魏小強(qiáng)/WEI Xiaoqiang，張義榮/ZHANG Yirong，黃亞洲/HUANG Yazhou

（360數(shù)字安全集團(tuán)，中國(guó) 北京 100102 ）

安全瀏覽器已經(jīng)成為數(shù)字工作空間的安全入口。安全瀏覽器也將成為在操作系統(tǒng)之上保護(hù)數(shù)字工作空間的新操作系統(tǒng)。微軟放棄開發(fā)26 年之久的網(wǎng)頁瀏覽器（IE），轉(zhuǎn)而擁抱競(jìng)爭(zhēng)對(duì)手谷歌的Chromium 開源瀏覽器內(nèi)核項(xiàng)目并推出新Edge 瀏覽器（目前排名全球第4）。這進(jìn)一步刷新了行業(yè)對(duì)Chromium 的認(rèn)知，也使得跨平臺(tái)、標(biāo)準(zhǔn)化、統(tǒng)一性、擁抱開源的安全瀏覽器迅速成為熱點(diǎn)。從以色列安全瀏覽器初創(chuàng)公司Talon Cyber Security 獲得2022 年RSAC 創(chuàng)新沙盒冠軍，到剛剛成立兩年的企業(yè)級(jí)安全瀏覽器廠商Island 一躍成為估值最高的獨(dú)角獸企業(yè)，以及資本市場(chǎng)對(duì)安全瀏覽器的熱烈追捧，可以看出，安全瀏覽器將推動(dòng)安全行業(yè)的深刻變革。

在俄烏沖突之際，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在2022年2月份發(fā)布的“屏蔽”計(jì)劃（Shields-UP）指出，“每個(gè)組織，無論大小，都必須準(zhǔn)備好應(yīng)對(duì)破壞性的網(wǎng)絡(luò)事件……更新手機(jī)、平板電腦和筆記本電腦上的操作系統(tǒng)，并更新所有設(shè)備上的應(yīng)用程序——尤其是網(wǎng)絡(luò)瀏覽器”[1]。這進(jìn)一步證明了安全瀏覽器不僅是數(shù)字工作空間的安全入口，也已經(jīng)成為國(guó)家網(wǎng)絡(luò)防御的前沿陣地。此外，CISA還表示，“利用Web瀏覽器中的漏洞已成為攻擊者破壞計(jì)算機(jī)系統(tǒng)的一種主要方式”。由此可見，Web 瀏覽器的戰(zhàn)略意義已經(jīng)從為消費(fèi)者提供互聯(lián)網(wǎng)“沖浪”的入口變成構(gòu)建國(guó)家網(wǎng)絡(luò)防御能力的前沿陣地。隨著全球加速進(jìn)入數(shù)字時(shí)代，數(shù)字工作空間無處不在，保護(hù)數(shù)字工作空間的第一道門戶——安全瀏覽器很可能是未來安全行業(yè)的游戲規(guī)則改變者。

1 現(xiàn)有網(wǎng)絡(luò)瀏覽器存在巨大安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)瀏覽器是人們?nèi)粘Ｊ褂玫挠脕頇z索、展示以及傳遞Web信息資源的應(yīng)用程序。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)瀏覽器已成為人們使用最多的應(yīng)用程序。它不僅是一個(gè)互聯(lián)網(wǎng)訪問入口，還是用戶業(yè)務(wù)、資產(chǎn)、信息的接入樞紐。目前，網(wǎng)絡(luò)瀏覽器已經(jīng)發(fā)展為新一代數(shù)字工作空間，即用戶進(jìn)入互聯(lián)網(wǎng)空間的訪問入口。但是，它并不是為安全而設(shè)計(jì)的。Chrome、Firefox 等瀏覽器已成為黑客滲透攻擊的重要目標(biāo)，也是許多高級(jí)持續(xù)威脅（APT）組織常用的攻擊入口。近年來，受新冠疫情影響，自帶設(shè)備（BYOD）辦公方式被眾多組織大量使用，導(dǎo)致網(wǎng)絡(luò)瀏覽器所面臨的安全問題更加突出。

