01?事件回顧

2023年7月26日，武漢市應(yīng)急管理局地震監(jiān)測中心報警稱，該中心發(fā)現(xiàn)部分地震速報數(shù)據(jù)前端臺站采集點(diǎn)網(wǎng)絡(luò)設(shè)備被植入后門程序。該行為對國家安全構(gòu)成嚴(yán)重威脅。目前，武漢市公安局江漢分局已經(jīng)根據(jù)中華人民共和國《刑法》第285條之規(guī)定，對此案立案偵查，并對提取到的后門樣本進(jìn)一步開展技術(shù)分析，該后門程序能非法控制并竊取地震速報前端臺站采集的地震烈度數(shù)據(jù)。初步判定，此事件為境外具有政府背景的黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。

此次事件又一次證明了“沒有網(wǎng)絡(luò)安全就沒有國家安全”。隨著現(xiàn)代社會信息化的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為國家關(guān)鍵信息基礎(chǔ)設(shè)施中的一員，如何預(yù)防、維護(hù)、處理網(wǎng)絡(luò)威脅，保障信息安全，是關(guān)乎個人隱私、社會穩(wěn)定、國家安全的全球性難題。

02?信息安全建設(shè)現(xiàn)狀及問題

在信息化高速發(fā)展的20年間，中國信息化建設(shè)成效已顯現(xiàn)，截至2022年底，中國互聯(lián)網(wǎng)普及率達(dá)73.5%，4G用戶規(guī)模超過15億，5G網(wǎng)絡(luò)已開通超過150萬個基站。數(shù)字經(jīng)濟(jì)也實現(xiàn)飛速發(fā)展，2022年中國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)45.5萬億元，占GDP比重達(dá)39.8%。但隨之而來的信息安全和數(shù)字治理工作卻缺乏大眾認(rèn)知及制度化的建設(shè)，導(dǎo)致國內(nèi)信息安全面臨多重風(fēng)險和問題。

03?法律法規(guī)日益完善

國內(nèi)近年來開展了一系列安全左移、國產(chǎn)替代化措施，目的是發(fā)現(xiàn)和解決軟件中潛在的風(fēng)險和威脅，確保軟件產(chǎn)品以及軟件供應(yīng)鏈的安全性和可靠性，自2017年中國《網(wǎng)絡(luò)安全法》頒布以來，中國已初步建立信息安全的法規(guī)體系，并在不斷完善中：

《網(wǎng)絡(luò)安全法》

第21條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。

《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》

“重點(diǎn)任務(wù)”中提到產(chǎn)業(yè)供給強(qiáng)化行動和安全需求牽引行動，明確要加快發(fā)展源代碼分析、組件成分分析等軟件供應(yīng)鏈安全工具，提升網(wǎng)絡(luò)安全產(chǎn)品安全開發(fā)水平。

《關(guān)于印發(fā)“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃的通知》

中心指導(dǎo)思想提到，“提升關(guān)鍵軟件供給能力，加快繁榮開源生態(tài)，夯實產(chǎn)業(yè)發(fā)展基礎(chǔ)，提高產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平，堅持應(yīng)用牽引、整機(jī)帶動、生態(tài)培育，壯大信息技術(shù)應(yīng)用創(chuàng)新體系，全面推進(jìn)重點(diǎn)領(lǐng)域產(chǎn)業(yè)化規(guī)?；瘧?yīng)用，持續(xù)培育數(shù)字化發(fā)展新動能，全面支撐制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國建設(shè)?！?/p>

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

2021年4月，國務(wù)院第133次常務(wù)會議通過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，條例于2021年9月1日起施行。

條例指出：“運(yùn)營者在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上，采取技術(shù)保護(hù)措施和其他必要措施，應(yīng)對網(wǎng)絡(luò)安全事件?！薄斑\(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查?！?/p>

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》

2023年5月1日起，GB/T 39204-2022《信息安全技術(shù)?關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（下稱《關(guān)基安全保護(hù)要求》）開始正式實施。

要求中提到監(jiān)管方面新的要求包括供應(yīng)鏈的產(chǎn)品服務(wù)采購方面：

建立和維護(hù)合格供應(yīng)方目錄；

強(qiáng)化采購渠道管理，保持采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)來源的穩(wěn)定或多樣性；

獲得提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的10年以上知識產(chǎn)權(quán)授權(quán)；

