软件供应链安全运营中心建设方案

新闻业界

10天前

李博2.png 1 .方案背景

随着数字经济与实体经济的不断深度融合，以大数据、人工智能、物联网、移动互联网等新技术的不断快速发展和广泛应用，新技术的快速发展也将带来一系列安全问题和潜在风险，数字城市软件供应链安全将面临前所未有的安全威胁和复杂情况，风险已遍布城市化所有场景之中，将影响数字经济发展，甚至危害社会安全和国家安全。近年来，随着数字经济深入发展，由数字化引发的安全事件频发，且安全威胁呈现多样性，数据安全、内容安全和应用安全三大类安全问题愈发凸显，经济社会面临着数字安全的严峻挑战，关键基础信息设施将成为安全的薄弱环节和网络攻击的突破口，安全形势仍然严峻。

党的十八大以来，习近平总书记高度重视网络安全,多次强调要筑牢国家网络安全屏障。在二十大报告中，习近平总书记明确提出了，要“健全网络综合治理体系，推动形成良好网络生态。”为贯彻落实习近平总书记关于网络安全和信息化工作的重要指示和全国网络安全和信息化工作会议精神，依法惩治网络暴力违法犯罪，2024年3月15日，在中央网信办部署开展2024年“清朗”系列专项行动，紧紧围绕人民群众的新期待新要求，全面覆盖网上重点领域环节，着力研究破解网络生态新问题新风险，重点开展10项整治任务，为广大网民营造文明健康的网络环境。2024年全国两会的政府工作报告中，李强总理明确提出了，要提高网络、数据等安全保障能力，大力推进现代化产业体系建设，加快发展新质生产力。

在此背景下，网信办，为深入贯彻落实“以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导”，积极适应当前信息化发展的迫切需求，亟需构建“城市软件供应链安全运营中心”，通过人工智能+驱动新质生产力，建立软件供应链安全风险通报预警体系，实现对数据安全、内容安全和应用安全风险及时发现、监测预警和处置，加大事前预防力度，全面保障全市关键信息基础设施安全，为城市数字化发展营造安全可靠环境，保障经济社会稳定运行，维护国家安全。

2. 问题分析

1) 数据安全问题

在数字经济时代，数据已成为国家基础性战略资源，涉及国家安全、经济发展、社会稳定等多个方面。近年来，随着城市数字化快速发展，数据呈现大规模增长的趋势，数据安全面临的威胁和挑战也日益严峻，数据窃取、数据泄露、数据滥用、重要数据违规出境等数据安全事件频发。2022年1月，国外安全研究团队在安全监控中发现了多个帖子正在境外出售730万中国公民的数据，其中包含大量公民数据。2023年7月，某公安局发布警情通报称，应急管理局地震监测中心遭境外网络攻击，地震速报数据前端台站采集点网络设备被植入后门程序，地震烈度数据极有可能被窃取。

当前数据安全治理普遍存在以下问题：

一、是数据安全防护能力偏弱。数据安全能力孤岛明显，能力割裂、分散，协同性差，面临无法进行集中化管理的落地难题，各种勒索病毒、安全漏洞、后门程序时有出现，数据安全防护能力偏弱。

二、是源代码数据资产安全风险高。政府与国央企的信息系统以外包开发为主，应用系统开发周期长，源代码控制在开发商手里，受制于人，软件供应链安全风险高。

三、是数据安全监测能力不足。数据汇聚量大，数据流向复杂，风险暴露面广，数据泄露风险高，安全事件发现难，安全监测能力不足。

2) 内容安全问题

随着科技的飞速发展和全球化的深入推进，互联网内容持续影响着舆论场。但伴随新技术新应用新业态的不断拓展，意见主体的多元化、媒体平台的多样化、舆论交锋的激烈化特征凸显，违法或低俗、虚假、不良言论内容等乱象问题突出。