1.1 網(wǎng)絡(luò)瀏覽器充斥大量易被黑客利用的漏洞

谷歌Chrome、微軟Internet Explorer、Mozilla Firefox 和Apple Safari 等網(wǎng)絡(luò)瀏覽器安裝在幾乎全球所有的計(jì)算機(jī)上。據(jù)Statcounter 數(shù)據(jù)顯示，谷歌Chrome 瀏覽器以63.63%的份額（擁有33 億用戶）引領(lǐng)網(wǎng)絡(luò)瀏覽器市場(chǎng)；Apple Safari 緊隨 其 后， 份 額 為19.37%； Mozilla Firefox、 微 軟Edge（Chromium）、Opera、Internet Explorer 的份額分別為3.65%、3.24%、2.16%、0.81%[2]。

操作系統(tǒng)附帶的網(wǎng)絡(luò)瀏覽器往往采用默認(rèn)的安全設(shè)置，例如：Chrome 和Safari 這樣的網(wǎng)絡(luò)瀏覽器很容易受到跟蹤、惡意工具欄和插件的影響，在其外掛的工具欄和插件中，充滿了公共漏洞（CVE），從而使得這些瀏覽器成為黑客最喜歡的攻擊目標(biāo)。網(wǎng)絡(luò)攻擊者經(jīng)常利用瀏覽器上的安全漏洞來竊取機(jī)密數(shù)據(jù)，安裝勒索軟件并策劃網(wǎng)絡(luò)攻擊。

CVE詳情報(bào)告顯示，所有4個(gè)主要瀏覽器在CVE方面均排在前25 位。其中Chrome 瀏覽器排在第9 位，有2 346 個(gè)CVE；Firefox 排在第13 位，有1 933 個(gè)CVE；Internet Explorer排在第24位，有1 168個(gè)CVE；Safari排在第25位，有1 136 個(gè)CVE。Microsoft Edge 于2015 年亮相，迄今有250 個(gè)CVE，因此沒有進(jìn)入前25位[3]。

統(tǒng)計(jì)數(shù)據(jù)顯示，超過9%的Chrome瀏覽器擴(kuò)展功能權(quán)限具有高風(fēng)險(xiǎn)或極高風(fēng)險(xiǎn)。2021 年的Chrome 因被發(fā)現(xiàn)308 個(gè)CVE而被評(píng)為最易受攻擊的瀏覽器。其中，24%的零日漏洞與Chrome 有關(guān)。由通用漏洞評(píng)分系統(tǒng)（CVSS）評(píng)估的Chrome CVE的風(fēng)險(xiǎn)值（6.4）高于所有其他應(yīng)用的CVE平均值（6）。其他網(wǎng)絡(luò)瀏覽器的情況和Chrome 類似，這里不再贅述。

綜上所述，網(wǎng)絡(luò)瀏覽器已經(jīng)成為最容易被攻擊的應(yīng)用程序。然而，企業(yè)或機(jī)構(gòu)正在廣泛使用網(wǎng)絡(luò)瀏覽器來訪問其業(yè)務(wù)應(yīng)用環(huán)境。也就是說，全球有數(shù)十億人的數(shù)字工作空間門戶正面臨著巨大的安全風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)瀏覽器缺乏企業(yè)級(jí)應(yīng)用所需的安全性設(shè)計(jì)

Chrome 等網(wǎng)絡(luò)瀏覽器往往是為消費(fèi)者、廣告商、內(nèi)容生產(chǎn)者和開發(fā)者而構(gòu)建的，它也會(huì)通過廣告、用戶跟蹤和搜索優(yōu)化等方式來盈利。因此，面向消費(fèi)者的瀏覽器很容易受到網(wǎng)絡(luò)攻擊。比如，攻擊者可以遍歷瀏覽器標(biāo)簽，以了解有關(guān)受病毒感染主機(jī)的豐富信息；通過讀取保存用戶名和密碼的特定文件來獲取用戶賬號(hào)信息；利用瀏覽器安全漏洞和固有的瀏覽器功能來更改內(nèi)容，修改用戶行為，獲取終端系統(tǒng)的最高訪問權(quán)限并完成橫向移動(dòng)，攔截信息并進(jìn)行會(huì)話劫持；濫用瀏覽器擴(kuò)展功能來實(shí)現(xiàn)對(duì)被攻擊者應(yīng)用系統(tǒng)的持續(xù)訪問與機(jī)密數(shù)據(jù)獲取等。

