國家信息安全標準化技術委員會（全國信安標委）正式發(fā)布了《信息安全技術 信息技術產(chǎn)品供應鏈安全要求》征求意見稿，標志著我國在信息技術產(chǎn)品供應鏈安全管理方面邁出重要一步。該文件旨在明確信息技術產(chǎn)品在設計、開發(fā)、生產(chǎn)、交付及維護全生命周期中的安全要求，強調(diào)對供應鏈各環(huán)節(jié)的風險管控，包括供應商評估、組件溯源、安全測試和應急響應機制等，以防范潛在的后門、惡意代碼或數(shù)據(jù)泄露威脅。這一舉措將有力提升我國關鍵信息基礎設施的安全防護水平，并推動產(chǎn)業(yè)界形成更嚴格的供應鏈安全實踐標準。

與此以色列一家網(wǎng)絡安全公司披露了一個嚴重的工業(yè)控制系統(tǒng)（工控）VPN漏洞，該漏洞可能被攻擊者利用來遠程入侵關鍵基礎設施，如電力、水利和制造業(yè)網(wǎng)絡。漏洞涉及廣泛使用的VPN設備，攻擊者可繞過認證機制執(zhí)行任意代碼，導致系統(tǒng)被完全控制。這一事件再次凸顯了工控領域面臨的高風險，尤其是在全球數(shù)字化加速的背景下，工控系統(tǒng)的網(wǎng)絡安全防護亟需加強。專家建議相關機構立即檢查并更新VPN設備，部署多層防御策略，并關注供應鏈中的軟硬件安全合規(guī)性。

全國信安標委的新規(guī)與工控漏洞的發(fā)現(xiàn)共同指向信息技術供應鏈安全的重要性。政府、企業(yè)和研究機構需協(xié)同合作，通過標準化要求、漏洞響應和國際協(xié)作，構建更安全、可信的信息技術生態(tài)體系，以應對日益復雜的網(wǎng)絡威脅。