全国政协委员肖新光:加强IT供应链网络安全能力
人民政协网北京3月8日电(记者胡京春)IT供应链环节复杂、暴露面多,上游环节被攻击者利用会引发雪崩效应造成不可估量的影响。近几年,网络攻击者通过入侵软硬件产品供应商,实现对下游政企应用场景的连锁突破,已经成为常态化攻击方式。为此,在今年全国两会上,全国政协委员、哈尔滨安天科技股份有限公司董事长肖新光提出了《关于加强IT供应链网络安全能力的提案》。
在肖新光看来,IT供应链网络安全能力面临三个挑战。一是软件研发场景防护能力普遍薄弱。二是整体软件行业代码安全工程能力较差。三是政企用户侧供应链管理工作缺失网络安全维度。“在我国加速推进数字化转型和数字中国建设的背景下,上述问题如不能得到有效重视和积极应对,将对我国关键信息基础设施安全带来重大风险隐患。”
肖新光建议相关部门设立专项,研究推动软硬件研发场景安全防护工作。制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。通过建立试点示范项目、安全投入加计扣除等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。
肖新光建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。跟进技术发展趋势,推动SecDevOps等先进方法成为软件安全开发的通用实践,实现安全、快速、持续的软件开发能力。设立专项支持安全引擎等安全中间件开发,鼓励研发企业与安全企业强强联合,通过产品嵌入安全中间件等方式,实现IT产品安全防护能力的出厂预置。
肖新光建议主管部门组织专项普查,全面分析关基和政企场景的软件工具应用分布、来源、可控性等因素,形成完整图谱,掌握问题隐患。相关部门组织专项,研究制定关基场景全生命周期的供应链安全管理工作的系列标准规范、实践指南、考核办法、测试测评标准,以及制定供应商准入机制、成熟度评价标准的安全指南。