一、電信供應(yīng)鏈軟件安全測(cè)評(píng)的定義
電信供應(yīng)鏈軟件安全測(cè)評(píng)是指針對(duì)電信行業(yè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈中軟件環(huán)節(jié)的安全風(fēng)險(xiǎn),通過(guò)系統(tǒng)化、標(biāo)準(zhǔn)化的方法對(duì)軟件全生命周期的安全性進(jìn)行檢測(cè)、評(píng)估和驗(yàn)證的活動(dòng)。其核心目標(biāo)是識(shí)別軟件供應(yīng)鏈中的潛在安全威脅,確保軟件產(chǎn)品從開(kāi)發(fā)、交付到運(yùn)維各環(huán)節(jié)的可信性、可控性和安全性。
在數(shù)字化轉(zhuǎn)型加速的背景下,電信行業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分,其軟件供應(yīng)鏈涉及操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)應(yīng)用及開(kāi)源組件等多元要素。任何一個(gè)環(huán)節(jié)的安全漏洞都可能引發(fā)連鎖反應(yīng),導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷甚至網(wǎng)絡(luò)攻擊。因此,軟件安全測(cè)評(píng)不僅是技術(shù)驗(yàn)證手段,更是保障國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略性舉措。
二、政策要求與法規(guī)框架
我國(guó)對(duì)電信供應(yīng)鏈軟件安全的管理已形成較為完善的政策法規(guī)體系,主要包含以下層面:
1. 國(guó)家法律層面
《網(wǎng)絡(luò)安全法》明確規(guī)定網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者不得設(shè)置惡意程序,并要求開(kāi)展安全檢測(cè);《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》進(jìn)一步強(qiáng)化了數(shù)據(jù)處理活動(dòng)的安全責(zé)任。2021年實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》將電信行業(yè)納入關(guān)鍵信息基礎(chǔ)設(shè)施范疇,明確要求運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)申報(bào)網(wǎng)絡(luò)安全審查。
2. 部門(mén)規(guī)章與規(guī)范性文件
2020年,國(guó)家網(wǎng)信辦等12部門(mén)聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》要求電信行業(yè)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)申報(bào)網(wǎng)絡(luò)安全審查,確保供應(yīng)鏈安全。工信部同步建立供應(yīng)鏈安全常態(tài)化監(jiān)管機(jī)制,重點(diǎn)關(guān)注軟件下載平臺(tái)、云平臺(tái)、基礎(chǔ)通用軟件等環(huán)節(jié),開(kāi)展開(kāi)源代碼安全檢測(cè)。
3. 最新政策動(dòng)態(tài)
2024年11月1日,GB/T 43698-2024《網(wǎng)絡(luò)安全技術(shù) 軟件供應(yīng)鏈安全要求》和GB/T 43848-2024《網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》兩項(xiàng)國(guó)家標(biāo)準(zhǔn)正式實(shí)施,為電信行業(yè)軟件供應(yīng)鏈安全測(cè)評(píng)提供了權(quán)威依據(jù)。2025年,中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心(CCRC)正式啟動(dòng)軟件供應(yīng)鏈安全能力評(píng)估活動(dòng),推動(dòng)測(cè)評(píng)工作制度化、規(guī)范化。
三、測(cè)評(píng)標(biāo)準(zhǔn)體系
電信供應(yīng)鏈軟件安全測(cè)評(píng)遵循多層次、多維度的標(biāo)準(zhǔn)體系:
1. 核心國(guó)家標(biāo)準(zhǔn)
GB/T 43698-2024《網(wǎng)絡(luò)安全技術(shù) 軟件供應(yīng)鏈安全要求》:確立軟件供應(yīng)鏈安全目標(biāo),規(guī)定供需雙方的組織管理和供應(yīng)活動(dòng)管理安全要求,適用于指導(dǎo)風(fēng)險(xiǎn)管理、組織管理和供應(yīng)活動(dòng)管理,為安全檢測(cè)和評(píng)估提供依據(jù)。
GB/T 43848-2024《網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》:規(guī)定開(kāi)源代碼成分安全評(píng)價(jià)要素和流程,適用于靜態(tài)安全評(píng)價(jià),解決開(kāi)源成分可見(jiàn)性不足、漏洞響應(yīng)滯后等核心挑戰(zhàn)。
GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》:從全生命周期角度開(kāi)展風(fēng)險(xiǎn)分析,實(shí)現(xiàn)供應(yīng)鏈的完整性、保密性、可用性和可控性目標(biāo)。
2. 行業(yè)標(biāo)準(zhǔn)與團(tuán)體標(biāo)準(zhǔn)
中國(guó)信通院發(fā)布的《軟件供應(yīng)鏈安全管理能力成熟度模型》《可信研發(fā)運(yùn)營(yíng)安全能力成熟度模型》等標(biāo)準(zhǔn),從管理機(jī)制、供應(yīng)鏈上游、生產(chǎn)鏈和下游四大維度明確安全指標(biāo)。
電信終端產(chǎn)業(yè)協(xié)會(huì)制定的《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》針對(duì)管理制度、組織機(jī)構(gòu)、人員及供應(yīng)鏈環(huán)節(jié)提出分級(jí)安全要求。
廣東騰創(chuàng)具有CNAS、CMA/CCRC、信息安全風(fēng)險(xiǎn)評(píng)估等資質(zhì)證書(shū),可提供電信供應(yīng)鏈軟件安全測(cè)評(píng)服務(wù)檢測(cè)。內(nèi)容包含:漏洞掃描(應(yīng)用、系統(tǒng)、設(shè)備、數(shù)據(jù)庫(kù)等)、源代碼安全評(píng)估、滲透測(cè)試、信息安全風(fēng)險(xiǎn)評(píng)估、基線核查、信息安全應(yīng)急演練、信息安全應(yīng)急響應(yīng)、系統(tǒng)上線安全評(píng)估、信息安全培訓(xùn)、互聯(lián)網(wǎng)暴露面檢測(cè)、內(nèi)網(wǎng)資產(chǎn)梳理機(jī)風(fēng)險(xiǎn)排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統(tǒng)代碼檢測(cè),安全檢測(cè)(滲透測(cè)試、漏洞測(cè)試)。
手機(jī):13802798690(鄺經(jīng)理)
電話:020-32200125
傳真:020-32200125
郵編:510663
地址:廣州市黃埔區(qū)彩頻路9號(hào)501-5、501-6、501-7房
賽辰檢測(cè)微信公眾號(hào)
在線客服1
400-004-1069