标准解读｜金融科技软件供应链供需安全管理指南

2024年5月22日，联盟发布了《金融科技软件供应链供需安全管理指南》（T/ZFIDA 0001—2024）。该标准由工银科技有限公司牵头，中国电子科技集团公司第十五研究所、龙盈智达(北京)科技有限公司、中关村互联网金融研究院、北京比瓴科技有限公司共同发起。

近些年来，全球范围内金融机构重大软件供应链攻击事件频发。为了满足日益增长的数字化需求，金融机构广泛采用第三方以及开源技术来提升开发效率，第三方技术的使用降低了开发成本，也让软件合规性、安全性变得难以保障。金融机构亟需制定安全策略，保障组织内软件供应链的安全性，减少软件供应链攻击所带来的损失。

在此背景下，中关村金融科技产业发展联盟（以下简称为“联盟”）与中关村互联网金融研究院联合成立了金融科技软件供应链安全课题组，进行实地调研访谈，了解行业情况，以业界最佳实践为基础进行适度前瞻，输出软件供应链安全管理指南。

《金融科技软件供应链供需安全管理指南》（T/ZFIDA 0001—2024）明确了金融科技软件供应链的安全保护目标，分析了金融科技软件供应链各安全保护目标面临的安全风险，并提出了安全视角下管理金融科技软件供应链的实践框架。详细阐述了供需双方再管理过程中需考虑的安全因素，并为金融机构和科技企业在软件供应链安全管理方面提供了切实可行的建议。

为了更好的帮助成员单位理解团体标准内容，联盟推出标准系列解读，本文章是系列解读的第一篇。

1 研制过程

课题组自2023年初起，对金融机构、安全科技企业及政策监管机构等百余家机构进行了深入走访与交流。历经一年多的调研工作，课题组收集了大量关于金融机构在软件供应链安全方面的现状、所面临的挑战及未来发展需求的第一手资料，并进行了全面详尽的分析，积累了金融机构在构建软件供应链安全体系方面的宝贵经验。

标准研制的主要工作包括：

制定安全管理框架：建立涵盖机构管理、供应商管理、技术工具管理等环节的安全管理框架。
明确安全目标与活动：明确金融科技软件供应链的安全保护目标，明确供方、需方在各个环节的安全活动，确保各方在各自的职责范围内采取必要的安全措施。
建设标准体系：构建金融科技软件供应链安全管理的标准体系，识别供应链各环节的安全风险，并提出相应的管理和控制措施，以期提高从业人员的安全意识和技能，提升安全水平。

标准主要包括以下四个部分：

金融科技软件供应链安全保护目标
金融科技软件供应链安全风险
安全视角下的金融科技软件供应链管理实践框架
金融科技软件供应链安全考虑建议

2. 内容概要

2.1 金融科技软件供应链安全保护目标

标准指出，金融科技软件供应链的总体安全保护目标是面向供应链资产，增强相应的安全保障能力，以应对软件供应关系和供应活动中的安全风险，并将总体目标分解如下。

要实现总体安全保护目标，需要基于上述分解目标结合行业实际情况，进一步识别出潜在安全风险并进行针对性防护。

2.2 金融科技软件供应链安全风险

标准指出，软件供应链具备供应商多样性、高度复杂性、全球性、动态可变性和全流程覆盖等特点。这些特点使得在各个供应活动中可能引入安全风险，包括：

软件漏洞：供应链中引入未修复或未知的软件漏洞，可能被利用进行攻击。
软件后门：供应链中的软件可能被植入后门，允许未经授权的访问和控制。
恶意篡改：软件在供应链的不同阶段可能被恶意修改，导致功能异常或安全威胁。
恶意劫持：供应链中的软件传输过程中可能被劫持，导致数据被窃取或篡改。
信息泄露：供应链中的信息（包括敏感数据）可能被非法访问或泄露。
供应中断：软件或服务供应链中断，可能影响业务的连续性和稳定性。
知识产权非法使用：软件知识产权可能在未经授权的情况下被使用或传播。
开源许可违规使用：使用开源软件时未遵守相应的许可证要求，导致法律和合规风险。
假冒伪劣：供应链中可能存在假冒或劣质的软件产品，影响系统安全和稳定性。
其他风险：包括供应链全球化和复杂性带来的风险等。

