鑽石舞台

中國工商銀行業務研發中心專家蘇建明出席此次研討會並致辭。中國工商銀行業務研發中心信息安全部負責人兼金融科技研究院安全攻防實驗室主任蔣家堂、中國農業銀行研發中心信息安全與風險管理部總經理劉志丹、海通證券數據中心安全團隊負責人馬冰、中國銀行保險信息技術管理有限公司數據與科學管理部副總經理李隆春、眾安高級安全業務總監秦峰、綠盟科技集團副總裁曹嘉在此次研討會上分享了各機構供應鏈安全治理的探索實踐經驗，同時圍繞供應鏈安全管理中開源軟件使用風險與外包管理方法進行了深入探討。

近年來，供應鏈安全事件呈快速增長態勢，波及範圍越來越廣，危害也愈發嚴重，如何有效應對供應鏈安全問題成為金融機構的關注焦點。綠盟科技集團副總裁曹嘉在演講中對外包服務商、定製軟件集成商、開源軟件供應鏈及SolarWinds四個攻擊案例進行了分析。曹嘉表示，供應鏈攻擊與APT攻擊有非常高的相似度，絕大部分的APT攻擊都會涉及供應鏈攻擊的手法，而供應鏈攻擊也大多會使用APT攻擊的相關技巧，甚至很明確的定位到APT相關的組織，通過對供應鏈安全事件的回溯，有助於發現APT攻擊事件。同時，他分享了解決供應鏈安全風險中三個環節的應對思路：

1）准入環節：建立可信供應商認證標準體系；2）內控環節：基於DevSecOps實現供應鏈安全管理；3）運營環節：加強開源組件安全檢測管理，可基於威脅情報與知識圖譜技術實現準確的軟件成分分析。

在此次研討會上，與會專家還對供應鏈安全管理體系規範建設、供應鏈安全全生命周期管理及開源技術、外包管理供應鏈安全方面進行了深入探討。

在供應鏈安全管理體系規範建設方面，與會專家認為，在企業構建安全管理體系時需建立相應的安全標準、規範與框架，依照規劃與制度統一管理、運營，明確組織職責，及時識別並規避潛在的安全風險。

在供應鏈安全全生命周期管理方面，與會專家認為，供應鏈安全全生命周期管理需要涵蓋產品自輸入至輸出的各個階段，需要從產品前期准入、產品開發中期內控DevOps、產品開發結束後運營的各個環節逐一分析供應鏈安全風險。

在開源技術、外包管理供應鏈安全方面，與會專家認為，金融業應以樂觀的態度擁抱開源，從策略、流程與制度等不同方面，站在使用方、服務商與供應商的不同角度對供應鏈安全的技術、監管進行審視，在使用開源技術的過程中更加需要擁有自主開發融合能力；在外包服務管理方面要完善必要的定期評價機制，強化數據安全管理，藉助管理工具加強外包服務管理。

研討會上，與會專家就加強同業間安全信息的溝通與供應鏈生命周期安全管理達成了共識。在我國加速推進數字化轉型和數字中國建設的背景下，金融科技領域供應鏈安全治理不容忽視，特別是在「萬物互聯」情景下供應鏈安全影響將愈發凸顯。各金融機構需更加重視並積極應對供應鏈安全問題，下好先手「棋」是避免其帶來重大風險、造成系列連鎖隱患的有效舉措。最後，曹嘉表示，供應鏈的風險鏈條非常複雜，做好頂層設計和生態構建至關重要，綠盟科技願與業內同仁共同努力，為金融行業供應鏈安全的治理體系建設貢獻力量。