大数跨境
首页
>
速看!安势基于《关基保护要求》的解读为您带来软件供应链安全的全套解决方案!(上)
>
0
0

速看!安势基于《关基保护要求》的解读为您带来软件供应链安全的全套解决方案!(上)

速看!安势基于《关基保护要求》的解读为您带来软件供应链安全的全套解决方案!(上) 安势信息
2023-06-29
1
导读:安势信息积极响应《关基保护要求》 助力关基安全建设落地。
大家好,这里是安势信息
我国自今年5.31日起正式实施的《信息安全技术关键信息基础设施安全保护要求》(简称《关基保护要求》),是对《关键信息基础设施安全保护条例》的重要补充,本文将从一站式软件供应链安全解决方案角度对《关基保护要求》进行解读。由于《关基保护要求》总体内容覆盖面广、内容多,本文的解读将分为上下两篇,本篇为上篇,次日将为您推送下篇,记得关注哦
注:如需完整版《关基保护要求》,添加文末商务微信回复【关基】即可获取!

《关基保护要求》一共有11个章节,本文将从“引言”、“安全保护基本原则”、“分析识别”、“安全防护”、“检测评估”、“监测预警”、“主动防御”、“事件处置”八个部分为大家进行解读,并从安势提供的软件供应链安全一站式解决方案维度提出对应的解决方案。


1

引言


摘录部分原文:
“为落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》关于保护关键信息基础设施运行安全的要求,在国家网络安全等级保护制度基础上,借鉴......”

解读:
保障关键信息基础设施运行安全很重要,必须重视。在吸收了国内国外各方的有效经验及举措以后,现出台《关基保护要求》帮助企业及相关组织开展关键信息基础设施的安全保护工作。

关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利   益的重要网络设施、信息系统等。

2

安全保护基本原则


摘录部分原文:
“关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则:以关键业务为核心的整体防控......以风险管理为导向的动态防护......以信息共享为基础的协同联防......”

解读:
关键信息基础设施安全保护要遵循以下三个原则:
1. 要有重点。以保护核心业务信息安全为最重要的目标,建立完整的体系,有序的开展,别东一榔头西一棒槌毫无章法的去做。

2. “知己知彼,百战不殆”。要对风险持续监测且与时俱进。网络安全防护工作非“一日之功”,及时跟进并且收集安全威胁的动态做好风险管理,才能“兵来将挡水来土掩”。

3.呼吁业内相关企业及组织共建,切勿只顾自己闷头干。网络安全涉及的系统及设施庞大且冗杂,信息共享在其中起着重要作用各企业及组织协同防护才能提升应对大规模网络攻击的能力。

3

分析识别


关键信息基础设施的运营者应按照规定开展关键信息基础设置的识别和认定工作。分析识别作为开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础,其重要性可见一斑。
分析识别包括以下几个方面的识别:
  • 1.业务识别
  • 2.资产识别
  • 3.风险识别
  • 4.重大变更

业务识别原文(见下图)
解读:
企业及组织要明确自身关键业务涉及的上下游供应链中哪些上游业务对自身业务有重大影响自身业务对哪些下游业务有重大影响涉及核心业务的关键信息基础设施分布在哪,运营情况如何

资产识别原文(见下图)
解读:
找到并列出那些一旦缺失或受到损害就会对核心业务造成负面影响的资产,然后根据这些资产的重要性进行保护优先级排序;资产不是一成不变的,要随着业务的变化对这些关键资产的情况进行实时的跟进及更新

风险识别原文(见下图)
解读:
找到企业或组织当前最“脆弱”的地方(参考GB/T 20984标准-见文末参考文献)。针对这些“脆弱”自身能否有一定的反制能力,如果出现安全事故最优先要做什么,最好能基于此行分析并用书面的形式记录下来形成安全风险报告。

重大变更原文
原文:
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。
该部分根据字面意思理解即可。

4

安全防护


安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全 管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。

安全防护板块作为本次《关基保护要求》的重点板块,内容量比较大,这里我们就不展示所有原文了,安全防护板块的总体框架如下图。
注:如需完整版《关基保护要求》,添加文末商务微信回复【关基】即可获取!

解读:
  • 网络安全等级保护:安全防护需要先落实网络安全等级保护制度,积极地开展测评、定级、备案等工作。
  • 安全管理制度:安全防护需要有详尽的安全保护计划和配套的安全管理制度。
  • 安全管理机构:安全防护需要有专门的管理机构,从高层领导中择优设立首席网络安全官对网络安全专管或分管。
  • 安全管理人员:对安全管理人员背景进行审查,安全技能进行考核;定期参与网络安全培训及相关业内活动交流;明确安全管理人员的保密职责及业务。
  • 安全通信网络:不同的业务系统、区域、运营人员之间要设立相关的安全措施保障其独立的数据信息安全,留存日常运维的相关日志数据至少六个月
  • 安全计算环境:对重要的业务操作实行管控,对异常的业务操作要时刻警惕关注;通过技术手段防范入侵和病毒进入;使用自动化工具对相关系统及数据库进行管理。
  • 安全建设管理:要提前规划好安全建设,实现网络安全技术措施与关键信息基础设施主体工程同步规划、建设、使用、验证。
  • 安全运维管理:关键信息基础设施的运维地点要位于中国境内,与运维人员签订保密协议,优先使用已登记备案的运维工具。
  • 供应链安全保护围绕供应链安全建立相关安全策略确保上下游涉及的相关产品、服务、设备符合安全要求及合规要求,手段包括但不限于进行源代码检测、安全审查、向有关部门及时备案、签订协议等。
  • 数据安全防护:多维度的开展数据安全防护工作,包括但不限于建立数据分类分级策略、数据备份等,对数据的使用强管控。

