近日，由成都交子公园金融商务区发展服务局指导、成都交子公园金融商务区投资开发有限公司和成都壹石新科信息技术有限公司共同主办、默安科技参与协办的建圈强链系列活动“交子云端——强化数据保护体系，赋能数字经济发展”成功举办。默安科技董事兼副总裁沈锡镛应邀出席该活动，对平战状态下如何提升数据安全管控水平进行了分享。

沈总的分享从战时与平时两种不同阶段展开，介绍了数字化单位建设开发安全体系及收敛软件供应链风险路径，强调数据信息安全保护的重要性，同时在数据信息安全保护中应注意平战结合，做最充分的准备，建最牢固的高墙，打造完备的数据安全体系。

战 时

“供应链”和“数据安全”很重要

在关键信息基础设施保护条例出台及配套标准即将发布的背景下，今年以来的攻防演练中，愈发注重检验数据安全和供应链安全的实效性。在线、离线信息科技供应商均避不开数据安全和供应链安全这一话题，其中涉及到应用载体和数据载体，而敏感信息、重要数据、业务源码极易成为攻击重点。

在此现状下，需要加快关基系统的供应链识别和数据安全风险防范工作进程，全面提升运营者供应链的安全能力、消除关基保护盲区，从实战视角厘清数据安全和网络安全现有体系的关系。

多样的软件供应链攻击形态


图 软件供应链攻击的几种形态

软件供应链攻击既可针对运营者也可针对运营者供应链，前者是软件需求方，后者是软件供应方，攻击者可基于软件攻击达到窃取重要数据或控制核心业务的目的，或通过勒索获得巨大商业利益或实施网络战。

与此同时，软件供应链攻击面多样化，涉及到构成应用的自研代码、开源代码、开源或第三方组件，以及生产应用的研发及发布工具、环境等，攻击隐秘且极难根除。而基于软件供需方的复杂关系和软件成分的复杂性，攻击载荷还可伴随环境变化得以延长攻击生命力，治理工作极其繁琐。

抓好三个关键环节
全面治理软件供应链安全

根据软件供应链的特点，软件供应链的业务流程可以抽象成引入、加工以及应用三个环节。

供应链引入环节：保证存在已知风险的软件无法引入，引入之后的软件要记录备案形成资产信息库；对于引入的三方组件、基础服务要详细记录清单，确保其中无已知风险。

软件生产环节：长期动态维护软件清单及第三方组件、服务清单信息，确保无风险，保证自研代码经过安全检查。

软件应用环节：持续进行资产安全风险监控、完善资产信息；制定完善的应急响应规范，并经过实际演练，建立快速止损处置的技术能力。

与DevOps集成的软件供应链工具模型

对于采用DevOps开发流水线的客户，应优先考虑不影响客户的开发效率，因此可以优先选择自动化程度较高、与DevOps流水线管道较容易嵌入的工具。如果客户已经建立了较完整的DevSecOps体系，可以考虑复用一部分DevSecOps的技术能力，一方面降低对DevOps流水线的干扰，另一方面减少重复建设的成本。

默安科技软件供应链安全治理方案的产品，在产品架构和部署方式上完全适应DevOps体系，产品开放接口，具有丰富的与CI/CD平台对接的经验。

图 在DevOps中实践的示意图

平 时

理解数字化转型要素，开发安全是根本

在数字化转型趋势下，软件产品是数字化转型的承载方式，数字化业务需要通过数据和用户需求驱动来构建和迭代应用。“软件能力”成为数字化转型的核心竞争力。软件与业务的深度融合，导致软件质量会直接影响业务连续性，一次业务中断可能会造成巨大损失，而开发安全则是保证软件安全的根本手段。因此在日常安全运营中，建立完善的开发安全体系尤为重要。

不同单位的开发安全侧重点有所不同

无论是数字化单位还是数字化转型期的单位，对开发安全体系的建设均注重安全效果和开发效率。而两者的不同点在于：数字化单位组织敏捷、知识技能有优势、研发基础设施无负担，因此安全着力点在于理解开发体系内涵；而数字化转型单位组织稳健、知识和技能缺乏、研发基础设施离散，因此安全侧重点在于提升体系认知度。

数字化转型单位落地开发安全的路径

0.5阶段：采用渗透测试推动建立漏洞定级和修复流程，让漏洞能找到人去修；构建供应链管理中的三方软件质量筛查体系。

1.0阶段：开展内部等保系统定级，实施系统“三同步”流程，开展系统上线安全评估，渗透测试常态化。

1.5阶段：借助流程提升安全意识，打下安全设计和安全编码的意识基础，试水开发安全工具，梳理软件供应链资产并逐步形成资产清单。

2.0阶段：建设开发安全管理平台，深入开展开发安全运营活动，再优化和固化开发安全流程；接入各类开发安全工具，打通多样化开发模式下的开发安全活动统一管理，建立软件供应链风险快速定位和应急处置能力。


分享总结

开发安全体系不是靠标准定义出来的，它来源于“不断迭代、持续延展”，具备自研和外包开发的网络安全运营者专注体系建设和软件供应链安全能力建设，而对于开发企业来说，软件供应链安全则是建设开发安全体系的业务合规门槛。因此，要想提升数据安全管控水平，就需要抓住研发运营一体化建设的机遇，构建具备软件供应链安全治理能力的开发体系。

人物介绍

沈锡镛：默安科技董事兼副总裁、全国证监会信息安全专家、英国标准协会全球专家、可信云联盟的联合发起人；曾任阿里经济体创新事业群首席风险官、阿里云全球合规标准总监，拥有全国最高安全等级互联网业务大安全建设和运营经验，是阿里经济体安全合规业务的奠基人。