近年以來，供應鏈安全事件頻發(fā)，大多數(shù)信息安全事件均與供應鏈上要素有關。商業(yè)銀行金融科技建設工作涉及大量供應商和外部產(chǎn)品，形成復雜的金融科技供應鏈，涉及的供應鏈要素有軟件、硬件、廠商、人員、數(shù)據(jù)等。商業(yè)銀行供應鏈安全管理和風險控制不到位，將產(chǎn)生巨大的信息安全和業(yè)務連續(xù)性隱患。從國家監(jiān)管層面到商業(yè)銀行自身治理需要，都對供應鏈安全管理提出了明確的要求，進行科學、規(guī)范、全面的金融科技供應鏈安全管理已經(jīng)成為商業(yè)銀行的重點安全工作。

　　為應對上述內(nèi)外部形勢，光大銀行通過梳理金融科技供應鏈全要素及其安全風險，結(jié)合成熟網(wǎng)絡安全防護框架，設計商業(yè)銀行金融科技供應鏈安全防護體系，對金融科技供應鏈全要素進行有效安全管理，達到全生命周期、數(shù)字化、可視化安全管理，鑄造金融科技供應鏈“強鏈、穩(wěn)鏈”。

　　通過研究《ISO 28000-2022供應鏈安全管理準則》《金融行業(yè)網(wǎng)絡安全等級保護實施指引》等標準，傳統(tǒng)供應鏈的概念可以理解為一個由各種組織、人員、技術、活動、信息和資源組成的將商品或服務從供應商轉(zhuǎn)移到消費者手中的過程，這一過程從原材料開始，將其加工成中間組件乃至最終轉(zhuǎn)移到消費者手中的最終產(chǎn)品。從上述概念可以看到，傳統(tǒng)供應鏈的要素包括供應商、人員、技術、活動、信息、中間產(chǎn)品等。同時，為使供應鏈要素總結(jié)更加全面、完整，我行從商務合同采購內(nèi)容維度出發(fā)梳理供應鏈要素，與供應鏈行業(yè)標準互相補足。綜合上述兩種視角，我行最終得出供應鏈全要素清單如表1所示。

　　為便于后續(xù)進行風險分析和安全防護設計，我行進一步引入子鏈概念，將金融科技供應鏈要素分類后，設計對應的供應子鏈。其中，針對軟件要素，由于軟件涉及的要素較多、業(yè)務場景復雜，我們將軟件分為軟件引入子鏈和軟件開發(fā)子鏈。因此，最終形成8個子鏈：軟件引入子鏈、軟件開發(fā)子鏈、硬件子鏈、數(shù)據(jù)子鏈、網(wǎng)絡子鏈、物理場所子鏈、供應商子鏈、人員子鏈。

　　結(jié)合供應鏈要素自身屬性和各子鏈業(yè)務場景，下面進行供應鏈安全風險分析，并形成安全風險視圖（詳見圖1）。

　　在軟件引入子鏈中，主要風險包括軟件供應安全挑戰(zhàn)、軟件引入資產(chǎn)管理不當、軟件引入安全評估不足、開源軟件安全缺陷明顯，以及業(yè)務部門未經(jīng)科技部門審核自行在外建設或托管“影子資產(chǎn)”。

　　在軟件開發(fā)子鏈中，主要風險包括開發(fā)人員安全能力不足、移動應用未進行安全加固、開發(fā)中傳輸協(xié)議使用不當、開發(fā)證書管理不善等，同時敏捷開發(fā)對軟件安全形成的挑戰(zhàn)，片面的追求敏捷、快速投產(chǎn)，在無相應安全開發(fā)控制手段情況下，導致軟件的安全性大幅下降。

　　在硬件子鏈中，主要風險包括硬件供應風險、備件管理不完善、設備管理不規(guī)范、系統(tǒng)級軟件安全管理缺失、硬件設備非法外聯(lián)、硬件設備不安全口令、硬件設備系統(tǒng)漏洞管理不完善。

　　在數(shù)據(jù)子鏈中，主要風險包括生產(chǎn)數(shù)據(jù)泄露、客戶數(shù)據(jù)過度收集、數(shù)據(jù)共享安在數(shù)據(jù)子鏈中，主要風險包括生產(chǎn)數(shù)據(jù)泄露、客戶數(shù)據(jù)過度收集、數(shù)據(jù)共享安全風險、數(shù)據(jù)出入境違反安全監(jiān)管要求。

