随着科技的飞速发展,软件已成为推动经济发展、社会运行以及工作生活不可或缺的重要力量。据工信部2023年统计,中国地区仅移动应用程序(App)的数量就已超过260万,且这一数字仍在持续增长。这些应用涵盖了PC端应用软件、移动APP软件以及嵌入式软件等多个种类,极大地丰富了用户的选择,也为软件供应链的安全管理带来了前所未有的挑战。
近期,黎巴嫩在短短两天之内接连发生寻呼机与对讲机爆炸事件,迅速引发全球关注。随着各界对攻击者引爆手段的种种推测,一个显而易见的“真相”逐渐浮现——这很可能是一起“供应链攻击”。此类攻击通过瞄准产品或服务在生产、维护及流通等环节中的脆弱点,来实施恶意攻击,凸显了当前技术环境中供应链安全的紧迫性。
0
1
国家重视:软件供应链安全挑战加剧
软件供应链安全风险多种多样,贯穿开发、测试、集成、部署各个环节,主要包括恶意代码注入、依赖关系风险、开发环境恶意篡改以及不安全的交付渠道等。黑客通过在这些环节植入恶意代码或操纵软件组件,能够窃取敏感信息、破坏系统功能,甚至威胁到国家网络安全。据相关数据显示,近年来软件供应链安全事件频发,且攻击手段日益隐蔽和高效,给企业和国家带来了巨大损失。
面对软件供应链安全的严峻形势,国家层面给予了高度重视,并采取了一系列措施来加强防范和应对。通过出台相关法律法规,如《网络产品和服务安全审查办法》和《网络安全审查办法》等,明确了软件供应链安全的管理要求,为行业树立了安全标准。同时,国家还积极推动软件供应链安全技术的研发和应用,鼓励企业加强自主创新,提升软件安全检测能力和水平,以应对日益复杂的安全威胁。
2024年11月1日,我国即将实施《信息安全技术-信息技术产品供应链安全要求》(GB/T43698-2024),该标准从软件供应链安全风险管理要求、供方安全要求和需方安全要求三个维度提出了软件供应链的安全要求,可指导供需双方开展风险管理、组织管理和供应活动管理,同时为第三方机构开展软件供应链安全检测和评估提供依据。
0
2
多措并举:应对软件供应链安全威胁
作为PC端应用软件、移动APP软件、嵌入式软件等各类软件的需求方,我们该如何依照国家条例、办法和标准规范开展软件供应链风险应对工作,保障软件供应链安全呢?国投智能首席技术官(CTO)认为,应该从以下三个方面应对:
跟踪开发过程
软件开发阶段是软件供应链安全的首要环节,应跟踪整个开发过程并对开发过程的关键节点进行控制,提升软件供应链安全。
一是软件需求方应选择具备信息安全资质的开发商,应具备的资质包括ISO 27001、CMMI-SVC、COBIT等国际标准或行业认证。
二是软件开发商应具备安全思维并能通过相应的工具辅助开发过程,例如开发商应具备DevSecOps开发思维,应把安全工作融入软件开发的全生命周期,并对各个过程加以控制。
三是软件需求方应对项目节点成果进行跟踪,应设置里程碑节点,在相应节点组织软件开发商进行汇报,及时发现开发过程中存在的安全隐患并加以控制。
评估交付产品
软件交付阶段是软件供应链安全的重要环节,应在软件产品交付使用前开展第三方安全检测评估,强化软件供应链安全。
一是漏洞检测,可采用人工结合工具的方式开展,人工方式主要是组织经验丰富的渗透工程师模拟黑客的手段,对软件系统开展渗透性攻击测试,发现软件存在的各类漏洞;工具方式主要是采用安全检测工具箱,从软件自身、软件依赖的生产环境等多个维度开展自动化扫描,发现软件运营过程中可能存在的漏洞。
二是后门检测,除部署定制化开发或已获取版权的商业性软件外,日常工作可能还会用到开源的、免费的软件,针对此类软件应采用静态、动态相结合的调试方式对软件进行检测,发现其可能存在后门或绑定的恶意程序。
三是数据检测,软件的最终形态是对各类数据进行处理并反回处理结果,数据处理的全过程包括数据的采集、存储、使用、加工、传输、提供、公开、删除等,所以在软件交付的环节,应采用技术手段对数据处理的全过程开展检测工作,发现数据处理各个过程可能存在的不安全行为。
管好使用环节
软件使用阶段是软件供应链安全的关键环节,应在软件产品使用过程中加以有效管控,保障软件供应链安全。
一是建好软件供应链管理体系,软件需求方应建立软件供应链安全的管理组织、管理制度,并制定相应的保障措施,形成可持续性的管控机制,从软件的全生命周期开展供应链安全管理工作。
