关于银行业软件供应链安全治理的思考与实践

文 / 中国光大银行信息科技部  杨增宇 牟健君 薛涛 张嘉伟

当前银行业大踏步进入数字化时代，呈现的特征是软件无处不在，各类软件为实现数字化提供基础支撑，成为银行信息基础设施正常运转的基本要素。软件产业快速发展导致软件供应链越来越复杂多元化，复杂的软件供应链会产生一系列安全威胁，导致银行整体安全防护难度越来越大，一旦出现问题会给银行关键信息基础设施带来严重危害。

2020年以来国家相关部门发布《网络安全审查办法》《关键信息基础设施保护条例》《银行保险机构信息科技外包风险监督办法》等法律法规，指导和强化软件供应链的安全管理。当前商业银行所依托的信息化产业规模庞大，有着特殊的上下游供应链生态，软件供应链的安全性已成为焦点。近年来，光大银行在软件供应链的安全管理、安全技术检测、安全运营三个方面，全面建设软件供应链安全防护体系，强化供应链安全保障，赋能业务发展，有力推动了安全管理左移。

软件供应链安全风险分析

1.供应商安全风险分析。供应商自身缺乏安全能力，例如，网络安全运营和应急响应能力不足；对使用的开源和第三方软件、组件缺乏资产清单和漏洞处置；内部人员安全意识不足导致信息泄漏等。

2.软件生命周期安全风险分析。在开发环节可能因供应商引入安全缺陷或后门、使用不安全开源软件、编译构建环境被污染等带来安全隐患；在交付和运行环节可能存在中间供应商插入恶意代码、软件更新被劫持、系统被破解等风险。

光大银行软件供应链安全治理实践

光大银行通过安全管理、安全技术检测和安全运营三个维度强化软件供应链各环节安全管控，将“无影无形”的软件供应链可视化、可管理、可运营，形成完善的软件供应链安全防护体系（如图所示），具体介绍如下。

图  软件供应链安全管理体系

1.建设软件供应链安全管理能力。（1）开展软件供应链安全治理工作。全面落实监管机构关于信息科技外包风险相关的监管办法要求，全方位开展供应链安全风险治理。一是建立覆盖董事会、高级管理层、金融科技部门、外包执行和风险管理等的团队供应链安全管理组织机构，明确各层级职责。二是制定供应链相关的信息安全风险管理制度，明确各项具体安全风险工作要求，提高软件供应链等安全管理工作的可执行性。三是在商务采购过程中充分评估供应商的软件供应链安全管理能力，并与其签署网络安全专项协议，对供应商加强自身安全体系建设、源代码保护、漏洞检测与处置、应急响应与演练、开源软件管理以及业务连续性能力建设等。四是制定软件供应链网络安全应急预案，预案场景包括遭受攻击、发生重大漏洞以及代码泄漏等，预案场景覆盖我行及供应商，确保整个软件供应链纳入业务连续性管理。五是常态化开展软件供应链安全意识宣传培训，通过科技大讲堂、制度直播培训课和漫画文章等形式对全员尤其是软件供应链密切相关人员进行持续培训和宣贯。六是定期开展专项“扫雷行动”排查软件供应链安全风险相关的隐患和问题，并通过持续推动问题整改提升软件供应链保护能力。七是将软件供应链相关安全工作纳入绩效考核，对供应商违规行为、软件开发低级漏洞等行为进行处罚。通过上述七项主要治理工作，形成软件供应链安全防护闭环管理，大幅提升软件供应链安全管理能力。

（2）开展供应商信息数字化管理。软件供应商是供应链中的重要一环，光大银行为做好供应商管理，建设了供应商360度画像系统。利用标签大数据技术，整合企业内外部多维数据，通过数字化和可视化方式，一站式存储每个供应商的基本信息、上下游关系、安全资质证书和检测报告、风险提示、服务目录、商用软件版本、使用开源软件信息、历史安全事件等内外特征画像，实现软件供应商集中管理和统一输出，对软件开发供应链安全风险识别和处置提供有效、准确的信息支撑。在出现安全事件时，可以通过外包供应商画像系统，快速获取企业联系方式、掌握企业提供的服务和软件资产、协同处置事件。

