近年來，發(fā)展數(shù)字經(jīng)濟成為我國構(gòu)建新發(fā)展格局、推動建設現(xiàn)代化經(jīng)濟體系的重要方向，供應鏈創(chuàng)新和應用已上升到國家安全戰(zhàn)略，關系到我國經(jīng)濟安全與高質(zhì)量發(fā)展。隨著供應鏈網(wǎng)絡的擴展和深化，相關攻擊事件也在逐年增加，供應鏈網(wǎng)絡安全問題成為各大企業(yè)關注的焦點。

供應鏈是一個技術與物理空間覆蓋面都非常廣泛的概念，可以概括性地理解為一系列相互關聯(lián)的企業(yè)、組織和個人，共同完成產(chǎn)品或服務的生產(chǎn)、銷售和交付等過程。面對龐大而復雜的供應鏈，保證全鏈路安全是一場“持久戰(zhàn)”，既需要投入大量人力物力，還需要反復打磨。但對于即將開展攻防演練或進入重保的企業(yè)來說，如何在較短周期、有限投入的條件下，最大程度地確保特殊時期的供應鏈安全，成為企業(yè)面臨的棘手問題。

針對上述情況，天融信通過需求分析、項目實踐等方式，面向企業(yè)總結(jié)出一套“以查促建”的供應鏈安全防護思路，從8個關鍵點應對實戰(zhàn)化場景中的燃眉之急。

關鍵點1 網(wǎng)絡拓撲圖和資產(chǎn)清單

可靠的防護一定是在摸清家底的條件下實現(xiàn)的。為了全面掌握主體企業(yè)所采購的資產(chǎn)及技術服務的狀況，在發(fā)生安全事件時能夠第一時間精確定位，進行妥善處置，完整真實的企業(yè)拓撲圖、資產(chǎn)與服務供給清單必不可少。其中應包括硬件設備、軟件、應用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備等所有與供應鏈相關的資產(chǎn)信息。同時，企業(yè)應建立包括資產(chǎn)位置、IP地址、MAC地址、品牌型號、版本信息等在內(nèi)的資產(chǎn)臺賬。

關鍵點2 緊盯供應商網(wǎng)絡安全管理

企業(yè)應對所有供應商進行安全評估，確保其符合供應鏈的安全要求，并在此基礎上分類管理。但在時間和資源有限的情況下，可要求供應商進行自查、自評估，并提供安全資質(zhì)和加固證明，由上游企業(yè)定期審查供應商安全管理情況，對不符合要求的供應商進行限制或解除合作。

同時，企業(yè)還應根據(jù)供應商提供的軟硬件、服務的種類與重要程度對其進行分級分類管理，有針對性地部署戰(zhàn)時防護策略。例如，為企業(yè)提供連續(xù)性服務的供應商存在短時間內(nèi)難以徹底根除的安全風險，但為保證主體企業(yè)正常運營無法暫停合作，則應提前開展入侵路徑評估與失陷應急演練，封堵或重點防護高危路徑，預演供應商失陷場景應急響應流程，做好全方位的戰(zhàn)前準備。

關鍵點3 關注軟件開源風險

主體企業(yè)應關注軟件開源代碼及依賴風險，同時應具備對各類軟件進行代碼審計、風險識別、成因分析的能力。如時間和條件上暫時不允許逐一排查隱患，則應根據(jù)業(yè)務及軟件供應商分級，優(yōu)先消除與重要業(yè)務相關軟件的開源風險，并提前完善應急預案，便于攻擊事件發(fā)生時實現(xiàn)快速、精準定位與處置。

