近年来,发展数字经济成为我国构建新发展格局、推动建设现代化经济体系的重要方向,供应链创新和应用已上升到国家安全战略,关系到我国经济安全与高质量发展。随着供应链网络的扩展和深化,相关攻击事件也在逐年增加,供应链网络安全问题成为各大企业关注的焦点。
供应链是一个技术与物理空间覆盖面都非常广泛的概念,可以概括性地理解为一系列相互关联的企业、组织和个人,共同完成产品或服务的生产、销售和交付等过程。面对庞大而复杂的供应链,保证全链路安全是一场“持久战”,既需要投入大量人力物力,还需要反复打磨。但对于即将开展攻防演练或进入重保的企业来说,如何在较短周期、有限投入的条件下,最大程度地确保特殊时期的供应链安全,成为企业面临的棘手问题。
针对上述情况,天融信通过需求分析、项目实践等方式,面向企业总结出一套“以查促建”的供应链安全防护思路,从8个关键点应对实战化场景中的燃眉之急。
关键点1 网络拓扑图和资产清单
可靠的防护一定是在摸清家底的条件下实现的。为了全面掌握主体企业所采购的资产及技术服务的状况,在发生安全事件时能够第一时间精确定位,进行妥善处置,完整真实的企业拓扑图、资产与服务供给清单必不可少。其中应包括硬件设备、软件、应用程序、操作系统、数据库、网络设备等所有与供应链相关的资产信息。同时,企业应建立包括资产位置、ip地址、mac地址、品牌型号、版本信息等在内的资产台账。
关键点2 紧盯供应商网络安全管理
企业应对所有供应商进行安全评估,确保其符合供应链的安全要求,并在此基础上分类管理。但在时间和资源有限的情况下,可要求供应商进行自查、自评估,并提供安全资质和加固证明,由上游企业定期审查供应商安全管理情况,对不符合要求的供应商进行限制或解除合作。
同时,企业还应根据供应商提供的软硬件、服务的种类与重要程度对其进行分级分类管理,有针对性地部署战时防护策略。例如,为企业提供连续性服务的供应商存在短时间内难以彻底根除的安全风险,但为保证主体企业正常运营无法暂停合作,则应提前开展入侵路径评估与失陷应急演练,封堵或重点防护高危路径,预演供应商失陷场景应急响应流程,做好全方位的战前准备。
关键点3 关注软件开源风险
主体企业应关注软件开源代码及依赖风险,同时应具备对各类软件进行代码审计、风险识别、成因分析的能力。如时间和条件上暂时不允许逐一排查隐患,则应根据业务及软件供应商分级,优先消除与重要业务相关软件的开源风险,并提前完善应急预案,便于攻击事件发生时实现快速、精准定位与处置。
关键点4 制定并加强网络安全策略
主体企业与供应商之间应具备安全有效的网络隔离,以确保供应商失陷后攻击者无法快速直达主体企业内网进一步引发严重后果,从而争取更充分的反应与处置时间。例如,与企业核心系统存在专线直连的供应商,不仅要全面评估其安全风险,督促整改,还应重点加强网络边界防护手段,包括网络访问控制、安全认证、数据加密、应用程序过滤等。同时应做好漏洞管理、网络安全管理和日志审计工作,实现对异常行为的早发现、早上报、早处置。
关键点5 加强网络安全培训和教育
在安全防护体系中,人往往是最容易被突破的环节。企业主体单位应定期对全员进行安全培训和教育,包括保密意识、口令管理、安全认证、应用程序安全、应急响应、社会工程学攻击等方面的知识。并在战前总结高危风险场景,开展专题式安全培训与演练。确保所有员工了解网络安全策略和安全事件上报流程,重要岗位员工熟练掌握安全事件的应急处置流程。同时,主体企业也应督促重要供应商在临战阶段开展相关培训。
关键点6 做好访问权限控制
为进一步缩小供应链攻击面,应对全链路用户、设备和应用程序实施准入控制,并在特定时间段内限制非必要的访问。确保所有用户都有独立的账号,且在登录系统时开启二次强身份认证机制,如人脸识别、动态口令等,拒绝来自未经授权用户和设备的访问。
关键点7 扎实的数据备份和恢复机制
在实战化场景中,企业必须杜绝一切侥幸心理,切实做好数据备份与恢复等准备工作。结合业务特点制定数据备份和恢复策略,确保数据的完整性和可用性。对重要数据进行加密、备份和存储,并定期测试数据恢复的可行性。确保备份数据存储在安全的位置,并防止数据泄露和丢失,以便安全事件发生后能够第一时间恢复业务,最大程度降低攻击造成的不良影响和经济损失。
关键点8 周期性安全审计和风险评估
即使主体企业暂时无法深入推进全盘供应链安全建设,也应定期对各类供应商进行安全审计和风险评估,有效发现并解决潜在的安全风险和漏洞。在安全审计和风险评估期间,企业能够以较为宏观的角度逐步知晓当前防护体系下,供应链可能存在哪些攻击路径,哪些网络边界需要进一步防护和加固,及时制定预案,提前防控攻击影响,确保供应链网络的安全性和可靠性。
目前,天融信已建立北京、郑州、上海、西安、成都、华南、华南运营商、安全集成八大业务中心,拥有1000 名专业安全服务人员。与此同时,基于覆盖全国的90余个分支机构,致力于在安全攻防、安全工程领域的研究、实践和应用,为客户业务安全保驾护航。
“产业链供应链安全”在党的二十大报告中首次提出,且多次被提及,不仅强调了要着力提升产业链供应链韧性和安全水平,还强调了要确保重要产业链供应链安全。天融信从“检查、监管”角度出发,为客户提供信息系统全生命周期中多元化、多层级的安全服务,有效提升企业在供应链安全方面整体防御能力,助力供应链厂家在网络安全、数据安全领域内建设的快速发展。
- 关键词标签:
- 天融信 攻防演练 重保 供应链安全防护 供应链安全建设 以查促建