董嘉诚1 潘玉立2
1.国防大学联合勤务学院 北京市 100071
2.解放军总医院第二医学中心 北京市 100089
摘要:在我国软件供应链不断延伸的背景下,随之也出现各种问题,由于软件供应链受到破坏,以至于网络安全事件层出不穷,部分西方国家也采用限制我国关键软件进口以及暗埋软件后门等手段来攻击我国的软件供应链,以此来阻碍我国技术创新以及产业的长远稳定发展。除此之外,对于软件供应链的网络攻击来说,其主要的特征是低成本、高回报以及难检测等,也极有可能会吸引更多的网络犯罪分子,从而导致我国软件供应链所面临的安全风险直线上升。因此,本文将围绕加强软件供应链安全保障的对策建议为主题来展开分析,通过详细了解当前软件供应链存在的各安全问题,再提出有利于加强软件供应链安全保障的可行性对策。
关键词:软件供应链;安全保障;对策建议
一、针对于当前软件供应链存在安全问题的探究
当前在软件供应链中依然存在的各种安全问题有待完善,其中主要体现在以下几点。第一,各种关键软件和设计工具都依赖进口,所以很难落实从源头来全面掌控软件供应链。第二,开源代码隐藏着安全缺陷,在这一背景下很容易产生新型的供应链安全风险。第三,我国并未形成内容完善的软件供应链管控体系,缺乏专业的检测支撑技术,主要体现在软件产品网络安全审查不够专业和全面,虽然我国在前几年就开始实施《网络产品和服务安全审查办法》,但是不可否认,电信以及金融的关键领域的网络安全审查依然处于发展初期,存在的各种问题。第四,各企业由于缺乏安全管理意识,以至于存在漏洞,导致软件供应链的安全风险系数增加,这主要体现在部分企业的供应链管理制度未迎合社会的发展潮流,缺乏具有针对性的软件交付以及更新环节的专业管控。第五,企业软件供应链缺乏透明度,未能有效落实软件供应链安全评估,所以不能全面了解安全风险,并依据实的安全风险来合理划分供应商安全等级,开展具有专业性、针对性的管理工作。除此之外,各企企业缺乏完善的开源代码管理机制。在软件开发工作环节中缺乏规范性,随意采用开源组件的行为层出不穷,而作为管理人员以及程序员缺乏专业性技能,也没有完整的列出开源组件的使用列表,以至于给软件供应链管控提出严峻的考验和挑战[1]。
二、针对于有利于加强软件供应链安全保障可行性对策的探究
(一)落实开展软件产品安全审查工作
为了加强软件供应链安全保障应落实开展软件产品安全审查工作,其中主要包括以下几点。第一,在第一时间跟踪以及全面研究美、日国家各种政策对我国软件供应链安全所产生的影响,并系统探究产业链的关键环节、核心技术以及重点企业的供应商问题,综合考虑我国软件供应链的实际安全隐患来落实构建完善、系统化的策略,最终加紧补齐,并准确研究以及判断5G、网络量子计算以及人工智能的现代化技术所形成的软件供应链安全风险,安排专业人才开展谋划,制定具有前沿性的应对手段。第二,积极鼓励研究机构以及安全企业进行开源代码安全检测服务,促使各企业合理采用能够顺利通过安全检测的开源代码,以此来大幅度提升行业软件的安全性能。
第三,作为国家网信部门应发挥出自身各项职能,落实统筹兼顾,协调金融、交通以及电信各行业主管部门,及时启动关于软件产品的安全网络安全审查工作,对融入到我国各关键行业以及领域中的软件产品开展网络安全审查[2]。
(二)积极突破关键软件以及设计工具核心技术
核心技术能够直接决定着一个国家的命运,我国应下定决心、始终保持干劲来找准核心技术的重心,积极突破关键软件以及设计工具核心技术,采用核高基重大专项、技术改造专项等中央财政资金,为研发关键软件以及设计工具核心技术提供更多支持和辅助,并聚焦软件核心技术后续的创新以及发展趋势,重点关注以及突破内核应用程序接口等操作系统关键技术,还应加强自主研究,落实研发实验验证软件、生产流程、信息化管理系统等,通过这种手段突破国外厂商垄断现象,缓解国外软件以及技术断供存在的风险。除此之外,始终关注和提升恶意代码检测以及漏洞分析的技术能力,确保在第一时间掌握到软件商品存在的安全缺陷,在第一时间采取有效手段处理[3]。
(三)加强引导企业进行专业安全管理
各企业应顺应社会的发展,跟上社会发展的潮流,实现坚持遵循供应链安全风险管理等各种国家标准来构建内容全面的供应链安全管理制度,通过这种手段实现规范企业在软件研发、采用等阶段的供应链安全需求。还要让企业构建供应商审核制度,落实从各个角度开展对供应商的安全评估工作,像从生产环境、网络安全保障以及技术上开展安全评估,以此来达到量化供应商安全级别的目的,依据实际情况采用科学管理手段实现软件供应链始终处于安全环境中。另外,应加强监督,督促企业落实制定开源管理对策,全面地展现出采用开源软件的各项原则,制定开源软件的管理手段,利用工具核查来检测所采用的开源代码。
(四)国际合作
我国的IT行业有着广阔发展空间,IT行业之所以有着广阔进步空间不仅体现于开放创新,还实现和全球合作,所以应落实加强国际合作来促进软件供应链安全提供保障。在面对中美贸也存在摩擦问题时,保持沉稳的态度,冷静分析,客观应对,以此来引导我国和美国IT产业合作始终向着积极的方向进步,确保美方减少对我国软硬件核心技术出口管辖的控制,推动我国技术产业的发展。另外,深入贯彻“一带一路”的国际合作战略,要高举“走出去”以及“引进来”两大旗帜,在设计工具以及关键软件上合作研发,加强和俄罗斯、欧盟等国家的合作交流,为最大限度地加强我国软件供应链的安全性以及稳定性提供保障[4]。
总结:通过上述问题分析,我们充分地意识到加强软件供应链安全保障的重要性。当前我国软件供应链安全技术的发展还处于初级阶段,虽然我国部分软件供应链安全问题起诉较早,但是由于缺乏推行力度、政策以及体系化制度的辅助,所以并未有效处理软件供应链存在的各种安全隐患。软件供应链的安全保障将直接决定着各行业、社会,甚至国家的安全,要想落实有效处理软件供应链所存在的各种安全隐患,要求我国政府给予更多鼓励和支持,各行业要加强协作、共同努力。与此同时,落实开展软件产品安全审查工作、积极突破关键软件以及设计工具核心技术、加强引导企业、进行专业安全管理以及国际合作,为促进软件供应链安全保障工作顺利开展奠定坚实的基础。
参考文献:
[1]王颉,万振华,王厚奎.从软件安全开发生命周期实践的角度保障软件供应链安全[J].网络空间安全,2019,10(06):19-24.
[2]韩清彦.供应链管理模式下采购成本控制[D].天津大学,2017(14).
[3]米燕.基于平台经济的农产品供应链质量安全保障研究[D].河南工业大学,2018(08).
[4]李双红.供应链视角下我国石油贸易海上安全风险评估及对策研究[D].中国海洋大学,2018(12)