件安全市場全面爆發

2020-09-08 11:42:38 來源：作者：　

摘要：近日，國務院發布了《新時期促進集成電路產業和軟件產業高質量發展若干政策的通知》（以下簡稱“《若干政策》”），其中強調了軟件產業是信息產業的核心,是引領新一輪科技革命和產業變革的關鍵力量。

近日，國務院發布了《新時期促進集成電路產業和軟件產業高質量發展若干政策的通知》（以下簡稱“《若干政策》”），其中強調了軟件產業是信息產業的核心,是引領新一輪科技革命和產業變革的關鍵力量。特別是我國近年來軟件產業的快速發展,有力支撐了國家信息化建設,促進了國民經濟和社會持續健康發展。為進一步優化軟件產業的發展環境,深化產業國際合作,提升產業創新能力和質量,國務院制定了若干扶持軟件企業的相關政策。

　　《若干政策》中的第十八條和第三十三條指出“鼓勵軟件企業執行軟件質量、信息安全、開發管理等國家標準。提高軟件質量,增強行業競爭力。”“完善網絡環境下消費者隱私及商業秘密保護制度,促進軟件和信息技術服務網絡化發展。在各級政府機關和事業單位推廣符合安全要求的軟件產品和服務。”這些條款一方面從政策上保障了國內軟件行業的快速發展，另一方面也引發了國內軟件行業對如何保障軟件安全問題的思考。

國產基礎軟件迎來春天

　　前不久，美國政府單方面宣布將33家中國公司和機構列入所謂的“實體清單”，被列入名單的公司、機構與個人都將禁止使用美國公司的產品和技術。目前國內使用的如Windows操作系統，Oracle數據庫管理系統，Office辦公軟件，到CAD，CAE，EDA，CAM，CFD，TCAD等工業軟件，包含MATLAB在內的常用數值計算軟件產品幾乎全部來自于歐美國家，而這些軟件也已滲透到了國內技術研發的方方面面，從高校到企業，再到政府單位，種種跡象表明，各種軟件斷供的可能性未來會越來越高。

　　更嚴重的問題集中在工業軟件領域，我國是制造大國，制造業占比全球約50%，吸納超過1.5億就業人口，但工業軟件發展和應用水平卻與與地位不符。國內自主工業軟件發展現狀可以概括為“管理軟件強，工程軟件弱；低端軟件多，高端軟件少”。數據顯示，2018年我國工業軟件市場上，真正把握生產命脈的研發設計軟件和生產控制類軟件，自主率只占比13.5%和13.36%。也就是說，一方面，國內自主工業軟件在生產管理、客戶服務和綜合管理等運營管理領域發展相對較好，在工程研制領域發展略顯遜色；另一方面，國內自主工業軟件在低端領域的競爭力相對較高，高端領域很多還是空白。這種受制于人的局面是非常被動，更是非常危險的。

　　圖一：軟件類別介紹

　　細分來看，我國研發設計類軟件市場80%被國外公司主導，其中達索系統和西門子PLM市場占有率分別19.05%和10.73%；生產控制類軟件市場有60%左右市場份額被西門子、霍尼韋爾、GE等跨國企業占據；信息管理類軟件主要由浪潮、用友、金蝶等國內企業主導，但Oracle、SAP等國外企業仍占有15%左右的市場份額。高端產業領域的專用工業軟件則幾乎全部被國外公司壟斷，如：國內集成電路設計公司的設計工作基本全部依靠Synopsys、Cadence、Mentor三家美國公司提供的芯片設計的電子自動化軟件(EDA)；90%的航空企業采用達索公司提供的飛機設計軟件。

　　圖二：來自倪光南院士總結的中國網信領域長短板

　　智能化時代的到來，進一步凸顯了工業軟件的戰略意義。美國GE公司面向2020年的目標就是在傳統制造的基礎上成為全球十大軟件公司之一，在硬件與軟件的結合中尋找新的增長機遇。