当前网络空间治理普遍存在以下问题：

一、是内容审核细则亟待完善。现有相关法规缺少约束和执行过程中的相关细节，导致法律法规在网络空间中的约束力和执行力不够。

二、是应对措施不足。随着AI大模型深度应用，虚假信息、伪造音视频制作门槛大幅降低，虚假新闻、虚假人脸、舆论造谣等现象层出不全，传统内容审核和监测技术手段难以应对当前多特点、多场景和高隐蔽的网络乱象问题。

三、是网络舆情处置机制滞后。网络舆情相关的预警、应急机制不健全，难以应对突发舆情事件，导致处置滞后可能引发更大的危机。

3) 应用安全问题

随着软件产业的不断发展，软件外包日益盛行，开源软件大量被使用，软件供应链安全事件不断频发，影响面也越来越大，软件安全性问题也正在成为当今社会面临的基础性重大问题。近年来，应用系统被入侵或敏感信息泄漏类的安全事件时有发生，大部分安全事件的根本原因是应用软件设计或实现中存在安全漏洞，据调查分析，开源代码中84%的代码包含至少一个开源漏洞，其中高风险开源漏洞百分比占60%。2020年12月，震惊全球的美国太阳风事件，就是网络攻击者从美国软件供应链厂商下手，从而实现对美国众多高涉密政府机构的网络渗透。2021年12月Apache Log4j 漏洞事件，Apache Log4j官方披露Apache Log4j2 日志记录组件高危漏洞，引起整个软件开发行业轰动应急。

当前应用安全治理普遍存在以下问题：

一、是缺乏有效的检测技术手段。普遍在应用上线前利用开源扫描工具进行检测，难以发现潜在的安全风险，在软件设计开发过程中一旦被植入恶意代码及后门程序，将为软件产品埋下安全隐患，容易造成服务中断、勒索软件攻击、信息泄露等问题。

二、是应用发布安全管控缺失。经常出现开发人员直接发布到生产环境的应用系统存在未修复漏洞或未根据实际业务需要完成安全功能的情况，呈现系统带病上线的趋势。

三、是应用安全风险监测预警能力不足。由于应用安全管理、技术检测和安全运营三个层面管控不足，缺乏对应用安全的预警、响应和处置能力，导致安全漏洞难以做到及时可查、可测、可溯源和可处置。

3.解决方案

面向城市关基和政务信息系统，软件供应链安全运营中心针对数据安全和内容安全问题，结合软件供应链的特点，借鉴行业最佳实践，从安全标准、组织保障、流程建设、能力固化四大方面，依托数据安全、内容安全、软件安全检测能力，通过源头治理、过程治理和线上运营治理三阶段的安全管控，构建软件供应链全生命周期的安全治理体系，共同打造全市融通共生的“平台+服务”一体化安全运营服务供给模式。实现对数据安全和内容安全问题的风险监控、精准预警和危机处置的能力。形成统一运营服务模式，助力城市数字政府和智慧城市建设。

1、制定内容安全指标体系

基于《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律、行政法规制定，制定符合新网络生态下的内容安全标准指标体系，覆盖不良内容、舆情、热点等方面，为内容安全生产、平台审核提供清晰评估标准，推进内容安全法律法规的有效落地，有助于营造良好的网络生态环境，推动城市网信事业高质量发展。

2、搭建软件供应链安全运营平台

构建覆盖数据安全、内容安全、源代码审计、组件检测等全链路安全检测工具链，实现全链路、跨服务、跨语言的安全检测，打造系统多维安全检测能力。搭建软件供应链安全运营平台，将城市关基和政务信息系统进行统一纳管，建立统一发布安全管控流程，联动全链路安全检测工具进行分析，掌握城市数据安全、内容完全和网络安全态势，形成“应用资产一张表、安全监管一盘棋”。

