金融行业软件供应链安全白皮书 2023.docx

《金融行业软件供应链安全白皮书 2023.docx》由会员分享，可在线阅读，更多相关《金融行业软件供应链安全白皮书 2023.docx（62页珍藏版）》请在优知文库上搜索。

1、附录A:金融行业软件供应链安全常见误区51(一)软件供应链安全与开源风险治理51(一)软件供应链安全与研发安全运维一体化52附录B:典型软件供应链攻击事件53(一)1.og4j2远程代码执行漏洞件55仁)Kaseya供应犍攻击事件56(三)Codecov供应链攻击事件57(四)太阳风供应箧攻击件58华硕软件更新服务器供应链攻击事件59(六)CCIeaner供应链攻击事件60附录C:主要国产化厂商61(一)国内外操作系统生态联盟对比61仁)中国本土操作系统主要企业概况61中国本ZHftS库现企业6263法律声明目录一.金融行业软件供应链安全概况Ol（一）金融行业软件供应箧安全现状01金融行业软件

2、供应链主要风险与挑战04（）金Ii行业软件供应链安全值要意义16-.金融行业软件供应错安全总体框架20（一）典型安全治理框架20（二）关键安全技术26（三）软件供应捱安全治理弁考框架37三.金触行业软件供应链安全实践40（一）制定软件供应链安全制度与规范40（二）选择和评估供应商41（三）软件与组件的准入42在软件生命周期实施安全性45（）持续监控和瞥报变四.金融行业软件供应链安全趋势和展望48（一）提升软件供应链透明度48（二）强化供应链风险管理48（三）推动软件供应链安全标准和指南49（四）建立金融行业软件供应链安全监测平台49（五）建立自动化和智能化安全50金融行业软件供应链安全概况(一

3、)金融行业软件供应链安全现状1.软件供应链安全对于软件供应链的理解有很多种方式，一种常见的方式是把软件供应链与工业供应链或传统供应链进行类比：一些资源和原材料被:肖耗，通过一系列步骤和过程，转化为产品或服务提供给最终用户。在软件中，原材料是代码和工具，工程师把代码转化为最终的可交付物。这个可交付物可能是面向用户的软件、服务，也可能作为依赖关系进入到其他软件中，成为软件供应链的一部分。传统供应窿软件供1遇矗TCBTaTCJb开源代码/，软件开发/测试渠道分发用户下第三方代码引入图1：软件供应链对比传统供应链与传统供应箧相比，软件供应链主要涉及可复、通过网络等方式轻松地进行复得到广泛应用，软件开发

4、敏捷化向研发运维一体化R软件更新进作构件供应链面临算改等成胁时一图目录图1：软件供应链对比传统供应疑Oi图2:大代码库包含开源漏洞io图3：软件制品供应链级别识别的软件供应链威胁22图4：软件保障成熟度模型整体框架24图5:软件安全构建成熟度模型整体框架25表目录表1：常见开源许可证介绍13表2：国内监管意见和标准要求16表3：互联网安全中心提供的五类技术控制措旅21表4：数字供应箧风险成为主要安全风险285供应链安全治理分考1踝名潮8写38表6：软件供应链通用风险控制38表7：软件生命周期风险控制39C软件供应链数据安全风陵管理能力识别和防范供应关系和供应活动中存在的数据泄露、数据篡改、非法

5、访问等数据安全风险。这包括建立合适的数据保护措施，如加密和访问控制，以确保在整个供应链中数据的机密性和完整性。同时，进行供应商的数据安全审查，确保供应商能够妥善保护敏感数据，并遵守相关的隐私法规和合规要求。2.金融行业软件供应链安全金融行业的软件供应链具有复杂程度高业务连续性要求高、数据价值高、行业监管严格等特点：复杂程度高：金融行业的软件供应链通常非常复杂。银行、保险、证券等金融机构均建设有适用于自身业务的核心系统，以及相关的金融服务系统、生活服务系统、基础服务系统，这些系统通常由多个供应商提供，并相互关联和集成。复杂性增加了管理和保护供应链的挑战，同时也增加了潜在的风险。业务连续性要求高：

