关于加强IT供应链网络安全能力的提案(征求意见稿)
日期:2022年03月07日 阅:119
全国政协委员、安天集团创始人、首席技术架构师肖新光
IT供应链环节复杂、暴露面多,上游环节被攻击者利用会引发雪崩效应造成不可估量的影响。近几年,网络攻击者通过入侵软硬件产品供应商,实现对下游政企应用场景的连锁突破,已经成为常态化攻击方式。2015年,苹果公司的开发工具XCode非官方版本污染事件,导致国内800余个互联网应用遭到污染,其中包含多个主流应用。2020年,美国软件供应商SolarWinds旗下Orion基础设施管理平台的发布环境遭入侵,被植入恶意代码并随软件发布,导致超过17000家用户机构遭受严重影响。2021年,境外网络攻击组织ATW利用代码审计平台SonarQube的漏洞,窃取了我国多份行业软件源代码,在网上兜售,造成系列连锁风险。
IT供应链网络安全能力面临三个挑战:
一是软件研发场景防护能力普遍薄弱。在设计、开发、编译、测试、签名、分发等场景缺少针对性防护措施,导致相关环境和流程被攻击者入侵,带来系列严重风险,如:软件中被植入脆弱性代码,甚至直接可利用的后门,作为攻击下游用户的跳板;软件源代码被攻击者窃取,通过代码级分析挖掘漏洞,研发针对性攻击工具;软件签名证书失窃,导致攻击者可以将入侵程序伪装成可信程序,绕过安全检测机制;软件分发、更新机制和渠道被攻击者入侵劫持,用于捆绑恶意代码,发动针对下游的攻击。
二是整体软件行业代码安全工程能力较差。普遍缺少全生命周期的代码安全工程能力,软件安全性较差,易于出现严重安全漏洞,甚至大量存在低级问题,如:重要软件通讯使用非加密协议、硬口令编码等。IoT设备和部分智能终端设备缺少原生融合的出厂安全机制,接入政企网络后,难以支撑可管理性、可防御性的要求。
三是政企用户侧供应链管理工作缺失网络安全维度。对供应链管理的认识停留在资产台账和基础运维的层面,缺少对上游供应链网络安全视角的统一工作机制和流程规范。对供应商资质入围缺少网络安全层面的整体要求;缺少对软硬件设备安全入网的管理要求、操作规范、检查机制;软件和工具链管理普遍混乱,存在大量使用来源不明、未经安全验证的软件工具等情况。
在我国加速推进数字化转型和数字中国建设的背景下,上述问题如不能得到有效重视和积极应对,将对我国关键信息基础设施安全带来重大风险隐患。为此,提出如下建议:
一是建议相关部门设立专项,研究推动软硬件研发场景安全防护工作。制定对应标准规范体系,覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。通过建立试点示范项目、安全投入加计扣除等机制,引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构,重视网络安全工作,加大安全防护力度。
二是建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。跟进技术发展趋势,推动SecDevOps等先进方法成为软件安全开发的通用实践,实现安全、快速、持续的软件开发能力。设立专项支持安全引擎等安全中间件开发,鼓励研发企业与安全企业强强联合,可参考智能手机行业的成功实践,通过产品嵌入安全中间件等方式,实现IT产品安全防护能力的出厂预置。
三是建议摸清关基场景IT供应链家底,推动需求侧变革。建议主管部门组织专项普查,全面分析关基和政企场景的软件工具应用分布、来源、可控性等因素,形成完整图谱,掌握问题隐患。建议相关部门组织专项,研究制定关基场景全生命周期的供应链安全管理工作的系列标准规范、实践指南、考核办法、测试测评标准,以及制定供应商准入机制、成熟度评价标准的安全指南。引导央企和政府用户,从供应商资格入围开始充分考虑对上游供应链的安全要求;在软硬件采购招标过程中加入更全面的网络安全要求;增加软硬件产品验收、入网等环节的安全检查。强化供应链安全事件的响应、处置、恢复以及事件上报等环节的规范要求。
安天是引领威胁检测与防御能力发展的网络安全国家队,依托自主先进核心技术与安全理念,致力为战略客户和关键基础设施提供整体安全解决方案。安天产品和服务为客户构建端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置等基础能力。安天为客户建设实战化的态势感知体系,协助客户开展深度结合与全面覆盖的体系化网络安全规划与建设,赋能客户筑起可对抗高级威胁的网络安全防线。