網(wǎng)絡(luò)瀏覽器之所以容易受到上述網(wǎng)絡(luò)攻擊，是因?yàn)樗⒉皇菫槠髽I(yè)級(jí)安全性需求而設(shè)計(jì)的。企業(yè)在使用瀏覽器時(shí)會(huì)遇到3個(gè)非常重要而且經(jīng)常被低估的問題：可見性、可控性和可管理性問題，即企業(yè)無法獲知用戶的訪問行為、訪問的目的地、訪問的風(fēng)險(xiǎn)性、具體的操作行為等。

1.3 非受控端廣泛采用網(wǎng)絡(luò)瀏覽器進(jìn)一步加劇企業(yè)安全風(fēng)險(xiǎn)

根據(jù)美國(guó)市場(chǎng)研究公司Forrester的一項(xiàng)調(diào)查，69%的受訪者聲稱其網(wǎng)絡(luò)上一半或更多的設(shè)備是BYOD等非管理設(shè)備或物聯(lián)網(wǎng)設(shè)備[4]。這些設(shè)備往往通過網(wǎng)絡(luò)瀏覽器接入和訪問企業(yè)的各種資源。

當(dāng)BYOD訪問企業(yè)資源時(shí)，企業(yè)無法在員工自帶設(shè)備上部署企業(yè)級(jí)安全策略，而網(wǎng)絡(luò)瀏覽器是此類非受控端點(diǎn)接入和訪問企業(yè)應(yīng)用的主要途徑。這將進(jìn)一步加劇安全風(fēng)險(xiǎn)，使得企業(yè)無法完全對(duì)訪問內(nèi)容進(jìn)行安全控制。事實(shí)上，大多數(shù)企業(yè)的安全團(tuán)隊(duì)根本無法驗(yàn)證訪問企業(yè)資源的非企業(yè)設(shè)備的安全狀況。

但是，BYOD工作的方式越來越受歡迎，物聯(lián)網(wǎng)設(shè)備正在爆炸性增長(zhǎng)。這是數(shù)字時(shí)代的基本特征。那么如何幫助企業(yè)IT 和安全部門對(duì)這些設(shè)備實(shí)現(xiàn)安全可見性和控制能力？比較好的方法就是采取更輕量級(jí)的方式，比如使用安全瀏覽器等手段來增強(qiáng)可見性和可控性。

2 安全瀏覽器成為數(shù)字工作空間的安全入口和各國(guó)關(guān)注焦點(diǎn)

如果把網(wǎng)絡(luò)瀏覽器比作一輛汽車，那么安全瀏覽器就是汽車安全氣囊。全球數(shù)字化轉(zhuǎn)型正在加速發(fā)展，為應(yīng)對(duì)混合工作環(huán)境下的安全挑戰(zhàn)，人們需要一種新的安全工具來保護(hù)數(shù)字工作空間。安全瀏覽器很可能將順應(yīng)歷史潮流擔(dān)當(dāng)此任。隨著瀏覽器正在朝著標(biāo)準(zhǔn)化、平臺(tái)化和系統(tǒng)化演進(jìn)，安全瀏覽器正在成為數(shù)字工作空間的安全入口和新防線。微軟、谷歌以及資本市場(chǎng)等均在加速布局安全瀏覽器戰(zhàn)略，搶占未來數(shù)字工作空間安全入口的控制權(quán)。

2.1 數(shù)字化轉(zhuǎn)型需要新的安全工具來保護(hù)用戶數(shù)字工作空間入口

數(shù)字化轉(zhuǎn)型重塑了企業(yè)的交付服務(wù)和訪問應(yīng)用的方式。比如：BYOD的廣泛采用、企業(yè)上下游供應(yīng)鏈之間的相互訪問以及大量物聯(lián)網(wǎng)設(shè)備的出現(xiàn)，導(dǎo)致企業(yè)或機(jī)構(gòu)在混合工作方式下面臨的網(wǎng)絡(luò)攻擊面急劇擴(kuò)大。網(wǎng)絡(luò)攻擊者很容易采用多種方式針對(duì)分布式工作的用戶發(fā)起攻擊，例如：利用合作方未修補(bǔ)的瀏覽器漏洞，通過瀏覽器下載的惡意軟件，利用瀏覽器實(shí)施欺詐、網(wǎng)絡(luò)釣魚以及零日攻擊等。傳統(tǒng)安全手段僅僅保護(hù)可管理設(shè)備，無法收斂攻擊面，同時(shí)還帶來高延遲、高成本以及用戶體驗(yàn)差等問題。

