近日，國家鐵路局發布《鐵路關鍵信息基礎設施安全保護管理辦法》，《辦法》第十四條提到：“運營者應當加強鐵路關鍵信息基礎設施供應鏈安全保護，優先采購安全可信的網絡產品和服務。運營者采購網絡產品和服務，應當預判該產品和服務投入使用后對國家安全的影響。可能影響國家安全的，應當按照國家有關規定申報網絡安全審查。”?強調了鐵路關鍵信息基礎設施供應鏈安全保護的重要性，也為相關單位提出了明確的安全要求。

基于上述《辦法》條例，本文將對鐵路軟件供應鏈安全現狀進行逐一分析，并提出相關治理思路，希望通過本文給相關單位軟件供應鏈安全管理實踐落地一些借鑒思路。

鐵路軟件供應鏈安全現狀

1.軟件供應鏈構成復雜，不確定風險因素多

隨著鐵路信息系統的深入建設，無論是基礎設施、終端外設，還是開發運維服務，背后已逐漸形成強大的軟件供應鏈體系。鐵路信息系統架構復雜性日益增加，軟件開源化趨勢增強，導致軟件供應鏈變得更加復雜，不確定性風險因素增多，軟件開發、交付、使用等各個環節均存在被攻擊者攻擊的可能。

2.軟件安全管理能力未能匹配信息化進程

鐵路信息化建設起步較早，早期系統建設多為“同步建設、同步使用”，軟件安全防護能力未能匹配上信息化發展進程。軟件供應鏈安全管理能力的提升速度，也跟不上軟件供應鏈復雜化與網絡攻擊演變的速度。

3.軟件來源復雜，供應商管理難度大

鐵路信息系統建設規模大，系統開發中大量使用外部代碼，例如開源代碼、委托開發的代碼等，使得參與系統建設的第三方服務提供商、供應商等供需關系網日趨復雜，層層轉包現象頻出。由于軟件的開源開放、多層供應關系、軟件資產的不透明等因素，軟件供應鏈可能發生產品安全質量下降、供應中斷等安全風險，使運營者對供應鏈的安全管控難度加大。

鐵路軟件供應鏈安全治理思路

1.探索完善的軟件供應鏈安全管理體系

通過差距分析、軟件供應鏈安全（SSCS）治理，建立軟件供應鏈安全管理體系，從制度、流程、能力、平臺等方面形成合力，對軟件供應鏈組織管理、供應商管理和供應活動管理提出安全要求，提升鐵路關基單位對軟件供應鏈安全的管控能力。

開源網安通過專業的軟件供應鏈安全咨詢服務，協助企業進行軟件供應鏈安全治理思路探索與方案建設。幫助企業在供應鏈安全現狀調研、風險評估和差距分析的基礎上，制定軟件供應鏈安全風險識別與處置策略、軟件資產管理策略，融入現有網絡與信息安全管控體系當中，強化軟件安全管理頂層設計，提升整體統籌能力。

2.全方位識別軟件供應鏈安全與合規隱患

正如俗話所言”病從口入“，軟件供應鏈安全”病“也需從”關口“抓起，通過建立安全卡口，把控軟件供應鏈各環節軟件安全性與合規性。

開源網安軟件供應鏈解決方案，可與相關部門聯合建立鐵路軟件供應鏈安全檢測中心，在開發/采購、交付/上線、運維/使用等各環節，建立安全與合規審查卡口，通過軟件供應鏈安全與合規風險識別技術，包括但不限于軟件上線前安全檢測、開源軟件資產識別、漏洞級別及其可利用性檢測、知識產權審查、合規審查、持續運營風險評估等，全方位識別軟件供應鏈中潛在的技術風險、供應風險、合規風險等。

3.常態化軟件供應鏈風險安全管理

建立軟件供應鏈安全態勢感知平臺，實現軟件資產持續監測，發現問題時能快速定位，充分響應。持續增強軟件供應鏈安全威脅發現、研判和預警能力，提升軟件供應鏈安全事件監控和處理能力。

軟件供應鏈安全檢測與管理平臺（簡稱SSCSP）是開源網安自主研發的一款綜合性安全產品。為企業提供軟件供應活動（采購-交付-運維）全面的安全檢測與軟件資產管理服務。將“資產信息“、”安全信息“、”責任方（供應商）”?形成動態的關聯關系，構建軟件資產庫與常態化安全風險預警機制，提升軟件供應鏈安全風險的識別和應急能力。

隨著互聯網產業經濟的日趨成熟，關鍵信息基礎設施已成為經濟社會運行的神經中樞，是支持國家發展的重要資產。鐵路關鍵信息基礎設施一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益。近年來，國際上針對關鍵信息基礎設施的網絡攻擊事件更是屢見不鮮。因此，提升鐵路軟件供應鏈安全管理能力，打造“安全韌性”的軟件供應鏈體系，對于保障鐵路企業信息系統長期安全穩定運行，推動鐵路信息化高質量發展而言，非常重要。

推薦閱讀

開源網安攜手某國資證券機構，構筑更具“安全韌性”的金融軟件供應鏈

開源網安解決方案榮獲四川數實融合創新實踐優秀案例