网络安全标准应用实践案例 | 供应链安全主题之五

GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》等标准在基础电信领域的应用

申报单位：中国移动通信集团有限公司网络与信息安全管理部、中国移动通信集团新疆有限公司、中移动金融科技有限公司、中移系统集成有限公司、苏州棱镜七彩信息科技有限公司

一、案例简介

中国移动组织先进省专公司和生态伙伴联合开展GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》等标准在基础电信领域的实践，聚焦软件供应链关键环节安全威胁痛点，围绕组织机制、制度体系、风险管理平台搭建、开源安全以及软件代码成分分析和供应链图谱构建等多个重点方面,深入推进软件供应链安全能力体系建设，打造“1+6+2+N” 软件供应链安全管理体系，建立开源软件安全闭环治理机制，助力公司软件供应链安全效能全面提升。同时将国标有效落地转化为集团内部制度，形成可复用的“电信企业软件供应链安全管理框架”，为30余家单位提供技术赋能。同时，联合高校培育专业人才，带动全产业链软件供应链安全基线提升，为筑牢国家安全屏障、增强公共服务可靠性树立行业典范。

“1+6+2+N”软件供应链安全管理体系

二、举措与成效

一是构建软件供应链安全管理体系机制。面向全集团印发了《中国移动软件供应链安全管理办法》《中国移动软件备案管理规定》《中国移动开源软件安全管理办法》，内容中明确引用落实上述国标要求，推动建立了软件资产备案、威胁情报、检测稽核、软件供应链安全图谱等安全管理运营技术手段，形成了面向全链条的“1+6+2+N”软件供应链安全管理体系，并规范化打造开源软件安全闭环治理体系，建立并行准入和双轨退出的机制，沉淀“2+6+4”安全评估原则。

二是打造标准应用案例“典型样板”。打造新疆公司“软件供应链安全省级体系机制典型样板”与金科公司“跨通信金融软件供应链安全管控典型样板”双轨示范，形成可复用标准，立足省级软件供应链安全治理经验与跨行业协同标准规则，反哺集团技术底座能力升级，通过构建可复用的“电信企业软件供应链安全管理框架”，为产业链30余家伙伴单位提供技术赋能，与相关重点高校联合探索，积极推进产学研协同创新，带动全产业链安全基线提升。

三是探索标准应用“技术支撑底座”建设。依托集团相关管理规范制度体系，围绕备案资产的软件供应链安全能力，明确了制度设计、平台能力研发、服务实践等方面落地的核心标准要求，推进建设软件供应链安全管理平台，形成覆盖软件备案工具、软件成分分析、软件供应链安全图谱等三大核心功能。通过精细化软件供应链安全管理运营，构建快准全的供应链安全知识库，积极攻关高精度软件成分分析技术，推动软件供应链安全效能进一步提升，为行业软供安全治理工作开展提供了宝贵的经验案例。

三、特色亮点

一是标准化实践模式创新。不仅立足国标，更结合企业实际，体系化构建软供安全顶层设计，形成独特的“1+6+2+N”管理体系，为行业治理提供新思路。

二是开源软件治理方法创新。打造规范化的开源软件安全治理闭环，创新实施科学动态的准入退出机制及评估原则，有效解决开源软件安全管理痛点。

三是安全效能提升技术创新。借助高精度软件成分分析技术、庞大的高质量知识库底座和精细化的安全运营，推动软件供应链安全效能进一步突破，全方位提升软件供应链安全管理与风险应对水平，积极引领行业安全治理发展 。