因此，企業(yè)必須找到并實(shí)施正確的解決方案，既要實(shí)現(xiàn)數(shù)據(jù)安全性、完全可見性和可控性，還要考慮在混合工作環(huán)境下不斷提升用戶體驗(yàn)等問題。這意味著需要?jiǎng)?chuàng)建一個(gè)跨平臺(tái)、標(biāo)準(zhǔn)化、統(tǒng)一化、易于操作且可實(shí)施一致的安全態(tài)勢(shì)管理策略的安全環(huán)境，并將其作為保護(hù)數(shù)字工作空間入口的關(guān)鍵。

隨著企業(yè)不斷把業(yè)務(wù)遷移到云上，越來越多的企業(yè)開始采用基于瀏覽器的軟件即服務(wù)（SaaS）應(yīng)用程序。那么，將安全性集成到瀏覽器中并創(chuàng)建基于安全瀏覽器的企業(yè)環(huán)境就成為一個(gè)輕量級(jí)的、用戶體驗(yàn)良好的選擇。安全瀏覽器的作用方式相當(dāng)于在傳統(tǒng)操作系統(tǒng)之上構(gòu)建了一個(gè)新的基于瀏覽器的安全操作系統(tǒng)。因此，企業(yè)安全瀏覽器有望成為網(wǎng)絡(luò)安全行業(yè)的“游戲規(guī)則改變者”。據(jù)統(tǒng)計(jì)，到2026年，支持分布式工作的網(wǎng)絡(luò)解決方案市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)到420 億美元[5]。毫無疑問，安全瀏覽器將是該解決方案中的核心組件之一。

2.2 微軟推動(dòng)Chromium發(fā)展，加大數(shù)字工作空間入口控制權(quán)的爭(zhēng)奪

以微軟為代表的巨頭在Chromium 開源內(nèi)核方面不斷發(fā)力。微軟于2022 年6 月15 日停止IE 瀏覽器服務(wù)。該科技巨頭果斷放棄IE（截至2021年3月市場(chǎng)份額為1.7%），轉(zhuǎn)而與競(jìng)爭(zhēng)對(duì)手谷歌聯(lián)合推出基于Chromium 的Edge瀏覽器。很顯然，該事件將極大地推動(dòng)Chromium 成為瀏覽器標(biāo)準(zhǔn)，加速行業(yè)關(guān)于Chromium的共識(shí)。

微軟于2018 年轉(zhuǎn)向Chromium 開源內(nèi)核之后，并不是一個(gè)簡(jiǎn)單的Chromium 的跟隨者，而是投入其Edge團(tuán)隊(duì)的核心力量在Chromium 上進(jìn)行持續(xù)開發(fā)，并迅速成為全球僅次于谷歌的第二大Chromium 開發(fā)團(tuán)隊(duì)[6]。雖然Edge 和Chrome 都基于開源Chromium 內(nèi)核，但是微軟做了很多差異化的能力開發(fā)，基于Chromium 底層技術(shù)做了很多性能優(yōu)化，并且引入了人工智能和機(jī)器學(xué)習(xí)技術(shù)等，例如：其在Edge 中構(gòu)建所謂的“圖靈圖像超分辨率引擎”[7]，允許用戶增強(qiáng)他們?cè)赪eb 上看到的圖像，這使得使用微軟的Edge 瀏覽器比Chrome 看起來更清晰；在安全能力方面，增加了Smart Screen的功能，能夠幫助用戶免受網(wǎng)絡(luò)釣魚、惡意軟件站點(diǎn)和軟件的侵害；為用戶提供過濾機(jī)制，用機(jī)器學(xué)習(xí)智能提醒、過濾、防御釣魚網(wǎng)站、有潛在危險(xiǎn)的網(wǎng)站等[8]。微軟Edge 團(tuán)隊(duì)正在為Chromium 開源社區(qū)做出巨大貢獻(xiàn)，迅速成長(zhǎng)為該社區(qū)的第二大力量，正在影響并可能引領(lǐng)該社區(qū)的發(fā)展[9]。