　　在網(wǎng)絡子鏈中，主要風險包括遠程辦公訪問風險、網(wǎng)絡連續(xù)性管理風險、第三方接入風險、和運維操作風險。

　　在物理場所子鏈中，主要風險包括門禁安全風險、物理設備安全風險、外包辦公場所安全風險。

　　在供應商子鏈中，主要風險包括供應商經(jīng)營不善風險、供應商安全防護能力不足、供應商應急能力差、供應商對內(nèi)部員工安全培訓不足。

　　在人員子鏈中，主要風險包括外包人員安全意識弱、外包人員安全技術能力不足、對外包人員技術管控缺失、對外包人員從事工作評估不足。

　　綜上所述，供應鏈各子鏈存在多種安全風險，需要加強管理和控制，以確保供應鏈的安全穩(wěn)定。

　　針對各子鏈供應鏈安全風險分析結(jié)果，我行基于MOTP（“管理-運營-科技”三層防護模型）設計配套的供應鏈安全管理體系、供應鏈安全技術體系、供應鏈安全運營體系，三個體系相互融合、相互補充，共同構(gòu)建出集防護、檢測、響應、恢復于一體的全面安全防護體系，作為指導落地實踐的藍圖。

　　基于《信息安全技術網(wǎng)絡安全等級保護基本要求》，參考其關于信息安全管理和技術的底層邏輯，我行自主設計了包含“安全管理、安全運營、安全技術”三層結(jié)構(gòu)的安全防護模型，可覆蓋供應鏈安全管理過程中的全部管理活動、運營機制和技術支撐手段。因此，在設計供應鏈安全防護體系過程中，我行重點參考三層模型，從安全管理、安全運營、安全技術三個維度構(gòu)筑防護體系。金融科技供應鏈安全防護體系藍圖詳見圖2。

　　第一層是安全管理體系（詳見圖3），一般包括供應鏈安全制度建設、組織架構(gòu)建設、管理人員能力建設、供應商安全管理、安全需求管理、安全評估、安全檢查、安全評價與考核、安全意識培訓等。

　　第二層是安全運營體系（詳見圖4），一般包括常態(tài)化安全監(jiān)控和響應、供應鏈安全資產(chǎn)運營、供應鏈漏洞閉環(huán)管理、軟硬件生命周期管理、供應鏈應急預案及演練、供應商安全畫像、互聯(lián)網(wǎng)監(jiān)測和處置等。

　　第三層是安全技術體系（詳見圖5），一般包括安全技術標準建設、縱深防御體系建設、軟硬件引入評估、安全開發(fā)環(huán)境&工具&制品庫&配置庫支撐、軟件成分分析、安全編碼&安全測試&安全發(fā)布、常態(tài)化檢測能力和加固能力建設等。

　　依托三層安全防護架構(gòu)，進一步將各子鏈映射到應覆蓋的安全防護體系內(nèi)容，形成各子鏈的防護矩陣，如表2所示。

　　我行以上述全場景安全防護體系框架作為實踐藍圖，由金融科技部統(tǒng)籌，科技研發(fā)中心、數(shù)據(jù)資產(chǎn)管理部等共同協(xié)作，逐步建設并落地各項供應鏈安全實踐活動。本文選取“開發(fā)安全體系實踐、基礎軟件管理、軟件成分分析、移動互聯(lián)網(wǎng)托管應用系統(tǒng)治理”四個方面介紹實踐情況。

　　為防范自主研發(fā)應用系統(tǒng)的供應鏈安全風險，我行持續(xù)建設開發(fā)安全體系并在全行推廣。參考DevOps成熟度模型，設定開發(fā)安全改進目標、提出改進路徑，設計和建設開發(fā)安全體系、流程管控系統(tǒng)。編寫包括安全場景、安全需求要點、安全設計方案、安全測試要點等要素信息的安全資源庫，覆蓋數(shù)十個應用場景、百余個安全需求條目及相應設計方案和測試要點的安全導航單，用于指引各應用開發(fā)項目展開安全需求分析和安全設計。編制Java、C/C++等多種編程語言的安全編碼指引，為開發(fā)人員提供技術參考。在移動互聯(lián)應用等重要開發(fā)項目中推廣后取得良好效果。

