著手供應鏈“源頭治理”，實現上下游“安全可信”

信息產業高速發展背景下的供應鏈安全

當下信息產業的飛速發展加快了政府單位數字化轉型的步伐，但技術賦能建設的同時也帶來潛在的威脅，信息化水平提升的背后，是供應鏈某一環節出現問題會給整個下游相關的政府單位帶來負面連鎖反應。例如近年來，國內外發生的多起供應鏈安全事件，導致應用系統源代碼泄露、IT系統出現故障，造成重大不良影響。同時，在近年來多次的國家級攻防演練中，由于高危第三方組件及利用供應商專線入侵引起的防守失分情況屢次出現。供應鏈安全治理作為政府單位（尤其是關基單位）未來網絡安全工作的重要一環，有效保障供應鏈安全將會是助力國家產業高質量發展、保障實體經濟穩定運行、構建新發展格局的重要內容。

依托于國家戰略及行業實踐的綠盟供應鏈安全治理方案

在《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》提出“加強國際產業安全合作，形成具有更強創新力、更高附加值、更安全可靠的產業鏈供應鏈”。因此，依托于國家戰略發展規劃、行業監管以及行業最佳實踐，綠盟供應鏈安全治理方案將組織機構的供應鏈安全建設分成四個方面：政府單位自身的供應鏈安全體系建設、對供應商的安全評估及檢查、產品技術能力建設以及漏洞應急能力建設。著手供應鏈“源頭治理”，梳理供應鏈中的薄弱環節，最終幫助客戶實現上下游的“安全可信”。解決方案框架如下圖所示：

綠盟供應鏈安全治理思路及原則

綠盟供應鏈安全治理思路要求從外部輸入進行嚴格把關，將現有存量系統進行有序治理，同時建立黑白名單機制，防止有漏洞組件等在內部擴散，由于漏洞會長期存在，所以同步做好持續監測的工作不松懈，形成“外防輸入、存量治理、內控擴散、持續監測”的四項治理原則。

綠盟供應鏈安全治理整體服務內容

參考《網絡安全審查辦法》《網絡安全法》等相關法律法規以及最佳實踐，通過對政府單位的供應鏈管理組織架構、供應鏈管理體系、供應商管理制度以及開發管理體系進行安全評估。通過“資產摸底數、節點設關卡、內部建制度、實戰上平臺、新舊做融合”做治理抓手，重點對產品服務供需關系治理，運維服務外包關系治理、關鍵系統集成關系治理，自研系統軟件（開源）治理等為治理對象，幫助政府單位了解其可能存在的外部供應商管理問題，第三方組件風險及自身管理體系缺陷問題，并提出相應的整改建議。實現加強供應鏈安全管理，防范供應鏈風險的目標。

1）供應鏈安全管理及咨詢服務：通過對目標政府單位的供應鏈管理組織架構、供應鏈管理體系、供應商管理制度以及開發管理體系進行安全評估。發現存在的供應鏈安全管理薄弱點，并提供整改建議。

2）安全開發咨詢服務：通過開發業務場景分析識別安全需求、制定相應的安全設計方案、協助編寫安全編碼規范等技術咨詢服務。完善安全開發技術體系，全面提升軟件開發供應鏈安全能力。

3）開源或免費軟件安全技術檢測服務：對開源或免費軟件等第三方組件進行漏洞評估、安全基線評估、病毒檢測、沙箱檢測以及代碼審計。發現存在的安全隱患并提供整改建議。

4）供應商風險評估服務：協助建立供應商分級分類體系識別重要供應商。針對不同類別的供應商建立風險度量指標并定期對供應商進行風險評估。

5）商業產品第三方安全評估服務：針對商業IT產品采購，作為第三方專業機構對商業產品進行安全評估。具體評估服務包含：滲透測試、代碼審計以及開源組件漏洞分析。

6）綠盟威脅情報服務：持續安全漏洞監控并提供安全漏洞預警、配合綠盟漏洞檢測產品協助機構漏洞檢查、協助攻擊溯源。

綠盟供應鏈治理服務步驟

通過供應鏈安全自查評估活動，結合用戶自身需求及信息化環境建設特點，為客戶提供定制化應急預案編制、應急演練和應急處置服務，具體步驟如下圖所示：

綠盟供應鏈安全治理最終效果

通過綠盟供應鏈治理服務，結合綠盟產品能力，覆蓋用戶供應鏈的各個薄弱環節，最終達到安全可信的供應鏈治理效果。

綠盟供應鏈安全治理方案實踐成果

2022年2月，綠盟科技獲頒社區首批會員單位證書，綠盟軟件供應鏈安全治理服務方案入選治理實踐優秀成果。

2022年8月，中國信通院開展“守衛者計劃——軟件供應鏈安全專題”優秀案例征集活動，綠盟科技的軟件供應鏈安全實踐案例收獲優秀案例獎。

綠盟科技開源軟件安全治理解決方案入選證券基金行業信息技術應用創新聯盟開源軟件與供應鏈安全工作組WG10工作組“第一批開源治理系列實踐案例”。