關鍵點4 制定并加強網(wǎng)絡安全策略

主體企業(yè)與供應商之間應具備安全有效的網(wǎng)絡隔離，以確保供應商失陷后攻擊者無法快速直達主體企業(yè)內(nèi)網(wǎng)進一步引發(fā)嚴重后果，從而爭取更充分的反應與處置時間。例如，與企業(yè)核心系統(tǒng)存在專線直連的供應商，不僅要全面評估其安全風險，督促整改，還應重點加強網(wǎng)絡邊界防護手段，包括網(wǎng)絡訪問控制、安全認證、數(shù)據(jù)加密、應用程序過濾等。同時應做好漏洞管理、網(wǎng)絡安全管理和日志審計工作，實現(xiàn)對異常行為的早發(fā)現(xiàn)、早上報、早處置。

關鍵點5 加強網(wǎng)絡安全培訓和教育

在安全防護體系中，人往往是最容易被突破的環(huán)節(jié)。企業(yè)主體單位應定期對全員進行安全培訓和教育，包括保密意識、口令管理、安全認證、應用程序安全、應急響應、社會工程學攻擊等方面的知識。并在戰(zhàn)前總結(jié)高危風險場景，開展專題式安全培訓與演練。確保所有員工了解網(wǎng)絡安全策略和安全事件上報流程，重要崗位員工熟練掌握安全事件的應急處置流程。同時，主體企業(yè)也應督促重要供應商在臨戰(zhàn)階段開展相關培訓。

關鍵點6 做好訪問權限控制

為進一步縮小供應鏈攻擊面，應對全鏈路用戶、設備和應用程序?qū)嵤嗜肟刂疲⒃谔囟〞r間段內(nèi)限制非必要的訪問。確保所有用戶都有獨立的賬號，且在登錄系統(tǒng)時開啟二次強身份認證機制，如人臉識別、動態(tài)口令等，拒絕來自未經(jīng)授權用戶和設備的訪問。

關鍵點7 扎實的數(shù)據(jù)備份和恢復機制

在實戰(zhàn)化場景中，企業(yè)必須杜絕一切僥幸心理，切實做好數(shù)據(jù)備份與恢復等準備工作。結(jié)合業(yè)務特點制定數(shù)據(jù)備份和恢復策略，確保數(shù)據(jù)的完整性和可用性。對重要數(shù)據(jù)進行加密、備份和存儲，并定期測試數(shù)據(jù)恢復的可行性。確保備份數(shù)據(jù)存儲在安全的位置，并防止數(shù)據(jù)泄露和丟失，以便安全事件發(fā)生后能夠第一時間恢復業(yè)務，最大程度降低攻擊造成的不良影響和經(jīng)濟損失。

關鍵點8 周期性安全審計和風險評估

即使主體企業(yè)暫時無法深入推進全盤供應鏈安全建設，也應定期對各類供應商進行安全審計和風險評估，有效發(fā)現(xiàn)并解決潛在的安全風險和漏洞。在安全審計和風險評估期間，企業(yè)能夠以較為宏觀的角度逐步知曉當前防護體系下，供應鏈可能存在哪些攻擊路徑，哪些網(wǎng)絡邊界需要進一步防護和加固，及時制定預案，提前防控攻擊影響，確保供應鏈網(wǎng)絡的安全性和可靠性。

目前，天融信已建立北京、鄭州、上海、西安、成都、華南、華南運營商、安全集成八大業(yè)務中心，擁有1000+名專業(yè)安全服務人員。與此同時，基于覆蓋全國的90余個分支機構(gòu)，致力于在安全攻防、安全工程領域的研究、實踐和應用，為客戶業(yè)務安全保駕護航。

“產(chǎn)業(yè)鏈供應鏈安全”在黨的二十大報告中首次提出，且多次被提及，不僅強調(diào)了要著力提升產(chǎn)業(yè)鏈供應鏈韌性和安全水平，還強調(diào)了要確保重要產(chǎn)業(yè)鏈供應鏈安全。天融信從“檢查、監(jiān)管”角度出發(fā)，為客戶提供信息系統(tǒng)全生命周期中多元化、多層級的安全服務，有效提升企業(yè)在供應鏈安全方面整體防御能力，助力供應鏈廠家在網(wǎng)絡安全、數(shù)據(jù)安全領域內(nèi)建設的快速發(fā)展。