网络安全标准应用实践案例 | 供应链安全主题之二

GB/T 43698-2024《网络安全技术 软件供应链安全要求》标准在广西电网并网场景下的应用实践

申报单位：广西电网有限责任公司数智运营中心、杭州默安科技有限公司

一、案例概述

广西电网公司数智运营中心（以下简称“中心”）依托GB/T 43698-2024《网络安全技术 软件供应链安全要求》制度管理、软件开发管理等要求，联合默安科技研制“自动化威胁建模+开源组件安全合规检测+开发安全检测+软件供应链安全监测”工具链，构建覆盖规划、设计、交付、运维全生命周期的安全管控体系，建立安全需求设计审查、开源组件安全合规审查、应用安全审查等安全审查机制，闭环修复中高危漏洞1000+项；动态监测机制将组件漏洞响应时效压缩至4小时内，人工投入降低60%；目前标准在中心已完成落地验证。

二、标准核心内容应用情况

1、标准在系统投产前实践内容

管理方面：细化GB/T 43698-2024第6章软件供应链安全风险管理要求，重构投产前并网审查流程，增加软件供应链安全审查项，借助系统落实审查流程，通过三道审查关卡保障组件清单采集、开源组件安全检测、软件供应链图谱构建、开发安全管控等对供应商的软件供应链安全管控要求实际落地。同时制定了《软件开发安全基线知识库》，实现软件供应链风险管控全面左移。技术方面：建设了自动化威胁建模分析工具、软件供应链安全检查工具、应用系统开发安全检测工具的检测工具链，覆盖规划、设计、交付/获取阶段，提升软件并网运行安全检测能力。

2、标准在系统投产后实践内容

管理方面：按照国家标准《网络安全技术 软件物料清单数据格式》要求，开展了供应链台账常态化管理，包括供应商台账、供应链产品服务台账、系统软件台账、组件台账以及供应链人员台账，范围涉及所有应用系统。技术方面：对软件供应链的各个环节进行不间断监测，及时捕捉异常信号。定期评估供应链各要素的安全性。通过持续地监测、检测、排查与处置，保障信息系统的安全稳定运行。

三、标准实践模式

1、聚焦标准落地实践，引领产业创新催生新业态。

依托新一代信息安全与隐私保护标准化技术工业和信息化部重点实验室，梳理信息系统开源组件和开源许可证风险，将软件供应链安全标准固化至信息系统中，建立电力行业专用知识库。

2、构建供应商协同治理机制，筑牢供应链安全防线

组织并参与供应商开展系统或模块的软件供应链安全检测，发现软件中高危组件安全风险，协助供应商整改软件安全问题。

3、创新自动化检测技术体系，实现全流程安全赋能

打造一站式开源组件及代码风险合规检测工具、自动化威胁建模分析工具，构建覆盖需求分析、设计开发、测试验证、部署运维全流程的一体化安全防护体系，实现安全能力自动化赋能，将人工投入降低60%以上。

四、案例实施效果

1、电力行业的软件全生命周期覆盖管理

建立通过标准在电力行业的软件全生命周期覆盖管理，在《广西电网公司信息系统并网管理工作指引》中增加供应链安全条款，并在《信息系统并网管理审核标准指南》中明确条款要求的审查要求，帮助中心构建了“技术-管理-合规-应急”四维能力体系，通过并网审查、持续监测、合规优化形成闭环，包括供应商准入、开发安全检测、运维权限管理等，填补了软件供应链安全检测的空白。

2、落实电力行业开发安全基线要求

构建电力行业专属安全基线知识库，内容涵盖等保2.0、国标、行标及企业标准要求，解决供应商开发过程安全要求缺失问题。创新采用“场景化问卷+NLP智能解析”技术，实现需求文档安全控制点自动识别与匹配，确保中心安全要求精准传递至供应商侧。

3、建立供应链安全风险检测能力

研发供应链安全检测工具，实现系统投产前的全量安全检测，100%发现并闭环修复中高危组件风险。通过建立软件供应链风险动态监测机制，将组件漏洞响应与修复时效缩短至4小时内，显著提升供应链安全防护水平。

4、行业示范效应与社会效益

案例成果在中国南方电网五省区推广，服务国内外政企客户，支撑南网公司连续三年网络安全事件和信息运行事件保持“双零”，连续六年网络安全攻防演习“零失分”。