自行或委托第三方對定制開發(fā)的軟件進(jìn)行源代碼安全檢測；

在上述各項條例中，都不斷強(qiáng)調(diào)了軟件供應(yīng)鏈安全的重要性，尤其是在各種軟件供應(yīng)鏈安全攻擊事件頻發(fā)的背景下，《網(wǎng)絡(luò)安全審查辦法》、《信息安全技術(shù)軟件供應(yīng)鏈安全要求》、《關(guān)基安全保護(hù)條例》等法規(guī)中都強(qiáng)調(diào)了要保障軟件供應(yīng)鏈安全。

04?軟件供應(yīng)鏈安全檢測的重要性

軟件供應(yīng)鏈安全檢測是為了發(fā)現(xiàn)和解決軟件供應(yīng)鏈中存在的潛在風(fēng)險和威脅，以確保軟件供應(yīng)鏈的安全性和可靠性。軟件供應(yīng)鏈?zhǔn)侵笍能浖_發(fā)、編譯、集成、測試、發(fā)布到安裝使用的整個過程，其中包括了開發(fā)人員、供應(yīng)商、分包商、集成商、用戶等各個角色。

軟件供應(yīng)鏈中存在各種風(fēng)險和威脅，如代碼泄露、數(shù)據(jù)泄露、黑客攻擊、病毒木馬、供應(yīng)鏈攻擊等。這些風(fēng)險和威脅會對軟件供應(yīng)鏈的各個方面造成影響，包括應(yīng)用程序、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等。

因此在如今復(fù)雜且變化多端的國際局勢中，我們應(yīng)該從個人、企業(yè)、政府多端口提升對信息安全的重視并加快信息安全建設(shè)。通過對軟件供應(yīng)鏈進(jìn)行安全檢測，可實現(xiàn)以下目標(biāo)：

• 提高軟件產(chǎn)品的安全性和可靠性。通過檢測可以發(fā)現(xiàn)供應(yīng)鏈中的安全漏洞、后門、木馬等隱患,降低軟件被利用的風(fēng)險。

• 減少供應(yīng)鏈攻擊。檢測可以檢出供應(yīng)商是否在軟件生命周期的各個環(huán)節(jié)遵循安全規(guī)范,避免在源代碼、組件、運(yùn)維等渠道注入威脅。

• 滿足監(jiān)管要求。在中國和其他國家,重要軟件產(chǎn)品供應(yīng)商都需要接受安全審查,檢測是審查的基礎(chǔ)。

• 建立買方信任。第三方檢測可以使購買方更信任供應(yīng)商的產(chǎn)品,有利于打消安全后門等顧慮。

• 促進(jìn)供應(yīng)商自我糾正。檢測結(jié)果可以讓供應(yīng)商發(fā)現(xiàn)自身軟件開發(fā)和運(yùn)維中的不足,推動其提升安全能力。

• 提升整個行業(yè)安全意識。檢測結(jié)果可以認(rèn)識到行業(yè)普遍存在的安全風(fēng)險,有助于制定行業(yè)規(guī)范和標(biāo)準(zhǔn)。

• 降低安全事件損失。檢測有助于事前發(fā)現(xiàn)安全漏洞,大大減少漏洞被利用后的修復(fù)成本和損失。

從安全的角度出發(fā)，現(xiàn)代信息化社會的安全需求已從“查漏補(bǔ)缺”、“亡羊補(bǔ)牢”逐步向“未雨綢繆”、“防微杜漸”轉(zhuǎn)變。因此，我們應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全意識，采取有效的措施來保障網(wǎng)絡(luò)安全。

05?事件思考

我們應(yīng)當(dāng)強(qiáng)加對信息安全的重視程度，建議從4個維度完善現(xiàn)有的安全管理制度，為未來可能發(fā)生的安全問題做好準(zhǔn)備工作：

1. 相關(guān)部門需要立即組織力量檢查關(guān)基配套系統(tǒng)軟硬件，清除后門程序，切斷遠(yuǎn)程控制通道。并升級系統(tǒng)安全策略，加強(qiáng)重要節(jié)點(diǎn)的訪問控制和審計。

2. 約談涉事供應(yīng)商和運(yùn)維人員，了解薄弱環(huán)節(jié)和安全風(fēng)險，避免問題再次出現(xiàn)。提高相關(guān)人員的安全意識極為重要。

3. 定期進(jìn)行關(guān)鍵系統(tǒng)的安全審計和漏洞掃描,發(fā)現(xiàn)和修復(fù)安全隱患。并加強(qiáng)對關(guān)鍵環(huán)節(jié)的監(jiān)控，防止再次被植入后門。

4. 建立完善的供應(yīng)商審核標(biāo)準(zhǔn)，在整體供應(yīng)鏈上線前做好安全建設(shè)，完成安全屏障。