人民政協(xié)網(wǎng)北京3月8日電(記者胡京春)IT供應(yīng)鏈環(huán)節(jié)復(fù)雜、暴露面多,上游環(huán)節(jié)被攻擊者利用會引發(fā)雪崩效應(yīng)造成不可估量的影響。近幾年,網(wǎng)絡(luò)攻擊者通過入侵軟硬件產(chǎn)品供應(yīng)商,實現(xiàn)對下游政企應(yīng)用場景的連鎖突破,已經(jīng)成為常態(tài)化攻擊方式。為此,在今年全國兩會上,全國政協(xié)委員、哈爾濱安天科技股份有限公司董事長肖新光提出了《關(guān)于加強(qiáng)IT供應(yīng)鏈網(wǎng)絡(luò)安全能力的提案》。
在肖新光看來,IT供應(yīng)鏈網(wǎng)絡(luò)安全能力面臨三個挑戰(zhàn)。一是軟件研發(fā)場景防護(hù)能力普遍薄弱。二是整體軟件行業(yè)代碼安全工程能力較差。三是政企用戶側(cè)供應(yīng)鏈管理工作缺失網(wǎng)絡(luò)安全維度。“在我國加速推進(jìn)數(shù)字化轉(zhuǎn)型和數(shù)字中國建設(shè)的背景下,上述問題如不能得到有效重視和積極應(yīng)對,將對我國關(guān)鍵信息基礎(chǔ)設(shè)施安全帶來重大風(fēng)險隱患?!?/p>
肖新光建議相關(guān)部門設(shè)立專項,研究推動軟硬件研發(fā)場景安全防護(hù)工作。制定對應(yīng)標(biāo)準(zhǔn)規(guī)范體系,覆蓋開發(fā)環(huán)境、生產(chǎn)環(huán)境安全防護(hù)、軟件強(qiáng)制簽名要求與簽發(fā)環(huán)境安全要求、軟件分發(fā)升級環(huán)境安全規(guī)范等。通過建立試點示范項目、安全投入加計扣除等機(jī)制,引導(dǎo)基礎(chǔ)軟硬件、共性軟件、政企場景工具軟件等相關(guān)研發(fā)企業(yè)機(jī)構(gòu),重視網(wǎng)絡(luò)安全工作,加大安全防護(hù)力度。
肖新光建議相關(guān)部門出臺支持軟件研發(fā)企業(yè)全面啟動代碼安全工程的專項政策和引導(dǎo)措施。跟進(jìn)技術(shù)發(fā)展趨勢,推動SecDevOps等先進(jìn)方法成為軟件安全開發(fā)的通用實踐,實現(xiàn)安全、快速、持續(xù)的軟件開發(fā)能力。設(shè)立專項支持安全引擎等安全中間件開發(fā),鼓勵研發(fā)企業(yè)與安全企業(yè)強(qiáng)強(qiáng)聯(lián)合,通過產(chǎn)品嵌入安全中間件等方式,實現(xiàn)IT產(chǎn)品安全防護(hù)能力的出廠預(yù)置。
肖新光建議主管部門組織專項普查,全面分析關(guān)基和政企場景的軟件工具應(yīng)用分布、來源、可控性等因素,形成完整圖譜,掌握問題隱患。相關(guān)部門組織專項,研究制定關(guān)基場景全生命周期的供應(yīng)鏈安全管理工作的系列標(biāo)準(zhǔn)規(guī)范、實踐指南、考核辦法、測試測評標(biāo)準(zhǔn),以及制定供應(yīng)商準(zhǔn)入機(jī)制、成熟度評價標(biāo)準(zhǔn)的安全指南。