二是管好应用软件资产台账,只有掌握自身使用的软件情况,才能更好地对软件进行安全管理,因此摸清家底是安全管理的前提,软件资产台账应包括软件开发采用的第三方组建和部署环境等关键信息。
三是做好安全监测和应急响应,安全是相对的、不可避免的,为了快速发现、及时消除供应链风险,应采用安全事件监控和处置等技术手段,有效降低安全隐患。
0
3
国投智能:筑牢软件供应链安全防线
作为网络空间安全与社会治理领域国家队,国投智能深刻认识到软件供应链安全对于数字经济健康发展的重要性。公司积极响应国家号召,积极布局软件供应链安全领域,致力于为用户提供全方位、全链条的安全解决方案。
依托强大的技术实力和丰富的行业经验,国投智能在软件供应链安全检测、防护和应急响应等方面取得了显著成果。同时,公司还深入利用大模型技术,在软件供应链的关键环节进行深度分析和检测,助力有效识别并防范恶意代码和漏洞,为数字政府、数字经济保驾护航。
多源威胁检测响应(XDR)平台
国投智能控股子公司安胜凭借多年的网络攻防实战经验,推出“星盾”多源威胁检测响应平台(简称星盾),该平台不仅集成前沿安全技术,还融合安胜对网络安全深刻理解和实战经验,旨在为企业提供全方位的保护。
星盾是一款基于“云、网、边、端”多源安全大数据的威胁检测与响应(XDR)平台,可实现跨边界、跨区域、跨设备的全方位安全检测和响应。具备统一的数据治理、关联分析、告警降噪、联动封堵、行为画像、溯源取证等能力,以全局的视角进行安全分析研判、自动响应,从而实现企业网络空间安全的高效运营。(点击下图了解详情👇)
与此同时,安胜还提供高级渗透测试服务,公司资深网络安全专家将在客户授权许可的前提下,模拟真实世界中极具目的性且高度隐蔽的恶意攻击者,不限路径、不限时间地对企业客户的信息资产进行全方位渗透测试。在渗透过程中发现深藏于系统和环境中的安全漏洞,并提供安全解决方案,修复安全隐患,切断网络攻击风险,保障企业信息化安全。
魔剑三号应用程序检测大师系统
一款专门针对Android、iOS 、Windows端的应用程序进行动静态行为分析的产品。针对手机APP的检测,检测方式灵活,可在检测手机或模拟器上完成检测,全方位对APP访问用户隐私数据行为、后台网络行为进行实时分析,获取APP的关键行为数据,如嫌疑手机号、邮箱、后台服务器、第三方可调证信息等进行检测;
针对Windows端的应用程序检测,支持对应用程序的基本信息、动态访问文件的记录、注册表记录和后台访问的网络数据记录等进行检测。软件同时集案件管理、应用管理、生成报告等功能于一体,可快速为办案人员提供分析线索。(点击下图了解详情👇)
“天剑”系列移动终端安全检查系统
为提升内部单位快速安全检查及自查效率,排除移动终端使用安全风险隐患,美亚柏科推出“天剑”系列移动终端安全检查系统,一款通过人工智能分析模型,快速检查移动终端违规敏感内容的专用检查设备。产品支持检查移动终端上各类APP的图片、文档等文件包含的违规敏感信息。(点击下图了解详情👇)
“亮剑一号”数据安全检查工具箱
一款新一代数据安全检查的利器,可用于分析APP、云端/本地数据库、本地文件/共享服务文件等数据资产,从数据资产分类分级安全检查、个人信息保护安全检查、未成年人信息保护安全检查、数据库角色权限检查、数据库日志检查、数据共享/公开安全检查、操作系统/数据库/应用服务运行环境安全检查,一键生成数据安全风险评估报告,智能高效地帮助客户开展数据安全检查及自查工作。
水晶石加密硬盘
一款自主创新、全国产的NVMe SSD加密硬盘,具备安全可控、硬件加密等优势,既适用于安全单位,也适用于企业和个人数据安全场景,最大程度满足用户对存储产品安全性和高性价比的需求。依托水晶石加密硬盘,美亚国云相继推出国云碧玺石数据安全一体机工作站、国云碧玺石数据安全笔记本电脑等终端设备,满足用户数据安全需求。
若需了解或采购装备
可联系本地销售
填写相关需求
未来,国投智能将继续深耕软件供应链安全领域,不断提升技术水平和服务质量,与政府部门、行业伙伴和科研机构紧密合作,共同推动软件供应链安全技术的标准化和规范化发展,为构建安全可信的数字生态贡献力量。
(转自:国投智能股份)
VIP课程推荐
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
