基础软件是我国信息技术产业发展和信息化建设的核心和关键，伴随着信息技术产业、互联网以及通信服务的快速发展，基础软件已经广泛应用于国防、教育、金融、交通、医疗、通信、能源等涉及国计民生的关键行业领域，一旦出现敏感信息泄露或者系统故障等信息安全问题，将会造成巨大的经济损失，甚至危害国家安全。
 
    近期，国家计算机网络应急技术处理协调中心的国家信息安全漏洞共享平台（CNVD）和中国信息安全测评中心的中国国家信息安全漏洞库（CNNVD）发现某些国产基础软件存在安全漏洞，且这些软件已经广泛应用于政府、交通、能源等重点行业领域，对我国经济和社会发展构成了严重的安全威胁，为我国保障基础软件信息安全敲响了警钟，同时也促使政府充分认识到加强基础软件自主可控、安全可靠发展的重要性和紧迫性。
 
    当前我国操作系统、数据库、中间件以及办公软件等基础软件市场仍以美国厂商为主导，软件产品本身仍存在一些安全“后门”，为进一步提升我国信息安全保障能力，确保国家网络安全运行，需从政府和基础软件厂商两个层面来推动我国基础软件自主可控、安全可靠发展，具体建议如下：
 
    政府层面：完善生态发展环境、鼓励自主创新、加强安全测试服务、推进协同发展。
 
    一是建立和完善国产基础软件的生态发展环境。制定相关法律法规，从国家层面对国产基础软件安全性进行把控；制定软件安全保障规范，推行安全开发理念；完善国产软件安全技术支撑体系，夯实服务能力，提供技术支持保障；国家从政策引导、资金保障等方面促进软件安全测评技术的自主创新和产品研发。
 
    二是提升对基础软件的信息安全测试服务能力。加强对基础软件产品及服务的安全检测和风险评估，进一步降低安全隐患。另外，鉴于中间件产品与操作系统、数据库不同，缺少相应的安全等级规范，需进一步加强对中间件产品的安全性测试服务。
 
    三是引导基础软件厂商与信息安全专业机构加强合作。实现资源共享，围绕漏洞扫描、产品安全检测、服务风险评估、解决方案安全验证、以及产品的安全开发管理等方面，建立常态化的交流合作机制，持续提升国产基础软件的信息安全保障能力。
 
    企业层面：构建信息安全保障体系、提升信息安全防护意识、加强专业人才队伍建设、推进安全风险评估、加大信息安全监督检查力度
 
    一是建立健全信息安全保障体系。从企业领导、项目经理到一线开发者均要高度重视产品和服务的安全，并在软件产品生命周期的各个阶段加强安全性把控，进而构建有效的信息安全技术保障机制，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力。
 
    二是加强信息安全教育宣传，提高安全意识。积极组织开展国产基础软件产品信息安全的培训、测试认证和普及宣传，定期召开重要厂商和主流企业级用户信息安全应用与案例研讨会，持续提升用户单位技术人员信息安全意识和技术风险管控水平，为实现信息网络安全工作常态化、规范化、制度化做出相应的措施。
 
    三是加强专业人才队伍建设。从重视人才引进，选拔素质高、技能强、具有一定管理经验的人才从事信息安全工作。重点加强业务高端系统运行人员技能的培养力度，不断提高实际操作能力与应急能力。
 
    四是积极推进信息安全风险评估。根据国家风险评估有关标准，采取以自评估为主，委托评估检查机构为辅的方式，在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估。
 
    五是健全标准规范体系，加大监督检查力度。重点加强国产基础软件产品与服务的测评、准入、认证等相关技术规范与标准。依据已确立的技术规范、标准与制度，定期开展信息安全检查工作，确保信息安全保障工作落到实处，保证检查工作的针对性、深入性和时效性。

责任编辑：Lily