1、持续风险监测体系下的持续风险监测体系下的开源供应链安全监测开源供应链安全监测演讲人：姚原岗演讲时间：2021.07.21大数据协同安全技术国家工程实验室，第一个大数据安全领域国家级科研机构副理事长单位1个体系、5大方案、8款安全产品，核心技术体现在:威胁方向：基于高性能计算架构，实现海量流量高速检索技术；增强流量检测的异常模型。数据方向：利用可信计算、盲水印、脱敏及加密检索技术实现跨部门数据的安全消费。漏洞方向：大规模漏洞源代码分析，物联网漏洞挖掘，软件安全测试。智能分析方向：威胁主动监测分析、海量互联网数据的智能化处理、知识图谱构建。国家标准制定3项，国家标准研究1项参与信息安全技术网络安全

2、漏洞分类分级指南、信息安全技术信息系统安全保障评估框架、网络安全态势感知通用技术要求等标准修订编写工作。参与关键信息基础设施漏洞管理体系指南标准研究工作。60余项国家专利与软件著作权，多次获得国家、部委级科技进步奖项，技术研究文章若干网络安全新常态带来新的挑战网络安全新常态对政府、企业等大型组织机构网络安全运营提出新的挑战.用户的需求解决安全问题解决安全问题打消安全顾虑打消安全顾虑转移安全能力转移安全能力要要懂懂安安全全还还要要懂懂用用户户我们的思考-安全思维互联网化全栈安全安全迭代敏捷安全安全左移安全嵌入开放、协同、互联以用户为中心我们的思考-安全思维系统工程化系统安全工程系统安全工程持续风

3、险监测持续风险监测（安全能力建设）（安全效益发挥）开放、协同、互联以用户为中心交叉、复杂、应用综合的安全能力面向复杂系统采用复杂系统运行复杂系统解决复杂问题持续风险监测体系理论视角看体系-持续风险监测开拓者 摸索摸索 2008年，开始探索，联合产业界，调研论证先进的国家级网络安全防御体系 2011年，第一个国家级持续风险监测体系设计 实践实践 2015年，第一个超大型企业持续风险监测实践 2018年，第一个国际级持续风险监测实践 提出提出 2019年，首次提出完整的持续风险监测理论方法 示范示范 2020年-2021年，全国20多个区域，建立持续风险监测体系应用持续风险监测方案思路CRM-持续

4、风险监测整体解决方案持续风险监测整体解决方案持续风险监测服务持续风险监测服务大规模威胁监测大规模威胁监测（三面覆盖，突出全面和体系）一揽子、统领性解决方案，是持续风险监测理论体系的应用实践之一。-支撑整体解决方案的最优服务集合数据安全综合监测数据安全综合监测漏洞全周期监测漏洞全周期监测-（威胁+监测持续性）-（数据+监测持续性）-（漏洞+监测持续性）供应链安全 Stuxnet NotPetya SolarWinds产业链业务链技术链产业上下游厂商产业集群物料人员组织管理物理环境流程IT基础设施/网络通信系统应用(硬件、软件/开源)开源供应链安全现状 2020 年，根据 Synopsys 发布的

5、开源安全和风险分析报告显示，开源使用数量占比较高，在教育、金融、医疗等传统行业渗透率已超过 60%，开源软件已成为企业构建信息技术的重要选择。2021 年 3 月 12 日，开源首次被明确列入中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要，支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务。2021年6月，国家互联网应急中心发布的2021 年开源软件供应链安全风险研究报告介绍了开源漏洞的发展现状及趋势。CVE未收录开源漏洞时间分布图开源软件漏洞时间分布图含高危以上开源漏洞占比2020 年开源漏洞 TOP 1

6、0 CWE 缺陷类型开源供应链安全归因分析开源代码外部开发的代码购买的商业代码/库内部开发的代码混源软件混源软件 引入含已知漏洞的开源组件（成分）而不知 缺乏对恶意开源代码的安全性分析 缺乏对开源组件（成分）的漏洞跟踪和运维 缺乏对恶意开源代码的生产环境的监测混源软件开发是当前最主要的开发方式威胁行为场景程序行为行为分析敏感信息窃取文件系统加密文件（勒索）挖矿传播病毒后门回连命令执行文件读取硬编码密钥网络进程API代码生产.APIAPI开源供应链安全方案需求阶段需求阶段设计阶段设计阶段开发阶段开发阶段测试阶段测试阶段上线上线 阶段阶段部署阶段部署阶段DevSecOps运营阶段运营阶段漏洞全周期

