您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
軟件供應(yīng)鏈安全治理探索與實踐
軟件供應(yīng)鏈安全治理日益成為安全行業(yè)的焦點話題,一方面是近幾年國家、行業(yè)的法律法規(guī)與標(biāo)準(zhǔn)要求帶來的合規(guī)性壓力,另一方面因軟件供應(yīng)鏈安全問題與事件的頻發(fā)催生的內(nèi)在安全動力,眾多企業(yè)機(jī)構(gòu)將軟件供應(yīng)鏈安全工作納入未來3~5年安全規(guī)劃的重點方向領(lǐng)域。
從業(yè)務(wù)角度來講,軟件系統(tǒng)的安全性是業(yè)務(wù)服務(wù)安全穩(wěn)定的基礎(chǔ),宏觀上直接決定企業(yè)和行業(yè)的信息化、數(shù)字化能否有序穩(wěn)步發(fā)展,加強(qiáng)軟件供應(yīng)鏈安全治理意義重大。
一、治理難點分析
風(fēng)險來源的多樣化:
從軟件生命周期風(fēng)險角度,設(shè)計、開發(fā)、測試、上線、變更、下線各個環(huán)節(jié)均有潛在的安全風(fēng)險威脅;從軟件供應(yīng)鏈條角度,參差不齊的供應(yīng)商水平、能力水平及安全意識各異的第三方人員,都存在風(fēng)險引入的隱患。各類攻防演練的結(jié)果證明,軟件供應(yīng)鏈攻擊已成為投入低、見效快、易突破的有效方式。
軟件自身的復(fù)雜性與不可見性:
為了提高交付效率,降低開發(fā)成本,現(xiàn)有軟件開發(fā)方式采用組裝方式,包括應(yīng)用層面的組件依賴,基礎(chǔ)服務(wù)、基礎(chǔ)設(shè)施維度的成熟組件與框架等。待交付、待上線的軟件引用了哪些組件,以及組件的版本、漏洞、知識產(chǎn)權(quán)等各方面信息的掌控,均給治理工作帶來較大壓力。
來源:信息安全技術(shù) 軟件供應(yīng)鏈安全要求(征求意見稿)
企業(yè)內(nèi)部阻力重重:
軟件供應(yīng)鏈覆蓋業(yè)務(wù)、運維、網(wǎng)絡(luò)、安全各部門,部門之間的角色分工無疑也形成了隱形壁壘,缺乏行之有效的協(xié)作機(jī)制,責(zé)任無法落實,業(yè)務(wù)與安全之間的距離導(dǎo)致無法形成對外部供應(yīng)鏈管理和技術(shù)上的合力。
安全合規(guī)符合性任務(wù)重:
針對軟件供應(yīng)鏈安全合規(guī),《網(wǎng)絡(luò)安全法》《等級保護(hù)要求》《關(guān)基保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》等對供應(yīng)商責(zé)任與義務(wù)、管理制度、軟件風(fēng)險控制等方面提出安全要求,其中,2022年發(fā)布的信息安全技術(shù) 軟件供應(yīng)鏈安全要求(征求意見稿)對安全管理要求、軟件供應(yīng)活動各環(huán)節(jié)提出了管理、技術(shù)側(cè)的全面性要求。軟件供應(yīng)鏈安全合規(guī)如何滿足、與現(xiàn)有安全合規(guī)體系如何對接融合都是較為棘手的問題。
二、安全治理思路探索
鑒于軟件供應(yīng)鏈面臨的風(fēng)險威脅特點與安全合規(guī)體系化的全面性要求,結(jié)合企業(yè)內(nèi)部管理特點,軟件供應(yīng)鏈安全治理必須是管理與技術(shù)相結(jié)合的體系化設(shè)計,采用框架性、系統(tǒng)性思維結(jié)合實際場景進(jìn)行治理方案的設(shè)計。
總體思路與原則:合規(guī)是底線,管理是準(zhǔn)則,制度是要求,技術(shù)是支撐,服務(wù)是保障,流程是協(xié)作。
軟件供應(yīng)鏈安全治理框架體系
在落地實踐角度,首先須進(jìn)行安全管理體系的組建與完善,提供治理過程的頂層支持能力,同時為約束各部門行為、管控供應(yīng)商提供指導(dǎo)依據(jù)。例如通過管理機(jī)構(gòu)的設(shè)置與任命,將各部門納入治理管理體系,打通組織間的隔閡,為后續(xù)的協(xié)作流程做鋪墊。安全管理制度的建立,能夠規(guī)范軟件供應(yīng)鏈涉及的內(nèi)部、外部角色的行為,同時提供制度性保障。
其次,針對軟件開發(fā)各階段與存在的風(fēng)險,引入對應(yīng)的安全能力,提供技術(shù)支撐,確保安全質(zhì)量。針對開發(fā)外包、商業(yè)軟件采購場景,也須引入安全工具或服務(wù),在交付、驗收等重要環(huán)節(jié)建立安全“質(zhì)量門禁”。
再其次,建立針對軟件生命周期、風(fēng)險威脅管理等方面的流程機(jī)制,與企業(yè)內(nèi)部現(xiàn)有流程進(jìn)行整合,在管理體系的支持與工具體系的支撐下,以軟件供應(yīng)鏈安全為核心,實現(xiàn)部門間安全責(zé)任的落實與風(fēng)險規(guī)范化控制,確保安全與業(yè)務(wù)同步進(jìn)行。
最后,軟件供應(yīng)鏈安全治理過程,也需要不同類型的安全服務(wù)的引入,確保治理過程效果可衡量、風(fēng)險可控制、合規(guī)能評估、威脅可處置。
三、治理過程實踐
軟件供應(yīng)鏈安全治理是較為復(fù)雜的系統(tǒng)性工程,須基于行業(yè)企業(yè)實際情況、結(jié)合合規(guī)與風(fēng)險、設(shè)計落地步驟,以咨詢的視角來看,應(yīng)結(jié)合企業(yè)合規(guī)要求與軟件供應(yīng)鏈現(xiàn)狀風(fēng)險,進(jìn)行充分的調(diào)研分析,從而進(jìn)行合規(guī)性評估與風(fēng)險收斂,設(shè)計治理體系框架,進(jìn)一步細(xì)化落地實施步驟。
針對軟件供應(yīng)鏈安全監(jiān)管側(cè)治理工作,可以依據(jù)國家、行業(yè)各類安全合規(guī)性要求,針對本行業(yè)、區(qū)域制定頂層監(jiān)管設(shè)計,建立標(biāo)準(zhǔn)要求,督促相關(guān)要求的執(zhí)行實踐,定期進(jìn)行監(jiān)督檢查評價,也可組織針對軟件供應(yīng)鏈的實戰(zhàn)攻防檢驗措施進(jìn)行質(zhì)量驗證,促進(jìn)企業(yè)安全問題風(fēng)險整改,推進(jìn)軟件供應(yīng)鏈安全治理水平的提升。
結(jié)語
軟件供應(yīng)鏈安全治理不能依靠單一手段去解決安全風(fēng)險與合規(guī)問題,在當(dāng)前復(fù)雜且旺盛的軟件與服務(wù)需求的大背景下,確保軟件供應(yīng)鏈安全即是保障業(yè)務(wù)安全,需要企業(yè)基于自身的現(xiàn)狀需求不斷探索研究,多重手段措施的應(yīng)用實踐,才能持續(xù)推進(jìn)軟件供應(yīng)鏈安全治理與管理能力。
原文來源:安恒信息