6、金融行业对业务连续性的要求非常高。金融机构的核心业务依赖于这些软件系统的安全与稳定的运行。任何中断都可能导致金融机构的服务中断、数据泄露、资金或声誉受损。在国家标准信息安全技术软件供应链安全要求（征求意见稿）中，软件供应链被定义为：“基于供应关系，通过资源和过程将软件产品或服务从供方传递给需方的网链系统”，软件供应链安全的目标被定义为：“识别和防范供应关系和供应活动中面临的安全风险，提升软件供应链安全保障能力”。综合来看，软件供应链关注软件开发、交付和维护过程中涉及的各个环节和参与方，包括外包软件开发公司以及第三方组件提供商、开源社区等,并且涉及到诸多第三方组件和开源组件。软件供应链安全主要关

7、注三个方向：日软件产品或服务中断供应等风险管理能力识别和防范供应关系建立及供应活动中软件产品和服务供应中断的安全管理风险。这包括制定灵活的供应链战略，建立备用供应商或备用方案，以应对潜在的供应链中断风险。同时，建立合适的合同和协议，明确供应商的责任和义务，确保在供应链中断或部分失效时能够保障业务的持续稳定运行。D供应活动引入的技术安全风险管理能力识别和防范由于供应关系或供应活动变化导致的软件漏洞、后门、篡改、伪造等技术安全风险这包括进行供应商的安全评估和审查，确保供应商的软件产品符合安全要求，并及时修复或更新软件中的安全漏洞，同时.采取安全开发实践和安全测试措施，确保引入的软件组件和代码没有潜

8、在的安全问题。1.中断供应风险当前国际形势面临复杂挑战，不确定性因素增加，对软件供应链的持续供应带来挑战。近年来多次出现海外供应商因软件出口管制等原因，无法继续提供或支持相关软件，导致供应链的软件中断供应（断供）。断供问题在金融行业中具有重要的影响，需要关注软件中断供应的风险。在现代软件开发过程中，会涉及到众多供应商，包括第三方软件开发公司、第三方组件提供商、开源社区等，供应商“断供”会直接影响企业的业务连续性和稳定性。在传统供应链的安全体系中，企业需要供应链的多样性，避免依赖单一供应商或特定地区的供应链，软件供应链也是如此。行业企业需要做好供应商的评估与审计，制定备份计划和应急响应机制，以应

9、对潜在的中断风险。断供问题可以从多个角度进行分析，包括商业公司断供和开源社区断供，并且从供方主动断供和供方被动断供两个角度进行分析。商业公司的被动断供，即商业公司由于外部因素导致的终止提供软件,比较常见的原因是出口管制。当政策发生变化时，商业公司所在国家或地区的法律法规限制软件出口，金融机构可能无法继续获取或使用受限制的软件，导致金融机构在业务连续性上面临挑战。商业公司的主动断供，即商业公司主动终止提供软件，可能发生在以下几种情况下：公司倒闭：商业公司可能由于财务困难、经营不善或市场竞争等原因导致倒闭，当供应商无法继续运营时，金融机构可能面临断供的风险。数据价值高：金融机构处理大量敏感数据，包

10、括客户的个人金融信息。软件供应链中的任何漏洞或安全风险都可能导致数据泄露或未经授权的访问。金融行业需要确保供应链中的每个环节都具有较高的安全性。行业监管严格：金融行业受到严格的监管和审查。监管部门对金融机构的安全提出了严格要求，包括应用安全要求、数据安全要求个人金融信息保护要求等。金融机构需要积极配合监管机构的审核和监控，确保合规性和安全性。由此可见，金融行业软件供应链安全的目标可以定义为：识别和防范供应关系和供应活动中面临的安全风险，提升金融行业软件供应链安全保障能力，降低中断供应风险、技术和数据安全风险、知识产权风险到可接受的程度。(二)金融行业软件供应链主要风险与挑战金融行业软件供应链安

