铁路关基保护新规发布!铁路软件供应链安全洞察与治理思路

近日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法》,《办法》第十四条提到:“运营者应当加强铁路关键信息基础设施供应链安全保护,优先采购安全可信的网络产品和服务。运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的,应当按照国家有关规定申报网络安全审查。” 强调了铁路关键信息基础设施供应链安全保护的重要性,也为相关单位提出了明确的安全要求。

基于上述《办法》条例,本文将对铁路软件供应链安全现状进行逐一分析,并提出相关治理思路,希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路。

铁路软件供应链安全现状

1.软件供应链构成复杂,不确定风险因素多

随着铁路信息系统的深入建设,无论是基础设施、终端外设,还是开发运维服务,背后已逐渐形成强大的软件供应链体系。铁路信息系统架构复杂性日益增加,软件开源化趋势增强,导致软件供应链变得更加复杂,不确定性风险因素增多,软件开发、交付、使用等各个环节均存在被攻击者攻击的可能。

2.软件安全管理能力未能匹配信息化进程

铁路信息化建设起步较早,早期系统建设多为“同步建设、同步使用”,软件安全防护能力未能匹配上信息化发展进程。软件供应链安全管理能力的提升速度,也跟不上软件供应链复杂化与网络攻击演变的速度。

3.软件来源复杂,供应商管理难度大

铁路信息系统建设规模大,系统开发中大量使用外部代码,例如开源代码、委托开发的代码等,使得参与系统建设的第三方服务提供商、供应商等供需关系网日趋复杂,层层转包现象频出。由于软件的开源开放、多层供应关系、软件资产的不透明等因素,软件供应链可能发生产品安全质量下降、供应中断等安全风险,使运营者对供应链的安全管控难度加大。

铁路软件供应链安全治理思路

1.探索完善的软件供应链安全管理体系

通过差距分析、软件供应链安全(SSCS)治理,建立软件供应链安全管理体系,从制度、流程、能力、平台等方面形成合力,对软件供应链组织管理、供应商管理和供应活动管理提出安全要求,提升铁路关基单位对软件供应链安全的管控能力。

开源网安通过专业的软件供应链安全咨询服务,协助企业进行软件供应链安全治理思路探索与方案建设。帮助企业在供应链安全现状调研、风险评估和差距分析的基础上,制定软件供应链安全风险识别与处置策略、软件资产管理策略,融入现有网络与信息安全管控体系当中,强化软件安全管理顶层设计,提升整体统筹能力。

2.全方位识别软件供应链安全与合规隐患

正如俗话所言”病从口入“,软件供应链安全”病“也需从”关口“抓起,通过建立安全卡口,把控软件供应链各环节软件安全性与合规性。

开源网安软件供应链解决方案,可与相关部门联合建立铁路软件供应链安全检测中心,在开发/采购、交付/上线、运维/使用等各环节,建立安全与合规审查卡口,通过软件供应链安全与合规风险识别技术,包括但不限于软件上线前安全检测、开源软件资产识别、漏洞级别及其可利用性检测、知识产权审查、合规审查、持续运营风险评估等,全方位识别软件供应链中潜在的技术风险、供应风险、合规风险等。

3.常态化软件供应链风险安全管理

建立软件供应链安全态势感知平台,实现软件资产持续监测,发现问题时能快速定位,充分响应。持续增强软件供应链安全威胁发现、研判和预警能力,提升软件供应链安全事件监控和处理能力。

软件供应链安全检测与管理平台(简称SSCSP)是开源网安自主研发的一款综合性安全产品。为企业提供软件供应活动(采购-交付-运维)全面的安全检测与软件资产管理服务。将“资产信息“、”安全信息“、”责任方(供应商)” 形成动态的关联关系,构建软件资产库与常态化安全风险预警机制,提升软件供应链安全风险的识别和应急能力。

随着互联网产业经济的日趋成熟,关键信息基础设施已成为经济社会运行的神经中枢,是支持国家发展的重要资产。铁路关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。近年来,国际上针对关键信息基础设施的网络攻击事件更是屡见不鲜。因此,提升铁路软件供应链安全管理能力,打造“安全韧性”的软件供应链体系,对于保障铁路企业信息系统长期安全稳定运行,推动铁路信息化高质量发展而言,非常重要。

