软件供应链安全治理日益成为安全行业的焦点话题。 一方面是近年来国家和行业法律法规和标准要求带来的合规压力。 另一方面,由于软件供应链安全问题和事件的频繁发生,由于由此产生的内在安全动机软件安全实现,许多企业和组织都将软件供应链安全工作作为其安全规划的重点方向领域。未来3到5年。
从业务角度来看,软件系统的安全是业务服务安全稳定的基础。 从宏观上看,直接决定企业和行业的信息化、数字化能否有序、稳定发展。 加强软件供应链安全治理意义重大。
一、治理难点分析
风险来源多元化:
从软件生命周期风险来看,设计、开发、测试、线上、变更、线下各个环节都存在潜在的安全风险威胁; 从软件供应链来看,供应商水平参差不齐,能力水平、安全意识各不相同。 不同的第三方人员都存在引入风险的隐患。 各种攻防演练的结果证明,软件供应链攻击已经成为一种投资少、见效快、容易突破的有效方法。
软件本身的复杂性和不可见性:
为了提高交付效率、降低开发成本,现有的软件开发方式都采用组装的方式,包括应用层面的组件依赖、基础服务和基础设施维度的成熟组件和框架等。在要交付的软件中引用了哪些组件的发布以及组件版本、漏洞、知识产权等各方面信息的管控,都给治理工作带来了巨大的压力。
来源:信息安全技术软件供应链安全要求(征求意见稿)
公司内部存在很多障碍:
软件供应链涵盖业务、运维、网络、安全等部门。 部门之间的角色分工无疑形成了无形的障碍。 缺乏有效的协作机制,责任无法落实,业务与安全的距离导致无法在外部供应链管理和技术上制定协同。
安全合规任务繁重:
关于软件供应链的安全合规,《网络安全法》、《等级保护要求》、《管机保护条例》、《网络安全审查办法》等方面都对供应商的责任义务、管理制度、其中,2022年发布的《信息安全技术软件供应链安全要求(征求意见稿)》对软件供应活动的安全管理要求和各环节提出了全面的管理和技术要求。 如何满足软件供应链的安全合规性以及如何与现有的安全合规体系融合是棘手的问题。
2、安全治理思路探索
针对软件供应链面临的风险和威胁特征以及安全合规体系化的综合要求,结合企业内部管理的特点,软件供应链的安全治理必须是系统化的设计,管理和技术,采用框架化、系统化思维。 根据实际场景设计治理方案。
总体思路和原则:合规是底线、管理是准则、制度是要求、技术是支撑、服务是保障、流程是协作。
软件供应链安全治理框架体系
从实施角度看,首先要建立健全安全管理体系,为治理流程提供顶层支撑能力,同时为约束各部门行为、控制供应商提供指导。 例如软件安全实现,通过管理机构的设立和任命,将各个部门纳入治理管理体系,弥合组织之间的差距,为后续的协作流程做好铺垫。 安全管理体系的建立可以规范软件供应链内外部角色的行为,同时提供制度保障。
其次,针对软件开发的各个阶段和存在的风险,引入相应的安全能力,提供技术支持,保证安全质量。 对于开发外包和商业软件采购场景,还必须引入安全工具或服务,在交付、验收等重要环节建立安全“质量准入控制”。
其次,建立软件生命周期、风险和威胁管理等流程机制,与企业现有内部流程相融合,并在管理体系和工具系统的支持下,以软件供应链的安全为保障以安全为核心,实现跨部门安全责任落实和标准化风险管控,确保安全与业务同步。
最后,软件供应链安全治理流程还需要引入不同类型的安全服务,以确保治理流程的效果可衡量、风险可控制、合规性可评估、威胁可应对。
3.治理流程实践
软件供应链安全治理是一个相对复杂的系统工程。 必须根据行业企业的实际情况,结合合规与风险,设计实施步骤。 从咨询的角度来看,应该将企业的合规要求与软件供应链当前的风险结合起来。 充分研究分析,进行合规评估和风险收敛,设计治理体系框架,进一步细化实施步骤。
对于软件供应链的安全监管侧,我们可以根据国家和行业的各项安全合规要求,制定本行业、本地区的顶层监管设计,制定标准要求,监督相关要求的落实,并进行定期监管。检查和评估。 还可组织对软件供应链实际攻防检查措施进行质量验证,推动企业安全问题风险整改,促进软件供应链安全治理水平提升。
结论
软件供应链安全治理不能依靠单一手段来解决安全风险和合规问题。 在当前软件和服务需求复杂且旺盛的背景下,保证软件供应链安全就是保证业务安全。 企业需要根据自身现状。 只有不断探索研究、多种手段和措施的运用和实践,才能不断提升软件供应链的安全治理和管理能力。