王贵智：做好软件供应链安全的思考与建议

　　2022年12月13日-14日，由中关村金融科技产业发展联盟、中关村互联网金融研究院、中国互联网金融三十人论坛主办的“2023第十届中关村金融科技论坛年会暨2022‘光大杯’中关村番钛客金融科技国际创新大赛颁奖典礼”在“云端”举办。论坛年会为期两天，包含主题演讲、圆桌对话，发布优秀案例、金融科技与数字普惠报告、《web3.0》图书、中关村金融科技30强、金融科技竞争力报告等多个重要板块。50余位行业专家齐聚一堂，共谋金融科技领域的前沿热点，共克时艰、共话未来！

　　工银科技有限公司安全负责人王贵智在12月13日软件供应链安全专题论坛发表题为：“做好软件供应链安全的思考与建议”演讲。他指出：在金融科技的背景下信息安全工作本身影响大、范围广、变化快、敏感性高等特点进一步被放大；同时结合金融行业敏感度高、行业监管严格、数据价值高、业务需求高、场景变化快等特点，商业银行的信息安全工作的挑战更加严峻，对于软件应用开发的需求也随之增大。不管是在监管标准、技术标准上，都对应用安全提出了更高标准。其中，供应链安全作为软件应用安全的重要部分之一，供应链网络安全攻击风险、敏感信息泄露风险、供应链中断风险使得金融机构应通过管理措施、日常运营、技术能力三个角度做好供应链安全管理，通过加强技术研究储备、加强同业技术交流与合作，实现开放、共享、高效、融合的信息安全防护体系。

　　发言内容 （以下内容根据现场速记整理）

　　一、金融科技给安全带来的影响

　　金融科技是技术驱动的金融创新，核心是运用现代科技成果改造或创新金融产品、经营模式和业务流程等，推动金融服务提质增效。科技赋能业务创新发展、业务与科技加速融合，对于加速推动金融供给侧改革、防控系统性金融风险具有重要意义。随着金融科技的快速发展，银行业普遍启动数字化转型，对内、对外赋能，重塑银行业生态和竞争格局，朝着“银行4.0时代”迈进。从银行业务电子化到ATM和网上银行、再到手机银行和移动支付，演进到无所不在的金融服务。金融的信息安全风险形式也是一直伴随着技术的发展而快速变化。

　　在金融智能化的发展特点越来越显著的今天，传统安全问题依旧是主要威胁来源，地下黑色产业链已经规模、信息泄露事件层出不穷，攻击手法不断升级。但同时，金融科技的技术普遍落地应用，对信息安全产生着深刻的影响。体现在几个方面：

　　一是安全风险在ABCDI等技术的加持下，变化更加迅速，场景融合带来的风险传导加速，风险变化形势和技术迭代的加速度仍在进一步提速。

　　二是金融科技较传统金融业务更具穿透性，跨学科跨领域的多元合作、数据价值链条的拉伸等进一步模糊了传统的风险边界。过去20年来以网络安全的隔离为核心思想的安全运营观点已经过时，风险边界模糊的现状，以数据做生产资料的价值交换需求，要求必须采取新的数据为核心的安全运营观。

　　三是无论技术如何演变，金融科技的本质仍然是金融属性，在无所不在的智能化金融服务背景下，信息安全风险挑战更为复杂。

　　四是新技术的应用加剧了金融信息安全风险的滞后性。一方面是安全风险天然具有隐蔽性；另一方面传统的合规为重点的安全管理模式下，制度规范的建设也存在一定程度滞后的属性，新技术应用在解构制度约束的基础上，快速发展、实现创新，但对制度的解构也意味着对合规约束的缺失，相对新技术应用的快速短期效果，金融信息安全风险可能需要相对更长的时间来暴露。

　　五是新技术应用具有典型的两面性。一方面新技术引入，为解决部分传统安全风险提供了“降维打击”的机会，让一些老大难的问题得到缓解，比如借助大数据和机器学习技术，并依托人工智能，建立数据驱动的智能风险管理模式，通过更为精细的模型挖掘，萃取特征，面向业务建立更为精细、精准的风险控制模型，可以大幅提升风险防控的效率；依托区块链技术可以在一些场景下彻底解决网络欺诈难题等等。另一方面，新技术被恶意攻击者所用造成更大的风险，比如利用大数据分析、海量泄露信息并依托公有云平台、移动物联网带来的高带宽、低成本的优势，进而衍生出以APT攻击为代表的新型高级网络攻击手段。

　　基于上述分析，在Fintech的背景下信息安全工作本身影响大、范围广、变化快、敏感性高等特点进一步被放大；同时结合金融行业敏感度高、行业监管严格、数据价值高、业务需求高、场景变化快等特点。商业银行的信息安全工作的挑战更加严峻。

