供应链安全构成一个错综复杂且层次丰富的议题,特别是在当前国际政治经济形势动荡不安的背景下。例如,俄乌冲突期间科技公司基于政治考量的逆全球化举措导致的断供现象,以及黎巴嫩事件所揭示的技术手段对供应链的潜在渗透与破坏。此外,大国间的战略博弈与科技革命的相互交织催生了科技封锁现象,特别是在芯片算力发展方面受到的限制尤为显著。在国内正规配资官网官网,随着数字化和智能化进程的加速,金融机构对外部信息技术的依赖不断加深,金融科技供应链的安全性问题逐渐凸显,成为制约数字金融稳健发展的关键因素。为此,国家层面已经提出加强产业链供应链韧性和完善相关制度的要求。从银行业的视角出发,金融解决方案及相关软件为数字化转型提供基石支撑,成为确保银行信息基础设施顺畅运行的核心组件。
然而,供应链的多样性使得软件供应链日益复杂多元,尤其是关键软件的断供极易造成业务连续性影响。另外考虑到开源软件的广泛应用,为软件供应链带来了诸多安全及管理隐患。在上述背景下,一旦发生问题,可能对银行的关键信息基础设施造成重大损害。
东亚银行(中国)首席信息官 王悦
展开剩余88%金融软件供应链安全面临的挑战1. 软件供应多样性
随着金融机构对软件采购、外包开发和第三方资源调用的需求不断增长,金融软件往往由众多相互依赖的组件和模块组成。这一趋势不仅导致软件供应链的延长,还增加了参与方的多样性,特别是涵盖了全球范围内的供应商和合作伙伴。这种复杂性使得安全管理变得更为困难,导致金融机构难以全面把握供应链的各个环节,特别是在数据安全保护和法律风险管理方面。此外,在选择合适的合作伙伴时,机构通常难以精确评估其安全状况;而在合作过程中,持续有效地监督供应商的安全表现也颇具挑战。
2. 逆全球化下供应链断供
金融机构的核心业务高度依赖于软件系统的安全与稳定,任何中断都可能引发服务停摆、数据泄露,乃至资金损失和声誉损害,因此对业务连续性的要求极为严苛。在全球化逆流的影响下,供应链资产的多样性和环节的复杂性进一步提升了风险水平。特别是,关键软件若缺乏充足的技术支持或备选方案,供应链断裂不仅会使系统更易受到攻击,还将严重威胁业务的连续性和稳定性。
3. 全面安全审查面临多重挑战
软件内部结构的复杂性,包含多层次调用和广泛依赖关系,显著提升了安全问题识别与定位的难度。解决这些问题需要专家具备深厚的技术背景和精细的分析能力。在实施全面安全检测不仅需要大量人力资源,还涉及多种专业检测工具的应用。这对安全团队的专业技能和经济成本提出了更高要求。人力与物力的双重投入,使全面安全审查的执行更加复杂且昂贵。特别是在金融行业,数据安全和系统稳定性的要求极为严苛,任何细微的安全漏洞都可能引发严重后果。此外,随着安全技术和威胁环境的不断演变,安全团队必须持续更新知识和技能,以应对新的安全挑战。这种持续的高要求与有限资源之间的矛盾,使中小规模金融机构在实施全面安全审查时面临更大挑战。
4. 开源软件带来的风险
随着开源软件的广泛应用,已经成为了金融软件开发的重要组成部分。然而,开源软件可能存在的安全漏洞和版权问题也为金融机构带来了新的挑战。尤其是多种下载源下载的软件可能被植入恶意代码,如后门、木马等,这些恶意代码可能允许未经授权的访问和控制,对金融系统的安全性构成严重威胁。如何有效地管理和评估开源软件的安全性,成为了金融机构必须面对的问题。
银行软件供应链安全解决之道银行软件供应链安全保护的目标正规配资官网官网,在于确保银行信息系统及其相关服务在整个生命周期中的安全性、可靠性、可用性和合规性,防止由于供应链中的漏洞或攻击导致的数据泄露、服务中断或其他安全事件。为了达到这些目标,银行需要采取一系列举措来加强软件供应链的安全保护。以下是银行软件供应链安全的举措。