11、全当前已经成为网络安全热点问题，近年来由于国际形势错综复杂，软件中断供应事件时有发生，同时软件供应链安全事件频发，如2020年的太阳风(SolarWindS)供应链攻击事件以及2021年的1.og4j2远程代码执行漏洞事件.这些事件均暴露了软件供应链中的安全风险，并引发了行业广泛的关注和讨论。根据中国电子学会在中国国产化产业发展白皮书中的分析，未来信息技术(IT)世界有望形成多种信息技术标准和生态并存的产业格局。2023年中国计算产业市场的规模将达到7300亿元。如果按照其中50$的比例来计算，即国产化产业的市场规模，那么到2023年中国的国产化产业市场规模将突破3650亿元。随着我国科技的发

12、展，信息技术应用创新(国产化)产业的进步，国产化产品将逐步打破原有的技术垄断，有助于降低断供风险。2.技术与数据安全风险近年来，软件供应链攻击事件频发，造成严重影响。一方面，现代软件复杂度提升，敏捷开发模式使得传统控制手段不再适用；另一方面，攻击者水平不断提升，一些攻击事件甚至涉及到国家级的黑客组织。这些情况使得软件供应链的技术与数据安全面临严重的挑战。软件供应链涉及多个环节和参与方，因此存在多种技术和数据安全风险。下面对金融行业软件供应链的主要技术安全风险和主要数据安全风险进行介绍：徒件漏洞，软件供应链中的软件可能存在漏洞，这些漏洞可能被黑客利用来获取未授权的访问权限或执行恶意操作。漏洞可能

13、出现在供应商的开发过程中.也可能由于第三方组件或库的漏洞而传播到整个供应链中。虹时商业公司可能调整其战略方向或产品组合，决定停止提供特定的软件或服务。这可能导致金融机构依赖的软件或服务无法继续获取，从而导致断供的风险。开源社区的被动断供风险较低，因为许多开源软件的许可证是永久的、不可撤销的，不受出口管制的约束。但是需要注意，开源社区所在代码托管平台需要道守所在国家或地区的法律法规限制，受到出口管制的约束，被动断供风险仍然存在。开源社区的主动断供，即开源社区主动终止提供软件，可能发生在以下几种情况下：社区解散：开源社区可能由于各种原因，如资源短缺、缺乏维护者、兴趣下降等而解散。这可能导致金融机构

14、依赖的开源软件项目无法获得后续的更新、修复和支持，从而增加了安全风险和断供风险。缺乏支持：开源项目的可持续性依赖于活跃的社区和贡献者。如果一个开源项自缺乏足够的支持和维护，金融机构可能面临使用过时软件、漏洞修复缓慢或无法获取必要的技术支持的风险。单一供应商不利于风险控制，为了降低断供风险.建议金融机构优先选择国产化软件产品，尤其是在操作系统、数据库等基础软件的选择上。目前国产化操作系统、数据库等基础软件发展迅速，并已经完成对于国产化处理器等关键软硬件的适配，在金融行业得到广泛应用。以2020年的太阳风(SoIarWinds)供应链攻击事件为例，这是目前最为著名和具有影响力的案例之一。黑客通过攻

15、击SoIarWindS公司的软件更新系统并植入恶意代码，进而渗透至多个国家和地区的企业，造成了巨大危害。软件篡改和伪造场景中有一个常被忽略的情况，就是对于开发工具的篡改，通过篡改开发工具，使得开发工具生成的软件被植入恶意代码，这种攻击方式更加隐蔽，也更难以被发现。2015年的XcOdeGhOSt事件就是典型的开发工具篡改事件。Xcode是苹果公司的集成开发环境(IDE),被用于开发iOS应用程序。在XCOdeGhOSt事件中，黑客通过在第三方网站上上传了篡改过的Xcode版本，骗取了一些开发者下载并使用该版本进行应用程序的开发。这些篡改的XCOde版本被植入了恶意代码，这些代码在使用该Xcode版本进行应用程序编译时，会将恶意代码嵌入到最终的应用程序中.在国内，软件供应链攻击事件也时有发生，给各个行业和组织带来了严重的安全威胁，需要采取有效的预防和保护措施降低软件供应链攻击的风险。在保障软件的完整性时常使用数字签名技术，通过数字签名验证软件的来源，确保软件是由可信的供应商发布的，没有被篡改或伪造0负责签发数字签名的