通过识别和管理这些风险，可以更好地保护软件供应链的安全性和稳定性，确保业务的连续性和合规性。

2.3 安全视角下的软件供应链管理实践框架

软件供应链管理实践框架提供软件供应链管理的高维度结构，包含组织管理和供应活动管理两部分。组织管理要求包括机构管理、规章制度标准规范综合体管理、人员管理、供应商管理、知识产权管理、技术工具管理等方面；供应活动管理要求包括软件采购、外部组件使用、软件交付、软件运维、软件替换或废止。

从安全角度看，软件供应链管理需要面向供方和需方，通过组织管理和供应活动管理确保供应管理活动的有效性，确保识别的安全风险处于可接受水平。

2.4 金融科技软件供应链安全考虑建议

该标准罗列了当前金融科技软件供应链所面临的风险，并分别面向金融科技软件供应链中的供需双方具体的建议。相关建议是围绕软件供应链管理实践框架进行了相关内容的扩展和延伸，对于供应方，标准强调了建立健全的安全开发生命周期（SDL），确保在软件开发的每个阶段都考虑安全因素。对于需求方，标准建议在采购和使用第三方软件时，严格评估供应商的安全能力，并在合同中明确安全要求。

关键建议包括：

组织管理要求

机构管理：确立明确的安全管理机构，明确职责和权限。设立专职的安全团队，负责安全策略制定、实施和监督。
规章制度和标准规范综合体管理：制定并实施覆盖供应链全过程的安全规章制度。采用国家、行业、团体标准作为参考，制定企业内部的安全标准和规范。
人员管理：实施严格的人员背景审查和定期安全培训。明确岗位职责，确保人员了解并遵守相关的安全政策和操作规范。
供应商管理：进行严格的供应商筛选和评估，确保供应商具备必要的安全资质和能力。建立供应商安全绩效评估机制，定期审查和评估供应商的安全表现。
知识产权管理：建立知识产权保护机制，明确知识产权的管理流程和责任。定期审核和更新知识产权使用和保护政策，防止非法使用和泄露。
技术工具管理：采用先进的安全技术工具，进行漏洞扫描、代码审计和安全监控。确保技术工具的及时更新和有效运行，提供技术支持和安全保障。

供应活动管理要求

软件采购：在采购阶段进行安全评估，确保供应商提供的软件符合安全标准和要求。签订明确的安全协议，规定供应商的安全责任和义务。
外部组件使用：对外部组件进行安全评估和测试，确保其无安全漏洞或恶意代码。确保外部组件的合法性和合规性，遵守相关的许可证要求。
软件交付：实施严格的交付验收流程，确保交付的软件安全性和完整性。使用安全的交付渠道，防止软件在交付过程中被篡改或劫持。
软件运维：建立完善的运维安全管理体系，确保软件在运行过程中的安全性。实施定期的安全检查和维护，及时发现和处理安全问题。
软件替换或废止：制定软件替换或废止的安全流程，确保替换或废止过程中的数据安全。在软件废止前，进行彻底的数据清理和销毁，防止数据泄露。

综合建议

全面安全意识培训：对全体员工进行定期的安全意识培训，提升整体安全意识和技能。
持续监测与改进：定期进行安全审计和评估，发现和改进安全管理中的不足，保持安全措施的有效性和前瞻性。

3 意义价值

国家高度重视软件供应链安全问题，进行了深入研究并出台了一系列相关标准，于2018年发布了《信息安全技术 ICT供应链安全风险管理指南》（GB/T 36637—2018），并于今年4月底发布了《网络安全技术软件供应链安全要求》（GB/T 43698一2024 ）。

近年来，联盟持续关注金融行业的软件供应链，特别是金融科技软件供应链的潜在风险，并开展相关工作。去年7月，联盟在中关村论坛系列活动——第七届金融科技与金融安全大会发布了《金融行业软件供应链安全白皮书（2023）》。

今年5月联盟发布的《金融科技软件供应链供需安全管理指南》团体标准，不仅是《金融行业软件供应链安全白皮书（2023）》内容的延伸和细化，还基于现实考量，针对金融科技领域的软件供应链特殊需求提出了更具实用性的实践内容。

3.1 研制过程