1. 加强供应商管理
严格供应商准入,对软件供应商进行资质审核,确保其具备必要的安全能力和良好的信誉。合同中的安全条款约束,在与供应商签订的合同中明确规定安全要求和责任,确保供应商提供的产品和服务符合安全标准。
定期评估供应商的服务质量、安全合规性等方面进行评估。
根据评估结果及时调整供应商合作策略,优化供应链结构,确保其持续符合安全标准。加强供应商多元化选择,避免过度依赖单一供应商,积极引入多个合格供应商以降低供应风险。根据供应商的专业领域和服务质量进行合理分工,确保供应链的稳定性和灵活性。
2. 防止供应中断
除了实施多元化的供应商管理策略外,更重要的是在备选方案上下功夫。金融机构应通力合作,共同构建自主可控、安全可靠的软件供应链。这包括加大研发投入,建立一套自主可控的软件开发体系,减少对外部供应商的依赖,同时依靠安全可靠的第三方生态伙伴,通过市场力量推动关键软件技术的自主研发与创新。为关键软件和组件建立备份和冗余机制,制定详尽的备选规划和实施计划,确保在遭遇供应中断时,能够迅速切换至备用资源,保障业务连续性。此外,制定统一的技术标准和规范,促进不同供应商间的互操作性,是提高供应链灵活性和响应速度的关键。通过确保技术标准的一致性,可以减少因兼容性问题导致的延误,加快应急响应的速度。这样不仅能够确保在软件供应链中断或部分失效的情况下,业务仍能持续稳定运行,还能增强整体系统的韧性,提高面对未来不确定性的适应能力。
3. 技术供应安全
强化对引入的技术安全风险控制,确保软件供应链可追溯性。将安全融入软件开发的每一个阶段,从需求分析到设计、编码、测试、部署和维护。确保软件完整性,防止软件在开发、交付、部署过程中被篡改或植入恶意代码,确保软件的原始性和完整性。对软件代码进行定期的安全审查和静态分析,及时发现并修复潜在的安全漏洞,在软件部署前进行安全评估,确保软件与系统的兼容性和安全性。建立软件更新和补丁管理机制,及时修复已知的安全漏洞。引入动态测试,通过渗透测试等手段模拟真实攻击,检验系统的防御能力。
4. 开源软件管理
开源管理在银行软件供应链中占据重要地位,其管控框架可分为管理、技术与运营三大核心部分。
管理方面:需明确组织制度和流程,规范运营与技术支撑体系。例如,制定具体的开源软件引入标准,涵盖功能、性能和安全性等要求,并严格执行审核流程,包括源代码审查、漏洞扫描和安全评估等环节,以确保所引入的开源软件既满足业务需求又符合安全标准。
技术支撑方面:利用各种安全产品来强化软件供应链的安全防护。例如,采用漏洞扫描工具、软件成分分析(SCA)工具以及静态/动态应用安全测试工具等,为后续的安全运营提供坚实的技术基础。
安全运营方面:在管理体系的指导下,运用先进的安全技术进行风险治理,旨在为企业全生命周期的安全防护体系提供有力支持和服务。
通过这一综合性的管控框架,银行能够更有效地管理开源软件,确保软件供应链的安全性和稳定性。
东亚银行供应链安全的落地实践
东亚银行一直坚定“本土化”战略,涉及的软件供应商大多数都是国内供应商,并建立相应的后续供应商机制以应对供应链安全及相应的断供问题。在供应商管理方面,主要依据《银行保险机构信息科技外包风险监管办法》来落实相关管控措施,涵盖治理、准入、监控评价及风险管理等方面。特别是针对那些可能对业务连续性管理产生重大影响的关键外包服务,已经预先制定风险控制、缓释或转移策略,以及退出策略和供应链安全保障方案。同时,在外包服务执行过程中,持续搜集服务提供商的相关信息,以便尽早识别可能导致服务中断或质量下降的风险。
