肖新光委員。圖片由受訪者提供
□黑龍江日?qǐng)?bào)全媒體記者 彭溢
政府工作報(bào)告提出,加強(qiáng)數(shù)字中國(guó)建設(shè)整體布局。“在我國(guó)加速推進(jìn)數(shù)字化轉(zhuǎn)型和數(shù)字中國(guó)建設(shè)的背景下,網(wǎng)絡(luò)安全顯得尤為重要,一旦受到影響,會(huì)對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全帶來(lái)重大風(fēng)險(xiǎn)隱患,嚴(yán)重?fù)p害人民生產(chǎn)生活、社會(huì)經(jīng)濟(jì)活動(dòng)甚至國(guó)家安全?!焙邶埥∪珖?guó)政協(xié)委員肖新光說(shuō)。為此,在今年全國(guó)兩會(huì)上,他提交了《關(guān)于加強(qiáng)IT供應(yīng)鏈網(wǎng)絡(luò)安全能力的提案》。
肖新光委員分析,IT供應(yīng)鏈網(wǎng)絡(luò)安全能力面臨軟件研發(fā)場(chǎng)景防護(hù)能力普遍薄弱、整體軟件行業(yè)代碼安全工程能力較差、政企用戶(hù)側(cè)供應(yīng)鏈管理工作缺失網(wǎng)絡(luò)安全維度等挑戰(zhàn)。他建議,相關(guān)部門(mén)設(shè)立專(zhuān)項(xiàng),研究推動(dòng)軟硬件研發(fā)場(chǎng)景安全防護(hù)工作。制定對(duì)應(yīng)標(biāo)準(zhǔn)規(guī)范體系,覆蓋開(kāi)發(fā)環(huán)境、生產(chǎn)環(huán)境安全防護(hù)、軟件強(qiáng)制簽名要求與簽發(fā)環(huán)境安全要求、軟件分發(fā)升級(jí)環(huán)境安全規(guī)范等。同時(shí),出臺(tái)支持軟件研發(fā)企業(yè)全面啟動(dòng)代碼安全工程的專(zhuān)項(xiàng)政策和引導(dǎo)措施。設(shè)立專(zhuān)項(xiàng)支持安全引擎等安全中間件開(kāi)發(fā),鼓勵(lì)研發(fā)企業(yè)與安全企業(yè)強(qiáng)強(qiáng)聯(lián)合,可參考智能手機(jī)行業(yè)的成功實(shí)踐,通過(guò)產(chǎn)品嵌入安全中間件等方式,實(shí)現(xiàn)IT產(chǎn)品安全防護(hù)能力的出廠預(yù)置。
肖新光還建議,摸清關(guān)基場(chǎng)景IT供應(yīng)鏈家底,推動(dòng)需求側(cè)變革。研究制定關(guān)基場(chǎng)景全生命周期的供應(yīng)鏈安全管理工作的系列標(biāo)準(zhǔn)規(guī)范、實(shí)踐指南、考核辦法、測(cè)試測(cè)評(píng)標(biāo)準(zhǔn),以及制定供應(yīng)商準(zhǔn)入機(jī)制、成熟度評(píng)價(jià)標(biāo)準(zhǔn)的安全指南。引導(dǎo)央企和政府用戶(hù),從供應(yīng)商資格入圍開(kāi)始充分考慮對(duì)上游供應(yīng)鏈的安全要求;在軟硬件采購(gòu)招標(biāo)過(guò)程中加入更全面的網(wǎng)絡(luò)安全要求;增加軟硬件產(chǎn)品驗(yàn)收、入網(wǎng)等環(huán)節(jié)的安全檢查。強(qiáng)化供應(yīng)鏈安全事件的響應(yīng)、處置、恢復(fù)以及事件上報(bào)等環(huán)節(jié)的規(guī)范要求。