文/中国光大银行金融科技部 杨增宇 梁思姣 刘丹华

近年以来，供应链安全事件频发，大多数信息安全事件均与供应链上要素有关。商业银行金融科技建设工作涉及大量供应商和外部产品，形成复杂的金融科技供应链，涉及的供应链要素有软件、硬件、厂商、人员、数据等。商业银行供应链安全管理和风险控制不到位，将产生巨大的信息安全和业务连续性隐患。从国家监管层面到商业银行自身治理需要，都对供应链安全管理提出了明确的要求，进行科学、规范、全面的金融科技供应链安全管理已经成为商业银行的重点安全工作。

为应对上述内外部形势，光大银行通过梳理金融科技供应链全要素及其安全风险，结合成熟网络安全防护框架，设计商业银行金融科技供应链安全防护体系，对金融科技供应链全要素进行有效安全管理，达到全生命周期、数字化、可视化安全管理，铸造金融科技供应链“强链、稳链”。

金融科技供应链全要素及供应链子链

1. 供应链全要素设计

通过研究《ISO 28000-2022供应链安全管理准则》《金融行业网络安全等级保护实施指引》等标准，传统供应链的概念可以理解为一个由各种组织、人员、技术、活动、信息和资源组成的将商品或服务从供应商转移到消费者手中的过程，这一过程从原材料开始，将其加工成中间组件乃至最终转移到消费者手中的最终产品。从上述概念可以看到，传统供应链的要素包括供应商、人员、技术、活动、信息、中间产品等。同时，为使供应链要素总结更加全面、完整，我行从商务合同采购内容维度出发梳理供应链要素，与供应链行业标准互相补足。综合上述两种视角，我行最终得出供应链全要素清单如表1所示。

表1 全要素清单

2. 供应链子链设计

为便于后续进行风险分析和安全防护设计，我行进一步引入子链概念，将金融科技供应链要素分类后，设计对应的供应子链。其中，针对软件要素，由于软件涉及的要素较多、业务场景复杂，我们将软件分为软件引入子链和软件开发子链。因此，最终形成8个子链：软件引入子链、软件开发子链、硬件子链、数据子链、网络子链、物理场所子链、供应商子链、人员子链。

全要素视角下的供应链安全风险

结合供应链要素自身属性和各子链业务场景，下面进行供应链安全风险分析，并形成安全风险视图（详见图1）。

图1 商业银行金融科技供应链全要素安全风险全景图

在软件引入子链中，主要风险包括软件供应安全挑战、软件引入资产管理不当、软件引入安全评估不足、开源软件安全缺陷明显，以及业务部门未经科技部门审核自行在外建设或托管“影子资产”。

在软件开发子链中，主要风险包括开发人员安全能力不足、移动应用未进行安全加固、开发中传输协议使用不当、开发证书管理不善等，同时敏捷开发对软件安全形成的挑战，片面的追求敏捷、快速投产，在无相应安全开发控制手段情况下，导致软件的安全性大幅下降。

在硬件子链中，主要风险包括硬件供应风险、备件管理不完善、设备管理不规范、系统级软件安全管理缺失、硬件设备非法外联、硬件设备不安全口令、硬件设备系统漏洞管理不完善。

在数据子链中，主要风险包括生产数据泄露、客户数据过度收集、数据共享安在数据子链中，主要风险包括生产数据泄露、客户数据过度收集、数据共享安全风险、数据出入境违反安全监管要求。

在网络子链中，主要风险包括远程办公访问风险、网络连续性管理风险、第三方接入风险、和运维操作风险。

在物理场所子链中，主要风险包括门禁安全风险、物理设备安全风险、外包办公场所安全风险。

在供应商子链中，主要风险包括供应商经营不善风险、供应商安全防护能力不足、供应商应急能力差、供应商对内部员工安全培训不足。

在人员子链中，主要风险包括外包人员安全意识弱、外包人员安全技术能力不足、对外包人员技术管控缺失、对外包人员从事工作评估不足。

综上所述，供应链各子链存在多种安全风险，需要加强管理和控制，以确保供应链的安全稳定。

全要素视角下供应链安全防护体系

针对各子链供应链安全风险分析结果，我行基于MOTP（“管理-运营-科技”三层防护模型）设计配套的供应链安全管理体系、供应链安全技术体系、供应链安全运营体系，三个体系相互融合、相互补充，共同构建出集防护、检测、响应、恢复于一体的全面安全防护体系，作为指导落地实践的蓝图。

1. MOTP“管理-运营-科技”三层防护模型

基于《信息安全技术网络安全等级保护基本要求》，参考其关于信息安全管理和技术的底层逻辑，我行自主设计了包含“安全管理、安全运营、安全技术”三层结构的安全防护模型，可覆盖供应链安全管理过程中的全部管理活动、运营机制和技术支撑手段。因此，在设计供应链安全防护体系过程中，我行重点参考三层模型，从安全管理、安全运营、安全技术三个维度构筑防护体系。金融科技供应链安全防护体系蓝图详见图2。

图2 金融科技供应链安全防护体系蓝图

2. 三层供应链安全防护体系介绍

第一层是安全管理体系（详见图3），一般包括供应链安全制度建设、组织架构建设、管理人员能力建设、供应商安全管理、安全需求管理、安全评估、安全检查、安全评价与考核、安全意识培训等。

图3 金融科技供应链安全管理体系

第二层是安全运营体系（详见图4），一般包括常态化安全监控和响应、供应链安全资产运营、供应链漏洞闭环管理、软硬件生命周期管理、供应链应急预案及演练、供应商安全画像、互联网监测和处置等。

