W能源公司是国家能源集团的全资子公司,主要业务包括焦煤生产、洗选加工,同时兼营瓦斯和光伏发电。公司是所在省级区域最大的焦煤生产基地,拥有丰富的煤炭资源,煤炭总资源储量达到数十亿吨,是集团亿吨级煤炭基地的重要组成部分。
图源:网络
W能源公司十分注重科技创新,积极加快智能化矿山建设,推动煤矿采掘设备5G融合技术创新应用,并通过科技创新提升安全管理水平。伴随公司数字化转型的加速推进,基于不同业务场景下的各种新型和智能化应用系统的开发需求激增,目前的应用软件除成型类产品外,大部分采用定制化开发和自研结合外包的联合开发模式来实现。出于开发成本和交付时限的考虑,很多定制开发和联合自研的软件大幅采用开源代码和第三方组件来提高开发速度,从而带来缺乏准入检查导致的组件漏洞风险、基于开源组件的多次封装导致漏洞定位缓慢等安全问题。
全面推进软件供应链安全能力建设
根据国内知名安全厂商发布的《2024中国软件供应链安全分析报告》指出,国内企业软件项目开源软件使用率达到100%,且开源软件漏洞指标仍处于高位,软件供应链的安全问题并没有得到根本性的改善。针对软件供应链各环节的攻击在近几年呈现明显上升趋势,攻击呈现隐蔽化、多样化、全生命周期化,导致业务中断、数据泄露、财产损失等后果,严重影响企业的正常运转。
W能源公司非常重视数字化转型过程中的软件安全问题,经过深入的市场调研、审慎的考察对比,以及对行业落地经验丰富性和产品服务能力的综合评估,最终决定与默安科技公司合作打造软件供应链安全检测平台,从技术、运营、管理多角度着手,全面推进软件供应链安全能力建设。
技术层面:先进、可落地的成熟化工具
软件供应链安全检测平台使用基于请求和插桩两种交互式技术的融合架构,采用被国际权威咨询机构Gartner评为十大信息安全技术之一的软件应用开发安全检测技术,将软件安全检测从上线后的应用环节调整到上线前的交付环节,通过平台自动化安全测试,弥补当前安全人员短缺和人员技术能力的局限。在功能测试阶段,同步完成全面的安全测试,做到检出率更高,误报率更低;既可高准确性地检测应用自身安全风险,也可检测第三方组件及其漏洞,进行实时告警与响应,并实现对安全漏洞的准确定位,在应用上线前降低风险,从源头上治理安全问题。
02
运营层面:贴合业务实际、漏洞流程闭环
安全作为业务系统的基石,与业务相辅相成。默安科技安全专家在进行平台的治理流程设计时充分贴合业务的实际情况,通过合理设置安全质量门禁,重视对风险治理效果的分析和优化,形成闭环且可持续的体系运营机制。漏洞是安全工作的核心。在漏洞运营层面,软件供应链安全检测平台提供漏洞管理流程的全闭环能力,漏洞检出后可自动重新检测及自动标记修复状态,在平台上将漏洞一键导入到相关平台,让跟踪过程与工作流对接,形成漏洞流程全闭环,有效提高漏洞的修复效率。
管理层面:安全统一归口、实现降本增效
软件供应链安全检测平台对业务系统软件供应链建设情况进行审计评估,从潜在风险识别、制度规范的有效性、工具服务的完善性、治理效果的可预见性等方面为安全管理人员提供不同的视角,实现软件安全风险的统一归口管理,全面提高公司信息安全水平。在降本增效层面,平台的建设既有利于节约软件上线前第三方安全检测的投入成本,也有助于积极响应国家相关法规以及集团安全管理政策,加强对重要业务软件上线前后的软件开发安全检测,大幅提升软件系统的安全水平。
实现四大目标 逐步破解软件供应链安全难题
作为集团信息化建设的重要组成部分,软件供应链安全检测平台建成后将实现以下四大目标,大幅增强W能源公司的软件供应链安全能力。
实现软件风险的可追溯性
平台保障软件供应链信息具有一定的透明度,一旦软件供应链出现问题,能够及时准确实现问题定位和追溯,识别相关方实体,包括供应商、软件、组件乃至代码等。
实现软件成分的可审计性
平台保障软件供应链各环节中所处理信息的完整性、准确性和可靠性,缓解由于软件漏洞、后门、合规性等问题带来的软件供应链安全风险。
实现软件组件的可替代性
由于技术、政治、法律等方面原因导致的软件供应链问题无法修复时,平台能够提供可替代方案,以保障软件功能符合预期并正常交付。
实现核心代码泄露风险的可控性
软件供应链安全检查跟传统的代码审计不同,无需查看软件源码,是在软件运行状态下检查软件存在的真实风险,从而避免因代码审计造成的核心代码泄露风险。
W能源公司和默安科技联合打造的软件供应链安全检测平台项目,依托国家能源集团总体信息化架构规划,作为集团信息化建设的重要组成部分,也是总体信息化架构的重要保障。随着平台建设的完成,W能源公司将在默安科技的持续助力下,依据相关规范制度和技术标准,完善供应链业务规范库、供应链基准风险库,建立对象监督、规则监督、业务流程监督等数字化模型,实现软件成分及组件风险的可视化跟踪和预警,为公司数字化转型提供进一步的安全保障。
如有侵权请联系:admin#unsafe.sh