铁路关基保护新规发布!铁路软件供应链安全洞察与治理思路

近日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法》,《办法》第十四条提到:“运营者应当加强铁路关键信息基础设施供应链安全保护,优先采购安全可信的网络产品和服务。运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的,应当按照国家有关规定申报网络安全审查。” 强调了铁路关键信息基础设施供应链安全保护的重要性,也为相关单位提出了明确的安全要求。

基于上述《办法》条例,本文将对铁路软件供应链安全现状进行逐一分析,并提出相关治理思路,希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路。

铁路软件供应链安全现状

1.软件供应链构成复杂,不确定风险因素多

随着铁路信息系统的深入建设,无论是基础设施、终端外设,还是开发运维服务,背后已逐渐形成强大的软件供应链体系。铁路信息系统架构复杂性日益增加,软件开源化趋势增强,导致软件供应链变得更加复杂,不确定性风险因素增多,软件开发、交付、使用等各个环节均存在被攻击者攻击的可能。

2.软件安全管理能力未能匹配信息化进程

铁路信息化建设起步较早,早期系统建设多为“同步建设、同步使用”,软件安全防护能力未能匹配上信息化发展进程。软件供应链安全管理能力的提升速度,也跟不上软件供应链复杂化与网络攻击演变的速度。

3.软件来源复杂,供应商管理难度大

铁路信息系统建设规模大,系统开发中大量使用外部代码,例如开源代码、委托开发的代码等,使得参与系统建设的第三方服务提供商、供应商等供需关系网日趋复杂,层层转包现象频出。由于软件的开源开放、多层供应关系、软件资产的不透明等因素,软件供应链可能发生产品安全质量下降、供应中断等安全风险,使运营者对供应链的安全管控难度加大。

铁路软件供应链安全治理思路

1.探索完善的软件供应链安全管理体系

通过差距分析、软件供应链安全(SSCS)治理,建立软件供应链安全管理体系,从制度、流程、能力、平台等方面形成合力,对软件供应链组织管理、供应商管理和供应活动管理提出安全要求,提升铁路关基单位对软件供应链安全的管控能力。

开源网安通过专业的软件供应链安全咨询服务,协助企业进行软件供应链安全治理思路探索与方案建设。帮助企业在供应链安全现状调研、风险评估和差距分析的基础上,制定软件供应链安全风险识别与处置策略、软件资产管理策略,融入现有网络与信息安全管控体系当中,强化软件安全管理顶层设计,提升整体统筹能力。

2.全方位识别软件供应链安全与合规隐患

正如俗话所言”病从口入“,软件供应链安全”病“也需从”关口“抓起,通过建立安全卡口,把控软件供应链各环节软件安全性与合规性。

开源网安软件供应链解决方案,可与相关部门联合建立铁路软件供应链安全检测中心,在开发/采购、交付/上线、运维/使用等各环节,建立安全与合规审查卡口,通过软件供应链安全与合规风险识别技术,包括但不限于软件上线前安全检测、开源软件资产识别、漏洞级别及其可利用性检测、知识产权审查、合规审查、持续运营风险评估等,全方位识别软件供应链中潜在的技术风险、供应风险、合规风险等。

3.常态化软件供应链风险安全管理

建立软件供应链安全态势感知平台,实现软件资产持续监测,发现问题时能快速定位,充分响应。持续增强软件供应链安全威胁发现、研判和预警能力,提升软件供应链安全事件监控和处理能力。

软件供应链安全检测与管理平台(简称SSCSP)是开源网安自主研发的一款综合性安全产品。为企业提供软件供应活动(采购-交付-运维)全面的安全检测与软件资产管理服务。将“资产信息“、”安全信息“、”责任方(供应商)” 形成动态的关联关系,构建软件资产库与常态化安全风险预警机制,提升软件供应链安全风险的识别和应急能力。