安全防护涉及人员、机构、管理机制等多个维度,是《关基保护要求》的保障性体现,也是企业及组织保障其关键信息基础设施的底线部分。

安势信息—安全建设方向

安势-分析识别解决方案】:
分析识别中风险识别作为重中之重,而源代码是信息基础设施的重要组成部分,所以对于源代码中的风险识别尤为重要,这部分可以借助源代码扫描工具SCA、SAST等对源代码中的安全漏洞及许可证风险进行检测、识别和分析,提升代码质量,保障关键信息基础设施的安全性。

安势-安全防护解决方案】:
安全防护重点突出了供应链安全,除了《关基保护要求》中提到,《网络安全审查办法》、《信息安全技术软件供应链安全要求》等法规中都有强调,软件供应链安全在各种软件供应链安全攻击事件频发的背景下,越来越受到国家及各行业的重视。安全防护的供应链安全保护部分提到:“ 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测。

对分析识别中的风险识别以及安全防护中的供应链安全项,安势以下产品能够为您提供相关能力。

清源SCA(软件成分分析解决方案)


针对开源组件安全漏洞开源许可证合规风险容器镜像安全软件出口合规等场景,基于代码片段识别、文件识别、组件识别、依赖识别、容器镜像等多种探测技术以及强大的数据库,能够快速、准确、全面的帮助企业降低和管理其应用或容器中因使用开源软件和第三方代码(软件)引入的安全、质量和许可证合规性风险帮助企业快速构建准确的SBOM,提供清晰的软件成分可视性分析,降低软件供应链风险,助力企业在软件开发全生命周期对其进行管理

清本SAST(白盒静态代码扫描解决方案)
针对行业编码规范合规、代码质量与安全门禁、快速理解和修复代码缺陷等应用场景,帮助研发、测试、安全团队检测软件中包括违反安全编码标准、运行时错误和安全漏洞三类风险的编程缺陷,实现对大规模工程的快速检测,帮助开发者更好的编写代码并辅助开发者在编码时提供实时反馈,减少整体开发时间以低成本快速理解和修复缺陷。

CleanBinary(软件成分分析安全解决方案)
针对产品上线前自检以及外部软件包的排查等场景,CleanBinary成分分析服务基于不依赖源码,无侵入快速检测、风险检测能力强,规则持续增加、报告全面直观,并提供专业的告警分析指导等特性,针对Linux安装包、Web部署包、安卓和鸿蒙应用、IoT固件包进行开源合规和安全漏洞检测,通过上传软件包的方式,启动扫描任务,输出扫描数据,并可导出扫描报告。

资产发现产品


网络空间测绘技术为数据,采集全网资产信息,通过精准与模糊数字资产相结合方式映射组织资产信息,使用包括不限于 DNS 域名、SSL 证书、ICP 备案号、网站图标、C段、网络爬虫、全端口扫描技术、指纹/服务识别技术、搜索引擎、威胁情报等技术或融合第三方平台数据,每天动态刷新企业资产信息,该产品具备监控数据源广泛、资产发现时效快、资产颗粒度细等特点。

以上产品与解决方案的结合能够有效帮助企业规避在软件供应链中开源组件与自研代码的合规与安全风险。为关键信息基础设施的上下游供应链安全保驾护航。


以上即为《关基保护要求》中【分析识别】及【安全防护】两大板块的解读,我们也为您提供了基于这两大内容板块的相关解决方案,在下半部分,我们将继续为您带来剩下板块的解读和对应的解决方案,敬请期待

安势信息积极响应《关基保护要求》,助力关基安全建设落地,如您需要详细了解软件供应链安全的全全套解决方案或想要进行其他商务合作及交流,扫描下方二维码进行咨询洽谈!



参考文献:
GB/T 20984标准:国家标准 - 全国标准信息公共服务平台 (samr.gov.cn)

关于安势信息


上海安势信息技术有限公司成立于2021年,致力于解决软件供应链中的安全和合规问题。作为中国领先的软件供应链安全治理工具提供商,安势信息以SCA(软件成分分析)产品作为切入点,围绕DevSecOps流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。


欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。

点击蓝字 关注我们


【声明】内容源于网络
0
0
安势信息
安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
内容 170
粉丝 0
安势信息 安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
总阅读294
粉丝0
内容170