■本报记者 阴祖峰
“IT供应链环节复杂、暴露面多,上游环节被攻击者利用会引发雪崩效应,造成不可估量的影响。近几年,网络攻击者通过入侵软硬件产品供应商,实现对下游政企应用场景的连锁突破,已经成为常态化攻击方式。”今年两会,全国政协委员,安天科技集团董事长、首席架构师肖新光精心撰写了关于加强IT供应链网络安全能力建设的提案。
经过长期深入调研,肖新光发现,IT供应链网络安全能力正面临着软件研发场景防护能力普遍薄弱、普遍缺少全生命周期的代码安全工程能力、政企用户侧供应链管理工作缺失网络安全维度的挑战。肖新光分析说:一是在设计、开发、编译、测试、签名、分发等场景缺少针对性防护措施,导致相关环境和流程被攻击者入侵,带来系列严重风险;二是普遍缺少全生命周期的代码安全工程能力,软件安全性较差,易于出现严重安全漏洞;三是对供应链管理的认识停留在资产台账和基础运维的层面,缺少对上游供应链网络安全视角的统一工作机制和流程规范。
“建议相关部门设立专项,研究推动软硬件研发场景安全防护工作。”肖新光认为,应制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。“通过建立试点示范项目、安全投入加计扣除等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。”
“建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。”肖新光说,应跟进技术发展趋势,推动SecDevOps等先进方法成为软件安全开发的通用实践,实现安全、快速、持续的软件开发能力。“设立专项支持安全引擎等安全中间件开发,鼓励研发企业与安全企业强强联合,可参考智能手机行业成功实践,通过产品嵌入安全中间件等方式,实现IT产品安全防护能力的出厂预置。”
“建议摸清关基场景IT供应链家底,推动需求侧变革。”肖新光表示,主管部门应组织专项普查,全面分析关基和政企场景的软件工具应用分布、来源、可控性等因素,形成完整图谱,掌握问题隐患。“建议相关部门组织专项,研究制定关基场景全生命周期的供应链安全管理工作的系列标准规范、实践指南、考核办法、测试测评标准,以及制定供应商准入机制、成熟度评价标准的安全指南。引导央企和政府用户,从供应商资格入围开始充分考虑对上游供应链的安全要求;在软硬件采购招标过程中加入更全面的网络安全要求;增加软硬件产品验收、入网等环节的安全检查。强化供应链安全事件的响应、处置、恢复以及事件上报等环节的规范要求。”