　　業內人士表示，工業軟件是制造業的大腦，是核心指揮系統，缺少了大腦的國內制造業無法實現全生命周期管理。一味的引進國外軟件、設備和生產線會使得國內制造業變成軀殼，變成全球制造業的執行系統。過度依賴國外工業軟件，失去的不僅是軟件市場，更存在喪失產業發展主動權和影響產業信息安全的風險。

　　在如此中外貿易摩擦升級，沒有國外軟件可用的外患下，國家正在大力扶持工業軟件發展。工信部召開的全國軟件服務業工作座談會明確指出：要抓住傳統產業改造升級的迫切需求，大力發展工業軟件和行業解決方案，大力發展面向企業研發設計、生產自動化、流程管理等環節的工業軟件、嵌入式軟件以及解決方案等。從中國制造到中國創造，工業軟件是個橋梁，國內廠商必將迎來蓬勃發展的機會。

　　特別是國務院《若干政策》中，鼓勵大中型企業依托信息技術研發機構成立專業化的軟件公司，優先在成熟的工業領域，培育一批具有國際影響力的工業軟件企業，有利于發揮市場應用優勢打造一批知名工業軟件產品；也建議相關部門大力支持國內企業集團發揮行業領域優勢和特長，成立專業化軟件和信息技術服務企業，培育行業細分領域的龍頭軟件企業，打造知名的軟件產品。

　　清華大學軟件學院院長王建民預測，到2025年，我國將形成自主可控的操作系統與工業軟件及其標準體系，自主工業軟件具有滿足市場50%的供給能力，自主工業互聯網云平臺在重點行業的應用普及率超過60%，工業軟件市場空間可達數千億。

軟件安全不容忽視

　　據工信部統計，2019年我國累計完成軟件業務收入約7.18萬億元，軟件和信息技術服務業實現利潤總額9362億元，盈利能力穩步提升。受信息技術服務加快云化發展，軟件應用服務化、平臺化趨勢明顯，工業軟件自主化等利好影響，我國軟件行業發展不斷加速，迎來由量變向質變的提升新階段。

　　但與此同時，我們也要清醒的認識到軟件開發安全和應用安全的重要程度，尤其是工業行業，作為近年來地緣政治爭奪和網絡空間對抗的主戰場，攻擊事件頻發、多發。僅今年上半年，就有包括以色列水利基礎設施、伊朗重要港口朗沙希德·拉賈伊、某汽車制造商、某葡萄牙跨國能源公司在內的多個大型工業企業、政府機構遭到攻擊，以色列官員更是承認經濟損失已成為最不重要的損失。世界形式持續緊張，各種玩家粉墨登場，攻擊覆蓋行業面廣，石油、能源、電力、制造、水利、公共設施，無一幸免。攻擊手段綜合復雜，數據竊取、隱蔽控制、勒索謀財，無所不用。

　　新興的智能工業時代使安全成為全球工業組織的首要任務，工控系統的復雜化、IT化和通用化加劇了系統的安全隱患。尤其是以云、開源、微服務為代表的工業互聯網，其開發過程大量使用第三方組件和開源軟件提高軟件迭代效率，但可能有意或無意將第三方組件和開源軟件安全缺陷引入軟件，并將隨著軟件的使用而擴散。

　　根據Sonatype的軟件供應鏈報告顯示，Java、JavaScript和Python的開源組件數量已分別達到了350萬個、550萬個和到140萬個。對中央倉庫中350萬個Java組件的分析結果顯示，超過10%的組件至少包含一個已知漏洞；事實上，研究人員發現，這些組件中有共計300多萬個漏洞，任何一個漏洞都可能成為攻擊者的攻擊目標。

　　越底層的東西，搭建難度就越大。不重復造輪子是我國軟件行業快速自主化彎道超車發展的驅動力，但大量使用開源算法和框架也有可能是在不牢固的地基上蓋樓，一旦底層出現問題，后果不堪設想。

