事實上，早在2020年，sysAuditor就憑借其突出上風(fēng)進選了國家級試點，主導(dǎo)的核心設(shè)計已申請兩項專利，目前已在智能汽車、能源、政府等行業(yè)或機構(gòu)成功落地。以上汽團體為例，上汽團體與騰訊組建了網(wǎng)絡(luò)安全聯(lián)合實驗室，針對智能網(wǎng)聯(lián)汽車開展車輛攻防和安全技術(shù)研發(fā)工作，通過sysAuditor私有化版本，補充了自研及上游車機固件、嵌進式系統(tǒng)的安全評估能力，助力上汽團體保障消費者的財產(chǎn)和人身安全。除此之外，騰訊安全sysAuditor解決方案也已在國家電網(wǎng)河南電力公司，以及深圳坪山區(qū)智能網(wǎng)聯(lián)汽車示范平臺建設(shè)等國家級項目中投進使用。

在條例中，提及一個核心觀點，即“強化供給鏈安全保障工作，保護關(guān)鍵信息基礎(chǔ)設(shè)施安全”，由此可見供給鏈安全的重要性。然而，供給鏈安全風(fēng)險在當(dāng)前日趨嚴(yán)重的網(wǎng)絡(luò)安全形勢下日顯突出，且一旦出現(xiàn)題目會將給關(guān)鍵信息基礎(chǔ)設(shè)施帶來嚴(yán)重危害。據(jù)2020年12月FireEye發(fā)布的關(guān)于“太陽風(fēng)”供給鏈攻擊通告顯示，某基礎(chǔ)網(wǎng)絡(luò)治理軟件的軟件更新包中被黑客植進后門，造成約超過250家美國聯(lián)邦機構(gòu)和企業(yè)受到影響。

作為產(chǎn)業(yè)安全領(lǐng)導(dǎo)者，騰訊安全一直在深耕包括車聯(lián)網(wǎng)、5G、IoT等在內(nèi)的前沿技術(shù)領(lǐng)域的安全研究，未來，也將繼續(xù)通過產(chǎn)品和服務(wù)將安全能力轉(zhuǎn)化成護航產(chǎn)業(yè)互聯(lián)網(wǎng)的安全生產(chǎn)力，持續(xù)為各行各業(yè)輸出高效的安全解決方案。

11月4日，海運費，2021騰訊數(shù)字生態(tài)大會云安全專場在武漢光谷科技會展中心召開。騰訊安全科恩實驗室專家工程師聶森出席專場論壇，結(jié)合騰訊安全科恩實驗室的安全研究經(jīng)驗，分享了他對關(guān)鍵信息基礎(chǔ)設(shè)施軟件供給鏈安全的思考與實踐。

當(dāng)今社會的正常穩(wěn)定運行，越來越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。為進一步保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，相關(guān)政策陸續(xù)出臺。其中，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱“條例”）已于2021年9月1日正式施行。除了國家級的法律法規(guī)，國內(nèi)外面向特定行業(yè)的安全法規(guī)也已經(jīng)展開，如UNECE WP.29通過的兩項，分別針對車輛信息安全治理CSMS、軟件更新治理SUMS的聯(lián)合國車輛法規(guī)也已于今年1月22日正式生效。相關(guān)政策的發(fā)布，為指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供了基本遵循。

sysAuditor解決方案助力企業(yè)提效降本

針對持續(xù)升級的供給鏈攻擊，以及彌補傳統(tǒng)軟件供給鏈的缺陷，騰訊安全科恩實驗室結(jié)合其在安全領(lǐng)域的技術(shù)研究和服務(wù)能力產(chǎn)品化的成果，推出了sysAuditor解決方案。據(jù)了解，sysAuditor是一款聚焦于物聯(lián)網(wǎng)系統(tǒng)的基線合規(guī)檢查和二進制軟件成分分析的自動化平臺，與傳統(tǒng)的嵌進式系統(tǒng)相比，sysAuditor解決方案具有四個核心突破點：核心突破一、格式支持完善度最高的固件解析能力；核心突破二、最小依靠無侵進動態(tài)信息采集能力；核心突破三、首創(chuàng)消息態(tài)信息結(jié)合的基線審計能力；核心突破四、用AI技術(shù)構(gòu)建二進制軟件成分分析引擎。sysAuditor解決方案沉淀了科恩實驗室的滲透測試經(jīng)驗，能夠助力企業(yè)實現(xiàn)對研發(fā)漏洞檢測、系統(tǒng)安全驗收、潛伏風(fēng)險規(guī)避和行業(yè)安全治理等的自動化審計，從而提升安全基線，降低維護本錢。

“需要留意的是，國際貨運 空運價格，關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的軟件供給鏈有一個非常特殊的特點，區(qū)別于其它場景，我們總結(jié)為——以嵌進式軟件為主，且呈現(xiàn)非常嚴(yán)重的碎片化特性?！甭櫳诎l(fā)言中夸大。而這也讓關(guān)鍵信息基礎(chǔ)設(shè)施的安全局勢變得更加復(fù)雜和嚴(yán)重。占有關(guān)數(shù)據(jù)顯示，480+款固件就檢測出了16000+個安全風(fēng)險，嚴(yán)重與高危風(fēng)險比例超過50%。經(jīng)過分析和總結(jié)，聶森以為，嵌進式系統(tǒng)總體安全形勢堪憂：版本舊，大量已知漏洞未修復(fù)；合規(guī)性檢查缺失；設(shè)備廠商安全投進本錢高；安全能力不足；用戶回收修復(fù)本錢高等，這些缺陷將直接影響到軟件供給鏈的安全，并進一步影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全。

供給鏈安全是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)鍵要素