网络安全标准应用实践案例 | 供应链安全主题之一

GB/T 43698—2024《网络安全技术 软件供应链安全要求》等标准在财务公司行业核心系统场景下的应用实践

申报单位：中油财务有限责任公司、杭州默安科技有限公司

一、案例概述

针对财务公司行业核心系统普遍存在的金融专业化业务场景众多、上下游业务链条关联交互复杂及应用安全人员短缺等痛点，为确保核心系统的安全性和稳定性，中油财务联合默安科技，借助其在软件供应链安全领域深度的标准参与及相关检测评估工具的实战化应用经验，将GB/T 43698-2024《网络安全技术 软件供应链安全要求》等标准应用于央企财务公司核心系统的设计、研发、测试、上线、运营环节的全流程安全管控，以"组织协同+技术管控+考核绑定"实现核心系统软件供应链安全管理闭环，为资金密集型央企及关基行业提供可复用的标准化路径。

二、标准核心内容应用情况

一是将软件供应链安全风险管理纳入核心业务风险考核指标。参考GB/T 43698-2024《网络安全技术 软件供应链安全要求》“7.1.2制度管理 a）b）c）d）”章节条目，依托财务公司业务部门、金融科技部门、风险合规部门、软件开发团队构建核心系统应用安全风险管控纵深防御体系，业务需求部门作为第一道防线，嵌入场景化安全需求分析，通过对银行账户、资金结算等10类典型场景威胁进行自动化关联生成安全需求和设计文档，开展源头治理；金融科技部门制定安全质量验证基线及准入清单，针对核心系统近400个功能点开展需求验证闭环；风险合规部门针对监管要求和上线风险清单开展安全专项审计与残余风险监测。形成了落地可执行、可检测、可验证的开发安全体系安全防线。

二是开展软件供应链安全图谱常态化管理。参考GB/T 43698-2024《网络安全技术 软件供应链安全要求》6.2软件供应链安全图谱a）b）c）章节条目，建立软件供应链安全图谱常态化管理机制。对核心系统组件（自研、开源）信息、开源代码片段信息、运行环境依赖、外部网络服务等进行SBOM梳理，常态化维护近5000条组件信息，通过对接内部主机安全管理和云安全管理平台相关数据获取了13类核心系统基础设施软件、工作负载等环境依赖信息，构建了覆盖中油财务核心系统组件（自研、开源）、代码及依赖环境的软件物料清单。基于SBOM清单开展核心系统软件供应链安全风险分析，为核心系统国产化组件平稳过渡提供了多维度依据。

三是打造“安全中台+工具链”技术底座。参考GB/T 43698-2024《网络安全技术 软件供应链安全要求》8.2.2软件开发 c）d）e）g）章节条目，从软件采购到软件废止6个大的环节全面融入到了企业核心系统软件供应链安全管理的框架里，并建立了技术底座。建设集成威胁建模的工具、源代码安全审计工具、软件成分扫描工具、测试环境进行的灰盒的插桩扫描，部署运行时进行资产漏洞扫描巡检，并且基于各个工具的扫描能力和成果，建立开发安全管理平台，包括流程的管控、应用安全测试的编排、漏洞的闭环管理，实现安全卡点覆盖率95%以上。

三、标准实践模式

一是立制度。建立保障体系，结合标准要求，通过整合现有体系，将软件供应链安全管理要求融入现有的信息安全管理体系和业务风险管理框架中，明确相关方责任， 在各项制度中清晰定义公司业务部门、金融科技部门、风险合规部门、供应商安全职责，在完成相关制度正式审批发布后，对所有相关人员进行制度的培训和宣贯。

二是治存量。开展专项治理，针对软件供应链安全风险管理框架的重点内容开展专项治理活动，在供应链透明度管理方面，通过自动化工具采集和整理软件组件信息，形成详细的SBOM并定期更新；在组件存量漏洞治理方面，充分评估兼容性和替换成本，结合末端防护进行风险管控。

三是控增量。基于软件供应链安全管理制度、开发安全体系管理规范及软件供应链安全风险考核指标，确保采购流程、开发流程和测试流程按照规范进行执行，通过SCA、SAST、IAST等技术工具实现了对软件供应过程的自动化安全检测和管理。

四、案例实施效果

借助GB/T 43698-2024《网络安全技术 软件供应链安全要求》等标准在财务公司行业核心系统场景下的实践：

1、统一供应链安全管理规范，填补行业体系化治理空白。依据国标提供的基础框架和细粒度要求，开展体系化的供应链安全管理，建立了完善的供应商管控、软件供应链知识图谱建设维护、常态化检测\监测\评估\应急机制机制，填补了财务公司行业软件供应链安全体系化治理的空白。

2、正向研发安全体系落地，保障核心系统实战化安全防护。基于DevSecOps成熟度模型构建“威胁建模-自动化检测-风险量化”闭环体系，实现了关键业务场景威胁建模100%覆盖、重点业务功能安全测试100%覆盖、核心业务系统软件供应链图谱100%覆盖，通过开发安全检测驱动业务代码瘦身，减少近百万条废弃代码，提升代码运行稳定性和效率。

3、树立财务公司行业标杆，引领国家标准行业落地推广。以“安全左移、全链融合、智能驱动”为核心理念，构建覆盖需求设计、开发测试、部署运维的全生命周期安全治理框架，引领财务公司软件供应链安全治理在行业的标准化实践路径，标准实践成果可以广泛的适用于财务公司行业和中国石油集团其他金融单位，共同保障资金安全。