ISC2022数字产业链与供应链安全峰会召开，专家共话数字产业链与供应链安全

7月31日，ISC 2022第十届互联网安全大会数字产业链与供应链安全峰会以线上形式在N世界-ISC大陆成功举办。各方专家学者围绕“保障供应链安全，为数字经济发展保驾护航”主题，就数字经济、核心技术和供应链安全等核心问题展开了深入探讨。中国信息协会信息安全专业委员会副主任赵进延主持大会。

中国信息协会信息安全专业委员会副主任赵进延

当前世界格局空前复杂，供应链攻击从数量上、攻击的复杂度等相较过去都有大幅提升，保障产业链供应链安全稳定是一项重大的战略任务。国家信息中心信息与网络安全部副主任禄凯在致辞中指出，应加强顶层设计，健全产业链供应链安全制度保障，强化产业链供应链关键核心技术自主创新能力。同时，深化国际合作，提升产业链供应链国际竞争力。

国家信息中心信息与网络安全部副主任禄凯

相关数据显示，2021年发生的软件供应链攻击事件较2020年增长300%，产业链供应链整体安全态势不容乐观。对此，国家信息中心国信卫士网络空间安全研究院副院长叶红在致辞中指出，要强化产业链供应链机制体制建设，提升产业链供应链关键环节安全防护，同时推动产业链供应链关键技术自主可控，保障产业链和供应链安全稳定有利于推动安全高质量发展。

国家信息中心国信卫士网络空间安全研究院副院长叶红

在所有供应链中，ICT供应链是所有供应链的基础，被称为“供应链的供应链”，其安全与国家安全息息相关。对于ICTS供应链的安全问题，中国信息协会信息安全专业委员会常务副主任陈晓桦指出，要制定ICTS供应链安全管理法律法规，并将ICTS供应链评估纳入网络安全审查中。

中国信息协会信息安全专业委员会常务副主任陈晓桦

关键信息基础设施关乎国家安全、公共利益与国计民生，一旦出现问题将影响社会功能与国家安全。国家信息技术安全研究中心的总师组专家李京春提到，关键信息基础设施依赖的多级供应链安全问题需要引起高度重视，有的要纳入重点保护范围。对于加强供应链安全保护管控问题，他提出了五条措施：一是在关键基础设施（CIIP）层面，转变防护理念；二是引入网络攻防理念，站在攻击者的视角全面评估，验证CIIP的安全防护能力；三是在供应商层面，提高信息技术、产品和服务供应链安全保护和管控的意识；四是采取有效措施，加强产品和服务供应链透明性、可控性、安全性管控；五是采取有效措施，加强数字经济时CI/CII保护和供应链安全保护。

国家信息技术安全研究中心的总师组专家李京春

北京大学计算机学院教授、中国计算机学会会士、信息保密专委会副主任委员陈钟对目前数字经济的发展格局进行了分析，他认为数字经济的发展进入了“以国内大循环为主体、国内国际双循环相互促进”的双循环发展格局，新的发展格局也使得供应链安全面临着新的机遇与挑战。信息技术交叉融合、汇聚创新所产生的大量新范式、新业态，正在重构全球创新版图、重塑全球经济结构。因此，“信创人才培养需要适应不同比重的‘双循环’需求。”

北京大学计算机学院教授、中国计算机学会会士、信息保密专委会副主任委员陈钟

中国软件评测中心副主任刘龙庚对于软件供应链的安全可控性十分关注，他表示，软件供应链的安全风险和不可控风险并存，安全不等于可控，可控不等于安全。想要确保软件供应链的安全可控，关键在于“对核心技术的掌握”。同时，刘龙庚主任提出了以下建议：构建软件物料清单，有效识别风险；建立软件供应链安全公共服务平台，反馈共享软件供应链情报；建立常态化应急响应机制，从容应对威胁；加快提升核心技术水平，从源头掌控软件供应链。

中国软件评测中心副主任刘龙庚

中国电科集团首席专家、中国网安和三十所副总工程师董贵山表示，针对芯片、操作系统和重要支撑软件、网络通信设施等基础软硬件的断供、停服、网络攻击，对关键信息基础设施、重要信息系统构成直接挑战，将影响到政治、经济、科技、文化等各领域安全。对此他提出了以“密码基因赋能，保障基础软硬件供应链安全”的思路，以“健标准、促创新、扩应用、强生态”的思路加强密码技术与软硬件的融合发展。

中国电科集团首席专家、中国网安和三十所副总工程师董贵山

在关键信息基础设施中，工业控制系统广泛应用于关系到国计民生的重点领域，是国家关键信息基础设施长期、安全、稳定运行的核心，同时也是国家安全战略的重要组成部分。工业控制系统信息安全技术国家工程中心副主任、中国电子信息产业集团有限公司第六研究所智能科技所副所长、中电智能科技有限公司副总经理赵德政表示，要从顶层设计、关键技术、生态体系、标准政策四个方面进行发展布局，开展工业控制系统自主体系研究、关键技术突破、安全生态构建、标准体系完善等工作，夯实工业控制系统自主发展道路。

工业控制系统信息安全技术国家工程中心副主任赵德政

国家互联网应急中心高级工程师吴倩阐述了ISO/IEC国际标准对供应链安全的重要作用并提出建议，如保留待处理元素的监管链，以降低泄漏风险；选择可以不暴露受保护信息的处理方式，例如在处理前卸载数据元素；聘请值得信赖的、训练有素的服务人员，并为符合处理要求的程序设置期望等。

国家互联网应急中心高级工程师吴倩

自7月30日起到8月2日，ISC 2022的全部干货内容将上线N世界-ISC大陆，包括未来峰会、开发者大会、生态大会、十七场联合峰会、六十余场技术和产业主题论坛以及七场特色活动。此外，安全行业的“半壁江山”将亮相ISC数字安全展区。更多大会内容锁定N世界-ISC大陆，加入万人同频共话安全。