您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
軟件供應鏈安全治理探索與實踐
軟件供應鏈安全治理日益成為安全行業(yè)的焦點話題,一方面是近幾年國家、行業(yè)的法律法規(guī)與標準要求帶來的合規(guī)性壓力,另一方面因軟件供應鏈安全問題與事件的頻發(fā)催生的內在安全動力,眾多企業(yè)機構將軟件供應鏈安全工作納入未來3~5年安全規(guī)劃的重點方向領域。
從業(yè)務角度來講,軟件系統(tǒng)的安全性是業(yè)務服務安全穩(wěn)定的基礎,宏觀上直接決定企業(yè)和行業(yè)的信息化、數(shù)字化能否有序穩(wěn)步發(fā)展,加強軟件供應鏈安全治理意義重大。
一、治理難點分析
風險來源的多樣化:
從軟件生命周期風險角度,設計、開發(fā)、測試、上線、變更、下線各個環(huán)節(jié)均有潛在的安全風險威脅;從軟件供應鏈條角度,參差不齊的供應商水平、能力水平及安全意識各異的第三方人員,都存在風險引入的隱患。各類攻防演練的結果證明,軟件供應鏈攻擊已成為投入低、見效快、易突破的有效方式。
軟件自身的復雜性與不可見性:
為了提高交付效率,降低開發(fā)成本,現(xiàn)有軟件開發(fā)方式采用組裝方式,包括應用層面的組件依賴,基礎服務、基礎設施維度的成熟組件與框架等。待交付、待上線的軟件引用了哪些組件,以及組件的版本、漏洞、知識產(chǎn)權等各方面信息的掌控,均給治理工作帶來較大壓力。
來源:信息安全技術 軟件供應鏈安全要求(征求意見稿)
企業(yè)內部阻力重重:
軟件供應鏈覆蓋業(yè)務、運維、網(wǎng)絡、安全各部門,部門之間的角色分工無疑也形成了隱形壁壘,缺乏行之有效的協(xié)作機制,責任無法落實,業(yè)務與安全之間的距離導致無法形成對外部供應鏈管理和技術上的合力。
安全合規(guī)符合性任務重:
針對軟件供應鏈安全合規(guī),《網(wǎng)絡安全法》《等級保護要求》《關基保護條例》《網(wǎng)絡安全審查辦法》等對供應商責任與義務、管理制度、軟件風險控制等方面提出安全要求,其中,2022年發(fā)布的信息安全技術 軟件供應鏈安全要求(征求意見稿)對安全管理要求、軟件供應活動各環(huán)節(jié)提出了管理、技術側的全面性要求。軟件供應鏈安全合規(guī)如何滿足、與現(xiàn)有安全合規(guī)體系如何對接融合都是較為棘手的問題。
二、安全治理思路探索
鑒于軟件供應鏈面臨的風險威脅特點與安全合規(guī)體系化的全面性要求,結合企業(yè)內部管理特點,軟件供應鏈安全治理必須是管理與技術相結合的體系化設計,采用框架性、系統(tǒng)性思維結合實際場景進行治理方案的設計。
總體思路與原則:合規(guī)是底線,管理是準則,制度是要求,技術是支撐,服務是保障,流程是協(xié)作。
軟件供應鏈安全治理框架體系
在落地實踐角度,首先須進行安全管理體系的組建與完善,提供治理過程的頂層支持能力,同時為約束各部門行為、管控供應商提供指導依據(jù)。例如通過管理機構的設置與任命,將各部門納入治理管理體系,打通組織間的隔閡,為后續(xù)的協(xié)作流程做鋪墊。安全管理制度的建立,能夠規(guī)范軟件供應鏈涉及的內部、外部角色的行為,同時提供制度性保障。
其次,針對軟件開發(fā)各階段與存在的風險,引入對應的安全能力,提供技術支撐,確保安全質量。針對開發(fā)外包、商業(yè)軟件采購場景,也須引入安全工具或服務,在交付、驗收等重要環(huán)節(jié)建立安全“質量門禁”。
再其次,建立針對軟件生命周期、風險威脅管理等方面的流程機制,與企業(yè)內部現(xiàn)有流程進行整合,在管理體系的支持與工具體系的支撐下,以軟件供應鏈安全為核心,實現(xiàn)部門間安全責任的落實與風險規(guī)范化控制,確保安全與業(yè)務同步進行。
最后,軟件供應鏈安全治理過程,也需要不同類型的安全服務的引入,確保治理過程效果可衡量、風險可控制、合規(guī)能評估、威脅可處置。
三、治理過程實踐
軟件供應鏈安全治理是較為復雜的系統(tǒng)性工程,須基于行業(yè)企業(yè)實際情況、結合合規(guī)與風險、設計落地步驟,以咨詢的視角來看,應結合企業(yè)合規(guī)要求與軟件供應鏈現(xiàn)狀風險,進行充分的調研分析,從而進行合規(guī)性評估與風險收斂,設計治理體系框架,進一步細化落地實施步驟。
針對軟件供應鏈安全監(jiān)管側治理工作,可以依據(jù)國家、行業(yè)各類安全合規(guī)性要求,針對本行業(yè)、區(qū)域制定頂層監(jiān)管設計,建立標準要求,督促相關要求的執(zhí)行實踐,定期進行監(jiān)督檢查評價,也可組織針對軟件供應鏈的實戰(zhàn)攻防檢驗措施進行質量驗證,促進企業(yè)安全問題風險整改,推進軟件供應鏈安全治理水平的提升。
結語
軟件供應鏈安全治理不能依靠單一手段去解決安全風險與合規(guī)問題,在當前復雜且旺盛的軟件與服務需求的大背景下,確保軟件供應鏈安全即是保障業(yè)務安全,需要企業(yè)基于自身的現(xiàn)狀需求不斷探索研究,多重手段措施的應用實踐,才能持續(xù)推進軟件供應鏈安全治理與管理能力。
原文來源:安恒信息