7、监测解决方案漏洞全周期监测解决方案上线前的对策上线前的对策大规模威胁监测解决方案大规模威胁监测解决方案上线后的对策上线后的对策应用运行时自我保护应用运行时自我保护安全监测安全监测主动免疫主动免疫开源成分隐患分析应用代码行为检测开源组件漏洞检测交互式应用安全测试开源供应链上线前检测开源供应链上线前检测漏洞全生命周期持续监测统一的漏洞管理平台持续的漏洞跟踪发现实时的漏洞资源支撑漏洞管理资产管理消控流程管理统计报表任务调度应用代码行为检测代码指纹开源成分隐患分析二进制开源成分隐患分析交互式应用安全测试开源组件漏洞检测模糊测试开源代码指纹库CNNVD漏洞库二进制指纹库开源组件元数据库应用资产库模糊测试

8、库全面的上线前安全隐患分析漏洞探测资产识别渗透测试基于云测的上线前安全检测（开源+漏洞）开源成分隐患分析开源成分隐患分析基于代码指纹、二进制的供应链开源成分隐患分析，生成开源成分和漏洞清单开源组件漏洞检测开源组件漏洞检测基于元数据的第三方组件检测创建SBOM，检测开源组件，监控安全性和漏洞问题源代码安全分析，分析网络外联、文件操作、进程生成、命令执行等行为监控运行时的危险函数，挖掘注入、跨站脚本等漏洞CVECNNVD漏洞库其他漏洞库应用代码行为检测应用代码行为检测交互式应用安全测试交互式应用安全测试 基于云测的上线前安全检测（开源+漏洞）代码/环境/配置/测试开发/运维/测试/安全人员环境准备

9、测试环境发布功能/性能/扩展性/安全测试 人工构建自动编译构造库版本库开发/运维/测试/安全人员供应商开源SCASCAIASTIASTSASTSAST开源供应链上线后监测开源供应链上线后监测大规模威胁监测体系提供持续的威胁监测、分析、发现、响应能力PPTDS基于云甲的内外一体的web应用威胁监测云甲web应用威胁防护软件基于运行时应用自我保护技术，将自身注入到应用程序中，与应用程序融为一体，实时监测、阻断攻击。通过对底层API行为的监测，可以做到未知漏洞的外部威胁防御以及应用中恶意行为的内部威胁。开源供应链开源供应链外部威胁外部威胁防火墙防火墙应用应用APlsAPls外部网络外部网络内部环境内

10、部环境网络边界WAFRASP数据数据微服务微服务开源供应链开源供应链内部威胁内部威胁Web应用威胁监测应用程序应用程序浏览器浏览器？payloadpayload安全流量分发安全流量分发RASP AgentRASP Agent威胁防护威胁防护持续监测持续监测事件日志事件日志 Agent 分析应用程序行为，代码和内存，关注与安全相关的活动，如加密、SQL、文件访问、LDAP、XPath等 监测判断是否存在外部威胁攻击和恶意行为 结果被主动验证并上报，连同有漏洞的代码行、运行时的数据和验证证明httphttp请求请求产品产品 数湖网络流量追溯系统 数堤数据防泄漏系统 数影数据脱敏系统 智达舆情画像分析系统 云镜网络威胁监测系统 云盾主机监测响应系统 云鹰网站安全监测系统 云图安全协同分析系统 云甲Web应用威胁防护系统 云测交互式安全测试系统服务服务 安全测评服务安全测评服务 渗透测试+合规性测评 安全咨询服务安全咨询服务 安全规划咨询+安全管理咨询 安全监测服务安全监测服务 安全威胁监测+网站安全监测+数据泄露监测+漏洞通报+应急响应 安全集成运维服务安全集成运维服务 集成+培训+运维 产品和服务体系