此外，微軟還在資本市場(chǎng)收購安全瀏覽器領(lǐng)域的新銳企業(yè)和技術(shù)，如對(duì)Talon Cyber Security 的扶植。以色列企業(yè)安全瀏覽器初創(chuàng)公司Talon Cyber Security 獲得了2022 年RSAC創(chuàng)新沙盒冠軍。該公司基于Chromium 推出自己的企業(yè)安全瀏覽器產(chǎn)品。Talon Cyber Security 在2022 年6 月與微軟簽署了排它性創(chuàng)業(yè)公司孵化計(jì)劃，將獲得微軟的技術(shù)、能力和資源的支持?？梢钥闯觯④浾诮枇alon 的安全瀏覽器技術(shù)擴(kuò)大其企業(yè)安全瀏覽器戰(zhàn)略，爭(zhēng)奪數(shù)字工作空間入口的控制權(quán)。

事實(shí)上，目前資本市場(chǎng)對(duì)安全瀏覽器領(lǐng)域表現(xiàn)出極高的興趣。我們注意到，最近兩年涌現(xiàn)出了一些獨(dú)立的安全瀏覽器廠商，比如：另一家以色列安全瀏覽器公司Island，在2022年3月完成B輪融資，共籌集到1.15億美元，以13億美元的估值成為歷史上首個(gè)估值最高的安全瀏覽器獨(dú)角獸企業(yè)。該公司的主打產(chǎn)品也是基于谷歌Chromium 內(nèi)核的企業(yè)安全瀏覽器。

值得注意的是，當(dāng)前，中國(guó)非常依賴微軟IE 的瀏覽器插件，例如：利用基于IE 等標(biāo)準(zhǔn)瀏覽器兼容和擴(kuò)展的一些國(guó)密產(chǎn)品的安全加密功能，來保護(hù)金融領(lǐng)域電子交易等。因此，微軟放棄IE 瀏覽器將對(duì)中國(guó)原有基于微軟IE 擴(kuò)展的兼容加密技術(shù)的升級(jí)等產(chǎn)生重要影響。

2.3 谷歌發(fā)布Chrome企業(yè)連接器框架，加速布局安全瀏覽器戰(zhàn)略

為了應(yīng)對(duì)混合工作環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)，谷歌在其Chrome 瀏覽器和Chrome OS 的基礎(chǔ)上，于2022 年5 月26 日推出了Chrome 瀏覽器和Chrome OS 企業(yè)連接器框架（Chrome Enterprise Connectors Framework）。該框架主要在Chrome OS中為企業(yè)增強(qiáng)數(shù)據(jù)控制能力，從而更好地保護(hù)企業(yè)環(huán)境中用戶和設(shè)備的安全，同時(shí)為安全團(tuán)隊(duì)提供更多工具來報(bào)告和管理安全事件。

目前約有10 家硬件和安全頭部企業(yè)響應(yīng)谷歌這一框架計(jì)劃，例如：英特爾推出vPro 設(shè)備管理工具包，以加密Chrome OS 設(shè)備的內(nèi)存；Palo Alto Networks、CrowdStrike Holdings、BlackBerry 統(tǒng) 一 終 端 管 理（UEM）、VMware、Splunk 以及三星Knox Manage 等均承諾會(huì)盡快推出基于谷歌企業(yè)連接器框架的安全方案。

可以看出，谷歌正在借助合作伙伴的力量構(gòu)建從芯片到云的全鏈路安全方案。企業(yè)安全瀏覽器作為數(shù)字工作空間的入口具有舉足輕重的戰(zhàn)略意義。