　　針對外部引入軟件產(chǎn)品，如操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎軟件。一是我行通過統(tǒng)一的母帶鏡像和版本管理要求，實現(xiàn)軟件的全生命周期管理，保障老舊軟件替換、升級、補丁修復、防止斷供；日常通過行內(nèi)官方制品庫對全行提供可信的母帶鏡像下載服務，通過系統(tǒng)運維配置管理平臺（SMDB）進行統(tǒng)一的補丁管理和自動下發(fā)，并制定嚴格的漏洞修復機制，避免業(yè)務連續(xù)性受到影響，同時定期根據(jù)漏洞的修復情況和頻率，定期更新母帶。二是為了保障在線軟件的運行安全，防止配置類漏洞的發(fā)生，我行針對基礎軟件建立了完善的安全配置基線管理要求，所有系統(tǒng)軟件上線前需要進行安全基線掃描檢查，對于不符合項需要整改完成后進行上線；對于上線后的配置基線變化，通過系統(tǒng)運維配置管理平臺（SMDB）參照各類安全基線標準進行每日檢查，并將檢查結(jié)果通報給相關管理員與配置經(jīng)理，對于延期未處理的違規(guī)基線也有專門人員通過報表進行跟蹤上報處理。

　　在開發(fā)安全體系及基礎軟件管理的基礎上，針對當前日益復雜的開閉源軟件供應鏈現(xiàn)狀，進一步建設軟件成分分析SCA工具。并通過工具識別軟件資產(chǎn)成分能力，結(jié)合漏洞情報及安全漏洞治理和軟件版本管理等手段，對外購黑盒軟件、開源軟件進行組件分析、開源漏洞及協(xié)議掃描，降低由未知軟件、組件帶來的安全風險，保障交付更安全的軟件。目前，我行已將軟件成分分析SCA等各種安全工具嵌入軟件開發(fā)CICD流水線中，推動在編碼、集成、交付過程中的安全左移。

　　為保障供應鏈安全防護常態(tài)有效，落實上級單位供應鏈安全和漏洞管理相關工作要求。一是積極開展供應鏈信息常態(tài)化維護，針對全行等保三級及以上系統(tǒng)涉及的供應商進行盤點和風險排查；二是建立外部供應鏈漏洞情報響應機制，及時完成監(jiān)管和外部漏洞預警、分析排查和修復工作；三是常態(tài)化安全監(jiān)控處置，針對供應鏈引入的安全威脅、脆弱性及風險事件，開展7×24小時監(jiān)控與應急響應，保障處置閉環(huán)。

　　在供應鏈管理工作過程中，商業(yè)銀行可能會遇到以下情況：部分由業(yè)務部門或分支機構(gòu)托管在外的移動互聯(lián)網(wǎng)應用系統(tǒng)，在建設、運維方面與自建系統(tǒng)存在較大差異，導致引入軟件、硬件、數(shù)據(jù)、人員等供應鏈安全風險。為加強此類應用系統(tǒng)安全管理，防范供應鏈安全風險，我行開展了長期、針對性的互聯(lián)網(wǎng)托管系統(tǒng)專項治理工作。一是管理層面構(gòu)建針對性制度，明確托管在行外的移動互聯(lián)網(wǎng)應用系統(tǒng)信息安全職責和要求，要求遵循“誰引入、誰負責；誰主管，誰負責”的原則，行內(nèi)的托管方為互聯(lián)網(wǎng)托管應用網(wǎng)絡與信息安全第一責任部門。同時建立事前評估和審批流程，要求托管方須按照總行科技部門的流程，充分評估在外托管的必要性、網(wǎng)絡和數(shù)據(jù)安全風險等，并敦促第三方機構(gòu)落實開發(fā)階段、運維階段的安全要求，與第三方簽署《網(wǎng)絡安全專項協(xié)議》。二是運營和技術層面，一方面建立常態(tài)化的托管應用系統(tǒng)資產(chǎn)探測、識別機制，并對已下線、回遷的托管應用持續(xù)探活，一經(jīng)發(fā)現(xiàn)未報備的存活應用、下線回遷不徹底應用或前期已下線又復活應用，將開展托管專項治理；另一方面，定期對互聯(lián)網(wǎng)托管系統(tǒng)開展安全漏洞巡檢，并依托安全漏洞閉環(huán)處置流程，要求托管方及受托方在整改期限內(nèi)完成整改。

　　通過全要素視角下供應鏈安全防護體系的建設和實踐，可在一定程度上繪制金融科技供應鏈全景圖，鑄造職責明確、高度協(xié)同的供應鏈安全防線，建立合規(guī)高效、精準全面的運營管理模式，實現(xiàn)全生命周期安全防護、要素全面化管理、多維精細化管理、供應鏈集中化管理、安全風險數(shù)字化管理的目標。后續(xù)，我行將持續(xù)提升金融科技供應鏈安全防護能力，加強信息安全管理能力，提升安全防護體系完整性，為數(shù)字化轉(zhuǎn)型及“五篇大文章”落地奠定堅實的安全底座。

　　九游體育官方網(wǎng)站 九游體育登錄入口