绿盟科技出席2022年金融科技供应链安全研讨会

中国工商银行业务研发中心专家苏建明出席此次研讨会并致辞。中国工商银行业务研发中心信息安全部负责人兼金融科技研究院安全攻防实验室主任蒋家堂、中国农业银行研发中心信息安全与风险管理部总经理刘志丹、海通证券数据中心安全团队负责人马冰、中国银行保险信息技术管理有限公司数据与科学管理部副总经理李隆春、众安高级安全业务总监秦峰、绿盟科技集团副总裁曹嘉在此次研讨会上分享了各机构供应链安全治理的探索实践经验，同时围绕供应链安全管理中开源软件使用风险与外包管理方法进行了深入探讨。

近年来，供应链安全事件呈快速增长态势，波及范围越来越广，危害也愈发严重，如何有效应对供应链安全问题成为金融机构的关注焦点。绿盟科技集团副总裁曹嘉在演讲中对外包服务商、定制软件集成商、开源软件供应链及SolarWinds四个攻击案例进行了分析。曹嘉表示，供应链攻击与APT攻击有非常高的相似度，绝大部分的APT攻击都会涉及供应链攻击的手法，而供应链攻击也大多会使用APT攻击的相关技巧，甚至很明确的定位到APT相关的组织，通过对供应链安全事件的回溯，有助于发现APT攻击事件。同时，他分享了解决供应链安全风险中三个环节的应对思路：

 1）准入环节：建立可信供应商认证标准体系；
 2）内控环节：基于DevSecOps实现供应链安全管理；
 3）运营环节：加强开源组件安全检测管理，可基于威胁情报与知识图谱技术实现准确的软件成分分析。

在此次研讨会上，与会专家还对供应链安全管理体系规范建设、供应链安全全生命周期管理及开源技术、外包管理供应链安全方面进行了深入探讨。

在供应链安全管理体系规范建设方面，与会专家认为，在企业构建安全管理体系时需建立相应的安全标准、规范与框架，依照规划与制度统一管理、运营，明确组织职责，及时识别并规避潜在的安全风险。

在供应链安全全生命周期管理方面，与会专家认为，供应链安全全生命周期管理需要涵盖产品自输入至输出的各个阶段，需要从产品前期准入、产品开发中期内控DevOps、产品开发结束后运营的各个环节逐一分析供应链安全风险。

在开源技术、外包管理供应链安全方面，与会专家认为，金融业应以乐观的态度拥抱开源，从策略、流程与制度等不同方面，站在使用方、服务商与供应商的不同角度对供应链安全的技术、监管进行审视，在使用开源技术的过程中更加需要拥有自主开发融合能力；在外包服务管理方面要完善必要的定期评价机制，强化数据安全管理，借助管理工具加强外包服务管理。

研讨会上，与会专家就加强同业间安全信息的沟通与供应链生命周期安全管理达成了共识。在我国加速推进数字化转型和数字中国建设的背景下，金融科技领域供应链安全治理不容忽视，特别是在“万物互联”情景下供应链安全影响将愈发凸显。各金融机构需更加重视并积极应对供应链安全问题，下好先手“棋”是避免其带来重大风险、造成系列连锁隐患的有效举措。最后，曹嘉表示，供应链的风险链条非常复杂，做好顶层设计和生态构建至关重要，绿盟科技愿与业内同仁共同努力，为金融行业供应链安全的治理体系建设贡献力量。