近日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法》,《办法》第十四条提到:“
运营者应当加强铁路关键信息基础设施供应链安全保护,优先采购安全可信的网络产品和服务
。运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的,应当按照国家有关规定申报网络安全审查。”
强调了铁路关键信息基础设施供应链安全保护的重要性,也为相关单位提出了明确的安全要求。
基于上述《办法》条例,本文将对铁路软件供应链安全现状进行逐一分析,并提出相关治理思路,希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路。
铁路软件供应链安全现状
1.软件供应链构成复杂,不确定风险因素多
随着铁路信息系统的深入建设,无论是基础设施、终端外设,还是开发运维服务,背后已逐渐形成强大的软件供应链体系。铁路信息系统架构复杂性日益增加,软件开源化趋势增强,导致软件供应链变得更加复杂,不确定性风险因素增多,软件开发、交付、使用等各个环节均存在被攻击者攻击的可能。
2.软件安全管理能力未能匹配信息化进程
铁路信息化建设起步较早,早期系统建设多为“同步建设、同步使用”,软件安全防护能力未能匹配上信息化发展进程。软件供应链安全管理能力的提升速度,也跟不上软件供应链复杂化与网络攻击演变的速度。
3.软件来源复杂,供应商管理难度大
铁路信息系统建设规模大,系统开发中大量使用外部代码,例如开源代码、委托开发的代码等,使得参与系统建设的第三方服务提供商、供应商等供需关系网日趋复杂,层层转包现象频出。由于软件的开源开放、多层供应关系、软件资产的不透明等因素,软件供应链可能发生产品安全质量下降、供应中断等安全风险,使运营者对供应链的安全管控难度加大。
铁路软件供应链安全治理思路
1.探索完善的软件供应链安全管理体系
通过差距分析、软件供应链安全(SSCS)治理,建立软件供应链安全管理体系,从制度、流程、能力、平台等方面形成合力,对软件供应链组织管理、供应商管理和供应活动管理提出安全要求,提升铁路关基单位对软件供应链安全的管控能力。
开源网安通过专业的软件供应链安全咨询服务,协助企业进行软件供应链安全治理思路探索与方案建设。帮助企业在供应链安全现状调研、风险评估和差距分析的基础上,制定软件供应链安全风险识别与处置策略、软件资产管理策略,融入现有网络与信息安全管控体系当中,强化软件安全管理顶层设计,提升整体统筹能力。
2.全方位识别软件供应链安全与合规隐患
正如俗话所言”病从口入“,软件供应链安全”病“也需从”关口“抓起,通过建立安全卡口,把控软件供应链各环节软件安全性与合规性。
开源网安软件供应链解决方案,可与相关部门联合建立铁路软件供应链安全检测中心,在开发/采购、交付/上线、运维/使用等各环节,建立安全与合规审查卡口,通过软件供应链安全与合规风险识别技术,包括但不限于软件上线前安全检测、开源软件资产识别、漏洞级别及其可利用性检测、知识产权审查、合规审查、持续运营风险评估等,全方位识别软件供应链中潜在的技术风险、供应风险、合规风险等。
3.常态化软件供应链风险安全管理
建立软件供应链安全态势感知平台,实现软件资产持续监测,发现问题时能快速定位,充分响应。持续增强软件供应链安全威胁发现、研判和预警能力,提升软件供应链安全事件监控和处理能力。
软件供应链安全检测与管理平台(简称SSCSP)是开源网安自主研发的一款综合性安全产品。为企业提供软件供应活动(采购-交付-
运维)全面的安全检测与软件资产管理服务。将“资产信息“、”安全信息“、”责任方(供应商)”
形成动态的关联关系,构建软件资产库与常态化安全风险预警机制,提升软件供应链安全风险的识别和应急能力。
随着互联网产业经济的日趋成熟,关键信息基础设施已成为经济社会运行的神经中枢,是支持国家发展的重要资产。铁路关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。近年来,国际上针对关键信息基础设施的网络攻击事件更是屡见不鲜。因此,提升铁路软件供应链安全管理能力,打造“安全韧性”的软件供应链体系,对于保障铁路企业信息系统长期安全稳定运行,推动铁路信息化高质量发展而言,非常重要。
推荐阅读
开源网安携手某国资证券机构,构筑更具“安全韧性”的金融软件供应链
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
