供應鏈安全風險待解,公安部安全能力分中心落地上海強化監管關注
南方財經全媒體記者 吳立洋 上海報道
產業鏈供應鏈是現代經濟的基礎形態,隨着近年來數字化發展,產業鏈上下游被更加緊密地連接在一起,極大提升了生產效率與科技轉化率。
但另一方面,在供應鏈上下游各環節協同運轉的同時,不同環節的安全風險也得以向上下游蔓延,且部分關鍵環節的短板被突破既有可能導致全供應鏈生產受到影響。在產業鏈變革亟待進一步深化的關鍵期,着力提升產業鏈供應鏈安全穩定水平,形成自主可控、穩定暢通、安全可靠的供應鏈,是當前監管與行業需要解決的關鍵問題。
5月8日,公安部第三研究所與上海德昶安測技術服務有限公司聯合主辦“供應鏈安全能力分中心(上海)揭牌儀式暨上海供應鏈安全生態建設研討會”,正式於上海成立供應鏈安全能力分中心。在本次研討會上,來自科研院所與安全企業的專家從實際問題的維度出發,從多個角度探討了當前供應鏈安全的發展方向。
“隨着數字化建設的推進,關鍵基礎設施領域的系統設施正在成爲網絡攻擊的重點目標,供應鏈安全問題日益凸顯。” 公安部第三研究所數據安全技術研發中心副主任盛小寶在發言中表示,在複雜多變的網絡環境中需保持安全定力,加強網絡安全檢查與評估,提升保護手段有效性,做到安全左移,以新安全技術保障新發展格局。
上海市信息投資股份有限公司黨委書記黃衛軍則表示,在當前企業數字化轉型的大背景下,供應鏈是一個日益複雜的全球化網絡,由數量龐大且不斷增長的第三方合作伙伴組成。當前,全球數字空間競爭與博弈持續加劇,安全形勢不容樂觀,供應鏈數字安全問題日益凸顯。
從企業角度看,工業互聯網供應鏈面臨的風險主要來自產品及服務的生命週期、採購、運營等層面,具體而言,就是產品本身在設計研發中遺留的漏洞問題、企業採購的產品服務存在的安全問題以及管理機制不完善導致的安全問題。
中國電信股份有限公司上海分公司網絡與信息安全部總經理傅伊浩在研討會分享中指出,從企業實際來看合適的軟件引入制度、持續的監控機制、嚴格的資產管理機制是當前加強供應鏈安全急需加強的主要方面。
他進一步表示,此前的供應鏈安全,更多是通過監管來倒推一些基礎能力建設,而當下的供應鏈安全則一方面需要通過雲設施等平臺從管理層面持續開展軟件風險的監控檢測,另一方面是從技術研發角度初步清理存量的同時,從研發源頭對供應鏈安全搭建技術體系。
近年來,跳島攻擊(island hopping attack)已成爲網絡犯罪集團常用的數據竊取技術方式之一,即利用其軟件供應鏈中的薄弱環節,傷害目標供應鏈中脆弱的供應商和第三方,以獲得對目標網絡的初始訪問權限並破壞資源。
公安部第三研究所網安中心副主任鮑亮在研討會分享中表示,從監管執法角度來看,當前所有供應鏈上的產品服務提供者以及承擔相關供應安全責任的網絡運營者,都是安全執法對象,當前中國的一些產品在安全計算、源代碼審計等方面還存在做得不到位的方面,接下來將通過監管對相關方面的重視提升產業對供應鏈安全的保障能力。
在本次研討會上,公安部第三研究所供應鏈安全能力中心和上海德昶安測技術服務有限公司正式簽署了合作協議,公安部第三研究所供應鏈安全能力分中心(上海)正式啓動投入運營。
對於本次建立安全能力分中心,鮑亮表示,其主要角色是情報平臺,配合供應商開展安全漏洞的風險排查和整改,建設與提供漏洞庫並建立應急響應流程。
據悉,供應鏈安全能力分中心(上海)還聘請了來自百度、小紅書、上海帆一尚行科技等企業的首批供應鏈安全專家,並啓動了“供應鏈人才培訓計劃”,計劃通過系統全面的教育與培訓,提高供應鏈安全領域人才的專業素養和技能水平,確保供應鏈系統的安全與穩定運行。