您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
軟件供應(yīng)鏈安全治理探索與實(shí)踐
軟件供應(yīng)鏈安全治理日益成為安全行業(yè)的焦點(diǎn)話題,一方面是近幾年國(guó)家、行業(yè)的法律法規(guī)與標(biāo)準(zhǔn)要求帶來(lái)的合規(guī)性壓力,另一方面因軟件供應(yīng)鏈安全問(wèn)題與事件的頻發(fā)催生的內(nèi)在安全動(dòng)力,眾多企業(yè)機(jī)構(gòu)將軟件供應(yīng)鏈安全工作納入未來(lái)3~5年安全規(guī)劃的重點(diǎn)方向領(lǐng)域。
從業(yè)務(wù)角度來(lái)講,軟件系統(tǒng)的安全性是業(yè)務(wù)服務(wù)安全穩(wěn)定的基礎(chǔ),宏觀上直接決定企業(yè)和行業(yè)的信息化、數(shù)字化能否有序穩(wěn)步發(fā)展,加強(qiáng)軟件供應(yīng)鏈安全治理意義重大。
一、治理難點(diǎn)分析
風(fēng)險(xiǎn)來(lái)源的多樣化:
從軟件生命周期風(fēng)險(xiǎn)角度,設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、上線、變更、下線各個(gè)環(huán)節(jié)均有潛在的安全風(fēng)險(xiǎn)威脅;從軟件供應(yīng)鏈條角度,參差不齊的供應(yīng)商水平、能力水平及安全意識(shí)各異的第三方人員,都存在風(fēng)險(xiǎn)引入的隱患。各類(lèi)攻防演練的結(jié)果證明,軟件供應(yīng)鏈攻擊已成為投入低、見(jiàn)效快、易突破的有效方式。
軟件自身的復(fù)雜性與不可見(jiàn)性:
為了提高交付效率,降低開(kāi)發(fā)成本,現(xiàn)有軟件開(kāi)發(fā)方式采用組裝方式,包括應(yīng)用層面的組件依賴(lài),基礎(chǔ)服務(wù)、基礎(chǔ)設(shè)施維度的成熟組件與框架等。待交付、待上線的軟件引用了哪些組件,以及組件的版本、漏洞、知識(shí)產(chǎn)權(quán)等各方面信息的掌控,均給治理工作帶來(lái)較大壓力。
來(lái)源:信息安全技術(shù) 軟件供應(yīng)鏈安全要求(征求意見(jiàn)稿)
企業(yè)內(nèi)部阻力重重:
軟件供應(yīng)鏈覆蓋業(yè)務(wù)、運(yùn)維、網(wǎng)絡(luò)、安全各部門(mén),部門(mén)之間的角色分工無(wú)疑也形成了隱形壁壘,缺乏行之有效的協(xié)作機(jī)制,責(zé)任無(wú)法落實(shí),業(yè)務(wù)與安全之間的距離導(dǎo)致無(wú)法形成對(duì)外部供應(yīng)鏈管理和技術(shù)上的合力。
安全合規(guī)符合性任務(wù)重:
針對(duì)軟件供應(yīng)鏈安全合規(guī),《網(wǎng)絡(luò)安全法》《等級(jí)保護(hù)要求》《關(guān)基保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》等對(duì)供應(yīng)商責(zé)任與義務(wù)、管理制度、軟件風(fēng)險(xiǎn)控制等方面提出安全要求,其中,2022年發(fā)布的信息安全技術(shù) 軟件供應(yīng)鏈安全要求(征求意見(jiàn)稿)對(duì)安全管理要求、軟件供應(yīng)活動(dòng)各環(huán)節(jié)提出了管理、技術(shù)側(cè)的全面性要求。軟件供應(yīng)鏈安全合規(guī)如何滿(mǎn)足、與現(xiàn)有安全合規(guī)體系如何對(duì)接融合都是較為棘手的問(wèn)題。
二、安全治理思路探索
鑒于軟件供應(yīng)鏈面臨的風(fēng)險(xiǎn)威脅特點(diǎn)與安全合規(guī)體系化的全面性要求,結(jié)合企業(yè)內(nèi)部管理特點(diǎn),軟件供應(yīng)鏈安全治理必須是管理與技術(shù)相結(jié)合的體系化設(shè)計(jì),采用框架性、系統(tǒng)性思維結(jié)合實(shí)際場(chǎng)景進(jìn)行治理方案的設(shè)計(jì)。