推荐阅读

开源网安携手某国资证券机构,构筑更具“安全韧性”的金融软件供应链

开源网安解决方案荣获四川数实融合创新实践优秀案例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/717909.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Intel FPGA IP之LVDS SerDes IP学习

FPGA 视频数据输入输出直通工程: 屏:13.2吋8bit色深,屏幕分辨率为1440*192060,具有两个Port,每个Port有4个差分数据对与1个差分时钟对,差分对均支持LVDS协议芯片:Cyclone V系列FPGA目的&#x…

Noise Conditional Score Networks(NCSN)学习

参考: [1] https://zhuanlan.zhihu.com/p/597490389 [2] https://www.zhangzhenhu.com/aigc/Score-Based_Generative_Models.html TOC 1 基于分数的生成模型1.1 简介和动机1.2 Score Matching及其改进1.2.1 Score Matching1.2.2 Sliced score matching(不…

XSS_lab(level1-level5)

level1 直接输入页面没有发现输入框&#xff0c;观察url发现有传参 尝试修改传参为&#xff1a;<script>alert(1)</script> 过啦&#xff01; level2 页面中有输入框&#xff0c;尝试构建语句&#xff1a;<script>alert(1)</script>,传输后查看源代…

国际心理学导师-叶子文JeffreyYip的《意识地图》

“物质就是能量。” ---爱因斯坦 “時常保持觉知&#xff0c;有意识地发现情绪起伏 你随时都能翻转人生 做自己人生的导演 当你频率高时&#xff0c;万事万物为你而来” ---大卫霍金斯 叶子文-《意识地图》&#xff1a;高阶心理学课程 宇宙间万物的本质是能量。一切都靠能量…

Java基础---lambda表达式

一、为什么要引入lambda表达式 lambda 表达式是一个可传递的代码块 &#xff0c; 可以在以后执行一次或多次 。 在介绍lambda表达式之前&#xff0c;我们看一下&#xff0c;以前&#xff0c;我们对于一个问题的通常写法。 假设你已经了解了如何按指定时间间隔完成工作&#xf…

js字符串转json的3种方法

1.eval方式解析 function strToJson(str){var json eval("(" str ")");return json;}console.log(strToJson("{int:1, string:demo}")); 运行截图&#xff1a; 注&#xff1a; 记得别忘了str两旁的小括号。 永远不要使用 eval !!! eval() 是一…

611. 有效三角形的个数 - 力扣

1. 题目 给定一个包含非负整数的数组 nums &#xff0c;返回其中可以组成三角形三条边的三元组个数。 2. 示例 3. 分析 利用已升序了的数组通过 a b > c 这条公式找出符合要求的三元组&#xff0c;利用这个公式的前提是三条边为从小到大&#xff0c;再利用单调性快速统计…

STM32 (1)

1.基本信息 stm32是由ST公司生产的一种32位微控制器&#xff08;单片机&#xff09;。 1.1 各种型号 stm32是32位单片机的总称&#xff0c;有多种不同的系列。 32即用32个比特位表示一个地址&#xff0c;寻址范围&#xff1a;0x00000000 --0xffffffff (4GB) 1.2 存储密度 …

UE5中实现后处理深度描边

后处理深度描边可以通过取得边缘深度变化大的区域进行描边&#xff0c;一方面可以用来做角色的等距内描边&#xff0c;避免了菲尼尔边缘光不整齐的问题&#xff0c;另一方面可以结合场景扫描等特效使用&#xff0c;达到更丰富的效果&#xff1a; 后来解决了开启TAA十字线和锯齿…

XXL-Job的基本使用

一、市面上常见的任务调度产品 针对分布式任务调度的需求&#xff0c;市场上出现了很多的产品: 其中XXL-job 是我们经常使用的任务调度平台,XXL这三个英文字母.是以作者名许雪里命名的。 可以前往 Gitee 地址进行下载使用 https://gitee.com/xuxueli0323/xxl-job.git二、XXL-J…

