全國政協委員肖新光：加強IT供應鏈網絡安全能力

人民政協網北京3月8日電（記者胡京春）IT供應鏈環節復雜、暴露面多，上游環節被攻擊者利用會引發雪崩效應造成不可估量的影響。近幾年，網絡攻擊者通過入侵軟硬件產品供應商，實現對下游政企應用場景的連鎖突破，已經成為常態化攻擊方式。為此，在今年全國兩會上，全國政協委員、哈爾濱安天科技股份有限公司董事長肖新光提出了《關于加強IT供應鏈網絡安全能力的提案》。

在肖新光看來，IT供應鏈網絡安全能力面臨三個挑戰。一是軟件研發場景防護能力普遍薄弱。二是整體軟件行業代碼安全工程能力較差。三是政企用戶側供應鏈管理工作缺失網絡安全維度。“在我國加速推進數字化轉型和數字中國建設的背景下，上述問題如不能得到有效重視和積極應對，將對我國關鍵信息基礎設施安全帶來重大風險隱患?！?/p>

肖新光建議相關部門設立專項，研究推動軟硬件研發場景安全防護工作。制定對應標準規范體系，覆蓋開發環境、生產環境安全防護、軟件強制簽名要求與簽發環境安全要求、軟件分發升級環境安全規范等。通過建立試點示范項目、安全投入加計扣除等機制，引導基礎軟硬件、共性軟件、政企場景工具軟件等相關研發企業機構，重視網絡安全工作，加大安全防護力度。

肖新光建議相關部門出臺支持軟件研發企業全面啟動代碼安全工程的專項政策和引導措施。跟進技術發展趨勢，推動SecDevOps等先進方法成為軟件安全開發的通用實踐，實現安全、快速、持續的軟件開發能力。設立專項支持安全引擎等安全中間件開發，鼓勵研發企業與安全企業強強聯合，通過產品嵌入安全中間件等方式，實現IT產品安全防護能力的出廠預置。

肖新光建議主管部門組織專項普查，全面分析關基和政企場景的軟件工具應用分布、來源、可控性等因素，形成完整圖譜，掌握問題隱患。相關部門組織專項，研究制定關基場景全生命周期的供應鏈安全管理工作的系列標準規范、實踐指南、考核辦法、測試測評標準，以及制定供應商準入機制、成熟度評價標準的安全指南。