鏈接云端 可信而安2023 SecGo云和軟件安全大會在京召開

2023年8月25日，由中國信息通信研究院（以下簡稱“中國信通院”）和中國通信標準化協會聯合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開。大會以“鏈接云端 可信而安”為主題，旨在推動云和軟件安全產業發展、新技術應用和生態建設。大會公布了2023年度可信安全最新評估結果，簽署了人保財險&中國信通院云大所合作協議，啟動和發布了多本云和軟件安全領域研究報告。

中國通信標準化協會副理事長兼秘書長代曉慧致辭

代曉慧表示，中國通信標準化協會在云和軟件安全標準化工作方面取得了以下進展：一是標準化工作持續健全完善；二是覆蓋范圍有序拓寬；三是國際影響力逐步提升。

【資料圖】

為進一步推動我國云和軟件安全產業發展與實踐落地，代曉慧對產業的未來發展提出三點建議：一是貫徹國家重點政策，推進政策的落地實施，完善配套標準制定，積極促進云和軟件安全產業上下游生態建設。二是加快完善云和軟件安全標準體系，積極引導云和軟件安全產業健康發展。三是促進供需側有效對接，發揮推進委員會的平臺作用，聯合產業鏈上下游，加速云和軟件安全技術的推廣和應用。

中國信通院云大所所長何寶宏致辭

何寶宏表示，當前我國云和軟件安全產業發展正邁入高質量發展軌道：一是政策環境持續優化；二是創新技術應用不斷涌現；三是產業融合進一步深化。

中國信通院作為推動行業發展的重要橋梁和紐帶，近年來在云和軟件安全領域持續開展工作，建立了較為完善的“可信安全研究體系”，主要包括以下幾個方面：一是積極開展云和軟件安全領域標準與評估體系建設工作。二是持續發布云和軟件安全產業洞察與研究成果。三是搭建云和軟件安全生態與交流平臺。

為深入落實“十四五”規劃要求，積極營造安全可信網絡生態環境，中國信通院面向云安全、軟件供應鏈安全、零信任等領域開展可信安全系列評估，大會公布了最新的可信安全評估結果。

2023年度可信安全評估結果發布

人保財險&中國信通院云大所簽署合作協議

云保險等科技保險作為信息技術安全服務的創新模式之一，為云計算等新技術的可保風險提供保障，已經越來越得到國家、行業、企業等重視。在會上，中國信通院云大所與中國人民財產保險股份有限公司共同簽署了戰略合作協議。雙方在前期良好的合作基礎上，將進一步在云保險等信息科技類保險方面開展深入合作交流，共同推動保險與新技術的加速融合。

三本云安全領域白皮書啟動編寫

隨著企業上云用云進程的不斷推進，云計算產業發展面臨新的安全態勢與挑戰。為推動行業整體云安全能力水平提升，中國信通院云大所將聯合國內云計算代表企業共同編寫多本云安全領域研究報告。一是與華為云計算技術有限公司共同啟動編寫《云安全責任共擔白皮書2023》，以分享云安全責任共擔領域的新態勢、新理念、新實踐，強化上云企業與云服務商安全協作。二是與阿里云計算有限公司共同啟動編寫《云上安全治理指南》，剖析適應行業用戶深度用云新安全需求的安全建設路徑，以指導行業用戶安全的上云、用云。三是與華為云計算技術有限公司共同啟動編寫《云遠程連接安全實踐指南》，創新建立安全遠程連線模型，以應對云遠程連接中數據安全、行為不透明等風險。

《銀行業業務安全體系建設白皮書》正式發布

金融科技的迅猛發展為銀行業帶來了巨大發展潛力的同時，大量業務風險也隨之凸顯。在此背景下，中國民生銀行股份有限公司和中國信通院云大所共同編寫的《銀行業業務安全體系建設白皮書》在會上正式發布，為銀行業深入了解當前的業務安全挑戰和趨勢提供有力參考。