随着互联网产业经济的日趋成熟,关键信息基础设施已成为经济社会运行的神经中枢,是支持国家发展的重要资产。铁路关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。近年来,国际上针对关键信息基础设施的网络攻击事件更是屡见不鲜。因此,提升铁路软件供应链安全管理能力,打造“安全韧性”的软件供应链体系,对于保障铁路企业信息系统长期安全稳定运行,推动铁路信息化高质量发展而言,非常重要。

推荐阅读

开源网安携手某国资证券机构,构筑更具“安全韧性”的金融软件供应链

开源网安解决方案荣获四川数实融合创新实践优秀案例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/717909.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Intel FPGA IP之LVDS SerDes IP学习

FPGA 视频数据输入输出直通工程: 屏:13.2吋8bit色深,屏幕分辨率为1440*192060,具有两个Port,每个Port有4个差分数据对与1个差分时钟对,差分对均支持LVDS协议芯片:Cyclone V系列FPGA目的&#x…

标签转格式问题之——xml_2_txt.py

import xml.etree.ElementTree as ET#xml 是python自带的package import osclasses[walnut]#写自己的分类名 pre_dirF:/2023walnut/labels#xml文件所在文件夹 target_dirF:/2023walnut/yolo#想要存储txt文件的文件夹 pathos.listdir(pre_dir)for path1 in path: # path1rC:\Use…

[变压器故障诊断分类及预测】基于Elman神经网络

课题名称:基于Elman神经网络的变压器故障诊断分类及预测 版本日期:2024-02-10 运行方式:直接运行Elman0507.m文件 代码获取方式:私信博主或QQ:491052175 模型描述: 对变压器油中溶解气体进行分析是变压…

Noise Conditional Score Networks(NCSN)学习

参考: [1] https://zhuanlan.zhihu.com/p/597490389 [2] https://www.zhangzhenhu.com/aigc/Score-Based_Generative_Models.html TOC 1 基于分数的生成模型1.1 简介和动机1.2 Score Matching及其改进1.2.1 Score Matching1.2.2 Sliced score matching(不…

XSS_lab(level1-level5)

level1 直接输入页面没有发现输入框&#xff0c;观察url发现有传参 尝试修改传参为&#xff1a;<script>alert(1)</script> 过啦&#xff01; level2 页面中有输入框&#xff0c;尝试构建语句&#xff1a;<script>alert(1)</script>,传输后查看源代…

国际心理学导师-叶子文JeffreyYip的《意识地图》

“物质就是能量。” ---爱因斯坦 “時常保持觉知&#xff0c;有意识地发现情绪起伏 你随时都能翻转人生 做自己人生的导演 当你频率高时&#xff0c;万事万物为你而来” ---大卫霍金斯 叶子文-《意识地图》&#xff1a;高阶心理学课程 宇宙间万物的本质是能量。一切都靠能量…

Java基础---lambda表达式

一、为什么要引入lambda表达式 lambda 表达式是一个可传递的代码块 &#xff0c; 可以在以后执行一次或多次 。 在介绍lambda表达式之前&#xff0c;我们看一下&#xff0c;以前&#xff0c;我们对于一个问题的通常写法。 假设你已经了解了如何按指定时间间隔完成工作&#xf…

js字符串转json的3种方法

1.eval方式解析 function strToJson(str){var json eval("(" str ")");return json;}console.log(strToJson("{int:1, string:demo}")); 运行截图&#xff1a; 注&#xff1a; 记得别忘了str两旁的小括号。 永远不要使用 eval !!! eval() 是一…

611. 有效三角形的个数 - 力扣

1. 题目 给定一个包含非负整数的数组 nums &#xff0c;返回其中可以组成三角形三条边的三元组个数。 2. 示例 3. 分析 利用已升序了的数组通过 a b > c 这条公式找出符合要求的三元组&#xff0c;利用这个公式的前提是三条边为从小到大&#xff0c;再利用单调性快速统计…

STM32 (1)

1.基本信息 stm32是由ST公司生产的一种32位微控制器&#xff08;单片机&#xff09;。 1.1 各种型号 stm32是32位单片机的总称&#xff0c;有多种不同的系列。 32即用32个比特位表示一个地址&#xff0c;寻址范围&#xff1a;0x00000000 --0xffffffff (4GB) 1.2 存储密度 …

