此次事件又一次证明了“没有网络安全就没有国家安全”。随着现代社会信息化的发展,网络已经成为国家关键信息基础设施中的一员,如何预防、维护、处理网络威胁,保障信息安全,是关乎个人隐私、社会稳定、国家安全的全球性难题。
第21条规定,国家实行网络安全等级保护制度。
《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
“重点任务”中提到产业供给强化行动和安全需求牵引行动,明确要加快发展源代码分析、组件成分分析等软件供应链安全工具,提升网络安全产品安全开发水平。
《关于印发“十四五”软件和信息技术服务业发展规划的通知》
中心指导思想提到,“提升关键软件供给能力,加快繁荣开源生态,夯实产业发展基础,提高产业链供应链现代化水平,坚持应用牵引、整机带动、生态培育,壮大信息技术应用创新体系,全面推进重点领域产业化规模化应用,持续培育数字化发展新动能,全面支撑制造强国、网络强国、数字中国建设。”
《关键信息基础设施安全保护条例》
2021年4月,国务院第133次常务会议通过《关键信息基础设施安全保护条例》,条例于2021年9月1日起施行。
条例指出:“运营者在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件。”“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”
《关键信息基础设施安全保护要求》
2023年5月1日起,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(下称《关基安全保护要求》)开始正式实施。
要求中提到监管方面新的要求包括供应链的产品服务采购方面:
建立和维护合格供应方目录;
强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;
获得提供者对网络产品和服务的10年以上知识产权授权;
自行或委托第三方对定制开发的软件进行源代码安全检测;
软件供应链中存在各种风险和威胁,如代码泄露、数据泄露、黑客攻击、病毒木马、供应链攻击等。这些风险和威胁会对软件供应链的各个方面造成影响,包括应用程序、操作系统、网络、数据库等。
因此在如今复杂且变化多端的国际局势中,我们应该从个人、企业、政府多端口提升对信息安全的重视并加快信息安全建设。通过对软件供应链进行安全检测,可实现以下目标:
- 提高软件产品的安全性和可靠性。通过检测可以发现供应链中的安全漏洞、后门、木马等隐患,降低软件被利用的风险。
- 减少供应链攻击。检测可以检出供应商是否在软件生命周期的各个环节遵循安全规范,避免在源代码、组件、运维等渠道注入威胁。
- 满足监管要求。在中国和其他国家,重要软件产品供应商都需要接受安全审查,检测是审查的基础。
- 建立买方信任。第三方检测可以使购买方更信任供应商的产品,有利于打消安全后门等顾虑。
- 促进供应商自我纠正。检测结果可以让供应商发现自身软件开发和运维中的不足,推动其提升安全能力。
- 提升整个行业安全意识。检测结果可以认识到行业普遍存在的安全风险,有助于制定行业规范和标准。
- 降低安全事件损失。检测有助于事前发现安全漏洞,大大减少漏洞被利用后的修复成本和损失。
- 相关部门需要立即组织力量检查关基配套系统软硬件,清除后门程序,切断远程控制通道。并升级系统安全策略,加强重要节点的访问控制和审计。
- 约谈涉事供应商和运维人员,了解薄弱环节和安全风险,避免问题再次出现。提高相关人员的安全意识极为重要。
- 定期进行关键系统的安全审计和漏洞扫描,发现和修复安全隐患。并加强对关键环节的监控,防止再次被植入后门。
- 建立完善的供应商审核标准,在整体供应链上线前做好安全建设,完成安全屏障。