總體思路與原則:合規(guī)是底線,管理是準(zhǔn)則,制度是要求,技術(shù)是支撐,服務(wù)是保障,流程是協(xié)作。
軟件供應(yīng)鏈安全治理框架體系
在落地實(shí)踐角度,首先須進(jìn)行安全管理體系的組建與完善,提供治理過(guò)程的頂層支持能力,同時(shí)為約束各部門(mén)行為、管控供應(yīng)商提供指導(dǎo)依據(jù)。例如通過(guò)管理機(jī)構(gòu)的設(shè)置與任命,將各部門(mén)納入治理管理體系,打通組織間的隔閡,為后續(xù)的協(xié)作流程做鋪墊。安全管理制度的建立,能夠規(guī)范軟件供應(yīng)鏈涉及的內(nèi)部、外部角色的行為,同時(shí)提供制度性保障。
其次,針對(duì)軟件開(kāi)發(fā)各階段與存在的風(fēng)險(xiǎn),引入對(duì)應(yīng)的安全能力,提供技術(shù)支撐,確保安全質(zhì)量。針對(duì)開(kāi)發(fā)外包、商業(yè)軟件采購(gòu)場(chǎng)景,也須引入安全工具或服務(wù),在交付、驗(yàn)收等重要環(huán)節(jié)建立安全“質(zhì)量門(mén)禁”。
再其次,建立針對(duì)軟件生命周期、風(fēng)險(xiǎn)威脅管理等方面的流程機(jī)制,與企業(yè)內(nèi)部現(xiàn)有流程進(jìn)行整合,在管理體系的支持與工具體系的支撐下,以軟件供應(yīng)鏈安全為核心,實(shí)現(xiàn)部門(mén)間安全責(zé)任的落實(shí)與風(fēng)險(xiǎn)規(guī)范化控制,確保安全與業(yè)務(wù)同步進(jìn)行。
最后,軟件供應(yīng)鏈安全治理過(guò)程,也需要不同類(lèi)型的安全服務(wù)的引入,確保治理過(guò)程效果可衡量、風(fēng)險(xiǎn)可控制、合規(guī)能評(píng)估、威脅可處置。
三、治理過(guò)程實(shí)踐
軟件供應(yīng)鏈安全治理是較為復(fù)雜的系統(tǒng)性工程,須基于行業(yè)企業(yè)實(shí)際情況、結(jié)合合規(guī)與風(fēng)險(xiǎn)、設(shè)計(jì)落地步驟,以咨詢(xún)的視角來(lái)看,應(yīng)結(jié)合企業(yè)合規(guī)要求與軟件供應(yīng)鏈現(xiàn)狀風(fēng)險(xiǎn),進(jìn)行充分的調(diào)研分析,從而進(jìn)行合規(guī)性評(píng)估與風(fēng)險(xiǎn)收斂,設(shè)計(jì)治理體系框架,進(jìn)一步細(xì)化落地實(shí)施步驟。
針對(duì)軟件供應(yīng)鏈安全監(jiān)管側(cè)治理工作,可以依據(jù)國(guó)家、行業(yè)各類(lèi)安全合規(guī)性要求,針對(duì)本行業(yè)、區(qū)域制定頂層監(jiān)管設(shè)計(jì),建立標(biāo)準(zhǔn)要求,督促相關(guān)要求的執(zhí)行實(shí)踐,定期進(jìn)行監(jiān)督檢查評(píng)價(jià),也可組織針對(duì)軟件供應(yīng)鏈的實(shí)戰(zhàn)攻防檢驗(yàn)措施進(jìn)行質(zhì)量驗(yàn)證,促進(jìn)企業(yè)安全問(wèn)題風(fēng)險(xiǎn)整改,推進(jìn)軟件供應(yīng)鏈安全治理水平的提升。
結(jié)語(yǔ)
軟件供應(yīng)鏈安全治理不能依靠單一手段去解決安全風(fēng)險(xiǎn)與合規(guī)問(wèn)題,在當(dāng)前復(fù)雜且旺盛的軟件與服務(wù)需求的大背景下,確保軟件供應(yīng)鏈安全即是保障業(yè)務(wù)安全,需要企業(yè)基于自身的現(xiàn)狀需求不斷探索研究,多重手段措施的應(yīng)用實(shí)踐,才能持續(xù)推進(jìn)軟件供應(yīng)鏈安全治理與管理能力。
原文來(lái)源:安恒信息