近期,黎巴嫩尋呼機(jī)與對(duì)講機(jī)爆炸事件引發(fā)廣泛關(guān)注。從某種程度來看,該事件也凸顯了當(dāng)前技術(shù)環(huán)境下軟件供應(yīng)鏈安全凾待提高的緊迫性。
面對(duì)軟件供應(yīng)鏈安全威脅,網(wǎng)絡(luò)空間安全與社會(huì)治理領(lǐng)域國(guó)家隊(duì)國(guó)投智能(300188)首席技術(shù)官提出可從三個(gè)方面應(yīng)對(duì):一是跟蹤開發(fā)過程,軟件需求方應(yīng)選擇具備信息安全資質(zhì)的開發(fā)商,開發(fā)商要具備安全思維,需求方還需對(duì)項(xiàng)目節(jié)點(diǎn)成果進(jìn)行跟蹤;二是評(píng)估交付產(chǎn)品,包括漏洞檢測(cè)、后門檢測(cè)和數(shù)據(jù)檢測(cè);三是管好使用環(huán)節(jié),建立管理體系、管好資產(chǎn)臺(tái)賬、做好安全監(jiān)測(cè)和應(yīng)急響應(yīng)。
據(jù)介紹,軟件供應(yīng)鏈安全風(fēng)險(xiǎn)貫穿開發(fā)、測(cè)試、集成、部署等各個(gè)環(huán)節(jié),惡意代碼注入、依賴關(guān)系風(fēng)險(xiǎn)等問題可能導(dǎo)致敏感信息被竊取、系統(tǒng)功能被破壞,甚至威脅國(guó)家網(wǎng)絡(luò)安全。例如,曾經(jīng)有企業(yè)因軟件供應(yīng)鏈安全問題,被黑客植入惡意代碼,大量用戶數(shù)據(jù)泄露,企業(yè)不僅面臨巨額賠償,聲譽(yù)也一落千丈。
據(jù)介紹,國(guó)投智能積極布局軟件供應(yīng)鏈安全領(lǐng)域,旗下控股子公司安勝網(wǎng)絡(luò)推出“星盾”多源威脅檢測(cè)響應(yīng)平臺(tái),基于“云、網(wǎng)、邊、端”多源安全大數(shù)據(jù),為企業(yè)提供全方位保護(hù)。同時(shí)還提供高級(jí)滲透測(cè)試服務(wù),幫助企業(yè)發(fā)現(xiàn)安全漏洞。此外,還有魔劍三號(hào)應(yīng)用程序檢測(cè)大師系統(tǒng)、“天劍”系列移動(dòng)終端安全檢查系統(tǒng)、“亮劍一號(hào)”數(shù)據(jù)安全檢查工具箱和水晶石加密硬盤等產(chǎn)品,以滿足不同場(chǎng)景的數(shù)據(jù)安全需求。
從政策層面上看,近年來國(guó)家高度重視軟件供應(yīng)鏈安全,先后出臺(tái)了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī),為行業(yè)樹立安全標(biāo)準(zhǔn)。2024年11月1日,我國(guó)還將實(shí)施《信息安全技術(shù)—信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》,從三個(gè)維度為軟件供應(yīng)鏈安全提供指導(dǎo)。
倚靠政策紅利,未來國(guó)投智能將繼續(xù)深耕軟件供應(yīng)鏈安全領(lǐng)域,提升技術(shù)水平和服務(wù)質(zhì)量,與各方緊密合作,共同推動(dòng)軟件供應(yīng)鏈安全技術(shù)的標(biāo)準(zhǔn)化和規(guī)范化發(fā)展,為構(gòu)建安全可信的數(shù)字生態(tài)貢獻(xiàn)力量。(胡敏)
校對(duì):劉星瑩