风险威胁还是价值资源？业界：应重视信息安全漏洞分析评估

　　光明网讯（记者 李政葳）“面对新形势、新任务、新要求，漏洞分析与风险评估工作，该往何处走，如何找准这项工作的着力点和未来前进的创新发展方向，是摆在面前需要我们认真思考和研究的关键问题。”在日前举行的2021世界物联网博览会信息安全高峰论坛暨第十三届信息安全漏洞分析与风险评估大会上，中国信息安全测评中心主任张峰这样说。

　　信息系统漏洞究竟会增加风险威胁，还是可以成为价值转化的重要因素？近年来，漏洞分析和风险评估逐渐成为信息安全体系建设中的重要领域。中国信息安全测评中心研究员王欣也认为，相对传统的软件安全，针对软件供应链的攻击，在攻击方式、攻击范围以及攻击影响方面，都发生了巨大的变化，给传统软件安全带来了诸多挑战。

　　记者了解到，大会设立了“漏洞分析”“威胁发现与溯源”“物联网基础安全及风险分析技术”等5个会场，围绕国家网络安全建设、国际网空发展前沿动态、新技术新应用和物联网安全等前沿议题进行深入探讨，致力于共享漏洞分析与风险评估领域的理论方法、技术实践、最新进展和创新成果，不断提升漏洞分析与风险评估工作服务国家网络安全保障的影响力和贡献率。

　　“漏洞是基本的安全信息。”中国科学院信息工程研究所副所长邹维认为，从防御和反制角度，其中一部分高价值漏洞更成为国家重要的战略资源。

　　在电子科技大学网络空间安全研究院院长张小松看来，漏洞的分析研究是安全的基础，如何能更加及时，准确和智能地发现系统中潜在的各种漏洞是系统安全永恒的话题。

　　天融信科技集团解决方案中心总监于国强认为，数据安全治理评估的目的是时刻检验目标成果的完成情况，通过对组织、管理、技术等方面进行持续评估与验证，达到优化改进的目的。绿盟科技首席技术官叶晓虎也提到，根据攻击目标的情况，动态地制定一些攻击的工具和手段，是这几年常见的，“从最终的结果来讲，希望能够把重点转移到对攻击过程的还原、追踪上去”。

　　本次大会在江苏无锡举行，以“创新可控智联，共铸网络安全”为主题，由中国信息安全测评中心、江苏省委网络安全和信息化委员会办公室、无锡市人民政府主办，无锡市委网络安全和信息化委员会办公室、滨湖区人民政府、江苏省物联网信息安全实验室承办，清华大学、北京理工大学、无锡先进技术研究院、《中国信息安全》杂志社、无锡山水城管委会协办。