在技术安全方面,东亚银行建立了常规的纵深多层次安全防御体系和面向网络安全威胁的安全治理和管理体系,并朝着实战化方向发展。针对供应链层面和日益复杂且难以预测的网络攻击手段问题,东亚中国借鉴了香港金融管理局(HKMA)的网络防卫计划(CFI),构建了一个以威胁情报为主导的网络安全攻防演练框架。该框架以威胁情报为核心,通过对网络攻击的迹象、模式和行为进行深入收集和分析,对可能面临的网络攻击威胁进行准确识别和评估。框架包含测试规划及计划、威胁情报收集分析、模拟攻击场景设计、实战攻防演练、360°红蓝方复盘等主要阶段。在此框架下,针对边界和内网设计了多元化的模拟攻击场景,并在场景中巧妙设置多个解链点(De-Chain),以确保在攻防模拟中完整执行所有的攻击步骤,全面评估了本行在面对外围侦察、初始访问、持久化、特权提升、内网探索、横向移动、命令控制、破坏与泄露等各种攻击技战术的防护、检测、响应和处置能力,发掘安全薄弱环节,检验企业从互联网边界到内网安全的整体纵深安全防御体系的有效性。
在开源软件供应链安全领域,东亚银行根据自身实际情况,采取了一系列措施来应对开源技术带来的技术风险、管理风险、安全风险。总体策略上,东亚银行坚持合理利用开源技术的原则,实施了存量逐步治理、新入审慎审批及全生命周期管理的具体方针。目前,已对现有开源技术进行了全面盘点,依据EOL时间和已知漏洞情况进行了风险评估,并按优先级逐步完成优化、升级或替换工作。针对新引入的开源技术,则实行严格的审批制度,确保每个新项目都能通过全面的技术、安全和管理审查。
为了保证开源技术在整个生命周期中的安全、可靠与合规使用,东亚银行推行了全面的开源全生命周期管理模式,覆盖从选型决策、引入集成到日常使用维护、安全更新直至最终退役的每一个阶段。在每个阶段,均实施了严格的管理和监控机制。在管理层面,东亚银行强调制度的重要性,明确了引入方、审批方及运维方的责任分工。技术层面上,东亚银行组建了一个由架构师、资深开发人员和安全技术专家组成的跨部门团队,负责深入分析拟引入开源项目的架构及其生态系统,综合考量生态健康度、EOL时间等因素,确定引入版本的基线,并定期进行版本更新。
对于广泛使用的开源技术,东亚银行制定了配置标准,优化了技术整合,旨在确保这些技术能够在高并发交易等复杂场景下提供高效、低延迟且可靠的性能,满足银行业务日常运营及高峰时段的需求。同时,正在构建一个统一的开源中间件管控服务平台,以PaaS的形式提供常用开源中间件的配置和部署,旨在减少运维和管理成本。在安全评估方面,东亚银行建立了一套完整的开源安全漏洞监测体系,不仅在引入开源技术时进行严格的筛选,而且定期对银行使用的开源软件进行全面的安全扫描,确保及时发现并修复潜在的安全威胁。
银行软件供应链的安全保护是一项既复杂又系统的工程,要求银行从多个层面进行综合治理。为了确保软件供应链的安全性,银行需要持续优化供应商管理、强化安全管控措施、精细化开发流程、加固交付与部署环节的安全屏障、提升安全监测与应急响应能力,并深化安全培训与意识培养。特别是在当前逆全球化趋势日益明显的背景下,制定多维度的备选方案和确保开源软件的安全使用显得尤为重要,这应成为未来工作的核心关注点。通过这一系列精心策划并严格执行的措施,银行能够显著增强软件供应链的安全防护能力,从而保障银行业务的顺畅运行和客户资金的安全。
(此文刊发于《金融电子化》2025年1月下半月刊)正规配资官网官网
发布于:北京市联美配资提示:文章来自网络,不代表本站观点。
相关文章
沪深京指数
热点资讯
