首页 >>《关键信息基础设施安全保护条例》发布,专家称软件供应链安全保障工作是重点
《关键信息基础设施安全保护条例》发布,专家称软件供应链安全保障工作是重点
发布来源: 棱镜七彩 发布时间:2021-09-15

《关键信息基础设施安全保护条例》(以下简称《条例》)已经2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。


图片

《关键信息基础设施安全保护条例》公布施行时间


这是我国首部专门针对关键信息基础设施安全保护工作的行政法规。


《条例》所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。


党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。


当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。制定出台《条例》,建立专门保护制度,明确各方责任,提出保障促进措施,有利于进一步健全关键信息基础设施安全保护法律制度体系。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。


目前,关键信息基础设施已经渗透到各个行业的方方面面,无论是出行还是生活服务或者通信方面,都离不开关键信息基础设施的支撑。


中国网络安全审查技术与认证中心 魏昊”专家对关键信息基础设施保障工作做出了解读:

# 专家解读 #

   保障关键信息基础设施安全的一个很重要方面是确保关键信息基础设施使用的网络产品和服务的供应链安全。网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出,一旦出现问题会给关键信息基础设施带来严重危害。”


图片

魏昊专家解读|强化供应链安全保障工作,保护关键信息基础设施安全


供应链安全存在以下四个方面的主要风险:


(一)网络产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险;


(二)网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;


(三)网络产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;


(四)网络产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。


为控制关键信息基础供应链安全风险,国家陆续出台了相关制度,建立并不断完善供应链安全保障体系。


2017年6月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容,并推动开展了云计算服务网络安全审查。


在2020年4月27日,国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。


《条例》第十九条明确提出:“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”

 图片

《关键信息基础设施安全保护条例》


国家网信办牵头,会同工信部、国资委以及有关保护工作部门持续开展关键信息基础设施运营者供应链安全督促检查工作,重点检查运营者优先采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况,提高运营者对供应链安全管理的重视程度。


由此可见,软件供应链安全保障工作是保障关键信息基础设施的重中之重。


在软件供应链中,开源软件成为软件开发的主流选择。众多软件开发人员在软件产品的开发过程中,通常会基于已有开源项目的框架进行二次开发,而大多数软件开发人员缺少对开源代码成分分析以及评估代码安全风险的能力。因此,在开发软件时,引用开源组件会导致代码中存在漏洞恶意代码“后门”等潜在风险,这些风险将给信息安全领域带来严重危害。比如:2020年,GitHub披露了一起开源软件供应链攻击事件。GitHub于3月9日收到一名独立安全研究人员的漏洞警告,称GitHub托管的一组代码库正在积极提供恶意软件服务。通过调查证实,章鱼扫描器恶意软件能够对NetBeans项目文件进行分类,然后将有效恶意负载嵌入GitHub项目文件并创建JAR文件。根据Github公布的信息,章鱼扫描器影响了26个开源项目。


确保软件供应链安全至关重要,但如何保障软件供应链安全,成为了当前企事业单位必不可避免的话题。


在软件供应链安全治理中,应从多个角度来看待软件供应链存在的不同安全风险,并采取针对性的方法或技术手段来确保软件供应链安全,合理引入安全合规治理工具,从根源上解决问题。


为了防范滥用开源软件的潜在安全风险,提高软件供应链中代码安全分析,棱镜七彩推出了源代码安全检测平台FossCheck


图片


棱镜七彩FossCheck依托国内领先的源代码知识库以及威胁情报中心提供的相关服务,专注于开源软件治理、软件供应链安全领域、软件自主可控等领域,核心功能包括源代码自主率分析、软件成分分析、开源安全漏洞风险分析、开源许可证合规性风险分析;具备检出率高、误报率低、检测效率快、支持语言广等多种优势,支持私有化离线部署、云部署、Saas服务等多种部署形式。


如何从供应链角度把握开源生态的关键环节?


FossCheck 源代码安全检测平台能对外部代码的安全性和合规性进行深入仔细地分析,及时发现外部代码的安全性风险和开源许可证的合规性风险,并且利用大数据分析技术,对开源项目进行多维度分析和评价,为用户选型提供支持。并且以开源项目、组织团体为视角,建立了供应链风险识别与评估体系,量化评价指标,规避事件、出口管制等问题。

注:本文系本站转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请与本站联系,我们将在第一时间删除内容!本文版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。

关注我们

关注我们