第二十一周周报

文献阅读&#xff1a;Recent Advances of Monocular 2D and 3D Human Pose Estimation: A Deep Learning Perspective 摘要&#xff1a;在本文中&#xff0c;作者提供了一个全面的 2d到3d视角来解决单目人体姿态估计的问题。首先&#xff0c;全面总结了人体的二维和三维表征。…

Windows的Linux化持续推进中

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗&#xff1f;订阅我们的简报&#xff0c;深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同&#xff0c;从行业内部的深度分析和实用指南中受益。不要错过这个机会&#xff0c;成为AI领…

Java基础 - 6 - 面向对象(二)

Java基础 - 6 - 面向对象&#xff08;一&#xff09;-CSDN博客 二. 面向对象高级 2.1 static static叫做静态&#xff0c;可以修饰成员变量、成员方法 2.1.1 static修饰成员变量 成员变量按照有无static修饰&#xff0c;分为两种&#xff1a;类变量、实例变量&#xff08;对象…

故障诊断 | 一文解决,XGBoost极限梯度提升树的故障诊断(Matlab)

效果一览 文章概述 故障诊断 | 一文解决,XGBoost极限梯度提升树的故障诊断(Matlab) 模型描述 XGBoost通过集成多个决策树来建立一个强大的预测模型。它采用了一种特殊的梯度提升技术,称为极限梯度提升(Extreme Gradient Boosting),以提高模型的性能和鲁棒性。 极限梯度…

【大数据Hive】hive 多字段分隔符使用详解

目录 一、前言 二、hive默认分隔符规则以及限制 2.1 正常示例&#xff1a;单字节分隔符数据加载示例 2.2 特殊格式的文本数据&#xff0c;分隔符为特殊字符 2.2.1 文本数据的字段中包含了分隔符 三、突破默认限制规则约束 3.1 数据加载不匹配情况 1 3.2 数据加载不匹配…

Java项目推荐|几个B站上的从零搭建项目

分享几个B站上搜集到的技术比较全&#xff0c;讲解也详细的Java后端开发项目 目录 谷粒商城 2020-03-31 iHRM 人力资源管理系统 2021-04-16 瑞吉外卖 2022-04-12 学成在线 2023-01-13 尚上优选 2023-06-06 黑马头条 2023-06-13 苍穹外卖 2023-07-05 谷粒商城 2020-03-3…

STM32FreeRTOS任务通知(STM32cube高效开发)

文章目录 一、任务通知(一&#xff09;任务通知概述1、任务通知可模拟队列和信号量2、任务通知优势和局限性 (二) 任务通知函数1、xTaskNotify&#xff08;&#xff09;发送通知值不返回先前通知值的函数2、xTaskNotifyFromISR&#xff08;&#xff09;发送通知函数ISR版本3、x…

Java面试题总结200道(二)

26、简述Spring中Bean的生命周期&#xff1f; 在原生的java环境中&#xff0c;一个新的对象的产生是我们用new()的方式产生出来的。在Spring的IOC容器中&#xff0c;将这一部分的工作帮我们完成了(Bean对象的管理)。既然是对象&#xff0c;就存在生命周期&#xff0c;也就是作用…

LeetCode 刷题 [C++] 第73题.矩阵置零

题目描述 给定一个 m x n 的矩阵&#xff0c;如果一个元素为 0 &#xff0c;则将其所在行和列的所有元素都设为 0 。请使用 原地 算法。 题目分析 题目中要求使用原地算法&#xff1a;即直接在输入矩阵上进行修改。因此如果在输入矩阵上把行/列的值修改成0后&#xff0c;在…

【Linux】基本指令(下)

&#x1f984;个人主页:修修修也 &#x1f38f;所属专栏:Linux ⚙️操作环境:Xshell (操作系统:CentOS 7.9 64位) 日志 日志的概念: 网络设备、系统及服务程序等&#xff0c;在运作时都会产生一个叫log的事件记录&#xff1b;每一行日志都记载着日期、时间、使用者及动作等相关…