中國信通院云大所副所長栗蔚分享《軟件物料清單（SBOM）發展現狀與洞察研究》

栗蔚表示，近年來軟件供應鏈安全事件頻發，軟件物料清單（SBOM）作為提升軟件供應鏈透明度，降低軟件供應鏈安全風險的有效手段受到業界關注。

軟件物料清單指軟件成分列表，識別并列出了軟件組件信息以及它們之間的供應鏈關系。中國信通院圍繞軟件物料清單開展相關研究工作，已圍繞核心數據要素，建立了軟件物料清單標準體系。經調研發現，目前我國企業軟件物料清單建設工作仍處初期階段，大規模落地較難實現，主要存在數據格式不統一、缺乏配套平臺工具、企業需求未確立、數據零散難收集等痛點問題。針對我國企業軟件物料清單建設現狀，中國信通院調研多種數據格式，完善軟件物料清單標準，明確核心數據字段要求，助力企業軟件物料清單相關建設工作的落地。

兩本應用安全領域白皮書發布

新技術的蓬勃發展驅動業務創新變革，應用安全風險加劇。為推動行業整體應用安全能力水平提升，中國信通院云大所聯合國內應用安全代表企業共同編寫多本應用安全領域研究報告。一是與深圳永安在線科技有限公司共同撰寫并發布《API安全發展白皮書（2023）》，旨在通過分析新型API攻擊趨勢及其爆發式增長催生的新型安全挑戰，幫助從業者更好的了解API安全攻防現狀。二是與瑞數信息技術有限公司共同撰寫并發布《云上WAAP發展洞察報告（2023）》，旨在通過分析WAAP解決方案的優勢及核心能力要求，幫助安全從業者更好的了解WAAP全貌。

中國信通院云大所開源和軟件安全部主任郭雪發布并解讀《零信任發展研究報告》

郭雪表示，如今企業IT防護機制從以網絡邊界為核心向以身份為核心的零信任轉變，零信任產業已形成蓬勃發展的良好態勢。此次中國信通院云大所發布的《零信任發展研究報告》對過去兩年多零信任產業的新發展、新變化進行了調研和洞察：一是信任保障資源可信訪問，應用價值日益凸顯；二是零信任能力生態逐漸成熟；三是用戶對零信任建設尚存顧慮，同時肯定零信任核心價值。

此外，郭雪對零信任產業發展提出了五點建議：一是提升技術壁壘避免同質化競爭；二是強化安全產業供應鏈間合作；三是運用零信任成熟度評價模型為用戶實施零信任提供細化幫助；四是多行業范例涌現，深化行業應用。

中國信通院云大所開源和軟件安全部副主任孔松分享《可信云安全標準體系解讀》

孔松表示，為推動云安全產業發展，中國信通院圍繞云資產安全、云安全工具、安全服務、云安全責任共擔等領域建立了可信云安全標準體系，以促進云安全供應側技術能力的高質量交付。未來，聚焦云用戶深度用云中的新安全挑戰，將進一步推動云安全質效進階標準的制定，助力云用戶厘清云安全建設技術路徑，建立評價模型科學量化云安全實際成效，實現安全能力的持續優化。

產業各方嘉賓發表精彩演講

大會還邀請了產業各方嘉賓發表精彩演講。中國民生銀行股份有限公司信息科技部安全規劃中心副處長（主持工作）李吉慧帶來了“銀行業業務安全體系研究與實踐”主題演講；華為云計算技術有限公司華為云安全治理總監鄒豐帶來了“重新定義數字化時代的云安全治理”的主題演講；天翼云科技有限公司云網安全事業部產品中心總監宋志明分享了“天翼云一體化云原生安全防護體系的建設思考”。

本屆“2023 SecGo云和軟件安全大會”除主論壇之外，還設有軟件供應鏈安全、云安全、零信任發展、應用安全、科技保險五大分論壇。后續，中國信通院將緊跟云和軟件安全的產業發展趨勢與行業痛點，推動新技術落地與應用，搭建各方溝通交流橋梁，積極推動云和軟件安全產業發展。