　　二、供应链安全面临安全风险和挑战

　　应用安全研发过程如今面临许多挑战，从大的环境来看：第一，法律法规从严。近年来，国家高度重视网络安全工作，对金融行业的监管力度不断加大。2021年9月1日起，多项法律文件生效，对开展安全工作增加了一层压力。安全问题趋于法制化，如何进行安全设计、如何规避安全问题、如何整改安全事件都受到了法律的约束。第二，漏洞威胁加剧。全球网络安全威胁持续升级，外部态势愈发严峻，各类高危漏洞的隐蔽性进一步提升。传统的各类0day漏洞攻守双方打的往往是时间差，大量0day漏洞会随着发现或使用而被暴露。但随着近期安全漏洞“军火化”的情况，使得大量0day漏洞价值进一步提升，攻击方使得0day的使用更谨慎和针对性，防守方能捕获和提前防御的漏洞也随之减少，使得各类漏洞带来的威胁进一步加剧。

　　从具体研发过程来看，针对安全需求管理、安全设计阶段、编码、测试等一系列安全研发流程中，一般企业主要面临如下几种威胁：安全需求分析缺失导致的威胁、设计缺陷导致的威胁、不安全编码所导致的威胁、开源软件所导致的威胁、安全测试所导致的威胁、其他因素导致的威胁，如源代码泄露、程序后门、开发工具链污染等等。

　　供应链安全可以分为三个大的风险，一是供应链网络安全风险。当供应链环境的平台、组件、算法存在安全漏洞时，攻击者通过植入、替换等方式，实现非授权访问，造成网络攻击风险。这一情况在开源组件中尤为显著。二是敏感信息泄露风险。随着供应链层级增加，安全管控渗透能力和安全风险意识逐级下降，很容易造成金融行业等重要敏感信息的泄露、丢失。三是供应链中断风险。银行业的产品和服务严重依赖信息化，其信息化产品供应链分布广、层级多，当供应商停止生产或维护某些系统或者某些组件时，银行业面临服务质量下降、服务功能暂停等供应链终端风险。在这种背景下，金融行业的监管，包括国家对安全监管提出了很多加强供应链安全的一些监管要求。

　　三、如何做好供应链安全管理相关建议

　　（一）管理措施

　　通过构建全行的安全管理制度和标准技术规范，明确各机构的职责，做到责权明晰；定期对标监管要求，持续开展制度和流程优化。通过合同约束、安全审核、隔离防护、监控处置、网络安全审查等技术与管理相结合的风险管控措施，实现对供应链产品全生命周期的风险控制。

　　（二）日常运营

　　在日常运营层面可以考虑通过资产探测，实现和对供应链资产的明细的清晰化的管理；对供应链相关的安全漏洞，要实现能发现能分类、能整改的一个闭环管理；也可以综合运用外部的安全态势的信息和安全舆情，合理运用威胁情报来共同和同业做好供应链安全的联防联控。

　　（三）技术能力

　　明确区分“谁引入谁负责”和“谁使用谁负责”这两个基本原则。通在软件的使用过程中，特别是对开源软件，注重“谁引入谁负责”，但随着现在软件特别是开源软件的错综复杂的调用关系，“谁使用谁负责”也成为重要考量因素。技术建设应综合用好各类的安全供应链安全相关的工具，如软件引入登记措施、软件成分分析、版本库扫描机制、应用版本投产前漏洞检测、生产环境软件资产自动识别，做好整个安全测试的工具链和支撑平台的建设。

　　四、未来展望

　　近年来全球一系列针对银行的网络攻击事件表明，银行在网络边界构筑马奇诺防线并非牢不可破，外部黑客早已经有能力将渗入到银行的核心系统。面对现实的威胁，各种新型防御产品层出不穷，但是仅仅是“防”已经不能应对面临的挑战。

• 常态能力建设

　　目前大部分商业银行都已经度过了基础建设导向的基础安全防御、被动防御阶段，向更加以能力为导向的积极防御、甚至智能防御阶段演进。着力推动攻击能力体系建设，通过内部攻防双方的自我搏击，形成一个自我螺旋式提升自身能力的内生动力，从而彻底摆脱传统的依赖外部能力、被动垒城墙的单纯防御模式，实现以攻促防、攻防相长。

• 强化研发管理

　　通过知识库的构建、整个支撑平台安全活动支撑平台的构建、工具链条的完善，来不断丰富和企业的开发应用安全的过程能力。针对这种供应链安全的专项工具，首先要“理清家底”，对涉及供应链的软件、硬件、科技服务等情况进行全面摸底，梳理清楚情况并建立针对性的资产管理台账。其次是“统筹管理”，正确定位软件供应链安全重要性，建立全面且一体的安全统筹管理措施。

　　（三）专项技术建设

　　运用专业措施解决专业问题，通过软件静态分析与动态分析相结合、安全检测与及时响应相结合、威胁情报与沙盘推演相结合建立一体化态势感知平台。

　　在应对全球一体化的信息安全风险面前，任何企业都很难独善其身，恰当运用新技术，融会贯通、灵活运用，既能解决现有风险问题，又能确保在引入使用中的风险可控，仍然是不变的安全风险防控目标。通过加强技术研究储备、加强同业技术交流与合作，实现开放、共享、高效、融合的信息安全防护体系，将不失为一条共赢的捷径。

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

海量资讯、精准解读，尽在新浪财经APP

责任编辑：邓健