Mysql事务的两段式提交

binlog和redo log区别 为了满足Mysql的事物ACID特性&#xff0c;InnoDB引入了redo log和 undo log日志文件。为了满足主从同步Mysql引入了binlog日志文件。redo log和binlog文件都保存的数据库对数据库的修改&#xff0c;但是binlog和redo log本质上是不一样的&#xff1a; r…

UE5中实现后处理深度描边

后处理深度描边可以通过取得边缘深度变化大的区域进行描边&#xff0c;一方面可以用来做角色的等距内描边&#xff0c;避免了菲尼尔边缘光不整齐的问题&#xff0c;另一方面可以结合场景扫描等特效使用&#xff0c;达到更丰富的效果&#xff1a; 后来解决了开启TAA十字线和锯齿…

XXL-Job的基本使用

一、市面上常见的任务调度产品 针对分布式任务调度的需求&#xff0c;市场上出现了很多的产品: 其中XXL-job 是我们经常使用的任务调度平台,XXL这三个英文字母.是以作者名许雪里命名的。 可以前往 Gitee 地址进行下载使用 https://gitee.com/xuxueli0323/xxl-job.git二、XXL-J…

使用`paddle.nn.Layer`自定义网络教程

文章目录 使用paddle.nn.Layer自定义网络教程1. 概念介绍2. 数据处理3. 搭建一个完整的深度学习网络4. 使用paddle.nn.Layer构建深度学习网络5. 利用paddle.nn.Layer进行子层的访问6. 修改paddle.nn.Layer层的成员变量7. 存储模型的参数8. 总结 使用paddle.nn.Layer自定义网络教…

LockBit病毒入侵揭秘:如何防范与应对

在数字时代&#xff0c;随着科技的飞速发展&#xff0c;网络安全问题愈发凸显。恶意软件和勒索软件等网络威胁正不断演变&#xff0c;其中一款备受关注的勒索软件就是LockBit。本文将深入介绍LockBit的特征、攻击手段、演进历程以及对网络安全的威胁。 01 主要特征 LockBit是…

算法知识(java)随笔

1: 保留指定的小数为 printf("%.2f\n", ret) 和c语言类似 // 怎么保留小数 System.out.printf("%.2f\n", 1.0/3); 2: 在写小数二分的时候 加入让结果保留6位数 那么 while(r - l > 1e-8) 3: java Map里面之前写的代码: /*** 也就是 统计x在map里面的…

第二十一周周报

文献阅读&#xff1a;Recent Advances of Monocular 2D and 3D Human Pose Estimation: A Deep Learning Perspective 摘要&#xff1a;在本文中&#xff0c;作者提供了一个全面的 2d到3d视角来解决单目人体姿态估计的问题。首先&#xff0c;全面总结了人体的二维和三维表征。…

腾讯云Windows轻量应用服务器的默认密码是什么,以及如何重置?

首先&#xff0c;腾讯云轻量应用服务器的默认用户名是没有设置密码的&#xff0c;首次登录时需要重置密码。这意味着如果你的轻量应用服务器是腾讯云的&#xff0c;那么默认密码是不存在的&#xff0c;需要通过重置密码来获得一个新的密码。 关于如何重置密码&#xff0c;有几…

chatgpt新版本api的调用

chatgpt新版本api的调用 原始版本调用api方式&#xff1a;新版调用chatgpt-api的方式&#xff1a; 原始版本调用api方式&#xff1a; import openaiopenai.api_key "{上面复制的key}"completion openai.ChatCompletion.create(model"gpt-3.5-turbo",mes…

Spring El表达式官方文档学习

文章目录 推荐一、概述1、什么是SpEL2、SpEL能做什么 二、SpEL表达式使用1、文字表达式2、属性, 数组, List, Map,和 索引&#xff08;1&#xff09;属性操作&#xff08;2&#xff09;数组和List&#xff08;3&#xff09;Map 3、内嵌List4、内嵌Map5、构建数组6、调用类的方法…