安全開發行業市場將迎來爆發增長

　　在國家高度重視網絡安全保障的情況下，沒有經過合理安全開發、充分安全測試、有效消除缺陷的“自帶漏洞”軟件產品大量涌入市場、投入實際應用，必將為已初步成形的國家網絡安全保障態勢帶來新的隱患。

　　微軟于2004年提出安全開發生命周期（SDL），已有十多年歷史，在幫助開發人員構建更安全的軟件和解決安全合規要求的同時降低開發成本的軟件開發過程的方法論和工具，重新進入了我國軟件行業的視野。不同于網絡安全在開發完成后對軟件的數據交換進行防控，安全開發旨在從開發階段將黑客對軟件的攻擊面最小化，從源頭杜絕安全問題。

據統計，應用安全開發流程工具的平均成本占軟件開發總成本的3%到5%，卻可以避免因安全事故或黑客入侵而造成遠高于整體開發成本的損失。 Aberdeen Group的研究表明，采取“從源頭保證安全”策略的公司，其每年在應用安全方面的投資可實現高達4倍的收益，著名的研究公司Forrester Research再次證實了這一發現，聲稱需求分析層面糾正安全缺陷的成本，比現場修復的成本低100倍。

　　圖三：Microsoft 提出的SDL安全開發生命周期模型

　　業界已普遍意識到把安全從運維端左移到開發過程中，才是更優的選項。如微軟這樣的大型企業也無法避免軟件安全漏洞所帶來的損失，國內軟件行業也將會同樣面臨安全問題所帶來的嚴峻考驗。國產軟件行業爆發的同時，安全需求市場也必將快速崛起。

　　隨著云計算的普遍應用，微服務架構與容器技術的使用趨向成熟，既為企業業務高速發展提供了充足的技術保障，又對軟件開發運維工作帶來了更高的要求。各企業適用的開發運維模型不盡相同，有瀑布模型、敏捷模型、DevOps等，軟件安全一直都是貫穿始終的核心，形成不同的安全開發模型。在軟件開發生命周期(Software Development Life Cycle)內，不同的安全開發模型，適用場景各有側重：SDL安全開發模型適用于系統軟件，如操作系統，編譯處理軟件，數據庫及管理系統，硬件控制系統等，具有綜合性，周期長，迭代慢等特點，其開發過程如同瀑布流程，一步一步地進行分析，預測，實現，測試，實施和支持階段；DevSecOps安全開發模型適用于應用軟件，如文字表格處理，圖形圖像處理，統計演示軟件，網絡通信軟件等，具有周期短、迭代快、市場反饋靈活等特點，與傳統開發流程相比，能夠幫助企業更快的發展和改進產品，更好的服務其客戶，并在市場上高效的參與競爭。

　　開源網安的核心理念與此次國務院頒布的《若干政策》可謂不謀而合。開源網安一直以來秉承“讓企業交付更安全的軟件”的核心理念，致力于幫助企業提升軟件的安全與質量，持續向客戶提供覆蓋軟件安全開發全生命周期的安全產品、解決方案、安全培訓及安全服務。

　　其中開源網安軟件安全全生命周期平臺（S-SDLC）整合了安全開發流程、方法、工具，幫助企業快捷交付安全、可靠的軟件。平臺繼承開源網安龐大的威脅數據庫和安全需求庫，全面覆蓋軟件開發從架構設計到部署運維各個階段的安全需求。以打造安全的軟件產品為核心目標，基于差距分析和現有開發流程，著重構造安全開發能力，可定制化交付。

　　圖四：開源網安S-SDLC平臺解決方案

　　除此之外，開源網安還提供灰盒安全測試平臺(VulHunter)、開源組件安全及合規管理平臺(SourceCheck)、代碼審核平臺（CodeSec）、模糊測試平臺（SFuzz）、實時應用自我防護平臺（RASP）等多項產品，同時，基于各產品綜合特性，進行優化組合，提供DevSecOps平臺解決方案，為保障軟件安全保駕護航。