3 相關(guān)建議

安全瀏覽器是構(gòu)建在操作系統(tǒng)之上的操作系統(tǒng)，具有巨大的平臺(tái)價(jià)值和極其重要的戰(zhàn)略意義，需要我們高度重視。目前，針對(duì)中國(guó)瀏覽器使用情況的調(diào)研顯示，中國(guó)安全瀏覽器在開發(fā)方面具有先發(fā)優(yōu)勢(shì)，但是也面臨著很大挑戰(zhàn)：人們還未認(rèn)識(shí)到安全瀏覽器的重要戰(zhàn)略意義，企業(yè)對(duì)安全瀏覽器的付費(fèi)愿望不足，安全瀏覽器研發(fā)人才短缺等因素正在阻礙中國(guó)安全瀏覽器的發(fā)展。承載中國(guó)黨政軍企各類業(yè)務(wù)的系統(tǒng)均通過網(wǎng)絡(luò)瀏覽器進(jìn)行訪問，瀏覽器的安全性已關(guān)乎到國(guó)家網(wǎng)絡(luò)空間的安全。為加速推動(dòng)我國(guó)安全瀏覽器的發(fā)展，我們提出3個(gè)相關(guān)建議。

3.1 發(fā)揮先發(fā)優(yōu)勢(shì)，鼓勵(lì)政企單位使用國(guó)產(chǎn)安全瀏覽器

在安全瀏覽器領(lǐng)域，中國(guó)企業(yè)具有一定的先發(fā)優(yōu)勢(shì)。如360公司在2018年提出了企業(yè)安全瀏覽器的概念，并最早完成了規(guī)?；虡I(yè)產(chǎn)品落地。該安全瀏覽器支持Windows全系列、MacOS全系列、信創(chuàng)平臺(tái)全系列的操作系統(tǒng)。在信創(chuàng)平臺(tái)的應(yīng)用級(jí)產(chǎn)品層面，360 企業(yè)安全瀏覽器與中國(guó)100 多家應(yīng)用廠商的產(chǎn)品實(shí)現(xiàn)了全面兼容。此外，中國(guó)企業(yè)具有的先發(fā)優(yōu)勢(shì)還表現(xiàn)在：

1）積極跟進(jìn)了與瀏覽器相關(guān)的國(guó)際標(biāo)準(zhǔn)編制工作。2012 年，以360 為代表的中國(guó)安全公司加入萬維網(wǎng)聯(lián)盟（W3C）中最重要的超文本標(biāo)記語言（HTML）工作組，與W3C 共同研究和制定HTML5 等新互聯(lián)網(wǎng)標(biāo)準(zhǔn)；隨后，加入全球CA/B根證書信任聯(lián)盟。

2）發(fā)起了安全瀏覽器根證書計(jì)劃。早在2018 年，360公司就正式啟動(dòng)了公開密鑰加密算法RSA（由發(fā)明者Rivest、Shmir 和Adleman 姓氏首字母縮寫而來）根證書計(jì)劃，與其他國(guó)家操作系統(tǒng)中的根證書庫認(rèn)證體系脫離，構(gòu)建了自有的根證書審查機(jī)制，目前已完成全球100%權(quán)威CA機(jī)構(gòu)的入根工作。在2020年360公司又啟動(dòng)了國(guó)密根證書計(jì)劃。目前該計(jì)劃已獲得數(shù)十家中國(guó)CA機(jī)構(gòu)的入根工作。這一舉措是具有前瞻性的，這是因?yàn)樵诎l(fā)生極端沖突時(shí)，一旦其他國(guó)家CA 機(jī)構(gòu)吊銷用戶網(wǎng)站證書，用戶還可以利用360安全瀏覽器內(nèi)嵌的安全可信根證書計(jì)劃，立即重新建立網(wǎng)站訪問信任，防止被“卡脖子”。

3）在技術(shù)上具有一定的創(chuàng)新性。和國(guó)際安全企業(yè)瀏覽器廠商相比，360安全瀏覽器具備大量的內(nèi)置安全功能，包括數(shù)據(jù)丟失預(yù)防（DLP）功能、遠(yuǎn)程瀏覽器隔離（RBI）功能、安全訪問控制功能、文件加密功能以及細(xì)化的認(rèn)證和授權(quán)控制。該瀏覽器可面向Windows、Mac、信創(chuàng)等多個(gè)平臺(tái)，提供統(tǒng)一的跨平臺(tái)集約化管理方案，內(nèi)置兼容性檢測(cè)和修復(fù)工具，擴(kuò)展應(yīng)用商店、數(shù)據(jù)開放接口，提供安全方案咨詢及定制化開發(fā)服務(wù)。