构建全链路检测工具，强化检测技术手段：构建覆盖软件开发到上线全过程，检测内容涵盖软件源代码、软件制品、第三方组件、运行数据、恶意病毒等内容检测，有效识别潜在的数据安全、应用安全问题，通过安全整改提高安全防护能力，降低软件服务中断、勒索软件攻击、信息泄露风险，保障源代码数据资产安全。

建立统一上线发布流程，杜绝“带病上架”：将城市关基和政务信息系统从交付到上线过程进行纳管，为应用上线提供全方位安全验证测试，有效杜绝系统“带病上线”。通过源头治理、过程治理和线上运营治理三阶段的安全管控，形成“应用资产一张表、安全监管一盘棋”。

逐步搭建城市级组件库，保障城市软件自主可控：从全球筛选高可靠开源软件源，自动跟踪、存储海量开源软件，并通过软件成分分析、漏洞情报比对、投毒风险识别、开源软件维护性评估、开源许可证分析、开源软件签名验证等多种技术进行持续评估与保障，为城市软件开发提供可信来源，保障软件安全、自主、可控。

构建全链路监测预警和服务体系

共同打造全市融通共生的“平台+服务”一体化安全运营服务供给模式，对外提供。实现对数据安全和内容安全问题的风险监控、精准预警和危机处置的能力。构建“省级单位-地市级-单位级”的三级态势，形成软件供应链安全态势感知“一张图”。

建立监测预警处置流程：联动前端软件供应链应用安全探针、流动数据安全探针等模块，应用AI智能分析文本、图片、音频和视频信息，从海量信息中分析数据安全风险、网络乱象问题和应用安全风险，通过建立监测预警处置流程，实现对数据安全、内容安全和应用安全风险的实时监测、精准预警和快速危机处置。

构建服务能力体系：对外提供数据出境安全评估、大模型安全评估和系统上线验收测评、安全培训与认证等服务。落地国家数据安全、内容安全等标准，保障关基和政务信息系统运行效率和服务品质，强化数据安全保障能力，为新质生产力筑牢基石。

4.实施步骤

架构搭建

·组织架构

在委网信办的指导下，成立软件供应链安全运营中心，由第三方科研机构负责牵头和全面统筹推进中心建设，联合技术支撑单位进行市场化运营。

·技术架构

参照ISO17025和ISO17020实验室/检验机构质量与技术能力标准，围绕软件和数据双生命周期融合的软件供应链安全技术体系开展平台建设，平台包括技术层、监测层和运营层。技术层提供全链路安全检测工具链，通过监测层对数据安全、内容安全和软件安全进行集中持续检测和分析，运营层提供安全事件闭环处置能力，精准预警和处置数据安全和内容安全事件，对外提供数据出境评估、系统上线验收、安全培训与认证等服务。

5.实施效果

经济效益

通过构建城市软件供应链安全运营中心，保障城市软件供应链安全、促进数字经济高质量发展、护航数字城市持续发展。筑牢坚实根基，有助于提升各个领域（包括金融、电信、能源、电力等）在城市的软件供应链安全能力建设，降低软件供应链安全风险，提升城市软件安全管理水平，提升对城市信息化建设项目的安全风险把控能力和应对突发软件供应链安全事件的快速响应能力，大幅减少软件供应链安全事件造成的经济损失。运营中心第一年完成建设和团队建设，第二年业务推广，实现盈利，第三年业务放大，持续稳定健康运营。

社会效益

通过软件供应链安全运营中心能力建设、全过程域安全赋能，实现对数据和软件供应链进行全流程的安全监控和管理，提升软件供应链安全治理新能效。内容安全指标体系为内容安全审核工作提供精准有效依据，有助于控制社会舆论导向，避免舆论走向极端，共建网络舆情安全，维护网络空间清朗。通过对外服务落地国家数据安全、内容安全等标准，保障关基和政务信息系统运行效率和服务品质，强化数据安全保障能力，为新质生产力筑牢基石。