（3）新产品和开源软件全生命周期管理。本着“同步规划、同步建设、同步使用”三同步原则，光大银行建立了新产品和开源软件全生命周期管理流程，所有软件类产品和开源组件均已建立资产清单和台账，新软件（含新版本）引入前必须完成安全技术检测，并通过安全评估和审核。

（4）统一全行软件代码库管理。建设统一的软件制品库和源代码配置库，各类代码集中存储。代码库分为开发分支、测试分支、生产分支，软件代码在进入每一个分支之前都会进行严格的安全漏洞检测，未经修复漏洞的代码或组件被设置为不可用，从源头确保使用干净、安全的软件代码。上述软件供应链主要信息及关联信息在我行态势感知平台集中存储和展现，可随时对不同细粒度供应链进行管理。

2.建设软件供应链安全技术检测能力。（1）建设软件代码安全分析平台。根据使用软件代码的特性，建设软件代码安全分析平台，能够对各类应用系统开展软件安全分析，具备源代码安全扫描和检测、源代码审计、漏洞分析等，维护并保障各类信息基础设施软件安全运行。根据系统特点进行等保测评、安全测试、兼容性测试、自动化渗透测试等。

（2）建设开源安全检测系统。首先，建设开源安全检测系统，能够对代码库或制品库上的源代码或二进制文件进行解压，并从文件中提取特征，进而对特征进行识别和分析，根据分析结果获得应用程序的画像——软件名称+版本号；其次，从CVE、CNNVD、SourceClear等多个漏洞库获取漏洞信息，形成本地开源软件漏洞知识库；最后，结合代码库上的项目归属名称形成包括系统名称、开源软件信息、存在的已知漏洞的对应清单，清晰、准确地梳理出开源资产信息。

（3）建设网军提升自主漏洞发现能力。组建专门的攻防队伍，通过实训竞赛、实战演练，持续加强我行自有攻防高端人才的培养和能力汇聚；利用自动化渗透工具、人工渗透和巡检等方式开展日常的专项软件供应链安全漏洞挖掘。

3.建设软件供应链安全运营能力。（1）7×24小时信息安全常态化运营。建设集中统一的信息安全运营指挥中心，组建一、二、三线信息安全运营队伍，开展7×24小时全天候安全威胁监测和处置工作。对于内外部发现软件供应链安全漏洞、监测源代码文档泄露等事件，可以及时进行预警、响应和处置，并通过电子化安全处置流程及运营晨会日报制度推动软件供应链等各类安全威胁及时闭环处置。

（2）威胁情报提升安全运营效果。建设威胁情报平台，引入多个商业安全情报，与相关监管部门态势感知平台共享的情报进行统一管理并提供统一服务接口，累计情报数据量达到65亿条，其中包括大量的软件供应链相关漏洞的情报。通过上述情报并结合软件代码资产数据，可以支持安全运营团队快速识别出有影响的漏洞，并迅速开展处置。

（3）供应链网络安全应急演练。为检验软件供应链各环节的安全响应能力，每年开展软件供应链专项应急演练，重点演练场景包括关键供应商遭受攻击、源代码泄露等可能对我行产生影响的安全事件。

总 结

综上，通过在安全管理、安全技术检测、安全运营三个层面进行软件供应链安全管控，对于软件供应链上安全漏洞做到可查、可测、可溯源和可处置。当前软件供应链安全已经成为网络空间攻防对抗的焦点，为整体提升软件供应链安全管理的水平，需要从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力。展望未来，随着全行业对软件供应链安全意识的提升，软件供应链安全防护将成为一个系统工程，助力各企业在攻防两端的技术博弈中取得主动权。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。