着手供应链“源头治理”，实现上下游“安全可信”

信息产业高速发展背景下的供应链安全

当下信息产业的飞速发展加快了政府单位数字化转型的步伐，但技术赋能建设的同时也带来潜在的威胁，信息化水平提升的背后，是供应链某一环节出现问题会给整个下游相关的政府单位带来负面连锁反应。例如近年来，国内外发生的多起供应链安全事件，导致应用系统源代码泄露、IT系统出现故障，造成重大不良影响。同时，在近年来多次的国家级攻防演练中，由于高危第三方组件及利用供应商专线入侵引起的防守失分情况屡次出现。供应链安全治理作为政府单位（尤其是关基单位）未来网络安全工作的重要一环，有效保障供应链安全将会是助力国家产业高质量发展、保障实体经济稳定运行、构建新发展格局的重要内容。

依托于国家战略及行业实践的绿盟供应链安全治理方案

在《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出“加强国际产业安全合作，形成具有更强创新力、更高附加值、更安全可靠的产业链供应链”。因此，依托于国家战略发展规划、行业监管以及行业最佳实践，绿盟供应链安全治理方案将组织机构的供应链安全建设分成四个方面：政府单位自身的供应链安全体系建设、对供应商的安全评估及检查、产品技术能力建设以及漏洞应急能力建设。着手供应链“源头治理”，梳理供应链中的薄弱环节，最终帮助客户实现上下游的“安全可信”。解决方案框架如下图所示：

绿盟供应链安全治理思路及原则

绿盟供应链安全治理思路要求从外部输入进行严格把关，将现有存量系统进行有序治理，同时建立黑白名单机制，防止有漏洞组件等在内部扩散，由于漏洞会长期存在，所以同步做好持续监测的工作不松懈，形成“外防输入、存量治理、内控扩散、持续监测”的四项治理原则。

绿盟供应链安全治理整体服务内容

参考《网络安全审查办法》《网络安全法》等相关法律法规以及最佳实践，通过对政府单位的供应链管理组织架构、供应链管理体系、供应商管理制度以及开发管理体系进行安全评估。通过“资产摸底数、节点设关卡、内部建制度、实战上平台、新旧做融合”做治理抓手，重点对产品服务供需关系治理，运维服务外包关系治理、关键系统集成关系治理，自研系统软件（开源）治理等为治理对象，帮助政府单位了解其可能存在的外部供应商管理问题，第三方组件风险及自身管理体系缺陷问题，并提出相应的整改建议。实现加强供应链安全管理，防范供应链风险的目标。

1）供应链安全管理及咨询服务：通过对目标政府单位的供应链管理组织架构、供应链管理体系、供应商管理制度以及开发管理体系进行安全评估。发现存在的供应链安全管理薄弱点，并提供整改建议。

2）安全开发咨询服务：通过开发业务场景分析识别安全需求、制定相应的安全设计方案、协助编写安全编码规范等技术咨询服务。完善安全开发技术体系，全面提升软件开发供应链安全能力。

3）开源或免费软件安全技术检测服务：对开源或免费软件等第三方组件进行漏洞评估、安全基线评估、病毒检测、沙箱检测以及代码审计。发现存在的安全隐患并提供整改建议。

4）供应商风险评估服务：协助建立供应商分级分类体系识别重要供应商。针对不同类别的供应商建立风险度量指标并定期对供应商进行风险评估。

5）商业产品第三方安全评估服务：针对商业IT产品采购，作为第三方专业机构对商业产品进行安全评估。具体评估服务包含：渗透测试、代码审计以及开源组件漏洞分析。

6）绿盟威胁情报服务：持续安全漏洞监控并提供安全漏洞预警、配合绿盟漏洞检测产品协助机构漏洞检查、协助攻击溯源。

绿盟供应链治理服务步骤

通过供应链安全自查评估活动，结合用户自身需求及信息化环境建设特点，为客户提供定制化应急预案编制、应急演练和应急处置服务，具体步骤如下图所示：

绿盟供应链安全治理最终效果

通过绿盟供应链治理服务，结合绿盟产品能力，覆盖用户供应链的各个薄弱环节，最终达到安全可信的供应链治理效果。

绿盟供应链安全治理方案实践成果

2022年2月，绿盟科技获颁社区首批会员单位证书，绿盟软件供应链安全治理服务方案入选治理实践优秀成果。

2022年8月，中国信通院开展“守卫者计划——软件供应链安全专题”优秀案例征集活动，绿盟科技的软件供应链安全实践案例收获优秀案例奖。

绿盟科技开源软件安全治理解决方案入选证券基金行业信息技术应用创新联盟开源软件与供应链安全工作组WG10工作组“第一批开源治理系列实践案例”。