國家信息安全標準化技術(shù)委員會（全國信安標委）正式發(fā)布了《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》征求意見稿，標志著我國在信息技術(shù)產(chǎn)品供應(yīng)鏈安全管理方面邁出重要一步。該文件旨在明確信息技術(shù)產(chǎn)品在設(shè)計、開發(fā)、生產(chǎn)、交付及維護全生命周期中的安全要求，強調(diào)對供應(yīng)鏈各環(huán)節(jié)的風(fēng)險管控，包括供應(yīng)商評估、組件溯源、安全測試和應(yīng)急響應(yīng)機制等，以防范潛在的后門、惡意代碼或數(shù)據(jù)泄露威脅。這一舉措將有力提升我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護水平，并推動產(chǎn)業(yè)界形成更嚴格的供應(yīng)鏈安全實踐標準。

與此以色列一家網(wǎng)絡(luò)安全公司披露了一個嚴重的工業(yè)控制系統(tǒng)（工控）VPN漏洞，該漏洞可能被攻擊者利用來遠程入侵關(guān)鍵基礎(chǔ)設(shè)施，如電力、水利和制造業(yè)網(wǎng)絡(luò)。漏洞涉及廣泛使用的VPN設(shè)備，攻擊者可繞過認證機制執(zhí)行任意代碼，導(dǎo)致系統(tǒng)被完全控制。這一事件再次凸顯了工控領(lǐng)域面臨的高風(fēng)險，尤其是在全球數(shù)字化加速的背景下，工控系統(tǒng)的網(wǎng)絡(luò)安全防護亟需加強。專家建議相關(guān)機構(gòu)立即檢查并更新VPN設(shè)備，部署多層防御策略，并關(guān)注供應(yīng)鏈中的軟硬件安全合規(guī)性。

全國信安標委的新規(guī)與工控漏洞的發(fā)現(xiàn)共同指向信息技術(shù)供應(yīng)鏈安全的重要性。政府、企業(yè)和研究機構(gòu)需協(xié)同合作，通過標準化要求、漏洞響應(yīng)和國際協(xié)作，構(gòu)建更安全、可信的信息技術(shù)生態(tài)體系，以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)威脅。