我們建議有關(guān)部門創(chuàng)造有利條件，發(fā)揮中國(guó)瀏覽器廠商已經(jīng)取得的上述優(yōu)勢(shì)，從戰(zhàn)略上重視并幫助安全瀏覽器廠商擴(kuò)大生存空間，在數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)字城市等重要項(xiàng)目建設(shè)中，明確要求采用企業(yè)安全瀏覽器并限期全員部署，以保護(hù)中國(guó)數(shù)字工作空間入口。

3.2 發(fā)揮新型舉國(guó)體制優(yōu)勢(shì)，打造自主戰(zhàn)略級(jí)安全瀏覽器

瀏覽器是數(shù)字空間入口。一旦“斷供”事件發(fā)生，中國(guó)數(shù)字空間的門戶將敞開，因此我們建議應(yīng)盡快制定中國(guó)企業(yè)安全瀏覽器的B 計(jì)劃（在積極跟蹤C(jī)hromium 瀏覽器開源內(nèi)核的基礎(chǔ)上，防止在未來極端情況下所面臨的“卡脖子”風(fēng)險(xiǎn)），發(fā)揮新型舉國(guó)體制優(yōu)勢(shì)，支持以科技領(lǐng)軍企業(yè)為龍頭，推動(dòng)政府、市場(chǎng)與社會(huì)有機(jī)結(jié)合，集中各方力量進(jìn)行攻關(guān)突破，打破技術(shù)壟斷，從根本上解決中國(guó)各類數(shù)字應(yīng)用的入口安全問題。

中國(guó)安全瀏覽器要獲得長(zhǎng)遠(yuǎn)發(fā)展一定離不開安全社區(qū)的建設(shè)。谷歌在開源社區(qū)方面的成功經(jīng)驗(yàn)很值得中國(guó)借鑒：不論是實(shí)力強(qiáng)大的Chromium開源社區(qū)，還是開源供應(yīng)鏈社區(qū)，均展現(xiàn)出嫻熟利用社區(qū)力量推動(dòng)技術(shù)和產(chǎn)業(yè)創(chuàng)新的卓越實(shí)踐能力。未來，創(chuàng)新一定源于群體的力量，也一定驅(qū)動(dòng)于不斷提升用戶體驗(yàn)的使命感。所以，培育安全瀏覽器社區(qū)文化，鼓勵(lì)開發(fā)者創(chuàng)新，在創(chuàng)新中再回報(bào)開發(fā)者，才能獲得真正的技術(shù)競(jìng)爭(zhēng)優(yōu)勢(shì)。

3.3 加強(qiáng)安全瀏覽器人才培訓(xùn)，鼓勵(lì)開展瀏覽器安全基礎(chǔ)技術(shù)研究

目前，中國(guó)的安全瀏覽器是基于谷歌Chromium 內(nèi)核來開發(fā)的。Chrome 瀏覽器擁有約2 300 萬行代碼，因此構(gòu)建企業(yè)瀏覽器是一件相當(dāng)復(fù)雜的工作，需要大量安全專業(yè)人員投入和協(xié)同攻關(guān)。比如，微軟Edge 團(tuán)隊(duì)目前擁有1 000 多名開發(fā)者，谷歌Chrome 瀏覽器擁有一個(gè)2 000 多人的開發(fā)團(tuán)隊(duì)。據(jù)粗略估算，中國(guó)從事瀏覽器開發(fā)工程師的數(shù)量不會(huì)超過500 人，而具有瀏覽器內(nèi)核開發(fā)能力的人才更少。實(shí)際上，目前中國(guó)安全瀏覽器開發(fā)方面的技術(shù)水平僅僅能跟上Chromium 開源代碼更新的速度。安全瀏覽器開發(fā)人才資源的嚴(yán)重不足將極大制約中國(guó)在該領(lǐng)域的創(chuàng)新和發(fā)展。因此，我們建議國(guó)家應(yīng)加快制定針對(duì)安全瀏覽器的人才培養(yǎng)計(jì)劃，并從科研項(xiàng)目、應(yīng)用示范、力量整合等方面加強(qiáng)瀏覽器安全基礎(chǔ)技術(shù)研究，盡快實(shí)現(xiàn)中國(guó)在瀏覽器安全基礎(chǔ)技術(shù)領(lǐng)域的突破。