7月3日,由全球数字经济大会组委会主办,中国信息通信研究院、中国通信标准化协会承办的“云和软件安全论坛暨第二届SecGo云和软件安全大会”在北京国家会议中心举行。大会期间,2024年中国信通院安全守卫者计划评选结果重磅发布,默安科技应用于国网辽宁省电力有限公司电力科学研究院(以下简称****“辽宁电科院”********)的雳鉴****-软件供应链风险评估平台荣获软件供应链治理专题优秀案例!****
图 默安科技代表(左二)出席发布仪式
近年来,以Log4j、SolarWinds为代表的软件供应链安全事件频发,且仍有指数级增长趋势,引起业界高度关注。为进一步促进软件供应链产业创新发展,提升企业软件供应链安全治理水平,中国信息通信研究院“安全守卫者计划——软件供应链治理专题”优秀案例征集活动,旨在遴选推广一批成熟度高、具有示范作用的优秀案例,为各行业软件供应链安全治理工作的推进起到借鉴作用。
案例背景
随着网络攻击国家关键基础设施或关键信息基础设施的行为日趋明显,电力系统作为国家关键基础设施, 其安全可靠运行关系到电网安全、企业安全、社会安全和国家安全。当前,电力行业面临着软件供应链规模庞大、部分单位存在供应链管控不严、数据监管不足等问题,攻击者很可能利用系统漏洞、电网数据信息进行恶意攻击,造成控制系统断供、后门漏洞和网络攻击风险。
辽宁电科院积极推动数字化转型,将数字技术融入电网企业管理经营全过程,以数据驱动业务流程再造和组织结构优化,促进跨层级、跨系统、跨部门、跨业务的高效协作。由于当前电网软件应用开发以自研为主,结合外包支撑的联合开发模式,虽初步具备供应链安全管控能力,但是当前管控流程无法满足公司供应链安全实际需求。主要体现在,一是现有软件核心资产未纳入统一管理;二是软件开发大幅度采用开源代码和第三方组件,软件组件质量控制能力不足。
解决方案
为建全软件上线前的引入代码安全评估和源代码管控机制,持续提升业务系统的安全检查、风险评估和事件响应能力,保障电力业务系统的安全稳定运行,默安科技为辽宁电科院建设了一套针对当前存量及增量业务系统进行全面检测评估的软件核心资产管控系统。
系统建设总体依据《国家电网公司智能电网信息安全防护总体方案》要求,遵循“分区分域、安全接入、动态感知、全面防护”的安全策略,按照等级保护二级系统要求进行安全防护设计,包含基础引擎层、数据处理层和业务应用层。
基础引擎层集成了多维融合的安全风险检测引擎,包括:针对应用漏洞、数据安全、代码片段等风险检测的软件应用代码风险检测引擎;支持组件资产梳理、漏洞检测和组件许可证检测的三方组件依赖风险检测引擎;可针对二进制、镜像、制品库等不同形态软件检测的软件制品风险检测引擎;通过扫描测试、流量发现识别三方基础软件服务和三方产品服务接口的检测引擎。
数据处理层通过检测分析引擎和数据库进行数据拉取交互,对插装上报数据、扫描结果数据、流量请求数据、资产指纹数据和填报数据等进行安全风险分析和数据管理,形成业务数据后入库存储。
业务应用层则提供了友好的交互式功能界面,主要包含了四大业务功能:引入代码安全评估、源代码管控、报告&知识库管理和系统配置功能。
图 产品架构
方案价值
方案通过技术和管理手段的深度融合,逐步推进软件核心资产管控系统平台工作。针对国网省公司的自研软件、定制软件,国网统推软件,软硬一体机等软件类型;面向省管产业单位及其二级供应商,建立管理制度;依托制度落实引入代码安全评估和源代码管控两项管理措施;依托软件核心资产管控系统固化各项管理流程,实现数字化部网络安全中心对软件风险的基本管控能力。
首先,通过深层次软件风险排查,形成了一套可管理运营的电网生产环境引入代码清单,建立数字化网络安全领域软件核心资产台账,为数字化部网络安全中心提供安全风险管理的技术抓手,实现软件代码漏洞和紧急事件的常态化管理,提升安全管理水平。
其次,通过开展源代码管控工作,强化网络安全监督机制,在信息系统上线测评环节实现软件供应链核心资产管控,全面实现漏洞及安全风险分析,形成软件资产图谱,高效开展预警排查工作,为国网省公司软件供应链核心资产管控工作提供标杆示范。
该案例具有强大的实践性和适应性,能较为普遍地解决能源企业在供应链安全管理方面面临的行业共性问题,也可以为其他行业提供最佳实践范本。作为国内软件供应链安全解决方案的主流供应商,默安科技积极参与行业标准的推动和各行业软件供应链安全治理工作,产品和解决方案在政府、金融、能源、运营商、教育、医疗、高端制造等多个行业数百家单位中得到广泛应用,并取得了良好的效果和用户口碑。未来,公司也将继续匹配客户需求、钻研创新技术、积累实践经验,从软件供应链治理角度帮助各行业客户实现业务与安全效益的最大化。
