人民政協(xié)網北京3月8日電(記者胡京春)IT供應鏈環(huán)節(jié)復雜、暴露面多,上游環(huán)節(jié)被攻擊者利用會引發(fā)雪崩效應造成不可估量的影響。近幾年,網絡攻擊者通過入侵軟硬件產品供應商,實現(xiàn)對下游政企應用場景的連鎖突破,已經成為常態(tài)化攻擊方式。為此,在今年全國兩會上,全國政協(xié)委員、哈爾濱安天科技股份有限公司董事長肖新光提出了《關于加強IT供應鏈網絡安全能力的提案》。
在肖新光看來,IT供應鏈網絡安全能力面臨三個挑戰(zhàn)。一是軟件研發(fā)場景防護能力普遍薄弱。二是整體軟件行業(yè)代碼安全工程能力較差。三是政企用戶側供應鏈管理工作缺失網絡安全維度。“在我國加速推進數(shù)字化轉型和數(shù)字中國建設的背景下,上述問題如不能得到有效重視和積極應對,將對我國關鍵信息基礎設施安全帶來重大風險隱患。”
肖新光建議相關部門設立專項,研究推動軟硬件研發(fā)場景安全防護工作。制定對應標準規(guī)范體系,覆蓋開發(fā)環(huán)境、生產環(huán)境安全防護、軟件強制簽名要求與簽發(fā)環(huán)境安全要求、軟件分發(fā)升級環(huán)境安全規(guī)范等。通過建立試點示范項目、安全投入加計扣除等機制,引導基礎軟硬件、共性軟件、政企場景工具軟件等相關研發(fā)企業(yè)機構,重視網絡安全工作,加大安全防護力度。
肖新光建議相關部門出臺支持軟件研發(fā)企業(yè)全面啟動代碼安全工程的專項政策和引導措施。跟進技術發(fā)展趨勢,推動SecDevOps等先進方法成為軟件安全開發(fā)的通用實踐,實現(xiàn)安全、快速、持續(xù)的軟件開發(fā)能力。設立專項支持安全引擎等安全中間件開發(fā),鼓勵研發(fā)企業(yè)與安全企業(yè)強強聯(lián)合,通過產品嵌入安全中間件等方式,實現(xiàn)IT產品安全防護能力的出廠預置。
肖新光建議主管部門組織專項普查,全面分析關基和政企場景的軟件工具應用分布、來源、可控性等因素,形成完整圖譜,掌握問題隱患。相關部門組織專項,研究制定關基場景全生命周期的供應鏈安全管理工作的系列標準規(guī)范、實踐指南、考核辦法、測試測評標準,以及制定供應商準入機制、成熟度評價標準的安全指南。
