铁路关基保护新规发布!铁路软件供应链安全洞察与治理思路

这篇具有很好参考价值的文章主要介绍了铁路关基保护新规发布!铁路软件供应链安全洞察与治理思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

更多网络安全干货内容:点此获取

———————

近日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法》,《办法》第十四条提到:

“运营者应当加强铁路关键信息基础设施供应链安全保护优先采购安全可信的网络产品和服务。运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的,应当按照国家有关规定申报网络安全审查。”

强调了铁路关键信息基础设施供应链安全保护的重要性,也为相关单位提出了明确的安全要求。

基于上述《办法》条例,本文将对铁路软件供应链安全现状进行逐一分析,并提出相关治理思路,希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路~

 

01/ 铁路软件供应链安全现状

1)软件供应链构成复杂,不确定风险因素多

随着铁路信息系统的深入建设,无论是基础设施、终端外设,还是开发运维服务,背后已逐渐形成强大的软件供应链体系。铁路信息系统架构复杂性日益增加,软件开源化趋势增强,导致软件供应链变得更加复杂,不确定性风险因素增多,软件开发、交付、使用等各个环节均存在被攻击者攻击的可能。

2)软件安全管理能力未能匹配信息化进程

铁路信息化建设起步较早,早期系统建设多为“同步建设、同步使用”软件安全防护能力未能匹配上信息化发展进程。软件供应链安全管理能力的提升速度,也跟不上软件供应链复杂化与网络攻击演变的速度。

3)软件来源复杂,供应商管理难度大

铁路信息系统建设规模大,系统开发中大量使用外部代码,例如开源代码、委托开发的代码等,使得参与系统建设的第三方服务提供商、供应商等供需关系网日趋复杂,层层转包现象频出

由于软件的开源开放、多层供应关系、软件资产的不透明等因素,软件供应链可能发生产品安全质量下降、供应中断等安全风险,使运营者对供应链的安全管控难度加大。

 

02/ 铁路软件供应链安全治理思路

1)探索完善的软件供应链安全管理体系

通过差距分析、软件供应链安全(SSCS)治理,建立软件供应链安全管理体系,从制度、流程、能力、平台等方面形成合力,对软件供应链组织管理、供应商管理和供应活动管理提出安全要求,提升铁路关基单位对软件供应链安全的管控能力。

开源网安提供专业的 软件供应链安全咨询,协助企业进行软件供应链安全治理思路探索与方案建设。帮助企业在供应链安全现状调研、风险评估和差距分析的基础上,制定软件供应链安全风险识别与处置策略、软件资产管理策略,融入现有网络与信息安全管控体系当中。强化软件安全管理顶层设计,提升整体统筹能力。

软件供应链安全解决方案:点此​

2)全方位识别软件供应链安全与合规隐患

正如俗话所言“病从口入”,软件供应链安全“病”也需从“关口”抓起,通过建立安全卡口,把控软件供应链各环节软件安全性与合规性。

因此,相关单位可与开源网安联合建立 软件供应链安全检测中心,在开发/采购、交付/上线、运维/使用等各环节,建立安全与合规审查卡口,通过软件供应链安全与合规风险识别技术,包括但不限于软件上线前安全检测、开源软件资产识别、漏洞级别及其可利用性检测、知识产权审查、合规审查、持续运营风险评估等,全方位识别软件供应链中潜在的技术风险、供应风险、合规风险等。

3)常态化软件供应链风险安全管理

建立软件供应链安全态势感知平台,实现软件资产持续监测,发现问题时能快速定位,充分响应。持续增强软件供应链安全威胁发现、研判和预警能力,提升软件供应链安全事件监控和处理能力

软件供应链安全检测与管理平台(简称SSCSP)是深圳开源网安自主研发的一款综合性安全产品。为企业提供软件供应活动(采购-交付-运维)全面的安全检测与软件资产管理服务,构建软件资产库与常态化安全风险预警机制,提升软件供应链安全风险的识别和应急能力。

03/ 结语

随着互联网产业经济的日趋成熟,关键信息基础设施已成为经济社会运行的神经中枢,是支持国家发展的重要资产。铁路关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。

近年来,国际上针对关键信息基础设施的网络攻击事件更是屡见不鲜。因此,提升铁路软件供应链安全管理能力,打造“安全韧性”的软件供应链体系,对于保障铁路企业信息系统长期安全稳定运行,推动铁路信息化高质量发展而言,非常重要。

 

*参考文章:

  • 铁路信息系统供应链安全风险管理刍议_朱丽璇

  • 铁路网络安全面临的严峻形势和主要对策研究_刘大为文章来源地址https://www.toymoban.com/news/detail-824623.html

到了这里,关于铁路关基保护新规发布!铁路软件供应链安全洞察与治理思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 引入供应链安全来保护第三方代码元素

    应用程序安全测试解决方案 DerScanner 添加了一项新功能,允许用户验证应用程序代码中的第三方元素。 开源软件供应链攻击事件一年内增加两倍,网络威胁呈升级趋势。第三方组件的统计数据令人震惊,约占平均应用程序代码量的 80%,使这些组件成为一个重大的网络安全问

    2024年01月19日
    浏览(40)
  • 虹科分享 | 软件供应链攻击如何工作?如何评估软件供应链安全?

    说到应用程序和软件,是“更多”。在数字经济需求的推动下,从简化业务运营到创造创新的新收入机会,企业越来越依赖应用程序。云本地应用程序开发更是火上浇油。然而,情况是双向的:这些应用程序通常更复杂,使用的开放源代码比以往任何时候都包含更多的

    2024年02月07日
    浏览(52)
  • 什么是软件供应链?

    需方和供方基于供应关系,开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。 注: 供方1:创造软件产品的组织或个人(开发商、集成商/上游) 供方2:提供软件产品或服务的组织或个人(主要是代理商、服务商等/中游) 需方:从其他组

    2024年02月08日
    浏览(46)
  • 全球软件供应链安全指南和法规

    供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。 这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险,世界各地的法

    2024年02月02日
    浏览(35)
  • 封装阶段的软件供应链安全威胁

    随着软件开发沿着软件供应链生命周期进行,软件包阶段成为一个关键节点,将源代码转换为准备分发的可执行工件。然而,这个关键阶段也无法避免漏洞,使其成为恶意行为者寻求破坏软件完整性和安全性的主要目标。这篇博文深入研究了此阶段可能出现的普遍威胁,并概

    2024年03月15日
    浏览(51)
  • 软件供应链安全:寻找最薄弱的环节

    在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。 挑战在于,当今的大多数软件都不是从头开始开

    2024年04月17日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(48)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(49)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包