近日,《网络安全技术 软件供应链安全要求》(GB/T 43698-2024)国家标准正式发布,并将于2024年11月1日正式实施。5月30日,中国软件评测中心公布了首批通过软件供应链安全能力评估的产品,浪潮信息服务器操作系统云峦KeyarchOS(简称KOS),凭借在组织制度、机构及人员管理、软件开发交付等方面的严格把控成功入选,在目前操作系统业内位列最高等级,验证了浪潮信息在操作系统方面构建了极具韧性的供应链体系。
软件供应链面临安全挑战 分析称2025年45%组织将受攻击
为了更好地帮助企业、用户识别软件供应链安全风险,促进软件供应链安全能力提升,中国软件评测中心日前开展了软件供应链安全能力评估,主要涵盖组织管理、供应链活动管理两个能力域。
浪潮信息多措并举 打造稳定可靠操作系统KOS
机构管理方面,浪潮信息在产品安全委员会下特设软件供应链安全组织,负责软件供应链安全体系的管理、执行及审计;同时成立系统软件安全团队,牵头日常供应链安全管理跟踪,以及安全设计、安全开发、安全基线、安全测评等工作。
人员管理方面,从岗位资格要求入手,规范包含从事软件需求分析、安全设计、漏洞分析挖掘、安全技术支持与预研等工作的人员资格要求。例如,三级软件研发岗位任职资格包括基于前沿安全攻击技术,具备产品漏洞挖掘利用能力等。同时,安全部门定期对相关人员进行考核培训,2023年共计完成11个通用安全课程与25个安全专家课程培训。
供应商管理方面,在引入阶段,对供应商技术能力、质控能力、供货及服务能力等进行综合评审,并对其管理体系认证、企业社会责任、贸易安全、网络安全和信息安全、财务状况等进行风险评估;在引入后,从商务、质量、技术等方面完成季度、年度评估,并从软件维度进行分级管理。
软件开发方面,制定《开发安全流程》,将安全内建于产品规划、需求分析、设计开发与验证、发布与维护等产品全生命周期过程中。在BSIMM软件安全成熟度评估中,浪潮信息软件产品在战略指标、合规政策、攻击模式等9个实践项目均获得最高3级评分,在128家全球参与企业中位列第一梯队。此外,浪潮信息于2023年7月获得《ISO28000供应链安全管理体系认证证书》。
软件采购及获取方面,邀请产品安全专家参与供应商和软件安全审查,通过对供应商供应连续性、信息安全体系、数据安全体系、产品研发安全体系、产品安全性的全面评估,规避外部引入软件的安全风险。此外,浪潮信息制定《开源软件管理规范》,明确开源软件从来源合法性、完整性、准确性、安全性、合规性、可持续性进行风险评估,同时研发了安全活动管理平台,对开源组件引入申请和审批及评估信息进行统一管理。
软件交付方面,制定了研发项目配置管理、版本发布、安全部署、安全维护等工作的流程规范,通过项目交付物归档、版本发布安全评估、产品交付完整性校验及安全加固、维护阶段应急响应等措施,实现KOS产品版本全生命周期安全风险消减及完整性保护覆盖。
正是基于以上多方面的努力,KOS顺利通过本次软件供应链安全能力评估。截至目前,KOS累计装机量突破25万台,广泛服务于金融、教育、能源、通信等关键行业,为用户提供稳定可靠、安全易用、高性能的操作系统底座。
早在2015年,浪潮信息将JDM商业模式的探索同供应链创新相结合,同时融入人工智能、5G、边缘计算、云计算等新技术,构建了敏捷灵活而有韧性的供应链体系。该供应链体系保障了浪潮信息在疫情中保持业务稳步增长,并相继获得哈佛商业论“鼎革奖”、IDC数字供应链“领导者”奖等重磅奖项。云峦KeyarchOS是浪潮信息基于Linux内核、龙蜥等开源技术自主研发的一款服务器操作系统,首批参与软件供应链安全能力评估并定级为最高等级。这再次证实浪潮信息构建了极具韧性的供应链体系,基于较高的软件供应链安全风险管理、组织管理和供应活动管理能力,保障软件和业务系统持续稳定运行。
售前咨询
售后服务
回到顶部