———————

近日，國家鐵路局發(fā)布《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護管理辦法》，《辦法》第十四條提到：

“運營者應(yīng)當(dāng)加強鐵路關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全保護，優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后對國家安全的影響?？赡苡绊憞野踩?，應(yīng)當(dāng)按照國家有關(guān)規(guī)定申報網(wǎng)絡(luò)安全審查?！?/p>

強調(diào)了鐵路關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全保護的重要性，也為相關(guān)單位提出了明確的安全要求。

基于上述《辦法》條例，本文將對鐵路軟件供應(yīng)鏈安全現(xiàn)狀進行逐一分析，并提出相關(guān)治理思路，希望通過本文給相關(guān)單位軟件供應(yīng)鏈安全管理實踐落地一些借鑒思路~

?

01/?鐵路軟件供應(yīng)鏈安全現(xiàn)狀

1）軟件供應(yīng)鏈構(gòu)成復(fù)雜，不確定風(fēng)險因素多

隨著鐵路信息系統(tǒng)的深入建設(shè)，無論是基礎(chǔ)設(shè)施、終端外設(shè)，還是開發(fā)運維服務(wù)，背后已逐漸形成強大的軟件供應(yīng)鏈體系。鐵路信息系統(tǒng)架構(gòu)復(fù)雜性日益增加，軟件開源化趨勢增強，導(dǎo)致軟件供應(yīng)鏈變得更加復(fù)雜，不確定性風(fēng)險因素增多，軟件開發(fā)、交付、使用等各個環(huán)節(jié)均存在被攻擊者攻擊的可能。

2）軟件安全管理能力未能匹配信息化進程

鐵路信息化建設(shè)起步較早，早期系統(tǒng)建設(shè)多為“同步建設(shè)、同步使用”，軟件安全防護能力未能匹配上信息化發(fā)展進程。軟件供應(yīng)鏈安全管理能力的提升速度，也跟不上軟件供應(yīng)鏈復(fù)雜化與網(wǎng)絡(luò)攻擊演變的速度。

3）軟件來源復(fù)雜，供應(yīng)商管理難度大

鐵路信息系統(tǒng)建設(shè)規(guī)模大，系統(tǒng)開發(fā)中大量使用外部代碼，例如開源代碼、委托開發(fā)的代碼等，使得參與系統(tǒng)建設(shè)的第三方服務(wù)提供商、供應(yīng)商等供需關(guān)系網(wǎng)日趨復(fù)雜，層層轉(zhuǎn)包現(xiàn)象頻出。

由于軟件的開源開放、多層供應(yīng)關(guān)系、軟件資產(chǎn)的不透明等因素，軟件供應(yīng)鏈可能發(fā)生產(chǎn)品安全質(zhì)量下降、供應(yīng)中斷等安全風(fēng)險，使運營者對供應(yīng)鏈的安全管控難度加大。

?

02/?鐵路軟件供應(yīng)鏈安全治理思路

1）探索完善的軟件供應(yīng)鏈安全管理體系

通過差距分析、軟件供應(yīng)鏈安全（SSCS）治理，建立軟件供應(yīng)鏈安全管理體系，從制度、流程、能力、平臺等方面形成合力，對軟件供應(yīng)鏈組織管理、供應(yīng)商管理和供應(yīng)活動管理提出安全要求，提升鐵路關(guān)基單位對軟件供應(yīng)鏈安全的管控能力。

開源網(wǎng)安提供專業(yè)的?軟件供應(yīng)鏈安全咨詢，協(xié)助企業(yè)進行軟件供應(yīng)鏈安全治理思路探索與方案建設(shè)。幫助企業(yè)在供應(yīng)鏈安全現(xiàn)狀調(diào)研、風(fēng)險評估和差距分析的基礎(chǔ)上，制定軟件供應(yīng)鏈安全風(fēng)險識別與處置策略、軟件資產(chǎn)管理策略，融入現(xiàn)有網(wǎng)絡(luò)與信息安全管控體系當(dāng)中。強化軟件安全管理頂層設(shè)計，提升整體統(tǒng)籌能力。

軟件供應(yīng)鏈安全解決方案：點此?

2）全方位識別軟件供應(yīng)鏈安全與合規(guī)隱患

正如俗話所言“病從口入”，軟件供應(yīng)鏈安全“病”也需從“關(guān)口”抓起，通過建立安全卡口，把控軟件供應(yīng)鏈各環(huán)節(jié)軟件安全性與合規(guī)性。

因此，相關(guān)單位可與開源網(wǎng)安聯(lián)合建立?軟件供應(yīng)鏈安全檢測中心，在開發(fā)/采購、交付/上線、運維/使用等各環(huán)節(jié)，建立安全與合規(guī)審查卡口，通過軟件供應(yīng)鏈安全與合規(guī)風(fēng)險識別技術(shù)，包括但不限于軟件上線前安全檢測、開源軟件資產(chǎn)識別、漏洞級別及其可利用性檢測、知識產(chǎn)權(quán)審查、合規(guī)審查、持續(xù)運營風(fēng)險評估等，全方位識別軟件供應(yīng)鏈中潛在的技術(shù)風(fēng)險、供應(yīng)風(fēng)險、合規(guī)風(fēng)險等。

3）常態(tài)化軟件供應(yīng)鏈風(fēng)險安全管理

建立軟件供應(yīng)鏈安全態(tài)勢感知平臺，實現(xiàn)軟件資產(chǎn)持續(xù)監(jiān)測，發(fā)現(xiàn)問題時能快速定位，充分響應(yīng)。持續(xù)增強軟件供應(yīng)鏈安全威脅發(fā)現(xiàn)、研判和預(yù)警能力，提升軟件供應(yīng)鏈安全事件監(jiān)控和處理能力。

軟件供應(yīng)鏈安全檢測與管理平臺（簡稱SSCSP）是深圳開源網(wǎng)安自主研發(fā)的一款綜合性安全產(chǎn)品。為企業(yè)提供軟件供應(yīng)活動（采購-交付-運維）全面的安全檢測與軟件資產(chǎn)管理服務(wù)，構(gòu)建軟件資產(chǎn)庫與常態(tài)化安全風(fēng)險預(yù)警機制，提升軟件供應(yīng)鏈安全風(fēng)險的識別和應(yīng)急能力。

03/?結(jié)語

隨著互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟的日趨成熟，關(guān)鍵信息基礎(chǔ)設(shè)施已成為經(jīng)濟社會運行的神經(jīng)中樞，是支持國家發(fā)展的重要資產(chǎn)。鐵路關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益。

近年來，國際上針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件更是屢見不鮮。因此，提升鐵路軟件供應(yīng)鏈安全管理能力，打造“安全韌性”的軟件供應(yīng)鏈體系，對于保障鐵路企業(yè)信息系統(tǒng)長期安全穩(wěn)定運行，推動鐵路信息化高質(zhì)量發(fā)展而言，非常重要。

?

*參考文章：

• 鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險管理芻議_朱麗璇

• 鐵路網(wǎng)絡(luò)安全面臨的嚴峻形勢和主要對策研究_劉大為文章來源地址http://www.zghlxwxcb.cn/news/detail-824623.html

到了這里，關(guān)于鐵路關(guān)基保護新規(guī)發(fā)布！鐵路軟件供應(yīng)鏈安全洞察與治理思路的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！