图4 金融科技供应链安全运营体系

第三层是安全技术体系（详见图5），一般包括安全技术标准建设、纵深防御体系建设、软硬件引入评估、安全开发环境&工具&制品库&配置库支撑、软件成分分析、安全编码&安全测试&安全发布、常态化检测能力和加固能力建设等。

图5 供应链全要素安全技术体系

3. 供应链子链——三层防护体系映射矩阵

依托三层安全防护架构，进一步将各子链映射到应覆盖的安全防护体系内容，形成各子链的防护矩阵，如表2所示。

表2 软件引入子链安全防护设计

全要素视角下供应链安全防护实践

我行以上述全场景安全防护体系框架作为实践蓝图，由金融科技部统筹，科技研发中心、数据资产管理部等共同协作，逐步建设并落地各项供应链安全实践活动。本文选取“开发安全体系实践、基础软件管理、软件成分分析、移动互联网托管应用系统治理”四个方面介绍实践情况。

1. 开发安全体系实践

为防范自主研发应用系统的供应链安全风险，我行持续建设开发安全体系并在全行推广。参考DevOps成熟度模型，设定开发安全改进目标、提出改进路径，设计和建设开发安全体系、流程管控系统。编写包括安全场景、安全需求要点、安全设计方案、安全测试要点等要素信息的安全资源库，覆盖数十个应用场景、百余个安全需求条目及相应设计方案和测试要点的安全导航单，用于指引各应用开发项目展开安全需求分析和安全设计。编制Java、C/C++等多种编程语言的安全编码指引，为开发人员提供技术参考。在移动互联应用等重要开发项目中推广后取得良好效果。

2. 基础软件管理

针对外部引入软件产品，如操作系统、中间件、数据库等基础软件。一是我行通过统一的母带镜像和版本管理要求，实现软件的全生命周期管理，保障老旧软件替换、升级、补丁修复、防止断供；日常通过行内官方制品库对全行提供可信的母带镜像下载服务，通过系统运维配置管理平台（SMDB）进行统一的补丁管理和自动下发，并制定严格的漏洞修复机制，避免业务连续性受到影响，同时定期根据漏洞的修复情况和频率，定期更新母带。二是为了保障在线软件的运行安全，防止配置类漏洞的发生，我行针对基础软件建立了完善的安全配置基线管理要求，所有系统软件上线前需要进行安全基线扫描检查，对于不符合项需要整改完成后进行上线；对于上线后的配置基线变化，通过系统运维配置管理平台（SMDB）参照各类安全基线标准进行每日检查，并将检查结果通报给相关管理员与配置经理，对于延期未处理的违规基线也有专门人员通过报表进行跟踪上报处理。

3. 软件成分分析

在开发安全体系及基础软件管理的基础上，针对当前日益复杂的开闭源软件供应链现状，进一步建设软件成分分析SCA工具。并通过工具识别软件资产成分能力，结合漏洞情报及安全漏洞治理和软件版本管理等手段，对外购黑盒软件、开源软件进行组件分析、开源漏洞及协议扫描，降低由未知软件、组件带来的安全风险，保障交付更安全的软件。目前，我行已将软件成分分析SCA等各种安全工具嵌入软件开发CICD流水线中，推动在编码、集成、交付过程中的安全左移。

4. 供应链常态化安全运营

为保障供应链安全防护常态有效，落实上级单位供应链安全和漏洞管理相关工作要求。一是积极开展供应链信息常态化维护，针对全行等保三级及以上系统涉及的供应商进行盘点和风险排查；二是建立外部供应链漏洞情报响应机制，及时完成监管和外部漏洞预警、分析排查和修复工作；三是常态化安全监控处置，针对供应链引入的安全威胁、脆弱性及风险事件，开展7×24小时监控与应急响应，保障处置闭环。

5. 移动互联网托管应用治理

在供应链管理工作过程中，商业银行可能会遇到以下情况：部分由业务部门或分支机构托管在外的移动互联网应用系统，在建设、运维方面与自建系统存在较大差异，导致引入软件、硬件、数据、人员等供应链安全风险。为加强此类应用系统安全管理，防范供应链安全风险，我行开展了长期、针对性的互联网托管系统专项治理工作。一是管理层面构建针对性制度，明确托管在行外的移动互联网应用系统信息安全职责和要求，要求遵循“谁引入、谁负责；谁主管，谁负责”的原则，行内的托管方为互联网托管应用网络与信息安全第一责任部门。同时建立事前评估和审批流程，要求托管方须按照总行科技部门的流程，充分评估在外托管的必要性、网络和数据安全风险等，并敦促第三方机构落实开发阶段、运维阶段的安全要求，与第三方签署《网络安全专项协议》。二是运营和技术层面，一方面建立常态化的托管应用系统资产探测、识别机制，并对已下线、回迁的托管应用持续探活，一经发现未报备的存活应用、下线回迁不彻底应用或前期已下线又复活应用，将开展托管专项治理；另一方面，定期对互联网托管系统开展安全漏洞巡检，并依托安全漏洞闭环处置流程，要求托管方及受托方在整改期限内完成整改。

总结

通过全要素视角下供应链安全防护体系的建设和实践，可在一定程度上绘制金融科技供应链全景图，铸造职责明确、高度协同的供应链安全防线，建立合规高效、精准全面的运营管理模式，实现全生命周期安全防护、要素全面化管理、多维精细化管理、供应链集中化管理、安全风险数字化管理的目标。后续，我行将持续提升金融科技供应链安全防护能力，加强信息安全管理能力，提升安全防护体系完整性，为数字化转型及“五篇大文章”落地奠定坚实的安全底座。

（此文刊发于《金融电子化》2025年1月下半月刊）