日前，中国软件评测中心发布系列白皮书，在《电信和互联网行业网络安全白皮书》（以下简称《白皮书》）中，他们给出了电信和互联网行业面对安全威胁的应对之道。

强化数据安全保护

基于《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，电信运营商、互联网企业等从合规角度出发对数据安全保护制度体系加紧完善，重点包括敏感数据的分类分级和控制措施、个人信息保护、重要数据保护等。《白皮书》提出，行业应加快完善网络数据安全制度标准，从管理和技术手段上严防敏感数据泄露事件的发生。

积极开展数据安全方面的合规性评估，包括网络数据安全风险评估、APP违法违规评估等，提前做好数据安全保护的合规性准备，配合监管部门的网络数据安全监督执法。企业一旦在数据安全方面发生不合规的情况，将面临行政处罚、软件下架、企业纳入不良名单和失信名单等处罚。因此，企业必须重视数据安全保护，提前谋划，做好合规性工作。

此外，《白皮书》提到的重点工作还包括如下几方面：梳理数据资产，做好资产“清单”。理清企业数据资产是对数据资产进行严格管理的基础，若无法形成数据清单，也无法对针对数据的行为进行有效监控。提升对数据安全保护重视程度，设立专门的网络数据安全职能部门。强化网络数据对外合作安全管理，既不能放松警惕，也不能因噎废食，安全和发展互相配合，促进业务健康发展，确保数据合作业务在安全、合规的情况下有序进行。加强行业网络数据安全应急管理，强化安全事件发生事前、事中、事后的处置，对恶性事件形成预案，不打无准备之仗。

加强开源软件安全评估

《白皮书》提出，软件的安全性是网络安全的一个重要方面。软件是网络系统资产的重要组成部分，软件安全性评估在实践上是网络安全风险评估的一部分，一般采用多种方法、多角度综合评估，如通过漏洞扫描、渗透测试、漏洞挖掘等发现软件运行期的各种安全漏洞，通过逆向分析发掘攻击点和逻辑漏洞，通过基线扫描、配置核查等发现软件配置方面的问题，通过协议分析、通信分析发现通信、数据保护等方面的问题，通过日志审计和分析发现攻击痕迹、非法行为等。

开源软件由于其“开源”的特点，更可以对其源代码进行白盒分析，即源代码安全审计。源代码安全审计一般由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查，充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，評估软件系统可能会面临的威胁，并指导开发人员正确修复软件缺陷。源代码安全审计一般采用“工具自动分析+人工验证”的方式进行，可从代码源头上发现代码本身存在的问题，如代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性，代码安全漏洞等方面，对软件安全性评估提供依据。

由于开源软件的广泛应用，国内外对开源软件的安全评估均开展了相关实践。2006年，美国国土安全部资助Coverity公司开展了“开源软件代码测试计划”，针对大量开源软件进行源代码安全审计，筛查安全隐患，发现源代码层面的大量安全缺陷。国内安全企业360的代码卫士团队，于2015年年初发起了国内的“开源项目检测计划”，针对开源软件开展安全检测，对软件进行安全缺陷统计和安全风险评估。截至目前，该计划已检测2200多个开源项目。

《白皮书》介绍的开源软件安全评估的方法包括：

一是源代码安全审查。采用“工具自动分析+人工验证”的方式对软件的源代码进行白盒分析，从代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性，代码安全漏洞等方面对软件安全性进行评估。

二是安全威肋风险评估。通过漏洞扫描、渗透测试、漏洞挖掘等发现软件运行期的各种安全漏洞，通过逆向分析发掘攻击点和逻辑漏洞。

三是基线核查。通过基线扫描、配置核查等发现软件配置方面的安全问题。